百家讲坛 | 高明：模糊测试技术在车联网安全性评估中的应用

车联网通过先进的通信技术，实现了车辆与车辆（V2V）、车辆与基础设施（V2I）、车辆与行人（V2P）以及车辆与网络（V2N）之间的互联互通。

这种智能化的交通系统不仅极大地提高了道路的通行效率，增强了驾驶的安全性，还为驾驶者提供了更加丰富的信息服务和娱乐体验。

然而，车联网技术的广泛应用也带来了新的安全挑战，尤其是在信息安全领域。

车联网的智能化和网联化特性，使得汽车不再仅仅是一个简单的交通工具，而是变成了一个移动的智能终端。

汽车内部的电子控制单元（ECUs）数量激增，车辆与外部网络的连接也日益频繁。这些变化为黑客提供了更多的攻击途径，使得车辆可能遭受各种网络攻击，从而影响到车辆的安全行驶和乘客的隐私安全。

根据最新的Upstream Security的统计报告显示，自2020年至今，全球范围内发生的汽车信息安全事件已超过千起，仅2023年就高达295起。CAVD（汽车安全漏洞数据库）收录的汽车安全漏洞数据更是超过3000条，影响范围波及数千万辆汽车。

在这种背景下，如何确保车联网系统的安全性，成了一个亟待解决的问题。

模糊测试技术（Fuzz Testing）作为一种有效的软件和系统安全评估方法，通过自动生成大量异常、无效或随机的输入数据，检测系统是否能够妥善处理这些非预期的输入，从而发现潜在的安全漏洞。

在车联网领域，模糊测试技术的应用尤为关键，因为车辆系统需要处理来自不同来源的大量数据，确保系统在面对异常输入时的稳定性和安全性至关重要。

智能网联汽车信息安全是一个复杂系统的安全问题。根据分析研究，智能网联汽车系统面临的攻击可以分为近程攻击、中程攻击和远程攻击。近程攻击可针对 ECU、车内网络、USB 等，中程攻击主要针对 Wi-Fi、蓝牙、RFID 等无线电通信，远程攻击则是将云端服务等作为攻击对象。

1. 近程攻击

近程攻击通常涉及攻击者对车辆进行物理接触，例如通过OBD-II端口。在这种攻击中，攻击者利用车辆的物理接口，如OBD端口或USB接口，直接对车辆的电子控制单元（ECU）进行操纵，可能导致车辆控制失灵，例如发动机突然熄火或刹车系统故障，这对驾驶安全构成了直接威胁。

2. 中程攻击

中程攻击则不需要物理接触车辆，而是通过无线通信手段进行。攻击者可能利用蓝牙或Wi-Fi信号，对车辆的通信系统进行干扰或数据截取。他们通过无线电频率的干扰或利用通信协议的漏洞，截获或篡改车辆传输的数据，这可能导致车辆位置信息泄露，或使车辆接收到错误的控制指令，影响行车安全。

3. 远程攻击

远程攻击展示了网络攻击的威力，攻击者可以通过互联网对车辆的云服务进行攻击。例如，2015年Jeep Cherokee的远程攻击事件，攻击者通过车辆与互联网连接的接口，远程发送恶意指令或代码，控制或干扰车辆系统，这可能允许攻击者远程控制车辆的导航、刹车、加速等功能，严重威胁乘客安全。

4. 云端信息安全风险

云端信息安全风险涉及车联网系统的后端服务。攻击者可能针对云服务平台发起SQL注入攻击，非法访问或篡改数据库信息，导致大量车辆用户数据泄露。这种攻击不仅侵犯了用户的隐私权，还可能使得车辆控制权限被非法获取，增加了车辆被恶意控制的风险。

图1.车联网基本架构

车联网网络安全面临的主要挑战包括：不断增长和演变的网络攻击、攻击者动机向大规模影响转变、不断上升的网络安全攻击成本、动态软件物料清单带来的内部影响、社交媒体成为汽车网络活动的滋生地、深度和暗网的威胁、多样化的攻击手段、不断扩展的监管现实，以及OTA更新和V2X通信带来的潜在风险。

这些挑战不仅威胁到车辆的安全和数据隐私，还可能导致大规模的财务损失和操作中断，突显了汽车行业在网络安全方面亟需采取创新和前瞻性措施的紧迫性。

1. 技术复杂性带来的安全风险

2015年Jeep Cherokee的远程攻击事件凸显了车辆系统与互联网连接后技术复杂性增加所带来的安全风险。安全专家Chris Valasek和Charlie Miller通过公开研究展示了远程控制车辆的可能性，揭示了车辆系统设计中存在的安全漏洞，强调了在设计阶段就必须考虑安全性的重要性。

2. 攻击者动机的演变

勒索软件攻击在车联网领域的出现标志着攻击者动机的转变，从技术展示转向追求经济利益。Upstream Security的报告指出，汽车信息安全事件数量的逐年上升，反映了攻击者动机的多样化和攻击手法的成熟，这要求车联网系统必须加强安全防护措施以应对不断演变的威胁。

3. 网络安全攻击成本的上升

网络安全漏洞导致的召回事件给汽车制造商带来了巨大的经济损失和品牌信誉损害。McAfee的汽车网络安全研究显示，随着汽车对软件的依赖日益增加，网络安全漏洞的潜在成本也在上升，这强调了投资于网络安全防护的必要性。

4. 动态软件物料清单的内部影响

汽车制造商在软件更新过程中因供应链组件的安全漏洞而使整个车队面临风险，Synopsys的软件安全研究显示，软件物料清单的复杂性和不断变化给汽车制造商带来了新的安全挑战，这要求制造商必须加强对供应链的安全管理。

5. 社交媒体和暗网的威胁

攻击者利用社交媒体公开讨论和分享针对车联网系统的攻击方法，Darknet的研究报告指出，暗网已成为攻击工具和零日漏洞交易的聚集地，这些都对车联网安全构成了严重威胁，需要行业采取更有效的监控和应对措施。

6. 监管现实的不断扩展

欧盟引入的更严格车辆网络安全法规要求汽车制造商投入更多资源以确保合规。普华永道的报告强调了全球范围内车辆网络安全法规的增加及其对汽车行业的深远影响，这要求汽车行业不仅要关注技术发展，还要密切关注法规变化。

7. OTA更新和V2X通信的潜在风险

某汽车品牌在进行OTA更新时出现的漏洞导致部分车辆暂时失去控制，IoT Security Foundation的专家指出，尽管OTA更新和V2X通信技术提供了便利，但同时也引入了新的安全风险，这要求在实施这些技术时必须确保充分的安全考量和防护措施。

为应对安全风险的增加，多种安全测试技术得到了快速发展。

在这些技术中，模糊测试（Fuzz Testing）已成为一种备受推崇的安全测试手段。它通过向系统输入无效、异常或随机数据，来检测系统的安全漏洞和潜在错误。这种方法的核心在于模拟各种非预期输入，以测试系统是否能够稳定应对，从而发现可能存在的安全问题。

在车联网领域中，模糊测试的重要性尤为凸显。由于车辆系统需要处理来自其他车辆、基础设施以及驾驶员的大量信息，因此确保这些系统在面对异常输入时能够保持稳定和安全至关重要。通过模糊测试，我们可以模拟出各种可能的恶意攻击场景，测试车辆系统的抵御能力，并及时修复可能存在的安全漏洞。

此外，模糊测试还有助于我们了解车辆系统在面对未知威胁时的表现。由于黑客攻击手段的不断演变，我们无法预知所有可能的攻击方式。

因此，通过模糊测试，我们可以模拟各种未知的输入情况，观察车辆系统的反应，从而为我们提供关于系统安全性的重要参考。

1. 模糊测试的方法

模糊测试是一种系统性的方法，它从定义测试目标开始，接着生成能够触发系统潜在缺陷的测试用例，然后执行这些测试用例，监控系统响应，并最终分析结果以识别安全漏洞。此过程的核心在于测试用例的生成，它必须全面覆盖边界条件和异常值，以确保测试的彻底性。

2. 变异策略

变异策略是模糊测试中用于生成测试用例的核心技术，它包括随机变异（对输入数据进行不可预测的改变）、基于规则的变异（依据特定协议或格式规则进行有目的的修改），以及基于模型的变异（利用系统模型生成接近有效但具有挑战性的输入），这些策略共同确保了测试用例的多样性和有效性。

3. 测试用例生成

测试用例的生成过程可以自动化或半自动化，依赖于结合专业知识和自动化工具的使用。自动化工具能够高效地产生大量测试用例，而专业知识则在变异策略的选择和测试结果的深入分析中发挥关键作用，确保测试的质量和深度。

4. 监控和分析

模糊测试中的监控和分析阶段至关重要，需要实时观察系统对于模糊测试输入的响应。系统对异常输入的任何非预期行为，如程序崩溃、自动重启或触发安全警告，都可能是安全漏洞的迹象，需要进一步的分析和修复。这一阶段的细致工作对于提高系统安全性至关重要。

图2.网络协议模糊测试流程

模糊测试是确保汽车电子系统安全性的关键技术，它通过对车载信息娱乐系统（IVI）、车载网联通信终端（T-BOX）、车载网关（GW）等关键零部件进行深入的协议层测试，覆盖蓝牙、Wi-Fi、TCP/IP、CAN等通信协议。

测试中，通过集成行为监测和异常检测模块，实时监控系统状态，评估组件的安全性，识别潜在的安全漏洞和系统脆弱性。

T-BOX作为通信设备，通过自动化生成模糊数据检测潜在弱点，而车载网关则通过模糊测试技术模拟异常情况，寻找软件缺陷。

整车级模糊测试进一步验证了整个车辆系统的完整性和安全性，模拟真实驾驶环境中的通信、ECU交互和传感器响应。模糊测试在车联网系统开发阶段同样重要，它能够检测源代码和WebAPI的安全漏洞，与V模型安全开发策略结合，实现安全左移，并通过持续集成/持续部署（CI/CD）流程，确保代码更新时的安全检查，及时修复安全问题。

1. 关键零部件的模糊测试

针对车载信息娱乐系统（IVI）、车载网联通信终端（T-BOX）、车载网关（GW）等核心组件进行深入的模糊测试，确保各组件的安全性与稳定性。

在此过程中，对每个组件进行协议层的详尽模糊测试，覆盖的协议范围包括但不限于蓝牙协议栈、Wi-Fi协议栈、TCP/IP协议栈，以及车载总线与车载以太网等关键通信协议。

（1）车载信息娱乐系统（IVI）

信息娱乐系统的异常监测方法是确保车辆信息娱乐系统安全的重要环节。

这一系统常常处理来自多个源的数据流，包括卫星导航、音乐播放、手机连接等。通过在系统中集成行为监测和异常检测模块来实现异常监测。

这些模块能够实时监控信息娱乐系统的内存使用情况、处理器负载以及网络流量，任何异常行为都会触发警报并记录下详细的日志信息。

车载娱乐系统涵盖了对蓝牙、Wi-Fi、USB接口以及音视频播放器等，通过对这些组件的协议层模糊测试，实现对其安全性的评估。

针对蓝牙技术，模糊测试可以检测配对过程中的中间人攻击和BLE广告包的篡改等问题；

Wi-Fi连接的测试则关注接入点的DoS攻击脆弱性和客户端连接恶意热点时的网络钓鱼风险等；

USB接口的测试着重于识别通过恶意设备进行非法访问的安全风险。

此外，对多种文件格式的音视频及文档播放器，模糊测试用于识别文件解析过程中可能存在的漏洞，这些漏洞可能被利用来执行代码注入、数据破坏或其他恶意行为，威胁车辆系统和用户数据的安全。

通过这些模糊测试点的综合应用，可以更全面地评估车载娱乐系统的安全性，及时发现并修复潜在的安全漏洞，增强整个系统的抗攻击能力。

（2）车载网联通信终端（T-BOX）

T-BOX，全称为Telematics Control Unit（遥测控制单元），是一种集成在汽车中的通信设备，它允许车辆通过蜂窝网络和其他通信技术与外部系统（如制造商的服务器、紧急服务、智能交通系统等）进行数据交换。

T-BOX通常负责多项服务，包括但不限于远程车辆监控、远程诊断、车辆跟踪、自动紧急呼叫系统、远程控制功能（如远程开锁）、实时交通信息、路侧援助和互联网接入等。

T-BOX通常直接使用多种协议，包括但不限于CAN用于车辆内部设备间的通信；GPRS/3G/4G用于无线数据传输；GPS提供定位服务；Wi-Fi和蓝牙用于短距离无线通信；车载以太网支持高速数据传输；以及TCP/IP协议用于车辆与互联网的数据交换。

此外，为了增强数据传输的安全性，T-BOX还会使用加密通信协议，如TLS/SSL，来保护传输过程中的数据不被窃取或篡改。

同时，物联网协议如MQTT或CoAP，也被用于设备间的轻量级通信，特别是在带宽受限或延迟较高的环境下。通过自动化生成大量随机数据（模糊数据）来检测T-BOX系统中的潜在弱点和漏洞。旨在暴露系统在异常或非预期输入下的行为，全面评估T-BOX在各种通信场景下的安全性和稳定性，确保T-BOX能够抵御潜在的恶意攻击或系统故障。

（3）车载网关（GW）

车载网关是汽车电子系统的关键节点，负责在车辆的不同网络和子系统之间传递信息。

通常由多种通信协议组成，包括CAN（控制器局域网）、CAN FD（CAN灵活数据速率）以及以太网（Ethernet）等。这些协议确保了车载系统的各个部分能够高效地交换信息，并实现车辆的综合控制和管理。因此，确保其稳定和安全对于整个车辆的安全性是至关重要的。

模糊测试技术通过自动化工具模拟各种异常情况，以寻找潜在的软件缺陷和安全漏洞。测试中使用的变异策略包括随机变异、基于规则的变异和基于模型的变异。这些策略生成了大量的非预期数据包，触发了车载网关潜在的异常处理行为。

例如，通过对CAN协议的模糊测试，发现当车载网关接收到异常结构的数据包时，某些功能会暂时中断。虽然这一问题不会直接导致安全事故，但它确实暴露了系统的脆弱性。此外，这些测试结果也可以用来优化网关的设计，增强其对异常情况的处理。

图3.车联网协议模糊测试

2. 整车级的模糊测试

整车级测试和关键零部件级测试主要在测试范围和复杂性上有所不同。

整车级测试涉及整个车辆系统，包括所有电子控制单元（ECU）、传感器、执行器以及车载网络等，目的是确保整个车辆系统的功能完整性、安全性和可靠性。

这种测试需要在真实或接近真实的驾驶环境中进行，模拟各种驾驶场景和条件。相比之下，关键零部件级测试则专注于单个或一组相关的零部件，验证它们在设计和制造过程中的性能和功能，测试环境相对简单，主要集中在特定零部件的性能指标和功能要求上。

在整车级别进行模糊测试时，测试点包括车辆的网络通信、ECU的交互以及传感器和执行器的响应。

首先，生成的测试用例会模拟各种异常数据包并注入整车的通信网络中，通过观察系统对这些异常输入的响应，识别潜在的安全漏洞和系统脆弱性。

在执行模糊测试的过程中，需重点观察车辆是否出现通信中断、功能异常、系统重启等现象。通过记录和分析测试过程中收集的关键数据，可以评估系统在异常情况下的稳定性和安全性。

模糊测试对评估车联网的安全性具有重要价值，因为它能够揭示系统在面对异常和潜在攻击时的反应，为车联网的安全设计和漏洞修复提供重要依据。

3. 开发阶段的模糊测试

在构建车联网系统的过程中，模糊测试是一个不可或缺的安全保障手段。这种测试方法在车联网系统的开发阶段起到了决定性的作用。

具体来说，在源代码层面，模糊测试能够对C、C++、Java等编程语言编写的代码进行深入地检测，以期发现潜在的编程失误以及安全漏洞。

不仅如此，针对车联网系统与外部服务进行数据交换和信息交互的WebAPI，模糊测试同样能对其进行全面的检验，确保这些接口能够有效地抵挡恶意攻击和非法请求。

为了确保车联网系统的安全性能得到全面的应用和提升，模糊测试通常会和V模型安全开发策略相结合，实现安全左移的策略。

这意味着在整个车联网系统的开发过程中，安全性的考量和实施将提前至开发过程的早期阶段。这样不仅可以提前发现潜在的安全问题，还可以在问题发生的初期阶段就采取相应的措施进行修补，从而避免后期的安全问题扩大化。

此外，模糊测试还可以被整合到持续集成/持续部署（CI/CD）的工作流程中。通过这种方式，每当有新的代码提交或者更新时，模糊测试都会自动运行，对新的代码进行安全检查。这样，一旦发现安全问题，就可以立即进行修复，大大降低了安全问题的修复成本。

图4.模糊测试与CI/CD的集成

智能网联汽车作为现代交通的创新成果，其安全问题已成为行业发展的关键瓶颈。

模糊测试技术的应用不仅为车联网安全提供了一种有效的评估和防护手段，更推动了汽车行业在面对网络安全挑战时的技术创新和前瞻性思考。

通过这种方法，我们能够深入理解系统的脆弱性，预测未知威胁，并在设计阶段就植入安全意识，从而促进整个行业的健康发展和信任构建。

面对不断演变的网络安全威胁，未来的研究将聚焦于模糊测试技术的进一步发展和应用。

这包括：开发更智能的模糊测试工具，利用人工智能技术优化测试用例的生成和漏洞识别过程；探索模糊测试在新兴技术领域的应用，如物联网和工业控制系统；以及推动模糊测试与安全开发生命周期的更深层次集成，实现更早期的安全风险管理。

此外，参与制定相关的安全标准和法规，将有助于提升模糊测试技术的通用性和有效性。

【参考文献】：