車聯(lián)網(wǎng)云端平臺安全策略

高夕冉，王文揚(yáng)，張東偉

（中國汽車技術(shù)研究中心汽車工程研究院第五開發(fā)部，天津 300300）

車聯(lián)網(wǎng)云端平臺安全策略

高夕冉，王文揚(yáng)，張東偉

（中國汽車技術(shù)研究中心汽車工程研究院第五開發(fā)部，天津 300300）

介紹車聯(lián)網(wǎng)云端平臺、車載T-BOX和移動應(yīng)用端以及通信安全防護(hù)策略。

安全；云平臺；T-BOX；移動應(yīng)用

車聯(lián)網(wǎng)是以車內(nèi)網(wǎng)、車際網(wǎng)和車載移動互聯(lián)網(wǎng)為基礎(chǔ)，按照約定的通信協(xié)議和數(shù)據(jù)交互標(biāo)準(zhǔn)，在車-X（X：車、路、行人及互聯(lián)網(wǎng)等）之間，進(jìn)行無線通信和信息交換的大系統(tǒng)網(wǎng)絡(luò)，是能夠?qū)崿F(xiàn)智能化交通管理、智能動態(tài)信息服務(wù)和車輛智能化控制的一體化網(wǎng)絡(luò)，是物聯(lián)網(wǎng)技術(shù)在交通系統(tǒng)領(lǐng)域的典型應(yīng)用。

車聯(lián)網(wǎng)中的每一輛車以及車主的信息無時無刻地連接在網(wǎng)絡(luò)中，那么其信息可能被竊取，同時無線通信技術(shù)實現(xiàn)云端與車載終端、移動客戶端通信的同時，也面臨著木馬、病毒以及黑客攻擊等安全威脅。

1 相關(guān)技術(shù)

圖1 車聯(lián)網(wǎng)通信架構(gòu)圖

用戶通過移動端APP發(fā)送控制命令后，平臺會發(fā)送監(jiān)控請求指令到車載T-BOX，車輛在獲取到控制指令后，通過總線發(fā)送控制報文實現(xiàn)對車輛的控制，最后將操作結(jié)果反饋給用戶的移動APP，如圖1所示。

可見，中心對設(shè)備來說可能是非法中心，非法中心可以通過路由欺騙等手段連接終端，那么終端上傳的數(shù)據(jù)均被非法中心截獲；而對于中心來說，設(shè)備也可能不是合法設(shè)備，非法設(shè)備通過偽造連入中心，使合法設(shè)備掉線或其與中心的交互信息被竊聽，即在通信過程中數(shù)據(jù)傳輸被攻擊。汽車主機(jī)也存在著一定的風(fēng)險，如通過OBD等物理接口，對汽車功能造成影響。車聯(lián)網(wǎng)終端的業(yè)務(wù)關(guān)聯(lián)的通信接口很多，在手機(jī)與服務(wù)器、服務(wù)器與車載設(shè)備、車載設(shè)備自身的通信，以及車輛內(nèi)部總線上的諸多接口都面臨著安全問題。本文主要就終端——車載T-BOX、移動客戶端APP與云端的通信網(wǎng)絡(luò)安全進(jìn)行研究。

1.1密鑰管理

遵照國標(biāo)GB／T 30290.3—2013安全接入?yún)f(xié)議，有以下特點(diǎn)：①根密鑰在安全芯片中不可讀取、復(fù)制、更改，高安全性。②根密鑰只用來加密接入密鑰AK，由根密鑰直接產(chǎn)生的密文數(shù)量很少，大大降低反向破解根密鑰的概率。③每次接入密鑰AK不相同，同時采用隨機(jī)數(shù)認(rèn)證、同一設(shè)備認(rèn)證過程不可復(fù)制，即使所有數(shù)據(jù)被劫取，也無法用到下一次認(rèn)證過程中。認(rèn)證過程如圖2所示。

1）車臺與中心之間用根密鑰加密傳輸認(rèn)證密鑰AK。

2）設(shè)備認(rèn)證中心產(chǎn)生隨機(jī)數(shù)種子RS和隨機(jī)詢問RAND1發(fā)送給車臺的安全芯片。

3）安全芯片根據(jù)RS和AK通過加密算法VA11計算出會話密鑰KS，再根據(jù)RAND1通過加密算法VA12計算出響應(yīng)RES1和導(dǎo)出密鑰DCK1，終端將計算出的RES1發(fā)送給設(shè)備認(rèn)證中心。

4）設(shè)備認(rèn)證中心根據(jù)RS和AK通過算法VA11計算出會話密鑰KS，再根據(jù)RAND1通過算法VA12計算出預(yù)期響應(yīng)XRES1和導(dǎo)出密鑰DCK1。中心把終端發(fā)來的RES1與計算出的XRES1進(jìn)行比較，如果值相等，則設(shè)置運(yùn)算結(jié)果R1為真，并發(fā)送給車臺，設(shè)備認(rèn)證成功。

密鑰管理中心服務(wù)器的數(shù)據(jù)庫中，保存有每臺TBOX的唯一性標(biāo)識（ID號、SIM卡號、型號等），以及分配給該T-BOX的密鑰密文，密鑰管理如圖3所示。

圖2 認(rèn)證過程

圖3 密鑰管理圖

涉及某臺T-BOX數(shù)據(jù)的解密運(yùn)算時，接入認(rèn)證平臺或加解密服務(wù)器通過查表得到的密鑰密文，并將密文與該T-BOX對應(yīng)的密鑰密文送入服務(wù)器密碼機(jī)，密碼機(jī)先用保護(hù)密鑰對密鑰密文進(jìn)行解密得到密鑰，然后在密碼機(jī)內(nèi)部用密鑰對數(shù)據(jù)進(jìn)行解密輸出。

該方案中密碼明文不會存在于密碼機(jī)以外的任何地方，密碼機(jī)具有內(nèi)部數(shù)據(jù)不可讀取特性，因此具有極高的數(shù)據(jù)保密性和安全性。

1.2源代碼保護(hù)技術(shù)

對未采取源代碼保護(hù)措施的C代碼程序逆向攻擊測試，可以清晰地看到代碼的層次結(jié)構(gòu)、條件、判斷、循環(huán)、控制結(jié)構(gòu)、調(diào)用關(guān)系等。

控制流平坦化技術(shù)改變原程序的邏輯結(jié)構(gòu)，使控制結(jié)構(gòu)扁平化，去除程序結(jié)構(gòu)痕跡，隱藏真實的跳轉(zhuǎn)地址，從而增加破解者重構(gòu)控制流的難度。

1）結(jié)構(gòu)混淆合并分解類、模塊、函數(shù)隱藏類結(jié)構(gòu)。

2）數(shù)據(jù)混淆字符串常量敏感數(shù)據(jù)混淆加密隱藏明文。

3）控制流混淆隱藏程序控制流結(jié)構(gòu)（if while）扁平化。

4）動態(tài)混淆插入解釋器，在運(yùn)行時改變自身代碼。

平坦化方法包括控制結(jié)構(gòu)變換，for語句、if-else語句、while語句這些層次清晰的語句轉(zhuǎn)換為平坦的switch-case語句，隱藏各case中的跳轉(zhuǎn)條件，插入冗余代碼，隱蔽核心代碼等安全手段。

1.3白盒加密技術(shù)

白盒密碼技術(shù)包括置亂編碼、查找表、仿射變換等，密碼算法的執(zhí)行過程通過查找表格和進(jìn)行仿射變換來實現(xiàn)。這些查找表是與密鑰相關(guān)的，密鑰隱藏在表格中。

通用加密算法一般是key輸入進(jìn)去，在內(nèi)存結(jié)構(gòu)能看到亦或操作每一個加密步驟，每一步產(chǎn)生用來加解密的子key，都容易在內(nèi)存中被截取。而白盒化加密過程為一系列查找表的過程，查找表顯示了一些隨機(jī)性信息，但是每次生成的查找表是不同的，也就是不同密鑰生成的查找表不同，相同的密鑰兩次生成的查找表也不同。

1.4安全認(rèn)證

安全認(rèn)證技術(shù)在開放的網(wǎng)絡(luò)通信過程中，借助可靠的驗證方式確保通信雙方的合法身份，識別偽造，阻止非法用戶的接入和訪問。

2 本文策略

云端平臺中的車聯(lián)網(wǎng)服務(wù)器組采用基于DES安全算法的軟加密機(jī)制和硬加密設(shè)備（加密機(jī)）結(jié)合的方式。云平臺通過局域網(wǎng)實現(xiàn)平臺內(nèi)部通信訪問、資源共享，通過通信運(yùn)營商如移動、聯(lián)通、電信等與終端通信，云端網(wǎng)絡(luò)層采用企業(yè)級硬件防火墻，將網(wǎng)絡(luò)和外部系統(tǒng)隔離，抵御DDos攻擊等行為。

云平臺實現(xiàn)與終端如車載T-BOX、用戶手機(jī)、網(wǎng)頁用戶的通信，整體框架如圖4所示。

用戶手機(jī)APP端采用三重防護(hù)，源代碼保護(hù)、SO／SDK加固、APP安全加固來保護(hù)設(shè)備的核心代碼IP不被竊取，加密算法不被破解，密鑰不被破解，控制協(xié)議、后臺交互邏輯不被暴露等。如若應(yīng)用被破解，后果將很嚴(yán)重，攻擊者可以劫持和控制設(shè)備，獲取用戶信息，并且暴露了系統(tǒng)的漏洞，進(jìn)而攻擊系統(tǒng)后臺，從而控制系統(tǒng)。

圖4 云平臺安全框架

車載終端T-BOX采用源代碼保護(hù)和白盒AES加密技術(shù)，對C進(jìn)行源代碼保護(hù)，保護(hù)后再調(diào)用，防止競爭對手抄襲復(fù)制，偽造設(shè)備，發(fā)送惡意指令，固件改寫和機(jī)密信息改寫等，白盒AES加密技術(shù)與源碼保護(hù)相配合，保護(hù)終端與云臺、用戶手機(jī)的通信安全。每臺T-BOX內(nèi)置一出廠隨機(jī)密鑰，T-BOX收到命令字后應(yīng)利用隨機(jī)密鑰做MAC校驗，校驗內(nèi)容包括密鑰、命令字、時間戳。HMAC運(yùn)算利用哈希算法以一個密鑰和一個消息作為輸入，生成一個消息摘要作為輸出。

云平臺采用專用安全接入平臺，終端、用戶手機(jī)和網(wǎng)頁與平臺訪問需要接入認(rèn)證平臺進(jìn)行雙向安全認(rèn)證，將原有車聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)與對外通信接口進(jìn)行隔離，防止非法終端接入、非法數(shù)據(jù)注入等安全問題。單獨(dú)的密鑰管理子系統(tǒng)實現(xiàn)了一車一密的嚴(yán)格身份管理。企業(yè)級防火墻是為了防范泛洪飽和攻擊等TCP／IP攻擊。同時，云內(nèi)采用進(jìn)行日志、數(shù)據(jù)等內(nèi)容的安全審計和安全檢測的行為審計系統(tǒng)。

云平臺與車載TBOX、移動客戶端的通信均需要先進(jìn)行雙向安全認(rèn)證，認(rèn)證通過再傳輸信息，通信協(xié)議保護(hù)采用白盒AES加密技術(shù)。

3 結(jié)束語

車聯(lián)網(wǎng)是未來智能交通的核心，車聯(lián)網(wǎng)的安全是其發(fā)展的前提和基礎(chǔ)，備受人們關(guān)注。本文先介紹了安全防護(hù)技術(shù)如密鑰管理技術(shù)、源代碼保護(hù)技術(shù)、白盒加密技術(shù)和安全認(rèn)證技術(shù)，隨后對端-管-云整個系統(tǒng)中的APP、云端、終端T-BOX的安全簡述了安全策略，為平臺安全運(yùn)行提供參考。

［1］曹天杰，張永平，畢方明，等.計算機(jī)系統(tǒng)安全（第2版）［M］.北京：高等教育出版社，2007.

［2］張然，錢德沛.防火墻與侵入檢測技術(shù)［J］.計算機(jī)應(yīng)用研究，2001，18（1）：4-7.

［3］肖雅瑩，來學(xué)嘉.白盒密碼及AES與SMS4算法的實現(xiàn)［J］.信息安全與通信保密，2010（2）：45-48.

［4］Tolhuizen，LMG.Improved cryptanalysis of an AES implementa-tion［C］／／Proceedings of the 33rd WIC Symposium on Information Theoryin the Benelux，Boekelo，The Netherlands，May 24-25，2012.［S.l.］：［s. n.］，2012.

［5］Chow，S.and Eisen，P.and Johnson，H.and van Oorschot，P.C..A White-Box DES Implementation for DRM Applications［J］.Lecture notes in computer science，2003，2696：1-15.

（編輯 楊景）

Security Strategy of Cloud Platform for Internet of Vehicle

GAO Xi-ran，WANG Wen-yang，ZHANG Dong-wei
（Fifth Development Department of Automotive Engineering Research Institute，China Automotive Technology&Research Center，Tianjin 300300，China）

This article introduces cloud platform for Internet of Vehicle，T-BOX and mobile application，as well as communication security strategy of them.

security；platform；T-BOX；mobile applications

U463.6

：A

1003－8639（2016）12－0017－03

2016-10-19