智能網(wǎng)聯(lián)汽車的多級安全防護方案設(shè)計和分析

2017-03-14 02:24:28姜立標

網(wǎng)絡(luò)安全技術(shù)與應用 2017年2期

◆胡文姜立標

◆胡文1姜立標2

（1.深圳聯(lián)友科技有限公司廣東 518000；2.華南理工大學機械與汽車工程學院廣東 510000）

隨著無線通信技術(shù)的快速發(fā)展,物聯(lián)網(wǎng)的快速發(fā)展，汽車作為萬物互聯(lián)的一個分支也得到了快速的發(fā)展。但與此同時由于汽車接入互聯(lián)網(wǎng)，車聯(lián)網(wǎng)所帶來的安全隱患也日益明顯，尤其是牽涉到汽車的遠程控制會帶來不可估量的損失。尤其是當車從現(xiàn)在的單一車發(fā)展到無人駕駛，智能網(wǎng)聯(lián)汽車，車的各種入口更加容易被攻擊。本文作者使用了三維一體的車聯(lián)網(wǎng)安全模型方案，從“云盾”，“通信通道”，“硬件終端”三個方面提供安全防護,同時通過滲透測試來不斷完善安全體系。提出在車聯(lián)網(wǎng)TBOX終端采用可信平臺技術(shù)，同時在車載總線采用安全模型總線技術(shù)以及硬件系統(tǒng)高安全等級隔離，APN技術(shù)防護通道，動態(tài)簽名方式以及對稱和非對稱加密等方法以及滲透測試等方案來進行數(shù)據(jù)終端管理和數(shù)據(jù)通信等多重防護，達到了安全防護的第三等級，并在自主品牌車輛上成功商業(yè)化。

車聯(lián)網(wǎng)；Telematics；可信任技術(shù)；車輛安全模型；OTA

0 前言

近年來，汽車正往智能化發(fā)展，其智能化程度越高，遭受黑客攻擊的風險性就越大。近年來的汽車攻擊事件越來越頻繁如圖1所示，汽車的安全性越來越獲得人們的關(guān)注的[1]。

圖1 黑客攻擊汽車事件

當車聯(lián)上網(wǎng)絡(luò)后，從車的角度來看，如圖所示，會存在更多的攻擊入口，更多的攻擊點。目前主要的安全風險如下：

（1）DoS攻擊（拒絕服務）；

（2）通信口令未加密；

（3）用戶認證環(huán)節(jié)??；

（4）完整的數(shù)據(jù)泄露；

（5）CAN 總線信息數(shù)據(jù)堵塞通道；

（6）ECU 指令惡意模仿，篡改；

（7）未認證的數(shù)據(jù)通道；

（8）不安去的通信協(xié)議，藍牙，WIFI，3G，4G；

（9）OBD，T-Box協(xié)議漏洞，秘鑰暴露，保密性薄弱，未加密；

（10）APP:77%汽車與手機APP 通信是不安全的，75%的App存在嚴重的隱私泄露問題，每種車載APP 存在5個以上安全漏洞；

（11）CAN總線數(shù)據(jù)無需身份認證，甚至部分高速CAN 也可以隨意訪問；

（12）嵌入式軟件，系統(tǒng)風險，車載設(shè)備被嵌入風險；

（13）CP/SP鏈接風險；

（14）TSP后臺鏈接風險；

（15）遠程更新（固件，地圖，配置，應用），遠程配置/控制風險。

正因為如此，對于車聯(lián)網(wǎng)系統(tǒng)的防護是一個全方位的防護。

1 智能網(wǎng)聯(lián)汽車安全風險分析

智能網(wǎng)聯(lián)汽車是物聯(lián)網(wǎng)的一個衍生，是以車內(nèi)網(wǎng)、車際網(wǎng)和車載移動互聯(lián)網(wǎng)為基礎(chǔ)，按照約定的通信協(xié)議和數(shù)據(jù)交互標準。在車-X（X:車，路，行人及互聯(lián)網(wǎng)等）之間，進行無線通訊和信息交換的大系統(tǒng)網(wǎng)絡(luò)，是能夠?qū)崿F(xiàn)智能化交通管理、智能動態(tài)信息服務和車輛智能化控制的一體化網(wǎng)絡(luò)，是物聯(lián)網(wǎng)技術(shù)在交通領(lǐng)域的典型應用[2]。智能網(wǎng)聯(lián)汽車的構(gòu)成生態(tài)如下：

圖2 智能網(wǎng)聯(lián)汽車生態(tài)

按照智能網(wǎng)聯(lián)汽車的構(gòu)成，我們將系統(tǒng)分成了5個層次，包括物理感知層，通信層，網(wǎng)關(guān)接入層、服務層、移動APP等幾個層次[3]；我們分別從以下幾個方面分析安全的風險和解決方案:

圖3 安全分析和解決方案

1.1 感知層安全風險

物理層的安全主要車聯(lián)網(wǎng)平臺硬件系統(tǒng)框架，是車聯(lián)網(wǎng)安全的最后一道防線。目前車聯(lián)網(wǎng)硬件包括OBD-4G（車載診斷儀）、車載WIFI、智能后視鏡、行車記錄儀等、ADAS（高級駕駛輔助系統(tǒng)）、車載視頻監(jiān)控系統(tǒng)、車輛傳感器、智能車鑰匙[4]。車內(nèi)的ECU單元是通過CAN,LIN等網(wǎng)絡(luò)連接起來，如果黑客攻入了車內(nèi)網(wǎng)絡(luò)，可以任意控制ECU或者通過發(fā)送大量錯誤報文導致CAN總線失效,最后ECU失效，因此車內(nèi)網(wǎng)絡(luò)的安全尤其重要。

1.2 網(wǎng)絡(luò)傳輸安全風險

網(wǎng)絡(luò)層包括移動通信網(wǎng)、移動接入管理和網(wǎng)絡(luò)業(yè)務平臺。其中移動通信網(wǎng)和移動接入管理之間用APN專線進行連接。網(wǎng)絡(luò)層的安全主要是保證各車聯(lián)網(wǎng)終端與網(wǎng)絡(luò)中心的雙向數(shù)據(jù)傳輸?shù)陌踩雷o[5]。網(wǎng)絡(luò)傳輸層以及接入層存在以下眾多的安全風險：

圖4 安全風險示意圖

1.3 應用服務層安全風險

應用服務層的安全包括服務環(huán)境安全、服務接入安全和服務平臺安全，分別實現(xiàn)車聯(lián)網(wǎng)服務支撐基礎(chǔ)環(huán)境安全保護，行業(yè)用戶、公網(wǎng)用戶接入安全保護以及車聯(lián)網(wǎng)業(yè)務平臺安全保護[6]。

因為應用層APP是公開于互聯(lián)網(wǎng)的，因此存在以下的安全漏洞：

（1）數(shù)據(jù)泄露；（2）修改位置信息；（3）短信活動；（4）修改傳輸數(shù)據(jù)；（5）文件操作；（6）盜取用戶賬號，服務密碼；（7）網(wǎng)絡(luò)活動；（8）劫持驗證碼；（9）行為監(jiān)控；（10）發(fā)送偽造數(shù)據(jù)。

由于車聯(lián)網(wǎng)應用系統(tǒng)復雜多樣，某一種特定的安全技術(shù)不能完全解決應用系統(tǒng)的所有安全問題。一些通用的應用程序如Web Server 程序、FTP 服務程序、Email 服務程序、瀏覽器和Office 辦公軟件等自身的安全漏洞和由于配置不當造成的安全漏洞會導致整個網(wǎng)絡(luò)的安全性下降。

2 系統(tǒng)方案設(shè)計

本智能網(wǎng)聯(lián)終端設(shè)備根據(jù)以上的安全風險分析，設(shè)計了全方位的安全防護方案為如下。

首先，從整個智能網(wǎng)聯(lián)車的生態(tài)考慮，必須從各個角度進行保護。

圖5 安全防護系統(tǒng)框圖

智能網(wǎng)聯(lián)汽車安全防御必須從以下幾個反面考慮和設(shè)計：

（1）從內(nèi)到外:從車內(nèi)部到整個生態(tài)環(huán)境安全；

（2）從小到大:從芯片安全到云安全，對應各個點提供保護；

（3）從始到終:從安全設(shè)計到安全運營。

防御的原則則有：

（1）架構(gòu)全面性:采用端管云安全架構(gòu)體系，考慮整個生態(tài)的安全需求。

（2）方案綜合性:層次化、多樣性的特點將更為突出，應根據(jù)風險分析合理實施眾深防護方案，部署合適的安全防護產(chǎn)品。

（3）技術(shù)創(chuàng)新性:隨著智能化，網(wǎng)聯(lián)化和電動化的進一步發(fā)展，會出現(xiàn)更多新的攻擊手段，需要超越原有理念，采納新技術(shù)防護。

2.1 智能網(wǎng)聯(lián)汽車整體安全體統(tǒng)架構(gòu):

圖6 智能網(wǎng)聯(lián)汽車整體安全體統(tǒng)架構(gòu)

如上圖所示，本系統(tǒng)考慮從以上不同的防護對象，采用了不同的防護技術(shù)。在感知層，需要對總線網(wǎng)關(guān)針對Dos 報文攻擊進行過濾，防止總線擁塞，另外針對有侵入意向的報文例如ECU刷寫報文要進行鑒權(quán)認證處理。在傳輸層和接入層，除了采用非對稱加密身份驗證等外，對于數(shù)據(jù)通道采用對稱加密外，還加入了可信任的汽車身份識別，以及訪問信任鏈。針對服務層應用和移動APP，采用了app反編譯保護，組件安全保護，以及app安全評測。針對整體系統(tǒng)，還采用滲透測試來保障發(fā)現(xiàn)問題和漏洞時候進行彌補。

下圖是安全防護的邏輯關(guān)系圖。

圖7 安全防護邏輯關(guān)系圖

2.2 汽車網(wǎng)絡(luò)網(wǎng)關(guān)安全防護設(shè)計

一個標準的汽車網(wǎng)絡(luò)如下，其中網(wǎng)關(guān)通過CAN，Lin以及Flexray 在各個ECU之間進行數(shù)據(jù)交互。基于CAN 數(shù)據(jù)廣播的機制和無數(shù)據(jù)驗證的缺陷，十分容易受DoS攻擊[7]。

圖8 整車網(wǎng)絡(luò)模型

基于以上的考慮，為了防護整車網(wǎng)絡(luò)，采用安全的整車網(wǎng)絡(luò)模型，在總線應用中加入安全控制的節(jié)點，用于保護汽車總線面免受外部網(wǎng)絡(luò)攻擊的干擾。如圖所示，在基于TBox或者ODB接口的互聯(lián)網(wǎng)汽車總線應用系統(tǒng)中，利用安全控制（Security Control）的機制來攔截外部信息系統(tǒng)對汽車總線的直接控制，在這里主要是通過獨立網(wǎng)關(guān)（Gateway）進行過濾DoS攻擊；對于需要進行控制的合法請求加入可信任模型[8]。

圖9 網(wǎng)關(guān)保護模型

在這里，只有進過認證的用戶可以正常的從總線獲取數(shù)據(jù)，如果要向CAN總線發(fā)送數(shù)據(jù)，要先向總線保護模塊請求，只有獲得總線保護模塊認可才可以發(fā)送報文，如下圖所示。同時，網(wǎng)關(guān)作為總線保護模塊通過控制終端設(shè)備的CAN數(shù)據(jù)來發(fā)送接口來保護汽車總線。Tbox向其請求發(fā)送數(shù)據(jù)，模塊通過算法判斷決定允許或者拒絕發(fā)送數(shù)據(jù)到總線。為了抵御終端設(shè)備可能發(fā)生的高頻率總線傳輸請求，總線保護模塊以時間來作為判斷標準。

同時在網(wǎng)關(guān)部分采用硬件隔離技術(shù)，將網(wǎng)關(guān)信息隱藏在內(nèi)，不暴露于網(wǎng)絡(luò)通訊之外，網(wǎng)關(guān)與無線通訊用不同的單片機實現(xiàn)，隔離出來，保證總線網(wǎng)絡(luò)與無線網(wǎng)路的物理隔絕，采取單元判斷轉(zhuǎn)發(fā)，在中斷程序內(nèi)部判斷診斷請求來源再作具體轉(zhuǎn)發(fā)響應，避免總線信息泄漏，轉(zhuǎn)發(fā)錯誤，保證用戶汽車數(shù)據(jù)信息的保密性和安全性。其中處理機制如下圖所示。

圖10 總線消息處理機制

2.3 通信安全以及數(shù)據(jù)傳輸及接入防護

網(wǎng)絡(luò)結(jié)構(gòu)主要分為四個區(qū)，包括移動終端區(qū)、移動通信網(wǎng)、移動接入管理區(qū)和業(yè)務平臺區(qū)。移動終端區(qū)包括車聯(lián)網(wǎng)平臺和手持終端，移動網(wǎng)絡(luò)包括聯(lián)通基站，HLR（歸宿位置寄存器）、SGSN（服務GRPS支持節(jié)點）、GGSN（網(wǎng)關(guān)GPRS支持節(jié)點）和路由器等。移動接入管理區(qū)包括防火墻、客戶AAA和路由器。業(yè)務平臺式客戶業(yè)務平臺。其中移動通信網(wǎng)和移動接入管理區(qū)通過APN專線連接。通過企業(yè)級的網(wǎng)絡(luò)結(jié)構(gòu)，強有力的保證了車聯(lián)網(wǎng)平臺的安全[9]。整體網(wǎng)聯(lián)汽車傳輸如下圖所示。