智能網(wǎng)聯(lián)汽車的多級安全防護方案設(shè)計和分析

◆胡 文 姜立標

智能網(wǎng)聯(lián)汽車的多級安全防護方案設(shè)計和分析

◆胡 文1姜立標2

（1.深圳聯(lián)友科技有限公司 廣東 518000；2.華南理工大學機械與汽車工程學院 廣東 510000）

隨著無線通信技術(shù)的快速發(fā)展,物聯(lián)網(wǎng)的快速發(fā)展，汽車作為萬物互聯(lián)的一個分支也得到了快速的發(fā)展。但與此同時由于汽車接入互聯(lián)網(wǎng)，車聯(lián)網(wǎng)所帶來的安全隱患也日益明顯，尤其是牽涉到汽車的遠程控制會帶來不可估量的損失。尤其是當車從現(xiàn)在的單一車發(fā)展到無人駕駛，智能網(wǎng)聯(lián)汽車，車的各種入口更加容易被攻擊。本文作者使用了三維一體的車聯(lián)網(wǎng)安全模型方案，從“云盾”，“通信通道”，“硬件終端”三個方面提供安全防護,同時通過滲透測試來不斷完善安全體系。提出在車聯(lián)網(wǎng)TBOX終端采用可信平臺技術(shù)，同時在車載總線采用安全模型總線技術(shù)以及硬件系統(tǒng)高安全等級隔離，APN技術(shù)防護通道，動態(tài)簽名方式以及對稱和非對稱加密等方法以及滲透測試等方案來進行數(shù)據(jù)終端管理和數(shù)據(jù)通信等多重防護，達到了安全防護的第三等級，并在自主品牌車輛上成功商業(yè)化。

車聯(lián)網(wǎng)；Telematics；可信任技術(shù)；車輛安全模型；OTA

0 前言

近年來，汽車正往智能化發(fā)展，其智能化程度越高，遭受黑客攻擊的風險性就越大。近年來的汽車攻擊事件越來越頻繁如圖1所示，汽車的安全性越來越獲得人們的關(guān)注的[1]。

圖1 黑客攻擊汽車事件

當車聯(lián)上網(wǎng)絡(luò)后，從車的角度來看，如圖所示，會存在更多的攻擊入口，更多的攻擊點。目前主要的安全風險如下：

（1）DoS攻擊（拒絕服務）；

（2）通信口令未加密；

（3）用戶認證環(huán)節(jié)??；

（4）完整的數(shù)據(jù)泄露；

（5）CAN 總線信息數(shù)據(jù)堵塞通道；

（6）ECU 指令惡意模仿，篡改；

（7）未認證的數(shù)據(jù)通道；

（8）不安去的通信協(xié)議，藍牙，WIFI，3G，4G；

（9）OBD，T-Box協(xié)議漏洞，秘鑰暴露，保密性薄弱，未加密；

（10）APP:77%汽車與手機APP 通信是不安全的，75%的App存在嚴重的隱私泄露問題，每種車載APP 存在5個以上安全漏洞；

（11）CAN總線數(shù)據(jù)無需身份認證，甚至部分高速CAN 也可以隨意訪問；

（12）嵌入式軟件，系統(tǒng)風險，車載設(shè)備被嵌入風險；

（13）CP/SP鏈接風險；

（14）TSP后臺鏈接風險；

（15）遠程更新（固件，地圖，配置，應用），遠程配置/控制風險。

正因為如此，對于車聯(lián)網(wǎng)系統(tǒng)的防護是一個全方位的防護。

1 智能網(wǎng)聯(lián)汽車安全風險分析

智能網(wǎng)聯(lián)汽車是物聯(lián)網(wǎng)的一個衍生，是以車內(nèi)網(wǎng)、車際網(wǎng)和車載移動互聯(lián)網(wǎng)為基礎(chǔ)，按照約定的通信協(xié)議和數(shù)據(jù)交互標準。在車-X（X:車，路，行人及互聯(lián)網(wǎng)等）之間，進行無線通訊和信息交換的大系統(tǒng)網(wǎng)絡(luò)，是能夠?qū)崿F(xiàn)智能化交通管理、智能動態(tài)信息服務和車輛智能化控制的一體化網(wǎng)絡(luò)，是物聯(lián)網(wǎng)技術(shù)在交通領(lǐng)域的典型應用[2]。智能網(wǎng)聯(lián)汽車的構(gòu)成生態(tài)如下：

圖2 智能網(wǎng)聯(lián)汽車生態(tài)

按照智能網(wǎng)聯(lián)汽車的構(gòu)成，我們將系統(tǒng)分成了5個層次，包括物理感知層，通信層，網(wǎng)關(guān)接入層、服務層、移動APP等幾個層次[3]；我們分別從以下幾個方面分析安全的風險和解決方案:

圖3 安全分析和解決方案

1.1 感知層安全風險

物理層的安全主要車聯(lián)網(wǎng)平臺硬件系統(tǒng)框架，是車聯(lián)網(wǎng)安全的最后一道防線。目前車聯(lián)網(wǎng)硬件包括OBD-4G（車載診斷儀）、車載WIFI、智能后視鏡、行車記錄儀等、ADAS（高級駕駛輔助系統(tǒng)）、車載視頻監(jiān)控系統(tǒng)、車輛傳感器、智能車鑰匙[4]。車內(nèi)的ECU單元是通過CAN,LIN等網(wǎng)絡(luò)連接起來，如果黑客攻入了車內(nèi)網(wǎng)絡(luò)，可以任意控制ECU或者通過發(fā)送大量錯誤報文導致CAN總線失效,最后ECU失效，因此車內(nèi)網(wǎng)絡(luò)的安全尤其重要。

1.2 網(wǎng)絡(luò)傳輸安全風險

網(wǎng)絡(luò)層包括移動通信網(wǎng)、移動接入管理和網(wǎng)絡(luò)業(yè)務平臺。其中移動通信網(wǎng)和移動接入管理之間用APN專線進行連接。網(wǎng)絡(luò)層的安全主要是保證各車聯(lián)網(wǎng)終端與網(wǎng)絡(luò)中心的雙向數(shù)據(jù)傳輸?shù)陌踩雷o[5]。網(wǎng)絡(luò)傳輸層以及接入層存在以下眾多的安全風險：

圖4 安全風險示意圖

1.3 應用服務層安全風險

應用服務層的安全包括服務環(huán)境安全、服務接入安全和服務平臺安全，分別實現(xiàn)車聯(lián)網(wǎng)服務支撐基礎(chǔ)環(huán)境安全保護，行業(yè)用戶、公網(wǎng)用戶接入安全保護以及車聯(lián)網(wǎng)業(yè)務平臺安全保護[6]。

因為應用層APP是公開于互聯(lián)網(wǎng)的，因此存在以下的安全漏洞：

（1）數(shù)據(jù)泄露；（2）修改位置信息；（3）短信活動；（4）修改傳輸數(shù)據(jù)；（5）文件操作；（6）盜取用戶賬號，服務密碼；（7）網(wǎng)絡(luò)活動；（8）劫持驗證碼；（9）行為監(jiān)控；（10）發(fā)送偽造數(shù)據(jù)。

由于車聯(lián)網(wǎng)應用系統(tǒng)復雜多樣，某一種特定的安全技術(shù)不能完全解決應用系統(tǒng)的所有安全問題。一些通用的應用程序如Web Server 程序、FTP 服務程序、Email 服務程序、瀏覽器和Office 辦公軟件等自身的安全漏洞和由于配置不當造成的安全漏洞會導致整個網(wǎng)絡(luò)的安全性下降。

2 系統(tǒng)方案設(shè)計

本智能網(wǎng)聯(lián)終端設(shè)備根據(jù)以上的安全風險分析，設(shè)計了全方位的安全防護方案為如下。

首先，從整個智能網(wǎng)聯(lián)車的生態(tài)考慮，必須從各個角度進行保護。

圖5 安全防護系統(tǒng)框圖

智能網(wǎng)聯(lián)汽車安全防御必須從以下幾個反面考慮和設(shè)計：

（1）從內(nèi)到外:從車內(nèi)部到整個生態(tài)環(huán)境安全；

（2）從小到大:從芯片安全到云安全，對應各個點提供保護；

（3）從始到終:從安全設(shè)計到安全運營。

防御的原則則有：

（1）架構(gòu)全面性:采用端管云安全架構(gòu)體系，考慮整個生態(tài)的安全需求。

（2）方案綜合性:層次化、多樣性的特點將更為突出，應根據(jù)風險分析合理實施眾深防護方案，部署合適的安全防護產(chǎn)品。

（3）技術(shù)創(chuàng)新性:隨著智能化，網(wǎng)聯(lián)化和電動化的進一步發(fā)展，會出現(xiàn)更多新的攻擊手段，需要超越原有理念，采納新技術(shù)防護。

2.1 智能網(wǎng)聯(lián)汽車整體安全體統(tǒng)架構(gòu):

圖6 智能網(wǎng)聯(lián)汽車整體安全體統(tǒng)架構(gòu)

如上圖所示，本系統(tǒng)考慮從以上不同的防護對象，采用了不同的防護技術(shù)。在感知層，需要對總線網(wǎng)關(guān)針對Dos 報文攻擊進行過濾，防止總線擁塞，另外針對有侵入意向的報文例如ECU刷寫報文要進行鑒權(quán)認證處理。在傳輸層和接入層，除了采用非對稱加密身份驗證等外，對于數(shù)據(jù)通道采用對稱加密外，還加入了可信任的汽車身份識別，以及訪問信任鏈。針對服務層應用和移動APP，采用了app反編譯保護，組件安全保護，以及app安全評測。針對整體系統(tǒng)，還采用滲透測試來保障發(fā)現(xiàn)問題和漏洞時候進行彌補。

下圖是安全防護的邏輯關(guān)系圖。

圖7 安全防護邏輯關(guān)系圖

2.2 汽車網(wǎng)絡(luò)網(wǎng)關(guān)安全防護設(shè)計

一個標準的汽車網(wǎng)絡(luò)如下，其中網(wǎng)關(guān)通過CAN，Lin以及Flexray 在各個ECU之間進行數(shù)據(jù)交互。基于CAN 數(shù)據(jù)廣播的機制和無數(shù)據(jù)驗證的缺陷，十分容易受DoS攻擊[7]。

圖8 整車網(wǎng)絡(luò)模型

基于以上的考慮，為了防護整車網(wǎng)絡(luò)，采用安全的整車網(wǎng)絡(luò)模型，在總線應用中加入安全控制的節(jié)點，用于保護汽車總線面免受外部網(wǎng)絡(luò)攻擊的干擾。如圖所示，在基于TBox或者ODB接口的互聯(lián)網(wǎng)汽車總線應用系統(tǒng)中，利用安全控制（Security Control）的機制來攔截外部信息系統(tǒng)對汽車總線的直接控制，在這里主要是通過獨立網(wǎng)關(guān)（Gateway）進行過濾DoS攻擊；對于需要進行控制的合法請求加入可信任模型[8]。

圖9 網(wǎng)關(guān)保護模型

在這里，只有進過認證的用戶可以正常的從總線獲取數(shù)據(jù)，如果要向CAN總線發(fā)送數(shù)據(jù)，要先向總線保護模塊請求，只有獲得總線保護模塊認可才可以發(fā)送報文，如下圖所示。同時，網(wǎng)關(guān)作為總線保護模塊通過控制終端設(shè)備的CAN數(shù)據(jù)來發(fā)送接口來保護汽車總線。Tbox向其請求發(fā)送數(shù)據(jù)，模塊通過算法判斷決定允許或者拒絕發(fā)送數(shù)據(jù)到總線。為了抵御終端設(shè)備可能發(fā)生的高頻率總線傳輸請求，總線保護模塊以時間來作為判斷標準。

同時在網(wǎng)關(guān)部分采用硬件隔離技術(shù)，將網(wǎng)關(guān)信息隱藏在內(nèi)，不暴露于網(wǎng)絡(luò)通訊之外，網(wǎng)關(guān)與無線通訊用不同的單片機實現(xiàn)，隔離出來，保證總線網(wǎng)絡(luò)與無線網(wǎng)路的物理隔絕，采取單元判斷轉(zhuǎn)發(fā)，在中斷程序內(nèi)部判斷診斷請求來源再作具體轉(zhuǎn)發(fā)響應，避免總線信息泄漏，轉(zhuǎn)發(fā)錯誤，保證用戶汽車數(shù)據(jù)信息的保密性和安全性。其中處理機制如下圖所示。

圖10 總線消息處理機制

2.3 通信安全以及數(shù)據(jù)傳輸及接入防護

網(wǎng)絡(luò)結(jié)構(gòu)主要分為四個區(qū)，包括移動終端區(qū)、移動通信網(wǎng)、移動接入管理區(qū)和業(yè)務平臺區(qū)。移動終端區(qū)包括車聯(lián)網(wǎng)平臺和手持終端，移動網(wǎng)絡(luò)包括聯(lián)通基站，HLR（歸宿位置寄存器）、SGSN（服務GRPS支持節(jié)點）、GGSN（網(wǎng)關(guān)GPRS支持節(jié)點）和路由器等。移動接入管理區(qū)包括防火墻、客戶AAA和路由器。業(yè)務平臺式客戶業(yè)務平臺。其中移動通信網(wǎng)和移動接入管理區(qū)通過APN專線連接。通過企業(yè)級的網(wǎng)絡(luò)結(jié)構(gòu)，強有力的保證了車聯(lián)網(wǎng)平臺的安全[9]。整體網(wǎng)聯(lián)汽車傳輸如下圖所示。

圖11 網(wǎng)聯(lián)汽車數(shù)據(jù)傳輸示意圖

在這里針對WIFI，3G，4G的通信通道，采取了身份鑒權(quán)以及數(shù)據(jù)算法加密，以及代碼加密的方式。如下圖所示。

圖12 數(shù)據(jù)算法加密示意圖

2.3.1 硬件認證防護

數(shù)據(jù)傳輸通過鑒權(quán)口令和非對稱加密公鑰雙重防護，后臺和APP之間通過鑒權(quán)口令認證，后臺與Tbox之間已經(jīng)APP與Tbox之間通過非對稱加密的方式進行進行用戶認證，認證成功后再通過對稱加密的方式傳輸數(shù)據(jù)。其具體有以下四個特性:

（1）通訊建立時通訊雙方各生成一套非對稱加密密鑰，并且互換公鑰；

（2）非對稱加密用于傳遞對稱加密密鑰、用戶身份信息；

（3）通訊雙方同步對稱密鑰后，開始進行正常通訊內(nèi)容的對稱加密通訊；

（4）兩MCU之間僅有串口進行數(shù)據(jù)交換。

圖13 硬件認證示意圖

2.3.2 用戶登錄APP 防護

用戶身份認證通過兩種方式認證密碼驗證和短信驗證，密碼驗證用于正常的登錄短信驗證用于注冊和設(shè)備識別碼變更。若為車主注冊，需要輸入Tbox設(shè)備號進行綁定。身份認證防護避免非法設(shè)備/用戶登錄進行非法操作。

圖14 用戶登錄防護

2.3.3 疊加防護

（1）支持客戶自建AAA的接入鑒權(quán)方式，實現(xiàn)對每個撥入的號碼進行賬號和密碼認證，并可捆綁手機串號（IMEI）、手機卡串號（IMSI）、用戶名、密碼進行認證，客戶可自行分配IP地址和撥入服務器主機IP地址和域名。

（2）客戶可以在其內(nèi)網(wǎng)部署防火墻或網(wǎng)閘設(shè)備，對不同網(wǎng)絡(luò)間的通信進行限制或隔離處理，將APN網(wǎng)絡(luò)系統(tǒng)受外界影響的風險降到最低。

2.4 云安全及APP 安全防護

2.4.1 云安全防護

關(guān)于云安全，本系統(tǒng)采用可信服務管理的安全云，實現(xiàn)從云，管，端的安全傳輸如下圖 所示:

圖15 云安全防護示意圖

對于云端，除了上述講到的病毒防護，存儲安全防護，中間件安全防護，以及訪問控制防護外，更為重要的也是最難防護的就是黑客通過攻擊手段獲取秘鑰，而一旦獲取到秘鑰所有的防護都會被打開。因此對于秘鑰的防護尤其重要。本系統(tǒng)考慮了白盒攻擊下的秘鑰防護安全。如下圖所示:

圖16 白盒攻擊（二進制文件格式分析）

圖17 白盒攻擊（熵攻擊）

本系統(tǒng)采用了各種密碼技術(shù)進行加固防護，因為密碼是汽車信息安全防護的基礎(chǔ)。

采用了安全秘鑰盒的方式對用戶的秘鑰進行防護。

為了防止白盒，黑盒，灰盒攻擊秘鑰，在一個不可控的客戶環(huán)境下，實現(xiàn)安全的秘鑰存儲；

在一個不可信的客戶端環(huán)境下，實現(xiàn)可信的邏輯計算；

如下圖所示：

（1）基于可逆的數(shù)學變換，將秘鑰隱藏在變換中，加解密秘鑰不會出現(xiàn)在內(nèi)存或者程序中；

（2）支持的白盒算法包括DES，3DES，AES，SM4等；

（3）各算法都支持ECB和CBC。

同時安全秘鑰盒滿足以下要求:

（1）一車一密，一設(shè)備一密；

（2）保護核心秘鑰＆數(shù)據(jù)；

圖18 密碼保護技術(shù)

2.4.2 用戶APP 安全防護

對于用戶app，我們采取了如下的安全生命周期的app防護。