◆胡 文 姜立標(biāo)

智能網(wǎng)聯(lián)汽車的多級安全防護(hù)方案設(shè)計和分析

◆胡 文1姜立標(biāo)2

（1.深圳聯(lián)友科技有限公司 廣東 518000；2.華南理工大學(xué)機(jī)械與汽車工程學(xué)院 廣東 510000）

隨著無線通信技術(shù)的快速發(fā)展,物聯(lián)網(wǎng)的快速發(fā)展，汽車作為萬物互聯(lián)的一個分支也得到了快速的發(fā)展。但與此同時由于汽車接入互聯(lián)網(wǎng)，車聯(lián)網(wǎng)所帶來的安全隱患也日益明顯，尤其是牽涉到汽車的遠(yuǎn)程控制會帶來不可估量的損失。尤其是當(dāng)車從現(xiàn)在的單一車發(fā)展到無人駕駛，智能網(wǎng)聯(lián)汽車，車的各種入口更加容易被攻擊。本文作者使用了三維一體的車聯(lián)網(wǎng)安全模型方案，從“云盾”，“通信通道”，“硬件終端”三個方面提供安全防護(hù),同時通過滲透測試來不斷完善安全體系。提出在車聯(lián)網(wǎng)TBOX終端采用可信平臺技術(shù)，同時在車載總線采用安全模型總線技術(shù)以及硬件系統(tǒng)高安全等級隔離，APN技術(shù)防護(hù)通道，動態(tài)簽名方式以及對稱和非對稱加密等方法以及滲透測試等方案來進(jìn)行數(shù)據(jù)終端管理和數(shù)據(jù)通信等多重防護(hù)，達(dá)到了安全防護(hù)的第三等級，并在自主品牌車輛上成功商業(yè)化。

車聯(lián)網(wǎng)；Telematics；可信任技術(shù)；車輛安全模型；OTA

0 前言

近年來，汽車正往智能化發(fā)展，其智能化程度越高，遭受黑客攻擊的風(fēng)險性就越大。近年來的汽車攻擊事件越來越頻繁如圖1所示，汽車的安全性越來越獲得人們的關(guān)注的[1]。

圖1 黑客攻擊汽車事件

當(dāng)車聯(lián)上網(wǎng)絡(luò)后，從車的角度來看，如圖所示，會存在更多的攻擊入口，更多的攻擊點。目前主要的安全風(fēng)險如下：

（1）DoS攻擊（拒絕服務(wù)）；

（2）通信口令未加密；

（3）用戶認(rèn)證環(huán)節(jié)?。?/p>

（4）完整的數(shù)據(jù)泄露；

（5）CAN 總線信息數(shù)據(jù)堵塞通道；

（6）ECU 指令惡意模仿，篡改；

（7）未認(rèn)證的數(shù)據(jù)通道；

（8）不安去的通信協(xié)議，藍(lán)牙，WIFI，3G，4G；

（9）OBD，T-Box協(xié)議漏洞，秘鑰暴露，保密性薄弱，未加密；

（10）APP:77%汽車與手機(jī)APP 通信是不安全的，75%的App存在嚴(yán)重的隱私泄露問題，每種車載APP 存在5個以上安全漏洞；

（11）CAN總線數(shù)據(jù)無需身份認(rèn)證，甚至部分高速CAN 也可以隨意訪問；

（12）嵌入式軟件，系統(tǒng)風(fēng)險，車載設(shè)備被嵌入風(fēng)險；

（13）CP/SP鏈接風(fēng)險；

（14）TSP后臺鏈接風(fēng)險；

（15）遠(yuǎn)程更新（固件，地圖，配置，應(yīng)用），遠(yuǎn)程配置/控制風(fēng)險。

正因為如此，對于車聯(lián)網(wǎng)系統(tǒng)的防護(hù)是一個全方位的防護(hù)。

1 智能網(wǎng)聯(lián)汽車安全風(fēng)險分析

智能網(wǎng)聯(lián)汽車是物聯(lián)網(wǎng)的一個衍生，是以車內(nèi)網(wǎng)、車際網(wǎng)和車載移動互聯(lián)網(wǎng)為基礎(chǔ)，按照約定的通信協(xié)議和數(shù)據(jù)交互標(biāo)準(zhǔn)。在車-X（X:車，路，行人及互聯(lián)網(wǎng)等）之間，進(jìn)行無線通訊和信息交換的大系統(tǒng)網(wǎng)絡(luò)，是能夠?qū)崿F(xiàn)智能化交通管理、智能動態(tài)信息服務(wù)和車輛智能化控制的一體化網(wǎng)絡(luò)，是物聯(lián)網(wǎng)技術(shù)在交通領(lǐng)域的典型應(yīng)用[2]。智能網(wǎng)聯(lián)汽車的構(gòu)成生態(tài)如下：

圖2 智能網(wǎng)聯(lián)汽車生態(tài)

按照智能網(wǎng)聯(lián)汽車的構(gòu)成，我們將系統(tǒng)分成了5個層次，包括物理感知層，通信層，網(wǎng)關(guān)接入層、服務(wù)層、移動APP等幾個層次[3]；我們分別從以下幾個方面分析安全的風(fēng)險和解決方案:

圖3 安全分析和解決方案

1.1 感知層安全風(fēng)險

物理層的安全主要車聯(lián)網(wǎng)平臺硬件系統(tǒng)框架，是車聯(lián)網(wǎng)安全的最后一道防線。目前車聯(lián)網(wǎng)硬件包括OBD-4G（車載診斷儀）、車載WIFI、智能后視鏡、行車記錄儀等、ADAS（高級駕駛輔助系統(tǒng)）、車載視頻監(jiān)控系統(tǒng)、車輛傳感器、智能車鑰匙[4]。車內(nèi)的ECU單元是通過CAN,LIN等網(wǎng)絡(luò)連接起來，如果黑客攻入了車內(nèi)網(wǎng)絡(luò)，可以任意控制ECU或者通過發(fā)送大量錯誤報文導(dǎo)致CAN總線失效,最后ECU失效，因此車內(nèi)網(wǎng)絡(luò)的安全尤其重要。

1.2 網(wǎng)絡(luò)傳輸安全風(fēng)險

網(wǎng)絡(luò)層包括移動通信網(wǎng)、移動接入管理和網(wǎng)絡(luò)業(yè)務(wù)平臺。其中移動通信網(wǎng)和移動接入管理之間用APN專線進(jìn)行連接。網(wǎng)絡(luò)層的安全主要是保證各車聯(lián)網(wǎng)終端與網(wǎng)絡(luò)中心的雙向數(shù)據(jù)傳輸?shù)陌踩雷o(hù)[5]。網(wǎng)絡(luò)傳輸層以及接入層存在以下眾多的安全風(fēng)險：

圖4 安全風(fēng)險示意圖

1.3 應(yīng)用服務(wù)層安全風(fēng)險

應(yīng)用服務(wù)層的安全包括服務(wù)環(huán)境安全、服務(wù)接入安全和服務(wù)平臺安全，分別實現(xiàn)車聯(lián)網(wǎng)服務(wù)支撐基礎(chǔ)環(huán)境安全保護(hù)，行業(yè)用戶、公網(wǎng)用戶接入安全保護(hù)以及車聯(lián)網(wǎng)業(yè)務(wù)平臺安全保護(hù)[6]。

因為應(yīng)用層APP是公開于互聯(lián)網(wǎng)的，因此存在以下的安全漏洞：

（1）數(shù)據(jù)泄露；（2）修改位置信息；（3）短信活動；（4）修改傳輸數(shù)據(jù)；（5）文件操作；（6）盜取用戶賬號，服務(wù)密碼；（7）網(wǎng)絡(luò)活動；（8）劫持驗證碼；（9）行為監(jiān)控；（10）發(fā)送偽造數(shù)據(jù)。

由于車聯(lián)網(wǎng)應(yīng)用系統(tǒng)復(fù)雜多樣，某一種特定的安全技術(shù)不能完全解決應(yīng)用系統(tǒng)的所有安全問題。一些通用的應(yīng)用程序如Web Server 程序、FTP 服務(wù)程序、Email 服務(wù)程序、瀏覽器和Office 辦公軟件等自身的安全漏洞和由于配置不當(dāng)造成的安全漏洞會導(dǎo)致整個網(wǎng)絡(luò)的安全性下降。

2 系統(tǒng)方案設(shè)計

本智能網(wǎng)聯(lián)終端設(shè)備根據(jù)以上的安全風(fēng)險分析，設(shè)計了全方位的安全防護(hù)方案為如下。

首先，從整個智能網(wǎng)聯(lián)車的生態(tài)考慮，必須從各個角度進(jìn)行保護(hù)。

圖5 安全防護(hù)系統(tǒng)框圖

智能網(wǎng)聯(lián)汽車安全防御必須從以下幾個反面考慮和設(shè)計：

（1）從內(nèi)到外:從車內(nèi)部到整個生態(tài)環(huán)境安全；

（2）從小到大:從芯片安全到云安全，對應(yīng)各個點提供保護(hù)；

（3）從始到終:從安全設(shè)計到安全運(yùn)營。

防御的原則則有：

（1）架構(gòu)全面性:采用端管云安全架構(gòu)體系，考慮整個生態(tài)的安全需求。

（2）方案綜合性:層次化、多樣性的特點將更為突出，應(yīng)根據(jù)風(fēng)險分析合理實施眾深防護(hù)方案，部署合適的安全防護(hù)產(chǎn)品。

（3）技術(shù)創(chuàng)新性:隨著智能化，網(wǎng)聯(lián)化和電動化的進(jìn)一步發(fā)展，會出現(xiàn)更多新的攻擊手段，需要超越原有理念，采納新技術(shù)防護(hù)。

2.1 智能網(wǎng)聯(lián)汽車整體安全體統(tǒng)架構(gòu):

圖6 智能網(wǎng)聯(lián)汽車整體安全體統(tǒng)架構(gòu)

如上圖所示，本系統(tǒng)考慮從以上不同的防護(hù)對象，采用了不同的防護(hù)技術(shù)。在感知層，需要對總線網(wǎng)關(guān)針對Dos 報文攻擊進(jìn)行過濾，防止總線擁塞，另外針對有侵入意向的報文例如ECU刷寫報文要進(jìn)行鑒權(quán)認(rèn)證處理。在傳輸層和接入層，除了采用非對稱加密身份驗證等外，對于數(shù)據(jù)通道采用對稱加密外，還加入了可信任的汽車身份識別，以及訪問信任鏈。針對服務(wù)層應(yīng)用和移動APP，采用了app反編譯保護(hù)，組件安全保護(hù)，以及app安全評測。針對整體系統(tǒng)，還采用滲透測試來保障發(fā)現(xiàn)問題和漏洞時候進(jìn)行彌補(bǔ)。

下圖是安全防護(hù)的邏輯關(guān)系圖。

圖7 安全防護(hù)邏輯關(guān)系圖

2.2 汽車網(wǎng)絡(luò)網(wǎng)關(guān)安全防護(hù)設(shè)計

一個標(biāo)準(zhǔn)的汽車網(wǎng)絡(luò)如下，其中網(wǎng)關(guān)通過CAN，Lin以及Flexray 在各個ECU之間進(jìn)行數(shù)據(jù)交互。基于CAN 數(shù)據(jù)廣播的機(jī)制和無數(shù)據(jù)驗證的缺陷，十分容易受DoS攻擊[7]。

圖8 整車網(wǎng)絡(luò)模型

基于以上的考慮，為了防護(hù)整車網(wǎng)絡(luò)，采用安全的整車網(wǎng)絡(luò)模型，在總線應(yīng)用中加入安全控制的節(jié)點，用于保護(hù)汽車總線面免受外部網(wǎng)絡(luò)攻擊的干擾。如圖所示，在基于TBox或者ODB接口的互聯(lián)網(wǎng)汽車總線應(yīng)用系統(tǒng)中，利用安全控制（Security Control）的機(jī)制來攔截外部信息系統(tǒng)對汽車總線的直接控制，在這里主要是通過獨立網(wǎng)關(guān)（Gateway）進(jìn)行過濾DoS攻擊；對于需要進(jìn)行控制的合法請求加入可信任模型[8]。

圖9 網(wǎng)關(guān)保護(hù)模型

在這里，只有進(jìn)過認(rèn)證的用戶可以正常的從總線獲取數(shù)據(jù)，如果要向CAN總線發(fā)送數(shù)據(jù)，要先向總線保護(hù)模塊請求，只有獲得總線保護(hù)模塊認(rèn)可才可以發(fā)送報文，如下圖所示。同時，網(wǎng)關(guān)作為總線保護(hù)模塊通過控制終端設(shè)備的CAN數(shù)據(jù)來發(fā)送接口來保護(hù)汽車總線。Tbox向其請求發(fā)送數(shù)據(jù)，模塊通過算法判斷決定允許或者拒絕發(fā)送數(shù)據(jù)到總線。為了抵御終端設(shè)備可能發(fā)生的高頻率總線傳輸請求，總線保護(hù)模塊以時間來作為判斷標(biāo)準(zhǔn)。

同時在網(wǎng)關(guān)部分采用硬件隔離技術(shù)，將網(wǎng)關(guān)信息隱藏在內(nèi)，不暴露于網(wǎng)絡(luò)通訊之外，網(wǎng)關(guān)與無線通訊用不同的單片機(jī)實現(xiàn)，隔離出來，保證總線網(wǎng)絡(luò)與無線網(wǎng)路的物理隔絕，采取單元判斷轉(zhuǎn)發(fā)，在中斷程序內(nèi)部判斷診斷請求來源再作具體轉(zhuǎn)發(fā)響應(yīng)，避免總線信息泄漏，轉(zhuǎn)發(fā)錯誤，保證用戶汽車數(shù)據(jù)信息的保密性和安全性。其中處理機(jī)制如下圖所示。

圖10 總線消息處理機(jī)制

2.3 通信安全以及數(shù)據(jù)傳輸及接入防護(hù)

網(wǎng)絡(luò)結(jié)構(gòu)主要分為四個區(qū)，包括移動終端區(qū)、移動通信網(wǎng)、移動接入管理區(qū)和業(yè)務(wù)平臺區(qū)。移動終端區(qū)包括車聯(lián)網(wǎng)平臺和手持終端，移動網(wǎng)絡(luò)包括聯(lián)通基站，HLR（歸宿位置寄存器）、SGSN（服務(wù)GRPS支持節(jié)點）、GGSN（網(wǎng)關(guān)GPRS支持節(jié)點）和路由器等。移動接入管理區(qū)包括防火墻、客戶AAA和路由器。業(yè)務(wù)平臺式客戶業(yè)務(wù)平臺。其中移動通信網(wǎng)和移動接入管理區(qū)通過APN專線連接。通過企業(yè)級的網(wǎng)絡(luò)結(jié)構(gòu)，強(qiáng)有力的保證了車聯(lián)網(wǎng)平臺的安全[9]。整體網(wǎng)聯(lián)汽車傳輸如下圖所示。

圖11 網(wǎng)聯(lián)汽車數(shù)據(jù)傳輸示意圖

在這里針對WIFI，3G，4G的通信通道，采取了身份鑒權(quán)以及數(shù)據(jù)算法加密，以及代碼加密的方式。如下圖所示。

圖12 數(shù)據(jù)算法加密示意圖

2.3.1 硬件認(rèn)證防護(hù)

數(shù)據(jù)傳輸通過鑒權(quán)口令和非對稱加密公鑰雙重防護(hù)，后臺和APP之間通過鑒權(quán)口令認(rèn)證，后臺與Tbox之間已經(jīng)APP與Tbox之間通過非對稱加密的方式進(jìn)行進(jìn)行用戶認(rèn)證，認(rèn)證成功后再通過對稱加密的方式傳輸數(shù)據(jù)。其具體有以下四個特性:

（1）通訊建立時通訊雙方各生成一套非對稱加密密鑰，并且互換公鑰；

（2）非對稱加密用于傳遞對稱加密密鑰、用戶身份信息；

（3）通訊雙方同步對稱密鑰后，開始進(jìn)行正常通訊內(nèi)容的對稱加密通訊；

（4）兩MCU之間僅有串口進(jìn)行數(shù)據(jù)交換。

圖13 硬件認(rèn)證示意圖

2.3.2 用戶登錄APP 防護(hù)

用戶身份認(rèn)證通過兩種方式認(rèn)證密碼驗證和短信驗證，密碼驗證用于正常的登錄短信驗證用于注冊和設(shè)備識別碼變更。若為車主注冊，需要輸入Tbox設(shè)備號進(jìn)行綁定。身份認(rèn)證防護(hù)避免非法設(shè)備/用戶登錄進(jìn)行非法操作。

圖14 用戶登錄防護(hù)

2.3.3 疊加防護(hù)

（1）支持客戶自建AAA的接入鑒權(quán)方式，實現(xiàn)對每個撥入的號碼進(jìn)行賬號和密碼認(rèn)證，并可捆綁手機(jī)串號（IMEI）、手機(jī)卡串號（IMSI）、用戶名、密碼進(jìn)行認(rèn)證，客戶可自行分配IP地址和撥入服務(wù)器主機(jī)IP地址和域名。

（2）客戶可以在其內(nèi)網(wǎng)部署防火墻或網(wǎng)閘設(shè)備，對不同網(wǎng)絡(luò)間的通信進(jìn)行限制或隔離處理，將APN網(wǎng)絡(luò)系統(tǒng)受外界影響的風(fēng)險降到最低。

2.4 云安全及APP 安全防護(hù)

2.4.1 云安全防護(hù)

關(guān)于云安全，本系統(tǒng)采用可信服務(wù)管理的安全云，實現(xiàn)從云，管，端的安全傳輸如下圖 所示:

圖15 云安全防護(hù)示意圖

對于云端，除了上述講到的病毒防護(hù)，存儲安全防護(hù)，中間件安全防護(hù)，以及訪問控制防護(hù)外，更為重要的也是最難防護(hù)的就是黑客通過攻擊手段獲取秘鑰，而一旦獲取到秘鑰所有的防護(hù)都會被打開。因此對于秘鑰的防護(hù)尤其重要。本系統(tǒng)考慮了白盒攻擊下的秘鑰防護(hù)安全。如下圖所示:

圖16 白盒攻擊（二進(jìn)制文件格式分析）

圖17 白盒攻擊（熵攻擊）

本系統(tǒng)采用了各種密碼技術(shù)進(jìn)行加固防護(hù)，因為密碼是汽車信息安全防護(hù)的基礎(chǔ)。

采用了安全秘鑰盒的方式對用戶的秘鑰進(jìn)行防護(hù)。

為了防止白盒，黑盒，灰盒攻擊秘鑰，在一個不可控的客戶環(huán)境下，實現(xiàn)安全的秘鑰存儲；

在一個不可信的客戶端環(huán)境下，實現(xiàn)可信的邏輯計算；

如下圖所示：

（1）基于可逆的數(shù)學(xué)變換，將秘鑰隱藏在變換中，加解密秘鑰不會出現(xiàn)在內(nèi)存或者程序中；

（2）支持的白盒算法包括DES，3DES，AES，SM4等；

（3）各算法都支持ECB和CBC。

同時安全秘鑰盒滿足以下要求:

（1）一車一密，一設(shè)備一密；

（2）保護(hù)核心秘鑰＆數(shù)據(jù)；

圖18 密碼保護(hù)技術(shù)

2.4.2 用戶APP 安全防護(hù)

對于用戶app，我們采取了如下的安全生命周期的app防護(hù)。