張曉帆，陶明明

（華晨汽車工程研究院電器工程室，遼寧 沈陽(yáng) 110141）

車聯(lián)網(wǎng)TSP平臺(tái)軟件安全建設(shè)研究與應(yīng)用

張曉帆，陶明明

（華晨汽車工程研究院電器工程室，遼寧 沈陽(yáng) 110141）

介紹車聯(lián)網(wǎng)平臺(tái)安全建設(shè)的關(guān)鍵點(diǎn)，以及從系統(tǒng)和功能層面進(jìn)行安全設(shè)計(jì)的方法與策略。

車聯(lián)網(wǎng)；TSP平臺(tái)；安全建設(shè) ；系統(tǒng)層面；功能角度

1 車聯(lián)網(wǎng)平臺(tái)安全建設(shè)簡(jiǎn)介

近兩年，隨著車聯(lián)網(wǎng)汽車的逐漸興起，黑客攻擊事件頻頻發(fā)生。作為整個(gè)車聯(lián)網(wǎng)系統(tǒng)的核心，車聯(lián)網(wǎng)平臺(tái)成為了汽車與互聯(lián)網(wǎng)之間的紐帶，同時(shí)它也面臨著諸多來(lái)自互聯(lián)網(wǎng)的黑客攻擊。如果一旦遭到攻擊或入侵，則整個(gè)系統(tǒng)內(nèi)所有聯(lián)網(wǎng)的汽車都可能會(huì)受到威脅。因此，車聯(lián)網(wǎng)平臺(tái)是車聯(lián)網(wǎng)系統(tǒng)信息安全建設(shè)的重中之重，值得我們?nèi)ド钊胙芯亢吞剿鳌?/p>

車聯(lián)網(wǎng)平臺(tái)安全建設(shè)關(guān)鍵點(diǎn)可總結(jié)為：5維、3關(guān)注。其中，5維是指基礎(chǔ)架構(gòu)安全、應(yīng)用系統(tǒng)安全功能、應(yīng)用系統(tǒng)安全開發(fā)、應(yīng)用系統(tǒng)安全運(yùn)維、應(yīng)用系統(tǒng)安全管理。3關(guān)注是指業(yè)務(wù)運(yùn)行穩(wěn)定、數(shù)據(jù)安全有效、系統(tǒng)操作安全。如圖1所示。

圖1 車聯(lián)網(wǎng)平臺(tái)安全建設(shè)關(guān)鍵點(diǎn)

車聯(lián)網(wǎng)安全能力建設(shè)的主要階段劃分及工作說(shuō)明見圖2。

2 從系統(tǒng)各層面進(jìn)行安全設(shè)計(jì)[1］

2.1 用戶層

1）輸入輸出驗(yàn)證 所有前端用戶（車機(jī)和手機(jī)）的輸入、輸出都必須經(jīng)過(guò)驗(yàn)證，驗(yàn)證內(nèi)容包含長(zhǎng)度、格式、類型等，對(duì)于各種注入攻擊的特殊字符應(yīng)進(jìn)行過(guò)濾和阻斷。

圖2 車聯(lián)網(wǎng)安全能力建設(shè)的主要階段劃分及工作說(shuō)明

2）身份認(rèn)證 保證只有合法的用戶（車機(jī)和手機(jī)）訪問(wèn)智能行車平臺(tái)，這些用戶必須經(jīng)過(guò)安全認(rèn)證。應(yīng)盡量減少智能行車平臺(tái)的入口，每個(gè)入口都必須經(jīng)過(guò)安全身份認(rèn)證。

3）訪問(wèn)控制 應(yīng)采用基于角色的訪問(wèn)控制機(jī)制。

4）會(huì)話管理 應(yīng)具備會(huì)話超時(shí)管理。對(duì)Session、Cookie的使用進(jìn)行安全設(shè)置。使用安全的Cookie，嚴(yán)禁在Cookie中明文存儲(chǔ)敏感信息。

2.2 應(yīng)用層

1）輸入輸出驗(yàn)證 所有前端用戶（車機(jī)和手機(jī)）的輸入、輸出在智能行車平臺(tái)使用之前必須驗(yàn)證有效性之后方能使用，驗(yàn)證內(nèi)容包含長(zhǎng)度、格式、類型等，對(duì)于各種注入攻擊性的特殊字符應(yīng)進(jìn)行過(guò)濾和阻斷。

2）認(rèn)證與授權(quán) 應(yīng)保證車機(jī)和手機(jī)所有對(duì)功能的調(diào)用都是合法的，且處于權(quán)限控制范圍之內(nèi)。

3）標(biāo)準(zhǔn)化處理 應(yīng)采用統(tǒng)一的標(biāo)準(zhǔn)化來(lái)管理文件、路徑、URL等的標(biāo)準(zhǔn)名稱。

4）異常處理 應(yīng)使用結(jié)構(gòu)化異常處理機(jī)制，并捕捉異常現(xiàn)象。

5）回退處理 當(dāng)數(shù)據(jù)處理出現(xiàn)錯(cuò)誤時(shí)，應(yīng)進(jìn)入回退處理流程，保證數(shù)據(jù)的一致性和完整性。

6）日志 智能行車平臺(tái)應(yīng)記錄所有車機(jī)和手機(jī)用戶的訪問(wèn)日志以及平臺(tái)自身的錯(cuò)誤日志；應(yīng)記錄應(yīng)用處理日志，尤其是關(guān)鍵業(yè)務(wù)功能的操作日志以及系統(tǒng)錯(cuò)誤日志。

7）可用性設(shè)計(jì) 應(yīng)考慮系統(tǒng)容錯(cuò)的設(shè)計(jì)要求。

2.3 數(shù)據(jù)層

1）認(rèn)證與授權(quán) 應(yīng)保證對(duì)智能行車平臺(tái)所有的數(shù)據(jù)操作都是合法的，且處于權(quán)限控制范圍之內(nèi)。

2）標(biāo)準(zhǔn)化處理 應(yīng)在數(shù)據(jù)層中將SQL中的變量強(qiáng)制轉(zhuǎn)化為字符。

3）回退處理 當(dāng)數(shù)據(jù)處理出現(xiàn)錯(cuò)誤時(shí)，應(yīng)進(jìn)入回退處理流程，保證智能行車平臺(tái)數(shù)據(jù)的一致性和完整性。

4）異常處理 應(yīng)使用結(jié)構(gòu)化異常處理機(jī)制，并捕捉異?，F(xiàn)象。

5）日志 記錄對(duì)數(shù)據(jù)庫(kù)的關(guān)鍵操作。

3 從功能角度進(jìn)行安全設(shè)計(jì)[2］

1）車輛數(shù)據(jù)模塊VehicleData（VD） VD安全設(shè)計(jì)時(shí)，需要考慮：T-BOX與智能行車平臺(tái)進(jìn)行交互，必須要保證數(shù)據(jù)在傳輸過(guò)程中無(wú)法被修改，可以采用如數(shù)字簽名或AES128加密算法等來(lái)實(shí)現(xiàn)。

2）用戶管理UserManagement(UM) 需要注意：①查詢?nèi)坑脩魰r(shí)，用戶的返回信息涉及到個(gè)人隱私的（如個(gè)人詳細(xì)身份信息等）需要進(jìn)行模糊化處理后返回給客戶端。②注冊(cè)資料等關(guān)鍵信息必須在服務(wù)器端進(jìn)行2次驗(yàn)證，如手機(jī)號(hào)碼必須是11位，發(fā)送短信驗(yàn)證手機(jī)號(hào)碼等；注冊(cè)時(shí)的信息需加密傳輸。③修改用戶信息時(shí)必須進(jìn)行2次用戶認(rèn)證。④登錄時(shí)，用戶名密碼必須加密傳輸驗(yàn)證；手機(jī)端的Session值設(shè)置失效時(shí)間為1周。⑤手機(jī)端用戶選擇注銷時(shí)，需要使用程序清理session值；如果用戶直接“X”或者“點(diǎn)擊關(guān)閉網(wǎng)頁(yè)（APP）”，則會(huì)保存session值1周；1周后失效，需要重新登錄。

3）車輛管理VehicleManagement（VM） 主要包括：①查詢?nèi)寇囕v時(shí)，車輛的返回信息涉及到車主隱私的（如車主詳細(xì)身份信息等）需要進(jìn)行模糊化處理后返回給客戶端。②新增加的車輛信息必須對(duì)車輛（車主等信息）有效性進(jìn)行識(shí)別和驗(yàn)證，以保證新增車輛是該車主名下的資產(chǎn)，并在服務(wù)器端進(jìn)行新增車輛信息的數(shù)據(jù)格式有效性的2次驗(yàn)證。③綁定、修改、刪除車輛信息時(shí)也必須進(jìn)行2次身份認(rèn)證。

4）組織管理OrganizationManagement（OM） 可以考慮以下4點(diǎn)：①查詢?nèi)拷M織時(shí)，組織的返回信息涉及到個(gè)人隱私的或者非公開的信息需要進(jìn)行模糊化處理后返回給客戶端。②查詢單個(gè)組織時(shí)，組織的返回信息涉及到個(gè)人隱私的（如組織管理者的詳細(xì)身份信息等）需要進(jìn)行模糊化處理后返回給客戶端。③創(chuàng)建組織的資料信息必須在服務(wù)器端進(jìn)行2次驗(yàn)證。④新增組織用戶，必須經(jīng)過(guò)組織者驗(yàn)證后方可加入組織。

5）通訊錄ContactManagement（CM） 要點(diǎn)如下：①執(zhí)行上傳操作時(shí)，必須在服務(wù)器端對(duì)上傳的文件進(jìn)行驗(yàn)證，確保傳送的是通訊錄文件。②執(zhí)行下載操作時(shí)，需要進(jìn)行加密或者傳輸通道加密，以防止通訊錄被篡改或被其它人非法獲得相關(guān)資料。③刪除通訊錄信息時(shí)必須進(jìn)行2次身份認(rèn)證。

6）車友群FriendsCircle（FC） FC安全設(shè)計(jì)時(shí)，主要考慮：①在聊天信息傳輸過(guò)程中，需要采用如數(shù)字簽名等技術(shù)防止數(shù)據(jù)被篡改；聊天的內(nèi)容信息不能明文進(jìn)行傳輸。②在群主對(duì)群信息進(jìn)行變更操作時(shí)，必須對(duì)用戶的操作再次進(jìn)行身份驗(yàn)證（特別是執(zhí)行有重大影響的操作時(shí)，比如：刪除群等）。③群的資料信息必須合法（不能帶有反動(dòng)、黃色等信息）。④對(duì)用戶的關(guān)鍵操作需要記錄日志。

7）發(fā)送通知Send（SD） T-BOX與智能行車平臺(tái)進(jìn)行交互，必須要保證數(shù)據(jù)在傳輸過(guò)程中無(wú)法被修改，可以采用其它方式實(shí)現(xiàn)如數(shù)字簽名或加密協(xié)議等。如果發(fā)送的信息中含有車主身份信息，則必須加密；發(fā)送手機(jī)APP時(shí)如果包含車主信息，則必須加密。發(fā)送其它推送信息則需要保證數(shù)據(jù)在傳輸過(guò)程中無(wú)法被修改，可以采用其它方式來(lái)實(shí)現(xiàn)，如數(shù)字簽名等。

8）位置共享PositionShare（PS） 該功能必須是好友才可以發(fā)起，非好友無(wú)該功能或該功能為灰色不可用。位置共享時(shí)傳輸?shù)能囍餍畔⑿枰用?。查詢位置信息時(shí)必須做好權(quán)限嚴(yán)格控制，絕對(duì)禁止非授權(quán)查詢。在位置共享過(guò)程中如果包含車主身份信息，則必須要加密傳輸。

9）保養(yǎng)VehicleCare（VC） 在發(fā)送保養(yǎng)請(qǐng)求和接收通知的過(guò)程中，確?？蛻?、車輛和保養(yǎng)信息不被篡改；如果這些數(shù)據(jù)中包含車主個(gè)人信息，則需要對(duì)車主信息加密后再進(jìn)行傳輸。 在客戶確認(rèn)手動(dòng)發(fā)起保養(yǎng)功能時(shí)，需要確認(rèn)客戶提交的車輛狀態(tài)，以防止客戶同一帳戶下有多個(gè)車輛時(shí)提交錯(cuò)車輛對(duì)象。對(duì)保養(yǎng)信息進(jìn)行變更操作時(shí)，需要確?？蛻舻纳矸?。如客戶是在極短時(shí)間內(nèi)剛登錄過(guò)（如：10 min之內(nèi)），則無(wú)需再次確認(rèn)，以免影響客戶體驗(yàn)；如客戶最近一次登錄時(shí)間超過(guò)10 min且10 min內(nèi)無(wú)任何操作，則需要重新確認(rèn)客戶身份。對(duì)用戶的關(guān)鍵操作需要記錄日志。

10）系統(tǒng)更新SystemUpdate（SU） 系統(tǒng)更新設(shè)置主動(dòng)推送功能（通知）。當(dāng)有新的功能或版本出現(xiàn)時(shí)，會(huì)提醒客戶更新。必須確保更新通道的安全性，保證傳輸?shù)臄?shù)據(jù)不可被他人修改，從而引發(fā)中間件攻擊；更新前必須進(jìn)行身份重新驗(yàn)證。傳輸過(guò)程中涉及車主信息或者車輛信息，則需要對(duì)該部分內(nèi)容進(jìn)行加密傳輸。對(duì)用戶的關(guān)鍵操作需要記錄日志。

4 系統(tǒng)審計(jì)策略

1）白盒工具掃描 白盒工具掃描是指實(shí)現(xiàn)自動(dòng)檢測(cè)代碼中的SQL注入、跨站等安全問(wèn)題。它主要包括敏感數(shù)據(jù)分析、代碼結(jié)構(gòu)分析、網(wǎng)絡(luò)嗅探、數(shù)據(jù)庫(kù)審計(jì)這幾個(gè)方面。

2）人工審計(jì)[3］人工審計(jì)包括以下幾點(diǎn)：①對(duì)工具結(jié)果進(jìn)行驗(yàn)證分析；②程序中對(duì)敏感數(shù)據(jù)的安全措施進(jìn)行確認(rèn)；③挖掘程序中對(duì)敏感數(shù)據(jù)的異?；驉阂庠L問(wèn)；④分析程序可能存在的后門或惡意程序。

3）黑盒工具掃描 黑盒工具掃描主要是模擬黑客所使用的攻擊手段來(lái)對(duì)系統(tǒng)進(jìn)行模擬入侵測(cè)試，以便盡可能地充分挖掘和暴露系統(tǒng)潛在的問(wèn)題。如：①?gòu)?qiáng)力(或非強(qiáng)力)破解弱口令或默認(rèn)的用戶名及口令；②特權(quán)提升；③利用未用的和不需要的數(shù)據(jù)庫(kù)服務(wù)和功能中的漏洞；④針對(duì)未打補(bǔ)丁的數(shù)據(jù)庫(kù)漏洞；⑤SQL注入：把SQL命令插入到Web表單的輸入域或頁(yè)面請(qǐng)求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令；⑥竊取備份(未加密)的數(shù)據(jù)等。

[1]吳同.淺析物聯(lián)網(wǎng)的安全問(wèn)題[J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010，（8）：7-8.

[2]南春麗，劉述超，周世軍，等.車聯(lián)網(wǎng)中RFID模型[J］.計(jì)算機(jī)系統(tǒng)應(yīng)用，2013，22（4）：32-35.

[3]孫小紅.車聯(lián)網(wǎng)的關(guān)鍵技術(shù)及應(yīng)用研究[J］.通信技術(shù)，2013，（4）：47-50.

（編輯 凌 波）

Research and Application of Software Security Construction for Vehicle Networking TSP Platform

ZHANG Xiao-fan，TAO Ming-ming
(Electronic Products Studio，Brilliance Auto R&D Center，Shenyang 110141，China)

This article mainly introduces key points of the vehicle networking platform security construction，as well as methods and strategies of security design from the system and function level.

vehicle networking platform； TSP； security construction； system layer； function layer

463.6

A

1003-8639（2017）03-0040-02

2016-08-24

張曉帆（1981-），遼寧綏中縣人，主任工程師，本科，主要從事車聯(lián)網(wǎng)相關(guān)的設(shè)計(jì)和開發(fā)工作。