王永峰 石教學 于永彥

摘要：汽車網(wǎng)聯(lián)化逐步提高，車內(nèi)外交互信息越來越多，之前獨立的汽車個體，在聯(lián)網(wǎng)帶來便利和多樣性功能的同時，汽車網(wǎng)絡安全問題也隨之產(chǎn)生。近些年來汽車網(wǎng)絡安全問題主要是互聯(lián)網(wǎng)公司提出，并牽頭相關(guān)標準的制定，整車廠處于被動配合的地位。本文從整車廠的角度，主要對車內(nèi)終端和車內(nèi)網(wǎng)絡通信兩個方面解析。首先對目前出現(xiàn)的汽車網(wǎng)絡安全事件分析，得出真止影響車輛的因素。然后運用STRIDE方法分析網(wǎng)絡安全威脅，最終從短期和長期措施兩個方面提出網(wǎng)絡安全防護措施。

關(guān)鍵詞：安全漏洞;STR|DE;TBOX;CAN總線

1背景

汽車網(wǎng)聯(lián)化程度提高，網(wǎng)聯(lián)功能逐漸增多。汽車由原來的封閉個體變成了丌放的移動終端，車車通信和車后臺交互信息增多，給生活帶來了便利，但同時也引入了網(wǎng)絡安全的風險。隨著近幾年汽車網(wǎng)絡安全事件增多，對于該問題的關(guān)注逐步提升。

整車廠對于網(wǎng)絡安全相關(guān)知識儲備及意識小足，互聯(lián)網(wǎng)公司及個人對于網(wǎng)聯(lián)汽車的攻擊興趣高，便于成名，危害火。這些公司和個人確實發(fā)現(xiàn)了一些漏洞，部分也在極力倡導建市網(wǎng)絡安傘相關(guān)標準和法律，目前主要是將互聯(lián)網(wǎng)的一套標準直接照搬到汽車上，存在一定的弊端。所以本文從整車廠的角度丌展汽車網(wǎng)絡安傘漏洞的研究，并提出防護措施。

2 國內(nèi)外網(wǎng)絡安全現(xiàn)狀

2.1汽車網(wǎng)絡安全定義

根據(jù)同際標準化組織（ISO）定義，網(wǎng)絡信息安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡系統(tǒng)正常運行，從而確保網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性。網(wǎng)絡信息安傘包含：物理安傘、網(wǎng)絡安全、云平臺安全、系統(tǒng)安全、應用安全和數(shù)據(jù)安傘6個層面^[1]。日前無統(tǒng)一標準定義汽車網(wǎng)絡信息安全

2.2 網(wǎng)絡安全事件分析

根據(jù)近些年發(fā)生的網(wǎng)絡安傘事件，發(fā)現(xiàn)汽車網(wǎng)絡安全旱現(xiàn)以下趨勢：

2.國內(nèi)外各大汽車品牌均有涉及;

3從單一車輛攻擊到大規(guī)模的可復制性攻擊;

4.從單體入侵到車輛可被控制。

網(wǎng)絡攻擊從攻擊位置分為本地物理攻擊和遠程攻擊。

本地攻擊常見方式足通過在車內(nèi)OBD接口接人設(shè)備，對整車CAN網(wǎng)絡進行監(jiān)測和發(fā)送指令。實施本地攻擊的前提是進入車輛，并且在0BD接口接入設(shè)備，該方式發(fā)現(xiàn)的網(wǎng)絡漏洞發(fā)生的可能性小，不在本文研究范疇。本文豐要研究具備可復制性的遠程攻擊。

實施遠程攻擊一般步驟為遠程連接車輛、確定攻出日標、發(fā)現(xiàn)可用的遠程服務、遠程竊取車輛的數(shù)據(jù)或者遠程攻擊。

車主主要關(guān)注的是車輛安全、隱私保護。

3 漏洞分析

系統(tǒng)主要包括車內(nèi)終端（TBOX）、網(wǎng)絡、后臺，TBOX通過CAN總線與車內(nèi)其他控制器進行交互。

3.1車內(nèi)終端

1） TBOX

一般車輛都是通過TBOX與車外交互，TBOX是整車的第一道防護。

使用STRIDE方法進行網(wǎng)絡安全威脅分析，具體如下^[2]：

2）網(wǎng)關(guān)

車內(nèi)網(wǎng)關(guān)主要承擔不同網(wǎng)段之問CAN報文和信號的轉(zhuǎn)發(fā)，從而滿足整車中不同網(wǎng)段控制器的信息交互和功能。網(wǎng)關(guān)是整車的第二道防護。

如果與車外交互設(shè)備，如TBOX被入侵，通過TBOX往整車上發(fā)送非法CAN報文，如果網(wǎng)關(guān)不加以過濾，直接將這些報文轉(zhuǎn)發(fā)到網(wǎng)段2上，則可能可以對車輛的加速、制動、轉(zhuǎn)向進行控制。

3.2車內(nèi)通信

目前絕大多數(shù)車輛的車內(nèi)總線還是以CAN為主，尤其是德系車，總線控制器和涵蓋的功能包括動力、車身、娛樂等領(lǐng)域。

整車廠CAN設(shè)計的物理層和數(shù)據(jù)鏈路層沿用博世CAN2.0，應用層采用自定義的方式。CAN信號的傳輸采用明文和廣播方式，任何連接到整車CAN中的節(jié)點均可以收發(fā)信息，從而獲取車輛實時數(shù)據(jù)，并控制車輛”^[3]。

3.3網(wǎng)絡、后臺

該部分的設(shè)計與車輛本身關(guān)系不大，汽車無特殊要求，可以沿用現(xiàn)有互聯(lián)網(wǎng)相關(guān)的設(shè)計要求，本文不做贅述。

4 防護措施

4.1短期

4.1.1終端的防護

1）硬件保護

安全的調(diào)試接口^[4]

表9 禁止不使用的端口鄺艮制調(diào)試端口使用

安全boot

Boot過程中的根密鑰保存在控制器的rom中或免收干擾的硬件中;

關(guān)閉debug接口或者進入恢復模式前需要鑒權(quán)。

篡改保護

芯片檢測到暴力拆解，會采取相應措施：如擦除key，重置或發(fā)出警報。

2）軟件保護^[5]

代碼分析保護：代碼混淆;

安全訪問控制：網(wǎng)絡訪問、存儲訪問;

應用隔離：一個應用的漏洞不能影響其他應用使用密鑰的安全通道（對稱、非對稱）;

安全升級：加密機制、安裝完成前不能再次訪問;

用戶管理：l、不同用戶采用不同的安全等級;2、不能使用匿名用戶。

4.1.2車內(nèi)網(wǎng)關(guān)的防護

網(wǎng)關(guān)過濾：對于非預期的報文信號直接丟棄，不予轉(zhuǎn)發(fā)和處理;

身份認證：轉(zhuǎn)發(fā)前對源節(jié)點進行鑒權(quán)，保證發(fā)送節(jié)點的合法性。

4.1.3車內(nèi)CAN通信防護

總線隔離：不同安全級別的部件要放在不同的網(wǎng)絡中;

車內(nèi)CAN通信加密，尤其是對于安全相關(guān)的信號，增加校驗和數(shù)據(jù)加密。

4.2長期

建立響應機制：主動防御，建立渠道收集市場上的漏洞信息，成立專門的團隊來處理網(wǎng)絡安全相關(guān)的緊急事件;

正向開發(fā)：在系統(tǒng)設(shè)計的初始階段，綜合考慮網(wǎng)絡安全的要素，并在開發(fā)過程中不斷修正。開發(fā)過程中各階段對網(wǎng)絡安全進行測試。

5 總結(jié)

本文主要進行智能網(wǎng)聯(lián)汽車的網(wǎng)絡安全漏洞和防護措施進行研究。首先分析了市場上智能網(wǎng)絡汽車發(fā)生的網(wǎng)絡安全事件，使用STRIDE方法梳理出網(wǎng)絡安全威脅，并提出網(wǎng)絡安全防護措施。本次研究的關(guān)注重點主要是車內(nèi)終端和車內(nèi)通信，從整車廠能夠管控的部分進行重點研究，提出解決方案。因為網(wǎng)絡安全對于整車廠是個新事物，后續(xù)將隨著研究的深入逐步完善相關(guān)設(shè)計。

參考文獻：

[1]吳多勝，王帆.網(wǎng)絡安全從入門到精通[M].電子工業(yè)出版社.2008

[2]張靈通.信息網(wǎng)絡安全在汽車行業(yè)的應用[J].信息安全與通信保密，2009（5）：15-15

[3]孟娜.基于CAN總線的汽車網(wǎng)絡安全系統(tǒng)的研究[J].沈陽理工大學，2011年12期

[4]盧卡.戴爾格羅斯，張濤.車用安全通信：協(xié)議、安全及隱私[M].北京理工出版社，2015年4月

[5]林曉東，陸榮幸.車載ad hoc網(wǎng)絡的安全性與隱私保護[M].機械工業(yè)出版社，2016年10月