摘 要 智能網(wǎng)聯(lián)汽車在國家政策的支持下快速發(fā)展， T-BOX作為智能網(wǎng)聯(lián)汽車的遠(yuǎn)程通訊終端設(shè)備，其安全行越來越受到主機廠以及相關(guān)硬件開發(fā)廠家的重視并成立專項研究。本文從T-BOX的硬件安全、操作系統(tǒng)安全、應(yīng)用安全等方面研究，定義了如何從架構(gòu)設(shè)計層面來規(guī)范T-BOX的安全，從而保證了智能網(wǎng)聯(lián)汽車安全。

關(guān)鍵詞 車聯(lián)網(wǎng)安全 操作系統(tǒng)安全 硬件安全 通信安全

中圖分類號：TP273文獻(xiàn)標(biāo)識碼：A

汽車作為出行必不可少的交通工具，電動化、網(wǎng)聯(lián)化、智能化、共享化的汽車將是自動駕駛是汽車發(fā)展的重要方向。其中打造智能化網(wǎng)聯(lián)化的汽車是現(xiàn)階段的重要發(fā)展趨勢，也是通向自動駕駛的必經(jīng)過程。智能網(wǎng)聯(lián)汽車將依車載傳感器、控制器、執(zhí)行器等車端電子設(shè)備，通過3G、4G、LTE-V、5G等網(wǎng)絡(luò)技術(shù)，實現(xiàn)車與萬物 （車、路、人、物、云等）信息交換、信息共享，智能終端通過與復(fù)雜的環(huán)境感知、深度學(xué)習(xí)、智能化決策、達(dá)到車輛自主協(xié)調(diào)控制。其中，T-box遠(yuǎn)程通訊智能終端為車輛與平臺搭建了信息交互的橋梁，對車輛內(nèi)部，T-box通過CAN、LIN、MOST、以太網(wǎng)等汽車傳輸協(xié)議實現(xiàn)指令和信息的傳遞。同時， T-box通過內(nèi)置的通訊模塊，通過標(biāo)準(zhǔn)協(xié)議與平臺進(jìn)行數(shù)據(jù)傳輸、語音交互、IP交互、短信交互，并將平臺第三方資源通過T-box提供的安全通道實現(xiàn)信息在車輛端共享。本文描述了T-box自身安全、硬件安全、操作系統(tǒng) 、接口安全、密碼應(yīng)用、通信安全等策略。定義了智能車載終端T-box信息安全技術(shù)要求。

T-BOX 主要面臨幾方面的安全威脅：

一是逆向攻擊，攻擊者通過對T-box固件的逆向攻擊，獲取固件加密算法和密鑰規(guī)則，破解算法，對數(shù)據(jù)進(jìn)行監(jiān)聽、篡改、破壞。

二是信息泄露，T-BOX 出廠的時候是留有調(diào)試接口的，攻擊者通過 T-BOX 預(yù)留調(diào)試接口就可以讀取內(nèi)部數(shù)據(jù)，從而導(dǎo)致信息泄露。

三是網(wǎng)絡(luò)攻擊，攻擊者通過偽基站、DNS 、劫持等手段劫持 T-BOX信息會話，通過虛擬偽造發(fā)送控制指令對汽車進(jìn)行信息獲取及控制。

四是OTA升級，（1）網(wǎng)絡(luò)傳輸升級包截取;（2）簽名漏洞，刷入篡改固件;（3）平臺秘鑰、KPI泄露，發(fā)送破壞升級包;（4）升級策略、秘鑰管理不規(guī)范。

五是硬件接口， T- box在設(shè)計時沒有采用防呆的接口設(shè)計，用戶在更換接口插件時， 系統(tǒng)無法正常工作或燒毀，導(dǎo)致整車安全和用戶的財產(chǎn)、信息損失。

1 T-box安全架構(gòu)及目標(biāo)

如上圖所示，T-box通訊智能終端主要有對車端（對內(nèi)）通信和對平臺端（對外）通信兩種方式組成。對內(nèi)通信：（1）通過CAN、LIN、MOST等車輛傳輸協(xié)議和其他ECU交互（BMS、BCM、空調(diào)系統(tǒng)、VCU等）;（2）通過以太網(wǎng)和ADAS自動駕駛輔助系統(tǒng)、視覺智能系統(tǒng)交互;（3）通過USB與車機HU交互;對外通信：連接車聯(lián)網(wǎng)平臺，通過標(biāo)準(zhǔn)協(xié)議進(jìn)行信息的發(fā)送與接收。智能網(wǎng)聯(lián)化汽車整體安全系統(tǒng)由云端安全、通道安全、車輛安全組成， T- box作為汽車的信息接收和發(fā)送的重要節(jié)點，其安全性不亞于汽車中的CAN網(wǎng)關(guān)，是汽車安全的重要屏障，分析其安全也是汽車安全的重要環(huán)節(jié)之一，T-box安全包括硬件安全（接口、芯片等）、操作系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全（存儲、發(fā)送、接收）、平臺交互通信安全、終端ECU交互通信安全。

T-box設(shè)計安全整體目標(biāo)是指通過對 T- box各交互層的執(zhí)行安全措施，避免由于 T- box安全問題造成整車傷害，造成用戶生命受到威脅和財產(chǎn)損失;同時防止攻擊者通過非法手段竊取用戶信息、車輛信息造成信息安全事件發(fā)生。整體設(shè)計目標(biāo)包括：硬件安全目標(biāo)、操作系統(tǒng)安全目標(biāo)、應(yīng)用安全目標(biāo)、數(shù)據(jù)安全目標(biāo)、終端ECU交互通信安全目標(biāo)、平臺交互通信安全目標(biāo)。

硬件安全目標(biāo)：T- box智能終端作為重要的交互硬件，涉及到身份認(rèn)證、鑒權(quán)、權(quán)限管理、秘鑰管理存儲，與平臺的通訊芯片、操作系統(tǒng)/固件更新都會存儲漏洞。攻擊者將通過對T-box硬件的攻擊竊取信息，導(dǎo)致用戶信息和車輛信息泄露，造成信息安全事件。 T- box在硬件架構(gòu)設(shè)計時，需要考慮到電路和芯片上實現(xiàn)數(shù)據(jù)運算和存儲等功能時的安全性，增加相關(guān)硬件（ MCU/ ?CPU、 FLASH、 SENSOR、 GPS、3 G/4 G、 WiFi/藍(lán)牙等模塊）加密芯片對抗多種攻擊。 同時，在硬件等級要求上達(dá)到國家相關(guān)標(biāo)準(zhǔn)（安全等級ASIL D），甚至更高規(guī)格要求。

操作系統(tǒng)安全目標(biāo)：操作系統(tǒng)依據(jù)安全系統(tǒng)策略、操作權(quán)限對操作進(jìn)程進(jìn)行的身份權(quán)鑒權(quán)和訪問控制機制， 防止非法進(jìn)程對系統(tǒng)資源訪問和控制（篡改、竊取、破壞、竊聽、重放、偽造、中間攻擊等多重威脅），確保操作系統(tǒng)文件信息的可靠性、有效密性、完整性和可認(rèn)證性，并循壞監(jiān)測和記錄系統(tǒng)資源的訪問，操作系統(tǒng)系統(tǒng)能夠按照預(yù)期目標(biāo)正常工作，當(dāng)系統(tǒng)受到非授權(quán)用戶異常操作、破壞時，系統(tǒng)文件信息都處于安全狀態(tài)，不被非法獲取、篡改和破壞。

應(yīng)用安全目標(biāo)： T- box與平臺和車機應(yīng)用的信息交互需要通過身份鑒別、權(quán)限管理。軟件具備安全標(biāo)記、訪問控制、可信路徑、抗抵性、容錯等保護(hù)措施，通過系列的安全保護(hù)措施，確保應(yīng)用與平臺、車機交互數(shù)據(jù)的通信安全， 保證用戶使用應(yīng)用服務(wù)安全和 T- box自身應(yīng)用的安全（啟動、升級、登錄、登出、遠(yuǎn)程控制等模式下的安全）。

數(shù)據(jù)安全目標(biāo)： 對T- box所采集、存儲、處理、傳輸過程中產(chǎn)生的整車數(shù)據(jù)和用戶數(shù)據(jù)的安全性、有效性、完整性、真實性需要進(jìn)行安全保護(hù)， 同時，應(yīng)能夠?qū)κ鼙Ｗo(hù)資源提供備份機制，當(dāng)數(shù)據(jù)丟失或破壞時，應(yīng)能提供數(shù)據(jù)恢復(fù)功能。

終端ECU交互通信安全目標(biāo)：指 T- box通過 CAN、 LIN、 MOST、以太網(wǎng)、 ?USB等方式和網(wǎng)關(guān)、其他 ECU之威脅和內(nèi)部網(wǎng)絡(luò)之間的安全隔離間信息通信（BMS、 BCM、 ADAS自動駕駛輔助系統(tǒng)、人臉識別系統(tǒng)、車機 HU等）。網(wǎng)關(guān)和各節(jié)點ECU需要對T-box的身份進(jìn)行驗證，識別T-box身份的合法性和有效性，同時，斷開外部藍(lán)牙、WiFi等外部網(wǎng)絡(luò)的威脅，避免攻擊者通過偽造、篡改、破壞等方式向關(guān)鍵 ECU發(fā)送非法指令和數(shù)據(jù)， 非法占用內(nèi)部總線資源導(dǎo)致總線負(fù)載過大，系統(tǒng)崩潰; 反向能夠驗證內(nèi)部網(wǎng)絡(luò)傳輸數(shù)據(jù)的有效性、完整性、合法性、可認(rèn)證性并進(jìn)行相應(yīng)的處置，保證汽車功能安全正常運行。

平臺交互通信安全目標(biāo)：指 T- box通過蜂窩網(wǎng)絡(luò)（2 G/3 G/4 G/ LTE- V/5 G）云網(wǎng)絡(luò)平臺進(jìn)行相互通信，根據(jù)應(yīng)用場景需求，終端與平臺通過標(biāo)準(zhǔn)協(xié)議進(jìn)行數(shù)據(jù)交換，T- box與云平臺建立安全連接， 通信雙方進(jìn)行雙向身份認(rèn)證、數(shù)據(jù)鏈路加密、數(shù)據(jù)簽名、數(shù)字證書、 PKI、公鑰/私鑰等加密校驗手段， 抵抗篡改、竊取、破壞、竊聽、重放、偽造、中間攻擊等多重安全威脅，保證數(shù)據(jù)的完整性、保密性和可認(rèn)證性。

2 T-box安全要求與規(guī)范

車聯(lián)網(wǎng) T- BOX的設(shè)整體計應(yīng)通過風(fēng)險評估審核，全面分析硬件、接口、數(shù)據(jù)存儲、操作系統(tǒng)、應(yīng)用安全、以及和各外界交互系統(tǒng)的對接，信息數(shù)據(jù)采集、存儲、處理、傳輸?shù)确矫?。明確整車對 T- box安全需求，通過身份認(rèn)證、訪問控制、身份鑒權(quán)、硬件加密等多種技術(shù)對 T- box進(jìn)行安全防護(hù)，對 T- box安全防護(hù)體系整體的要求，以實現(xiàn)車輛整體安全目標(biāo)。

硬件安全要求，需要從硬件安全設(shè)計方面，相關(guān)產(chǎn)品需加入了T-box防拆感應(yīng)器件，若檢測到有異動，就會立即向后臺報警。采用車載專用的加密芯片，并確保該加密芯片無隱蔽接口，以防非法對加密芯片進(jìn)行破壞或信息篡改。芯片在驗證階段調(diào)試的接口在上市中關(guān)閉，禁止使用。

操作系統(tǒng)安全要求， T-box操作系統(tǒng)應(yīng)預(yù)留安全區(qū)域，用來存儲安全簽名和秘鑰管理。為了防止操作系統(tǒng)啟動時被攻擊者惡意篡改和破壞，每次T-box上電啟動操作系統(tǒng)需要增加啟動安全機制，安全認(rèn)證正確后，加載操作系統(tǒng)。操作系統(tǒng)需要具備多操作系統(tǒng)隔離，如T-box具有兩個或以上操作系統(tǒng)，必須采用隔離機制，保證兩個操作系統(tǒng)之間的安全。主控程序需要提供安全機制，確保操作系統(tǒng)只識別信任操作，驗證信息來源的完整性、有效性、可認(rèn)證性。 在系統(tǒng)安全保護(hù)方面應(yīng)采用完整校驗手段（證書、 PKI、數(shù)字簽名等技術(shù)），對關(guān)鍵代碼或文件進(jìn)行完整保護(hù)。

應(yīng)用安全要求：

（1）確保應(yīng)用軟件不存在后門，以防從后門惡意攻擊，軟件不存在 “中國汽車行業(yè)漏洞共享平臺（CAVD）” 以及 “國家信息安全漏洞共享平臺（CNVD）” 6個月及以上發(fā)布的高危安全漏洞。同時，軟件不存在惡意bug，出現(xiàn)非法收集、處理、篡改整車數(shù)據(jù)和用戶數(shù)據(jù)。

（2）鑒權(quán)管理， T-box應(yīng)對車聯(lián)網(wǎng)發(fā)送信息和控制指令的身份合法性進(jìn)行鑒別。同時，對通過WiFi、藍(lán)牙、USB等連接的智能終端設(shè)備進(jìn)行鑒權(quán)管理。通過身份認(rèn)證，若身份認(rèn)證成功，可進(jìn)行信息交互，若認(rèn)證失敗，增加安全保護(hù)措施，如限制登錄次數(shù)、自動退出、結(jié)束回話流程等并記錄交互日志。

（3）訪問控制，T-box應(yīng)定義對應(yīng)的安全策略和操作優(yōu)先級， 當(dāng)出現(xiàn)非法訪問控制時，T-box將不做相應(yīng)，當(dāng)作無效指令，并記錄訪問日志。 訪問控制措施不應(yīng)影響應(yīng)用間的正常信息流轉(zhuǎn)，應(yīng)保證車輛對信息流轉(zhuǎn)實時性的要求。

（4）證書簽名， 應(yīng)用軟件應(yīng)采用符合相關(guān)標(biāo)準(zhǔn)的代碼認(rèn)證機制。

（5）通信完整性 應(yīng)用程序應(yīng)基于相關(guān)算法，在與外部網(wǎng)絡(luò)通信連接中提供完整性保護(hù)。接收和發(fā)送信息雙方應(yīng)進(jìn)行身份認(rèn)證，并對傳輸數(shù)據(jù)的完整性、有效性進(jìn)行校驗。 同時完整性保護(hù)應(yīng)具有可選開關(guān)，對于非關(guān)鍵數(shù)據(jù)可關(guān)閉此選項。

目前智能網(wǎng)聯(lián)汽車正在急速發(fā)展，T-box作為汽車與平臺信息交互的智能終端，其安全性是汽車整體安全面臨著嚴(yán)峻的安全挑戰(zhàn)之一，這需要國家政策支持，行業(yè)法規(guī)以及 更多專業(yè)安全相關(guān)企業(yè)投入更多的研發(fā)與安全測試以提升智能網(wǎng)聯(lián)汽車安全質(zhì)量。

作者簡介：吳應(yīng)發(fā)（1992.01-），男，漢族，貴州省平塘人，本科，貴州長江汽車有限公司汽車工程研究院智能網(wǎng)聯(lián)部工程師，研究方向：長期從事T-BOX硬件研發(fā)，安全架構(gòu)設(shè)計以及智能網(wǎng)聯(lián)云平臺相關(guān)研究。

參考文獻(xiàn)

[1] 周新.車聯(lián)網(wǎng)通信安全指南[J].移動通信，2015（22）：35.

[2] 秦天.T-BOX安全研究[J].無線通信技術(shù)，2017（12）：63.

[3] 李浩.車聯(lián)網(wǎng)安全技術(shù)研究[J].通信信號，2015（12）：30.

[4] 樊剛.車聯(lián)網(wǎng)通信安全[A].車聯(lián)網(wǎng)技術(shù)[C].機械工業(yè)出版社，2016：2.

[5] 潘春偉.車聯(lián)網(wǎng)T-BOX系統(tǒng)設(shè)計[M].電子工業(yè)出版社，2018：9.

[6] 彭楊，戎輝，王文揚，田曉笛，高嵩，郭蓬. T-BOX密碼安全防護(hù)方案[J]. 汽車電器，2017（05）：64-66.