廖明陽(yáng) 劉興偉 馬宏亮

摘 ?要： 隨著智能網(wǎng)聯(lián)汽車的不斷發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為影響傳統(tǒng)汽車全面向智能網(wǎng)聯(lián)汽車發(fā)展過渡的關(guān)鍵。在車聯(lián)網(wǎng)“端—管—云”的基本網(wǎng)絡(luò)架構(gòu)下，每一個(gè)環(huán)節(jié)都是信息安全的防護(hù)重點(diǎn)。因此，設(shè)計(jì)并實(shí)現(xiàn)了智能網(wǎng)聯(lián)汽車信息安全風(fēng)控系統(tǒng)，包括T-BOX系統(tǒng)安全、移動(dòng)應(yīng)用APP安全和服務(wù)器安全分析平臺(tái)等。通過實(shí)驗(yàn)，檢測(cè)了T-BOX樣機(jī)對(duì)抗DoS攻擊和網(wǎng)絡(luò)SYN攻擊的能力，以此驗(yàn)證了所提出的信息安全風(fēng)控系統(tǒng)的有效性。

關(guān)鍵詞： 智能網(wǎng)聯(lián)汽車; 車聯(lián)網(wǎng); 信息安全; T-BOX; 移動(dòng)應(yīng)用APP

中圖分類號(hào)：TP391 ? ? ? ? ?文獻(xiàn)標(biāo)志碼：A ? ? 文章編號(hào)：1006-8228（2019）10-19-05

Abstract： With the continuous development of intelligent and connected vehicles， network security has become the key to the transition from traditional vehicles to intelligent and connected vehicles. Under the basic network structure of Internet of vehicles， every point is the key point of information security protection. Therefore， the information security protection system of intelligent and connected vehicles is designed and realized， including the security protection for T-BOX and mobile APPs， and the server security analysis platform. Through experiments， the effectiveness of the information security protection system proposed in this paper is verified by detecting the capability of T-BOX against DoS attacks and SYN Flood attacks.

Key words： intelligent and connected vehicles; Internet of vehicles; information security; T-BOX; mobile APP

0 引言

隨著互聯(lián)網(wǎng)與汽車產(chǎn)業(yè)的不斷融合[1-2]，汽車網(wǎng)絡(luò)互聯(lián)和智能化已成為必然。同時(shí)，隨著智能網(wǎng)聯(lián)汽車的不斷發(fā)展，汽車攻擊事件頻發(fā)，安全問題日益突出[3-4]，部分智能汽車網(wǎng)絡(luò)安全研究和事件描述如下：Charlie Miller & Chris Valasek通過OBD接口破解了豐田普銳斯;360公司破解了Tesla汽車遠(yuǎn)程控制功能;騰訊科恩實(shí)驗(yàn)室實(shí)現(xiàn)了遠(yuǎn)程無接觸式破解Tesla，可以在駐車狀態(tài)和行駛狀態(tài)下遠(yuǎn)程控制等[5-6]。

這些研究成果引起了汽車廠商的極大關(guān)注，有些已經(jīng)對(duì)在售的多款車型構(gòu)成了影響。針對(duì)汽車的網(wǎng)絡(luò)攻擊能夠通過突破車內(nèi)網(wǎng)絡(luò)或汽車電子組件實(shí)現(xiàn)敏感數(shù)據(jù)獲取、車輛遠(yuǎn)程控制（或部分功能）等[7]，影響汽車的功能安全，對(duì)駕乘車人的生命安全構(gòu)成了威脅。網(wǎng)絡(luò)安全問題已經(jīng)成為影響傳統(tǒng)汽車全面向智能網(wǎng)聯(lián)汽車發(fā)展過渡的關(guān)鍵。

1 智能網(wǎng)聯(lián)汽車信息安全風(fēng)控系統(tǒng)設(shè)計(jì)

根據(jù)《中國(guó)制造2025》對(duì)汽車車聯(lián)網(wǎng)安全的規(guī)劃，在車聯(lián)網(wǎng)“端—管—云”基本網(wǎng)絡(luò)架構(gòu)下，每一個(gè)環(huán)節(jié)都是信息安全的防護(hù)重點(diǎn)[8-9]，包括控制安全、數(shù)據(jù)安全、功能安全等各個(gè)方面[10-12]。因此，車聯(lián)網(wǎng)安全防護(hù)環(huán)節(jié)眾多、網(wǎng)絡(luò)安全問題復(fù)雜。

我們提出的智能網(wǎng)聯(lián)汽車信息安全風(fēng)控系統(tǒng)如圖1所示，主要包含：T-BOX系統(tǒng)安全、車廠提供的控制車身的移動(dòng)應(yīng)用APP安全（APP安全加固、APP環(huán)境安全監(jiān)測(cè)探針）、服務(wù)器分析平臺(tái)（T-BOX威脅態(tài)勢(shì)感知平臺(tái)、移動(dòng)APP威脅安全平臺(tái)、漏洞庫(kù)及威脅軟件識(shí)別庫(kù)）、安全編碼規(guī)范（源碼審計(jì)平臺(tái)、安全編碼規(guī)則庫(kù)）、信息安全檢測(cè)平臺(tái)（T-BOX滲透測(cè)試、移動(dòng)APP滲透測(cè)試、移動(dòng)APP安全監(jiān)測(cè)平臺(tái)/安全檢測(cè)、渠道監(jiān)控）。

1.1 T-BOX系統(tǒng)安全防御設(shè)計(jì)

T-BOX系統(tǒng)安全防御設(shè)計(jì)的主要思路是對(duì)T-BOX系統(tǒng)的各個(gè)信息點(diǎn)進(jìn)行采集，從系統(tǒng)底層原理上對(duì)安全點(diǎn)進(jìn)行分析;同時(shí)，根據(jù)已有的安全知識(shí)庫(kù)對(duì)上報(bào)的數(shù)據(jù)進(jìn)行分析，并且不斷追蹤現(xiàn)有安全動(dòng)向以更新安全知識(shí)庫(kù)。T-BOX系統(tǒng)安全防御包括以下幾個(gè)方面。

⑴ T-BOX系統(tǒng)安全監(jiān)測(cè)功能：端口掃描檢測(cè)、本地提權(quán)檢測(cè)、系統(tǒng)庫(kù)篡改檢測(cè)、流量監(jiān)控、進(jìn)程注入檢測(cè)、進(jìn)程調(diào)試檢測(cè)、緩存文件篡改、惡意程序掃描和檢測(cè)登錄系統(tǒng)的用戶。

① 端口掃描檢測(cè)是針對(duì)T-BOX系統(tǒng)中運(yùn)行的端口進(jìn)行自檢，關(guān)閉一些安全隱患的端口服務(wù);同時(shí)，可以根據(jù)服務(wù)器的配置策略，對(duì)外部訪問的IP進(jìn)行限制，以確保T-BOX系統(tǒng)的安全。

② 本地提權(quán)檢測(cè)是針對(duì)T-BOX系統(tǒng)中運(yùn)行的程序所具有的權(quán)限進(jìn)行合理化的歸類、整理，以發(fā)現(xiàn)具有不合理權(quán)限的安全隱患程序。

③ 系統(tǒng)庫(kù)篡改檢測(cè)是針對(duì)系統(tǒng)中的I/O庫(kù)、ssl庫(kù)等關(guān)鍵系統(tǒng)庫(kù)，對(duì)其它動(dòng)態(tài)運(yùn)行的二進(jìn)制hash值與文件形態(tài)在內(nèi)存展開后的二進(jìn)制hash值進(jìn)行匹配、hook檢測(cè)和篡改檢測(cè)。

④ 進(jìn)程調(diào)試、注入檢測(cè)是對(duì)系統(tǒng)中運(yùn)行的程序進(jìn)行狀態(tài)位檢測(cè)，發(fā)現(xiàn)疑似的停止?fàn)顟B(tài)位;同時(shí)，對(duì)程序map空間進(jìn)行快照比對(duì)，發(fā)現(xiàn)被注入的程序。

⑤ 緩存文件篡改是對(duì)程序的緩沖安裝目錄的每一個(gè)文件的用戶ID進(jìn)行識(shí)別，如果發(fā)現(xiàn)異常的用戶ID文件，則識(shí)別出被篡改的緩存文件。

⑥ 惡意程序掃描是根據(jù)服務(wù)器端的安全知識(shí)庫(kù)進(jìn)行比對(duì)檢測(cè)。

⑦ 檢測(cè)登錄系統(tǒng)的用戶是檢測(cè)每一個(gè)登錄用戶的時(shí)刻表、權(quán)限位、運(yùn)行的程序集，如果發(fā)現(xiàn)用戶的異常登錄行為，則上報(bào)服務(wù)器。

⑧ 流量監(jiān)控是對(duì)T-BOX系統(tǒng)的各個(gè)網(wǎng)口的流量進(jìn)行監(jiān)控;同時(shí)，根據(jù)服務(wù)器的限流策略，對(duì)各個(gè)網(wǎng)口的流量進(jìn)行監(jiān)管。

⑵ T-BOX系統(tǒng)性能監(jiān)測(cè)功能，包括CPU占用率、內(nèi)存占用率、資源占用率等相關(guān)信息，為服務(wù)器平臺(tái)T-BOX安全提供輔助數(shù)據(jù)。

⑶ T-BOX網(wǎng)絡(luò)監(jiān)測(cè)功能包括聯(lián)通性攻擊監(jiān)測(cè)和流量攻擊監(jiān)測(cè)，為服務(wù)器分析平臺(tái)對(duì)T-BOX網(wǎng)絡(luò)異常的評(píng)估提供可靠數(shù)據(jù)來源。其中聯(lián)通性攻擊是對(duì)T-BOX系統(tǒng)網(wǎng)絡(luò)接口的SOCKET連接類型進(jìn)行識(shí)別，發(fā)現(xiàn)SYN flood攻擊后，進(jìn)行阻斷，以確保T-BOX的系統(tǒng)安全。

⑷ 車載端應(yīng)用防護(hù)：對(duì)T-BOX中的核心程序，提供ELF二進(jìn)制保護(hù)和應(yīng)用安全加固，防止T-BOX中的核心程序被逆向后泄露隱私數(shù)據(jù)。其中ELF二進(jìn)制防護(hù)功能圖2所示。

① 字符串表加密旨在對(duì)程序中的敏感信息進(jìn)行加密，如：關(guān)鍵變量名、關(guān)鍵函數(shù)名、關(guān)鍵字符串名等，目的是增加破解者的分析時(shí)間成本，增加破解難度。

② 動(dòng)態(tài)段加密旨在對(duì)程序的入口進(jìn)行隱藏，增加破解者的分析時(shí)間。

③ 程序端加密旨在對(duì)程序代碼進(jìn)行安全保護(hù)。

④ 重定位表加密旨在對(duì)程序的格式進(jìn)行保護(hù);同時(shí)，使程序與T-BOX系統(tǒng)進(jìn)行綁定以防止破解者逆向分析，還可以防止第三方非法使用。

1.2 智能網(wǎng)聯(lián)汽車移動(dòng)端應(yīng)用安全設(shè)計(jì)

智能網(wǎng)聯(lián)汽車移動(dòng)端應(yīng)用安全設(shè)計(jì)，主要包括以下幾個(gè)方面。

⑴ DEX完整加密：所有被加密的代碼均在內(nèi)存進(jìn)行解密，手機(jī)客戶端不殘留任何代碼明文文件，包含任何被編譯優(yōu)化后的明文文件。

⑵ DEX代碼抽?。篋EX代碼抽取方案是DEX完整加密方案的衍生進(jìn)化方案，是在其基礎(chǔ)上做更細(xì)節(jié)的操作，安全處理粒度從整體DEX到客戶代碼實(shí)現(xiàn)，即保護(hù)客戶代碼的實(shí)現(xiàn)。

⑶ 虛擬機(jī)加固：如圖3所示。

⑷ HTML5加密：針對(duì)客戶應(yīng)用使用HTML 5技術(shù)的相關(guān)文件進(jìn)行完整加密保護(hù)，僅在運(yùn)行時(shí)選擇合適時(shí)機(jī)進(jìn)行內(nèi)存解密后并依據(jù)用戶邏輯繼續(xù)執(zhí)行，支持html、js、css、json等文件格式。

⑸ 秘鑰文件保護(hù)：針對(duì)客戶應(yīng)用，使用秘鑰文件進(jìn)行完整加密保護(hù)，僅在運(yùn)行時(shí)選擇合適時(shí)機(jī)進(jìn)行內(nèi)存解密并依據(jù)用戶邏輯繼續(xù)執(zhí)行，支持*.cer、*.der等文件。

⑹ 資源文件保護(hù)：針對(duì)客戶應(yīng)用存儲(chǔ)在assets目錄、res目錄、res/raw目錄的文件進(jìn)行完整加密保護(hù)，僅在運(yùn)行時(shí)選擇合適時(shí)機(jī)進(jìn)行內(nèi)存解密后并依據(jù)用戶邏輯繼續(xù)執(zhí)行，支持xml文件、圖片文件、用戶自定義配置文件和系統(tǒng)配置文件。

⑺ 主配置文件保護(hù)：針對(duì)客戶應(yīng)用Android Menifest主配置文件進(jìn)行格式化處理保護(hù)，防止第三方反編譯工具進(jìn)行破解，如：apktool、axmprinter等。

⑻ 本地?cái)?shù)據(jù)庫(kù)保護(hù)：針對(duì)客戶應(yīng)用運(yùn)行時(shí)生成的本地sqlite數(shù)據(jù)庫(kù)文件進(jìn)行加密保護(hù)，有效防止非法讀取數(shù)據(jù)庫(kù)敏感信息，sql注入等惡意操作。

⑼ 本地緩存文件保護(hù)：針對(duì)客戶應(yīng)用運(yùn)行時(shí)生成的本地緩存文件進(jìn)行加密保護(hù)，有效防止非法讀取緩存文件獲取敏感信息。

⑽ NATIVE（SO）保護(hù)：SO保護(hù)采用格式變型的技術(shù)，對(duì)Android（包括Linux類系統(tǒng)）平臺(tái)的共享文件二進(jìn)制格式ELF進(jìn)行處理，把傳統(tǒng)意義的ELF格式轉(zhuǎn)變?yōu)橹挥凶约航馕瞿軠贤ń馕?、加載、運(yùn)行的私有格式。

反調(diào)試防護(hù)：根據(jù)市面上常用的破解手段，提供以下幾個(gè)方面的防護(hù)，包括防止進(jìn)程/線程附加;防止進(jìn)程注入;防止殼啟動(dòng)調(diào)試;防ZjDroid插件內(nèi)存dump DEX;防系統(tǒng)核心庫(kù)（JAVA/NATIVE）被HOOK（劫持）攻擊等。

APP私鑰存儲(chǔ)安全（移動(dòng)端+服務(wù)器端）及接口安全防護(hù)：APP私用存儲(chǔ)采用加密二進(jìn)制的方式，存儲(chǔ)于APP的可信任組件中。

2 智能網(wǎng)聯(lián)汽車車載端T-BOX安全防御有效性測(cè)試與分析

實(shí)驗(yàn)從檢測(cè)T-BOX樣機(jī)對(duì)抗DoS攻擊和網(wǎng)絡(luò)SYN攻擊的能力等方面來驗(yàn)證本文提出的信息安全風(fēng)控系統(tǒng)的有效性。

⑴ 檢測(cè)T-BOX樣機(jī)對(duì)抗DoS攻擊和網(wǎng)絡(luò)SYN攻擊的能力：①模擬服務(wù)器向T-BOX樣機(jī)發(fā)送高頻率、高優(yōu)先級(jí)的報(bào)文信息，驗(yàn)證CAN總線是否能收到這些報(bào)文;②模擬服務(wù)器向T-BOX樣機(jī)發(fā)送高頻率、高優(yōu)先級(jí)的報(bào)文信息的同時(shí)使用工具向CAN總線發(fā)送高頻率、高優(yōu)先級(jí)的報(bào)文信息，驗(yàn)證T-BOX應(yīng)用可執(zhí)行程序是否運(yùn)行正常;③偽裝多客戶端向T-BOX應(yīng)用可執(zhí)行程序發(fā)送大量的無用數(shù)據(jù)報(bào)文，驗(yàn)證T-BOX應(yīng)用可執(zhí)行程序是否能夠正常提供網(wǎng)絡(luò)服務(wù)。

測(cè)試結(jié)果如下：①如圖4所示，在指定頻率內(nèi)T-BOX提示報(bào)警、阻止接受發(fā)包，同時(shí)T-BOX應(yīng)用可執(zhí)行程序沒有向CAN總線下發(fā)數(shù)據(jù);②T-BOX具備對(duì)抗雙向DoS攻擊和網(wǎng)絡(luò)SYN攻擊的能力，如圖5所示。

⑵ 通過篡改T-BOX應(yīng)用可執(zhí)行程序，驗(yàn)證T-BOX應(yīng)用可執(zhí)行程序是否采用了完整性校驗(yàn)手段對(duì)關(guān)鍵代碼或文件進(jìn)行完整性保護(hù);同時(shí)，檢測(cè)T-BOX應(yīng)用可執(zhí)行程序是否采用了代碼簽名認(rèn)證機(jī)制，且代碼簽名機(jī)制符合相關(guān)標(biāo)準(zhǔn)要求。測(cè)試結(jié)果如下：由于T-BOX應(yīng)用可執(zhí)行程序增加了代碼簽名認(rèn)證機(jī)制，增加了攻擊難度，因此T-BOX應(yīng)用可執(zhí)行程序被篡改后不能正常運(yùn)行，其中圖6為源程序，圖7為篡改后程序。

⑶ 檢測(cè)T-BOX樣機(jī)是否采用防護(hù)措施，對(duì)所傳輸數(shù)據(jù)的完整性和可認(rèn)證性進(jìn)行保護(hù);同時(shí)，證書是否具有雙向校驗(yàn)機(jī)制以及證書是否正確安全：①通過自建AP捕獲流量的方式，檢測(cè)T-BOX樣機(jī)與服務(wù)器之間通信是否采用了TLS通信協(xié)議，是否采用TLS雙向校驗(yàn)機(jī)制;②在通信協(xié)議安全檢測(cè)的基礎(chǔ)上，通過自建AP捕獲安全通信協(xié)議相關(guān)流量的方式，檢測(cè)其握手過程，查看其是否采用了雙向校驗(yàn)的安全機(jī)制。

測(cè)試結(jié)果如下：T-BOX樣機(jī)與服務(wù)器采用TLS通信協(xié)議進(jìn)行通信;同時(shí)，T-BOX在與主機(jī)通信的過程中采用了雙向證書校驗(yàn)的機(jī)制，如圖8所示。

⑷ 通過逆向工具對(duì)T-BOX應(yīng)用可執(zhí)行程序進(jìn)行分析，檢測(cè)T-BOX應(yīng)用可執(zhí)行程序是否具備防逆向分析能力。測(cè)試結(jié)果如下：圖9為未混淆的效果圖，圖10是混淆后的效果圖，從圖10中可以看出，未混淆的函數(shù)是一個(gè)完整的函數(shù)塊，而T-BOX應(yīng)用可執(zhí)行程序進(jìn)行了代碼混淆加殼后的函數(shù)則是切割成多塊的函數(shù)，這樣對(duì)于逆向分析來說，無疑增加了分析時(shí)間和破解難度。

3 結(jié)束語(yǔ)

本文針對(duì)智能網(wǎng)聯(lián)汽車在信息安全方面存在的問題，設(shè)計(jì)并實(shí)現(xiàn)了智能網(wǎng)聯(lián)汽車信息安全風(fēng)控系統(tǒng)，包括T-BOX系統(tǒng)安全、移動(dòng)應(yīng)用APP安全和服務(wù)器分析平臺(tái)等。同時(shí)，通過實(shí)驗(yàn)從檢測(cè)T-BOX樣機(jī)對(duì)抗DoS攻擊和網(wǎng)絡(luò)SYN攻擊的能力等方面驗(yàn)證了本文提出的信息安全風(fēng)控系統(tǒng)的有效性。下一步，將針對(duì)智能網(wǎng)聯(lián)汽車信息安全風(fēng)控系統(tǒng)的服務(wù)器端開展擬態(tài)式防御技術(shù)研究。

參考文獻(xiàn)（References）：

[1] 冉斌，譚華春，張健等.智能網(wǎng)聯(lián)交通技術(shù)發(fā)展現(xiàn)狀及趨勢(shì)[J].汽車安全與節(jié)能學(xué)報(bào)，2018.9（2）：119-130

[2] 邊明遠(yuǎn)，李克強(qiáng).以智能網(wǎng)聯(lián)汽車為載體的汽車強(qiáng)國(guó)戰(zhàn)略頂層設(shè)計(jì)[J].中國(guó)工程科學(xué)，2018.20（1）：52-58

[3] 李克強(qiáng)，戴一凡，李升波等.智能網(wǎng)聯(lián)汽車（ICV）技術(shù)的發(fā)展現(xiàn)狀及趨勢(shì)[J].汽車安全與節(jié)能學(xué)報(bào)，2017.8（1）：1-14

[4] Liu Jiajia，Liu Jianhao. Intelligent and Connected Vehicles： Current Situation， Future Directions， and Challenges. IEEE Communications Standards Magazine. 2018，2（3）： 59-65.

[5] Lei Huang，Xinkai Wu，Hongmao Qin，et al. Analysis of Cybersecurity Threats on Connected Vehicles with CACC Based on an Improved Car-Following Model[C]//Proceedings of the 18th COTA International Conference of Transportation Professionals. Beijing： American Society of Civil Engineers，2018：2043-2055

[6] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).汽車電子網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化白皮書：2018[R]. 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)，2018.

[7] C.Schmittner，Z.Ma，T.Gruber. Standardization challenges for safety and security of connected， automated and intelligent vehicles[C]//2014 International Conference on Connected Vehicles and Expo. Vienna： IEEE press，2014：941-942

[8] 王建，許叁征，甘浩等.智能汽車縱深防御關(guān)鍵技術(shù)及挑戰(zhàn)[C]//2018中國(guó)汽車工程學(xué)會(huì)年會(huì).上海：中國(guó)汽車工程學(xué)會(huì)，2018：287-291

[9] 游根節(jié).智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系分析[J].電信技術(shù)，2018.5：50-53，55

[10] L.ben Othmane，A.Al-Fuqaha，E.ben Hamida，et al. Towards extended safety in connected vehicles[C]//16th International IEEE Conference on Intelligent Transportation Systems.Hague：IEEE press，2013：652-657

[11] 李允，羅建超，趙煥宇等.面向智能汽車的網(wǎng)絡(luò)安全解決方案[J].信息技術(shù)與標(biāo)準(zhǔn)化，2018.10：60-64

[12] 馬世典，江浩斌，韓牟等.車聯(lián)網(wǎng)環(huán)境下車載電控系統(tǒng)信息安全綜述[J].江蘇大學(xué)學(xué)報(bào)（自然科學(xué)版），2014.35（6）：635-643