叢聰 孫瀟 史家濤

（濰柴動(dòng)力股份有限公司 山東省濰坊市 261001）

隨著汽車(chē)電子控制系統(tǒng)功能復(fù)雜度和數(shù)據(jù)顆粒度呈階梯式增加，其發(fā)展速度逐漸超越網(wǎng)絡(luò)安全防護(hù)方法、技術(shù)和標(biāo)準(zhǔn)的發(fā)展，現(xiàn)階段汽車(chē)電子正面臨巨大的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，對(duì)功能安全的潛在影響也仍在探索和解決中，信息安全問(wèn)題已經(jīng)成為影響傳統(tǒng)汽車(chē)全面向智能網(wǎng)聯(lián)汽車(chē)發(fā)展過(guò)渡的關(guān)鍵點(diǎn)。

1 車(chē)聯(lián)網(wǎng)環(huán)境下汽車(chē)電子安全現(xiàn)狀

1.1 汽車(chē)電子信息安全現(xiàn)狀

萬(wàn)物互聯(lián)的汽車(chē)電子時(shí)代使得整車(chē)廠(chǎng)和供應(yīng)商不得不開(kāi)始考慮和重視電控系統(tǒng)信息安全，商用車(chē)隊(duì)暴露在公共環(huán)境復(fù)雜工況下，無(wú)論從時(shí)間或是空間一旦被惡意攻擊、破解，其損失也將是難以自辯。近年來(lái)汽車(chē)行業(yè)安全事件頻繁出現(xiàn)在大眾視線(xiàn)中，比如2015年Jeep 自由光被破解，黑客重新刷入了帶有病毒的固件，并通過(guò)向CAN總線(xiàn)發(fā)送指令的方式控制車(chē)輛減速、制動(dòng)甚至關(guān)閉發(fā)動(dòng)機(jī)[1]，2017年騰訊科恩實(shí)驗(yàn)室通過(guò)WIFI 破解特斯拉Model X 車(chē)載系統(tǒng)，實(shí)現(xiàn)特斯拉多個(gè)ECU 的任意遠(yuǎn)程協(xié)同操控[2]。各類(lèi)安全事件正是信息安全認(rèn)知普及的指導(dǎo)教材，從系統(tǒng)層面教會(huì)了汽車(chē)電子行業(yè)信息安全的概念，正向推動(dòng)企業(yè)采取保護(hù)網(wǎng)絡(luò)物理系統(tǒng)免受未授權(quán)訪(fǎng)問(wèn)或攻擊的防御措施，并合法合規(guī)建立有效的網(wǎng)絡(luò)信息安全防護(hù)體系。

1.2 OTA概念

空中下載技術(shù)（OTA）通過(guò)移動(dòng)通信的空中接口對(duì)車(chē)載SIM卡信息及應(yīng)用進(jìn)行遠(yuǎn)程管理和控制，不僅可以為產(chǎn)品提供數(shù)據(jù)服務(wù)，同時(shí)能夠提供新業(yè)務(wù)下載和更新服務(wù)[3]。相較于傳統(tǒng)ECU更新方式，汽車(chē)行業(yè)OTA 的衍生為遠(yuǎn)程刷寫(xiě)、診斷提供優(yōu)越技術(shù)保障，實(shí)現(xiàn)了線(xiàn)上實(shí)時(shí)問(wèn)題定位和數(shù)據(jù)上傳、軟件下載和迭代更新，顯著減少產(chǎn)品召回幾率，整車(chē)廠(chǎng)售后維護(hù)成本得益于此突破性降低。

圖1：攻擊方式和威脅向量

圖2：電控系統(tǒng)網(wǎng)絡(luò)信息安全架構(gòu)示意圖[8]

圖3：固件安全防護(hù)策略示意圖

2 安全威脅分析

在車(chē)聯(lián)網(wǎng)廣泛應(yīng)用和復(fù)雜功能中，本文選取最典型的應(yīng)用場(chǎng)景OTA 進(jìn)行威脅研究和分析，攻擊者為達(dá)到破解通訊協(xié)議截獲重要數(shù)據(jù)資產(chǎn)的目的，使得信息資產(chǎn)將主要面對(duì)三類(lèi)攻擊方式：物理接口方式、近距離間接方式和遠(yuǎn)程無(wú)線(xiàn)方式，如圖1 攻擊和威脅典型向量示意。直接物理接入攻擊主要通過(guò)非法接入CAN、車(chē)載診斷系統(tǒng)(OBD)等生態(tài)接口，近距離無(wú)線(xiàn)攻擊主要利用藍(lán)牙和無(wú)線(xiàn)信道非法監(jiān)聽(tīng)、重放或偽造節(jié)點(diǎn)身份信息的方式，遠(yuǎn)程無(wú)線(xiàn)攻擊主要通過(guò)WIFI 和移動(dòng)數(shù)字蜂窩網(wǎng)絡(luò)端口實(shí)現(xiàn)非法偵聽(tīng)、重放攻擊或偽造憑證等方式進(jìn)行攻擊破解[4]。本章節(jié)按照整個(gè)異構(gòu)網(wǎng)絡(luò)數(shù)據(jù)鏈路中通訊節(jié)點(diǎn)劃分，從車(chē)載終端、傳輸鏈路和云服務(wù)器三個(gè)重要層面進(jìn)一步研究說(shuō)明其中的威脅向量和攻擊方式：

2.1 終端威脅

ECU 或T-BOX 作為終端設(shè)備具備了豐富的網(wǎng)絡(luò)安全攻擊生態(tài)入口，同時(shí)面臨軟件、硬件兩大方面威脅：

（1）基礎(chǔ)元器件脆弱性：汽車(chē)電子中大量使用的傳感器、處理芯片等本身就可能存在設(shè)計(jì)上的缺陷或者漏洞，諸如信號(hào)干擾、緩沖區(qū)溢出、缺乏安全算法庫(kù)等，攻擊者通過(guò)異常環(huán)境對(duì)芯片進(jìn)行攻擊，SPA/DPA 功耗攻擊或者物理探測(cè)等手段實(shí)現(xiàn)暴力破解。

（2）非法訪(fǎng)問(wèn)入口：ECU 固件程序是常見(jiàn)的攻擊目標(biāo)，如果ECU 對(duì)接入設(shè)備沒(méi)有任何訪(fǎng)問(wèn)授權(quán)安全機(jī)制加上CAN 總線(xiàn)中的消息明文傳輸情況下，任何人都可以使用OBD 診斷設(shè)備接入總線(xiàn)進(jìn)行操作，那么固件程序可能被非授權(quán)分析或平行越權(quán)，造成信息泄露實(shí)現(xiàn)滲透攻擊[5]。

（3）升級(jí)包篡改攻擊：ECU 接收OTA 升級(jí)包下載或更新，如果沒(méi)有對(duì)升級(jí)包進(jìn)行安全憑證校驗(yàn)或者憑證驗(yàn)證過(guò)程被繞過(guò)，攻擊者可刷入被篡改過(guò)的系統(tǒng)固件，使系統(tǒng)不再處于受控范圍內(nèi)。

（4）弱防御運(yùn)行環(huán)境：惡意代碼逆向攻擊、滲透、訪(fǎng)問(wèn)受保護(hù)資源，運(yùn)行環(huán)境被注入非預(yù)期執(zhí)行命令，從而終端設(shè)備被非法控制。

2.2 傳輸威脅

車(chē)輛通訊協(xié)議傳輸層普遍存在消息不認(rèn)證、數(shù)據(jù)無(wú)防篡改或是錯(cuò)誤檢測(cè)機(jī)制復(fù)雜度過(guò)低的潛在風(fēng)險(xiǎn)，在這種情況下傳統(tǒng)ECU 融合OTA 接入無(wú)線(xiàn)網(wǎng)絡(luò)后，使得汽車(chē)電子暴露在攻擊威脅中的可能性和面臨威脅向量的范圍擴(kuò)大。整體來(lái)看總線(xiàn)傳輸協(xié)議受到的安全威脅具有相似性，本章節(jié)從未經(jīng)授權(quán)的中間人攻擊和重放攻擊兩類(lèi)進(jìn)行歸納分析：

中間人攻擊利用惡意數(shù)據(jù)節(jié)點(diǎn)注入，可能在未授權(quán)情況下使控制系統(tǒng)執(zhí)行非預(yù)期命令或數(shù)據(jù)訪(fǎng)問(wèn)，造成通訊節(jié)點(diǎn)反饋或執(zhí)行敏感動(dòng)作，產(chǎn)生安全漏洞。針對(duì)傳輸數(shù)據(jù)完整性問(wèn)題，傳統(tǒng)通訊標(biāo)準(zhǔn)協(xié)議雖然預(yù)留數(shù)據(jù)域用于循環(huán)冗余檢查（CRC），但隨著密碼學(xué)更多復(fù)雜算法的演進(jìn)，CRC 算法結(jié)果被篡改的可操作性變得簡(jiǎn)單，尤其是在總線(xiàn)明文會(huì)話(huà)中，數(shù)據(jù)真實(shí)完整性防御機(jī)制和機(jī)密性保護(hù)機(jī)制存在不足，執(zhí)行成功攻擊所需的專(zhuān)業(yè)知識(shí)要求、對(duì)系統(tǒng)的熟悉程度以及突破機(jī)會(huì)窗口等威脅因素等級(jí)極低，也就是說(shuō)仿冒、篡改或特權(quán)提升的攻擊成功可能性非常高。

重放攻擊通常利用CAN,FlexRay 等現(xiàn)有技術(shù)采用明文廣播發(fā)送的機(jī)理，攻擊者竊聽(tīng)總線(xiàn)重要指令進(jìn)行回放，或者利用網(wǎng)關(guān)將64 位同步幀計(jì)數(shù)器的高32 位字節(jié)每次增加1 作敏感事件的撞庫(kù)破解方式[6]，通過(guò)對(duì)一定樣本數(shù)量的歷史明文數(shù)據(jù)幀進(jìn)行逆向工程、模糊測(cè)試等捕獲通信矩陣，進(jìn)一步破解應(yīng)用層通信協(xié)議。在這種攻擊情況下，由于總線(xiàn)上缺失數(shù)據(jù)時(shí)效性保護(hù)機(jī)制和機(jī)密性安全機(jī)制，通訊節(jié)點(diǎn)無(wú)法自主判斷有效模式而盲目正響應(yīng)，攻擊成功可能性依然居高不下。

2.3 云端威脅

云平臺(tái)，或者數(shù)據(jù)服務(wù)器在整個(gè)OTA 應(yīng)用場(chǎng)景中負(fù)責(zé)大數(shù)據(jù)安全管理和安全事件管理，車(chē)隊(duì)訪(fǎng)問(wèn)控制變得非常繁雜,傳統(tǒng)單一安全域中的訪(fǎng)問(wèn)控制模型和機(jī)制無(wú)法解決多域環(huán)境中可能出現(xiàn)的安全威脅。同時(shí)由于平臺(tái)開(kāi)放性，攻擊者與普通入網(wǎng)用戶(hù)權(quán)限一致，導(dǎo)致車(chē)聯(lián)網(wǎng)服務(wù)平臺(tái)比傳統(tǒng)服務(wù)平臺(tái)面臨更多的攻擊面，例如文件注入、漏洞掃描攻擊、協(xié)議破解等[7]，威脅影響范圍更廣泛。如表1所示。

表1：服務(wù)器云平臺(tái)威脅列表

表2：CAN 總線(xiàn)認(rèn)證方案

3 信息安全防護(hù)架構(gòu)

基于OTA 用戶(hù)場(chǎng)景和網(wǎng)絡(luò)分段的角度，針對(duì)電控系統(tǒng)面臨的安全威脅和風(fēng)險(xiǎn)，將網(wǎng)絡(luò)安全的防御分為4 個(gè)層次和3 個(gè)階段，分別是ECU、中央網(wǎng)關(guān)、TBOX和云平臺(tái)服務(wù)器四個(gè)層次，升級(jí)包發(fā)布、升級(jí)包傳輸、終端升級(jí)三個(gè)階段進(jìn)行防御，構(gòu)建分層次的汽車(chē)電子網(wǎng)絡(luò)安全縱深防御體系架構(gòu)。如圖2所示。

3.1 終端防護(hù)機(jī)制

終端設(shè)備需要考慮防止升級(jí)包被逆向分析風(fēng)險(xiǎn)、建立可信安全執(zhí)行環(huán)境，如圖3 固件安全防護(hù)策略：

（1）集成安全組件。建立完善的安全防護(hù)機(jī)制通常采用軟件與硬件相結(jié)合的解決方案，集成安全組件，包括但不局限于硬件專(zhuān)用安全芯片或是加密軟件庫(kù)，其最終目的是為上層應(yīng)用提供基礎(chǔ)密碼運(yùn)算能力和密碼服務(wù)，將安全防護(hù)固化到硬件基礎(chǔ)元器件層面中。

（2）分域隔離，也就是將系統(tǒng)存儲(chǔ)空間基于Trust Zone 理念劃分為安全信任區(qū)域和非安全區(qū)域[9]，將數(shù)據(jù)資產(chǎn)按照重要程度、脆弱性和攻擊威脅產(chǎn)生的負(fù)面影響分區(qū)存儲(chǔ)，從物理層面上將系統(tǒng)資源隔離，建立一個(gè)可信的安全管理系統(tǒng)環(huán)境。

（3）安全啟動(dòng)?；诳尚胚\(yùn)行環(huán)境的啟動(dòng)流程是保障固件安全的根本，對(duì)引導(dǎo)程序或固件等進(jìn)行有效性驗(yàn)證是終端設(shè)備必須確立和實(shí)施的步驟。參考SHE 標(biāo)準(zhǔn)安全啟動(dòng)機(jī)制，利用硬件加密模塊(HSM)實(shí)現(xiàn)靜態(tài)消息認(rèn)證碼（MAC）檢查啟動(dòng)代碼的一部分地址內(nèi)容，只要引導(dǎo)程序和一些應(yīng)用程序代碼（包括加密庫(kù)）真實(shí)性和完整性驗(yàn)證通過(guò)，允許主程序啟動(dòng)并幫助HSM 檢查代碼的其余部分。在這種復(fù)合檢查順序下，一旦驗(yàn)證完成所有代碼內(nèi)容，應(yīng)用程序可以釋放其正常啟動(dòng)過(guò)程。

（4）安全更新。為了防止升級(jí)包在傳輸路徑被篡改或仿冒，刷寫(xiě)更新前應(yīng)確保經(jīng)過(guò)雙向數(shù)字簽名認(rèn)證，終端需要安裝根證書(shū)、客戶(hù)證書(shū)以及服務(wù)器端證書(shū)，驗(yàn)證通過(guò)方可進(jìn)行下一步操作。另一方面，只有在升級(jí)包來(lái)源被合法使用時(shí)，解密為明文。

（5）安全存儲(chǔ)。重要數(shù)據(jù)應(yīng)加密存儲(chǔ)，保證存儲(chǔ)機(jī)密性。同時(shí)，例如用戶(hù)私鑰、鑒權(quán)碼或文件鏡像等重要敏感數(shù)據(jù)的安全存儲(chǔ)必須是非授權(quán)用戶(hù)無(wú)法訪(fǎng)問(wèn)的，明確訪(fǎng)問(wèn)權(quán)限的區(qū)分。目前部分研究成果定義特權(quán)訪(fǎng)問(wèn)概念[10]，管理核心系統(tǒng)資源的最高優(yōu)先級(jí)仲裁者，將分散的訪(fǎng)問(wèn)權(quán)限進(jìn)行集中管理，并對(duì)訪(fǎng)問(wèn)事件進(jìn)行全程實(shí)時(shí)記錄和審計(jì)。

（6）安全備份。回滾機(jī)制在發(fā)現(xiàn)節(jié)點(diǎn)升級(jí)失效后執(zhí)行回滾，使節(jié)點(diǎn)恢復(fù)到穩(wěn)定版本，保證車(chē)輛功能正常運(yùn)行，同時(shí)要求鏡像文件安全存儲(chǔ)，防止惡意回滾操作。

3.2 傳輸防護(hù)機(jī)制

數(shù)據(jù)廣播過(guò)程中也同樣需要部署防護(hù)策略防止第三方信道監(jiān)聽(tīng)和中間偽造，保障數(shù)據(jù)完整性、時(shí)效性以及數(shù)據(jù)源合法性。OTA 用戶(hù)場(chǎng)景下大致可將數(shù)據(jù)傳輸分為兩種，車(chē)內(nèi)網(wǎng)絡(luò)和車(chē)云網(wǎng)絡(luò)。

從車(chē)內(nèi)網(wǎng)絡(luò)分析，CAN 總線(xiàn)作為目前應(yīng)用最廣泛的通訊協(xié)議在J1939數(shù)據(jù)鏈路層標(biāo)準(zhǔn)定義中已經(jīng)有一定程度的信息安全的考慮，接收與發(fā)送雙方按照既定格式進(jìn)行CRC 和報(bào)文鮮度計(jì)數(shù)值校驗(yàn)用于驗(yàn)證信號(hào)傳輸路徑完整性。然而傳統(tǒng)CRC 校驗(yàn)機(jī)制已經(jīng)不能滿(mǎn)足信息安全復(fù)雜度和實(shí)時(shí)性的安全需求，目前主流技術(shù)多數(shù)考慮基于密碼學(xué)進(jìn)行完整性和合法源檢驗(yàn)的報(bào)文加密和認(rèn)證機(jī)制。

加密機(jī)制考慮系統(tǒng)資源和運(yùn)算效率通常優(yōu)先選擇對(duì)稱(chēng)加密算法，例如AES，將明文數(shù)據(jù)經(jīng)過(guò)加密后進(jìn)行密文傳輸。認(rèn)證機(jī)制如表2 通常有兩類(lèi)方案，第一類(lèi)是在CAN 總線(xiàn)協(xié)議數(shù)據(jù)域中嵌入MAC 來(lái)表示認(rèn)證信息。根據(jù)MAC 密碼學(xué)原理，不同長(zhǎng)度數(shù)據(jù)內(nèi)容都會(huì)加密計(jì)算壓縮為固定長(zhǎng)度消息摘要值，從而可以選擇性適配總線(xiàn)數(shù)據(jù)域。這種計(jì)算方式受限于報(bào)文協(xié)議的固定數(shù)據(jù)幀長(zhǎng)度，需要使用第二條報(bào)文傳輸鑒權(quán)碼或者將鑒權(quán)碼拆分存儲(chǔ)報(bào)文CRC 數(shù)據(jù)域。第二類(lèi)方案是由系統(tǒng)架構(gòu)中網(wǎng)關(guān)節(jié)點(diǎn)仲裁其他訪(fǎng)問(wèn)點(diǎn)的身份合法性，實(shí)時(shí)監(jiān)控是否存在未授權(quán)的報(bào)文，采取高優(yōu)先級(jí)錯(cuò)誤幀來(lái)限制非法傳輸[11]。

認(rèn)證機(jī)制不同總線(xiàn)適配方案除外，MAC 的計(jì)算方式也可以利用伽羅瓦域乘法運(yùn)算(GMAC)計(jì)算摘要值從而引入更多的瞬態(tài)變量來(lái)增強(qiáng)報(bào)文鏈路的實(shí)時(shí)可信性和數(shù)據(jù)鮮度保障，替換常見(jiàn)的分組加密消息認(rèn)證碼(CMAC)計(jì)算方式，為通訊完整性校驗(yàn)增強(qiáng)實(shí)時(shí)性監(jiān)控和檢測(cè)。如公式，相同明文塊數(shù)據(jù)DataInput、長(zhǎng)度Inputlength和密鑰key 用戶(hù)場(chǎng)景下，GMAC 算法在動(dòng)態(tài)計(jì)算方面更加靈活，單調(diào)鮮度計(jì)數(shù)值或隨機(jī)數(shù)都可以用作初始向量IV，附加信息域AD1和AD2 可以由用戶(hù)自定義關(guān)鍵私有信息，不同形參相同明文塊也會(huì)有動(dòng)態(tài)加密結(jié)果，從而使得針對(duì)CAN 總線(xiàn)的重放攻擊、通訊協(xié)議被破解成功可能性變低：

MAC=AES_CMAC(key,DataInput,InputLength)或

MAC=AES_GMAC(key,IV,AD1,AD2,DataInput,Inputlength)

同理，車(chē)云網(wǎng)絡(luò)基于無(wú)線(xiàn)傳輸協(xié)議也應(yīng)遵循加密和認(rèn)證原則，保證傳輸通道密文，防止其他惡意節(jié)點(diǎn)直接監(jiān)聽(tīng)截獲明文信息從而破解和篡改。

3.3 云端防護(hù)機(jī)制

云平臺(tái)作為大數(shù)據(jù)量處理和事件管理服務(wù)器其性能和安全需求，包含主機(jī)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和應(yīng)用安全，都應(yīng)考慮在企業(yè)建立信息安全體系范疇內(nèi)。文獻(xiàn)[15]提出的云計(jì)算安全架構(gòu)中，可信根、可信鏈路和上層可信服務(wù)，以及動(dòng)態(tài)安全管理的概念為云服務(wù)平臺(tái)中數(shù)據(jù)安全保護(hù)措施提供了分析思路。

基于OTA 場(chǎng)景下，云端對(duì)于車(chē)載終端重要安全服務(wù)之一是支持對(duì)重要事件的日志記錄和管理審計(jì)功能，日志文件至少包含事件主體、事件發(fā)生的時(shí)間、事件是否成功、權(quán)限設(shè)置等要素，因此云端服務(wù)器應(yīng)具有保證日志文件安全性的措施，防止非授權(quán)訪(fǎng)問(wèn)。第二類(lèi)安全服務(wù)顯而易見(jiàn)是升級(jí)包任務(wù)下發(fā)、密鑰證書(shū)管理、數(shù)據(jù)加密和數(shù)字簽名服務(wù)等，可參考公鑰基礎(chǔ)設(shè)施（PKI 體系），解決實(shí)體之間的信任問(wèn)題[16]。第三類(lèi)安全服務(wù)，傳統(tǒng)IT 防護(hù)也理應(yīng)歸納在信息安全體系考慮范圍內(nèi)。

4 結(jié)論

本文基于OTA 流程從系統(tǒng)網(wǎng)絡(luò)架構(gòu)出發(fā)，分別從終端、傳輸和服務(wù)器三個(gè)節(jié)點(diǎn)分析了當(dāng)前電控系統(tǒng)網(wǎng)絡(luò)中面臨的篡改、仿冒、中間者攻擊、信息泄露和特權(quán)提升等安全威脅，同時(shí)針對(duì)所述威脅向量和攻擊方式說(shuō)明了必要的對(duì)稱(chēng)算法加密明文、非對(duì)稱(chēng)算法數(shù)字簽名驗(yàn)證訪(fǎng)問(wèn)身份、消息摘要值校驗(yàn)段落完整性以及針對(duì)CAN 總線(xiàn)的數(shù)據(jù)鮮度時(shí)效等信息安全防護(hù)機(jī)制和實(shí)施的方法。隨著智能網(wǎng)聯(lián)技術(shù)的發(fā)展OTA 應(yīng)用的普及，與時(shí)俱進(jìn)的電控信息安全防御機(jī)制和車(chē)載網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)有待更進(jìn)一步研究分析和完善，保障產(chǎn)品從硬件元器件到軟件產(chǎn)品的全生命周期信息安全落地，整車(chē)廠(chǎng)和供應(yīng)商始終需要通過(guò)安全防護(hù)體系的建立以及持續(xù)性的風(fēng)險(xiǎn)分析和攻防策略?xún)?yōu)化，提升汽車(chē)電子監(jiān)測(cè)和防御外界攻擊能力來(lái)保障信息安全。