車聯網云端平臺安全策略

高夕冉，王文揚，張東偉

（中國汽車技術研究中心汽車工程研究院第五開發部，天津 300300）

車聯網云端平臺安全策略

高夕冉，王文揚，張東偉

（中國汽車技術研究中心汽車工程研究院第五開發部，天津 300300）

介紹車聯網云端平臺、車載T-BOX和移動應用端以及通信安全防護策略。

安全；云平臺；T-BOX；移動應用

車聯網是以車內網、車際網和車載移動互聯網為基礎，按照約定的通信協議和數據交互標準，在車-X（X：車、路、行人及互聯網等）之間，進行無線通信和信息交換的大系統網絡，是能夠實現智能化交通管理、智能動態信息服務和車輛智能化控制的一體化網絡，是物聯網技術在交通系統領域的典型應用。

車聯網中的每一輛車以及車主的信息無時無刻地連接在網絡中，那么其信息可能被竊取，同時無線通信技術實現云端與車載終端、移動客戶端通信的同時，也面臨著木馬、病毒以及黑客攻擊等安全威脅。

1 相關技術

圖1 車聯網通信架構圖

用戶通過移動端APP發送控制命令后，平臺會發送監控請求指令到車載T-BOX，車輛在獲取到控制指令后，通過總線發送控制報文實現對車輛的控制，最后將操作結果反饋給用戶的移動APP，如圖1所示。

可見，中心對設備來說可能是非法中心，非法中心可以通過路由欺騙等手段連接終端，那么終端上傳的數據均被非法中心截獲；而對于中心來說，設備也可能不是合法設備，非法設備通過偽造連入中心，使合法設備掉線或其與中心的交互信息被竊聽，即在通信過程中數據傳輸被攻擊。汽車主機也存在著一定的風險，如通過OBD等物理接口，對汽車功能造成影響。車聯網終端的業務關聯的通信接口很多，在手機與服務器、服務器與車載設備、車載設備自身的通信，以及車輛內部總線上的諸多接口都面臨著安全問題。本文主要就終端——車載T-BOX、移動客戶端APP與云端的通信網絡安全進行研究。

1.1密鑰管理

遵照國標GB／T 30290.3—2013安全接入協議，有以下特點：①根密鑰在安全芯片中不可讀取、復制、更改，高安全性。②根密鑰只用來加密接入密鑰AK，由根密鑰直接產生的密文數量很少，大大降低反向破解根密鑰的概率。③每次接入密鑰AK不相同，同時采用隨機數認證、同一設備認證過程不可復制，即使所有數據被劫取，也無法用到下一次認證過程中。認證過程如圖2所示。

1）車臺與中心之間用根密鑰加密傳輸認證密鑰AK。

2）設備認證中心產生隨機數種子RS和隨機詢問RAND1發送給車臺的安全芯片。

3）安全芯片根據RS和AK通過加密算法VA11計算出會話密鑰KS，再根據RAND1通過加密算法VA12計算出響應RES1和導出密鑰DCK1，終端將計算出的RES1發送給設備認證中心。

4）設備認證中心根據RS和AK通過算法VA11計算出會話密鑰KS，再根據RAND1通過算法VA12計算出預期響應XRES1和導出密鑰DCK1。中心把終端發來的RES1與計算出的XRES1進行比較，如果值相等，則設置運算結果R1為真，并發送給車臺，設備認證成功。

密鑰管理中心服務器的數據庫中，保存有每臺TBOX的唯一性標識（ID號、SIM卡號、型號等），以及分配給該T-BOX的密鑰密文，密鑰管理如圖3所示。

圖2 認證過程

圖3 密鑰管理圖

涉及某臺T-BOX數據的解密運算時，接入認證平臺或加解密服務器通過查表得到的密鑰密文，并將密文與該T-BOX對應的密鑰密文送入服務器密碼機，密碼機先用保護密鑰對密鑰密文進行解密得到密鑰，然后在密碼機內部用密鑰對數據進行解密輸出。

該方案中密碼明文不會存在于密碼機以外的任何地方，密碼機具有內部數據不可讀取特性，因此具有極高的數據保密性和安全性。

1.2源代碼保護技術

對未采取源代碼保護措施的C代碼程序逆向攻擊測試，可以清晰地看到代碼的層次結構、條件、判斷、循環、控制結構、調用關系等。

控制流平坦化技術改變原程序的邏輯結構，使控制結構扁平化，去除程序結構痕跡，隱藏真實的跳轉地址，從而增加破解者重構控制流的難度。

1）結構混淆合并分解類、模塊、函數隱藏類結構。

2）數據混淆字符串常量敏感數據混淆加密隱藏明文。

3）控制流混淆隱藏程序控制流結構（if while）扁平化。

4）動態混淆插入解釋器，在運行時改變自身代碼。

平坦化方法包括控制結構變換，for語句、if-else語句、while語句這些層次清晰的語句轉換為平坦的switch-case語句，隱藏各case中的跳轉條件，插入冗余代碼，隱蔽核心代碼等安全手段。

1.3白盒加密技術

白盒密碼技術包括置亂編碼、查找表、仿射變換等，密碼算法的執行過程通過查找表格和進行仿射變換來實現。這些查找表是與密鑰相關的，密鑰隱藏在表格中。

通用加密算法一般是key輸入進去，在內存結構能看到亦或操作每一個加密步驟，每一步產生用來加解密的子key，都容易在內存中被截取。而白盒化加密過程為一系列查找表的過程，查找表顯示了一些隨機性信息，但是每次生成的查找表是不同的，也就是不同密鑰生成的查找表不同，相同的密鑰兩次生成的查找表也不同。

1.4安全認證

安全認證技術在開放的網絡通信過程中，借助可靠的驗證方式確保通信雙方的合法身份，識別偽造，阻止非法用戶的接入和訪問。

2 本文策略

云端平臺中的車聯網服務器組采用基于DES安全算法的軟加密機制和硬加密設備（加密機）結合的方式。云平臺通過局域網實現平臺內部通信訪問、資源共享，通過通信運營商如移動、聯通、電信等與終端通信，云端網絡層采用企業級硬件防火墻，將網絡和外部系統隔離，抵御DDos攻擊等行為。

云平臺實現與終端如車載T-BOX、用戶手機、網頁用戶的通信，整體框架如圖4所示。

用戶手機APP端采用三重防護，源代碼保護、SO／SDK加固、APP安全加固來保護設備的核心代碼IP不被竊取，加密算法不被破解，密鑰不被破解，控制協議、后臺交互邏輯不被暴露等。如若應用被破解，后果將很嚴重，攻擊者可以劫持和控制設備，獲取用戶信息，并且暴露了系統的漏洞，進而攻擊系統后臺，從而控制系統。

圖4 云平臺安全框架

車載終端T-BOX采用源代碼保護和白盒AES加密技術，對C進行源代碼保護，保護后再調用，防止競爭對手抄襲復制，偽造設備，發送惡意指令，固件改寫和機密信息改寫等，白盒AES加密技術與源碼保護相配合，保護終端與云臺、用戶手機的通信安全。每臺T-BOX內置一出廠隨機密鑰，T-BOX收到命令字后應利用隨機密鑰做MAC校驗，校驗內容包括密鑰、命令字、時間戳。HMAC運算利用哈希算法以一個密鑰和一個消息作為輸入，生成一個消息摘要作為輸出。

云平臺采用專用安全接入平臺，終端、用戶手機和網頁與平臺訪問需要接入認證平臺進行雙向安全認證，將原有車聯網業務系統與對外通信接口進行隔離，防止非法終端接入、非法數據注入等安全問題。單獨的密鑰管理子系統實現了一車一密的嚴格身份管理。企業級防火墻是為了防范泛洪飽和攻擊等TCP／IP攻擊。同時，云內采用進行日志、數據等內容的安全審計和安全檢測的行為審計系統。

云平臺與車載TBOX、移動客戶端的通信均需要先進行雙向安全認證，認證通過再傳輸信息，通信協議保護采用白盒AES加密技術。

3 結束語

車聯網是未來智能交通的核心，車聯網的安全是其發展的前提和基礎，備受人們關注。本文先介紹了安全防護技術如密鑰管理技術、源代碼保護技術、白盒加密技術和安全認證技術，隨后對端-管-云整個系統中的APP、云端、終端T-BOX的安全簡述了安全策略，為平臺安全運行提供參考。

［1］曹天杰，張永平，畢方明，等.計算機系統安全（第2版）［M］.北京：高等教育出版社，2007.

［2］張然，錢德沛.防火墻與侵入檢測技術［J］.計算機應用研究，2001，18（1）：4-7.

［3］肖雅瑩，來學嘉.白盒密碼及AES與SMS4算法的實現［J］.信息安全與通信保密，2010（2）：45-48.

［4］Tolhuizen，LMG.Improved cryptanalysis of an AES implementa-tion［C］／／Proceedings of the 33rd WIC Symposium on Information Theoryin the Benelux，Boekelo，The Netherlands，May 24-25，2012.［S.l.］：［s. n.］，2012.

［5］Chow，S.and Eisen，P.and Johnson，H.and van Oorschot，P.C..A White-Box DES Implementation for DRM Applications［J］.Lecture notes in computer science，2003，2696：1-15.

（編輯 楊景）

Security Strategy of Cloud Platform for Internet of Vehicle

GAO Xi-ran，WANG Wen-yang，ZHANG Dong-wei
（Fifth Development Department of Automotive Engineering Research Institute，China Automotive Technology&Research Center，Tianjin 300300，China）

This article introduces cloud platform for Internet of Vehicle，T-BOX and mobile application，as well as communication security strategy of them.

security；platform；T-BOX；mobile applications

U463.6

：A

1003－8639（2016）12－0017－03

2016-10-19