智能網聯汽車的多級安全防護方案設計和分析

2017-03-14 02:24:28姜立標

網絡安全技術與應用 2017年2期

◆胡文姜立標

◆胡文1姜立標2

（1.深圳聯友科技有限公司廣東 518000；2.華南理工大學機械與汽車工程學院廣東 510000）

隨著無線通信技術的快速發展,物聯網的快速發展，汽車作為萬物互聯的一個分支也得到了快速的發展。但與此同時由于汽車接入互聯網，車聯網所帶來的安全隱患也日益明顯，尤其是牽涉到汽車的遠程控制會帶來不可估量的損失。尤其是當車從現在的單一車發展到無人駕駛，智能網聯汽車，車的各種入口更加容易被攻擊。本文作者使用了三維一體的車聯網安全模型方案，從“云盾”，“通信通道”，“硬件終端”三個方面提供安全防護,同時通過滲透測試來不斷完善安全體系。提出在車聯網TBOX終端采用可信平臺技術，同時在車載總線采用安全模型總線技術以及硬件系統高安全等級隔離，APN技術防護通道，動態簽名方式以及對稱和非對稱加密等方法以及滲透測試等方案來進行數據終端管理和數據通信等多重防護，達到了安全防護的第三等級，并在自主品牌車輛上成功商業化。

車聯網；Telematics；可信任技術；車輛安全模型；OTA

0 前言

近年來，汽車正往智能化發展，其智能化程度越高，遭受黑客攻擊的風險性就越大。近年來的汽車攻擊事件越來越頻繁如圖1所示，汽車的安全性越來越獲得人們的關注的[1]。

圖1 黑客攻擊汽車事件

當車聯上網絡后，從車的角度來看，如圖所示，會存在更多的攻擊入口，更多的攻擊點。目前主要的安全風險如下：

（1）DoS攻擊（拒絕服務）；

（2）通信口令未加密；

（3）用戶認證環節薄；

（4）完整的數據泄露；

（5）CAN 總線信息數據堵塞通道；

（6）ECU 指令惡意模仿，篡改；

（7）未認證的數據通道；

（8）不安去的通信協議，藍牙，WIFI，3G，4G；

（9）OBD，T-Box協議漏洞，秘鑰暴露，保密性薄弱，未加密；

（10）APP:77%汽車與手機APP 通信是不安全的，75%的App存在嚴重的隱私泄露問題，每種車載APP 存在5個以上安全漏洞；

（11）CAN總線數據無需身份認證，甚至部分高速CAN 也可以隨意訪問；

（12）嵌入式軟件，系統風險，車載設備被嵌入風險；

（13）CP/SP鏈接風險；

（14）TSP后臺鏈接風險；

（15）遠程更新（固件，地圖，配置，應用），遠程配置/控制風險。

正因為如此，對于車聯網系統的防護是一個全方位的防護。

1 智能網聯汽車安全風險分析

智能網聯汽車是物聯網的一個衍生，是以車內網、車際網和車載移動互聯網為基礎，按照約定的通信協議和數據交互標準。在車-X（X:車，路，行人及互聯網等）之間，進行無線通訊和信息交換的大系統網絡，是能夠實現智能化交通管理、智能動態信息服務和車輛智能化控制的一體化網絡，是物聯網技術在交通領域的典型應用[2]。智能網聯汽車的構成生態如下：

圖2 智能網聯汽車生態

按照智能網聯汽車的構成，我們將系統分成了5個層次，包括物理感知層，通信層，網關接入層、服務層、移動APP等幾個層次[3]；我們分別從以下幾個方面分析安全的風險和解決方案:

圖3 安全分析和解決方案

1.1 感知層安全風險

物理層的安全主要車聯網平臺硬件系統框架，是車聯網安全的最后一道防線。目前車聯網硬件包括OBD-4G（車載診斷儀）、車載WIFI、智能后視鏡、行車記錄儀等、ADAS（高級駕駛輔助系統）、車載視頻監控系統、車輛傳感器、智能車鑰匙[4]。車內的ECU單元是通過CAN,LIN等網絡連接起來，如果黑客攻入了車內網絡，可以任意控制ECU或者通過發送大量錯誤報文導致CAN總線失效,最后ECU失效，因此車內網絡的安全尤其重要。

1.2 網絡傳輸安全風險

網絡層包括移動通信網、移動接入管理和網絡業務平臺。其中移動通信網和移動接入管理之間用APN專線進行連接。網絡層的安全主要是保證各車聯網終端與網絡中心的雙向數據傳輸的安全防護[5]。網絡傳輸層以及接入層存在以下眾多的安全風險：

圖4 安全風險示意圖

1.3 應用服務層安全風險

應用服務層的安全包括服務環境安全、服務接入安全和服務平臺安全，分別實現車聯網服務支撐基礎環境安全保護，行業用戶、公網用戶接入安全保護以及車聯網業務平臺安全保護[6]。

因為應用層APP是公開于互聯網的，因此存在以下的安全漏洞：

（1）數據泄露；（2）修改位置信息；（3）短信活動；（4）修改傳輸數據；（5）文件操作；（6）盜取用戶賬號，服務密碼；（7）網絡活動；（8）劫持驗證碼；（9）行為監控；（10）發送偽造數據。

由于車聯網應用系統復雜多樣，某一種特定的安全技術不能完全解決應用系統的所有安全問題。一些通用的應用程序如Web Server 程序、FTP 服務程序、Email 服務程序、瀏覽器和Office 辦公軟件等自身的安全漏洞和由于配置不當造成的安全漏洞會導致整個網絡的安全性下降。

2 系統方案設計

本智能網聯終端設備根據以上的安全風險分析，設計了全方位的安全防護方案為如下。

首先，從整個智能網聯車的生態考慮，必須從各個角度進行保護。

圖5 安全防護系統框圖

智能網聯汽車安全防御必須從以下幾個反面考慮和設計：

（1）從內到外:從車內部到整個生態環境安全；

（2）從小到大:從芯片安全到云安全，對應各個點提供保護；

（3）從始到終:從安全設計到安全運營。

防御的原則則有：

（1）架構全面性:采用端管云安全架構體系，考慮整個生態的安全需求。

（2）方案綜合性:層次化、多樣性的特點將更為突出，應根據風險分析合理實施眾深防護方案，部署合適的安全防護產品。

（3）技術創新性:隨著智能化，網聯化和電動化的進一步發展，會出現更多新的攻擊手段，需要超越原有理念，采納新技術防護。

2.1 智能網聯汽車整體安全體統架構:

圖6 智能網聯汽車整體安全體統架構

如上圖所示，本系統考慮從以上不同的防護對象，采用了不同的防護技術。在感知層，需要對總線網關針對Dos 報文攻擊進行過濾，防止總線擁塞，另外針對有侵入意向的報文例如ECU刷寫報文要進行鑒權認證處理。在傳輸層和接入層，除了采用非對稱加密身份驗證等外，對于數據通道采用對稱加密外，還加入了可信任的汽車身份識別，以及訪問信任鏈。針對服務層應用和移動APP，采用了app反編譯保護，組件安全保護，以及app安全評測。針對整體系統，還采用滲透測試來保障發現問題和漏洞時候進行彌補。

下圖是安全防護的邏輯關系圖。

圖7 安全防護邏輯關系圖

2.2 汽車網絡網關安全防護設計

一個標準的汽車網絡如下，其中網關通過CAN，Lin以及Flexray 在各個ECU之間進行數據交互。基于CAN 數據廣播的機制和無數據驗證的缺陷，十分容易受DoS攻擊[7]。

圖8 整車網絡模型

基于以上的考慮，為了防護整車網絡，采用安全的整車網絡模型，在總線應用中加入安全控制的節點，用于保護汽車總線面免受外部網絡攻擊的干擾。如圖所示，在基于TBox或者ODB接口的互聯網汽車總線應用系統中，利用安全控制（Security Control）的機制來攔截外部信息系統對汽車總線的直接控制，在這里主要是通過獨立網關（Gateway）進行過濾DoS攻擊；對于需要進行控制的合法請求加入可信任模型[8]。

圖9 網關保護模型

在這里，只有進過認證的用戶可以正常的從總線獲取數據，如果要向CAN總線發送數據，要先向總線保護模塊請求，只有獲得總線保護模塊認可才可以發送報文，如下圖所示。同時，網關作為總線保護模塊通過控制終端設備的CAN數據來發送接口來保護汽車總線。Tbox向其請求發送數據，模塊通過算法判斷決定允許或者拒絕發送數據到總線。為了抵御終端設備可能發生的高頻率總線傳輸請求，總線保護模塊以時間來作為判斷標準。

同時在網關部分采用硬件隔離技術，將網關信息隱藏在內，不暴露于網絡通訊之外，網關與無線通訊用不同的單片機實現，隔離出來，保證總線網絡與無線網路的物理隔絕，采取單元判斷轉發，在中斷程序內部判斷診斷請求來源再作具體轉發響應，避免總線信息泄漏，轉發錯誤，保證用戶汽車數據信息的保密性和安全性。其中處理機制如下圖所示。

圖10 總線消息處理機制

2.3 通信安全以及數據傳輸及接入防護

網絡結構主要分為四個區，包括移動終端區、移動通信網、移動接入管理區和業務平臺區。移動終端區包括車聯網平臺和手持終端，移動網絡包括聯通基站，HLR（歸宿位置寄存器）、SGSN（服務GRPS支持節點）、GGSN（網關GPRS支持節點）和路由器等。移動接入管理區包括防火墻、客戶AAA和路由器。業務平臺式客戶業務平臺。其中移動通信網和移動接入管理區通過APN專線連接。通過企業級的網絡結構，強有力的保證了車聯網平臺的安全[9]。整體網聯汽車傳輸如下圖所示。