智能網聯系統中的T-BOX安全架構設計

摘 要 智能網聯汽車在國家政策的支持下快速發展， T-BOX作為智能網聯汽車的遠程通訊終端設備，其安全行越來越受到主機廠以及相關硬件開發廠家的重視并成立專項研究。本文從T-BOX的硬件安全、操作系統安全、應用安全等方面研究，定義了如何從架構設計層面來規范T-BOX的安全，從而保證了智能網聯汽車安全。

關鍵詞 車聯網安全 操作系統安全 硬件安全 通信安全

中圖分類號：TP273文獻標識碼：A

汽車作為出行必不可少的交通工具，電動化、網聯化、智能化、共享化的汽車將是自動駕駛是汽車發展的重要方向。其中打造智能化網聯化的汽車是現階段的重要發展趨勢，也是通向自動駕駛的必經過程。智能網聯汽車將依車載傳感器、控制器、執行器等車端電子設備，通過3G、4G、LTE-V、5G等網絡技術，實現車與萬物 （車、路、人、物、云等）信息交換、信息共享，智能終端通過與復雜的環境感知、深度學習、智能化決策、達到車輛自主協調控制。其中，T-box遠程通訊智能終端為車輛與平臺搭建了信息交互的橋梁，對車輛內部，T-box通過CAN、LIN、MOST、以太網等汽車傳輸協議實現指令和信息的傳遞。同時， T-box通過內置的通訊模塊，通過標準協議與平臺進行數據傳輸、語音交互、IP交互、短信交互，并將平臺第三方資源通過T-box提供的安全通道實現信息在車輛端共享。本文描述了T-box自身安全、硬件安全、操作系統 、接口安全、密碼應用、通信安全等策略。定義了智能車載終端T-box信息安全技術要求。

T-BOX 主要面臨幾方面的安全威脅：

一是逆向攻擊，攻擊者通過對T-box固件的逆向攻擊，獲取固件加密算法和密鑰規則，破解算法，對數據進行監聽、篡改、破壞。

二是信息泄露，T-BOX 出廠的時候是留有調試接口的，攻擊者通過 T-BOX 預留調試接口就可以讀取內部數據，從而導致信息泄露。

三是網絡攻擊，攻擊者通過偽基站、DNS 、劫持等手段劫持 T-BOX信息會話，通過虛擬偽造發送控制指令對汽車進行信息獲取及控制。

四是OTA升級，（1）網絡傳輸升級包截取;（2）簽名漏洞，刷入篡改固件;（3）平臺秘鑰、KPI泄露，發送破壞升級包;（4）升級策略、秘鑰管理不規范。

五是硬件接口， T- box在設計時沒有采用防呆的接口設計，用戶在更換接口插件時， 系統無法正常工作或燒毀，導致整車安全和用戶的財產、信息損失。

1 T-box安全架構及目標

如上圖所示，T-box通訊智能終端主要有對車端（對內）通信和對平臺端（對外）通信兩種方式組成。對內通信：（1）通過CAN、LIN、MOST等車輛傳輸協議和其他ECU交互（BMS、BCM、空調系統、VCU等）;（2）通過以太網和ADAS自動駕駛輔助系統、視覺智能系統交互;（3）通過USB與車機HU交互;對外通信：連接車聯網平臺，通過標準協議進行信息的發送與接收。智能網聯化汽車整體安全系統由云端安全、通道安全、車輛安全組成， T- box作為汽車的信息接收和發送的重要節點，其安全性不亞于汽車中的CAN網關，是汽車安全的重要屏障，分析其安全也是汽車安全的重要環節之一，T-box安全包括硬件安全（接口、芯片等）、操作系統安全、應用安全、數據安全（存儲、發送、接收）、平臺交互通信安全、終端ECU交互通信安全。

T-box設計安全整體目標是指通過對 T- box各交互層的執行安全措施，避免由于 T- box安全問題造成整車傷害，造成用戶生命受到威脅和財產損失;同時防止攻擊者通過非法手段竊取用戶信息、車輛信息造成信息安全事件發生。整體設計目標包括：硬件安全目標、操作系統安全目標、應用安全目標、數據安全目標、終端ECU交互通信安全目標、平臺交互通信安全目標。

硬件安全目標：T- box智能終端作為重要的交互硬件，涉及到身份認證、鑒權、權限管理、秘鑰管理存儲，與平臺的通訊芯片、操作系統/固件更新都會存儲漏洞。攻擊者將通過對T-box硬件的攻擊竊取信息，導致用戶信息和車輛信息泄露，造成信息安全事件。 T- box在硬件架構設計時，需要考慮到電路和芯片上實現數據運算和存儲等功能時的安全性，增加相關硬件（ MCU/ ?CPU、 FLASH、 SENSOR、 GPS、3 G/4 G、 WiFi/藍牙等模塊）加密芯片對抗多種攻擊。 同時，在硬件等級要求上達到國家相關標準（安全等級ASIL D），甚至更高規格要求。

操作系統安全目標：操作系統依據安全系統策略、操作權限對操作進程進行的身份權鑒權和訪問控制機制， 防止非法進程對系統資源訪問和控制（篡改、竊取、破壞、竊聽、重放、偽造、中間攻擊等多重威脅），確保操作系統文件信息的可靠性、有效密性、完整性和可認證性，并循壞監測和記錄系統資源的訪問，操作系統系統能夠按照預期目標正常工作，當系統受到非授權用戶異常操作、破壞時，系統文件信息都處于安全狀態，不被非法獲取、篡改和破壞。

應用安全目標： T- box與平臺和車機應用的信息交互需要通過身份鑒別、權限管理。軟件具備安全標記、訪問控制、可信路徑、抗抵性、容錯等保護措施，通過系列的安全保護措施，確保應用與平臺、車機交互數據的通信安全， 保證用戶使用應用服務安全和 T- box自身應用的安全（啟動、升級、登錄、登出、遠程控制等模式下的安全）。

數據安全目標： 對T- box所采集、存儲、處理、傳輸過程中產生的整車數據和用戶數據的安全性、有效性、完整性、真實性需要進行安全保護， 同時，應能夠對受保護資源提供備份機制，當數據丟失或破壞時，應能提供數據恢復功能。

終端ECU交互通信安全目標：指 T- box通過 CAN、 LIN、 MOST、以太網、 ?USB等方式和網關、其他 ECU之威脅和內部網絡之間的安全隔離間信息通信（BMS、 BCM、 ADAS自動駕駛輔助系統、人臉識別系統、車機 HU等）。網關和各節點ECU需要對T-box的身份進行驗證，識別T-box身份的合法性和有效性，同時，斷開外部藍牙、WiFi等外部網絡的威脅，避免攻擊者通過偽造、篡改、破壞等方式向關鍵 ECU發送非法指令和數據， 非法占用內部總線資源導致總線負載過大，系統崩潰; 反向能夠驗證內部網絡傳輸數據的有效性、完整性、合法性、可認證性并進行相應的處置，保證汽車功能安全正常運行。

平臺交互通信安全目標：指 T- box通過蜂窩網絡（2 G/3 G/4 G/ LTE- V/5 G）云網絡平臺進行相互通信，根據應用場景需求，終端與平臺通過標準協議進行數據交換，T- box與云平臺建立安全連接， 通信雙方進行雙向身份認證、數據鏈路加密、數據簽名、數字證書、 PKI、公鑰/私鑰等加密校驗手段， 抵抗篡改、竊取、破壞、竊聽、重放、偽造、中間攻擊等多重安全威脅，保證數據的完整性、保密性和可認證性。

2 T-box安全要求與規范

車聯網 T- BOX的設整體計應通過風險評估審核，全面分析硬件、接口、數據存儲、操作系統、應用安全、以及和各外界交互系統的對接，信息數據采集、存儲、處理、傳輸等方面。明確整車對 T- box安全需求，通過身份認證、訪問控制、身份鑒權、硬件加密等多種技術對 T- box進行安全防護，對 T- box安全防護體系整體的要求，以實現車輛整體安全目標。

硬件安全要求，需要從硬件安全設計方面，相關產品需加入了T-box防拆感應器件，若檢測到有異動，就會立即向后臺報警。采用車載專用的加密芯片，并確保該加密芯片無隱蔽接口，以防非法對加密芯片進行破壞或信息篡改。芯片在驗證階段調試的接口在上市中關閉，禁止使用。

操作系統安全要求， T-box操作系統應預留安全區域，用來存儲安全簽名和秘鑰管理。為了防止操作系統啟動時被攻擊者惡意篡改和破壞，每次T-box上電啟動操作系統需要增加啟動安全機制，安全認證正確后，加載操作系統。操作系統需要具備多操作系統隔離，如T-box具有兩個或以上操作系統，必須采用隔離機制，保證兩個操作系統之間的安全。主控程序需要提供安全機制，確保操作系統只識別信任操作，驗證信息來源的完整性、有效性、可認證性。 在系統安全保護方面應采用完整校驗手段（證書、 PKI、數字簽名等技術），對關鍵代碼或文件進行完整保護。

應用安全要求：

（1）確保應用軟件不存在后門，以防從后門惡意攻擊，軟件不存在 “中國汽車行業漏洞共享平臺（CAVD）” 以及 “國家信息安全漏洞共享平臺（CNVD）” 6個月及以上發布的高危安全漏洞。同時，軟件不存在惡意bug，出現非法收集、處理、篡改整車數據和用戶數據。

（2）鑒權管理， T-box應對車聯網發送信息和控制指令的身份合法性進行鑒別。同時，對通過WiFi、藍牙、USB等連接的智能終端設備進行鑒權管理。通過身份認證，若身份認證成功，可進行信息交互，若認證失敗，增加安全保護措施，如限制登錄次數、自動退出、結束回話流程等并記錄交互日志。

（3）訪問控制，T-box應定義對應的安全策略和操作優先級， 當出現非法訪問控制時，T-box將不做相應，當作無效指令，并記錄訪問日志。 訪問控制措施不應影響應用間的正常信息流轉，應保證車輛對信息流轉實時性的要求。

（4）證書簽名， 應用軟件應采用符合相關標準的代碼認證機制。

（5）通信完整性 應用程序應基于相關算法，在與外部網絡通信連接中提供完整性保護。接收和發送信息雙方應進行身份認證，并對傳輸數據的完整性、有效性進行校驗。 同時完整性保護應具有可選開關，對于非關鍵數據可關閉此選項。

目前智能網聯汽車正在急速發展，T-box作為汽車與平臺信息交互的智能終端，其安全性是汽車整體安全面臨著嚴峻的安全挑戰之一，這需要國家政策支持，行業法規以及 更多專業安全相關企業投入更多的研發與安全測試以提升智能網聯汽車安全質量。

作者簡介：吳應發（1992.01-），男，漢族，貴州省平塘人，本科，貴州長江汽車有限公司汽車工程研究院智能網聯部工程師，研究方向：長期從事T-BOX硬件研發，安全架構設計以及智能網聯云平臺相關研究。

參考文獻

[1] 周新.車聯網通信安全指南[J].移動通信，2015（22）：35.

[2] 秦天.T-BOX安全研究[J].無線通信技術，2017（12）：63.

[3] 李浩.車聯網安全技術研究[J].通信信號，2015（12）：30.

[4] 樊剛.車聯網通信安全[A].車聯網技術[C].機械工業出版社，2016：2.

[5] 潘春偉.車聯網T-BOX系統設計[M].電子工業出版社，2018：9.

[6] 彭楊，戎輝，王文揚，田曉笛，高嵩，郭蓬. T-BOX密碼安全防護方案[J]. 汽車電器，2017（05）：64-66.