基于OTA場景的電控信息安全研究

叢聰 孫瀟 史家濤

（濰柴動力股份有限公司 山東省濰坊市 261001）

隨著汽車電子控制系統功能復雜度和數據顆粒度呈階梯式增加，其發展速度逐漸超越網絡安全防護方法、技術和標準的發展，現階段汽車電子正面臨巨大的網絡信息安全風險，對功能安全的潛在影響也仍在探索和解決中，信息安全問題已經成為影響傳統汽車全面向智能網聯汽車發展過渡的關鍵點。

1 車聯網環境下汽車電子安全現狀

1.1 汽車電子信息安全現狀

萬物互聯的汽車電子時代使得整車廠和供應商不得不開始考慮和重視電控系統信息安全，商用車隊暴露在公共環境復雜工況下，無論從時間或是空間一旦被惡意攻擊、破解，其損失也將是難以自辯。近年來汽車行業安全事件頻繁出現在大眾視線中，比如2015年Jeep 自由光被破解，黑客重新刷入了帶有病毒的固件，并通過向CAN總線發送指令的方式控制車輛減速、制動甚至關閉發動機[1]，2017年騰訊科恩實驗室通過WIFI 破解特斯拉Model X 車載系統，實現特斯拉多個ECU 的任意遠程協同操控[2]。各類安全事件正是信息安全認知普及的指導教材，從系統層面教會了汽車電子行業信息安全的概念，正向推動企業采取保護網絡物理系統免受未授權訪問或攻擊的防御措施，并合法合規建立有效的網絡信息安全防護體系。

1.2 OTA概念

空中下載技術（OTA）通過移動通信的空中接口對車載SIM卡信息及應用進行遠程管理和控制，不僅可以為產品提供數據服務，同時能夠提供新業務下載和更新服務[3]。相較于傳統ECU更新方式，汽車行業OTA 的衍生為遠程刷寫、診斷提供優越技術保障，實現了線上實時問題定位和數據上傳、軟件下載和迭代更新，顯著減少產品召回幾率，整車廠售后維護成本得益于此突破性降低。

圖1：攻擊方式和威脅向量

圖2：電控系統網絡信息安全架構示意圖[8]

圖3：固件安全防護策略示意圖

2 安全威脅分析

在車聯網廣泛應用和復雜功能中，本文選取最典型的應用場景OTA 進行威脅研究和分析，攻擊者為達到破解通訊協議截獲重要數據資產的目的，使得信息資產將主要面對三類攻擊方式：物理接口方式、近距離間接方式和遠程無線方式，如圖1 攻擊和威脅典型向量示意。直接物理接入攻擊主要通過非法接入CAN、車載診斷系統(OBD)等生態接口，近距離無線攻擊主要利用藍牙和無線信道非法監聽、重放或偽造節點身份信息的方式，遠程無線攻擊主要通過WIFI 和移動數字蜂窩網絡端口實現非法偵聽、重放攻擊或偽造憑證等方式進行攻擊破解[4]。本章節按照整個異構網絡數據鏈路中通訊節點劃分，從車載終端、傳輸鏈路和云服務器三個重要層面進一步研究說明其中的威脅向量和攻擊方式：

2.1 終端威脅

ECU 或T-BOX 作為終端設備具備了豐富的網絡安全攻擊生態入口，同時面臨軟件、硬件兩大方面威脅：

（1）基礎元器件脆弱性：汽車電子中大量使用的傳感器、處理芯片等本身就可能存在設計上的缺陷或者漏洞，諸如信號干擾、緩沖區溢出、缺乏安全算法庫等，攻擊者通過異常環境對芯片進行攻擊，SPA/DPA 功耗攻擊或者物理探測等手段實現暴力破解。

（2）非法訪問入口：ECU 固件程序是常見的攻擊目標，如果ECU 對接入設備沒有任何訪問授權安全機制加上CAN 總線中的消息明文傳輸情況下，任何人都可以使用OBD 診斷設備接入總線進行操作，那么固件程序可能被非授權分析或平行越權，造成信息泄露實現滲透攻擊[5]。

（3）升級包篡改攻擊：ECU 接收OTA 升級包下載或更新，如果沒有對升級包進行安全憑證校驗或者憑證驗證過程被繞過，攻擊者可刷入被篡改過的系統固件，使系統不再處于受控范圍內。

（4）弱防御運行環境：惡意代碼逆向攻擊、滲透、訪問受保護資源，運行環境被注入非預期執行命令，從而終端設備被非法控制。

2.2 傳輸威脅

車輛通訊協議傳輸層普遍存在消息不認證、數據無防篡改或是錯誤檢測機制復雜度過低的潛在風險，在這種情況下傳統ECU 融合OTA 接入無線網絡后，使得汽車電子暴露在攻擊威脅中的可能性和面臨威脅向量的范圍擴大。整體來看總線傳輸協議受到的安全威脅具有相似性，本章節從未經授權的中間人攻擊和重放攻擊兩類進行歸納分析：

中間人攻擊利用惡意數據節點注入，可能在未授權情況下使控制系統執行非預期命令或數據訪問，造成通訊節點反饋或執行敏感動作，產生安全漏洞。針對傳輸數據完整性問題，傳統通訊標準協議雖然預留數據域用于循環冗余檢查（CRC），但隨著密碼學更多復雜算法的演進，CRC 算法結果被篡改的可操作性變得簡單，尤其是在總線明文會話中，數據真實完整性防御機制和機密性保護機制存在不足，執行成功攻擊所需的專業知識要求、對系統的熟悉程度以及突破機會窗口等威脅因素等級極低，也就是說仿冒、篡改或特權提升的攻擊成功可能性非常高。

重放攻擊通常利用CAN,FlexRay 等現有技術采用明文廣播發送的機理，攻擊者竊聽總線重要指令進行回放，或者利用網關將64 位同步幀計數器的高32 位字節每次增加1 作敏感事件的撞庫破解方式[6]，通過對一定樣本數量的歷史明文數據幀進行逆向工程、模糊測試等捕獲通信矩陣，進一步破解應用層通信協議。在這種攻擊情況下，由于總線上缺失數據時效性保護機制和機密性安全機制，通訊節點無法自主判斷有效模式而盲目正響應，攻擊成功可能性依然居高不下。

2.3 云端威脅

云平臺，或者數據服務器在整個OTA 應用場景中負責大數據安全管理和安全事件管理，車隊訪問控制變得非常繁雜,傳統單一安全域中的訪問控制模型和機制無法解決多域環境中可能出現的安全威脅。同時由于平臺開放性，攻擊者與普通入網用戶權限一致，導致車聯網服務平臺比傳統服務平臺面臨更多的攻擊面，例如文件注入、漏洞掃描攻擊、協議破解等[7]，威脅影響范圍更廣泛。如表1所示。

表1：服務器云平臺威脅列表

表2：CAN 總線認證方案

3 信息安全防護架構

基于OTA 用戶場景和網絡分段的角度，針對電控系統面臨的安全威脅和風險，將網絡安全的防御分為4 個層次和3 個階段，分別是ECU、中央網關、TBOX和云平臺服務器四個層次，升級包發布、升級包傳輸、終端升級三個階段進行防御，構建分層次的汽車電子網絡安全縱深防御體系架構。如圖2所示。

3.1 終端防護機制

終端設備需要考慮防止升級包被逆向分析風險、建立可信安全執行環境，如圖3 固件安全防護策略：

（1）集成安全組件。建立完善的安全防護機制通常采用軟件與硬件相結合的解決方案，集成安全組件，包括但不局限于硬件專用安全芯片或是加密軟件庫，其最終目的是為上層應用提供基礎密碼運算能力和密碼服務，將安全防護固化到硬件基礎元器件層面中。

（2）分域隔離，也就是將系統存儲空間基于Trust Zone 理念劃分為安全信任區域和非安全區域[9]，將數據資產按照重要程度、脆弱性和攻擊威脅產生的負面影響分區存儲，從物理層面上將系統資源隔離，建立一個可信的安全管理系統環境。

（3）安全啟動。基于可信運行環境的啟動流程是保障固件安全的根本，對引導程序或固件等進行有效性驗證是終端設備必須確立和實施的步驟。參考SHE 標準安全啟動機制，利用硬件加密模塊(HSM)實現靜態消息認證碼（MAC）檢查啟動代碼的一部分地址內容，只要引導程序和一些應用程序代碼（包括加密庫）真實性和完整性驗證通過，允許主程序啟動并幫助HSM 檢查代碼的其余部分。在這種復合檢查順序下，一旦驗證完成所有代碼內容，應用程序可以釋放其正常啟動過程。

（4）安全更新。為了防止升級包在傳輸路徑被篡改或仿冒，刷寫更新前應確保經過雙向數字簽名認證，終端需要安裝根證書、客戶證書以及服務器端證書，驗證通過方可進行下一步操作。另一方面，只有在升級包來源被合法使用時，解密為明文。

（5）安全存儲。重要數據應加密存儲，保證存儲機密性。同時，例如用戶私鑰、鑒權碼或文件鏡像等重要敏感數據的安全存儲必須是非授權用戶無法訪問的，明確訪問權限的區分。目前部分研究成果定義特權訪問概念[10]，管理核心系統資源的最高優先級仲裁者，將分散的訪問權限進行集中管理，并對訪問事件進行全程實時記錄和審計。

（6）安全備份。回滾機制在發現節點升級失效后執行回滾，使節點恢復到穩定版本，保證車輛功能正常運行，同時要求鏡像文件安全存儲，防止惡意回滾操作。

3.2 傳輸防護機制

數據廣播過程中也同樣需要部署防護策略防止第三方信道監聽和中間偽造，保障數據完整性、時效性以及數據源合法性。OTA 用戶場景下大致可將數據傳輸分為兩種，車內網絡和車云網絡。

從車內網絡分析，CAN 總線作為目前應用最廣泛的通訊協議在J1939數據鏈路層標準定義中已經有一定程度的信息安全的考慮，接收與發送雙方按照既定格式進行CRC 和報文鮮度計數值校驗用于驗證信號傳輸路徑完整性。然而傳統CRC 校驗機制已經不能滿足信息安全復雜度和實時性的安全需求，目前主流技術多數考慮基于密碼學進行完整性和合法源檢驗的報文加密和認證機制。

加密機制考慮系統資源和運算效率通常優先選擇對稱加密算法，例如AES，將明文數據經過加密后進行密文傳輸。認證機制如表2 通常有兩類方案，第一類是在CAN 總線協議數據域中嵌入MAC 來表示認證信息。根據MAC 密碼學原理，不同長度數據內容都會加密計算壓縮為固定長度消息摘要值，從而可以選擇性適配總線數據域。這種計算方式受限于報文協議的固定數據幀長度，需要使用第二條報文傳輸鑒權碼或者將鑒權碼拆分存儲報文CRC 數據域。第二類方案是由系統架構中網關節點仲裁其他訪問點的身份合法性，實時監控是否存在未授權的報文，采取高優先級錯誤幀來限制非法傳輸[11]。

認證機制不同總線適配方案除外，MAC 的計算方式也可以利用伽羅瓦域乘法運算(GMAC)計算摘要值從而引入更多的瞬態變量來增強報文鏈路的實時可信性和數據鮮度保障，替換常見的分組加密消息認證碼(CMAC)計算方式，為通訊完整性校驗增強實時性監控和檢測。如公式，相同明文塊數據DataInput、長度Inputlength和密鑰key 用戶場景下，GMAC 算法在動態計算方面更加靈活，單調鮮度計數值或隨機數都可以用作初始向量IV，附加信息域AD1和AD2 可以由用戶自定義關鍵私有信息，不同形參相同明文塊也會有動態加密結果，從而使得針對CAN 總線的重放攻擊、通訊協議被破解成功可能性變低：

MAC=AES_CMAC(key,DataInput,InputLength)或

MAC=AES_GMAC(key,IV,AD1,AD2,DataInput,Inputlength)

同理，車云網絡基于無線傳輸協議也應遵循加密和認證原則，保證傳輸通道密文，防止其他惡意節點直接監聽截獲明文信息從而破解和篡改。

3.3 云端防護機制

云平臺作為大數據量處理和事件管理服務器其性能和安全需求，包含主機安全、網絡安全、數據安全和應用安全，都應考慮在企業建立信息安全體系范疇內。文獻[15]提出的云計算安全架構中，可信根、可信鏈路和上層可信服務，以及動態安全管理的概念為云服務平臺中數據安全保護措施提供了分析思路。

基于OTA 場景下，云端對于車載終端重要安全服務之一是支持對重要事件的日志記錄和管理審計功能，日志文件至少包含事件主體、事件發生的時間、事件是否成功、權限設置等要素，因此云端服務器應具有保證日志文件安全性的措施，防止非授權訪問。第二類安全服務顯而易見是升級包任務下發、密鑰證書管理、數據加密和數字簽名服務等，可參考公鑰基礎設施（PKI 體系），解決實體之間的信任問題[16]。第三類安全服務，傳統IT 防護也理應歸納在信息安全體系考慮范圍內。

4 結論

本文基于OTA 流程從系統網絡架構出發，分別從終端、傳輸和服務器三個節點分析了當前電控系統網絡中面臨的篡改、仿冒、中間者攻擊、信息泄露和特權提升等安全威脅，同時針對所述威脅向量和攻擊方式說明了必要的對稱算法加密明文、非對稱算法數字簽名驗證訪問身份、消息摘要值校驗段落完整性以及針對CAN 總線的數據鮮度時效等信息安全防護機制和實施的方法。隨著智能網聯技術的發展OTA 應用的普及，與時俱進的電控信息安全防御機制和車載網絡入侵檢測系統有待更進一步研究分析和完善，保障產品從硬件元器件到軟件產品的全生命周期信息安全落地，整車廠和供應商始終需要通過安全防護體系的建立以及持續性的風險分析和攻防策略優化，提升汽車電子監測和防御外界攻擊能力來保障信息安全。