智能网联汽车的多级安全防护方案设计和分析

2017-03-14 02:24姜立标

网络安全技术与应用 2017年2期

◆胡文姜立标

◆胡文1姜立标2

（1.深圳联友科技有限公司广东 518000；2.华南理工大学机械与汽车工程学院广东 510000）

随着无线通信技术的快速发展,物联网的快速发展，汽车作为万物互联的一个分支也得到了快速的发展。但与此同时由于汽车接入互联网，车联网所带来的安全隐患也日益明显，尤其是牵涉到汽车的远程控制会带来不可估量的损失。尤其是当车从现在的单一车发展到无人驾驶，智能网联汽车，车的各种入口更加容易被攻击。本文作者使用了三维一体的车联网安全模型方案，从“云盾”，“通信通道”，“硬件终端”三个方面提供安全防护,同时通过渗透测试来不断完善安全体系。提出在车联网TBOX终端采用可信平台技术，同时在车载总线采用安全模型总线技术以及硬件系统高安全等级隔离，APN技术防护通道，动态签名方式以及对称和非对称加密等方法以及渗透测试等方案来进行数据终端管理和数据通信等多重防护，达到了安全防护的第三等级，并在自主品牌车辆上成功商业化。

车联网；Telematics；可信任技术；车辆安全模型；OTA

0 前言

近年来，汽车正往智能化发展，其智能化程度越高，遭受黑客攻击的风险性就越大。近年来的汽车攻击事件越来越频繁如图1所示，汽车的安全性越来越获得人们的关注的[1]。

图1 黑客攻击汽车事件

当车联上网络后，从车的角度来看，如图所示，会存在更多的攻击入口，更多的攻击点。目前主要的安全风险如下：

（1）DoS攻击（拒绝服务）；

（2）通信口令未加密；

（3）用户认证环节薄；

（4）完整的数据泄露；

（5）CAN 总线信息数据堵塞通道；

（6）ECU 指令恶意模仿，篡改；

（7）未认证的数据通道；

（8）不安去的通信协议，蓝牙，WIFI，3G，4G；

（9）OBD，T-Box协议漏洞，秘钥暴露，保密性薄弱，未加密；

（10）APP:77%汽车与手机APP 通信是不安全的，75%的App存在严重的隐私泄露问题，每种车载APP 存在5个以上安全漏洞；

（11）CAN总线数据无需身份认证，甚至部分高速CAN 也可以随意访问；

（12）嵌入式软件，系统风险，车载设备被嵌入风险；

（13）CP/SP链接风险；

（14）TSP后台链接风险；

（15）远程更新（固件，地图，配置，应用），远程配置/控制风险。

正因为如此，对于车联网系统的防护是一个全方位的防护。

1 智能网联汽车安全风险分析

智能网联汽车是物联网的一个衍生，是以车内网、车际网和车载移动互联网为基础，按照约定的通信协议和数据交互标准。在车-X（X:车，路，行人及互联网等）之间，进行无线通讯和信息交换的大系统网络，是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络，是物联网技术在交通领域的典型应用[2]。智能网联汽车的构成生态如下：

图2 智能网联汽车生态

按照智能网联汽车的构成，我们将系统分成了5个层次，包括物理感知层，通信层，网关接入层、服务层、移动APP等几个层次[3]；我们分别从以下几个方面分析安全的风险和解决方案:

图3 安全分析和解决方案

1.1 感知层安全风险

物理层的安全主要车联网平台硬件系统框架，是车联网安全的最后一道防线。目前车联网硬件包括OBD-4G（车载诊断仪）、车载WIFI、智能后视镜、行车记录仪等、ADAS（高级驾驶辅助系统）、车载视频监控系统、车辆传感器、智能车钥匙[4]。车内的ECU单元是通过CAN,LIN等网络连接起来，如果黑客攻入了车内网络，可以任意控制ECU或者通过发送大量错误报文导致CAN总线失效,最后ECU失效，因此车内网络的安全尤其重要。

1.2 网络传输安全风险

网络层包括移动通信网、移动接入管理和网络业务平台。其中移动通信网和移动接入管理之间用APN专线进行连接。网络层的安全主要是保证各车联网终端与网络中心的双向数据传输的安全防护[5]。网络传输层以及接入层存在以下众多的安全风险：

图4 安全风险示意图

1.3 应用服务层安全风险

应用服务层的安全包括服务环境安全、服务接入安全和服务平台安全，分别实现车联网服务支撑基础环境安全保护，行业用户、公网用户接入安全保护以及车联网业务平台安全保护[6]。

因为应用层APP是公开于互联网的，因此存在以下的安全漏洞：

（1）数据泄露；（2）修改位置信息；（3）短信活动；（4）修改传输数据；（5）文件操作；（6）盗取用户账号，服务密码；（7）网络活动；（8）劫持验证码；（9）行为监控；（10）发送伪造数据。

由于车联网应用系统复杂多样，某一种特定的安全技术不能完全解决应用系统的所有安全问题。一些通用的应用程序如Web Server 程序、FTP 服务程序、Email 服务程序、浏览器和Office 办公软件等自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。

2 系统方案设计

本智能网联终端设备根据以上的安全风险分析，设计了全方位的安全防护方案为如下。

首先，从整个智能网联车的生态考虑，必须从各个角度进行保护。

图5 安全防护系统框图

智能网联汽车安全防御必须从以下几个反面考虑和设计：

（1）从内到外:从车内部到整个生态环境安全；

（2）从小到大:从芯片安全到云安全，对应各个点提供保护；

（3）从始到终:从安全设计到安全运营。

防御的原则则有：

（1）架构全面性:采用端管云安全架构体系，考虑整个生态的安全需求。

（2）方案综合性:层次化、多样性的特点将更为突出，应根据风险分析合理实施众深防护方案，部署合适的安全防护产品。

（3）技术创新性:随着智能化，网联化和电动化的进一步发展，会出现更多新的攻击手段，需要超越原有理念，采纳新技术防护。

2.1 智能网联汽车整体安全体统架构:

图6 智能网联汽车整体安全体统架构

如上图所示，本系统考虑从以上不同的防护对象，采用了不同的防护技术。在感知层，需要对总线网关针对Dos 报文攻击进行过滤，防止总线拥塞，另外针对有侵入意向的报文例如ECU刷写报文要进行鉴权认证处理。在传输层和接入层，除了采用非对称加密身份验证等外，对于数据通道采用对称加密外，还加入了可信任的汽车身份识别，以及访问信任链。针对服务层应用和移动APP，采用了app反编译保护，组件安全保护，以及app安全评测。针对整体系统，还采用渗透测试来保障发现问题和漏洞时候进行弥补。

下图是安全防护的逻辑关系图。

图7 安全防护逻辑关系图

2.2 汽车网络网关安全防护设计

一个标准的汽车网络如下，其中网关通过CAN，Lin以及Flexray 在各个ECU之间进行数据交互。基于CAN 数据广播的机制和无数据验证的缺陷，十分容易受DoS攻击[7]。

图8 整车网络模型

基于以上的考虑，为了防护整车网络，采用安全的整车网络模型，在总线应用中加入安全控制的节点，用于保护汽车总线面免受外部网络攻击的干扰。如图所示，在基于TBox或者ODB接口的互联网汽车总线应用系统中，利用安全控制（Security Control）的机制来拦截外部信息系统对汽车总线的直接控制，在这里主要是通过独立网关（Gateway）进行过滤DoS攻击；对于需要进行控制的合法请求加入可信任模型[8]。

图9 网关保护模型

在这里，只有进过认证的用户可以正常的从总线获取数据，如果要向CAN总线发送数据，要先向总线保护模块请求，只有获得总线保护模块认可才可以发送报文，如下图所示。同时，网关作为总线保护模块通过控制终端设备的CAN数据来发送接口来保护汽车总线。Tbox向其请求发送数据，模块通过算法判断决定允许或者拒绝发送数据到总线。为了抵御终端设备可能发生的高频率总线传输请求，总线保护模块以时间来作为判断标准。

同时在网关部分采用硬件隔离技术，将网关信息隐藏在内，不暴露于网络通讯之外，网关与无线通讯用不同的单片机实现，隔离出来，保证总线网络与无线网路的物理隔绝，采取单元判断转发，在中断程序内部判断诊断请求来源再作具体转发响应，避免总线信息泄漏，转发错误，保证用户汽车数据信息的保密性和安全性。其中处理机制如下图所示。

图10 总线消息处理机制

2.3 通信安全以及数据传输及接入防护

网络结构主要分为四个区，包括移动终端区、移动通信网、移动接入管理区和业务平台区。移动终端区包括车联网平台和手持终端，移动网络包括联通基站，HLR（归宿位置寄存器）、SGSN（服务GRPS支持节点）、GGSN（网关GPRS支持节点）和路由器等。移动接入管理区包括防火墙、客户AAA和路由器。业务平台式客户业务平台。其中移动通信网和移动接入管理区通过APN专线连接。通过企业级的网络结构，强有力的保证了车联网平台的安全[9]。整体网联汽车传输如下图所示。