/ 導(dǎo)讀 /
在當(dāng)今主機(jī)廠的新車發(fā)布會(huì)上�����,車聯(lián)網(wǎng)相關(guān)功能作為特色賣點(diǎn)仍占據(jù)半壁江山���,如遠(yuǎn)程開空調(diào)、遠(yuǎn)程座椅加熱��、遠(yuǎn)程升級(jí)等。通過將車輛聯(lián)網(wǎng)�����,并搭載各類傳感器�、控制器、執(zhí)行器等智能硬件�,汽車開始具有了交互和服務(wù)的能力,并從單純的交通工具向連接萬物的超級(jí)智能終端進(jìn)化���。
車聯(lián)網(wǎng)讓汽車煥發(fā)青春的同時(shí)�����,也讓原本相對(duì)封閉的汽車一下子暴露在了開放的網(wǎng)絡(luò)環(huán)境中,并隨時(shí)可能受到來自網(wǎng)絡(luò)信息安全的威脅��。而車聯(lián)網(wǎng)系統(tǒng)中包含的車主個(gè)人信息����、常用聯(lián)系人、常用地址等敏感信息��,一旦被非法竊取�,輕則隱私泄露財(cái)產(chǎn)損失�����,重則人身安全受到傷害�。
因汽車信息安全問題導(dǎo)致車輛被召回的典型事件發(fā)生在2015年的菲亞特克萊斯勒汽車公司(FCA)身上����。在一次信息安全測(cè)試,多名信息安全專家利用FCA生產(chǎn)的汽車上拆下來的娛樂主機(jī)的聯(lián)網(wǎng)通道以及對(duì)外的物理接口��,入侵了FCA的云端�,并偽造發(fā)送了車輛的遠(yuǎn)程控制指令,結(jié)果順利打開了車輛的空調(diào)�、儀表、雨刷等模塊�。且這類攻擊既可發(fā)生于車輛尚未啟動(dòng)時(shí),也可發(fā)生于汽車行駛過程中��,存在極大的安全風(fēng)險(xiǎn)����。隨后,F(xiàn)CA宣布在美國(guó)召回140萬輛存在此信息安全風(fēng)險(xiǎn)的轎車和卡車���。
處于開放網(wǎng)絡(luò)環(huán)境中的汽車面臨的信息安全風(fēng)險(xiǎn)主要來自于車載終端��、云服務(wù)平臺(tái)��、通信鏈路和外部生態(tài)等方面�。主機(jī)廠在經(jīng)歷車聯(lián)網(wǎng)業(yè)務(wù)野蠻生長(zhǎng)之后,開始越來越重視車聯(lián)網(wǎng)的信息安全���,并通過各種手段提升車輛的信息安全防護(hù)能力�����。包括加強(qiáng)車聯(lián)網(wǎng)數(shù)據(jù)在全生命周期的分級(jí)分類管理和訪問控制��;完善車輛研發(fā)���、生產(chǎn)、使用過程中的身份認(rèn)證體系���;搭建多方聯(lián)動(dòng)、信息共享���、實(shí)時(shí)精準(zhǔn)的安全服務(wù)平臺(tái)等����。
國(guó)家相關(guān)機(jī)構(gòu)作為行業(yè)的監(jiān)管方,也正在逐步建立建全有關(guān)網(wǎng)聯(lián)汽車的安全管理體系(國(guó)標(biāo)��、行業(yè)規(guī)范)����,強(qiáng)化汽車行業(yè)對(duì)于信息安全的風(fēng)險(xiǎn)防控以及安全防御能力。
本文作為車聯(lián)網(wǎng)圈黑話第五期�,通過對(duì)車聯(lián)網(wǎng)中典型的車云架構(gòu)進(jìn)行剖析,分析潛在的信息安全威脅��,并介紹一些通用的信息安全方案���。
車聯(lián)網(wǎng)車云業(yè)務(wù)整體架構(gòu)
車聯(lián)網(wǎng)的常用架構(gòu)為云管端架構(gòu)���,云指云服務(wù)平臺(tái),端指車載終端�����,管指連接云服務(wù)平臺(tái)與車載終端的通信鏈路����,通用的云管端架構(gòu)方案如下圖所示。
云服務(wù)平臺(tái)一般有兩個(gè)APN(Access Point Name,網(wǎng)絡(luò)接入點(diǎn))��,一個(gè)負(fù)責(zé)接入公網(wǎng)域��,一個(gè)負(fù)責(zé)接入私網(wǎng)域���。公網(wǎng)域一般負(fù)責(zé)文件存儲(chǔ)�����、云計(jì)算等對(duì)存儲(chǔ)資源要求高�、計(jì)算能力要求大的應(yīng)用��。私網(wǎng)域主要負(fù)責(zé)車輛敏感數(shù)據(jù)交互以及車控�����、FOTA等業(yè)務(wù)����,是主機(jī)廠車聯(lián)網(wǎng)業(yè)務(wù)的生命線,同時(shí)需具備比公網(wǎng)域更高的信息安全要求��。因此設(shè)置設(shè)備接入網(wǎng)關(guān)���,對(duì)接入車載終端進(jìn)行身份驗(yàn)證和路由服務(wù)��。
車載終端以內(nèi)置4G/5G通信模塊的TBOX/智能網(wǎng)關(guān)為主�。對(duì)外通過遠(yuǎn)程通信技術(shù)與云服務(wù)平臺(tái)進(jìn)行通信�����,對(duì)內(nèi)通過CAN/LIN/車載以太網(wǎng)與車內(nèi)其他ECU進(jìn)行通信�。從而提供行車數(shù)據(jù)采集、遠(yuǎn)程查詢和控制�����、遠(yuǎn)程診斷�����、遠(yuǎn)程升級(jí)等服務(wù)���。
至于連接云服務(wù)平臺(tái)與車載終端的通信鏈路���,公網(wǎng)域與車載終端一般采用HTTPS協(xié)議,私網(wǎng)域與車載終端一般采用TCP/IP協(xié)議�。而對(duì)接入車輛/設(shè)備多的場(chǎng)景可在網(wǎng)絡(luò)的應(yīng)用層采用MQTT協(xié)議。
如同其他涉及云端和設(shè)備端的系統(tǒng),車聯(lián)網(wǎng)云管端架構(gòu)面臨的信息安全威脅主要包括:云端的被篡改���、通信鏈路的監(jiān)聽�����、車端密鑰的泄露�、本地網(wǎng)絡(luò)的通信安全等���。
一�����、服務(wù)器安全
汽車領(lǐng)域的云服務(wù)平臺(tái)與傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域云平臺(tái)類似�,容易遭受服務(wù)器被入侵的風(fēng)險(xiǎn)����,導(dǎo)致敏感數(shù)據(jù)泄露、關(guān)鍵指令被篡改�����,從而損害車主的權(quán)益���。比如攻擊者通過入侵服務(wù)器來篡改車輛遠(yuǎn)程控制報(bào)文�,輕則導(dǎo)致車輛操作異常���,重則影響車輛正常行駛���,危及用戶的生命安全。
各主機(jī)廠一般采用將敏感數(shù)據(jù)和重要服務(wù)“關(guān)在家中”的手段來保證信息安全��。通過專線網(wǎng)絡(luò)�����、身份認(rèn)證���、設(shè)置獨(dú)立機(jī)房專業(yè)運(yùn)維等措施�,阻止非法用戶的訪問�。
二、服務(wù)接口安全
由于微服務(wù)架構(gòu)具有部署靈活�����,彈性擴(kuò)容等優(yōu)點(diǎn)��,[敏感詞]搭建的云服務(wù)平臺(tái)普遍采用以SpringCloud為代表的框架作為開發(fā)的基礎(chǔ)。主機(jī)廠部分車聯(lián)網(wǎng)業(yè)務(wù)需要獲取用戶���、車輛��、零件的相關(guān)數(shù)據(jù)���,并將這些數(shù)據(jù)作為業(yè)務(wù)流轉(zhuǎn)的基礎(chǔ)?���?缙脚_(tái)和跨系統(tǒng)間的數(shù)據(jù)共享和數(shù)據(jù)通信一般通過微服務(wù)的Web Service接口方式來實(shí)現(xiàn)。
為了驗(yàn)證發(fā)送方身份����,并保證數(shù)據(jù)的完整性,數(shù)據(jù)傳輸接口一般使用HTTPS協(xié)議����,來保證發(fā)送方身份的真實(shí)性。同時(shí)通過定期更換對(duì)稱密鑰�����,對(duì)報(bào)文加密或增加MAC驗(yàn)證字段等手段��,來驗(yàn)證數(shù)據(jù)的完整性。主機(jī)廠還可以在報(bào)文中添加新鮮度字段(如時(shí)間戳)等手段�,對(duì)新鮮度進(jìn)行管理,以防攻擊者使用相同的數(shù)據(jù)進(jìn)行重放攻擊����。
云管端架構(gòu)中存在多條通信鏈路�����,包括云服務(wù)平臺(tái)與基站通信鏈路�����,基站與車載終端通信鏈路����,手機(jī)與基站通信鏈路等。
車聯(lián)網(wǎng)公網(wǎng)域主要承載車端的非敏感文件或日志的上傳/下載�、云存儲(chǔ)等業(yè)務(wù),采用HTTPS協(xié)議便能滿足信息安全的需求����。然而對(duì)于部署敏感數(shù)據(jù)交互和車控功能等業(yè)務(wù)的私網(wǎng)域,通信端需要能夠應(yīng)對(duì)更高等級(jí)的信息安全威脅�����。這些威脅包括車載終端被偽造,非法連接云服務(wù)平臺(tái)�����;云服務(wù)平臺(tái)被釣魚��;指令或業(yè)務(wù)數(shù)據(jù)明文傳輸被截獲����,敏感信息泄露;指令或業(yè)務(wù)數(shù)據(jù)被截獲篡改���,執(zhí)行錯(cuò)誤請(qǐng)求����,造成安全事故等�。
在通信鏈路攻擊中,攻擊者可以通過偽基站��、DNS劫持等手段劫持會(huì)話�,竊取車輛的知識(shí)產(chǎn)權(quán)或敏感數(shù)據(jù)。如在FOTA業(yè)務(wù)中監(jiān)聽竊取車輛的升級(jí)包����,以反向工程ECU固件�����。
攻擊者還可通過車輛物理接口����,篡改云端通信路徑�,使用偽造的服務(wù)器對(duì)車輛實(shí)施攻擊���。例如執(zhí)行無休止的數(shù)據(jù)攻擊����,從而使車端的控制器耗盡其存儲(chǔ)空間����,無法進(jìn)行正常的業(yè)務(wù)操作?����;蚴强截怲BOX軟件版本至其他設(shè)備��,偽裝成合法車輛對(duì)云服務(wù)平臺(tái)非法訪問。
通過對(duì)上述風(fēng)險(xiǎn)的分析�,結(jié)合車聯(lián)網(wǎng)業(yè)務(wù)流程涉及車云兩端的頻繁交互,迫切需要為參與車聯(lián)網(wǎng)業(yè)務(wù)的核心實(shí)體對(duì)象(云服務(wù)平臺(tái)���、車載終端等)賦予高強(qiáng)度的身份標(biāo)識(shí)����,保證實(shí)體對(duì)象的唯一性�����,同時(shí)基于各實(shí)體對(duì)象的身份標(biāo)識(shí)�,實(shí)現(xiàn)車載終端接入車聯(lián)網(wǎng)服務(wù)平臺(tái)的雙向高強(qiáng)度身份校驗(yàn)。
公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure����, PKI)通過采用非對(duì)稱密碼算法技術(shù),提供信息安全服務(wù)��,是一種通用并遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái)�。它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理。在車聯(lián)網(wǎng)應(yīng)用中�����,PKI可為各類實(shí)體對(duì)象提供身份的可信描述,為對(duì)象簽發(fā)統(tǒng)一的數(shù)字身份標(biāo)識(shí)—數(shù)字證書�,從而構(gòu)建可信的網(wǎng)絡(luò)虛擬環(huán)境����。為實(shí)現(xiàn)信息的保密性�����、完整性��,不可抵賴性提供基礎(chǔ)支撐��。
PKI子系統(tǒng)之間的邏輯關(guān)系如下圖所示。
云端的設(shè)備接入網(wǎng)關(guān)��、車載終端均需由PKI簽發(fā)證書����,對(duì)于TBOX、AVN等控制器的激活操作�,即PKI中的證書簽發(fā),步驟簡(jiǎn)述如下:
步驟1:TBOX產(chǎn)生公私鑰對(duì)并構(gòu)造P10申請(qǐng)(P10中包含證書主題��、有效期、公鑰以及上述信息的簽名)���,將申請(qǐng)發(fā)送至云端���;
步驟2:云端證書管理服務(wù)接收到請(qǐng)求后,對(duì)上傳的信息進(jìn)行校驗(yàn)�����,并將P10和車輛其他信息封裝成PKI識(shí)別的證書請(qǐng)求�����,PKI簽發(fā)證書�����;
步驟3:云端將簽發(fā)后的PKI證書返回至車端TBOX存儲(chǔ)����。
在云端和設(shè)備端均激活(證書簽發(fā))后,通信實(shí)體與云端便可基于數(shù)字證書進(jìn)行通信���。
汽車普遍采用CAN總線連接車內(nèi)的其他ECU或傳感器設(shè)備�����。由于CAN總線通信無認(rèn)證能力���,缺乏加密通信功能��,攻擊者可利用其廣播機(jī)制入侵總線上的任一節(jié)點(diǎn)��,在取得總線的控制權(quán)后便可以向總線其他節(jié)點(diǎn)發(fā)送報(bào)文��。因此CAN總線面臨多類攻擊方式的風(fēng)險(xiǎn)���,包括重放攻擊、洪泛攻擊���、修改攻擊和丟棄攻擊等���。
HSM(Hardware Security Module�,硬件安全模塊)是車端安全方案的基礎(chǔ)支撐,后文將要介紹的兩種車端信息安全策略TrustZone/TEE執(zhí)行環(huán)境和SecOC協(xié)議����,也均是基于HSM實(shí)現(xiàn)。HSM將算法、密鑰�、加密方式等信息寫入無法篡改的硬件模塊中,并處理安全性相關(guān)任務(wù)包括安全的車載通信����、運(yùn)行時(shí)的操作檢測(cè)以及安全的啟動(dòng)、刷新���、日志記錄和調(diào)試等�。以此來阻止攻擊者通過繞過與安全性相關(guān)的ECU接口����,獲得對(duì)車載網(wǎng)絡(luò)的訪問權(quán)限。
一���、Trustzone/TEE執(zhí)行環(huán)境
TrustZone是ARM A-profile架構(gòu)中的安全架構(gòu)�。TrustZone將CPU的工作狀態(tài)分為兩種����,NWS(Normal World Status,正常世界狀態(tài))和SWS(Secure World Status����,安全世界狀態(tài))���。支持TrustZone技術(shù)的芯片提供了對(duì)外圍硬件資源的硬件級(jí)別的保護(hù)和安全隔離。當(dāng)CPU處于NWS時(shí)�����,任何應(yīng)用都無法訪問安全硬件設(shè)備���,也無法訪問屬于SWS的內(nèi)存�����、緩存以及其他外圍安全硬件設(shè)備�。它們之間具有系統(tǒng)級(jí)別的硬件強(qiáng)制隔離�。
操作系統(tǒng)和應(yīng)用運(yùn)行在NWS,TEE運(yùn)行在SWS����。通常一個(gè) TEE包括多個(gè)由輕量級(jí)內(nèi)核托管的可信服務(wù),提供諸如密鑰管理之類的功能����,并為開發(fā)人員提供相應(yīng)的API���。
一個(gè)完整的SoC由ARM內(nèi)核�����、系統(tǒng)總線�����、片上RAM��、片上ROM以及其他外圍設(shè)備組件構(gòu)成��。對(duì)于ARM內(nèi)核的控制器��,需要支持TrustZone����,同時(shí)配合相應(yīng)的組件,才能實(shí)現(xiàn)整個(gè)系統(tǒng)芯片達(dá)到硬件級(jí)別的保護(hù)和隔離措施����。下圖是一個(gè)支持TrustZone的SoC的硬件框圖。
TrustZone技術(shù)之所以能提高系統(tǒng)的安全性�����,是因?yàn)閷?duì)外部資源和內(nèi)存資源的硬件隔離。這些硬件隔離包括中斷隔離���、片上RAM和ROM的隔離�����、片外RAM和ROM的隔離��、外圍設(shè)備的硬件隔離���、外部RAM和ROM的隔離等。
實(shí)現(xiàn)硬件層面的各種隔離����,需要對(duì)整個(gè)系統(tǒng)的硬件和處理器核做出相應(yīng)的擴(kuò)展,包括將CPU內(nèi)核進(jìn)行虛擬化�����,將CPU的運(yùn)行狀態(tài)分為安全狀態(tài)和非安全狀態(tài)��;在總線增加安全位讀寫信號(hào)線���;增加內(nèi)存管理單元(Memory Management Unit�,MMU)頁表的安全位;緩存增加安全位���;其他外圍組件提供安全操作權(quán)限控制和安全操作信號(hào)等。
二�、SecOC協(xié)議
最近幾年車內(nèi)總線的加密通信受到了越來越多的關(guān)注。為了響應(yīng)汽車行業(yè)對(duì)數(shù)據(jù)加密和驗(yàn)證的需求��,AUTOSAR組織補(bǔ)充了SecOC(Secure Onboard Communication)組件����,為車載通訊總線引入了一套通信加密和驗(yàn)證的標(biāo)準(zhǔn),是車載網(wǎng)絡(luò)上一種有效的信息安全方案�。
SecOC是在AUTOSAR軟件包中添加的信息安全組件,該模塊增加了加解密運(yùn)算��、密鑰管理�����、新鮮值管理和分發(fā)等一系列的功能和新要求��。SecOC模塊能夠給CAN/CANFD總線上的報(bào)文數(shù)據(jù)提供有效可行的身份驗(yàn)證機(jī)制�����,與當(dāng)前的AUTOSAR的ARA通信機(jī)制集成良好,對(duì)資源消耗小��。該規(guī)范基于對(duì)稱算法的MAC認(rèn)證�����。與非對(duì)稱算法相比�����,使用更短的密鑰實(shí)現(xiàn)了相同級(jí)別的安全性����。
若通信的控制器之間需要實(shí)現(xiàn)SecOC協(xié)議,則發(fā)送和接收控制器都必須集成SecOC模塊�����。原始報(bào)文稱為Authentic I-PDU���,SecOC模塊基于原始數(shù)據(jù)和密鑰�����,使用約定的算法得到MAC值����。報(bào)文頭、原始報(bào)文���、新鮮度和MAC組裝后得到Secured I-PDU,結(jié)構(gòu)如下圖所示��。
SecOC主要基于兩種手段來實(shí)現(xiàn)數(shù)據(jù)的真實(shí)性和完整性的校驗(yàn)�����,分別是基于MAC的身份驗(yàn)證和基于新鮮度的防重放攻擊��。首先MAC是保障信息完整性和認(rèn)證的密碼學(xué)方法之一����,SecOC協(xié)議中MAC消息認(rèn)證碼的作用是驗(yàn)證報(bào)文數(shù)據(jù)的真實(shí)性,然而保證報(bào)文的機(jī)密性還需要進(jìn)行額外的安全措施���。
其次����,為了降低重復(fù)攻擊的風(fēng)險(xiǎn),則需要在Secured I-PDU中加入新鮮度值�,新鮮度值是一個(gè)根據(jù)一定邏輯不斷更新的數(shù)值, AUTOSAR推薦計(jì)數(shù)器或基于時(shí)間戳生成新鮮度值���。OEM在實(shí)施 SecOC 方案時(shí)需要定義和做好兩個(gè)關(guān)鍵部分:新鮮度值管理和密鑰管理�����。下圖為基于SecOC的通訊加密和認(rèn)證過程��。
發(fā)送節(jié)點(diǎn)的SecOC模塊在生成新鮮度和MAC����,和原始報(bào)文組裝為Secured I-PDU���,并通過CAN總線廣播���。
接收節(jié)點(diǎn)的SecOC模塊通過驗(yàn)證MAC來判斷原始報(bào)文的來源和完整性。新鮮度值驗(yàn)證該報(bào)文是否重復(fù)并合法�����。
隨著車聯(lián)網(wǎng)技術(shù)的發(fā)展��,汽車電子架構(gòu)的革新,自動(dòng)駕駛量產(chǎn)的推進(jìn)��,汽車在信息安全方面將面臨更多更嚴(yán)重的威脅����。各主機(jī)廠和Tier1需要通過安全防護(hù)體系的建立以及持續(xù)性的風(fēng)險(xiǎn)分析和攻防策略優(yōu)化,提升各車聯(lián)網(wǎng)平臺(tái)的信息安全能力��。
(本文采摘自網(wǎng)絡(luò)����,意見與觀點(diǎn)不代表本站立場(chǎng)��。如有侵權(quán)���,請(qǐng)聯(lián)系我們刪除?。?br/>
品通用logo圖 - 副本.jpg)
