1743
一、外部网络接入的安全防护
T-BOX和IVI系统通常连接到公共网络域,因此对车载网和信息服务域使用网络隔离来增强安全控制管理是最有效的方法,形成两个具有不同安全级别的访问控制域,以避免未经授权的访问。此外,在车载网中使控制单元和非控制单元被安全地分开,并且为控制单元模块建立更高级别的访问控制策略也是行之有效的方法。增加访问IP白名单以避免干扰也是加强网络访问控制的有效方法。
(一)远程车载信息交互系统信息安全
符合国标GB17691-2018和GB/T32960.2-2016,在国六安全策略中,提供了技术可行的安全策略,保证T-BOX各种性能处于安全范围,例如电气适用性能、环境适用性能、可靠性性能、电磁兼容性性能、一般要求、功能要求等各项指标。
T-BOX终端存储、传输的数据是加密的,采用非对称算法,使用国密SM2算法或者RSA算法,并且采用硬件方式对私钥进行严格保护,数据传输过程对数据进行扫描,及时发现恶意数据攻击行为,如对ECU等CAN总线设备的写命令,或者其他超出正常数据读取指令,检出95%以上的攻击,误报率低于1%,攻击开始后10s内发现并启动防护机制。
信息安全是国家数据中心、各地市环境生态监管部门的重中之重,T-BOX加装安全芯片,还具备一个唯一识别的序列ID,安全级别保证为《信息技术安全评估标准》5+级或4+级,在可靠性高的电气隔离能力下,不允许因为T-BOX问题导致车载OBD功能失灵或者车辆故障,具备合理性数据判断、状态判断,不影响车辆OBD功能、年检、路检等。
防篡改信息备案,是数据传输中的关键一环,速锐得H6GB终端采用将加密芯片ID、车架号,加密芯片内生成的公钥数据绑定进行备案,有一个不匹配都会下发备案不成功的消息,备案不成功的设备,后面上报所有数据都会直接丢弃,平台不会回复任何消息。
因此,对安全加密芯片厂家,提出了严格要求,不仅要有完善的质量体系保证,通过ISO9001和ISO14001质量及环境管理体系认证,还要满足GM/T0008安全等级2级要求,具备国密证书,提供证明文件。
(二)车载综合信息处理系统信息安全
可信执行环境 (TEE) 旨在丰富之前定义的可信平台。 TEE 通常被称为隔离的处理环境,在该环境中,应用程序可以安全地执行,而与系统的其余部分无关。然而,TEE 仍然缺乏一个精确的定义以及系统化其设计的代表性构建块。 TEE 的现有定义在很大程度上不一致且不具体,这导致了该术语的使用及其与相关概念(例如安全执行环境 (SEE))的区别。
TEE 是一个安全的、受完整性保护的处理环境,由内存和存储功能组成。第一个部署的 TEE 系统大约在十年前出现,由 Orange、Trusted Logic 和 STMicroelectronics 的合资企业展示。对TEE的确切定义的讨论众多,下面是按照时间顺序给出的TEE的四个定义。
u Ben Pfaff, Terra, 2003:TEE 是“专用的封闭虚拟机,与平台的其余部分隔离。通过硬件内存保护和存储加密保护,其内容免受未经授权方的观察和篡改。”
u OMTP,高级可信环境,2009年:“TEE 可以抵御一组定义的威胁,并满足与隔离属性、生命周期管理、安全存储、加密密钥和应用程序代码保护相关的许多要求。”
u Global Platform,TEE 系统架构,2011 年:“TEE 是一个与设备主操作系统一起运行但与设备主操作系统隔离的执行环境。它保护其资产免受一般软件攻击。它可以使用多种技术来实现,其安全级别也相应地有所不同。”
u Jonathan M. McCune,移动设备上的可信执行,2013:“旨在实现可信执行的一组功能如下:隔离执行、安全存储、远程证明、安全供应和可信路径。”
可信执行环境 (TEE) 是一种在分离内核上运行的防篡改处理环境。 它保证所执行代码的真实性、运行时状态(例如 CPU 寄存器、内存和敏感 I/O)的完整性,以及存储在持久内存中的代码、数据和运行时状态的机密性。 此外,它还应能够为第三方提供证明其可信度的远程证明。 TEE 的内容不是静态的; 它可以安全地更新。 TEE 抵抗所有软件攻击以及对系统主存储器执行的物理攻击。 利用后门安全漏洞进行攻击是不可能的。
TEE被大力推广为在移动和嵌入式系统中提供安全处理的银弹解决方案。然而,安全专家们并没有对TEE进行测试,这与投机泡沫和营销宣传相去甚远。尤其是因为保密协议(NDA)。基于trustzone的TEE的攻击面是:软件异常(如SMC调用)、硬件异常(如中断)、共享内存接口、外设。和TEE-specific调用。威胁模型包括一个强大的攻击者,他能够在内核特权中执行任意代码。据我们所知,已经发布了三次针对QSEE或制造商定制版OSEE的攻击。QSEE对攻击者来说是一个诱人的目标。因为高通控制了Android设备的大部分市场。此外,它更容易利用安全缺陷,因为QSEE的内存布局是已知的。事实上,QSEE未加密地驻留在eMMC flash中,并在已知物理地址加载。反汇编程序用于洞察QSEE实现。有一个漏洞是由HTC添加的代码造成的,该漏洞允许在内存的安全区域的TrustZone中执行任意代码。罗森伯格使用两个不同的漏洞解锁了摩托罗拉Android手机的引导程序。第一个漏洞是关于用某些值覆盖内存的部分安全区域。这用于绕过打开引导加载程序的函数的检查。第二个漏洞影响所有使用高通Snapdragon SoC的Android手机。通过发出特别制定的SMC请求。攻击者可以在QSEE内执行任意代码。这种漏洞可靠性可能被用于危及任何依赖TEE的安全应用程序。除了利用SMC调用外,还可以操纵共享内存来发现漏洞。拦截正常世界和安全世界之间交换数据的模块集成在与TEE交互的内核驱动程序中。此次攻击的目标TEE是MobiCore,其目标是更好地理解MobiCore trustlet的内部工作原理。
(三)汽车诊断接口信息安全
OBD-II 是一个 16 针连接器端口,尽管标准本身只要求使用 9 针。 大多数车辆包括额外的连接,例如通用汽车 LAN 或克莱斯勒 CCD 克莱斯勒碰撞检测总线。 这些额外的连接提供了与车辆本身内其他总线的后端连接。 例如,它们在经销商处用于更新 ECU 上的软件、执行附加测试或解决特定于该车辆品牌和型号的问题。
汽车制造商一直严格控制各自标准的细节,为了访问特定车辆的底层总线架构信息,需要支付高额费用和订阅。尽管有这样的控制,售后市场的OBD-II制造商已经能够对通信架构进行逆向工程,以增强他们自己的产品。起初,只有标准的OBD-II连接器能够读取特定车辆的诊断信息。但随着廉价的蜂窝网络、WiFi和蓝牙的普及,售后市场OBD-II制造商已经扩展了他们的产品,包括全新的服务类别,如按英里付费保险、车辆使用跟踪和商业车队管理。
在车辆内部,OBD-II端口连接到一个或多个通信总线。CAN是一种始终受到支持的总线协议,尽管可能还有其他协议(例如,通用汽车也使用GM-LAN)。CAN本身是一种高速、混杂的协议,将所有网络流量广播到给定总线上的所有节点。在现代汽车。CAN总线连接到OBD-II端口,通常可以接收和中继所有流量到接口的外部。
然而,CAN在车上的用途远不止传输诊断故障代码。现代汽车有数百个传感器和电子控制单元,可以控制从车辆操作(转向、刹车、这些部件交换的所有信息都通过CAN总线或类似的(通常是专有的)总线传输,通常通过OBD-II端口访问。例如,一个传感器测量车轮的速度,并将数据发送到速度计。与大多数组织的IT基础设施中基于TCP的分组交换网络不同,CAN协议将所有数据发送到给定总线上的所有节点。每个CAN帧都包含一个目的地址:节点被期望忽略不是指向它们的流量。然而,一个CAN帧不包括源地址。因此,目标节点无法知道源是否合法。在速度计的例子中。速度计无法区分从车轮发送的速度数据和从其他设备(包括OBD-II端口)发送的速度数据。设备处理冲突数据的方式各不相同。但常见的响应是使用最后接收到的值或使用最频繁接收到的值。
CAN协议面临着几个在大多数现代汽车中都没有解决的安全问题。对于这些问题,我们假设有两个原因。首先,大多数网络和ECU都是在访问总线需要物理访问车辆时设计的。因此,安全并不是首要考虑的问题。第二,对于车辆的安全性和性能而言,速度和时机被认为比数据安全更重要。例如,为了验证一个字节数据的发送者,需要多等一毫秒来启动安全气囊,而这是不被希望的。
带有安全漏洞的车辆会引入安全问题,因为智能对手可能会主动利用该漏洞。将这种关注与传统的安全考虑进行比较,传统安全考虑的原则是,系统或节点必须能够在一定的容忍下运行,并以特定的方式对刺激作出反应。恶意黑客明确地试图违反逻辑构造和控制来操纵系统以满足他们自己的需要。
由于这种安全体系结构,目前的汽车总线体系结构存在安全问题。OBD-II售后设备可以通过其无线无线电接口接收来自车辆外部的任意CAN流量,并通过OBD-II端口将其未经过滤地传递到内部CAN总线。对这种类型的攻击的易感性是最初研究的重点。
对于不同类型的车辆总线架构和不同类型的OBD-II设备,我们使用一个简化的图表来表示车辆中的潜在连接。图中的每个ECU表示与OBD-II端口在同一总线上连接的一个或多个ECU。控制ECU的能力使得攻击者能够控制车辆的功能。
图 通用 OBD-II 设备威胁模型图
汽车网络安全问题带来的风险与PC或移动设备等传统计算平台带来的风险有所不同。虽然数据的完整性和机密性仍是人们关注的问题,但车辆的安全问题可能会导致物理影响。汽车上的乘客或附近的人受伤甚至死亡的风险是传统计算平台所无法面对的。
虽然现代汽车的复杂性是显著的,汽车制造商仍然严格控制内部车辆的设计和操作。安全研究人员对车辆的操作越来越精通。这只是一个时间问题,信息变得更加广泛,进一步的漏洞被发现,并可能被恶意攻击者武器化。
(四)数字车钥匙信息安全
数字车钥匙作为汽车智能化变革下的一项创新技术,由于可以让车主通过智能手机、可穿戴设备等解锁汽车,并对汽车实施相关的操作,提升用车便利性,正受到越来越多车企的关注,诸如宝马、奔驰、奥迪、大众、现代、特斯拉、小鹏汽车等车企都在积极设计和使用数字钥匙。在此背景下,数字车钥匙市场规模不断增大。
据调查顾问公司Technavio预测数据显示,2020年全球数字车钥匙市场将增长11%,同比实现193万辆车增长。然而数字车钥匙虽然使用便利,其面临的挑战亦不容忽视,特别是信息安全,正成为横亘在数字车钥匙普及路上最大的拦路虎之一。
对于车主来说,数字车钥匙的出现确实很大程度上缓解了车主丢钥匙的尴尬,但同时也带来了新的安全风险,比如信息安全。
2019年8月,一则“窃贼30秒偷走一辆特斯拉汽车”的消息在网上迅速传播。据YouTube上的一个视频显示,两个小偷只用了数十秒的时间就成功解锁了一辆ModelS,并将其开走。
这只是众多不法分子通过PKES系统(汽车无钥匙进入与启动)对汽车进行盗窃的案例中的一个。据相关统计数据显示,2019年欧洲和美国相继爆出多起通过中继攻击的方式对高端品牌车辆实施盗窃的事件。尤其是在英国,仅2019年前10个月就有超过14000多起针对PKES系统的盗窃事件,且小偷的作案时间通常不到30秒,作案工具中继设备和攻击教程甚至在网络上也可以购买,这对车主的人身和财产安全造成极大的伤害。
无独有偶,近日英国伯明翰大学和比利时鲁汶大学也通过研究发现,丰田、现代、起亚等品牌相关产品因遥控钥匙防盗芯片存在安全漏洞,更容易被入侵或被盗,这一漏洞或波及丰田凯美瑞、卡罗拉、起亚Soul、现代i10等24种车型的数百万辆汽车。
研究人员发现,造成这一漏洞的主要原因在于此类汽车制造商采用的DST80加密系统存在漏洞,会让潜在黑客克隆此类汽车的密钥。入侵者只别(RFID)扫描仪,就可以让车辆做出响应,犹如他们拿到了合法的汽车钥匙一样。不仅如此,盗窃者还可以利用相似的手段来禁用防盗系统,以便反复驾驶被盗汽车。
由此可见,数字车钥匙的出现虽然为用户提供了极大的用车便利,其面临的安全风险亦不容忽视。更重要的是,相比传统物理钥匙存在被盗的安全隐患,数字车钥匙一旦被破解,车主丢失的可能不仅仅是车,甚至导致人员伤亡。想象一下,如果用户在驾车过程中车辆被不法分子破解,突然关闭引擎,后果将不堪设想。而且云端的服务器中含有大量涉及用户个人隐私的数据,一旦被攻破,还将引发更大范围的安全威胁。更为严重的是,研究发现此类漏洞广泛存在于车企的车联网系统中。由此可见,数字车钥匙虽然听起来很美,要想真正普及应用还有很长一段路要走。
其实早在几年前汽车厂商们就意识到数字车钥匙存在较大的安全风险,特别是身份认证、加密算法、密钥存储、数据包传输等环节容易遭受黑客入侵,进而导致整个数字车钥匙安全系统瓦解。为此车企们也在不断改进无钥匙进入系统,例如通过开展定期渗透测试、进行软件升级等方法来发现并解决安全漏洞。
起亚的研发工程师正努力确保未来数字车钥匙进入系统尽可能接近不受攻击,为此该公司已于去年8月推出了Faradaycase防盗系统KiaSafeCase,该设备的原理与Faradaycase类似,使用一层内置金属干扰盗贼的设备,以阻止窃贼使用继电器攻击设备获取汽车钥匙频段。
钥匙系统功能安全威胁主要包括以下几点:
非法用户使用数字车钥匙,导致非法使用车辆;
阻碍删除终端设备中数字车钥匙数据的过程,导致非法使用数字车钥匙功能;
终端设备中并存多个车辆企业的数字车钥匙时,不安全的隔离机制可能产生安全风险。
数字车钥匙执行环境安全目标包括保证用户使用钥匙功能时具备用户身份认证(authentication)机制、已删除钥匙防恢复机制、钥匙迁移时不泄露隐私信息、终端设备中存在多个钥匙数据的安全隔离机制。
通信模块安全威胁包括针对NFC、蓝牙等通信协议,进行协议降级、中间人攻击、中继攻击、嗅探攻击等,以上均影响数字车钥匙系统的安全性。
通信模块安全目标包括防止协议降级、中间人攻击、中继攻击、重放攻击、嗅探攻击等。
(五)充电系统信息安全
电动汽车充电系统信息安全技术要求规定了电动汽车充电系统车内系统信息安全技术要求和测试评价方法,适用于电动汽车充电系统车内系统信息安全的防护设计、开发、测试和评估。标准对电动汽车充电系统车内系统信息安全架构和车内充电系统信息安全技术作出了要求,并提出了相应的测试评价方法。
硬件方面,标准要求:
车内充电系统所使用的关键芯片,如MCU、加密芯片、通讯芯片等,宜采取必要的措施减少暴露管脚(例如采用BGA/LGA等封装的芯片);
应采取必要的措施保证车内充电系统的调试接口安全,如增加调试接口鉴权校验机制或禁止主板有调试接口暴露;
流充电通信CAN接口应满足GB/T27930中4.3定义(非车载充电机与BMS通信网络应由非车载充电机和BMS两个节点组成)。
软件方面,车内充电系统软件启动时,应验证其完整性。车内充电系统软件更新,应具有安全访问机制;车内充电系统软件更新,宜具有对升级程序文件进行完整性认证的机制。对于安全日志,车内充电系统的重要事件(如通信异常和安全启动失败等)宜生成日志,日志可存储在车内充电系统控制器上,也可借助车内其它系统或车外系统存储日志;车内充电系统的日志应包含重要事件发生的流程信息;应采取访问控制机制管理日志读取和写入的权限。
对于数据安全要求,则规定了数据完整性和数据保密性。车内充电系统存储的重要数据应具有完整性校验机制,当检测到重要数据在存储过程中完整性受到破坏时,应在检测到完整性错误时采取必要的异常数据处理机制。车内充电系统存储的重要数据应进行加密保护,应保证存储区域的无任何部分损坏或失效,以及非授权访问等不会导致重要数据的泄露。
对于通信安全要求,在车辆对外通信时,车内充电系统在通信前若需进行认证时,应具有身份鉴别机制,具有身份鉴别机制的车内充电系统对未识别身份的通信设备应终止通信连接。车内充电系统传输的重要数据应使用密文传输,应保证该传输数据在被截获后无法得到明文数据;车内充电系统对重要数据的传输应采用完整性校验机制;车内充电系统对重要数据的传输应采用防重放机制。车辆对外通信接口应具有通信指令合法性验证机制,不应响应充电协议(如GB/T27930标准协议)和主机厂规定协议之外的通信指令;车内充电系统的车辆对外通信接口不应具有访问车内通信总线数据的功能;直流充电通信CAN接口不应具有对车内充电系统以及车内其它系统进行控制器诊断、程序刷写和软件标定等操作功能(这些功能由OBD口执行)。车内通信时,车内充电系统自身各控制器以及车内其它控制器节点之间进行重要数据传输时,应使用安全机制确保传输重要数据的保密性、完整性和可用性。
(六)汽车软件升级信息安全
OTA作为汽车软件升级的新型方式,升级流程大致分为:
企业推送OTA升级包,车端与OTA云服务器建立安全连接,一般将待更新的固件传输到车辆的T-BOX(或者其他联网部件),再传输给OTA Manager。
OTA Manager管理所有ECU的升级过程,它负责将固件分发到ECU,并告知ECU何时执行更新。
ECU更新完成后,OTA Manager通过T-BOX(或者其他联网部件)向云服务器发送确认。
车联网OTA升级安全解决方案主打安全、可靠,在迅速满足客户快速应急响应基础上,具备完善的网络安全保障能力。OTA升级服务可涵盖车载应用的SOTA、车身控制与动力控制ECU的FOTA,以及汽车后市场行车记录仪、OBD盒子的升级服务等,为主机厂及Tier1供应商提供云端OTA及车载终端全套的OTA系统解决方案。基本模块包含安全鉴权、通信安全加固、断点续传、掉电保护、升级失败回滚等功能,保障升级过程安全、可靠。
OTA安全风险存在于升级的各个流程,常见的安全风险有云服务器安全风险、传输安全风险、通讯协议安全风险、车端安全风险、升级包篡改风险等。
1.云服务器安全风险
OTA云服务器主要进行升级包制作、软件管理、策略及任务管理等。OTA云服务器与其它云平台一样,容易遭受DDoS攻击、MITC攻击、跨云攻击、编排攻击、加密劫持等,可能导致用户敏感信息泄露、推送的升级包被篡改、升级策略更改等风险。
2.传输安全风险
OTA云服务推送软件升级包到车端的过程,若采用弱认证方式或明文传输,容易遭受中间人攻击、窃听攻击等,黑客可进一步获取升级包进行解析、篡改升级包信息等,可能导致关键信息泄露、代码业务逻辑泄露等风险。
3.通讯协议安全风险
云端与车端的通信过程若采用不安全的通信协议或通信过程不采用认证机制、明文通信等,容易遭受中间人攻击、窃听攻击、重放攻击、DoS攻击等,可能导致车端升级信息错误、敏感信息泄露、拒绝服务等风险。
4.车端安全风险
车端获取到升级包后会进入升级流程。若引导程序、系统程序、OTA版本号等固定参数可信验证策略不安全或缺失,可能导致车端运行恶意系统,造成隐私泄露、财产损失等风险。此外,车端系统出现公开漏洞,若不及时进行修复,可能导致黑客利用漏洞进行攻击,造成车辆、财产乃至人身安全风险。
5.升级包篡改风险
篡改或伪造升级包后发送到车端,若车端升级流程缺少必要的验证机制或验证机制存在漏洞,篡改或伪造的升级包可顺利完成升级流程,可达到篡改系统、植入后门等恶意目的。
联合国条例对于OTA更新提供了一个相关的执行框架:
a)记录与车辆类型有关的硬件和软件版本;
b)识别与类型批准有关的软件;验证组件上的软件是否符合申报信息;
c)识别相互依赖关系,特别是与软件更新有关的依赖关系;
d)识别车辆目标,并验证其与更新的兼容性;
e)评估软件更新是否影响类型批准或合法定义的参数(包括添加或删除功能);
f)评估更新是否会影响车辆安全或安全驾驶;
g)通知车主最新情况,并记录以上所有内容。
这意味着,加强汽车网络安全、软件更新的需求将引发大规模投资,联合国新法规提供的框架规定将在供应商、IT公司、专业网络安全公司和初创企业之间,特别是在软件开发和服务市场,推动新的市场机会。
6.V-SOC+OTA提升整车性能与安全
在汽车的智能系统如T-BOX、车内智能影音娱乐系统、网关设备中嵌入VSOC安全防护程序,通过此程序与V-SOC平台系统之间的讯息同步,在汽车运行的过程中实时可迅速侦测安全风险、保护设备以避免持续扩大的安全威胁。最后,通过OTA更新,持续不断地从远程进行安全监测与优化,有助于提升设备之服务的安全等级。
具体过程分为出厂前扫描、出厂后持续性监测、黑客攻击时、修复漏洞四个部分。
在扫描部分,系统首先会进行恶意软件与漏洞检查,定期通过云端比较分析装置所使用链接库的安全漏洞信息,侦测已发现的安全漏洞。
同时启用白名单机制,藉由已核准的应用程序白名单允许经过核准的执行程序和应用程序在装置上执行;
在监测部分,系统采用代管式入侵防护(IPS),检查网络流量是否有攻击的封包,若有则加以拦截,确保网络正常运作;
如遇黑客攻击时,系统可通过实时的虚拟补丁(virtualpatch)下发到车端,实时防堵遭到已知的漏洞攻击路径,降低安全风险,等待通过OTA更新程序修复;
最后,车厂通过掌握被攻击的信息进行程序修补,搭配OTA功能的将已解决安全漏洞的程序下发到车端更新,达成具备高实时性的安全防护对策。
传输数据的加密与PKI认证体系也是增强车联网通信安全性的有效手段。一方面,该体系可为车辆提供数字证书用于身份认证,授权方将发布受信任的证书,并将其写入车辆的安全芯片,以确保只有经过身份验证的车辆才能与私有云进行通信。与传统的车辆编码绑定相比更不易被伪造。另一方面,车端通过证书加密,进行密钥验证并加密通信数据,增加了攻击者进行窃听和破解的难度,提高了安全性。
欢迎相关企业和专家交流咨询!
联系人:朱云尧(zhuyunyao@caeri.com.cn)
下载ECAD模型
