1819
网络安全(Cyber SECUrity)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来,在通信软件的支持下,实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的,利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来,并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享,通信网络是实现网络资源共享的途径,因此,计算机网络是安全的,相应的计算机通信网络也必须是安全的,应该能为网络用户实现信息交换与资源共享。下文中,网络安全既指计算机网络安全,又指计算机通信网络安全。
网络传输的安全与传输的信息内容有密切的关系。信息内容的安全即信息安全,包括信息的保密性、真实性和完整性。
要使网络能正常地实现资源共享功能,首先要保证网络的硬件、软件能正常运行,然后要保证数据信息交换的安全。从前面两节可以看到,由于资源共享的滥用,导致了网络的安全问题。因此网络安全的技术途径就是要实行有限制的共享。
其中的信息安全需求,是指通信网络给人们提供信息查询、网络服务时,保证服务对象的信息不受监听、窃取和篡改等威胁,以满足人们最基本的安全需要(如隐秘性、可用性等)。网络安全侧重于网络传输的安全,信息安全侧重于信息自身的安全,可见,这与其所保护的对象有关。
一、移动通信网络
移动通信网络指的是将移动用户与固定点用户之间或移动用户之间的通信实现的通讯介质,有一定的专业性,下面介绍移动通信网的相关知识。移动通信网是通信网的一个重要分支,由于无线通信具有移动性、自由性,以及不受时间地点限制等特性,广受用户欢迎。在现代通信领域中,它与卫星通信、光通信并列的三大重要通信手段之一。
当前的移动通信网,按照系统的覆盖范围和作业方式可以分为:双向对话式蜂窝公用移动通信、单向或双向对话式专用移动通信、单向接收式无线寻呼、家用无绳电话及无线本地用户环路等。专用移动通信网是一个独立的移动通信系统,亦可纳入公共网。一种具有代表性的专用网--集群系统(Trunking System)。这是除了蜂窝网外,又一种提高频谱利用率的有效方法。所谓"集群",在通信意义上,就是将有限通信资源(信道)自动地分配给大量用户共同使用。这种高效网,近年来,十分受青睐。当然随着公网技术的发展,会自动纳入专用网。
(一)移动通信网络安全需求
智能网联汽车移动通信系统一般包括如下的安全需求:
①应能唯一地标识用户。
②冒充合法用户是困难的。
③信令、传输数据和身份等信息应是保密的。
④双向认证。
⑤机密性。
⑥用户身份的匿名性。
⑦不可否认性。
⑧完整性。
⑨新鲜性。
⑩公平性。
⑪端到端保密。
⑫合法的监视。
⑬在专业通信系统中,一般需要通信系统含有调度功能,一般要求调度台具有认证、通信机密性、通信完整性功能。
随着新技术的发展,移动通信系统将面临更多的安全风险,其安全要求也更加苛刻。
1.新技术驱动的安全需求
5G相对4G ,可以被应用到更多的领域。目前5G的场景主要分为以下三类:增强移动宽带,低功耗大功率,低延时高可靠。因为5G比起4G来说,传输速度相对更高,时延相对更低,因此5G可以被应用于各个领域,如医疗,航空,工业控制等。正是由于5G网络的广泛应用范围,所以5G安全显得格外重要。针对上述的三个场景,有着不同的安全需求。
增强移动宽带。由于传播速率的提升,需要计算机有更高的安全处处理性能;需要对外部网络进行二次认证;还要解决当前所发现的漏洞问题。才能保障5G安全。
低功耗大功率。由于功耗受限,需要采取轻量级安全机制;5G的引入使得物联网设备数量指数级增加,需要利用群组认证机制,来解决信令风暴问题;同时还要财务抗网络拒绝服务攻击(DDOS)机制,保障网络基础设备的安全。
低时延高可靠。需要提供低时延的安全算法和协议;简化隐私安全协议;支持边缘计算架构。
2.垂直行业服务驱动的安全需求
各类垂直行业由于自身的业务应用范围,所受到的安全威胁,因此他们的安全需求也不尽相同。针对这种情况,利用5G的基础设施,为垂直行业提供安全服务。这种安全服务基于5G统一的网络架构,但也会根据具体的行业安全需求,提供定制化的服务。实际做法就是,对安全资源进行抽象和封装,为垂直行业部署安全服务,引入身份认证,信用认证,入侵检测等能力,这样可以使得各类垂直行业在进行网络通信时依旧拥有5G网络的安全服务,保障信息服务的安全。
(二)移动通信网络安全现状
目前,移动通信网络中以4G的终端及网络设备为主流,5G终端及网络设备也在快速发展。因此,针对移动通信网络安全的攻击与防护乃至相关的研究多面向于4G及5G技术。由于4G在目前的应用范围和设备数量仍处于绝对优势地位,因此目前针对4G的一些安全风险更具有现实意义的威胁。与之相比,5G提出的安全风险更多来源于新技术实现时的疏漏和缺陷。
移动通信系统安全的防护主要可分为两部分,一部分是核心网的安全,另一部分是无线接入域的安全。由于通信系统核心网安全的防护主体和保护对象均在于运营商内部,因此在智能网联汽车的移动通信网络安全防护中,需着重考虑的是接入域的安全。
1. 4G系统实现时的安全风险
4G系统在设计时就充分考虑到了移动通信网络的安全需求,采用的认证和密钥协商(Authentication and Key
Agreement,AKA)协议在双向认证、防重放攻击等方面相较于前两代尤其是GSM均有了长足的进步,然而,在实际应用时,研究人员仍发现了其中的许多缺陷,攻击者可以利用这些缺陷侵犯用户的隐私、干扰正常的通信业务甚至获得一些机密的通信内容。具体而言,这些缺陷包括IMSI捕获(IMSI Catching)、位置跟踪、射频和低功耗智能拥塞干扰、恶意基站、DoS 和 DDoS 攻击、拒绝所有网络服务或软降级到非 LTE 服务等。下面分别介绍这些问题以及它们所带来的安全风险。
2. 5G系统实现时的安全风险
5G 标准安全方面,在空口安全和传输安全上继承了 4G 的安全机制,并做了增强,其安全性相较于4G有所提升。另外,相较于4G系统,5G系统在网络架构上有很大的变化,引入了网络功能虚拟化、网络切片等功能,针对不同的服务提供不同的网络资源。因此也对配套的安全功能的实现提出了挑战。下述功能在实现时如果出现缺陷,则可能带来安全风险。
(三)移动通信网络安全检测和防护方案
针对前文所述的安全风险,业界给出了一些移动通信网络安全的检测和防护方案。值得注意的是,这里并没有一个全能的安全检测方案,也并不是每一类问题都可以完美地防护。比如一些4G协议中的缺陷(例如LTE用户面数据缺乏完整性保护)只能在5G系统设计时亡羊补牢,进而避免未来5G系统出现同样的缺陷。协议设计时出现的问题只有大部分设备采用新的协议时才能从根本上解决。不过尽管如此,在终端对协议进行实现的时候仍有可能通过一些技巧规避可能发生的安全风险。
1.移动通信网络隐私泄露防护方案
针对于IMSI捕获(IMSI Catching)、位置跟踪等侵犯用户隐私信息的攻击,电子前哨基金会(Electronic Frontier Foundation,EFF)在2021年基于srsLTE项目构建了名为Crocodile Hunter的检测工具,用于检测伪基站。它的工作方式是监听区域内所有4G基站的广播消息,推断其位置并判断是否异常。使用这个工具需要具有射频前端,可以使用Lime SDR、Blade RF或Ettus USRP任意一种设备,配合常见的Intel/AMD PC或树莓派 pi 4即可构建起能够捕获IMSI捕获器的捕获器(IMSI-catcher-catcher)。
另外,在用户设备实现协议时,也可以避免在未加密的信道上传输IMSI等身份信息。然而,需要注意的是,这并不是用户设备单方面就能够实现的。因为通过空口AKA协议建立加密信道时就需要用户将自己的身份信息发送给基站,而如果已经有了一个安全信道,就不需要再进行AKA了。也就是说,此种方式的实现已经与标准中规定的实现方式不同了,类似于终端和运营商之间采用了另一种不同于标准的私有协议。
2.LTE伪基站防护方案
针对于降频/重定向攻击,即将用户设备软降级到非 LTE 服务后再进行的攻击,可以在用户终端的操作系统中实时检测移动网络及所连基站是否有变化。如果发生变化,及时提醒用户,必要时切断不安全的连接。一些更激进的做法是在基带中去除2G模组,使得用户设备无法通过不安全的连接进行移动通信,从而确保用户只在双向认证后才能进行安全的通信。另外,针对于未加密的通信连接,3GPP TS 22.101标准规定了密码标识功能(ciphering indicator feature),当用户在未加密的连接中通话时会发出警告。
3.物理安全防护方案
攻击者可能会采用的一个终极手段是通过差分能量分析等物理攻击的手段猜出存储在USIM卡中的根密钥。一旦根密钥被破解,一切安全措施都将形同虚设。这种攻击手段对于有着重要价值的目标而言,从经济上是可承受的,从技术上也是可行的。早在2015年就有研究人员在最多80分钟内破解出4G USIM卡中存储的根密钥。虽然目前大部分汽车的移动联网终端已不再使用USIM卡,取代以eSIM的方式,但这种攻击形式仍然值得警惕。在硬件设备设计和制造时需提升集成度、减少其暴露在外的物理接口,还可以增加电流、电压检测电路,防止攻击者通过物理方式进行攻击。
4.终端设备安全防护方案
终端安全是影响信息系统安全的根源。从攻击者的角度来看,无论发起多么复杂的攻击,在网络中经历多少环节,采用多少高级技术,这些攻击动作必须通过某一个或多个终端才能完成。终端正是大多数安全事件发生过程的跳板、目标或者发生地。
终端设备配置终端安全模块,根据需求不同解决终端安全问题。禁止非授权终端进入网络,禁止不安全的终端进入网络,禁止违规的终端进入网络以此来控制终端网络接入安全,保障内部网络安全。安全模块也需要对系统数据,命令和指令进行完整性验证,通过生成相应摘要,确保各类数据的完整性。同时安全模块还需要提供身份认证等识别机制,防止安全攻击,保障数据传输安全。
5.LTE应用层安全防护方案
由于LTE标准早已制定完成,对于其中一些协议层面可能存在的缺陷目前无法修改,但底层的协议缺陷仍有可能通过上层的安全机制进行弥补。
在LTE链路层中,对用户面数据不进行完整性保护,并且由于其采用流密码进行加密,导致对于一些已知结构的数据包,攻击者可以重新构造其密文内容,修改数据包中特定位置的内容(如头部的IP地址、TTL、分段标识等)完成重定向攻击。
然而,无论攻击者在底层的攻击手段多么精巧,用户在应用层中都可以通过一些常见的安全机制进行很好的防护。常见的防护方案有:业务信源加密, 接入层信道加密, 身份认证, IPsec隧道加密, TLS传输层安全协议。
6. 5G数据机密性和完整性防护方案
5G数据的机密性通过采用5G 算法加密数据,保障数据的机密性。5G采用的密码算法有NEA0(空算法),128-NEA1(128位SNOW 3G加密算法),128-NEA2(128位AES算法),128-NEA3(128位祖冲之算法)等。5G基站利用上面的算法对用户数据进行加密,密钥则通过AKA协商导出。
同样,5G数据的完整性也利用这一机制,通过发送方协商使用某一算法,确保5G数据的完整性,密钥依旧由AKA协商导出。
二、车载通信网络
数十年来,以太网作为全球最受欢迎也是最可靠的网络技术,一直长期成功并安全地部署在动态且变化万千的企业环境中。现在,以太网固有的安全特性加上其它大量技术标准的问世,能够进一步提升其安全性,这激发了汽车制造商对以太网的浓厚兴趣。
由于以太网具备高带宽、高性价比以及使用普遍性等优势,并且目前也提供针对车用的各种专用版本,因而以太网正被日益广泛地部署到车载网络中。虽然以太网在IT中的主要使用案例是即插即用的动态网络,但车载网络一般是静态的,因此可实现精心的网络设计和配置,从而进一步保障网络安全。
以太网采用的是标准数据包格式,其中包括源地址和目标地址,这为验证、隔离和数据整合奠定了基础。由于车载网络是已知而且可预测的,因此可对它们的工作进行严格的配置和约束。无论是通过静态配置还是动态学习,以太网交换机都可以使用数据包地址来实现流量隔离和过滤。换句话说,以太网技术可用来隔离共享物理网络上不同类型的流量,确保设备只能与本域名内的其他设备进行通信,从根本上将信息娱乐系统与制动系统、转向系统以及发动机控制单元 (ECU) 等任务关键型应用隔离开来。
车载以太网针对汽车应用进行了全面优化,凭借其业经验证的合规性、性能和保护标准,将整车转化为一个车轮上的集中安全数据中心。
开放联盟(OPEN Alliance)特别兴趣小组(SIG)是一个由汽车行业厂商和技术提供商于 2011 年年底共同组建的非盈利开放性的行业联盟,旨在将基于以太网的网络标准在车载网络应用中广泛推广。自成立以来,开放联盟的成员已壮大到 300 多个。
开放联盟一直与IEEE密切合作,以推动进一步的创新与标准发展。兼容BroadR-Reach规范的IEEE标准将被最终定为IEEE 100BASE-T1,新一代 IEEE 1000 BASE-T1 技术预计将在2016 年年初发布。
据分析机构Strategy Analytics 的数据显示:像单对线车载以太网等基于标准的解决方案不仅可加速上市进程,而且还能确保可用性、生命周期、可升级性以及可互操作性。该公司预计,到2020 年,汽车中将部署多达 5 亿个以太网端口。
诸多世界领先的汽车制造商已将车载以太网技术作为其众多车型连接解决方案的首选,这其中包括宝马、捷豹和大众等。行业的标准化有望将该技术进一步推广应用于更广泛的汽车领域,如中端车型和经济车型等。
三、无线通信网络
今年2月,国家发改委、中央网信办等11部委联合发文《智能网联汽车创新发展战略》,为推进车联网的发展与治理就重点提到“构建全面高效的智能汽车网联安全体系”。基于车用无线通信技术(Vehicle to Everything,V2X)在车辆监控、路径规划、自动驾驶等愈发复杂的应用场景下,暴露出越来越多与车有关的网络安全风险,发生有多起车辆乃至汽车废弃零部件被攻击或破解的案例,使相关的终端设备安全、数据安全与隐私安全都面临着全新挑战。
V2X交互的信息模式包含车与车之间、车与路之间、车与人之间、车与网络之间等多种模式。在2019年由IMT-2020(5G)推进组C-V2X工作组等机构共同举办的C-V2X“四跨”互联互通应用示范活动,便在国内实现了“跨芯片模组、跨终端、跨整车、跨安全平台”的测试标准,不同往年“跨通信模组、跨终端、跨整车”的“三跨”,进一步涵盖了通信安全防护机制。信长城作为2019年“四跨”测试的安全支撑单位之一,为多家OBU(On board Unit,车载单元)厂商和主机厂提供身份认证安全系统、高速安全芯片和安全SDK等安全产品和服务。且该测试在今年再度扩展了相关技术和标准,提出“跨芯片模组、跨终端、跨整车、跨安全平台+高精度地图和定位”的“新四跨”验证标准,正是在此次入选工信部试点示范项目的解决方案助力下,百度Apollo成为国内首家通过2020年“新四跨”测试的厂商。
百度安全与信长城联合申报的基于国密算法的车联网/C-V2X通信安全基础设施应用(又称“V2X PKI系统建设方案”),其核心虽依托于公钥密码的理论与技术,但在数字证书的实现上有别于传统的X509证书,采用的是匹配V2X特征后优化的证书,在运维管理、业务运营等功能上需要多个运营主体的协同,所以它不仅仅是一个简单的PKI(Public Key Infrastructure,公钥基础设施)系统建设,而是基于V2X环境融合了安全策略、运维管理、业务运营、标准规范、法律法规等一整套完善的基础设施应用。其中,结合了信长城所具有的高速密码运算服务优势,得以实现全网维度下的V2X PKI安全认证业务共同运营,并在带宽资源有限的情况下,可靠性不受影响。
在20年的网络攻防与隐私安全实战经验下,百度安全此次与信长城联合开发的V2X PKI系统建设方案中,采用“中心集中建设,多方分布配置”的信任体系,即在体系内只集中建设一套根CA(Root Certificate Authority,根证书授权),作为V2X PKI信任的根节点,其他CA(Certificate Authority,证书授权,)证书均隶属于该根证书信任节点之下。与此同时,根CA采用离线运行的模式,仅在签发根证书、签发下级CA证书时运行,其他情况下处于关机状态。它的服务器更是位于严格受控的屏蔽机房中,密钥使用HSM(Hardware SECUrity Module,硬件安全模块)保护并备份,并进行严格的人员访问控制和审计,以保障V2X的业务安全。
策略中心与MA(Misbehavior Authority,异常管理)在此V2X PKI系统建设方案中,为OBU和RSU(Road Side Unit,路侧单元)在初始化时就预置了全网的根CA证书、所有ECA(Enrollment CA,注册证书授权)证书和所有AA(Authorization Authority,假名证书授权)证书,当CA证书更新或新增时,可通过策略中心统一更新,从而使任意AA下签发的假名证书均能通过“根CA-AA-EECert”证书链进行验证,以此实现不同厂商生产的OBU和RSU能互信互认。另一方面,通过ECA、AA颁发注册证书和假名证书,配合假名证书短有效期持续交替使用,在面对攻击者时可保证车主的匿名隐私;而在针对CA运营者和监管者,通过不同的验证技术可实现不同的匿名隐私策略;但在基于肇事逃逸车辆时,根据极其严苛的业务运营规范,仅执法人员可通过将匿名证书关联的注册证书查找到,再通过注册证书查询车辆和车主的实名信息,从而实现匿名环境下的实名追责。
众所周知,在智慧城市与汽车行业发展新四化(电动化、网联化、智能化、共享化)的趋势下,V2X是一个有着超长产业链的新蓝海,包含了整车厂商、OBU厂商、RSU厂商、通信模组厂商、移动通信运营商、数字认证运营服务商、安全芯片厂商等一系列产业实体,V2X通信安全的发展将有益于车联网的商业化落地,进而带动产业规模化联动,为各方带来稳定可观的经济效益。百度安全此次联合信长城研发的基于国密算法的车联网/C-V2X通信安全基础设施应用,作为工信部试点示范项目,力图推动车联网的安全生态建设,希冀在科技不断发展的变革下为行业带来明确的价值,切合百度安全“以技术开源、专利共享、标准驱动为理念”的初心。
更为重要的是,由于国内汽车行业起步较晚,关键环节的核心产品往往来自国外,网联汽车领域也长期沿用国外密码算法体系及相关标准,在行业生态中具有隐患,且限制了国产密码产业发展。而百度安全与信长城联合研发的V2XPKI体系的安全芯片使用国产密码算法,拥有巨大的设备用户量,可以有效提高我国自主安全的密码设备相关技术与产品自主研发能力,深化国产密码算法在网联汽车领域中的应用,有效形成国产密码构筑信息安全基础的良好示范效应。
四、卫星通信网络
汽车的GPS系统并不是单一元素构成,通常包含GPS接收器,卫星天线卫,车载监控等模块。可以帮助用户动态管理车辆状态,并提供信息查询,路线规划,自动导航,车辆防盗定位等功能。同时根据行车状态,收集车辆的日期、车辆行使速度,借助中心控制模块,传输到GPRS上,再传送到对应的监控中心,服从监控中心提出的控制命令。
监控中心功能、车载监控终端功能是GPS系统的核心功能。监控中心功能是系统运行过程中,监控中心可以动态查找车辆当下所处的位置、状态,运行车辆在对应电子地图上的精准位置以及运行轨迹,并把查询到信息数据准确存入对应的数据库中,便于集中管理,同时追溯车辆各方面的历史数据信息,查询车辆历史轨迹。此外,在系统运行过程中,监控中心可以动态监视车辆,实时定位汽车精准位置,并在电子显示屏上呈现给驾驶员,方便驾驶员做出判断。同时,在接收到警报信号后,GPS系统会根据实际情况给出反应,警醒驾驶员对应急事故做出正确决策,保障驾驶员及他人的生命安全,避免问题进一步扩大,造成不可挽回的损失。车载监控终端功能是指车载监控终端全天候实时接收GPS卫星信号,准确定位车辆具体位置,为驾驶员提供更全面的车辆信息,避免交通事故的发生。同时车载监控终端还与监控中心相连,进行数据交互,将汽车的信息向监控中心反馈,以保证车辆的行进安全。
欢迎相关企业和专家交流咨询!
联系人:朱云尧(zhuyunyao@caeri.com.cn)
下载ECAD模型
