智能网联汽车信息安全风险分析及实践探讨 – 作者:jiweianquan

智能网联汽车是汽车与信息、通信等产业跨界融合的典型应用,被认为是全球创新热点和未来产业发展制高点。随着汽车智能化、网联化程度的加深,人们实现了对汽车的更多控制,为生活带来了各种便利,但随之而来的远程攻击、恶意控制甚至入网车辆被操控等安全隐患也日益明显,如何保障智能车辆安全,实现便捷性与安全性之间的矛盾成为汽车智能化发展的重要环节。

巨大发展潜力下的安全隐患

智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与X(人、车、路、云端等)智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶,并最终可实现替代人来操作的新一代汽车,随着技术的发展,智能化功能越来越丰富。

2018年1月,国家发改委发布的《智能汽车创新发展战略》(征求意见稿)中提出,到2020年,智能汽车新车占比将达到50%。按照该战略的规划,汽车产品将由以往的机械化产品向智能化控制产品转变;在应用层上,汽车将成为兼顾办公、居家、娱乐的智能化移动空间。

智能汽车从规模到应用都极具潜力,但令人担忧的是,车联网功能的安全性问题也日益凸显。2015年,两名白帽黑客远程入侵了一辆正在路上行驶的切诺基(自由光),并对其做出减速、关闭引擎、突然制动或者制动失灵等操控,克莱斯勒为了防止汽车被黑客攻击,在全球召回了140万辆车并安装了相应补丁。2016年,腾讯科恩实验室宣布他们以“远程无物理接触”的方式成功入侵了特斯拉汽车,从而对车辆的停车状态和行进状态进行远程控制。黑客们实现了不用钥匙打开了汽车车门,在行驶中突然打开后备箱、关闭后视镜及突然刹车等远程控制。2017年,一家网络安全公司称现代汽车App存在漏洞,黑客能够远程启动现代公司的汽车,现代证实了这个漏洞的存在。同年,软件安全工程师Jay Turla对马自达汽车展开了一项开源网络攻击项目,使得任何人都能利用一个U盘就对马自达汽车执行恶意软件代码。不久前据英国广播公司报道,国内一家网络安全实验室的研究显示宝马汽车的电脑系统存在14处漏洞,黑客可利用这些漏洞在汽车行驶时取得部分控制权,可通过插入U盘、使用蓝牙以及车辆自带的3G/4G数据连接等方式控制汽车。甚至随着技术的发展,如《速度与激情8》中,黑客通过入侵智能网联汽车自动驾驶系统给控制上千辆无人汽车组成的“僵尸车”军团也不再只是存在于荧幕的特效,更让人不得不在享受到其舒适、便利的同时,加速对智能汽车信息安全问题的深入审视。

智能汽车安全保障势在必行

智能网联汽车信息安全可以分为内外两套安全体系,分别是“端-管-云”的车外网络信息安全和“车载端、车内网关-车内网络、ECU节点”的车内网络信息安全,随着汽车智能化和网联化的增长,内外体系的数据交互会逐渐增加。信息安全作为汽车的一个属性,需要建立在汽车内部网络架构的基础上,安全保障体系也需要与智能网联汽车应用同步部署。

2017年6正式施行的《中华人民共和国网络安全法》要求智能网联汽车制造厂商、车联网运营商“采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。” 2017年12月,工信部、国家标准化管理委员会联合发布《国家车联网产业标准体系建设指南》(以下简称指南),确定了智能网联汽车的标准体系,其中就包括信息安全方面的通用规范类标准。今年3月,工信部装备工业司发布《2018年智能网联汽车标准化工作要点》工信部发布的工作要点共提及五项重点标准,“汽车信息安全标准”是其中之一。推进该标准制定的具体工作包括完成汽车信息安全通用技术、车载网关、信息交互系统、电动汽车远程管理与服务、电动汽车充电等5项基础通用标准的立项工作;启动汽车信息安全风险评估、安全漏洞与应急响应、软件升级及整车信息安全测试评价等4项国家标准项目的预研和立项。

根据《智能网联汽车技术路线图》,智能网联汽车可分为智能化与网联化两个层面;智能网联汽车通过智能化与网联化两条技术路径协同实现“信息感知”和“决策控制”功能,产品物理结构功能安全和信息安全作为重要组成部分贯穿始终。

(一) 技术逻辑结构

智能网联汽车技术逻辑的两条主线是“信息感知”和“决策控制”,其发展的核心是由系统进行信息感知、决策预警和智能控制,逐渐替代驾驶员的驾驶任务,并最终完全自主执行全部驾驶任务(如图1 所示)。

智能网联汽车技术逻辑结构.png

图1 智能网联汽车技术逻辑结构

(二) 产品物理结构

《国家车联网产业标准体系建设指南》中确定了智能网联汽车的标准体系,也明确了信息安全方面的通用规范类标准。

智能网联汽车的产品物理结构是把技术逻辑结构所涉及的各种“信息感知”与“决策控制”功能落实到物理载体上。车辆控制系统、车载终端、交通设施、外接设备等按照不同的用途,通过不同的网络通道、软件或平台对采集或接收到的信息进行传输、处理和执行,从而实现了不同的功能或应用。其中,产品物理结构功能安全和信息安全作为智能网联汽车各类产品和应用需要普遍满足的基本条件,贯穿于整个产品物理结构之中,是智能网联汽车各类产品和应用实现安全、稳定、有序运行的可靠保障。

智能网联汽车产品物理结构.png

图2 智能网联汽车产品物理结构

(三) 相关标准体系

按照智能网联汽车的技术逻辑结构、产品物理结构的构建方法,《国家车联网产业标准体系建设指南》综合不同的功能要求、产品和技术类型、各子系统间的信息流,将智能网联汽车标准体系框架定义为“基础”、“通用规范”、“产品与技术应用”、“相关标准”四个部分,形成14个子类。

在该标准体系中,功能安全标准侧重于规范智能网联汽车各主要功能节点及其下属系统在安全性保障能力方面的要求,其主要目的是确保智能网联汽车整体及子系统功能运行的可靠性,并在系统部分或全部发生失效后仍能最大程度地保证车辆安全运行;信息安全标准在遵从信息安全通用要求的基础上,以保障车辆安全、稳定、可靠运行为核心,主要针对车辆及车载系统通信、数据、软硬件安全,从整车、系统、关键节点以及车辆与外界接口等方面提出风险评估、安全防护与测试评价要求,防范对车辆的攻击、侵入、干扰、破坏和非法使用以及意外事故。

智能网联汽车信息安全风险分析

智能网联汽车从架构上可分为四个不同的功能区,分别是基本控制功能区,如传感单元、底盘系统等;扩展功能区,如远程信息处理、信息娱乐管理、车体系统等;外部接口,譬如LTE-V、蓝牙、WIFI等;以及手机、存储器、各种诊断仪表、云服务等外部功能区。每个功能区对于安全的定义和需求都不相同,需要定义合理规范的系统架构,将不同功能区进行隔离,并对不同区域间的信息流转进行严格的控制,包括接入身份认证和数据加密,来保证信息安全传输,从而达到智能驾驶功能的高可用性、便利性和保护用户信息隐私的目的。根据分析研究,智能网联汽车系统面临的攻击主要来自两方面——内部攻击和远程攻击。其中,内部攻击主要由智能网联自身缺陷引起,比如总线、网关、ECU等安全程度不够所导致。未来智能网联汽车面临的信息安全威胁梳理为来自云端、通道、终端三个维度。

(一)终端层安全风险 

1、T-BOX 安全风险

T-BOX(Telematics BOX)的网络安全系数决定了汽车行驶和整个智能交通网络的安全,是车联网发展的核心技术之一,恶意攻击者通过分析固件内部代码能够轻易获取加密方法和密钥,可实现对消息会话内容的破解。

2、IVI 安全风险

车载信息娱乐系统(In-Vehicle Infotainment,IVI)的高集成度使其所有接口都可能成为黑客的攻击节点,因此IVI的被攻击面将比其他任何车辆部件都多。

3、终端升级安全风险

智能网联汽车如不及时升级更新,就会由于潜在安全漏洞而遭受各方面(如 4G、 USB、 SD 卡、 OBD 等渠道)的恶意攻击,导致车主个人隐私泄露、车载软件及数据被窃取或车辆控制系统遭受恶意攻击等安全问题。

4、车载 OS 安全风险

车载电脑系统常采用嵌入式 Linux、 QNX、 Android等作为操作系统,其代码庞大且存在不同程度的安全漏洞,且车联网应用系统复杂多样,某一种特定的安全技术不能完全解决应用系统的所有安全问题。而智能终端还存在被入侵、控制的风险。

5、移动App安全风险

对于没有进行保护的App进行逆向分析挖掘,可直接看到 TSP(远程服务提供商)的接口、参数等信息。

(二)传输通道安全风险 

1、车载诊断系统接口

基于车载诊断系统接口(OBD)的攻击现在的智能网联汽车内部都会有十几个到几十个不等的 ECU,不同 ECU 控制不同的模块。OBD 接口作为总线上的一个节点,不仅能监听总线上面的消息,而且还能伪造消息(如传感器消息)来欺骗 ECU,从而达到改变汽车行为状态的目的。

2、车内无线传感器安全风险

传感器存在通讯信息被窃听、被中断、被注入等潜在威胁,甚至通过干扰传感器通信设备还会造成无人驾驶汽车偏行、紧急停车等危险动作。

3、车内网络传输安全风险

汽车内部相对封闭的网络环境看似安全,但其中存在很多可被攻击的安全缺口,如胎压监测系统、 Wi-Fi、蓝牙等短距离通信设备等。

4、车载终端架构安全风险

现在每辆智能网联汽车基本上都装有五六十个 ECU 来实现移动互联的不同功能,进入智能网联汽车时代后, 其接收的数据不仅包含从云端下载的内容,还有可能接收到那些通过网络连接端口植入的恶意软件,因此大大增加了智能网联汽车被“黑”的风险。

5、网络传输安全风险

“车-X”(人、车、路、互联网等)通过 Wi-Fi、移动通信网(2.5G/3G/4G等)、DSRC等无线通信手段与其它车辆、交通专网、互联网等进行连接。网络传输安全威胁指车联网终端与网络中心的双向数据传输安全威胁。

(三) 云平台安全威胁

目前大部分车联网数据使用分布式技术进行存储,主要面临的安全威胁包括黑客对数据恶意窃取和篡改、敏感数据被非法访问。

智能网联汽车信息安全实践

结合国家战略指引、技术研究和实际案例分析,几维安全对智能网联汽车的云端、APP端、T-Box端的风险点和安全保障措施进行深度分析,推出了多维度基于底层算法的安全保障技术。

几维安全基于智能网联汽车云管端的信息安全防护.png

图3 几维安全基于智能网联汽车云管端的信息安全防护

(一)APP防护

1、JAVA代码反编译防护

利用Android汇编语言的高强度Java2C技术进行Android APP的JAVA代码进行保护。

2、SO虚拟化保护

利用几维安全独有KiwiVM代码虚拟化保护对So核心代码逻辑进行保护,保护关键协议代码和通信模块。

3、Android APK完整性保护

加固通过对APP安装包所有文件内容做交叉校验,并且做校验数据及校验代码做加密保护,可以及时检测到APP是否是原有官方版本,并阻止非官方版本启动运行。

4、APP动态运行防护

加固提供的动态防御技术以反调试保护为基础,同时针对关键函数及环节做监控,借助于轮询查看,主动侦测等方法,保护移动APP在运行时的安全。

5、APP本地文件及数据加密保护

通过安全SDK在Android文件系统层实现的透明化数据加密机制,有效的对所有资源文件读写操作做保护。

(二)T-BOX防护

1、固件协议代码保护

利用MBS块调度或KiwiVM代码虚拟化保护技术进行固件协议模块保护

2、固件数据加密

通过几维安全SDK对终端数据进行安全加密存储,关键密钥隐藏于KiwiVM虚拟机中。

3、固件完整性校验算法保护

对固件完整性校验等关键算法进行MBS块调度或KiwiVM代码虚拟化保护,避免攻击者绕过校验逻辑。

(三)通信安全

1、通信数据加密

使用基于KiwiVM代码虚拟化保护技术的白盒密钥SDK,密钥隐藏于虚拟机中,隐藏算法逆向特征,使得密钥无法提取及解密数据。

2、通信数据校验

通过几维安全基于通信协议加密SDK的验签功能,通过hash函数生成签名,通过KiwiVM隐藏算法特征和校验过程。

小结

智能网联汽车是汽车与信息、通信等产业跨界融合的重要载体和典型应用,是全球创新热点和未来产业发展制高点,更是人们未来生活的一部分。作为智能网联汽车发展的基石,信息安全保障与智能化应用同步部署必要性日益凸显,便利、安全的兼顾还需共同持续努力。

来源:freebuf.com 2018-12-18 10:58:49 by: jiweianquan

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论