https://zhuanlan.zhihu.com/p/270271189

摘要：智慧網聯汽車在國家政策的支援下快速發展， T-BOX作為智慧網聯汽車的遠端通訊終端裝置，其安全行越來越受到主機廠以及相關硬體開發廠家的重視併成立專項研究。本文從T-BOX的硬體安全、作業系統安全、應用安全等方面研究，定義瞭如何從架構設計層面來規範T-BOX的安全，從而保證了智慧網聯汽車安全。

關鍵字：車聯網安全；作業系統安全；硬體安全；通訊安全

汽車作為出行必不可少的交通工具，電動化、網聯化、智慧化、共享化的汽車將是自動駕駛是汽車發展的重要方向。其中打造智慧化網聯化的汽車是現階段的重要發展趨勢，也是通向自動駕駛的必經過程。

智慧網聯汽車將依車載感測器、控制器、執行器等車端電子裝置，通過3G、4G、LTE-V、5G等網路技術，實現車與萬物 （車、路、人、物、雲等）資訊交換、資訊共享，智慧終端通過與複雜的環境感知、深度學習、智慧化決策、達到車輛自主協調控制。其中，T-box遠端通訊智慧終端為車輛與平臺搭建了資訊互動的橋樑，對車輛內部，T-box通過CAN、LIN、MOST、乙太網等汽車傳輸協議實現指令和資訊的傳遞。同時， T-box通過內建的通訊模組，通過標準協議與平臺進行資料傳輸、語音互動、IP互動、簡訊互動，並將平臺第三方資源通過T-box提供的安全通道實現資訊在車輛端共享。本文描述了T-box自身安全、硬體安全、作業系統 、介面安全、密碼應用、通訊安全等策略。定義了智慧車載終端T-box資訊保安技術要求。

T-BOX 主要面臨幾方面的安全威脅：

一是逆向攻擊，攻擊者通過對T-box韌體的逆向攻擊，獲取韌體加密演算法和金鑰規則，破解演算法，對資料進行監聽、篡改、破壞。

二是資訊洩露，T-BOX 出廠的時候是留有除錯介面的，攻擊者通過 T-BOX 預留除錯介面就可以讀取內部資料，從而導致資訊洩露。

三是網路攻擊，攻擊者通過偽基站、DNS 、劫持等手段劫持 T-BOX資訊會話，通過虛擬偽造傳送控制指令對汽車進行資訊獲取及控制。

四是OTA升級， 1、網路傳輸升級包擷取；2、簽名漏洞，刷入篡改韌體；3、平臺祕鑰、KPI洩露，傳送破壞升級包；4、升級策略、祕鑰管理不規範。

五是硬體介面， T- box在設計時沒有采用防呆的介面設計，使用者在更換介面外掛時， 系統無法正常工作或燒燬，導致整車安全和使用者的財產、資訊損失。一、T-box安全架構及目標

T-box通訊架構

如上圖所示，T-box通訊智慧終端主要有對車端（對內）通訊和對平臺端（對外）通訊兩種方式組成。對內通訊：1、通過CAN、LIN、MOST等車輛傳輸協議和其他ECU互動（BMS、BCM、空調系統、VCU等）； 2、通過乙太網和ADAS自動駕駛輔助系統、視覺智慧系統互動； 3、通過USB與車機HU互動；對外通訊：連線車聯網平臺，通過標準協議進行資訊的傳送與接收。智慧網聯化汽車整體安全系統由雲端安全、通道安全、車輛安全組成， T- box作為汽車的資訊接收和傳送的重要節點，其安全性不亞於汽車中的CAN閘道器，是汽車安全的重要屏障，分析其安全也是汽車安全的重要環節之一，T-box安全包括硬體安全（介面、晶片等）、作業系統安全、應用安全、資料安全（儲存、傳送、接收）、平臺互動通訊安全、終端ECU互動通訊安全。

T-box設計安全整體目標是指通過對 T- box各互動層的執行安全措施，避免由於 T- box安全問題造成整車傷害，造成使用者生命受到威脅和財產損失；同時防止攻擊者通過非法手段竊取使用者資訊、車輛資訊造成資訊保安事件發生。整體設計目標包括：硬體安全目標、作業系統安全目標、應用安全目標、資料安全目標、終端ECU互動通訊安全目標、平臺互動通訊安全目標。

硬體安全目標：T- box智慧終端作為重要的互動硬體，涉及到身份認證、鑑權、許可權管理、祕鑰管理儲存，與平臺的通訊晶片、作業系統/韌體更新都會儲存漏洞。攻擊者將通過對T-box硬體的攻擊竊取資訊，導致使用者資訊和車輛資訊洩露，造成資訊保安事件。 T- box在硬體架構設計時，需要考慮到電路和晶片上實現資料運算和儲存等功能時的安全性，增加相關硬體（ MCU/ CPU、 FLASH、 SENSOR、 GPS、3 G/4 G、 WiFi/藍芽等模組）加密晶片對抗多種攻擊。 同時，在硬體等級要求上達到國家相關標準（安全等級ASIL D），甚至更高規格要求。

作業系統安全目標：作業系統依據安全系統策略、操作許可權對操作程序進行的身份權鑑權和訪問控制機制， 防止非法程序對系統資源訪問和控制（篡改、竊取、破壞、竊聽、重放、偽造、中間攻擊等多重威脅），確保作業系統檔案資訊的可靠性、有效密性、完整性和可認證性，並循壞監測和記錄系統資源的訪問，作業系統系統能夠按照預期目標正常工作，當系統受到非授權使用者異常操作、破壞時，系統檔案資訊都處於安全狀態，不被非法獲取、篡改和破壞。

應用安全目標： T- box與平臺和車機應用的資訊互動需要通過身份鑑別、許可權管理。軟體具備安全標記、訪問控制、可信路徑、抗抵性、容錯等保護措施，通過系列的安全保護措施，確保應用與平臺、車機互動資料的通訊安全， 保證使用者使用應用服務安全和 T- box自身應用的安全（啟動、升級、登入、登出、遠端控制等模式下的安全）。

資料安全目標： 對T- box所採集、儲存、處理、傳輸過程中產生的整車資料和使用者資料的安全性、有效性、完整性、真實性需要進行安全保護， 同時，應能夠對受保護資源提供備份機制，當資料丟失或破壞時，應能提供資料恢復功能。

終端ECU互動通訊安全目標：指 T- box通過 CAN、 LIN、 MOST、乙太網、 USB等方式和閘道器、其他 ECU之威脅和內部網路之間的安全隔離間資訊通訊（BMS、 BCM、 ADAS自動駕駛輔助系統、人臉識別系統、車機 HU等）。閘道器和各節點ECU需要對T-box的身份進行驗證，識別T-box身份的合法性和有效性，同時，斷開外部藍芽、WiFi等外部網路的威脅，避免攻擊者通過偽造、篡改、破壞等方式向關鍵 ECU傳送非法指令和資料， 非法佔用內部匯流排資源導致匯流排負載過大，系統崩潰； 反向能夠驗證內部網路傳輸資料的有效性、完整性、合法性、可認證性並進行相應的處置，保證汽車功能安全正常執行。

平臺互動通訊安全目標：指 T- box通過蜂窩網路（2 G/3 G/4 G/ LTE- V/5 G）雲網絡平臺進行相互通訊，根據應用場景需求，終端與平臺通過標準協議進行資料交換，T- box與雲平臺建立安全連線， 通訊雙方進行雙向身份認證、資料鏈路加密、資料簽名、數字證書、 PKI、公鑰/私鑰等加密校驗手段， 抵抗篡改、竊取、破壞、竊聽、重放、偽造、中間攻擊等多重安全威脅，保證資料的完整性、保密性和可認證性。

二、T-box安全要求與規範

車聯網 T- BOX的設整體計應通過風險評估稽核，全面分析硬體、介面、資料儲存、作業系統、應用安全、以及和各外界互動系統的對接，資訊資料採集、儲存、處理、傳輸等方面。明確整車對 T- box安全需求，通過身份認證、訪問控制、身份鑑權、硬體加密等多種技術對 T- box進行安全防護，對 T- box安全防護體系整體的要求，以實現車輛整體安全目標。

硬體安全要求，需要從硬體安全設計方面，相關產品需加入了T-box防拆感應器件，若檢測到有異動，就會立即向後臺報警。採用車載專用的加密晶片，並確保該加密晶片無隱蔽介面，以防非法對加密晶片進行破壞或資訊篡改。晶片在驗證階段除錯的介面在上市中關閉，禁止使用。

作業系統安全要求， T-box作業系統應預留安全區域，用來儲存安全簽名和祕鑰管理。為了防止作業系統啟動時被攻擊者惡意篡改和破壞，每次T-box上電啟動作業系統需要增加啟動安全機制，安全認證正確後，載入作業系統。作業系統需要具備多作業系統隔離，如T-box具有兩個或以上作業系統，必須採用隔離機制，保證兩個作業系統之間的安全。主控程式需要提供安全機制，確保作業系統只識別信任操作，驗證資訊來源的完整性、有效性、可認證性。 在系統安全保護方面應採用完整校驗手段（證書、 PKI、數字簽名等技術），對關鍵程式碼或檔案進行完整保護。

應用安全要求：

1、確保應用軟體不存在後門，以防從後門惡意攻擊，軟體不存在 “中國汽車行業漏洞共享平臺（CAVD）” 以及 “國家資訊保安漏洞共享平臺（CNVD）” 6個月及以上釋出的高危安全漏洞。同時，軟體不存在惡意bug，出現非法收集、處理、篡改整車資料和使用者資料。

2、鑑權管理， T-box應對車聯網傳送資訊和控制指令的身份合法性進行鑑別。同時，對通過WiFi、藍芽、USB等連線的智慧終端裝置進行鑑權管理。通過身份認證，若身份認證成功，可進行資訊互動，若認證失敗，增加安全保護措施，如限制登入次數、自動退出、結束回話流程等並記錄互動日誌。

3、訪問控制，T-box應定義對應的安全策略和操作優先順序， 當出現非法訪問控制時，T-box將不做相應，當作無效指令，並記錄訪問日誌。訪問控制措施不應影響應用間的正常資訊流轉，應保證車輛對資訊流轉實時性的要求。

4、證書籤名， 應用軟體應採用符合相關標準的程式碼認證機制。

5、通訊完整性 應用程式應基於相關演算法，在與外部網路通訊連線中提供完整性保護。接收和傳送資訊雙方應進行身份認證，並對傳輸資料的完整性、有效性進行校驗。 同時完整性保護應具有可選開關，對於非關鍵資料可關閉此選項。

目前智慧網聯汽車正在急速發展，T-box作為汽車與平臺資訊互動的智慧終端，其安全性是汽車整體安全面臨著嚴峻的安全挑戰之一，這需要國家政策支援，行業法規以及 更多專業安全相關企業投入更多的研發與安全測試以提升智慧網聯汽車安全質量。

參考文獻

[1]周新.車聯網通訊安全指南[J].行動通訊,2015(22):35.

[2]秦天.T-BOX安全研究[J].無線通訊技術,2017(12):63.

[3]李浩.車聯網安全技術研究[J].通訊訊號,2015(12):30

[4]樊剛. 車聯網通訊安全[A]. .車聯網技術[C].:機械工業出版社,2016:2.

[5]潘春偉. 車聯網T-BOX系統設計[A].電子工業出版社,2018:9.

[6]彭楊,戎輝,王文揚,田曉笛,高嵩,郭蓬. T-BOX密碼安全防護方案[J].汽車電器,2017,(05):64-66.

[7]NHTSA. 現代汽車資訊保安最佳實踐. 2016

[8]SAE J3061. Cybersecurity Guidebook for Cyber-Physical Vehicle Systems. 2016

[9]GM/T 0014-2012數字證書認證系統密碼協議規範