1. 程式人生 > >智慧網聯汽車資訊保安風險分析及實踐探討

智慧網聯汽車資訊保安風險分析及實踐探討

智慧網聯汽車是汽車與資訊、通訊等產業跨界融合的典型應用,被認為是全球創新熱點和未來產業發展制高點。隨著汽車智慧化、網聯化程度的加深,人們實現了對汽車的更多控制,為生活帶來了各種便利,但隨之而來的遠端攻擊、惡意控制甚至入網車輛被操控等安全隱患也日益明顯,如何保障智慧車輛安全,實現便捷性與安全性之間的矛盾成為汽車智慧化發展的重要環節。

巨大發展潛力下的安全隱患

智慧網聯汽車是搭載先進的車載感測器、控制器、執行器等裝置,並融合現代通訊與網路技術,實現車與X(人、車、路、雲端等)智慧資訊交換、共享,具備複雜環境感知、智慧決策、協同控制等功能,可實現“安全、高效、舒適、節能”行駛,並最終可實現替代人來操作的新一代汽車,隨著技術的發展,智慧化功能越來越豐富。

2018年1月,國家發改委釋出的《智慧汽車創新發展戰略》(徵求意見稿)中提出,到2020年,智慧汽車新車佔比將達到50%。按照該戰略的規劃,汽車產品將由以往的機械化產品向智慧化控制產品轉變;在應用層上,汽車將成為兼顧辦公、居家、娛樂的智慧化移動空間。

智慧汽車從規模到應用都極具潛力,但令人擔憂的是,車聯網功能的安全性問題也日益凸顯。2015年,兩名白帽黑客遠端入侵了一輛正在路上行駛的切諾基(自由光),並對其做出減速、關閉引擎、突然制動或者制動失靈等操控,克萊斯勒為了防止汽車被黑客攻擊,在全球召回了140萬輛車並安裝了相應補丁。2016年,騰訊科恩實驗室宣佈他們以“遠端無物理接觸”的方式成功入侵了特斯拉汽車,從而對車輛的停車狀態和行進狀態進行遠端控制。黑客們實現了不用鑰匙打開了汽車車門,在行駛中突然開啟後備箱、關閉後視鏡及突然剎車等遠端控制。2017年,一家網路安全公司稱現代汽車App存在漏洞,黑客能夠遠端啟動現代公司的汽車,現代證實了這個漏洞的存在。同年,軟體安全工程師Jay Turla對馬自達汽車展開了一項開源網路攻擊專案,使得任何人都能利用一個U盤就對馬自達汽車執行惡意軟體程式碼。不久前據英國廣播公司報道,國內一家網路安全實驗室的研究顯示寶馬汽車的電腦系統存在14處漏洞,黑客可利用這些漏洞在汽車行駛時取得部分控制權,可通過插入U盤、使用藍芽以及車輛自帶的3G/4G資料連線等方式控制汽車。甚至隨著技術的發展,如《速度與激情8》中,黑客通過入侵智慧網聯汽車自動駕駛系統給控制上千輛無人汽車組成的“殭屍車”軍團也不再只是存在於熒幕的特效,更讓人不得不在享受到其舒適、便利的同時,加速對智慧汽車資訊保安問題的深入審視。

智慧汽車安全保障勢在必行

智慧網聯汽車資訊保安可以分為內外兩套安全體系,分別是“端-管-雲”的車外網路資訊保安和“車載端、車內閘道器-車內網路、ECU節點”的車內網路資訊保安,隨著汽車智慧化和網聯化的增長,內外體系的資料互動會逐漸增加。資訊保安作為汽車的一個屬性,需要建立在汽車內部網路架構的基礎上,安全保障體系也需要與智慧網聯汽車應用同步部署。

2017年6正式施行的《中華人民共和國網路安全法》要求智慧網聯汽車製造廠商、車聯網運營商“採取技術措施和其他必要措施,保障網路安全、穩定執行,有效應對網路安全事件,防範網路違法犯罪活動,維護網路資料的完整性、保密性和可用性。” 2017年12月,工信部、國家標準化管理委員會聯合釋出《國家車聯網產業標準體系建設指南》(以下簡稱指南),確定了智慧網聯汽車的標準體系,其中就包括資訊保安方面的通用規範類標準。今年3月,工信部裝備工業司釋出《2018年智慧網聯汽車標準化工作要點》工信部發布的工作要點共提及五項重點標準,“汽車資訊保安標準”是其中之一。推進該標準制定的具體工作包括完成汽車資訊保安通用技術、車載閘道器、資訊互動系統、電動汽車遠端管理與服務、電動汽車充電等5項基礎通用標準的立項工作;啟動汽車資訊保安風險評估、安全漏洞與應急響應、軟體升級及整車資訊保安測試評價等4項國家標準專案的預研和立項。

根據《智慧網聯汽車技術路線圖》,智慧網聯汽車可分為智慧化與網聯化兩個層面;智慧網聯汽車通過智慧化與網聯化兩條技術路徑協同實現“資訊感知”和“決策控制”功能,產品物理結構功能安全和資訊保安作為重要組成部分貫穿始終。

(一) 技術邏輯結構

智慧網聯汽車技術邏輯的兩條主線是“資訊感知”和“決策控制”,其發展的核心是由系統進行資訊感知、決策預警和智慧控制,逐漸替代駕駛員的駕駛任務,並最終完全自主執行全部駕駛任務(如圖1 所示)。

智慧網聯汽車技術邏輯結構.png

圖1 智慧網聯汽車技術邏輯結構

(二) 產品物理結構

《國家車聯網產業標準體系建設指南》中確定了智慧網聯汽車的標準體系,也明確了資訊保安方面的通用規範類標準。

智慧網聯汽車的產品物理結構是把技術邏輯結構所涉及的各種“資訊感知”與“決策控制”功能落實到物理載體上。車輛控制系統、車載終端、交通設施、外接裝置等按照不同的用途,通過不同的網路通道、軟體或平臺對採集或接收到的資訊進行傳輸、處理和執行,從而實現了不同的功能或應用。其中,產品物理結構功能安全和資訊保安作為智慧網聯汽車各類產品和應用需要普遍滿足的基本條件,貫穿於整個產品物理結構之中,是智慧網聯汽車各類產品和應用實現安全、穩定、有序執行的可靠保障。

智慧網聯汽車產品物理結構.png

圖2 智慧網聯汽車產品物理結構

(三) 相關標準體系

按照智慧網聯汽車的技術邏輯結構、產品物理結構的構建方法,《國家車聯網產業標準體系建設指南》綜合不同的功能要求、產品和技術型別、各子系統間的資訊流,將智慧網聯汽車標準體系框架定義為“基礎”、“通用規範”、“產品與技術應用”、“相關標準”四個部分,形成14個子類。

在該標準體系中,功能安全標準側重於規範智慧網聯汽車各主要功能節點及其下屬系統在安全性保障能力方面的要求,其主要目的是確保智慧網聯汽車整體及子系統功能執行的可靠性,並在系統部分或全部發生失效後仍能最大程度地保證車輛安全執行;資訊保安標準在遵從資訊保安通用要求的基礎上,以保障車輛安全、穩定、可靠執行為核心,主要針對車輛及車載系統通訊、資料、軟硬體安全,從整車、系統、關鍵節點以及車輛與外界介面等方面提出風險評估、安全防護與測試評價要求,防範對車輛的攻擊、侵入、干擾、破壞和非法使用以及意外事故。

智慧網聯汽車資訊保安風險分析

智慧網聯汽車從架構上可分為四個不同的功能區,分別是基本控制功能區,如感測單元、底盤系統等;擴充套件功能區,如遠端資訊處理、資訊娛樂管理、車體系統等;外部介面,譬如LTE-V、藍芽、WIFI等;以及手機、儲存器、各種診斷儀表、雲服務等外部功能區。每個功能區對於安全的定義和需求都不相同,需要定義合理規範的系統架構,將不同功能區進行隔離,並對不同區域間的資訊流轉進行嚴格的控制,包括接入身份認證和資料加密,來保證資訊保安傳輸,從而達到智慧駕駛功能的高可用性、便利性和保護使用者資訊隱私的目的。根據分析研究,智慧網聯汽車系統面臨的攻擊主要來自兩方面——內部攻擊和遠端攻擊。其中,內部攻擊主要由智慧網聯自身缺陷引起,比如匯流排、閘道器、ECU等安全程度不夠所導致。未來智慧網聯汽車面臨的資訊保安威脅梳理為來自雲端、通道、終端三個維度。

(一)終端層安全風險 

1、T-BOX 安全風險

T-BOX(Telematics BOX)的網路安全係數決定了汽車行駛和整個智慧交通網路的安全,是車聯網發展的核心技術之一,惡意攻擊者通過分析韌體內部程式碼能夠輕易獲取加密方法和金鑰,可實現對訊息會話內容的破解。

2、IVI 安全風險

車載資訊娛樂系統(In-Vehicle Infotainment,IVI)的高整合度使其所有介面都可能成為黑客的攻擊節點,因此IVI的被攻擊面將比其他任何車輛部件都多。

3、終端升級安全風險

智慧網聯汽車如不及時升級更新,就會由於潛在安全漏洞而遭受各方面(如 4G、 USB、 SD 卡、 OBD 等渠道)的惡意攻擊,導致車主個人隱私洩露、車載軟體及資料被竊取或車輛控制系統遭受惡意攻擊等安全問題。

4、車載 OS 安全風險

車載電腦系統常採用嵌入式 Linux、 QNX、 Android等作為作業系統,其程式碼龐大且存在不同程度的安全漏洞,且車聯網應用系統複雜多樣,某一種特定的安全技術不能完全解決應用系統的所有安全問題。而智慧終端還存在被入侵、控制的風險。

5、移動App安全風險

對於沒有進行保護的App進行逆向分析挖掘,可直接看到 TSP(遠端服務提供商)的介面、引數等資訊。

(二)傳輸通道安全風險 

1、車載診斷系統介面

基於車載診斷系統介面(OBD)的攻擊現在的智慧網聯汽車內部都會有十幾個到幾十個不等的 ECU,不同 ECU 控制不同的模組。OBD 介面作為總線上的一個節點,不僅能監聽總線上面的訊息,而且還能偽造訊息(如感測器訊息)來欺騙 ECU,從而達到改變汽車行為狀態的目的。

2、車內無線感測器安全風險

感測器存在通訊資訊被竊聽、被中斷、被注入等潛在威脅,甚至通過干擾感測器通訊裝置還會造成無人駕駛汽車偏行、緊急停車等危險動作。

3、車內網路傳輸安全風險

汽車內部相對封閉的網路環境看似安全,但其中存在很多可被攻擊的安全缺口,如胎壓監測系統、 Wi-Fi、藍芽等短距離通訊裝置等。

4、車載終端架構安全風險

現在每輛智慧網聯汽車基本上都裝有五六十個 ECU 來實現移動互聯的不同功能,進入智慧網聯汽車時代後, 其接收的資料不僅包含從雲端下載的內容,還有可能接收到那些通過網路連線埠植入的惡意軟體,因此大大增加了智慧網聯汽車被“黑”的風險。

5、網路傳輸安全風險

“車-X”(人、車、路、網際網路等)通過 Wi-Fi、行動通訊網(2.5G/3G/4G等)、DSRC等無線通訊手段與其它車輛、交通專網、網際網路等進行連線。網路傳輸安全威脅指車聯網終端與網路中心的雙向資料傳輸安全威脅。

(三) 雲平臺安全威脅

目前大部分車聯網資料使用分散式技術進行儲存,主要面臨的安全威脅包括黑客對資料惡意竊取和篡改、敏感資料被非法訪問。

智慧網聯汽車資訊保安實踐

結合國家戰略指引、技術研究和實際案例分析,幾維安全對智慧網聯汽車的雲端、APP端、T-Box端的風險點和安全保障措施進行深度分析,推出了多維度基於底層演算法的安全保障技術。

幾維安全基於智慧網聯汽車雲管端的資訊保安防護.png

圖3 幾維安全基於智慧網聯汽車雲管端的資訊保安防護

(一)APP防護

1、JAVA程式碼反編譯防護

利用Android組合語言的高強度Java2C技術進行Android APP的JAVA程式碼進行保護。

2、SO虛擬化保護

利用幾維安全獨有KiwiVM程式碼虛擬化保護對So核心程式碼邏輯進行保護,保護關鍵協議程式碼和通訊模組。

3、Android APK完整性保護

加固通過對APP安裝包所有檔案內容做交叉校驗,並且做校驗資料及校驗程式碼做加密保護,可以及時檢測到APP是否是原有官方版本,並阻止非官方版本啟動執行。

4、APP動態執行防護

加固提供的動態防禦技術以反除錯保護為基礎,同時針對關鍵函式及環節做監控,藉助於輪詢檢視,主動偵測等方法,保護移動APP在執行時的安全。

5、APP本地檔案及資料加密保護

通過安全SDK在Android檔案系統層實現的透明化資料加密機制,有效的對所有資原始檔讀寫操作做保護。

(二)T-BOX防護

1、韌體協議程式碼保護

利用MBS塊排程或KiwiVM程式碼虛擬化保護技術進行韌體協議模組保護

2、韌體資料加密

通過幾維安全SDK對終端資料進行安全加密儲存,關鍵金鑰隱藏於KiwiVM虛擬機器中。

3、韌體完整性校驗演算法保護

對韌體完整性校驗等關鍵演算法進行MBS塊排程或KiwiVM程式碼虛擬化保護,避免攻擊者繞過校驗邏輯。

(三)通訊安全

1、通訊資料加密

使用基於KiwiVM程式碼虛擬化保護技術的白盒金鑰SDK,金鑰隱藏於虛擬機器中,隱藏演算法逆向特徵,使得金鑰無法提取及解密資料。

2、通訊資料校驗

通過幾維安全基於通訊協議加密SDK的驗籤功能,通過hash函式生成簽名,通過KiwiVM隱藏演算法特徵和校驗過程。

小結

智慧網聯汽車是汽車與資訊、通訊等產業跨界融合的重要載體和典型應用,是全球創新熱點和未來產業發展制高點,更是人們未來生活的一部分。作為智慧網聯汽車發展的基石,資訊保安保障與智慧化應用同步部署必要性日益凸顯,便利、安全的兼顧還需共同持續努力。

原文地址:https://www.kiwisec.com/news/detail/5bc4490ddb30c341099f272d.html