車(chē)載終端信息安全威脅與防范

隨著車(chē)聯(lián)網(wǎng)的迅速發(fā)展，車(chē)載終端的應(yīng)用越來(lái)越廣泛，也增加了對(duì)各種信息安全威脅的暴露，形成了針對(duì)車(chē)載終端功能特點(diǎn)的安全需求。筆者從多個(gè)角度分析了車(chē)載終端所面臨的各種信息安全威脅，總結(jié)了信息安全需求，并提出相應(yīng)的技術(shù)方法措施。

1、車(chē)載終端的業(yè)務(wù)功能及相應(yīng)的信息安全需求

車(chē)載終端的出現(xiàn)和普及是為駕駛?cè)藛T和乘客提供更便利的使用和更愉悅的體驗(yàn)，因此功能也十分豐富，并且在不斷增加。目前的車(chē)載終端主要包括以下幾項(xiàng)功能：

(1)基本車(chē)況收集顯示

這類(lèi)功能起步較早，早期車(chē)況信息包括胎壓、油量、水箱溫度以及車(chē)外溫度等參數(shù)，在傳統(tǒng)的儀表盤(pán)中都會(huì)顯示。新興的電動(dòng)汽車(chē)也會(huì)顯示電量信息。當(dāng)智能車(chē)載終端廣泛應(yīng)用后，這些信息會(huì)集中顯示在車(chē)載終端的顯示屏上，用戶(hù)有統(tǒng)一的操控界面，提升用戶(hù)體驗(yàn)。

(2)遠(yuǎn)程操作

包括遠(yuǎn)程開(kāi)鎖、遠(yuǎn)程發(fā)動(dòng)車(chē)輛、遠(yuǎn)程開(kāi)啟空調(diào)等應(yīng)用。這些應(yīng)用通常和網(wǎng)絡(luò)相結(jié)合，使用者通過(guò)手機(jī)APP或者提供相應(yīng)服務(wù)的Web頁(yè)面，遠(yuǎn)程對(duì)車(chē)輛進(jìn)行操作，大大提升了方便性。

(3)求助與遠(yuǎn)程救援

同樣是通過(guò)網(wǎng)絡(luò)完成。目前，大量車(chē)輛已經(jīng)內(nèi)置了T-Box系統(tǒng)，系統(tǒng)集成了SIM卡，可以連接運(yùn)營(yíng)商網(wǎng)絡(luò)，將車(chē)輛各ECU中存儲(chǔ)的狀態(tài)系統(tǒng)上傳到TSP平臺(tái)，供維修人員參考診斷。很多T-Box提供一鍵救援業(yè)務(wù)，系統(tǒng)自動(dòng)完成包括診斷、定位車(chē)輛等多項(xiàng)任務(wù)，提升了處理緊急問(wèn)題的效率。

(4)導(dǎo)航

是汽車(chē)Infotainment系統(tǒng)的主要功能。實(shí)際使用時(shí)，導(dǎo)航應(yīng)用會(huì)連接網(wǎng)絡(luò)，以獲取實(shí)時(shí)的路況信息。連接網(wǎng)絡(luò)的方式可以使用車(chē)輛使用者用手機(jī)提供的Wi-Fi熱點(diǎn)，也可以通過(guò)內(nèi)置的SIM卡直接接入蜂窩網(wǎng)絡(luò)。

(5)車(chē)內(nèi)娛樂(lè)

這類(lèi)應(yīng)用已逐步走向網(wǎng)絡(luò)化，下載、在線(xiàn)收看等多種方式的普及，給車(chē)輛使用者帶來(lái)了更好的用戶(hù)體驗(yàn)。為了提高視頻的清晰度和流暢性，車(chē)載終端硬件的圖像處理能力也在逐步提升。

(6)自動(dòng)駕駛

自動(dòng)駕駛是個(gè)熱門(mén)應(yīng)用，從自動(dòng)泊車(chē)開(kāi)始，駕駛者對(duì)車(chē)的操控在減少，開(kāi)車(chē)變得越來(lái)越簡(jiǎn)單，越來(lái)越放松。目前，已經(jīng)有自動(dòng)駕駛的汽車(chē)通過(guò)實(shí)際道路檢測(cè)，但是這種技術(shù)還需要一定的時(shí)間投入才能正式大規(guī)模商用。

在自動(dòng)駕駛過(guò)程中，車(chē)輛收集大量道路信息，車(chē)身周?chē)伺c物體的位置信息，根據(jù)這些信息與車(chē)輛的速度方向、交通管理規(guī)定等信息進(jìn)行運(yùn)算，這要求車(chē)載終端具有足夠的計(jì)算能力和實(shí)時(shí)性。隨著車(chē)車(chē)通信、車(chē)路通信的發(fā)展，車(chē)輛收集和運(yùn)算的信息量將進(jìn)一步增加，對(duì)車(chē)載終端處理能力的要求也越來(lái)越高。

功能的豐富導(dǎo)致系統(tǒng)復(fù)雜度的增加，包括在芯片、傳感器、移動(dòng)互聯(lián)操作系統(tǒng)、通信設(shè)備及通信服務(wù)等方面的協(xié)同發(fā)展。整體網(wǎng)絡(luò)架構(gòu)的復(fù)雜化，增加了車(chē)輛對(duì)各種攻擊的暴露，信息安全需求也變得更加重要和緊迫。信息安全根本屬性中的保密性、完整性、可用性、可認(rèn)證性和可審計(jì)性，在車(chē)載終端這一具體應(yīng)用領(lǐng)域，呈現(xiàn)出不同的優(yōu)先級(jí)。

車(chē)載終端對(duì)訪(fǎng)問(wèn)和使用的認(rèn)證需求尤為突出——能夠確保信息被正確的人使用，下達(dá)命令的是具備相應(yīng)權(quán)限的正確用戶(hù)等。換言之，惡意攻擊者能否破壞車(chē)載終端的安全防護(hù)，肆意向車(chē)輛電子電氣系統(tǒng)各ECU下發(fā)各種指令，威脅到車(chē)輛正常使用者的安全，是車(chē)載終端設(shè)計(jì)和實(shí)現(xiàn)時(shí)必須要考慮的信息安全首要問(wèn)題。

與可認(rèn)證性相比，完整性也是信息安全各屬性中，相對(duì)重要的一方面。傳輸?shù)男畔⒑椭噶钜坏┍淮鄹?，?huì)導(dǎo)致與授權(quán)用戶(hù)意圖不同，甚至完全相反的操作，發(fā)生信息安全和涉及人身安全的嚴(yán)重事件。

可用性對(duì)于依賴(lài)車(chē)載終端的行車(chē)應(yīng)用也是需要保護(hù)的安全屬性。很多攻擊在不熟悉車(chē)輛系統(tǒng)的漏洞時(shí)，往往最先攻擊的是可用性。在擾亂系統(tǒng)的正常運(yùn)行后，尋找安全薄弱環(huán)節(jié)，進(jìn)行深度突破。

保密性是信息安全屬性的基礎(chǔ)。大多數(shù)攻擊通常從嗅探開(kāi)始，獲取到用戶(hù)傳輸?shù)拿魑男畔⒒蛘咝盘?hào)，包括用戶(hù)名、密碼等，了解用戶(hù)使用的應(yīng)用。破壞保密性，不僅侵犯隱私，同時(shí)也為其它攻擊方式提供方便。

可審計(jì)性是信息安全工作的基礎(chǔ)。只有信息安全事件可以審計(jì)，才能發(fā)現(xiàn)出現(xiàn)的問(wèn)題并及時(shí)進(jìn)行處理，避免問(wèn)題擴(kuò)大或者更加嚴(yán)重。

2、車(chē)載終端所面臨的信息安全威脅分類(lèi)

2.1按照對(duì)車(chē)載終端信息安全屬性的破壞進(jìn)行分類(lèi)

如上文所述，車(chē)載終端的信息安全屬性包括機(jī)密性、完整性、可用性、可認(rèn)證性和可審計(jì)性。有的威脅針對(duì)車(chē)載終端的機(jī)密性，收集用戶(hù)數(shù)據(jù)，導(dǎo)致隱私泄露;有的威脅破壞完整性，有的甚至同時(shí)破壞信息安全幾個(gè)屬性。本文按照對(duì)車(chē)載終端信息安全屬性的破壞對(duì)威脅進(jìn)行分類(lèi)，有針對(duì)性地一一進(jìn)行介紹(見(jiàn)表1)。

(1)竊聽(tīng)

最基本的威脅，是其它攻擊方式的基礎(chǔ)。車(chē)載終端與云端的連接用來(lái)傳輸用戶(hù)大量隱私數(shù)據(jù)，例如行車(chē)數(shù)據(jù)、車(chē)輛狀態(tài)信息等會(huì)在網(wǎng)絡(luò)中被嗅探。對(duì)于車(chē)內(nèi)網(wǎng)絡(luò)，當(dāng)車(chē)載終端接入到汽車(chē)總線(xiàn)后，CAN總線(xiàn)上明文傳輸?shù)母鞣N控制指令和系統(tǒng)信息被攻擊者竊聽(tīng)的風(fēng)險(xiǎn)增加。攻擊者一旦獲取的車(chē)載智能終端的控制權(quán)，很容易獲取所連接總線(xiàn)上傳輸?shù)男畔ⅰ?/p>

(2)偽造

由于缺少對(duì)數(shù)據(jù)的認(rèn)證，攻擊者可以向車(chē)載終端注入感染病毒的代碼或者可能導(dǎo)致堆棧溢出的代碼，或者未授權(quán)的指令，對(duì)車(chē)載終端操作系統(tǒng)、應(yīng)用和車(chē)內(nèi)ECU進(jìn)行任意操作。

(3)阻斷

云端向汽車(chē)發(fā)送的信息和指令，可能被攻擊者在網(wǎng)絡(luò)層面進(jìn)行干擾，而不能正常到達(dá)車(chē)載終端。而車(chē)載終端一旦被非法控制，攻擊者可以屏蔽CAN網(wǎng)絡(luò)的通信網(wǎng)關(guān)轉(zhuǎn)發(fā)的信息，從而實(shí)施對(duì)車(chē)內(nèi)電子電氣系統(tǒng)的阻斷攻擊。

(4)篡改

篡改攻擊是組合了竊聽(tīng)、阻斷和偽造等多種方式，形成的比較復(fù)雜的攻擊。攻擊既可以篡改車(chē)輛駕駛者從云端接收的例如行車(chē)路線(xiàn)等相關(guān)數(shù)據(jù)，也可能是從車(chē)內(nèi)各 ECU回送的狀態(tài)信息，影響駕駛員的正常判斷和操作;或者將車(chē)輛駕駛者向ECU發(fā)送的指令進(jìn)行修改，干擾車(chē)輛正常行駛。其后果都十分嚴(yán)重。

(5)拒絕服務(wù)

惡意攻擊者通過(guò)控制車(chē)載終端，向其所連接的總線(xiàn)網(wǎng)絡(luò)發(fā)送大量偽造的數(shù)據(jù)包，占領(lǐng)總線(xiàn)資源，從而導(dǎo)致ECU拒絕服務(wù)。這是針對(duì)可用性的常見(jiàn)攻擊方式。[!--empirenews.page--]

(6)重放

缺少對(duì)所收到消息的時(shí)效性的驗(yàn)證，使利用重放攻擊而導(dǎo)致的汽車(chē)安全事件屢屢發(fā)生。攻擊者通過(guò)竊聽(tīng)獲得重要的消息，并在自己需要的時(shí)候，再次發(fā)送，從而進(jìn)行非授權(quán)的任意操作。

2.2 按照攻擊者發(fā)起的位置對(duì)威脅進(jìn)行分類(lèi)

(1)遠(yuǎn)車(chē)攻擊

攻擊者通過(guò)網(wǎng)絡(luò)發(fā)起的攻擊，包括通過(guò)攻擊汽車(chē)各網(wǎng)絡(luò)應(yīng)用平臺(tái)，攻擊相應(yīng)的手機(jī)APP，或者在通信網(wǎng)絡(luò)中采取各種措施的攻擊(見(jiàn)圖1)。

這類(lèi)攻擊成本低，突破環(huán)節(jié)多，威脅發(fā)生的可能性高。攻擊者也會(huì)SQL注入有安全漏洞的Web服務(wù)器端，監(jiān)聽(tīng)通信信道，甚至利用車(chē)載終端遠(yuǎn)程通信協(xié)議中的漏洞，比如用于車(chē)載終端與遠(yuǎn)程呼叫中心通信的AQLINK協(xié)議中缺少控制信息包長(zhǎng)的檢驗(yàn)，或者隨機(jī)數(shù)缺陷等漏洞，發(fā)起攻擊。已經(jīng)出現(xiàn)的安全事件包括車(chē)載智能系統(tǒng)“Uconnect”被攻破，黑客可以實(shí)現(xiàn)遠(yuǎn)程控制汽車(chē)剎車(chē)、油門(mén)和方向盤(pán)，為此克萊斯勒在美國(guó)緊急召回了140萬(wàn)輛汽車(chē)。

(2)近車(chē)攻擊

攻擊者在車(chē)附近，通過(guò)短距離通信的各種協(xié)議，與車(chē)輛建立網(wǎng)絡(luò)連接，訪(fǎng)問(wèn)車(chē)輛的信息系統(tǒng)(見(jiàn)圖2)。

既包括通過(guò)Wi-Fi或者藍(lán)牙協(xié)議的連接，也包括使用RKE，胎壓監(jiān)測(cè)、RFID車(chē)鑰匙的應(yīng)用，甚至攻擊者已經(jīng)開(kāi)始分析802.11p或者DSRC等新興的，用于車(chē)車(chē)通信的短距離通信協(xié)議。2015年就有國(guó)內(nèi)安全團(tuán)隊(duì)繞過(guò)幾款車(chē)的門(mén)鎖遙控滾碼機(jī)制，演示了非授權(quán)開(kāi)車(chē)門(mén)的試驗(yàn)。

(3)車(chē)內(nèi)攻擊

是指攻擊者已經(jīng)可以連接到車(chē)內(nèi)系統(tǒng)的各接口，包括用于診斷的OBD接口，車(chē)載終端提供的USB接口，或者能插入SD卡、CD、DVD的存儲(chǔ)介質(zhì)(見(jiàn)圖3)。這些接口和讀取存儲(chǔ)介質(zhì)的系統(tǒng)都與車(chē)內(nèi)總線(xiàn)相連，同時(shí)總線(xiàn)也連接了汽車(chē)的各ECU。

例如，攻擊者通過(guò)特別的硬件裝置連接到OBD接口，同時(shí)硬件裝置與電腦通過(guò)USB或者Wi-Fi進(jìn)行連接，電腦就接入了車(chē)內(nèi)總線(xiàn)，可以發(fā)起探測(cè)和攻擊。也有試驗(yàn)證明，攻擊者也可以通過(guò)惡意構(gòu)造的音頻或者視頻文件，對(duì)車(chē)載終端進(jìn)行破解。這種攻擊的前提是知道播放器等應(yīng)用的安全漏洞

3、車(chē)載終端發(fā)展趨勢(shì)和防范重點(diǎn)

隨著車(chē)載終端處理能力的發(fā)展，其功能也將T-Box和Infotainment進(jìn)行了融合。車(chē)載終端本身代碼量的增加，與車(chē)輛電子電氣系統(tǒng)的網(wǎng)絡(luò)連通，與云端信息的交互，終端升級(jí)機(jī)制的簡(jiǎn)化，這些車(chē)載終端發(fā)展的趨勢(shì)以及威脅的特點(diǎn)、威脅發(fā)生的位置等因素決定了圍繞車(chē)載終端和針對(duì)其自身的安全機(jī)制的使用和安全防范的重點(diǎn)。應(yīng)在車(chē)載終端設(shè)計(jì)開(kāi)發(fā)的過(guò)程中，使用科學(xué)的方法，實(shí)現(xiàn)真正的安全措施實(shí)施。

3.1 加強(qiáng)車(chē)載終端文件系統(tǒng)完整性校驗(yàn)

采用完整性校驗(yàn)手段對(duì)關(guān)鍵代碼或文件進(jìn)行完整性保護(hù)。例如，在硬件的特殊分區(qū)中，保存一份當(dāng)前操作系統(tǒng)的指紋信息，定期對(duì)指紋信息進(jìn)行校驗(yàn)，確認(rèn)操作系統(tǒng)關(guān)鍵文件未被修改。

車(chē)載智能終端硬件安全引導(dǎo)應(yīng)提供安全機(jī)制，保證只能加載可信的車(chē)載操作系統(tǒng)內(nèi)核組件。例如，操作系統(tǒng)的鏡像需要進(jìn)行廠(chǎng)商簽名。在車(chē)載系統(tǒng)啟動(dòng)時(shí)，需要進(jìn)行簽名驗(yàn)證，以發(fā)現(xiàn)對(duì)操作系統(tǒng)內(nèi)核的非法篡改。

3.2 與云端通信的信道安全

車(chē)載終端與外部通信，應(yīng)保證所使用信道安全。例如，使用支持網(wǎng)絡(luò)側(cè)和終端側(cè)雙向鑒權(quán)的SIM解決方案，并且在基帶處理中，增加對(duì)偽基站識(shí)別分析的能力，拒絕接入偽基站。在車(chē)載終端和TSP平臺(tái)建立相應(yīng)的VPN/VPDN/專(zhuān)用APN等，使車(chē)聯(lián)網(wǎng)系統(tǒng)使用相對(duì)的專(zhuān)用網(wǎng)絡(luò)，利用加密機(jī)制和完整性校驗(yàn)等技術(shù)手段，對(duì)抗竊聽(tīng)、偽造等多種攻擊。同時(shí)，加強(qiáng)云端服務(wù)器安全，嚴(yán)格訪(fǎng)問(wèn)控制策略，加強(qiáng)用戶(hù)權(quán)限設(shè)置管理，對(duì)口令強(qiáng)度采取必要要求，定期漏洞修補(bǔ)，從而保證平臺(tái)測(cè)安全。

3.3 車(chē)內(nèi)安全域隔離和訪(fǎng)問(wèn)控制

車(chē)載終端與車(chē)內(nèi)各電子電氣系統(tǒng)劃分安全域，每個(gè)安全域有只屬于自己的，不能偽造的標(biāo)示，并通過(guò)相應(yīng)的密鑰對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行加密和完整性保護(hù)。增加獨(dú)立的安全通信模塊，內(nèi)置集成高性能密碼安全芯片和安全操作系統(tǒng)，負(fù)責(zé)密鑰管理。必要時(shí)，在車(chē)載終端與車(chē)內(nèi)電子電氣系統(tǒng)總線(xiàn)之間添加串行防火墻，對(duì)車(chē)載終端傳送到各ECU的指令進(jìn)行檢查，滿(mǎn)足安全性要求再傳遞。

車(chē)載終端自身內(nèi)核強(qiáng)制訪(fǎng)問(wèn)控制：對(duì)用戶(hù)(或其他主體)與文件(或其他客體)標(biāo)記固定的安全屬性(如安全級(jí)、訪(fǎng)問(wèn)權(quán)限等)，在每次訪(fǎng)問(wèn)發(fā)生時(shí)，系統(tǒng)檢測(cè)安全屬性，確定用戶(hù)是否有權(quán)訪(fǎng)問(wèn)該文件。

3.4 車(chē)載終端應(yīng)用程序安全

必須對(duì)應(yīng)用程序在運(yùn)行過(guò)程中使用的文件訪(fǎng)問(wèn)權(quán)限進(jìn)行控制。對(duì)于使用客戶(hù)端數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)的車(chē)載終端，應(yīng)限制數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限。敏感信息需采用安全方式加密存儲(chǔ)，包括計(jì)算哈希值、對(duì)稱(chēng)加密、非對(duì)稱(chēng)加密等等技術(shù)手段。

應(yīng)用程序自身應(yīng)采取加殼、代碼混淆等適用的對(duì)抗逆向安全分析方法的保護(hù)，防止攻擊者查找系統(tǒng)漏洞加以利用。

對(duì)于程序所收集、產(chǎn)生的用戶(hù)數(shù)據(jù)應(yīng)通過(guò)計(jì)算哈希值方式進(jìn)行保護(hù)時(shí)，應(yīng)在計(jì)算的源數(shù)據(jù)中加入隨機(jī)數(shù)據(jù)，防止敏感信息的哈希值被重放利用。使用對(duì)稱(chēng)加密、非對(duì)稱(chēng)加密等加密算法對(duì)敏感信息進(jìn)行保護(hù)時(shí)，應(yīng)使用健壯的加密算法，并使用足夠長(zhǎng)度的加密密鑰。

3.5 終端升級(jí)的安全機(jī)制

車(chē)載終端對(duì)更新請(qǐng)求應(yīng)具備自我檢查能力，車(chē)載操作系統(tǒng)在更新自身分區(qū)或向其他設(shè)備傳輸更新文件和更新命令的時(shí)候，應(yīng)能夠及時(shí)聲明自己的身份和權(quán)限。升級(jí)操作應(yīng)能正確驗(yàn)證服務(wù)器身份，識(shí)別出偽造的服務(wù)器，或者是高風(fēng)險(xiǎn)的鏈接鏈路。升級(jí)包在傳輸過(guò)程中，通過(guò)報(bào)文簽名和加密，防篡改和偽造。

3.6 加強(qiáng)安全審計(jì)安全

車(chē)載終端應(yīng)具備記錄所有用戶(hù)訪(fǎng)問(wèn)日志的功能，便于進(jìn)行適當(dāng)?shù)膶徲?jì)和監(jiān)控。在完成安裝時(shí)應(yīng)開(kāi)始記錄所有用戶(hù)(特別是具有管理權(quán)限的用戶(hù))的訪(fǎng)問(wèn)。車(chē)載終端的日志記錄功能應(yīng)能自動(dòng)啟動(dòng)，并將日志文件定向到統(tǒng)一的外部服務(wù)器，便于審計(jì)。[!--empirenews.page--]

在車(chē)內(nèi)電子電氣系統(tǒng)總線(xiàn)上也應(yīng)增加入侵檢測(cè)功能的模塊，對(duì)各類(lèi)信息進(jìn)行監(jiān)控，特別是從對(duì)外開(kāi)放的車(chē)載終端傳入的數(shù)據(jù)，如有異常立即報(bào)警。

4、結(jié)束語(yǔ)

車(chē)載終端的信息安全問(wèn)題必須得到足夠的重視，否則可能由于信息安全問(wèn)題導(dǎo)致更為嚴(yán)重的人身安全問(wèn)題，這是車(chē)聯(lián)網(wǎng)的新特點(diǎn)。按照系統(tǒng)的方法，分析威脅，匯總需求，進(jìn)一步實(shí)施部署安全措施進(jìn)行防范，才能保證安全措施有效和科學(xué)地執(zhí)行。