王 斌，劉元泰 Wang Bin，Liu Yuantai

智能網(wǎng)聯(lián)汽車的多級安全防護(hù)系統(tǒng)設(shè)計(jì)

王 斌，劉元泰
Wang Bin，Liu Yuantai

（中汽研汽車檢驗(yàn)中心（武漢）有限公司，湖北 武漢 430056）

利用三位一體的車聯(lián)網(wǎng)安全模型方案，分析智能網(wǎng)聯(lián)汽車的安全風(fēng)險(xiǎn)，然后設(shè)計(jì)系統(tǒng)方案，最后對系統(tǒng)安全進(jìn)行檢測。

智能網(wǎng)聯(lián)；汽車；防護(hù)系統(tǒng)

近幾年來，隨著汽車智能化程度不斷提升，車輛的各個(gè)系統(tǒng)受到攻擊的可能性越來越大，其安全風(fēng)險(xiǎn)也在增加[1]。因此，汽車的安全性能受到廣泛關(guān)注，為了降低交通事故的發(fā)生率，大部分汽車公司都在致力于研發(fā)汽車的安全防護(hù)系統(tǒng)。當(dāng)前汽車的安全防護(hù)技術(shù)主要分為主動(dòng)防護(hù)技術(shù)和被動(dòng)防護(hù)技術(shù)；其中，主動(dòng)防護(hù)技術(shù)主要用以預(yù)防交通事故，被動(dòng)防護(hù)技術(shù)用以減少人員的損傷。

1 智能網(wǎng)聯(lián)汽車的安全風(fēng)險(xiǎn)分析

智能網(wǎng)聯(lián)汽車是以車機(jī)網(wǎng)、車內(nèi)網(wǎng)以及車載移動(dòng)互聯(lián)網(wǎng)為基礎(chǔ)，并以預(yù)先約定的通信協(xié)議、數(shù)據(jù)交互標(biāo)準(zhǔn)在車輛與行人之間、車輛與車輛之間、車輛和網(wǎng)絡(luò)之間進(jìn)行無線通信、信息交換的大系統(tǒng)網(wǎng)絡(luò)，是實(shí)現(xiàn)車輛智能化控制、智能動(dòng)態(tài)信息服務(wù)以及智能化交通管理的一體化網(wǎng)絡(luò)。智能網(wǎng)聯(lián)汽車的構(gòu)成主要有網(wǎng)關(guān)接入層、通信層、移動(dòng) APP、服務(wù)層以及物理感知層等。

1.1 感知層安全風(fēng)險(xiǎn)

智能網(wǎng)聯(lián)汽車的硬件主要有智能后視鏡、行車記錄儀、車載診斷儀、智能車鑰匙、車輛傳感器、車載視頻監(jiān)控系統(tǒng)等。其中，車內(nèi)ECU（Electronic Control Unit，電子控制單元）通過LIN（Local Interconnect Network，局部互聯(lián)網(wǎng)）、CAN（Controller Area Network，控制器局域網(wǎng)絡(luò)）等網(wǎng)絡(luò)進(jìn)行連接，如果車輛中的網(wǎng)絡(luò)受到攻擊，那么ECU會(huì)受到控制，通過發(fā)送大量的錯(cuò)誤報(bào)文導(dǎo)致CAN總線失效，最后導(dǎo)致ECU失效；因此，車內(nèi)的網(wǎng)絡(luò)十分重要[2]。

1.2 網(wǎng)絡(luò)傳輸安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)層主要包括移動(dòng)通信網(wǎng)、網(wǎng)絡(luò)業(yè)務(wù)平臺(tái)以及移動(dòng)接入管理等。其中，移動(dòng)通信與移動(dòng)接入管理之間主要采用APN（Access Point Name，接入點(diǎn)名稱）專線進(jìn)行連接。網(wǎng)絡(luò)層的安全組可以保障各車聯(lián)網(wǎng)終端與網(wǎng)絡(luò)中心進(jìn)行雙向數(shù)據(jù)傳輸過程中的安全防護(hù)。在網(wǎng)絡(luò)傳輸層、網(wǎng)絡(luò)接入層等均有多方面的風(fēng)險(xiǎn)，例如認(rèn)證風(fēng)險(xiǎn)、傳輸風(fēng)險(xiǎn)以及協(xié)議風(fēng)險(xiǎn)等。其中，認(rèn)證風(fēng)險(xiǎn)為沒有驗(yàn)證發(fā)送者的身份信息、偽造身份、中間人攻擊以及動(dòng)態(tài)劫持等；傳輸風(fēng)險(xiǎn)為車輛信息傳輸未加密、密鑰暴露、加密強(qiáng)度不夠以及所有車輛型號使用相同的對稱密鑰等；協(xié)議風(fēng)險(xiǎn)指偽造通信流程。

1.3 應(yīng)用服務(wù)層安全風(fēng)險(xiǎn)

應(yīng)用服務(wù)層的安全包括服務(wù)平臺(tái)安全、服務(wù)環(huán)境安全以及服務(wù)接入安全等，這些部分可以使車輛實(shí)現(xiàn)眾多功能，例如，車聯(lián)網(wǎng)服務(wù)支撐基礎(chǔ)環(huán)境行業(yè)用戶、安全保護(hù)、車聯(lián)網(wǎng)業(yè)務(wù)平臺(tái)安全保護(hù)以及公網(wǎng)用戶接入安全保護(hù)等。應(yīng)用層APP在互聯(lián)網(wǎng)中為公開狀態(tài)，不可避免會(huì)存在漏洞：（1）劫持驗(yàn)證碼；（2）文件操作；（3）泄露數(shù)據(jù)；（4）盜取用戶的賬號和密碼；（5）修改車輛的位置信息；（6）發(fā)送偽造數(shù)據(jù)；（7）短信活動(dòng)；（8）網(wǎng)絡(luò)活動(dòng)；（9）修改傳輸數(shù)據(jù)；（10）行為監(jiān)控[3]。

車聯(lián)網(wǎng)具有非常復(fù)雜多樣化的應(yīng)用系統(tǒng)，某一種安全技術(shù)無法完全處理應(yīng)用系統(tǒng)中所有的安全問題；而部分通用的應(yīng)用程序又存在各種問題，如安全漏洞、配置不當(dāng)?shù)?，直接影響到整個(gè)網(wǎng)絡(luò)的安全性，通用的應(yīng)用程序主要有Email 服務(wù)程序、Web Server 程序、瀏覽器和Office 辦公軟件等。

2 系統(tǒng)設(shè)計(jì)方案

考慮到整個(gè)智能網(wǎng)聯(lián)車輛的生態(tài)方面，從多個(gè)方面進(jìn)行保護(hù)，設(shè)計(jì)了全方位的安全防護(hù)方案：（1）從小到大：從芯片安全到云安全，對應(yīng)各個(gè)點(diǎn)來提供保護(hù)；（2）從內(nèi)到外：從汽車的內(nèi)部到整個(gè)生態(tài)環(huán)境的安全；（3）從始到終：從安全設(shè)計(jì)到后續(xù)的安全運(yùn)營。

系統(tǒng)防御原則包括架構(gòu)的全面性、技術(shù)的創(chuàng)新性及方案的綜合性。

（1）架構(gòu)全面性：采用端管云安全架構(gòu)體系，考慮整個(gè)生態(tài)的安全需求；

（2）技術(shù)創(chuàng)新性：隨著智能化、網(wǎng)聯(lián)化及電動(dòng)化的飛速發(fā)展，在未來可能出現(xiàn)更多的攻擊方式，需要不斷創(chuàng)新，采用更新的技術(shù)進(jìn)行防護(hù)；

（3）方案綜合性：多樣性以及層次化的特點(diǎn)將會(huì)更為突出，應(yīng)根據(jù)風(fēng)險(xiǎn)對防護(hù)方案的合理實(shí)施進(jìn)行分析，并部署更為合適的安全防護(hù)產(chǎn)品。

2.1 智能網(wǎng)聯(lián)汽車整體安全系統(tǒng)架構(gòu)

系統(tǒng)主要從不同的防護(hù)對象進(jìn)行考慮，采用不同的防護(hù)技術(shù)。所設(shè)計(jì)的智能網(wǎng)聯(lián)汽車整體安全系統(tǒng)架構(gòu)可以分為系統(tǒng)感知層、傳輸層與接入層以及服務(wù)應(yīng)用層。其中，在系統(tǒng)感知層，需要考慮總線網(wǎng)關(guān)對DoS（Denial of Service，拒絕服務(wù)）報(bào)文攻擊進(jìn)行過濾，避免發(fā)生堵塞。對存在侵入意向的報(bào)文需要經(jīng)過鑒權(quán)認(rèn)證處理。在傳輸層、接入層中，對非對稱進(jìn)行加密身份驗(yàn)證，對數(shù)據(jù)通道使用對稱加密，還需要在其中加入可信任的車輛身份識別、訪問信任鏈等。而服務(wù)層應(yīng)用、移動(dòng)APP，則需要利用APP 來進(jìn)行APP 安全評測、組件安全保護(hù)以及反編譯保護(hù)等。同時(shí)將滲透測試保障應(yīng)用在系統(tǒng)中，及時(shí)發(fā)現(xiàn)其中存在的問題與漏洞，從而盡快解決。

2.2 車輛網(wǎng)絡(luò)網(wǎng)關(guān)安全防護(hù)設(shè)計(jì)

在標(biāo)準(zhǔn)的汽車網(wǎng)絡(luò)中，網(wǎng)關(guān)利用CAN、LIN、FlexRay等來實(shí)現(xiàn)各個(gè)ECU的數(shù)據(jù)交互。基于CAN 數(shù)據(jù)廣播自身的機(jī)制和存在的無數(shù)據(jù)驗(yàn)證的缺陷，導(dǎo)致其容易受到DoS攻擊。

為了能夠?qū)囕v產(chǎn)生防護(hù)效果，采用最安全的整車網(wǎng)絡(luò)模型，為了保護(hù)汽車總線不受到外部網(wǎng)絡(luò)攻擊產(chǎn)生的干擾，選擇在總線應(yīng)用中添加安全控制節(jié)點(diǎn)。以O(shè)DB（On-Board Diagnostics，車載自動(dòng)診斷系統(tǒng)）、T-Box（Telematics Box，遠(yuǎn)距離通信盒子）接口的互聯(lián)網(wǎng)汽車總線應(yīng)用系統(tǒng)為基礎(chǔ)，利用安全控制中的機(jī)制攔截外部信息系統(tǒng)，從而直接控制汽車總線，這一部分主要通過獨(dú)立的網(wǎng)關(guān)過濾DoS攻擊；對于需要進(jìn)行控制的合法請求，可以將其加入到可信任類型的模型中。

在可信任的模型內(nèi)，只有經(jīng)過認(rèn)證之后的用戶才可以從總線中獲取數(shù)據(jù)，如果需要向CAN總線發(fā)送數(shù)據(jù)，那么必須先請求總線保護(hù)模塊，經(jīng)過總線保護(hù)模塊的認(rèn)可之后才可以發(fā)送報(bào)文。另外，網(wǎng)關(guān)作為總線中的保護(hù)模塊，通過控制終端設(shè)備內(nèi)的CAN數(shù)據(jù)發(fā)送接口，保護(hù)車輛總線。T-Box 通過請求達(dá)到發(fā)送數(shù)據(jù)的目的，而模塊通過計(jì)算來判斷數(shù)據(jù)是否允許發(fā)送到總線，如果允許則進(jìn)行數(shù)據(jù)的發(fā)送，如果不允許則拒絕發(fā)送數(shù)據(jù)。為了能夠抵御終端設(shè)備可能發(fā)生的高頻率總線傳輸請求，總線保護(hù)模塊將時(shí)間作為判斷標(biāo)準(zhǔn)。

除此之外，在網(wǎng)關(guān)中采用硬件隔離技術(shù)，將網(wǎng)關(guān)信息隱藏，不暴露網(wǎng)絡(luò)通信，無線通信與網(wǎng)關(guān)之間采用不同的單片機(jī)，同時(shí)對其實(shí)施隔離，并且必須保障總線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)之間存在物理隔離，然后進(jìn)行單元判斷、轉(zhuǎn)發(fā)，在中斷程序內(nèi)部對診斷請求的來源進(jìn)行判斷，之后再開始進(jìn)行具體轉(zhuǎn)發(fā)響應(yīng)，避免總線信息出現(xiàn)泄露和轉(zhuǎn)發(fā)錯(cuò)誤等情況，同時(shí)有效地保障用戶車輛數(shù)據(jù)信息的保密性、安全性。其處理機(jī)制如圖1所示。

圖1 總線消息處理機(jī)制

2.3 云安全及 APP 安全防護(hù)

在云安全方面，主要采用可信服務(wù)管理的安全云，通過這一方式實(shí)現(xiàn)從云到管和端之間的安全傳輸。對云端來說，除了需要進(jìn)行中間件防護(hù)、病毒方面的防護(hù)、存儲(chǔ)安全防護(hù)以及訪問控制防護(hù)之外，還有一項(xiàng)最重要的防護(hù)，就是避免黑客利用購機(jī)的方式來獲取密鑰，這一防護(hù)同時(shí)也是最難防護(hù)的，如果黑客獲取了密鑰，就會(huì)導(dǎo)致所有的防護(hù)形同虛設(shè)；因此防護(hù)密鑰非常關(guān)鍵。為充分考慮攻擊下的密鑰防護(hù)安全，本系統(tǒng)選擇利用各種密碼技術(shù)來加固防護(hù)，密碼在汽車的信息安全防護(hù)中是非?；A(chǔ)的防護(hù)方式；因此，利用安全密碼盒來防護(hù)用戶的密鑰。

2.4 通信安全、數(shù)據(jù)傳輸以及接入防護(hù)

網(wǎng)絡(luò)結(jié)構(gòu)主要分為4個(gè)區(qū)，包括移動(dòng)終端區(qū)、移動(dòng)通信網(wǎng)、移動(dòng)接入管理區(qū)和業(yè)務(wù)平臺(tái)區(qū)。移動(dòng)終端區(qū)包括車聯(lián)網(wǎng)平臺(tái)和手持終端；移動(dòng)網(wǎng)絡(luò)包括聯(lián)通基站、HLR（Home Location Register，歸宿位置寄存器）、SGSN（Serving GPRS Support Node，服務(wù) GRPS支持節(jié)點(diǎn)）、GGSN（Gateway GPRS Support Node，網(wǎng)關(guān) GPRS 支持節(jié)點(diǎn)）和路由器等；移動(dòng)接入管理區(qū)包括防火墻、客戶AAA（Authentication、Authorization、Accounting，身份驗(yàn)證、授權(quán)、審計(jì)）和路由器；業(yè)務(wù)平臺(tái)區(qū)為客戶業(yè)務(wù)平臺(tái)。其中移動(dòng)通信網(wǎng)和移動(dòng)接入管理區(qū)通過APN專線連接，通過企業(yè)級的網(wǎng)絡(luò)結(jié)構(gòu)，強(qiáng)有力地保證了車聯(lián)網(wǎng)平臺(tái)的安全。

3 系統(tǒng)檢測

在完成系統(tǒng)設(shè)計(jì)工作之后，為了保障系統(tǒng)安全防護(hù)設(shè)計(jì)的可靠性，必須對系統(tǒng)實(shí)施安全檢測。

3.1 APP安全檢測

（1）風(fēng)險(xiǎn)評估：對當(dāng)前APK（Android Application Package，安卓系統(tǒng)應(yīng)用程序包）可能會(huì)遇見的外部攻擊風(fēng)險(xiǎn)進(jìn)行檢測，在APK應(yīng)用環(huán)境中，外部攻擊風(fēng)險(xiǎn)是一種最常見的隱患，利用這一隱患可以開展二次打包、盜取敏感數(shù)據(jù)等眾多非法操作。

（2）安全檢測：充分詳細(xì)地觀察 APK 應(yīng)用內(nèi)部行為與安全規(guī)范之間是否相符合，因?yàn)檫@些內(nèi)部行為可能會(huì)導(dǎo)致許多問題，例如，權(quán)限混亂、信息泄露以及帶有廣告和病毒等。

3.2 設(shè)備安全檢測分析

設(shè)備檢測分析的內(nèi)容主要包括IVI（In-Vehicle Infotainment，車載綜合信息處理系統(tǒng)）安全檢查、T-Box、總線數(shù)據(jù)分析以及固件提取和固件分析等。其中，固件提取可以分為儲(chǔ)存芯片固件、MCU（Microcontroller Unit，微控制單元）片內(nèi)固件。固件分析主要分為敏感算法的分析和還原、程序代碼邏輯與數(shù)據(jù)結(jié)構(gòu)的理解、加密流程等。

4 結(jié) 論

主要分析智能網(wǎng)聯(lián)汽車的安全風(fēng)險(xiǎn)，然后對智能網(wǎng)聯(lián)汽車設(shè)計(jì)了多級安全防護(hù)系統(tǒng)方案，最后對本系統(tǒng)進(jìn)行系統(tǒng)檢測。通過該系統(tǒng)，可以有效地避免車聯(lián)網(wǎng)平臺(tái)出現(xiàn)安全方面的隱患，保障車聯(lián)網(wǎng)平臺(tái)的安全，使車輛的駕駛?cè)藛T可以在更穩(wěn)定安全的環(huán)境中駕駛。

[1]王永峰，石教學(xué)，于永彥. 智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全漏洞及防護(hù)研究[J]. 汽車科技，2018，（z1）：16-20.

[2]胡文，姜立標(biāo). 智能網(wǎng)聯(lián)汽車的多級安全防護(hù)方案設(shè)計(jì)和分析[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，（2）：136-138，140.

[3]楊宏. 基于智能網(wǎng)聯(lián)汽車的CAN總線攻擊與防御檢測技術(shù)研究[D]. 天津：天津理工大學(xué)，2017.

2020-07-16

U463.6

A

10.14175/j.issn.1002-4581.2020.05.012

1002-4581（2020）05-0049-03