中路通研究院发布国内首份《智能汽车通信安全实践》

中路通研究院发布国内首份《智能汽车通信安全实践》

导读

汽车行业逐渐转向智能化、无人化、物联网化发展，无人驾驶技术日趋成熟。近几年来网联汽车信息安全事件频发，并给厂商与个人带来了经济损失，甚至给人身安全、国家安全等带来了严重的威胁。

当前，很多网联汽车车载是基于Android/linux系统，除了车辆本身的由于它的安全性还没有绝对的保障，所以公众还对此一直存在一定争议。 目前，车联网安全架构技术门槛高，成本和生产建模问题是汽车制造商的后顾之忧，能否做到成本和实用性的平衡任然是现在面临的主要难题。

面临的安全威胁：

应用端APP安全问题：：：：

1.安全研究人员测试的APP大致解释了黑客常用的几种窃取车主信息的手段。

因为目前基本上所有类似的车载APP的车主个人隐私信息都在不加密的状态下简单地储存在车主的手机中，对此，黑客可以通过root用户手机，作为根用户直接将用户信息发送到后台主机。或者可以诱导用户下载恶意程序，窃取登录信息。亦可以通过其他恶意软件进行“覆盖”攻击，在用户启动APP的同时创立一个伪造的登录界面诱导用户登录，从而窃取信息，此时黑客亦可以进行多重覆盖攻击，窃取用户其余所有的个人信息。

1.ECU安全威胁】 ::::

ECU（Electronic Control Unit）电子控制单元，是汽车专用微机控制器，它和普通的单片机一样，由微处理器、存储器、输入/输出接口、模数转换器以及整形、驱动等大规模集成电路组成。电控单元的功能是根据其内存的程序和数据对空气流量计及各种传感器输入的信息进行运算、处理、判断，然后输出指令。一辆汽车通常有几十个甚至更多的电子控制器，其中许多被连成网络，相互进行通信。大多数汽车的电子控制模块具备一些防止其代码和操作遭到篡改的措施，这些措施的保护力度强弱不一。

2.Can-bus总线安全威胁::::

。汽车电子元器件在车内都是通过CAN网络相连接的，电子元器件之间是通过CAN包进行通信的。OBD会经过CAN总线链接到ECU，然后利用ECU对每个传感器进行调用并分析出相关信息，通过CAN总线传送回OBD接口，汇总并整理好相关信息给手机App进行显示。

3.T-Box安全威胁：：：：

T-Box系统是通过在汽车上集成的GPS定位，RFID(射频技术)识别，传感器、摄像头和图像处理等电子元件，按照通信协议和数据交互标准，进行无线通信和信息交换的大系统网络，也是实现智能化交通管理、智能动态信息服务和车辆智能化控制的基础网络。T-BOX网络的安全系数决定了汽车行驶和整个智能交通网络的安全，是车联网发展的核心技术之一。

解决方案：：：：

中路通研究院的安全解决方案从业务需求出发，系统性分析自动驾驶车辆的运行场景与边界，评估自动驾驶车辆出现失效或遭受异常攻击造成的人身安全与财产安全风险，制定整体的安全目标。经纬恒润为自动驾驶车辆提供纵深的安全设计方案，从架构、网络拓扑和单ECU安全设计等方面采取多重安全设计，全方位提升自动驾驶车辆的安全性。

解决方案：：：：

中路通研究院的安全解决方案从业务需求出发，系统性分析自动驾驶车辆的运行场景与边界，评估自动驾驶车辆出现失效或遭受异常攻击造成的人身安全与财产安全风险，制定整体的安全目标。经纬恒润为自动驾驶车辆提供纵深的安全设计方案，从架构、网络拓扑和单ECU安全设计等方面采取多重安全设计，全方位提升自动驾驶车辆的安全性。

技术解决方案

1.硬件通信层面

通过在中央网关部署IDPS进行防御。过滤或舍弃外部流量、对关键指令进行白名单等策略可有效抵御OBD接口、跨域报文等攻击方式。基于诊断方式的攻击，可通过对关键服务增加安全访问（27服务）进行防护，或增加OBD口加密认证机制，仅允许授权设备进行诊断。硬件层面屏蔽UART调试串口，软件层面，调试串口屏蔽掉调试输出并增加符合规则的强访问口令（大小写字母、数字、特殊字符、不少于8位等等），将复杂问题分解为若干层次和若干因素, 构建多层次的分析结构模型。其将决策者对复杂系统的决策思维过程模型化、数量化, 适用于多准则、多目标的复杂问题决策分析, 已经成功应用于网络安全风险评估中。已大车载信息系统在系统安全、网络安全、应用安全、数据安全及备份恢复四个方面的安全要求为基础, 建立层次化结构模型, 实现车载信息系统安全的定量评价。

2.车内通信层面

对于不同控制单元之间的通信，必须采取防护措施，避免篡改、数据偷窃和由已经被攻陷的ECU所发起的攻击。在这里，需要安全的协议、强大的密钥管理和安全的车内通讯（SecOC）。

SecOC层面安全在AUTOSAR软件包中添加的信息安全组件(组件位置及可应用的通讯方式如下图所示),增加了加解密运算、秘钥管理、新鲜值管理和分发等一系列的功能和新要求。SecOC模块在PDU级别上为关键数据提供有效可行的身份验证机制。认证机制与当前的AUTOSAR通信系统无缝集成,同时对资源消耗的影响应尽可能小,以便可为旧系统提供附加保护。该规范主要使用带有消息认证码(MAC)的对称认证方法。与不对称方法相比,它们使用更小的密钥实现了相同级别的安全性,并且可以在软件和硬件中紧凑高效地实现。但是,规范提供了两种方法必要的抽象级别,因此对称和非对称身份验证方法都可使用，同时从而识别不断上升的安全威胁、建立专门的事件响应并在整个生命周期内保持稳定的安全级别。

3.IDS免疫系统

车辆的互联程度不断提高，易受网络攻击的安全漏洞也日益浮现。因此，法规要求OEM厂商和车队运营商在车辆的整个生命周期内进行有效的安全风险管理。实现这一目标的关键之一是通过车载入侵检测系统（IDS）进行攻击检测。但即使基于以太网的E/E体系结构正提出更高的要求，将来如何保证通过IDS对车载网络通信进行可靠监控IDS的主要任务是识别对车辆的攻击，并将其报告给车辆安全操作中心（VSOC），以便采取合适的对策。为此，车辆内部的分布式IDS由以下几部分组成：IDS传感器（DS-CAN和DS-ETH）、IDS管理工具（DS-M）和IDS报告工具（DS-R）。车载组件和V-SOC共同构成了IDPS解决方案，确保制造商和车队运营商能够建立实现持续安全改进的生命周期。

4.GATE安全防火墙

防火墙可以直接集成到以太网交换器中。在那里，会对整个的包流集中进行监控和管理，不会与主机控制器或者ECU形成任何相互干涉。在交换器上，防火墙既可以作为资料库，也可以作为独立解决方案加以使用。凭借成熟的硬件软件协作设计，防火墙解决方案在交换器上可以充分利用硬件的加速能力。在算法方面，交换器硬件和软件形成了紧密的相互交织，使得防火墙能够以线速处理绝大部分数据包。