一文讀懂車聯網信息安全

發布時間：2022-05-16作者來源：金航標瀏覽：2888

/ 導讀 /

在當今主機廠的新車發布會上，車聯網相關功能作為特色賣點仍占據半壁江山，如遠程開空調、遠程座椅加熱、遠程升級等。通過將車輛聯網，并搭載各類傳感器、控制器、執行器等智能硬件，汽車開始具有了交互和服務的能力，并從單純的交通工具向連接萬物的超級智能終端進化。

車聯網讓汽車煥發青春的同時，也讓原本相對封閉的汽車一下子暴露在了開放的網絡環境中，并隨時可能受到來自網絡信息安全的威脅。而車聯網系統中包含的車主個人信息、常用聯系人、常用地址等敏感信息，一旦被非法竊取，輕則隱私泄露財產損失，重則人身安全受到傷害。

因汽車信息安全問題導致車輛被召回的典型事件發生在2015年的菲亞特克萊斯勒汽車公司（FCA）身上。在一次信息安全測試，多名信息安全專家利用FCA生產的汽車上拆下來的娛樂主機的聯網通道以及對外的物理接口，入侵了FCA的云端，并偽造發送了車輛的遠程控制指令，結果順利打開了車輛的空調、儀表、雨刷等模塊。且這類攻擊既可發生于車輛尚未啟動時，也可發生于汽車行駛過程中，存在極大的安全風險。隨后，FCA宣布在[敏感詞]召回140萬輛存在此信息安全風險的轎車和卡車。

處于開放網絡環境中的汽車面臨的信息安全風險主要來自于車載終端、云服務平臺、通信鏈路和外部生態等方面。主機廠在經歷車聯網業務野蠻生長之后，開始越來越重視車聯網的信息安全，并通過各種手段提升車輛的信息安全防護能力。包括加強車聯網數據在全生命周期的分級分類管理和訪問控制；完善車輛研發、生產、使用過程中的身份認證體系；搭建多方聯動、信息共享、實時精準的安全服務平臺等。

國家相關機構作為行業的監管方，也正在逐步建立建全有關網聯汽車的安全管理體系（國標、行業規范），強化汽車行業對于信息安全的風險防控以及安全防御能力。

本文作為車聯網圈黑話第五期，通過對車聯網中典型的車云架構進行剖析，分析潛在的信息安全威脅，并介紹一些通用的信息安全方案。

車聯網車云業務整體架構

車聯網的常用架構為云管端架構，云指云服務平臺，端指車載終端，管指連接云服務平臺與車載終端的通信鏈路，通用的云管端架構方案如下圖所示。

云服務平臺一般有兩個APN（Access Point Name，網絡接入點），一個負責接入公網域，一個負責接入私網域。公網域一般負責文件存儲、云計算等對存儲資源要求高、計算能力要求大的應用。私網域主要負責車輛敏感數據交互以及車控、FOTA等業務，是主機廠車聯網業務的生命線，同時需具備比公網域更高的信息安全要求。因此設置設備接入網關，對接入車載終端進行身份驗證和路由服務。

車載終端以內置4G/5G通信模塊的TBOX/智能網關為主。對外通過遠程通信技術與云服務平臺進行通信，對內通過CAN/LIN/車載以太網與車內其他ECU進行通信。從而提供行車數據采集、遠程查詢和控制、遠程診斷、遠程升級等服務。

至于連接云服務平臺與車載終端的通信鏈路，公網域與車載終端一般采用HTTPS協議，私網域與車載終端一般采用TCP/IP協議。而對接入車輛/設備多的場景可在網絡的應用層采用MQTT協議。

如同其他涉及云端和設備端的系統，車聯網云管端架構面臨的信息安全威脅主要包括：云端的被篡改、通信鏈路的監聽、車端密鑰的泄露、本地網絡的通信安全等。

云端威脅策略分析

一、服務器安全

汽車領域的云服務平臺與傳統互聯網領域云平臺類似，容易遭受服務器被入侵的風險，導致敏感數據泄露、關鍵指令被篡改，從而損害車主的權益。比如攻擊者通過入侵服務器來篡改車輛遠程控制報文，輕則導致車輛操作異常，重則影響車輛正常行駛，危及用戶的生命安全。

各主機廠一般采用將敏感數據和重要服務“關在家中”的手段來保證信息安全。通過專線網絡、身份認證、設置獨立機房專業運維等措施，阻止非法用戶的訪問。

二、服務接口安全

由于微服務架構具有部署靈活，彈性擴容等優點，[敏感詞]搭建的云服務平臺普遍采用以SpringCloud為代表的框架作為開發的基礎。主機廠部分車聯網業務需要獲取用戶、車輛、零件的相關數據，并將這些數據作為業務流轉的基礎。跨平臺和跨系統間的數據共享和數據通信一般通過微服務的Web Service接口方式來實現。

為了驗證發送方身份，并保證數據的完整性，數據傳輸接口一般使用HTTPS協議，來保證發送方身份的真實性。同時通過定期更換對稱密鑰，對報文加密或增加MAC驗證字段等手段，來驗證數據的完整性。主機廠還可以在報文中添加新鮮度字段（如時間戳）等手段，對新鮮度進行管理，以防攻擊者使用相同的數據進行重放攻擊。

通信鏈路威脅分析和策略

云管端架構中存在多條通信鏈路，包括云服務平臺與基站通信鏈路，基站與車載終端通信鏈路，手機與基站通信鏈路等。

車聯網公網域主要承載車端的非敏感文件或日志的上傳/下載、云存儲等業務，采用HTTPS協議便能滿足信息安全的需求。然而對于部署敏感數據交互和車控功能等業務的私網域，通信端需要能夠應對更高等級的信息安全威脅。這些威脅包括車載終端被偽造，非法連接云服務平臺；云服務平臺被釣魚；指令或業務數據明文傳輸被截獲，敏感信息泄露；指令或業務數據被截獲篡改，執行錯誤請求，造成安全事故等。

在通信鏈路攻擊中，攻擊者可以通過偽基站、DNS劫持等手段劫持會話，竊取車輛的知識產權或敏感數據。如在FOTA業務中監聽竊取車輛的升級包，以反向工程ECU固件。

攻擊者還可通過車輛物理接口，篡改云端通信路徑，使用偽造的服務器對車輛實施攻擊。例如執行無休止的數據攻擊，從而使車端的控制器耗盡其存儲空間，無法進行正常的業務操作。或是拷貝TBOX軟件版本至其他設備，偽裝成合法車輛對云服務平臺非法訪問。

通過對上述風險的分析，結合車聯網業務流程涉及車云兩端的頻繁交互，迫切需要為參與車聯網業務的核心實體對象（云服務平臺、車載終端等）賦予高強度的身份標識，保證實體對象的唯一性，同時基于各實體對象的身份標識，實現車載終端接入車聯網服務平臺的雙向高強度身份校驗。

公鑰基礎設施（Public Key Infrastructure， PKI）通過采用非對稱密碼算法技術，提供信息安全服務，是一種通用并遵循標準的密鑰管理平臺。它能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理。在車聯網應用中，PKI可為各類實體對象提供身份的可信描述，為對象簽發統一的數字身份標識—數字證書，從而構建可信的網絡虛擬環境。為實現信息的保密性、完整性，不可抵賴性提供基礎支撐。

PKI子系統之間的邏輯關系如下圖所示。

云端的設備接入網關、車載終端均需由PKI簽發證書，對于TBOX、AVN等控制器的激活操作，即PKI中的證書簽發，步驟簡述如下：

步驟1：TBOX產生公私鑰對并構造P10申請（P10中包含證書主題、有效期、公鑰以及上述信息的簽名），將申請發送至云端；

步驟2：云端證書管理服務接收到請求后，對上傳的信息進行校驗，并將P10和車輛其他信息封裝成PKI識別的證書請求，PKI簽發證書；

步驟3：云端將簽發后的PKI證書返回至車端TBOX存儲。

在云端和設備端均激活（證書簽發）后，通信實體與云端便可基于數字證書進行通信。

車端威脅分析和策略

汽車普遍采用CAN總線連接車內的其他ECU或傳感器設備。由于CAN總線通信無認證能力，缺乏加密通信功能，攻擊者可利用其廣播機制入侵總線上的任一節點，在取得總線的控制權后便可以向總線其他節點發送報文。因此CAN總線面臨多類攻擊方式的風險，包括重放攻擊、洪泛攻擊、修改攻擊和丟棄攻擊等。

HSM（Hardware Security Module，硬件安全模塊）是車端安全方案的基礎支撐，后文將要介紹的兩種車端信息安全策略TrustZone/TEE執行環境和SecOC協議，也均是基于HSM實現。HSM將算法、密鑰、加密方式等信息寫入無法篡改的硬件模塊中，并處理安全性相關任務包括安全的車載通信、運行時的操作檢測以及安全的啟動、刷新、日志記錄和調試等。以此來阻止攻擊者通過繞過與安全性相關的ECU接口，獲得對車載網絡的訪問權限。

一、Trustzone/TEE執行環境

TrustZone是ARM A-profile架構中的安全架構。TrustZone將CPU的工作狀態分為兩種，NWS（Normal World Status，正常世界狀態）和SWS（Secure World Status，安全世界狀態）。支持TrustZone技術的芯片提供了對外圍硬件資源的硬件級別的保護和安全隔離。當CPU處于NWS時，任何應用都無法訪問安全硬件設備，也無法訪問屬于SWS的內存、緩存以及其他外圍安全硬件設備。它們之間具有系統級別的硬件強制隔離。

操作系統和應用運行在NWS，TEE運行在SWS。通常一個 TEE包括多個由輕量級內核托管的可信服務，提供諸如密鑰管理之類的功能，并為開發人員提供相應的API。

一個完整的SoC由ARM內核、系統總線、片上RAM、片上ROM以及其他外圍設備組件構成。對于ARM內核的控制器，需要支持TrustZone，同時配合相應的組件，才能實現整個系統芯片達到硬件級別的保護和隔離措施。下圖是一個支持TrustZone的SoC的硬件框圖。

TrustZone技術之所以能提高系統的安全性，是因為對外部資源和內存資源的硬件隔離。這些硬件隔離包括中斷隔離、片上RAM和ROM的隔離、片外RAM和ROM的隔離、外圍設備的硬件隔離、外部RAM和ROM的隔離等。

實現硬件層面的各種隔離，需要對整個系統的硬件和處理器核做出相應的擴展，包括將CPU內核進行虛擬化，將CPU的運行狀態分為安全狀態和非安全狀態；在總線增加安全位讀寫信號線；增加內存管理單元（Memory Management Unit，MMU）頁表的安全位；緩存增加安全位；其他外圍組件提供安全操作權限控制和安全操作信號等。

二、SecOC協議

最近幾年車內總線的加密通信受到了越來越多的關注。為了響應汽車行業對數據加密和驗證的需求，AUTOSAR組織補充了SecOC（Secure Onboard Communication）組件，為車載通訊總線引入了一套通信加密和驗證的標準，是車載網絡上一種有效的信息安全方案。

SecOC是在AUTOSAR軟件包中添加的信息安全組件，該模塊增加了加解密運算、密鑰管理、新鮮值管理和分發等一系列的功能和新要求。SecOC模塊能夠給CAN/CANFD總線上的報文數據提供有效可行的身份驗證機制，與當前的AUTOSAR的ARA通信機制集成良好，對資源消耗小。該規范基于對稱算法的MAC認證。與非對稱算法相比，使用更短的密鑰實現了相同級別的安全性。

若通信的控制器之間需要實現SecOC協議，則發送和接收控制器都必須集成SecOC模塊。原始報文稱為Authentic I-PDU，SecOC模塊基于原始數據和密鑰，使用約定的算法得到MAC值。報文頭、原始報文、新鮮度和MAC組裝后得到Secured I-PDU，結構如下圖所示。

SecOC主要基于兩種手段來實現數據的真實性和完整性的校驗，分別是基于MAC的身份驗證和基于新鮮度的防重放攻擊。首先MAC是保障信息完整性和認證的密碼學方法之一，SecOC協議中MAC消息認證碼的作用是驗證報文數據的真實性，然而保證報文的機密性還需要進行額外的安全措施。

其次，為了降低重復攻擊的風險，則需要在Secured I-PDU中加入新鮮度值，新鮮度值是一個根據一定邏輯不斷更新的數值， AUTOSAR推薦計數器或基于時間戳生成新鮮度值。OEM在實施 SecOC 方案時需要定義和做好兩個關鍵部分：新鮮度值管理和密鑰管理。下圖為基于SecOC的通訊加密和認證過程。