王永峰 石教學(xué) 于永彥

摘要：汽車網(wǎng)聯(lián)化逐步提高，車內(nèi)外交互信息越來越多，之前獨(dú)立的汽車個(gè)體，在聯(lián)網(wǎng)帶來便利和多樣性功能的同時(shí)，汽車網(wǎng)絡(luò)安全問題也隨之產(chǎn)生。近些年來汽車網(wǎng)絡(luò)安全問題主要是互聯(lián)網(wǎng)公司提出，并牽頭相關(guān)標(biāo)準(zhǔn)的制定，整車廠處于被動(dòng)配合的地位。本文從整車廠的角度，主要對車內(nèi)終端和車內(nèi)網(wǎng)絡(luò)通信兩個(gè)方面解析。首先對目前出現(xiàn)的汽車網(wǎng)絡(luò)安全事件分析，得出真止影響車輛的因素。然后運(yùn)用STRIDE方法分析網(wǎng)絡(luò)安全威脅，最終從短期和長期措施兩個(gè)方面提出網(wǎng)絡(luò)安全防護(hù)措施。

關(guān)鍵詞：安全漏洞;STR|DE;TBOX;CAN總線

1背景

汽車網(wǎng)聯(lián)化程度提高，網(wǎng)聯(lián)功能逐漸增多。汽車由原來的封閉個(gè)體變成了丌放的移動(dòng)終端，車車通信和車后臺(tái)交互信息增多，給生活帶來了便利，但同時(shí)也引入了網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。隨著近幾年汽車網(wǎng)絡(luò)安全事件增多，對于該問題的關(guān)注逐步提升。

整車廠對于網(wǎng)絡(luò)安全相關(guān)知識(shí)儲(chǔ)備及意識(shí)小足，互聯(lián)網(wǎng)公司及個(gè)人對于網(wǎng)聯(lián)汽車的攻擊興趣高，便于成名，危害火。這些公司和個(gè)人確實(shí)發(fā)現(xiàn)了一些漏洞，部分也在極力倡導(dǎo)建市網(wǎng)絡(luò)安傘相關(guān)標(biāo)準(zhǔn)和法律，目前主要是將互聯(lián)網(wǎng)的一套標(biāo)準(zhǔn)直接照搬到汽車上，存在一定的弊端。所以本文從整車廠的角度丌展汽車網(wǎng)絡(luò)安傘漏洞的研究，并提出防護(hù)措施。

2 國內(nèi)外網(wǎng)絡(luò)安全現(xiàn)狀

2.1汽車網(wǎng)絡(luò)安全定義

根據(jù)同際標(biāo)準(zhǔn)化組織（ISO）定義，網(wǎng)絡(luò)信息安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。網(wǎng)絡(luò)信息安傘包含：物理安傘、網(wǎng)絡(luò)安全、云平臺(tái)安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安傘6個(gè)層面^[1]。日前無統(tǒng)一標(biāo)準(zhǔn)定義汽車網(wǎng)絡(luò)信息安全

2.2 網(wǎng)絡(luò)安全事件分析

根據(jù)近些年發(fā)生的網(wǎng)絡(luò)安傘事件，發(fā)現(xiàn)汽車網(wǎng)絡(luò)安全旱現(xiàn)以下趨勢：

2.國內(nèi)外各大汽車品牌均有涉及;

3從單一車輛攻擊到大規(guī)模的可復(fù)制性攻擊;

4.從單體入侵到車輛可被控制。

網(wǎng)絡(luò)攻擊從攻擊位置分為本地物理攻擊和遠(yuǎn)程攻擊。

本地攻擊常見方式足通過在車內(nèi)OBD接口接人設(shè)備，對整車CAN網(wǎng)絡(luò)進(jìn)行監(jiān)測和發(fā)送指令。實(shí)施本地攻擊的前提是進(jìn)入車輛，并且在0BD接口接入設(shè)備，該方式發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞發(fā)生的可能性小，不在本文研究范疇。本文豐要研究具備可復(fù)制性的遠(yuǎn)程攻擊。

實(shí)施遠(yuǎn)程攻擊一般步驟為遠(yuǎn)程連接車輛、確定攻出日標(biāo)、發(fā)現(xiàn)可用的遠(yuǎn)程服務(wù)、遠(yuǎn)程竊取車輛的數(shù)據(jù)或者遠(yuǎn)程攻擊。

車主主要關(guān)注的是車輛安全、隱私保護(hù)。

3 漏洞分析

系統(tǒng)主要包括車內(nèi)終端（TBOX）、網(wǎng)絡(luò)、后臺(tái)，TBOX通過CAN總線與車內(nèi)其他控制器進(jìn)行交互。

3.1車內(nèi)終端

1） TBOX

一般車輛都是通過TBOX與車外交互，TBOX是整車的第一道防護(hù)。

使用STRIDE方法進(jìn)行網(wǎng)絡(luò)安全威脅分析，具體如下^[2]：

2）網(wǎng)關(guān)

車內(nèi)網(wǎng)關(guān)主要承擔(dān)不同網(wǎng)段之問CAN報(bào)文和信號(hào)的轉(zhuǎn)發(fā)，從而滿足整車中不同網(wǎng)段控制器的信息交互和功能。網(wǎng)關(guān)是整車的第二道防護(hù)。

如果與車外交互設(shè)備，如TBOX被入侵，通過TBOX往整車上發(fā)送非法CAN報(bào)文，如果網(wǎng)關(guān)不加以過濾，直接將這些報(bào)文轉(zhuǎn)發(fā)到網(wǎng)段2上，則可能可以對車輛的加速、制動(dòng)、轉(zhuǎn)向進(jìn)行控制。

3.2車內(nèi)通信

目前絕大多數(shù)車輛的車內(nèi)總線還是以CAN為主，尤其是德系車，總線控制器和涵蓋的功能包括動(dòng)力、車身、娛樂等領(lǐng)域。

整車廠CAN設(shè)計(jì)的物理層和數(shù)據(jù)鏈路層沿用博世CAN2.0，應(yīng)用層采用自定義的方式。CAN信號(hào)的傳輸采用明文和廣播方式，任何連接到整車CAN中的節(jié)點(diǎn)均可以收發(fā)信息，從而獲取車輛實(shí)時(shí)數(shù)據(jù)，并控制車輛”^[3]。

3.3網(wǎng)絡(luò)、后臺(tái)

該部分的設(shè)計(jì)與車輛本身關(guān)系不大，汽車無特殊要求，可以沿用現(xiàn)有互聯(lián)網(wǎng)相關(guān)的設(shè)計(jì)要求，本文不做贅述。

4 防護(hù)措施

4.1短期

4.1.1終端的防護(hù)

1）硬件保護(hù)

安全的調(diào)試接口^[4]

表9 禁止不使用的端口鄺艮制調(diào)試端口使用

安全boot

Boot過程中的根密鑰保存在控制器的rom中或免收干擾的硬件中;

關(guān)閉debug接口或者進(jìn)入恢復(fù)模式前需要鑒權(quán)。

篡改保護(hù)

芯片檢測到暴力拆解，會(huì)采取相應(yīng)措施：如擦除key，重置或發(fā)出警報(bào)。

2）軟件保護(hù)^[5]

代碼分析保護(hù)：代碼混淆;

安全訪問控制：網(wǎng)絡(luò)訪問、存儲(chǔ)訪問;

應(yīng)用隔離：一個(gè)應(yīng)用的漏洞不能影響其他應(yīng)用使用密鑰的安全通道（對稱、非對稱）;

安全升級(jí)：加密機(jī)制、安裝完成前不能再次訪問;

用戶管理：l、不同用戶采用不同的安全等級(jí);2、不能使用匿名用戶。

4.1.2車內(nèi)網(wǎng)關(guān)的防護(hù)

網(wǎng)關(guān)過濾：對于非預(yù)期的報(bào)文信號(hào)直接丟棄，不予轉(zhuǎn)發(fā)和處理;

身份認(rèn)證：轉(zhuǎn)發(fā)前對源節(jié)點(diǎn)進(jìn)行鑒權(quán)，保證發(fā)送節(jié)點(diǎn)的合法性。

4.1.3車內(nèi)CAN通信防護(hù)

總線隔離：不同安全級(jí)別的部件要放在不同的網(wǎng)絡(luò)中;

車內(nèi)CAN通信加密，尤其是對于安全相關(guān)的信號(hào)，增加校驗(yàn)和數(shù)據(jù)加密。

4.2長期

建立響應(yīng)機(jī)制：主動(dòng)防御，建立渠道收集市場上的漏洞信息，成立專門的團(tuán)隊(duì)來處理網(wǎng)絡(luò)安全相關(guān)的緊急事件;

正向開發(fā)：在系統(tǒng)設(shè)計(jì)的初始階段，綜合考慮網(wǎng)絡(luò)安全的要素，并在開發(fā)過程中不斷修正。開發(fā)過程中各階段對網(wǎng)絡(luò)安全進(jìn)行測試。

5 總結(jié)

本文主要進(jìn)行智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全漏洞和防護(hù)措施進(jìn)行研究。首先分析了市場上智能網(wǎng)絡(luò)汽車發(fā)生的網(wǎng)絡(luò)安全事件，使用STRIDE方法梳理出網(wǎng)絡(luò)安全威脅，并提出網(wǎng)絡(luò)安全防護(hù)措施。本次研究的關(guān)注重點(diǎn)主要是車內(nèi)終端和車內(nèi)通信，從整車廠能夠管控的部分進(jìn)行重點(diǎn)研究，提出解決方案。因?yàn)榫W(wǎng)絡(luò)安全對于整車廠是個(gè)新事物，后續(xù)將隨著研究的深入逐步完善相關(guān)設(shè)計(jì)。

參考文獻(xiàn)：

[1]吳多勝，王帆.網(wǎng)絡(luò)安全從入門到精通[M].電子工業(yè)出版社.2008

[2]張靈通.信息網(wǎng)絡(luò)安全在汽車行業(yè)的應(yīng)用[J].信息安全與通信保密，2009（5）：15-15

[3]孟娜.基于CAN總線的汽車網(wǎng)絡(luò)安全系統(tǒng)的研究[J].沈陽理工大學(xué)，2011年12期

[4]盧卡.戴爾格羅斯，張濤.車用安全通信：協(xié)議、安全及隱私[M].北京理工出版社，2015年4月

[5]林曉東，陸榮幸.車載ad hoc網(wǎng)絡(luò)的安全性與隱私保護(hù)[M].機(jī)械工業(yè)出版社，2016年10月