廖明陽 劉興偉 馬宏亮

摘 ?要： 隨著智能網(wǎng)聯(lián)汽車的不斷發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為影響傳統(tǒng)汽車全面向智能網(wǎng)聯(lián)汽車發(fā)展過渡的關(guān)鍵。在車聯(lián)網(wǎng)“端—管—云”的基本網(wǎng)絡(luò)架構(gòu)下，每一個環(huán)節(jié)都是信息安全的防護重點。因此，設(shè)計并實現(xiàn)了智能網(wǎng)聯(lián)汽車信息安全風控系統(tǒng)，包括T-BOX系統(tǒng)安全、移動應(yīng)用APP安全和服務(wù)器安全分析平臺等。通過實驗，檢測了T-BOX樣機對抗DoS攻擊和網(wǎng)絡(luò)SYN攻擊的能力，以此驗證了所提出的信息安全風控系統(tǒng)的有效性。

關(guān)鍵詞： 智能網(wǎng)聯(lián)汽車; 車聯(lián)網(wǎng); 信息安全; T-BOX; 移動應(yīng)用APP

中圖分類號：TP391 ? ? ? ? ?文獻標志碼：A ? ? 文章編號：1006-8228（2019）10-19-05

Abstract： With the continuous development of intelligent and connected vehicles， network security has become the key to the transition from traditional vehicles to intelligent and connected vehicles. Under the basic network structure of Internet of vehicles， every point is the key point of information security protection. Therefore， the information security protection system of intelligent and connected vehicles is designed and realized， including the security protection for T-BOX and mobile APPs， and the server security analysis platform. Through experiments， the effectiveness of the information security protection system proposed in this paper is verified by detecting the capability of T-BOX against DoS attacks and SYN Flood attacks.

Key words： intelligent and connected vehicles; Internet of vehicles; information security; T-BOX; mobile APP

0 引言

隨著互聯(lián)網(wǎng)與汽車產(chǎn)業(yè)的不斷融合[1-2]，汽車網(wǎng)絡(luò)互聯(lián)和智能化已成為必然。同時，隨著智能網(wǎng)聯(lián)汽車的不斷發(fā)展，汽車攻擊事件頻發(fā)，安全問題日益突出[3-4]，部分智能汽車網(wǎng)絡(luò)安全研究和事件描述如下：Charlie Miller & Chris Valasek通過OBD接口破解了豐田普銳斯;360公司破解了Tesla汽車遠程控制功能;騰訊科恩實驗室實現(xiàn)了遠程無接觸式破解Tesla，可以在駐車狀態(tài)和行駛狀態(tài)下遠程控制等[5-6]。

這些研究成果引起了汽車廠商的極大關(guān)注，有些已經(jīng)對在售的多款車型構(gòu)成了影響。針對汽車的網(wǎng)絡(luò)攻擊能夠通過突破車內(nèi)網(wǎng)絡(luò)或汽車電子組件實現(xiàn)敏感數(shù)據(jù)獲取、車輛遠程控制（或部分功能）等[7]，影響汽車的功能安全，對駕乘車人的生命安全構(gòu)成了威脅。網(wǎng)絡(luò)安全問題已經(jīng)成為影響傳統(tǒng)汽車全面向智能網(wǎng)聯(lián)汽車發(fā)展過渡的關(guān)鍵。

1 智能網(wǎng)聯(lián)汽車信息安全風控系統(tǒng)設(shè)計

根據(jù)《中國制造2025》對汽車車聯(lián)網(wǎng)安全的規(guī)劃，在車聯(lián)網(wǎng)“端—管—云”基本網(wǎng)絡(luò)架構(gòu)下，每一個環(huán)節(jié)都是信息安全的防護重點[8-9]，包括控制安全、數(shù)據(jù)安全、功能安全等各個方面[10-12]。因此，車聯(lián)網(wǎng)安全防護環(huán)節(jié)眾多、網(wǎng)絡(luò)安全問題復雜。

我們提出的智能網(wǎng)聯(lián)汽車信息安全風控系統(tǒng)如圖1所示，主要包含：T-BOX系統(tǒng)安全、車廠提供的控制車身的移動應(yīng)用APP安全（APP安全加固、APP環(huán)境安全監(jiān)測探針）、服務(wù)器分析平臺（T-BOX威脅態(tài)勢感知平臺、移動APP威脅安全平臺、漏洞庫及威脅軟件識別庫）、安全編碼規(guī)范（源碼審計平臺、安全編碼規(guī)則庫）、信息安全檢測平臺（T-BOX滲透測試、移動APP滲透測試、移動APP安全監(jiān)測平臺/安全檢測、渠道監(jiān)控）。

1.1 T-BOX系統(tǒng)安全防御設(shè)計

T-BOX系統(tǒng)安全防御設(shè)計的主要思路是對T-BOX系統(tǒng)的各個信息點進行采集，從系統(tǒng)底層原理上對安全點進行分析;同時，根據(jù)已有的安全知識庫對上報的數(shù)據(jù)進行分析，并且不斷追蹤現(xiàn)有安全動向以更新安全知識庫。T-BOX系統(tǒng)安全防御包括以下幾個方面。

⑴ T-BOX系統(tǒng)安全監(jiān)測功能：端口掃描檢測、本地提權(quán)檢測、系統(tǒng)庫篡改檢測、流量監(jiān)控、進程注入檢測、進程調(diào)試檢測、緩存文件篡改、惡意程序掃描和檢測登錄系統(tǒng)的用戶。

① 端口掃描檢測是針對T-BOX系統(tǒng)中運行的端口進行自檢，關(guān)閉一些安全隱患的端口服務(wù);同時，可以根據(jù)服務(wù)器的配置策略，對外部訪問的IP進行限制，以確保T-BOX系統(tǒng)的安全。

② 本地提權(quán)檢測是針對T-BOX系統(tǒng)中運行的程序所具有的權(quán)限進行合理化的歸類、整理，以發(fā)現(xiàn)具有不合理權(quán)限的安全隱患程序。

③ 系統(tǒng)庫篡改檢測是針對系統(tǒng)中的I/O庫、ssl庫等關(guān)鍵系統(tǒng)庫，對其它動態(tài)運行的二進制hash值與文件形態(tài)在內(nèi)存展開后的二進制hash值進行匹配、hook檢測和篡改檢測。

④ 進程調(diào)試、注入檢測是對系統(tǒng)中運行的程序進行狀態(tài)位檢測，發(fā)現(xiàn)疑似的停止狀態(tài)位;同時，對程序map空間進行快照比對，發(fā)現(xiàn)被注入的程序。

⑤ 緩存文件篡改是對程序的緩沖安裝目錄的每一個文件的用戶ID進行識別，如果發(fā)現(xiàn)異常的用戶ID文件，則識別出被篡改的緩存文件。

⑥ 惡意程序掃描是根據(jù)服務(wù)器端的安全知識庫進行比對檢測。

⑦ 檢測登錄系統(tǒng)的用戶是檢測每一個登錄用戶的時刻表、權(quán)限位、運行的程序集，如果發(fā)現(xiàn)用戶的異常登錄行為，則上報服務(wù)器。

⑧ 流量監(jiān)控是對T-BOX系統(tǒng)的各個網(wǎng)口的流量進行監(jiān)控;同時，根據(jù)服務(wù)器的限流策略，對各個網(wǎng)口的流量進行監(jiān)管。

⑵ T-BOX系統(tǒng)性能監(jiān)測功能，包括CPU占用率、內(nèi)存占用率、資源占用率等相關(guān)信息，為服務(wù)器平臺T-BOX安全提供輔助數(shù)據(jù)。

⑶ T-BOX網(wǎng)絡(luò)監(jiān)測功能包括聯(lián)通性攻擊監(jiān)測和流量攻擊監(jiān)測，為服務(wù)器分析平臺對T-BOX網(wǎng)絡(luò)異常的評估提供可靠數(shù)據(jù)來源。其中聯(lián)通性攻擊是對T-BOX系統(tǒng)網(wǎng)絡(luò)接口的SOCKET連接類型進行識別，發(fā)現(xiàn)SYN flood攻擊后，進行阻斷，以確保T-BOX的系統(tǒng)安全。

⑷ 車載端應(yīng)用防護：對T-BOX中的核心程序，提供ELF二進制保護和應(yīng)用安全加固，防止T-BOX中的核心程序被逆向后泄露隱私數(shù)據(jù)。其中ELF二進制防護功能圖2所示。

① 字符串表加密旨在對程序中的敏感信息進行加密，如：關(guān)鍵變量名、關(guān)鍵函數(shù)名、關(guān)鍵字符串名等，目的是增加破解者的分析時間成本，增加破解難度。

② 動態(tài)段加密旨在對程序的入口進行隱藏，增加破解者的分析時間。

③ 程序端加密旨在對程序代碼進行安全保護。

④ 重定位表加密旨在對程序的格式進行保護;同時，使程序與T-BOX系統(tǒng)進行綁定以防止破解者逆向分析，還可以防止第三方非法使用。

1.2 智能網(wǎng)聯(lián)汽車移動端應(yīng)用安全設(shè)計

智能網(wǎng)聯(lián)汽車移動端應(yīng)用安全設(shè)計，主要包括以下幾個方面。

⑴ DEX完整加密：所有被加密的代碼均在內(nèi)存進行解密，手機客戶端不殘留任何代碼明文文件，包含任何被編譯優(yōu)化后的明文文件。

⑵ DEX代碼抽?。篋EX代碼抽取方案是DEX完整加密方案的衍生進化方案，是在其基礎(chǔ)上做更細節(jié)的操作，安全處理粒度從整體DEX到客戶代碼實現(xiàn)，即保護客戶代碼的實現(xiàn)。

⑶ 虛擬機加固：如圖3所示。

⑷ HTML5加密：針對客戶應(yīng)用使用HTML 5技術(shù)的相關(guān)文件進行完整加密保護，僅在運行時選擇合適時機進行內(nèi)存解密后并依據(jù)用戶邏輯繼續(xù)執(zhí)行，支持html、js、css、json等文件格式。

⑸ 秘鑰文件保護：針對客戶應(yīng)用，使用秘鑰文件進行完整加密保護，僅在運行時選擇合適時機進行內(nèi)存解密并依據(jù)用戶邏輯繼續(xù)執(zhí)行，支持*.cer、*.der等文件。

⑹ 資源文件保護：針對客戶應(yīng)用存儲在assets目錄、res目錄、res/raw目錄的文件進行完整加密保護，僅在運行時選擇合適時機進行內(nèi)存解密后并依據(jù)用戶邏輯繼續(xù)執(zhí)行，支持xml文件、圖片文件、用戶自定義配置文件和系統(tǒng)配置文件。

⑺ 主配置文件保護：針對客戶應(yīng)用Android Menifest主配置文件進行格式化處理保護，防止第三方反編譯工具進行破解，如：apktool、axmprinter等。

⑻ 本地數(shù)據(jù)庫保護：針對客戶應(yīng)用運行時生成的本地sqlite數(shù)據(jù)庫文件進行加密保護，有效防止非法讀取數(shù)據(jù)庫敏感信息，sql注入等惡意操作。

⑼ 本地緩存文件保護：針對客戶應(yīng)用運行時生成的本地緩存文件進行加密保護，有效防止非法讀取緩存文件獲取敏感信息。

⑽ NATIVE（SO）保護：SO保護采用格式變型的技術(shù)，對Android（包括Linux類系統(tǒng)）平臺的共享文件二進制格式ELF進行處理，把傳統(tǒng)意義的ELF格式轉(zhuǎn)變?yōu)橹挥凶约航馕瞿軠贤ń馕?、加載、運行的私有格式。

反調(diào)試防護：根據(jù)市面上常用的破解手段，提供以下幾個方面的防護，包括防止進程/線程附加;防止進程注入;防止殼啟動調(diào)試;防ZjDroid插件內(nèi)存dump DEX;防系統(tǒng)核心庫（JAVA/NATIVE）被HOOK（劫持）攻擊等。

APP私鑰存儲安全（移動端+服務(wù)器端）及接口安全防護：APP私用存儲采用加密二進制的方式，存儲于APP的可信任組件中。

2 智能網(wǎng)聯(lián)汽車車載端T-BOX安全防御有效性測試與分析

實驗從檢測T-BOX樣機對抗DoS攻擊和網(wǎng)絡(luò)SYN攻擊的能力等方面來驗證本文提出的信息安全風控系統(tǒng)的有效性。

⑴ 檢測T-BOX樣機對抗DoS攻擊和網(wǎng)絡(luò)SYN攻擊的能力：①模擬服務(wù)器向T-BOX樣機發(fā)送高頻率、高優(yōu)先級的報文信息，驗證CAN總線是否能收到這些報文;②模擬服務(wù)器向T-BOX樣機發(fā)送高頻率、高優(yōu)先級的報文信息的同時使用工具向CAN總線發(fā)送高頻率、高優(yōu)先級的報文信息，驗證T-BOX應(yīng)用可執(zhí)行程序是否運行正常;③偽裝多客戶端向T-BOX應(yīng)用可執(zhí)行程序發(fā)送大量的無用數(shù)據(jù)報文，驗證T-BOX應(yīng)用可執(zhí)行程序是否能夠正常提供網(wǎng)絡(luò)服務(wù)。

測試結(jié)果如下：①如圖4所示，在指定頻率內(nèi)T-BOX提示報警、阻止接受發(fā)包，同時T-BOX應(yīng)用可執(zhí)行程序沒有向CAN總線下發(fā)數(shù)據(jù);②T-BOX具備對抗雙向DoS攻擊和網(wǎng)絡(luò)SYN攻擊的能力，如圖5所示。

⑵ 通過篡改T-BOX應(yīng)用可執(zhí)行程序，驗證T-BOX應(yīng)用可執(zhí)行程序是否采用了完整性校驗手段對關(guān)鍵代碼或文件進行完整性保護;同時，檢測T-BOX應(yīng)用可執(zhí)行程序是否采用了代碼簽名認證機制，且代碼簽名機制符合相關(guān)標準要求。測試結(jié)果如下：由于T-BOX應(yīng)用可執(zhí)行程序增加了代碼簽名認證機制，增加了攻擊難度，因此T-BOX應(yīng)用可執(zhí)行程序被篡改后不能正常運行，其中圖6為源程序，圖7為篡改后程序。

⑶ 檢測T-BOX樣機是否采用防護措施，對所傳輸數(shù)據(jù)的完整性和可認證性進行保護;同時，證書是否具有雙向校驗機制以及證書是否正確安全：①通過自建AP捕獲流量的方式，檢測T-BOX樣機與服務(wù)器之間通信是否采用了TLS通信協(xié)議，是否采用TLS雙向校驗機制;②在通信協(xié)議安全檢測的基礎(chǔ)上，通過自建AP捕獲安全通信協(xié)議相關(guān)流量的方式，檢測其握手過程，查看其是否采用了雙向校驗的安全機制。

測試結(jié)果如下：T-BOX樣機與服務(wù)器采用TLS通信協(xié)議進行通信;同時，T-BOX在與主機通信的過程中采用了雙向證書校驗的機制，如圖8所示。

⑷ 通過逆向工具對T-BOX應(yīng)用可執(zhí)行程序進行分析，檢測T-BOX應(yīng)用可執(zhí)行程序是否具備防逆向分析能力。測試結(jié)果如下：圖9為未混淆的效果圖，圖10是混淆后的效果圖，從圖10中可以看出，未混淆的函數(shù)是一個完整的函數(shù)塊，而T-BOX應(yīng)用可執(zhí)行程序進行了代碼混淆加殼后的函數(shù)則是切割成多塊的函數(shù)，這樣對于逆向分析來說，無疑增加了分析時間和破解難度。

3 結(jié)束語

本文針對智能網(wǎng)聯(lián)汽車在信息安全方面存在的問題，設(shè)計并實現(xiàn)了智能網(wǎng)聯(lián)汽車信息安全風控系統(tǒng)，包括T-BOX系統(tǒng)安全、移動應(yīng)用APP安全和服務(wù)器分析平臺等。同時，通過實驗從檢測T-BOX樣機對抗DoS攻擊和網(wǎng)絡(luò)SYN攻擊的能力等方面驗證了本文提出的信息安全風控系統(tǒng)的有效性。下一步，將針對智能網(wǎng)聯(lián)汽車信息安全風控系統(tǒng)的服務(wù)器端開展擬態(tài)式防御技術(shù)研究。

參考文獻（References）：

[1] 冉斌，譚華春，張健等.智能網(wǎng)聯(lián)交通技術(shù)發(fā)展現(xiàn)狀及趨勢[J].汽車安全與節(jié)能學報，2018.9（2）：119-130

[2] 邊明遠，李克強.以智能網(wǎng)聯(lián)汽車為載體的汽車強國戰(zhàn)略頂層設(shè)計[J].中國工程科學，2018.20（1）：52-58

[3] 李克強，戴一凡，李升波等.智能網(wǎng)聯(lián)汽車（ICV）技術(shù)的發(fā)展現(xiàn)狀及趨勢[J].汽車安全與節(jié)能學報，2017.8（1）：1-14

[4] Liu Jiajia，Liu Jianhao. Intelligent and Connected Vehicles： Current Situation， Future Directions， and Challenges. IEEE Communications Standards Magazine. 2018，2（3）： 59-65.

[5] Lei Huang，Xinkai Wu，Hongmao Qin，et al. Analysis of Cybersecurity Threats on Connected Vehicles with CACC Based on an Improved Car-Following Model[C]//Proceedings of the 18th COTA International Conference of Transportation Professionals. Beijing： American Society of Civil Engineers，2018：2043-2055

[6] 全國信息安全標準化技術(shù)委員會.汽車電子網(wǎng)絡(luò)安全標準化白皮書：2018[R]. 全國信息安全標準化技術(shù)委員會，2018.

[7] C.Schmittner，Z.Ma，T.Gruber. Standardization challenges for safety and security of connected， automated and intelligent vehicles[C]//2014 International Conference on Connected Vehicles and Expo. Vienna： IEEE press，2014：941-942

[8] 王建，許叁征，甘浩等.智能汽車縱深防御關(guān)鍵技術(shù)及挑戰(zhàn)[C]//2018中國汽車工程學會年會.上海：中國汽車工程學會，2018：287-291

[9] 游根節(jié).智能網(wǎng)聯(lián)汽車標準體系分析[J].電信技術(shù)，2018.5：50-53，55

[10] L.ben Othmane，A.Al-Fuqaha，E.ben Hamida，et al. Towards extended safety in connected vehicles[C]//16th International IEEE Conference on Intelligent Transportation Systems.Hague：IEEE press，2013：652-657

[11] 李允，羅建超，趙煥宇等.面向智能汽車的網(wǎng)絡(luò)安全解決方案[J].信息技術(shù)與標準化，2018.10：60-64

[12] 馬世典，江浩斌，韓牟等.車聯(lián)網(wǎng)環(huán)境下車載電控系統(tǒng)信息安全綜述[J].江蘇大學學報（自然科學版），2014.35（6）：635-643