詳解車載終端信息安全技術(shù)的威脅與防范

惡意攻擊者通過(guò)控制車載終端，向其所連接的總線網(wǎng)絡(luò)發(fā)送大量偽造的數(shù)據(jù)包，占領(lǐng)總線資源，從而導(dǎo)致ECU拒絕服務(wù)。這是針對(duì)可用性的常見(jiàn)攻擊方式。

(6)重放

缺少對(duì)所收到消息的時(shí)效性的驗(yàn)證，使利用重放攻擊而導(dǎo)致的汽車安全事件屢屢發(fā)生。攻擊者通過(guò)竊聽(tīng)獲得重要的消息，并在自己需要的時(shí)候，再次發(fā)送，從而進(jìn)行非授權(quán)的任意操作。

2.2 按照攻擊者發(fā)起的位置對(duì)威脅進(jìn)行分類

(1)遠(yuǎn)車攻擊

攻擊者通過(guò)網(wǎng)絡(luò)發(fā)起的攻擊，包括通過(guò)攻擊汽車各網(wǎng)絡(luò)應(yīng)用平臺(tái)，攻擊相應(yīng)的手機(jī)APP，或者在通信網(wǎng)絡(luò)中采取各種措施的攻擊(見(jiàn)圖1)。

這類攻擊成本低，突破環(huán)節(jié)多，威脅發(fā)生的可能性高。攻擊者也會(huì)SQL注入有安全漏洞的Web服務(wù)器端，監(jiān)聽(tīng)通信信道，甚至利用車載終端遠(yuǎn)程通信協(xié)議中的漏洞，比如用于車載終端與遠(yuǎn)程呼叫中心通信的AQLINK協(xié)議中缺少控制信息包長(zhǎng)的檢驗(yàn)，或者隨機(jī)數(shù)缺陷等漏洞，發(fā)起攻擊。已經(jīng)出現(xiàn)的安全事件包括車載智能系統(tǒng)“Uconnect”被攻破，黑客可以實(shí)現(xiàn)遠(yuǎn)程控制汽車剎車、油門和方向盤，為此克萊斯勒在美國(guó)緊急召回了140萬(wàn)輛汽車。

(2)近車攻擊

攻擊者在車附近，通過(guò)短距離通信的各種協(xié)議，與車輛建立網(wǎng)絡(luò)連接，訪問(wèn)車輛的信息系統(tǒng)(見(jiàn)圖2)。

既包括通過(guò)Wi-Fi或者藍(lán)牙協(xié)議的連接，也包括使用RKE，胎壓監(jiān)測(cè)、RFID車鑰匙的應(yīng)用，甚至攻擊者已經(jīng)開(kāi)始分析802.11p或者DSRC等新興的，用于車車通信的短距離通信協(xié)議。2015年就有國(guó)內(nèi)安全團(tuán)隊(duì)繞過(guò)幾款車的門鎖遙控滾碼機(jī)制，演示了非授權(quán)開(kāi)車門的試驗(yàn)。

(3)車內(nèi)攻擊

是指攻擊者已經(jīng)可以連接到車內(nèi)系統(tǒng)的各接口，包括用于診斷的OBD接口，車載終端提供的USB接口，或者能插入SD卡、CD、DVD的存儲(chǔ)介質(zhì)(見(jiàn)圖3)。這些接口和讀取存儲(chǔ)介質(zhì)的系統(tǒng)都與車內(nèi)總線相連，同時(shí)總線也連接了汽車的各ECU。

例如，攻擊者通過(guò)特別的硬件裝置連接到OBD接口，同時(shí)硬件裝置與電腦通過(guò)USB或者Wi-Fi進(jìn)行連接，電腦就接入了車內(nèi)總線，可以發(fā)起探測(cè)和攻擊。也有試驗(yàn)證明，攻擊者也可以通過(guò)惡意構(gòu)造的音頻或者視頻文件，對(duì)車載終端進(jìn)行破解。這種攻擊的前提是知道播放器等應(yīng)用的安全漏洞

3、車載終端發(fā)展趨勢(shì)和防范重點(diǎn)

隨著車載終端處理能力的發(fā)展，其功能也將T-Box和Infotainment進(jìn)行了融合。車載終端本身代碼量的增加，與車輛電子電氣系統(tǒng)的網(wǎng)絡(luò)連通，與云端信息的交互，終端升級(jí)機(jī)制的簡(jiǎn)化，這些車載終端發(fā)展的趨勢(shì)以及威脅的特點(diǎn)、威脅發(fā)生的位置等因素決定了圍繞車載終端和針對(duì)其自身的安全機(jī)制的使用和安全防范的重點(diǎn)。應(yīng)在車載終端設(shè)計(jì)開(kāi)發(fā)的過(guò)程中，使用科學(xué)的方法，實(shí)現(xiàn)真正的安全措施實(shí)施。

3.1 加強(qiáng)車載終端文件系統(tǒng)完整性校驗(yàn)

采用完整性校驗(yàn)手段對(duì)關(guān)鍵代碼或文件進(jìn)行完整性保護(hù)。例如，在硬件的特殊分區(qū)中，保存一份當(dāng)前操作系統(tǒng)的指紋信息，定期對(duì)指紋信息進(jìn)行校驗(yàn)，確認(rèn)操作系統(tǒng)關(guān)鍵文件未被修改。

車載智能終端硬件安全引導(dǎo)應(yīng)提供安全機(jī)制，保證只能加載可信的車載操作系統(tǒng)內(nèi)核組件。例如，操作系統(tǒng)的鏡像需要進(jìn)行廠商簽名。在車載系統(tǒng)啟動(dòng)時(shí)，需要進(jìn)行簽名驗(yàn)證，以發(fā)現(xiàn)對(duì)操作系統(tǒng)內(nèi)核的非法篡改。

3.2 與云端通信的信道安全

車載終端與外部通信，應(yīng)保證所使用信道安全。例如，使用支持網(wǎng)絡(luò)側(cè)和終端側(cè)雙向鑒權(quán)的SIM解決方案，并且在基帶處理中，增加對(duì)偽基站識(shí)別分析的能力，拒絕接入偽基站。在車載終端和TSP平臺(tái)建立相應(yīng)的VPN/VPDN/專用APN等，使車聯(lián)網(wǎng)系統(tǒng)使用相對(duì)的專用網(wǎng)絡(luò)，利用加密機(jī)制和完整性校驗(yàn)等技術(shù)手段，對(duì)抗竊聽(tīng)、偽造等多種攻擊。同時(shí)，加強(qiáng)云端服務(wù)器安全，嚴(yán)格訪問(wèn)控制策略，加強(qiáng)用戶權(quán)限設(shè)置管理，對(duì)口令強(qiáng)度采取必要要求，定期漏洞修補(bǔ)，從而保證平臺(tái)測(cè)安全。

3.3 車內(nèi)安全域隔離和訪問(wèn)控制

車載終端與車內(nèi)各電子電氣系統(tǒng)劃分安全域，每個(gè)安全域有只屬于自己的，不能偽造的標(biāo)示，并通過(guò)相應(yīng)的密鑰對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行加密和完整性保護(hù)。增加獨(dú)立的安全通信模塊，內(nèi)置集成高性能密碼安全芯片和安全操作系統(tǒng)，負(fù)責(zé)密鑰管理。必要時(shí)，在車載終端與車內(nèi)電子電氣系統(tǒng)總線之間添加串行防火墻，對(duì)車載終端傳送到各ECU的指令進(jìn)行檢查，滿足安全性要求再傳遞。

車載終端自身內(nèi)核強(qiáng)制訪問(wèn)控制：對(duì)用戶(或其他主體)與文件(或其他客體)標(biāo)記固定的安全屬性(如安全級(jí)、訪問(wèn)權(quán)限等)，在每次訪問(wèn)發(fā)生時(shí)，系統(tǒng)檢測(cè)安全屬性，確定用戶是否有權(quán)訪問(wèn)該文件。

3.4 車載終端應(yīng)用程序安全

必須對(duì)應(yīng)用程序在運(yùn)行過(guò)程中使用的文件訪問(wèn)權(quán)限進(jìn)行控制。對(duì)于使用客戶端數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)的車載終端，應(yīng)限制數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限。敏感信息需采用安全方式加密存儲(chǔ)，包括計(jì)算哈希值、對(duì)稱加密、非對(duì)稱加密等等技術(shù)手段。

應(yīng)用程序自身應(yīng)采取加殼、代碼混淆等適用的對(duì)抗逆向安全分析方法的保護(hù)，防止攻擊者查找系統(tǒng)漏洞加以利用。

對(duì)于程序所收集、產(chǎn)生的用戶數(shù)據(jù)應(yīng)通過(guò)計(jì)算哈希值方式進(jìn)行保護(hù)時(shí)，應(yīng)在計(jì)算的源數(shù)據(jù)中加入隨機(jī)數(shù)據(jù)，防止敏感信息的哈希值被重放利用。使用對(duì)稱加密、非對(duì)稱加密等加密算法對(duì)敏感信息進(jìn)行保護(hù)時(shí)，應(yīng)使用健壯的加密算法，并使用足夠長(zhǎng)度的加密密鑰。

3.5 終端升級(jí)的安全機(jī)制

車載終端對(duì)更新請(qǐng)求應(yīng)具備自我檢查能力，車載操作系統(tǒng)在更新自身分區(qū)或向其他設(shè)備傳輸更新文件和更新命令的時(shí)候，應(yīng)能夠及時(shí)聲明自己的身份和權(quán)限。升級(jí)操作應(yīng)能正確驗(yàn)證服務(wù)器身份，識(shí)別出偽造的服務(wù)器，或者是高風(fēng)險(xiǎn)的鏈接鏈路。升級(jí)包在傳輸過(guò)程中，通過(guò)報(bào)文簽名和加密，防篡改和偽造。