智能网联系统中的T-BOX安全架构设计

摘要:智能网联汽车在国家政策的支持下快速发展,T-BOX作为智能网联汽车的远程通讯终端设备,其安全行越来越受到主机厂以及相关硬件开发厂家的重视并成立专项研究。本文从T-BOX的硬件安全、操作系统安全、应用安全等方面研究,定义了如何从架构设计层面来规范T-BOX的安全,从而保证了智能网联汽车安全。

关键字:车联网安全;操作系统安全;硬件安全;通信安全

汽车作为出行必不可少的交通工具,电动化、网联化、智能化、共享化的汽车将是自动驾驶是汽车发展的重要方向。其中打造智能化网联化的汽车是现阶段的重要发展趋势,也是通向自动驾驶的必经过程。智能网联汽车将依车载传感器、控制器、执行器等车端电子设备,通过3G、4G、LTE-V、5G等网络技术,实现车与万物 (车、路、人、物、云等)信息交换、信息共享,智能终端通过与复杂的环境感知、深度学习、智能化决策、达到车辆自主协调控制。其中,T-box远程通讯智能终端为车辆与平台搭建了信息交互的桥梁,对车辆内部,T-box通过CAN、LIN、MOST、以太网等汽车传输协议实现指令和信息的传递。同时,T-box通过内置的通讯模块,通过标准协议与平台进行数据传输、语音交互、IP交互、短信交互,并将平台第三方资源通过T-box提供的安全通道实现信息在车辆端共享。本文描述了T-box自身安全、硬件安全、操作系统 、接口安全、密码应用、通信安全等策略。定义了智能车载终端T-box信息安全技术要求。

T-BOX主要面临几方面的安全威胁:

一是逆向攻击,攻击者通过对T-box固件的逆向攻击,获取固件加密算法和密钥规则,破解算法,对数据进行监听、篡改、破坏。

二是信息泄露,T-BOX 出厂的时候是留有调试接口的,攻击者通过 T-BOX 预留调试接口就可以读取内部数据,从而导致信息泄露。

三是网络攻击,攻击者通过伪基站、DNS 、劫持等手段劫持 T-BOX信息会话,通过虚拟伪造发送控制指令对汽车进行信息获取及控制。

四是OTA升级,1、网络传输升级包截取;2、签名漏洞,刷入篡改固件;3、平台秘钥、KPI泄露,发送破坏升级包;4、升级策略、秘钥管理不规范。

五是硬件接口, T- box在设计时没有采用防呆的接口设计,用户在更换接口插件时, 系统无法正常工作或烧毁,导致整车安全和用户的财产、信息损失。一、T-box安全架构及目标


如上图所示,T-box通讯智能终端主要有对车端(对内)通信和对平台端(对外)通信两种方式组成。对内通信:1、通过CAN、LIN、MOST等车辆传输协议和其他ECU交互(BMS、BCM、空调系统、VCU等); 2、通过以太网和ADAS自动驾驶辅助系统、视觉智能系统交互; 3、通过USB与车机HU交互;对外通信:连接车联网平台,通过标准协议进行信息的发送与接收。智能网联化汽车整体安全系统由云端安全、通道安全、车辆安全组成, T- box作为汽车的信息接收和发送的重要节点,其安全性不亚于汽车中的CAN网关,是汽车安全的重要屏障,分析其安全也是汽车安全的重要环节之一,T-box安全包括硬件安全(接口、芯片等)、操作系统安全、应用安全、数据安全(存储、发送、接收)、平台交互通信安全、终端ECU交互通信安全。

T-box设计安全整体目标是指通过对 T- box各交互层的执行安全措施,避免由于 T- box安全问题造成整车伤害,造成用户生命受到威胁和财产损失;同时防止攻击者通过非法手段窃取用户信息、车辆信息造成信息安全事件发生。整体设计目标包括:硬件安全目标、操作系统安全目标、应用安全目标、数据安全目标、终端ECU交互通信安全目标、平台交互通信安全目标。

硬件安全目标:T- box智能终端作为重要的交互硬件,涉及到身份认证、鉴权、权限管理、秘钥管理存储,与平台的通讯芯片、操作系统/固件更新都会存储漏洞。攻击者将通过对T-box硬件的攻击窃取信息,导致用户信息和车辆信息泄露,造成信息安全事件。 T- box在硬件架构设计时,需要考虑到电路和芯片上实现数据运算和存储等功能时的安全性,增加相关硬件(MCU/  CPU、FLASH、 SENSOR、 GPS、3 G/4 G、 WiFi/蓝牙等模块)加密芯片对抗多种攻击。 同时,在硬件等级要求上达到国家相关标准(安全等级ASIL D),甚至更高规格要求。

操作系统安全目标:操作系统依据安全系统策略、操作权限对操作进程进行的身份权鉴权和访问控制机制, 防止非法进程对系统资源访问和控制(篡改、窃取、破坏、窃听、重放、伪造、中间攻击等多重威胁),确保操作系统文件信息的可靠性、有效密性、完整性和可认证性,并循坏监测和记录系统资源的访问,操作系统系统能够按照预期目标正常工作,当系统受到非授权用户异常操作、破坏时,系统文件信息都处于安全状态,不被非法获取、篡改和破坏。

应用安全目标: T- box与平台和车机应用的信息交互需要通过身份鉴别、权限管理。软件具备安全标记、访问控制、可信路径、抗抵性、容错等保护措施,通过系列的安全保护措施,确保应用与平台、车机交互数据的通信安全, 保证用户使用应用服务安全和 T- box自身应用的安全(启动、升级、登录、登出、远程控制等模式下的安全)。

数据安全目标: 对T- box所采集、存储、处理、传输过程中产生的整车数据和用户数据的安全性、有效性、完整性、真实性需要进行安全保护, 同时,应能够对受保护资源提供备份机制,当数据丢失或破坏时,应能提供数据恢复功能。

终端ECU交互通信安全目标:指 T- box通过 CAN、 LIN、 MOST、以太网、  USB等方式和网关、其他 ECU之威胁和内部网络之间的安全隔离间信息通信(BMS、 BCM、 ADAS自动驾驶辅助系统、人脸识别系统、车机 HU等)。网关和各节点ECU需要对T-box的身份进行验证,识别T-box身份的合法性和有效性,同时,断开外部蓝牙、WiFi等外部网络的威胁,避免攻击者通过伪造、篡改、破坏等方式向关键 ECU发送非法指令和数据, 非法占用内部总线资源导致总线负载过大,系统崩溃; 反向能够验证内部网络传输数据的有效性、完整性、合法性、可认证性并进行相应的处置,保证汽车功能安全正常运行。

平台交互通信安全目标:指 T- box通过蜂窝网络(2 G/3 G/4 G/ LTE- V/5 G)云网络平台进行相互通信,根据应用场景需求,终端与平台通过标准协议进行数据交换,T- box与云平台建立安全连接, 通信双方进行双向身份认证、数据链路加密、数据签名、数字证书、 PKI、公钥/私钥等加密校验手段, 抵抗篡改、窃取、破坏、窃听、重放、伪造、中间攻击等多重安全威胁,保证数据的完整性、保密性和可认证性。

二、T-box安全要求与规范

车联网 T- BOX的设整体计应通过风险评估审核,全面分析硬件、接口、数据存储、操作系统、应用安全、以及和各外界交互系统的对接,信息数据采集、存储、处理、传输等方面。明确整车对 T- box安全需求,通过身份认证、访问控制、身份鉴权、硬件加密等多种技术对 T- box进行安全防护,对 T- box安全防护体系整体的要求,以实现车辆整体安全目标。

硬件安全要求,需要从硬件安全设计方面,相关产品需加入了T-box防拆感应器件,若检测到有异动,就会立即向后台报警。采用车载专用的加密芯片,并确保该加密芯片无隐蔽接口,以防非法对加密芯片进行破坏或信息篡改。芯片在验证阶段调试的接口在上市中关闭,禁止使用。

操作系统安全要求, T-box操作系统应预留安全区域,用来存储安全签名和秘钥管理。为了防止操作系统启动时被攻击者恶意篡改和破坏,每次T-box上电启动操作系统需要增加启动安全机制,安全认证正确后,加载操作系统。操作系统需要具备多操作系统隔离,如T-box具有两个或以上操作系统,必须采用隔离机制,保证两个操作系统之间的安全。主控程序需要提供安全机制,确保操作系统只识别信任操作,验证信息来源的完整性、有效性、可认证性。 在系统安全保护方面应采用完整校验手段(证书、 PKI、数字签名等技术),对关键代码或文件进行完整保护。

应用安全要求:

1、确保应用软件不存在后门,以防从后门恶意攻击,软件不存在 “中国汽车行业漏洞共享平台(CAVD)” 以及 “国家信息安全漏洞共享平台(CNVD)” 6个月及以上发布的高危安全漏洞。同时,软件不存在恶意bug,出现非法收集、处理、篡改整车数据和用户数据。

2、鉴权管理, T-box应对车联网发送信息和控制指令的身份合法性进行鉴别。同时,对通过WiFi、蓝牙、USB等连接的智能终端设备进行鉴权管理。通过身份认证,若身份认证成功,可进行信息交互,若认证失败,增加安全保护措施,如限制登录次数、自动退出、结束回话流程等并记录交互日志。

3、访问控制,T-box应定义对应的安全策略和操作优先级, 当出现非法访问控制时,T-box将不做相应,当作无效指令,并记录访问日志。 访问控制措施不应影响应用间的正常信息流转,应保证车辆对信息流转实时性的要求。

4、证书签名, 应用软件应采用符合相关标准的代码认证机制。

5、通信完整性 应用程序应基于相关算法,在与外部网络通信连接中提供完整性保护。接收和发送信息双方应进行身份认证,并对传输数据的完整性、有效性进行校验。 同时完整性保护应具有可选开关,对于非关键数据可关闭此选项。

目前智能网联汽车正在急速发展,T-box作为汽车与平台信息交互的智能终端,其安全性是汽车整体安全面临着严峻的安全挑战之一,这需要国家政策支持,行业法规以及 更多专业安全相关企业投入更多的研发与安全测试以提升智能网联汽车安全质量。

参考文献

[1]周新.车联网通信安全指南[J].移动通信,2015(22):35.

[2]秦天.T-BOX安全研究[J].无线通信技术,2017(12):63.

[3]李浩.车联网安全技术研究[J].通信信号,2015(12):30

[4]樊刚. 车联网通信安全[A]. .车联网技术[C].:机械工业出版社,2016:2.

[5]潘春伟. 车联网T-BOX系统设计[A]. 电子工业出版社,2018:9.

[6]彭杨,戎辉,王文扬,田晓笛,高嵩,郭蓬. T-BOX密码安全防护方案[J]. 汽车电器,2017,(05):64-66.

[7]NHTSA. 现代汽车信息安全最佳实践. 2016

[8]SAE J3061. Cybersecurity Guidebook forCyber-Physical Vehicle Systems. 2016

[9]GM/T 0014-2012数字证书认证系统密码协议规范

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,671评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,442评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,524评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,623评论 1 275
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,642评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,584评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,953评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,621评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,865评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,608评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,698评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,378评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,958评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,940评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,173评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,419评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,425评论 2 342