车载终端信息安全技术与发展研究

作者: 王羽 张楠 文章来源:AI《汽车制造业》 发布时间:2021-11-05
分享到
智能车载终端的应用随着当前技术的发展而不断丰富,从早期的系统监测和数据记录,发展为集导航、娱乐、社交等功能于一体的产品形态,更有部分车载无线终端借助当前人工智能的发展,实现语音操控,提升驾车过程中的安全性和操作的便利性。与此同时,车载终端的信息安全问题也日益凸显且愈发重要。

车载终端技术发展现状

图片


随着车联网的推进,消费者对车载无线终端智能化要求越来越高,搭载操作系统的车载无线终端大量上市,来满足当前“互联网+”应用推广的需要,实现行车安全监控管理、运营管理、服务质量管理、智能集中调度管理等智能化服务。基于车联网的迅速发展及广泛应用,车载终端的信息安全问题成为热门。

根据日本信息处理推进机构已经公布的资料,车载智能终端存在以下问题。以智能手机为中心,汽车与互联网联动越来越普遍。黑客有可能通过其中的漏洞,以智能手机为跳板,给车载设备和车载导航仪系统造成损害,或是经由智能手机泄露车的信息,侵犯驾驶人的隐私。而且,使用智能手机意味着汽车随时都与外部网络连接。因此,经由外部网络和智能手机,能够对正在行驶的汽车发起攻击。除了智能手机之外,自动收费系统、智能车钥匙等通过无线与外部连接的功能,以及纯电动汽车经由充电插头连接车载网络的功能也在逐渐普及。随着汽车开始接入车外网络的便捷化,或许,攻击者无须靠近汽车,就可以跨越网络,攻击全世界的汽车。即使不是随时随地接入网络。用户误下载的智能手机恶意应用也有可能危害到汽车。

车载软件、车载LAN对于汽车的“行”“转”“停”等基本控制功能的影响正在增大。汽车厂商使用通信或信息终端来提供门锁控制、调整发动机功率、更新软件等服务。这些功能一旦被黑客成功入侵,很容易产生重大危害。

智能网联汽车如果不能及时升级更新,就会由于潜在安全漏洞而遭受各方面(如4G、USB、SD卡、OBD等渠道)的恶意攻击,导致车主个人隐私泄露、车载软件及数据被窃取或车辆控制系统遭受恶意攻击等安全问题。

从国内研究发展的现状来看,车载终端技术越来越受重视。ConnectedEngine是飞驰镁物的T-Box产品,通过与车辆CAN总线及其他传感器的连接,采集车辆状态信息,并将信息上传至车联网平台或监控平台;同时可其根据车联网平台/监控平台远程下发的指令对车辆进行控制,无网络时也可使用手机App通过蓝牙发送近场控制指令对车辆进行控制。

ConnectedEngine与手机移动端App以及运营监控平台等核心组件构成了飞驰镁物电动汽车监控平台。手机移动端App可以远程控制车辆,不仅能够随时随地了解车辆的状态信息,而且会在车辆异常时给予车主及时告警提示。

运营监控平台提供可视化的车辆后台管理和监控功能,通过分析车载智能终端实时获取车辆状态信息,提供调度管理优化运营效率,提高营收并降低风险。

在2018款博越的发布会上,吉利推出的“吉客智能生态系统”抢了风头。吉客智能生态系统又叫作GKUI,其全称为GeekUserInteraction,这是一个基于安卓平台打造的汽车智能生态系统,该系统由智能手机式交互界面、GKUI的开发者云平台、一个ID以及应用生态系统组成。


车载终端信息安全技术发展的必要性

图片


1.车载终端的业务功能及相应的信息安全需求

车载终端的出现和普及是为驾驶人和乘客提供更便利的使用和更愉悦的体验,因此功能也十分丰富,并且在不断增加。目前的车载终端主要包括以下几项功能:基本车况收集显示、远程操作、求助与远程救援、导航、车内娱乐及自动驾驶。

其中,自动驾驶是个热门应用,从自动泊车开始,驾驶人对车的操控在减少,开车变得越来越简单,越来越放松。目前,已经有自动驾驶的汽车通过实际道路检测,但是这种技术还需要一定的时间投入才能正式大规模商用。

在自动驾驶过程中,车辆收集大量道路信息、车身周围人与物体的位置信息,根据这些信息与车辆的速度方向、交通管理规定等信息进行运算,这要求车载终端具有足够的计算能力和实时性。随着车车通信、车路通信的发展,车辆收集和运算的信息量将进一步增加,对车载终端处理能力的要求也越来越高。

功能的丰富导致系统复杂度的增加,包括在芯片、、移动互联操作系统、通信设备及通信服务等方面的协同发展。整体网络架构的复杂化,增加了车辆对各种攻击的暴露,信息安全需求也变得更加重要和紧迫。信息安全根本属性中的保密性、完整性、可用性、可认证性和可审计性,在车载终端这一具体应用领域,呈现出不同的优先级。

车载终端对访问和使用的认证需求尤为突出——能够确保信息被正确的人使用,下达命令的是具备相应权限的正确用户等。换言之,恶意攻击者能否破坏车载终端的安全防护,肆意向车辆电子电气系统各ECU下发各种指令,威胁到车辆正常使用者的安全,是车载终端设计和实现时必须要考虑的信息安全首要问题。

与可认证性相比,完整性也是信息安全各属性中相对重要的一方面。传输的信息和指令一旦被篡改,会导致与授权用户意图不同,甚至完全相反的操作,发生信息安全和涉及人身安全的严重事件。可用性对于依赖车载终端的行车应用也是需要保护的安全属性。很多攻击在不熟悉车辆系统的漏洞时,往往最先攻击的是可用性。在扰乱系统的正常运行后,寻找安全薄弱环节,进行深度突破。保密性是信息安全属性的基础。


2.车载终端所面临的信息安全威胁分类

按照对车载终端信息安全属性的破坏进行分类,如上文所述,车载终端的信息安全属性包括机密性、完整性、可用性、可认证性和可审计性。有的威胁针对车载终端的机密性,收集用户数据,导致隐私泄露;有的威胁破坏完整性,有的甚至同时破坏信息安全几个属性。

1)窃听:最基本的威胁,是其他攻击方式的基础。车载终端与云端的连接用来传输用户大量隐私数据,例如行车数据、车辆状态信息等会在网络中被嗅探。对于车内网络,当车载终端接入到汽车后,CAN总线上明文传输的各种控制指令和系统信息被攻击者窃听的风险增加。攻击者一旦获取车载智能终端的控制权,很容易获取所连接总线上传输的信息。

2)伪造:由于缺少对数据的认证,攻击者可以向车载终端注入感染病毒的代码或者可能导致不安全的代码,或者未授权的指令,对车载终端操作系统、应用和车内ECU进行任意操作。

3)阻断:云端向汽车发送的信息和指令,可能被攻击者在网络层面进行干扰,而不能正常到达车载终端。而车载终端一旦被非法控制,攻击者可以屏蔽CAN网络的通信网关转发的信息,从而实施对车内电子电气系统的阻断攻击。

4)篡改:篡改攻击是组合了窃听、阻断和伪造等多种方式,形成的比较复杂的攻击。攻击既可以篡改车辆驾驶人从云端接收的例如行车路线等相关数据,也可能是从车内各ECU回送的状态信息,影响驾驶人的正常判断和操作;或者将车辆驾驶人向ECU发送的指令进行修改,干扰车辆正常行驶。其后果都十分严重。

5)拒绝服务:恶意攻击者通过控制车载终端,向其所连接的总线网络发送大量伪造的数据包,占领总线资源,从而导致ECU拒绝服务。这是针对可用性的常见攻击方式。

6)重放:缺少对所收到消息的时效性的验证,使利用重放攻击而导致的汽车安全事件屡屡发生。攻击者通过窃听获得重要的消息,并在自己需要的时候,再次发送,从而进行非授权的任意操作。


2.按照攻击者发起的位置对威胁进行分类

(1)远车攻击

攻击者通过网络发起的攻击,包括通过攻击汽车各网络应用平台,攻击相应的手机App,或者在网络中采取各种措施的攻击(图1)。


图片

图 1 远车攻击示意图


这类攻击成本低,突破环节多,威胁发生的可能性高。攻击者也会SQL注入有安全漏洞的Web服务器端,监听通信信道,甚至利用车载终端远程通信协议中的漏洞。

(2)近车攻击

攻击者在车附近,通过短距离通信的各种协议,与车辆建立网络连接,访问车辆的信息系统(图2)。


图片

图 2 近车攻击示意图


近车攻击既包括通过Wi-Fi或者协议的连接,也包括使用RKE、胎压监测、RFID车钥匙的应用,甚至攻击者已经开始分析802.11p或者DSRC等新兴的、用于车车通信的短距离通信协议。

(3)车内攻击

车内攻击是指攻击者已经可以连接到车内系统的各接口,包括用于诊断的OBD接口,车载终端提供的USB接口,或者能插入SD卡、CD、DVD的存储介质。这些接口和读取存储介质的系统都与车内总线相连,同时总线也连接了汽车的各ECU。


车载终端信息安全技术国内外技术对比

图片


通用凯迪拉克SuperCruise融合了雷达、超声波探测器、摄像头以及GPS技术,SuperCruise系统可以在高速公路、长途驾驶以及在路面拥堵情况下,减轻驾驶人的工作负荷。奔驰的自动驾驶系统包括自适应巡航系统、路况障碍物识别系统、十字路口监控垂直方向的车辆行驶系统、由于高速通过斜坡产生的飞跃状态的车身稳定系统。宝马汽车为了提供更为安全、更为实用的无人驾驶汽车,在2011年展示了其自主研发的自动驾驶原型车。该车能够识别汽车周边半径约50m内的环境。谷歌Waymo自动驾驶汽车使用视频摄像头、雷达传感器,以及激光测距器来了解周围的交通状况,并通过地图对前方的道路进行导航。苹果自动驾驶安装有Velodyne公司生产的顶级64线激光雷达、多个微波雷达与摄像头,关注于核心软件的研发,目前已获得批准在加州测试。特斯拉目前正与美国Amd公司合作,研发用于自动驾驶汽车的人工智能芯片。新发布的Semi自动驾驶货车搭载有Autopilot自动辅助驾驶系统。

2013年,硅谷技术界在汽车上安装具有联网功能的通信设备,即智能车载终端。目前,瑞典SCANIA的黑匣子系统是全球优秀车联网系统之一,其CVIS同样处于全球领先地位。2016年腾讯将车载ROM和车载App在车联开放平台上进行部署。目前,云加端模式不仅为车联网相关企业提供了很好的解决方案,而且利用云技术可以在一定程度上节省成本。

国内汽车行业起步较晚,因此对相应的车载终端等硬件设备的研发亦处于起步阶段,目前市面上已有众多国产的车载终端设备,但未来还有较大的空间进行完善。


车载终端信息安全技术发展目标

图片


为提高车载终端安全自主可控,需鼓励和引导厂商加强车载终端自主创新能力,一是推动国产自主车载终端设备的研发,实现通信、存储及信息处理等关键芯片的自主可控,并开展车载终端安全技术研究,实现信息在终端层面采集、存储及使用的安全;二是推动车载操作系统的自主研发,充分利用开源技术,推动研发智能车载实时操作系统,鼓励开发和丰富本土化的车载应用,提高车载终端软件层面的安全能力;三是加强对车载终端及车联网安全新技术和产品服务的研究和投入,针对车载终端的安全挑战,有必要采取积极有效的应对措施,研究新的安全威胁解决方案。

车载终端安全标准是提升车载终端安全能力的重要技术依据,要依据技术发展和应用情况及时制定完善的车载终端安全标准,明确其在保护用户数据、保障业务安全方面的技术要求,引导产品研发和产业发展。针对车载终端在隐私信息保护、访问控制等方面面临的风险开展研究,制定并完善车载终端的安全标准,着力推动车载智能终端接口及数据交互标准、无线数据传输标准、访问控制标准的完善,实现车载终端与车载电控系统间的安全互联互通。健全车载终端用户信息安全防护标准,推动车联网数据保护评级及软件评估认证。建立数据安全分级保护标准,按照重要性和敏感程度分级分类,强化数据保护,重视位置、车辆运行状态等敏感用户信息的安全性和隐私性。

在传统的汽车行业监管之外,部分车载智能终端支持移动通信网络,符合移动终端的基本特征,按照《中华人民共和国电信条例》的要求,相关部门已对此类产品实施进网许可管理,通过进网检测,重点对其是否符合电信网络和信息安全的要求进行核查。随着车载智能终端和车载应用的普及,需要加强车载终端的安全监管,提升车载终端的信息安全水平。一是提升互联网汽车安全检测评价能力,加强产品事中、事后监管,进一步完善互联网汽车信息安全准入管理制度;二是将基于信息技术安全评估准则的安全领域认可的安全评估方法引入车载终端,建立车载终端与车载应用软件漏洞库。同时根据国家统一部署,借鉴国外的成熟经验并结合实际情况,做出符合我国信息产业发展现状的规定,对车载终端产品的安全性和可控性进行评估,全面降低车载终端面临的安全风险。


几个车载终端信息安全技术应用

图片


随着车载终端处理能力的发展,其功能也将T-Box和Infotainment进行了融合。车载终端本身代码量的增加,与车辆电子电气系统的网络连通,与云端信息的交互,终端升级机制的简化,这些车载终端发展的趋势以及威胁的特点、威胁发生的位置等因素决定了围绕车载终端和针对其自身的安全机制的使用和安全防范的重点。应在车载终端设计开发的过程中,使用科学的方法,实现真正的安全措施实施。


1.加强车载终端文件系统完整性校验

采用完整性校验手段对关键代码或文件进行完整性保护。例如,在硬件的特殊分区中,保存一份当前操作系统的指纹信息,定期对指纹信息进行校验,确认操作系统关键文件未被修改。

车载智能终端硬件安全引导应提供安全机制,保证只能加载可信的车载操作系统内核组件。例如,操作系统的镜像需要进行厂商签名。在车载系统启动时,需要进行签名验证,以发现对操作系统内核的非法篡改。


2.与云端通信的信道安全

车载终端与外部通信,应保证所使用信道安全。例如,使用支持网络侧和终端侧双向鉴权的SIM解决方案,并且在基带处理中,增加对伪识别分析的能力,拒绝接入伪基站。在车载终端和TSP平台建立相应的VPN/VPDN/专用APN等,使车联网系统使用相对的专用网络,利用加密机制和完整性校验等技术手段,对抗窃听、伪造等多种攻击。同时,加强云端服务器安全,严格访问控制策略,加强用户权限设置管理,对口令强度采取必要要求,定期修补漏洞,从而保证平台侧安全。


3.车内安全域隔离和访问控制

车载终端与车内各电子电气系统划分安全域,每个安全域有只属于自己的、不能伪造的标示,并通过相应的密钥对所传输的数据进行加密和完整性保护。增加独立的安全通信模块,内置集成高性能密码安全芯片和安全操作系统,负责密钥管理。必要时,在车载终端与车内电子电气系统总线之间添加串行防火墙,对车载终端传送到各ECU的指令进行检查,满足安全性要求再传递。


4.车载终端应用程序安全

必须对应用程序在运行过程中使用的文件访问权限进行控制。对于使用客户端数据库存储数据的车载终端,应限制数据库访问权限。敏感信息需采用安全方式,包括计算哈希值、对称加密、非对称加密等等技术手段。

应用程序自身应采取加壳、代码混淆等适用的对抗逆向安全分析方法的保护,防止攻击者查找系统漏洞加以利用。

对于程序所收集、产生的用户数据应通过计算哈希值方式进行保护时,应在计算的源数据中加入随机数据,防止敏感信息的哈希值被重放利用。使用对称加密、非对称加密等加密算法对敏感信息进行保护时,应使用健壮的加密算法,并使用足够长度的加密密钥。


5.终端升级的安全机制

车载终端对更新请求应具备自我检查能力,车载操作系统在更新自身分区或向其他设备传输更新文件和更新命令的时候,应能够及时声明自己的身份和权限。升级操作应能正确验证服务器身份,识别出伪造的服务器,或者是高风险的链接链路。升级包在传输过程中,通过报文签名和加密,防篡改和伪造。


6.加强安全审计安全

车载终端应具备记录所有用户访问日志的功能,便于进行适当的审计和监控。在完成安装时应开始记录所有用户(特别是具有管理权限的用户)的访问。车载终端的日志记录功能应能自动启动,并将日志文件定向到统一的外部服务器,便于审计。

在车内电子电气系统总线上也应增加入侵检测功能的模块,对各类信息进行监控,特别是从对外开放的车载终端传入的数据,如有异常立即报警。


展望

图片


根据2018年1月出台的《智能汽车创新发展战略》意见稿,到2020年智能汽车新车比例将达到50%;到2025年新车基本实现智能化。由此可见,智能车载终端未来市场巨大。随着“互联网+”的进一步深入,智能网联汽车不断发展,未来汽车市场发展潜力巨大。在上述巨大的车载设备的发展前景下,车载设备信息安全问题也随之而来,与此同时为我们提供了一个更加广阔的发展空间。 


收藏
赞一下
0