中国交通建设监理协会网站,制作图片的软件免费,网站建设困难吗,国内seo公司哪家最好随着汽车电子控制系统功能复杂度和数据颗粒度呈阶梯式增加#xff0c;其发展速度逐渐超越网络安全防护方法、技术和标准的发展#xff0c;现阶段汽车电子正面临巨大的网络信息安全风险#xff0c;对功能安全的潜在影响也仍在探索和解决中#xff0c;信息安全问题已经成为影…随着汽车电子控制系统功能复杂度和数据颗粒度呈阶梯式增加其发展速度逐渐超越网络安全防护方法、技术和标准的发展现阶段汽车电子正面临巨大的网络信息安全风险对功能安全的潜在影响也仍在探索和解决中信息安全问题已经成为影响传统汽车全面向智能网联汽车发展过渡的关键点。
1 车联网环境下汽车电子安全现状
1.1 汽车电子信息安全现状
万物互联的汽车电子时代使得整车厂和供应商不得不开始考虑和重视电控系统信息安全商用车队暴露在公共环境复杂工况下无论从时间或是空间一旦被恶意攻击、破解其损失也将是难以自辩。近年来汽车行业安全事件频繁出现在大众视线中比如 2015 年 Jeep 自由光被破解黑客重新刷入了带有病毒的固件并通过向CAN 总线发送指令的方式控制车辆减速、制动甚至关闭发动机2017 年腾讯科恩实验室通过 WIFI 破解特斯拉 Model X 车载系统实现特斯拉多个 ECU 的任意远程协同操控。各类安全事件正是信息安全认知普及的指导教材从系统层面教会了汽车电子行业信息安全的概念正向推动企业采取保护网络物理系统免受未授权访问或攻击的防御措施并合法合规建立有效的网络信息安全防护体系。
1.2 OTA概念
空中下载技术OTA通过移动通信的空中接口对车载 SIM 卡信息及应用进行远程管理和控制不仅可以为产品提供数据服务 同时能够提供新业务下载和更新服务。相较于传统 ECU 更新方式 汽车行业 OTA 的衍生为远程刷写、诊断提供优越技术保障实现了线上实时问题定位和数据上传、软件下载和迭代更新显著减少产品召回几率整车厂售后维护成本得益于此突破性降低。
2 安全威胁分析
在车联网广泛应用和复杂功能中本文选取最典型的应用场景OTA 进行威胁研究和分析攻击者为达到破解通讯协议截获重要数据资产的目的使得信息资产将主要面对三类攻击方式物理接口方式、近距离间接方式和远程无线方式如图 1 攻击和威胁典型向量示意。直接物理接入攻击主要通过非法接入 CAN、车载诊断系统 (OBD) 等生态接口近距离无线攻击主要利用蓝牙和无线信道非法监听、重放或伪造节点身份信息的方式远程无线攻击主要通过 WIFI 和移动数字蜂窝网络端口实现非法侦听、重放攻击或伪造凭证等方式进行攻击破解。本章节按照整个异构网络数据链路中通讯节点划分从车载终端、传输链路和云服务器三个重要层面进一步研究说明其中的威胁向量和攻击方式
2.1 终端威胁
ECU 或 T-BOX 作为终端设备具备了丰富的网络安全攻击生态入口同时面临软件、硬件两大方面威胁
1基础元器件脆弱性汽车电子中大量使用的传感器、处理芯片等本身就可能存在设计上的缺陷或者漏洞诸如信号干扰、缓冲区溢出、缺乏安全算法库等攻击者通过异常环境对芯片进行攻击SPA/DPA 功耗攻击或者物理探测等手段实现暴力破解。
2非法访问入口ECU 固件程序是常见的攻击目标如果ECU 对接入设备没有任何访问授权安全机制加上 CAN 总线中的消息明文传输情况下任何人都可以使用 OBD 诊断设备接入总线进行操作那么固件程序可能被非授权分析或平行越权造成信息泄露实现渗透攻击。
3升级包篡改攻击ECU 接收 OTA 升级包下载或更新 如果没有对升级包进行安全凭证校验或者凭证验证过程被绕过攻击者可刷入被篡改过的系统固件使系统不再处于受控范围内。
4弱防御运行环境恶意代码逆向攻击、渗透、访问受保护资源运行环境被注入非预期执行命令从而终端设备被非法控制。
2.2 传输威胁
车辆通讯协议传输层普遍存在消息不认证、数据无防篡改或是错误检测机制复杂度过低的潜在风险在这种情况下传统 ECU 融合 OTA 接入无线网络后使得汽车电子暴露在攻击威胁中的可能性和面临威胁向量的范围扩大。整体来看总线传输协议受到的安全威胁具有相似性本章节从未经授权的中间人攻击和重放攻击两类进行归纳分析
中间人攻击利用恶意数据节点注入可能在未授权情况下使控制系统执行非预期命令或数据访问造成通讯节点反馈或执行敏感动作产生安全漏洞。针对传输数据完整性问题传统通讯标准协议虽然预留数据域用于循环冗余检查CRC但随着密码学更多复杂算法的演进CRC 算法结果被篡改的可操作性变得简单尤其是在总线明文会话中数据真实完整性防御机制和机密性保护机制存在不足执行成功攻击所需的专业知识要求、对系统的熟悉程度以及突破机会窗口等威胁因素等级极低也就是说仿冒、篡改或特权提升的攻击成功可能性非常高。
重放攻击通常利用 CAN, FlexRay 等现有技术采用明文广播发送的机理攻击者窃听总线重要指令进行回放或者利用网关将 64 位同步帧计数器的高 32 位字节每次增加 1 作敏感事件的撞库破解方式通过对一定样本数量的历史明文数据帧进行逆向工程、模糊测试等捕获通信矩阵进一步破解应用层通信协议。在这种攻击情况下由于总线上缺失数据时效性保护机制和机密性安全机制 通讯节点无法自主判断有效模式而盲目正响应攻击成功可能性依然居高不下。
2.3 云端威胁
云平台或者数据服务器在整个 OTA 应用场景中负责大数据安全管理和安全事件管理车队访问控制变得非常繁杂 , 传统单一安全域中的访问控制模型和机制无法解决多域环境中可能出现的安全威胁。同时由于平台开放性攻击者与普通入网用户权限一致导致车联网服务平台比传统服务平台面临更多的攻击面例如文件注入、漏洞扫描攻击、协议破解等威胁影响范围更广泛。如表1所示。 3 信息安全防护架构
基于 OTA 用户场景和网络分段的角度针对电控系统面临的安全威胁和风险将网络安全的防御分为 4 个层次和 3 个阶段分别是ECU、中央网关、TBOX 和云平台服务器四个层次升级包发布、升级包传输、终端升级三个阶段进行防御构建分层次的汽车电子网络安全纵深防御体系架构。如图 2 所示。
3.1 终端防护机制 终端设备需要考虑防止升级包被逆向分析风险、建立可信安全执行环境如图 3 固件安全防护策略
1集成安全组件。建立完善的安全防护机制通常采用软件与硬件相结合的解决方案集成安全组件包括但不局限于硬件专用安全芯片或是加密软件库其最终目的是为上层应用提供基础密码运算能力和密码服务将安全防护固化到硬件基础元器件层面中。
2分域隔离也就是将系统存储空间基于 Trust Zone 理念划分为安全信任区域和非安全区域将数据资产按照重要程度、脆弱性和攻击威胁产生的负面影响分区存储从物理层面上将系统资源隔离建立一个可信的安全管理系统环境。
3安全启动。基于可信运行环境的启动流程是保障固件安全的根本对引导程序或固件等进行有效性验证是终端设备必须确立和实施的步骤。参考 SHE 标准安全启动机制利用硬件加密模块 (HSM) 实现静态消息认证码MAC检查启动代码的一部分地址内容只要引导程序和一些应用程序代码包括加密库真实性和完整性验证通过允许主程序启动并帮助 HSM 检查代码的其余部分。在这种复合检查顺序下一旦验证完成所有代码内容应用程序可以释放其正常启动过程。
4安全更新。为了防止升级包在传输路径被篡改或仿冒 刷写更新前应确保经过双向数字签名认证终端需要安装根证书、客户证书以及服务器端证书验证通过方可进行下一步操作。另一方面只有在升级包来源被合法使用时解密为明文。
5安全存储。重要数据应加密存储保证存储机密性。同时例如用户私钥、鉴权码或文件镜像等重要敏感数据的安全存储必须是非授权用户无法访问的明确访问权限的区分。目前部分研究成果定义特权访问概念管理核心系统资源的最高优先级仲裁者将分散的访问权限进行集中管理并对访问事件进行全程实时记录和审计。
6安全备份。回滚机制在发现节点升级失效后执行回滚使节点恢复到稳定版本保证车辆功能正常运行同时要求镜像文件安全存储防止恶意回滚操作。
3.2 传输防护机制
数据广播过程中也同样需要部署防护策略防止第三方信道监听和中间伪造保障数据完整性、时效性以及数据源合法性。OTA 用户场景下大致可将数据传输分为两种车内网络和车云网络。
从车内网络分析CAN 总线作为目前应用最广泛的通讯协议在J1939 数据链路层标准定义中已经有一定程度的信息安全的考虑接收与发送双方按照既定格式进行 CRC 和报文鲜度计数值校验用于验证信号传输路径完整性。然而传统 CRC 校验机制已经不能满足信息安全复杂度和实时性的安全需求目前主流技术多数考虑基于密码学进行完整性和合法源检验的报文加密和认证机制。
加密机制考虑系统资源和运算效率通常优先选择对称加密算法例如 AES将明文数据经过加密后进行密文传输。认证机制如表 2 通常有两类方案第一类是在 CAN 总线协议数据域中嵌入MAC 来表示认证信息。根据 MAC 密码学原理不同长度数据内容都会加密计算压缩为固定长度消息摘要值从而可以选择性适配总线数据域。这种计算方式受限于报文协议的固定数据帧长度需要使用第二条报文传输鉴权码或者将鉴权码拆分存储报文 CRC 数据域。第二类方案是由系统架构中网关节点仲裁其他访问点的身份合法性实时监控是否存在未授权的报文采取高优先级错误帧来限制非法传输。
认证机制不同总线适配方案除外MAC 的计算方式也可以利用伽罗瓦域乘法运算 (GMAC) 计算摘要值从而引入更多的瞬态变量来增强报文链路的实时可信性和数据鲜度保障替换常见的分组加密消息认证码 (CMAC) 计算方式为通讯完整性校验增强实时性监控和检测。如公式相同明文块数据 DataInput、长度 Inputlength 和密钥 key 用户场景下GMAC 算法在动态计算方面更加灵活单调鲜度计数值或随机数都可以用作初始向量 IV附加信息域 AD1和 AD2 可以由用户自定义关键私有信息不同形参相同明文块也会有动态加密结果从而使得针对 CAN 总线的重放攻击、通讯协议被破解成功可能性变低
MACAES_CMAC(key,DataInput,InputLength)或MACAES_GMAC(key, IV, AD1, AD2, DataInput, Inputlength)
同理车云网络基于无线传输协议也应遵循加密和认证原则保证传输通道密文防止其他恶意节点直接监听截获明文信息从而破解和篡改。
3.3 云端防护机制
云平台作为大数据量处理和事件管理服务器其性能和安全需求包含主机安全、网络安全、数据安全和应用安全都应考虑在企业建立信息安全体系范畴内。云计算安全架构中可信根、可信链路和上层可信服务以及动态安全管理的概念为云服务平台中数据安全保护措施提供了分析思路。
基于 OTA 场景下云端对于车载终端重要安全服务之一是支持对重要事件的日志记录和管理审计功能日志文件至少包含事件主体、事件发生的时间、事件是否成功、权限设置等要素因此云端服务器应具有保证日志文件安全性的措施防止非授权访问。第二类安全服务显而易见是升级包任务下发、密钥证书管理、数据加密和数字签名服务等可参考公钥基础设施PKI 体系解决实体之间的信任问题。第三类安全服务传统 IT 防护也理应归纳在信息安全体系考虑范围内。
