智能網(wǎng)聯(lián)汽車(chē)安全 | 車(chē)輛OTA信息安全風(fēng)險(xiǎn)與對(duì)策研究
文 | 北京理想汽車(chē)有限公司 劉曉杰
一直以來(lái),當(dāng)車(chē)輛軟件部分出現(xiàn)故障或缺陷時(shí)�,只能通過(guò)返回修理廠的方式進(jìn)行“線下”修復(fù)����。2012 年,隨著車(chē)輛在線升級(jí)(OTA)的出現(xiàn),為車(chē)輛的軟件故障和缺陷提供了“線上”解決方案����。隨著當(dāng)前自動(dòng)駕駛技術(shù)的不斷發(fā)展���,OTA 還可以幫助車(chē)輛不斷優(yōu)化和加強(qiáng)輔助駕駛功能�����,以實(shí)現(xiàn)整車(chē)系統(tǒng)的不斷升級(jí)�����,讓用戶獲得更為優(yōu)質(zhì)的用車(chē)體驗(yàn)。但是��,OTA 在給車(chē)輛召回���、升級(jí)帶來(lái)便利的同時(shí)���,也增加了車(chē)輛可能遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)�,如車(chē)輛在 OTA 過(guò)程中遭受攻擊�����,就可能破壞或控制車(chē)內(nèi)電子控制單元(ECU)��,給用戶安全帶來(lái)威脅�。
一、車(chē)輛 OTA 信息安全的風(fēng)險(xiǎn)來(lái)源
車(chē)輛的 OTA 系統(tǒng)主要包括云服務(wù)器與車(chē)載終端兩個(gè)部分�,二者之間通過(guò)通信網(wǎng)絡(luò)進(jìn)行連接。車(chē)載終端除了車(chē)輛本身的車(chē)機(jī)系統(tǒng)外����,還包括與車(chē)輛進(jìn)行連接的外部互聯(lián)設(shè)備����,即云服務(wù)器端�����、網(wǎng)絡(luò)傳輸端�����、車(chē)機(jī)端�����、車(chē)輛外部互聯(lián)設(shè)備端等���。
云服務(wù)器端��。車(chē)輛 OTA 云平臺(tái)中主要包含著車(chē)輛系統(tǒng)升級(jí)相關(guān)數(shù)據(jù)�,如車(chē)輛升級(jí)日志���、車(chē)輛升級(jí)包等。若黑客對(duì)云平臺(tái)進(jìn)行攻擊時(shí),就有可能取得軟件升級(jí)包的具體數(shù)據(jù)��、OTA 升級(jí)相關(guān)數(shù)據(jù),甚至可以對(duì)軟件升級(jí)包內(nèi)的數(shù)據(jù)進(jìn)行篡改�����、刪除����。這不僅直接影響車(chē)輛是否能夠正常地進(jìn)行遠(yuǎn)程升級(jí)��,甚至還影響車(chē)輛的使用安全��。
網(wǎng)絡(luò)傳輸端。通過(guò) OTA 技術(shù)將存儲(chǔ)至云平臺(tái)的軟件升級(jí)包安全完整地傳送給車(chē)載終端���,需要通過(guò)網(wǎng)絡(luò)才能實(shí)現(xiàn),可以說(shuō)網(wǎng)絡(luò)傳輸是 OTA 云端與車(chē)載終端之間的“傳送帶”����。然而��,“傳送帶”本身也極易受到黑客攻擊��,尤其在傳送過(guò)程中的通信信息未進(jìn)行加密或僅進(jìn)行較弱程度的加密�,亦或是相關(guān)密鑰信息被暴露或破解后�����,車(chē)輛的 OTA 升級(jí)過(guò)程中就無(wú)法具備足夠的安全防護(hù)能力���。攻擊者可以通過(guò)抓取鏈路層標(biāo)識(shí)以實(shí)現(xiàn)會(huì)話劫持�����,并進(jìn)行重放�����、拒絕服務(wù)攻擊(DoS)���,進(jìn)而影響車(chē)輛的升級(jí)過(guò)程�,甚至是對(duì)聯(lián)網(wǎng)車(chē)輛進(jìn)行定位與跟蹤等����。此外���,若車(chē)輛升級(jí)包中包含自動(dòng)駕駛功能(含輔助駕駛)�����,攻擊者可以通過(guò)在升級(jí)包內(nèi)植入木馬病毒的方式篡改升級(jí)包��,待用戶在使用上述功能時(shí)對(duì)車(chē)輛正常行使進(jìn)行干擾��,進(jìn)而帶來(lái)安全隱患���。
車(chē)輛終端��。隨著車(chē)輛不斷向智能化�、網(wǎng)聯(lián)化����、電動(dòng)化、自動(dòng)化方向發(fā)展����,軟件定義車(chē)輛趨勢(shì)日益顯著�����。有研究指出���,智能網(wǎng)聯(lián)汽車(chē)的關(guān)鍵代碼規(guī)模提升了 10 至 100 倍�,代碼漏洞就會(huì)呈指數(shù)級(jí)增長(zhǎng)����,同時(shí)車(chē)輛的電子控制單元的數(shù)量與車(chē)內(nèi)連通性不斷增強(qiáng),導(dǎo)致車(chē)輛受到信息安全攻擊的風(fēng)險(xiǎn)大增��。例如��,黑客可以直接通過(guò)車(chē)輛終端作為攻擊“入侵點(diǎn)”偽造非法信息進(jìn)入平臺(tái)或車(chē)輛,導(dǎo)致下發(fā)惡意升級(jí)指令或上傳虛假信息等�。一般而言,車(chē)輛遠(yuǎn)程升級(jí)過(guò)程中����,需在車(chē)輛端對(duì)升級(jí)包進(jìn)行加密和簽名等一系列驗(yàn)證環(huán)節(jié)�,只有經(jīng)過(guò)驗(yàn)證的軟件升級(jí)包才可以進(jìn)行正常的升級(jí)流程,但若驗(yàn)證的算法過(guò)于簡(jiǎn)單或驗(yàn)證流程存在漏洞�,攻擊者就可以利用漏洞構(gòu)造有效的升級(jí)包�,或繞過(guò)驗(yàn)證流程直接在部件上加載運(yùn)行惡意篡改過(guò)的固件,對(duì)車(chē)輛進(jìn)行進(jìn)一步的攻擊或者控制等惡意行為��。并且密鑰也存在車(chē)輛 OTA 信息安全風(fēng)險(xiǎn)�,密鑰是加密算法中用于更改數(shù)據(jù)而使用的字符串�,一旦密鑰被復(fù)制或破解�����,車(chē)輛的加密數(shù)據(jù)就會(huì)被動(dòng)變成公開(kāi)數(shù)據(jù)�����,此時(shí)�,車(chē)輛可以被他人遠(yuǎn)程控制,如利用密鑰控制車(chē)輛開(kāi)關(guān)門(mén)�����,繼而影響汽車(chē)正常駕駛��。其實(shí)�����,對(duì)車(chē)輛進(jìn)行網(wǎng)絡(luò)攻擊并不一定要等到車(chē)輛進(jìn)行 OTA 升級(jí)時(shí)才進(jìn)行��,黑客可以根據(jù)車(chē)輛現(xiàn)有的系統(tǒng)漏洞進(jìn)行攻擊��,直接入侵車(chē)輛����。
外部互聯(lián)設(shè)備端��。除了車(chē)輛本身與 OTA 云端進(jìn)行網(wǎng)絡(luò)傳輸外���,其與汽車(chē)相關(guān)聯(lián)的其他設(shè)備也可能影響到 OTA 系統(tǒng)的信息安全���,如通過(guò)入侵車(chē)輛充電設(shè)備的方式損害車(chē)輛安全����,或是直接通過(guò)鏈接固件的方式入侵車(chē)輛系統(tǒng)。充電樁控制模塊通過(guò)以太網(wǎng)與管理系統(tǒng)連接���,在充電樁網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息可能遭到截獲����、竊取�、破解����、被動(dòng)攻擊或非法冒充�����、惡意篡改等惡意威脅����。一旦黑客通過(guò)物理或遠(yuǎn)程方式入侵到“樁聯(lián)網(wǎng)”中��,不僅能控制充電樁的電壓����、修改充電金額等數(shù)據(jù),還可以通過(guò)上傳惡意固件的方式�,讓充電系統(tǒng)在車(chē)輛充滿電后繼續(xù)向車(chē)輛輸送電力�,導(dǎo)致車(chē)輛電池系統(tǒng)受損�。此外�,攻擊者還能通過(guò)訪問(wèn)配置文件或充電樁與網(wǎng)絡(luò)服務(wù)器之間的通信記錄,獲取用戶的個(gè)人信息。
二����、OTA 信息安全風(fēng)險(xiǎn)的應(yīng)對(duì)措施
建立 OTA 數(shù)據(jù)安全閉環(huán)�。隨著車(chē)輛智能化、網(wǎng)聯(lián)化發(fā)展�����,衍生出眾多與車(chē)輛 OTA 相關(guān)的信息安全風(fēng)險(xiǎn)����。因此,為了保證車(chē)輛 OTA 信息安全��,需要將 OTA 的全流程納入信息安全要素����,建立 OTA 的信息安全閉環(huán)��。第一��,在 OTA 云服務(wù)器層面���,首先�,車(chē)企內(nèi)部開(kāi)發(fā)團(tuán)隊(duì)或 ECU 供應(yīng)商應(yīng)對(duì)云平臺(tái)的數(shù)據(jù)信息管理及安全防御系統(tǒng)進(jìn)行安全測(cè)試�����,測(cè)試非法用戶是否能夠獲取數(shù)據(jù)訪問(wèn)權(quán)限��。其次�����,對(duì)存儲(chǔ)在云端的數(shù)據(jù)信息進(jìn)行分類(lèi)管理��,對(duì)其中的敏感數(shù)據(jù)著重進(jìn)行加密處理���,采用證書(shū)�����、簽名����、加密機(jī)制等安全措施,保障 OTA 平臺(tái)的安全服務(wù)����,保證升級(jí)包不會(huì)隨意被制作與發(fā)布���。2022 年 6 月 13 日�����,工業(yè)和信息化部發(fā)布的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)《汽車(chē)軟件升級(jí)通用技術(shù)要求(征求意見(jiàn)稿)》明確規(guī)定應(yīng)具備保護(hù)升級(jí)包的過(guò)程���,包括升級(jí)包的真實(shí)性與完整性�,防止其在執(zhí)行前被篡改���、受到損害或無(wú)效軟件升級(jí)�。此外,還要求應(yīng)確保驗(yàn)證和確認(rèn)車(chē)輛軟件的功能和代碼的過(guò)程是適當(dāng)�、合理的��。最后����,在 OTA 云端要做好數(shù)據(jù) / 風(fēng)險(xiǎn)隔離��,防止因個(gè)別系統(tǒng)的安全問(wèn)題導(dǎo)致黑客獲得訪問(wèn)整個(gè)系統(tǒng)數(shù)據(jù)的權(quán)限��,最大限度地降低因系統(tǒng)安全問(wèn)題所造成的危害后果����。第二,在網(wǎng)絡(luò)傳輸階段�����,車(chē)企應(yīng)在通信端采用安全可靠的物理鏈路和安全傳輸協(xié)議來(lái)保證升級(jí)包傳輸過(guò)程中的安全�。在車(chē)輛與 OTA 平臺(tái)進(jìn)行通信過(guò)程中,應(yīng)采用安全通信協(xié)議進(jìn)行數(shù)據(jù)傳輸���,通過(guò)簽名���、加密�、哈希等算法對(duì)數(shù)據(jù)的完整性和機(jī)密性進(jìn)行保護(hù)���,以確保交互信息�、軟件升級(jí)包等數(shù)據(jù)的安全性��,防止泄露��、篡改偽造等風(fēng)險(xiǎn)��。第三�,在車(chē)輛終端層面,車(chē)企應(yīng)在車(chē)端通過(guò)功能可靠性設(shè)計(jì)�、安全防御手段等方式實(shí)現(xiàn)車(chē)內(nèi)升級(jí)的安全加載及啟動(dòng)運(yùn)行�。車(chē)輛終端設(shè)計(jì)主要分兩部分���,一是車(chē)輛的硬件設(shè)計(jì)�,二是車(chē)輛系統(tǒng)的軟件設(shè)計(jì)。其中�����,對(duì)硬件設(shè)計(jì)����,根據(jù) 2023 年 5 月 6 日工業(yè)和信息化部發(fā)布的強(qiáng)制性標(biāo)準(zhǔn)《汽車(chē)整車(chē)信息安全技術(shù)要求(征集意見(jiàn)稿)》中的要求��,車(chē)輛的外部接口(USB接口�����、診斷接口和其他接口)應(yīng)進(jìn)行訪問(wèn)控制保護(hù)���,禁止非授權(quán)訪問(wèn)���。對(duì)車(chē)輛系統(tǒng)設(shè)計(jì)����,該征求意見(jiàn)稿明確了車(chē)載軟件升級(jí)系統(tǒng)應(yīng)具備安全啟動(dòng)功能���,保護(hù)車(chē)載軟件升級(jí)系統(tǒng)的可信根��、引導(dǎo)加載程序����、系統(tǒng)固件不被篡改�����,或篡改后無(wú)法正常啟動(dòng)���;處理和在線升級(jí)服務(wù)器應(yīng)進(jìn)行身份認(rèn)證��,驗(yàn)證其身份的真實(shí)性�����;車(chē)載軟件升級(jí)系統(tǒng)應(yīng)對(duì)下載的在線升級(jí)包進(jìn)行真實(shí)性和完整性校驗(yàn)���,并記入在線升級(jí)過(guò)程中發(fā)生的失敗事件日志����。
構(gòu)建 OTA 數(shù)據(jù)安全管理制度�����。車(chē)企應(yīng)根據(jù)與車(chē)輛 OTA 相關(guān)的數(shù)據(jù)安全法規(guī)標(biāo)準(zhǔn)要求��,采取系列安全保障與支撐措施���。在組織治理層面��,車(chē)企應(yīng)建立起 OTA 數(shù)據(jù)安全管理制度��,對(duì)車(chē)輛 OTA 升級(jí)的數(shù)據(jù)安全進(jìn)行標(biāo)準(zhǔn)化管理���。OTA 數(shù)據(jù)安全管理體系主要包含 OTA 升級(jí)相關(guān)流程���、信息記錄要求、安全策略��、車(chē)型要求等���。聯(lián)合國(guó) R156 標(biāo)準(zhǔn)就對(duì)車(chē)輛的軟件升級(jí)與軟件升級(jí)管理體系進(jìn)行了統(tǒng)一規(guī)定�����,我國(guó)《汽車(chē)軟件升級(jí)通用技術(shù)要求(征求意見(jiàn)稿)》也明確規(guī)定車(chē)輛制造商應(yīng)建立軟件升級(jí)管理體系��。例如�,對(duì)車(chē)輛軟件升級(jí)��,車(chē)輛制造商應(yīng)安全儲(chǔ)存車(chē)輛 OTA 升級(jí)相關(guān)文件且儲(chǔ)存年限不低于車(chē)型停產(chǎn)后10 年���。同時(shí)�����,車(chē)輛制造商應(yīng)當(dāng)確保那些具備軟件識(shí)別碼的車(chē)型���,每個(gè)軟件識(shí)別碼為唯一可識(shí)別�����,且當(dāng)軟件升級(jí)導(dǎo)致識(shí)別車(chē)型變更的��,應(yīng)當(dāng)同步更新該車(chē)型的軟件識(shí)別碼的全部信息�。2021 年 7 月����,工業(yè)和信息化部發(fā)布的《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》也強(qiáng)調(diào),“車(chē)企應(yīng)當(dāng)建立與汽車(chē)產(chǎn)品及升級(jí)活動(dòng)相適應(yīng)的管理能力��,具有在線升級(jí)安全影響評(píng)估�����、測(cè)試驗(yàn)證�、實(shí)施過(guò)程保障�����、信息記錄等能力”�����。此外,在汽車(chē)產(chǎn)品的開(kāi)發(fā)過(guò)程中�,車(chē)企應(yīng)將數(shù)據(jù)安全活動(dòng)納入產(chǎn)品開(kāi)發(fā)的全過(guò)程,解決從方案確定到生產(chǎn)啟動(dòng)的整體研發(fā)過(guò)程中的安全目標(biāo)設(shè)定�、安全要求設(shè)計(jì)、安全方案設(shè)計(jì)�、安全研發(fā)以及安全確認(rèn)與驗(yàn)證到安全運(yùn)維等核心環(huán)節(jié)。
完善車(chē)輛 OTA 數(shù)據(jù)安全法規(guī)標(biāo)準(zhǔn)體系���。由于車(chē)輛 OTA 數(shù)據(jù)安全仍屬于新興領(lǐng)域�����,我國(guó)關(guān)于車(chē)輛 OTA 數(shù)據(jù)安全的法規(guī)標(biāo)準(zhǔn)體系仍在完善過(guò)程中�����。以車(chē)輛 OTA 升級(jí)為例���,《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》要求車(chē)企具備與車(chē)輛升級(jí)活動(dòng)相應(yīng)的管理能力。2022 年 4 月�,工業(yè)和信息化部出臺(tái)《關(guān)于開(kāi)展汽車(chē)軟件在線升級(jí)備案的通知》,建立了 OTA 升級(jí)的分級(jí)備案制度���。在 OTA 召回領(lǐng)域�����,監(jiān)管要求也在不斷細(xì)化�。2020 年,市場(chǎng)監(jiān)管總局發(fā)布《關(guān)于進(jìn)一步加強(qiáng)汽車(chē)遠(yuǎn)程升級(jí)(OTA)技術(shù)召回監(jiān)管的通知》����,首次建立起 OTA 召回的備案制度。2021 年 6 月�,市場(chǎng)監(jiān)管總局出臺(tái)《關(guān)于汽車(chē)遠(yuǎn)程升級(jí)(OTA)技術(shù)召回備案的補(bǔ)充通知》,進(jìn)一步要求生產(chǎn)者在備案采用 OTA 方式的技術(shù)服務(wù)活動(dòng)或召回時(shí)應(yīng)提交《汽車(chē)遠(yuǎn)程升級(jí)(OTA)安全技術(shù)評(píng)估信息表》��。
因此�,OTA 數(shù)據(jù)安全體系還在持續(xù)完善,尤其是健全 OTA 數(shù)據(jù)安全技術(shù)要求及標(biāo)準(zhǔn)體系�����。在制定 OTA 數(shù)安全相關(guān)法規(guī)標(biāo)準(zhǔn)的過(guò)程中�,應(yīng)當(dāng)進(jìn)一步明晰在OTA數(shù)據(jù)安全的框架下對(duì)車(chē)輛制造商、OTA 零部件制造商的具體要求����,落實(shí)因 OTA 數(shù)據(jù)安全而引發(fā)惡性事件的責(zé)任判定與處罰。并且��,還可以持續(xù)跟蹤域外相關(guān)法規(guī)標(biāo)準(zhǔn)動(dòng)態(tài)����,在符合我國(guó)汽車(chē)產(chǎn)業(yè)國(guó)情的基礎(chǔ)上,為我國(guó)制定 OTA 相關(guān)標(biāo)準(zhǔn)法規(guī)吸收國(guó)際經(jīng)驗(yàn)���。
(本文刊登于《中國(guó)信息安全》雜志2024年第2期)
在線咨詢
在線咨詢
0371-63319761