商用密碼技術(shù)在車聯(lián)網(wǎng)信息安全中的應(yīng)用
隨著汽車的信息化�、智能化不斷普及,車聯(lián)網(wǎng)技術(shù)已經(jīng)在各大車廠的量產(chǎn)車型實(shí)現(xiàn)了較為廣泛的應(yīng)用��,但隨之而來的安全問題日益凸顯。傳統(tǒng)汽車中潛伏的一些隱患和問題暴露在網(wǎng)絡(luò)中��,汽車上的各種電子設(shè)備���、車載的智能信息系統(tǒng)����、OBD(車載診斷)接口等���,可能成為黑客入侵車輛系統(tǒng)的途徑����。密碼技術(shù)是保障網(wǎng)絡(luò)安全的核心和基礎(chǔ)支撐技術(shù),同時也是解決車聯(lián)網(wǎng)安全問題最有效���、最可靠���、最經(jīng)濟(jì)的手段。本文主要參照信息系統(tǒng)密碼應(yīng)用的技術(shù)要求�����、實(shí)現(xiàn)方法��、檢測方法等�����,對汽車車端密碼技術(shù)手段和實(shí)現(xiàn)方式����,以及應(yīng)用的合規(guī)性、正確性���、有效性等方面的檢測技術(shù)等進(jìn)行研究���。
車聯(lián)網(wǎng)技術(shù)中車端信息安全問題
汽車不斷向智能化和網(wǎng)絡(luò)化方向發(fā)展����,在提升使用者的駕駛體驗的同時��,也引入了新的安全風(fēng)險��,車端信息安全問題及需求如下����。
1. CAN總線安全風(fēng)險��,主要體現(xiàn)在CAN總線自身的脆弱性��,協(xié)議不能確認(rèn)接入節(jié)點(diǎn)的身份真實(shí)性���,且沒有加密機(jī)制��,可導(dǎo)致通過劫持的節(jié)點(diǎn)偽造其他節(jié)點(diǎn)發(fā)送數(shù)據(jù)���。
2. ECU安全風(fēng)險,主要包括被修改和重新燒錄,攻擊者在固件程序中植入惡意代碼����,設(shè)計上的缺陷或者漏洞等安全風(fēng)險。
3. 車載網(wǎng)關(guān)安全風(fēng)險��,主要體現(xiàn)在車載網(wǎng)關(guān)中系統(tǒng)數(shù)據(jù)/配置數(shù)據(jù)泄露�、軟件或數(shù)據(jù)的更新包遭受篡改、通信消息泄露或篡改等安全風(fēng)險���。
4. 車載終端安全風(fēng)險��,主要體現(xiàn)在T-BOX�����、IVI�、OBD等終端設(shè)備上存在的安全風(fēng)險���。其中���,T-BOX存在逆向攻擊、信息泄露��、網(wǎng)絡(luò)攻擊等安全風(fēng)險;IVI通過感染 U 盤等���,攻擊信息娛樂系統(tǒng)等��;OBD診斷接口風(fēng)險�,主要體現(xiàn)在硬軟件上的安全漏洞�,造成黑客攻擊的風(fēng)險。
車載終端
密碼技術(shù)作為信息安全的核心技術(shù)����,能夠為車聯(lián)網(wǎng)車端在終端安全接入、ECU之間安全通信���,以及固件安全等方面提供技術(shù)支撐。具體如下��。
1. 針對CAN總線的節(jié)點(diǎn)身份安全問題��,可采用基于數(shù)字證書等密碼技術(shù)��,實(shí)現(xiàn)對節(jié)點(diǎn)的身份認(rèn)證�,防止非授權(quán)的接入。
2. 針對CAN總線的數(shù)據(jù)明文傳輸問題����,可通過密碼技術(shù)實(shí)現(xiàn)重要數(shù)據(jù)的加密傳輸�����,避免信息泄露���。
3. 針對車載終端安全風(fēng)險,可采用雜湊�、數(shù)字簽名等密碼技術(shù),實(shí)現(xiàn)固件程序的完整性保護(hù)��,并通過密碼技術(shù)實(shí)現(xiàn)對配置數(shù)據(jù)的安全保護(hù)����。
4. 針對車載設(shè)備對外通信所導(dǎo)致的風(fēng)險,可對接入車載設(shè)備的用戶及設(shè)備采用數(shù)字簽名�����、雜湊算法等實(shí)現(xiàn)身份鑒別����。
車端安全體系架構(gòu)研究
車聯(lián)網(wǎng)車端安全體系主要包括安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全計算環(huán)境等方面�����。如圖1所示。
圖1 車端安全體系架構(gòu)
1. 內(nèi)部區(qū)域邊界安全���。在汽車網(wǎng)關(guān)需要實(shí)現(xiàn)邊界安全防護(hù)��、訪問控制����、非授權(quán)訪問控制����、數(shù)據(jù)加解密、密鑰管理等安全功能���。邊界安全防護(hù)主要實(shí)現(xiàn)接入到車載CAN網(wǎng)絡(luò)的ECU設(shè)備進(jìn)行控制���;訪問控制主要為不同區(qū)域之間實(shí)施管控����;數(shù)據(jù)加解密主要實(shí)現(xiàn)ECU與網(wǎng)關(guān)通信的重要數(shù)據(jù)加密。
2. 外部區(qū)域邊界安全�����。主要為防護(hù)T-BOX、IVI等車載終端系統(tǒng)與外部TSP���、移動終端等數(shù)據(jù)交互的邊界安全�����,需要實(shí)現(xiàn)通信身份鑒別���、通信數(shù)據(jù)加密傳輸、入侵防范����、實(shí)體接入身份認(rèn)證、加密存儲���、密鑰管理等安全功能�����。
3. 車載終端安全�。主要包括T-BOX�����、IVI等車載終端系統(tǒng)的操作系統(tǒng)安全和應(yīng)用系統(tǒng)安全。
4. 應(yīng)用數(shù)據(jù)安全�。主要包括T-BOX、IVI等車載終端系統(tǒng)與ECU之間以及ECU與ECU之間通信�,應(yīng)采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制。
車端密碼技術(shù)應(yīng)用研究
車聯(lián)網(wǎng)車端可采用數(shù)字證書��、對稱密碼技術(shù)�、非對稱密碼技術(shù)等密碼技術(shù),滿足車端接入ECU的身份真實(shí)性�、CAN總線數(shù)據(jù)加密傳輸、固件程序的完整性保護(hù)等安全需求�����。通過建設(shè)PKI系統(tǒng)和KMS密鑰管理系統(tǒng)�����,搭建更便捷的車聯(lián)網(wǎng)通信�����,防護(hù)措施具體包括:一是基于證書的車載端身份認(rèn)證�,目前較完備的方式是基于PKI證書身份認(rèn)證,智能網(wǎng)聯(lián)汽車首次啟動進(jìn)行通信連接時����,PKI系統(tǒng)簽發(fā)可信證書寫入車載密碼模塊,用于汽車車端通信��,確保僅有認(rèn)證后的汽車車端通信安全��;二是基于證書的傳輸加密�����,智能網(wǎng)聯(lián)汽車在獲取可信證書后���,后續(xù)通信通過證書進(jìn)行密鑰協(xié)商并加密通信數(shù)據(jù)�,加密協(xié)議通常采用HTTPS應(yīng)用層加密或者SSL�����、TLS傳輸層加密����,增加攻擊者竊聽破解的難度,保障通信安全;三是基于密鑰的加密����,智能網(wǎng)聯(lián)汽車經(jīng)過車內(nèi)數(shù)字證書認(rèn)證后,向車載電子控制單元各ECU傳遞加密控制信令�����,只有經(jīng)過密鑰的加解密才能執(zhí)行���,確保汽車在啟動后車端業(yè)務(wù)的安全可靠�����。
通過密碼模塊強(qiáng)化智能網(wǎng)聯(lián)汽車安全防護(hù)已成為未來重要方向�,將加密算法�����、訪問控制��、完整性檢查嵌入到汽車控制系統(tǒng)���,加強(qiáng)車載終端的安全性�����,提升安全級別���。通過在IVI和TBOX中配套部署安全密碼模塊,負(fù)責(zé)管理及使用密鑰�,實(shí)現(xiàn)密碼計算,包括加解密����、完整性校驗、數(shù)字簽名等����。
1.網(wǎng)絡(luò)和通信安全
(1)T-BOX通信身份鑒別
T-BOX與汽車網(wǎng)關(guān)通過CAN總線通信實(shí)現(xiàn)對車輛狀態(tài)信息、控制指令���、遠(yuǎn)程針對等信息的傳遞��,通過數(shù)據(jù)鏈路的方式實(shí)現(xiàn)與TSP系統(tǒng)的通信�����。當(dāng)用戶通過PC端或移動端發(fā)送控制指令后���,TSP發(fā)出指令到T-BOX����,車輛獲取到控制命令后�����,通過CAN總線發(fā)送控制報文實(shí)現(xiàn)對車聯(lián)的控制����。若惡意用戶通過TSP平臺控制車輛,將造成嚴(yán)重影響�����,需要在T-BOX與TSP采用身份鑒別機(jī)制����,彼此進(jìn)行身份認(rèn)證,保障通信雙方的真實(shí)性����,防止外界攻擊、發(fā)送錯誤指令等��。T-BOX與TSP之間的身份鑒別可采用數(shù)字簽名、數(shù)字證書等密碼技術(shù)實(shí)現(xiàn)���,并協(xié)商出會話密鑰�,確保用戶數(shù)據(jù)安全傳輸�����。TSP與T-BOX之間驗證雙方證書,采用SM2數(shù)字簽名技術(shù)進(jìn)行雙向身份鑒別�����,利用SM2的密鑰協(xié)商算法協(xié)商出密鑰�����,確保傳輸數(shù)據(jù)的保密性�����。
(2) IVI通信身份鑒別
IVI基于車身總線系統(tǒng)和互聯(lián)網(wǎng)服務(wù)��,可通過Wi-Fi�、無線��、藍(lán)牙等網(wǎng)絡(luò)通信技術(shù)實(shí)現(xiàn)與智能終端App的通信,并進(jìn)行相關(guān)操作��。若惡意用戶非法接入到IVI系統(tǒng)中���,可造成嚴(yán)重信息泄露�、數(shù)據(jù)篡改等安全風(fēng)險���。App應(yīng)用接入到IVI中�,需要采用雙向認(rèn)證機(jī)制���,保證接入的APP安全可靠�,可采用數(shù)字證書���、數(shù)字簽名等密碼技術(shù)實(shí)現(xiàn)身份鑒別以及數(shù)據(jù)安全傳輸�����。IVI與APP之間的身份鑒別�,可采用數(shù)字簽名����、數(shù)字證書等密碼技術(shù)實(shí)現(xiàn)�,并協(xié)商出會話密鑰����,保障用戶數(shù)據(jù)的安全傳輸。App與IVI相互驗證雙方證書���,采用SM2數(shù)字簽名技術(shù)進(jìn)行雙向身份鑒別����,同時利用SM2的密鑰協(xié)商算法協(xié)商出密鑰����,用于傳輸數(shù)據(jù)的保密性����。
2.計算和設(shè)備安全
車載網(wǎng)關(guān)可通過有線網(wǎng)絡(luò)與PC機(jī)進(jìn)行通信,采用Web等方式進(jìn)行管理�。對于車載網(wǎng)關(guān)系統(tǒng)的登錄,應(yīng)采用身份鑒別機(jī)制�����,可在車載網(wǎng)關(guān)中部署密碼模塊�,PC機(jī)采用數(shù)字證書的方式進(jìn)行身份認(rèn)證�。
車載網(wǎng)關(guān)中可能存在T-BOX��、OBD�����、各類ECU之間的訪問控制信息�,以及存在日志信息等,車載網(wǎng)關(guān)可采用SM3等密碼算法保護(hù)訪問控制信息��、日志信息等完整性��。T-BOX����、IVI車載終端系統(tǒng)中,目前應(yīng)用比較廣泛的系統(tǒng)主要包括QNX�����、Android����,Windows和Linux (私有Linux和開源Linux)等操作系統(tǒng),對于相關(guān)系統(tǒng)的登錄�����,應(yīng)采用身份鑒別機(jī)制,對車載終端系統(tǒng)的維修或維護(hù)階段登錄進(jìn)行身份鑒別��,可在車載終端系統(tǒng)中部署密碼模塊�,同時登錄系統(tǒng)的終端采用數(shù)字證書的方式進(jìn)行身份鑒別,身份鑒別成功后再登錄到系統(tǒng)中�����。對于T-BOX����、IVI車載終端系統(tǒng)存在的訪問控制信息以及存在日志信息等,車載終端可采用SM3等密碼算法保護(hù)訪問控制信息���、日志信息等完整性。為避免ECU遭受惡意攻擊���、惡意代碼寫入�、完整性遭受破壞等安全風(fēng)險�,可在ECU中安裝密碼模塊,采用SM3密碼算法保障數(shù)據(jù)的完整性����,以及采用SM2/SM4 保障數(shù)據(jù)通信的機(jī)密性���。
結(jié)語
本文主要對目前主流的車聯(lián)網(wǎng)車端系統(tǒng)結(jié)構(gòu)等進(jìn)行分析,并在此基礎(chǔ)上分析當(dāng)前車聯(lián)網(wǎng)車端T-BOX��、汽車網(wǎng)關(guān)等關(guān)鍵設(shè)備存在的安全風(fēng)險����,以及密碼應(yīng)用需求等。依據(jù)安全風(fēng)險和密碼應(yīng)用需求����,結(jié)合《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786—2021),從網(wǎng)絡(luò)和通信安全����、計算和設(shè)備安全、應(yīng)用和數(shù)據(jù)安全等方面分析和設(shè)計密碼算法的應(yīng)用方法���,后續(xù)將進(jìn)一步對車端密碼應(yīng)用需求��、密碼應(yīng)用技術(shù)���、檢測技術(shù)等進(jìn)行深入研究和驗證��。
來源:《網(wǎng)絡(luò)安全和信息化》雜志
作者:中科信息安全共性技術(shù)國家工程研究中心有限公司 劉元
(本文不涉密)
在線咨詢
在線咨詢
0371-63319761