智能网联汽车的多级安全防护系统设计

2020-11-05刘元泰WangBinLiuYuantai

北京汽车 2020年5期

关键词：智能网网关总线

王斌，刘元泰 Wang Bin，Liu Yuantai

智能网联汽车的多级安全防护系统设计

王斌，刘元泰
Wang Bin，Liu Yuantai

（中汽研汽车检验中心（武汉）有限公司，湖北武汉 430056）

利用三位一体的车联网安全模型方案，分析智能网联汽车的安全风险，然后设计系统方案，最后对系统安全进行检测。

智能网联；汽车；防护系统

近几年来，随着汽车智能化程度不断提升，车辆的各个系统受到攻击的可能性越来越大，其安全风险也在增加[1]。因此，汽车的安全性能受到广泛关注，为了降低交通事故的发生率，大部分汽车公司都在致力于研发汽车的安全防护系统。当前汽车的安全防护技术主要分为主动防护技术和被动防护技术；其中，主动防护技术主要用以预防交通事故，被动防护技术用以减少人员的损伤。

1 智能网联汽车的安全风险分析

智能网联汽车是以车机网、车内网以及车载移动互联网为基础，并以预先约定的通信协议、数据交互标准在车辆与行人之间、车辆与车辆之间、车辆和网络之间进行无线通信、信息交换的大系统网络，是实现车辆智能化控制、智能动态信息服务以及智能化交通管理的一体化网络。智能网联汽车的构成主要有网关接入层、通信层、移动 APP、服务层以及物理感知层等。

1.1 感知层安全风险

智能网联汽车的硬件主要有智能后视镜、行车记录仪、车载诊断仪、智能车钥匙、车辆传感器、车载视频监控系统等。其中，车内ECU（Electronic Control Unit，电子控制单元）通过LIN（Local Interconnect Network，局部互联网）、CAN（Controller Area Network，控制器局域网络）等网络进行连接，如果车辆中的网络受到攻击，那么ECU会受到控制，通过发送大量的错误报文导致CAN总线失效，最后导致ECU失效；因此，车内的网络十分重要[2]。

1.2 网络传输安全风险

网络层主要包括移动通信网、网络业务平台以及移动接入管理等。其中，移动通信与移动接入管理之间主要采用APN（Access Point Name，接入点名称）专线进行连接。网络层的安全组可以保障各车联网终端与网络中心进行双向数据传输过程中的安全防护。在网络传输层、网络接入层等均有多方面的风险，例如认证风险、传输风险以及协议风险等。其中，认证风险为没有验证发送者的身份信息、伪造身份、中间人攻击以及动态劫持等；传输风险为车辆信息传输未加密、密钥暴露、加密强度不够以及所有车辆型号使用相同的对称密钥等；协议风险指伪造通信流程。

1.3 应用服务层安全风险

应用服务层的安全包括服务平台安全、服务环境安全以及服务接入安全等，这些部分可以使车辆实现众多功能，例如，车联网服务支撑基础环境行业用户、安全保护、车联网业务平台安全保护以及公网用户接入安全保护等。应用层APP在互联网中为公开状态，不可避免会存在漏洞：（1）劫持验证码；（2）文件操作；（3）泄露数据；（4）盗取用户的账号和密码；（5）修改车辆的位置信息；（6）发送伪造数据；（7）短信活动；（8）网络活动；（9）修改传输数据；（10）行为监控[3]。

车联网具有非常复杂多样化的应用系统，某一种安全技术无法完全处理应用系统中所有的安全问题；而部分通用的应用程序又存在各种问题，如安全漏洞、配置不当等，直接影响到整个网络的安全性，通用的应用程序主要有Email 服务程序、Web Server 程序、浏览器和Office 办公软件等。

2 系统设计方案

考虑到整个智能网联车辆的生态方面，从多个方面进行保护，设计了全方位的安全防护方案：（1）从小到大：从芯片安全到云安全，对应各个点来提供保护；（2）从内到外：从汽车的内部到整个生态环境的安全；（3）从始到终：从安全设计到后续的安全运营。

系统防御原则包括架构的全面性、技术的创新性及方案的综合性。

（1）架构全面性：采用端管云安全架构体系，考虑整个生态的安全需求；

（2）技术创新性：随着智能化、网联化及电动化的飞速发展，在未来可能出现更多的攻击方式，需要不断创新，采用更新的技术进行防护；

（3）方案综合性：多样性以及层次化的特点将会更为突出，应根据风险对防护方案的合理实施进行分析，并部署更为合适的安全防护产品。

2.1 智能网联汽车整体安全系统架构

系统主要从不同的防护对象进行考虑，采用不同的防护技术。所设计的智能网联汽车整体安全系统架构可以分为系统感知层、传输层与接入层以及服务应用层。其中，在系统感知层，需要考虑总线网关对DoS（Denial of Service，拒绝服务）报文攻击进行过滤，避免发生堵塞。对存在侵入意向的报文需要经过鉴权认证处理。在传输层、接入层中，对非对称进行加密身份验证，对数据通道使用对称加密，还需要在其中加入可信任的车辆身份识别、访问信任链等。而服务层应用、移动APP，则需要利用APP 来进行APP 安全评测、组件安全保护以及反编译保护等。同时将渗透测试保障应用在系统中，及时发现其中存在的问题与漏洞，从而尽快解决。

2.2 车辆网络网关安全防护设计

在标准的汽车网络中，网关利用CAN、LIN、FlexRay等来实现各个ECU的数据交互。基于CAN 数据广播自身的机制和存在的无数据验证的缺陷，导致其容易受到DoS攻击。

为了能够对车辆产生防护效果，采用最安全的整车网络模型，为了保护汽车总线不受到外部网络攻击产生的干扰，选择在总线应用中添加安全控制节点。以ODB（On-Board Diagnostics，车载自动诊断系统）、T-Box（Telematics Box，远距离通信盒子）接口的互联网汽车总线应用系统为基础，利用安全控制中的机制拦截外部信息系统，从而直接控制汽车总线，这一部分主要通过独立的网关过滤DoS攻击；对于需要进行控制的合法请求，可以将其加入到可信任类型的模型中。

在可信任的模型内，只有经过认证之后的用户才可以从总线中获取数据，如果需要向CAN总线发送数据，那么必须先请求总线保护模块，经过总线保护模块的认可之后才可以发送报文。另外，网关作为总线中的保护模块，通过控制终端设备内的CAN数据发送接口，保护车辆总线。T-Box 通过请求达到发送数据的目的，而模块通过计算来判断数据是否允许发送到总线，如果允许则进行数据的发送，如果不允许则拒绝发送数据。为了能够抵御终端设备可能发生的高频率总线传输请求，总线保护模块将时间作为判断标准。

除此之外，在网关中采用硬件隔离技术，将网关信息隐藏，不暴露网络通信，无线通信与网关之间采用不同的单片机，同时对其实施隔离，并且必须保障总线网络和无线网络之间存在物理隔离，然后进行单元判断、转发，在中断程序内部对诊断请求的来源进行判断，之后再开始进行具体转发响应，避免总线信息出现泄露和转发错误等情况，同时有效地保障用户车辆数据信息的保密性、安全性。其处理机制如图1所示。

图1 总线消息处理机制

2.3 云安全及 APP 安全防护

在云安全方面，主要采用可信服务管理的安全云，通过这一方式实现从云到管和端之间的安全传输。对云端来说，除了需要进行中间件防护、病毒方面的防护、存储安全防护以及访问控制防护之外，还有一项最重要的防护，就是避免黑客利用购机的方式来获取密钥，这一防护同时也是最难防护的，如果黑客获取了密钥，就会导致所有的防护形同虚设；因此防护密钥非常关键。为充分考虑攻击下的密钥防护安全，本系统选择利用各种密码技术来加固防护，密码在汽车的信息安全防护中是非常基础的防护方式；因此，利用安全密码盒来防护用户的密钥。

2.4 通信安全、数据传输以及接入防护

网络结构主要分为4个区，包括移动终端区、移动通信网、移动接入管理区和业务平台区。移动终端区包括车联网平台和手持终端；移动网络包括联通基站、HLR（Home Location Register，归宿位置寄存器）、SGSN（Serving GPRS Support Node，服务 GRPS支持节点）、GGSN（Gateway GPRS Support Node，网关 GPRS 支持节点）和路由器等；移动接入管理区包括防火墙、客户AAA（Authentication、Authorization、Accounting，身份验证、授权、审计）和路由器；业务平台区为客户业务平台。其中移动通信网和移动接入管理区通过APN专线连接，通过企业级的网络结构，强有力地保证了车联网平台的安全。

3 系统检测

在完成系统设计工作之后，为了保障系统安全防护设计的可靠性，必须对系统实施安全检测。

3.1 APP安全检测

（1）风险评估：对当前APK（Android Application Package，安卓系统应用程序包）可能会遇见的外部攻击风险进行检测，在APK应用环境中，外部攻击风险是一种最常见的隐患，利用这一隐患可以开展二次打包、盗取敏感数据等众多非法操作。

（2）安全检测：充分详细地观察 APK 应用内部行为与安全规范之间是否相符合，因为这些内部行为可能会导致许多问题，例如，权限混乱、信息泄露以及带有广告和病毒等。

3.2 设备安全检测分析

设备检测分析的内容主要包括IVI（In-Vehicle Infotainment，车载综合信息处理系统）安全检查、T-Box、总线数据分析以及固件提取和固件分析等。其中，固件提取可以分为储存芯片固件、MCU（Microcontroller Unit，微控制单元）片内固件。固件分析主要分为敏感算法的分析和还原、程序代码逻辑与数据结构的理解、加密流程等。