车联网信息安全风险分析

　　智能化的汽车是被设计成一个由复杂的分布式微电子模块系统进行控制， 由内部网络（如CAN、LIN、Flexray、MOST、以太网等）提供的丰富的连接功能，其中接入这个网络的某些模块包括数以百万计的代码。虽然这种架构给效率、安全和成本带来很大的优点，但它也为新的攻击创造了机会。
　　汽车中使用的智能联网系统沿袭了既有的计算和联网架构，所以也继承了这些系统天然的安全缺陷。
　　智能网联汽车的车载CPU/ECU具备的大规模复杂性嵌入式系统，与当前互联网企业及数据中心极其相似；同时当前的车载网络架构与企业网甚至数据中心的虚拟分布化网络都趋同或相近。因此网络攻击经验也会同样适用于智能网联汽车。
　　2015年，两名白帽黑客远程入侵了一辆正在路上行驶的切诺基（自由光），并对其做出减速、关闭引擎、突然制动或者制动失灵等操控，克莱斯勒为了防止汽车被黑客攻击，在全球召回了140万辆车并安装了相应补丁。
　　2016年，腾讯科恩实验室宣布他们以“远程无物理接触”的方式成功入侵了特斯拉汽车，从而对车辆的停车状态和行进状态进行远程控制。黑客们实现了不用钥匙打开了汽车车门，在行驶中突然打开后备箱、关闭后视镜及突然刹车等远程控制。
　　2017年，一家网络安全公司称现代汽车App存在漏洞，黑客能够远程启动现代公司的汽车，现代证实了这个漏洞的存在。
　　同年，软件安全工程师Jay Turla对马自达汽车展开了一项开源网络攻击项目，使得任何人都能利用一个U盘就对马自达汽车执行恶意软件代码。
　　据英国广播公司报道，国内一家网络安全实验室的研究显示宝马汽车的电脑系统存在14处漏洞，黑客可利用这些漏洞在汽车行驶时取得部分控制权，可通过插入U盘、使用蓝牙以及车辆自带的3G/4G数据连接等方式控制汽车。
　　汽车作为公共交通系统的重要组成部分，一旦被黑客控制，黑客掌控你的方向盘，或者掌控你的刹车，不仅会造成驾驶者的个人信息和隐私被泄露，还会直接带来人身伤害和财产损失，甚至上升成为危及国家安全的社会问题。

　　车内网传输威胁：
　　车内网络主要是CAN或LIN通讯为主，采用通讯标准均为IS011898，报文ID数量较少，数据场的结构、定义均为统一模式，在售后市场中经常会出现用简单设备（示波器、CAN报文显示器等）将报文破解，黑客们只需要花费很低成本，就可以将整车通讯协议逆向解析出来；
　　车载诊断系统接口
　　基于车载诊断系统接口（OBD）的攻击现在的智能网联汽车内部都会有十几个到几十个不等的 ECU，不同 ECU 控制不同的模块。OBD 接口作为总线上的一个节点，不仅能监听总线上面的消息，而且还能伪造消息（如传感器消息）来欺骗 ECU，从而达到改变汽车行为状态的目的。
　　车内无线传感器安全风险
　　传感器存在通讯信息被窃听、被中断、被注入等潜在威胁，甚至通过干扰传感器通信设备还会造成无人驾驶汽车偏行、紧急停车等危险动作。
　　车内网络传输安全风险
　　汽车内部相对封闭的网络环境看似安全，但其中存在很多可被攻击的安全缺口，如胎压监测系统、 Wi-Fi、蓝牙等短距离通信设备等。
　　车载终端架构安全风险
　　现在每辆智能网联汽车基本上都装有五六十个 ECU 来实现移动互联的不同功能，进入智能网联汽车时代后， 其接收的数据不仅包含从云端下载的内容，还有可能接收到那些通过网络连接端口植入的恶意软件，因此大大增加了智能网联汽车被“黑”的风险。
　　网络传输安全风险
　　“车-X”（人、车、路、互联网等）通过 Wi-Fi、移动通信网（2.5G/3G/4G等）、DSRC等无线通信手段与其它车辆、交通专网、互联网等进行连接。网络传输安全威胁指车联网终端与网络中心的双向数据传输安全威胁。
　　

　　车载终端升级安全威胁：
　　进入智能网联汽车后，汽车ECU升级的过程中也可能存在着安全风险，比如升级过程中，升级包被篡改，或升级包本身含有安全风险，传输过程中升级包有可能被劫持，实施中间人攻击，甚至在生成过程中，云端服务器被攻击，OTA（空中软件升级）成为恶意软件的源头。
　　当前汽车行业应对这种信息安全的威胁远远不够，以前汽车行业属于传统行业，都是一帮搞机械的人在搞，而这种信息安全与IT强相关，但是要是只会IT里的信息安全，不懂汽车系统，也搞不起来，所以在汽车行业这两方面结合性人才很少。

　　智能联网汽车信息安全防护体系
　　
　　车联网攻击路径
　　将智能网联汽车的通讯数据流进行抽象，可以得到从车外云服务器到车内电子控制器的6层架构。构建整个智能网联汽车信息安全防护体系，需要在每一个层级部署相应的信息安全防护技术，来保障和提升整个系统的信息安全特性。
　　
　　信息安全的六个方向
　　全生命周期防护覆盖
　　从智能网联汽车信息安全生命周期（覆盖汽车的策划设计、生产、交付使用和废弃四个阶段）考虑，并贯穿融合，实现全生命周期的安全防护。
　　分域隔离、纵深防御
　　能够实现智能车辆内部感知域、控制域、决策域等不同域之间的隔离与分域保护，并构建智能网联汽车在“架构层-传输层-节点层”的多层纵深防御体系。
　　安全防御细粒化
　　安全防护能力需要实现对车内每个功能模块的小微生态覆盖，并延伸到汽车的内网区域和各个节点。
　　场景化的安全防御策略适应
　　结合智能网联汽车所处的不同场景特征，实施对应安全防御策略。
　　安全意识提升
　　包括驾驶者对智能网联汽车的配置、对外部可能存在安全隐患的存储介质的安全使用等。
　　强可控性的应急响应策略与安全升级
　　应急响应安全策略强调限制，并注重升级过程中的安全性。
　　，如下图所示，左边是我们熟悉的Tricore及相应的外设，右边就是HSM，中间隔了一层Firewall，可以有效保护HSM。HSM本身有自己的内核，可以做一些加密解密运算，同时内部也有一些Module是做各种安全算法的，比如ECC256，Hash算法等，还有随机数生成TRNG；另外HSM也有自己独有的RAM和Flash，只有HSM的内核才可以访问，Tricore是访问不了的。有了HSM，我们可以将一些Key存储在HSM的Flash，也可以通过HSM来进行加密或解密，这样安全性会得到相应的保证。
　　
　　车辆内部节点通信层级
　　这个层级聚焦在车辆内部通信，比如CAN、Ethernet、Flexray等，这个层面主要要保证通信信号的可靠性和完整性（有的攻击是通过功能CAN信号来触发一些特殊功能）。
　　
　　ISO/TC22道路车辆技术委员会成立ISO/TC22/SC32/WG11 Cybersecurity信息安全工作组
　　

　　应对信息安全方法
　　利用硬件安全芯片打造车端信任根
　　不同于利用纯软件代码实现加密和解密，利用专用硬件安全芯片来实现信息的加密和解密，有如下优点：1. 可以实现硬件加速，更快地完成信息的加密和解密；2. 可以实现密码的安全存储，密码一旦写入其中，便不能被轻易地读取出来；3. 很难被篡改，可以用于构建“不可抵赖”的信任连。利用安全芯片的这些特性，可以构建车端的安全“信任根”。
　　在未来的整车电子电器架构中，网关扮演着车辆信息中枢的作用。对于如此关键的零部件，往往更容易被攻击者进行攻击，对应的信息安全的防护等级需要相应地提高，硬件安全芯片便是一个很好的防护措施。联合电子互联网关产品中，集成有硬件安全芯片，借此打造了车端的信任根。可以实现：对车外连接的身份认证，对车内连接的数据加密和产品本身的安全性保证。
　　建立产品信息安全开发流程
　　安全设计的理念需要贯穿产品的整个生命周期，从前期的产品设计，到产品上线后的运维。对于零部件企业而言，要做好产品的信息安全设计，在设计初期就需要开展相关的工作。联合电子在既有的开发流程体系中，融入了信息安全的开发工作包，在产品的基因里就注入“安全”的属性。
　　产品信息安全的开发流程，包括如下关键工作活动：需求搜集、安全分析、安全概念设计、安全需求定义、安全架构设计和信息安全测试，这些工作任务会贯穿产品开发的各个阶段，并分配专门的信息安全经理对接各项工作的开展。
　　中央集成网关
　　中央集成网关的安全性，决定着智能网联汽车网络安全性的高低，是阻挡黑客进入汽车内网最有效方法之一。中央集成网关所采用的AES-128加密算法模型、CMAC消息认证模型和OTA管理模型，对汽车网络安全性起着至关重要的作用。
　　AES-128加密算法模型
　　AES算法是高级加密标准，AES是由美国国家技术研究院NISTDES设计的，具有结构简单、高速和高安全级别等特性。AES加密数据块的数据包长度必须是，28比特，密钥的长度可以是128位、192位或256位。CMAC的硬件实现基于VHDL语言描述和FPGA实现，使用AES核的分组数据长度为128或256位。AES算法广泛应用于汽车领域，如发动机防盗系统，自汽车发动机防盗系统诞生以来，AES作为核心加密算法一直沿用至今。
　　CMAC消息认证模型
　　CMAC （Cipher-based Message Authentication Code）是基于一个对称密钥块密码，如AES（高级加密标准）散列函数消息的AES-CMAC长度标准，CMAC可以处理数据包长度的非整数倍。
　　OTA管理软件
　　为了保证接入口（云端、车、服务器）安全，人们采用了OTA管理软件。OTA管理软件会检查进入车内网软件的版本信息、车辆信息及车内零部件信息，如果该信息不完整或不正确，则网关拒绝其进入内网。网关与车内ECU通讯采用AES-128加密模型算法，CMAC消息验证模型提高数据通信安全性。
　　ECU关注的方面
　　单个的ECU层级：这一层主要是要保证ECU的软件和数据完整性，主要体现为：
　　ECU不可被恶意刷写；
　　ECU不可被外界通过诊断或标定接口恶意更改策略；
　　ECU的内存不可被外界访问，需要保护起来；
　　ECU不可被外界通过调试接口访问或恶意更改；
　　Anyway，ECU不可对外暴露任何对外接口；
　　对于ECU层级的Security，HSM很关键，HSM的全称是Hardware Security Module

　　APP防护
　　JAVA代码反编译防护
　　利用Android汇编语言的高强度Java2C技术进行Android APP的JAVA代码进行保护。
　　SO虚拟化保护
　　利用几维安全独有KiwiVM代码虚拟化保护对So核心代码逻辑进行保护，保护关键协议代码和通信模块。
　　Android APK完整性保护
　　加固通过对APP安装包所有文件内容做交叉校验，并且做校验数据及校验代码做加密保护，可以及时检测到APP是否是原有官方版本，并阻止非官方版本启动运行。
　　APP动态运行防护
　　加固提供的动态防御技术以反调试保护为基础，同时针对关键函数及环节做监控，借助于轮询查看，主动侦测等方法，保护移动APP在运行时的安全。
　　APP本地文件及数据加密保护
　　通过安全SDK在Android文件系统层实现的透明化数据加密机制，有效的对所有资源文件读写操作做保护。
　　T-BOX防护
　　固件协议代码保护
　　利用MBS块调度或KiwiVM代码虚拟化保护技术进行固件协议模块保护
　　固件数据加密
　　通过几维安全SDK对终端数据进行安全加密存储，关键密钥隐藏于KiwiVM虚拟机中。
　　固件完整性校验算法保护
　　对固件完整性校验等关键算法进行MBS块调度或KiwiVM代码虚拟化保护，避免攻击者绕过校验逻辑。
　　通信安全
　　通信数据加密
　　使用基于KiwiVM代码虚拟化保护技术的白盒密钥SDK，密钥隐藏于虚拟机中，隐藏算法逆向特征，使得密钥无法提取及解密数据。
　　通信数据校验
　　通过几维安全基于通信协议加密SDK的验签功能，通过hash函数生成签名，通过KiwiVM隐藏算法特征和校验过程。