導(dǎo)讀:目前,智能化、網(wǎng)聯(lián)化、電動化是汽車發(fā)展的大趨勢,各大汽車企業(yè)與互聯(lián)網(wǎng)公司積極開展合作,共同開啟云端新時代。與此同時,針對智能網(wǎng)聯(lián)汽車的攻擊事件卻頻繁發(fā)生,使得汽車網(wǎng)絡(luò)信息安全問題日益凸顯。
針對汽車網(wǎng)絡(luò)信息安全問題,梅賽德斯-奔馳汽車公司于2017年便與360集團建立了合作關(guān)系,360集團智能網(wǎng)聯(lián)汽車安全實驗室Sky-Go團隊發(fā)現(xiàn)了梅賽德斯-奔馳智能網(wǎng)聯(lián)汽車存在的 19 個安全漏洞并加以修復(fù)。在2018年比亞迪全球開發(fā)者大會上,比亞迪與360集團正式簽訂戰(zhàn)略合作協(xié)議,共同探討解決智能汽車的信息安全與網(wǎng)絡(luò)安全問題。Ju 等研究了以太網(wǎng)在汽車車載網(wǎng)絡(luò)的應(yīng)用以及對未來汽車電子電氣(E/E)體系結(jié)構(gòu)的預(yù)期。Wampler 等針對 CAN 總線提出了相應(yīng)的通用安全解決方案。Lee 等通過對汽車進行攻擊實驗,驗證了汽車的網(wǎng)絡(luò)脆弱性以及建立安全解決方案的緊迫性。Chen 等參照傳統(tǒng)信息系統(tǒng)的分類安全防護評估標(biāo)準(zhǔn),建立了車輛信息系統(tǒng)分類安全防護評估系統(tǒng)。Haas 等研究利用人工神經(jīng)網(wǎng)絡(luò)建立聯(lián)網(wǎng)汽車入侵檢測模型,實現(xiàn)對攻擊數(shù)據(jù)的過濾。
上述研究均是針對汽車網(wǎng)絡(luò)信息安全展開的,但是針對智能網(wǎng)聯(lián)汽車系統(tǒng)的網(wǎng)絡(luò)信息安全防護方案尚未提出。
本文從汽車車載網(wǎng)絡(luò)信息安全的角度出發(fā),提出一種汽車車載網(wǎng)絡(luò)通信安全架構(gòu)方案,該方案通過構(gòu)建多域分層入侵檢測模型,實現(xiàn)預(yù)防—檢測—預(yù)警的完整安全防護體系。
一、域集中式電子電氣架構(gòu)
如今,智能網(wǎng)聯(lián)汽車的功能越來越豐富,相應(yīng)搭載的電子控制單元(electronic control unit,ECU)的數(shù)量也隨之增多,繼而與云端、第三方 APP 等信息交互的遠程通信也在增多,這也使得利用云端、第三方軟件實施攻擊的可能性增大。如果采用傳統(tǒng)汽車分布式電子電氣架構(gòu),數(shù)量過多的 ECU 不僅會產(chǎn)生復(fù)雜的線束設(shè)計和邏輯控制問題,同樣也給汽車網(wǎng)絡(luò)信息安全增添隱患。這些問題的出現(xiàn),都說明了現(xiàn)代汽車分布式電子電氣架構(gòu)需要進行改革。美國汽車工程師學(xué)會推出了 J3061TM《信息物理融合系統(tǒng)網(wǎng)絡(luò)安全指南》,旨在通過統(tǒng)一全球標(biāo)準(zhǔn),推動汽車電氣系統(tǒng)與其他互聯(lián)系統(tǒng)之間安全流程的建立。本文參照《車輛傳統(tǒng)系統(tǒng)功能安全標(biāo)準(zhǔn) ISO26262》定義的流程,制定車輛信息安全架構(gòu)圖如圖 1 所示。
圖 1 車輛信息安全架構(gòu)圖
車輛信息安全架構(gòu)主要由信息安全管理、核心信息安全工程活動以及支持過程 3 大部分構(gòu)成。信息安全管理包括綜合管理和生命周期各階段的信息安全管理。核心信息安全工程活動包括了概念階段,整車系統(tǒng)、軟硬件層面的開發(fā)階段及生產(chǎn)運營階段等。在概念階段制定整個安全項目計劃,包括識別網(wǎng)絡(luò)安全邊界、系統(tǒng)外部依賴關(guān)系、系統(tǒng)潛在威脅分析以及評估。在開發(fā)階段,對整車系統(tǒng)的脆弱性和威脅性進行風(fēng)險分析,制定信息安全需求與策略,在開發(fā)階段完成后進行滲透測試,完成最終的安全審計。生產(chǎn)運營階段主要對產(chǎn)品進行現(xiàn)場監(jiān)控、事件響應(yīng)以及之后的時間跟蹤管理。支持過程階段主要對以上階段進行輔助支持,包括相應(yīng)的配置管理、文檔管理和供應(yīng)鏈管理等。
車輛信息安全開發(fā)框架如圖 2 所示。系統(tǒng)開發(fā)設(shè)計階段是車輛信息安全實現(xiàn)的基礎(chǔ),而車輛信息安全系統(tǒng)設(shè)計又依附于汽車電子電氣架構(gòu)(electronics/ electrical,E/E)系統(tǒng)設(shè)計。因此,應(yīng)對汽車網(wǎng)絡(luò)信息安全漏洞進行排查,包括與外部環(huán)境(如云服務(wù)器、其他車輛和基礎(chǔ)設(shè)施)的連接、與車載網(wǎng)絡(luò)的連接、與 ECU 級別的連接和單個組件的連接等,構(gòu)建安全級別更高的 E/E 系統(tǒng),從系統(tǒng)層面提高安全性。在測試階段,對車輛信息安全功能檢查測試,進行安全評估,驗證車輛信息安全架構(gòu)的安全性。在整體車輛信息安全開發(fā)過程中,應(yīng)當(dāng)將硬件設(shè)計和軟件設(shè)計協(xié)調(diào)開發(fā),同時考慮到軟硬件的安全可靠性,共同實現(xiàn)網(wǎng)絡(luò)安全。
圖 2 車輛信息安全開發(fā)框架圖
以特斯拉汽車為例,分析汽車 E/E 架構(gòu)方案。特斯拉汽車作為汽車 E/E 架構(gòu)變革的帶頭人,Model 3 的電子電氣架構(gòu)分為 3 大部分:中央計算模塊(CCM)、左車身控制模塊(BCM_LH) 和右車身控制模塊(BCM_RH)。CCM 直接整合了駕駛輔助系統(tǒng)(ADAS) 和信息娛樂系統(tǒng)(IVI)2 大功能域,同時包括對外通信和車內(nèi)系統(tǒng)域通信的功能;BCM_LH 和 BCM_RH 分別負責(zé)車身與便利系統(tǒng)、底盤與安全系統(tǒng)和部分動力系統(tǒng)的功能。3大模塊均采用高性能處理器,能夠滿足功能域內(nèi)的大量計算需求,域內(nèi)其余 ECU 僅控制汽車外圍設(shè)備,域內(nèi)各系統(tǒng)通過局域網(wǎng)進行通信, 而模塊之間通過總線進行通信,實現(xiàn)了基本的安全隔離。
汽車域集中式電子電氣架構(gòu)的出現(xiàn),為信息安全以及算力不足的問題提供了解決方案。汽車域集中式電子電氣架構(gòu)指的是將汽車根據(jù)功能劃分為若干個功能塊,每個功能塊以域控制器為主導(dǎo)搭建,各個功能域內(nèi)部通信可根據(jù)不同功能的通信速率需求采用不同種類的通信總線,如 CAN、LIN、FLEXRAY、MOST 等總線,各個功能域之間的通信通過傳輸速率更高的以太網(wǎng)實現(xiàn)信息交換,域集中式電子電氣架構(gòu)圖如圖 3 所示。域控制器主要負責(zé)傳遞域與云、域與域以及域內(nèi)部的通信。域內(nèi) ECU 僅負責(zé)相應(yīng)執(zhí)行器件的操作指令,采用帶有通信功能的控制器即可。
圖 3 域集中式電子電氣架構(gòu)圖
根據(jù)我國國情,智能網(wǎng)聯(lián)汽車域集中式電子電氣架構(gòu)結(jié)合了智能化、網(wǎng)聯(lián)化、電動化 3 大部分的應(yīng)用。
相較于以前的汽車分布式電子電氣架構(gòu),針對算力不足方面,域控制器作為每個域的獨立控制器,其內(nèi)部需匹配一個核心運算力強的處理器,以滿足智能網(wǎng)聯(lián)汽車對算力的要求,目前業(yè)內(nèi)有 NVIDIA、華為、瑞薩、NXP、TI、Mobileye、賽靈思、地平線等多個品牌方案。在安全防護方面,域集中式架構(gòu)將車輛根據(jù)功能及通信速率要求分為若干個獨立功能模塊,若攻擊者想要通過某一功能對整車進行攻擊,該功能所在的域控制器可以及時監(jiān)測并排除隱患,不會影響其他功能域,有效減少了攻擊面擴大的可能性。
二、智能網(wǎng)聯(lián)汽車面臨的信息安全威脅分析
隨著車輛連通性功能的極大擴展,導(dǎo)航定位、自動泊車、遠程控制及診斷等功能已逐漸成為汽車的標(biāo)配。這些功能帶給人們極大便利的同時,也帶來了更多安全隱患。
根據(jù)遭受攻擊的方式不同,智能網(wǎng)聯(lián)汽車安全隱患由遠及近可劃分為以下 4 個方面:
(1)云端層安全隱患。云平臺存儲著汽車關(guān)鍵信息,能夠給汽車提供路況信息、定位導(dǎo)航、報警、遠程控制等,如果云平臺遭到黑客攻擊,大量重要數(shù)據(jù)外泄,后果不堪設(shè)想。
(2)網(wǎng)絡(luò)傳輸層安全隱患。智能網(wǎng)聯(lián)汽車通過無線通信的方式實現(xiàn)與云平臺、移動端 APP、其他車輛、交通狀況等數(shù)據(jù)的信息交互,而無線通信方式可能存在著身份認(rèn)證、數(shù)據(jù)信息加密、協(xié)議等安全問題,因此汽車也有相應(yīng)的安全隱患。
(3)車載通信層安全隱患。隨著車輛外部接口的增多,車輛內(nèi)部通信過程中電子控制單元固件的安全隱患、數(shù)據(jù)傳輸過程中的安全隱患也隨之增多。
(4)外部接口安全隱患。目前市場上有很多第三方 APP,APP 種類繁雜,其安全防護也是消除隱患的重要一環(huán)。如果黑客入侵 APP,甚至可以直接遠程操控汽車。除此之外,電動汽車的充電槍與充電樁之間通信接口也存在安全隱患,一旦遭到攻擊,電動汽車的能源系統(tǒng)遭到破壞,可能會帶來生命危險。
三、汽車車載信息安全隱患分析
(1)車載智能終端(車載 T-BOX)攻擊
車載 T-BOX 主要用于車與車聯(lián)網(wǎng)服務(wù)平臺的通信,具有車輛遠程控制、遠程查詢、報警等功能。正常情況下,車載 T-BOX 通過讀取車載內(nèi)部 CAN 通信數(shù)據(jù)信息,并通過無線通信方式將信息傳遞至云平臺或 APP。車載 T-BOX 的安全隱患主要有 3 個方面:一是固件逆向,攻擊者通過逆向解析車載 T-BOX 固件,獲取密鑰,解密通信協(xié)議;二是通過車載 T-BOX 的預(yù)留調(diào)試接口讀取內(nèi)部數(shù)據(jù)并進行分析,解密通信協(xié)議;三是通過仿冒云平臺的控制指令,將指令發(fā)送到汽車內(nèi)部,實現(xiàn)對汽車的遠程控制。
(2)車載信息娛樂系統(tǒng)(IVI)攻擊
車載信息娛樂系統(tǒng)用于導(dǎo)航、路況播報、車輛信息、通訊、輔助駕駛、CD/收音機等的應(yīng)用。由于車載信 息娛樂系統(tǒng)的功能豐富,攻擊者既可以通過 USB、藍牙、Wi-Fi 等通信方式進行攻擊,也可以通過軟件升級獲得訪問權(quán)限對系統(tǒng)進行攻擊。
(3)診斷接口 OBD-Ⅱ攻擊
汽車診斷接口 OBD-Ⅱ是汽車 ECU 與外部進行交互的接口,其主要功能是讀取車輛的數(shù)據(jù)信息和故障碼,用以車輛維修。OBD-Ⅱ接口一旦遭到攻擊,不僅可以通過該接口破解汽車內(nèi)部通信協(xié)議,而且還可 以通過植入惡意硬件發(fā)送控制指令實現(xiàn)對車輛的控制。
(4)傳感器攻擊
智能網(wǎng)聯(lián)汽車擁有大量的傳感器設(shè)備,用于車與車、車與人、車與路、車與云的通信。如果傳感器遭受惡意信息注入、竊聽等攻擊,高自動化車輛可能會無法正確判斷周圍環(huán)境行為,造成嚴(yán)重后果。
(5)車內(nèi)網(wǎng)絡(luò)傳輸攻擊
汽車內(nèi)部網(wǎng)絡(luò)通信大多采用 CAN 總線傳輸,CAN總線具有成本低、通信速率適中、抗電磁干擾能力強等特點,因此被廣泛應(yīng)用于汽車電控系統(tǒng)。但 CAN 總線采用非破壞性總線仲裁方式,具有校驗簡單、一發(fā)多讀等特點,安全防護措施薄弱,攻擊者若通過 CAN 總線進行報文重放、拒絕服務(wù)、篡改等方式進行攻擊, 將導(dǎo)致駕駛員控制指令失效、汽車無法正常行駛的后果。
四、汽車車載通信安全解決方案
在智能網(wǎng)聯(lián)汽車信息安全防護方面,根據(jù)攻擊發(fā)生的不同過程,分別建立主動防護、入侵監(jiān)測、應(yīng)急處理的系統(tǒng)安全防護措施,保障汽車的信息安全。在攻擊發(fā)生前,做好主動防護,對汽車的通信數(shù)據(jù)進行篩查過濾,對常見的攻擊方法有效防范。攻擊發(fā)生后,持續(xù)監(jiān)測汽車通信狀態(tài)的變化,及時對攻擊點采取應(yīng)急措施并及時更新,防止危險的發(fā)生。
根據(jù)目前對汽車信息安全技術(shù)適用性模型的分析,結(jié)合全新的汽車域集中式電子電氣架構(gòu),構(gòu)建車載多域分層入侵檢測模型,針對云端層、域控制器層、ECU 層、車內(nèi)網(wǎng)絡(luò)傳輸層進行分層入侵檢測,采取對應(yīng)的主動防護措施,以達到精準(zhǔn)防護的效果。多域分層入侵檢測示意如圖 4 所示。
圖 4 多域分層入侵檢測示意圖
(1)域控制器層
新架構(gòu)方案中,域控制器既是整個域的計算集成平臺,也是域與域、域與云端之間進行信息交流的網(wǎng)關(guān)。域控制器作為汽車內(nèi)外網(wǎng)絡(luò)信息交互的安全邊界,是汽車車載網(wǎng)絡(luò)安全防護的重點。因此,在安全邊 界建立安全防火墻,對數(shù)據(jù)信息進行安全檢測、訪問限制、日志記錄等安全性檢測,以實現(xiàn)安全防護。
汽車的通信報文由 ID、數(shù)據(jù)信息、校驗位等部分組成。ID 確定報文的傳輸優(yōu)先級和目的地址,數(shù)據(jù)信息確定操作指令,校驗位確保傳輸?shù)臄?shù)據(jù)信息完整。
安全防火墻的主要作用是實現(xiàn)訪問控制功能,汽車安全防火墻框架圖如圖 5 所示。
圖 5 安全防火墻框架圖
防火墻訪問控制功能的實現(xiàn)主要基于建立汽車通信報文的白名單數(shù)據(jù)庫,一旦檢測到報文請求,將報文 ID 與白名單數(shù)據(jù)庫進行比對,匹配成功則通過,失敗則丟棄。
防火墻的異常檢測技術(shù)有多種,常見的檢測技術(shù)包括入侵異常檢測方法,基于神經(jīng)網(wǎng)絡(luò)、聚類、遺傳算法,基于信息熵、關(guān)聯(lián)規(guī)則等。入侵異常檢測方法主要通過對大量正常行駛的汽車的通信數(shù)據(jù)進行分析,構(gòu)建汽車通信網(wǎng)絡(luò)安全模型,并用該模型監(jiān)視用戶及系統(tǒng)的行為,分析是否存在異常的非法數(shù)據(jù)活動,并向用戶報警記錄。汽車報文分為周期報文和事件觸發(fā)報文,入侵異常檢測技術(shù)可以根據(jù)不同情況建立模型。周期報文是通過設(shè)定報文周期閾值構(gòu)建入侵檢測模型,將報文周期與閾值對比進行判定;事件觸發(fā)報文沒有固定的發(fā)送周期,但多數(shù)報文的操作指令相互關(guān)聯(lián),如汽車的車速信號與剎車信號存在負相關(guān)關(guān)系,油門踏板信號與車信號存在正相關(guān)關(guān)系。因此, 通過大量的數(shù)據(jù)分析構(gòu)建通信報文正/負相關(guān)入侵檢測模型,一旦報文關(guān)聯(lián)出現(xiàn)較大的偏差,則判定為入侵行為并報警。由于汽車車載芯片的計算能力不足以同時實現(xiàn)安全性與實時性的最大化,因此現(xiàn)采用的入侵檢測的方法需要在保證實時性的基礎(chǔ)上,對入侵進行有效檢測,目前針對汽車車載報文流量監(jiān)測是最為有效的辦法。安全防火墻中訪問控制、通信標(biāo)準(zhǔn)檢測、異常分析的入侵檢測流程如 6 所示。
圖 6 入侵檢測流程
(2)車內(nèi)網(wǎng)絡(luò)層
每個域內(nèi)網(wǎng)絡(luò)傳輸安全是安全防護機制的第二道防線。根據(jù)功能域所需要的通信要求的不同,采用的車載傳輸網(wǎng)絡(luò)也有所不同。目前,除了信息娛樂系統(tǒng)以外,大都采用 CAN 總線通信。CAN 總線的廣播特性、非破壞性總線仲裁方式等導(dǎo)致安全防護薄弱,因此需要制定通信安全協(xié)議。
通信安全協(xié)議的設(shè)計主要由 ECU 節(jié)點的校驗和傳輸數(shù)據(jù)信息的加密 2 部分組成。在汽車行駛前,域控制器隨機分配每個 ECU 的身份,ECU 要向域控制器發(fā)送認(rèn)證請求,進行身份認(rèn)證,從而保證節(jié)點的合法性,完成 ECU 節(jié)點的校驗。汽車行駛過程中,車載網(wǎng)絡(luò)的通信信息需要加密,以防攻擊者竊聽、偽裝。結(jié)合汽車對實時性要求高的特點,數(shù)據(jù)加密采用 AES 對稱加密算法。ECU 身份認(rèn)證流程如圖 7 所示,CAN 通信加密報文格式如圖 8 所示。
圖 7 ECU 身份認(rèn)證流程
圖 8 CAN 通信加密報文格式
對稱加密計算量小、速度快,適用于汽車大數(shù)據(jù)通信。對稱加密算法中,加密方和解密方事先都必須知道加密的密鑰,發(fā)送和接收雙方都使用該密鑰對數(shù)據(jù)進 行加密和解密。基于對汽車數(shù)據(jù)的安全性和實時性的 要求,可以根據(jù)已校驗成功的 ECU ID 以及數(shù)據(jù)發(fā)送 ECU 和接收 ECU,建立獨立的加密表作為密鑰對數(shù)據(jù)進行加密,并根據(jù)對汽車實時性的驗證,相應(yīng)調(diào)整加密表的加密難易度,最大化地保證數(shù)據(jù)的安全。
(3)ECU 層
ECU 層面的安全防護主要是固件防護,實現(xiàn)防止固件刷寫、外界訪問、惡意更改等功能。考慮到成本問題,根據(jù)不同功能的 ECU 需分配不同等級的安全防護措施。硬件安全模塊是一種用于保護和管理強認(rèn)證系統(tǒng)所使用的密鑰,并同時提供相關(guān)密碼學(xué)操作的計算機硬件設(shè)備。車身域 ECU 采用輕量級硬件安全模塊,動力域 ECU、信息娛樂域 ECU、輔助駕駛域均采用中量級硬件安全模塊,而車身域控制器、動力域控制器、信息娛樂域控制器和輔助駕駛域控制器均采用重量級硬件安全模塊。
五、結(jié)語
本文從智能網(wǎng)聯(lián)汽車的發(fā)展出發(fā),聚焦了智能網(wǎng)聯(lián)汽車的信息安全隱患問題,對汽車車載網(wǎng)絡(luò)信息安全的防護進行了分析,建立汽車域集中式電子電氣架構(gòu),提出了從防護到入侵檢測、從數(shù)據(jù)加密到硬件加密的完整信息安全防護模型的初步可行性方案架構(gòu),未來仍需通過實例對方案進行更進一步的論證。
來源:旺材汽車電子 本文由金星辰,方沂,徐征聯(lián)合創(chuàng)作
