車(chē)載終端信息安全威脅與防范

(6)重放

缺少對所收到消息的時(shí)效性的驗證，使利用重放攻擊而導致的汽車(chē)安全事件屢屢發(fā)生。攻擊者通過(guò)竊聽(tīng)獲得重要的消息，并在自己需要的時(shí)候，再次發(fā)送，從而進(jìn)行非授權的任意操作。

2.2 按照攻擊者發(fā)起的位置對威脅進(jìn)行分類(lèi)

(1)遠車(chē)攻擊

攻擊者通過(guò)網(wǎng)絡(luò )發(fā)起的攻擊，包括通過(guò)攻擊汽車(chē)各網(wǎng)絡(luò )應用平臺，攻擊相應的手機APP，或者在通信網(wǎng)絡(luò )中采取各種措施的攻擊(見(jiàn)圖1)。

這類(lèi)攻擊成本低，突破環(huán)節多，威脅發(fā)生的可能性高。攻擊者也會(huì )SQL注入有安全漏洞的Web服務(wù)器端，監聽(tīng)通信信道，甚至利用車(chē)載終端遠程通信協(xié)議中的漏洞，比如用于車(chē)載終端與遠程呼叫中心通信的AQLINK協(xié)議中缺少控制信息包長(cháng)的檢驗，或者隨機數缺陷等漏洞，發(fā)起攻擊。已經(jīng)出現的安全事件包括車(chē)載智能系統“Uconnect”被攻破，黑客可以實(shí)現遠程控制汽車(chē)剎車(chē)、油門(mén)和方向盤(pán)，為此克萊斯勒在美國緊急召回了140萬(wàn)輛汽車(chē)。

(2)近車(chē)攻擊

攻擊者在車(chē)附近，通過(guò)短距離通信的各種協(xié)議，與車(chē)輛建立網(wǎng)絡(luò )連接，訪(fǎng)問(wèn)車(chē)輛的信息系統(見(jiàn)圖2)。

既包括通過(guò)Wi-Fi或者藍牙協(xié)議的連接，也包括使用RKE，胎壓監測、RFID車(chē)鑰匙的應用，甚至攻擊者已經(jīng)開(kāi)始分析802.11p或者DSRC等新興的，用于車(chē)車(chē)通信的短距離通信協(xié)議。2015年就有國內安全團隊繞過(guò)幾款車(chē)的門(mén)鎖遙控滾碼機制，演示了非授權開(kāi)車(chē)門(mén)的試驗。

(3)車(chē)內攻擊

是指攻擊者已經(jīng)可以連接到車(chē)內系統的各接口，包括用于診斷的OBD接口，車(chē)載終端提供的USB接口，或者能插入SD卡、CD、DVD的存儲介質(zhì)(見(jiàn)圖3)。這些接口和讀取存儲介質(zhì)的系統都與車(chē)內總線(xiàn)相連，同時(shí)總線(xiàn)也連接了汽車(chē)的各ECU。

例如，攻擊者通過(guò)特別的硬件裝置連接到OBD接口，同時(shí)硬件裝置與電腦通過(guò)USB或者Wi-Fi進(jìn)行連接，電腦就接入了車(chē)內總線(xiàn)，可以發(fā)起探測和攻擊。也有試驗證明，攻擊者也可以通過(guò)惡意構造的音頻或者視頻文件，對車(chē)載終端進(jìn)行破解。這種攻擊的前提是知道播放器等應用的安全漏洞

3、車(chē)載終端發(fā)展趨勢和防范重點(diǎn)

隨著(zhù)車(chē)載終端處理能力的發(fā)展，其功能也將T-Box和Infotainment進(jìn)行了融合。車(chē)載終端本身代碼量的增加，與車(chē)輛電子電氣系統的網(wǎng)絡(luò )連通，與云端信息的交互，終端升級機制的簡(jiǎn)化，這些車(chē)載終端發(fā)展的趨勢以及威脅的特點(diǎn)、威脅發(fā)生的位置等因素決定了圍繞車(chē)載終端和針對其自身的安全機制的使用和安全防范的重點(diǎn)。應在車(chē)載終端設計開(kāi)發(fā)的過(guò)程中，使用科學(xué)的方法，實(shí)現真正的安全措施實(shí)施。

3.1 加強車(chē)載終端文件系統完整性校驗

采用完整性校驗手段對關(guān)鍵代碼或文件進(jìn)行完整性保護。例如，在硬件的特殊分區中，保存一份當前操作系統的指紋信息，定期對指紋信息進(jìn)行校驗，確認操作系統關(guān)鍵文件未被修改。

車(chē)載智能終端硬件安全引導應提供安全機制，保證只能加載可信的車(chē)載操作系統內核組件。例如，操作系統的鏡像需要進(jìn)行廠(chǎng)商簽名。在車(chē)載系統啟動(dòng)時(shí)，需要進(jìn)行簽名驗證，以發(fā)現對操作系統內核的非法篡改。

3.2 與云端通信的信道安全

車(chē)載終端與外部通信，應保證所使用信道安全。例如，使用支持網(wǎng)絡(luò )側和終端側雙向鑒權的SIM解決方案，并且在基帶處理中，增加對偽基站識別分析的能力，拒絕接入偽基站。在車(chē)載終端和TSP平臺建立相應的VPN/VPDN/專(zhuān)用APN等，使車(chē)聯(lián)網(wǎng)系統使用相對的專(zhuān)用網(wǎng)絡(luò )，利用加密機制和完整性校驗等技術(shù)手段，對抗竊聽(tīng)、偽造等多種攻擊。同時(shí)，加強云端服務(wù)器安全，嚴格訪(fǎng)問(wèn)控制策略，加強用戶(hù)權限設置管理，對口令強度采取必要要求，定期漏洞修補，從而保證平臺測安全。

3.3 車(chē)內安全域隔離和訪(fǎng)問(wèn)控制

車(chē)載終端與車(chē)內各電子電氣系統劃分安全域，每個(gè)安全域有只屬于自己的，不能偽造的標示，并通過(guò)相應的密鑰對所傳輸的數據進(jìn)行加密和完整性保護。增加獨立的安全通信模塊，內置集成高性能密碼安全芯片和安全操作系統，負責密鑰管理。必要時(shí)，在車(chē)載終端與車(chē)內電子電氣系統總線(xiàn)之間添加串行防火墻，對車(chē)載終端傳送到各ECU的指令進(jìn)行檢查，滿(mǎn)足安全性要求再傳遞。

車(chē)載終端自身內核強制訪(fǎng)問(wèn)控制：對用戶(hù)(或其他主體)與文件(或其他客體)標記固定的安全屬性(如安全級、訪(fǎng)問(wèn)權限等)，在每次訪(fǎng)問(wèn)發(fā)生時(shí)，系統檢測安全屬性，確定用戶(hù)是否有權訪(fǎng)問(wèn)該文件。

3.4 車(chē)載終端應用程序安全

必須對應用程序在運行過(guò)程中使用的文件訪(fǎng)問(wèn)權限進(jìn)行控制。對于使用客戶(hù)端數據庫存儲數據的車(chē)載終端，應限制數據庫訪(fǎng)問(wèn)權限。敏感信息需采用安全方式加密存儲，包括計算哈希值、對稱(chēng)加密、非對稱(chēng)加密等等技術(shù)手段。

應用程序自身應采取加殼、代碼混淆等適用的對抗逆向安全分析方法的保護，防止攻擊者查找系統漏洞加以利用。

對于程序所收集、產(chǎn)生的用戶(hù)數據應通過(guò)計算哈希值方式進(jìn)行保護時(shí)，應在計算的源數據中加入隨機數據，防止敏感信息的哈希值被重放利用。使用對稱(chēng)加密、非對稱(chēng)加密等加密算法對敏感信息進(jìn)行保護時(shí)，應使用健壯的加密算法，并使用足夠長(cháng)度的加密密鑰。

3.5 終端升級的安全機制

車(chē)載終端對更新請求應具備自我檢查能力，車(chē)載操作系統在更新自身分區或向其他設備傳輸更新文件和更新命令的時(shí)候，應能夠及時(shí)聲明自己的身份和權限。升級操作應能正確驗證服務(wù)器身份，識別出偽造的服務(wù)器，或者是高風(fēng)險的鏈接鏈路。升級包在傳輸過(guò)程中，通過(guò)報文簽名和加密，防篡改和偽造。

3.6 加強安全審計安全

車(chē)載終端應具備記錄所有用戶(hù)訪(fǎng)問(wèn)日志的功能，便于進(jìn)行適當的審計和監控。在完成安裝時(shí)應開(kāi)始記錄所有用戶(hù)(特別是具有管理權限的用戶(hù))的訪(fǎng)問(wèn)。車(chē)載終端的日志記錄功能應能自動(dòng)啟動(dòng)，并將日志文件定向到統一的外部服務(wù)器，便于審計。