智能网联汽车信息安全专业体系交流培训会简述

汽车的发展史从机械时代进入到电子时代大约始于60年代,从边缘设备的电气控制,至80年代开始加速,通过ECU实现各种功能的控制,受制于通信技术的局限,ECU通信的CAN总线首先处理能力具有比较大的制约,传输的速度和效率不高,初始阶段内部通信的要求,并未考虑数据的机密性,完整性校验,也未考虑通信ECU间的身份识别与认证,在加速电气化的过程中,也有新的通信总线技术出现,LIN,CANX等解决传输的效率问题。通信、计算机、网络技术的发展,进一步加速汽车的电气化进程,基于以太网的总线结构开始出现尝试,同时,基于娱乐系统和车载通信系统,以及通过OBD接口的远程诊断,ECU的OTA升级需求,开始出现基于无线通信的远程服务,需求的满足通过tbox车载通信终端出现,与汽车本身总线系统的对接,通过网关实现隔离保护。随着5G无线高速通信技术的发展,v2x逐渐进入人们的视野,通过OBU、RSU等通信服务,实现智能交通系统,车辆的交通属性基础上增加了增值的商业服务成为可能。网联汽车的发展,同样对车辆本身的电气化和软件化带来了革命性的影响。从传统的ECU总线模式,开始进化为中心化的超级车载计算机vcu架构,基于功能分区的分布式节点的zong架构。

目前机制下,汽车终端CAN总线依然是主流,如何做到CAN总线的安全保护,autosar作为主流车厂的联盟,在汽车的架构设计层面,在推动车辆自身的信息安全保障体系建设,通过autosar secoc来实现安全总线的安全保障方案,借鉴网络防火墙的包过滤,入侵检测实现非法ECU通信的过滤和拦截,通过加密和认证实现端到端的安全通信,通过访问控制实现安全策略与访问控制,一定程度上解决CAN缺少信息安全设计的问题。autosar的设计中,包含加密服务模块管理,加密接口、加密驱动和secoc的软件功能,基于公钥密码算法技术的实现,在加密和签名环节的应用,再遇到CAN总线通信限制的时候,做了数据截取的处理,为了性能着想,通过新鲜度实现抗重放攻击,通过签名实现完整性验证,未做机密性的实现。

2015年几大车厂ECU软件功能的召回事件促进了OTA远程更新ECU的需求,而去年某互联网汽车品牌高速路旁的更新事故引起了大众对OTA更新对安全影响的关注,从英飞凌给出的方案来看,基于SW2.0的OTA更新信息安全设计,首先ECU厂商在ECU内内置厂商公钥和对称密钥,ECU需要更新时由厂商试用对称密钥加密相应的hex-file文件,并使用私钥进行签名,交付给OEM厂商,OEM厂商通过OTA云服务,产生对称密钥对,试用对称密钥加密厂商的OTA升级包,在使用tbox的tpm公钥加密对称密钥,把相应整包文件通过TLS/SSL通道发送给TBOX,TBOX试用TPM私钥解密对称密钥,然后解密OTA升级包,发送给安全网关,安全网关路由给对应的ECU,由ECU验证厂商签名,试用对称密钥解密后,升级相应的ECU软件。在这个过程中从性能角度考虑,ECU额外存储功能或缓存功能,可以加速升级时间,但会带来成本的提升。这个方案有两个环节,第一个是OEM私有云通过TLS实现TBOX的加密通信,是否做双向的认证,另外是否在应用层考虑OEM厂商私钥签名由TBOX验证,方案未提及。另外,有车厂提出ECU签名验证的处理能力的问题,有改变的做法是通过网关做相应的验证和解密操作,这个倒可以和autoSar方案的secoc的功能结合。

从国汽的漏洞利用统计分析来看,目前的信息安全攻击在车辆端包括度量里程的修改,驾驶记录的修改和敏感测试数据的窃取,对ECU的限速,功能限制的修改和利用,对有价值单元的窃取,对娱乐系统的外部网路链接,版权盗取,未授权功能的激活,利用OBD接口修改安全参数,修改内部通信,盗取知识产权,对车内网络通信劫持信息,破坏安全功能。在联网汽车的云端,对车厂可信服务平台,后端服务平台,第三方内容服务平台,互联网内容服务平台通过sql注入、XSS等方式实施拒绝服务,远程控制,数据泄露,等攻击。

在政策分析来看,国汽分析国内政策网联汽车信息安全目前重点关注OTA安全和车辆召回问题,正在规划相关国家级平台。另外在功能安全范围内,关注交通安全,路测基础设施安全,企业准入,产品准入,零部件安全,车辆安全监控,应急响应范畴。在信息安全范畴内,关注车内通信安全,手机应用安全,车云通信安全,云安全。

在网联汽车信息安全的体系化解决方案层面,国汽首先提出最小权限原则,软件逻辑基础的隔离主要借鉴浏览器的模式,复杂MMU的隔离基于Arm trustzone的理念,系统基础的隔离(虚拟机概念的引入)提的是黑莓的QNX概念,在与性能和安全平衡的层面又有autosar等不同的取舍方案,系统硬件基础隔离(TEE)、硬件基础隔离(HSM、TPM、SE)、子系统隔离。其次提出借鉴了安全分层的纵深防御概念,在AUtosar、freevision、in-vehicle& back-end architetecture的汽车分层模型基础上,SAE、NHIST、bosch、escypt、nxp包括国内的上汽、奇瑞都提出了相应安全防护模型。另外,提出了同样是借鉴了互联网安全模式的零信任和持续自适应评估的概念,未展开陈述。
国汽通过分析安全的需求层面的发展趋势,安全观逐渐改变,数据驱动的安全可视化,产业间的协同,产品开发安全过程管理等,提出了全生命周期的安全流程体系建设,和汽车安全信息共享分析与协作平台,希望在产业链整合与合作层面有所促进。

从标准化体系建设来看,中国网络安全产品审查与认证中心认为,网联汽车信息安全标准在国标委的统筹下分别属于TC260信息安全工作组的范畴和TC114汽车标准化工作组的范畴,从对相关法律法规政策解读层面来看,网联汽车的信息安全尚未纳入国家信息基础设施的建设,但目前中国汽车工程协会与国汽公司正在推动与中国网络安全产品审查与认证中心的对接工作,而且从业务发展的角度来看,网联自动化汽车以及后续的智能交通的实现,网联汽车信息安全建设势必会纳入到国家信息基础设施安全保障的范围。另外,对于TC114汽车标准化工作组的信息安全已经报批的标准来看,往往缺少检测和认证的相关标准,从审查和认证的角度,仅有技术要求,落实和操作均存在一定的困难。另外,在一定阶段内,汽车的信息安全标准纳入到强制性标准可能性不大。同时,两个组之间的协调沟通工作对避免标准的冲突十分必要。

发表评论

电子邮件地址不会被公开。 必填项已用*标注