罗璎珞 中国信息通信研究院泰尔终端实验室工程师方 强 阿里巴巴(北京)软件服务有限公司资深专员
车载终端信息安全威胁与防范
罗璎珞中国信息通信研究院泰尔终端实验室工程师
方强阿里巴巴(北京)软件服务有限公司资深专员
随着车联网的迅速发展,车载终端的应用越来越广泛,也增加了对各种信息安全威胁的暴露,形成了针对车载终端功能特点的安全需求。本文从多个角度分析了车载终端所面临的各种信息安全威胁,总结了信息安全需求,并提出相应的技术方法措施。
车载终端;安全需求;安全威胁
随着汽车电子和互联网的不断发展,车载终端正在快速向智能化、网联化方向演进,不仅承担越来越多的车身控制、电子电气系统控制的功能,也为包括驾驶员和乘客在内的车辆使用人员提供丰富的信息娱乐服务。在功能不断增加的同时,其使用过程中的安全问题被越来越多的用户所关注。相对于原来封闭的车内电子电气系统网络,能够与互联网连接的车载终端,无论其本身的功能是T-Box还是Infotainment,或者是两者的融合和升级,信息安全风险都会大大增加。近年来,由于信息安全疏忽导致的车辆安全事件屡有发生,甚至导致汽车厂商大量召回。为了探究车载终端的信息安全问题,保证其良性健康的发展,有必要对车载终端的安全威胁和安全需求进行分析和探讨,从而深入研究所需要的关键安全技术。本文针对车载终端系统的信息安全需求进行分析,对威胁进行分类,并提出满足需求对抗威胁的相应的技术防范措施。
车载终端的出现和普及是为驾驶人员和乘客提供更便利的使用和更愉悦的体验,因此功能也十分丰富,并且在不断增加。目前的车载终端主要包括以下几项功能:
(1)基本车况收集显示
这类功能起步较早,早期车况信息包括胎压、油量、水箱温度以及车外温度等参数,在传统的仪表盘中都会显示。新兴的电动汽车也会显示电量信息。当智能车载终端广泛应用后,这些信息会集中显示在车载终端的显示屏上,用户有统一的操控界面,提升用户体验。
(3)远程操作
包括远程开锁、远程发动车辆、远程开启空调等应用。这些应用通常和网络相结合,使用者通过手机APP或者提供相应服务的Web页面,远程对车辆进行操作,大大提升了方便性。
(3)求助与远程救援
同样是通过网络完成。目前,大量车辆已经内置了T-Box系统,系统集成了SIM卡,可以连接运营商网络,将车辆各ECU中存储的状态系统上传到TSP平台,供维修人员参考诊断。很多T-Box提供一键救援业务,系统自动完成包括诊断、定位车辆等多项任务,提升了处理紧急问题的效率。
(4)导航
是汽车Infotainment系统的主要功能。实际使用时,导航应用会连接网络,以获取实时的路况信息。连接网络的方式可以使用车辆使用者用手机提供的Wi-Fi热点,也可以通过内置的SIM卡直接接入蜂窝网络。
(5)车内娱乐
这类应用已逐步走向网络化,下载、在线收看等多种方式的普及,给车辆使用者带来了更好的用户体验。为了提高视频的清晰度和流畅性,车载终端硬件的图像处理能力也在逐步提升。
(6)自动驾驶
自动驾驶是个热门应用,从自动泊车开始,驾驶者对车的操控在减少,开车变得越来越简单,越来越放松。目前,已经有自动驾驶的汽车通过实际道路检测,但是这种技术还需要一定的时间投入才能正式大规模商用。在自动驾驶过程中,车辆收集大量道路信息,车身周围人与物体的位置信息,根据这些信息与车辆的速度方向、交通管理规定等信息进行运算,这要求车载终端具有足够的计算能力和实时性。随着车车通信、车路通信的发展,车辆收集和运算的信息量将进一步增加,对车载终端处理能力的要求也越来越高。
功能的丰富导致系统复杂度的增加,包括在芯片、传感器、移动互联操作系统、通信设备及通信服务等方面的协同发展。整体网络架构的复杂化,增加了车辆对各种攻击的暴露,信息安全需求也变得更加重要和紧迫。信息安全根本属性中的保密性、完整性、可用性、可认证性和可审计性,在车载终端这一具体应用领域,呈现出不同的优先级。
●车载终端对访问和使用的认证需求尤为突出——能够确保信息被正确的人使用,下达命令的是具备相应权限的正确用户等。换言之,恶意攻击者能否破坏车载终端的安全防护,肆意向车辆电子电气系统各ECU下发各种指令,威胁到车辆正常使用者的安全,是车载终端设计和实现时必须要考虑的信息安全首要问题。
●与可认证性相比,完整性也是信息安全各属性中,相对重要的一方面。传输的信息和指令一旦被篡改,会导致与授权用户意图不同,甚至完全相反的操作,发生信息安全和涉及人身安全的严重事件。
●可用性对于依赖车载终端的行车应用也是需要保护的安全属性。很多攻击在不熟悉车辆系统的漏洞时,往往最先攻击的是可用性。在扰乱系统的正常运行后,寻找安全薄弱环节,进行深度突破。
●保密性是信息安全属性的基础。大多数攻击通常从嗅探开始,获取到用户传输的明文信息或者信号,包括用户名、密码等,了解用户使用的应用。破坏保密性,不仅侵犯隐私,同时也为其它攻击方式提供方便。
●可审计性是信息安全工作的基础。只有信息安全事件可以审计,才能发现出现的问题并及时进行处理,避免问题扩大或者更加严重。
3.1按照对车载终端信息安全属性的破坏进行分类
如上文所述,车载终端的信息安全属性包括机密性、完整性、可用性、可认证性和可审计性。有的威胁针对车载终端的机密性,收集用户数据,导致隐私泄露;有的威胁破坏完整性,有的甚至同时破坏信息安全几个属性。本文按照对车载终端信息安全属性的破坏对威胁进行分类,有针对性地一一进行介绍(见表1)。
表1 按照对车载终端信息安全属性的破坏对威胁进行分类
(1)窃听
最基本的威胁,是其它攻击方式的基础。车载终端与云端的连接用来传输用户大量隐私数据,例如行车数据、车辆状态信息等会在网络中被嗅探。对于车内网络,当车载终端接入到汽车总线后,CAN总线上明文传输的各种控制指令和系统信息被攻击者窃听的风险增加。攻击者一旦获取的车载智能终端的控制权,很容易获取所连接总线上传输的信息。
(2)伪造
由于缺少对数据的认证,攻击者可以向车载终端注入感染病毒的代码或者可能导致堆栈溢出的代码,或者未授权的指令,对车载终端操作系统、应用和车内ECU进行任意操作。
(3)阻断
云端向汽车发送的信息和指令,可能被攻击者在网络层面进行干扰,而不能正常到达车载终端。而车载终端一旦被非法控制,攻击者可以屏蔽CAN网络的通信网关转发的信息,从而实施对车内电子电气系统的阻断攻击。
(4)篡改
篡改攻击是组合了窃听、阻断和伪造等多种方式,形成的比较复杂的攻击。攻击既可以篡改车辆驾驶者从云端接收的例如行车路线等相关数据,也可能是从车内各ECU回送的状态信息,影响驾驶员的正常判断和操作;或者将车辆驾驶者向ECU发送的指令进行修改,干扰车辆正常行驶。其后果都十分严重。
(5)拒绝服务
恶意攻击者通过控制车载终端,向其所连接的总线网络发送大量伪造的数据包,占领总线资源,从而导致ECU拒绝服务。这是针对可用性的常见攻击方式。
(6)重放
缺少对所收到消息的时效性的验证,使利用重放攻击而导致的汽车安全事件屡屡发生。攻击者通过窃听获得重要的消息,并在自己需要的时候,再次发送,从而进行非授权的任意操作。
3.2按照攻击者发起的位置对威胁进行分类
(1)远车攻击
攻击者通过网络发起的攻击,包括通过攻击汽车各网络应用平台,攻击相应的手机APP,或者在通信网络中采取各种措施的攻击(见图1)。这类攻击成本低,突破环节多,威胁发生的可能性高。攻击者也会SQL注入有安全漏洞的Web服务器端,监听通信信道,甚至利用车载终端远程通信协议中的漏洞,比如用于车载终端与远程呼叫中心通信的AQLINK协议中缺少控制信息包长的检验,或者随机数缺陷等漏洞,发起攻击。已经出现的安全事件包括车载智能系统“Uconnect”被攻破,黑客可以实现远程控制汽车刹车、油门和方向盘,为此克莱斯勒在美国紧急召回了140万辆汽车。
(2)近车攻击
攻击者在车附近,通过短距离通信的各种协议,与车辆建立网络连接,访问车辆的信息系统(见图2)。既包括通过Wi-Fi或者蓝牙协议的连接,也包括使用RKE,胎压监测、RFID车钥匙的应用,甚至攻击者已经开始分析802.11p或者DSRC等新兴的,用于车车通信的短距离通信协议。2015年就有国内安全团队绕过几款车的门锁遥控滚码机制,演示了非授权开车门的试验。
(3)车内攻击
是指攻击者已经可以连接到车内系统的各接口,包括用于诊断的OBD接口,车载终端提供的USB接口,或者能插入SD卡、CD、DVD的存储介质(见图3)。这些接口和读取存储介质的系统都与车内总线相连,同时总线也连接了汽车的各ECU。例如,攻击者通过特别的硬件装置连接到OBD接口,同时硬件装置与电脑通过USB或者Wi-Fi进行连接,电脑就接入了车内总线,可以发起探测和攻击。也有试验证明,攻击者也可以通过恶意构造的音频或者视频文件,对车载终端进行破解。这种攻击的前提是知道播放器等应用的安全漏洞。
图1 远车攻击示意图
图2 近车攻击示意图
图3 车内攻击示意图
随着车载终端处理能力的发展,其功能也将T-Box和Infotainment进行了融合。车载终端本身代码量的增加,与车辆电子电气系统的网络连通,与云端信息的交互,终端升级机制的简化,这些车载终端发展的趋势以及威胁的特点、威胁发生的位置等因素决定了围绕车载终端和针对其自身的安全机制的使用和安全防范的重点。应在车载终端设计开发的过程中,使用科学的方法,实现真正的安全措施实施。
4.1加强车载终端文件系统完整性校验
采用完整性校验手段对关键代码或文件进行完整性保护。例如,在硬件的特殊分区中,保存一份当前操作系统的指纹信息,定期对指纹信息进行校验,确认操作系统关键文件未被修改。
车载智能终端硬件安全引导应提供安全机制,保证只能加载可信的车载操作系统内核组件。例如,操作系统的镜像需要进行厂商签名。在车载系统启动时,需要进行签名验证,以发现对操作系统内核的非法篡改。
4.2与云端通信的信道安全
车载终端与外部通信,应保证所使用信道安全。例如,使用支持网络侧和终端侧双向鉴权的SIM解决方案,并且在基带处理中,增加对伪基站识别分析的能力,拒绝接入伪基站。在车载终端和TSP平台建立相应的VPN/VPDN/专用APN等,使车联网系统使用相对的专用网络,利用加密机制和完整性校验等技术手段,对抗窃听、伪造等多种攻击。同时,加强云端服务器安全,严格访问控制策略,加强用户权限设置管理,对口令强度采取必要要求,定期漏洞修补,从而保证平台测安全。
4.3车内安全域隔离和访问控制
车载终端与车内各电子电气系统划分安全域,每个安全域有只属于自己的,不能伪造的标示,并通过相应的密钥对所传输的数据进行加密和完整性保护。增加独立的安全通信模块,内置集成高性能密码安全芯片和安全操作系统,负责密钥管理。必要时,在车载终端与车内电子电气系统总线之间添加串行防火墙,对车载终端传送到各ECU的指令进行检查,满足安全性要求再传递。
车载终端自身内核强制访问控制:对用户(或其他主体)与文件(或其他客体)标记固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性,确定用户是否有权访问该文件。
4.4车载终端应用程序安全
必须对应用程序在运行过程中使用的文件访问权限进行控制。对于使用客户端数据库存储数据的车载终端,应限制数据库访问权限。敏感信息需采用安全方式加密存储,包括计算哈希值、对称加密、非对称加密等技术手段。
应用程序自身应采取加壳、代码混淆等适用的对抗逆向安全分析方法的保护,防止攻击者查找系统漏洞加以利用。
对于程序所收集、产生的用户数据应通过计算哈希值方式进行保护时,应在计算的源数据中加入随机数据,防止敏感信息的哈希值被重放利用。使用对称加密、非对称加密等加密算法对敏感信息进行保护时,应使用健壮的加密算法,并使用足够长度的加密密钥。
4.5终端升级的安全机制
车载终端对更新请求应具备自我检查能力,车载操作系统在更新自身分区或向其他设备传输更新文件和更新命令的时候,应能够及时声明自己的身份和权限。升级操作应能正确验证服务器身份,识别出伪造的服务器,或者是高风险的链接链路。升级包在传输过程中,通过报文签名和加密,防篡改和伪造。
4.6加强安全审计安全
车载终端应具备记录所有用户访问日志的功能,便于进行适当的审计和监控。在完成安装时应开始记录所有用户(特别是具有管理权限的用户)的访问。车载终端的日志记录功能应能自动启动,并将日志文件定向到统一的外部服务器,便于审计。
在车内电子电气系统总线上也应增加入侵检测功能的模块,对各类信息进行监控,特别是从对外开放的车载终端传入的数据,如有异常立即报警。
车载终端的信息安全问题必须得到足够的重视,否则可能由于信息安全问题导致更为严重的人身安全问题,这是车联网的新特点。按照系统的方法,分析威胁,汇总需求,进一步实施部署安全措施进行防范,才能保证安全措施有效和科学地执行。
Vehicle on-board terminal information security threats and countermeasures
LUO Yingluo,FANG Qiang
With the rapid development of the Internet of Vehicle, on-board terminal with more and more applications grows very fast. It increases the exposure to information security threats, and leads to specific security requirements. In this paper,we analyze the threats against on-board terminals from different points of view and summarize the requirements. In the end, we list corresponding technical countermeasures.
on-board terminal; security requirement; security threat
2016-05-10)