智能网联汽车信息安全风控系统研究

廖明阳 刘兴伟 马宏亮

摘  要： 随着智能网联汽车的不断发展，网络安全问题已经成为影响传统汽车全面向智能网联汽车发展过渡的关键。在车联网“端—管—云”的基本网络架构下，每一个环节都是信息安全的防护重点。因此，设计并实现了智能网联汽车信息安全风控系统，包括T-BOX系统安全、移动应用APP安全和服务器安全分析平台等。通过实验，检测了T-BOX样机对抗DoS攻击和网络SYN攻击的能力，以此验证了所提出的信息安全风控系统的有效性。

关键词： 智能网联汽车; 车联网; 信息安全; T-BOX; 移动应用APP

中圖分类号：TP391          文献标志码：A     文章编号：1006-8228（2019）10-19-05

Abstract： With the continuous development of intelligent and connected vehicles， network security has become the key to the transition from traditional vehicles to intelligent and connected vehicles. Under the basic network structure of Internet of vehicles， every point is the key point of information security protection. Therefore， the information security protection system of intelligent and connected vehicles is designed and realized， including the security protection for T-BOX and mobile APPs， and the server security analysis platform. Through experiments， the effectiveness of the information security protection system proposed in this paper is verified by detecting the capability of T-BOX against DoS attacks and SYN Flood attacks.

Key words： intelligent and connected vehicles; Internet of vehicles; information security; T-BOX; mobile APP

0 引言

随着互联网与汽车产业的不断融合[1-2]，汽车网络互联和智能化已成为必然。同时，随着智能网联汽车的不断发展，汽车攻击事件频发，安全问题日益突出[3-4]，部分智能汽车网络安全研究和事件描述如下：Charlie Miller & Chris Valasek通过OBD接口破解了丰田普锐斯;360公司破解了Tesla汽车远程控制功能;腾讯科恩实验室实现了远程无接触式破解Tesla，可以在驻车状态和行驶状态下远程控制等[5-6]。

这些研究成果引起了汽车厂商的极大关注，有些已经对在售的多款车型构成了影响。针对汽车的网络攻击能够通过突破车内网络或汽车电子组件实现敏感数据获取、车辆远程控制（或部分功能）等[7]，影响汽车的功能安全，对驾乘车人的生命安全构成了威胁。网络安全问题已经成为影响传统汽车全面向智能网联汽车发展过渡的关键。

1 智能网联汽车信息安全风控系统设计

根据《中国制造2025》对汽车车联网安全的规划，在车联网“端—管—云”基本网络架构下，每一个环节都是信息安全的防护重点[8-9]，包括控制安全、数据安全、功能安全等各个方面[10-12]。因此，车联网安全防护环节众多、网络安全问题复杂。

我们提出的智能网联汽车信息安全风控系统如图1所示，主要包含：T-BOX系统安全、车厂提供的控制车身的移动应用APP安全（APP安全加固、APP环境安全监测探针）、服务器分析平台（T-BOX威胁态势感知平台、移动APP威胁安全平台、漏洞库及威胁软件识别库）、安全编码规范（源码审计平台、安全编码规则库）、信息安全检测平台（T-BOX渗透测试、移动APP渗透测试、移动APP安全监测平台/安全检测、渠道监控）。

1.1 T-BOX系统安全防御设计

T-BOX系统安全防御设计的主要思路是对T-BOX系统的各个信息点进行采集，从系统底层原理上对安全点进行分析;同时，根据已有的安全知识库对上报的数据进行分析，并且不断追踪现有安全动向以更新安全知识库。T-BOX系统安全防御包括以下几个方面。

⑴ T-BOX系统安全监测功能：端口扫描检测、本地提权检测、系统库篡改检测、流量监控、进程注入检测、进程调试检测、缓存文件篡改、恶意程序扫描和检测登录系统的用户。

① 端口扫描检测是针对T-BOX系统中运行的端口进行自检，关闭一些安全隐患的端口服务;同时，可以根据服务器的配置策略，对外部访问的IP进行限制，以确保T-BOX系统的安全。

② 本地提权检测是针对T-BOX系统中运行的程序所具有的权限进行合理化的归类、整理，以发现具有不合理权限的安全隐患程序。

③ 系统库篡改检测是针对系统中的I/O库、ssl库等关键系统库，对其它动态运行的二进制hash值与文件形态在内存展开后的二进制hash值进行匹配、hook检测和篡改检测。

④ 进程调试、注入检测是对系统中运行的程序进行状态位检测，发现疑似的停止状态位;同时，对程序map空间进行快照比对，发现被注入的程序。

⑤ 缓存文件篡改是对程序的缓冲安装目录的每一个文件的用户ID进行识别，如果发现异常的用户ID文件，则识别出被篡改的缓存文件。

⑥ 恶意程序扫描是根据服务器端的安全知识库进行比对检测。

⑦ 检测登录系统的用户是检测每一个登录用户的时刻表、权限位、运行的程序集，如果发现用户的异常登录行为，则上报服务器。

⑧ 流量监控是对T-BOX系統的各个网口的流量进行监控;同时，根据服务器的限流策略，对各个网口的流量进行监管。

⑵ T-BOX系统性能监测功能，包括CPU占用率、内存占用率、资源占用率等相关信息，为服务器平台T-BOX安全提供辅助数据。

⑶ T-BOX网络监测功能包括联通性攻击监测和流量攻击监测，为服务器分析平台对T-BOX网络异常的评估提供可靠数据来源。其中联通性攻击是对T-BOX系统网络接口的SOCKET连接类型进行识别，发现SYN flood攻击后，进行阻断，以确保T-BOX的系统安全。

⑷ 车载端应用防护：对T-BOX中的核心程序，提供ELF二进制保护和应用安全加固，防止T-BOX中的核心程序被逆向后泄露隐私数据。其中ELF二进制防护功能图2所示。

① 字符串表加密旨在对程序中的敏感信息进行加密，如：关键变量名、关键函数名、关键字符串名等，目的是增加破解者的分析时间成本，增加破解难度。

② 动态段加密旨在对程序的入口进行隐藏，增加破解者的分析时间。

③ 程序端加密旨在对程序代码进行安全保护。

④ 重定位表加密旨在对程序的格式进行保护;同时，使程序与T-BOX系统进行绑定以防止破解者逆向分析，还可以防止第三方非法使用。

1.2 智能网联汽车移动端应用安全设计

智能网联汽车移动端应用安全设计，主要包括以下几个方面。

⑴ DEX完整加密：所有被加密的代码均在内存进行解密，手机客户端不残留任何代码明文文件，包含任何被编译优化后的明文文件。

⑵ DEX代码抽取：DEX代码抽取方案是DEX完整加密方案的衍生进化方案，是在其基础上做更细节的操作，安全处理粒度从整体DEX到客户代码实现，即保护客户代码的实现。

⑶ 虚拟机加固：如图3所示。

⑷ HTML5加密：针对客户应用使用HTML 5技术的相关文件进行完整加密保护，仅在运行时选择合适时机进行内存解密后并依据用户逻辑继续执行，支持html、js、css、json等文件格式。

⑸ 秘钥文件保护：针对客户应用，使用秘钥文件进行完整加密保护，仅在运行时选择合适时机进行内存解密并依据用户逻辑继续执行，支持*.cer、*.der等文件。

⑹ 资源文件保护：针对客户应用存储在assets目录、res目录、res/raw目录的文件进行完整加密保护，仅在运行时选择合适时机进行内存解密后并依据用户逻辑继续执行，支持xml文件、图片文件、用户自定义配置文件和系统配置文件。

⑺ 主配置文件保护：针对客户应用Android Menifest主配置文件进行格式化处理保护，防止第三方反编译工具进行破解，如：apktool、axmprinter等。

⑻ 本地数据库保护：针对客户应用运行时生成的本地sqlite数据库文件进行加密保护，有效防止非法读取数据库敏感信息，sql注入等恶意操作。

⑼ 本地缓存文件保护：针对客户应用运行时生成的本地缓存文件进行加密保护，有效防止非法读取缓存文件获取敏感信息。

⑽ NATIVE（SO）保护：SO保护采用格式变型的技术，对Android（包括Linux类系统）平台的共享文件二进制格式ELF进行处理，把传统意义的ELF格式转变为只有自己解析能沟通解析、加载、运行的私有格式。

反调试防护：根据市面上常用的破解手段，提供以下几个方面的防护，包括防止进程/线程附加;防止进程注入;防止壳启动调试;防ZjDroid插件内存dump DEX;防系统核心库（JAVA/NATIVE）被HOOK（劫持）攻击等。

APP私钥存储安全（移动端+服务器端）及接口安全防护：APP私用存储采用加密二进制的方式，存储于APP的可信任组件中。

2 智能网联汽车车载端T-BOX安全防御有效性测试与分析

实验从检测T-BOX样机对抗DoS攻击和网络SYN攻击的能力等方面来验证本文提出的信息安全风控系统的有效性。

⑴ 检测T-BOX样机对抗DoS攻击和网络SYN攻击的能力：①模拟服务器向T-BOX样机发送高频率、高优先级的报文信息，验证CAN总线是否能收到这些报文;②模拟服务器向T-BOX样机发送高频率、高优先级的报文信息的同时使用工具向CAN总线发送高频率、高优先级的报文信息，验证T-BOX应用可执行程序是否运行正常;③伪装多客户端向T-BOX应用可执行程序发送大量的无用数据报文，验证T-BOX应用可执行程序是否能够正常提供网络服务。

测试结果如下：①如图4所示，在指定频率内T-BOX提示报警、阻止接受发包，同时T-BOX应用可执行程序没有向CAN总线下发数据;②T-BOX具备对抗双向DoS攻击和网络SYN攻击的能力，如图5所示。

⑵ 通过篡改T-BOX应用可执行程序，验证T-BOX应用可执行程序是否采用了完整性校验手段对关键代码或文件进行完整性保护;同时，检测T-BOX应用可执行程序是否采用了代码签名认证机制，且代码签名机制符合相关标准要求。测试结果如下：由于T-BOX应用可执行程序增加了代码签名认证机制，增加了攻击难度，因此T-BOX应用可执行程序被篡改后不能正常运行，其中图6为源程序，图7为篡改后程序。

⑶ 检测T-BOX样机是否采用防护措施，对所传输数据的完整性和可认证性进行保护;同时，证书是否具有双向校验机制以及证书是否正确安全：①通过自建AP捕获流量的方式，检测T-BOX样机与服务器之间通信是否采用了TLS通信协议，是否采用TLS双向校验机制;②在通信协议安全检测的基础上，通过自建AP捕获安全通信协议相关流量的方式，检测其握手过程，查看其是否采用了双向校验的安全机制。

测试结果如下：T-BOX样机与服务器采用TLS通信协议进行通信;同时，T-BOX在与主机通信的过程中采用了双向证书校验的机制，如图8所示。

⑷ 通过逆向工具对T-BOX应用可执行程序进行分析，检测T-BOX应用可执行程序是否具备防逆向分析能力。测试结果如下：图9为未混淆的效果图，图10是混淆后的效果图，从图10中可以看出，未混淆的函数是一个完整的函数块，而T-BOX应用可执行程序进行了代码混淆加壳后的函数则是切割成多块的函数，这样对于逆向分析来说，无疑增加了分析时间和破解难度。

3 结束语

本文针对智能网联汽车在信息安全方面存在的问题，设计并实现了智能网联汽车信息安全风控系统，包括T-BOX系统安全、移动应用APP安全和服务器分析平台等。同时，通过实验从检测T-BOX样机对抗DoS攻击和网络SYN攻击的能力等方面验证了本文提出的信息安全风控系统的有效性。下一步，将针对智能网联汽车信息安全风控系统的服务器端开展拟态式防御技术研究。

参考文献（References）：

[1] 冉斌，谭华春，张健等.智能网联交通技术发展现状及趋势[J].汽车安全与节能学报，2018.9（2）：119-130

[2] 边明远，李克强.以智能网联汽车为载体的汽车强国战略顶层设计[J].中国工程科学，2018.20（1）：52-58

[3] 李克强，戴一凡，李升波等.智能网联汽车（ICV）技术的发展现状及趋势[J].汽车安全与节能学报，2017.8（1）：1-14

[4] Liu Jiajia，Liu Jianhao. Intelligent and Connected Vehicles： Current Situation， Future Directions， and Challenges. IEEE Communications Standards Magazine. 2018，2（3）： 59-65.

[5] Lei Huang，Xinkai Wu，Hongmao Qin，et al. Analysis of Cybersecurity Threats on Connected Vehicles with CACC Based on an Improved Car-Following Model[C]//Proceedings of the 18th COTA International Conference of Transportation Professionals. Beijing： American Society of Civil Engineers，2018：2043-2055

[6] 全国信息安全标准化技术委员会.汽车电子网络安全标准化白皮书：2018[R]. 全国信息安全标准化技术委员会，2018.

[7] C.Schmittner，Z.Ma，T.Gruber. Standardization challenges for safety and security of connected， automated and intelligent vehicles[C]//2014 International Conference on Connected Vehicles and Expo. Vienna： IEEE press，2014：941-942

[8] 王建，許叁征，甘浩等.智能汽车纵深防御关键技术及挑战[C]//2018中国汽车工程学会年会.上海：中国汽车工程学会，2018：287-291

[9] 游根节.智能网联汽车标准体系分析[J].电信技术，2018.5：50-53，55

[10] L.ben Othmane，A.Al-Fuqaha，E.ben Hamida，et al. Towards extended safety in connected vehicles[C]//16th International IEEE Conference on Intelligent Transportation Systems.Hague：IEEE press，2013：652-657

[11] 李允，罗建超，赵焕宇等.面向智能汽车的网络安全解决方案[J].信息技术与标准化，2018.10：60-64

[12] 马世典，江浩斌，韩牟等.车联网环境下车载电控系统信息安全综述[J].江苏大学学报（自然科学版），2014.35（6）：635-643