目前,智能化、網聯化、電動化是汽車發展的大趨勢,各大汽車企業與網際網路公司積極開展合作,共同開啟雲端新時代。與此同時,針對智能網聯汽車的攻擊事件卻頻繁發生,使得汽車網絡資訊安全問題日益凸顯。
針對汽車網絡資訊安全問題,梅賽德斯-奔馳汽車公司于 2017 年便與 360 集團建立了合作關系,360 集團智能網聯汽車安全實驗室 Sky-Go 團隊發現了梅賽德斯-奔馳智能網聯汽車存在的 19 個安全漏洞并加以修複。在 2018 年比亞迪全球開發者大會上,比亞迪與 360 集團正式簽訂戰略合作協定,共同探讨解決智能汽車的資訊安全與網絡安全問題。Ju 等研究了以太網在汽車車載網絡的應用以及對未來汽車電子電氣(E/E)體系結構的預期。Wampler 等針對 CAN 總線提出了相應的通用安全解決方案。Lee 等通過對汽車進行攻擊實驗,驗證了汽車的網絡脆弱性以及建立安全解決方案的緊迫性。Chen 等參照傳統資訊系統的分類安全防護評估标準,建立了車輛資訊系統分類安全防護評估系統。Haas 等研究利用人工神經網絡建立聯網汽車入侵檢測模型,實作對攻擊資料的過濾。
上述研究均是針對汽車網絡資訊安全展開的,但是針對智能網聯汽車系統的網絡資訊安全防護方案尚未提出。本文從汽車車載網絡資訊安全的角度出發,提出一種汽車車載網絡通信安全架構方案,該方案通過建構多域分層入侵檢測模型,實作預防—檢測—預警的完整安全防護體系。
1 域集中式電子電氣架構
如今,智能網聯汽車的功能越來越豐富,相應搭載的電子控制單元(electronic control unit,ECU)的數量也随之增多,繼而與雲端、第三方 APP 等資訊互動的遠端通信也在增多,這也使得利用雲端、第三方軟體實施攻擊的可能性增大。如果采用傳統汽車分布式電子電氣架構,數量過多的 ECU 不僅會産生複雜的線束設計和邏輯控制問題,同樣也給汽車網絡資訊安全增添隐患。這些問題的出現,都說明了現代汽車分布式電子電氣架構需要進行改革。美國汽車工程師學會推出了 J3061TM《資訊實體融合系統網絡安全指南》,旨在通過統一全球标準,推動汽車電氣系統與其他互聯系統之間安全流程的建立。本文參照《車輛傳統系統功能安全标準 ISO26262》定義的流程,制定車輛資訊安全架構圖如圖 1 所示。
圖 1 車輛資訊安全架構圖
車輛資訊安全架構主要由資訊安全管理、核心資訊安全工程活動以及支援過程 3 大部分構成。資訊安全管理包括綜合管理和生命周期各階段的資訊安全管理。核心資訊安全工程活動包括了概念階段,整車系統、軟硬體層面的開發階段及生産營運階段等。在概念階段制定整個安全項目計劃,包括識别網絡安全邊界、系統外部依賴關系、系統潛在威脅分析以及評估。在開發階段,對整車系統的脆弱性和威脅性進行風險分析,制定資訊安全需求與政策,在開發階段完成後進行滲透測試,完成最終的安全審計。生産營運階段主要對産品進行現場監控、事件響應以及之後的時間跟蹤管理。支援過程階段主要對以上階段進行輔助支援,包括相應的配置管理、文檔管理和供應鍊管理等。
車輛資訊安全開發架構如圖 2 所示。系統開發設計階段是車輛資訊安全實作的基礎,而車輛資訊安全系統設計又依附于汽車電子電氣架構(electronics/ electrical,E/E)系統設計。是以,應對汽車網絡資訊安全漏洞進行排查,包括與外部環境(如雲伺服器、其他車輛和基礎設施)的連接配接、與車載網絡的連接配接、與 ECU 級别的連接配接和單個元件的連接配接等,建構安全級别更高的 E/E 系統,從系統層面提高安全性。在測試階段,對車輛資訊安全功能檢查測試,進行安全評估,驗證車輛資訊安全架構的安全性。在整體車輛資訊安全開發過程中,應當将硬體設計和軟體設計協調開發,同時考慮到軟硬體的安全可靠性,共同實作網絡安全。
圖 2 車輛資訊安全開發架構圖
以特斯拉汽車為例,分析汽車 E/E 架構方案。特斯拉汽車作為汽車 E/E 架構變革的帶頭人,Model 3 的電子電氣架構分為 3 大部分:中央計算子產品(CCM)、左車身控制子產品(BCM_LH) 和右車身控制子產品(BCM_RH)。CCM 直接整合了駕駛輔助系統(ADAS) 和資訊娛樂系統(IVI)2 大功能域,同時包括對外通信和車内系統域通信的功能;BCM_LH 和 BCM_RH 分别負責車身與便利系統、底盤與安全系統和部分動力系統的功能。3大子產品均采用高性能處理器,能夠滿足功能域内的大量計算需求,域内其餘 ECU 僅控制汽車外圍裝置,域内各系統通過區域網路進行通信, 而子產品之間通過總線進行通信,實作了基本的安全隔離。
汽車域集中式電子電氣架構的出現,為資訊安全以及算力不足的問題提供了解決方案。汽車域集中式電子電氣架構指的是将汽車根據功能劃分為若幹個功能塊,每個功能塊以域控制器為主導搭建,各個功能域内部通信可根據不同功能的通信速率需求采用不同種類的通信總線,如 CAN、LIN、FLEXRAY、MOST 等總線,各個功能域之間的通信通過傳輸速率更高的以太網實作資訊交換,域集中式電子電氣架構圖如圖 3 所示。域控制器主要負責傳遞域與雲、域與域以及域内部的通信。域内 ECU 僅負責相應執行器件的操作指令,采用帶有通信功能的控制器即可。
圖 3 域集中式電子電氣架構圖
根據大陸國情,智能網聯汽車域集中式電子電氣架構結合了智能化、網聯化、電動化 3 大部分的應用。
相較于以前的汽車分布式電子電氣架構,針對算力不足方面,域控制器作為每個域的獨立控制器,其内部需比對一個核心運算力強的處理器,以滿足智能網聯汽車對算力的要求,目前業内有 NVIDIA、華為、瑞薩、NXP、TI、Mobileye、賽靈思、地平線等多個品牌方案。在安全防護方面,域集中式架構将車輛根據功能及通信速率要求分為若幹個獨立功能子產品,若攻擊者想要通過某一功能對整車進行攻擊,該功能所在的域控制器可以及時監測并排除隐患,不會影響其他功能域,有效減少了攻擊面擴大的可能性。
2 智能網聯汽車面臨的
資訊安全威脅分析
随着車輛連通性功能的極大擴充,導航定位、自動泊車、遠端控制及診斷等功能已逐漸成為汽車的标配。這些功能帶給人們極大便利的同時,也帶來了更多安全隐患。
根據遭受攻擊的方式不同,智能網聯汽車安全隐患由遠及近可劃分為以下 4 個方面:
(1)雲端層安全隐患。雲平台存儲着汽車關鍵資訊,能夠給汽車提供路況資訊、定位導航、報警、遠端控制等,如果雲平台遭到黑客攻擊,大量重要資料外洩,後果不堪設想。
(2)網絡傳輸層安全隐患。智能網聯汽車通過無線通信的方式實作與雲平台、移動端 APP、其他車輛、交通狀況等資料的資訊互動,而無線通信方式可能存在着身份認證、資料資訊加密、協定等安全問題,是以汽車也有相應的安全隐患。
(3)車載通信層安全隐患。随着車輛外部接口的增多,車輛内部通信過程中電子控制單元固件的安全隐患、資料傳輸過程中的安全隐患也随之增多。
(4)外部接口安全隐患。目前市場上有很多第三方 APP,APP 種類繁雜,其安全防護也是消除隐患的重要一環。如果黑客入侵 APP,甚至可以直接遠端操控汽車。除此之外,電動汽車的充電槍與充電樁之間通信接口也存在安全隐患,一旦遭到攻擊,電動汽車的能源系統遭到破壞,可能會帶來生命危險。
3 汽車車載資訊安全隐患分析
(1)車載智能終端(車載 T-BOX)攻擊
車載 T-BOX 主要用于車與車聯網服務平台的通信,具有車輛遠端控制、遠端查詢、報警等功能。正常情況下,車載 T-BOX 通過讀取車載内部 CAN 通信資料資訊,并通過無線通信方式将資訊傳遞至雲平台或 APP。車載 T-BOX 的安全隐患主要有 3 個方面:一是固件逆向,攻擊者通過逆向解析車載 T-BOX 固件,擷取密鑰,解密通信協定;二是通過車載 T-BOX 的預留調試接口讀取内部資料并進行分析,解密通信協定;三是通過仿冒雲平台的控制指令,将指令發送到汽車内部,實作對汽車的遠端控制。
(2)車載資訊娛樂系統(IVI)攻擊
車載資訊娛樂系統用于導航、路況播報、車輛資訊、通訊、輔助駕駛、CD/收音機等的應用。由于車載信 息娛樂系統的功能豐富,攻擊者既可以通過 USB、藍牙、Wi-Fi 等通信方式進行攻擊,也可以通過軟體更新獲得通路權限對系統進行攻擊。
(3)診斷接口 OBD-Ⅱ攻擊
汽車診斷接口 OBD-Ⅱ是汽車 ECU 與外部進行互動的接口,其主要功能是讀取車輛的資料資訊和故障碼,用以車輛維修。OBD-Ⅱ接口一旦遭到攻擊,不僅可以通過該接口破解汽車内部通信協定,而且還可 以通過植入惡意硬體發送控制指令實作對車輛的控制。
(4)傳感器攻擊
智能網聯汽車擁有大量的傳感器裝置,用于車與車、車與人、車與路、車與雲的通信。如果傳感器遭受惡意資訊注入、竊聽等攻擊,高自動化車輛可能會無法正确判斷周圍環境行為,造成嚴重後果。
(5)車内網絡傳輸攻擊
汽車内部網絡通信大多采用 CAN 總線傳輸,CAN總線具有成本低、通信速率适中、抗電磁幹擾能力強等特點,是以被廣泛應用于汽車電控系統。但 CAN 總線采用非破壞性總線仲裁方式,具有校驗簡單、一發多讀等特點,安全防護措施薄弱,攻擊者若通過 CAN 總線進行封包重放、拒絕服務、篡改等方式進行攻擊, 将導緻駕駛員控制指令失效、汽車無法正常行駛的後果。
4 汽車車載通信安全解決方案
在智能網聯汽車資訊安全防護方面,根據攻擊發生的不同過程,分别建立主動防護、入侵監測、應急處理的系統安全防護措施,保障汽車的資訊安全。在攻擊發生前,做好主動防護,對汽車的通信資料進行篩查過濾,對常見的攻擊方法有效防範。攻擊發生後,持續監測汽車通信狀态的變化,及時對攻擊點采取應急措施并及時更新,防止危險的發生。
根據目前對汽車資訊安全技術适用性模型的分析,結合全新的汽車域集中式電子電氣架構,建構車載多域分層入侵檢測模型,針對雲端層、域控制器層、ECU 層、車内網絡傳輸層進行分層入侵檢測,采取對應的主動防護措施,以達到精準防護的效果。多域分層入侵檢測示意如圖 4 所示。
圖 4 多域分層入侵檢測示意圖
(1)域控制器層
新架構方案中,域控制器既是整個域的計算內建平台,也是域與域、域與雲端之間進行資訊交流的網關。域控制器作為汽車内外網絡資訊互動的安全邊界,是汽車車載網絡安全防護的重點。是以,在安全邊 界建立安全防火牆,對資料資訊進行安全檢測、通路限制、日志記錄等安全性檢測,以實作安全防護。
汽車的通信封包由 ID、資料資訊、校驗位等部分組成。ID 确定封包的傳輸優先級和目的位址,資料資訊确定操作指令,校驗位確定傳輸的資料資訊完整。
安全防火牆的主要作用是實作通路控制功能,汽車安全防火牆架構圖如圖 5 所示。
圖 5 安全防火牆架構圖
防火牆通路控制功能的實作主要基于建立汽車通信封包的白名單資料庫,一旦檢測到封包請求,将封包 ID 與白名單資料庫進行比對,比對成功則通過,失敗則丢棄。
防火牆的異常檢測技術有多種,常見的檢測技術包括入侵異常檢測方法,基于神經網絡、聚類、遺傳算法,基于資訊熵、關聯規則等。入侵異常檢測方法主要通過對大量正常行駛的汽車的通信資料進行分析,建構汽車通信網絡安全模型,并用該模型監視使用者及系統的行為,分析是否存在異常的非法資料活動,并向使用者報警記錄。汽車封包分為周期封包和事件觸發封包,入侵異常檢測技術可以根據不同情況建立模型。周期封包是通過設定封包周期門檻值建構入侵檢測模型,将封包周期與門檻值對比進行判定;事件觸發封包沒有固定的發送周期,但多數封包的操作指令互相關聯,如汽車的車速信号與刹車信号存在負相關關系,油門踏闆信号與車信号存在正相關關系。是以, 通過大量的資料分析建構通信封包正/負相關入侵檢測模型,一旦封包關聯出現較大的偏差,則判定為入侵行為并報警。由于汽車車載晶片的計算能力不足以同時實作安全性與實時性的最大化,是以現采用的入侵檢測的方法需要在保證明時性的基礎上,對入侵進行有效檢測,目前針對汽車車載封包流量監測是最為有效的辦法。安全防火牆中通路控制、通信标準檢測、異常分析的入侵檢測流程如 6 所示。
圖 6 入侵檢測流程
(2)車内網絡層
每個域内網絡傳輸安全是安全防護機制的第二道防線。根據功能域所需要的通信要求的不同,采用的車載傳輸網絡也有所不同。目前,除了資訊娛樂系統以外,大都采用 CAN 總線通信。CAN 總線的廣播特性、非破壞性總線仲裁方式等導緻安全防護薄弱,是以需要制定通信安全協定。
通信安全協定的設計主要由 ECU 節點的校驗和傳輸資料資訊的加密 2 部分組成。在汽車行駛前,域控制器随機配置設定每個 ECU 的身份,ECU 要向域控制器發送認證請求,進行身份認證,進而保證節點的合法性,完成 ECU 節點的校驗。汽車行駛過程中,車載網絡的通信資訊需要加密,以防攻擊者竊聽、僞裝。結合汽車對實時性要求高的特點,資料加密采用 AES 對稱加密算法。ECU 身份認證流程如圖 7 所示,CAN 通信加密封包格式如圖 8 所示。
圖 7 ECU 身份認證流程
圖 8 CAN 通信加密封包格式
對稱加密計算量小、速度快,适用于汽車大資料通信。對稱加密算法中,加密方和解密方事先都必須知道加密的密鑰,發送和接收雙方都使用該密鑰對資料進 行加密和解密。基于對汽車資料的安全性和實時性的 要求,可以根據已校驗成功的 ECU ID 以及資料發送 ECU 和接收 ECU,建立獨立的加密表作為密鑰對資料進行加密,并根據對汽車實時性的驗證,相應調整加密表的加密難易度,最大化地保證資料的安全。
(3)ECU 層
ECU 層面的安全防護主要是固件防護,實作防止固件刷寫、外界通路、惡意更改等功能。考慮到成本問題,根據不同功能的 ECU 需配置設定不同等級的安全防護措施。硬體安全子產品是一種用于保護和管理強認證系統所使用的密鑰,并同時提供相關密碼學操作的計算機硬體裝置。車身域 ECU 采用輕量級硬體安全子產品,動力域 ECU、資訊娛樂域 ECU、輔助駕駛域均采用中量級硬體安全子產品,而車身域控制器、動力域控制器、資訊娛樂域控制器和輔助駕駛域控制器均采用重量級硬體安全子產品。
5 結語
本文從智能網聯汽車的發展出發,聚焦了智能網聯汽車的資訊安全隐患問題,對汽車車載網絡資訊安全的防護進行了分析,建立汽車域集中式電子電氣架構,提出了從防護到入侵檢測、從資料加密到硬體加密的完整資訊安全防護模型的初步可行性方案架構,未來仍需通過執行個體對方案進行更進一步的論證。
來源:智能汽車開發者平台