圖3.4-3 以太網(wǎng)通信協(xié)議模型

車載以太網(wǎng)協(xié)議雖然可以滿足高頻大規(guī)模數(shù)據(jù)傳輸?shù)男枨?，但如果沒有一定的安全措施，將會存在著一定的安全威脅。攻擊者可以通過監(jiān)聽工具或其他方式對車輛內(nèi)部的報文進(jìn)行非法監(jiān)聽獲取敏感數(shù)據(jù) , 甚至篡改報文內(nèi)容后轉(zhuǎn)發(fā)送給其他 ECU 設(shè)備意圖控制其他 ECU 設(shè)備，影響整車正常工作，嚴(yán)重時會危及車內(nèi)人員的生命安全，目前常見的攻擊包括重放攻擊、嗅探攻擊和側(cè)信道攻擊。在此背景下隨著汽車對信息安全的需求提高，車內(nèi)網(wǎng)通信的信息安全防護(hù)機(jī)制變的越來越重要。

車內(nèi)網(wǎng)通信安全主要通過身份認(rèn)證、通信加密和數(shù)據(jù)可靠性三方面來保障。

1、身份認(rèn)證

模塊之間應(yīng)采用訪問權(quán)限控制的方式，不同的子系統(tǒng)應(yīng)根據(jù)通信業(yè)務(wù)的重要性劃分不同的信息等級權(quán)限。建立合理的安全訪問策略，并通過與功能邏輯設(shè)計的配合，避免由于車載通信終端的信息安全問題導(dǎo)致子系統(tǒng)功能異常。每個子系統(tǒng)通信時應(yīng)當(dāng)添加上身份標(biāo)識，供其他子系統(tǒng)認(rèn)證，同時子系統(tǒng)應(yīng)當(dāng)具備認(rèn)證其他子系統(tǒng)的能力。

基于 CAN 通信的 SecOC 技術(shù)采用了 MAC 算法保證了車內(nèi)通信的可認(rèn)證性。MAC 算法選擇 AES- 128-CMAC，不同的控制器使用相同的對稱密鑰對 CAN 報文進(jìn)行 MAC 值的計算，這樣就實現(xiàn)了不同控制器在車內(nèi)通信過程中的身份認(rèn)證。外部診斷儀接入 OBD 口實現(xiàn) UDS 診斷的過程中，0x27 服務(wù) Secu- rityAccess 通過挑戰(zhàn)響應(yīng)的方式可完成診斷儀的身份認(rèn)證。車內(nèi)以太網(wǎng)通信可采用 TLS 協(xié)議保證車內(nèi)通信的可認(rèn)證性，TLS 協(xié)議安全傳輸建立過程中，主要包含密鑰協(xié)商和身份認(rèn)證過程，因此，可以選擇性能合適的算法套件，進(jìn)行密鑰協(xié)商以及身份認(rèn)證。

2、通信加密

為了保證數(shù)據(jù)的機(jī)密性，每個子系統(tǒng)之間的通信數(shù)據(jù)應(yīng)進(jìn)行加密。CAN 通信對于實時性要求高，而加密算法相對耗時，因此 CAN 通信加密方案應(yīng)考慮性能開銷及其對時延的影響。車載以太網(wǎng)通信中的TLS 協(xié)議在安全傳輸建立過程中，可以設(shè)置指定安全算法套件，選擇性能合適的算法套件，進(jìn)行數(shù)據(jù)加解密，也可在應(yīng)用層指定合適的安全算法進(jìn)行數(shù)據(jù)加解密。

3、數(shù)據(jù)可靠性

汽車系統(tǒng)應(yīng)具備實時監(jiān)控檢測異常的報文和非法入侵的能力，并提供相應(yīng)的分析報告和告警。該系 統(tǒng)具備冗余備份和重發(fā)機(jī)制，在對電子系統(tǒng)發(fā)送重要任務(wù)時，保證傳輸數(shù)據(jù)的可靠性，同時系統(tǒng)應(yīng)當(dāng)具 備抵抗拒絕服務(wù)攻擊。子系統(tǒng)數(shù)據(jù)交互期間，應(yīng)使用相應(yīng)技術(shù)避免大量數(shù)據(jù)集中發(fā)送，從而導(dǎo)致總線堵塞，對相關(guān)的網(wǎng)絡(luò)訪問操作和安全事件生成日志記錄。

CAN 通信采用 SecOC 技術(shù)，其中的新鮮度值管理可抵御 CAN 報文重放攻擊，MAC 算法可抵御CAN 報文篡改。在車載網(wǎng)關(guān)中部署 CAN IDS 技術(shù)，主要對報文的流量進(jìn)行實時監(jiān)測統(tǒng)計，對每個報文進(jìn)行基礎(chǔ)的檢測，如報文長度、周期、頻率、信號閾值等檢測；對工況狀態(tài)、報文相關(guān)性進(jìn)行檢測，將檢測到的異常事件通過車載 T-BOX 上報到云端服務(wù)器。車載以外網(wǎng)通信采用時間戳等方式抗重放攻擊，需要保證通信雙方時間同步，且保證來自合法權(quán)威的時間源。詳細(xì)的技術(shù)可以參見第四章節(jié)，此處就不再進(jìn)行贅述。

應(yīng)用軟件安全防護(hù)

隨著智能網(wǎng)聯(lián)汽車的發(fā)展，車用應(yīng)用軟件正逐步向智能手機(jī)應(yīng)用趨同，其使用過程中的安全性問題 被越來越多 v 用戶所關(guān)注。車的信息既涉及用戶個人數(shù)據(jù)，也涉及車本身的屬性數(shù)據(jù)，后者對于車輛的安全行駛有重要的意義。應(yīng)用軟件安全防護(hù)的目標(biāo)是要保證安裝或預(yù)置到車輛上的應(yīng)用軟件可知可控， 可知是指用戶應(yīng)知曉應(yīng)用將要進(jìn)行的行為、行為的目的、行為的方式、應(yīng)用場景以及可能造成的后果，可控是指用戶應(yīng)有自主選擇權(quán)，可選擇是否允許該行為的執(zhí)行。

應(yīng)用軟件安全包括以下典型場景：

• 非法安裝未知來源的應(yīng)用軟件，車用操作系統(tǒng)缺乏安全機(jī)制來識別應(yīng)用軟件來源；

• 超過應(yīng)用本身功能之外的過高權(quán)限，非法操作重要外設(shè)或讀取敏感數(shù)據(jù)；

• 非授權(quán)地跨應(yīng)用數(shù)據(jù)訪問，應(yīng)用間缺乏數(shù)據(jù)隔離能力，一個應(yīng)用非授權(quán)地可訪問另外一個應(yīng)用的數(shù)據(jù)；

• 非授權(quán)地跨應(yīng)用服務(wù)訪問能力，一個應(yīng)用的原子化服務(wù)能力被非授權(quán)應(yīng)用訪問；

• 一個應(yīng)用被另外一個應(yīng)用的故障或漏洞波及影響，應(yīng)用軟件間缺乏隔離機(jī)制；

• 應(yīng)用本身的加固措施缺乏，應(yīng)用被逆向工程、代碼注入等惡意行為破壞，導(dǎo)致被破解、被篡改、被攻擊以及被動的信息泄露等不良后果產(chǎn)生。

應(yīng)用軟件安全防護(hù)需要從平臺和應(yīng)用兩方面入手，整體安全架構(gòu)如下圖。

圖3.4-4 應(yīng)用軟件安全防護(hù)架構(gòu)