商用密码技术在车联网信息安全中的应用
随着汽车的信息化、智能化不断普及,车联网技术已经在各大车厂的量产车型实现了较为广泛的应用,但随之而来的安全问题日益凸显。传统汽车中潜伏的一些隐患和问题暴露在网络中,汽车上的各种电子设备、车载的智能信息系统、OBD(车载诊断)接口等,可能成为黑客入侵车辆系统的途径。密码技术是保障网络安全的核心和基础支撑技术,同时也是解决车联网安全问题最有效、最可靠、最经济的手段。本文主要参照信息系统密码应用的技术要求、实现方法、检测方法等,对汽车车端密码技术手段和实现方式,以及应用的合规性、正确性、有效性等方面的检测技术等进行研究。
车联网技术中车端信息安全问题
汽车不断向智能化和网络化方向发展,在提升使用者的驾驶体验的同时,也引入了新的安全风险,车端信息安全问题及需求如下。
1. CAN总线安全风险,主要体现在CAN总线自身的脆弱性,协议不能确认接入节点的身份真实性,且没有加密机制,可导致通过劫持的节点伪造其他节点发送数据。
2. ECU安全风险,主要包括被修改和重新烧录,攻击者在固件程序中植入恶意代码,设计上的缺陷或者漏洞等安全风险。
3. 车载网关安全风险,主要体现在车载网关中系统数据/配置数据泄露、软件或数据的更新包遭受篡改、通信消息泄露或篡改等安全风险。
4. 车载终端安全风险,主要体现在T-BOX、IVI、OBD等终端设备上存在的安全风险。其中,T-BOX存在逆向攻击、信息泄露、网络攻击等安全风险;IVI通过感染 U 盘等,攻击信息娱乐系统等;OBD诊断接口风险,主要体现在硬软件上的安全漏洞,造成黑客攻击的风险。
车载终端
密码技术作为信息安全的核心技术,能够为车联网车端在终端安全接入、ECU之间安全通信,以及固件安全等方面提供技术支撑。具体如下。
1. 针对CAN总线的节点身份安全问题,可采用基于数字证书等密码技术,实现对节点的身份认证,防止非授权的接入。
2. 针对CAN总线的数据明文传输问题,可通过密码技术实现重要数据的加密传输,避免信息泄露。
3. 针对车载终端安全风险,可采用杂凑、数字签名等密码技术,实现固件程序的完整性保护,并通过密码技术实现对配置数据的安全保护。
4. 针对车载设备对外通信所导致的风险,可对接入车载设备的用户及设备采用数字签名、杂凑算法等实现身份鉴别。
车端安全体系架构研究
车联网车端安全体系主要包括安全区域边界、安全通信网络和安全计算环境等方面。如图1所示。
图1 车端安全体系架构
1. 内部区域边界安全。在汽车网关需要实现边界安全防护、访问控制、非授权访问控制、数据加解密、密钥管理等安全功能。边界安全防护主要实现接入到车载CAN网络的ECU设备进行控制;访问控制主要为不同区域之间实施管控;数据加解密主要实现ECU与网关通信的重要数据加密。
2. 外部区域边界安全。主要为防护T-BOX、IVI等车载终端系统与外部TSP、移动终端等数据交互的边界安全,需要实现通信身份鉴别、通信数据加密传输、入侵防范、实体接入身份认证、加密存储、密钥管理等安全功能。
3. 车载终端安全。主要包括T-BOX、IVI等车载终端系统的操作系统安全和应用系统安全。
4. 应用数据安全。主要包括T-BOX、IVI等车载终端系统与ECU之间以及ECU与ECU之间通信,应采用数据加密和完整性保护机制。
车端密码技术应用研究
车联网车端可采用数字证书、对称密码技术、非对称密码技术等密码技术,满足车端接入ECU的身份真实性、CAN总线数据加密传输、固件程序的完整性保护等安全需求。通过建设PKI系统和KMS密钥管理系统,搭建更便捷的车联网通信,防护措施具体包括:一是基于证书的车载端身份认证,目前较完备的方式是基于PKI证书身份认证,智能网联汽车首次启动进行通信连接时,PKI系统签发可信证书写入车载密码模块,用于汽车车端通信,确保仅有认证后的汽车车端通信安全;二是基于证书的传输加密,智能网联汽车在获取可信证书后,后续通信通过证书进行密钥协商并加密通信数据,加密协议通常采用HTTPS应用层加密或者SSL、TLS传输层加密,增加攻击者窃听破解的难度,保障通信安全;三是基于密钥的加密,智能网联汽车经过车内数字证书认证后,向车载电子控制单元各ECU传递加密控制信令,只有经过密钥的加解密才能执行,确保汽车在启动后车端业务的安全可靠。
通过密码模块强化智能网联汽车安全防护已成为未来重要方向,将加密算法、访问控制、完整性检查嵌入到汽车控制系统,加强车载终端的安全性,提升安全级别。通过在IVI和TBOX中配套部署安全密码模块,负责管理及使用密钥,实现密码计算,包括加解密、完整性校验、数字签名等。
1.网络和通信安全
(1)T-BOX通信身份鉴别
T-BOX与汽车网关通过CAN总线通信实现对车辆状态信息、控制指令、远程针对等信息的传递,通过数据链路的方式实现与TSP系统的通信。当用户通过PC端或移动端发送控制指令后,TSP发出指令到T-BOX,车辆获取到控制命令后,通过CAN总线发送控制报文实现对车联的控制。若恶意用户通过TSP平台控制车辆,将造成严重影响,需要在T-BOX与TSP采用身份鉴别机制,彼此进行身份认证,保障通信双方的真实性,防止外界攻击、发送错误指令等。T-BOX与TSP之间的身份鉴别可采用数字签名、数字证书等密码技术实现,并协商出会话密钥,确保用户数据安全传输。TSP与T-BOX之间验证双方证书,采用SM2数字签名技术进行双向身份鉴别,利用SM2的密钥协商算法协商出密钥,确保传输数据的保密性。
(2) IVI通信身份鉴别
IVI基于车身总线系统和互联网服务,可通过Wi-Fi、无线、蓝牙等网络通信技术实现与智能终端App的通信,并进行相关操作。若恶意用户非法接入到IVI系统中,可造成严重信息泄露、数据篡改等安全风险。App应用接入到IVI中,需要采用双向认证机制,保证接入的APP安全可靠,可采用数字证书、数字签名等密码技术实现身份鉴别以及数据安全传输。IVI与APP之间的身份鉴别,可采用数字签名、数字证书等密码技术实现,并协商出会话密钥,保障用户数据的安全传输。App与IVI相互验证双方证书,采用SM2数字签名技术进行双向身份鉴别,同时利用SM2的密钥协商算法协商出密钥,用于传输数据的保密性。
2.计算和设备安全
车载网关可通过有线网络与PC机进行通信,采用Web等方式进行管理。对于车载网关系统的登录,应采用身份鉴别机制,可在车载网关中部署密码模块,PC机采用数字证书的方式进行身份认证。
车载网关中可能存在T-BOX、OBD、各类ECU之间的访问控制信息,以及存在日志信息等,车载网关可采用SM3等密码算法保护访问控制信息、日志信息等完整性。T-BOX、IVI车载终端系统中,目前应用比较广泛的系统主要包括QNX、Android,Windows和Linux (私有Linux和开源Linux)等操作系统,对于相关系统的登录,应采用身份鉴别机制,对车载终端系统的维修或维护阶段登录进行身份鉴别,可在车载终端系统中部署密码模块,同时登录系统的终端采用数字证书的方式进行身份鉴别,身份鉴别成功后再登录到系统中。对于T-BOX、IVI车载终端系统存在的访问控制信息以及存在日志信息等,车载终端可采用SM3等密码算法保护访问控制信息、日志信息等完整性。为避免ECU遭受恶意攻击、恶意代码写入、完整性遭受破坏等安全风险,可在ECU中安装密码模块,采用SM3密码算法保障数据的完整性,以及采用SM2/SM4 保障数据通信的机密性。
结语
本文主要对目前主流的车联网车端系统结构等进行分析,并在此基础上分析当前车联网车端T-BOX、汽车网关等关键设备存在的安全风险,以及密码应用需求等。依据安全风险和密码应用需求,结合《信息安全技术 信息系统密码应用基本要求》(GB/T 39786—2021),从网络和通信安全、计算和设备安全、应用和数据安全等方面分析和设计密码算法的应用方法,后续将进一步对车端密码应用需求、密码应用技术、检测技术等进行深入研究和验证。
来源:《网络安全和信息化》杂志
作者:中科信息安全共性技术国家工程研究中心有限公司 刘元
(本文不涉密)
在线咨询
在线咨询
0371-63319761