因此,对安全加密芯片厂家,提出了严格要求,不仅要有完善的质量体系保证,通过ISO9001和ISO14001质量及环境管理体系认证,还要满足GM/T0008安全等级2级要求,具备国密证书,提供证明文件。
uJonathanM.McCune,移动设备上的可信执行,2013:“旨在实现可信执行的一组功能如下:隔离执行、安全存储、远程证明、安全供应和可信路径。”
在车辆内部,OBD-II端口连接到一个或多个通信总线。CAN是一种始终受到支持的总线协议,尽管可能还有其他协议(例如,通用汽车也使用GM-LAN)。CAN本身是一种高速、混杂的协议,将所有网络流量广播到给定总线上的所有节点。在现代汽车。CAN总线连接到OBD-II端口,通常可以接收和中继所有流量到接口的外部。
对于不同类型的车辆总线架构和不同类型的OBD-II设备,我们使用一个简化的图表来表示车辆中的潜在连接。图中的每个ECU表示与OBD-II端口在同一总线上连接的一个或多个ECU。控制ECU的能力使得攻击者能够控制车辆的功能。
图通用OBD-II设备威胁模型图
据调查顾问公司Technavio预测数据显示,2020年全球数字车钥匙市场将增长11%,同比实现193万辆车增长。然而数字车钥匙虽然使用便利,其面临的挑战亦不容忽视,特别是信息安全,正成为横亘在数字车钥匙普及路上最大的拦路虎之一。
对于车主来说,数字车钥匙的出现确实很大程度上缓解了车主丢钥匙的尴尬,但同时也带来了新的安全风险,比如信息安全。
其实早在几年前汽车厂商们就意识到数字车钥匙存在较大的安全风险,特别是身份认证、加密算法、密钥存储、数据包传输等环节容易遭受黑客入侵,进而导致整个数字车钥匙安全系统瓦解。为此车企们也在不断改进无钥匙进入系统,例如通过开展定期渗透测试、进行软件升级等方法来发现并解决安全漏洞。
钥匙系统功能安全威胁主要包括以下几点:
非法用户使用数字车钥匙,导致非法使用车辆;
阻碍删除终端设备中数字车钥匙数据的过程,导致非法使用数字车钥匙功能;
终端设备中并存多个车辆企业的数字车钥匙时,不安全的隔离机制可能产生安全风险。
数字车钥匙执行环境安全目标包括保证用户使用钥匙功能时具备用户身份认证(authentication)机制、已删除钥匙防恢复机制、钥匙迁移时不泄露隐私信息、终端设备中存在多个钥匙数据的安全隔离机制。
通信模块安全目标包括防止协议降级、中间人攻击、中继攻击、重放攻击、嗅探攻击等。
硬件方面,标准要求:
应采取必要的措施保证车内充电系统的调试接口安全,如增加调试接口鉴权校验机制或禁止主板有调试接口暴露;
OTAManager管理所有ECU的升级过程,它负责将固件分发到ECU,并告知ECU何时执行更新。
ECU更新完成后,OTAManager通过T-BOX(或者其他联网部件)向云服务器发送确认。
车联网OTA升级安全解决方案主打安全、可靠,在迅速满足客户快速应急响应基础上,具备完善的网络安全保障能力。OTA升级服务可涵盖车载应用的SOTA、车身控制与动力控制ECU的FOTA,以及汽车后市场行车记录仪、OBD盒子的升级服务等,为主机厂及Tier1供应商提供云端OTA及车载终端全套的OTA系统解决方案。基本模块包含安全鉴权、通信安全加固、断点续传、掉电保护、升级失败回滚等功能,保障升级过程安全、可靠。
OTA安全风险存在于升级的各个流程,常见的安全风险有云服务器安全风险、传输安全风险、通讯协议安全风险、车端安全风险、升级包篡改风险等。
1.云服务器安全风险
2.传输安全风险
OTA云服务推送软件升级包到车端的过程,若采用弱认证方式或明文传输,容易遭受中间人攻击、窃听攻击等,黑客可进一步获取升级包进行解析、篡改升级包信息等,可能导致关键信息泄露、代码业务逻辑泄露等风险。
3.通讯协议安全风险
云端与车端的通信过程若采用不安全的通信协议或通信过程不采用认证机制、明文通信等,容易遭受中间人攻击、窃听攻击、重放攻击、DoS攻击等,可能导致车端升级信息错误、敏感信息泄露、拒绝服务等风险。
4.车端安全风险
车端获取到升级包后会进入升级流程。若引导程序、系统程序、OTA版本号等固定参数可信验证策略不安全或缺失,可能导致车端运行恶意系统,造成隐私泄露、财产损失等风险。此外,车端系统出现公开漏洞,若不及时进行修复,可能导致黑客利用漏洞进行攻击,造成车辆、财产乃至人身安全风险。
5.升级包篡改风险
篡改或伪造升级包后发送到车端,若车端升级流程缺少必要的验证机制或验证机制存在漏洞,篡改或伪造的升级包可顺利完成升级流程,可达到篡改系统、植入后门等恶意目的。
a)记录与车辆类型有关的硬件和软件版本;
b)识别与类型批准有关的软件;验证组件上的软件是否符合申报信息;
c)识别相互依赖关系,特别是与软件更新有关的依赖关系;
d)识别车辆目标,并验证其与更新的兼容性;
e)评估软件更新是否影响类型批准或合法定义的参数(包括添加或删除功能);
f)评估更新是否会影响车辆安全或安全驾驶;
g)通知车主最新情况,并记录以上所有内容。
6.V-SOC+OTA提升整车性能与安全
在汽车的智能系统如T-BOX、车内智能影音娱乐系统、网关设备中嵌入VSOC安全防护程序,通过此程序与V-SOC平台系统之间的讯息同步,在汽车运行的过程中实时可迅速侦测安全风险、保护设备以避免持续扩大的安全威胁。最后,通过OTA更新,持续不断地从远程进行安全监测与优化,有助于提升设备之服务的安全等级。
在扫描部分,系统首先会进行恶意软件与漏洞检查,定期通过云端比较分析装置所使用链接库的安全漏洞信息,侦测已发现的安全漏洞。
同时启用白名单机制,藉由已核准的应用程序白名单允许经过核准的执行程序和应用程序在装置上执行;
在监测部分,系统采用代管式入侵防护(IPS),检查网络流量是否有攻击的封包,若有则加以拦截,确保网络正常运作;
如遇黑客攻击时,系统可通过实时的虚拟补丁(virtualpatch)下发到车端,实时防堵遭到已知的漏洞攻击路径,降低安全风险,等待通过OTA更新程序修复;
最后,车厂通过掌握被攻击的信息进行程序修补,搭配OTA功能的将已解决安全漏洞的程序下发到车端更新,达成具备高实时性的安全防护对策。
联系人:朱云尧(zhuyunyao@caeri.com.cn)
通用技术中国汽研政研中心,围绕汽车电动化、智能化、网联化和新服务,组织开展汽车政策法规、前沿技术、产业地图、企业战略、商业模式等跟踪、解读和研究工作。