目前,智能化、网联化、电动化是汽车发展的大趋势,各大汽车企业与互联网公司积极开展合作,共同开启云端新时代。与此同时,针对智能网联汽车的攻击事件却频繁发生,使得汽车网络信息安全问题日益凸显。
针对汽车网络信息安全问题,梅赛德斯-奔驰汽车公司于2017年便与360集团建立了合作关系,360集团智能网联汽车安全实验室Sky-Go团队发现了梅赛德斯-奔驰智能网联汽车存在的19个安全漏洞并加以修复。在2018年比亚迪全球开发者大会上,比亚迪与360集团正式签订战略合作协议,共同探讨解决智能汽车的信息安全与网络安全问题。Ju等研究了以太网在汽车车载网络的应用以及对未来汽车电子电气(E/E)体系结构的预期。Wampler等针对CAN总线提出了相应的通用安全解决方案。Lee等通过对汽车进行攻击实验,验证了汽车的网络脆弱性以及建立安全解决方案的紧迫性。Chen等参照传统信息系统的分类安全防护评估标准,建立了车辆信息系统分类安全防护评估系统。Haas等研究利用人工神经网络建立联网汽车入侵检测模型,实现对攻击数据的过滤。
上述研究均是针对汽车网络信息安全展开的,但是针对智能网联汽车系统的网络信息安全防护方案尚未提出。本文从汽车车载网络信息安全的角度出发,提出一种汽车车载网络通信安全架构方案,该方案通过构建多域分层入侵检测模型,实现预防—检测—预警的完整安全防护体系。
1.域集中式电子电气架构如今,智能网联汽车的功能越来越丰富,相应搭载的电子控制单元(electroniccontrolunit,ECU)的数量也随之增多,继而与云端、第三方APP等信息交互的远程通信也在增多,这也使得利用云端、第三方软件实施攻击的可能性增大。如果采用传统汽车分布式电子电气架构,数量过多的ECU不仅会产生复杂的线束设计和逻辑控制问题,同样也给汽车网络信息安全增添隐患。这些问题的出现,都说明了现代汽车分布式电子电气架构需要进行改革。美国汽车工程师学会推出了J3061TM《信息物理融合系统网络安全指南》,旨在通过统一全球标准,推动汽车电气系统与其他互联系统之间安全流程的建立。本文参照《车辆传统系统功能安全标准ISO26262》定义的流程,制定车辆信息安全架构图如图1所示。
图3域集中式电子电气架构图根据我国国情,智能网联汽车域集中式电子电气架构结合了智能化、网联化、电动化3大部分的应用。相较于以前的汽车分布式电子电气架构,针对算力不足方面,域控制器作为每个域的独立控制器,其内部需匹配一个核心运算力强的处理器,以满足智能网联汽车对算力的要求,目前业内有NVIDIA、华为、瑞萨、NXP、TI、Mobileye、赛灵思、地平线等多个品牌方案。在安全防护方面,域集中式架构将车辆根据功能及通信速率要求分为若干个独立功能模块,若攻击者想要通过某一功能对整车进行攻击,该功能所在的域控制器可以及时监测并排除隐患,不会影响其他功能域,有效减少了攻击面扩大的可能性。2.智能网联汽车面临的信息安全威胁分析
随着车辆连通性功能的极大扩展,导航定位、自动泊车、远程控制及诊断等功能已逐渐成为汽车的标配。这些功能带给人们极大便利的同时,也带来了更多安全隐患。
根据遭受攻击的方式不同,智能网联汽车安全隐患由远及近可划分为以下4个方面:
(1)云端层安全隐患云平台存储着汽车关键信息,能够给汽车提供路况信息、定位导航、报警、远程控制等,如果云平台遭到黑客攻击,大量重要数据外泄,后果不堪设想。
(2)网络传输层安全隐患智能网联汽车通过无线通信的方式实现与云平台、移动端APP、其他车辆、交通状况等数据的信息交互,而无线通信方式可能存在着身份认证、数据信息加密、协议等安全问题,因此汽车也有相应的安全隐患。
(3)车载通信层安全隐患随着车辆外部接口的增多,车辆内部通信过程中电子控制单元固件的安全隐患、数据传输过程中的安全隐患也随之增多。
(4)外部接口安全隐患目前市场上有很多第三方APP,APP种类繁杂,其安全防护也是消除隐患的重要一环。如果黑客入侵APP,甚至可以直接远程操控汽车。除此之外,电动汽车的充电枪与充电桩之间通信接口也存在安全隐患,一旦遭到攻击,电动汽车的能源系统遭到破坏,可能会带来生命危险。3.汽车车载信息安全隐患分析
(1)车载智能终端(车载T-BOX)攻击
车载T-BOX主要用于车与车联网服务平台的通信,具有车辆远程控制、远程查询、报警等功能。正常情况下,车载T-BOX通过读取车载内部CAN通信数据信息,并通过无线通信方式将信息传递至云平台或APP。车载T-BOX的安全隐患主要有3个方面:一是固件逆向,攻击者通过逆向解析车载T-BOX固件,获取密钥,解密通信协议;二是通过车载T-BOX的预留调试接口读取内部数据并进行分析,解密通信协议;三是通过仿冒云平台的控制指令,将指令发送到汽车内部,实现对汽车的远程控制。
(2)车载信息娱乐系统(IVI)攻击
车载信息娱乐系统用于导航、路况播报、车辆信息、通讯、辅助驾驶、CD/收音机等的应用。由于车载信息娱乐系统的功能丰富,攻击者既可以通过USB、蓝牙、Wi-Fi等通信方式进行攻击,也可以通过软件升级获得访问权限对系统进行攻击。
(3)诊断接口OBD-Ⅱ攻击
汽车诊断接口OBD-Ⅱ是汽车ECU与外部进行交互的接口,其主要功能是读取车辆的数据信息和故障码,用以车辆维修。OBD-Ⅱ接口一旦遭到攻击,不仅可以通过该接口破解汽车内部通信协议,而且还可以通过植入恶意硬件发送控制指令实现对车辆的控制。
(4)传感器攻击
智能网联汽车拥有大量的传感器设备,用于车与车、车与人、车与路、车与云的通信。如果传感器遭受恶意信息注入、窃听等攻击,高自动化车辆可能会无法正确判断周围环境行为,造成严重后果。(5)车内网络传输攻击汽车内部网络通信大多采用CAN总线传输,CAN总线具有成本低、通信速率适中、抗电磁干扰能力强等特点,因此被广泛应用于汽车电控系统。但CAN总线采用非破坏性总线仲裁方式,具有校验简单、一发多读等特点,安全防护措施薄弱,攻击者若通过CAN总线进行报文重放、拒绝服务、篡改等方式进行攻击,将导致驾驶员控制指令失效、汽车无法正常行驶的后果。4.汽车车载通信安全解决方案
在智能网联汽车信息安全防护方面,根据攻击发生的不同过程,分别建立主动防护、入侵监测、应急处理的系统安全防护措施,保障汽车的信息安全。在攻击发生前,做好主动防护,对汽车的通信数据进行筛查过滤,对常见的攻击方法有效防范。攻击发生后,持续监测汽车通信状态的变化,及时对攻击点采取应急措施并及时更新,防止危险的发生。
根据目前对汽车信息安全技术适用性模型的分析,结合全新的汽车域集中式电子电气架构,构建车载多域分层入侵检测模型,针对云端层、域控制器层、ECU层、车内网络传输层进行分层入侵检测,采取对应的主动防护措施,以达到精准防护的效果。多域分层入侵检测示意如图4所示。
图4多域分层入侵检测示意图
(1)域控制器层
新架构方案中,域控制器既是整个域的计算集成平台,也是域与域、域与云端之间进行信息交流的网关。域控制器作为汽车内外网络信息交互的安全边界,是汽车车载网络安全防护的重点。因此,在安全边界建立安全防火墙,对数据信息进行安全检测、访问限制、日志记录等安全性检测,以实现安全防护。
汽车的通信报文由ID、数据信息、校验位等部分组成。ID确定报文的传输优先级和目的地址,数据信息确定操作指令,校验位确保传输的数据信息完整。
安全防火墙的主要作用是实现访问控制功能,汽车安全防火墙框架图如图5所示。
图5安全防火墙框架图
防火墙访问控制功能的实现主要基于建立汽车通信报文的白名单数据库,一旦检测到报文请求,将报文ID与白名单数据库进行比对,匹配成功则通过,失败则丢弃。
防火墙的异常检测技术有多种,常见的检测技术包括入侵异常检测方法,基于神经网络、聚类、遗传算法,基于信息熵、关联规则等。入侵异常检测方法主要通过对大量正常行驶的汽车的通信数据进行分析,构建汽车通信网络安全模型,并用该模型监视用户及系统的行为,分析是否存在异常的非法数据活动,并向用户报警记录。汽车报文分为周期报文和事件触发报文,入侵异常检测技术可以根据不同情况建立模型。
由于汽车车载芯片的计算能力不足以同时实现安全性与实时性的最大化,因此现采用的入侵检测的方法需要在保证实时性的基础上,对入侵进行有效检测,目前针对汽车车载报文流量监测是最为有效的办法。安全防火墙中访问控制、通信标准检测、异常分析的入侵检测流程如6所示。
图6入侵检测流程
(2)车内网络层
每个域内网络传输安全是安全防护机制的第二道防线。根据功能域所需要的通信要求的不同,采用的车载传输网络也有所不同。目前,除了信息娱乐系统以外,大都采用CAN总线通信。CAN总线的广播特性、非破坏性总线仲裁方式等导致安全防护薄弱,因此需要制定通信安全协议。
通信安全协议的设计主要由ECU节点的校验和传输数据信息的加密2部分组成。在汽车行驶前,域控制器随机分配每个ECU的身份,ECU要向域控制器发送认证请求,进行身份认证,从而保证节点的合法性,完成ECU节点的校验。汽车行驶过程中,车载网络的通信信息需要加密,以防攻击者窃听、伪装。结合汽车对实时性要求高的特点,数据加密采用AES对称加密算法。ECU身份认证流程如图7所示,CAN通信加密报文格式如图8所示。
图7ECU身份认证流程
图8CAN通信加密报文格式
对称加密计算量小、速度快,适用于汽车大数据通信。对称加密算法中,加密方和解密方事先都必须知道加密的密钥,发送和接收双方都使用该密钥对数据进行加密和解密。基于对汽车数据的安全性和实时性的要求,可以根据已校验成功的ECUID以及数据发送ECU和接收ECU,建立独立的加密表作为密钥对数据进行加密,并根据对汽车实时性的验证,相应调整加密表的加密难易度,最大化地保证数据的安全。