论文部分内容阅读
摘要:汽车网联化逐步提高,车内外交互信息越来越多,之前独立的汽车个体,在联网带来便利和多样性功能的同时,汽车网络安全问题也随之产生。近些年来汽车网络安全问题主要是互联网公司提出,并牵头相关标准的制定,整车厂处于被动配合的地位。本文从整车厂的角度,主要对车内终端和车内网络通信两个方面解析。首先对目前出现的汽车网络安全事件分析,得出真止影响车辆的因素。然后运用STRIDE方法分析网络安全威胁,最终从短期和长期措施两个方面提出网络安全防护措施。
关键词:安全漏洞;STR|DE;TBOX;CAN总线
1背景
汽车网联化程度提高,网联功能逐渐增多。汽车由原来的封闭个体变成了丌放的移动终端,车车通信和车后台交互信息增多,给生活带来了便利,但同时也引入了网络安全的风险。随着近几年汽车网络安全事件增多,对于该问题的关注逐步提升。
整车厂对于网络安全相关知识储备及意识小足,互联网公司及个人对于网联汽车的攻击兴趣高,便于成名,危害火。这些公司和个人确实发现了一些漏洞,部分也在极力倡导建市网络安伞相关标准和法律,目前主要是将互联网的一套标准直接照搬到汽车上,存在一定的弊端。所以本文从整车厂的角度丌展汽车网络安伞漏洞的研究,并提出防护措施。
2 国内外网络安全现状
2.1汽車网络安全定义
根据同际标准化组织(ISO)定义,网络信息安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络信息安伞包含:物理安伞、网络安全、云平台安全、系统安全、应用安全和数据安伞6个层面[1]。日前无统一标准定义汽车网络信息安全
2.2 网络安全事件分析
根据近些年发生的网络安伞事件,发现汽车网络安全旱现以下趋势:
2.国内外各大汽车品牌均有涉及;
3从单一车辆攻击到大规模的可复制性攻击;
4.从单体入侵到车辆可被控制。
网络攻击从攻击位置分为本地物理攻击和远程攻击。
本地攻击常见方式足通过在车内OBD接口接人设备,对整车CAN网络进行监测和发送指令。实施本地攻击的前提是进入车辆,并且在0BD接口接入设备,该方式发现的网络漏洞发生的可能性小,不在本文研究范畴。本文丰要研究具备可复制性的远程攻击。
实施远程攻击一般步骤为远程连接车辆、确定攻出日标、发现可用的远程服务、远程窃取车辆的数据或者远程攻击。
车主主要关注的是车辆安全、隐私保护。
3 漏洞分析
系统主要包括车内终端(TBOX)、网络、后台,TBOX通过CAN总线与车内其他控制器进行交互。
3.1车内终端
1) TBOX
一般车辆都是通过TBOX与车外交互,TBOX是整车的第一道防护。
使用STRIDE方法进行网络安全威胁分析,具体如下[2]:
2)网关
车内网关主要承担不同网段之问CAN报文和信号的转发,从而满足整车中不同网段控制器的信息交互和功能。网关是整车的第二道防护。
如果与车外交互设备,如TBOX被入侵,通过TBOX往整车上发送非法CAN报文,如果网关不加以过滤,直接将这些报文转发到网段2上,则可能可以对车辆的加速、制动、转向进行控制。
3.2车内通信
目前绝大多数车辆的车内总线还是以CAN为主,尤其是德系车,总线控制器和涵盖的功能包括动力、车身、娱乐等领域。
整车厂CAN设计的物理层和数据链路层沿用博世CAN2.0,应用层采用自定义的方式。CAN信号的传输采用明文和广播方式,任何连接到整车CAN中的节点均可以收发信息,从而获取车辆实时数据,并控制车辆”[3]。
3.3网络、后台
该部分的设计与车辆本身关系不大,汽车无特殊要求,可以沿用现有互联网相关的设计要求,本文不做赘述。
4 防护措施
4.1短期
4.1.1终端的防护
1)硬件保护
安全的调试接口[4]
表9 禁止不使用的端口邝艮制调试端口使用
安全boot
Boot过程中的根密钥保存在控制器的rom中或免收干扰的硬件中;
关闭debug接口或者进入恢复模式前需要鉴权。
篡改保护
芯片检测到暴力拆解,会采取相应措施:如擦除key,重置或发出警报。
2)软件保护[5]
代码分析保护:代码混淆;
安全访问控制:网络访问、存储访问;
应用隔离:一个应用的漏洞不能影响其他应用使用密钥的安全通道(对称、非对称);
安全升级:加密机制、安装完成前不能再次访问;
用户管理:l、不同用户采用不同的安全等级;2、不能使用匿名用户。
4.1.2车内网关的防护
网关过滤:对于非预期的报文信号直接丢弃,不予转发和处理;
身份认证:转发前对源节点进行鉴权,保证发送节点的合法性。
4.1.3车内CAN通信防护
总线隔离:不同安全级别的部件要放在不同的网络中;
车内CAN通信加密,尤其是对于安全相关的信号,增加校验和数据加密。
4.2长期
建立响应机制:主动防御,建立渠道收集市场上的漏洞信息,成立专门的团队来处理网络安全相关的紧急事件;
正向开发:在系统设计的初始阶段,综合考虑网络安全的要素,并在开发过程中不断修正。开发过程中各阶段对网络安全进行测试。
5 总结
本文主要进行智能网联汽车的网络安全漏洞和防护措施进行研究。首先分析了市场上智能网络汽车发生的网络安全事件,使用STRIDE方法梳理出网络安全威胁,并提出网络安全防护措施。本次研究的关注重点主要是车内终端和车内通信,从整车厂能够管控的部分进行重点研究,提出解决方案。因为网络安全对于整车厂是个新事物,后续将随着研究的深入逐步完善相关设计。
参考文献:
[1]吴多胜,王帆.网络安全从入门到精通[M].电子工业出版社.2008
[2]张灵通.信息网络安全在汽车行业的应用[J].信息安全与通信保密,2009(5):15-15
[3]孟娜.基于CAN总线的汽车网络安全系统的研究[J].沈阳理工大学,2011年12期
[4]卢卡.戴尔格罗斯,张涛.车用安全通信:协议、安全及隐私[M].北京理工出版社,2015年4月
[5]林晓东,陆荣幸.车载ad hoc网络的安全性与隐私保护[M].机械工业出版社,2016年10月
关键词:安全漏洞;STR|DE;TBOX;CAN总线
1背景
汽车网联化程度提高,网联功能逐渐增多。汽车由原来的封闭个体变成了丌放的移动终端,车车通信和车后台交互信息增多,给生活带来了便利,但同时也引入了网络安全的风险。随着近几年汽车网络安全事件增多,对于该问题的关注逐步提升。
整车厂对于网络安全相关知识储备及意识小足,互联网公司及个人对于网联汽车的攻击兴趣高,便于成名,危害火。这些公司和个人确实发现了一些漏洞,部分也在极力倡导建市网络安伞相关标准和法律,目前主要是将互联网的一套标准直接照搬到汽车上,存在一定的弊端。所以本文从整车厂的角度丌展汽车网络安伞漏洞的研究,并提出防护措施。
2 国内外网络安全现状
2.1汽車网络安全定义
根据同际标准化组织(ISO)定义,网络信息安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络信息安伞包含:物理安伞、网络安全、云平台安全、系统安全、应用安全和数据安伞6个层面[1]。日前无统一标准定义汽车网络信息安全
2.2 网络安全事件分析
根据近些年发生的网络安伞事件,发现汽车网络安全旱现以下趋势:
2.国内外各大汽车品牌均有涉及;
3从单一车辆攻击到大规模的可复制性攻击;
4.从单体入侵到车辆可被控制。
网络攻击从攻击位置分为本地物理攻击和远程攻击。
本地攻击常见方式足通过在车内OBD接口接人设备,对整车CAN网络进行监测和发送指令。实施本地攻击的前提是进入车辆,并且在0BD接口接入设备,该方式发现的网络漏洞发生的可能性小,不在本文研究范畴。本文丰要研究具备可复制性的远程攻击。
实施远程攻击一般步骤为远程连接车辆、确定攻出日标、发现可用的远程服务、远程窃取车辆的数据或者远程攻击。
车主主要关注的是车辆安全、隐私保护。
3 漏洞分析
系统主要包括车内终端(TBOX)、网络、后台,TBOX通过CAN总线与车内其他控制器进行交互。
3.1车内终端
1) TBOX
一般车辆都是通过TBOX与车外交互,TBOX是整车的第一道防护。
使用STRIDE方法进行网络安全威胁分析,具体如下[2]:
2)网关
车内网关主要承担不同网段之问CAN报文和信号的转发,从而满足整车中不同网段控制器的信息交互和功能。网关是整车的第二道防护。
如果与车外交互设备,如TBOX被入侵,通过TBOX往整车上发送非法CAN报文,如果网关不加以过滤,直接将这些报文转发到网段2上,则可能可以对车辆的加速、制动、转向进行控制。
3.2车内通信
目前绝大多数车辆的车内总线还是以CAN为主,尤其是德系车,总线控制器和涵盖的功能包括动力、车身、娱乐等领域。
整车厂CAN设计的物理层和数据链路层沿用博世CAN2.0,应用层采用自定义的方式。CAN信号的传输采用明文和广播方式,任何连接到整车CAN中的节点均可以收发信息,从而获取车辆实时数据,并控制车辆”[3]。
3.3网络、后台
该部分的设计与车辆本身关系不大,汽车无特殊要求,可以沿用现有互联网相关的设计要求,本文不做赘述。
4 防护措施
4.1短期
4.1.1终端的防护
1)硬件保护
安全的调试接口[4]
表9 禁止不使用的端口邝艮制调试端口使用
安全boot
Boot过程中的根密钥保存在控制器的rom中或免收干扰的硬件中;
关闭debug接口或者进入恢复模式前需要鉴权。
篡改保护
芯片检测到暴力拆解,会采取相应措施:如擦除key,重置或发出警报。
2)软件保护[5]
代码分析保护:代码混淆;
安全访问控制:网络访问、存储访问;
应用隔离:一个应用的漏洞不能影响其他应用使用密钥的安全通道(对称、非对称);
安全升级:加密机制、安装完成前不能再次访问;
用户管理:l、不同用户采用不同的安全等级;2、不能使用匿名用户。
4.1.2车内网关的防护
网关过滤:对于非预期的报文信号直接丢弃,不予转发和处理;
身份认证:转发前对源节点进行鉴权,保证发送节点的合法性。
4.1.3车内CAN通信防护
总线隔离:不同安全级别的部件要放在不同的网络中;
车内CAN通信加密,尤其是对于安全相关的信号,增加校验和数据加密。
4.2长期
建立响应机制:主动防御,建立渠道收集市场上的漏洞信息,成立专门的团队来处理网络安全相关的紧急事件;
正向开发:在系统设计的初始阶段,综合考虑网络安全的要素,并在开发过程中不断修正。开发过程中各阶段对网络安全进行测试。
5 总结
本文主要进行智能网联汽车的网络安全漏洞和防护措施进行研究。首先分析了市场上智能网络汽车发生的网络安全事件,使用STRIDE方法梳理出网络安全威胁,并提出网络安全防护措施。本次研究的关注重点主要是车内终端和车内通信,从整车厂能够管控的部分进行重点研究,提出解决方案。因为网络安全对于整车厂是个新事物,后续将随着研究的深入逐步完善相关设计。
参考文献:
[1]吴多胜,王帆.网络安全从入门到精通[M].电子工业出版社.2008
[2]张灵通.信息网络安全在汽车行业的应用[J].信息安全与通信保密,2009(5):15-15
[3]孟娜.基于CAN总线的汽车网络安全系统的研究[J].沈阳理工大学,2011年12期
[4]卢卡.戴尔格罗斯,张涛.车用安全通信:协议、安全及隐私[M].北京理工出版社,2015年4月
[5]林晓东,陆荣幸.车载ad hoc网络的安全性与隐私保护[M].机械工业出版社,2016年10月