上海市机动车检测中心技术有限公司 上海市嘉定区 201800
摘要:近年来,随着车辆智能化程度的不断提高,车辆各种系统受到攻击的可能性越来越大,其安全风险也越来越大。因此,汽车的安全性能受到了广泛的关注。为了降低交通事故的发生率,大多数汽车公司都致力于开发汽车安全防护系统。当前的汽车安全保护技术主要分为主动保护技术和被动保护技术;其中,主动保护技术主要用于预防交通事故,被动保护技术主要用于减少人员伤害。
关键词:智能网联汽车;多级安全防护;系统设计
1智能网联汽车的安全风险分析
智能车在汽车机网络、汽车网络和车载移动互联网为基础,并预先同意标准通信协议,车辆和行人之间的数据交互,之间的车辆和车辆,车辆和无线通信的网络,网络的大型系统之间的信息交换是实现智能控制,智能车辆动态信息服务与网络智能交通管理的集成。智能联网车辆主要由网关接入层、通信层、移动APP、服务层和物理感知层组成。
1.1感知层安全风险
智能网车的硬件主要包括智能后视镜、行车记录仪、车载诊断仪器、智能车钥匙、车载传感器、车载视频监控系统等。其中,车内ECU(Electronic ControlUnit,电子控制单元)通过LIN(LocalInterconnectNetwork,局部互联网)、CAN(ControllerAreaNetwork,控制器局域网络)等网络进行连接,如果车辆中的网络受到攻击,然后对ECU进行控制,通过发送大量的错误信息,CAN总线就会失败,最后ECU就会失败。因此,网络在汽车上是非常重要的。
1.2网络传输安全风险
网络层主要包括移动通信网络、网络服务平台和移动接入管理。其APN(AccessPointName)线主要用于移动通信和移动接入管理之间的连接。网络层的安全组可以保证各车辆网络终端与网络中心之间的数据双向传输过程中的安全保护。网络传输层、网络访问层等存在着认证风险、传输风险、协议风险等风险。其中认证风险包括未验证发送者身份信息、伪造身份、中间人攻击、动态劫持等。传输风险包括未加密的车辆信息传输、密钥暴露、加密强度不足以及对所有车型使用相同的对称密钥。协议风险指的是伪造的通信进程。
1.3应用服务层安全风险
应用服务层的安全包括服务平台的安全、服务环境的安全、服务访问的安全等。这些部件可以使车辆实现支持行业基础环境用户的车联网服务、安全防护、车联网业务平台的安全防护、公共网用户的接入安全防护等多种功能。应用程序在互联网上处于开放状态,必然会出现漏洞:(1)劫持验证码;(2)文件操作;(3)泄露数据;(4)盗取用户的账号和密码;(5)修改车辆的位置信息;(6)发送伪造数据;(7)短信活动;(8)网络活动;(9)修改传输数据;(10)行为监控。车联网具有非常复杂多样化的应用系统,某一种安全技术无法完全处理应用系统中所有的安全问题;然而,一些常见的应用存在着各种各样的问题,如安全漏洞、配置不当等,直接影响到整个网络的安全。一般的应用主要有电子邮件服务程序、WebServer程序、浏览器和Office软件。
2系统设计方案
从整个智能联网车辆的生态角度出发,从多方面进行防护,设计出综合的安全防护方案:(1)从小到大:从芯片安全到云安全,对应每一个点提供保护;(2)由内而外:从车内到整个生态环境的安全;(3)从头到尾:从安全设计到后续安全运行。系统防御的原则包括体系结构的全面性、技术的创新性和解决方案的全面性。
(1)架构全面性:采用端管云的安全架构,考虑整个生态的安全需求;
(2)技术创新:随着智能、网络连接、电气的快速发展,未来可能会有更多的攻击方式,这就需要不断创新,使用更新的技术进行保护;
(3)方案的综合性:多样性和层次性将更加突出。根据风险分析防护方案的合理实施,部署更合适的安全防护产品。
2.1智能网联汽车整体安全系统架构
该系统主要考虑不同的保护对象,采用不同的保护技术。智能互联车辆的整体安全体系结构可分为系统感知层、传输层、接入层和服务应用层。其中,在系统感知层,应考虑总线网关对DoS(DenialofService)消息攻击进行过滤,避免阻塞。需要对具有入侵意图的消息进行身份验证。在传输层和访问层进行非对称加密认证,数据通道采用对称加密,并添加可信车辆标识和访问信任链。对于服务层应用和移动应用,应用需要进行应用安全评估、组件安全保护、反编译保护等。同时,通过对系统的渗透测试保证,及时发现系统存在的问题和漏洞,从而尽快解决问题。
2.2车辆网络网关安全防护设计
在标准汽车网络中,网关使用CAN、LIN、FlexRay等实现各个ECU的数据交互。基于CAN数据广播自身机制和大量数据验证缺陷的存在,容易受到DoS攻击。
为了保护车辆,采用了最安全的车辆网络模型。为了保护车辆总线不受外部网络攻击的干扰,在总线应用程序中增加了安全控制节点。以ODB(On-BoardDiagnostics,车载自动诊断系统)、T-Box(TelematicsBox,远距离通信盒子)接口的互联网汽车总线应用系统为基础,利用安全控制中的机制拦截外部信息系统,从而直接控制汽车总线,这一部分主要通过独立的网关过滤DoS攻击;对于需要进行控制的合法请求,可以将其加入到可信任类型的模型中。
在可信模型中,只有经过身份验证的用户才能从总线获取数据。如果需要将数据发送到CAN总线,则必须先请求总线保护模块,经过总线保护模块批准后才能发送消息。此外,网关作为总线中的保护模块,通过控制终端设备中的CAN数据传输接口对车辆总线进行保护。T-box通过请求来实现发送数据的目的,模块通过计算来判断是否允许将数据发送给总线。如果允许,则发送数据;如果没有,它就拒绝发送数据。为了抵抗终端设备中可能出现的高频母线传输要求,母线保护模块以时间为判断标准。
此外,硬件隔离技术在网关,网关信息隐藏,不暴露的网络通信,无线网关之间的通信,并采用不同的单片机,同时实施隔离,并且必须确保总线之间物理隔离网络和无线网络,然后判断单元,转发,在中断程序来确定诊断请求的来源,然后开始提出特定的反应,避免了总线信息泄露和转发错误等,同时有效地保障了用户隐私和车辆数据信息的安全性。处理机制如图1所示。
图1总线消息处理机制
2.3云安全及APP安全防护
在云安全方面,主要采用可信服务管理的安全云,通过这一方式实现从云到管和端之间的安全传输。对云端来说,除了需要进行中间件防护、病毒方面的防护、存储安全防护以及访问控制防护之外,还有一项最重要的防护,就是避免黑客利用购机的方式来获取密钥,这一防护同时也是最难防护的,如果黑客获取了密钥,就会导致所有的防护形同虚设;因此防护密钥非常关键。为充分考虑攻击下的密钥防护安全,本系统选择利用各种密码技术来加固防护,密码在汽车的信息安全防护中是非常基础的防护方式;因此,利用安全密码盒来防护用户的密钥。
结束语
本文主要分析了智能联网汽车的安全风险,设计了智能联网汽车多层次安全防护系统,并对该系统进行了系统检测。该系统能有效规避车联网平台上的安全隐患,保证车联网平台的安全,使车辆驾驶员在更稳定、安全的环境中驾驶。
参考文献
[1]王永峰,石教学,于永彦.智能网联汽车网络安全漏洞及防护研究[J].汽车科技,2018,(z1):16-20.
[2]胡文,姜立标.智能网联汽车的多级安全防护方案设计和分析[J].网络安全技术与应用,2017,(2):136-138,140.