新闻中心

EEPW首页 > 汽车电子 > 设计应用 > 车载终端信息安全威胁与防范

车载终端信息安全威胁与防范

作者:时间:2016-10-22来源:网络收藏

(6)重放

缺少对所收到消息的时效性的验证,使利用重放攻击而导致的汽车事件屡屡发生。攻击者通过窃听获得重要的消息,并在自己需要的时候,再次发送,从而进行非授权的任意操作。

2.2 按照攻击者发起的位置对威胁进行分类

(1)远车攻击

攻击者通过网络发起的攻击,包括通过攻击汽车各网络应用平台,攻击相应的手机APP,或者在通信网络中采取各种措施的攻击(见图1)。

这类攻击成本低,突破环节多,威胁发生的可能性高。攻击者也会SQL注入有漏洞的Web服务器端,监听通信信道,甚至利用车载终端远程通信协议中的漏洞,比如用于车载终端与远程呼叫中心通信的AQLINK协议中缺少控制信息包长的检验,或者随机数缺陷等漏洞,发起攻击。已经出现的事件包括车载智能系统“Uconnect”被攻破,黑客可以实现远程控制汽车刹车、油门和方向盘,为此克莱斯勒在美国紧急召回了140万辆汽车。

(2)近车攻击

攻击者在车附近,通过短距离通信的各种协议,与车辆建立网络连接,访问车辆的信息系统(见图2)。

既包括通过Wi-Fi或者蓝牙协议的连接,也包括使用RKE,胎压监测、RFID车钥匙的应用,甚至攻击者已经开始分析802.11p或者DSRC等新兴的,用于车车通信的短距离通信协议。2015年就有国内安全团队绕过几款车的门锁遥控滚码机制,演示了非授权开车门的试验。

(3)车内攻击

是指攻击者已经可以连接到车内系统的各接口,包括用于诊断的OBD接口,车载终端提供的USB接口,或者能插入SD卡、CD、DVD的存储介质(见图3)。这些接口和读取存储介质的系统都与车内总线相连,同时总线也连接了汽车的各ECU。

例如,攻击者通过特别的硬件装置连接到OBD接口,同时硬件装置与电脑通过USB或者Wi-Fi进行连接,电脑就接入了车内总线,可以发起探测和攻击。也有试验证明,攻击者也可以通过恶意构造的音频或者视频文件,对车载终端进行破解。这种攻击的前提是知道播放器等应用的安全漏洞

3、车载终端发展趋势和防范重点

随着车载终端处理能力的发展,其功能也将T-Box和Infotainment进行了融合。车载终端本身代码量的增加,与车辆电子电气系统的网络连通,与云端信息的交互,终端升级机制的简化,这些车载终端发展的趋势以及威胁的特点、威胁发生的位置等因素决定了围绕车载终端和针对其自身的安全机制的使用和安全防范的重点。应在车载终端设计开发的过程中,使用科学的方法,实现真正的安全措施实施。

3.1 加强车载终端文件系统完整性校验

采用完整性校验手段对关键代码或文件进行完整性保护。例如,在硬件的特殊分区中,保存一份当前操作系统的指纹信息,定期对指纹信息进行校验,确认操作系统关键文件未被修改。

车载智能终端硬件安全引导应提供安全机制,保证只能加载可信的车载操作系统内核组件。例如,操作系统的镜像需要进行厂商签名。在启动时,需要进行签名验证,以发现对操作系统内核的非法篡改。

3.2 与云端通信的信道安全

车载终端与外部通信,应保证所使用信道安全。例如,使用支持网络侧和终端侧双向鉴权的SIM解决方案,并且在基带处理中,增加对伪基站识别分析的能力,拒绝接入伪基站。在车载终端和TSP平台建立相应的VPN/VPDN/专用APN等,使车联网系统使用相对的专用网络,利用加密机制和完整性校验等技术手段,对抗窃听、伪造等多种攻击。同时,加强云端服务器安全,严格访问控制策略,加强用户权限设置管理,对口令强度采取必要要求,定期漏洞修补,从而保证平台测安全。

3.3 车内安全域隔离和访问控制

车载终端与车内各电子电气系统划分安全域,每个安全域有只属于自己的,不能伪造的标示,并通过相应的密钥对所传输的数据进行加密和完整性保护。增加独立的安全通信模块,内置集成高性能密码安全芯片和安全操作系统,负责密钥管理。必要时,在车载终端与车内电子电气系统总线之间添加串行防火墙,对车载终端传送到各ECU的指令进行检查,满足安全性要求再传递。

车载终端自身内核强制访问控制:对用户(或其他主体)与文件(或其他客体)标记固定的安全属性(如安全级、访问权限等),在每次访问发生时,系统检测安全属性,确定用户是否有权访问该文件。

3.4 车载终端应用程序安全

必须对应用程序在运行过程中使用的文件访问权限进行控制。对于使用客户端数据库存储数据的车载终端,应限制数据库访问权限。敏感信息需采用安全方式加密存储,包括计算哈希值、对称加密、非对称加密等等技术手段。

应用程序自身应采取加壳、代码混淆等适用的对抗逆向安全分析方法的保护,防止攻击者查找系统漏洞加以利用。

对于程序所收集、产生的用户数据应通过计算哈希值方式进行保护时,应在计算的源数据中加入随机数据,防止敏感信息的哈希值被重放利用。使用对称加密、非对称加密等加密算法对敏感信息进行保护时,应使用健壮的加密算法,并使用足够长度的加密密钥。

3.5 终端升级的安全机制

车载终端对更新请求应具备自我检查能力,车载操作系统在更新自身分区或向其他设备传输更新文件和更新命令的时候,应能够及时声明自己的身份和权限。升级操作应能正确验证服务器身份,识别出伪造的服务器,或者是高风险的链接链路。升级包在传输过程中,通过报文签名和加密,防篡改和伪造。

3.6 加强安全审计安全

车载终端应具备记录所有用户访问日志的功能,便于进行适当的审计和监控。在完成安装时应开始记录所有用户(特别是具有管理权限的用户)的访问。车载终端的日志记录功能应能自动启动,并将日志文件定向到统一的外部服务器,便于审计。



关键词: 安全 车载系统

评论


相关推荐

技术专区

关闭