商用密码技术在车联网信息安全中的应用

发布日期：2023-06-13

随着汽车的信息化、智能化不断普及，车联网技术已经在各大车厂的量产车型实现了较为广泛的应用，但随之而来的安全问题日益凸显。传统汽车中潜伏的一些隐患和问题暴露在网络中，汽车上的各种电子设备、车载的智能信息系统、OBD（车载诊断）接口等，可能成为黑客入侵车辆系统的途径。密码技术是保障网络安全的核心和基础支撑技术，同时也是解决车联网安全问题最有效、最可靠、最经济的手段。本文主要参照信息系统密码应用的技术要求、实现方法、检测方法等，对汽车车端密码技术手段和实现方式，以及应用的合规性、正确性、有效性等方面的检测技术等进行研究。

车联网技术中车端信息安全问题

汽车不断向智能化和网络化方向发展，在提升使用者的驾驶体验的同时，也引入了新的安全风险，车端信息安全问题及需求如下。

1.CAN总线安全风险，主要体现在CAN总线自身的脆弱性，协议不能确认接入节点的身份真实性，且没有加密机制，可导致通过劫持的节点伪造其他节点发送数据。

2.ECU安全风险，主要包括被修改和重新烧录，攻击者在固件程序中植入恶意代码，设计上的缺陷或者漏洞等安全风险。

3.车载网关安全风险，主要体现在车载网关中系统数据/配置数据泄露、软件或数据的更新包遭受篡改、通信消息泄露或篡改等安全风险。

4.车载终端安全风险，主要体现在T-BOX、IVI、OBD等终端设备上存在的安全风险。其中，T-BOX存在逆向攻击、信息泄露、网络攻击等安全风险；IVI通过感染 U 盘等，攻击信息娱乐系统等；OBD诊断接口风险，主要体现在硬软件上的安全漏洞，造成黑客攻击的风险。

车载终端

密码技术作为信息安全的核心技术，能够为车联网车端在终端安全接入、ECU之间安全通信，以及固件安全等方面提供技术支撑。具体如下。

1.针对CAN总线的节点身份安全问题，可采用基于数字证书等密码技术，实现对节点的身份认证，防止非授权的接入。

2.针对CAN总线的数据明文传输问题，可通过密码技术实现重要数据的加密传输，避免信息泄露。

3.针对车载终端安全风险，可采用杂凑、数字签名等密码技术，实现固件程序的完整性保护，并通过密码技术实现对配置数据的安全保护。

4.针对车载设备对外通信所导致的风险，可对接入车载设备的用户及设备采用数字签名、杂凑算法等实现身份鉴别。

车端安全体系架构研究

车联网车端安全体系主要包括安全区域边界、安全通信网络和安全计算环境等方面。如图1所示。

图1 车端安全体系架构

1.内部区域边界安全。在汽车网关需要实现边界安全防护、访问控制、非授权访问控制、数据加解密、密钥管理等安全功能。边界安全防护主要实现接入到车载CAN网络的ECU设备进行控制；访问控制主要为不同区域之间实施管控；数据加解密主要实现ECU与网关通信的重要数据加密。

2.外部区域边界安全。主要为防护T-BOX、IVI等车载终端系统与外部TSP、移动终端等数据交互的边界安全，需要实现通信身份鉴别、通信数据加密传输、入侵防范、实体接入身份认证、加密存储、密钥管理等安全功能。

3.车载终端安全。主要包括T-BOX、IVI等车载终端系统的操作系统安全和应用系统安全。

4.应用数据安全。主要包括T-BOX、IVI等车载终端系统与ECU之间以及ECU与ECU之间通信，应采用数据加密和完整性保护机制。

车端密码技术应用研究

车联网车端可采用数字证书、对称密码技术、非对称密码技术等密码技术，满足车端接入ECU的身份真实性、CAN总线数据加密传输、固件程序的完整性保护等安全需求。通过建设PKI系统和KMS密钥管理系统，搭建更便捷的车联网通信，防护措施具体包括：一是基于证书的车载端身份认证，目前较完备的方式是基于PKI证书身份认证，智能网联汽车首次启动进行通信连接时，PKI系统签发可信证书写入车载密码模块，用于汽车车端通信，确保仅有认证后的汽车车端通信安全；二是基于证书的传输加密，智能网联汽车在获取可信证书后，后续通信通过证书进行密钥协商并加密通信数据，加密协议通常采用HTTPS应用层加密或者SSL、TLS传输层加密，增加攻击者窃听破解的难度，保障通信安全；三是基于密钥的加密，智能网联汽车经过车内数字证书认证后，向车载电子控制单元各ECU传递加密控制信令，只有经过密钥的加解密才能执行，确保汽车在启动后车端业务的安全可靠。

通过密码模块强化智能网联汽车安全防护已成为未来重要方向，将加密算法、访问控制、完整性检查嵌入到汽车控制系统，加强车载终端的安全性，提升安全级别。通过在IVI和TBOX中配套部署安全密码模块，负责管理及使用密钥，实现密码计算，包括加解密、完整性校验、数字签名等。

1.网络和通信安全（1）T-BOX通信身份鉴别T-BOX与汽车网关通过CAN总线通信实现对车辆状态信息、控制指令、远程针对等信息的传递，通过数据链路的方式实现与TSP系统的通信。当用户通过PC端或移动端发送控制指令后，TSP发出指令到T-BOX，车辆获取到控制命令后，通过CAN总线发送控制报文实现对车联的控制。若恶意用户通过TSP平台控制车辆，将造成严重影响，需要在T-BOX与TSP采用身份鉴别机制，彼此进行身份认证，保障通信双方的真实性，防止外界攻击、发送错误指令等。T-BOX与TSP之间的身份鉴别可采用数字签名、数字证书等密码技术实现，并协商出会话密钥，确保用户数据安全传输。TSP与T-BOX之间验证双方证书,采用SM2数字签名技术进行双向身份鉴别，利用SM2的密钥协商算法协商出密钥，确保传输数据的保密性。

（2） IVI通信身份鉴别IVI基于车身总线系统和互联网服务，可通过Wi-Fi、无线、蓝牙等网络通信技术实现与智能终端App的通信，并进行相关操作。若恶意用户非法接入到IVI系统中，可造成严重信息泄露、数据篡改等安全风险。App应用接入到IVI中，需要采用双向认证机制，保证接入的APP安全可靠，可采用数字证书、数字签名等密码技术实现身份鉴别以及数据安全传输。IVI与APP之间的身份鉴别，可采用数字签名、数字证书等密码技术实现，并协商出会话密钥，保障用户数据的安全传输。App与IVI相互验证双方证书，采用SM2数字签名技术进行双向身份鉴别，同时利用SM2的密钥协商算法协商出密钥，用于传输数据的保密性。

2.计算和设备安全车载网关可通过有线网络与PC机进行通信，采用Web等方式进行管理。对于车载网关系统的登录，应采用身份鉴别机制，可在车载网关中部署密码模块，PC机采用数字证书的方式进行身份认证。

车载网关中可能存在T-BOX、OBD、各类ECU之间的访问控制信息，以及存在日志信息等，车载网关可采用SM3等密码算法保护访问控制信息、日志信息等完整性。T-BOX、IVI车载终端系统中，目前应用比较广泛的系统主要包括QNX、Android，Windows和Linux （私有Linux和开源Linux）等操作系统，对于相关系统的登录，应采用身份鉴别机制，对车载终端系统的维修或维护阶段登录进行身份鉴别，可在车载终端系统中部署密码模块，同时登录系统的终端采用数字证书的方式进行身份鉴别，身份鉴别成功后再登录到系统中。对于T-BOX、IVI车载终端系统存在的访问控制信息以及存在日志信息等，车载终端可采用SM3等密码算法保护访问控制信息、日志信息等完整性。为避免ECU遭受恶意攻击、恶意代码写入、完整性遭受破坏等安全风险，可在ECU中安装密码模块，采用SM3密码算法保障数据的完整性，以及采用SM2/SM4 保障数据通信的机密性。

结语

本文主要对目前主流的车联网车端系统结构等进行分析，并在此基础上分析当前车联网车端T-BOX、汽车网关等关键设备存在的安全风险，以及密码应用需求等。依据安全风险和密码应用需求，结合《信息安全技术信息系统密码应用基本要求》（GB/T 39786—2021），从网络和通信安全、计算和设备安全、应用和数据安全等方面分析和设计密码算法的应用方法，后续将进一步对车端密码应用需求、密码应用技术、检测技术等进行深入研究和验证。

声明：内容来源《网络安全和信息化》，转载目的在于传播更多资讯，如有侵权，请联系本站处理。