《车联网等级保护测评研究与实践.docx》由会员分享,可在线阅读,更多相关《车联网等级保护测评研究与实践.docx(10页珍藏版)》请在第一文库网上搜索。
1、车联网等级保护测评研究与实践目录编者按1摘要11 .前言22 .车联网系统架构概述23 .车联网威胁分析23. 1.车域网33.2. IVI33.3. TBOX33. 4. ECU33. 5. TSP44. 6. APP44.车联网等保测评体系44.1. 总体安全策略54.2. 测评指标选择54. 2.1,通信及密码特殊指标54. 2. 2.车端特殊指标64. 2. 3. APP特殊指标75. 3.测试用例86. 车联网测评实践97. 总结9参考文献:10编者按本文在分析车联网系统架构及威胁的基础上,研究车联网系统等级保护测 评对象、测评重点及测评指标体系,形成车联网网络安全等级保护测评方法及
2、 用例库,并介绍车联网等级测评的实践情况。摘要本文在分析车联网系统架构及威胁的基础上,研究车联网系统等级保护测 评对象、测评重点及测评指标体系,形成车联网网络安全等级保护测评方法及 用例库,并介绍车联网等级测评的实践情况。关键词:车联网;等级保护;TBOX1 .前言随着汽车智能化、网联化的蓬勃发展,车联网得到快速普及。车联网围绕 着人建立起来一个新生态,极大的丰富了人们的驾乘体验,但也带来较大的网 络安全风险,如2016年Jeep自由光被黑客破解导致140万辆车被召回, 2020年特斯拉大规模断网导致用户无法对车辆进行远程控制。在等级保护2.0 及关基信息基础设施保护工作深入开展的大背景下,车
3、联网作为“新基建”的重 要形式与载体需要严格按照关基保护及等级保护的要求开展网络安全建设及测 评,保障人民生命财产安全。本文将在分析车联网系统架构及威胁的基础上,研究车联网系统等级保护 测评对象、测评重点及测评指标体系,形成车联网网络安全等级保护测评方法 及用例库,并介绍车联网等保测评的实践情况。2 .车联网系统架构概述车联网是以汽车智能化、网联化为基础,广泛应用新一代通信技术、人工 智能技术构建起的新型基础设施。在整体架构上,车联网包括云端应用、通信 设施、智能网联车等“云管一端”三部分。“云”是云端应用,一般是以TSP为主的 云端服务,提供了车辆管理、控制、娱乐等功能;“管”是通信设施,实
4、现了云 端应用、车机、TBc)X、APP及车与车之间的互联,一般会借助4G、5G、 WIFk蓝牙等方式;“端”是指智能网联车,是整个车联网的核心组成部分,包 括车端网络架构、TBOX、ECU IVL TPMS、APP等设施。车联网基于“云-管端”的架构,以智能化、网联化为显著特征,除面对SQL 注入、远程命令执行、拒绝服务攻击等传统网络安全威胁,也面临着其特有的 安全风险。针对各类威胁,车联网系统一般会采取多种安全防护措施,如访问 控制、入侵检测、身份认证、PKl认证、混淆加固。3 .车联网威胁分析从系统防护的角度来看,车联网需进一步划分功能组件,以识别不同组件 及系统整体安全风险。基于“云管
5、一端”的系统架构,车联网又可以分为车域网 1、IVI、TBOX、ECU TPMS、TSP、APP 等组件。3. 1.车域网车域网实现了汽车内部不同ECU、TBOX、IVI的互联互通,保障了指令控 制、状态监测等功能的正常实现。车域网通信协议一般包括CAN总线、LlN总 线以及WIFK蓝牙等无线通信方式。CAN总线及LIN总线两种协议作为开放 的标准协议,由于在设计之初缺乏安全机制设计,存在较多安全问题2,黑客 可以通过对CAN总线数据篡改、伪造、重放、防洪等方式实现车辆控制或造成 各ECU及功能异常,由此可能带来较为严重的车辆安全事故。3.2. IVI车载信息娱乐系统(简称IVl)是基于车载总
6、线和互联网服务,提供综合 信息服务的智能多媒体设备。鉴于智能化的提升,IVI一般能够实现辅助驾 驶、故障检测、车辆信息、车身控制、导航、娱乐、应用安装等一系列工作。 IVI丰富的功能及接口为攻击者提供了较大的攻击面。攻击者可以利用各种手 段实施攻击,包括针对软件的攻击和针对硬件的攻击。针对软件的攻击主要是 对IVl操作系统及其部署的应用软件实施攻击以获取更高系统权限;针对硬件 的攻击,主要是对IVl的主板、硬件接口、芯片、引脚等进行固件提取,通过 逆向分析手段挖掘系统漏洞以获得更高权限。3. 3. TBOXTBOX是车载通信网关,借助4G、5G、蓝牙、WIFl等通信方式实现了车 与TSP、AP
7、P的通信,主要提供通信、远程控制、远程查询及安防服务等功能 3,是车辆智能化、网联化的核心组件。为保障通信安全,TBoX一般会采取 PKI体系实现通信加密。而攻击者一般会试图通过对TBOX固件的逆向分析或 者通过TBc)X硬件接口,破解密钥及算法,进而实现对通信及指令的篡改,严 重影响行车安全。3. 4. ECU电子控制单元(Electronic Control Unit,简称ECU)是汽车内部实现车辆 状态控制、记录及改变的单片机或芯片。随着汽车智能化的发展,汽车内部一 般会有数十个ECU单元,不同的ECU控制不同的组件,并通过CAN总线进行 互联通信,共同完成车辆控制。ECU固件一般可以被
8、提权进行逆向分析,同时 ECU发送到总线上的数据包只有简单标识,无鉴别认证措施。恶意攻击者可以 对ECU实施多种类型的攻击,主要包括ECU数据伪造及篡改、ECU数据包重 放、ECU烧录恶意程序、虚假信息伪造4。3. 5. TSP汽车远程服务提供商(TelematiCSSerViCePrOVider,简称TSP)在车联网 行业中处于核心地位,整合了整车厂、车载设备制造商、网络运营商及内容提 供商。目前,TSP 一般提供导航、娱乐、安防、车辆管理、功能升级、维修保 养等功能,保存有大量用户敏感信息和数据。TSP平台一般存在SQL注入、框 架漏洞等常见软件安全漏洞,面临着数据泄漏、密钥泄漏、DDOS
9、,固件升级 篡改、个人隐私数据泄露等安全风险。恶意攻击者一旦对TSP平台成功实施入 侵,将导致同一平台下大量车辆遭受极大的安全威胁。相关企业需要对TSP平 台开展全面的风险识别与分析,基于“一个中心,多重防御”的思路建立起来相 对完善网络安全防护体系,而且部分机制与措施需要结合智能网联车、APP通 盘考虑,如密码体系、日志审计、监测预警体系等。3. 6. APP随着智能手机的普及,各智能网联车车企均已开发了与车辆相匹配的 APP,提供了车辆控制、车辆管理、娱乐社交等功能,实现了远程开锁、空调 开关、车门开关等功能。不同车企的APP基本会通过4G或者5G网络与TSP平台进行通信,同时 又借助蓝牙
10、、WlFl等近场通信手段与车端TBOX进行交互,实现车辆控制。攻 击者通常会通过对APP进行逆向分析获取APP与TSP, APP与TBOX的通信协 议及指令,了解TSP平台的接口及参数信息,对TSP实施入侵,同时通过近场 通信方式入侵车辆,严重威胁车辆安全。4.车联网等保测评体系通过对车联网安全威胁的分析,车联网网络安全等级测评需要在网络安 全等级保护基本要求的基础上,进一步强化部分原有测评指标,增加与车联网威胁相关的测评指标,同时明确相应的测评要求及测试用例。4. L总体安全策略车联网安全以保障乘员安全及周边环境安全为目标,不同的组件需要针对 自身所面临的安全威胁采用整体的安全防护策略。云端
11、系统应重点关注应用安 全、系统安全、数据安全等,“管”端安全以通信安全及边界安全为主,车端安 全关注于硬件安全、通信安全、升级安全及供应链安全,APP安全则关注于应 用安全、数据安全、运行安全及隐私安全,针对具体如图所示。车联网同络安全需求云安全需求I at安全.求-I clII系饶安全-IIaI矍II-I物安全JIIg 11 I安全I APP IplalM 安全一 I W安lJ I m I应用安j -I供昌安LlJ -I营安区 -I g安刍 I系燎安全一 -I网矍巴图1车联网网络安全策略4. 2.测评指标选择通常来说,车联网系统一般会包括TSP系统、TBOX、IVK APP、ECU、 TPM
12、S等组件,在测评时一般需要选择安全通用要求,对位于云平台的TSP系 统需要选择云计算安全扩展要求,但对TBOX、IVI、APP、ECU、TPMS的测评 则需要进一步细化测评指标要求。结合安全威胁分析结果及业务安全需求,初 步形成了针对各模块的特殊测评指标。4. 2.1.通信及密码特殊指标车联网系统TSP与APP、TBoX、IVl之间涉及控制指令、固件升级包的传 输,通信信道安全要求较高,需要对通信双方身份、通信信息加密,同时整个 平台需要建立在统一的PKI体系开展身份认证及鉴权,形成了如下特殊指标要 求:图2通信及密码特殊指标表1通信及密码特殊指标(部分)安全类安全 控制 点测评指标测评对象安
13、全通 信网络通信 传输a)应采用密码技术对控制指令通信 双方进行双向身份认证;TSP APP、TB0X IVLTPMSb)应采用密码技术对关键控制指令操 作进行签名验证,确保动作主体可 信。接入 网要 求a)车端与TSP之间控制信令信道应通 过专用APN网络接入。安全区 域边界接入 控制a)应仅允许授权车辆访问TSP业务服 察TSP4. 2. 2.车端特殊指标智能网联车是车联网网络安全的核心。从等保测评的角度来看,车联网系 统的网络边界可以扩展到IVl及TBOX,但从功能组件上看,车联网系统还包 括车域网、车内ECU及TPMS等组件。结合车端的安全防护需求,编制了车端 组件特殊测评指标要求,如
14、下所示:车端安全特殊指标图3车端特殊指标表2车端特殊指标(部分)安全类安全控制测评指标点车端安硬件安全 a)应具有硬件安全模块,保证密钥等关键数据的安全全。b)车载终端设备应使用专用管理接口进行连接。短距离通 a)应具备启用与关闭近距离无线连接的管理功能。 信安全b)已建立的短距无线连接,应在相应的输出设备上有 明确的连接状态显示。C)应只在某种特定状态下接受外来通信连接请求(如 蓝牙连接配对请求等)以保证车辆安全,并对发起连 接请求的设备进行认证授权。d)应定义无线通讯协议的黑白名单,阻止使用非安全 协议或强制执行最低协议版本进行通讯的行为。升级安全 a)应通过版本核对、数字签名机制等方式对
15、升级包的 完整性和合法性进行校验。b)终端与OTA应采用密码技术建立可信信道。C)应只接收在约定的工况和车辆系统状态下发起的升 级请求,并由用户确认后执行更新操作。4. 2. 3. APP特殊指标随着智能网联车的普及,用户一般可以通过APP进行车辆状态查看、控 制。APP的安全性对车辆安全显得尤为重要。针对APP的安全需求,形成了如下特殊指标要求:表3 APP特殊指标(部分)安全安全测评指标类 控制点APP 身份 a)应在进行重要业务操作(如打开车门、启动发动机等)前 安全鉴别进行二次鉴权,避免用户身份被冒用。b)应采取逐字符加密、随机键位软键盘、防键盘劫持等技 术,确保敏感信息(如口令、授权码等)输入安全。C)使用验证码技术(包括图形和手机短信验证码),则验证 码应由服务端生成,图形验证码应具备一定的抗机器识别能 力,短信验证码应具备防重放攻击机制。4. 3.测试用例针对车联网测评指标及安全威胁,结合现有的测试手段及测试工具,形成 了一套有效的车联网系统等级测评测试用例库,部分测试用例如下:自驾车动驶辆V2X网联车辆图2车