智能网联系统中的T

智能网联系统中的T-BOX安全架构设计「box通信架构摘要智能网联汽车在国家政策的支持下快速发展，T-BOX作为智能网联汽车的远程通讯终端设备，其安全行越来越受到主机厂以及相关硬件开发厂家的重视并成立专项研究。本文从T-BOX的硬件安全、操作系统安全、应用安全等方面研究，定义了如何从架构设计层面来规范T-BOX的安全，从而保证了智能网联汽车安全。关键词车联网安全操作系统安全硬件安全通信安全:TP273：A汽车作为出行必不可少的交通工具，电动化、网联化、智能化、共享化的汽车将是自动驾驶是汽车发展的重要方向。其中打造智能化网联化的汽车是现阶段的重要发展趋势，也是通向自动驾驶的必经过程。智能网联汽车将依车载传感器、控制器、执行器等车端电子设备，通过3G、4G、LTE-V、5G等网络技术，实现车与万物（车、路、人、物、云等）信息交换、信息共享，智能终端通过与复杂的环境感知、深度学习、智能化决策、达到车辆自主协调控制。其中，T-box远程通讯智能终端为车辆与平台搭建了信息交互的桥梁，对车辆内部，T-box通过CAN、LIN、MOST、以太网等汽车传输协议实现指令和信息的传递。同时，T-box通过内置的通讯模块，通过标准协议与平台进行数据传输、语音交互、IP交互、短信交互，并将平台第三方资源通过T-box提供的安全通道实现信息在车辆端共享。本文描述了T-box自身安全、硬件安全、操作系统、接口安全、密码应用、通信安全等策略。定义了智能车载终端T-box信息安全技术要求。T-BOX主要面临几方面的安全威胁：一是逆向攻击，攻击者通过对T-box固件的逆向攻击，获取固件加密算法和密钥规则，破解算法，对数据进行监听、篡改、破坏。二是信息泄露，T-BOX出厂的时候是留有调试接口的，攻击者通过T-BOX预留调试接口就可以读取内部数据，从而导致信息泄露。三是网络攻击，攻击者通过伪基站、DNS、劫持等手段劫持T-BOX信息会话，通过虚拟伪造发送控制指令对汽车进行信息获取及控制。四是OTA升级，（1）网络传输升级包截取；（2）签名漏洞，刷入篡改固件；（3）平台秘钥、KPI泄露，发送破坏升级包；（4）升级策略、秘钥管理不规范。五是硬件接口，T-box在设计时没有采用防呆的接口设计，用户在更换接口插件时，系统无法正常工作或烧毁，导致整车安全和用户的财产、信息损失。1T-box安全架构及目标如上图所示，T-box通讯智能终端主要有对车端（对内）通信和对平台端（对外）通信两种方式组成。对内通信：（1）通过CAN、LIN、MOST等车辆传输协议和其他ECU交互（BMS、BCM、空调系统、VCU等）；（2）通过以太网和ADAS自动驾驶辅助系统、视觉智能系统交互；（3）通过USB与车机HU交互；对外通信：连接车联网平台，通过标准协议进行信息的发送与接收。智能网联化汽车整体安全系统由云端安全、通道安全、车辆安全组成，T-box作为汽车的信息接收和发送的重要节点，其安全性不亚于汽车中的CAN网关，是汽车安全的重要屏障，分析其安全也是汽车安全的重要环节之一，T-box安全包括硬件安全（接口、芯片等）、操作系统安全、应用安全、数据安全（存储、发送、接收）、平台交互通信安全、终端ECU交互通信安全。T-box设计安全整体目标是指通过对T-box各交互层的执行安全措施，避免由于T-box安全问题造成整车伤害，造成用户生命受到威胁和财产损失；同时防止攻击者通过非法手段窃取用户信息、车辆信息造成信息安全事件发生。整体设计目标包括：硬件安全目标、操作系统安全目标、应用安全目标、数据安全目标、终端ECU交互通信安全目标、平台交互通信安全目标。硬件安全目标：T-box智能终端作为重要的交互硬件，涉及到身份认证、鉴权、权限管理、秘钥管理存储，与平台的通讯芯片、操作系统/固件更新都会存储漏洞。攻击者将通过对T-box硬件的攻击窃取信息，导致用户信息和车辆信息泄露，造成信息安全事件。T-box在硬件架构设计时，需要考虑到电路和芯片上实现数据运算和存储等功能时的安全性，增加相关硬件（MCU/CPU、FLASH、SENSOR、GPS、3G/4G、WiFi/蓝牙等模块）加密芯片对抗多种攻击。同时，在硬件等级要求上达到国家相关标准（安全等级ASILD），甚至更高规格要求。操作系统安全目标：操作系统依据安全系统策略、操作权限封操作进程进行的身份权鉴权和访问控制机制，防止非法进程对系统资源访问和控制（篡改、窃取、破坏、窃听、重放、伪造、中间攻击等多重威胁），确保操作系统文件信息的可靠性、有效密性、完整性和可认证性，并循坏监测和记录系统资源的访问，操作系统系统能够按照预期目标正常工作，当系统受到非授权用户异常操作、破坏时，系统文件信息都处于安全状态，不被非法获取、篡改和破坏。应用安全目标：T-box与平台和车机应用的信息交互需要通过身份鉴别、权限管理。软件具备安全标记、访问控制、可信路径、抗抵性、容错等保护措施，通过系列的安全保护措施，确保应用与平台、车机交互数据的通信安全，保证用户使用应用服务安全和T-box自身应用的安全（启动、升级、登录、登出、远程控制等模式下的安全）。数据安全目标：对T-box所采集、存储、处理、传输过程中产生的整车数据和用户数据的安全性、有效性、完整性、真实性需要进行安全保护，同时，应能够对受保护资源提供备份机制，当数据丢失或破坏时，应能提供数据恢复功能。终端ECU交互通信安全目标：指T-box通过CAN、LIN、MOST、以太网、USB等方式和网关、其他ECU之威胁和内部网络之间的安全隔离间信息通信(BMS、BCM、ADAS自动驾驶辅助系统、人脸识别系统、车机HU等)。网关和各节点ECU需要对T-box的身份进行验证，识别T-box身份的合法性和有效性，同时，断开外部蓝牙、WiFi等外部网络的威胁，避免攻击者通过伪造、篡改、破坏等方式向关键ECU发送非法指令和数据，非法占用内部总线资源导致总线负载过大，系统崩溃；反向能够验证内部网络传输数据的有效性、完整性、合法性、可认证性并进行相应的处置，保证汽车功能安全正常运行。平台交互通信安全目标：指T-box通过蜂窝网络(2G/3G/4G/LTE-V/5G)云网络平台进行相互通信，根据应用场景需求，终端与平台通过标准协议进行数据交换，T-box与云平台建立安全连接，通信双方进行双向身份认证、数据链路加密、数据签名、数字证书、PKI、公§畲/私钥等加密校验手段，抵抗篡改、窃取、破坏、窃听、重放、伪造、中间攻击等多重安全威胁，保证数据的完整性、保密性和可认证性。2T-box安全要求与规范车联网T-BOX的设整体计应通过风险评估审核，全面分析硬件、接口、数据存储、操作系统、应用安全、以及和各外界交互系统的对接，信息数据采集、存储、处理、传输等方面。明确整车对T-box安全需求，通过身份认证、访问控制、身份鉴权、硬件加密等多种技术对T-box进行安全防护，对T-box安全防护体系整体的要求，以实现车辆整体安全目标。硬件安全要求，需要从硬件安全设计方面，相关产品需加入了T-box防拆感应器件，若检测到有异动，就会立即向后台报警。采用车载专用的加密芯片，并确保该加密芯片无隐蔽接口，以防非法对加密芯片进行破坏或信息篡改。芯片在验证阶段调试的接口在上市中关闭，禁止使用。操作系统安全要求，T-box操作系统应预留安全区域，用来存储安全签名和秘钥管理。为了防止操作系统启动时被攻击者恶意篡改和破坏，每次T-box上电启动操作系统需要增加启动安全机制，安全认证正确后，加载操作系统。操作系统需要具备多操作系统隔离，如T-box具有两个或以上操作系统，必须采用隔离机制，保证两个操作系统之间的安全。主控程序需要提供安全机制，确保操作系统只识别信任操作，验证信息来源的完整性、有效性、可认证性。在系统安全保护方面应采用完整校验手段（证书、PKI、数字签名等技术），对关键代码或文件进行完整保护。应用安全要求：（1） 确保应用软件不存在后门，以防从后门恶意攻击，软件不存在“中国汽车行业漏洞共享平台（CAVD）”以及“国家信息安全漏洞共享平台（CNVD）”6个月及以上发布的高危安全漏洞。同时，软件不存在恶意bug，出现非法收集、处理、篡改整车数据和用户数据。（2） 鉴权管理，T-box应对车联网发送信息和控制指令的身份合法性进行鉴别。同时，对通过WiFi、蓝牙、USB等连接的智能终端设备进行鉴权管理。通过身份认证，若身份认证成功，可进行信息交互，若认证失败，增加安全保护措施，如限制登录次数、自动退出、结束回话流程等并记录交互日志。（3） 访问控制，T-box应定义对应的安全策略和操作优先级，当出现非法访问控制时，T-box将不做相应，当作无效指令，并记录访问日志。访问控制措施不应影响应用间的正常信息流转，应保证车辆对信息流转实时性的要求。（4） 证书签名，应用软件应采用符合相关标准的代码认证机制。（5） 通信完整性应用程序应基于相关算法，在与外部网络通