任务 6.3：T-BOX基本功能与攻击面分析-学生手册

任务6.3项目六：T-BOX和TSP安全任务6.3：T-BOX基本功能及攻击面分析【任务导入】图6-3-SEQ图6-3-\*ARABIC1T-BOX数据安全应用场景车载终端作为发动机数据的采集单元，应具备自检、数据采集、数据存储和数据上传等基本功能，针对采集数据的安全防护，车载终端需要具备一定的安全防护功能，能够抵御侧信道攻击，能够对数据进行签名和防篡改，对数据进行加密等，如所示。T-BOX是车载终端数据采集、数据存储、数据上传的关键，那么T-BOX具有什么功能以及哪些攻击面可出现安全漏洞呢？【学习目标】素质目标通过实操任务，帮助学生树立严谨细致的职业素养；培养学生的逻辑思维能力；在实操任务中实施6S管理，培养学生6S管理规范意识。知识目标能讲解T-BOX的定义和结构[K89]；能阐述T-BOX的功能及典型应用场景[K90]；能总结T-BOX的攻击面[K91]。能力目标能绘制T-BOX的电子架构图[A61]；能绘制中间人攻击、钓鱼攻击的攻击过程[A62]。【知识准备】T-BOX基础知识远程/车载通信模块（T-BOX，TelematicsBox），是车辆内置的远程信息处理单元，集成了通信模块、定位系统、数据处理和存储单元，能够实现车辆与外部网络的双向数据传输，支持远程监控、诊断、控制以及信息娱乐功能。T-BOX的3根天线，分别是4G主天线、4G副天线、GPS天线，USB数据输出口和PIN脚接口，如所示。它的出现极大丰富了驾驶员的驾驶体验，方便了OEM的检修、在线升级，同时一定程度上保障了驾驶员的生命安全。（ECall）。图6-3-SEQ图6-3-\*ARABIC2T-BOXT-BOX结构T-BOX的电子架构各个厂商均有不同的设计，典型的T-BOX包含通信模块、定位模块、处理单元、内部网络通讯接口、安全模块、电源管理模块等，如图6-3-3所示。图6-3-SEQ图6-3-\*ARABIC3T-BOX电子架构通信模块：包含蓝牙模块、Wifi模块、蜂窝通信模块和V2X模块。定位模块：GPS/北斗模块或是GNSS接收器，其中，GPS/北斗模块提供全球定位服务，支持导航和位置追踪功能。GNSS接收器支持多种卫星导航系统（如GPS、GLONASS、北斗、Galileo），提高定位精度和可靠性。处理单元：CPU，RAM和Flash，部分T-BOX含有GPU；其中，CPU负责运行T-BOX的软件和处理各种数据，通常是高性能、多核处理器；GPU用于处理图像和视频数据，支持信息娱乐系统和导航显示；RAM和Flash作为内存和存储，用于数据存储和程序运行。内部网络通讯接口：CAN、LIN、FlexRay、Ethernet以及传感器的通讯用接口；CAN、LIN、FlexRay、Ethernet为车载网络接口，用于连接车辆的各种传感器和电子控制单元，实现数据采集和传输；专用传感器接口连接GPS天线、温度传感器、加速度计等各种传感器，提供所需数据。安全模块：硬件安全模块（HSM）或是防火墙和入侵检测系统（TEE）；HSM提供数据加密和解密功能，保护通信和存储的数据安全；TEE防止未经授权的访问和网络攻击，确保系统安全性。电源管理模块：电源接口和PMU。电源接口：连接车辆电源系统，提供所需电力；电源管理单元（PMU）：管理电源分配和电池使用，确保T-BOX稳定运行。T-BOX控制器包含电池盖、电池、顶盖、PCBA板、底壳，如图6-3-4所示。图6-3-SEQ图6-3-\*ARABIC4T-BOX爆炸图PCBA板由一块处理器、一个GPS模块、一个无线模块（如3G、4G、5G等）等组成，并支持多种接口（如CAN总线、USB、RS-232、蓝牙等），如图6-3-5所示。图6-3-SEQ图6-3-\*ARABIC5PCBA板T-BOX工作数据流T-BOX工作数据流程为数据采集、数据处理、数据传输，如图6-3-6所示。图6-3-SEQ图6-3-\*ARABIC6T-BOX工作数据流数据采集：包含传感器数据采集和定位数据采集。传感器数据采集是指T-BOX通过CAN总线或其他接口，从各种传感器（如速度传感器、温度传感器、油量传感器等）和ECU获取车辆数据；定位数据采集是指GPS/GNSS模块持续接收卫星信号，获取精确的位置信息。数据处理：包含数据融合和实时分析两部分。数据融合是指T-BOX处理单元将来自不同传感器的数据进行融合和分析，处理成为云服务或其它系统所需信息；实时分析是指实时处理数据，以提供即时的反馈和控制，如导航路径规划、驾驶行为监控等。数据传输：包含上传数据和接收指令两部分。上传数据通过蜂窝网络或Wi-Fi，T-BOX将处理后的数据上传到云端服务器，用于远程监控和服务；接收指令是指T-BOX从云端接收远程控制指令和更新信息，执行相应的操作。T-BOX功能通信功能通信功能是T-BOX最基础且最核心的功能，使车辆能够与云端服务器、其他车辆、移动设备和基础设施进行实时数据交换。蜂窝通信（4G/5G）：通过蜂窝网络实现车辆与云端的双向数据传输。Wi-Fi：提供车内局域网功能，支持车内设备的无线连接和互联网接入。V2X：支持车辆与其他车辆（V2V）、基础设施（V2I）、行人（V2P）和网络（V2N）之间的通信。蓝牙：用于短距离通信，连接智能手机和其他蓝牙设备。信息采集功能T-BOX拥有强大的数据采集与传输能力，能够深入读取汽车CAN总线数据和私有协议，并通过无线网络将这些数据传输至云服务器。它主要采集车辆运行数据、环境数据、安全与诊断数据。车辆运行数据采集：T-BOX从车辆内各种传感器获取实时数据，这些传感器包括但不限于速度传感器、加速度传感器、温度传感器、燃油传感器等。同时，T-BOX还会采集各个ECU内的数据和状态信息。环境数据采集：对车辆的运行环境的数据进行采集，如通过温度传感器对车辆四周的温度进行采集，通过GNSS传感器对车辆的位置信息进行采集。安全与诊断数据采集：T-BOX实时采集车辆各个系统的工作状态，检测故障和异常情况。另外会采集加速度和安全气囊等安全数据。主要安全功能T-BOX具备紧急呼叫、防盗追踪、远程诊断和故障预警等安全功能。紧急呼叫（eCall）:在车辆发生重大事故时，T-BOX自动向紧急服务部门发送求救信号，包括车辆位置、碰撞严重程度等信息。在部分国家eCall已经成为T-BOX中的强制性功能，如图6-3-7所示。图6-3-SEQ图6-3-\*ARABIC7eCall示意图防盗追踪：实时追踪车辆位置，在车辆被盗时提供精准的追踪信息。车主和警方可以通过应用程序或平台实时查看车辆位置，提升找回车辆的概率，如图6-3-8所示。图6-3-SEQ图6-3-\*ARABIC8T-BOX软件界面远程诊断和故障预警：实时监控车辆各系统状态，检测故障并发送预警信息。车主和厂商可以通过此功能监控汽车的状态，提前发现安全隐患并做出响应。T-BOX的典型应用OTA升级通过无线通信技术，远程更新设备的软件或固件，而无需物理连接或到服务中心进行手动更新。OTA升级由以下6个步骤构成，如图6-3-9所示。图6-3-SEQ图6-3-\*ARABIC9OTA升级流程T-BOX通过内部网络收集各个ECU的固件版本信息，向TSP上报当前的固件版本，TSP判断是否可执行升级。如可执行升级，则TSP下发固件升级请求。用户于T-BOX交互界面上同意固件升级请求后，TSP分发URL至T-BOX，T-BOX通过URL下载更新后的固件，使用T-BOX内的安全模块对下载的固件进行签名校验。T-BOX通过内部网络下发升级包。ECU执行升级。升级成功后，T-BOX上报升级结果+最新版本，给到TSP。远程诊断利用远程通信技术，通过车载的T-BOX收集车辆运行数据，并将这些数据上传至云端服务器进行分析和处理，从而实现对车辆状态的实时监控和故障诊断。图6-3-SEQ图6-3-\*ARABIC10远程诊断位置追踪实时跟踪和记录车辆的位置，并提供多种与位置相关的服务，如图6-3-11所示。T-BOX是实现这一功能的核心组件，负责收集位置信息、处理数据并进行通信。图6-3-SEQ图6-3-\*ARABIC11位置追踪服务远程控制通过T-BOX和移动应用，车主可以在远离车辆的情况下对车辆进行多种操作。可以有效提升车主的便利性、增强车辆的安全性和管理效率。以远程控制车窗为例，用户通过手机APP远程控制车窗，T-BOX接收到远程控制车窗的命令后，如果整车总线处于休眠状态，则先唤醒整车网络，否则直接同时发送鉴权认证和控制车窗控制指令，并将执行结果以及失败原因反馈到TSP，如图6-3-12所示。图6-3-SEQ图6-3-\*ARABIC12远程车窗控制流T-BOX的攻击面T-BOX的安全测试围绕保密性、完整性、可用性、认证与授权、不可否认性等五个安全属性进行。保密性保密性确保T-BOX在处理和传输过程中，敏感数据不会被未经授权的实体访问或泄露。保密性有数据拦截和窃听、信号注入与伪造、直接访问存储介质、固件提取四个攻击面。数据拦截与窃听T-BOX通过蜂窝网络、Wi-Fi或蓝牙传输数据时，可能被攻击者拦截和窃听，攻击面如图6-3-13所示。中间人攻击（MITM）：攻击者在T-BOX和通信目标（如云服务器、移动应用）之间插入自己，拦截并窃听通信数据。无线信号劫持：攻击者使用专用设备（如软件定义无线电，SDR）捕获无线通信信号。图6-3-SEQ图6-3-\*ARABIC13数据拦截与窃听攻击面信号注入与伪造攻击者可能通过伪造合法的通信信号或数据包，诱导T-BOX泄露敏感信息。直接访问存储介质攻击者拆卸T-BOX并直接读取内部存储介质上的数据。攻击者通过会拆取RAM，供给面如图6-3-14所示。图6-3-SEQ图6-3-\*ARABIC14直接访问存储介质供给面固件提取攻击者通过调试接口（UART、CAN、JTAG、ETH、USB）或反向工程提取和分析T-BOX的固件，获取敏感数据。攻击者可以通过逻辑分析找到PCB上隐藏的UART调试接口，通过调试接口进入调试模式，获取它的敏感数据。完整性完整性确保T-BOX中的数据在存储和传输过程中不会被未经授权的篡改，数据的准确性和一致性得到保障，完整性的攻击面如图6-3-15所示。图6-3-SEQ图6-3-\*ARABIC15完整性攻击面数据篡改T-BOX通过蜂窝网络、Wi-Fi或蓝牙传输数据时，数据包可能被攻击者截获并篡改。中间人攻击（MITM）：攻击者在T-BOX与通信目标（如云服务器、移动应用）之间插入自己，篡改传输的数据包。数据注入：攻击者发送伪造的数据包，使T-BOX接受并处理错误的数据。存储数据篡改T-BOX内部存储的敏感数据（如配置文件、日志文件等）可能被物理访问的攻击者篡改。直接访问存储介质：攻击者拆卸T-BOX并直接修改内部存储介质上的数据。固件篡改：攻击者通过调试接口或反向工程修改T-BOX的固件，改变其行为或数据存储方式。可用性可用性确保T-BOX及其服务在需要时能够正常使用，不会因为攻击或故障而不可用。软件漏洞利用缓冲区溢出攻击：攻击者利用T-BOX软件或固件中的缓冲区溢出漏洞，导致系统崩溃或不可用。死循环和高资源消耗：攻击者利用软件中的逻辑漏洞，导致系统进入死循环或高资源消耗状态。物理攻击物理破坏：攻击者通过物理手段破坏T-BOX硬件，使其无法正常运行。电磁干扰：攻击者使用电磁干扰设备干扰T-BOX的正常运行。网络通信攻击网络阻断：攻击者阻断T-BOX与云服务器或其他设备之间的网络通信，导致系统不可用。DNS攻击：攻击者通过DNS劫持或DNS欺骗，导致T-BOX无法解析正确的服务器地址，导致服务中断。分布式拒绝服务攻击攻击者通过大量伪造请求淹没T-BOX或其关联的云服务器，使其无法正常响应合法请求。流量淹没：攻击者使用僵尸网络发起大量伪造请求，占用网络带宽和计算资源，导致服务中断。资源耗尽：攻击者通过发送复杂请求，消耗T-BOX或服务器的CPU、内存和存储资源。认证与授权认证确保T-BOX能够确认通信双方的身份，防止未经授权的设备或用户访问系统。授权确保T-BOX在确认用户身份后，允许其进行特定的操作，防止越权。认证确保T-BOX能够确认通信双方的身份，防止未经授权的设备或用户访问系统。认证的攻击面为认证过程、认证过后的通信过程。中间人攻击（Man-In-The-Middle，MITM）：攻击者通过伪造证书或劫持网络，插入通信链路中，拦截并篡改认证请求和响应，如图6-3-16所示。图6-3-SEQ图6-3-\*ARABIC16中间人攻击MITM重放攻击（ReplayAttck）：攻击者捕获T-BOX和服务器之间的认证数据包并在没有修改的情况下重放这些数据包，试图通过认证，如图6-3-17所示。图6-3-SEQ图6-3-\*ARABIC17重放攻击伪造身份攻击：分为凭证窃取和证书伪造两种，凭证窃取攻击者通过钓鱼攻击、恶意软件或社交工程窃取合法用户的认证凭证（如用户名、密码、令牌等）；证书伪造攻击者伪造或盗用合法的数字证书，冒着合法设备或用户，如图6-3-18所示。图6-3-SEQ图6-3-\*ARABIC18伪造身份攻击授权确保T-BOX在确认用户身份后，允许其进行特定的操作，防止越权行为。认证的攻击面为认证过程、认证后的通信过程。权限提升攻击（PrivilegeEscalation）：包含软件漏洞利用和错误配置两种攻击方式，软件漏洞利用是利用T-BOX或相关系统中的漏洞，通过注入攻击或缓冲区溢出等手段，提升权限；错误配置是利用系统或应用中的错误配置，获得未授权的访问权限。越权访问攻击：包含缺陷利用和会话劫持两种攻击方