技术汽车网关的信息安全分析.pdf

  1. 1、本文档共2页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
技术汽车⽹关的信息安全分析 1 背景介绍 ⽹关作为控制整车通信的关键ECU ,往往是hacker 或渗透测 ⼈员重点关注的核⼼部件。⽹关的安全风险可能直接威 胁到⾏驶安全甚⾄⼈⾝安全。⽹关在车辆的纵深防御体系中处在极为重要的位置,本⽂将简单分析当前典型⽹关的特 征、⽹关可被利⽤的功能点与防护思路。 2 典型⽹关特征与攻击⾯分析 随着EEA 发展⽹关的特征也衍变出了多种类型,由最初的集成⽹关,到现在的独⽴⽹关、域集中式中央⽹关、混合式 ⽹关、到前沿的中央集中式控制器。⽹关承担的功能也由最初的车内CAN/CANFD/FR/LIN 总线路由,到现在车载 Ethernet 路由、关键车控逻辑的处置、车内OTA 处置的主控单元等敏感功能的执⾏。 图⽚来⾃于博世 我们从信息安全的⾓度看,⽹关特征的衍变也使可能被利⽤的功能点发⽣了新的变化。典型可被利⽤功能有以下⼏⽅ ⾯。 • 利⽤ CAN 、 Ethernet 总线路由功能,向车内其他控制器发送⾮法报⽂、消息;常见攻击⽅式如通信链路洪泛攻 击、 ID/IP 欺骗、数据重放、通信协议逆向破解等。 • 利⽤ UDS 协议功能,向车内 ECU 进⾏配置变更、写⼊恶意代码、读取敏感信息;常见攻击⽅式如安全认证服务破 解、会话模式异常、中断车内总线通信、篡改 ECU 存储信 息及固件、读取敏感信息等。 • 利⽤ OTA 主控节点功能,⾮法篡改车内 ECU 固件、获取 OEM IP 、 OTA 功能异常; 常见的攻击⽅式如篡改 OTA 组件控制 OTA 功能、绕过 OTA 安全验证功能,向车内注⼊恶意镜像、恶意访问 TSP ,获取 OEM 升级镜像。 • 利⽤关键敏感的车控功能,对车控业务进⾏恶意决策控制;常见的攻击⽅式如⾮法 篡改⽹关车控软件功能组件,对 核⼼车控功能操控。 图⽚来⾃于德国Vector 3 ⽹关的安全防护 ⾯向⽹关的防护技术,我们⼀般关注两个维度,⼀个是⽹关作为核⼼单元的业务流的安全,⼀个是⽹关本⾝的安全: 业务流的安全防护⼀般包括,安全CAN 通信技术、安全车内Ethernet 通信技术、安全刷写技术、OTA 安全和车内诊断 服务的安全等。因为传输协议是标准固化的,我们⽆法修改,所以⼀般会对上层协议增加安全防护措施,例如车内总 线,我们会对报⽂消息加密、增加消息鉴别代码字段、增加新鲜度值字段、增加签名字段等⽅式。由于车内总线对时间 敏感且带宽有限,且总线⾯对的ECU 本⾝算⼒不尽相同,我们在制定安全⽅案时,要先对通信消息和业务模型进⾏风 险分析,对敏感消息进⾏分组后,再采⽤与ECU 算⼒相匹配的密码学算法对消息报⽂进⾏安全封装。对于如OTA 等业 险分析,对敏感消息进⾏分组后,再采⽤与ECU 算⼒相匹配的密码学算法对消息报⽂进⾏安全封装。对于如OTA 等业 务中的关键步骤,除了增加校验机制和校验密码学强度外,还应做好秘钥、证书的分发、管理、撤销⼯作。同时还应考 虑各业务场景对秘钥、证书、密码学算法的特殊需求,如维修更换、数据埋点采集等。 ⽹关本⾝的安全防护⼀般会从硬件、系统、数据存储、代码、安全记录等⼏个⽅⾯去做最佳实践。例如为了解决系统被 篡改的风险,应⽀持安全启动,从ROT 代码开始对加载的镜像迭代校验。为了解决敏感信息的安全存储,应⽀持安全 芯⽚或TEE 的技术路线,对公私钥、证书、敏感信息进⾏安全存储与可控调⽤,其中常见的TEE ⼀般有基于A RM的 tr stzone、基于Intel 的SGX ,这个我们后⾯可以开展⼀个专题讨论;为了解决代码安全,应进⾏代码加固,在开发阶 段进⾏代码审计、代码漏洞扫描、多余端⼝扫描以及通过编译⼯具连提供优化、为了对⾮法⾏为的检测与审计,应对⽀ 持⽇志记录功能,对端⼝的⾮法访问、密码操作的异常等进⾏记录。 — END—

文档评论(0)

139****2545 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档