本文描述了一种智能汽车安防模型的分析与设计过程。通过对汽车内部网络架构的分析,研究了汽车内部网络的通信协议和特点。在充分考虑到汽车网络应用场景的情况下,结合已经发生的针对汽车的黑客攻击案例,提出了一种网络攻击防御模型设计,并对模型的可用性进行了分析。本文对智能科技汽车安防模型的具体设计,具有一定的技术参考价值。
1引言
现代汽车有时被称为是车轮上的计算机、车轮上的数据中心等,其原因是现代汽车越来越智能化、联网化,汽车各部件的运行越来越多地依靠软件来控制,各大部件还通过汽车内部网络相互连接,协同工作,从而实现更全局的控制及更新颖的功能。然而在国家推动万物互联大背景下,各种家电设备都接入互联网了,汽车作为人们每天使用率高、使用时间长的基本交通工具当然也接入互联网。汽车接入互联网以后有很多好处,汽车厂家可以对汽车实现整个产品生命周期的远程检测或者升级维护,车主可以对车辆实现远程操作,还可以共享车辆的网络连接来上网,当发生交通事故的时候汽车还可以自动求救等等。
然而,汽车接入互联网也就意味着将自己暴露在网络上来自世界各地的黑客面前,所以汽车厂商和用户再享受联网带来的便利的时候还要面对潜在的网络威胁,而针对汽车的网络攻击与常规的针对个人电脑或者Web服务器的攻击所能造成的后果影响有所不同,就像已经发生的针对汽车的网络攻击案例所表明的一样,攻击者可以在千里之外威胁到驾乘人员的生命安全,所以对汽车如何来防御网络攻击进行深入研究是非常有必要的,由于汽车网络安全威胁是最近几年才出现的新趋势,还没有一个非常成熟的防御框架模型,本的目的就是要提出一个这样的防御模型。
2 汽车安全现状
其实针对汽车的网络攻击并不是一个新的话题,很早就有人提出汽车的安全问题和相应的防御手段,从一系列的新闻中可以看出来,学术圈的研究论文也是层出不穷。但是最近随着一些影响较大的汽车漏洞公布,越来越多的人开始注意到汽车安全这个话题,这其中包括很多专业的黑客或安全研究人员,而在由于黑客或安全研究人员所曝光的漏洞而给厂家造成销量下滑等实际经济损失的情况下。
厂家也越来越注重安全,著名的特斯拉和通用汽车公司都给相继启动了漏洞奖励计划(bug bounty)来鼓励黑客或安全研究人员将发现的漏洞提交给厂家来获得奖金。现有攻击方式涉及到信息安全很多子领域,例如硬件安全、通信安全、WEB安全、移动安全等等,并且已经出现了很多汽车安全漏洞利用案例,有利用汽车云服务的WEB漏洞来批量攻击汽车的,有利用硬件升级漏洞来改写控制的固件从而控制汽车的等。
2.1汽车网络架构
汽车内部采用的网络协议和网络架构大多数都是专用的,比如CAN总线、LIN总线、MOST总线、以太等,这些总线通常用于汽车内部特定的功能模块,其原因是由其成本、带宽、实时性等特点决定的。
目前,典型的汽车内网组成,如图1所示。从图1中,可以看出汽车内部网络采用了多种通信协议,同一总线协议也可以有不同的速率。还可以看出不同速率的总线之间由忘关桥接。最值得注意的是汽车与外部的接口,因为这些接口就是我们需要重点防御的地方。
图1 汽车内部网络架构图
2.2汽车攻击事件的发展
如图2为一个简要的汽车攻击发展过程图。
图2 汽车攻击事件过程图
通过图2,我们可以大致看出针对汽车的攻击的一个发展趋势,首先是针对汽车性能改装调试而进行的一些ECU逆向分析,接着就是针对汽车防盗系统的攻击,目的是盗取汽车,以上这些攻击出现的比较早,但是由华盛顿大学的研究报告开始汽车安全研究出现了质的变化可以直接威胁到驾驶人员的生命安全,在华盛顿大学的第一份研究报告中研究人员通过OBD接口攻击了汽车,可以实现刹车、加速、转向等控制,但当时人们认为通过OBD接口攻击需要物理进入汽车,而能物理进入汽车那么攻击汽车可以有其他方式,所以并没有引起太大的重视。针对这些质疑研究人员后来又发表了一份研究报告,这中研究人员实现了无需物理进入或接触汽车而能实现攻击,但是没有提供技术细节。
安全研究人员Charlie Miller 和Chris Valasek 看到了这份报告后也在DARPA 的支持下对汽车进行了研究,并发表了一份带有详细技术细节的研究报告,他们通过OBD接口接入CAN总线然后可以攻击汽车减速加速以及方向等,但是需要物理进入汽车,没有引起大的反响。直到2015年在拉斯维加斯举办的年度安全会议Defcon上,Charlie Miller 和 Chris Valasek公布了对Jeep切诺基汽车的研究成果,他们实现了对未经过改装的Jeep车的远程大规模攻击,这个攻击不需要物理进入汽车,可以远程威胁到驾乘人员的生命安全。
他们的研究造成了140万辆汽车的召回,其中包括与Jeep采用了相同的Uconnect系统的其他车型,值得注意的是从研究报告中可以看出Jeep车的厂家实际上是有一定安全意识的,比如采用了秘钥随机化思想,采用了功能系统隔离等等安全机制。作为豪华车代表的宝马也难逃被黑客攻击的命运,宝马的ConnectedDrive系统出现过安全问题,其的通信秘钥保存在汽车的通信模块中(modem),通过ConnectedDrive采用了16对64位秘钥,采用DES(56bit)、AES(128bit)等方式加密,还采用了DES-CBC MAC 和HMAC-SHA1(Hash 消息认证码)等等安全机制可以看出,宝马是有考虑到安全性的,然而这些秘钥在所有车辆中都保存了,所以当黑客从一辆汽车中取出了这些秘钥就能威胁到其他车辆的安全,此漏洞影响到220万辆汽车。
3防御模型设计原则
由于汽车是一个复杂的大型系统,很难提出一个能够防御所有攻击向量的架构,本文提出的模型重点在于防御通过蜂窝或者WiFi等无线方式来攻击汽车从而控制汽车的物理功能(也就是动力控制CAN总线上所挂载的发动机、变速器等等),原因有以下几点:
(1)物理功能的防御是最基础和最重要的,如果物理功能都被攻击者控制了,那么驾乘人员的生命安全就受到威胁。
(2)针对汽车的攻击的目的就是控制汽车的物理功能,因此我们只要保护好了物理功能,无论攻击者从哪个入口攻入了汽车,都不能影响到驾乘人员的生命安全。
(3)其他的攻击入口或者可能出现的漏洞与现有的安全领域存在交集,例如WEB安全已经是一个非常热门的安全课题,有大量的WEB安全防御机制;手机安全也是一个非常成熟的安全研究领域;硬件安全就更是一个老生常谈的课题了。
4基本的防御模型
综上所述,CAN总线安全才是汽车安全问题的新挑战,也是一个新的研究领域。在前述分析基础上,本文提出如图3所示的汽车防御模型。
图3 汽车防御模型结构图
从图3表示的模型可看出,我们在控制汽车物理功能的主要部件所在的CAN总线上挂载了入侵检测系统IDS(Intrusion Detection System),通过IDS我们可以检测到总线上的异常,如果攻击者通过蓝牙、WiFi、蜂窝网等入口取得了CAN总线的访问权并发送攻击数据的话我们可以检测到这种异常情况,由于我们不能对CAN总线上的数据进行阻断,因为如前面说讲到的一样,CAN总线无法承受错误的判断,一旦数据被阻断,那么汽车正常工作所需要的信号也无法发送,反而造成不良后果。所以我们可以通过多媒体网关将蓝牙、Wifi等攻击者可能经过的数据通道切断,同时发出告警信息。
针对攻击者通过远程升级固件来攻击系统的攻击方式,我们可以在多媒体网关里对升级固件的真实性进行检查校验。关于IDS的实现有很多方式,比如基于规则的(Rule-Based),基于贝叶斯网络的(Bayesian Networs Based),基于分类器的(Classification Based),基于神经网络的(Neutral Network Based),基于支持向量机的(Support Vector Machine Based),对这些异常检测技术的深入讨论超出了本文的内容。具体思路就是对汽车的正常工作情况进行建模,比如车速与转速的相关性模型等等,当攻击者通过伪造数据在攻击汽车(比如伪造当前速度来欺骗变速器等),那么这些模型就会检测到这种异常情况。
5结语
智能汽车网络安全是一种新的安全威胁趋势,汽车内网的架构和协议在汽车还未接入互联网之前就已经得到广泛应用,所以这些协议和网络的架构的设计在设计之初根本就没有对安全引起足够重视。汽车是一个非常复杂的系统,涉及到了很多尖端科技,例如人工智能、图像处理、控制理论等等。汽车内部各大模块相互协作构成了一个有机整体,对其中任何一部分都会影响到其余部分,因此要保证汽车安全只有双管齐下,一方面对基于传统汽车网络架构的汽车开发出安全产品或者保护机制,另一方面要着手研发和标准化下一代汽车网络架构,而在下一代汽车网络架构的研发过程中要充分考虑到安全性,汽车厂商要对万物互联大背景下的网络安全引起足够重视。
作者:李均 王海春 来源:数字技术与应用 2016年3期