CAN總線、T-BOX、OTA車聯(lián)網(wǎng)的安全三系列

CAN總線是控制器局域網(wǎng)絡(luò)（Controller Area Network， CAN）的簡稱，由德國博世公司研發(fā)，遵循ISO11898及ISO11519，已成為汽車控制系統(tǒng)標(biāo)準(zhǔn)總線。如果把汽車比作人，CAN總線就相當(dāng)于汽車的神經(jīng)網(wǎng)絡(luò)，負(fù)責(zé)連接車內(nèi)各控制系統(tǒng)。

ICV的神經(jīng)網(wǎng)絡(luò) — CAN總線安全

傳統(tǒng)汽車CAN總線只承擔(dān)了汽車內(nèi)部的數(shù)據(jù)交換和信息傳輸，不與外界網(wǎng)絡(luò)發(fā)生聯(lián)系，安全指數(shù)較高，針對CAN總線的安全防護(hù)并沒有引起車企關(guān)注。然而，隨著智能網(wǎng)聯(lián)汽車時(shí)代的到來，CAN總線被用于連接汽車T-box與各ECU，而T-box作為智能汽車的聯(lián)網(wǎng)設(shè)備，擁有較多的外部訪問點(diǎn)，其數(shù)據(jù)傳輸和信息驗(yàn)證過程極容易受到黑客攻擊，因此，CAN總線安全成為各大車企迫切解決的問題。

那么，現(xiàn)階段智能網(wǎng)聯(lián)汽車的CAN總線安全嗎？

答案是否定的，近年來，針對智能汽車CAN總線的攻擊事件可謂是層出不窮。

2015年，克萊斯勒的Jeep車型被國外的安全專家入侵，利用系統(tǒng)漏洞，遠(yuǎn)程控制汽車的多媒體系統(tǒng)，進(jìn)而攻擊V850控制器，獲取遠(yuǎn)程向CAN總線發(fā)送指令的權(quán)限，達(dá)到遠(yuǎn)程控制動(dòng)力系統(tǒng)和剎車系統(tǒng)的目的，可在用戶不知情的情況下降低汽車的行駛速度、關(guān)閉汽車引擎、突然制動(dòng)或者讓制動(dòng)失靈。2016年，同款Jeep車型在被物理接觸的情況下，被攻擊者通過接口注入指令，控制車輛的動(dòng)力系統(tǒng)，可操控方向盤和剎車系統(tǒng)，嚴(yán)重威脅駕駛員人身安全。

總體來說，CAN總線安全風(fēng)險(xiǎn)在于兩點(diǎn)：一是通信缺乏加密和訪問控制機(jī)制，可被攻擊者逆向總線通信協(xié)議，分析出汽車控制指令，用于攻擊指令偽造；二是通信缺乏認(rèn)證及消息校驗(yàn)機(jī)制，不能對攻擊者偽造、篡改的異常消息進(jìn)行識別和預(yù)警。鑒于CAN總線的特性，攻擊者可通過物理侵入或遠(yuǎn)程侵入的方式實(shí)施消息偽造、重放等攻擊入侵。

因此，實(shí)現(xiàn)CAN總線安全，首先需要對CAN總線數(shù)據(jù)通信和訪問過程進(jìn)行加密控制，實(shí)現(xiàn)汽車密態(tài)數(shù)據(jù)交互和身份驗(yàn)證控制，以達(dá)到防范固件逆向、竊聽和數(shù)據(jù)竊取的目的。

信長城CAN總線安全方案，實(shí)現(xiàn)CAN總線固件加密、通信內(nèi)容加密、數(shù)據(jù)存儲(chǔ)加密和數(shù)字簽名。CAN總線整個(gè)通信過程，采用密碼學(xué)機(jī)制，實(shí)現(xiàn)了車聯(lián)網(wǎng)端到端的身份認(rèn)證，每次通信時(shí)數(shù)據(jù)先加密后通信，能夠?qū)χ悄芷囯x線、在線等多種場景下進(jìn)行安全防護(hù)，防止黑客攻擊。其他技術(shù)細(xì)節(jié)可參考信長城車聯(lián)網(wǎng)CAN總線安全方案。

你的 T-BOX 安全了嗎？

1、什么是智能汽車 T-BOX？

T-BOX 是車載智能終端（Telematics BOX）的簡稱，主要用于車與車聯(lián)網(wǎng)服務(wù)平臺之間通信，集成了OBD、MCU/CPU、FLASH、SENSOR、GPS、3G/4G、WiFi/藍(lán)牙等模塊。對內(nèi)與車載 CAN 總線相連，實(shí)現(xiàn)指令和信息的傳遞；對外通過云平臺與手機(jī)/PC 端實(shí)現(xiàn)互聯(lián)，車內(nèi)外信息交互的紐帶。

T-BOX 可實(shí)現(xiàn)車輛遠(yuǎn)程控制、遠(yuǎn)程查詢、安防服務(wù)等功能，如遠(yuǎn)程控制車門、車窗、空調(diào)等開啟；遠(yuǎn)程車輛定位、查詢車況信息；車輛異動(dòng)報(bào)警緊急救援求助等。T-BOX 為人們生活提供了越來越多的便利和安全保障，同時(shí)也為汽車帶來了更多的信息安全隱患。

2、車載 T-BOX 安全威脅

車載 T-BOX 安全威脅主要有兩方面：一是固件逆向，攻擊者通過逆向分析 T-BOX 固件，獲取加密算法和密鑰，解密通信協(xié)議，用于竊聽或偽造指令；二是信息竊取，車載T-BOX可深度讀取汽車Can總線數(shù)據(jù)和私有協(xié)議，攻擊者通過 T-BOX 預(yù)留調(diào)試接口讀取內(nèi)部數(shù)據(jù)用于攻擊分析，或者通過對通信端口的數(shù)據(jù)抓包，獲取用戶通信數(shù)據(jù)。這就意味著，如果 T-BOX 遭遇黑客攻擊，攻擊者就可以直接仿冒云端指令，劫持車輛數(shù)據(jù)，從而發(fā)生汽車突然制動(dòng)、突然減速、突然加速等危險(xiǎn)駕駛行為，對駕駛?cè)说纳踩斐赏{。

3、車載 T-BOX 安全方案

T-BOX 作為智能汽車的聯(lián)網(wǎng)設(shè)備，擁有較多的外部訪問點(diǎn)，因此要做到T-BOX 安全，需要進(jìn)行外部訪問的身份認(rèn)證以及數(shù)據(jù)通信加密。信長城 T-BOX 安全方案，運(yùn)用標(biāo)識密鑰技術(shù)，確保云平臺、T-BOX 和 CAN 總線之間校驗(yàn)通過后方可發(fā)布/接受指令；同時(shí)，還對 T-BOX 平臺傳輸?shù)臄?shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)在上傳和下發(fā)的過程中不被篡改和劫持，以保證智能網(wǎng)聯(lián)汽車 T-BOX 安全運(yùn)行。

ICV的大腦 — OTA安全

據(jù)咨詢機(jī)構(gòu) ABI Research預(yù)測， 2022 年將有 2.03 億輛部汽車能通過 OTA 方式更新軟件，其中至少 2200 萬輛汽車還能通過 OTA 更新固件。

OTA是遠(yuǎn)程升級（Over The Air）的簡稱，最早是安卓系統(tǒng)在手機(jī)上推出的一個(gè)便捷技術(shù)，終結(jié)了手機(jī)軟件升級需要連接電腦、下載軟件、再安裝更新的繁復(fù)操作。隨著網(wǎng)聯(lián)汽車時(shí)代的到來，OTA也被應(yīng)用到汽車上，用于汽車軟件升級。

智能網(wǎng)聯(lián)汽車可以說是一種 “ 軟件” 汽車。和傳統(tǒng)汽車硬件更新不同，軟件成了智能汽車?yán)锏羁臁⒆钊菀讉€(gè)性化的部分。隨著汽車電子化程度越來越高，無論是車輛遭遇軟件故障還是軟件更新，線下召回系統(tǒng)升級的模式已經(jīng)難以滿足智能汽車的需要了。為了減少成本、提升用戶體驗(yàn)，OTA（Over-the-Air Technology）空中下載技術(shù)成了智能汽車時(shí)代的必備技能。

（汽車計(jì)算機(jī)系統(tǒng)的OTA）

一般來說，OTA 分為兩類，一種是 FOTA（Firmware-over-the-air，固件在線升級），指的是給一個(gè)設(shè)備、ECU 閃存下載完整的固件鏡像，或者修補(bǔ)現(xiàn)有固件、更新閃存。而固件之外的軟件更新，就是 SOTA（Software-over-the-air，軟件在線升級）。那些看上去離使用者更近的應(yīng)用程序和地圖 OTA，都屬于 SOTA 的范疇。

（OTA加密信息更新路徑）

汽車 OTA 的流程可以被分成三個(gè)階段，和 “ 把大象放進(jìn)冰箱 ” 一樣簡單易懂：第一步，生成更新包；第二步，傳輸更新包；第三步，安裝更新。

而OTA安全，也主要考慮三個(gè)部分的安全：第一部分是云端的服務(wù)器安全，第二部分是車端安全，最后一部分就是車和云之間的通訊安全。在這三段，軟件更新內(nèi)容不僅需要認(rèn)證，還需要加密，以保證數(shù)據(jù)在傳輸過程中不被仿冒和竊取。這就需要將標(biāo)識密鑰技術(shù)運(yùn)用到OTA運(yùn)行過程中。

搭載標(biāo)識密鑰技術(shù)的車輛，在進(jìn)行軟件升級時(shí)，能夠?qū)崿F(xiàn)云端服務(wù)器、車端之間的身份認(rèn)證，并對車和云之間的通訊數(shù)據(jù)進(jìn)行加密，使數(shù)據(jù)能夠以密態(tài)形式分發(fā)到車端，防止在通訊過程中數(shù)據(jù)被挾持和篡改，提高了 OTA 更新的安全性。