关于车辆T-BOX系统安全的测试研究和应用

随着我们进入了物联网的时代，关于网络安全的问题就越来越多的进入了我们的视野，某些互联网设备的安全性要求并不高，例如家庭智能净水器，智能空调等，这种设备同我们的安全性，隐私性并不发生直接联系。但是某些物联网设备则需要非常完善的安全性保护，例如智能摄像头，智能手机以及智能网联汽车等。

智能摄像头如果被攻击破解并且挟持，则会产生智能摄像头数据泄露，严重威胁个人以及企业的隐私以及信息安全，智能手机如果存在安全威胁，则会产生个人信息泄露，金融交易风险以及隐私泄露的严重威胁，汽车由于其特殊性，除了产生个人隐私泄露的风险意外，还可能产生人身安全威胁，2015年，吉普自由光汽车曾被白帽黑客破解，由此产生高达上亿美元的经济损失，因此对于汽车的信息安全测试则更加重要。

传统的汽车类似于一个孤岛，物理上同外界隔离，传统的汽车安全指的是汽车本身的安全性以及ecall 这种紧急救援服务。但是随着汽车进入智能化时代，新型的智能网联汽车则面临着更多的信息安全问题，可以说汽车越智能，连接越多，就会产生更多的攻击维度，安全问题越需要重视。

如果从产生信息安全的各个节点来考虑，那么汽车的信息安全可以从下图的几个节点来描述。

让我们以一个例子来了解整个T-Box的工作流程，例如车主希望能够通过手机中的APP查询到车辆当前的位置信息以及车辆当前的充电状态。车辆实时通过卫星获得GPS信息，并且通过ECU将充电状态通过CAN总线传递给Tbox的上层处理器，Tbox通过蜂窝移动基站将这些信息传递给云平台，如阿里云或亚马逊云等，TSP增值服务商通过云平台获取据，并且通过无线基站再次将数据传递给车主的手机APP中。

汽车安全可以包括以下几个方面：

智能网联汽车安全：主要包括两个方面，一个是CAN总线安全，CAN总线相当于汽车的神经网络，连接着汽车的电子控制单元ECU，目前一般一部汽车大概有50个以上的ECU，如故障诊断，仪表显示，安全气囊等重要ECU，理论上，可以通过CAN总线控制车载的任意的ECU，除此之外，OBD接口也是对CAN攻击的一个重要途径，因为OBD接口理论上是唯一的一个ECU同外部通信的接口。另外一个是车载OS安全，车载OS的安全相当于我们电脑的操作系统的安全。

IVI安全：IVI 是采用车载专用中央处理器，基于车身总线系统和互联网服务，形成的车载综合信息娱乐系统。IVI能够实现三维导航，路况，辅助驾驶，故障检测，车身控制，无线通讯，在线娱乐以及TSP服务等，正因为如此，IVI也面临着非常多的威胁。对IVI的攻击可以分为硬件攻击和软件攻击，其中硬件攻击需要将硬件拆掉，从硬件获得权限进行攻击，软件攻击包括无线注入以及软件升级攻击两个大的方向。例如Fw升级问题，在升级版本的过程中可能遇到安全问题，这种问题一般通过F-OTA来解决。车载IVI系统中的无线连接技术，如Bluetooth，WLAN技术也是潜在的攻击途径。

Tbox安全：狭义上将可以认为是Tbox的调试接口，MCU，总线数据的安全。

车联网通信安全：我们可以将车联网通信安全认为是广义的T-box安全，广义的Tbox安全代表终端在整个Tbox的应用过程中所产生的安全性问题，包括终端安全，终端的App行为安全，传输过程中数据的完整性，加密方案是否完备。

车联网服务平台TSP（Telematics Service Provider）安全：TSP为汽车远程服务提供商，为汽车和手机提供内容以及流量转发服务，如果服务平台被攻击，则可能产生资料窃取(例如GPS轨迹数据)，数据丢失，甚至冒充合法用户对车辆进行控制。

Telematics云平台安全：指的是云端数据的隐私性，可恢复性，完整性等几个方面。

APP安全：一般是指黑客通过root终端用户权限或者安装恶意程序，或者给程序植入后门来获取用户信息，进而对车辆进行控制。

如果将上述节点网络抽象化，我们可以得到下图：

我们可以将其中的 Endsystem（Initiator）可以看做是我们Tbox网络的起点，即Mobile App或者PC端，Network我们可以分解成包括移动运营商网络，Telematics Cloud Network和Telematics Service Provider，而Endsystem（Responder）可以看作是车载Tbox以及后面的IVI系统。在这个节点中，Endsystem（Initiator）可以包括智能终端安全，车辆网App安全等。从这张图上，我们可以看到，网络运营商起到了管道的作用，并且提供所有的承载，包括无线网络以及IP传输的承载。并且一方面对接移动终端以及App，另外一个方面对接云平台以及TSP服务商。包含了关于整个应用层最详细的信息。但是实际测试过程当中，我们没有办法监控运营商的IP网络，甚至没有办法去控制基站的信号强弱等等。

因此在实际测试过程中，可以使用带有IP层测试的2G/3G/4G网络模拟器来提供这个接口。一方面提供可控的无线信号，保证物理层传输的可靠性，另外一个方面提供IP层应用接口，IP层吞吐量分析，IP层加密分析的功能。

例如移动终端运行了1个App和一些后台运行的App，每个App包括了一些连接组，而每个连接组也包括了一些连接，我们可以针对每个连接进行如下的IP加密/非加密分析：

1. 加密业务，非加密业务分析

2. 关键词搜索，地理位置信息显示

3. IP端口分析

如果从协议栈的角度考察，主要包含两个方面，一方面是传输层的通信安全，另外一个方面是应用层，即各个APP本身的安全，对于传输层通信安全，一般依靠传输层加密算法来实现，传输层的加密协议为SSL/TLS协议。

基于传输层加密协议的测试，我们可以检查SSL/TLS证书是否是合法的机构，加密强度，证书的有效性等等。并且可以以地理信息显示服务器的位置，可以通过关键词搜索来查找关键信息是否加密等等，并且进一步的可以分析SSL/TLS握手协议流程等。

结论：智能网联汽车由于其承载人身安全的特殊属性，因此相比如其他物联网设备更加重要，并且随着智能网联汽车的规模化，智能化和产业化。整个智能网联汽车面临着更多的安全性，隐私性的问题。需要国家政策，行业法规以及企业投入更多的测试以及评估以提升智能网联汽车的产业安全性问题。