车联网技术中车端信息安全问题及需求

随着车辆的信息化、智能化不断普及，车联网技术早已在各小车厂的量产车型实现了较为广泛的应用，但逐渐而至的安全问题逐渐显现。传统车辆中潜伏的一些隐患和问题显露在网路中，车辆上的各类电子设备、车载的智能信息系统、OBD（车载确诊）插口等，或许成为黑客侵入汽车系统的途径。密码技术是保障网路安全的核心和基础支撑技术，同时只是解决车联网安全问题最有效、最靠谱、最经济的方式。本文主要参照信息系统密码应用的技术要求、实现方式、检测方式等，对车辆车端密码技术方式和实现方法，以及应用的合规性、正确性、有效性等方面的测试技术等进行研究。

车联网技术中车端信息安全问题

车辆不断向智能化和网路化方向发展，在提高使用者的驾驶感受的同时，也引进了新的安全风险，车端信息安全问题及需求如下。 #

CAN总线安全风险，主要展现在CAN总线自身的脆弱性，合同不能确认接入节点的身分真实性，且没有加密模式，可造成通过绑架的节点编造其他节点发送数据。 #

ECU安全风险，主要包括被更改和再次烧写，防御者在固件程序中植入蓄意代码，设计上的缺陷或则漏洞等安全风险。 #

车载网段安全风险，主要展现在车载网段中系统数据/配置数据泄漏、软件或数据的更新包遭到歪曲、通信消息泄漏或歪曲等安全风险。

车载终端安全风险，主要展现在T-BOX、IVI、OBD等终端设备上存在的安全风险。其中，T-BOX存在反向防御、信息泄漏、网络防御等安全风险；IVI通过传染U盘等，防御信息娱乐系统等；OBD确诊插口风险，主要展现在硬硬件上的安全漏洞，导致黑客防御的风险。 #

车载终端

密码技术作为信息安全的核心技术，就能为车联网车端在终端安全接入、ECU之间安全通讯，以及固件安全等方面提供技术支撑。详细如下。 #

针对CAN总线的节点身分安全问题，可选用基于数字证书等密码技术，实现对节点的身分认证，避免非授权的接入。

针对CAN总线的数据明文传输问题，可通过密码技术实现重要数据的加密传输，防止信息泄漏。

针对车载终端安全风险，可选用杂凑、数字签名等密码技术，实现固件程序的完整性保护，并通过密码技术实现对配置数据的安全保护。 #

针对车载设备对外通讯所造成的风险，可对接入车载设备的用户及设备选用数字签名、杂凑算法等实现身分鉴定。

车端安全机制构架研究

#

车联网车端安全机制主要包括安全区域边界、安全通讯网路和安全估算环境等方面。如图1所示。

图1车端安全机制构架

内部区域边界安全。在车辆网段还要实现边界安全防护、访问控制、非授权访问控制、数据加探秘、密钥管理等安全功能。边界安全防护主要实现接入到车载CAN网路的ECU设备进行控制；访问控制主要为不同区域之间施行管控；数据加揭秘主要实现ECU与网段通讯的重要数据加密。

#

外部区域边界安全。主要为防护T-BOX、IVI等车载终端系统与外部TSP、移动终端等数据交互的边界安全，还要实现通讯身分鉴定、通信数据加密传输、入侵防控、实体接入身分认证、加密储存、密钥管理等安全功能。 #

车载终端安全。主要包括T-BOX、IVI等车载终端系统的操作系统安全和应用系统安全。

应用数据安全。主要包括T-BOX、IVI等车载终端系统与ECU之间以及ECU与ECU之间通讯，应选用数据加密和完整性保护体系。

#

车端密码技术应用研究

车联网车端可选用数字证书、对称密码技术、非对称密码技术等密码技术，满足车端接入ECU的身分真实性、CAN总线数据加密传输、固件程序的完整性保护等安全需求。通过建设PKI系统和KMS秘钥管理系统，搭建更方便的车联网通讯，防护举措详细包括：一是基于证书的车载端身分认证，现在较完备的方法是基于PKI证书身分认证，智能网联车辆首次启动进行通讯连结时，PKI系统签发可信证抒写入车载密码模块，适于车辆车端通讯，确保仅有认证后的车辆车端通讯安全；二是基于证书的传输加密，智能网联车辆在获取可信证书后，后续通讯通过证书进行秘钥协商并加密通讯数据，加密合同一般选用HTTPS应用层加密或则SSL、TLS传输层加密，提高防御者监听破解的难度，保障通讯安全；三是基于秘钥的加密信息安全技术应用，智能网联车辆经过车内数字证书认证后，向车载电子控制单元各ECU传递加密控制报文，只有经过秘钥的加揭秘能够执行，确保车辆在启动后车端业务的安全牢靠。 #

通过密码模块加强智能网联车辆安全防护已成为未来重要方向，将加密算法、访问控制、完整性检测嵌入到车辆控制系统，强化车载终端的安全性，提高安全级别。通过在IVI和TBOX中配套布署安全密码模块，负责管理及使用秘钥，实现密码估算，包括加揭秘、完整性校准、数字签名等。 #

1.网路和通讯安全

#

（1）T-BOX通讯身分鉴定 #

T-BOX与车辆网段通过CAN总线通讯实现对汽车状态信息、控制指令、远程针对等信息的传递，通过数据链路的形式实现与TSP系统的通讯。当用户通过PC端或联通端发送控制指令后，TSP发出指令到T-BOX，汽车获取到控制命令后，通过CAN总线发送控制信令实现对车联的控制。若蓄意用户通过TSP平台控制汽车，将导致严重影响，还要在T-BOX与TSP选用身分鉴定模式，互相进行身分认证，保障通讯双方的真实性，避免外界防御、发送错误指令等。T-BOX与TSP之间的身分鉴定可选用数字签名、数字证书等密码技术实现，并协商出会话秘钥，确保用户数据安全传输。TSP与T-BOX之间验证双方证书,选用SM2数字签名技术进行单向身分鉴定，运用SM2的秘钥协商算法协商出秘钥，确保传输数据的保密性。

（2）IVI通讯身分鉴定

IVI基于车身总线系统和互联网服务，可通过Wi-Fi、无线、蓝牙等网路通讯技术实现与智能终端App的通讯，并进行相关操作。若蓄意用户违规接入到IVI系统中，可导致严重信息泄漏、数据歪曲等安全风险。App应用接入到IVI中，须要辅以单向认证制度，保证接入的APP安全牢靠，可选用数字证书、数字签名等密码技术实现身分鉴定以及数据安全传输。IVI与APP之间的身分鉴定，可选用数字签名、数字证书等密码技术实现，并协商出会话秘钥，保障用户数据的安全传输。App与IVI互相验证双方证书，辅以SM2数字签名技术进行单向身分鉴定，同时借助SM2的秘钥协商算法协商出秘钥，适于传输数据的保密性。

2.估算和设备安全 #

车载网段可通过有线网路与PC机进行通讯，辅以Web等方法进行管理。对于车载网段系统的登陆，应选用身分鉴定模式，可在车载网段中布署密码模块，PC机选用数字证书的方法进行身分认证。 #

车载网段中或许存在T-BOX、OBD、各类ECU之间的访问控制信息，以及存在日志信息等，车载网段可选用SM3等密码算法保护访问控制信息、日志信息等完整性。T-BOX、IVI车载终端系统中，现在应用比较广泛的系统主要包括QNX、，和Linux（私有Linux和开源Linux）等操作系统，对于相关系统的登陆，应选用身分鉴定制度，对车载终端系统的修理或维护阶段登陆进行身分鉴定，可在车载终端系统中布署密码模块，同时登陆系统的终端选用数字证书的方法进行身分鉴定，身分鉴定成功后再登陆到系统中。对于T-BOX、IVI车载终端系统存在的访问控制信息以及存在日志信息等，车载终端可选用SM3等密码算法保护访问控制信息、日志信息等完整性。为防止ECU遭到蓄意防御、恶意代码写入、完整性遭到破坏等安全风险，可在ECU中安装密码模块，辅以SM3密码算法保障数据的完整性信息安全技术应用，以及选用SM2/SM4保障数据通讯的绝密性。

结语

本文主要对现今主流的车联网车端系统结构等进行剖析，并在此基础上剖析当前车联网车端T-BOX、汽车网段等关键设备存在的安全风险，以及密码应用需求等。根据安全风险和密码应用需求，结合《信息安全技术信息系统密码应用基本要求》（GB/T39786—2023），从网路和通讯安全、计算和设备安全、应用和数据安全等方面剖析和设计密码算法的应用方式，后续将逐步对车端密码应用需求、密码应用技术、检测技术等进行深入研究和验证。

#