車聯網安全威脅分析及防護思路,幾維安全為智慧汽車保駕護航

技術那些事發表於2020-07-02

伴隨當今汽車製造技術、網路通訊技術的持續發展與推新,汽車網路化成為了新的發展方向,在此背景下,車聯網概念由此而生。車聯網實際就是運用多種通訊網路技術,實現各種功能,如車人通訊、車車、車地的通訊,以及聯網應用、導航定位等,這不僅能為駕駛者提供方便且快捷的汽車使用服務,而且還能使駕駛樂趣得到強化,提高出行的整體安全性,另外,還能一定程度緩解交通壓力。需要指出的是,儘管車聯網能夠帶了許多便利,但容易被遠端控制與操縱,易遭受安全威脅。 

威脅 

1、車內無線感測網容易遭受攻擊 

為了能夠最大程度提高汽車的安全性與便捷性,在許多汽車上,會根據現實需要,安裝感測器網路通訊裝置。而在此類裝置當中,無論是車路間通訊,還是TPMS、無線智慧鑰匙,均設有比較實用且先進的短距離無線通訊功能,但需要強調的是,此功能框架下的通訊資訊容易遭到竊聽,而且還容易被惡意中斷。 

2、車載匯流排網路運用標準網路來實現互聯互通,容易遭到滲透控制與漏洞分析

車載匯流排通訊的主要方式有 LIN、CAN 等。對於高速 CAN 匯流排而言,主要與汽車行駛有關聯的 ECU 相連線,比如組合儀表、ABSECU、發動機 ECU 等。而對於低速 LIN 匯流排來講,其主要與那些對資料傳輸速率有並不高要求的 ECU 相連線,比如雨刮、胎壓監測、車門鎖、電動車窗等。因 LIN、CAN 等匯流排網路均為比較典型的廣播式網路,此外,與之配套的協議標準處於公開狀態,並且還藉助通訊報文來進行分析與探測,因此,利用匯流排節點或 OBD 介面,與上述感測網相接入,便能偽造 ECU 控制資訊,或者是感測器採集資訊,導致電子系統在實 執行中出現紊亂情況。 

車聯網安全的具體防護思路 

1、研究車域網路資訊保安核心技術  

針對車域網在執行中可能遭受到的資訊保安威脅,需要對一些核心技術展開全面性、深層次研究,比如車輛統一身份認證技術、汽車電子裝置入侵檢測技術、汽車嵌入式作業系統安全加固技術、車域網路漏洞掃描技術、汽車電子裝置訪問許可權控制技術及車域網路安全測試技術等。 

2、研究車域網路資訊保安裝置  

針對車域網路的匯流排來講,其主要有三種型別,其一為資訊娛樂類,其二是安全舒適類,其三為動力驅動類。而對於車域網所遭受的安全攻擊而言,大多來自資訊娛樂類裝置,只有較少一部分來自安全類裝置;需要說明的是,在整個車域安全架構當中,最需要提供保護的便是動力驅動類裝置,因此,可將動力驅動網路作為研發重點,另外,還可將其他網路的安全 隔離當作中心,以此來更好的維護車域網相關裝置的安全。 

3、研究高安全級車聯網雲安全平臺  

針對那些與車聯網雲安全平臺有關聯的傳輸、終端、資料 庫、網路等環節所對應的資訊保安保護策略進行研究,且研究與之相配套的核心技術,積極開發安全等級更高、更加實用的 車聯網系統,以此來最大程度推動整車廠汽車產品服務水平的提升,實現其安全等級的提高。 

4、研究車聯網認證加密體制  

對車聯網的認證加密體制展開深入、全面研究,能夠提高其通訊安全性,有助於整個網路安全係數的增強。現階段,許多研究圍繞 PKI 技術,將其以一種比較合理的方式融入到車聯網當中,以此來認證車輛使用者身份,並對其所傳送的資訊進行加密、解密等。 

幾維安全智慧網聯汽車資訊保安實踐

結合國家戰略指引、技術研究和實際案例分析,車聯網安全,幾維安全為智慧汽車保駕護航,獨有 ,融合了程式碼虛擬化加密技術,適用於資源受限的嵌入式系統,推出了多維度基於底層演算法的安全保障技術。

1、幾維安全虛擬化技術原理

程式碼虛擬化基於 LLVM 編譯器中間層 LLVM IR 實現,透過設計獨有加密的虛擬 CPU 直譯器以及完備虛擬指令,將原始 CPU 指令進行加密轉換處理為只能由 KiwiVM 虛擬直譯器解釋執行的虛擬指令,能夠完全隱藏函式程式碼邏輯,以及函式、變數之間的依賴關係,讓程式碼無法被逆向工程。

車聯網安全-1.png

程式碼虛擬化將函式的最終入口替換成JUMPOUT,對外僅公開的標準化的虛擬化載入指令,攻擊者無法逆向還原虛擬機器的私有指令集,從而避免攻擊者分析原始函式的程式碼邏輯

虛擬化加密效果

未經過虛擬化保護的韌體,攻擊者透過反彙編器或反編譯器,能夠將程式的原始機器碼,翻譯成較便於閱讀理解的彙編程式碼或高階程式碼。硬體中的IoT韌體,本質上還是二進位制檔案,透過IDA Pro等工具可以輕鬆反編譯,生成近似原始碼的C程式碼,如下圖。

車聯網安全-2.png

反編譯未虛擬化後的程式碼

車聯網安全-3.png

反編譯虛擬化後的程式碼

虛擬化後的核心程式碼已無法再被逆向分析,從而避免潛在的漏洞被挖掘、核心技術被竊取、金鑰洩漏等問題。

2、幾維安全虛擬化技術優勢

旗艦級加密

加密後的程式碼被轉化為自定義的私有指令格式,其加密過程不可逆,相比傳統的程式碼混淆技術安全性更高。

函式級虛擬化

以C、C++原始檔的函式為單位進行虛擬化,具備粒度細、可控性高、隱蔽性強等特點。

全平臺全架構

基於LLVM-IR中間程式碼進行虛擬化,加密完成後再連結生成目標檔案,相容所有CPU架構,包括常見的X86、X64、ARM、ARM64,不常見的MIPS等架構,同時也相容IOS、Android、IoT、Linux等系統平臺。

無相容性問題

虛擬化編譯器在連結生成目標檔案之前進行虛擬化處理,不依賴特定系統環境,其相容性與原始應用一樣。

效能、體積損耗小

經過特殊的IoT環境適配處理,虛擬化後的效能和提交損耗小,適用各種低運算能力的裝置。

部署靈活、簡單

支援離線部署方式,透過簡單配置即可使用虛擬化系統,不破壞原始編譯流程。

在將來的智慧交通架構中,車聯網為其核心所在,前景廣闊。車聯網安全乃是確保車聯網能否得到廣泛應用與推廣的基本前提,因而是人們普遍觀眾的焦點所在。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31481590/viewspace-2702016/,如需轉載,請註明出處,否則將追究法律責任。

相關文章