智能網(wǎng)聯(lián)汽車(chē)信息安全發(fā)展報(bào)告（2021）系列十二：縱深防御技術(shù)架構(gòu)-車(chē)載內(nèi)部網(wǎng)絡(luò)安全防護(hù)

一、汽車(chē)網(wǎng)關(guān)信息安全

汽車(chē)網(wǎng)關(guān)，也稱為車(chē)輛連接網(wǎng)關(guān)（CVG，Connected vehicle gateway）或者汽車(chē)連接網(wǎng)關(guān)(CCG，Connected car gateway)，是允許車(chē)輛與外界通信的車(chē)輛入口點(diǎn)(entry point)。

這個(gè)入口點(diǎn)，我們稱之為中央集線器，它不僅與外界通信，而且還提供可靠和安全的無(wú)線通信。更重要的是，由于現(xiàn)在車(chē)輛的功能和特征不斷增長(zhǎng)，比如，我們可以使用各種網(wǎng)絡(luò)接口，包括局域互聯(lián)網(wǎng)絡(luò)(LIN)、控制器局域網(wǎng)絡(luò)(CAN)，以及以太網(wǎng)等。車(chē)輛的網(wǎng)關(guān)必須能夠與任何，以及所有這些獨(dú)特的協(xié)議，及其范圍跨度很大的不同數(shù)據(jù)速率進(jìn)行有效通信。

（一）入侵檢測(cè)和防御系統(tǒng)

入侵檢測(cè)和防御系統(tǒng)（IDPS）的目的是被動(dòng)監(jiān)視、檢測(cè)和記錄不適當(dāng)?shù)?、不正確的、可疑的或者異常的活動(dòng)，當(dāng)這些可能代表入侵的活動(dòng)被檢測(cè)到時(shí)，IDPS會(huì)發(fā)出報(bào)警和（或）自動(dòng)響應(yīng)。入侵檢測(cè)過(guò)程可以監(jiān)控網(wǎng)絡(luò)中發(fā)生的事件并對(duì)它們進(jìn)行分析，以確定是否存在與設(shè)定的安全策略不符、可能引發(fā)事故、違規(guī)或迫在眉睫的威脅的跡象。入侵防御過(guò)程可以執(zhí)行入侵檢測(cè)，然后阻止檢測(cè)到的事故。這些安全措施整合為入侵檢測(cè)系統(tǒng) (IDS) 和入侵防御系統(tǒng) (IPS) 后部署到網(wǎng)絡(luò)中，可以幫助檢測(cè)并阻止?jié)撛诘氖鹿?。專職IT安全人員的職責(zé)是主動(dòng)評(píng)審IDPS報(bào)警和相關(guān)日志以對(duì)恰當(dāng)?shù)捻憫?yīng)做出決策。當(dāng)組織需要迅速檢測(cè)對(duì)組織信息系統(tǒng)的入侵并進(jìn)行適當(dāng)響應(yīng)時(shí)，宜考慮部署IDPS。組織可通過(guò)獲取IDPS軟件和（或）硬件產(chǎn)品來(lái)部署IDPS，也可通過(guò)向IDPS服務(wù)提供商外包IDPS能力的方式部署IDPS。

入侵檢測(cè)通用模型將IDS（入侵檢測(cè)系統(tǒng)）分為事件產(chǎn)生器（event generators）、事件分析器（event analyzers）、響應(yīng)單元（response units）、事件數(shù)據(jù)庫(kù)（event databases）4個(gè)部分，如圖所示。其中，IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件；事件發(fā)生器從計(jì)算環(huán)境中收集事件，并將這些事件轉(zhuǎn)換成由CISL（common intrusion specification language）定義的通用格式GIDO（generalized intrusion detection objects）傳送給其他組件；事件分析器解析收到的GIDO并生成分析結(jié)果；響應(yīng)單元根據(jù)得到的分析結(jié)果采用一定的措施，比如報(bào)警處理等；事件數(shù)據(jù)庫(kù)用于儲(chǔ)存GIDO的中間或最終結(jié)果。

圖1 CIDF

入侵檢測(cè)技術(shù)分為兩類(lèi)：異常入侵檢測(cè)（anomaly detection）和誤用異常檢測(cè)（misuse detection）。異常入侵檢測(cè)亦稱基于行為或活動(dòng)的入侵檢測(cè)，它的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。異常檢測(cè)首先為對(duì)象的正常行為創(chuàng)立行為輪廓，稱為“活動(dòng)簡(jiǎn)檔”，當(dāng)檢測(cè)到當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較違反其統(tǒng)計(jì)規(guī)律時(shí)，即視為入侵。異常檢測(cè)具有檢測(cè)系統(tǒng)中未知攻擊的能力，但其困難之處在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為，所以誤報(bào)率較高。異常檢測(cè)的局限在于并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計(jì)算和更新。誤用入侵檢測(cè)亦稱為基于規(guī)則的檢測(cè)，它首先定義異常系統(tǒng)行為，然后將所有其他行為定義為正常。誤用入侵檢測(cè)主要在于如何表示入侵的特征以準(zhǔn)確無(wú)誤地區(qū)分入侵行為和正常行為，該方法的亮點(diǎn)是能夠明確地標(biāo)出入侵的類(lèi)型，可以簡(jiǎn)單地將已知攻擊添加到模型中，且擁有較低的誤報(bào)率和較高的正確率。不足之處是該方法的漏報(bào)率高，因?yàn)樗荒馨l(fā)現(xiàn)已有的攻擊，無(wú)法識(shí)別未知的攻擊；實(shí)時(shí)更新與維護(hù)特征庫(kù)也比較困難。異常入侵檢測(cè)和誤用入侵檢測(cè)這兩種檢測(cè)各有其優(yōu)點(diǎn)和不足之處，因此，在實(shí)際使用中往往聯(lián)合使用這兩種方法。

組織能從市場(chǎng)上獲取IDPS軟件和（或）硬件產(chǎn)品，或通過(guò)向IDPS服務(wù)提供商外包IDPS功能等方式部署IDPS。任何情況下，組織宜知道IDPS不是一個(gè)即插即用設(shè)備，其有效部署需要組織對(duì)IDPS有所理解。

對(duì)每個(gè)控制，組織需要根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估證明IDPS部署的有效性，并將IDPS部署融入信息安全管理過(guò)程。另外，需要考慮到，一旦入侵者或攻擊者竊聽(tīng)了包含已部署IDPS內(nèi)的信息并且覆蓋它，將使組織遭遇巨大的困難。這些困難包括如何識(shí)別并證明保護(hù)措施（如IDPS）需求。組織及有關(guān)系統(tǒng)或服務(wù)安全策略宜聲明將要選擇的保護(hù)措施以便適當(dāng)?shù)墓芾砣肭诛L(fēng)險(xiǎn)。

像每個(gè)控制一樣，組織需要根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估證明IDPS部署的有效性，并將其融入信息安全管理過(guò)程。另外，需要考慮到，萬(wàn)一入侵者和攻擊者竊聽(tīng)了包含已部署的IDPS內(nèi)的信息并且覆蓋它，將使組織面臨巨大的困難。

若以不安全方式實(shí)施IDPS傳感器，就像網(wǎng)絡(luò)上的其他設(shè)備一樣，它很可能會(huì)被攻擊。在攻擊者了解其存在的情況下，他們更傾向于嘗試并利用IDPS任何已知的脆弱性。攻擊者可能試圖使IDPS失去能力，或者強(qiáng)迫它提供錯(cuò)誤信息。另外，許多IDPS存在安全弱點(diǎn)，如發(fā)送未加密的日志文件、限制訪問(wèn)控制和缺乏對(duì)日志文件的完整性檢查。以一種安全的方式實(shí)施IDPS傳感器和控制平臺(tái)是必要的，并宜處理IDPS的潛在弱點(diǎn)。

1.異常入侵檢測(cè)

基于機(jī)器學(xué)習(xí)的異常檢測(cè)方法。該方法關(guān)注構(gòu)造一個(gè)基于先前規(guī)則的，可以改進(jìn)性能的系統(tǒng)。

目前利用神經(jīng)網(wǎng)絡(luò)來(lái)檢測(cè)入侵工作的方法有基于系統(tǒng)調(diào)用的入侵檢測(cè)系統(tǒng)——系統(tǒng)調(diào)用序列分析，基于概率的不確定性推理網(wǎng)絡(luò)——貝葉斯網(wǎng)絡(luò)，以及馬爾科夫鏈模型。但由于訓(xùn)練數(shù)據(jù)的容量不足以概括所有數(shù)據(jù)的特點(diǎn)，其檢測(cè)能力存在過(guò)度擬合訓(xùn)練集，而不是測(cè)試集。而且神經(jīng)網(wǎng)絡(luò)訓(xùn)練消耗資源普遍較多，訓(xùn)練時(shí)間普遍較長(zhǎng)，如何在保證檢測(cè)準(zhǔn)確率的前提下更加高效而低耗地訓(xùn)練神經(jīng)網(wǎng)絡(luò)是目前的一個(gè)難點(diǎn)。

基于統(tǒng)計(jì)的異常檢測(cè)方法。該方法依據(jù)已發(fā)生事件對(duì)未來(lái)事件進(jìn)行預(yù)測(cè)：系統(tǒng)觀察主體行為并產(chǎn)生輪廓代表主體行為。通常，每個(gè)主體都保持有兩個(gè)輪廓：當(dāng)前輪廓和儲(chǔ)存輪廓，并定期計(jì)算異常評(píng)分，通過(guò)異常函數(shù)比較當(dāng)前輪廓與儲(chǔ)存輪廓，如果異常值高于閾值，則系統(tǒng)發(fā)出入侵警報(bào)。此方法具有較強(qiáng)的時(shí)序模式，但由于并不是所有系統(tǒng)行為都可以使用純粹的統(tǒng)計(jì)方法建模，所以該方法無(wú)法檢測(cè)不規(guī)則的入侵行為。

基于數(shù)據(jù)挖掘的異常入侵檢測(cè)用數(shù)據(jù)作為輸入，并從中找出肉眼不易看出的模式和偏差。數(shù)據(jù)挖掘添加關(guān)注異常檢測(cè)的層次，改善入侵檢測(cè)的過(guò)程。通過(guò)識(shí)別正常網(wǎng)絡(luò)活動(dòng)邊界，從普通網(wǎng)絡(luò)流量中識(shí)別出攻擊行為?；跀?shù)據(jù)挖掘的異常入侵檢測(cè)方法分為分類(lèi)檢測(cè)，即把審計(jì)數(shù)據(jù)分類(lèi)為正?；虍惓＃痪垲?lèi)和孤立點(diǎn)檢測(cè)和關(guān)聯(lián)規(guī)則檢測(cè)。

2.基于簽名的誤用入侵檢測(cè)

為了檢測(cè)基于簽名的 IDS 攻擊，它必須擁有可以與檢測(cè)到的攻擊表現(xiàn)相匹配的攻擊描述。這可以像匹配網(wǎng)絡(luò)數(shù)據(jù)包的一部分的特定模式一樣簡(jiǎn)單，也可以像將多個(gè)傳感器輸出映射到抽象攻擊表示的狀態(tài)機(jī)或神經(jīng)網(wǎng)絡(luò)描述一樣復(fù)雜。

如果可以找到適當(dāng)?shù)某橄?，基于簽名的系統(tǒng)可以識(shí)別以前未見(jiàn)過(guò)的與已知模式抽象等效的攻擊。當(dāng)簽名與侵入式和非侵入式傳感器輸出相匹配時(shí)，它們本質(zhì)上無(wú)法檢測(cè)到真正的新型攻擊并遭受誤報(bào)?？梢酝ㄟ^(guò)多種方式開(kāi)發(fā)簽名，從手動(dòng)翻譯攻擊表現(xiàn)到使用標(biāo)記的傳感器數(shù)據(jù)進(jìn)行自動(dòng)訓(xùn)練或?qū)W習(xí)。由于給定的簽名與已知的攻擊抽象相關(guān)聯(lián)，因此基于簽名的檢測(cè)器相對(duì)容易為攻擊指定名稱（例如 Smurf、Ping-of-Death）。

Axelsson 分類(lèi)法中處理基于簽名的系統(tǒng)的范圍從非常簡(jiǎn)單到非常復(fù)雜。最簡(jiǎn)單的系統(tǒng)是進(jìn)行簡(jiǎn)單的字符串匹配或遵循簡(jiǎn)單規(guī)則的系統(tǒng)。許多這些系統(tǒng)能夠基于單個(gè)網(wǎng)絡(luò)數(shù)據(jù)包做出決定。對(duì)于一大類(lèi)攻擊，特別是那些針對(duì)特定漏洞的攻擊，例如從網(wǎng)絡(luò)讀取輸入的程序中的緩沖區(qū)溢出可能性，這就足夠了。類(lèi)似地，可以在單個(gè)數(shù)據(jù)包的基礎(chǔ)上檢測(cè)到涉及數(shù)據(jù)包病理（例如相同的源地址和目標(biāo)地址）的攻擊。需要執(zhí)行多個(gè)步驟的漏洞利用需要 IDS 考慮多個(gè)數(shù)據(jù)項(xiàng)，無(wú)論是一系列網(wǎng)絡(luò)數(shù)據(jù)包還是一組審計(jì)記錄。所有處理方法都將一些已知攻擊的表示編碼為可以與感測(cè)數(shù)據(jù)進(jìn)行比較的形式。當(dāng)感測(cè)到的數(shù)據(jù)與模式匹配時(shí)識(shí)別出攻擊。除了相對(duì)較少的例外，基于簽名的系統(tǒng)以相當(dāng)具體的數(shù)據(jù)表示運(yùn)行。過(guò)于具體的簽名會(huì)錯(cuò)過(guò)已知攻擊的微小變化，而過(guò)于籠統(tǒng)的簽名會(huì)產(chǎn)生大量的誤報(bào)。一些更成功的系統(tǒng)，例如 STAT 系列，對(duì)某些類(lèi)別的攻擊使用一個(gè)足夠抽象的表示，以便能夠識(shí)別那些在簽名創(chuàng)建時(shí)未知的“新”攻擊。這種行為是一種例外，通常，基于簽名的IDS，就像病毒檢測(cè)器一樣，在發(fā)現(xiàn)新的攻擊時(shí)必須更新。大多數(shù)商業(yè)系統(tǒng)都屬于這一類(lèi)，在選擇部署系統(tǒng)時(shí)，更新的方便性和頻率是一個(gè)問(wèn)題。

二、ECU安全通信

（一）硬件安全模塊（HSM）

隨著工業(yè)系統(tǒng)、汽車(chē)及其子系統(tǒng)（如ADAS，自動(dòng)駕駛，信息娛樂(lè)）的持續(xù)性增長(zhǎng)和發(fā)展，對(duì)數(shù)據(jù)完整性和系統(tǒng)身份驗(yàn)證的需求也在不斷增長(zhǎng)。嵌入式安全性的一個(gè)非常重要的方面是硬件安全模塊（HSM），是提供安全密鑰管理和加密處理的安全區(qū)域，將多應(yīng)用程序功能與實(shí)時(shí)通信結(jié)合在了一起。

對(duì)于ECU層級(jí)的安全，硬件安全模塊（HSM）很關(guān)鍵。如圖所示，左邊是Tricore及相應(yīng)的外設(shè)，右邊就是HSM，中間隔了一層防火墻，可以有效保護(hù)HSM。HSM本身有自己的內(nèi)核，可以做一些加密解密運(yùn)算，同時(shí)內(nèi)部也有一些模塊是做各種安全算法的，比如ECC256，Hash算法等，還有隨機(jī)數(shù)生成TRNG；另外HSM也有自己獨(dú)有的RAM和Flash，只有HSM的內(nèi)核才可以訪問(wèn)，Tricore是訪問(wèn)不了的。有了HSM，可以將一些Key存儲(chǔ)在HSM的Flash，也可以通過(guò)HSM來(lái)進(jìn)行加密或解密，這樣安全性會(huì)得到相應(yīng)的保證。

圖2 HSM

為了達(dá)到期望的ECU安全性，單純的軟件解決方案往往是不足的。HSM能夠提高嵌入式系統(tǒng)對(duì)更復(fù)雜攻擊的抵抗能力，并且可以為密鑰數(shù)據(jù)、以及針對(duì)軟件篡改提供擴(kuò)展的保護(hù)。

然而，硬件安全模塊集成過(guò)程的復(fù)雜程度很高，并且要求在控制單元內(nèi)創(chuàng)建第二個(gè)獨(dú)立的軟件環(huán)境。此處適用特殊的安全要求，它們與軟件開(kāi)發(fā)方面的通用功能安全性（Safety）要求并不一致。

通過(guò)采用一套專門(mén)的安全技術(shù)，確保通過(guò)HSM可以實(shí)現(xiàn)的安全收益不會(huì)被抵消；通過(guò)使用一套交鑰匙軟件解決方案以及成熟的接口，確?？梢钥刂朴捎诎踩δ芮短姿鶎?dǎo)致的開(kāi)發(fā)復(fù)雜度，同時(shí)為應(yīng)用程序開(kāi)發(fā)人員留出了足夠的空間，讓他們能夠?qū)Ｗ⒂谧钪匾哪繕?biāo)--ECU的功能性。

HSM固件高效且面向未來(lái)的構(gòu)架以及已經(jīng)推出的品種繁多的模塊為HSM的使用提供了無(wú)限的可能：從簡(jiǎn)單的密鑰操作，SHE/SHE+功能的仿真和控制單元安全的引導(dǎo)，直至復(fù)雜的證書(shū)管理或者后臺(tái)運(yùn)行軟件篡改識(shí)別功能。這些功能可以各自單獨(dú)使用或者全部同時(shí)使用。

歡迎相關(guān)企業(yè)和專家交流咨詢！

聯(lián)系人：朱云堯（zhuyunyao@caeri.com.cn）