智能网联汽车信息安全解决方案

智能网联汽车信息安全解决方案与实践Apollo汽车信息安全实验室主任云朋目录–汽车信息安全问题由何而来–百度的探索和解决方案–从攻击者角度看安全智能网联汽车的发展智能网联汽车：搭载先进的车载传感器、控制器、执行器等装置，并融合现代通信与网络技术，实现车与X（人、车、路、后台等）智能信息交换共享，具备复杂的环境感知、智能决策、协同控制和执行等功能，可实现安全、舒适、节能、高效行驶，并最终可替代人来操作的新一代汽车新架构引起新问题云移动应用WIFI/蓝牙/3G/4G频繁的OTA无线/远程管理和控制丰富的功能/更多的代码软硬件耦合性加强上下贯通的通信结构高危害的结果干掉引擎控制车辆动力禁用人工介入控制方向盘错误的位置信息系统出错或宕机破解关键技术……致命威胁社会危害关键技术被窃取威胁入口多媒体WIFI蓝牙OBDTMPSSensor3G/4G应用和云端/TSPADAS/L3/L4入口点……•车门锁、钥匙、TPMS•CAN、OBD•恶意软件攻击•移动端逆向•未经授权的应用程序•内部应用/固件逆向•修改内部程序流程•娱乐系统bug•远程信息系统攻击安全威胁如何产生——三个案例AP550v850ARMAMPHVACESPACCEPSPMA远程控车路径ARMMCUMU509WIFIRVMESPVCUBMS远程控车路径GatewayWEBWIFIECU2ECU1ECU4ECU3ECU攻击路径安全威胁如何防护网络服务：云端运营中心L3/L4GatewayT-Box信息娱乐系统：音频、视频、导航、外部的多媒体设备/电话车身控制系统：仪表板、空调控制、门锁、大灯、方向/双闪灯、车窗/座椅等底盘控制系统：方向、刹车系统等辅助驾驶/自动驾驶CAN总线CANGateway车联网网络服务：车与云端传输安全、OTA、应用安全等通过对云端服务平台进行安全估计、渗透测试、通过部署抗DDOS、WEB应用防火墙及安全日志分析工具，保障TSP服务平台的安全运行车内网络安全：汽车网络层面安全通过部署在车辆网关，隔离车辆内外网络；识别刹车，车门控制单元或任何其他关键控制单元中来自外部的攻击系统软件及连接安全：汽车系统层面安全通过防止恶意软件安装、检测操作系统异常、隔离可疑应用程序以及停止向车载网络传播的攻击来保护信息娱乐系统和通讯网关。CAN安全：ECU层面安全识别刹车，驾驶辅助系统（ADAS）/自动驾驶控车指令，车门控制单元或任何其他关键控制单元中来自内部和外部的攻击。百度的探索和实践：检测与防御汽车信息安全测试体系体系及方法论建立端到端的安全测试体系汽车威胁攻击面越来越多网络化、智能化的车载控制器（BCM、IMMO、PKE/RKE、TBOX、IVI、ADAS）越来越多网络化、智能化的车载传感器（TPMS、CAMERA、LIDAR、RADAR）越来越多输入口、接口层和代码行（OBD、CAN、Ethernet、无线、手机、云）越来越多云端控制权、无人驾驶操控权（远程手机控制）越来越小集成化、成熟度高的车载通信（蜂窝、WIFI、蓝牙、NFC、RFID）信息安全测试（智能汽车VS传统IT）智能汽车传统IT硬件车型众多、硬件形态多样较为单一、标准化软件广泛使用嵌入式系统，对系统实时性要求高通用操作系统（Windows、linux、mac）通信协议互联网协议（TCP/IP、HTTP、FTP等）CAN、LIN、MOST、车载以太网、蓝牙、NFC、RFID等协议互联网协议（TCP/IP、HTTP、FTP等）攻击方式物理攻击+远程攻击远程攻击测试入口网络所有的物理接口（USB、OBD、蜂窝、WIFI等）网络测试方法自动化测试程度弱需要大量手动工作自动化测试程度较高测试工具漏洞扫描器成熟的开源工具定制化工具硬件工具漏洞扫描器成熟的开源工具汽车信息安全测试方法•基于汽车攻击路径模型，对汽车所有层和重要控制器模块进行威胁分析•采用分立和系统结合的方式进行汽车风险评估和脆弱性扫描测试•攻击模拟方式进行渗透测试，尤其物理攻击下的漏洞威胁•提供详细的测试评估报告基于汽车攻击路径模型威胁分析风险扫描渗透测试评估报告端到端的汽车安全测试体系重点关注车内ECU和控制系统的安全模型对汽车系统进行纵向层面测试传统IT网络安全嵌入式安全传感器安全无线安全人工智能算法安全Test系统硬件软件业务汽车信息安全测试解决方案CANSCAN测试系统覆盖汽车10大类攻击类别接口安全测试总线协议测试访问控制测试功能参数测试连接会话测试漏洞组件测试ECU解锁测试ECU固件测试ECU服务扫描测试CAN网关测试ECU安全测试项固件安全服务安全通信安全数据安全认证安全会话安全密钥安全ECU协议测试诊断协议标定协议通信协议私有协议ECU安全分析Web可视化报告生成威胁分析安全评级应对方案ECU测试设备CAN读写ECU监控车辆监控网络读写汽车信息漏洞库ECU信息漏洞库CAN指令威胁库收集汽车已知漏洞IOVSTest硬件安全测试ARM、MCU串口、JtagWireless、3GMoudleArmlinux权限获取、firmware提取CAN收发器固件刷新测试Busybox文件系统引导程序操作系统测试获取root登陆系统（有线、无线）代码逆向分析VIN码注册、认证串口劫持指令数据车辆硬件接入信号分析调试接口ARM系统测试MCU固件破解嵌入式安全测试+传统IT安全测试IOVSTest是一套涵盖车辆云、管、端形成的安全测试工具集，能够针对T-BOX、IVI、网络通信设备（蓝牙、WIFI、蜂窝等）进行检测。（3）SensorTest•GPS欺骗测试工具•Lidar干扰、欺骗测试工具•Camera图像欺骗测试工具•TPMS测试工具智能网联汽车信息安全防御架构隔离可信建立汽车安全纵深防御系统操作系统及软件安全•防固件被刷•防OS、应用及协议漏洞引起的拒绝服务或注入攻击•防车脑系统及软件破解•异常应用识别•应用授权及管理•隐私数据加密车内网络安全•网络边界隔离•访问控制•协议加密及鉴权•异常控车指令检测云端服务安全性•安全OTA•PKI基础设备及证书管理中心•监控及威胁分析平台•威胁情报中心ECU层安全•CANGateway•ECU安全检测•防车身指令控制•防底盘指令控制云端安全车身信息系统安全ECU安全推动关键技术的进步图像识别伪造算法对抗高安全性集成式ECU保护方案HSM/SE安全应用破解反跟踪技术应用访问控制反刷写与版权保护数据隐私保护控车报文深度解析车载系统及网络通讯安全汽车关键控制系统安全传感器安全联合中国汽车技术研究中心、中国信息通讯院、中国国家安全测评中心、全球知名芯片商、合作车厂……GPS信号伪造对抗高性能给网结构V2X与车载网关安全保护方案重点关注车端的安全性汽车安全的关键在于：隔离、可信及可视化把安全的重心向车端上移通过网络接入层，满足80%的安全性通过深入到车辆控制层，解决关键5%的安全性DDOS安全升级数字身份安全车身信息安全ECU安全安全的升级内容安全车内网络安全的接口安全的系统SecurityModel智能安全网关数据平台及运营网络娱乐系统/T-Box/OBD/….智能驾驶1、通过安全网关把用于自动驾驶的车脑、移动应用及端服务有效隔离，保障每个数据链路的内容安全可信2、通过网络隔离及内容检测，进行隐私保护、保证软件/固件安全，阻止未经授权的访问3、通过实时有效的数据跟踪，保护车辆的OBD、Ethernet、CAN、WIFI、Bluetooth等数据入口不滥用，进而检测的车身控制系统、信息娱乐控制系统、通讯设备及底盘控制和诊断系统的入侵行为。Networkmodel车身信息安全解决方案——阻断攻击者对车辆的接入CAN-GatewayECU安全解决方案——无源地址和无认证引导起的安全问题根据ECU处理器的能力分为三类：拥有TrustZone、拥有HSM、硬件无安全特性SecureBootTrustZonesecureboot系统层软硬安全模块轻量级安全库HSMsecureboot安全存储服务密钥管理服务验证签名服务加解密服务应用程序证书存储模块加密库模块TLS/SSLFOTAIPSECPKI异常指令决策ECU安全监控设备功能激活ECU设备管理模块上下文关联分析轻量级密钥管理安全的更换安全的监控安全的升级安全的认证安全的通信安全的启动ECU设备更换保护……TEE/SEorHSMmodule密钥管理模块让安全可见——能更快响应安全问题微观：从攻击者视角看问题为什么需要多层防御不提供WIFI/蓝牙接入功能OTA做了安全验证加密信道APNTSP为什么ECU的安全性变得重要来自一个架构师的题外音化繁为简的设计理念关注80%的关键目标达成