DPLSLab与汽车行业检测中心合作完成有关“国六排放重型车远程排放监控技术规范中——车载终端安全性测试”方法和工具的研发工作(详见《重型柴油车排放远程监控平台技术规范——3车载终端及测试方法-》附录C车载终端安全性测试部分)。
智能网联汽车在车载终端(TBOX)、车载娱乐系统(IVI)、CAN总线、手机APP端对于商密算法的使用没有测试验证环境,导致信息安全事件频发。
智能汽车安全测试主要针对CAN总线及ECU、IVI和T-Box中涉及的可信身份认证、授权访问、通信加密、应用加密、数据加密等技术点进行试验和验证。
1)、TBOX商密算法使用验证
智能网联汽车车载终端TBOX作为安全防护的重点,虽然TBOX都已经安装了安全芯片。在最新的《GB17691-2018重型车国六排放标准发布稿》和《重型柴油车排放远程监管平台技术规范——4通讯协议及数据格式测试》对于TBOX采集数据上传必须采用商密SM2的签名,以保证数据安全性和完整性,安全数据上传到上位机,上位机对于汽车进行可信身份认证、授权访问,同时数据通信加密、应用加密、数据加密采用SM2算法。
但是对于SM2算法使用是否正确,是否运行在安全芯片硬件加密芯片需要更加完善的验证体系。
2)、TBOX及车载娱乐系统IVI嵌入式操作系统安全
智能网联汽车车载娱乐系统IVI,以及车载TBOX模块作为安全防护的重点必须重点关注其操作嵌入式系统安全性。Tbox外界的作用,是一个模组,往往基于嵌入式实现的,这类系统在本身的防护能力上,在抗动态分析调试方面有了先天的不足,使得成为了首要的攻击对象,而且TBOX一方面与共有网络实现联通,另一方面与CAN总线直连,对其上嵌入式操作系统的安全性主要体现在隔离性上,TEE技术正是具备这一良好的发展前景。
而针对IVI车载娱乐系统,现在没有受到关注或者是没有形成普遍威胁的地方,车内APP的安全性,不少的主机车把系统升级安卓的时候,把安卓APP的功能屏蔽掉,来自第三方的安全性没有保证,造就了一批采用智能系统形态类似于车身的功能出现,这个产品在产业的发展当中存在合理性,长远来讲智能网联汽车的生态会走入开放,开放生态的形成的时候,恶意的攻击者会进入系统谋求自己的利益,反观智能手机的发展,最终解决方案也走向了TEE技术。可见搭建面向车机TBOX和IVI系统的TEE功能安全性验证测试能力是很有必要和前瞻性的。
对此我们的研究方向将面向如下:
车载终端主机操作系统及APP安全测试工具:
序号 | 名称 | 设备及平台说明 | 组件 |
1 | 车载IVI主机安全操作系统测试工具 | 车端可信执行环境安全测试系统 | 针对采嵌入式安全操作系统设备及产品,例如汽车等,通过渗透测试、逻辑测试、模糊测试等方式验证可信执行环境的安全防护能力 |
车端主机Cache攻击测试系统 | 通过Cache攻击的方法,对安卓产品开展密码攻击工作 | ||
6 | 车载加密协议测试工具 | 破解类安全协议扫描测试平台 | 支持SSH、Telnet、ADB等协议密码破解。 支持SSL加密方式。 支持指定用户名及密码。 支持字典文件导入破解。 支持破解结果文件输出。 支持破解速度线程定义。 需提供大于10000条的暴破字典。 |