汽車數(shù)字鑰匙安全問題解析

張凱悅

【摘?要】文章概述了汽車數(shù)字鑰匙的發(fā)展現(xiàn)狀及發(fā)展趨勢(shì)，通過對(duì)汽車數(shù)字鑰匙的功能及通信技術(shù)的引入對(duì)汽車數(shù)字鑰匙的安全威脅進(jìn)行了分析，同時(shí)提出汽車數(shù)字鑰匙應(yīng)具備的安全技術(shù)及要求，并結(jié)合實(shí)際應(yīng)用場(chǎng)景以及可行性，提出了相應(yīng)的安全解決方案。

【關(guān)鍵詞】汽車數(shù)字鑰匙;威脅分析;信息安全

1.引言

隨著物聯(lián)網(wǎng)、云計(jì)算及芯片技術(shù)的發(fā)展和普及，電動(dòng)化、網(wǎng)聯(lián)化成為汽車發(fā)展的重要趨勢(shì)，汽車鑰匙數(shù)字化正成為汽車鑰匙的發(fā)展方向。數(shù)字化汽車鑰匙能夠通過物聯(lián)網(wǎng)技術(shù)連接控制汽車并完成身份認(rèn)證，并在市場(chǎng)上逐步取代傳統(tǒng)汽車鑰匙。2020年中國藍(lán)牙數(shù)字鑰匙裝配率超過30萬，裝配率接近4%，能夠?qū)崿F(xiàn)賬號(hào)登錄、鑰匙分享、車輛軌跡記錄等個(gè)性化配置。

但是，隨著越來越多的汽車廠商及零部件制造商推出新的汽車數(shù)字鑰匙，汽車數(shù)字鑰匙所帶來的安全威脅也逐步凸顯。汽車數(shù)字鑰匙設(shè)計(jì)功能時(shí)未能充分考慮安全威脅，導(dǎo)致汽車數(shù)字鑰匙成為攻擊者攻擊破解網(wǎng)聯(lián)汽車的重要途徑。據(jù)upstream.auto統(tǒng)計(jì)，截止2020年全球汽車安全信息事件中有22%是針對(duì)汽車數(shù)字鑰匙或利用了汽車數(shù)字鑰匙的漏洞。因此，汽車數(shù)字鑰匙的安全成為網(wǎng)聯(lián)汽車產(chǎn)業(yè)研究的重要問題。

2.汽車數(shù)字鑰匙的概述

2.1 汽車數(shù)字鑰匙的基本概念

汽車數(shù)字鑰匙就是利用無線通信技術(shù)使用數(shù)字化認(rèn)證方式實(shí)現(xiàn)用戶訪問車輛的數(shù)字憑證。汽車數(shù)字鑰匙通常由汽車數(shù)字鑰匙服務(wù)平臺(tái)、汽車數(shù)字鑰匙移動(dòng)終端、汽車數(shù)字鑰匙車載終端組成。其中，汽車數(shù)字鑰匙系統(tǒng)具有認(rèn)證、定位、鑰匙共享、車輛遠(yuǎn)程控制與訪問等功能。服務(wù)平臺(tái)提供汽車數(shù)字鑰匙認(rèn)證服務(wù)，管理汽車數(shù)字鑰匙數(shù)字化憑證的生成、分發(fā)、存儲(chǔ)、升級(jí)等功能。用戶通過汽車數(shù)字鑰匙以無線通信的方式與汽車數(shù)字鑰匙服務(wù)平臺(tái)及車載終端建立通信，通過服務(wù)平臺(tái)完成數(shù)字鑰匙的認(rèn)證，用戶通過移動(dòng)終端向車載終端發(fā)出數(shù)據(jù)查詢或車輛遠(yuǎn)程控制指令，車載終端對(duì)完成認(rèn)證的汽車數(shù)字鑰匙移動(dòng)終端提供數(shù)據(jù)查詢或車輛遠(yuǎn)程控制的服務(wù)。

汽車數(shù)字鑰匙將智能手機(jī)、NFC智能卡、智能手表和智能手環(huán)等可穿戴設(shè)備變成車鑰匙。由于高度的便捷性，這項(xiàng)技術(shù)在近幾年成為了廣大車企及科技公司競(jìng)相追逐的焦點(diǎn)，包括長安、廣汽、小鵬、蘋果、通用、寶馬、高通、大眾、華為在內(nèi)的等上百家領(lǐng)先汽車和科技公司都為汽車數(shù)字鑰匙提供解決方案，并大量投入市場(chǎng)。

3.汽車數(shù)字鑰匙主要技術(shù)

3.1 通信技術(shù)

通信技術(shù)指移動(dòng)智能終端與車輛之間的通信技術(shù)，采用近距離通信技術(shù)，主要包括藍(lán)牙、NFC和UWB三種。汽車數(shù)字鑰匙使用到的通信技術(shù)應(yīng)能支持用戶隨身設(shè)備/移動(dòng)智能終端、可實(shí)現(xiàn)精準(zhǔn)位置識(shí)別、實(shí)現(xiàn)成本較低、對(duì)汽車架構(gòu)改造影響程度小、傳輸速率快，傳輸信號(hào)穩(wěn)定。

3.2 定位技術(shù)

定位技術(shù)指車輛對(duì)用戶移動(dòng)智能終端設(shè)備的位置精準(zhǔn)識(shí)別，這其中涉及到關(guān)于定位技術(shù)算法的研發(fā)。定位技術(shù)的效果最終直接影響到汽車數(shù)字鑰匙PKE以及無感控車功能的用戶體驗(yàn)。

3.3 認(rèn)證技術(shù)

汽車鑰匙數(shù)字化后，需要對(duì)數(shù)字鑰匙進(jìn)行信息安全方面的保障，通常涉及密碼技術(shù)（加解密密碼運(yùn)算、簽名驗(yàn)簽運(yùn)算以及證書等）以及其他密鑰存儲(chǔ)技術(shù)如白盒密碼技術(shù)、TEE、HSM和SE。

3.4 應(yīng)用保活

應(yīng)用保活單指移動(dòng)智能終端上應(yīng)用的保活，主要為滿足汽車數(shù)字鑰匙的PKE和無感控車功能，這些功能要求當(dāng)用戶靠近車輛時(shí)，自動(dòng)完成身份認(rèn)證以及數(shù)據(jù)傳輸?shù)龋瑫r(shí)無需用戶的直接介入。

4.汽車數(shù)字鑰匙安全威脅分析

由于汽車數(shù)字鑰匙的應(yīng)用的技術(shù)廣泛，同時(shí)汽車數(shù)字鑰匙在設(shè)計(jì)時(shí)并沒有充分考慮系統(tǒng)的安全要求，因此汽車數(shù)字鑰匙普遍存在以下安全威脅：

4.1 數(shù)據(jù)傳輸

汽車數(shù)字鑰匙在通信過程中，采用了短距通信的技術(shù)，包括UWB、藍(lán)牙、NFC等技術(shù)。以上的通信技術(shù)由于其物理特性，容易被無線通信設(shè)備發(fā)現(xiàn)和截獲通信信號(hào)，若通信數(shù)據(jù)未加密或加密強(qiáng)度不足，通信內(nèi)容容易被基于無線通道的攻擊而被竊取。

4.2 指令重放攻擊

汽車數(shù)字鑰匙在通信過程中，即使傳輸?shù)臄?shù)據(jù)是密文，攻擊者即使無法破解通信內(nèi)容，攻擊者仍然可以直接將抓取到的密文數(shù)據(jù)包進(jìn)行回放，從而讓汽車對(duì)該指令進(jìn)行回應(yīng)。

4.3數(shù)字憑證

智能設(shè)備在與汽車進(jìn)行身份認(rèn)證后，會(huì)在本地生成一個(gè)數(shù)字憑證，只有從擁有合法的數(shù)字憑證的智能設(shè)備發(fā)出去的指令汽車才會(huì)響應(yīng)。如果智能設(shè)備上的數(shù)字憑證被攻擊者復(fù)制到另一個(gè)智能設(shè)備上，另一個(gè)設(shè)備就擁有對(duì)車輛的控制權(quán)了。

4.4 固件提取

對(duì)于車載終端，其最大的威脅就是存儲(chǔ)在終端芯片里的固件被非法提取，攻擊者通過分析固件發(fā)現(xiàn)固件的漏洞，從而達(dá)到破解或者干擾數(shù)字鑰匙的目的。

4.5 數(shù)據(jù)泄露

汽車數(shù)字鑰匙在使用過程中，會(huì)涉及到很多敏感信息，比如個(gè)人敏感信息、車輛信息、數(shù)字憑證等，這些信息會(huì)可能通過滲透汽車數(shù)字鑰匙服務(wù)平臺(tái)、智能終端等，從而獲取這些信息。

4.6通信干擾

汽車數(shù)字鑰匙的短距通信技術(shù)，使得通信很容易受到外界的干擾，攻擊者可以使用信號(hào)干擾儀對(duì)發(fā)出的信號(hào)進(jìn)行干擾，從而使得車載終端不能正常接收信號(hào)。

5、汽車數(shù)字鑰匙安全技術(shù)與要求

針對(duì)以上汽車數(shù)字鑰匙的安全性威脅，汽車廠商能夠在汽車數(shù)字鑰匙設(shè)計(jì)與生產(chǎn)的過程中利用已有的安全措施提高汽車數(shù)字鑰匙的安全能力，本文針對(duì)以上的威脅提出了相關(guān)的安全技術(shù)要求，以保障汽車數(shù)字鑰匙的信息安全。

5.1數(shù)據(jù)傳輸安全

汽車數(shù)字鑰匙在通信過程中，為保障數(shù)據(jù)的機(jī)密性，應(yīng)對(duì)通信數(shù)據(jù)進(jìn)行加密傳輸。在具體選擇通信協(xié)議時(shí)應(yīng)采用具有安全措施的通信協(xié)議，并增加數(shù)據(jù)完整性校驗(yàn)的功能。這樣，即使攻擊者能夠抓取數(shù)據(jù)，但是不能讀懂?dāng)?shù)據(jù);就算篡改了數(shù)據(jù)，沒有通過車載終端完整性驗(yàn)證，汽車也不會(huì)對(duì)命令進(jìn)行響應(yīng)。

5.2防重放攻擊

應(yīng)對(duì)重放攻擊一般有三種防御手段，包括隨機(jī)數(shù)、時(shí)間戳及流水號(hào)。隨機(jī)數(shù)是指通過在通信過程中每次加入隨機(jī)數(shù)，每次通信過程采用的隨機(jī)數(shù)不同，從而抵御重放攻擊，認(rèn)證雙方不需要時(shí)間同步，但需要額外保存使用過的隨機(jī)數(shù)，保存和查詢的開銷較大。其次，是采用時(shí)間戳的方法，該方法不用額外保存其他信息，但認(rèn)證雙方需要準(zhǔn)確的時(shí)間同步，當(dāng)系統(tǒng)很龐大，精確的時(shí)間同步較為困難。第三是在雙方報(bào)文中添加一個(gè)逐步遞增的整數(shù)，只要接收到一個(gè)不連續(xù)的流水號(hào)報(bào)文，就認(rèn)定有重放威脅。該方法不需要時(shí)間同步，但一旦攻擊者對(duì)報(bào)文解密成功，就可以獲得流水號(hào)，從而每次將流水號(hào)遞增欺騙認(rèn)證端。

5.3數(shù)據(jù)憑證安全

針對(duì)數(shù)字憑證復(fù)制后還能使用的問題，可以通過將數(shù)字憑證與智能設(shè)備綁定，比如MAC地址、設(shè)備IEMI碼等。針對(duì)數(shù)字憑證有效期和使用次數(shù)的問題，可以對(duì)保存有效期、使用次數(shù)等配置文件做一個(gè)完整性校驗(yàn)。

5.4固件安全

可以通過編程的方式，把內(nèi)部Flash區(qū)域設(shè)置為讀保護(hù)狀態(tài)，這樣只要不對(duì)MCU進(jìn)行解封，利用顯微鏡對(duì)內(nèi)部Flash的電平狀態(tài)進(jìn)行破壞，是很難篡改固件的;對(duì)外掛的Flash內(nèi)的固件，可以依靠電路設(shè)計(jì)保護(hù)起來。

5.5數(shù)據(jù)泄露安全

對(duì)于存儲(chǔ)在智能設(shè)備終端、車載終端等上面的敏感數(shù)據(jù)，可以專門開辟一塊空間存儲(chǔ)或者隔離敏感數(shù)據(jù)，或者將敏感數(shù)據(jù)存在安全硬件模塊內(nèi)，避免將敏感數(shù)據(jù)直接暴露給攻擊者，降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

6.結(jié)束語

本文從數(shù)字鑰匙的概念、原理出發(fā)，分析了汽車數(shù)字鑰匙的主要功能及使用的技術(shù)，同時(shí)總結(jié)了當(dāng)前汽車數(shù)字鑰匙所面臨的威脅，并針對(duì)威脅提出了相應(yīng)的安全解決方案。為汽車數(shù)字鑰匙安全化提供了一定的技術(shù)支持。

參考文獻(xiàn)：

[1]姚俊.數(shù)字車鑰匙的設(shè)計(jì)與安全性研究[J].汽車電器，2019（6）.