iPhone的網(wǎng)絡(luò)安全領(lǐng)先汽車數(shù)年？

iPhone的網(wǎng)絡(luò)安全領(lǐng)先汽車數(shù)年？

在汽車網(wǎng)絡(luò)架構(gòu)逐漸升級換代的今日，網(wǎng)絡(luò)安全的重要性也在一并增加。我們將現(xiàn)在的智能汽車稱為“帶輪子的智能手機(jī)”，指代的不僅是功能性，也有安全性。智能手機(jī)可以說是如今網(wǎng)絡(luò)攻擊的重點(diǎn)對象之一，為此廠商們從各個(gè)層面加入了多道安全防御。而汽車的系統(tǒng)架構(gòu)其實(shí)也在往手機(jī)的方向發(fā)展，加強(qiáng)汽車網(wǎng)絡(luò)安全的工作也已經(jīng)提上了日程。

去年6月21日，工信部發(fā)布了《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)指南征求意見稿》，其中提及的建設(shè)目標(biāo)是：到2023年底，初步構(gòu)建車聯(lián)網(wǎng)網(wǎng)絡(luò)安全體系，完成網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全和應(yīng)用服務(wù)安全等50項(xiàng)以上重點(diǎn)急需安全標(biāo)準(zhǔn)的制修訂工作；到了2025年，形成較為完備的車聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系，重點(diǎn)標(biāo)準(zhǔn)完成數(shù)量達(dá)到100項(xiàng)以上，開始覆蓋細(xì)分領(lǐng)域。

部分車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)狀態(tài) / 工信部

在標(biāo)準(zhǔn)明細(xì)中可以看出，一些通信安全標(biāo)準(zhǔn)和信息保護(hù)標(biāo)準(zhǔn)已經(jīng)發(fā)布，但還有許多終端與設(shè)施的安全標(biāo)準(zhǔn)處于待制定和制定中的狀態(tài)，比如車用安全芯片、車載操作系統(tǒng)及應(yīng)用軟件和接口的相關(guān)標(biāo)準(zhǔn)。固然AUTOSAR等標(biāo)準(zhǔn)對安全性做了不少規(guī)范，不過因?yàn)楫?dāng)下汽車網(wǎng)絡(luò)安全事故并不算多，所以對汽車的安全定義仍處于并不完善的狀態(tài)。

近日，來自博世的網(wǎng)絡(luò)安全專家Zhendong Ma發(fā)表了一篇文章，闡述了蘋果在手機(jī)安全上的方案與汽車安全的對比，并聲稱前者在安全性上要領(lǐng)先汽車數(shù)年之久。

iPhone與汽車的系統(tǒng)威脅模型對比 / 博世

上圖描繪了iPhone和基于域控制器汽車的系統(tǒng)威脅模型對比，紅色箭頭代表了攻擊層。汽車通常用網(wǎng)關(guān)將ECU分成多個(gè)不同功能的域，網(wǎng)關(guān)ECU用于過濾跨域通信。汽車系統(tǒng)中可能受到的攻擊可能來自云服務(wù)器后端、基于車聯(lián)網(wǎng)接口的網(wǎng)絡(luò)攻擊、自動(dòng)診斷系統(tǒng)接口的本地攻擊以及通過物理接入對ECU的直接攻擊。而iPhone的硬件包含高度集成的SoC和外圍設(shè)備，所受攻擊可能會(huì)來自iCloud服務(wù)器、零點(diǎn)擊的網(wǎng)絡(luò)攻擊或是直接物理接入芯片的硬件攻擊。

硬件安全

那么兩者為了確保各自硬件上的安全做了哪些舉措呢？蘋果在其芯片中加入了一個(gè)Secure Enclave安全協(xié)處理器，在其中存儲FaceID、鑰匙串和密鑰等重要安全數(shù)據(jù)。且該處理器利用自己的微內(nèi)核操作系統(tǒng)來完成加密運(yùn)算，與應(yīng)用處理器和內(nèi)存分離，從而避免加密模組受到邊信道攻擊。而應(yīng)用處理器和Secure Enclave都具備基于硬件的內(nèi)聯(lián)AES引擎，加密寫入內(nèi)存中的數(shù)據(jù)，Secure Enclave還加入了內(nèi)存認(rèn)證和重放保護(hù)的功能，內(nèi)置的公鑰加速器支持RSA和ECC加密和簽名。

而車內(nèi)的ECU中通常使用MCU來完成時(shí)間關(guān)鍵型的功能，比如轉(zhuǎn)向和引擎控制，而MPU來完成計(jì)算密集型的功能，比如自動(dòng)駕駛和IVI。如今的MCU大多都集成了硬件安全模組HSM用于安全密鑰的存儲和加密運(yùn)算。HSM具備自己的處理器和RAM，組成一個(gè)物理隔離的執(zhí)行環(huán)境。

S32x的安全方案 / NXP

HSM通過系統(tǒng)總線與主CPU完成通信，通常集成了AES的硬件加速器，有的模組也具備RSA和ECC這種非對稱加密算法的硬件加速器。而MPU的硬件安全通常是通過可信執(zhí)行環(huán)境TEE來實(shí)現(xiàn)的，也就是主處理器創(chuàng)造的虛擬執(zhí)行環(huán)境。并支持基于硬件的接入控制。

相較之下，Secure Enclave是嵌入到SoC封裝之內(nèi)的，而HSM模組是位于MCU的主處理器之外的。TEE是一個(gè)硬件支持的軟件方案，安全執(zhí)行環(huán)境的隔離程度越高，硬件系統(tǒng)的安全等級也就越高。

系統(tǒng)軟件安全

iOS的系統(tǒng)確保了設(shè)備智能運(yùn)行來自蘋果應(yīng)用商店的程序，而且系統(tǒng)在運(yùn)行器件可以保持完整性，安全啟動(dòng)確保了軟件的每個(gè)階段都要驗(yàn)證完整性才能進(jìn)入下一階段。iBoot啟動(dòng)引導(dǎo)程序進(jìn)一步增強(qiáng)了安全性，讓軟件系統(tǒng)低于典型的緩存溢出和類型混淆等漏洞。此外，蘋果的OTA更新包含了額外的參數(shù)，這些參數(shù)是每臺設(shè)備的更新包專有的，避免了重放攻擊和降級攻擊。為了請求更新，iPhone必須向服務(wù)器發(fā)送一個(gè)隨機(jī)數(shù)和獨(dú)有的設(shè)備ID，而服務(wù)器負(fù)責(zé)安裝包、隨機(jī)數(shù)和設(shè)備ID的簽名。

而在汽車域中，安全啟動(dòng)其實(shí)已經(jīng)成了一種標(biāo)準(zhǔn)的安全功能，用于確保ECU內(nèi)軟件的真實(shí)性和完整性，運(yùn)行時(shí)操縱檢測也進(jìn)一步保護(hù)了累出你的完整性。但目前大部分方法仍是通過強(qiáng)調(diào)安全編程和大量測試來減少ECU漏洞，比如MISRA C/C++編碼標(biāo)準(zhǔn)和模糊測試，許多ECU都可以用簽名軟件來完成刷寫。然而傳統(tǒng)的ECU和那些性能有限的ECU往往需要靠測試者或OTA主控來進(jìn)行簽名驗(yàn)證，而不是在目標(biāo)ECU內(nèi)部進(jìn)行，這就增加了不少利用競爭條件攻擊的風(fēng)險(xiǎn)。

小結(jié)

iPhone提供了一個(gè)從芯片層級到系統(tǒng)層級的零信任模型，網(wǎng)絡(luò)安全防護(hù)機(jī)制確實(shí)要比汽車先進(jìn)一截，盡管兩者屬于不同的產(chǎn)品，但汽車確實(shí)應(yīng)該以此作為安全等級的目標(biāo)。iPhone被攻破的新聞雖然時(shí)不時(shí)會(huì)冒頭，然而其中不少攻擊手段也可以用于進(jìn)攻車機(jī)系統(tǒng)。未來隨著網(wǎng)聯(lián)車慢慢走上智能手機(jī)的老路，網(wǎng)絡(luò)安全勢必成為我們不得不重視的問題了，而在此之前，芯片廠商、IP廠商、方案廠商以及標(biāo)準(zhǔn)制定者都得做好準(zhǔn)備。