iPhone的網(wǎng)絡(luò)安全領(lǐng)先汽車數(shù)年？

在汽車網(wǎng)絡(luò)架構(gòu)逐漸升級換代的今日，網(wǎng)絡(luò)安全的重要性也在一并增加。我們將現(xiàn)在的智能汽車稱為“帶輪子的智能手機”，指代的不僅是功能性，也有安全性。智能手機可以說是如今網(wǎng)絡(luò)攻擊的重點對象之一，為此廠商們從各個層面加入了多道安全防御。而汽車的系統(tǒng)架構(gòu)其實也在往手機的方向發(fā)展，加強汽車網(wǎng)絡(luò)安全的工作也已經(jīng)提上了日程。

去年6月21日，工信部發(fā)布了《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全標準體系建設(shè)指南征求意見稿》，其中提及的建設(shè)目標是：到2023年底，初步構(gòu)建車聯(lián)網(wǎng)網(wǎng)絡(luò)安全體系，完成網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全和應用服務安全等50項以上重點急需安全標準的制修訂工作；到了2025年，形成較為完備的車聯(lián)網(wǎng)安全標準體系，重點標準完成數(shù)量達到100項以上，開始覆蓋細分領(lǐng)域。

部分車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標準狀態(tài) / 工信部

在標準明細中可以看出，一些通信安全標準和信息保護標準已經(jīng)發(fā)布，但還有許多終端與設(shè)施的安全標準處于待制定和制定中的狀態(tài)，比如車用安全芯片、車載操作系統(tǒng)及應用軟件和接口的相關(guān)標準。固然AUTOSAR等標準對安全性做了不少規(guī)范，不過因為當下汽車網(wǎng)絡(luò)安全事故并不算多，所以對汽車的安全定義仍處于并不完善的狀態(tài)。

近日，來自博世的網(wǎng)絡(luò)安全專家Zhendong Ma發(fā)表了一篇文章，闡述了蘋果在手機安全上的方案與汽車安全的對比，并聲稱前者在安全性上要領(lǐng)先汽車數(shù)年之久。

iPhone與汽車的系統(tǒng)威脅模型對比 / 博世

上圖描繪了iPhone和基于域控制器汽車的系統(tǒng)威脅模型對比，紅色箭頭代表了攻擊層。汽車通常用網(wǎng)關(guān)將ECU分成多個不同功能的域，網(wǎng)關(guān)ECU用于過濾跨域通信。汽車系統(tǒng)中可能受到的攻擊可能來自云服務器后端、基于車聯(lián)網(wǎng)接口的網(wǎng)絡(luò)攻擊、自動診斷系統(tǒng)接口的本地攻擊以及通過物理接入對ECU的直接攻擊。而iPhone的硬件包含高度集成的SoC和外圍設(shè)備，所受攻擊可能會來自iCloud服務器、零點擊的網(wǎng)絡(luò)攻擊或是直接物理接入芯片的硬件攻擊。

硬件安全

那么兩者為了確保各自硬件上的安全做了哪些舉措呢？蘋果在其芯片中加入了一個Secure Enclave安全協(xié)處理器，在其中存儲FaceID、鑰匙串和密鑰等重要安全數(shù)據(jù)。且該處理器利用自己的微內(nèi)核操作系統(tǒng)來完成加密運算，與應用處理器和內(nèi)存分離，從而避免加密模組受到邊信道攻擊。而應用處理器和Secure Enclave都具備基于硬件的內(nèi)聯(lián)AES引擎，加密寫入內(nèi)存中的數(shù)據(jù)，Secure Enclave還加入了內(nèi)存認證和重放保護的功能，內(nèi)置的公鑰加速器支持RSA和ECC加密和簽名。

而車內(nèi)的ECU中通常使用MCU來完成時間關(guān)鍵型的功能，比如轉(zhuǎn)向和引擎控制，而MPU來完成計算密集型的功能，比如自動駕駛和IVI。如今的MCU大多都集成了硬件安全模組HSM用于安全密鑰的存儲和加密運算。HSM具備自己的處理器和RAM，組成一個物理隔離的執(zhí)行環(huán)境。

S32x的安全方案 / NXP

HSM通過系統(tǒng)總線與主CPU完成通信，通常集成了AES的硬件加速器，有的模組也具備RSA和ECC這種非對稱加密算法的硬件加速器。而MPU的硬件安全通常是通過可信執(zhí)行環(huán)境TEE來實現(xiàn)的，也就是主處理器創(chuàng)造的虛擬執(zhí)行環(huán)境。并支持基于硬件的接入控制。

相較之下，Secure Enclave是嵌入到SoC封裝之內(nèi)的，而HSM模組是位于MCU的主處理器之外的。TEE是一個硬件支持的軟件方案，安全執(zhí)行環(huán)境的隔離程度越高，硬件系統(tǒng)的安全等級也就越高。

系統(tǒng)軟件安全

iOS的系統(tǒng)確保了設(shè)備智能運行來自蘋果應用商店的程序，而且系統(tǒng)在運行器件可以保持完整性，安全啟動確保了軟件的每個階段都要驗證完整性才能進入下一階段。iBoot啟動引導程序進一步增強了安全性，讓軟件系統(tǒng)低于典型的緩存溢出和類型混淆等漏洞。此外，蘋果的OTA更新包含了額外的參數(shù)，這些參數(shù)是每臺設(shè)備的更新包專有的，避免了重放攻擊和降級攻擊。為了請求更新，iPhone必須向服務器發(fā)送一個隨機數(shù)和獨有的設(shè)備ID，而服務器負責安裝包、隨機數(shù)和設(shè)備ID的簽名。

而在汽車域中，安全啟動其實已經(jīng)成了一種標準的安全功能，用于確保ECU內(nèi)軟件的真實性和完整性，運行時操縱檢測也進一步保護了累出你的完整性。但目前大部分方法仍是通過強調(diào)安全編程和大量測試來減少ECU漏洞，比如MISRA C/C++編碼標準和模糊測試，許多ECU都可以用簽名軟件來完成刷寫。然而傳統(tǒng)的ECU和那些性能有限的ECU往往需要靠測試者或OTA主控來進行簽名驗證，而不是在目標ECU內(nèi)部進行，這就增加了不少利用競爭條件攻擊的風險。

小結(jié)

iPhone提供了一個從芯片層級到系統(tǒng)層級的零信任模型，網(wǎng)絡(luò)安全防護機制確實要比汽車先進一截，盡管兩者屬于不同的產(chǎn)品，但汽車確實應該以此作為安全等級的目標。iPhone被攻破的新聞雖然時不時會冒頭，然而其中不少攻擊手段也可以用于進攻車機系統(tǒng)。未來隨著網(wǎng)聯(lián)車慢慢走上智能手機的老路，網(wǎng)絡(luò)安全勢必成為我們不得不重視的問題了，而在此之前，芯片廠商、IP廠商、方案廠商以及標準制定者都得做好準備。