水湾编译|《车载电气控制单元网络安全评估框架》第三篇

A. 对象和假设

    我们工作中实验的OBU是一种活跃的双芯片预装OBU产品，它是ETC系统中的重要车载ECU。ETC系统是国际上公认的有效技术，用于解决道路、桥梁、停车场等收费站的自动收费问题。在ETC系统中，OBU采用DSRC协议与RSU进行通信。而无线通信技术有效地提高了交通效率，并在桥梁和隧道、高速公路出入口、城市干道等车流量大的地方缓解了交通拥堵。

图3. ETC系统架构

如图3所示，ETC系统主要包括车道控制系统、后台数据库系统、RSU、OBU和集成电路（Integrated Circuit, IC）卡。车道控制系统起到道闸控制、通行灯控制、摄取车辆图像等功能。后台数据库系统协助完成登记、结算和相关操作。OBU、RSU、IC卡用于车辆自动识别、成本自动采集等功能。OBU存储车辆识别信息，如预付款、车型、车辆颜色、车牌号和车主信息。安装在收费站道路边缘龙门架或车道上方的RSU使用RF天线和微波技术读取车载OBU中的相关信息，识别车辆并计算充电量，从而完成自动不停车收费。

    ETC系统采用5.8GHz频段作为通信频段，主要包括物理层、数据链路层和应用层。物理层规范提供了数据传输、同步和定时功能，以实现数据传输的物理连接。ETC技术国家标准规定了OBU设备的物理层参数和性能标准。数据链路层规定了ETC通信过程中的关键参数、数据帧格式、通信链路建立、媒体访问控制（Media Access Control, MAC）和逻辑链路控制（Logic Link Control, LLC）子层，用于调节RSU和OBU之间的通信。应用层描述了ETC系统的核心框架和内核提供的基本服务。

    OBU在ETC系统中起着微波通信和信息存储的双重作用。一方面，OBU存储车辆信息、道路信息、车主信息和其他用于道路和桥梁的费用结算的关键信息。另一方面，5.8GHz微波频带用于OBU和RSU之间的DSRC通信。根据供电模式，OBU可分为有源OBU和无源OBU。唤醒后，激活的OBU将主动发送存储在OBU中的车辆信息。无源OBU通过感应电流传输相关信息。根据IC卡的存在与否，OBU可分为单片机型和双芯片型。单片机OBU没有IC接口，风险很高。双芯片OBU具有IC卡接口，可以融合OBU和IC卡的功能，具有更高的安全性和相对较高的费用。

图4.  OBU的硬件板

    OBU的芯片和硬件接口如图4所示。从印刷电路板上的印刷字来看，有SWD和通用异步收发器（Universal Asynchronous Receiver/Transmitter, UART）接口用于开发阶段调试。OBU中使用的主要芯片有SE芯片、BLE芯片、ETC芯片、CAN控制器和s32k118微控制器单元（Micro Controller Unit, MCU）。OBU中的接口和芯片可以帮助推断由OBU提供的功能。总之，从OBU硬件板获得的信息如下。

1） 蓝牙低能耗（Bluetooth Low Energy, BLE）芯片和BLE通信能力。

2） 具有安全存储功能的安全元件芯片和数据加密/解密能力。

3） 带有车载CAN网络的CAN控制器和通信功能。

4） 协调和控制OBU每个芯片模块运行的MCU。

5） 用于处理DSRC通信数据的ETC射频（Radio Frequency, RF）芯片和与RSU无线通信的能力。

6） UART、SWD、CAN、BLE、ISO7816和其他外部接口。

7） 用于芯片模块之间数据传输的I2C (Inter Integrated-Circuit)和SPI (Serial Peripheral Interface) 总线协议。

    基于提议的安全评估框架和待评估的OBU的信息，我们进行下面的实验。实验从五个角度分析OBU产品的网络安全风险：资产、假设、威胁、风险和测试。资产是OBU中有价值的数据、特权和功能服务。假设是目标OBU的网络安全评估的前提，确保待评估的OBU在受假设约束的环境中可以正常运行。威胁是对目标OBU的潜在网络安全威胁。风险是网络安全威胁可能带来的潜在危害。测试评估风险转化为实际攻击的可能性。

    假设规定了目标OBU稳定和正常运行的前提条件。网络安全评估框架中假设的使用可以消除由制造、不正确的运营等造成的网络安全威胁。OBU的假设如下。

1） 安全制造

    在OBU生命周期的制造集成阶段中，假设已经采取了适当的技术和措施来确保OBU资产的安全，包括初始密钥等材料的生成、安装和导入。

2） 标准化运营

    在OBU生命周期的每个阶段，假设目标OBU的运营是根据标准程序进行的，不会因运营不当而侵犯OBU资产。

3） 标准化管理

    假设与目标OBU相关的所有文件、数据、密钥和其他材料都在管理控制下，不会发生材料泄漏事件。

4） 值得信赖的员工

    假设所有在OBU投放市场之前与之接触的技术人员和管理人员在可靠，不会对OBU资产构成安全威胁。

5） 物理保护

    假设OBU产品具有相应的物理保护机制。

6） 正常运行

    假设OBU在生命周期的运行阶段，不会没有理由地错误运行。

B.OBU的资产

    根据“目标”和“假设”，框架进行资产识别、威胁分析和风险评估。根据“对象和假设”一节中对OBU的了解，OBU中的固件是没有操作系统的二进制代码。并且OBU不与云服务器通信。因此，根据第二节中的安全问题和OBU的特点，所提出的评估框架从硬件安全、固件安全、车载总线安全和无线电通信安全四个维度来识别OBU中的宝贵资产。

表8  资产

所有资产都分为三类，数据、服务和特权。C代表保密性; I代表完整性; A代表可用性。

    表8列出了目标OBU的资产。在评估框架中采用了CIA（机密性、完整性和可用性）安全模型来表明我们应该保护目标资产的哪个安全特性。

    根据从硬件板获得的信息和推断的功能，我们可以识别OBU的资产。数据资产包括在通信过程中需要传输的数据和设备存储的数据。特权资产包括可能通过设备硬件和无线接口泄露的系统代码执行权限。服务资产包括OBU提供的服务。

C.威胁和风险

    为了将安全评估框架应用于在汽车领域，我们使用攻击树方法在汽车安全框架下进行威胁分析。表9中描述的威胁分类如下。表8中的所有资产都存在威胁和潜在风险。将对所有威胁进行分析，以掌握目标OBU的潜在攻击点。此外，还将提供风险等级，以表明对人员、环境和车辆影响的严重程度。

表9.  威胁

入口表示攻击的入口以及连接。连接表示攻击是远程发起还是通过物理连接发起的。S代表身份欺骗; T代表篡改; R代表否认; I代表信息泄露; D代表拒绝服务; E代表特权提升。

1） 硬件安全威胁

a： PCB数据泄露

    OBU和其他车载ECU的PCB板上的印刷字会显示硬件调试接口、芯片、通信协议等信息，对恶意攻击之前的信息采集具有重要意义。

b： UART数据泄露

    UART除了用于串行通信之外，通常用作调试接口。恶意的攻击者可以物理连接UART接口以获得系统启动信息，包括关键信息，如u-boot版本，系统使用的芯片名称，内存布局等等。

c： UART提权

    恶意攻击者不仅可以通过UART接口获取 ECU和系统的敏感数据，还可以获得系统特权。如果开发人员在UART接口中预留了具有高权限的命令行调试接口，攻击者可以破解登录密码获得系统高权限，这将带来巨大的危害。

d： SWD数据泄露

    如果调试功能在ECU重新发布之前没有关闭，攻击者可以通过JTAG或SWD调试协议启动目标ECU的硬件调试功能。此功能允许攻击者读取CPU内部的数据和ECU的固件。

e： SWD提权

   除了CPU内部的固件和敏感数据，SWD接口还可以允许攻击者将固件加载到ECU中，以实现控制ECU的目的。

f: I2C/SPI/ISO7816 数据拦截

    借助示波器和数字逻辑分析仪的帮助，攻击者可以监控和解析协议数据以获取通信内容。如果时机恰当，攻击者甚至可以在固件传输窗口内执行攻击，以获取完整的固件。

g: I2C/SPI/ISO7816 数据篡改

    在监控和解析协议数据的基础上，攻击者可以在特定的时间窗口内改变总线上传输的协议数据，以此来干扰正常的数据传输。

h: SE芯片数据泄露

    尽管攻破一个SE芯片是一项困难的任务，但通过侧信道分析、故障注入攻击等方式攻击SE芯片，以获取芯片内部的数据，因此仍然存在潜在的安全风险。攻击者可能会获取存储在SE芯片中的敏感信息，如密钥等。

i: SE芯片数据篡改

    此外，如果SE芯片已经被攻破，攻击者还可以篡改存储在芯片内的数据。

2) 固件安全威胁

a: 固件逻辑泄露

    一旦获取了固件，攻击者可以通过逆向工程揭示固件的功能逻辑，这有助于理解目标ECU的运作并发现可能被利用的潜在安全漏洞。

b: 固件数据泄露

    除了功能逻辑外，由于开发者的疏忽，固件中可能还存在明文数据，这可能会暴露敏感信息，如关键的IP地址、电子邮件地址和安全密钥。

c: 固件逻辑篡改

    很明显，攻击者可以篡改固件的内容，以精确控制目标ECU。

3) 车载总线安全威胁

a: CAN数据拦截

    CAN总线协议缺乏身份认证，攻击者可以伪造恶意节点连接到车辆的CAN总线网络。基于CAN总线的广播传输机制，攻击者可以接收CAN总线传输的所有数据。由于缺乏安全加密机制，攻击者可以获得CAN总线传输的数据内容。

b: CAN数据篡改

    不仅仅是拦截，CAN总线协议没有数据完整性检查机制，恶意攻击者可以在接收者不知情的情况下篡改数据内容。

c: CAN实体欺骗

     如上所述，由于缺乏身份认证机制的保护，恶意攻击者可以伪装一个CAN控制器作为一个合法节点连接到车辆的CAN总线网络。

d: CAN总线拒绝服务

    此外，CAN总线协议使用基于优先级的屏蔽机制来解决总线竞争问题。攻击者可以构造具有更高优先级的CAN总线数据帧，并将它们发送到CAN总线，长时间占用CAN总线资源，从而造成拒绝服务的效果。

4) 无线电安全威胁

a: DSRC/BLE 数据拦截

    无线通信信道的开放性允许任何攻击者通过软件定义无线电设备捕获在空中传输的电磁波，并根据协议规范将其解析为数据比特流。如果没有加密算法来保护传输内容，攻击者可以获得传输的消息内容。

b: DSRC/BLE 数据篡改

    在缺乏数据完整性检查机制的情况下，攻击者可以篡改通过无线信道传输的数据内容。

c: DSRC/BLE 实体欺骗

    如果无线通信协议没有使用身份认证机制，或者使用了一个弱的身份认证机制来验证通信实体的身份，攻击者可以突破身份验证并伪造任意的通信实体。

d: BLE 拒绝服务

    与其他无线技术一样，蓝牙也容易受到拒绝服务的影响，这种攻击会使得ECU的蓝牙接口无法使用，并耗尽ECU的电池。

    总之，攻击者可能通过任何潜在的攻击路径对目标设备发起攻击，目的是为了窃取目标设备的数据、破坏其服务或获取目标设备的执行权限。关于攻击对目标资产的影响，可以使用STRIDE模型对威胁进行分类。

    根据威胁分析，我们为威胁分配属性以计算威胁的严重程度。同时，基于风险评估可以计算出影响的严重程度。此外，风险等级可以通过风险矩阵来确定，该矩阵全面考虑了威胁严重程度和影响严重程度对风险等级的影响。具体的风险等级值显示在表10中。

                             表10.  风险

TSL=威胁严重级别;ISL=影响严重级别;RL=风险水平。