CAN总线、T-BOX、OTA车联网的安全三系列

CAN总线是控制器局域网络（Controller Area Network， CAN）的简称，由德国博世公司研发，遵循ISO11898及ISO11519，已成为汽车控制系统标准总线。如果把汽车比作人，CAN总线就相当于汽车的神经网络，负责连接车内各控制系统。

ICV的神经网络 — CAN总线安全

传统汽车CAN总线只承担了汽车内部的数据交换和信息传输，不与外界网络发生联系，安全指数较高，针对CAN总线的安全防护并没有引起车企关注。然而，随着智能网联汽车时代的到来，CAN总线被用于连接汽车T-box与各ECU，而T-box作为智能汽车的联网设备，拥有较多的外部访问点，其数据传输和信息验证过程极容易受到黑客攻击，因此，CAN总线安全成为各大车企迫切解决的问题。

那么，现阶段智能网联汽车的CAN总线安全吗？

答案是否定的，近年来，针对智能汽车CAN总线的攻击事件可谓是层出不穷。

2015年，克莱斯勒的Jeep车型被国外的安全专家入侵，利用系统漏洞，远程控制汽车的多媒体系统，进而攻击V850控制器，获取远程向CAN总线发送指令的权限，达到远程控制动力系统和刹车系统的目的，可在用户不知情的情况下降低汽车的行驶速度、关闭汽车引擎、突然制动或者让制动失灵。2016年，同款Jeep车型在被物理接触的情况下，被攻击者通过接口注入指令，控制车辆的动力系统，可操控方向盘和刹车系统，严重威胁驾驶员人身安全。

总体来说，CAN总线安全风险在于两点：一是通信缺乏加密和访问控制机制，可被攻击者逆向总线通信协议，分析出汽车控制指令，用于攻击指令伪造；二是通信缺乏认证及消息校验机制，不能对攻击者伪造、篡改的异常消息进行识别和预警。鉴于CAN总线的特性，攻击者可通过物理侵入或远程侵入的方式实施消息伪造、重放等攻击入侵。

因此，实现CAN总线安全，首先需要对CAN总线数据通信和访问过程进行加密控制，实现汽车密态数据交互和身份验证控制，以达到防范固件逆向、窃听和数据窃取的目的。

信长城CAN总线安全方案，实现CAN总线固件加密、通信内容加密、数据存储加密和数字签名。CAN总线整个通信过程，采用密码学机制，实现了车联网端到端的身份认证，每次通信时数据先加密后通信，能够对智能汽车离线、在线等多种场景下进行安全防护，防止黑客攻击。其他技术细节可参考信长城车联网CAN总线安全方案。

你的 T-BOX 安全了吗？

1、什么是智能汽车 T-BOX？

T-BOX 是车载智能终端（Telematics BOX）的简称，主要用于车与车联网服务平台之间通信，集成了OBD、MCU/CPU、FLASH、SENSOR、GPS、3G/4G、WiFi/蓝牙等模块。对内与车载 CAN 总线相连，实现指令和信息的传递；对外通过云平台与手机/PC 端实现互联，车内外信息交互的纽带。

T-BOX 可实现车辆远程控制、远程查询、安防服务等功能，如远程控制车门、车窗、空调等开启；远程车辆定位、查询车况信息；车辆异动报警紧急救援求助等。T-BOX 为人们生活提供了越来越多的便利和安全保障，同时也为汽车带来了更多的信息安全隐患。

2、车载 T-BOX 安全威胁

车载 T-BOX 安全威胁主要有两方面：一是固件逆向，攻击者通过逆向分析 T-BOX 固件，获取加密算法和密钥，解密通信协议，用于窃听或伪造指令；二是信息窃取，车载T-BOX可深度读取汽车Can总线数据和私有协议，攻击者通过 T-BOX 预留调试接口读取内部数据用于攻击分析，或者通过对通信端口的数据抓包，获取用户通信数据。这就意味着，如果 T-BOX 遭遇黑客攻击，攻击者就可以直接仿冒云端指令，劫持车辆数据，从而发生汽车突然制动、突然减速、突然加速等危险驾驶行为，对驾驶人的生命安全造成威胁。

3、车载 T-BOX 安全方案

T-BOX 作为智能汽车的联网设备，拥有较多的外部访问点，因此要做到T-BOX 安全，需要进行外部访问的身份认证以及数据通信加密。信长城 T-BOX 安全方案，运用标识密钥技术，确保云平台、T-BOX 和 CAN 总线之间校验通过后方可发布/接受指令；同时，还对 T-BOX 平台传输的数据进行加密，确保数据在上传和下发的过程中不被篡改和劫持，以保证智能网联汽车 T-BOX 安全运行。

ICV的大脑 — OTA安全

据咨询机构 ABI Research预测， 2022 年将有 2.03 亿辆部汽车能通过 OTA 方式更新软件，其中至少 2200 万辆汽车还能通过 OTA 更新固件。

OTA是远程升级（Over The Air）的简称，最早是安卓系统在手机上推出的一个便捷技术，终结了手机软件升级需要连接电脑、下载软件、再安装更新的繁复操作。随着网联汽车时代的到来，OTA也被应用到汽车上，用于汽车软件升级。

智能网联汽车可以说是一种 “ 软件” 汽车。和传统汽车硬件更新不同，软件成了智能汽车里迭代最快、最容易个性化的部分。随着汽车电子化程度越来越高，无论是车辆遭遇软件故障还是软件更新，线下召回系统升级的模式已经难以满足智能汽车的需要了。为了减少成本、提升用户体验，OTA（Over-the-Air Technology）空中下载技术成了智能汽车时代的必备技能。

（汽车计算机系统的OTA）

一般来说，OTA 分为两类，一种是 FOTA（Firmware-over-the-air，固件在线升级），指的是给一个设备、ECU 闪存下载完整的固件镜像，或者修补现有固件、更新闪存。而固件之外的软件更新，就是 SOTA（Software-over-the-air，软件在线升级）。那些看上去离使用者更近的应用程序和地图 OTA，都属于 SOTA 的范畴。

（OTA加密信息更新路径）

汽车 OTA 的流程可以被分成三个阶段，和 “ 把大象放进冰箱 ” 一样简单易懂：第一步，生成更新包；第二步，传输更新包；第三步，安装更新。

而OTA安全，也主要考虑三个部分的安全：第一部分是云端的服务器安全，第二部分是车端安全，最后一部分就是车和云之间的通讯安全。在这三段，软件更新内容不仅需要认证，还需要加密，以保证数据在传输过程中不被仿冒和窃取。这就需要将标识密钥技术运用到OTA运行过程中。

搭载标识密钥技术的车辆，在进行软件升级时，能够实现云端服务器、车端之间的身份认证，并对车和云之间的通讯数据进行加密，使数据能够以密态形式分发到车端，防止在通讯过程中数据被挟持和篡改，提高了 OTA 更新的安全性。