iPhone的網絡安全領先汽車數年？

在汽車網絡架構逐漸升級換代的今日，網絡安全的重要性也在一并增加。我們將現在的智能汽車稱為“帶輪子的智能手機”，指代的不僅是功能性，也有安全性。智能手機可以說是如今網絡攻擊的重點對象之一，為此廠商們從各個層面加入了多道安全防御。而汽車的系統架構其實也在往手機的方向發展，加強汽車網絡安全的工作也已經提上了日程。

去年6月21日，工信部發布了《車聯網（智能網聯汽車）網絡安全標準體系建設指南征求意見稿》，其中提及的建設目標是：到2023年底，初步構建車聯網網絡安全體系，完成網聯通信安全、數據安全和應用服務安全等50項以上重點急需安全標準的制修訂工作；到了2025年，形成較為完備的車聯網安全標準體系，重點標準完成數量達到100項以上，開始覆蓋細分領域。

部分車聯網網絡安全標準狀態 / 工信部

在標準明細中可以看出，一些通信安全標準和信息保護標準已經發布，但還有許多終端與設施的安全標準處于待制定和制定中的狀態，比如車用安全芯片、車載操作系統及應用軟件和接口的相關標準。固然AUTOSAR等標準對安全性做了不少規范，不過因為當下汽車網絡安全事故并不算多，所以對汽車的安全定義仍處于并不完善的狀態。

近日，來自博世的網絡安全專家Zhendong Ma發表了一篇文章，闡述了蘋果在手機安全上的方案與汽車安全的對比，并聲稱前者在安全性上要領先汽車數年之久。

iPhone與汽車的系統威脅模型對比 / 博世

上圖描繪了iPhone和基于域控制器汽車的系統威脅模型對比，紅色箭頭代表了攻擊層。汽車通常用網關將ECU分成多個不同功能的域，網關ECU用于過濾跨域通信。汽車系統中可能受到的攻擊可能來自云服務器后端、基于車聯網接口的網絡攻擊、自動診斷系統接口的本地攻擊以及通過物理接入對ECU的直接攻擊。而iPhone的硬件包含高度集成的SoC和外圍設備，所受攻擊可能會來自iCloud服務器、零點擊的網絡攻擊或是直接物理接入芯片的硬件攻擊。

硬件安全

那么兩者為了確保各自硬件上的安全做了哪些舉措呢？蘋果在其芯片中加入了一個Secure Enclave安全協處理器，在其中存儲FaceID、鑰匙串和密鑰等重要安全數據。且該處理器利用自己的微內核操作系統來完成加密運算，與應用處理器和內存分離，從而避免加密模組受到邊信道攻擊。而應用處理器和Secure Enclave都具備基于硬件的內聯AES引擎，加密寫入內存中的數據，Secure Enclave還加入了內存認證和重放保護的功能，內置的公鑰加速器支持RSA和ECC加密和簽名。

而車內的ECU中通常使用MCU來完成時間關鍵型的功能，比如轉向和引擎控制，而MPU來完成計算密集型的功能，比如自動駕駛和IVI。如今的MCU大多都集成了硬件安全模組HSM用于安全密鑰的存儲和加密運算。HSM具備自己的處理器和RAM，組成一個物理隔離的執行環境。

S32x的安全方案 / NXP

HSM通過系統總線與主CPU完成通信，通常集成了AES的硬件加速器，有的模組也具備RSA和ECC這種非對稱加密算法的硬件加速器。而MPU的硬件安全通常是通過可信執行環境TEE來實現的，也就是主處理器創造的虛擬執行環境。并支持基于硬件的接入控制。

相較之下，Secure Enclave是嵌入到SoC封裝之內的，而HSM模組是位于MCU的主處理器之外的。TEE是一個硬件支持的軟件方案，安全執行環境的隔離程度越高，硬件系統的安全等級也就越高。

系統軟件安全

iOS的系統確保了設備智能運行來自蘋果應用商店的程序，而且系統在運行器件可以保持完整性，安全啟動確保了軟件的每個階段都要驗證完整性才能進入下一階段。iBoot啟動引導程序進一步增強了安全性，讓軟件系統低于典型的緩存溢出和類型混淆等漏洞。此外，蘋果的OTA更新包含了額外的參數，這些參數是每臺設備的更新包專有的，避免了重放攻擊和降級攻擊。為了請求更新，iPhone必須向服務器發送一個隨機數和獨有的設備ID，而服務器負責安裝包、隨機數和設備ID的簽名。

而在汽車域中，安全啟動其實已經成了一種標準的安全功能，用于確保ECU內軟件的真實性和完整性，運行時操縱檢測也進一步保護了累出你的完整性。但目前大部分方法仍是通過強調安全編程和大量測試來減少ECU漏洞，比如MISRA C/C++編碼標準和模糊測試，許多ECU都可以用簽名軟件來完成刷寫。然而傳統的ECU和那些性能有限的ECU往往需要靠測試者或OTA主控來進行簽名驗證，而不是在目標ECU內部進行，這就增加了不少利用競爭條件攻擊的風險。

小結

iPhone提供了一個從芯片層級到系統層級的零信任模型，網絡安全防護機制確實要比汽車先進一截，盡管兩者屬于不同的產品，但汽車確實應該以此作為安全等級的目標。iPhone被攻破的新聞雖然時不時會冒頭，然而其中不少攻擊手段也可以用于進攻車機系統。未來隨著網聯車慢慢走上智能手機的老路，網絡安全勢必成為我們不得不重視的問題了，而在此之前，芯片廠商、IP廠商、方案廠商以及標準制定者都得做好準備。