车联网TSP平台软件安全建设研究与应用

张晓帆，陶明明

（华晨汽车工程研究院电器工程室，辽宁 沈阳 110141）

车联网TSP平台软件安全建设研究与应用

张晓帆，陶明明

（华晨汽车工程研究院电器工程室，辽宁 沈阳 110141）

介绍车联网平台安全建设的关键点，以及从系统和功能层面进行安全设计的方法与策略。

车联网；TSP平台；安全建设 ；系统层面；功能角度

1 车联网平台安全建设简介

近两年，随着车联网汽车的逐渐兴起，黑客攻击事件频频发生。作为整个车联网系统的核心，车联网平台成为了汽车与互联网之间的纽带，同时它也面临着诸多来自互联网的黑客攻击。如果一旦遭到攻击或入侵，则整个系统内所有联网的汽车都可能会受到威胁。因此，车联网平台是车联网系统信息安全建设的重中之重，值得我们去深入研究和探索。

车联网平台安全建设关键点可总结为：5维、3关注。其中，5维是指基础架构安全、应用系统安全功能、应用系统安全开发、应用系统安全运维、应用系统安全管理。3关注是指业务运行稳定、数据安全有效、系统操作安全。如图1所示。

图1 车联网平台安全建设关键点

车联网安全能力建设的主要阶段划分及工作说明见图2。

2 从系统各层面进行安全设计[1］

2.1 用户层

1）输入输出验证 所有前端用户（车机和手机）的输入、输出都必须经过验证，验证内容包含长度、格式、类型等，对于各种注入攻击的特殊字符应进行过滤和阻断。

图2 车联网安全能力建设的主要阶段划分及工作说明

2）身份认证 保证只有合法的用户（车机和手机）访问智能行车平台，这些用户必须经过安全认证。应尽量减少智能行车平台的入口，每个入口都必须经过安全身份认证。

3）访问控制 应采用基于角色的访问控制机制。

4）会话管理 应具备会话超时管理。对Session、Cookie的使用进行安全设置。使用安全的Cookie，严禁在Cookie中明文存储敏感信息。

2.2 应用层

1）输入输出验证 所有前端用户（车机和手机）的输入、输出在智能行车平台使用之前必须验证有效性之后方能使用，验证内容包含长度、格式、类型等，对于各种注入攻击性的特殊字符应进行过滤和阻断。

2）认证与授权 应保证车机和手机所有对功能的调用都是合法的，且处于权限控制范围之内。

3）标准化处理 应采用统一的标准化来管理文件、路径、URL等的标准名称。

4）异常处理 应使用结构化异常处理机制，并捕捉异常现象。

5）回退处理 当数据处理出现错误时，应进入回退处理流程，保证数据的一致性和完整性。

6）日志 智能行车平台应记录所有车机和手机用户的访问日志以及平台自身的错误日志；应记录应用处理日志，尤其是关键业务功能的操作日志以及系统错误日志。

7）可用性设计 应考虑系统容错的设计要求。

2.3 数据层

1）认证与授权 应保证对智能行车平台所有的数据操作都是合法的，且处于权限控制范围之内。

2）标准化处理 应在数据层中将SQL中的变量强制转化为字符。

3）回退处理 当数据处理出现错误时，应进入回退处理流程，保证智能行车平台数据的一致性和完整性。

4）异常处理 应使用结构化异常处理机制，并捕捉异常现象。

5）日志 记录对数据库的关键操作。

3 从功能角度进行安全设计[2］

1）车辆数据模块VehicleData（VD） VD安全设计时，需要考虑：T-BOX与智能行车平台进行交互，必须要保证数据在传输过程中无法被修改，可以采用如数字签名或AES128加密算法等来实现。

2）用户管理UserManagement(UM) 需要注意：①查询全部用户时，用户的返回信息涉及到个人隐私的（如个人详细身份信息等）需要进行模糊化处理后返回给客户端。②注册资料等关键信息必须在服务器端进行2次验证，如手机号码必须是11位，发送短信验证手机号码等；注册时的信息需加密传输。③修改用户信息时必须进行2次用户认证。④登录时，用户名密码必须加密传输验证；手机端的Session值设置失效时间为1周。⑤手机端用户选择注销时，需要使用程序清理session值；如果用户直接“X”或者“点击关闭网页（APP）”，则会保存session值1周；1周后失效，需要重新登录。

3）车辆管理VehicleManagement（VM） 主要包括：①查询全部车辆时，车辆的返回信息涉及到车主隐私的（如车主详细身份信息等）需要进行模糊化处理后返回给客户端。②新增加的车辆信息必须对车辆（车主等信息）有效性进行识别和验证，以保证新增车辆是该车主名下的资产，并在服务器端进行新增车辆信息的数据格式有效性的2次验证。③绑定、修改、删除车辆信息时也必须进行2次身份认证。

4）组织管理OrganizationManagement（OM） 可以考虑以下4点：①查询全部组织时，组织的返回信息涉及到个人隐私的或者非公开的信息需要进行模糊化处理后返回给客户端。②查询单个组织时，组织的返回信息涉及到个人隐私的（如组织管理者的详细身份信息等）需要进行模糊化处理后返回给客户端。③创建组织的资料信息必须在服务器端进行2次验证。④新增组织用户，必须经过组织者验证后方可加入组织。

5）通讯录ContactManagement（CM） 要点如下：①执行上传操作时，必须在服务器端对上传的文件进行验证，确保传送的是通讯录文件。②执行下载操作时，需要进行加密或者传输通道加密，以防止通讯录被篡改或被其它人非法获得相关资料。③删除通讯录信息时必须进行2次身份认证。

6）车友群FriendsCircle（FC） FC安全设计时，主要考虑：①在聊天信息传输过程中，需要采用如数字签名等技术防止数据被篡改；聊天的内容信息不能明文进行传输。②在群主对群信息进行变更操作时，必须对用户的操作再次进行身份验证（特别是执行有重大影响的操作时，比如：删除群等）。③群的资料信息必须合法（不能带有反动、黄色等信息）。④对用户的关键操作需要记录日志。

7）发送通知Send（SD） T-BOX与智能行车平台进行交互，必须要保证数据在传输过程中无法被修改，可以采用其它方式实现如数字签名或加密协议等。如果发送的信息中含有车主身份信息，则必须加密；发送手机APP时如果包含车主信息，则必须加密。发送其它推送信息则需要保证数据在传输过程中无法被修改，可以采用其它方式来实现，如数字签名等。

8）位置共享PositionShare（PS） 该功能必须是好友才可以发起，非好友无该功能或该功能为灰色不可用。位置共享时传输的车主信息需要加密。查询位置信息时必须做好权限严格控制，绝对禁止非授权查询。在位置共享过程中如果包含车主身份信息，则必须要加密传输。

9）保养VehicleCare（VC） 在发送保养请求和接收通知的过程中，确保客户、车辆和保养信息不被篡改；如果这些数据中包含车主个人信息，则需要对车主信息加密后再进行传输。 在客户确认手动发起保养功能时，需要确认客户提交的车辆状态，以防止客户同一帐户下有多个车辆时提交错车辆对象。对保养信息进行变更操作时，需要确保客户的身份。如客户是在极短时间内刚登录过（如：10 min之内），则无需再次确认，以免影响客户体验；如客户最近一次登录时间超过10 min且10 min内无任何操作，则需要重新确认客户身份。对用户的关键操作需要记录日志。

10）系统更新SystemUpdate（SU） 系统更新设置主动推送功能（通知）。当有新的功能或版本出现时，会提醒客户更新。必须确保更新通道的安全性，保证传输的数据不可被他人修改，从而引发中间件攻击；更新前必须进行身份重新验证。传输过程中涉及车主信息或者车辆信息，则需要对该部分内容进行加密传输。对用户的关键操作需要记录日志。

4 系统审计策略

1）白盒工具扫描 白盒工具扫描是指实现自动检测代码中的SQL注入、跨站等安全问题。它主要包括敏感数据分析、代码结构分析、网络嗅探、数据库审计这几个方面。

2）人工审计[3］人工审计包括以下几点：①对工具结果进行验证分析；②程序中对敏感数据的安全措施进行确认；③挖掘程序中对敏感数据的异常或恶意访问；④分析程序可能存在的后门或恶意程序。

3）黑盒工具扫描 黑盒工具扫描主要是模拟黑客所使用的攻击手段来对系统进行模拟入侵测试，以便尽可能地充分挖掘和暴露系统潜在的问题。如：①强力(或非强力)破解弱口令或默认的用户名及口令；②特权提升；③利用未用的和不需要的数据库服务和功能中的漏洞；④针对未打补丁的数据库漏洞；⑤SQL注入：把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令；⑥窃取备份(未加密)的数据等。

[1]吴同.浅析物联网的安全问题[J］.网络安全技术与应用，2010，（8）：7-8.

[2]南春丽，刘述超，周世军，等.车联网中RFID模型[J］.计算机系统应用，2013，22（4）：32-35.

[3]孙小红.车联网的关键技术及应用研究[J］.通信技术，2013，（4）：47-50.

（编辑 凌 波）

Research and Application of Software Security Construction for Vehicle Networking TSP Platform

ZHANG Xiao-fan，TAO Ming-ming
(Electronic Products Studio，Brilliance Auto R&D Center，Shenyang 110141，China)

This article mainly introduces key points of the vehicle networking platform security construction，as well as methods and strategies of security design from the system and function level.

vehicle networking platform； TSP； security construction； system layer； function layer

463.6

A

1003-8639（2017）03-0040-02

2016-08-24

张晓帆（1981-），辽宁绥中县人，主任工程师，本科，主要从事车联网相关的设计和开发工作。