OpenSSL Crypto Module
明确的边界
数据输入 数据输出 控制输入 状态输出
电源 模块边界
1.4 密钥应用等级要求（1-4级）
参见国家标准：《GMT 0028-2014 密码模块安全技术要求》
安全目标
安全功能 授权控制 非授权访问的检测 运行状态指示 核准的工作模式 错误检测 敏感参数保护 设计分发和实现
国际相关标准（密码相关） 美国RSA相关PKCS系列规范 国际电信联盟的ITU-T X.509规范 IETF组织的公钥基础设施PKIX规范等
4
1.2 车联网国内相关密码应用标准
序号 1 2 3 4
国5 内
6 7 8 9 10
名称 《国家车联网产业标准体系建设指南（智能网联汽车）》 T/ITS《基于公众电信网的联网汽车信息安全技术要求》 《车联网信息安全防护指南》 《2017年智能网联汽车信息安全白皮书》 GB《汽车信息安全通用技术规范 》 GB/T《汽车远程信息服务通信终端安全规范》 GB/T《车载T-BOX信息安全技术要求》 GB/T《汽车软件升级安全防护规范》 GB/T《车辆总线信息安全技术要求》 智能交通 ：《数字证书应用接口》、《数字证书格式》
1.2 车联网安全的相关规范
影响车联网密码应用的相关法律和政策
《中华人民共和国网络安全法》 《关键信息基础设施安全保护条例》
国家法规 及政策
---定义交通相关领域属于关键基础设施
《中共中央办公厅2015年4号文件》 ---推进国密算法在交通相关领域应用
《中华人民共和国密码法草案》
行业标准 及建议
车机HU
终端 T-BOX
控制中心 CAN总线 Level 4
•指令易被破解，影响行车安全（易被黑客冒充控 制中心发布恶意指令）
ECU安全 •影响正品配件销售（车主自行破解升级）
远程解锁
自动升降窗
空调送风
12
3.2车联网身份及密钥管理的应用方案
安全方案群
下行指令 安全
ECU安全
OTA防护
非对称/对称密码 基础设施 标准化
汽车
2010
2011
南卡罗莱纳大 学实现对 TMPS系统的 攻击与实现利 用OBD接口控 制汽车
2012
2013
2014
BLACKHAT曝 光多款汽车的 电子系统存在 安全风险 360破解特斯 拉
2015
2016/2017
科恩实验室实现对 特斯拉的远程入侵 DEFCON上， 360公司实现对特斯 拉汽车自动驾驶系 统的攻击
负责机构 工业部、国标委 智能交通产业联盟
TIAA 中国汽车工程协会
发布时间 2017/12/27 2017/12/10 2017/02/28 2017/6/12
2018年
汽车标委会 (NTCAS)
2019-2020
交通部
2018年
5
1.3 密钥在车联网应用中的意义
车端及零配件 身份认证
密钥协商 非对称协商密钥
8
11个安全域 (元素)
密码模块规格 密码模块接口 角色、服务和鉴别 软件/固件安全 运行环境 物理安全 非入侵式安全 敏感安全参数管理 自测试 生命周期保障 对其他攻击的缓解
1.4 密钥应用与车联网平台的关系
TSP系统
OTA系统
MES系统
车联网联接平台
车端/总线数据 传输机密性
敏感数据 公钥加密
对称/非对称 密钥基础设施
OTA升级包 合法性和完整性
用户控车指令 不可否认性
6
终端和终端安全通 信和身份认证
终端和云端安全 通信和身份认证
空中升级数据 完整性/真实性
1.4 密钥应用形态 常见的密码模块
加密芯片
智能密码钥匙
加密机
7
加密软件
数字钥匙
运营商
•供应商可拿到身份标识证书进行备份，将证书导入任
物联网网络
意T-BOX，无法标识T-BOX的唯一性，且无法形成对T近场通信 BOX的有效管理
FOTA
•远程接收非法或恶意软件/更新包，间接影响汽车/行车 安全
•手机与车机双向控制指令截获、篡改，影响行车安全 •获取虚假车辆控制单元状态
Level 3
移动终端 路边单元 Level1: 云服务/移动终端/路边单元
10
2.车联网安全防护框架
安全防护的基本要求
11
3.1车联网密码应用方案的基本思路
•认证方式简单，易被破解
远程通 •缺乏终端对车厂外联服务的身份校验
Level 1
信 •网络易被入侵，遭受恶意代码攻击
•身份标识表达、管理混乱（自建，第三方）
车联网身份及密钥管理应用方案
目录
1. 国家政策和规范 2. 车联网安全框架 3. 车联网密码应用方案 4. 车联网案例应用汇总
1.1 车联网安全性事件
USENIX安全会 议汽车攻击面分 析报告 DEFCON短信解 锁斯巴鲁傲虎
DEFCON会议 上，通过OBD 控制福特翼虎， 丰田普锐斯
Jeep Cherokee被远 程控制 USENIX上，实现利 用OBD设备对汽车的 远程控制 360公司破解比亚迪
---明确密码的应用方法和主管机构 《网络安全等级保护基本要求》 《智能网联汽车信息安全白皮书》
国际标准 参考
---明确车厂车联网运营商的防护责任和要求
国家标准（密码相关） GM/T 0009《SM2密码算法使用规范》 GM/T 0015 《基于SM2密码算法证书格式规范 GM/T 0031《安全电子签章密码技术规范》 GM/T 0034《基于SM２的证书认证技术规范》 GM/T 0054《信息系统密码应用基本要求》
非对称/对称密钥管 理PKI/KMS系统
密钥管理
9
通信加密
设备和身 份识别
指令鉴别
数据完整
2.车联网安全应用通用框架
四级框架：根据安全防护涉及车联网业务划分
ADAS感知
服务平台 移动终端
Level 4: ECU/传感器/执行器
网关
服务平台
Level 3： 网关（OTA）
ADAS感知 Level 2: 接口设备/外部感知
链路安全
互联网 3G/4G
Level 2
外联服务
•服务端和客户端无法确认双方真实身份
Level
核心 业务
3
TSP/
T-BOX Server
•第三方CA签发的身份标识通用，离线签发和导入，易被 用于其他车企；且标识变更依赖第三方 •第三方CA合规、合法性不确定
Level 2
•传输非法指令；正常指令被获取、篡改