您好,欢迎访问深圳市华源物联技术有限公司官网!
13556869359
0755-33148388
深圳市华源物联技术有限公司
您的位置:首页 > 新闻动态 > 行业新闻

新闻动态

联系我们

深圳市华源物联技术有限公司

地址:深圳市福田区杭钢富春大厦2210
电话:0755-33148388

咨询热线0755-33148388

车联网无感充电支付安全解决方案

发布时间:2020-08-13人气:11

当前,随着车联网技术广泛的应用,与之相关的安全问题已经日益凸显。车联网的安全防护是一个包含端、管、云以及外部新兴生态系统的整体生态安全防护。密码算法是保障车联网安全的核心技术和基础支撑,是解决车联网安全问题最有效、最可靠、最经济的手段。在第十三届全人大常委会第十一次会议上,密码法草案提请审议,该法案旨在通过立法提升密码管理科学化、规范化、法治化水平,促进我国密码事业的稳步健康发展。这也为密码算法在车联网中的大力推广提供了法律支撑,有利于车企开展部署,从而从整体上提升车联网的安全防护水平。


本报告将车联网无感充电支付系统体系归纳为端、管、云三层架构。“端”主要包括智能充电桩以及各种传感器等,负责捕捉车辆信息,感知充电状态与环境等;“管”主要负责解决智能充电桩、无感支付终端与云端系统的可靠安全连接;“云”系统是云架构的无感支付信息服务平台,需要安全认证、实时交互等云计算功能,实现调度、监控、管理和服务智能充电桩。通过总体安全方案、安全芯片模组,安全管理平台三个层次的设计与实现来保证车联网无感支付系统的安全可靠。


 一、概述

1、车联网发展

车联网概念引申于物联网(Internet of Things),根据行业背景不同,对车联网的定义也不尽相同。传统的车联网定义是指装载在车辆上的电子标签通过无线射频等识别技术,实现在信息网络平台上对所有车辆的属性信息和静、动态信息进行提取和有效利用,并根据不同的功能需求对所有车辆的运行状态进行有效的监管和提供综合服务的系统。


随着车联网技术与产业的发展,上述定义已经不能涵盖车联网的全部内容。根据车联网产业技术创新战略联盟的定义,车联网是以车内网、车际网和车载移动互联网为基础,按照约定的通信协议和数据交互标准,在车-X(X:车、路、行人及互联网等)之间,进行无线通讯和信息交换的大系统网络,是能够实现智能化交通管理、智能动态信息服务和车辆智能化控制的一体化网络,是物联网技术在交通系统领域的典型应用。


在网联化层面,按照网联通信内容的不同将其划分为网联辅助信息交互、网联协同感知、网联协同决策与控制三个等级。目前行业内处于网联辅助信息交互阶段,即基于车-路、车-后台通信,实现导航等辅助信息的获取以及车辆行驶与驾驶人操作等数据的上传。因此现阶段车联网主要指基于网联辅助信息交互技术衍生的信息服务等,如导航、娱乐、救援等,但广义车联网除信息服务外,还包含用于实现网联协同感知和控制等功能的V2X相关技术和服务等。


2、车联网与支付安全

汽车信息安全目前面临十大风险,包括不安全的云端接口、未经授权的访问、系统存在的后门、不安全的车载通讯、车载网络未做安全隔离等。


黑客通过这些漏洞风险,可以入侵服务器篡改数据内容、破坏硬盘数据;在车主未操作汽车的情况下,使汽车开车门、上电、点火等;通过暴露的调试端口,造成车载娱乐系统固件被攻击提取等。车联网问题是汽车与互联网结合过程中留下的,但安全漏洞隐患将引发阵痛和教训,这是整车厂投资少、重视度不够有可能带来的后果。有些车商还是老观念,只重视传统安全,忽视信息安全。


车联网时代,万物均要互联,一切皆可编程。对于车联网的智能充电应用来说,通过不可靠的智能终端进行支付风险更大。因为物理世界和虚拟世界已经打通,线上线下的边界正在消失,网络空间的攻击将会穿透虚拟空间,直接影响到物理世界、以及金融和财产的安全。加之车联网的发展,智能充电和支付终端可能长期处于无人管理状态,联网的智能设备增长可多达百亿计,每个智能设备都可能成为攻击的切入点。


二、总体方案设计

1、模块集成与U-key即插即拔的两套方案

基于安全芯片的无感充电支付解决方案分为如下两种形态:


(1)模块集成:即安全芯片与无感支付主机集成在同一主板上,在物理上芯片是直接焊接在主板上的,更加安全;


(2)u-key:安全芯片集成在一个小的u-key板上,这样的u-key可以在无感支付主机上即插即拔,使用更方便。


在硬件设计和软件设计,这两种形态没有大的区别,只在主板设计上有小区别。


2、密码系统的组成

如图1所示,本系统与密码相关的部分包括有:根CA中心、安全管理平台(以下简称安全平台)、物联网无感支付平台(以下简称支付平台)、物联网网关(以下简称网关)、应用发布平台、系统更新平台、网关注册平台。


(1)根CA中心的功能包括:


√根证书初始化,生成根证书。


√签发或吊销所有二级数字证书。


(2)安全平台的功能包括:

√接受网关的授权请求,验证证书的合法性和是否过期,控制是否允许网关接入。


√连接CA中心,定期更新网关的证书;请求吊销证书;发布吊销证书列表CRL文件。


√查看已签发的证书与网关信息清单。


(3)网关的密码功能包括:

√协商密钥并进行加密通信。


√安全存储并定期更新证书。


√系统和应用升级时验证对应文件的合法性。


(4)支付平台:协商密钥并进行加密通信。


(5)应用发布平台:发布应用时,使用应用发布平台的证书为应用签名。


(6)系统更新平台:发布系统更新包时,使用系统更新平台的证书为更新包签名。


(7)网关注册平台:为网关的安全芯片签发网关证书。


3、接入的安全认证

保障安全比较成熟的技术方案是采PKI认证框架体系,通过使用数字证书和加密、数字签名技术实现交易双方身份的确认和信息的加密传送。加密技术中的公开钥加密技术最好地解决了密钥的管理和分发问题。而证书中心机构就是解决公钥体系中公钥的合法性认证问题。


证书管理平台是安全功能的基础,它利用基于OpenSSL及国密算法提供必须的CA功能,证书管理平台负责维护客户端及支付服务器的证书,每个用户对应一个证书。


当客户端接入网络时,支付服务器要检查客户端的CA证书,看其是否具备CA签发的合适身份证书、该用户身份是否允许接入;如果不满足条件,则不允许客户端接入,这样避免了黑客非法接入支付网络进行攻击。


在客户端与服务器端通信时,每次通信都需要经过证书管理平台协商密钥,并使用该密钥对通信的消息进行加/解密。


三、安全芯片设计与实现

1、芯片内部数据传输流

引入了CA证书,服务器将自己的公钥和自己的基本信息交给第三方CA认证机构,由第三方认证机构将这些明文信息经过hash运算后得出一个信息摘要,再用自己的SK加密摘要信息,返回给服务器,加密后的摘要信息叫做数字签名,签名加上服务器的基本信息、证书序列号、服务器的公钥等,这个叫做证书。


客户端内置了知名CA颁发机构的根证书,里面携带CA认证机构的公钥信息,当客户端需要访问服务器时,会请求服务器的证书,拿到证书先用CA认证机构的PK解密,得到签名与基本信息、过期时间等,用CA机构同样的hash算法得出信息摘要,相同则没有被人篡改、完整性没有被破坏,再检查证书时间、公司信息等,如果都没有问题,则取出证书内的服务器公钥信息,这样的公钥信息就没有被中间人篡改的可能,安全性得到了保障。这种非对称加密方式虽然安全但过于繁琐,为了解决这种问题,采用对称加密与非对称加密结合的方式,先用非对称方式协商出对称加密的密钥,这样对称加密的密钥安全性就得到了保证,再用对称密钥传输数据就不会被人知道。


运算部件与密码部件间通过内部MLBus总线连接,外部接口I2C、UART等通过IPBus连接,当数据或请求从USB进入芯片、首先由CPU解释USB包的内容,根据USB的请求类型,CPU指示相关部件进行相关操作,相关部件从内部总线上获取数据、请求,并完成处理。处理的结果通过内部总线传送到USB。由此可见,密钥等关键信息完全是在芯片内部的、只有加解密请求及数据通过USB进行芯片内外部的交互。


2、芯片嵌入网关的集成

随着物联网技术的飞速发展,物联网技术中一个重要的实现就是要将各类传感器控制节点采集到的数据通过Internet网上传到用户手机或者PC机,为了满足这一需求,需要设计出一种既能作为无线传感器网络的协调器,又能实现远程GPRS传输和网络连接的网关设备。


为满足这种需求,在本系统中,加入了网关的支持。网关将作为嵌入式设备网络与以太网络互联的窗口,在嵌入式设备网络通以太网络通讯时将作为“代理机构”,代表嵌入式网络或以太网络发言。安全芯片在硬件上已经带有以太网和无线网络接口,片上运行嵌入式linux、支持TCP/IP网络协议栈和网关软件,因此,可以在芯片内集成嵌入式网关,这种方式成本较低、性能也较低;或者在主板上集成专门的网关芯片,这种方式成本较高、性能也较高。


作为网关的设备必须具有如下功能:

(1)防火墙:因为嵌入式设备相对简单,在接入以太网络后,嵌入式设备本身无法保证自己的网络安全性。网关设备必须提供一系列恰当的认证加密技术,采取一定的安全策略,保护防火墙后的嵌入式设备,以保护其不受到来自英特网的攻击。


(2)协议转换:嵌入式设备网络本身可能采用多种协议,多种硬件接口,为了完成互联,网关必须带有各种嵌入式设备的硬件接口,同时在软件层必须能够完成各种协议同TCP/IP协议的转换。


(3)设备状态监视:这个是一个可选的功能,针对特定的应用需要定制这一功能。需要查看得状态包括,设备是否始终保持连接,流量是多少等等。


(4)事务处理:如果有一特定的事件发生了,必须启动一定的程序处理这一事件。向以太网一方发送信息,报告特定的事件发生了。


3、芯片与网关的数据交互

将芯片平台数据先汇聚到网关进行融合处理,再通过该设备将数据打包发送到网络层。这样一来,既实现了网络的数据传输,同时还节省了网络资源。这些数据包括用户的请求、应答及ID/密码等保密的数据。


4、网关与服务器的数据传输

网关收到芯片数据后或收到服务器应答后,根据数据或应答的目的地,将数据或应用再转发给芯片或服务器。


包括对接入的感知网络状态和感知信息的监测、控制、管理提供支持,对物联网网关自身的模块级的控制和管理提供支持,对友好的人机交互提供支持。


四、安全管理系统

1、节点物理安全

终端节点无人看守,容易被人为破坏或捕获,从而修改或分析节点中的密钥等信息,或者用恶意节点进行网络破坏,因此采用以下的安全措施:


(1)增加物理损害感知机制,比如根据敏感信号变化判断是否发生损害,在企图拆解物联网终端设备时整个器件损坏自动失效,使其脱离网络;


(2)节点伪装与隐蔽;


(3)可能的情况下加强巡检等;


(4)在通信前进行节点与节点的身份认证;


(5)设计新的密钥协商方案,使得即使有一小部分节点被操纵后,攻击者也不能或很难从获取的节点信息推导出其他节点的密钥信息等。


2、入侵检测

由于在物联网中完全依靠密码体制不能抵御所有攻击,故常采用入侵检测技术作为信息安全的第二道防线。


入侵检测是发现、分析和汇报未授权或者毁坏网络活动的过程。物联网络通常被部署在恶劣的环境下,甚至是敌人区域,因此容易受到敌人捕获和侵害。物联网络入侵检测技术主要集中监测节点的异常以及辨别恶意节点上。由于资源受限以及物联网络容易受到更多的侵害,传统的入侵检测技术不能够应用于物联网络。


按照参与检测的节点是否主动发送消息,可将入侵检测技术分为被动监听检测和主动检测。被动监听检测主要是通过监听网络流量的方法展开,而主动检测是指检测节点通过发送探测包来反馈或者接收其他节点发来的消息,然后通过对这些消息进行一定的分析来检测。


主动检测主要有4种方法:


(1)路径诊断的方法

其诊断过程是源节点向故障路径上选定的探测节点发送探测包,每个收到探测包的节点都向源节点发送回复,若某节点没有返回包,说明其与前一个节点间的子路径出现故障,需要在其间插入新的探测节点展开新一轮检测。


(2)邻居检测的方法

单个节点通过向各个邻居节点从对应的不同物理信道发送信号获得反馈来发现不合法的节点ID;也可以在链路层CTS包中加入一些预置要求,如发送延迟等,如果接收方没有采取所要求的行为则被认定为非法节点。还有针对特定攻击的检测,基站向周围节点发送随机性的组播,然后通过消息反馈的情况检测针对组播协议的攻击DOM。


(3)通过向多个路径发送ping包的方式

通过向多个路径发送ping包的方式以发现路径上的关键节点,从而部署攻击检测算法。


(4)基于主动提供信息的检测

网络中部分节点向其他节点定期广播邻居节点信息,其他节点通过分析累积一定时间后的信息发现重复节点。


入侵检测由3个部分组成,入侵检测、入侵跟踪和入侵响应。这3个部分顺序执行,首先入侵检测将被执行,要是入侵存在,入侵跟踪将被执行来定位入侵,然后入侵响应被执行来防御反对攻击者。


3、恶意代码检测及代码保护

恶意代码检测可采用现有网络中的恶意代码防御机制,并结合分层防御的思想,从而加强物联网中的恶意代码防御能力。


分层防御的思想主要是从不同的控制节点进行入侵检测的防御,首先在传感器节点或者终端部署入侵检测机制检测异常流量及恶意代码,从而从源头上控制恶意代码的复制和传播。传感器的网关可作为防御机制的第二层控制节点,负责恶意代码、异常流量的简单分析和上报处理,核心网恶意代码检测服务器可作为恶意代码防御机制的第三道防御控制节点,负责恶意代码的分析和处理。


对于终端的设计要遵循严谨的安全准则,对于终端里的代码程序,要想办法隐藏设计思路与细节,防止漏洞挖掘及恶意利用。


其中一种解决办法就是对核心代码进行加密,在运行时解密,执行后清空内存,实现对代码的动态保护。而同态加密则强调数据在运行时依然保持加密状态,不给恶意攻击一丝可乘之机。


另一种解决方案是对源代码进行混淆操作,通过插入冗余代码来隐蔽核心代码,进行等效变换保证输出执行结果的一致性,在代码重构后实行控制流的扁平化。


多种技术手段相结合保护源码使其呈现多样性,让每次保护后的代码都不一样。在这种安全能力的防护下,黑客将对物联网终端里的代码无计可施,同时还不会消耗过多终端资源,影响终端业务的正常运行。


4、访问控制

访问控制是对用户合法使用资源的认证和控制,目前信息系统的访问控制主要是基于角色的访问控制机制(Role—Based Access Control,RBAC)及其扩展模型。RBAC机制主要由一个用户先由系统分配一个角色,如管理员或普通用户等,登录系统后,根据用户的角色所设置的访问策略实现对资源的访问,显然,同样的角色可以访问同样的资源。RBAC机制是基于互联网的OA系统、银行系统和网上商店等系统的访问控制方法,是基于用户的访问控制。


对物联网而言,末端是感知网络,可能是一个感知节点或一个物体,采用用户角色的形式进行资源的控制显得不够灵活,主要表现在以下:


(1)基于角色的访问控制在分布式的网络环境中已呈现出不相适应的地方,如对具有时间约束资源的访问控制,访问控制的多层次适应性等方面需要进一步探讨。


(2)节点不是用户,而是各类传感器或其他设备,且种类繁多,基于角色的访问控制机制中角色类型无法一一对应这些节点,因此,使RBAC机制的难于实现。


(3)物联网表现的是信息的感知互动过程,包含了信息的处理、决策和控制等过程,特别是反向控制是物物互连的特征之一,资源的访问呈现动态性和多层次性,而RBAC机制中一旦用户被指定为某种角色,他的可访问资源就相对固定了。所以,寻求新的访问控制机制是物联网,也是互联网值得研究的问题。


基于属性的访问控制(Attribute-Based Access Control,ABAC)是近几年研究的热点,如果将角色映射成用户的属性,可以构成ABAC与RBAC的对等关系,而属性的增加相对简单,同时基于属性的加密算法可以使ABAC得以实现。


ABAC方法的问题是对较少的属性来说,加密解密的效率较高,但随着属性数量的增加,加密的密文长度增加,使算法的实用性受到限制,目前有两个发展方向:基于密钥策略和基于密文策略,其目标就是改善基于属性的加密算法的性能。


5、安全路由

在物联网络的研究中,路由协议一直是研究的热点。随着研究的发展,针对物联网络,人们提出了很多高效节能的路由协议。但是,几乎所有的路由协议在设计的时候,都没有很好地考虑安全方面的问题。


安全路由机制以保证网络在受到威胁和攻击时,仍能进行正确的路由发现、构建和维护为目标,包括:数据保密和鉴别机制、数据完整性和新鲜性校验机制、设备和身份鉴别机制以及路由消息广播鉴别机制等。


物联网络中的路由协议有很多,现有的各种适用于物联网络的路由协议可以分为三类:以数据为中心的路由协议,层次式路由协议,以及基于位置的路由协议。


(1)以数据为中心的路由协议

采用数据的某些属性来命名数据和进行查询的协议都可以归类为以数据为中心的路由协议。在这类协议中,通常由sink节点发出查询,然后满足条件的传感器节点将数据发回sink节点。和层次式路由协议相比,以数据为中心的路由协议不需要形成聚类,因而节省了这方面的开销。SPIN是第一个以数据为中心的路由协议,该协议通过节点之间的协商来消除数据冗余、节省电源。Directed Diffusion的提出是以数据为中心的路由协议的一次飞跃,在这之后很多路由协议,包括Rumor routing、Energy-aware routing等,都是基于Directed Diffusion或者类似的概念而提出的。


(2)层次式路由协议

层次式路由协议和单层路由协议相比,具有更好的可扩展性,更易于进行数据融合,从而减少电源消耗。单层路由协议中,由于网络规模的扩大,网关的负载将加大,导致网络延时增大。为了提高网络的扩展性,人们提出了网络分层的概念。LEACH是传感器网络中最早的层次式路由协议,其他的层次式路由协议,包括PEGASIS、TEEN等协议都是在LEACH的基础上发展起来的。

(3)基于地理位置的路由协议


基于位置的路由协议需要知道传感器节点的位置信息,这些信息可用于计算节点之间的距离、估计能量的消耗以及构建更加高效的路由协议。由于传感器节点散布在一个区域内,并且没有类似于IP地址这样的地址方案,因而可以利用位置信息来构建高效的路由协议,以延长网络的寿命。基于位置的路由协议包括GEAR、GPSR、GAF等。


WSN中路由协议常受到的攻击主要有以下几类:虚假路由信息攻击、选择性转发攻击、污水池攻击、女巫攻击、虫洞攻击、Hello洪泛攻击、确认攻击等。


针对不同的网络攻击,可采用相应的解决方案。例如,针对女巫攻击采用身份验证方法;针对Hello泛洪攻击采用双向链路认证方法;针对黑洞攻击采用基于地理位置的路由协议;针对选择转发攻击采用多路径路由技术;针对认证广播和泛洪攻击采用广播认证。


五、总结

车联网与人的出行息息相关,车联网无感支付的安全严重影响着人民的财产安全。不断完善智能网联汽车无感支付的信息安全标准体系,使用自主可控的国密算法来代替传统的密码算法,无论从战略意义还是安全角度考虑都至关重要。随着攻击目标的多元化,攻击节点的丰富化,针对车联网的安全建设不足以满足需求,并且密码算法的应用尚处于初级阶段。从智能充电桩到无感支付终端内部,都可以通过增加安全密码模块或者选择适当的密码算法来提高整体的安全性。当然,利用密码算法去解决车联网中所有的安全问题是不切实际的,更需要与其他安全技术配合使用,形成安全防护“组合拳”,共同为车联网产业的健康持续发展保驾护航。

你觉得这篇文章怎么样?

0 0
标签:全部
网友评论

管理员

该内容暂无评论

美国网友

推荐资讯

    暂无推荐内容...
0755-33148388