2018物联网安全行业论坛:车联网中控系统的安全设计
作者:星期五, 十一月 23, 20180

上周六,由几维安全与看雪学院联合主办的“2018物联网安全行业论坛”在京举行。会上,来自各个安全行业的200余位专家、领导和研究人员,共同分析了物联网安全市场发展前景,并对如何保护物联网安全进行了技术分享与讨论。

一、物联网安全产业发展前景

物联网是世界新一轮经济和科技发展的战略点之一,未来几年内,物联网设备连接数量将会达数百亿,甚至千亿。相比移动互联网市场规模,物联网是其数十倍容量,被视作为全球经济增长的新引擎。对于物联网安全的未来发展趋势,Gartner、IDC及MarketsandMarkets三大分析机构,从不同维度给出了分析及预测。

1. Gartner预测 2018年企业将在物联网安全方面支出15亿美元,比2017年(12亿美元)增长28%。到2020年物联网将链接全球40亿的用户、250亿以上的终端设备,在此过程将会有2500万的应用APP会被开发出来,沉淀出超过50万亿GB的数据,同时创造出4万亿美元的收入机会。预计到2021年监管合规性将成为物联网安全应用的主要影响因素。

2. IDC分析,到2022年全球物联网支出将达到1.2万亿美元,2017年至2022年期间复合年增长率CAGR为13.6%。其中,中国物联网支出规模将达到3千亿美元,在全球的物联网市场中占比超过1/4,超越美国成为全球最大的物联网市场。

3. MARKETSANDMARKETS 预测, 未来五年物联网安全市场将从2016 年的79 亿美元增长到2021 年的369.5 亿(31亿/Gartner)美元,5 年增长4 倍,年均复合平均增速接近50%。

物联网技术给现代生活带来了许多便利的同时,由于其缺乏具体的技术标准、设备制造商缺乏安全意识、消费者安全意识薄弱等原因,物联网设备、系统、平台已成为黑客的主要攻击目标。一旦受到攻击,将会带来无法估量的损失。因此,如何保障物联网安全是全世界面临的最大挑战之一。

二、几维安全:Android中控安全设计用例

Android具有开源和应用开发、运营体系完整的特征,随着其在移动终端的普及,越来越多汽车厂商将它作为汽车中控的优先选择。会议中几维安全CEO范俊伟针对Android中控安全设计用例做了深度解析。

Android系统的应用主要分为系统级应用和普通应用。中控系统级应用除了Android系统本身已有的管理类应用外,主要添加了关于车控相关的应用实现和TBOX或者车机网关的通信,以及从车机获取信息,同时也能通过开放的控制协议来控制汽车的一些动作,比如开关车门、天窗、空调等。第三方应用则类似于移动设备中的应用,如微信、音乐、购物、游戏等。

系统的安全关乎人车的安全,所以相对移动设备来说,网联智能汽车的权限控制和终端防护要求都将比移动互联网高得多。通过基于Android 中控的安全布控,可将安全防控集成到车上,并增加车控相关的应用.

网联智能汽车终端加固主要方式

从Android中控数据层面来看,中控系统的安全风险主要有系统日志泄露风险、系统密钥泄露风险、原车信息泄露风险和配置数据泄露风险,针对这四种泄漏风险。

1. 系统日志泄露风险:可通过扩展系统模块对日志系统改造,分为Release版本和Debug版,Release版本不包括系统日志输出。通过对应用进行权限管控,限制读取相关日志信息,包括车控日志、供应商日志、系统应用日志等;

2. 系统密钥泄露风险:可通过系统级权限设置实现需获得授权的应用才能访问对应的秘钥文件,同时也可以使用白盒密钥SDK实现数据加解密过程;

3. 原车信息泄露风险:对车控APP获取的原车信息进行数据加密,可利用白盒密钥SDK以及通讯数据加密SDK进行加密存储;对车控数据相关API接口代码进行KiwiVM虚拟化保护,隐藏数据获取与处理逻辑。

4. 配置数据泄露风险:通过业务梳理整理出需保密配置的数据,并对这些数据进行加密存储和读写权限控制,数据处理过程使用KiwiVM虚拟化进行隐藏。

从Android中控软件安全角度来看,中控系统可从几个方面进行安全加固:

1.车控应用防提取:控制系统车控应用原始文件访问权限控制,保证核心自研APP不被外漏,防止被攻击者进行动静态分析和漏洞挖掘。

2.SO业务逻辑代码保护:SO通过KiwiVM虚拟化保护,主要隐藏代码的真实逻辑和其中处理的相关数据。

3.Java层协议接口代码保护:解析安卓应用中的class.dex文件,提取IR指令并转换成二进制目标文件,最后生成SO。在这个过程中进行混淆等安全编译处理从而提高Java层核心代码的安全性。

4.车控应用进程动态防护:通过从调试监测、防内存修改、关键文件监控等方式对应用进程进行动态攻击防护,相关实现模块基于KiwiVM虚拟化保护。

三、布局IOT安全的最佳时机

物联网技术飞速发展,安全泄漏事件的频繁爆出,据国家信息安全漏洞共享平台(CNVD)公布的数据显示,2016年收到1117个物联网设备漏洞,而到2017年达到2440个,增长了118.4%。网络摄像头、路由器、手机设备占领漏洞数量前三甲。

物联网安全即迎来了机遇也面临着巨大的考验,正如IDF(益云)极安客实验室联合创始人、OASES安全生态联盟专家万涛所说:

当下正是布局IoT安全投资的最佳时机:首先,从产业基础设施升级的角度来看,往往当底层技术发展到一定阶段以后,全新的机遇会逐渐显现出来,当下触发这一变革的正是5G。其次,从人才涌动流向的角度来看,来自智能手机企业、传统咨询公司、系统集成公司的人才正在涌入IoT(安全)领域。特别是区块链技术带来的自主结算体系与IoT技术带来的新的交互方式,定将在未来碰撞出更强的火花。

相关阅读

物联网安全是意识问题不是技术问题

美国国土安全部发布物联网安全最佳实践

工业互联网联盟发布新物联网安全成熟度模型

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章