背景介紹
網關作為控制整車通信的關鍵 ECU， 往往是 hacker 或滲透測試人員重點關注的核心部件。網關的安全風險可能直接威脅到行駛安全甚至人身安全。網關在車輛的縱深防御體系中處在極為重要的位置，本文將簡單分析當前典型網關的特征、網關可被利用的功能點與防護思路。

典型網關特征與攻擊面分析
隨著 EEA 發展網關的特征也衍變出了多種類型，由最初的集成網關，到現在的獨立網關、域集中式中央網關、混合式網關、到前沿的中央集中式控制器。網關承擔的功能也由最初的車內 CAN/CANFD/FR/LIN 總線路由，到現在車載 Ethernet 路由、關鍵車控邏輯的處置、車內 OTA 處置的主控單元等敏感功能的執行。

我們從信息安全的角度看，網關特征的衍變也使可能被利用的功能點發生了新的變化。典型可被利用功能有以下幾方面。

利用 CAN、Ethernet 總線路由功能，向車內其他控制器發送非法報文、消息；常見攻擊方式如通信鏈路洪泛攻擊、ID/IP 欺騙、數據重放、通信協議逆向破解等。

利用 UDS 協議功能，向車內 ECU 進行配置變更、寫入惡意代碼、讀取敏感信息；常見攻擊方式如安全認證服務破解、會話模式異常、中斷車內總線通信、篡改 ECU 存儲信息及固件、讀取敏感信息等。

利用 OTA 主控節點功能，非法篡改車內 ECU 固件、獲取 OEM IP、OTA 功能異常；常見的攻擊方式如篡改 OTA 組件控制 OTA 功能、繞過 OTA 安全驗證功能，向車內注入惡意鏡像、惡意訪問 TSP，獲取 OEM 升級鏡像。

利用關鍵敏感的車控功能，對車控業務進行惡意決策控制；常見的攻擊方式如非法篡改網關車控軟件功能組件，對核心車控功能操控。

網關的安全防護
面向網關的防護技術，我們一般關注兩個維度，一個是網關作為核心單元的業務流的安全，一個是網關本身的安全：
業務流的安全防護一般包括，安全 CAN 通信技術、安全車內 Ethernet 通信技術、安全刷寫技術、OTA 安全和車內診斷服務的安全等。因為傳輸協議是標準固化的，我們無法修改，所以一般會對上層協議增加安全防護措施，例如車內總線，我們會對報文消息加密、增加消息鑒別代碼字段、增加新鮮度值字段、增加簽名字段等方式。由于車內總線對時間敏感且帶寬有限，且總線面對的 ECU 本身算力不盡相同，我們在制定安全方案時，要先對通信消息和業務模型進行風險分析，對敏感消息進行分組后，再采用與 ECU 算力相匹配的密碼學算法對消息報文進行安全封裝。對于如 OTA 等業務中的關鍵步驟，除了增加校驗機制和校驗密碼學強度外，還應做好秘鑰、證書的分發、管理、撤銷工作。同時還應考慮各業務場景對秘鑰、證書、密碼學算法的特殊需求，如維修更換、數據埋點采集等。
網關本身的安全防護一般會從硬件、系統、數據存儲、代碼、安全記錄等幾個方面去做最佳實踐。例如為了解決系統被篡改的風險，應支持安全啟動，從 ROT 代碼開始對加載的鏡像迭代校驗。為了解決敏感信息的安全存儲，應支持安全芯片或 TEE 的技術路線，對公私鑰、證書、敏感信息進行安全存儲與可控調用，其中常見的 TEE 一般有基于 ARM的 trustzone、基于 Intel 的 SGX，這個我們后面可以開展一個專題討論；為了解決代碼安全，應進行代碼加固，在開發階段進行代碼審計、代碼漏洞掃描、多余端口掃描以及通過編譯工具連提供優化、為了對非法行為的檢測與審計，應對支持日志記錄功能，對端口的非法訪問、密碼操作的異常等進行記錄。
編輯：lyn