車聯網安全威脅分析及防護思路，幾維安全為智能汽車保駕護航

伴隨當今汽車制造技術、網絡通信技術的持續發展與推新，汽車網絡化成為了新的發展方向，在此背景下，車聯網概念由此而生。車聯網實際就是運用多種通信網絡技術，實現各種功能，如車人通信、車車、車地的通信，以及聯網應用、導航定位等，這不僅能為駕駛者提供方便且快捷的汽車使用服務，而且還能使駕駛樂趣得到強化，提高出行的整體安全性，另外，還能一定程度緩解交通壓力。需要指出的是，盡管車聯網能夠帶了許多便利，但容易被遠程控制與操縱，易遭受安全威脅。 

車聯網安全 威脅 

1、車內無線傳感網容易遭受攻擊 

為了能夠最大程度提高汽車的安全性與便捷性，在許多汽車上，會根據現實需要，安裝傳感器網絡通信設備。而在此類設備當中，無論是車路間通信，還是TPMS、無線智能鑰匙，均設有比較實用且先進的短距離無線通信功能，但需要強調的是，此功能框架下的通信信息容易遭到竊聽，而且還容易被惡意中斷。 

2、車載總線網絡運用標準網絡來實現互聯互通，容易遭到滲透控制與漏洞分析

車載總線通信的主要方式有 LIN、CAN 等。對于高速 CAN 總線而言，主要與汽車行駛有關聯的 ECU 相連接，比如組合儀表、ABSECU、發動機 ECU 等。而對于低速 LIN 總線來講，其主要與那些對數據傳輸速率有并不高要求的 ECU 相連接，比如雨刮、胎壓監測、車門鎖、電動車窗等。因 LIN、CAN 等總線網絡均為比較典型的廣播式網絡，此外，與之配套的協議標準處于公開狀態，并且還借助通信報文來進行分析與探測，因此，利用總線節點或 OBD 接口，與上述傳感網相接入，便能偽造 ECU 控制信息，或者是傳感器采集信息，導致電子系統在實 運行中出現紊亂情況。 

車聯網安全的具體防護思路 

1、研究車域網絡信息安全核心技術  

針對車域網在運行中可能遭受到的信息安全威脅，需要對一些核心技術展開全面性、深層次研究，比如車輛統一身份認證技術、汽車電子設備入侵檢測技術、汽車嵌入式操作系統安全加固技術、車域網絡漏洞掃描技術、汽車電子設備訪問權限控制技術及車域網絡安全測試技術等。 

2、研究車域網絡信息安全設備  

針對車域網絡的總線來講，其主要有三種類型，其一為信息娛樂類，其二是安全舒適類，其三為動力驅動類。而對于車域網所遭受的安全攻擊而言，大多來自信息娛樂類設備，只有較少一部分來自安全類設備；需要說明的是，在整個車域安全架構當中，最需要提供保護的便是動力驅動類設備，因此，可將動力驅動網絡作為研發重點，另外，還可將其他網絡的安全 隔離當作中心，以此來更好的維護車域網相關設備的安全。 

3、研究高安全級車聯網云安全平臺  

針對那些與車聯網云安全平臺有關聯的傳輸、終端、數據 庫、網絡等環節所對應的信息安全保護策略進行研究，且研究與之相配套的核心技術，積極開發安全等級更高、更加實用的 車聯網系統，以此來最大程度推動整車廠汽車產品服務水平的提升，實現其安全等級的提高。 

4、研究車聯網認證加密體制  

對車聯網的認證加密體制展開深入、全面研究，能夠提高其通信安全性，有助于整個網絡安全系數的增強。現階段，許多研究圍繞 PKI 技術，將其以一種比較合理的方式融入到車聯網當中，以此來認證車輛用戶身份，并對其所傳送的信息進行加密、解密等。 

幾維安全智能網聯汽車信息安全實踐

結合國家戰略指引、技術研究和實際案例分析，車聯網安全，幾維安全為智能汽車保駕護航，獨有 IoT安全編譯器，融合了代碼虛擬化加密技術，適用于資源受限的嵌入式系統，推出了多維度基于底層算法的安全保障技術。

1、幾維安全虛擬化技術原理

代碼虛擬化基于 LLVM 編譯器中間層 LLVM IR 實現，通過設計獨有加密的虛擬 CPU 解釋器以及完備虛擬指令，將原始 CPU 指令進行加密轉換處理為只能由 KiwiVM 虛擬解釋器解釋執行的虛擬指令，能夠完全隱藏函數代碼邏輯，以及函數、變量之間的依賴關系，讓代碼無法被逆向工程。

代碼虛擬化將函數的最終入口替換成JUMPOUT，對外僅公開的標準化的虛擬化加載指令，攻擊者無法逆向還原虛擬機的私有指令集，從而避免攻擊者分析原始函數的代碼邏輯

虛擬化加密效果

未經過虛擬化保護的固件，攻擊者通過反匯編器或反編譯器，能夠將程序的原始機器碼，翻譯成較便于閱讀理解的匯編代碼或高級代碼。硬件中的IoT固件，本質上還是二進制文件，通過IDA Pro等工具可以輕松反編譯，生成近似源代碼的C代碼，如下圖。

反編譯未虛擬化后的代碼

反編譯虛擬化后的代碼

虛擬化后的核心代碼已無法再被逆向分析，從而避免潛在的漏洞被挖掘、核心技術被竊取、密鑰泄漏等問題。

2、幾維安全虛擬化技術優勢

旗艦級加密

加密后的代碼被轉化為自定義的私有指令格式，其加密過程不可逆，相比傳統的代碼混淆技術安全性更高。

函數級虛擬化

以C、C++源文件的函數為單位進行虛擬化，具備粒度細、可控性高、隱蔽性強等特點。

全平臺全架構

基于LLVM-IR中間代碼進行虛擬化，加密完成后再鏈接生成目標文件，兼容所有CPU架構，包括常見的X86、X64、ARM、ARM64，不常見的MIPS等架構，同時也兼容IOS、Android、IoT、Linux等系統平臺。

無兼容性問題

虛擬化編譯器在鏈接生成目標文件之前進行虛擬化處理，不依賴特定系統環境，其兼容性與原始應用一樣。

性能、體積損耗小

經過特殊的IoT環境適配處理，虛擬化后的性能和提交損耗小，適用各種低運算能力的設備。

部署靈活、簡單

支持離線部署方式，通過簡單配置即可使用虛擬化系統，不破壞原始編譯流程。

在將來的智能交通架構中，車聯網為其核心所在，前景廣闊。車聯網安全乃是確保車聯網能否得到廣泛應用與推廣的基本前提，因而是人們普遍觀眾的焦點所在。