TBOX面臨的安全威脅

車載終端TBOX(Telematics BOX)，是具備數據輸入輸出、數據存儲、計算處理以及通信等功能的車聯網控制單元。TBOX與主機通過CAN總線通信，實現對車輛狀態信息、控制指令、遠程診斷和按鍵狀態信息等的傳遞；以數據鏈路的方式通過后臺TSP系統與PC端網頁或移動端App實現雙向通信。車機要聯網必須有TBOX設備才能實現。

TBOX在車聯網的位置：

TBOX通常采用MCU芯片上跑一個Android操作系統，搭配通信模塊、GPS天線、4G天線、數據接口等外設、以及相關的應用軟件。從TBOX的構成和作用，我們不難分析出其安全威脅主要來自于以下幾個方面：

• 操作系統安全威脅

類似Android這類操作系統被稱為REE(富執行環境)，由于本身的開放性，不具備secure boot和信任鏈條，注定其是非安全的操作系統。對于REE系統的文件和系統數據被竊取或篡改，用戶敏感數據被竊取或篡改，操作系統的運行被非授權干擾或中斷，各種攻擊方式屢見不鮮。

• 軟件安全威脅

基于REE實現的App應用軟件，不具有隔離性。應用軟件源碼或敏感數據極易被非授權訪問，組件因為暴漏在開放環境，很容易被攻擊調用。應用軟件的啟動、升級和退出過程也都非常容易收到非授權干擾或中斷。

• 數據安全威脅

開放OS中，收集的數據沒有基于硬件的防護，極易被攔截或篡改。數據在傳輸過程中被竊取或篡改，惡意數據在傳輸環節中被注入，在數據被用戶刪除后未徹底清除或未設置防回滾保護，導致數據被竊取作為攻擊樣本。

• 通信安全威脅

數據通信沒有信任鏈，總線數據和私有協議被非授權的攻擊者讀取，車載TBOX與TSP間通信被嗅探或攻擊，使通信數據被竊取或篡改。

TEE是什么

TEE(Trusted Execution Environment 可信執行環境)最早出自于OMTP規范，ARM是TEE技術的主導者之一，其TrustZone即為是ARM公司的TEE的實現。TEE的目的增強移動設備的安全特性，從而研發的包括軟件編程接口、硬件IP在內的一整套方案。芯片在軟件和硬件上，有REE和TEE兩個區域，分別對應富執行環境和可信執行環境。其主要思想就是在同一個CPU芯片上，通過硬件配置方式實現不同IP組件的訪問控制，從而提供一個完全隔離的運行空間。

ARM在芯片IP設計中已經全面支持了TEE，包括高通、聯發科、三星、海思、NXP等芯片廠商都紛紛采用該架構，已經成為基于硬件安全的主流方案。

GlobalPlatform TEE 架構圖：

關于TEE的安全技術和實現，我們將會在后續有專門的章節說明，此處我們簡單介紹一下TEE具備的特性。

• 受硬件機制保護：TEE隔離于REE、只能通過特定的入口與TEE通信、并不規定某一種硬件實現方法，隔離更徹底。

• 使用Trustzone硬件機制對外設、存儲進行安全保護，且該機制僅能受控于TEE

• 高性能：TEE運行時使用CPU的全部性能(獨占)，算力足(支持國密)。

• 快速通信機制：TEE可以訪問REE的內存、REE無法訪問受硬件保護的TEE內存，TEE的RAM充足。

• TEE具有更高的特權等級

• TEE作為開放技術，適合標準化。目前已有GlobalPlatform(GP)標準化，可在多種平臺上移植

• TEE擅長節點邏輯保護、外設保護、存儲保護

• TEE中的可執行代碼在執行前先要被驗證(validate)

• 對于密鑰使用安全存儲機制：認證性、完整性和機密性

基于TEE的TBOX安全方案

既然芯片上已經有了Trustzone安全設計，那么利用Trustzone上的TEE安全系統來保護TBOX，當然就會成為必然。實際上，基于TEE的TBOX安全方案已經被越來越多的OEM采用，一些TBOX相關的安全規范也正在制定中。相信隨著車聯網信息安全越來越受到關注，基于硬件隔離的TEE安全技術，將成為剛需。

我們以豆莢科技公司基于TEE的TBOX安全方案為例，分析為什么有了TEE的TBOX更加安全。

我們可以看到，在方案中，基于TEE的安全操作系統的系統防御形成了一條安全信任鏈條。每一步處理都是基于這個信任鏈進行認證和校驗，保證了系統、應用、業務、數據、通信的安全。

• 系統安全啟動

TEE的secure boot(安全啟動)功能旨在保證設備軟件(從硬件信任根直到系統分區)的完整性。在啟動過程中，無論是在哪個階段，都會在進入下一個階段之前先驗證下一個階段的完整性和真實性。此過程需要綁定的信任根，也就是ROOT OF TRUST。確保BOOT ROM -> Preloader -> LK -> TEE ->BOOT啟動流程安全可靠。只有具備了安全啟動，安全的OTA才成為可能。

• 應用安全

在TEE上運行的應用叫做可信應用TA(Trusted Application)，TA之間實現完全的隔離，兩個TA之間無法訪問對方資源。而且TA的裝載和調用都必須通過簽名校驗的過程，從而達到防篡改，防釣魚、防重放攻擊的目的。對于不同的應用來說，可以將需要安全處理的部分放在TA中執行，以此來保證應用的安全。

實際上在手機上的高安全應用如支付類應用(支付寶、微信)、生物識別應用以及DRM應用都是需要TEE的安全保護的，這在手機應用中已經成為標準。同理，在車聯網的環境下，隨著生物識別、支付、控車等應用場景的出現，TEE的保護無疑將成為高安全應用的最佳選擇。

• 硬件加解密功能

重要數據、敏感數據的保存需要加密，服務器和設備終端的信息傳遞需要驗簽名，安全應用(TA)鏡像需要驗證完整性和機密性。TEE基于芯片硬件的加解密算法，支持各類對稱加密、非對稱加密、國密算法、簽名認證、HASH計算、MAC算法等，可利用芯片內置安全密鑰，對數據做加解密處理。

• 安全存儲功能

重要數據(包括配置信息)保存需要加密安全存儲，對于密鑰等小型敏感數據，可通過TEE的安全存儲功能保存在TEE安全端，確保密鑰不出安全模塊，REE側無法訪問，提高系統安全性。

對于較大的文件按可先經過TEE側加密后，然后通過REE側的文件系統，以文件形式保存，由于加密的密鑰不出TEE，其安全級別大大提高。

• 雙向認證

云與端之間信息通信的安全，最重要的是服務器和終端設備之間的雙向認證機制。如果終端密鑰管理放在REE側，那么是非常容易泄露的，端的安全就是無源之本。而TEE的出現，可以將端的唯一標識和相關密鑰管理放在TEE側作為安全存儲，密鑰不出TEE，確保整個驗證流程安全可靠。

從車載終端設備安全考慮，TEE很好的解決了安全啟動、安全更新、數據保護、密鑰存儲、身份識別、安全通訊等車載安全的主要問題。當然，汽車正在往電動化、智能化、網聯化、共享化的方向快速發展，同時也面臨著嚴峻的信息安全挑戰。汽車系統安全問題無法通過單一技術方案解決，必須實施多位一體的安全方案，下一回我們將分析一下車載APP的安全，敬請關注。

---

推薦閱讀：

• 談車聯網信息安全

• 更多精彩文章請參照本公眾號的菜單

• 第一季技術文章合集下載，請聯絡yanghuanyu_thomas@163.com進行索取

總結

以上是生活随笔為你收集整理的编程实现基于二维易位置换机制进行信息加解密_基于TEE的TBOX安全技术的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。