汽车电子标识系统安全分析

　　关键词：汽车电子标识系统安全芯片安全信息安全

　　随着城市化进程的加快，全国各省市机动车保有量迅猛增加。伴随交通需求的急剧增长，催生了汽车电子标识系统这一新兴的车辆管理技术和业务系统，为车辆精细化管理、交通综合调控指挥、规划决策和交通信息化服务等交通应用提供强有力的技术支撑。同时作为车辆信息管理系统来说，其安全性要求也远比一般信息系统更为严格，建设覆盖汽车电子标识系统各个角落的安全体系是系统得以生存并发展壮大的必备条件。

　　一、汽车电子标识系统安全隐患多种多样

　　任何信息系统的建设都会面临各种各样的安全隐患和安全问题，汽车电子标识系统在车辆信源、采集设备、业务系统、公众门户等各方面都会面临安全方面的冲击和挑战。整体来看，各类安全问题主要可以汇总为以下几个方面：

　　1.采集系统安全分析

　　汽车电子标识采用的是超高频无源识别系统，系统由采集设备（阅读器）和标签两部分构成，阅读器主动发起读、写、清点等操作，标签被动响应阅读器操作，作出应答。标签的工作电源由阅读器发射的电磁波提供，返回的信号通过反向散射调制在阅读器发送的载波信号上，由阅读器来解调。在整个交互过程中，攻击者可能攻击的手段有：攻击标签、攻击无线信道和攻击采集设备。

　　图1采集系统安全威胁图

　　攻击者对于标签的攻击主要包括获取非公开信息、复制卡片、伪造卡片、重放攻击和使用非授权标签访问设备访问标签；对于无线信道的攻击主要包括窃听信息和伪造信息；对于采集设备的攻击主要包括非授权访问和伪造访问设备等方面。任何攻击都会导致系统产生信息泄露和出现重大故障的风险，特别是标签内部存放着车辆的关键信息，一旦泄露将会造成无法挽回的经济损失和社会影响。

　　2.业务系统安全分析

　　业务系统是汽车电子标识系统整体运行的中枢和汇聚点，作为典型的信息系统，与之相关的系统物理安全、数据安全、网络安全、运行安全和管理安全是系统成功的关键因素。因此对于信息系统普遍的安全威胁同样适用于汽车电子标识系统中。

　　物理安全：主要包括环境安全、设备安全、媒体安全等方面。

　　数据安全：确保信息的保密性、完整性、可用性和抗抵赖性等数据层面安全；

　　网络安全：确保网络系统安全可用，主要包括访问权限控制、攻击侦测和处理、安全网络环境提供、不同安全级别网络数据传输等；

　　运行安全：主要包括备份与恢复、病毒的检测与消除、电磁兼容等；

　　管理安全：主要包括各级管理组织机构、管理制度和管理技术三个方面。

　　从根本上来看，安全问题和安全隐患渗透到了汽车电子标识系统的各个角落，建设汽车电子标识系统的过程中应充分全面考虑各方面的安全隐患和安全威胁。

　　二、安全体系应覆盖汽车电子标识系统各个角落

　　图2汽车电子标识系统安全体系位置图

　　汽车电子标识系统借鉴当前物联网业务系统整体架构，可分为感知层、网络层、平台层和应用层四个组成部分。其中：

　　感知层是整个系统的基础，通过感知层采集的各类信息为系统应用提供信息来源。

　　网络层负责采集设备的接入，依托现有成熟的无线和有线网络技术，为信息传输提供通道，将感知层所采集的信息高效、实时的传输到平台层，以便服务于各行业应用。

　　平台层打造的是统一共享的综合管理平台，集数据采集、信息存储、数据交换、综合处理及支持服务于一体，为各类汽车电子标识应用提供数据支撑。

　　应用层通过对跨地域、跨行业、跨部门的海量交通数据进行综合分析，建设面向公众、交通管理者、交通决策者的一体化应用中心，为各类用户提供综合化交通服务。

　　而构筑覆盖汽车电子标识系统各个层次的安全体系是系统生存发展的关键因素，系统将从物理安全、网络安全、数据安全、运行安全和管理安全等全方位进行系统安全体系的规划和建设。

　　三、全方位、多角度解决各类汽车电子标识系统安全隐患

　　针对于覆盖汽车电子标识全业务流程和系统架构的安全隐患，汽车电子标识系统通过创新和借鉴相结合的模式，全方位、多角度解决各类问题，为用户提供安全放心的管理手段和业务环境。从目前来看，汽车电子标识安全体系主要覆盖以下几个方面。

　　1.感知系统安全

　　感知系统安全威胁主要包括标签安全威胁、无线信道安全威胁和采集设备安全威胁（采集设备泛指与标签进行直接交互的全部设备，如固定式阅读器、发卡器、手持机等）。其中无线信道安全和采集设备安全可以通过整体的安全模块加密方案实现；标签安全可通过PSAM/安全模块加密以及标签芯片、标签基材等方式整体实现。

　　对于标签来说，可要求标签芯片提供厂商通过唯一化编码的方式确保标签的全网唯一性，从根本上杜绝重复标签出现的可能性；同时为了防止标签被非法拆卸及重新安装，可在标签基材和结构上进行整体考虑，确保标签一旦从附着的车辆上拆下，将会立即损坏。而针对标签、信道和阅读器信息安全方面，则需要通过整体的加密方案实施。

　　图3汽车电子标识感知系统安全方案图

　　从整体来看，系统方案的核心在于采集设备和标签之间的身份认证以及传输信息的加密保护。对于整体安全方案来看，主要分为以下几个步骤：

　　系统通过密管系统完成PSAM/安全模块的密钥发放操作；

　　绑定管理员通过特定规则将需要访问标签的采集设备与PSAM/安全模块进行绑定；

　　发卡设备通过密钥分散规则生成每张标签特定的数据传输密钥，并下发到标签进行存储；

　　后续所有采集设备与标签之间的数据交互均在密钥保护下进行，空口传输均为加密数据。

　　按照上述操作模式，即可完善解决系统在标签、信道、采集设备等各方面面临的安全隐患和安全威胁。

　　2.业务系统安全

　　相对采集系统安全方案来说，业务系统安全方案具备更大的通用性，可在很大程度上借鉴现有IT系统安全解决方案。汽车电子标识业务系统安全方案如下图所示：

　　图4汽车电子标识业务系统安全方案图

　　业务系统安全在汽车电子标识中主要通过以下方面进行整体规划和部署：

　　采集点与IT中心之间通过专用VPN网络传输数据；

　　发卡网点与IT中心之前采用IPSecVPN连接方式确保安全传输；

　　外部用户访问门户系统通过SSLVPN模式进行安全认证；

　　门户系统通过WEB应用安全网关进行整体保护；

　　业务系统通过IDS侦测外部或内部攻击；

　　数据系统通过数据安全平台实现数据库防火墙以及关键数据加密功能；

　　业务数据采取定期备份确保数据完整性；

　　内外网之间、不同安全级别网络之间采用防火墙/网闸进行隔离；

　　IT中心通过门禁系统等实现物理安全保护；

　　全部服务器、PC通过防病毒硬件/软件进行防护；

　　业务系统制定完善的权限管理机制；

　　关键设备采取双基热备的方式确保系统可用性；

　　严格规定各级管理组织机构、管理制度和管理技术，确保管理安全。

　　根据以上分析可以看出，经过了全副武装的汽车电子标识安全体系，可以为汽车电子标识系统提供安全可靠的运行环境，使其作为城市交通管理重要的交通手段和数据来源，为各类城市交通应用提供重要的数据基础和技术手段，为城市交通建设做出不可磨灭的突出贡献。

　　作者简介

　　于晨捷：天津中兴智联科技有限公司