基于TEE的车联网安全架构

为什么手机上的TEE可以运用到车上面，第一点车是一个大的手机，第二点手机和车本身是互联的，随着技术的发展，将来手机和车的互动会越来越多。在使用TEE提高手机安全的同时也提高了手机和车互联的安全。

现在车内网络主要由用户、移动设备、云服务器和路边单元四个部分组成的，在这个复杂的环境中，车面临的攻击面是很大的，最典型的汽车攻击方法为：首先建立与汽车交互的通道，其中有两种方式，一种为物理接触汽车方式；另外一种是通过无线网络攻破汽车交互节点（如TSP、手机APP等）；然后通过软件漏洞攻破入口系统节点，最后利用所控制的系统节点，通过CAN渗透至其他各关键节点，获得更高的权限。这样就需要我们从架构设计上确保汽车每个网络节点系统的安全性，包括车机、T-BOX、智能网关等。需要经过多层的安全防护：

瓶钵信息科技联合创始人兼首席科学家、上海交通大学副教授夏虞斌先生在“ 2019 第四届中国汽车网络信息安全峰会”中为与会嘉宾详细的讲解了基于TEE的车联网安全架构。

第一操作系统的安全防护：在操作系统安全性中TEE可以让操作系统变得更安全:第一TEE利用ARM TrustZone/Hypervisor技术，提供与Android等开放系统完全隔离的运行环境，保护关键业务与数据，即使Android被ROOT，攻击者也无法读取或篡改TEE。第二TEE支持设备安全启动、安全升级保护、敏感信息保护、安全管理等，对关键业务实时保护。第三TEE不需要额外的硬件支持，它的切换由软件控制，TEE与Android的隔离由芯片保证。与其他设备相比TEE安全性更高、成本更低、性能更好、功耗更小。利用操作系统内核漏洞实施攻击，是目前设备高级攻击的最主要方式，操作系统内核若受到攻击，设备整体安全性将被严重削弱。由于Linux内核代码超过千万行，潜在漏洞难以估量，采用发现与修复潜在内核漏洞，是很难实行的，所以要主动安全防御。

第二在主动防御系统的安全防护中：TEE利用Hypervisor保护Android/Linux等系统内核和服务，通过隔离与保护内核漏洞利用中需要被使用的关键内核代码与数据，包括数据流保护与控制流保护；通过内核态永远不可执行非授权代码，只能运行已有的内核合法代码；通过将内核态关键数据进行隔离保护，让内核态关键数据只能被授权对象合法修改等方法，确保操作系统存在漏洞的情况下也无法被攻击利用。并利用AI自适应安全能力，为用户提供可视化威胁感知，防止汽车系统被ROOT。

第三在业务安全保护中，基于底层安全平台能力，向下整合不同设备安全能力，向上为海量应用提供统一安全保护，包括APP加固、APP业务保护等内容。并采用指纹、虹膜、人脸识别等认证方法来确保安全，并将这些数据采集、处理、注册认证等整个数据流均由TEE保护，确保敏感数据安全。通过可信设备认证与证书管理两种方法，保护可信环境中所运行的APP的安全性，确保设备的合法性，确保某段数据来自于指定设备与应用。

第四远程安全管控中：首先深入操作系统内核应用，采集关键事件并关联分析，然后进行可视化威胁呈现，定位某一终端、某一进程与路径，最后采用安全响应，定制与实施安全策略，通过远程管理平台下发相应策略。

通过这些安全防护，可以让汽车联网变得更加安全。