数字钥匙系统安全技术应用

随着可信执行环境TEE概念不断的深入到各行各业中去,近日信安委发布的《汽车电子网络安全标准化白皮书》中在汽车电子网络安全技术应用案例中也明确提到TEE+SE技术应用在数字钥匙的案例。(文章个别处有删改)

概念:随着移动互联网和车联网技术的加速普及,数字钥匙(经常也被称为蓝牙钥匙或者虚拟钥匙)将成为下一代汽车的标准配置。 数字钥匙主要是利用近场通信技术,使得用户可以通过智能手机或可穿戴智能设备(例如智能手表)来进行车门的开锁,闭锁以及车辆的启动等操作。数字钥匙除了能够给用户带来很大的便利性,其本身数字化的本质也使得数字钥匙成为很多新的车联网应用和服务的基础设施,例如汽车共享,分时租赁,租车业务,快递到后备等。

模块组成和功能: 一个完整的数字钥匙系统包括车内蓝牙模块,安全芯片(SE),后台服务,和相对应的手机端App。实现数字钥匙的功能并不复杂,具有挑战的是如何在整个生命周期内保障数字钥匙服务的安全性和可用性。这需要从架构设计,测试验证以及安全运营三个阶段去保障。

TSM(可信服务管理器):通过允许访问智能设备中的(嵌入式)安全元件,使服务提供商(OEM)能够远程分发和管理他们的非接触式应用程序。

移动UI: OEM/TSM和智能设备之间的接口。这也被称为OEM应用程序。 安全组件SE:安全存储在智能设备上。它可以采用嵌入式安全元件或UICC安全元件的形式。 SE Provider: SE提供者,它提供对TSM的SE访问。 SE提供商代理: SE提供商的SE访问接口。 SE提供商可以通过专有接口/功能访问它。 TUI:可信用户界面。它通常是TEE的一部分。 TEE:可信执行环境。在主机应用程序处理器上安全的可信执行环境。

其他相关的数字钥匙服务的标准: 蓝牙低功耗 BLE 无线技术标准,用于短距离交换来自固定和移动设备的数据并构建个人局域网(PAN)。 GP :在安全芯片技术上实现多个嵌入式应用的安全且交互操作的部署和管理。 NFC:在电子设备之间实现简单而安全的双向互动,使消费者能够进行非接触式交易,访问数字内容并通过一次触摸连接电子设备。

安全需求: 持有数字钥匙的消费者设备必须实施保护数字钥匙的机制,并防止未经授权使用数字钥匙。需要密钥保护以防止未经授权复制,修改和删除现有密钥;未经授权的创建和提供新的;和拒绝服务(如干扰OEM应用程序或车辆与智能设备之间的连接)。数字密钥的未授权使用包括未经授权的用户使用,或者在允许的适用范围之外的授权用户使用。

安全机制需要处理以下威胁: 软件攻击者获得root访问权限并在设备上安装恶意应用程序并重置设备。

物理攻击者读取并修改存储在设备上的任何数据。 通信攻击者控制设备和车辆之间的所有通信或中继通信。 数字密钥相关消息在持有数字密钥的设备与车辆(密钥使用),另一设备(对等密钥共享)和远程后端(密钥供应)之间交换。安全体系架构必须使这些消息的接收者能够验证消息的可信性。

与持有数字密钥的设备进行任何消息交换必须满足以下目标:

可信度 设备应该只接受可信设备的消息,即攻击者不应该能够创建虚假消息。 完整性 设备应该检测到攻击者已经删除了整个消息或部分消息。 时效性 攻击者不能重播旧消息。 绑定 数字密钥应当安全地绑定当前用户,即攻击者不得伪装成以前的用户。 独立性 消息交换不应披露关于同一个或另一个数字密钥不需要的属性的消息。 对于拥有和管理数字密钥的设备,我们假设一个基于硬件的可信执行环境,它可以支持任意制造商签名代码的安全执行,也可以限制为预定义的功能。另外,我们假设设备具有操作系统(OS)安全框架,其中可以限制对安全服务的访问。 OS安全框架提供运行时隔离和隔离存储。我们假设操作系统安全框架本身的完整性受到保护。 结论: 汽车数字钥匙毫无疑问将会成为新一代汽车的标准配置。很多汽车制造商在构建数字钥匙解决方案的时候并没有充分的考虑到数字钥匙其实是一项非常重要的服务。而如何保障这项服务的安全性需要汽车制造商后者出行服务商在最初的设计阶段就通过结构业务场景下的不同用例,分析具体的安全需求,从而选用合适的技术和标准来构建安全的数字钥匙系统。还有很重要的一点是,数字钥匙服务的生命周期较长(5~10年),是否具备完整的更新能力也将决定数字钥匙服务在整个生命周期内的安全性。

白皮书详见信安委网站,或者联系安智客获取。

原文发布于微信公众号 - 安智客(china_safer)

原文发表时间:2018-04-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

安卓再曝新漏洞:可远程致使用户无法接打电话

本周堪称是安卓设备的“黑色周”,几天前刚被爆出Stagefight媒体库上存在胜似“心脏滴血”的高危漏洞,这两天安全研究人员再曝可远程致使安卓设备无法正常接打电...

20810
来自专栏知晓程序

网盘纷纷倒下,只有这个小程序才能救我于水火 | 亲儿子

我在广州冷热交加的空气,瑟瑟发抖的度过了半个月。最终还是没熬过,一周前光荣地倒在了流感的洪流中,转变为匍匐前进的工作模式。

1163
来自专栏FreeBuf

黑了记者:写个恶意软件玩玩(一)

潘多省日报(Pando Daily)的编辑Adam Penenberg最近发表了一篇文章《我让黑客来调查我,他们的发现让我不寒而栗》,讲述了我和我的小伙伴“骚扰...

20110
来自专栏黑白安全

漏洞评估指南 {Vulnerability Assessment}

漏洞评估的四步指南 这是一个建议的四步法,使用任何自动或手动工具启动有效的漏洞评估流程。

1642
来自专栏FreeBuf

钓鱼新套路:自动检查受害者输入的帐号密码是否真实

美国网络安全服务商Proofpoint近日发现了一种新的针对PayPal用户的钓鱼套路,攻击者在钓鱼过程中利用身份验证机制检查用户提交的账户信息是否真实,以寻求...

2165
来自专栏FreeBuf

窃听电话的Hacking Team RCSAndroid木马

安卓设备小心:4.0-4.3版本都可以被RCSAndroid 搞定。 安卓平台上的远程控制木马RCSAndroid是目前曝光的安卓中最专业、最复杂的恶意程序之一...

2508
来自专栏FreeBuf

什么是“移动端应用协作”(MAC)攻击?

Intel安全团队最近表示,他们检测到恶意代码被发布在数以千计的安卓包里。黑客对这些代码进行组合后,对没有防备的手机用户发起攻击。 这种攻击被称为“移动端应用协...

1849
来自专栏安恒信息

IE8爆出0day,影响所有版本Windows

日前,安全研究人员发现IE8的0day(CVE-2013-1347)被应用于攻击美国政府的核武器科学家和研究人员中,微软发布警告所有Intern...

2867
来自专栏黑白安全

美权威机构:微软苹果Linux等操作系统遭受严重安全漏洞威胁

5月10日消息,美国计算机安全应急响应中心(以下简称“CERT”)今日通过公告宣称,Windows、macOS、Linux、FreeBSD、VMware和Xen...

641
来自专栏漏斗社区

看!我手里有个Email收集神器

众所周知,在工作中,大家用到最多的便是Email来传输工作内容,因此,像一些VPN信息、服务器账号密码、公司人员清单等敏感数据,均会通过Email进行传输,并且...

1923

扫码关注云+社区

领取腾讯云代金券