CN113468522A

CN113468522A - 一种车载ota升级服务器信息安全的检测***

Info

Publication number: CN113468522A
Application number: CN202110813474.8A
Authority: CN
Inventors: 冀浩杰; 于海洋; 郭斌; 任毅龙; 王春阳; 孙文举; 张晨玺; 付兴坤; 牛方雷; 许远想
Original assignee: Taian Beihang Science Park Information Technology Co ltd
Current assignee: Taian Beihang Science Park Information Technology Co ltd
Priority date: 2021-07-19
Filing date: 2021-07-19
Publication date: 2021-10-01

Abstract

本发明公开了一种车载OTA升级服务器信息安全的检测***，属于车联网信息安全领域。本***基于OTA风险评估模型，重点对服务器端本身漏洞以及升级包的加密与签名、升级包的安全存储，升级包的验签和解密管控，配合OEM定义清晰的信息安全防护架构以及升级流程等提供专业的服务器端渗透测试来验证OTA升级中软件更新包将受到保护，以防止在启动更新过程之前被篡改；所使用的更新过程受到保护，以防止它们受到损害，包括***更新程序或固件的开发过程；软件更新包的真实性和完整性将受到保护，以防止其损害等安全目标，重点对OTA升级过程中固件数据安全及CDN服务器信息安全提供有效的验证方法。

Description

一种车载OTA升级服务器信息安全的检测***

技术领域

本发明涉及车辆信息安全领域，具体涉及一种验证车辆OTA远程升级过程中云端服务器数据安全的检测***。

背景技术

随着科技发展，汽车已经不再是单纯的代步工具。目前汽车工业正处于科技创新时代，汽车联网技术应景而生。汽车间的通信使得人车联系更为紧密，车主通过远程服务可以对车进行定位、访问以及控制等互动；目前，车辆软件通过端—云融合，建立互联互通的服务形态，通过OTA(空中下载技术)车辆软件能够实现远程升级，能够让消费者感受到更加智能便捷的用车体验的同时，也为汽车企业解决汽车软件故障、软件风险应急响应、安全漏洞修复等潜在问题，提供了修补缺陷的新途径。但凡事都具有两面性，尽管OTA为智能网联汽车带来了便捷服务体验和性能提升，但是OTA也会带来新的问题。2015年，美国的两位黑客远程黑掉了装有OTA功能的某品牌汽车，控制了车辆的所有功能，甚至强制其在高速公路上行驶紧急停车，造成严重的安全问题。同时在OTA实施过程中存在隐瞒消费者、升级带来高危安全漏洞等问题，为汽车OTA安全管理带来了严峻考验。

汽车OTA的流程可以被分成三个阶段，第一步，生成更新包；第二步，传输更新包；第三步，安装更新。OTA安全也主要考虑三个部分的安全：第一部分是云端的服务器安全，第二部分是车端安全，最后一部分就是车和云之间的通讯安全。在这三段，软件更新内容不仅需要认证，还需要加密，以保证数据在传输过程中不被仿冒和窃取。这就需要将标识密钥技术运用到OTA运行过程中。而作为三个部分中的远端服务器受攻击的方式较多，是整个安全体系中的重点防护对象，需要有专业的检测***进行有效的验证。

发明内容

针对现有技术存在的不足，本发明的目的在于提供一种车载OTA升级服务器信息安全的检测***。

为实现上述目的，本发明提供了如下技术方案：一种车载OTA升级服务器信息安全的检测***，包括：

OTA升级服务器漏洞扫描模块，用于对被检测OTA升级服务器的***、应用服务进行漏洞扫描和检测，检测内容包括OTA服务器***开放端口合理性、开启服务的合理性、存在的各类漏洞和安全配置缺陷，服务器操作***安全加固修补工作有效性，同时结合扫描结果，对服务器进行复查，一方面验证扫描器结果的正确性，另一方面补充扫描器的漏报，对漏洞进行漏洞验证和确认；

OTA升级固件安全检测模块，用于固件安全检测指对升级包被窃取、破坏、篡改等一系列原因导致的固件升级过程被攻破，升级失败、设备变砖，私密数据泄露、设备被劫持等问题的检测，固件安全检测模块覆盖CVE漏洞、配置风险、密钥安全、敏感信息泄露、代码安全5大类型固件安全风险检测，支持Linux、RTOS***固件；

OTA升级服务器证书秘钥安全检测模块，用于服务器后端使用预共享的加密密钥对的每个OTA固件数据块进行加密，然后再将它们传输汽车终端；OTA服务器风险评估模块，该OTA服务器风险评估模块基于UML建模技术与OTA升级服务器风险评估模型进行SDL威胁建模，基于知识库，漏洞库，风险特征库技术，并融合攻击树分析进行OTA升级服务器端风险的攻击路径描述，威胁分析与攻击路径分析，实现OTA升级服务器信息安全风险评估功能，导出安全检测报告及风险修复建议。

作为本发明的进一步改进，所述OTA升级服务器漏洞扫描模块扫描漏洞的具体步骤为：

步骤11，确定被检测服务器IP地址，通过PING、TRACERT等方式获取服务器相关信息；

步骤12，采用端口扫描工具，获取服务器***版本、开发的端口和服务信息、应用服务版本、端口的访问控制策略等信息；

步骤13，通过脆弱性检测工具检测服务器的漏洞包含并不限于；

步骤14，根据扫描出的***、端口和服务、服务版本以及漏洞信息，进行进一步漏洞检测策略的细化，采用分组策略的方式执行漏洞检测脚本，对检测出的漏洞做验证；

步骤15，通过CDN中间人攻击、降级攻击、签名校验安全测试、密钥存储、敏感信息泄露、DDoS攻击等测试项目，检测CDN服务器数据劫持和OTA升级安全测试数据泄露等漏洞风险；

步骤16，OTA升级服务器漏洞检测模块根据渗透测试与漏洞检测结果生成OTA服务器安全测试报表，其数据接口与OTA服务器安全评估模块匹配，进行结果导入。

作为本发明的进一步改进，所述OTA升级固件安全检测模块的检测步骤具体包括如下：

步骤21，获取OTA固件；

步骤22，识别OTA固件，进行OTA固件的文件***识别，文件类型识别，CPU架构识别；

步骤23，解析固件，进行OTA固件的文件***，压缩文件解压，CPU指令解析；

步骤24，扫描OTA固件漏洞；

步骤25，导出OTA固件安全检测与结果。

作为本发明的进一步改进，所述步骤21中的获取OTA固件的获取可以通过以下方式获得：直接从开发团队、制造商/供应商或用户获取；使用OTA固件制造商提供的项目从头编译；从OTA服务器根据二进制文件扩展名获取；从设备更新进行中间人获取；嗅探“硬件组件中的串行通信”中的更新服务器请求通过移动应用程序中的硬编码接口将固件从引导加载程序转储到闪存或通过tftp的网络转储获取。

作为本发明的进一步改进，所述步骤24中扫描OTA固件漏洞时，主要进行开源组件CVE漏洞检测与Linux发行版软件包漏洞检测；***弱密码检测，非必要软件检测，自启动服务风险检测；固件私钥安全检测与证书安全检测；敏感信息泄漏检测包含：SVN信息泄露，Git信息泄露，vi/vim信息泄露，备份文件泄露，临时文件泄露，二进制文件中的信息泄露等安全检测；不安全库函数的使用检测，识别OTA固件信息安全风险漏洞。

作为本发明的进一步改进，所述OTA升级固件安全检测模块的检测步骤为：

步骤31，获取证书书与秘钥，使用OpenSSL工具获取服务器实体证书、中间证书、根证书；

步骤32，获取证书与秘钥信息，通过证书透明度机制，证书检测模块检测证书详细信息、证书链详细信息、当前支持协议、加密套件详细信息；

步骤33，检测证书与秘钥加密强度，通过证书漏洞检测工具进行HeartBleed漏洞检测、FREAK Attack漏洞检测、SSL POODLE漏洞检测、CCS注入漏洞检测、CBC paddingoracle检测获取SSL通信中的部分信息明文、加密流量的密钥，用户的名字和密码，以及访问的内容；

步骤34，检测证书与秘钥的加密算法，通过密钥算法检测工具检测秘钥，检测用于签署证书的私钥的算法强度与签名中使用的散列函数的强度，并进行评级；步骤35，导出OTA服务器证书与秘钥的安全检测结果。

本发明的有益效果，本***基于OTA风险评估模型，重点对服务器端升级包的加密与签名、升级包的安全存储，身份验证建立安全链接通道，升级包的验签和解密管控，配合OEM定义清晰的信息安全防护架构以及升级流程等提供专业的服务器端渗透测试来验证OTA升级中软件更新包将受到保护，以防止在启动更新过程之前被篡改；所使用的更新过程受到保护，以防止它们受到损害，包括***更新程序或固件的开发过程；软件更新包的真实性和完整性将受到保护，以防止其损害等安全目标。重点对OTA升级过程中固件数据安全及CDN服务器信息安全提供有效的验证方法。

附图说明

图1是本发明提供的车载OTA升级服务器信息安全的检测***结构示意图；

图2是本发明提供的OTA升级服务器信息安全的检测***中OTA升级服务器漏洞扫描模块实施例的基本流程图；

图3是本发明提供的OTA升级服务器信息安全的检测***中OTA升级固件安全检测模块实施例的基本流程图；

图4是本发明提供的OTA升级服务器信息安全的检测***中OTA升级服务器证书秘钥安全检测模块实施例的基本流程图。

具体实施方式

下面将结合附图所给出的实施例对本发明做进一步的详述。

如图1所示本发明中OTA升级云端信息安全的检测***由4个模块组成，包括：M1OTA升级服务器漏洞扫描模块；M2 OTA升级固件安全检测模块；M3 OTA升级服务器证书秘钥安全检测模块；M4 OTA服务器风险评估模块。OTA服务器风险评估模块提供统一的风险漏洞扫描结果导入数据接口与OTA升级服务器漏洞扫描模块、OTA升级固件安全检测模块、OTA升级服务器证书秘钥安全检测模块、OTA服务器风险评估模块进行检测结果数据同步。

OTA升级服务器漏洞扫描模块，是对被检测OTA升级服务器的***、应用服务进行漏洞扫描和检测，检测内容包括OTA服务器***开放端口合理性、开启服务的合理性、存在的各类漏洞和安全配置缺陷，服务器操作***安全加固修补工作有效性。同时结合扫描结果，对服务器进行复查，一方面验证扫描器结果的正确性，另一方面补充扫描器的漏报，对漏洞进行漏洞验证和确认。

OTA升级固件安全检测模块，固件安全检测指对升级包被窃取、破坏、篡改等一系列原因导致的固件升级过程被攻破，升级失败、设备变砖，私密数据泄露、设备被劫持等问题的检测。固件安全检测模块覆盖CVE漏洞、配置风险、密钥安全、敏感信息泄露、代码安全5大类型固件安全风险检测，支持Linux、RTOS***固件。

OTA升级服务器证书秘钥安全检测模块，服务器后端使用预共享的加密密钥对的每个OTA固件数据块进行加密，然后再将它们传输汽车终端。OTA升级服务器证书秘钥安全检测模块集多个证书有效期管理于一体。支持OTA服务器HTTPS安全评级，证书品牌、证书有效期、SSL漏洞、PCI DSS&ATS合规监控。

OTA服务器风险评估模块，基于UML建模技术与OTA升级服务器风险评估模型进行SDL威胁建模，基于知识库，漏洞库，风险特征库技术，并融合攻击树分析进行OTA升级服务器端风险的攻击路径描述，威胁分析与攻击路径分析，实现OTA升级服务器信息安全风险评估功能，导出安全检测报告及风险修复建议。

如图2所示OTA升级服务器漏洞扫描模块实例的具体流程步骤为：

(1)确定被检测服务器IP地址，通过PING、TRACERT等方式获取服务器相关信息。

(2)采用端口扫描工具，获取服务器***版本、开发的端口和服务信息、应用服务版本、端口的访问控制策略等信息。

(3)通过脆弱性检测工具检测服务器的漏洞包含并不限于(SQL注入漏洞，固件存储数据库漏洞，OTA文件上传漏洞，PHP远程执行代码漏洞，APP欺骗，XSS跨站漏洞，任意文件下载漏洞，DDoS攻击漏洞)。

(4)根据扫描出的***、端口和服务、服务版本以及漏洞信息，进行进一步漏洞检测策略的细化，采用分组策略的方式执行漏洞检测脚本，对检测出的漏洞做验证。

(5)通过CDN中间人攻击、降级攻击、签名校验安全测试、密钥存储、敏感信息泄露、DDoS攻击等测试项目，检测CDN服务器数据劫持和OTA升级安全测试数据泄露等漏洞风险。(6)OTA升级服务器漏洞检测模块根据渗透测试与漏洞检测结果生成OTA服务器安全测试报表，其数据接口与OTA服务器安全评估模块匹配，进行结果导入。

如图3所示OTA升级固件安全检测模块实例的具体流程步骤为：

(1)获取OTA固件：固件获取可以通过以下方式获得：直接从开发团队、制造商/供应商或用户获取；使用OTA固件制造商提供的项目从头编译；从OTA服务器根据二进制文件扩展名获取；从设备更新进行中间人(MITM)获取；嗅探“硬件组件中的串行通信”中的更新服务器请求通过移动应用程序中的硬编码接口将固件从引导加载程序(如：U-boot)转储到闪存或通过tftp的网络转储获取。

(2)识别OTA固件；进行OTA固件的文件***识别，文件类型识别，CPU架构识别

(3)解析固件解析:进行OTA固件的文件***，压缩文件解压，CPU指令解析；

(4)扫描OTA固件漏洞，进行开源组件CVE漏洞检测与Linux发行版软件包漏洞检测；***弱密码检测，非必要软件检测，自启动服务风险检测；固件私钥安全检测与证书安全检测；敏感信息泄漏检测包含：SVN信息泄露，Git信息泄露，vi/vim信息泄露，备份文件泄露，临时文件泄露，二进制文件中的信息泄露等安全检测；不安全库函数的使用检测，识别OTA固件信息安全风险漏洞。

(5)导出OTA固件安全检测与结果。

如图4所示OTA升级固件安全检测模块实例的具体流程步骤为：

(1)获取证书书与秘钥，使用OpenSSL工具获取服务器实体证书、中间证书、根证书。

(2)获取证书与秘钥信息，通过证书透明度机制，证书检测模块检测证书详细信息、证书链详细信息、当前支持协议、加密套件详细信息等。

(3)检测证书与秘钥加密强度，通过证书漏洞检测工具进行HeartBleed漏洞检测、FREAK Attack漏洞检测、SSL POODLE漏洞检测、CCS注入漏洞检测、CBC padding oracle检测获取SSL通信中的部分信息明文、加密流量的密钥，用户的名字和密码，以及访问的内容。

(4)检测证书与秘钥的加密算法，通过密钥算法检测工具检测秘钥，检测用于签署证书的私钥的算法强度与签名中使用的散列函数的强度，并进行评级。

(5)导出OTA服务器证书与秘钥的安全检测结果。

以上所述仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种车载OTA升级服务器信息安全的检测***，其特征在于：包括：

OTA升级服务器证书秘钥安全检测模块，用于服务器后端使用预共享的加密密钥对的每个OTA固件数据块进行加密，然后再将它们传输汽车终端；

OTA服务器风险评估模块，该OTA服务器风险评估模块基于UML建模技术与OTA升级服务器风险评估模型进行SDL威胁建模，基于知识库，漏洞库，风险特征库技术，并融合攻击树分析进行OTA升级服务器端风险的攻击路径描述，威胁分析与攻击路径分析，实现OTA升级服务器信息安全风险评估功能，导出安全检测报告及风险修复建议。

2.根据权利要求1所述的车载OTA升级服务器信息安全的检测***，其特征在于：所述OTA升级服务器漏洞扫描模块扫描漏洞的具体步骤为：

3.根据权利要求1或2所述的车载OTA升级服务器信息安全的检测***，其特征在于：所述OTA升级固件安全检测模块的检测步骤具体包括如下：

步骤21，获取OTA固件；

步骤24，扫描OTA固件漏洞；

步骤25，导出OTA固件安全检测与结果。

4.根据权利要求3所述的车载OTA升级服务器信息安全的检测***，其特征在于：所述步骤21中的获取OTA固件的获取可以通过以下方式获得：直接从开发团队、制造商/供应商或用户获取；使用OTA固件制造商提供的项目从头编译；从OTA服务器根据二进制文件扩展名获取；从设备更新进行中间人获取；嗅探“硬件组件中的串行通信”中的更新服务器请求通过移动应用程序中的硬编码接口将固件从引导加载程序转储到闪存或通过tftp的网络转储获取。

5.根据权利要求3或4所述的车载OTA升级服务器信息安全的检测***，其特征在于：所述步骤24中扫描OTA固件漏洞时，主要进行开源组件CVE漏洞检测与Linux发行版软件包漏洞检测；***弱密码检测，非必要软件检测，自启动服务风险检测；固件私钥安全检测与证书安全检测；敏感信息泄漏检测包含：SVN信息泄露，Git信息泄露，vi/vim信息泄露，备份文件泄露，临时文件泄露，二进制文件中的信息泄露等安全检测；不安全库函数的使用检测，识别OTA固件信息安全风险漏洞。

6.根据权利要求1或2所述的车载OTA升级服务器信息安全的检测***，其特征在于：所述OTA升级固件安全检测模块的检测步骤为：

步骤33，检测证书与秘钥加密强度，通过证书漏洞检测工具进行HeartBleed漏洞检测、FREAK Attack漏洞检测、SSL POODLE漏洞检测、CCS注入漏洞检测、CBC padding oracle检测获取SSL通信中的部分信息明文、加密流量的密钥，用户的名字和密码，以及访问的内容；

步骤34，检测证书与秘钥的加密算法，通过密钥算法检测工具检测秘钥，检测用于签署证书的私钥的算法强度与签名中使用的散列函数的强度，并进行评级；

步骤35，导出OTA服务器证书与秘钥的安全检测结果。