您好,欢迎光临-爱游戏体育游戏-官方入口|官网下载!
工程案例

致力于产品的良好用户体验、有效的网络营销效果而努力

关于信息安全技术的作用分析和应用

发布时间:2022-09-30 12:12:40 | 作者:爱游戏体育官网下载 | 来源:爱游戏官方体育入口人气:1

  在今年7月于美国拉斯维加斯举行的2017世界黑客大会(Black Hat 2017) 上,腾讯安全联合实验室科恩实验室验证了电动车的多个安全漏洞,并对特斯拉Model X进行了无物理接触远程攻击,可以在驻车和行驶模式下,利用总线对汽车进行任意远程操控。其实在2016年9月,该实验室曾已经破解过一次特斯拉的Model S,马斯克为此还亲自写信向实验室表示了感谢,并弥补了当时发现的漏洞。

  以上只是近年来在世界各地发生的无数起车辆遭受网络攻击事件中的其中一个例子。好在迄今为止,发动攻击的人们基本上以没有恶意的所谓“白帽(WhiteHat)”黑客为主,尚没有造成道路上的巨大破坏,好莱坞大片“速度与激情8”中所描绘的众多汽车的驾驶系统与车联网智能终端被反派领导的电脑黑客团队给控制并给城市造成混 乱的局面还没有真正出现, 但这也让大众看到,随着联网汽车的数量日益增加,车辆遭受各种网络攻击的风险在不断升高。

  今天我们会就汽车信息安全(也称网络安全)(Cybersecurity)的课题,专门作一定的介绍。首先我们会说明一下侵害信息安全的攻击的几种主要途径和方式,然后再介绍一下目前在汽车电子电器架构上常见防护措施,最后再简单总结一下全世界针对车辆信息安全这一课题所出台或正在酝酿中的一些主要法规、指南和标准。

  1.对车辆信息安全产生危害的攻击可以通过多种途径来进行,但总的说来,可以归纳成三种:

  第一,通过物理接触来进行攻击。从黑客的角度来看,他们想控制一台汽车,最简单的方式是通过后门在里面装一个系统,这样就很容易拿到控制权限。事实上最早的对特斯拉的攻击也就是通过“车载诊断系统”(On-Board Diagnostic或简称OBD)去做的。以前许多车厂对这类攻击不很重视,认为这种接触式控制必须依靠与车辆本身有物理接触才可以进行,而一般只有使用者才能做到这一点,所以潜在危险不大,但是随着共享经济的发展,租车现象会变得越来越普遍,能进入并驾驶车辆的机会剧增,黑客们可以通过改变ECU软件内容,或用作过手脚的部件替代原装部件等方法来创造侵入的机会。 还有,新兴的电动车里某些新的物理接口的引入,也会增加通过接触来控制汽车的机会,例如黑客可以通过智能充电桩来读取并篡改某些车辆信息。

  第二,通过近场控制来进行攻击。目前许多汽车都有蓝牙、车载WIFI或者其它利用射频信号进行通讯的设备和器件,比如许多智能车钥匙, 这些都属于近场通信。如果没有加强防范,近场通讯有许多漏洞是可以被利用来作为攻击的途径的 。蓝牙本身没有很好的认证和加密机制, 即使是WIFI设定了密码,但是强度不够的密码黑客是很容易通过不断排列组合试错的所谓“暴力破解攻击(Brute-force Attack)”的方法来破解, 许多密码的安全性远没有密码设定者想象的那么安全。通过蓝牙、WIFI,在离车辆不远的地方都可以连入车内的车载系统,对车辆进行控制。

  第三,通过远程控制来进行攻击。首先,现在带有车联网的车辆常用的TBox (Telematics Box/ Control Moduel,即远程通讯处理器) 需要与互联网、车机(head-unit) 或者与总线相连。一旦汽车通过TBox连上互联网,它立刻就成为传统黑客们一个非常擅长的场合,对它的攻击往往是简单的事情,因为汽车内部用于通讯的传统总线就对此类攻击就根本没有什么防范的机制,例如汽车中最常用的CAN总线。

  其次,对于智能车机的攻击模式也很多,原因之一是现在智能车机的操作系统局限在QNX和安卓等少量的几种,一旦有漏洞被知晓,车机本身安全立刻成问题,而车机的工作方式是要通过车联网和外界进行联系,其潜在的风险不可小觑。

  再次,车主手机里用来控制各种车辆功能的app,在提供诸如远程启动、上车之前打开空调和窗户、油耗观察等便捷功能的同时,也为黑客提供了接入汽车系统非常好的通道。

  最后,车厂和第三方应用服务商可以给具有车联网功能的车辆提供越来越多的云端服务,一个典型的例子就是车内控制器软件的远程更新(Software/Flash Over-the-Air或简称SOTA/FOTA),利用该功能汽车可以做到远程更新特定控制器中的软件而不需要像目前绝大多数车辆一样必须将车开到4S店去才可以做这个工作,特斯拉甚至通过软件的远程更新让顾客付费后启动一些原先潜在的功能来提供增值服务,如著名的自动驾驶功能Autopilot2 ,从而创造了一种前所未有的汽车商业模式,但是这种服务也可能给黑客打开了一个很好的攻击窗口。

  在整个车联网的环境里黑客可以用来攻击的方式有太多了,下面是几个典型的场景:

  •可以通过侵入手机或车机使用的第三方服务app的数据库,拿到车主的用户名、密码和使用信息,然后对这个app做一下改造以后发布给用户,用户装上去以后所有的信息对黑客都变得透明了。

  •攻击车厂云数据中心,事实上这种攻击这几年时常发生,因现在几乎所有跟车辆和客户有关的信息系统都在云端,这种攻击造成的潜在风险还是非常大的。

  •在通讯过程当中的攻击。既然要联网,需要数据通信,通信过程当中黑客可以侵入后对数据进行劫持和非法获得权限。

  因为攻击是可以通过多种途径以不同的方式来进行,从汽车工程的角度,防护工作也必须是在车辆的电子电器架构的多层面上以不同的对策来进行,信息安全的防护由以下四个层面构成:

  第一层是防止通过对外接口对车辆进行攻击的防火墙,从而使得车辆拥有安全接口(Secure Interface),该层面关注的是汽车内与外的信息安全问题。在这个层面上,要对诊断接口和诸如WIFI、4G、蓝牙等无线通讯接口特别进行防范,重点部位是OBD接口、TBox、车机以及Infortainment(车内信息娱乐)系统,主要方法是相互通讯机器间的认证(M2MAuthentication),这就需要在通讯系统中加入必要的保密机制,其中一个核心问题就是密钥的管理。

  第二层是控制车辆内部各个域(Domain)之间进行通讯的安全网关(Secure Gateway),该层面关注的是汽车内各个控制域之间的信息安全问题。 安全网关能将整个车辆的功能分隔成几个不同的域,然后像防火墙或者过滤器一样对所有通过它的信息进行安全方面的检查,从而具有一种集中式的入侵检查(Intrusion Detection)的功效。

  第三层是通过对信息进行认证和完整性保护的安全通讯层(Secure Communication),该层面关注的是个ECU间的信息安全问题。 这个层面上需要做的是:对特定的ECU通过特定的通讯总线(例如CAN总线)交流的消息进行认证,来防止黑客入侵开放的总线,从而保障车内总线的安全。例如让CAN通讯系统植入分布式的”入侵检测和防御系统 (Intrusion Detection & Prevention System或简称为IDPS)” ,以对接入总线的所有CAN节点发出的数据和命令进行监控, 一旦发些异常就立即提出警告或采取措施将可能危害整个网络的节点区分出来。这方面已经有许多公司都提出了自己的方案,在这些方案中,入侵检查最通常的做法就是在需要传输的消息后面再加上消息认证码(Massage Authentication Code或简称MAC)。请注意,产生MAC也需要借助于ECU内部的保密机制来完成。

  第四层是通过ECU内部所集成的“硬件安全模块(Hardware Security Module或简称是HSM)”来保障该ECU的安全性和提供实施各种安全机制的一个“信任锚(Trust Anchor)”或者“可以信任的执行环境(Trusted Executed Environment),从而做到安全数据处理(Secure Processing),该层面关注的是个ECU内部数据处理的信息安全问题。 值得注意的是,HSM一般本身也自带一个微控制器和一些跟保密有关的硬件电路,来进行各种加解密运算或者密钥的存储和管理等工作, 而黑客是无法侵入其中的。许多跟信息安全有关的功能和用例(Use Case),例如程序的安全启动(Secure Boot)、运行时数据的完整性保障、以及程序的远程更新(SOTA)都离不开安全数据处理。

  汽车信息系统已安全成为汽车行业的一个重要发展领域。汽车制造商、一级供应商、监管机构、保险公司、技术公司、电信公司以及受新型攻击环境影响的组织都在努力加强整个行业对汽车网络安全的重视程度。

  同时,世界上许多国家的政府也注意到由汽车网联功能所引发的新兴公共安全问题,而这导致了诸如美国参议员马基和布鲁门塔尔在 2015 年提交了“汽车研究安全和隐私法案(Security and Privacy in Your Car Act)”,又称“间谍车法案”,因为法案的英文缩写为“SPY Car Act”。有关政府机构还发布了多份报告,如由欧盟网络和信息安全机构(European Union Agency for Network and Information Security ,ENISA)发布的报告“智能汽车网络安全和恢复力(Cyber Security and Resilience of Smart Cars)”以及由美国国家公路交通安全管理局(US National Highway Traffic Safety Administration ,NHTSA)发布的“联邦促进汽车网络安全指导守则(Federal Guidance for Improving Motor Vehicle Cybersecurity”)和“NHTSA 与汽车网络安全(NHTSA and Vehicle Cybersecurity)”。英国政府与今年八月颁布了针对只能网联汽车信息安全的原则和指南。甚至联合国也发表了汽车信息安全的纲领,其涵盖了数据与信号加密、车辆数据保护的第三方认证、安全功能等方面的内容。 联合国计划计划展开更深入的讨论,意在起草具有法律约束力的国际标准。

  目前,国际上已经有 ISO26262 等汽车安全相关标准,美国也已形成 SAEJ3061/IEEE1609.2 等系列标准,欧洲 EVITA 研究项目也提供了相关汽车信息安全指南,国际标准组织ISO和美国汽车工程师协会SAE目前正携手制定统一的关于道路车辆的信息安全工程的国际标准ISO21434。

  中国政府在 2014 年颁布的“国民经济和社会发展第十二个五年规划”中才首次将汽车信息安全作为关键基础问题进行研究,相对来讲起步比较晚。但随着近几年在这个领域里投入增加,车辆汽车信息安全领域的研究也取得了长足的进步,行业内基本建立包括云安全,管安全, 端安全在内的「云-管-端」数据安全技术框架,为进一步制定中国智能网联数据安全技术标准打好了基础。

  在网联汽车日益普及的今天,车辆的信息安全性越来越重要。在今天的文章里,我们首先简短地介绍了黑客影响车辆信息安全的三种途径和方法,分别是通过物理接触、近场控制和远程控制来实施可能的攻击。 其次介绍了在车辆电子电器架构的四个层次上可以做的一些防护措施。最后再讲述了一下欧美和我国在加强车辆信息安全方面所做的努力,包括在立法和标准方面的现状和进展。

  算力网络基础设施的普及是智能时代标志之一。随着5G、IoT、人工智能、工业互联网等技术的逐步成熟,“....

  曙光智算与本次“东方杯”软件开发大赛的发起方:东方地球物理公司,及大赛所使用的GeoEast地震数据....

  嵌入式系统是基于计算机科学与技术,并以应用为核心,其软硬件能够进行裁减,适用于要求比较严格的专用计算....

  工业互联网如何赋能给智能制造?6月2日下午,时代方洲(海珠)、工控兄弟连在广州海珠区联合举办工业互联....

  pandas、numpy是Python数据科学中非常常用的库,numpy是Python的数值计算扩展....

  近日,国家工业信息安全发展研究中心公布了第二批“信创政务产品安全漏洞专业库技术支撑单位”名单。普华基....

  赛默飞 UltiMate 3000 高效液相液质色谱仪集成了快速分离所需的硬件,使用小颗粒填料色谱柱....

  确保 Google Play 的安全性是我们服务开发者和用户的第一要务,我们非常重视您的信息安全,并....

  5月17日,在2022年中国电子信息产业博览会组委会指导下,CITE2022工业互联网发展与安全峰会....

  针对传统CV应用业务痛点,星环科技推出一站式模型生产应用平台——Sophon AutoCV。Soph....

  数据处理及互连芯片设计公司澜起科技股份有限公司发布2021年报,具体内容如下。 近三年主要会计数据和....

  这几天我们一直在讨论有关无人机高光谱方面的介绍,今天,我们将一起探讨一下有关无人机高光谱数据处理与建....

  从数据处理与数据治理两个维度出发,可以设计一个解耦的数据中台体系架构。该数据中台体系架构具有一定的柔....

  随着智能网联车辆的发展,车辆信息安全防范成为了车辆系统安全的重要组成部分,它涉及到智能网联车队车辆以....

  PMem 主要延时落在 170-320 纳秒的区间里,与 DRAM 内存相近,但与传统 NVMe 固....

  当前,汽车行业正经历着百年一遇的变革。随着新四化(电动化、网联化、智能化、共享化)的融合发展,包括车....

  近期,国家发改委、网信办、工信部、国家能源局四部门联合印发《全国一体化大数据中心协同创新体系算力枢纽....

  移动通信、大数据,给我们的生活带来诸多便利,用手机看资讯、刷视频时,APP会推送我们感兴趣的内容,网....

  The 3rd AutoCS 2022智能汽车信息安全大会首批350+ 参会嘉宾公布!

  2021年,超过450位嘉宾参加了AutoCS。现在,我们正在为2022年打造一个更大、更完善的展会....

  近日,紫光宏茂通过了ISO27001信息安全管理体系认证。本次认证的取得是公司全员参与共同努力的结果....

  三星电子开发PM1743高性能PCIe 5.0 SSD 罗德与施瓦茨利用RS TS-RRM-NR测试系统验证首个5G RRM FR2 2xAoA

  在MWC 22巴塞罗那期间,华为轮值董事长郭平在线发表了题为《向上,点亮未来》的主题演讲。当今世界面....

  信息的传递是人类文明的基础。从古人的结绳记事开始,到以文字作为载体,如今的数字时代,数据与我们的生产....

  在定时器中断里需要做哪些事呢? 怎样在项目中使用串口接收数据及处理呢?...

  单片机串口接收的几种常用的数据处理方法一、为什么串口接收的数据需要处理我们在做项目的时候经常会用到串口,当我们用串口和别...

  亲爱的,关注我吧9/21文章共计2761个词预计阅读7分钟来和我一起阅读吧引言之前一直没去了解过vm-pwn,做一些题目对vm-pwn进行一个...

  惯性数据上传至机智云平台云平台注册产品建立数据节点生成MCU代码顶层程序分析初始化获取数据并做简单处理上传数据底层连接M...

  云计算平台也称为云平台,是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力。云计算平台可以划....

  随着物联网IOT的高速发展,越来越多的智能终端在用户层面普及,大到电网的无线供配电,小到家里的智能开关、智能音箱。让人们...

  随着智能汽车的蓬勃发展,现今的汽车搭载了越来越多的先进电子功能,包括先进驾驶辅助系统 (ADAS)、....

  此次ISO/IEC 27001认证范围覆盖了东软睿驰所有主营产品的设计、开发、售后服务和技术支持,标....

  搞单片机,肯定少不了串口的使用,不管是调试也好,与其他设备通信也好,是我们不可或缺的....

  在嵌入式的测量中可能存在某些无法被直接测量的变量,但可能可以通过几个不同的数据指标运算处理得到,这里介绍最小而成发,最小...

  Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

  AutoCS已成为汽车信息安全价值链中买卖双方的重要聚会场所。OEM、一级供应商、科技公司、快速增长....

  Dahua Think # 云联万物 数智未来——大华股份战略升级发布会全方位阐述了全感知、全智能、....

  Misc杂项题目签到saleae24cusbaspDaysBank题目赛题类型主要包括:逆向、漏洞挖....

  单片机串口接收的几种常用的数据处理方法一、为什么串口接收的数据需要处理我们在做项目的时候经常会用到串....

  亲爱的,关注我吧9/21文章共计2761个词预计阅读7分钟来和我一起阅读吧引言之前一直没去了解过vm....

  Telit IoT Platforms 首席信息安全官兼产品管理总监 Mihai Voicu 博士说....

  NVIDIA 推出 “AI 改变行业未来” 系列文章,邀你一起见证科技力量。本周带来第六期 “AI ....

  STM32L5特性简介 Cortex-M33内核TEE-TrustZone信息安全

  随着物联网IOT的高速发展,越来越多的智能终端在用户层面普及,大到电网的无线供配电,小到家里的智能开....

  原文来自公众号:工程师看海 调制与解调是通讯中非常常见的技术,其实在微弱信号采集中也会用到此技术,那....

  近日,根据企查查数据显示,百度Apollo获国内首个自动驾驶收费订单,随后公开了一项关于“货物分类方....

  近日,有个传闻称腾讯云数据库泄露,部分企业开始退微信群。在网传聊天图片中,有网友称“网信办拉了个腾讯....

  Capstone CS5267是一款高性能Type-C/DP1.4至HDMI2.0b转换器,设计用于....

  IAR Systems支持NXP S32K3 MCU系列下一代汽车应用

  IAR Systems®提供的完整开发工具链IAR Embedded Workbench® for....

  “永远不要让你的证书私钥发生任何事情。” 当你获得证书私钥时,尽管证书颁发机构和数字证书从业者一再给....

  三星成功开发LPDDR5X DRAM三星的14纳米LPDDR5X在“速度、容量和省电”特性方面大幅提....

  在开发新的电子系统时,设计人员需要做出各种决定。最关键的一个决定是选择系统架构和实现的芯片。这些组件....

  拥有90余家自营门店的好邻居连锁超市在实施跨区域发展战略中,决定采用云服务替代传统的本地数据中心。在....

  【天津理工大学实验汇总】网络综合设计,嵌入式系统,数据库系统,信息安全综合实验

  如何将DSP和MCU两者完美结合 按照传统方式,嵌入式应用中的数字信号...

  架构创新的AVR单片机是第二代MCU蓬勃发展的缩影20世纪的90年代初,挪威理工大学的两个研究生Alf-Egil Bogen和Vegard W...

  特斯拉回应宁德时代锂电池订单 此前有消息报道称特斯拉计划明年向宁德时代预订45Gwh磷酸铁锂电池,但....

  工业4.0如何保证在各地收集到的数据的完整性? 如何选择一个低成本的数据处理方案? ...

你觉得这篇文章怎么样?

0 0