2015汽车信息安全年度报告.docx

G360AD1.ABCONTENTS2015年汽车技术发展技术分析03车联网汽车分析新能源汽车智能网联汽车互联网汽车汽车佰息安全威胁分析07基础架构安全威胁分析诊断接口(060),网关遥控的匙蓝牙朝匙车联网安全威胁分析Tsp平台安全T-box硬件及架构安全手机MP应用安全NGTP协议实现安全智能网联汽车安全威胁分析超声波雷达亳米波雷达高清摄像头激光缶达802.11P新能源安全充电板基枇设施电池管理系统汽车信息安全最佳实践24智能汽车信息安全模型以攻防平衡为核心的安全评估基于全生命周期的安全咨询能够防范于未然的大致娓监控用快速响应降低安全风险带来的损失整体解决方案参考文献28致谢29360AD1.AB360攻防实验室，专注于网络攻击与防御技术研究，擅长于在万物互联时代下车联网.IOT等各类系统的温洞挖桅、漏洞利用与攻防技术实践，成功破解特斯拉汽车及市面上主流的智筑硬件,同时通过搜索全球安全漏刑,安全事件信息,结合情报系统数据出具影响力报告，让企业和老百姓知道网络安全的危害，提高互联网安全三1.360攻防卖转室现在向社会各界招聘：车联网安全研究员1 .对网络安全攻防有浓厚的兴趣并愿意为之便注大量精力2 .有较强的工作费任心，铸主动研究学习最新攻击琳3 .对车联网技术有浓厚兴趣、能缪主动学习研究者：4 .满足以下至少一项条件者优先录用(1)在上述领域中技术披尖者对上述领域中某一项有深入研丽主动学习能力者(3)有相关从业经脸者联系邮箱:1.iujianhao2015年汽车技术发展技术分析车联网汽车分析随若全球智能化设备的发展和移动互联的发展.使得车联网概念的普及速度加快，人身于智能交通的认三度逐流提高，对车联网的应用产生认同感，2015年中国的车联网技术正从观望阶段，转变成忌滋S设阶段.各大车厂都开始了车联网其频设计，规划，开发.国内相关的车联网设备应运而生，汽车于车三¾5WHS比钾网汽车的核心设备就是T-BOX蜻是带有联网功能的车载系统，T-BOX是将汽车和互联网连接的一个纽带，在应用功能上看相当于一个汽车的调制解调器，将TSP的指令通过调制解碘制定解析成CAN协议转发至CAN收发器，从而控制汽车车身功能，控制汽车启动.表现在用户应用上.就是通过一个手机APP,可以反向控制汽,开门，启动空调，定位车身位胤从技术角度蟠车厂在开发、设计车联但系统时也采用了不同的方法.有的是自主开发的，整车厂采购TBOX供应商，TSP,手机APP都是自己开发，这样就有了自主可施能力，在未来的发展中不会受S!KM应商本制.但是成本较高,鬻要养一些研发团队.另外一种是外包开发，就是找到相关回外接电有经也出去,这种开麒演备T成熟度,研溷费和开发经费者哙少很多，而且可以快速产出达到目阮但开发府依好外包商的后期发展，因此可能现喇还有T钙网系OEM,牺商提峭TSP平台,SDK和适配的Tbox设备,可以在短期内延通流程.长远来看，对于整车厂的定制开发是一定的问也触I车联网系统以后会是f支术应用由混杂的系统.新能源汽车2015年，新能源汽车电池、电V1.电控技术不断改进,整车车型不断丰富，消费者认知度初提高，充电设施建设迅速发展，投入产业链的资金越来越多.不过"十三五"开端或许是个4斯点.新能源汽车产业导入期结束，即将进入产业成长期.补贴额度也将迸入更剧烈的退坡轨道.技术角度由简到繁分为纯电动、串联混合动力、并联混合动力及;昆联混合动力，具体如IS1所示.其中PO表示BSG（Be1.tstartergenerator,粉专动启停装置）系统，P1.代表ISGdntegratedstartergenerator,启切JUng电机T化装用）系婉，电机处于发动机和图合器之间，P2中电机处于卷合器和变速器械入疏之间，P3表示电机处于变速器输出端或布置于后轴,P03表示PO和P3的组合.从抗计表中可以看出，各种结构在国内外柒用或商用车中均得到广泛应用，相对来说P2在欧洲比较流行，行星排结构在日系和关系车辆中占主导地位，P03等组合结构在四驱隼辆中应用较为普i鼠智能网联汽车智能网联汽技术包,车我传感器、控制器、执行器等装JR,现代通信与网络技术，智能公路和铺助设施等智能出行系统.AUTOMATED/CONNECTEDVEHIC1.Eu1.trasonicsensors未来中国智能网联汽车将分为DAvPA、HA、FA四级.美国SAEJ3016将智能驾骏分为5级.相比中国多了一个CA,Conditiona1.Automation,DA指驾驶辅助，包括一项或多项局部自动功能，如ESC.ACC.AEBS等，并能提供甚于网联的智能提醒信息；PA指部分自动驾蚊,在驾蚊员短时转移注意力仍可保持控制，失去控制10秒以上予以提醒，并献供基于网联的智能引导信息;HA指高度自动驾驶，在高速公路和市内均可自动驾驶,假尔需要驾驶员接管，但是有充分的移交时间,并能提供基于网联的智能控制信息；FA指完全自主驾驶,驾驶权完全移交给车辄互联网汽车关于"互联网汽车”的概念，其实今年初就有，流行的话题是百联网科技企业通过车联网，打通了与汽车整车企业的桥梁，而后，部分互联网公司的应用产品开始进一步渗透的汽车导航、汽车行车电脑等零部件中，使得互联网公司与汽车企业有了深入合作的机会.2015年有诸多互联网企业都开始制造汽车，有的互联网企业是通过打造车机的操作系统、应用服务.使汽车内部可以获得更多的互联网服务,在无人驾驶的情况下，人们解放了双手，可以在车内浏览互联网上的内容.也许有一天，互联网汽车可以改变用户的清理习愦,成为互联网厂商争夺的第四大终端市场.汽车信息安全威胁分析基础架构安全威胁分析诊断接口(OBD),网关为了让大家更好的理解汽车结构，我这里用网络工程师的思路告诉大家，汽车是怎么工作的，如下图：首先我们的汽车电子元器件在车内都是通过CAN网络相连接的，电子元器件之间是通过CAN包进行通信的.CAN网络实际上就是个大的HUB,在CAN总线空闲时，所有的单元都可开始发送消息(多主控制),最先访问总线的单元可获得发送权.从对目前市面上的车型的分析上来看，多单元总统安全程度分三种.第一种是能够通过OBD接口读取到CAN总线数据的，并且能够通过OBD往CAN忌线内部发送数据.第二种是只能够通过OBD接口读到数据，不能够通过OBD发送数据.笫三种是需要根据J1939t办议下发诊断协议，才返回相应的数据,并且不能够通过OBD接口往总统发数据.至于那些诊断协议被破解的,那就只是工作量的问题.同时开始发送时，发送高优先级ID消息的单元可获得发送权.目前很多厂商要保护总线的安全对OBD接口进行了过找,要求不能够读到CAN总线里的数据.大多数都是通过使用网关漏离来做到这点的，目前针对不带有车联网且支持OBD2接口的汽车大务数都是使用这种方法来破解的.所以说对于OBD口的防护是需要厂商考虑的，是使用网关的模式，还是车载防火墙模式对于OBD口发起的CAN协议进行过戏.使用加密技术保护私有协议.遥控钥匙2015年在国内也出现过一族汽车钥堆破解的实例，对于汽车钥周破解一方面就是研究滚码的信号，一方面就是研究滚码的算法.对于滚码信号的破解在2014年的ISC大会上360UniCOmTeam就演示了这个实例.这里介绍1.滚动码是一个周期很长的伪班机码.例如有240.意思就是码的长度有4EIWMIU一下汽车滚码的原理：从上面这个原理可以看出来，如果我们能得到汽车当前滚动码"之后"的一个码，只要在窗口之内，就可以把车打开.怎样才能得到一个有效的，未祓使用的码呢？要保证滚码在发送的时候汽车没有接姆.那蹈须在T没办法三t钥晞号接触到汽车的情况下.录制下来汽车钻匙信号.然后拿到车边上进行圣放.这样就可以开启车门了.不过这种方法是一次性的.2015年11月份，由“神话”行动的Tfi18岁的安全研究者发现了汽车钥匙芯片Kee1.oq算法的漏科HCS滚码芯片和kee1.oq算法是目前很多的口门禁三½怩匙软硬件解;舫案,车主每次按下相匙的锁车犍、开车腿都会触发一次新的信号发出，车辆在收到信号后快速计算,决定是否打开车门,在这个命令的代码中，包含每辆车和钥匙的唯一且固定的识别码（序列号），以及每次命令加密过的同步值（每次操作之后同步值自动+1）.相匙雷发出一次命令，祖匙和汽车都会对同步值进行保存记录，汽车接收到命令后,必须对同步值迸行检给才会进行下一步操作.打个比方说,车钥匙发出同步值为v1.1.'的信号，车内保存信号为“10”,车辆检验两者信号差在某个范围内即可开门（防止用户可能无够中按过开关导致同步值不统一，但差值不会太大）.汽车电子防斐系统会判断车钥周的他和车内的值之间的这个范围是否会大于一定IIS界值,但是程序员没有考虑过,如果信号被威获，发一个计数值为-r的值，把这个结果跟汽车内郃值运算，得到的值就永远小于计数值的范囹差（16）,这样就可以无限次数的打开车门。破解钥起最好成本最低的一种工具就是Hackrf了，HaCkRF是一款全开源的硬件项目，其目的主要是为了提供廉价的SDR（软件定义无线电）方案，它类似于一个几十年前开始流行的基于软件的散字音预技术.正如声卡在计算机数字化的昌痰波形，软件无线电外设数字化无线电波形.可以利用Hadaf先艇期匙的中心垓率，收录信号，然后使用软件对信号进彳亍分析，解码，可以对于信号内容进行姐娼之后，发送出来，这样就可以实现对钥就破解的功能了.蓝牙钥匙在汽车较域还有一些手段可以实现车钥过的功能,比如说蓝牙钥匙，蓝牙钥进可以通过蓝牙连接到车载网络中，并且通过一个手机APP对汽车发起控制.这个功能固然很好，很方便,在没存钥匙，没有信号的情况下.可以替代n车!三的功能.经过我们研究分析发现，要实现蓝牙钥匙功能就需要接入到两路CAN线,因为要实现启动,和车身控制,就需要接入到动力CAN和舒适CAN上但是这样的连接方法，也将网关的控制弱化了.同时发现蓝牙钥匙连接的模块使用的是蓝牙2.0.密码是4位P1.N码，这陆寸于目前使用的B1.E或者蓝牙4.0技术要不安全的多.目前蓝牙4.0通过软件的开发可以实现随矶空码配对.这样提高了蓝牙连接的安全性.如果攻击者接入到蓝牙钥匙网络里中，可以往车内发起CAN指令是非席危险的.H究发现蓝牙根匙的APP应用没有进行安全加固，Dn凿凹立is三ms慧HjMiS或回用SIS语型而名yJsE£»、三邙洛回6生空岳魂今南曦瞬懑谴超1111HiSff11：小，i儆iiiii耀HUUIUU11UH!HIHHUUU11!?!ii3i!HmiiH11iiimtiiHmiiHiH11H11m11iHHigSSfcgg<g<gtttgKS3XSX*XgXSS*XM*X*SXSSXSXS*%X*SS*5KKXSf7r:r1.iii5SS!5SS'一工、；工4J，二二，：'*K”-三¾iiii.：;二二5人：,：-：；,叱子会受7：“川”4.*S,i-t,三i4iHaadeqaqddfVs£三"二XS.1SSSSS5S55555SS555555iS55S5S5iS55i!iS三蒜；件的:AXA-XAA-河;透，4«二JaA1.1.Im-*SS;U"*M755三三73.'三三三三三三三三三三三三s三三三三三77IM*H4i车联网安全威胁分析2015年Char1.ieMi1.1.ertChrisVa1.asek的在B1.ACKHAT2015议题-远程蹄T辉改统汽车震惊了整个汽车行业.车联网安全问逊正式拉开序幕.Char1.ieMi1.1.er&ChrisVa1.aSek在13.14年都发布过汽车安全的相关报告.在14年的报告中从车的攻击面、网络架构.物理总线都进行了评价，其中JeepCherokee的问题都是比较严重的,所以在2015年能够祓远程破帆首先是Char1.ieMi1.1.er使用了一个U盘越狱7Uconnect系统,然后发现系统存在fD-bus,这个服务允许匿名笆录，登录后可以进入到系统底层.这款设备同时还使用了RenesaS制造的V850ES微型控制器.据推测，V850ES的低功耗使彳马汽车在停车且发动机不再运行的情况下，能够确保调制解调器保持接收的状态.Char1.ieMi1.1.ertChrisVa1.ase发现V85O芯片的固件更新没有验证签名，所以编译了经过特殊构造的一个固件，刷箱到V850芯片中去，可以实现通过车机控制车身的功能.在对军教系统的研究过程中发现，这个车载系统有多个IP地址,其中D-BUS服务所对应的6667就口是对在Sprint网络中的，这样就可以通过Sprint的网络通过D-BUS服务匿名登录到钠中，通过醐写V850芯片，最终控制车身，这就实现了远程破解存在同类漏洞的汽¢.整个研究过程下来，可以发现在JeePCherokee的车联网系统中存在网络安全、系统安全、总线安全的问题.之所以有这茎安全问题，才能够让控制形成一条通路,批员远程控制汽车,实现最彻底的破解.如果Sprint网络不能够让汽车相互直接访问，这就降低了混洞的影响范围。在车机操作系统中没有匿名容录等漏洞造成系统权限的丢失，这就控制了攻击的入口，在V85O芯片中对固件的签名进行了验证，就不会造成对汽车的控制.报告的后文会提出攻防平衡的解决方案，立总就是阻断攻击链条，在击点区域接口做好安全防护和监控.Tsp平台安全TSP(Te1.ematicsServiceProvider)汽车远程服务提供商.在Te1.ematics产业燧中居于核心地位，上接汽车、隼载设备制造商.网络运营商，下接内容提供商.TeIematiCSR暗集合了位邑服务、Gis般努和通信服务等现代计算机技术，为车主和个人提供强大的服务：导肮、娱乐.资讯、安防、SNS,远程保养等服务.TSP系统在车联网架构当中起到的是汽车和手机之间通讯的跳板.为汽车和手机提供内容和流量转发的服务.针对目前众多隹车厂的调研结果来看目前大多数TSP是放在云端服务器使用公有云技术.月监ITSP平台就有T5分面临云潮的威胁.比如可以通过虚拟机逃逸到宿主机，再从宿主机倒!达TSP平台的虚拟机中获取TSP的核心接口,密阴，证书等关雁信息.横向控制其它的汽车.所以部若在云跳的TSP平台对于系统自身和依赖环境的安全至关重要.对于部署在整车厂自己的服务器中的TSP平台，则需要考虑抗拒绝服务能力，还有传统的IT防护,安全管理等因素.2015年2月份宝马的ConnectedDrive服务被曝出漏洞，宝马召回220万辆汽车，其原因是因为TSP平台和T-BOX之间没有使用HTTPS进行加密传输，泄露了包括V1.N,控制指令等信息.黑客可以利用伪基站，让宝马汽车的网络连接注册到一个假的TSP中，然后利用分折出来的控制指令给汽车下发指令，最终可以打开车门,启动汽车.如果TSP和T-BOX之间进行了传输加电，就不会被黑客逆向出控制指令格式和内容。如果TSP和T-BOX之间有身份认证的设计，就不会导致使用一个假的TSP给汽车发送指令.如果做了访问控制，也可以限制信息不被泄露,控制不会被劫持.所以根据这个案例，充分的认识到TSP的全要性，要在身份认证，访问控制，传输加橙这三个方面去设计TSP安全,同时在需要有防而放,防等改,防拒绝服务的设计形成一套整体安全昉护体系.AngriffMifBMWConnctdDrtvT-box硬件及架构安全车联网汽车内部是会有内置的一个moden将数州发送给它们的制造商,在大多数主机厂中的硬件名称叫uT-box*,这些moden发挥的作用各不相同：它们可能会症供访问乘客的互联网通道、向制造商发起遥测数据或者流量信息.或者会在车桐发生时发出案急服务警报.对于一些品牌来说，一款移动app允许车主通过app来控制车辆的某些功能，可能包括辅助加热系统或者对电动车上主电池的充电.这些app甚至允许对车门进行远程锁门即微.这个所谓的T-bo×拥有几种不同的变化.这一设备负责车辆中的多媒体,例如播放USB音乐文件或者利用内置的蓝牙免提装置配对移动电话.目前分析T-BOX的CPU是SH-4A,它是Renesa一款afi932位RISC皿渊.而GSM/GPRS/EDGE调制解调器让移动通信更为便捷,这款设备同时还使用了Renesas制造的V850ES微型控制器.据推测，V850ES的低功耗使得汽车在停车且发勘机不再运行的情况下，能缪确保调制解调器倒寺接收的状态.控制汽车的消息指令是在TBOX内部生成的，并且是使用T-BOX的蜂黄网络调制解调器的犷展模块迸行加密的，相当于在传输层面是加密，所以无法得到消息会话的内容，解决的方法就是需要通过分析固件内部的代码，找至咖密方法,瞪钥，才能够知道;会话的内容.所以需要对T-BoX进行拆解.然后把F1.ASH芯片吹下来，逆向固件.发现发送的控制指令，破解传输力嗜的密钥。还有的一些T-BOX出片的时候是留有调试接口的，这样就不需要吹F1.ASH就可以拿到程序了.所以对T-BOX的保护主要的关注点就是在如何防护固件被人拿走，保护好T-BOX内部的密钥.手机APP应用安全手机APP是车联网的控制端,同时也是最容易被黑客攻击的一点，因为拥有一辆车很难,但是拥有一个手机的APK简单，在互联网上很多主机厂会把手机APK放到应用商店里，供用户下载,通过对APK的逆向分析直接可以看到TSP的接口，参数，请求内容等信息.2015年我们对10余款的隼联网手机APK迸行逆向分析发现，有一找APK没有迸行混淆和加壳,这样的就可以通过源代码直接来分析过程.有的进行了混淆，但是克的安全强度还不够.还有一些是做了加光,但是没有做混沿.只要能够脱光就可以看到整个APK的内容.从内容上来看，有80%的主机场使用的AES加密方式，但昱都还是把军钥亘接放在APK内.所以对于APK流量的解空就只是工作量的问题，同时有很多重要的控制接口调用，都是存放在APK内的,所以这样的安全保护不能够足以应用在车联网中.我们认为军联网的手机APK要求具备与网上很行APK拥有同样的安全能力，能够在恶劣的网络环境下，安全的国亍自己的APK,保障信息不会被泄露，保隆控制会话不会被韧寺,所以在手机APK安全防护这个阶考虑的就是防重放.防熊改、防耐丁包、防调试.NGTP协议实现安全NGTP是车联网平台的应用框架,NGTP2.0较2012年的老版本变得更为强大.这种优势体现在使用非关系坦数据库monogdb上,对于Te1.ematics而言皆牲存储来换取I/O性能的俎升是一个明智的选择.mongodb的运作原理保证了所有军机和服务端业务逻辑在异步执行时的唯一性保防,如下图，从TU车机罐发起请求后经由Network组网，再经过Dispatcher应用分发后进入mongodb库快存，然后完成IF2和IF3的业务过程.当最终该服务被递交到业务数更岸Database的时候，已经是凌蛔时序第六步了.所以我们很容易发现在逻辑时序第三步的时候，mongodb是侑得深入研究和开发的.这样架构的代价也是很高昂的，第一整个NGTP2.0的逻辑技破坏，时序被打断.第二TSP逐辑位H被Si后了，即存在了一个更高效更靠前的类TSP组件，其他已接入组件整体变低效,如已经和TSP接入的SAP,DCS,CRM系统的业务逻辑也可娥打断.当然它们可以再往前接入。事实上,发生了如下图所示的情况.在客户端实现fHTTPUR1.级的PoST方法.该方法旨在将一个约定的字符串提交到Dispatcher服务器上.其中字符串包含了服务器操作阀伯,如果服务篮对客户端请求没有安全逮“ri、*111.f,1-B“3JtOoCMWoOUf,fmMer*>yj，5*t宏国QBnS.”wwn”一'-*Ffe三.eft><(*)<irt*,tfMir(aett*)wr>.f7<¾WC<rrwy<y<Tm*if?£5*77-W*cw.rt*v*t);3"E3IK6*tftK<)ii.HrtMhtvff.<toa<);Wv<f1.s>Kf<S<rM”就可以造成通过在TSP应用上面的一些SQ1.注入、跨站、命令执行的问感.所以在使用NGTP框架进行开发的时桃,要考虑套用安全框架过也请求参数的内容，类型等.智能网联汽车安全威胁分析在中国，智能网联汽车的发展也被提升至国家战略层面的高度.今年，国务院发布中国制造2025发展战略，其中首次涉及智能网联汽车的发展.按照规划，在智能网联汽车方面，2025年我国将掌握自动驾骏总体技术及各项关键技术，建立较完善的自主研发体系、生产配套体系及产业群，基本完成汽车产业转型升级。智能网联汽车可以提供更安全、节能、环保'舒适的出行方式，是城市智能交通系统重要组成部分，也是构建绿色汽车社会以及智总城市的核心要素.智能网联是指搭载先进的传感器、控制器、执行器等装置，并融合现代通信与网络技术，具备复杂环境感知、智能化决策、自动化控制功能，与外部节点间实现信息共享与控制协同，实现“零伤亡、零拥堵"，达至岐全.高效、节镭驾驶的新Tt汽车.2015年我们对于智网联汽车的1专感器和通信方面的技术进行了一些安全研究，是可以通过干扰设备.造成智能网联汽车,甚至于无人驾骏汽，偏行、紧急停车等.超声波雷达超声波发射仪发出短暂的40KHz信号,反射后的超声波经超声波接收器作为系统的输入,单片机对此信号进行技术判断处理后做出告警。目前对于超声波雷达的攻击成本可以控用J在100块钱以内可以完成.只要控制一个超声波设笛发送跟汽车同样周期，同样频率的波.这时就可以干扰汽车.干扰后可以达到让周围的障碍物0身等效果.经SH究发现，目前自动驾驶或者无人驾驶汽车都会采用超声波传感器对近距的干扰源进行探测，根据自动驾驶的算法会采取避让或者是急停的措施.在这种驾驶环境下，只要干扰一个超声波传感器就会造成整车的控制措施被干扰,当自动驾驶和无人驾驶汽车日趋成熟的时候，超声波传感髭的弹性设置和算法过也会成为一种安全手段.亳米波雷达目前市面上成熟度较高的自动驾驶汽车者瞅用的是亳米波雷达.大部分果用的是单远距混忘米波雷达，探测范围能够达到150米，使用的是77-79G的频段,同时车身周围配雷4个短距盅的恋米波雷达，探测范围境够达到50米，使用的是24G频段的毫米波雷达，这样的设计在车道保持，自动变道等方面提高了安全性.对于单事米波雷达的欺骗攻击目前也是存在的.可以伪造障碍物干扰碓米波缶达判断，总后可以遍停自动驾9史汽车或者干扰偏离自动驾驶.如果要实现抗干扰，还是需要在亳米波雷达测距时，对于波形的叛军，周期做TS帔设置.后清摄像头高清摄像头是智能网联汽车的“眼睛”，通过高清琅像头可以识别车道，道路标识，判断前车的车速，判断行人的速度,从而做到行人保护等功能智能网络汽车的算法也是参考思洁摄像头采集的数据结合传感器采集到的数浏做的综合处理，»终做出邦新的.针对目前高清摄摩头的攻击方法，大多数都是采用强光导致现象头致古的方案.有的也可以构造4三的识别图形导致摄像头失效.不过构造图形是要在逆向摄像头图像识原J算法之后才能第达到的，这种的技术I.泗比较高，难以实施.对于高清堤像头的攻击，日后也有可能会成为一类热点,有的是从图像识别层面去攻击，有的也有可能会从车身网络传输方面进行攻击导致摄像激光雷达一个障碍物存在.而且可以模取汽车、墙壁、行人等好几种障碍物的信号反射,同时还能"克隆出"好多个信号爸份，造成障碍物在移动的假象.除此之外他还可以简单地对激光雷达的追踪系统执行“拒绝服务式攻击工筒单来说就是禁用雷达的整个追踪系统，让它无蛾射激光信号也无法接S1.1.反射信号.这样激光m达传感器就不能追踪真正的障碍物.使用Petit的设备，可以达到以雷达为中心，前部.恻面以及后部各100米的覆盖面枳，（榛成距车20到350米处有障爵物的情况,事实上，目前没有一家雷达厂商认真想过如何面对这种攻击.”略作盘点我们就会发现，包括谷歌、奔驰.福特在内的企业都使用了这种激光雷达来打造他们的自动驾驶汽车。SecurityInnovation的首席科学家Petit通过这个案例索要强调的是，关注安全问题要趁早，“解决安全问题的方法有很多种.一个强大的激光雷达检测系统在遇到错误检测时会参考其他数据，这样就能过遮掉干扰数据.但是研究自动驾蚊的车企有没有行动起来解决这些问旗,我们就不得而知了IBEO1.ux的商用激光雷达单元的信号.由于这些激光信号不会披编码、加密,因此黑客随时可以击播信号.唯一要注意到的一点，但支巧，就是在窗这发出信号后找个合适时间点把激光信号反馈给雷达，造成遇到耳得物后回传的蜂.自动驾驶汽车接至蛆些伪造的信号后，就会确信某个地方有1.ocationtracking,802.IIPco1.1.ectinformationaboutme,mycar,andmysurroundingsstoreinformationprivacyinferences车际通信系统的核心是无端传输技术，它可将一个个的单车信息孤息联成一体,更好地支持移动环境、增强安全性等。IEEE802.11p,又称WAVE.Wire1.essAccessintheVehicu1.arEnvironment,是由IEEE802.11标准扩充的通信协议，主要用于车载电子无线通信.可以在汽车之间进行，也可以在汽车与路边基础设施网络之间进行.从技术上来看，它进行了多项针对车用特殊环境的改进，如更先进的热点切涣、更好地支孑移动环境、增强了安全性、加强了身份认证等.因为802.11P是基于IEEE802.11即议族的，虽然在应用层面上都已经有了身份认证和传输加密的安全措施，但是在链路层上的通信是没有加密的，目前可以根据错路层上的标识具体定位到某一徜汽车.通过在路上抓取标识，就可以实现对于汽车的j¾新能源安全充电桩基础设施电桩是新般源电动力车的电站，每个充电桩都装有充电插头,充电桩可以根据不同的电压等级，为各类电动车辆充电,电动汽车充电班采用的是交流、直流供电方式，充电时，需要刷充电卡，充电桩显示充电量、充电时间以及费用等数据，并打印单据，可实现计时充电和计量充电功能.由充电机组成的网络叫做'机联网"，目前很多桩联网的解决方案都是承载在传貌以太网,或者是无我传输网络当中.充电班控制模块的P1.C电路通过以太网与告理系统连接，在整个网络内部是没有任何防护，如果可以通过互联网入侵到板联网，就可以的怠对汽车充电电压迸行控制，对充电金砌行修改.这些也是需要注息的一些陡思.电池管理系统电动车上的三电技术：电池、电机、电控技术是电动车最核心的技术.因为这三项技术与电动车的续航里程、加速性能等息息相关.电控中最核心的功能就是电池管理系统(Batterymanagementsystem)简称BMS.要是没有这个系统，动力电池的充放电、使用寿命都会大打折扣，BMS系统就会根据每一个电池单体的实际情况来分配如何为电池充电，哪一个电池单体已经充满可以停止给它充电等,并且在使用过程中，通过状态估算的方式牖定每一簸电池的状态,通过SOC(StateOfCharge).SOP(StateOfPower).SOH(StateofHea1.th)以及均衡和热管理等方式来实现对电池的合理用,针对电动车的核心豉术日后可能会出现通过攻击BMS的算法从而杉响电动车电池性能的攻击.汽车信息安全最佳实践智能汽车信息安全模型首先要明确对智能汽车的信息安全保护对象.前面主要介绍了一些安全风险，这些安全风睑在传统汽车中是不具存在的，只有当汽车智能化，网联化以后才有可能被攻击.依据,攻防平衡”的原则，因当对智能化，网联化的系统进行具体的专项防沪.结合参考日本IPAVehic1.einformationsecurityguide内容，目前针对汽车信息安全制定的模型如下图：盗等系统的通信，称为车身网段.这些网段之间的访问需要有网关来1故整体的控制.SX.针对传感单元、智能控制系统的安全保护级别要求最高.其次是电池管理系统需要进行具体有针对性的保护.需要采用陶圈技术对车身多个网段进行安全域隔商.由于EMS、TCU.ESC.EPB、EPS节点信号交互痰繁、集中,故将这些节点划分为一个网段，负责动力、制动、安全、转向、车身隐定等系统的通信，称为动力网段；将BCM、IC.VIS.ACU.TPMS.PEPS划为另一个网段，负责车身、娱乐、信息、舒适、防以攻防平衡为核心的安全评估安全评估是能第快速有效的检测出整个系统的安全状态的全貌,可以看到整个系统的脆弱住存在的方面，后期可以根据安全评估的结果对系统薄弱的环节进行防沪.通过安全评估可以梳理出来攻击建,采用一定技术手段，进行加固，降低网络攻击造成的扳失.安全评估主要分为五个阶段.首先要确定评估?SS1.,包括系统的资产清埴,拓扑图,系统功能介绍等.然后根据评估范围制定评估计划，评估方法，并确立一个评估目标.在实施评估过程中会从多方面角度去恰直系统的安全性，涉及多中检杳方法.评估结束后会输出安全报告供主机厂参考，对系统迸行加固.加固完成后,进行nx窗正，琬定漏河不存在,而且在漏洞作豆后没有新的风殓.或者出现次生风险,通过完成安全评估后，会发现有些问题可以通过加固来解决，有些则需要调整架联网平台，对于安全事件能终快速的,积极响应构，采购安全产品.基于全生命周期的安全咨询针对未建设车联网系统的主机厂，可以考虑针对车联网安全生命周期安全开发省理咨询服务，通过该服务可以在规划设计阶段就可以把安全需求落入到车联网系统开发过程当中，对于开发人员的安全意识培训也进行同步培训.在系统建设阶段对各方面的安全要求开发程度进行检亘,在上线验收阶段诳行安全验收从而保证系统自身的安全性,后期进入安全运维阶段需要有专职的人员对安全策略进行调整,在系统退服阶段，也要保证数据的安全性等.车联网屋于移动互联网系统，由于车辆终端自身的移动性较高,未来级量较多.所以传线的安全昉护手段是无法满足移动互联网安全的需求，这里的核心原则是打造能够"自主防IT的车能够防范未然的大数据监控我们把安全能力按照事情状态的发展进度分为三级.首先要能够做到事后分析，发现了攻击事件，应该能够快速找到新词,并且根据线索查找到攻击源，降低由攻击带来的损失.第二个级别是事中防御主要通过各方面的监控平台进行事件监控，发生攻击事件时可以快速顿急响应，阻断攻击，并且分析攻击的漏洞,快速地更新补丁.可以在被攻击成功之前切断攻击.AS后一个级别是事前屉知级别，通过对自身系统的漏洞的主动研究，关注国内外应用技术的威胁情报，结合大数据分析，可以预测到在车联网应用技术存在市大漏洞时，自身系统可能会受到危害,可以提前采取其它方式进行安全防护，降低攻击发生的可能性.用快速响应降低安全风险带来的损失对于很多主机厂没有专业的团队研究车联网的安全，可以建立一个应急响应中心去公开征集混洞，一方面在白馆子发现了你的漏河之后，可以有一个正常的报送途径，这样不会出现漏洞被恶意披露的情况.另一方面这种方法可以主动鼓励很多人研究车联网系统发现更多的问题，主动的去修豆解决问题,这样就可以在安全事件发生之前把混洞修豆上了.最后也降低了主机厂去专门总价培养人才的成本,这是T-举多得的好方法.Tes1.a努挖谷族安全团队的负责人，负责特斯拉？1车的安全，据报道所知Tes1.a安全部门现在有10余人以上.Tes1.a有自己的应急响应中心，收取自己捐住网站的菽同，自己汽车上面的漏洞.wcyCMaMWaCypaICyUS5HvborCuttwPhecyMcyTmUUpdatMPatentsPMtPto49PatontUa1.T*vmo*UwAece1.HumanMCorAcfUrwAtoPttfcyMOmwtttrWOtfityS«x*WyVt>waMApo>ngPo1.cyTmU&K»r«rRMMfCAerHaf1.ofF*vwSecurityVu1.nerabi1.ityReportingPo1.icyTm*v*uVwwoe*tfbyWCurffyeM*crtC<npro*gtheMCurtfyofMPfOdUCtBndsertcoHormgWareOCNVVnQedtowc*w>gw*tEOommCntyIovry.reproduce,f1.11dr*pc>¾9Io*po*Mdwvi11bMWnc0M9*COfnnMM><fOPmKMMt.Satwpo11sb<rtptxwgn>oMItyouaMcrt!yfMrctwandIMtoreportwcu<yWrab*ty.CMMM11danrmtounrabMy<NMWnorcomRmp*wdyorrwm.ooraet11onWaacomryHameOtMcabMmvMChriPnortr*X9wMtonovy13<tcrts-PiaaM<dudyourPGPut>1.cfWehBUCAfportDewrMdMTMteMotor*tCPSM>omib¼DHc>mmGttf*MWw<*v*bM¼9tam4r*po11BandevwyHo<t«0<Mcarcovdanyv>wM.ToncouragrtoonvMrptfrWeCommtWtS“EUM1.9a1.acbonQ*mtyouOrMUNV8OrCem411ttomvMfi9MyouNyouco*«»ttwMovm9pon>b*Odcmr0udWw* P<wc>(Mai1.ioftMnr*bAty.VK1.Uor9GIomSeQnrwddtorerodjc