近年来随着人工智能、和网络技术在汽车行业的加速渗透,智能网联汽车已经成为行业公认的发展方向。车辆功能更加多样,数据信息更加开放,而与之伴随的是网络安全风险点明显增加,并由此导致了针对汽车产品的网络安全事件 大量爆发,引起了国内外公众的普遍关注。
在此背景下,国内外政府、网络安全技术公司和汽车企业都在积极开展相关研究,从政策引导、标准规范到安全风险分析和防护技术研发等各个层面展开工作,努力建立健全智能网联汽车网络安全保障体系,并取得了初步成果。
本白皮书涵盖行业内网络安全态势解析、智能网联汽车网络安全威胁分析、车辆资产识别、关键安全问题解析、测试指标体系等内容,为针对性地开展网络安全防护技术研究提供参考。
智能网联汽车安全渗透白皮书2.0
(2021年)
▼
(全文略)
信息传输安全测试从车内网络安全和车云通信安全两个方面开展。车内网络安全主要针对车内网络设备(T-Box、IVI 等)系统的安全性进行测试,测试内容包括虚假消息入侵、代码/数据未经授权修改、会话劫持或重放攻击、未经授权访问敏感数据、拒绝服务攻击、获取车辆特权控制、病毒及恶意消息。车云通信安全主要针对汽车和云平台通信的安全性进行测试,测试内容包括车内通信网络连接、云端对外通信接口、通信协议。
外部连接安全测试从Wi-Fi、蓝牙、无线钥匙和卫星导航四个方面开展。Wi-Fi安全主要针对车机通过Wi-Fi与外部设备连接的安全性进行测试,测试内容包括启动/关闭、连接状态显示、配置方式显示、通信连接、钓鱼Wi-Fi、端口扫描、漏洞探测。蓝牙安全主要针对车机通过蓝牙与外部设备连接的安全性进行测试,测试内容包括启动/关闭、连接状态显示、通信认证、漏洞扫描等。无线钥匙安全主要监听无线钥匙通信内容查看是否存在漏洞,测试内容包括认证校验、通信加密。卫星导航安全主要针对汽车导航定位模块的安全性进行测试,测试内容包括GPS干扰、GPS欺骗。
数据安全测试从代码安全、个人信息安全和数据非授权篡改三个方面开展。代码安全主要针对车机应用和手机应用的代码安全性进行测试,测试内容包括代码提取、防调试、防逆向分析。个人信息安全主要针对车机和手机应用的个人 信息安全性进行测试,测试内容包括个人信息存储、未授权访问。数据非授权篡改主要针对车机和手机应用敏感数据的安全性进行测试,测试内容包括非法篡改用户交互数据、用户数据清除、密钥安全、证书数据安全、车辆行驶数据安全、非法篡改诊断数据、非法篡改操作系统日志。
物理非法操控从OBD安全和USB安全两个方面开展。OBD安全主要测试内容包括总线间数据包传输、总线数据协议、访问控制、非授权设备告警。USB安全主要测试内容包括文件传输安全、非授权设备攻击。
来源:中国软件评测中心
在线咨询
在线咨询
0371-63319761