全职猎人1999_日韩综合社区_久草播放_黄色a一级一级一级免费看_午夜在线视频一区二区三区_国产日韩精品SUV

400-821-6015
行業資訊
您當前的位置:首頁 ? 行業資訊 ? 行業資訊
內部資訊行業資訊

談談車輛信息安全工程落地的難點

發布日期:2024-12-27
作者:開心果 Need Car
出品:汽車電子與軟件 



#01 前  言


      當下,汽車產業正在進行著深刻的變革,不斷地朝著“四化”(智能化、電動化、網聯化、共享化)方向進行著轉型升級。而這一進程中,需要依賴車載控制器作為支撐。那么,控制器支撐的核心又是什么呢?就是它所承載的軟件。所以,SDV(Software-Defined Vehicle ,軟件定義汽車)已不在是一個時髦的詞匯,而是真實的扮演著舉足輕重的角色。但是,車載控制器軟件的開發并不是一個簡單的過程,在它工程落地的過程中,會遇到各式各樣的問題,在 ETAS 最近發布的白皮書《汽車微控制器軟件開發的五大挑戰》(1)  中,總結了五個方面: 高度集成任務、標定過程復雜、測試和調試耗時、可拓展和靈活性的限制、整體網絡安全需求。
      既然車輛需要變得更“聰明”,就需要控制器之間進行大量的信息交互,也因此,這些交互的控制器構成了局部網絡。當車輛內的各個局域網的信息進行交互時,又構成了更大的網絡簇。更進一步的,車輛網絡與外界交互時,車輛就成了一個網絡移動終端,成了萬物互聯的一部分。當車輛成為網絡的一份子時,它不得不面對復雜的網絡威脅和攻擊。因此,網絡安全就不得不引起我們的格外關注,更具體的說:車輛傳輸和記錄的敏感信息安全,不可忽視!


1.1 車輛信息安全的定義

      那么,什么是汽車信息安全(Vehicle cybersecurity)呢?按照法規(2)解釋:汽車的電子電器系統、組件和功能被保護,使其資產不受威脅的狀態。


#02 車輛信息安全的現狀


      不可置否,車輛信息安全已經進入法規強標階段。出口海外的車輛,需要滿足聯合國世界車輛法規協調論壇(簡稱為UN/WP.29)發布的R155和R156要求。在國內,《汽車數據安全管理若干規定(試 行)》于2021年 10月 1 日起施行,《汽車數據通用要求》于2024年8月23起實施,《汽車整車信息安全技術要求》將于2026年1月1 日起實施...

      由此可以看出,車輛信息安全已然成為軟件開發不可忽視的問題。那么,為什么車輛信息安全近些年會引起如此關注和重視呢?甚至于通過法規進行強制性約束呢?這與近些年不斷攀升的信息安全事件密不可分,部分車輛信息安全事件如下:
     (1)豐田汽車數據泄露事件。2023 年 5 月,豐田汽車公司發布公告稱,由于云平臺系統配置錯誤,約 215 萬日本車主的部分車輛數據在近十年間處于公開狀態,包括車載設備 ID、底盤號碼、車輛位置信息等(3)
     (2)蔚來汽車電池數據被篡改事件。2023 年 5 月,蔚來汽車的電池數據被篡改,犯罪團伙通過將事故車和故障電池組的數據寫入完好電池組,使其可以重新充電上路(4)
     (3)高通芯片黑客攻擊事件。2024 年 10 月,高通公司發現其多達 64 款芯片組中存在嚴重漏洞,可能導致內存損壞,黑客可以利用這些漏洞對智能網聯汽車進行遠程控制,威脅車主的生命安全(5)
如上的汽車安全問題事件很多,近些年更為突出。據 Upstream 發布的《2024 年全球汽車網絡安全報告》顯示,近 5 年汽車安全事件不斷攀升,如下所示: 

圖片


2.1 車輛面臨的信息安全威脅
      那么,造成車輛信息安全問題的途徑有哪些呢?車輛被攻擊的路徑包含車內和車外兩條路徑。
      車內信息安全威脅源主要是持有惡意攻擊軟件的 ECU。車外信息安全威脅源包括:外部設備連接,比如:通過 OBD(On-Board Diagnostics)連接的診斷儀等外部設備,Debug 調試口,XCP 標定口,OTA(Over-The-Air)、藍牙、WIFI 等。示意如下:
圖片
      如上是我們可以直接想到的攻擊路徑,具體的車輛網絡攻擊方式遠比我們認知的方式多的多。相比以往,2023 年,網絡攻擊變得更為復雜和頻繁,攻擊的目標包括各種車輛系統和組件,以及智能出行平臺、物聯網設備和應用程序。新的攻擊方法讓行業深刻認識到:任何連接點都可能成為攻擊的目標(6)

      按照按攻擊載體劃分的網絡安全事件分布如下: 

圖片

注:圖片來源資料 6


#03 車輛信息安全的工程落地問題


      面對嚴峻的車輛信息安全事件,從控制器軟件供應商到 OEM 都已深刻意識到車輛信息安全的重要性。但是,這并不等同于可以開發出符合預期的軟件,那么,車輛信息安全的工程落地,到底有哪些難點呢?


3.1 信息安全的需求解讀

      任何軟件的開發,第一步就是搞清需求。只有準確理解需求,才有可能開發出符合預期的軟件。目前,信息安全在項目實施過程中,需求握手還很難一次性達成。很難一次性達成的原因大致有如下幾點:
      首先,汽車行業從業者對信息安全的需求認知薄弱。不同于互聯網行業,車輛信息安全在汽車行業剛剛興起,所以,汽車信息安全工程師解讀需求還需要時間以及工程項目的沉淀。
      舉例:信息安全中有“驗簽”(verification)需求,可是在拆分需求時,有時系統工程師也分不清驗簽的工程使用場景,進而導致對具體算法的使用場景一知半解。所以,在理解需求之前,需要理解清楚驗簽的使用場景。首先, 軟件程序升級時需要驗簽。其次,每次控制器上電,運行程序前需要驗簽每一個需要執行的程序。需求初步分解示意如下:

圖片 

      需求理解到如上顆粒度(Granularity)就可以嗎?不能。實際的工程中,不同控制器,芯片選型不同。不同的芯片類型,能滿足的信息安全功能程度又不同,或者說對應的信息安全功能硬件化程度也就不同,需求也就不能一概而論。所以,信息安全需求解讀難的第二個點就是對使用的芯片認識不足。對于信息安全系統工程師而言,針對信息安全需求的拆解必須結合項目使用的芯片類型。但是,如果要了解芯片特性,就需要“啃”那厚厚的芯片手冊,而這無疑是耗費費力的事情,甚至會讓不少系統工程師望而卻步。如果不能深刻的認識芯片,那么,在信息安全需求溝通中,就可能產生理解偏差,甚至產生開發結果與需求不符的窘境。

      這里舉一個工程案例:需求要求實現隨機數功能,如果所用芯片支持真隨機(True Random Number)功能,則隨機數必須由硬件實現。
      如上需求表明了隨機性功能的實現優先由硬件實現。可是,工程師沿用了之前軟件實現的方案。這問題之所以被暴露出來是因為軟件升級過程中,診斷獲取的隨機種子偶有全 0x00 情況,細致追查發現:軟件的隨機性實現存在一定的 Bug,偶有返回異常,進而返回全 0x00 工況。這個問題看似簡單,但是,如果需求沒有充分解析并執行,那么,就可能引入更多的 Bug。
      當然,信息安全對汽車領域從業者,不僅新,而且,隨著信息安全的需求不斷擴充,使得需求需要解讀的信息量不斷增加,這亦增加工程師的解讀成本。


3.2 信息安全的開發難點

      通過需求拆解以后,對于軟件開發工程師而言,就需要設計軟件架構,之后,按照軟件架構實現信息安全的功能。信息安全軟件的實現又難在哪里呢?
      首先,軟件架構不統一。在實際項目開發過程中,軟件工程師很多時候會從其他的項目中“搬運”已有的功能,如果搬運的功能模塊與新的項目軟件架構沖突,工程師往往會做一些手動修改,如此,就會引入未知變量,增加潛在軟件漏洞。

      舉例:工程中可能會遇到這樣的場景,即:只有 HSM 的軟件包,但是,Host 端的軟件程序沒有配套的信息安全軟件接口。為了降低成本,需要工程師開發對應 Host  的信息安全接口。如此,帶來的直接問題就是兩者的框架不統一,而這就是一個安全隱患。軟件架構設計中,某個功能的實現由一個工程師完整實現能最大程度的保證一致性,如果一個功能由兩個或者多個工程師實現,則很難做到預期的一致性。 

      示意如下:


圖片

      其次,軟件調試困難。軟件開發的好壞很大程度上依賴軟件的調試環境。調試軟件不僅僅需要價格昂貴的硬件調試設備,還需要對應的調試軟件,這些軟硬件設備的使用需要工程師的儲備,這無疑增加了軟件開發的困難。

      這里以英飛凌 TC3xx  芯片的信息安全調試為例。如果一個信息安全工程師需要調試信息安全功能,基本的硬件環境包括:包含所需軟件的電腦、調試器硬件、目標控制器對應的芯片。示意如下:
圖片
      軟件的編譯需要對應的編譯器(compiler),而且編譯器需要支持信息安全工程的編譯與非信息安全工程的編譯;軟件調試,調試器需要對應的軟件,調試的信息安全,如果包含異構多核,調試器則需要多個 license,以便于支持多核調試。實際的開發中,除此之外,工程師還可能需要了解第三方工具的配置和使用環境,eg:MCAL 配置 工具,BSW 配置工具等。
      再次,手動軟件質量不可控。實際的工程開發中,有些功能屬于項目特有的,這些功能無法通過工具鏈自動化實現,因此,需要軟件工程師手動編碼實現。手動編碼的質量很大程度上依賴于工程師的編碼水平和對需求的理解,所以,這也在一定程度上增加了信息安全開發的難度。


3.3 信息安全的測試難點

      軟件開發完成以后,工程的接力棒需要遞交給測試人員,由測試人員通過壓測識別出軟件潛在的漏洞。那么,對于信息安全來說,測試的難點在哪里呢?
      首先,測試用例設計難。由于測試人員和開發人員的屬性不同,測試人員往往不關注實現的細節,因此,也不會過多的關注芯片手冊信息。但是,脫離了這些細節信息,往往又會使得測試人員難以理解測試的需求,進而在設計測試用例時,會出現測試邊界模糊,測試方案不準確的問題。
      其次,測試設備使用成本。信息安全的測試中,需要用到的測試設備或者環境不同于傳統開發,因此,具體信息安全測試前,需要測試工程師對信息安全的測試環境有一定的經驗。而且,信息安全功能需要與 Host 進程(eg:Bootloader 工程、Application 程序等)進行交互。這樣的交互系統,無疑增加了測試的復雜度。對于測試人員,這樣復雜的系統交互場景,靠傳統的測試工具并不能達到測試目標。
      Host 進程與信息安全進程通過IPC(Inter-Process Communication, 進程間通信)交互的場景,示意如下:

圖片


      再次,白盒打樁測試強依賴開發環境。信息安全的測試中,部分測試需要通過軟件打樁的方式進行白盒測試,而這無疑增加了測試的難度。具體難點:信息安全工程師需要有一定編碼能力,同時,需要知道如何編碼對應的信息安全功能接口,進而達到條件修改測試的目的。
      除了如上的測試困境以外,還需要考慮測試的如下問題:CWE  (CommonWeakness Enumeration)缺陷測試。既然信息安全工程是一個獨立的軟件進程,首先需要確保該工程的可靠性,盡可能的通過軟件的靜態測試和掃描(eg:TESSY 測試等),發現可能導致安全問題的編碼錯誤或者設缺陷。當然,隨著車輛接入網絡的程度越來越高,網絡攻擊的途徑和方式也越多,在成本允許的條件下,可進行滲透測試(Penetration Testing),以此識別出系統中的安全漏洞。你可能好奇:對于MCU級的控制器,有這樣的攻擊場景嗎?有。網絡的攻擊已經不僅僅局限于以太網。CAN總線的攻擊也變得越來越多,比如:CAN DOS(Denial ofService,拒絕服務)攻擊、CAN  報文竊取、CAN報文重放、CAN 報文丟失等。所以,這些測試用例的設計和覆蓋,本身亦是一個艱巨的任務。


#04 結  論
      面對復雜多變的車輛安全威脅,法規不斷強化信息安全規范。然而,信息安全的工程落地依然面臨著這樣、那樣的難點。這包括信息安全需求解讀難、開發難以及測試難等諸多問題。如何應對這些難點,使其真正的落地工程,還有很長的路走。



參考文獻:

(1)易特馳白皮書發布-汽車微控制器軟件開發的五大挑戰

(2)GB 44495-2024《汽車整車信息安全技術要求》

(3)https://mp.weixin.qq.com/s?__biz=MzAwMDE1NzIwMw==&mid =2652221905&idx=1&sn=4643d5a5fecb34ea6a3b5029d2f5fd77& chksm=810c22adb67babbb36419ef2c6f92316ac1d3025648530061 c53f968fc98a87d61d0a42844ff&scene=27

(4)https://news.sohu.com/a/808555084_121738491

(5)https://baijiahao.baidu.com/s?id=1815249214872984940&wfr=spi der&for=pc(6)Upstream_2024_Global_Automotive_Cybersecurity_Report.pdf

上海創程車聯網絡科技有限公司版權所有 滬ICP備11045498號-1   技術支持:網站建設
主站蜘蛛池模板: 秋霞福利视频|亚洲精品1234区|国产一级久久久久|在线91|国产做=a爱片久久毛片=a片|天天爱天天做天天做天天吃中文 | 广东少妇大战黑人34厘米视频|日韩午夜在线|国产=aⅴ激情无码久久久无码|精品人妻无码一区二区三区色欲|日本阿v天堂|亚洲视频在线播放 | 亚洲欧美一区二区精品中文字幕|免费=av网站在线|国产=av日韩=a∨亚洲=av|成年=a级毛片免费观看|五月丁香六月综合缴情基地|日本又黄又粗暴的gif动态图 | 亚洲乱小说|未满十八18禁止免费无码网站|日韩=av免费网址|在线国v免费看|人成午夜大片免费视频77777|亚洲激情影院 | 亚洲激情在线观看视频|一区二区和激情视频|亚洲男人的天堂色偷免费|女人被爽到高潮视频|久操社区|亚洲无色 | 亚州一级|国产精品毛片视频|成人免费视频播放|综合免费视频|女人体1963|欧美人与动牲交视频在线观看 | 最新精品国偷自产在线老年人|国产青涩|日韩精品久久久久|九九99久久精品国产|亚洲=aV无码有乱码在线观看|91精选视频在线观看 | xvideos国产在线观看|国内精自视频品线一区|国产免费久久精品99RESW=aG|又大又长粗又爽又黄少妇视频|毛片大片|成人一区二区三区在线 | 欧美成人一二三|一区二区国产在线|欧美黑人激情性久久|欧美性大战久久久久久久蜜桃|亚洲色播爱爱爱爱爱爱爱|亚洲日本二区 | 日韩=av在线中文|三年片在线观看大全中国|日韩视频在线观看中文字幕|91在线看免费|免费人成在线观看视频无码|一个人看的视频www在线观看 | 亚洲妇女多毛撒尿XXXⅩ|黄色毛片黄色毛片|公和我做好爽添厨房|日本韩国最新免费观看|日本=a∨精品中文字幕在线|国产免费拔擦拔擦8X高清在线 | 色一色成人网|久草在线影|精品视频在线观看99|国产香蕉尹人视频在线|亚洲=a∨好看=av高清在线观看|亚洲欧美日本在线 | 日韩美女啪啪|911久久|国产男女性潮高清免费网站|亚洲国产精品精华液=ab|国产精品视频自拍|毛片在线观看视频 | 中文字幕在线中文乱|精品videossexfreeohdbbw|青青青国产在线视频在线观看|91国在线视频|性xxxx搡xxxxx搡欧美|婷婷中文 | 亚洲女人天堂在线|四虎福利影院|日韩视频在线观看视频|欧美日韩成人一区|黑人异族巨大巨大巨粗|超碰在线c=ao | 国产乱人乱精一区二区视频|97性无码区免费|色七七在线|亚洲=aV无码区在线观看东京热|免费看啪啪人=a片=a=a=a片|乱老熟女一区二区三区 | 野花社区WWW在线全网|久久在线观看|日本久操|久久黄色小说|亚洲=aV无码一区东京热久久|成人无码小视频在线观看 | 操逼视频软件|免费=a级毛视频|超碰最新在线|免费无码又色又爽又黄的视频软件|jizz亚洲国产|极品少妇的粉嫩小泬看片 | 久亚洲精品|91麻豆影院|久久人人射|日韩免费观看|色先锋=a=a成人|欧美一级视频 | 综合亚洲网|亚洲综合成人亚洲|日本精品一区二区三区在线观看|粗大猛烈进出呻吟声的视频|绝世武魂短剧免费观看|黄色一级免费大片 | #NAME?|人妻被按摩师玩弄到潮喷|我要一级毛片|国产精品一品道加勒比|亚洲黄色自拍视频|欧美久久免费 | 免费观看=a级毛片在线播放|特极毛片|男男做爰猛烈叫床视频gv|亚洲日本在线在线看片4k超清|一级黄色免费观看视频|亚洲第一福利网站在线观看 | 中文字幕一级毛片|538精品视频在线|www亚洲|白丝=av片|网友自拍=av|男人边吻奶边挵进去视频 | 冥王星之恋泰剧在线观看|国产亚洲精品=a片久久久|日韩大片免费在线观看|免费无码=aV片在线观看网址|最新精品国偷自产在线|国产偷人激情视频在线观看 | 吃奶摸下的激烈视频|亚洲人成网站18禁止中文字幕|无码=aV天堂一区二区三区|男人猛躁进女人视频免费播放|精品一区在线观看视频|欧美午夜=a级限制福利片 | 国产1区在线观看|四房播播成人社区|嫩草影视亚洲|免费毛片在线不卡|久久亚洲精品国产一区最新章节|911免费看片 | 在线一二三|国产真实偷乱视频在线观看|西西人体www大胆高清|久久九九精品99国产精品|精品久久久久久久|亚洲人人插 | 蓝宇在线|国产成人精品午夜视频|成人在线免费播放视频|JZZIJZZIJ在线观看亚洲熟妇|久久99热国产|亚洲=aV男人的天堂在线观看 | 亚洲精品萌白酱一区|日本二三区不卡|国产精品一二三区夜夜躁|欧美激情日韩|91啦中文在线|99精品国产丝袜在线拍国语 | 国产精品婷婷色综合www在线|丰满风流护士长BD=a片|国产精品福利片|农村人伦偷精品视频=a人人澡|久热免费在线视频|18禁美女黄网站色大片免费网站 | 中文字幕精品影院|91高清国产视频|69xxxxx国产|国产亚洲精品久久久久秋霞|H精品动漫在线无码播放|日本黄色性视频 | 天天看片导航|又粗又猛又黄又爽无遮挡|人妻无码专区一区二区三区|国产l精品国产亚洲区久久|少妇被又大又粗猛烈进出视频|国产精品夜色一区二区三区 | 成人一区二区三区免费视频|日本=a=a=a=a片毛片免费观蜜桃|在线观看亚洲欧美|日本一夲道无码不卡免费视频|穿乳环蒂环上锁调教老师|国产成人综合一区二区三区 | 日韩免费二区|日韩欧美国产激情在线播放|日本hd高清xxxxvideos|亚洲色偷偷色噜噜狠狠99|亚洲综合p|新版天堂资源中文www连接 | 久久人人精品|亚洲综合欧美在线一区在线播放|高清欧美性猛交XXXX黑人猛交|国产欧美一区二区三区久久|黄色毛片=a|欧洲内射XXX高清 | 久久亚洲=aV男人的天堂仙踪林|狠狼鲁亚洲综合在线|特级=a=a=a=a=a=a毛片|91精品久|天堂中文在线最新版地址|男女男精品视频网站 | 色播六月天|色综合久久久久久久久久|国产精品久久久久不卡绿巨人|国产精品视频一区国模私拍|久久婷综合|精品麻豆剧传媒=av国产 | 免费观看亚洲|日韩精品色呦呦|综合色婷婷|国产69精品久久久久毛片|黑人操亚洲女人|在线无码视频观看草草视频 | 爱如潮水日本|宅男噜噜噜66网站高清|午夜宅男在线永久免费观看网|日日日干|国产成人精品一区二区三区无码|国产成人高清在线观看播放 | 国产精品免费久久|国产老妇人成视频在线播放播|国产精品xxxxx|亚洲精品久久视频|啊轻点灬大JI巴太粗熟妇|2021年国产精品免费 | 久久国产超碰女女=av|2019最新国产拍自产在线|日韩xxxxxxxxx|国产在线观看=av黑料在线不打烊|国产精品久久久乱弄|国产精品一区二区三区四区色 |