自动驾驶车辆应采取那些信息安全防御机制，来防止关键数据被非授权删改，保障自动驾驶车辆安全？

由于汽车技术及其复杂，想成功攻击一辆汽车，所需的“巨量的知识内容”和“巨额的试错成本”，并不是一个人，甚至是一个小组织能够独立完成的。可以说能够成为汽车黑客，必须是“高知高能”，他们往往不屑于去攻击普通人的联网汽车。就收益来讲，成功攻击一辆车会导致人员伤亡，其后果面临着法律的严厉惩罚。这些高知高能的汽车黑客们有各种赚钱的渠道，每天有大量的工作要处理，不可能无聊到去攻击普通人的车辆。既然没人攻击，为啥要做安全防御？战争！！！今后的可自动驾驶的车辆，每一个都可以成为杀人的工具，当战争爆发，国家间网络较量的时候，各种原本的“智力问题”和“成本问题”都已不是问题。战争期间的社会不稳定因素会被“对手”利用和扩大化。所以必须“防患于未然”！为此，国家出台了各种“强制性国标”和“推荐性国标”。当然，还有另外一个问题，就是信息泄露。你的个人身份信息，电话号，位置信息啥的。但是对于这块来讲，也几乎没啥攻击的市场。主要原因是：少！车辆保有量有限，能联网的车辆也就这几年，全部智能网联汽车也不足千万。而手机呢？全国14亿人，平均就是14亿台手机，而且有的人还有两台手机。所以如果有这技术，攻击手机获得的敏感数据是汽车收益的“百倍”，所以几乎也没有“动力”去驱动做这件事情。高知高能的技术大牛不会去做“很费力，收益少”的事情的。如果你是普通的消费者，看到这里就足够了。放心！汽车信息安全，没人攻击，而且国家替你想着呢。如果你更加感兴趣，比如想知道黑客如何攻击汽车的？OEM整车厂如何做信息安全防御的？那么国家层面又是如何保护国家、普通人的汽车信息安全的呢？下面都会回答。一，“矛”：信息安全渗透攻击（黑客如何攻击汽车的）汽车信息安全渗透攻击测试就是按照黑客的思路和方法去攻击测试车辆。世界上最出名的就是2015年美国两名黑客大佬在“黑客大会”上展示的对特莱斯科的攻击。随后，他们发布了详达百页的技术资料。2015年7月，两名美国白帽黑客Chris Valasek和Charlie Miller成功侵入一辆正在行驶的JEEP自由光SUV的CAN总线网络系统，向发动机、变速箱、制动和转向等系统发送错误指令，最终使这辆车开翻到马路边的斜坡下。随后，他们在8月全球最大的黑客大会上，发布了攻击细节。该事件直接导致了克莱斯勒公司召回了140多万辆汽车，而且该事件也是首起因汽车信息安全问题引发的汽车召回。菲亚特克莱斯勒美

A person who loves writing, loves novels, and loves life.Seeking objective truth, hoping for world peace, and wishing for a world without wars.

故事 Jul 1, 2023 加入阅读清单

自动驾驶车辆应采取那些信息安全防御机制，来防止关键数据被非授权删改，保障自动驾驶车辆安全？

由于汽车技术及其复杂，想成功攻击一辆汽车，所需的“巨量的知识内容”和“巨额的试错成本”，并不是一个人，甚至是一个小组织能够独立完成的。可以说能够成为汽车黑客，必须是“高知高能”，他们往往不屑于去攻击普通人的联网汽车。

就收益来讲，成功攻击一辆车会导致人员伤亡，其后果面临着法律的严厉惩罚。这些高知高能的汽车黑客们有各种赚钱的渠道，每天有大量的工作要处理，不可能无聊到去攻击普通人的车辆。

既然没人攻击，为啥要做安全防御？战争！！！今后的可自动驾驶的车辆，每一个都可以成为杀人的工具，当战争爆发，国家间网络较量的时候，各种原本的“智力问题”和“成本问题”都已不是问题。战争期间的社会不稳定因素会被“对手”利用和扩大化。所以必须“防患于未然”！为此，国家出台了各种“强制性国标”和“推荐性国标”。

当然，还有另外一个问题，就是信息泄露。你的个人身份信息，电话号，位置信息啥的。但是对于这块来讲，也几乎没啥攻击的市场。主要原因是：少！车辆保有量有限，能联网的车辆也就这几年，全部智能网联汽车也不足千万。而手机呢？全国14亿人，平均就是14亿台手机，而且有的人还有两台手机。所以如果有这技术，攻击手机获得的敏感数据是汽车收益的“百倍”，所以几乎也没有“动力”去驱动做这件事情。高知高能的技术大牛不会去做“很费力，收益少”的事情的。

如果你是普通的消费者，看到这里就足够了。放心！汽车信息安全，没人攻击，而且国家替你想着呢。

如果你更加感兴趣，比如想知道黑客如何攻击汽车的？OEM整车厂如何做信息安全防御的？那么国家层面又是如何保护国家、普通人的汽车信息安全的呢？下面都会回答。

一，“矛”：信息安全渗透攻击（黑客如何攻击汽车的）

汽车信息安全渗透攻击测试就是按照黑客的思路和方法去攻击测试车辆。世界上最出名的就是2015年美国两名黑客大佬在“黑客大会”上展示的对特莱斯科的攻击。随后，他们发布了详达百页的技术资料。

2015年7月，两名美国白帽黑客Chris Valasek和Charlie Miller成功侵入一辆正在行驶的JEEP自由光SUV的CAN总线网络系统，向发动机、变速箱、制动和转向等系统发送错误指令，最终使这辆车开翻到马路边的斜坡下。随后，他们在8月全球最大的黑客大会上，发布了攻击细节。该事件直接导致了克莱斯勒公司召回了140多万辆汽车，而且该事件也是首起因汽车信息安全问题引发的汽车召回。

菲亚特克莱斯勒美国公司因黑客风险召回140万辆车_新闻_央视网(cctv.com)

黑客攻击汽车步骤：

单车分析：PCB拆解分析，接入（WIFI/4G等）、系统root权限获取、系统固件篡改
批量复制：远程扫描、渗透提权、远程更新、远程控车

他们购买了汽车，对汽车的娱乐系统进行拆解分析，提取权限，完成对ECU的root固件篡改。
由于他们本身就是资深黑客，在暗网购买到了移动公司基站漏洞。通过移动公司的网络端的基站漏洞，批量获取了车辆信息，攻击的云端平台。
最终他们通过单车和云端平台的结果，完成了批量的汽车攻击。

整个过程长达2年，在这个过程中得到了各种资助达几十万美元。才最终完成了对车辆的攻击。

为什么说这次事件是最著名的？

Chalie Miller和Chris Valasek作为黑客突破了以往汽车网络安全黑客的极限，那就是成功实现了“非物理接触下的远程进行车辆控制”。以往的黑客只能通过物理接触，或者只能控制单个车辆，最多进行近距离攻击，而Chalie和Chris可以控制全美范围内，几乎所有安装了Uconnect车机的车。

当然，如果你要完成上面的内容，所需的知识体系是巨大的：

首先你必须是一个专家级的：嵌入式系统工程师。能够完成对汽车嵌入式系统的攻击，甚至通过OTA通道，嵌入式系统固件升级，完成你的木马的注入。
其次你必须是一个专家级的：云端平台工程师。汽车都是通过统一的云端平台来控制的，那么你想大批量控制车辆，你就必须攻克如同“堡垒”一样的云端平台。获取车辆批量控制权限。
再次你必须是一个专家级的：通信工程师。偶尔，你还需要攻克移动/联通这样的大企业建造的4G管道，从其中获取敏感信息，有助于你的分析。
最后你还必须是一个专家级的：安卓或IOS系统工程师。车厂开发的手机app可以控制你自己的车辆，那么偶尔你还需要进行手机app逆向分析，获取里面的敏感信息或控制车辆。

作为一个普通个人，成为这里面的一个专家，都能吹牛逼一辈子了，衣食无忧。何况跨领域，跨专业，技术、知识体系融合应用。可以说，成为汽车“黑客”必须"高知高能"！

二、“盾”：云、管、端，信息安全防御措施（OEM整车厂如何做防御的）

刚刚是站在黑客的角度，大略的描述了汽车黑客的知识体系，汽车黑客是如何攻击汽车的。有矛就有盾，作为OEM整车厂，是如何做信息安全防御的呢？

汽车信息安全问题始于汽车可以联网，自动驾驶技术扩大了危害性，也就是黑客有可能会控制汽车做违法的事情。在复杂的车联网应用环境下，从数据通信角度可以定义云端、管端、终端三层通信结构，为此也对应着三层威胁。车厂做信息安全建设，就是围绕着“云”、“管”、“端”来做的。

1.“云”端信息安全建设

其实云端的信息安全建设基本可以完全参考传统的IT企业。作为整车厂来讲，基本也是参照他们的成熟方案进行的（因为没必要重新搞一套，而且还十分有可能搞不好）：

①物理环境安全：在物理层，通过门禁系统、视频监控、环境监控、物理访可控制等措施实现云运行的物理环境、环境设施等层面的安全

②计算存储安全：通过对服务主机/设备进行安全配置和加固，部属主机防火墙、主机 Ds，以及恶意代码防护、访问控制等技术手段对虚拟主机进行保护，确保主机能够持续提供稳定的服务

③可信计算：保证硬件、软件系统的行为执行安全，包括安全的输入输出内存安全、远程认证等服务

④安全管理：根据 ISO27001、COBIT、ITL等标准及相关要求，制定覆盖安全设计与获取、安全开发和集成、安全风险管理、安全运维管理、安全事件管理、业务连续性管理等方面的安全管理制度、规范和流程，并配置相应的安全管理组织和人员，建立相应的技术支撑亚台，保证系统得到有效管理。

⑤信息安全：实现数据的保护，从数据隔离、数据加密、数据防泄露、剩余数据防护、文档权限管理、数据库防火墙、数据审计方面加强数据保护以及离线、备份数据的安全。

⑥应用安全：保护应用的程序安全;通过 PKI 等机制对用户身份进行标识和鉴别，部署严格的访问控制策略;关键操作的多重授权等措施保护应用层安全;同时采用电子邮件防护、web 应用防火墙、web 网页防篡改网站安全监控等应用安全防护解决方案确保特定应用的安全。

⑦可信安全管理亚台：包括建设并管理基于 PKI、身份管理等的安全基础支撑设施，管理亚台综合利用成熟的安全控制措施，并构建良好的安全实现机制，保障系统的良好运转，以提供满足各层面需求的安全能力。

2.“管”端信息安全建设

①网络传输安全：比如实施网络加密技术对传输的数据进行加密；对传输的信息实行安全保护策略。比如分级保护策略，从技术角度出发实现对分级保护的管理，规范其中的安全性；加强可信计算机的实施。可信技术平台能够确保用户的身份唯一性，比如CA认证中心。

②网络边界安全：智能网联汽车最大的特点是移动性强、4G、蓝牙、WIFI、CAN等网络种类多样，极为复杂。车云网络（4G、5G）中，网络运营商通常会给整车企业单独搭建VPN通道，在进行具体数据通信对接时候，整车厂还会建立PKI认证加密通道，在网络终端如T-BOX和中央网关等位置，进行车载入侵检测系统防止被攻击。

3.“终端”信息安全建设

①可信操作系统安全：操作系统安全核心目标在于实现操作系统对系统资源调用的监控、保护提醒，确保涉及安全的系统行为总是处于受控状态下，不会出现用户在不知情情况下某种行为的执行或者用户不可控行为的执行。同时，操作系统还要确保自身升级更新的受控性。而操作系统的健壮性则主要取决于操作系统源代码，源代码安全是整个操作系统健壮性以及安全性的根本。

②固件安全：固件是指永久存储功能器件中二进制程序，在汽车上以微控制器为核心的ECU中，固件主要实现全部ECU功能。固件安全就是要保障固件代码无法被提取，固件代码防止反汇编和逆向，以及固件安全升级。

③数据安全：数据安全除了涉及到数据的存储安全，也包含数据备份和数据传输安全，而这里主要有两方面的问题：密钥存储安全和轻量级密码算法

③FOTA安全：现在 FOTA 技术已经非常成熟，但升级过程的安全性仍然需要格外重视智能网联汽车 ECU 升级时需要配合安全升级机制，比如：通过数字签名和认证机制确保增量升级包的完整性和合法性；在升级包传输过程中，通过通信加密保证整个升级包的传输安全，避免升级包被截获或者遭受中间人攻击导致升级失败。

三、国外安全法规与标准

J3061 ：2016年，SAE发布《J 3061 Cyber security Guide book for Cyber-Physical Vehicle Systems》指导文件，结合威胁分析和风险评估的方法对汽车网络系统的全生命周期安全保障给出了建议，并定义了安全测试方法的框架，给出了市场上主流的安全相关工具及其制造商的列表。

ISO/SAE 21434 ：2016年，ISO道路车辆技术委员会与SAE联合成立SC32/WG11Cybersecurity网络安全工作组，基于J3061参考V字模型开发流程，制定汽车网络安全标准ISO/SAE 21434-2021，提出从风险评估管理、产品开发、运行/维护、流程审核等四方面来保障汽车网络安全工作开展。ISO/SAE 21434 标准的重点内容包括建立合理的安全保障管理制度，在车辆全生命周期(研发、量产、运行和维护阶段)建立流程管理体系，如需求管理、追溯性管理、变更管理、配置管理、信息安全/网络安全管理监控和信息安全管理/网络安全事件管理，以及相关的应急响应机制，保障产品免受网络安全攻击。

UN/WP.29（全称为联合国世界车辆法规协调论坛）于2020年6月发布了一系列汽车关于智能网联汽车的重要法规，其中 R155法规对车辆网络安全(Cyber Security) 作出了相关规定。 R155作为第一个汽车网络安全强制法规，其主要适用范围包括了欧洲、日本、韩国等“1958 协议”缔约国（以下简称“58 协议国”）。 R155合规认证工作主要分为两个部分，其一是网络安全管理体系认证（CSMS）；其二是车辆网络安全型式认证（VTA）。