车联网 测试_车联网渗透测试

hacker|
351

为辰信安:为智能汽车网络安全保驾护航

在智能汽车领域 近 期陆续举办的世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛、第二届中国国际汽车以太网峰会、第八届国际智能网联汽车技术年会和SAE2021国际汽车安全与测试大会一系列活动中,“网络安全”成为了普遍关注的话题。

方滨兴院士在世界智能驾驶挑战赛暨智能网联汽车产品与认证技术国际高峰论坛做主旨报告

作为专注于智能汽车网络安全的专业公司,为辰信安在上述会议中分别就智能汽车网络安全防护、网络安全测试工具、汽车靶场等方面的内容进行了技术交流与产品展示,受到业界广泛关注。同时,为辰信安承研的汽车靶场也在2021CVVD首届车联网漏洞挖掘赛中得到应用,成为大赛的特别技术支撑单位。此外,为辰信安还参加了中国信息通信研究院车联网安全成果发布暨车联网网络安全专班第三次工作组公开会议,就OTA升级方面的网络安全问题进行了探讨。

随着行业标准、法规和准入要求的陆续推出,智能汽车网络安全进入快速发展的新阶段,网络安全测试也面临着新的要求。即将发布的ISO21434,在验证与确认阶段都明确了对网络安全测试的需求;WP29在2021年1月发布的智能汽车网络安全法规,批准机构和OEM厂商都需要对具体的车辆开展网络安全测试工作。此外,2021年4月,工信部开始公开征求对《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)的意见。其中也明确了对车辆网络安全测试的七条要求。

第八届国际智能网联汽车技术年会

为辰信安推出的智能汽车网络安全测试工具deCORE TSTR能够全面满足现有标准、法规和准入关于网络安全测试的要求,能够有效支持符合 性 测试和渗透测试,覆盖零部件、网络通信、关键业务、整车、路边单元、充电桩、手机App和后端 平 台等方面 的 测试对象,可用于检测机构、OEM厂商、各种示范区/先导区、高校等建立智能汽车网络安全测评实验室。

deCORE TSTR可面向检测机构、OEM厂商、示范区/先导区、高校等建立汽车网络安全测评实验室

deCORE TSTR拥有实现标准符合 性 测试的全系列工作。结合GB17691-2018(重型柴油车污染物排放限值及测量方法)的实施,deCORE TSTR所包含的相关网络安全测试工具已经在各个检测机构得到实际应用,为标准实施提供了保障。此外,也拥有满足整车网络安全和OTA测试需求的工具体系,满足即将出台的相关国标在网络安全方面的测试要求。

此外,deCORE TSTR还可与网络靶场系统结合,全面提升网络安全测试的效率、模式,形成完善的护车体系。截至目前,汽车靶场已经在首届智能汽车网络安全 竞技 大赛和2021CVVD首届车联网漏洞挖掘赛等赛事中得到重要应用,在面向智能汽车的攻防演练、众测与人才培养中体现了无可比拟的发展优势。

2021CVVD首届车联网漏洞挖掘赛基于汽车靶场开展竞赛活动

为辰信安的工具体系内容完备、成熟可靠,得到大量实际应用。同时,综合安全咨询、渗透测试,以及网络安全防护方案等方面的综合能力,为辰信安提供的测试工具优势明显,在满足法规、标准、准入要求,以及渗透测试和人才培养等方面具有广阔的应用前景。

智能汽车网络安全已经受到业界的高度重视。从 政府 监管、行业评价到智能汽车相关产业链,都迫切需要建立完善的网络安全测试体系,在满足标准、法规与准入等方面要求的同时,提升智能汽车防护水 平 ,抵御黑客攻击,为软件定义汽车保驾护航。 @2019

2021世界智能网联汽车大会:自动驾驶如何安全上路?

易车讯 日前,2021世界智能网联汽车大会正在北京举办,本次峰会聚焦自动驾驶汽车数据安全、车路协同等热点。在主题峰会第四场“自动驾驶与道路安全”,各位嘉宾先后发表了主题演讲。

公安部交通管理科学研究所副所长俞春俊在致辞中指出,目前我国道路交通安全状况总体平稳,且稳中向好,随着自动驾驶与车路协同的快速发展,数据安全已成为道路交通管理的新课题,亟需突破,应持续加强自动驾驶安全技术研发,厚积薄发,从战略、战术、操作等多层面、多维度展开,提升自动驾驶汽车安全管理,推进自动驾驶汽车测试评价水平,解决辅助驾驶汽车的安全问题。

中国软件评测中心总工程师陈渌萍围绕“智能网联汽车整车信息安全威胁分析及渗透实践”进行了分享,基于对目前的安全威胁分析和渗透测试中出现的问题,提出了一些专业的建议,希望政府部门、行业组织、整车厂供应商以及第三方机构充分发挥自身优势,加快完善智能网联汽车网络安全发展相关政策法规体系、标准体系,提高安全风险应急响应能力,建立健全配套服务,共同构筑智能网联汽车信息安全的良好生态。

清华大学国强教授、清华大学(智能产业研究院)-百度阿波罗智能交通联合研究中心管委会委员聂再清以“数据驱动的车路协同”为主题进行了演讲,他认为现有的自动驾驶方案以单车智能为主,未来一定会走向车路协同,但是会衍生出不同的方案。数据是车路协同自动驾驶和智能交通的关键,要保障数据安全可靠,基于真实场景的公开数据集,架起研究和实际落地之间的“桥梁”。

蘑菇车联信息科技有限公司副总裁邓志伟在“单车智能+车路协同,多重冗余下的自动驾驶安全之道”的主题分享中表示,安全至上是自动驾驶落地的基础和前提,而自动驾驶是一项系统工程,想要达到更高的安全,一定要通过单车智能加上车路协同的方案才能满足这个需求。蘑菇车联通过“单车智能+车路协同+AI云平台全局协同”的车路云一体化自动驾驶解决方案,兼顾自动驾驶安全的两大关键因素——全面性和即时性,实现了更加安全可靠的感知,助力城市级自动驾驶公共出行和公共服务。

英伟达中国区汽车事业部总经理刘通在主题演讲“NVIDIA面向软件定义汽车的持续创新”中表示,从以往谈论的交通工具与道路安全,到今天的自动驾驶与道路安全,这是一个很大的跨越,未来所有大型交通工具都将具备自动驾驶能力,人工智能是实现自动驾驶的关键技术,自动驾驶是人工智能的应用场景,也是最难、最大的场景,英伟达将通过一系列更深层次人工智能技术的研发与创新应用,让软件定义的汽车真正走向自动驾驶,有效提升并保障自动驾驶的安全性。

上海银基信息安全技术股份有限公司首席执行官单宏寅在论坛上发表了题为“谁偷了智能网联汽车的数据”的演讲,他表示智能网联汽车的数据链涵盖汽车设计、生产、销售、使用、运维等各个环节,面临的数据安全风险是多样性、多场景的,任何一个环节的数据泄露都有可能对自动驾驶产生难以预估的影响,需要强化对于数据安全的保障,银基将依托自身的车联网安全业务体系,提升车辆数据安全,助力自动驾驶高质量发展。

联通智网科技股份有限公司总经理张然懋的演讲围绕“车路协同的思考与实践”展开,他认为车路协同是自动驾驶中国方案演进的必由之路,车辆智能化、道路智能化和网络智能化是车路协同的三要素,而泛在化、场景化、高可用的网络是靠谱的车路协同的基础,联通智网依托中国联通5G通信网络,凭借多年的经验与协同创新,面向多个行业打造了专业化、多网络协同、多场景融合的整体解决方案,提供安全可靠的产品与服务,助力自动驾驶安全发展不断取得新突破。

安永咨询公司合伙人Matthias Bandemer以“汽车软件升级试点管理办法”为主题发表了演讲,他表示在自动驾驶汽车生态系统中,软件占有非常重要的地位,而软件升级与更新的安全更是重中之重,自动驾驶汽车软件升级需要保证数据包来源、安装过程、可溯源性等各方面的安全,已经在IT领域建立起来的通用安全措施,也必须适用于汽车生态系统,这是一个巨大的挑战。

智能网联汽车测试矩阵法是什么

1.1 总线及网关系统安全测试汽车总线对通信数据、传输速度等方面的要求不同,通过总线网关可有效隔离子网内部通信,支持通信信息的协议转换,并能基于各类总线实现对网路、差错等方面的控制功能,总线网关是车身系统实现网络化的关键,测试总线和网关的安全性,需以运行环境和测试方法要求为依据完成总线安全HIL仿真测试环境的搭建,综合运用代码逆向工程、软件行为监控等关键技术分析总线和网关的体系结构,最终实现危险源和脆弱点的识别及对所存在安全风险的综合分析。1.2 V2X网络安全测试技术由于相关安全防护建设同智能网联汽车及车联网的发展不同步,智能网联汽车中仍存在很多漏洞,易给用户带来较大的安全威胁风险。智能网联汽车应用V2X技术过程中需处理分析海量数据,以实现安全驾驶功能,不断扩大的数据规模蕴含巨大价值,同时面临较大的安全风险,需针对V2X网络系统以真实场景为依据通过半实物仿真环境的搭建实现V2X安全测试的有效开展,通过安全加固V2X终端应用以确保其安全可信,具体可应用的技术包括:(1)V2X半实物仿真技术,以真实道路拓扑为依据通过移动地图的使用完成现场场景的构建,可对多种交通状况进行自主创建和设定实现多种V2X应用场景的模拟,将真实场景引入实验室使测试相关联的成本得以显著降低。(2)V2X安全性测试技术,该技术基于主动攻击测试技术,从攻击者视角主动分析V2X系统的缺陷或漏洞,对系统安全性通过攻击测试进行验证,中应用定位虚假信号源、精准识别虚假通信客体等技术以确保安全。1.3 功能及性能的软件测试方法安全性测试主要针对汽车驾驶身份、敏感信息、典型车载应用软件、智能网联汽车防破坏及自修复能力。安全性测试主体及测试途径包括:(1)基于渗透的安全性测试,主要对车联网系统通过模拟黑客输入进行攻击性测试,实现运行时存在安全漏洞的获取;(2)基于风险的安全性测试,把安全风险漏洞作为软件开发各阶段的考虑对象,通过使用异常场景、风险分析等技术完成测试;(3)基于威胁的测试,从软件外部角度出发识别安全威胁,对威胁实施过程建模,评估量化威胁等级。采用云测试模型进行性能压力测试,在服务器平台网站中上传并运行写好的自动化测试脚本,实现大用户负载、并发,以进一步提高应用软件性能测试水平。采用软件可靠性应用模型,将故障注入智能网联汽车系统中,对其行为进行分析,图1为可靠性测试框架。

无锡成全国首个智能网联汽车全域测试示范城市,这意味着什么?

车联网智能汽车是指汽车与智能汽车的互联网连接,搭载汽车的设备、控制器、电子等设备,融合现代通信和网络技术,实现人、汽车。 、方法和背景。信息交流与共享,实现安全、舒适、节能、高效、能改变人们工作的新一代汽车。智能通信车辆的发展将有助于提高安全性和提高交通效率。另一方面,智能网联汽车可以减少污染排放,起到保护环境的作用。近年来,许多国家出台了促进智能网联汽车发展的重要政策,我国也不例外,将智能网联汽车提升到国家战略发展水平。通过政策扶持、路试法规制定、示范区建设、基础信息平台建设、商业伙伴创新、重大项目立项等方面支持我国智能网联汽车发展。

根据法律规定,2018年12月,国家公布了《车联网(Connected Vehicles)业务发展规划》,称到2020年,部分高速公路和高速公路上的LTE-V2X服务成本将可见一斑,5G-将实施 V2X。示范应用,建设窄带物联网(NB-IoT)网络,建设车路融合环境。互联网在汽车用户中的渗透率将达到30%以上,新车驾驶辅助(L2)安装率将达到30%以上,带有交通信息的新车安装率将达到60%以上。 . 2019年12月,《新能源技术产业市场(2021-2035年)表格报告》指出,到2025年,智能通讯汽车新车销量占比达到30%,智能网联驾驶取得成功。特殊情况下的地域限制和商业交易。

路测是智能网联汽车知识和业务的基础,所以我国对智能汽车的公共路测非常重视。近年来,许多智能驾驶的道路规则得到了推进。 2018年4月,我国发布第一个规范非电动汽车检测的规范性文件《电动汽车检测用电(使用)检测规范》;他在区会议上表示,将研究修订《驾驶技能考试(竞赛)管理办法》,不断完善和完善考试示范环境。同时,重庆、沪北等地方政府已经完成了驾驶测试的规定和数据,可用于加快智能网联汽车的测试。

汽车软件客户端的安全防护措施有哪些?

我认为,汽车软件客户端的安全防护措施主要有以下几点:

1.客户端安全防护

移动应用往往基于通用架构进行开发设计,安全逆向技术成熟,常成为攻击者进行协议分析和发起网络攻击的突破口。在应用正式发布之前,对主配文件Android Manifest.xml进行合理地配置,关闭Debuggable、allowBackup属性,同时关闭不需要与外界进行数据交互组件的exported属性,防止因为不合理地配置,造成移动应用安全风险。

同时,与国内外专业安全公司开展合作,通过代码混淆、字符串加密、变量名数字化、反调试等方式对车联网移动APP进行安全加固,防止移动应用被恶意破解、二次打包、逆向分析等。此外,在应用发布之前,邀请安全团队对车联网移动APP开展安全渗透测试,寻找漏洞并进行修复,借助安全厂商的力量提升车联网移动APP的安全。

2.通信安全防护

车联网环境中的车辆不再是一个独立的机械个体,而是借助各种通信手段和对外接口实现与外部终端进行数据交互。因此保证车联网移动APP自身安全以及提供安全可靠的对外通信策略对车辆与外部终端的连接和通信安全至关重要。

在车联网移动APP与TSP服务平台通信的过程中,使用HTTPS的安全通信协议,增加攻击者窃听破解的难度,同时使用基于公钥架构(Public Key Infrastructure,PKI)[5]的身份认证机制在每次通信时对车联网移动APP与TSP服务平台进行双向认证,保证通信双方的合法性。此外,在通信的过程中对关键数据流量进行加密处理,防止中间人攻击和重放攻击。

3. 数据安全防护

车联网移动APP在使用的过程中,会在本地手机端存储部分用户敏感信息,例如手机号、登录密码、车辆Vin码等。采用加密的方式对移动端的文件、数据库等多种格式数据内容进行安全存储,以免数据在移动终端存储不当造成数据泄露。同时,防止密钥被泄露,避免将密钥硬编码到代码中,采用密钥分散技术和白盒密钥加密技术,提高密钥的安全性。

4.业务安全防护

开发者应遵循移动应用的安全开发流程以及安全开发规范,将安全意识融入到软件开发生命周期的每个阶段。同时,开发人员应积极参加软件安全开发生命周期(S-SDLC)[6-7]培训,强化开发者的安全开发意识,严格按照安全开发规范进行开发。

0条大神的评论

发表评论