安全威胁与防御-智能汽车与无人驾驶的安全威胁与防御

安全威胁与防御

——无人驾驶和智能汽车的安全威胁与防御李飞成都信息工程大学网络空间安全学院目录物联网的安全威胁分析汽车智能化与无人驾驶发展状况汽车的安全威胁分析汽车信息安全防御的几个关键问题

物联网的安全威胁分析感知层安全威胁分析任务全面感知外界信息典型设备RFID、传感器、图像捕捉装置、位置感知器、激光扫描仪安全挑战感知节点所感知的信息被非法获取感知节点所感知的信息不采取防护措施或防护强度不够，则很可能被第三方非法获取信息，导致大量的信息被公开，可能引起严重后果关键节点被非法控制一个关键节点实际被非法控制的可能性很小，因为需要掌握该节点的密钥，但如果攻击者掌握了一个关键节点和其他节点的共享密钥，就可以控制该关键节点；如果不知道该共享密钥，则只能组织部分或全部信息的发送普通节点被非法控制该情况较为普遍，攻击者可以获取关键节点与这些普通节点交互的信息，还可以传输一些错误数据普通节点被非法捕获该攻击更为常见，攻击者不需要解析他们的预置密钥或通信密钥，只需要鉴别节点种类节点受到来自于网络的DOS攻击DOS攻击即拒绝服务攻击，由于感知层最终要接入其他外在网络，且感知节点通常计算和通信能力有限，所有易受DOS攻击接入到物联网的超大感知节点的标志、识别、认证和控制问题感知层接入互联网或其他类型网络所带来的问题不仅仅是感知层如何对抗外来攻击的问题，更重要的是如何与外部设备相互认证的问题；对外部互联网来说，如何区分数字庞大的不同感知系统或者网络数量，并有效识别它们，是安全机制能够建立的前提网络层安全威胁分析任务把感知层收集到的信息安全可靠地传输到应用层，然后根据不同的应用需求进行信息处理基础设施互联网、移动网及专业网（如国家电力专用网、广播电视网）等安全挑战非法接入将导致网络层负担加重或者传输错误信息DOS攻击、DDOS攻击物联网网络层的核心载体是互联网，而互联网遇到的DOS和DDOS攻击仍存在，因此需要更好的防范措施和灾难恢复机制假冒攻击、中间人攻击在异构网络的网络认证方面，难免存在中间人和其他类型攻击跨异构网络的网络攻击在网络层，异构网络的信息交换将成为安全性的脆弱点信息窃取和篡改信息在网络上传输时，很可能被攻击者非法获取到相关信息，甚至篡改信息，所以必须采取保密措施进行加密保护

物联网的安全威胁分析应用层安全威胁分析特点智能（使处理过程方便迅速）典型应用系统智能家居系统、智慧交通、智慧城市、无人驾驶汽车安全挑战来自于超大量终端的天量数据的识别和处理当不同性质的数据通过一个处理平台处理时，该平台需要多个功能各异的处理平台协同处理；但首先应该知道将哪些数据分配到哪个处理平台，因此数据必须分类；同时，许多信息以加密形式存在自动变为失控可控性是信息安全的重要指标之一非法人为干预如内部攻击智能变低能/设备的丢失

物联网的安全威胁分析汽车智能化与无人驾驶发展状况

互联网技术的进化与发展已经深入到汽车领域，随着车联网的不断普及，网络信息技术的日新月异，让汽车厂商面临空前的车载信息安全威胁，汽车遭受网络攻击已经从科幻大片走向现实生活。车联网通过与公众网络的联接实现了车与车、车与人、以及车与云的相互交互，在车联网带给我们巨大便利的同时，针对车载电子信息系统的攻击无处不在：网络攻击、软件漏洞、数据篡改等一系列攻击手段和方式，使得车载电子信息系统在传输、固件/设备、软件/应用等方面都面临巨大的安全威胁。对于车载信息安全系统的安全而言，不但要能够抵御网络攻击、检测扫描软件漏洞、防止数据篡改、对异常行为进行实时监控，还要保证车辆的行驶安全、车辆信息交互系统功能的正常、以及隐私信息安全的保护。而随着针对车联网的安全攻击日渐增多，对于车载信息安全的防御已是迫在眉睫。一、汽车智能化发展状况一、汽车智能化发展状况一、汽车智能化发展状况一、汽车智能化发展状况2016年9月25日，东软集集团、长安安汽车、奇奇瑞汽车、、中国信息息安全认证证中心、国国家网络与与信息系统统安全产品品质量监督督检验中心心、中国软软件评测中中心、信息息产业信息息安全测评评中心、恩恩智浦(中中国)联合合发起了车车载信息安安全产业联联盟，并正正式对外发发布了《车车载信息安安全技术要要求白皮书书》。二、汽车的安全威胁胁分析方式一：针针对OBD的安全威胁胁由于众多的的汽车移动动应用完全全可以通过过OBD2接口利用用蓝牙、无无线或3g/4g网络络收集用户户的个人隐隐私信息甚甚至发送危危险指令来来控制汽车车甚至劫持持汽车。OBD盒子子通过不同同的方法将将汽车数据据传送出去去：直接使使用开放协协议，自己己定制私有有协议，或或者通过云云或者电信信运营商和和手机通信信。如果通通信协议未未进行保护护或者保护护方法太简简单，恶意意应用可以以轻易破解解协议并伪伪造数据包包通过OBD端口向向汽车发送送控制指令令。我们发发现目前市市场上有近近一半的OBD硬件件产品有严严重的安全全漏洞隐患患，甚至在在一家OBD设备被被破解之后后，无需或或者稍作修修改就可以以对另一家家OBD产产品做同样样的攻击。。二、汽车的安全威胁胁分析二、汽车的安全威胁胁分析密歇根大学学车联网实实验室通过过增加过滤滤器和IDS（IntrusionDetectionSystems，入入侵检测系系统），以以及组合网网关来进行行信息的过过滤。方式二：针针对ECU的安全威胁胁最物理简单单的方式就就是直接改改写ECU。利用各各种ECU芯片厂商商的汇编语语言或者编编写配套的的ECU程程序，然后后拆卸。现代汽车的的ECU是是一个小方方盒子固定定在一个需需要拆卸一一些部件才才能拿到的的地方，利利用工具和和笔记本电电脑，带上上工具撬开开汽车引擎擎盖，卸下下小盒子并并打开，还还要焊接几几根数据线线连接笔记记本，快速速写上你设设定好的ECU程序序。二、汽车的安全威胁胁分析在大多汽车车改装部件件中一种比比较常见的的ECU改装，原厂厂的ECU程序为了兼兼顾尾气排排放达标在在参数设置置上都是非非常保守的的，牺牲了了发动机的的性能。所所以在不改改变原来ECU程序上的设设置为前提提，外挂式ECU程序就诞生了。。原理很简简单就是拦拦截传感器器信号和原原ECU信号，修改改增强并模模拟原ECU参数，起到到骗过原ECU，让发动机机输出更强强的动力！！这个类似似与cookies欺骗，如果果这个外挂挂式电脑被被特别设置置过且可以以连接互联联网功能，，那么控制制一辆车就就太简单不不过了。二、汽车的安全威胁胁分析方式三：USB等输输入输出接接口。将一一个特制的的USB插插在汽车usb接口口上，就能能完成某些些汽车的功功能。当然然这个USB不是一一般的USB，内建建芯片，ROM,RAM和无无线网络功功能，以及及编写好的的恶意控制制程序。能能否控制汽汽车的重要要功能就看看汽车的智智能化程度度了，如果果线路连接接和信号传传输够大，，且涉及发发动机以及及其它重要要ECU模模块的话，，汽车的安安全性和信信息的安全全性可想而而知。方式四：多多媒体交互互系统。一一些小众厂厂商的多媒媒体系统很很多都基于于开源的通通用内核，，就比如Linux或者安卓卓。这样的的话应用的的安全以及及系统本身身的瑕疵都都会被利用用。至于权权限的大小小只看汽车车智能化程程度的高低低了。方式五：无无线，蓝牙牙，GPS，远程监监测系统等等所有无线线设备。与与汽车联通通的无线设设备，或者者车联网等等系统的拦拦截，破解解入侵都会会影响汽车车的安全和和信息的安安全。汽车车被恶意控控制，GPS位置以以及个人隐隐私信息的的就面对泄泄漏等威胁胁！二、汽车的安全威胁胁分析方式六：针针对车钥匙匙的安全威威胁二、汽车的安全威胁胁分析1.滚动动码是一个个周期很长长的伪随机机码。例如如有240。意思思就是码的的长度有40个bit。。现在大部部分车钥匙匙的码长都都比40bit长长。2.车钥钥匙里存有有当前的滚滚动码。当当车钥匙按按下时，滚滚动码加上上功能码（（比如是开开锁，解锁锁，还是开开后备箱））一起发送送给汽车。。3.汽车车也存有当当前的滚动动码。当它它收到同样样的滚动码码时，它就就执行相应应的开锁之之类的操作作。如果收收到的码不不匹配，它它就不做任任何动作。。4.车钥钥匙和汽车车里的滚动动码是保持持同步的。。5.当车车钥匙距离离车很远的的时候，有有人不小心心按了几次次车钥匙，，车钥匙的的随机码就就会前进好好几步。此此时跟车内内的码就不不同步了。。为了解决决这个问题题，汽车允允许接收当当前码之后后的（比如如）几百个个码。只要要车钥匙发发送的码在在这个窗口口之内，汽汽车都认为为是有效的的。6.如果果车钥匙被被误按超过过设定的几几百次，那那么车钥匙匙和车就彻彻底失去同同步了。这这时，需要要查找汽车车的使用手手册，找到到恢复同步步的方法了了。二、汽车的安全威胁胁分析汽车车钥匙匙采用HCS滚码码芯片和keeloq算算法是最普普遍的，车车主每次按按下钥匙的的锁车键、、开车键都都会触发一一次新的信信号发出，，车辆在收收到信号后后快速计算算，决定是是否打开车车门。在这这个命令的的代码中，，包含每辆辆车和钥匙匙的唯一且且固定的识识别码(序列号号)，以以及每次命命令加密过过的同步值值(每每次操作之之后同步值值自动+1)。钥匙匙每发出一一次命令，，钥匙和汽汽车都会对对同步值进进行保存记记录，汽车车接收到命命令后，必必须对同步步值进行检检验才会进进行下一步步操作。打打个比方说说，车钥匙匙发出同步步值为“11”的信信号，车内内保存信号号为“10”，车辆辆检验两者者信号差在在某个范围围内即可开开门(防防止用户户可能无意意中按过开开关导致同同步值不统统一，但但差差值值不不会会太太大大)。。汽汽车车电电子子防防盗盗系系统统会会判判断断车车钥钥匙匙的的值值和和车车内内的的值值之之间间的的这这个个范范围围是是否否会会大大于于一一定定临临界界值值。。破解解钥钥匙匙最最好好成成本本最最低低的的一一种种工工具具就就是是Hackrf了了，，HackRF是是一一款款全全开开源源的的硬硬件件项项目目，，其其目目的的主主要要是是为为了了提提供供廉廉价价的的SDR(软软件件定定义义无无线线电电)方方案案，，它它类类似似于于一一个个几几十十年年前前开开始始流流行行的的基基于于软软件件的的数数字字音音频频技技术术。。正正如如声声卡卡在在计计算算机机数数字字化化的的音音频频波波形形，，软软件件无无线线电电外外设设数数字字化化无无线线电电波波形形。。可可以以利利用用Hackrf先先找找到到钥钥匙匙的的中中心心频频率率，，收收录录信信号号，，然然后后使使用用软软件件对对信信号号进进行行分分析析，，解解码码，，可可以以对对于于信信号号内内容容进进行行编编辑辑之之后后，，发发送送出出来来，，这这样样就就可可以以实实现现对对钥钥匙匙破破解解的的功功能能了了。。二、汽车的安全全威胁胁分析析方式七七：针针对手手机APP的安全全威胁胁越来越越多的的安全全厂商商将应应对手手机安安全问问题的的方法法应用用在了了汽车车上，，而每每一个个沦陷陷在互互联网网里得得人都都能感感受到到，互互联之之后的的汽车车除了了它本本身的的属性性之外外，更更多了了一层层像是是架在在四个个轮子子之上上的手手机的的意味味，所所以安安全法法则或或许确确实通通用。。手机APP是是车车联网网的控控制端端，同同时也也是最最容易易被黑黑客攻攻击的的一点点，因因为拥拥有一一辆车车很难难，但但是拥拥有个个手机机的APK简简单单，在在互联联网上上很多多主机机厂会会把手手机APK放放到到应用用商店店里，，供用用户下下载。。通过过对APK的的逆逆向分分析直直接可可以看看到TSP的的接接口，，参数数，请请求内内容等等信息息。目目前大大多数数车联联网手手机APK没没有进进行混混淆和和加壳壳，这这样的的就可可以通通过源源代码码直接接来分分析过过程。。有的的进行行了混混淆，，但是是壳的的安全全强度度还不不够。。还有有一些些做了了加壳壳，但但是没没有做做混淆淆。只只要能能够脱脱壳就就可以以看到到整个个APK的的内容容。从从内容容上来来看，，有80%使使用用的AES加加密密方式式，但但是都都还是是把密密钥直直接放放在APK内内。所所以对对于APK流流量的的解密密就只只是工工作量量的问问题，，同时时有很很多重重要的的控制制接口口调用用，都都是存存放在在APK内内的的，所所以这这样的的安全全保护护不能能够足足以应应用在在车联联网中中恶劣劣的网网络环环境下下，安安全的的运行行自己己的APK，，保障障信息息不会会被泄泄露，，保障障控制制会话话不会会被劫劫持。。所以以在手手机APK安全全防护护这个个阶考考虑的的就是是防重重放、、防篡篡改、、防重重打包包、防防调试试。二、汽车的安全全威胁胁分析析方式八八：针针对超超声波波雷达达的安安全威威胁方式九九：针针对毫毫米波波雷达达的安安全威威胁二、汽车的安全全威胁胁分析析方式十十：针针对高高清摄摄像头头的安安全威威胁二、汽车的安全全威胁胁分析析高清摄摄像头头是智智能网网联汽汽车的的“眼眼睛””，通通过高高清摄摄像头头可以以识别别车道道，道道路标标识，，判断断前车车的车车速，，判断断行人人的速速度，，从而而做到到行人人保护护等功功能智智能网网络汽汽车的的算法法也是是参考考高清清摄像像头采采集的的数据据结合合传感感器采采集到到的数数据做做的综综合处处理，，最终终做出出判断断的。。针对对目前前高清清摄像像头的的攻击击方法法，大大多数数都是是采用用强光光导致致摄像像头致致盲的的方案案。有有的也也可以以构造造特殊殊的识识别图图形导导致摄摄像头头失效效。不不过构构造图图形是是要在在逆向向摄像像头图图像识识别算算法之之后才才能够够达到到的，，这种种的技技术门门槛比比较高高，难难以实实施。。对于高清清摄像头头的攻击击，日后后也有可可能会成成为一类类热点，，有的是是从图像像识别层层面去攻攻击，有有的也有有可能会会从车身身网络传传输方面面进行攻攻击导致致摄像头头失效。。方式十一一：针对对激光雷雷达的安安全威胁胁二、汽车的安全威威胁分析析在车辆高高速行驶驶中，利利用激光光雷达自自动探测测和识别别本车前前方的机机动车辆辆或其它它大型障障碍物与与本车的的距离，，通过中中央处理理器进行行分析、、计算和和判断，，一旦小小于安全全距离，，系统会会发出相相应的报报警、减减速、刹刹车指令令，由刹刹车踏板板上方的的制动电电机带动动推杆顶顶下刹车车踏板，，相当于于不同力力度的人人踩刹车车。由于激光光雷达信信号不会会被编码码和加密密，所以以黑客可可以随意意重放信信号。即即扑抓激激光遇到到障碍物物信息，，然后重重发。可可以模拟拟汽车、、墙壁、、行人等等好几种种障碍物物的信号号反射，，同时还还能“克克隆出””好多个个信号备备份，造造成障碍碍物在移移动的假假象。除除此之外外他还可可以简单单地对激激光雷达达的追踪踪系统执执行“拒拒绝服务务式攻击击”。方式十二二：针对对802.11p协议的安安全威胁胁车际通信信系统的的核心是是无线传传输技术术，它可可将一个个个的单单车信息息孤岛联联成一体体，更好好地支持持移动环环境、增增强安全全性等。。IEEE802.11p，又称称WAVE，，WirelessAccessintheVehicularEnvironment，，是由IEEE802.11标标准扩充充的通信信协议，，主要用用于车载载电子无无线通信信。可以以在汽车车之间进进行，也也可以在在汽车与与路边基基础设施施网络之之间进行行。从技技术上来来看，它它进行了了多项针针对车用用特殊环环境的改改进，如如更先进进的热点点切换、、更好地地支持移移动环境境、增强强了安全全性、加加强了身身份认证证等。因为802.11P是基基于IEEE802.11协协议族的的，虽然然在应用用层面上上都已经经有了身身份认证证和传输输加密的的安全措措施，但是在链链路层上上的通信信是没有有加密的的，目前前可以根根据链路路层上的的标识具具体定位位到某一一辆汽车车。通过在路路上抓取取标识，，就可以以实现对对于汽车车的跟踪踪等可能能性。二、汽车的安全威胁胁分析方式十三：：针对充电电桩的安全全威胁电桩是新能能源电动力力车的电站站，每个充充电桩都装装有充电插插头，充电电桩可以根根据不同的的电压等级级，为各类类电动车辆辆充电。电电动汽车充充电桩采用用的是交流流、直流供供电方式，，充电时，，需要刷充充电卡，充充电桩显示示充电量、、充电时间间以及费用用等数据，，并打印单单据，可实实现计时充充电和计量量充电功能能。由充电电桩组成的的网络叫做做“桩联网网”，目前前很多桩联联网的解决决方案都是是承载在传传统以太网网，或者是是无线传输输网络当中中。充电桩桩控制模块块的PLC电路路通过以太太网与管理理系统连接接，在整个个网络内部部是没有任任何防护，，如果可以以通过互联联网入侵到到桩联网，，就可以随随意对汽车车充电电压压进行控制制，对充电电金额进行行修改。这这些也是需需要注意的的一些隐患患。二、汽车的安全威胁胁分析三、汽车信信息安全的的几个关键键问题1、AUTOSAR的安全组件件和模型设设计近年随着汽汽车电子化化、智能化化发展，汽汽车CAN总线上搭载载的ECU日益增多。。各汽车制制造商车型型因策略不不同ECU数目略有不不同，但据据统计平均均一台车约约为25个模块，某某些高端车车型则高达达百余个。。同时娱乐乐信息系统统作为「人人类第三屏屏」，交互互体验正不不断扩展，，加上车联联网程度的的逐步加深深，整车系系统的通信数据量量正在以量量级增长。汽车电子子领域迫切切需要有一一种全新的的整车软件件设计标准准来应对愈愈加复杂的的电子设计计。为此，，在2003年欧洲宝马为首几家OEM巨头与一些些Tier1成立AUTOSAR联盟，致力力于为汽车车工业开发发一套支持持分布式的的、功能驱驱动的汽车车电子软件件开发方法法和电子控控制单元上上的软件架构标标准化方案案，也就是我我们常听到到的AUTOSAR（AUTomotiveOpenSystemARchitecture）。整车软件系系统可通过过AUTOSAR架构对车载网络、、系统内存存及总线的诊断断功能进行深度管管理，它的的出现有利利于整车电电子系统软软件的更新新与交换，，并改善了了系统的可可靠性和稳稳定性。目目前支持AUTOSAR标准的工具具和软件供供应商都已已经推出了了相应的产产品，提供供需求管理理，系统描描述，软件件构件算法法模型验证证，软件构构建算法建建模，软件件构件代码码生成，RTE生成，ECU配置以及基基础软件和和操作系统统等服务，，帮助OEM实现无缝的的系统软件件架构开发发流程。AUTOSAR将运行在Microcontroller之上上的ECU软件分为为Application、、RTE、、BSW三三层三、汽车信信息安全的的几个关键键问题应用层将软软件都划分分为一个AtomicSoftwarecomponent（ASWC），包包括硬件无无关的ApplicationSoftwareComponent、SensorSoftwareComponent、ActuatorSoftwareComponent、等等。RTE提提供供基基础础的的通通信信服服务务，，支支持持SoftwareComponent之之间间和和SoftwareComponent到到BSW的的通通信信（（包包括括ECU内内部部的的程程序序调调用用、、ECU外外部部的的总总线线通通信信等等情情况况））。。将基基础础软软件件层层(BSW)分分为为Service、、ECUAbstraction、、MicrocontrollerAbstraction以以及及ComplexDrivers。。关键键问问题题：：信信息息如如何何加加密密？？密密钥钥分分配配与与管管理理机机制制2、TSP的设设置置与与安安全全管管理理问问题题未来来中中国国智智能能网网联联汽汽车车将将分分为为DA、、PA、、HA、、FA四四级级。。美美国国SAEJ3016将将智智能能驾驾驶驶分分为为5级级。。相相比比中中国国多多了了一一个个CA，，ConditionalAutomation。。DA指指驾驾驶驶辅辅助助，，包包括括一一项项或或多多项项局局部部自自动动功功能能，，如如ESC、、ACC、、AEBS等等，，并并能能提提供供基基于于网网联联的的智智能能提提醒醒信信息息；；PA指指部部分分自自动动驾驾驶驶，，在在驾驾驶驶员员短短时时转转移移注注意意力力仍仍可可保保持持控控制制，，失失去去控控制制10秒秒以以上上予予以以提提醒醒，，并并能能提提供供基基于于网网联联的的智智能能引引导导信信息息；；HA指指高高度度自自动动驾驾驶驶，，在在高高速速公公路路和和市市内内均均可可自自动动驾驾驶驶，，偶偶尔尔需需要要驾驾驶驶员员接接管管，，但但是是有有充充分分的的移移交交时时间间，，并并能能提提供供基基于于网网联联的的智智能能控控制制信信息息；；FA指指完完全全自自主主驾驾驶驶，，驾驾驶驶权权完完全全移移交交给给车车辆辆。。2015年年有有诸诸多多互互联联网网企企业业都都开开始始制制造造汽汽车车，，有有的的互互联联网网企企业业是是通通过过打打造造车车机机的的操操作作系系统统，，应应用用服服务务。。使使的的汽汽车车内内部部可可以以获获得得跟跟多多的的互互联联网网服服务务，，在在无无人人驾驾驶驶的的情情况况下下，，人人们们解解放放了了双双手手，，可可以以在在车车内内浏浏览览互互联联网网上上的的内内容容。。也也许许有有一一天天，，互互联联网网汽汽车车可可以以改改变变用用户户的的消消费费习习惯惯，，成成为为互互联联网网厂厂商商争争夺夺的的第第四大大终终端端市市场场。。三、、汽汽车车信信息息安安全全的的几几个个关关键键问问题题TSP（（TelematicsServiceProvider））汽汽车车远远程程服服务务提提供供商商。。在在Telematics产产业业链链中中居居于于核核心心地地位位，，上上接接汽汽车车、、车车载载设设备备制制造造商商、、网网络络运运营营商商，，下下接接内内容容提提供供商商。