使用多层安全方法并配置防火墙以保护互联汽车

对车辆网络安全的需求越发迫切，因为车辆系统面临着多方面的恶意威胁。白帽黑客已经证明他们可以远程侵入互联车辆的仪表板功能和变速箱。为应对由此造成的威胁，各国政府正在制定法令以确定自动驾驶车辆的责任(美国2017年的自动驾驶法案即是其中一例)。因此，防火墙是为车辆提供保护以及保证车辆整体安全性和可靠性的多层方SiemensDigitalIndustriesSoftware2汽车软件安全威胁3汽车网络安全法规4汽车网络安全基本知识5攻击面6AR多层安全方法10使用防火墙抵御威胁11防火墙设计注意事项1217SiemensDigitalIndustriesSoftware3汽车软件安全威胁汽车装备的软件比我们当下使用的最复杂的机器还要多。2009年10月发布的科技纵览(IEEESpectrum)报告指出，美国空军装备的F-22猛禽一线喷气战斗机包含170万行软件代码。F-35联合攻击战斗机包含570万行代与此同时，一辆普通汽车包含1千万行以上的代码。而梅赛德斯奔驰S级轿车等高端品牌汽车包含2千万行以上的代码。如今，福特的在互联性、电气化和无人驾驶的大趋势下，汽车软件内容的关联度越来越高。软件的复杂性已经记录了许多现实案例。资深黑客查利·米包括雨刷在内的其他功能；这辆车最终被撞140万辆吉普。同一年，这两位黑客又通过控端口控制了另一辆吉普，而且他们可以控制刹车2015年，一位安全研究员使用一台廉价的自制设备演示了对通用公司安吉星远程连接系统的攻击。通过本次攻击，他可以跟踪车辆、解锁车辆、按响喇叭和警报器并发动引擎。52018年，黑客利用加密漏洞并克隆遥控钥匙在几秒钟内就盗走了一辆特斯拉ModelS。6在黑帽网络攻今时代可以从互联网和开源资源随意获取汽车黑客手册和低成本黑客工具，例如Wireshark和五花八门，包括OBD端口、OEM应用程序以及人们对开发安全解决方案的需求越发迫切。政府的介入达到前所未有的程度，并制定了各种法规SiemensDigitalIndustriesSoftware4汽车网络安全基本知识美国高速公路安全管理局(NHTSA)根据威胁分析方法展开了一项汽车网络安全研究项目。该项目使用一个威胁模型识别了潜在攻击造成影响所需具备的条件。该模型将威胁分成不同措施。NHTSA的模型综合使用了三种建模方准。NHTSA威胁模型中的威胁类型借用自微欺骗身份。在身份欺骗威胁中，应用或程序可以伪装成其他人并获取通常不受程序允许的有篡改数据。数据篡改涉及恶意修改数据，包括在未获授权的情况下更改数据库以及更改在计信息泄露。信息泄露威胁指将信息泄露给无权获取该信息的个体。例如，用户可以阅读他们无权阅读的文件，或者侵入者可以读取在计算机之间拒绝服务。这些攻击拒绝为有效用户提供服务。例如，使用非法请求对网站进行淹没攻击，使网站不可用或不稳定，导致合法用户无法获得提升权限。未获授权的用户通过更改组成员身份等方法获取授权访问权限，从而可以侵入或破坏SiemensDigitalIndustriesSoftware5攻击面黑客对汽车进行网络攻击时，第一步是在车辆中找到攻击途径，即确定攻击面。第二步是侵入电子控制单元(ECU)。第三步是找到可以利汽车的攻击面可以分为四个类别：直接物理攻击。直接物理攻击可以通过线束连器、OBD或充电端口或车辆网络发起。制造商和消费者必须认识到汽车的使用环境相当恶劣。车主可能将车借给他人或送去维修；在这些情况下，黑客可以直接以物理方式侵入汽固件升级等形式出现，并可以在车内投放特洛伊NFCRF境中，汽车需要配备所有这些技术，但这会扩大汽传感器欺骗。尽管很少有新闻或研究指出黑客通过控制传感器来制造网络攻击，但可以肯定的是，传感器是潜在的受攻击面。波音737MAX空难的潜在原因就是传感器发出非法数据并造成逻辑行为错误，最终导致了不幸的坠机事故。传感器数据可能被操控并产生不准确的数据，为黑SiemensDigitalIndustriesSoftware6软件组件软件组件软件组件软件组件软件组件软件组件应用程序软件组件讨论安全性之前，有必要先了解一下汽车开放相关方于2003成立的世界范围内的开发合作组织。它追求的目标是为车用电子控制单元制目标涵盖了软件在不同平台以及跨程序间的扩如下图所示，位于顶层的是应用程序软件组。运行时环境与软件模块进行交互，这些模块可信。同样，软件通过标准化接口与底层硬件进行交互。AUTOSAR合作联盟设置了管理层或工作结构；在负责制定规范的件操作操作通信基础软件a通信基础软件a服务微控制器抽象层复杂驱动SiemensDigitalIndustriesSoftware7全方面的工作。安全性工作组成立于2014年11月，其任务是改进安全措施并将其扩展到但直到2014年联盟才认识到有必要并最终成AUTOSAR使用一套加密技术规范。在硬件抽象层，使用的是加密接口模块；而在服务层，规范提供了加密服务管理器。加密规范提供的不是安全概念而是加密服务，这些服务可以用来应应用程序层运行时环境通信服务加密硬件抽象层微控制器驱动通信硬件抽象层板载设备抽象层内存硬件抽象层复杂驱动加密驱动加密服务通信驱动系统服务动务SiemensDigitalIndustriesSoftware8服务加密服务管理器诊断事件管理器通信服务路由表服务加密服务管理器诊断事件管理器通信服务路由表在AUTOSAR中，传输单元是协议数据单元(PDU)和支持这些PDU的网关，该网关称为的方法是在PduR层级进行集成。如图中所示，PduR负责将传入的和传出的与安全相关随后添加或处理与安全相关的信息，并将结果密钥和计数器管理服务密钥和计数器管理服务错误报告密钥管理(可选)SiemensDigitalIndustriesSoftware9多层安全方法其中的关键。开放式系统互联(OSI)模型将通信功能标准化为七层架构(三层为媒体层，四层为主机层)，必须对这七层加以保护才能将应用程序视为安全的应用程序。整体安全策略边缘节点或网关节点最容易遭受攻击，因为它们暴露在外部环境中，需要最多的保护。车辆网络内部的节点不会直接暴露，而且PDU层过滤可以为这些节点提供基本的保护。在第2层(即OSI的数据链路层)中，作为行业标准的媒体访问控制安全(MACsec)为直接连接节服务、入侵、中间人攻击、伪装攻击、被动窃听和重放攻击。对于与媒体访问无关的协议，MACsec定义了无连接数据的保密性和完整(IPsec)是一套彼此互相作用的协议，可以通过IP网络提供安全的专用通信，支持系统建立和维护与安全网关的安全通道；虚拟专用网络在第6层(即表示层)中，传输层安全(TLS)提供了专门用于提供网络通信安全的加密协议。网站可以使用TLS保护其服务器与网络浏览器之间的所有通信，而TLS协议则主要用于AUTOSAR的安全板载通信(SecOC)规范专为保护这些PDU的安全而制定。同样，在第2层 (数据层)和第3层(网络层)之间，可以部署一道防火墙来屏蔽未使用的端口或阻止探测这些端口和过滤数据用例。在数据链路和间多层安全方法SiemensDigitalIndustriesSoftware10使用防火墙抵御威胁防火墙是网络元素，它根据特定的安全策略来安全策略是一系列过滤规则列表，定义了针对过滤规则由一组过滤字段组成，例如协议类型、源地址、目标地址、源端口、目标端口和过滤字段列举了实际网络流量中相应字段针对该特定规则可能采用的值。一个过滤字段可以是单个值，也可以是一系列值，并且可以用于创建黑名单或白名单来阻止或允许来自或定向到特定源地址的流量。根据这组规则，防火墙可以确定是接受数据包以进一步处理，还是丢弃数据配备防火墙的网络布局可以控制数据包的传输。它不仅可以保护内部网络免受外部环境中恶意数成的潜在恶意数据的威胁。防火墙可以保护网络配备防火墙的网络布局SiemensDigitalIndustriesSoftware11防火墙设计注意事项规则式过滤，也称为数据包过滤或静态过滤，是设计防火墙的首要注意事项。这种类型的过滤不保留数据包的状态。它的基础是过滤引擎中可配置的规则，过滤引擎可以支持协议、源IP地址和MAC地址过滤，并且可以用于创建白名 网络数据包规则式过滤口议丢弃数据包丢弃数据包记录并报告 允许处处理数据包动态过滤。其他类型的防火墙使用动态过滤，也称为电路级网关或状态数据包检测。动态过滤可以根据连接的状态阻止数据包。它可以检查具有较多端口的非特许端口的传入流量，确定它对之前要求建立连接的传出请求的响应未被侵入。动态过滤可以支持IP标头选项、传输可配置的数据包生存时间(TTL)。其中应用的高级原理是，过滤引擎选择网络数据包并根据规则执行具体的逻辑，决定是允许数据包通行还是丢 网络数据包动态过滤连接状态丢弃数据包丢弃数据包记录并报告 允许处处理数据包SiemensDigitalIndustriesSoftware12深度数据包检测又称应用层网关，它支持对消息中的每个单独字段进行控制和验证，并根据类型、内容和来源过滤消息。它通常用于保护工 网络数据包深度数据包检测(应用层网关)消消息：丢弃数据包丢弃数据包记录并报告 允许处处理数据包阈值过滤可以根据超过阈值的值来阻止数据包以免受拒绝服务攻击、广播风暴攻击和其他类型的数据包淹没攻击。阈值过滤以网络流量模式为基础。该方法使用阈值来判断应在哪个层级丢弃或阻止网络流量。与阈值过滤相比，静态过滤的效率较低。阈值过滤可以实时判断网络流量模式，确定要设置哪些阈值，以及针对特定数 网络数据包滤流量模式丢弃数据包丢弃数据包记录并报告 允许处处理数据包SiemensDigitalIndustriesSoftware13协议过滤是一种防火墙方法，它根据一组与应用层协议相关的规则来丢弃数据包，可以设置用于以太网、互联网协议(IP)、互联网控制消息协议(ICMP)、传输控制协议(TCP)或用户数据报协议(UDP)。如果流量符合规则设置的准 网络数据包协议过滤丢弃数据包丢弃数据包记录并报告 允许处处理数据包数据日志记录和警报也是很重要的防火墙设计注意事项。应妥善保存记录了安全事件和策略违例事件的日志。还应妥善记录对防火墙策略的更改，以便为审核和取证提供支持。事件日志记录可以用于取证调查，以及确定攻击来源和将来要采取的措施。其他优点还包括实时分析和 网络数据包数据日志记录和警报过滤引过滤引擎丢弃数据包丢弃数据包记录并报告 允许处处理数据包SiemensDigitalIndustriesSoftware14互联汽车环境是设计防火墙时需要考虑的另一事项。最先进的尖端防火墙技术以人的使用模式为基础，并应用了人工智能和机器学习技术；与之相比，互联汽车环境以汽车内较小的功 网络数据包报告 SiemensDigitalIndustriesSoftware15流段防火墙 理器告流段防火墙 理器告过滤引擎处理各个数据包时遵循的规则是必须具备足够的内存并且它将占用CPU周期。重要。防火墙设计者应根据具体的用例来部署最为合适的防火墙。可配置性是其中的关键-在应用了ECU的具体场景、用例或情最后要考虑的设计事项是当数据包进入网络后，应尽早采取过滤措施。太晚过滤可能会无法阻止破坏。当网络遭受数据包淹没攻击时，应考虑拒绝服务攻击。如果数据包能够在网络中存留较长时间，那么攻击目的就达到了。当遭受数据包淹没攻击时，如果太晚才丢弃数据层之间。TCP/IP具有防火墙发挥作用所需的全部信息：源IP地址、目标、MAC地址等等。如果在网络内部深度部署防火墙，那么防火墙可以更高效地发挥作用；在处理直接暴露到外部网络信号器流ARPIPPDU路由器流ARPIPSoAd(套接字适配器)SoAd(套接字适配器)NTP管理器路由表P服务密钥管理(可选)SiemensDigitalIndustriesSoftware16结语早期检测。早期检测是在互联汽车中使用防火墙抵御安全威胁的关键。因为黑客会寻找缺乏抵抗力的端口来入侵网络，屏蔽所有未设防的端口并记录在这些端口中违反了规则的数据包非常重可配置性。可配置性对于内在效率极为重要；要实现内在效率，需要能够单独启用或禁用过滤规则。如果可以使用企业级安全管理系统执行远程配置，那么这将是一项巨大优势。现有的某些解决方案支持对安全策略的集中管理，并提供了其他一些优势，例如远程监控设备的健康状态、支。标准化极为关键；应根据AUTOSAR安全策略管理器贯彻防火墙安全理念。我们建议通汽车行业必须证明自己的产品值得信赖才能使人们信任互联汽车。安全保护不是营销卖点，而是驾驶互联汽车的必备条件，防火墙在多层安全方e3.Fox,Zohar,“HowDoWeTrusttheSoftwareinADriverlessCar,”Forbes,June2018,4.”HackersRemotelyKillaJeepontheHighway–WithMeinIt,”Wired,July21,2015,/2015/07/hackers-remotely-kill-jeep-highway/HYPERLINK"/story/hackers-steal-tesla-