【车联网安全】车端知识调研

news2024/11/16 15:48:09

一、CAN总线:

 1、定义:

  CAN 总线相当于汽车的神经网络,连接车内各控制系统,其通信采用广播机制,各连接部件均可收发控制消息,通信效率高,可确保通信实时性。当前市场上的汽车至少拥有一个CAN网络,作为嵌入式系统之间互联的主干网进行车内信息的交互和共享。

 2、安全风险点:

  ①通信缺乏加密和访问控制机制,可被攻击者逆向总线通信协议,分析出汽车控制指令,用于攻击指令伪造;

  通信缺乏认证及消息校验机制,不能对攻击者伪造、篡改的异常消息进行识别和预警。

  鉴于CAN 总线的特性,攻击者可通过物理侵入或远程侵入的方式实施消息伪造、拒绝服务、重放等攻击,需要通过安全隔离来确保智能网联汽车内部 CAN 网络不被非法入侵。

二、主要攻击手段:

1、物理攻击

 1)恶意的OBD设备

   通过强制的OBD-II端口很容易和车内CAN总线进行交互。事实上大部分的汽车OBD-II  端口充当着一个直接进入车内总线的接口,并且提供12V的直流电源输出,为连接设备提供电力源,放任的处于方向盘下面。几秒钟内,一个恶意的攻击者可以在车内安装一个可操作的设备。真实的世界的场景中,这种事情是可能发生的,比如,代客停车、汽车租赁、车辆借用等。

  常见情况:车主自己在他的车上插入一个后装市场的OBD-II的设备,他相信设备是安全的,其实设备已经被篡改或者是假冒产品。比如,某公司或某店免费赠送的设备,市场上销售的没有经过安全认证的设备。

 2)直接攻击CAN节点

  物理访问攻击不限于诊断端口。攻击者可以在某一状态下,把一个精心制作的设备附加到车内网络,比如车被拆卸,为了测试或者修理。另一个条件下也会发生攻击,通过安装一个篡改过的或者假冒的替换零件。比如,后装市场的娱乐信息系统,停车传感器模块或者防盗系统等。

2、远程攻击

  尽管受到限制,但是可能存在一个漏洞被黑客利用去远程重刷微控制器固件和修改程序,为了执行攻击载荷,执行DoS攻击不需要任何的物理连接目标车辆。

 

 

三、攻击面

1攻击面扩展则体现在直接攻击、便携设备攻击以及无线攻击三个部分,在直接攻击中,需要考虑如何防护针对传动系统、安全控制件、仪表等的攻击;在便携设备中,需要考虑车载APP、OBD接口、导航及议题中提到的娱乐信息设施等;在无线攻击中,智能钥匙、TPMS系统均将挑战自动驾驶等的安全。

2、2018年,绿盟公司初步形成了对车端、云端两侧解决方案的设计。在车端包含入侵行为检测、异常行为分析、安全域划分、ECU安全机制、射频监控、接入策略等维度,覆盖了会议议题提到的几大维度的安全应对模型。在云端以绿盟科技威胁态势感知为依托,除将传统网络攻击能力移植至车载探针外,还搭建自有的FOTA模块,满足固件签名认证保护、加密解密、升级认证等不同业务需求。

四、智能网联汽车面临的信息安全威胁和挑战

1、智能网联汽车的4层威胁+12大风险:

2、终端节点层安全威胁

2.1、T-BOX安全威胁

 1)T-BOX定义:

    T-BOX(Telematics BOX)在汽车内部扮演“Modem”角色,实现车内网和车际网之间的通信,负责将数据发送到云服务器。

3、车内网络传输情况:

 3.1、网络传输存在三大安全风险:

  1)认证风险:没有验证发送者的身份信息、伪造身份、动态劫持等;

  2)传输风险:车辆信息没有加密或者强度不够、密钥信息暴露、所有车型使用相同的对称密钥;

  3)协议风险:通信流程伪装,把一种协议伪装成另一种协议。

4、云平台安全威胁

 4.1、 智能网联汽车协同互联云平台安全架构

5、智能网联汽车风险一览

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2163018.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java集合(下)

Map(重要) HashMap和Hashtable的区别 线程是否安全: HashMap 是非线程安全的,Hashtable 是线程安全的,因为 Hashtable 内部的方法基本都经过synchronized 修饰。(如果你要保证线程安全的话就使用 ConcurrentHashMap …

也遇到过 PIL Image “image file is truncated“的问题

背景前言 属于活久见系列,最近工作上遇了该问题! 背景:前端 APP使用 Android CameraX 的接口,拍摄并上传图片,然后 Python后端服务对图片裁剪与压缩处理。后端服务处理图片时有遇到image file is truncated的情况。还…

Spring AOP实现原理-动态代理

目录 代理的基础概念 示例1:静态代理(场景:客户通过中介租房东的房子) 示例2:JDK动态代理实现房东、中介出租房屋 示例3:CGLib动态代理实现房东出租房屋 示例4:观察Spring IOC容器中代理对象…

One-Class Classification: A Survey

I. INTRODUCTION 1.定义 OCC 是一种特殊的多类分类,训练数据仅来自单个正类。目标是学习表示和/或分类器,以便在推理过程中识别正类查询。 2.应用 异常图像检测、异常事件检测、生物识别(活体检测、反诈骗) 3.与其他领域的比…

Python连接Kafka收发数据等操作

目录 一、Kafka 二、发送端(生产者) 三、接收端(消费者) 四、其他操作 一、Kafka Apache Kafka 是一个开源流处理平台,由 LinkedIn 开发,并于 2011 年成为 Apache 软件基金会的一部分。Kafka 广泛用于构…

在Java中,关于final、static关键字与方法的重写和继承【易错点】

在Java中,关于final、static关键字与方法的重写和继承【易错点】 1.final方法不能被重写2.static方法不是重写,而是遮蔽3.final与static的组合4.final与继承5.static与继承 1.final方法不能被重写 如果父类中的方法被声明为final,那么这个方法…

开源音频处理项目推荐【持续更新】

Audacity 介绍:Audacity是一款功能强大的开源音频编辑软件,适用于多种操作系统,包括Windows、macOS和Linux。它支持多轨音频编辑、录制,并且提供了丰富的音频处理功能,如剪切、复制、粘贴、混音、降噪等 。Audacity的…

基于Python+flask+MySQL+HTML的全国范围水质分析预测系统,可视化用echarts,预测算法随机森林

1绪论 近年来,水质监测系统的进步显著,这在全球环保意识不断提升的背景下尤为明显。大量资源被投入到水质监测技术的研发和应用中,以不断优化监测效能。水资源的保护及健康环境的维护,这种趋势旨在提升人们生活质量,确…

微软宣称其新工具可纠正人工智能幻觉 但专家依然对此表示怀疑

人工智能经常胡言乱语,微软现在说它有办法解决这个问题,但我们有理由对此持怀疑态度。微软今天发布了一项名为"更正"(Correction)的服务,它可以自动修改人工智能生成的与事实不符的文本。Correction 首先会标…

华为认证HCIA篇--网络通信基础

大家好呀!我是reload。今天来带大家学习一下华为认证ia篇的网络通信基础部分,偏重一些基础的认识和概念性的东西。如果对网络通信熟悉的小伙伴可以选择跳过,如果是新手或小白的话建议还是看一看,先有个印象,好为后续的…

8.隐私与安全 - 使用ChatGPT时的注意事项【8/10】

引言 在数字时代,隐私和安全已成为全球关注的焦点。随着技术的发展,个人信息和数据的收集、存储、处理和传输变得越来越普遍,这既带来了便利,也带来了风险。保护个人隐私和数据安全不仅是法律的要求,也是维护公众信任…

solidwork中查看装配体螺丝或零件

假设我的PETG打印件到了,想知道这个螺丝的型号,怎么办 解决办法: 第一步先看看有没有固定的字样 如果固定的话是不行的。需要这样做: 把这里给关了 接下来第二步,点击你想查看的螺丝 然后就会跳到零件图 可以看到直径…

Cloudflare为网站添加AI审计 可检查AI爬虫何时抓取和抓取频次以及直接屏蔽爬虫

网络服务提供商 Cloudflare 宣布即日起为所有网站 (包括免费托管的网站) 带来 AI 审计功能,该功能目前处于测试阶段,可以分析 AI 公司的爬虫和抓爬数据。新的 AI 审计工具 (Cloudflare AI Audit) 主要提供 AI 公司的爬虫何时到网站来抓取数据、抓取的数据…

Unity 热更新(HybridCLR+Addressable)-资源更新

七、资源更新 创建一个叫Aot的文件夹,用来存放不会热更新的资源 这个修改为第三个 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/b8be5e6465184ad5ad6173c6870bfa06.png 这个是更新 在更新或者打包时遇到端口被占的报错,不用理会&#xf…

二、认识大模型

认识大模型 什么是大模型?发展趋势AGI是不是泡沫大模型对比【时效】大模型特点大模型技术原理向量化除了向量化,大模型还具有特征提取特点 总结结语 什么是大模型? 大模型是大规模语言模型(Large Language Model)的简…

mysql如何替换数据库所有表中某些字段含有的特定值

目录 背景查询所有表名查询表的所有字段过虑特征字段替换字段中含有的特定值 背景 公司的测试域名更换了,导致存放在数据库中的域名也要跟着替换,当然把域名存放在数据库表中是不科学的,不建议这样做,但公司的同事就这样做了&…

由动静压之比求马赫数的MATLAB函数

函数介绍 输入:动静压之比 p r e pre pre 输出:马赫数 M a c h Mach Mach 【注】仅适合亚音速的情况,如果动静压之比过大或过小,会有相应的提示 函数源代码 function [m] pre2mach(pre) m(5*(pre1).^0.2857-5).^0.5; if pre&l…

Leetcode 螺旋矩阵

算法思想: 这个算法的目标是按照顺时针螺旋的顺序从矩阵中取出元素。为了做到这一点,整个思路可以分成几个关键步骤: 定义边界:首先需要定义四个边界变量: left:当前左边界的索引。right:当前右…

uniapp 实现3d轮播图,也就是中间的放大两边的缩小 用swiper和swiper-item就能实现

话不多说&#xff0c;直接上代码&#xff0c;无需引入外部资源&#xff0c; 用swiper和swiper-item就能实现 先上结构代码 <swiper class"header" circular previous-margin"80rpx" next-margin"60rpx" :current"current"change&…

点亮城市安全:高科技助力精准定位路灯漏电‘隐形杀手

在城市的每一个角落&#xff0c;路灯如同守夜人&#xff0c;默默照亮归家的路。然而&#xff0c;当这些守护者出现“漏电”隐患时&#xff0c;不仅威胁着行人的安全&#xff0c;还可能引发一系列电气故障。那么&#xff0c;如何精准快速地找出这些隐藏的漏电点&#xff0c;并有…