車載信息第八章-車載信息安全技術(shù)課件

第八章車載信息安全技術(shù)1第八章車載信息安全技術(shù)1第一節(jié)信息安全技術(shù)簡介信息安全是指信息系統(tǒng)及網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受意外的或者惡意的原因遭到破壞、更改、泄露、非法使用，系統(tǒng)連續(xù)可靠地按照預(yù)定的性能指標(biāo)提供信息服務(wù)以及其他基于信息數(shù)據(jù)的功能。信息安全主要包括五個方面的內(nèi)容，即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。其根本目的就是使系統(tǒng)的信息不受外部以及內(nèi)部因素的威脅。2第一節(jié)信息安全技術(shù)簡介信息安全是指信息系統(tǒng)及網(wǎng)絡(luò)的硬件、軟第一節(jié)信息安全技術(shù)簡介信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。3第一節(jié)信息安全技術(shù)簡介信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技第一節(jié)信息安全技術(shù)簡介（一）產(chǎn)生信息安全問題的因素（二）存在的威脅及目標(biāo)（三）信息安全實現(xiàn)的主要目標(biāo)4第一節(jié)信息安全技術(shù)簡介（一）產(chǎn)生信息安全問題的因素4（一）產(chǎn)生信息安全問題的因素產(chǎn)生信息安全問題的主要因素有：（1）使用廣泛的微機安全結(jié)構(gòu)不夠完善。（2）面對現(xiàn)在的各種相互交流廣泛的公用應(yīng)用環(huán)境，微機的安全防御能力就顯得弱了。（3）計算機網(wǎng)絡(luò)把計算機變成網(wǎng)絡(luò)中的一個組成部分。在連接上突破了地理隔離和直接接觸的限制，產(chǎn)生了各種信息安全問題。5（一）產(chǎn)生信息安全問題的因素產(chǎn)生信息安全問題的主要因素有：5（一）產(chǎn)生信息安全問題的因素（4）操作系統(tǒng)存在安全缺陷。（5）隨著嵌入式系統(tǒng)出現(xiàn)在各種各樣的系統(tǒng)中，并且連接入網(wǎng)絡(luò)，使得信息安全問題正在成為所有直接或間接使用計算機的系統(tǒng)必須面臨的問題。6（一）產(chǎn)生信息安全問題的因素（4）操作系統(tǒng)存在安全缺陷。6（二）存在的威脅及目標(biāo)目前，信息安全主要面臨如下的安全威脅：(1)信息泄露：信息被泄露或透露給某個非授權(quán)的實體；(2)破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失；(3)拒絕服務(wù)：對信息或其他資源的合法訪問被無條件地阻止；(4)非法使用(非授權(quán)訪問)：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用；7（二）存在的威脅及目標(biāo)目前，信息安全主要面臨如下的安全威脅：（二）存在的威脅及目標(biāo)(5)竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息；(6)業(yè)務(wù)流分析：通過對系統(tǒng)進(jìn)行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價值的信息和規(guī)律；(7)假冒：通過欺騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。8（二）存在的威脅及目標(biāo)(5)竊聽：用各種可能的合法或非法的（二）存在的威脅及目標(biāo)(8)旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。(9)授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”；9（二）存在的威脅及目標(biāo)(8)旁路控制：攻擊者利用系統(tǒng)的安全（二）存在的威脅及目標(biāo)(10)特洛伊木馬：軟件中含有一個覺察不出的有害的程序段，當(dāng)它被執(zhí)行時，會破壞用戶的安全。這種應(yīng)用程序稱為特洛伊木馬(TrojanHorse)；(11)陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機關(guān)”，使得在特定的數(shù)據(jù)輸入時，允許違反安全策略；(12)抵賴：這是一種來自用戶的攻擊，如：否認(rèn)自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等；10（二）存在的威脅及目標(biāo)(10)特洛伊木馬：軟件中含有一個覺察（二）存在的威脅及目標(biāo)(13)重放：出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行拷貝，而重新發(fā)送；(14)計算機病毒：一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序；(15)人員不慎：一個授權(quán)的人為了某種利益，或由于粗心，將信息泄露給一個非授權(quán)的人；(16)媒體廢棄：信息被從廢棄的磁碟或打印過的存儲介質(zhì)中獲得；11（二）存在的威脅及目標(biāo)(13)重放：出于非法目的，將所截獲的（二）存在的威脅及目標(biāo)(17)物理侵入：侵入者繞過物理控制而獲得對系統(tǒng)的訪問；(18)竊取：重要的安全物品，如令牌或身份卡被盜；(19)業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息；(20)影響、干預(yù)系統(tǒng)性能指標(biāo)：使系統(tǒng)無法保障按照設(shè)計的性能指標(biāo)完成功能。12（二）存在的威脅及目標(biāo)(17)物理侵入：侵入者繞過物理控制而（三）信息安全實現(xiàn)的主要目標(biāo)信息的產(chǎn)生、存儲、傳輸以及應(yīng)用的方式多且復(fù)雜。在這些過程中，存在泄密或被截收、竊聽、竄改和偽造的可能性。單一的保密措施已很難保證通信和信息以及信息系統(tǒng)的安全，應(yīng)通過技術(shù)的、管理的、行政的、法律的手段，實現(xiàn)信源、信號、信息以及系統(tǒng)的保護，達(dá)到信息安全的目的。13（三）信息安全實現(xiàn)的主要目標(biāo)信息的產(chǎn)生、存儲、傳輸以及應(yīng)用的（三）信息安全實現(xiàn)的主要目標(biāo)信息安全實現(xiàn)的主要目標(biāo)包括：（1）真實性：對信息的來源進(jìn)行判斷，能對偽造來源的信息予以鑒別；（2）保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義；（3）完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改；（4）可用性：保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^；14（三）信息安全實現(xiàn)的主要目標(biāo)信息安全實現(xiàn)的主要目標(biāo)包括：14（三）信息安全實現(xiàn)的主要目標(biāo)（5）不可抵賴性：建立有效的責(zé)任機制，防止用戶否認(rèn)其行為，這點在電子商務(wù)中是極其重要的；（6）可控制性：對信息的傳播及內(nèi)容具有控制能力；（7）可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段；（7）時效性：保證數(shù)據(jù)使用的實時性要求。15（三）信息安全實現(xiàn)的主要目標(biāo)（5）不可抵賴性：建立有效的責(zé)任二、信息安全相關(guān)技術(shù)（一）身份認(rèn)證（二）數(shù)據(jù)加密（三）網(wǎng)絡(luò)防火墻16二、信息安全相關(guān)技術(shù)（一）身份認(rèn)證16（一）身份認(rèn)證身份認(rèn)證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者及信息訪問者（包括人、系統(tǒng)、軟件）身份的過程。計算機系統(tǒng)以及計算機網(wǎng)絡(luò)中，使用一組特定的數(shù)據(jù)對用戶進(jìn)行表示的，怎樣確保這個以數(shù)字身份進(jìn)行訪問的就是這個數(shù)字身份合法擁有者，就成為一個很重要的問題。身份認(rèn)證就是為了解決這個問題。17（一）身份認(rèn)證身份認(rèn)證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者及信息訪（一）身份認(rèn)證身份認(rèn)證的任務(wù)可以概括成以下四個方面：（1）會話參與方身份的認(rèn)證：保證參與者不是經(jīng)過偽裝的潛在威脅者；（2）會話內(nèi)容的完整性：保證會話內(nèi)容在傳輸過程中不被篡改；（3）會話的機密性：保證會話內(nèi)容(明文)不會被潛在威脅者所竊聽；（4）會話抗抵賴性：保證在會話后雙方無法抵賴自己所發(fā)出過的信息18（一）身份認(rèn)證身份認(rèn)證的任務(wù)可以概括成以下四個方面：18（一）身份認(rèn)證信息系統(tǒng)中，對用戶的身份認(rèn)證方法可以按照不同的標(biāo)準(zhǔn)進(jìn)行分類。僅通過一個條件來證明身份稱之為單因子認(rèn)證，通過組合兩種不同條件來證明身份，稱之為雙因子認(rèn)證。按照身份認(rèn)證技術(shù)是否使用硬件，又分為軟件認(rèn)證和硬件認(rèn)證。從認(rèn)證信息來看，可以分為靜態(tài)認(rèn)證和動態(tài)認(rèn)證。19（一）身份認(rèn)證信息系統(tǒng)中，對用戶的身份認(rèn)證方法可以按照不同的（一）身份認(rèn)證現(xiàn)在計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：（1）靜態(tài)口令方式，口令是靜態(tài)的數(shù)據(jù)，在計算機內(nèi)存中和網(wǎng)絡(luò)中傳輸，每次驗證過程使用的驗證信息都是相同的，易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。是極不安全的身份認(rèn)證方式。20（一）身份認(rèn)證現(xiàn)在計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有（一）身份認(rèn)證（2）動態(tài)口令方式，每個密碼只使用一次。采用一種稱之為動態(tài)令牌的專用硬件，通過密碼生成芯片運行專門的密碼算法，根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼。認(rèn)證服務(wù)器采用相同的算法。即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。但如果不能保持良好的同步，就可能發(fā)生合法用戶無法登陸的問題。21（一）身份認(rèn)證（2）動態(tài)口令方式，每個密碼只使用一次。采用一（一）身份認(rèn)證（3）IC卡方式，是一種內(nèi)置集成電路的卡片，存有與用戶身份相關(guān)的數(shù)據(jù)。登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。通過IC卡硬件不可復(fù)制來保證用戶身份不會被仿冒。由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗證信息。22（一）身份認(rèn)證（3）IC卡方式，是一種內(nèi)置集成電路的卡片，（一）身份認(rèn)證（4）USBKey認(rèn)證，是采用軟硬件相結(jié)合、一次一密的強雙因子認(rèn)證模式。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。USBKey具有雙重驗證機制，用戶PIN碼和USBKey硬件標(biāo)識。23（一）身份認(rèn)證（4）USBKey認(rèn)證，是采用軟硬件相結(jié)合（一）身份認(rèn)證（5）生物特征認(rèn)證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術(shù)。常見的有指紋識別、聲音識別、虹膜識別等。理論上，這是最可靠的身份認(rèn)證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份，不同的人具有相同生物特征的可能性可以忽略不計，因此幾乎不可能被仿冒。24（一）身份認(rèn)證（5）生物特征認(rèn)證是指采用每個人獨一無二的生物（二）數(shù)據(jù)加密把用通用的表達(dá)方式表示的信息文本稱為明文(plaintext)，將明文變通過變換后的文本稱為密文(ciphertext)。把明文變換成密文的過程叫加密(encipher)，把密文變換成明文的過程叫解密(decipher)。用于加解密的一些特殊信息稱為密鑰(keyword)，它是控制明文與密文之間變換的關(guān)鍵，它可以是數(shù)字、詞匯或語句。密鑰分為加密密鑰(EncryptionKey)和解密密鑰(DecryptionKey)。25（二）數(shù)據(jù)加密把用通用的表達(dá)方式表示的信息文本稱為明文(p（二）數(shù)據(jù)加密完成加密和解密的算法稱為密碼體制(CipherSystem)。傳統(tǒng)的密碼體制所用的加密密鑰和解密密鑰相同，即對稱式密鑰加密技術(shù)；加密密鑰和解密密鑰不同稱為非對稱式密碼加密技術(shù)。數(shù)據(jù)加密或解密變換過程如圖8-1所示。26圖8-1加密解密變換（二）數(shù)據(jù)加密完成加密和解密的算法稱為密碼體制(Ciphe（二）數(shù)據(jù)加密實現(xiàn)數(shù)據(jù)加密的主要技術(shù)可以分為對稱加密技術(shù)，公開密鑰加密技術(shù)以及對稱加密與公開加密相結(jié)合的技術(shù)。（1）對稱加密技術(shù)，是指加密和解密均采用同一把秘密鑰匙，通信雙方必須都要獲得這把鑰匙，并保持鑰匙的秘密。當(dāng)給對方發(fā)信息時，用加密密鑰進(jìn)行加密，在接收方收到數(shù)據(jù)后，用對方所給的密鑰進(jìn)行解密。也稱為秘密鑰匙加密法。27（二）數(shù)據(jù)加密實現(xiàn)數(shù)據(jù)加密的主要技術(shù)可以分為對稱加密技術(shù)，公（二）數(shù)據(jù)加密對稱式密鑰加密技術(shù)加密算法主要有以下兩種:①DES(DataEncryptionStandard)算法，即數(shù)據(jù)加密標(biāo)準(zhǔn)。它綜合運用了置換、代替、代數(shù)多種密碼技術(shù)，把信息分成64位大小的塊，使用56位密鑰，迭代輪數(shù)為16輪的加密算法。②IDEA(InternationalDataEncryptionAlgorithm)算法，是一種國際信息加密算法。是一個分組大小為64位，密鑰為128位，迭代輪數(shù)為八輪的迭代型密碼體制。，有效地消除了任何試圖窮盡搜索密鑰的可能性。28（二）數(shù)據(jù)加密對稱式密鑰加密技術(shù)加密算法主要有以下兩種:28（二）數(shù)據(jù)加密對稱式密鑰加密技術(shù)具有加密速度快，保密度高等優(yōu)點。但也有其缺點：①密鑰是保密通信安全的關(guān)鍵，如何才能把密鑰安全地送到收信方，是對稱密鑰加密技術(shù)的突出問題，密鑰分發(fā)過程十分復(fù)雜，所花代價高。②多人通信時密鑰的組合的數(shù)量，會出現(xiàn)爆炸性的膨脹，n個人進(jìn)行兩兩通信，總需要的密鑰數(shù)為n(n-1)/2。③通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息。29（二）數(shù)據(jù)加密對稱式密鑰加密技術(shù)具有加密速度快，保密度高等優(yōu)（二）數(shù)據(jù)加密（2）公鑰加密技術(shù)，要求密鑰成對使用，即加密和解密分別由兩個密鑰來實現(xiàn)。每個用戶都有一對選定的密鑰，一個可以公開，即公共密鑰，用于加密；另一個由用戶安全擁有，即秘密密鑰，用于解密。公共密鑰和秘密密鑰之間有密切的關(guān)系。當(dāng)給對方發(fā)信息時，用對方的公開密鑰進(jìn)行加密，而在接收方收到數(shù)據(jù)后，用自己的秘密密鑰進(jìn)行解密，稱為非對稱密碼加密技術(shù)。30（二）數(shù)據(jù)加密（2）公鑰加密技術(shù)，要求密鑰成對使用，即加密和（二）數(shù)據(jù)加密公開密鑰加密算法主要是RSA加密算法。它是第一個成熟的、迄今為止理論上最為成功的公開密鑰密碼體制，RSA加密、解密過程由密鑰生成、加密過程和解密過程組成。公開密鑰加密技術(shù)的優(yōu)點是：①密鑰少便于管理，網(wǎng)絡(luò)中的每一用戶只需保存自己的解密密鑰，則N個用戶僅需產(chǎn)生N對密鑰。②密鑰分配簡單，加密密鑰分發(fā)給用戶，而解密密鑰則由用戶自己保管。31（二）數(shù)據(jù)加密公開密鑰加密算法主要是RSA加密算法。它是第一（二）數(shù)據(jù)加密③不需要秘密通道和復(fù)雜的協(xié)議來傳送密鑰。④可以實現(xiàn)數(shù)字簽名和數(shù)字鑒別。缺點是加、解密速度慢。在實際應(yīng)用中結(jié)合使用DES/IDEA和RSA，對于網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)用DES或IDEA加密，而加密用的密鑰則用RSA加密傳送，此方法既保證了數(shù)據(jù)安全又提高了加密和解密的速度。32（二）數(shù)據(jù)加密③不需要秘密通道和復(fù)雜的協(xié)議來傳送密鑰。32（二）數(shù)據(jù)加密DES/IDEA和RSA結(jié)合使用如圖8-2所示。33圖8-2

DES/IDEA與RSA結(jié)合加密原理示意圖（二）數(shù)據(jù)加密DES/IDEA和RSA結(jié)合使用如圖8-2所（二）數(shù)據(jù)加密首先發(fā)信者使用DES/IDEA算法用對稱鑰將明文原信息加密獲得密文，然后使用接收者的RSA公開鑰將對稱鑰加密獲得加密的DES或IDEA密鑰，將密文和加密的密鑰一起通過網(wǎng)絡(luò)傳送給接收者。接收方接收到密文信息后，首先用自己的密鑰解密而獲得DES或IDEA密鑰，再用這個密鑰將密文解密而最后獲得明文原信息。由此，起到了對明文信息保密的作用。34（二）數(shù)據(jù)加密首先發(fā)信者使用DES/IDEA算法用對稱鑰將（三）網(wǎng)絡(luò)防火墻防火墻指的是一類計算機網(wǎng)絡(luò)安全措施的總稱。主要是通過將外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)隔離，對于網(wǎng)絡(luò)互相訪問進(jìn)行限制，從而達(dá)到保護內(nèi)部網(wǎng)絡(luò)的目的。防火墻可以通過對進(jìn)出網(wǎng)絡(luò)的通信進(jìn)行監(jiān)控過濾，認(rèn)為安全的信息才能進(jìn)入到內(nèi)部網(wǎng)絡(luò)和計算機系統(tǒng)，可有效地抵制危險數(shù)據(jù)對于網(wǎng)絡(luò)安全構(gòu)成的威脅。35（三）網(wǎng)絡(luò)防火墻防火墻指的是一類計算機網(wǎng)絡(luò)安全措施的總稱。主（三）網(wǎng)絡(luò)防火墻防火墻的功能主要體現(xiàn)在以下幾個方面：（1）通過限制外部進(jìn)入內(nèi)部網(wǎng)絡(luò)，將一些不安全的鏈接以及非法訪問隔絕在外。（2）組織協(xié)調(diào)計算機系統(tǒng)的防御設(shè)施。（3）對于特殊站點的訪問進(jìn)行限制。（4）方便了網(wǎng)絡(luò)安全的監(jiān)督工作以及預(yù)警工作。（5）防止出現(xiàn)資源被濫用的現(xiàn)象36（三）網(wǎng)絡(luò)防火墻防火墻的功能主要體現(xiàn)在以下幾個方面：36（三）網(wǎng)絡(luò)防火墻從不同的應(yīng)用目的或?qū)崿F(xiàn)方式等，防火墻有以下幾種分類：（1）按照軟硬件形式來分類，可分為軟件防火墻與硬件防火墻。（2）按技術(shù)分類，包括“包過濾型”以及“應(yīng)用代理型”兩大類。37（三）網(wǎng)絡(luò)防火墻從不同的應(yīng)用目的或?qū)崿F(xiàn)方式等，防火墻有以下幾（三）網(wǎng)絡(luò)防火墻（3）按結(jié)構(gòu)分類，包括單一的主機防火墻、分布式防火墻以及集成式的防火墻。（4）按應(yīng)用部署位置分類，包括個人防火墻、邊界防火墻以及混合防火墻（5）按性能分類，包括兩種類型，一種是百兆級防火墻，一種是千兆級防火墻。38（三）網(wǎng)絡(luò)防火墻（3）按結(jié)構(gòu)分類，包括單一的主機防火墻、分布三、嵌入式系統(tǒng)信息安全作為一類計算機系統(tǒng)，隨著應(yīng)用的普及以及網(wǎng)絡(luò)化的發(fā)展，嵌入式系統(tǒng)信息安全問題越來越嚴(yán)重，也越來受到越多的關(guān)注。（一）嵌入式系統(tǒng)信息安全面臨的問題（二）嵌入式系統(tǒng)的安全需求（三）嵌入式系統(tǒng)各階段的信息安全考慮三、嵌入式系統(tǒng)信息安全作為一類計算機系統(tǒng)，隨著應(yīng)用的普及以及（一）嵌入式系統(tǒng)信息安全面臨的問題嵌入式系統(tǒng)是嵌入到其他系統(tǒng)或裝置中的計算機。嵌入式系統(tǒng)的信息安全問題，不僅會產(chǎn)生信息方面的問題，而可能產(chǎn)生物理上的效果。針對嵌入式系統(tǒng)的功能安全，國際電工委員會（IEC）制定的功能安全標(biāo)準(zhǔn)—IEC61508業(yè)，并衍生出了很多相關(guān)的行業(yè)標(biāo)準(zhǔn)。（一）嵌入式系統(tǒng)信息安全面臨的問題嵌入式系統(tǒng)是嵌入到其他系統(tǒng)（一）嵌入式系統(tǒng)信息安全面臨的問題IEC61508針對一些隨機的、意外的故障導(dǎo)致的功能失效提出了解決方案，對惡意的信息安全攻擊導(dǎo)致的功能失效沒有提出相關(guān)的解決方法。IEC61508的Part1給出了對于功能安全的通用要求，其中定義了功能安全的生命周期是一個識別-分析-設(shè)計-驗證的邏輯循環(huán)過程，同時定義了兩種模式（按需模式、連續(xù)模式）下的安全級別，一共分為4級。（一）嵌入式系統(tǒng)信息安全面臨的問題IEC61508針對一（一）嵌入式系統(tǒng)信息安全面臨的問題IEC61508的Part2給出了對硬件的功能安全要求。導(dǎo)致硬件故障的原因，可以分為隨機錯誤、系統(tǒng)錯誤、環(huán)境影響、操作錯誤。IEC61508的Part3給出了對軟件的功能安全要求。導(dǎo)致軟件故障的原因，主要是在軟件開發(fā)過程中產(chǎn)生的各種缺陷，通過嵌入式軟件測試的方法，可以發(fā)現(xiàn)這些缺陷，從而修正缺陷，保證整個系統(tǒng)的功能安全。（一）嵌入式系統(tǒng)信息安全面臨的問題IEC61508的P（一）嵌入式系統(tǒng)信息安全面臨的問題目前實際的嵌入式軟件測試大多是功能測試，即測試嵌入式軟件功能是否符合需求規(guī)格。對嵌入式系統(tǒng)的信息安全往往利用嵌入式軟件本身或基于的操作系統(tǒng)的某些缺陷，注入惡意代碼，使得嵌入式系統(tǒng)失控。（一）嵌入式系統(tǒng)信息安全面臨的問題目前實際的嵌入式軟件測試大（二）嵌入式系統(tǒng)的安全需求現(xiàn)代汽車的控制和信息系統(tǒng)采用了大量的微控制器，通過車載的內(nèi)部網(wǎng)絡(luò)，如CAN總線，進(jìn)行相互通信，共享信息并協(xié)調(diào)完成對汽車的控制功能。隨著車載電腦的配置，無線網(wǎng)絡(luò)技術(shù)的發(fā)展，如車載Adhoc網(wǎng)絡(luò)（VANET），車載電子系統(tǒng)逐漸成為一個開放的平臺，來自外部的信息安全攻擊，通過各種各樣與外部聯(lián)系的途徑影響車載電子系統(tǒng)。（二）嵌入式系統(tǒng)的安全需求現(xiàn)代汽車的控制和信息系統(tǒng)采用了大量（二）嵌入式系統(tǒng)的安全需求嵌入式系統(tǒng)的開發(fā)環(huán)境也是一個很重要的環(huán)節(jié)，惡意代碼可能在開發(fā)階段就已存在。在嵌入式系統(tǒng)的生命周期的各個階段都必須考慮由于信息安全攻擊引起的功能安全問題。嵌入式系統(tǒng)常常只限于部分授權(quán)用戶使用(用戶認(rèn)證)，或者限制對網(wǎng)絡(luò)，主機以及應(yīng)用程序等資源的使用(訪問控制)。這些都是由基本安全功能通過用戶與主機間相互認(rèn)證來實現(xiàn)的。（二）嵌入式系統(tǒng)的安全需求嵌入式系統(tǒng)的開發(fā)環(huán)境也是一個很重要（二）嵌入式系統(tǒng)的安全需求可用性是嵌入式系統(tǒng)可被授權(quán)實體訪問并按需求使用的特性，確保合法用戶對信息和資源的使用不會被不正當(dāng)?shù)木芙^(DOS)。防篡改是指如何有效地保證上述安全功能需求，即便惡意實體獲取了整個嵌入式系統(tǒng)，并能對其進(jìn)行物理或邏輯上探測。（二）嵌入式系統(tǒng)的安全需求可用性是嵌入式系統(tǒng)可被授權(quán)實體訪問（三）嵌入式系統(tǒng)各階段的信息安全考慮在規(guī)劃需求階段，對于嵌入式系統(tǒng)來說，應(yīng)該明確系統(tǒng)對于功能安全的需求與規(guī)范，以此來識別、分析嵌入式系統(tǒng)可能受到的信息安全威脅，以及由這些威脅可能導(dǎo)致的系統(tǒng)功能受損。在設(shè)計開發(fā)階段，設(shè)計人員應(yīng)該根據(jù)識別出的信息安全威脅，設(shè)計相應(yīng)的安全策略和保護措施，嵌入式系統(tǒng)的開發(fā)環(huán)境也需要考慮安全策略和保護措施。（三）嵌入式系統(tǒng)各階段的信息安全考慮在規(guī)劃需求階段，對于嵌入（三）嵌入式系統(tǒng)各階段的信息安全考慮在實施修改階段，應(yīng)該對嵌入式系統(tǒng)所可能遭受到的信息安全威脅、系統(tǒng)本身的脆弱性進(jìn)一步進(jìn)行識別分析，可能會發(fā)現(xiàn)以前未識別的威脅或脆弱性，需要對系統(tǒng)的安全策略或措施進(jìn)行修訂完善。在測試驗證階段，應(yīng)該對嵌入式系統(tǒng)所采取的安全措施進(jìn)行測試驗證，以驗證這些策略和措施的有效性。（三）嵌入式系統(tǒng)各階段的信息安全考慮在實施修改階段，應(yīng)該對嵌第二節(jié)汽車信息安全問題一、外部可能接入車載系統(tǒng)的渠道二、對車載信息系統(tǒng)的攻擊方式三、車載系統(tǒng)的信息類型及安全問題第二節(jié)汽車信息安全問題一、外部可能接入車載系統(tǒng)的渠道一、外部可能接入車載系統(tǒng)的渠道汽車與外部的信息通道及可能受到的攻擊示例如圖8-3、8-4所示。在信息接入方式上，車載電子與信息系統(tǒng)可以歸納為：1、網(wǎng)絡(luò)信息通信，主要是車輛通過無線移動網(wǎng)絡(luò)與外部的信息鏈接通路。攻擊者無需靠近汽車，就可以通過網(wǎng)絡(luò)攻擊任何一輛汽車。一、外部可能接入車載系統(tǒng)的渠道汽車與外部的信息通道及可能受到2、車載系統(tǒng)與陸基交通或其他專用設(shè)施間的通信3、汽車智能遙控車鑰匙智能手機等方式的接入，提供了一個接入車載信息系統(tǒng)的通道，外部可以通過無線車鑰匙與車門鎖控制系統(tǒng)的通信通道接入車載信息網(wǎng)絡(luò)。4、通過車載系統(tǒng)間無線信息通道的接入，一些車上的裝置間可能采用無線通信方式，或短距離無線網(wǎng)絡(luò)通信。2、車載系統(tǒng)與陸基交通或其他專用設(shè)施間的通信5、通過生產(chǎn)制造或維護過程的信息接口的接入，汽車的很多總成都已經(jīng)是電控，這些總成的控制單元都是要接入汽車車載通信網(wǎng)絡(luò)的。6、通過車載信息娛樂設(shè)備接口的介入，車載信息娛樂設(shè)備終端是用戶可以直接使用的車載裝置。5、通過生產(chǎn)制造或維護過程的信息接口的接入，汽車的很多總成都圖8-3車載信息系統(tǒng)與外部信息的連接示例圖8-3車載信息系統(tǒng)與外部信息的連接示例圖8-4對車載信息系統(tǒng)介入的途徑示例圖8-4對車載信息系統(tǒng)介入的途徑示例二、對車載信息系統(tǒng)的攻擊方式對車載系統(tǒng)的惡意訪問或攻擊方式主要有：1）非法利用2）非法設(shè)置3）竊聽4）信道擁塞(DoS攻擊)二、對車載信息系統(tǒng)的攻擊方式對車載系統(tǒng)的惡意訪問或攻擊方式主5）虛假消息6）記錄丟失7）非法轉(zhuǎn)播8）信息泄露5）虛假消息分析與汽車信息安全相關(guān)的攻擊策略，如圖8-5，可總結(jié)出三種攻擊途徑：（1）直接攻擊。惡意攻擊者比較容易直接接觸到汽車。（2）從便攜式產(chǎn)品入侵，用戶通過汽配市場等途徑購買安裝在車上的產(chǎn)品時，來自外部的病毒等威脅可能進(jìn)入車內(nèi)。（3）從外部網(wǎng)絡(luò)攻擊，汽車上有很多使用通信的裝置，有可能受到通信被竊聽、被惡意中斷等威脅。分析與汽車信息安全相關(guān)的攻擊策略，如圖8-5，可總結(jié)出三種攻三、車載系統(tǒng)的信息類型及安全問題車載電子和信息系統(tǒng)主動或被動獲取、傳輸、存儲、使用的數(shù)字化信息可以歸納為以下幾種類型：（1）汽車的信息，包括①汽車固有信息、認(rèn)證信息碼、行駛等信息②汽車狀態(tài)信息③軟件④設(shè)置信息⑤使用保養(yǎng)等歷史數(shù)據(jù)。這些信息直接影響汽車的工作狀態(tài)，對這些信息的惡意訪問將可能產(chǎn)生汽車非正常運行和操控。三、車載系統(tǒng)的信息類型及安全問題車載電子和信息系統(tǒng)主動或被動（2）用戶信息，用戶（駕駛員和乘坐人員）的個人信息、認(rèn)證信息、繳費信息、使用記錄和操作記錄等。（3）信息服務(wù)數(shù)據(jù)視頻、音樂、地圖、天氣等應(yīng)用數(shù)據(jù)。（4）交通管理信息年檢、排放、道路區(qū)域行駛限制、車籍信息、保險、事故記錄。（2）用戶信息，用戶（駕駛員和乘坐人員）的個人信息、認(rèn)證信息圖8-5汽車信息安全攻擊策略示例圖8-5汽車信息安全攻擊策略示例第三節(jié)汽車信息安全架構(gòu)OSEK標(biāo)準(zhǔn)是在汽車行業(yè)中現(xiàn)今最廣泛使用的標(biāo)準(zhǔn)之一。這個標(biāo)準(zhǔn)包含了AUTOSAR架構(gòu)的基礎(chǔ)，從實時操作系統(tǒng)RTOS(RealTimeOperatingSystem)、軟件接口、通信和網(wǎng)絡(luò)管理等方面對汽車的電子控制軟件開發(fā)平臺作了較為全面的定義與規(guī)定。AUTOSAR（AUTomotiveOpenSystemArchitecture，汽車開放系統(tǒng)架構(gòu)）是一些汽車OEM、供應(yīng)商、工具提供商和半導(dǎo)體公司組成的組織，共同致力于開發(fā)和制定汽車電氣/電子(E/E)架構(gòu)事實的開放式行業(yè)軟件標(biāo)準(zhǔn)。第三節(jié)汽車信息安全架構(gòu)OSEK標(biāo)準(zhǔn)是在汽車行業(yè)中現(xiàn)今最廣泛第三節(jié)汽車信息安全架構(gòu)ISO26262標(biāo)準(zhǔn)的目的則以功能安全性為中心，實質(zhì)上是以避免或檢測并處理故障為目的，從而減輕故障影響并防止出現(xiàn)對任何既有的系統(tǒng)安全目標(biāo)的違反行為。OVERSEE制定的目標(biāo)是提供一個受保護的標(biāo)準(zhǔn)化的車內(nèi)運行環(huán)境、車內(nèi)的接入口和通訊點，以滿足智能汽車需要具備的安全性，通信能力和開放性，較全面考慮了車載信息安全問題，并制定了車載信息安全的構(gòu)架。第三節(jié)汽車信息安全架構(gòu)ISO26262標(biāo)準(zhǔn)的目的則以功第三節(jié)汽車信息安全架構(gòu)一、概述二、OVERSEE分區(qū)結(jié)構(gòu)三、OVERSEE接口四、虛擬化安全服務(wù)與防火墻機制的規(guī)范五、安全構(gòu)建集中設(shè)計六、OVERSEE中V2V和V2I通信七、車載通信安及全安全通信規(guī)范八、安全服務(wù)第三節(jié)汽車信息安全架構(gòu)一、概述一、概述OVERSEE平臺構(gòu)架如圖8-6，其目標(biāo)是：1）提供一個通用的、開放源碼的、存在時間和空間隔離的平臺，在一個OVERSEE控制單元上同時安全的執(zhí)行多個汽車應(yīng)用。2）提供可靠、安全的運行環(huán)境。3）建立開放的、標(biāo)準(zhǔn)化的安全的單點訪問車載網(wǎng)絡(luò)。4）為安全可靠的訪問服務(wù)，提供標(biāo)準(zhǔn)化的API。5）提供支持驗證的性能和方法。6）提供安全記錄。一、概述OVERSEE平臺構(gòu)架如圖8-6，其目標(biāo)是：

應(yīng)用程序客戶端操作系統(tǒng)OVERSEE應(yīng)用程序接口一系列服務(wù)XtratuM（虛擬層管理程序）

硬件OVERSEE系統(tǒng)OVERSEE平臺圖8-6OVERSEE平臺

應(yīng)用程序客戶端操作系統(tǒng)OVERSEE應(yīng)用程序接口一系列服OVERSEE按照結(jié)構(gòu)，系統(tǒng)可以分為三個主層1）硬件層，包括硬件設(shè)備2）虛擬層虛擬化的硬件資源和提供虛擬化的運行環(huán)境服務(wù)3）應(yīng)用層，應(yīng)用程序的運行環(huán)境（分區(qū)）。分區(qū)由操作系統(tǒng)和應(yīng)用組成。OVERSEE按照結(jié)構(gòu)，系統(tǒng)可以分為三個主層OVERSEE系統(tǒng)分層結(jié)構(gòu)OVERSEE系統(tǒng)分層結(jié)構(gòu)第四節(jié)車載總線信息安全一、車載總線結(jié)構(gòu)二、CAN總線的信息安全三、FlexRay總線的信息安全四、MOST總線的信息安全五、車載網(wǎng)關(guān)的信息安全第四節(jié)車載總線信息安全一、車載總線結(jié)構(gòu)一、車載總線結(jié)構(gòu)車載總線連接著汽車上執(zhí)行各個功能的ECU，攻擊者通過車載總線進(jìn)行攻擊會變得更加簡單和容易。以往的車載網(wǎng)絡(luò)協(xié)議以及通信支持軟硬件沒有或極少考慮到防御外部攻擊的安全策略?？偩€網(wǎng)絡(luò)是車載信息網(wǎng)絡(luò)的主體，是車載信息安全問題的核心。一、車載總線結(jié)構(gòu)車載總線連接著汽車上執(zhí)行各個功能的ECU，攻圖8-17車載總線架構(gòu)圖圖8-17車載總線架構(gòu)圖二、CAN總線的信息安全CAN是汽車上應(yīng)用最廣泛的總線網(wǎng)絡(luò)標(biāo)準(zhǔn)之一。CAN網(wǎng)絡(luò)中的各節(jié)點都可根據(jù)總線訪問優(yōu)先權(quán)（取決于報文標(biāo)識符）采用無損結(jié)構(gòu)的逐位仲裁的方式競爭向總線發(fā)送數(shù)據(jù)。當(dāng)總線沖突時（多個節(jié)點同時發(fā)送消息），CAN總線通過對比消息的標(biāo)識符進(jìn)行仲裁，幀標(biāo)識大的消息優(yōu)先級較低。二、CAN總線的信息安全CAN是汽車上應(yīng)用最廣泛的總線網(wǎng)絡(luò)標(biāo)CAN總線協(xié)議有以下安全威脅：1）機密性：總線上的消息缺乏機密性。2）真實性：任何節(jié)點都可以仿造其他的節(jié)點給系統(tǒng)中執(zhí)行重要功能的節(jié)點發(fā)送消息。3）有效性：當(dāng)總線上有惡意節(jié)點一直發(fā)送高優(yōu)先級的消息時，CAN總線沒有相關(guān)策略保證其他的消息的按時發(fā)送。CAN總線協(xié)議有以下安全威脅：4）正確性：任何連接到CAN總線上的惡意節(jié)點都可以制造虛假消息。5）無否認(rèn)性：CAN總線當(dāng)前沒有任何的方法能夠使連接在總線上的正確節(jié)點證明是否發(fā)送或者接收過一個給定的消息。4）正確性：任何連接到CAN總線上的惡意節(jié)點都可以制造虛假消針對CAN總線的特點，為防護安全威脅應(yīng)實現(xiàn)以下幾類保護機制：1）數(shù)據(jù)加密：每一個通信都采用加密和解密，保證通信數(shù)據(jù)的可靠性和機密性。由于車載網(wǎng)絡(luò)的硬件限制，可以通過增加硬件安全模塊（HardwareSecurityModule，HSM）進(jìn)行加密操作。針對CAN總線的特點，為防護安全威脅應(yīng)實現(xiàn)以下幾類保護機制：2）異常檢測：監(jiān)管ECU之間的數(shù)據(jù)發(fā)送，保證它們的合法性。在外部接口（OBD-II）和車內(nèi)CAN總線之間設(shè)置一個節(jié)點，檢測總線上活動，如果有異常，如高優(yōu)先級消息一直發(fā)送，屏蔽外部異常消息。每個幀標(biāo)識只關(guān)聯(lián)一個ECU，保證了一個幀只能被一個特定的ECU發(fā)送。2）異常檢測：監(jiān)管ECU之間的數(shù)據(jù)發(fā)送，保證它們的合法性。在三、FlexRay總線的信息安全FlexRay總線：是一種用于汽車的高速、可確定性的，具備故障容錯能力的總線技術(shù)，它將事件觸發(fā)和時間觸發(fā)兩種方式相結(jié)合，具有高效的網(wǎng)絡(luò)利用率和系統(tǒng)靈活性特點，可以作為新一代汽車內(nèi)部網(wǎng)絡(luò)的主干網(wǎng)絡(luò)。三、FlexRay總線的信息安全FlexRay總線：是一種用FlexRay的應(yīng)用領(lǐng)域包括：1）x-by-wire安全關(guān)鍵應(yīng)用；2）基于FlexRay的“數(shù)據(jù)主干網(wǎng)”通過網(wǎng)關(guān)與其它總線相連；3）需要在不同ECU間進(jìn)行交叉計算的分布式控制系統(tǒng)。FlexRay的應(yīng)用領(lǐng)域包括：相對于CAN總線，F(xiàn)lexRay協(xié)議具有更好的容錯性，位采樣投票機制避免了故障發(fā)生時接收器的錯誤判斷；但FlexRay總線仍然有自己的安全威脅：1）機密性：當(dāng)FlexRay總線上有一個惡意節(jié)點在每個時隙都設(shè)置為接收時，總線消息缺乏機密性。相對于CAN總線，F(xiàn)lexRay協(xié)議具有更好的容錯性，位采樣2）靜態(tài)消息沖突：當(dāng)攻擊者修改FlexRay總線上任意節(jié)點的靜態(tài)調(diào)度表導(dǎo)致修改后的發(fā)送時隙和其他節(jié)點沖突時，消息不能正常發(fā)送。3）有效性：當(dāng)總線上有惡意節(jié)點一直在FlexRay動態(tài)段發(fā)送高優(yōu)先級的消息時，F(xiàn)lexRay總線沒有相關(guān)策略保證其他動態(tài)段消息的按時發(fā)送。2）靜態(tài)消息沖突：當(dāng)攻擊者修改FlexRay總線上任意節(jié)點的針對FlexRay總線的易攻擊點，應(yīng)實現(xiàn)以下幾類保護機制：1）數(shù)據(jù)加密2）采用中央總線監(jiān)控器CentralBusGuardian（CBG）3）增加一個節(jié)點進(jìn)行異常監(jiān)聽針對FlexRay總線的易攻擊點，應(yīng)實現(xiàn)以下幾類保護機制：四、MOST總線的信息安全MOST(MediaOrientedSystemTransport)是一個由MOST合作組織制定的以通信協(xié)議為基礎(chǔ)的汽車多媒體信息傳輸網(wǎng)絡(luò)技術(shù)，總線采用環(huán)形網(wǎng)絡(luò)結(jié)構(gòu)，主要負(fù)責(zé)傳輸車內(nèi)高質(zhì)量的多媒體音視頻信息。安全平臺設(shè)計中MOST網(wǎng)絡(luò)連接包括有DVD節(jié)點、數(shù)字電視節(jié)點、收音機節(jié)點、功放節(jié)點等。四、MOST總線的信息安全MOST(MediaOrient可能存在的安全問題及解決方案：（1）MOST網(wǎng)絡(luò)安全問題：MOST網(wǎng)絡(luò)采用環(huán)形網(wǎng)絡(luò)結(jié)構(gòu)，一旦環(huán)上某個節(jié)點遭到破壞斷開，環(huán)網(wǎng)上的所有通信將被終止?？梢岳秒p環(huán)網(wǎng)來保持高度的可用性，如果兩個節(jié)點之間出現(xiàn)問題，環(huán)網(wǎng)將通過冗余段重新構(gòu)成環(huán)路，防止網(wǎng)絡(luò)工作中斷。可能存在的安全問題及解決方案：（2）數(shù)據(jù)傳輸安全性問題：MOST網(wǎng)絡(luò)數(shù)據(jù)傳輸主要包括三類：同步數(shù)據(jù)、異步數(shù)據(jù)、控制數(shù)據(jù)。同步數(shù)據(jù)主要音頻數(shù)據(jù)和視頻數(shù)據(jù)，異步數(shù)據(jù)為包數(shù)據(jù)，控制數(shù)據(jù)是指控制信息等。MOST數(shù)據(jù)傳輸是以幀格式實現(xiàn)的，每個MOST數(shù)據(jù)幀包含3個域，同步數(shù)據(jù)域、異步數(shù)據(jù)域和控制數(shù)據(jù)域。（2）數(shù)據(jù)傳輸安全性問題：針對同步數(shù)據(jù)域解決方案，通過對MOST網(wǎng)絡(luò)幀傳輸信息的加密實現(xiàn)數(shù)據(jù)保護。針對異步數(shù)據(jù)域解決方案，在異步數(shù)據(jù)包打包過程中對打包數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，同時在接收節(jié)點處進(jìn)行解密。針對控制數(shù)據(jù)域解決方案，控制數(shù)據(jù)機制（ControlDatamechanism）承擔(dān)著系統(tǒng)管理和配置的全部通訊功能，MOST網(wǎng)絡(luò)幀在設(shè)計過程中采用將控制數(shù)據(jù)分布在各個幀中，每幀分布兩個控制字節(jié)，這種做法不僅將控制信息的負(fù)載降低到最小，還避免控制信息被篡改。針對同步數(shù)據(jù)域解決方案，通過對MOST網(wǎng)絡(luò)幀傳輸信息的加密實五、車載網(wǎng)關(guān)的信息安全車載網(wǎng)關(guān)是實現(xiàn)車載網(wǎng)絡(luò)與INTERNET互聯(lián)的部分，往往也兼做車載網(wǎng)絡(luò)之間的網(wǎng)關(guān)并于車載信息終端集成與一體。這一部分應(yīng)當(dāng)有INTERNET與車載網(wǎng)絡(luò)之間的防火墻，以及車在網(wǎng)絡(luò)之間互聯(lián)時的防火墻。五、車載網(wǎng)關(guān)的信息安全車載網(wǎng)關(guān)是實現(xiàn)車載網(wǎng)絡(luò)與INTERNE第五節(jié)無線接入方式一、胎壓監(jiān)測測量路徑接入二、智能車鑰匙三、車載以太網(wǎng)第五節(jié)無線接入方式一、胎壓監(jiān)測測量路徑接入一、胎壓監(jiān)測測量路徑接入輪胎壓力檢測部分裝在輪胎上。輪胎壓力控制裝置上裝有無線電頻率發(fā)射器，實現(xiàn)與車上監(jiān)測部分的通信，通過CAN向汽車中央計算機發(fā)送指令。通過車載自動診斷系統(tǒng)（OBD-II），觸發(fā)汽車儀表盤上的警告信息。一、胎壓監(jiān)測測量路徑接入輪胎壓力檢測部分裝在輪胎上。輪胎壓力二、智能車鑰匙無鑰匙進(jìn)入系統(tǒng)，是由發(fā)射器、遙控中央鎖控制模塊、駕駛授權(quán)系統(tǒng)控制模塊三個接收器及相關(guān)線束組成的控制系統(tǒng)組成，采用RFID(無線射頻識別)技術(shù)。無鑰匙進(jìn)入系統(tǒng)包含自動解鎖、智能點火和識別車主三個基本功能。二、智能車鑰匙無鑰匙進(jìn)入系統(tǒng)，是由發(fā)射器、遙控中央鎖控制模塊三、車載以太網(wǎng)車載以太網(wǎng)使用標(biāo)準(zhǔn)通信協(xié)議TCP/IP，易受到網(wǎng)絡(luò)上黑客和病毒攻擊的威脅。在以太網(wǎng)應(yīng)用到車輛上后，已經(jīng)出現(xiàn)了使用近距離無線通信“藍(lán)牙”、WLAN等網(wǎng)絡(luò)提供車載LAN通信內(nèi)容的適配器。連接車載LAN越來越簡單，突破“防火墻”也就變得輕而易舉。修復(fù)這道“防火墻”或者在車輛內(nèi)部通信間重新建立一道防火墻是必要的且可有效防止來自互聯(lián)網(wǎng)的攻擊。三、車載以太網(wǎng)車載以太網(wǎng)使用標(biāo)準(zhǔn)通信協(xié)議TCP/IP，易受到第六節(jié)汽車生命周期信息安全一、概述二、汽車生命周期各階段的信息安全問題及策略第六節(jié)汽車生命周期信息安全一、概述一、概述汽車信息安全問題涉及到的內(nèi)容廣泛，時間上持續(xù)在整個生命周期，甚至延續(xù)到其零部件的整個生命周期中。汽車一般使用年限比較長，在這期間，可能會出現(xiàn)很多新的攻擊技術(shù)，或在發(fā)布后發(fā)現(xiàn)漏洞。。一、概述汽車信息安全問題涉及到的內(nèi)容廣泛，時間上持續(xù)在整個生二、汽車生命周期各階段的信息安全問題及策略從一款汽車從產(chǎn)生到報廢，從信息安全角度，可以劃分為這樣幾個環(huán)節(jié)：1）整車電子與信息系統(tǒng)總體設(shè)計；2）相關(guān)零部件以及具有電控單元的總成的設(shè)計與選配；3）上線生產(chǎn)環(huán)節(jié)；4）庫存營銷環(huán)節(jié)；5）用戶日常使用階段；二、汽車生命周期各階段的信息安全問題及策略從一款汽車從產(chǎn)生到6）維護保養(yǎng)以及故障檢測維修環(huán)節(jié)；7）車輛管理環(huán)節(jié)；8）車主轉(zhuǎn)換、用途轉(zhuǎn)換環(huán)節(jié)；9）車輛事故環(huán)節(jié)；10）報廢環(huán)節(jié)。6）維護保養(yǎng)以及故障檢測維修環(huán)節(jié)；1、總體設(shè)計階段在設(shè)計時，汽車的理念、配備的功能都將明確，需要考慮各項功能安全性的重要程度，在選擇車輛配備的功能然后轉(zhuǎn)交給開發(fā)階段的時候，一定要提交包括信息安全在內(nèi)的需求。2、相關(guān)零部件以及具有電控單元的總成的設(shè)計與選配零部件設(shè)計選擇、各種軟硬件的設(shè)計選擇、系統(tǒng)集成、零部件測試、系統(tǒng)測試、以及整車測試過程，是采取信息安全對策的最重要環(huán)節(jié)。1、總體設(shè)計階段3、線上生產(chǎn)過程汽車在生產(chǎn)線上裝配的時候，信息安全有關(guān)的環(huán)節(jié)：一個是，在一些流程中要對安裝的零部件或總成進(jìn)行測試；一個是，在一些環(huán)節(jié)和整車下線前，為車載電控或信息系統(tǒng)裝載軟件和配置參數(shù)，并且形成整車數(shù)據(jù)檔案。在這些環(huán)節(jié)中，可能使車載信息系統(tǒng)受到非合法的，或錯誤的信息影響，造成車載信息系統(tǒng)存在安全隱患，或被植入非法功能。3、線上生產(chǎn)過程4、營銷及使用過程車輛管理環(huán)節(jié)也涉及到信息安全問題。檢車時可能存在檢車線設(shè)備與車輛電子信息系統(tǒng)交互信息的過程，可能出現(xiàn)被惡意訪問。汽車已經(jīng)出現(xiàn)了因軟件問題而召回的案例。在車輛由于變賣等原因出現(xiàn)車主更換的時候，原車主的相應(yīng)信息處理涉及到其私有信息的安全問題。4、營銷及使用過程5、維護保養(yǎng)以及故障檢測維修過程1）維修維護使用的信息設(shè)備本身的信息安全問題造成車載系統(tǒng)被感染或被異常訪問；2）維修維護人員的惡意下載或設(shè)置或建立的鏈接，操作錯誤造成的信息安全問題；3）維修時替換下來的電子信息部件可能存有信息，這些可能被惡意使用；4）維修維護時換上的電子信息部件可能存在的信息安全問題。5、維護保養(yǎng)以及故障檢測維修過程6、報廢及損毀過程1）換購時原有用戶私人信息沒有有效刪除，汽車新用戶可能獲取并惡意使用；2）報廢或損毀的車輛在各個電控單元中可能存儲有車輛以及用戶等信息，可能被獲得這些東西的人讀取并惡意使用；6、報廢及損毀過程第八章車載信息安全技術(shù)99第八章車載信息安全技術(shù)1第一節(jié)信息安全技術(shù)簡介信息安全是指信息系統(tǒng)及網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受意外的或者惡意的原因遭到破壞、更改、泄露、非法使用，系統(tǒng)連續(xù)可靠地按照預(yù)定的性能指標(biāo)提供信息服務(wù)以及其他基于信息數(shù)據(jù)的功能。信息安全主要包括五個方面的內(nèi)容，即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。其根本目的就是使系統(tǒng)的信息不受外部以及內(nèi)部因素的威脅。100第一節(jié)信息安全技術(shù)簡介信息安全是指信息系統(tǒng)及網(wǎng)絡(luò)的硬件、軟第一節(jié)信息安全技術(shù)簡介信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。101第一節(jié)信息安全技術(shù)簡介信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技第一節(jié)信息安全技術(shù)簡介（一）產(chǎn)生信息安全問題的因素（二）存在的威脅及目標(biāo)（三）信息安全實現(xiàn)的主要目標(biāo)102第一節(jié)信息安全技術(shù)簡介（一）產(chǎn)生信息安全問題的因素4（一）產(chǎn)生信息安全問題的因素產(chǎn)生信息安全問題的主要因素有：（1）使用廣泛的微機安全結(jié)構(gòu)不夠完善。（2）面對現(xiàn)在的各種相互交流廣泛的公用應(yīng)用環(huán)境，微機的安全防御能力就顯得弱了。（3）計算機網(wǎng)絡(luò)把計算機變成網(wǎng)絡(luò)中的一個組成部分。在連接上突破了地理隔離和直接接觸的限制，產(chǎn)生了各種信息安全問題。103（一）產(chǎn)生信息安全問題的因素產(chǎn)生信息安全問題的主要因素有：5（一）產(chǎn)生信息安全問題的因素（4）操作系統(tǒng)存在安全缺陷。（5）隨著嵌入式系統(tǒng)出現(xiàn)在各種各樣的系統(tǒng)中，并且連接入網(wǎng)絡(luò)，使得信息安全問題正在成為所有直接或間接使用計算機的系統(tǒng)必須面臨的問題。104（一）產(chǎn)生信息安全問題的因素（4）操作系統(tǒng)存在安全缺陷。6（二）存在的威脅及目標(biāo)目前，信息安全主要面臨如下的安全威脅：(1)信息泄露：信息被泄露或透露給某個非授權(quán)的實體；(2)破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失；(3)拒絕服務(wù)：對信息或其他資源的合法訪問被無條件地阻止；(4)非法使用(非授權(quán)訪問)：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用；105（二）存在的威脅及目標(biāo)目前，信息安全主要面臨如下的安全威脅：（二）存在的威脅及目標(biāo)(5)竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息；(6)業(yè)務(wù)流分析：通過對系統(tǒng)進(jìn)行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價值的信息和規(guī)律；(7)假冒：通過欺騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。106（二）存在的威脅及目標(biāo)(5)竊聽：用各種可能的合法或非法的（二）存在的威脅及目標(biāo)(8)旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。(9)授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”；107（二）存在的威脅及目標(biāo)(8)旁路控制：攻擊者利用系統(tǒng)的安全（二）存在的威脅及目標(biāo)(10)特洛伊木馬：軟件中含有一個覺察不出的有害的程序段，當(dāng)它被執(zhí)行時，會破壞用戶的安全。這種應(yīng)用程序稱為特洛伊木馬(TrojanHorse)；(11)陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機關(guān)”，使得在特定的數(shù)據(jù)輸入時，允許違反安全策略；(12)抵賴：這是一種來自用戶的攻擊，如：否認(rèn)自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等；108（二）存在的威脅及目標(biāo)(10)特洛伊木馬：軟件中含有一個覺察（二）存在的威脅及目標(biāo)(13)重放：出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行拷貝，而重新發(fā)送；(14)計算機病毒：一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序；(15)人員不慎：一個授權(quán)的人為了某種利益，或由于粗心，將信息泄露給一個非授權(quán)的人；(16)媒體廢棄：信息被從廢棄的磁碟或打印過的存儲介質(zhì)中獲得；109（二）存在的威脅及目標(biāo)(13)重放：出于非法目的，將所截獲的（二）存在的威脅及目標(biāo)(17)物理侵入：侵入者繞過物理控制而獲得對系統(tǒng)的訪問；(18)竊取：重要的安全物品，如令牌或身份卡被盜；(19)業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息；(20)影響、干預(yù)系統(tǒng)性能指標(biāo)：使系統(tǒng)無法保障按照設(shè)計的性能指標(biāo)完成功能。110（二）存在的威脅及目標(biāo)(17)物理侵入：侵入者繞過物理控制而（三）信息安全實現(xiàn)的主要目標(biāo)信息的產(chǎn)生、存儲、傳輸以及應(yīng)用的方式多且復(fù)雜。在這些過程中，存在泄密或被截收、竊聽、竄改和偽造的可能性。單一的保密措施已很難保證通信和信息以及信息系統(tǒng)的安全，應(yīng)通過技術(shù)的、管理的、行政的、法律的手段，實現(xiàn)信源、信號、信息以及系統(tǒng)的保護，達(dá)到信息安全的目的。111（三）信息安全實現(xiàn)的主要目標(biāo)信息的產(chǎn)生、存儲、傳輸以及應(yīng)用的（三）信息安全實現(xiàn)的主要目標(biāo)信息安全實現(xiàn)的主要目標(biāo)包括：（1）真實性：對信息的來源進(jìn)行判斷，能對偽造來源的信息予以鑒別；（2）保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義；（3）完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改；（4）可用性：保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^；112（三）信息安全實現(xiàn)的主要目標(biāo)信息安全實現(xiàn)的主要目標(biāo)包括：14（三）信息安全實現(xiàn)的主要目標(biāo)（5）不可抵賴性：建立有效的責(zé)任機制，防止用戶否認(rèn)其行為，這點在電子商務(wù)中是極其重要的；（6）可控制性：對信息的傳播及內(nèi)容具有控制能力；（7）可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段；（7）時效性：保證數(shù)據(jù)使用的實時性要求。113（三）信息安全實現(xiàn)的主要目標(biāo)（5）不可抵賴性：建立有效的責(zé)任二、信息安全相關(guān)技術(shù)（一）身份認(rèn)證（二）數(shù)據(jù)加密（三）網(wǎng)絡(luò)防火墻114二、信息安全相關(guān)技術(shù)（一）身份認(rèn)證16（一）身份認(rèn)證身份認(rèn)證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者及信息訪問者（包括人、系統(tǒng)、軟件）身份的過程。計算機系統(tǒng)以及計算機網(wǎng)絡(luò)中，使用一組特定的數(shù)據(jù)對用戶進(jìn)行表示的，怎樣確保這個以數(shù)字身份進(jìn)行訪問的就是這個數(shù)字身份合法擁有者，就成為一個很重要的問題。身份認(rèn)證就是為了解決這個問題。115（一）身份認(rèn)證身份認(rèn)證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者及信息訪（一）身份認(rèn)證身份認(rèn)證的任務(wù)可以概括成以下四個方面：（1）會話參與方身份的認(rèn)證：保證參與者不是經(jīng)過偽裝的潛在威脅者；（2）會話內(nèi)容的完整性：保證會話內(nèi)容在傳輸過程中不被篡改；（3）會話的機密性：保證會話內(nèi)容(明文)不會被潛在威脅者所竊聽；（4）會話抗抵賴性：保證在會話后雙方無法抵賴自己所發(fā)出過的信息116（一）身份認(rèn)證身份認(rèn)證的任務(wù)可以概括成以下四個方面：18（一）身份認(rèn)證信息系統(tǒng)中，對用戶的身份認(rèn)證方法可以按照不同的標(biāo)準(zhǔn)進(jìn)行分類。僅通過一個條件來證明身份稱之為單因子認(rèn)證，通過組合兩種不同條件來證明身份，稱之為雙因子認(rèn)證。按照身份認(rèn)證技術(shù)是否使用硬件，又分為軟件認(rèn)證和硬件認(rèn)證。從認(rèn)證信息來看，可以分為靜態(tài)認(rèn)證和動態(tài)認(rèn)證。117（一）身份認(rèn)證信息系統(tǒng)中，對用戶的身份認(rèn)證方法可以按照不同的（一）身份認(rèn)證現(xiàn)在計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：（1）靜態(tài)口令方式，口令是靜態(tài)的數(shù)據(jù)，在計算機內(nèi)存中和網(wǎng)絡(luò)中傳輸，每次驗證過程使用的驗證信息都是相同的，易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。是極不安全的身份認(rèn)證方式。118（一）身份認(rèn)證現(xiàn)在計算機及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有（一）身份認(rèn)證（2）動態(tài)口令方式，每個密碼只使用一次。采用一種稱之為動態(tài)令牌的專用硬件，通過密碼生成芯片運行專門的密碼算法，根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼。認(rèn)證服務(wù)器采用相同的算法。即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。但如果不能保持良好的同步，就可能發(fā)生合法用戶無法登陸的問題。119（一）身份認(rèn)證（2）動態(tài)口令方式，每個密碼只使用一次。采用一（一）身份認(rèn)證（3）IC卡方式，是一種內(nèi)置集成電路的卡片，存有與用戶身份相關(guān)的數(shù)據(jù)。登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。通過IC卡硬件不可復(fù)制來保證用戶身份不會被仿冒。由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗證信息。120（一）身份認(rèn)證（3）IC卡方式，是一種內(nèi)置集成電路的卡片，（一）身份認(rèn)證（4）USBKey認(rèn)證，是采用軟硬件相結(jié)合、一次一密的強雙因子認(rèn)證模式。USBKey是一種USB接口的硬件設(shè)備，它內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USBKey內(nèi)置的密碼算法實現(xiàn)對用戶身份的認(rèn)證。USBKey具有雙重驗證機制，用戶PIN碼和USBKey硬件標(biāo)識。121（一）身份認(rèn)證（4）USBKey認(rèn)證，是采用軟硬件相結(jié)合（一）身份認(rèn)證（5）生物特征認(rèn)證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術(shù)。常見的有指紋識別、聲音識別、虹膜識別等。理論上，這是最可靠的身份認(rèn)證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份，不同的人具有相同生物特征的可能性可以忽略不計，因此幾乎不可能被仿冒。122（一）身份認(rèn)證（5）生物特征認(rèn)證是指采用每個人獨一無二的生物（二）數(shù)據(jù)加密把用通用的表達(dá)方式表示的信息文本稱為明文(plaintext)，將明文變通過變換后的文本稱為密文(ciphertext)。把明文變換成密文的過程叫加密(encipher)，把密文變換成明文的過程叫解密(decipher)。用于加解密的一些特殊信息稱為密鑰(keyword)，它是控制明文與密文之間變換的關(guān)鍵，它可以是數(shù)字、詞匯或語句。密鑰分為加密密鑰(EncryptionKey)和解密密鑰(DecryptionKey)。123（二）數(shù)據(jù)加密把用通用的表達(dá)方式表示的信息文本稱為明文(p（二）數(shù)據(jù)加密完成加密和解密的算法稱為密碼體制(CipherSystem)。傳統(tǒng)的密碼體制所用的加密密鑰和解密密鑰相同，即對稱式密鑰加密技術(shù)；加密密鑰和解密密鑰不同稱為非對稱式密碼加密技術(shù)。數(shù)據(jù)加密或解密變換過程如圖8-1所示。124圖8-1加密解密變換（二）數(shù)據(jù)加密完成加密和解密的算法稱為密碼體制(Ciphe（二）數(shù)據(jù)加密實現(xiàn)數(shù)據(jù)加密的主要技術(shù)可以分為對稱加密技術(shù)，公開密鑰加密技術(shù)以及對稱加密與公開加密相結(jié)合的技術(shù)。（1）對稱加密技術(shù)，是指加密和解密均采用同一把秘密鑰匙，通信雙方必須都要獲得這把鑰匙，并保持鑰匙的秘密。當(dāng)給對方發(fā)信息時，用加密密鑰進(jìn)行加密，在接收方收到數(shù)據(jù)后，用對方所給的密鑰進(jìn)行解密。也稱為秘密鑰匙加密法。125（二）數(shù)據(jù)加密實現(xiàn)數(shù)據(jù)加密的主要技術(shù)可以分為對稱加密技術(shù)，公（二）數(shù)據(jù)加密對稱式密鑰加密技術(shù)加密算法主要有以下兩種:①DES(DataEncryptionStandard)算法，即數(shù)據(jù)加密標(biāo)準(zhǔn)。它綜合運用了置換、代替、代數(shù)多種密碼技術(shù)，把信息分成64位大小的塊，使用56位密鑰，迭代輪數(shù)為16輪的加密算法。②IDEA(InternationalDataEncryptionAlgorithm)算法，是一種國際信息加密算法。是一個分組大小為64位，密鑰為128位，迭代輪數(shù)為八輪的迭代型密碼體制。，有效地消除了任何試圖窮盡搜索密鑰的可能性。126（二）數(shù)據(jù)加密對稱式密鑰加密技術(shù)加密算法主要有以下兩種:28（二）數(shù)據(jù)加密對稱式密鑰加密技術(shù)具有加密速度快，保密度高等優(yōu)點。但也有其缺點：①密鑰是保密通信安全的關(guān)鍵，如何才能把密鑰安全地送到收信方，是對稱密鑰加密技術(shù)的突出問題，密鑰分發(fā)過程十分復(fù)雜，所花代價高。②多人通信時密鑰的組合的數(shù)量，會出現(xiàn)爆炸性的膨脹，n個人進(jìn)行兩兩通信，總需要的密鑰數(shù)為n(n-1)/2。③通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息。127（二）數(shù)據(jù)加密對稱式密鑰加密技術(shù)具有加密速度快，保密度高等優(yōu)（二）數(shù)據(jù)加密（2）公鑰加密技術(shù)，要求密鑰成對使用，即加密和解密分別由兩個密鑰來實現(xiàn)。每個用戶都有一對選定的密鑰，一個可以公開，即公共密鑰，用于加密；另一個由用戶安全擁有，即秘密密鑰，用于解密。公共密鑰和秘密密鑰之間有密切的關(guān)系。當(dāng)給對方發(fā)信息時，用對方的公開密鑰進(jìn)行加密，而在接收方收到數(shù)據(jù)后，用自己的秘密密鑰進(jìn)行解密，稱為非對稱密碼加密技術(shù)。128（二）數(shù)據(jù)加密（2）公鑰加密技術(shù)，要求密鑰成對使用，即加密和（二）數(shù)據(jù)加密公開密鑰加密算法主要是RSA加密算法。它是第一個成熟的、迄今為止理論上最為成功的公開密鑰密碼體制，RSA加密、解密過程由密鑰生成、加密過程和解密過程組成。公開密鑰加密技術(shù)的優(yōu)點是：①密鑰少便于管理，網(wǎng)絡(luò)中的每一用戶只需保存自己的解密密鑰，則N個用戶僅需產(chǎn)生N對密鑰。②密鑰分配簡單，加密密鑰分發(fā)給用戶，而解密密鑰則由用戶自己保管。129（二）數(shù)據(jù)加密公開密鑰加密算法主要是RSA加密算法。它是第一（二）數(shù)據(jù)加密③不需要秘密通道和復(fù)雜的協(xié)議來傳送密鑰。④可以實現(xiàn)數(shù)字簽名和數(shù)字鑒別。缺點是加、解密速度慢。在實際應(yīng)用中結(jié)合使用DES/IDEA和RSA，對于網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)用DES或IDEA加密，而加密用的密鑰則用RSA加密傳送，此方法既保證了數(shù)據(jù)安全又提高了加密和解密的速度。130（二）數(shù)據(jù)加密③不需要秘密通道和復(fù)雜的協(xié)議來傳送密鑰。32（二）數(shù)據(jù)加密DES/IDEA和RSA結(jié)合使用如圖8-2所示。131圖8-2

DES/IDEA與RSA結(jié)合加密原理示意圖（二）數(shù)據(jù)加密DES/IDEA和RSA結(jié)合使用如圖8-2所（二）數(shù)據(jù)加密首先發(fā)信者使用DES/IDEA算法用對稱鑰將明文原信息加密獲得密文，然后使用接收者的RSA公開鑰將對稱鑰加密獲得加密的DES或IDEA密鑰，將密文和加密的密鑰一起通過網(wǎng)絡(luò)傳送給接收者。接收方接收到密文信息后，首先用自己的密鑰解密而獲得DES或IDEA密鑰，再用這個密鑰將密文解密而最后獲得明文原信息。由此，起到了對明文信息保密的作用。132（二）數(shù)據(jù)加密首先發(fā)信者使用DES/IDEA算法用對稱鑰將（三）網(wǎng)絡(luò)防火墻防火墻指的是一類計算機網(wǎng)絡(luò)安全措施的總稱。主要是通過將外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)隔離，對于網(wǎng)絡(luò)互相訪問進(jìn)行限制，從而達(dá)到保護內(nèi)部網(wǎng)絡(luò)的目的。防火墻可以通過對進(jìn)出網(wǎng)絡(luò)的通信進(jìn)行監(jiān)控過濾，認(rèn)為安全的信息才能進(jìn)入到內(nèi)部網(wǎng)絡(luò)和計算機系統(tǒng)，可有效地抵制危險數(shù)據(jù)對于網(wǎng)絡(luò)安全構(gòu)成的威脅。133（三）網(wǎng)絡(luò)防火墻防火墻指的是一類計算機網(wǎng)絡(luò)安全措施的總稱。主（三）網(wǎng)絡(luò)防火墻防火墻的功能主要體現(xiàn)在以下幾個方面：（1）通過限制外部進(jìn)入內(nèi)部網(wǎng)絡(luò)，將一些不安全的鏈接以及非法訪問隔絕在外。（2）組織協(xié)調(diào)計算機系統(tǒng)的防御設(shè)施。（3）對于特殊站點的訪問進(jìn)行限制。（4）方便了網(wǎng)絡(luò)安全的監(jiān)督工作以及預(yù)警工作。（5）防止出現(xiàn)資源被濫用的現(xiàn)象134（三）網(wǎng)絡(luò)防火墻防火墻的功能主要體現(xiàn)在以下幾個方面：36（三）網(wǎng)絡(luò)防火墻從不同的應(yīng)用目的或?qū)崿F(xiàn)方式等，防火墻有以下幾種分類：（1）按照軟硬件形式來分類，可分為軟件防火墻與硬件防火墻。（2）按技術(shù)分類，包括“包過濾型”以及“應(yīng)用代理型”兩大類。135（三）網(wǎng)絡(luò)防火墻從不同的應(yīng)用目的或?qū)崿F(xiàn)方式等，防火墻有以下幾（三）網(wǎng)絡(luò)防火墻（3）按結(jié)構(gòu)分類，包括單一的主機防火墻、分布式防火墻以及集成式的防火墻。（4）按應(yīng)用部署位置分類，包括個人防火墻、邊界防火墻以及混合防火墻（5）按性能分類，包括兩種類型，一種是百兆級防火墻，一種是千兆級防火墻。136（三）網(wǎng)絡(luò)防火墻（3）按結(jié)構(gòu)分類，包括單一的主機防火墻、分布三、嵌入式系統(tǒng)信息安全作為一類計算機系統(tǒng)，隨著應(yīng)用的普及以及網(wǎng)絡(luò)化的發(fā)展，嵌入式系統(tǒng)信息安全問題越來越嚴(yán)重，也越來受到越多的關(guān)注。（一）嵌入式系統(tǒng)信息安全面臨的問題（二）嵌入式系統(tǒng)的安全需求（三）嵌入式系統(tǒng)各階段的信息安全考慮三、嵌入式系統(tǒng)信息安全作為一類計算機系統(tǒng)，隨著應(yīng)用的普及以及（一）嵌入式系統(tǒng)信息安全面臨的問題嵌入式系統(tǒng)是嵌入到其他系統(tǒng)或裝置中的計算機。嵌入式系統(tǒng)的信息安全問題，不僅會產(chǎn)生信息方面的問題，而可能產(chǎn)生物理上的效果。針對嵌入式系統(tǒng)的功能安全，國際電工委員會（IEC）制定的功能安全標(biāo)準(zhǔn)—IEC61508業(yè)，并衍生出了很多相關(guān)的行業(yè)標(biāo)準(zhǔn)。（一）嵌入式系統(tǒng)信息安全面臨的問題嵌入式系統(tǒng)是嵌入到其他系統(tǒng)（一）嵌入式系統(tǒng)信息安全面臨的問題IEC61508針對一些隨機的、意外的故障導(dǎo)致的功能失效提出了解決方案，對惡意的信息安全攻擊導(dǎo)致的功能失效沒有提出相關(guān)的解決方法。IEC61508的Part1給出了對于功能安全的通用要求，其中定義了功能安全的生命周期是一個識別-分析-設(shè)計-驗證的邏輯循環(huán)過程，同時定義了兩種模式（按需模式、連續(xù)模式）下的安全級別，一共分為4級。（一）嵌入式系統(tǒng)信息安全面臨的問題IEC61508針對一（一）嵌入式系統(tǒng)信息安全面臨的問題IEC61508的Part2給出了對硬件的功能安全要求。導(dǎo)致硬件故障的原因，可以分為隨機錯誤、系統(tǒng)錯誤、環(huán)境影響、操作錯誤。IEC61508的Part3給出了對軟件的功能安全要求。導(dǎo)致軟件故障的原因，主要是在軟件開發(fā)過程中產(chǎn)生的各種缺陷，通過嵌入式軟件測試的方法，可以發(fā)現(xiàn)這些缺陷，從而修正缺陷，保證整個系統(tǒng)的功能安全。（一）嵌入式系統(tǒng)信息安全面臨的問題IEC61508的P（一）嵌入式系統(tǒng)信息安全面臨的問題目前實際的嵌入式軟件測試大多是功能測試，即測試嵌入式軟件功能是否符合需求規(guī)格。對嵌入式系統(tǒng)的信息安全往往利用嵌入式軟件本身或基于的操作系統(tǒng)的某些缺陷，注入惡意代碼，使得嵌入式系統(tǒng)失控。（一）嵌入式系統(tǒng)信息安全面臨的問題目前實際的嵌入式軟件測試大（二）嵌入式系統(tǒng)的安全需求現(xiàn)代汽車的控制和信息系統(tǒng)采用了大量的微控制器，通過車載的內(nèi)部網(wǎng)絡(luò)，如CAN總線，進(jìn)行相互通信，共享信息并協(xié)調(diào)完成對汽車的控制功能。隨著車載電腦的配置，無線網(wǎng)絡(luò)技術(shù)的發(fā)展，如車載Adhoc網(wǎng)絡(luò)（VANET），車載電子系統(tǒng)逐漸成為一個開放的平臺，來自外部的信息安全攻擊，通過各種各樣與外部聯(lián)系的途徑影響車載電子系統(tǒng)。（二）嵌入式系統(tǒng)的安全需求現(xiàn)代汽車的控制和信息系統(tǒng)采用了大量（二）嵌入式系統(tǒng)的安全需求嵌入式系統(tǒng)的開發(fā)環(huán)境也是一個很重要的環(huán)節(jié)，惡意代碼可能在開發(fā)階段就已存在。在嵌入式系統(tǒng)的生命周期的各個階段都必須考慮由于信息安全攻擊引起的功能安全問題。嵌入式系統(tǒng)常常只限于部分授權(quán)用戶使用(用戶認(rèn)證)，或者限制對網(wǎng)絡(luò)，主機以及應(yīng)用程序等資源的使用(訪問控制)。這些都是由基本安全功能通過用戶與主機間相互認(rèn)證來實現(xiàn)的。（二）嵌入式系統(tǒng)的安全需求嵌入式系統(tǒng)的開發(fā)環(huán)境也是一個很重要（二）嵌入式系統(tǒng)的安全需求可用性是嵌入式系統(tǒng)可被授權(quán)實體訪問并按需求使用的特性，確保合法用戶對信息和資源的使用不會被不正當(dāng)?shù)木芙^(DOS)。防篡改是指如何有效地保證上述安全功能需求，即便惡意實體獲取了整個嵌入式系統(tǒng)，并能對其進(jìn)行物理或邏輯上探測。（二）嵌入式系統(tǒng)的安全需求可用性是嵌入式系統(tǒng)可被授權(quán)實體訪問（三）嵌入式系統(tǒng)各階段的信息安全考慮在規(guī)劃需求階段，對于嵌入式系統(tǒng)來說，應(yīng)該明確系統(tǒng)對于功能安全的需求與規(guī)范，以此來識別、分析嵌入式系統(tǒng)可能受到的信息安全威脅，以及由這些威脅可能導(dǎo)致的系統(tǒng)功能受損。在設(shè)計開發(fā)階段，設(shè)計人員應(yīng)該根據(jù)識別出的信息安全威脅，設(shè)計相應(yīng)的安全策略和保護措施，嵌入式系統(tǒng)的開發(fā)環(huán)境也需要考慮安全策略和保護措施。（三）嵌入式系統(tǒng)各階段的信息安全考慮在規(guī)劃需求階段，對于嵌入（三）嵌入式系統(tǒng)各階段的信息安全考慮在實施修改階段，應(yīng)該對嵌入式系統(tǒng)所可能遭受到的信息安全威脅、系統(tǒng)本身的脆弱性進(jìn)一步進(jìn)行識別分析，可能會發(fā)現(xiàn)以前未識別的威脅或脆弱性，需要對系統(tǒng)的安全策略或措施進(jìn)行修訂完善。在測試驗證階段，應(yīng)該對嵌入式系統(tǒng)所采取的安全措施進(jìn)行測試驗證，以驗證這些策略和措施的有效性。（三）嵌入式系統(tǒng)各階段的信息安全考慮在實施修改階段，應(yīng)該對嵌第二節(jié)汽車信息安全問題一、外部可能接入車載系統(tǒng)的渠道二、對車載信息系統(tǒng)的攻擊方式三、車載系統(tǒng)的信息類型及安全問題第二節(jié)汽車信息安全問題一、外部可能接入車載系統(tǒng)的渠道一、外部可能接入車載系統(tǒng)的渠道汽車與外部的信息通道及可能受到的攻擊示例如圖8-3、8-4所示。在信息接入方式上，車載電子與信息系統(tǒng)可以歸納為：1、網(wǎng)絡(luò)信息通信，主要是車輛通過無線移動網(wǎng)絡(luò)與外部的信息鏈接通路。攻擊者無需靠近汽車，就可以通過網(wǎng)絡(luò)攻擊任何一輛汽車。一、外部可能接入車載系統(tǒng)的渠道汽車與外部的信息通道及可能受到2、車載系統(tǒng)與陸基交通或其他專用設(shè)施間的通信3、汽車智能遙控車鑰匙智能手機等方式的接入，提供了一個接入車載信息系統(tǒng)的通道，外部可以通過無線車鑰匙與車門鎖控制系統(tǒng)的通信通道接入車載信息網(wǎng)絡(luò)。4、通過車載系統(tǒng)間無線信息通道的接入，一些車上的裝置間可能采用無線通信方式，或短距離無線網(wǎng)絡(luò)通信。2、車載系統(tǒng)與陸基交通或其他專用設(shè)施間的通信5、通過生產(chǎn)制造或維護過程的信息接口的接入，汽車的很多總成都已經(jīng)是電控，這些總成的控制單元都是要接入汽車車載通信網(wǎng)絡(luò)的。6、通過車載信息娛樂設(shè)備接口的介入，車載信息娛樂設(shè)備終端是用戶可以直接使用的車載裝置。5、通過生產(chǎn)制造或維護過程的信息接口的接入，汽車的很多總成都圖8-3車載信息系統(tǒng)與外部信息的連接示例圖8-3車載信息系統(tǒng)與外部信息的連接示例圖8-4對車載信息系統(tǒng)介入的途徑示例圖8-4對車載信息系統(tǒng)介入的途徑示例二、對車載信息系統(tǒng)的攻擊方式對車載系統(tǒng)的惡意訪問或攻擊方式主要有：1）非法利用2）非法設(shè)置3）竊聽4）信道擁塞(DoS攻擊)二、對車載信息系統(tǒng)的攻擊方式對車載系統(tǒng)的惡意訪問或攻擊方式主5）虛假消息6）記錄丟失7）非法轉(zhuǎn)播8）信息泄露5）虛假消息分析與汽車信息安全相關(guān)的攻擊策略，如圖8-5，可總結(jié)出三種攻擊途徑：（1）直接攻擊。惡意攻擊者比較容易直接接觸到汽車。（2）從便攜式產(chǎn)品入侵，用戶通過汽配市場等途徑購買安裝在車上的產(chǎn)品時，來自外部的病毒等威脅可能進(jìn)入車內(nèi)。（3）從外部網(wǎng)絡(luò)攻擊，汽車上有很多使用通信的裝置，有可能受到通信被竊聽、被惡意中斷等威脅。分析與汽車信息安全相關(guān)的攻擊策略，如圖8-5，可總結(jié)出三種攻三、車載系統(tǒng)的信息類型及安全問題車載電子和信息系統(tǒng)主動或被動獲取、傳輸、存儲、使用的數(shù)字化信息可以歸納為以下幾種類型：（1）汽車的信息，包括①汽車固有信息、認(rèn)證信息碼、行駛等信息②汽車狀態(tài)信息③軟件④設(shè)置信息⑤使用保養(yǎng)等歷史數(shù)據(jù)。這些信息直接影響汽車的工作狀態(tài)，對這些信息的惡意訪問將可能產(chǎn)生汽車非正常運行和操控。三、車載系統(tǒng)的信息類型及安全問題車載電子和信息系統(tǒng)主動或被動（2）用戶信息，用戶（駕駛員和乘坐人員）的個人信息、認(rèn)證信息、繳費信息、使用記錄和操作記錄等。（3）信息服務(wù)數(shù)據(jù)視頻、音樂、地圖、天氣等應(yīng)用數(shù)據(jù)。（4）交通管理信息年檢、排放、道路區(qū)域行駛限制、車籍信息、保險、事故記錄。（2）用戶信息，用戶（駕駛員和乘坐人員）的個人信息、認(rèn)證信息圖8-5汽車信息安全攻擊策略示例圖8-5汽車信息安全攻擊策略示例第三節(jié)汽車信息安全架構(gòu)OSEK標(biāo)準(zhǔn)是在汽車行業(yè)中現(xiàn)今最廣泛使用的標(biāo)準(zhǔn)之一。這個標(biāo)準(zhǔn)包含了AUTOSAR架構(gòu)的基礎(chǔ)，從實時操作系統(tǒng)RTOS(RealTimeOperatingSystem)、軟件接口、通信和網(wǎng)絡(luò)管理等方面對汽車的電子控制軟件開發(fā)平臺作了較為全面的定義與規(guī)定。AUTOSAR（AUTomotiveOpenSystemArchitecture，汽車開放系統(tǒng)架構(gòu)）是一些汽車OEM、供應(yīng)商、工具提供商和半導(dǎo)體公司組成的組織，共同致力于開發(fā)和制定汽車電氣/電子(E/E)架構(gòu)事實的開放式行業(yè)軟件標(biāo)準(zhǔn)。第三節(jié)汽車信息安全架構(gòu)OSEK標(biāo)準(zhǔn)是在汽車行業(yè)中現(xiàn)今最廣泛第三節(jié)汽車信息安全架構(gòu)ISO26262標(biāo)準(zhǔn)的目的則以功能安全性為中心，實質(zhì)上是以避免或檢測并處理故障為目的，從而減輕故障影響并防止出現(xiàn)對任何既有的系統(tǒng)安全目標(biāo)的違反行為。OVERSEE制定的目標(biāo)是提供一個受保護的標(biāo)準(zhǔn)化的車內(nèi)運行環(huán)境、車內(nèi)的接入口和通訊點，以滿足智能汽車需要具備的安全性，通信能力和開放性，較全面考慮了車載信息安全問題，并制定了車載信息安全的構(gòu)架。第三節(jié)汽車信息安全架構(gòu)ISO26262標(biāo)準(zhǔn)的目的則以功第三節(jié)汽車信息安全架構(gòu)一、概述二、OVERSEE分區(qū)結(jié)構(gòu)三、OVERSEE接口四、虛擬化安全服務(wù)與防火墻機制的規(guī)范五、安全構(gòu)建集中設(shè)計六、OVERSEE中V2V和V2I通信七、車載通信安及全安全通信規(guī)范八、安全服務(wù)第三節(jié)汽車信息安全架構(gòu)一、概述一、概述OVERSEE平臺構(gòu)架如圖8-6，其目標(biāo)是：1）提供一個通用的、開放源碼的、存在時間和空間隔離的平臺，在一個OVERSEE控制單元上同時安全的執(zhí)行多個汽車應(yīng)用。2）提供可靠、安全的運行環(huán)境。3）建立開放的、標(biāo)準(zhǔn)化的安全的單點訪問車載網(wǎng)絡(luò)。4）為安全可靠的訪問服務(wù)，提供標(biāo)準(zhǔn)化的API。5）提供支持驗證的性能和方法。6）提供安全記錄。一、概述OVERSEE平臺構(gòu)架如圖8-6，其目標(biāo)是：

應(yīng)用程序客戶端操作系統(tǒng)OVERSEE應(yīng)用程序接口一系列服務(wù)XtratuM（虛擬層管理程序）

硬件OVERSEE系統(tǒng)OVERSEE平臺圖8-6OVERSEE平臺

應(yīng)用程序客戶端操作系統(tǒng)OVERSEE應(yīng)用程序接口一系列服OVERSEE按照結(jié)構(gòu)，系統(tǒng)可以分為三個主層1）硬件層，包括硬件設(shè)備2）虛擬層虛擬化的硬件資源和提供虛擬化的運行環(huán)境服務(wù)3）應(yīng)用層，應(yīng)用程序的運行環(huán)境（分區(qū)）。分區(qū)由操作系統(tǒng)和應(yīng)用組成。OVERSEE按照結(jié)構(gòu)，系統(tǒng)可以分為三個主層OVERSEE系統(tǒng)分層結(jié)構(gòu)OVERSEE系統(tǒng)分層結(jié)構(gòu)第四節(jié)車載總線信息安全一、車載總線結(jié)構(gòu)二、CAN總線的信息安全三、FlexRay總線的信息安全四、MOST總線的信息安全五、車載網(wǎng)關(guān)的信息安全第四節(jié)車載總線信息安全一、車載總線結(jié)構(gòu)一、車載總線結(jié)構(gòu)車載總線連接著汽車上執(zhí)行各個功能的ECU，攻擊者通過車載總線進(jìn)行攻擊會變得更加簡單和容易。以往的車載網(wǎng)絡(luò)協(xié)議以及通信支持軟硬件沒有或極少考慮到防御外部攻擊的安全策略?？偩€