汽车信息安全问题不容忽视(上)

字号:  | [关闭本页]
时间:2013年9月13日 | 点击(1804)

  译自:2013年8月【日本】IPA网站
  编译:工业和信息化部国际经济技术合作中心 王喜文

  经由互联网的外部攻击让汽车控制系统误操作,这种电影中才有的惊险画面,已然成为现实。近年来,汽车中不断嵌入各种软件,提高了信息化水平,但随之而来的信息安全问题也日益突出。

一、为何汽车信息安全不容忽视?

  上世纪80年代,电子控制单元(ECU)的软件源代码行数不到2000行。而近年来,汽车中开始嵌入了各种软件,汽车正不断地应用大量信息技术。有些汽车甚至安装有100多个ECU。据称,这些ECU的源代码接近1000万行,汽车正成为一个安装有大规模软件的信息系统,称其为“软件集成器”并不为过。作为“软件集成器”,信息安全问题自然不可小视。

  实时性,在车载系统和计算机等信息系统中都非常重要。但是,拥有实时性认证、通信功能的车载软件,存在信息安全性脆弱的一面。未来,车载软件系统受到攻击的可能性越来越大。因为,车辆的外部接口类型不断增多,攻击路径也不断增多。具体而言,除了车载诊断系统(OBD-II)、充电控制接口之外,如今的汽车还具有与智能手机、平板电脑之间的互联功能等。

  汽车嵌入控制软件等信息技术,并非是近几年的事。那么,为何如今重视汽车信息安全尤为必要呢?这并不只是因为前面提到的软件规模扩大了数千倍,还与汽车技术的三大发展趋势密切相关。

  (一)以利用智能手机为主,汽车融入互联网越来越普遍

  智能手机与传统手机的最大差别在于用户可以广泛开发各种应用,并能自由发布、下载与安装。应用软件的种类很多,从娱乐应用到实用型软件,也有许多面向汽车的应用软件。

  问题在于,这些应用软件中可能存在一些可靠性很低、不安全软件。攻击者有可能通过其中的漏洞,借助智能手机,使车载设备和车载导航仪系统造成异常,或是经智能手机泄露车内信息以及驾驶员个人隐私信息。同时,使用智能手机,就意味着汽车随时都与外部网络连接。那么,经由外部网络和智能手机,就能够对行驶中的汽车发起攻击。

  除了智能手机之外,自动收费系统(ETC)、智能车钥匙系统等通过无线网络与外部网络连接的功能,并且,纯电动汽车经由充电插头连接汽车网络的功能也在开始普及。

  随着汽车开始随时随地接入外部网络,攻击者无需靠近汽车,就可以跨网络攻击全世界的任何一辆汽车了。即使不是随时随地接入网络,用户误安装的智能手机恶意应用软件也有可能危害汽车安全。

  (二)汽车外围设备广泛采用通用系统

  第二个趋势是车载软件、汽车局域网对于汽车的“行驶、转弯、停车”等基本控制功能的影响正在增加。例如,汽车厂商使用通信或信息终端来提供门锁控制、调整发动机功率、更新应用软件等服务。这些功能一旦被攻击者成功入侵,将很容易产生严重的危害。

  而且,为了降低成本,确保通用性,部分车载系统开始使用Linux之类的通用操作系统。汽车用户使用各项服务来越来越方便,但攻击操作系统的难度也随之越来越低。

  不只是操作系统,汽车局域网的通用性也在提高。比如德国政府扶持的项目——“基于IP协议的安全嵌入式系统(SEIS)”,该项目计划让汽车局域网采用Ethernet网协议,并使用标准通信协议“TCP/IP”。2008年,宝马率先将Ethernet网作为车载诊断接口之一来调整了软件内容。

  过去,汽车厂商主要采用“控制器局域网(CAN)”协议,汽车局域网的通信方式虽然在电路层级实现了标准化,但请求指令、响应机制等具体内容上大多各不相同,构成了实际使用过程中的“不方便”。但从信息安全的角度来看,这样的“不方便”其实是一道“防火墙”。

  但现如今,已经出现了采用近距离无线通信协议“蓝牙”、“Wi-Fi”无线局域网等汽车局域网通信协议的适配器。随着越来越多的汽车局域网采用互联网标准,车内外的众多设备和信息系统都将与汽车紧密连接。连接汽车局域网越来越简单,突破“防火墙”也就变得轻而易举。

  (三)车辆与更多外部系统进行信息交换

  第三个趋势是,伴随电动汽车、智能交通系统(ITS)的普及与推广,车辆与更多的外部系统进行信息交换的必要性越来越高。电动汽车中,为了管理价格高昂的电池的充电状态、充放电次数等,就采用了信息处理技术。

  如借助一个云计算系统,电动汽车内部可不保留充电状况记录,而是在网络上的服务器中保存。收集电池充放电次数、电量等数据,使用3G、LTE等移动通信服务汇总到服务器上。

  美国正在研究,通过管理电动汽车充电状态的信息,实现汽车共享等服务。此外,还在研究利用ITS系统采集车辆信息的服务。目前,通过道路中设置的摄像头等可以确认道路状况,未来通过各个车辆的信息共享,将能够准确把握道路状况。实现这一点,汽车与互联网互联不可或缺。为了推广服务,将通信协议标准化并公开的呼声也很高。

  未来,自动驾驶中如果采用ITS系统技术,将通过外部信息来控制汽车,实现极为便捷的汽车社会,但应该注意确保信息安全。

  (未完待续)

相关文章
2024/04/10工业和信息化部国际经济技术合作中心(中国国际贸易促进委员会电子信息行业分会)2024年度部门预算
2018/12/28俄罗斯2018年互联网经济盘点
2018/05/18数字经济为中国与中东欧16+1机制开辟新合作领域
2018/05/18普京颁布新五月命令, 第四任期经济政策向去原材料化倾斜
2018/05/08英国政府发布网络安全出口战略
最新文章
2024/04/10工业和信息化部国际经济技术合作中心(中国国际贸易促进委员会电子信息行业分会)2024年度部门预算
2023/11/072023工业绿色发展成果展圆满落幕
2023/11/07中国企业强势回归2023中东电力展
2023/11/07中英职业技能与教育交流研讨会在常州武进成功举办
2023/05/12中国企业亮相俄罗斯国际电子元器件展