车载信息第八章-车载信息安全技术课件.ppt

1、第八章 车载信息安全技术1第一节 信息安全技术简介信息安全是指信息系统及网络的硬件、软件及其系统中的数据受到保护，不受意外的或者恶意的原因遭到破坏、更改、泄露、非法使用，系统连续可靠地按照预定的性能指标提供信息服务以及其他基于信息数据的功能。信息安全主要包括五个方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使系统的信息不受外部以及内部因素的威胁。2第一节 信息安全技术简介信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、应用数学、数论、信息论等多种学科的综合性学科。3第一节 信息安全技术简介（一）产生信息安全问题的因素（二）存在的威胁

2、及目标（三）信息安全实现的主要目标4（一）产生信息安全问题的因素产生信息安全问题的主要因素有：（1）使用广泛的微机安全结构不够完善。（2）面对现在的各种相互交流广泛的公用应用环境，微机的安全防御能力就显得弱了。（3）计算机网络把计算机变成网络中的一个组成部分。在连接上突破了地理隔离和直接接触的限制，产生了各种信息安全问题。5（一）产生信息安全问题的因素（4）操作系统存在安全缺陷。（5）随着嵌入式系统出现在各种各样的系统中，并且连接入网络，使得信息安全问题正在成为所有直接或间接使用计算机的系统必须面临的问题。6（二）存在的威胁及目标目前，信息安全主要面临如下的安全威胁：(1)信息泄露：信息被泄露

3、或透露给某个非授权的实体；(2)破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失；(3)拒绝服务：对信息或其他资源的合法访问被无条件地阻止；(4)非法使用(非授权访问)：某一资源被某个非授权的人，或以非授权的方式使用；7（二）存在的威胁及目标(5)窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息；(6)业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律；(7)假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。8（二）存在

4、的威胁及目标(8)旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。(9)授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”；9（二）存在的威胁及目标(10)特洛伊木马：软件中含有一个觉察不出的有害的程序段，当它被执行时，会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)；(11)陷阱门：在某个系统或某个部件中设置的“机关”，使得在特定的数据输入时，允许违反安全策略；(12)抵赖：这是一种来自用户的攻击，如：否认自己曾经发布过的某条消息、伪造一份对方来信等；10（二）存在的威胁及目标(13)

5、重放：出于非法目的，将所截获的某次合法的通信数据进行拷贝，而重新发送；(14)计算机病毒：一种在计算机系统运行过程中能够实现传染和侵害功能的程序；(15)人员不慎：一个授权的人为了某种利益，或由于粗心，将信息泄露给一个非授权的人；(16)媒体废弃：信息被从废弃的磁碟或打印过的存储介质中获得；11（二）存在的威胁及目标(17)物理侵入：侵入者绕过物理控制而获得对系统的访问；(18)窃取：重要的安全物品，如令牌或身份卡被盗；(19)业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息；(20)影响、干预系统性能指标：使系统无法保障按照设计的性能指标完成功能。12（三）信息安全实现的

6、主要目标信息的产生、存储、传输以及应用的方式多且复杂。在这些过程中，存在泄密或被截收、窃听、窜改和伪造的可能性。单一的保密措施已很难保证通信和信息以及信息系统的安全，应通过技术的、管理的、行政的、法律的手段，实现信源、信号、信息以及系统的保护，达到信息安全的目的。13（三）信息安全实现的主要目标信息安全实现的主要目标包括：（1）真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别；（2）保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义；（3）完整性：保证数据的一致性，防止数据被非法用户篡改；（4）可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝；14（三）信息安全实现的

7、主要目标（5）不可抵赖性：建立有效的责任机制，防止用户否认其行为，这点在电子商务中是极其重要的；（6）可控制性：对信息的传播及内容具有控制能力；（7）可审查性：对出现的网络安全问题提供调查的依据和手段；（7）时效性：保证数据使用的实时性要求。15二、信息安全相关技术（一）身份认证（一）身份认证（二）数据加密（二）数据加密（三）网络防火墙（三）网络防火墙16（一）身份认证身份认证是指计算机及网络系统确认操作者及信息访问者（包括人、系统、软件）身份的过程。计算机系统以及计算机网络中，使用一组特定的数据对用户进行表示的，怎样确保这个以数字身份进行访问的就是这个数字身份合法拥有者，就成为一个很重要的问

8、题。身份认证就是为了解决这个问题。17（一）身份认证身份认证的任务可以概括成以下四个方面：（1）会话参与方身份的认证：保证参与者不是经过伪装的潜在威胁者；（2）会话内容的完整性：保证会话内容在传输过程中不被篡改；（3）会话的机密性：保证会话内容(明文)不会被潜在威胁者所窃听；（4）会话抗抵赖性：保证在会话后双方无法抵赖自己所发出过的信息18（一）身份认证信息系统中，对用户的身份认证方法可以按照不同的标准进行分类。仅通过一个条件来证明身份称之为单因子认证，通过组合两种不同条件来证明身份，称之为双因子认证。按照身份认证技术是否使用硬件，又分为软件认证和硬件认证。从认证信息来看，可以分为静态认证和动

9、态认证。19（一）身份认证现在计算机及网络系统中常用的身份认证方式主要有以下几种：（1）静态口令方式，口令是静态的数据，在计算机内存中和网络中传输，每次验证过程使用的验证信息都是相同的，易被驻留在计算机内存中的木马程序或网络中的监听设备截获。是极不安全的身份认证方式。20（一）身份认证（2）动态口令方式，每个密码只使用一次。采用一种称之为动态令牌的专用硬件，通过密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码。认证服务器采用相同的算法。即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。但如果不能保持良好的同步，就可能发生合法用户无法登陆的问题。21（一）身份认证

10、（3）IC 卡方式，是一种内置集成电路的卡片，存有与用户身份相关的数据。登录时必须将IC 卡插入专用的读卡器读取其中的信息，以验证用户的身份。通过IC 卡硬件不可复制来保证用户身份不会被仿冒。由于每次从IC 卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。22（一）身份认证（4）USB Key 认证，是采用软硬件相结合、一次一密的强双因子认证模式。USB Key 是一种USB 接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key 内置的密码算法实现对用户身份的认证。USB Key 具有双重验证机制，用户PIN 码和

11、USB Key 硬件标识。23（一）身份认证（5）生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、声音识别、虹膜识别等。理论上，这是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。24（二）数据加密把用通用的表达方式表示的信息文本称为明文(plaintext)，将明文变通过变换后的文本称为密文(ciphertext)。把明文变换成密文的过程叫加密(encipher)，把密文变换成明文的过程叫解密(decipher)。用于加解密的一些特殊信息称为密钥(keyword)

12、，它是控制明文与密文之间变换的关键，它可以是数字、词汇或语句。密钥分为加密密钥(Encryption Key)和解密密钥(Decryption Key)。25（二）数据加密完成加密和解密的算法称为密码体制(Cipher System)。传统的密码体制所用的加密密钥和解密密钥相同，即对称式密钥加密技术；加密密钥和解密密钥不同称为非对称式密码加密技术。数据加密或解密变换过程如图8-1所示。26图8-1 加密解密变换（二）数据加密实现数据加密的主要技术可以分为对称加密技术，公开密钥加密技术以及对称加密与公开加密相结合的技术。（1）对称加密技术，是指加密和解密均采用同一把秘密钥匙，通信双方必须都要获得

13、这把钥匙，并保持钥匙的秘密。当给对方发信息时，用加密密钥进行加密，在接收方收到数据后，用对方所给的密钥进行解密。也称为秘密钥匙加密法。27（二）数据加密对称式密钥加密技术加密算法主要有以下两种:DES(Data Encryption Standard)算法，即数据加密标准。它综合运用了置换、代替、代数多种密码技术，把信息分成64位大小的块，使用56位密钥，迭代轮数为16轮的加密算法。IDEA(International Data Encryption Algorithm)算法，是一种国际信息加密算法。是一个分组大小为64位，密钥为128位，迭代轮数为八轮的迭代型密码体制。，有效地消除了任何试图

14、穷尽搜索密钥的可能性。28（二）数据加密对称式密钥加密技术具有加密速度快，保密度高等优点。但也有其缺点：密钥是保密通信安全的关键，如何才能把密钥安全地送到收信方，是对称密钥加密技术的突出问题，密钥分发过程十分复杂，所花代价高。多人通信时密钥的组合的数量，会出现爆炸性的膨胀，n个人进行两两通信，总需要的密钥数为n(n-1)/2。通信双方必须统一密钥，才能发送保密的信息。29（二）数据加密（2）公钥加密技术，要求密钥成对使用，即加密和解密分别由两个密钥来实现。每个用户都有一对选定的密钥，一个可以公开，即公共密钥，用于加密；另一个由用户安全拥有，即秘密密钥，用于解密。公共密钥和秘密密钥之间有密切的关

15、系。当给对方发信息时，用对方的公开密钥进行加密，而在接收方收到数据后，用自己的秘密密钥进行解密，称为非对称密码加密技术。30（二）数据加密公开密钥加密算法主要是RSA加密算法。它是第一个成熟的、迄今为止理论上最为成功的公开密钥密码体制，RSA加密、解密过程由密钥生成、加密过程和解密过程组成。公开密钥加密技术的优点是：密钥少便于管理，网络中的每一用户只需保存自己的解密密钥，则N个用户仅需产生N对密钥。密钥分配简单，加密密钥分发给用户，而解密密钥则由用户自己保管。31（二）数据加密不需要秘密通道和复杂的协议来传送密钥。可以实现数字签名和数字鉴别。缺点是加、解密速度慢。在实际应用中结合使用DES/I

16、DEA和RSA，对于网络中传输的数据用DES或IDEA加密，而加密用的密钥则用RSA加密传送，此方法既保证了数据安全又提高了加密和解密的速度。32（二）数据加密DES/IDEA和RSA结合使用如图8-2所示。33图8-2 DES/IDEA与RSA结合加密原理示意图（二）数据加密首先发信者使用DES/IDEA算法用对称钥将明文原信息加密获得密文，然后使用接收者的RS A公开钥将对称钥加密获得加密的DES或IDEA密钥，将密文和加密的密钥一起通过网络传送给接收者。接收方接收到密文信息后，首先用自己的密钥解密而获得DES或IDEA密钥，再用这个密钥将密文解密而最后获得明文原信息。由此，起到了对明文信

17、息保密的作用。34（三）网络防火墙防火墙指的是一类计算机网络安全措施的总称。主要是通过将外部网络与内部网络隔离，对于网络互相访问进行限制，从而达到保护内部网络的目的。防火墙可以通过对进出网络的通信进行监控过滤，认为安全的信息才能进入到内部网络和计算机系统，可有效地抵制危险数据对于网络安全构成的威胁。35（三）网络防火墙防火墙的功能主要体现在以下几个方面：（1）通过限制外部进入内部网络，将一些不安全的链接以及非法访问隔绝在外。（2）组织协调计算机系统的防御设施。（3）对于特殊站点的访问进行限制。（4）方便了网络安全的监督工作以及预警工作。（5）防止出现资源被滥用的现象36（三）网络防火墙从不同的

18、应用目的或实现方式等，防火墙有以下几种分类：（1）按照软硬件形式来分类，可分为软件防火墙与硬件防火墙。（2）按技术分类，包括“包过滤型”以及“应用代理型”两大类。37（三）网络防火墙（3）按结构分类，包括单一的主机防火墙、分布式防火墙以及集成式的防火墙。（4）按应用部署位置分类，包括个人防火墙、边界防火墙以及混合防火墙（5）按性能分类，包括两种类型，一种是百兆级防火墙，一种是千兆级防火墙。38三、嵌入式系统信息安全作为一类计算机系统，随着应用的普及以及网络化的发展，嵌入式系统信息安全问题越来越严重，也越来受到越多的关注。（一）嵌入式系统信息安全面临的问题（二）嵌入式系统的安全需求（三）嵌入式系

19、统各阶段的信息安全考虑（一）嵌入式系统信息安全面临的问题嵌入式系统是嵌入到其他系统或装置中的计算机。嵌入式系统的信息安全问题，不仅会产生信息方面的问题，而可能产生物理上的效果。针对嵌入式系统的功能安全，国际电工委员会（IEC）制定的功能安全标准IEC 61508业，并衍生出了很多相关的行业标准。（一）嵌入式系统信息安全面临的问题IEC 61508 针对一些随机的、意外的故障导致的功能失效提出了解决方案，对恶意的信息安全攻击导致的功能失效没有提出相关的解决方法。IEC 61508 的 Part 1 给出了对于功能安全的通用要求，其中定义了功能安全的生命周期是一个识别-分析-设计-验证的逻辑循环过

20、程，同时定义了两种模式（按需模式、连续模式）下的安全级别，一共分为 4 级。（一）嵌入式系统信息安全面临的问题IEC 61508 的 Part 2 给出了对硬件的功能安全要求。导致硬件故障的原因，可以分为随机错误、系统错误、环境影响、操作错误。IEC 61508 的 Part 3 给出了对软件的功能安全要求。导致软件故障的原因，主要是在软件开发过程中产生的各种缺陷，通过嵌入式软件测试的方法，可以发现这些缺陷，从而修正缺陷，保证整个系统的功能安全。（一）嵌入式系统信息安全面临的问题目前实际的嵌入式软件测试大多是功能测试，即测试嵌入式软件功能是否符合需求规格。对嵌入式系统的信息安全往往利用嵌入式软

21、件本身或基于的操作系统的某些缺陷，注入恶意代码，使得嵌入式系统失控。（二）嵌入式系统的安全需求现代汽车的控制和信息系统采用了大量的微控制器，通过车载的内部网络，如 CAN 总线，进行相互通信，共享信息并协调完成对汽车的控制功能。随着车载电脑的配置，无线网络技术的发展，如车载 Adhoc 网络（VANET），车载电子系统逐渐成为一个开放的平台，来自外部的信息安全攻击，通过各种各样与外部联系的途径影响车载电子系统。（二）嵌入式系统的安全需求嵌入式系统的开发环境也是一个很重要的环节，恶意代码可能在开发阶段就已存在。在嵌入式系统的生命周期的各个阶段都必须考虑由于信息安全攻击引起的功能安全问题。嵌入式系

22、统常常只限于部分授权用户使用(用户认证)，或者限制对网络，主机以及应用程序等资源的使用(访问控制)。这些都是由基本安全功能通过用户与主机间相互认证来实现的。（二）嵌入式系统的安全需求可用性是嵌入式系统可被授权实体访问并按需求使用的特性，确保合法用户对信息和资源的使用不会被不正当的拒绝(DOS)。防篡改是指如何有效地保证上述安全功能需求，即便恶意实体获取了整个嵌入式系统，并能对其进行物理或逻辑上探测。（三）嵌入式系统各阶段的信息安全考虑在规划需求阶段，对于嵌入式系统来说，应该明确系统对于功能安全的需求与规范，以此来识别、分析嵌入式系统可能受到的信息安全威胁，以及由这些威胁可能导致的系统功能受损。

23、在设计开发阶段，设计人员应该根据识别出的信息安全威胁，设计相应的安全策略和保护措施，嵌入式系统的开发环境也需要考虑安全策略和保护措施。（三）嵌入式系统各阶段的信息安全考虑在实施修改阶段，应该对嵌入式系统所可能遭受到的信息安全威胁、系统本身的脆弱性进一步进行识别分析，可能会发现以前未识别的威胁或脆弱性，需要对系统的安全策略或措施进行修订完善。在测试验证阶段，应该对嵌入式系统所采取的安全措施进行测试验证，以验证这些策略和措施的有效性。第二节 汽车信息安全问题一、外部可能接入车载系统的渠道二、对车载信息系统的攻击方式三、车载系统的信息类型及安全问题一、外部可能接入车载系统的渠道汽车与外部的信息通道及

24、可能受到的攻击示例如图8-3、8-4所示。在信息接入方式上，车载电子与信息系统可以归纳为：1、网络信息通信，主要是车辆通过无线移动网络与外部的信息链接通路。攻击者无需靠近汽车，就可以通过网络攻击任何一辆汽车。2、车载系统与陆基交通或其他专用设施间的通信3、汽车智能遥控车钥匙智能手机等方式的接入，提供了一个接入车载信息系统的通道，外部可以通过无线车钥匙与车门锁控制系统的通信通道接入车载信息网络。4、通过车载系统间无线信息通道的接入，一些车上的装置间可能采用无线通信方式，或短距离无线网络通信。5、通过生产制造或维护过程的信息接口的接入，汽车的很多总成都已经是电控，这些总成的控制单元都是要接入汽车车

25、载通信网络的。6、通过车载信息娱乐设备接口的介入，车载信息娱乐设备终端是用户可以直接使用的车载装置。图8-3车载信息系统与外部信息的连接示例图8-4 对车载信息系统介入的途径示例二、对车载信息系统的攻击方式对车载系统的恶意访问或攻击方式主要有：1）非法利用 2）非法设置3）窃听4）信道拥塞(DoS攻击)5）虚假消息6）记录丢失7）非法转播8）信息泄露分析与汽车信息安全相关的攻击策略，如图8-5，可总结出三种攻击途径：（1）直接攻击。恶意攻击者比较容易直接接触到汽车。（2）从便携式产品入侵，用户通过汽配市场等途径购买安装在车上的产品时，来自外部的病毒等威胁可能进入车内。（3）从外部网络攻击，汽车

26、上有很多使用通信的装置，有可能受到通信被窃听、被恶意中断等威胁。三、车载系统的信息类型及安全问题车载电子和信息系统主动或被动获取、传输、存储、使用的数字化信息可以归纳为以下几种类型：（1）汽车的信息，包括汽车固有信息、认证信息码、行驶等信息汽车状态信息软件设置信息使用保养等历史数据。这些信息直接影响汽车的工作状态，对这些信息的恶意访问将可能产生汽车非正常运行和操控。（2）用户信息，用户（驾驶员和乘坐人员）的个人信息、认证信息、缴费信息、使用记录和操作记录等。（3）信息服务数据视频、音乐、地图、天气等应用数据。（4）交通管理信息年检、排放、道路区域行驶限制、车籍信息、保险、事故记录。图8-5 汽

27、车信息安全攻击策略示例第三节 汽车信息安全架构OSEK标准是在汽车行业中现今最广泛使用的标准之一。这个标准包含了AUTOSAR架构的基础，从实时操作系统RTOS(Real Time Operating System)、软件接口、通信和网络管理等方面对汽车的电子控制软件开发平台作了较为全面的定义与规定。AUTOSAR（AUTomotive Open System Architecture，汽车开放系统架构）是一些汽车 OEM、供应商、工具提供商和半导体公司组成的组织，共同致力于开发和制定汽车电气/电子(E/E)架构事实的开放式行业软件标准。第三节 汽车信息安全架构ISO 26262 标准的目的则

28、以功能安全性为中心，实质上是以避免或检测并处理故障为目的，从而减轻故障影响并防止出现对任何既有的系统安全目标的违反行为。OVERSEE制定的目标是提供一个受保护的标准化的车内运行环境、车内的接入口和通讯点，以满足智能汽车需要具备的安全性，通信能力和开放性，较全面考虑了车载信息安全问题，并制定了车载信息安全的构架。第三节 汽车信息安全架构一、概述二、OVERSEE分区结构三、OVERSEE接口四、虚拟化安全服务与防火墙机制的规范五、安全构建集中设计六、OVERSEE中V2V和V2I通信七、车载通信安及全安全通信规范八、安全服务一、概述OVERSEE平台构架如图8-6，其目标是：1）提供一个通用的

29、、开放源码的、存在时间和空间隔离的平台，在一个OVERSEE控制单元上同时安全的执行多个汽车应用。2）提供可靠、安全的运行环境。3）建立开放的、标准化的安全的单点访问车载网络。4）为安全可靠的访问服务，提供标准化的API。5）提供支持验证的性能和方法。6）提供安全记录。应用程序应用程序客户端操作系统客户端操作系统OVERSEE 应用程序接口应用程序接口一系列服务一系列服务XtratuM（虚拟层管理程序）（虚拟层管理程序）硬件硬件OVERSEE 系统系统 OVERSEE 平台平台图8-6 OVERSEE平台OVERSEE按照结构，系统可以分为三个主层1）硬件层，包括硬件设备2）虚拟层虚拟化的硬件

30、资源和提供虚拟化的运行环境服务3）应用层，应用程序的运行环境（分区）。分区由操作系统和应用组成。OVERSEE系统分层结构第四节车载总线信息安全一、车载总线结构二、CAN总线的信息安全三、FlexRay总线的信息安全四、MOST总线的信息安全五、车载网关的信息安全一、车载总线结构车载总线连接着汽车上执行各个功能的ECU，攻击者通过车载总线进行攻击会变得更加简单和容易。以往的车载网络协议以及通信支持软硬件没有或极少考虑到防御外部攻击的安全策略。总线网络是车载信息网络的主体，是车载信息安全问题的核心。图8-17 车载总线架构图二、CAN总线的信息安全CAN是汽车上应用最广泛的总线网络标准之一。CA

31、N网络中的各节点都可根据总线访问优先权（取决于报文标识符）采用无损结构的逐位仲裁的方式竞争向总线发送数据。当总线冲突时（多个节点同时发送消息），CAN总线通过对比消息的标识符进行仲裁，帧标识大的消息优先级较低。CAN总线协议有以下安全威胁：1）机密性：总线上的消息缺乏机密性。2）真实性：任何节点都可以仿造其他的节点给系统中执行重要功能的节点发送消息。3）有效性：当总线上有恶意节点一直发送高优先级的消息时，CAN总线没有相关策略保证其他的消息的按时发送。4）正确性：任何连接到CAN总线上的恶意节点都可以制造虚假消息。5）无否认性：CAN总线当前没有任何的方法能够使连接在总线上的正确节点证明是否发

32、送或者接收过一个给定的消息。针对CAN总线的特点，为防护安全威胁应实现以下几类保护机制：1）数据加密：每一个通信都采用加密和解密，保证通信数据的可靠性和机密性。由于车载网络的硬件限制，可以通过增加硬件安全模块（Hardware Security Module，HSM）进行加密操作。2）异常检测：监管ECU之间的数据发送，保证它们的合法性。在外部接口（OBD-II）和车内CAN总线之间设置一个节点，检测总线上活动，如果有异常，如高优先级消息一直发送，屏蔽外部异常消息。每个帧标识只关联一个ECU，保证了一个帧只能被一个特定的ECU发送。三、FlexRay总线的信息安全FlexRay总线：是一种用于

33、汽车的高速、可确定性的，具备故障容错能力的总线技术，它将事件触发和时间触发两种方式相结合，具有高效的网络利用率和系统灵活性特点，可以作为新一代汽车内部网络的主干网络。FlexRay的应用领域包括：1）x-by-wire安全关键应用；2）基于FlexRay的“数据主干网”通过网关与其它总线相连；3）需要在不同ECU间进行交叉计算的分布式控制系统。相对于CAN总线，FlexRay协议具有更好的容错性，位采样投票机制避免了故障发生时接收器的错误判断；但FlexRay总线仍然有自己的安全威胁：1）机密性：当FlexRay总线上有一个恶意节点在每个时隙都设置为接收时，总线消息缺乏机密性。2）静态消息冲突

34、：当攻击者修改FlexRay总线上任意节点的静态调度表导致修改后的发送时隙和其他节点冲突时，消息不能正常发送。3）有效性：当总线上有恶意节点一直在FlexRay动态段发送高优先级的消息时，FlexRay总线没有相关策略保证其他动态段消息的按时发送。针对FlexRay总线的易攻击点，应实现以下几类保护机制：1）数据加密2）采用中央总线监控器Central Bus Guardian（CBG）3）增加一个节点进行异常监听四、MOST总线的信息安全MOST(Media Oriented System Transport)是一个由MOST合作组织制定的以通信协议为基础的汽车多媒体信息传输网络技术，总线采

35、用环形网络结构，主要负责传输车内高质量的多媒体音视频信息。安全平台设计中MOST网络连接包括有DVD节点、数字电视节点、收音机节点、功放节点等。可能存在的安全问题及解决方案：（1）MOST网络安全问题：MOST网络采用环形网络结构，一旦环上某个节点遭到破坏断开，环网上的所有通信将被终止。可以利用双环网来保持高度的可用性，如果两个节点之间出现问题，环网将通过冗余段重新构成环路，防止网络工作中断。（2）数据传输安全性问题：MOST网络数据传输主要包括三类：同步数据、异步数据、控制数据。同步数据主要音频数据和视频数据，异步数据为包数据，控制数据是指控制信息等。MOST数据传输是以帧格式实现的，每个M

36、OST数据帧包含3个域，同步数据域、异步数据域和控制数据域。针对同步数据域解决方案，通过对MOST网络帧传输信息的加密实现数据保护。针对异步数据域解决方案，在异步数据包打包过程中对打包数据进行数据加密，同时在接收节点处进行解密。针对控制数据域解决方案，控制数据机制（Control Data mechanism）承担着系统管理和配置的全部通讯功能，MOST网络帧在设计过程中采用将控制数据分布在各个帧中，每帧分布两个控制字节，这种做法不仅将控制信息的负载降低到最小，还避免控制信息被篡改。五、车载网关的信息安全车载网关是实现车载网络与INTERNET互联的部分，往往也兼做车载网络之间的网关并于车载信

37、息终端集成与一体。这一部分应当有INTERNET与车载网络之间的防火墙，以及车在网络之间互联时的防火墙。第五节无线接入方式一、胎压监测测量路径接入二、智能车钥匙三、车载以太网一、胎压监测测量路径接入轮胎压力检测部分装在轮胎上。轮胎压力控制装置上装有无线电频率发射器，实现与车上监测部分的通信，通过CAN向汽车中央计算机发送指令。通过车载自动诊断系统（OBD-II），触发汽车仪表盘上的警告信息。二、智能车钥匙无钥匙进入系统，是由发射器、遥控中央锁控制模块、驾驶授权系统控制模块三个接收器及相关线束组成的控制系统组成，采用RFID(无线射频识别)技术。无钥匙进入系统包含自动解锁、智能点火和识别车主三个

38、基本功能。三、车载以太网车载以太网使用标准通信协议TCP/IP，易受到网络上黑客和病毒攻击的威胁。在以太网应用到车辆上后，已经出现了使用近距离无线通信“蓝牙”、WLAN等网络提供车载LAN通信内容的适配器。连接车载LAN越来越简单，突破“防火墙”也就变得轻而易举。修复这道“防火墙”或者在车辆内部通信间重新建立一道防火墙是必要的且可有效防止来自互联网的攻击。第六节汽车生命周期信息安全一、概述二、汽车生命周期各阶段的信息安全问题及策略一、概述汽车信息安全问题涉及到的内容广泛，时间上持续在整个生命周期，甚至延续到其零部件的整个生命周期中。汽车一般使用年限比较长，在这期间，可能会出现很多新的攻击技术，

39、或在发布后发现漏洞。二、汽车生命周期各阶段的信息安全问题及策略从一款汽车从产生到报废，从信息安全角度，可以划分为这样几个环节：1）整车电子与信息系统总体设计；2）相关零部件以及具有电控单元的总成的设计与选配；3）上线生产环节；4）库存营销环节；5）用户日常使用阶段；6）维护保养以及故障检测维修环节；7）车辆管理环节；8）车主转换、用途转换环节；9）车辆事故环节；10）报废环节。1、总体设计阶段在设计时，汽车的理念、配备的功能都将明确，需要考虑各项功能安全性的重要程度，在选择车辆配备的功能然后转交给开发阶段的时候，一定要提交包括信息安全在内的需求。2、相关零部件以及具有电控单元的总成的设计与选配

40、零部件设计选择、各种软硬件的设计选择、系统集成、零部件测试、系统测试、以及整车测试过程，是采取信息安全对策的最重要环节。3、线上生产过程汽车在生产线上装配的时候，信息安全有关的环节：一个是，在一些流程中要对安装的零部件或总成进行测试；一个是，在一些环节和整车下线前，为车载电控或信息系统装载软件和配置参数，并且形成整车数据档案。在这些环节中，可能使车载信息系统受到非合法的，或错误的信息影响，造成车载信息系统存在安全隐患，或被植入非法功能。4、营销及使用过程车辆管理环节也涉及到信息安全问题。检车时可能存在检车线设备与车辆电子信息系统交互信息的过程，可能出现被恶意访问。汽车已经出现了因软件问题而召回的案例。在车辆由于变卖等原因出现车主更换的时候，原车主的相应信息处理涉及到其私有信息的安全问题。5、维护保养以及故障检测维修过程1）维修维护使用的信息设备本身的信息安全问题造成车载系统被感染或被异常访问；2）维修维护人员的恶意下载或设置或建立的链接，操作错误造成的信息安全问题；3）维修时替换下来的电子信息部件可能存有信息，这些可能被恶意使用；4）维修维护时换上的电子信息部件可能存在的信息安全问题。6、报废及损毁过程1）换购时原有用户私人信息没有有效删除，汽车新用户可能获取并恶意使用；2）报废或损毁的车辆在各个电控单元中可能存储有车辆以及用户等信息，可能被获得这些东西的人读取并恶意使用；