《智能網(wǎng)聯(lián)汽車信息安全測試與評價技術(shù)》系統(tǒng)地總結(jié)了國內(nèi)外智能網(wǎng)聯(lián)汽車信息安全的基本概念、測試評價的基本概念、方法以及技術(shù)現(xiàn)狀,對跨行業(yè)領(lǐng)域的信息安全測試與評價技術(shù)進行了對比,介紹了測試評價的原則、整體方案、實施流程及具體案例分析,并對未來的發(fā)展趨勢進行了探索。
《智能網(wǎng)聯(lián)汽車信息安全測試與評價技術(shù)》適合汽車及相關(guān)行業(yè)科研院所和企業(yè)的研發(fā)人員閱讀,也可供相關(guān)領(lǐng)域的工程技術(shù)人員參考。
1. 《智能網(wǎng)聯(lián)汽車信息安全測試與評價技術(shù)》從智能網(wǎng)聯(lián)汽車信息安全的視角闡述相關(guān)產(chǎn)業(yè)、政策、法規(guī)、標準等方面的新進展。
2.《智能網(wǎng)聯(lián)汽車信息安全測試與評價技術(shù)》以智能網(wǎng)聯(lián)汽車信息安全測試為核心,展開介紹了測試原則、測試方法、測試技術(shù)、評價機制等內(nèi)容,還分析了遠程攻擊等經(jīng)典案例。
3.《智能網(wǎng)聯(lián)汽車信息安全測試與評價技術(shù)》適合汽車及相關(guān)行業(yè)科研院所和企業(yè)的研發(fā)人員閱讀,也可供相關(guān)領(lǐng)域的
工程技術(shù)人員參考。
隨著5G、人工智能、物聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施的迅速發(fā)展,智能網(wǎng)聯(lián)汽車已成為新興技術(shù)與汽車產(chǎn)業(yè)融合創(chuàng)新的重要組成部分。汽車不再是孤立的機械單元,而是已逐步成為智能交通、智慧能源、智慧城市等系統(tǒng)的重要載體和節(jié)點,并將由移動私人空間逐漸轉(zhuǎn)變?yōu)榭梢苿拥闹悄芫W(wǎng)絡(luò)終端智能網(wǎng)聯(lián)汽車。
智能網(wǎng)聯(lián)汽車是指利用車載傳感器、控制器、執(zhí)行器、通信裝置等,實現(xiàn)環(huán)境感知、智能決策和/或自動控制、協(xié)同控制、信息交互等功能的汽車的總稱。智能網(wǎng)聯(lián)汽車作為車聯(lián)網(wǎng)的核心節(jié)點,體現(xiàn)出顯著的終端設(shè)備屬性,其與外界的交互手段逐步豐富,車聯(lián)網(wǎng)相關(guān)設(shè)備、系統(tǒng)間的數(shù)據(jù)信息交互相較傳統(tǒng)汽車更加頻繁,萬物互聯(lián)下的網(wǎng)絡(luò)攻擊也逐漸滲透延伸到車聯(lián)網(wǎng)
的領(lǐng)域。近年來,以信息篡改、病毒入侵、惡意代碼植入等手段對智能網(wǎng)聯(lián)汽車進行網(wǎng)絡(luò)攻擊而引發(fā)的汽車網(wǎng)絡(luò)安全問題也越發(fā)嚴峻,由此引發(fā)的威脅也將從傳統(tǒng)的財產(chǎn)安全蔓延到數(shù)據(jù)安全、人身安全、社會安全,甚至是國家安全。
值此車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的關(guān)鍵時期,本書從智能網(wǎng)聯(lián)汽車信息安全的視角闡述相關(guān)產(chǎn)業(yè)、政策、法規(guī)、標準等方面的新進展,以智能網(wǎng)聯(lián)汽車信息安全測試為核心,圍繞測試原則、測試方法、測試技術(shù)、評價機制等內(nèi)容進行展開,希望能與業(yè)界同行共享成果,以共同推動智能網(wǎng)聯(lián)汽車信息安全測試與評價技術(shù)發(fā)展。
智能網(wǎng)聯(lián)汽車技術(shù)尚處于快速發(fā)展過程中,受時間、資源及專業(yè)、能力所限,本書的內(nèi)容未必全面,我們歡迎廣大專家、學(xué)者及社會各界對本書存在的缺點、不足批評指正,以便我們在后續(xù)工作中不斷完善;也希望通過本書搭建與各方交流探討的平臺,共同推動智能網(wǎng)聯(lián)汽車技術(shù)及產(chǎn)業(yè)發(fā)展,這也是我們對未來智能網(wǎng)聯(lián)汽車與和諧汽車社會的美好向往與追求。
編 者
孫航,高級工程師,就職于中國汽車技術(shù)研究中心標準化研究所,全國汽車標準化技術(shù)委員會秘書處(SAC/TC114)。主要負責(zé)智能網(wǎng)聯(lián)汽車先進駕駛輔助系統(tǒng)、自動駕駛、汽車信息安全、主被動安全一體化的標準制定與試驗技術(shù)研究工作。參與制定中國智能網(wǎng)聯(lián)汽車標準體系規(guī)劃、ADAS標準制定推進計劃等,目前負責(zé)10余項相關(guān)領(lǐng)域國家標準的制定工作,熟悉測試技術(shù)和測試設(shè)備。目前是ISO/TC22/SC32/WG11汽車信息安全工作組和WG6擴展型網(wǎng)聯(lián)車輛注冊專家,UN/WP.29智能網(wǎng)聯(lián)汽車ITS/AD相關(guān)工作組的會議代表。
前言
第1章 智能網(wǎng)聯(lián)汽車信息安全概述
1.1 車聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展概況 1
1.1.1 車聯(lián)網(wǎng)產(chǎn)業(yè)結(jié)構(gòu)及全景圖 1
1.1.2 車聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)發(fā)展趨勢 2
1.2 智能網(wǎng)聯(lián)汽車信息安全基本概念 6
1.2.1 智能網(wǎng)聯(lián)汽車 (ICV) 6
1.2.2 智能網(wǎng)聯(lián)汽車信息安全 6
1.3 國外智能網(wǎng)聯(lián)汽車信息安全現(xiàn)狀 7
1.3.1 政策動態(tài) 7
1.3.2 行業(yè)建設(shè) 10
1.4 國內(nèi)智能網(wǎng)聯(lián)汽車信息安全現(xiàn)狀 10
1.4.1 政策動態(tài) 10
1.4.2 行業(yè)建設(shè) 25
1.5 車聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全總體情況 27
1.5.1 車聯(lián)網(wǎng)網(wǎng)絡(luò)與信息安全概述 27
1.5.2 技術(shù)產(chǎn)業(yè)發(fā)展情況 28
1.5.3 車聯(lián)網(wǎng)信息安全面臨的問題與挑戰(zhàn) 28
1.6 測試與評價的重要意義 30
1.7 技術(shù)及標準研究面臨的機遇與挑戰(zhàn) 31
第2章 智能網(wǎng)聯(lián)汽車信息安全測試基本原則及方法
2.1 測試基本原則 33
2.2 測試流程 35
2.3 測試對象 37
2.4 測試單元 39
2.5 測試工具 40
2.6 測試方法 41
第3章 智能網(wǎng)聯(lián)汽車信息安全測試技術(shù)要求
3.1 測試定義 43
3.2 測試目標 44
3.3 測試對象 44
3.4 測試依據(jù) 46
3.5 測試內(nèi)容 48
3.6 與工業(yè)控制系統(tǒng)的對比分析 50
第4章 智能網(wǎng)聯(lián)汽車信息安全測試核心問題
4.1 測試的層級 53
4.2 測試的范疇 66
4.3 測試結(jié)果的準確性 66
第5章 智能網(wǎng)聯(lián)汽車信息安全測試評價機制
5.1 CSMS認證介紹 67
5.1.1 CSMS與 ISMS差異分析 68
5.1.2 CSMS證書說明 68
5.1.3 CSMS核查要點 68
5.1.4 CSMS審核評價 69
5.2 ISO/SAE 21434審計介紹 71
5.2.1 ISO/SAE 21434簡介 71
5.2.2 ISO PAS 5112簡介 71
5.3 CACC介紹 71
5.3.1 CACC認證內(nèi)容 71
5.3.2 CACC認證流程 72
5.3.3 CACC認證的委托及受理 72
5.3.4 CACC認證單元 73
5.4 5StarS認證介紹 73
5.4.1 保障體系框架 73
5.4.2 車輛評估概述 74
5.4.3 保證評級系統(tǒng) 76
5.4.4 保證等級測量標準 78
5.5 TISAX介紹 79
5.5.1 TISAX運作模式 79
5.5.2 TISAX評估內(nèi)容 80
5.5.3 TISAX評估流程 83
5.5.4 TISAX監(jiān)管機構(gòu)及機制 84
第6章 智能網(wǎng)聯(lián)汽車信息安全經(jīng)典案例
6.1 針對網(wǎng)聯(lián)汽車遠程攻擊的安全事件 85
6.1.1 某公司智能網(wǎng)聯(lián)汽車存在遠程控制漏洞 85
6.1.2 某公司 Wi-Fi協(xié)議存在緩沖區(qū)溢出漏洞 87
6.2 針對網(wǎng)聯(lián)汽車近場攻擊的安全事件 91
6.3 針對車廠攻擊的安全事件 97
6.3.1 某公司遭受高級持續(xù)性威脅( APT)攻擊 97
6.3.2 某公司汽車服務(wù)器遭到入侵 98
6.3.3 某公司亞馬遜 Web服務(wù)系統(tǒng)(AWS)服務(wù)器被入侵 98
6.3.4 車廠用戶數(shù)據(jù)安全事件 101
6.4 針對車輛鑰匙攻擊的安全事件 105
6.4.1 中繼攻擊使歐洲多地車輛被盜 105
6.4.2 某公司無鑰匙進入與啟動(PKES)系統(tǒng)存在中繼攻擊威脅106
6.5 針對車輛診斷工具的安全事件 111
6.6 針對共享汽車的安全事件 113
6.6.1 某共享汽車 App存在漏洞 113
6.6.2 數(shù)個共享汽車 App易受攻擊 113
6.6.3 某共享汽車公司存在賬號劫持漏洞 114
6.7 針對自動駕駛系統(tǒng)的安全事件 116
6.8 其他網(wǎng)聯(lián)汽車安全事件 118
6.8.1 某品牌后裝汽車防盜系統(tǒng)存在漏洞 118
6.8.2 某公司多款車型爆出安全漏洞 120
6.8.3 某物聯(lián)網(wǎng)廠商后端存在多個遠程漏洞 123
6.8.4 某公司升級機制持久提權(quán) 123
6.9 智能網(wǎng)聯(lián)汽車測試案例 129
6.9.1 概述 129
6.9.2 智能網(wǎng)聯(lián)汽車移動應(yīng)用客戶端測試 136
6.9.3 智能網(wǎng)聯(lián)汽車 T-BOX安全測試142
6.9.4 智能網(wǎng)聯(lián)汽車 IVI安全測試 149
6.9.5 智能網(wǎng)聯(lián)汽車 TSP平臺安全測試 153
第7章 未來展望
7.1 智能網(wǎng)聯(lián)汽車發(fā)展趨勢 157
7.1.1 當下熱點157
7.1.2 未來可能159
7.2 信息安全技術(shù)展望 164
7.2.1 信息安全風(fēng)險預(yù)測164
7.2.2 應(yīng)對策略167
7.3 測試評價展望 170
7.3.1 信息安全測試技術(shù)研究 170
7.3.2 測試技術(shù)政策法規(guī)展望 173
參考文獻176