车载信息安全技术课件

车载信息安全技术第一章汽车智能化与网联化的安全挑战电子化占比激增软件定义汽车安全威胁升级车载电子成本已占汽车总成本35%，预计2030软件定义汽车时代来临，安全攻击面大幅扩信息安全威胁直接影响车辆功能安全与用户隐年将达到50%，智能化程度不断提升展，传统防护手段面临新挑战私，成为智能汽车发展的核心痛点车载信息安全的四大安全维度01被动安全安全带、安全气囊等事故保护措施，在碰撞发生时减少人员伤害02主动安全碰撞预警、电子稳定系统等事故预防技术，主动避免危险情况发生03功能安全软硬件冗余设计，防止系统故障导致失效，确保车辆在故障状态下的安全运行04信息安全防止黑客攻击导致数据泄露和功能失效，保护车辆免受网络威胁侵害车载信息安全面临的主要威胁模块车载终端节点安全威胁网络传输安全威胁包括车载信息娱乐系统（IVI）、T-BOX、车载网关、ECU控制器等关键车内CAN总线、车载以太网、Wi-Fi、蓝牙等通信渠道面临窃听、篡改、节点，这些终端设备是攻击者的首要目标重放等多种攻击手段•固件漏洞与后门风险•中间人攻击与流量劫持•物理接口暴露攻击面•协议漏洞与加密缺失•软件漏洞与配置缺陷•DoS攻击导致通信瘫痪云平台安全威胁外部互联生态安全威胁车云平台存储海量用户数据和车辆信息，面临数据泄露、未授权访问、移动APP、充电桩、道路基础设施等外部系统的安全漏洞可能成为攻击车API滥用等风险辆的跳板•身份认证与访问控制缺陷•移动APP逆向与密钥泄露•数据传输与存储加密不足•充电桩网络被入侵•API接口安全漏洞车载网络安全攻防战智能汽车内部是一个由数十个甚至上百个电子控制单元（ECU）组成的复杂分布式网络系统这些ECU通过CAN、LIN、FlexRay、车载以太网等多种总线协议互联，形成了信息娱乐域、智能驾驶域、动力域、底盘域、车身域等功能域第二章车载信息娱乐系统（）安全威胁IVI年宝马远程控制漏洞2018ConnectedDrive安全研究人员发现宝马ConnectedDrive系统存在严重安全漏洞，攻击者可以通过伪造的Wi-Fi热点，在车主不知情的情况下执行远程控制操作攻击者能力范围•远程控制车载麦克风，实时监听车内对话•访问并窃取车主通讯录和个人信息•实时跟踪车辆GPS位置信息•操控信息娱乐系统功能安卓系统普遍风险许多车载IVI系统基于安卓平台开发，继承了移动端的安全风险应用权限管理不严、系统更新滞后、第三方应用审核缺失等问题普遍存在，使得IVI成为车载网络中最薄弱的环节之一车载网联通讯终端（）安T-BOX全风险T-BOX（Telematics BOX）是车辆与外部网络通信的核心桥梁，负责实现车辆与云平台、移动设备、紧急救援中心等的数据交互正因为其关键的桥梁作用，T-BOX成为攻击者重点关注的目标固件逆向分析攻击者通过提取T-BOX固件，逆向分析其代码逻辑，寻找潜在漏洞和后门密钥泄露风险硬编码密钥、弱加密算法、密钥管理不当等问题导致通信密钥被破解远程控制攻击利用T-BOX漏洞实现远程车辆控制，包括发动机启停、车门解锁等敏感操作T-BOX在车内的安装位置多样，有些车型将其隐藏在仪表板内部，有些则放置在座椅下方或后备箱中拆卸T-BOX通常需要专业人员和工具，这增加了物理防护的难度同时，T-BOX的安全防护需要综合考虑硬件防拆、固件加密、安全启动、通信认证等多个层面车载网关（）安全功能与攻击面Gateway网关核心安全功能主要攻击入口协议转换与数据路由诊断接口OBD-II在不同总线协议之间转换消息，实现跨域通信物理访问车辆后，通过OBD接口直接接入车载网络防火墙与访问控制与媒体接口基于规则过滤CAN消息，阻止非法数据帧通过USB恶意USB设备植入固件或注入恶意代码入侵检测与安全监控实时监测异常流量和攻击行为，触发安全响应蓝牙与Wi-Fi安全日志记录无线通信协议漏洞成为远程攻击通道关键安全事件日志留存不少于6个月，支持事后追溯分析车载网关是连接不同总线域的关键节点，其安全性直接影响整车信息安全防护能力现代智能汽车的网关不仅具备传统的协议转换功能，还集成了防火墙、入侵检测系统（IDS）、安全网关（SecOC）等高级安全特性，成为车载网络安全的第一道防线车载诊断系统接口（）攻击风险OBD监听与伪造消息CANOBD-II接口直接连接到车辆CAN总线，攻击者可以通过该接口监听所有CAN消息，分析车辆通信协议更进一步，攻击者可以伪造CAN消息并注入总线，欺骗ECU执行非预期操作恶意硬件植入小型化的恶意硬件设备可以插入OBD接口，长期潜伏在车内这些设备可以通过4G/5G网络接收远程指令，实现对车辆的持续监控和远程控制由于OBD接口位置隐蔽，车主往往难以发现这类植入设备关键功能远程控制通过OBD攻击，攻击者可以实现对发动机、制动系统、转向系统等关键行驶功能的控制例如，在高速行驶时突然关闭发动机，或者在转弯时干扰转向助力，都会造成严重的安全事故攻击隐蔽性极高OBD攻击往往不留痕迹，攻击设备可以在执行完恶意操作后自动移除证据且由于OBD接口是标准化的诊断接口,许多车主和维修人员对其安全风险认识不足，使得这类攻击危害极大车内无线传感器安全威胁无线通信窃听信号注入攻击干扰与屏蔽胎压监测系统（TPMS）、无钥匙进入系统攻击者可以伪造传感器信号并注入车载系统例通过发射强干扰信号，攻击者可以阻断传感器与车（PKE）等无线传感器的通信数据可以被附近的接如，伪造胎压数据欺骗驾驶员，或者注入虚假的碰载系统的正常通信GPS信号干扰会导致导航失收设备轻易捕获攻击者通过分析这些无线信号，撞预警信号触发不必要的制动这类攻击可以在不效，雷达干扰会影响自动驾驶感知，超声波干扰会可以获取传感器ID、加密密钥等敏感信息接触车辆的情况下远程实施导致泊车辅助系统失灵无钥匙进入系统（）重放攻击实例PKE攻击者使用便携式设备录制车主钥匙发出的无线信号，然后在车主离开后重放该信号，即可解锁车辆并启动发动机这种攻击手法已被用于多起高端车辆盗窃案件，引起了行业广泛关注传感器欺骗导致自动驾驶误动作研究人员演示了通过激光照射摄像头、在路面投影虚假车道线、伪造交通标志等手段，欺骗自动驾驶系统做出错误决策这类攻击利用了传感器物理特性的局限性，难以通过软件手段完全防范传感器安全漏洞引发的自动驾驶风险随着自动驾驶技术的快速发展，车辆对传感器的依赖程度越来越高摄像头、毫米波雷达、激光雷达、超声波传感器等构成了自动驾驶系统的眼睛，任何一个传感器被欺骗或干扰，都可能导致系统对环境的误判物理对抗样本激光雷达欺骗欺骗攻击GPS在交通标志上贴特殊图案,使AI识别系统将停止标发射特定频率的激光脉冲,在雷达点云中制造虚假发射伪造的GPS信号,使车辆定位偏离真实位置数百志误识别为限速标志障碍物米第三章车载网络传输与云平台安全车内网络传输安全威胁认证缺失与协议伪装总线攻击CAN DoS传统CAN总线没有消息认证机制，任何连接到短距离无线通信攻击攻击者向CAN总线注入大量高优先级消息，占总线的节点都可以发送消息攻击者可以伪装Wi-Fi和蓝牙等短距离无线通信技术易遭受中间满总线带宽，导致正常ECU之间无法通信这成合法ECU，发送伪造的控制指令即使在实人攻击（MITM）攻击者可以在车辆附近架设种拒绝服务攻击会造成关键控制功能失效，例现了SecOC（安全车载通信）的系统中，密钥伪基站或恶意热点，诱使车载系统连接后窃听如发动机管理系统无法接收油门信号，制动系管理不当也可能导致认证机制被绕过通信内容、注入恶意数据或篡改传输信息统无法响应制动请求车内网络传输安全的核心挑战在于传统汽车总线协议设计之初未充分考虑信息安全需求CAN、LIN等总线协议缺乏加密和认证机制，所有节点共享总线，任何节点都可以监听和发送消息虽然车载以太网等新一代总线协议引入了更强的安全特性，但大量存量车辆和传统ECU仍在使用传统协议，安全升级面临巨大挑战云平台安全威胁与隐私保护车主隐私数据保护数据完整性与可恢复性车云平台存储着海量车主个人信息和车辆数车云平台需要保障数据的完整性，防止数据据，包括被篡改同时，需要建立完善的数据备份和灾难恢复机制，确保在遭受攻击或系统故障•车主身份信息姓名、手机号、身份证时能够快速恢复服务号漏洞•车辆行驶轨迹GPS定位、行驶路线、OWASP APITop10停车位置车云平台通过API接口与车辆、移动APP等•驾驶习惯数据加速度、制动频率、转终端交互，API安全是云平台防护的重点向角度常见API漏洞包括•车内语音和视频语音助手记录、车内摄像头数据

1.对象级别授权缺失

2.用户身份验证机制失效这些数据一旦泄露，不仅侵犯用户隐私，还

3.对象属性级别授权缺失可能被用于非法跟踪、诈骗等犯罪活动云平台必须采用严格的数据加密、访问控制和

4.不受限制的资源访问脱敏技术，确保数据存储和传输安全

5.功能级别授权缺失外部互联生态安全威胁移动逆向分析充电桩网络攻击车云平台与充电网络防护APP车主使用的移动APP是车辆控制的重要入口电动汽车充电桩通过网络与车辆和支付系统连车云平台与充电网络的互联增加了攻击复杂攻击者通过逆向工程分析APP代码，提取硬编接，成为新的攻击面攻击者入侵充电桩后，度需要建立端到端的安全防护体系，包括终码的密钥、API接口地址、加密算法等敏感信可以窃取车主支付信息、篡改充电参数损坏电端安全、传输安全、平台安全和数据安全同息利用这些信息，攻击者可以伪造合法请池、甚至通过充电接口向车辆注入恶意代码时，需要建立安全监测和应急响应机制，及时求，绕过身份验证，实现对他人车辆的非法控发现和处置安全事件•充电桩固件漏洞利用制•中间人攻击窃取通信数据•代码混淆不足导致逻辑暴露•恶意充电桩植入后门•密钥硬编码在APP中•通信协议未加密或弱加密第四章汽车远程升级（）安全技术OTA升级流程与安全挑战OTA云端任务调度1云端OTA平台创建升级任务，选择目标车辆群体，配置升级策略和时间窗口2升级包下发加密的升级包通过安全通道下发到车辆，支持断点续传和差分升级签名验证3车端验证升级包的数字签名，确认来源可信且未被篡改4安装升级在安全的环境下解压并安装升级包，更新ECU固件或应用软件验证与回滚5升级后进行功能验证，如果失败则自动回滚到上一个稳定版本面临的主要安全挑战OTA升级包篡改中间人攻击伪造升级包攻击者在传输过程中截获并修改升级包，植入恶意代码或后门攻击者冒充OTA服务器，向车辆推送伪造的升级包攻击者制作恶意升级包并绕过签名验证机制OTA技术使得车辆可以像智能手机一样远程更新软件，极大提升了车辆的可维护性和功能扩展能力然而，OTA也引入了新的安全风险升级失败自动回滚机制是保障系统稳定性的最后一道防线，防止因升级失败导致车辆无法使用攻击面示意OTA1签名验证绕过攻击者利用签名算法漏洞或密钥管理缺陷，绕过升级包的数字签名验证，使车辆接受伪造的升级包常见手段包括利用时间戳验证缺陷、降级攻击、证书链验证漏洞等2升级包完整性破坏攻击者在升级包传输或存储过程中修改其内容，破坏完整性校验如果校验算法强度不足（如仅使用CRC校验），或者校验过程存在逻辑漏洞，攻击者就可能成功注入恶意内容3非授权升级触发攻击者伪造合法用户身份或利用权限管理漏洞，未经授权触发OTA升级这可能导致车辆被强制升级到存在后门的版本，或者在不合适的时间（如行驶中）触发升级导致安全事故4日志记录与追踪完善的OTA安全事件日志对于攻击溯源和责任认定至关重要日志应记录升级请求来源、升级包哈希值、验证结果、安装过程、回滚操作等关键信息，并进行加密存储防止篡改第五章车载信息安全标准与法规《汽车整车GB44495—2024信息安全技术要求》GB44495—2024是我国首个针对汽车整车信息安全的强制性国家标准，于2024年正式实施该标准对车辆制造商提出了全面的信息安全要求，覆盖车辆全生命周期的安全保障全生命周期安全保障1车辆制造商必须建立覆盖设计、开发、生产、运营、维护、报废等全生命周期的信息安全管理体系，确保每个阶段都有相应的安全控制措施检验与试验方法2标准明确了信息安全技术要求的检验与试验方法，包括渗透测试、漏洞扫描、模糊测试等，确保安全技术要求能够有效落实并可验证安全日志留存要求3车辆应记录关键安全事件日志，留存期不少于6个月日志内容应包括异常登录尝试、非法CAN消息、OTA升级记录、安全告警事件等，支持安全事件追踪和事后分析标准关键条款解读开发生产运营全过程安全1信息安全保障要求必须贯穿车辆的开发、生产、运营全过程在开发阶段进行威胁分析与风险评估（TARA），在生产阶段确保供应链安全，在运营阶段持续监控和响应安全事件车辆通信身份真实性验证2车辆与外部系统通信时，必须验证通信对方的身份真实性采用数字证书、双向认证等技术手段，防止伪基站、中间人等攻击车内关键ECU之间的通信也应实现身份认证，防止ECU伪装攻击关键指令录制与重放检测3系统应能检测针对关键控制指令的录制与重放攻击通过引入时间戳、随机数、消息计数器等机制，确保每条消息的唯一性和新鲜性，防止攻击者重放历史消息合规要求所有在中国市场销售的新车型必须满足GB44495—2024的要求，否则无法获得车辆公告和销售许可这标志着汽车信息安全从行业最佳实践上升为强制性法规要求车载安全管理体系建设要点安全需求定级安全方案设计基于TARA方法进行威胁分析与风险评估，识别资针对识别的风险设计安全控制措施，包括技术方案产、威胁、漏洞，评估风险等级，制定安全需求（加密、认证、访问控制）和管理方案（流程、培训）持续改进安全代码实践建立安全监控和应急响应机制，及时处置安全事遵循安全编码规范，进行代码安全审查，使用静件，持续优化安全方案，形成闭环管理态分析工具检测漏洞，确保代码质量符合性测试渗透测试验证按照标准要求进行符合性测试，获取第三方认证，由独立团队进行渗透测试，模拟真实攻击场景，验确保产品满足法规和标准要求证安全方案的有效性，发现潜在漏洞第六章实战案例分享阿维塔安全团队经验阿维塔以攻促防的安全策略日常红蓝对抗演练阿维塔安全团队建立了常态化的红蓝对抗机制红队模拟真实攻击者，尝试突破车辆的安全防护；蓝队负责防御和检测攻击通过持续的攻防演练，不断发现和修复安全漏洞座舱逻辑漏洞发现在一次内部渗透测试中，安全团队发现智能座舱系统存在逻辑漏洞，攻击者可以通过特定的消息序列绕过权限检查，向车内CAN总线注入恶意消息团队立即与供应商合作修复该漏洞，并加强了消息过滤和权限校验机制刷写安全细化OTA针对OTA升级过程，团队进行了全面的安全加固•增强版本号校验机制，防止降级攻击和版本回滚攻击•采用多重数字签名，确保升级包来源可信且未被篡改•实现安全启动链，从bootloader到应用层的完整性验证•建立升级失败自动回滚机制，确保升级过程的可靠性漏洞分布与安全减负策略2503平均每车修复漏洞数量产前高危漏洞数核心防护模块数从设计到量产，平均每辆车需要发现和解决约25个通过严格的测试和修复流程，确保量产车型高危漏重点防护智能座舱、网关、T-BOX三大核心安全模安全漏洞洞清零块安全减负策略实践在保障核心安全的前提下，团队采取了务实的安全减负策略取消私上聚焦关键信号保护分层防护体系CAN SecOC经过风险评估，对于车内私有CAN网络，取集中资源保护与行驶安全直接相关的关键通建立网关防火墙、入侵检测、消息认证的多消了部分非关键消息的SecOC保护，降低了信信号，如动力控制、制动指令、转向指令层防护体系，即使单点防护失效，也能通过ECU的计算负担和开发成本等，确保安全投入的高效性其他层面阻止攻击安全方案设计与开发指导密码算法库优化指导供应商对AES加密算法库进行合理剪裁，去除不必要的功能模块，减少代码体积和执行时间同时优化算法逻辑排布，提高加密解密效率，降低CPU占用率代码级安全加固推动供应商采用安全编码规范，包括输入验证、边界检查、安全API使用等通过静态代码分析工具自动检测常见漏洞类型，如缓冲区溢出、整数溢出、空指针引用等安全功能集成将安全启动、安全通信、入侵检测等安全功能模块化封装，方便集成到不同的ECU平台提供标准化的安全API接口，降低开发难度和集成成本自主闭环测试建立自主的安全测试环境和工具链，在开发早期就进行安全需求验证通过自动化测试脚本覆盖常见攻击场景，确保安全需求真正落地实现以攻促防，筑牢车载安全防线阿维塔安全团队的实践证明，以攻促防是构建车载信息安全的有效策略通过模拟真实攻击场景，站在攻击者的视角审视系统安全，能够发现传统测试方法难以覆盖的深层漏洞渗透测试核心价值持续演进的安全能力•发现设计和实现中的安全盲区•跟踪最新攻击技术和漏洞研究•验证安全防护措施的实际效果•建立威胁情报共享机制•培养团队的攻防实战能力•定期更新攻击场景库•为安全方案优化提供实证数据•培养专业化的安全人才队伍安全是一个持续演进的过程，而不是一劳永逸的状态随着技术发展和攻击手段升级，安全团队必须保持敏锐的洞察力和快速的响应能力，才能在攻防博弈中始终占据主动共筑智能汽车安全防线安全是发展基石车载信息安全是智能汽车发展的基石没有可靠的安全保障，智能网联功能就是空中楼阁，用户就不会信任和使用这些功能只有将安全融入产品全生命周期，才能支撑产业的可持续发展标准与实践双轮驱动国家标准和法规为车载信息安全提供了合规基线和行动指南，而企业的技术实践和创新探索则推动安全能力的实际提升二者相辅相成，共同构建完善的安全生态持续创新与攻防演练面对不断演进的安全威胁，必须保持技术创新和持续的攻防演练建立红蓝对抗机制，及时发现和修复漏洞；跟踪前沿攻击技术，提前布局防护手段；培养安全人才，提升团队能力用户信任是终极目标所有安全工作的最终目标都是保护用户的安全与隐私，赢得用户的信任让智能出行更安全、更可靠、更美好，是整个行业共同的使命和愿景让我们携手共进，构建智能汽车安全的坚固防线，为用户创造更加安全可信的智能出行体验！。