EN

企业动态

当前位置:首页 - 企业动态 - 企业新闻

央视聚焦物联网安全,听听专家怎么说?

发布日期:2020-09-18

随着大数据、物联网、云计算等技术的发展,在消费升级和技术发展的推动下,互联网及相应的智能产品越来越多地进入人们的生活。但在使用互联网和智能产品的时候,也往往隐藏着风险。

9月14日到20日是2020年国家网络安全宣传周。央视焦点访谈“网络安全周”专题节目中聚焦车联网安全,安全研究员利用智能联网汽车系统的漏洞,在完全没有加电的情况下,对整个车门和车窗进行了开关操作,实现了远程非法操控汽车。接下来,我们来看看智能网联汽车的安全问题和应对措施。


智能网联汽车安全风险


智能网联汽车可以实现智能信息交换共享,通过驾驶辅助技术,可以提高车的安全性,终极目标是在未来替代人来驾驶汽车。这是通往未来的技术,理论上会更安全,但在发展过程中也面临一些威胁。

 车机娱乐系统攻击

利用车机娱乐系统的漏洞,攻击者可以修改诊断配置、恶意访问CAN总线,进而为车主提供错误的信息,干扰车主驾驶行为。

 USB接口攻击

攻击者可以利用USB接口的缺陷,为车机娱乐系统安装恶意软件,窃取车主信息。

 蓝牙攻击

利用蓝牙协议漏洞,攻击者通过蓝牙上传畸形文件、劫持蓝牙设备,实现对车内蓝牙设备的控制。

 车载网关Gateway攻击

利用CAN通讯、调试接口的漏洞,攻击者可以提取或者篡改固件,进而控制车辆运行。

 T-Box 攻击

利用T-Box漏洞,攻击者可以伪造TSP下发命令,实现远程控制车辆。

图1 智能网联汽车攻击入口



智能网联汽车信息安全风险应对措施


智能网联汽车面临的安全威胁,可以通过软硬件安全防护来抵御。

硬件方面,硬件安全芯片成为抵御攻击、保障智能网联汽车安全可控的载体,通过安全芯片强化智能网联汽车安全防护已成为未来重要方向。当前相关企业已研发出硬件安全模块(Hardware Security Module,HSM),将加密算法、访问控制、完整性检查嵌入到汽车控制系统,以加强 ECU 的安全性,提升安全级别。

软件方面,主流防护手段包括四类:

一是OTA 更新,及时进行功能更新或漏洞修复;

二是软件形式实现防火墙及访问控制功能,对智能网联汽车进出流量进行控制、过滤;

三是在车机娱乐系统中加入签名认证服务,实行可信管理;

四是通过软件方式实现加密,包括固件加密、通信内容加密、数据存储加密、数字签名等功能,防范固件逆向、窃听和数据窃取。


银行卡检测中心检测服务


作为面向国内外的综合性、规模化的金融安全和车联网安全的评测基地,银行卡检测中心参与了智能网联信息安全方面的标准制定,其中已发布的标准为互联网金融身份认证联盟的《数字车钥匙系统技术规范》,在研的标准包括《汽车电子芯片安全技术要求》和《信息安全技术 车载网络设备信息安全技术要求》。

同时,银行卡检测中心还积极开展了测试认证,包括车载T-Box信息安全检测、蓝牙智能车钥匙系统信息安全检测、NFC智能车钥匙信息安全检测、车载电子芯片可靠性信息安全检测,以及电子芯片信息安全检测。

  

图2 智能网联汽车测试

银行卡检测中心目前提供的智能网联汽车检测项目包括汽车电子芯片安全检测、车规级芯片可靠性检测、车载终端安全检测、汽车云平台安全检测、车载APP安全检测服务、车联网协议分析/性能测试。

图3 银行卡检测中心检测服务项目


未来,银行卡检测中心将持续开展车联网、智能家居、智慧城市等物联网领域前沿技术的探索研究,努力推动物联网技术标准和检测认证体系的建立健全,为保障物联网产业的健康发展贡献力量。


上一篇:助力构建云闪付合规生态 BCTC应邀参加中国银联云闪付合作伙伴大会 下一篇:中国支付清算协会副秘书长王素珍一行莅临银行卡检测中心调研指导