使用多層安全方法并配置防火墻以保護(hù)互聯(lián)汽車

1、 HYPERLINK / 數(shù)字工業(yè)軟件 HYPERLINK / 使用防火墻保護(hù)互聯(lián)汽車的 HYPERLINK / 策略目錄 HYPERLINK l _bookmark0 汽車軟件安全威脅 3 HYPERLINK l _bookmark1 汽車網(wǎng)絡(luò)安全法規(guī) 4 HYPERLINK l _bookmark2 汽車網(wǎng)絡(luò)安全基本知識 5 HYPERLINK l _bookmark3 攻擊面 6 HYPERLINK l _bookmark4 汽車開放系統(tǒng)架構(gòu) (AUTOSAR) 7 HYPERLINK l _bookmark5 多層安全方法 10 HYPERLINK l _bookmark6 使用防火墻

2、抵御威脅 11 HYPERLINK l _bookmark7 防火墻設(shè)計注意事項 12 HYPERLINK l _TOC_250000 結(jié)語 17汽車軟件安全威脅汽車裝備的軟件比我們當(dāng)下使用的最復(fù)雜的機器還要多。2009 年 10 月發(fā)布的科技縱覽 (IEEE Spectrum) 報告指出，美國空軍裝備的 F-22 猛禽一線噴氣戰(zhàn)斗機包含 170 萬行軟件代碼。F-35 聯(lián)合攻擊戰(zhàn)斗機包含 570 萬行代碼，波音 787 夢想客機包含 650 萬行代碼。與此同時，一輛普通汽車包含 1 千萬行以上的代碼。而梅賽德斯奔馳 S 級轎車等高端品牌汽車包含 2 千萬行以上的代碼。如今，福特的 F-150

3、 卡車包含 1.5 億行代碼。1,2,3在互聯(lián)性、電氣化和無人駕駛的大趨勢下，汽車軟件內(nèi)容的關(guān)聯(lián)度越來越高。軟件的復(fù)雜性和互聯(lián)性使汽車越發(fā)容易遭受安全威脅，人們已經(jīng)記錄了許多現(xiàn)實案例。資深黑客查利 米勒 (Charlie Miller) 和克里斯 瓦拉塞克 (Chris Valasek) 曾遠(yuǎn)程侵入一輛吉普大切諾基，他們不僅能控制這輛車的變速箱，還侵入并控制了包括雨刷在內(nèi)的其他功能；這輛車最終被撞毀。4 在該事件后，克萊斯勒公司被迫召回了 140 萬輛吉普。同一年，這兩位黑客又通過控制器局域網(wǎng) (CAN) 的車載自動診斷系統(tǒng) (OBD)端口控制了另一輛吉普，而且他們可以控制剎車和轉(zhuǎn)向系統(tǒng)。20

4、15 年，一位安全研究員使用一臺廉價的自制設(shè)備演示了對通用公司安吉星遠(yuǎn)程連接系統(tǒng)的攻擊。通過本次攻擊，他可以跟蹤車輛、解鎖車輛、按響喇叭和警報器并發(fā)動引擎。5 2018 年，黑客利用加密漏洞并克隆遙控鑰匙在幾秒鐘內(nèi)就盜走了一輛特斯拉 Model S。6 在黑帽網(wǎng)絡(luò)攻擊下， 沒有任何品牌的汽車是安全的， 因為當(dāng)今時代可以從互聯(lián)網(wǎng)和開源資源隨意獲取汽車黑客手冊和低成本黑客工具，例如 Wireshark 和 ChipWhisperer。Upstream Security 在其 Global Automotive Cyber- security Report 2019 7 中提供了一系列數(shù)據(jù)，指明成功

5、的黑帽網(wǎng)絡(luò)攻擊數(shù)量在不斷增長。從 2010 年到 2018 年，數(shù)量增長了 6 倍，而且網(wǎng)絡(luò)攻擊途徑五花八門，包括 OBD 端口、OEM 應(yīng)用程序以及遠(yuǎn)程入侵。網(wǎng)絡(luò)攻擊不僅數(shù)量猛增而且效率極高，人們對開發(fā)安全解決方案的需求越發(fā)迫切。政府的介入達(dá)到前所未有的程度，并制定了各種法規(guī)以預(yù)防網(wǎng)絡(luò)攻擊。汽車網(wǎng)絡(luò)安全基本知識美國高速公路安全管理局 (NHTSA) 根據(jù)威脅分析方法展開了一項汽車網(wǎng)絡(luò)安全研究項目。該項目使用一個威脅模型識別了潛在攻擊造成影響所需具備的條件。該模型將威脅分成不同的類別，以便根據(jù)不同的威脅分組來制定規(guī)避措施。NHTSA 的模型綜合使用了三種建模方法。它使用微軟的 STRIDE、A

6、SF 和 Open Web Application Security Project 的 Trike 作 為 基準(zhǔn)。NHTSA 威脅模型中的威脅類型借用自微軟的 STRIDE：欺騙身份。在身份欺騙威脅中，應(yīng)用或程序可以偽裝成其他人并獲取通常不受程序允許的有利條件。篡改數(shù)據(jù)。數(shù)據(jù)篡改涉及惡意修改數(shù)據(jù)，包括在未獲授權(quán)的情況下更改數(shù)據(jù)庫以及更改在計算機之間流動的數(shù)據(jù)。抵賴。舉一個抵賴方面的示例；比如，用戶或程序拒絕承認(rèn)某件正確或合理的事情的真實性。信息泄露。信息泄露威脅指將信息泄露給無權(quán)獲取該信息的個體。例如，用戶可以閱讀他們無權(quán)閱讀的文件，或者侵入者可以讀取在計算機之間傳輸?shù)臄?shù)據(jù)。拒絕服務(wù)。這些攻

7、擊拒絕為有效用戶提供服務(wù)。例如，使用非法請求對網(wǎng)站進(jìn)行淹沒攻擊，使網(wǎng)站不可用或不穩(wěn)定，導(dǎo)致合法用戶無法獲得服務(wù)。提升權(quán)限。未獲授權(quán)的用戶通過更改組成員身份等方法獲取授權(quán)訪問權(quán)限，從而可以侵入或破壞系統(tǒng)。攻擊面黑客對汽車進(jìn)行網(wǎng)絡(luò)攻擊時，第一步是在車輛中找到攻擊途徑，即確定攻擊面。第二步是侵入電子控制單元 (ECU)。第三步是找到可以利用和黑入的控制功能以侵入某些功能。汽車的攻擊面可以分為四個類別：直接物理攻擊。直接物理攻擊可以通過線束連接器、OBD 或充電端口或車輛網(wǎng)絡(luò)發(fā)起。制造商和消費者必須認(rèn)識到汽車的使用環(huán)境相當(dāng)惡劣。車主可能將車借給他人或送去維修；在這些情況下，黑客可以直接以物理方式侵入汽

8、車。間接物理攻擊。間接物理攻擊使用惡意軟件威脅進(jìn)行攻擊，這種威脅以 CD、SD 卡、USB 設(shè)備或固件升級等形式出現(xiàn)，并可以在車內(nèi)投放特洛伊木馬病毒。無線攻擊。短距離無線包括 Wi-Fi、藍(lán)牙、近場通信 (NFC) 和射頻 (RF)。在互聯(lián)的無人駕駛環(huán)境中，汽車需要配備所有這些技術(shù)，但這會擴(kuò)大汽車的受攻擊面。傳感器欺騙。盡管很少有新聞或研究指出黑客通過控制傳感器來制造網(wǎng)絡(luò)攻擊，但可以肯定的是，傳感器是潛在的受攻擊面。波音 737 MAX空難的潛在原因就是傳感器發(fā)出非法數(shù)據(jù)并造成邏輯行為錯誤，最終導(dǎo)致了不幸的墜機事故。傳感器數(shù)據(jù)可能被操控并產(chǎn)生不準(zhǔn)確的數(shù)據(jù)，為黑客提供了另一個攻擊面。汽車開放系統(tǒng)

9、架構(gòu) (AUTOSAR)討論安全性之前，有必要先了解一下汽車開放系統(tǒng)架構(gòu) (AUTOSAR)。AUTOSAR 是汽車?yán)嫦嚓P(guān)方于 2003 成立的世界范圍內(nèi)的開發(fā)合作組織。它追求的目標(biāo)是為車用電子控制單元制定和確立開放和標(biāo)準(zhǔn)的軟件架構(gòu)。AUTOSAR 的目標(biāo)涵蓋了軟件在不同平臺以及跨程序間的擴(kuò)展性、維護(hù)性以及轉(zhuǎn)移性等諸多方面。如下圖所示，位于頂層的是應(yīng)用程序軟件組件，它們通過標(biāo)準(zhǔn)化接口與運行時環(huán)境交互。運行時環(huán)境與軟件模塊進(jìn)行交互，這些模塊可以用于服務(wù)或通信。同樣，軟件通過標(biāo)準(zhǔn)化接口與底層硬件進(jìn)行交互。AUTOSAR 合作聯(lián)盟設(shè)置了管理層或工作結(jié)構(gòu)；在負(fù)責(zé)制定規(guī)范的技術(shù)層面上，相關(guān)管理主體被稱

10、為工作組，負(fù)責(zé)管理已發(fā)布的規(guī)范。操作系統(tǒng)基礎(chǔ)軟件 aECU 硬件微控制器抽象層AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口復(fù)雜驅(qū)動ECU 抽象層通信服務(wù)AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口AUTOSAR 運行時環(huán)境 (RTE)AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口應(yīng)用程序軟件組件軟件組件軟件組件軟件組件AUTOSAR軟件AUTOSAR 接口AUTOSAR 分層式架構(gòu)WG-SEC 是安全工作組，在聯(lián)盟中負(fù)責(zé)汽車安全方面的工作。安全性工作組成立于 2014

11、年11 月，其任務(wù)是改進(jìn)安全措施并將其擴(kuò)展到 AUTOSAR 中，并為安全的異構(gòu)汽車軟件架構(gòu)采用一套整體方法。AUTOSAR 成立于 2003 年，但直到 2014 年聯(lián)盟才認(rèn)識到有必要并最終成立了一個單獨的安全工作組。AUTOSAR 使用一套加密技術(shù)規(guī)范。在硬件抽象層，使用的是加密接口模塊；而在服務(wù)層，規(guī)范提供了加密服務(wù)管理器。加密規(guī)范提供的不是安全概念而是加密服務(wù)，這些服務(wù)可以用來支持并落實安全概念。應(yīng)用程序?qū)舆\行時環(huán)境系統(tǒng)服務(wù)內(nèi)存服務(wù)加密服務(wù)通信服務(wù)I/O 硬件抽象層復(fù)雜驅(qū)動板載設(shè)備抽象層內(nèi)存硬件抽象層加密硬件抽象層通信硬件抽象層微控制器驅(qū)動內(nèi)存驅(qū)動加密驅(qū)動通信驅(qū)動I/O 驅(qū)動AUTOS

12、AR 運行時環(huán)境 (RTE)AUTOSAR 加密服務(wù)（來源：AUTOSAR）在 AUTOSAR 中，傳輸單元是協(xié)議數(shù)據(jù)單元 (PDU) 和支持這些 PDU 的網(wǎng)關(guān)，該網(wǎng)關(guān)稱為 PDU 路由器 (PduR)。實現(xiàn) AUTOSAR 安全通信的方法是在 PduR 層級進(jìn)行集成。如圖中所示，PduR 負(fù)責(zé)將傳入的和傳出的與安全相關(guān)的信息 PDU (IPDU) 路由到 SecOC 模塊。SecOC隨后添加或處理與安全相關(guān)的信息，并將結(jié)果以 IPDU 的形式傳播回 PduR。PduR 隨后負(fù)責(zé)將 IPDU 路由到它們的目標(biāo)位置。SW-C密鑰和計數(shù)器管理 SW-C加密服務(wù)管理器PDU 路由器路由表SecOC

13、 BSWTPPDU 路由加密服務(wù)FrlfCanlf 密鑰和計數(shù)器管理服務(wù)錯誤報告AUTOSAR COM系統(tǒng)服務(wù)通信服務(wù)RTECanTPFrTP診斷事件管理器 密鑰管理（可選）AUTOSAR 安全板載通信 (SecOC)多層安全方法保護(hù)互聯(lián)汽車需要多層安全方法，而防火墻是其中的關(guān)鍵。開放式系統(tǒng)互聯(lián) (OSI) 模型將通信功能標(biāo)準(zhǔn)化為七層架構(gòu)（三層為媒體層，四層為主機層），必須對這七層加以保護(hù)才能將應(yīng)用程序視為安全的應(yīng)用程序。整體安全策略必須能在每個層級或使用層級提供保護(hù)。邊緣節(jié)點或網(wǎng)關(guān)節(jié)點最容易遭受攻擊，因為它們暴露在外部環(huán)境中，需要最多的保護(hù)。車輛網(wǎng)絡(luò)內(nèi)部的節(jié)點不會直接暴露，而且 PDU 層過

14、濾可以為這些節(jié)點提供基本的保護(hù)。在第 2層（即 OSI 的數(shù)據(jù)鏈路層）中，作為行業(yè)標(biāo)準(zhǔn)的媒體訪問控制安全 (MACsec) 為直接連接節(jié)點之間的以太網(wǎng)鏈接提供了點對點的安全，并且可以識別和阻止大多數(shù)安全威脅，包括拒絕服務(wù)、入侵、中間人攻擊、偽裝攻擊、被動竊聽和重放攻擊。對于與媒體訪問無關(guān)的協(xié)議， MACsec 定義了無連接數(shù)據(jù)的保密性和完整性。在第 3 層（即網(wǎng)絡(luò)層） 中， 互聯(lián)網(wǎng)協(xié)議安全 (IPsec) 是一套彼此互相作用的協(xié)議，可以通過 IP 網(wǎng)絡(luò)提供安全的專用通信，支持系統(tǒng)建立和維護(hù)與安全網(wǎng)關(guān)的安全通道；虛擬專用網(wǎng)絡(luò) (VPN) 即是其中一例。在第 6 層（即表示層）中，傳輸層安全 (T

15、LS)提供了專門用于提供網(wǎng)絡(luò)通信安全的加密協(xié)議。網(wǎng)站可以使用 TLS 保護(hù)其服務(wù)器與網(wǎng)絡(luò)瀏覽器之間的所有通信，而 TLS 協(xié)議則主要用于確保以客戶端- 服務(wù)器模式運行的兩個或多個通信中的計算機應(yīng)用程序之間的隱私和數(shù)據(jù)完整。在 AUTOSAR 層級， 數(shù)據(jù)傳輸單元是 PDU。 AUTOSAR 的安全板載通信 (SecOC) 規(guī)范專為保護(hù)這些 PDU 的安全而制定。同樣，在第 2 層（數(shù)據(jù)層）和第 3 層（網(wǎng)絡(luò)層）之間，可以部署一道防火墻來屏蔽未使用的端口或阻止探測這些端口和過濾數(shù)據(jù)用例。第 2/3 層在數(shù)據(jù)鏈路和網(wǎng)絡(luò)之間AUTOSARPDU 層級第 6 層表示客戶端 - 服務(wù)器第 3 層網(wǎng)絡(luò)VP

16、N第 2 層數(shù)據(jù)鏈路防火墻SecOCTLS / DTLSIPsecMACsec多層安全方法使用防火墻抵御威脅防火墻是網(wǎng)絡(luò)元素，它根據(jù)特定的安全策略來控制穿越安全網(wǎng)絡(luò)邊界的數(shù)據(jù)包傳輸。安全策略是一系列過濾規(guī)則列表，定義了針對數(shù)據(jù)包執(zhí)行的操作。過濾規(guī)則由一組過濾字段組成，例如協(xié)議類型、源地址、目標(biāo)地址、源端口、目標(biāo)端口和操作字段。過濾字段列舉了實際網(wǎng)絡(luò)流量中相應(yīng)字段針對該特定規(guī)則可能采用的值。一個過濾字段可以是單個值，也可以是一系列值，并且可以用于創(chuàng)建黑名單或白名單來阻止或允許來自或定向到特定源地址的流量。根據(jù)這組規(guī)則，防火墻可以確定是接受數(shù)據(jù)包以進(jìn)一步處理，還是丟棄數(shù)據(jù)包并記錄該事件。配備防火墻

17、的網(wǎng)絡(luò)布局可以控制數(shù)據(jù)包的傳輸。它不僅可以保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部環(huán)境中惡意數(shù)據(jù)的威脅，還可以保護(hù)外部環(huán)境免受網(wǎng)絡(luò)內(nèi)部生成的潛在惡意數(shù)據(jù)的威脅。防火墻可以保護(hù)網(wǎng)絡(luò)在汽車內(nèi)的部分；因此，當(dāng)某個具體的 ECU 遭到侵入時，ECU 的漏洞不會被用來攻擊網(wǎng)絡(luò)的安全部分。配備防火墻的網(wǎng)絡(luò)布局防火墻設(shè)計注意事項規(guī)則式過濾，也稱為數(shù)據(jù)包過濾或靜態(tài)過濾，是設(shè)計防火墻的首要注意事項。這種類型的過濾不保留數(shù)據(jù)包的狀態(tài)。它的基礎(chǔ)是過濾引擎中可配置的規(guī)則，過濾引擎可以支持協(xié)議、源 IP地址和 MAC 地址過濾，并且可以用于創(chuàng)建白名單和黑名單過濾。包 MACIP 地址端口 協(xié)議許 處理數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記

18、錄并報告規(guī)則式過濾動態(tài)過濾。其他類型的防火墻使用動態(tài)過濾，也稱為電路級網(wǎng)關(guān)或狀態(tài)數(shù)據(jù)包檢測。動態(tài)過濾可以根據(jù)連接的狀態(tài)阻止數(shù)據(jù)包。它可以檢查具有較多端口的非特許端口的傳入流量，確定它對之前要求建立連接的傳出請求的響應(yīng)未被侵入。動態(tài)過濾可以支持 IP 標(biāo)頭選項、傳輸控制協(xié)議 (TCP) 或用戶數(shù)據(jù)報協(xié)議 (UDP) 標(biāo)志和可配置的數(shù)據(jù)包生存時間 (TTL)。其中應(yīng)用的高級原理是，過濾引擎選擇網(wǎng)絡(luò)數(shù)據(jù)包并根據(jù)規(guī)則執(zhí)行具體的邏輯，決定是允許數(shù)據(jù)包通行還是丟棄數(shù)據(jù)包并加以記錄和報告。包 IP 標(biāo)頭 TCP/UDP 標(biāo)志 TTL連接狀態(tài)許 處理數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記錄并報告動態(tài)過濾深度數(shù)

19、據(jù)包檢測又稱應(yīng)用層網(wǎng)關(guān)，它支持對消息中的每個單獨字段進(jìn)行控制和驗證，并根據(jù)類型、內(nèi)容和來源過濾消息。它通常用于保護(hù)工業(yè)自動化和控制系統(tǒng)的安全。包 消息：內(nèi)容字段類型來源許 處理數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記錄并報告深度數(shù)據(jù)包檢測（應(yīng)用層網(wǎng)關(guān)）閾值過濾可以根據(jù)超過閾值的值來阻止數(shù)據(jù)包以免受拒絕服務(wù)攻擊、廣播風(fēng)暴攻擊和其他類型的數(shù)據(jù)包淹沒攻擊。閾值過濾以網(wǎng)絡(luò)流量模式為基礎(chǔ)。該方法使用閾值來判斷應(yīng)在哪個層級丟棄或阻止網(wǎng)絡(luò)流量。與閾值過濾相比，靜態(tài)過濾的效率較低。閾值過濾可以實時判斷網(wǎng)絡(luò)流量模式，確定要設(shè)置哪些閾值，以及針對特定數(shù)據(jù)包應(yīng)做出哪些決定和采取哪些過濾措施。包 閾值 流量模式允許處理

20、數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù)丟棄數(shù)據(jù)包記錄并報告閾值過濾協(xié)議過濾是一種防火墻方法，它根據(jù)一組與應(yīng)用層協(xié)議相關(guān)的規(guī)則來丟棄數(shù)據(jù)包，可以設(shè)置用于以太網(wǎng)、互聯(lián)網(wǎng)協(xié)議 (IP)、互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP)、傳輸控制協(xié)議 (TCP) 或用戶數(shù)據(jù)報協(xié)議 (UDP)。如果流量符合規(guī)則設(shè)置的準(zhǔn)則，那么協(xié)議過濾可以終止應(yīng)用層連接，并將流量重新發(fā)送到目標(biāo)。包 以太網(wǎng) UDP/TCP IP/ICMP許 處理數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記錄并報告協(xié)議過濾數(shù)據(jù)日志記錄和警報也是很重要的防火墻設(shè)計注意事項。應(yīng)妥善保存記錄了安全事件和策略違例事件的日志。還應(yīng)妥善記錄對防火墻策略的更改，以便為審核和取證提供支持。事件

21、日志記錄可以用于取證調(diào)查，以及確定攻擊來源和將來要采取的措施。其他優(yōu)點還包括實時分析和幫助制定風(fēng)險緩解策略。包 過濾引擎許 處理數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記錄并報告數(shù)據(jù)日志記錄和警報互聯(lián)汽車環(huán)境是設(shè)計防火墻時需要考慮的另一事項。最先進(jìn)的尖端防火墻技術(shù)以人的使用模式為基礎(chǔ)，并應(yīng)用了人工智能和機器學(xué)習(xí)技術(shù)；與之相比，互聯(lián)汽車環(huán)境以汽車內(nèi)較小的功率和內(nèi)存足跡以及 ECU 為特點，其內(nèi)在效率非常重要。包 許 處理數(shù)據(jù)包過濾引擎 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記錄并報告內(nèi)在效率 - 可配置性、CPU 負(fù)載、內(nèi)存過濾引擎處理各個數(shù)據(jù)包時遵循的規(guī)則是必須具備足夠的內(nèi)存并且它將占用 CPU 周期。從可

22、重復(fù)使用的角度來看，應(yīng)用這些規(guī)則十分重要。防火墻設(shè)計者應(yīng)根據(jù)具體的用例來部署最為合適的防火墻。可配置性是其中的關(guān)鍵 - 在應(yīng)用了 ECU 的具體場景、用例或情景下，可以根據(jù)需要啟用或停用規(guī)則集。RTEBswM信號IpuMCOMI-PDUI-PDUDCMI-PDUPDU 路由器 I-PDUDNS-SDDoIPFlexRay TPI-PDUCAN TPN-PDU I-PDUSoAd（套接字適配器）I-PDU消息DNSDHCP流I-PDUN-PDU數(shù)據(jù)包段UDP NM模塊I-PDU數(shù)據(jù)報以太網(wǎng)接口以太網(wǎng)幀以太網(wǎng)驅(qū)動FlexRay 接口L-PDUFlexRay 驅(qū)動CAN 接口L-PDUCAN 驅(qū)動L

23、IN 接口（包括 LIN TP）L-PDULIN 底層驅(qū)動ICMPIPARPTCPUDPTLS管理器以太網(wǎng)狀態(tài)狀態(tài)管理LIN 狀態(tài)管理CANFlexRay 狀態(tài)管理NM 協(xié)調(diào)器通用 NM接口通信管理器最后要考慮的設(shè)計事項是當(dāng)數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)后，應(yīng)盡早采取過濾措施。太晚過濾可能會無法阻止破壞。當(dāng)網(wǎng)絡(luò)遭受數(shù)據(jù)包淹沒攻擊時，應(yīng)考慮拒絕服務(wù)攻擊。如果數(shù)據(jù)包能夠在網(wǎng)絡(luò)中存留較長時間，那么攻擊目的就達(dá)到了。當(dāng)遭受數(shù)據(jù)包淹沒攻擊時，如果太晚才丟棄數(shù)據(jù)包，那么設(shè)備可能會變得不穩(wěn)定。信號BswMI-PDUSdDoIPI-PDUI-PDUPDU 路由器I-PDUI-PDUAUTOSAR COMIPDU多路復(fù)用器RT

24、EICMPARP/ NDP段數(shù)據(jù)包流消息AUTOSAR TCP/IP套接字適配器IPv4/v6TCPUDPDHCP防火墻應(yīng)部署在 TCP/IP 層級的第 2 層和第 3層之間。TCP/IP 具有防火墻發(fā)揮作用所需的全部信息：源 IP 地址、目標(biāo)、MAC 地址等等。如果在網(wǎng)絡(luò)內(nèi)部深度部署防火墻，那么防火墻可以更高效地發(fā)揮作用；在處理直接暴露到外部網(wǎng)絡(luò)的高風(fēng)險網(wǎng)關(guān)時，這是尤為需要注意的事項。以太網(wǎng)幀以太網(wǎng)接口防火墻以太網(wǎng)驅(qū)動SW-C密鑰和計數(shù)器管理 SW-CRTE通信服務(wù)系統(tǒng)服務(wù)AUTOSAR COM加密服務(wù)管理器診斷事件管理器PDU 路由器路由表SecOC BSWTPFrlfCanlfPDU 路

25、由 密鑰和計數(shù)器管理服務(wù) 密鑰管理（可選）錯誤報告 加密服務(wù)CanTPFrTP結(jié)語早期檢測。早期檢測是在互聯(lián)汽車中使用防火墻抵御安全威脅的關(guān)鍵。因為黑客會尋找缺乏抵抗力的端口來入侵網(wǎng)絡(luò)，屏蔽所有未設(shè)防的端口并記錄在這些端口中違反了規(guī)則的數(shù)據(jù)包非常重要?？膳渲眯?。可配置性對于內(nèi)在效率極為重要；要實現(xiàn)內(nèi)在效率，需要能夠單獨啟用或禁用過濾規(guī)則。如果可以使用企業(yè)級安全管理系統(tǒng)執(zhí)行遠(yuǎn)程配置，那么這將是一項巨大優(yōu)勢?，F(xiàn)有的某些解決方案支持對安全策略的集中管理，并提供了其他一些優(yōu)勢，例如遠(yuǎn)程監(jiān)控設(shè)備的健康狀態(tài)、支持分析等。標(biāo)準(zhǔn)化。標(biāo)準(zhǔn)化極為關(guān)鍵；應(yīng)根據(jù) AUTOSAR 安全策略管理器貫徹防火墻安全理念。我們

26、建議通過 AUTOSAR 為連通性防火墻定義一套規(guī)范。汽車行業(yè)必須證明自己的產(chǎn)品值得信賴才能使人們信任互聯(lián)汽車。安全保護(hù)不是營銷賣點，而是駕駛互聯(lián)汽車的必備條件，防火墻在多層安全方法中始終保持關(guān)鍵作用。參考文獻(xiàn)Charette, Robert N., “This Car Runs on Code,” IEEE Spectrum, February 1, 2009, HYPERLINK /transportation/systems/this-car-runs-on-code /transportation/systems/this-car-runs-on-codeBurkacky, O., D

27、eichmann, J., Doll, G., and Knochenhauer, C. “Rethinking car software and electronics architecture,” McKinsey & Company, February 2018, HYPERLINK /industries/automotive-and-assembly/our-insights/rethinking-car-software-and-electronics-architecture https:/www. HYPERLINK /industries/automotive-and-ass

28、embly/our-insights/rethinking-car-software-and-electronics-architecture /industries/automotive-and-assembly/our-insights/rethinking-car-software-and-electronics-architectureFox, Zohar, “How Do We Trust the Software in A Driverless Car,” Forbes, June 2018, HYPERLINK /sites/startupnationcentral/2018/0

29、6/05/how-do-we-trust-the-software-in-a-driverless-car/ /sites/startupnationcentral/2018/06/05/ HYPERLINK /sites/startupnationcentral/2018/06/05/how-do-we-trust-the-software-in-a-driverless-car/ how-do-we-trust-the-software-in-a-driverless-car/” Hackers Remotely Kill a Jeep on the Highway With Me in It,” Wired, July 21, 2015, HYPERLINK /2015/07/hackers-remotely-kill-