使用多層安全方法并配置防火墻以保護(hù)互聯(lián)汽車(chē)

1、 HYPERLINK / 數(shù)字工業(yè)軟件 HYPERLINK / 使用防火墻保護(hù)互聯(lián)汽車(chē)的 HYPERLINK / 策略目錄 HYPERLINK l _bookmark0 汽車(chē)軟件安全威脅 3 HYPERLINK l _bookmark1 汽車(chē)網(wǎng)絡(luò)安全法規(guī) 4 HYPERLINK l _bookmark2 汽車(chē)網(wǎng)絡(luò)安全基本知識(shí) 5 HYPERLINK l _bookmark3 攻擊面 6 HYPERLINK l _bookmark4 汽車(chē)開(kāi)放系統(tǒng)架構(gòu) (AUTOSAR) 7 HYPERLINK l _bookmark5 多層安全方法 10 HYPERLINK l _bookmark6 使用防火墻

2、抵御威脅 11 HYPERLINK l _bookmark7 防火墻設(shè)計(jì)注意事項(xiàng) 12 HYPERLINK l _TOC_250000 結(jié)語(yǔ) 17汽車(chē)軟件安全威脅汽車(chē)裝備的軟件比我們當(dāng)下使用的最復(fù)雜的機(jī)器還要多。2009 年 10 月發(fā)布的科技縱覽 (IEEE Spectrum) 報(bào)告指出，美國(guó)空軍裝備的 F-22 猛禽一線噴氣戰(zhàn)斗機(jī)包含 170 萬(wàn)行軟件代碼。F-35 聯(lián)合攻擊戰(zhàn)斗機(jī)包含 570 萬(wàn)行代碼，波音 787 夢(mèng)想客機(jī)包含 650 萬(wàn)行代碼。與此同時(shí)，一輛普通汽車(chē)包含 1 千萬(wàn)行以上的代碼。而梅賽德斯奔馳 S 級(jí)轎車(chē)等高端品牌汽車(chē)包含 2 千萬(wàn)行以上的代碼。如今，福特的 F-150

3、 卡車(chē)包含 1.5 億行代碼。1,2,3在互聯(lián)性、電氣化和無(wú)人駕駛的大趨勢(shì)下，汽車(chē)軟件內(nèi)容的關(guān)聯(lián)度越來(lái)越高。軟件的復(fù)雜性和互聯(lián)性使汽車(chē)越發(fā)容易遭受安全威脅，人們已經(jīng)記錄了許多現(xiàn)實(shí)案例。資深黑客查利 米勒 (Charlie Miller) 和克里斯 瓦拉塞克 (Chris Valasek) 曾遠(yuǎn)程侵入一輛吉普大切諾基，他們不僅能控制這輛車(chē)的變速箱，還侵入并控制了包括雨刷在內(nèi)的其他功能；這輛車(chē)最終被撞毀。4 在該事件后，克萊斯勒公司被迫召回了 140 萬(wàn)輛吉普。同一年，這兩位黑客又通過(guò)控制器局域網(wǎng) (CAN) 的車(chē)載自動(dòng)診斷系統(tǒng) (OBD)端口控制了另一輛吉普，而且他們可以控制剎車(chē)和轉(zhuǎn)向系統(tǒng)。20

4、15 年，一位安全研究員使用一臺(tái)廉價(jià)的自制設(shè)備演示了對(duì)通用公司安吉星遠(yuǎn)程連接系統(tǒng)的攻擊。通過(guò)本次攻擊，他可以跟蹤車(chē)輛、解鎖車(chē)輛、按響喇叭和警報(bào)器并發(fā)動(dòng)引擎。5 2018 年，黑客利用加密漏洞并克隆遙控鑰匙在幾秒鐘內(nèi)就盜走了一輛特斯拉 Model S。6 在黑帽網(wǎng)絡(luò)攻擊下， 沒(méi)有任何品牌的汽車(chē)是安全的， 因?yàn)楫?dāng)今時(shí)代可以從互聯(lián)網(wǎng)和開(kāi)源資源隨意獲取汽車(chē)黑客手冊(cè)和低成本黑客工具，例如 Wireshark 和 ChipWhisperer。Upstream Security 在其 Global Automotive Cyber- security Report 2019 7 中提供了一系列數(shù)據(jù)，指明成功

5、的黑帽網(wǎng)絡(luò)攻擊數(shù)量在不斷增長(zhǎng)。從 2010 年到 2018 年，數(shù)量增長(zhǎng)了 6 倍，而且網(wǎng)絡(luò)攻擊途徑五花八門(mén)，包括 OBD 端口、OEM 應(yīng)用程序以及遠(yuǎn)程入侵。網(wǎng)絡(luò)攻擊不僅數(shù)量猛增而且效率極高，人們對(duì)開(kāi)發(fā)安全解決方案的需求越發(fā)迫切。政府的介入達(dá)到前所未有的程度，并制定了各種法規(guī)以預(yù)防網(wǎng)絡(luò)攻擊。汽車(chē)網(wǎng)絡(luò)安全基本知識(shí)美國(guó)高速公路安全管理局 (NHTSA) 根據(jù)威脅分析方法展開(kāi)了一項(xiàng)汽車(chē)網(wǎng)絡(luò)安全研究項(xiàng)目。該項(xiàng)目使用一個(gè)威脅模型識(shí)別了潛在攻擊造成影響所需具備的條件。該模型將威脅分成不同的類(lèi)別，以便根據(jù)不同的威脅分組來(lái)制定規(guī)避措施。NHTSA 的模型綜合使用了三種建模方法。它使用微軟的 STRIDE、A

6、SF 和 Open Web Application Security Project 的 Trike 作 為 基準(zhǔn)。NHTSA 威脅模型中的威脅類(lèi)型借用自微軟的 STRIDE：欺騙身份。在身份欺騙威脅中，應(yīng)用或程序可以偽裝成其他人并獲取通常不受程序允許的有利條件。篡改數(shù)據(jù)。數(shù)據(jù)篡改涉及惡意修改數(shù)據(jù)，包括在未獲授權(quán)的情況下更改數(shù)據(jù)庫(kù)以及更改在計(jì)算機(jī)之間流動(dòng)的數(shù)據(jù)。抵賴(lài)。舉一個(gè)抵賴(lài)方面的示例；比如，用戶或程序拒絕承認(rèn)某件正確或合理的事情的真實(shí)性。信息泄露。信息泄露威脅指將信息泄露給無(wú)權(quán)獲取該信息的個(gè)體。例如，用戶可以閱讀他們無(wú)權(quán)閱讀的文件，或者侵入者可以讀取在計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)。拒絕服務(wù)。這些攻

7、擊拒絕為有效用戶提供服務(wù)。例如，使用非法請(qǐng)求對(duì)網(wǎng)站進(jìn)行淹沒(méi)攻擊，使網(wǎng)站不可用或不穩(wěn)定，導(dǎo)致合法用戶無(wú)法獲得服務(wù)。提升權(quán)限。未獲授權(quán)的用戶通過(guò)更改組成員身份等方法獲取授權(quán)訪問(wèn)權(quán)限，從而可以侵入或破壞系統(tǒng)。攻擊面黑客對(duì)汽車(chē)進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，第一步是在車(chē)輛中找到攻擊途徑，即確定攻擊面。第二步是侵入電子控制單元 (ECU)。第三步是找到可以利用和黑入的控制功能以侵入某些功能。汽車(chē)的攻擊面可以分為四個(gè)類(lèi)別：直接物理攻擊。直接物理攻擊可以通過(guò)線束連接器、OBD 或充電端口或車(chē)輛網(wǎng)絡(luò)發(fā)起。制造商和消費(fèi)者必須認(rèn)識(shí)到汽車(chē)的使用環(huán)境相當(dāng)惡劣。車(chē)主可能將車(chē)借給他人或送去維修；在這些情況下，黑客可以直接以物理方式侵入汽

8、車(chē)。間接物理攻擊。間接物理攻擊使用惡意軟件威脅進(jìn)行攻擊，這種威脅以 CD、SD 卡、USB 設(shè)備或固件升級(jí)等形式出現(xiàn)，并可以在車(chē)內(nèi)投放特洛伊木馬病毒。無(wú)線攻擊。短距離無(wú)線包括 Wi-Fi、藍(lán)牙、近場(chǎng)通信 (NFC) 和射頻 (RF)。在互聯(lián)的無(wú)人駕駛環(huán)境中，汽車(chē)需要配備所有這些技術(shù)，但這會(huì)擴(kuò)大汽車(chē)的受攻擊面。傳感器欺騙。盡管很少有新聞或研究指出黑客通過(guò)控制傳感器來(lái)制造網(wǎng)絡(luò)攻擊，但可以肯定的是，傳感器是潛在的受攻擊面。波音 737 MAX空難的潛在原因就是傳感器發(fā)出非法數(shù)據(jù)并造成邏輯行為錯(cuò)誤，最終導(dǎo)致了不幸的墜機(jī)事故。傳感器數(shù)據(jù)可能被操控并產(chǎn)生不準(zhǔn)確的數(shù)據(jù)，為黑客提供了另一個(gè)攻擊面。汽車(chē)開(kāi)放系統(tǒng)

9、架構(gòu) (AUTOSAR)討論安全性之前，有必要先了解一下汽車(chē)開(kāi)放系統(tǒng)架構(gòu) (AUTOSAR)。AUTOSAR 是汽車(chē)?yán)嫦嚓P(guān)方于 2003 成立的世界范圍內(nèi)的開(kāi)發(fā)合作組織。它追求的目標(biāo)是為車(chē)用電子控制單元制定和確立開(kāi)放和標(biāo)準(zhǔn)的軟件架構(gòu)。AUTOSAR 的目標(biāo)涵蓋了軟件在不同平臺(tái)以及跨程序間的擴(kuò)展性、維護(hù)性以及轉(zhuǎn)移性等諸多方面。如下圖所示，位于頂層的是應(yīng)用程序軟件組件，它們通過(guò)標(biāo)準(zhǔn)化接口與運(yùn)行時(shí)環(huán)境交互。運(yùn)行時(shí)環(huán)境與軟件模塊進(jìn)行交互，這些模塊可以用于服務(wù)或通信。同樣，軟件通過(guò)標(biāo)準(zhǔn)化接口與底層硬件進(jìn)行交互。AUTOSAR 合作聯(lián)盟設(shè)置了管理層或工作結(jié)構(gòu)；在負(fù)責(zé)制定規(guī)范的技術(shù)層面上，相關(guān)管理主體被稱(chēng)

10、為工作組，負(fù)責(zé)管理已發(fā)布的規(guī)范。操作系統(tǒng)基礎(chǔ)軟件 aECU 硬件微控制器抽象層AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口復(fù)雜驅(qū)動(dòng)ECU 抽象層通信服務(wù)AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口AUTOSAR 運(yùn)行時(shí)環(huán)境 (RTE)AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口AUTOSAR 接口應(yīng)用程序軟件組件軟件組件軟件組件軟件組件AUTOSAR軟件AUTOSAR 接口AUTOSAR 分層式架構(gòu)WG-SEC 是安全工作組，在聯(lián)盟中負(fù)責(zé)汽車(chē)安全方面的工作。安全性工作組成立于 2014

11、年11 月，其任務(wù)是改進(jìn)安全措施并將其擴(kuò)展到 AUTOSAR 中，并為安全的異構(gòu)汽車(chē)軟件架構(gòu)采用一套整體方法。AUTOSAR 成立于 2003 年，但直到 2014 年聯(lián)盟才認(rèn)識(shí)到有必要并最終成立了一個(gè)單獨(dú)的安全工作組。AUTOSAR 使用一套加密技術(shù)規(guī)范。在硬件抽象層，使用的是加密接口模塊；而在服務(wù)層，規(guī)范提供了加密服務(wù)管理器。加密規(guī)范提供的不是安全概念而是加密服務(wù)，這些服務(wù)可以用來(lái)支持并落實(shí)安全概念。應(yīng)用程序?qū)舆\(yùn)行時(shí)環(huán)境系統(tǒng)服務(wù)內(nèi)存服務(wù)加密服務(wù)通信服務(wù)I/O 硬件抽象層復(fù)雜驅(qū)動(dòng)板載設(shè)備抽象層內(nèi)存硬件抽象層加密硬件抽象層通信硬件抽象層微控制器驅(qū)動(dòng)內(nèi)存驅(qū)動(dòng)加密驅(qū)動(dòng)通信驅(qū)動(dòng)I/O 驅(qū)動(dòng)AUTOS

12、AR 運(yùn)行時(shí)環(huán)境 (RTE)AUTOSAR 加密服務(wù)（來(lái)源：AUTOSAR）在 AUTOSAR 中，傳輸單元是協(xié)議數(shù)據(jù)單元 (PDU) 和支持這些 PDU 的網(wǎng)關(guān)，該網(wǎng)關(guān)稱(chēng)為 PDU 路由器 (PduR)。實(shí)現(xiàn) AUTOSAR 安全通信的方法是在 PduR 層級(jí)進(jìn)行集成。如圖中所示，PduR 負(fù)責(zé)將傳入的和傳出的與安全相關(guān)的信息 PDU (IPDU) 路由到 SecOC 模塊。SecOC隨后添加或處理與安全相關(guān)的信息，并將結(jié)果以 IPDU 的形式傳播回 PduR。PduR 隨后負(fù)責(zé)將 IPDU 路由到它們的目標(biāo)位置。SW-C密鑰和計(jì)數(shù)器管理 SW-C加密服務(wù)管理器PDU 路由器路由表SecOC

13、 BSWTPPDU 路由加密服務(wù)FrlfCanlf 密鑰和計(jì)數(shù)器管理服務(wù)錯(cuò)誤報(bào)告AUTOSAR COM系統(tǒng)服務(wù)通信服務(wù)RTECanTPFrTP診斷事件管理器 密鑰管理（可選）AUTOSAR 安全板載通信 (SecOC)多層安全方法保護(hù)互聯(lián)汽車(chē)需要多層安全方法，而防火墻是其中的關(guān)鍵。開(kāi)放式系統(tǒng)互聯(lián) (OSI) 模型將通信功能標(biāo)準(zhǔn)化為七層架構(gòu)（三層為媒體層，四層為主機(jī)層），必須對(duì)這七層加以保護(hù)才能將應(yīng)用程序視為安全的應(yīng)用程序。整體安全策略必須能在每個(gè)層級(jí)或使用層級(jí)提供保護(hù)。邊緣節(jié)點(diǎn)或網(wǎng)關(guān)節(jié)點(diǎn)最容易遭受攻擊，因?yàn)樗鼈儽┞对谕獠凯h(huán)境中，需要最多的保護(hù)。車(chē)輛網(wǎng)絡(luò)內(nèi)部的節(jié)點(diǎn)不會(huì)直接暴露，而且 PDU 層過(guò)

14、濾可以為這些節(jié)點(diǎn)提供基本的保護(hù)。在第 2層（即 OSI 的數(shù)據(jù)鏈路層）中，作為行業(yè)標(biāo)準(zhǔn)的媒體訪問(wèn)控制安全 (MACsec) 為直接連接節(jié)點(diǎn)之間的以太網(wǎng)鏈接提供了點(diǎn)對(duì)點(diǎn)的安全，并且可以識(shí)別和阻止大多數(shù)安全威脅，包括拒絕服務(wù)、入侵、中間人攻擊、偽裝攻擊、被動(dòng)竊聽(tīng)和重放攻擊。對(duì)于與媒體訪問(wèn)無(wú)關(guān)的協(xié)議， MACsec 定義了無(wú)連接數(shù)據(jù)的保密性和完整性。在第 3 層（即網(wǎng)絡(luò)層） 中， 互聯(lián)網(wǎng)協(xié)議安全 (IPsec) 是一套彼此互相作用的協(xié)議，可以通過(guò) IP 網(wǎng)絡(luò)提供安全的專(zhuān)用通信，支持系統(tǒng)建立和維護(hù)與安全網(wǎng)關(guān)的安全通道；虛擬專(zhuān)用網(wǎng)絡(luò) (VPN) 即是其中一例。在第 6 層（即表示層）中，傳輸層安全 (T

15、LS)提供了專(zhuān)門(mén)用于提供網(wǎng)絡(luò)通信安全的加密協(xié)議。網(wǎng)站可以使用 TLS 保護(hù)其服務(wù)器與網(wǎng)絡(luò)瀏覽器之間的所有通信，而 TLS 協(xié)議則主要用于確保以客戶端- 服務(wù)器模式運(yùn)行的兩個(gè)或多個(gè)通信中的計(jì)算機(jī)應(yīng)用程序之間的隱私和數(shù)據(jù)完整。在 AUTOSAR 層級(jí)， 數(shù)據(jù)傳輸單元是 PDU。 AUTOSAR 的安全板載通信 (SecOC) 規(guī)范專(zhuān)為保護(hù)這些 PDU 的安全而制定。同樣，在第 2 層（數(shù)據(jù)層）和第 3 層（網(wǎng)絡(luò)層）之間，可以部署一道防火墻來(lái)屏蔽未使用的端口或阻止探測(cè)這些端口和過(guò)濾數(shù)據(jù)用例。第 2/3 層在數(shù)據(jù)鏈路和網(wǎng)絡(luò)之間AUTOSARPDU 層級(jí)第 6 層表示客戶端 - 服務(wù)器第 3 層網(wǎng)絡(luò)VP

16、N第 2 層數(shù)據(jù)鏈路防火墻SecOCTLS / DTLSIPsecMACsec多層安全方法使用防火墻抵御威脅防火墻是網(wǎng)絡(luò)元素，它根據(jù)特定的安全策略來(lái)控制穿越安全網(wǎng)絡(luò)邊界的數(shù)據(jù)包傳輸。安全策略是一系列過(guò)濾規(guī)則列表，定義了針對(duì)數(shù)據(jù)包執(zhí)行的操作。過(guò)濾規(guī)則由一組過(guò)濾字段組成，例如協(xié)議類(lèi)型、源地址、目標(biāo)地址、源端口、目標(biāo)端口和操作字段。過(guò)濾字段列舉了實(shí)際網(wǎng)絡(luò)流量中相應(yīng)字段針對(duì)該特定規(guī)則可能采用的值。一個(gè)過(guò)濾字段可以是單個(gè)值，也可以是一系列值，并且可以用于創(chuàng)建黑名單或白名單來(lái)阻止或允許來(lái)自或定向到特定源地址的流量。根據(jù)這組規(guī)則，防火墻可以確定是接受數(shù)據(jù)包以進(jìn)一步處理，還是丟棄數(shù)據(jù)包并記錄該事件。配備防火墻

17、的網(wǎng)絡(luò)布局可以控制數(shù)據(jù)包的傳輸。它不僅可以保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部環(huán)境中惡意數(shù)據(jù)的威脅，還可以保護(hù)外部環(huán)境免受網(wǎng)絡(luò)內(nèi)部生成的潛在惡意數(shù)據(jù)的威脅。防火墻可以保護(hù)網(wǎng)絡(luò)在汽車(chē)內(nèi)的部分；因此，當(dāng)某個(gè)具體的 ECU 遭到侵入時(shí)，ECU 的漏洞不會(huì)被用來(lái)攻擊網(wǎng)絡(luò)的安全部分。配備防火墻的網(wǎng)絡(luò)布局防火墻設(shè)計(jì)注意事項(xiàng)規(guī)則式過(guò)濾，也稱(chēng)為數(shù)據(jù)包過(guò)濾或靜態(tài)過(guò)濾，是設(shè)計(jì)防火墻的首要注意事項(xiàng)。這種類(lèi)型的過(guò)濾不保留數(shù)據(jù)包的狀態(tài)。它的基礎(chǔ)是過(guò)濾引擎中可配置的規(guī)則，過(guò)濾引擎可以支持協(xié)議、源 IP地址和 MAC 地址過(guò)濾，并且可以用于創(chuàng)建白名單和黑名單過(guò)濾。包 MACIP 地址端口 協(xié)議許 處理數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記

18、錄并報(bào)告規(guī)則式過(guò)濾動(dòng)態(tài)過(guò)濾。其他類(lèi)型的防火墻使用動(dòng)態(tài)過(guò)濾，也稱(chēng)為電路級(jí)網(wǎng)關(guān)或狀態(tài)數(shù)據(jù)包檢測(cè)。動(dòng)態(tài)過(guò)濾可以根據(jù)連接的狀態(tài)阻止數(shù)據(jù)包。它可以檢查具有較多端口的非特許端口的傳入流量，確定它對(duì)之前要求建立連接的傳出請(qǐng)求的響應(yīng)未被侵入。動(dòng)態(tài)過(guò)濾可以支持 IP 標(biāo)頭選項(xiàng)、傳輸控制協(xié)議 (TCP) 或用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 標(biāo)志和可配置的數(shù)據(jù)包生存時(shí)間 (TTL)。其中應(yīng)用的高級(jí)原理是，過(guò)濾引擎選擇網(wǎng)絡(luò)數(shù)據(jù)包并根據(jù)規(guī)則執(zhí)行具體的邏輯，決定是允許數(shù)據(jù)包通行還是丟棄數(shù)據(jù)包并加以記錄和報(bào)告。包 IP 標(biāo)頭 TCP/UDP 標(biāo)志 TTL連接狀態(tài)許 處理數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記錄并報(bào)告動(dòng)態(tài)過(guò)濾深度數(shù)

19、據(jù)包檢測(cè)又稱(chēng)應(yīng)用層網(wǎng)關(guān)，它支持對(duì)消息中的每個(gè)單獨(dú)字段進(jìn)行控制和驗(yàn)證，并根據(jù)類(lèi)型、內(nèi)容和來(lái)源過(guò)濾消息。它通常用于保護(hù)工業(yè)自動(dòng)化和控制系統(tǒng)的安全。包 消息：內(nèi)容字段類(lèi)型來(lái)源許 處理數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記錄并報(bào)告深度數(shù)據(jù)包檢測(cè)（應(yīng)用層網(wǎng)關(guān)）閾值過(guò)濾可以根據(jù)超過(guò)閾值的值來(lái)阻止數(shù)據(jù)包以免受拒絕服務(wù)攻擊、廣播風(fēng)暴攻擊和其他類(lèi)型的數(shù)據(jù)包淹沒(méi)攻擊。閾值過(guò)濾以網(wǎng)絡(luò)流量模式為基礎(chǔ)。該方法使用閾值來(lái)判斷應(yīng)在哪個(gè)層級(jí)丟棄或阻止網(wǎng)絡(luò)流量。與閾值過(guò)濾相比，靜態(tài)過(guò)濾的效率較低。閾值過(guò)濾可以實(shí)時(shí)判斷網(wǎng)絡(luò)流量模式，確定要設(shè)置哪些閾值，以及針對(duì)特定數(shù)據(jù)包應(yīng)做出哪些決定和采取哪些過(guò)濾措施。包 閾值 流量模式允許處理

20、數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù)丟棄數(shù)據(jù)包記錄并報(bào)告閾值過(guò)濾協(xié)議過(guò)濾是一種防火墻方法，它根據(jù)一組與應(yīng)用層協(xié)議相關(guān)的規(guī)則來(lái)丟棄數(shù)據(jù)包，可以設(shè)置用于以太網(wǎng)、互聯(lián)網(wǎng)協(xié)議 (IP)、互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP)、傳輸控制協(xié)議 (TCP) 或用戶數(shù)據(jù)報(bào)協(xié)議 (UDP)。如果流量符合規(guī)則設(shè)置的準(zhǔn)則，那么協(xié)議過(guò)濾可以終止應(yīng)用層連接，并將流量重新發(fā)送到目標(biāo)。包 以太網(wǎng) UDP/TCP IP/ICMP許 處理數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記錄并報(bào)告協(xié)議過(guò)濾數(shù)據(jù)日志記錄和警報(bào)也是很重要的防火墻設(shè)計(jì)注意事項(xiàng)。應(yīng)妥善保存記錄了安全事件和策略違例事件的日志。還應(yīng)妥善記錄對(duì)防火墻策略的更改，以便為審核和取證提供支持。事件

21、日志記錄可以用于取證調(diào)查，以及確定攻擊來(lái)源和將來(lái)要采取的措施。其他優(yōu)點(diǎn)還包括實(shí)時(shí)分析和幫助制定風(fēng)險(xiǎn)緩解策略。包 過(guò)濾引擎許 處理數(shù)據(jù)包 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記錄并報(bào)告數(shù)據(jù)日志記錄和警報(bào)互聯(lián)汽車(chē)環(huán)境是設(shè)計(jì)防火墻時(shí)需要考慮的另一事項(xiàng)。最先進(jìn)的尖端防火墻技術(shù)以人的使用模式為基礎(chǔ)，并應(yīng)用了人工智能和機(jī)器學(xué)習(xí)技術(shù)；與之相比，互聯(lián)汽車(chē)環(huán)境以汽車(chē)內(nèi)較小的功率和內(nèi)存足跡以及 ECU 為特點(diǎn)，其內(nèi)在效率非常重要。包 許 處理數(shù)據(jù)包過(guò)濾引擎 阻止 網(wǎng)絡(luò)數(shù)據(jù) 允丟棄數(shù)據(jù)包記錄并報(bào)告內(nèi)在效率 - 可配置性、CPU 負(fù)載、內(nèi)存過(guò)濾引擎處理各個(gè)數(shù)據(jù)包時(shí)遵循的規(guī)則是必須具備足夠的內(nèi)存并且它將占用 CPU 周期。從可

22、重復(fù)使用的角度來(lái)看，應(yīng)用這些規(guī)則十分重要。防火墻設(shè)計(jì)者應(yīng)根據(jù)具體的用例來(lái)部署最為合適的防火墻。可配置性是其中的關(guān)鍵 - 在應(yīng)用了 ECU 的具體場(chǎng)景、用例或情景下，可以根據(jù)需要啟用或停用規(guī)則集。RTEBswM信號(hào)IpuMCOMI-PDUI-PDUDCMI-PDUPDU 路由器 I-PDUDNS-SDDoIPFlexRay TPI-PDUCAN TPN-PDU I-PDUSoAd（套接字適配器）I-PDU消息DNSDHCP流I-PDUN-PDU數(shù)據(jù)包段UDP NM模塊I-PDU數(shù)據(jù)報(bào)以太網(wǎng)接口以太網(wǎng)幀以太網(wǎng)驅(qū)動(dòng)FlexRay 接口L-PDUFlexRay 驅(qū)動(dòng)CAN 接口L-PDUCAN 驅(qū)動(dòng)L

23、IN 接口（包括 LIN TP）L-PDULIN 底層驅(qū)動(dòng)ICMPIPARPTCPUDPTLS管理器以太網(wǎng)狀態(tài)狀態(tài)管理LIN 狀態(tài)管理CANFlexRay 狀態(tài)管理NM 協(xié)調(diào)器通用 NM接口通信管理器最后要考慮的設(shè)計(jì)事項(xiàng)是當(dāng)數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)后，應(yīng)盡早采取過(guò)濾措施。太晚過(guò)濾可能會(huì)無(wú)法阻止破壞。當(dāng)網(wǎng)絡(luò)遭受數(shù)據(jù)包淹沒(méi)攻擊時(shí)，應(yīng)考慮拒絕服務(wù)攻擊。如果數(shù)據(jù)包能夠在網(wǎng)絡(luò)中存留較長(zhǎng)時(shí)間，那么攻擊目的就達(dá)到了。當(dāng)遭受數(shù)據(jù)包淹沒(méi)攻擊時(shí)，如果太晚才丟棄數(shù)據(jù)包，那么設(shè)備可能會(huì)變得不穩(wěn)定。信號(hào)BswMI-PDUSdDoIPI-PDUI-PDUPDU 路由器I-PDUI-PDUAUTOSAR COMIPDU多路復(fù)用器RT

24、EICMPARP/ NDP段數(shù)據(jù)包流消息AUTOSAR TCP/IP套接字適配器IPv4/v6TCPUDPDHCP防火墻應(yīng)部署在 TCP/IP 層級(jí)的第 2 層和第 3層之間。TCP/IP 具有防火墻發(fā)揮作用所需的全部信息：源 IP 地址、目標(biāo)、MAC 地址等等。如果在網(wǎng)絡(luò)內(nèi)部深度部署防火墻，那么防火墻可以更高效地發(fā)揮作用；在處理直接暴露到外部網(wǎng)絡(luò)的高風(fēng)險(xiǎn)網(wǎng)關(guān)時(shí)，這是尤為需要注意的事項(xiàng)。以太網(wǎng)幀以太網(wǎng)接口防火墻以太網(wǎng)驅(qū)動(dòng)SW-C密鑰和計(jì)數(shù)器管理 SW-CRTE通信服務(wù)系統(tǒng)服務(wù)AUTOSAR COM加密服務(wù)管理器診斷事件管理器PDU 路由器路由表SecOC BSWTPFrlfCanlfPDU 路

25、由 密鑰和計(jì)數(shù)器管理服務(wù) 密鑰管理（可選）錯(cuò)誤報(bào)告 加密服務(wù)CanTPFrTP結(jié)語(yǔ)早期檢測(cè)。早期檢測(cè)是在互聯(lián)汽車(chē)中使用防火墻抵御安全威脅的關(guān)鍵。因?yàn)楹诳蜁?huì)尋找缺乏抵抗力的端口來(lái)入侵網(wǎng)絡(luò)，屏蔽所有未設(shè)防的端口并記錄在這些端口中違反了規(guī)則的數(shù)據(jù)包非常重要?？膳渲眯浴？膳渲眯詫?duì)于內(nèi)在效率極為重要；要實(shí)現(xiàn)內(nèi)在效率，需要能夠單獨(dú)啟用或禁用過(guò)濾規(guī)則。如果可以使用企業(yè)級(jí)安全管理系統(tǒng)執(zhí)行遠(yuǎn)程配置，那么這將是一項(xiàng)巨大優(yōu)勢(shì)?，F(xiàn)有的某些解決方案支持對(duì)安全策略的集中管理，并提供了其他一些優(yōu)勢(shì)，例如遠(yuǎn)程監(jiān)控設(shè)備的健康狀態(tài)、支持分析等。標(biāo)準(zhǔn)化。標(biāo)準(zhǔn)化極為關(guān)鍵；應(yīng)根據(jù) AUTOSAR 安全策略管理器貫徹防火墻安全理念。我們

26、建議通過(guò) AUTOSAR 為連通性防火墻定義一套規(guī)范。汽車(chē)行業(yè)必須證明自己的產(chǎn)品值得信賴(lài)才能使人們信任互聯(lián)汽車(chē)。安全保護(hù)不是營(yíng)銷(xiāo)賣(mài)點(diǎn)，而是駕駛互聯(lián)汽車(chē)的必備條件，防火墻在多層安全方法中始終保持關(guān)鍵作用。參考文獻(xiàn)Charette, Robert N., “This Car Runs on Code,” IEEE Spectrum, February 1, 2009, HYPERLINK /transportation/systems/this-car-runs-on-code /transportation/systems/this-car-runs-on-codeBurkacky, O., D

27、eichmann, J., Doll, G., and Knochenhauer, C. “Rethinking car software and electronics architecture,” McKinsey & Company, February 2018, HYPERLINK /industries/automotive-and-assembly/our-insights/rethinking-car-software-and-electronics-architecture https:/www. HYPERLINK /industries/automotive-and-ass

28、embly/our-insights/rethinking-car-software-and-electronics-architecture /industries/automotive-and-assembly/our-insights/rethinking-car-software-and-electronics-architectureFox, Zohar, “How Do We Trust the Software in A Driverless Car,” Forbes, June 2018, HYPERLINK /sites/startupnationcentral/2018/0

29、6/05/how-do-we-trust-the-software-in-a-driverless-car/ /sites/startupnationcentral/2018/06/05/ HYPERLINK /sites/startupnationcentral/2018/06/05/how-do-we-trust-the-software-in-a-driverless-car/ how-do-we-trust-the-software-in-a-driverless-car/” Hackers Remotely Kill a Jeep on the Highway With Me in It,” Wired, July 21, 2015, HYPERLINK /2015/07/hackers-remotely-kill-