2010年nian
，美mei國guo汽qi車che製zhi造zao商shang推tui出chu了le一yi項xiang新xin穎ying的de功gong能neng，可ke以yi讓rang車che主zhu在zai地di球qiu任ren何he一yi個ge角jiao落luo通tong過guo智zhi慧hui手shou機ji控kong製zhi車che鎖suo並bing啟qi動dong發fa動dong機ji。這zhe種zhong連lian接jie功gong能neng需xu要yao依yi賴lai於yu汽qi車che上shang的de遠yuan程cheng信xin息xi通tong訊xun係xi統tong，而er這zhe種zhong係xi統tong目mu前qian已yi經jing是shi許xu多duo型xing號hao汽qi車che的de標biao準zhun配pei置zhi。在zai這zhe種zhong智zhi慧hui手shou機ji推tui出chu之zhi前qian，有you個ge大da學xue研yan究jiu小xiao組zu發fa布bu了le一yi份fen研yan究jiu報bao告gao，報bao告gao中zhong指zhi出chu
，通tong過guo利li用yong汽qi車che嵌qian入ru式shi係xi統tong中zhong的de缺que陷xian，汽qi車che的de關guan鍵jian係xi統tong（例如，剎車
、發動機節氣閥等）很容易被惡意操控。

　　

這些研究人員研究了如何使用‘模糊’技術
，從低安全性網絡侵入到關鍵係統。在(zai)汽(qi)車(che)行(xing)駛(shi)過(guo)程(cheng)中(zhong)，出(chu)現(xian)了(le)剎(剎)車(che)失(shi)靈(ling)和(he)發(fa)動(dong)機(ji)失(shi)控(kong)
，這(zhe)顯(xian)示(shi)攻(gong)擊(ji)確(que)實(shi)能(neng)將(jiang)乘(cheng)客(ke)置(zhi)於(yu)危(wei)險(xian)境(jing)地(di)。將(jiang)汽(qi)車(che)連(lian)接(jie)到(dao)廣(guang)域(yu)網(wang)是(shi)導(dao)入(ru)老(lao)練(lian)攻(gong)擊(ji)者(zhe)的(de)元(yuan)凶(xiong)。一(yi)個(ge)缺(que)陷(xian)就(jiu)可(ke)能(neng)讓(rang)遠(yuan)程(cheng)攻(gong)擊(ji)者(zhe)威(wei)脅(xie)到(dao)一(yi)長(chang)串(chuan)挨(ai)著(zhe)行(xing)駛(shi)的(de)車(che)隊(dui)。

　　

研yan究jiu人ren員yuan並bing沒mei有you告gao訴su我wo們men能neng為wei目mu前qian的de嵌qian入ru式shi汽qi車che安an全quan做zuo些xie什shen麼me。但dan正zheng如ru後hou麵mian我wo們men要yao討tao論lun到dao的de那na樣yang
，我wo們men必bi須xu對dui汽qi車che技ji術shu做zuo出chu實shi質zhi性xing的de改gai革ge，以yi更geng好hao地di隔ge離li網wang絡luo子zi係xi統tong和he生sheng死si攸you關guan的de安an全quan功gong能neng。

　　

　　

下圖顯示了當代汽車內部的部份電子係統。

 

圖1：當代汽車內部的部份電子係統。

　　

高階豪華汽車在總計100個組件或電子控製單元（ECU）的相應係統中包含多達200個微處理器。這些ECU由多種不同類型的網絡連接，例如，控製器區域網（CAN）、FlexRay、局域互連網絡（LIN）和針對媒體的係統傳送（MOST）。汽車OEM廠商需要對來自數十家一級和二級供貨商的ECU組件和軟件進行整合。但OEM廠商不會去嚴格控製其供貨商的開發過程。

　　

因此人們對這種情形不能維持下去就不會感到驚訝了。OEM廠商將承受‘木桶理論’的惡果：隻要一塊有嚴重可靠性問題的ECU，就可能造成交貨延遲或車輛故障，因而使信譽受損。

　　

　　

對車輛造成的安全威脅可以分成三大類：局部實體；遠程；內部電子。當這些威脅迭加在一起時，常常會造成車輛損壞。、

 

　　

通過實體性地接取傳動係統CANwangluobingpohuaitongxunjiushijubushitixingweixiedeyigelizi。zhezhongruqinshigongjihenrongyipohuaiqichedeguanjiangongneng。raner，xiangxincunbumandejixiugongdengjubugongjizhezhikenengsunhaiyiliangche，yincibuzuyiyinqishejianquantuanduidezhuyi。lingwai，qichedefuzadianzixitonghennanzhenzhengfangfanshitigongji。yinciwomenduizheleiweixietongchangzhinengqidaole。

　　

然而
，這裏有個例外：在一個或多個ECU內nei部bu的de某mou處chu地di方fang儲chu存cun著zhe私si有you密mi鑰yao，用yong於yu製zhi作zuo受shou保bao護hu的de信xin道dao，並bing提ti供gong局ju部bu數shu據ju保bao護hu服fu務wu。下xia麵mian這zhe張zhang圖tu顯xian示shi了le下xia一yi代dai汽qi車che中zhong使shi用yong的de長chang距ju離li無wu線xian連lian接jie的de一yi些xie例li子zi。

 

圖2：下一代汽車中使用的長距離無線連接。

　　

汽車算法、多媒體內容和保密數據都可能需要數據保護。私鑰儲存必須能夠抵擋住淩厲的入侵和非入侵式實體性攻擊
，因為即使僅丟失一‘把’密鑰也可能讓攻擊者設立起到遠程基礎設備的連接
，繼而在那裏造成廣泛破壞。

　　

OEM廠商必須能夠在從密鑰產生和將其嵌入到ECU、到ECU交貨並裝配進汽車、再到汽車最後在大街上到處跑這一整個生命期內確保密鑰的安全。Green Hills Software、Mocana和Certicom等專業嵌入式加密公司可以通過在這個領域中的指導和監督向OEM廠商及其供貨商提供幫助。

　　

　　

以下是典型的攻擊方式：黑客通過偵測汽車的長距離無線接口尋找網絡安全協議
、網絡服務和應用程序中的軟肋，以找到進入內部各電子係統的方式。與數據中心不同
，汽車一般不可能擁有完整的IDS、IPS、防火牆和UTM。而近來產生的入侵新力
、花旗集團、亞馬遜、穀歌和RSA的事件充分顯示，在老練的攻擊者麵前，這些防衛機製形同虛設。

 

2010年
，當Stuxnet（超級工廠病毒）肆虐時，美國國防部所屬的美國網戰司令部（CYBERCOM）司令Keith Alexander將(jiang)軍(jun)建(jian)議(yi)對(dui)美(mei)國(guo)的(de)重(zhong)要(yao)基(ji)礎(chu)設(she)備(bei)建(jian)構(gou)自(zi)身(shen)的(de)隔(ge)離(li)安(an)全(quan)網(wang)絡(luo)，與(yu)因(yin)特(te)網(wang)分(fen)開(kai)來(lai)。雖(sui)然(ran)這(zhe)種(zhong)做(zuo)法(fa)似(si)乎(hu)過(guo)於(yu)苛(ke)刻(ke)，但(dan)實(shi)際(ji)就(jiu)是(shi)我(wo)們(men)需(xu)要(yao)的(de)思(si)路(lu)。為(wei)了(le)駕(jia)駛(shi)安(an)全(quan)
，汽(qi)車(che)的(de)關(guan)鍵(jian)係(xi)統(tong)必(bi)須(xu)與(yu)非(fei)關(guan)鍵(jian)的(de)ECU和網絡完全隔離開來。

　　

　　

雖sui然ran實shi體ti網wang絡luo隔ge離li是shi理li想xiang方fang案an，但dan接jie觸chu點dian不bu可ke避bi免mian。例li如ru
，在zai某mou些xie市shi場chang，在zai汽qi車che行xing駛shi中zhong，汽qi車che導dao航hang係xi統tong必bi須xu關guan掉diao，這zhe意yi味wei著zhe在zai安an全quan標biao準zhun有you很hen大da不bu同tong的de係xi統tong間jian的de通tong訊xun和he感gan應ying。另ling外wai，業ye界jie出chu現xian了le強qiang烈lie的de設she計ji整zheng合he趨qu勢shi使shi用yong更geng強qiang大da的de多duo核he心xin微wei處chu理li器qi來lai實shi現xian各ge不bu同tong的de係xi統tong，因yin而er將jiang許xu多duoECU變成虛擬ECU這將增加源於軟件的威脅風險
，如由操作係統缺陷、對密碼係統的旁路攻擊以及拒絕服務等導致的權限擴大（privilege escalation）。

　　

因(yin)此(ci)
，為(wei)了(le)安(an)全(quan)，汽(qi)車(che)的(de)內(nei)部(bu)電(dian)子(zi)架(jia)構(gou)必(bi)須(xu)重(zhong)新(xin)設(she)計(ji)。關(guan)鍵(jian)和(he)非(fei)關(guan)鍵(jian)的(de)係(xi)統(tong)與(yu)網(wang)絡(luo)之(zhi)間(jian)的(de)接(jie)口(kou)必(bi)須(xu)在(zai)最(zui)高(gao)管(guan)理(li)層(ceng)麵(mian)進(jin)行(xing)論(lun)證(zheng)和(he)窮(qiong)盡(jin)分(fen)析(xi)，並(bing)按(an)諸(zhu)如(ru)ISO15408評估安保等級（EAL）6+等最高等級的安保標準進行驗證，以確認沒有缺陷。高可靠性軟件/安全工程實施原則（PHASE）協議支持大幅地簡化複雜性、軟件組件架構、最低權限原則、安全軟件和係統開發過程，OEM廠商必須學習和采用獨立的專家安全驗證
，並在其整個供應鏈中貫徹執行。

　　

　　

汽(qi)車(che)製(zhi)造(zao)商(shang)和(he)一(yi)級(ji)供(gong)貨(huo)商(shang)在(zai)設(she)計(ji)目(mu)前(qian)上(shang)路(lu)的(de)汽(qi)車(che)時(shi)可(ke)能(neng)還(hai)沒(mei)有(you)下(xia)大(da)力(li)氣(qi)考(kao)慮(lv)安(an)全(quan)性(xing)要(yao)求(qiu)，但(dan)很(hen)明(ming)顯(xian)情(qing)況(kuang)在(zai)產(chan)生(sheng)變(bian)化(hua)。製(zhi)造(zao)商(shang)在(zai)車(che)載(zai)電(dian)子(zi)設(she)備(bei)與(yu)網(wang)絡(luo)的(de)設(she)計(ji)與(yu)架(jia)構(gou)階(jie)段(duan)應(ying)盡(jin)早(zao)與(yu)嵌(qian)入(ru)式(shi)安(an)全(quan)專(zhuan)業(ye)公(gong)司(si)展(zhan)開(kai)緊(jin)密(mi)合(he)作(zuo)，並(bing)且(qie)必(bi)須(xu)提(ti)高(gao)以(yi)安(an)全(quan)為(wei)導(dao)向(xiang)的(de)工(gong)程(cheng)技(ji)術(shu)與(yu)軟(ruan)件(jian)安(an)全(quan)保(bao)障(zhang)水(shui)平(ping)。最(zui)後(hou)
，汽(qi)車(che)產(chan)業(ye)迫(po)切(qie)需(xu)要(yao)一(yi)個(ge)獨(du)立(li)的(de)標(biao)準(zhun)組(zu)織(zhi)來(lai)為(wei)車(che)載(zai)電(dian)子(zi)設(she)備(bei)定(ding)義(yi)和(he)執(zhi)行(xing)係(xi)統(tong)級(ji)的(de)安(an)全(quan)認(ren)證(zheng)計(ji)劃(hua)。