本文節(jié)選自：《使用多層安全方法并配置防火墻以保護(hù)互聯(lián)汽車》
文末附下載方式

摘要對(duì)車輛網(wǎng)絡(luò)安全的需求越發(fā)迫切，因?yàn)檐囕v系統(tǒng)面臨著多方面的惡意威脅。白帽黑客已經(jīng)證明他們可以遠(yuǎn)程侵入互聯(lián)車輛的儀表板功能和變速箱。為應(yīng)對(duì)由此造成的威脅，各國政府正在制定法令以確定自動(dòng)駕駛車輛的責(zé)任（美國 2017 年的自動(dòng)駕駛法案即是其中一例）。因此，防火墻是為車輛提供保護(hù)以及保證車輛整體安全性和可靠性的多層方法的關(guān)鍵。西門子 Mentor 業(yè)務(wù)部高級(jí)開發(fā)工程經(jīng)理艾哈邁德·馬吉德·汗博士 (Dr. Ahmed Majeed Khan)

一、汽車軟件安全威脅汽車裝備的軟件比我們當(dāng)下使用的最復(fù)雜的機(jī)器還要多。2009 年 10 月發(fā)布的科技縱覽(IEEE Spectrum) 報(bào)告指出，美國空軍裝備的F-22 猛禽一線噴氣戰(zhàn)斗機(jī)包含 170 萬行軟件代碼。F-35 聯(lián)合攻擊戰(zhàn)斗機(jī)包含 570 萬行代碼，波音 787 夢想客機(jī)包含 650 萬行代碼。與此同時(shí)，一輛普通汽車包含 1 千萬行以上的代碼。而梅賽德斯奔馳 S 級(jí)轎車等高端品牌汽車包含 2 千萬行以上的代碼。如今，福特的F-150 卡車包含 1.5 億行代碼。在互聯(lián)性、電氣化和無人駕駛的大趨勢下，汽車軟件內(nèi)容的關(guān)聯(lián)度越來越高。軟件的復(fù)雜性和互聯(lián)性使汽車越發(fā)容易遭受安全威脅，人們已經(jīng)記錄了許多現(xiàn)實(shí)案例。資深黑客查利·米勒 (Charlie Miller) 和克里斯·瓦拉塞克(Chris Valasek) 曾遠(yuǎn)程侵入一輛吉普大切諾基，他們不僅能控制這輛車的變速箱，還侵入并控制了包括雨刷在內(nèi)的其他功能；這輛車最終被撞毀。4 在該事件后，克萊斯勒公司被迫召回了140 萬輛吉普。同一年，這兩位黑客又通過控制器局域網(wǎng) (CAN) 的車載自動(dòng)診斷系統(tǒng) (OBD)端口控制了另一輛吉普，而且他們可以控制剎車和轉(zhuǎn)向系統(tǒng)。2015 年，一位安全研究員使用一臺(tái)廉價(jià)的自制設(shè)備演示了對(duì)通用公司安吉星遠(yuǎn)程連接系統(tǒng)的攻擊。通過本次攻擊，他可以跟蹤車輛、解鎖車輛、按響喇叭和警報(bào)器并發(fā)動(dòng)引擎。5 2018 年，黑客利用加密漏洞并克隆遙控鑰匙在幾秒鐘內(nèi)就盜走了一輛特斯拉 Model S。6 在黑帽網(wǎng)絡(luò)攻擊下，沒有任何品牌的汽車是安全的，因?yàn)楫?dāng)今時(shí)代可以從互聯(lián)網(wǎng)和開源資源隨意獲取汽車黑客手冊(cè)和低成本黑客工具，例如 Wireshark 和ChipWhisperer。Upstream Security 在其 Global Automotive Cyber-security Report 2019 7 中提供了一系列數(shù)據(jù)，指明成功的黑帽網(wǎng)絡(luò)攻擊數(shù)量在不斷增長。從 2010 年到 2018 年，數(shù)量增長了 6 倍，而且網(wǎng)絡(luò)攻擊途徑五花八門，包括 OBD 端口、OEM 應(yīng)用程序以及遠(yuǎn)程入侵。網(wǎng)絡(luò)攻擊不僅數(shù)量猛增而且效率極高，人們對(duì)開發(fā)安全解決方案的需求越發(fā)迫切。政府的介入達(dá)到前所未有的程度，并制定了各種法規(guī)以預(yù)防網(wǎng)絡(luò)攻擊。

二、汽車網(wǎng)絡(luò)安全基本知識(shí)
美國高速公路安全管理局 (NHTSA) 根據(jù)威脅分析方法展開了一項(xiàng)汽車網(wǎng)絡(luò)安全研究項(xiàng)目。該項(xiàng)目使用一個(gè)威脅模型識(shí)別了潛在攻擊造成影響所需具備的條件。該模型將威脅分成不同的類別，以便根據(jù)不同的威脅分組來制定規(guī)避措施。NHTSA 的模型綜合使用了三種建模方法。它使用微軟的 STRIDE、ASF 和 Open Web Application Security Project 的 Trike 作為基準(zhǔn)。

NHTSA 威脅模型中的威脅類型借用自微軟的 STRIDE：欺騙身份。

在身份欺騙威脅中，應(yīng)用或程序可以偽裝成其他人并獲取通常不受程序允許的有利條件。

篡改數(shù)據(jù)。數(shù)據(jù)篡改涉及惡意修改數(shù)據(jù)，包括在未獲授權(quán)的情況下更改數(shù)據(jù)庫以及更改在計(jì)算機(jī)之間流動(dòng)的數(shù)據(jù)。抵賴。舉一個(gè)抵賴方面的示例；比如，用戶或程序拒絕承認(rèn)某件正確或合理的事情的真實(shí)性。

信息泄露。信息泄露威脅指將信息泄露給無權(quán)獲取該信息的個(gè)體。例如，用戶可以閱讀他們無權(quán)閱讀的文件，或者侵入者可以讀取在計(jì)算機(jī)之間傳輸?shù)臄?shù)據(jù)。

拒絕服務(wù)。這些攻擊拒絕為有效用戶提供服務(wù)。例如，使用非法請(qǐng)求對(duì)網(wǎng)站進(jìn)行淹沒攻擊，使網(wǎng)站不可用或不穩(wěn)定，導(dǎo)致合法用戶無法獲得服務(wù)。

提升權(quán)限。未獲授權(quán)的用戶通過更改組成員身份等方法獲取授權(quán)訪問權(quán)限，從而可以侵入或破壞系統(tǒng)。

三、攻擊面黑客對(duì)汽車進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，第一步是在車輛中找到攻擊途徑，即確定攻擊面。第二步是侵入電子控制單元 (ECU)。第三步是找到可以利用和黑入的控制功能以侵入某些功能。汽車的攻擊面可以分為四個(gè)類別：

直接物理攻擊。直接物理攻擊可以通過線束連接器、OBD 或充電端口或車輛網(wǎng)絡(luò)發(fā)起。制造商和消費(fèi)者必須認(rèn)識(shí)到汽車的使用環(huán)境相當(dāng)惡劣。車主可能將車借給他人或送去維修；在這些情況下，黑客可以直接以物理方式侵入汽車。

間接物理攻擊。間接物理攻擊使用惡意軟件威脅進(jìn)行攻擊，這種威脅以 CD、SD 卡、USB 設(shè)備或固件升級(jí)等形式出現(xiàn)，并可以在車內(nèi)投放特洛伊木馬病毒。

無線攻擊。短距離無線包括 Wi-Fi、藍(lán)牙、近場通信 (NFC) 和射頻 (RF)。在互聯(lián)的無人駕駛環(huán)境中，汽車需要配備所有這些技術(shù)，但這會(huì)擴(kuò)大汽車的受攻擊面。

傳感器欺騙。盡管很少有新聞或研究指出黑客通過控制傳感器來制造網(wǎng)絡(luò)攻擊，但可以肯定的是，傳感器是潛在的受攻擊面。波音 737 MAX空難的潛在原因就是傳感器發(fā)出非法數(shù)據(jù)并造成邏輯行為錯(cuò)誤，最終導(dǎo)致了不幸的墜機(jī)事故。傳感器數(shù)據(jù)可能被操控并產(chǎn)生不準(zhǔn)確的數(shù)據(jù)，為黑客提供了另一個(gè)攻擊面。

四、汽車開放系統(tǒng)架構(gòu) (AUTOSAR)

討論安全性之前，有必要先了解一下汽車開放系統(tǒng)架構(gòu) (AUTOSAR)。AUTOSAR 是汽車?yán)嫦嚓P(guān)方于 2003 成立的世界范圍內(nèi)的開發(fā)合作組織。它追求的目標(biāo)是為車用電子控制單元制定和確立開放和標(biāo)準(zhǔn)的軟件架構(gòu)。AUTOSAR 的目標(biāo)涵蓋了軟件在不同平臺(tái)以及跨程序間的擴(kuò)展性、維護(hù)性以及轉(zhuǎn)移性等諸多方面。如下圖所示，位于頂層的是應(yīng)用程序軟件組件，它們通過標(biāo)準(zhǔn)化接口與運(yùn)行時(shí)環(huán)境交互。運(yùn)行時(shí)環(huán)境與軟件模塊進(jìn)行交互，這些模塊可以用于服務(wù)或通信。同樣，軟件通過標(biāo)準(zhǔn)化接口與底層硬件進(jìn)行交互。AUTOSAR 合作聯(lián)盟設(shè)置了管理層或工作結(jié)構(gòu)；在負(fù)責(zé)制定規(guī)范的技術(shù)層面上，相關(guān)管理主體被稱為工作組，負(fù)責(zé)管理已發(fā)布的規(guī)范。

AUTOSAR 分層式架構(gòu)WG-SEC 是安全工作組，在聯(lián)盟中負(fù)責(zé)汽車安全方面的工作。安全性工作組成立于 2014 年11 月，其任務(wù)是改進(jìn)安全措施并將其擴(kuò)展到AUTOSAR 中，并為安全的異構(gòu)汽車軟件架構(gòu)采用一套整體方法。AUTOSAR 成立于 2003 年，但直到 2014 年聯(lián)盟才認(rèn)識(shí)到有必要并最終成立了一個(gè)單獨(dú)的安全工作組。AUTOSAR 使用一套加密技術(shù)規(guī)范。在硬件抽象層，使用的是加密接口模塊；而在服務(wù)層，規(guī)范提供了加密服務(wù)管理器。加密規(guī)范提供的不是安全概念而是加密服務(wù)，這些服務(wù)可以用來支持并落實(shí)安全概念。

AUTOSAR 加密服務(wù)（來源：AUTOSAR）在 AUTOSAR 中，傳輸單元是協(xié)議數(shù)據(jù)單元(PDU) 和支持這些 PDU 的網(wǎng)關(guān)，該網(wǎng)關(guān)稱為PDU 路由器 (PduR)。實(shí)現(xiàn) AUTOSAR 安全通信的方法是在 PduR 層級(jí)進(jìn)行集成。如圖中所示，PduR 負(fù)責(zé)將傳入的和傳出的與安全相關(guān)的信息 PDU (IPDU) 路由到 SecOC 模塊。SecOC隨后添加或處理與安全相關(guān)的信息，并將結(jié)果以 IPDU 的形式傳播回 PduR。PduR 隨后負(fù)責(zé)將IPDU 路由到它們的目標(biāo)位置。

AUTOSAR 安全板載通信 (SecOC)
五、多層安全方法
保護(hù)互聯(lián)汽車需要多層安全方法，而防火墻是其中的關(guān)鍵。開放式系統(tǒng)互聯(lián) (OSI) 模型將通信功能標(biāo)準(zhǔn)化為七層架構(gòu)（三層為媒體層，四層為主機(jī)層），必須對(duì)這七層加以保護(hù)才能將應(yīng)用程序視為安全的應(yīng)用程序。整體安全策略必須能在每個(gè)層級(jí)或使用層級(jí)提供保護(hù)。邊緣節(jié)點(diǎn)或網(wǎng)關(guān)節(jié)點(diǎn)最容易遭受攻擊，因?yàn)樗鼈儽┞对谕獠凯h(huán)境中，需要最多的保護(hù)。車輛網(wǎng)絡(luò)內(nèi)部的節(jié)點(diǎn)不會(huì)直接暴露，而且 PDU 層過濾可以為這些節(jié)點(diǎn)提供基本的保護(hù)。在第 2層（即 OSI 的數(shù)據(jù)鏈路層）中，作為行業(yè)標(biāo)準(zhǔn)的媒體訪問控制安全 (MACsec) 為直接連接節(jié)點(diǎn)之間的以太網(wǎng)鏈接提供了點(diǎn)對(duì)點(diǎn)的安全，并且可以識(shí)別和阻止大多數(shù)安全威脅，包括拒絕服務(wù)、入侵、中間人攻擊、偽裝攻擊、被動(dòng)竊聽和重放攻擊。對(duì)于與媒體訪問無關(guān)的協(xié)議，MACsec 定義了無連接數(shù)據(jù)的保密性和完整性。在第 3 層（即網(wǎng)絡(luò)層）中，互聯(lián)網(wǎng)協(xié)議安全(IPsec) 是一套彼此互相作用的協(xié)議，可以通過IP 網(wǎng)絡(luò)提供安全的專用通信，支持系統(tǒng)建立和維護(hù)與安全網(wǎng)關(guān)的安全通道；虛擬專用網(wǎng)絡(luò)(VPN) 即是其中一例。在第 6 層（即表示層）中，傳輸層安全 (TLS)提供了專門用于提供網(wǎng)絡(luò)通信安全的加密協(xié)議。網(wǎng)站可以使用 TLS 保護(hù)其服務(wù)器與網(wǎng)絡(luò)瀏覽器之間的所有通信，而 TLS 協(xié)議則主要用于確保以客戶端-服務(wù)器模式運(yùn)行的兩個(gè)或多個(gè)通信中的計(jì)算機(jī)應(yīng)用程序之間的隱私和數(shù)據(jù)完整。在 AUTOSAR 層級(jí)，數(shù)據(jù)傳輸單元是 PDU。AUTOSAR 的安全板載通信 (SecOC) 規(guī)范專為保護(hù)這些 PDU 的安全而制定。同樣，在第 2 層（數(shù)據(jù)層）和第 3 層（網(wǎng)絡(luò)層）之間，可以部署一道防火墻來屏蔽未使用的端口或阻止探測這些端口和過濾數(shù)據(jù)用例。

多層安全方法
六、使用防火墻抵御威脅
防火墻是網(wǎng)絡(luò)元素，它根據(jù)特定的安全策略來控制穿越安全網(wǎng)絡(luò)邊界的數(shù)據(jù)包傳輸。

安全策略是一系列過濾規(guī)則列表，定義了針對(duì)數(shù)據(jù)包執(zhí)行的操作。

過濾規(guī)則由一組過濾字段組成，例如協(xié)議類型、源地址、目標(biāo)地址、源端口、目標(biāo)端口和操作字段。

過濾字段列舉了實(shí)際網(wǎng)絡(luò)流量中相應(yīng)字段針對(duì)該特定規(guī)則可能采用的值。一個(gè)過濾字段可以是單個(gè)值，也可以是一系列值，并且可以用于創(chuàng)建黑名單或白名單來阻止或允許來自或定向到特定源地址的流量。根據(jù)這組規(guī)則，防火墻可以確定是接受數(shù)據(jù)包以進(jìn)一步處理，還是丟棄數(shù)據(jù)包并記錄該事件。配備防火墻的網(wǎng)絡(luò)布局可以控制數(shù)據(jù)包的傳輸。它不僅可以保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部環(huán)境中惡意數(shù)據(jù)的威脅，還可以保護(hù)外部環(huán)境免受網(wǎng)絡(luò)內(nèi)部生成的潛在惡意數(shù)據(jù)的威脅。防火墻可以保護(hù)網(wǎng)絡(luò)在汽車內(nèi)的部分；因此，當(dāng)某個(gè)具體的 ECU 遭到侵入時(shí)，ECU 的漏洞不會(huì)被用來攻擊網(wǎng)絡(luò)的安全部分。

配備防火墻的網(wǎng)絡(luò)布局
七、防火墻設(shè)計(jì)注意事項(xiàng)
規(guī)則式過濾，也稱為數(shù)據(jù)包過濾或靜態(tài)過濾，是設(shè)計(jì)防火墻的首要注意事項(xiàng)。這種類型的過濾不保留數(shù)據(jù)包的狀態(tài)。它的基礎(chǔ)是過濾引擎中可配置的規(guī)則，過濾引擎可以支持協(xié)議、源 IP地址和 MAC 地址過濾，并且可以用于創(chuàng)建白名單和黑名單過濾。

規(guī)則式過濾

動(dòng)態(tài)過濾。

其他類型的防火墻使用動(dòng)態(tài)過濾，也稱為電路級(jí)網(wǎng)關(guān)或狀態(tài)數(shù)據(jù)包檢測。動(dòng)態(tài)過濾可以根據(jù)連接的狀態(tài)阻止數(shù)據(jù)包。它可以檢查具有較多端口的非特許端口的傳入流量，確定它對(duì)之前要求建立連接的傳出請(qǐng)求的響應(yīng)未被侵入。動(dòng)態(tài)過濾可以支持 IP 標(biāo)頭選項(xiàng)、傳輸控制協(xié)議 (TCP) 或用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 標(biāo)志和可配置的數(shù)據(jù)包生存時(shí)間 (TTL)。其中應(yīng)用的高級(jí)原理是，過濾引擎選擇網(wǎng)絡(luò)數(shù)據(jù)包并根據(jù)規(guī)則執(zhí)行具體的邏輯，決定是允許數(shù)據(jù)包通行還是丟棄數(shù)據(jù)包并加以記錄和報(bào)告。

動(dòng)態(tài)過濾深度數(shù)據(jù)包檢測又稱應(yīng)用層網(wǎng)關(guān)，它支持對(duì)消息中的每個(gè)單獨(dú)字段進(jìn)行控制和驗(yàn)證，并根據(jù)類型、內(nèi)容和來源過濾消息。它通常用于保護(hù)工業(yè)自動(dòng)化和控制系統(tǒng)的安全。

深度數(shù)據(jù)包檢測（應(yīng)用層網(wǎng)關(guān)）閾值過濾可以根據(jù)超過閾值的值來阻止數(shù)據(jù)包以免受拒絕服務(wù)攻擊、廣播風(fēng)暴攻擊和其他類型的數(shù)據(jù)包淹沒攻擊。閾值過濾以網(wǎng)絡(luò)流量模式為基礎(chǔ)。該方法使用閾值來判斷應(yīng)在哪個(gè)層級(jí)丟棄或阻止網(wǎng)絡(luò)流量。與閾值過濾相比，靜態(tài)過濾的效率較低。閾值過濾可以實(shí)時(shí)判斷網(wǎng)絡(luò)流量模式，確定要設(shè)置哪些閾值，以及針對(duì)特定數(shù)據(jù)包應(yīng)做出哪些決定和采取哪些過濾措施。

閾值過濾協(xié)議過濾是一種防火墻方法，它根據(jù)一組與應(yīng)用層協(xié)議相關(guān)的規(guī)則來丟棄數(shù)據(jù)包，可以設(shè)置用于以太網(wǎng)、互聯(lián)網(wǎng)協(xié)議 (IP)、互聯(lián)網(wǎng)控制消息協(xié)議 (ICMP)、傳輸控制協(xié)議 (TCP) 或用戶數(shù)據(jù)報(bào)協(xié)議 (UDP)。如果流量符合規(guī)則設(shè)置的準(zhǔn)則，那么協(xié)議過濾可以終止應(yīng)用層連接，并將流量重新發(fā)送到目標(biāo)。

協(xié)議過濾數(shù)據(jù)日志記錄和警報(bào)也是很重要的防火墻設(shè)計(jì)注意事項(xiàng)。應(yīng)妥善保存記錄了安全事件和策略違例事件的日志。還應(yīng)妥善記錄對(duì)防火墻策略的更改，以便為審核和取證提供支持。事件日志記錄可以用于取證調(diào)查，以及確定攻擊來源和將來要采取的措施。其他優(yōu)點(diǎn)還包括實(shí)時(shí)分析和幫助制定風(fēng)險(xiǎn)緩解策略。

數(shù)據(jù)日志記錄和警報(bào)
互聯(lián)汽車環(huán)境是設(shè)計(jì)防火墻時(shí)需要考慮的另一事項(xiàng)。最先進(jìn)的尖端防火墻技術(shù)以人的使用模式為基礎(chǔ)，并應(yīng)用了人工智能和機(jī)器學(xué)習(xí)技術(shù)；與之相比，互聯(lián)汽車環(huán)境以汽車內(nèi)較小的功率和內(nèi)存足跡以及 ECU 為特點(diǎn)，其內(nèi)在效率非常重要。

內(nèi)在效率 - 可配置性、CPU 負(fù)載、內(nèi)存

過濾引擎處理各個(gè)數(shù)據(jù)包時(shí)遵循的規(guī)則是必須具備足夠的內(nèi)存并且它將占用 CPU 周期。從可重復(fù)使用的角度來看，應(yīng)用這些規(guī)則十分重要。防火墻設(shè)計(jì)者應(yīng)根據(jù)具體的用例來部署最為合適的防火墻?？膳渲眯允瞧渲械年P(guān)鍵 - 在應(yīng)用了 ECU 的具體場景、用例或情景下，可以根據(jù)需要啟用或停用規(guī)則集。最后要考慮的設(shè)計(jì)事項(xiàng)是當(dāng)數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)后，應(yīng)盡早采取過濾措施。太晚過濾可能會(huì)無法阻止破壞。當(dāng)網(wǎng)絡(luò)遭受數(shù)據(jù)包淹沒攻擊時(shí)，應(yīng)考慮拒絕服務(wù)攻擊。如果數(shù)據(jù)包能夠在網(wǎng)絡(luò)中存留較長時(shí)間，那么攻擊目的就達(dá)到了。當(dāng)遭受數(shù)據(jù)包淹沒攻擊時(shí)，如果太晚才丟棄數(shù)據(jù)包，那么設(shè)備可能會(huì)變得不穩(wěn)定。防火墻應(yīng)部署在 TCP/IP 層級(jí)的第 2 層和第 3層之間。TCP/IP 具有防火墻發(fā)揮作用所需的全部信息：源 IP 地址、目標(biāo)、MAC 地址等等。如果在網(wǎng)絡(luò)內(nèi)部深度部署防火墻，那么防火墻可以更高效地發(fā)揮作用；在處理直接暴露到外部網(wǎng)絡(luò)的高風(fēng)險(xiǎn)網(wǎng)關(guān)時(shí)，這是尤為需要注意的事項(xiàng)。

八、結(jié)語
早期檢測。早期檢測是在互聯(lián)汽車中使用防火墻抵御安全威脅的關(guān)鍵。因?yàn)楹诳蜁?huì)尋找缺乏抵抗力的端口來入侵網(wǎng)絡(luò)，屏蔽所有未設(shè)防的端口并記錄在這些端口中違反了規(guī)則的數(shù)據(jù)包非常重要?？膳渲眯??？膳渲眯詫?duì)于內(nèi)在效率極為重要；要實(shí)現(xiàn)內(nèi)在效率，需要能夠單獨(dú)啟用或禁用過濾規(guī)則。如果可以使用企業(yè)級(jí)安全管理系統(tǒng)執(zhí)行遠(yuǎn)程配置，那么這將是一項(xiàng)巨大優(yōu)勢?，F(xiàn)有的某些解決方案支持對(duì)安全策略的集中管理，并提供了其他一些優(yōu)勢，例如遠(yuǎn)程監(jiān)控設(shè)備的健康狀態(tài)、支持分析等。標(biāo)準(zhǔn)化。標(biāo)準(zhǔn)化極為關(guān)鍵；應(yīng)根據(jù) AUTOSAR 安全策略管理器貫徹防火墻安全理念。我們建議通過 AUTOSAR 為連通性防火墻定義一套規(guī)范。汽車行業(yè)必須證明自己的產(chǎn)品值得信賴才能使人們信任互聯(lián)汽車。安全保護(hù)不是營銷賣點(diǎn)，而是駕駛互聯(lián)汽車的必備條件，防火墻在多層安全方法中始終保持關(guān)鍵作用。

參考文獻(xiàn)

1. Charette, Robert N., “This Car Runs on Code,” IEEE Spectrum, February 1, 2009, https://spectrum.ieee.org/transportation/systems/this-car-runs-on-code2. Burkacky, O., Deichmann, J., Doll, G., and Knochenhauer, C. “Rethinking car softwareand electronics architecture,” McKinsey & Company, February 2018, https://www.mckinsey.com/industries/automotive-and-assembly/our-insights/rethinking-car-software-and-electronics-architecture3. Fox, Zohar, “How Do We Trust the Software in A Driverless Car,” Forbes, June 2018, https://www.forbes.com/sites/startupnationcentral/2018/06/05/how-do-we-trust-the-software-in-a-driverless-car/4. ”Hackers Remotely Kill a Jeep on the Highway – With Me in It,” Wired, July 21, 2015, https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/5. Greenberg, Andy, ”This Gadget Hacks GM Cars to Locate, Unlock, and Start Them,”Wired, July 30, 2015, https://www.wired.com/2015/07/gadget-hacks-gm-cars-locate-unlock-start/6. “Hackers Can Steal a Tesla Model S in Seconds by Cloning Its Key Fob,” Wired,September 29, 2018, https://www.wired.com/story/hackers-steal-tesla-model-s-seconds-key-fob/7. Upstream Security, Global Automotive Cybersecurity Report 2019, https://www.upstream.auto/ upstream-security-global-automotive-cybersecurity-report-2019/.8. www.autosar.org

識(shí)別二維碼原文下載：
《使用多層安全方法并配置防火墻以保護(hù)互聯(lián)汽車》