日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號(hào)

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

汽車基礎(chǔ)軟件信息安全關(guān)鍵技術(shù)

2023-02-03 20:03:05·  來源:汽車測試網(wǎng)  
 
圖 3.2-1 靜態(tài)代碼檢查

  • 需求一致性測試,通過單元測試、集成測試等方法,確定軟件的實(shí)現(xiàn)與軟件設(shè)計(jì)需求保持一致;

圖片

圖 3.2-2 需求一致性測試

在保證軟件實(shí)現(xiàn)與需求一致后,需要通過以下三種測試手段確認(rèn)軟件的安全性:

  • 漏洞掃描,通過漏洞掃描軟件如 defensecode 進(jìn)行現(xiàn)有漏洞的掃描,防止軟件存在已知漏洞;

  • 模糊測試,通過大量的隨機(jī)請求,測試軟件的魯棒性,探測其是否有未知漏洞;

  • 滲透測試,通過專業(yè)滲透人員的分析,尋找程序邏輯中的漏洞,并嘗試進(jìn)行利用。若發(fā)現(xiàn)新的漏洞, 則反饋給開發(fā)人員進(jìn)行修正。


后開發(fā)階段(生產(chǎn)、運(yùn)維、報(bào)廢)

在生產(chǎn)階段,要保證基礎(chǔ)軟件和應(yīng)用軟件在產(chǎn)線的正常刷寫。產(chǎn)線軟件的注入需要保證刷寫方經(jīng)過認(rèn)證,例如供應(yīng)商完成基礎(chǔ)軟件的刷寫,內(nèi)部包含初始密鑰。OEM 在產(chǎn)線刷寫更新密鑰、證書、配置等內(nèi)容前,需首先完成與控制器的相互認(rèn)證。

信息安全是一個(gè)動(dòng)態(tài)的過程,在軟件使用過程中,隨著技術(shù)的進(jìn)步,之前安全的軟件可能會(huì)出現(xiàn)(或發(fā)現(xiàn))新的漏洞。因此軟件維護(hù)人員需持續(xù)監(jiān)控最新的漏洞消息,及時(shí)更新相關(guān)軟件補(bǔ)丁,保持軟件的安全性。在更新過程中,也需保證對(duì)更新源的認(rèn)證,更新軟件完整性校驗(yàn),版本校驗(yàn),防止黑客利用更新的漏洞進(jìn)行軟件的惡意修改。

在車輛的使用過程中,控制器內(nèi)可能存儲(chǔ)了大量的用戶使用信息。在車輛的報(bào)廢 / 買賣,或者某一部件的更換的情況下,用戶信息會(huì)有泄露風(fēng)險(xiǎn)。為保證車輛的數(shù)據(jù)安全,基礎(chǔ)軟件需支持敏感數(shù)據(jù)(如密鑰、證書、用戶資料、指紋識(shí)別信息等)的一鍵銷毀。

汽車基礎(chǔ)軟件信息安全需求

信息安全的實(shí)現(xiàn)并非是通過獨(dú)立的安全機(jī)制可以實(shí)現(xiàn)的,需要進(jìn)行信息安全縱深防御體系設(shè)計(jì)。從云端 - 車云通訊 - 車端控制器 - 應(yīng)用軟件 - 基礎(chǔ)軟件 - 硬件等多個(gè)維度進(jìn)行層層防御,設(shè)計(jì)相應(yīng)的安全措施提升安全性?;A(chǔ)軟件的安全需求主要來自以下兩個(gè)方面:

  1. 實(shí)現(xiàn)更高一級(jí)來自于功能 / 控制器的信息安全需求。如特定控制器需實(shí)現(xiàn)加密通訊,基礎(chǔ)軟件需要保證安全通訊協(xié)議、密鑰管理、加密認(rèn)證、加密存儲(chǔ)等功能。

  2. 基礎(chǔ)軟件自身安全的要求。為保證上述功能的安全實(shí)現(xiàn)不被繞過,基礎(chǔ)軟件還需保證自身的安全, 如不存在公開漏洞、安全啟動(dòng)等。


安全啟動(dòng)

安全啟動(dòng)(SecureBoot)是 MCU 的基本功能,通過硬件加密模塊來實(shí)現(xiàn),該機(jī)制必須獨(dú)立于用戶程序運(yùn)行,不能被破壞。作為整個(gè)安全啟動(dòng)信任鏈的基礎(chǔ),安全啟動(dòng)必須主要用于在 MCU 啟動(dòng)之后,用戶程序執(zhí)行之前,對(duì)用戶定義的 Flash 中關(guān)鍵程序的數(shù)據(jù)完整性和真實(shí)性進(jìn)行驗(yàn)證,確定是否被篡改。如果驗(yàn)證失敗,說明 MCU 處于不可信的狀態(tài),部分功能甚至整個(gè)程序不能運(yùn)行。

分享到:
 
反對(duì) 0 舉報(bào) 0 收藏 0 評(píng)論 0
滬ICP備11026917號(hào)-25