首页 > 汽车技术 > 正文

互联汽车设计必须优先考虑安全性

2020-07-15 21:43:15·  来源:IoVSecurity  
 
在联网汽车方面,汽车制造商正在快速创新。消费者正在体验越来越多的未来功能,无论是乘客连通性,自动速度调节还是自动驾驶功能。但是,这些创新及其与云连接的
在联网汽车方面,汽车制造商正在快速创新。消费者正在体验越来越多的未来功能,无论是乘客连通性,自动速度调节还是自动驾驶功能。

但是,这些创新及其与云连接的集成带来了更高的网络攻击风险。英国自动驾驶枢纽组织Zenzic最近进行的一项研究发现,变得具有网络弹性将是到2030年成功在道路上成功部署自动驾驶汽车的最大技术障碍。仅在规模上有所增长:自2016年以来,汽车行业的黑客入侵量同比增长94%。

那么,汽车制造商如何才能在满足当今联网汽车创新需求的同时,优先考虑安全性?

汽车制造商从一开始就必须考虑安全性

为了确保安全性已根植于汽车的基础之中,汽车制造商必须从设计的第一天起就将其作为优先事项。目前,汽车制造商尚缺乏这一重点。实际上,一项调查的19%受访者表示,他们在设计阶段没有进行足够的安全测试,只有28%的受访者说,他们在设计阶段做了很多测试。

汽车制造商可以从一开始就使用设计原则来增强安全性。例如,完全中介的原理可以增强安全性,因为它可以确保软件“在主题每次请求访问时都需要对对象进行访问检查”。这意味着,由于检查对象的权限,攻击者仅一次被邀请利用系统。

汽车制造商还可以通过在从单独的供应商处购买组件时考虑安全性的重要性来确保他们不会牺牲安全性。这些组件必须足够具体以实现系统的安全性,但必须足够通用以允许创新。

在这里,公司可以利用接口隔离的软件工程原理。这意味着供应商应提供简洁明了的界面,以便客户仅使用他们感兴趣的方法。反过来,这允许系统保持解耦,因此更容易在其之上构建丰富的接口。但是,汽车制造商在开发阶段必须保持零件安全性的最高水平,并确保一旦有人试图从上下文中调用它们,至少通过记录其执行情况来确保不滥用休眠功能。

开发人员和网络安全专家必须成为团队的核心部分

对于汽车制造商而言,软件开发是相对较新的领域。现在,网络安全是构建联网汽车的关键组成部分,汽车制造商需要吸收在这一领域具有专业知识的开发人员,并使他们成为核心团队的一部分。

企业领导者必须倡导这种文化变革,以使汽车安全与行业正在建立的创新功能一起发展。这可以通过在团队中实施DevSecOps意识形态来完成,以“树立每个人都对安全负责的心态”。

汽车开发团队可能需要一组网络安全专家,他们可以教育其余开发人员,并愿意参与开发过程,以检查和实施安全功能。如果公司内部没有这种专业知识,则可以与第三方专家合作,以帮助他们完成这一过程。

创新与安全可以相辅相成

网络安全并不意味着牺牲功能创新:安全领域也在不断发展,例如可以集成到汽车设计中的生物识别技术。

例如,Blackberry的QNX技术“内置了用于硬件和软件信任验证的概念,用于在安全关键和信息娱乐系统之间保持分隔的管理程序,以及通过所有功能安全标准的核心操作系统,”该公司的资深人士表示。副总裁,QNX主管John Wall。创新不必受制于安全,反之亦然。

此外,全球领先的电动汽车提供商特斯拉(Tesla)通过在一夜之间向汽车操作系统发送安全更新,甚至为设法入侵其汽车的黑客提供奖励,以确保其先进的联网汽车的安全性。

展望自动驾驶汽车(AV)无需驾驶者就能驾驶乘客的可能性,GPS的创新将必不可少,以确保汽车的安全性和责任感。潜在的AV小偷会首先考虑使用GPS数据来禁用或篡改汽车的GPS系统,从而使其无法追踪。

但是,汽车制造商不仅可以以原始格式记录数据,还可以使用密码算法将其与其他汽车数据结合起来,从而使黑客无法做到这一点。这样可确保即使在硬件被拆开并在自动零件黑市上出售之后,GPS数据仍可追溯。这样,原始数据的签名与GPS位置相结合就增加了安全性。

将安全性集成到互联汽车设计中并不是一件容易的事,但对于希望在旅途中确保乘客安全的汽车制造商来说,这是必不可少的。通过使用设计原则,在开发团队中分散专业知识,并了解安全性和创新并不需要权衡取舍,他们可以做到这一点。

作者:

Alexander Meisel是intive的汽车网络安全工程师。Alexander拥有Hochschule Furtwangen University的计算机网络文凭,并且在以前的公司中担任CTO和开发团队总监。他具有风险投资,成功的并购,产品和技术营销策略方面的经验。Meisel还是技术会议和贸易展览的公开演讲者。

原文链接:https://www.gpsworld.com/connected-car-design-must-prioritize-security/ 
分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25