超级会员免费看
汽车安全测试方法与框架解析
1. 实用安全测试方法
1.1 漏洞扫描
漏洞扫描是测试目标系统的有效且极为有用的方法,可针对已知攻击利用漏洞数据库,针对未知攻击采用已知攻击模式。对于某些接口,可使用 IT 行业现有的漏洞扫描工具;但对于一些汽车特定的接口和协议,可能没有相关工具,汽车企业可编写脚本或开发简单工具进行扫描测试,如进行 UDS 服务扫描的脚本。
1.2 模糊测试
模糊测试,也称为 fuzzing,是通过向目标系统发送系统构造的畸形输入,并观察其是否有意外和潜在的安全关键行为,来发现实现中未知漏洞的测试方法。它在 IT 行业已使用数十年,用于测试软件应用程序和网络栈。
- 目标协议和系统 :汽车行业模糊测试的主要目标协议包括 IP、CAN、Wi - Fi、蓝牙、MQTT 等,文件格式如 mp3、jpg、png 和 mp4 等。常见的目标系统有 ECUs 和车载信息娱乐系统。
- 与 IT 行业的差异 :虽然模糊测试在汽车系统测试中逐渐流行,但不如在 IT 行业普遍。现代车辆与传统 IT 网络有相似之处,但汽车网络协议(如 CAN 和 CAN - FD)的通信模式与传统 IT 网络协议有很大不同。在 IT 行业,很多网络协议使用特定的请求 - 回复格式,模糊测试工具生成相关模糊消息、发送并观察回复相对简单;而许多 ECUs 可能只接收和处理某些 CAN 消息,不发送响应,可能改变内部行为或控制外部外设,因此检测 ECUs 异常行为更困难。
- 以太网通信的影响 :近年来,车载网络有向以太网通信发展的趋势。
订阅专栏 解锁全文
扫一扫
2437
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
