点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

Entrust & 锐成信息将在2024年4月11日-12日谈思AutoSec 8周年年会暨中国汽车网络安全及数据安全合规峰会现场展示相关产品，展位号A14，欢迎莅临参观交流。

新能源汽车作为我国七大战略性新兴产业之一，是汽车产业转型升级的重要推动力。而充电桩作为我国新能源汽车产业链下游的重要环节，在国家政策的大力支持和市场需求的带动下，有着非常广阔的前景。由于国内新能源车整车出口增量极大，带动国产充电桩出口业务，包括充电桩代工业务等，产品销售到欧美，非洲，拉美等区域。

智能充电桩是基于智慧网联系统，也存在信息安全问题。国外研究机构和国内工信部都对充电桩数据安全发出了警示。而针对充电桩安全攻击则涉及隐私泄露、信用卡盗刷乃至电网安全等。

1、隐私泄漏：黑客会利用电动汽车与充电桩的物理连接，从中窃取用户的个人身份信息(如用来付费的信用卡号码)。同时，由于公共充电桩缺乏传输层的安全，因此其极易受到侧信道的攻击(side-channel attacks)。

2、凭证盗窃：通过恶意数据的注入，黑客可以窃取用户的合法凭证，进而欺骗电动汽车执行非法操作。例如，他们可以利用此类方法，去劫持与充电桩的已连接会话，并且发起伪装攻击。

3、分布式拒绝服务(Distributed denial-of-service，DDoS)攻击：如果黑客通过 DDoS 攻击去系统性地劫持充电桩，就可能导致整个电网的瘫痪。2019 年，纽约大学坦登(Tandon)分校的研究人员发现，他们只需要同时利用 1,000 个电动汽车充电桩连接，就能让一个城市的某个区域陷入停电状态。

4、中间人攻击：作为第三者，黑客可以冒充充电桩和电动车的任意一方，发起中间人攻击。轻者，他们可能会成功窃电，重者则会伪造故障错误，阻止电动汽车的后续充电。

5、中断充电会话：黑客极有可能通过提取车辆的 GPS 数据，来查看并获悉充电桩的位置，从而干扰后续的充电过程。其效果类似于 DDoS 攻击。

可见，只要获得足够的知识，黑客只需利用几辆正在充电的电动汽车，就能够让整个电网瘫痪。同时，他们也可以进行大规模的身份盗窃活动，甚至直接让汽车无法运行。

我们该如何未雨绸缪，应对风险？

• 车辆作为一种IoT设备，在连接数据中心时，需要判定设备身份信息，而数字证书所带有的身份识别功能能够有效的满足厂家需求；

• IoT设备上运行的软件存在泄密和被盗刷的风险，需要对软件进行加密和数字签名；

• IoT设备产商需要对数字证书的根具备管控权，纯云端的CA系统存在一定的业务风险；

• IoT厂商有时需要对PKI系统进行定制化改造，自建PKI方便修改系统。

锐成安全携手Entrust和AWS，基于锐成的自建CA系统，Entrust nShield加密设备（FIPS140/3认证），AWS PCA（IoT证书Matter认证）推出混合PKI解决方案为，解决充电桩安全隐患，并满足欧美数字证书合规要求。

混合的部署方式，为客户提供了一套数字签名、数字加密的可靠解决方案，为客户的出海数据安全为题，保驾护航。

如感兴趣或了解更多信息 请联系，锐成安全售前顾问：陈维思。电话：15901994211，邮箱：[email protected]

内容上，谈思AutoSec 8周年峰会聚焦国内外最新汽车网络安全标准进展及合规实践、R155、R156、跨境数据合规、出海安全合规、时空数据安全、数据脱敏、软件安全、供应链安全、安全测试、芯片安全、HSM、PKI、IDPS、VSOC、OTA、加密技术等，将继续干货不断，精彩纷呈。同时AES第五届中国国际汽车以太网峰会也将同期举行，参会嘉宾能享受2场汽车科技盛会，超值门票，福利多多，不容错过。

△往届精彩瞬间

更多文章