整車信息安全標(biāo)準(zhǔn)與測試方法探討

摘要：汽車智能化發(fā)展對汽車信息安全提出了更高要求，完善汽車信息安全標(biāo)準(zhǔn)體系，能夠有效管理車輛信息安全。為此，針對智能網(wǎng)聯(lián)汽車信息安全問題，梳理了國內(nèi)外相關(guān)現(xiàn)行標(biāo)準(zhǔn)，分析了整車信息安全測試方法，為汽車信息安全的標(biāo)準(zhǔn)制定及測試提供參考。

關(guān)鍵詞：汽車信息安全;標(biāo)準(zhǔn);測試方法;智能網(wǎng)聯(lián)

中圖分類號：U467.5 收稿日期：2023-07-15

DOI：10.19999/j.cnki.1004-0226.2023.10.027

1 前言

隨著智能化的發(fā)展，汽車產(chǎn)業(yè)成為國民經(jīng)濟的支柱產(chǎn)業(yè)。汽車智能化給人類帶來便捷的同時也存在諸多隱患：2021年4月6日，某車內(nèi)攝像頭高清畫面被黑客曝光沖上微博熱搜；2022年5月17日，某車鑰匙系統(tǒng)被破解，10 s內(nèi)可遠程盜走車輛；2020年某車企共享高端車被盜，臨時停止了在地區(qū)的共享汽車服務(wù)；2015年，黑客遠程攻擊JEEP導(dǎo)致召回140多萬輛汽車[1]。汽車一旦爆發(fā)網(wǎng)絡(luò)安全，將危及財產(chǎn)安全、隱私安全、人身安全，出臺汽車信息安全相關(guān)標(biāo)準(zhǔn)和法規(guī)，完善汽車信息安全技術(shù)標(biāo)準(zhǔn)體系，建立統(tǒng)一的標(biāo)準(zhǔn)檢測方法，有助于國家安全及社會穩(wěn)定。

2 國內(nèi)外信息安全法規(guī)及標(biāo)準(zhǔn)動態(tài)

對于汽車信息安全的威脅包括云端威脅、網(wǎng)絡(luò)傳輸威脅、車載終端威脅、生態(tài)互聯(lián)威脅四個層面，主要受攻擊零部件包括CAN總線、IVI、T-box、云平臺、手機APP，對應(yīng)信息安全風(fēng)險系數(shù)為68%、67%、52%、49%、38%。世界各國高度重視汽車網(wǎng)絡(luò)安全，積極推出汽車信息安全政策法規(guī)。

2.1 國外標(biāo)準(zhǔn)動態(tài)

對于汽車信息安全標(biāo)準(zhǔn)法規(guī)建設(shè)，國外起步較早，目前已經(jīng)出現(xiàn)很多網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)[2]。如表1所示，美國SAE（美國與國際汽車工程師學(xué)會）針對汽車在生產(chǎn)過程中全生命周期出現(xiàn)的信息安全問題，制定了SAE J 2186-2019和SAE J 2836-2018標(biāo)準(zhǔn)，旨在將信息安全融入整個車機系統(tǒng)的開發(fā)及更新。英國早在20世紀(jì)90年代就發(fā)布了兩項關(guān)于汽車電子設(shè)備安全的規(guī)范，涉及車輛與外部設(shè)備之間的通信安全、車輛防盜系統(tǒng)安全、車聯(lián)網(wǎng)服務(wù)安全等內(nèi)容，近年來發(fā)布了車輛網(wǎng)絡(luò)服務(wù)安全相關(guān)標(biāo)準(zhǔn)。德國在汽車信息安全方面明確了許可條件，提出了智能網(wǎng)聯(lián)汽車的信息存儲利用、系統(tǒng)管理、責(zé)任歸屬等要求，這些標(biāo)準(zhǔn)為智能網(wǎng)聯(lián)汽車信息安全提供了重要參考。

在國際上最具指導(dǎo)意義的是歐盟發(fā)布的UNECE R155網(wǎng)絡(luò)安全法規(guī)[3]。UNECE R155信息安全法規(guī)適用于M/N類車輛、至少裝有1個電控單元的O類車輛、L3及以上車輛，該法規(guī)于2021年1月22日生效，目前在汽車行業(yè)內(nèi)具有較強的指導(dǎo)意義。UNECE R155主要分為網(wǎng)絡(luò)安全管理體系認(rèn)證（CSMS）和車輛型式審批（VTA）兩部分，其中，CSMS認(rèn)證主要審查原始設(shè)備制造商（OEM）是否建立了涵蓋汽車全生命周期的網(wǎng)絡(luò)安全相關(guān)體系，以確保汽車全生命周期都有對應(yīng)的流程措施，VTA則是確保OEM開發(fā)的汽車信息安全架構(gòu)及防護方案在進行審查認(rèn)證時滿足基本要求。

2.2 國內(nèi)標(biāo)準(zhǔn)動態(tài)

國際標(biāo)準(zhǔn)UNEC R155的推出，加速了國內(nèi)相關(guān)標(biāo)準(zhǔn)的轉(zhuǎn)化。2019年11月5日，秘書處組織行業(yè)單位召開了整車信息安全標(biāo)準(zhǔn)立項會議，對標(biāo)準(zhǔn)內(nèi)容、范圍、初步框架進行研討；2021年7月，將《汽車整車信息安全技術(shù)要求》標(biāo)準(zhǔn)性質(zhì)由推薦性轉(zhuǎn)為強制性，并進行強標(biāo)立項公示，預(yù)計在2023年10月完成審查、報批[4-5]。《汽車整車信息安全要求》作為UNECE R155的中國化，涵蓋企業(yè)管理要求、車輛一般要求、車輛技術(shù)要求、車輛試驗方法、車輛型式的擴展以及實施日期等內(nèi)容，其中汽車信息安全管理體系要求源自UNEC R155正文7.2章節(jié)的轉(zhuǎn)化，車信息安全一般要求在UNECE R155正文7.2和7.3章節(jié)的基礎(chǔ)上融入了附錄5中所列出的外部服務(wù)器安全、無意識行為安全和潛在漏洞安全三類風(fēng)險處置措施；車輛技術(shù)要求根據(jù)國內(nèi)汽車產(chǎn)品信息安全防護水平現(xiàn)狀和發(fā)展趨勢，在UNECE R155附錄5中的同類風(fēng)險和處置方式基礎(chǔ)上新增條款要求1項、修正條款要求8項。在《汽車整車信息安全技術(shù)要求》強制標(biāo)準(zhǔn)公布之前，國內(nèi)各部門還出臺了相關(guān)政策法規(guī)，詳見表2。

3 整車信息安全測試

整車信息安全作為體系保障過程的產(chǎn)物，是從風(fēng)險可見到風(fēng)險控制的優(yōu)化過程，因此汽車信息安全合規(guī)分為體系審核和車型檢驗兩個環(huán)節(jié)，在車型檢驗環(huán)節(jié)需要先評估開發(fā)流程再開展車型驗證測試。

3.1 TARA

TARA（Threat Analysis and Risk Assessment），即威脅分析與風(fēng)險評估，是汽車領(lǐng)域中針對網(wǎng)絡(luò)安全分析與評估的方法論[6]。TARA作為整車信息安全開發(fā)和驗證全生命周期的第一步，從概念階段分析識別車輛潛在的威脅及其風(fēng)險等級，進而確定道路交通參與者受威脅場景影響的程度。圖1所示為TARA分析過程，通過全面分析和評估整車及其電子電氣架構(gòu)存在的信息安全風(fēng)險，才能制定并實施測試驗證方案。

3.2 測試樣例

從試驗檢測角度出發(fā)，信息安全測試主要以外部接口、內(nèi)部網(wǎng)絡(luò)、關(guān)鍵零部件、遠程服務(wù)提供商（TSP）、應(yīng)用程序（APP）數(shù)據(jù)安全等為主。通俗來講整車信息安全測試分為硬件和軟件兩大板塊，硬件主要是分析PCB板上有無非授權(quán)訪問的端口，對于軟件則包含車機、遠程車載信息交互系統(tǒng)（T-BOX）、汽車診斷接口（OBD）、汽車網(wǎng)關(guān)、域控制器、ECU/傳感器/執(zhí)行器等多項內(nèi)容。針對測試方法，一方面從硬件端核驗是否有多余的端口，并嘗試訪問對應(yīng)端口；另一方面從軟件端破壞原有的程序數(shù)據(jù)，核驗破壞后的程序數(shù)據(jù)是否成功運行。以某款測試樣車為例具體介紹測試過程，樣車測試包含安全OTA升級、固件漏洞掃描、云平臺信息泄漏、射頻鑰匙、HUT接口、CAN通道安全、通信通道安全、OBD口連接安全、數(shù)據(jù)保護等12項內(nèi)容，具體測試步驟如下所示：

a.OTA升級。

①測試車輛連接測試PC熱點，使用wireshark對熱點網(wǎng)卡進行抓包；②對某ECU進行OTA升級，分析抓取的數(shù)據(jù)是否使用TLS1.2及以上協(xié)議保障數(shù)據(jù)的完整性、機密性；③破壞升級包的完整性，推送篡改后的升級包進行升級，查看是否能夠升級成功，無法升級則測試通過，否則測試不通過。

b.固件漏洞掃描。

①使用固件掃描工具Cybellum，對固件包進行掃描；②查看掃描結(jié)果是否有漏洞和密鑰/證書的泄漏；③對固件包進行逆向分析，觀察是否存在證書泄漏，若不存在高危漏洞且無密鑰/證書泄漏等其他問題則測試通過，否則測試不通過。

c.云平臺信息泄漏。

①使用nmap對該域名進行端口掃描，查看是否存在可利用端口，若不存在可利用端口則通過，若存在可利用端口則嘗試進行連接，查看是否存在非授權(quán)訪問漏洞，若不存在非授權(quán)訪問漏洞則通過，否則不通過；②使用子域名掃描工具dirsearch對第三方服務(wù)器進行子域名探測，查看是否存在響應(yīng)碼為200的的目錄地址，檢測是否存在可被非授權(quán)訪問的內(nèi)容；③使用漏掃工具AWVS對OTA服務(wù)器，TSP服務(wù)器和IDPS服務(wù)器進行漏掃，觀察是否存在未授權(quán)訪問漏洞，若存在則不通過。

d.射頻鑰匙。

①使用HackRF設(shè)備錄制射頻鑰匙解鎖數(shù)據(jù)；②重復(fù)多次回放解鎖數(shù)據(jù)，觀察射頻鑰匙解鎖功能是否生效；③錄制鑰匙解鎖信號，分析射頻信號頻譜，制定基本線；④尋找射頻信號可能的校驗位。

e.HUT接口。

①拆卸設(shè)備外殼，使用調(diào)試器檢查硬件是否存在jtag/uart/swd接口，查看是否存在adb調(diào)試接口，并使用usb線束檢查是否存在有限adb調(diào)試，若未開啟調(diào)試接口，則通過，否則不通過；②使用測試PC通過有線方式與HUT車內(nèi)以太網(wǎng)接口連接，對HUT進行端口服務(wù)掃描，檢測是否開啟了調(diào)試端口，若無調(diào)試端口開放，則通過，否則不通過。

f.CAN通道安全。

①使用總線收發(fā)工具監(jiān)聽ECU的應(yīng)用報文；②分別構(gòu)造與通信矩陣中ID不符、DATA不符、DLC不符以及周期不符的報文發(fā)送至ECU，查看ECU是否轉(zhuǎn)發(fā)。若不轉(zhuǎn)發(fā)與通信矩陣不符的報文則通過，否則測試不通過。

g.通信通道安全。

CAN：①使用200U發(fā)送ID為0x001，周期為5 ms的報文，嘗試將通道利用率拉至80%；②查看車輛是否出現(xiàn)異?，F(xiàn)象；③查看車輛診斷功能在DoS攻擊下是否正常；④若車輛無異常且診斷功能不受影響則測試通過，否則不通過。

藍牙：①使用L2ping及CVE-2020-0022攻擊腳本對待測藍牙的MAC進行拒絕服務(wù)攻擊；②攻擊過程中使用測試手機連接待測藍牙，觀察能否正常連接，若連接功能不受影響則測試通過，否則不通過。

Wifi：①將測試手機連接車輛熱點，使用Wifi安全測試工具對被測熱點進行拒絕服務(wù)攻擊；②若熱點功能正常，Wifi連接不會受到影響，則測試通過，否則不通過。

h.OBD口連接安全。

非授權(quán)控車：①使用peakCAN接入OBD接口，掃描整車上支持UDS功能的診斷ID；②對所有診斷ID發(fā)送021101及021103，觀察車輛使用響應(yīng)ECU reset。

非授權(quán)寫入：①使用peakCAN接入OBD接口，掃描整車上支持UDS功能的診斷ID；②挑選其中一對診斷ID進行22服務(wù)掃描；③選取3個22服務(wù)，使用2E服務(wù)進行寫入測試，驗證是否具有安全訪問機制；④若具有27服務(wù)，則嘗試多次獲取27服務(wù)的seed，驗證seed是否隨機；⑤若整車所有ECU對11服務(wù)消極響應(yīng)，且2E服務(wù)寫入是需要通過27安全訪問服務(wù)，且27服務(wù)的seed每次隨機，則測試通過，否則不通過。

i.數(shù)據(jù)保護。

①獲取用戶隱私數(shù)據(jù)的系統(tǒng)文件路徑，根據(jù)OEM提供的ADB登錄方式進行登錄并查看數(shù)據(jù)，確認(rèn)是否對隱私數(shù)據(jù)進行加密處理。若加密則通過，否則不通過；②根據(jù)OEM提供的ID及DID，通過22服務(wù)讀取EDR數(shù)據(jù)，并通過2E服務(wù)嘗試篡改EDR數(shù)據(jù)，查看讀取及修改EDR數(shù)據(jù)時是否需要先通過27安全訪問。若需要則測試通過，否則不通過；③獲取關(guān)鍵日志路徑，根據(jù)OEM提供的ADB登錄方式進行登錄并查看關(guān)鍵日志，確認(rèn)是否對隱私數(shù)據(jù)進行加密處理，若加密則通過，否則不通過。

j.第三方APK服務(wù)及病毒。

①嘗試使用USB設(shè)備在車輛多媒體主機上安裝第三方apk，若不能正常安裝，則通過，否則不通過；②嘗試使用USB設(shè)備在車輛多媒體主機上執(zhí)行惡意文件，若惡意文件執(zhí)行不成功，則通過，否則不通過。

k.安裝啟動。

①篡改U盤刷寫版本的多媒體主機固件包文件；②嘗試在整車上通過U盤刷寫篡改后的多媒體主機固件包，查看能否刷寫成功；③篡改固件包的boot文件；④在測試臺架上刷寫篡改后的固件包，查看能否刷寫成功，重新上電后是否正常啟動。

l.IDS和VSOC。

①根據(jù)抽選協(xié)議類型構(gòu)造攻擊數(shù)據(jù)，對車輛發(fā)送攻擊數(shù)據(jù)，查看是否觸發(fā)安全日志記錄；②查看VSOC平臺是否存在對應(yīng)安全日志，若車端能夠檢測到攻擊并記錄日志，并且VSOC上保存安全日志，則測試通過，否則不通過。

4 結(jié)語

從測試項來看，整車信息安全測試涵蓋內(nèi)容眾多，隨著智能化的發(fā)展，未來車機測試項會越來越多，亟待開展整車信息安全測試方法研究；對于標(biāo)準(zhǔn)法規(guī)，不少行業(yè)內(nèi)權(quán)威機構(gòu)都在制定汽車信息安全法規(guī)和標(biāo)準(zhǔn)，對于業(yè)內(nèi)公認(rèn)的一些框架性標(biāo)準(zhǔn)未來會趨于相對一致，但會因車型、具體應(yīng)用場景存在些許差異。因此推進汽車網(wǎng)絡(luò)安全建設(shè)，加快我國整車信息安全標(biāo)準(zhǔn)法規(guī)落地實施，完善汽車信息安全技術(shù)標(biāo)準(zhǔn)體系，建立多維度、全方位整車信息安全檢測方法，是未來汽車信息安全的重點研究方向。

參考文獻：

[1]鄔江興.智能網(wǎng)聯(lián)汽車內(nèi)生安全問題與對策[J].重慶郵電大學(xué)學(xué)報（自然科學(xué)版），2023，35（3）：383-390.

[2]孫瀟鵬，郭海龍，肖心遠，等.智能網(wǎng)聯(lián)汽車信息安全標(biāo)準(zhǔn)研究綜述[J].廣東交通職業(yè)技術(shù)學(xué)院學(xué)報，2023，22（1）：44-47+71.

[3]李寶田.汽車信息安全領(lǐng)域首個ISO國際標(biāo)準(zhǔn)正式發(fā)布[J].中國汽車，2021（9）：16-17.

[4]馬艷. 我國智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)2025年將超百項[N].中國工業(yè)報，2023-08-04.

[5]孫航，解瀚光，王兆.智能網(wǎng)聯(lián)汽車信息安全標(biāo)準(zhǔn)體系建設(shè)與產(chǎn)業(yè)政策研究[J].中國汽車，2018（12）：38-43.

[6]陳姿霖，王遠波，美少楠.淺談ECE R155法規(guī)對車輛網(wǎng)絡(luò)安全的準(zhǔn)入要求[J].汽車電器，2022（8）：65-66.

作者簡介：

馬文博，男，1990年生，工程師，研究方向為智能網(wǎng)聯(lián)汽車測試評價。