智能網聯汽車軟件安全測試關鍵技術研究

賈世準 麥松濤 李 冬 陳志遠 肖 靜

1(工業和信息化部電子第五研究所 廣州 510610)2 (廣州小鵬汽車科技有限公司 廣州 510640)

從汽車發展趨勢方面看，當前世界汽車產業有2個重要發展方向：智能網聯化和動力電動化.“十三五”期間，從“汽車+互聯網”的驅動方面看，智能網聯汽車將伴隨“中國制造2025”有長足的發展[1].在智能網聯汽車方面，雖然我國基礎薄弱、起步稍晚，但存在2方面優勢:一是中國消費者對智能產品的偏好；二是互聯網產業優勢.發展智能網聯汽車是一個實現彎道超車、追趕世界先進水平的機會.

智能網聯汽車與傳統汽車的差別關鍵在于基于軟件的智能化應用與服務.從技術角度看，智能網聯汽車所采用的關鍵技術，包括車控終端技術、定位技術、環境感知技術、智能決策技術、無線通信技術、語音識別技術、互聯網技術、移動計算技術等[2-4]；從核心價值看，車聯網最具價值的是應用信息服務；從面臨的挑戰看，車聯網面臨著諸多信息安全風險[5]，這些無一不是與軟件息息相關.軟件是智能網聯汽車技術發展的核心與關鍵，汽車軟件的質量是保障智能網聯汽車產業健康發展的保證.

因此，本文將圍繞智能網聯汽車軟件質量與安全問題，闡述開展安全性與可靠性測評的關鍵技術與方法，并提出相應的解決方案.

1 智能網聯汽車信息安全風險分析

隨著汽車電子系統的日漸豐富，在為用戶提供更好便利的同時，也帶來了一系列的信息安全風險，黑客通過汽車電子系統非法操控汽車的案例屢見不鮮.從目前車聯網的發展趨勢來看，以V2X為代表的通信系統已經成為車輛智能化、網聯化的一個重要標志.但隨著更多車輛接口的開放和更多接入方式的引入，車輛信息安全又成了一個重要的問題[6].因此一旦智能網聯汽車電子系統出現缺陷，將導致嚴重的信息泄露、財產損失、行車安全等風險.

2 智能網聯汽車軟件安全性測試關鍵技術

通過綜合分析，智能網聯汽車信息安全風險主要存在于以下3個方面：1)汽車總線及網關系統；2)汽車操作系統及應用程序；3)V2X網絡.因此針對智能網聯汽車信息安全的測試應著重針對以上3個方面展開.

2.1 總線及網關系統安全測試

目前汽車采用的總線類型主要有：CAN總線、LIN總線、MOST總線、FlexRay總線等，通過上述總線連接動力系統、診斷系統、舒適系統、信息系統和儀表系統等，各系統的通信數據、傳輸速度和成本限制等實際要求不盡相同.而總線網關能實現子網內部通信的隔離, 有效降低網絡流量; 支持子網間通信信息的協議轉換, 路由轉發, 以實現子網間的通信; 并能在各類總線的基礎上實現網路控制、差錯控制和實時控制等功能.總線網關使車身系統實現真正的網絡化, 使汽車更方便、高效地行駛.

對總線和網關開展安全測試，應依據測試對象的真實運行環境和測試方法實施的需求，搭建總線安全HIL仿真測試環境，綜合采用代碼逆向工程、總線指令分析、ECU重刷寫、軟件行為監控等關鍵技術，解決總線數據量大、指令加密等難點，對總線和網關的體系結構進行分析，識別危險源和脆弱點，綜合分析存在的安全風險，從標識和鑒別、通信保密性、審計、用戶數據保護等方面進行安全測試.

2.2 汽車操作系統及應用程序測試

目前，谷歌和蘋果公司都已推出各自的汽車操作系統，國內的小米、魅族、騰訊等公司基于安卓操作系統也推出了車載系統.因安卓操作系統開放性強、兼容性好，對應的APP研發、創新也多，因此在汽車領域市場占有率很高.

而大量的終端軟件和應用也意味著大量的安全風險，當前情況下有相當一部分車機是通過總線接入車載網絡系統，一旦車載應用程序感染病毒，將有可能對車輛總線及其他控制單元造成安全威脅，導致行車安全事故等嚴重后果.

針對上述問題，采用靜態分析技術、動態分析技術、惡意代碼特征分析技術等進行安全測試.

2.2.1應用軟件靜態分析技術

車載應用軟件靜態分析技術從源代碼的角度出發，利用代碼靜態分析技術，收集產生可疑背景流量、竊取用戶隱私數據等惡意行為的特征，并有針對性地建立檢測規則.通過研究智能網聯汽車操作系統(如Android Auto)平臺上應用程序惡意代碼的形式化描述方法，構建移動智能終端應用程序的惡意代碼檢測模型；在此模型基礎上，結合對Andriod應用程序字節碼反編譯技術，研究針對高級面向對象語言的源代碼自動化惡意行為檢測技術.

2.2.2應用軟件動態分析技術

應用軟件動態分析技術通過對車載應用程序運行時行為進行監測，發現惡意程序對移動智能終端語音通道、短信通道、網絡通道的惡意操作，以及訪問軟硬件系統進行惡意操控和破壞.在監測過程中記錄待測程序的各項運行時行為.一方面，利用統計數據對程序的安全性進行評估，評估結果可為靜態安全分析技術中對惡意程序的威脅定義提供依據；另一方面，監測程序運行時行為使得惡意行為的快速發現和防御成為可能，提高時效性，可進一步加強和鞏固程序的安全性評估體系.在系統設計方面，研究程序運行時行為監測模型，設計有效的程序運行時行為監測機制，運用代碼嵌入、模塊化組織、分層功能劃分等技術構建監測框架，提高對軟件運行時行為監測的豐富性和準確性.

對可能產生背景流量和敏感信息泄露的網絡連接、信息發送等行為進行監測，并研究建立程序運行時行為監測模型，設計有效的程序運行時行為監測機制，可有效地檢測車載終端軟件在運行時是否會造成用戶數據泄露等問題，從而提高車載終端應用軟件的安全性.

2.2.3惡意代碼特征分析技術

目前，移動惡意代碼的六大惡意行為是惡意扣費、系統破壞、隱私竊取、流氓軟件、后門軟件、訪問不良信息.這些惡意行為在絕大多數情況下都沒有經過用戶同意或授權或違反了國家相關法律法規.據統計，80%的移動惡意代碼至少存在2種或2種以上惡意行為.

惡意代碼為了實現惡意功能，在靜態結構上存在與惡意目的相關的特性，特別是關于文件大小、名稱、擴展名、目錄位置、版本信息、時間信息、二進制結構、形態、是否加殼、API 調用等多種靜態特征，通過進行靜態文件挖掘分析，可以達到一定程度上的判定分析[7].

惡意代碼通過自啟動行為，保證在系統重啟時能夠隨系統重新運行，以達到在系統中長期生存的目的.通常來說，惡意代碼所常使用的自啟動方式包括以下幾種：自啟動目錄、系統配置文件啟動及登錄(退出)時自動運行程序等其他啟動方式[8].

惡意代碼在目標系統中運行后，在目標系統的運行空間中總會存在與之對應的進程、線程信息.這些信息對于惡意代碼的隱藏及長期存在造成了障礙.為了不被目標系統管理員發現，惡意代碼制作者通常使用各種進程隱藏技術將惡意代碼的運行狀態進行隱蔽.常用的技術包括下面幾種：進程列表隱藏、非進程隱藏方式(特洛伊陷阱、遠程線程注入、API HOOK等).

在任何一個惡意代碼檢測與分析系統中，技術模塊和分析模塊是2個重要組成部件.其中，技術模塊用于提取分析模塊所需要的數據；而分析模塊則對技術模塊收集的數據進行分析，并基于一些事先定義的規則或機器學習的方法進行判定，從而決定一個程序是不是屬于惡意代碼以及屬于哪一類家族的惡意代碼.

通常，技術模塊搜集的數據可分為4類內容：第一，惡意代碼的靜態結構性內容，一般這些數據通過惡意代碼的靜態文件內容分析獲取；第二，惡意代碼的惡意性體現在一系列的惡意操作行為，這些惡意行為數據組成了可用于分析研究的惡意代碼行為集合；第三，惡意代碼在執行其惡意行為時會和操作系統發生一系列的交互行為，必定會在操作系統狀態的變化上有一些反映，因此這些數據可以從代碼運行前后操作系統環境及狀態的變化中提取；第四，惡意代碼執行時的網絡通信特征，一般這些數據通過抓取網絡數據包獲取.

根據技術模塊所采用的不同數據收集技術，對應的檢測及分類技術也可劃分為兩大類：靜態分析和動態分析技術.靜態分析又可以劃分為基于特征碼掃描的檢測技術、啟發式掃描技術.動態分析技術又可以分為基于行為監控的技術、基于函數調用的檢測分類技術、基于主機異常的檢測技術.

通過上述靜態分析和動態分析技術相結合，可以高效地識別出車載終端惡意代碼，為避免惡意代碼造成危害，提供有效的幫助.

2.3 V2X網絡安全測試技術

通過搭建基于真實場景的V2X網絡系統半實物仿真環境，開展V2X網絡安全測試，以及V2X終端應用APP安全加固，以保證V2X網絡的安全可信.

2.3.1基于真實場景驅動的V2X半實物仿真技術

通過使用移動地圖創建基于真實道路拓撲的現場場景，自主創建和設定包含多種仿真車載單元和路側單元的交通狀況，能夠用于模擬多種V2X應用場景.

通過搭建V2X半實物仿真環境，將真實場景引入實驗室，能夠大幅縮減與場地測試相關聯的成本和時間.

2.3.2基于網絡滲透測試的V2X安全性測試技術

基于滲透測試的主動攻擊測試技術，包括網絡掃描、中間人攻擊、重放攻擊、DDoS攻擊、泛洪攻擊等，從攻擊者的角度，對V2X系統的弱點、技術缺陷或漏洞進行主動分析，利用黑客技術進行攻擊測試，驗證V2X系統的安全性.

利用V2X虛假信號源定位、虛假通信客體精準識別等技術，防止發送垃圾信息、利用假冒緊急車輛信號特征獲得優先通行的特權等不法行為.

2.3.3V2X終端應用APP加固技術

V2X終端應用APP往往很容易遭受攻擊，或者面臨被破解、反編譯、二次打包等威脅.因此，通過加密算法、安全加載技術、防篡改保護、防調試保護和防逆向保護等方案對V2X終端應用進行保護，可有效防止攻擊者使用或者篡改V2X的交互信息，保護智能網聯汽車的安全.

3 總 結

隨著5G時代的日益臨近及人工智能技術的不斷發展，智能網聯汽車必將成為滾動的數據中心.汽車形態的不斷變化將對人們出行、消費、娛樂等生活方式產生革命性的影響.我國作為汽車生產和消費大國，開展智能網聯汽車軟件安全性測試技術的研究，勢必將提升行業整體質量水平，推動汽車行業的產業升級.