整車信息安全標(biāo)準(zhǔn)與測(cè)試方法探討

摘要：汽車智能化發(fā)展對(duì)汽車信息安全提出了更高要求，完善汽車信息安全標(biāo)準(zhǔn)體系，能夠有效管理車輛信息安全。為此，針對(duì)智能網(wǎng)聯(lián)汽車信息安全問(wèn)題，梳理了國(guó)內(nèi)外相關(guān)現(xiàn)行標(biāo)準(zhǔn)，分析了整車信息安全測(cè)試方法，為汽車信息安全的標(biāo)準(zhǔn)制定及測(cè)試提供參考。

關(guān)鍵詞：汽車信息安全;標(biāo)準(zhǔn);測(cè)試方法;智能網(wǎng)聯(lián)

中圖分類號(hào)：U467.5 收稿日期：2023-07-15

DOI：10.19999/j.cnki.1004-0226.2023.10.027

1 前言

隨著智能化的發(fā)展，汽車產(chǎn)業(yè)成為國(guó)民經(jīng)濟(jì)的支柱產(chǎn)業(yè)。汽車智能化給人類帶來(lái)便捷的同時(shí)也存在諸多隱患：2021年4月6日，某車內(nèi)攝像頭高清畫面被黑客曝光沖上微博熱搜；2022年5月17日，某車鑰匙系統(tǒng)被破解，10 s內(nèi)可遠(yuǎn)程盜走車輛；2020年某車企共享高端車被盜，臨時(shí)停止了在地區(qū)的共享汽車服務(wù)；2015年，黑客遠(yuǎn)程攻擊JEEP導(dǎo)致召回140多萬(wàn)輛汽車[1]。汽車一旦爆發(fā)網(wǎng)絡(luò)安全，將危及財(cái)產(chǎn)安全、隱私安全、人身安全，出臺(tái)汽車信息安全相關(guān)標(biāo)準(zhǔn)和法規(guī)，完善汽車信息安全技術(shù)標(biāo)準(zhǔn)體系，建立統(tǒng)一的標(biāo)準(zhǔn)檢測(cè)方法，有助于國(guó)家安全及社會(huì)穩(wěn)定。

2 國(guó)內(nèi)外信息安全法規(guī)及標(biāo)準(zhǔn)動(dòng)態(tài)

對(duì)于汽車信息安全的威脅包括云端威脅、網(wǎng)絡(luò)傳輸威脅、車載終端威脅、生態(tài)互聯(lián)威脅四個(gè)層面，主要受攻擊零部件包括CAN總線、IVI、T-box、云平臺(tái)、手機(jī)APP，對(duì)應(yīng)信息安全風(fēng)險(xiǎn)系數(shù)為68%、67%、52%、49%、38%。世界各國(guó)高度重視汽車網(wǎng)絡(luò)安全，積極推出汽車信息安全政策法規(guī)。

2.1 國(guó)外標(biāo)準(zhǔn)動(dòng)態(tài)

對(duì)于汽車信息安全標(biāo)準(zhǔn)法規(guī)建設(shè)，國(guó)外起步較早，目前已經(jīng)出現(xiàn)很多網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)[2]。如表1所示，美國(guó)SAE（美國(guó)與國(guó)際汽車工程師學(xué)會(huì)）針對(duì)汽車在生產(chǎn)過(guò)程中全生命周期出現(xiàn)的信息安全問(wèn)題，制定了SAE J 2186-2019和SAE J 2836-2018標(biāo)準(zhǔn)，旨在將信息安全融入整個(gè)車機(jī)系統(tǒng)的開(kāi)發(fā)及更新。英國(guó)早在20世紀(jì)90年代就發(fā)布了兩項(xiàng)關(guān)于汽車電子設(shè)備安全的規(guī)范，涉及車輛與外部設(shè)備之間的通信安全、車輛防盜系統(tǒng)安全、車聯(lián)網(wǎng)服務(wù)安全等內(nèi)容，近年來(lái)發(fā)布了車輛網(wǎng)絡(luò)服務(wù)安全相關(guān)標(biāo)準(zhǔn)。德國(guó)在汽車信息安全方面明確了許可條件，提出了智能網(wǎng)聯(lián)汽車的信息存儲(chǔ)利用、系統(tǒng)管理、責(zé)任歸屬等要求，這些標(biāo)準(zhǔn)為智能網(wǎng)聯(lián)汽車信息安全提供了重要參考。

在國(guó)際上最具指導(dǎo)意義的是歐盟發(fā)布的UNECE R155網(wǎng)絡(luò)安全法規(guī)[3]。UNECE R155信息安全法規(guī)適用于M/N類車輛、至少裝有1個(gè)電控單元的O類車輛、L3及以上車輛，該法規(guī)于2021年1月22日生效，目前在汽車行業(yè)內(nèi)具有較強(qiáng)的指導(dǎo)意義。UNECE R155主要分為網(wǎng)絡(luò)安全管理體系認(rèn)證（CSMS）和車輛型式審批（VTA）兩部分，其中，CSMS認(rèn)證主要審查原始設(shè)備制造商（OEM）是否建立了涵蓋汽車全生命周期的網(wǎng)絡(luò)安全相關(guān)體系，以確保汽車全生命周期都有對(duì)應(yīng)的流程措施，VTA則是確保OEM開(kāi)發(fā)的汽車信息安全架構(gòu)及防護(hù)方案在進(jìn)行審查認(rèn)證時(shí)滿足基本要求。

2.2 國(guó)內(nèi)標(biāo)準(zhǔn)動(dòng)態(tài)

國(guó)際標(biāo)準(zhǔn)UNEC R155的推出，加速了國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的轉(zhuǎn)化。2019年11月5日，秘書處組織行業(yè)單位召開(kāi)了整車信息安全標(biāo)準(zhǔn)立項(xiàng)會(huì)議，對(duì)標(biāo)準(zhǔn)內(nèi)容、范圍、初步框架進(jìn)行研討；2021年7月，將《汽車整車信息安全技術(shù)要求》標(biāo)準(zhǔn)性質(zhì)由推薦性轉(zhuǎn)為強(qiáng)制性，并進(jìn)行強(qiáng)標(biāo)立項(xiàng)公示，預(yù)計(jì)在2023年10月完成審查、報(bào)批[4-5]。《汽車整車信息安全要求》作為UNECE R155的中國(guó)化，涵蓋企業(yè)管理要求、車輛一般要求、車輛技術(shù)要求、車輛試驗(yàn)方法、車輛型式的擴(kuò)展以及實(shí)施日期等內(nèi)容，其中汽車信息安全管理體系要求源自UNEC R155正文7.2章節(jié)的轉(zhuǎn)化，車信息安全一般要求在UNECE R155正文7.2和7.3章節(jié)的基礎(chǔ)上融入了附錄5中所列出的外部服務(wù)器安全、無(wú)意識(shí)行為安全和潛在漏洞安全三類風(fēng)險(xiǎn)處置措施；車輛技術(shù)要求根據(jù)國(guó)內(nèi)汽車產(chǎn)品信息安全防護(hù)水平現(xiàn)狀和發(fā)展趨勢(shì)，在UNECE R155附錄5中的同類風(fēng)險(xiǎn)和處置方式基礎(chǔ)上新增條款要求1項(xiàng)、修正條款要求8項(xiàng)。在《汽車整車信息安全技術(shù)要求》強(qiáng)制標(biāo)準(zhǔn)公布之前，國(guó)內(nèi)各部門還出臺(tái)了相關(guān)政策法規(guī)，詳見(jiàn)表2。

3 整車信息安全測(cè)試

整車信息安全作為體系保障過(guò)程的產(chǎn)物，是從風(fēng)險(xiǎn)可見(jiàn)到風(fēng)險(xiǎn)控制的優(yōu)化過(guò)程，因此汽車信息安全合規(guī)分為體系審核和車型檢驗(yàn)兩個(gè)環(huán)節(jié)，在車型檢驗(yàn)環(huán)節(jié)需要先評(píng)估開(kāi)發(fā)流程再開(kāi)展車型驗(yàn)證測(cè)試。

3.1 TARA

TARA（Threat Analysis and Risk Assessment），即威脅分析與風(fēng)險(xiǎn)評(píng)估，是汽車領(lǐng)域中針對(duì)網(wǎng)絡(luò)安全分析與評(píng)估的方法論[6]。TARA作為整車信息安全開(kāi)發(fā)和驗(yàn)證全生命周期的第一步，從概念階段分析識(shí)別車輛潛在的威脅及其風(fēng)險(xiǎn)等級(jí)，進(jìn)而確定道路交通參與者受威脅場(chǎng)景影響的程度。圖1所示為TARA分析過(guò)程，通過(guò)全面分析和評(píng)估整車及其電子電氣架構(gòu)存在的信息安全風(fēng)險(xiǎn)，才能制定并實(shí)施測(cè)試驗(yàn)證方案。

3.2 測(cè)試樣例

從試驗(yàn)檢測(cè)角度出發(fā)，信息安全測(cè)試主要以外部接口、內(nèi)部網(wǎng)絡(luò)、關(guān)鍵零部件、遠(yuǎn)程服務(wù)提供商（TSP）、應(yīng)用程序（APP）數(shù)據(jù)安全等為主。通俗來(lái)講整車信息安全測(cè)試分為硬件和軟件兩大板塊，硬件主要是分析PCB板上有無(wú)非授權(quán)訪問(wèn)的端口，對(duì)于軟件則包含車機(jī)、遠(yuǎn)程車載信息交互系統(tǒng)（T-BOX）、汽車診斷接口（OBD）、汽車網(wǎng)關(guān)、域控制器、ECU/傳感器/執(zhí)行器等多項(xiàng)內(nèi)容。針對(duì)測(cè)試方法，一方面從硬件端核驗(yàn)是否有多余的端口，并嘗試訪問(wèn)對(duì)應(yīng)端口；另一方面從軟件端破壞原有的程序數(shù)據(jù)，核驗(yàn)破壞后的程序數(shù)據(jù)是否成功運(yùn)行。以某款測(cè)試樣車為例具體介紹測(cè)試過(guò)程，樣車測(cè)試包含安全OTA升級(jí)、固件漏洞掃描、云平臺(tái)信息泄漏、射頻鑰匙、HUT接口、CAN通道安全、通信通道安全、OBD口連接安全、數(shù)據(jù)保護(hù)等12項(xiàng)內(nèi)容，具體測(cè)試步驟如下所示：

a.OTA升級(jí)。

①測(cè)試車輛連接測(cè)試PC熱點(diǎn)，使用wireshark對(duì)熱點(diǎn)網(wǎng)卡進(jìn)行抓包；②對(duì)某ECU進(jìn)行OTA升級(jí)，分析抓取的數(shù)據(jù)是否使用TLS1.2及以上協(xié)議保障數(shù)據(jù)的完整性、機(jī)密性；③破壞升級(jí)包的完整性，推送篡改后的升級(jí)包進(jìn)行升級(jí)，查看是否能夠升級(jí)成功，無(wú)法升級(jí)則測(cè)試通過(guò)，否則測(cè)試不通過(guò)。

b.固件漏洞掃描。

①使用固件掃描工具Cybellum，對(duì)固件包進(jìn)行掃描；②查看掃描結(jié)果是否有漏洞和密鑰/證書的泄漏；③對(duì)固件包進(jìn)行逆向分析，觀察是否存在證書泄漏，若不存在高危漏洞且無(wú)密鑰/證書泄漏等其他問(wèn)題則測(cè)試通過(guò)，否則測(cè)試不通過(guò)。

c.云平臺(tái)信息泄漏。

①使用nmap對(duì)該域名進(jìn)行端口掃描，查看是否存在可利用端口，若不存在可利用端口則通過(guò)，若存在可利用端口則嘗試進(jìn)行連接，查看是否存在非授權(quán)訪問(wèn)漏洞，若不存在非授權(quán)訪問(wèn)漏洞則通過(guò)，否則不通過(guò)；②使用子域名掃描工具dirsearch對(duì)第三方服務(wù)器進(jìn)行子域名探測(cè)，查看是否存在響應(yīng)碼為200的的目錄地址，檢測(cè)是否存在可被非授權(quán)訪問(wèn)的內(nèi)容；③使用漏掃工具AWVS對(duì)OTA服務(wù)器，TSP服務(wù)器和IDPS服務(wù)器進(jìn)行漏掃，觀察是否存在未授權(quán)訪問(wèn)漏洞，若存在則不通過(guò)。

d.射頻鑰匙。

①使用HackRF設(shè)備錄制射頻鑰匙解鎖數(shù)據(jù)；②重復(fù)多次回放解鎖數(shù)據(jù)，觀察射頻鑰匙解鎖功能是否生效；③錄制鑰匙解鎖信號(hào)，分析射頻信號(hào)頻譜，制定基本線；④尋找射頻信號(hào)可能的校驗(yàn)位。

e.HUT接口。

①拆卸設(shè)備外殼，使用調(diào)試器檢查硬件是否存在jtag/uart/swd接口，查看是否存在adb調(diào)試接口，并使用usb線束檢查是否存在有限adb調(diào)試，若未開(kāi)啟調(diào)試接口，則通過(guò)，否則不通過(guò)；②使用測(cè)試PC通過(guò)有線方式與HUT車內(nèi)以太網(wǎng)接口連接，對(duì)HUT進(jìn)行端口服務(wù)掃描，檢測(cè)是否開(kāi)啟了調(diào)試端口，若無(wú)調(diào)試端口開(kāi)放，則通過(guò)，否則不通過(guò)。

f.CAN通道安全。

①使用總線收發(fā)工具監(jiān)聽(tīng)ECU的應(yīng)用報(bào)文；②分別構(gòu)造與通信矩陣中ID不符、DATA不符、DLC不符以及周期不符的報(bào)文發(fā)送至ECU，查看ECU是否轉(zhuǎn)發(fā)。若不轉(zhuǎn)發(fā)與通信矩陣不符的報(bào)文則通過(guò)，否則測(cè)試不通過(guò)。

g.通信通道安全。

CAN：①使用200U發(fā)送ID為0x001，周期為5 ms的報(bào)文，嘗試將通道利用率拉至80%；②查看車輛是否出現(xiàn)異常現(xiàn)象；③查看車輛診斷功能在DoS攻擊下是否正常；④若車輛無(wú)異常且診斷功能不受影響則測(cè)試通過(guò)，否則不通過(guò)。

藍(lán)牙：①使用L2ping及CVE-2020-0022攻擊腳本對(duì)待測(cè)藍(lán)牙的MAC進(jìn)行拒絕服務(wù)攻擊；②攻擊過(guò)程中使用測(cè)試手機(jī)連接待測(cè)藍(lán)牙，觀察能否正常連接，若連接功能不受影響則測(cè)試通過(guò)，否則不通過(guò)。

Wifi：①將測(cè)試手機(jī)連接車輛熱點(diǎn)，使用Wifi安全測(cè)試工具對(duì)被測(cè)熱點(diǎn)進(jìn)行拒絕服務(wù)攻擊；②若熱點(diǎn)功能正常，Wifi連接不會(huì)受到影響，則測(cè)試通過(guò)，否則不通過(guò)。

h.OBD口連接安全。

非授權(quán)控車：①使用peakCAN接入OBD接口，掃描整車上支持UDS功能的診斷ID；②對(duì)所有診斷ID發(fā)送021101及021103，觀察車輛使用響應(yīng)ECU reset。

非授權(quán)寫入：①使用peakCAN接入OBD接口，掃描整車上支持UDS功能的診斷ID；②挑選其中一對(duì)診斷ID進(jìn)行22服務(wù)掃描；③選取3個(gè)22服務(wù)，使用2E服務(wù)進(jìn)行寫入測(cè)試，驗(yàn)證是否具有安全訪問(wèn)機(jī)制；④若具有27服務(wù)，則嘗試多次獲取27服務(wù)的seed，驗(yàn)證seed是否隨機(jī)；⑤若整車所有ECU對(duì)11服務(wù)消極響應(yīng)，且2E服務(wù)寫入是需要通過(guò)27安全訪問(wèn)服務(wù)，且27服務(wù)的seed每次隨機(jī)，則測(cè)試通過(guò)，否則不通過(guò)。

i.數(shù)據(jù)保護(hù)。

①獲取用戶隱私數(shù)據(jù)的系統(tǒng)文件路徑，根據(jù)OEM提供的ADB登錄方式進(jìn)行登錄并查看數(shù)據(jù)，確認(rèn)是否對(duì)隱私數(shù)據(jù)進(jìn)行加密處理。若加密則通過(guò)，否則不通過(guò)；②根據(jù)OEM提供的ID及DID，通過(guò)22服務(wù)讀取EDR數(shù)據(jù)，并通過(guò)2E服務(wù)嘗試篡改EDR數(shù)據(jù)，查看讀取及修改EDR數(shù)據(jù)時(shí)是否需要先通過(guò)27安全訪問(wèn)。若需要?jiǎng)t測(cè)試通過(guò)，否則不通過(guò)；③獲取關(guān)鍵日志路徑，根據(jù)OEM提供的ADB登錄方式進(jìn)行登錄并查看關(guān)鍵日志，確認(rèn)是否對(duì)隱私數(shù)據(jù)進(jìn)行加密處理，若加密則通過(guò)，否則不通過(guò)。

j.第三方APK服務(wù)及病毒。

①嘗試使用USB設(shè)備在車輛多媒體主機(jī)上安裝第三方apk，若不能正常安裝，則通過(guò)，否則不通過(guò)；②嘗試使用USB設(shè)備在車輛多媒體主機(jī)上執(zhí)行惡意文件，若惡意文件執(zhí)行不成功，則通過(guò)，否則不通過(guò)。

k.安裝啟動(dòng)。

①篡改U盤刷寫版本的多媒體主機(jī)固件包文件；②嘗試在整車上通過(guò)U盤刷寫篡改后的多媒體主機(jī)固件包，查看能否刷寫成功；③篡改固件包的boot文件；④在測(cè)試臺(tái)架上刷寫篡改后的固件包，查看能否刷寫成功，重新上電后是否正常啟動(dòng)。

l.IDS和VSOC。

①根據(jù)抽選協(xié)議類型構(gòu)造攻擊數(shù)據(jù)，對(duì)車輛發(fā)送攻擊數(shù)據(jù)，查看是否觸發(fā)安全日志記錄；②查看VSOC平臺(tái)是否存在對(duì)應(yīng)安全日志，若車端能夠檢測(cè)到攻擊并記錄日志，并且VSOC上保存安全日志，則測(cè)試通過(guò)，否則不通過(guò)。

4 結(jié)語(yǔ)

從測(cè)試項(xiàng)來(lái)看，整車信息安全測(cè)試涵蓋內(nèi)容眾多，隨著智能化的發(fā)展，未來(lái)車機(jī)測(cè)試項(xiàng)會(huì)越來(lái)越多，亟待開(kāi)展整車信息安全測(cè)試方法研究；對(duì)于標(biāo)準(zhǔn)法規(guī)，不少行業(yè)內(nèi)權(quán)威機(jī)構(gòu)都在制定汽車信息安全法規(guī)和標(biāo)準(zhǔn)，對(duì)于業(yè)內(nèi)公認(rèn)的一些框架性標(biāo)準(zhǔn)未來(lái)會(huì)趨于相對(duì)一致，但會(huì)因車型、具體應(yīng)用場(chǎng)景存在些許差異。因此推進(jìn)汽車網(wǎng)絡(luò)安全建設(shè)，加快我國(guó)整車信息安全標(biāo)準(zhǔn)法規(guī)落地實(shí)施，完善汽車信息安全技術(shù)標(biāo)準(zhǔn)體系，建立多維度、全方位整車信息安全檢測(cè)方法，是未來(lái)汽車信息安全的重點(diǎn)研究方向。

參考文獻(xiàn)：

[1]鄔江興.智能網(wǎng)聯(lián)汽車內(nèi)生安全問(wèn)題與對(duì)策[J].重慶郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2023，35（3）：383-390.

[2]孫瀟鵬，郭海龍，肖心遠(yuǎn)，等.智能網(wǎng)聯(lián)汽車信息安全標(biāo)準(zhǔn)研究綜述[J].廣東交通職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2023，22（1）：44-47+71.

[3]李寶田.汽車信息安全領(lǐng)域首個(gè)ISO國(guó)際標(biāo)準(zhǔn)正式發(fā)布[J].中國(guó)汽車，2021（9）：16-17.

[4]馬艷. 我國(guó)智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)2025年將超百項(xiàng)[N].中國(guó)工業(yè)報(bào)，2023-08-04.

[5]孫航，解瀚光，王兆.智能網(wǎng)聯(lián)汽車信息安全標(biāo)準(zhǔn)體系建設(shè)與產(chǎn)業(yè)政策研究[J].中國(guó)汽車，2018（12）：38-43.

[6]陳姿霖，王遠(yuǎn)波，美少楠.淺談ECE R155法規(guī)對(duì)車輛網(wǎng)絡(luò)安全的準(zhǔn)入要求[J].汽車電器，2022（8）：65-66.

作者簡(jiǎn)介：

馬文博，男，1990年生，工程師，研究方向?yàn)橹悄芫W(wǎng)聯(lián)汽車測(cè)試評(píng)價(jià)。