01

汽車網(wǎng)絡(luò)安全法規(guī)概述 近年來，汽車智能化程度快速提升，SOTAFOTA的便利（上車下載，下車更新）、遠(yuǎn)程車控（夏天空調(diào)的提前打開，遠(yuǎn)程車門解鎖）、中控屏的各種APP以及網(wǎng)絡(luò)互聯(lián)，給我們的生活確實(shí)帶來了極大的便利；但凡事陰陽不可調(diào)和，有便利就會(huì)有風(fēng)險(xiǎn)，汽車的網(wǎng)絡(luò)安全、個(gè)人隱私安全、OTA安全以及整車數(shù)據(jù)安全成為了重點(diǎn)關(guān)注對(duì)象。

就我本身來說，首次感覺到個(gè)人隱私安全威脅是有一次發(fā)現(xiàn)車?yán)镌诤笠曠R位置居然有一個(gè)攝像頭，出于好奇網(wǎng)上查找了一番，居然發(fā)現(xiàn)黑客大神可以通過技術(shù)手段直接啟動(dòng)這個(gè)攝像頭進(jìn)行拍攝，嚴(yán)重侵犯了個(gè)人隱私（當(dāng)然，我現(xiàn)在已經(jīng)用創(chuàng)口貼給它封上了，但是談話內(nèi)容應(yīng)該還是被監(jiān)聽并上傳至服務(wù)器）

基于此，各種關(guān)于汽車網(wǎng)絡(luò)安全的法律法規(guī)要求開始被提出。

1.1 國外標(biāo)準(zhǔn)

2020年，UN/WP.29(聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇)發(fā)布了首個(gè)汽車網(wǎng)絡(luò)安全強(qiáng)制法規(guī)R155，其內(nèi)容框架如下：

聯(lián)合國第155號(hào)法規(guī):

Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system

其主要適用范圍包括了歐洲、日本、 韓國等“1958 協(xié)議” 締約國（以下簡稱“58 協(xié)議國” ），要求2024年7月在“58協(xié)議國”上市的汽車必須通過網(wǎng)絡(luò)安全管理體系認(rèn)證和車輛類型審批認(rèn)證。

CSMS：Cyber Security Management System 網(wǎng)絡(luò)安全管理體系
VTA ? ：Vehicle Type Approval 車輛型式審批認(rèn)證

根據(jù)法規(guī)要求， OEM 必須獲得 CSMS 認(rèn)證證書， 并且在特定車型研發(fā)及量產(chǎn)項(xiàng)目上充分證明其認(rèn)證體系中涵蓋的流程能夠充分且有效運(yùn)行之后， 才具備申請(qǐng)VTA的資格。 上述法規(guī)限制在體系的認(rèn)證，而車輛完整生命周期的網(wǎng)絡(luò)安全實(shí)施落地則需要進(jìn)一步細(xì)化，因此SAE和ISO基于R155于2021年8月底發(fā)布了汽車網(wǎng)絡(luò)安全領(lǐng)域的首個(gè)國標(biāo)，即現(xiàn)在很火的ISO/SAE 21434。

ISO：International Organization for Standardization

SAE：Society of Automotive Engineers

ISO/SAE 21434：Road Vehicles-Cybersecurity engineering

提出從風(fēng)險(xiǎn)評(píng)估管理、 產(chǎn)品開發(fā)、 運(yùn)行維護(hù)、 流程審核等四方面來保障汽車網(wǎng)絡(luò)安全工作開展，重點(diǎn)內(nèi)容包括建立合理的安全保障管理制度， 在車輛全生命周期(研發(fā)、 量產(chǎn)、 運(yùn)行和維護(hù)階段)建立流程管理體系， 如需求管理、 追溯性管理、 變更管理、配置管理、 信息安全/網(wǎng)絡(luò)安全管理監(jiān)控和信息安全管理/網(wǎng)絡(luò)安全事件管理， 以及相關(guān)的應(yīng)急響應(yīng)機(jī)制， 保障產(chǎn)品免受網(wǎng)絡(luò)安全攻擊。其框架如下：

R155和ISO/SAE 21434有比較多的關(guān)聯(lián)和交叉，根據(jù)SAE官方材料，下圖比較好的展示了他們的關(guān)聯(lián)：

據(jù)了解，目前國內(nèi)外已經(jīng)有很多OEM、供應(yīng)商完成了ISO/SAE 21434認(rèn)證，如下表

?

?

為此，我也去看了下對(duì)于該項(xiàng)認(rèn)證各個(gè)企業(yè)的工作思路基本如下：

建立一套汽車網(wǎng)絡(luò)安全的規(guī)范管理文件作為頂層設(shè)計(jì)

建立執(zhí)行上述規(guī)范文件的程序文件

分析是否涵蓋R155和21434的所有領(lǐng)域

提供執(zhí)行上述程序文件的表單記錄文件

1.2 國內(nèi)標(biāo)準(zhǔn)

國家強(qiáng)制標(biāo)準(zhǔn)計(jì)劃《汽車整車信息安全技術(shù)要求》、《汽車軟件升級(jí)通用技術(shù)要求》由工業(yè)和信息化部組織起草，由全國汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)智能網(wǎng)聯(lián)汽車分會(huì)進(jìn)行執(zhí)行，目前已處于批準(zhǔn)階段，約2024年進(jìn)行發(fā)布。

《信息安全技術(shù)要求》標(biāo)準(zhǔn)涵蓋外部連接安全、 車輛通信安全、 軟件升級(jí)安全和數(shù)據(jù)代碼安全， 并給出了對(duì)應(yīng)的測(cè)試方法。《升級(jí)通用技術(shù)要求》對(duì)車企的軟件升級(jí)管理體系提出了要求，以規(guī)避OTA面臨的各種安全風(fēng)險(xiǎn)。

除此之外，關(guān)于汽車數(shù)據(jù)管理若干規(guī)定、關(guān)于試行汽車安全沙盒監(jiān)管制度的通告等等不一而足，目前還沒看的了那么多，后面看了之后再說。? ?

02

汽車網(wǎng)絡(luò)安全威脅分析

基于TARA建模的網(wǎng)絡(luò)安全威脅分析方法論，我之前已經(jīng)簡述過了，這里不再重復(fù)。 ? 今天主要是聊一下關(guān)于在車聯(lián)網(wǎng)背景下需要保護(hù)的資產(chǎn)如何定義，以及一些典型的場(chǎng)景。 ? 首先搞清楚功能安全和信息安全的區(qū)別： ?

很明顯，信息安全(即網(wǎng)絡(luò)安全)更傾向于對(duì)人身隱私安全、整車數(shù)據(jù)安全等資產(chǎn)的保護(hù)，下面具體來看看汽車網(wǎng)絡(luò)安全視角下的資產(chǎn)定義。?

2.1 汽車網(wǎng)絡(luò)安全資產(chǎn)定義

首先我們來看下當(dāng)前比較典型的整車拓?fù)浣Y(jié)構(gòu)：

?? ? p?可以看到，該架構(gòu)下網(wǎng)關(guān)處于非常關(guān)鍵的中轉(zhuǎn)位置，負(fù)責(zé)車內(nèi)網(wǎng)絡(luò)數(shù)據(jù)的傳輸；那汽車如何與外界進(jìn)行數(shù)據(jù)交互呢？根據(jù)淺談汽車OTA升級(jí)的信息安全風(fēng)險(xiǎn)里面的描述，我們?cè)谏鲜黾軜?gòu)中添加外界的管端和與云端，如下： ? ?

很明顯，汽車網(wǎng)絡(luò)資產(chǎn)定義可以分為如下三個(gè)大方向：

云端

???????黑客偽裝成云端向車輛下發(fā)指令，比如解鎖車輛、啟動(dòng)車輛，影響人身安全；此外云端通常會(huì)保存大量車主個(gè)人數(shù)據(jù)、車輛狀態(tài)信息，一旦被攻破勢(shì)必會(huì)嚴(yán)重威脅個(gè)人隱私。

? ? ? ? 因此資產(chǎn)有：云端服務(wù)器（個(gè)人數(shù)據(jù)、車輛狀態(tài)數(shù)據(jù)）、GNSS數(shù)據(jù)、地圖信息等

管端?

? ? ? ? 黑客偽裝基站，下發(fā)偽造的指令，同樣影響人身安全，這里暫時(shí)沒有識(shí)別到資產(chǎn)

車端

????????車端就比較復(fù)雜，車上每個(gè)控制器都可以作為核心資產(chǎn)進(jìn)行保護(hù)，例如T-Box作為整車對(duì)外的核心模塊、IVI屬于人機(jī)交互核心模塊、網(wǎng)關(guān)屬于整車網(wǎng)絡(luò)通信大腦、PCM和BCM作為整車控制的核心模塊，均需要被保護(hù)。

上述的劃分方式是基于整車的架構(gòu)進(jìn)行資產(chǎn)定義的，如果針對(duì)單個(gè)ECU，還需要進(jìn)一步拆分，細(xì)化到哪些數(shù)據(jù)作為敏感數(shù)據(jù)存放到獨(dú)立安全島中、哪些報(bào)文作為敏感報(bào)文是必須要進(jìn)行驗(yàn)簽的等等。?

2.2 汽車網(wǎng)絡(luò)安全影響場(chǎng)景及評(píng)級(jí)示例

有了上述資產(chǎn)的分析，我們根據(jù)ISO/SAE 21434第15.5.2章節(jié)的描述，對(duì)影響場(chǎng)景從功能安全、財(cái)產(chǎn)、車輛運(yùn)行、個(gè)人隱私等幾個(gè)方面的嚴(yán)重等級(jí)做出分析。

影響等級(jí)定義如下：

Severe

Major

Moderate

Negligible

可以按照如下表格拆分：

此外，再延伸一點(diǎn)關(guān)于破壞場(chǎng)景及滲透路徑分析表格示例：?

03

汽車網(wǎng)絡(luò)安全滲透測(cè)試描述

3.1參考法規(guī)

根據(jù)Vector之前關(guān)于汽車網(wǎng)絡(luò)安全的在線培訓(xùn)，目前國內(nèi)需要遵循的標(biāo)準(zhǔn)有：

? 其中，10、11現(xiàn)在處于正在批準(zhǔn)階段，預(yù)估明年實(shí)施，屆時(shí)勢(shì)必會(huì)在國內(nèi)掀起比較大的風(fēng)浪。 ?

目前OEM、國內(nèi)對(duì)這方面的重視程度還比較一般，預(yù)估明后年會(huì)出現(xiàn)一個(gè)人才需求的大缺口。畢竟做這方面，需要的知識(shí)有點(diǎn)太多了：信息密碼學(xué)基礎(chǔ)知識(shí)、汽車整車架構(gòu)知識(shí)、汽車安全芯片知識(shí)等等，都是以前傳統(tǒng)車企的研發(fā)人員所缺失的；再加之目前主流的芯片廠如瑞薩、英飛凌、NXP對(duì)Security方案保密要求比較嚴(yán)格，大家學(xué)起來確實(shí)要花大工夫的。

3.2 滲透測(cè)試內(nèi)容

基于上述提到的車聯(lián)網(wǎng)整體拓?fù)洌瑵B透測(cè)試的內(nèi)容應(yīng)該分為4大類

1.數(shù)據(jù)傳輸信息安全測(cè)試

主要是針對(duì)云-管-車的傳輸安全測(cè)試，包括偽造信息入侵、重放攻擊、劫持攻擊、拒絕服務(wù)攻擊、云端對(duì)外通信接口攻擊以及病毒入侵等。

2.車端-設(shè)備端外部連接安全測(cè)試

WIFI、藍(lán)牙的安全測(cè)試：釣魚WiFi、密碼顯示攻擊、端口掃描、漏洞探測(cè)等等

無鑰匙進(jìn)入的安全測(cè)試：通信加密及身份認(rèn)證等

GNSS的安全測(cè)試：GNSS欺騙及干擾。

3.敏感數(shù)據(jù)保護(hù)安全測(cè)試

? ? ? ??很典型的，代碼的防逆向、防提取、真實(shí)性、完整性的測(cè)試；

車主信息的保護(hù)測(cè)試：未授權(quán)訪問、個(gè)人信息安全存儲(chǔ)、個(gè)人信息的非法篡改等

車內(nèi)信息的保護(hù)測(cè)試：未授權(quán)訪問、車內(nèi)信息安全存儲(chǔ)、車內(nèi)信息的非法篡改（如里程數(shù)據(jù)、密鑰竊取）等

4.基于物理接口攻擊安全測(cè)試

? 常見的攻擊端口在OBD切入，偽裝成網(wǎng)關(guān)進(jìn)行域內(nèi)的數(shù)據(jù)通信；除此之外，IVI側(cè)還有USB的端口的非授權(quán)侵入測(cè)試。

04

小結(jié)

本篇內(nèi)容從國內(nèi)外汽車網(wǎng)絡(luò)安全的法規(guī)，詳細(xì)描述了R155和ISO/SAE 21434的聯(lián)系和交叉，基于21434簡單闡述了資產(chǎn)定義、威脅等級(jí)定義等示例；最后描述了從整車角度出發(fā)，汽車網(wǎng)絡(luò)滲透測(cè)試所要關(guān)注的測(cè)試內(nèi)容。 ? 接下來，我將以一個(gè)車燈系統(tǒng)的demo為例（21434提供），看看是如何定義出一個(gè)滿足ISO/SAE 21434的系統(tǒng)。 ? ? ? ? ?

?

編輯：黃飛

?