導(dǎo)讀

本次內(nèi)容圍繞汽車密碼應(yīng)用安全性測試技術(shù)研究與實踐進行開展。在這里，先簡單介紹一下前言部分，即信息安全和密碼的關(guān)系。

從圖中我們知道信息安全有5個目標(biāo)：

機密性是指保證信息不被泄露給非授權(quán)的個人進程或者實體；

完整性是保證沒有受到非授權(quán)的篡改或破壞；

可用性是確保信息訪問和服務(wù)在任何時候都是有效的；

真實性是保證信息來源可靠并沒有被偽造和篡改；

不可否認性就是指抗抵賴性，即確保已經(jīng)發(fā)生的操作行為無法否認。

密碼是一個重要的網(wǎng)絡(luò)安全技術(shù)手段，而網(wǎng)絡(luò)安全的手段是在人力保護、設(shè)備加固、物理隔離、容災(zāi)備份、監(jiān)控技術(shù)、生物技術(shù)防火墻這些方面的防護技術(shù)。密碼技術(shù)是最有效，最可靠也是最經(jīng)濟的手段。

我將從以下4個方面：背景、現(xiàn)狀及應(yīng)用、測試技術(shù)研究和應(yīng)用實踐案例進行具體闡述。

1.背景

如今汽車步入智能化網(wǎng)聯(lián)化，逐漸發(fā)展成了我們所說的智能網(wǎng)聯(lián)汽車。智能網(wǎng)聯(lián)汽車搭載了先進的車載傳感器、控制器、執(zhí)行器等裝置，融合了現(xiàn)代的通信網(wǎng)絡(luò)技術(shù)，實現(xiàn)了車、人、路、云等的信息交互，同時也實現(xiàn)了安全、舒適、節(jié)能、高效的駕駛模式。

汽車智能化網(wǎng)聯(lián)化的發(fā)展趨勢是非常迅猛的，但汽車在智能化網(wǎng)聯(lián)化發(fā)展后，它多樣的通信和調(diào)試方式也帶來了很多的攻擊路徑。從云平臺、T-BOX、OBD、IVI以及車內(nèi)的一些ECU等都可以成為攻擊汽車的路徑，這也意味著汽車面臨著更多的安全挑戰(zhàn)。

云平臺可能會有SQL注入跨站腳本的攻擊、移動APP有脫殼的風(fēng)險、敏感數(shù)據(jù)的泄露與控制權(quán)限的竊取等問題；在ECU上可能會遭到固件逆向、數(shù)據(jù)的非法讀取、植入后門等攻擊；在通信這塊就更多了，會有一些竊取、偽造、監(jiān)聽；在零部件上就會涉及硬件、軟件、通信等等一系列的安全問題。

大家來看一組數(shù)據(jù)。從2010年到2020年年底全球汽車網(wǎng)絡(luò)信息安全的攻擊事件，總共為633個公開報告的事件，其中2020年就占了200多個，這是汽車智能化發(fā)展下的結(jié)果。再從右圖我們可以看到被攻擊占比最多的是服務(wù)器、無鑰匙進入、移動應(yīng)用以及車載診斷端口，這些都是重點被攻擊的對象。

密碼是網(wǎng)絡(luò)信息安全的基礎(chǔ)保障。

目前，密碼已經(jīng)應(yīng)用在智能網(wǎng)聯(lián)汽車的各個領(lǐng)域，包括數(shù)據(jù)傳輸、數(shù)據(jù)存儲、身份認證。

如圖中所示，在車云傳輸?shù)倪^程中會經(jīng)歷雙向的身份認證，數(shù)據(jù)加密以及自己搭建的云平臺PKI、KM、CA等環(huán)節(jié)，這些環(huán)節(jié)采用的密碼技術(shù)是基礎(chǔ)的技術(shù)保障。

車內(nèi)就包括CAN、以太網(wǎng)的數(shù)據(jù)傳輸，同時診斷接口的身份認證采用的也是密碼技術(shù)來實施的安全防護。

對于車路而言，也有相關(guān)的標(biāo)準(zhǔn)要求，來實現(xiàn)密碼算法對數(shù)據(jù)傳輸消息的真實性的驗證。

2.汽車密碼現(xiàn)狀及應(yīng)用

經(jīng)過不斷地變更與完善，如今汽車密碼應(yīng)用的法規(guī)基礎(chǔ)是非常豐富的。

01

2017年頒布了《網(wǎng)絡(luò)安全法》，在《網(wǎng)絡(luò)安全法》中明確了很多關(guān)于密碼的內(nèi)容；

02

2020年所頒布的《密碼法》，對汽車密碼應(yīng)用有著非常大的指導(dǎo)作用；

03

2021年頒布的《數(shù)據(jù)安全法》在采集、數(shù)據(jù)處理、數(shù)據(jù)傳輸?shù)确矫孢M行了法規(guī)層面的約束，在制定法律條款的同時提出了相應(yīng)的懲罰措施。

除了上述提到的幾個法律法規(guī)，其實各部委也頒發(fā)了很多相應(yīng)的條例，約束了智能網(wǎng)聯(lián)汽車密碼應(yīng)用的相關(guān)內(nèi)容。當(dāng)然還包含一些其他法律《個人信息保護法》、《智能網(wǎng)聯(lián)汽車準(zhǔn)入管理的意見》、《數(shù)據(jù)安全管理若干規(guī)定》以及《關(guān)于開展汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全等自查工作的通知》等等一系列的法律法規(guī)，它們的出臺使智能網(wǎng)聯(lián)汽車的密碼應(yīng)用擁有較為全面的法律基礎(chǔ)。

在標(biāo)準(zhǔn)基礎(chǔ)方面，智能網(wǎng)聯(lián)汽車密碼的相關(guān)標(biāo)準(zhǔn)也在布局開展的過程中。依據(jù)目前對行業(yè)的了解與資料的梳理，我們認為汽車密碼標(biāo)準(zhǔn)體系可以分為汽車總體的密碼應(yīng)用車載網(wǎng)、車載網(wǎng)絡(luò)密碼應(yīng)用、車載部件密碼應(yīng)用、數(shù)據(jù)安全密碼應(yīng)用和車載系統(tǒng)密碼應(yīng)用這幾個部分。標(biāo)準(zhǔn)基礎(chǔ)采用整體要求配套多個規(guī)范“1＋N”的模式，來對智能網(wǎng)聯(lián)汽車的密碼應(yīng)用開展技術(shù)要求。

《汽車密碼應(yīng)用技術(shù)要求》正在汽標(biāo)委立項，處于在研階段。

《汽車整車信息安全技術(shù)要求與實驗方法》在強標(biāo)里對密碼的內(nèi)容也提出了一些密碼要求。

《智能網(wǎng)聯(lián)汽車證書認證系統(tǒng)密碼應(yīng)用檢測規(guī)范》在更進狀態(tài)，后續(xù)也將要征求意見。

《車載信息交互系統(tǒng)應(yīng)用檢測規(guī)范》在征修意見的階段。

那么我將詳細地介紹相關(guān)標(biāo)準(zhǔn)的現(xiàn)狀工作。

首先《汽車密碼應(yīng)用技術(shù)要求》標(biāo)準(zhǔn)是在《2020年智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)化重點工作》的指導(dǎo)下，作為三大類的急需標(biāo)準(zhǔn)而啟動的研究工作。當(dāng)時這個標(biāo)準(zhǔn)經(jīng)過了數(shù)次的大小會議，24家企業(yè)一起完成了接近四萬次的標(biāo)準(zhǔn)的需求化研究報告，其中包含國內(nèi)的整車企業(yè)、零部件企業(yè)、芯片企業(yè)以及安全廠商。目前來說，該標(biāo)準(zhǔn)已經(jīng)梳理處了基本的框架和草案。

《車載信息交互系統(tǒng)密碼應(yīng)用檢測規(guī)范》于2021年正式批復(fù)，現(xiàn)已基本完成。

這個標(biāo)準(zhǔn)的范圍規(guī)定了車載信息交互系統(tǒng)密碼應(yīng)用的檢測內(nèi)容與檢測方法，它適用于車載信息交互系統(tǒng)，可以指導(dǎo)檢測人員依據(jù)規(guī)范開展產(chǎn)品的檢測工作。目前該標(biāo)準(zhǔn)的第5章是通用要求對密碼算法、硬件設(shè)備和運行環(huán)境提出的相關(guān)檢測要求。第五章的第二小節(jié)則是對硬件安全提出的檢測要求，包括防測硬道攻擊、防故障注入、防止系統(tǒng)的內(nèi)存攻擊。第三小節(jié)是針對軟固件完整性保護、敏感參數(shù)的保護、系統(tǒng)安全啟動等等的檢測要求。第四小節(jié)是分成車內(nèi)的通行安全和車外的通行安全。車內(nèi)通行安全是包含一些診斷核心的上傳，車外的通信安全主要是指安全通道的建立以及握手協(xié)議的通信要求。

目前，車內(nèi)通信與一些受字節(jié)限制的CAN采用了以完整性校驗新鮮度值或者MAC的方式來完成數(shù)據(jù)的機密性保護。以太網(wǎng)也正在進行編制的過程中，我們知道以太網(wǎng)發(fā)展的較為成熟，所以它的電子電器架構(gòu)和車內(nèi)通信的改變可能會很大程度上影響車內(nèi)通信密碼應(yīng)用的變革。

在數(shù)據(jù)存儲的方面，采用的是標(biāo)準(zhǔn)密碼算法的方式對數(shù)據(jù)進行完整性、機密性、真實性的存儲約束。

在云端上采用的也是國密傳統(tǒng)的X509體系。此外也存在一些企業(yè)自研的協(xié)議，企業(yè)在原先做產(chǎn)品測試的階段對其傳輸協(xié)議做了優(yōu)化，同時也會進行安全性評估，并對它的方案進行安全性論證。

關(guān)于V2X這塊，由于道路技術(shù)設(shè)施尚不完善，大家目前較多還是處于預(yù)研的階段。在這里一般會做協(xié)議一致性的驗證，但針對密碼算法、簽名、驗簽和曲線的參數(shù)選擇這些方面驗證的相對較少。

OTA方面其實就是在車云的基礎(chǔ)上對升級包進行真實性的校驗，這是一個關(guān)鍵點。它涉及OTA什么時候進行安全性驗證、安全性驗證的流程是怎么樣的以及密鑰是由誰而來的，信任誰的問題。

密碼已經(jīng)在整個汽車行業(yè)上應(yīng)用的非常廣泛了，但實際上汽車行業(yè)密碼應(yīng)用還處在初期階段，存在著許多問題。

3.測試技術(shù)研究

表格是我們通過長期的調(diào)研并進行了相關(guān)的摸底測試，才為大家梳理出了各場景密碼應(yīng)用的重要數(shù)據(jù)、安全保護現(xiàn)狀與安全風(fēng)險的。關(guān)于軟件升級、遠程控車、遠程診斷，互聯(lián)網(wǎng)服務(wù)以及一些疲勞監(jiān)測等等，這里面的部分數(shù)據(jù)我認為它是非常重要的。我們應(yīng)該運用密碼技術(shù)進行信息保護，其中有些需要做機密性驗證，而有些它可能只需要做完整性驗證。

在重要數(shù)據(jù)方面，大家還是采用TLS比較多。通過上文的介紹大家應(yīng)該也知道使用TLS基本上是行業(yè)的共識，但在之前做密碼的相關(guān)工作中我們也了解到密碼不會完全在一個標(biāo)準(zhǔn)里，它不會像密碼協(xié)議寫的這么明確。因此，在這里我還是希望大家能夠有自主的協(xié)議，這其實是保證安全非常有效的方式。

通過梳理上述的場景與風(fēng)險，密碼的測試對象主要就是這三類：安全芯片、密碼模塊、密鑰系統(tǒng)。

從車用芯片的安全性測試來說，它有安全芯片的測試規(guī)范，但是我們所理解的車規(guī)級安全芯片它不光要進行安全性驗證，還要進行車規(guī)級的驗證，所以我們針對車用安全芯片，在其可靠性、芯片的關(guān)鍵測試技術(shù)、多為攻擊車用安全芯片的侵入式測試技術(shù)以及安全芯片的通信接口的測信道分析等等方面開展了相應(yīng)的研究工作。同時我們也聯(lián)合了華誠推出了車用芯片信息安全的測試認證規(guī)范，為很多車用車規(guī)級安全芯片的企業(yè)發(fā)布了相應(yīng)的證書。

對于很多企業(yè)來說，他們其實都已經(jīng)自建了相應(yīng)的PKI，而PKI這塊也是有相應(yīng)規(guī)范的。企業(yè)參照著規(guī)范建立，才能保證企業(yè)后臺的安全。國家要求X209的這套PKI，它已經(jīng)有產(chǎn)品檢測和項目檢測。

PKI產(chǎn)品的廠商需要去做相關(guān)的測試與認證一系列的安全要求，此外還有一個要求就是項目測試。實際PKI搭起來以后,這里進行的項目測試主要是指它在實際應(yīng)用環(huán)境下的初始化簽發(fā)是否合規(guī)。在信息系統(tǒng)中其實也有這種密評的相關(guān)規(guī)范，這些我們主要是用在傳統(tǒng)的車云領(lǐng)域，在車路V2X這一套短證書體系下目前是沒有相關(guān)標(biāo)準(zhǔn)的。上文我們所介紹的系統(tǒng)架構(gòu)就在此涉及。

汽車數(shù)據(jù)傳輸密碼測試方面，它是針對車云、車車/車路、車與進場設(shè)備、車和其他外部實體一系列的通信。它采用的是密碼算法、密碼證書等等相關(guān)的測試方法來保障安全。

下圖是一些其他場景的測試，由于不同場景不同要求它的實現(xiàn)也是不同的，所以需要針對各家的內(nèi)容進行梳理以后，才能去提供一套比較成熟的測試方案，實現(xiàn)針對性的分析。

4.應(yīng)用實踐案例

在車云端我們使用抓包工具進行分析，它會用明文來傳輸IMEI信息，企業(yè)的后臺在建立時所備選的算法MD5、SHA-1等等這些是不安全的算法。

在OTA升級的過程中抓取一個通信數(shù)據(jù)時會有是明文的風(fēng)險。它不是說一上來抓就全是明文，它隱藏得良好，這就需要人工分析。同時當(dāng)有這種不安全的密碼算法套件在里面時，就可能會導(dǎo)致我們花大量的時間與精力在密碼的應(yīng)用安全上，它帶來的資源消耗較大。

以上是此次談思汽車“汽車密碼應(yīng)用安全性要求及測試技術(shù)”主題分享內(nèi)容。如需獲取演講嘉賓的全部PPT內(nèi)容等，請轉(zhuǎn)發(fā)本文至朋友圈，之后與工作人員溝通。更多內(nèi)容，敬請期待！

WISS 2023第四屆世界物聯(lián)網(wǎng)安全及數(shù)據(jù)安全治理峰會火熱報名中 ,歡迎報名↓

審核編輯：郭婷