01

汽車網(wǎng)絡(luò)安全法規(guī)概述 近年來，汽車智能化程度快速提升，SOTAFOTA的便利（上車下載，下車更新）、遠程車控（夏天空調(diào)的提前打開，遠程車門解鎖）、中控屏的各種APP以及網(wǎng)絡(luò)互聯(lián)，給我們的生活確實帶來了極大的便利；但凡事陰陽不可調(diào)和，有便利就會有風險，汽車的網(wǎng)絡(luò)安全、個人隱私安全、OTA安全以及整車數(shù)據(jù)安全成為了重點關(guān)注對象。

就我本身來說，首次感覺到個人隱私安全威脅是有一次發(fā)現(xiàn)車里在后視鏡位置居然有一個攝像頭，出于好奇網(wǎng)上查找了一番，居然發(fā)現(xiàn)黑客大神可以通過技術(shù)手段直接啟動這個攝像頭進行拍攝，嚴重侵犯了個人隱私（當然，我現(xiàn)在已經(jīng)用創(chuàng)口貼給它封上了，但是談話內(nèi)容應(yīng)該還是被監(jiān)聽并上傳至服務(wù)器）

基于此，各種關(guān)于汽車網(wǎng)絡(luò)安全的法律法規(guī)要求開始被提出。

1.1 國外標準

2020年，UN/WP.29(聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇)發(fā)布了首個汽車網(wǎng)絡(luò)安全強制法規(guī)R155，其內(nèi)容框架如下：

聯(lián)合國第155號法規(guī):

Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system

其主要適用范圍包括了歐洲、日本、 韓國等“1958 協(xié)議” 締約國（以下簡稱“58 協(xié)議國” ），要求2024年7月在“58協(xié)議國”上市的汽車必須通過網(wǎng)絡(luò)安全管理體系認證和車輛類型審批認證。

CSMS：Cyber Security Management System 網(wǎng)絡(luò)安全管理體系
VTA ? ：Vehicle Type Approval 車輛型式審批認證

根據(jù)法規(guī)要求， OEM 必須獲得 CSMS 認證證書， 并且在特定車型研發(fā)及量產(chǎn)項目上充分證明其認證體系中涵蓋的流程能夠充分且有效運行之后， 才具備申請VTA的資格。 上述法規(guī)限制在體系的認證，而車輛完整生命周期的網(wǎng)絡(luò)安全實施落地則需要進一步細化，因此SAE和ISO基于R155于2021年8月底發(fā)布了汽車網(wǎng)絡(luò)安全領(lǐng)域的首個國標，即現(xiàn)在很火的ISO/SAE 21434。

ISO：International Organization for Standardization

SAE：Society of Automotive Engineers

ISO/SAE 21434：Road Vehicles-Cybersecurity engineering

提出從風險評估管理、 產(chǎn)品開發(fā)、 運行維護、 流程審核等四方面來保障汽車網(wǎng)絡(luò)安全工作開展，重點內(nèi)容包括建立合理的安全保障管理制度， 在車輛全生命周期(研發(fā)、 量產(chǎn)、 運行和維護階段)建立流程管理體系， 如需求管理、 追溯性管理、 變更管理、配置管理、 信息安全/網(wǎng)絡(luò)安全管理監(jiān)控和信息安全管理/網(wǎng)絡(luò)安全事件管理， 以及相關(guān)的應(yīng)急響應(yīng)機制， 保障產(chǎn)品免受網(wǎng)絡(luò)安全攻擊。其框架如下：

R155和ISO/SAE 21434有比較多的關(guān)聯(lián)和交叉，根據(jù)SAE官方材料，下圖比較好的展示了他們的關(guān)聯(lián)：

據(jù)了解，目前國內(nèi)外已經(jīng)有很多OEM、供應(yīng)商完成了ISO/SAE 21434認證，如下表

?

?

為此，我也去看了下對于該項認證各個企業(yè)的工作思路基本如下：

建立一套汽車網(wǎng)絡(luò)安全的規(guī)范管理文件作為頂層設(shè)計

建立執(zhí)行上述規(guī)范文件的程序文件

分析是否涵蓋R155和21434的所有領(lǐng)域

提供執(zhí)行上述程序文件的表單記錄文件

1.2 國內(nèi)標準

國家強制標準計劃《汽車整車信息安全技術(shù)要求》、《汽車軟件升級通用技術(shù)要求》由工業(yè)和信息化部組織起草，由全國汽車標準化技術(shù)委員會智能網(wǎng)聯(lián)汽車分會進行執(zhí)行，目前已處于批準階段，約2024年進行發(fā)布。

《信息安全技術(shù)要求》標準涵蓋外部連接安全、 車輛通信安全、 軟件升級安全和數(shù)據(jù)代碼安全， 并給出了對應(yīng)的測試方法。《升級通用技術(shù)要求》對車企的軟件升級管理體系提出了要求，以規(guī)避OTA面臨的各種安全風險。

除此之外，關(guān)于汽車數(shù)據(jù)管理若干規(guī)定、關(guān)于試行汽車安全沙盒監(jiān)管制度的通告等等不一而足，目前還沒看的了那么多，后面看了之后再說。? ?

02

汽車網(wǎng)絡(luò)安全威脅分析

基于TARA建模的網(wǎng)絡(luò)安全威脅分析方法論，我之前已經(jīng)簡述過了，這里不再重復。 ? 今天主要是聊一下關(guān)于在車聯(lián)網(wǎng)背景下需要保護的資產(chǎn)如何定義，以及一些典型的場景。 ? 首先搞清楚功能安全和信息安全的區(qū)別： ?

很明顯，信息安全(即網(wǎng)絡(luò)安全)更傾向于對人身隱私安全、整車數(shù)據(jù)安全等資產(chǎn)的保護，下面具體來看看汽車網(wǎng)絡(luò)安全視角下的資產(chǎn)定義。?

2.1 汽車網(wǎng)絡(luò)安全資產(chǎn)定義

首先我們來看下當前比較典型的整車拓撲結(jié)構(gòu)：

?? ? p?可以看到，該架構(gòu)下網(wǎng)關(guān)處于非常關(guān)鍵的中轉(zhuǎn)位置，負責車內(nèi)網(wǎng)絡(luò)數(shù)據(jù)的傳輸；那汽車如何與外界進行數(shù)據(jù)交互呢？根據(jù)淺談汽車OTA升級的信息安全風險里面的描述，我們在上述架構(gòu)中添加外界的管端和與云端，如下： ? ?

很明顯，汽車網(wǎng)絡(luò)資產(chǎn)定義可以分為如下三個大方向：

云端

???????黑客偽裝成云端向車輛下發(fā)指令，比如解鎖車輛、啟動車輛，影響人身安全；此外云端通常會保存大量車主個人數(shù)據(jù)、車輛狀態(tài)信息，一旦被攻破勢必會嚴重威脅個人隱私。

? ? ? ? 因此資產(chǎn)有：云端服務(wù)器（個人數(shù)據(jù)、車輛狀態(tài)數(shù)據(jù)）、GNSS數(shù)據(jù)、地圖信息等

管端?

? ? ? ? 黑客偽裝基站，下發(fā)偽造的指令，同樣影響人身安全，這里暫時沒有識別到資產(chǎn)

車端

????????車端就比較復雜，車上每個控制器都可以作為核心資產(chǎn)進行保護，例如T-Box作為整車對外的核心模塊、IVI屬于人機交互核心模塊、網(wǎng)關(guān)屬于整車網(wǎng)絡(luò)通信大腦、PCM和BCM作為整車控制的核心模塊，均需要被保護。

上述的劃分方式是基于整車的架構(gòu)進行資產(chǎn)定義的，如果針對單個ECU，還需要進一步拆分，細化到哪些數(shù)據(jù)作為敏感數(shù)據(jù)存放到獨立安全島中、哪些報文作為敏感報文是必須要進行驗簽的等等。?

2.2 汽車網(wǎng)絡(luò)安全影響場景及評級示例

有了上述資產(chǎn)的分析，我們根據(jù)ISO/SAE 21434第15.5.2章節(jié)的描述，對影響場景從功能安全、財產(chǎn)、車輛運行、個人隱私等幾個方面的嚴重等級做出分析。

影響等級定義如下：

Severe

Major

Moderate

Negligible

可以按照如下表格拆分：

此外，再延伸一點關(guān)于破壞場景及滲透路徑分析表格示例：?

03

汽車網(wǎng)絡(luò)安全滲透測試描述

3.1參考法規(guī)

根據(jù)Vector之前關(guān)于汽車網(wǎng)絡(luò)安全的在線培訓，目前國內(nèi)需要遵循的標準有：

? 其中，10、11現(xiàn)在處于正在批準階段，預估明年實施，屆時勢必會在國內(nèi)掀起比較大的風浪。 ?

目前OEM、國內(nèi)對這方面的重視程度還比較一般，預估明后年會出現(xiàn)一個人才需求的大缺口。畢竟做這方面，需要的知識有點太多了：信息密碼學基礎(chǔ)知識、汽車整車架構(gòu)知識、汽車安全芯片知識等等，都是以前傳統(tǒng)車企的研發(fā)人員所缺失的；再加之目前主流的芯片廠如瑞薩、英飛凌、NXP對Security方案保密要求比較嚴格，大家學起來確實要花大工夫的。

3.2 滲透測試內(nèi)容

基于上述提到的車聯(lián)網(wǎng)整體拓撲，滲透測試的內(nèi)容應(yīng)該分為4大類

1.數(shù)據(jù)傳輸信息安全測試

主要是針對云-管-車的傳輸安全測試，包括偽造信息入侵、重放攻擊、劫持攻擊、拒絕服務(wù)攻擊、云端對外通信接口攻擊以及病毒入侵等。

2.車端-設(shè)備端外部連接安全測試

WIFI、藍牙的安全測試：釣魚WiFi、密碼顯示攻擊、端口掃描、漏洞探測等等

無鑰匙進入的安全測試：通信加密及身份認證等

GNSS的安全測試：GNSS欺騙及干擾。

3.敏感數(shù)據(jù)保護安全測試

? ? ? ??很典型的，代碼的防逆向、防提取、真實性、完整性的測試；

車主信息的保護測試：未授權(quán)訪問、個人信息安全存儲、個人信息的非法篡改等

車內(nèi)信息的保護測試：未授權(quán)訪問、車內(nèi)信息安全存儲、車內(nèi)信息的非法篡改（如里程數(shù)據(jù)、密鑰竊?。┑?/p>

4.基于物理接口攻擊安全測試

? 常見的攻擊端口在OBD切入，偽裝成網(wǎng)關(guān)進行域內(nèi)的數(shù)據(jù)通信；除此之外，IVI側(cè)還有USB的端口的非授權(quán)侵入測試。

04

小結(jié)

本篇內(nèi)容從國內(nèi)外汽車網(wǎng)絡(luò)安全的法規(guī)，詳細描述了R155和ISO/SAE 21434的聯(lián)系和交叉，基于21434簡單闡述了資產(chǎn)定義、威脅等級定義等示例；最后描述了從整車角度出發(fā)，汽車網(wǎng)絡(luò)滲透測試所要關(guān)注的測試內(nèi)容。 ? 接下來，我將以一個車燈系統(tǒng)的demo為例（21434提供），看看是如何定義出一個滿足ISO/SAE 21434的系統(tǒng)。 ? ? ? ? ?

?

編輯：黃飛

?