01

汽車網絡安全法規概述 近年來，汽車智能化程度快速提升，SOTAFOTA的便利（上車下載，下車更新）、遠程車控（夏天空調的提前打開，遠程車門解鎖）、中控屏的各種APP以及網絡互聯，給我們的生活確實帶來了極大的便利；但凡事陰陽不可調和，有便利就會有風險，汽車的網絡安全、個人隱私安全、OTA安全以及整車數據安全成為了重點關注對象。

就我本身來說，首次感覺到個人隱私安全威脅是有一次發現車里在后視鏡位置居然有一個攝像頭，出于好奇網上查找了一番，居然發現黑客大神可以通過技術手段直接啟動這個攝像頭進行拍攝，嚴重侵犯了個人隱私（當然，我現在已經用創口貼給它封上了，但是談話內容應該還是被監聽并上傳至服務器）

基于此，各種關于汽車網絡安全的法律法規要求開始被提出。

1.1 國外標準

2020年，UN/WP.29(聯合國世界車輛法規協調論壇)發布了首個汽車網絡安全強制法規R155，其內容框架如下：

聯合國第155號法規:

Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system

其主要適用范圍包括了歐洲、日本、 韓國等“1958 協議” 締約國（以下簡稱“58 協議國” ），要求2024年7月在“58協議國”上市的汽車必須通過網絡安全管理體系認證和車輛類型審批認證。

CSMS：Cyber Security Management System 網絡安全管理體系
VTA ? ：Vehicle Type Approval 車輛型式審批認證

根據法規要求， OEM 必須獲得 CSMS 認證證書， 并且在特定車型研發及量產項目上充分證明其認證體系中涵蓋的流程能夠充分且有效運行之后， 才具備申請VTA的資格。 上述法規限制在體系的認證，而車輛完整生命周期的網絡安全實施落地則需要進一步細化，因此SAE和ISO基于R155于2021年8月底發布了汽車網絡安全領域的首個國標，即現在很火的ISO/SAE 21434。

ISO：International Organization for Standardization

SAE：Society of Automotive Engineers

ISO/SAE 21434：Road Vehicles-Cybersecurity engineering

提出從風險評估管理、 產品開發、 運行維護、 流程審核等四方面來保障汽車網絡安全工作開展，重點內容包括建立合理的安全保障管理制度， 在車輛全生命周期(研發、 量產、 運行和維護階段)建立流程管理體系， 如需求管理、 追溯性管理、 變更管理、配置管理、 信息安全/網絡安全管理監控和信息安全管理/網絡安全事件管理， 以及相關的應急響應機制， 保障產品免受網絡安全攻擊。其框架如下：

R155和ISO/SAE 21434有比較多的關聯和交叉，根據SAE官方材料，下圖比較好的展示了他們的關聯：

據了解，目前國內外已經有很多OEM、供應商完成了ISO/SAE 21434認證，如下表

?

?

為此，我也去看了下對于該項認證各個企業的工作思路基本如下：

建立一套汽車網絡安全的規范管理文件作為頂層設計

建立執行上述規范文件的程序文件

分析是否涵蓋R155和21434的所有領域

提供執行上述程序文件的表單記錄文件

1.2 國內標準

國家強制標準計劃《汽車整車信息安全技術要求》、《汽車軟件升級通用技術要求》由工業和信息化部組織起草，由全國汽車標準化技術委員會智能網聯汽車分會進行執行，目前已處于批準階段，約2024年進行發布。

《信息安全技術要求》標準涵蓋外部連接安全、 車輛通信安全、 軟件升級安全和數據代碼安全， 并給出了對應的測試方法。《升級通用技術要求》對車企的軟件升級管理體系提出了要求，以規避OTA面臨的各種安全風險。

除此之外，關于汽車數據管理若干規定、關于試行汽車安全沙盒監管制度的通告等等不一而足，目前還沒看的了那么多，后面看了之后再說。? ?

02

汽車網絡安全威脅分析

基于TARA建模的網絡安全威脅分析方法論，我之前已經簡述過了，這里不再重復。 ? 今天主要是聊一下關于在車聯網背景下需要保護的資產如何定義，以及一些典型的場景。 ? 首先搞清楚功能安全和信息安全的區別： ?

很明顯，信息安全(即網絡安全)更傾向于對人身隱私安全、整車數據安全等資產的保護，下面具體來看看汽車網絡安全視角下的資產定義。?

2.1 汽車網絡安全資產定義

首先我們來看下當前比較典型的整車拓撲結構：

?? ? p?可以看到，該架構下網關處于非常關鍵的中轉位置，負責車內網絡數據的傳輸；那汽車如何與外界進行數據交互呢？根據淺談汽車OTA升級的信息安全風險里面的描述，我們在上述架構中添加外界的管端和與云端，如下： ? ?

很明顯，汽車網絡資產定義可以分為如下三個大方向：

云端

???????黑客偽裝成云端向車輛下發指令，比如解鎖車輛、啟動車輛，影響人身安全；此外云端通常會保存大量車主個人數據、車輛狀態信息，一旦被攻破勢必會嚴重威脅個人隱私。

? ? ? ? 因此資產有：云端服務器（個人數據、車輛狀態數據）、GNSS數據、地圖信息等

管端?

? ? ? ? 黑客偽裝基站，下發偽造的指令，同樣影響人身安全，這里暫時沒有識別到資產

車端

????????車端就比較復雜，車上每個控制器都可以作為核心資產進行保護，例如T-Box作為整車對外的核心模塊、IVI屬于人機交互核心模塊、網關屬于整車網絡通信大腦、PCM和BCM作為整車控制的核心模塊，均需要被保護。

上述的劃分方式是基于整車的架構進行資產定義的，如果針對單個ECU，還需要進一步拆分，細化到哪些數據作為敏感數據存放到獨立安全島中、哪些報文作為敏感報文是必須要進行驗簽的等等。?

2.2 汽車網絡安全影響場景及評級示例

有了上述資產的分析，我們根據ISO/SAE 21434第15.5.2章節的描述，對影響場景從功能安全、財產、車輛運行、個人隱私等幾個方面的嚴重等級做出分析。

影響等級定義如下：

Severe

Major

Moderate

Negligible

可以按照如下表格拆分：

此外，再延伸一點關于破壞場景及滲透路徑分析表格示例：?

03

汽車網絡安全滲透測試描述

3.1參考法規

根據Vector之前關于汽車網絡安全的在線培訓，目前國內需要遵循的標準有：

? 其中，10、11現在處于正在批準階段，預估明年實施，屆時勢必會在國內掀起比較大的風浪。 ?

目前OEM、國內對這方面的重視程度還比較一般，預估明后年會出現一個人才需求的大缺口。畢竟做這方面，需要的知識有點太多了：信息密碼學基礎知識、汽車整車架構知識、汽車安全芯片知識等等，都是以前傳統車企的研發人員所缺失的；再加之目前主流的芯片廠如瑞薩、英飛凌、NXP對Security方案保密要求比較嚴格，大家學起來確實要花大工夫的。

3.2 滲透測試內容

基于上述提到的車聯網整體拓撲，滲透測試的內容應該分為4大類

1.數據傳輸信息安全測試

主要是針對云-管-車的傳輸安全測試，包括偽造信息入侵、重放攻擊、劫持攻擊、拒絕服務攻擊、云端對外通信接口攻擊以及病毒入侵等。

2.車端-設備端外部連接安全測試

WIFI、藍牙的安全測試：釣魚WiFi、密碼顯示攻擊、端口掃描、漏洞探測等等

無鑰匙進入的安全測試：通信加密及身份認證等

GNSS的安全測試：GNSS欺騙及干擾。

3.敏感數據保護安全測試

? ? ? ??很典型的，代碼的防逆向、防提取、真實性、完整性的測試；

車主信息的保護測試：未授權訪問、個人信息安全存儲、個人信息的非法篡改等

車內信息的保護測試：未授權訪問、車內信息安全存儲、車內信息的非法篡改（如里程數據、密鑰竊?。┑?/p>

4.基于物理接口攻擊安全測試

? 常見的攻擊端口在OBD切入，偽裝成網關進行域內的數據通信；除此之外，IVI側還有USB的端口的非授權侵入測試。

04

小結

本篇內容從國內外汽車網絡安全的法規，詳細描述了R155和ISO/SAE 21434的聯系和交叉，基于21434簡單闡述了資產定義、威脅等級定義等示例；最后描述了從整車角度出發，汽車網絡滲透測試所要關注的測試內容。 ? 接下來，我將以一個車燈系統的demo為例（21434提供），看看是如何定義出一個滿足ISO/SAE 21434的系統。 ? ? ? ? ?

?

編輯：黃飛

?