如何满足汽车密码应用安全性要求及测试

导读

本次内容围绕汽车密码应用安全性测试技术研究与实践进行开展。在这里，先简单介绍一下前言部分，即信息安全和密码的关系。

从图中我们知道信息安全有5个目标：

机密性是指保证信息不被泄露给非授权的个人进程或者实体；

完整性是保证没有受到非授权的篡改或破坏；

可用性是确保信息访问和服务在任何时候都是有效的；

真实性是保证信息来源可靠并没有被伪造和篡改；

不可否认性就是指抗抵赖性，即确保已经发生的操作行为无法否认。

密码是一个重要的网络安全技术手段，而网络安全的手段是在人力保护、设备加固、物理隔离、容灾备份、监控技术、生物技术防火墙这些方面的防护技术。密码技术是最有效，最可靠也是最经济的手段。

我将从以下4个方面：背景、现状及应用、测试技术研究和应用实践案例进行具体阐述。

1.背景

如今汽车步入智能化网联化，逐渐发展成了我们所说的智能网联汽车。智能网联汽车搭载了先进的车载传感器、控制器、执行器等装置，融合了现代的通信网络技术，实现了车、人、路、云等的信息交互，同时也实现了安全、舒适、节能、高效的驾驶模式。

汽车智能化网联化的发展趋势是非常迅猛的，但汽车在智能化网联化发展后，它多样的通信和调试方式也带来了很多的攻击路径。从云平台、T-BOX、OBD、IVI以及车内的一些ECU等都可以成为攻击汽车的路径，这也意味着汽车面临着更多的安全挑战。

云平台可能会有SQL注入跨站脚本的攻击、移动APP有脱壳的风险、敏感数据的泄露与控制权限的窃取等问题；在ECU上可能会遭到固件逆向、数据的非法读取、植入后门等攻击；在通信这块就更多了，会有一些窃取、伪造、监听；在零部件上就会涉及硬件、软件、通信等等一系列的安全问题。

大家来看一组数据。从2010年到2020年年底全球汽车网络信息安全的攻击事件，总共为633个公开报告的事件，其中2020年就占了200多个，这是汽车智能化发展下的结果。再从右图我们可以看到被攻击占比最多的是服务器、无钥匙进入、移动应用以及车载诊断端口，这些都是重点被攻击的对象。

密码是网络信息安全的基础保障。

目前，密码已经应用在智能网联汽车的各个领域，包括数据传输、数据存储、身份认证。

如图中所示，在车云传输的过程中会经历双向的身份认证，数据加密以及自己搭建的云平台PKI、KM、CA等环节，这些环节采用的密码技术是基础的技术保障。

车内就包括CAN、以太网的数据传输，同时诊断接口的身份认证采用的也是密码技术来实施的安全防护。

对于车路而言，也有相关的标准要求，来实现密码算法对数据传输消息的真实性的验证。

2.汽车密码现状及应用

经过不断地变更与完善，如今汽车密码应用的法规基础是非常丰富的。

01

2017年颁布了《网络安全法》，在《网络安全法》中明确了很多关于密码的内容；

02

2020年所颁布的《密码法》，对汽车密码应用有着非常大的指导作用；

03

2021年颁布的《数据安全法》在采集、数据处理、数据传输等方面进行了法规层面的约束，在制定法律条款的同时提出了相应的惩罚措施。

除了上述提到的几个法律法规，其实各部委也颁发了很多相应的条例，约束了智能网联汽车密码应用的相关内容。当然还包含一些其他法律《个人信息保护法》、《智能网联汽车准入管理的意见》、《数据安全管理若干规定》以及《关于开展汽车数据安全、网络安全等自查工作的通知》等等一系列的法律法规，它们的出台使智能网联汽车的密码应用拥有较为全面的法律基础。

在标准基础方面，智能网联汽车密码的相关标准也在布局开展的过程中。依据目前对行业的了解与资料的梳理，我们认为汽车密码标准体系可以分为汽车总体的密码应用车载网、车载网络密码应用、车载部件密码应用、数据安全密码应用和车载系统密码应用这几个部分。标准基础采用整体要求配套多个规范“1＋N”的模式，来对智能网联汽车的密码应用开展技术要求。

《汽车密码应用技术要求》正在汽标委立项，处于在研阶段。

《汽车整车信息安全技术要求与实验方法》在强标里对密码的内容也提出了一些密码要求。

《智能网联汽车证书认证系统密码应用检测规范》在更进状态，后续也将要征求意见。

《车载信息交互系统应用检测规范》在征修意见的阶段。

那么我将详细地介绍相关标准的现状工作。

首先《汽车密码应用技术要求》标准是在《2020年智能网联汽车标准化重点工作》的指导下，作为三大类的急需标准而启动的研究工作。当时这个标准经过了数次的大小会议，24家企业一起完成了接近四万次的标准的需求化研究报告，其中包含国内的整车企业、零部件企业、芯片企业以及安全厂商。目前来说，该标准已经梳理处了基本的框架和草案。

《车载信息交互系统密码应用检测规范》于2021年正式批复，现已基本完成。

这个标准的范围规定了车载信息交互系统密码应用的检测内容与检测方法，它适用于车载信息交互系统，可以指导检测人员依据规范开展产品的检测工作。目前该标准的第5章是通用要求对密码算法、硬件设备和运行环境提出的相关检测要求。第五章的第二小节则是对硬件安全提出的检测要求，包括防测硬道攻击、防故障注入、防止系统的内存攻击。第三小节是针对软固件完整性保护、敏感参数的保护、系统安全启动等等的检测要求。第四小节是分成车内的通行安全和车外的通行安全。车内通行安全是包含一些诊断核心的上传，车外的通信安全主要是指安全通道的建立以及握手协议的通信要求。

目前，车内通信与一些受字节限制的CAN采用了以完整性校验新鲜度值或者MAC的方式来完成数据的机密性保护。以太网也正在进行编制的过程中，我们知道以太网发展的较为成熟，所以它的电子电器架构和车内通信的改变可能会很大程度上影响车内通信密码应用的变革。

在数据存储的方面，采用的是标准密码算法的方式对数据进行完整性、机密性、真实性的存储约束。

在云端上采用的也是国密传统的X509体系。此外也存在一些企业自研的协议，企业在原先做产品测试的阶段对其传输协议做了优化，同时也会进行安全性评估，并对它的方案进行安全性论证。

关于V2X这块，由于道路技术设施尚不完善，大家目前较多还是处于预研的阶段。在这里一般会做协议一致性的验证，但针对密码算法、签名、验签和曲线的参数选择这些方面验证的相对较少。

OTA方面其实就是在车云的基础上对升级包进行真实性的校验，这是一个关键点。它涉及OTA什么时候进行安全性验证、安全性验证的流程是怎么样的以及密钥是由谁而来的，信任谁的问题。

密码已经在整个汽车行业上应用的非常广泛了，但实际上汽车行业密码应用还处在初期阶段，存在着许多问题。

3.测试技术研究

表格是我们通过长期的调研并进行了相关的摸底测试，才为大家梳理出了各场景密码应用的重要数据、安全保护现状与安全风险的。关于软件升级、远程控车、远程诊断，互联网服务以及一些疲劳监测等等，这里面的部分数据我认为它是非常重要的。我们应该运用密码技术进行信息保护，其中有些需要做机密性验证，而有些它可能只需要做完整性验证。

在重要数据方面，大家还是采用TLS比较多。通过上文的介绍大家应该也知道使用TLS基本上是行业的共识，但在之前做密码的相关工作中我们也了解到密码不会完全在一个标准里，它不会像密码协议写的这么明确。因此，在这里我还是希望大家能够有自主的协议，这其实是保证安全非常有效的方式。

通过梳理上述的场景与风险，密码的测试对象主要就是这三类：安全芯片、密码模块、密钥系统。

从车用芯片的安全性测试来说，它有安全芯片的测试规范，但是我们所理解的车规级安全芯片它不光要进行安全性验证，还要进行车规级的验证，所以我们针对车用安全芯片，在其可靠性、芯片的关键测试技术、多为攻击车用安全芯片的侵入式测试技术以及安全芯片的通信接口的测信道分析等等方面开展了相应的研究工作。同时我们也联合了华诚推出了车用芯片信息安全的测试认证规范，为很多车用车规级安全芯片的企业发布了相应的证书。

对于很多企业来说，他们其实都已经自建了相应的PKI，而PKI这块也是有相应规范的。企业参照着规范建立，才能保证企业后台的安全。国家要求X209的这套PKI，它已经有产品检测和项目检测。

PKI产品的厂商需要去做相关的测试与认证一系列的安全要求，此外还有一个要求就是项目测试。实际PKI搭起来以后,这里进行的项目测试主要是指它在实际应用环境下的初始化签发是否合规。在信息系统中其实也有这种密评的相关规范，这些我们主要是用在传统的车云领域，在车路V2X这一套短证书体系下目前是没有相关标准的。上文我们所介绍的系统架构就在此涉及。

汽车数据传输密码测试方面，它是针对车云、车车/车路、车与进场设备、车和其他外部实体一系列的通信。它采用的是密码算法、密码证书等等相关的测试方法来保障安全。

下图是一些其他场景的测试，由于不同场景不同要求它的实现也是不同的，所以需要针对各家的内容进行梳理以后，才能去提供一套比较成熟的测试方案，实现针对性的分析。

4.应用实践案例

在车云端我们使用抓包工具进行分析，它会用明文来传输IMEI信息，企业的后台在建立时所备选的算法MD5、SHA-1等等这些是不安全的算法。

在OTA升级的过程中抓取一个通信数据时会有是明文的风险。它不是说一上来抓就全是明文，它隐藏得良好，这就需要人工分析。同时当有这种不安全的密码算法套件在里面时，就可能会导致我们花大量的时间与精力在密码的应用安全上，它带来的资源消耗较大。

以上是此次谈思汽车“汽车密码应用安全性要求及测试技术”主题分享内容。如需获取演讲嘉宾的全部PPT内容等，请转发本文至朋友圈，之后与工作人员沟通。更多内容，敬请期待！

WISS 2023第四届世界物联网安全及数据安全治理峰会火热报名中 ,欢迎报名↓

审核编辑：郭婷