1.汽车网络安全法规概述
1.1 国外标准
1.2 国内标准
2.汽车网络安全威胁分析
2.1 汽车网络安全资产定义
2.2 汽车网络安全影响场景及评级示例
3.汽车网络安全渗透测试描述
3.1 参考法规
3.2 渗透测试内容
4.小结
01
—
就我本身来说,首次感觉到个人隐私安全威胁是有一次发现车里在后视镜位置居然有一个摄像头,出于好奇网上查找了一番,居然发现黑客大神可以通过技术手段直接启动这个摄像头进行拍摄,严重侵犯了个人隐私(当然,我现在已经用创口贴给它封上了,但是谈话内容应该还是被监听并上传至服务器)
1.1 国外标准
联合国第155号法规:
Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system
其主要适用范围包括了欧洲、日本、 韩国等“1958 协议” 缔约国(以下简称“58 协议国” ),要求2024年7月在“58协议国”上市的汽车必须通过网络安全管理体系认证和车辆类型审批认证。
CSMS:Cyber Security Management System 网络安全管理体系
VTA :Vehicle Type Approval 车辆型式审批认证
ISO:International Organization for Standardization
SAE:Society of Automotive Engineers
ISO/SAE 21434:Road Vehicles-Cybersecurity engineering
| 企业分类 | 公司名 | 认证机构 |
| 芯片厂 | NXP | TÜV南德 |
| 地平线 | TÜV莱茵 | |
| 亿咖通 | BSI(英国标准协会) | |
| 英飞凌 | TÜV南德 | |
| 华邦电子 | TÜV北德 | |
| 一二级供应商 | 汇川联合动力 | TÜV莱茵 |
| 德赛西威 | TÜV南德 | |
| 东软睿驰 | SGS | |
| 华为 | 德凯 | |
| OEM | 零束科技 | TÜV北德 |
| 比亚迪商用车 | DNV |
建立一套汽车网络安全的规范管理文件作为顶层设计
建立执行上述规范文件的程序文件
分析是否涵盖R155和21434的所有领域
提供执行上述程序文件的表单记录文件
1.2 国内标准
国家强制标准计划《汽车整车信息安全技术要求》、《汽车软件升级通用技术要求》由工业和信息化部组织起草,由全国汽车标准化技术委员会智能网联汽车分会进行执行,目前已处于批准阶段,约2024年进行发布。
《信息安全技术要求》标准涵盖外部连接安全、 车辆通信安全、 软件升级安全和数据代码安全, 并给出了对应的测试方法。《升级通用技术要求》对车企的软件升级管理体系提出了要求,以规避OTA面临的各种安全风险。
—
很明显,信息安全(即网络安全)更倾向于对人身隐私安全、整车数据安全等资产的保护,下面具体来看看汽车网络安全视角下的资产定义。
2.1 汽车网络安全资产定义
首先我们来看下当前比较典型的整车拓扑结构:
很明显,汽车网络资产定义可以分为如下三个大方向:
云端
黑客伪装成云端向车辆下发指令,比如解锁车辆、启动车辆,影响人身安全;此外云端通常会保存大量车主个人数据、车辆状态信息,一旦被攻破势必会严重威胁个人隐私。
因此资产有:云端服务器(个人数据、车辆状态数据)、GNSS数据、地图信息等
管端
黑客伪装基站,下发伪造的指令,同样影响人身安全,这里暂时没有识别到资产
车端
车端就比较复杂,车上每个控制器都可以作为核心资产进行保护,例如T-Box作为整车对外的核心模块、IVI属于人机交互核心模块、网关属于整车网络通信大脑、PCM和BCM作为整车控制的核心模块,均需要被保护。
上述的划分方式是基于整车的架构进行资产定义的,如果针对单个ECU,还需要进一步拆分,细化到哪些数据作为敏感数据存放到独立安全岛中、哪些报文作为敏感报文是必须要进行验签的等等。
2.2 汽车网络安全影响场景及评级示例
有了上述资产的分析,我们根据ISO/SAE 21434第15.5.2章节的描述,对影响场景从功能安全、财产、车辆运行、个人隐私等几个方面的严重等级做出分析。
编辑
影响等级定义如下:
-
Severe
-
Major
-
Moderate
-
Negligible
| 破坏场景 | 评估方向 | 影响等级 | |||
| Safety | Financial | Operational | Privacy | ||
| xxx | 无伤害分数 | 轻微影响分数 | 中度影响分数 | 重度影响分数 | Severe |
此外,再延伸一点关于破坏场景及渗透路径分析表格示例:
| 核心资产 | 安全资产特性 | 破坏场景 | |||
| 完整性 | 可用性 | 真实性 | 新鲜性 | ||
| xxx | √ | × | √ | × | xxxx |
03
—
汽车网络安全渗透测试描述
3.1参考法规
目前OEM、国内对这方面的重视程度还比较一般,预估明后年会出现一个人才需求的大缺口。毕竟做这方面,需要的知识有点太多了:信息密码学基础知识、汽车整车架构知识、汽车安全芯片知识等等,都是以前传统车企的研发人员所缺失的;再加之目前主流的芯片厂如瑞萨、英飞凌、NXP对Security方案保密要求比较严格,大家学起来确实要花大工夫的。
3.2 渗透测试内容
基于上述提到的车联网整体拓扑,渗透测试的内容应该分为4大类
1.数据传输信息安全测试
主要是针对云-管-车的传输安全测试,包括伪造信息入侵、重放攻击、劫持攻击、拒绝服务攻击、云端对外通信接口攻击以及病毒入侵等。
2.车端-设备端外部连接安全测试
WIFI、蓝牙的安全测试:钓鱼WiFi、密码显示攻击、端口扫描、漏洞探测等等
无钥匙进入的安全测试:通信加密及身份认证等
3.敏感数据保护安全测试
很典型的,代码的防逆向、防提取、真实性、完整性的测试;
车主信息的保护测试:未授权访问、个人信息安全存储、个人信息的非法篡改等
车内信息的保护测试:未授权访问、车内信息安全存储、车内信息的非法篡改(如里程数据、密钥窃取)等
常见的攻击端口在OBD切入,伪装成网关进行域内的数据通信;除此之外,IVI侧还有USB的端口的非授权侵入测试。
04
—
小结
往期回顾:
1.汽车标定合集
2.AUTOSAR合集
3.汽车网络安全合集
4.汽车功能安全合集
原文始发于微信公众号(汽车MCU软件设计):汽车网络安全渗透测试概述
