第六章 智能網(wǎng)聯(lián)汽車安全技術(shù)

6智能網(wǎng)聯(lián)汽車安全技術(shù)寄語(yǔ)：學(xué)問(wèn)是苦根上長(zhǎng)出的甜果智能網(wǎng)聯(lián)汽車技術(shù)內(nèi)

容CONTENTS智能網(wǎng)聯(lián)汽車信息安全技術(shù)概述01智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求02智能網(wǎng)聯(lián)汽車功能安全技術(shù)03*學(xué)習(xí)目標(biāo)了解智能網(wǎng)聯(lián)汽車安全技術(shù)概念。了解智能網(wǎng)聯(lián)汽車信息安全技術(shù)發(fā)展現(xiàn)狀。掌握智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求。掌握智能網(wǎng)聯(lián)汽車信息安全技術(shù)、功能安全技術(shù)。01智能網(wǎng)聯(lián)汽車信息安全技術(shù)概述導(dǎo)入

此類事件的發(fā)生，警醒我們智能網(wǎng)聯(lián)汽車安全防護(hù)的重要性。2019年歐洲和美國(guó)相繼爆出多起通過(guò)中繼攻擊的方式對(duì)高端品牌車輛實(shí)施盜竊的事件。尤其是在英國(guó)，僅2019年前10個(gè)月就有14000多起針對(duì)PKES系統(tǒng)的盜竊事件，且小偷的作案時(shí)間通常不到30S，作案工具中繼設(shè)備和攻擊教程甚至在網(wǎng)絡(luò)上也可以購(gòu)買，這對(duì)車主的人身和財(cái)產(chǎn)安全構(gòu)成極大的威脅。01智能網(wǎng)聯(lián)汽車信息安全技術(shù)概述全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)智能網(wǎng)聯(lián)汽車分技術(shù)委員會(huì)（SAC/TC114/SC34)歸口的推薦性國(guó)家標(biāo)準(zhǔn)《汽車信息安全通用技術(shù)要求》（報(bào)批稿）中明確了汽車信息安全定義：汽車的電子電氣系統(tǒng)、組件和功能被保護(hù)，使其資產(chǎn)不受威脅的狀態(tài)。ISO/SAE21434《道路車輛信息安全工程》中描述了道路車輛信息安全的定義：確保違背信息安全相關(guān)屬性會(huì)導(dǎo)致人身或財(cái)務(wù)受到損失，所有道路交通參與者應(yīng)處于免受道路車輛電子或電氣組件及其功能威脅場(chǎng)景危害的充足保護(hù)之中。UN／WP29《信息安全與信息安全管理體系》中，“信息安全”指保護(hù)道路車輛及其功能的電子或電氣部件免受網(wǎng)絡(luò)威脅的狀況。《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南（試行）》（征求意見(jiàn)稿）中明確汽車信息安全定義為：汽車的電子電氣系統(tǒng)、組件和功能被保護(hù)，使其資產(chǎn)不受威脅的狀態(tài)?！敖榻B”分組討論智能網(wǎng)聯(lián)汽車信息安全技術(shù)現(xiàn)狀、趨勢(shì)國(guó)內(nèi)、國(guó)外學(xué)生分組匯報(bào)老師總結(jié)01智能網(wǎng)聯(lián)汽車信息安全技術(shù)概述02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求導(dǎo)入

當(dāng)前，汽車信息安全攻擊手段更多、范圍更廣、危害更大，己造成部分品牌產(chǎn)品召回。當(dāng)前網(wǎng)絡(luò)空間安全己上升至國(guó)家安全戰(zhàn)略層面。隨著汽車產(chǎn)業(yè)的電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化發(fā)展，智能網(wǎng)聯(lián)汽車的信息安全問(wèn)題所帶來(lái)的影響逐步擴(kuò)大至公共安全乃至國(guó)家安全。根據(jù)Upstream的報(bào)告統(tǒng)計(jì)，2010～2020年排前四項(xiàng)的車聯(lián)網(wǎng)信息安全攻擊分別為服務(wù)器攻擊、數(shù)字鑰匙攻擊、App攻擊、OBD攻擊。

智能網(wǎng)聯(lián)汽車信息安全目標(biāo)與要求：02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求

通過(guò)傳感器、計(jì)算節(jié)點(diǎn)（ECU)和通信模塊、移動(dòng)通信技術(shù)、汽車導(dǎo)航系統(tǒng)、智能終端和信息網(wǎng)絡(luò)平臺(tái)確保汽車和道路、汽車和汽車、人與汽車以及車輛和應(yīng)用程序平臺(tái)的全方面聯(lián)網(wǎng)。采用信息網(wǎng)絡(luò)平臺(tái)來(lái)分析、處理和提取數(shù)據(jù)確保用戶可以更安全、更豐富、更方便、更有效地使用汽車和信息服務(wù)。根據(jù)邊界劃分我們可以將車輛網(wǎng)絡(luò)安全系統(tǒng)分為車內(nèi)外網(wǎng)絡(luò)安全兩方面并細(xì)分為下列類別：網(wǎng)絡(luò)安全、通信終端安全、通信通道安全、信息平臺(tái)安全以及手機(jī)應(yīng)用安全（App)。

主要針對(duì)車身網(wǎng)絡(luò)安全、T-BOX安全和信息平臺(tái)安全三個(gè)方面介紹：車身網(wǎng)絡(luò)安全1T-BOX安全2信息平臺(tái)安全302智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求

車身網(wǎng)絡(luò)安全也就是要求保證車輛總線安全。由于CAN在網(wǎng)絡(luò)各節(jié)點(diǎn)間通信實(shí)時(shí)性強(qiáng)、具有國(guó)際標(biāo)準(zhǔn)、開(kāi)發(fā)周期短等特點(diǎn)，可以為分布式控制系統(tǒng)中的實(shí)時(shí)可靠通信提供技術(shù)基礎(chǔ)。CAN作為汽車環(huán)境中各設(shè)備的信息傳遞通信協(xié)議，目前也用于通過(guò)各車載電子控制裝置ECU的信息傳遞來(lái)形成分布式或?qū)崟r(shí)控制的串行通信網(wǎng)絡(luò)。車身網(wǎng)絡(luò)安全102智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求

通過(guò)CAN節(jié)點(diǎn)、CAN網(wǎng)絡(luò)通信、CAN網(wǎng)關(guān)和對(duì)外接口通信四個(gè)層面的安全防護(hù)來(lái)加固車輛CAN網(wǎng)絡(luò)信息安全，防止汽車CAN網(wǎng)絡(luò)因受監(jiān)昕、篡改、重放、注入等攻擊導(dǎo)致汽車關(guān)鍵信息泄露及影響行車安全。需要從車輛電子電氣架構(gòu)設(shè)計(jì)階段就開(kāi)始考慮，而且必須在車輛的整個(gè)生命周期中進(jìn)行維護(hù)。車身網(wǎng)絡(luò)安全102智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求整體安全目標(biāo)與要求：

安全目標(biāo)：提高CAN節(jié)點(diǎn)自身的完整性和可靠性，盡可能降低CAN節(jié)點(diǎn)被入侵或者破壞的風(fēng)險(xiǎn)，防止因CAN節(jié)點(diǎn)自身的軟硬件設(shè)計(jì)缺陷而對(duì)整個(gè)CAN網(wǎng)絡(luò)的信息安全構(gòu)成威脅。CAN節(jié)點(diǎn)安全的具體要求如下表6-1所示：車身網(wǎng)絡(luò)安全102智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求CAN節(jié)點(diǎn)安全目標(biāo)與要求：車身網(wǎng)絡(luò)安全102智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求CAN節(jié)點(diǎn)安全目標(biāo)與要求：車身網(wǎng)絡(luò)安全102智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求CAN網(wǎng)絡(luò)通信安全目標(biāo)與要求：

安全目標(biāo)：保證CAN網(wǎng)絡(luò)上傳輸數(shù)據(jù)的完整性和可用性需求，防止通信數(shù)據(jù)被篡改、偽造、重放。

整體要求：CAN網(wǎng)絡(luò)通信應(yīng)該采用必要的安全通信機(jī)制和安全防護(hù)措施，針對(duì)關(guān)鍵節(jié)點(diǎn)和信息應(yīng)采用身份認(rèn)證、信息加密、數(shù)字簽名等方式對(duì)CAN總線上傳輸?shù)臄?shù)據(jù)進(jìn)行安全保護(hù)。車身網(wǎng)絡(luò)安全102智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求CAN網(wǎng)絡(luò)通信安全目標(biāo)與要求：節(jié)點(diǎn)身份認(rèn)證主要包括：1）具備CAN節(jié)點(diǎn)間的雙向認(rèn)證機(jī)制。2）CAN節(jié)點(diǎn)接收到CAN通信報(bào)文后，應(yīng)對(duì)通信對(duì)方身份進(jìn)行認(rèn)證，能夠鑒別通信對(duì)方是否合法。3）對(duì)參與網(wǎng)絡(luò)通信的各ECU節(jié)點(diǎn)的合法性進(jìn)行驗(yàn)證，對(duì)CAN節(jié)點(diǎn)間的認(rèn)證方法進(jìn)行選擇。在具備計(jì)算資源的ECU之間，宜采用數(shù)字證書(shū)方式認(rèn)證；在計(jì)算資源有限的情況下，宜采用對(duì)稱方式進(jìn)行認(rèn)證。車身網(wǎng)絡(luò)安全102智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求CAN網(wǎng)關(guān)安全目標(biāo)與要求：

安全目標(biāo)：實(shí)現(xiàn)外部威脅與車內(nèi)CAN網(wǎng)絡(luò)的安全隔離，采用網(wǎng)絡(luò)分段與隔離技術(shù)、路由控制與邊界控制等手段提升車內(nèi)信息交互的安全性。

CAN網(wǎng)關(guān)通信信息安全要求：1）訪問(wèn)控制，網(wǎng)關(guān)應(yīng)在不同CAN網(wǎng)絡(luò)間建立定義清晰的通信矩陣，并建立訪問(wèn)控制策略，對(duì)不符合定義的報(bào)文應(yīng)丟棄或者記錄。2）抗拒絕服務(wù)攻擊，網(wǎng)關(guān)應(yīng)具有CAN總線抗拒絕服務(wù)攻擊功能，當(dāng)網(wǎng)關(guān)受到拒絕服務(wù)攻擊時(shí)，需要確保自身正常的通信及其他功能不受影響，并能夠阻斷攻擊源連續(xù)不斷的泛洪攻擊，對(duì)檢測(cè)到的攻擊報(bào)文要丟棄或者記錄。車身網(wǎng)絡(luò)安全102智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求CAN網(wǎng)關(guān)安全目標(biāo)與要求：

網(wǎng)關(guān)系統(tǒng)信息安全要求：1）安全啟動(dòng)，網(wǎng)關(guān)應(yīng)支持安全啟動(dòng)，即通過(guò)對(duì)引導(dǎo)加載程序和關(guān)鍵操作系統(tǒng)文件的數(shù)字簽名和密鑰進(jìn)行檢測(cè)，從而使網(wǎng)關(guān)能夠在可信基礎(chǔ)上安全啟動(dòng)和運(yùn)行。2）安全日志記錄，網(wǎng)關(guān)應(yīng)具有安全日志記錄功能，當(dāng)探測(cè)到不安全的通信數(shù)據(jù)、關(guān)鍵配置變更、安全啟動(dòng)校驗(yàn)失敗等各類事件時(shí)，應(yīng)對(duì)其進(jìn)行記錄。網(wǎng)關(guān)的安全日志記錄中，應(yīng)包括觸發(fā)日志的事件的發(fā)生時(shí)間、事件類型、具體執(zhí)行的操作等。3）應(yīng)對(duì)安全日志記錄進(jìn)行安全存儲(chǔ)，防止日志記錄的損毀，同時(shí)防止未授權(quán)的添加、訪問(wèn)、修改和刪除。安全日志記錄存儲(chǔ)的位置可在網(wǎng)關(guān)或其他ECU內(nèi)，也可在云端服務(wù)器內(nèi)。網(wǎng)關(guān)安全日志記錄，宜保存7天以上。車身網(wǎng)絡(luò)安全102智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求CAN網(wǎng)關(guān)安全目標(biāo)與要求：

網(wǎng)關(guān)數(shù)據(jù)信息安全要求：1）安全區(qū)域中一次性寫(xiě)入的敏感信息無(wú)法非授權(quán)獲取或者篡改。2）安全區(qū)域或安全模塊應(yīng)具備檢測(cè)和處置非授權(quán)訪問(wèn)的能力，以對(duì)抗暴力破解。車身網(wǎng)絡(luò)安全102智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求對(duì)外接口通信安全目標(biāo)與要求：

對(duì)外通信接口分為直接通信接口和間接通信接口，前者指直接與CAN網(wǎng)絡(luò)相連的接口（如OBD接口、充電通信接口），此類接口采用CAN通信方式；后者指間接與CAN網(wǎng)絡(luò)通信的接口（如USB、WiFi、藍(lán)牙、蜂窩移動(dòng)通信網(wǎng)絡(luò)），此類接口通常不是CAN通信方式。

安全目標(biāo)：通過(guò)雙向身份認(rèn)證、資源訪問(wèn)控制和完整性檢查等技術(shù)增強(qiáng)信息交互的可用性和完整性，實(shí)現(xiàn)車內(nèi)CAN網(wǎng)絡(luò)與外部接入設(shè)備或者網(wǎng)絡(luò)的安全連接。

T-Box被稱為與云端通信的橋梁，主要功能是提供OBD、MCU／CPU、FLASH、SENSOR、GPS、3G／4G、WiFi／藍(lán)牙等模塊，實(shí)現(xiàn)車輛和云平臺(tái)之間的通信。它與車輛內(nèi)部總線相連，通過(guò)云平臺(tái)連接手機(jī)／PC。T-Box提供遠(yuǎn)程控制、遠(yuǎn)程訪問(wèn)、安全服務(wù)，如遠(yuǎn)程控制門(mén)窗和空調(diào)、遠(yuǎn)程定位車輛、搜索車輛狀況、緊急救護(hù)等。為保護(hù)車載通信終端安全，其目標(biāo)與安全要求如下。T-BOX安全202智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求

能夠?qū)贯槍?duì)加解密操作的密碼分析攻擊、側(cè)信道攻擊、故障注入攻擊等破壞數(shù)據(jù)保密性和完整性的安全威脅，保證車載端所存儲(chǔ)的關(guān)鍵數(shù)據(jù)不被泄露或篡改，芯片功能可以正常使用，保證電路和芯片安全實(shí)現(xiàn)數(shù)據(jù)運(yùn)算和數(shù)據(jù)存儲(chǔ)等功能。T-BOX安全202智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求硬件安全目標(biāo)：

正確地響應(yīng)授權(quán)操作和處理異常行為，對(duì)抗針對(duì)操作系統(tǒng)的溢出攻擊、暴力破解、中間人攻擊、重放、篡改、偽造等多種安全威脅，保證操作系統(tǒng)文件和數(shù)據(jù)的可用性、保密性、完整性和可審計(jì)性，保證對(duì)各類資源的正常訪問(wèn)，系統(tǒng)能夠按照預(yù)期正常運(yùn)行或在各種操作情況之下處于安全狀態(tài)，具有身份權(quán)限管理和訪問(wèn)控制機(jī)制。T-BOX安全202智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求操作系統(tǒng)安全目標(biāo)：

可以對(duì)抗逆向分析、反編譯、篡改、非授權(quán)訪問(wèn)等各種針對(duì)應(yīng)用的安全威脅，并確保應(yīng)用產(chǎn)生、使用的數(shù)據(jù)得到安全處理,車載端應(yīng)用與相關(guān)服務(wù)器之間通信的安全性，保證應(yīng)用為用戶提供服務(wù)時(shí)，以及應(yīng)用在啟動(dòng)、升級(jí)、登錄、退出等各模式下的安全性，保證應(yīng)用軟件具備相應(yīng)的來(lái)源標(biāo)識(shí)，具有保證軟件保密性、完整性的防護(hù)措施。T-BOX安全202智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求應(yīng)用安全目標(biāo)：

安全目標(biāo)：保證車載端各個(gè)階段用戶數(shù)據(jù)的安全性，同時(shí)具有清除機(jī)制，保護(hù)數(shù)據(jù)生命周期各環(huán)節(jié)的安全性，保證用戶數(shù)據(jù)的機(jī)密性、完整性和可用性。T-BOX安全202智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求數(shù)據(jù)安全目標(biāo)：

安全目標(biāo)：保證外部威脅與內(nèi)部網(wǎng)絡(luò)之間的安全隔離，避免車載端向內(nèi)部關(guān)鍵系統(tǒng)發(fā)送偽造、重放等攻擊數(shù)據(jù)，滿足應(yīng)用場(chǎng)景對(duì)通信和數(shù)據(jù)交換的需求，保證車內(nèi)子系統(tǒng)和數(shù)據(jù)的保密性、完整性，保證汽車功能正常，不會(huì)非法占用內(nèi)部總線資源。T-BOX安全202智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求通信安全目標(biāo)：

車聯(lián)網(wǎng)信息服務(wù)平臺(tái)是面向汽車產(chǎn)業(yè)網(wǎng)聯(lián)化、自動(dòng)化、智能化需求，利用無(wú)線通信網(wǎng)絡(luò)、互聯(lián)網(wǎng)等信息通信技術(shù)，為車輛駕乘人員以及行業(yè)管理等提供的信息服務(wù)，支撐汽車和交通服務(wù)新模式、新業(yè)態(tài)的信息服務(wù)平臺(tái)。車聯(lián)網(wǎng)信息服務(wù)平臺(tái)的體系架構(gòu)，可以歸納為基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用服務(wù)三個(gè)層次，具體安全目標(biāo)及防護(hù)要求見(jiàn)教材197頁(yè)表6-2。信息平臺(tái)安全302智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求

智能網(wǎng)聯(lián)汽車的信息安全整體架構(gòu)可以依據(jù)國(guó)際普遍采用的“云端”“通信端”“車端”“路側(cè)單元”四個(gè)方面進(jìn)行描述，如圖6-1。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“技術(shù)架構(gòu)”

云端信息安全架構(gòu)：云平臺(tái)主要完成信息的整合分析，并為車輛提供服務(wù)?；谠破脚_(tái)的特點(diǎn)和需求，結(jié)合相應(yīng)的安全威脅分析，智能網(wǎng)聯(lián)汽車云端的信息安全架構(gòu)包括服務(wù)平臺(tái)以及數(shù)據(jù)存儲(chǔ)兩個(gè)層面的安全，如圖6-2所示。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“技術(shù)架構(gòu)”

服務(wù)平臺(tái)安全：使用成熟的汽車云計(jì)算平臺(tái)和信息保護(hù)技術(shù)，在未來(lái)有效保障中國(guó)汽車行業(yè)互聯(lián)網(wǎng)服務(wù)提供平臺(tái)的內(nèi)部信息安全。當(dāng)前所有的移動(dòng)車載互聯(lián)網(wǎng)安全服務(wù)平臺(tái)通過(guò)主動(dòng)網(wǎng)絡(luò)安全數(shù)據(jù)防護(hù)系統(tǒng)技術(shù)手段，對(duì)其網(wǎng)絡(luò)進(jìn)行安全和基礎(chǔ)加固，部署有網(wǎng)絡(luò)防火墻、入侵檢測(cè)系統(tǒng)、入侵防護(hù)系統(tǒng)、Web防火墻等安全設(shè)備。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“技術(shù)架構(gòu)”

數(shù)據(jù)存儲(chǔ)安全：數(shù)據(jù)存儲(chǔ)方面相關(guān)技術(shù)手段具體包括設(shè)立安全檢測(cè)服務(wù)、完善遠(yuǎn)程O(píng)TA更新功能、建立車聯(lián)網(wǎng)證書(shū)管理機(jī)制、開(kāi)展威脅情報(bào)共享。相關(guān)技術(shù)包括：(1）云端安全檢測(cè)：通過(guò)分析云端儲(chǔ)存的交互數(shù)據(jù)和車端記載的本地日志來(lái)檢測(cè)汽車的移動(dòng)終端上是否存在異常操作或隱私信息數(shù)據(jù)的泄露問(wèn)題。(2）遠(yuǎn)程O(píng)TA更新：加強(qiáng)軟件更新系統(tǒng)校驗(yàn)，支持軟件信息安全認(rèn)證，適配產(chǎn)品固件系統(tǒng)更新(FOTA）和軟件系統(tǒng)更新(SOTA），在保證用戶首次發(fā)現(xiàn)重大軟件安全漏洞時(shí)迅速地自動(dòng)更新軟件系統(tǒng)，大幅度降低產(chǎn)品召回事件費(fèi)用。(3）車聯(lián)網(wǎng)證書(shū)管理：對(duì)注冊(cè)用戶進(jìn)行真實(shí)身份驗(yàn)證，為用戶車輛注冊(cè)加密用戶密鑰和汽車注冊(cè)用戶登錄信用憑證等相關(guān)服務(wù)信息提供了安全數(shù)據(jù)管理。(4）威脅情報(bào)共享：實(shí)現(xiàn)整車企業(yè)、政府部門(mén)、服務(wù)供應(yīng)商之間的安全數(shù)據(jù)共享。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“技術(shù)架構(gòu)”

管端信息安全架構(gòu)：車聯(lián)網(wǎng)系統(tǒng)由多個(gè)子系統(tǒng)組成，分別是平臺(tái)層、網(wǎng)絡(luò)層、車載終端等。其中，平臺(tái)層與多個(gè)App服務(wù)商的子系統(tǒng)連接，網(wǎng)絡(luò)層通過(guò)Wi-Fi、移動(dòng)通信網(wǎng)、DSRC等無(wú)線通信手段進(jìn)行車-X通信。網(wǎng)絡(luò)傳輸域主要完成信息的傳輸工作，車-X通信由于依托無(wú)線通信方式，也存在無(wú)線通信自身存在的網(wǎng)絡(luò)加密、認(rèn)證等方面的安全問(wèn)題。同時(shí)，車聯(lián)網(wǎng)的互聯(lián)網(wǎng)應(yīng)用平臺(tái)也面臨因互聯(lián)網(wǎng)服務(wù)應(yīng)用漏洞帶來(lái)的安全威脅。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“技術(shù)架構(gòu)”

管端信息安全架構(gòu)：基于通信過(guò)程的特點(diǎn)和需求，結(jié)合相應(yīng)的安全威脅分析，智能網(wǎng)聯(lián)汽車通信的信息安全架構(gòu)包括訪問(wèn)控制、通信加密、監(jiān)測(cè)預(yù)警及應(yīng)急處置三個(gè)方面，如圖6-3所示。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“技術(shù)架構(gòu)”

車端信息安全架構(gòu)：智能網(wǎng)聯(lián)汽車的新型業(yè)務(wù)需求之一是具備網(wǎng)聯(lián)功能的車載端對(duì)外通過(guò)蜂窩網(wǎng)絡(luò)、短距離通信以及車-車／車-路通信協(xié)議與互聯(lián)網(wǎng)、車際網(wǎng)建立連接，進(jìn)行數(shù)據(jù)交換；對(duì)內(nèi)與汽車總線及電子電氣系統(tǒng)進(jìn)行信息采集和指令下發(fā)。車載終端需要感知車輛內(nèi)外的各類信息，而目前應(yīng)用的各類傳感設(shè)備的信息傳輸方式多為無(wú)線傳輸，在傳輸過(guò)程中易被攔截和篡改。缺失和錯(cuò)誤的傳感信息數(shù)據(jù)會(huì)對(duì)車輛的安全造成極大威脅。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“技術(shù)架構(gòu)”

車端信息安全架構(gòu)：基于這樣的通信和數(shù)據(jù)交換需求，結(jié)合相應(yīng)的安全威脅分析，智能網(wǎng)聯(lián)汽車車載端的信息安全架構(gòu)包括車端安全（硬件系統(tǒng)、操作系統(tǒng)和安裝的App）、車-X通信安全以及數(shù)據(jù)安全，如圖6-4所示。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“技術(shù)架構(gòu)”

路側(cè)單元信息安全架構(gòu)：路側(cè)單元需要實(shí)現(xiàn)RSU主體業(yè)務(wù)并維護(hù)其日常運(yùn)行，具體來(lái)說(shuō)，其業(yè)務(wù)包括交通信息收發(fā)、設(shè)備接入、定時(shí)授時(shí)等。其日常運(yùn)行時(shí)需要進(jìn)行安全管理、配置管理、升級(jí)管理等操作?；诼穫?cè)單元的特點(diǎn)和通信需求，結(jié)合相應(yīng)的安全威脅分析，智能網(wǎng)聯(lián)汽車路側(cè)單元的信息安全架構(gòu)包括設(shè)備安全管理和業(yè)務(wù)功能安全管理，如下圖6-5所示。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“技術(shù)架構(gòu)”

路側(cè)單元信息安全架構(gòu)：設(shè)備安全管理層面對(duì)RSU配置專用的硬件加密模塊并實(shí)施通信加密。業(yè)務(wù)功能安全管理層面對(duì)PC5接口上的C-V2X消息認(rèn)證鑒權(quán)，通過(guò)PKI數(shù)字證書(shū)認(rèn)證體系來(lái)對(duì)RSU收發(fā)消息進(jìn)行簽名和驗(yàn)證簽名操作。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“技術(shù)架構(gòu)”

信息安全評(píng)測(cè)概述：

信息安全是萬(wàn)物互聯(lián)的核心技術(shù)。近幾年，智能網(wǎng)聯(lián)汽車信息安全事件不斷涌現(xiàn)，汽車行業(yè)對(duì)于信息安全問(wèn)題愈加重視，主機(jī)廠、供應(yīng)商、第三方機(jī)構(gòu)紛紛在信息安全領(lǐng)域布局，而國(guó)內(nèi)外政府部門(mén)也出臺(tái)了信息安全相關(guān)法律法規(guī)，對(duì)于涉及個(gè)人信息的關(guān)鍵基礎(chǔ)設(shè)施的信息安全要求做出規(guī)定。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

信息安全評(píng)測(cè)概述：

評(píng)測(cè)是由評(píng)價(jià)機(jī)構(gòu)證明產(chǎn)品、管理體系等符合強(qiáng)制性要求或相關(guān)技術(shù)規(guī)范標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)。智能網(wǎng)聯(lián)汽車行業(yè)產(chǎn)業(yè)鏈上下游所涉及的企業(yè)眾多、軟硬件產(chǎn)品多樣，主體涵蓋元器件供應(yīng)商、設(shè)備生產(chǎn)商、主機(jī)廠、軟硬件技術(shù)提供商、通信服務(wù)商、信息服務(wù)提供商等。因此汽車的信息安全評(píng)測(cè)應(yīng)該基于上述特點(diǎn)，面向目前行業(yè)信息安全威脅，針對(duì)汽車上下游企業(yè)信息安全管理體系、產(chǎn)品及人員開(kāi)展信息安全評(píng)測(cè)。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

管理體系評(píng)測(cè)概述：

信息安全管理體系作為整體的一部分，其管理對(duì)象主要是信息安全技術(shù)措施的部署實(shí)現(xiàn)，其安全措施包括管理措施和技術(shù)措施兩個(gè)部分。對(duì)信息安全管理體系的評(píng)測(cè)就是對(duì)整個(gè)組織的安全管理水平進(jìn)行評(píng)價(jià)。因此，信息安全管理體系評(píng)測(cè)提供了針對(duì)組織的信息安全狀況的客觀證據(jù)。通過(guò)信息安全管理體系評(píng)測(cè)，可以向監(jiān)管機(jī)構(gòu)、客戶、合作伙伴等表明組織已經(jīng)遵守了所使用的標(biāo)準(zhǔn)法規(guī)，已充分管理風(fēng)險(xiǎn)，增強(qiáng)相關(guān)方信心。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

管理體系評(píng)測(cè)概述：

管理體系評(píng)測(cè)對(duì)象、標(biāo)準(zhǔn)及評(píng)測(cè)模式如表6-3。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

產(chǎn)品評(píng)測(cè)概述：

智能網(wǎng)聯(lián)汽車上所搭載的T-BOX、網(wǎng)關(guān)、IvI等關(guān)鍵部件承載著用戶的個(gè)人信息，因此這些關(guān)鍵部件本身以及由關(guān)鍵部件組成的電子電氣系統(tǒng)的信息安全性決定了智能網(wǎng)聯(lián)汽車的信息安全水平。通過(guò)一個(gè)統(tǒng)一的、標(biāo)準(zhǔn)化的部件級(jí)和整車級(jí)的信息安全評(píng)測(cè)，可以統(tǒng)一各廠商之間對(duì)信息安全水平的認(rèn)知、減少產(chǎn)品間的互操作性問(wèn)題、增強(qiáng)政府與市場(chǎng)對(duì)智能網(wǎng)聯(lián)汽車相關(guān)產(chǎn)品信息安全性的信任度，以促進(jìn)智能網(wǎng)聯(lián)汽車行業(yè)的發(fā)展。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

產(chǎn)品評(píng)測(cè)概述：

管理體系評(píng)測(cè)對(duì)象、標(biāo)準(zhǔn)及評(píng)測(cè)模式如表6-3。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

人員認(rèn)證概述：

人員作為組織中從事產(chǎn)品開(kāi)發(fā)、檢測(cè)、運(yùn)維等工作的主體，其信息安全能力直接影響到管理體系與產(chǎn)品研發(fā)的水平，因此對(duì)于人員的信息安全能力應(yīng)該予以統(tǒng)一的評(píng)價(jià)?！毒W(wǎng)絡(luò)安全法》明確提出應(yīng)設(shè)立專門(mén)的關(guān)鍵信息基礎(chǔ)設(shè)施安全管理人員，并對(duì)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查、網(wǎng)絡(luò)安全教育和技術(shù)考核等。通過(guò)人員信息安全能力認(rèn)證，可以為組織提供對(duì)內(nèi)部人員能力判別的統(tǒng)一標(biāo)準(zhǔn)，并為不同組織間的人才互認(rèn)提供基準(zhǔn)。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

人員認(rèn)證概述：

人員認(rèn)證對(duì)象、標(biāo)準(zhǔn)及認(rèn)證模式見(jiàn)表6-5。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

信息安全政策及管理體系：

02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

信息安全政策及管理體系：

02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

信息安全政策及管理體系：

02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

信息安全政策及管理體系：

02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“測(cè)試評(píng)價(jià)”

系統(tǒng)安全測(cè)試系統(tǒng)：漏洞利用檢測(cè)套件。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

該工具多用于車機(jī)系統(tǒng)與車聯(lián)網(wǎng)服務(wù)器網(wǎng)絡(luò)服務(wù)端漏洞驗(yàn)證測(cè)試。系統(tǒng)漏洞掃描工具與Web漏洞掃描工具會(huì)產(chǎn)生一組報(bào)告會(huì)闡述說(shuō)明目標(biāo)主機(jī)存在哪些漏洞以及CVE漏洞編號(hào)。此時(shí)可以通過(guò)漏洞利用工具進(jìn)行驗(yàn)證。一般遠(yuǎn)程服務(wù)存在兩大類：一類是以緩沖區(qū)溢出為主；一類以Web漏洞為主。該工具提供了對(duì)這兩大類漏洞的支持。

系統(tǒng)安全測(cè)試系統(tǒng)：車機(jī)系統(tǒng)漏洞掃描。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

該工具主要用于對(duì)車機(jī)系統(tǒng)漏洞的掃描。車機(jī)系統(tǒng)多數(shù)情況下為Android或者Linux系統(tǒng)，或多或少都會(huì)存在一些與傳統(tǒng)網(wǎng)絡(luò)主機(jī)一樣的問(wèn)題。對(duì)于傳統(tǒng)主機(jī)而言全球最為權(quán)威是CVE漏洞庫(kù)，所以這里的某些工作可以使用系統(tǒng)漏洞掃描工具或者Web漏洞掃描工具來(lái)完成，但是還有一些漏洞屬于車機(jī)專有的漏洞。在我國(guó)由中汽中心牽頭收集并制定了對(duì)于車機(jī)系統(tǒng)專有的漏洞庫(kù)，中國(guó)汽車行業(yè)漏洞共享平臺(tái)（ChinaAutomobileVulnerabilityDatabase，簡(jiǎn)稱CAVD）。該工具就是通過(guò)查詢CAVD的漏洞信息隨后對(duì)車機(jī)系統(tǒng)進(jìn)行掃描。

系統(tǒng)安全測(cè)試系統(tǒng)：車機(jī)系統(tǒng)漏洞掃描。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

與傳統(tǒng)主機(jī)不同的是，車機(jī)安全在一般合規(guī)測(cè)試時(shí)不僅要在車機(jī)外部進(jìn)行掃描測(cè)試，還需要在車機(jī)內(nèi)部（在車機(jī)系統(tǒng)上運(yùn)行掃描程序）進(jìn)行掃描測(cè)試，用于判斷一些關(guān)鍵應(yīng)用程序的組件包是否存在漏洞。其工作原理如6-7所示。

系統(tǒng)安全測(cè)試系統(tǒng)：通用逆向安全測(cè)試工具。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

該工具用于對(duì)車機(jī)系統(tǒng)的原始應(yīng)用程序（ELF格式文件）以及提取后的ECU固件在逆向過(guò)程中提供分析輔助功能。該工具還具備了對(duì)Windows系統(tǒng)的應(yīng)用程序格式(PE格式)以及一些文檔格式(如：DOC、PDF等)的解析與篡改的功能。

系統(tǒng)安全測(cè)試系統(tǒng)：通用逆向安全測(cè)試工具。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

逆向工程主要分為四個(gè)階段，第一個(gè)階段就是解析文件格式，在操作系統(tǒng)上每種程序或者文檔都是按照某種數(shù)據(jù)結(jié)構(gòu)來(lái)保存數(shù)據(jù)的。第二個(gè)階段是反匯編將代碼段進(jìn)行反匯編成人類易于理解的匯編語(yǔ)言。第三個(gè)階段就是調(diào)試，單獨(dú)靠閱讀反匯編代碼可能不能完全理解程序，這時(shí)就需要進(jìn)行調(diào)試來(lái)動(dòng)態(tài)地分析程序。最后一個(gè)階段就是當(dāng)理解程序后篡改程序來(lái)達(dá)到某種目的。

系統(tǒng)安全測(cè)試系統(tǒng)：通用逆向安全測(cè)試工具。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

該工具具備了一定的反匯編能力，雖然沒(méi)有二進(jìn)制反匯編分析工具功能強(qiáng)大。該工具還具備了交叉調(diào)試功能，例如在X86體系下調(diào)試ARM代碼。其工作原理示意圖，如圖6-8所示。

車載網(wǎng)絡(luò)安全測(cè)試工具：車載CAN總線協(xié)議測(cè)試系統(tǒng)02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

該工具是對(duì)車輛CAN總線數(shù)據(jù)進(jìn)行讀取、發(fā)送、保存、回放四個(gè)功能。該工具帶有一個(gè)ODB2接口的設(shè)備用于與車輛進(jìn)行鏈接。此設(shè)備提供了三路CANBUG，在直接接入CAN網(wǎng)絡(luò)時(shí)，可以通過(guò)雙絞線進(jìn)行連入。ODB2接口也是可以接收CAN協(xié)議的，該工具還可以解析UDS診斷協(xié)議。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”車載CAN總線協(xié)議測(cè)試系統(tǒng)設(shè)備外形如圖6-9所示。

車載網(wǎng)絡(luò)安全測(cè)試工具：車載CAN總線協(xié)議測(cè)試系統(tǒng)02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載CAN總線協(xié)議測(cè)試系統(tǒng)車載CAN總線協(xié)議測(cè)試系統(tǒng)軟件界面02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載CAN總線協(xié)議測(cè)試系統(tǒng)車載CAN總線協(xié)議測(cè)試系統(tǒng)軟件功能外部接入設(shè)備可通過(guò)OBD2口或CAN線接入車輛?？蓪?duì)CAN數(shù)據(jù)進(jìn)行接收，瀏覽、保存、回訪、分析。對(duì)基于CAN實(shí)現(xiàn)的UDS協(xié)議的進(jìn)行解析。支持Linux系統(tǒng)。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載CAN總線安全測(cè)試工具

該工具主要用在車載CAN總線協(xié)議測(cè)試系統(tǒng)之后，用于構(gòu)造CAN協(xié)議數(shù)據(jù)包指定CANID并且以指定的頻率發(fā)送回某個(gè)BUS。如果車輛ECU在設(shè)計(jì)或開(kāi)發(fā)過(guò)程中存在漏洞，則可能在處理這些數(shù)據(jù)包時(shí)就會(huì)出現(xiàn)異常，工程師可以通過(guò)這些異常的反饋來(lái)進(jìn)一步分析ECU。

該工具是車載CAN總線協(xié)議測(cè)試系統(tǒng)的擴(kuò)展功能，以功能插件的形式嵌入車載CAN總線協(xié)議測(cè)試系統(tǒng)中。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載CAN總線安全測(cè)試工具

功能如下：在車載CAN總線協(xié)議測(cè)試系統(tǒng)之上，可自行定義CANID號(hào)并構(gòu)造數(shù)據(jù)內(nèi)容。可指定CANBUS在指定頻率下發(fā)送自行構(gòu)造的CAN數(shù)據(jù)包。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載CAN總線加解密分析工具

該工具主要用于輔助測(cè)試工程師分析CAN協(xié)議。當(dāng)CAN協(xié)議進(jìn)行了加密時(shí)，該工具嘗試進(jìn)行解密。它的工作原理主要是通過(guò)信息來(lái)判斷某個(gè)CANID上的數(shù)據(jù)是否加密，在操作時(shí)指定一個(gè)CANID以及收集時(shí)間。因?yàn)槊總€(gè)CAN包所能攜帶數(shù)據(jù)長(zhǎng)度是64位，也就是8個(gè)字節(jié)。如果發(fā)送數(shù)據(jù)量過(guò)大則需要對(duì)數(shù)據(jù)進(jìn)行切分然后分包發(fā)送。采樣一組數(shù)據(jù)的原因是過(guò)小的數(shù)據(jù)計(jì)算的信息熵是沒(méi)有說(shuō)服力的。利用信息熵的來(lái)評(píng)估收集CAN數(shù)據(jù)是否被進(jìn)行加密或者壓縮。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載CAN總線加解密分析工具

該工具是車載CAN總線協(xié)議測(cè)試系統(tǒng)的擴(kuò)展功能，以功能插件的形式嵌入車載CAN總線協(xié)議測(cè)試系統(tǒng)中。功能如下：在車載CAN總線協(xié)議測(cè)試系統(tǒng)上，可指定在一個(gè)時(shí)間周期內(nèi)統(tǒng)計(jì)并計(jì)算指定CANID數(shù)據(jù)包的熵值?？山y(tǒng)計(jì)每個(gè)CANID數(shù)據(jù)包各比特位的變化情況?？蓪?duì)CAN數(shù)據(jù)包的進(jìn)行差異對(duì)比。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載以太網(wǎng)協(xié)議測(cè)試系統(tǒng)

該工具主要用于在車載以太網(wǎng)協(xié)議的分析。車載以太網(wǎng)是基于傳統(tǒng)的以太網(wǎng)之上進(jìn)行定制封裝的，其結(jié)構(gòu)如圖6-11所示。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載以太網(wǎng)協(xié)議測(cè)試系統(tǒng)

數(shù)據(jù)包的結(jié)構(gòu)與傳統(tǒng)以太網(wǎng)的結(jié)構(gòu)有所不同，傳統(tǒng)以太數(shù)據(jù)包與車載以太數(shù)據(jù)包的對(duì)比如圖6-12所示。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載以太網(wǎng)協(xié)議測(cè)試系統(tǒng)

該工具的解析器需要重新按照上述封裝進(jìn)行解析，解析完畢后的應(yīng)用協(xié)議與傳統(tǒng)的協(xié)議一致。該工具具備一個(gè)硬件設(shè)備通過(guò)T1標(biāo)準(zhǔn)的雙絞線連入車載以太網(wǎng)中。該工具的協(xié)議解析引擎對(duì)以太網(wǎng)包進(jìn)行拆包，隨后對(duì)應(yīng)用協(xié)議進(jìn)行分析。功能如下：外部接入設(shè)備可通過(guò)T1標(biāo)準(zhǔn)(IEEE100BASE-T1、IEEE1000BASE-T1)的雙絞線接入車輛。可與車載以太網(wǎng)進(jìn)行通信并實(shí)現(xiàn)對(duì)各種協(xié)議數(shù)據(jù)包的接收，瀏覽、保存、回訪、分析等功能。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載以太網(wǎng)安全測(cè)試工具

該工具主要用于車載以太網(wǎng)協(xié)議測(cè)試系統(tǒng)之后，用于自己構(gòu)造車載以太網(wǎng)協(xié)議以及應(yīng)用協(xié)議為模糊測(cè)試提供接口，并且指定服務(wù)端口以某個(gè)數(shù)據(jù)或者無(wú)限制進(jìn)行發(fā)送。工程師可以以此觀察車輛或者車機(jī)是否有異常反應(yīng)來(lái)判斷所測(cè)試的服務(wù)是否存在漏洞。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

車載網(wǎng)絡(luò)安全測(cè)試工具：車載以太網(wǎng)安全測(cè)試工具

該工具是車載以太網(wǎng)協(xié)議測(cè)試系統(tǒng)的擴(kuò)展功能，以功能插件的形式嵌入車載以太網(wǎng)協(xié)議測(cè)試系統(tǒng)中。功能如下：基于車載以太網(wǎng)協(xié)議測(cè)試系統(tǒng)，可以自定義封裝各種傳輸層協(xié)議頭，例如TCP/IP協(xié)議頭、針對(duì)車輛的AVB協(xié)議組(如：gPTP、AVBTP等)、各種應(yīng)用(如：HTTP、FTP）以及針對(duì)車輛的SOME/IP協(xié)議等?？梢詫?duì)指定協(xié)議按照指定頻率或者個(gè)數(shù)進(jìn)行數(shù)據(jù)包發(fā)送。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

軟件升級(jí)測(cè)試系統(tǒng)

該系統(tǒng)是由兩個(gè)部分組成的，一個(gè)部分是由OTA軟件升級(jí)部件測(cè)試系統(tǒng)與OTA軟件升級(jí)臺(tái)架測(cè)試系統(tǒng)一同構(gòu)成的升級(jí)測(cè)試系統(tǒng)。用于將部署安裝在待測(cè)廠商的系統(tǒng)中。另一個(gè)部分是OTA整車合規(guī)測(cè)試系統(tǒng)，是基于此升級(jí)系統(tǒng)的，在待測(cè)設(shè)備上部署監(jiān)控程序，按照《汽車軟件升級(jí)通用技術(shù)要求》的技術(shù)要求對(duì)待測(cè)系統(tǒng)進(jìn)行測(cè)試。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

軟件升級(jí)測(cè)試系統(tǒng)02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

軟件升級(jí)測(cè)試系統(tǒng)：OTA軟件升級(jí)部件測(cè)試系統(tǒng)

該系統(tǒng)在本項(xiàng)目中承擔(dān)測(cè)試OTA系統(tǒng)接入的車機(jī)更新以及ECU固件更新，是整個(gè)軟件升級(jí)測(cè)試系統(tǒng)中重要的一個(gè)子系統(tǒng)。此系統(tǒng)部署在OTA軟件升級(jí)臺(tái)架系統(tǒng)與外設(shè)對(duì)接的ECU固件上。待測(cè)廠商需要將自己的車機(jī)系統(tǒng)或者固件系統(tǒng)一同連入OTA軟件升級(jí)臺(tái)架測(cè)試系統(tǒng)。在更新完畢后，本系統(tǒng)會(huì)計(jì)算更新后固件的摘要值，測(cè)試人員可以此來(lái)與待測(cè)廠商提供的更新固件后的摘要值作比較來(lái)確定是否更新成功。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

軟件升級(jí)測(cè)試系統(tǒng)：OTA軟件升級(jí)部件測(cè)試系統(tǒng)

功能：支持FlexRay、LIN、CAN、CANFD以及車載以太的接口可接收鏈接設(shè)備發(fā)送的刷寫(xiě)數(shù)據(jù)可計(jì)算刷寫(xiě)完后摘要值以驗(yàn)證刷寫(xiě)的完整性具備人機(jī)界面來(lái)控制與觀察刷寫(xiě)過(guò)程并且可以模擬待測(cè)設(shè)備刷寫(xiě)ECU的操作02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

軟件升級(jí)測(cè)試系統(tǒng)：OTA軟件升級(jí)臺(tái)架測(cè)試系統(tǒng)

該系統(tǒng)是升級(jí)測(cè)試的主要測(cè)試場(chǎng)所，相當(dāng)于一臺(tái)真實(shí)的汽車。待測(cè)廠商需要將要測(cè)試的車機(jī)系統(tǒng)或ECU固件共同連入本系統(tǒng)中。本系統(tǒng)充當(dāng)整個(gè)測(cè)試過(guò)程中的承載與驗(yàn)算中心。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

軟件升級(jí)測(cè)試系統(tǒng)：OTA軟件升級(jí)臺(tái)架測(cè)試系統(tǒng)02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

軟件升級(jí)測(cè)試系統(tǒng)：OTA軟件升級(jí)臺(tái)架測(cè)試系統(tǒng)

功能如下：一套完整的可用于仿真或真實(shí)的OTA升級(jí)系統(tǒng)，是一套最簡(jiǎn)完備的OTA系統(tǒng)、OTA服務(wù)器、車載主機(jī)、ECU仿真。OTA服務(wù)器可以是自定義的仿真系統(tǒng)，也可以作為真實(shí)的車廠OTA服務(wù)器與車載主機(jī)鏈接的代理服務(wù)器。車載主機(jī)可以是自定義仿真設(shè)備，也可以真實(shí)連接待測(cè)車載主機(jī)。ECU仿真可以自定義仿真，也可以連入OTA軟件升級(jí)部件測(cè)試系統(tǒng)?？捎^察待測(cè)車機(jī)設(shè)備與OTA服務(wù)器協(xié)議交互過(guò)程。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

軟件升級(jí)測(cè)試系統(tǒng)：OTA整車合規(guī)測(cè)試系統(tǒng)

該系統(tǒng)用于評(píng)估待測(cè)廠商的OTA系統(tǒng)是否符合《汽車軟件升級(jí)通用技術(shù)要求》所規(guī)定的要求。OTA系統(tǒng)應(yīng)當(dāng)符合以下四個(gè)準(zhǔn)則：①升級(jí)前車輛狀態(tài)檢測(cè)；②升級(jí)包下載校驗(yàn)；③升級(jí)包安裝校驗(yàn)；④升級(jí)系統(tǒng)安全校驗(yàn)。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

軟件升級(jí)測(cè)試系統(tǒng)：OTA整車合規(guī)測(cè)試系統(tǒng)

本系統(tǒng)分為兩個(gè)部分：一個(gè)部分是按照《汽車軟件升級(jí)通用技術(shù)要求》將指導(dǎo)性的手冊(cè)放在一臺(tái)筆記本電腦上提供給測(cè)試工程師，工程師按照流程一一進(jìn)行驗(yàn)證測(cè)試。另外一個(gè)部分是軟件部分，因?yàn)橐O(jiān)控被測(cè)設(shè)備在升級(jí)前是否檢測(cè)了車輛狀態(tài)、是否對(duì)升級(jí)包進(jìn)行了校驗(yàn)，是否在安裝時(shí)進(jìn)行了校驗(yàn)，尤其是是否做了安全校驗(yàn)。這些僅憑看是否升級(jí)成功是很難確定的。02智能網(wǎng)聯(lián)汽車信息安全技術(shù)要求“信息安全測(cè)試設(shè)備”

軟件升級(jí)測(cè)試系統(tǒng)：OTA整車合規(guī)測(cè)試系統(tǒng)

本系統(tǒng)分為兩個(gè)部分：一個(gè)部分是按照《汽車軟件升級(jí)通用技術(shù)要求》將指導(dǎo)性的手冊(cè)放在一臺(tái)筆記本電腦上提供給測(cè)試工程師，工程師按照流程一一進(jìn)行驗(yàn)證測(cè)試。另外一個(gè)部分是軟件部分，因?yàn)橐O(jiān)控被測(cè)設(shè)備在升級(jí)前是否檢測(cè)了車輛狀態(tài)、是否對(duì)升級(jí)包進(jìn)行了校驗(yàn)，是否在安裝時(shí)進(jìn)行了校驗(yàn)，尤其是是否做了安全校驗(yàn)。這些僅憑看是否升級(jí)成功是很難確定的。03智能網(wǎng)聯(lián)汽車功能安全技術(shù)導(dǎo)入

思考：

那么當(dāng)功能安全分析到這預(yù)期危害后，可以生成有哪些安全措施？

假如蘇大強(qiáng)在高速行駛過(guò)程中，電子助力轉(zhuǎn)向系統(tǒng)的轉(zhuǎn)角傳感器突然失靈，轉(zhuǎn)向盤(pán)左右晃動(dòng)?！案拍睢?/p>

功能安全的定義是指不存在電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。智能網(wǎng)聯(lián)汽車擁有大量的輔助駕駛，甚至自動(dòng)駕駛功能，非機(jī)械結(jié)構(gòu)在車輛運(yùn)行中所占的比重越來(lái)越大，功能安全是智能網(wǎng)聯(lián)汽車量產(chǎn)的最基本保障。01功能安全技術(shù)“概念”

功能安全受開(kāi)發(fā)過(guò)程（例如，包括需求規(guī)范、設(shè)計(jì)、實(shí)現(xiàn)、集成、驗(yàn)證、確認(rèn)和配置）、生產(chǎn)過(guò)程、服務(wù)過(guò)程和管理過(guò)程的影響。安全問(wèn)題與常規(guī)的以功能為導(dǎo)向和以質(zhì)量為導(dǎo)向的開(kāi)發(fā)活動(dòng)及工作成果相互關(guān)聯(lián)，如圖6-17所示為GB/T34590的整體架構(gòu)。GB/T34590基于V模型為產(chǎn)品開(kāi)發(fā)的不同階段提供參考過(guò)程模型。01功能安全技術(shù)“功能安全相關(guān)概念”

功能安全中需首先確定研究對(duì)象——相關(guān)項(xiàng)定義。定義并描述相關(guān)項(xiàng)的功能，及其與駕駛?cè)恕h(huán)境、其他相關(guān)項(xiàng)在整車層面的相關(guān)性和相互影響；并為充分理解相關(guān)項(xiàng)提供支持，以便執(zhí)行后續(xù)階段的活動(dòng)。相關(guān)項(xiàng)定義的要求包括：①法規(guī)要求、國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)；②整車層面的功能行為，包括運(yùn)行模式或運(yùn)行狀態(tài)；③所要求的質(zhì)量、性能和功能的可用性（如果適用）；④相關(guān)項(xiàng)的約束，例如：功能依賴性、與其他相關(guān)項(xiàng)的依賴性、運(yùn)行環(huán)境；⑤行為不足的潛在后果（如有）包括已知的失效模式和危害；⑥執(zhí)行器的能力，或其假定的能力。01功能安全技術(shù)“功能安全相關(guān)概念”

危害分析和風(fēng)險(xiǎn)評(píng)估：指的是為了避免不合理的風(fēng)險(xiǎn)，對(duì)相關(guān)項(xiàng)的危害事件進(jìn)行識(shí)別和歸類的方法以及定義防止和減輕相關(guān)危害的安全目標(biāo)和ASIL等級(jí)的方法。其目的是識(shí)別并分類由相關(guān)項(xiàng)中的功能異常表現(xiàn)引起的危害事件。定義接受準(zhǔn)則，包括危害行為的安全度量，以及由接受準(zhǔn)則導(dǎo)出安全確認(rèn)目標(biāo)，用于評(píng)估殘余風(fēng)險(xiǎn)，制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo)及其相應(yīng)的ASIL等級(jí)，以避免不合理的風(fēng)險(xiǎn)。01功能安全技術(shù)“功能安全相關(guān)概念”

ASIL等級(jí)，即汽車安全完整性等級(jí)（AutomotiveSafetyIntegrityLevel，ASIL），用于定義相關(guān)項(xiàng)或要素需要，以避免不合理的風(fēng)險(xiǎn)。對(duì)于一個(gè)給定的危害可通過(guò)嚴(yán)重度（S）、暴露概率（E）或可控性（C）等方面進(jìn)行的分級(jí)定義，如表6-8~6-11所示。01功能安全技術(shù)“功能安全相關(guān)概念”01功能安全技術(shù)“功能安全相關(guān)概念”01功能安全技術(shù)“功能安全相關(guān)概念”01功能安全技術(shù)

通過(guò)分層的方法，從危害分析和風(fēng)險(xiǎn)評(píng)估中得出安全目標(biāo)，再由安全目標(biāo)得出功能安全要求，并將安全要求分配到系統(tǒng)架構(gòu)設(shè)計(jì)。使用初步架構(gòu)設(shè)想為在早期開(kāi)發(fā)階段處理不成熟的架構(gòu)信息提供了一種方法?！爱a(chǎn)品開(kāi)發(fā)階段”01功能安全技術(shù)

系統(tǒng)層面“產(chǎn)品開(kāi)發(fā)階段”01功能安全技術(shù)

系統(tǒng)架構(gòu)設(shè)計(jì)需要考慮驗(yàn)證系統(tǒng)架構(gòu)設(shè)計(jì)的能力，與實(shí)現(xiàn)功能安全相關(guān)的預(yù)期軟硬件要素的技術(shù)能力，在系統(tǒng)集成過(guò)程中執(zhí)行測(cè)試的能力。系統(tǒng)架構(gòu)設(shè)計(jì)的安全分析如表6-11所示。對(duì)于每種方法，應(yīng)用相關(guān)方法的推薦等級(jí)取決于ASIL等級(jí)，“++”高度推薦，“+”推薦，“o”不推薦也不反對(duì)該方法。分類如下：“產(chǎn)品開(kāi)發(fā)階段”01功能安全技術(shù)

硬件層面：硬件層面產(chǎn)品開(kāi)發(fā)的必要活動(dòng)和流程包括技術(shù)安全概念的硬件實(shí)現(xiàn)，分析潛在的硬件故障及其影響，與軟件開(kāi)發(fā)的協(xié)調(diào)，硬件層面開(kāi)發(fā)流程如圖6-19所示。“產(chǎn)品開(kāi)發(fā)階段”01功能安全技術(shù)

軟件層面：車輛在軟件層面產(chǎn)品開(kāi)發(fā)的要求，包括軟件安全要求，軟件架構(gòu)設(shè)計(jì)，軟件單元設(shè)計(jì)和實(shí)現(xiàn)，軟件單元驗(yàn)證，軟件集成和驗(yàn)證，嵌入式軟件測(cè)試等。軟件層面開(kāi)發(fā)流程如圖6-20所示?！爱a(chǎn)品開(kāi)發(fā)階段”01功能安全技術(shù)

軟件層面：軟件架構(gòu)設(shè)計(jì)原則如表6-15所示?！邦A(yù)期功能安全技術(shù)”01功能安全技術(shù)

預(yù)期功能安全需要識(shí)別的危害如圖6-21所示?！邦A(yù)期功能安全技術(shù)”01功能安全技術(shù)

預(yù)期功能安全(SafetyofTheIntendedFunctionality)，重點(diǎn)關(guān)注“預(yù)期的功能”的安全性，即：滿足預(yù)期設(shè)計(jì)要求的功能所具有的安全水平。因自動(dòng)駕駛車輛運(yùn)行場(chǎng)景條件的復(fù)雜性和未知性，自動(dòng)駕駛功能即使?jié)M足設(shè)計(jì)要求，仍可能存在大量的安全運(yùn)行風(fēng)險(xiǎn)，功能不足、觸發(fā)條件、整車行為危害的關(guān)聯(lián)如圖6-22所示。如何避免預(yù)期的功能所引發(fā)的安全風(fēng)險(xiǎn)，即為預(yù)期功能安全?！邦A(yù)期功能安全技術(shù)”01功能安全技術(shù)功能不足、觸發(fā)條件、整車行為危害的關(guān)聯(lián)“預(yù)期功能安全技術(shù)”01功能安全技術(shù)

現(xiàn)有關(guān)于智能網(wǎng)聯(lián)汽車預(yù)期功能安全的國(guó)際標(biāo)準(zhǔn)草案ISO/PAS21448規(guī)范和描述了一個(gè)基于迭代的系統(tǒng)分析流程，用于系統(tǒng)識(shí)別、分析、減少功能不足造成的