摘要：汽车智能化发展对汽车信息安全提出了更高要求，完善汽车信息安全标准体系，能够有效管理车辆信息安全。为此，针对智能网联汽车信息安全问题，梳理了国内外相关现行标准，分析了整车信息安全测试方法，为汽车信息安全的标准制定及测试提供参考。

关键词：汽车信息安全;标准;测试方法;智能网联

中图分类号：U467.5 收稿日期：2023-07-15

DOI：10.19999/j.cnki.1004-0226.2023.10.027

1 前言

随着智能化的发展，汽车产业成为国民经济的支柱产业。汽车智能化给人类带来便捷的同时也存在诸多隐患：2021年4月6日，某车内摄像头高清画面被黑客曝光冲上微博热搜；2022年5月17日，某车钥匙系统被破解，10 s内可远程盗走车辆；2020年某车企共享高端车被盗，临时停止了在地区的共享汽车服务；2015年，黑客远程攻击JEEP导致召回140多万辆汽车[1]。汽车一旦爆发网络安全，将危及财产安全、隐私安全、人身安全，出台汽车信息安全相关标准和法规，完善汽车信息安全技术标准体系，建立统一的标准检测方法，有助于国家安全及社会稳定。

2 国内外信息安全法规及标准动态

对于汽车信息安全的威胁包括云端威胁、网络传输威胁、车载终端威胁、生态互联威胁四个层面，主要受攻击零部件包括CAN总线、IVI、T-box、云平台、手机APP，对应信息安全风险系数为68%、67%、52%、49%、38%。世界各国高度重视汽车网络安全，积极推出汽车信息安全政策法规。

2.1 国外标准动态

对于汽车信息安全标准法规建设，国外起步较早，目前已经出现很多网络信息安全标准[2]。如表1所示，美国SAE（美国与国际汽车工程师学会）针对汽车在生产过程中全生命周期出现的信息安全问题，制定了SAE J 2186-2019和SAE J 2836-2018标准，旨在将信息安全融入整个车机系统的开发及更新。英国早在20世纪90年代就发布了两项关于汽车电子设备安全的规范，涉及车辆与外部设备之间的通信安全、车辆防盗系统安全、车联网服务安全等内容，近年来发布了车辆网络服务安全相关标准。德国在汽车信息安全方面明确了许可条件，提出了智能网联汽车的信息存储利用、系统管理、责任归属等要求，这些标准为智能网联汽车信息安全提供了重要参考。

在国际上最具指导意义的是欧盟发布的UNECE R155网络安全法规[3]。UNECE R155信息安全法规适用于M/N类车辆、至少装有1个电控单元的O类车辆、L3及以上车辆，该法规于2021年1月22日生效，目前在汽车行业内具有较强的指导意义。UNECE R155主要分为网络安全管理体系认证（CSMS）和车辆型式审批（VTA）两部分，其中，CSMS认证主要审查原始设备制造商（OEM）是否建立了涵盖汽车全生命周期的网络安全相关体系，以确保汽车全生命周期都有对应的流程措施，VTA则是确保OEM开发的汽车信息安全架构及防护方案在进行审查认证时满足基本要求。

2.2 国内标准动态

国际标准UNEC R155的推出，加速了国内相关标准的转化。2019年11月5日，秘书处组织行业单位召开了整车信息安全标准立项会议，对标准内容、范围、初步框架进行研讨；2021年7月，将《汽车整车信息安全技术要求》标准性质由推荐性转为强制性，并进行强标立项公示，预计在2023年10月完成审查、报批[4-5]。《汽车整车信息安全要求》作为UNECE R155的中国化，涵盖企业管理要求、车辆一般要求、车辆技术要求、车辆试验方法、车辆型式的扩展以及实施日期等内容，其中汽车信息安全管理体系要求源自UNEC R155正文7.2章节的转化，车信息安全一般要求在UNECE R155正文7.2和7.3章节的基础上融入了附录5中所列出的外部服务器安全、无意识行为安全和潜在漏洞安全三类风险处置措施；车辆技术要求根据国内汽车产品信息安全防护水平现状和发展趋势，在UNECE R155附录5中的同类风险和处置方式基础上新增条款要求1项、修正条款要求8项。在《汽车整车信息安全技术要求》强制标准公布之前，国内各部门还出台了相关政策法规，详见表2。

3 整车信息安全测试

整车信息安全作为体系保障过程的产物，是从风险可见到风险控制的优化过程，因此汽车信息安全合规分为体系审核和车型检验两个环节，在车型检验环节需要先评估开发流程再开展车型验证测试。

3.1 TARA

TARA（Threat Analysis and Risk Assessment），即威胁分析与风险评估，是汽车领域中针对网络安全分析与评估的方法论[6]。TARA作为整车信息安全开发和验证全生命周期的第一步，从概念阶段分析识别车辆潜在的威胁及其风险等级，进而确定道路交通参与者受威胁场景影响的程度。图1所示为TARA分析过程，通过全面分析和评估整车及其电子电气架构存在的信息安全风险，才能制定并实施测试验证方案。

3.2 测试样例

从试验检测角度出发，信息安全测试主要以外部接口、内部网络、关键零部件、远程服务提供商（TSP）、应用程序（APP）数据安全等为主。通俗来讲整车信息安全测试分为硬件和软件两大板块，硬件主要是分析PCB板上有无非授权访问的端口，对于软件则包含车机、远程车载信息交互系统（T-BOX）、汽车诊断接口（OBD）、汽车网关、域控制器、ECU/传感器/执行器等多项内容。针对测试方法，一方面从硬件端核验是否有多余的端口，并尝试访问对应端口；另一方面从软件端破坏原有的程序数据，核验破坏后的程序数据是否成功运行。以某款测试样车为例具体介绍测试过程，样车测试包含安全OTA升级、固件漏洞扫描、云平台信息泄漏、射频钥匙、HUT接口、CAN通道安全、通信通道安全、OBD口连接安全、数据保护等12项内容，具体测试步骤如下所示：

a.OTA升级。

①测试车辆连接测试PC热点，使用wireshark对热点网卡进行抓包；②对某ECU进行OTA升级，分析抓取的数据是否使用TLS1.2及以上协议保障数据的完整性、机密性；③破坏升级包的完整性，推送篡改后的升级包进行升级，查看是否能够升级成功，无法升级则测试通过，否则测试不通过。

b.固件漏洞扫描。

①使用固件扫描工具Cybellum，对固件包进行扫描；②查看扫描结果是否有漏洞和密钥/证书的泄漏；③对固件包进行逆向分析，观察是否存在证书泄漏，若不存在高危漏洞且无密钥/证书泄漏等其他问题则测试通过，否则测试不通过。

c.云平台信息泄漏。

①使用nmap对该域名进行端口扫描，查看是否存在可利用端口，若不存在可利用端口则通过，若存在可利用端口则尝试进行连接，查看是否存在非授权访问漏洞，若不存在非授权访问漏洞则通过，否则不通过；②使用子域名扫描工具dirsearch对第三方服务器进行子域名探测，查看是否存在响应码为200的的目录地址，检测是否存在可被非授权访问的内容；③使用漏扫工具AWVS对OTA服务器，TSP服务器和IDPS服务器进行漏扫，观察是否存在未授权访问漏洞，若存在则不通过。

d.射频钥匙。

①使用HackRF设备录制射频钥匙解锁数据；②重复多次回放解锁数据，观察射频钥匙解锁功能是否生效；③录制钥匙解锁信号，分析射频信号频谱，制定基本线；④寻找射频信号可能的校验位。

e.HUT接口。

①拆卸设备外壳，使用调试器检查硬件是否存在jtag/uart/swd接口，查看是否存在adb调试接口，并使用usb线束检查是否存在有限adb调试，若未开启调试接口，则通过，否则不通过；②使用测试PC通过有线方式与HUT车内以太网接口连接，对HUT进行端口服务扫描，检测是否开启了调试端口，若无调试端口开放，则通过，否则不通过。

f.CAN通道安全。

①使用总线收发工具监听ECU的应用报文；②分别构造与通信矩阵中ID不符、DATA不符、DLC不符以及周期不符的报文发送至ECU，查看ECU是否转发。若不转发与通信矩阵不符的报文则通过，否则测试不通过。

g.通信通道安全。

CAN：①使用200U发送ID为0x001，周期为5 ms的报文，尝试将通道利用率拉至80%；②查看车辆是否出现异常现象；③查看车辆诊断功能在DoS攻击下是否正常；④若车辆无异常且诊断功能不受影响则测试通过，否则不通过。

蓝牙：①使用L2ping及CVE-2020-0022攻击脚本对待测蓝牙的MAC进行拒绝服务攻击；②攻击过程中使用测试手机连接待测蓝牙，观察能否正常连接，若连接功能不受影响则测试通过，否则不通过。

Wifi：①将测试手机连接车辆热点，使用Wifi安全测试工具对被测热点进行拒绝服务攻击；②若热点功能正常，Wifi连接不会受到影响，则测试通过，否则不通过。

h.OBD口连接安全。

非授权控车：①使用peakCAN接入OBD接口，扫描整车上支持UDS功能的诊断ID；②对所有诊断ID发送021101及021103，观察车辆使用响应ECU reset。

非授权写入：①使用peakCAN接入OBD接口，扫描整车上支持UDS功能的诊断ID；②挑选其中一对诊断ID进行22服务扫描；③选取3个22服务，使用2E服务进行写入测试，验证是否具有安全访问机制；④若具有27服务，则尝试多次获取27服务的seed，验证seed是否随机；⑤若整车所有ECU对11服务消极响应，且2E服务写入是需要通过27安全访问服务，且27服务的seed每次随机，则测试通过，否则不通过。

i.数据保护。

①获取用户隐私数据的系统文件路径，根据OEM提供的ADB登录方式进行登录并查看数据，确认是否对隐私数据进行加密处理。若加密则通过，否则不通过；②根据OEM提供的ID及DID，通过22服务读取EDR数据，并通过2E服务尝试篡改EDR数据，查看读取及修改EDR数据时是否需要先通过27安全访问。若需要则测试通过，否则不通过；③获取关键日志路径，根据OEM提供的ADB登录方式进行登录并查看关键日志，确认是否对隐私数据进行加密处理，若加密则通过，否则不通过。

j.第三方APK服务及病毒。

①尝试使用USB设备在车辆多媒体主机上安装第三方apk，若不能正常安装，则通过，否则不通过；②尝试使用USB设备在车辆多媒体主机上执行恶意文件，若恶意文件执行不成功，则通过，否则不通过。

k.安装启动。

①篡改U盘刷写版本的多媒体主机固件包文件；②尝试在整车上通过U盘刷写篡改后的多媒体主机固件包，查看能否刷写成功；③篡改固件包的boot文件；④在测试台架上刷写篡改后的固件包，查看能否刷写成功，重新上电后是否正常启动。

l.IDS和VSOC。

①根据抽选协议类型构造攻击数据，对车辆发送攻击数据，查看是否触发安全日志记录；②查看VSOC平台是否存在对应安全日志，若车端能够检测到攻击并记录日志，并且VSOC上保存安全日志，则测试通过，否则不通过。

4 结语

从测试项来看，整车信息安全测试涵盖内容众多，随着智能化的发展，未来车机测试项会越来越多，亟待开展整车信息安全测试方法研究；对于标准法规，不少行业内权威机构都在制定汽车信息安全法规和标准，对于业内公认的一些框架性标准未来会趋于相对一致，但会因车型、具体应用场景存在些许差异。因此推进汽车网络安全建设，加快我国整车信息安全标准法规落地实施，完善汽车信息安全技术标准体系，建立多维度、全方位整车信息安全检测方法，是未来汽车信息安全的重点研究方向。

参考文献：

[1]邬江兴.智能网联汽车内生安全问题与对策[J].重庆邮电大学学报（自然科学版），2023，35（3）：383-390.

[2]孙潇鹏，郭海龙，肖心远，等.智能网联汽车信息安全标准研究综述[J].广东交通职业技术学院学报，2023，22（1）：44-47+71.

[3]李宝田.汽车信息安全领域首个ISO国际标准正式发布[J].中国汽车，2021（9）：16-17.

[4]马艳. 我国智能网联汽车标准2025年将超百项[N].中国工业报，2023-08-04.

[5]孙航，解瀚光，王兆.智能网联汽车信息安全标准体系建设与产业政策研究[J].中国汽车，2018（12）：38-43.

[6]陈姿霖，王远波，美少楠.浅谈ECE R155法规对车辆网络安全的准入要求[J].汽车电器，2022（8）：65-66.

作者简介：

马文博，男，1990年生，工程师，研究方向为智能网联汽车测试评价。