隨著汽車(chē)聯(lián)網(wǎng)和自動(dòng)駕駛功能逐漸落地，汽車(chē)信息安全變得越來(lái)越重要，那么汽車(chē)基礎(chǔ)軟件都有哪些安全技術(shù)手段呢？

01.信息安全基礎(chǔ)概念

首先我們來(lái)了解一下信息安全的基礎(chǔ)概念包括機(jī)密性、完整性、可用性、和不可抵賴(lài)性，每個(gè)屬性的主要表現(xiàn)均不相同。

1. 機(jī)密性

機(jī)密性，指的是對(duì)信息開(kāi)放范圍的控制，確保信息沒(méi)有非授權(quán)的泄漏，不被非授權(quán)的個(gè)人、組織和程序使用。需要保密的信息可以是車(chē)輛自身的密鑰、證書(shū)、配置參數(shù)，也可以是車(chē)輛使用者的相關(guān)隱私，包括用戶(hù)密碼、定位軌跡、消費(fèi)記錄等，甚至包括車(chē)外行人車(chē)輛的音視頻信息。保護(hù)機(jī)密性取決于信息定義和實(shí)施適當(dāng)?shù)脑L問(wèn)級(jí)別，這種做法常常涉及將信息分為訪問(wèn)權(quán)限和機(jī)密等級(jí)分級(jí)。一些最常用的手段包括的文件權(quán)限設(shè)置、通信加密、訪回控制列表以及文件數(shù)據(jù)加密等。

2.完整性

該屬性的關(guān)鍵是保護(hù)數(shù)據(jù)不被未授權(quán)方修改或刪除，防止由于如通信或者固件被篡改導(dǎo)致的黑客利用。具體需要重點(diǎn)防護(hù)的數(shù)據(jù)包括車(chē)輛控制器內(nèi)關(guān)鍵的配置參數(shù)、固件、操作系統(tǒng)、個(gè)人資料、通信報(bào)文信息等。常用于完整性保護(hù)的技術(shù)手段包括消息校驗(yàn)碼、數(shù)字簽名、安全啟動(dòng)等。

3. 可用性

可用性是在某個(gè)考察時(shí)間，系統(tǒng)能夠正常運(yùn)行的概率或時(shí)間占有率期望值。為保證可用性，可以采用冗余的方式進(jìn)行，包括報(bào)文信號(hào)的冗余、傳感器 / 控制器 / 執(zhí)行器的冗余、控制信號(hào)通道的冗余以及供電等基礎(chǔ)設(shè)施的冗余等。

4. 不可抵賴(lài)性

不可抵賴(lài)性主要應(yīng)用在電子商務(wù)領(lǐng)域，如移動(dòng)支付等場(chǎng)景，保證用戶(hù)對(duì)自己行為的不可抵賴(lài)及對(duì)行為發(fā)生時(shí)間的不可抵賴(lài)。通過(guò)進(jìn)行身份認(rèn)證和數(shù)字簽名可以避免對(duì)交易行為的抵賴(lài)，通過(guò)數(shù)字時(shí)間戳可以避免對(duì)行為發(fā)生的抵賴(lài)。

02.常見(jiàn)安全分析模型

1.STRIDE 安全建模

STRIDE安全建模方法最早是由微軟提出的，主要應(yīng)對(duì)六種威脅：身份假冒、篡改、抵賴(lài)、信息泄露、拒絕服務(wù)、特權(quán)提升，如下圖。

那STRIDE分析方法的流程是什么呢？

第一步：繪制數(shù)據(jù)流圖。根據(jù)功能邏輯，繪制數(shù)據(jù)在實(shí)體間的傳遞和存儲(chǔ)。其中數(shù)據(jù)流圖包含四個(gè)要素：實(shí)體、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)流。其中實(shí)體代表處理數(shù)據(jù)的用戶(hù)、設(shè)備等實(shí)體；數(shù)據(jù)處理表示針對(duì)數(shù)據(jù)的處理過(guò)程，有輸入輸出路徑；數(shù)據(jù)存儲(chǔ)表示存儲(chǔ)數(shù)據(jù)的內(nèi)部實(shí)體，如數(shù)據(jù)庫(kù)、消息隊(duì)列、文件等；數(shù)據(jù)流表示實(shí)體與數(shù)據(jù)處理、數(shù)據(jù)處理之間或數(shù)據(jù)處理與數(shù)據(jù)存儲(chǔ)之間的交互。

第二步：識(shí)別威脅。STRIDE威脅建模方法已經(jīng)明確了每個(gè)數(shù)據(jù)流圖元素具有不同的威脅，其中外部實(shí)體只有仿冒（S）、抵賴(lài)（R）威脅，數(shù)據(jù)流只有篡改（T）、信息泄露（I）、拒絕服務(wù)（D）威脅，出來(lái)過(guò)程有所有六種（STRIDE）威脅，存儲(chǔ)過(guò)程有篡改（T） ,信息泄露（I）、拒絕服務(wù)（D）威脅，但如果是日志類(lèi)型存儲(chǔ)則還有抵賴(lài)（R）威脅。具體可以對(duì)照如下表格進(jìn)行識(shí)別。

第三步：確定應(yīng)對(duì)措施。針對(duì)不同的威脅確定應(yīng)對(duì)措施，如為檢測(cè)存儲(chǔ)數(shù)據(jù)的篡改可以通過(guò)消息校驗(yàn)碼、簽名等方式進(jìn)行檢測(cè)。若實(shí)體的假冒導(dǎo)致了危害，可以通過(guò)身份認(rèn)證方式進(jìn)行。參考的應(yīng)對(duì)措施如下表：

第四步：安全驗(yàn)證。在威脅建模完成后，需要對(duì)整個(gè)過(guò)程進(jìn)行回顧，不僅要確認(rèn)緩解措施是否能夠真正緩解潛在威脅，同時(shí)驗(yàn)證數(shù)據(jù)流圖是否符合設(shè)計(jì)，代碼實(shí)現(xiàn)是否符合預(yù)期設(shè)計(jì)，所有的威脅是否都有相應(yīng)的緩解措施。最后威脅家命名報(bào)告留存檔案，座位后續(xù)迭代開(kāi)發(fā)、增量開(kāi)發(fā)時(shí)威脅建模的參考依據(jù)。

2.HEAVENS 安全模型

根據(jù) SAEJ3061 法規(guī)，可以使用 HEAVENS 安全模型進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估，包括威脅等級(jí)評(píng)估，影響等級(jí)評(píng)估，并最終得到影響等級(jí)，并確定安全需求。

威脅分析 – 功能用例的描述是威脅分析過(guò)程的輸入。威脅分析產(chǎn)生兩個(gè)輸出：

（1）每個(gè)資產(chǎn)的威脅和資產(chǎn)之間的映射和

（2）威脅與安全屬性之間的映射以確定哪些安全屬性因資產(chǎn)上下文中的特定威脅而受到影響。

風(fēng)險(xiǎn)評(píng)估 – 一旦確定了相關(guān)資產(chǎn)的威脅，下一步就是對(duì)威脅進(jìn)行排序。這是風(fēng)險(xiǎn)評(píng)估期間所做的工作。威脅和資產(chǎn)之間的映射與威脅級(jí)別（TL）和影響級(jí)別（IL）參數(shù)一起用作輸入。威脅級(jí)別參數(shù)（威脅級(jí)別（TL））和影響級(jí)別參數(shù)。作為風(fēng)險(xiǎn)評(píng)估的威脅分析 – 功能用例的描述是威脅分析過(guò)程的輸入。

03.汽車(chē)基礎(chǔ)軟件信息安全生命周期

1 概念開(kāi)發(fā)階段

概念開(kāi)發(fā)階段主要的目的是通過(guò)整車(chē)功能，如遠(yuǎn)程控制功能、轉(zhuǎn)向功能等的分析，應(yīng)用信息安全分析模型識(shí)別信息安全漏洞，評(píng)估安全等級(jí)。針對(duì)安全等級(jí)較高的漏洞設(shè)計(jì)安全機(jī)制來(lái)應(yīng)對(duì)黑客的攻擊。

信息安全的實(shí)現(xiàn)并非是通過(guò)獨(dú)立的安全機(jī)制可以實(shí)現(xiàn)的，需要進(jìn)行信息安全縱深防御體系設(shè)計(jì)。從云端 - 車(chē)云通訊 - 車(chē)端控制器 - 應(yīng)用軟件 - 基礎(chǔ)軟件 - 硬件等多個(gè)維度進(jìn)行層層防御，設(shè)計(jì)相應(yīng)的安全措施提升安全性。基礎(chǔ)軟件的安全需求主要來(lái)自以下兩個(gè)方面：

1. 實(shí)現(xiàn)更高一級(jí)來(lái)自于功能 / 控制器的信息安全需求。如特定控制器需實(shí)現(xiàn)加密通訊，基礎(chǔ)軟件需要保證安全通訊協(xié)議、密鑰管理、加密認(rèn)證、加密存儲(chǔ)等功能

2. 基礎(chǔ)軟件自身安全的要求。為保證上述功能的安全實(shí)現(xiàn)不被繞過(guò)，基礎(chǔ)軟件還需保證自身的安全，如不存在公開(kāi)漏洞、安全啟動(dòng)等。

2 產(chǎn)品開(kāi)發(fā)階段

軟件安全需要基于完整的安全分析進(jìn)行設(shè)計(jì)，從硬件的安全信任根開(kāi)始，保證每層的程序調(diào)用都是基于經(jīng)過(guò)驗(yàn)證的，包括程序完整性的驗(yàn)證，訪問(wèn)權(quán)限的驗(yàn)證，參數(shù)合理性驗(yàn)證等。

軟件實(shí)現(xiàn)過(guò)程是一個(gè)容易引入信息安全問(wèn)題的過(guò)程，有三個(gè)方面需要重點(diǎn)關(guān)注：

1. 開(kāi)源代碼。隨著業(yè)界開(kāi)源的范圍越來(lái)越廣，從操作系統(tǒng)到基礎(chǔ)軟件、加密算法，都有很多開(kāi)源庫(kù)供程序編寫(xiě)人員使用，雖加快了軟件實(shí)現(xiàn)的速度，但是良莠不齊的開(kāi)源庫(kù)也會(huì)帶來(lái)很多信息安全問(wèn)題。有些開(kāi)源庫(kù)長(zhǎng)期無(wú)人維護(hù)，已存在大量的漏洞，若不加鑒別直接使用，就會(huì)導(dǎo)致整個(gè)系統(tǒng)漏洞百出。因此在使用開(kāi)源代碼時(shí)，優(yōu)先選擇得到持續(xù)支持的開(kāi)源庫(kù)，并且持續(xù)關(guān)注其信息安全相關(guān)的補(bǔ)丁，并及時(shí)進(jìn)行更新。

2. 開(kāi)發(fā)周期長(zhǎng)。汽車(chē)行業(yè)相較于功能先進(jìn)性，控制器的穩(wěn)定性是更加追求的要素。一款車(chē)型開(kāi)發(fā)周期動(dòng)輒 2-3 年，使用的軟件版本也是相對(duì)成熟。這就會(huì)導(dǎo)致在車(chē)輛開(kāi)發(fā)過(guò)程中，所使用的軟件就可能被挖掘出多個(gè)漏洞，若不及時(shí)進(jìn)行更新或者修復(fù)漏洞，剛上市的新車(chē)就可能有很多已知漏洞的存在。因此，在正式量產(chǎn)之前，一定需要對(duì)其產(chǎn)品進(jìn)行漏洞掃描，防止已知漏洞的存在。

3. 開(kāi)發(fā)人員信息安全意識(shí)缺乏。在程序開(kāi)發(fā)過(guò)程中，由于進(jìn)度要求，開(kāi)發(fā)人員天然會(huì)更加關(guān)注功能的實(shí)現(xiàn)，而對(duì)信息安全的防護(hù)意識(shí)不足，導(dǎo)致實(shí)現(xiàn)的程序遺留了可以被黑客利用的漏洞。因此，加強(qiáng)開(kāi)發(fā)人員的信息安全意識(shí)，加強(qiáng)程序釋放過(guò)程中信息安全的檢測(cè)勢(shì)在必行。

在完成基礎(chǔ)軟件的開(kāi)發(fā)后，需要針對(duì)其安全性進(jìn)行測(cè)試，包括軟件本身是否正確實(shí)現(xiàn)相關(guān)需求以及是否有未知漏洞兩個(gè)方面進(jìn)行測(cè)試。

1.靜態(tài)代碼檢查，可以通過(guò)商業(yè)工具如 QAC 進(jìn)行靜態(tài)代碼檢查，保證其符合 CERT C 等信息安全代碼規(guī)范；

2.需求一致性測(cè)試，通過(guò)單元測(cè)試、集成測(cè)試等方法，確定軟件的實(shí)現(xiàn)與軟件設(shè)計(jì)需求保持一致；

在保證軟件實(shí)現(xiàn)與需求一致后，需要通過(guò)以下三種測(cè)試手段確認(rèn)軟件的安全性：

漏洞掃描，通過(guò)漏洞掃描軟件如 defensecode 進(jìn)行現(xiàn)有漏洞的掃描，防止軟件存在已知漏洞；

模糊測(cè)試，通過(guò)大量的隨機(jī)請(qǐng)求，測(cè)試軟件的魯棒性，探測(cè)其是否有未知漏洞；

滲透測(cè)試，通過(guò)專(zhuān)業(yè)滲透人員的分析，尋找程序邏輯中的漏洞，并嘗試進(jìn)行利用。若發(fā)現(xiàn)新的漏洞，則反饋給開(kāi)發(fā)人員進(jìn)行修正。

3.后開(kāi)發(fā)階段（生產(chǎn)、運(yùn)維、報(bào)廢）

在生產(chǎn)階段，要保證基礎(chǔ)軟件和應(yīng)用軟件在產(chǎn)線的正常刷寫(xiě)。產(chǎn)線軟件的注入需要保證刷寫(xiě)方經(jīng)過(guò)認(rèn)證，例如供應(yīng)商完成基礎(chǔ)軟件的刷寫(xiě)，內(nèi)部包含初始密鑰。OEM 在產(chǎn)線刷寫(xiě)更新密鑰、證書(shū)、配置等內(nèi)容前，需首先完成與控制器的相互認(rèn)證。

信息安全是一個(gè)動(dòng)態(tài)的過(guò)程，在軟件使用過(guò)程中，隨著技術(shù)的進(jìn)步，之前安全的軟件可能會(huì)出現(xiàn)（或發(fā)現(xiàn)）新的漏洞。因此軟件維護(hù)人員需持續(xù)監(jiān)控最新的漏洞消息，及時(shí)更新相關(guān)軟件補(bǔ)丁，保持軟件的安全性。在更新過(guò)程中，也需保證對(duì)更新源的認(rèn)證，更新軟件完整性校驗(yàn)，版本校驗(yàn)，防止黑客利用更新的漏洞進(jìn)行軟件的惡意修改。

在車(chē)輛的使用過(guò)程中，控制器內(nèi)可能存儲(chǔ)了大量的用戶(hù)使用信息。在車(chē)輛的報(bào)廢 / 買(mǎi)賣(mài)，或者某一部件的更換的情況下，用戶(hù)信息會(huì)有泄露風(fēng)險(xiǎn)。為保證車(chē)輛的數(shù)據(jù)安全，基礎(chǔ)軟件需支持敏感數(shù)據(jù)（如密鑰、證書(shū)、用戶(hù)資料、指紋識(shí)別信息等）的一鍵銷(xiāo)毀。

04汽車(chē)基礎(chǔ)軟件信息安全需求

信息安全的實(shí)現(xiàn)并非是通過(guò)獨(dú)立的安全機(jī)制可以實(shí)現(xiàn)的，需要進(jìn)行信息安全縱深防御體系設(shè)計(jì)。從云端 - 車(chē)云通訊 - 車(chē)端控制器 - 應(yīng)用軟件 - 基礎(chǔ)軟件 - 硬件等多個(gè)維度進(jìn)行層層防御，設(shè)計(jì)相應(yīng)的安全措施提升安全性?；A(chǔ)軟件的安全需求主要來(lái)自以下兩個(gè)方面：

1. 實(shí)現(xiàn)更高一級(jí)來(lái)自于功能 / 控制器的信息安全需求。如特定控制器需實(shí)現(xiàn)加密通訊，基礎(chǔ)軟件需要保證安全通訊協(xié)議、密鑰管理、加密認(rèn)證、加密存儲(chǔ)等功能。

2. 基礎(chǔ)軟件自身安全的要求。為保證上述功能的安全實(shí)現(xiàn)不被繞過(guò)，基礎(chǔ)軟件還需保證自身的安全，如不存在公開(kāi)漏洞、安全啟動(dòng)等。

1 安全啟動(dòng)

安全啟動(dòng)（SecureBoot）是 MCU 的基本功能，通過(guò)硬件加密模塊來(lái)實(shí)現(xiàn)，該機(jī)制必須獨(dú)立于用戶(hù)程序運(yùn)行，不能被破壞。作為整個(gè)安全啟動(dòng)信任鏈的基礎(chǔ)，安全啟動(dòng)必須主要用于在 MCU 啟動(dòng)之后，用戶(hù)程序執(zhí)行之前，對(duì)用戶(hù)定義的 Flash 中關(guān)鍵程序的數(shù)據(jù)完整性和真實(shí)性進(jìn)行驗(yàn)證，確定是否被篡改。如果驗(yàn)證失敗，說(shuō)明 MCU 處于不可信的狀態(tài)，部分功能甚至整個(gè)程序不能運(yùn)行。

2 安全通信

在目前的車(chē)載網(wǎng)絡(luò)中，大部分?jǐn)?shù)據(jù)傳輸都是在沒(méi)任何安全措施的情況下進(jìn)行的。例如應(yīng)用最廣的CAN 通訊設(shè)計(jì)之初是沒(méi)有考慮過(guò)信息安全問(wèn)題的，其明文傳輸、報(bào)文廣播傳輸、極少網(wǎng)絡(luò)分段等特性，讓進(jìn)入整車(chē)網(wǎng)絡(luò)的黑客如同進(jìn)了游樂(lè)場(chǎng)，輕松便可以偽造報(bào)文對(duì)車(chē)輛進(jìn)行控制。

SecOC 是在 AUTOSAR 軟件包中添加的信息安全組件（組件位置及可應(yīng)用的通訊方式如下圖所示），該 Feature 增加了 CMAC 運(yùn)算、秘鑰管理、新鮮值管理和分發(fā)等一系列的功能和新要求。SecOC 模塊在PDU 級(jí)別上為關(guān)鍵數(shù)據(jù)提供有效可行的身份驗(yàn)證機(jī)制，認(rèn)證機(jī)制與當(dāng)前的 AUTOSAR 通信系統(tǒng)無(wú)縫集成，同時(shí)對(duì)資源消耗的影響應(yīng)盡可能小，以便為舊系統(tǒng)提供附加保護(hù)。

此外，車(chē)云通訊的安全性主要依靠 TLS/SSL 協(xié)議保證。TLS 協(xié)議采用主從式架構(gòu)模型，用于在兩個(gè)應(yīng)用程序間透過(guò)網(wǎng)絡(luò)創(chuàng)建起安全的連接，防止在交換數(shù)據(jù)時(shí)受到竊聽(tīng)及篡改。

3 安全診斷

一些用于將例程或數(shù)據(jù)下載 / 上傳到服務(wù)器以及從服務(wù)器讀取特定內(nèi)存位置的診斷服務(wù)可能需要進(jìn)行身份驗(yàn)證。不正確的程序或下載到服務(wù)器的數(shù)據(jù)可能會(huì)潛在地?fù)p害電子設(shè)備或其他車(chē)輛部件，或可能違背車(chē)輛的排放或安全等標(biāo)準(zhǔn)。另一方面，當(dāng)從服務(wù)器檢索數(shù)據(jù)時(shí)，可能會(huì)違反數(shù)據(jù)安全性。因此需在這些服務(wù)執(zhí)行前，要求客戶(hù)證明其身份，在合法身份確認(rèn)之后，才允許其訪問(wèn)數(shù)據(jù)和診斷服務(wù)。

所以安全診斷是通過(guò)某種認(rèn)證算法來(lái)確認(rèn)客戶(hù)端的身份，并決定客戶(hù)端是否被允許訪問(wèn)?？梢酝ㄟ^(guò)對(duì)隨機(jī)數(shù)種子生成的非對(duì)稱(chēng)簽名進(jìn)行驗(yàn)證或者通過(guò)基于對(duì)稱(chēng)加密算法的消息校驗(yàn)碼來(lái)驗(yàn)證其身份。

4 安全調(diào)試

現(xiàn)在基本控制器都配備了基于硬件的調(diào)試功能，用于片上調(diào)試過(guò)程。安全 JTAG 模式是指通過(guò)使用基于挑戰(zhàn) / 響應(yīng)的身份驗(yàn)證機(jī)制來(lái)限制 JTAG 訪問(wèn)。檢查對(duì) JTAG 端口的任何訪問(wèn)，只有授權(quán)的調(diào)試設(shè)備（具有正確響應(yīng)的設(shè)備）才能訪問(wèn) JTAG 端口，未經(jīng)授權(quán)的 JTAG 訪問(wèn)嘗試將被拒絕。在生產(chǎn)或者下線階段，必須要禁用或者鎖定相關(guān)的調(diào)試診斷接口，禁用意味著無(wú)法與硬件調(diào)試接口建立連接，鎖定意味著硬件調(diào)試接口受到保護(hù)，只能根據(jù)安全調(diào)試解鎖來(lái)訪問(wèn)。

5 安全升級(jí)

隨著越來(lái)越復(fù)雜的網(wǎng)絡(luò)環(huán)境，在軟件升級(jí)更新過(guò)程中，保證升級(jí)包的發(fā)布來(lái)源有效、不被篡改、數(shù)據(jù)不丟失以及升級(jí)內(nèi)容不被惡意獲取變得越來(lái)越重要。

傳統(tǒng)升級(jí)過(guò)程升級(jí)包的數(shù)據(jù)基本上是以明文傳輸，數(shù)據(jù)校驗(yàn)方式也是安全性較低的散列算法。安全升級(jí)在傳統(tǒng)升級(jí)基礎(chǔ)上，一方面使用添加簽名的固件和在固件驗(yàn)證過(guò)程中額外執(zhí)行簽名驗(yàn)證來(lái)增強(qiáng)固件完整性驗(yàn)證，保證數(shù)據(jù)來(lái)源可靠，數(shù)據(jù)完整沒(méi)有被篡改；另一方面還增加了對(duì)通過(guò)服務(wù)器加密固件的解密功能，傳輸數(shù)據(jù)過(guò)程通過(guò)密文傳輸，有效的降低 OTA 無(wú)線更新時(shí)數(shù)據(jù)暴露的風(fēng)險(xiǎn)。

6 安全存儲(chǔ)

一次性可編程存儲(chǔ)器 OTP(On Chip One Time Programmable ROM, On-Chip OTP ROM)，也稱(chēng)為eFuse，是芯片中特殊存儲(chǔ)模塊，字段中的任何 eFuse 位都只能從 0 編程為 1（融合），只能被燒寫(xiě)一次，但是讀取操作沒(méi)有限制。安全存儲(chǔ)還可以通過(guò)將 Flash 某些區(qū)域設(shè)置只讀或者只寫(xiě)來(lái)實(shí)現(xiàn)，防止非法訪問(wèn)和篡改。Flash 保護(hù)區(qū)域的數(shù)量和大小會(huì)根據(jù) Flash 的類(lèi)型和該 Flash 塊的大小而有所不同。

本文整理自中國(guó)汽車(chē)基礎(chǔ)軟件信息安全研究報(bào)告