隨著汽車聯(lián)網(wǎng)和自動駕駛功能逐漸落地，汽車信息安全變得越來越重要，那么汽車基礎(chǔ)軟件都有哪些安全技術(shù)手段呢？

01.信息安全基礎(chǔ)概念

首先我們來了解一下信息安全的基礎(chǔ)概念包括機密性、完整性、可用性、和不可抵賴性，每個屬性的主要表現(xiàn)均不相同。

1. 機密性

機密性，指的是對信息開放范圍的控制，確保信息沒有非授權(quán)的泄漏，不被非授權(quán)的個人、組織和程序使用。需要保密的信息可以是車輛自身的密鑰、證書、配置參數(shù)，也可以是車輛使用者的相關(guān)隱私，包括用戶密碼、定位軌跡、消費記錄等，甚至包括車外行人車輛的音視頻信息。保護機密性取決于信息定義和實施適當?shù)脑L問級別，這種做法常常涉及將信息分為訪問權(quán)限和機密等級分級。一些最常用的手段包括的文件權(quán)限設(shè)置、通信加密、訪回控制列表以及文件數(shù)據(jù)加密等。

2.完整性

該屬性的關(guān)鍵是保護數(shù)據(jù)不被未授權(quán)方修改或刪除，防止由于如通信或者固件被篡改導(dǎo)致的黑客利用。具體需要重點防護的數(shù)據(jù)包括車輛控制器內(nèi)關(guān)鍵的配置參數(shù)、固件、操作系統(tǒng)、個人資料、通信報文信息等。常用于完整性保護的技術(shù)手段包括消息校驗碼、數(shù)字簽名、安全啟動等。

3. 可用性

可用性是在某個考察時間，系統(tǒng)能夠正常運行的概率或時間占有率期望值。為保證可用性，可以采用冗余的方式進行，包括報文信號的冗余、傳感器 / 控制器 / 執(zhí)行器的冗余、控制信號通道的冗余以及供電等基礎(chǔ)設(shè)施的冗余等。

4. 不可抵賴性

不可抵賴性主要應(yīng)用在電子商務(wù)領(lǐng)域，如移動支付等場景，保證用戶對自己行為的不可抵賴及對行為發(fā)生時間的不可抵賴。通過進行身份認證和數(shù)字簽名可以避免對交易行為的抵賴，通過數(shù)字時間戳可以避免對行為發(fā)生的抵賴。

02.常見安全分析模型

1.STRIDE 安全建模

STRIDE安全建模方法最早是由微軟提出的，主要應(yīng)對六種威脅：身份假冒、篡改、抵賴、信息泄露、拒絕服務(wù)、特權(quán)提升，如下圖。

那STRIDE分析方法的流程是什么呢？

第一步：繪制數(shù)據(jù)流圖。根據(jù)功能邏輯，繪制數(shù)據(jù)在實體間的傳遞和存儲。其中數(shù)據(jù)流圖包含四個要素：實體、數(shù)據(jù)處理、數(shù)據(jù)存儲、數(shù)據(jù)流。其中實體代表處理數(shù)據(jù)的用戶、設(shè)備等實體；數(shù)據(jù)處理表示針對數(shù)據(jù)的處理過程，有輸入輸出路徑；數(shù)據(jù)存儲表示存儲數(shù)據(jù)的內(nèi)部實體，如數(shù)據(jù)庫、消息隊列、文件等；數(shù)據(jù)流表示實體與數(shù)據(jù)處理、數(shù)據(jù)處理之間或數(shù)據(jù)處理與數(shù)據(jù)存儲之間的交互。

第二步：識別威脅。STRIDE威脅建模方法已經(jīng)明確了每個數(shù)據(jù)流圖元素具有不同的威脅，其中外部實體只有仿冒（S）、抵賴（R）威脅，數(shù)據(jù)流只有篡改（T）、信息泄露（I）、拒絕服務(wù)（D）威脅，出來過程有所有六種（STRIDE）威脅，存儲過程有篡改（T） ,信息泄露（I）、拒絕服務(wù)（D）威脅，但如果是日志類型存儲則還有抵賴（R）威脅。具體可以對照如下表格進行識別。

第三步：確定應(yīng)對措施。針對不同的威脅確定應(yīng)對措施，如為檢測存儲數(shù)據(jù)的篡改可以通過消息校驗碼、簽名等方式進行檢測。若實體的假冒導(dǎo)致了危害，可以通過身份認證方式進行。參考的應(yīng)對措施如下表：

第四步：安全驗證。在威脅建模完成后，需要對整個過程進行回顧，不僅要確認緩解措施是否能夠真正緩解潛在威脅，同時驗證數(shù)據(jù)流圖是否符合設(shè)計，代碼實現(xiàn)是否符合預(yù)期設(shè)計，所有的威脅是否都有相應(yīng)的緩解措施。最后威脅家命名報告留存檔案，座位后續(xù)迭代開發(fā)、增量開發(fā)時威脅建模的參考依據(jù)。

2.HEAVENS 安全模型

根據(jù) SAEJ3061 法規(guī)，可以使用 HEAVENS 安全模型進行風險等級評估，包括威脅等級評估，影響等級評估，并最終得到影響等級，并確定安全需求。

威脅分析 – 功能用例的描述是威脅分析過程的輸入。威脅分析產(chǎn)生兩個輸出：

（1）每個資產(chǎn)的威脅和資產(chǎn)之間的映射和

（2）威脅與安全屬性之間的映射以確定哪些安全屬性因資產(chǎn)上下文中的特定威脅而受到影響。

風險評估 – 一旦確定了相關(guān)資產(chǎn)的威脅，下一步就是對威脅進行排序。這是風險評估期間所做的工作。威脅和資產(chǎn)之間的映射與威脅級別（TL）和影響級別（IL）參數(shù)一起用作輸入。威脅級別參數(shù)（威脅級別（TL））和影響級別參數(shù)。作為風險評估的威脅分析 – 功能用例的描述是威脅分析過程的輸入。

03.汽車基礎(chǔ)軟件信息安全生命周期

1 概念開發(fā)階段

概念開發(fā)階段主要的目的是通過整車功能，如遠程控制功能、轉(zhuǎn)向功能等的分析，應(yīng)用信息安全分析模型識別信息安全漏洞，評估安全等級。針對安全等級較高的漏洞設(shè)計安全機制來應(yīng)對黑客的攻擊。

信息安全的實現(xiàn)并非是通過獨立的安全機制可以實現(xiàn)的，需要進行信息安全縱深防御體系設(shè)計。從云端 - 車云通訊 - 車端控制器 - 應(yīng)用軟件 - 基礎(chǔ)軟件 - 硬件等多個維度進行層層防御，設(shè)計相應(yīng)的安全措施提升安全性?；A(chǔ)軟件的安全需求主要來自以下兩個方面：

1. 實現(xiàn)更高一級來自于功能 / 控制器的信息安全需求。如特定控制器需實現(xiàn)加密通訊，基礎(chǔ)軟件需要保證安全通訊協(xié)議、密鑰管理、加密認證、加密存儲等功能

2. 基礎(chǔ)軟件自身安全的要求。為保證上述功能的安全實現(xiàn)不被繞過，基礎(chǔ)軟件還需保證自身的安全，如不存在公開漏洞、安全啟動等。

2 產(chǎn)品開發(fā)階段

軟件安全需要基于完整的安全分析進行設(shè)計，從硬件的安全信任根開始，保證每層的程序調(diào)用都是基于經(jīng)過驗證的，包括程序完整性的驗證，訪問權(quán)限的驗證，參數(shù)合理性驗證等。

軟件實現(xiàn)過程是一個容易引入信息安全問題的過程，有三個方面需要重點關(guān)注：

1. 開源代碼。隨著業(yè)界開源的范圍越來越廣，從操作系統(tǒng)到基礎(chǔ)軟件、加密算法，都有很多開源庫供程序編寫人員使用，雖加快了軟件實現(xiàn)的速度，但是良莠不齊的開源庫也會帶來很多信息安全問題。有些開源庫長期無人維護，已存在大量的漏洞，若不加鑒別直接使用，就會導(dǎo)致整個系統(tǒng)漏洞百出。因此在使用開源代碼時，優(yōu)先選擇得到持續(xù)支持的開源庫，并且持續(xù)關(guān)注其信息安全相關(guān)的補丁，并及時進行更新。

2. 開發(fā)周期長。汽車行業(yè)相較于功能先進性，控制器的穩(wěn)定性是更加追求的要素。一款車型開發(fā)周期動輒 2-3 年，使用的軟件版本也是相對成熟。這就會導(dǎo)致在車輛開發(fā)過程中，所使用的軟件就可能被挖掘出多個漏洞，若不及時進行更新或者修復(fù)漏洞，剛上市的新車就可能有很多已知漏洞的存在。因此，在正式量產(chǎn)之前，一定需要對其產(chǎn)品進行漏洞掃描，防止已知漏洞的存在。

3. 開發(fā)人員信息安全意識缺乏。在程序開發(fā)過程中，由于進度要求，開發(fā)人員天然會更加關(guān)注功能的實現(xiàn)，而對信息安全的防護意識不足，導(dǎo)致實現(xiàn)的程序遺留了可以被黑客利用的漏洞。因此，加強開發(fā)人員的信息安全意識，加強程序釋放過程中信息安全的檢測勢在必行。

在完成基礎(chǔ)軟件的開發(fā)后，需要針對其安全性進行測試，包括軟件本身是否正確實現(xiàn)相關(guān)需求以及是否有未知漏洞兩個方面進行測試。

1.靜態(tài)代碼檢查，可以通過商業(yè)工具如 QAC 進行靜態(tài)代碼檢查，保證其符合 CERT C 等信息安全代碼規(guī)范；

2.需求一致性測試，通過單元測試、集成測試等方法，確定軟件的實現(xiàn)與軟件設(shè)計需求保持一致；

在保證軟件實現(xiàn)與需求一致后，需要通過以下三種測試手段確認軟件的安全性：

漏洞掃描，通過漏洞掃描軟件如 defensecode 進行現(xiàn)有漏洞的掃描，防止軟件存在已知漏洞；

模糊測試，通過大量的隨機請求，測試軟件的魯棒性，探測其是否有未知漏洞；

滲透測試，通過專業(yè)滲透人員的分析，尋找程序邏輯中的漏洞，并嘗試進行利用。若發(fā)現(xiàn)新的漏洞，則反饋給開發(fā)人員進行修正。

3.后開發(fā)階段（生產(chǎn)、運維、報廢）

在生產(chǎn)階段，要保證基礎(chǔ)軟件和應(yīng)用軟件在產(chǎn)線的正常刷寫。產(chǎn)線軟件的注入需要保證刷寫方經(jīng)過認證，例如供應(yīng)商完成基礎(chǔ)軟件的刷寫，內(nèi)部包含初始密鑰。OEM 在產(chǎn)線刷寫更新密鑰、證書、配置等內(nèi)容前，需首先完成與控制器的相互認證。

信息安全是一個動態(tài)的過程，在軟件使用過程中，隨著技術(shù)的進步，之前安全的軟件可能會出現(xiàn)（或發(fā)現(xiàn)）新的漏洞。因此軟件維護人員需持續(xù)監(jiān)控最新的漏洞消息，及時更新相關(guān)軟件補丁，保持軟件的安全性。在更新過程中，也需保證對更新源的認證，更新軟件完整性校驗，版本校驗，防止黑客利用更新的漏洞進行軟件的惡意修改。

在車輛的使用過程中，控制器內(nèi)可能存儲了大量的用戶使用信息。在車輛的報廢 / 買賣，或者某一部件的更換的情況下，用戶信息會有泄露風險。為保證車輛的數(shù)據(jù)安全，基礎(chǔ)軟件需支持敏感數(shù)據(jù)（如密鑰、證書、用戶資料、指紋識別信息等）的一鍵銷毀。

04汽車基礎(chǔ)軟件信息安全需求

信息安全的實現(xiàn)并非是通過獨立的安全機制可以實現(xiàn)的，需要進行信息安全縱深防御體系設(shè)計。從云端 - 車云通訊 - 車端控制器 - 應(yīng)用軟件 - 基礎(chǔ)軟件 - 硬件等多個維度進行層層防御，設(shè)計相應(yīng)的安全措施提升安全性?；A(chǔ)軟件的安全需求主要來自以下兩個方面：

1. 實現(xiàn)更高一級來自于功能 / 控制器的信息安全需求。如特定控制器需實現(xiàn)加密通訊，基礎(chǔ)軟件需要保證安全通訊協(xié)議、密鑰管理、加密認證、加密存儲等功能。

2. 基礎(chǔ)軟件自身安全的要求。為保證上述功能的安全實現(xiàn)不被繞過，基礎(chǔ)軟件還需保證自身的安全，如不存在公開漏洞、安全啟動等。

1 安全啟動

安全啟動（SecureBoot）是 MCU 的基本功能，通過硬件加密模塊來實現(xiàn)，該機制必須獨立于用戶程序運行，不能被破壞。作為整個安全啟動信任鏈的基礎(chǔ)，安全啟動必須主要用于在 MCU 啟動之后，用戶程序執(zhí)行之前，對用戶定義的 Flash 中關(guān)鍵程序的數(shù)據(jù)完整性和真實性進行驗證，確定是否被篡改。如果驗證失敗，說明 MCU 處于不可信的狀態(tài)，部分功能甚至整個程序不能運行。

2 安全通信

在目前的車載網(wǎng)絡(luò)中，大部分數(shù)據(jù)傳輸都是在沒任何安全措施的情況下進行的。例如應(yīng)用最廣的CAN 通訊設(shè)計之初是沒有考慮過信息安全問題的，其明文傳輸、報文廣播傳輸、極少網(wǎng)絡(luò)分段等特性，讓進入整車網(wǎng)絡(luò)的黑客如同進了游樂場，輕松便可以偽造報文對車輛進行控制。

SecOC 是在 AUTOSAR 軟件包中添加的信息安全組件（組件位置及可應(yīng)用的通訊方式如下圖所示），該 Feature 增加了 CMAC 運算、秘鑰管理、新鮮值管理和分發(fā)等一系列的功能和新要求。SecOC 模塊在PDU 級別上為關(guān)鍵數(shù)據(jù)提供有效可行的身份驗證機制，認證機制與當前的 AUTOSAR 通信系統(tǒng)無縫集成，同時對資源消耗的影響應(yīng)盡可能小，以便為舊系統(tǒng)提供附加保護。

此外，車云通訊的安全性主要依靠 TLS/SSL 協(xié)議保證。TLS 協(xié)議采用主從式架構(gòu)模型，用于在兩個應(yīng)用程序間透過網(wǎng)絡(luò)創(chuàng)建起安全的連接，防止在交換數(shù)據(jù)時受到竊聽及篡改。

3 安全診斷

一些用于將例程或數(shù)據(jù)下載 / 上傳到服務(wù)器以及從服務(wù)器讀取特定內(nèi)存位置的診斷服務(wù)可能需要進行身份驗證。不正確的程序或下載到服務(wù)器的數(shù)據(jù)可能會潛在地損害電子設(shè)備或其他車輛部件，或可能違背車輛的排放或安全等標準。另一方面，當從服務(wù)器檢索數(shù)據(jù)時，可能會違反數(shù)據(jù)安全性。因此需在這些服務(wù)執(zhí)行前，要求客戶證明其身份，在合法身份確認之后，才允許其訪問數(shù)據(jù)和診斷服務(wù)。

所以安全診斷是通過某種認證算法來確認客戶端的身份，并決定客戶端是否被允許訪問?？梢酝ㄟ^對隨機數(shù)種子生成的非對稱簽名進行驗證或者通過基于對稱加密算法的消息校驗碼來驗證其身份。

4 安全調(diào)試

現(xiàn)在基本控制器都配備了基于硬件的調(diào)試功能，用于片上調(diào)試過程。安全 JTAG 模式是指通過使用基于挑戰(zhàn) / 響應(yīng)的身份驗證機制來限制 JTAG 訪問。檢查對 JTAG 端口的任何訪問，只有授權(quán)的調(diào)試設(shè)備（具有正確響應(yīng)的設(shè)備）才能訪問 JTAG 端口，未經(jīng)授權(quán)的 JTAG 訪問嘗試將被拒絕。在生產(chǎn)或者下線階段，必須要禁用或者鎖定相關(guān)的調(diào)試診斷接口，禁用意味著無法與硬件調(diào)試接口建立連接，鎖定意味著硬件調(diào)試接口受到保護，只能根據(jù)安全調(diào)試解鎖來訪問。

5 安全升級

隨著越來越復(fù)雜的網(wǎng)絡(luò)環(huán)境，在軟件升級更新過程中，保證升級包的發(fā)布來源有效、不被篡改、數(shù)據(jù)不丟失以及升級內(nèi)容不被惡意獲取變得越來越重要。

傳統(tǒng)升級過程升級包的數(shù)據(jù)基本上是以明文傳輸，數(shù)據(jù)校驗方式也是安全性較低的散列算法。安全升級在傳統(tǒng)升級基礎(chǔ)上，一方面使用添加簽名的固件和在固件驗證過程中額外執(zhí)行簽名驗證來增強固件完整性驗證，保證數(shù)據(jù)來源可靠，數(shù)據(jù)完整沒有被篡改；另一方面還增加了對通過服務(wù)器加密固件的解密功能，傳輸數(shù)據(jù)過程通過密文傳輸，有效的降低 OTA 無線更新時數(shù)據(jù)暴露的風險。

6 安全存儲

一次性可編程存儲器 OTP(On Chip One Time Programmable ROM, On-Chip OTP ROM)，也稱為eFuse，是芯片中特殊存儲模塊，字段中的任何 eFuse 位都只能從 0 編程為 1（融合），只能被燒寫一次，但是讀取操作沒有限制。安全存儲還可以通過將 Flash 某些區(qū)域設(shè)置只讀或者只寫來實現(xiàn)，防止非法訪問和篡改。Flash 保護區(qū)域的數(shù)量和大小會根據(jù) Flash 的類型和該 Flash 塊的大小而有所不同。

本文整理自中國汽車基礎(chǔ)軟件信息安全研究報告