0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

如何满足汽车密码应用安全性要求及测试

jf_EksNQtU6 来源:谈思实验室 作者:谈思实验室 2022-12-16 09:23 次阅读

导读

本次内容围绕汽车密码应用安全性测试技术研究与实践进行开展。在这里,先简单介绍一下前言部分,即信息安全和密码的关系。

f04023b0-7cdf-11ed-8abf-dac502259ad0.jpg

从图中我们知道信息安全有5个目标:

机密性是指保证信息不被泄露给非授权的个人进程或者实体;

完整性是保证没有受到非授权的篡改或破坏;

可用性是确保信息访问和服务在任何时候都是有效的;

真实性是保证信息来源可靠并没有被伪造和篡改;

不可否认性就是指抗抵赖性,即确保已经发生的操作行为无法否认。

密码是一个重要的网络安全技术手段,而网络安全的手段是在人力保护、设备加固、物理隔离、容灾备份、监控技术、生物技术防火墙这些方面的防护技术。密码技术是最有效,最可靠也是最经济的手段。

f04023b0-7cdf-11ed-8abf-dac502259ad0.jpg

我将从以下4个方面:背景、现状及应用、测试技术研究和应用实践案例进行具体阐述。

f0924186-7cdf-11ed-8abf-dac502259ad0.jpg

1.背景

如今汽车步入智能化网联化,逐渐发展成了我们所说的智能网联汽车。智能网联汽车搭载了先进的车载传感器控制器、执行器等装置,融合了现代的通信网络技术,实现了车、人、路、云等的信息交互,同时也实现了安全、舒适、节能、高效的驾驶模式。

f0a8a73c-7cdf-11ed-8abf-dac502259ad0.png

f0ffdb2e-7cdf-11ed-8abf-dac502259ad0.png

汽车智能化网联化的发展趋势是非常迅猛的,但汽车在智能化网联化发展后,它多样的通信和调试方式也带来了很多的攻击路径。从云平台、T-BOX、OBD、IVI以及车内的一些ECU等都可以成为攻击汽车的路径,这也意味着汽车面临着更多的安全挑战。

云平台可能会有SQL注入跨站脚本的攻击、移动APP有脱壳的风险、敏感数据的泄露与控制权限的窃取等问题;在ECU上可能会遭到固件逆向、数据的非法读取、植入后门等攻击;在通信这块就更多了,会有一些窃取、伪造、监听;在零部件上就会涉及硬件、软件、通信等等一系列的安全问题。

f11cfcae-7cdf-11ed-8abf-dac502259ad0.jpg

大家来看一组数据。从2010年到2020年年底全球汽车网络信息安全的攻击事件,总共为633个公开报告的事件,其中2020年就占了200多个,这是汽车智能化发展下的结果。再从右图我们可以看到被攻击占比最多的是服务器、无钥匙进入、移动应用以及车载诊断端口,这些都是重点被攻击的对象。

f1343e0a-7cdf-11ed-8abf-dac502259ad0.png

密码是网络信息安全的基础保障。

目前,密码已经应用在智能网联汽车的各个领域,包括数据传输、数据存储、身份认证

如图中所示,在车云传输的过程中会经历双向的身份认证,数据加密以及自己搭建的云平台PKI、KM、CA等环节,这些环节采用的密码技术是基础的技术保障。

车内就包括CAN以太网的数据传输,同时诊断接口的身份认证采用的也是密码技术来实施的安全防护。

对于车路而言,也有相关的标准要求,来实现密码算法对数据传输消息的真实性的验证。

2.汽车密码现状及应用

f150776e-7cdf-11ed-8abf-dac502259ad0.png

经过不断地变更与完善,如今汽车密码应用的法规基础是非常丰富的。

01

2017年颁布了《网络安全法》,在《网络安全法》中明确了很多关于密码的内容;

02

2020年所颁布的《密码法》,对汽车密码应用有着非常大的指导作用;

03

2021年颁布的《数据安全法》在采集、数据处理、数据传输等方面进行了法规层面的约束,在制定法律条款的同时提出了相应的惩罚措施。

除了上述提到的几个法律法规,其实各部委也颁发了很多相应的条例,约束了智能网联汽车密码应用的相关内容。当然还包含一些其他法律《个人信息保护法》、《智能网联汽车准入管理的意见》、《数据安全管理若干规定》以及《关于开展汽车数据安全、网络安全等自查工作的通知》等等一系列的法律法规,它们的出台使智能网联汽车的密码应用拥有较为全面的法律基础。

在标准基础方面,智能网联汽车密码的相关标准也在布局开展的过程中。依据目前对行业的了解与资料的梳理,我们认为汽车密码标准体系可以分为汽车总体的密码应用车载网、车载网络密码应用、车载部件密码应用、数据安全密码应用和车载系统密码应用这几个部分。标准基础采用整体要求配套多个规范“1+N”的模式,来对智能网联汽车的密码应用开展技术要求。

《汽车密码应用技术要求》正在汽标委立项,处于在研阶段。

《汽车整车信息安全技术要求与实验方法》在强标里对密码的内容也提出了一些密码要求。

《智能网联汽车证书认证系统密码应用检测规范》在更进状态,后续也将要征求意见。

《车载信息交互系统应用检测规范》在征修意见的阶段。

那么我将详细地介绍相关标准的现状工作。

首先《汽车密码应用技术要求》标准是在《2020年智能网联汽车标准化重点工作》的指导下,作为三大类的急需标准而启动的研究工作。当时这个标准经过了数次的大小会议,24家企业一起完成了接近四万次的标准的需求化研究报告,其中包含国内的整车企业、零部件企业、芯片企业以及安全厂商。目前来说,该标准已经梳理处了基本的框架和草案。

f17a3cca-7cdf-11ed-8abf-dac502259ad0.jpg

《车载信息交互系统密码应用检测规范》于2021年正式批复,现已基本完成。

这个标准的范围规定了车载信息交互系统密码应用的检测内容与检测方法,它适用于车载信息交互系统,可以指导检测人员依据规范开展产品的检测工作。目前该标准的第5章是通用要求对密码算法、硬件设备和运行环境提出的相关检测要求。第五章的第二小节则是对硬件安全提出的检测要求,包括防测硬道攻击、防故障注入、防止系统的内存攻击。第三小节是针对软固件完整性保护、敏感参数的保护、系统安全启动等等的检测要求。第四小节是分成车内的通行安全和车外的通行安全。车内通行安全是包含一些诊断核心的上传,车外的通信安全主要是指安全通道的建立以及握手协议的通信要求。

目前,车内通信与一些受字节限制的CAN采用了以完整性校验新鲜度值或者MAC的方式来完成数据的机密性保护。以太网也正在进行编制的过程中,我们知道以太网发展的较为成熟,所以它的电子电器架构和车内通信的改变可能会很大程度上影响车内通信密码应用的变革。

在数据存储的方面,采用的是标准密码算法的方式对数据进行完整性、机密性、真实性的存储约束。

在云端上采用的也是国密传统的X509体系。此外也存在一些企业自研的协议,企业在原先做产品测试的阶段对其传输协议做了优化,同时也会进行安全性评估,并对它的方案进行安全性论证。

关于V2X这块,由于道路技术设施尚不完善,大家目前较多还是处于预研的阶段。在这里一般会做协议一致性的验证,但针对密码算法、签名、验签和曲线的参数选择这些方面验证的相对较少。

OTA方面其实就是在车云的基础上对升级包进行真实性的校验,这是一个关键点。它涉及OTA什么时候进行安全性验证、安全性验证的流程是怎么样的以及密钥是由谁而来的,信任谁的问题。

密码已经在整个汽车行业上应用的非常广泛了,但实际上汽车行业密码应用还处在初期阶段,存在着许多问题。

3.测试技术研究

表格是我们通过长期的调研并进行了相关的摸底测试,才为大家梳理出了各场景密码应用的重要数据、安全保护现状与安全风险的。关于软件升级、远程控车、远程诊断,互联网服务以及一些疲劳监测等等,这里面的部分数据我认为它是非常重要的。我们应该运用密码技术进行信息保护,其中有些需要做机密性验证,而有些它可能只需要做完整性验证。

在重要数据方面,大家还是采用TLS比较多。通过上文的介绍大家应该也知道使用TLS基本上是行业的共识,但在之前做密码的相关工作中我们也了解到密码不会完全在一个标准里,它不会像密码协议写的这么明确。因此,在这里我还是希望大家能够有自主的协议,这其实是保证安全非常有效的方式。

通过梳理上述的场景与风险,密码的测试对象主要就是这三类:安全芯片、密码模块、密钥系统。

从车用芯片的安全性测试来说,它有安全芯片的测试规范,但是我们所理解的车规级安全芯片它不光要进行安全性验证,还要进行车规级的验证,所以我们针对车用安全芯片,在其可靠性、芯片的关键测试技术、多为攻击车用安全芯片的侵入式测试技术以及安全芯片的通信接口的测信道分析等等方面开展了相应的研究工作。同时我们也联合了华诚推出了车用芯片信息安全的测试认证规范,为很多车用车规级安全芯片的企业发布了相应的证书。

对于很多企业来说,他们其实都已经自建了相应的PKI,而PKI这块也是有相应规范的。企业参照着规范建立,才能保证企业后台的安全。国家要求X209的这套PKI,它已经有产品检测和项目检测。

PKI产品的厂商需要去做相关的测试与认证一系列的安全要求,此外还有一个要求就是项目测试。实际PKI搭起来以后,这里进行的项目测试主要是指它在实际应用环境下的初始化签发是否合规。在信息系统中其实也有这种密评的相关规范,这些我们主要是用在传统的车云领域,在车路V2X这一套短证书体系下目前是没有相关标准的。上文我们所介绍的系统架构就在此涉及。

汽车数据传输密码测试方面,它是针对车云、车车/车路、车与进场设备、车和其他外部实体一系列的通信。它采用的是密码算法、密码证书等等相关的测试方法来保障安全。

下图是一些其他场景的测试,由于不同场景不同要求它的实现也是不同的,所以需要针对各家的内容进行梳理以后,才能去提供一套比较成熟的测试方案,实现针对性的分析。

4.应用实践案例

在车云端我们使用抓包工具进行分析,它会用明文来传输IMEI信息,企业的后台在建立时所备选的算法MD5、SHA-1等等这些是不安全的算法。

在OTA升级的过程中抓取一个通信数据时会有是明文的风险。它不是说一上来抓就全是明文,它隐藏得良好,这就需要人工分析。同时当有这种不安全的密码算法套件在里面时,就可能会导致我们花大量的时间与精力在密码的应用安全上,它带来的资源消耗较大。

以上是此次谈思汽车“汽车密码应用安全性要求及测试技术”主题分享内容。如需获取演讲嘉宾的全部PPT内容等,请转发本文至朋友圈,之后与工作人员沟通。更多内容,敬请期待!

WISS 2023第四届世界物联网安全及数据安全治理峰会火热报名中 ,欢迎报名↓

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 传感器
    +关注

    关注

    2550

    文章

    51050

    浏览量

    753186
  • 控制器
    +关注

    关注

    112

    文章

    16342

    浏览量

    177870
  • 汽车电子
    +关注

    关注

    3026

    文章

    7944

    浏览量

    166949
  • 智能化
    +关注

    关注

    15

    文章

    4873

    浏览量

    55352

原文标题:如何满足汽车密码应用安全性要求及测试?

文章出处:【微信号:谈思实验室,微信公众号:谈思实验室】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    电池的安全性测试项目有哪些?

    电池的安全性测试是保证电池在实际使用过程中稳定、安全的重要手段。通过一系列严格的测试项目,能够有效评估电池在不同条件下的表现,并提前发现潜在的安全
    的头像 发表于 12-06 09:55 288次阅读
    电池的<b class='flag-5'>安全性</b><b class='flag-5'>测试</b>项目有哪些?

    电池安全性测试关键:圆柱与软包电池测试设备指南

      在进行圆柱电池和软包电池的安全性测试时,必须使用一系列专业的测试设备,以全面评估电池在不同极限条件下的表现。常见的必备测试仪器包括电池测试
    的头像 发表于 12-06 09:35 241次阅读
    电池<b class='flag-5'>安全性</b><b class='flag-5'>测试</b>关键:圆柱与软包电池<b class='flag-5'>测试</b>设备指南

    在电气安装中通过负载箱实现最大效率和安全性

    在电气安装中,负载箱是一种常用的设备,主要用于模拟实际的电力负载,以便进行各种电气设备的测试和调试。通过负载箱,可以实现最大效率和安全性,从而提高电气设备的运行性能和使用寿命。 负载箱可以实现最大
    发表于 11-20 15:24

    汽车雷达回波发生器的技术原理和应用场景

    验证。通过模拟不同目标和场景的回波信号,可以全面测试雷达系统的测距、测速、测角等性能指标,确保雷达系统在实际使用中能够满足设计要求。 综上所述,汽车雷达回波发生器作为一种新型的雷达
    发表于 11-15 14:06

    中国首推汽车智能安全评价体系,助力自动驾驶汽车安全性评估

    10月10日传来消息,我国在智能汽车安全领域取得了显著进展,在重庆正式推出了首个汽车智能安全评价体系。该体系针对智能汽车的环境感知、决策控制
    的头像 发表于 10-10 16:29 989次阅读

    国电西高产品助力电气安全性测试

    电气安全性测试主要有耐电压测试,绝缘电阻测试、接地电阻测试、漏电流测试等。这些
    的头像 发表于 08-20 19:30 664次阅读

    满足汽车电气隔离要求的数字隔离器

    电流隔离提供电平转换功能,提高电气噪声抗扰度,并确保高压(HV) 汽车应用的安全性满足不断增长的电气隔离要求汽车(EV)应用,英飞凌科技推
    的头像 发表于 08-12 09:59 494次阅读
    <b class='flag-5'>满足</b><b class='flag-5'>汽车</b>电气隔离<b class='flag-5'>要求</b>的数字隔离器

    开关电源安全性测试项目有哪些?如何测试

    总结而言,通过对开关电源进行过压保护、过流保护、短路保护、绝缘电阻测试、高压测试以及温升测试等一系列全面的安全性检测,可以充分评估电源的可靠性、安全
    的头像 发表于 05-23 17:41 913次阅读
    开关电源<b class='flag-5'>安全性</b><b class='flag-5'>测试</b>项目有哪些?如何<b class='flag-5'>测试</b>?

    华润微电子LX100安全MCU芯片产品荣获商用密码产品二级认证

    近日,华润微电子集成电路(无锡)有限公司LX100安全MCU芯片产品通过国家密码管理局商用密码检测中心安全性审查,符合安全芯片
    的头像 发表于 04-11 14:40 1454次阅读
    华润微电子LX100<b class='flag-5'>安全</b>MCU芯片产品荣获商用<b class='flag-5'>密码</b>产品二级认证

    木牛科技荣获全球首张车载毫米波雷达ISO/SAE 21434汽车网络安全认证

    随着网络安全汽车领域的重要性日益凸显,尤其是对于智能驾驶感知雷达这样关乎行车安全的关键部件,严谨的质量把控和安全性要求成为了企业持之以恒的策略。
    的头像 发表于 03-10 14:17 1028次阅读

    DC电源模块的安全性能评估与测试方法

    BOSHIDA DC电源模块的安全性能评估与测试方法 DC电源模块的安全性能评估与测试方法应包括以下几个方面:  DC电源模块的安全性能评估
    的头像 发表于 03-08 11:15 690次阅读
    DC电源模块的<b class='flag-5'>安全性</b>能评估与<b class='flag-5'>测试</b>方法

    电流探头测试小技巧:提高准确性和安全性

    电流探头是一种常用的测试工具,用于测量电路中的电流。正确使用电流探头可以提高测试的准确性,并确保操作的安全性。本文将介绍一些电流探头的测试小技巧,帮助您更好地使用电流探头进行电流测量。
    的头像 发表于 03-08 09:31 364次阅读
    电流探头<b class='flag-5'>测试</b>小技巧:提高准确性和<b class='flag-5'>安全性</b>

    什么样的电子元件才是车规级的器件呢?车规级芯片有哪些可靠性要求

    什么样的电子元件才是车规级的器件呢?车规级芯片有哪些可靠性要求? 车规级的电子元件是指能够满足汽车行业严格可靠性要求的器件。由于汽车行业对电
    的头像 发表于 02-18 11:14 1659次阅读

    基于功能安全汽车嵌入式软件单元验证技术研究

    随着汽车嵌入式软件功能的不断叠加,软件复杂性不断提升,对汽车嵌入式软件的安全性提出了更高要求,基于功能安全的嵌入式软件开发和
    的头像 发表于 01-07 11:27 1051次阅读
    基于功能<b class='flag-5'>安全</b>的<b class='flag-5'>汽车</b>嵌入式软件单元验证技术研究

    新能源汽车电池安全性检测设备有哪些?

    为此,国家发布了《新能源汽车生产企业及产品准入管理规定》,对电池单体及电池模组的安全性提出了严格要求。规定中明确指出,电池需要满足GB/T 31484、GB/T 31485、GB/T
    的头像 发表于 12-26 16:01 1998次阅读
    新能源<b class='flag-5'>汽车</b>电池<b class='flag-5'>安全性</b>检测设备有哪些?