智能网联汽车信息安全综述(4)

为了确保智能网联汽车的信息安全，我们不仅要从国家政策层面采取行动，构建智能网联汽车安全测试平台，完善智能网联汽车自主研发体系，制定智能网联汽车和其他设备信息安全预防措施，以形成智能网联汽车的信息安全审查功能。同时，还应该从测试和评估的角度进行研究测试，并开发相关测评工具，协助政府进行不同环节的安全审查工作。建立智能网联汽车的关键零部件、操作系统、通信环境和信息服务系统四个方向的信息安全测试平台，对产品可能存在的缺陷进行挖掘，并辅助汽车行业开发用于汽车系统及设备的智能网联测试和评估服务。

3.2 测试内容研究

根据上文所述的基于“端—管—云”的整体逻辑架构，来划分智能网联汽车测评对象，分为感知信源层、网络传输层及应用服务层。通过研究信息安全共性技术，针对汽车不同产品、不同模块的测评需求，开展安全分析、检测、渗透、扫描及评估技术研究。建立产品的安全威胁模型分析环境，对整车或关键零部件进行缺陷分析、脆弱性分析；完善产品的安全测试环境，针对产品可能存在的缺陷和脆弱性进行检测、挖掘与验证；建设全生命周期的安全评估环境，对已验证的安全隐患进行评估，评定相应信息系统的安全等级。运用安全分析、检测、评估技术，搭建模拟、硬件在环分析、实物平台测试评价环境，并从设备感知层的多类型传感器、泛在通信终端、网络或寻址可信标识等能力设备，从网络链路层的V2X 技术的互联互通，从应用层的云构架信息平台、多种下游车辆服务产业等三大方面开展对智能网联汽车信息安全的测试与评价。

3.3 智能网联汽车感知信源层测试研究

感知层是智能汽车的多传感器融合，负责收集和获取车辆的智能信息，感知驾驶障碍物和环境，是具有车载通信、车间通信和车云通信的通信终端，同时使车辆具备寻址和网络可信标识等能力。感知层主要由一系列关键电子单元组成，例如感应、控制和执行等功能。感知层的信息安全相关测试的主要关注点是针对电子单元的相关测试。代码审计是首要应关注的测评方向，ECU 中的代码漏洞测试主要有两种评估技术：静态检测技术和动态检测技术。静态检测技术用于扫描电子控制单元的源代码或二进制格式，直接分析程序的特征，并进行漏洞扫描和模糊分析；动态检测技术是运行电子控制单元程序以检测运行结果与预期之间的差异，从而分析运行效率和鲁棒性。评估内容包括代码审计、固件漏洞、接口、存储安全性等。

3.4 网络传输层测试研究

智能网联汽车的网络传输层主要应用场景为V2X 的互联互通，在功能和性能上保证实时性、可服务性和网络泛在性。所有通信皆通过车载CAN 网络、V2X 无线通信网络和LTE 蜂窝网络形成一个智能的车路协同互联互通系统。对于网络传输层的信息安全测试，主要是测试智能网联汽车中通信网络协议的安全性。目前协议相关的大多数漏洞都与其健壮性有关，协议安全性体现在可以正确地处理或拒绝畸形的PDU（Protocol Data Unit 协议数据单元）并且不会引起漏洞或故障性失效。在此前提下，网络层有代表性的三种安全测试方法包括：车辆通信协议随机测试、变异语法注入测试方法、错误注入方法和车辆通信协议漏洞测试，测试内容包括在智能网联汽车和智慧交通系统的网络传输层中设计的通信协议的安全检查、传输保密性、边界安全性评估、设备标识等。

3.5 应用服务层测试

智能网联汽车的应用服务层主要从汽车信息服务系统的综合评估中进行。其生态链包括物流、货运、汽车维修租赁、车辆管理、保险及救援等。整个系统围绕车辆的数据聚合、计算、调度、监视、管理应用程序和其他方面[18]，涵盖远程信息服务终端（T-box：Telematics Box）的安全性测试、汽车远程服务提供商的安全性评估（TSP：Telematics Services Provider）、手机应用测评、车辆操作系统测试等。T-BOX 的安全检测内容是服务接口渗透、终端应用非法注入及检测；TSP 的安全检测内容为服务器高危漏洞检测、服务器操作系统安全评估、服务器系统服务的安全评估。应用服务层的关键测试内容包括汽车信息服务终端的通信认证、数据传输安全、身份鉴别和安全审计。

同时，智能网联汽车的车载操作系统具有很强的抽象性，在安全操作系统的设计中把机密性、完整性、可用性和抗抵抗性作为基本的安全需求。安全操作系统模型抽象出安全策略所表达的安全需求，描述了安全策略所对应的安全机制，进而体现出安全机制在操作系统中的具体表现。操作系统整体安全检测流程包括形式化分析、渗透性测试、安全功能测试漏洞扫描，首先根据车载操作系统的安全需求分析安全策略进而建立安全模型，根据需要实现的机制进行安全功能检测，最后进行车载操作系统的风险评估。车载操作系统的安全测试重点包括：基于安全模型的形式化系统分析、系统信息安全功能化分析、系统渗透测试、安全漏洞扫描等，测试内容包括：访问控制权限测试、身份鉴别测试、数据保护、管理权限验证等。

文章来源：《分析测试技术与仪器》 网址: http://www.fxcsjsyyq.cn/qikandaodu/2021/0727/795.html