《2018汽车电子网络安全标准化白皮书-全国信息安全标准化技术委员会.pdf》由会员分享,可在线阅读,更多相关《2018汽车电子网络安全标准化白皮书-全国信息安全标准化技术委员会.pdf(98页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2018年4月 通信地址:北京市东城区安定门东大街1号 联 系 人:龚洁中 李琳 联系电话:010-64102740 邮 箱: 全国信息安全标准化技术委员会 信 息 安 全 评 估 标 准 工 作 组 汽车电子网络安全标准化白皮书 全国信息安全标准化技术委员会 信 息 安 全 评 估 标 准 工 作 组 (2018) 1 汽车电子网络安全标准化白皮书(2018) 2018年4月 全国信息安全标准化技术委员会 信 息 安 全 评 估 标 准 工 作 组 汽车电子网络安全标准化白皮书 (2018) 2 汽车电子网络安全标准化白皮书(2018) 3 汽车电子网络安全标准化白皮书(2018) 前 言
2、随着信息技术、 互联网与汽车产业的不断融合, 汽车网络互联和智能化已 成为汽车产业发展的必然趋势。 汽车智能网联化使传统汽车技术延伸到新型 传感、 大数据、 人工智能等新领域, 实现了车内、 车与人、 车与车、 车与路、 车 与服务平台等的全方位网络连接, 提升汽车智能化水平, 提高交通效率, 改善 汽车驾乘感受, 构建汽车服务全新业态, 未来将打通整个社会的智能交通生态 系统, 促进汽车产业、 智能交通产业的深度融合与大发展。 据Gartner预测, 到 2020年, 我国联网汽车用户规模将突破5000万, 届时90%的汽车将具备互联网 接入功能, 联网汽车将成为智能交通生态系统中的关键要素
3、。 据统计, 现代汽车中汽车电子系统的成本最高已占到整车成本的70%, 可 见汽车电子系统是汽车的核心构成, 汽车联网其本质是汽车电子系统的联网。 然而, 以信息篡改、 病毒入侵、 恶意代码植入等手段对联网汽车进行网络攻击而 引发的汽车网络安全问题也愈发严峻, 在国际范围内引发极大关注。 习总书记曾在 “4.19讲话” 中表示 “安全是发展的前提, 发展是安全的保 障, 安全和发展要同步推进” 。 值此车联网产业发展的关键时期, 本白皮书从汽 车电子网络安全的视角阐述相关政策、 法规、 标准、 产品、 应用方面的最新进展 和发展态势, 归纳总结国内外汽车电子网络安全技术与标准的发展现状, 探讨
4、 我国汽车电子网络安全面临的挑战和发展方向, 希望与业内同仁共享成果, 以 期共同推动汽车电子乃至车联网网络安全标准化事业发展。 4 汽车电子网络安全标准化白皮书(2018) 汽车电子网络安全标准化白皮书(2018) 编写单位 (排名不分先后) 中国电子技术标准化研究院 电子科技大学 中国汽车技术研究中心 东软集团股份有限公司 北京奇虎360科技有限公司 上海银基信息安全技术股份有限公司 中国汽车工程学会 北京航空航天大学 武汉大学 浙江吉利汽车研究院有限公司 北京新能源汽车股份有限公司 重庆长安汽车股份有限公司 国家信息技术安全研究中心 腾讯安全科恩实验室 广东为辰信息科技有限公司 惠州华阳
5、通用电子有限公司 威马汽车技术有限公司 公安部第三研究所 全国汽车标准化技术委员会 全国智能运输系统标准化技术委员会 车载信息服务产业应用联盟 烽台科技(北京)有限公司 上海巍擎信息技术有限责任公司 北京工业大学 5 汽车电子网络安全标准化白皮书(2018) 汽车电子网络安全标准化白皮书(2018) 编写人员 (排名不分先后) 杨建军 刘贤刚 范科峰 龚洁中 罗 蕾 王 兆 陈丽蓉 刘健皓 李京春 仇兆峰 刘经南(院士)秦洪懋 刘建行 孙 航 王 建 董 威 陈静相 路 娜 何 文 汪向阳 雷 霆 郭 迟 崔竞松 刘金硕 王丽娜 唐 迪 王琪琳 李 允 罗建超 赵焕宇 姚相振 李 琳 周睿康
6、王秉政 朱新新 聂 森 张 屹 张颖奇 赵兴华 张军响 苗澎锋 庞春霖 龚亮华 魏钦志 陈家林 彭智俊 杨 震 版权声明:如需转载或引用,请注明出处。 6 汽车电子网络安全标准化白皮书(2018) 7 汽车电子网络安全标准化白皮书(2018) 第一章 导论1 1.1汽车电子的基本概念 1 1.2汽车电子的重要作用 3 1.3汽车的网络安全形势 4 1.4相关法律政策新要求 6 1.5汽车电子网络安全标准化工作的意义 6 第二章 汽车电子网络安全政策和标准9 2.1网络安全法律政策 9 2.1.1国外情况9 2.1.2国内情况 11 2.2国内外标准化情况 14 ISO/TC22 14 SAE
7、16 ITU-T 18 UN/WP.29 20 ETSIITS 21 TC114 22 TC260 24 TC268 26 CCSA 27 TIAA 28 CAICV 29 目录CONTENTS 8 汽车电子网络安全标准化白皮书(2018) 目录CONTENTS 第三章 汽车电子网络安全技术研究 31 3.1威胁分析与风险评估技术研究 31 3.1.1威胁分析与风险评估过程 31 3.1.2安全风险归纳 38 3.2汽车电子系统网络安全生命周期研究 39 3.3汽车电子网络安全参考架构研究 44 第四章 汽车电子网络安全标准化工作 47 4.1汽车电子网络安全标准体系 47 4.2下一步工作考
8、虑 50 缩略语 54 参考文献 57 附录A汽车电子网络安全行业应用实践 59 附录A1EVITA:安全车辆入侵保护应用 59 附录A2PRESERVE:V2X安全通信系统 64 附录A3现代汽车网络安全最佳实践 68 附录A4日本汽车信息安全模型 73 附录A5AUTOSAR 74 附录B汽车电子网络安全技术应用案例 78 附录B1T-BOX安全技术应用 78 附录B2车载信息娱乐系统安全技术应用 80 附录B3数字钥匙系统安全技术应用 82 附录B4车云网络通信安全PKI技术应用 85 附录B5车载系统FOTA安全技术应用 87 1 汽车电子网络安全标准化白皮书(2018) 第一章 导论
9、 当前我国汽车工业已步入持续快速发展时期,2017年我国全年汽车销 量2887.89万辆,连续九年居全球第一,并超过第二名的美国1164万辆。与 此同时信息技术的迅猛发展和广泛应用,也促使智能网联汽车和车联网等 新产品、新应用集中涌现,不断推动我国汽车产业向数字化、信息化、网 络化、智能化方向快速发展。 经过数十年技术演进,目前发动机控制、底盘控制、车身电子控制 等传统汽车电子控制技术已极为成熟,车辆信息服务系统、定位导航系 统、电子娱乐系统等车载电子装置网络化、智能化发展不断深入,汽车电 子的内涵和外延得到了不断扩展丰富。预测显示到2020年每辆汽车上各类 电子装置将超过200个,在实现各类
10、电子装置实时可靠传输数据、提供信 息化服务的同时,汽车电子网络安全防护的理念、方法、技术、政策、标 准等也必须跟上需求发展的步伐。如何建立更为安全可靠的汽车电子系统 架构,满足开放式网络互联环境下的安全需求,部署有效措施防范安全风 险,并形成切实可落地的标准,这一系列难点问题都值得我们加紧研究、 持续关注。 1.1汽车电子的基本概念 汽车电子(Automotive Electronics)是车体控制电子装置和车载服务 电子装置的总称。其中前者和车上机械系统进行配合使用,包括发动机控 制系统、底盘控制系统、车身电子控制系统等。后者则是在汽车环境下能 够独立使用的电子装置,它和汽车本身的性能并无直
11、接关系,主要包括车 载信息娱乐系统及个人设备交互信息系统等。 2 汽车电子网络安全标准化白皮书(2018) 汽车电子技术是伴随着汽车产品智能化、电动化、网联化及共享化的 需求变化逐步完善起来的,同时不断与电子电气架构、车载网络、域控制 及信息安全等技术相互融合促进,目前主要技术发展趋势表现在模块化、 集中化、智能化和网络化四个方面。 (1)模块化主要是实现功能、软件、硬件或产品内部解耦,如 AUTOSAR软件分层思想可实现应用层与底层软件的解耦,可更好的提升 跨团队协作水平及跨产品或平台利用率,更快的响应市场需求。 (2)集中化是为了降低控制器数量及成本,通过提升计算及存储能 力,将局部或全局
12、功能更多的集中到一个控制器中,如域控制器技术将 制动防抱死控制系统(ABS)、牵引力控制系统(TCS)和驱动防滑控制系统 (ASR)综合在一起进行制动控制等。 根据博世电子电气架构路线发展规划 定义,未来车辆将把部分本地计算转移到云端进行,本地和云端的作用将 分别类比人的小脑和大脑。 (3)智能化是指车辆由开环控制向闭环控制转变,预先通过经验或 智能算法将最佳(修正)运行数据输入车辆,并对车辆运行状态进行实 时监控,使车辆自动调整到稳定状态。车辆ADAS系统如稳定性控制系统 (VSC)、自适应巡航控制系统(ACC),以及正在研发的无人驾驶系统,均 属于汽车电子智能化发展过程中不同阶段的产物。
13、(4)网络化过去是指通过总线技术将车内众多的控制单元联结起 来,实现信息共享,减少线束,提高可维护性。主流内网协议有LIN、 CAN、MOST、FlexRay、Ethernet等,依据总线特性不同,分别应用于动 力域、车身域、多媒体域和线控系统等。当前的网络化是指车载网络与移 动互联网及后台的远程连接,实现了汽车电子单元资产由线下向线上的转 移,但同时也增加内部资产在外网的暴露程度及车辆安全风险,能否有效 解决网络安全问题已经成为影响汽车电子新产品、新技术落地推广的关 键。 3 汽车电子网络安全标准化白皮书(2018) 1.2汽车电子的重要作用 近年来,汽车工业与电子技术深度融合,不断助推汽车
14、产业转型升 级,现代汽车的安全性、节能环保性和舒适性得到显著提升,主要表现在 以下几个方面: 一是重视安全、环保和节能。汽车电子的应用是解决安全、环保、节 能的主要技术手段,例如在节能方面,汽车厂商开始研究和应用电子模块 控制的混合动力轿车、纯电动轿车等。 二是传感器性能不断提高、数量不断增加。传感器种类、数量不断增 加,精度更高、可靠性更强、成本更低,特别在智能化方面发展迅速。 三是车用微处理器换代升级。随着汽车电子占整车比重不断提高, 微控制单元(MCU)在汽车领域的应用将超过家电和通讯领域的使用数 量,成为MCU最大应用领域。 四是数据总线技术应用日益普及。汽车内部网络的构成主要依靠总线
15、 传输技术,大量数据的快速交换、高可靠性及廉价性是对汽车电子网络系 统的基本要求。 五是智能汽车及智能交通系统(ITS)广泛应用。以卫星通信、移动 通信、计算机技术为依托进行车载电子产品的开发和应用,实现计算机、 通讯和消费类电子产品“3C”整合。 六是车用嵌入式软件和硬件平台逐步替代传统设计开发模式。汽车电 子产品的研发周期正在缩短,一般汽车发动机的更新周期为7年,而电子 产品的更新周期通常在1至3年。 七是新技术在汽车电子产品中的深入应用。光纤在汽车信号传输中的 应用,新的控制理论和方法的大量应用,蓝牙技术、基于无线射频等识别 技术的应用等都是汽车电子技术的发展趋势。 多方预计全球汽车产业
16、2020年开始迈入智能汽车时代,目前国内外普 遍认为,先进驾驶辅助技术(ADAS)有望在2020年大规模应用推广,自 4 汽车电子网络安全标准化白皮书(2018) 动驾驶技术也将在此之前示范运行,并有望在2025年进入市场推广阶段, 相信快速发展的汽车电子技术将在产业转型升级中扮演越来越重要的角 色。 1.3汽车的网络安全形势 长期以来,汽车一直注重系统功能安全的可靠性,并在不断增强车辆 主被动安全能力,并且有ISO26262标准为整车厂和零部件厂商提供功能安 全开发的指导,而网络安全问题是随着汽车智能化的发展才逐渐被人们所 关注,是新形势下的新问题。 现代汽车智能化的过程,是汽车产品由机械化
17、向电子化及网联化转变 的过程。汽车电子化完成了机械控制向硬线控制的转变,网联化实现了内 网高价值资源与外部互联网连接,电子化和网联化共同支撑了当前汽车智 能化进程,其推进速度快于网络安全防护理念、方法、技术、政策、标准 的发展,现阶段汽车正面临巨大的网络安全风险,对功能安全的影响不断 加剧。近年来,产、学、研各方力量极为关注汽车网络安全,面向智能网 联汽车产品、云端主机和服务开展了大量安全研究工作。 表1-1 部分汽车网络安全研究和事件 序号时间研究和事件描述 12013年Charlie Miller Security; Security Services and Architecture.
18、58 汽车电子网络安全标准化白皮书(2018) 16 ETSI. ETSI TS 102 940 V1.2.1 (2016-11) Intelligent Transport Systems (ITS); Security; ITS communications security architecture and security management. 17 ETSI. ETSI TS 102 941 V1.1.1 (2012-06) Intelligent Transport Systems (ITS); Security; Trust and Privacy Management. 18
19、 ETSI. ETSI TS 102 942 V1.1.1 (2012-06) Intelligent Transport Systems (ITS); Security; Access Control. 19 ETSI. ETSI TS 102 943 V1.1.1 (2012-06) Intelligent Transport Systems (ITS); Security; Confi dentiality services 20 NHTSA. Cybersecurity Best Practices for Modern Vehicles. 2016 21 WP.29 ITS/AD.
20、Guidelines on measures ensuring cyber security and data protection of connected vehicles and vehicles with automated driving technologies. 2016 22 ISO. 27001 Information security management system. 23 NIST. 800-30 - Guide for conducting risk assessments. 59 汽车电子网络安全标准化白皮书(2018) 汽车电子网络安全行业应用实践 本部分主要列
21、举了国外部分行业应用安全实践内容,供相关方学习参 考。 附录A1EVITA:安全车辆入侵保护应用 EVITA(E-safety vehicle intrusion protected applications)是欧盟第七框 架计划(Seventh Framework Programme)资助的项目(2008-2011),旨 在为车载网络的体系架构进行设计、验证、形成原型,以防止安全相关的 组件被篡改,并保护敏感数据以免受到攻击。项目的主要参与机构包括: BMW Group Research and Technology GmbH、Continental Teves AG & Co. oHG、e
22、scrypt GmbH、EURECOM、Fraunhofer Institute for Secure Informa- tion Technology、Fraunhofer Institute for Systems and Innovation Research、 Fujitsu Services AB、Infi neon Technologies AG、 Institut Tlcom、Katholieke Universiteit Leuven、MIRA Ltd.、 Robert Bosch GmbH、TRIALOG等。 EVITA关于车载网络的参考架构如图附A1-1所示,主要包括三方面
23、的 资产:车载电子组件,如ECU、传感器、执行器等;组件之间和ECU内部 的连接;ECU中的软件。EVITA以基于硬件的安全机制为目标,主要对作 为信任根的硬件安全模块(Hardware Security Module)进行了研究,所提 出的面向汽车硬件安全模块的通用结构如图附A1-2所示。图中,ECU的应 用CPU拥有一个密码协处理器HSM。HSM负责执行所有密码应用,包括 基于对称密钥的加解密、完整性检查、基于非对称密钥的加解密、数字签 名的创建与验证,以及用于安全应用的随机数生成功能。 附录A 60 汽车电子网络安全标准化白皮书(2018) EVITA把硬件安全模块划分为三个等级:EVI
24、TA full HSM、EVITA medium HSM、EVITA light HSM(或是EVITA small HSM)。其中,EVI- TA full HSM主要用于V2X的通信单元,以及中央网关;EVITA medium HSM用于ECU之间通信场景的ECU;EVITA light HSM则用于传感器、执 行器。 EVITA full HSM、medium HSM和light HSM的结构分别如图附A1-35 图附A1-1EVITA关于车载网络的参考架构 诊断接口 通信单元 移动终 端设备 北斗/GPS UMTS DSRC 引擎控制刹车控制仪表音频播放 混合驱动底盘/转向控制门控模块
25、显示/视频 动力传输环境传感器灯光控制导航 PT传感器被动安全空调电话 底盘传感器座椅 动力 底盘和(功 能)安全 车身电子Head单元 蓝牙 USB 图附A1-2EVITA关于HSM的基本结构 内部RAM安全CPU数据 硬件接口 中断 非对称加密引擎TRNG/PRNG 对称加密引擎哈希引擎 计数器 安全存储应用核心 车内总线系统 硬件密码加速 内部NVM 程序/数据 共享区域 RAM 应用CPU 应用NVM (程序/数据) 总线接口 (例如 CAN接口) 61 汽车电子网络安全标准化白皮书(2018) 所示。另外,EVITA HSM包括两部分内容:实现所有密码硬件操作的密 码模块;连接EVI
26、TA 硬件和通常ECU应用模块的内容。 图附A1-5EVITAlightHSM的结构 ECU芯片边界 车内总线系统 ECC-256 带TRNG种子的 AES-PRNG 内部RAM 64kB 内部32位 RISC CPU WHIRLPOOL 基于AES的 哈希 AES- 128 单调 计数器 内部NVM 512kB 硬件接口 密码构建模块逻辑构建模块 应用NVM应用RAM 应用CPU 总线通信 接口 ECU 内部通信 密码边界应用核心 ECU芯片边界 车内总线系统 带TRNG种子的 AES-PRNG 内部RAM 64kB 内部32位 RISC CPU AES-128单调计数器 内部NVM 512
27、kB 硬件接口 密码构建模块逻辑构建模块 应用NVM应用RAM 应用CPU 总线通信 接口 ECU 内部通信 密码边界应用核心 ECU芯片边界 车内总线系统 应用NVM应用RAM 应用CPU 总线通信 接口 AES-128 硬件接口 ECU 内部通信 EVITA扩展应用核心 图附A1-3EVITAfullHSM的结构 图附A1-4EVITAmediumHSM的结构 62 汽车电子网络安全标准化白皮书(2018) 与full HSM相比,medium HSM没有包括ECC-256和WHIRLPOOL 密 码模块(NIST提出的基于AES 的hash函数),并且,medium HSM所包含 的CP
28、U性能要低一些。因此,medium HSM没有基于硬件加速的非对称密 码和哈希算法。一方面,可以通过软件的方式来执行一些时间性能要求不 高的非对称密码操作;另一方面,基于效率和成本方面的考虑,ECU之间 通信的保护采用对称密码算法具有合理性。 light HSM只包含基于AES-128的对称加解密模块,以满足传感器和执 行器在成本和效率方面的严格需求(消息大小、时间、协议限制、处理器 能力等)。基于light HSM,使得传感器和执行器能够保证通信数据的真实 性、完整性和机密性。另外,同full和medium HSM相比,light HSM没有 提供独立的处理和存储单元,应用处理器和应用软件可
29、以完整访问所有的 密码数据。为此,可以考虑对light HSM进行安全增强,提供内部的非易失 性存储器和RAM,以及基于AES的伪随机数生成器。这样,light HSM可 以更加安全地生成、处理和存储密钥。 除EVITA外,还有SHE、TPM(Trusted Platform Module)和智能卡 (smartcard)等方面的硬件安全策略。SHE(Secure Hardware Extension) 是由HIS(由Audi、BMW、Porsche、Volkswagen形成的组织)制定的标 控制器 安全区 安全硬件扩展(SHE) CPU控制逻辑 AES RAM + Flash + ROM 外
30、设(CAN, UART, 外部存储器接口) 图附A1-6SHE的基本结构 63 汽车电子网络安全标准化白皮书(2018) 准,以通过硬件提供基于AES-128的密码服务:加解密;消息认证码;引 导加载程序的认证;唯一的设备ID等,并可以应用不可直接访问的方式存 储密钥。SHE的基本结构如图附A1-6所示。 64 汽车电子网络安全标准化白皮书(2018) 附录A2PRESERVE:V2X安全通信系统 PRESERVE(PREparing SEcuRe VEhicle-to-X Communication Sys- tems)是欧盟第七框架计划资助的项目(2011-2015),目标是设计、实 现和
31、测试一个安全、可扩展的V2X安全子系统。项目包含如下参与单位: University of Twente (coordinator)、荷兰;Escrypt GmbH (SME)、德国; Fraunhofer SIT、德国;Kungliga Tekniska Hoegskolan (KTH)、瑞典;Re- nault、法国;Trialog (SME)、法国。 PRESERVE为V2X通信提供接近于实际应用的安全和隐私保护措施, 为V2X系统提供安全和隐私子系统。PRESERVE以SeVeCom、EVITA、 PRECIOSA等项目的成果为基础,并与ETSI(European Telecommun
32、ica- tions Standards Institute)、IEEE(Institute of Electrical and Electronics Engi- neers)、C2C-CC)(Car-to-Car Communication Consortium)等方面的标 准兼容。 图附A2-1PRESERVE的ITS系统 证书服务 第三方服务 交通管理 路侧管理 电子控 制单元 通信与 控制单元 传感器 中央控 制单元 逻辑单元路由表 卫星定位系统 车辆 移动通信基站 移动设备 车载诊断 移动通信 网络接入 电源 后端 网络 65 汽车电子网络安全标准化白皮书(2018) PRESER
33、VE以下图所示的智能交通系统(Intelligent Transportation Sys- tem,ITS)为背景。其中,Routing Table(Network layer routing table)存 放相邻节点的位置信息,包括节点最近更新的时间戳;LDM(Local Dy- namic Map)用来收集和管理所有收到的消息,相关信息与交通安全性和 交通效率有关;CCU(Communication & Control Unit)是不同通信链路的 中央路由器,比如ITS G5A/B/C 等。 PRESERVE的车辆安全架构主要包括ITS通信的三个组成部分:车辆 (Vehicle Sta
34、tion)、路侧设施(Roadside Station)和后台服务(Central Station),如图附A2-2所示。其中,通信的参与方和通信通道来源于美国 交通部和ETSI关于ITS的体系架构。另外,车辆包括运行ITS应用的车载单 元(On-board Unit,OBU)、通信设施(如无线电、通信栈等)和与车载 网络的连接。安全子系统为车载通信和外部的V2X通信提供保护,并通过 硬件安全模块(HSM)存储密码证书、加速密码算法。路侧设施与车辆 具有相同的架构,为车辆通信和固定点之间的通信提供网关功能。后台服 务主要关注安全应用服务(为车辆和路侧设施提供软件)和安全体系架构 (提供安全的证
35、书服务,如PKI体系)。 PRESERVE为车辆和路侧设施提供的抽象安全架构(PRESERVE VSA)如图附A2-3所示。PRESERVE VSA的多数内容来源于SeVeCom、 图附A2-2PRESERVE的ITS体系架构 安全基础设施 公钥基础设施( PKI ) 根证书管理(RCA) 长期证书管理(LTCA) 假名证书管理(PCA) 基础设施 广域无线 (移动)通信 应用更新服务 车辆 板载设备 路边单元 硬件安全模块 安全子系统 点对点通信 服务平台 车车通信 车路通信 板载设备 硬件安全模块 安全子系统 66 汽车电子网络安全标准化白皮书(2018) EVITA、PRECIOSA等项
36、目,为V2X和内部通信提供安全保障。PRE- SERVE VSA把安全功能分为六个方面:安全通信(Secure Communica- tion)、安全信息(Secure Information)、安全管理(Secure Manage- ment)、安全分析(Secure Analysis)、安全和隐私策略(Security & Privacy Policies)、密码算法(Cryptographic Operations)。 安全通信关注内部和外部的安全通信问题。对于内部通信,如传感器 数据、命令和信号等,需要进行安全传输以确保数据不会被篡改;对于外 部通信,接收方至少需要验证发送方的真实性和
37、授权特性,以及所传输数 据的完整性。安全信息对车辆和路侧设施存储、交换的数据进行保护,包 括安全存储、安全软件、隐私保护、数据一致性、数据合理性。安全管理 负责对安全通信所需要的证书进行组织管理。安全分析对安全相关的信息 进行监控、审计和日志。安全和隐私策略负责管理、存储和执行安全和隐 私方面的策略,定义系统资源的访问控制规则、管理匿名和其他隐私保护 策略。密码算法提供基本的安全功能,如加解密、签名的生成与验证等。 图附A2-3PRESERVE的车辆/路侧设施抽象安全体系架构 应用 设施 管理 网络传输安全管理 安全分析安全和隐私策略 安全 道路安全道路交通效率 安全通信 审计策略存储 内部通
38、信 监控分析策略管理 安全软件 证书管理 外部通信 日志分析策略执行 安全存储隐私保护 安全信息 舒适和灵活性 数据一致性和有效性 安全设施管理 密码操作 接入 内部通信 外部通信 67 汽车电子网络安全标准化白皮书(2018) PRESERVE的具体安全架构以SeVeCom、EVITA、PRECIOSA等项目 的成果为基础进行构建,其内容包括车辆或是路侧设施的系统安全,为车 辆或是路侧设施的内部通信提供保护;为车辆和路侧设施提供驾驶人员或 是拥有人员的隐私保护机制;以及为V2X通信提供消息保护。 在PRESERVE中,消息发送和消息接收方采用基于PKI的数字证书来 保障通信的可信性,如图附A
39、2-4所示,主要包含三个实体:根CA(Root Certifi cate Authority,RCA)、长期CA(Long-Term Certifi cate Authority, LTCA)、匿名CA(Pseudonym Certifi cate Authority, PCA)。RCA是PKI 的信任锚(trust anchor),RCA的证书由RCA自身签名,对证书通过hash 函数生成摘要,作为证书ID:cert-ID;LTCA负责管理ITS系统的长期证 书;PCA负责管理ITS系统的匿名证书。PCA用于V2X通信,以保证V2X 通信过程的匿名特性,达到保护车辆隐私的目的。 图附A2-4
40、V2XPKI的证书体系 公钥 根CA证书 签名者ID:根CA证书的ID 签名者ID:长期CA证书ID 签名者ID:长期证书ID 签名者ID:假名CA证书ID 签名者ID:假名证书ID 根CA的签名者ID 长期CA的签名者ID 根CA的签名者ID 假名CA的签名者ID 公钥 公钥 公钥 公钥 私钥 私钥 私钥 私钥 私钥 分发 分发 分发 分发 长期CA证书 长期证书 假名CA证书 假名证书 根CA 长期CA假名CA 68 汽车电子网络安全标准化白皮书(2018) 附录A3现代汽车网络安全最佳实践 2016年10月,美国高速公路交通安全管理局(NHTSA)发布了一份 现代汽车网络安全最佳实践(C
41、ybersecurity Best Practices for Modern Vehicles)(以下简称“最佳实践”),是继9月份发布的自动驾驶汽车 政策之后,对“智能网联汽车”发布的又一重要指导性文件。“最佳实 践”全文分为九大部分,包括目的、使用范围、背景、定义、通用性网络 安全指导、汽车工业网络安全指引、网络安全教育、后装设备、车辆维护 可用性。 为减轻车辆网络安全威胁给用户带来的功能安全风险及个人敏感信息 泄露危险,NTHSA代表美国交通部积极参与车辆网络安全研究,积极推 动加强车辆网络安全保护,努力提升车辆网络空间安全能力。NTHSA前 期采取的措施还包括2015年督促克莱斯勒大规
42、模召回存在网络安全隐患的 吉普自由光汽车、2016年向美国国会提交一份关于客运机动车辆电子系统 防止非法入侵的安全措施提案、2016年召集由OEM、政府机构、行业协 会等广泛参与的公共车辆网络安全圆桌会议等,前期NHTSA还建立了汽 车信息共享与分析中心。 “最佳实践”开篇阐明了发文的原因,即由于美国现行的汽车安全 标准中没有包括“网络安全”的内容,而汽车作为网络安全的“物理载 体”,其网络安全的脆弱性与人身安全和公共安全息息相关。“最佳实 践”适用者为制造、设计汽车系统或软件的个人和组织,包括汽车设备设 计方、供应商、制造商和改装企业等。 “通用性网络安全指导”一章提出了“分层方法”和“IT
43、安全控制” 两个内容。NHTSA认为,针对车辆网络安全的分层方法能够降低网络入 侵的成功率并减轻非授权访问带来的不良后果。分层方法须建立在汽车工 业遵循美国国家标准与技术研究所制定的“网络安全框架”提出的“识 69 汽车电子网络安全标准化白皮书(2018) 别、保护、检测、响应和恢复”五项主要功能要求基础上,其具体内容包 括: (1)建立基于风险的车辆安全关键控制系统和个人可识别信息的优 先识别和保护策略; (2)提供及时发现和快速响应机制应对潜在的车辆网络安全事件; (3)设计安全恢复方法和措施应对车辆网络安全事故的发生; (4)将车辆网络安全事件信息采集工作制度化,通过行业内有效的 信息分
44、享,加速吸取行业内车辆网络安全事件教训。 在“IT安全控制”中,NHTSA认为汽车工业应学习借鉴已在金融、 能源、通信等行业中广泛采用的CIS CSC(Critical Security Controls for Ef- fective Cyber Defense,针对有效网络防御的关键安全控制)方法,尤其是 需要特别关注CIS CSC提到的20个高优先级网络安全防护点。此外,“IT 安全控制”还建议汽车工业采用CIS CSC推荐的下列网络安全控制方法: (1)执行网络安全差距评估流程; (2)制定实施路线图; (3)有效和系统地执行网络安全计划; (4)将网络安全控制集成到车辆系统并在业务操
45、作过程中实行; (5)在重复周期内执行流程监控和报告制度。 “汽车工业网络安全指引”为“最佳实践”中最为重要的环节,提出 汽车开发流程里需要有明确的网络安全考量,例如考虑采用SAEJ3061推 荐的信息物理汽车系统网络安全指南。在产品的网络安全防护方面, NHTSA建议汽车企业在开发或集成车辆的安全关键系统时,需要优先考 虑车辆网络安全并从组织管理上给予保障,具体建议包括: (1)在组织内,安排专门的队伍和资源,研究、分析、测试、验证 产品网络安全方面的防护措施及其脆弱性; (2)建立快速(与公司各关联方)沟通渠道,应对产品网络安全事务; 70 汽车电子网络安全标准化白皮书(2018) (3)
46、在汽车安全设计流程中,需要允许汽车网络安全考量作为独立 意见影响产品设计。 依据美国“行政命令 13691” (EO 13691),要求国土安全部(DHS) 促进网络安全信息共享,大力鼓励信息共享和分析组织 (ISAOs) 的发展。 2015年,在NHTSA推动下,汽车行业的信息共享和分析组织Auto ISAC 成立。与此同时,NHTSA还支持额外的信息共享机制,如漏洞报告和披 露程序。这些措施已在其他行业有效,并将有利于汽车工业。NHTSA认 为,汽车行业成员应考虑创建自己的漏洞报告/披露政策,或采用其他行 业或技术标准中使用的政策,这些政策将最终指导任何外部的网络安全研 究人员如何向汽车企
47、业披露安全漏洞。 “脆弱性/漏洞利用/安全事件的响应流程”则要求车厂等汽车企业应 对车辆网络安全的脆弱性/漏洞利用/安全事件等问题,需要有文档化的流 程,并且流程中必须包括影响评估、控制、恢复、补救措施以及相关测试 等内容。在“Self-auditing(自审计)”中,NHTSA要求文档化以下内容以 便审计和追责,包括:风险评估,渗透测试结果,组织决策。 “基础性车辆网络安全保护措施”来源于NHTSA的相关研究及汽车 行业经验分享,被NHTSA认为是汽车企业需要重点实施的车辆网络安全 防护措施,其具体包含了11项内容: (1)ECU开发者调试接口访问限制:软件开发者有很多途径访问 ECU,例如
48、通过一个开放的调试端口或者串行控制台。但是,这样的访问 应该被限制,特别是当开发者没有对ECU持续访问的可预见的操作原因 时,访问应该被拒绝。而如果持续的开发者访问是必要的,那么任何开发 者级调试接口应该得到适当的保护,即仅限制于访问授权的特权用户。此 外,物理上隐藏用于开发调试访问的连接器、针脚等不应被视为接口被安 全保护的充分形式。 (2)密钥/密码安全保护:任何能提供车辆系统平台访问能力的密钥 71 汽车电子网络安全标准化白皮书(2018) 或密码应该被安全保护以防泄露。同时,从单个车辆系统平台获得的任何 密钥不应能够用于访问其他车辆。 (3)诊断访问限制:诊断操作需要尽可能施加较多的限
49、制措施,例 如限制某个诊断操作的影响范围或时间。另一方面,诊断操作应被设计为 当其被滥用时能够最小化潜在的安全风险。 (4)固件恶意访问防护:ECU固件程序是常见的攻击目标。在固件 程序开发过程中,需要实施安全代码开发等措施。同时,为防止固件程序 被非授权分析,可以考虑对固件程序进行加密。此外,固件程序的升级过 程中,也必须保证升级程序的机密性。 (5)固件恶意修改防护:限制修改固件的能力将使恶意固件程序被 安装在车辆上更具挑战性。例如,使用数字签名技术可以防止汽车ECU启 动被恶意修改/未经授权的固件程序。此外,采用数字签名技术的固件更 新系统可以防止安装非授权方提供的软件更新。 (6)网络端口、协议和服务使用限制:汽车ECU上网络服务器的使 用应仅限于其必要的功能,服务端口应加以保护以防止未经授权的使用。 (7)在汽车电子架构设计中使用分段和隔离技术:特权分离与边界 控制能够提升系统安全性。逻辑和物理隔离技术应用于将处理器、车辆网 络和外部连接分开,以限制和控制外部威胁到车辆内部的路径。而强大的 边界控制技术,如严格的基于白名单的段间消息过滤机制,应被用于保障 接口