第六章 智能网联汽车安全技术

6智能网联汽车安全技术寄语：学问是苦根上长出的甜果智能网联汽车技术内

容CONTENTS智能网联汽车信息安全技术概述01智能网联汽车信息安全技术要求02智能网联汽车功能安全技术03*学习目标了解智能网联汽车安全技术概念。了解智能网联汽车信息安全技术发展现状。掌握智能网联汽车信息安全技术要求。掌握智能网联汽车信息安全技术、功能安全技术。01智能网联汽车信息安全技术概述导入

此类事件的发生，警醒我们智能网联汽车安全防护的重要性。2019年欧洲和美国相继爆出多起通过中继攻击的方式对高端品牌车辆实施盗窃的事件。尤其是在英国，仅2019年前10个月就有14000多起针对PKES系统的盗窃事件，且小偷的作案时间通常不到30S，作案工具中继设备和攻击教程甚至在网络上也可以购买，这对车主的人身和财产安全构成极大的威胁。01智能网联汽车信息安全技术概述全国汽车标准化技术委员会智能网联汽车分技术委员会（SAC/TC114/SC34)归口的推荐性国家标准《汽车信息安全通用技术要求》（报批稿）中明确了汽车信息安全定义：汽车的电子电气系统、组件和功能被保护，使其资产不受威胁的状态。ISO/SAE21434《道路车辆信息安全工程》中描述了道路车辆信息安全的定义：确保违背信息安全相关属性会导致人身或财务受到损失，所有道路交通参与者应处于免受道路车辆电子或电气组件及其功能威胁场景危害的充足保护之中。UN／WP29《信息安全与信息安全管理体系》中，“信息安全”指保护道路车辆及其功能的电子或电气部件免受网络威胁的状况。《智能网联汽车生产企业及产品准入管理指南（试行）》（征求意见稿）中明确汽车信息安全定义为：汽车的电子电气系统、组件和功能被保护，使其资产不受威胁的状态。“介绍”分组讨论智能网联汽车信息安全技术现状、趋势国内、国外学生分组汇报老师总结01智能网联汽车信息安全技术概述02智能网联汽车信息安全技术要求导入

当前，汽车信息安全攻击手段更多、范围更广、危害更大，己造成部分品牌产品召回。当前网络空间安全己上升至国家安全战略层面。随着汽车产业的电动化、智能化、网联化、共享化发展，智能网联汽车的信息安全问题所带来的影响逐步扩大至公共安全乃至国家安全。根据Upstream的报告统计，2010～2020年排前四项的车联网信息安全攻击分别为服务器攻击、数字钥匙攻击、App攻击、OBD攻击。

智能网联汽车信息安全目标与要求：02智能网联汽车信息安全技术要求

通过传感器、计算节点（ECU)和通信模块、移动通信技术、汽车导航系统、智能终端和信息网络平台确保汽车和道路、汽车和汽车、人与汽车以及车辆和应用程序平台的全方面联网。采用信息网络平台来分析、处理和提取数据确保用户可以更安全、更丰富、更方便、更有效地使用汽车和信息服务。根据边界划分我们可以将车辆网络安全系统分为车内外网络安全两方面并细分为下列类别：网络安全、通信终端安全、通信通道安全、信息平台安全以及手机应用安全（App)。

主要针对车身网络安全、T-BOX安全和信息平台安全三个方面介绍：车身网络安全1T-BOX安全2信息平台安全302智能网联汽车信息安全技术要求

车身网络安全也就是要求保证车辆总线安全。由于CAN在网络各节点间通信实时性强、具有国际标准、开发周期短等特点，可以为分布式控制系统中的实时可靠通信提供技术基础。CAN作为汽车环境中各设备的信息传递通信协议，目前也用于通过各车载电子控制装置ECU的信息传递来形成分布式或实时控制的串行通信网络。车身网络安全102智能网联汽车信息安全技术要求

通过CAN节点、CAN网络通信、CAN网关和对外接口通信四个层面的安全防护来加固车辆CAN网络信息安全，防止汽车CAN网络因受监昕、篡改、重放、注入等攻击导致汽车关键信息泄露及影响行车安全。需要从车辆电子电气架构设计阶段就开始考虑，而且必须在车辆的整个生命周期中进行维护。车身网络安全102智能网联汽车信息安全技术要求整体安全目标与要求：

安全目标：提高CAN节点自身的完整性和可靠性，尽可能降低CAN节点被入侵或者破坏的风险，防止因CAN节点自身的软硬件设计缺陷而对整个CAN网络的信息安全构成威胁。CAN节点安全的具体要求如下表6-1所示：车身网络安全102智能网联汽车信息安全技术要求CAN节点安全目标与要求：车身网络安全102智能网联汽车信息安全技术要求CAN节点安全目标与要求：车身网络安全102智能网联汽车信息安全技术要求CAN网络通信安全目标与要求：

安全目标：保证CAN网络上传输数据的完整性和可用性需求，防止通信数据被篡改、伪造、重放。

整体要求：CAN网络通信应该采用必要的安全通信机制和安全防护措施，针对关键节点和信息应采用身份认证、信息加密、数字签名等方式对CAN总线上传输的数据进行安全保护。车身网络安全102智能网联汽车信息安全技术要求CAN网络通信安全目标与要求：节点身份认证主要包括：1）具备CAN节点间的双向认证机制。2）CAN节点接收到CAN通信报文后，应对通信对方身份进行认证，能够鉴别通信对方是否合法。3）对参与网络通信的各ECU节点的合法性进行验证，对CAN节点间的认证方法进行选择。在具备计算资源的ECU之间，宜采用数字证书方式认证；在计算资源有限的情况下，宜采用对称方式进行认证。车身网络安全102智能网联汽车信息安全技术要求CAN网关安全目标与要求：

安全目标：实现外部威胁与车内CAN网络的安全隔离，采用网络分段与隔离技术、路由控制与边界控制等手段提升车内信息交互的安全性。

CAN网关通信信息安全要求：1）访问控制，网关应在不同CAN网络间建立定义清晰的通信矩阵，并建立访问控制策略，对不符合定义的报文应丢弃或者记录。2）抗拒绝服务攻击，网关应具有CAN总线抗拒绝服务攻击功能，当网关受到拒绝服务攻击时，需要确保自身正常的通信及其他功能不受影响，并能够阻断攻击源连续不断的泛洪攻击，对检测到的攻击报文要丢弃或者记录。车身网络安全102智能网联汽车信息安全技术要求CAN网关安全目标与要求：

网关系统信息安全要求：1）安全启动，网关应支持安全启动，即通过对引导加载程序和关键操作系统文件的数字签名和密钥进行检测，从而使网关能够在可信基础上安全启动和运行。2）安全日志记录，网关应具有安全日志记录功能，当探测到不安全的通信数据、关键配置变更、安全启动校验失败等各类事件时，应对其进行记录。网关的安全日志记录中，应包括触发日志的事件的发生时间、事件类型、具体执行的操作等。3）应对安全日志记录进行安全存储，防止日志记录的损毁，同时防止未授权的添加、访问、修改和删除。安全日志记录存储的位置可在网关或其他ECU内，也可在云端服务器内。网关安全日志记录，宜保存7天以上。车身网络安全102智能网联汽车信息安全技术要求CAN网关安全目标与要求：

网关数据信息安全要求：1）安全区域中一次性写入的敏感信息无法非授权获取或者篡改。2）安全区域或安全模块应具备检测和处置非授权访问的能力，以对抗暴力破解。车身网络安全102智能网联汽车信息安全技术要求对外接口通信安全目标与要求：

对外通信接口分为直接通信接口和间接通信接口，前者指直接与CAN网络相连的接口（如OBD接口、充电通信接口），此类接口采用CAN通信方式；后者指间接与CAN网络通信的接口（如USB、WiFi、蓝牙、蜂窝移动通信网络），此类接口通常不是CAN通信方式。

安全目标：通过双向身份认证、资源访问控制和完整性检查等技术增强信息交互的可用性和完整性，实现车内CAN网络与外部接入设备或者网络的安全连接。

T-Box被称为与云端通信的桥梁，主要功能是提供OBD、MCU／CPU、FLASH、SENSOR、GPS、3G／4G、WiFi／蓝牙等模块，实现车辆和云平台之间的通信。它与车辆内部总线相连，通过云平台连接手机／PC。T-Box提供远程控制、远程访问、安全服务，如远程控制门窗和空调、远程定位车辆、搜索车辆状况、紧急救护等。为保护车载通信终端安全，其目标与安全要求如下。T-BOX安全202智能网联汽车信息安全技术要求

能够对抗针对加解密操作的密码分析攻击、侧信道攻击、故障注入攻击等破坏数据保密性和完整性的安全威胁，保证车载端所存储的关键数据不被泄露或篡改，芯片功能可以正常使用，保证电路和芯片安全实现数据运算和数据存储等功能。T-BOX安全202智能网联汽车信息安全技术要求硬件安全目标：

正确地响应授权操作和处理异常行为，对抗针对操作系统的溢出攻击、暴力破解、中间人攻击、重放、篡改、伪造等多种安全威胁，保证操作系统文件和数据的可用性、保密性、完整性和可审计性，保证对各类资源的正常访问，系统能够按照预期正常运行或在各种操作情况之下处于安全状态，具有身份权限管理和访问控制机制。T-BOX安全202智能网联汽车信息安全技术要求操作系统安全目标：

可以对抗逆向分析、反编译、篡改、非授权访问等各种针对应用的安全威胁，并确保应用产生、使用的数据得到安全处理,车载端应用与相关服务器之间通信的安全性，保证应用为用户提供服务时，以及应用在启动、升级、登录、退出等各模式下的安全性，保证应用软件具备相应的来源标识，具有保证软件保密性、完整性的防护措施。T-BOX安全202智能网联汽车信息安全技术要求应用安全目标：

安全目标：保证车载端各个阶段用户数据的安全性，同时具有清除机制，保护数据生命周期各环节的安全性，保证用户数据的机密性、完整性和可用性。T-BOX安全202智能网联汽车信息安全技术要求数据安全目标：

安全目标：保证外部威胁与内部网络之间的安全隔离，避免车载端向内部关键系统发送伪造、重放等攻击数据，满足应用场景对通信和数据交换的需求，保证车内子系统和数据的保密性、完整性，保证汽车功能正常，不会非法占用内部总线资源。T-BOX安全202智能网联汽车信息安全技术要求通信安全目标：

车联网信息服务平台是面向汽车产业网联化、自动化、智能化需求，利用无线通信网络、互联网等信息通信技术，为车辆驾乘人员以及行业管理等提供的信息服务，支撑汽车和交通服务新模式、新业态的信息服务平台。车联网信息服务平台的体系架构，可以归纳为基础设施、平台和应用服务三个层次，具体安全目标及防护要求见教材197页表6-2。信息平台安全302智能网联汽车信息安全技术要求

智能网联汽车的信息安全整体架构可以依据国际普遍采用的“云端”“通信端”“车端”“路侧单元”四个方面进行描述，如图6-1。02智能网联汽车信息安全技术要求“技术架构”

云端信息安全架构：云平台主要完成信息的整合分析，并为车辆提供服务。基于云平台的特点和需求，结合相应的安全威胁分析，智能网联汽车云端的信息安全架构包括服务平台以及数据存储两个层面的安全，如图6-2所示。02智能网联汽车信息安全技术要求“技术架构”

服务平台安全：使用成熟的汽车云计算平台和信息保护技术，在未来有效保障中国汽车行业互联网服务提供平台的内部信息安全。当前所有的移动车载互联网安全服务平台通过主动网络安全数据防护系统技术手段，对其网络进行安全和基础加固，部署有网络防火墙、入侵检测系统、入侵防护系统、Web防火墙等安全设备。02智能网联汽车信息安全技术要求“技术架构”

数据存储安全：数据存储方面相关技术手段具体包括设立安全检测服务、完善远程OTA更新功能、建立车联网证书管理机制、开展威胁情报共享。相关技术包括：(1）云端安全检测：通过分析云端储存的交互数据和车端记载的本地日志来检测汽车的移动终端上是否存在异常操作或隐私信息数据的泄露问题。(2）远程OTA更新：加强软件更新系统校验，支持软件信息安全认证，适配产品固件系统更新(FOTA）和软件系统更新(SOTA），在保证用户首次发现重大软件安全漏洞时迅速地自动更新软件系统，大幅度降低产品召回事件费用。(3）车联网证书管理：对注册用户进行真实身份验证，为用户车辆注册加密用户密钥和汽车注册用户登录信用凭证等相关服务信息提供了安全数据管理。(4）威胁情报共享：实现整车企业、政府部门、服务供应商之间的安全数据共享。02智能网联汽车信息安全技术要求“技术架构”

管端信息安全架构：车联网系统由多个子系统组成，分别是平台层、网络层、车载终端等。其中，平台层与多个App服务商的子系统连接，网络层通过Wi-Fi、移动通信网、DSRC等无线通信手段进行车-X通信。网络传输域主要完成信息的传输工作，车-X通信由于依托无线通信方式，也存在无线通信自身存在的网络加密、认证等方面的安全问题。同时，车联网的互联网应用平台也面临因互联网服务应用漏洞带来的安全威胁。02智能网联汽车信息安全技术要求“技术架构”

管端信息安全架构：基于通信过程的特点和需求，结合相应的安全威胁分析，智能网联汽车通信的信息安全架构包括访问控制、通信加密、监测预警及应急处置三个方面，如图6-3所示。02智能网联汽车信息安全技术要求“技术架构”

车端信息安全架构：智能网联汽车的新型业务需求之一是具备网联功能的车载端对外通过蜂窝网络、短距离通信以及车-车／车-路通信协议与互联网、车际网建立连接，进行数据交换；对内与汽车总线及电子电气系统进行信息采集和指令下发。车载终端需要感知车辆内外的各类信息，而目前应用的各类传感设备的信息传输方式多为无线传输，在传输过程中易被拦截和篡改。缺失和错误的传感信息数据会对车辆的安全造成极大威胁。02智能网联汽车信息安全技术要求“技术架构”

车端信息安全架构：基于这样的通信和数据交换需求，结合相应的安全威胁分析，智能网联汽车车载端的信息安全架构包括车端安全（硬件系统、操作系统和安装的App）、车-X通信安全以及数据安全，如图6-4所示。02智能网联汽车信息安全技术要求“技术架构”

路侧单元信息安全架构：路侧单元需要实现RSU主体业务并维护其日常运行，具体来说，其业务包括交通信息收发、设备接入、定时授时等。其日常运行时需要进行安全管理、配置管理、升级管理等操作。基于路侧单元的特点和通信需求，结合相应的安全威胁分析，智能网联汽车路侧单元的信息安全架构包括设备安全管理和业务功能安全管理，如下图6-5所示。02智能网联汽车信息安全技术要求“技术架构”

路侧单元信息安全架构：设备安全管理层面对RSU配置专用的硬件加密模块并实施通信加密。业务功能安全管理层面对PC5接口上的C-V2X消息认证鉴权，通过PKI数字证书认证体系来对RSU收发消息进行签名和验证签名操作。02智能网联汽车信息安全技术要求“技术架构”

信息安全评测概述：

信息安全是万物互联的核心技术。近几年，智能网联汽车信息安全事件不断涌现，汽车行业对于信息安全问题愈加重视，主机厂、供应商、第三方机构纷纷在信息安全领域布局，而国内外政府部门也出台了信息安全相关法律法规，对于涉及个人信息的关键基础设施的信息安全要求做出规定。02智能网联汽车信息安全技术要求“测试评价”

信息安全评测概述：

评测是由评价机构证明产品、管理体系等符合强制性要求或相关技术规范标准的合格评定活动。智能网联汽车行业产业链上下游所涉及的企业众多、软硬件产品多样，主体涵盖元器件供应商、设备生产商、主机厂、软硬件技术提供商、通信服务商、信息服务提供商等。因此汽车的信息安全评测应该基于上述特点，面向目前行业信息安全威胁，针对汽车上下游企业信息安全管理体系、产品及人员开展信息安全评测。02智能网联汽车信息安全技术要求“测试评价”

管理体系评测概述：

信息安全管理体系作为整体的一部分，其管理对象主要是信息安全技术措施的部署实现，其安全措施包括管理措施和技术措施两个部分。对信息安全管理体系的评测就是对整个组织的安全管理水平进行评价。因此，信息安全管理体系评测提供了针对组织的信息安全状况的客观证据。通过信息安全管理体系评测，可以向监管机构、客户、合作伙伴等表明组织已经遵守了所使用的标准法规，已充分管理风险，增强相关方信心。02智能网联汽车信息安全技术要求“测试评价”

管理体系评测概述：

管理体系评测对象、标准及评测模式如表6-3。02智能网联汽车信息安全技术要求“测试评价”

产品评测概述：

智能网联汽车上所搭载的T-BOX、网关、IvI等关键部件承载着用户的个人信息，因此这些关键部件本身以及由关键部件组成的电子电气系统的信息安全性决定了智能网联汽车的信息安全水平。通过一个统一的、标准化的部件级和整车级的信息安全评测，可以统一各厂商之间对信息安全水平的认知、减少产品间的互操作性问题、增强政府与市场对智能网联汽车相关产品信息安全性的信任度，以促进智能网联汽车行业的发展。02智能网联汽车信息安全技术要求“测试评价”

产品评测概述：

管理体系评测对象、标准及评测模式如表6-3。02智能网联汽车信息安全技术要求“测试评价”

人员认证概述：

人员作为组织中从事产品开发、检测、运维等工作的主体，其信息安全能力直接影响到管理体系与产品研发的水平，因此对于人员的信息安全能力应该予以统一的评价。《网络安全法》明确提出应设立专门的关键信息基础设施安全管理人员，并对负责人和关键岗位人员进行安全背景审查、网络安全教育和技术考核等。通过人员信息安全能力认证，可以为组织提供对内部人员能力判别的统一标准，并为不同组织间的人才互认提供基准。02智能网联汽车信息安全技术要求“测试评价”

人员认证概述：

人员认证对象、标准及认证模式见表6-5。02智能网联汽车信息安全技术要求“测试评价”

信息安全政策及管理体系：

02智能网联汽车信息安全技术要求“测试评价”

信息安全政策及管理体系：

02智能网联汽车信息安全技术要求“测试评价”

信息安全政策及管理体系：

02智能网联汽车信息安全技术要求“测试评价”

信息安全政策及管理体系：

02智能网联汽车信息安全技术要求“测试评价”

系统安全测试系统：漏洞利用检测套件。02智能网联汽车信息安全技术要求“信息安全测试设备”

该工具多用于车机系统与车联网服务器网络服务端漏洞验证测试。系统漏洞扫描工具与Web漏洞扫描工具会产生一组报告会阐述说明目标主机存在哪些漏洞以及CVE漏洞编号。此时可以通过漏洞利用工具进行验证。一般远程服务存在两大类：一类是以缓冲区溢出为主；一类以Web漏洞为主。该工具提供了对这两大类漏洞的支持。

系统安全测试系统：车机系统漏洞扫描。02智能网联汽车信息安全技术要求“信息安全测试设备”

该工具主要用于对车机系统漏洞的扫描。车机系统多数情况下为Android或者Linux系统，或多或少都会存在一些与传统网络主机一样的问题。对于传统主机而言全球最为权威是CVE漏洞库，所以这里的某些工作可以使用系统漏洞扫描工具或者Web漏洞扫描工具来完成，但是还有一些漏洞属于车机专有的漏洞。在我国由中汽中心牵头收集并制定了对于车机系统专有的漏洞库，中国汽车行业漏洞共享平台（ChinaAutomobileVulnerabilityDatabase，简称CAVD）。该工具就是通过查询CAVD的漏洞信息随后对车机系统进行扫描。

系统安全测试系统：车机系统漏洞扫描。02智能网联汽车信息安全技术要求“信息安全测试设备”

与传统主机不同的是，车机安全在一般合规测试时不仅要在车机外部进行扫描测试，还需要在车机内部（在车机系统上运行扫描程序）进行扫描测试，用于判断一些关键应用程序的组件包是否存在漏洞。其工作原理如6-7所示。

系统安全测试系统：通用逆向安全测试工具。02智能网联汽车信息安全技术要求“信息安全测试设备”

该工具用于对车机系统的原始应用程序（ELF格式文件）以及提取后的ECU固件在逆向过程中提供分析辅助功能。该工具还具备了对Windows系统的应用程序格式(PE格式)以及一些文档格式(如：DOC、PDF等)的解析与篡改的功能。

系统安全测试系统：通用逆向安全测试工具。02智能网联汽车信息安全技术要求“信息安全测试设备”

逆向工程主要分为四个阶段，第一个阶段就是解析文件格式，在操作系统上每种程序或者文档都是按照某种数据结构来保存数据的。第二个阶段是反汇编将代码段进行反汇编成人类易于理解的汇编语言。第三个阶段就是调试，单独靠阅读反汇编代码可能不能完全理解程序，这时就需要进行调试来动态地分析程序。最后一个阶段就是当理解程序后篡改程序来达到某种目的。

系统安全测试系统：通用逆向安全测试工具。02智能网联汽车信息安全技术要求“信息安全测试设备”

该工具具备了一定的反汇编能力，虽然没有二进制反汇编分析工具功能强大。该工具还具备了交叉调试功能，例如在X86体系下调试ARM代码。其工作原理示意图，如图6-8所示。

车载网络安全测试工具：车载CAN总线协议测试系统02智能网联汽车信息安全技术要求“信息安全测试设备”

该工具是对车辆CAN总线数据进行读取、发送、保存、回放四个功能。该工具带有一个ODB2接口的设备用于与车辆进行链接。此设备提供了三路CANBUG，在直接接入CAN网络时，可以通过双绞线进行连入。ODB2接口也是可以接收CAN协议的，该工具还可以解析UDS诊断协议。02智能网联汽车信息安全技术要求“信息安全测试设备”车载CAN总线协议测试系统设备外形如图6-9所示。

车载网络安全测试工具：车载CAN总线协议测试系统02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载CAN总线协议测试系统车载CAN总线协议测试系统软件界面02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载CAN总线协议测试系统车载CAN总线协议测试系统软件功能外部接入设备可通过OBD2口或CAN线接入车辆。可对CAN数据进行接收，浏览、保存、回访、分析。对基于CAN实现的UDS协议的进行解析。支持Linux系统。02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载CAN总线安全测试工具

该工具主要用在车载CAN总线协议测试系统之后，用于构造CAN协议数据包指定CANID并且以指定的频率发送回某个BUS。如果车辆ECU在设计或开发过程中存在漏洞，则可能在处理这些数据包时就会出现异常，工程师可以通过这些异常的反馈来进一步分析ECU。

该工具是车载CAN总线协议测试系统的扩展功能，以功能插件的形式嵌入车载CAN总线协议测试系统中。02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载CAN总线安全测试工具

功能如下：在车载CAN总线协议测试系统之上，可自行定义CANID号并构造数据内容。可指定CANBUS在指定频率下发送自行构造的CAN数据包。02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载CAN总线加解密分析工具

该工具主要用于辅助测试工程师分析CAN协议。当CAN协议进行了加密时，该工具尝试进行解密。它的工作原理主要是通过信息来判断某个CANID上的数据是否加密，在操作时指定一个CANID以及收集时间。因为每个CAN包所能携带数据长度是64位，也就是8个字节。如果发送数据量过大则需要对数据进行切分然后分包发送。采样一组数据的原因是过小的数据计算的信息熵是没有说服力的。利用信息熵的来评估收集CAN数据是否被进行加密或者压缩。02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载CAN总线加解密分析工具

该工具是车载CAN总线协议测试系统的扩展功能，以功能插件的形式嵌入车载CAN总线协议测试系统中。功能如下：在车载CAN总线协议测试系统上，可指定在一个时间周期内统计并计算指定CANID数据包的熵值。可统计每个CANID数据包各比特位的变化情况。可对CAN数据包的进行差异对比。02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载以太网协议测试系统

该工具主要用于在车载以太网协议的分析。车载以太网是基于传统的以太网之上进行定制封装的，其结构如图6-11所示。02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载以太网协议测试系统

数据包的结构与传统以太网的结构有所不同，传统以太数据包与车载以太数据包的对比如图6-12所示。02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载以太网协议测试系统

该工具的解析器需要重新按照上述封装进行解析，解析完毕后的应用协议与传统的协议一致。该工具具备一个硬件设备通过T1标准的双绞线连入车载以太网中。该工具的协议解析引擎对以太网包进行拆包，随后对应用协议进行分析。功能如下：外部接入设备可通过T1标准(IEEE100BASE-T1、IEEE1000BASE-T1)的双绞线接入车辆。可与车载以太网进行通信并实现对各种协议数据包的接收，浏览、保存、回访、分析等功能。02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载以太网安全测试工具

该工具主要用于车载以太网协议测试系统之后，用于自己构造车载以太网协议以及应用协议为模糊测试提供接口，并且指定服务端口以某个数据或者无限制进行发送。工程师可以以此观察车辆或者车机是否有异常反应来判断所测试的服务是否存在漏洞。02智能网联汽车信息安全技术要求“信息安全测试设备”

车载网络安全测试工具：车载以太网安全测试工具

该工具是车载以太网协议测试系统的扩展功能，以功能插件的形式嵌入车载以太网协议测试系统中。功能如下：基于车载以太网协议测试系统，可以自定义封装各种传输层协议头，例如TCP/IP协议头、针对车辆的AVB协议组(如：gPTP、AVBTP等)、各种应用(如：HTTP、FTP）以及针对车辆的SOME/IP协议等。可以对指定协议按照指定频率或者个数进行数据包发送。02智能网联汽车信息安全技术要求“信息安全测试设备”

软件升级测试系统

该系统是由两个部分组成的，一个部分是由OTA软件升级部件测试系统与OTA软件升级台架测试系统一同构成的升级测试系统。用于将部署安装在待测厂商的系统中。另一个部分是OTA整车合规测试系统，是基于此升级系统的，在待测设备上部署监控程序，按照《汽车软件升级通用技术要求》的技术要求对待测系统进行测试。02智能网联汽车信息安全技术要求“信息安全测试设备”

软件升级测试系统02智能网联汽车信息安全技术要求“信息安全测试设备”

软件升级测试系统：OTA软件升级部件测试系统

该系统在本项目中承担测试OTA系统接入的车机更新以及ECU固件更新，是整个软件升级测试系统中重要的一个子系统。此系统部署在OTA软件升级台架系统与外设对接的ECU固件上。待测厂商需要将自己的车机系统或者固件系统一同连入OTA软件升级台架测试系统。在更新完毕后，本系统会计算更新后固件的摘要值，测试人员可以此来与待测厂商提供的更新固件后的摘要值作比较来确定是否更新成功。02智能网联汽车信息安全技术要求“信息安全测试设备”

软件升级测试系统：OTA软件升级部件测试系统

功能：支持FlexRay、LIN、CAN、CANFD以及车载以太的接口可接收链接设备发送的刷写数据可计算刷写完后摘要值以验证刷写的完整性具备人机界面来控制与观察刷写过程并且可以模拟待测设备刷写ECU的操作02智能网联汽车信息安全技术要求“信息安全测试设备”

软件升级测试系统：OTA软件升级台架测试系统

该系统是升级测试的主要测试场所，相当于一台真实的汽车。待测厂商需要将要测试的车机系统或ECU固件共同连入本系统中。本系统充当整个测试过程中的承载与验算中心。02智能网联汽车信息安全技术要求“信息安全测试设备”

软件升级测试系统：OTA软件升级台架测试系统02智能网联汽车信息安全技术要求“信息安全测试设备”

软件升级测试系统：OTA软件升级台架测试系统

功能如下：一套完整的可用于仿真或真实的OTA升级系统，是一套最简完备的OTA系统、OTA服务器、车载主机、ECU仿真。OTA服务器可以是自定义的仿真系统，也可以作为真实的车厂OTA服务器与车载主机链接的代理服务器。车载主机可以是自定义仿真设备，也可以真实连接待测车载主机。ECU仿真可以自定义仿真，也可以连入OTA软件升级部件测试系统。可观察待测车机设备与OTA服务器协议交互过程。02智能网联汽车信息安全技术要求“信息安全测试设备”

软件升级测试系统：OTA整车合规测试系统

该系统用于评估待测厂商的OTA系统是否符合《汽车软件升级通用技术要求》所规定的要求。OTA系统应当符合以下四个准则：①升级前车辆状态检测；②升级包下载校验；③升级包安装校验；④升级系统安全校验。02智能网联汽车信息安全技术要求“信息安全测试设备”

软件升级测试系统：OTA整车合规测试系统

本系统分为两个部分：一个部分是按照《汽车软件升级通用技术要求》将指导性的手册放在一台笔记本电脑上提供给测试工程师，工程师按照流程一一进行验证测试。另外一个部分是软件部分，因为要监控被测设备在升级前是否检测了车辆状态、是否对升级包进行了校验，是否在安装时进行了校验，尤其是是否做了安全校验。这些仅凭看是否升级成功是很难确定的。02智能网联汽车信息安全技术要求“信息安全测试设备”

软件升级测试系统：OTA整车合规测试系统

本系统分为两个部分：一个部分是按照《汽车软件升级通用技术要求》将指导性的手册放在一台笔记本电脑上提供给测试工程师，工程师按照流程一一进行验证测试。另外一个部分是软件部分，因为要监控被测设备在升级前是否检测了车辆状态、是否对升级包进行了校验，是否在安装时进行了校验，尤其是是否做了安全校验。这些仅凭看是否升级成功是很难确定的。03智能网联汽车功能安全技术导入

思考：

那么当功能安全分析到这预期危害后，可以生成有哪些安全措施？

假如苏大强在高速行驶过程中，电子助力转向系统的转角传感器突然失灵，转向盘左右晃动。“概念”

功能安全的定义是指不存在电子电气系统的功能异常表现引起的危害而导致不合理的风险。智能网联汽车拥有大量的辅助驾驶，甚至自动驾驶功能，非机械结构在车辆运行中所占的比重越来越大，功能安全是智能网联汽车量产的最基本保障。01功能安全技术“概念”

功能安全受开发过程（例如，包括需求规范、设计、实现、集成、验证、确认和配置）、生产过程、服务过程和管理过程的影响。安全问题与常规的以功能为导向和以质量为导向的开发活动及工作成果相互关联，如图6-17所示为GB/T34590的整体架构。GB/T34590基于V模型为产品开发的不同阶段提供参考过程模型。01功能安全技术“功能安全相关概念”

功能安全中需首先确定研究对象——相关项定义。定义并描述相关项的功能，及其与驾驶人、环境、其他相关项在整车层面的相关性和相互影响；并为充分理解相关项提供支持，以便执行后续阶段的活动。相关项定义的要求包括：①法规要求、国家标准和国际标准；②整车层面的功能行为，包括运行模式或运行状态；③所要求的质量、性能和功能的可用性（如果适用）；④相关项的约束，例如：功能依赖性、与其他相关项的依赖性、运行环境；⑤行为不足的潜在后果（如有）包括已知的失效模式和危害；⑥执行器的能力，或其假定的能力。01功能安全技术“功能安全相关概念”

危害分析和风险评估：指的是为了避免不合理的风险，对相关项的危害事件进行识别和归类的方法以及定义防止和减轻相关危害的安全目标和ASIL等级的方法。其目的是识别并分类由相关项中的功能异常表现引起的危害事件。定义接受准则，包括危害行为的安全度量，以及由接受准则导出安全确认目标，用于评估残余风险，制定防止危害事件发生或减轻危害程度的安全目标及其相应的ASIL等级，以避免不合理的风险。01功能安全技术“功能安全相关概念”

ASIL等级，即汽车安全完整性等级（AutomotiveSafetyIntegrityLevel，ASIL），用于定义相关项或要素需要，以避免不合理的风险。对于一个给定的危害可通过严重度（S）、暴露概率（E）或可控性（C）等方面进行的分级定义，如表6-8~6-11所示。01功能安全技术“功能安全相关概念”01功能安全技术“功能安全相关概念”01功能安全技术“功能安全相关概念”01功能安全技术

通过分层的方法，从危害分析和风险评估中得出安全目标，再由安全目标得出功能安全要求，并将安全要求分配到系统架构设计。使用初步架构设想为在早期开发阶段处理不成熟的架构信息提供了一种方法。“产品开发阶段”01功能安全技术

系统层面“产品开发阶段”01功能安全技术

系统架构设计需要考虑验证系统架构设计的能力，与实现功能安全相关的预期软硬件要素的技术能力，在系统集成过程中执行测试的能力。系统架构设计的安全分析如表6-11所示。对于每种方法，应用相关方法的推荐等级取决于ASIL等级，“++”高度推荐，“+”推荐，“o”不推荐也不反对该方法。分类如下：“产品开发阶段”01功能安全技术

硬件层面：硬件层面产品开发的必要活动和流程包括技术安全概念的硬件实现，分析潜在的硬件故障及其影响，与软件开发的协调，硬件层面开发流程如图6-19所示。“产品开发阶段”01功能安全技术

软件层面：车辆在软件层面产品开发的要求，包括软件安全要求，软件架构设计，软件单元设计和实现，软件单元验证，软件集成和验证，嵌入式软件测试等。软件层面开发流程如图6-20所示。“产品开发阶段”01功能安全技术

软件层面：软件架构设计原则如表6-15所示。“预期功能安全技术”01功能安全技术

预期功能安全需要识别的危害如图6-21所示。“预期功能安全技术”01功能安全技术

预期功能安全(SafetyofTheIntendedFunctionality)，重点关注“预期的功能”的安全性，即：满足预期设计要求的功能所具有的安全水平。因自动驾驶车辆运行场景条件的复杂性和未知性，自动驾驶功能即使满足设计要求，仍可能存在大量的安全运行风险，功能不足、触发条件、整车行为危害的关联如图6-22所示。如何避免预期的功能所引发的安全风险，即为预期功能安全。“预期功能安全技术”01功能安全技术功能不足、触发条件、整车行为危害的关联“预期功能安全技术”01功能安全技术

现有关于智能网联汽车预期功能安全的国际标准草案ISO/PAS21448规范和描述了一个基于迭代的系统分析流程，用于系统识别、分析、减少功能不足造成的