維克多（Vector）集團為汽車及相關(guān)產(chǎn)業(yè)的OEM商及供應(yīng)商，提供了專業(yè)的開放式開發(fā)平臺，包括各種工具，軟件組件和服務(wù)，應(yīng)用于嵌入式系統(tǒng)的創(chuàng)建。

維克多汽車技術(shù)（上海）有限公司高級咨詢顧問王振圍繞《車端網(wǎng)絡(luò)安全一站式解決方案》展開演講，從維克多咨詢業(yè)務(wù)簡介、行業(yè)現(xiàn)狀與趨勢分析、網(wǎng)絡(luò)安全需求分析、網(wǎng)絡(luò)安全嵌入式軟件設(shè)計、網(wǎng)絡(luò)安全滲透測試等方面進行介紹。以下是演講內(nèi)容整理：

維克多汽車技術(shù)（上海）有限公司高級咨詢顧問王振

先簡單介紹一下我所在的部門：維克多咨詢。維克多咨詢是維克多集團于2001年專門建立的子公司，也是集團的產(chǎn)品線與事業(yè)部之一，主要業(yè)務(wù)就是做咨詢，成立二十多年來，維克多咨詢在全球范圍內(nèi)為眾多中外客戶在汽車、航空航天、IT、金融、醫(yī)療等相關(guān)行業(yè)提供各種技術(shù)咨詢服務(wù)。

維克多咨詢主要分為四個部分：第一部分是幫客戶做技術(shù)轉(zhuǎn)型咨詢，包括幫客戶引入敏捷開發(fā)，滿足部分客戶提出的降本增效的定向咨詢的要求。第二部分是可信，主要是跟我們的網(wǎng)絡(luò)安全和功能安全相關(guān)，這也是今天的主要話題。第三部分是技術(shù)，新的科技，比如說，我們的客戶從非AUTOSAR切換到AUTOSAR，從CP切換到AP，有哪些行業(yè)內(nèi)的成功經(jīng)驗可以借鑒？以及我們幫客戶做生命周期管理中不同階段的咨詢等等。最后一部分是針對以上三類咨詢?yōu)榭蛻籼峁┡嘤?xùn)和輔導(dǎo)。

圖片來源：維克多

行業(yè)現(xiàn)狀與趨勢分析

第二部分講安全需求的設(shè)計和分析。首先跟大家分享維克多咨詢的年度調(diào)查活動，維克多咨詢每年底會對全球范圍內(nèi)的主要市場和客戶進行咨詢調(diào)查，重點聚焦軟件領(lǐng)域，關(guān)注客戶在近期，也就是過去一年，或者未來一年所關(guān)注的焦點，有哪些顧慮，哪些是比較頭疼的問題。維克多在2021年底同樣做了這樣的調(diào)查。我們根據(jù)客戶的反饋繪制了下圖，橫軸代表短期的挑戰(zhàn)，縱軸是長期的挑戰(zhàn)，每一個點代表客戶在近期所關(guān)注和擔(dān)憂的具體方面。

圖片來源：維克多

右上角是軟件領(lǐng)域內(nèi)，各行各業(yè)的企業(yè)所集中關(guān)注的問題：包括企業(yè)創(chuàng)新能力的需求；個人或企業(yè)能力不足；以及老生常談的降本提效問題。針對他們的反饋，我們繪制了一個三角，這個三角表示：流程優(yōu)化不當?shù)那闆r下，創(chuàng)新、能力、質(zhì)量、復(fù)雜度、成本等因素會形成惡性循環(huán)。

在過去很長的時間里，我們發(fā)現(xiàn)客戶端，很多工程師在編碼上有很強的基礎(chǔ)知識，但對于流程管理、優(yōu)化、體系建設(shè)等缺乏專業(yè)知識的儲備。我們知道，創(chuàng)新其實不僅僅依賴于編程，創(chuàng)新實際上是一個大的工程，講究系統(tǒng)化、體系化，還有流程優(yōu)化。如果在這方面缺乏，企業(yè)在創(chuàng)新上就會沒有更多的發(fā)展空間。

這就導(dǎo)致很多企業(yè)聚焦在成本競爭上，進一步加劇了紅海競爭的激烈程度，而企業(yè)要控制成本必然會減少對于工程師的培訓(xùn)，減少一些技術(shù)方面的投入，這打擊了工程師自我學(xué)習(xí)、技術(shù)能力上進一步提升的積極性，進而導(dǎo)致了工程師的技能持續(xù)下降，或者沒有更高的提升空間，最終形成這樣的惡性循環(huán)。

根據(jù)調(diào)查結(jié)果，可以從兩個方面突破死循環(huán)。一是把敏捷開發(fā)引入正常的軟件開發(fā)流程中，二是要對流程的復(fù)雜度進行管理。從而幫助工程師將有限的時間和精力放在研發(fā)和創(chuàng)新，以及解決核心問題上。

除了這些方面，企業(yè)整體實力提升還存在部分著力點。例如，怎么優(yōu)化流程，提高效率，怎么提高質(zhì)量，質(zhì)量的提高又會涉及到功能安全、網(wǎng)絡(luò)安全等方面，這些和今天的話題密切相關(guān)。

網(wǎng)絡(luò)安全需求分析

接下來通過簡單的案例，講一講我們在做網(wǎng)絡(luò)安全分析和設(shè)計過程當中需要哪些步驟，經(jīng)歷哪些環(huán)節(jié)，采用哪些技術(shù)。

第一步是項目邊界定義、資產(chǎn)定義。前者大家可能比較了解。那么資產(chǎn)（Asset）怎么理解？資產(chǎn)是有價值或者有助于價值的對象：比如密碼、密鑰，私人的數(shù)據(jù)，包括行車過程中記錄的駕駛數(shù)據(jù)，加密算法，ADAS算法等等。資產(chǎn)不僅僅對于車主或OEM有價值，同樣對攻擊者有價值。正是由于資產(chǎn)的存在，才引發(fā)了攻擊者潛在的攻擊，攻擊的存在就是威脅，實施網(wǎng)絡(luò)安全就是為了降低攻擊帶來的潛在威脅。

定義完資產(chǎn)之后，第二步就是TARA威脅分析和風(fēng)險評估。主要是建立從資產(chǎn)到攻擊、威脅之間的映射關(guān)系，關(guān)系的建立最好先不要考慮已經(jīng)部署的安全措施，只有在這樣的情況下才能夠盡可能全面系統(tǒng)地了解待分析對象，明確其有哪些薄弱環(huán)節(jié)需要進行安全措施的部署。

建立這樣一個依賴關(guān)系之后就可以形成攻擊路徑，下一步我們需要針對攻擊和威脅進行風(fēng)險等級評估，評估主要分兩個方面，一個是攻擊可行性等級，攻擊發(fā)生的概率是多少，評判方法在ISO 21434中也有具體介紹，比如需要考慮攻擊的時間，采用的工具等方面。評估的第二個方面是關(guān)注攻擊的影響等級。大家知道ISO 21434里面從四個維度去評價攻擊發(fā)生之后有什么樣的影響。基于以上兩個方面的評級，可以得出風(fēng)險等級，從而支撐決策，如果等級比較高，就需要想辦法消滅、降低它。如果危險等級比較低，就可以登記、監(jiān)控甚至忽略它。這些決策的結(jié)果匯總起來就得到了網(wǎng)絡(luò)安全目標。

圖片來源：維克多

針對網(wǎng)絡(luò)安全目標，我們還要做進一步細化，細化到功能性的安全需求，一直到技術(shù)性的安全需求，這里面包括架構(gòu)設(shè)計和軟硬件的映射關(guān)系，在這個層面就會涉及具體的落地細節(jié)：比如說用到什么樣的算法，用到什么樣的加密設(shè)施等等。

在經(jīng)歷了前面一系列分析之后，還有必要通過樹型結(jié)構(gòu)把安全需求和安全措施映射起來。結(jié)構(gòu)樹中，相鄰點之間存在邏輯關(guān)系，比如說我們想控制CAN總線，起碼我們應(yīng)該做到兩點，第一點是能夠?qū)慍AN總線，第二點我們能夠正確的寫CAN總線。我們一直往下去邏輯性的分析，其實可以找到邏輯路徑中一些薄弱的環(huán)節(jié)，比如藍框所指定的部分。總體而言，針對這樣的一類項目，我們可以采取的措施主要包含：安全通信、安全診斷、安全存儲、安全下載、、安全啟動、安全調(diào)試等。每一種方案施我們都會部署相應(yīng)的落地措施，比如安全下載當中可以采用公鑰基礎(chǔ)設(shè)施 PKI體系建設(shè)，以及包括安全通信過程當中可以用車載安全通訊（SecOC）等一系列技術(shù)。

值得注意的是，TARA分析不只是在開發(fā)階段，在整個汽車生命周期過程中，需要不斷地采用TARA技術(shù)進行循環(huán)迭代，一直到系統(tǒng)比較完善，漏洞比較少的程度。

完成分析之后就要進行開發(fā)，這里主要說的是軟件層面的開發(fā)，可以在編碼的過程中采用防御性編碼，可以采用AUTOSAR、CWE軟件的編碼規(guī)范。在條件允許的情況下，還可以采用跟加密或者編碼相關(guān)的模塊，比如采用KeyM模塊可以做密鑰管理，或者證書管理，在成本和性能允許的情況下，可以用HSM這樣一種硬件加密解決方案。

圖片來源：維克多

完成設(shè)計之后，在測試端還會有不同級別的測試：比如單元測試、功能需求測試、系統(tǒng)測試等各個環(huán)節(jié)，維克多都提供了相應(yīng)的工具和服務(wù)。

網(wǎng)絡(luò)安全嵌入式軟件設(shè)計

接下來我們進一步談?wù)勡浖用娴穆涞兀谲浖用嬷饕梢杂胁煌慕鉀Q方案：

因為汽車現(xiàn)在用AUTOSAR比較多，在AUTOSAR里面會有一些模塊幫助企業(yè)解決安全通信，比如說有SecOC模塊。維克多也可以根據(jù)不同的客戶的對SecOC需求進行定制化開發(fā)。還可以進行以太網(wǎng)方面的安全通信加密IPSec。針對V2G充電，維克多也可以采取相關(guān)的加密措施。除此之外，行業(yè)討論熱度比較高的IDPS入侵檢測防御系統(tǒng)，維克多也提供一些成熟的方案給大家做參考。

除了安全通信，還有安全存儲、安全診斷、安全下載、安全啟動，其中安全啟動和安全下載可以用Boot Loader來解決問題。此外，企業(yè)采用硬件加密還要用到HSM，HSM上面可以刷一些軟件代碼包，HSM可以幫助存儲密鑰、密碼、機密文件，還可以通過硬件為對稱式和非對稱式算法進行加速。

圖片來源：維克多

再講講安全下載和安全啟動，安全下載有兩個方面，遠程下載OTA和傳統(tǒng)下載模式，這兩個下載都可以采用安全方面的措施。維克多提供的安全下載流程如下：在開發(fā)完成之后會形成二進制代碼，然后對代碼進行簽名，進而獲得哈希值，也就是消息摘要，這里會使用PKI技術(shù)，用私鑰來簽名，并會將簽名的結(jié)果和原始數(shù)據(jù)一起發(fā)送到車端，在車端用公鑰進行驗簽，驗簽成功之后會做Mac值計算，計算之后把Mac值存在HSM里面。在安全啟動的過程中，首先HSM會對boot進行Mac計算，計算結(jié)果會與之前存儲的Mac值進行比較。如果對比結(jié)果一樣，就證明從下載代碼到啟動之間的時間內(nèi)，代碼具備完整性，沒有被更改。在應(yīng)用程序啟動前也會做同樣的完整性校驗。

這樣一個安全邏輯會極大地增加安全性與防護性，但是也會帶來啟動時間的延長。這需要企業(yè)在啟動時間和安全性之間進行平衡。

網(wǎng)絡(luò)安全滲透測試

軟/硬件設(shè)計完成之后就是驗證和測試環(huán)節(jié)。測試和驗證環(huán)節(jié)可以采取很多不同的方法，而每個方法的側(cè)重點不一樣：有些注重架構(gòu)，有些注重非預(yù)期行為和算法等等。

這里我只提一下滲透測試。維克多提供的滲透測試方法論如下：基于灰盒測試的十步法則，我們進行測試的時候會保持黑盒的視角，在測試之前會做一個mini TARA，其意義有兩點：1、可以系統(tǒng)地甄別待測對象有哪些行測點，提高測試效率。2、在mini TARA過程中會建立功能模塊和測試用例之間的映射關(guān)系，這一映射關(guān)系會用于后期回歸測試的優(yōu)化。

圖片來源：維克多

做完測試還有KPI考核，這是基于測試效率和效果的考核。主要是將測試結(jié)果反饋到需求設(shè)計端，在KPI考核環(huán)節(jié)，測試人員可以有更多發(fā)揮的空間，在整個信息安全流程里有更高的參與度。這個方法論維克多已經(jīng)發(fā)表在國際期刊上，同時也翻譯成了中文發(fā)表在微信公眾號上，大家有時間可以看一下。

簡單做一個總結(jié)，網(wǎng)絡(luò)安全管理貫穿于汽車全生命周期，這要求網(wǎng)絡(luò)安全管理做到系統(tǒng)、完整、有效、實時可更新。此外，不只是網(wǎng)絡(luò)安全，在功能安全維克多也可以提供一站式的解決方案，不管是需求設(shè)計、嵌入式軟件、測試工具鏈，維克多都可以提供相應(yīng)的解決方案。

（以上內(nèi)容來自維克多汽車技術(shù)（上海）有限公司高級咨詢顧問王振于2022年8月25日由蓋世汽車主辦的2022中國汽車信息安全與功能安全大會發(fā)表的《車端網(wǎng)絡(luò)安全一站式解決方案》主題演講。）

返回第一電動網(wǎng)首頁 >