车端网络安全一站式解决方案

维克多集团为汽车及相关行业的原始设备制造商和供应商提供专业的开放开发平台，包括各种工具，软件组件和服务，应用于嵌入式系统的创建。

维克多汽车科技有限公司高级顾问王镇发表了车载端网络安全一站式解决方案的演讲，介绍了维克多的咨询业务简介，行业现状及趋势分析，网络安全需求分析，网络安全嵌入式软件设计，网络安全渗透测试等内容以下是演讲内容:

王镇，维克多汽车技术有限公司高级顾问

首先简单介绍一下我所在的部门:维克多咨询维克多咨询是维克多集团的子公司，成立于2001年，也是集团的产品线和事业部之一其主要业务是咨询维克多咨询公司成立20多年来，在全球范围内为汽车，航空航天，IT，金融，医疗等相关行业的众多国内外客户提供了各种技术咨询服务

维克多的咨询主要分为四个部分:第一部分是帮助客户做技术改造咨询，包括为客户介绍敏捷开发，满足部分客户对定向咨询的要求，以降低成本，提高效率第二部分是可信，主要关系到我们的网络安全和功能安全，也是今天的主要话题第三部分是技术，新技术例如，我们的客户从非AUTOSAR转向AUTOSAR，从CP转向AP有哪些行业内的成功经验可以借鉴我们帮助客户在生命周期管理的不同阶段进行咨询等最后一部分是为客户提供上述三类咨询的培训和辅导

行业现状及趋势分析

第二部分是安全需求的设计与分析首先，我想和大家分享一下维克多咨询公司的年度调查活动每年年底，维克多咨询都会对全球主要市场和客户进行咨询调查，重点是软件领域，关注客户近期，也就是过去一年或未来一年关注的焦点，以及他们有哪些担忧和头疼的问题维克多在2021年底做了同样的调查根据客户反馈，我们绘制了下图横轴代表短期挑战，纵轴代表长期挑战每一个点都代表了客户近期关注和担心的具体方面

在右上角的软件领域，各行各业的企业集中关注以下问题:企业对创新能力的需求，或者个人能力不足，以及降本增效的老套问题针对他们的反馈，我们画了一个三角形，表示当流程优化不当时，创新，能力，质量，复杂度，成本等因素会形成恶性循环

在过去的很长一段时间里，我们发现客户端的很多工程师有很强的编码基础知识，但是缺乏流程管理，优化，系统构建等方面的专业知识我们知道，创新不仅仅依赖于编程，它实际上是一个大工程，强调系统化和流程优化如果缺少这方面，企业在创新上就没有更多的发展空间

这导致很多企业把竞争重点放在成本上，进一步加剧了红海竞争的激烈程度但企业要想控制成本，必然会减少对工程师的培训和一些技术投入这打击了工程师自我学习和进一步提高技术能力的积极性，导致工程师的技能不断下降或没有提升空间，最终形成这样的恶性循环

根据调查结果，可以从两个方面突破死循环一个是将敏捷开发引入正常的软件开发过程，另一个是管理过程的复杂性从而帮助工程师将有限的时间和精力投入到R&D和创新中，解决核心问题

除了这些方面，还有一些提高企业整体实力的关键点比如流程怎么优化，效率怎么提高，质量怎么提高，质量的提高会涉及到功能安全，网络安全等方面，和今天的话题息息相关

网络安全需求分析

接下来通过一个简单的案例，来说说我们在网络安全分析和设计的过程中，需要哪些步骤，经过哪些环节，采用了哪些技术。

第一步是定义项目边界和资产前者你可能更了解那么资产呢资产是有价值或有价值的物体:如密码，钥匙，私人数据，包括驾驶过程中记录的驾驶数据，加密算法，ADAS算法等等资产不仅对车主或OEM有价值，对攻击者也有价值正是资产的存在触发了攻击者的潜在攻击攻击的存在就是威胁，实施网络安全就是为了减少攻击带来的潜在威胁

定义资产后，第二步是TARA威胁分析和风险评估主要是建立从资产到攻击和威胁的映射关系在建立关系之前，最好不要考虑部署的安全措施只有在这种情况下，才能尽可能全面系统地了解要分析的对象，明确哪些薄弱环节需要部署安全措施

这样的依赖关系建立之后，就可以形成攻击路径了下一步，我们需要评估攻击和威胁的风险级别评估主要分为两个方面，一是攻击的可行性水平和攻击的概率ISO 21434还特别介绍了评估方法，比如袭击的时间和使用的工具评估的第二个方面是关注攻击的影响级别众所周知，ISO 21434从四个方面评估袭击后的影响基于以上两个方面的评级，可以得出风险等级来支持决策如果水平比较高，就需要想办法消除和降低如果危险等级较低，可以注册，监控甚至忽略总结这些决策的结果，以达到网络安全的目标

针对网络安全目标，我们还得进一步细化，从功能安全需求到技术安全需求，其中包括架构设计和软硬件的映射关系在这个层面上会涉及到具体的落地细节:比如用什么样的算法，用什么样的加密设施等等

经过前面的一系列分析，有必要通过树形结构映射安全需求和安全措施在结构树中，相邻点之间存在逻辑关系比如要控制CAN总线，至少要做到两点第一件事是我们能写出CAN总线，第二件事是我们能正确地写出CAN总线我们其实可以通过逻辑分析找到逻辑路径中的一些薄弱环节，比如蓝框指定的部分一般来说，对于这样一类项目，我们可以采取的措施主要有:安全通信，安全诊断，安全存储，安全下载，安全启动，安全调试等对于每个方案，我们都会部署相应的落地措施，比如安全下载可以使用公钥基础设施系统，安全通信可以使用包括车内安全通信在内的一系列技术

值得注意的是，TARA分析不仅在开发阶段，在整个汽车生命周期中，都需要不断采用TARA技术进行循环迭代，直到系统完善，漏洞更少。

分析完成后，就需要开发了这里主要说一下软件的开发编码过程中可以采用防御性编码，可以采用AUTOSAR和CWE软件的编码规范在条件允许的情况下，也可以使用与加密或编码相关的模块例如，KeyM模块可用于密钥管理或证书管理如果成本和性能允许，HSM可以用作硬件加密解决方案

设计完成后，测试端会有不同层次的测试:比如单元测试，功能需求测试，系统测试等等Victor提供了相应的工具和服务

网络安全嵌入式软件设计

接下来，我们进一步说一下软件层面的落地。在软件层面主要有不同的解决方案:

因为AUTOSAR在汽车上的应用非常广泛，所以AUTOSAR中有一些模块是帮助企业解决安全通信的，比如SecOC模块Victor还可以根据不同客户的要求定制SecOC开发您还可以加密IPSec，以便在以太网中进行安全通信Victor也可以对V2G充电采取相关加密措施此外，本文还讨论了业界热点问题——IDPS入侵检测与防御系统Victor也提供了一些成熟的解决方案供大家参考

除了安全通信，还有安全存储，安全诊断，安全下载和安全引导，其中引导加载器可以用来解决问题此外，企业需要使用HSM进行硬件加密一些软件代码包可以刷在HSM上，可以帮助存储密钥，密码和机密文件，也可以通过硬件中的对称和非对称算法进行加速

先说安全下载和安全启动安全下载有两个方面:远程下载OTA和传统下载模式，两者都可以采取安全措施Victor提供的安全下载流程如下:开发完成后，会形成二进制代码，然后对代码进行签名，得到哈希值，即消息摘要在这里，将使用PKI技术用私钥进行签名，签名的结果和原始数据将被发送到汽车终端，在那里将使用公钥进行验证验证成功后，将计算Mac值，计算后Mac值将存储在HSM中在安全引导的过程中，首先，HSM会计算引导的Mac，并将计算结果与之前存储的Mac值进行比较如果比较结果相同，则证明代码具有完整性，从下载代码到启动这段时间内没有被更改过在应用程序启动之前，将进行同样的完整性检查

这样的安全逻辑会大大增加安全性和保护性，但也会导致启动时间的延长这就需要企业平衡启动时间和安全性

网络安全渗透测试

软硬件设计完成后，就是验证和测试了测试和验证有许多不同的方法，每种方法都有不同的侧重点:有些侧重于架构，有些侧重于意外的行为和算法等

这里只提一下渗透测试Victor提供的渗透测试方法论如下:基于灰盒测试的十步法则，我们在测试时会保留黑盒视角，测试前会做一个迷你塔拉，有两层意思:1我们可以系统地识别待测对象有哪些测量点，提高测试效率2.在mini TARA的过程中，会建立功能模块和测试用例之间的映射关系，这种映射关系会用于后期回归测试的优化

简单总结一下，网络安全管理贯穿于汽车的整个生命周期，这就要求网络安全管理具有系统性，完整性，有效性和实时可更新性此外，不仅是网络安全，功能安全，Victor都能提供一站式解决方案无论是需求设计，嵌入式软件，测试工具链，Victor都能提供相应的解决方案

日前，在盖世汽车主办的2022中国汽车信息安全与功能安全大会上，公司高级顾问王镇发表了《车联网安全一站式解决方案》主题演讲。)