智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與技術(shù)智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第1頁。主要內(nèi)容1、關(guān)鍵零部件計算平臺2、可信計算：safety

&security3、基于隔離的體系架構(gòu)4、生命周期與評估5、標(biāo)準(zhǔn)化發(fā)展情況6、團隊在標(biāo)準(zhǔn)方面的實踐7、網(wǎng)絡(luò)安全應(yīng)用方面的實踐8、結(jié)語智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第2頁。汽車產(chǎn)業(yè)進入快速發(fā)展的關(guān)鍵時期：智能化、網(wǎng)聯(lián)化、電動化、出行方式共享化A. 《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》（征求意見稿）：汽車產(chǎn)業(yè)是國民經(jīng)濟重要的戰(zhàn)略性、支柱性產(chǎn)業(yè)，發(fā)展智能汽車產(chǎn)業(yè)，對不斷滿足人民日益增長的美好生活需要具有十分重要的意義B. 《中國制造2025》：將自動駕駛作為汽車產(chǎn)業(yè)轉(zhuǎn)型升級的重要方向，制定了明確的技術(shù)發(fā)展時間規(guī)劃：2025年實現(xiàn)L4、L5級別的自動駕駛智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第3頁。網(wǎng)絡(luò)安全失效可能導(dǎo)致功能安全方面的危害2015年7月，菲亞特-克萊斯勒在美國召回140萬輛汽車，并對這些汽車的車載軟件進行升級，以避免黑客遠程控制發(fā)動機、轉(zhuǎn)向系統(tǒng)，以及其他車載系統(tǒng)。兩名研究人員利用筆記本電腦，通過這輛吉普車的聯(lián)網(wǎng)娛樂系統(tǒng)侵入其電子系統(tǒng)，完成了行駛速度，空調(diào)、雨刮器、電臺等方面內(nèi)容的遠程控制，甚至還把車“開進溝里”也可能導(dǎo)致隱私泄露、車輛丟失2016.11，挪威app安全公司Promon的安全專家成功控制了一臺特斯拉汽車，基于移動App的漏洞，可以跟蹤、定位，甚至解鎖、盜竊Tesla車輛汽車開始面臨嚴(yán)峻的安全問題：網(wǎng)絡(luò)安全是智能汽車的剛需智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第4頁。隨著汽車智能化程度的迅速提高，網(wǎng)絡(luò)安全事件將可能演變成社會安全、國家安全問題速度與激情8：數(shù)百輛車均進入自動駕駛模式，并關(guān)閉系統(tǒng)的障礙識別功能，于是這些僵尸車排山倒海地涌上街頭，而且都只管追蹤目標(biāo)汽車，速度一致，目標(biāo)一致，有喪尸來襲的既視感智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第5頁。1高性能計算平臺重大專項：面向智能網(wǎng)聯(lián)汽車的車載計算軟硬件平臺關(guān)鍵技術(shù)研究智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第6頁。1.1計算方面的演進：滿足不斷增長功能的計算需求? 獨立ECU：獨立硬件架構(gòu)/獨立軟件架構(gòu)：AUTOSAR、OSEK/VDX? 低速數(shù)據(jù)總線? 分布式計算網(wǎng)絡(luò)? 通過增加或刪除處理器來實現(xiàn)可擴展性? 中央計算平臺? 高速總線? 支持冗余的容錯架構(gòu)AdaptiveAUTOSAR

&多操作系統(tǒng)? 具有可擴展特性的計算平臺獨立單元控制器多域系統(tǒng)控制器智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第7頁。1.2主流軟件架構(gòu)：多域融合智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第8頁。信息娛樂系統(tǒng)：可以獲取個人信息

=>Cybersecurity-criticalsystem

=>privacy,

financial駕駛輔助系統(tǒng)：Cybersecurity-critical

and

safety-criticalsystem，可能給駕駛?cè)藛T帶來危害；被黑客攻擊注入惡意程序，也會給危害駕駛?cè)藛T1.3

軟件平臺的兩個核心問題?

硬件：異構(gòu)多核/多SoC可信：safety/fail-operational

；security?

多域計算、跨域計算：隔離?

高性能潛在的威脅：安全狀態(tài)?

持續(xù)行駛，直到人員介入。L3大概7-15S；L4、L5大概要幾分鐘?

自主安全停止（無危害靜止）。幾分鐘時間Safety的系統(tǒng)性Security的系統(tǒng)性? 攻擊服務(wù)器，發(fā)送惡意車輛控制指令? 攻擊數(shù)據(jù)庫，竊取用戶及車輛機密信息? 攻擊車內(nèi)網(wǎng)關(guān)，竊取汽車關(guān)鍵數(shù)據(jù)? 攻擊車主手機，偽造車主身份? 短距離無線攻擊，破解車身控制系統(tǒng)? 攻擊車間通訊，發(fā)送虛假指令? 攻擊OBD/T-BOX/車載終端，侵入CAN總線? 攻擊路邊單元，發(fā)送惡意指令? 空中攔截通訊數(shù)據(jù)，非法讀取數(shù)據(jù)? ……智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第9頁。Dependable

computing/可信計算Trusted

computing/信賴計算可信計算：safety

&security2智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第10頁。TPM:

Trusted

Platform

ModuleDevelopersgenerally

implement

TPM

as

an

external

peripheral

with

a

communication

bus

toanother

microcontroller

in

the

system.

把TMP實現(xiàn)為一個外設(shè)，通過總線與系統(tǒng)進行通信TPM

specifies

non-volatile

memory,

secret

key

storage,

a

random

number

generator,

RSA,SHA-1,

HMAC

and

Vernam

one-time

pad

algorithms.2.1Trusted

Computing智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第11頁。Automotive-Rich

ProfileAutomotive-Thin

Profile智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第12頁。信任根：CRTM

+

TPM– 系統(tǒng)可信的基點– 可信計算平臺必須包含3個信任根：可信度量核心根CRTM

(Coreroot

of

trust

for

measurement)– 從平臺一加電就執(zhí)行，是平臺初始化代碼中不可更改的一部分，是可信度量的起點– 只有制造方可以對其進行更新、維護和修改，其它任何主體都無法對其進行改動可信存儲根RTS

(root

of

trust

for

storage)? 除了制造方，任何主體都無法通過非法手段獲取和修改其內(nèi)部存儲信息? 組成：TPM芯片和存儲根密鑰SRK可信報告根RTR

(root

of

trust

for

reporting)? 組成：TPM芯片和背書密鑰EK– 信任根的可信性：物理安全、技術(shù)安全和管理安全信任鏈：平臺的完整性度量智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第13頁。t::::::rOBDTelematlcs,--Un-it

-------

----

--

---WirelessUpdateIIIIIIl_

_

_

_IIITPM

I--------1,..

'.="'..:·

----'CentralrG-atew-ay--

--------------,II.._Central'- storage

_

:IIl ·-·-: i_H

!L--------------------',,-,:':

,,.

.,..,

-.·

(''·ti:

'_.

:

'

'-2.

'-,--------1L

_

_

_

_

_

_

_

J:---·-·-·Fig

u

re

5:

Draf

t

Fu

nctiona

l

Model.'-I-";-:

,"'

ii'

,

"

.,-;

T

-?

?

?T,a-rg-e-t

E-C-U

---1 ,.

-·-·-

I·HSM

i

Ill----'--·--·--·J·-·-·-·-?智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第14頁。

通過硬件提供基于AES-128的密碼服務(wù)：加解密；消息認證碼；引導(dǎo)加載程序的認證；唯一的設(shè)備ID

以應(yīng)用不可直接訪問的方式存儲密鑰2.2SHE:

HIS

規(guī)范（Secure

Hardware

Extension）智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第15頁。2.3J3101：WIP智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第16頁?；诟綦x的體系架構(gòu)：虛擬化技術(shù)

+可信執(zhí)行環(huán)境Modern

warfare

is

about

sharing

information現(xiàn)代戰(zhàn)爭需要信息共享Informationmust

be

shared

securely

to

notcompromise

the

mission安全共享信息，還不影響任務(wù)3.1MILS（MultipleIndependent

Levels

of

Security/Safety）之前系統(tǒng)的問題1?

基于單體安全內(nèi)核，需要為整個系統(tǒng)提供安全支持?

除安全內(nèi)核外，TCB包括有助于系統(tǒng)安全的所有安全功能?

很多應(yīng)用特定的功能也放到TCB中，導(dǎo)致TCB增長到最后，消耗了整個系統(tǒng)?

整個系統(tǒng)的評估變得非常困難之前系統(tǒng)的問題2?

物理隔離3智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第17頁。ApplicationsOS

Services(Device

drivers,File

Systems,Networkcommunications)Memory

ManagementHardware(MMU,Interrupts)NormalarchitectureMILS

architecturetheconcept

of

separation,as

introduced

by

John

Rushby隔離的概念，由John

Rushby提出Each

level

is

responsible

for

its

own

security

domain

andnothing

else每個層次只負責(zé)自己的安全Makes

evaluationpossible評估變得可能Fits

in

with

small

is

beautiful

thinking小而美Applications

–

MLS

and

Non-MLSMiddleware

Services(Device

drivers,

File

Systems,Network

communications)Separation

KernelHardware(MMU,

Interrupts)智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第18頁。MILS

的安全機制Information

Flow信息流Information

originates

only

from

authorized

sources

經(jīng)過認證的來源Information

is

delivered

only

to

intended

recipients

發(fā)送到期望的接收方Data

Isolation數(shù)據(jù)隔離Informationina

partition

isaccessibleonlyby

that

partition分區(qū)里面的數(shù)據(jù)，只能被該分區(qū)訪問Privatedata

remainsprivate私有數(shù)據(jù)保持私有特性Periods

Processing周期處理The

microprocessor

itself

will

not

leakinformation

from

onepartitiontoanotheras

it

switches

from

partitiontopartition防止信息從一個分區(qū)泄露到另一個翻去Damage

Limitation損害隔離A

failure

inonepartitionwill

notcascadetoanotherpartition

不會傳播Failures

will

be

detected,

contained,

&recovered

from

locally故障檢測、容錯、恢復(fù)智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第19頁。3.2OVERSEE智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第20頁。VirtualisationLayer虛擬化層Spatial

isolation空間隔離.

Partitions

should

be

isolated

from

others

avoiding

the

access

from

themTemporal

isolation時間隔離.

Partitions

should

be

executed

under

real-time

scheduling

policies

that

can

guarantee

the

real-time

constraints

independently

of

other

partitionsResourcesvirtualisation資源虛擬化:basic

hardware

components

as

clock

and

timers,

interrupts,memory,

cpu,

time,

serial

i/o,

need

to

be

virtualised

topartitionsEfficientand

deterministic

system

services高效和確定的系統(tǒng)服務(wù).Efficientand

secure

inter-partition

communication

高效和安全的分區(qū)間通信Cryptography

services

to

partitions密碼服務(wù)Health

monitoring健康監(jiān)控Lowoverhead

and

footprint代碼量小智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第21頁。Application

Layer(IHMl?ndAudioPartitionSystemPartition':J \.-"'OVERSEE

PARTITIONSSecure

VehicleAccess

ServiceI IITS

comm.

M

aoas

nent

II

P

comm.ManJS:cm

cnt

II

PositioningServiceII lSluoetooth

ManagerUSS

Manager-'-

-'-oo-rw_""

....J

I\...Secure

1/0

Partition.)L.!-II IApplicationPartition1ApplicationPartitionNOVERSEEAPIOVERSEEAPISecurityServiceSecu

rity

Service

Provider

ProvidC'r

,\,:Key

ManagementlCtypto.FunctionsIMJnJ_g_cmcnt

ICcr'tification

Sccurc

StorJg<'

lComm.f>rN-ac:vlSecuritv

ServicesI'1IIII

mmunication

channelsII1lII---

---------III-

-

-

-

1IIIIVirtualization

Layer

(XtratuM)?

--

---

--1I/I·--...,I

"'

-HW

Securitv

Module...,

...,j'-'-'-'Detai

ed

Design

of

the

Architectureincluding

all

the

building

blocks...,H'"1nLe-rface/CPU,Hardware

(

Trusted

[ MMU/

MPU l HMI I'

HW

Comm.Platfom Core ( 1ode

Protection l Module Module'\.HW

Acc￡>1eratedc-·

10.Secure

Key

Stor"ag智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第22頁。AUTOSAR的safety特征3.3AUTOSAR智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第23頁。內(nèi)存分區(qū)潛在的危害：同一個ECU上，不同安全等級SWC之間可能互相影響，低安全等級SWC故障導(dǎo)致高安全等級SWC故障假定的安全目標(biāo)：不同SWC之間不會相互影響，故障不會在SWC之間、SWC與系統(tǒng)軟件之間傳播智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第24頁。3.4TEE：可信執(zhí)行環(huán)境智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第25頁。Open

to

malware

androoting

I

jail

breakingIsolation

of

sensitiveassetsGlobalPlatform

TEE

CllontAPII

I

i

o

,

I0'TEE

Kernelcrypto

accelerators,

secureelements

...).HW

Secure

ResourcesTEE

provides

hardware-basedisolation

from

rich

OS

such

as

Android,

Windows

Phoneand

SymbianTEE

runs

on

the

main

device

chipsetTEE

has

privileged

access

to智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第26頁。4.1

網(wǎng)絡(luò)安全：J3061:

Cybersecurity

Guidebook

for

Cyber-Physical

Vehicle

Systems生命周期與評估4智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第27頁。V3.1

release3

7/20094.2

網(wǎng)絡(luò)安全評估：CC智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第28頁。FAU:

Security

auditFCO:

CommunicationAPE:

Protection

Profile

evaluationFCS:

Cryptographic

supportFDP:

User

dataprotectionFIA:Identification

and

authenticationFMT:

Security

managementFPR:

PrivacyAVA:

Vulnerability

assessmentFPT:Protection

ofthe

TSFACO:

CompositionFRU:

Resource

utilisationFTA:TOE

accessFTP:

Trusted

path/channels11個安全功能需求類別ASE:

Security

Target

evaluationADV:

DevelopmentAGD:

Guidance

documentsALC:

Life-cycle

supportATE:

Tests8個安全評估需求類別智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第29頁。Operating

System

Protection

Profiles智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第30頁。Evaluation

Assurance

Levels

(EAL)The

higher

the

EAL,

the

greater

the

cost

to

evaluateEAL5Formally

verified

designand

testedFormalFormal$

1,000$

800Semi-formally

verifieddesign

and

testedFormalSecurityPolicySemi-formalSemi-formalSemi-formally

designedand

testedInformalSemi-formalSemi-formal"Moderate

attackpotential"$

200EAL4Methodically

designed,tested.

and

reviewedInformalInformalInformal"Enhanced-Basicattack

potential"$

20EAL3Methodically

tested

andcheckedInformalInformalInformal"Independentagainst

TOE""Smallextra"EAL2structurally

testedInformalInformalInformal"Independentagainst

TOE""No

extra"EAL1Functionally

testedInformalInformalInformal"Public

domain""No

extra"智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第31頁。標(biāo)準(zhǔn)化情況52016年公布的《美國自動駕駛汽車政策》《Preliminary

Statement

of

Policy

Concerning

Automated

Vehicles》將高度自動駕駛汽車的安全部署任務(wù)分為四大部分：一是自動駕駛汽車性能指南；二是州政策模式；三是現(xiàn)行監(jiān)管方式；四是監(jiān)管新工具與權(quán)力。2017年8月美國道路交通安全管理局（NHTSA）發(fā)布新版《聯(lián)邦自動駕駛系統(tǒng)指南：安全愿景2.0》，要求汽車廠商采取措施應(yīng)對網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)漏洞，對車輛輔助系統(tǒng)進行網(wǎng)絡(luò)安全評估。9月，美國眾議院批準(zhǔn)《自動駕駛法案（提案）》，賦予NHTSA專職負責(zé)自動駕駛網(wǎng)絡(luò)安全的權(quán)力，要求其制定自動駕駛網(wǎng)絡(luò)安全細則。2018年發(fā)布“自動駕駛政策3.0”車輛測試、生產(chǎn)機動車輛安全標(biāo)準(zhǔn)認證、豁免高度自動駕駛汽車注冊數(shù)據(jù)記錄與共享隱私系統(tǒng)安全車輛網(wǎng)絡(luò)安全人機界面耐撞性聯(lián)邦、州政府和地方法律撞擊反應(yīng)表現(xiàn)消費者教育與培訓(xùn)倫理問題適用范圍和程序指導(dǎo)車載高度自動駕駛（HAV）系統(tǒng)指導(dǎo)操作、設(shè)計領(lǐng)域描述（工作環(huán)境）目標(biāo)、意外檢測與響應(yīng)退出機制最低風(fēng)險狀況地理位置道路類型速度白天、黑夜天氣狀況其他操作范圍

限制正常行駛防撞-危害司機系統(tǒng)測試與驗證測試環(huán)境（跑道）模擬路測單元針對各高度自動駕駛系統(tǒng)的指導(dǎo)車輛性能指導(dǎo)框架5.1美國智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第32頁?！禖ybersecurity

Best

Practices

for

Modern

Vehicles》2016年10月，美國公路交通安全管理局NHTSA發(fā)布了一份《現(xiàn)代汽車網(wǎng)絡(luò)安全最佳實踐》，明確提出汽車作為網(wǎng)絡(luò)安全的物理載體，美國應(yīng)制定包括網(wǎng)絡(luò)安全在內(nèi)的汽車安全標(biāo)準(zhǔn)，以適用于規(guī)范汽車制造、汽車系統(tǒng)或軟件設(shè)計、供應(yīng)商等個人和組織。九部分內(nèi)容包括：? 目的? 使用范圍? 背景? 定義? 通用性網(wǎng)絡(luò)安全指導(dǎo)? 汽車工業(yè)網(wǎng)絡(luò)安全指引? 網(wǎng)絡(luò)安全教育? 后裝設(shè)備? 可維護性智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第33頁。PRESERVE以智能交通環(huán)境為背景，設(shè)計、實現(xiàn)和測試一個安全、可擴展的V2X安全子系統(tǒng)（安全和隱私保護）。PRESERVE：V2X安全通信系統(tǒng)（2011-2015）EVITA：安全車輛入侵保護應(yīng)用（2008-2011）EVITA旨在為車載網(wǎng)絡(luò)的體系架構(gòu)進行設(shè)計、驗證、形成原型，以防止安全相關(guān)的組件被篡改，并保護敏感數(shù)據(jù)以免受到攻擊。5.2

第七框架計劃項目智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第34頁。日本作為聯(lián)網(wǎng)汽車研究的先行者，早在2013年就通過日本信息處理推進機構(gòu)（IPA）發(fā)布了汽車信息安全指南《Vehicle

information

security

guide》IPA通過分析與汽車網(wǎng)絡(luò)安全相關(guān)的攻擊方法,提出直接攻擊、從外圍產(chǎn)品入侵、從外部網(wǎng)絡(luò)攻擊共三種汽車網(wǎng)絡(luò)攻擊途徑。指南中定義了汽車信息安全

模型（IPA

Car），IPA

Car模型對可能攻擊汽車系統(tǒng)的途徑、不同汽車功能模塊的信息安全對策等做出了系統(tǒng)的整理。IPA

Car驅(qū)動系統(tǒng)底盤系統(tǒng)ITS功能遠程信息處理信息娛樂系統(tǒng)車體系統(tǒng)安全舒適功能維護保養(yǎng)外圍設(shè)備：

智能手機、

便攜式自動

導(dǎo)航、筆記

本電腦、平

板電腦、音

樂播放器、

存儲器、硬

盤、免提電

話、遙控

器、故障診

斷器、環(huán)保

檢測儀等儀表車載系統(tǒng)保護部分車載局域網(wǎng)（LAN）外部連接：

藍牙、無線

局域網(wǎng)、

USB接口、

SD插槽、

OBD-Ⅱ等基本控制功能擴展功能普通功能信息部分控制部分汽車信息安全模型（IPA

Car）5.3

日本智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第35頁。2017年8月，英國政府發(fā)布《智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全關(guān)鍵原則》。汽車網(wǎng)絡(luò)安全是汽車全生命周期的問題，其安全防護工作需要產(chǎn)業(yè)鏈協(xié)同完成。八大關(guān)鍵原則? 管理層推動：推進安全計劃、方案安全設(shè)計等? 安全風(fēng)險管理與評估：風(fēng)險評估與管理、風(fēng)險識別、分類、優(yōu)先排序、威脅處理等? 產(chǎn)品售后服務(wù)與應(yīng)急響應(yīng)機制? 整體安全性：安全分級管理、安全保證、安全可追溯可驗證The

Key

Principles

of

Cyber

Security

forConnected

and

Automated

Vehicles5.4英國智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第36頁。ISO

/TC22：

道路車輛技術(shù)委員會2016年成立

ISO/TC22/SC32/WG11Cybersecurity

信息安全工作組，開展信息安全國際標(biāo)準(zhǔn)的制定工作。其運行方式以由美國

SAE

和

ISO聯(lián)合成立工作組的方式即

ISO/SAE/JWG

Automotive

Security運行目前ISO/SAE在進行21434（道路車輛-信息安全工程）標(biāo)準(zhǔn)的制定，該標(biāo)準(zhǔn)主要從風(fēng)險評估管理、產(chǎn)品開發(fā)、運行/維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。目標(biāo)是通過該標(biāo)準(zhǔn)設(shè)計、生產(chǎn)、測試的產(chǎn)品是具備一定信息安全防護能力的。5.5

ISO智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第37頁。5.6

SAE：國際自動機工程學(xué)會SAE

International's

Global

Ground

Vehicle

Standards

group’s

Vehicle

Electrical

SystemSecurity

(Cybersecurity)

Committeeresponsible

for

developing

and

maintaining

Recommended

Practices

and

Information

Reports

in

thearea

of

vehicle

electrical

systems’

security.Scope:

on-board

vehicle

electrical

systems

that

affect

vehicle

control

or

otherwise

act

contrary

to

theoccupants’

interests

if

the

systems

are

manipulated

byan

attackerGoals:

identifying

and

recommending

strategies

and

techniques

related

to

preventing

and

detectingadversarial

breaches,

and

mitigating

undesirable

effects

if

a

breach

isachieved.The

group

will

classify

attack

methods,

propose

preventative

strategies,

define

levels

of

security

bycriticality

of

system

type,and

identify

architecture-level

strategies

for

mitigating

attacks.智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第38頁。ITU-T成立了專門的SG17來主要負責(zé)通信安全研究與標(biāo)準(zhǔn)制定工作。ITU-T

SG17工作組已經(jīng)開展了智能交通，聯(lián)網(wǎng)汽車安全的研究工作。目前已經(jīng)正式發(fā)布的標(biāo)準(zhǔn)有:? X.1373

：通過適當(dāng)?shù)陌踩刂拼胧瑸檫h程車輛提供安全的軟件更新方案，并且定義了安全更新的流程和內(nèi)容建議目前正在SG17組內(nèi)正在制定的標(biāo)準(zhǔn)有：? X.itssec-2

：為V2X通信系統(tǒng)提供安全指導(dǎo)。

V2X是本建議書中V2V（車輛到車輛），V2I（車輛到基礎(chǔ)設(shè)施）和V2ND（車輛到漫游設(shè)備）和V2P（車輛到行人）通信模式的通用術(shù)語? X.itssec-3:重點從車載診斷II（OBD-II）端口連接和無線連接的角度確定車輛可訪問外部設(shè)備的威脅和安全要求? X.itssec-4:主要集中在車載網(wǎng)絡(luò)上的內(nèi)部通信作為CAN通用IDS無法支持的部分，以保證利用各種高效光源來檢測影響ECU通信的威脅

重量檢測模型，如基于簽名的模型，基于熵的模型，基于自相似性的模型，基于危害的模型，本建議書將考慮使用IDS來保護連接的車輛? X.itssec-5

該標(biāo)準(zhǔn)車輛邊緣計算提供安全指導(dǎo)。

它涵蓋了車輛邊緣計算的威脅分析，安全要求和使用案例5.7

ITU-T智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第39頁。5.7

UN/WP.29

聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇? 2014年12月，WP.29在其原有的智能交通ITS非正式工作組的基礎(chǔ)上成立了智能交通與自動駕駛非正式工作組ITS/AD，并將汽車信息安全標(biāo)準(zhǔn)納入?yún)f(xié)調(diào)范圍。? 在后續(xù)的10次工作組會議上，各個國家和行業(yè)組織的代表對信息安全這一議題進行了熱烈的討論，并提出了關(guān)于網(wǎng)絡(luò)安全和信息保護措施的指南草案“Guidelines

on

measuresensuringcybersecurityand

data

protection

ofconnectedvehiclesand

vehicleswith

automated

driving

technologies”。? 2016年12月，由英國交通運輸部作為主席，成立了專門的汽車信息安全標(biāo)準(zhǔn)任務(wù)組UNTask

Force

on

Cyber

security

and

OTA

issues

(CS/OTA)，圍繞汽車網(wǎng)絡(luò)安全、數(shù)據(jù)保護和軟件無線升級OTA三部分開展國際法規(guī)及標(biāo)準(zhǔn)的制定工作。智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第40頁。5.8

ETSIITS

歐洲通信標(biāo)準(zhǔn)化協(xié)會ETSIITS安全構(gòu)架包括幾個不同的層次，一部分是安全應(yīng)用層的服務(wù)，通過信息簽署和認證，結(jié)合數(shù)據(jù)的加解密實現(xiàn)管理，即為安全服務(wù)處理，簡稱SA。第二部分是安全管理方面，即通過注冊和認證建立起ITS網(wǎng)絡(luò)服務(wù)，然后實施身份識別管理。第三部分是報告錯誤行為方面。最后一部分是HSM安全要求。歐洲通信標(biāo)準(zhǔn)化協(xié)會2009-2013智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第41頁。5.9

全國信安標(biāo)委（TC260）2002年4月，國家標(biāo)準(zhǔn)化管理委員會發(fā)文，成立全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會,

信安標(biāo)委下設(shè)8個工作組，聯(lián)合了工信部、公安部、安全部、國家保密局、國家密碼管理委員會、認監(jiān)委、總參等相關(guān)部門，本著公開、公正、協(xié)商的原則組織提出一套系統(tǒng)、全面、分布合理的信息安全標(biāo)準(zhǔn)體系，有步驟、有計劃地進行信息安全標(biāo)準(zhǔn)的制定工作。WG1

信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（主任秘書處WG2

涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組WG3

密碼技術(shù)標(biāo)準(zhǔn)工作組、副

委主

員WG4

鑒別與授權(quán)標(biāo)準(zhǔn)工作組任

會、WG5

信息安全評估標(biāo)準(zhǔn)工作組委員WG6

通信安全標(biāo)準(zhǔn)工作組）WG7

信息安全管理標(biāo)準(zhǔn)工作組智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第42頁。5.10

國家車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南(智能網(wǎng)聯(lián)汽車)智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第43頁。6團隊在標(biāo)準(zhǔn)方面的實踐在工信部、網(wǎng)信辦、國密局等部委指導(dǎo)和支持，2016年11月4日正式成立，擔(dān)任委員會主任單位，

副主任單位：國家互聯(lián)網(wǎng)應(yīng)急中心、工信部情報研究所、中國聯(lián)通智網(wǎng)科技、中國電科第30研究所、奇虎360、德國博世、信通院車聯(lián)網(wǎng)絡(luò)安全委員會智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第44頁。信息安全技術(shù)

汽車電子系統(tǒng)網(wǎng)絡(luò)安全指南（20173854-T-469）汽車電子系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域第一項國家標(biāo)準(zhǔn)立項（2017年4月信安標(biāo)委武漢會議）2018年9月，參與國家互聯(lián)網(wǎng)應(yīng)急中心主導(dǎo)的《車聯(lián)網(wǎng)安全威脅信息共享框架》國際標(biāo)準(zhǔn)，在國際電信聯(lián)盟通信標(biāo)準(zhǔn)局研究組（ITU-TSG17）通過立項。旨在建立車聯(lián)網(wǎng)安全威脅信息共享的技術(shù)框架，明確威脅信息共享的流程與機制標(biāo)準(zhǔn)對于推動跨組織協(xié)作保障智能交通系統(tǒng)安全具有重要戰(zhàn)略意義，標(biāo)志著我國在車聯(lián)網(wǎng)國際標(biāo)準(zhǔn)制定方面邁出重要一步，將進一步提升我國在該領(lǐng)域的國際話語權(quán)智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第45頁。具有國際影響力：車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護指南細則/十一個方面、38條國內(nèi)智能汽車網(wǎng)絡(luò)安全第一份白皮書：車聯(lián)網(wǎng)網(wǎng)絡(luò)安全白皮書（2017.02）主導(dǎo)發(fā)布智能汽車網(wǎng)絡(luò)安全防護指南、白皮書智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第46頁。7網(wǎng)絡(luò)安全應(yīng)用方面的實踐為辰信安：廣東為辰信息科技有限公司IVI網(wǎng)絡(luò)安全解決方案為車機提供完整的網(wǎng)絡(luò)安全解決方案，覆蓋安全啟動、密碼模塊、系統(tǒng)安全、通信安全、數(shù)據(jù)安全、訪問點安全、安全監(jiān)控、應(yīng)用安全等方面的內(nèi)容，可針對具體的操作系統(tǒng)和硬件環(huán)境進行定制開發(fā)TBOX網(wǎng)絡(luò)安全解決方案為TBOX提供完整的網(wǎng)絡(luò)安全解決方案，覆蓋安全啟動、密碼模塊、系統(tǒng)安全、通信安全、數(shù)據(jù)安全、訪問點安全、安全監(jiān)控等方面的內(nèi)容，可針對具體的操作系統(tǒng)和硬件環(huán)境進行定制開發(fā)安全服務(wù)平臺解決方案以數(shù)字證書系統(tǒng)為基礎(chǔ)，為智能汽車網(wǎng)聯(lián)系統(tǒng)提供統(tǒng)一接入、統(tǒng)一身份認證、統(tǒng)一密鑰管理方面的功能特性基于藍牙鑰匙的PEPS解決方案以手機、手環(huán)等藍牙設(shè)備為載體，實現(xiàn)基于非傳統(tǒng)鑰匙的智能汽車PEPS，并提供鑰匙分享功能，為共享汽車和改進汽車使用體驗提供支持FOTA/SOTA解決方案為ECU軟件升級提供完整性、真實性和保密性等方面的安全保障，覆蓋服務(wù)平臺和車輛端等方面的內(nèi)容，可針對具體應(yīng)用進行定制開發(fā)現(xiàn)有產(chǎn)品1：網(wǎng)絡(luò)安全解決方案ADAS/自動駕駛系統(tǒng)網(wǎng)絡(luò)安全解決方案解決多域融合，以及自動駕駛在高安全等級方面特殊需求的網(wǎng)絡(luò)安全問題，提供軟硬件相結(jié)合的系統(tǒng)性縱深防御體系智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第47頁。密碼模塊

deCORE

Crypto提供以安全芯片為基礎(chǔ)的密碼模塊，支持國密/非國密算法安全監(jiān)控

deCORE

IDPS對零部件系統(tǒng)進行日志，實時監(jiān)控零部件的威脅事件，并為系統(tǒng)提供應(yīng)急響應(yīng)服務(wù)，發(fā)現(xiàn)、解決智能汽車面臨的攻擊威脅可信操作系統(tǒng)

deCORE

TOS基于TrustZone的可信操作系統(tǒng)，為零部件提供具有隔離特性的可信執(zhí)行環(huán)境，為關(guān)鍵業(yè)務(wù)提供安全防護保障車內(nèi)網(wǎng)絡(luò)安全通信

deCORE

SecOC為車內(nèi)網(wǎng)絡(luò)通信消息的真實性、完整性、抗重放提供保障滲透測試對車機、TBOX、網(wǎng)關(guān)等零部件，或是整車進行滲透測試，發(fā)現(xiàn)系統(tǒng)中存在的漏洞安全咨詢提供生命周期、威脅分析與風(fēng)險評估、安全體系等方面的咨詢服務(wù)現(xiàn)有產(chǎn)品2：基礎(chǔ)產(chǎn)品與服務(wù)智能汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)全文共55頁，當(dāng)前為第48頁。項目啟動功能定義整車網(wǎng)絡(luò)安全概念開發(fā)整車網(wǎng)絡(luò)安全方案開發(fā)整車網(wǎng)絡(luò)安全規(guī)范開發(fā)零部件網(wǎng)絡(luò)安全概念開發(fā)零部件/網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全功能開發(fā)零部件/網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全規(guī)范開發(fā)網(wǎng)絡(luò)安全組件開發(fā)與集成網(wǎng)絡(luò)安全設(shè)計驗證網(wǎng)絡(luò)安全培訓(xùn)指導(dǎo)流程項目驗收/結(jié)束符合性整車功能定義與資產(chǎn)識別