汽车网络安全（信息安全）标准、规范

　　GPK官网GPK官网随着汽车互联化和智能化，汽车不再孤立，越来越多地融入到互联网中。在这同时，汽车也慢慢成为潜在的网络攻击目标，汽车的网络安全已成为汽车安全的基础，受到越来越多的关注和重视。如何实现汽车网络安全，汽车行业进行了很多探索，也取得了很多成果。为了降低成本和提高质量，将已有的成果规范化、标准化势在必行。本文就简要介绍汽车网络安全相关的标准和规范。

　　SAE J3061是针对车辆整个生命周期的标准。提供了车辆网络安全的流程框架和指导，考虑了车辆的整个生命周期，从概念到生产、运行、维护和报废。

　　SAE J3061旨在帮助企业识别和评估网络安全威胁，导入网络安全到在车辆的整个开发流程内。SAE J3061主要内容为：

　　ISO 21434是基于SAE J3061制定的、针对车辆整个生命周期的标准。

　　基于SAE J3061，参考V字模型开发流程，讨论德国和美国SAE关于信息安全标准的立项建议，主要包括：信息安全相关的术语和定义；信息安全管理：包括企业组织层面和具体项目层面；威胁分析和风险评估（TARA）；信息安全概念阶段开发；架构层面和系统层面的威胁减轻措施和安全设计；软硬件层面的信息安全开发，包括信息安全的设计、集成、验证和确认；信息安全系统性的测试及其确认方法；信息安全开发过程中的支持流程，包括需求管、可追溯性、变更管理和配置管理、监控和事件管理；信息安全事件在生产、运行、维护和报废阶段的预测、防止、探测、响应和恢复等。[7]

　　ISO 21434主要从风险评估管理、产品开发、运行/维护、流程审核等四个方面来保障汽车信息安全工程工作的开展。目标是通过该标准设计、生产、测试的产品具备一定信息安全防护能力。[7]

　　密钥泄漏问题。如果密钥存储在应用程序的代码或数据中，很容易被泄露，主要原因是

　　SHE是针对硬件模块的规范。汽车网络安全的实现不仅需要软件支持，还需要硬件的支持，所以奥迪和宝马合作制定了这个硬件密码模块规范，主要包括密码模块的硬件、硬件软件接口。这个规范已被广泛接受，很多针对汽车行业的微处理器都支持这个规范。

　　Evita是欧盟组织的一个项目，持续时间为2008至2011。其目标是研究网联汽车应用场景（V2X）下车辆的通信安全，基于SHE规范提出了HSM硬件规范。这个规范也被广泛接受，很多针对汽车行业的微处理器支持这个规范。

　　目标是研究V2X应用场景的网络安全。Evita项目的官网：evita 项目官网

　　下面是有带有high、mediem、light HSM 的传感器、控制器组成的安全网络实例。

　　道路车辆某些网络安全保护措施基于硬件。这里的硬件指 HSM 这类硬件。SAE J3101 指定了针对这些硬件的需求。

　　SAE J3101 属于最佳实践类文档，关注整个网络安全体系中硬件的相关网络安全技术需求。

　　Autosar 也慢慢在其框架中引入信息安全相关的模块。截至 4.3.1 版本，已有

　　嵌入式系统常用的 C 语言是一种“不安全”的语言。C 语言的指针就是例子。指针很难理解（如果你学过 C语言应该会有同样感触），同时指针很容易导致各种问题（堆栈溢出、内存泄漏等）。

　　SEI CERT 定义了软件代码规范，目标是开发符合功能安全、信息安全和可靠的系统。

　　下面介绍的标准、规范和汽车行业不直接相关，但是很有影响力，值得了解一下。

　　等级1：不考虑物理攻击，密码模块需要满足基本的网络完全要求（比如：密码模块至少使用一种被批准的算法或被批准的网络安全功能）。等级一的例子是电脑的加密功能。

　　等级2：在等级1的基础上增加了基本的防物理攻击的保护机制，需要显示被物理攻击的痕迹，比如只有破坏防拆封(tamper-evident)的涂层或密封条才能获取密码模块的密钥等。

　　等级3：在等级2的基础上加强防物理攻击的保护机制。等级3要求比较高概率低防止入侵者获取密码模块内的关键的网络安全相关的参数（比如密钥）。保护机制可能包括密码模块有很强的封装和物理攻击响应机制，当检测到物理攻击时会擦出内部的密钥等。

　　等级4： 最高的网络安全等级，物理机制必须提供全方位的保护，能够极高概率地检测到各种物理攻击。当检测到物理攻击时，需要删除内部的密钥等。等级4也要求密码模块不能因为外部环境环境（比如温度、电压）变化而被破解。 故障注入(fault injection)时通过控制外部环境来破解密码模块的一种方法。