【摘" 要】隨著中國車輛智能化、信息化發(fā)展，信息安全的理念在汽車研發(fā)生產(chǎn)中的地位越來越重要。為解決目前行業(yè)診斷系統(tǒng)中零部件診斷信息安全開發(fā)缺少參考依據(jù)的現(xiàn)狀，以及滿足R155、ISO 21434法規(guī)要求，文章開展診斷功能組信息安全TARA分析及測試評價研究。此方法論從功能清單及網(wǎng)絡(luò)安全相關(guān)性確認、診斷功能組TARA分析、網(wǎng)絡(luò)安全概念設(shè)計開展汽車診斷系統(tǒng)信息安全研究，并設(shè)計汽車診斷系統(tǒng)測試評價標準和問題等級，通過對黃板車某域控制器進行診斷信息安全測試，測試結(jié)果可識別此控制器對于診斷系統(tǒng)信息安全的滿足程度。研究結(jié)果顯示，此方法論可以識別診斷功能組的潛在信息安全風險點，基于風險點進行安全目標設(shè)計，并可設(shè)計網(wǎng)絡(luò)安全需求用以指導(dǎo)零部件的診斷信息安全開發(fā)。

【關(guān)鍵詞】診斷；TARA；信息安全

中圖分類號：U463.6" " 文獻標識碼：A" " 文章編號：1003-8639（ 2024 ）08-0082-05

Research on TARA Analysis and Test Evaluation of Information Security of Automotive Diagnostic System

LIU Yu，CHONG Jing，ZHANG Yongshuai，LIU Lei，WU Lingyi，LIU Shengli

（BYD Automobile Co.，Ltd.，Xi′an 710018，China）

【Abstract】With the development of intelligent information technology，the concept of information security is becoming more and more important in automobile research and development and production.In order to solve the current situation that the information security development system of industrial diagnostic system and the diagnostic information security development of parts lacks reference basis，meet the requirement of R155，ISO 21434 regulations，and test evaluation of information security.The paper carries out the information security TARA analysis of diagnostic function group，and carries out the information security research of automotive diagnostic system from three stages： function list and network security correlation confirmation，diagnostic function group TARA analysis and network security concept design.The test evaluation standard and problem level of the automobile diagnostic system are designed，and the diagnostic information security test is carried out by a certain controller.The test results can identify the controller’s satisfaction with the information security of the diagnostic system.The results show that this analysis process can identify the potential information security risk points of the diagnostic function group，design security targets for the risk points，and design network security requirements to guide the development of diagnostic information security of parts.

【Key words】diagnosis；TARA；information security

隨著中國汽車行業(yè)智能化、信息化程度的提高，汽車信息安全的問題也越來越受到人們的關(guān)注，關(guān)于車輛信息安全的研究也隨之越來越深入。趙開放[1]對汽車CAN網(wǎng)絡(luò)信息安全展開研究，介紹CAN總線協(xié)議和汽車診斷協(xié)議的工作方式，并開發(fā)一款汽車安全測試平臺軟件，以方便研究人員對汽車進行安全測試。于赫[2]對目前主要車載總線網(wǎng)絡(luò)潛在的信息安全威脅進行歸納分析，討論車載網(wǎng)絡(luò)的異常檢測技術(shù)，提出一種基于信息熵的車載CAN總線網(wǎng)絡(luò)報文異常檢測方法用于檢測車載CAN總線網(wǎng)絡(luò)的洪泛、重放等攻擊。張鐵欣[3]基于陶蒙華博士的汽車網(wǎng)關(guān)平臺的功能架構(gòu)模型，設(shè)計適合汽車網(wǎng)關(guān)平臺的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，并結(jié)合最新的信息安全研究成果為網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計信息安全防護。吳尚則[4]基于CAN總線自身特點與局限性，設(shè)計一種動態(tài)口令的身份認證方法，保證車載信息安全，提高黑客攻擊車載網(wǎng)絡(luò)的防御能力。葉衛(wèi)明、常賀[5]研究智能網(wǎng)聯(lián)汽車在車內(nèi)系統(tǒng)、車外系統(tǒng)信息交互、云端系統(tǒng)和外部設(shè)備4個維度，分析其通信和信息安全的漏洞、威脅風險，提出智能網(wǎng)聯(lián)汽車通信和信息安全的方法論。

1" 汽車診斷系統(tǒng)TARA分析拓撲設(shè)計

1.1" VTA車型整體方案介紹

OEM廠在VTA認證前需通過CSMS體系認證，表征OEM廠具備信息安全開發(fā)的管理流程體系，第二階段為滿足車型研發(fā)階段R155、ISO 21434法規(guī)適應(yīng)性，需通過VTA車型認證。VTA認證整體方案設(shè)計如圖1所示。

1）整車概念階段，梳理功能場景清單。

2）系統(tǒng)設(shè)計階段，包括各功能組的威脅及風險分析、安全目標和安全需求設(shè)計。

3）零部件設(shè)計階段，提出安全控制要求。

4）零部件開發(fā)階段，開發(fā)零部件的網(wǎng)絡(luò)安全。

5）零部件試驗階段，對零部件開展零部件安全測試。

6）系統(tǒng)試驗階段，對整車各功能組開展系統(tǒng)安全測試。

7）整車試驗階段，對整車開展整車安全測試。

1.2" 汽車診斷系統(tǒng)TARA分析拓撲圖設(shè)計

本文主要基于VTA認證中對整車診斷功能組進行威脅及風險分析，進行網(wǎng)絡(luò)安全及網(wǎng)絡(luò)需求分析，指導(dǎo)零部件診斷功能信息安全開發(fā)及測試驗證，其汽車診斷系統(tǒng)TARA分析拓撲如圖2所示。

1）功能組功能清單及網(wǎng)絡(luò)安全相關(guān)性識別確認是診斷功能組TARA分析階段的前提，用以確認功能組的功能以及是否與網(wǎng)絡(luò)安全相關(guān)。

2）診斷功能組TARA報告分析是本文討論的重點，包括診斷功能組網(wǎng)絡(luò)拓撲設(shè)計、確定安全資產(chǎn)類別及安全資產(chǎn)屬性、危害場景識別、危害程度評估、威脅分析、風險評估及處置、定義安全目標。

3）網(wǎng)絡(luò)安全設(shè)計是根據(jù)診斷功能組TARA報告分析的結(jié)果，結(jié)合安全目標及攻擊樹進行標準索引、分析威脅及緩解措施，定義網(wǎng)絡(luò)安全需求。

至此，診斷功能組的網(wǎng)絡(luò)安全概念設(shè)計完成，可用于指導(dǎo)零部件進行診斷功能的信息安全開發(fā)。

2" 模型設(shè)計

2.1" 功能清單及網(wǎng)絡(luò)安全相關(guān)性確認

診斷功能組TARA分析之前需進行功能組功能清單及網(wǎng)絡(luò)安全相關(guān)性確認。依據(jù)功能模塊按等級進行三級功能劃分，定義診斷功能組下屬的子功能集，結(jié)合整車TARA分析數(shù)據(jù)流中關(guān)于診斷功能組的數(shù)據(jù)流圖確定數(shù)據(jù)流走向，并根據(jù)網(wǎng)絡(luò)安全相關(guān)性識別判斷確定是否需要進行TARA分析，進入第二階段診斷功能組TARA分析階段。

此階段識別出診斷功能組的功能類別可分為診斷、標定、本地燒寫，且依據(jù)網(wǎng)絡(luò)安全相關(guān)性識別，均與網(wǎng)絡(luò)安全相關(guān)。

2.2" 診斷功能組TARA分析

診斷功能組TARA分析為本文討論的主要階段，此階段主要完成診斷功能組TARA報告的出具，包括診斷功能組網(wǎng)絡(luò)拓撲設(shè)計、診斷功能系統(tǒng)安全資產(chǎn)和屬性設(shè)計、危害場景識別、危害程度評估、威脅分析、風險評估及處置、定義安全目標。

2.2.1" 診斷功能組網(wǎng)絡(luò)拓撲設(shè)計

本步驟依據(jù)車型網(wǎng)絡(luò)拓撲圖進行診斷功能相關(guān)的數(shù)據(jù)流圖的設(shè)計，重點突出車型相關(guān)核心零部件（與安全和動力相關(guān)的控制器）與診斷儀或者其他診斷設(shè)備進行診斷數(shù)據(jù)交換的途徑，即OBD-II接口，其次也可以在診斷數(shù)據(jù)流圖中體現(xiàn)其他可能具有攻擊性的外部接口，如Bluetooth、WIFI、Cellular、RF、USB等。

根據(jù)法規(guī)要求，現(xiàn)代汽車需安裝OBD-II接口來進行汽車排放信息的采集，主機廠也會通過該接口進行診斷、標定以及本地刷寫等操作。因其是唯一直連汽車整車網(wǎng)絡(luò)的接口，故多數(shù)診斷相關(guān)信息安全威脅都與OBD-II接口有著密切的聯(lián)系?？梢缘贸鲈谡噷用嬖\斷功能組相關(guān)網(wǎng)絡(luò)安全功能分為診斷、標定與本地刷寫。

通過上述分析，可得出車型的診斷數(shù)據(jù)流以及相關(guān)網(wǎng)絡(luò)安全功能，如圖3所示。

1）是否基于電子電器。主要判斷該功能的實現(xiàn)是否需要電子電器ECU的參與，如果與電子電器ECU無關(guān)則可以直接得出該功能與網(wǎng)絡(luò)安全無關(guān)。

2）是否與車輛的安全操作相關(guān)。主要判斷該功能相關(guān)零部件是否與安全相關(guān)，如運動控制模塊和具有汽車安全完整性（ASIL）等級的零部件。

3）實現(xiàn)的功能是否需要收集和處理用戶相關(guān)的數(shù)據(jù)。主要判斷是否與隱私相關(guān)。

4）是否基于聯(lián)網(wǎng)部件實現(xiàn)的車輛功能。主要判斷是否與網(wǎng)絡(luò)相關(guān)，此處特指汽車總線，如CAN、MOST、FlexRay以及汽車以太網(wǎng)等總線。

2.2.2" 診斷功能系統(tǒng)安全資產(chǎn)和屬性設(shè)計

本步驟整理診斷功能相關(guān)的零部件并將其作為安全資產(chǎn)，并對該安全資產(chǎn)進行安全資產(chǎn)類別與安全資產(chǎn)屬性的分析。

2.2.2.1" 安全資產(chǎn)類別

通過車型架構(gòu)分析，可以將安全資產(chǎn)類別分為以下幾部分。

1）身份與配置信息：整車或者零部件的標識或者配置信息。

2）固件及應(yīng)用：零部件的固件以及第三方應(yīng)用程序。

3）數(shù)據(jù)：指在車輛行駛中產(chǎn)生、收集和記錄的信息。

4）通信信息：指在車輛網(wǎng)絡(luò)中傳輸?shù)男畔ⅰ?/p>

將診斷功能相關(guān)的零部件進行安全資產(chǎn)的分析，并對各零部件的資產(chǎn)類別進一步細分和歸類，例如身份與配置信息可以細分為身份信息和配置信息，車輛VIN號為整車的身份信息會存儲在零部件中，VIN號屬于身份信息，依據(jù)上述分析完成后得出網(wǎng)絡(luò)安全資產(chǎn)屬性表。

診斷功能組依據(jù)上述4類資產(chǎn)劃分，具體分為：①身份與配置信息主要包括VIN、診斷ID、軟件版本相關(guān)信息；②固件與應(yīng)用包括固件和標定數(shù)據(jù)；③數(shù)據(jù)包括診斷記錄日志及各控制器的DTC；④通信信息包括診斷服務(wù)命令、系統(tǒng)狀態(tài)信息。

2.2.2.2" 安全資產(chǎn)屬性

基于ISO 21434和SAE J3061，安全資產(chǎn)的網(wǎng)絡(luò)安全屬性有如下主要類別。

1）機密性（Confidentiality）：信息不被泄露給非授權(quán)的用戶、實體或進程，或被其利用的特性。

2）完整性（Integrity）：信息未經(jīng)授權(quán)不能進行更改的特性，即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。

3）可用性（Availability）：信息可被授權(quán)實體訪問并按需求使用的特性。

對安全資產(chǎn)類別進行分析，得出資產(chǎn)具備何種安全屬性，最后由安全資產(chǎn)類別和安全屬性得出網(wǎng)絡(luò)安全資產(chǎn)分布表，用于危害場景的識別。

2.2.3" 危害場景識別

危害場景的描述需至少包含3個要素：功能相關(guān)零部件、安全資產(chǎn)和后果。其中后果指安全資產(chǎn)的安全屬性受損后導(dǎo)致的最嚴重結(jié)果，此時無需考慮已有的緩解措施。對所有的安全資產(chǎn)屬性的危害場景分析完成后進行危害場景的評估。

2.2.4" 危害程度評估

本步驟進行危害程度的評估使用SFOP模型。通過SFOP模型從安全、財產(chǎn)、使用和隱私4個維度對危害場景的危害程度進行評估。各影響因素評分依據(jù)見表1～表4。

危害程度評級由上述4個影響因素評分的總和累加得出，總分為5個等級：Critical（score≥1000）；High（100≤scorelt;1000）；Medium（20≤scorelt;100）；Low（10≤scorelt;20）；No Impact（scorelt;10）。

以一條資產(chǎn)類型進行舉例說明，以身份配置信息下的VIN完整性進行SFOP模型分析，安全維度為微不足道的，財產(chǎn)維度是中等的，使用維度、隱私維度是微不足道的，SFOP模型綜合得分為10分，危害程度評級為Low。

2.2.5" 威脅分析

2.2.5.1" 威脅分析模型

依據(jù)車輛診斷功能架構(gòu)及其車輛電子電氣架構(gòu)，相關(guān)網(wǎng)絡(luò)安全威脅劃分為5層。

1）Level 1：基礎(chǔ)攻擊（攻擊界面），根據(jù)系統(tǒng)架構(gòu)和部件架構(gòu)，基于網(wǎng)絡(luò)安全攻擊知識和經(jīng)驗搭建構(gòu)成。

2）Level 2：部件內(nèi)器件層攻擊，根據(jù)部件所存在的攻擊界面由基礎(chǔ)攻擊構(gòu)成。

3）Level 3：部件層攻擊，根據(jù)部件設(shè)計架構(gòu)，由部件內(nèi)器件層攻擊構(gòu)成。

4）Level 4：網(wǎng)絡(luò)層攻擊，根據(jù)系統(tǒng)網(wǎng)絡(luò)拓撲，由基礎(chǔ)攻擊中關(guān)于系統(tǒng)相關(guān)外部通信攻擊構(gòu)成。

5）Level 5：目標資產(chǎn)攻擊，根據(jù)系統(tǒng)架構(gòu)圖由網(wǎng)絡(luò)層攻擊和部件層攻擊構(gòu)成。

2.2.5.2" 攻擊路徑分析流程

首先依據(jù)上文所識別出的危害場景進行攻擊路徑的分析，得出網(wǎng)絡(luò)層和部件層中存在的攻擊路徑。實際場景中會存在一些對危害場景的攻擊路徑不涉及整個零部件，如通過傳感器和診斷工具等，這些攻擊路徑將從部件內(nèi)器件層直接到系統(tǒng)級攻擊，而不會再經(jīng)過部件層攻擊。然后網(wǎng)絡(luò)層直接到基礎(chǔ)攻擊，而部件層攻擊需要經(jīng)過部件內(nèi)器件層攻擊再到基礎(chǔ)攻擊。攻擊路徑的分析可參照ISO 21434中與威脅相關(guān)的漏洞和攻擊方式。攻擊路徑分析可參考CVSS漏洞評估模型，從攻擊向量、攻擊復(fù)雜度、攻擊權(quán)限、攻擊交互進行綜合評估，其Feasibility Rating為上述4維度的最終得分，Attack Feasibility等級為該攻擊路徑的最終漏洞評估等級。

以身份配置信息下的VIN完整性舉例，通過對控制器1、控制器2、控制器3或車內(nèi)通信的攻擊，篡改VIN碼，導(dǎo)致讀取VIN碼錯誤，診斷內(nèi)容出錯，此攻擊路徑經(jīng)CVSS模型分析，其Feasibility Rating得分為1.44，Attack Feasibility等級為Low。

2.2.6" 風險評估及處置

依據(jù)診斷場景分析基于SFOP模型的打分，結(jié)合威脅分析基于CVSS模型的打分結(jié)果，依據(jù)表5進行綜合判斷診斷功能組風險評估及處置。

QM為品質(zhì)管理，不需要額外的網(wǎng)絡(luò)安全措施，依據(jù)公司現(xiàn)有品質(zhì)管理體系管理即可。Risk Rate等級依據(jù)表6進行風險評估及處置。

以身份配置信息下的VIN完整性舉例，危害程度評級為Low，Attack Feasibility等級為Low，最終TARA分析Risk Rate等級為Low，即接受風險。其他資產(chǎn)可參考此列進行分析。

2.2.7" 定義安全目標

依據(jù)診斷功能組網(wǎng)絡(luò)安全風險等級，定義診斷功能的網(wǎng)絡(luò)安全目標。安全目標的設(shè)定需考慮從診斷功能組資產(chǎn)的安全資產(chǎn)類別和安全屬性類別進行。

2.3" 網(wǎng)絡(luò)安全概念設(shè)計

結(jié)合威脅分析和風險評估及處置，開始診斷功能組網(wǎng)絡(luò)安全概念設(shè)計。此部分需根據(jù)TARA報告中Risk Rate等級為Medium及以上的部分進行設(shè)計，針對每條安全資產(chǎn)屬性下的風險評估，畫出每條用例對應(yīng)的攻擊樹，結(jié)合R155法規(guī)中的威脅及緩解措施，列出每條攻擊路徑下的緩解措施，結(jié)合汽車診斷理論綜合匯總得出最終的網(wǎng)絡(luò)安全需求。

3" 車型理論驗證

依據(jù)某車型，開展該車型的診斷功能組信息安全TARA分析研究。

3.1" 功能清單及網(wǎng)絡(luò)安全相關(guān)性確認

依據(jù)該車型的診斷功能，識別出診斷功能組功能清單。

3.2" 診斷功能組TARA分析

基于該車型的診斷功能系統(tǒng)信息，梳理該車型診斷功能組網(wǎng)絡(luò)拓撲結(jié)構(gòu)，根據(jù)身份與配置信息、固件及應(yīng)用、數(shù)據(jù)、通信信息此4類安全資產(chǎn)，以及機密性、完整性、可用性3類安全屬性，進行診斷功能組安全資產(chǎn)及屬性劃分。

依據(jù)診斷功能組風險評估及處置結(jié)果，定義診斷功能組網(wǎng)絡(luò)安全目標，部分結(jié)果如圖4所示。

3.3" 網(wǎng)絡(luò)安全概念設(shè)計

依據(jù)安全目標，此部分需根據(jù)TARA報告中風險標識為Medium及以上的部分進行設(shè)計，針對每條安全資產(chǎn)屬性下的風險評估，部分結(jié)果見表7。每項需求描述針對網(wǎng)絡(luò)安全目標提出的具體網(wǎng)絡(luò)安全方案，可指導(dǎo)零部件從硬件、軟件維度開展信息安全診斷開發(fā)。

4" 汽車診斷系統(tǒng)測試驗證

4.1" 診斷系統(tǒng)測試標準制定

依據(jù)診斷系統(tǒng)網(wǎng)絡(luò)安全需求和ISO 14229對診斷服務(wù)的要求，規(guī)劃診斷系統(tǒng)信息安全技術(shù)，并基于企標設(shè)計診斷系統(tǒng)信息安全測試用例。其一級目錄及二級目錄如圖5、圖6所示。

4.2" 汽車診斷系統(tǒng)信息安全測試驗證

依據(jù)診斷系統(tǒng)網(wǎng)絡(luò)安全需求及測試標準，在臺架對某控制器開展診斷系統(tǒng)信息安全測試，診斷各服務(wù)測試通過情況，如圖7所示。測試結(jié)果表明此域控制器的測試通過項36項，失敗項11項，通過率為76.6%。

5" 結(jié)論

本文設(shè)計了汽車診斷系統(tǒng)的信息安全開發(fā)的TARA分析流程，并結(jié)合具體車型開展診斷功能組TARA分析及安全概念設(shè)計。研究結(jié)果顯示，此分析流程可以識別診斷功能組的潛在信息安全風險點，基于風險點進行安全目標設(shè)計，并可設(shè)計網(wǎng)絡(luò)安全需求用以指導(dǎo)零部件的診斷信息安全開發(fā)，為信息安全相關(guān)領(lǐng)域提供了一種信息安全分析思路，為相關(guān)研究人員的信息安全研究提供參考依據(jù)。

參考文獻：

[1] 趙開放. 汽車CAN網(wǎng)絡(luò)信息安全研究[D]. 武漢：華中科技大學，2019.

[2] 于赫. 網(wǎng)聯(lián)汽車信息安全問題及CAN總線異常檢測技術(shù)研究[D]. 長春：吉林大學，2016.

[3] 張鐵欣. 基于汽車網(wǎng)關(guān)平臺功能的網(wǎng)絡(luò)拓撲設(shè)計與安全研究[J]. 汽車電器，2017（9）：22-25.

[4] 吳尚則. 基于車載CAN總線網(wǎng)絡(luò)的身份認證方法研究[D]. 長春：吉林大學，2018.

[5] 葉衛(wèi)明，常賀. 基于智能網(wǎng)聯(lián)汽車的通信和信息安全研究[J]. 電信工程技術(shù)與標準化，2022，35（1）：88-92.

（編輯" 楊凱麟）