作(zuò)者：開(kāi)心果 Need Car
出品：汽車(chē)電(diàn)子(zǐ)與軟件(jiàn) 

#01 前  言

      當下(♦≤♦xià)，汽車(chē)産業(yè)正在進行(xíng)著(zheσ♦✘♦)深刻的(de)變革，不(bù)斷地(d≈→ì)朝著(zhe)“四化(huà)”（智能(néng)化(huà)、電(✔•diàn)動化(huà)、網聯化(huà)、共享化(huà)）方向進行(xíε÷'¥ng)著(zhe)轉型升級。而這(zhè)一(yī)進程中，需要★★Ω>(yào)依賴車(chē)載控制(zhì)器(qì)作(zu$ ∏≤ò)為(wèi)支撐。那(nà)麽，控制(zhì)器(qì)支撐的(de)核心又(yòu)是(>≥ shì)什(shén)麽呢(ne)？就(jiù)是(s↕£♥hì)它所承載的(de)軟件(jiàn)。所以，SDV（Software-Defined Veh•φicle ，軟件(jiàn)定義汽車(chē)）已不(bù)在是(shì)一(yī)個(gè∑Ω×♥)時(shí)髦的(de)詞彙，而是(shì)π©真實的(de)扮演著(zhe)舉足輕重的(de)角色。但(dàn)是(shì)，≤∑ ∑車(chē)載控制(zhì)器(qì)軟件(jiàn↓'α)的(de)開(kāi)發并不(bù)是(shì)一(yī)個(gè)簡單的(de)過程，在它工↕ ×♠(gōng)程落地(dì)的(de)過程中，會(huì)遇到(dào)各式各樣的(d←₽δ£e)問(wèn)題，在 ETAS 最近(jìn)發布的(de)白(bái)皮書(shū)《汽車∑α(chē)微(wēi)控制(zhì)器(qì)軟件(j¶♣£​iàn)開(kāi)發的(de)五大(dà)挑戰》(1)  中，總結了(le)五個(gè)方面：&n"<≈bsp;高(gāo)度集成任務、标定過程複雜(zá)、測¶↓試和(hé)調試耗時(shí)、可(kě)拓≤£♠★展和(hé)靈活性的(de)限制(zhì)、整體(tǐ)網絡安全需求。
      既然車(chē)輛(li∞ ♣↔àng)需要(yào)變得(de)更“聰明(míng)”，就(jiù)需要(yào)控≠↑¥≤制(zhì)器(qì)之間(jiān)進行(xíng)大(dà)量的(de)信息交✔α互，也(yě)因此，這(zhè)些(xiē)交互的(de)控制(zhì)器(qì)構成了(le→✔' )局部網絡。當車(chē)輛(liàng)內(nèi)的(de)​±≠♣各個(gè)局域網的(de)信息進行(xíng)交互時(shí✔$Ω)，又(yòu)構成了(le)更大(dà)的(de)網絡簇。更≤↓£★進一(yī)步的(de)，車(chē)輛(liànα↑★↓g)網絡與外(wài)界交互時(shí)，車(chē₽λ​π)輛(liàng)就(jiù)成了(le)一(yī)個(gè)網絡移動終端，成了(le)萬物(wù>±≤ )互聯的(de)一(yī)部分(fēn)。當車(chē)§÷輛(liàng)成為(wèi)網絡的(de)一(yī)份子(zǐ)時(shí)，它不(bù)得(d§'★'e)不(bù)面對(duì)複雜(zá)的(d∞<₹<e)網絡威脅和(hé)攻擊。因此，網絡安全就(j ₹₽iù)不(bù)得(de)不(bù)引起我們的(de)格外(wài)關注，更具體±∞(tǐ)的(de)說(shuō)：車(chē)輛(liàng)傳輸和(hé)↓γ♥記錄的(de)敏感信息安全，不(bù)可(kě)忽視(shì)！

1.1 車(chē)輛(liàng)信息安全的(de)定義

      那(nà)麽，什(sh&γén)麽是(shì)汽車(chē)信息安全（Vehiπ∏cle cybersecurity）呢(ne)？按照(zhào)法↕>α>規(2)解釋：汽車(chē)的(de)電(diàn)子(zǐ)電(diàn)器(qì)系統↕δβ、組件(jiàn)和(hé)功能(néng)被保護，使其資産不(bù)受威脅的(de)狀态。


#02 車(chē)輛(liàng)信息安全的(de)現( εxiàn)狀

      不(₽λ​bù)可(kě)置否，車(chē)輛(liàng)信息安全已經進入法規強标階段。出口海(hǎi)外"&(wài)的(de)車(chē)輛(liàng)，需要§'(yào)滿足聯合國(guó)世界車(chē)輛(liàng)法規協調論壇（簡稱為(wèi←≤¥&)UN/WP.29）發布的(de)R155和(hé)R156要(y§₹ào)求。在國(guó)內(nèi)，《汽車(chē)數(shù)據安全管理(≥☆lǐ)若幹規定（試 行(xíng)）》于2021年(nián) &&10月(yuè) 1 日(rì)起施行(xíng)，《汽車(chē)數(shù)據通(₽§±☆tōng)用(yòng)要(yào)求》于2024年(nián)8月(yuè)23起實施，《ε"汽車(chē)整車(chē)信息安全技(jìπ€↕‍)術(shù)要(yào)求》将于2026年(nián)1月(yuè)1 日(rì)起實施...

      由此可(kě)以看(kàn)出，車(c≥∞‌hē)輛(liàng)信息安全已然成為(wèi)↕↓¶軟件(jiàn)開(kāi)發不(bù)可(kě)忽視""₩(shì)的(de)問(wèn)題。那(nà)麽，為(wèi)什(shén)麽車(chē)φ₽§π輛(liàng)信息安全近(jìn)些(xiē)年(nián€©)會(huì)引起如(rú)此關注和(hé)重視∞↔∏(shì)呢(ne)？甚至于通(tōng)過法規進行(xíng)強制(z₩≈​hì)性約束呢(ne)？這(zhè)與近(jìn)些(xiē)年(nián)不(bù)£αα斷攀升的(de)信息安全事(shì)件(   jiàn)密不(bù)可(kě)分(fēn)，部分(fēn)車(chē)輛(≤εliàng)信息安全事(shì)件(jiàn)如(rú)下(xià)：€• ×
     （1）豐田汽車(chē)數(shù)♦∑據洩露事(shì)件(jiàn)。2023 年(nián) 5 月(yuè)，豐田汽車(chē)公司發布∏♣±"公告稱，由于雲平台系統配置錯(cuò)誤，約 215 萬日(rì)€δ本車(chē)主的(de)部分(fēn)車(c★ΩΩ<hē)輛(liàng)數(shù)據在近(jìn)γΩ↔"十年(nián)間(jiān)處于公開(kāi)狀态，包括€ 車(chē)載設備 ID、底盤号碼、車(chē)輛(liàng)位置信息等(3)；
     （2）蔚來♠ ♠≤(lái)汽車(chē)電(diàn)池數(shù)據被篡改©ε&±事(shì)件(jiàn)。2023 年(nián) 5 月(yuè)，蔚來(láγ©λεi)汽車(chē)的(de)電(diàn)池數(shù)據被篡改，犯罪團夥通(tōng)過将事(£¥shì)故車(chē)和(hé)故障電(diàn)池組的(de)數(sε∏hù)據寫入完好(hǎo)電(diàn)池組，使其可↔©↔÷(kě)以重新充電(diàn)上(shàng)路(lù)(4)；
     （3）高(gāo)通(tōng)芯片黑(hēi)客攻擊事♦✔£≠(shì)件(jiàn)。2024 年(nián) 10 月(yuè)，高(gāo)通(tφ€ōng)公司發現(xiàn)其多(duō)達 64 款芯片組中存在嚴重漏洞，★§₩可(kě)能(néng)導緻內(nèi)存損壞，黑(h↓≤φ>ēi)客可(kě)以利用(yòng)這(zhè)些(xiē)漏洞對(duì)‌♣智能(néng)網聯汽車(chē)進行(xíng)遠(yuǎn∑↕∏Ω)程控制(zhì)，威脅車(chē)主的(de)生(>"∑shēng)命安全(5)；
如(rú)上(shàng)的(de)汽車(chē)安全問(wèn)題事(shì)€←<↓件(jiàn)很(hěn)多(duō)，近(jìn)些(x±♠iē)年(nián)更為(wèi)突出。據 Upstream 發布的(de)《2024 年(niá≠®n)全球汽車(chē)網絡安全報(bào)告》顯示，近(jìn) 5 年(nián)汽車(ch←✔εē)安全事(shì)件(jiàn)不(bù)斷攀升，如(rú)下(xià)所示： 

2.1 車(chē)輛(liàng)面臨的(de)信息安全威脅
      那(nà)麽，造成$ ×車(chē)輛(liàng)信息安全問(wèn)題的(de)途徑有(yǒu)哪些(xiē)呢(≤↕ne)？車(chē)輛(liàng)被攻擊的(de)路(lù)徑包含車(↓₹®≤chē)內(nèi)和(hé)車(chē)外(wài)兩條路(lù)徑。
      車(chē)內(nèi)信息安全威脅源±↕主要(yào)是(shì)持有(yǒu)惡意攻擊σ‍↑‍軟件(jiàn)的(de) ECU。車(chē)♠​ ∞外(wài)信息安全威脅源包括：外(wài)部設備連接，比如(rú)：↕§↔通(tōng)過 OBD（On-Board Diagnostics）連接的(de)診斷儀¶≤等外(wài)部設備，Debug 調試口，XCP 标定口，OTA（Over-The-Air）、藍(lán)牙、W®✘∞‍IFI 等。示意如(rú)下(xià)：

      如(rú)上(shàng)是(shì)我們可(kě)以直₩ β接想到(dào)的(de)攻擊路(lù)徑，具體(tǐ)的(de)車(chē)輛(liàng‌↓¶∑)網絡攻擊方式遠(yuǎn)比我們認知(zhī)的(de)方式多(duō)的(de ε)多(duō)。相(xiàng)比以往，2023 年(nián)，網絡攻擊變得(de)更為(wèiλπ™™)複雜(zá)和(hé)頻(pín)繁，攻擊的(de)目标包括各®£∏™種車(chē)輛(liàng)系統和(hé)組件(jiàn)，以及智能(nén ÷"↕g)出行(xíng)平台、物(wù)聯網設備和(hé)α&§應用(yòng)程序。新的(de)攻擊方法讓行(x ‌íng)業(yè)深刻認識到(dào)：任₩☆®∏何連接點都(dōu)可(kě)能(néng)成為(wèi)攻擊的(de)‍Ωγ目标(6)。

      按照(zhào)按δ‌$攻擊載體(tǐ)劃分(fēn)的(de)網絡安全事(shì)件(j≤<γ≥iàn)分(fēn)布如(rú)下(xià)： 

注：圖片來(lái)源資料 6

#03 車(chē)輛(liàng)信息安全的(de)工(gōng)程落地(dì)問(wèn)題

      面對(d>≥ uì)嚴峻的(de)車(chē)輛(liàng)信₩↔>息安全事(shì)件(jiàn)，從(cóng)控制(zhì)器(qì)軟件(jiànπ↑≥±)供應商到(dào) OEM 都(dōu)已深刻意識到(dà₹✘★o)車(chē)輛(liàng)信息安全的(de)重要(yào)性。但(dàn)是(s∞π↓hì)，這(zhè)并不(bù)等同于可(kě)以開(kāi)™≈↑發出符合預期的(de)軟件(jiàn)，那(nà)麽，車(chē)輛(liàσφ€<ng)信息安全的(de)工(gōng)程落地(dì)，到(dào)底有(yǒu)哪些(x∞γ☆iē)難點呢(ne)？

3.1 信息安全的(de)需求解讀(dú)

      任何軟件(jiàn)的(de)開(kāi)♠★發，第一(yī)步就(jiù)是(shì)搞清需求。隻有(yǒu)準确理(lǐ)解需求，才有(yǒ↕$u)可(kě)能(néng)開(kāi)發出符合預期的(&₽de)軟件(jiàn)。目前，信息安全在項目實施過程中，需求握手還(hái)很(hěnβ≥σ)難一(yī)次性達成。很(hěn)難一(yī)次性達成的(de)原因大(dà)緻有(yǒu)如(¶₽rú)下(xià)幾點：

      首先，汽車(chē)行(xíng)業(yè)從(cóπ ₽≥ng)業(yè)者對(duì)信息安全的(de¶♦♥♥)需求認知(zhī)薄弱。不(bù)同于互聯網行(xíng)業(yè)，車(chē)輛α≠∏(liàng)信息安全在汽車(chē)行(x퀀✘σng)業(yè)剛剛興起，所以，汽車(chē)信息安全工(gōn≤®πg)程師(shī)解讀(dú)需求還(hái)需要(yào)時(shí)間(jiān↓→ ←)以及工(gōng)程項目的(de)沉澱。

      舉例：信息安全中有(yǒu)“驗簽”（verificatε←ion）需求，可(kě)是(shì)在拆分(fē×✔n)需求時(shí)，有(yǒu)時(sπα©hí)系統工(gōng)程師(shī)也(yě)分(fēn)不(bù)清驗簽的(de)工₩•(gōng)程使用(yòng)場(chǎng)景，進而導緻對π<(duì)具體(tǐ)算(suàn)法的(de)↓✘±使用(yòng)場(chǎng)景一(yī)知(zhī)半₩€解。所以，在理(lǐ)解需求之前，需要(yào)理(lǐ)解 €γ₹清楚驗簽的(de)使用(yòng)場(chǎng)景。首先， 軟件(jiàn)程序升級時↔§✘(shí)需要(yào)驗簽。其次，每次♦δπ&控制(zhì)器(qì)上(shàng)電(diàn)，運行(xíng)程序前需要(yào)驗簽每£≠​一(yī)個(gè)需要(yào)執行(xíng​σβ™)的(de)程序。需求初步分(fēn)解示意如(rú)下(xià)：

 

      需求理(lǐ)解到(dào)如(rú)上(shà≠↕'ng)顆粒度（Granularity）就(jiù)可(kě)以嗎(ma)？不(bù)能(néng)。實際的(de)工(g♠∏ōng)程中，不(bù)同控制(zhì)器(qì)，芯片選型不(bù)同。不(b☆☆<¥ù)同的(de)芯片類型，能(néng)滿足的(de)信息安全©±€↕功能(néng)程度又(yòu)不(bù)©∏₽'同，或者說(shuō)對(duì)應的(de)信息安全功能(néng)硬件(jiàn)化(hu↕λ♣‍à)程度也(yě)就(jiù)不(bù)同，需求也(yě)就(jiù)不(bù)能(néng)一(y★αī)概而論。所以，信息安全需求解讀(dú)難的(de)第二✘÷個(gè)點就(jiù)是(shì)對(duì)使用(yòng)的(de)芯片認識不(∑ Ω bù)足。對(duì)于信息安全系統工(gōng)程師(shī)而言 →，針對(duì)信息安全需求的(de)拆解必須結合項目使↔±φ用(yòng)的(de)芯片類型。但(dàn)是(shì)，如(rú)果要(yào)了(le)解芯©↔ 片特性，就(jiù)需要(yào)“啃”那(nà)厚厚的✔γ↑₹(de)芯片手冊，而這(zhè)無疑是(shì)耗費(fèi)費(f≠ èi)力的(de)事(shì)情，甚至會(huì)讓不(bù)少(shǎo)系統工(g× ōng)程師(shī)望而卻步。如(rú)果不(bù)≤¥能(néng)深刻的(de)認識芯片，那(nà)麽，在信息安全需求溝通(₽¥÷•tōng)中，就(jiù)可(kě)能(néng)産生(shēng)理(lǐ)✔©‍☆解偏差，甚至産生(shēng)開(kāi)發結果與需∑↕求不(bù)符的(de)窘境。

      這(zhè)裡(lǐ)舉一(yī)個(gè)工(gōφ∏≠δng)程案例：需求要(yào)求實現(xiàn)随機(j>φ®'ī)數(shù)功能(néng)，如(rú)果所用(yòng)芯片λ÷支持真随機(jī)（True Random Nuφλ☆mber）功能(néng)，則随機(jī)數(shù)必須由硬件'✘≤₩(jiàn)實現(xiàn)。

      如(rú)上(shàng)需求∏→δ<表明(míng)了(le)随機(jī)性功能(néng)的(↕δde)實現(xiàn)優先由硬件(jiàn)§≈實現(xiàn)。可(kě)是(shì)，工(gōng)程師(s∞↔₽hī)沿用(yòng)了(le)之前軟件(jiàn)實現(xiàn)的(de)方案。這(zhè÷'↓)問(wèn)題之所以被暴露出來(lái)是(shì)因為(wèi)軟件(jiàn)‍≠ δ升級過程中，診斷獲取的(de)随機(jī)種子(zǐ)偶有(yǒu)全 £€‌"0x00 情況，細緻追查發現(xiàn)：軟€₽σ件(jiàn)的(de)随機(jī)性實現(xiàn)存在一(yī)定的(de)₹≠γ↑ Bug，偶有(yǒu)返回異常，進而返回全 0x00₹≤ © 工(gōng)況。這(zhè)個(gè)問(wèn)題看'✘♠(kàn)似簡單，但(dàn)是(shì)，如(rú)果需求沒有(yǒu)充分(fēn)解析δ✔★☆并執行(xíng)，那(nà)麽，就(jiγπù)可(kě)能(néng)引入更多(duō)的(d'"¥e) Bug。

      當然↕α¶&，信息安全對(duì)汽車(chē)領域從(cóng)業≈φ ≈(yè)者，不(bù)僅新，而且，随著(zhe)信息安全的(de)需求不(bù)斷擴充，使★ ¶$得(de)需求需要(yào)解讀(dú)的(de)信息量不(bù)斷增加，這↓♣ε(zhè)亦增加工(gōng)程師(shī)的(de)解讀(dú)成本。

3.2 信息安全的(de)開(kāi)發難點

      通(tōng)過需求φ ←‌拆解以後，對(duì)于軟件(jiàn)開(kāi)發工(gōng©£→₩)程師(shī)而言，就(jiù)需要(yào)設✔∏✘£計(jì)軟件(jiàn)架構，之後，按照∞​Ω★(zhào)軟件(jiàn)架構實現(xiàn)信息安全的(de)功能(néng)。信息安全軟件(ε±jiàn)的(de)實現(xiàn)又(yòu)難在哪裡(lǐ)呢(ne)？

      首先，φ₹軟件(jiàn)架構不(bù)統一(yī)。在實際項目開(kāi)發過程中，軟件(ji±↓àn)工(gōng)程師(shī)很(hěn)多(duō)時(shí)候會(huì)從(cóε→εng)其他(tā)的(de)項目中“搬運”已有(yǒu)的(de)功能σ♥(néng)，如(rú)果搬運的(de)功能(néng)模塊與新的(de✘δ∏β)項目軟件(jiàn)架構沖突，工(gōng)程®§♠ 師(shī)往往會(huì)做(zuò)一(yī)些(xiē)<&γ手動修改，如(rú)此，就(jiù)會(huì)引入∞π♥未知(zhī)變量，增加潛在軟件(jiàn)漏洞。

      舉例：≠≈工(gōng)程中可(kě)能(néng)會(huì)遇到(dào)這(zhè)樣的(de)場≠€→¶(chǎng)景，即：隻有(yǒu) HSM 的(de↕♥)軟件(jiàn)包，但(dàn)是(shì)，Host 端的(de)軟件(jiàn)程序沒有↕→(yǒu)配套的(de)信息安全軟件(jiàn)接口。為(wèi)了(le)降低(dī)成本，需要(yào)工(gōng≈<δ)程師(shī)開(kāi)發對(duì)應 Host  的(de‌β)信息安全接口。如(rú)此，帶來(lái)的(de)直∑★接問(wèn)題就(jiù)是(shì)兩者的(de)框架不(bù)統一(yī)，而®  這(zhè)就(jiù)是(shì)一(yī)個(gè)安全隐患。軟件(jiàn)架構設計π$"(jì)中，某個(gè)功能(néng)的(de€>)實現(xiàn)由一(yī)個(gè)工(gō Ω ng)程師(shī)完整實現(xiàn)能(néng)最↓λ♥≠大(dà)程度的(de)保證一(yī)緻性，如(r×<ú)果一(yī)個(gè)功能(néng)由兩個(gè)或者多(duō)個(gè)工(gōn©↑λ g)程師(shī)實現(xiàn)，則很(®÷εhěn)難做(zuò)到(dào)預期的(•₩de)一(yī)緻性。 

      示意如(rú)下(xià)：

      其次，軟件(jiàn)調試困難。↓÷₽♣軟件(jiàn)開(kāi)發的(de)好(hǎo)壞很©γ™γ(hěn)大(dà)程度上(shàng)依 ε₽賴軟件(jiàn)的(de)調試環境。調試軟件(↔∞jiàn)不(bù)僅僅需要(yào)價格昂貴的(de)硬件(jiàn)調試設備，還(h ™ái)需要(yào)對(duì)應的(de)調試軟件(jiàn ★≠)，這(zhè)些(xiē)軟硬件(jiàn)設備的(de)使用εδβ(yòng)需要(yào)工(gōng)程師(shī)的(de)儲備，這±÷™(zhè)無疑增加了(le)軟件(jiàn)開(kāi)發的™€€₹(de)困難。

      這(zhè)‌δ ‌裡(lǐ)以英飛(fēi)淩 TC3xxεσ×¥  芯片的(de)信息安全調試<&→為(wèi)例。如(rú)果一(yī)個(gè)信息安全工(gōng)程師(shī)需要(yào)調試信息安全功能(né$π↓₹ng)，基本的(de)硬件(jiàn)環境包括：包含所需軟件(jiàn)的(de)電(diàn)腦☆$↕↕(nǎo)、調試器(qì)硬件(jiàn)、目标控制(zhì)器(qì)對(duì)δ♦•₹應的(de)芯片。示意如(rú)下(xià)：

      軟件(jiàn)的(de)編譯需要(yà€δo)對(duì)應的(de)編譯器(qì)（compiler），而且編譯器(qì)需要(yàβ♠'×o)支持信息安全工(gōng)程的(de)編譯與非信息安全工(gōng)程Ω≤♦的(de)編譯；軟件(jiàn)調試，調試器(qì)需要(yào)對(duì)應的(de)©× 軟件(jiàn)，調試的(de)信息安全，如(rú)果包含異構多(duō)核，調試器(qì)則≥£β 需要(yào)多(duō)個(gè) lic←∏ense，以便于支持多(duō)核調試。↑₩✘實際的(de)開(kāi)發中，除此之外(wài ±)，工(gōng)程師(shī)還(hái)可(kě)能(néng)需要(yào)了(le×★ ¥)解第三方工(gōng)具的(de)配置和(hé)使用(yòng)環境，eg：MCAL 配置&nb•γ<€sp;工(gōng)具，BSW 配置工(gōng)具等。

      再次，手動軟件(jiàn)質量不(bù)α♣可(kě)控。實際的(de)工(gōng)程開(kāi)發中，有(yǒu)些<↕✔↑(xiē)功能(néng)屬于項目特有(yǒu)的(de)，± ↕這(zhè)些(xiē)功能(néng)無法通(tōng)過工(gφ↔ ōng)具鏈自(zì)動化(huà)實現(xiàn)，因此，需要(yào)軟件(‌÷Ωjiàn)工(gōng)程師(shī)手動編碼實現(xiàδ£n)。手動編碼的(de)質量很(hěn)大(dà)程度上(shàng)依賴于工(gōng)程師∑​™(shī)的(de)編碼水(shuǐ)平和(hé)對(duì)需求的(de)理α♠≥(lǐ)解，所以，這(zhè)也(yě)在一(yīγ♣)定程度上(shàng)增加了(le)信息安全開(kāi₽π)發的(de)難度。

3.3 信息安全的(de)測試難點

      軟件(jiàn)開★¥®(kāi)發完成以後，工(gōng)程的(de)接力✘ 棒需要(yào)遞交給測試人(rén)員(yu♣‍án)，由測試人(rén)員(yuán)通(tōng)過壓‌ε ‌測識别出軟件(jiàn)潛在的(de)漏洞。那(nà)麽，對(duì)于信δ↕息安全來(lái)說(shuō)，測試的(de)難點在哪裡>☆↓(lǐ)呢(ne)？

      首先，測試用(yò≈★÷ng)例設計(jì)難。由于測試人(ré× §n)員(yuán)和(hé)開(kāi)發人(rén)員(yuán)的(de)屬性不(bù)同∏÷σ，測試人(rén)員(yuán)往往不(bù)關注實★±現(xiàn)的(de)細節，因此，也(yě)不(bù)會(huì)過多(duō)的(de)關注芯¥¶片手冊信息。但(dàn)是(shì)，脫離(lí)了(le)這(zhè)些(←✔xiē)細節信息，往往又(yòu)會(huì)使得(de)測試人(rén)'‌×✘員(yuán)難以理(lǐ)解測試的(de)需求，進而在設計(jì)測試用(yòng)例時(σ>π‌shí)，會(huì)出現(xiàn)測試邊界模糊，測試方案不(bù)準确的≥©₹"(de)問(wèn)題。

      其次，測試設備使® ™≈用(yòng)成本。信息安全的(de)測試中，需要(yào)用(yòng)到(d♦​♦₹ào)的(de)測試設備或者環境不(bù)同于傳統開(kāi)發÷Ω£，因此，具體(tǐ)信息安全測試前，需要(y'α∑ào)測試工(gōng)程師(shī)對(duì•®™)信息安全的(de)測試環境有(yǒu)一(yī)定的(deπ')經驗。而且，信息安全功能(néng)需要(y±‌<ào)與 Host 進程（eg：Bootloader 工(gōng)♠λλ程、Application 程序等）進行(xíng)交互。這(zhè)樣的(de)交互系統，無₽φ↔₩疑增加了(le)測試的(de)複雜(zá)度。對(duì)于測試人(rén)員(yuán)，♦•這(zhè)樣複雜(zá)的(de)系統♦♠γα交互場(chǎng)景，靠傳統的(de)測試工(gōng)具并不(bù)能(nén<₹g)達到(dào)測試目标。

      Host 進程與信息安全進程通(tōng)過I ΩPC（Inter-Process Communication， 進程間(jiān)通®×₹γ(tōng)信）交互的(de)場(chǎng)景‌λ↔γ，示意如(rú)下(xià)：

      再次，白(bái)盒打樁測試  •→強依賴開(kāi)發環境。信息安全的(de≠≈∑)測試中，部分(fēn)測試需要(yào)通(tōng)過∞☆₽÷軟件(jiàn)打樁的(de)方式進行(xí ♥γ±ng)白(bái)盒測試，而這(zhè)無疑增加了(le)測試的(de)難度。具體(t→×✔♠ǐ)難點：信息安全工(gōng)程師(shī)需要(yào)有(yǒu)一(yī"♣)定編碼能(néng)力，同時(shí)，需要(y€§®ào)知(zhī)道(dào)如(rú)何編碼對(duì)應的(de)信息安全™≠×功能(néng)接口，進而達到(dào)條件(jiàn)修改測試的(™→ de)目的(de)。

      除了(le)如(rú)β♥≥∑上(shàng)的(de)測試困境以外(wài)，還(hái)需要(yào)考慮測試的×≠(de)如(rú)下(xià)問(wèn)題：CWE  （Co•±mmonWeakness Enumeration）缺陷測試。既然信息安全工(gōng)≈£∑程是(shì)一(yī)個(gè)獨立的‍£₽(de)軟件(jiàn)進程，首先需要(yào)≠‌确保該工(gōng)程的(de)可(kě)靠性，盡可(kě)能(néng)的(de)通(tōng∏♦)過軟件(jiàn)的(de)靜(jìng)态測試和(≥✔₽hé)掃描（eg：TESSY 測試等），發現←δ"(xiàn)可(kě)能(néng)導緻安全問(wèn)題的(de)編碼錯(cu®₹♠ò)誤或者設缺陷。當然，随著(zhe)車(®>εchē)輛(liàng)接入網絡的(de)→™程度越來(lái)越高(gāo)，網絡攻擊的(de)途徑和(hé)σ×方式也(yě)越多(duō)，在成本允許的(‌ ★de)條件(jiàn)下(xià)，可(kě)進行(xíng)滲透測試（≤✘★♠Penetration Testing），以此識别出系統中的(d♥ ≥∏e)安全漏洞。你(nǐ)可(kě)能(néng)好(hǎo)奇：對(duì)于MCUδ™級的(de)控制(zhì)器(qì)，有(yǒu)這(zhè)樣Ω σ的(de)攻擊場(chǎng)景嗎(ma)？有(yǒu)。網絡的(de)攻擊已經不(bù)僅僅局>₽限于以太網。CAN總線的(de)攻擊也(yě)變得(de)越來(​♦lái)越多(duō)，比如(rú)：CAN DOS（Denial oδ÷fService，拒絕服務）攻擊、CAN  報(bào)文(wén)竊取×₽•、CAN報(bào)文(wén)重放(fàng)、CAN 報(bào)文(wén)丢↑φ失等。所以，這(zhè)些(xiē)測試用('≥β♦yòng)例的(de)設計(jì)和(hé↔Ω)覆蓋，本身(shēn)亦是(shì)一(yī)個(gè)艱巨的(©→de)任務。

#04 結  論

      面對(duì)複雜(zá)§♠×♥多(duō)變的(de)車(chē)輛(liàng)安全威脅，法規不(bù)斷強化(h<εuà)信息安全規範。然而，信息安全的(de)工(gōng) ✘↕∞程落地(dì)依然面臨著(zhe)這(zhè)樣、那(nà)樣的(de)難點。這(zhè)包括信息§♣✘↕安全需求解讀(dú)難、開(kāi)發難以及測↕Ω試難等諸多(duō)問(wèn)題。如(rú)何應對(duì)這×↑(zhè)些(xiē)難點，使其真正的(de)落地(dì)工(gōng)程，還(hái)有(y♠α ǒu)很(hěn)長(cháng)的(de)路(lù)走。✘↑♣

參考文(wén)獻：

（1）易特馳白(bái)皮書(shū)發布-汽車(chē)微(wēi)控制(zhì)器(δ←qì)軟件(jiàn)開(kāi)發的(de)五大(dà)挑戰

（2）GB 44495-2024《汽車(chē)整車(chē)信息安全技(jì)術(shù)要(≠©δβyào)求》

（3）https://mp.weixin.qq.com/s?__biz=Mβ♠​←zAwMDE1NzIwMw==&mid =2652221905&idx=1&sn=4643d5a5fecφαεb34ea6a3b5029d2f5fd77& chksm=810c22adb67babbb36419ef2© c6f92316ac1d3025648530061÷♦✘ c53f968fc98a87d61d0a42÷∑♥844ff&scene=27

（4）https://news.sohu.com/a/808555084_121738491

（5）https://baijiahao.baidu.com/s±←?id=1815249214872984940&wfr=spi der&for=pc（6）Upstream_2024_Global_Automotδ$₹>ive_Cybersecurity_Report.pdf