汽車診斷系統信息安全TARA分析及測試評價研究

【摘" 要】隨著中國車輛智能化、信息化發展，信息安全的理念在汽車研發生產中的地位越來越重要。為解決目前行業診斷系統中零部件診斷信息安全開發缺少參考依據的現狀，以及滿足R155、ISO 21434法規要求，文章開展診斷功能組信息安全TARA分析及測試評價研究。此方法論從功能清單及網絡安全相關性確認、診斷功能組TARA分析、網絡安全概念設計開展汽車診斷系統信息安全研究，并設計汽車診斷系統測試評價標準和問題等級，通過對黃板車某域控制器進行診斷信息安全測試，測試結果可識別此控制器對于診斷系統信息安全的滿足程度。研究結果顯示，此方法論可以識別診斷功能組的潛在信息安全風險點，基于風險點進行安全目標設計，并可設計網絡安全需求用以指導零部件的診斷信息安全開發。

【關鍵詞】診斷；TARA；信息安全

中圖分類號：U463.6" " 文獻標識碼：A" " 文章編號：1003-8639（ 2024 ）08-0082-05

Research on TARA Analysis and Test Evaluation of Information Security of Automotive Diagnostic System

LIU Yu，CHONG Jing，ZHANG Yongshuai，LIU Lei，WU Lingyi，LIU Shengli

（BYD Automobile Co.，Ltd.，Xi′an 710018，China）

【Abstract】With the development of intelligent information technology，the concept of information security is becoming more and more important in automobile research and development and production.In order to solve the current situation that the information security development system of industrial diagnostic system and the diagnostic information security development of parts lacks reference basis，meet the requirement of R155，ISO 21434 regulations，and test evaluation of information security.The paper carries out the information security TARA analysis of diagnostic function group，and carries out the information security research of automotive diagnostic system from three stages： function list and network security correlation confirmation，diagnostic function group TARA analysis and network security concept design.The test evaluation standard and problem level of the automobile diagnostic system are designed，and the diagnostic information security test is carried out by a certain controller.The test results can identify the controller’s satisfaction with the information security of the diagnostic system.The results show that this analysis process can identify the potential information security risk points of the diagnostic function group，design security targets for the risk points，and design network security requirements to guide the development of diagnostic information security of parts.

【Key words】diagnosis；TARA；information security

隨著中國汽車行業智能化、信息化程度的提高，汽車信息安全的問題也越來越受到人們的關注，關于車輛信息安全的研究也隨之越來越深入。趙開放[1]對汽車CAN網絡信息安全展開研究，介紹CAN總線協議和汽車診斷協議的工作方式，并開發一款汽車安全測試平臺軟件，以方便研究人員對汽車進行安全測試。于赫[2]對目前主要車載總線網絡潛在的信息安全威脅進行歸納分析，討論車載網絡的異常檢測技術，提出一種基于信息熵的車載CAN總線網絡報文異常檢測方法用于檢測車載CAN總線網絡的洪泛、重放等攻擊。張鐵欣[3]基于陶蒙華博士的汽車網關平臺的功能架構模型，設計適合汽車網關平臺的網絡拓撲結構，并結合最新的信息安全研究成果為網絡拓撲結構設計信息安全防護。吳尚則[4]基于CAN總線自身特點與局限性，設計一種動態口令的身份認證方法，保證車載信息安全，提高黑客攻擊車載網絡的防御能力。葉衛明、常賀[5]研究智能網聯汽車在車內系統、車外系統信息交互、云端系統和外部設備4個維度，分析其通信和信息安全的漏洞、威脅風險，提出智能網聯汽車通信和信息安全的方法論。

1" 汽車診斷系統TARA分析拓撲設計

1.1" VTA車型整體方案介紹

OEM廠在VTA認證前需通過CSMS體系認證，表征OEM廠具備信息安全開發的管理流程體系，第二階段為滿足車型研發階段R155、ISO 21434法規適應性，需通過VTA車型認證。VTA認證整體方案設計如圖1所示。

1）整車概念階段，梳理功能場景清單。

2）系統設計階段，包括各功能組的威脅及風險分析、安全目標和安全需求設計。

3）零部件設計階段，提出安全控制要求。

4）零部件開發階段，開發零部件的網絡安全。

5）零部件試驗階段，對零部件開展零部件安全測試。

6）系統試驗階段，對整車各功能組開展系統安全測試。

7）整車試驗階段，對整車開展整車安全測試。

1.2" 汽車診斷系統TARA分析拓撲圖設計

本文主要基于VTA認證中對整車診斷功能組進行威脅及風險分析，進行網絡安全及網絡需求分析，指導零部件診斷功能信息安全開發及測試驗證，其汽車診斷系統TARA分析拓撲如圖2所示。

1）功能組功能清單及網絡安全相關性識別確認是診斷功能組TARA分析階段的前提，用以確認功能組的功能以及是否與網絡安全相關。

2）診斷功能組TARA報告分析是本文討論的重點，包括診斷功能組網絡拓撲設計、確定安全資產類別及安全資產屬性、危害場景識別、危害程度評估、威脅分析、風險評估及處置、定義安全目標。

3）網絡安全設計是根據診斷功能組TARA報告分析的結果，結合安全目標及攻擊樹進行標準索引、分析威脅及緩解措施，定義網絡安全需求。

至此，診斷功能組的網絡安全概念設計完成，可用于指導零部件進行診斷功能的信息安全開發。

2" 模型設計

2.1" 功能清單及網絡安全相關性確認

診斷功能組TARA分析之前需進行功能組功能清單及網絡安全相關性確認。依據功能模塊按等級進行三級功能劃分，定義診斷功能組下屬的子功能集，結合整車TARA分析數據流中關于診斷功能組的數據流圖確定數據流走向，并根據網絡安全相關性識別判斷確定是否需要進行TARA分析，進入第二階段診斷功能組TARA分析階段。

此階段識別出診斷功能組的功能類別可分為診斷、標定、本地燒寫，且依據網絡安全相關性識別，均與網絡安全相關。

2.2" 診斷功能組TARA分析

診斷功能組TARA分析為本文討論的主要階段，此階段主要完成診斷功能組TARA報告的出具，包括診斷功能組網絡拓撲設計、診斷功能系統安全資產和屬性設計、危害場景識別、危害程度評估、威脅分析、風險評估及處置、定義安全目標。

2.2.1" 診斷功能組網絡拓撲設計

本步驟依據車型網絡拓撲圖進行診斷功能相關的數據流圖的設計，重點突出車型相關核心零部件（與安全和動力相關的控制器）與診斷儀或者其他診斷設備進行診斷數據交換的途徑，即OBD-II接口，其次也可以在診斷數據流圖中體現其他可能具有攻擊性的外部接口，如Bluetooth、WIFI、Cellular、RF、USB等。

根據法規要求，現代汽車需安裝OBD-II接口來進行汽車排放信息的采集，主機廠也會通過該接口進行診斷、標定以及本地刷寫等操作。因其是唯一直連汽車整車網絡的接口，故多數診斷相關信息安全威脅都與OBD-II接口有著密切的聯系。可以得出在整車層面診斷功能組相關網絡安全功能分為診斷、標定與本地刷寫。

通過上述分析，可得出車型的診斷數據流以及相關網絡安全功能，如圖3所示。

1）是否基于電子電器。主要判斷該功能的實現是否需要電子電器ECU的參與，如果與電子電器ECU無關則可以直接得出該功能與網絡安全無關。

2）是否與車輛的安全操作相關。主要判斷該功能相關零部件是否與安全相關，如運動控制模塊和具有汽車安全完整性（ASIL）等級的零部件。

3）實現的功能是否需要收集和處理用戶相關的數據。主要判斷是否與隱私相關。

4）是否基于聯網部件實現的車輛功能。主要判斷是否與網絡相關，此處特指汽車總線，如CAN、MOST、FlexRay以及汽車以太網等總線。

2.2.2" 診斷功能系統安全資產和屬性設計

本步驟整理診斷功能相關的零部件并將其作為安全資產，并對該安全資產進行安全資產類別與安全資產屬性的分析。

2.2.2.1" 安全資產類別

通過車型架構分析，可以將安全資產類別分為以下幾部分。

1）身份與配置信息：整車或者零部件的標識或者配置信息。

2）固件及應用：零部件的固件以及第三方應用程序。

3）數據：指在車輛行駛中產生、收集和記錄的信息。

4）通信信息：指在車輛網絡中傳輸的信息。

將診斷功能相關的零部件進行安全資產的分析，并對各零部件的資產類別進一步細分和歸類，例如身份與配置信息可以細分為身份信息和配置信息，車輛VIN號為整車的身份信息會存儲在零部件中，VIN號屬于身份信息，依據上述分析完成后得出網絡安全資產屬性表。

診斷功能組依據上述4類資產劃分，具體分為：①身份與配置信息主要包括VIN、診斷ID、軟件版本相關信息；②固件與應用包括固件和標定數據；③數據包括診斷記錄日志及各控制器的DTC；④通信信息包括診斷服務命令、系統狀態信息。

2.2.2.2" 安全資產屬性

基于ISO 21434和SAE J3061，安全資產的網絡安全屬性有如下主要類別。

1）機密性（Confidentiality）：信息不被泄露給非授權的用戶、實體或進程，或被其利用的特性。

2）完整性（Integrity）：信息未經授權不能進行更改的特性，即信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。

3）可用性（Availability）：信息可被授權實體訪問并按需求使用的特性。

對安全資產類別進行分析，得出資產具備何種安全屬性，最后由安全資產類別和安全屬性得出網絡安全資產分布表，用于危害場景的識別。

2.2.3" 危害場景識別

危害場景的描述需至少包含3個要素：功能相關零部件、安全資產和后果。其中后果指安全資產的安全屬性受損后導致的最嚴重結果，此時無需考慮已有的緩解措施。對所有的安全資產屬性的危害場景分析完成后進行危害場景的評估。

2.2.4" 危害程度評估

本步驟進行危害程度的評估使用SFOP模型。通過SFOP模型從安全、財產、使用和隱私4個維度對危害場景的危害程度進行評估。各影響因素評分依據見表1～表4。

危害程度評級由上述4個影響因素評分的總和累加得出，總分為5個等級：Critical（score≥1000）；High（100≤scorelt;1000）；Medium（20≤scorelt;100）；Low（10≤scorelt;20）；No Impact（scorelt;10）。

以一條資產類型進行舉例說明，以身份配置信息下的VIN完整性進行SFOP模型分析，安全維度為微不足道的，財產維度是中等的，使用維度、隱私維度是微不足道的，SFOP模型綜合得分為10分，危害程度評級為Low。

2.2.5" 威脅分析

2.2.5.1" 威脅分析模型

依據車輛診斷功能架構及其車輛電子電氣架構，相關網絡安全威脅劃分為5層。

1）Level 1：基礎攻擊（攻擊界面），根據系統架構和部件架構，基于網絡安全攻擊知識和經驗搭建構成。

2）Level 2：部件內器件層攻擊，根據部件所存在的攻擊界面由基礎攻擊構成。

3）Level 3：部件層攻擊，根據部件設計架構，由部件內器件層攻擊構成。

4）Level 4：網絡層攻擊，根據系統網絡拓撲，由基礎攻擊中關于系統相關外部通信攻擊構成。

5）Level 5：目標資產攻擊，根據系統架構圖由網絡層攻擊和部件層攻擊構成。

2.2.5.2" 攻擊路徑分析流程

首先依據上文所識別出的危害場景進行攻擊路徑的分析，得出網絡層和部件層中存在的攻擊路徑。實際場景中會存在一些對危害場景的攻擊路徑不涉及整個零部件，如通過傳感器和診斷工具等，這些攻擊路徑將從部件內器件層直接到系統級攻擊，而不會再經過部件層攻擊。然后網絡層直接到基礎攻擊，而部件層攻擊需要經過部件內器件層攻擊再到基礎攻擊。攻擊路徑的分析可參照ISO 21434中與威脅相關的漏洞和攻擊方式。攻擊路徑分析可參考CVSS漏洞評估模型，從攻擊向量、攻擊復雜度、攻擊權限、攻擊交互進行綜合評估，其Feasibility Rating為上述4維度的最終得分，Attack Feasibility等級為該攻擊路徑的最終漏洞評估等級。

以身份配置信息下的VIN完整性舉例，通過對控制器1、控制器2、控制器3或車內通信的攻擊，篡改VIN碼，導致讀取VIN碼錯誤，診斷內容出錯，此攻擊路徑經CVSS模型分析，其Feasibility Rating得分為1.44，Attack Feasibility等級為Low。

2.2.6" 風險評估及處置

依據診斷場景分析基于SFOP模型的打分，結合威脅分析基于CVSS模型的打分結果，依據表5進行綜合判斷診斷功能組風險評估及處置。

QM為品質管理，不需要額外的網絡安全措施，依據公司現有品質管理體系管理即可。Risk Rate等級依據表6進行風險評估及處置。

以身份配置信息下的VIN完整性舉例，危害程度評級為Low，Attack Feasibility等級為Low，最終TARA分析Risk Rate等級為Low，即接受風險。其他資產可參考此列進行分析。

2.2.7" 定義安全目標

依據診斷功能組網絡安全風險等級，定義診斷功能的網絡安全目標。安全目標的設定需考慮從診斷功能組資產的安全資產類別和安全屬性類別進行。

2.3" 網絡安全概念設計

結合威脅分析和風險評估及處置，開始診斷功能組網絡安全概念設計。此部分需根據TARA報告中Risk Rate等級為Medium及以上的部分進行設計，針對每條安全資產屬性下的風險評估，畫出每條用例對應的攻擊樹，結合R155法規中的威脅及緩解措施，列出每條攻擊路徑下的緩解措施，結合汽車診斷理論綜合匯總得出最終的網絡安全需求。

3" 車型理論驗證

依據某車型，開展該車型的診斷功能組信息安全TARA分析研究。

3.1" 功能清單及網絡安全相關性確認

依據該車型的診斷功能，識別出診斷功能組功能清單。

3.2" 診斷功能組TARA分析

基于該車型的診斷功能系統信息，梳理該車型診斷功能組網絡拓撲結構，根據身份與配置信息、固件及應用、數據、通信信息此4類安全資產，以及機密性、完整性、可用性3類安全屬性，進行診斷功能組安全資產及屬性劃分。

依據診斷功能組風險評估及處置結果，定義診斷功能組網絡安全目標，部分結果如圖4所示。

3.3" 網絡安全概念設計

依據安全目標，此部分需根據TARA報告中風險標識為Medium及以上的部分進行設計，針對每條安全資產屬性下的風險評估，部分結果見表7。每項需求描述針對網絡安全目標提出的具體網絡安全方案，可指導零部件從硬件、軟件維度開展信息安全診斷開發。

4" 汽車診斷系統測試驗證

4.1" 診斷系統測試標準制定

依據診斷系統網絡安全需求和ISO 14229對診斷服務的要求，規劃診斷系統信息安全技術，并基于企標設計診斷系統信息安全測試用例。其一級目錄及二級目錄如圖5、圖6所示。

4.2" 汽車診斷系統信息安全測試驗證

依據診斷系統網絡安全需求及測試標準，在臺架對某控制器開展診斷系統信息安全測試，診斷各服務測試通過情況，如圖7所示。測試結果表明此域控制器的測試通過項36項，失敗項11項，通過率為76.6%。

5" 結論

本文設計了汽車診斷系統的信息安全開發的TARA分析流程，并結合具體車型開展診斷功能組TARA分析及安全概念設計。研究結果顯示，此分析流程可以識別診斷功能組的潛在信息安全風險點，基于風險點進行安全目標設計，并可設計網絡安全需求用以指導零部件的診斷信息安全開發，為信息安全相關領域提供了一種信息安全分析思路，為相關研究人員的信息安全研究提供參考依據。

參考文獻：

[1] 趙開放. 汽車CAN網絡信息安全研究[D]. 武漢：華中科技大學，2019.

[2] 于赫. 網聯汽車信息安全問題及CAN總線異常檢測技術研究[D]. 長春：吉林大學，2016.

[3] 張鐵欣. 基于汽車網關平臺功能的網絡拓撲設計與安全研究[J]. 汽車電器，2017（9）：22-25.

[4] 吳尚則. 基于車載CAN總線網絡的身份認證方法研究[D]. 長春：吉林大學，2018.

[5] 葉衛明，常賀. 基于智能網聯汽車的通信和信息安全研究[J]. 電信工程技術與標準化，2022，35（1）：88-92.

（編輯" 楊凱麟）