智能汽车车用基础软件平台关联技术

图 4.2-1 信息安全标准组织

1.  国内相关标准

国内在这方面的相关组织和协会的侧重点有所不同。我们重点介绍信安标委和汽标委两个组织的相关进展。

(1) 信安标委（TC260）

信安标委现已发布多项有关操作系统信息安全的标准，包括 GB/T 20008-2005《信息安全技术 操作系统安全评估准则》、GB/T20272-2019《信息安全技术 操作系统安全技术要求》、GB/T 30284- 2020《移动通信智能终端操作系统安全技术要求》、GB/T   34976-2017《信息安全技术   移动智能终端操作系统安全技术要求和测试评价方法》、GBT 34976-2017《信息安全技术 移动智能终端操作系统安全技术要求和测试评价方法》、GB/T 36630.3-2018《信息安全技术 信息技术产品安全可控评价指标 第3 部分：操作系统》等。

其中 GB/T20272-2019 将对操作系统的安全技术要求分为 5 个保护级，即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级，要求的内容也逐渐由弱到强，包括自主访问控制、强制访问控制、标记、数据流控制、身份鉴别、用户数据保密性、安全审计、用户数据完整性、可信路径等。其主要针对的是传统（或通用）操作系统，其中的技术要求并不是都能适合汽车领域的情况。

GB/T34976-2017 的安全技术要求包括安全功能要求和安全保障要求两大部分，其中安全功能要求包括身份鉴别、访问控制、安全审计、数据安全、存储介质管理、应用软件安全管理、用户策略管理、运行安全保护、升级能力、超时锁定或注销、运行监控、可靠时钟、可用性等（还提出了有关网络安全保护、资源利用（系统配置安全）、可信操作、内核安全、调用保护、入侵防范、恶意代码防范、内核代码安全等要求）。安全保障要求包括对开发、指导性文档、生命周期支持、测试、脆弱性评定等。

总体来看，TC260 尚未专门针对汽车领域操作系统开展标准化工作。另外，TC260 于 2020 年发布首个汽车电子系统网络安全推荐性标准 GB/T38628-2020《信息安全技术 汽车电子系统网络安全指南》，该标准主要针对汽车信息安全生命周期过程提出了要求，其中涉及汽车软件开发中的框架性安全要求， 适用于车控及车载系统的基础软件。

(2) 汽标委（TC114）

汽标委于 2020 年启动开展了一系列有关车用操作系统的标准研究项目，于 2021 年 7 月发布了《车控操作系统架构研究报告》、《车控操作系统总体技术要求研究报告》、《车载操作系统架构研究报告》、《车载操作系统总体技术要求研究报告》等 4 份研究报告，其中对车控、车载操作系统的信息安全要求均提出了标准化要求。车控操作系统的信息安全要求主要包括可信执行环境、密码应用支撑、访问控制与身份鉴别、车内总线安全通信、安全外部通信、安全可信启动、系统安全、应用安全、数据安全、安全监控与防御、面向业务的安全支撑机制与功能等。鉴于车载操作系统内核功能的复杂性，要求车载操作系统应构建完 整的信息安全防护机制，降低内核漏洞对系统安全的危险，强化内核的安全防护能力。系统应具备多域 隔离、一致性检查、安全启动、安全存储、安全输入、加密文件系统等技术，应具备系统镜像完整性及合法性验证机制、系统镜像回退功能。汽标委目前已启动了《智能网联汽车 车控操作系统技术要求》、《智能网联汽车 车载操作系统技术要求》标准的研制工作，其中均包含信息安全方面的要求。

2.  国际相关标准

(1) AUTOSAR

AUTOSAR（是 Automotive Open System Architecture 的简称）组织于 2003 年 7 月联合建立，旨在为汽车电气 / 电子构架开发一套开放的行业标准。在发布 4.2.2 版本后，AUTOSAR 的标准体系分为基础标准（Foundation）、经典平台（classic platform）、自适应平台（adaptive platform）和符合性测试（Acceptance Tests）等四个部分。在AUTOSAR 经典平台中，以硬件安全模块为基础，提供了密码服务方面的层次架构，使得 AUTOSAR 经典平台的服务分为四个方面：系统、存储、密码和通信。同其他服务一样，密码服务分为三个层次：密码服务管理、密码硬件抽象和密码驱动程序。

基于密码服务，AUTOSAR 经典平台提供了安全通信组件 SecOC，在协议数据单元层面为关键数据提供可行、具有资源有效特性的真实性机制。SecOC 与 AUTOSAR 的通信系统中的 PDU Router 协同， 以处理安全相关协议数据单元的内容。

另外，针对 V2X 的通信安全，AUTOSAR 标准也提出了一系列的信息安全要求，包括入侵检测管理系统（IDSM）、消息签名的加密验证、端到端安全、证书管理、应用程序安全相关机制等。

注：本章有关 AUTOSAR 的内容是 AUTOSEMO 会员单位的经验解读，仅供行业参考。

(2) ISO/SAE 21434

ISO/SAE 21434《道路车辆 信息安全工程》中对汽车软件开发的信息安全过程提出了要求，相关要求适用于汽车基础软件开发。

(3) UN/WP.29

UN/WP.29 于 2021 年发布了有关汽车网络安全、软件升级的 2 项法规 R155、R156，均涉及对汽车基础软件的相关内容，包括防止非特权用户越级访问权限、软件更新、代码安全、密码安全、软件错误或漏洞等。

(4) 其他

NHTSA（美国高速公路交通安全管理局）于 2020 年发布了更新版的《Cybersecurity Best Prac- tices for the Safety of Modern Vehicles》，对于密码、诊断、车辆内部通信安全、事件日志、网络端口 / 协议 / 服务、外部通信、路由变更、软件更新等方面内容；ENISA（欧盟网络安全局）于 2019 年底发布的《ENISA GOOD PRACTICES FOR SECURITY OF SMART CARS》对于安全检测、网络和协议保护、软件信息安全、云端信息安全、密码技术、访问控制等提出了要求。ASPICE   标准也对汽车信息安全制定了各个相关的过程域及控制办法。

4.2.2  信息安全软件架构

鉴于汽车基础软件系统功能的复杂性，汽车基础软件系统应构建完整的信息安全防护机制，在自身的信息安全保证完整的安全防护，例如系统内核完整性保护、安全隔离、安全启动、安全监测，同时还需要为上层的业务应用提供信息安全的防护支撑能力，包括加密安全服务、安全存储、文件加密、数据隐私及加密，降低漏洞对系统安全的危险，强化汽车基础软件系统的安全防护能力。基础软件信息安全架构如下图 4.2-2 所示：

图4.2-2 基础软件信息安全架构

1.  安全服务层

(1) 安全存储服务

密钥管理模块需要与硬件能力结合来进一步提升密钥存储的安全性。

(2) 安全通信防护

系统可使用非对称加密技术、鉴权技术、证书管理和认证技术、安全协议技术、防火墙技术、VPN  等技术，对系统通信进行信息安全防护。

(3) 系统服务安全防护

系统服务可通过混淆、加壳防护、防反编译、安全应用管理器等技术进行信息安全防护。

(4) 数据隐私服务

提供密钥管理服务和文件级加密服务，提高车辆数据隐私的安全性，提升本机对数据分区不同文件的加密保护。

2.  安全防护层

(1) 安全监控

系统应提供安全日志、入侵检测和入侵防御等方面的安全监控功能，用于发现外部的恶意入侵，并提供阻断能力。

(2) 内核完整性保护

内核完整性保护包括静态完整性保护和运行时完整性保护，需要确保内核不被篡改或在被恶意篡改后能够被迅速发现。

(3) 系统安全控制

系统可使用访问控制机制，依据安全策略控制用户、进程等主体对文件、数据库等客体进行访问，禁止不必要的服务、非授权的远程接入服务、限制用户提权操作，删除或禁用无用账号。

(4) 密码安全模块

密码安全模块通过固化在只读存储中的根证书和 CA（Certification Authentication）平台进行交互， 确认报文真实可靠，对外部进入的软件升级包、控制命令、推送消息等进入的内容进行验证，防止其被篡改，能够为总线通讯、网络连接、数据存储等其他模块提供加密、验签、签名和密钥存储、证书管理等功能。

(5) 安全隔离

系统需提供安全隔离功能，将系统内核与外部的各种相关驱动进行物理和逻辑隔离，以防止从存储空间中读取或者篡改应用空间内的数据。

(6) 安全启动

系统应利用可信代码的信任链，从引导代码开始，逐级校验各阶段镜像的完整性，防止系统运行的各级代码被恶意篡改。