賈世準(zhǔn) 麥松濤 李 冬 陳志遠(yuǎn) 肖 靜

1(工業(yè)和信息化部電子第五研究所 廣州 510610)2 (廣州小鵬汽車科技有限公司 廣州 510640)

從汽車發(fā)展趨勢(shì)方面看，當(dāng)前世界汽車產(chǎn)業(yè)有2個(gè)重要發(fā)展方向：智能網(wǎng)聯(lián)化和動(dòng)力電動(dòng)化.“十三五”期間，從“汽車+互聯(lián)網(wǎng)”的驅(qū)動(dòng)方面看，智能網(wǎng)聯(lián)汽車將伴隨“中國(guó)制造2025”有長(zhǎng)足的發(fā)展[1].在智能網(wǎng)聯(lián)汽車方面，雖然我國(guó)基礎(chǔ)薄弱、起步稍晚，但存在2方面優(yōu)勢(shì):一是中國(guó)消費(fèi)者對(duì)智能產(chǎn)品的偏好；二是互聯(lián)網(wǎng)產(chǎn)業(yè)優(yōu)勢(shì).發(fā)展智能網(wǎng)聯(lián)汽車是一個(gè)實(shí)現(xiàn)彎道超車、追趕世界先進(jìn)水平的機(jī)會(huì).

智能網(wǎng)聯(lián)汽車與傳統(tǒng)汽車的差別關(guān)鍵在于基于軟件的智能化應(yīng)用與服務(wù).從技術(shù)角度看，智能網(wǎng)聯(lián)汽車所采用的關(guān)鍵技術(shù)，包括車控終端技術(shù)、定位技術(shù)、環(huán)境感知技術(shù)、智能決策技術(shù)、無線通信技術(shù)、語音識(shí)別技術(shù)、互聯(lián)網(wǎng)技術(shù)、移動(dòng)計(jì)算技術(shù)等[2-4]；從核心價(jià)值看，車聯(lián)網(wǎng)最具價(jià)值的是應(yīng)用信息服務(wù)；從面臨的挑戰(zhàn)看，車聯(lián)網(wǎng)面臨著諸多信息安全風(fēng)險(xiǎn)[5]，這些無一不是與軟件息息相關(guān).軟件是智能網(wǎng)聯(lián)汽車技術(shù)發(fā)展的核心與關(guān)鍵，汽車軟件的質(zhì)量是保障智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康發(fā)展的保證.

因此，本文將圍繞智能網(wǎng)聯(lián)汽車軟件質(zhì)量與安全問題，闡述開展安全性與可靠性測(cè)評(píng)的關(guān)鍵技術(shù)與方法，并提出相應(yīng)的解決方案.

1 智能網(wǎng)聯(lián)汽車信息安全風(fēng)險(xiǎn)分析

隨著汽車電子系統(tǒng)的日漸豐富，在為用戶提供更好便利的同時(shí)，也帶來了一系列的信息安全風(fēng)險(xiǎn)，黑客通過汽車電子系統(tǒng)非法操控汽車的案例屢見不鮮.從目前車聯(lián)網(wǎng)的發(fā)展趨勢(shì)來看，以V2X為代表的通信系統(tǒng)已經(jīng)成為車輛智能化、網(wǎng)聯(lián)化的一個(gè)重要標(biāo)志.但隨著更多車輛接口的開放和更多接入方式的引入，車輛信息安全又成了一個(gè)重要的問題[6].因此一旦智能網(wǎng)聯(lián)汽車電子系統(tǒng)出現(xiàn)缺陷，將導(dǎo)致嚴(yán)重的信息泄露、財(cái)產(chǎn)損失、行車安全等風(fēng)險(xiǎn).

2 智能網(wǎng)聯(lián)汽車軟件安全性測(cè)試關(guān)鍵技術(shù)

通過綜合分析，智能網(wǎng)聯(lián)汽車信息安全風(fēng)險(xiǎn)主要存在于以下3個(gè)方面：1)汽車總線及網(wǎng)關(guān)系統(tǒng)；2)汽車操作系統(tǒng)及應(yīng)用程序；3)V2X網(wǎng)絡(luò).因此針對(duì)智能網(wǎng)聯(lián)汽車信息安全的測(cè)試應(yīng)著重針對(duì)以上3個(gè)方面展開.

2.1 總線及網(wǎng)關(guān)系統(tǒng)安全測(cè)試

目前汽車采用的總線類型主要有：CAN總線、LIN總線、MOST總線、FlexRay總線等，通過上述總線連接動(dòng)力系統(tǒng)、診斷系統(tǒng)、舒適系統(tǒng)、信息系統(tǒng)和儀表系統(tǒng)等，各系統(tǒng)的通信數(shù)據(jù)、傳輸速度和成本限制等實(shí)際要求不盡相同.而總線網(wǎng)關(guān)能實(shí)現(xiàn)子網(wǎng)內(nèi)部通信的隔離, 有效降低網(wǎng)絡(luò)流量; 支持子網(wǎng)間通信信息的協(xié)議轉(zhuǎn)換, 路由轉(zhuǎn)發(fā), 以實(shí)現(xiàn)子網(wǎng)間的通信; 并能在各類總線的基礎(chǔ)上實(shí)現(xiàn)網(wǎng)路控制、差錯(cuò)控制和實(shí)時(shí)控制等功能.總線網(wǎng)關(guān)使車身系統(tǒng)實(shí)現(xiàn)真正的網(wǎng)絡(luò)化, 使汽車更方便、高效地行駛.

對(duì)總線和網(wǎng)關(guān)開展安全測(cè)試，應(yīng)依據(jù)測(cè)試對(duì)象的真實(shí)運(yùn)行環(huán)境和測(cè)試方法實(shí)施的需求，搭建總線安全HIL仿真測(cè)試環(huán)境，綜合采用代碼逆向工程、總線指令分析、ECU重刷寫、軟件行為監(jiān)控等關(guān)鍵技術(shù)，解決總線數(shù)據(jù)量大、指令加密等難點(diǎn)，對(duì)總線和網(wǎng)關(guān)的體系結(jié)構(gòu)進(jìn)行分析，識(shí)別危險(xiǎn)源和脆弱點(diǎn)，綜合分析存在的安全風(fēng)險(xiǎn)，從標(biāo)識(shí)和鑒別、通信保密性、審計(jì)、用戶數(shù)據(jù)保護(hù)等方面進(jìn)行安全測(cè)試.

2.2 汽車操作系統(tǒng)及應(yīng)用程序測(cè)試

目前，谷歌和蘋果公司都已推出各自的汽車操作系統(tǒng)，國(guó)內(nèi)的小米、魅族、騰訊等公司基于安卓操作系統(tǒng)也推出了車載系統(tǒng).因安卓操作系統(tǒng)開放性強(qiáng)、兼容性好，對(duì)應(yīng)的APP研發(fā)、創(chuàng)新也多，因此在汽車領(lǐng)域市場(chǎng)占有率很高.

而大量的終端軟件和應(yīng)用也意味著大量的安全風(fēng)險(xiǎn)，當(dāng)前情況下有相當(dāng)一部分車機(jī)是通過總線接入車載網(wǎng)絡(luò)系統(tǒng)，一旦車載應(yīng)用程序感染病毒，將有可能對(duì)車輛總線及其他控制單元造成安全威脅，導(dǎo)致行車安全事故等嚴(yán)重后果.

針對(duì)上述問題，采用靜態(tài)分析技術(shù)、動(dòng)態(tài)分析技術(shù)、惡意代碼特征分析技術(shù)等進(jìn)行安全測(cè)試.

2.2.1應(yīng)用軟件靜態(tài)分析技術(shù)

車載應(yīng)用軟件靜態(tài)分析技術(shù)從源代碼的角度出發(fā)，利用代碼靜態(tài)分析技術(shù)，收集產(chǎn)生可疑背景流量、竊取用戶隱私數(shù)據(jù)等惡意行為的特征，并有針對(duì)性地建立檢測(cè)規(guī)則.通過研究智能網(wǎng)聯(lián)汽車操作系統(tǒng)(如Android Auto)平臺(tái)上應(yīng)用程序惡意代碼的形式化描述方法，構(gòu)建移動(dòng)智能終端應(yīng)用程序的惡意代碼檢測(cè)模型；在此模型基礎(chǔ)上，結(jié)合對(duì)Andriod應(yīng)用程序字節(jié)碼反編譯技術(shù)，研究針對(duì)高級(jí)面向?qū)ο笳Z言的源代碼自動(dòng)化惡意行為檢測(cè)技術(shù).

2.2.2應(yīng)用軟件動(dòng)態(tài)分析技術(shù)

應(yīng)用軟件動(dòng)態(tài)分析技術(shù)通過對(duì)車載應(yīng)用程序運(yùn)行時(shí)行為進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)惡意程序?qū)σ苿?dòng)智能終端語音通道、短信通道、網(wǎng)絡(luò)通道的惡意操作，以及訪問軟硬件系統(tǒng)進(jìn)行惡意操控和破壞.在監(jiān)測(cè)過程中記錄待測(cè)程序的各項(xiàng)運(yùn)行時(shí)行為.一方面，利用統(tǒng)計(jì)數(shù)據(jù)對(duì)程序的安全性進(jìn)行評(píng)估，評(píng)估結(jié)果可為靜態(tài)安全分析技術(shù)中對(duì)惡意程序的威脅定義提供依據(jù)；另一方面，監(jiān)測(cè)程序運(yùn)行時(shí)行為使得惡意行為的快速發(fā)現(xiàn)和防御成為可能，提高時(shí)效性，可進(jìn)一步加強(qiáng)和鞏固程序的安全性評(píng)估體系.在系統(tǒng)設(shè)計(jì)方面，研究程序運(yùn)行時(shí)行為監(jiān)測(cè)模型，設(shè)計(jì)有效的程序運(yùn)行時(shí)行為監(jiān)測(cè)機(jī)制，運(yùn)用代碼嵌入、模塊化組織、分層功能劃分等技術(shù)構(gòu)建監(jiān)測(cè)框架，提高對(duì)軟件運(yùn)行時(shí)行為監(jiān)測(cè)的豐富性和準(zhǔn)確性.

對(duì)可能產(chǎn)生背景流量和敏感信息泄露的網(wǎng)絡(luò)連接、信息發(fā)送等行為進(jìn)行監(jiān)測(cè)，并研究建立程序運(yùn)行時(shí)行為監(jiān)測(cè)模型，設(shè)計(jì)有效的程序運(yùn)行時(shí)行為監(jiān)測(cè)機(jī)制，可有效地檢測(cè)車載終端軟件在運(yùn)行時(shí)是否會(huì)造成用戶數(shù)據(jù)泄露等問題，從而提高車載終端應(yīng)用軟件的安全性.

2.2.3惡意代碼特征分析技術(shù)

目前，移動(dòng)惡意代碼的六大惡意行為是惡意扣費(fèi)、系統(tǒng)破壞、隱私竊取、流氓軟件、后門軟件、訪問不良信息.這些惡意行為在絕大多數(shù)情況下都沒有經(jīng)過用戶同意或授權(quán)或違反了國(guó)家相關(guān)法律法規(guī).據(jù)統(tǒng)計(jì)，80%的移動(dòng)惡意代碼至少存在2種或2種以上惡意行為.

惡意代碼為了實(shí)現(xiàn)惡意功能，在靜態(tài)結(jié)構(gòu)上存在與惡意目的相關(guān)的特性，特別是關(guān)于文件大小、名稱、擴(kuò)展名、目錄位置、版本信息、時(shí)間信息、二進(jìn)制結(jié)構(gòu)、形態(tài)、是否加殼、API 調(diào)用等多種靜態(tài)特征，通過進(jìn)行靜態(tài)文件挖掘分析，可以達(dá)到一定程度上的判定分析[7].

惡意代碼通過自啟動(dòng)行為，保證在系統(tǒng)重啟時(shí)能夠隨系統(tǒng)重新運(yùn)行，以達(dá)到在系統(tǒng)中長(zhǎng)期生存的目的.通常來說，惡意代碼所常使用的自啟動(dòng)方式包括以下幾種：自啟動(dòng)目錄、系統(tǒng)配置文件啟動(dòng)及登錄(退出)時(shí)自動(dòng)運(yùn)行程序等其他啟動(dòng)方式[8].

惡意代碼在目標(biāo)系統(tǒng)中運(yùn)行后，在目標(biāo)系統(tǒng)的運(yùn)行空間中總會(huì)存在與之對(duì)應(yīng)的進(jìn)程、線程信息.這些信息對(duì)于惡意代碼的隱藏及長(zhǎng)期存在造成了障礙.為了不被目標(biāo)系統(tǒng)管理員發(fā)現(xiàn)，惡意代碼制作者通常使用各種進(jìn)程隱藏技術(shù)將惡意代碼的運(yùn)行狀態(tài)進(jìn)行隱蔽.常用的技術(shù)包括下面幾種：進(jìn)程列表隱藏、非進(jìn)程隱藏方式(特洛伊陷阱、遠(yuǎn)程線程注入、API HOOK等).

在任何一個(gè)惡意代碼檢測(cè)與分析系統(tǒng)中，技術(shù)模塊和分析模塊是2個(gè)重要組成部件.其中，技術(shù)模塊用于提取分析模塊所需要的數(shù)據(jù)；而分析模塊則對(duì)技術(shù)模塊收集的數(shù)據(jù)進(jìn)行分析，并基于一些事先定義的規(guī)則或機(jī)器學(xué)習(xí)的方法進(jìn)行判定，從而決定一個(gè)程序是不是屬于惡意代碼以及屬于哪一類家族的惡意代碼.

通常，技術(shù)模塊搜集的數(shù)據(jù)可分為4類內(nèi)容：第一，惡意代碼的靜態(tài)結(jié)構(gòu)性內(nèi)容，一般這些數(shù)據(jù)通過惡意代碼的靜態(tài)文件內(nèi)容分析獲取；第二，惡意代碼的惡意性體現(xiàn)在一系列的惡意操作行為，這些惡意行為數(shù)據(jù)組成了可用于分析研究的惡意代碼行為集合；第三，惡意代碼在執(zhí)行其惡意行為時(shí)會(huì)和操作系統(tǒng)發(fā)生一系列的交互行為，必定會(huì)在操作系統(tǒng)狀態(tài)的變化上有一些反映，因此這些數(shù)據(jù)可以從代碼運(yùn)行前后操作系統(tǒng)環(huán)境及狀態(tài)的變化中提取；第四，惡意代碼執(zhí)行時(shí)的網(wǎng)絡(luò)通信特征，一般這些數(shù)據(jù)通過抓取網(wǎng)絡(luò)數(shù)據(jù)包獲取.

根據(jù)技術(shù)模塊所采用的不同數(shù)據(jù)收集技術(shù)，對(duì)應(yīng)的檢測(cè)及分類技術(shù)也可劃分為兩大類：靜態(tài)分析和動(dòng)態(tài)分析技術(shù).靜態(tài)分析又可以劃分為基于特征碼掃描的檢測(cè)技術(shù)、啟發(fā)式掃描技術(shù).動(dòng)態(tài)分析技術(shù)又可以分為基于行為監(jiān)控的技術(shù)、基于函數(shù)調(diào)用的檢測(cè)分類技術(shù)、基于主機(jī)異常的檢測(cè)技術(shù).

通過上述靜態(tài)分析和動(dòng)態(tài)分析技術(shù)相結(jié)合，可以高效地識(shí)別出車載終端惡意代碼，為避免惡意代碼造成危害，提供有效的幫助.

2.3 V2X網(wǎng)絡(luò)安全測(cè)試技術(shù)

通過搭建基于真實(shí)場(chǎng)景的V2X網(wǎng)絡(luò)系統(tǒng)半實(shí)物仿真環(huán)境，開展V2X網(wǎng)絡(luò)安全測(cè)試，以及V2X終端應(yīng)用APP安全加固，以保證V2X網(wǎng)絡(luò)的安全可信.

2.3.1基于真實(shí)場(chǎng)景驅(qū)動(dòng)的V2X半實(shí)物仿真技術(shù)

通過使用移動(dòng)地圖創(chuàng)建基于真實(shí)道路拓?fù)涞默F(xiàn)場(chǎng)場(chǎng)景，自主創(chuàng)建和設(shè)定包含多種仿真車載單元和路側(cè)單元的交通狀況，能夠用于模擬多種V2X應(yīng)用場(chǎng)景.

通過搭建V2X半實(shí)物仿真環(huán)境，將真實(shí)場(chǎng)景引入實(shí)驗(yàn)室，能夠大幅縮減與場(chǎng)地測(cè)試相關(guān)聯(lián)的成本和時(shí)間.

2.3.2基于網(wǎng)絡(luò)滲透測(cè)試的V2X安全性測(cè)試技術(shù)

基于滲透測(cè)試的主動(dòng)攻擊測(cè)試技術(shù)，包括網(wǎng)絡(luò)掃描、中間人攻擊、重放攻擊、DDoS攻擊、泛洪攻擊等，從攻擊者的角度，對(duì)V2X系統(tǒng)的弱點(diǎn)、技術(shù)缺陷或漏洞進(jìn)行主動(dòng)分析，利用黑客技術(shù)進(jìn)行攻擊測(cè)試，驗(yàn)證V2X系統(tǒng)的安全性.

利用V2X虛假信號(hào)源定位、虛假通信客體精準(zhǔn)識(shí)別等技術(shù)，防止發(fā)送垃圾信息、利用假冒緊急車輛信號(hào)特征獲得優(yōu)先通行的特權(quán)等不法行為.

2.3.3V2X終端應(yīng)用APP加固技術(shù)

V2X終端應(yīng)用APP往往很容易遭受攻擊，或者面臨被破解、反編譯、二次打包等威脅.因此，通過加密算法、安全加載技術(shù)、防篡改保護(hù)、防調(diào)試保護(hù)和防逆向保護(hù)等方案對(duì)V2X終端應(yīng)用進(jìn)行保護(hù)，可有效防止攻擊者使用或者篡改V2X的交互信息，保護(hù)智能網(wǎng)聯(lián)汽車的安全.

3 總 結(jié)

隨著5G時(shí)代的日益臨近及人工智能技術(shù)的不斷發(fā)展，智能網(wǎng)聯(lián)汽車必將成為滾動(dòng)的數(shù)據(jù)中心.汽車形態(tài)的不斷變化將對(duì)人們出行、消費(fèi)、娛樂等生活方式產(chǎn)生革命性的影響.我國(guó)作為汽車生產(chǎn)和消費(fèi)大國(guó)，開展智能網(wǎng)聯(lián)汽車軟件安全性測(cè)試技術(shù)的研究，勢(shì)必將提升行業(yè)整體質(zhì)量水平，推動(dòng)汽車行業(yè)的產(chǎn)業(yè)升級(jí).