腾讯安全科恩实验室最初主要针对汽车信息安全检测,做安全方面的攻防研究,针对汽车中的嵌入式系统、车载固件以及各类汽车场景中所涉及对象都具备安全攻防经验。
2024年6月27日,在2024第三届中国车联网安全大会上,腾讯安全科恩实验室高级产品专家冯河清介绍,目前科恩实验室针对汽车强标的车联网合规检测平台的方案可以覆盖强标中的合规要求都能够进行覆盖,此外还可以针对智能网联汽车上各类硬件、操作系统、固件等对网络通讯、网络数据安全等多维度检测。
冯河清|腾讯安全科恩实验室高级产品专家
以下为演讲内容整理:
强标法规落地的挑战
科恩的工作主要聚焦于2026年将发布的强制性标准,以及科恩实验室与天检合作的项目。在此,我想分享我们一直以来追求的的目标,以及我们期望与汽车检测机构、安全厂商共同推行的标准化解决方案。
首先,行业首批推出了五个推荐性国家标准。自2021年至今,这些标准已针对汽车零部件或OTA升级等方面制定了相关规定。同时,这些标准也涵盖了安全检测方法及各类工具的使用规范。
这些标准的制定工作从2021年开始,至今仍在持续进行中,涉及众多复杂内容。特别是在2024年4月和2023年7月,发布了重要的征求意见稿。各家检测机构、车厂、主机厂等对于强制性标准中的具体场景和对象存在不同看法,出行行业迫切需要对此进行统一的收敛。
强制性标准对汽车监测项的要求非常细致。它涵盖了汽车软硬件、特定对象、软件服务、TSP、经典蓝牙、各种网关内的ECU,以及OTA升级、摄像头、ADS和车型智能算法等多个方面。
图源:腾讯安全科恩实验室
为满足这些细致的规定,检测机构希望推进更为严格的国家标准。在与天检合作推动强制性标准落地的过程中,我们发现尽管法律法规的最后一章提供了测试方法,但具体细节并不清晰。虽然给出了部分检测手段和测试方式,但未详细阐述检测步骤、所需工具及其使用方法。
以往,大家依据 R155、R156标准进行检测,每辆车需耗大量时间,且由高级汽车软件工程师负责。并且针对不同车企和车型的检测工作耗时且繁琐。我们的目标是实现检测工作的自动化、流程化和工程化,以更有效地管理不同车企的多款车型,包括未上市车型的检测工作。此外,强制性标准中还涉及CSMS管理体系。
另外,我们还需要在检测报告中体现一些非技术性的检测要求和管理体系。为解决在推行国家标准过程中遇到的问题,我们将每条检测要求转化为具体的测试用例。这包括针对汽车上的特定场景和对象,明确使用的工具和实现的效果,以及最终达到的结果是否符合强制性标准的检测要求。这一过程中,我们将使用多种工具,如 KSAS、嵌入式系统安全审计、固件分析、数据抓包工具等,并将这些工具整合成一个系统化、工程化的解决方案。
最后,我们还需要对传统测试项目进行改进。这涉及对不同角色的数据权限、人员决策权限以及可用工具进行详细划分,包括车企、检测人员和汽车安全测试人员等。
科恩汽车信息安全检测全覆盖解决方案
科恩在汽车信息安全检测领域有着丰富的经验,专注于嵌入式二进制文件的安全攻防研究。我们针对汽车中的嵌入式系统、车载固件等进行了深入研究,并积累了丰富的经验。我们将这些经验转化为实用的工具,可应用于各种剪裁后的系统,包括RTOS、QNX以及鸿蒙等等,这些都是车载应用的基础操作系统。此外,我们还关注智能座舱、域控制器中的固件安全,以及WiFi和蓝牙的安全性,这些都是汽车供应链安全和强制性标准中提及的重要方面。我们的工具能够帮助用户和检测机构准确识别漏洞风险和出海合规风险。
针对风险合规和检测强制标准,我们已有相应的覆盖范围。除此之外,面对整个强制标准,我们还能做什么呢?我们可以覆盖硬件操作系统的应用、网络通讯以及网络数据安全等多个方面的检测。这些检测涉及各种工具,甚至需要人工操作,例如针对USB端口、OBD等的检测。在需要人工介入的情况下,我们应如何操作,又有哪些步骤和工具可以协助检测人员迅速完成整车的信息安全测试呢?
图源:腾讯科恩实验室
在我们的整体解决方案中,我们集成了多样化的工具。目前,我们的平台能够将这些检测工具串联起来,车企仅需预设一些参数即可。
例如,若车上的WiFi不允许存在多余端口,车企在送检时可将白名单端口信息设置于平台内。一条测试用例从开始检测到最终结果出炉,包括测试用例是否通过、中间过程的截图、检测数据以及日志的展示等,均可由平台自动化完成。这极大地提高了工具的使用效率和人力资源的利用率。
目前,我们已拥有300多条测试用例,能够全面覆盖整车信息安全强制标准中的安全测试要求。其中,自动化的比例约占30%,半自动化约占40%。随着与天检的进一步合作,我们将不断提升这一比例。因为接入的工具越多,我们整个平台的测试以及强制标准的检测报告就越能实现全自动化输出。
强标技术检测要求与车联网合规检测平台的结合
在技术部分的后续实施中,我们会提供一个PC端和APP端。针对某些只能在室外检测的车辆,检测人员可以直接通过PC连接到车辆上,建立局域网进行测试,并将数据回传到合规检测平台迅速生成报告。这突破了标准测试对场地的限制。
关于工具的调用引擎和测试用例的更新,我们目前的测试用例是基于科恩自2016年以来在汽车整车信息安全测试中的专家经验和测试方法步骤总结而成的。同时,这些用例也经过了市场和各个检测机构的逐一验证和更新。
图源:腾讯安全科恩实验室
在科恩针对智能网联汽车的国强标所提供的方案的落地实践上离不开各位同行的关照。在此,我想对各位同行说,我们目前推行整个强制标准的监测工作,绝非一家能够独立完成,而是需要大家共同创建和完善这个生态,以便能够真正落实强制标准的检测。这包括各种工具、测试方法和经验的共享。我们希望在天检等权威机构的带领与推进下,够针对强制标准的第五到第十章的测试用例、测试要求和测试方法,在场景库、方法库和工具库方面共同建立完整的生态,以真正落实强制标准。
我们期望与各家机构共同落实整个的测试工具场景到方案中,以真正将强制标准落地,并使其在市场和各家车企中得以推行,实现标准化和工程化。我们的目标是建立一个真正为中国车企服务的信息安全体系检测体系,这是科恩与天检共同致力于实现的目标。
(以上内容来自腾讯安全科恩实验室高级产品专家冯河清于2024年6月27日在2024第三届中国车联网安全大会上发表的《国强标下智能网联汽车信息安全检测解决方案》主题演讲。)