汽车软件安全实践

——稳如泰山·值得托付——

近年来，以智能化、 联化、电动化、共享化为代表的汽车四化，已成为汽车行业发展不可避免的趋势，智能 联汽车已经进入迅速发展的轨道。“软件定义汽车”已经成为业内人士的共识，智能 联汽车也将同时面临物理空间安全和 络空间安全的多重挑战。

汽车软件质量是智能 联汽车产业健康发展的基本保障，针对智能 联汽车软件面临的各类攻击愈演愈烈。黑客利用各种反编译及逆向技术，几乎可以分析汽车的任意关键部件以达成对功能安全、隐私、财产和控制的影响。汽车软件安全面临来自软件自身安全、恶意代码及软件侵权三大类威胁。

汽车信息安全应始于规划阶段

汽车信息安全实践应始于规划阶段，在系统需求阶段导出安全需求，在系统设计阶段将安全需求转化为功能点。即需要在规划阶段就将信息安全考虑进去，通过TARA罗列出潜在的威胁和风险，将威胁和风险分级，通过ATA去分析可能的攻击路径，在系统需求阶段将这些攻击路径转化成安全需求并为这些需求优先级排列，在进行系统设计时，将描述的安全需求转化为功能点，依据需求优先级设置开发优先级。

汽车软件生命周期安全并非一朝一夕可以建立，而是需要持续的检查以及改进，并且在特定部件的软件开发过程考虑与Automotive SPICE等流程规范的相互融入配合。

汽车软件安全作为智能 联汽车的重要组成部分，相较于传统软件安全，其安全性除了要满足传统信息安全应满足的保密性、完整性、可用性，还应当从汽车软件的全生命周期安全出发，考虑可认证性、授权、可审计性、抗抵赖性、可控性、可存活性及隐私性等多种安全属性。

汽车软件安全防护技术助力智能 联汽车安全发展

汽车软件安全是一个包含通信、云平台和外部新兴生态系统的整体生态安全防护，整个生态系统的 络安全状态是时刻发生变化的，除了做好定期的安全检测外，还需要通过在开发阶段实施对应的保护技术。目前已经大量应用在汽车软件保护场景的技术有不同的分支，主要包括加密、防篡改、软件水印、软件多样化、反逆向技术、虚拟机、基于 络的保护和基于硬件的保护等。

加密：加密是指对软件的代码进行加密保护，使用代码前需要进行解密操作，即通常意义上理解的“加壳”，是一种应用最广的软件保护技术。“加壳”技术虽然源于加密技术但是后来由于其使用的广泛性，逐渐自成一派，而且综合使用了其它各种软件保护技术，可认为是软件保护技术的一种应用。

软件防篡改：是指在软件中加入一些特殊的处理，使得其他人试图修改软件时，软件做出拒绝执行、随机崩溃或者删除自身文件等保护软件的行为。防篡改算法要完成两个基本任务，第一是检查程序是否被修改，第二是在发现代码被修改时执行相应的反制措施。防篡改技术在防止软件被盗版的过程中发挥了重要作用。

软件水印：是指在软件中嵌入唯一的标识以证明开发者对软件版权的所有权，从而防止因软件被盗版损害开发者利益。

软件多样化：是指一个软件可以生成不同的副本，让每个副本都各不相同，以防止攻击者破解了软件的一个副本并将其应用于其它副本，防止利用已知的漏洞进行攻击或者通过注册机进行盗版。

反逆向技术：是指通过各种方式使攻击者无法获取和逆向程序的代码，又可进一步细分为反调试、代码混淆、自修改代码、代码分离等。

代码混淆：主要目的是保护软件中的一些重要信息不被轻易获得，通过一系列的混淆方法，使非软件开发方通过逆向工程获得软件源代码的难度增大、时间增长，从而达到保护软件结构和数据的目的。代码混淆对逆向工程的抵抗作用明显，作为加密技术的补充和发展，受到越来越多的关注。它的出现使得攻击者难以通过IDA等工具反汇编、反编译逆向分析出程序的源码或中间码，从而获得程序的逻辑和算法。

虚拟化：虚拟化保护方法属于自修改代码的一种，近年来逐渐发展为一条独立的软件保护方法分支。虚拟机保护就是将某段程序编译成具有特定意义的一段代码，这段代码不能在目标机器上直接执行，要通过解释器模拟执行。虚拟机代码在可执行文件中只是一块数据，反汇编工具是不能反编译虚拟机代码的，因为虚拟机代码是在运行过程中解释执行的。解密者分析虚拟机的结构和执行流程，需要花费大量的时间和精力。虚拟机保护方法的局限性在于其设计机制复杂，开发成本较高，而且经过此方法保护的程序容量会大大增加，造成的时间和空间开销都很大。

反调试：是指在软件中加入各种调试器和虚拟机的探测器，一旦发现程序被调试或者在虚拟机中运行立刻采取退出或自毁等防护措施，避免程序被分析。

基于 络的保护和基于硬件的保护：具有较高的保护强度，但是严重依赖环境。目前已经有越来越多的车辆联 ，通过在线软件状态监测即可对软件的安全状态做保护或远程处理。同时基于特定硬件或独立加密硬件单元的配合，可以极大程度上提升软件篡改难度并对关键数据做加解密，甚至在此技术上构建可信计算环境。

软件保护强度和性能的开销（时间开销和空间开销）基本成反比，即保护强度越强，相应的开销也就越大。各种方法的具体实现各有不同，优化细节也各有好坏，通常而言可以认为软件保护技术的保护效果依次为：基于 络的保护和基于硬件的保护>虚拟机>动态混淆>静态混淆，企业可以根据实际情况及风险控制目标考虑具体实现方案。

随着智能 联汽车产业的持续稳步快速发展，其所衍生出来的安全威胁与安全风险与日俱增， 络安全相关法律法规标准的出台为智能 联汽车发展提供了指导性建议。梆梆安全早在2016年就开始关注智能 联汽车信息安全问题，编写发布了《智能 联汽车信息安全白皮书》《智能交通 络安全实践指南》《自动驾驶数据安全白皮书（2020）》，联合北京航空航天大学成立北航-梆梆安全研究院，开展智能 联汽车相关课题的研究，已为业内数十家汽车制造企业提供了安全解决方案，获得了行业客户好评。保障国家信息安全是汽车产业的重大战略需求，需要将汽车软件的信息安全纳入整个智能 联汽车发展的顶层架构及其发展的全生命周期中，通过多方合力共同保障汽车行业新一轮变革的顺利推进。

我就知道你“在看”