汽车网络安全工程：标准、技术与实践

本书由英伟达自动驾驶首席安全架构师撰写、ChaMd5团队翻译，聚焦智能网联时代汽车安全核心痛点。内容涵盖车载网络技术演进（CAN/LIN至5G-V2X）、硬件/软件/通信安全三维防护体系，深度解析ISO/SAE 21434标准流程，创新提出分层威胁建模框架与全生命周期安全管控方法。通过理论解析、案例剖析、实操指引，助力工程师掌握ECU级安全控制（如安全启动、加密引擎集成）、构建安全与性能平衡的架构设计思维，是汽车安全工程师从组件防护到系统防御的进阶指南。

本书通过整合有关汽车系统安全的实用主题，帮助汽车工程师获得竞争优势，从而解决行业面临的严重人才短缺问题，满足构建网络弹性系统的需求。具体来说，本书首先探讨了当前和未来的汽车架构、相关威胁以及应对这些威胁的基本技能。然后，你将探究网络安全工程方法，重点关注如何遵守现有的汽车标准，同时使整个过程更具优势。这些章节的设计既能帮助读者掌握构建安全系统的理论和实践，又能考虑到汽车工程的成本、时间和资源限制。最后几章采用实用的方法对汽车系统进行威胁建模，并教你如何在不同的汽车架构层中实施安全控制。通过阅读本书，你将学到处理任何汽车产品（从单一库到整车架构）网络安全风险的有效方法。

目　　录<br />译者序<br />前言<br />关于技术审校<br />第一部分　理解车辆电气架构的网络安全相关性<br />第1章　车辆E/E架构概述　3<br />1.1　E/E架构基本构建模块概述　4<br />1.2　ECU　4<br />1.2.1　基于MCU的ECU　5<br />1.2.2　基于SoC的ECU　7<br />1.2.3　MCU和SoC软件层内部　8<br />1.3　ECU域　12<br />1.3.1　基于燃料的动力传动<br />系统域　12<br />1.3.2　基于电动驱动的动力传动<br />系统域　12<br />1.3.3　底盘安全控制域　13<br />1.3.4　内部客舱域　13<br />1.3.5　信息娱乐与连接域　14<br />1.3.6　跨域　14<br />1.4　探索车载网络　14<br />1.4.1　CAN　15<br />1.4.2　FlexRay　16<br />1.4.3　LIN　18<br />1.4.4　UART　18<br />1.4.5　SENT　19<br />1.4.6　GMSL　19<br />1.4.7　I2C　20<br />1.4.8　以太网　21<br />1.4.9　J1939　21<br />1.5　传感器和执行器　23<br />1.5.1　传感器类型　23<br />1.5.2　执行器　26<br />1.6　探索车辆架构类型　26<br />1.6.1　高度分布式E/E架构　27<br />1.6.2　域集中式E/E架构　28<br />1.6.3　区域架构　31<br />1.6.4　商用货车架构类型　32<br />1.7　总结　32<br />1.8　问题答案　32<br />1.9　参考文献　34<br />第2章　汽车用例的网络安全基础　35<br />2.1　攻击类型探索　36<br />2.1.1　被动攻击　36<br />2.1.2　主动攻击　37<br />2.2　确定安全目标　39<br />2.2.1　完整性　40<br />2.2.2　真实性　40<br />2.2.3　机密性　41<br />2.2.4　可追责性　41<br />2.2.5　可用性　41<br />2.3　密码学在汽车用例中的应用　41<br />2.3.1　构建模块　41<br />2.3.2　单向哈希函数　45<br />2.3.3　报文认证码算法　47<br />2.3.4　随机数生成器　51<br />2.3.5　公钥加密　51<br />2.3.6　密钥管理　56<br />2.3.7　NIST定义的安全强度　60<br />2.3.8　中国的加密算法　60<br />2.3.9　后量子加密算法　60<br />2.4　安全原则　61<br />2.4.1　纵深防御　61<br />2.4.2　域分离　62<br />2.4.3　最小特权　62<br />2.4.4　最小共享　63<br />2.4.5　中介访问　63<br />2.4.6　保护性默认配置　63<br />2.4.7　异常检测　64<br />2.4.8　分布式特权　64<br />2.4.9　分层保护和零信任　64<br />2.4.10　最小可信元素　64<br />2.4.11　最小持久性　 65<br />2.4.12　保护性故障　65<br />2.4.13　持续保护　65<br />2.4.14　冗余　65<br />2.4.15　使用标准化加密　66<br />2.5　总结　66<br />2.6　参考文献　66<br />第3章　针对车辆组件的威胁态势　69<br />3.1　针对车辆外部接口的威胁　70<br />3.1.1　与后端相关的威胁　70<br />3.1.2　连接性威胁　72<br />3.2　针对E/E拓扑的威胁　80<br />3.2.1　高度分布式E/E架构　80<br />3.2.2　域集中式E/E架构　80<br />3.2.3　中央车辆计算机架构　81<br />3.3　针对车载网络的威胁　81<br />3.3.1　CAN　81<br />3.3.2　FlexRay　82<br />3.3.3　以太网　83<br />3.3.4　UDS协议　84<br />3.3.5　SAE J1939协议　85<br />3.3.6　SAE J2497（PLC4TRUCKS）　85<br />3.4　针对传感器的威胁　86<br />3.5　常见的ECU威胁　88<br />3.5.1　调试端口　88<br />3.5.2　闪存编程　89<br />3.5.3　电源和模式操控　89<br />3.5.4　篡改机器学习算法　90<br />3.5.5　软件攻击　90<br />3.5.6　密钥的泄露和篡改　91<br />3.6　总结　92<br />3.7　参考文献　93<br />第二部分　理解安全工程开发过程<br />第4章　汽车网络安全标准的现状<br />探析　97<br />4.1　主要标准　98<br />4.1.1　UNECE WP.29　98<br />4.1.2　中国的法规和标准化　106<br />4.2　次要标准　107<br />4.2.1　IATF 16949: 2016　107<br />4.2.2　汽车软件过程改进和能力<br />确定　109<br />4.2.3　可信信息安全评估交换　111<br />4.2.4　SAE J3101——道路车辆的<br />硬件保护安全　113<br />4.2.5　编码和软件标准　113<br />4.2.6　NIST加密标准　115<br />4.3　支持性标准和资源　116<br />4.3.1　MITRE通用弱点枚举　117<br />4.3.2　US DoT NHTSA 现代车辆的<br />网络安全最佳实践　118<br />4.3.3　ENISA智能汽车的安全良好<br />实践　119<br />4.3.4　SAE J3061——网络–物理车辆系统的网络安全指南　120<br />4.3.5　ISO/IEC 27001　120<br />4.3.6　NIST SP 800-160　120<br />4.3.7　Uptane　121<br />4.4　总结　121<br />4.5　参考文献　122<br />第5章　深度解析ISO/SAE 21434<br />标准　125<br />5.1　注释　126<br />5.2　ISO/SAE 21434标准概览　126<br />5.3　组织网络安全管理　128<br />5.3.1　管理系统　129<br />5.3.2　网络安全与其他学科的<br />交叉　130<br />5.3.3　工具管理　130<br />5.4　计划　131<br />5.5　采购和供应商组件的集成　133<br />5.6　概念阶段　135<br />5.6.1　项目级概念　135<br />5.6.2　网络安全概念　140<br />5.6.3　对组件级开发的影响　141<br />5.7　设计和实现　142<br />5.7.1　开发后要求　142<br />5.7.2　配置和校准　142<br />5.7.3　弱点分析　143<br />5.7.4　单元实现　143<br />5.8　验证测试　144<br />5.9　确认测试　145<br />5.10　产品发布　146<br />5.10.1　网络安全案例　146<br />5.10.2　网络安全评估　147<br />5.11　生产计划　147<br />5.12　运营与维护　148<br />5.12.1　监控　149<br />5.12.2　漏洞分析　149<br />5.12.3　漏洞管理　150<br />5.12.4　更新　151<br />5.13　生命周期终止　151<br />5.14　总结　151<br />第6章　功能安全与网络安全的<br />交互　153<br />6.1　两个标准的演进历程　154<br />6.2　统一与集成的方法　155<br />6.3　建立对功能安全和网络安全的<br />基本认知　157<br />6.3.1　理解两个领域的特性及其<br />相互依赖关系　158<br />6.3.2　功能安全与网络安全的<br />差异　158<br />6.3.3　功能安全与网络安全需求<br />之间相互依赖程度的差异　162<br />6.3.4　冲突解决　163<br />6.4　扩展功能安全和质量支持过程　163<br />6.4.1　计划　165<br />6.4.2　供应商管理　165<br />6.4.3　概念　166<br />6.4.4　设计　166<br />6.4.5　实现　167<br />6.4.6　测试和确认　167<br />6.4.7　发布　167<br />6.4.8　生产　168<br />6.4.9　生命周期终止　168<br />6.5　在概念阶段创造协同效应　168<br />6.5.1　相关项功能　168<br />6.5.2　相关项边界和操作环境　169<br />6.5.3　损害场景和危害　170<br />6.5.4　功能安全和网络安全目标　172<br />6.5.5　功能安全和网络安全需求　172<br />6.6　设计阶段寻找协同效应和冲突　173<br />6.6.1　利用功能安全和网络安全<br />机制　173<br />6.6.2　跨功能安全和网络安全的<br />自检　177<br />6.6.3　利用错误检测功能安全<br />机制　177<br />6.6.4　消除错误响应中的不一致　178<br />6.6.5　设计原则的相似之处　180<br />6.7　网络安全编码实践与功能安全<br />编码技术　181<br />6.8　测试阶段的协同效应与差异　183<br />6.9　总结　184<br />6.10　参考文献　185<br />第三部分　打造网络安全的汽车产品<br />第7章　汽车系统的实用威胁建模<br />方法　189<br />7.1　有效进行TARA的基本原则　190<br />7.1.1　资产　190<br />7.1.2　损害场景　190<br />7.1.3　威胁场景　191<br />7.1.4　攻击者模型与威胁类型　192<br />7.1.5　攻击路径　192<br />7.1.6　风险评估方法　193<br />7.1.7　风险处理　194<br />7.2　准备TARA时的常见陷阱　195<br />7.3　界定适当的TARA范围　197<br />7.4　实施方法　200<br />7.4.1　深入了解系统　200<br />7.4.2　明确假设　200<br />7.4.3　采用用例驱动的分析　200<br />7.4.4　准备上下文和数据流图　202<br />7.4.5　损害与资产——从何处<br />着手　203<br />7.4.6　通过资产类别识别资产　204<br />7.4.7　构建威胁目录　205<br />7.4.8　利用系统流程图创建攻击<br />路径　206<br />7.4.9　确定风险优先级　208<br />7.4.10　定义网络安全目标　209<br />7.4.11　选择安全控制措施和操作<br />环境需求　210<br />7.4.12　跟踪共享和接受的风险　211<br />7.4.13　审查和签字确认　212<br />7.5　DVR案例研究　212<br />7.5.1　假设　213<br />7.5.2　上下文图　213<br />7.5.3　识别资产　214<br />7.5.4　损害场景　214<br />7.5.5　网络安全需求和控制措施　215<br />7.6　总结　216<br />7.7　参考文献　216<br />第8章　车辆级网络安全控制　218<br />8.1　选择网络安全控制措施　219<br />8.2　车辆级与ECU级控制　222<br />8.3　政策控制　222<br />8.4　安全生产　223<br />8.5　安全的离线网络通信　224<br />8.5.1　Wi-Fi　224<br />8.5.2　蓝牙　225<br />8.5.3　蜂窝网络　225<br />8.6　基于主机的入侵检测　227<br />8.7　网络入侵检测与防御　229<br />8.8　域分离与过滤　230<br />8.9　传感器认证　232<br />8.10　安全软件更新　233<br />8.11　车载网络保护　235<br />8.11.1　CAN报文认证　235<br />8.11.2　以太网　236<br />8.12　诊断能力的安全保障　237<br />8.12.1　通过UDS 0x27实现安全<br />访问控制　238<br />8.12.2　通过UDS 0x29实现基于<br />角色的访问控制　239<br />8.12.3　保护闪存编程服务　240<br />8.13　安全退役　240<br />8.14　总结　241<br />8.15　参考文献　241<br />第9章　ECU级网络安全控制　243<br />9.1　理解控制行为和层次　244<br />9.2　探索政策控制　245<br />9.3　探索硬件控制　245<br />9.3.1　RoT　245<br />9.3.2　OTP存储器　247<br />9.3.3　硬件保护的密钥存储库　247<br />9.3.4　安全通用闪存存储　248<br />9.3.5　密码加速器　249<br />9.3.6　可锁定的硬件配置　250<br />9.3.7　CPU安全　250<br />9.3.8　通过MMU和MPU实现<br />隔离　254<br />9.3.9　加密易失性内存　255<br />9.3.10　调试访问管理　255<br />9.4　探索软件安全控制　256<br />9.4.1　软件调试和配置管理　256<br />9.4.2　安全生产　257<br />9.4.3　密钥管理策略　258<br />9.4.4　多阶段安全启动　258<br />9.4.5　可信运行时配置　260<br />9.4.6　TEE　260<br />9.4.7　安全更新　261<br />9.4.8　空间隔离　262<br />9.4.9　时间隔离　265<br />9.4.10　加密和认证文件系统　266<br />9.4.11　运行时执行强化　267<br />9.4.12　网络安全监控器　268<br />9.5　探索物理安全控制　268<br />9.5.1　篡改检测预防　269<br />9.5.2　PCB布局引脚和线路隐藏　269<br />9.5.3　隐藏和屏蔽　269<br />9.6　总结　269<br />9.7　参考文献　270