车载MCU/SOC信息安全测试（一）-新人向扫盲指南

面向：首次接触车载信息安全的同学

目标：看完本文，你应当能回答两件事——“测什么？”、“怎么测？”

目录

车载MCU/SOC信息安全测试新人指南

引言：为什么要给车载MCU/SOC做信息安全测试？

测试范围详解：到底“测什么”？

2.1 硬件安全

2.1.1 物理接口安全

2.1.2 芯片安全特性

2.1.3 侧信道攻击面

2.2 通信安全

2.2.1 车内总线通信（CAN / LIN / FlexRay / 以太网）

2.2.2 车外网络通信（4G/5G / WiFi / Bluetooth / GNSS）

2.3 固件/软件安全

2.3.1 操作系统 / RTOS 安全

2.3.2 应用软件 & 诊断/控制逻辑

2.3.3 OTA 更新安全

2.4 逻辑与业务安全

2.4.1 身份认证与访问控制

2.4.2 会话管理与权限控制

2.4.3 诊断服务（UDS/GMLAN 等）

测试方法详解：怎么“系统地测”？

3.1 静态分析

3.1.1 固件逆向工程

3.1.2 源码/配置审计

3.2 动态分析

3.2.1 运行时调试

3.2.2 模糊测试（Fuzzing）

3.2.3 模拟器/实车测试

3.3 渗透测试

3.4 合规性测试

测试设备与工具介绍

4.1 硬件设备

4.1.1 车载总线与以太网设备

4.1.2 调试与侧信道分析设备

4.1.3 射频与无线设备

4.1.4 硬件仿真/测试平台

4.2 软件工具

4.2.1 逆向与静态分析工具

4.2.2 协议与总线分析工具

4.2.3 模糊测试与渗透工具

典型测试用例与实践（示例，每个模块不止这么一点）

5.1 用例一：CAN 总线模糊测试

5.2 用例二：调试接口（JTAG/SWD）防护测试

5.3 用例三：OTA 升级包篡改测试

5.4 用例四：UDS 诊断安全访问（0x27）测试

5.5 用例五：TLS DoIP 安全通信测试

总结与学习路径建议

6.1 本指南核心要点

6.2 新人学习路径建议

References

智能网联车已经是“装了很多电脑的车”，PBOX、TBOX、网关、域控制器、座舱SoC 等设备通过 CAN、以太网、4G/5G 等大量联网。一旦被攻破，轻则隐私泄露，重则远程控车、刹车失效，直接威胁人身安全。

从法规和标准看：

• UN WP.29 R155 要求车企建立网络安全管理体系（CSMS），并对车型做网络安全型式认证[1][2]。

• ISO/SAE 21434 明确要求在车辆全生命周期内进行安全风险分析与验证/测试，包括静态测试、动态测试、模糊测试和渗透测试等[1][2]。

• 国内 GB 44495-2024《汽车整车信息安全技术要求》 已成为强制国标，明确要求对 TBOX、IVI、网关等关键零部件进行信息安全测试[6]。

因此，对车载 MCU/SOC 进行系统性信息安全测试，是：

• 符合法规准入的硬性要求；

• 保障整车运行安全的关键手段；

• 也是新人进入车载安全领域必须掌握的基础能力。

本节按四大类拆解：硬件安全、通信安全、固件/软件安全、逻辑与业务安全。你可以把它理解为：从“铁皮和芯片”到“线和波”、再到“代码和功能”。

2.1 硬件安全

2.1.1 物理接口安全

典型接口：

• 调试接口：JTAG / SWD —— 权限最高，可读写寄存器、Flash，甚至关闭安全机制[7]。

  JTAG是一种用于验证设计与测试生产出的印刷电路板功能的标准，是联合测试工作组（Joint Test Action Group）的简称，属于IEEE的标准1149.1。

• 串口接口：UART —— 常用于调试日志、Shell 控制。

• 存储接口：USB、SD 卡、eMMC 引脚等。

测试关注点：

• 量产模式下调试接口是否关闭或加保护（熔丝锁、密码认证、仅工程模式开放等）。

• 是否存在未文档化的隐藏接口/后门（芯片预留测试口、工程模式串口等）[6]。

• 用于存储敏感数据（私钥、用户数据）的芯片管脚是否被刻意暴露（如直连外部焊盘）[6]。

2.1.2 芯片安全特性

典型安全特性：

• 安全启动 Secure Boot：

  • 利用片上 信任根（Root of Trust） 固化在 ROM 中的 BootROM 代码和根公钥，对后续 Bootloader、内核、应用的签名逐级验证[8][9]。

  • 确保“上电执行的第一条指令”来自可信代码。

• HSM（硬件安全模块）/ 安全岛：

  • 车规 MCU/SOC 内部的独立安全核，用于密钥生成、存储和加解密运算[10][11]。

  • 具有独立存储区和访问控制，普通核不能直接读安全存储。

• 加密引擎 & TRNG：

  • AES、RSA/SM2 等硬件加速器。

  • 真随机数发生器（TRNG），为密钥和种子提供高质量随机数[11][12]。

测试关注点：

• 是否实际启用 Secure Boot（熔丝烧写、BootROM 流程是否开启验证）[8][9]。

• HSM 是否承担了密钥存储和加解密任务，而不是把密钥放在普通 Flash 或代码里[10][11]。

• TRNG 输出质量是否满足密钥随机性要求。

2.1.3 侧信道攻击面

侧信道攻击不走“正常接口”，而是通过物理泄露信息破解：

• 功耗分析攻击（SPA/DPA/CPA）：通过采集芯片在执行加密时的电流波动，分析出密钥[13]。

• 电磁分析攻击（EMA）：通过测量电磁辐射，恢复密钥[13]。

• 时间分析攻击：通过统计不同输入下的加解密时间差异，推断密钥[13]。

测试关注点：

• 密钥操作是否进行了随机化、均衡化等侧信道防护（如掩码、常时运算）。

• 芯片/模组是否有物理屏蔽、滤波等电磁防护。

2.2 通信安全

2.2.1 车内总线通信（CAN / LIN / FlexRay / 以太网）

• 风险：

  • CAN 没有内建认证与加密，可通过 OBD 等接口监听和伪造报文。

  • 攻击手段包括：模糊测试（Fuzzing）、重放攻击、泛洪攻击等[3][4][20]。

• 测试关注点：

  • 是否有 ID 白名单/黑名单、报文频率限制。

  • 对异常/随机 CAN 报文的处理是否稳健（崩溃/死机/重启）。

  • 网关是否正确进行区域隔离与过滤。

• SOME/IP：服务化通信协议，用于 ECU 间 RPC 调用。

• DoIP（Diagnostics over IP）：基于 TCP/IP 的诊断协议，支持与 TLS 结合实现安全会话[14][16][18]。

• 测试关注点：

  • 服务发现、订阅、消息序列管理的健壮性[11]。

  • 在启用 TLS 的 DoIP 场景中，是否正确完成证书校验、双向认证、密钥协商，避免中间人攻击[1][14][18]。

2.2.2 车外网络通信（4G/5G / WiFi / Bluetooth / GNSS）

• 蜂窝通信（TBOX）：

  • 使用 4G/5G 模块连接云平台，承载 OTA、远程控制等关键业务。

  • 测试关注点：

    • 基于 TLS/IPsec 等是否对信令、数据通道进行了加密。

    • 是否存在弱加密套件、过期证书、证书链配置错误[14][18]。

    • 对伪基站、异常接入尝试是否有检测和告警[9]。

• WiFi / Bluetooth：

  • 常用于与手机 App、车钥匙、车机互联。

  • 测试关注点：

    • 是否启用强加密协议（WPA2/WPA3、BLE Secure Connections）。

    • 是否存在默认密码、硬编码配对码、弱 PIN。

    • 对已配对设备的身份管理与黑名单机制。

• GNSS / 高精度定位：

  • 测试关注点：对明显异常位置信号（跳变、漂移）的处理及欺骗防护。

2.3 固件/软件安全

2.3.1 操作系统 / RTOS 安全

• 常见 RTOS/OS：AUTOSAR OS、FreeRTOS、Linux、Android Automotive 等。

• 风险点：

  • 内存越界、空指针、竞争条件等常规软件漏洞。

  • 权限模型不清晰，导致服务可被越权访问。

• 测试关注点：

  • 是否遵循安全编码规范（MISRA-C 等）。

  • 是否对关键线程/任务有看门狗和故障恢复机制。

  • 是否最小权限运行进程/服务。

2.3.2 应用软件 & 诊断/控制逻辑

• 包括：车机应用、网关应用、诊断栈、远程控制模块等。

• 风险点：

  • 硬编码密钥、账号密码[21]。

  • 日志中泄露敏感信息（如 OTA 云平台地址、Token 等）[21]。

• 测试关注点：

  • 使用静态分析工具检测常见安全漏洞（缓冲区溢出、注入、弱加密）。

  • 手工审计关键模块（认证、支付、远程控制）的逻辑漏洞。

2.3.3 OTA 更新安全

参考 OTA 安全测试规范[15][21]：

• 关注点：

  • 升级包 签名验证 是否严格：未签名/签名错误/被篡改是否会被拒绝[15]。

  • 升级包 加密机制 是否稳健：算法、密钥长度是否合理；密钥存储是否安全[2][16]。

  • 是否防重放、防降级攻击：同一版本重复安装、回退到旧版本。

  • OTA 过程中断电/断网时，系统是否能安全回滚或恢复。

2.4 逻辑与业务安全

2.4.1 身份认证与访问控制

• 基于 UDS 的 Seed-Key 安全访问（0x27 服务）：

  • 流程：请求种子 → ECU 返回随机种子 → 测试设备根据算法计算密钥 → 回传密钥 → ECU验证后提升安全等级[22]。

  • 测试关注点：

    • 安全等级是否分级设计（如标定、刷写、关键控制功能分不同等级）。

    • 错误次数限制、超时锁定机制是否到位[19]。

    • 种子随机性和密钥强度是否足够，避免通过穷举/重放绕过[19]。

• 其它认证方式：

  • 基于证书的 TLS 双向认证。

  • 基于车钥匙/手机 App 的 Token 认证。

2.4.2 会话管理与权限控制

• UDS 诊断会话（0x10 服务）：默认会话、扩展会话、编程会话，对应不同权限[19]。

• 测试关注点：

  • 在默认会话应禁止写入关键数据（如 0x2E 写 DID），需扩展/编程会话+安全解锁才允许[17][19]。

  • 会话超时后是否自动降级为默认会话。

  • 不同会话+安全等级组合下，权限矩阵是否符合设计。

2.4.3 诊断服务（UDS/GMLAN 等）

• 典型 UDS 服务：

  • 0x10 会话控制、0x11 ECU 重置、0x14 清除故障码、0x19 读取故障码、0x22 读数据、0x2E 写数据、0x27 安全访问、0x31 例程控制等[19][20]。

• 测试关注点：

  • 是否正确返回负响应码（NRC），如服务不支持、条件不满足、安全拒绝等[19]。

  • 在不满足条件（如车辆行驶中）时，是否拒绝敏感操作（刷写、复位）。

本节对应“工具箱”的选择以及如何与范围映射。

3.1 静态分析

适用于：固件/应用安全、配置安全。

3.1.1 固件逆向工程

步骤示意：

典型目标：

• 发现硬编码凭证（账号、密码、API Token）。

• 确定是否启用了 Secure Boot/HSM。

• 分析版本回退、防重放逻辑。

3.1.2 源码/配置审计

• 使用 静态代码分析工具（如 Fortify、Semgrep）检查：

  • 缓冲区溢出、格式化字符串、未初始化变量。

  • 加解密使用是否安全（算法、模式、密钥长度）。

• 配置文件审查：

  • 诊断服务白名单/黑名单。

  • TLS 配置（支持的协议版本、密码套件）。

3.2 动态分析

适用于：协议栈、运行时行为、异常处理能力。

3.2.1 运行时调试

• 对 RTOS / Linux 系统：

  • 使用 GDB、JTAG 调试器对运行中的程序进行断点、寄存器查看。

  • 检查异常输入下是否存在异常分支、溢出。

3.2.2 模糊测试（Fuzzing）

• CAN 总线模糊测试：

  • 基于 ICSim、CANoe、can-utils 等工具，对特定 ID 或全 ID 范围发送随机/半随机报文[3][4][20]。

  • 监控 ECU 是否出现崩溃、重启或逻辑异常。

• 以太网协议 Fuzzing：

  • 对 SOME/IP、DoIP 报文进行字段变异、长度异常、乱序组合。

  • 对 TLS 握手消息进行异常测试（如不完整证书链、错误签名）。

3.2.3 模拟器/实车测试

• 虚拟环境：

  • 使用车载网络仿真工具（CANoe、ICSim 等）在实验室复现车内总线，避免直接在真实车辆上破坏性测试。

• 实车环境：

  • 在可控场地运行车辆，对真实总线与无线接口进行安全测试。

3.3 渗透测试

适用于：综合性评估、防御能力验证。

流程通常与常规渗透测试类似：

3.4 合规性测试

基于标准的“清单式”测试：

• ISO 21434 要求：

  • 制定安全测试计划（范围、目标、方法、流程）[1][2]。

  • 开展静态测试、动态测试、模糊测试、渗透测试等，并有可追溯的记录。

• UN R155 要求：

  • OEM 建立 CSMS（网络安全管理体系）。

  • 对车型实施整车和关键零部件的安全测试，以证明风险得到控制[2][5]。

• GB 44495-2024：

  • 明确 TBOX、IVI、网关等为必测对象。

  • 对硬件安全、通信协议与接口安全、操作系统安全、应用软件安全、数据安全等给出详细测试要求和工具示例[6]。

合规性测试的特点：

• 不仅测“有没有漏洞”，还要看测试活动是否融入流程，如测试计划、用例设计、结果确认、缺陷闭环等。

下面按“硬件设备”“软件工具”两大类整理，作为新人采购/选型和实操的参考。

4.1 硬件设备

4.1.1 车载总线与以太网设备

4.1.2 调试与侧信道分析设备

4.1.3 射频与无线设备

4.1.4 硬件仿真/测试平台

4.2 软件工具

4.2.1 逆向与静态分析工具

4.2.2 协议与总线分析工具

4.2.3 模糊测试与渗透工具

5.1 用例一：CAN 总线模糊测试

目标：验证被测 ECU 在遭受异常 CAN 报文时的健壮性与安全防护。

前置条件：

• 搭建包含 DUT（如 TBOX/网关）和 CAN 卡（如 PCAN-USB 或 Vector VN1630）的环境。

• 已知 DUT 所在总线波特率（如 500 kbps）。

步骤（以 Linux can-utils 为例）：

sudo ip link set can0 type can bitrate 500000
sudo ip link set can0 up

while true; do
cansend can0 123#1122334455667788
sleep 0.01
done

预期结果：

• DUT 不应因异常报文崩溃或进入危险状态。

• 如有入侵检测/防护机制，应记录并报警。

5.2 用例二：调试接口（JTAG/SWD）防护测试

目标：验证量产设备上的调试接口是否得到有效保护，避免被用于固件提取、绕过安全机制。

前置条件：

• 拆解 DUT，确认可能的 JTAG/SWD 焊盘位置（或通过资料获知）。

• 准备 J-Link 等调试器。

步骤：

预期结果：

• 量产设备上：

  • JTAG/SWD 接口应关闭或仅能访问有限调试功能。

  • 读取 Flash 尝试应失败或仅得到加密内容。

• 如接口需用于售后调试，应有强认证机制（证书/密码/物理钥匙）。

5.3 用例三：OTA 升级包篡改测试

目标：验证 OTA 升级过程的签名校验、防重放、防降级机制。

前置条件：

• 拥有合法的 OTA 升级包和控制环境（如测试环境云平台）。

• 有能力截取/重放升级数据（代理、抓包工具）。

步骤：

预期结果：

• 篡改升级包必须在签名验证阶段被拒绝。

• 使用旧版本包时，应触发版本回退防护（拒绝降级或记录安全事件）。

5.4 用例四：UDS 诊断安全访问（0x27）测试

目标：验证 ECU 的安全访问逻辑是否健壮，防止未授权使用敏感服务。

前置条件：

• 有基于 CAN/以太网的诊断工具（如 CANoe + CAPL、Python + python-can）。

• 知道 DUT 支持的诊断会话和安全等级配置。

步骤（概略）：

预期结果：

• 敏感服务只能在正确会话 + 安全等级下被调用。

• 多次错误密钥会触发锁定并返回 NRC 0x36 等。

5.5 用例五：TLS DoIP 安全通信测试

目标：验证 DoIP + TLS 安全通信配置是否正确，抵御中间人攻击。

前置条件：

• DUT 支持基于 TLS 的 DoIP 诊断会话（ISO 13400-2:2019 定义）。

• CANoe 或自研工具支持 TLS 配置。

步骤：

预期结果：

• 非 TLS 连接应被拒绝或仅限有限功能。

• 非信任证书链应拒绝连接。

• 使用正确证书时，DoIP 诊断功能正常。

6.1 本指南核心要点

6.2 新人学习路径建议

阶段 1：认知与基础

• 概念理解：

  • 看标准/博客：ISO 21434 概览、R155 入门文章[1][2][5]。

  • 了解车载总线基础：CAN/LIN/以太网、DoIP/SOMEIP 等[3][11][14]。

• 实践：

  • 在 Linux 下搭建 SocketCAN，使用 can-utils 抓发简单 CAN 报文[3]。

  • 安装使用 Wireshark，分析 PC 上的 TLS 抓包，熟悉握手流程[1][14]。

阶段 2：工具与测试

• 工具学习：

  • Ghidra/IDA 入门：对简单固件做逆向（提取字符串、分析启动流程）。

  • CANoe 简单工程搭建，仿真 UDS 通信[3][14]。

• 测试实践：

  • 完成本指南中 CAN Fuzz、JTAG 测试、UDS 安全访问测试。

  • 尝试对一款开源 IoT 固件做静态分析与漏洞挖掘[4][21]。

阶段 3：体系与合规

• 深入理解 ISO 21434、R155、GB 44495 要求[1][2][5][6]。

• 学习 TARA（威胁分析与风险评估）方法，能根据威胁建模设计测试方案。

• 了解 AUTOSAR Security、HSM、Secure Boot 的设计与测试要点[8][10][11]。

References

[1] ISO 21434标准下的车辆网络安全测试全面解析与要求概览. https://blog.csdn.net/yayuanjingkeji/article/details/144193443 [2] ISO 21434标准下的汽车网络安全测试:全面要求与实施策略-亚远景. http://www.aspice.cn/knowledge/1488.html [3] 汽车CAN总线网络测试内容及方法介绍. https://zhuanlan.zhihu.com/p/683536384 [4] 车联网安全入门——CAN总线模糊测试. https://www.eet-china.com/mp/a353760.html [5] 汽标委智能网联汽车分标委发布（R155/CSMS介绍）. https://www.catarc.org.cn/upload/202109/22/202109221134419075.pdf [6] 汽车网络信息安全-技术要求,实验方法_车载信息安全测试. https://blog.csdn.net/2301_76563067/article/details/140008328 [7] 汽车网络安全 – 如何保护ECU中的JTAG接口. https://blog.csdn.net/m0_37553938/article/details/145885501 [8] 汽车信息安全要求(5)——Secure Boot(安全启动). https://blog.csdn.net/daniel315/article/details/126767237 [9] 标准解读|《GB 44495-2024 汽车整车信息安全技术要求》 解读. https://www.cnzev.com/6223.html [10] 汽车安全:硬件安全模块HSM详解. https://blog.csdn.net/qgccdd061313/article/details/134846577 [11] 汽车电子硬件开发常用的安全机制. https://www.auto-testing.net/news/show-125668-14.html [12] HSM深度解析:硬件安全模块的工作原理与应用实例. https://blog.csdn.net/ppyang395942297111/article/details/112647109 [13] 芯片侧信道攻击检测与防御. https://www.docin.com/p-4625775267.html [14] 新能源汽车中基于车载以太网的DoIP测试方法详解. https://www.auto-testing.net/baike/show-3494.html [15] 汽车远程升级(OTA)信息安全测试规范. http://csae.sae-china.org/files/20230409/7025c9fa3a05491998337296d5255fdf.pdf [16] 保障行车安全:车辆OTA升级过程安全测试的重要性与方法. https://www.auto-testing.net/baike/show-993.html [17] 【ISO 14229-1:2023 UDS诊断(会话控制0x10服务)测试用例CAPL代码全解析】. https://blog.csdn.net/qq_32462925/article/details/145672744 [18] 汽车信息安全测试-关键零部件信息安全测评. https://www.cstc.org.cn/ywjs/ces/znwlqccs/qcgjlbjxxaqcp.htm [19] 【ISO 14229-1:2023 UDS诊断全量测试用例清单系列】. https://blog.csdn.net/qq_32462925/article/details/145602143 [20] 车载测试系列:CAN总线渗透测试. http://www.51testing.com/mobile/view.php?itemid=7800605 [21] 车载测试系列：OTA升级流程及安全测试. https://www.cnblogs.com/laoluoits/p/16944230.html [22] UDS诊断系列之七安全访问（27）服务. https://blog.csdn.net/kalake/article/details/125984985