基于CANoe與TESTstudio實現ISO21434規范的安全測試

Vector為汽車及相關行業的OEM和供應商提供專業的開放開發平臺。提供安全領域的各種安全開發和測試工具、安全軟件組件和安全咨詢服務，并應用于嵌入式系統的創建。基礎協議站在MICROSAR的網絡安全部署中起著關鍵作用。

維克多汽車技術(上海)有限公司商業發展經理范可發發表了“車聯網安全一站式解決方案”的演講。以下是發言摘要:

維克多汽車技術(上海)有限公司商務發展經理范可發

ISO 21434標準下的車輛安全測試

今天的話題主要圍繞車載安全通信和相應測試技術的應用展開。比如以太網，它有七層架構，需要實現各層之間的通信，所以每一層都會有潛在的網絡攻擊點，這就需要我們相應的應對各種入侵手段。具體來說，汽車行業已經給出了明確的答案，每一層都有相應的技術手段保證通信能夠安全進行，比如SecOC、TLS、IPsec、MACsec等。

我的同事剛剛介紹了Victor在設計和實施階段提供的安全方案。現在要說的是測試端的安全測試，后面會提到如果客戶使用加密技術，從開發到調試如何解密。ISO 21434有一些方法論，與ISO 26262不同，但大部分是相似的。

車側安全測試主要包括與安全相關的功能測試，主要測試安全相關功能的正確行為和系統的健壯性。它是對產品安全性(機制)的測試，其次是漏洞掃描(用于測試已知漏洞)、模糊測試(通過向目標系統發送無效、未定義或隨機的輸入來試圖發現新的漏洞，這是黑客發現漏洞的首選技術)和滲透測試(對SW+HW系統具有高度個性化和創造性)

CANoe在SIL/HIL網絡安全測試中的應用

Victor繼續深入參與測試領域，并在將網絡安全引入車載系統方面構建了完整的測試解決方案。一般來說，供應商會接觸到大量不同的OEM加解密項目需求，因此選擇的工具也需要支持不同的OEM加解密系統，以銜接后續的生產、測試、DV、PV等階段。工具捕捉數據是不夠的，還要將數據轉化為可識別的消息，然后服務于開發、測試和生產環節。

從工具的角度來看，近年來，OEM可能會使用密鑰或證書來加密和解密通信。使用的加密和解密算法以及不同級別使用的加密和解密技術是不同的，尤其是在HPC和區域控制器領域。所以供應商需要在項目中花費大量的時間，提前了解不同的加解密技術，最后在開發環境中調試測試，這是一件非常麻煩的事情。

另外，在ECU開發、量產交付、售后維修三個階段，安全、鮮值、證書的地位是不一樣的，這就帶來了一個問題:供應商在生產線上部署的工具系統能否支持不同階段的應用？Victor推出的CANoe作為一款老工具，也是希望能更好的滿足網絡安全領域的工程化應用。

圖片來源:維克多

那么如何處理上述問題呢？Victor提供系統的安全管理工程解決方案，包括HSM、安全引導、SEOC、安全診斷等。安全管理器可以為所有Victor的工具和加密材料的來源提供一致的接口，降低標稱功能測試者的安全復雜度，是一個高度集成的解決方案(無需適應現有的工具鏈)。

圖片來源:維克多

此外，Victor CANoe可以提供特殊安全插件所需的服務。我們部門主要做的是將加密的信息以明文形式呈現，支持AUT……采用OEM廠商要求的特定變體的AR標準和SecOC通信，實現消息加密，管理新鮮值，為以太網通信安全提供相應的支持。

VTESTstudio:汽車網絡安全模糊測試的“利器”

接下來是模糊測試，可以通過CANoe將通信測試系統上的加密消息轉換成明文代碼，這樣后續的測試就可以按照傳統的測試步驟進行了。在測試完安全功能和安全通信模塊后，需要做相應的模糊測試。模糊測試主要有兩個區別:第一是模糊信號應用層，第二是基于通信和消息的模糊。

模糊測試中的核心概念是:模糊測試要監控什么，要發現什么問題？這一點在業內還是沒有明確的定義。可以測試應用程序和ECU。不同的層次和工程師對它的重視程度不同。

接下來，什么是模糊測試？模糊測試由三部分組成:測試環境、模糊測試用例生成器和監控數據流。需要易于使用的測試工具來模擬各種攻擊，即自動生成模糊測試用例，從而為測試系統提供高收益。用于模糊測試的模糊測試器可以分為兩類:基于變異的模糊測試器，通過變異已有的數據樣本來創建測試用例；基于生成的模糊測試器，被測系統使用的協議或文件被用于建模，基于模型生成輸入并相應地創建測試用例。

以上，模糊測試最重要的定義其實就是模糊測試器。簡單來說，只要測試人員修改工具系統中的模糊測試人員，并能根據算法規則生成相應的隨機數并交給ECU，就可以定義為模糊測試，只是生成器需要的數據不同而已。

Victor的方案復用了HIL和SIL的自動腳本開發工具vTESTstudio，嵌入了模糊測試中使用的模糊測試引擎，其中對應的測試數據主要是以太網和CAN通信的報文電平、以太網和CAN傳輸的信號電平、I/O或A2L信號電平等。以DBC定義的三個信號為例，這三個信號通過vTEST studio中的模糊引擎在工具中進行配置，每個信號都會根據配置規則生成模糊測試數據。當這三個信號產生時，它們將按照順序、成對和組合的規則進行配置和組合。組合后，測試人員會將這些數據輸入到測試環境和ECU中。

在模糊測試中，最困難的是測試需要監測觀察項目。比如有可能給ECU一組數據，使得對應任務的CPU占用率很高。如果觀察者要監控數據輸入中的CPU占用率，此時應該怎么做？毫無疑問，需要在板卡中設置一個測量功能，監測某段時間內的CPU占用率，這就需要在測試時使用控制器本身的調試端口將其CPU占用率轉移到CANoe。

除了在消息級別進行模糊化，Victor還可以在I/O級別進行模糊化，因為CANoe本身就是HIL環境的測試工具。CANoe結合vTESTstudio，從攻擊者的角度為嵌入式系統開發工程師提供了類似的攻擊注入，通過重用已有的配置工程數據生成模糊測試用例。CANoe強大的功能有助于加強汽車電子行業的模糊測試環境:可以適應不同的OEM廠商，不同的網絡協議和數據庫；支持數據記錄和數據回放，提供詳細的自動化測試報告。

圖片來源:維克多

另外，動態測試方案既可以覆蓋HIL的真實ECU，也可以覆蓋SIL的虛擬ECU，Victor都可以提供，只是在實板測試中需要提前插樁，在執行過程中可以覆蓋Victor在工具中給出的每一個測試速率。

接下來說一下CANoe中模糊測試的優勢。簡單來說，測試人員可以直接使用R&D部門開發的CANoe項目，在上面嵌入一個模糊測試器，然后直接進行相應的模糊測試。

通常，模糊測試引擎是基于“黑盒”測試技術的。而“白盒”測試技術可以通過重用汽車電子行業開發驗證系統中已有的配置工程(如網絡通信協議、控制器邏輯狀態功能)和工具來實現。此外，當軟件功能發生變化時，結合持續集成環境可以實現驗證的快速迭代。

因為CANoe的存在，Victor會更多的使用灰箱模糊測試。黑盒模糊測試是對通信消息進行測試，利用已有的數據庫及其內部的信號和變量，直接操縱消息中傳遞的信號，從而更高效地得到結果，因為灰盒模糊測試的效率比“暴力的”黑盒方法更能確定系統中存在的問題。

滲透測試、漏洞掃描和診斷測試

模糊測試的下一步是滲透測試。一般OEM會委托指定機構進行滲透測試。滲透測試中最常用的技術手段就是剛才提到的模糊測試。測試人員會以模糊的方式檢查ECU的漏洞，也有白盒、灰盒、黑盒的不同方式。Victor咨詢部在ECU和整車層面為OEM和tier1提供獨立的滲透測試和進一步的運營保障。基于灰箱方法，適用于增量回歸測試，比傳統的滲透測試效率更高。

圖片來源:維克多

最后，我們來談談漏洞掃描和診斷測試。漏洞掃描主要是針對已知的進行測試，需要提前積累漏洞庫，也就是提前掌握代碼規則和行業規則。Victor在行業內積累多年。

隨著車輛ECU的日益復雜，診斷測試的測試范圍和完成診斷功能驗證所需的時間和精力也在不斷增加。雖然診斷測試的范圍在不斷擴大，但是創建和執行測試用例的時間和人力投入是相對穩定的。基于CANoe的診斷自動化測試方案。DiVa顯著減少了診斷驗證的時間和人力投入，并大大增加了測試的廣度和深度。如果每個ECU都有一個CDD或ODX格式的診斷數據庫，那么從診斷需求規范到全面的自動協議測試只需要一小步，幾乎不需要準備就可以檢測出協議錯誤。獨木舟。DiVa的測試后處理能力包括:對測試報告進行分類和過濾，以方便預期測試結果的獲取；將失敗的測試用例與測試數據流(trace)鏈接起來；為每個測試結果添加注釋，以便于對錯誤及其原因進行分類。記錄糾正措施并控制故障排除；將測試解決方案鏈接到現有的測試數據管理系統或需求管理系統，以便于集成到現有的流程中。目前，全球許多汽車制造商都在使用CANoe。實現診斷測試。

在安全測試服務方面，Victor不僅提供工具咨詢，還提供構建和升級安全測試系統的服務。

圖片來源:維克多

(以上內容來自于2022年8月25日由Gaspar Automotive主辦的2022中國汽車信息安全與功能安全大會上，維克多汽車技術(上海)有限公司商業發展經理范可發發表的主題演講《車聯網安全一站式解決方案》。)Vector為汽車及相關行業的OEM廠商和供應商提供專業的開放開發平臺。提供安全領域的各種安全開發和測試工具、安全軟件組件和安全咨詢服務，并應用于嵌入式系統的創建。基礎協議站在MICROSAR的網絡安全部署中起著關鍵作用。

維克多汽車技術(上海)有限公司商業發展經理范可發發表了“車聯網安全一站式解決方案”的演講。以下是發言摘要:

維克多汽車技術(上海)有限公司商務發展經理范可發

ISO 21434標準下的車輛安全測試

今天的話題主要圍繞車載安全通信和相應測試技術的應用展開。比如以太網，它有七層架構，需要實現各層之間的通信，所以每一層都會有潛在的網絡攻擊點，這就需要我們相應的應對各種入侵手段。具體來說，汽車行業已經給出了明確的答案，每一層都有相應的技術手段保證通信能夠安全進行，比如SecOC、TLS、IPsec、MACsec等。

我的同事剛剛介紹了Victor在設計和實施階段提供的安全方案。現在要說的是測試端的安全測試，后面會提到如果客戶使用加密技術，從開發到調試如何解密。ISO 21434有一些方法論，與ISO 26262不同，但大部分是相似的。

車側安全測試主要包括與安全相關的功能測試，主要測試安全相關功能的正確行為和系統的健壯性。它是對產品安全性(機制)的測試，其次是漏洞掃描(用于測試已知漏洞)、模糊測試(通過向目標系統發送無效、未定義或隨機的輸入來試圖發現新的漏洞，這是黑客發現漏洞的首選技術)和滲透測試(對SW+HW系統具有高度個性化和創造性)

CANoe在SIL/HIL網絡安全測試中的應用

Victor繼續深入參與測試領域，并在將網絡安全引入車載系統方面構建了完整的測試解決方案。一般來說，供應商會接觸到大量不同的OEM加解密項目需求，因此選擇的工具也需要支持不同的OEM加解密系統，以銜接后續的生產、測試、DV、PV等階段。工具捕捉數據是不夠的，還要將數據轉化為可識別的消息，然后服務于開發、測試和生產環節。

從工具的角度來看，近年來，OEM可能會使用密鑰或證書來加密和解密通信。使用的加密和解密算法以及不同級別使用的加密和解密技術是不同的，尤其是在HPC和區域控制器領域。所以供應商需要在項目中花費大量的時間，提前了解不同的加解密技術，最后在開發環境中調試測試，這是一件非常麻煩的事情。

另外，在ECU開發、量產交付、售后維修三個階段，安全、鮮值、證書的地位是不一樣的，這就帶來了一個問題:供應商在生產線上部署的工具系統能否支持不同階段的應用？Victor推出的CANoe作為一款老工具，也希望能更好的滿足現場的工程應用……f網絡安全。

圖片來源:維克多

那么如何處理上述問題呢？Victor提供系統的安全管理工程解決方案，包括HSM、安全引導、SEOC、安全診斷等。安全管理器可以為所有Victor的工具和加密材料的來源提供一致的接口，降低標稱功能測試者的安全復雜度，是一個高度集成的解決方案(無需適應現有的工具鏈)。

圖片來源:維克多

此外，Victor CANoe可以提供特殊安全插件所需的服務。我們部門主要做的是將加密報文呈現為明文，支持AUTOSAR標準和OEM廠商要求的特定變體SecOC通信，實現報文加密，管理新鮮值，為以太網通信安全提供相應的支持。

VTESTstudio:汽車網絡安全模糊測試的“利器”

接下來是模糊測試，可以通過CANoe將通信測試系統上的加密消息轉換成明文代碼，這樣后續的測試就可以按照傳統的測試步驟進行了。在測試完安全功能和安全通信模塊后，需要做相應的模糊測試。模糊測試主要有兩個區別:第一是模糊信號應用層，第二是基于通信和消息的模糊。

模糊測試中的核心概念是:模糊測試要監控什么，要發現什么問題？這一點在業內還是沒有明確的定義。可以測試應用程序和ECU。不同的層次和工程師對它的重視程度不同。

接下來，什么是模糊測試？模糊測試由三部分組成:測試環境、模糊測試用例生成器和監控數據流。需要易于使用的測試工具來模擬各種攻擊，即自動生成模糊測試用例，從而為測試系統提供高收益。用于模糊測試的模糊測試器可以分為兩類:基于變異的模糊測試器，通過變異已有的數據樣本來創建測試用例；基于生成的模糊測試器，被測系統使用的協議或文件被用于建模，基于模型生成輸入并相應地創建測試用例。

以上，模糊測試最重要的定義其實就是模糊測試器。簡單來說，只要測試人員修改工具系統中的模糊測試人員，并能根據算法規則生成相應的隨機數并交給ECU，就可以定義為模糊測試，只是生成器需要的數據不同而已。

Victor的方案復用了HIL和SIL的自動腳本開發工具vTESTstudio，嵌入了模糊測試中使用的模糊測試引擎，其中對應的測試數據主要是以太網和CAN通信的報文電平、以太網和CAN傳輸的信號電平、I/O或A2L信號電平等。以DBC定義的三個信號為例，這三個信號通過vTEST studio中的模糊引擎在工具中進行配置，每個信號都會根據配置規則生成模糊測試數據。當這三個信號產生時，它們將按照順序、成對和組合的規則進行配置和組合。組合后，測試人員會將這些數據輸入到測試環境和ECU中。

在模糊測試中，最困難的是測試需要監測觀察項目。比如有可能給ECU一組數據，使得對應任務的CPU占用率很高。如果觀察者要監控數據輸入中的CPU占用率，此時應該怎么做？毫無疑問，需要在板卡中設置一個測量功能，監測某段時間內的CPU占用率，這就需要在測試時使用控制器本身的調試端口將其CPU占用率轉移到CANoe。

除了在消息級別進行模糊化，Victor還可以在I/O級別進行模糊化，因為CANoe本身就是HIL環境的測試工具。CANoe結合vTESTstudio，從攻擊者的角度為嵌入式系統開發工程師提供了類似的攻擊注入，通過重用已有的配置工程數據生成模糊測試用例。CANoe強大的功能有助于加強汽車電子行業的模糊測試環境:可以適應不同的OEM廠商，不同的網絡協議和數據庫；支持數據記錄和數據回放，提供詳細的自動化測試報告。

圖片來源:維克多

另外，動態測試方案既可以覆蓋HIL的真實ECU，也可以覆蓋SIL的虛擬ECU，Victor都可以提供，只是在實板測試中需要提前插樁，在執行過程中可以覆蓋Victor在工具中給出的每一個測試速率。

接下來說一下CANoe中模糊測試的優勢。簡單來說，測試人員可以直接使用R&D部門開發的CANoe項目，在上面嵌入一個模糊測試器，然后直接進行相應的模糊測試。

通常，模糊測試引擎是基于“黑盒”測試技術的。而“白盒”測試技術可以通過重用汽車電子行業開發驗證系統中已有的配置工程(如網絡通信協議、控制器邏輯狀態功能)和工具來實現。此外，當軟件功能發生變化時，結合持續集成環境可以實現驗證的快速迭代。

因為CANoe的存在，Victor會更多的使用灰箱模糊測試。黑盒模糊測試是對通信消息進行測試，利用已有的數據庫及其內部的信號和變量，直接操縱消息中傳遞的信號，從而更高效地得到結果，因為灰盒模糊測試的效率比“暴力的”黑盒方法更能確定系統中存在的問題。

滲透測試、漏洞掃描和診斷測試

模糊測試的下一步是滲透測試。一般OEM會委托指定機構進行滲透測試。滲透測試中最常用的技術手段就是剛才提到的模糊測試。測試人員會以模糊的方式檢查ECU的漏洞，也有白盒、灰盒、黑盒的不同方式。Victor咨詢部在ECU和整車層面為OEM和tier1提供獨立的滲透測試和進一步的運營保障。基于灰箱方法，適用于增量回歸測試，比傳統的滲透測試效率更高。

圖片來源:維克多

最后，我們來談談漏洞掃描和診斷測試。漏洞掃描主要是針對已知的進行測試，需要提前積累漏洞庫，也就是提前掌握代碼規則和行業規則。Victor在行業內積累多年。

隨著車輛ECU的日益復雜，診斷測試的測試范圍和完成診斷功能驗證所需的時間和精力也在不斷增加。雖然診斷測試的范圍在不斷擴大，但是創建和執行測試用例的時間和人力投入是相對穩定的。基于CANoe的診斷自動化測試方案。DiVa顯著減少了診斷驗證的時間和人力投入，并大大增加了測試的廣度和深度。如果每個ECU都有一個CDD或ODX格式的診斷數據庫，那么從診斷需求規范到全面的自動協議測試只需要一小步，幾乎不需要準備就可以檢測出協議錯誤。獨木舟。DiVa的測試后處理能力包括:對測試報告進行分類和過濾，以方便預期測試結果的獲取；將失敗的測試用例與測試數據流(trace)鏈接起來；為每個測試結果添加注釋，以便于對錯誤及其原因進行分類。記錄糾正措施并控制故障排除；將測試解決方案鏈接到現有的測試數據管理系統或需求管理系統，以便于集成到現有的流程中。目前，全球許多汽車制造商都在使用CANoe。實現診斷測試。

在安全測試服務方面，Victor不僅提供工具咨詢，還提供構建和升級安全測試系統的服務。

圖片來源:維克多

(以上內容來自于2022年8月25日由Gaspar Automotive主辦的2022中國汽車信息安全與功能安全大會上，維克多汽車技術(上海)有限公司商業發展經理范可發發表的主題演講《車聯網安全一站式解決方案》。)

標簽：發現

汽車資訊熱門資訊