基于CANoe与TESTstudio实现ISO21434规范的安全测试

Vector为汽车及相关行业的OEM和供应商提供专业的开放开发平台。提供安全领域的各种安全开发和测试工具、安全软件组件和安全咨询服务，并应用于嵌入式系统的创建。基础协议站在MICROSAR的网络安全部署中起着关键作用。

维克多汽车技术(上海)有限公司商业发展经理范可发发表了“车联网安全一站式解决方案”的演讲。以下是发言摘要:

维克多汽车技术(上海)有限公司商务发展经理范可发

ISO 21434标准下的车辆安全测试

今天的话题主要围绕车载安全通信和相应测试技术的应用展开。比如以太网，它有七层架构，需要实现各层之间的通信，所以每一层都会有潜在的网络攻击点，这就需要我们相应的应对各种入侵手段。具体来说，汽车行业已经给出了明确的答案，每一层都有相应的技术手段保证通信能够安全进行，比如SecOC、TLS、IPsec、MACsec等。

我的同事刚刚介绍了Victor在设计和实施阶段提供的安全方案。现在要说的是测试端的安全测试，后面会提到如果客户使用加密技术，从开发到调试如何解密。ISO 21434有一些方法论，与ISO 26262不同，但大部分是相似的。

车侧安全测试主要包括与安全相关的功能测试，主要测试安全相关功能的正确行为和系统的健壮性。它是对产品安全性(机制)的测试，其次是漏洞扫描(用于测试已知漏洞)、模糊测试(通过向目标系统发送无效、未定义或随机的输入来试图发现新的漏洞，这是黑客发现漏洞的首选技术)和渗透测试(对SW+HW系统具有高度个性化和创造性)

CANoe在SIL/HIL网络安全测试中的应用

Victor继续深入参与测试领域，并在将网络安全引入车载系统方面构建了完整的测试解决方案。一般来说，供应商会接触到大量不同的OEM加解密项目需求，因此选择的工具也需要支持不同的OEM加解密系统，以衔接后续的生产、测试、DV、PV等阶段。工具捕捉数据是不够的，还要将数据转化为可识别的消息，然后服务于开发、测试和生产环节。

从工具的角度来看，近年来，OEM可能会使用密钥或证书来加密和解密通信。使用的加密和解密算法以及不同级别使用的加密和解密技术是不同的，尤其是在HPC和区域控制器领域。所以供应商需要在项目中花费大量的时间，提前了解不同的加解密技术，最后在开发环境中调试测试，这是一件非常麻烦的事情。

另外，在ECU开发、量产交付、售后维修三个阶段，安全、鲜值、证书的地位是不一样的，这就带来了一个问题:供应商在生产线上部署的工具系统能否支持不同阶段的应用？Victor推出的CANoe作为一款老工具，也是希望能更好的满足网络安全领域的工程化应用。

图片来源:维克多

那么如何处理上述问题呢？Victor提供系统的安全管理工程解决方案，包括HSM、安全引导、SEOC、安全诊断等。安全管理器可以为所有Victor的工具和加密材料的来源提供一致的接口，降低标称功能测试者的安全复杂度，是一个高度集成的解决方案(无需适应现有的工具链)。

图片来源:维克多

此外，Victor CANoe可以提供特殊安全插件所需的服务。我们部门主要做的是将加密的信息以明文形式呈现，支持AUT……采用OEM厂商要求的特定变体的AR标准和SecOC通信，实现消息加密，管理新鲜值，为以太网通信安全提供相应的支持。

VTESTstudio:汽车网络安全模糊测试的“利器”

接下来是模糊测试，可以通过CANoe将通信测试系统上的加密消息转换成明文代码，这样后续的测试就可以按照传统的测试步骤进行了。在测试完安全功能和安全通信模块后，需要做相应的模糊测试。模糊测试主要有两个区别:第一是模糊信号应用层，第二是基于通信和消息的模糊。

模糊测试中的核心概念是:模糊测试要监控什么，要发现什么问题？这一点在业内还是没有明确的定义。可以测试应用程序和ECU。不同的层次和工程师对它的重视程度不同。

接下来，什么是模糊测试？模糊测试由三部分组成:测试环境、模糊测试用例生成器和监控数据流。需要易于使用的测试工具来模拟各种攻击，即自动生成模糊测试用例，从而为测试系统提供高收益。用于模糊测试的模糊测试器可以分为两类:基于变异的模糊测试器，通过变异已有的数据样本来创建测试用例；基于生成的模糊测试器，被测系统使用的协议或文件被用于建模，基于模型生成输入并相应地创建测试用例。

以上，模糊测试最重要的定义其实就是模糊测试器。简单来说，只要测试人员修改工具系统中的模糊测试人员，并能根据算法规则生成相应的随机数并交给ECU，就可以定义为模糊测试，只是生成器需要的数据不同而已。

Victor的方案复用了HIL和SIL的自动脚本开发工具vTESTstudio，嵌入了模糊测试中使用的模糊测试引擎，其中对应的测试数据主要是以太网和CAN通信的报文电平、以太网和CAN传输的信号电平、I/O或A2L信号电平等。以DBC定义的三个信号为例，这三个信号通过vTEST studio中的模糊引擎在工具中进行配置，每个信号都会根据配置规则生成模糊测试数据。当这三个信号产生时，它们将按照顺序、成对和组合的规则进行配置和组合。组合后，测试人员会将这些数据输入到测试环境和ECU中。

在模糊测试中，最困难的是测试需要监测观察项目。比如有可能给ECU一组数据，使得对应任务的CPU占用率很高。如果观察者要监控数据输入中的CPU占用率，此时应该怎么做？毫无疑问，需要在板卡中设置一个测量功能，监测某段时间内的CPU占用率，这就需要在测试时使用控制器本身的调试端口将其CPU占用率转移到CANoe。

除了在消息级别进行模糊化，Victor还可以在I/O级别进行模糊化，因为CANoe本身就是HIL环境的测试工具。CANoe结合vTESTstudio，从攻击者的角度为嵌入式系统开发工程师提供了类似的攻击注入，通过重用已有的配置工程数据生成模糊测试用例。CANoe强大的功能有助于加强汽车电子行业的模糊测试环境:可以适应不同的OEM厂商，不同的网络协议和数据库；支持数据记录和数据回放，提供详细的自动化测试报告。

图片来源:维克多

另外，动态测试方案既可以覆盖HIL的真实ECU，也可以覆盖SIL的虚拟ECU，Victor都可以提供，只是在实板测试中需要提前插桩，在执行过程中可以覆盖Victor在工具中给出的每一个测试速率。

接下来说一下CANoe中模糊测试的优势。简单来说，测试人员可以直接使用R&D部门开发的CANoe项目，在上面嵌入一个模糊测试器，然后直接进行相应的模糊测试。

通常，模糊测试引擎是基于“黑盒”测试技术的。而“白盒”测试技术可以通过重用汽车电子行业开发验证系统中已有的配置工程(如网络通信协议、控制器逻辑状态功能)和工具来实现。此外，当软件功能发生变化时，结合持续集成环境可以实现验证的快速迭代。

因为CANoe的存在，Victor会更多的使用灰箱模糊测试。黑盒模糊测试是对通信消息进行测试，利用已有的数据库及其内部的信号和变量，直接操纵消息中传递的信号，从而更高效地得到结果，因为灰盒模糊测试的效率比“暴力的”黑盒方法更能确定系统中存在的问题。

渗透测试、漏洞扫描和诊断测试

模糊测试的下一步是渗透测试。一般OEM会委托指定机构进行渗透测试。渗透测试中最常用的技术手段就是刚才提到的模糊测试。测试人员会以模糊的方式检查ECU的漏洞，也有白盒、灰盒、黑盒的不同方式。Victor咨询部在ECU和整车层面为OEM和tier1提供独立的渗透测试和进一步的运营保障。基于灰箱方法，适用于增量回归测试，比传统的渗透测试效率更高。

图片来源:维克多

最后，我们来谈谈漏洞扫描和诊断测试。漏洞扫描主要是针对已知的进行测试，需要提前积累漏洞库，也就是提前掌握代码规则和行业规则。Victor在行业内积累多年。

随着车辆ECU的日益复杂，诊断测试的测试范围和完成诊断功能验证所需的时间和精力也在不断增加。虽然诊断测试的范围在不断扩大，但是创建和执行测试用例的时间和人力投入是相对稳定的。基于CANoe的诊断自动化测试方案。DiVa显著减少了诊断验证的时间和人力投入，并大大增加了测试的广度和深度。如果每个ECU都有一个CDD或ODX格式的诊断数据库，那么从诊断需求规范到全面的自动协议测试只需要一小步，几乎不需要准备就可以检测出协议错误。独木舟。DiVa的测试后处理能力包括:对测试报告进行分类和过滤，以方便预期测试结果的获取；将失败的测试用例与测试数据流(trace)链接起来；为每个测试结果添加注释，以便于对错误及其原因进行分类。记录纠正措施并控制故障排除；将测试解决方案链接到现有的测试数据管理系统或需求管理系统，以便于集成到现有的流程中。目前，全球许多汽车制造商都在使用CANoe。实现诊断测试。

在安全测试服务方面，Victor不仅提供工具咨询，还提供构建和升级安全测试系统的服务。

图片来源:维克多

(以上内容来自于2022年8月25日由Gaspar Automotive主办的2022中国汽车信息安全与功能安全大会上，维克多汽车技术(上海)有限公司商业发展经理范可发发表的主题演讲《车联网安全一站式解决方案》。)Vector为汽车及相关行业的OEM厂商和供应商提供专业的开放开发平台。提供安全领域的各种安全开发和测试工具、安全软件组件和安全咨询服务，并应用于嵌入式系统的创建。基础协议站在MICROSAR的网络安全部署中起着关键作用。

维克多汽车技术(上海)有限公司商业发展经理范可发发表了“车联网安全一站式解决方案”的演讲。以下是发言摘要:

维克多汽车技术(上海)有限公司商务发展经理范可发

ISO 21434标准下的车辆安全测试

今天的话题主要围绕车载安全通信和相应测试技术的应用展开。比如以太网，它有七层架构，需要实现各层之间的通信，所以每一层都会有潜在的网络攻击点，这就需要我们相应的应对各种入侵手段。具体来说，汽车行业已经给出了明确的答案，每一层都有相应的技术手段保证通信能够安全进行，比如SecOC、TLS、IPsec、MACsec等。

我的同事刚刚介绍了Victor在设计和实施阶段提供的安全方案。现在要说的是测试端的安全测试，后面会提到如果客户使用加密技术，从开发到调试如何解密。ISO 21434有一些方法论，与ISO 26262不同，但大部分是相似的。

车侧安全测试主要包括与安全相关的功能测试，主要测试安全相关功能的正确行为和系统的健壮性。它是对产品安全性(机制)的测试，其次是漏洞扫描(用于测试已知漏洞)、模糊测试(通过向目标系统发送无效、未定义或随机的输入来试图发现新的漏洞，这是黑客发现漏洞的首选技术)和渗透测试(对SW+HW系统具有高度个性化和创造性)

CANoe在SIL/HIL网络安全测试中的应用

Victor继续深入参与测试领域，并在将网络安全引入车载系统方面构建了完整的测试解决方案。一般来说，供应商会接触到大量不同的OEM加解密项目需求，因此选择的工具也需要支持不同的OEM加解密系统，以衔接后续的生产、测试、DV、PV等阶段。工具捕捉数据是不够的，还要将数据转化为可识别的消息，然后服务于开发、测试和生产环节。

从工具的角度来看，近年来，OEM可能会使用密钥或证书来加密和解密通信。使用的加密和解密算法以及不同级别使用的加密和解密技术是不同的，尤其是在HPC和区域控制器领域。所以供应商需要在项目中花费大量的时间，提前了解不同的加解密技术，最后在开发环境中调试测试，这是一件非常麻烦的事情。

另外，在ECU开发、量产交付、售后维修三个阶段，安全、鲜值、证书的地位是不一样的，这就带来了一个问题:供应商在生产线上部署的工具系统能否支持不同阶段的应用？Victor推出的CANoe作为一款老工具，也希望能更好的满足现场的工程应用……f网络安全。

图片来源:维克多

那么如何处理上述问题呢？Victor提供系统的安全管理工程解决方案，包括HSM、安全引导、SEOC、安全诊断等。安全管理器可以为所有Victor的工具和加密材料的来源提供一致的接口，降低标称功能测试者的安全复杂度，是一个高度集成的解决方案(无需适应现有的工具链)。

图片来源:维克多

此外，Victor CANoe可以提供特殊安全插件所需的服务。我们部门主要做的是将加密报文呈现为明文，支持AUTOSAR标准和OEM厂商要求的特定变体SecOC通信，实现报文加密，管理新鲜值，为以太网通信安全提供相应的支持。

VTESTstudio:汽车网络安全模糊测试的“利器”

接下来是模糊测试，可以通过CANoe将通信测试系统上的加密消息转换成明文代码，这样后续的测试就可以按照传统的测试步骤进行了。在测试完安全功能和安全通信模块后，需要做相应的模糊测试。模糊测试主要有两个区别:第一是模糊信号应用层，第二是基于通信和消息的模糊。

模糊测试中的核心概念是:模糊测试要监控什么，要发现什么问题？这一点在业内还是没有明确的定义。可以测试应用程序和ECU。不同的层次和工程师对它的重视程度不同。

接下来，什么是模糊测试？模糊测试由三部分组成:测试环境、模糊测试用例生成器和监控数据流。需要易于使用的测试工具来模拟各种攻击，即自动生成模糊测试用例，从而为测试系统提供高收益。用于模糊测试的模糊测试器可以分为两类:基于变异的模糊测试器，通过变异已有的数据样本来创建测试用例；基于生成的模糊测试器，被测系统使用的协议或文件被用于建模，基于模型生成输入并相应地创建测试用例。

以上，模糊测试最重要的定义其实就是模糊测试器。简单来说，只要测试人员修改工具系统中的模糊测试人员，并能根据算法规则生成相应的随机数并交给ECU，就可以定义为模糊测试，只是生成器需要的数据不同而已。

Victor的方案复用了HIL和SIL的自动脚本开发工具vTESTstudio，嵌入了模糊测试中使用的模糊测试引擎，其中对应的测试数据主要是以太网和CAN通信的报文电平、以太网和CAN传输的信号电平、I/O或A2L信号电平等。以DBC定义的三个信号为例，这三个信号通过vTEST studio中的模糊引擎在工具中进行配置，每个信号都会根据配置规则生成模糊测试数据。当这三个信号产生时，它们将按照顺序、成对和组合的规则进行配置和组合。组合后，测试人员会将这些数据输入到测试环境和ECU中。

在模糊测试中，最困难的是测试需要监测观察项目。比如有可能给ECU一组数据，使得对应任务的CPU占用率很高。如果观察者要监控数据输入中的CPU占用率，此时应该怎么做？毫无疑问，需要在板卡中设置一个测量功能，监测某段时间内的CPU占用率，这就需要在测试时使用控制器本身的调试端口将其CPU占用率转移到CANoe。

除了在消息级别进行模糊化，Victor还可以在I/O级别进行模糊化，因为CANoe本身就是HIL环境的测试工具。CANoe结合vTESTstudio，从攻击者的角度为嵌入式系统开发工程师提供了类似的攻击注入，通过重用已有的配置工程数据生成模糊测试用例。CANoe强大的功能有助于加强汽车电子行业的模糊测试环境:可以适应不同的OEM厂商，不同的网络协议和数据库；支持数据记录和数据回放，提供详细的自动化测试报告。

图片来源:维克多

另外，动态测试方案既可以覆盖HIL的真实ECU，也可以覆盖SIL的虚拟ECU，Victor都可以提供，只是在实板测试中需要提前插桩，在执行过程中可以覆盖Victor在工具中给出的每一个测试速率。

接下来说一下CANoe中模糊测试的优势。简单来说，测试人员可以直接使用R&D部门开发的CANoe项目，在上面嵌入一个模糊测试器，然后直接进行相应的模糊测试。

通常，模糊测试引擎是基于“黑盒”测试技术的。而“白盒”测试技术可以通过重用汽车电子行业开发验证系统中已有的配置工程(如网络通信协议、控制器逻辑状态功能)和工具来实现。此外，当软件功能发生变化时，结合持续集成环境可以实现验证的快速迭代。

因为CANoe的存在，Victor会更多的使用灰箱模糊测试。黑盒模糊测试是对通信消息进行测试，利用已有的数据库及其内部的信号和变量，直接操纵消息中传递的信号，从而更高效地得到结果，因为灰盒模糊测试的效率比“暴力的”黑盒方法更能确定系统中存在的问题。

渗透测试、漏洞扫描和诊断测试

模糊测试的下一步是渗透测试。一般OEM会委托指定机构进行渗透测试。渗透测试中最常用的技术手段就是刚才提到的模糊测试。测试人员会以模糊的方式检查ECU的漏洞，也有白盒、灰盒、黑盒的不同方式。Victor咨询部在ECU和整车层面为OEM和tier1提供独立的渗透测试和进一步的运营保障。基于灰箱方法，适用于增量回归测试，比传统的渗透测试效率更高。

图片来源:维克多

最后，我们来谈谈漏洞扫描和诊断测试。漏洞扫描主要是针对已知的进行测试，需要提前积累漏洞库，也就是提前掌握代码规则和行业规则。Victor在行业内积累多年。

随着车辆ECU的日益复杂，诊断测试的测试范围和完成诊断功能验证所需的时间和精力也在不断增加。虽然诊断测试的范围在不断扩大，但是创建和执行测试用例的时间和人力投入是相对稳定的。基于CANoe的诊断自动化测试方案。DiVa显著减少了诊断验证的时间和人力投入，并大大增加了测试的广度和深度。如果每个ECU都有一个CDD或ODX格式的诊断数据库，那么从诊断需求规范到全面的自动协议测试只需要一小步，几乎不需要准备就可以检测出协议错误。独木舟。DiVa的测试后处理能力包括:对测试报告进行分类和过滤，以方便预期测试结果的获取；将失败的测试用例与测试数据流(trace)链接起来；为每个测试结果添加注释，以便于对错误及其原因进行分类。记录纠正措施并控制故障排除；将测试解决方案链接到现有的测试数据管理系统或需求管理系统，以便于集成到现有的流程中。目前，全球许多汽车制造商都在使用CANoe。实现诊断测试。

在安全测试服务方面，Victor不仅提供工具咨询，还提供构建和升级安全测试系统的服务。

图片来源:维克多

(以上内容来自于2022年8月25日由Gaspar Automotive主办的2022中国汽车信息安全与功能安全大会上，维克多汽车技术(上海)有限公司商业发展经理范可发发表的主题演讲《车联网安全一站式解决方案》。)

标签：发现

汽车资讯热门资讯