基于拟态架构的智能网联汽车关键零部件安全风险测试方法

××/T××××—××××YD/T××××—××××PAGE4目次前言 II引言 11范围 22规范性引用文件 23术语和定义 24缩略语 55测试系统构建 55.1测试环境构建 55.3部件要求 65.4知识库要求 65.5裁决策略要求 75.6漏洞定位工具集要求 76测试方法 76.1总体测试流程 86.2ADAS测试方法 86.3TBOX测试方法 96.4网关测试方法 10附录A（资料性）测试用例示例 12前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本标准由紫金山实验室提出并归口。本标准起草单位：紫金山实验室、上海大学、嵩山实验室、上海机动车检测认证技术研究中心有限公司、紫金智联（南京）科技有限公司、智己汽车科技有限公司、开沃新能源汽车集团股份有限公司、厦门金龙旅行车有限公司、宇通客车股份有限公司。本标准主要起草人：秦武韬、谢亚文、丁曙光、刘战伟、杨丰毓、卜士洋、杨欣雨、李江涛、厉宏瑞、许斯亮、李四伟、徐向敏、羊杰、陆军、李进。引言随着汽车产业的智能化与网联化快速发展，智能网联汽车已成为未来出行的重要工具，其集成了先进的传感器技术、车载计算平台、高精度地图、无线通信网络以及人工智能算法等多领域技术，极大地提升了驾驶的便捷性、安全性与舒适性。然而，这一技术革新也伴随着前所未有的安全风险，包括但不限于软件漏洞、数据泄露、恶意攻击及功能失效等，这些风险直接关乎乘客安全、隐私保护及道路交通安全。为了确保智能网联汽车在实际应用中的安全可靠，对关键零部件进行安全风险测试显得尤为重要。关键零部件作为智能网联汽车的“神经中枢”和“执行单元”，其安全性直接关系到整个系统的稳定性和可靠性。因此，制定一套科学、全面、可操作的《基于拟态架构的智能网联汽车关键零部件安全风险测试方法》标准，对于规范测试流程、提升测试效率、保障产品安全具有重要意义。本标准旨在通过明确智能网联汽车关键零部件的评估框架、测试内容及测试方法，为汽车制造商、零部件供应商、第三方检测机构以及监管机构提供一个统一的测试基准和指南。旨在通过测试方法，识别并量化潜在的安全风险，促进技术创新与产品迭代，最终推动智能网联汽车行业健康、有序发展。

基于拟态架构的智能网联汽车关键零部件安全风险测试方法1范围本标准规定了基于拟态架构的智能网联汽车关键零部件安全风险测试构建要求及测试方法流程，在明确原则性要求和系统性防御策略基础上，制定了部件、知识库、裁决策略、漏洞定位工具集方面的技术要求。本标准适用于基于拟态架构的智能网联汽车关键零部件安全风险测试，旨在不依赖先验知识库条件下的漏洞、缺陷感知与发现，并具备基于感知结果的漏洞定位能力。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T40861-2021汽车信息安全通用技术要求GB/T40857-2021汽车网关信息安全技术要求及试验方法GB/T38628-2020信息安全技术汽车电子系统网络安全指南GB/T40856-2021车载信息交互系统信息安全技术要求及试验方法GA/T681-2018信息安全技术网关安全技术要求YD/T3086-2016基于公用通信网的车载网关技术要求3术语和定义GB/T34590-2017、GB/T40861-2021、GB/T40857-2021、GA/T681-2018界定的以及下列术语和定义适用于本文件。3.1智能网联汽车IntelligentConnectedVehicles搭载先进的车载传感器、控制器、执行器等装置，并融合现代通信与网络技术，实现车与X（人、车、路、云端等）智能信息交换、共享，具备复杂环境感知、智能决策、协同控制等功能，可以实现安全、高效、舒适、节能行驶，并最终可实现替代人来操作的新一代汽车。智能网联汽车通常也被称为智能汽车、自动驾驶汽车等。3.2高级驾驶辅助系统AdvancedDrivingAssistanceSystem利用安装在车上的各式各样传感器（毫米波雷达、激光雷达、单\双目摄像头以及卫星导航），在汽车行驶过程中随时来感应周围的环境，收集数据，进行静态、动态物体的辨识、侦测与追踪，并结合导航地图数据，进行系统的运算与分析，从而预先让驾驶者察觉到可能发生的危险，有效增加汽车驾驶的舒适性和安全性。3.3远程通信终端TelematicsBox集成了智能信息处理和通信技术的汽车电子模块，能够实现车辆与外界的无线通信，为驾驶员和车辆提供各种便利与安全保障。3.4中央网关CentralGateway汽车内部网络的管理和数据交换，是车辆通信的核心组件。3.5动态异构冗余DynamicHeterogeneousRedundancy一种通过使用不同实现方式的多个冗余模块，并能在运行时动态调整和切换的系统容错技术。3.6功能安全Functionalsafety不存在由系统的功能异常表现引起的危害而导致不合理的风险。3.7网络安全NetworkSecurity对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。3.8内生安全EndogenousSafetyandSecurity不存在由非人为因素触发未知漏洞、后门和缺陷导致的功能安全风险，也不存在由人为因素触发未知漏洞、后门和缺陷导致的网络安全风险。3.9漏洞Vulnerability在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。3.10缺陷Defects在设计、制造、材料选择或组装过程中存在的问题或缺陷，可能会影响汽车的性能、安全性、可靠性，甚至引发安全事故。3.11安全风险SecurityRisk潜在的安全隐患或漏洞，可能导致系统的机密性、完整性或可用性受到威胁。3.12标准件BenchmarkComponent用于对比测试的参考对象，具有公认的正确性、稳定性或权威性。3.14被测件TestedComponent在当前测试中需要验证其行为、性能或功能是否符合要求的对象。3.15裁决Decision在测试对比过程中，通过分析测试结果、行为表现、或性能数据，对被测对象是否满足预期做出判断的过程。3.16拟态架构MimicArchitecture一种基于生物拟态原理设计的计算与安全防御体系，其核心思想是通过动态、异构、冗余的结构实现高效能计算和内生安全防御，核心架构为动态异构冗余架构。4缩略语下列缩略语适用于本文件。ADASAdvancedDrivingAssistanceSystem高级驾驶辅助系统TBOXTelematicsBox远程通信终端DHRDynamicHeterogeneousRedundancy动态异构冗余IVIIn-VehicleInfotainment车载信息娱乐系统5测试系统构建5.1测试环境构建基于拟态架构的智能网联汽车关键零部件安全风险测试系统总体结构见图1。图1基于拟态架构的智能网联汽车关键零部件安全风险测试系统总体结构基于拟态架构的智能网联汽车关键零部件安全风险测试系统，其核心构成包括标准部件与被测部件（统称为部件）、知识库（涵盖测试用例库、预案库）、裁决策略和漏洞定位工具集。系统能够在面临零部件供应链中作为“链长”角色的复杂环境、安全先验知识存在“库缺”的局限性，以及核心部件软硬件代码处于难以透视的“黑盒”状态时，依托DHR理论，致力于构建一种不依赖于既有先验知识的新型安全能力。此能力旨在针对诸如TBOX、ADAS及网关等关键零部件，实现安全风险的精准检测与定位。图2基于拟态架构的智能网联汽车关键零部件安全风险测试系统硬件连接示意图图2为基于拟态架构的智能网联汽车关键零部件安全风险测试对比系统硬件连接示意图，主要针对车载关键零部件的CAN接口和以太网接口进行数据获取解析，经数据时间同步后接入基于拟态架构的风险测试对比系统，利用系统知识库和对比裁决策略，实现车载待测零部件的风险检测与定位。5.3部件要求a）应具备针对ADAS、TBOX、车载网关等核心汽车零部件的全面测试功能；b）支持每一种关键零部件配备一套非同源异构设备，非同源异构设备应功能相同但设计相异；c）构建多元化的部件池，内含多种非同源异构设备，便于测试时按需调用。5.4知识库要求a）在设计基于拟态架构的安全风险测试用例时，需依据部件的具体功能特性、性能指标、运行逻辑流程、软硬件架构以及输入输出参数等多个维度，分别进行细致且全面的测试用例设计；b）测试用例的设计需涵盖两种情形。一种是预期成功的场景，用以验证系统功能的正常运作；另一种是特定条件下可能失效的案例，旨在发现潜在的问题与边界条件；c）重视对输入输出数据的精确控制，并强调对比测试的标准化设计，确保测试过程可复现，从而为裁决提供坚实依据，进而保证测试结果的准确性和可分析性；d）测试用例设计应具有足够的广度和深度，覆盖关键零部件可能的功能安全和网络安全威胁情境；e）预案设计应涵盖常见的方案，确保对裁决结果的全面覆盖；f）支持预案库添加新的方案。5.5裁决策略要求a）支持单次裁决，主要依据执行体对比异常判定策略，并根据对比结果决定是否输出单次裁决异常（判定结果）；b）支持迭代裁决，基于单次裁决结果，在一定时间段内（移动时间窗口）如果单次裁决＞N（待定），则判定待测件异常；c）支持M/N逻辑裁决，基于N个输入（如测试结果、判断标准、检测模块的输出）进行裁决，只有当至少有M个输入符合特定条件时，裁决才认为条件成立。5.6漏洞定位工具集要求a）支持覆盖已知的漏洞，以实现对复杂漏洞的全面检测与分析；b）支持通过多轮裁决的迭代调度逐步缩小定位安全风险组件。6测试方法6.1总体测试流程图3基于拟态架构的智能网联汽车关键零部件安全风险测试对比流程基于拟态架构的智能网联汽车关键零部件安全风险测试的主要流程如下：a）首先对被测部件进行初步分析，明确其主要功能、输入输出接口信息，进行检测系统初始化，配置标准被测部件和初始用例；b）通过统一输入代理，将标准化测试用例分发到被测部件以及标准部件（M、P、X）进行对比测试；c）根据对比测试结果按标准化测试预案确定下一轮测试用例和标准对比件，比如测试例1顺利通过，则进行测试例2的测试，如未通过，则按预案执行定位测试例，初步确定问题模块，该过程支持人工介入，进行测试例和标准对比件的调整；d）按a-c进行循环测试，直至各测试用例全部完成，进行测试结果的汇总，支撑漏洞、缺陷发现与定位。6.2ADAS测试方法图4ADAS测试环境硬件连接拓扑图图5基于拟态架构的ADAS部件安全风险测试对比流程a）构建ADAS标准测试用例库；b）以自适应巡航为例，第一轮自适应巡航大项为测试例输入，对车距、车速、决策等信息进行内生安全裁决，比对被测部件被测值和标准部件提供的参考值，在安全范围内可进行分级评价；c）若车距不符合安全要求，系统调度自适应巡航子测试项，对与车速相关的输入项进行下一轮裁决；若标准部件值有异常，系统调度标准部件池其他部件加入测试。同时测试人员也可根据中间结果介入调度流程；d）系统完成测试用例库所有测试项后形成综合测试报告。6.3TBOX测试方法图6TBOX测试环境硬件连接拓扑图图7基于拟态架构的TBOX部件安全风险测试对比流程a）构建TBOX标准用例库，并从TBOX部件池中选择不同品牌的TBOX作为对照组；b）选择其中一类用例通过输入代理进行测试，如日志数据安全测试；c）通过测试输出，如发现待测TBOX日志被篡改，而对照组没有被篡改，进一步分析，是待测TBOX日志数据的存储被覆盖还是由其他原因导致的，如异常的写入操作导致等；d）在用例库中选择相关用例进行下一轮迭代测试，最终输出内生安全对比测试报告，明确问题基本情况和初步定位。6.4网关测试方法图8汽车网关测试环境硬件连接拓扑图图9基于拟态架构的网关部件安全风险测试对比流程a）构建网关标准用例库，从标准测试库中选择测评用例，例如协议转发测试，输入代理，并构建测试环境；b）构造输入源和连接方式，如车载网关通过CAN协议连接方式连接ADAS域；c）接入待测设备，将多款商用网关和待测网关接入代理；d）测试对比，通过测试商用网关和待测网关对ADAS输入的CAN报文协议进行报文ID一致性比对和报文丢帧率阈值比对；e）分析是否报文丢失率过高，若出现异常，则反馈到调度池，调用关联测试用例（数据采集测试），判断是否是协议转发还是数据采集异常，进行循环测试；f）汇总测试结果，生成测试报告。

附录A（资料性）测试用例示例A.1ADAS测试用例示例随机目的地址模糊攻击能力要求：系统应具备如下能力：能够接收被攻击ADAS在CAN总线模糊攻击状态下输出的感知决策信息；能够评价被攻击ADAS在CAN总线模糊攻击状态下的系统响应即感知决策数据输出有无，及输出数据的实时性和准确性。预置条件：环境要求：环境照度应在500lx以上并分布均匀。道路要求：无。车辆要求：无。环境准备：完成ADAS标准件、ADAS被测件在测试环境内的安装标定，完成ADAS测试台架环境搭建，各系统运行正常，摄像头及毫米波雷达传感器工作正常。验证流程：步骤1：通过视频采集方式构造多组自车前方纵向100m，横向±5m距离内的至少3种以上类型的静止或运动障碍物（例如轿车、行人、自行车及摩托车等），障碍物相对自车横向运动速度不大于5m/s，相对自车纵向运动速度不大于20m/s，采集获取自车前方的视频；步骤2：以视频再录制方式，将采集的视频数据灌注给各ADAS摄像头，并记录当前数据注入的时间戳；步骤3：构造随机目的地址（CAN报文ID）的总线攻击报文，通过ADAS与车身连接的CAN线注入到ADAS的CAN总线对CAN总线进行随机模糊攻击。例如将报文ID设置为随机、报文DLC设置为8、报文Data设置为【1122334455667788】、报文发送频率为10ms；步骤4：接收各ADAS的感知障碍物信息和距离碰撞时间信息，包括障碍物数量、障碍物位置信息时间戳、障碍物类型、障碍物横向x坐标、障碍物纵向y坐标及距离碰撞时间值；步骤5：比较系统接收ADAS标准件和各ADAS被测件感知障碍物信息偏差和距离碰撞时间偏差，包括障碍物数量差异、匹配障碍物识别延迟，匹配障碍物类型识别偏差，匹配障碍物横纵向坐标偏差，距离碰撞时间信息输出延迟及距离碰撞时间值偏差，根据ADAS功能评价方法获取该测试项ADAS功能一致性评价结果。预期结果：输出该测试项ADAS功能一致性评价结果。检验结果：PASSA.2TBOX测试用例示例能力要求：系统应具备如下能力：能够接收各TBOX设备在CAN总线模糊攻击状态下上报的整车数据（车速、SOC）、电机数据（电机转速）、室内温度、左转右转灯状态；能够接收各TBOX设备在CAN总线模糊攻击状态下下发的车辆控制数据（供电控制、车门控制、灯光控制、空调控制等）；能够评价各TBOX设备在CAN总线模糊攻击状态下的系统响应即整车数据、电机数据、车灯状态数据和车辆控制数据输出有无，及输出数据的实时性和准确性。预置条件：各TBOX设备支持与TSP系统连接；各TBOX设备终端需与TSP云平台连接并注册鉴权成功；各TBOX设备需适配TSP平台车辆控制指令协议；各TBOX设备车辆数据上报端能够成功接入本系统；各TBOX设备车辆控制数据下发端能够成功接入本系统；完成TBOX设备拟态威胁测试环境搭建，各系统运行正常。验证流程：根据各TBOX设备的车辆数据上报协议，通过实车采集，或者通过各TBOX设备与车身连接的CAN线模拟车辆的整车数据、电机数据和车灯状态等信息并注入给各TBOX设备；根据各TBOX设备的车辆控制协议，在TSP平台分别下发供电控制、车门控制、灯光控制和空调控制指令；在掌握各TBOX设备与车身CAN通信dbc文件协议基础上，将CANFDNet设备以并联的方式接入到各TBOX设备与车身连接的CAN线，建立相关上位机与各TBOX设备的CAN通信；通过上位机加载对应TBOX设备与车身CAN通信的dbc协议，通过对特定TBOX设备接收信号进