××/T××××—××××YD/T××××—××××PAGE4目次前言 II引言 11范圍 22規(guī)范性引用文件 23術(shù)語和定義 24縮略語 55測試系統(tǒng)構(gòu)建 55.1測試環(huán)境構(gòu)建 55.3部件要求 65.4知識庫要求 65.5裁決策略要求 75.6漏洞定位工具集要求 76測試方法 76.1總體測試流程 86.2ADAS測試方法 86.3TBOX測試方法 96.4網(wǎng)關(guān)測試方法 10附錄A（資料性）測試用例示例 12前言本文件按照GB/T1.1—2020《標準化工作導則第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本標準由紫金山實驗室提出并歸口。本標準起草單位：紫金山實驗室、上海大學、嵩山實驗室、上海機動車檢測認證技術(shù)研究中心有限公司、紫金智聯(lián)（南京）科技有限公司、智己汽車科技有限公司、開沃新能源汽車集團股份有限公司、廈門金龍旅行車有限公司、宇通客車股份有限公司。本標準主要起草人：秦武韜、謝亞文、丁曙光、劉戰(zhàn)偉、楊豐毓、卜士洋、楊欣雨、李江濤、厲宏瑞、許斯亮、李四偉、徐向敏、羊杰、陸軍、李進。引言隨著汽車產(chǎn)業(yè)的智能化與網(wǎng)聯(lián)化快速發(fā)展，智能網(wǎng)聯(lián)汽車已成為未來出行的重要工具，其集成了先進的傳感器技術(shù)、車載計算平臺、高精度地圖、無線通信網(wǎng)絡(luò)以及人工智能算法等多領(lǐng)域技術(shù)，極大地提升了駕駛的便捷性、安全性與舒適性。然而，這一技術(shù)革新也伴隨著前所未有的安全風險，包括但不限于軟件漏洞、數(shù)據(jù)泄露、惡意攻擊及功能失效等，這些風險直接關(guān)乎乘客安全、隱私保護及道路交通安全。為了確保智能網(wǎng)聯(lián)汽車在實際應(yīng)用中的安全可靠，對關(guān)鍵零部件進行安全風險測試顯得尤為重要。關(guān)鍵零部件作為智能網(wǎng)聯(lián)汽車的“神經(jīng)中樞”和“執(zhí)行單元”，其安全性直接關(guān)系到整個系統(tǒng)的穩(wěn)定性和可靠性。因此，制定一套科學、全面、可操作的《基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試方法》標準，對于規(guī)范測試流程、提升測試效率、保障產(chǎn)品安全具有重要意義。本標準旨在通過明確智能網(wǎng)聯(lián)汽車關(guān)鍵零部件的評估框架、測試內(nèi)容及測試方法，為汽車制造商、零部件供應(yīng)商、第三方檢測機構(gòu)以及監(jiān)管機構(gòu)提供一個統(tǒng)一的測試基準和指南。旨在通過測試方法，識別并量化潛在的安全風險，促進技術(shù)創(chuàng)新與產(chǎn)品迭代，最終推動智能網(wǎng)聯(lián)汽車行業(yè)健康、有序發(fā)展。

基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試方法1范圍本標準規(guī)定了基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試構(gòu)建要求及測試方法流程，在明確原則性要求和系統(tǒng)性防御策略基礎(chǔ)上，制定了部件、知識庫、裁決策略、漏洞定位工具集方面的技術(shù)要求。本標準適用于基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試，旨在不依賴先驗知識庫條件下的漏洞、缺陷感知與發(fā)現(xiàn)，并具備基于感知結(jié)果的漏洞定位能力。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T40861-2021汽車信息安全通用技術(shù)要求GB/T40857-2021汽車網(wǎng)關(guān)信息安全技術(shù)要求及試驗方法GB/T38628-2020信息安全技術(shù)汽車電子系統(tǒng)網(wǎng)絡(luò)安全指南GB/T40856-2021車載信息交互系統(tǒng)信息安全技術(shù)要求及試驗方法GA/T681-2018信息安全技術(shù)網(wǎng)關(guān)安全技術(shù)要求YD/T3086-2016基于公用通信網(wǎng)的車載網(wǎng)關(guān)技術(shù)要求3術(shù)語和定義GB/T34590-2017、GB/T40861-2021、GB/T40857-2021、GA/T681-2018界定的以及下列術(shù)語和定義適用于本文件。3.1智能網(wǎng)聯(lián)汽車IntelligentConnectedVehicles搭載先進的車載傳感器、控制器、執(zhí)行器等裝置，并融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，實現(xiàn)車與X（人、車、路、云端等）智能信息交換、共享，具備復雜環(huán)境感知、智能決策、協(xié)同控制等功能，可以實現(xiàn)安全、高效、舒適、節(jié)能行駛，并最終可實現(xiàn)替代人來操作的新一代汽車。智能網(wǎng)聯(lián)汽車通常也被稱為智能汽車、自動駕駛汽車等。3.2高級駕駛輔助系統(tǒng)AdvancedDrivingAssistanceSystem利用安裝在車上的各式各樣傳感器（毫米波雷達、激光雷達、單\雙目攝像頭以及衛(wèi)星導航），在汽車行駛過程中隨時來感應(yīng)周圍的環(huán)境，收集數(shù)據(jù)，進行靜態(tài)、動態(tài)物體的辨識、偵測與追蹤，并結(jié)合導航地圖數(shù)據(jù)，進行系統(tǒng)的運算與分析，從而預先讓駕駛者察覺到可能發(fā)生的危險，有效增加汽車駕駛的舒適性和安全性。3.3遠程通信終端TelematicsBox集成了智能信息處理和通信技術(shù)的汽車電子模塊，能夠?qū)崿F(xiàn)車輛與外界的無線通信，為駕駛員和車輛提供各種便利與安全保障。3.4中央網(wǎng)關(guān)CentralGateway汽車內(nèi)部網(wǎng)絡(luò)的管理和數(shù)據(jù)交換，是車輛通信的核心組件。3.5動態(tài)異構(gòu)冗余DynamicHeterogeneousRedundancy一種通過使用不同實現(xiàn)方式的多個冗余模塊，并能在運行時動態(tài)調(diào)整和切換的系統(tǒng)容錯技術(shù)。3.6功能安全Functionalsafety不存在由系統(tǒng)的功能異常表現(xiàn)引起的危害而導致不合理的風險。3.7網(wǎng)絡(luò)安全NetworkSecurity對網(wǎng)絡(luò)環(huán)境下存儲、傳輸和處理的信息的保密性、完整性和可用性的保持。3.8內(nèi)生安全EndogenousSafetyandSecurity不存在由非人為因素觸發(fā)未知漏洞、后門和缺陷導致的功能安全風險，也不存在由人為因素觸發(fā)未知漏洞、后門和缺陷導致的網(wǎng)絡(luò)安全風險。3.9漏洞Vulnerability在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。3.10缺陷Defects在設(shè)計、制造、材料選擇或組裝過程中存在的問題或缺陷，可能會影響汽車的性能、安全性、可靠性，甚至引發(fā)安全事故。3.11安全風險SecurityRisk潛在的安全隱患或漏洞，可能導致系統(tǒng)的機密性、完整性或可用性受到威脅。3.12標準件BenchmarkComponent用于對比測試的參考對象，具有公認的正確性、穩(wěn)定性或權(quán)威性。3.14被測件TestedComponent在當前測試中需要驗證其行為、性能或功能是否符合要求的對象。3.15裁決Decision在測試對比過程中，通過分析測試結(jié)果、行為表現(xiàn)、或性能數(shù)據(jù)，對被測對象是否滿足預期做出判斷的過程。3.16擬態(tài)架構(gòu)MimicArchitecture一種基于生物擬態(tài)原理設(shè)計的計算與安全防御體系，其核心思想是通過動態(tài)、異構(gòu)、冗余的結(jié)構(gòu)實現(xiàn)高效能計算和內(nèi)生安全防御，核心架構(gòu)為動態(tài)異構(gòu)冗余架構(gòu)。4縮略語下列縮略語適用于本文件。ADASAdvancedDrivingAssistanceSystem高級駕駛輔助系統(tǒng)TBOXTelematicsBox遠程通信終端DHRDynamicHeterogeneousRedundancy動態(tài)異構(gòu)冗余IVIIn-VehicleInfotainment車載信息娛樂系統(tǒng)5測試系統(tǒng)構(gòu)建5.1測試環(huán)境構(gòu)建基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試系統(tǒng)總體結(jié)構(gòu)見圖1。圖1基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試系統(tǒng)總體結(jié)構(gòu)基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試系統(tǒng)，其核心構(gòu)成包括標準部件與被測部件（統(tǒng)稱為部件）、知識庫（涵蓋測試用例庫、預案庫）、裁決策略和漏洞定位工具集。系統(tǒng)能夠在面臨零部件供應(yīng)鏈中作為“鏈長”角色的復雜環(huán)境、安全先驗知識存在“庫缺”的局限性，以及核心部件軟硬件代碼處于難以透視的“黑盒”狀態(tài)時，依托DHR理論，致力于構(gòu)建一種不依賴于既有先驗知識的新型安全能力。此能力旨在針對諸如TBOX、ADAS及網(wǎng)關(guān)等關(guān)鍵零部件，實現(xiàn)安全風險的精準檢測與定位。圖2基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試系統(tǒng)硬件連接示意圖圖2為基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試對比系統(tǒng)硬件連接示意圖，主要針對車載關(guān)鍵零部件的CAN接口和以太網(wǎng)接口進行數(shù)據(jù)獲取解析，經(jīng)數(shù)據(jù)時間同步后接入基于擬態(tài)架構(gòu)的風險測試對比系統(tǒng)，利用系統(tǒng)知識庫和對比裁決策略，實現(xiàn)車載待測零部件的風險檢測與定位。5.3部件要求a）應(yīng)具備針對ADAS、TBOX、車載網(wǎng)關(guān)等核心汽車零部件的全面測試功能；b）支持每一種關(guān)鍵零部件配備一套非同源異構(gòu)設(shè)備，非同源異構(gòu)設(shè)備應(yīng)功能相同但設(shè)計相異；c）構(gòu)建多元化的部件池，內(nèi)含多種非同源異構(gòu)設(shè)備，便于測試時按需調(diào)用。5.4知識庫要求a）在設(shè)計基于擬態(tài)架構(gòu)的安全風險測試用例時，需依據(jù)部件的具體功能特性、性能指標、運行邏輯流程、軟硬件架構(gòu)以及輸入輸出參數(shù)等多個維度，分別進行細致且全面的測試用例設(shè)計；b）測試用例的設(shè)計需涵蓋兩種情形。一種是預期成功的場景，用以驗證系統(tǒng)功能的正常運作；另一種是特定條件下可能失效的案例，旨在發(fā)現(xiàn)潛在的問題與邊界條件；c）重視對輸入輸出數(shù)據(jù)的精確控制，并強調(diào)對比測試的標準化設(shè)計，確保測試過程可復現(xiàn)，從而為裁決提供堅實依據(jù)，進而保證測試結(jié)果的準確性和可分析性；d）測試用例設(shè)計應(yīng)具有足夠的廣度和深度，覆蓋關(guān)鍵零部件可能的功能安全和網(wǎng)絡(luò)安全威脅情境；e）預案設(shè)計應(yīng)涵蓋常見的方案，確保對裁決結(jié)果的全面覆蓋；f）支持預案庫添加新的方案。5.5裁決策略要求a）支持單次裁決，主要依據(jù)執(zhí)行體對比異常判定策略，并根據(jù)對比結(jié)果決定是否輸出單次裁決異常（判定結(jié)果）；b）支持迭代裁決，基于單次裁決結(jié)果，在一定時間段內(nèi)（移動時間窗口）如果單次裁決＞N（待定），則判定待測件異常；c）支持M/N邏輯裁決，基于N個輸入（如測試結(jié)果、判斷標準、檢測模塊的輸出）進行裁決，只有當至少有M個輸入符合特定條件時，裁決才認為條件成立。5.6漏洞定位工具集要求a）支持覆蓋已知的漏洞，以實現(xiàn)對復雜漏洞的全面檢測與分析；b）支持通過多輪裁決的迭代調(diào)度逐步縮小定位安全風險組件。6測試方法6.1總體測試流程圖3基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試對比流程基于擬態(tài)架構(gòu)的智能網(wǎng)聯(lián)汽車關(guān)鍵零部件安全風險測試的主要流程如下：a）首先對被測部件進行初步分析，明確其主要功能、輸入輸出接口信息，進行檢測系統(tǒng)初始化，配置標準被測部件和初始用例；b）通過統(tǒng)一輸入代理，將標準化測試用例分發(fā)到被測部件以及標準部件（M、P、X）進行對比測試；c）根據(jù)對比測試結(jié)果按標準化測試預案確定下一輪測試用例和標準對比件，比如測試例1順利通過，則進行測試例2的測試，如未通過，則按預案執(zhí)行定位測試例，初步確定問題模塊，該過程支持人工介入，進行測試例和標準對比件的調(diào)整；d）按a-c進行循環(huán)測試，直至各測試用例全部完成，進行測試結(jié)果的匯總，支撐漏洞、缺陷發(fā)現(xiàn)與定位。6.2ADAS測試方法圖4ADAS測試環(huán)境硬件連接拓撲圖圖5基于擬態(tài)架構(gòu)的ADAS部件安全風險測試對比流程a）構(gòu)建ADAS標準測試用例庫；b）以自適應(yīng)巡航為例，第一輪自適應(yīng)巡航大項為測試例輸入，對車距、車速、決策等信息進行內(nèi)生安全裁決，比對被測部件被測值和標準部件提供的參考值，在安全范圍內(nèi)可進行分級評價；c）若車距不符合安全要求，系統(tǒng)調(diào)度自適應(yīng)巡航子測試項，對與車速相關(guān)的輸入項進行下一輪裁決；若標準部件值有異常，系統(tǒng)調(diào)度標準部件池其他部件加入測試。同時測試人員也可根據(jù)中間結(jié)果介入調(diào)度流程；d）系統(tǒng)完成測試用例庫所有測試項后形成綜合測試報告。6.3TBOX測試方法圖6TBOX測試環(huán)境硬件連接拓撲圖圖7基于擬態(tài)架構(gòu)的TBOX部件安全風險測試對比流程a）構(gòu)建TBOX標準用例庫，并從TBOX部件池中選擇不同品牌的TBOX作為對照組；b）選擇其中一類用例通過輸入代理進行測試，如日志數(shù)據(jù)安全測試；c）通過測試輸出，如發(fā)現(xiàn)待測TBOX日志被篡改，而對照組沒有被篡改，進一步分析，是待測TBOX日志數(shù)據(jù)的存儲被覆蓋還是由其他原因?qū)е碌?，如異常的寫入操作導致等；d）在用例庫中選擇相關(guān)用例進行下一輪迭代測試，最終輸出內(nèi)生安全對比測試報告，明確問題基本情況和初步定位。6.4網(wǎng)關(guān)測試方法圖8汽車網(wǎng)關(guān)測試環(huán)境硬件連接拓撲圖圖9基于擬態(tài)架構(gòu)的網(wǎng)關(guān)部件安全風險測試對比流程a）構(gòu)建網(wǎng)關(guān)標準用例庫，從標準測試庫中選擇測評用例，例如協(xié)議轉(zhuǎn)發(fā)測試，輸入代理，并構(gòu)建測試環(huán)境；b）構(gòu)造輸入源和連接方式，如車載網(wǎng)關(guān)通過CAN協(xié)議連接方式連接ADAS域；c）接入待測設(shè)備，將多款商用網(wǎng)關(guān)和待測網(wǎng)關(guān)接入代理；d）測試對比，通過測試商用網(wǎng)關(guān)和待測網(wǎng)關(guān)對ADAS輸入的CAN報文協(xié)議進行報文ID一致性比對和報文丟幀率閾值比對；e）分析是否報文丟失率過高，若出現(xiàn)異常，則反饋到調(diào)度池，調(diào)用關(guān)聯(lián)測試用例（數(shù)據(jù)采集測試），判斷是否是協(xié)議轉(zhuǎn)發(fā)還是數(shù)據(jù)采集異常，進行循環(huán)測試；f）匯總測試結(jié)果，生成測試報告。

附錄A（資料性）測試用例示例A.1ADAS測試用例示例隨機目的地址模糊攻擊能力要求：系統(tǒng)應(yīng)具備如下能力：能夠接收被攻擊ADAS在CAN總線模糊攻擊狀態(tài)下輸出的感知決策信息；能夠評價被攻擊ADAS在CAN總線模糊攻擊狀態(tài)下的系統(tǒng)響應(yīng)即感知決策數(shù)據(jù)輸出有無，及輸出數(shù)據(jù)的實時性和準確性。預置條件：環(huán)境要求：環(huán)境照度應(yīng)在500lx以上并分布均勻。道路要求：無。車輛要求：無。環(huán)境準備：完成ADAS標準件、ADAS被測件在測試環(huán)境內(nèi)的安裝標定，完成ADAS測試臺架環(huán)境搭建，各系統(tǒng)運行正常，攝像頭及毫米波雷達傳感器工作正常。驗證流程：步驟1：通過視頻采集方式構(gòu)造多組自車前方縱向100m，橫向±5m距離內(nèi)的至少3種以上類型的靜止或運動障礙物（例如轎車、行人、自行車及摩托車等），障礙物相對自車橫向運動速度不大于5m/s，相對自車縱向運動速度不大于20m/s，采集獲取自車前方的視頻；步驟2：以視頻再錄制方式，將采集的視頻數(shù)據(jù)灌注給各ADAS攝像頭，并記錄當前數(shù)據(jù)注入的時間戳；步驟3：構(gòu)造隨機目的地址（CAN報文ID）的總線攻擊報文，通過ADAS與車身連接的CAN線注入到ADAS的CAN總線對CAN總線進行隨機模糊攻擊。例如將報文ID設(shè)置為隨機、報文DLC設(shè)置為8、報文Data設(shè)置為【1122334455667788】、報文發(fā)送頻率為10ms；步驟4：接收各ADAS的感知障礙物信息和距離碰撞時間信息，包括障礙物數(shù)量、障礙物位置信息時間戳、障礙物類型、障礙物橫向x坐標、障礙物縱向y坐標及距離碰撞時間值；步驟5：比較系統(tǒng)接收ADAS標準件和各ADAS被測件感知障礙物信息偏差和距離碰撞時間偏差，包括障礙物數(shù)量差異、匹配障礙物識別延遲，匹配障礙物類型識別偏差，匹配障礙物橫縱向坐標偏差，距離碰撞時間信息輸出延遲及距離碰撞時間值偏差，根據(jù)ADAS功能評價方法獲取該測試項ADAS功能一致性評價結(jié)果。預期結(jié)果：輸出該測試項ADAS功能一致性評價結(jié)果。檢驗結(jié)果：PASSA.2TBOX測試用例示例能力要求：系統(tǒng)應(yīng)具備如下能力：能夠接收各TBOX設(shè)備在CAN總線模糊攻擊狀態(tài)下上報的整車數(shù)據(jù)（車速、SOC）、電機數(shù)據(jù)（電機轉(zhuǎn)速）、室內(nèi)溫度、左轉(zhuǎn)右轉(zhuǎn)燈狀態(tài)；能夠接收各TBOX設(shè)備在CAN總線模糊攻擊狀態(tài)下下發(fā)的車輛控制數(shù)據(jù)（供電控制、車門控制、燈光控制、空調(diào)控制等）；能夠評價各TBOX設(shè)備在CAN總線模糊攻擊狀態(tài)下的系統(tǒng)響應(yīng)即整車數(shù)據(jù)、電機數(shù)據(jù)、車燈狀態(tài)數(shù)據(jù)和車輛控制數(shù)據(jù)輸出有無，及輸出數(shù)據(jù)的實時性和準確性。預置條件：各TBOX設(shè)備支持與TSP系統(tǒng)連接；各TBOX設(shè)備終端需與TSP云平臺連接并注冊鑒權(quán)成功；各TBOX設(shè)備需適配TSP平臺車輛控制指令協(xié)議；各TBOX設(shè)備車輛數(shù)據(jù)上報端能夠成功接入本系統(tǒng)；各TBOX設(shè)備車輛控制數(shù)據(jù)下發(fā)端能夠成功接入本系統(tǒng)；完成TBOX設(shè)備擬態(tài)威脅測試環(huán)境搭建，各系統(tǒng)運行正常。驗證流程：根據(jù)各TBOX設(shè)備的車輛數(shù)據(jù)上報協(xié)議，通過實車采集，或者通過各TBOX設(shè)備與車身連接的CAN線模擬車輛的整車數(shù)據(jù)、電機數(shù)據(jù)和車燈狀態(tài)等信息并注入給各TBOX設(shè)備；根據(jù)各TBOX設(shè)備的車輛控制協(xié)議，在TSP平臺分別下發(fā)供電控制、車門控制、燈光控制和空調(diào)控制指令；在掌握各TBOX設(shè)備與車身CAN通信dbc文件協(xié)議基礎(chǔ)上，將CANFDNet設(shè)備以并聯(lián)的方式接入到各TBOX設(shè)備與車身連接的CAN線，建立相關(guān)上位機與各TBOX設(shè)備的CAN通信；通過上位機加載對應(yīng)TBOX設(shè)備與車身CAN通信的dbc協(xié)議，通過對特定TBOX設(shè)備接收信號進