李新福,陈圳艳,吴 超,柯馨沁
(1.重庆经济技术开发区建设服务中心,重庆 400000;2.招商局检测车辆技术研究院有限公司,重庆 401329)
随着汽车智能化和网联化进程的加快,车载终端作为汽车内外通信的桥梁,其信息安全性越来越受到关注。目前,各种车辆搭载的车载终端大部分欠缺有效的信息安全防护,为了保障车载终端的良性发展,需进一步分析其安全威胁和安全需求,探究相关信息安全问题和测试方法。GB 17691—2018《重型柴油车污染物排放限值及测量方法(中国第六阶段)》(以下简称国六)在附录Q.4“安全策略”的第一个方面对保护数据安全所采用的密码算法和硬件提出了要求。由于目前对此还没有标准的测试方法,因此为评价车载排放终端的该功能是否达到规定要求,本文对该终端密码功能的测试方法进行研究和应用。
文献[5]附录Q.4要求:“车载终端应提供技术可行的安全策略,保证产品各种性能和功能处于安全范围内”,并且规定从五个方面来实现,其中一个方面是“车载终端存储、传输的数据应是加密的,应采用非对称加密算法,可使用国密SM2算法或者RSA算法,并且需要采用硬件方式对私钥进行严格保护”。
国密SM2非对称加密算法的密钥分为公钥和私钥两部分,其中公钥可以进行加密、签名验证,私钥可以进行解密和数字签名,很好地解决了对称密码算法中加密和解密使用相同密钥(即不分公钥、私钥)的密钥管理难题,从而能够保证车载终端信息的完整性和准确性。本文所研究的车载终端,据其产品介绍采用了国密SM2非对称加密算法和安全芯片加密。因此本文构建了终端SM2算法密码功能测试系统,通过测试终端的数据签名验签过程来验证其采用SM2非对称加密算法的符合性,通过测试总线数据内容来验证其所采用的硬件是否对私钥进行了严格保护。
该车载排放终端密码功能测试系统主要由算法验签模块、示波器解码模块组成,从算法测试、总线测试两个层面测试验证算法和芯片的真实性、有效性和可靠性。系统架构如图1所示。
图1 测试系统总体框架
1)将厂家委托的车载终端通过Uart串口连接至图1中的测试上位机,并启动上位机中的算法测试工具,如图2所示,执行国密SM2签名验证测试初始化,判断车载终端的Agent程序是否正常运行。
图2 车载终端安全芯片算法测试工具
2)测试过程中,算法测试工具将产生随机明文,依次发送给车载终端Agent程序并通过车载终端中的加密芯片进行签名,Agent程序将签名后的数据反馈给算法测试工具。
3)算法测试工具对签名后的明文数据进行国密SM2算法验签,参加验签的数据正确率不低于99%则认为符合标准要求。本次测试中,对100条明文数据进行了SM2算法验签,验签的数据正确率为100%,与标准要求相符。说明该车载终端存储、传输的数据是采用国密SM2算法加密的。
1)将上述所测终端的加密芯片总线引脚连接至图1中的示波器,同时给示波器分配IP地址。
2)使用上位机算法测试工具产生一组随机的明文,并通过车载终端的Uart串口发送至终端Agent程序进行签名。
3)使用示波器对加密芯片所接SPI总线进行电平采集,如图3所示。解析下发明文数据至返回签名数据全过程中的总线数据,并与下发和接收的数据进行比对。
图3 示波器电平采集
4)如果总线数据中包含有Agent程序通过车载终端Uart串口返回的公钥、明文、用户ID及签名值,则可以认定签名是由安全芯片完成的,符合标准要求。本次测试中,示波器基于MISO、MOSI引脚电平解析到的总线数据包含有公钥、明文、用户ID及签名值,且与Agent程序通过车载终端Uart串口返回的数据一致,与标准要求相符,如图4所示。说明该车载终端采用加密芯片的硬件方式实现了数字加密、数字签名和对私钥的严格保护。
图4 总线数据解析
本文构建了车载排放终端密码功能测试系统,从国密SM2算法测试、加密芯片测试两个方面检验了车载排放终端的信息安全防护能力。可为建立可行、明确的测试流程,保证测试结果的一致性和准确性提供参考。