WO2018149245A1 - 汽车信息的安全测试方法及装置 - Google Patents

Abstract

一种汽车信息的安全测试方法及装置，涉及一种汽车技术领域，主要目的在于解决现有汽车中各个部件产生的信息，无法检测是否安全的问题。所述方法包括：通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；根据检测结果，输出所述汽车的安全测试结果。用于汽车信息的安全测试。同时，还涉及一种汽车安全测试等级的确定方法及装置。

Description

汽车信息的安全测试方法及装置 技术领域

本发明涉及一种汽车技术领域，特别是涉及一种汽车信息的安全测试方法及装置，以及一种汽车安全测试等级的确定方法及装置。

背景技术

随着互联网技术在各行各业中的大范围应用，汽车互联网技术已经走向成熟。由于汽车中集成了多种不同功能的软、硬件，每个部件之间存在着高度的互联，某一部分出现执行恶意行为的情况，都可能会导致汽车系统的瘫痪，而一些潜在的、不易察觉的异常也会对汽车安全造成威胁。

目前，现有的汽车中各个软、硬件之间的互联是根据总线连接方式进行的，但是，仍然无法获知每个部件产生的信息是否安全，因此，对汽车信息进行安全测试已经成为亟待解决的问题。

同时，目前，当汽车系统出现异常情况或出现潜在的安全隐患后，会对汽车信息进行安全测试，但是无法根据测试结果判断是否需要进行调试等操作，因此，对汽车安全测试进行确定等级已经成为亟待解决的问题。

发明内容

有鉴于此，本发明提供一种汽车信息的安全测试方法及装置，主要目的在于现有汽车中各个部件产生的信息，无法检测是否安全的问题。

第一方面，依据本发明一个方面，提供了一种汽车信息的安全测试方法，包括：通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；根据检测结果，输出所述汽车的安全测试结果。

第二方面，依据本发明一个方面，提供了一种汽车信息的安全测试装置，包括：至少一个处理器；以及，至少一个存储器，其与所述至少一个处理器可通信地连接；所述至少一个存储器包括处理器可执行的指令，当所述处理器可执行的指令由所述至少一个处理器执行时，致使所述装置执行至少以下操作：通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；根据检测结果，输出所述汽车的安全测试结果。

第三方面，本发明实施例中提供了一种计算机程序，包括计算机可读代码，当计算机可读代码被运行时，导致第一方面中所述的方法被执行。

第四方面，本发明实施例中提供了一种计算机可读介质，其中存储了如第三方面所述的计算机程序。

第五方面，依据本发明一个方面，提供了一种汽车安全等级的确定方法，包括：获取根据汽车的汽车信息进行安全测试得到的安全测试结果，所述安全测试结果包括不同功能的汽车部件通过不同测试方式进行测试得到的结果；根据所述安全测试结果解析汽车安全的测试类型；将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级；若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。

第六方面，依据本发明一个方面，提供了一种汽车安全等级的确定装置，包括：至少一个处理器；以及，至少一个存储器，其与所述至少一个处理器可通信地连接；所述至少一个存储器包括处理器可执行的指令，当所述处理器可执行的指令由所述至少一个处理器执行时，致使所述装置执行至少以下操作：获取根据汽车的汽车信息进行安全测试得到的安全测试结果，所述安全测试结果包括不同功能的汽车部件通过不同测试方式进行测试得到的结果；根据所述安全测试结果解析汽车安全的测试类型；将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级；若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等 级。

第七方面，本发明实施例中提供了一种计算机程序，当计算机可读代码被运行时，当计算机运行所述计算机可读代码时，导致第五方面中所述的方法被执行。

第八方面，本发明实施例中提供了一种计算机可读介质，其中存储了如第七方面所述的计算机程序。

借由上述技术方案，本发明实施例提供的技术方案至少具有下列优点：

本发明提供了一种汽车信息的安全测试方法及装置，首先通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息，然后根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态，最后根据检测结果，输出所述汽车的安全测试结果。与现有汽车中各个部件产生的信息，无法检测是否安全相比，本发明实施例通过根据汽车中各个部件产生的汽车信息与预设异常情况对应关系对汽车的安全状态进行检测，实现通过安全测试发现汽车中潜在的安全威胁，以便通过修复等方法恢复汽车的安全等级，从而提高汽车信息的安全性。

本发明提供了一种汽车安全等级的确定方法及装置，首先获取根据汽车的汽车信息进行安全测试得到的安全测试结果，所述安全测试结果包括不同功能的汽车部件通过不同测试方式进行测试得到的结果，再根据所述安全测试结果解析汽车安全的测试类型，然后将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级，若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。与现有的汽车系统出现完全异常情况或出现潜在的安全隐患后，会对汽车信息进行安全测试，但是无法根据测试结果判断是否需要进行调试等操作相比，本发明通过获取汽车的安全测试结果，确定与测试结果对应的测试类型，然后将测试结果与测试类型与预设的汽车安全等级进行匹配，若匹配成功，则将匹配的等级做为汽车的安全测试等级，实现了对汽车安全测试结果进行等级的评估，以便用户根据不同等级的安全测试结果进行修复、更新、优化等操作， 减少汽车中的安全隐患，从而提高汽车信息的安全性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例一提供的一种汽车信息的安全测试方法流程图；

图2示出了本发明实施例一提供的一种汽车CAN网络示意图；

图3示出了本发明实施例一提供的一种汽车功能模块组成框图；

图4示出了本发明实施例二提供的另一种汽车信息的安全测试方法流程图；

图5示出了本发明实施例二提供的一种汽车的mongodb的运作原理流程图；

图6示出了本发明实施例三提供的一种汽车信息的安全测试装置框图；

图7示出了本发明实施例四提供的另一种汽车信息的安全测试装置框图；

图8示出了用于执行根据本发明的方法的计算机的框图；

图9示出了用于保持或者携带实现根据本发明的方法的程序代码的存储单元示意图；

图10示出了本发明实施例五提供的一种汽车安全等级的确定方法流程图；

图11示出了本发明实施例五提供的一种汽车功能模块组成框图；

图12示出了本发明实施例五提供的一种汽车CAN网络示意图；

图13示出了本发明实施例六提供的另一种汽车安全等级的确定方法流程图；

图14示出了本发明实施例七提供的一种汽车安全等级的确定装置框图；

图15示出了本发明实施例八提供的另一种汽车安全等级的确定装置框图；

图16示出了用于执行根据本发明的方法的计算机的框图；

图17示出了用于保持或者携带实现根据本发明的方法的程序代码的存储单元示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

实施例一

本发明实施例提供了一种汽车信息的安全测试方法，如图1所示，所述方法包括：

101、通过汽车的控制局域网络获取汽车信息。

其中，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息，所述控制局域网络以汽车总线形式存在与汽车系统中，汽车电子元器件在汽车内部是通过控制局域网络CAN相连接，并进行通信的，如图2所示。所述汽车系统包括主机、显示器、键盘、天线等部件，系统可以为驾驶者提供呈现汽车系统状态，娱乐信息，驾驶信息等，单从汽车系统的基本情况看，它是采用专用中央处理器，基于车身总线系统和网络而形成 的车载综合信息处理系统，所述汽车信息包括如图3所示的汽车信息安全制定模型中各个功能模块对应产生的信息，例如，传感单元在检测车速是产生的模拟信号等。

需要说明的是，CAN网络的实际上就是个大的多端口的转发器HUB，在CAN总线空闲时，所有的单元都可开始发送消息。最先访问总线的单元可获得发送权。多个单元同时开始发送时，发送高优先级ID消息的单元可获得发送权。

另外，还可以将汽车信息的产生按照用于汽车中的功能进行划分，还可以划分为车载终端、车载网络、车载应用、车载业务，对于不同的划分，产生汽车信息的具体部件也不同，例如，车载终端T-box包括车内装载TU端自身硬件设计、软件平台、网络传输、协议应用等，车载应用包括安装在汽车系统中的应用软件，车载服业务包括汽车远程服务提供商TSP(Telematics Service Provider)。

需要进一步说明的是，汽车远程服务提供商TSP在远距离通信的电信Telematics产业链中居于核心地位，上接汽车制造商、车载设备制造商、网络运营商，下接内容提供商。Telematics服务集合了位置服务、地理信息系统Gis(Geographic Information System)服务和通信服务等现代计算机技术，为用户提供强大的服务，如：导航、娱乐、资讯、安防、SNS、远程保养等服务。TSP系统在汽车CAN当中起到的是汽车和手机之间通讯的跳板，为汽车和手机提供内容和流量转发的服务。针对目前众多整车厂的调研结果来看目前大多数TSP是放在云端服务器使用公有云技术，那么TSP平台就有一部分面临的云端的威胁。比如，可以通过虚拟机逃逸到宿主机，再从宿主机到达TSP平台的虚拟机中获取TSP的核心接口，密钥，证书等关键信息，横向控制其它的汽车。所以部署在云端的TSP平台对于系统自身和依赖环境的安全至关重要。对于部署在整车厂自己的服务器中的TSP平台，则需要考虑抗拒绝服务能力，还有传统的IT防护，安全管理等因素。

另外，控制汽车的消息指令是在T-BOX内部生成的，并且是使用T-BOX的蜂窝网络调制解调器的扩展模块进行加密的，相当于在传输层面是加密,所以无法得到消息会话的内容，解决的方法就是需要通过分析固件内部的 代码，找到加密方法和秘钥，才能够知道消息会话的内容。所以需要对T-BOX进行拆解，然后把FLASH芯片吹下来，逆向固件。发现发送的控制指令，破解传输加密的密钥，还有的一些T-BOX出片的时候是留有调试接口的，这样就不需要吹FLASH就可以拿到程序了，所以T-BOX的保护对象主要在于如何防护固件被人拿走，保护好T-BOX内部的密钥。

102、根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态。

其中，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态，所述安全状态为不同部件产生的数据信息是否处于使得汽车正常运行的阈值范围内，这个阈值可以为技术人员根据可能出现的潜在危险系数进行设定，本发明实施例不做具体限定。

例如，当获取的汽车信息为在一天内汽车系统中出现2次控制方式与预先设定的控制方式不符的状态，预设异常情况对应关系中存储的1个月内汽车系统中出现1次以上控制方式与预先设定的控制方式不符的状态，即为危险状态。

103、根据检测结果，输出所述汽车的安全测试结果。

其中，所述测试结果可以为不同级别的测试结果，也可以预先设定安全、危险状态的测试结果，本发明实施例不做具体限定。

例如，若检测出与汽车系统相连的手机APP执行的控制命令为输出用户信息，则输出的安全测试结果为用户信息泄露。

本发明提供了一种汽车信息的安全测试方法，与现有汽车中各个部件产生的信息，无法检测是否安全相比，本发明实施例通过根据汽车中各个部件产生的汽车信息与预设异常情况对应关系对汽车的安全状态进行检测，实现通过安全测试发现汽车中潜在的安全威胁，以便通过修复等方法恢复汽车的安全等级，从而提高汽车信息的安全性。

实施例二

本发明实施例提供了另一种汽车信息的安全测试方法，如图4所示，所述方法包括：

201、当接收到安全测试指令时，通过预设安全协议访问汽车系统中各 个部件的历史数据信息。

其中，所述预设安全协议用于指示所述各个部件开放历史数据信息，所述预设安全协议为NGTP(Next Generation Telematics Protocol)，应用于CAN网络的信息通信。NGTP可以使汽车中的部件进行信息通信，从而得到不同部件中产生的数据信息。所述安全测试指令用于指示系统进行安全测试，具体形式本发明实施例不做具体限定。

需要说明的是，当前使用的NGTP2.0是最新版本，优点体现于在使用非关系型数据库monogdb上，对于Telematics而言牺牲存储来换取I/O性能的提升是一个明智的选择。

需要进一步说明的是，mongodb的运作原理是保证了所有车机和服务端业务逻辑在异步执行时的唯一保障。如图5所示，从TU车机端发起请求后经由Network组网，再经过Dispatcher应用分发后进入mongodb库快存，然后完成IF2和IF3的业务过程。当最终该服务被递交到业务数据库Database的时候，已经是逻辑时序第六步了，所以在使用NGTP框架进行开发的时候，要考虑套用安全框架过滤请求参数的内容，类型等。

202、通过汽车的控制局域网络访问由具有智能控制功能的汽车部件、具有拓展功能的汽车部件、具有常用功能的汽车部件、具有附加功能的汽车部件所产生的历史数据信息。

其中，所述具有智能控制功能的汽车部件可以包括传感器单元、智能控制单元、传动系统、底盘系统等，所述具有拓展功能的汽车部件可以包括车身、远程信息处理、信息咨询系统等，所述常用功能的汽车部件可以包括插入设备、诊断工具、仪表盘等，所述具有附加功能的汽车部件可以包括蓝牙、无线局域网络等，本发明实施例不做具体限定，如图3所示。

需要说明的是，历史数据信息为存储在不同部件对应的数据日志中。

203、按照预设时间间隔提取所述历史数据信息，得到汽车信息。

其中，所述预设时间间隔可以为1天、2天等，还可以为接收到用户进行指示的提取指令，本发明实施例不做具体限定，所述汽车信息可以为全部部件的历史数据信息，也可以为部分部件的历史数据信息，还可以肯定用户选定部件的历史数据信息，本发明实施例不做具体限定。

204、解析所述汽车信息对应的测试类型。

其中，所述测试类型包括车载终端类型、车载网络类型、车载应用类型、车载业务类型，所述测试类型是根据产生汽车信息的部件进行划分的，即将待检测安全性的部件进行划分类型。

需要说明的是，解析的步骤是根据汽车信息来源于的部件属于具体的测试类型进行解析的。

对于本发明实施例，步骤204之前还包括：为不同的测试类型配置不同的测试方式，所述测试方式包括功能测试方式、漏洞扫描方式、模糊测试方式、渗透测试方式。

其中，所述为不同的测试类型配置不同的测试方式为一种测试类型的汽车信息使用一种测试方式进行测试，也可以一种测试类型的汽车信息使用多种测试方式，本发明实施例不做具体限定。具体的，一种测试方式可以测试不同测试类型的汽车信息，一种测试类型的汽车信息可以由多种测试方式进行测试。例如，车载终端类型可以对应功能测试方式，车载网络类型可以对应漏洞扫描，车载应用类型可以对应模糊测试，车载业务类型可以对应渗透测试。

需要说明的是。每个测试方式可以并列进行、也可以按照设置的顺序进行，本发明实施例不做具体限定。例如，在功能安全测试时，测试所有的安全相关的功能，测试系统的正确性和鲁棒性。这一步是类似于一般的功能测试，但专注于安全功能，仔细执行这个测试可以发现执行错误，规范的差异，特别是未指定的功能，都可能导致潜在的安全威胁。在漏洞扫描时，测试系统已经知道常见的安全漏洞，如已知的安全漏洞或(安全)配置与已知的弱点。在模糊测试时，进一步试图通过发送系统格式不正确的输入到目标系统检查未知的新的安全漏洞，潜在的关键安全系统的行为，为了测试整个系统的安全性，这意味着软件和硬件的共同安全，高度针对性的渗透测试可以应用于最后一步。

205、按照根据预设的异常对应关系及所述汽车信息确定的测试方式，对所述汽车的安全状态进行测试。

其中，所述测试包括理论安全分析测试、实际安全测试，所述理论安 全分析测试在汽车中逐渐成为常规性分析，并应用于识别和理解汽车IT系统的安全弱点基于相应的制度规范和技术文档纸质评估。所述实际安全测试可以发现执行错误，包括外部攻击者能够进行利用且未指定的功能和规格的差异。因此，一个彻底的实际安全测试有助于建立信任的健全性的执行。

需要说明的是，要进行一个汽车系统的设计分析，一个理论描述的系统是必要的，根据这些描述的详细程度，可以进行深度和精度的分析变化。首先，高层次的描述可以充分的设计分析识别系统中的缺陷；其次，在可靠性系统的体系结构中测试结果可以建立信任。为了实现这些目标，文件需要被检查潜在攻击点，如由于不同标准协议的相互作用导致的弱密码算法或可能存在的攻击。

206、根据检测结果，输出所述汽车的安全测试结果。

本步骤与图1所述步骤103所述的方法相同，这里不再赘述。

对于本发明实施例，步骤206具体包括：若按照功能测试方式进行检测，输出所述汽车的安全检测结果包括性能测试结果、正确性测试结果、鲁棒性测试结果、合规测试结果。

其中，所述功能测试方式为确保汽车功能符合规范和标准安全功能的测试方法，例如，车辆IT系统的加密算法和认证协议，本发明实施例不做具体限定。

需要说明的是，功能测试方式不仅根据规范测试是否正确的行为，也对鲁棒性、合规性进行测试。一般地，适用于汽车领域的检测安全标准可以选取MISRA-C，还需要使用各种汽车专用的安全协议，例如安全的闪存算法或安全通信、安全防盗、OBD，和即将到来的vehicle-to-x(V2X)通信，这些协议的实现均可以满足安全功能的测试。

对于本发明实施例，步骤206具体还包括：若按照漏洞扫描方式进行检测，输出所述汽车的安全检测结果包括接口测试结果、配置测试结果、漏洞测试结果、恶意软件测试结果。

其中，所述漏洞扫描方式是用来检测汽车系统所有相关的应用程序、网络及后端基础设施中已知的安全弱点，这个安全弱点为一个已知的汽车 安全漏洞中不断的更新数据库。

需要说明的是，漏洞扫描也包括多种不同的漏洞扫描方法。首先，可以对系统的软件/硬件运行的代码进行扫描、识别，例如，使用静态和动态分析缓冲区溢出和堆溢出。其次，汽车系统可以通过开放的端口和接口被扫描，并且提供可运行在这些接口上的服务，包括传统的IT接口，如以太网的网络通信、Wi-Fi、或移动互联网。对于一系列的操作系统、网络协议栈、应用和库是典型的重复使用，扫描包括侦察端口扫描，以及对特定漏洞的深入扫描。此外，汽车环境具有特殊的汽车CAN总线系统，这在传统的IT没有对等的，这意味着，自动扫描工具非常适合于检测一个概述的漏洞。在这种情况下，扫描的诊断功能是显着的，因为存在的潜在危险很可能包含安全关键功能弱记录，如开发或调试功能。

对于本发明实施例，步骤206具体还包括：若按照模糊测试方式进行检测，输出所述汽车的安全检测结果包括黑盒测试结果、灰盒测试结果、白盒测试结果、功能测试结果。

其中，所述模糊测试方式用于长时间使用测试软件和IP网络的类型，事实上，ECU可以看作是小型计算机，运行不同的软件，是由不同类型的网络如CAN、FlexRay或MOST组成的。一般来说，测试包括了三个不同的步骤：首先对目标创造输入，其次输入到目标的输入和最后目标检测系统程序流程监控错误。由于模糊广泛应用在计算机世界中，模糊工具如Peach有一个强大的模糊产生器，可以适应个别不同的协议如UDS。由模糊产生器产生输入，然后输入到需要使用的传输协议中，然后监测目标系统，用以检测可能的漏洞。这个监测过程可以从检查的返回值的使用范围和调试器观察目标设备的内部状态，最后，所有发现的不寻常的行为由一个专业分析检测利用的漏洞软件进行分析。在汽车系统中，模糊测试可应用于诊断协议，如UDS、汽车网络协议(CAN，FlexRay，MOST或Lin)

对于本发明实施例，步骤206具体还包括：若按照渗透测试方式进行检测，输出所述汽车的安全检测结果包括硬件测试结果、软件测试结果、网络测试结果、平台测试结果。

其中，所述渗透测试方式是为了测试IP保护或测试权威性的功能，例 如，防盗、组件保护、里程表操作、功能激活及保护调整车辆进行虚假索赔安全功能，渗透测试还可以测出现代远程连接攻击。通常，渗透测试开始于观测物理设备，包括枚举接口、在PCB确定组件及其之间的连接，采集规格对于假设的攻击者，通常收集任何有助于下一步攻击的信息。第二步骤可能包括攻击外部接口，如USB、串口或硬件本身的攻击。攻击硬件通常为测试人员试图找到被忽视或无证调试访问的接口，或获取ECU内部的接口，如内存总线。在第三个步骤中，所有的通信通道的设备，如CNA总线、以太网、或Wi-Fi被分析，并且被用来攻击目标设备。根据目标系统和渗透测试的范围，对后端进行进一步的攻击。

需要说明的是，所述渗透测试包括黑盒测试、白盒测试、灰盒测试。对于黑盒测试，基本不需要文档或规格，除了信息，也可以现实世界中的攻击者需求。可以在一个非常逼真的模拟实际攻击的效果。对于白盒测试，需要完整规范和文档，可以明确目标的弱点，并拥有更多的资源，无需获取信息，提高了测试的效率。灰盒试验代表了黑盒和白盒的中间地带，可以接收部分信息，关注特定的子系统的焦点或信息，特定的攻击者。

对于本发明实施例，步骤206之后的步骤可以为：根据所述安全测试结果解析汽车安全的评估类型；将所述安全测试结果及所述评估类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级；若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。

其中，所述测试类型包括车载终端类型、车载网络类型、车载应用类型、车载业务类型，所述测试类型是根据产生汽车信息的部件进行划分的，即将待检测安全性的部件进行划分类型。所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级，所述预设的汽车安全等级可以划分为四个安全测试级别，例如，预先设置“信任的保证水平”VCSL(Vehicle Car Security Level)-A、B、C、D四个级别，最低要求为对每个理论进行安全分析和安全评估，每个实践的广度和深度。如表1所示，其中，TAP1、TAP2、TAP3、TAP4为安全威胁和风险分析下不同的测试结果，所以对应不同的等级VSCL A、VSCL B、VSCL C、VSCL D，其他的 情况，以此类推。

表1：汽车安全测试等级(VSCL)

本发明提供了另一种汽车信息的安全测试方法，本发明实施例通过根据汽车中各个部件产生的汽车信息解析出汽车信息对应的测试类型，具体包括车载终端类型、车载网络类型、车载应用类型、车载业务类型，根据测试类型可以提取出对应的测试方式，根据汽车信息对应的测试方式进行安全测试，实现通过安全测试发现汽车中潜在的安全威胁，以便通过修复等方法恢复汽车的安全等级，有效的识别汽车安全风险，可以减少汽车事故，对车主的生命安全起到有效的防护和保护。

实施例三

进一步的，作为对上述图1所示方法的实现，本发明实施例提供了一种汽车信息的安全测试装置，如图6所示，该装置包括：获取单元31、检测单元32、输出单元33。

获取单元31，用于通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；获取单元31为一种汽车信息的安全测试装置执行通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息的功能模块。

检测单元32，用于根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；检测单元32为一种汽车信息的安全测试装置执行根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态的功能模块。

输出单元33，用于根据检测结果，输出所述汽车的安全测试结果。输出单元33为一种汽车信息的安全测试装置执行根据检测结果，输出所述汽车的安全测试结果的功能模块。

本发明提供了一种汽车信息的安全测试装置，与现有汽车中各个部件产生的信息，无法检测是否安全相比，本发明实施例通过根据汽车中各个部件产生的汽车信息与预设异常情况对应关系对汽车的安全状态进行检测，实现通过安全测试发现汽车中潜在的安全威胁，以便通过修复等方法恢复汽车的安全等级，从而提高汽车信息的安全性。

实施例四

进一步的，作为对上述图2所示方法的实现，本发明实施例提供了另一种汽车信息的安全测试装置，如图7所示，该装置包括：获取单元41、检测单元42、输出单元43、第一解析单元44、配置单元45、访问单元46、第二解析单元47、匹配单元48、确定单元49。

获取单元41，用于通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；

检测单元42，用于根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；

输出单元43，用于根据检测结果，输出所述汽车的安全测试结果。

具体地，所述获取单元41包括：

访问模块4101，用于通过汽车的控制局域网络访问由具有智能控制功能的汽车部件、具有拓展功能的汽车部件、具有常用功能的汽车部件、具有附加功能的汽车部件所产生的历史数据信息；

提取模块4102，用于按照预设时间间隔提取所述历史数据信息，得到汽车信息。

所述检测单元42，具体用于按照根据预设的异常对应关系及所述汽车信息确定的测试方式，对所述汽车的安全状态进行测试，所述测试包括理论安全分析测试、实际安全测试。

进一步地，所述装置还包括：

第一解析单元44，用于解析所述汽车信息对应的测试类型，所述测试类型包括车载终端类型、车载网络类型、车载应用类型、车载业务类型。第一解析单元44为另一种汽车信息的安全测试装置执行解析所述汽车信息对应的测试类型的功能模块。

配置单元45，用于为不同的测试类型配置不同的测试方式，所述测试方式包括功能测试方式、漏洞扫描方式、模糊测试方式、渗透测试方式。配置单元45为另一种汽车信息的安全测试装置执行为不同的测试类型配置不同的测试方式的功能模块。

具体地，所述输出单元43包括：

第一输出模块4301，用于若按照功能测试方式进行检测，输出所述汽车的安全检测结果包括性能测试结果、正确性测试结果、鲁棒性测试结果、合规测试结果；

第二输出模块4302，用于若按照漏洞扫描方式进行检测，输出所述汽车的安全检测结果包括接口测试结果、配置测试结果、漏洞测试结果、恶意软件测试结果；

第三输出模块4303，用于若按照模糊测试方式进行检测，输出所述汽车的安全检测结果包括黑盒测试结果、灰盒测试结果、白盒测试结果、功能测试结果；

第四输出模块4304，用于若按照渗透测试方式进行检测，输出所述汽车的安全检测结果包括硬件测试结果、软件测试结果、网络测试结果、平台测试结果。

进一步的，所述装置还包括：

访问单元46，用于当接收到安全测试指令时，通过预设安全协议访问汽车系统中各个部件的历史数据信息，所述预设安全协议用于指示所述各个部件开放历史数据信息。访问单元46为另一种汽车信息的安全测试装置执行当接收到安全测试指令时，通过预设安全协议访问汽车系统中各个部件的历史数据信息的功能模块。

第二解析单元47，用于根据所述安全测试结果解析汽车安全的评估类型；第二解析单元47为另一种汽车信息的安全测试装置执行根据所述安全测试结果解析汽车安全的评估类型的功能模块。

匹配单元48，用于将所述安全测试结果及所述评估类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级；匹配单元48为另一种汽车信息的安全测试装置执行将所述安全测试结果及所述评估类型与预设的汽车安全等级进行匹配的功能模块。

确定单元49，用于若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。确定单元49为另一种汽车信息的安全测试装置执行将匹配的汽车安全等级确定为所述汽车的安全测试等级的功能模块。

本发明提供了另一种汽车信息的安全测试装置，本发明实施例通过根据汽车中各个部件产生的汽车信息解析出汽车信息对应的测试类型，具体包括车载终端类型、车载网络类型、车载应用类型、车载业务类型，根据测试类型可以提取出对应的测试方式，根据汽车信息对应的测试方式进行安全测试，实现通过安全测试发现汽车中潜在的安全威胁，以便通过修复等方法恢复汽车的安全等级，有效的识别汽车安全风险，可以减少汽车事 故，对车主的生命安全起到有效的防护和保护。

图8示出了可以实现根据本发明的汽车信息的安全测试方法的计算机(下述将计算机统称为设备)。该设备传统上包括处理器1010和以存储器1020形式的计算机程序产品或者计算机可读介质。存储器1020可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器1020具有用于执行上述方法中的任何方法步骤的程序代码1031的存储空间1030。例如，用于程序代码的存储空间1030可以包括分别用于实现上面的方法中的各种步骤的各个程序代码1031。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图9所述的便携式或者固定存储单元。该存储单元可以具有与图8中的存储器1020类似布置的存储段或者存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括用于执行根据本发明的方法步骤的程序代码1031’，即可以由例如诸如1010之类的处理器读取的代码，这些代码当由设备运行时，导致该设备执行上面所描述的方法中的各个步骤。

实施例五

本发明实施例提供了一种汽车安全等级的确定方法，如图10所示，所述方法包括：

501、获取根据汽车的汽车信息进行安全测试得到的安全测试结果。

其中，所述安全测试结果包括不同功能的汽车部件通过不同测试方式进行测试得到的结果，所述汽车信息为如图11所示的汽车信息安全制定模型中各个功能模块对应产生的信息，例如，传感单元在检测车速是产生的模拟信号等。

需要说明的是，获取安全测试结果可以通过汽车中的控制局域网络CAN与各科部件之间的通信连接进行实现，如图12所示。CAN网络的实际上就是个大的多端口的转发器HUB，在CAN总线空闲时，所有的单元都可开始发送消息。最先访问总线的单元可获得发送权。多个单元同时开始发送时，发送高优先级ID消息的单元可获得发送权。

另外，还可以将汽车信息的产生按照用于汽车中的功能进行划分，还可以划分为车载终端、车载网络、车载应用、车载业务，对于不同的划分，产生汽车信息的具体部件也不同，例如，车载终端T-box包括车内装载TU端自身硬件设计、软件平台、网络传输、协议应用等，车载应用包括安装在汽车系统中的应用软件，车载服业务包括汽车远程服务提供商TSP(Telematics Service Provider)。

502、根据所述安全测试结果解析汽车安全的测试类型。

其中，所述测试类型包括车载终端类型、车载网络类型、车载应用类型、车载业务类型，所述测试类型是根据产生汽车信息的部件进行划分的，即将待检测安全性的部件进行划分类型。

需要说明的是，解析的步骤是根据汽车信息来源于的部件属于具体的测试类型进行解析的。

503、将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配。

其中，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级，所述预设的汽车安全等级可以划分为四个安全测试级别，例如，预先设置“信任的保证水平”VCSL(Vehicle Car Security Level)-A、B、C、D四个级别，最低要求为对每个理论进行安全分析和安全评估，每个实践的广度和深度。如表1所示，其中，TAP1、TAP2、TAP3、TAP4为安全威胁和风险分析下不同的测试结果，所以对应不同的等级VSCL A、VSCL B、VSCL C、VSCL D，其他的情况，以此类推。

表1：汽车安全测试等级(VSCL)

504、若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。

通过将匹配的汽车安全等级做为汽车的安全测试等级，以便对不同等级的测试结果进行处理，减少汽车信息中的安全隐患。

本发明提供了一种汽车安全等级的确定方法，与现有的汽车系统出现完全异常情况或出现潜在的安全隐患后，会对汽车信息进行安全测试，但是无法根据测试结果判断是否需要进行调试等操作相比，本发明通过获取汽车的安全测试结果，确定与测试结果对应的测试类型，然后将测试结果与测试类型与预设的汽车安全等级进行匹配，若匹配成功，则将匹配的等级做为汽车的安全测试等级，实现了对汽车安全测试结果进行等级的评估，以便用户根据不同等级的安全测试结果进行修复、更新、优化等操作，减少汽车中的安全隐患，从而提高汽车信息的安全性。

实施例六

本发明实施例提供了另一种汽车安全等级的确定方法，如图13所示，所述方法包括：

601、获取根据汽车的汽车信息进行安全测试得到的安全测试结果。

其中，所述安全测试结果包括不同功能的汽车部件通过不同测试方式 进行测试得到的结果，所述汽车安全的测试类型包括理论安全分析测试类型、实际安全测试类型。所述理论安全分析测试在汽车中逐渐成为常规性分析，并应用于识别和理解汽车IT系统的安全弱点基于相应的制度规范和技术文档纸质评估。所述实际安全测试可以发现执行错误，包括外部攻击者能够进行利用且未指定的功能和规格的差异。因此，一个彻底的实际安全测试有助于建立信任的健全性的执行。

需要说明的是，要进行一个汽车系统的设计分析，一个理论描述的系统是必要的，根据这些描述的详细程度，可以进行深度和精度的分析变化。首先，高层次的描述可以充分的设计分析识别系统中的缺陷；其次，在可靠性系统的体系结构中测试结果可以建立信任。为了实现这些目标，文件需要被检查潜在攻击点，如由于不同标准协议的相互作用导致的弱密码算法或可能存在的攻击。

对于本发明实施例，步骤601之前还包括：通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；根据检测结果，输出所述汽车的安全测试结果。

其中，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息，所述控制局域网络以汽车总线形式存在与汽车系统中，汽车电子元器件在汽车内部是通过控制局域网络CAN相连接，并进行通信的，所述汽车系统包括主机、显示器、键盘、天线等部件，系统可以为驾驶者提供呈现汽车系统状态，娱乐信息，驾驶信息等，单从汽车系统的基本情况看，它是采用专用中央处理器，基于车身总线系统和网络而形成的车载综合信息处理系统，所述汽车信息包括如图11所示的汽车信息安全制定模型中各个功能模块对应产生的信息，例如，传感单元在检测车速是产生的模拟信号等。所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态，所述安全状态为不同部件产生的数据信息是否处于使得汽车正常运行的阈值范围内，这个阈值可以为技术人员根据可能 出现的潜在危险系数进行设定，本发明实施例不做具体限定。其中，所述测试结果可以为不同级别的测试结果，也可以预先设定安全、危险状态的测试结果，本发明实施例不做具体限定。

例如，当获取的汽车信息为在一天内汽车系统中出现2次控制方式与预先设定的控制方式不符的状态，预设异常情况对应关系中存储的1个月内汽车系统中出现1次以上控制方式与预先设定的控制方式不符的状态，即为危险状态。

例如，若检测出与汽车系统相连的手机APP执行的控制命令为输出用户信息，则输出的安全测试结果为用户信息泄露。

602a、根据所述理论安全分析测试类型及所述安全测试结果判断所述测试类型是否属于安全威胁和风险分析、安全设计分析、安全发展分析、安全部署及流程分析中的一种。

其中，所述理论安全分析测试在汽车中逐渐成为常规性分析，并应用于识别和理解汽车IT系统的安全弱点基于相应的制度规范和技术文档纸质评估。所述安全威胁和风险分析为分析潜在的汽车攻击、攻击场景和攻击路径。所述安全部署及流程分析为分析构件集成的安全、在后台部署和其他安全相关的过程、汽车零部件和通信的生产、操作、阶段等，本发明实施例不做具体限定。

对于本发明实施例，与步骤602a并列的步骤602b、根据所述实际安全测试类型及所述安全测试结果判断所述测试类型是否属于功能安全测试、漏洞扫描、系统模糊测试、渗透测试中的一种。

其中，所述实际安全测试可以发现执行错误，包括外部攻击者能够进行利用且未指定的功能和规格的差异。因此，一个彻底的实际安全测试有助于建立信任的健全性的执行。所述功能测试方式为确保汽车功能符合规范和标准安全功能的测试方法，例如，车辆IT系统的加密算法和认证协议，本发明实施例不做具体限定。所述漏洞扫描方式是用来检测汽车系统所有相关的应用程序、网络及后端基础设施中已知的安全弱点，这个安全弱点为一个已知的汽车安全漏洞中不断的更新数据库。所述模糊测试方式用于长时间使用测试软件和IP网络的类型，事实上，ECU可以看作是小型计算 机，运行不同的软件，是由不同类型的网络如CAN、FlexRay或MOST组成的。所述渗透测试方式是为了测试IP保护或测试权威性的功能，例如，防盗、组件保护、里程表操作、功能激活及保护调整车辆进行虚假索赔安全功能，渗透测试还可以测出现代远程连接攻击。

603a、当所述测试类型为安全威胁和风险评估，则获取存在于汽车中的潜在攻击对象。

其中，所述潜在攻击对象为对汽车作出攻击行为的对象，如车主、车库、竞争对手、第三方，本发明实施例不做具体限定。

604a、根据所述攻击对象操作的攻击场景、攻击路径，将所述安全测试结果与预设的安全威胁和风险评估等级进行匹配。

其中，所述预设的安全威胁和风险评估等级为技术人员预先设定的针对安全威胁和风险分析得到的不同情况的等级划分。例如，如表2所示，表中TAP1、TAP2、TAP3、TAP4的不同测试内容及结果可以对应VSCL A、VSCL B、VSCL C、VSCL D。

表2：VSCL示范定义汽车的安全威胁和风险分析

603b、当所述测试类型为安全部署及流程分析，则获取存在于汽车中的软件、硬件运行情况。

其中，所述软件、硬件为汽车中与汽车系统相关联的硬件及软件，例如，如密钥生成/分布、Web注入，访问授权、后端的安全参数，汽车零部件，如秘钥注入、访问控制、初始化、个性化，如密钥长度，操作，算法，密钥交换等，本发明实施例不做具体限定。

604b、根据所述软件、硬件运行情况的变化，将所述安全测试结果与预设的安全部署及流程分析等级进行匹配。

其中，所述预设的安全部署及流程分析等级为技术人员预先设定的针对安全部署及流程分析得到的不同情况的等级划分。例如，如表3所示，表中DEP1、DEP2、DEP3的不同测试内容及结果可以对应VSCL B、VSCL C、VSCL D。

表3：VSCL示范定义安全部署及流程分析

603c、当所述测试类型为系统模糊测试，则获取存在于汽车中通过通信系统模糊分析得到的目标安全栈、外部接口。

其中，所述目标安全栈为在汽车系统中执行不同功能的栈，如，堆叠， 以太网协议栈，所述外部接口为汽车连接外部设备的接口，如USB，本发明实施例不做具体限定。

604c、根据所述目标安全栈及所述外部接口对应的通信协议，将所述安全测试结果与预设的系统模糊测试等级进行匹配。

其中，所述预设的系统模糊测试等级为技术人员预先设定的针对系统模糊测试得到的不同情况的等级划分。例如，如表4所示，表中SFT1、SFT2、SFT3的不同测试内容及结果可以对应VSCL B、VSCL C、VSCL D。

表4：VSCL示范定义汽车模糊测试系统

605、若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。

本步骤与图10所述步骤504所述的方法相同，这里不再赘述。

本发明提供了另一种汽车安全等级的确定方法，本发明实施例通过获取汽车的安全测试结果，确定与测试结果对应的测试类型，将测试类型具体划分为安全威胁和风险分析、安全设计分析、安全发展分析、安全部署及流程分析中的一种，然后根据具体的测试类型将测试结果与预设的不同测试类型对应的等级进行匹配，若匹配成功，则将匹配的等级做为汽车的 安全测试等级，实现了对汽车安全测试结果进行等级的评估，有效的识别汽车安全风险并减少汽车事故，用户的生命的安全可以得到有效的防护和保护，从而提高汽车信息的安全性。

实施例七

进一步的，作为对上述图10所示方法的实现，本发明实施例提供了一种汽车安全等级的确定装置，如图14所示，该装置包括：第一获取单元71、解析单元72、匹配单元73、确定单元74。

第一获取单元71，用于获取根据汽车的汽车信息进行安全测试得到的安全测试结果，所述安全测试结果包括不同功能的汽车部件通过不同测试方式进行测试得到的结果；第一获取单元71为一种汽车安全等级的确定装置执行获取根据汽车的汽车信息进行安全测试得到的安全测试结果的功能模块。

解析单元72，用于根据所述安全测试结果解析汽车安全的测试类型；解析单元72为一种汽车安全等级的确定装置执行根据所述安全测试结果解析汽车安全的测试类型的功能模块。

匹配单元73，用于将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级；匹配单元73为一种汽车安全等级的确定装置执行将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配的功能模块。

确定单元74，用于若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。确定单元74为一种汽车安全等级的确定装置执行将匹配的汽车安全等级确定为所述汽车的安全测试等级的功能模块。

本发明提供了一种汽车安全等级的确定装置，与现有的汽车系统出现完全异常情况或出现潜在的安全隐患后，会对汽车信息进行安全测试，但是无法根据测试结果判断是否需要进行调试等操作相比，本发明通过获取汽车的安全测试结果，确定与测试结果对应的测试类型，然后将测试结果与测试类型与预设的汽车安全等级进行匹配，若匹配成功，则将匹配的等级做为汽车的安全测试等级，实现了对汽车安全测试结果进行等级的评估， 以便用户根据不同等级的安全测试结果进行修复、更新、优化等操作，减少汽车中的安全隐患，从而提高汽车信息的安全性。

实施例八

进一步的，作为对上述图11所示方法的实现，本发明实施例提供了另一种汽车安全等级的确定装置，如图15所示，该装置包括：第一获取单元81、解析单元82、匹配单元83、确定单元84、第二获取单元85、检测单元86、输出单元87。

第一获取单元81，用于获取根据汽车的汽车信息进行安全测试得到的安全测试结果，所述安全测试结果包括不同功能的汽车部件通过不同测试方式进行测试得到的结果；

解析单元82，用于根据所述安全测试结果解析汽车安全的测试类型；

匹配单元83，用于将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级；

确定单元84，用于若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。

具体地，所述解析单元82包括：

第一解析模块8201，用于根据所述理论安全分析测试类型及所述安全测试结果判断所述测试类型是否属于安全威胁和风险分析、安全设计分析、安全发展分析、安全部署及流程分析中的一种；

第二解析模块8202，用于根据所述实际安全测试类型及所述安全测试结果判断所述测试类型是否属于功能安全测试、漏洞扫描、系统模糊测试、渗透测试中的一种。

具体地，所述匹配单元43包括：

第一获取模块8301，用于当所述测试类型为安全威胁和风险评估，则获取存在于汽车中的潜在攻击对象；

第一匹配模块8302，用于根据所述攻击对象操作的攻击场景、攻击路径，将所述安全测试结果与预设的安全威胁和风险评估等级进行匹配。

第二获取模块8303，用于当所述测试类型为安全部署及流程分析，则 获取存在于汽车中的软件、硬件运行情况；

第二匹配模块8304，用于根据所述软件、硬件运行情况的变化，将所述安全测试结果与预设的安全部署及流程分析等级进行匹配。

第三获取模块8305，用于当所述测试类型为系统模糊测试，则获取存在于汽车中通过通信系统模糊分析得到的目标安全栈、外部接口；

第三匹配模块8306，用于根据所述目标安全栈及所述外部接口对应的通信协议，将所述安全测试结果与预设的系统模糊测试等级进行匹配。

进一步地，所述装置还包括：

第二获取单元85，用于通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；第二获取单元85为另一种汽车安全等级的确定装置执行通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息的功能模块。

检测单元86，用于根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；检测单元86为另一种汽车安全等级的确定装置执行根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态的功能模块。

输出单元87，用于根据检测结果，输出所述汽车的安全测试结果。输出单元87为另一种汽车安全等级的确定装置执行根据检测结果，输出所述汽车的安全测试结果的功能模块。

本发明提供了另一种汽车安全等级的确定装置，本发明实施例通过获取汽车的安全测试结果，确定与测试结果对应的测试类型，将测试类型具体划分为安全威胁和风险分析、安全设计分析、安全发展分析、安全部署及流程分析中的一种，然后根据具体的测试类型将测试结果与预设的不同测试类型对应的等级进行匹配，若匹配成功，则将匹配的等级做为汽车的安全测试等级，实现了对汽车安全测试结果进行等级的评估，有效的识别汽车安全风险并减少汽车事故，用户的生命的安全可以得到有效的防护和保护，从而提高汽车信息的安全性。

图16示出了可以实现根据本发明的汽车安全等级的确定方法的计算机(下述将计算机统称为设备)。该设备传统上包括处理器2010和以存储器2020形式的计算机程序产品或者计算机可读介质。存储器2020可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器2020具有用于执行上述方法中的任何方法步骤的程序代码1031的存储空间2030。例如，用于程序代码的存储空间2030可以包括分别用于实现上面的方法中的各种步骤的各个程序代码2031。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图17所述的便携式或者固定存储单元。该存储单元可以具有与图16中的存储器2020类似布置的存储段或者存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括用于执行根据本发明的方法步骤的程序代码2031’，即可以由例如诸如2010之类的处理器读取的代码，这些代码当由设备运行时，导致该设备执行上面所描述的方法中的各个步骤。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解， 本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的汽车信息的安全测试方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序 产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (34)

1. 一种汽车信息的安全测试方法，包括：

   通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；

   根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；

   根据检测结果，输出所述汽车的安全测试结果。
2. 根据权利要求1所述的方法，其特征在于，所述通过汽车的控制局域网络获取汽车信息包括：

   通过汽车的控制局域网络访问由具有智能控制功能的汽车部件、具有拓展功能的汽车部件、具有常用功能的汽车部件、具有附加功能的汽车部件所产生的历史数据信息；

   按照预设时间间隔提取所述历史数据信息，得到汽车信息。
3. 根据权利要求1所述的方法，其特征在于，所述根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态包括：

   按照根据预设的异常对应关系及所述汽车信息确定的测试方式，对所述汽车的安全状态进行测试，所述测试包括理论安全分析测试、实际安全测试。
4. 根据权利要求3所述的方法，其特征在于，所述根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态之前，所述方法还包括：

   解析所述汽车信息对应的测试类型，所述测试类型包括车载终端类型、车载网络类型、车载应用类型、车载业务类型。
5. 根据权利要求4所述的方法，其特征在于，所述解析所述汽车信息对应的测试类型之前，所述方法还包括：

   为不同的测试类型配置不同的测试方式，所述测试方式包括功能测试方式、漏洞扫描方式、模糊测试方式、渗透测试方式。
6. 根据权利要求5所述的方法，其特征在于，所述根据检测结果，输出 所述汽车的安全测试结果包括：

   若按照功能测试方式进行检测，输出所述汽车的安全检测结果包括性能测试结果、正确性测试结果、鲁棒性测试结果、合规测试结果；

   若按照漏洞扫描方式进行检测，输出所述汽车的安全检测结果包括接口测试结果、配置测试结果、漏洞测试结果、恶意软件测试结果；

   若按照模糊测试方式进行检测，输出所述汽车的安全检测结果包括黑盒测试结果、灰盒测试结果、白盒测试结果、功能测试结果；

   若按照渗透测试方式进行检测，输出所述汽车的安全检测结果包括硬件测试结果、软件测试结果、网络测试结果、平台测试结果。
7. 根据权利要求1-6任一项所述的方法，其特征在于，所述通过汽车的控制局域网络获取汽车信息之前，所述方法还包括：

   当接收到安全测试指令时，通过预设安全协议访问汽车系统中各个部件的历史数据信息，所述预设安全协议用于指示所述各个部件开放历史数据信息。
8. 根据权利要求7所述的方法，其特征在于，所述根据检测结果，输出所述汽车的安全测试结果之后，所述方法还包括：

   根据所述安全测试结果解析汽车安全的评估类型；

   将所述安全测试结果及所述评估类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级；

   若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。
9. 一种汽车信息的安全测试装置，包括：

   至少一个处理器；

   以及，至少一个存储器，其与所述至少一个处理器可通信地连接；所述至少一个存储器包括处理器可执行的指令，当所述处理器可执行的指令由所述至少一个处理器执行时，致使所述装置执行至少以下操作：

   通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；

   根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；

   根据检测结果，输出所述汽车的安全测试结果。
10. 根据权利要求9所述的装置，其特征在于，所述通过汽车的控制局域网络获取汽车信息的操作包括：

    通过汽车的控制局域网络访问由具有智能控制功能的汽车部件、具有拓展功能的汽车部件、具有常用功能的汽车部件、具有附加功能的汽车部件所产生的历史数据信息；

    按照预设时间间隔提取所述历史数据信息，得到汽车信息。
11. 根据权利要求9所述的装置，其特征在于，

    所述根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，的操作包括：按照根据预设的异常对应关系及所述汽车信息确定的测试方式，对所述汽车的安全状态进行测试，所述测试包括理论安全分析测试、实际安全测试。
12. 根据权利要求11所述的装置，其特征在于，所述操作还包括：

    解析所述汽车信息对应的测试类型，所述测试类型包括车载终端类型、车载网络类型、车载应用类型、车载业务类型。
13. 根据权利要求12所述的装置，其特征在于，所述操作还包括：

    为不同的测试类型配置不同的测试方式，所述测试方式包括功能测试方式、漏洞扫描方式、模糊测试方式、渗透测试方式。
14. 根据权利要求13所述的装置，其特征在于，所述根据检测结果，输出所述汽车的安全测试结果的操作包括：

    若按照功能测试方式进行检测，输出所述汽车的安全检测结果包括性能测试结果、正确性测试结果、鲁棒性测试结果、合规测试结果；

    若按照漏洞扫描方式进行检测，输出所述汽车的安全检测结果包括接口测试结果、配置测试结果、漏洞测试结果、恶意软件测试结果；

    若按照模糊测试方式进行检测，输出所述汽车的安全检测结果包括黑盒测试结果、灰盒测试结果、白盒测试结果、功能测试结果；

    若按照渗透测试方式进行检测，输出所述汽车的安全检测结果包括硬件测试结果、软件测试结果、网络测试结果、平台测试结果。
15. 根据权利要求9-14任一项所述的装置，其特征在于，所述操作还包括：

    当接收到安全测试指令时，通过预设安全协议访问汽车系统中各个部件的历史数据信息，所述预设安全协议用于指示所述各个部件开放历史数据信息。
16. 根据权利要求15所述的装置，其特征在于，所述操作还包括：

    根据所述安全测试结果解析汽车安全的评估类型；

    将所述安全测试结果及所述评估类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级；

    若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。
17. 一种计算机程序，包括计算机可读代码，当计算机可读代码被运行时，导致权利要求1-8中的任一项权利要求所述的方法被执行。
18. 一种计算机可读介质，其中存储了如权利要求17所述的计算机程序。
19. 一种汽车安全等级的确定方法，包括：

    获取根据汽车的汽车信息进行安全测试得到的安全测试结果，所述安全测试结果包括不同功能的汽车部件通过不同测试方式进行测试得到的结果；

    根据所述安全测试结果解析汽车安全的测试类型；

    将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级；

    若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。
20. 根据权利要求19所述的方法，其特征在于，所述汽车安全的测试类 型包括理论安全分析测试类型、实际安全测试类型。
21. 根据权利要求20所述的方法，其特征在于，所述根据所述安全测试结果解析汽车安全的测试类型包括：

    根据所述理论安全分析测试类型及所述安全测试结果判断所述测试类型是否属于安全威胁和风险分析、安全设计分析、安全发展分析、安全部署及流程分析中的一种；或

    根据所述实际安全测试类型及所述安全测试结果判断所述测试类型是否属于功能安全测试、漏洞扫描、系统模糊测试、渗透测试中的一种。
22. 根据权利要求21所述的方法，其特征在于，所述将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配包括：

    当所述测试类型为安全威胁和风险评估，则获取存在于汽车中的潜在攻击对象；

    根据所述攻击对象操作的攻击场景、攻击路径，将所述安全测试结果与预设的安全威胁和风险评估等级进行匹配。
23. 根据权利要求21.所述的方法，其特征在于，所述将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配包括：

    当所述测试类型为安全部署及流程分析，则获取存在于汽车中的软件、硬件运行情况；

    根据所述软件、硬件运行情况的变化，将所述安全测试结果与预设的安全部署及流程分析等级进行匹配。
24. 根据权利要求21所述的方法，其特征在于，所述将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配包括：

    当所述测试类型为系统模糊测试，则获取存在于汽车中通过通信系统模糊分析得到的目标安全栈、外部接口；

    根据所述目标安全栈及所述外部接口对应的通信协议，将所述安全测试结果与预设的系统模糊测试等级进行匹配。
25. 根据权利要求19-24任一项所述的方法，其特征在于，所述获取根据汽车的汽车信息进行安全测试得到的安全测试结果之前，所述方法还包括：

    通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；

    根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；

    根据检测结果，输出所述汽车的安全测试结果。
26. 一种汽车安全等级的确定装置，其特征在于，包括：

    至少一个处理器；

    以及，至少一个存储器，其与所述至少一个处理器可通信地连接；所述至少一个存储器包括处理器可执行的指令，当所述处理器可执行的指令由所述至少一个处理器执行时，致使所述装置执行至少以下操作：

    获取根据汽车的汽车信息进行安全测试得到的安全测试结果，所述安全测试结果包括不同功能的汽车部件通过不同测试方式进行测试得到的结果；

    根据所述安全测试结果解析汽车安全的测试类型；

    将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配，所述预设的汽车安全等级为根据不同安全测试结果及不同测试类型配置的安全等级；

    若匹配成功，则将匹配的汽车安全等级确定为所述汽车的安全测试等级。
27. 根据权利要求26所述的装置，其特征在于，所述汽车安全的测试类型包括理论安全分析测试类型、实际安全测试类型。
28. 根据权利要求27所述的装置，其特征在于，所述根据所述安全测试结果解析汽车安全的测试类型的操作包括：

    根据所述理论安全分析测试类型及所述安全测试结果判断所述测试类型是否属于安全威胁和风险分析、安全设计分析、安全发展分析、安全部署及流程分析中的一种；

    根据所述实际安全测试类型及所述安全测试结果判断所述测试类型是否属于功能安全测试、漏洞扫描、系统模糊测试、渗透测试中的一种。
29. 根据权利要求28所述的装置，其特征在于，所述将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配的操作包括：

    当所述测试类型为安全威胁和风险评估，则获取存在于汽车中的潜在攻击对象；

    根据所述攻击对象操作的攻击场景、攻击路径，将所述安全测试结果与预设的安全威胁和风险评估等级进行匹配。
30. 根据权利要求28所述的装置，其特征在于，所述将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配的操作包括：

    当所述测试类型为安全部署及流程分析，则获取存在于汽车中的软件、硬件运行情况；

    根据所述软件、硬件运行情况的变化，将所述安全测试结果与预设的安全部署及流程分析等级进行匹配。
31. 根据权利要求28所述的装置，其特征在于，所述将所述安全测试结果及所述测试类型与预设的汽车安全等级进行匹配的操作包括：

    当所述测试类型为系统模糊测试，则获取存在于汽车中通过通信系统模糊分析得到的目标安全栈、外部接口；；

    根据所述目标安全栈及所述外部接口对应的通信协议，将所述安全测试结果与预设的系统模糊测试等级进行匹配。
32. 根据权利要求26-31任一项所述的装置，其特征在于，所述操作还包括：

    通过汽车的控制局域网络获取汽车信息，所述汽车信息包括汽车中各个部件在汽车系统运行中产生的数据信息；

    根据预设的异常情况对应关系及所述汽车信息，检测所述汽车的安全状态，所述预设异常情况对应关系存储有汽车中各个部件处于不同情况的汽车信息对应的安全状态；

    根据检测结果，输出所述汽车的安全测试结果。
33. 一种计算机程序，包括计算机可读代码，当计算机可读代码被运行时，导致权利要求19-25中的任一项权利要求所述的方法被执行。
34. 一种计算机可读介质，其中存储了如权利要求33所述的计算机程序。

Images