點(diǎn)擊藍(lán)字

關(guān)注我們

汽車互聯(lián)互通的快速發(fā)展為新功能和創(chuàng)新的商業(yè)模式提供了許多機(jī)會(huì)。與此同時(shí)，汽車網(wǎng)絡(luò)受到黑客攻擊的可能性也在增加。此類攻擊威脅到車輛的功能安全(Safety)，并可能造成經(jīng)濟(jì)損失。AutoSAR標(biāo)準(zhǔn)為運(yùn)行在ECU上的軟件定義了基本的軟件功能和接口，確保車輛在出廠時(shí)就具備必要的安全防護(hù)和檢測(cè)能力。現(xiàn)代車輛E/E架構(gòu)不斷發(fā)展,但總體來看，無論E/E架構(gòu)如何發(fā)展，ECU還是可以簡(jiǎn)單的劃分為兩大類型：1) CP(Classic Platform):計(jì)算能力、存儲(chǔ)空間大小、網(wǎng)絡(luò)帶寬等都通常十分有限，而實(shí)時(shí)性要求又很高，這類ECU通常要求部署輕量級(jí)的安全措施，重點(diǎn)解決運(yùn)行在ECU上的軟件和網(wǎng)絡(luò)報(bào)文的完整性和真實(shí)性。2) AP(Adaptive Platform):各類資源相對(duì)豐富?？梢蕴峁└嗟馁Y源給Security，因此可以部署一些入侵檢測(cè)特性以及整車安全管理類的特性。未來E/E架構(gòu)越來越走向融合的道路，整車的核心功能會(huì)集中在少量的高性能計(jì)算芯片中，有的文獻(xiàn)中成為汽車計(jì)算機(jī)(Vehicle Computer),我們?nèi)匀?span style="font-family:PingFangSC-light;">歸類為AP類。本文先介紹一下AutoSAR標(biāo)準(zhǔn)定義的基礎(chǔ)安全特性，再?gòu)男袠I(yè)角度介紹一些其他安全機(jī)制。這樣在進(jìn)行ECU設(shè)計(jì)的時(shí)候就可以根據(jù)TARA分析的結(jié)果選擇合適的安全機(jī)制。

1. 縱深防御架構(gòu)

因此講整車的信息安全架構(gòu)，在充分做好TARA的前提下，再綜合考慮各ECU的資源情況、每個(gè)ECU對(duì)Safety的影響情況以及成本允許的情況下選擇合適的安全架構(gòu)。安全架構(gòu)要體現(xiàn)每個(gè)ECU上部署的安全機(jī)制，各安全機(jī)制之間又是如何進(jìn)行安全通信和協(xié)作 。不能簡(jiǎn)單和孤立的看單個(gè)ECU的安全能力。新冠病毒每次在國(guó)內(nèi)傳播的疫情分析看，也可以發(fā)現(xiàn)類似情況：病毒（黑客）總是從整個(gè)國(guó)家防疫體系最薄弱的環(huán)節(jié)（漏洞）開始侵入，再輻射到其他地區(qū)?？梢娍v深防御是核心的安全理念，見圖1。

圖1：“縱深防御”包括從微控制器到基礎(chǔ)設(shè)施的各個(gè)層次的車輛架構(gòu)和通信的安全措施

Source:https://www.escrypt.com/en/news-events/automated-driving-when-safety-meets-security

后續(xù)我們將按照上圖介紹的框架分若干系列進(jìn)行介紹，本周介紹ECU的安全機(jī)制。下面按照AP和CP來簡(jiǎn)單介紹一下其相應(yīng)的采用較多的安全機(jī)制。

2. CP安全機(jī)制介紹

圖2：vector 標(biāo)準(zhǔn)軟件棧（紅色部分為security相關(guān)的組件）

source https://www.vector.com/int/en/products/solutions/safety-security/automotive-cybersecurity/#c2920

• CSM:密碼服務(wù)管理器(Crypto Service Manager)：

• 訪問加密服務(wù)

• 配置用于執(zhí)行服務(wù)的加密服務(wù)和算

• 同步或異步執(zhí)行的配置

• 安全計(jì)數(shù)器的配置

• 對(duì)加密密鑰的操作配置

• 配置證書操作

• CRYIF:密碼算法接口(Interface for cryptographic algorithms)

CryIf模塊使使用CSM基于硬件和基于軟件的加密解決方案成為可能。必要的分配方案由加密接口管理。

CRYIF模塊為不同的加密解決方案提供了統(tǒng)一的接口，例如:

• 基于軟件的算法實(shí)現(xiàn)，由Crypto (SW)模塊提供

• 基于硬件的加密功能，由安全硬件擴(kuò)展(SHE)或硬件安全模塊(HSM)通過加密(HW)模塊實(shí)現(xiàn)。

• Crypto (HW)

Crypto (HW)模塊作為訪問安全算法和函數(shù)的驅(qū)動(dòng)程序，通過硬件信任錨(HTA)提供。有不同的HTA類型，如安全硬件擴(kuò)展(SHE)和硬件安全模塊(HSM)。

SecOC: 安全通信（Secure Onboard Communication）

SecOC模塊，也稱為身份驗(yàn)證消息，用于驗(yàn)證兩個(gè)ecu之間的通信。這種驗(yàn)證可以防止第三方注入或仿冒正確的通信伙伴。

SecOC與PDU路由器進(jìn)行交互。這種交互可以由應(yīng)用程序控制。該模塊提供以下功能:

• 通過認(rèn)證和完整性保護(hù)PDU的傳輸。

• 使用消息認(rèn)證碼(MAC)進(jìn)行認(rèn)證。消息身份驗(yàn)證碼的實(shí)際生成和驗(yàn)證由CSM執(zhí)行。

• 防止重放攻擊。

• 這里使用了一個(gè)計(jì)數(shù)器“新鮮度值”。它由一個(gè)獨(dú)立組件生成，即新鮮度值管理器(FVM)。支持不同的方法來生成新鮮度值。

圖3：為了模擬和測(cè)試secoc安全通信，安全管理器生成(左)并驗(yàn)證(右)消息驗(yàn)證碼

(MACs)Source:https://www.vector.com/int/en/products/solutions/safety-security/automotive-cybersecurity/#c66952

• TLS: TLS客戶端，用于在以太網(wǎng)上進(jìn)行安全通信

此模塊包含傳輸層安全客戶端。使用vTls對(duì)基于TCP的協(xié)議的通信進(jìn)行加密。vtls (Client)的使用僅限于智能充電用例。對(duì)于TCP/ UDP級(jí)別上的安全客戶端-服務(wù)器通信，使用TLS協(xié)議(傳輸層安全)。安全管理器為以太網(wǎng)通信提供TLS協(xié)議棧。這允許工具方便地使用協(xié)議(包括參數(shù)化)來測(cè)試由TLS保護(hù)的通信。除了所需的證書層次結(jié)構(gòu)外，還可以配置要使用的密碼套件。這些包含用于建立安全數(shù)據(jù)連接的算法和參數(shù)。見圖4.

• IPSec:Internet協(xié)議安全(IPSec)

附加的vIpSec允許根據(jù)IETF RfC 4301建立IPsec通信。根據(jù)RfC 4302，功能被限制在傳輸模式和Authentication Header的使用。身份驗(yàn)證頭將數(shù)據(jù)完整性和數(shù)據(jù)驗(yàn)證添加到有效載荷，但不允許保密。

通過這種方式，您可以實(shí)現(xiàn)經(jīng)典的保護(hù)目標(biāo)，如機(jī)密性、真實(shí)性和完整性。通過對(duì)IP層的保護(hù)，實(shí)現(xiàn)了以上各層的保護(hù)目標(biāo)。IPsec協(xié)議的使用實(shí)現(xiàn)了對(duì)一些/IP、DoIP、TLS和HTTP等較高層協(xié)議的透明保護(hù)。Security Manager提供了一個(gè)包含IPsec協(xié)議中最重要元素的IPsec堆棧:

• 在傳輸模式中使用“認(rèn)證頭”安全方法全面保護(hù)以太網(wǎng)通信

• 實(shí)現(xiàn)IKEv2協(xié)議(Internet Key Exchange v2)，為基于證書的會(huì)話靈活、安全地生成密鑰材料。

除了提供協(xié)議棧之外，Security Manager還支持IPsec協(xié)議的全面配置。安全配置文件用于此目的，它結(jié)合了所有必要的配置參數(shù)。其中包括密碼套件、證書和安全策略。

Source:https://www.vector.com/int/en/products/solutions/safety-security/automotive-cybersecurity/#c66952

• vXMLSecurity :XML安全

此模塊用于生成或驗(yàn)證XML簽名，這些簽名將附加到基于W3C XML安全標(biāo)準(zhǔn)的exi編碼的數(shù)據(jù)中。根據(jù)ISO 15118，當(dāng)使用“Plug and Charge”時(shí)，這個(gè)功能是必需的。

• ETHFW: 靜態(tài)的以太網(wǎng)報(bào)文過濾防火墻（見圖6）

圖6：Vector Eth協(xié)議棧（包括防火墻模塊）

• SEM:安全事件內(nèi)存（Security Event Memory）

用于安全事件的防篡改保存

• KEYM: AUTOSAR密鑰管理器

KeyM用于管理和分發(fā)加密材料，如對(duì)稱和不對(duì)稱密鑰和證書。Key Manager提供基于可配置規(guī)則的解析和驗(yàn)證證書的功能。它使用CSM接口來存儲(chǔ)證書和執(zhí)行加密操作。

• 通過診斷例程接收新的加密材料(密鑰、證書)

• 驗(yàn)證密碼材料的真實(shí)性、完整性和新鮮度

• 提供與業(yè)務(wù)邏輯集成的調(diào)用，用于不同典型的關(guān)鍵生命周期階段(生產(chǎn)、初始化、更新、修復(fù)、替換)

• 支持SecOC

• 支持共享密鑰的安全分發(fā)

• 記錄安全事件到SEM (security event memory)。

• 圖6：Vector Eth協(xié)議棧（包括防火墻模塊）

• SEM:安全事件內(nèi)存（Security Event Memory）

圖7：AutoSAR KeyM上下文

Source:https://assets.vector.com/cms/content/events/2019/Webinars19/Vecto_Webinar_Automotive_Cyber_Security.pdf

KeyM自身又由兩個(gè)組件組成：Crypto Key和 Certificates,分別管理密鑰和證書，見圖8.

圖8：AutoSAR KeyM組件

Source:https://assets.vector.com/cms/content/events/2019/Webinars19/Vecto_Webinar_Automotive_Cyber_Security.pdf

• 安全診斷:AUTOSAR支持在安全內(nèi)存中記錄IT安全事件。

它還監(jiān)控通過UDS服務(wù)0x27 (SecurityAccess)和0x29 (Authentication)的授權(quán)訪問數(shù)據(jù)。例如，診斷測(cè)試設(shè)備只有在以前執(zhí)行過質(zhì)詢-響應(yīng)通信或使用證書對(duì)自身進(jìn)行身份驗(yàn)證時(shí)才能訪問已記錄的安全事件。

轉(zhuǎn)載汽車電子相關(guān)文章

轉(zhuǎn)自汽車電器與軟件