點擊藍(lán)字

關注我們

汽車(chē)互聯互通(tōng)的(de)快(k₽​uài)速發展為(wèi)新功能(néng)和(hé)創λ¥γ新的(de)商業(yè)模式提供了(le)÷λ↕許多(duō)機(jī)會(huì)。與此同時(shí)，汽車(chē)網絡受到(dào)♥↑≥黑(hēi)客攻擊的(de)可(kě)能(n♥βéng)性也(yě)在增加。此類攻擊威脅到(dào)車(c≤ hē)輛(liàng)的(de)功能(néng)安全(Safety$ )，并可(kě)能(néng)造成經濟損失。AutoSAR标準為(wèi)運行(xíng)在ECU>↕上(shàng)的(de)軟件(jiàn)定義了(le)基本的(de)軟件(jià≠©∏n)功能(néng)和(hé)接口，确保車(chē)輛(liàng)在出∑↕廠(chǎng)時(shí)就(jiù)具備必要(yào)的(<↓♥de)安全防護和(hé)檢測能(néng)力。現(xi®∑àn)代車(chē)輛(liàng)E/E架構不(bù)斷發展,但(dàn ≥)總體(tǐ)來(lái)看(kàn)，無論Eε$/E架構如(rú)何發展，ECU還(hái)是(shì)可±σ(kě)以簡單的(de)劃分(fēn)為(wèi)兩大(dà)類型：1) CPγ&(Classic Platform):計(jì)≈∞♣≥算(suàn)能(néng)力、存儲空(kōng)間(jiān)大(dà)小(xiǎo)、網>☆∏絡帶寬等都(dōu)通(tōng)常十分(fēn)有(yǒu)限，而≠& 實時(shí)性要(yào)求又(yòu)很(→σ×hěn)高(gāo)，這(zhè)類ECU通(tō×$‍ng)常要(yào)求部署輕量級的(de)安全措施，重§Ω點解決運行(xíng)在ECU上(shàng)的(de)軟件(jiàn)和(hé)‍↓σ網絡報(bào)文(wén)的(de)完整性和(hé)真實∑→"性。2) AP(Adaptive Platform≈ ×‍):各類資源相(xiàng)對(duì)豐富。可(kě)以提供更多(duō)的(de)"•α 資源給Security，因此可(kě)以部署一(yī)些(xiē)入侵檢測特性∞♦₽>以及整車(chē)安全管理(lǐ)類的(de)特性。‌λ​•未來(lái)E/E架構越來(lái)越走向融合的 ✔(de)道(dào)路(lù)，整車(chē)的(de)核心功能(néng)會↕∞λ∞(huì)集中在少(shǎo)量的(de)高(gāo)性能(nén↔€&g)計(jì)算(suàn)芯片中，有(y₩&♣ǒu)的(de)文(wén)獻中成為(wèi)汽γ£®車(chē)計(jì)算(suàn)機(jī)(Vehicle Computer),我們仍≤€♠ε然歸類為(wèi)AP類。本文(wén)先介紹一(yī)下(xià)Auto& SAR标準定義的(de)基礎安全特性，再從(•£≈§cóng)行(xíng)業(yè)角度介紹一(yī)些(xiē)其÷♠他(tā)安全機(jī)制(zhì)。這(zhè)樣在進行> (xíng)ECU設計(jì)的(de)時(shíλ$&β)候就(jiù)可(kě)以根據TARA分(fēn)析的(de)結δσπ•果選擇合适的(de)安全機(jī)制(zhì)。

1. 縱深防禦架構

因此講整車(chē)的(de)信息安全架構，在充分(fēn)做(zuò)好(hǎo)>¥€δTARA的(de)前提下(xià)，再綜合考慮各ECU的(de)資源情況、每個(gè)ECU對( ↓×duì)Safety的(de)影(yǐn↑★g)響情況以及成本允許的(de)情況下(xià)選π≠™擇合适的(de)安全架構。安全架構要(yào)體(tǐ)現(xiàn)每個(gè)Eλ​$‍CU上(shàng)部署的(de)安全機(jī)制(zhì)，各安全機(jī)制(zh§£ì)之間(jiān)又(yòu)是(shì)如(rú)何進行(xíng)☆←安全通(tōng)信和(hé)協作(zuò) 。不(bù)✘♥ε能(néng)簡單和(hé)孤立的(de)看(kàn)單←↔個(gè)ECU的(de)安全能(néng)力♦αφ♠。新冠病毒每次在國(guó)內(nèi)傳播的(de)疫情分(fēn)析看♦↕(kàn)，也(yě)可(kě)以發現(xi✘©àn)類似情況：病毒（黑(hēi)客）總是(shì)從(cóng)整個(gè)國(gu>♥ó)家(jiā)防疫體(tǐ)系最薄弱的(de)環節（漏洞）開(kāi)始侵入，再Ω©™輻射到(dào)其他(tā)地(dì)區(qū$€‍)。可(kě)見(jiàn)縱深防禦是(shì)核心的(de)安全理(l ✘ǐ)念，見(jiàn)圖1。

圖1：“縱深防禦”包括從(cóng)微(wēi)控₽€∏制(zhì)器(qì)到(dào)基礎設施的(de)各個(gè)層次的(de)車(chē)輛(l∑"iàng)架構和(hé)通(tōng)信的(de)安全措施

Source:https://www.escrypt.com/en/news-events/autom±≠™ated-driving-when-safety-meets-security

後續我們将按照(zhào)上(shàng)圖介紹的(de)框架分(fēn)若幹系≈¶列進行(xíng)介紹，本周介紹ECU的(de)安全機(jī)制(zhì)。下(xià)β✘面按照(zhào)AP和(hé)CP來(lái)簡單介紹←‌ε一(yī)下(xià)其相(xiàng)應的(de)采用(yòng)較多(duō)的(de)安全 ♠↕機(jī)制(zhì)。

2. CP安全機(jī)制(zhì)介紹

圖2：vector 标準軟件(jiàn)棧（紅(hóng)色部分(fēn)為(<±Ωwèi)security相(xiàng)關的(de)組件(jiàn)）

source https://www.vector.com/int/‍★✔en/products/solutions/safety-security/automot∏$ive-cybersecurity/#c2920

• CSM:密碼服務管理(lǐ)器(qì)(Crypto S₩→ervice Manager)：

• 訪問(wèn)加密服務

• 配置用(yòng)于執行(xíng)服務的(de)加↕‍‌密服務和(hé)算(suàn)

• 同步或異步執行(xíng)的(de)配置 ∑δ<

• 安全計(jì)數(shù)器(qì)的(de)配​"置

• 對(duì)加密密鑰的(de)操作 ←₹(zuò)配置

• 配置證書(shū)操作(zuò)

• CRYIF:密碼算(suàn)法接口(In↑∑terface for cryptographic algorithms)

CryIf模塊使使用(yòng)CSM基于硬件(jiàn)和(hé)基于軟件(jiàn)的(σ↔de)加密解決方案成為(wèi)可(kě)能(néng←γ)。必要(yào)的(de)分(fēn)配方案由加密接口管理(lǐ)。

CRYIF模塊為(wèi)不(bù)同的(de)加密解決方案提供了(€↓€™le)統一(yī)的(de)接口，例如(rú):

• 基于軟件(jiàn)的(de)算(suàn)法實現(xi<↓àn)，由Crypto (SW)模塊提供

• 基于硬件(jiàn)的(de)加密功能(néng)，由安全硬件(jiàn)擴®×φ展(SHE)或硬件(jiàn)安全模塊(HSM)通(tōng)過加密(HW)模塊實現(xiàn♠§®♥)。

• Crypto (HW)

Crypto (HW)模塊作(zuò)為(wèi)訪問(wèn)安全算(su ®&àn)法和(hé)函數(shù)的(de)驅動程$α≈序，通(tōng)過硬件(jiàn)信任錨(HTA)提供。有(yǒu)不(b♣"≤☆ù)同的(de)HTA類型，如(rú)安全硬件(jiàn)擴展(SHE)和(hé)硬→☆÷ 件(jiàn)安全模塊(HSM)。

SecOC: 安全通(tōng)信（Secure Onboard Co₽ mmunication）

SecOC模塊，也(yě)稱為(wèi)身(shēn)份驗證消息，用(yòng)于驗₩☆γ證兩個(gè)ecu之間(jiān)的(de)通(tōng)信。這(zhè)種驗證可(k↓→​€ě)以防止第三方注入或仿冒正确的(de)通(tōng)信夥伴。

SecOC與PDU路(lù)由器(qì)進行(xíng)交互。這(zhè)種交互可(kě)以由應♦★用(yòng)程序控制(zhì)。該模塊提供以下(xià)功能(né✘✔​ng):

• 通(tōng)過認證和(hé)完整性保護PDU的(de)£↔傳輸。

• 使用(yòng)消息認證碼(MAC)進行(xíng)認證。≠★∏消息身(shēn)份驗證碼的(de)實際生(shēng)成和(hé)驗證由CSM執行(xíng≤​©↕)。

• 防止重放(fàng)攻擊。

• 這(zhè)裡(lǐ)使用(yòng)了(le)一(y$≈≤γī)個(gè)計(jì)數(shù)器(qì)“新鮮度值”。它由一(yī)個(gè)獨立組件( ♦ jiàn)生(shēng)成，即新鮮度值管理(lǐ)器(qì)(FVM)。支持不¥∑λ(bù)同的(de)方法來(lái)生(sh∞"ēng)成新鮮度值。

圖3：為(wèi)了(le)模拟和(hé)測試seco™£c安全通(tōng)信，安全管理(lǐ)器(qì)生(shēng)成(左)并驗證(右¶≠γπ)消息驗證碼

(MACs)Source:https://www.vector.com/int/en/products/sol₹β✔utions/safety-security/automotive-cybersecδ★ urity/#c66952

• TLS: TLS客戶端，用(yòng)"∑于在以太網上(shàng)進行(xíng)安全通(tōn ♣™®g)信

此模塊包含傳輸層安全客戶端。使用(yòng•§λε)vTls對(duì)基于TCP的(de)協議(yì)的(de)通(tōng)信進行≈•₩‌(xíng)加密。vtls (Client)的(de)使用(yòng)僅限于智能(né•" ₹ng)充電(diàn)用(yòng)例。對(duì)于TCP/ UDP級别上(shàng)的(∑'de)安全客戶端-服務器(qì)通(tōng)信，使用(yòng)§↔₹✘TLS協議(yì)(傳輸層安全)。安全管理(lǐ)器(qì)為(wèi)以太網通(tΩ↕​ōng)信提供TLS協議(yì)棧。這(zh∑≥γè)允許工(gōng)具方便地(dì)使用(yòng)協議(yì)(包括參數(shù)化(huà)♦♠↕₽)來(lái)測試由TLS保護的(de)通(tōng)信。除了(le)所需的(de)證書(‌β©↔shū)層次結構外(wài)，還(hái π®)可(kě)以配置要(yào)使用(yò$&®ng)的(de)密碼套件(jiàn)。這(zhè)些(xiē) ♥€β包含用(yòng)于建立安全數(shù)據×←≥×連接的(de)算(suàn)法和(hé)參數(shù)。見(ji$→àn)圖4.

• IPSec:Internet協議(y £ì)安全(IPSec)

附加的(de)vIpSec允許根據IETF RfC 4301建立IPsec通(tōng≤‍)信。根據RfC 4302，功能(néng)被限制(zhì)在傳輸模♦₩ 式和(hé)Authentication HeaderΩ≠™β的(de)使用(yòng)。身(shēn)份驗證頭将數(shù)據完整性和(hé)§✔數(shù)據驗證添加到(dào)有(yǒu)效載荷，但(dàn)不(bù)≠§允許保密。

通(tōng)過這(zhè)種方式，您可(kě≈≠)以實現(xiàn)經典的(de)保護目标，如(rú)機(jī)密性、真實性‌λ和(hé)完整性。通(tōng)過對(duì)IP層的(de)保護，實現(xiàn)'§×>了(le)以上(shàng)各層的(de)保護目标。↕>₹IPsec協議(yì)的(de)使用(yòng)實現(x∞∑ ★iàn)了(le)對(duì)一(yī)些(xiē)/IP、DoIP、TLS和Ω¥γ₹(hé)HTTP等較高(gāo)層協議(yì)的(de)透♣™€♣明(míng)保護。Security Manager提供了(le)一(☆☆♣®yī)個(gè)包含IPsec協議(yì)中最重要(yào)元素的(de)IPsec∑‍堆棧:

• 在傳輸模式中使用(yòng)“認證頭”安全方法全面保護以太網通(tōng)信

• 實現(xiàn)IKEv2協議(yì)(Inter ®Ωφnet Key Exchange v2)，為(wèi)基于證書(shū)的(‌∏♥de)會(huì)話(huà)靈活、安全地(dì)生(shē×&¥ng)成密鑰材料。

除了(le)提供協議(yì)棧之外(wài)，Se☆★↓curity Manager還(hái)支持IPs×£ec協議(yì)的(de)全面配置。安全配置文(wén)件(jiàn)用(yòng)φ§€于此目的(de)，它結合了(le)所有(yǒu)必要(yào)☆'π§的(de)配置參數(shù)。其中包括密碼套件(ji™≤àn)、證書(shū)和(hé)安全策略。

Source:https://www.vector.com/int/en/products/solution∏≠≈®s/safety-security/automotive-cy¥λbersecurity/#c66952

• vXMLSecurity δ♠↓;:XML安全

此模塊用(yòng)于生(shēng)成或δ¶驗證XML簽名，這(zhè)些(xiē)簽名将附加到(±≤₹dào)基于W3C XML安全标準的(de)exi≥¶編碼的(de)數(shù)據中。根據ISO 15118，當使¶♦​用(yòng)“Plug and Charge”時(shí)，這(z✘​€×hè)個(gè)功能(néng)是(shì)必需的(de)。

• ETHFW: 靜(jìng)态的(de)以太網報(bào)文(wén)過濾防火(hε★×uǒ)牆（見(jiàn)圖6）

圖6：Vector Eth協議(yì)棧（包括防∑>¥火(huǒ)牆模塊）

• SEM:安全事(shì)件(jiàn)內(nèi)存（Secur §♣™ity Event Memory）

用(yòng)于安全事(shì)件(jiàn)的 ±γΩ(de)防篡改保存

• KEYM: AUTOSAR密鑰管理(lǐ)器(qì)ε→π

KeyM用(yòng)于管理(lǐ)和(hé)分(fēn‍♦)發加密材料，如(rú)對(duì)稱和(hé)不(bù)對(duì)稱密鑰和(☆™&hé)證書(shū)。Key Manager提供基于可(kě)配置規則的(de)解析和(hé)驗證$>¶證書(shū)的(de)功能(néng)。它使用(yòng)CSM接​γ♠口來(lái)存儲證書(shū)和(hé)執行(​'εxíng)加密操作(zuò)。

• 通(tōng)過診斷例程接收新的(dσ∑e)加密材料(密鑰、證書(shū))

• 驗證密碼材料的(de)真實性、完整性和(hé)新鮮度

• 提供與業(yè)務邏輯集成的(de)調用(yòng)，用(yòng)于不(bù)同典型的(≤↕de)關鍵生(shēng)命周期階段(生(shēn ÷€g)産、初始化(huà)、更新、修複、替換) •ε→®

• 支持SecOC

• 支持共享密鑰的(de)安全分(fēn)發  <↔↔

• 記錄安全事(shì)件(jiàn)到≈σ(dào)SEM (security event memory)。

• 圖6：Vector Eth協議(yì)棧（包括防火(huǒ)牆模塊∞​）

• SEM:安全事(shì)件(jiàn)內(nèi)存（Security≥≠ Event Memory）

圖7：AutoSAR KeyM上(shàng)下​←(xià)文(wén)

Source:static/file/2023053015¶"2627_81257.pdf

KeyM自(zì)身(shēn)又(yòu)由兩個(gè)組↔∞δ‍件(jiàn)組成：Crypto Key和(hé) Certificat↑♠es,分(fēn)别管理(lǐ)密鑰和(hé)證書(shū)，見(jiàn)圖8.

圖8：AutoSAR KeyM組件(jiàn)

Source:static/file/20230530152627_81257.pdf

• 安全診斷:AUTOSAR支持在安全內(★∏nèi)存中記錄IT安全事(shì)件(jiàn)。

它還(hái)監控通(tōng)過UD φS服務0x27 (SecurityAccess)和(hé)0x29 (Authenδ'tication)的(de)授權訪問(wèn)數(shù)據。例如(rú)，診斷測♥♠¥δ試設備隻有(yǒu)在以前執行(xíng)過質詢-響應通×✔(tōng)信或使用(yòng)證書(shū)對(duì)自(zì)身(shēn)€≤÷進行(xíng)身(shēn)份驗證時(shí)才能(néng)訪問(wèn)已記錄的(d‌↓±e)安全事(shì)件(jiàn)。

轉載汽車(chē)電(diàn)子(zǐ)相(xiàng)關文(wén)章(zhāng)

轉自(zì)汽車(chē)電(diàn)器(qì)與軟件(jβ¶iàn)