3. AP安全機(jī)制(zhì)介紹

AP上(shàng)的(de)重要(yào)特征是(shì)軟件(jiàn)服≈★≤務化(huà)，軟件(jiàn)服務化(huà)導緻組件(jiànΩ$£φ)之間(jiān)的(de)通(tōng)信是(shì)動态的(d$"≈e)，組件(jiàn)可(kě)以根據需要(yào)動态訂閱或者取消其他(tā)組件(jα♠Ωiàn)提供 服務。另外(wài)一(yī)個(gè)特征是(shì ∞α¥)較多(duō)的(de)不(bù)同信任級别的(de)服務運行(xíng)在相'¥∑(xiàng)同的(de)芯片裡(lǐ)，這(zhè)就(jiù)↓×Ω 要(yào)求芯片具有(yǒu)很(hě•φ≠n)強的(de)隔離(lí)能(néng)力。☆↕AUTOSAR自(zì)适應平台使動态适應應用(yòng)軟件(jiàn)成為(w€♦©èi)可(kě)能(néng)，并使用(yòng)AUTOSAR Runtime for A✘ ←$daptive Applications (ARA)接口與基©§​ 于posix的(de)操作(zuò)系統&±(如(rú)Linux)建立連接(圖9)。為(wèi)了(le)确保來(lái)↓↑€自(zì)不(bù)同廠(chǎng)商和(h&♦λ♥é)不(bù)同ASIL類别的(de)軟件(jiàn)在VC（vehicle↑® computers）上(shàng)安全運行(xíng ↔)，管理(lǐ)程序用(yòng)于預配置分(fēn)區(qū)。

圖9:AUTOSAR Classic支持具φ∞φ有(yǒu)固定實時(shí)需求的(de)系統，而>∑ AUTOSAR Adaptive将自(zì)己☆ <♣作(zuò)為(wèi)動态應用(yòng)程序的(de)标準

Source:https://www.etas.com/download

3.1  AP安全機(jī)制(zhì)簡介

• 網絡安全管理(lǐ)

智能(néng)互聯汽車(chē)無法通(tōng)過單獨的(de)措施來(lá↔★♠i)确保安全，而隻能(néng)通(tōng)過基于整個(gè)車$∞(chē)輛(liàng)架構風(fēng)險分(fēn)析的(de)集成概念來(l᧥•€i)實現(xiàn)。這(zhè)些(xiē)概念必σ‌須分(fēn)解為(wèi)各個(gè)組件(jiàn)、ECU 及其邏輯↓‌≈分(fēn)區(qū)的(de)安全要(yào)求。因此，AUTOSAR Adap≠δ✘tive 具有(yǒu)一(yī)組集成的(de)基本安全功能(néng)，開(kāi)發人(ré₩♣®n)員(yuán)可(kě)以使用(yòng)這(zhè)些(xiē)功能(néng)來(l >÷™ái)滿足聯網自(zì)動車(chē)輛( £♣ liàng)系統不(bù)斷變化(huà)的(de€♦£)定量和(hé)定性保護要(yào)求。₹φ鑒于分(fēn)布式、基于軟件(jiàn)的(de) ₽λ"E/E 架構會(huì)在實時(shí)條件φ&®≤(jiàn)下(xià)增加數(shù)據負載，因此必須設計(j→≈×♣ì)安全措施以提高(gāo)性能(néng‍ε<)。這(zhè)就(jiù)是(shì)為(wèi)什(sh §≥én)麽将以下(xià)安全功能(néng)集成到(dào) AUTOSAR Adaptiveδδ₹  中的(de)原因（圖 10）

圖片來(lái)源：https://www.etas.com/downlo↕®ad-centerfiles/DLC_realtimes/R←&€©T_2021_EN_18.pdf 

AUTOSAR Adaptive 中的(de)安全組件(jiàn​₽♠)

• 用(yòng)于管理(lǐ)密鑰材料和∏™λ(hé)訪問(wèn)加密原語的(de)✘£加密堆棧

• 通(tōng)過 TLS 和(hé) IPSec 進行(xíng)安全通(tōn$"↑ g)信

• 敏感資源的(de)訪問(wèn)保護（例如(rú)，通(tōng)過©₩≤☆身(shēn)份和(hé)訪問(wèn)管理(lǐ)模塊的(→∞€γde)密鑰

• 從(cóng)單個(gè)應用(yòng)程序到(dào)完整平台的(>​de)所有(yǒu)內(nèi)容的(de)安全更新

• 由于繼續将安全啓動信任鏈作(zuò)∞β為(wèi)“可(kě)信平台”的(de)一(yī)部> 分(fēn)而獲得(de)正宗軟件(jiàn)

• 作(zuò)為(wèi)“關鍵組件(jiàn)”的(de)密碼學套件(jiàn) ₹σ§

許多(duō)安全用(yòng)例依賴于加密原語，例如(rú)€ε，加密機(jī)密數(shù)據或驗證軟件(jiàn)更新↔ ‌的(de)簽名。為(wèi)此所需的(de)加密密嶩鑰和(hé)證書(shū)必須安全存儲，★"↔∏并由授權的(de)應用(yòng)程序管理Ω←(lǐ)，有(yǒu)時(shí)甚至在多(duō)個(gè)ecu之間(jiān)進‌≠×行(xíng)同步。在AUTOSAR Adaptive中γ•，這(zhè)些(xiē)原語是(shì)通(tōng)過加密功能(né₽δ​♣ng)集(也(yě)稱為(wèi)加密API)提供的(de)。它提供了(le)所提供接口♠​∞的(de)抽象，從(cóng)而提高(gāo)了(le)整體(tǐ)軟件(jiàn)的✘™±(de)可(kě)移植性。為(wèi)了(le)确€§∑保安全的(de)數(shù)據交換，AUTOS¥βAR Adaptive遵循最新的(de)标準，包括TCP/IP通(tōng)信通(tōng)過以太‍•λ&網。使用(yòng)TLS和(hé)IPSec (IT世界中已建立的(de)協議(yì))，可∏← ∏(kě)以在車(chē)輛(liàng)內(nèi)部和(hé)與外(wài)部實例建立不(bù®Ω )受操縱或竊聽(tīng)影(yǐng)響的($σ ÷de)通(tōng)信安全通(tōng)道(dà ↓o)。AUTOSAR Adaptive管理(lǐ)對(duì)系統資源的(de)訪問(wèn)→₽∑，如(rú)持久內(nèi)存、通(tōng‍&)信通(tōng)道(dào)和(hé)加密密鑰。AUTOSAR身(sh¶​ēn)份和(hé)訪問(wèn)管理(lǐ)模塊提供了(le)一(yī)個(♣‍gè)看(kàn)門(mén)人(rén)，隻允許顯式授權的(de)應用(yòng)程序訪問 ♦ ‌(wèn)各自(zì)的(de)資源。訪問(wèn)權限可(₽>kě)以根據需要(yào)進行(xíng)配置，并随時(shí)更新。

• 安全更新和(hé)可(kě)信平台

AUTOSAR Adaptive中的(de)安全更新功能(néng™∞)有(yǒu)助于修複檢測到(dào)的(de)漏洞，例如(§♣rú)IDS(入侵檢測系統)發現(xiàn)的(d≈☆£©e)漏洞。它接收并處理(lǐ)單個(gè)應用(yòng)♣→程序甚至整個(gè)平台的(de)安全更新。每個(gè)Update blob都‍ ​ (dōu)由後端簽名，以便隻執行(xín↔‌​g)來(lái)自(zì)受信任源的(de)更新。除了(le)更>™新，ECU和(hé)VC（vehicle computer）應用(yò±"←ng)程序也(yě)必須定期進行(xíng)驗證。這(zhè)需要(yào)安全引導或AUTO☆&©SAR Adaptive中的(de)可(kě)信平台$→™功能(néng)，作(zuò)為(wèi)一(yī)個(gè)信任錨，驗證所有(yǒu)應用(yò"π¥ng)程序以及平台本身(shēn)。通(tōng‌Ω☆)過維護從(cóng)引導到(dào)平台到(dào)應用(yòng)程¥φαλ序的(de)信任鏈，隻執行(xíng)受信任的(de)軟件(jiàn)πΩ∏。

• 3.2 RTA-VRTE：AUTOSAR Adaptive的(de)平台軟件(jiàn)框架

對(duì)于AUTOSAR Adaptive的(de)未©φ‍©來(lái)用(yòng)戶來(lái)說↕<∞$(shuō)，熟悉當前的(de)新架構至關重要(yào)。車(chē)輛(liàng)運行(x¥↕♦íng)時(shí)環境(RTA-VRTE∏™)平台軟件(jiàn)框架是(shì)集成和 '(hé)實現(xiàn)安全功能(néng)以及所有(yǒβ✔u)其他(tā)AUTOSAR自(zì)适應兼容流程的(de)理(lǐ∞®₽α)想基礎。RTA-VRTE包含了(le)基于‌ 微(wēi)處理(lǐ)器(qì)的(de)車(c'Ω↕πhē)載計(jì)算(suàn)機(jī)的(de)所有(yǒu)重要±¶εσ(yào)中間(jiān)件(jiàn)元素。該平台的(de)軟件(jiàn)框架使虛‌π‍拟ecu的(de)功能(néng)可(kě)以在傳統的(de)桌面pcε♥ε$上(shàng)進行(xíng)仿真，并通(tōng)過以太網進行(xíng)聯網。RTA-VRT ♦E創建一(yī)個(gè)由四層基本軟件(jiàn)↑​±架構組成的(de)虛拟機(jī)，第五層包含特定于車(chē)輛(liàng)的>δ" (de)平台服務，見(jiàn)圖11。

圖11:RTA-VRTE五層模型支持VCs的(de)重要(yào≈✘∞)軟件(jiàn)功能(néng)和(hé)需♥ π←求

Source:static/file/20230530152627_81257 ₽≈.pdf

級别1和(hé)2包含用(yòng)于硬件(jiàn)的(de)基礎架構軟件(σ$$jiàn)(例如(rú)，設備驅動程序)和(hé)posix兼容的(de)操作(zuò¥™♠‌)系統。第2級還(hái)提供了(le)源自(zì)AUTOSAR自(z"♥₩ ì)适應規範的(de)特定于平台的(de)元素——首先也(yě)是(δ✘≠​shì)最重要(yào)的(de)執行(xíng)管理(lǐ)。這(zhè)将管理(l✔ ↔ǐ)動态分(fēn)配的(de)應用(y↓→òng)程序，确保它們正确地(dì)啓動和(hé)停止∞©→ ，并監視(shì)對(duì)分(fēn)配的(d↓δe)資源和(hé)執行(xíng)限制(zhì)的(de)遵守情況。因此★​，執行(xíng)管理(lǐ)是(shì)IT安全的(de)關鍵功能(néng)，提供可(→<$kě)信平台，并驗證自(zì)适應應用(yòng)程序的(de)完整性和(hé)真實γ  性。這(zhè)樣，可(kě)能(néng)的(★±de)操縱或損壞就(jiù)可(kě)以提前檢測出來(lái)。

此外(wài)，三級通(tōng)信中間(jiān♣‍↕)件(jiàn)保證了(le)動态、靈活的(de)自(z≤✘ε♣ì)适應應用(yòng)程序和(hé)其他(tā)軟件(©™☆ jiàn)應用(yòng)程序可(kě)以集成到(dào)系統中。通(tōng)信管理(lǐ<φ)作(zuò)為(wèi)RTA-VRTEΩ★®≤的(de)核心組件(jiàn)，控制(zhì)和(hé)規範各層之間(jiān)的(d♠∏¥e)交互，保證ECU、車(chē)載平台服務等封裝軟件(jiàn)在4、5層的(de±₽←)正常運行(xíng)。在保護通(tōng)過身(shēn)份驗證的(de)應用(y♥'òng)程序提供的(de)服務之間(jiān)的(de)端到(dào)端通(tōng)信方​£×α面，該功能(néng)也(yě)與網絡安全高(gāo)度相(xiàng)關。

RTA-VRTE通(tōng)信管理(lǐ♠¶)和(hé)特定ecu的(de)服務在level 4上(shàng)為(wèi)應用䶣(yòng)程序開(kāi)發人(rén)員(∑δ♦yuán)提供了(le)一(yī)個(gè)通(•→∞‌tōng)用(yòng)的(de)汽車(chē)應用(yòng)框架。為(wè$÷↓•i)了(le)提供安全性，該級别還(hái)提供了(le)一(yī)個(gè)更新和(hé)配置€β≠÷管理(lǐ)器(qì)(UCM)，它支持單個(gè)應用(yòα©&₽ng)程序的(de)經過身(shēn)份驗證的(de)更新，并在整個(gèδ​)平台上(shàng)協調它們。在RTA-₩↓ VRTE的(de)第5級中，AUTOSAR+ε'δ★+方面允許集成整個(gè)車(chē)輛(liàng)甚至整個(£♠÷≤gè)車(chē)隊的(de)功能(néng)，為(wèi)RTA-VRTεφ↓E AUTOSAR自(zì)适應應用(yòng)程序集提供強大(dà)的(d•✔‍'e)空(kōng)中(OTA)更新。

3.3 展望

2020年(nián)，RTA-VRT∞₩E開(kāi)始在世界各地(dì)的(de)項目中使用(yòng)，旨在将AU'♦♣ΩTOSAR自(zì)适應車(chē)輛(liàng)平台↓γ∑投入生(shēng)産。此外(wài)，ETAS和(hé)ESCRYPT還(hái)提供了(le)¥§≥★一(yī)個(gè)早期訪問(wèn)計♥±₩✔(jì)劃(EAP)，使oem和(hé)供應商能(néng)夠建立下¥π→(xià)一(yī)代混合E/E架構的(de)開(kāi)發方法，同時(shí)實現(xγ↕iàn)AUTOSAR Adaptive已經可(kě)用(yòng)的(de)安全組件(jα™₩iàn)。除了(le)這(zhè)些(xiē)安全模塊，還(hái)需→≠‍要(yào)真正全面的(de)網絡安全概€ ♣♠念，用(yòng)于互聯的(de)自(zì)動化(huà)車(chē)輛(liàng)。首先，✔♥£硬件(jiàn)安全模塊(hms)作(zuò)為(wèi)信任錨，在VC微 ♠∏≥(wēi)控制(zhì)器(qì)或ecu中物(wù)理(lǐ)封裝加密密↔β鑰材料。此外(wài)，它還(hái)可(kě)以擴展到(d✘§¥↑ào)整個(gè)生(shēng)命周期₹₽內(nèi)的(de)車(chē)隊範圍內(nèi)的¶₩♦(de)車(chē)輛(liàng)保護，以及嵌₩Ω入式車(chē)輛(liàng)攻擊檢測、後端車(chē)輛(liàng)安全操±δ$作(zuò)中心(VSOC)和(hé)無線固件(jiàn÷•π)(FOTA)安全更新(圖12)。

圖12:集成汽車(chē)網絡安全與硬π∞↓件(jiàn)安全模塊作(zuò)為(wèi)微(wēi)控制(zhì)器(qì)的(de)"←$信任錨，并在整個(gè)汽車(chē)生(shēng)命周期內(nèi)監控車(chē)輛(l≠∑iàng)安全

Source:static/file/20230530152627_81257.pdf

RTA-VRTE平台軟件(jiàn)框架使開(kāi)發者能(néng)夠将基于AUTO±​  SAR自(zì)适應的(de)E/E架構應用(yòng)到(dào)虛拟環境中。這(zhè)樣做(★ zuò)，它擴大(dà)了(le)針對(duì)網絡攻擊的(de)全面保護β•φ¥的(de)基礎，在未來(lái)的(de)車(chē)輛(li↔↕←àng)中，這(zhè)将不(bù)得(de)不(bù)從(cóng)微(wēi)控α 制(zhì)器(qì)擴展到(dào)車(chē)載網絡，并擴展到(dào)終生(shλ¶♣ēng)的(de)車(chē)隊監控。

4. 其他(tā)安全機(jī)制(zhì)

4.1 CFI(Control Flow → £γIntegrity)

CFI用(yòng)來(lái)防止漏洞利用(yòng)的(de)技(jì)術(shù)，通(tōng)過确保δ↓ECU的(de)程序不(bù)違反預期的(de)執行(xíng)流。該技(jì)術(shù)✘™适合AP和(hé)CP。不(bù)少(shǎ©•×₩o)安全廠(chǎng)商已經支持該功能(néngΩγ)。見(jiàn)圖13.

4.2 ECU Firewall

ECU級防火(huǒ)牆，通(tōng)過深度報(bào)文(wén)解析（§♠Deep Packet Inspectio↓★∑n）用(yòng)來(lái)防止ECU內(nèi)部通(tōng)信的(d↓∑‌Ωe)攻擊。該技(jì)術(shù)适合AP和(hé)CP。見×σ<★(jiàn)圖13.

4.3 應用(yòng)程序控制(zhì)

主要(yào)是(shì)防止ECU在啓動和(hé&γπ→)運行(xíng)時(shí)刻運行(xíng)非法軟件(jiàn)。→α±通(tōng)常适合AP架構。見(jiàn)圖13.

4.4 入侵檢測系統

入侵檢測模塊不(bù)在本文(wén)贅述，←≈≥♦可(kě)以參考青骥的(de)AutoSAR IDS專題文(wén)章(z♠±→hāng)（青骥原創 l AutoSAR IDSφ™₩标準介紹）。見(jiàn)圖13.

圖13: Argus ECU ≠★安全機(jī)制(zhì)示意圖 ↓Ω

圖片來(lái)源：https://argus-sec.com¥♣/connected-ecu-protectio  ¶n/

4.5 軟件(jiàn)保護（白(bái)盒密碼☆φ​技(jì)術(shù)）

當設備部署到(dào)黑(hēi)客手中時(shí)，保護設備∑​ε的(de)難度要(yào)大(dà)幾個(gè)數(shù)量α↔♠≤級。對(duì)設備具有(yǒu)物(wù)理(γ∞lǐ)訪問(wèn)權限的(de)堅定黑(hēi)客可(kě)以做(zuò)很(hěn)多α≤ ←(duō)事(shì)情來(lái)獲得(de)超級用(yòng)戶←€←訪問(wèn)權限并危及系統安全：提取固件(jiàn)映像、逆向工(gōng)程軟件(jiàn)∏≥∑、重新激活調試軟件(jiàn)等。曆史上(shàng)充斥著(→↓zhe)成功入侵設備的(de)例子(zǐ)——從(cóng)網絡路(lù)由器∏≈(qì)到(dào)醫(yī)療設備，再到(dào)信用(yòng)卡系統、遠(↑‍yuǎn)程信息處理(lǐ)單元和(hé)整車(c">hē)。普遍存在的(de)軟件(jiàn)安全威脅包括逆向工(gō≠λng)程、軟件(jiàn)篡改、複制(zhì)/克隆>↕和(hé)自(zì)動攻擊。針對(duì)這(zhè)些(xiē)威脅的(de)成功安全策略是(♥♠•±shì)多(duō)維方法——數(shù)據安全、網絡/API ™₹安全和(hé)軟件(jiàn)保護。

軟件(jiàn)保護往往成為(wèi)最後也(yě)是(shì)最關鍵的(de)防線。

軟件(jiàn)保護是(shì)一(yī)套先進的(de)網絡安全技(j✘εì)術(shù)、庫和(hé)工(gōng)具Ω♥，使用(yòng)戶能(néng)夠自(zì)定義對(duì)其關鍵數(shù)字資産（例如(r‌∞ú)密鑰、代碼和(hé)數(shù)據）的(de)保護。≤ ®該産品對(duì)于需要(yào)最佳可(kě)更新軟件(jiàn)安全性的(de)"•♠安全精明(míng)的(de)組織特别有(yǒu)用(yòng)。軟件(jiàn©↑€ )保護的(de)安全技(jì)術(shù)通(tōng)過複雜(zá)的(de)數(sh§π★ù)據、功能(néng)和(hé)控制(zhì¥₽α)流轉換、反調試、白(bái)盒密碼術(shù)提供應用(yòng)程序保護，以≠"及主動完整性驗證。軟件(jiàn)保護将這(zhè)些(xiē)安全技(jì)術(s←±↔→hù)直接集成到(dào)客戶的(de)軟件(jiàn)構建過程中，在源代碼級别工(gōng)♦₹作(zuò)，還(hái)具有(yǒu)互δ↑補的(de)、特定于平台的(de)二進制(zhì)保護，以确保↕≠在不(bù)影(yǐng)響易用(yòng)性的(de)情況下(xià)實現(xiàn)最高§±>(gāo)級别的(de)軟件(jiàn)保護和(hé)快(kuài)¶'¶速部署。關于白(bái)盒密碼的(de)介紹請(qǐng)閱讀(dú)附件(jiàn)3©€∏.通(tōng)常适合保護知(zhī)識産權的☆§(de)場(chǎng)景。

4.6 基于硬件(jiàn)輔助的(de)安全機(jī)制(zhì)

基于硬件(jiàn)輔助的(de)安全機(jī)制(zhì)比較多(duō)，請↑≥ε(qǐng)參考青骥公衆号文(wén)章(zhāng)（談談汽車(chē)芯片信息安¥φ♣‍全）

轉載汽車(chē)電(diàn)子(zǐ)相(x✔☆iàng)關文(wén)章(zhāng)

轉自(zì)汽車(chē)電(diàn)器(qì)與軟件(jiàn)