前言:今天給大(dà)家(jiā)分(fēn)享一(yī)下(xià) AP $♣& CP AUTOSAR中的(de)信息安全
一(yī)、信息安全背景
&nβ₽bsp;信息安全需求來(lái)源
現(xiàn)在車(chē)可(kě)能( φ§←néng)相(xiàng)比于十年(nián)之前,它有(yǒu)更多(duō)的(de)聯網的λ ασ(de)功能(néng),越來(lái)越像一(yī)個(gè)手機(jī)。有(yǒu)一(yī)些(xiē)隐私的(de)信息也(yě)會(huì)存放(fàn¥ $g)在車(chē)上(shàng),車(chē)輛(liàng)已經越來(lái)越多(duō)的(de)跟自(zì)己的(d₩♦e)一(yī)些(xiē)個(gè)人(rén)相(xiàng)關的(de)信≥§☆÷息有(yǒu)關。
自(zì)動駕駛功€φ≈能(néng)引入以後,因為(wèi)它可(kě)以依∞$♥靠一(yī)些(xiē)軟件(jiàn)來(lái)實現(xiàn)自(≠§α zì)動駕駛。信息安全,它的(de)特點是(shì):可(kě)能(✘≈¶néng)會(huì)去(qù)篡改軟件(jiàn)的(de)內(nè★>i)容或者是(shì)讓一(yī)些(xiē)功能(néng)失效♣<。
對(duì)于Safety來(lái ≥)講,它有(yǒu)一(yī)部分(fēn)也(yě)關系到(dào)信息安全,所以從•♣ '(cóng)個(gè)人(rén)隐私、信息和(hé)車(chē)輛(l&γ$£iàng)的(de)使用(yòng)安全來(lái)講,它都(dōu)離(lí)不(bù)開(♠δ"εkāi)信息安全,有(yǒu)非常強相(xiàng)關的(de)關系。
&n±₽π"bsp;信息安全的(de)相(xiàng)關場≥>€(chǎng)景
在車(chē)裡(lǐ)面,有(yǒu)哪些(xiē)☆&≥場(chǎng)景會(huì)和(hé)信息安全♠÷≈有(yǒu)關?以往我們用(yòng)的(de)多(duō)的(de)是(≥&shì)診斷,它是(shì)一(yī)個(gè)接入 ±♠車(chē)上(shàng)電(diàn)子(zǐ)ECU的§•♥Ω(de)一(yī)個(gè)通(tōng)道(d₩>γ♣ào),是(shì)診斷入口。
車(chē)連上(shàng <↑)互聯網後。多(duō)了(le)很(hěn)多(duō)應σ™用(yòng)場(chǎng)景,如(rú)下(xià)圖所示。像遠(yuǎn)程收集汽車(chē)的(de)狀态,有(yǒu)些(xiē)信息還(hái)可(kě)以和(hé)4S店(diàn)系統做(>€≤zuò)一(yī)個(gè)同步,得(de)到(dào)維護和( ₹♣hé)服務的(de)信息;像車(chē)隊管理(lǐ),物(wù)流公司整車(chē)★∞♠都(dōu)有(yǒu)架構系統,還(hái)有(yǒu)V2X跟路(lù♦≥↕)邊單元通(tōng)信和(hé)雲端的λ←(de)一(yī)些(xiē)V2S的(de)服務;<↓§§
還(hái)有(yǒu)自(zì)動駕♣♦駛保險,比如(rú)說(shuō)保險以後跟車(chē)上(sh'±≈àng)面是(shì)不(bù)是(shì)有(£♠€yǒu)一(yī)個(gè)非常健全的(de)信息安全系統,有(yǒu)很(hěn)大•(dà)關聯;比如(rú)說(shuō)可(kě)以根據車(chē)輛(liàng)傾向性等級,βγ制(zhì)定不(bù)同保險的(de)策略;還(hái)有(yǒu)OTA可(kě)以遠(yuǎn)程去(qγσù)更新車(chē)上(shàng)的(de)一(yī)些(x¥$iē)固件(jiàn);還(hái)有(yǒu)遠(yuǎn)程駕駛員(yuán)協助;這(zhè)些(xiē)♠∑≥都(dōu)是(shì)可(kě)能(néng)∞<≥∏和(hé)信息安全可(kě)能(néng)會(huì)有(yǒu)些(xiē)×π關系的(de)應用(yòng)場(chǎng)景。
信息安全的(de)風(fē↕™±¶ng)險點
在這(zhè)種場(chǎng$α ")景下(xià),有(yǒu)哪些(xiē)手段可¥↔♦☆(kě)能(néng)會(huì)成為(wèi)車(chē)輛(liàng)信息安全被攻擊的(de)途徑↓σ•呢(ne)?從(cóng)下(xià)圖裡(lǐ)面可(kě)以看(kàn)到(d←£εào),如(rú)Head Unit或者一(yī→≈→)個(gè)導航系統,它是(shì)最主要(yào)的(de)一(yī)些≠•(xiē)被攻擊者去(qù)攻擊的(de)一(yī)個(gè)途徑,因為(×≠wèi)它上(shàng)面有(yǒu)存儲設備的(de)接入,又(δ ♥$yòu)有(yǒu)網絡互聯的(de)功能(néng)。
OTA也(yě)是(shì)通(tōng)過下(xià)載。所以它上(shàng)面可 ✔σ (kě)以有(yǒu)很(hěn)多(duō)手段黑(hēi)客可¶←(kě)以攻擊。有(yǒu)些(xiē)手段在互聯網時(shí)代是(s ↓∑hì)比較多(duō)見(jiàn)的(de)。比如(r©≠↓✘ú)通(tōng)過以太網的(de)一(yī)±₹些(xiē)協議(yì)來(lái)攻擊和(hé)侵入我們的(de)系統。
上(shàng)面的(de)系統也(y✘£₹×ě)是(shì)Linux或者安卓的(de),這(zhè)些(xiē)也(yě)是(β↓shì)在消費(fèi)電(diàn)子(zǐ)領域經常使用(yòng)的(de),σ•<有(yǒu)很(hěn)多(duō)手段和(hé)惡意的(de)方式來(lái)攻擊我們的(de)>φ系統。包括去(qù)獲取系統上(shàng)的(de)≈✘φ一(yī)些(xiē)用(yòng)戶數(shù)據什(shén)麽的(de)。除了(le)∏Ωε這(zhè)個(gè),還(hái)有(yǒu)我們車(chē)上(∑∑shàng)的(de)ECU,ECU跟安全用(yòng)車(ch ®↓↑ē)有(yǒu)非常大(dà)的(de)關系。
ECU上(shàng)面的(de)固件(jiàn)也♦¥ φ(yě)是(shì)非常重要(yào)的(de),信息安全的(de)一(yī)個(™εgè)問(wèn)題點就(jiù)是(shì):它有(yǒuφ→±)可(kě)能(néng)通(tōng)過一(yī)些(xiē)方式去(qù)更新ECU的←✔>(de)一(yī)些(xiē)固件(jiàn),≥ γ↕達到(dào)破壞功能(néng),會(huì)獲取用(yòng)戶數(shù)據的(de)一(yī)些∞₩↑★(xiē)目的(de)。
除了(le)通(tōng)過CAN的(de)OBD或者直接去(qù)更改固件(jiàn)、應用(yòng),現σ≈(xiàn)在有(yǒu)OTA以後,也(yě)可(kě)以遠(yuǎn)程去(q¶÷γ♣ù)更新車(chē)上(shàng)大(dà)部分(fēn)ECU固件(jiàn),這(zhè)些β≈ε∏(xiē)都(dōu)成為(wèi)信息安全需要(yào)去(qù)考慮怎麽去(qù)×γ做(zuò)保護的(de)一(yī)些(xiē)點。如(rú):
1. 一(yī)些(xiē)♥Ω£非法接入設備,有(yǒu)非法OBD的(de)設備,非法USB的(de)一(yī)些(xiē)磁盤的(de)設備去(qù)做(zuò)訪問(wèn) 。♠♥φ
2.&nb"∞©sp;DOS類似的(de)攻擊手段,大(dà)多(duδ>ō)數(shù)也(yě)是(shì)基于>™ 以太網上(shàng)面去(qù)做(z♠®×Ωuò)一(yī)些(xiē)基于DOS的(de)攻擊,像TCP 、SYN 、ACK、辦公攻擊,都(dōu)是(shì)黑(hēi)客經常會(huì)使用(yòng)這(zhèε≥♠)種手段。
3.&★↑nbsp;為(wèi)了(le)觸發一(yī)些(xiē)非 ∞标準的(de)畸形的(de)報(bào)文(wén),去(€✔qù)系統進入癱瘓或者進入一(yī)個(gè)無法工(gōng)作(zuò)的(de)狀态。
4. 通(tōng)常會(huì)被黑(hēi)客使用(yòng)的(de)手段之一(yī)就(jiù)是(shì)端口掃描,去(qù)提前獲取我們車(c&αλhē)上(shàng)設備的(de)一(yī)些(xiē)基本信息,根據這(zhè)些(xi¶→αβē)基本信息再去(qù)有(yǒu)針對(duì)性的(↕↔♦de)去(qù)制(zhì)定一(yī)些(x¶←iē)破解的(de)方案。這(zhè)些(xiē)都(dōu)是(shì↓')信息安全的(de)技(jì)術(shù)手段。
5. 密碼爆破,這(zhè)種系統通(tōng)常都(dōu)會(huì)用(yòng)一(yī)個(gè)密碼系©<δ統來(lái)保證是(shì)不(bù)是(shì)合法客戶在操作(zuò)設備&™£,所以它也(yě)會(huì)有(yǒu)很(↑₩↔≈hěn)多(duō)技(jì)術(shù)用(yòng)一(yī)些(xiē)密碼破解,達↕↑到(dào)介入你(nǐ)這(zhè)個(gè)系♣φ₽₽統地(dì)。
二、信息安全措施
中央計(jì)算(suàn)↓ &<架構下(xià)的(de)數(shù)據通(tōn→↕g)信安全
針對(duì)剛才提到(dào)的(de)這(↔Ωzhè)些(xiē)有(yǒu)可(kě)能(néng)信息安全的(de)一(yī)₽♣¶≈些(xiē)點。我們有(yǒu)什(shén)麽<✔考慮呢(ne)?我們就(jiù)當前比較火(huǒ)的¶→(de)中央計(jì)算(suàn)區(qū)域控制(zhì)器(qì)下(£¥$xià)的(de)架構來(lái)分(fēn)析一★β→ (yī)下(xià)。
我們可(kě)以看(kàn)出,中央計(jì)算(suàn)這(zhè)個(gèΩ≤≥)組上(shàng)面需要(yào)考慮的(de)一(yī)些(xiē)經濟安全的(de)技(jì)術(shù),比如(rú)說(shuō)它們之間(jiān)最基本的(de)還(hái)是(shì)用קβ∑(yòng)以太網做(zuò)一(yī)個(gè)骨幹網。如(rú)果是(shì¥ε≤)這(zhè)樣一(yī)個(gè)設計£©¶(jì),這(zhè)個(gè)以太網上(shàng)的(de)數£↔>©(shù)據通(tōng)信的(de)安全通(tōng)信就(jiù)顯得(de♣✔ )非常重要(yào)。
比如(rú)現(xiàn)在γ♥使用(yòng)的(de)TLS/DTLS就(ji₩→★ù)是(shì)這(zhè)樣一(yī)個(gè)通γ≈©(tōng)信的(de)安全機(jī)制(zhì)。它基于公鑰加密進行(©• ≥xíng)會(huì)話(huà)、密鑰協₩γ¶商和(hé)加密通(tōng)信這(zhè)樣一(yī)個ε(gè)手段來(lái)保證,這(zhè)樣Ω€一(yī)個(gè)中央計(jì)算(suàn)單元上(shàng)面,我們€>通(tōng)常會(huì)布置一(yī)個(gè)可(kě)信的(de♦♣÷ )執行(xíng)環境。上(shàng)面會(huì)運行(xíng)•♣≥一(yī)些(xiē)可(kě)信的(de)應用(yòng),可(kě)專門(ménε↔)做(zuò)一(yī)些(xiē)密鑰的(de)管理(lǐ),做(zuò)一(y§→ī)些(xiē)加密算(suàn)法的(de)運行(xíng)。
在這(zhè)樣一(yī)個(gè)中央計(j↑$σì)算(suàn)單上(shàng)面,₽✘♣ 我們會(huì)布置一(yī)個(gè)入侵檢測系統和(hé)一(yī)個(gè)防護系統,也(yě)叫IDPS。
為(wè∏©§i)了(le)做(zuò)內(nèi)網和(hé)外(wài)網的(de)™ 一(yī)個(gè)隔離(lí),我們經常會(huì)設計(jì)一(y±•←∏ī)個(gè)安全網關。将對(duì)外(wài)的(de)一(yī)些(xiē)流量和(hé)車>γ♥β(chē)內(nèi)使用(yòng)流量做(zuò)一(± yī)個(gè)劃分(fēn),将有(yǒu)可(kě)能(n&éng)會(huì)被攻擊的(de)這(zhè)樣的(de↕±÷§)網絡,相(xiàng)對(duì)來(lái)說(shuō)比÷₽較安全,屬于車(chē)輛(liàng)內(nèi)部'₩δ♥的(de)網絡作(zuò)為(wèi)一(yī)個(gè)隔離(lí),就(jiù)是(shì)中央網關的(de)架構下(xià)做(zuò)的(de)。
中央網關通(t≈Ωσ£ōng)常是(shì)需要(yào)有(yǒu)一(yī)個(gè)±↔比較強的(de)處理(lǐ)器(qì),因為(wèi)它可(kě)能(néng)需要(yào)€φ做(zuò)一(yī)些(xiē)深度的(de)包β§&α的(de)一(yī)個(gè)檢測;還(hái)要(yào)運行(x☆ íng)一(yī)個(gè)IDPS的(de)引擎;有(yǒu)些(xiē)固 ↓★件(jiàn)需要(yào)做(zuò)它的(de)一(yī)個↑λ₩(gè)轉發;需要(yào)一(yī)些(xiē)固件(jiàn)實現(xiàn)類似于黑(hēiπ♥)白(bái)名單、過濾器(qì)這(zhè)樣的(de)一(yī)個(gè)功能(néng♦✔)。
除了(le)在中央計 ☆★(jì)算(suàn)單元上(shàng)去(qù)做(zuò)這(zhè)樣一(yī)些(xiē)信息安全的(de)設計(jì)外(wài),對(duì)于區(qū)域控制(zhì)器(q✘€™ì)這(zhè)樣的(de)節點,實際上(shàng)也(yě)要(yào)布置§φ¥類似的(de)信息安全策略,如(rú)果₽它是(shì)一(yī)個(gè)接入的(de)以太網,TLS這(zhè)種安全通(tōng)信機(jī)制(zhì)也(♠α←yě)需要(yào)去(qù)實施的(de)。
另外(wài)類似,還(hái±∞$δ)有(yǒu)一(yī)個(gè)HSM,用(yòng)來(lái)做(zuò)一(yī)些(x"✘"iē)信息安全模塊密鑰的(de)管理(lǐ)、安全算(suàn)法。像這(zhè)種區(qū)域控制(zhì)器(qì)也(yě)要(yào)有(yǒu)這(zhè)樣★¶≤的(de)設計(jì),另外(wài)區(qū)域控制(zhì)上(shàng)會(huì)接入CλAN的(de)ECU通(tōng)信。
£∑↑以往對(duì)于CAN上(shàng)面的(de)保護,我們考慮的(de)經常是(shì),有(yǒu)沒有(yǒu)設λλφ定CAN ID的(de)發送,雖然它能(né↓← ≤ng)實現(xiàn)過濾一(yī)些(xiē)非法ID,實際上(shàng)如(rú)果比較了(le)解車(chē)上(shàng)CAN總線設計(jì)♦δ>的(de)一(yī)些(xiē)專業(yè)人(rén)員(yuán)來(l₹×ái)講,它是(shì)有(yǒu)辦法做(zuò)一(yī)些(xiē)模仿 >"CAN總線消息的(de)發送,去(qù)做(₽βzuò)一(yī)些(xiē)能(néng)攻破系統的(de)一(yī)些(xiē)攻擊手段;或者操作(zuò)車(chē)上(shàng)的(de)一(yī)些(xiē)開(kāi)關什(shén)麽的(d'©←€e)都(dōu)是(shì)可(kě)以通(tōng)過模仿一(yī)些™(xiē)CAN消息發送來(lái)實現(xσ$πiàn)。
因此,需要(yào)在傳統的(de)CAN總線上(shàng)也(yě)布置一(yī)個(gè)IDS系統,去(qù)針對(duì)CAN報(bào¶ )文(wén)的(de)一(yī)些(xiē)異常行(xíng)為(wèi✔∑)做(zuò)一(yī)個(gè)檢測,然後去(qù)做(zuò)上(shàng)報(bào),并且做(zuò)一(yī)些(xiē)保護的(de)措施,'γ≥達到(dào)從(cóng)CAN通(tōng)訊層面的(de)信息×≠Ωσ安全的(de)一(yī)個(gè)策略。
在MCU上(shàng)的(de)IDPS,實現(xiàn)相(xi≥ àng)對(duì)來(lái)說(shuō)是(shì)輕量級的(de),因為(wèπ'i)它需要(yào)部署在一(yī)個(gè)MCU的(de)環境下(xià)面。這(zhè)樣的(de)一(yī)個(gè)區(qū)控制(zhì)器(qì)它有(yǒu)以太網通(tōng)信能(nén'γεg)力,所以用(yòng)VLAN做(zuò)一(yī)些(xiē)虛拟網段的(de)∏<λ劃分(fēn);做(zuò)一(yī)些(xiē)數(sλ↑hù)據流量的(de)隔離(lí),讓它運行(xíng)在一(yī)個(gè)比較安全的(de)環境下(xià)面。
我們現(xiàn)在基本上(shàng)也(≈↑λyě)用(yòng)上(shàng)了(le)SecOCγ✘通(tōng)信,因為(wèi)CAN或者是(shì)以太網在ECU層面,它們都(dōu)是(sh→ ≤ì)通(tōng)過PDU去(qù)通(tōng)信的(de),我們δ©λ可(kě)以對(duì)PDU做(zuò)一(yīΩ™γ♣)個(gè)信息安全層面的(de)校(xiào)驗,這(zhè)就(¶✔÷jiù)是(shì)secOC做(zuò)的(de <)一(yī)個(gè)方法。
®♥β對(duì)于使用(yòng)了(le)SecOC的↕>₩↓(de)情況,攻擊者就(jiù)不(bù)能¶σ(néng)輕易破壞掉了(le),因為(wèi)secOC有(yǒ≤≈✔☆u)一(yī)些(xiē)加密機(jī)制(zhì)來(↔φφlái)保證它通(tōng)信的(de)信号的(de)完整性和(hé)真實性。
從(cóng)軟件(j¥₽•πiàn)的(de)設計(jì)上(shàng)來(lái)講,S↓®"♥ecOC可(kě)以保證每個(gè)電(diàn)©¥路(lù)與執行(xíng)的(de)鏈路(lù)都(d•&>ōu)是(shì)安全可(kě)信的(d≤αe)。比如(rú)獲取密鑰到(dào)運行(xíng)密鑰的(de)一(yī)個(gè)模塊σ±↔✘到(dào)最終應用(yòng)層去(qù)得(de)到(dà > o)它,經過的(de)每一(yī)個(gè)軟件(jiàn)模塊,它都(dōu)是(shì)在一(yī)個(gè)很(hěn)嚴密的(de)一(≥αδyī)個(gè)框架下(xià)面去(qù)實現(x₹★↔iàn)。
所以,即使有(yǒu)黑(hēi)客通(tōng)過一(yī)些(xiē)手段進入你(nǐ)的(dφα<e)軟件(jiàn)系統,它也(yě)很♣ ו(hěn)難從(cóng)一(yī)個(gè)可(kě)信的(de)鏈路(l✘φù)當中獲取一(yī)部分(fēn)的(de)數(shù≠α)據,截取出來(lái)。這(zhè)就(jiù)是(shì)可(∏"kě)信軟件(jiàn)鏈路(lù)的(de)一(<≥₽yī)個(gè)要(yào)求。
像CP AUTOSAR裡(lǐ)面CSM它其實在設計(jì)當中也(yě)會(huì)考慮這(zhè)樣一(yī✘ε)個(gè)可(kě)信鏈路(lù),保障不(bù)✘×>會(huì)從(cóng)某一(yī)個(g☆è)軟件(jiàn)模塊數(shù)據被截取了(le),這(zh₹™€₽è)就(jiù)是(shì)在設計(jì)這(zhè)些(xiē)模塊的(de)時(shí)候需λ¶★要(yào)考慮的(de)一(yī)些(xiē)原則。
零部件(jiàn)信息安全架♦§∞構
接下(xià)來(lái)看(kàn)一(yī)下(xià)零部件(jiàn)提的(de)信息安全的(de)一(yī)個( &gè)架構,在中央計(jì)算(suàn)單≈←元模塊裡(lǐ)面我們通(tōng)常會(huì)做(zuò)會(huì)引入一(yī)些(xiē)概λ 念,比如(rú)說(shuō)可(kě)信¶執行(xíng)、運行(xíng)時(shí)環境RTE、安全核、安全啓動等。
& ↔÷nbsp;另外(wài)就(jiù)是(shì)做(zu€₽ ↔ò)一(yī)個(gè)功能(néng)的(de)隔離(lí),筆(Ω$Ωbǐ)者認為(wèi)比較重要(yào)的(de)一(yī)些(xiē)應用(yòng)統一(yī)≥↔×放(fàng)在一(yī)個(gè)單獨的(de)分₽ε(fēn)區(qū)上(shàng)面。這(zhè)樣的(de)話(huà)跟一(yī)些(xiē)比較容易被受攻擊的(de)一(yī)些(xiē)娛樂(yuè)功能(néng)做(zuò)一(♥yī)個(gè)物(wù)理(lǐ)軟件(jiàn)層面的(de)隔離(l∑©£í)或者是(shì)硬件(jiàn)上(shàng)的(de)★♦±隔離(lí)。
如(rú)果是(shì)硬件(jiàn)上✔↔≈(shàng)隔離(lí),通(tōng)常效∞ε果會(huì)更好(hǎo)。軟件(jiàn)上(÷"♣shàng)隔離(lí)成本會(huì)低(dī)一(÷¶₽¶yī)點,會(huì)降低(dī)一(yī)定的(de)✔∏∑運行(xíng)效率,但(dàn)是(shì)從(cóng)一(yī)定程度上(sh✘≤<→àng)也(yě)能(néng)起到(dào)信息安全的(de)一(yī)些(x♣$iē)隔離(lí)的(de)作(zuò)用(yòng)。對(duì)于可(kě)信執行(xíng)謀害,通(tōng)常會(huì)叫TEE的(de)概念,就(jiù)是(shì)可(kě)信應≥₽₩用(yòng)。
可(kě)信應用®↔(yòng)完全是(shì)依照(zhào)信息安全的(de)标準去(qù)設計(jì)模塊,它♦∑的(de)可(kě)靠性和(hé)魯棒性是(shì)非常強的(de),不(bù©δ)會(huì)輕易出現(xiàn)一(yī)些(xiē)被攻<δ破的(de)bug什(shén)麽的(de)。
&£π€nbsp;TEE上(shàng)一(yī)般會(huì)做(zuò)一(yī)些(xiē)密鑰Ωφ× 的(de)管理(lǐ)去(qù)讀(dú)取的(de)一(yī)些(xiē)策略,還(hái)有(yǒu)一(yī)些(xiē)安全算(εΩ♣suàn)法,比如(rú)說(shuō)加密算(suàn)法一(yī)般會(huì)實♣δ ←現(xiàn)在TEE的(de)核心核上(±™₹shàng)面。
那(nà)麽,每個(gè)域APP怎麽去(qù)使用(yòng)一(yī)些(xiē)信息安全呢(ne)。比如(r₽≠δú)說(shuō)密鑰信息它怎麽去(qù)獲取它,怎麽樣去(qù)調用(yòng)一(yī)個(gè)加密庫?這(zhè)就(jiù)需要(yà§βo)在每個(gè)分(fēn)區(qū)上(shàn€≥g)面有(yǒu)自(zì)己的(de)信息安全的(de)一(yī)些(xiē)組•λ↕件(jiàn)去(qù)實現(xiàn)。也(yě)可(kě)以認為(wèi™✘§ )它們是(shì)一(yī)些(xiē)類似中間(jiān)件(jiàn)的(de)東(dōng)西(xī),它就(jiù)保證說(shuō)讓上(shàng)÷"←≤層更容易的(de)去(qù)調用(yòng)一(yī)些(xiē•<♥ )TEE上(shàng)面的(de)一(yī)些(±σxiē)功能(néng)。
βφγ 像現(xiàn)在AP上(shàng)面提到(dào)的("↕de)一(yī)些(xiē)跟信息安全有(yǒu)關的(←↔±de)組件(jiàn),類似于IAM還(≥↕↔←hái)有(yǒu)Crypto,這(zhè)些(xiē)都(dōu)是(α≥$ shì)去(qù)提供一(yī)些(xiē)标準的(de)Crypto接口去(qù)讓應用(yòng)或者是(shì)一(yī)些(xi$✔ē)Functional去(qù)調用(yòng)一(yī)些(xiē)密鑰的(de)信息或者是(÷< >shì)加密函數(shù)。
還(hái)有≥∏±(yǒu)就(jiù)是(shì)操作(zuò)系統,類似于現(xiàn)在的(de)Linux,除了(le)标準Linux,也(yě)有(yǒu)一(yī)些(xiē)衍生(shēng)出來(lái)的(de)是(₽☆λshì)經過信息安全加固的(de)這(zhè)÷&樣一(yī)個(gè)Linux操作(zuò)系統,它為(wèi)信→±♥息安全做(zuò)了(le)一(yī)些(xiē)特定的(de)機(jī)制(zh♥φ•ì)來(lái)保證它的(de)系統從(cóng)信息±↑•安全的(de)角度更加健全,不(bù)容易被攻•♠破。
還(hái)有(yǒu)類似于IDS的(de)軟件(jiàn)組件(jiàn)去(qù)做(zuò)一(yī)些(xiē)部署,IDS會(huì•≤α)去(qù)做(zuò)一(yī)些(xiē)數(shù)據的(de)收集,這(zhè)∑ ∑些(xiē)數(shù)據都(dōu)是(shì)跟信息安全有(yǒu)關,因為(w∞✔♠èi)這(zhè)些(xiē)信息就(jiù)表現(xià♣ ₹αn)出來(lái)當前系統運行(xíng)是(shì)不(bù)是(s∑♠∑hì)在合理(lǐ)的(de)情況下(xià)↑©λ;
有(yǒu)沒有(yǒu)一(y>÷ī)些(xiē)特征是(shì)正在被黑(hēi)客攻擊或者是(shì)一(yī)些(xiē)狀況 "±,根據這(zhè)些(xiē)狀況再去(qù)下(xià)發一(yī)些(xiē)保護的(de"♣∏)策略,如(rú)立即制(zhì)止這(zhè)種非正常的(de)一(yī)些(xiē)操作(zuò),≠λ÷♥或者說(shuō)切斷一(yī)些(xiē)入口的(de)通(tōng)道(dào)§σ÷ ,來(lái)保證你(nǐ)被攻擊的(de)影(y↔•§☆ǐng)響減少(shǎo)。
數(sh↔π∞ù)據傳輸安全
信→≤息安全在筆(bǐ)者看(kàn)來(láΩ§$₽i)有(yǒu)一(yī)大(dà)部分(fēn)說(sσ↕huō)的(de)是(shì)安全通(tōng)信協議(yì),下(xià)圖裡(lǐ)面顯示了(le)一(yī)些(xiē)我們通(tōng)常♣>會(huì)用(yòng)的(de)一(yī)些(xiē)數(shù)據傳輸安全的(₩ε±πde)一(yī)些(xiē)機(jī)制(zhì)。
&nbs₽₽£p;再往上(shàng)到(dào)IP層也(yě)有(yǒu)Security±¶★≤的(de)協議(yì),再往上(shàng)數(shù)據鏈路(lù)層的(de)¥>安全,以及對(duì)于數(shù)據報(bào)文(wén)的(dσ✘↕>e)一(yī)個(gè)安全協議(yì)SecOC;每一(yī)層都(dōu)有(yǒu)相(xi≥←↑àng)應的(de)一(yī)個(gè)安全©☆ 機(jī)制(zhì);再往上(shàng),∏>★>應用(yòng)層之間(jiān)可(kě)以有(yǒu)一(yī)些(xiē)特定的(de)通(tōng)信機(jī)制(zhì)。如(rú)↓♠∑≈果認為(wèi)SOME/IP也(yě)是(shì)偏應用(yòng)層的(de)一(yī∑φ↑π)個(gè)通(tōng)信協議(yì),SOME/IP上(shàng)面也(yě)會(huì¶ <)有(yǒu)相(xiàng)應的(de)Security的(de)一(yī)些(xiē)協β∏€議(yì)可(kě)以去(qù)使用(yòng)。
下(xià)面這(zhèφ≥$)張圖是(shì)從(cóng)一(yī)個(gè)縱向的(de)角度去(qù)解釋了(le)每個(gè)層面數(shù)據安全它是(shì)位于什(sh≈"én)麽層級?剛才也(yě)有(yǒu)簡單的(de)介紹,這(zhè)邊可(kě)以再強®π¶Ω調一(yī)下(xià)。
對 $₽(duì)于防火(huǒ)牆或者是(shì)IDPS,它的(de)層級是(shì)跨的(de)比較深的(de)。它從(cóng)VLAN到(dào)第一(yī)層第二層,再到(dào)往上(shàng)的(de)數(shù)據包和(hé)應用(yò§↓ng)層包,其實都(dōu)可(kě)以做(zuò)一(y±₩♦ī)些(xiē)分(fēn)析。如(rú)果要(yào)做(zuò"®φ₩)到(dào)第四層以上(shàng),我們就(jiù)認為(wèi)它是(shì)一(yī)☆±±'個(gè)深度的(de)包檢測了(le),可(kě)以從(cóng)協議(yì)層和(hé)應用 ≥(yòng)層的(de)再去(qù)幫你(nǐ±)分(fēn)析這(zhè)個(gè)包是(shì)否是(shì)合理(lǐ←₩☆€)的(de)?是(shì)不(bù)是(shì)非法的(de)一(yī)個(gè)數(s≈≥₽hù)據包?
如(rú)果要£ (yào)實現(xiàn)這(zhè)樣的(de)功能(n≠éng),一(yī)般都(dōu)需要(yào)比較強的(de)一(π÷∏≠yī)個(gè)CPU去(qù)實現(xià™ ¶•n)了(le),通(tōng)常這(zhè)種φ>÷比較成熟的(de)防火(huǒ)牆,IDPS在IP領域其實是(shì)已經做(zuò)得(de ±)很(hěn)好(hǎo)了(le)。有(yǒu)這(zhè)樣一(yī)個(↓ gè)模塊,可(kě)以一(yī)個(gè)專門(mén)用(yòng)來(lá×ε<♠i)做(zuò)IDPS防火(huǒ)牆模塊通(tōng)常有(yǒu)可(kě)能(™π×néng)要(yào)達到(dào)幾千幾萬這(zhè)樣一(yī)個(gè)模塊都(dōu£)有(yǒu),它的(de)作(zuò)用(yòng)γ•$λ就(jiù)是(shì)幫你(nǐ)一(yī)個(gè)深度的(de)包的(de)檢測和(hé)去(qù)判斷一(yī)些(xiē)信息安全的(de)檢測。
在車(chē)載領域相(xiàng)對(duì)來(lái)說(shuō)這(zhè)個(gè)£φ✔概念還(hái)比較新,畢竟我們車(chē)₩β₩©內(nèi)用(yòng)到(dào)的(de)芯片的(de)算(suàn)>€力還(hái)是(shì)比較受限的(de),所以一(yī)般來(lái)講隻會(huì)在數π ☆(shù)據鏈路(lù)層左右做(zuò)一(yī)個(gè)黑(hēi)白(bái)名單或者是(÷☆<≥shì)IP地(dì)址層面的(de)一(yī)些(xiē)過濾與防禦。
入侵檢測與防禦
IDPS概念是(shì)什(shén)麽?
首先我們所有(yǒu)的(de)一(yī)些(xiē±→₹λ)檢測行(xíng)為(wèi)都(dōu)需要(yào)有(yǒu↓φ↓®)一(yī)個(gè)數(shù)據輸入,所以×↓第一(yī)個(gè)階段就(jiù)是(shì)數(shù)據包嗅探,一(y♥€ī)般這(zhè)些(xiē)數(shù)據包都(dōu)是✘☆Ω∑(shì)從(cóng)操作(zuò)系統那(nà)邊第一(£<yī)手拿(ná)到(dào)的(de)一(yī)個(↔♣↓≠gè)IP的(de)數(shù)據包作(zuò)為(wèi)一(yī)個(gè)精準的(d±± e)數(shù)據輸入,
所以這(zhè)邊與規則匹配,當然一(yī)些(xiē)比較有(yǒu✘"÷)特點的(de)攻擊或者是(shì)那(nà)種對(duì)于标♣$識不(bù)合規的(de)一(yī)些(xiē),我們可(↓£kě)以自(zì)動做(zuò)一(yī)個(gè)檢測過濾。基于這(zhè)種規則匹配以後就(jiù)形成了(le)一(yī)個(gè)報(b♠§✔ào)警和(hé)日(rì)志(zhì),這(zhè÷←)就(jiù)是(shì)一(yī)個(gè)←±☆IDPS的(de)功能(néng)。
這(zhè)有(yǒu)個(gè)P指的(de)是(shì)protect,既然已經檢測到(dào)這(zhè)樣攻擊行(xíng)> 為(wèi)以後,我怎麽樣去(qù)盡量的(de)減少(shǎo)對∑✘σ(duì)這(zhè)個(gè)系統産生(shē≥>↓ng)的(de)影(yǐng)響,立即去(qù)更新我本地(dì)的(de)一(yī)個(gè§ )規則,馬上(shàng)實施以後,立即直指當前被攻擊的(de)這(zhè)個€∏(gè)源頭,這(zhè)都(dōu)是(shì)一(yī)些(xiē)手段。
在當前車(chē)載中,protect的(de)動作(zuò)設計(jì),基本上(shàng)是(shì)不(bù)太會(huì)引' β入的(de),因為(wèi)你(nǐ)平時(shí)比較擔心的(de)是(shì)"≤立即執行(xíng)這(zhè)個(gè)保護行(xíng)為(wèi)會(huì)不(bù)會(÷∞huì)影(yǐng)響車(chē)的(de)功能(nén$♥∏g),所以現(xiàn)在大(dà)部分(fēn)做(zuò)≥σ©¶的(de)是(shì)IDS。對(duì)于規則的(de)更新和(hé)發放(fàng),實際上(shàng)是(shì)比較謹÷₹←π慎的(de)。
γ♠☆這(zhè)張圖進一(yī)步解釋了(le)對(duì)于車(chē)載IDPS它是(shì)怎樣一(y™γδī)個(gè)部署的(de)系統?像我們用(<®yòng)的(de)PC這(zhè)種,它就(jiù)是"∞♦(shì)一(yī)個(gè)電(diàn)腦(nǎo),就(jiù)是(>±≠>shì)直接一(yī)個(gè)以太網。就(jiù)是(shì)說(shuō)你(π↔÷nǐ)電(diàn)腦(nǎo)上(shàng)裝IDS的(de)一(yī)個(gè)程序就(jiù)可(kě)以做(zuò)這(zhè)₹>ε£個(gè)系統。
它部£₽ 署比較容易,在車(chē)上(shàng)去(qù)做(zuò)IDPS的(de)話(huà),它要(yào)做(≥≤≥zuò)很(hěn)多(duō)事(shìδ★≠€)情,比如(rú)說(shuō)我讓左邊這(zhè)張圖,中央網關去(qù)要(yào)部署這(zhè)樣一(yī)個(g≥☆©è)IDPS主節點做(zuò)一(yī)些(xiē)本地(dì)的(de)一 £✘Ω(yī)個(gè)引擎和(hé)規則管理(lǐ)。
對(≠★duì)于試驗報(bào)告,一(yī)般這(zhè)個(gè)系統部署在雲端,它的(de)上(shàng)面可(kě)以算(suΩ¥àn)力比較強,它可(kě)以去(qù)上(shàng)面運行™®(xíng)一(yī)些(xiē)安全機(jī)制(zhì♥←←),策略管理(lǐ),它可(kě)以做(zuò)很(hěn)多(duō)對(duì)于IDPS的(de)一(yī)些↑₹(xiē)規則判斷或者是(shì)對(duì)≈≠于整個(gè)車(chē)輛(liàng)平台和(hé)車(chē)型做(zuò)一(yī)個(g"€εè)進步的(de)IDPS的(de)這(♠γΩzhè)樣一(yī)個(gè)規則的(de)升級。
它可(kě)以獲得(de)這(zhè)些(xiē)漏洞。最新的(de)漏洞和(hé)攻擊手段,它都(≥×☆dōu)可(kě)以在這(zhè)個(gè)系統上(shàng)去(qù)識别,然後再匹配車(chē)上(shàng)反應出來(lái)的(de)一(yī)些(xiē)數✘Ω(shù)據,做(zuò)一(yī)個(gè)規則匹配。對(d§♦π₽uì)于車(chē)載IDPS,大(dà)概就(jiù)是(shì)這(zhè)樣一(yī)個∏£★(gè)系統設計(jì)。
三、AUTOSAR信息安全架構
AUTOSAR提≈>供的(de)安全模塊
今天我們講AUTOSA™ ★&R裡(lǐ)面信息安全架構有(yǒu)哪些(xiē)?前面也(yě)提到(dào)了(le∏&≥)一(yī)些(xiē)概念,就(jiù)是₩¶(shì)實際上(shàng)就(jiù)是(shì)AUTOSAR€♣裡(lǐ)面就(jiù)在使用(yòng)的(de)。像Crypto Stack提供一(yī)些(xiē)軟件(jiàn)加密和(hé)密碼服務,這(z®ββhè)是(shì)一(yī)個(gè)基本的(de)模塊和(hé)CSM← ÷ 提供可(kě)信軟件(jiàn)的(de)模塊↔¶β•鏈路(lù)。
還(h§φái)有(yǒu)就(jiù)是(shì)一(yī)些(xiē)通(tōng)信的(de)安全≤'協議(yì)像SecOC 、TLS、IPsec每個(gè)層級都(dōu)有(yǒu)一(yī)些(xi♥ '♠ē)安全的(de)協議(yì)。還(hái)有(yǒu)就(jiù)是(shì)AP裡(lǐ)面的γ©•(de)IDS專門(mén)是(shì)用(yòng)來♦π(lái)做(zuò)一(yī)個(gè)權≠β&δ限的(de)管理(lǐ),對(duì)于本地(dì)§σε的(de)資源做(zuò)訪問(wèn),做(zuò)統一(yī)的(de)安全診斷,安全診斷←↓ 除了(le)UDS裡(lǐ)面的(de)R7服務,現(xiàn)在多(duō)了(le)一(yī)個(gè)R9,專門(mén)用(yòng)來(lái)做(zuò)✔α一(yī)些(xiē)信息安全産品的(de)驗證,對(duì)'←✔φUDS做(zuò)了(le)一(yī)個(gè)™♠∏←這(zhè)方面的(de)擴展。下(xià)圖左邊是(shì)AUTOSAR裡Ⱪ(lǐ)面跟信息安全有(yǒu)關的(de)一(yī)£ε些(xiē)組件(jiàn)模塊,主要(yào)Crypto≥"∞ Driver、Crypto Interface以及CSM模塊。
像剛說(shuō)到(dào)的(de)通(tōng)信鏈路(lù),主要(yào)是(shì)Communication ε¶σ∏Management,在這(zhè)個(gè)層面它有(yǒu)很(h≥←✔ěn)多(duō)信息安全的(de)協議(yì)的(de)設計(jì),如(rú) IAM、Cr≠↑→ypto Stack都(dōu)是(shì)一(yī)些(xiē)與上(shàng)層應用(yòε↕<ng)和(hé)Functional Clusters去(qù)使用(yòng)密鑰和(hé)加密程序的(de)一(yī)個(gè)必要(yào)的(de)模塊。
SecOC
下(xià)圖是(shì)SecOC,它可(kě)能(néng)已經用(yòng)在當前的(d €e)設計(jì)裡(lǐ)面,所以就(jiù)不(bù)展開(kāi)了ε★¥(le)分(fēn)享IAM這(zhè)就(jiù)是(shì)一(yī)個(gè)标•γβ準的(de)SecOC的(de)一(yī)個(gè)架構圖。
&•↔≠nbsp;Identity and ₽β®'Access Management
IAM稍微(wēi)去(qù)理(lǐ)解一(£→¥yī)下(xià)它的(de)過程,首先是(shì)應用(y→ ±òng)程序去(qù)請(qǐng)求一(yī)些(xiē)動作(zuò)。它是(shì)通(tō">≠£ng)過一(yī)些(xiē)中間(jiān)件(jiàn)Funct♣$₽≠ional Clusters去(qù)操作(zuò),操&α作(zuò)它之前我們去(qù)先通(tōng✘≥♠)過IAM這(zhè)個(gè)模塊去(qù)認證它是(shì)否是(shì)被認證過的(d♥★φe)一(yī)個(gè)應用(yòng)。在IAM返回一(yī)個(gè)認定結果以後,它才可(kě)以真正的(de)使用φ±(yòng)到(dào)一(yī)些(xiē)請(qǐng)求的(de)一(yī)些(x₩®iē)資源,它就(jiù)是(shì)IAM标準的(de)實現(xiàn)的(de)一(≥₹yī)個(gè)過程。
Secure Communica★tion-Motivation
接下€•(xià)來(lái)分(fēn)享一(yī)下(xià)AP中的(de)安全通↑∏£÷(tōng)信。主要(yào)從(cóng)以下(xià)三個(gè)方面考慮≈≥↔:1. 完整性,安全通(tōng)信的(de)目的(de)就(jiù)是(shì)要(yào)保證數(shù)據的(de)完整性。2. 真實性是(shì)不(bù)是(shì)合法的(de)一(y γ★ī)個(gè)來(lái)源。3. 機(jī)密性,在未授權的(de)情況下(xià)不(bù)能(néng)被訪問(wèn£♠★∑)到(dào)。
支持的(de)SOME/IP Bind♣&±ing協議(yì)
對(duì)于S↕↔λOME/IP Binding來(lái)說(sh"♠•♥uō),我們 Communication Management可(kě)以看(kàn)到(☆Ωdào)這(zhè)幾種綁定的(de)協議(yì),SecOC它支持Message Si×±πεgning、多(duō)播、TCP/UDP都(dōu)支持。
TLS層面也(yě)有(¶€π"yǒu)相(xiàng)關的(de)一(yī)些(xiē)綁定的(de)支持,IPsec Security在标準裡(lǐ)面都(dōu)是(shì)支持的(de)。
IPsec-Internet Protocol ☆↕∞♠Security
IPsec Security通(tōn& ♥>g)常是(shì)以軟件(jiàn)的(de)模式體(tǐ)現(xiàn),首先有(yǒu)一(yī)個(gè)IKE的(de)模塊是(shì)Exchange這(zhè)樣的(de)模↔×塊,下(xià)面IPsec裡(lǐ)面有★♦(yǒu)相(xiàng)應的(de)IPsec模塊,還(h✔÷ái)有(yǒu)一(yī)些(xiē)F¶ ♠ramework的(de)一(yī)些(xiē≈↕™)模塊,像這(zhè)樣一(yī)些(xiē)Database的(de)Security策略也(yě)是(shì)通(tōng)過一(yī)些(xiē)配置←✘可(kě)以去(qù)産生(shēng),這(zhè)是(shì)AUTOSAR對(duì)于 ¥Ω信息安全有(yǒu)一(yī)些(xiē)設計(j↔↑ì),有(yǒu)它一(yī)定的(de)便捷性。
配置Secur$→™βe Communication
如(rú)果進行(xíng)配置,我們可(kě)以在$≈δSWC Port端口上(shàng)面相(xiàn✘≈ε←g)應去(qù)設計(jì)綁定你(nǐ)的(dπ∏₩e)安全策略。比如(rú)說(shuō)SOME/IP Bindi¥ng、secOS/TLS/DTLS,在一(yī)個(gè)系統級的(de)設計(j♦<ì)層面都(dōu)可(kě)以去(qù)部署這(zhè)些(xiē×♣)安全策略。
Crypto&n£γγ★bsp;Stack
Crypto Stac¥ k剛才也(yě)說(shuō)了(le),它主要(yào)包含的(de)功能(néng)是(shì)密鑰管理(lǐ)的(de)一(yī)些(xiē)加密算(suàn ∞÷)法執行(xíng)。一(yī)般使用(yòng)Crypto時(shí),還(hái)需要(yào)一(yī)些(xiē)Cry¶₽pto Internet,然後再通(tōng)過一(yī¶)些(xiē)返回取得(de)解密以後的(de)一(yī)些(xiē)消↕≈✔π息。
下(xià)圖的(de)例子(zǐ)就(ji™'§&ù)是(shì)原始未解密的(de)信息,然後我們去(qù)調用(yòng)Crypto的(de)一(yī)些(xiē)模塊,然後得(de)到(dào)一(→♣♣♠yī)個(gè)解密的(de)一(yī)些(xiē)消息的(de)過程。
Use Case≠♦¶s
在Crypto的(de)一(yī)個(gè)标準文(wén)檔裡(lǐ)★γα←面,它分(fēn)了(le)幾種類型:Crypto Key管理(lǐ)和(hé)鍵值管理(ε•lǐ)這(zhè)樣幾個(gè)接口類型。整個(gè)Crypto的(de)設計(jì),實際上(shàn&φ✔×g)還(hái)是(shì)充分(fēn)∞€γ∞考慮信息安全的(de)一(yī)些(xiē)使用(yòng)場(chǎng)景對(duì)它做(™≈ §zuò)了(le)一(yī)些(xiē)加密的(de)分(fēn)類,最後它可(k₹γ≠↕ě)以訪問(wèn)你(nǐ)硬件(jiàn)上(shàng)的(de)TEE或→&者HSM,通(tōng)信鏈路(lù)的(de)都(dōu)是(shì)安ε¶全可(kě)靠,這(zhè)是(shì)AUTOSAR Crypto∞↑®的(de)一(yī)個(gè)設計(jì)。
轉自(zì)汽車(chē)電(diàn)子(zǐ)與軟件(jiàn)
