3. AP安全機制介紹
AP上的重要特征是軟件服務(wù)化,軟件服務(wù)化導(dǎo)致組件之間的通信是動態(tài)的,組件可以根據(jù)需要動態(tài)訂閱或者取消其他組件提供 服務(wù)。另外一個特征是較多的不同信任級別的服務(wù)運行在相同的芯片里,這就要求芯片具有很強的隔離能力。AUTOSAR自適應(yīng)平臺使動態(tài)適應(yīng)應(yīng)用軟件成為可能,并使用AUTOSAR Runtime for Adaptive Applications (ARA)接口與基于posix的操作系統(tǒng)(如Linux)建立連接(圖9)。為了確保來自不同廠商和不同ASIL類別的軟件在VC(vehicle computers)上安全運行,管理程序用于預(yù)配置分區(qū)。
圖9:AUTOSAR Classic支持具有固定實時需求的系統(tǒng),而AUTOSAR Adaptive將自己作為動態(tài)應(yīng)用程序的標(biāo)準(zhǔn)
Source:https://www.etas.com/download-centerfiles/DLC_realtimes/RT_2021_EN_18.pdf
3.1 AP安全機制簡介
-
網(wǎng)絡(luò)安全管理
智能互聯(lián)汽車無法通過單獨的措施來確保安全,而只能通過基于整個車輛架構(gòu)風(fēng)險分析的集成概念來實現(xiàn)。這些概念必須分解為各個組件、ECU 及其邏輯分區(qū)的安全要求。因此,AUTOSAR Adaptive 具有一組集成的基本安全功能,開發(fā)人員可以使用這些功能來滿足聯(lián)網(wǎng)自動車輛系統(tǒng)不斷變化的定量和定性保護要求。鑒于分布式、基于軟件的 E/E 架構(gòu)會在實時條件下增加數(shù)據(jù)負載,因此必須設(shè)計安全措施以提高性能。這就是為什么將以下安全功能集成到 AUTOSAR Adaptive 中的原因(圖 10)
圖片來源:https://www.etas.com/download-centerfiles/DLC_realtimes/RT_2021_EN_18.pdf
AUTOSAR Adaptive 中的安全組件
-
用于管理密鑰材料和訪問加密原語的加密堆棧
-
通過 TLS 和 IPSec 進行安全通信
-
敏感資源的訪問保護(例如,通過身份和訪問管理模塊的密鑰
-
從單個應(yīng)用程序到完整平臺的所有內(nèi)容的安全更新
-
由于繼續(xù)將安全啟動信任鏈作為“可信平臺”的一部分而獲得正宗軟件
-
作為“關(guān)鍵組件”的密碼學(xué)套件
許多安全用例依賴于加密原語,例如,加密機密數(shù)據(jù)或驗證軟件更新的簽名。為此所需的加密密鑰和證書必須安全存儲,并由授權(quán)的應(yīng)用程序管理,有時甚至在多個ecu之間進行同步。在AUTOSAR Adaptive中,這些原語是通過加密功能集(也稱為加密API)提供的。它提供了所提供接口的抽象,從而提高了整體軟件的可移植性。為了確保安全的數(shù)據(jù)交換,AUTOSAR Adaptive遵循最新的標(biāo)準(zhǔn),包括TCP/IP通信通過以太網(wǎng)。使用TLS和IPSec (IT世界中已建立的協(xié)議),可以在車輛內(nèi)部和與外部實例建立不受操縱或竊聽影響的通信安全通道。AUTOSAR Adaptive管理對系統(tǒng)資源的訪問,如持久內(nèi)存、通信通道和加密密鑰。AUTOSAR身份和訪問管理模塊提供了一個看門人,只允許顯式授權(quán)的應(yīng)用程序訪問各自的資源。訪問權(quán)限可以根據(jù)需要進行配置,并隨時更新。
-
安全更新和可信平臺
AUTOSAR Adaptive中的安全更新功能有助于修復(fù)檢測到的漏洞,例如IDS(入侵檢測系統(tǒng))發(fā)現(xiàn)的漏洞。它接收并處理單個應(yīng)用程序甚至整個平臺的安全更新。每個Update blob都由后端簽名,以便只執(zhí)行來自受信任源的更新。除了更新,ECU和VC(vehicle computer)應(yīng)用程序也必須定期進行驗證。這需要安全引導(dǎo)或AUTOSAR Adaptive中的可信平臺功能,作為一個信任錨,驗證所有應(yīng)用程序以及平臺本身。通過維護從引導(dǎo)到平臺到應(yīng)用程序的信任鏈,只執(zhí)行受信任的軟件。
-
3.2 RTA-VRTE:AUTOSAR Adaptive的平臺軟件框架
對于AUTOSAR Adaptive的未來用戶來說,熟悉當(dāng)前的新架構(gòu)至關(guān)重要。車輛運行時環(huán)境(RTA-VRTE)平臺軟件框架是集成和實現(xiàn)安全功能以及所有其他AUTOSAR自適應(yīng)兼容流程的理想基礎(chǔ)。RTA-VRTE包含了基于微處理器的車載計算機的所有重要中間件元素。該平臺的軟件框架使虛擬ecu的功能可以在傳統(tǒng)的桌面pc上進行仿真,并通過以太網(wǎng)進行聯(lián)網(wǎng)。RTA-VRTE創(chuàng)建一個由四層基本軟件架構(gòu)組成的虛擬機,第五層包含特定于車輛的平臺服務(wù),見圖11。
圖11:RTA-VRTE五層模型支持VCs的重要軟件功能和需求
Source:https://www.etas.com/download-center-files/DLC_realtimes/RT_2021_EN_18.pdf
級別1和2包含用于硬件的基礎(chǔ)架構(gòu)軟件(例如,設(shè)備驅(qū)動程序)和posix兼容的操作系統(tǒng)。第2級還提供了源自AUTOSAR自適應(yīng)規(guī)范的特定于平臺的元素——首先也是最重要的執(zhí)行管理。這將管理動態(tài)分配的應(yīng)用程序,確保它們正確地啟動和停止,并監(jiān)視對分配的資源和執(zhí)行限制的遵守情況。因此,執(zhí)行管理是IT安全的關(guān)鍵功能,提供可信平臺,并驗證自適應(yīng)應(yīng)用程序的完整性和真實性。這樣,可能的操縱或損壞就可以提前檢測出來。
此外,三級通信中間件保證了動態(tài)、靈活的自適應(yīng)應(yīng)用程序和其他軟件應(yīng)用程序可以集成到系統(tǒng)中。通信管理作為RTA-VRTE的核心組件,控制和規(guī)范各層之間的交互,保證ECU、車載平臺服務(wù)等封裝軟件在4、5層的正常運行。在保護通過身份驗證的應(yīng)用程序提供的服務(wù)之間的端到端通信方面,該功能也與網(wǎng)絡(luò)安全高度相關(guān)。
RTA-VRTE通信管理和特定ecu的服務(wù)在level 4上為應(yīng)用程序開發(fā)人員提供了一個通用的汽車應(yīng)用框架。為了提供安全性,該級別還提供了一個更新和配置管理器(UCM),它支持單個應(yīng)用程序的經(jīng)過身份驗證的更新,并在整個平臺上協(xié)調(diào)它們。在RTA-VRTE的第5級中,AUTOSAR++方面允許集成整個車輛甚至整個車隊的功能,為RTA-VRTE AUTOSAR自適應(yīng)應(yīng)用程序集提供強大的空中(OTA)更新。
3.3 展望
2020年,RTA-VRTE開始在世界各地的項目中使用,旨在將AUTOSAR自適應(yīng)車輛平臺投入生產(chǎn)。此外,ETAS和ESCRYPT還提供了一個早期訪問計劃(EAP),使oem和供應(yīng)商能夠建立下一代混合E/E架構(gòu)的開發(fā)方法,同時實現(xiàn)AUTOSAR Adaptive已經(jīng)可用的安全組件。除了這些安全模塊,還需要真正全面的網(wǎng)絡(luò)安全概念,用于互聯(lián)的自動化車輛。首先,硬件安全模塊(hms)作為信任錨,在VC微控制器或ecu中物理封裝加密密鑰材料。此外,它還可以擴展到整個生命周期內(nèi)的車隊范圍內(nèi)的車輛保護,以及嵌入式車輛攻擊檢測、后端車輛安全操作中心(VSOC)和無線固件(FOTA)安全更新(圖12)。
圖12:集成汽車網(wǎng)絡(luò)安全與硬件安全模塊作為微控制器的信任錨,并在整個汽車生命周期內(nèi)監(jiān)控車輛安全
Source:https://www.etas.com/download-center-files/DLC_realtimes/RT_2021_EN_18.pdf
RTA-VRTE平臺軟件框架使開發(fā)者能夠?qū)⒒贏UTOSAR自適應(yīng)的E/E架構(gòu)應(yīng)用到虛擬環(huán)境中。這樣做,它擴大了針對網(wǎng)絡(luò)攻擊的全面保護的基礎(chǔ),在未來的車輛中,這將不得不從微控制器擴展到車載網(wǎng)絡(luò),并擴展到終生的車隊監(jiān)控。
4. 其他安全機制
4.1 CFI(Control Flow Integrity)
CFI用來防止漏洞利用的技術(shù),通過確保ECU的程序不違反預(yù)期的執(zhí)行流。該技術(shù)適合AP和CP。不少安全廠商已經(jīng)支持該功能。見圖13.
4.2 ECU Firewall
ECU級防火墻,通過深度報文解析(Deep Packet Inspection)用來防止ECU內(nèi)部通信的攻擊。該技術(shù)適合AP和CP。見圖13.
4.3 應(yīng)用程序控制
主要是防止ECU在啟動和運行時刻運行非法軟件。通常適合AP架構(gòu)。見圖13.
4.4 入侵檢測系統(tǒng)
入侵檢測模塊不在本文贅述,可以參考青驥的AutoSAR IDS專題文章(青驥原創(chuàng) l AutoSAR IDS標(biāo)準(zhǔn)介紹)。見圖13.
圖13: Argus ECU安全機制示意圖
圖片來源:https://argus-sec.com/connected-ecu-protection/
4.5 軟件保護(白盒密碼技術(shù))
當(dāng)設(shè)備部署到黑客手中時,保護設(shè)備的難度要大幾個數(shù)量級。對設(shè)備具有物理訪問權(quán)限的堅定黑客可以做很多事情來獲得超級用戶訪問權(quán)限并危及系統(tǒng)安全:提取固件映像、逆向工程軟件、重新激活調(diào)試軟件等。歷史上充斥著成功入侵設(shè)備的例子——從網(wǎng)絡(luò)路由器到醫(yī)療設(shè)備,再到信用卡系統(tǒng)、遠程信息處理單元和整車。普遍存在的軟件安全威脅包括逆向工程、軟件篡改、復(fù)制/克隆和自動攻擊。針對這些威脅的成功安全策略是多維方法——數(shù)據(jù)安全、網(wǎng)絡(luò)/API 安全和軟件保護。
軟件保護往往成為最后也是最關(guān)鍵的防線。
軟件保護是一套先進的網(wǎng)絡(luò)安全技術(shù)、庫和工具,使用戶能夠自定義對其關(guān)鍵數(shù)字資產(chǎn)(例如密鑰、代碼和數(shù)據(jù))的保護。該產(chǎn)品對于需要最佳可更新軟件安全性的安全精明的組織特別有用。軟件保護的安全技術(shù)通過復(fù)雜的數(shù)據(jù)、功能和控制流轉(zhuǎn)換、反調(diào)試、白盒密碼術(shù)提供應(yīng)用程序保護,以及主動完整性驗證。軟件保護將這些安全技術(shù)直接集成到客戶的軟件構(gòu)建過程中,在源代碼級別工作,還具有互補的、特定于平臺的二進制保護,以確保在不影響易用性的情況下實現(xiàn)最高級別的軟件保護和快速部署。關(guān)于白盒密碼的介紹請閱讀附件3.通常適合保護知識產(chǎn)權(quán)的場景。
4.6 基于硬件輔助的安全機制
基于硬件輔助的安全機制比較多,請參考青驥公眾號文章(談?wù)勂囆酒畔踩?
轉(zhuǎn)載汽車電子相關(guān)文章
轉(zhuǎn)自汽車電器與軟件
