3. AP安全機制介紹
AP上的重要特征是軟件服務化,軟件服務化導致組件之間的通信是動態的,組件可以根據需要動態訂閱或者取消其他組件提供 服務。另外一個特征是較多的不同信任級別的服務運行在相同的芯片里,這就要求芯片具有很強的隔離能力。AUTOSAR自適應平臺使動態適應應用軟件成為可能,并使用AUTOSAR Runtime for Adaptive Applications (ARA)接口與基于posix的操作系統(如Linux)建立連接(圖9)。為了確保來自不同廠商和不同ASIL類別的軟件在VC(vehicle computers)上安全運行,管理程序用于預配置分區。
圖9:AUTOSAR Classic支持具有固定實時需求的系統,而AUTOSAR Adaptive將自己作為動態應用程序的標準
Source:https://www.etas.com/download-centerfiles/DLC_realtimes/RT_2021_EN_18.pdf
3.1 AP安全機制簡介
-
網絡安全管理
智能互聯汽車無法通過單獨的措施來確保安全,而只能通過基于整個車輛架構風險分析的集成概念來實現。這些概念必須分解為各個組件、ECU 及其邏輯分區的安全要求。因此,AUTOSAR Adaptive 具有一組集成的基本安全功能,開發人員可以使用這些功能來滿足聯網自動車輛系統不斷變化的定量和定性保護要求。鑒于分布式、基于軟件的 E/E 架構會在實時條件下增加數據負載,因此必須設計安全措施以提高性能。這就是為什么將以下安全功能集成到 AUTOSAR Adaptive 中的原因(圖 10)
圖片來源:https://www.etas.com/download-centerfiles/DLC_realtimes/RT_2021_EN_18.pdf
AUTOSAR Adaptive 中的安全組件
-
用于管理密鑰材料和訪問加密原語的加密堆棧
-
通過 TLS 和 IPSec 進行安全通信
-
敏感資源的訪問保護(例如,通過身份和訪問管理模塊的密鑰
-
從單個應用程序到完整平臺的所有內容的安全更新
-
由于繼續將安全啟動信任鏈作為“可信平臺”的一部分而獲得正宗軟件
-
作為“關鍵組件”的密碼學套件
許多安全用例依賴于加密原語,例如,加密機密數據或驗證軟件更新的簽名。為此所需的加密密鑰和證書必須安全存儲,并由授權的應用程序管理,有時甚至在多個ecu之間進行同步。在AUTOSAR Adaptive中,這些原語是通過加密功能集(也稱為加密API)提供的。它提供了所提供接口的抽象,從而提高了整體軟件的可移植性。為了確保安全的數據交換,AUTOSAR Adaptive遵循最新的標準,包括TCP/IP通信通過以太網。使用TLS和IPSec (IT世界中已建立的協議),可以在車輛內部和與外部實例建立不受操縱或竊聽影響的通信安全通道。AUTOSAR Adaptive管理對系統資源的訪問,如持久內存、通信通道和加密密鑰。AUTOSAR身份和訪問管理模塊提供了一個看門人,只允許顯式授權的應用程序訪問各自的資源。訪問權限可以根據需要進行配置,并隨時更新。
-
安全更新和可信平臺
AUTOSAR Adaptive中的安全更新功能有助于修復檢測到的漏洞,例如IDS(入侵檢測系統)發現的漏洞。它接收并處理單個應用程序甚至整個平臺的安全更新。每個Update blob都由后端簽名,以便只執行來自受信任源的更新。除了更新,ECU和VC(vehicle computer)應用程序也必須定期進行驗證。這需要安全引導或AUTOSAR Adaptive中的可信平臺功能,作為一個信任錨,驗證所有應用程序以及平臺本身。通過維護從引導到平臺到應用程序的信任鏈,只執行受信任的軟件。
-
3.2 RTA-VRTE:AUTOSAR Adaptive的平臺軟件框架
對于AUTOSAR Adaptive的未來用戶來說,熟悉當前的新架構至關重要。車輛運行時環境(RTA-VRTE)平臺軟件框架是集成和實現安全功能以及所有其他AUTOSAR自適應兼容流程的理想基礎。RTA-VRTE包含了基于微處理器的車載計算機的所有重要中間件元素。該平臺的軟件框架使虛擬ecu的功能可以在傳統的桌面pc上進行仿真,并通過以太網進行聯網。RTA-VRTE創建一個由四層基本軟件架構組成的虛擬機,第五層包含特定于車輛的平臺服務,見圖11。
圖11:RTA-VRTE五層模型支持VCs的重要軟件功能和需求
Source:https://www.etas.com/download-center-files/DLC_realtimes/RT_2021_EN_18.pdf
級別1和2包含用于硬件的基礎架構軟件(例如,設備驅動程序)和posix兼容的操作系統。第2級還提供了源自AUTOSAR自適應規范的特定于平臺的元素——首先也是最重要的執行管理。這將管理動態分配的應用程序,確保它們正確地啟動和停止,并監視對分配的資源和執行限制的遵守情況。因此,執行管理是IT安全的關鍵功能,提供可信平臺,并驗證自適應應用程序的完整性和真實性。這樣,可能的操縱或損壞就可以提前檢測出來。
此外,三級通信中間件保證了動態、靈活的自適應應用程序和其他軟件應用程序可以集成到系統中。通信管理作為RTA-VRTE的核心組件,控制和規范各層之間的交互,保證ECU、車載平臺服務等封裝軟件在4、5層的正常運行。在保護通過身份驗證的應用程序提供的服務之間的端到端通信方面,該功能也與網絡安全高度相關。
RTA-VRTE通信管理和特定ecu的服務在level 4上為應用程序開發人員提供了一個通用的汽車應用框架。為了提供安全性,該級別還提供了一個更新和配置管理器(UCM),它支持單個應用程序的經過身份驗證的更新,并在整個平臺上協調它們。在RTA-VRTE的第5級中,AUTOSAR++方面允許集成整個車輛甚至整個車隊的功能,為RTA-VRTE AUTOSAR自適應應用程序集提供強大的空中(OTA)更新。
3.3 展望
2020年,RTA-VRTE開始在世界各地的項目中使用,旨在將AUTOSAR自適應車輛平臺投入生產。此外,ETAS和ESCRYPT還提供了一個早期訪問計劃(EAP),使oem和供應商能夠建立下一代混合E/E架構的開發方法,同時實現AUTOSAR Adaptive已經可用的安全組件。除了這些安全模塊,還需要真正全面的網絡安全概念,用于互聯的自動化車輛。首先,硬件安全模塊(hms)作為信任錨,在VC微控制器或ecu中物理封裝加密密鑰材料。此外,它還可以擴展到整個生命周期內的車隊范圍內的車輛保護,以及嵌入式車輛攻擊檢測、后端車輛安全操作中心(VSOC)和無線固件(FOTA)安全更新(圖12)。
圖12:集成汽車網絡安全與硬件安全模塊作為微控制器的信任錨,并在整個汽車生命周期內監控車輛安全
Source:https://www.etas.com/download-center-files/DLC_realtimes/RT_2021_EN_18.pdf
RTA-VRTE平臺軟件框架使開發者能夠將基于AUTOSAR自適應的E/E架構應用到虛擬環境中。這樣做,它擴大了針對網絡攻擊的全面保護的基礎,在未來的車輛中,這將不得不從微控制器擴展到車載網絡,并擴展到終生的車隊監控。
4. 其他安全機制
4.1 CFI(Control Flow Integrity)
CFI用來防止漏洞利用的技術,通過確保ECU的程序不違反預期的執行流。該技術適合AP和CP。不少安全廠商已經支持該功能。見圖13.
4.2 ECU Firewall
ECU級防火墻,通過深度報文解析(Deep Packet Inspection)用來防止ECU內部通信的攻擊。該技術適合AP和CP。見圖13.
4.3 應用程序控制
主要是防止ECU在啟動和運行時刻運行非法軟件。通常適合AP架構。見圖13.
4.4 入侵檢測系統
入侵檢測模塊不在本文贅述,可以參考青驥的AutoSAR IDS專題文章(青驥原創 l AutoSAR IDS標準介紹)。見圖13.
圖13: Argus ECU安全機制示意圖
圖片來源:https://argus-sec.com/connected-ecu-protection/
4.5 軟件保護(白盒密碼技術)
當設備部署到黑客手中時,保護設備的難度要大幾個數量級。對設備具有物理訪問權限的堅定黑客可以做很多事情來獲得超級用戶訪問權限并危及系統安全:提取固件映像、逆向工程軟件、重新激活調試軟件等。歷史上充斥著成功入侵設備的例子——從網絡路由器到醫療設備,再到信用卡系統、遠程信息處理單元和整車。普遍存在的軟件安全威脅包括逆向工程、軟件篡改、復制/克隆和自動攻擊。針對這些威脅的成功安全策略是多維方法——數據安全、網絡/API 安全和軟件保護。
軟件保護往往成為最后也是最關鍵的防線。
軟件保護是一套先進的網絡安全技術、庫和工具,使用戶能夠自定義對其關鍵數字資產(例如密鑰、代碼和數據)的保護。該產品對于需要最佳可更新軟件安全性的安全精明的組織特別有用。軟件保護的安全技術通過復雜的數據、功能和控制流轉換、反調試、白盒密碼術提供應用程序保護,以及主動完整性驗證。軟件保護將這些安全技術直接集成到客戶的軟件構建過程中,在源代碼級別工作,還具有互補的、特定于平臺的二進制保護,以確保在不影響易用性的情況下實現最高級別的軟件保護和快速部署。關于白盒密碼的介紹請閱讀附件3.通常適合保護知識產權的場景。
4.6 基于硬件輔助的安全機制
基于硬件輔助的安全機制比較多,請參考青驥公眾號文章(談談汽車芯片信息安全)
轉載汽車電子相關文章
轉自汽車電器與軟件
