2022年8月5日,由蓋世汽車、AUTOSAR組織聯(lián)合主辦的2022第三屆軟件定義汽車論壇暨AUTOSAR中國日活動中,維克多汽車技術(shù)(上海)有限公司商業(yè)開發(fā)經(jīng)理郝子鑒首先對智能網(wǎng)聯(lián)化趨勢下,汽車的網(wǎng)絡(luò)安全需求和技術(shù)環(huán)境進行了簡要介紹,接著對維克多提供的產(chǎn)品MICROSAR,其與AUTOSAR兼容的加密協(xié)議棧、行業(yè)主流HSM硬件安全模塊進行了詳盡地介紹。
汽車信息安全性在智能網(wǎng)聯(lián)時代需提上日程
SDV時代,隨車身代碼數(shù)量不斷增長,繼功能安全之后,網(wǎng)絡(luò)安全正成為汽車領(lǐng)域最火熱的話題。目前行業(yè)更多做的是V2V,V2X的互聯(lián),也就是說,車不再是以車內(nèi)的通信為主,而是轉(zhuǎn)而集中在車外,這種智能互聯(lián)會帶來網(wǎng)絡(luò)安全和數(shù)據(jù)安全的問題。我這邊會介紹一些維克多針對網(wǎng)絡(luò)安全和數(shù)據(jù)安全的解決方案,希望給大家或者各個主機廠和tier1更多啟示。
圖片來源:維克多 官網(wǎng)
功能安全和信息安全/網(wǎng)絡(luò)安全這兩個概念經(jīng)常能聽到,但大家不一定能理解對。通過這兩張圖可以更快地分清它們:上圖是保護人免遭系統(tǒng)的傷害,因為人是最重要的,最需要保護的,功能安全更多指的是我們要保護人,來避免人受到汽車的傷害。
下圖是保護系統(tǒng)免遭人的傷害,這個人就是黑客,需要避免網(wǎng)絡(luò)入侵操縱系統(tǒng)。現(xiàn)在再單獨提功能安全,已經(jīng)沒有什么意義了。即便安全方面達(dá)到的等級再高,一旦黑客入侵了,他就可以操控汽車破壞任何東西,這就不能再稱之為安全。
圖片來源:維克多
回到今天的主題,信息安全大概有四個目標(biāo):
第一點是真實性,簡單理解就是收發(fā)信息的時候,發(fā)送方和接收方一定要是確定的,收信人可以明確對面是不是要接收的信息來源。
第二點是機密性,也就是明文變暗文,當(dāng)有黑客去截取信息之后,它沒有辦法讀到真正的具體內(nèi)容。因為信息已經(jīng)通過密鑰和算法庫進行了加密。
第三點是完整性,其實完整性在網(wǎng)絡(luò)安全當(dāng)中是非常重要的一點,信息是不會允許其他人篡改的,或者說當(dāng)信息被篡改之后,接收方可以知道,從而選擇將信息直接棄用,或者采取其他措施來避免風(fēng)險。
最后一點是不可抵賴性。網(wǎng)絡(luò)安全會要求對數(shù)據(jù)進行簽名,從而使信息的發(fā)布方透明化。
圖片來源:維克多
在使用過程中,數(shù)據(jù)安全和信息安全的關(guān)系非常密切,首先,要保障里程和計數(shù)等基本信息的安全儲存、不被篡改。整體而言,保證系統(tǒng)的通信節(jié)點可靠,傳輸過程需要進行加密與完整新的確認(rèn),保證數(shù)據(jù)不會來自第三方/黑客。
車外互聯(lián)方面,比如車輛與基站的通信等需要連接外部網(wǎng)絡(luò),那么連接過程中肯定要有措施進行保護。再比如升級,升級方是否允許和授權(quán),升級后軟件是否被篡改,這些都是要考慮到的問題。
維克多針對網(wǎng)絡(luò)安全的具體方案:MICROSAR Crypto Stack
維克多企業(yè)總部位于德國,著力于為ECU開發(fā)符合AUTOSAR標(biāo)準(zhǔn)的基礎(chǔ)軟件,在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)上有豐富經(jīng)驗。其產(chǎn)品MICROSAR包含與AUTOSAR兼容的加密協(xié)議棧(CSM、CRYIF、Crypto SW/HW)。
基礎(chǔ)協(xié)議站在MICROSAR的網(wǎng)絡(luò)安全部署中居于關(guān)鍵地位:上文提到信息安全的四點目標(biāo)會通過基礎(chǔ)協(xié)議站落地。右側(cè)簡單模塊內(nèi)容在AUTOSAR的規(guī)范當(dāng)中有明確的定義,而且定義隨著智能網(wǎng)聯(lián)的不斷推進而逐步完善。
圖片來源:維克多
圖片上方的加密協(xié)議站也是在AUTOSAR上已經(jīng)進行了定義。
圖片的左下方帶有紅色ve標(biāo)志的部分,更多是維克多的解決方案,是主機廠可進行定義的內(nèi)容:主機廠對密鑰相關(guān)的處理、認(rèn)證等,維克多所提供的服務(wù)會根據(jù)主機廠的需求來定制和開發(fā)。
下圖是對模塊的概覽,這里我會把基礎(chǔ)和信息安全相關(guān)的模塊給大家列出來,右半部分是基礎(chǔ)軟件協(xié)議站,包括診斷和協(xié)議。左側(cè)大家可以看到是FBL和veHSM,也就是說,右側(cè)是提供基礎(chǔ)和支撐,支撐之上可以再去提供相應(yīng)的安全更新下載,然后通過veHSM提供更多的軟件算法和加速支持。
圖片來源:維克多
接下來具體看一下這里面AUTOSAR定義的三個模塊的關(guān)系與作用。
AUTOSAR整個從上到下的架構(gòu)都是很類似,最上面是應(yīng)用也就是SWCs中的算法,最下面的深灰色模塊是和硬件相關(guān)的驅(qū)動,中間的模塊是為了做解耦,最上面是個偏管理的模塊。
Csm模塊可以直接調(diào)取上層的算法,比如說這個應(yīng)用需要做算法和保護數(shù)據(jù),可以直接通過函數(shù)調(diào)用。里面的內(nèi)容包括優(yōu)先級和處理方式,還會包括具體用到的算法:是對稱加密算法AES還是非對稱算法,都會在我們這里進行配置和使用。
再往下,通過中間模塊對下層硬件/軟件進行抽象和解耦,解耦之后對上層來說接口就完全統(tǒng)一。最下方是和硬件強相關(guān)的,這邊適用于各種芯片,這層也會針對不同芯片去提供加密驅(qū)動。
圖片來源:維克多
要談數(shù)據(jù)安全,就需要對數(shù)據(jù)進行加密,保證完整性且避免重放攻擊。如何保證ECU之間的通信數(shù)據(jù)完整性?比如說左側(cè)是我們發(fā)送方,右側(cè)是接收方,發(fā)送的時候我們會有原始數(shù)據(jù),配合新鮮值更多是防止的數(shù)據(jù)重放:截取一部分?jǐn)?shù)據(jù)之后會再進行發(fā)送。
這里用到的是對稱算法:兩邊的密鑰完全一樣,進行MAC值的生成,會和數(shù)據(jù)新鮮值打包在一起,然后發(fā)送給接收方,接收方接收以后會進行逆向操作然后解讀,這一流程沒有問題的話,數(shù)據(jù)就可以進行完整的接收和繼續(xù)往下傳輸,如果有問題則會把數(shù)據(jù)進行遺棄或者進行其他措施。
圖片來源:維克多
接下來是KeyM,AR4.4會引入KeyM。證書的解析都會通過KeyM處理,它有一部分內(nèi)容需要由主機廠去做、定義具體實施內(nèi)容和邏輯,但底層接口有一定的標(biāo)準(zhǔn)可以參考。KeyM本身的密鑰和證書安全等級很高,所以我們這邊建議直接把它存到加密的HSM中,有單獨的加密儲存空間,這也是我們認(rèn)為HSM的安全等級高的原因。
圖片來源:維克多
接下來是介紹IdsM,其規(guī)范落地是在2020年10月份,但維克多在2017年就已經(jīng)開發(fā)了這個模塊,到目前,維克多的這個模塊技術(shù)已經(jīng)很成熟,可以直接供用戶使用。如果有需求可以找到我們維克多,我們會給大家提供具體落地的方案。
具體來看內(nèi)容,相當(dāng)于IdsM是基礎(chǔ)軟件和應(yīng)用層的安全傳感器,它的作用是收集一些必要的安全事件SEM,事件之后會做過濾,過濾的內(nèi)容可以自己定義,過濾的QSEv會發(fā)給idsR,idsR這一節(jié)點會幫助上傳到云端,然后通過安全相關(guān)的平臺或者云端進行分析。
圖片來源:維克多
HSM硬件安全模塊優(yōu)勢為何?
最后介紹一下HSM(Hardware Security Modules),其實在以前維克多更多做的是純軟件,也就是左邊這種形式,但純軟件的弊端會比較多,它沒有自己的CPU和升級,雖然在之后不斷演變的外掛路徑解決了純軟件的大部分弊端,但軟件方案的安全性還是不夠:沒有單獨自己獨立存儲的區(qū)域。
圖片來源:維克多
SHE是基于兩種方案的進一步擴展,SHE方案已經(jīng)有單獨用于儲存的部分了,可以存儲密鑰、證書。安全等級也是硬件級別的。但SHE的性能也有限,因為它本身是在MCU這一端共享處理器,所以去處理密鑰或者加密和解密需要進行額外的部署。
圖片來源:維克多
HSM應(yīng)該是維克多當(dāng)前階段會采用的一種方式,現(xiàn)在基本新的芯片或者成熟一點的芯片都可以完整支持HSM。它自己有獨立的CPU,還有獨立的存儲區(qū)域,因此進行計算處理時占用的資源也是獨立CPU的資源,不會和主核資源有任何沖突,這部分性能也能支持的更多,包括非對稱的算法,包括對算法的加速,也都會支持的更好。
圖片來源:維克多
下圖的紅色模塊是維克多可以為大家提供的,此外,中間的FBL Application,升級相關(guān)服務(wù),安全啟動相關(guān)服務(wù),也都由維克多提供。在這些做數(shù)據(jù)安全的時候可能會到的加密算法、加速支持,維克多可以通過veHSM Application針對不同芯片去提供服務(wù)。
圖片來源:維克多
下圖顯示了完整的安全下載流程:首先會對文件進行相應(yīng)的加密或者簽名,做了個hash,因為hash的長度是固定的,這里會用私鑰來簽名,用公鑰進行驗簽。簽名之后,會實施刷寫流程,實施過程中ECU會對簽名進行驗簽,驗簽之后如果一致性沒有問題,才會把文件下載至到ECU當(dāng)中。
下載的同時,會計算CMAC,被儲存至HSM中,那么在下一次啟動的時候,HSM可以再去核對當(dāng)下的數(shù)據(jù)值是否和上次存的一致,如果是一致那說明是安全的。
圖片來源:維克多
這里對veHSM做一下總結(jié),剛才講的后半部分主要是針對HSM這塊,它在網(wǎng)絡(luò)安全也占了很重要的地位。這里支持的算法和安全啟動,功能和證書類型我也簡單羅列了一下,維克多的工具的完整性和一致性是沒有任何問題的。
圖片來源:維克多
我今天和大家分享的內(nèi)容大概是這些,因為本身時間有限我也沒辦法展開講,如果大家感興趣但又不知道怎么落實,維克多也提供了咨詢服務(wù):比如說這邊需要分析,或者以后需要過信息安全認(rèn)證,維克多會有全套的流程,以及基礎(chǔ)軟件可以提供更強大的支撐。
(以上內(nèi)容來自維克多汽車技術(shù)(上海)有限公司商業(yè)開發(fā)經(jīng)理郝子鑒于2022年8月5日由蓋世汽車、AUTOSAR組織聯(lián)合主辦的2022第三屆軟件定義汽車論壇暨AUTOSAR中國日發(fā)表的《汽車中的網(wǎng)絡(luò)安全解決方案》主題演講。)
來源:蓋世汽車
作者:蓋世直播君
本文地址:http://www.medic-health.cn/news/qiye/183290
以上內(nèi)容轉(zhuǎn)載自蓋世汽車,目的在于傳播更多信息,如有侵僅請聯(lián)系admin#d1ev.com(#替換成@)刪除,轉(zhuǎn)載內(nèi)容并不代表第一電動網(wǎng)(www.medic-health.cn)立場。
文中圖片源自互聯(lián)網(wǎng),如有侵權(quán)請聯(lián)系admin#d1ev.com(#替換成@)刪除。