維克多(Vector)集團(tuán)為汽車及相關(guān)產(chǎn)業(yè)的OEM商及供應(yīng)商,提供了專業(yè)的開(kāi)放式開(kāi)發(fā)平臺(tái)���,包括各種工具,軟件組件和服務(wù)��,應(yīng)用于嵌入式系統(tǒng)的創(chuàng)建����。
維克多汽車技術(shù)(上海)有限公司高級(jí)咨詢顧問(wèn)王振圍繞《車端網(wǎng)絡(luò)安全一站式解決方案》展開(kāi)演講,從維克多咨詢業(yè)務(wù)簡(jiǎn)介���、行業(yè)現(xiàn)狀與趨勢(shì)分析���、網(wǎng)絡(luò)安全需求分析�、網(wǎng)絡(luò)安全嵌入式軟件設(shè)計(jì)���、網(wǎng)絡(luò)安全滲透測(cè)試等方面進(jìn)行介紹�。以下是演講內(nèi)容整理:
維克多汽車技術(shù)(上海)有限公司高級(jí)咨詢顧問(wèn)王振
先簡(jiǎn)單介紹一下我所在的部門(mén):維克多咨詢�����。維克多咨詢是維克多集團(tuán)于2001年專門(mén)建立的子公司��,也是集團(tuán)的產(chǎn)品線與事業(yè)部之一����,主要業(yè)務(wù)就是做咨詢,成立二十多年來(lái)��,維克多咨詢?cè)谌蚍秶鷥?nèi)為眾多中外客戶在汽車�����、航空航天����、IT��、金融���、醫(yī)療等相關(guān)行業(yè)提供各種技術(shù)咨詢服務(wù)����。
維克多咨詢主要分為四個(gè)部分:第一部分是幫客戶做技術(shù)轉(zhuǎn)型咨詢,包括幫客戶引入敏捷開(kāi)發(fā)�����,滿足部分客戶提出的降本增效的定向咨詢的要求����。第二部分是可信,主要是跟我們的網(wǎng)絡(luò)安全和功能安全相關(guān)����,這也是今天的主要話題。第三部分是技術(shù)�����,新的科技,比如說(shuō)����,我們的客戶從非AUTOSAR切換到AUTOSAR,從CP切換到AP���,有哪些行業(yè)內(nèi)的成功經(jīng)驗(yàn)可以借鑒���?以及我們幫客戶做生命周期管理中不同階段的咨詢等等。最后一部分是針對(duì)以上三類咨詢?yōu)榭蛻籼峁┡嘤?xùn)和輔導(dǎo)�。
圖片來(lái)源:維克多
行業(yè)現(xiàn)狀與趨勢(shì)分析
第二部分講安全需求的設(shè)計(jì)和分析。首先跟大家分享維克多咨詢的年度調(diào)查活動(dòng)�,維克多咨詢每年底會(huì)對(duì)全球范圍內(nèi)的主要市場(chǎng)和客戶進(jìn)行咨詢調(diào)查,重點(diǎn)聚焦軟件領(lǐng)域���,關(guān)注客戶在近期����,也就是過(guò)去一年��,或者未來(lái)一年所關(guān)注的焦點(diǎn)�����,有哪些顧慮,哪些是比較頭疼的問(wèn)題�����。維克多在2021年底同樣做了這樣的調(diào)查���。我們根據(jù)客戶的反饋繪制了下圖�����,橫軸代表短期的挑戰(zhàn),縱軸是長(zhǎng)期的挑戰(zhàn)�,每一個(gè)點(diǎn)代表客戶在近期所關(guān)注和擔(dān)憂的具體方面。
圖片來(lái)源:維克多
右上角是軟件領(lǐng)域內(nèi)�,各行各業(yè)的企業(yè)所集中關(guān)注的問(wèn)題:包括企業(yè)創(chuàng)新能力的需求;個(gè)人或企業(yè)能力不足�����;以及老生常談的降本提效問(wèn)題�����。針對(duì)他們的反饋���,我們繪制了一個(gè)三角���,這個(gè)三角表示:流程優(yōu)化不當(dāng)?shù)那闆r下���,創(chuàng)新、能力���、質(zhì)量��、復(fù)雜度���、成本等因素會(huì)形成惡性循環(huán)。
在過(guò)去很長(zhǎng)的時(shí)間里��,我們發(fā)現(xiàn)客戶端�,很多工程師在編碼上有很強(qiáng)的基礎(chǔ)知識(shí),但對(duì)于流程管理�����、優(yōu)化�、體系建設(shè)等缺乏專業(yè)知識(shí)的儲(chǔ)備。我們知道���,創(chuàng)新其實(shí)不僅僅依賴于編程��,創(chuàng)新實(shí)際上是一個(gè)大的工程��,講究系統(tǒng)化��、體系化�����,還有流程優(yōu)化�����。如果在這方面缺乏�,企業(yè)在創(chuàng)新上就會(huì)沒(méi)有更多的發(fā)展空間���。
這就導(dǎo)致很多企業(yè)聚焦在成本競(jìng)爭(zhēng)上����,進(jìn)一步加劇了紅海競(jìng)爭(zhēng)的激烈程度�,而企業(yè)要控制成本必然會(huì)減少對(duì)于工程師的培訓(xùn),減少一些技術(shù)方面的投入���,這打擊了工程師自我學(xué)習(xí)�����、技術(shù)能力上進(jìn)一步提升的積極性���,進(jìn)而導(dǎo)致了工程師的技能持續(xù)下降�,或者沒(méi)有更高的提升空間���,最終形成這樣的惡性循環(huán)���。
根據(jù)調(diào)查結(jié)果,可以從兩個(gè)方面突破死循環(huán)�。一是把敏捷開(kāi)發(fā)引入正常的軟件開(kāi)發(fā)流程中,二是要對(duì)流程的復(fù)雜度進(jìn)行管理�。從而幫助工程師將有限的時(shí)間和精力放在研發(fā)和創(chuàng)新,以及解決核心問(wèn)題上���。
除了這些方面��,企業(yè)整體實(shí)力提升還存在部分著力點(diǎn)���。例如�����,怎么優(yōu)化流程��,提高效率�,怎么提高質(zhì)量���,質(zhì)量的提高又會(huì)涉及到功能安全��、網(wǎng)絡(luò)安全等方面���,這些和今天的話題密切相關(guān)。
網(wǎng)絡(luò)安全需求分析
接下來(lái)通過(guò)簡(jiǎn)單的案例�����,講一講我們?cè)谧鼍W(wǎng)絡(luò)安全分析和設(shè)計(jì)過(guò)程當(dāng)中需要哪些步驟�����,經(jīng)歷哪些環(huán)節(jié)����,采用哪些技術(shù)。
第一步是項(xiàng)目邊界定義�����、資產(chǎn)定義���。前者大家可能比較了解�。那么資產(chǎn)(Asset)怎么理解���?資產(chǎn)是有價(jià)值或者有助于價(jià)值的對(duì)象:比如密碼����、密鑰����,私人的數(shù)據(jù),包括行車過(guò)程中記錄的駕駛數(shù)據(jù)��,加密算法��,ADAS算法等等����。資產(chǎn)不僅僅對(duì)于車主或OEM有價(jià)值����,同樣對(duì)攻擊者有價(jià)值�����。正是由于資產(chǎn)的存在�,才引發(fā)了攻擊者潛在的攻擊,攻擊的存在就是威脅����,實(shí)施網(wǎng)絡(luò)安全就是為了降低攻擊帶來(lái)的潛在威脅。
定義完資產(chǎn)之后�,第二步就是TARA威脅分析和風(fēng)險(xiǎn)評(píng)估。主要是建立從資產(chǎn)到攻擊���、威脅之間的映射關(guān)系�,關(guān)系的建立最好先不要考慮已經(jīng)部署的安全措施�����,只有在這樣的情況下才能夠盡可能全面系統(tǒng)地了解待分析對(duì)象����,明確其有哪些薄弱環(huán)節(jié)需要進(jìn)行安全措施的部署。
建立這樣一個(gè)依賴關(guān)系之后就可以形成攻擊路徑�,下一步我們需要針對(duì)攻擊和威脅進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估,評(píng)估主要分兩個(gè)方面��,一個(gè)是攻擊可行性等級(jí)�����,攻擊發(fā)生的概率是多少�,評(píng)判方法在ISO 21434中也有具體介紹,比如需要考慮攻擊的時(shí)間�����,采用的工具等方面���。評(píng)估的第二個(gè)方面是關(guān)注攻擊的影響等級(jí)���。大家知道ISO 21434里面從四個(gè)維度去評(píng)價(jià)攻擊發(fā)生之后有什么樣的影響?�;谝陨蟽蓚€(gè)方面的評(píng)級(jí)��,可以得出風(fēng)險(xiǎn)等級(jí),從而支撐決策���,如果等級(jí)比較高�����,就需要想辦法消滅�、降低它��。如果危險(xiǎn)等級(jí)比較低�,就可以登記、監(jiān)控甚至忽略它���。這些決策的結(jié)果匯總起來(lái)就得到了網(wǎng)絡(luò)安全目標(biāo)���。
圖片來(lái)源:維克多
針對(duì)網(wǎng)絡(luò)安全目標(biāo),我們還要做進(jìn)一步細(xì)化����,細(xì)化到功能性的安全需求,一直到技術(shù)性的安全需求�,這里面包括架構(gòu)設(shè)計(jì)和軟硬件的映射關(guān)系,在這個(gè)層面就會(huì)涉及具體的落地細(xì)節(jié):比如說(shuō)用到什么樣的算法�����,用到什么樣的加密設(shè)施等等�。
在經(jīng)歷了前面一系列分析之后,還有必要通過(guò)樹(shù)型結(jié)構(gòu)把安全需求和安全措施映射起來(lái)�。結(jié)構(gòu)樹(shù)中,相鄰點(diǎn)之間存在邏輯關(guān)系�,比如說(shuō)我們想控制CAN總線,起碼我們應(yīng)該做到兩點(diǎn)���,第一點(diǎn)是能夠?qū)慍AN總線����,第二點(diǎn)我們能夠正確的寫(xiě)CAN總線���。我們一直往下去邏輯性的分析�����,其實(shí)可以找到邏輯路徑中一些薄弱的環(huán)節(jié)��,比如藍(lán)框所指定的部分��?���?傮w而言���,針對(duì)這樣的一類項(xiàng)目����,我們可以采取的措施主要包含:安全通信��、安全診斷����、安全存儲(chǔ)、安全下載����、、安全啟動(dòng)�����、安全調(diào)試等�����。每一種方案施我們都會(huì)部署相應(yīng)的落地措施,比如安全下載當(dāng)中可以采用公鑰基礎(chǔ)設(shè)施 PKI體系建設(shè)���,以及包括安全通信過(guò)程當(dāng)中可以用車載安全通訊(SecOC)等一系列技術(shù)�。
值得注意的是��,TARA分析不只是在開(kāi)發(fā)階段���,在整個(gè)汽車生命周期過(guò)程中,需要不斷地采用TARA技術(shù)進(jìn)行循環(huán)迭代����,一直到系統(tǒng)比較完善,漏洞比較少的程度�����。
完成分析之后就要進(jìn)行開(kāi)發(fā)���,這里主要說(shuō)的是軟件層面的開(kāi)發(fā)���,可以在編碼的過(guò)程中采用防御性編碼,可以采用AUTOSAR��、CWE軟件的編碼規(guī)范。在條件允許的情況下���,還可以采用跟加密或者編碼相關(guān)的模塊�,比如采用KeyM模塊可以做密鑰管理�,或者證書(shū)管理,在成本和性能允許的情況下��,可以用HSM這樣一種硬件加密解決方案��。
圖片來(lái)源:維克多
完成設(shè)計(jì)之后����,在測(cè)試端還會(huì)有不同級(jí)別的測(cè)試:比如單元測(cè)試、功能需求測(cè)試����、系統(tǒng)測(cè)試等各個(gè)環(huán)節(jié),維克多都提供了相應(yīng)的工具和服務(wù)�����。
網(wǎng)絡(luò)安全嵌入式軟件設(shè)計(jì)
接下來(lái)我們進(jìn)一步談?wù)勡浖用娴穆涞?�,在軟件層面主要可以有不同的解決方案:
因?yàn)槠嚞F(xiàn)在用AUTOSAR比較多,在AUTOSAR里面會(huì)有一些模塊幫助企業(yè)解決安全通信�����,比如說(shuō)有SecOC模塊��。維克多也可以根據(jù)不同的客戶的對(duì)SecOC需求進(jìn)行定制化開(kāi)發(fā)���。還可以進(jìn)行以太網(wǎng)方面的安全通信加密IPSec����。針對(duì)V2G充電���,維克多也可以采取相關(guān)的加密措施。除此之外�����,行業(yè)討論熱度比較高的IDPS入侵檢測(cè)防御系統(tǒng)��,維克多也提供一些成熟的方案給大家做參考����。
除了安全通信,還有安全存儲(chǔ)、安全診斷�、安全下載、安全啟動(dòng)�����,其中安全啟動(dòng)和安全下載可以用Boot Loader來(lái)解決問(wèn)題����。此外,企業(yè)采用硬件加密還要用到HSM�,HSM上面可以刷一些軟件代碼包,HSM可以幫助存儲(chǔ)密鑰�、密碼、機(jī)密文件�,還可以通過(guò)硬件為對(duì)稱式和非對(duì)稱式算法進(jìn)行加速。
圖片來(lái)源:維克多
再講講安全下載和安全啟動(dòng)����,安全下載有兩個(gè)方面,遠(yuǎn)程下載OTA和傳統(tǒng)下載模式�����,這兩個(gè)下載都可以采用安全方面的措施����。維克多提供的安全下載流程如下:在開(kāi)發(fā)完成之后會(huì)形成二進(jìn)制代碼����,然后對(duì)代碼進(jìn)行簽名����,進(jìn)而獲得哈希值,也就是消息摘要�����,這里會(huì)使用PKI技術(shù)���,用私鑰來(lái)簽名����,并會(huì)將簽名的結(jié)果和原始數(shù)據(jù)一起發(fā)送到車端�,在車端用公鑰進(jìn)行驗(yàn)簽��,驗(yàn)簽成功之后會(huì)做Mac值計(jì)算�����,計(jì)算之后把Mac值存在HSM里面。在安全啟動(dòng)的過(guò)程中��,首先HSM會(huì)對(duì)boot進(jìn)行Mac計(jì)算�����,計(jì)算結(jié)果會(huì)與之前存儲(chǔ)的Mac值進(jìn)行比較�����。如果對(duì)比結(jié)果一樣�,就證明從下載代碼到啟動(dòng)之間的時(shí)間內(nèi),代碼具備完整性����,沒(méi)有被更改。在應(yīng)用程序啟動(dòng)前也會(huì)做同樣的完整性校驗(yàn)��。
這樣一個(gè)安全邏輯會(huì)極大地增加安全性與防護(hù)性��,但是也會(huì)帶來(lái)啟動(dòng)時(shí)間的延長(zhǎng)�。這需要企業(yè)在啟動(dòng)時(shí)間和安全性之間進(jìn)行平衡。
網(wǎng)絡(luò)安全滲透測(cè)試
軟/硬件設(shè)計(jì)完成之后就是驗(yàn)證和測(cè)試環(huán)節(jié)��。測(cè)試和驗(yàn)證環(huán)節(jié)可以采取很多不同的方法�����,而每個(gè)方法的側(cè)重點(diǎn)不一樣:有些注重架構(gòu)���,有些注重非預(yù)期行為和算法等等�。
這里我只提一下滲透測(cè)試����。維克多提供的滲透測(cè)試方法論如下:基于灰盒測(cè)試的十步法則,我們進(jìn)行測(cè)試的時(shí)候會(huì)保持黑盒的視角����,在測(cè)試之前會(huì)做一個(gè)mini TARA,其意義有兩點(diǎn):1���、可以系統(tǒng)地甄別待測(cè)對(duì)象有哪些行測(cè)點(diǎn)�,提高測(cè)試效率�����。2���、在mini TARA過(guò)程中會(huì)建立功能模塊和測(cè)試用例之間的映射關(guān)系�,這一映射關(guān)系會(huì)用于后期回歸測(cè)試的優(yōu)化�。
圖片來(lái)源:維克多
做完測(cè)試還有KPI考核,這是基于測(cè)試效率和效果的考核�。主要是將測(cè)試結(jié)果反饋到需求設(shè)計(jì)端,在KPI考核環(huán)節(jié)�,測(cè)試人員可以有更多發(fā)揮的空間,在整個(gè)信息安全流程里有更高的參與度����。這個(gè)方法論維克多已經(jīng)發(fā)表在國(guó)際期刊上,同時(shí)也翻譯成了中文發(fā)表在微信公眾號(hào)上�,大家有時(shí)間可以看一下。
簡(jiǎn)單做一個(gè)總結(jié)���,網(wǎng)絡(luò)安全管理貫穿于汽車全生命周期�����,這要求網(wǎng)絡(luò)安全管理做到系統(tǒng)�、完整����、有效、實(shí)時(shí)可更新���。此外����,不只是網(wǎng)絡(luò)安全,在功能安全維克多也可以提供一站式的解決方案�����,不管是需求設(shè)計(jì)�����、嵌入式軟件�、測(cè)試工具鏈,維克多都可以提供相應(yīng)的解決方案���。
(以上內(nèi)容來(lái)自維克多汽車技術(shù)(上海)有限公司高級(jí)咨詢顧問(wèn)王振于2022年8月25日由蓋世汽車主辦的2022中國(guó)汽車信息安全與功能安全大會(huì)發(fā)表的《車端網(wǎng)絡(luò)安全一站式解決方案》主題演講�。)
來(lái)源:蓋世汽車
作者:薈薈
本文地址:http://www.medic-health.cn/news/qiye/184959
返回第一電動(dòng)網(wǎng)首頁(yè) >
以上內(nèi)容轉(zhuǎn)載自蓋世汽車����,目的在于傳播更多信息,如有侵僅請(qǐng)聯(lián)系admin#d1ev.com(#替換成@)刪除����,轉(zhuǎn)載內(nèi)容并不代表第一電動(dòng)網(wǎng)(www.medic-health.cn)立場(chǎng)。
文中圖片源自互聯(lián)網(wǎng)���,如有侵權(quán)請(qǐng)聯(lián)系admin#d1ev.com(#替換成@)刪除��。
京公網(wǎng)安備
11010502033163號(hào)
