對于電子電氣架構而言,安全考慮是必不可少的,通常來說包含功能安全、預期功能安全、信息安全。下面來分別聊聊每個包含的內容。
1.功能安全
與電子電氣架構相關的功能安全, 指不存在由電子電氣系統功能異常行為引起的危害而造成的不合理風險, 適用于道路車輛上由電子、 電氣和軟件組件組成的安全相關系統的所有活動。功能安全旨在消除由電子電氣系統失效造成的不合理風險, 電子電氣要滿足的功能目標及要達到的功能安全的等級, 決定了電子電器的架構設計或選型。
隨著電子電氣架構技術的不斷升級, 整車越來越多的系統和組件對功能安全產生影響,為此, 功能安全也從部分關鍵系統開發, 向整車各系統全面開發拓展。同時, 由于域集中式、中央集中式等新架構形態的出現, 對功能安全提出了新的技術挑戰, 功能安全必須建立針對這些復雜系統及軟件的開發和測評手段。與此同時, 功能安全技術也影響著電子電氣架構技術的發展, 從傳統的失效安全(fail-safe) 向失效運行(fail-operational) 衍變, 電子電氣架構設計中引入了更多的冗余(如通信冗余、 冗余控制器等) 及安全保障措施(如 E2E 保護) 。未來, 車輛智能化生態的形成, 將促進功能安全技術走出單車, 向全鏈路延伸, 實現整體智能生態的整體安全。
1. 功能安全活動
(1) 功能安全文化與流程建設:功能安全規章制度;組織架構;功能安全相關崗位與職責;
(2) 概念階段功能安全需求分析:系統需求(法規標準、 利益相關方) ;系統運行域(包括文化、 市場、 自然環節) ;系統功能安全需求(SG, FSR, TSR) 等;
(3) 系統設計與集成階段功能安全活動:系統級功能安全要求;功能安全功能分配與功能要求分解;功能安全接口定義;系統集成與功能安全測試;系統集成功能安全評估;
(4) 硬件單元設計與測試:硬件功能安全要求;硬件功能安全分析;硬件技術安全分析;硬件功能安全措施;硬件功能安全測試與驗證;硬件功能安全評估;
(5) 軟件單元設計與測試:軟件功能安全要求;軟件功能安全分析;軟件技術安全分析;軟件功能安全措施(冗余方案、 監測防護) ;軟件功能安全測試與驗證;軟件功能安全評估;
(6) 產品生產與交付:功能安全生產要求;生產過程功能安全評估;產品功能安全評估;產品交付;
(7) 運行階段概念安全功能安全實時監測與防護:功能安全相關故障診斷;功能安全風險實時防護/風險實時最小化策略;
(8) 功能安全管理:配置管理;變更管理;文檔管理;知識管理。
2. 功能安全技術體系:
(1) 研究整車和各關鍵系統的危害行為并進行風險分析, 將危害風險聚類為 n 類, 定義出量化功能安全指標若干, 作為系統和車輛安全目標;
(2) 根據整車量化安全指標要求, 開展關鍵功能/系統安全架構技術研究, 制定功能安全產品策略和方案, 制定量化安全技術需求, 形成功能/系統量化安全需求庫;
(3) 開展安全分析, 將量化安全需求進一步落實到軟硬件安全設計, 建立軟硬件功能安全需求庫;
(4) 針對軟硬件和系統, 分析不同 ASIL 等級的故障模式及測試要求, 建立功能安全測試系統和測試規范, 開展功能安全測試;
(5) 基于軟/硬件在環測試平臺, 實現功能安全驗證和測試, 優化安全門限, 檢驗安全響應, 評估集成效果;
(6) 進行整車安全測試和評估發布, 確保整車實現功能安全。
3. 功能安全關鍵技術:
(1) 整車量化安全開發技術:針對整車危害風險及安全目標, 定義量化指標, 定量衡量整車危害風險行為。
(2) 安全架構設計及量化安全需求開發技術:根據安全指標和產品方案, 設計整車及系統安全架構方案, 分配安全指標, 并開發量化安全需求, 實現對整車指標的具體化和客觀化實現。
(3) 安全分析和軟硬件基礎安全需求開發技術:開展 FMEA、 FTA、 FMEDA 等安全分析, 識別軟硬件故障及風險, 制定應對機制和措施, 完成軟硬件基礎安全需求開發及詳細設計實現。
(4) 故障注入測試技術:通過故障模擬手段, 準確模擬電子電氣系統、 組件及軟件安全相關故障, 開展各層級測試, 檢驗相關安全機制的有效性。
(5) 功能安全臺架測試技術:基于軟硬件在環測試臺架, 開展功能安全仿真和集成測試,檢驗相關安全機制、 安全響應及集成效果。
(6) 功能安全整車測試和評估技術:開展不同場景下的整車驗證及確認測試, 基于相關測試及開發成果, 評估功能安全的整體實現, 完成量產發布。
2.預期功能安全
電子電氣架構相關的預期功能安全(SOTIF) , 指不存在由預期功能或其功能實現的不足引起的危害而導致不合理的風險。根據自動駕駛功能及其運行設計域, 分析滿足預期功能安全要求的系統配置方案, 基于系統配置方案確定或選擇合適的電子電氣架構方案。
1. 預期功能安全活動
(1) 預期功能安全文化與流程建設;
(2) 預期功能安全需求分析:系統需求分析(標準法規要求、 目標市場需求、利益相關者分析) ;系統功能定義(功能、 環境、 交互) ;系統預期功能安全分析(SOTIF 場景、 功能不足與人員誤用、 SOTIF-HARA, SOTIF-Criteria, SOTIF-SG) ;
(3) 預期功能安全系統設計、 集成與測試:預期功能安全功能分配與安全要求分解;系統級預期功能安全分析與系統方案細化;
(4) 預期功能安全部件和算法級設計、 測試:部件功能不足與算法缺陷分析;部件與算法預期功能安全測試;
(5) 預期功能安全相關產品生產與交付;
(6) 運行階段概念預期功能安全實時監測與防護:預期功能安全實時監測;預期功能安全實時防護/風險最小化策略;
(7) 系統預期功能安全優化與升級;
(8) 預期功能安全管理:配置管理、 知識管理等。
2. 預期功能安全技術體系
(1) 通過定義自動駕駛安全接受準則, 作為自動駕駛產品開發的首要安全目標, 指導相關安全需求的制定;
(2) 基于自動駕駛功能方案及場景, 分析潛在的功能不足、 性能局限、 環境干擾、 人員誤用等安全相關因素, 制定應對措施和需求, 改進產品設計;
(3) 針對開發的產品, 開展仿真測試、 定場景測試和道路測試, 全面檢驗產品安全表現;
4) 基于相關安全準則、 產品設計、 安全分析和測試結果, 制定預期功能安全檔案, 開展 GSN 論證, 評價自動駕駛產品的安全風險, 完成預期功能安全發布;
(5) 針對量產后的自動駕駛產品, 開展運行過程的安全風險監測, 對于識別出的不合理風險, 啟動風險控制措施, 確保自動駕駛的運行安全。
3. 預期功能安全關鍵技術:
(1) 自動駕駛安全準則制定技術:針對自動駕駛已知場景和未知場景下的安全表現, 制定客觀量化準則, 科學判定自動駕駛的安全水平。
(2) 安全分析技術:通過 STPA(系統理論過程分析) 等安全分析手段, 識別自動駕駛安全相關功能不足、 性能局限及危害觸發條件, 制定針對性措施, 開展功能更新。
(3) 多支柱法測試技術:由仿真測試、 定場景測試和真實道路測試組成的自動駕駛預期功能安全測試體系。
(4) 安全論證技術:基于安全開發、 分析、 測試等結果, 制定預期功能安全檔案策略,通過 GSN 等論證手段, 評估自動駕駛安全風險, 完成預期功能安全發布;
(5) 安全監控技術:通過車載和遠程手段, 監測自動駕駛運行過程中的安全表現, 識別安全風險并開展必要的風險控制措施, 以確保自動駕駛運行安全。
3.信息安全
智能聯網生態系統是車內網、 車際網和車載移動互聯網三大部分組成, 只有全面理解智能網聯汽車的生態系統, 才能真正理解汽車行業面臨的安全挑戰和風險。
到 2025 年, 智能聯網汽車將占全球汽車市場的近 86%, 從而為黑客帶來許多易受攻擊的威脅點。網絡攻擊和數據泄露事件將對汽車行業構成嚴重風險, 因為它們直接影響駕駛員安全、 數據隱私和服務連續性。
隨著世界首部歐洲 WP29 R155 的汽車強制實施準入法規于 2021 年 1 月 22 日生效, 新車型于 2022 年 7 月 6 日起強制實施, 在產車型于 2024 年 7 月 6 日起實施。銷往歐洲/日本/韓國市場的車型需要獲取 CSMS(Cybersecurity Management System)認證和 VTA(Vehicle Type Approval) 認證后方可在當地注冊和銷售。另外, 中央網信辦牽頭的“汽車安全管理若干規定(試行) ”(“規定”) 于 2021 年 10 月 1 日正式施行, 新上市的汽車須符合“規定”中的數據安全要求。各大整車企業都根據各個強制標準的要求, 紛紛積極地應對及整改合規。與此同時,國家信息安全強制性標準、 推薦標準以及各種團體標準都在積極制定當中。國內整車企業也在積極地逐步部署全面的數據安全防護體系。
數據安全防護體系包括了威脅分析與風險評估以及數據安全管理體系和技術體系建設,如下圖。
1. 威脅分析與風險評估技術
面對快速演進的汽車電子電氣架構和不斷豐富的智能化功能及場景, 將信息安全納入整車全生命周期, 從概念設計、 開發驗證到售后維保直至最終報廢的各階段, 予以全面充分考慮, 已在行業內達成普遍共識。其中, 威脅分析與風險評估(TARA) 作為智能網聯汽車信息安全功能設計、 開發與測試的前提基礎, 在 ISO/SAE 21434 等國際標準和最佳實踐中被視為必不可少的關鍵關節。通過對整車電子電氣架構、 系統功能和零部件級中需要保護的資產、資產面臨的威脅和風險的識別評估, 形成整車或零部件的信息安全需求和目標。
綜合國內外主流信息安全威脅分析與風險評估方法, 目前面向汽車領域的 TARA 一般過程主要包括資產識別、 影響場景識別及影響評級、 威脅場景識別及攻擊可行性分析、 風險值計算及處置決議。
(1) 資產識別
識別汽車系統中需要保護的資產是開展 TARA 分析的基礎。首先進行相關項定義(ItemDefinition) , 其目的是了解分析對象, 清晰地描述與網絡安全相關的業務或功能, 包括相關項的組件、 具體物理位置、 詳細功能及應用場景、 操作環境及限制、 關聯項、 需滿足的法規標準等。然后明確數據流向, 把相關項中每個功能用到的數據及實體流向進行標識, 形成數據流圖(Data Flow Diagram) 。基于上述工作, 識別數據流圖中需保護的安全資產并進行標識。
汽車系統的網絡安全相關業務或功能主要包括:運動控制模塊和具有汽車安全完整性等級(ASIL)的模塊、 與駕駛員或乘客或潛在敏感信息(如位置數據)相關數據、 內部連接(CAN、以太網、 MOST、 TCP/IP 等) 、 外部連接(后端服務器的功能接口、 蜂窩通信網絡、 車載診斷 OBD-II 接口等) 、 無線連接傳感器或執行器(如遙控門鎖 RKE、 近場通信 NFC、 輪胎壓力監測系統 TPMS 等) 。
汽車需要保護的資產由內而外主要包括:車載電子組件, 如 ECU、 傳感器、 執行器等,以及它們之間的連接;車載網關;車輛與外部環境連接的接口設備、 外部感知部件等。從資產的表現形式, 可以分為數據、 軟件、 硬件、 服務等, 而從需要保護的業務過程和活動、 所關注信息的角度, 資產類型可包括基于 ECU 的控制功能、 與特定車輛相關的信息、 車輛狀態信息、 用戶信息、 配置信息、 特定的軟件、 內容等。
(2) 影響場景識別及影響評級
基于對資產識別的結果, 首先明確與已識別資產相關的安全威脅, 以及威脅與安全屬性的映射關系, 即確定資產上下文中的特定威脅會影響哪些安全屬性。
威脅與安全屬性之間的映射關系的確認目前主要采用的是 STRIDE 規則, 一種最初由微軟提出的結構化、 定性的安全方法, 用于在軟件系統中發現和枚舉威脅, 目前已擴展適用到汽車電子電氣領域。STRIDE 規則將威脅的類型分為 6 大類, 即仿冒、 篡改、 抵賴、 信息泄露、 拒絕服務、 特權提升, 并將它們與影響的安全屬性:即真實性、 完整性、 機密性、 可用性、 時效性、 防抵賴等進行對應, 具體對應關系如下表。
基于威脅將會影響的安全屬性映射關系, 分析安全屬性破壞會造成的危害, 即危害場景分析, 從 S(人身安全) F(財產) O(功能) P(隱私) 四個方面進行判斷, 企業也可以定義新的類別, 要有合理的判斷依據及理由, 并同步到整個供應鏈, 達成共識。對利益相關方的潛在不利影響進行評級, 計算影響等級。
(3) 威脅場景識別及攻擊可行性分析
依據資產識別和影響場景的分析, 具體分析通過采取什么行為破壞某資產對應的哪個安全屬性, 最終導致什么樣的后果。在描述威脅場景時, 應具體描述資產、 影響場景、 攻擊方法、 攻擊面之間的關聯關系, 羅列所有相關項已識別資產涉及到的威脅場景。
結合攻擊者的動機與識別出的系統用例, 分析對汽車電子系統可能的攻擊。可結合攻擊樹方法對攻擊場景進行分析, 描繪出攻擊路徑, 可以識別出針對具體資產的具體攻擊手段。
針對每一條攻擊路徑, 完成攻擊耗時、 攻擊者需要具備的專業知識、 獲取知識的難易程度、 攻擊成功的可能性、 是否需要依賴特殊設備器材等維度, 計算出攻擊潛力值, 評估得出攻擊可行性等級。
(4) 風險值計算及處置決議
綜合威脅產生的危害影響程度和攻擊成功的可行性程度, 計算確定被評估資產對象在不同威脅場景下的安全風險水平。一般可通過已經分析得出的攻擊可行性等級和影響等級對照風險值計算矩陣表, 對應相應的安全等級。或者通過風險計算公式, 計算得到該威脅場景的風險值, 對應計算出安全等級。
基于各項資產的安全風險等級評估結果, 項目開發周期和資源的投入, 制定相應的風險處置策略, 包括規避風險、 減輕風險、 轉移風險、 接受風險等。通過移除風險源實現規避風險, 通過定義相關功能、 組件及產品的網絡安全目標和需求實現減輕風險。對于風險處置策略不是規避或降低風險, 而是選擇接受或轉移的情況, 進行安全聲明, 表明轉移風險或保留風險的前提條件及約束條件。
2. 基于新型電子電氣架構的安全技術
智能網聯汽車的車輛端、 通信管道、 云平臺以及移動應用均面臨一系列的信息安全威脅。從汽車網絡空間維度出發, 通過多重技術協同、 不同手段互補、 從外到內多層次部署安全防線, 滿足車輛信息安全防護的縱深性、 均衡性、 完整性的要求。同時應對新一代車輛電子電氣架構的需求, 從網聯安全、 內網安全、 ECU 安全角度實施部署相應防護措施。
(1) 網聯安全
網聯接入層主要抵御針對以太網的 DOS、 PING 類型、 畸形報文、 掃描爆破、 欺騙、 木馬等網絡攻擊。需要具備車云聯動機制的主動安全防護能力, 可通過云端系統實時配置防護策略, 主要包括接入認證機制、 通信保護機制、 以太網防火墻機制和入侵檢測與防御(IDPS)機制。
1) 接入認證機制
對 TSP 遠程管理、 OTA 升級、 藍牙鑰匙等關鍵服務, 對請求獲取汽車數據訪問、 操作權限的用戶、 設備、 系統等主體進行身份認證, 防范數據非法獲取風險。主要技術手段包括SSL/TLS、 身份證書、 RADIUS 認證協議、 公鑰認證機制等。
2) 通信保護機制
對關鍵業務或傳輸的關鍵數據進行加密、 數據校驗等保護。技術手段包括數據加密、 數據簽名等。
3) 以太網防火墻機制
基于規則, 對以太網傳輸內容進行過濾控制, 如源/目的 IP、 端口訪問控制、 黑白名單策略、 MACIPURL 地址過濾。主要技術手段包括 iptables, netfilter 等。
4) 入侵檢測與防御(IDPS) 機制
針對對外的網聯網絡(以太網) , 車端部署檢測網絡傳輸層攻擊威脅、 檢測會話表示應用層異常流量、 與防火墻聯動防御、 安全事件采集上傳、 防御策略動態更新等技術能力。云端方面, 建設安全實時監控、 威脅態勢呈現、 數據統計與分析、 防護策略編排等技術能力。
(2) 內網安全
車輛內網安全主要抵御針對車載 CANCANFD、 車載以太網的攻擊入侵, 包括報文監聽、錯誤注入、 報文重放等攻擊。通過部署總線入侵檢測機制、 內網防火墻機制、 功能域隔離機制、 總線通信保護機制和診斷安全保護機制加以防護。
1) 總線入侵檢測機制
基于 DBC 導出和自定義規則, 對總線數據的 ID 錯誤、 DLC 錯誤、 報文序列、 周期異常、總線負載異常等進行檢測。針對 CAN 總線的入侵檢測技術包括輕量級的時間間隔分析、 基于信息熵的閾值計算與檢測、 基于 CART 決策樹模型的閾值判斷與檢測等。針對車載以太網的入侵檢測一般通過內置在以太網交換機中的汽車防火墻/IDS 解決方案跟蹤所有以太網通信, 檢查狀態數據包和深度數據包, 可以涵蓋 SOME/IP, DoIP 等常用車載以太網協議。
2) 以太網防火墻機制
針對車內以太網交換的數據進行傳輸控制, 車載通信架構中引入防火墻, 在整車架構外圍及各安全域層之間進行監控隔離, 根據既定的安全策略(如黑/白名單) 對通信通路進行可靠性管理, 僅允許合法可靠的節點及用戶進行數據傳輸交互, 實現防御拒絕服務攻擊(DoS)、訪問控制和阻隔非法通信。技術手段包括源/目的 IP、 端口訪問控制、 黑白名單策略、 MACIP地址過濾或限制、 跨域通信數據檢查、 基于 TSN 協議的內網流量控制。
3) 功能域隔離機制
以太網總線架構下, 按不同域的功能劃分不同的網絡域, 網絡隔離可使用 VLAN 技術,將物理連接在邏輯上以虛擬化的方式劃分為多個廣播域, VLAN 間不能直接通信, 將廣播報文限制在一個 VLAN 內, 避免一個域內發生危害擴散到其他域中。
4) 總線通信保護機制
基于 CANCANFD 總線信息安全防護目前主流采用的是 AUTOSAR 組織制定并實現的SecOC(Secure Onboard Communication, 車載安全通信) 。SecOC 增加加解密運算、 密鑰管理、 新鮮度值管理和分發等功能, 主要采用基于帶有消息認證碼(MAC) 的數據身份驗證和基于 Freshness(新鮮性) 的防重放攻擊等手段實現數據的真實性和完整性的校驗。車載以太網通信中, 通過 TLS、 IPSec、 MACSec、 DDS 等協議分別在傳輸層、 網絡層、 數據鏈路層進行認證、 簽名、 加密、 解密等。此外, 通過部署總線輕量化 SDK, 將普通應用幀的數據場進行安全處理, 實現總線數據輕量化加密。
5) 診斷安全保護機制
針對車輛診斷場景, 對物理 OBD 和遠程診斷提供接入身份的合法性驗證, 對核心的診斷數據傳輸進行加密處理, 和診斷防火墻配合對診斷場景、 數據進行合規檢查。與傳統車輛診斷方式比較, 保證診斷服務由域控代理, 以防止數據透傳。
3.關鍵 ECU 安全
為確保車輛系統或關鍵數據不被破壞, 業務應用可管可控。在車輛關鍵 ECU 層面需具備安全啟動、 關鍵數據安全存儲、 系統安全運行的安全能力, 并可為應用運行提供權限管理能力。
1) 安全啟動機制
車內自身嵌入無法被修改的信任根作為整車的信任源, 并由此通過安全啟動, 前一個部件驗證后一個部件的數字簽名, 驗證通過后運行后一個部件。通過對系統和應用軟件的逐級驗證, 構建整車的信任鏈。基于 SHE、 HSM 等安全模塊, 實現系統的安全啟動功能, 保證FLASH 的程序引導區、 程序區域不被破壞、 刷寫、 盜取。
2) 安全運行機制
基于 TEE 可信計算環境, 即 CPU 內與主操作系統并行且獨立運行的安全區域, 通過軟硬件結合機制隔離安全區域中的可信操作系統和可信應用, 不受主操作系統中的用戶態進程影響, 實現系統的關鍵程序運行環境安全, 保證需要保護的運行對象的可鑒別性、 完整性和私密性。
3) 安全存儲機制
針對有安全防護需求的車輛數據進行加密存儲。數據加密中需考慮加密算法選擇(對稱加密和非對稱加密算法) 、 加密范圍、 加密強度設置、 密鑰粒度選擇、 分層密鑰管理以及基于 PKI 體系的密鑰分發方式等。面向新一代 EEA 的安全需求, 基于芯片提供的 OTP, 或SHEHSM 的安全存儲能力, 實現系統關鍵數據(身份、 密鑰等關鍵信息) 的安全存儲, 保證系統的關鍵數據不被盜取、 破壞、 改寫。
4) 應用權限管控機制
對系統運行的上層或第三方業務進行統一身份認證(IAM) , 對其可訪問的資源進行權限管理, 避免未知應用異常啟動、 應用越權操作系統資源等問題發生。重點考慮訪問控制策略和授權策略, 設置不同級別的權限規則, 規則應能夠根據安全需求進行動態調整。設置相應的授權策略保證合法訪問端獲得數據資源的訪問權限。
-
汽車電子
+關注
關注
3026文章
7955瀏覽量
167040 -
數據
+關注
關注
8文章
7030瀏覽量
89035 -
自動駕駛
+關注
關注
784文章
13812瀏覽量
166457
原文標題:電子電氣架構相關安全體系
文章出處:【微信號:eng2mot,微信公眾號:汽車ECU開發】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論