ECU安全机制介绍

ECU安全机制介绍1.纵深防御架构因此讲整车的信息安全架构，在充分做好TARA的前提下，再综合考虑各ECU的资 源情况、每个ECU对Safety的影响情况以及成本允许的情况下选择合适的安全架 构。安全架构要体现每个ECU上部署的安全机制，各安全机制之间又是如何进行安 全通信和协作。不能简单和孤立的看单个ECU的安全能力。新冠病毒每次在国内传 播的疫情分析看，也可以发现类似情况：病毒（黑客）总是从整个国家防疫体系最 薄弱的环节（漏洞）开始侵入，再辐射到其他地区。可见纵深防御是核心的安全理 念，见图1。SecLtre vehiele JT IeiFraslrudLie52urecommijnicartiortE/E -arc hi tertur a oenboand coffhti Linica.Tii ECU图1： “纵深防御”包括从微控制器到基础设施的各个层次的车辆架构和通信的安全措施Source: security 后续我们将按照上图介绍的框架分若干系列进行介绍，本周介绍 ECU的安全机制。 下面按照AP和CP来简单介绍一下其相应的采用较多的安全机制。2. CP安全机制介绍iptcaticnRTE图2： vector标准软件栈(红色部分为security相关的组件)source : cybersecur计y/#c2920CSM:密码服务管理器(Crypto Service Manager):o访问加密服务o配置用于执行服务的加密服务和算o同步或异步执行的配置o安全计数器的配置o对加密密钥的操作配置 o配置证书操作 CRYIF:密码算法接口 (Interface for cryptographic algorithms)Crylf模块使使用CSM基于硬件和基于软件的加密解决方案成为可能。必要的分配方案由加密接口管理。CRYIF模块为不同的加密解决方案提供了统一的接口，例如： o基于软件的算法实现，由Crypto (SW)模块提供o基于硬件的加密功能，由安全硬件扩展(SHE)或硬件安全模块(HSM)通过加密(HW)模块实现。 Crypto (HW)Crypto (HW)模块作为访问安全算法和函数的驱动程序，通过硬件信任锚(HTA)提供。有不同的HTA类型，如安全硬件扩展(SHE)和硬件安全模块(HSM)。 SecOC:安全通信(Secure Onboard Communication )SecOC模块，也称为身份验证消息，用于验证两个ecu之间的通信。这种验证可以 防止第三方注入或仿冒正确的通信伙伴。SecOC与PDU路由器进行交互。这种交互可以由应用程序控制。该模块提供以下功 能：o通过认证和完整性保护PDU的传输。o使用消息认证码(MAC)进行认证。消息身份验证码的实际生成和验证由CSM执行。o防止重放攻击。这里使用了一个计数器“新鲜度值”。它由一个独立组件生成，即新鲜度值管理器(FVM)。支持不同的方法来生成新鲜度值。ReceiverSee urii:尸 MonagerIMACverificationFreshness*-iiAifthcritic l-PDU* 1!AiiiMniic kPDUSeure AuEhdntiC I PDLJJcvjscSecured l-PDUResuh:女图3：为了模拟和测试secoc安全通信，安全管理器生成（左）并验证（右）消息验证码（MACs）Source: cybersecurity/#c66952TLS: TLS客户端，用于在以太网上进行安全通信此模块包含传输层安全客户端。使用vTls对基于TCP的协议的通信进行加密。vtls （Client）的使用仅限于智能充电用例。对于TCP/ UDP级别上的安全客户端-服务器通 信，使用TLS协议（传输层安全）。安全管理器为以太网通信提供TLS协议栈。这允 许工具方便地使用协议（包括参数化）来测试由TLS保护的通信。除了所需的证书层 次结构外，还可以配置要使用的密码套件。这些包含用于建立安全数据连接的算法 和参数。见图4.TL& ClientTUS图4： TLS握手示意图IPSec:Internet 协议安全(IPSec)附加的vlpSec允许根据IETF RfC 4301建立IPsec通信。根据RfC 4302，功能被限 制在传输模式和Authentication Header的使用。身份验证头将数据完整性和数据验 证添加到有效载荷，但不允许保密。通过这种方式，您可以实现经典的保护目标，如机密性、真实性和完整性。通过对 IP层的保护，实现了以上各层的保护目标。IPsec协议的使用实现了对一些/IP、 DoIP、TLS和HTTP等较高层协议的透明保护。Security Manager提供了一个包含 IPsec协议中最重要元素的IPsec堆栈：o在传输模式中使用“认证头”安全方法全面保护以太网通信o实现IKEv2协议(Internet Key Exchange v2)，为基于证书的会话灵活、安全地生成 密钥材料。除了提供协议栈之外，Security Manager还支持IPsec协议的全面配置。安全配置文 件用于此目的，它结合了所有必要的配置参数。其中包括密码套件、证书和安全策 略。Ordinal TCP/LiDFOflQlnolIP hinderAuthentitiaiTCP/WDP Hrod&rDotac.-微肯寻I匚注笙图5： CANoe支持对ecu和以ipsec保护方式通信的网络进行测试Source:cybersecurity/#c66952vXMLSecurity :XML 安全此模块用于生成或验证XML签名，这些签名将附加到基于 W3C XML安全标准的 exi编码的数据中。根据ISO 15118，当使用“Plug and Charge时，这个功能是必需 的。ETHFW:静态的以太网报文过滤防火墙（见图6）图6: Vector Eth协议栈（包括防火墙模块） SEM:安全事件内存(Security Event Memory )用于安全事件的防篡改保存KEYM: AUTOSAR密钥管理器KeyM用于管理和分发加密材料，如对称和不对称密钥和证书。Key Manager提供基 于可配置规则的解析和验证证书的功能。它使用CSM接口来存储证书和执行加密操 作。o通过诊断例程接收新的加密材料(密钥、证书)o验证密码材料的真实性、完整性和新鲜度o提供与业务逻辑集成的调用，用于不同典型的关键生命周期阶段(生产、初始化、更新、修复、替换)o支持SecOCo支持共享密钥的安全分发o 记录安全事件到 SEM (security event memory)。svsCOHLCM图 7： AutoSAR KeyM 上下文Source:_Automotive_Cyber_Security.pdfKeyM自身又由两个组件组成：Crypto Key和Certificates,分别管理密钥和证书，见 图8.图 8: AutoSAR KeyM 组件Source:_Automotive_Cyber_Security.pdf 安全诊断:AUTOSAR支持在安全内存中记录IT安全事件。它还监控通过UDS服务0x27 (SecurityAccess)和0x29 (Authentication)的授权访问数 据。例如，诊断测试设备只有在以前执行过质询-响应通信或使用证书对自身进行身 份验证时才能访问已记录的安全事件。3. AP安全机制介绍AP上的重要特征是软件服务化，软件服务化导致组件之间的通信是动态的，组件可 以根据需要动态订阅或者取消其他组件提供服务。另外一个特征是较多的不同信任 级别的服务运行在相同的芯片里，这就要求芯片具有很强的隔离能力。AUTOSAR自适应平台使动态适应应用软件成为可能，并使用 AUTOSAR Runtime for Adaptive Applications (ARA) 接口与基于posix的操作系统(如Linux)建立连接(图 9)。为了确保来自不同厂商和不同ASIL类别的软件在VC (vehicle computers )上 安全运行，管理程序用于预配置分区。RfTEkr lUnmIAK ctev HECU Firewalltai-VehicleMftmarkiraat Detect Inn迸:劎信寻心応孔图13: Argus ECU安全机制示意图图片来源： https:/argus-4.5软件保护（白盒密码技术）当设备部署到黑客手中时，保护设备的难度要大几个数量级。对设备具有物理访问 权限的坚定黑客可以做很多事情来获得超级用户访问权限并危及系统安全：提取固 件映像、逆向工程软件、重新激活调试软件等。历史上充斥着成功入侵设备的例 子一一从网络路由器到医疗设备，再到信用卡系统、远程信息处理单元和整车。普 遍存在的软件安全威胁包括逆向工程、软件篡改、复制/克隆和自动攻击。针对这些 威胁的成功安全策略是多维方法一一数据安全、网络/API安全和软件保护。软件保护往往成为最后也是最关键的防线。软件保护是一套先进的网络安全技术、库和工具，使用户能够自定义对其关键数字 资产（例如密钥、代码和数据）的保护。该产品对于需要最佳可更新软件安全性的 安全精明的组织特别有用。软件保护的安全技术通过复杂的数据、功能和控制流转 换、反调试、白盒密码术提供应用程序保护，以及主动完整性验证。软件保护将这 些安全技术直接集成到客户的软件构建过程中，在源代码级别工作，还具有互补 的、特定于平台的二进制保护，以确保在不影响易用性的情况下实现最高级别的软 件保护和快速部署。关于白盒密码的介绍请阅读附件3.通常适合保护知识产权的场 景。4.6基于硬件辅助的安全机制基于硬件辅助的安全机制比较多，请参考青骥文章（谈谈汽车芯片信息安全）5. 总结ECU相关的安全机制除了本文的基本介绍外，还有许多其他创新的安全机制，本文 难以详尽，后续作者再继续撰文介绍。