汽车跨域安全框架

确保下一代汽车计算机的安全性、灵活性与可扩展性 Empowering Tomorrow’sAutomotive Softwarewww.etas.cn 摘要 本白皮书提出了一种“汽车跨域安全”框架，该框架通过定义严格分隔的通信通道来建立不同的域。我们的方法确保各功能模块既能独立运行，又能相互连接，类似于企业网络中的不同站点，从而为下一代汽车应用提供安全且灵活的架构。我们详细解析了该方法在向软件定义汽车（SDV）演进过程中的结构，强调了如何降低未经授权访问带来的风险。此外，我们通过真实车辆计算机的攻击案例，展示了可信执行环境（TEE）与硬件安全模块（HSM）结合使用的实际优势。本文进一步阐述了如何利用“汽车跨域安全”框架建立零信任（Zero Trust）模式，以实现完全安全的未来车载计算机。 1.引言 汽车行业的发展愿景已经明确：不久的将来，车队将由软件定义的汽车（SDV）组成，这些汽车能够在整个生命周期内通过应用程序和服务的更新不断演进。对于制造商而言，这意味着在高度竞争的市场环境中，他们需要在极短的创新周期内推出新功能，同时满足所有（网络）安全要求。在SDV的核心部件——车载计算机上，这种安全与创新速度之间的平衡尤为重要。其目标是构建一个系统，使动态适配变得轻松，无需繁琐的集成或编程工作，同时确保安全性。 应对不断增长的外部网络安全威胁不仅是汽车行业面临的独特挑战。在数字化快速推进的任何行业，如何在复杂系统中建立高灵活性和互联性，同时维护功能完整性，都是一个关键议题。因此，我们可以借鉴其他领域的成熟解决方案。例如，企业IT架构已经建立了跨域解决方案（Cross-Domain Solutions,CDS）的安全原则。通过将这些经验应用到车载计算机，我们提出了“汽车跨域安全”框架。该框架通过严格隔离通信通道，并对安全相关功能进行隔离，确保汽车安全性。 2.车载计算机安全的挑战 这要求新的软件架构在简化软件开发、部署和运行的同时，仍然保持高水平的用户安全性和系统可靠性。车载计算机作为各种车辆功能的集中控制点，标志着迈向更加软件定义的未来。然而，这也带来了挑战。汽车制造商必须在确保适当安全措施和高灵活性的同时，应对不断增长的网络安全威胁。许多汽车行业的参与者正在这里开辟新天地。这值得跳出固有思维，采用成功的方法，而不是重新发明轮子。 在传统的汽车软件开发中，工程过程相对独立于应用程序的范围和深度。然而，无论如何都需要进行测试以检查所有车辆功能的完整性，即确保即使是看似无害的应用程序也不会触发可能危及驾驶员安全或成为恶意软件入口的故障。随着外部访问通道和请求的不断增加，车辆面临的风险越来越多，维护车辆整体安全所需的努力呈指数级增长。 您想了解更多关于汽车行业的网络安全吗？我们的白皮书《汽车网络安全全解析》是一本全面指南，应对高度动态变化的汽车网络安全领域，深入探讨车辆制造商面临的主要挑战和机遇。 3.安全相关功能 当谈到车辆中的安全相关功能时，首先想到的是制动功能、发动机管理、安全气囊等。尽管在向SDV发展的过程中，车辆架构发生了变化，但这些高度安全关键的组件通常仍然通过单独的电子控制单元（ECU）进行控制，而不是作为车载计算机域的一部分。然而，一系列直接影响这些安全组件的功能和信号将 不可避免地转移到车载计算机中。这从传感器技术的控制和处理开始，到影响驾驶的复杂功能，如障碍物检测（或ADAS）或电子稳定控制（ESC）。在本文中讨论安全相关功能时，我们指的是这一大类部分新出现的功能，它们与娱乐、舒适性和连接性功能一起托管在车载计算机上。 4.借鉴企业IT安全经验 好消息是，汽车行业并不是第一个面临在复杂且日益互联的系统中平衡灵活性与安全挑战的行业。能源、金融和医疗保健等关键行业也面临着不断扩展的IT环境，并设有不同安全级别的系统。例如，能源公司可能拥有控制电网运营的内部网络（敏感数据）和面向客户服务的外部网络（较不敏感的数据）。他们的跨域方法包括使用虚拟化原则将复杂系统拆分为隔离单元，在控制功能域内部署实时威胁检测和防御机制，如图1所示。 操作数据在保护状态下仍能实现外部通信，例如通过互联网与不同数据源进行双向数据流交互。这些行业参与者已经走上了这条道路，并找到了应对不断增长的网络安全威胁的方法。 单个车辆必须被视为一个复杂的企业网络。它具有许多内部相互连接以及与外部来源连接的域。因此，上述原则可以应用于车辆软件中——同时牢记，尽管数字化程度不断提高，车辆始终是一种旨在运输人员的机械设备。因此，所有道路使用者的安全始终是首要任务。 该跨域方法使他们能够管理不同域之间的安全访问和数据传输。 5.将学习成果应用于车载计算机 为了在汽车行业采用跨域方法，我们既引用了基本模式，也采用了使用额外域进行管理和连接的概念。其结果是建立了“汽车跨域安全”框架，该框架通过虚拟机(VM)2与应用程序之间的虚拟网络通道，实现差异化和本地化的安全响应。这种方法能够实现不同域的无缝连接，并支持SDV（软件定义汽车）软件架构内的灵活软件部署。 通过对域进行隔离并针对其特定需求制定防护策略，可以有效降低风险。我们提出的车辆专属方法（见图2）包括四个域。 安全域作为所有通信的网关。它包含强大的安全措施，包括专用VM、硬件安全模块和可信执行环境。此外，该域内的通信通过防火墙系统和入侵检测机制进行严格分析。安全域拥有系统配置和策略的独家权限，利用可信执行环境等技术确保与常规操作的分离。这种设置使车载计算机能够实施主动预防机制，从而减少对外部安全运营中心的依赖，并在修复可用之前遏制攻击。 质量管理（QM）静态域用于非安全关键但必不可少的功能。在这里，检测到操纵可能会提示停止VM，随后启动一个备用VM。为了遏制攻击，正在进行的服务数据不会传输到备用VM，这相当于服务重置。此外，可以建立一个连接有限的备用VM，以防止攻击的轻松复制，同时保留基本的QM功能，例如与信息娱乐系统相关的功能。 QM按需域促进不需要可用性的其余服务，以及边缘计算和实际按需功能等高级功能。它可以被挂起，导致所有服务终止。虽然这不可避免地影响用户体验，但在操纵情况下，这是一个必要的权衡。 安全域包含第3章中定义的所有安全相关功能。它是持续可用的，因此除了减少活动通信通道的数量外，不直接在虚拟机上保留干预能力。 6.深入探讨：安全域 安全域在跨域方法中发挥着关键作用，因为它承载着重要的安全组件。它负责管理访问和更新策略，并可能监督整个平台。各个域通过星型拓扑的虚拟网络连接，如图3所示，安全域位于中心位置。这确保了从质量管理（QM）设备流向安全域 （或反向流动）的数据必须经过此“虚拟网关”。多种安全机制可以应用于这些流量控制，从简单的防火墙到深度数据包检查，再到完整的协议隔离器。所有这些机制都会向中央的基于主机的入侵检测系统（HIDS）报告安全状况。 这种方法确保获得足够的安全级别以保护安全域。然而，所需的计算开销可能很大。安全域通常需要快速响应时间（例如在CAN总线上操作），具有低延迟——通常在10到20微秒范围内，并且需要实时执行。为了保证安全操作的服务质量，硬件安全模块（HSM）可以专门与安全域关联。然而，它在逻辑上由安全域管理，安全域负责分发和更新存储在其内的密钥。 这使得TEE能够利用CPU的所有功能——从多个高性能核心到大地址空间和外围设备访问。在许多方面，TEE可以被视为另一个VM，尽管具有硬件隔离，形式为单独的处理器状态和寄存器，以及在CPU和总线上的隔离内存。 我们设想安全核心使用TEE执行其许多功能。例如，与软件更新或域间通信相关的策略评估可以完全在TEE内进行，以限制攻击者的访问。同样，TEE可以存储大量数据，从而实现复杂的密钥轮换和访问策略，同时为审计日志或崩溃数据提供受保护的存储。这种架构提供了显著的灵活性，甚至允许在HSM和TEE之间分配安全敏感任务。运行在QM静态或QM按需域中的应用程序可以被授予访问TEE中特定应用程序的权限，以直接访问其自己的安全功能，例如解码DRM保护的视频。 虽然安全域本身是一个常规VM，但它可能会利用一系列支持技术。HSM核心在汽车行业中广为人知，并提供强大的、经过安全认证的加密功能。可信执行环境（TEE）3可以提供类似的加密功能。然而，其优势在于其灵活性。HSM核心是系统芯片（SoC）设计中的硬件核心。TEE则是软件操作系统和现代中央处理器（CPU）硬件安全功能的结合。 最后，所提出的域分割和安全技术（HSM、TEE和虚拟机管理程序）允许用户构建一个零信任平台，该平台... ...在服务级别建立身份验证、机密性和/或完整性保护，特别是利用虚拟网络通道。 ...保护安全关键资产，并通过HSM确保访问仅限仅限于必要范围。 ...通过入侵检测系统（IDS）监控整个系统的流量和状态。 ...通过TEE和虚拟机管理程序保护访问和管理权限。 7.实际场景的用例 为了说明该框架的优势，我们选择了一个特别强调该方法在IT行业起源的示例。拒绝服务（DoS）攻击是一种相当常见的网络威胁类型，旨在通过向设备发送大量流量使其无法供用户使用并无法维持其功能。无论是IT专家还是小型网站的操作员，每个与网络打交道的人都熟悉这种类型的攻击，现在它也成为了汽车行业日益增长的挑战。 或无法在正确的时间执行，从而有效地将其与车辆中的其余ECU隔离。 如图4所示，我们假设攻击者能够接管VM3中的应用程序（例如远程信息处理服务），但攻击的实际目标是VM2中的功能。换句话说，攻击者需要从VM3升级到VM2。这里的特别之处在于：不需要进一步的漏洞来实现这种升级。攻击依赖于VM2和VM3都具有合法访问HSM的权限。在此示例中，VM2中的功能将依赖HSM进行安全的车载通信（例如防盗功能或任何其他影响驾驶相关功能的信号）。由于VM3具有合法访问HSM的权限，它只需发送大量请求，使VM2无法执行安全的车载通信， 为了构建我们的跨域安全系统，我们使用图5中所示的设置。在我们的示例中，QNX虚拟机管理程序使用主虚拟机（VM0）。由于它对客户VM具有完全控制权，VM0用于安全域。它分配了一个专用的CPU核心，使所有流量能够通过安全解决方案进行路由和检查。使用专用的虚拟Host2Guest网络接口，包含远程信息处理服务的QM VM（VM3）以及包含防盗功能的安全VM（VM2）连接到安全域。重启 此外，CDS可以阻止远程信息处理服务的外部网络端口。如果受攻击的服务已知，这种设置可以在网络级别对攻击做出反应。 VM2和VM3都具有访问HSM的权限。通过引入TEE将VM3连接到HSM，所有对HSM的访问请求都可以报告给VM0中的中央IDS，从而轻松检测到DOS攻击。此外，TEE能够强制执行访问策略，例如限制访问速率或完全禁止访问。换句话说，这种设置使我们能够在服务级别对攻击做出反应。其优势在于高精度和对整体功能的有限影响。然而，这需要理解和配置所有可能的攻击场景，这是无法实现的。 我们假设攻击是通过VM3上的随机应用程序进行的。图4显示了攻击如何影响位于相邻VM上的其他车辆功能，因为大量请求渗透到HSM并在没有适当安全措施的情况下使系统瘫痪。我们的框架包括IDS和安全域的检测和分层响应操作，这也允许车载计算机的进一步功能。在最佳情况下，驾驶员根本不会注意到攻击，或只会受到有限的影响。 为了获得不依赖于详细理解攻击场景的更广泛反应能力，我们引入了跨域安全管理器（CDS），它控制虚拟机管理程序及其网络配置，包括防火墙。在攻击情况下，CDS可以重启VM3，并假设攻击者无法持久化其攻击（即绕过安全启动），从而有效地摆脱攻击者。为了避免攻击的轻松重复，可以在VM重启后禁用远程信息处理服务。这有助于在虚拟机管理程序级别对攻击做出反应。 正如我们在图5中看到的，安全VM不受影响，并且可以在整个攻击过程中维持车辆功能。因此，该框架通过独立的安全域，不仅提供了多层次的防御机制，还尽可能保持车辆功能的正常运行，特别是与安全相关的