首页 > 汽车技术 > 正文

智能汽车车用基础软件平台关联技术

2022-09-25 17:59:10·  来源:汽车测试网  
 
汽车基础软件信息安全作为一个汽车行业的新兴技术领域,其技术标准目前仍尚处于规划阶段。当前国内在该相关领域的标准组织包括全国信息安全标准化技术委员会(简称信安标委,TC260)、全国汽车标准化技术委员会(简称汽标委,TC114)和中国汽车工程学会(CSAE),工信部印发了《车联网网络安全和数据安全标准体系建设指南》,对于车联网网络安全的标准体系建设也形成了相关指导意见;国际方面则主要有AUTOSAR、ISO/SAE 21434 工作组、联合国 UN/WP29 工作组、美国高速公路交通安全管理局(NHTSA)等相关组织。信息安全标准组织如下图 4.2-1 所示:

图片

图 4.2-1 信息安全标准组织

1.  国内相关标准

国内在这方面的相关组织和协会的侧重点有所不同。我们重点介绍信安标委和汽标委两个组织的相关进展。

(1) 信安标委(TC260)

信安标委现已发布多项有关操作系统信息安全的标准,包括 GB/T 20008-2005《信息安全技术 操作系统安全评估准则》、GB/T20272-2019《信息安全技术 操作系统安全技术要求》、GB/T 30284- 2020《移动通信智能终端操作系统安全技术要求》、GB/T   34976-2017《信息安全技术   移动智能终端操作系统安全技术要求和测试评价方法》、GBT 34976-2017《信息安全技术 移动智能终端操作系统安全技术要求和测试评价方法》、GB/T 36630.3-2018《信息安全技术 信息技术产品安全可控评价指标 第3 部分:操作系统》等。

其中 GB/T20272-2019 将对操作系统的安全技术要求分为 5 个保护级,即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,要求的内容也逐渐由弱到强,包括自主访问控制、强制访问控制、标记、数据流控制、身份鉴别、用户数据保密性、安全审计、用户数据完整性、可信路径等。其主要针对的是传统(或通用)操作系统,其中的技术要求并不是都能适合汽车领域的情况。


GB/T34976-2017 的安全技术要求包括安全功能要求和安全保障要求两大部分,其中安全功能要求包括身份鉴别、访问控制、安全审计、数据安全、存储介质管理、应用软件安全管理、用户策略管理、运行安全保护、升级能力、超时锁定或注销、运行监控、可靠时钟、可用性等(还提出了有关网络安全保护、资源利用(系统配置安全)、可信操作、内核安全、调用保护、入侵防范、恶意代码防范、内核代码安全等要求)。安全保障要求包括对开发、指导性文档、生命周期支持、测试、脆弱性评定等。

总体来看,TC260 尚未专门针对汽车领域操作系统开展标准化工作。另外,TC260 于 2020 年发布首个汽车电子系统网络安全推荐性标准 GB/T38628-2020《信息安全技术 汽车电子系统网络安全指南》,该标准主要针对汽车信息安全生命周期过程提出了要求,其中涉及汽车软件开发中的框架性安全要求, 适用于车控及车载系统的基础软件。

(2) 汽标委(TC114)

汽标委于 2020 年启动开展了一系列有关车用操作系统的标准研究项目,于 2021 年 7 月发布了《车控操作系统架构研究报告》、《车控操作系统总体技术要求研究报告》、《车载操作系统架构研究报告》、《车载操作系统总体技术要求研究报告》等 4 份研究报告,其中对车控、车载操作系统的信息安全要求均提出了标准化要求。车控操作系统的信息安全要求主要包括可信执行环境、密码应用支撑、访问控制与身份鉴别、车内总线安全通信、安全外部通信、安全可信启动、系统安全、应用安全、数据安全、安全监控与防御、面向业务的安全支撑机制与功能等。鉴于车载操作系统内核功能的复杂性,要求车载操作系统应构建完 整的信息安全防护机制,降低内核漏洞对系统安全的危险,强化内核的安全防护能力。系统应具备多域 隔离、一致性检查、安全启动、安全存储、安全输入、加密文件系统等技术,应具备系统镜像完整性及合法性验证机制、系统镜像回退功能。汽标委目前已启动了《智能网联汽车 车控操作系统技术要求》、《智能网联汽车 车载操作系统技术要求》标准的研制工作,其中均包含信息安全方面的要求。

2.  国际相关标准

(1) AUTOSAR

AUTOSAR(是 Automotive Open System Architecture 的简称)组织于 2003 年 7 月联合建立,旨在为汽车电气 / 电子构架开发一套开放的行业标准。在发布 4.2.2 版本后,AUTOSAR 的标准体系分为基础标准(Foundation)、经典平台(classic platform)、自适应平台(adaptive platform)和符合性测试(Acceptance Tests)等四个部分。在AUTOSAR 经典平台中,以硬件安全模块为基础,提供了密码服务方面的层次架构,使得 AUTOSAR 经典平台的服务分为四个方面:系统、存储、密码和通信。同其他服务一样,密码服务分为三个层次:密码服务管理、密码硬件抽象和密码驱动程序。

基于密码服务,AUTOSAR 经典平台提供了安全通信组件 SecOC,在协议数据单元层面为关键数据提供可行、具有资源有效特性的真实性机制。SecOC 与 AUTOSAR 的通信系统中的 PDU Router 协同, 以处理安全相关协议数据单元的内容。

另外,针对 V2X 的通信安全,AUTOSAR 标准也提出了一系列的信息安全要求,包括入侵检测管理系统(IDSM)、消息签名的加密验证、端到端安全、证书管理、应用程序安全相关机制等。

注:本章有关 AUTOSAR 的内容是 AUTOSEMO 会员单位的经验解读,仅供行业参考。

(2) ISO/SAE 21434

ISO/SAE 21434《道路车辆 信息安全工程》中对汽车软件开发的信息安全过程提出了要求,相关要求适用于汽车基础软件开发。

(3) UN/WP.29

UN/WP.29 于 2021 年发布了有关汽车网络安全、软件升级的 2 项法规 R155、R156,均涉及对汽车基础软件的相关内容,包括防止非特权用户越级访问权限、软件更新、代码安全、密码安全、软件错误或漏洞等。

(4) 其他

NHTSA(美国高速公路交通安全管理局)于 2020 年发布了更新版的《Cybersecurity Best Prac- tices for the Safety of Modern Vehicles》,对于密码、诊断、车辆内部通信安全、事件日志、网络端口 / 协议 / 服务、外部通信、路由变更、软件更新等方面内容;ENISA(欧盟网络安全局)于 2019 年底发布的《ENISA GOOD PRACTICES FOR SECURITY OF SMART CARS》对于安全检测、网络和协议保护、软件信息安全、云端信息安全、密码技术、访问控制等提出了要求。ASPICE   标准也对汽车信息安全制定了各个相关的过程域及控制办法。

4.2.2  信息安全软件架构

鉴于汽车基础软件系统功能的复杂性,汽车基础软件系统应构建完整的信息安全防护机制,在自身的信息安全保证完整的安全防护,例如系统内核完整性保护、安全隔离、安全启动、安全监测,同时还需要为上层的业务应用提供信息安全的防护支撑能力,包括加密安全服务、安全存储、文件加密、数据隐私及加密,降低漏洞对系统安全的危险,强化汽车基础软件系统的安全防护能力。基础软件信息安全架构如下图 4.2-2 所示:

图片

图4.2-2 基础软件信息安全架构

1.  安全服务层

(1) 安全存储服务

密钥管理模块需要与硬件能力结合来进一步提升密钥存储的安全性。

(2) 安全通信防护

系统可使用非对称加密技术、鉴权技术、证书管理和认证技术、安全协议技术、防火墙技术、VPN  等技术,对系统通信进行信息安全防护。

(3) 系统服务安全防护

系统服务可通过混淆、加壳防护、防反编译、安全应用管理器等技术进行信息安全防护。

(4) 数据隐私服务

提供密钥管理服务和文件级加密服务,提高车辆数据隐私的安全性,提升本机对数据分区不同文件的加密保护。

2.  安全防护层

(1) 安全监控

系统应提供安全日志、入侵检测和入侵防御等方面的安全监控功能,用于发现外部的恶意入侵,并提供阻断能力。

(2) 内核完整性保护

内核完整性保护包括静态完整性保护和运行时完整性保护,需要确保内核不被篡改或在被恶意篡改后能够被迅速发现。

(3) 系统安全控制

系统可使用访问控制机制,依据安全策略控制用户、进程等主体对文件、数据库等客体进行访问,禁止不必要的服务、非授权的远程接入服务、限制用户提权操作,删除或禁用无用账号。

(4) 密码安全模块

密码安全模块通过固化在只读存储中的根证书和 CA(Certification Authentication)平台进行交互, 确认报文真实可靠,对外部进入的软件升级包、控制命令、推送消息等进入的内容进行验证,防止其被篡改,能够为总线通讯、网络连接、数据存储等其他模块提供加密、验签、签名和密钥存储、证书管理等功能。

(5) 安全隔离

系统需提供安全隔离功能,将系统内核与外部的各种相关驱动进行物理和逻辑隔离,以防止从存储空间中读取或者篡改应用空间内的数据。

(6) 安全启动

系统应利用可信代码的信任链,从引导代码开始,逐级校验各阶段镜像的完整性,防止系统运行的各级代码被恶意篡改。

分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25