導讀

? ? “未來汽車”將具有更高的舒適性、便捷性和安全性，但同時也帶來了很多潛在的脆弱環(huán)節(jié)。過去，只有直接的物理接觸才能對汽車造成破壞。而現(xiàn)在，只要借助互聯(lián)汽車的聯(lián)網(wǎng)功能，無 需物理接觸，汽車就可能受到破壞。隨著行業(yè)向真正的自動駕駛體驗邁進，如何應對不斷增加的車內(nèi)系統(tǒng)復雜性和相關信息安全漏洞，將成為汽車制造商和供應商更加重視的問題。其長期目標是開發(fā)能夠應對不同威脅的自我防護系統(tǒng)。為了成功實現(xiàn)這個目標需要整體考慮功能安全、信息安全和可用性。

? ? 由于消費者對車載連接和網(wǎng)絡互聯(lián)的技術需求增長，汽車軟件和汽車網(wǎng)絡變得愈發(fā)復雜?？蛻粝Ｍ嚰煽梢钥焖俑潞筒渴鸬囊苿釉O備、互聯(lián)網(wǎng)服務和各種各樣的應用程序。開發(fā)周期之短，給汽車軟件提供商和汽車制造商帶來了壓力，迫使他們應用敏捷創(chuàng)新模式來滿足需求。結(jié)果是，越來越多的車載系統(tǒng)和傳感器必須能夠相互通信，以及同外部站點通信（圖 1）。不同設備之間交換的信號被用于功能安全應用，以及和 IT信息安全問題相關的領域。這方面的典型應用包括駕駛輔助系統(tǒng)和自動駕駛解決方案，并且能夠支持汽車和道路基礎設施之間交換交通和危險消息。功能安全和信息安全對彼此都有重大的影響。這一事實目前體現(xiàn)在常見功能安全標準的運用中，如 IEC 61508 和 ISO 26262。此外，甚至是政府組織（如歐盟委員會）也已經(jīng)承認了功能安全與信息安全之間的直接關系。2012 年，Jose? Manuel Dura? o Barroso 在核能安全演講中強調(diào)了這個觀點 ：“……沒有信息安全就沒有功能安全，反過來也一樣?！币虼耍囕d系統(tǒng)必須根據(jù)最新的技術發(fā)展，提供功能安全和信息安全如何共同運用的基本原則。

信息安全和功能安全機制

? ? 有功能安全需求的車載軟件系統(tǒng)中，基礎軟件必須提供相應機制，確保軟件系統(tǒng)的功能安全。目前 AUTOSAR 框架已經(jīng)充分建立了此類功能機制，并在 ISO 26262 中進行了描述。在此方面，我們區(qū)分了表示功能安全目的的三種互不干涉 (FFI) 類型。

? ? “空間上的互不干涉”指必須保護功能安全關鍵組件的相關數(shù)據(jù)，防止其他組件訪問。在大多數(shù)軟件架構(gòu)中，操作系統(tǒng)提供了內(nèi)存劃分的機制。圖 2 所示的架構(gòu)，具有基于 AUTOSAR 的功能安全保護機制。內(nèi)存保護由“Safety OS”提供。?

? ? “時間上的互不干涉”與時間組件有關 ：必須確保為功能安全關鍵軟件分配所需的計算時間，并按照預期順序執(zhí)行。在圖 2 中，它是以“Safety TimE Protection”模塊的形式呈現(xiàn)。

? ? ISO 26262 將所謂的“信息交換”定義為 FFI 的第三 種類型——必須保護關鍵數(shù)據(jù)和信息，能夠檢測受到損壞或缺失的數(shù)據(jù)。在電子控制單元 (ECU) 中，可以直接通過?"RTE"（圖2 中的 Safety RTE）實現(xiàn)防護。

信息安全機制

? ? 功能安全關鍵系統(tǒng)可最大化地減少系統(tǒng)本身產(chǎn)生的錯誤，而信息安全機制則必須避免系統(tǒng)因未經(jīng)授權(quán)的外部訪問而遭到潛在的破壞。由于威脅在系統(tǒng)生命期內(nèi)變化顯著，人們在設計系統(tǒng)時基本無法預知外部的攻擊方法，這就導致信息安全相關系統(tǒng)的威脅模型極具動態(tài)特點。這方面的關鍵因素主要包括不斷增加的計算性能和攻擊者的創(chuàng)造力。

? ? 最重要的是，基礎軟件仍然必須能夠提供確保系統(tǒng)信息安全的機制?？梢酝ㄟ^擴展系統(tǒng)功能安全機制，加入信息安全相關措施來實現(xiàn)。鑒于對這兩個方面的分析都有賴于風險模型，我們必須認可和發(fā)揮兩者的協(xié)同作用。這樣，在尋找信息安全漏洞時就有可能發(fā)現(xiàn)新的功能安全漏洞，反之亦然。

? ? 堆棧溢出就是一個具有功能安全與信息安全影響的漏洞示例。堆棧溢出來自軟件缺陷這個功能安全問題，或者因針對性攻擊引發(fā)，而這就是一個信息安全漏洞。在這兩種情況下，我們必須在相應分析中確定此類場景，通過合適的軟件設計采取預防措施，或者在運行時執(zhí)行檢測。

? ? 具體來說，可以通過上述的內(nèi)存保護機制（“空間上的互不干涉”）防止出現(xiàn)此類錯誤和攻擊。雖然這種措施本身不具備針對拒絕服務攻擊的防護作用，但它可以確保系統(tǒng)不會處于未定義的狀態(tài)，而是以前定義過的錯誤狀態(tài)。此外，使用 FFI 推斷還可以通過可靠的方式，分離功能安全相關軟件部分與容易受到外部攻擊的部分。一方面，現(xiàn)代 CPU 支持分配讀取權(quán)?通過 MPU 提供寫入保護。這樣只有具有合適權(quán)限的模塊可以讀取信息安全相關數(shù)據(jù)，如加密密鑰。另一方面，我們可以專門設置或撤銷執(zhí)行權(quán)。這樣，用于訪問敏感信息安全數(shù)據(jù)的代碼就可以標記為不可執(zhí)行，僅允許在計劃執(zhí)行時間訪問敏感數(shù)據(jù)。

? ? 此外，為堆棧分配適當限制的執(zhí)行權(quán)，可以防止在錯誤環(huán)境下執(zhí)行有害代碼。因此，這兩種機制相結(jié) 合可以防范來自兩個典型攻擊角度的危害。

通過信息安全措施保護消息

? ? 在功能安全方面，功能安全關鍵應用程序必須能夠依賴已接收的消息。信息安全負責保護消息：必須確保通信伙伴和交換消息的真實性，數(shù)據(jù)完整性，以及消息內(nèi)容的時效性和保密性。

? ? 確保正確消息來源和內(nèi)容真實性，需要檢驗已接收數(shù)據(jù)的完整性，從而排除任何消息篡改的操作。最常見的方式是使用消息認證碼（MAC）?；诿艽a的消息認證碼（CMAC）是一個不錯的例子，隨著 AUTOSAR 4.2.1 規(guī)范的發(fā)布而推出。CMAC 的基礎是對稱高級加密標準（AES）算法和相應的底層加密密鑰。原始消息在遞送之前要全部或部分附上已計算的 MAC。在接收側(cè)，可以使用和發(fā)射側(cè)執(zhí)行的相同計算，檢查消息的完整性。然后比較這兩個結(jié)果（圖 3）。

? ? 但是，僅有 MAC 無法防范隨時記錄和之后（重新）發(fā)送的有效消息。保護系統(tǒng)防止此類入侵，需要對任何身份證明進行個性化定制，這就必須獲得接收方的驗證。這可以通過使用針對 MAC 生成且經(jīng)常變化的值來實現(xiàn)，例如簡單的單調(diào)計數(shù)器或可靠和防篡改時間戳?？梢酝ㄟ^加密確保消息保密性，即防止第三方讀取消息內(nèi)容。最常見的方法是對稱方法 AES。

系統(tǒng)和軟件開發(fā)

? ? 已經(jīng)有很多經(jīng)證明有效的方法能夠執(zhí)行功能安全方面的分析。它們通?；诮?jīng)典風險分析，采用專門技術進行擴展，例如用于分析軟件架構(gòu)和實際執(zhí)行。因此，系統(tǒng)風險和實施分析是功能安全應用開發(fā)最重要的擴展。但是，目前人們很少在 ECU 標準開發(fā)流程中應用信息安全分析。

? ? 功能安全和信息安全分析有很多共性，比如二者都基于風險。分析越接近于實際實施，其相似度就越高。從軟件設計開始的正式檢查幾乎一模一樣。最終這兩個方面都需要謹慎的軟件開發(fā)。這樣才能通過現(xiàn)在的常用方法和流程，避免或盡可能減少功能安全與信息安全領域的眾多威脅。

AUTOSAR ECU 的功能安全與信息安全

? ? 采用行之有效的功能安全機制的現(xiàn)有 AUTOSAR 架構(gòu)可用于設計符合功能安全和 IT 信息安全要求的 ECU。要滿足常見的信息安全要求，可以使用 EB tresos SecOC 等模塊擴展恰當?shù)挠美?，這個模塊包含汽車通信的保護組件。此外還可以擴展各種措施，如更廣泛的信息安全防護機制或保密防護方法。

? ? 由于功能安全與信息安全密切相關，我們務必同時考慮這兩個方面，并確定流程和方法協(xié)同。一些信息安全方法可通過額外的防護功能強化功能安全工程設計。反過來，必須檢查具體信息安全措施是否包含已經(jīng)考慮到功能安全用途的功能。

? ? 此外，確保關鍵系統(tǒng)功能永久可用將成為自動駕駛汽車成為現(xiàn)實的關鍵。系統(tǒng)在檢測到功能安全和信息安全風險時通常通過的安全狀態(tài)是“關閉”。但這種情況對自動駕駛汽車來說是不可接受的，因為在任何情況下都必須確?；A功能的正常運行，絕無例外。這種全面的可用性非常依賴各種軟件機制，但也需要相應的硬件支持。因此，實現(xiàn)全自動駕駛的中期目標就是全面審視車內(nèi)系統(tǒng)組件，以便開發(fā)能夠兼顧必要的功能安全、信息安全和可用性這些方面的系統(tǒng)，從而構(gòu)建獨立的防護系統(tǒng)。

本文作者

Elektrobit 針對汽車?ECU 的 AUTOSAR?軟件產(chǎn)品和解決方案：

• Elektrobit 經(jīng)典 AUTOSAR 基礎軟件、汽車操作系統(tǒng)和量身定制的工具環(huán)境：EB tresos

  www.elektrobit.cn/products/ecu/eb-tresos/

• Elektrobit 用于打造高性能計算平臺（HPC）的自適應 AUTOSAR 基礎軟件、虛擬機監(jiān)控程序（Hypervisor）、車規(guī)級操作系統(tǒng)和集成式開發(fā)環(huán)境：EB corbos

  www.elektrobit.cn/products/ecu/eb-corbos/

• Elektrobit 推出的業(yè)內(nèi)首款能夠?qū)崿F(xiàn)安全、高性能車載網(wǎng)絡通信的汽車以太網(wǎng)交換機固件：EB zoneo

  www.elektrobit.cn/products/ecu/eb-zoneo/

• Elektrobit 為汽車電子控制單元（ECU）提供的嵌入式安全解決方案：EB zentur

  www.elektrobit.cn/products/security/?