汽车基础软件信息安全与AUTOSAR

车辆中的许多新功能建立在车载和后台服务之上，需要面对保护车辆免受网络攻击的挑战。为车辆的 E/E 架构配置了安全机制，更新签名软件、安全启动和安全车载通信系统正在逐步建立。目前，IDS 作为一种额外的安全机制正在引起 OEM 和供应商的关注。入侵检测系统管理器（IdsM）是一个基础软件模块（适用于 Classic AUTOSAR）或平台服务（适用于 Adaptive AUTOSAR），用于收集和集中聚合可能由车辆软件、通信或电子系统受到恶意攻击而导致的安全事件。软件组件 IdsM 提供了接收板载安全事件 SEv 通知的标准化接口。SEv 可以通过 BSW (Basic Software Modules）和SW-C (application Software Components）实现的安全传感器上报。此外，可以用可选的上下文数据（如事件类型和可疑数据）报告    SEv，这些数据对于在后端执行的安全取证来说是有用的信息。除了收集，IdsM 还可以根据可配置的规则对 SEv 进行筛选。IdsM 将上报的 SEv 过滤并转换为合格的机载安全事件（QSEv)，IdsM 进一步处理  QSEv，用于存储或转发。根据总体安全概念的不同，QSEv 可以通过安全事件内存（Sem）在本地持久化，也可以传播到已配置的接收器，或者两者兼有。可用的接收器是诊断事件管理器（Dem）模块和 IDS 报告器模块（IdsR)，它们可以将 QSEv 数据传递给后端中的安全操作中心（SOC)。在车辆内的每个安全相关或机器中，IdsM 模块或服务的实例会收集和过滤安全事件（可选地包括附加数据），以便将它们存储在本地安全事件内存（Sem）和 / 或通过车辆网络将它们转发到中央入侵检测系统报告器（IdsR)。例如，该 IdsR 可能位于远程信息处理单元内，使其能够通过蜂窝网络向 OEM 的安全操作中心（SOC）发送安全报告和相关数据。然后，安全事件管理（SIEM）分析这些信息，并在必要  时用于制定和决定适当的防御或缓解措施以应对攻击。AUTOSAR 标准指出BSW 模块、CDD 和SWC 都可以充当安全传感器，安全传感器将安全事件（SEv） 报告给 IdsM，AUTOSAR 标准化可以由 AUTOSAR BSW 报告的安全事件类型的子集。每个 BSW 的规格里列出了自己产生的安全事件类型，这些事件由相应模块报告，业务组件也可以报告在 AUTOSAR 中未标准化的自定义安全事件类型，可以使用安全性摘要（SecXT）指定由特定 ECU 报告的安全性事件类型的属性。AUTOSAR    入侵检测系统管理器是通用的、提供灵活的配置。它独立于底层通信系统，在上述限制和假设条件下可以应用于任何汽车领域。

AUTOSAR 信息安全趋势分析

当汽车朝智能网联化方向发展时，未来会和路边的基础设施、交管平台，云端的系统进行信息交互， 来决策刹车还是加速，是保持车道还是变更车道。汽车也从单纯的交通工具变成了互联网的智能节点， 智能网联汽车的前提是网联（Connected)。目前几种常见的汽车联网方式为：车与云端互联、车与消费 电子互联、车与基础设施互联、车与车互联。当汽车接入网络的那一刻起，它已经从原来的信息孤岛，变成了万物互联中的一个节点，而网络安全也成了智能网联汽车必须面对的首要问题。AUTOSAR Classic 是大多数车辆平台的标准中间件，满足实时操作系统和功能安全的典型要求。多年来，它一直在不断发展，并提供了一系列用于安全车载通信或密钥和证书管理的安全工具。然而，车载计算机或域控制器将塑造未来的 E/E 架构作为中央应用程序，在高度自动化甚至全自动驾驶和 V2X 通信中，车辆将成为一个以软件为主导的系统，这需要集成更多比过去更加广泛和多样化的应用程序。与AUTOSAR Classic 不同，AUTOSAR Adaptive 基于与 LINUX 相关的操作系统，应用程序使用  “AUTOSAR Runtime for Adaptive Applications” ，简称 ARA。此外，自适应平台提供管理程序预配置分区，使不同供应商独立开发的不同 ASIL 类别的软件组件能够集成到车载计算机中并在其上安全运行。AUTOSAR Adaptive 与其面向服务的架构和额外的功能（如细粒度的无线更新）相一致，还整合了额外的措施并为汽车安全设定了新的标准。传统车内网络通信中，总线通信报文以明文方式传输，攻击者借助简单的采集分析工具对总线通信 报文进行抓包提取，通过对原始通信报文的重放或篡改，对车辆进行攻击，可以造成车辆通信总线故障、功能异常，甚至影响行车安全等问题。AUTOSAR 平台提供了安全通信组件 SecOC，在协议数据单元层面为关键数据提供可行、具有资源有效特性的真实性机制。持续的网络信息安全风险管理正成为 VTA 的要求，通过 IDS 车载入侵检测可以为整个车队提供信息安全保护。联合国第 155 号条例（UN R155）以及 ISO/SAE 21434 规定，需要在车辆全生命周期内对整个车队进行持续的网络风险管理。因此，持续的状态监测和基于风险的安全措施将成为汽车信息安全 的重要组成部分。针对 V2X 和车辆信息安全，AUTOSAR 标准也提出了一系列的信息安全要求，并增加了入侵检测管理系统（IdsM）、消息签名的加密验证、端到端安全、证书管理、应用程序安全相关机制等。

AUTOSAR 信息安全对策

AUTOSAR Classic 和 Adaptive 为保护车辆软件、数据免受操纵和未经授权的访问提供了重要的模块，来解决汽车网络通信信息的机密性、新鲜性、完整性、真实性以及可用性等问题。针对数据安全，在 Classic 和 Adaptive 版本中，对安全相关应用程序所需的加密原语、密钥和证书的访问都是通过  AUTOSAR  特定的加密堆栈进行的。应用程序随后仅访问提供的接口，独立于它们各自的加密实现，并可移植到不同的 ECU。针对车内总线安全通信，AUTOSAR 标准 SecOC 功能模块为车内网络之间的通信提供了消息完整性、抗重放方面的能力。在协议数据单元层面（PDUs）SecOC 与 AUTOSAR 的通信系统协同，PDU  Router 负责对接收的消息进行路由，对发送的安全相关协议数据单元提供给 SecOC 模块。SecOC 随后增加或是处理安全相关信息后，把协议数据单元返回给 PDU Router，由 PDU Router 进行进一步的路由处理。对于车内以太网数据传输的安全，则通过 TLS 和 IPsec 提供真实性和机密性的通信服务。针对访问控制与身份鉴别，AUTOSAR  身份和访问管理模块为应用提供权限隔离以及受攻击时权限越级的保护功能，同时，还能方便集成人员在部署时就能验证应用对于资源的访问权限。自 R20-11 以来，基本的 IdsM 规范已被整合到 AUTOSAR Classic 和 AUTOSAR Adaptive 版本中。事实上，AUTOSAR R20-11 版本是首次为 AUTOSAR 堆栈中的 DIDS 制定了一致的标准。然而，考虑到各种 ECU 的不同，AUTOSAR Classic 往往提供非常有限的资源，该版本中定义的功能范围代表了非常低的共同标准。仅定义了  IDS  的最基本的应用场景和核心的架构，主要目的应该是标准化车内安全事件， 以及事件的发送机制，以便云端能理解并处理各种车型上送的安全事件。作为互联和自动驾驶趋势的一部分，与安全相关的车载功能不可避免地会增加。成熟的安全措施以 及高安全级别的车载架构平台将有助于解决这些技术挑战。在未来，OEM 也将越来越多地建立基于高度连接的新商业模式，而这种连接需要得到保护。这给了 AUTOSAR Adaptive 进一步发展的一个明确任务， 那就是要比 AUTOSAR Classic 更强大地集成安全应用程序。