摘要:
随着电子电气架构技术的不断升级,整车越来越多的系统和组件对功能安全产生影响,为此,功能安全也从部分关键系统开发,向整车各系统全面开发拓展。同时,由于域集中式、中央集中式等新架构形态的出现,对功能安全提出了新的技术挑战,功能安全必须建立针对这些复杂系统及软件的开发和测评手段。
功能安全
与电子电气架构相关的功能安全,指不存在由电子电气系统功能异常行为引起的危害而造成的不合理风险,适用于道路车辆上由电子、电气和软件组件组成的安全相关系统的所有活动。功能安全旨在消除由电子电气系统失效造成的不合理风险,电子电气要满足的功能目标及要达到的功能安全的等级,决定了电子电器的架构设计或选型。
随着电子电气架构技术的不断升级,整车越来越多的系统和组件对功能安全产生影响,为此,功能安全也从部分关键系统开发,向整车各系统全面开发拓展。同时,由于域集中式、中央集中式等新架构形态的出现,对功能安全提出了新的技术挑战,功能安全必须建立针对这些复杂系统及软件的开发和测评手段。与此同时,功能安全技术也影响着电子电气架构技术的发展,从传统的失效安全(fail-safe)向失效运行(fail-operational)衍变,电子电气架构设计中引入了更多的冗余(如通信冗余、冗余控制器等)及安全保障措施(如E2E 保护)。未来,车辆智能化生态的形成,将促进功能安全技术走出单车,向全链路延伸,实现整体智能生态的整体安全。
1. 功能安全活动
(1)功能安全文化与流程建设:功能安全规章制度;组织架构;功能安全相关岗位与职责;
(2)概念阶段功能安全需求分析:系统需求(法规标准、利益相关方);系统运行域(包括文化、市场、自然环节);系统功能安全需求(SG,FSR,TSR)等;
(3)系统设计与集成阶段功能安全活动:系统级功能安全要求;功能安全功能分配与功能要求分解;功能安全接口定义;系统集成与功能安全测试;系统集成功能安全评估;
(4)硬件单元设计与测试:硬件功能安全要求;硬件功能安全分析;硬件技术安全分析;硬件功能安全措施;硬件功能安全测试与验证;硬件功能安全评估;
(5)软件单元设计与测试:软件功能安全要求;软件功能安全分析;软件技术安全分析;软件功能安全措施(冗余方案、监测防护);软件功能安全测试与验证;软件功能安全评估;
(6)产品生产与交付:功能安全生产要求;生产过程功能安全评估;产品功能安全评估;产品交付;
(7)运行阶段概念安全功能安全实时监测与防护:功能安全相关故障诊断;功能安全风险实时防护/风险实时最小化策略;
(8)功能安全管理:配置管理;变更管理;文档管理;知识管理。
2. 功能安全技术体系:
(1)研究整车和各关键系统的危害行为并进行风险分析,将危害风险聚类为n 类,定义出量化功能安全指标若干,作为系统和车辆安全目标;
(2)根据整车量化安全指标要求,开展关键功能/系统安全架构技术研究,制定功能安全产品策略和方案,制定量化安全技术需求,形成功能/系统量化安全需求库;
(3)开展安全分析,将量化安全需求进一步落实到软硬件安全设计,建立软硬件功能安全需求库;
(4)针对软硬件和系统,分析不同ASIL 等级的故障模式及测试要求,建立功能安全测试系统和测试规范,开展功能安全测试;
(5)基于软/硬件在环测试平台,实现功能安全验证和测试,优化安全门限,检验安全响应,评估集成效果;
(6)进行整车安全测试和评估发布,确保整车实现功能安全。
3. 功能安全关键技术:
(1)整车量化安全开发技术:针对整车危害风险及安全目标,定义量化指标,定量衡量整车危害风险行为。
(2)安全架构设计及量化安全需求开发技术:根据安全指标和产品方案,设计整车及系统安全架构方案,分配安全指标,并开发量化安全需求,实现对整车指标的具体化和客观化实现。
(3)安全分析和软硬件基础安全需求开发技术:开展FMEA、FTA、FMEDA 等安全分析,识别软硬件故障及风险,制定应对机制和措施,完成软硬件基础安全需求开发及详细设计实现。
(4)故障注入测试技术:通过故障模拟手段,准确模拟电子电气系统、组件及软件安全相关故障,开展各层级测试,检验相关安全机制的有效性。
(5)功能安全台架测试技术:基于软硬件在环测试台架,开展功能安全仿真和集成测试,检验相关安全机制、安全响应及集成效果。
(6)功能安全整车测试和评估技术:开展不同场景下的整车验证及确认测试,基于相关测试及开发成果,评估功能安全的整体实现,完成量产发布。
预期功能安全
电子电气架构相关的预期功能安全(SOTIF),指不存在由预期功能或其功能实现的不足引起的危害而导致不合理的风险。根据自动驾驶功能及其运行设计域,分析满足预期功能安全要求的系统配置方案,基于系统配置方案确定或选择合适的电子电气架构方案。
1. 预期功能安全活动
(1)预期功能安全文化与流程建设;
(2)预期功能安全需求分析:系统需求分析(标准法规要求、目标市场需求、利益相关者分析);系统功能定义(功能、环境、交互);系统预期功能安全分析(SOTIF 场景、功能不足与人员误用、SOTIF-HARA,SOTIF-Criteria,SOTIF-SG);
(3)预期功能安全系统设计、集成与测试:预期功能安全功能分配与安全要求分解;系统级预期功能安全分析与系统方案细化;
(4)预期功能安全部件和算法级设计、测试:部件功能不足与算法缺陷分析;部件与算法预期功能安全测试;
(5)预期功能安全相关产品生产与交付;
(6)运行阶段概念预期功能安全实时监测与防护:预期功能安全实时监测;预期功能安全实时防护/风险最小化策略;
(7)系统预期功能安全优化与升级;
(8)预期功能安全管理:配置管理、知识管理等。
2. 预期功能安全技术体系
(1)通过定义自动驾驶安全接受准则,作为自动驾驶产品开发的首要安全目标,指导相关安全需求的制定;
(2)基于自动驾驶功能方案及场景,分析潜在的功能不足、性能局限、环境干扰、人员误用等安全相关因素,制定应对措施和需求,改进产品设计;
(3)针对开发的产品,开展仿真测试、定场景测试和道路测试,全面检验产品安全表现;
(4)基于相关安全准则、产品设计、安全分析和测试结果,制定预期功能安全档案,开展GSN 论证,评价自动驾驶产品的安全风险,完成预期功能安全发布;
(5)针对量产后的自动驾驶产品,开展运行过程的安全风险监测,对于识别出的不合理风险,启动风险控制措施,确保自动驾驶的运行安全。
3. 预期功能安全关键技术:
(1)自动驾驶安全准则制定技术:针对自动驾驶已知场景和未知场景下的安全表现,制定客观量化准则,科学判定自动驾驶的安全水平。
(2)安全分析技术:通过STPA(系统理论过程分析)等安全分析手段,识别自动驾驶安全相关功能不足、性能局限及危害触发条件,制定针对性措施,开展功能更新。
(3)多支柱法测试技术:由仿真测试、定场景测试和真实道路测试组成的自动驾驶预期功能安全测试体系。
(4)安全论证技术:基于安全开发、分析、测试等结果,制定预期功能安全档案策略,通过GSN 等论证手段,评估自动驾驶安全风险,完成预期功能安全发布。
(5)安全监控技术:通过车载和远程手段,监测自动驾驶运行过程中的安全表现,识别安全风险并开展必要的风险控制措施,以确保自动驾驶运行安全。
信息安全
智能联网生态系统是车内网、车际网和车载移动互联网三大部分组成,只有全面理解智能网联汽车的生态系统,才能真正理解汽车行业面临的安全挑战和风险。到2025 年,智能联网汽车将占全球汽车市场的近86%,从而为黑客带来许多易受攻击的威胁点。网络攻击和数据泄露事件将对汽车行业构成严重风险,因为它们直接影响驾驶员安全、数据隐私和服务连续性。
随着世界首部欧洲WP29 R155 的汽车强制实施准入法规于2021 年1 月22 日生效,新车型于2022 年7 月6 日起强制实施,在产车型于2024 年7 月6 日起实施。销往欧洲/日本/韩国市场的车型需要获取CSMS(Cybersecurity Management System)认证和VTA(Vehicle TypeApproval)认证后方可在当地注册和销售。另外,中央网信办牵头的“汽车安全管理若干规定(试行)”(“规定”)于2021 年10 月1 日正式施行,新上市的汽车须符合“规定”中的数据安全要求。各大整车企业都根据各个强制标准的要求,纷纷积极地应对及整改合规。与此同时,国家信息安全强制性标准、推荐标准以及各种团体标准都在积极制定当中。国内整车企业也在积极地逐步部署全面的数据安全防护体系。
数据安全防护体系包括了威胁分析与风险评估以及数据安全管理体系和技术体系建设,如图所示。
数据安全防护体系
1. 威胁分析与风险评估技术
全生命周期,从概念设计、开发验证到售后维保直至最终报废的各阶段,予以全面充分考虑,已在行业内达成普遍共识。其中,威胁分析与风险评估(TARA)作为智能网联汽车信息安全功能设计、开发与测试的前提基础,在ISO/SAE 21434 等国际标准和最佳实践中被视为必不可少的关键关节。通过对整车电子电气架构、系统功能和零部件级中需要保护的资产、资产面临的威胁和风险的识别评估,形成整车或零部件的信息安全需求和目标。
综合国内外主流信息安全威胁分析与风险评估方法,目前面向汽车领域的TARA 一般过程主要包括资产识别、影响场景识别及影响评级、威胁场景识别及攻击可行性分析、风险值计算及处置决议。
(1)资产识别
识别汽车系统中需要保护的资产是开展TARA 分析的基础。首先进行相关项定义(ItemDefinition),其目的是了解分析对象,清晰地描述与网络安全相关的业务或功能,包括相关项的组件、具体物理位置、详细功能及应用场景、操作环境及限制、关联项、需满足的法规标准等。然后明确数据流向,把相关项中每个功能用到的数据及实体流向进行标识,形成数据流图(Data Flow Diagram)。基于上述工作,识别数据流图中需保护的安全资产并进行标识。
汽车系统的网络安全相关业务或功能主要包括:运动控制模块和具有汽车安全完整性等级(ASIL)的模块、与驾驶员或乘客或潜在敏感信息(如位置数据)相关数据、内部连接(CAN、以太网、MOST、TCP/IP 等)、外部连接(后端服务器的功能接口、蜂窝通信网络、车载诊断OBD-II 接口等)、无线连接传感器或执行器(如遥控门锁RKE、近场通信NFC、轮胎压力监测系统TPMS 等)。
汽车需要保护的资产由内而外主要包括:车载电子组件,如ECU、传感器、执行器等,以及它们之间的连接;车载网关;车辆与外部环境连接的接口设备、外部感知部件等。从资产的表现形式,可以分为数据、软件、硬件、服务等,而从需要保护的业务过程和活动、所关注信息的角度,资产类型可包括基于ECU 的控制功能、与特定车辆相关的信息、车辆状态信息、用户信息、配置信息、特定的软件、内容等。
(2)影响场景识别及影响评级
基于对资产识别的结果,首先明确与已识别资产相关的安全威胁,以及威胁与安全属性的映射关系,即确定资产上下文中的特定威胁会影响哪些安全属性。威胁与安全属性之间的映射关系的确认目前主要采用的是STRIDE 规则,一种最初由微软提出的结构化、定性的安全方法,用于在软件系统中发现和枚举威胁,目前已扩展适用到汽车电子电气领域。STRIDE 规则将威胁的类型分为6 大类,即仿冒、篡改、抵赖、信息泄露、拒绝服务、特权提升,并将它们与影响的安全属性:即真实性、完整性、机密性、可用性、时效性、防抵赖等进行对应,具体对应关系如下表所示:
威胁类型与安全属性对应关系
基于威胁将会影响的安全属性映射关系,分析安全属性破坏会造成的危害,即危害场景分析,从S(人身安全)F(财产)O(功能)P(隐私)四个方面进行判断,企业也可以定义新的类别,要有合理的判断依据及理由,并同步到整个供应链,达成共识。对利益相关方的潜在不利影响进行评级,计算影响等级。
(3)威胁场景识别及攻击可行性分析
依据资产识别和影响场景的分析,具体分析通过采取什么行为破坏某资产对应的哪个安全属性,最终导致什么样的后果。在描述威胁场景时,应具体描述资产、影响场景、攻击方法、攻击面之间的关联关系,罗列所有相关项已识别资产涉及到的威胁场景。结合攻击者的动机与识别出的系统用例,分析对汽车电子系统可能的攻击。可结合攻击树方法对攻击场景进行分析,描绘出攻击路径,可以识别出针对具体资产的具体攻击手段。
针对每一条攻击路径,完成攻击耗时、攻击者需要具备的专业知识、获取知识的难易程度、攻击成功的可能性、是否需要依赖特殊设备器材等维度,计算出攻击潜力值,评估得出攻击可行性等级。
(4)风险值计算及处置决议
综合威胁产生的危害影响程度和攻击成功的可行性程度,计算确定被评估资产对象在不同威胁场景下的安全风险水平。一般可通过已经分析得出的攻击可行性等级和影响等级对照风险值计算矩阵表,对应相应的安全等级。或者通过风险计算公式,计算得到该威胁场景的风险值,对应计算出安全等级。
基于各项资产的安全风险等级评估结果,项目开发周期和资源的投入,制定相应的风险处置策略,包括规避风险、减轻风险、转移风险、接受风险等。通过移除风险源实现规避风险,通过定义相关功能、组件及产品的网络安全目标和需求实现减轻风险。对于风险处置策略不是规避或降低风险,而是选择接受或转移的情况,进行安全声明,表明转移风险或保留风险的前提条件及约束条件。
2. 基于新型电子电气架构的安全技术
智能网联汽车的车辆端、通信管道、云平台以及移动应用均面临一系列的信息安全威胁。从汽车网络空间维度出发,通过多重技术协同、不同手段互补、从外到内多层次部署安全防线,满足车辆信息安全防护的纵深性、均衡性、完整性的要求。同时应对新一代车辆电子电气架构的需求,从网联安全、内网安全、ECU 安全角度实施部署相应防护措施。
(1)网联安全
网联接入层主要抵御针对以太网的DOS、PING 类型、畸形报文、扫描爆破、欺骗、木马等网络攻击。需要具备车云联动机制的主动安全防护能力,可通过云端系统实时配置防护策略,主要包括接入认证机制、通信保护机制、以太网防火墙机制和入侵检测与防御(IDPS)机制。
1)接入认证机制
对TSP 远程管理、OTA 升级、蓝牙钥匙等关键服务,对请求获取汽车数据访问、操作权限的用户、设备、系统等主体进行身份认证,防范数据非法获取风险。主要技术手段包括SSL/TLS、身份证书、RADIUS 认证协议、公钥认证机制等。
2)通信保护机制
对关键业务或传输的关键数据进行加密、数据校验等保护。技术手段包括数据加密、数据签名等。
3)以太网防火墙机制
基于规则,对以太网传输内容进行过滤控制,如源/目的IP、端口访问控制、黑白名单策略、MAC\IP\URL 地址过滤。主要技术手段包括iptables,netfilter 等。
4)入侵检测与防御(IDPS)机制
针对对外的网联网络(以太网),车端部署检测网络\传输层攻击威胁、检测会话\表示\应用层异常流量、与防火墙联动防御、安全事件采集上传、防御策略动态更新等技术能力。云端方面,建设安全实时监控、威胁态势呈现、数据统计与分析、防护策略编排等技术能力。
(2)内网安全
车辆内网安全主要抵御针对车载CAN\CANFD、车载以太网的攻击入侵,包括报文监听、错误注入、报文重放等攻击。通过部署总线入侵检测机制、内网防火墙机制、功能域隔离机制、总线通信保护机制和诊断安全保护机制加以防护。
1)总线入侵检测机制
基于DBC 导出和自定义规则,对总线数据的ID 错误、DLC 错误、报文序列、周期异常、总线负载异常等进行检测。针对CAN 总线的入侵检测技术包括轻量级的时间间隔分析、基于信息熵的阈值计算与检测、基于CART 决策树模型的阈值判断与检测等。针对车载以太网的入侵检测一般通过内置在以太网交换机中的汽车防火墙/IDS 解决方案跟踪所有以太网通信,检查状态数据包和深度数据包,可以涵盖SOME/IP,DoIP 等常用车载以太网协议。
2)以太网防火墙机制
针对车内以太网交换的数据进行传输控制,车载通信架构中引入防火墙,在整车架构外围及各安全域层之间进行监控隔离,根据既定的安全策略(如黑/白名单)对通信通路进行可靠性管理,仅允许合法可靠的节点及用户进行数据传输交互,实现防御拒绝服务攻击(DoS)、访问控制和阻隔非法通信。技术手段包括源/目的IP、端口访问控制、黑白名单策略、MAC\IP地址过滤或限制、跨域通信数据检查、基于TSN 协议的内网流量控制。
3)功能域隔离机制
以太网总线架构下,按不同域的功能划分不同的网络域,网络隔离可使用VLAN 技术,将物理连接在逻辑上以虚拟化的方式划分为多个广播域,VLAN 间不能直接通信,将广播报文限制在一个VLAN 内,避免一个域内发生危害扩散到其他域中。
4)总线通信保护机制
基于CAN\CANFD 总线信息安全防护目前主流采用的是AUTOSAR 组织制定并实现的SecOC(Secure Onboard Communication,车载安全通信)。SecOC 增加加解密运算、密钥管理、新鲜度值管理和分发等功能,主要采用基于带有消息认证码(MAC)的数据身份验证和基于Freshness(新鲜性)的防重放攻击等手段实现数据的真实性和完整性的校验。车载以太网通信中,通过TLS、IPSec、MACSec、DDS 等协议分别在传输层、网络层、数据链路层进行认证、签名、加密、解密等。此外,通过部署总线轻量化SDK,将普通应用帧的数据场进行安全处理,实现总线数据轻量化加密。
5)诊断安全保护机制
针对车辆诊断场景,对物理OBD 和远程诊断提供接入身份的合法性验证,对核心的诊断数据传输进行加密处理,和诊断防火墙配合对诊断场景、数据进行合规检查。与传统车辆诊断方式比较,保证诊断服务由域控代理,以防止数据透传。
(3)关键ECU 安全
为确保车辆系统或关键数据不被破坏,业务应用可管可控。在车辆关键ECU 层面需具备安全启动、关键数据安全存储、系统安全运行的安全能力,并可为应用运行提供权限管理能力。
1)安全启动机制
车内自身嵌入无法被修改的信任根作为整车的信任源,并由此通过安全启动,前一个部件验证后一个部件的数字签名,验证通过后运行后一个部件。通过对系统和应用软件的逐级验证,构建整车的信任链。基于SHE、HSM 等安全模块,实现系统的安全启动功能,保证FLASH 的程序引导区、程序区域不被破坏、刷写、盗取。
2)安全运行机制
基于TEE 可信计算环境,即CPU 内与主操作系统并行且独立运行的安全区域,通过软硬件结合机制隔离安全区域中的可信操作系统和可信应用,不受主操作系统中的用户态进程影响,实现系统的关键程序运行环境安全,保证需要保护的运行对象的可鉴别性、完整性和私密性。
3)安全存储机制
针对有安全防护需求的车辆数据进行加密存储。数据加密中需考虑加密算法选择(对称加密和非对称加密算法)、加密范围、加密强度设置、密钥粒度选择、分层密钥管理以及基于PKI 体系的密钥分发方式等。面向新一代EEA 的安全需求,基于芯片提供的OTP,或SHE\HSM 的安全存储能力,实现系统关键数据(身份、密钥等关键信息)的安全存储,保证系统的关键数据不被盗取、破坏、改写。
4)应用权限管控机制
对系统运行的上层或第三方业务进行统一身份认证(IAM),对其可访问的资源进行权限管理,避免未知应用异常启动、应用越权操作系统资源等问题发生。重点考虑访问控制策略和授权策略,设置不同级别的权限规则,规则应能够根据安全需求进行动态调整。设置相应的授权策略保证合法访问端获得数据资源的访问权限。
来源 | 智能汽车设计