MUNIK 解读 ISO21434 专题分享(2):网络安全整车架构设计摘要

—原创文章,文章内所有内容文字资料,版权均属本公众号所有,任何媒体、网站、公众号或个人未经Munik公司授权不得转载、转贴、引用或以其他方式复制发布 、发表。已经被Munik公司授权的媒体、网站、公众号、个人,在下载使用时必须注明来源,违者Munik公司将依法追究相关责任.

 

回到本文的源头文章“ISO21434标准解读”,请点击链接:ISO 21434 Automobile Cyber Security汽车网络安全服务

回到知识分享,请点击链接:MUNIK中国-技术分享

 

 

随着智能汽车技术的快速发展,汽车已逐步进入网络化、智能化的新时代。为了保障智能汽车在复杂的网络环境下的安全性,网络安全整车架构设计应运而生。这一设计目标是通过全面的安全规划与实施,确保车辆硬件和软件系统在全生命周期内的安全性,防范外部攻击、数据泄露等威胁,并保护车辆、驾驶员及乘客的安全。首先对于整车的攻击路径和方式做如下图展示,并列出可能的防护措施。

 

本文将从车内对安全网关、安全域控制器、安全通讯和安全 ECU 四个方面进行详细解析,阐述如何在汽车网络中构建全方位的安全防护体系。

 

 

 

一、安全网关

 

安全网关是智能汽车网络架构中的第一道防线,其主要作用是保护车辆内部网络免受外部网络的入侵。它通过一系列技术手段确保车内外数据的安全传输,并有效隔离不同功能域之间的安全威胁。

 

 

1.1网络分区与隔离

 

  • 域间隔离:通过安全网关对车内不同功能域(如动力域、车载娱乐域、车身域等)进行物理或逻辑分区,限制不同域之间的通信,防止一个域的安全事件蔓延至其他域。比如,动力域控制器的指令一旦受到攻击,若没有域间隔离,攻击者可能控制整个车辆。
  • 外部连接隔离:安全网关还需要限制车内网络与外部网络的直接交互。除非经过身份验证并使用加密协议,否则无法直接访问车内网络。此举有效防止了来自外部的潜在网络攻击,如远程攻击、数据窃取等。

 

1.2数据加密与认证

 

  • 数据加密:对于车内外的所有数据传输进行加密处理,采用如 AES 加密算法等强加密手段,确保数据在传输过程中不被恶意篡改或窃听。
  • 身份认证:利用数字证书、密钥交换协议等技术,确保车内外通信双方的身份合法性。只有经过认证的设备和用户才能进行网络通信,避免了未授权访问的风险。

 

1.3入侵检测与防护

 

  • 入侵检测系统(IDS):安全网关需集成入侵检测系统,实时监控网络数据流,检测异常流量并发出警报,防止黑客入侵。
  • 防火墙功能:通过配置防火墙规则,安全网关能够阻止非法通信,限制不受信任的数据流入或流出车内网络。

 

OTA 安全保障

 
  • 随着汽车软件的不断升级,OTA(Over-the-Air)更新已成为常态。安全网关通过数字签名和完整性校验来确保固件和软件更新包的真实性与安全性,从而防止恶意软件通过 OTA 更新入侵系统。

 

威胁事件响应

 

  • 当检测到安全威胁或异常事件时,安全网关应能触发自动响应机制,例如立即阻断通信或警告驾驶员和车主。同时,日志记录与溯源功能将事件信息记录下来,供后期分析与取证使用。

 

 

 

二、安全域控制器

 

安全域控制器是汽车电子架构中的重要组成部分。它根据车辆功能的不同,将车辆划分为多个独立的安全域,每个安全域内包含独立的网络安全机制,从而实现不同系统的安全防护。

 

 

 

 

 

2.1各域控制器的独立机制

 

  • 加密与认证:每个安全域的控制器采用 AES 或 TLS 等加密技术,确保数据传输过程中不被篡改。以动力域为例,其控制的指令需要加密传输,防止伪造指令引发安全事故。
  • 访问控制:每个安全域的控制器应具备严格的访问控制机制。通过角色管理(RBAC)和权限分配,限制访问权限。例如,车身域的控制器只允许认证过的维修工具访问,防止未经授权的操作。

 

2.2防止跨域攻击

 

  • 域间隔离:通过配置安全网关,限制不同域之间的通信,避免跨域攻击的发生。若攻击者能够突破某一域的防线,跨域隔离可以有效避免攻击波及其他域。
  • 威胁检测与响应:每个安全域内的控制器还需要内置入侵检测系统(IDS)来监控异常数据流。一旦发现动力域发送异常命令,系统立即发出警告。

 

2.3针对各域的安全特性

 

  • 动力域:针对动力域的安全需求,控制器需要支持低延迟加密通信,以防止伪造指令和数据篡改。
  • 车身域:车身域控制器应确保设备在授权下才能操作,并且不影响其他系统的正常运行。
  • 车载娱乐域:车载娱乐域控制器要保护用户的隐私数据,并限制外设的权限,避免恶意外设干扰车载网络。

 

 

 

三、安全通讯

 

安全通讯在整车架构中扮演着至关重要的角色,通过一系列的加密技术和认证机制,确保车内外数据传输的安全性,防止数据泄露和篡改。

 

3.1车内通信

 

  • 典型场景:如动力域与车身域之间需要传递传感器数据。在此过程中,通信内容必须进行加密,以防止数据在传输过程中被截获或篡改。
  • 安全措施:
  • 使用 AES 加密协议保护通信内容,确保数据安全。
  • 通过 HMAC(Hash-based Message Authentication Code)等机制验证数据完整性,确保数据在传输过程中未被篡改。

 

3.2车外通信

 

  • 典型场景:车辆与云端服务、交通信号灯或其他外部系统进行通信时,必须确保数据传输的安全性和可靠性。
  • 安全措施:
  • 使用公钥基础设施(PKI)和数字签名技术验证消息来源,确保数据的真实性和完整性。
  • 采用 TLS 加密协议保护车外通信的数据传输,防止数据泄露或遭受中间人攻击。

 

 

 

四、安全 ECU

 

安全 ECU(电子控制单元)是车辆中每个电子组件的核心控制单元,它负责处理车辆的各类信息和指令。为了防止网络攻击和数据泄露,ECU 需要具备一系列安全功能。

 

 

4.1安全启动和固件保护

 

  • 安全启动:通过加密和数字签名验证,确保固件和操作系统的启动过程无篡改,防止恶意软件通过虚假启动进入系统。
  • 固件更新保护:针对固件更新过程,采用加密传输更新包,并防止回滚攻击,确保ECU只接受合法版本的固件。

 

4.2数据传输安全

 

  • 通信加密:使用 AES 或 TLS 等加密协议保护 ECU 之间的通信,确保传输内容的机密性和完整性。
  • 身份验证与密钥管理:基于公钥基础设施(PKI)认证设备身份,并采用密钥管理系统保护设备密钥。

 

4.3网络安全防护

 

  • 防火墙功能:ECU部部署防火墙,限制非法通信,并阻止未经授权的连接。
  • 入侵检测与防御:监控网络流量异常,及时阻止恶意行为,防止攻击扩展到其他系统。

 

4.4系统安全保护

 

  • 安全操作系统:ECU 应采用安全操作系统(如 RTOS),对关键任务进行隔离,防止应用程序对系统核心资源的干扰。
  • 权限管理:对用户和进程访问资源进行严格管理,确保系统的安全性和稳定性。

 

4.5数据存储安全

 

  • 加密存储:通过 AES等加密技术保护敏感数据的存储,防止数据泄露。
  • 完整性验证:对存储数据进行完整性校验,及时检测数据篡改行为。

 

物理安全

 

  • 防篡改设计:对 ECU硬件进行防篡改设计,防止硬件被非法拆解或篡改。
  • 硬件安全模块(HSM):集成硬件安全模块提供密钥存储和加密支持,确保物理层面的安全性。

 

安全开发与测试

 

  • 安全开发生命周期(SDL):从开发初期到部署后的每个阶段都应考虑安全问题,并进行安全性测试。
  • 漏洞扫描与渗透测试:对系统进行定期的漏洞扫描和渗透测试,及时发现和修复潜在的安全漏洞。

 

 

 

 

总结

 

网络安全整车架构设计旨在通过全面的安全措施保护车辆免受各种网络威胁。从安全网关到安全 ECU,每个组件都在保障汽车网络安全方面发挥着重要作用。随着车辆智能化和网联化的不断发展,网络安全问题将更加复杂多变,车企需要不断创新和完善网络安全架构,以应对日益严峻的安全挑战。

 

 

 

关于 MUNIK

 

我们目前具有经验丰富的网络安全老师,具备 UL 等多家著名认证资质的网络安全老师,客户主要是 OEM 主机厂和 T1/T2 零部件供应商,以及供应商和相关上下游行业。

前一个:
后一个: