汽車跨域安全框架汽車跨域安全框架EmpoweringTomorrow’sAutomo摘要本白皮書提出了一種“汽車跨域安全”框架，該框架通過定義嚴格分隔的通信通道來建立不同的域。我們的方法確保各功能模塊既能獨立運行，又能相互連接，類似于企業(yè)網(wǎng)絡中的不同站點，從而為下一代汽車應用提供安全且靈活的架構。我們詳細解析了該方法在向軟件定義汽車（SDV）演進過程中的結構，強調(diào)了如何降低未經(jīng)授權訪問帶來的風險。此外，我們通過真實車輛計算機的攻擊案例，展示了可信執(zhí)行環(huán)境（TEE）與硬件安全模塊（HSM）結合使用的實際優(yōu)勢。本文進一步闡述了如何利用“汽車跨域安全”框架建立零信任（ZeroTrust）模式，以實現(xiàn)完全安全的未來車載汽車跨域安全框架31.引言汽車行業(yè)的發(fā)展愿景已經(jīng)明確：不久的將來，車隊將通過應用程序和服務的更新不斷演進。對于制造商意味著在高度競爭的市場環(huán)境中，他們需要在極短期內(nèi)推出新功能，同時滿足所有（網(wǎng)絡）安全要求。在的核心部件——車載計算機上，這種安全與創(chuàng)新速的平衡尤為重要。其目標是構建一個系統(tǒng)，使動態(tài)適應對不斷增長的外部網(wǎng)絡安全威脅不僅是汽車行業(yè)面臨的挑戰(zhàn)。在數(shù)字化快速推進的任何行業(yè)，如何在復雜系高靈活性和互聯(lián)性，同時維護功能完整性，都是一題。因此，我們可以借鑒其他領域的成熟解決方案。業(yè)IT架構已經(jīng)建立了跨域解決方案（Cross-DomainSolutiCDS）的安全原則。通過將這些經(jīng)驗應用到車載計算提出了“汽車跨域安全”框架。該框架通過嚴格隔離在傳統(tǒng)的汽車軟件開發(fā)中，工程過程相對獨立于應用圍和深度。然而，無論如何都需要進行測試以檢查所有車能的完整性，即確保即使是看似無害的應用程序也不會觸能危及駕駛員安全或成為惡意軟件入口的故障。隨著外部通道和請求的不斷增加，車輛面臨的風險越來越多，維護這要求新的軟件架構在簡化軟件開發(fā)、部署和運行的然保持高水平的用戶安全性和系統(tǒng)可靠性。車載計算機作種車輛功能的集中控制點，標志著邁向更加軟件定義的未然而，這也帶來了挑戰(zhàn)。汽車制造商必須在確保適當安全和高靈活性的同時，應對不斷增長的網(wǎng)絡安全威脅。許多行業(yè)的參與者正在這里開辟新天地。這值得跳出固有思維深入探討汽車網(wǎng)絡安全您想了解更多關于汽車行業(yè)的網(wǎng)絡安全嗎？我們的 變化的汽車網(wǎng)絡安全領域，深入探討車輛制造汽車跨域安全框架4當談到車輛中的安全相關功能時，首先想到的是制動功能、發(fā)動機管理、安全氣囊等。盡管在向SDV發(fā)展的過程輛架構發(fā)生了變化，但這些高度安全關鍵的組件通過單獨的電子控制單元（ECU）進行控制，而計算機域的一部分。然而，一系列直接影響這些安不可避免地轉移到車載計算機中。這從傳感器技術的控理開始，到影響駕駛的復雜功能，如障礙物檢測（或ADA或電子穩(wěn)定控制（ESC）。在本文中討論安全們指的是這一大類部分新出現(xiàn)的功能，它們與娛樂、4.借鑒企業(yè)IT安全經(jīng)驗好消息是，汽車行業(yè)并不是第一個面臨在復雜且系統(tǒng)中平衡靈活性與安全挑戰(zhàn)的行業(yè)。能源、金融和健等關鍵行業(yè)也面臨著不斷擴展的IT環(huán)境，并設有不同級別的系統(tǒng)。例如，能源公司可能擁有控制電網(wǎng)運營網(wǎng)絡（敏感數(shù)據(jù)）和面向客戶服務的外部網(wǎng)絡（較不數(shù)據(jù)）。他們的跨域方法包括使用虛擬化原則將復雜分為隔離單元，在控制功能域內(nèi)部署實時威脅檢測和該跨域方法使他們能夠管理不同域之間的安全訪問操作數(shù)據(jù)在保護狀態(tài)下仍能實現(xiàn)外部通信，例如通過互不同數(shù)據(jù)源進行雙向數(shù)據(jù)流交互。這些行業(yè)參與者已經(jīng)走單個車輛必須被視為一個復雜的企業(yè)網(wǎng)絡。它具有互連接以及與外部來源連接的域。因此，上述原則可車輛軟件中——同時牢記，盡管數(shù)字化程度不斷提始終是一種旨在運輸人員的機械設備。因此，所有道強隔離:專用虛擬機確保默認隔離，防止威脅在網(wǎng)絡內(nèi)橫向移動。強隔離:專用虛擬機確保默認隔離，防止威脅在網(wǎng)絡內(nèi)橫向移動。實時威脅檢測與預防：引入安全域為部署安全解決方案（如入侵檢測系統(tǒng)）提供了橫向基礎，用于（虛擬）網(wǎng)絡通信和主機進程，而不會干擾功能域的功能。它允許實施本地安全響應以遏制攻擊。外部化控制：對網(wǎng)絡和系統(tǒng)配置、軟件更新、訪問策略、密鑰輪換和所有其他非功能方面的控制被移到一個隔離的安全域中。這提供了極大的靈活性，并實現(xiàn)了動態(tài)控制，同時避免這些能力暴露于來自其他功能域的攻擊。圖1：IT行業(yè)應對外部網(wǎng)絡安全威脅并通過采用跨域方法簡化IT的原則。汽車跨域安全框架55.將學習成果應用于車載計算機安全”框架，該框架通過虛擬機(VM)2此外，該域內(nèi)的通信通過防火墻系統(tǒng)和入侵進行嚴格分析。安全域擁有系統(tǒng)配置和策略從而減少對外部安全運營中心的依賴，并在修安全域包含第3章中定義的所有安全相關功能可用的，因此除了減少活動通信通道的數(shù)量外域圖2：車載計算機中汽車跨域安全框架的域（虛擬機類別）。質(zhì)量管理（QM）靜態(tài)域用于非安全關鍵但必不可少的功能。在這里，檢測到操縱可能會提示停止VM，隨后啟動一個備用VM。為了遏制攻擊，正在進行的服務數(shù)據(jù)不會傳輸?shù)絺溆肰M，這相當于服務重置。此外，可以建立一個連接有限的備用VM，以防止攻擊的輕松復制，同時保留基本的QM功能，例如與信息娛樂系統(tǒng)相關的功能。計算和實際按需功能等高級功能。它可以被掛所有服務終止。雖然這不可避免地影響用戶體驗汽車跨域安全框架66.深入探討：安全域安全域在跨域方法中發(fā)揮著關鍵作用，因為它承載全組件。它負責管理訪問和更新策略，并可能監(jiān)督整個平各個域通過星型拓撲的虛擬網(wǎng)絡連接，如圖3所示，安位于中心位置。這確保了從質(zhì)量管理（QM）設備流向安全域可以應用于這些流量控制，從簡單的防火墻到深度數(shù)據(jù)再到完整的協(xié)議隔離器。所有這些機制都會向中央的基QM靜態(tài)圖3：域之間的通信流（星型網(wǎng)絡）以及用于提供安全功能同時確保性能的技術。這種方法確保獲得足夠的安全級別以保護安全域。然的計算開銷可能很大。安全域通常需要快速響應時CAN總線上操作），具有低延遲——通常在10到20內(nèi)，并且需要實時執(zhí)行。為了保證安全操作的服務安全模塊（HSM）可以專門與安全域關聯(lián)。雖然安全域本身是一個常規(guī)VM，但它可能會利用技術。HSM核心在汽車行業(yè)中廣為人知，并提供強大的、經(jīng)過安全認證的加密功能?？尚艌?zhí)行環(huán)境（TEE）3可以提供類加密功能。然而，其優(yōu)勢在于其靈活性。HSM核心是系統(tǒng)芯片（SoC）設計中的硬件核心。TEE則是軟件操作系統(tǒng)和現(xiàn)這使得TEE能夠利用CPU的所有功能——從多個高性大地址空間和外圍設備訪問。在許多方面，TEE可以被視一個VM，盡管具有硬件隔離，形式為單獨的處理器狀我們設想安全核心使用TEE執(zhí)行其許多功能。例如，與新或域間通信相關的策略評估可以完全在TEE內(nèi)進行，以限制攻擊者的訪問。同樣，TEE可以存儲大量數(shù)據(jù)，從而實現(xiàn)復雜的密鑰輪換和訪問策略，同時為審計日志或崩潰數(shù)據(jù)提供護的存儲。這種架構提供了顯著的靈活性，甚至允許在HSM和TEE之間分配安全敏感任務。運行在QM靜態(tài)或QM按需域中的應用程序可以被授予訪問TEE中特定應用程序的權限，以直接最后，所提出的域分割和安全技術（HSM、TEE和虛擬機管理程序）允許用戶構建一個零信任平臺，該平臺...汽車跨域安全框架77.實際場景的用例IT行業(yè)起源的示例。拒絕服務（DoS）攻擊是一種相當常見的網(wǎng)絡威脅類型，旨在通過向設備發(fā)送大量流量使其用戶使用并無法維持其功能。無論是IT專家還是小型網(wǎng)站的操作員，每個與網(wǎng)絡打交道的人都熟悉這種類型的攻如圖4所示，我們假設攻擊者能夠接管VM3中的應用程序（例），換句話說，攻擊者需要從VM3升級到VM2。這里的特于：不需要進一步的漏洞來實現(xiàn)這種升級。攻擊依賴于VMVM3都具有合法訪問HSM的權限。在此示例中，VM2中的功能將依賴HSM進行安全的車載通信（例如防盜功能或任何其他影響駕駛相關功能的信號）。由于VM3具有合法訪問HSM的權限，它只需發(fā)送大量請求，使VM2無法執(zhí)行安全的車載通信，VM0,QNX/dev/vnet1/dev/vnet0共享RAMHSM狀態(tài)客戶操作系統(tǒng)客戶操作系統(tǒng)客戶操作系統(tǒng)客戶操作系統(tǒng)客戶操作系統(tǒng)客戶操作系統(tǒng)圖4：通過VM3上的應用程序進行的網(wǎng)絡攻擊，影響其他VM?；驘o法在正確的時間執(zhí)行，從而有效地將其與車輛中的其為了構建我們的跨域安全系統(tǒng)，我們使用圖5中所示的設置。在我們的示例中，QNX虛擬機管理程序使用主虛擬機（VM0）。由于它對客戶VM具有完全控制權，VM0用于安全域。它分配了一個專用的CPU核心，使所有流量能夠通過安全解決方案進行路由和檢查。使用專用的虛擬Host2Guest網(wǎng)絡接口，包含遠程信息處理服務的QMVM（VM3）以及包含防盜功能的安全VM（VM2）LinuxLinuxIPCDrvIPCDrv安全域質(zhì)量管理域安全域圖5：具有分層防御響應和安全VM旁路的網(wǎng)絡攻擊場景。汽車跨域安全框架8VM2和VM3都具有訪問HSM的權限。通過引入TEE將VM3連接到HSM，所有對HSM的訪問請求都可以報告給VM0中央IDS，從而輕松檢測到DOS攻擊。此外，TEE能夠強制執(zhí)行訪問策略，例如限制訪問速率或完全禁止訪問說，這種設置使我們能夠在服務級別對攻擊做出反勢在于高精度和對整體功能的有限影響。然而，這們引入了跨域安全管理器（CDS它控制虛及其網(wǎng)絡配置，包括防火墻。在攻擊情況下，CDS可以VM3，并假設攻擊者無法持久化其攻擊（即繞過安），可以在VM重啟后禁用遠程信息處理服務。這有助于在此外，CDS可以阻止遠程信息處理服務的外部網(wǎng)果受攻擊的服務已知，這種設置可以在網(wǎng)絡級別對攻擊做我們假設攻擊是通過VM3上的隨機應用程序進行的。圖了攻擊如何影響位于相鄰VM上的其他車輛功能，因為我們的框架包括IDS和安全域的檢測和分層響應操作許車載計算機的進一步功能。在最佳情況下，駕駛員正如我們在圖5中看到的，安全VM不受影響，并且可以在攻擊過程中維持車輛功能。因此，該框架通過獨立的安全域，不僅提供了多層次的防御機制，還盡可能保持車輛功能運行，特別是與安全相關的功能。與單一域系統(tǒng)相比，受在快速發(fā)展的汽車行業(yè)中，安全至關重要。我們提出的“汽車跨域安全”框架提一種穩(wěn)健的方法來保護車載計算機，借鑒了多個行業(yè)的經(jīng)驗，確保靈活性而全性。該框架將虛擬化的最佳實踐從企業(yè)/云網(wǎng)絡轉移到汽車系統(tǒng)中。這一方法個重要優(yōu)勢是最終可以在車載計算機中實現(xiàn)零信任平臺，即汽車網(wǎng)絡安全的下展方向，使得車輛計算機具備更高的安全性。這將幫助汽車制造商構建一個汽車跨域安全框架9汽車跨域安全框架10通過我們?nèi)娴腅SCRYPT車載計算機安全套為跨域方法奠定基礎。該解決方案組合提供了特應用，實現(xiàn)個性化定制。這一套件具備全面的未來ESCRYPTCycurSoCESCRYPTCycurIDS-基于主機的-ESCRYPTCycurIDS-ETHESCRYPTCycurGATEESCRYPTTrustedOSESCRYPTCycurGATEESCRYPTCycurIDS-ETHESCYPTCycurHSM3.xESCYPTCycurLIBESCYPTCycurIDS-CANESCRYPTCycurH