加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長(zhǎng)期合作伙伴
立即加入
  • 正文
    • 一、汽車網(wǎng)關(guān)信息安全
    • 二、ECU安全通信
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請(qǐng)入駐 產(chǎn)業(yè)圖譜

智能網(wǎng)聯(lián)汽車信息安全發(fā)展報(bào)告(2021)系列十二:縱深防御技術(shù)架構(gòu)-車載內(nèi)部網(wǎng)絡(luò)安全防護(hù)

2022/06/24
1790
閱讀需 15 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

一、汽車網(wǎng)關(guān)信息安全

汽車網(wǎng)關(guān),也稱為車輛連接網(wǎng)關(guān)(CVG,Connected vehicle gateway)或者汽車連接網(wǎng)關(guān)(CCG,Connected car gateway),是允許車輛與外界通信的車輛入口點(diǎn)(entry point)。

這個(gè)入口點(diǎn),我們稱之為中央集線器,它不僅與外界通信,而且還提供可靠和安全的無(wú)線通信。更重要的是,由于現(xiàn)在車輛的功能和特征不斷增長(zhǎng),比如,我們可以使用各種網(wǎng)絡(luò)接口,包括局域互聯(lián)網(wǎng)絡(luò)(LIN)、控制器局域網(wǎng)絡(luò)(CAN),以及以太網(wǎng)等。車輛的網(wǎng)關(guān)必須能夠與任何,以及所有這些獨(dú)特的協(xié)議,及其范圍跨度很大的不同數(shù)據(jù)速率進(jìn)行有效通信。

(一)入侵檢測(cè)和防御系統(tǒng)

入侵檢測(cè)和防御系統(tǒng)(IDPS)的目的是被動(dòng)監(jiān)視、檢測(cè)和記錄不適當(dāng)?shù)?、不正確的、可疑的或者異常的活動(dòng),當(dāng)這些可能代表入侵的活動(dòng)被檢測(cè)到時(shí),IDPS會(huì)發(fā)出報(bào)警和(或)自動(dòng)響應(yīng)。入侵檢測(cè)過程可以監(jiān)控網(wǎng)絡(luò)中發(fā)生的事件并對(duì)它們進(jìn)行分析,以確定是否存在與設(shè)定的安全策略不符、可能引發(fā)事故、違規(guī)或迫在眉睫的威脅的跡象。入侵防御過程可以執(zhí)行入侵檢測(cè),然后阻止檢測(cè)到的事故。這些安全措施整合為入侵檢測(cè)系統(tǒng) (IDS) 和入侵防御系統(tǒng) (IPS) 后部署到網(wǎng)絡(luò)中,可以幫助檢測(cè)并阻止?jié)撛诘氖鹿省B欼T安全人員的職責(zé)是主動(dòng)評(píng)審IDPS報(bào)警和相關(guān)日志以對(duì)恰當(dāng)?shù)捻憫?yīng)做出決策。當(dāng)組織需要迅速檢測(cè)對(duì)組織信息系統(tǒng)的入侵并進(jìn)行適當(dāng)響應(yīng)時(shí),宜考慮部署IDPS。組織可通過獲取IDPS軟件和(或)硬件產(chǎn)品來(lái)部署IDPS,也可通過向IDPS服務(wù)提供商外包IDPS能力的方式部署IDPS。

入侵檢測(cè)通用模型將IDS(入侵檢測(cè)系統(tǒng))分為事件產(chǎn)生器(event generators)、事件分析器(event analyzers)、響應(yīng)單元(response units)、事件數(shù)據(jù)庫(kù)(event databases)4個(gè)部分,如圖所示。其中,IDS需要分析的數(shù)據(jù)統(tǒng)稱為事件;事件發(fā)生器從計(jì)算環(huán)境中收集事件,并將這些事件轉(zhuǎn)換成由CISL(common intrusion specification language)定義的通用格式GIDO(generalized intrusion detection objects)傳送給其他組件;事件分析器解析收到的GIDO并生成分析結(jié)果;響應(yīng)單元根據(jù)得到的分析結(jié)果采用一定的措施,比如報(bào)警處理等;事件數(shù)據(jù)庫(kù)用于儲(chǔ)存GIDO的中間或最終結(jié)果。

圖1 CIDF

 

入侵檢測(cè)技術(shù)分為兩類:異常入侵檢測(cè)(anomaly detection)和誤用異常檢測(cè)(misuse detection)。異常入侵檢測(cè)亦稱基于行為或活動(dòng)的入侵檢測(cè),它的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。異常檢測(cè)首先為對(duì)象的正常行為創(chuàng)立行為輪廓,稱為“活動(dòng)簡(jiǎn)檔”,當(dāng)檢測(cè)到當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較違反其統(tǒng)計(jì)規(guī)律時(shí),即視為入侵。異常檢測(cè)具有檢測(cè)系統(tǒng)中未知攻擊的能力,但其困難之處在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為,所以誤報(bào)率較高。異常檢測(cè)的局限在于并非所有的入侵都表現(xiàn)為異常,而且系統(tǒng)的軌跡難于計(jì)算和更新。誤用入侵檢測(cè)亦稱為基于規(guī)則的檢測(cè),它首先定義異常系統(tǒng)行為,然后將所有其他行為定義為正常。誤用入侵檢測(cè)主要在于如何表示入侵的特征以準(zhǔn)確無(wú)誤地區(qū)分入侵行為和正常行為,該方法的亮點(diǎn)是能夠明確地標(biāo)出入侵的類型,可以簡(jiǎn)單地將已知攻擊添加到模型中,且擁有較低的誤報(bào)率和較高的正確率。不足之處是該方法的漏報(bào)率高,因?yàn)樗荒馨l(fā)現(xiàn)已有的攻擊,無(wú)法識(shí)別未知的攻擊;實(shí)時(shí)更新與維護(hù)特征庫(kù)也比較困難。異常入侵檢測(cè)和誤用入侵檢測(cè)這兩種檢測(cè)各有其優(yōu)點(diǎn)和不足之處,因此,在實(shí)際使用中往往聯(lián)合使用這兩種方法。

組織能從市場(chǎng)上獲取IDPS軟件和(或)硬件產(chǎn)品,或通過向IDPS服務(wù)提供商外包IDPS功能等方式部署IDPS。任何情況下,組織宜知道IDPS不是一個(gè)即插即用設(shè)備,其有效部署需要組織對(duì)IDPS有所理解。

對(duì)每個(gè)控制,組織需要根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估證明IDPS部署的有效性,并將IDPS部署融入信息安全管理過程。另外,需要考慮到,一旦入侵者或攻擊者竊聽了包含已部署IDPS內(nèi)的信息并且覆蓋它,將使組織遭遇巨大的困難。這些困難包括如何識(shí)別并證明保護(hù)措施(如IDPS)需求。組織及有關(guān)系統(tǒng)或服務(wù)安全策略宜聲明將要選擇的保護(hù)措施以便適當(dāng)?shù)墓芾砣肭诛L(fēng)險(xiǎn)。

像每個(gè)控制一樣,組織需要根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估證明IDPS部署的有效性,并將其融入信息安全管理過程。另外,需要考慮到,萬(wàn)一入侵者和攻擊者竊聽了包含已部署的IDPS內(nèi)的信息并且覆蓋它,將使組織面臨巨大的困難。

若以不安全方式實(shí)施IDPS傳感器,就像網(wǎng)絡(luò)上的其他設(shè)備一樣,它很可能會(huì)被攻擊。在攻擊者了解其存在的情況下,他們更傾向于嘗試并利用IDPS任何已知的脆弱性。攻擊者可能試圖使IDPS失去能力,或者強(qiáng)迫它提供錯(cuò)誤信息。另外,許多IDPS存在安全弱點(diǎn),如發(fā)送未加密的日志文件、限制訪問控制和缺乏對(duì)日志文件的完整性檢查。以一種安全的方式實(shí)施IDPS傳感器和控制平臺(tái)是必要的,并宜處理IDPS的潛在弱點(diǎn)。

1.異常入侵檢測(cè)

基于機(jī)器學(xué)習(xí)的異常檢測(cè)方法。該方法關(guān)注構(gòu)造一個(gè)基于先前規(guī)則的,可以改進(jìn)性能的系統(tǒng)。

目前利用神經(jīng)網(wǎng)絡(luò)來(lái)檢測(cè)入侵工作的方法有基于系統(tǒng)調(diào)用的入侵檢測(cè)系統(tǒng)——系統(tǒng)調(diào)用序列分析,基于概率的不確定性推理網(wǎng)絡(luò)——貝葉斯網(wǎng)絡(luò),以及馬爾科夫鏈模型。但由于訓(xùn)練數(shù)據(jù)的容量不足以概括所有數(shù)據(jù)的特點(diǎn),其檢測(cè)能力存在過度擬合訓(xùn)練集,而不是測(cè)試集。而且神經(jīng)網(wǎng)絡(luò)訓(xùn)練消耗資源普遍較多,訓(xùn)練時(shí)間普遍較長(zhǎng),如何在保證檢測(cè)準(zhǔn)確率的前提下更加高效而低耗地訓(xùn)練神經(jīng)網(wǎng)絡(luò)是目前的一個(gè)難點(diǎn)。

基于統(tǒng)計(jì)的異常檢測(cè)方法。該方法依據(jù)已發(fā)生事件對(duì)未來(lái)事件進(jìn)行預(yù)測(cè):系統(tǒng)觀察主體行為并產(chǎn)生輪廓代表主體行為。通常,每個(gè)主體都保持有兩個(gè)輪廓:當(dāng)前輪廓和儲(chǔ)存輪廓,并定期計(jì)算異常評(píng)分,通過異常函數(shù)比較當(dāng)前輪廓與儲(chǔ)存輪廓,如果異常值高于閾值,則系統(tǒng)發(fā)出入侵警報(bào)。此方法具有較強(qiáng)的時(shí)序模式,但由于并不是所有系統(tǒng)行為都可以使用純粹的統(tǒng)計(jì)方法建模,所以該方法無(wú)法檢測(cè)不規(guī)則的入侵行為。

基于數(shù)據(jù)挖掘的異常入侵檢測(cè)用數(shù)據(jù)作為輸入,并從中找出肉眼不易看出的模式和偏差。數(shù)據(jù)挖掘添加關(guān)注異常檢測(cè)的層次,改善入侵檢測(cè)的過程。通過識(shí)別正常網(wǎng)絡(luò)活動(dòng)邊界,從普通網(wǎng)絡(luò)流量中識(shí)別出攻擊行為?;跀?shù)據(jù)挖掘的異常入侵檢測(cè)方法分為分類檢測(cè),即把審計(jì)數(shù)據(jù)分類為正?;虍惓?;聚類和孤立點(diǎn)檢測(cè)和關(guān)聯(lián)規(guī)則檢測(cè)。

2.基于簽名的誤用入侵檢測(cè)

為了檢測(cè)基于簽名的 IDS 攻擊,它必須擁有可以與檢測(cè)到的攻擊表現(xiàn)相匹配的攻擊描述。這可以像匹配網(wǎng)絡(luò)數(shù)據(jù)包的一部分的特定模式一樣簡(jiǎn)單,也可以像將多個(gè)傳感器輸出映射到抽象攻擊表示的狀態(tài)機(jī)或神經(jīng)網(wǎng)絡(luò)描述一樣復(fù)雜。

如果可以找到適當(dāng)?shù)某橄?,基于簽名的系統(tǒng)可以識(shí)別以前未見過的與已知模式抽象等效的攻擊。當(dāng)簽名與侵入式和非侵入式傳感器輸出相匹配時(shí),它們本質(zhì)上無(wú)法檢測(cè)到真正的新型攻擊并遭受誤報(bào)??梢酝ㄟ^多種方式開發(fā)簽名,從手動(dòng)翻譯攻擊表現(xiàn)到使用標(biāo)記的傳感器數(shù)據(jù)進(jìn)行自動(dòng)訓(xùn)練或?qū)W習(xí)。由于給定的簽名與已知的攻擊抽象相關(guān)聯(lián),因此基于簽名的檢測(cè)器相對(duì)容易為攻擊指定名稱(例如 Smurf、Ping-of-Death)。

Axelsson 分類法中處理基于簽名的系統(tǒng)的范圍從非常簡(jiǎn)單到非常復(fù)雜。最簡(jiǎn)單的系統(tǒng)是進(jìn)行簡(jiǎn)單的字符串匹配或遵循簡(jiǎn)單規(guī)則的系統(tǒng)。許多這些系統(tǒng)能夠基于單個(gè)網(wǎng)絡(luò)數(shù)據(jù)包做出決定。對(duì)于一大類攻擊,特別是那些針對(duì)特定漏洞的攻擊,例如從網(wǎng)絡(luò)讀取輸入的程序中的緩沖區(qū)溢出可能性,這就足夠了。類似地,可以在單個(gè)數(shù)據(jù)包的基礎(chǔ)上檢測(cè)到涉及數(shù)據(jù)包病理(例如相同的源地址和目標(biāo)地址)的攻擊。需要執(zhí)行多個(gè)步驟的漏洞利用需要 IDS 考慮多個(gè)數(shù)據(jù)項(xiàng),無(wú)論是一系列網(wǎng)絡(luò)數(shù)據(jù)包還是一組審計(jì)記錄。所有處理方法都將一些已知攻擊的表示編碼為可以與感測(cè)數(shù)據(jù)進(jìn)行比較的形式。當(dāng)感測(cè)到的數(shù)據(jù)與模式匹配時(shí)識(shí)別出攻擊。除了相對(duì)較少的例外,基于簽名的系統(tǒng)以相當(dāng)具體的數(shù)據(jù)表示運(yùn)行。過于具體的簽名會(huì)錯(cuò)過已知攻擊的微小變化,而過于籠統(tǒng)的簽名會(huì)產(chǎn)生大量的誤報(bào)。一些更成功的系統(tǒng),例如 STAT 系列,對(duì)某些類別的攻擊使用一個(gè)足夠抽象的表示,以便能夠識(shí)別那些在簽名創(chuàng)建時(shí)未知的“新”攻擊。這種行為是一種例外,通常,基于簽名的IDS,就像病毒檢測(cè)器一樣,在發(fā)現(xiàn)新的攻擊時(shí)必須更新。大多數(shù)商業(yè)系統(tǒng)都屬于這一類,在選擇部署系統(tǒng)時(shí),更新的方便性和頻率是一個(gè)問題。

二、ECU安全通信

(一)硬件安全模塊(HSM)

隨著工業(yè)系統(tǒng)、汽車及其子系統(tǒng)(如ADAS,自動(dòng)駕駛,信息娛樂)的持續(xù)性增長(zhǎng)和發(fā)展,對(duì)數(shù)據(jù)完整性和系統(tǒng)身份驗(yàn)證的需求也在不斷增長(zhǎng)。嵌入式安全性的一個(gè)非常重要的方面是硬件安全模塊(HSM),是提供安全密鑰管理和加密處理的安全區(qū)域,將多應(yīng)用程序功能與實(shí)時(shí)通信結(jié)合在了一起。

對(duì)于ECU層級(jí)的安全,硬件安全模塊(HSM)很關(guān)鍵。如圖所示,左邊是Tricore及相應(yīng)的外設(shè),右邊就是HSM,中間隔了一層防火墻,可以有效保護(hù)HSM。HSM本身有自己的內(nèi)核,可以做一些加密解密運(yùn)算,同時(shí)內(nèi)部也有一些模塊是做各種安全算法的,比如ECC256,Hash算法等,還有隨機(jī)數(shù)生成TRNG;另外HSM也有自己獨(dú)有的RAM和Flash,只有HSM的內(nèi)核才可以訪問,Tricore是訪問不了的。有了HSM,可以將一些Key存儲(chǔ)在HSM的Flash,也可以通過HSM來(lái)進(jìn)行加密或解密,這樣安全性會(huì)得到相應(yīng)的保證。

圖2 HSM

為了達(dá)到期望的ECU安全性,單純的軟件解決方案往往是不足的。HSM能夠提高嵌入式系統(tǒng)對(duì)更復(fù)雜攻擊的抵抗能力,并且可以為密鑰數(shù)據(jù)、以及針對(duì)軟件篡改提供擴(kuò)展的保護(hù)。

然而,硬件安全模塊集成過程的復(fù)雜程度很高,并且要求在控制單元內(nèi)創(chuàng)建第二個(gè)獨(dú)立的軟件環(huán)境。此處適用特殊的安全要求,它們與軟件開發(fā)方面的通用功能安全性(Safety)要求并不一致。

通過采用一套專門的安全技術(shù),確保通過HSM可以實(shí)現(xiàn)的安全收益不會(huì)被抵消;通過使用一套交鑰匙軟件解決方案以及成熟的接口,確保可以控制由于安全功能嵌套所導(dǎo)致的開發(fā)復(fù)雜度,同時(shí)為應(yīng)用程序開發(fā)人員留出了足夠的空間,讓他們能夠?qū)W⒂谧钪匾哪繕?biāo)--ECU的功能性。

HSM固件高效且面向未來(lái)的構(gòu)架以及已經(jīng)推出的品種繁多的模塊為HSM的使用提供了無(wú)限的可能:從簡(jiǎn)單的密鑰操作,SHE/SHE+功能的仿真和控制單元安全的引導(dǎo),直至復(fù)雜的證書管理或者后臺(tái)運(yùn)行軟件篡改識(shí)別功能。這些功能可以各自單獨(dú)使用或者全部同時(shí)使用。

歡迎相關(guān)企業(yè)和專家交流咨詢!

聯(lián)系人:朱云堯(zhuyunyao@caeri.com.cn)

相關(guān)推薦

電子產(chǎn)業(yè)圖譜

通用技術(shù)中國(guó)汽研政研中心,圍繞汽車電動(dòng)化、智能化、網(wǎng)聯(lián)化和新服務(wù),組織開展汽車政策法規(guī)、前沿技術(shù)、產(chǎn)業(yè)地圖、企業(yè)戰(zhàn)略、商業(yè)模式等跟蹤、解讀和研究工作。