在汽車電子系統(tǒng)發(fā)展的早期,汽車電子基礎軟件是沒有統(tǒng)一標準的,各個 OEM、Tier1、Tier2 等廠商針對不同領域的不同型號 ECU 開發(fā)不同的軟件,開發(fā)工作量大、成本高。一些問題逐漸顯露出來,如由于實時操作系統(tǒng)的應用程序接口不同而導致的應用程序移植性差等。隨著汽車電子技術的不斷發(fā)展,1993 年德國汽車工業(yè)界提出了 OSEK 汽車電子開放式系統(tǒng)及其接口的體系,這是汽車電子基礎軟件最初的行業(yè)標準,解決了應用軟件移植和重用的問題。但隨著汽車智能網聯(lián)化的飛速發(fā)展,傳統(tǒng)的汽車電子架構已經不能滿足整車的業(yè)務需要,汽車電子架構正朝著由封閉到開放、由分布式到集中式,軟件定義汽車、面向服務的軟件架構的出現(xiàn),都對汽車電子基礎軟件的發(fā)展提出了新的挑戰(zhàn)。同時,汽車智能網聯(lián)化伴隨來的還有信息安全問題,不論是驅動、OS 或是中間件,一旦遭受到信息安全攻擊,將不能安全穩(wěn)定地為汽車服務提供支撐,那么汽車會處于未知的風險中,不但影響駕駛體驗,甚至可能威脅生命。因此,一些基礎軟件相關信息安全標準應運而生。
2016 年,美國汽車工程師學會(SAE)發(fā)布了 SAE J3061 (Cybersecurity Guidebook for Cyber-Physical Vehicle Systems),其提供了車輛網絡安全的流程框架和指導,考慮了車輛的整個生命周期,從概念到生產、運行、維護和報廢。旨在幫助企業(yè)識別和評估網絡安全威脅,導入網絡安全到車輛的整個開發(fā)流程內。
2021 年 8 月,國際標準化組織(ISO)和 SAE 聯(lián)合起草發(fā)布了 ISO/SAE 21434 《道路車輛信息安全工程》(Road vehicles - Cybersecurity engineering),ISO 21434 是基于 SAE J3061 制定的,針對車輛整個生命周期的標準。其主要從風險評估管理、產品開發(fā)、運行維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。目的是通過該標準設計、生產、測試的產品具備一定信息安全防護能力。從組織 / 企業(yè)級、項目級、分布式開發(fā)、持續(xù)網絡安全管理、概念階段、產品開發(fā)階段、后開發(fā)階段等明確了關于流程要求、人員職責分配要求等。提供了威脅分析與風險評估(TARA)統(tǒng)一的方法論,便于在產品開發(fā)過程中進行漏洞的分析、定級以及安全目標的制定。該標準對汽車軟件開發(fā)的信息安全過程提出了要求,相關要求適用于汽車基礎軟件。
2003 年 7 月,AUTOSAR(AUTomotive Open System ARchitecture)組織建立,旨在為汽車電氣/ 電子構架開發(fā)一套開放的行業(yè)標準。AUTOSAR 核心成員主要由寶馬、博世、大陸、戴姆勒、福特、通用、標致、豐田、大眾這 9 家世界頂級主機廠和供應商組成,目前在全球范圍內已發(fā)展成為包含 220+ 家合作伙伴,覆蓋整車 OEM 廠商、零部件供應商、軟件供應商、芯片和硬件供應商、測評服務等汽車產業(yè)鏈相關企業(yè)和機構的國際化組織。
AUTOSAR 平臺是目前國際上廣泛認可的汽車電子系統(tǒng)基礎軟件平臺(包括汽車操作系統(tǒng)),在發(fā)布4.2.2 版本后,AUTOSAR 的標準體系分為基礎標準(Foundation)、經典平臺(classic platform)、自適應平臺(adaptive platform)和符合性測試(Acceptance Tests)等 4 個部分。在 AUTOSAR 經典平臺中,以硬件安全模塊(HSM , Hardware Security Module)為基礎,提供了密碼服務方面的層次架構,使得AUTOSAR 經典平臺的服務分為四個方面:系統(tǒng)、存儲、密碼和通信。基于密碼服務,AUTOSAR 經典平臺提供了安全通信組件 SecOC(Secure Onboard Communication),為車內網絡 ECU 之間的通信提供了真實性、完整性方面的保護能力。此外,為了保證對信息安全持續(xù)監(jiān)控的實現(xiàn),AUTOSAR 從基礎軟件角度提供了 IDS(Intrusion Detection System,入侵檢測系統(tǒng) )。
在目前常見的 4.4.0 版本中針對信息安全做出了以下改進:
- 安全事件內存(Security Event Memory)
- 密鑰管理 / 密鑰分發(fā)(Key Management / Key Distribution)
- 認證同步的時間(Authentic Synchronized Time)
- 針對診斷訪問的動態(tài)權限管理(Dynamic Rights Management for Diagnostic Access)
-
改進的證書處理(Improved Certificate Handling)
另外,針對 V2X 的通信安全,AUTOSAR 標準也提出了一系列的信息安全要求,包括消息簽名的加密驗證、端到端安全、證書管理、應用程序安全相關機制等。
嵌入式系統(tǒng)常用的 C 語言是一種 “不安全” 的語言,例如 C 語言的指針很容易導致堆棧溢出、內存泄漏等各種問題。規(guī)范代碼的格式是有效解決辦法之一,即不要使用比較容易出錯的代碼格式。
1998 年,汽車產業(yè)軟件可靠性協(xié)會(MISRA)針對 C 語言易出錯的特性,提出了 C 語言的編碼規(guī)范 MISRAC;旨在提高關鍵應用程序中 C 代碼的可靠性,重點是避免容易出錯的功能,而不是強制執(zhí)行特定的編程風格。MISRAC 最初就應用于汽車行業(yè),后經過兩次修訂。當前版本是 MISRA C:2012,在此版本的 Amendment 1 中,提供了針對信息安全的代碼規(guī)范。
隨著汽車為了提供更多更強大的功能,車載嵌入式軟件和物聯(lián)網設備越來越多,更多的代碼連接到Internet。研究表明,汽車上已包含超過 1 億行代碼,對于如此大型,復雜的系統(tǒng),我們必須開始認真對待軟件安全性。嵌入式軟件中的安全漏洞增加了惡意行為者攻擊的機會,這些攻擊會注入惡意軟件、竊取信息或執(zhí)行其他未經授權的任務。
2008 年 10 月,美國軟件工程學院(SEI)提出了 CERT C 編程語言安全編碼規(guī)范,其目的是通過避免對安全性問題更敏感的編碼結構來開發(fā)符合功能安全、信息安全的可靠的系統(tǒng)。它更加關注安全的編碼實踐,而不僅僅是癥狀(例如,始終驗證輸入是一種安全的編碼實踐,而 SQL 注入是一種癥狀)。CERT 分析了哪些準則最為關鍵,可以對其進行認真分析,然后分為應遵循的 “規(guī)則” 和不太重要或缺乏聲音分析能力的 “建議” 。這有助于快速將靜態(tài)分析結果調整到最關鍵的水平。安全編碼實踐更大程度地消除了這些漏洞,減少了 “惡意軟件” 、“竊取信息” 或 “執(zhí)行其它未經授權的任務” 等攻擊行為的攻擊面,減小了惡意行為者攻擊的機會。
CERT 提供了較為全面的安全措施,如敏感信息的保護、注入或劫持的預防等等是值得所有開發(fā)人員學習的。但 CERT 更專注于安全問題,適合與其他規(guī)范配合使用。
AutoMat Common Vehicle Information Model:歐盟于 2018 年 3 月發(fā)布了其 AutoMat 項目所研究的通用車輛信息模型(CVIM:Common Vehicle Information Model),即開放和品牌獨立的車輛大數據模型。針對大量持續(xù)收集的汽車數據,AutoMat 項目的核心意圖是利用目前從聯(lián)網汽車收集的未使用信息,為汽車大數據創(chuàng)新一個開放的生態(tài)系統(tǒng),以跨境汽車大數據市場的形式實現(xiàn)。與市場的接口來自一個通用車輛信息模型 (CVIM),該模型使跨行業(yè)服務提供商可以訪問來自各個 OEM 廠商挖掘的匿名車輛數據。隨著來自汽車的大量易失性數據,AutoMat 生態(tài)系統(tǒng)極大地建立在當前大數據趨勢的基礎上。該規(guī)范提供了模型的架構、概念和方法、信號層規(guī)范、測量層規(guī)范、數據層規(guī)范。
NISTSP800是美國國家標準與技術研究院NIST(NationalInstituteofStandardsandTechnolgy)發(fā)布的一系列關于信息安全的指南,已成為美國和國際安全界廣泛認可的事實標準和權威指南。例如,NIST SP 800-131A 定義了有效的密碼算法,以及需要的密碼算法參數值以能夠在特定的時間段內實現(xiàn)特定的安全強度。
2002 年 12 月,NIST 發(fā) 布 了 FIPS Publication 140-2(Federal Information Processing Standards 140),該標準是針對密碼模塊的安全需求,為密碼模塊評測、驗證和最終認證提供基礎,作為聯(lián)邦
信息處理標準在政府機構廣泛采用。
本文整理自中國汽車基礎軟件信息安全研究報告
轉自汽車ECU開發(fā)
