在汽車電子系統發展的早期,汽車電子基礎軟件是沒有統一標準的,各個 OEM、Tier1、Tier2 等廠商針對不同領域的不同型號 ECU 開發不同的軟件,開發工作量大、成本高。一些問題逐漸顯露出來,如由于實時操作系統的應用程序接口不同而導致的應用程序移植性差等。隨著汽車電子技術的不斷發展,1993 年德國汽車工業界提出了 OSEK 汽車電子開放式系統及其接口的體系,這是汽車電子基礎軟件最初的行業標準,解決了應用軟件移植和重用的問題。但隨著汽車智能網聯化的飛速發展,傳統的汽車電子架構已經不能滿足整車的業務需要,汽車電子架構正朝著由封閉到開放、由分布式到集中式,軟件定義汽車、面向服務的軟件架構的出現,都對汽車電子基礎軟件的發展提出了新的挑戰。同時,汽車智能網聯化伴隨來的還有信息安全問題,不論是驅動、OS 或是中間件,一旦遭受到信息安全攻擊,將不能安全穩定地為汽車服務提供支撐,那么汽車會處于未知的風險中,不但影響駕駛體驗,甚至可能威脅生命。因此,一些基礎軟件相關信息安全標準應運而生。
2016 年,美國汽車工程師學會(SAE)發布了 SAE J3061 (Cybersecurity Guidebook for Cyber-Physical Vehicle Systems),其提供了車輛網絡安全的流程框架和指導,考慮了車輛的整個生命周期,從概念到生產、運行、維護和報廢。旨在幫助企業識別和評估網絡安全威脅,導入網絡安全到車輛的整個開發流程內。
2021 年 8 月,國際標準化組織(ISO)和 SAE 聯合起草發布了 ISO/SAE 21434 《道路車輛信息安全工程》(Road vehicles - Cybersecurity engineering),ISO 21434 是基于 SAE J3061 制定的,針對車輛整個生命周期的標準。其主要從風險評估管理、產品開發、運行維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。目的是通過該標準設計、生產、測試的產品具備一定信息安全防護能力。從組織 / 企業級、項目級、分布式開發、持續網絡安全管理、概念階段、產品開發階段、后開發階段等明確了關于流程要求、人員職責分配要求等。提供了威脅分析與風險評估(TARA)統一的方法論,便于在產品開發過程中進行漏洞的分析、定級以及安全目標的制定。該標準對汽車軟件開發的信息安全過程提出了要求,相關要求適用于汽車基礎軟件。
2003 年 7 月,AUTOSAR(AUTomotive Open System ARchitecture)組織建立,旨在為汽車電氣/ 電子構架開發一套開放的行業標準。AUTOSAR 核心成員主要由寶馬、博世、大陸、戴姆勒、福特、通用、標致、豐田、大眾這 9 家世界頂級主機廠和供應商組成,目前在全球范圍內已發展成為包含 220+ 家合作伙伴,覆蓋整車 OEM 廠商、零部件供應商、軟件供應商、芯片和硬件供應商、測評服務等汽車產業鏈相關企業和機構的國際化組織。
AUTOSAR 平臺是目前國際上廣泛認可的汽車電子系統基礎軟件平臺(包括汽車操作系統),在發布4.2.2 版本后,AUTOSAR 的標準體系分為基礎標準(Foundation)、經典平臺(classic platform)、自適應平臺(adaptive platform)和符合性測試(Acceptance Tests)等 4 個部分。在 AUTOSAR 經典平臺中,以硬件安全模塊(HSM , Hardware Security Module)為基礎,提供了密碼服務方面的層次架構,使得AUTOSAR 經典平臺的服務分為四個方面:系統、存儲、密碼和通信。基于密碼服務,AUTOSAR 經典平臺提供了安全通信組件 SecOC(Secure Onboard Communication),為車內網絡 ECU 之間的通信提供了真實性、完整性方面的保護能力。此外,為了保證對信息安全持續監控的實現,AUTOSAR 從基礎軟件角度提供了 IDS(Intrusion Detection System,入侵檢測系統 )。
在目前常見的 4.4.0 版本中針對信息安全做出了以下改進:
- 安全事件內存(Security Event Memory)
- 密鑰管理 / 密鑰分發(Key Management / Key Distribution)
- 認證同步的時間(Authentic Synchronized Time)
- 針對診斷訪問的動態權限管理(Dynamic Rights Management for Diagnostic Access)
-
改進的證書處理(Improved Certificate Handling)
另外,針對 V2X 的通信安全,AUTOSAR 標準也提出了一系列的信息安全要求,包括消息簽名的加密驗證、端到端安全、證書管理、應用程序安全相關機制等。
嵌入式系統常用的 C 語言是一種 “不安全” 的語言,例如 C 語言的指針很容易導致堆棧溢出、內存泄漏等各種問題。規范代碼的格式是有效解決辦法之一,即不要使用比較容易出錯的代碼格式。
1998 年,汽車產業軟件可靠性協會(MISRA)針對 C 語言易出錯的特性,提出了 C 語言的編碼規范 MISRAC;旨在提高關鍵應用程序中 C 代碼的可靠性,重點是避免容易出錯的功能,而不是強制執行特定的編程風格。MISRAC 最初就應用于汽車行業,后經過兩次修訂。當前版本是 MISRA C:2012,在此版本的 Amendment 1 中,提供了針對信息安全的代碼規范。
隨著汽車為了提供更多更強大的功能,車載嵌入式軟件和物聯網設備越來越多,更多的代碼連接到Internet。研究表明,汽車上已包含超過 1 億行代碼,對于如此大型,復雜的系統,我們必須開始認真對待軟件安全性。嵌入式軟件中的安全漏洞增加了惡意行為者攻擊的機會,這些攻擊會注入惡意軟件、竊取信息或執行其他未經授權的任務。
2008 年 10 月,美國軟件工程學院(SEI)提出了 CERT C 編程語言安全編碼規范,其目的是通過避免對安全性問題更敏感的編碼結構來開發符合功能安全、信息安全的可靠的系統。它更加關注安全的編碼實踐,而不僅僅是癥狀(例如,始終驗證輸入是一種安全的編碼實踐,而 SQL 注入是一種癥狀)。CERT 分析了哪些準則最為關鍵,可以對其進行認真分析,然后分為應遵循的 “規則” 和不太重要或缺乏聲音分析能力的 “建議” 。這有助于快速將靜態分析結果調整到最關鍵的水平。安全編碼實踐更大程度地消除了這些漏洞,減少了 “惡意軟件” 、“竊取信息” 或 “執行其它未經授權的任務” 等攻擊行為的攻擊面,減小了惡意行為者攻擊的機會。
CERT 提供了較為全面的安全措施,如敏感信息的保護、注入或劫持的預防等等是值得所有開發人員學習的。但 CERT 更專注于安全問題,適合與其他規范配合使用。
AutoMat Common Vehicle Information Model:歐盟于 2018 年 3 月發布了其 AutoMat 項目所研究的通用車輛信息模型(CVIM:Common Vehicle Information Model),即開放和品牌獨立的車輛大數據模型。針對大量持續收集的汽車數據,AutoMat 項目的核心意圖是利用目前從聯網汽車收集的未使用信息,為汽車大數據創新一個開放的生態系統,以跨境汽車大數據市場的形式實現。與市場的接口來自一個通用車輛信息模型 (CVIM),該模型使跨行業服務提供商可以訪問來自各個 OEM 廠商挖掘的匿名車輛數據。隨著來自汽車的大量易失性數據,AutoMat 生態系統極大地建立在當前大數據趨勢的基礎上。該規范提供了模型的架構、概念和方法、信號層規范、測量層規范、數據層規范。
NISTSP800是美國國家標準與技術研究院NIST(NationalInstituteofStandardsandTechnolgy)發布的一系列關于信息安全的指南,已成為美國和國際安全界廣泛認可的事實標準和權威指南。例如,NIST SP 800-131A 定義了有效的密碼算法,以及需要的密碼算法參數值以能夠在特定的時間段內實現特定的安全強度。
2002 年 12 月,NIST 發 布 了 FIPS Publication 140-2(Federal Information Processing Standards 140),該標準是針對密碼模塊的安全需求,為密碼模塊評測、驗證和最終認證提供基礎,作為聯邦
信息處理標準在政府機構廣泛采用。
本文整理自中國汽車基礎軟件信息安全研究報告
轉自汽車ECU開發
