汽车跨域安全框架白皮书

汽车跨域安全框架 确保下一代汽车计算机的安全性、灵活性与可扩展性 Empowering Tomorrow’s Automotive Software www.etas.cn 摘要 本白皮书提出了一种“汽车跨域安全”框架，该框架通过定义严格分隔的通信通道来建立不同的域。我们的方法确保各功能模块既能独立运行，又能相互连接，类似于企业网络中的不同站点，从而为下一代汽车应用提供安全且灵活的架构。我们详细解析了该方法在向软件定义汽车（SDV）演进过程中的结构，强调了如何降低未经授权访问带来的风险。此外，我们通过真实车辆计算机的攻击案例，展示了可信执行环境（TEE）与硬件安全模块（HSM）结合使用的实际优势。本文进一步阐述了如何利用“汽车跨域安全”框架建立零信任（Zero Trust）模式，以实现完全安全的未来车载计算机。汽车跨域安全框架 3 1. 引言 汽车行业的发展愿景已经明确：不久的将来，车队将由软件定义的汽车（SDV）组成，这些汽车能够在整个生命周期内通过应用程序和服务的更新不断演进。对于制造商而言，这意味着在高度竞争的市场环境中，他们需要在极短的创新周期内推出新功能，同时满足所有（网络）安全要求。在SDV的核心部件——车载计算机上，这种安全与创新速度之间的平衡尤为重要。其目标是构建一个系统，使动态适配变得轻松，无需繁琐的集成或编程工作，同时确保安全性。 应对不断增长的外部网络安全威胁不仅是汽车行业面临的独特挑战。在数字化快速推进的任何行业，如何在复杂系统中建立高灵活性和互联性，同时维护功能完整性，都是一个关键议题。因此，我们可以借鉴其他领域的成熟解决方案。例如，企业IT架构已经建立了跨域解决方案（Cross-Domain Solutions, CDS）的安全原则。通过将这些经验应用到车载计算机，我们提出了“汽车跨域安全”框架。该框架通过严格隔离通信通道，并对安全相关功能进行隔离，确保汽车安全性。2. 车载计算机安全的挑战 在传统的汽车软件开发中，工程过程相对独立于应用程序的范围和深度。然而，无论如何都需要进行测试以检查所有车辆功能的完整性，即确保即使是看似无害的应用程序也不会触发可能危及驾驶员安全或成为恶意软件入口的故障。随着外部访问通道和请求的不断增加，车辆面临的风险越来越多，维护车辆整体安全所需的努力呈指数级增长。 这要求新的软件架构在简化软件开发、部署和运行的同时，仍然保持高水平的用户安全性和系统可靠性。车载计算机作为各种车辆功能的集中控制点，标志着迈向更加软件定义的未来。然而，这也带来了挑战。汽车制造商必须在确保适当安全措施和高灵活性的同时，应对不断增长的网络安全威胁。许多汽车行业的参与者正在这里开辟新天地。这值得跳出固有思维，采用成功的方法，而不是重新发明轮子。 您想了解更多关于汽车行业的网络安全吗？我们的白皮书《汽车网络安全全解析》是一本全面指南，应对高度动态变化的汽车网络安全领域，深入探讨车辆制造商面临的主要挑战和机遇。 汽车跨域安全框架 4 3. 安全相关功能 当谈到车辆中的安全相关功能时，首先想到的是制动功能、发动机管理、安全气囊等。尽管在向SDV发展的过程中，车辆架构发生了变化，但这些高度安全关键的组件通常仍然通过单独的电子控制单元（ECU）进行控制，而不是作为车载计算机域的一部分。然而，一系列直接影响这些安全组件的功能和信号将 不可避免地转移到车载计算机中。这从传感器技术的控制和处理开始，到影响驾驶的复杂功能，如障碍物检测（或ADAS）或电子稳定控制（ESC）。在本文中讨论安全相关功能时，我们指的是这一大类部分新出现的功能，它们与娱乐、舒适性和连接性功能一起托管在车载计算机上。4. 借鉴企业IT安全经验 好消息是，汽车行业并不是第一个面临在复杂且日益互联的系统中平衡灵活性与安全挑战的行业。能源、金融和医疗保健等关键行业也面临着不断扩展的IT环境，并设有不同安全级别的系统。例如，能源公司可能拥有控制电网运营的内部网络（敏感数据）和面向客户服务的外部网络（较不敏感的数据）。他们的跨域方法包括使用虚拟化原则将复杂系统拆分为隔离单元，在控制功能域内部署实时威胁检测和防御机制，如图1所示。 该跨域方法使他们能够管理不同域之间的安全访问和数据传输。 操作数据在保护状态下仍能实现外部通信，例如通过互联网与不同数据源进行双向数据流交互。这些行业参与者已经走上了这条道路，并找到了应对不断增长的网络安全威胁的方法。 单个车辆必须被视为一个复杂的企业网络。它具有许多内部相互连接以及与外部来源连接的域。因此，上述原则可以应用于车辆软件中——同时牢记，尽管数字化程度不断提高，车辆始终是一种旨在运输人员的机械设备。因此，所有道路使用者的安全始终是首要任务。 图1：IT行业应对外部网络安全威胁并通过采用跨域方法简化IT的原则。 强隔离: 专用虚拟机确保默认隔离， 防止威胁在网络内横向移动。 外部化控制： 对网络和系统配置、软件更新、访问策略、密钥轮换和所有其他非功能方面的控制被移到一个隔离的安全域中。这提供了极大的灵活性，并实现了动态控制，同时避免这些能力暴露于来自其他功能域的攻击。 实时威胁检测与预防： 引入安全域为部署安全解决方案（如入侵检测系统）提供了横向基础，用于（虚拟）网络通信和主机进程，而不会干扰功能域的功能。它允许实施本地安全响应以遏制攻击。 汽车跨域安全框架 5 5. 将学习成果应用于车载计算机 为了在汽车行业采用跨域方法，我们既引用了基本模式，也采用了使用额外域进行管理和连接的概念。其结果是建立了“汽车跨域安全”框架，该框架通过虚拟机(VM)2与应用程序之间的虚拟网络通道，实现差异化和本地化的安全响应。这种方法能够实现不同域的无缝连接，并支持 SDV（软件定义汽车）软件架构内的灵活软件部署。 通过对域进行隔离并针对其特定需求制定防护策略，可以有效降低风险。我们提出的车辆专属方法（见图 2）包括四个域。 图2：车载计算机中汽车跨域安全框架的域（虚拟机类别）。 安全域作为所有通信的网关。它包含强大的安全措施，包括专用VM、硬件安全模块和可信执行环境。此外，该域内的通信通过防火墙系统和入侵检测机制进行严格分析。安全域拥有系统配置和策略的独家权限，利用可信执行环境等技术确保与常规操作的分离。这种设置使车载计算机能够实施主动预防机制，从而减少对外部安全运营中心的依赖，并在修复可用之前遏制攻击。 域 安全性: 禁戒状态 质量管理静态域: 备用虚拟机 质量管理按需域: 暂停 虚拟机管理程序 安全域包含第3章中定义的所有安全相关功能。它是持续可用的，因此除了减少活动通信通道的数量外，不直接在虚拟机上保留干预能力。 质量管理（QM）静态域用于非安全关键但必不可少的功能。在这里，检测到操纵可能会提示停止VM，随后启动一个备用VM。为了遏制攻击，正在进行的服务数据不会传输到备用VM，这相当于服务重置。此外，可以建立一个连接有限的备用VM，以防止攻击的轻松复制，同时保留基本的QM功能，例如与信息娱乐系统相关的功能。 QM 按需域 促进不需要可用性的其余服务，以及边缘计