AURIX? TC4x網(wǎng)絡(luò)安全架構(gòu)及對(duì)ISO/SAE 21434的支持

往期回顧

AURIX?  TC4x  微控制器的并行處理單元(PPU)簡介

AURIX? TC4x免費(fèi)開發(fā)環(huán)境介紹

英飛凌新一代MCU AURIX?  TC4x 即將量產(chǎn)

緣起今生：英飛凌車規(guī)MCU全系支持Rust 語言開發(fā)

探索 AUTOSAR 與 英飛凌 AURIX? TC4x MCAL 解決方案-上

探索 AUTOSAR 與 英飛凌 AURIX? TC4x MCAL 解決方案-下

AURIX? TC4x虛擬化技術(shù)助力下一代汽車EE架構(gòu)設(shè)計(jì)

車載以太網(wǎng)和AURIX? TC4x 千兆以太網(wǎng)/時(shí)間敏感網(wǎng)絡(luò)概覽

ISO/SAE 21434概述及TARA方法論

ISO/SAE 21434 簡介

                   1.1

隨著汽車與互聯(lián)網(wǎng)的連接性增強(qiáng)，自動(dòng)駕駛和高級(jí)駕駛輔助系統(tǒng)（ADAS）的發(fā)展，汽車網(wǎng)絡(luò)安全變得至關(guān)重要。ISO/SAE 21434標(biāo)準(zhǔn)的制定旨在幫助汽車行業(yè)在開發(fā)過程中有效控制網(wǎng)絡(luò)干擾和攻擊，確保車輛的安全性和可靠性。

該標(biāo)準(zhǔn)強(qiáng)調(diào)整個(gè)車輛生命周期的風(fēng)險(xiǎn)管理，包括概念階段、產(chǎn)品開發(fā)、生產(chǎn)、運(yùn)營、維護(hù)以及退役或終止網(wǎng)絡(luò)安全支持的各個(gè)階段。它要求對(duì)供應(yīng)鏈的所有部分實(shí)施網(wǎng)絡(luò)安全措施，并根據(jù)具體情況調(diào)整網(wǎng)絡(luò)安全活動(dòng)。同時(shí)還規(guī)定了組織層面的網(wǎng)絡(luò)安全管理要求，包括網(wǎng)絡(luò)安全治理、網(wǎng)絡(luò)安全文化、信息共享、管理體系、工具管理、信息安全管理、組織層面網(wǎng)絡(luò)安全審計(jì)七個(gè)方面。其適用范圍不僅包括車輛的相關(guān)項(xiàng)，還涉及售后和服務(wù)環(huán)節(jié)，確保整個(gè)汽車使用周期內(nèi)的網(wǎng)絡(luò)安全得到妥善管理。

下圖是ISO/SAE 21434:2021(E)標(biāo)準(zhǔn)的結(jié)構(gòu)框圖：

TARA方法論

                           1.2

威脅分析與風(fēng)險(xiǎn)評(píng)估（Threat Analysis and Risk Assessment, TARA），是ISO/SAE 21434標(biāo)準(zhǔn)推薦的網(wǎng)絡(luò)安全威脅建模方法論，下圖是TARA威脅分析風(fēng)險(xiǎn)評(píng)估示意圖樣例。

Item定義

實(shí)現(xiàn)車輛級(jí)功能的部件或部件組

資產(chǎn)識(shí)別

資產(chǎn)是網(wǎng)絡(luò)安全系統(tǒng)中具有價(jià)值的對(duì)象，其被破壞時(shí)會(huì)帶來安全風(fēng)險(xiǎn)，例如功能安全目標(biāo)、財(cái)務(wù)風(fēng)險(xiǎn)、運(yùn)營成本和隱私風(fēng)險(xiǎn)等。

安全屬性

參考STRIDE模型：

汽車行業(yè)中最重要的安全屬性是機(jī)密性、完整性和可用性（CIA：Confidentiality，Integrity，Availability）。

破壞場(chǎng)景

涉及車輛或車輛功能并影響道路使用者的不利后果。

影響評(píng)級(jí)

針對(duì)破壞場(chǎng)景的影響評(píng)級(jí)，需要基于下面四個(gè)維度去分解。首先是功能安全（Safety），其次有財(cái)產(chǎn)（Finance），再有運(yùn)營（Operation），最后是隱私（Privacy）。影響評(píng)級(jí)的標(biāo)準(zhǔn)可分為極其嚴(yán)重（Severe）、高（Major）、中等（Moderate）、忽略不計(jì)（Negligible）。

威脅場(chǎng)景

攻擊可行性評(píng)級(jí)的方法有多種，比如基于攻擊潛力（Attack Potential-Based Approach）、基于CVSS、基于攻擊向量（Attack Vector Based）等。ISO/SAE 21434中指出可以基于這三種方法中的任何一種進(jìn)行攻擊可行性評(píng)級(jí)，可分為非常低（Very Low）、低（Low）、中（Medium）、高（High）四個(gè)級(jí)別。

風(fēng)險(xiǎn)評(píng)級(jí)

風(fēng)險(xiǎn)值的評(píng)定需要對(duì)前述的四個(gè)維度（功能安全、財(cái)產(chǎn)、運(yùn)營、隱私）分別進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)。其中1代表最低風(fēng)險(xiǎn)值，5代表最高風(fēng)險(xiǎn)值。以下是風(fēng)險(xiǎn)矩陣的樣例：

風(fēng)險(xiǎn)處理

對(duì)于每一個(gè)威脅場(chǎng)景，基于前述的風(fēng)險(xiǎn)評(píng)級(jí)和風(fēng)險(xiǎn)值，可以采取下述的一個(gè)或多個(gè)風(fēng)險(xiǎn)處理方式。

基于TARA分析的規(guī)避風(fēng)險(xiǎn)處理，導(dǎo)出安全目標(biāo)，英飛凌對(duì)其解讀為頂層網(wǎng)絡(luò)安全需求（Top Level Cybersecurity Requirements）。

英飛凌的車載MCU系列產(chǎn)品，作為安全組件可以基于非特定場(chǎng)景網(wǎng)絡(luò)安全組件（Cybersecurity Component Out-of-Context）開發(fā)，如基于假定的應(yīng)用場(chǎng)景車聯(lián)萬物V2X應(yīng)用，其頂層網(wǎng)絡(luò)安全需求（Top Level Cybersecurity Requirements）包含保護(hù)通訊數(shù)據(jù)的完整性和機(jī)密性，繼而需要相應(yīng)的安全措施，如MCU對(duì)硬件的AEAD算法支持等！

AURIX? TC4x安全架構(gòu)

隨著通信能力的增強(qiáng)和網(wǎng)聯(lián)合的發(fā)展，未來的汽車將需要網(wǎng)絡(luò)安全保護(hù)，免受不斷變化的網(wǎng)絡(luò)環(huán)境的影響。為了適應(yīng)這些新的挑戰(zhàn)，我們開發(fā)了一個(gè)新的架構(gòu)來應(yīng)對(duì)即將到來的與汽車相關(guān)的網(wǎng)絡(luò)安全威脅。

AURIX? TC4x，我們即將推出的微控制器系列，配備了一個(gè)創(chuàng)新的安全簇。我們的安全簇支持新功能和算法，并提供最新的硬件加速，與前幾代相比，能夠提供更高的性能。

安全簇有兩個(gè)主要模塊：安全實(shí)時(shí)模塊（CSRM）和安全衛(wèi)星模塊（CSS）

CSRM是AURIX? TC4x

在安全硬件環(huán)境中的信任之根

1. 與前幾代相比，它的性能提高了5到15倍

2. 支持獨(dú)立于主核應(yīng)用程序的單個(gè)安全軟件更新

3. 并能夠?yàn)閺V泛的應(yīng)用程序?qū)崿F(xiàn)多個(gè)安全用例

CSS是安全簇的新模塊

1. 它作為硬件加速器外設(shè)，并行化為應(yīng)用程序領(lǐng)域提供安全服務(wù)

2. 多個(gè)通道可用于具有不同信任級(jí)別的應(yīng)用程序

3. 多個(gè)硬件加速器通道可提高吞吐量，避免性能瓶頸

4. 避免不同信任級(jí)別應(yīng)用的干擾（Freedom of Interference）

5. 支持ASIL-D應(yīng)用

網(wǎng)絡(luò)安全簇的一個(gè)關(guān)鍵特征是，它支持各種網(wǎng)絡(luò)安全用例，特別關(guān)注通信需求，這些需求在不斷發(fā)展的車輛E/E電子電氣架構(gòu)中不斷增加。以下是TC4x支持的常用安全用例。

TC4x的通訊模塊以及安全簇，還特別關(guān)注車載網(wǎng)絡(luò)以及車聯(lián)萬物V2X用例。

所有這些都允許：

• 最大限度地減少網(wǎng)絡(luò)安全應(yīng)用延遲，最大限度地提高吞吐量

• 用戶系統(tǒng)符合最新的安全標(biāo)準(zhǔn)，即ISO/SAE 21434和UNECE WP.29

• 助力軟件空中傳輸SOTA使用案例，更加安全可靠地實(shí)現(xiàn)軟件更新

• 使用關(guān)聯(lián)數(shù)據(jù)的認(rèn)證加密（AEAD）和使用關(guān)聯(lián)數(shù)據(jù)的認(rèn)證（AAD）解決方案，預(yù)計(jì)這些方案在未來將變得越來越重要

下圖是英飛凌針滿足ISO/SAE 21434的認(rèn)證證書。

企業(yè)范圍內(nèi)的認(rèn)證包括：

• 網(wǎng)絡(luò)安全管理持續(xù)的網(wǎng)絡(luò)安全活動(dòng)（如監(jiān)控、風(fēng)險(xiǎn)評(píng)估、漏洞分析）

• 風(fēng)險(xiǎn)評(píng)估方法（如威脅識(shí)別）

• 概念階段（例如網(wǎng)絡(luò)安全目標(biāo)）

• 產(chǎn)品開發(fā)階段（例如集成和驗(yàn)證）

• 開發(fā)后階段（例如網(wǎng)絡(luò)安全事件響應(yīng)）

同樣，TC4x系列產(chǎn)品會(huì)去支持ISO/SAE 21434產(chǎn)品級(jí)認(rèn)證！預(yù)計(jì)會(huì)提供給客戶TC4x產(chǎn)品認(rèn)證證書以及網(wǎng)絡(luò)安全用戶手冊(cè)（Cybersecurity Manual）。

參考文獻(xiàn)

[1]ISO/SAE 21434:2021(E) Road vehicles-Cybersecurity engineering.

[2]"The STRIDE Threat model". Microsoft.

[3]https://www.infineon.com/cms/en/product/promopages/safety-security-and-connectivity/

歡迎關(guān)注微信公眾號(hào)

英飛凌汽車電子生態(tài)圈