符合功能安全與網(wǎng)絡(luò)安全要求的E2E通訊范文
本站小編為你精心準(zhǔn)備了符合功能安全與網(wǎng)絡(luò)安全要求的E2E通訊參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。
[摘要] 隨著R155、R156、ISO 21434等汽車(chē)領(lǐng)域的網(wǎng)絡(luò)安全要求的法規(guī)和標(biāo)準(zhǔn)的,要求產(chǎn)品既符合功能安全標(biāo)準(zhǔn),又符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。本文從安全設(shè)計(jì)流程出發(fā),以通訊通道的安全保護(hù)為例,介紹符合標(biāo)準(zhǔn)要求的研發(fā)過(guò)程及安全設(shè)計(jì)措施。
[關(guān)鍵詞] 智能網(wǎng)聯(lián)汽車(chē) 網(wǎng)絡(luò)安全 功能安全 ISO 26262 ISO 21434
一、安全體系的融合
在產(chǎn)品研發(fā)前,首先要建立符合《ISO 26262 道路車(chē)輛功能安全》和《ISO/SAE 21434 道路車(chē)輛網(wǎng)絡(luò)安全》的文化和管理流程體系。 在安全文化方面,網(wǎng)絡(luò)安全與功能安全的要求相似,企業(yè)應(yīng)建立、培養(yǎng)和保持有力的安全文化,確保“支持和保證安全活動(dòng)”保質(zhì)保量實(shí)施。良好的文化,不僅體現(xiàn)在企業(yè)口號(hào)和員工安全意識(shí)上,更體現(xiàn)在公司級(jí)的安全手冊(cè)和研發(fā)流程上。 這兩類(lèi)安全管理體系都包含公司級(jí)或全局級(jí)、項(xiàng)目級(jí)的安全管理。實(shí)施時(shí),需在質(zhì)量管理的基礎(chǔ)上,將這兩類(lèi)安全管理體系進(jìn)行有效地融合。建立起涵蓋概念階段、研發(fā)階段、生產(chǎn)運(yùn)行及報(bào)廢等階段,全生命周期的管理手冊(cè)、流程、指南、模板、檢查列表等一系列可指導(dǎo)實(shí)施,可持續(xù)改進(jìn)的工作輸出物,為具體項(xiàng)目實(shí)施打下堅(jiān)實(shí)基礎(chǔ)。
二、概念階段
在概念階段,首先要進(jìn)行相關(guān)項(xiàng)的定義,定義出相關(guān)項(xiàng)的功能及非功能的需求、邊界、約束條件以及運(yùn)行環(huán)境等信息。根據(jù)定義的相關(guān)項(xiàng),先進(jìn)行功能安全的危害分析和風(fēng)險(xiǎn)評(píng)估(Hazard Analysisand Risk Assessment)[1],通過(guò)各種定義的功能與多種失效或故障關(guān)鍵字的組合產(chǎn)生的整車(chē)級(jí)危害表現(xiàn),與各種場(chǎng)景進(jìn)行組合,從而導(dǎo)出各種場(chǎng)景下各個(gè)功能失效的S(傷害度)、E(暴露度)、C(可控程度),再進(jìn)行整理合并,導(dǎo)出功能安全目標(biāo),并在初始架構(gòu)的支持下,通過(guò)安全分析,將功能安全目標(biāo)形成功能安全需求,分配給架構(gòu)上的各個(gè)元素。由于網(wǎng)絡(luò)安全在概念階段非常復(fù)雜,在相關(guān)項(xiàng)定義的基礎(chǔ)上,需要進(jìn)行整車(chē)網(wǎng)絡(luò)安全威脅分析與評(píng)估(TARA)[2]。在系統(tǒng)初始架構(gòu)圖的基礎(chǔ)上,對(duì)數(shù)據(jù)流進(jìn)行分析,識(shí)別出安全資產(chǎn)。在《SAE J 3 0 6 1 網(wǎng)聯(lián)汽車(chē)網(wǎng)絡(luò)架構(gòu)安全指南》中,提供了多種TARA分析方法,如電子安全車(chē)輛入侵防護(hù)應(yīng)用(EVITA)[3]、待分析系統(tǒng)的威脅、漏洞和風(fēng)險(xiǎn)(TVRA)、修復(fù)漏洞以增強(qiáng)軟件安全性(HEAVENS)等。以EVITA模型為例,除了要考慮功能安全方面的影響外,還需要考慮對(duì)隱私、財(cái)產(chǎn)、駕駛員操作等方面的影響,并結(jié)合威脅場(chǎng)景考慮攻擊或潛在攻擊的可能性,最終形成對(duì)風(fēng)險(xiǎn)的評(píng)估和應(yīng)對(duì)措施的初步設(shè)計(jì)。一般情況下,若項(xiàng)目同時(shí)需要符合功能安全和網(wǎng)絡(luò)安全的要求,先進(jìn)行功能安全的HARA分析,再進(jìn)行TARA分析,然后在一起進(jìn)行統(tǒng)一的綜合分析和評(píng)審,最后形成分配給各要素的功能安全需求和網(wǎng)絡(luò)安全需求。
三、設(shè)計(jì)階段
在設(shè)計(jì)階段,功能安全分為系統(tǒng)階段、硬件階段和軟件階段,逐步將安全需求進(jìn)行細(xì)化和分配。I S O 21434的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)設(shè)計(jì)階段統(tǒng)一考慮。 完成了融合的安全流程體系和概念階段工作后,在設(shè)計(jì)方面,本文以端到端(e2e)的通訊保護(hù)的安全需求為例,分析如何設(shè)計(jì)才能滿足兩種安全的需求。首先,在功能安全方面,要對(duì)端到端的通訊/數(shù)據(jù)傳輸可能的失效模式進(jìn)行分析(參考I S O 26262標(biāo)準(zhǔn)的第5部分附錄D),可能的失效模式有如下類(lèi)型:通信節(jié)點(diǎn)丟失、消息損壞、消息不可接受的延時(shí)、消息丟失、非預(yù)期的消息重復(fù)、消息順序錯(cuò)誤、消息插入、消息偽裝、消息尋址錯(cuò)誤。針對(duì)這些失效模式,可采取的有效安全措施主要包括奇偶位的檢驗(yàn)、通訊通道硬件的冗余、使用測(cè)試模式檢驗(yàn)、發(fā)送冗余、信息冗余、幀計(jì)數(shù)器、超時(shí)監(jiān)控、發(fā)送信息回讀以及多種措施的組合。在這些安全措施中,完全硬件冗余,使用測(cè)試模式檢驗(yàn)和信息冗余、幀計(jì)數(shù)器和超時(shí)監(jiān)控組合達(dá)到了高診斷覆蓋率,可以達(dá)到99%單點(diǎn)故障的診斷覆蓋率,達(dá)到了汽車(chē)安全完整性等級(jí)(ASILD)的要求。對(duì)于常用的循環(huán)冗余校驗(yàn)(CRC)措施,覆蓋率依賴于被覆蓋數(shù)據(jù)的長(zhǎng)度、CRC 的大小(位數(shù))和多項(xiàng)式,常用的有16位CRC校驗(yàn)、32位CRC校驗(yàn)等方式。 在功能安全設(shè)計(jì)中,為了實(shí)現(xiàn)高診斷覆蓋率,更多時(shí)候采用多種措施組合,如將信息冗余、幀計(jì)數(shù)器和超時(shí)監(jiān)控等組合使用,同時(shí)用多種方式對(duì)傳輸?shù)男畔⑦M(jìn)行校驗(yàn),使得在信息出現(xiàn)丟失或偏差的時(shí)候,能夠及時(shí)通過(guò)診斷獲知異常,并在故障容錯(cuò)時(shí)間間隔(Fault Tolerant Time Interval)[4]內(nèi)完成安全狀態(tài)的轉(zhuǎn)換。 在網(wǎng)絡(luò)安全方面 , 可以根據(jù)E C E R155的法規(guī)內(nèi)容對(duì)端到端的通訊/數(shù)據(jù)傳輸面臨的網(wǎng)絡(luò)安全威脅進(jìn)行分析,常見(jiàn)的可能威脅有發(fā)送欺騙信息,通訊通道允許代碼注入到車(chē)輛數(shù)據(jù)和代碼,車(chē)輛通訊通道允許操縱、重寫(xiě)、刪除數(shù)據(jù)和代碼,車(chē)輛通訊通道允許向車(chē)輛系統(tǒng)導(dǎo)入數(shù)據(jù)和代碼,接受來(lái)源不可靠或不可信的信息,中間人攻擊/會(huì)話支持,重放攻擊,攔截信息、干擾、竊聽(tīng)通訊,越權(quán)存取文件或數(shù)據(jù),發(fā)送大量的垃圾數(shù)據(jù)給車(chē)輛信息系統(tǒng),導(dǎo)致不能提供正常的服務(wù),黑洞攻擊,未經(jīng)許可獲取特權(quán)(如R o o t權(quán)限),攜帶病毒信息媒介感染系統(tǒng),內(nèi)部惡意信息(如控制器局域網(wǎng)絡(luò)CAN),惡意的診斷信息等。 針對(duì)以上威脅分析,可考慮采用緩解措施如下:車(chē)輛需確認(rèn)接收信息的真實(shí)性和完整性,對(duì)存儲(chǔ)密鑰實(shí)施安全控制,系統(tǒng)需通過(guò)風(fēng)險(xiǎn)最小化設(shè)計(jì)實(shí)現(xiàn)安全,訪問(wèn)控制技術(shù)和設(shè)計(jì)應(yīng)該應(yīng)用到數(shù)據(jù)和代碼的預(yù)防措施,機(jī)密數(shù)據(jù)傳遞需要被加密保護(hù),應(yīng)部署相關(guān)措施發(fā)現(xiàn)并恢復(fù)阻斷攻擊,需有手段發(fā)現(xiàn)并阻斷越權(quán)進(jìn)入,要考慮防止嵌入式病毒、惡意軟件的系統(tǒng)保護(hù)措施等。從上述E2E保護(hù)的例子可以看到,功能安全主要面臨的是內(nèi)部的故障問(wèn)題,所有分析都建立在如何應(yīng)對(duì)內(nèi)部故障造成的危害影響上。網(wǎng)絡(luò)安全面對(duì)可能來(lái)自外部的攻擊,對(duì)方往往是人為或惡意的程序代碼,面臨的風(fēng)險(xiǎn)更加復(fù)雜、多樣和動(dòng)態(tài)化。 在面對(duì)E2E的功能安全需求制定保護(hù)或診斷措施時(shí),往往可以將C R C校驗(yàn),超時(shí)校驗(yàn)甚至信息回讀等方式進(jìn)行有效組合,從而得到高診斷覆蓋率。但是,上述措施對(duì)于防范網(wǎng)絡(luò)安全威脅遠(yuǎn)遠(yuǎn)不夠,需在實(shí)現(xiàn)功能安全需求的基礎(chǔ)上,對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理,對(duì)發(fā)送信息的源頭加入證書(shū)頒發(fā)機(jī)構(gòu)(CA)認(rèn)證機(jī)制,對(duì)資源進(jìn)行分類(lèi),并進(jìn)行權(quán)限控制,對(duì)傳輸信息流進(jìn)行威脅監(jiān)控等。在同時(shí)面對(duì)功能安全和網(wǎng)絡(luò)安全需求時(shí),首先,需進(jìn)行針對(duì)功能安全需求的分析與措施設(shè)計(jì),并以此為基礎(chǔ)再對(duì)網(wǎng)絡(luò)安全的需求進(jìn)行分析和應(yīng)對(duì),制定出全面可行的綜合性措施與方案。此外,還需滿足獨(dú)立性要求的功能安全工程師與網(wǎng)絡(luò)安全工程師一起評(píng)審綜合方案,以確保綜合性設(shè)計(jì)方案能夠滿足功能安全和網(wǎng)絡(luò)安全的需求。
四、測(cè)試與驗(yàn)證
在V流程的模型里,每一級(jí)設(shè)計(jì)應(yīng)進(jìn)行相應(yīng)層級(jí)的測(cè)試或驗(yàn)證。在源代碼級(jí),需要進(jìn)行靜態(tài)測(cè)試與單元測(cè)試;在軟硬件集成、系統(tǒng)集成以及在整車(chē)集成的級(jí)別,為滿足功能安全與網(wǎng)絡(luò)安全的需求,需要進(jìn)行針對(duì)所設(shè)計(jì)安全措施的故障注入測(cè)試、滲透性測(cè)試與網(wǎng)絡(luò)攻擊測(cè)試,形成各級(jí)測(cè)試報(bào)告,以證明所采用的安全措施達(dá)到或符合其所分配的安全需求。
五、小結(jié)
關(guān)于滿足功能安全與網(wǎng)絡(luò)安全的項(xiàng)目實(shí)施,需要建立起融合兩方要求的流程體系與安全文化,建立功能安全與網(wǎng)絡(luò)安全團(tuán)隊(duì)間的高效溝通渠道,在設(shè)計(jì)時(shí)需綜合分析兩方面需求,設(shè)計(jì)出合理的架構(gòu)和設(shè)計(jì)方案完整的測(cè)試策略,并在質(zhì)量管理體系的基礎(chǔ)上有效實(shí)施。
作者:李徐鵬 禹營(yíng) 單位:中認(rèn)車(chē)聯(lián)網(wǎng)技術(shù)服務(wù) 中國(guó)質(zhì)量認(rèn)證中心