欢迎光临第五届中国汽车网络信息安全峰会2020!

车辆通讯网络需要安全大修

发布日期:2020-05-09

GRCCIoVSecurity

2020-05-09 11:22:37

手机阅读

点击上方蓝色字体,关注我们





随着汽车自动化程度的提高,安全性正成为更大的风险。修复和替代方案正在研究中。

控制器局域网(CAN)是汽车上的主要通信网络之一,将进行安全检查-如果不是批发的话,请进行更换。


最初设计于1980年代,其目的是允许车辆中的电子组件直接通信而而无需中央计算机。由于越来越多的功能被自动化并集成到中央逻辑系统中,CAN总线已成为日益增长的安全风险。它一直是许多引人注目的安全攻击的主题,在这种攻击中,黑客已经能够控制车辆并启动其制动器,并且威胁仅随着自主性水平的提高而增加。


现代的CAN总线连接了数十个电子控制单元(ECU),每个电子控制单元都由一个微控制器组成,该微控制器负责特定车辆功能的运行,例如安全气囊,防抱死制动,巡航控制或电动窗。将所有这些功能互连在一起,可以实现多种便利和安全功能,例如,驾驶员转向后退时自动启用后视摄像头,或者在接近传感器检测到障碍物时自动制动车辆。但是,CAN总线在设计时从未考虑过安全性。


Thierry说:“ CAN缺乏一些基本的安全功能,例如消息身份验证和设备证明,并且容易受到DOS(拒绝服务),欺骗和MITM(中间人)的攻击,” Rambus Security的技术产品经理Kouthon。现代汽车包括80到100个ECU,而高端汽车则多达200个以上,这扩大了问题。最近对自动驾驶汽车的炒作迫切需要解决这一问题,因为它会扩大攻击面。存在几种CAN替代方案,但它们在可靠性,带宽或价格(而不是安全性)方面提高了CAN。”


这些替代方案包括本地互连网络(LIN),面向媒体的系统传输(MOST),FlexRay和汽车以太网。


CAN来自一个时代,在那个时代,人们认为安全性不是必需的。“没有理由认为有人会来攻击您的吉普车或特斯拉,” UltraSoC的**技术官Gajinder Panesar说。“经典的CAN攻击主要围绕以下事实:没有源信息,也没有完整性-因为没有经过的数据签名。进行协议和拒绝服务攻击非常容易,这在汽车行业可能是灾难性的。”


要提高车辆内部的安全性,必须从ECU的角度进行解决。“由于不能完全依靠与它们互连的车辆网络,因此必须确保对ECU进行加固,以提供安全的处理和运行时代码完整性,ECU认证,消息认证,数据机密性,防篡改身份等,” Rambus的Kouthon强调。“确保这些安全属性需要一个牢固的基础,称为信任根。单一规格的解决方案并不全面,因为ECU可以大致分为三类,价格有很大不同:1)低成本商品化的传感器;2)内部功能性ECU,例如用于发动机控制的ECU,相对复杂并且具有很强的安全性要求,并且3)高性能ECU,能够使车辆与外界通信,并要求**级别的安全性,例如主机或中央网关。”


此外,已有30年历史的CAN总线从未打算在面临网络安全攻击的系统中使用。OneSpin Solutions的技术营销经理Sergio Marchese说:“据报道存在许多利用CAN总线缺点的漏洞,吉普车可能是最**的漏洞。” “一些基本问题是消息对所有总线主控和外围设备都是可见的,并且没有确保信息机密性和真实性的条款。例如,在ECU级别上可以采取缓解措施,而IP旨在检测和阻止可疑的总线流量。或者他们可以使用硬件安全模块来加密和验证总线上发送的消息。”


Synopsys的**安全技术员Mike Borza表示同意。“总体而言,CAN的设计远远早于任何人将汽车视为互联设备的想法。当时,将其连接到Internet的想法真的不在任何人的雷达范围内,或者至少不是在设计用于汽车的电子设备的任何人。它不是Internet之前的时代,但是非常接近。可以肯定的是,当人们使用1200波特调制解调器连接到Internet时,以及将您的汽车连接到汽车上的想法,只是科幻小说家都不在任何人的雷达上。我们现在可以在这里的想法实际上并不是人们在想的。同样,汽车始终被认为是自己的私人物品,即使您有无线电进入,它们也不会真正与驾驶汽车有关。这是获得娱乐的一种方式,仅此而已,可能不让您打个电话。但是多年来,这也是科幻小说。”


如今,这成为一个问题,因为将安全性改造到总线体系结构中比从一开始就设计安全性要困难得多。“当事物被连接到诸如CAN总线之类的网络时,带宽很低,协议是专有的,而且是种魔力,” Borza说。因此,很难获得有关CAN总线是什么,它在做什么,如何工作的信息。人们认为这与任何人所需要的安全性一样多。意思是说,“我们不会告诉您工作原理,而且您永远都不会弄清楚。”事实并非如此。人们非常聪明地弄清正在发生的事情。他们可以观察流量并进行大量分析。从本质上讲,这就是许多细节泄漏的原因,以及事实证明它非常成功并广泛应用于车辆中。这意味着行业中还有大量的标准文档供其使用,最终泄漏出去了。这就是协议本身不安全的原因。它没有任何伪装,但后来它甚至不再是私人的。这不是一家封闭式商店。”


Arm的汽车和物联网业务线汽车解决方案和平台高级经理Paul Kopp指出:“现在,汽车正在互联,我们正朝着越来越高的自治程度迈进,确保适当的安全级别对于保护两者都至关重要。以及其他道路使用者的隐私和安全。尽管CAN是最初在1980年代开发的当前汽车中的主要总线体系结构,最初并未考虑到当今我们面临的安全挑战,但是Arm合作伙伴和更广泛的生态系统正在部署可以在CAN总线水平上补充CAN总线的技术。当今车辆所需的安全性。同时,该行业还将新的,更安全和健壮的网络技术部署到新模型中。”


可以在现有的CAN总线上覆盖一个安全层,而有些公司正是这样做的。但这并不像围绕CAN总线构建防火墙那样简单,但尝试失败了。


“连接后,人们总是问:'为什么汽车收音机连接到CAN总线?为什么我可以从面板上,从汽车仪表板上进行控制?答案是很多车辆控制装置都集成在该面板中。”他说。“与无线电配合使用的相同控件也可以与CAN总线配合使用,以提高或降低热量。如果是一条CAN总线,而汽车中没有一条CAN总线,则它是分层的。您将获得有关车辆维修状态的信息。有时您可以控制诸如暂停设置之类的操作。但这意味着在汽车的前面板,汽车的平板显示器和实际控制这些东西的ECU之间存在一条通道。这就是人们一直在利用的东西,而且事实是,现在有越来越多的软件在汽车上运行,并且人们都知道该软件,甚至是专有软件。除此之外,我们现在已经在新车中至少拥有3G网络,这意味着Internet连接的带宽很大,而且不难找到如何定位单个汽车甚至连接到的服务的目标。他们。因此,也许CAN总线即将在汽车中寿终正寝,这不一定是一件坏事。”


(* 图1:具有电气水平的基本格式的CAN框架。绿色表示唯一标识符,它确定消息优先级;蓝色是远程传输请求;黄色是数据长度代码;红色为数据字段大小。资料来源:Wikimedia,CC BY-SA 3.0 )



安全启动


CAN总线或备用系统对于确定车辆启动时是否存在潜在问题至关重要。这类似于飞机在离开登机口之前通过系统检查的过程。


Borza表示:“这是在重新启动电源时应唤醒的第一个子系统之一,”现在,它也需要安全运行。我们还处于曲线的早期边缘。落后了。现在,严格的安全标准正在整个行业中得到广泛实施和部署,而以前并非如此。对于某些安全边界,以及相对于被认为非安全关键的其他功能存在的地方,我会称之为错误的假设。人们之所以开始精确地处理这些问题,是因为前面板正在使用软控制来操作车辆ECU基础设施的某些部分。这无疑成为他们的攻击点。使用在该处理器中其他地方运行的软件去攻击那些东西是非常可行的。”


软件是安全软件包的关键部分。“通过扩展,如果您拥有安全的软件,则需要知道正在运行的东西应该在此处运行的东西,没有被修改,并且它正在执行应有的功能,从而确保了高度的保证。。这对于车辆的持续安全运行至关重要。人们在开发这种软件方面越来越好,并且他们开始尝试更加系统地消除缺陷。质量缺陷与安全性有直接关系,因为质量缺陷通常是在人们攻击系统以侵入系统时被利用的。如果您创建了一个缓冲区溢出,使您可以访问所需的内容,那就是您要做的。创建这样的事物应该是不可能的,更好的质量控制工具和更好的设计范例可以防止这种情况的发生。在这些复杂的软件系统中,要设计出无缺陷的设计非常非常困难。”


Arteris IP市场营销副总裁Kurt Shuler同样从一开始就强调了对安全体系结构的需求。“在尽可能低的级别上尽可能多地执行操作,因为这是以后可以****地控制的地方。如果您稍后要在软件中进行所有操作,那么仍然可以通过一些方法解决。如果您具有硬件级别的功能(即与互连和防火墙相关的功能),并且您具有阻止某些使用情况下不应该出现的流量的物理机制,并且以后可以在有新的情况下进行控制用例,您就可以了。但是它必须建立在整体架构中,其中最小的部分是SoC晶体管。这等同于防火墙,或者中毒可疑数据并让其通过,或者向系统发出一个中断,说“嘿,我被黑了。””


互连中捕获了很多功能,可以像计算机中的防火墙一样工作。舒勒说:“每天可能有数百万人入侵您的防火墙并试图闯入您的计算机,但通常没有任何结果。” “这是同一件事。因为是封闭系统,所以可能不是几个,而是几百万个,但这就是为什么要使用这些防火墙的原因。但这必须作为整体安全策略的一部分进行设置。”


在这种情况下,来自Arm的TrustZone的一些经验非常相关。他说:“汽车制造商可以从安全角度出发,从消费类电子产品和移动电话制造商那里学到一些东西,以便能够运行Netflix。” “您必须经过认证过程,因为对于数字版权管理,每个将其内容许可给Netflix的人都必须获得Netflix的保证,如果您在此手机上运行它,则有人无法将其撕下并放在BitTorrent上。他们必须经历很多工作,以确保这些东西设计合理且更难被黑客入侵。即使安全漏洞的影响不同,来自消费电子产品的知识也很有价值。一种是你亏钱,因为有人偷了你的电影。另一个是汽车发生了不好的事情。效果是不同的,但是技术保护措施是相似的,因为您具有在硬件和软件证书中签名的东西,以确保它是您上载的正确软件,并且没有人对其进行破解或对该固件进行加密。”


良好的安全体系结构可以使人们清楚地知道什么时候不应该传输事物。随着安全在此领域的发展,将需要自动处理更多此类响应。


西门子业务部门Mentor集成电气系统部门技术营销工程师Brendan Morris表示:“如果您关注功能安全性,那么就有ISO 26262,它定义了开发汽车电气系统功能安全性的常规方法。” “针对网络安全已经制定了类似的标准,它们采用了类似的哲学方法来建立**实践并确定风险评估中需要考虑的事项,以及OEM应该经历的过程步骤以及对开发安全性的考虑。软件和系统。SAE已经发布了类似的观点。ISO标准在您需要采取的正式流程步骤中增加了一些步骤,但并没有确切说明您需要做什么。OEM可以自由地将其解释为他们的生产开发过程。我们开始看到更多的正式过程被纳入其中,OEM厂商现在拥有专业知识,因此他们可以自信地完成需要做的事情,车辆上的哪些功能确实需要得到严格的保护以及哪些功能需要得到严格的保护。他们只需要在事情发生时停止就可以。”



解决问题


归根结底,CAN的最大安全问题是它在身份验证协议中没有内在支持。收件人不知道消息真正来自何处。


Canis Automotive Labs的**技术官Ken Tindell说:“劫持ECU或直接访问布线的任何人都可能欺骗信息,并使ECU几乎可以做任何事情。” “到目前为止,重点一直放在结合安全网关的身份验证加密解决方案上,从而首先使黑客远离CAN。但这带来了许多次要问题,例如安全密钥分发,以及一系列新的弱点,例如网关软件中的漏洞。真正需要的是通过使用硬件在协议级别上直接解决CAN的安全性,并回避软件漏洞的问题。”


恩智浦通过其安全的CAN收发器实现了这一目标,该收发器包含CAN ID的允许/拒绝列表,并且Canis Automotive Labs设计了硬件,可将真实源的详细信息注入CAN帧中的带外空间,以便可以欺骗出帧。直接检测并停止。


另一种方法是消除汽车中不同ECU进行通信以实现更高级别功能的需求。OneSpin的Marchese说:“麦肯锡最近的一份报告指出了汽车电子领域的一个关键趋势,其中很少有DCU(域控制单元)取代许多ECU。” “这意味着从许多独立的,专用的组件(ECU)以及通过CAN总线连接其自己的软件,到更集中的体系结构,在该体系结构中,可能以完全不同的方式来采购软件。”



结论


尽管有所有这些新想法,但今天的道路上仍有许多不安全的车辆。


Tindall说,线束和电子设备都是固定的。“汽车上的两个最大的安全漏洞是信息娱乐系统和OBD-II连接器,而OBD-II连接器直接连接至主车辆CAN总线非常普遍。今天,我们甚至有保险公司在敦促客户安装OBD加密狗,并且理论上可以对某种安全网关进行改造,以限制可以通过连接器执行的操作。但是我认为驱动程序的安装动机不足。这实际上只是关于物联网安全问题的案例研究。没有任何诱因鼓励任何人生产安全的产品。尽管CAN是早在我们将汽车连接到Internet之前就设计的旧协议,但有可能加强其防御能力并保持使用一段时间。


同时,人们越来越认识到安全性与安全性越来越紧密地联系在一起。


“这是一个重大转变,”博尔扎说。“业界花了很长时间才达到这一点,但他们最终正在努力朝着更好的方法解决汽车安全问题以及连接汽车带来的安全隐患。如果我们要进入下一阶段,那就是半自动和自动驾驶,这是至关重要的。这是我们走向所有人安全环境的唯一途径。”



作者:Ann Steffora Mutschler,执行编辑,Semiconductor Engineering



相关文章

OTA更新的车载网络要求
汽车网络安全|OTA
波士顿咨询 | 网络弹性将成就或打破大规模自动驾驶汽车的梦想






SELECTED EVENTS




 

长按二维码识别关注



  • 电话咨询
  • 15021948198
  • 021-22306692
None