車輛中的許多新功能建立在車載和后臺(tái)服務(wù)之上，需要面對(duì)保護(hù)車輛免受網(wǎng)絡(luò)攻擊的挑戰(zhàn)。為車輛的 E/E 架構(gòu)配置了安全機(jī)制，更新簽名軟件、安全啟動(dòng)和安全車載通信系統(tǒng)正在逐步建立。目前，IDS 作為一種額外的安全機(jī)制正在引起 OEM 和供應(yīng)商的關(guān)注。入侵檢測(cè)系統(tǒng)管理器（IdsM）是一個(gè)基礎(chǔ)軟件模塊（適用于 Classic AUTOSAR）或平臺(tái)服務(wù)（適用于 Adaptive AUTOSAR），用于收集和集中聚合可能由車輛軟件、通信或電子系統(tǒng)受到惡意攻擊而導(dǎo)致的安全事件。軟件組件 IdsM 提供了接收板載安全事件 SEv 通知的標(biāo)準(zhǔn)化接口。SEv 可以通過 BSW (Basic Software Modules）和SW-C (application Software Components）實(shí)現(xiàn)的安全傳感器上報(bào)。此外，可以用可選的上下文數(shù)據(jù)（如事件類型和可疑數(shù)據(jù)）報(bào)告    SEv，這些數(shù)據(jù)對(duì)于在后端執(zhí)行的安全取證來說是有用的信息。除了收集，IdsM 還可以根據(jù)可配置的規(guī)則對(duì) SEv 進(jìn)行篩選。IdsM 將上報(bào)的 SEv 過濾并轉(zhuǎn)換為合格的機(jī)載安全事件（QSEv)，IdsM 進(jìn)一步處理  QSEv，用于存儲(chǔ)或轉(zhuǎn)發(fā)。根據(jù)總體安全概念的不同，QSEv 可以通過安全事件內(nèi)存（Sem）在本地持久化，也可以傳播到已配置的接收器，或者兩者兼有?？捎玫慕邮掌魇窃\斷事件管理器（Dem）模塊和 IDS 報(bào)告器模塊（IdsR)，它們可以將 QSEv 數(shù)據(jù)傳遞給后端中的安全操作中心（SOC)。在車輛內(nèi)的每個(gè)安全相關(guān)或機(jī)器中，IdsM 模塊或服務(wù)的實(shí)例會(huì)收集和過濾安全事件（可選地包括附加數(shù)據(jù)），以便將它們存儲(chǔ)在本地安全事件內(nèi)存（Sem）和 / 或通過車輛網(wǎng)絡(luò)將它們轉(zhuǎn)發(fā)到中央入侵檢測(cè)系統(tǒng)報(bào)告器（IdsR)。例如，該 IdsR 可能位于遠(yuǎn)程信息處理單元內(nèi)，使其能夠通過蜂窩網(wǎng)絡(luò)向 OEM 的安全操作中心（SOC）發(fā)送安全報(bào)告和相關(guān)數(shù)據(jù)。然后，安全事件管理（SIEM）分析這些信息，并在必要  時(shí)用于制定和決定適當(dāng)?shù)姆烙蚓徑獯胧┮詰?yīng)對(duì)攻擊。AUTOSAR 標(biāo)準(zhǔn)指出BSW 模塊、CDD 和SWC 都可以充當(dāng)安全傳感器，安全傳感器將安全事件（SEv） 報(bào)告給 IdsM，AUTOSAR 標(biāo)準(zhǔn)化可以由 AUTOSAR BSW 報(bào)告的安全事件類型的子集。每個(gè) BSW 的規(guī)格里列出了自己產(chǎn)生的安全事件類型，這些事件由相應(yīng)模塊報(bào)告，業(yè)務(wù)組件也可以報(bào)告在 AUTOSAR 中未標(biāo)準(zhǔn)化的自定義安全事件類型，可以使用安全性摘要（SecXT）指定由特定 ECU 報(bào)告的安全性事件類型的屬性。AUTOSAR    入侵檢測(cè)系統(tǒng)管理器是通用的、提供靈活的配置。它獨(dú)立于底層通信系統(tǒng)，在上述限制和假設(shè)條件下可以應(yīng)用于任何汽車領(lǐng)域。

AUTOSAR 信息安全趨勢(shì)分析

當(dāng)汽車朝智能網(wǎng)聯(lián)化方向發(fā)展時(shí)，未來會(huì)和路邊的基礎(chǔ)設(shè)施、交管平臺(tái)，云端的系統(tǒng)進(jìn)行信息交互， 來決策剎車還是加速，是保持車道還是變更車道。汽車也從單純的交通工具變成了互聯(lián)網(wǎng)的智能節(jié)點(diǎn)， 智能網(wǎng)聯(lián)汽車的前提是網(wǎng)聯(lián)（Connected)。目前幾種常見的汽車聯(lián)網(wǎng)方式為：車與云端互聯(lián)、車與消費(fèi) 電子互聯(lián)、車與基礎(chǔ)設(shè)施互聯(lián)、車與車互聯(lián)。當(dāng)汽車接入網(wǎng)絡(luò)的那一刻起，它已經(jīng)從原來的信息孤島，變成了萬物互聯(lián)中的一個(gè)節(jié)點(diǎn)，而網(wǎng)絡(luò)安全也成了智能網(wǎng)聯(lián)汽車必須面對(duì)的首要問題。AUTOSAR Classic 是大多數(shù)車輛平臺(tái)的標(biāo)準(zhǔn)中間件，滿足實(shí)時(shí)操作系統(tǒng)和功能安全的典型要求。多年來，它一直在不斷發(fā)展，并提供了一系列用于安全車載通信或密鑰和證書管理的安全工具。然而，車載計(jì)算機(jī)或域控制器將塑造未來的 E/E 架構(gòu)作為中央應(yīng)用程序，在高度自動(dòng)化甚至全自動(dòng)駕駛和 V2X 通信中，車輛將成為一個(gè)以軟件為主導(dǎo)的系統(tǒng)，這需要集成更多比過去更加廣泛和多樣化的應(yīng)用程序。與AUTOSAR Classic 不同，AUTOSAR Adaptive 基于與 LINUX 相關(guān)的操作系統(tǒng)，應(yīng)用程序使用  “AUTOSAR Runtime for Adaptive Applications” ，簡(jiǎn)稱 ARA。此外，自適應(yīng)平臺(tái)提供管理程序預(yù)配置分區(qū)，使不同供應(yīng)商獨(dú)立開發(fā)的不同 ASIL 類別的軟件組件能夠集成到車載計(jì)算機(jī)中并在其上安全運(yùn)行。AUTOSAR Adaptive 與其面向服務(wù)的架構(gòu)和額外的功能（如細(xì)粒度的無線更新）相一致，還整合了額外的措施并為汽車安全設(shè)定了新的標(biāo)準(zhǔn)。傳統(tǒng)車內(nèi)網(wǎng)絡(luò)通信中，總線通信報(bào)文以明文方式傳輸，攻擊者借助簡(jiǎn)單的采集分析工具對(duì)總線通信 報(bào)文進(jìn)行抓包提取，通過對(duì)原始通信報(bào)文的重放或篡改，對(duì)車輛進(jìn)行攻擊，可以造成車輛通信總線故障、功能異常，甚至影響行車安全等問題。AUTOSAR 平臺(tái)提供了安全通信組件 SecOC，在協(xié)議數(shù)據(jù)單元層面為關(guān)鍵數(shù)據(jù)提供可行、具有資源有效特性的真實(shí)性機(jī)制。持續(xù)的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)管理正成為 VTA 的要求，通過 IDS 車載入侵檢測(cè)可以為整個(gè)車隊(duì)提供信息安全保護(hù)。聯(lián)合國(guó)第 155 號(hào)條例（UN R155）以及 ISO/SAE 21434 規(guī)定，需要在車輛全生命周期內(nèi)對(duì)整個(gè)車隊(duì)進(jìn)行持續(xù)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理。因此，持續(xù)的狀態(tài)監(jiān)測(cè)和基于風(fēng)險(xiǎn)的安全措施將成為汽車信息安全 的重要組成部分。針對(duì) V2X 和車輛信息安全，AUTOSAR 標(biāo)準(zhǔn)也提出了一系列的信息安全要求，并增加了入侵檢測(cè)管理系統(tǒng)（IdsM）、消息簽名的加密驗(yàn)證、端到端安全、證書管理、應(yīng)用程序安全相關(guān)機(jī)制等。

AUTOSAR 信息安全對(duì)策

AUTOSAR Classic 和 Adaptive 為保護(hù)車輛軟件、數(shù)據(jù)免受操縱和未經(jīng)授權(quán)的訪問提供了重要的模塊，來解決汽車網(wǎng)絡(luò)通信信息的機(jī)密性、新鮮性、完整性、真實(shí)性以及可用性等問題。針對(duì)數(shù)據(jù)安全，在 Classic 和 Adaptive 版本中，對(duì)安全相關(guān)應(yīng)用程序所需的加密原語、密鑰和證書的訪問都是通過  AUTOSAR  特定的加密堆棧進(jìn)行的。應(yīng)用程序隨后僅訪問提供的接口，獨(dú)立于它們各自的加密實(shí)現(xiàn)，并可移植到不同的 ECU。針對(duì)車內(nèi)總線安全通信，AUTOSAR 標(biāo)準(zhǔn) SecOC 功能模塊為車內(nèi)網(wǎng)絡(luò)之間的通信提供了消息完整性、抗重放方面的能力。在協(xié)議數(shù)據(jù)單元層面（PDUs）SecOC 與 AUTOSAR 的通信系統(tǒng)協(xié)同，PDU  Router 負(fù)責(zé)對(duì)接收的消息進(jìn)行路由，對(duì)發(fā)送的安全相關(guān)協(xié)議數(shù)據(jù)單元提供給 SecOC 模塊。SecOC 隨后增加或是處理安全相關(guān)信息后，把協(xié)議數(shù)據(jù)單元返回給 PDU Router，由 PDU Router 進(jìn)行進(jìn)一步的路由處理。對(duì)于車內(nèi)以太網(wǎng)數(shù)據(jù)傳輸?shù)陌踩瑒t通過 TLS 和 IPsec 提供真實(shí)性和機(jī)密性的通信服務(wù)。針對(duì)訪問控制與身份鑒別，AUTOSAR  身份和訪問管理模塊為應(yīng)用提供權(quán)限隔離以及受攻擊時(shí)權(quán)限越級(jí)的保護(hù)功能，同時(shí)，還能方便集成人員在部署時(shí)就能驗(yàn)證應(yīng)用對(duì)于資源的訪問權(quán)限。自 R20-11 以來，基本的 IdsM 規(guī)范已被整合到 AUTOSAR Classic 和 AUTOSAR Adaptive 版本中。事實(shí)上，AUTOSAR R20-11 版本是首次為 AUTOSAR 堆棧中的 DIDS 制定了一致的標(biāo)準(zhǔn)。然而，考慮到各種 ECU 的不同，AUTOSAR Classic 往往提供非常有限的資源，該版本中定義的功能范圍代表了非常低的共同標(biāo)準(zhǔn)。僅定義了  IDS  的最基本的應(yīng)用場(chǎng)景和核心的架構(gòu)，主要目的應(yīng)該是標(biāo)準(zhǔn)化車內(nèi)安全事件， 以及事件的發(fā)送機(jī)制，以便云端能理解并處理各種車型上送的安全事件。作為互聯(lián)和自動(dòng)駕駛趨勢(shì)的一部分，與安全相關(guān)的車載功能不可避免地會(huì)增加。成熟的安全措施以 及高安全級(jí)別的車載架構(gòu)平臺(tái)將有助于解決這些技術(shù)挑戰(zhàn)。在未來，OEM 也將越來越多地建立基于高度連接的新商業(yè)模式，而這種連接需要得到保護(hù)。這給了 AUTOSAR Adaptive 進(jìn)一步發(fā)展的一個(gè)明確任務(wù)， 那就是要比 AUTOSAR Classic 更強(qiáng)大地集成安全應(yīng)用程序。