AURIX? TC4x網(wǎng)絡(luò)安全架構(gòu)及對ISO/SAE 21434的支持

ISO/SAE 21434概述及TARA方法論

ISO/SAE 21434 簡介

1.1

隨著汽車與互聯(lián)網(wǎng)的連接性增強，自動駕駛和高級駕駛輔助系統(tǒng)（ADAS）的發(fā)展，汽車網(wǎng)絡(luò)安全變得至關(guān)重要。ISO/SAE 21434標準的制定旨在幫助汽車行業(yè)在開發(fā)過程中有效控制網(wǎng)絡(luò)干擾和攻擊，確保車輛的安全性和可靠性。

該標準強調(diào)整個車輛生命周期的風險管理，包括概念階段、產(chǎn)品開發(fā)、生產(chǎn)、運營、維護以及退役或終止網(wǎng)絡(luò)安全支持的各個階段。它要求對供應鏈的所有部分實施網(wǎng)絡(luò)安全措施，并根據(jù)具體情況調(diào)整網(wǎng)絡(luò)安全活動。同時還規(guī)定了組織層面的網(wǎng)絡(luò)安全管理要求，包括網(wǎng)絡(luò)安全治理、網(wǎng)絡(luò)安全文化、信息共享、管理體系、工具管理、信息安全管理、組織層面網(wǎng)絡(luò)安全審計七個方面。其適用范圍不僅包括車輛的相關(guān)項，還涉及售后和服務(wù)環(huán)節(jié)，確保整個汽車使用周期內(nèi)的網(wǎng)絡(luò)安全得到妥善管理。

下圖是ISO/SAE 21434:2021(E)標準的結(jié)構(gòu)框圖：

TARA方法論

1.2

威脅分析與風險評估（Threat Analysis and Risk Assessment, TARA），是ISO/SAE 21434標準推薦的網(wǎng)絡(luò)安全威脅建模方法論，下圖是TARA威脅分析風險評估示意圖樣例。

Item定義

實現(xiàn)車輛級功能的部件或部件組

資產(chǎn)識別

資產(chǎn)是網(wǎng)絡(luò)安全系統(tǒng)中具有價值的對象，其被破壞時會帶來安全風險，例如功能安全目標、財務(wù)風險、運營成本和隱私風險等。

安全屬性

參考STRIDE模型：

汽車行業(yè)中最重要的安全屬性是機密性、完整性和可用性（CIA：Confidentiality，Integrity，Availability）。

破壞場景

涉及車輛或車輛功能并影響道路使用者的不利后果。

影響評級

針對破壞場景的影響評級，需要基于下面四個維度去分解。首先是功能安全（Safety），其次有財產(chǎn)（Finance），再有運營（Operation），最后是隱私（Privacy）。影響評級的標準可分為極其嚴重（Severe）、高（Major）、中等（Moderate）、忽略不計（Negligible）。

威脅場景

攻擊可行性評級的方法有多種，比如基于攻擊潛力（Attack Potential-Based Approach）、基于CVSS、基于攻擊向量（Attack Vector Based）等。ISO/SAE 21434中指出可以基于這三種方法中的任何一種進行攻擊可行性評級，可分為非常低（Very Low）、低（Low）、中（Medium）、高（High）四個級別。

風險評級

風險值的評定需要對前述的四個維度（功能安全、財產(chǎn)、運營、隱私）分別進行風險評級。其中1代表最低風險值，5代表最高風險值。以下是風險矩陣的樣例：

風險處理

對于每一個威脅場景，基于前述的風險評級和風險值，可以采取下述的一個或多個風險處理方式。

基于TARA分析的規(guī)避風險處理，導出安全目標，英飛凌對其解讀為頂層網(wǎng)絡(luò)安全需求（Top Level Cybersecurity Requirements）。

英飛凌的車載MCU系列產(chǎn)品，作為安全組件可以基于非特定場景網(wǎng)絡(luò)安全組件（Cybersecurity Component Out-of-Context）開發(fā)，如基于假定的應用場景車聯(lián)萬物V2X應用，其頂層網(wǎng)絡(luò)安全需求（Top Level Cybersecurity Requirements）包含保護通訊數(shù)據(jù)的完整性和機密性，繼而需要相應的安全措施，如MCU對硬件的AEAD算法支持等！

AURIX? TC4x安全架構(gòu)

隨著通信能力的增強和網(wǎng)聯(lián)合的發(fā)展，未來的汽車將需要網(wǎng)絡(luò)安全保護，免受不斷變化的網(wǎng)絡(luò)環(huán)境的影響。為了適應這些新的挑戰(zhàn)，我們開發(fā)了一個新的架構(gòu)來應對即將到來的與汽車相關(guān)的網(wǎng)絡(luò)安全威脅。

AURIX? TC4x，我們即將推出的微控制器系列，配備了一個創(chuàng)新的安全簇。我們的安全簇支持新功能和算法，并提供最新的硬件加速，與前幾代相比，能夠提供更高的性能。

安全簇有兩個主要模塊：安全實時模塊（CSRM）和安全衛(wèi)星模塊（CSS）

CSRM是AURIX? TC4x

在安全硬件環(huán)境中的信任之根

1. 與前幾代相比，它的性能提高了5到15倍

2. 支持獨立于主核應用程序的單個安全軟件更新

3. 并能夠為廣泛的應用程序?qū)崿F(xiàn)多個安全用例

CSS是安全簇的新模塊

1. 它作為硬件加速器外設(shè)，并行化為應用程序領(lǐng)域提供安全服務(wù)

2. 多個通道可用于具有不同信任級別的應用程序

3. 多個硬件加速器通道可提高吞吐量，避免性能瓶頸

4. 避免不同信任級別應用的干擾（Freedom of Interference）

5. 支持ASIL-D應用

網(wǎng)絡(luò)安全簇的一個關(guān)鍵特征是，它支持各種網(wǎng)絡(luò)安全用例，特別關(guān)注通信需求，這些需求在不斷發(fā)展的車輛E/E電子電氣架構(gòu)中不斷增加。以下是TC4x支持的常用安全用例。

TC4x的通訊模塊以及安全簇，還特別關(guān)注車載網(wǎng)絡(luò)以及車聯(lián)萬物V2X用例。

所有這些都允許：

• 最大限度地減少網(wǎng)絡(luò)安全應用延遲，最大限度地提高吞吐量

• 用戶系統(tǒng)符合最新的安全標準，即ISO/SAE 21434和UNECE WP.29

• 助力軟件空中傳輸SOTA使用案例，更加安全可靠地實現(xiàn)軟件更新

• 使用關(guān)聯(lián)數(shù)據(jù)的認證加密（AEAD）和使用關(guān)聯(lián)數(shù)據(jù)的認證（AAD）解決方案，預計這些方案在未來將變得越來越重要

下圖是英飛凌針滿足ISO/SAE 21434的認證證書。

企業(yè)范圍內(nèi)的認證包括：

• 網(wǎng)絡(luò)安全管理持續(xù)的網(wǎng)絡(luò)安全活動（如監(jiān)控、風險評估、漏洞分析）

• 風險評估方法（如威脅識別）

• 概念階段（例如網(wǎng)絡(luò)安全目標）

• 產(chǎn)品開發(fā)階段（例如集成和驗證）

• 開發(fā)后階段（例如網(wǎng)絡(luò)安全事件響應）

同樣，TC4x系列產(chǎn)品會去支持ISO/SAE 21434產(chǎn)品級認證！預計會提供給客戶TC4x產(chǎn)品認證證書以及網(wǎng)絡(luò)安全用戶手冊（Cybersecurity Manual）。

參考文獻

[1]ISO/SAE 21434:2021(E) Road vehicles-Cybersecurity engineering.

[2]"The STRIDE Threat model". Microsoft.

[3]https://www.infineon.com/cms/en/product/promopages/safety-security-and-connectivity/