AURIX? TC4x網(wǎng)絡(luò )安全架構及對ISO/SAE 21434的支持

ISO/SAE 21434概述及TARA方法論

ISO/SAE 21434 簡(jiǎn)介

1.1

隨著(zhù)汽車(chē)與互聯(lián)網(wǎng)的連接性增強，自動(dòng)駕駛和高級駕駛輔助系統（ADAS）的發(fā)展，汽車(chē)網(wǎng)絡(luò )安全變得至關(guān)重要。ISO/SAE 21434標準的制定旨在幫助汽車(chē)行業(yè)在開(kāi)發(fā)過(guò)程中有效控制網(wǎng)絡(luò )干擾和攻擊，確保車(chē)輛的安全性和可靠性。

該標準強調整個(gè)車(chē)輛生命周期的風(fēng)險管理，包括概念階段、產(chǎn)品開(kāi)發(fā)、生產(chǎn)、運營(yíng)、維護以及退役或終止網(wǎng)絡(luò )安全支持的各個(gè)階段。它要求對供應鏈的所有部分實(shí)施網(wǎng)絡(luò )安全措施，并根據具體情況調整網(wǎng)絡(luò )安全活動(dòng)。同時(shí)還規定了組織層面的網(wǎng)絡(luò )安全管理要求，包括網(wǎng)絡(luò )安全治理、網(wǎng)絡(luò )安全文化、信息共享、管理體系、工具管理、信息安全管理、組織層面網(wǎng)絡(luò )安全審計七個(gè)方面。其適用范圍不僅包括車(chē)輛的相關(guān)項，還涉及售后和服務(wù)環(huán)節，確保整個(gè)汽車(chē)使用周期內的網(wǎng)絡(luò )安全得到妥善管理。

下圖是ISO/SAE 21434:2021(E)標準的結構框圖：

TARA方法論

1.2

威脅分析與風(fēng)險評估（Threat Analysis and Risk Assessment, TARA），是ISO/SAE 21434標準推薦的網(wǎng)絡(luò )安全威脅建模方法論，下圖是TARA威脅分析風(fēng)險評估示意圖樣例。

Item定義

實(shí)現車(chē)輛級功能的部件或部件組

資產(chǎn)識別

資產(chǎn)是網(wǎng)絡(luò )安全系統中具有價(jià)值的對象，其被破壞時(shí)會(huì )帶來(lái)安全風(fēng)險，例如功能安全目標、財務(wù)風(fēng)險、運營(yíng)成本和隱私風(fēng)險等。

安全屬性

參考STRIDE模型：

汽車(chē)行業(yè)中最重要的安全屬性是機密性、完整性和可用性（CIA：Confidentiality，Integrity，Availability）。

破壞場(chǎng)景

涉及車(chē)輛或車(chē)輛功能并影響道路使用者的不利后果。

影響評級

針對破壞場(chǎng)景的影響評級，需要基于下面四個(gè)維度去分解。首先是功能安全（Safety），其次有財產(chǎn)（Finance），再有運營(yíng)（Operation），最后是隱私（Privacy）。影響評級的標準可分為極其嚴重（Severe）、高（Major）、中等（Moderate）、忽略不計（Negligible）。

威脅場(chǎng)景

攻擊可行性評級的方法有多種，比如基于攻擊潛力（Attack Potential-Based Approach）、基于CVSS、基于攻擊向量（Attack Vector Based）等。ISO/SAE 21434中指出可以基于這三種方法中的任何一種進(jìn)行攻擊可行性評級，可分為非常低（Very Low）、低（Low）、中（Medium）、高（High）四個(gè)級別。

風(fēng)險評級

風(fēng)險值的評定需要對前述的四個(gè)維度（功能安全、財產(chǎn)、運營(yíng)、隱私）分別進(jìn)行風(fēng)險評級。其中1代表最低風(fēng)險值，5代表最高風(fēng)險值。以下是風(fēng)險矩陣的樣例：

風(fēng)險處理

對于每一個(gè)威脅場(chǎng)景，基于前述的風(fēng)險評級和風(fēng)險值，可以采取下述的一個(gè)或多個(gè)風(fēng)險處理方式。

基于TARA分析的規避風(fēng)險處理，導出安全目標，英飛凌對其解讀為頂層網(wǎng)絡(luò )安全需求（Top Level Cybersecurity Requirements）。

英飛凌的車(chē)載MCU系列產(chǎn)品，作為安全組件可以基于非特定場(chǎng)景網(wǎng)絡(luò )安全組件（Cybersecurity Component Out-of-Context）開(kāi)發(fā)，如基于假定的應用場(chǎng)景車(chē)聯(lián)萬(wàn)物V2X應用，其頂層網(wǎng)絡(luò )安全需求（Top Level Cybersecurity Requirements）包含保護通訊數據的完整性和機密性，繼而需要相應的安全措施，如MCU對硬件的AEAD算法支持等！

AURIX? TC4x安全架構

隨著(zhù)通信能力的增強和網(wǎng)聯(lián)合的發(fā)展，未來(lái)的汽車(chē)將需要網(wǎng)絡(luò )安全保護，免受不斷變化的網(wǎng)絡(luò )環(huán)境的影響。為了適應這些新的挑戰，我們開(kāi)發(fā)了一個(gè)新的架構來(lái)應對即將到來(lái)的與汽車(chē)相關(guān)的網(wǎng)絡(luò )安全威脅。

AURIX? TC4x，我們即將推出的微控制器系列，配備了一個(gè)創(chuàng )新的安全簇。我們的安全簇支持新功能和算法，并提供最新的硬件加速，與前幾代相比，能夠提供更高的性能。

安全簇有兩個(gè)主要模塊：安全實(shí)時(shí)模塊（CSRM）和安全衛星模塊（CSS）

CSRM是AURIX? TC4x

在安全硬件環(huán)境中的信任之根

1. 與前幾代相比，它的性能提高了5到15倍

2. 支持獨立于主核應用程序的單個(gè)安全軟件更新

3. 并能夠為廣泛的應用程序實(shí)現多個(gè)安全用例

CSS是安全簇的新模塊

1. 它作為硬件加速器外設，并行化為應用程序領(lǐng)域提供安全服務(wù)

2. 多個(gè)通道可用于具有不同信任級別的應用程序

3. 多個(gè)硬件加速器通道可提高吞吐量，避免性能瓶頸

4. 避免不同信任級別應用的干擾（Freedom of Interference）

5. 支持ASIL-D應用

網(wǎng)絡(luò )安全簇的一個(gè)關(guān)鍵特征是，它支持各種網(wǎng)絡(luò )安全用例，特別關(guān)注通信需求，這些需求在不斷發(fā)展的車(chē)輛E/E電子電氣架構中不斷增加。以下是TC4x支持的常用安全用例。

TC4x的通訊模塊以及安全簇，還特別關(guān)注車(chē)載網(wǎng)絡(luò )以及車(chē)聯(lián)萬(wàn)物V2X用例。

所有這些都允許：

• 最大限度地減少網(wǎng)絡(luò )安全應用延遲，最大限度地提高吞吐量

• 用戶(hù)系統符合最新的安全標準，即ISO/SAE 21434和UNECE WP.29

• 助力軟件空中傳輸SOTA使用案例，更加安全可靠地實(shí)現軟件更新

• 使用關(guān)聯(lián)數據的認證加密（AEAD）和使用關(guān)聯(lián)數據的認證（AAD）解決方案，預計這些方案在未來(lái)將變得越來(lái)越重要

下圖是英飛凌針滿(mǎn)足ISO/SAE 21434的認證證書(shū)。

企業(yè)范圍內的認證包括：

• 網(wǎng)絡(luò )安全管理持續的網(wǎng)絡(luò )安全活動(dòng)（如監控、風(fēng)險評估、漏洞分析）

• 風(fēng)險評估方法（如威脅識別）

• 概念階段（例如網(wǎng)絡(luò )安全目標）

• 產(chǎn)品開(kāi)發(fā)階段（例如集成和驗證）

• 開(kāi)發(fā)后階段（例如網(wǎng)絡(luò )安全事件響應）

同樣，TC4x系列產(chǎn)品會(huì )去支持ISO/SAE 21434產(chǎn)品級認證！預計會(huì )提供給客戶(hù)TC4x產(chǎn)品認證證書(shū)以及網(wǎng)絡(luò )安全用戶(hù)手冊（Cybersecurity Manual）。

參考文獻

[1]ISO/SAE 21434:2021(E) Road vehicles-Cybersecurity engineering.

[2]"The STRIDE Threat model". Microsoft.

[3]https://www.infineon.com/cms/en/product/promopages/safety-security-and-connectivity/