車輛中的許多新功能建立在車載和后臺服務(wù)之上，需要面對保護(hù)車輛免受網(wǎng)絡(luò)攻擊的挑戰(zhàn)。為車輛的 E/E 架構(gòu)配置了安全機(jī)制，更新簽名軟件、安全啟動和安全車載通信系統(tǒng)正在逐步建立。目前，IDS 作為一種額外的安全機(jī)制正在引起 OEM 和供應(yīng)商的關(guān)注。入侵檢測系統(tǒng)管理器（IdsM）是一個基礎(chǔ)軟件模塊（適用于 Classic AUTOSAR）或平臺服務(wù)（適用于 Adaptive AUTOSAR），用于收集和集中聚合可能由車輛軟件、通信或電子系統(tǒng)受到惡意攻擊而導(dǎo)致的安全事件。軟件組件 IdsM 提供了接收板載安全事件 SEv 通知的標(biāo)準(zhǔn)化接口。SEv 可以通過 BSW (Basic Software Modules）和SW-C (application Software Components）實現(xiàn)的安全傳感器上報。此外，可以用可選的上下文數(shù)據(jù)（如事件類型和可疑數(shù)據(jù)）報告    SEv，這些數(shù)據(jù)對于在后端執(zhí)行的安全取證來說是有用的信息。除了收集，IdsM 還可以根據(jù)可配置的規(guī)則對 SEv 進(jìn)行篩選。IdsM 將上報的 SEv 過濾并轉(zhuǎn)換為合格的機(jī)載安全事件（QSEv)，IdsM 進(jìn)一步處理  QSEv，用于存儲或轉(zhuǎn)發(fā)。根據(jù)總體安全概念的不同，QSEv 可以通過安全事件內(nèi)存（Sem）在本地持久化，也可以傳播到已配置的接收器，或者兩者兼有?？捎玫慕邮掌魇窃\斷事件管理器（Dem）模塊和 IDS 報告器模塊（IdsR)，它們可以將 QSEv 數(shù)據(jù)傳遞給后端中的安全操作中心（SOC)。在車輛內(nèi)的每個安全相關(guān)或機(jī)器中，IdsM 模塊或服務(wù)的實例會收集和過濾安全事件（可選地包括附加數(shù)據(jù)），以便將它們存儲在本地安全事件內(nèi)存（Sem）和 / 或通過車輛網(wǎng)絡(luò)將它們轉(zhuǎn)發(fā)到中央入侵檢測系統(tǒng)報告器（IdsR)。例如，該 IdsR 可能位于遠(yuǎn)程信息處理單元內(nèi)，使其能夠通過蜂窩網(wǎng)絡(luò)向 OEM 的安全操作中心（SOC）發(fā)送安全報告和相關(guān)數(shù)據(jù)。然后，安全事件管理（SIEM）分析這些信息，并在必要  時用于制定和決定適當(dāng)?shù)姆烙蚓徑獯胧┮詰?yīng)對攻擊。AUTOSAR 標(biāo)準(zhǔn)指出BSW 模塊、CDD 和SWC 都可以充當(dāng)安全傳感器，安全傳感器將安全事件（SEv） 報告給 IdsM，AUTOSAR 標(biāo)準(zhǔn)化可以由 AUTOSAR BSW 報告的安全事件類型的子集。每個 BSW 的規(guī)格里列出了自己產(chǎn)生的安全事件類型，這些事件由相應(yīng)模塊報告，業(yè)務(wù)組件也可以報告在 AUTOSAR 中未標(biāo)準(zhǔn)化的自定義安全事件類型，可以使用安全性摘要（SecXT）指定由特定 ECU 報告的安全性事件類型的屬性。AUTOSAR    入侵檢測系統(tǒng)管理器是通用的、提供靈活的配置。它獨立于底層通信系統(tǒng)，在上述限制和假設(shè)條件下可以應(yīng)用于任何汽車領(lǐng)域。

AUTOSAR 信息安全趨勢分析

當(dāng)汽車朝智能網(wǎng)聯(lián)化方向發(fā)展時，未來會和路邊的基礎(chǔ)設(shè)施、交管平臺，云端的系統(tǒng)進(jìn)行信息交互， 來決策剎車還是加速，是保持車道還是變更車道。汽車也從單純的交通工具變成了互聯(lián)網(wǎng)的智能節(jié)點， 智能網(wǎng)聯(lián)汽車的前提是網(wǎng)聯(lián)（Connected)。目前幾種常見的汽車聯(lián)網(wǎng)方式為：車與云端互聯(lián)、車與消費 電子互聯(lián)、車與基礎(chǔ)設(shè)施互聯(lián)、車與車互聯(lián)。當(dāng)汽車接入網(wǎng)絡(luò)的那一刻起，它已經(jīng)從原來的信息孤島，變成了萬物互聯(lián)中的一個節(jié)點，而網(wǎng)絡(luò)安全也成了智能網(wǎng)聯(lián)汽車必須面對的首要問題。AUTOSAR Classic 是大多數(shù)車輛平臺的標(biāo)準(zhǔn)中間件，滿足實時操作系統(tǒng)和功能安全的典型要求。多年來，它一直在不斷發(fā)展，并提供了一系列用于安全車載通信或密鑰和證書管理的安全工具。然而，車載計算機(jī)或域控制器將塑造未來的 E/E 架構(gòu)作為中央應(yīng)用程序，在高度自動化甚至全自動駕駛和 V2X 通信中，車輛將成為一個以軟件為主導(dǎo)的系統(tǒng)，這需要集成更多比過去更加廣泛和多樣化的應(yīng)用程序。與AUTOSAR Classic 不同，AUTOSAR Adaptive 基于與 LINUX 相關(guān)的操作系統(tǒng)，應(yīng)用程序使用  “AUTOSAR Runtime for Adaptive Applications” ，簡稱 ARA。此外，自適應(yīng)平臺提供管理程序預(yù)配置分區(qū)，使不同供應(yīng)商獨立開發(fā)的不同 ASIL 類別的軟件組件能夠集成到車載計算機(jī)中并在其上安全運行。AUTOSAR Adaptive 與其面向服務(wù)的架構(gòu)和額外的功能（如細(xì)粒度的無線更新）相一致，還整合了額外的措施并為汽車安全設(shè)定了新的標(biāo)準(zhǔn)。傳統(tǒng)車內(nèi)網(wǎng)絡(luò)通信中，總線通信報文以明文方式傳輸，攻擊者借助簡單的采集分析工具對總線通信 報文進(jìn)行抓包提取，通過對原始通信報文的重放或篡改，對車輛進(jìn)行攻擊，可以造成車輛通信總線故障、功能異常，甚至影響行車安全等問題。AUTOSAR 平臺提供了安全通信組件 SecOC，在協(xié)議數(shù)據(jù)單元層面為關(guān)鍵數(shù)據(jù)提供可行、具有資源有效特性的真實性機(jī)制。持續(xù)的網(wǎng)絡(luò)信息安全風(fēng)險管理正成為 VTA 的要求，通過 IDS 車載入侵檢測可以為整個車隊提供信息安全保護(hù)。聯(lián)合國第 155 號條例（UN R155）以及 ISO/SAE 21434 規(guī)定，需要在車輛全生命周期內(nèi)對整個車隊進(jìn)行持續(xù)的網(wǎng)絡(luò)風(fēng)險管理。因此，持續(xù)的狀態(tài)監(jiān)測和基于風(fēng)險的安全措施將成為汽車信息安全 的重要組成部分。針對 V2X 和車輛信息安全，AUTOSAR 標(biāo)準(zhǔn)也提出了一系列的信息安全要求，并增加了入侵檢測管理系統(tǒng)（IdsM）、消息簽名的加密驗證、端到端安全、證書管理、應(yīng)用程序安全相關(guān)機(jī)制等。

AUTOSAR 信息安全對策

AUTOSAR Classic 和 Adaptive 為保護(hù)車輛軟件、數(shù)據(jù)免受操縱和未經(jīng)授權(quán)的訪問提供了重要的模塊，來解決汽車網(wǎng)絡(luò)通信信息的機(jī)密性、新鮮性、完整性、真實性以及可用性等問題。針對數(shù)據(jù)安全，在 Classic 和 Adaptive 版本中，對安全相關(guān)應(yīng)用程序所需的加密原語、密鑰和證書的訪問都是通過  AUTOSAR  特定的加密堆棧進(jìn)行的。應(yīng)用程序隨后僅訪問提供的接口，獨立于它們各自的加密實現(xiàn)，并可移植到不同的 ECU。針對車內(nèi)總線安全通信，AUTOSAR 標(biāo)準(zhǔn) SecOC 功能模塊為車內(nèi)網(wǎng)絡(luò)之間的通信提供了消息完整性、抗重放方面的能力。在協(xié)議數(shù)據(jù)單元層面（PDUs）SecOC 與 AUTOSAR 的通信系統(tǒng)協(xié)同，PDU  Router 負(fù)責(zé)對接收的消息進(jìn)行路由，對發(fā)送的安全相關(guān)協(xié)議數(shù)據(jù)單元提供給 SecOC 模塊。SecOC 隨后增加或是處理安全相關(guān)信息后，把協(xié)議數(shù)據(jù)單元返回給 PDU Router，由 PDU Router 進(jìn)行進(jìn)一步的路由處理。對于車內(nèi)以太網(wǎng)數(shù)據(jù)傳輸?shù)陌踩瑒t通過 TLS 和 IPsec 提供真實性和機(jī)密性的通信服務(wù)。針對訪問控制與身份鑒別，AUTOSAR  身份和訪問管理模塊為應(yīng)用提供權(quán)限隔離以及受攻擊時權(quán)限越級的保護(hù)功能，同時，還能方便集成人員在部署時就能驗證應(yīng)用對于資源的訪問權(quán)限。自 R20-11 以來，基本的 IdsM 規(guī)范已被整合到 AUTOSAR Classic 和 AUTOSAR Adaptive 版本中。事實上，AUTOSAR R20-11 版本是首次為 AUTOSAR 堆棧中的 DIDS 制定了一致的標(biāo)準(zhǔn)。然而，考慮到各種 ECU 的不同，AUTOSAR Classic 往往提供非常有限的資源，該版本中定義的功能范圍代表了非常低的共同標(biāo)準(zhǔn)。僅定義了  IDS  的最基本的應(yīng)用場景和核心的架構(gòu)，主要目的應(yīng)該是標(biāo)準(zhǔn)化車內(nèi)安全事件， 以及事件的發(fā)送機(jī)制，以便云端能理解并處理各種車型上送的安全事件。作為互聯(lián)和自動駕駛趨勢的一部分，與安全相關(guān)的車載功能不可避免地會增加。成熟的安全措施以 及高安全級別的車載架構(gòu)平臺將有助于解決這些技術(shù)挑戰(zhàn)。在未來，OEM 也將越來越多地建立基于高度連接的新商業(yè)模式，而這種連接需要得到保護(hù)。這給了 AUTOSAR Adaptive 進(jìn)一步發(fā)展的一個明確任務(wù)， 那就是要比 AUTOSAR Classic 更強(qiáng)大地集成安全應(yīng)用程序。