英语原文共 8 页,剩余内容已隐藏,支付完成后下载完整资料
汽车信号层安全与信任边界识别方法
摘要:适应既定的功能安全流程和方法在汽车领域是一个重要趋势,功能安全与网络工程安全有相当大的重叠。就像安全成为20世纪后期发展的重要部分一样,从一个领域到另一个领域的适应方法常常受到非领域专家的挑战。现代车辆必须具备抵御网络攻击的能力,汽车供应商可以利用许多其他领域的经验迎接这一挑战,但也必须面对几个独特的挑战。网络安全工程现在将可靠性和安全性集成到安全的领域开发生命周期中。最近发布的 SAE J3061网络物理车辆系统指南侧重于设计网络安全感知系统,与汽车安全标准ISO 26262密切相关。
本文的主要贡献是分析了一种通过信号接口识别复杂汽车系统攻击矢量的方法,并提出了一种安全分类方案和保护方法。为此,使用和扩展了ISO 26262 功能安全开发过程的核心开发工具-硬件-软件接口(HSI)以支持网络安全工程师,在信号层处理并提供网络安全对策。
关键字:ISO 26262;SAE J3061;汽车系统;硬软件接口;网络安全;功能安全
第1章 绪论
在20世纪70年代末,被称为电子控制单元(ECU)的自带嵌入式系统被引入到生产车辆中。从那时起,嵌入式系统在汽车工业中的复杂性变得很有意义。据估计,在过去十年嵌入式在汽车系统中占到了产品创新的80%,占目前车辆费用的25%。这些嵌入式系统是提高数字化程度的工具,最终提高了现有标记的竞争力,同时也打开了进入新市场的大门(例如,数据驱动的商业模式),这些系统所需的可靠性也在提高。缺乏安全性、可靠性、可用性、系统的完整性等,这些都有可能导致严重的系统故障,对人类健康、环境或财产都会产生严重影响。
车对车和车到基础设施的范例正在兴起,未来的车辆将有多种车辆之间的连接,以及与无线联网的能力。车辆和非车辆实体(如充电站和交通灯)产生的相互连接增加了攻击表面和它们的破坏潜力。
在引入无线连接和自动驾驶功能之前,车辆是带有机械控制的物理机器。嵌入式给汽车系统技术提供了很大的便利,但他们也为用户的安全带来了新的风险。因此,功能安全工程的方法和过程成为工业标准和发展的关键部分。
在此背景下,车与车以及车与设施之间的连接程度不断提高,使得汽车系统正从独立的系统发展为全面的系统,并相互协调影响车辆行动。因此,连接不仅限于内部系统(例如转向、传感器、执行机构和通信),还包括其他系统:道路使用者和基础设施以及网络安全问题。在系统可管理性方面出现了新的挑战,这是由所需的跨领域专业知识与新技术的普及程度之间日益扩大的差距所造成的。适应既定的功能安全流程和方法在汽车领域是一个重要趋势。
本文着重于信号层研究,因此,分析了一种基于硬件-软件接口(HSI)的复杂系统信任边界和攻击向量识别方法。HSI是ISO 262624功能安全开发过程的核心开发工具,这件艺术品是该系统最后一次开发的艺术品,是硬件和软件并行开发的起点。因此,HSI定义需要硬件和软件的相互领域知识,而且通常不是一致的。不仅包括信号接口信息,而且还包括几个附加的设备配置。文章在提出对HSI支持网络安全工程过程的扩展的同时,还提出了一种信号层的安全分类方案和相关的保护机制。
论文的组织安排如下:第2章概述了相关工作;第3章中提供了关于拟议办法的说明和关于个别项目的详细资料;第4章简要评价了这一方法;最后第5章总结了提出的方法。
第2章 相关工作
SAE J3061是目前唯一可用于汽车网络安全工程的指导方针,它通过以下方法为网络安全确立了一套高级别的指导原则:(A)定义一个完整的生命周期,(B)提供关于一些共同的现有工具和方法的信息,(C)支持关于网络安全的基本指导原则,(D)总结进一步的标准开发。
SAE J3061指出,网络安全工程需要一个适当的生命周期,这与ISO 26262中描述的过程框架有很大的关系。指南建议对潜在威胁进行初步评估(TARA-威胁分析和风险评估)以及可被认为与网络安全相关或与安全相关的系统的风险评估,以确定是否存在可能导致安全违规的网络安全威胁。除此之外,关于如何进行估计风险,建立安全分类方案或指导所需的保护机制,没有进一步的建议。
硬件-软件接口(HSI)的明确定义在道路车辆功能安全标准ISO 26262中至关重要。因此,这个发展的艺术品似乎是通过信号接口识别信任边界和攻击向量的完美起点。但是,目前的功能安全标准版本和汽车工艺参考模型“汽车香料”都没有为这一技术的发展规定一个具体的方法。此外,在汽车领域有关HSI定义的出版物也很少。
HSI最突出的定义是由功能安全标准ISO 26262给出的。在这方面定义是最重要和最基本的工作产品之一。HSI是系统开发阶段的最后一个开发工具,是硬件和软件并行开发的起点。有关如何指定与功能安全有关的接口可在标准第4部分中找到。此外,ISO 26262第4部分的信息附件B提供了有关接口定义的可能内容的信息。
基于国际标准 ISO 15504,可以改变汽车软件确定参考模型,这主要用于欧洲以及东亚部分地区。如前所述,该模型也没有直接解决对硬件一软件接口的需求,但是有关HSI规范的一些提示可以从系统工程过程(SYS.3和SYS.4)和软件工程过程(SWE.3和SWE.5)的一般接口主题中提取。
本文提出了一种用于ISO 26262对准HSI定义的基于模型的开发(MBD)方法。以双向方式将电子表格工具(如EXCEL)和MBD工具结合起来,用电子表格工具来定义HSI定义,并将生成的信息转换成可重用和版本化的模型表示。
文章提出了一种具有集成HSI定义功能的机电一体化系统的领域特定建模方法,为嵌入式系统的开发提供新的思路。在汽车领域,基于机电一体化的电气/电子系统是基于特定领域的语言,专门针对领域专家的具体需求而设计的。这项工作的重点是简化系统建模方法(如UML或SYSML)。
在文中描述的基于HSI的攻击向量识别与上述汽车香料参考模型的联系,以及与ISO 26262道路的联系。其他工作假设定义HW/SW接口的问题是基于合同的设计的新兴领域独立范例的一部分。合同SPE对组件的输入和输出行为进行加密,并提供有保证的行为。虽然这些方法在汽车领域还不是很普遍,但是这种方法可以用于软件组件安全合同以及基于合同的嵌入式系统发展。
合同的设计范式是一种新兴的与领域无关的界面定义范式,反域指定组件的输入和输出行为,并提供有保证的行为。这种方法可以用于软件组件安全合同以及基于合同的嵌入式系统开发合同。
第3章 硬件带有安全扩展的软件接口定义
在道路车辆功能安全标准ISO 26262的背景下,HSI定义可能是最关键最基本的工作产品。HSI规范不再仅由一个单一的电子表格描述硬件和软件之间的所有信号,同时也包括补充信息,如资源消耗目标、控制模块设置等。建立HSI需要对硬件和软件组件具有丰富的知识,并且通常是由硬件、软件和系统专家组成的集体研讨会的结果。
表1列出了从标准(ISO 26262、自动计算、SAE J3061)、科学论文和作者的经验中提取的基本HSI属性。与安全有关的通知添加了支持通过系统的信号接口识别攻击矢量弥补SAE J3061不提供任何信息缺点。关于如何继续进行由TARA估计的网络安全度量,设置建议将TARA的估计安全级别(此处称为SECL)包含到相关系统及其接口中。网络安全相关信号继承了安全水平从威胁分析和风险评估的系统所属。信号应受到保护,信号安全级别防止网络安全攻击。对于汽车系统和车载信息娱乐系统,也提出了这样一种方法。对于复杂的系统和网络结构来说,保护边界的信任和网关的识别是非常关键和繁琐的。在这里可以支持对HSI定义的改进与个人信息相关的补充网络安全相关信息,信任边界和攻击向量专注于系统接口。因此,通过分析特定系统的信号接口,可以识别出所有可以直接干扰所涉及的信号的控制器。这些控制处于相同的信任范围内同样可信。只有通过与信任边界之外的连接的设备才能访问信任边界。这些设备称为网关,负责防止信任边界内的控制单元受到攻击和滥用信任。因此,从HSI定义信号开始确定信任边界和网关的结构化和有条不紊的方法。
表1 基本属性、注释和来源
因此,要在车辆系统中实现安全性能,就需要协调应用安全技术。然而,目前尚未建立安全技术标准化,应由制造商决定如何提供安全环境。
基于表2中的总和提出了安全级别的设计准则,对不同安全技术进行实践。这意味着,对于非安全相关的信号(SECL = 0)无附加要求声明。对于与安全相关的信号,应采用安全技术.对于(SECL=1),应验证消息的来源和完整性,同时 对于(SECL=2),除了这些措施外,还应检查消息的数量,检测异常行为和入侵,并且必须识别不可变的设备。因此,每个安全级别还必须意味着分配给较低级别的安全技术实践。
表2 拟议的信号安全设计准
第4章 提出的方法的应用
本节演示了基于汽车用例的电动混合动力系统电池管理系统(BMS)的应用。带电混合动力(结合一个或多个电机和传统的内燃机)是目前混合动力系统的最常见的变体。动力总成结构的变化配给方案增加了动力系统本身以及所需控制系统(软件功能和控制单元)的复杂性。只有在控制系统设计合理和配置完善的情况下,几种不同类型的能源才能得到完美的利用。为此目的,连接特性和外部实时特性 数据越来越多地集成到控制策略决策中。
图1 在ISO 26262项目定义背景下对BMS的描述
整个高压电池系统由BMS、电池卫星模块(分组电池单元和通过专用总线通信)和风扇控制电池冷却系统组成。该系统连接到各种动力系统控制单元、充电接口(启用与电池充电站的通信)、车载诊断接口(OBD),并通过专用的车辆信息娱乐系统网关(包括驾驶员接口和无线互联网连接)。
对于网络安全威胁和安全危害的初步评估,可以使用撒哈拉方法。该方法识别安全目标和网络安全攻击,这些攻击都可能违反安全目标。此外,撒哈拉方法为系统的安全影响(AISL;由ISO 26262标准化)和网络安全系数指定了质量标签。这个标签由该系统的组件和子系统进一步继承(例如,包括系统运行所需的信号)。图1描述了复杂的概念构建块,从安全角度看高压电池(总是指传感器的驱动链通过控制器到执行器)。这被称为ISO 26262术语中的项定义。对于安全相关的复杂汽车系统方面的功能确定信任边界面向系统边界定义,其中危险故障被控制。相比之下,在网络安全中,信任边界被用来描述程序执行或数据的边界,保护改变了他们的“信任”水平。信任边界指攻击者可以干预的点或攻击面。因此,适当的系统方法支持确定信任边界是必不可少的。
表3 BMS数据运用
|
HSI |
BMS |
||||||||
|
信号名称 |
节气门位置 |
车速 |
车身情况 |
电压 |
电流1 |
电流2 |
电池最低温度 |
电池最高温度 |
|
|
信号描述 |
实际开度 |
实际车速 |
实际姿态 |
实际电压 |
实际电流1 |
实际电流2 |
电池温度最低 |
电池温度最高 |
|
|
传感器 |
VCU |
VCU |
VCU |
BMS |
电流1 |
电流2 |
BMS |
BMS |
|
|
方向 |
公共 |
进 |
进 |
进 |
进 |
进 |
进 |
进 |
进 |
|
ASIL |
ASILB(D) |
ASILB(D) |
ASILB(D) |
ASILB(D) |
ASILB(D) |
ASILB(D) |
ASILB(D) |
ASILB(D) |
|
|
层次 |
2 |
2 |
2 |
0 |
0 |
0 |
2 |
2 |
|
|
资源 |
CAN |
CAN |
CAN |
全文共11010字,剩余内容已隐藏,支付完成后下载完整资料 资料编号:[9773],资料为PDF文档或Word文档,PDF文档可免费转换为Word |
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
