标签: 信息安全

开发一款安全性良好的软件是困难的，它需要专业知识的积累以及对常见编程缺陷和规则的了解，例如检查输入范围、管理内存分配和回收、寻址字符串格式、避免悬空指针等等。通常情况下，编写安全代码与开发人员编写“流畅”代码的自然愿望形成了对比，开发人员更希望将编写代码的精力集中在正确的业务逻辑上，而非集中于保证编写的每一行代码是否安全上。 在日常实践中，大多数软件的漏洞源于一小部分编码错误，经过多年的开发实践均能得到改善。平均来看，每1000行代码中仍然存在40-70个错误，这些错误中的一部分将导致可利用的安全问题，而这也是行业中普遍存在的问题。但是对于部署了数千万行代码的产品而言，这可能很快就会导致系统安全性受损。 漏洞通常被定义为“一个可以被不法分子利用的缺陷”。如果把漏洞透明化的概念引入软件世界就很容易受到启发，比如在汽车产品本身安全的情况下，产品被部署到在设计上就不安全的环境中使用会发生什么情况呢？这将导致产品安全难以得到保证。作为制造商，你无法控制你的产品在哪里被使用、如何被使用、它们将与哪些系统连接、谁在使用它们、或者谁可能获得对它们的访问，无论是有意还是恶意的。在这种环境下，管理代码中的漏洞这一任务就变得至关重要。 那么汽车行业的安全挑战都有哪些呢？ ·开发惯例 汽车软件开发大约已有50年的历史，汽车的生命周期至少是12年，汽车平台每5-7年就会更换一次，但大部分遗留的硬件和软件都是从一个平台转移到另一个平台。汽车开发人员主要使用C和C++作为开发语言，虽然这两种语言灵活性很高，但是它们从设计上就不安全，也没有提供任何可以防止将安全漏洞引入系统的保护措施。尽管通过引入编码标准(如MISRA-C)已经做了一些工作来确保编码的安全性，但这些指导方针很难强制执行，并且在一些富操作系统中遵守这些指导方针是不现实的。 ·供应链 汽车行业的分布式开发实践是独特的，它有多层的供应商，每个供应商都为更高层次的系统集成提供软件集成。一辆汽车可能有50-150个不同的计算单元，由10-20个不同的供应商提供。而供应商提供的这50-150个不同的计算单元中，每个组件可能又有多个CPU、几十个外围硬件组件和大量的软件包。有了这么多第三方代码，且考虑到OEM实际上只负责实际编码的一小部分，这也就使得软件的不透明性成为常态，令制造商很难评估其安全性。 · 开源软件 (OSS) 面对日益增长的客户需求，更快、更灵活的开发模式驱动成为众望所归，原始设备制造商和供应商越来越多地引入开源软件，并整合了大量的开源库。这种对开源软件的依赖导致了另一个安全问题的恶化。 那么面对这些问题，如何监管才有效呢？ 近几年来，汽车行业内相继发布了多项标准，ISO/SAE21434是SAE J3061的延伸、联合国欧洲经济委员会（UNECE）、WP.29车辆法规协调工作小组也制定了法规以满足OEM和制造商的需求：当涉及到汽车网络安全时，OEM和制造商必须满足法规要求后才能颁发汽车型号认证，否则汽车就不能出售。ISO标准和WP.29的工作都包括一项指令，即在汽车生命周期中持续管理和监测漏洞。 拥有一个明确和规范的流程是推动车辆安全状况改善的一大步。但仅有流程是不够的，仍需要汽车行业自身进行安全数字化转型。在软件日益复杂的现实中，规模化管理漏洞带来了多种挑战。 ·可见性 按照传统来讲，汽车工业是根据功能部件的概念来进行组织的。因此，原始设备制造商已经优化了内部资产管理系统来管理供应商的零件，但这些零件的内部软件组成却很少可见。这些系统在管理硬件组件(以及机械部件)级别的复杂供应链分配方面非常出色，但在软件级别的问题上却收效甚微。通常情况下，产品安全团队面临的最大挑战是需要深入了解系统上的漏洞和威胁，而它们很少有内部可见性。 ·相关性 另一个挑战是"去除噪音"。NVD是软件漏洞的主要来源，每年有超过16,000个CVE，其中90%以上在汽车行业没有应用。但如果没有先进的软件将数据与实际的车辆联系起来，安全团队就会花费相当多的时间来处理成千上万的漏洞，最终很有可能面对的是大部分漏洞和当前产品不相关的窘境。 ·可追溯性 在一个组件或开发程序中发现的漏洞很可能与其他组件或开发程序有关，但由于团队可能是在孤军奋战，无法在多个项目之间协调程序，对于安全同事而言很难了解其整个开发范围。 ·可操作性 安全团队的一项关键任务是管理开发工作，以消除漏洞并不断改进系统的状态。对于不同的个人和完全不同的组织结构，如果不以有组织和可扩展的方式进行管理，管理难度会很大。 以上谈到的所有挑战都强调了汽车行业安全数字化转型的必要性。从业者们逐渐认识到“人+机器”的方法对于保持安全所需的规模的重要性，同时也认识到了引入自动化技术实施标准和法规要求的信息安全活动对于推动行业安全数字化发展的利害。 经纬恒润针对ISO/SAE 21434、WP.29 R155等法规进行了深入研究，结合多年功能安全、信息安全经验，可以为客户提供信息安全全流程解决方案。依托自动化工具和咨询服务，助力客户建立完备的信息安全流程体系，在信息安全设计、软件开发、硬件设计、漏洞扫描、测试验证方面为客户赋能，保证软件源码级、部件级以及整车层面的安全。

2024 年 6 月 18 日 —全球领先的嵌入式系统开发软件解决方案供应商IAR自豪地宣布，公司推出经TÜV SÜD认证的C-STAT静态分析工具，适用于最新发布的IAR Embedded Workbench for RISC-V V3.30.2功能安全版。经TÜV SÜD认证的C-STAT静态分析工具完全集成在IAR各种功能安全版本中，现在可用于Arm、RISC-V和Renesas RL78架构。 TÜV SÜD认证保证了IAR C-STAT静态分析工具符合严格的功能安全标准，该认证包括一份全面的安全指南和全新的IAR C-STAT静态分析合规报告，详细说明了所支持的标准和规则。 IAR首席技术官Anders Holmberg表示：“我们很高兴发布适用于最新IAR Embedded Workbench for RISC-V功能安全版且经TÜV SÜD认证的C-STAT静态分析工具。C-STAT支持Arm、RISC-V和Renesas RL78架构，可以加速多架构项目的代码质量自动化。TÜV SÜD认证确保C-STAT符合严格的安全标准，提供了关键的合规性和可靠性信息。通过将静态分析集成到CI工作流程中，我们更新的功能安全版本可以无缝地增强各种项目和架构的软件质量和安全性。” 更新后的IAR各种功能安全版本均集成了经TÜV SÜD认证的C-STAT静态分析工具，可以通过静态分析在开发过程的早期检测潜在错误和编码标准违规，从而提高软件质量和安全性，同时可确保合规性并节省宝贵的时间和资源。 最新的IAR Embedded Workbench for RISC-V功能安全版还增加了对新的RISC-V ISA扩展的支持，包括Zc（代码缩减）、Zk（加密）、Zfinx（整数寄存器中的浮点数）和CMO（缓存管理操作）。它具有自动压缩汇编器、优化的库函数和增强的代码生成能力，为开发人员提供了高效的软件开发工具。 IAR支持包括持续集成（CI）和自动化构建在内的现代开发实践，适用于Linux（Ubuntu与Red Hat）和Windows等平台，并且IAR工具链能够无缝集成到现有环境中。 自动化软件质量、功能安全和信息安全对于嵌入式软件至关重要。像C-STAT静态分析这样经过认证的工具能够帮助开发人员更快地交付更好的软件，并且确保合规性和系统完整性。选择经过认证的解决方案可以节省时间和成本，使开发人员能够专注于代码和应用功能。 欲了解关于C-STAT如何提升安全关键型应用的代码质量的更多信息，请访问IAR Functional Safety。

概述 HSM（Hardware Security Module）硬件安全模块，是一种用于保护和管理强认证系统所使用的密钥，并同时提供相关密码学操作的计算机硬件设备。 HSM 在汽车信息安全中扮演着至关重要的角色。随着汽车智能化和网联化的快速发展，汽车软件面临着日益严重的安全风险问题，包括数据泄露、恶意攻击以及未经授权的访问等。为了解决这些问题，HSM 作为专用的加密设备，被广泛应用于汽车行业中，以增强汽车系统各方面的安全性。 在早期的汽车网络安全标准中，如 SHE（Secure Hardware Extension，安全硬件扩展，针对汽车网络安全的硬件规范，最早由奥迪、宝马、大众等厂商联合制定，并在2019 年纳入AUTOSAR标准），HSM被提出作为一种硬件规范，旨在通过规范硬件设计，形成软硬件结合的网络安全解决方案。这种解决方案将对加密密钥的处理从软件领域延伸到硬件领域，利用硬件的高鲁棒性来规避软件系统容易遭受攻击的问题，从而更好地保护汽车的密钥系统。HSM不仅能够保护密钥敏感信息和促进安全通信，还能确保固件更新的安全性，并降低 CPU 负载。随着汽车技术的不断发展，HSM 将在未来继续发挥更加重要的作用，为汽车行业的网络安全提供更加坚实的保障。 在EVITA（E-safety vehicle intrusion protected applications）框架下的HSM被划分为三个等级：Full、Medium和Light，代表了HSM的不同安全级别和功能特点。经纬恒润基于芯片EVITA等级，推出了满足众多芯片的EAS.HSM固件以及应用驱动程序HSM Driver，为应用核提供了强大的安全保护和管理功能，确保了敏感数据的安全性和完整性。 产品特点 · 满足 SHE (Secure Hardware Extensions) 规范标准 · 符合 ISO/SAE21434 标准以及 WP.29 R155、R156 法规要求 · 支持AES、MAC、ECDSA、ECDH、RSA、SHA1/2/3、随机数、密钥管理（生成 / 导入 / 销毁）、X.509证书导入、安全启动、安全debug等安全密码服务 · 支持扩展服务，满足芯片无硬件加速引擎时支持非对称密码服务、证书解析和生成机制、国密算法 · 独立内核可编程，定制化程度高 · 适配英飞凌，瑞萨等多款主流芯片硬件架构，也支持根据不同芯片硬件架构定制开发 · 提供Host端的AUTOSAR标准Crypto模块，与多种第三方AUTOSAR工具链无缝集成 · 符合CMMI的开发流程，丰富量产经验，质量可靠有保证 · 丰富灵活的License模式：满足 OEM、供应商等不同客户的不同需求 生态适配 · 英飞凌Infineon TC3X family 、TC2X family、TC4X family · 瑞萨Renesas F Series、P Series、U Series · 国产芯片 技术细节 · AES AES 加密和解密功能 ECB、CBC、CTR、CFB、OFB 等算法模式 128bit、192bit、256bitAES密钥 对PKCS7填充标准的支持 四种Crypto操作模式的处理逻辑，包括Start、Update、Finish和SingleCall · MAC CMAC、HMAC生成 / 校验功能 截断长度的MAC生成和验证 四种Crypto操作模式的处理逻辑，包括Start、 Update、Finish和SingleCall · HASH 提供获取HASH值功能 支持MD5、SHA-1和SHA-224、SHA-256、SHA-384、SHA-512算法 支持四种Crypto操作模式的处理逻辑，包括Start、Update、Finish和SingleCall · 随机数 TRNG CTR_DRBG 模式的 PRNG 服务 · RSA 提供RSA加密解密以及签名验签功能 支持No Padding，PKCS1_V15，OEAP三种填充模式 支持配置1024、2048、3072和4096bit的RSA密钥 · DSA DSA签名生成 / 验签功能 ECDSA和EDDSA算法模式 四种Crypto操作模式的处理逻辑，包括Start、Update、Finish和SingleCall 满足 SEC，NIST 标准下的 384bit 以及 521bit 曲线 · 密钥和证书管理 符合SHE标准的密钥的存储 4个扩展组User Key 支持对称密钥AES、非对称密钥RSA、非对称密钥ECC的存储 密钥目录初始化、密钥导入、密钥导出、密钥擦除 X509证书导入、解析和存储 · 安全启动 配置安全启动校验区域以及校验功能 配置基于SHE安全启动 提供前启动按顺序表自校验以及后启动请求再自校验服务 擦除配置的安全启动校验区域 导出安全启动校验执行顺序表的功能 · 安全日志 软件行为记录和安全相关的事件记录 · 自更新 HSM固件软件更新服务 经纬恒润 提供汽车信息安全解决方案，旨在借助产品安全平台以及服务，帮助国内汽车OEM及其供应商能够在汽车软件开发全生命周期内大规模评估和降低安全风险，保证产品安全。 了解更多 请致电 010-64840808转6117或发邮件至market_dept@hirain.com（联系时请说明来自面包房社区）

面向MCU端的AUTOSAR CP平台加密组件——Crypto ECU中所有的软件单元都遭受到信息安全攻击的可能。AUTOSAR为保障ECU信息和数据安全，定义了CRYPTO 组件,包含 SecOC、KeyM、IdsM、Csm、CryIf 和Crypto Driver 等标准模块。CRYPTO组件提供各种加解密算法以及密钥管理功能，能感知到信息安全攻击，发现安全事件，确保数据的安全性、完整性以及身份认证，为ECU提供信息安全保障。 SecOC 模块 SecOC模块是AUTOSAR基础软件架构一个标准软件模块，属于通信服务层。它的主要功能是为总线上进行传输的数据提供信息认证。消息在IF/TP和Com之间传输并路由PduR 模块时，将消息传入SecOC模块进行校验，可以有效抵御消息重放攻击，异常篡改等通信攻击方式。 SecOC为所需的通信报文提供加密服务机制，以及接收报文的认证机制，具体功能通过调用加密栈功能实现。另外 SecOC为加密通信提供防重放攻击机制，具体功能通过调用 FVM 模块实现，FVM模块属于应用层，通过维护一个不断变化的新鲜度值来为SecOC模块通信提供保护。 KeyM模块 KeyM模块是AUTOSAR基础软件架构一个标准软件模块，属于加密服务层。其中加密密钥子模块主要包括密钥初始化、生成、更新、派生、维护和分配，其中证书子模块主要功能为配置工具链以及使用证书。 Csm模块 Csm 模块、CryIf模块和一个或者多个Crypto模块组成整个 AUTOSAR的加密栈。Csm作为加密栈中唯一个提供对外接口的模块，主要为AUTOSAR架构中的其他BSW模块和上层应用程序提供加密服务和密钥管理服务功能。Csm模块中提供了多种加密服务接口，包括HASH计算、MAC生成校验、数据加密解密等接口。通过配置Csm模块中的任务，使得每种服务接口可以实现一种或者多种算法。不过需要注意的是，数据的具体计算过程并未在Csm模块的核心代码中实现，Csm将收到的任务请求通过CryIf模块发送到具体的Crypto模块中进行计算，之后将计算结果返回。 CryIf 模块 CryIf模块，是连接Csm模块和下层的Crypto模块的桥梁，CryIf模块只为Csm提供服务，CryIf模块可连接一个或多个 Crypto模块。Csm模块中的任务通过CryIf模块下传到某个 Crypto模块中执行，并通过CryIf模块将结果通知给Csm模块。 Crypto Driver模块 Crypto Driver模块按照AUTOSAR规范中的标准接口对加密实现模块中的功能进行封装，提供加密实现所支持的多种加密算法功能。Crypto Driver（HW）基于芯片中硬件安全扩展模块开发的加密驱动模块，对具体芯片中的功能进行封装。Crypto Driver（SW）使用软件实现具体加密功能，而 Extern Crypto Driver则为对外部驱动进行调用，实现具体加密功能。 面向MPU端的AUTOSAR AP平台加密组件——Security CRYPTO加密管理 实现加密栈管理功能，支持多种加密算法，可定制开发其他算法，如：随机数生成器（CTR-DRBG）、哈希算法（SHA256，SHA512）、对称流加密算法（AES-128，AES-192，AES-256，支持 ECB CBC CFB CTR模式）、对称块加密算法（AES-128，AES-256，支持ECB模式）、非对称密钥生成算法、非对称密钥封装机制KEM服务、非对称加密算法（RSA) 支持密钥存储管理功能 提供 TLS/DTLS socket 封装接口 IAM权限管理 支持对服务接口访问的鉴权保护 实现 PEP 和 PDP 目前，经纬恒润已为国内多家客户提供汽车网络安全开发及测试服务，打造车联网可信安全平台，为智能网联汽车安行之路保驾护航！未来，经纬恒润将继续紧随汽车行业发展趋势，坚持自主创新，为客户提供更多优质的产品和服务！ 了解更多 请致电 010-64840808转6117或发邮件至market_dept@hirain.com（联系时请说明来自面包房社区）

汽车行业网联化以及网络安全风险日益突出，汽车网络攻击，漏洞日益增加，危害防不胜防。汽车信息安全逐步受到重视，网络安全相关法律法规陆续颁布。在这样的背景下，AUTOSAR 组织也发布了有关信息安全模块和 Crypto Stack( 加密协议栈 )，落地有关汽车信息安全法律法规要求，应对汽车网络安全风险。从 2011 年起，经纬恒润紧跟行业发展大势，开始研究信息安全相关标准和技术。 经纬恒润车端信息安全解决方案整合了 MCU 端以及 MPU 端的信息安全解决方案，具体方案包括 Security Boot、安全通信、安全存储、安全诊断和入侵检测等，能满足欧标强制法规要求和国内信息安全法规要求，符合欧标出口要求的车载信息安全技术架构。 SecOC安全通信模块 SecOC 主要功能是为所需要加密的通信报文提供加密服务和认证机制，能够抵御报文的重防攻击。 Crypto 加密驱动模块 Crypto 主要功能是支持芯片硬件安全扩展模块所提供的所有加密技术功能，能够与固件进行交互，完成有关信息安全管理和加解密功能。 HSM Firmware 安全固件 HSM 安全基础固件主要功能是提供安全计算环境和安全存储环境 , 具备如下：随机数生成，对称密码算法，消息认证码，哈希算法，非对称密码算法，密钥派生，X.509 证书解析，运行中篡改检测，SecOC 协议栈适配，安全日志，安全启动，安全刷写，安全诊断等功能。 安全启动 安全启动方案主要功能是保证车载系统软件满足安全的启动信任链，或软件被篡改后无法正常启动。 安全访问 安全访问方案主要功能是保证诊断仪的合法性，通过增强27安全访问或通过集成29服务来实现。 安全存储 安全存储方案主要功能是保护车辆敏感和重要数据，将重要数据存放在安全的 HSM 区域。 IDPS 入侵检测防御系统 IDPS 入侵检测防御系统主要功能是识别网络攻击数据或行为，并采取对应的保护和防御措施，主要特征有：网络流量控制，防火墙，访问控制，深度包检测，周期性扫描系统检测异常，周期收集系统资源使用情况，响应 IDPS云端控制命令。 IDSonCAN基于CAN的入侵检测模块 IDSonCAN主要功能是对报文能够进行检测，比如检测不正确CAN报文ID和格式，检测报文周期，检测报文Counter值，检测报文信号范围等，及时发现报文入侵工攻击。 安全升级 安全升级方案主要功能是保证升级包真实性和完整性，集成非对称算法，对升级包进行签名验签。 目前，经纬恒润已为国内多家客户提供汽车网络安全开发及测试服务，打造车联网可信安全平台，为智能网联汽车安行之路保驾护航！未来，经纬恒润将继续紧随汽车行业发展趋势，坚持自主创新，为客户提供更多优质的产品和服务！ 了解更多 请致电 010-64840808转6117或发邮件至market_dept@hirain.com（联系时请说明来自面包房社区）