目录
1.强标的另一层解读
2.什么是 IDPS
2.1 IDPS 技术要点
2.2 车辆 IDPS 系统示例
3.车辆纵深防御架构
4.小结
1.强标的另一层解读
在最近发布的国家汽车安全强标《GB 44495》,在 7.2 节明确提出了 12 条关于通信安全的要求,分别涉及到车辆与车辆制造商云平台通信、车辆与车辆\路侧单元\移动终端通信、车辆对内部网络进行边界划分和保护、以及车辆需具备防 DoS 攻击、恶意攻击、记录通信安全事件的能力要求;
在 2022 年发布的国际强标 R155 中,在 7.2.2.2 章节明确提出 OEM 需要展示用于监控、检测和响应车辆的网络攻击、网络威胁和漏洞的流程。
具体细节在 7.3.7 章节得到进一步解释:
从上面两份标准可以看到,目前法规对于汽车网络安全是要求 OEM 保证在型式车辆整个生命周期内可以持续监控网联型式车辆的入侵事件并做出响应、识别不断增加的安全威胁、持续改进网络安全,这也是未来智能网联汽车一个重要趋势
面对这样的趋势,EB、ETAS、VECTOR 把汽车网络安全提到了前所未有的高度,纷纷推出了 IDPS(Intrusion Detection & Prevention System,车辆入侵检测与防御系统),旨在把汽车网络安全防护动态化,根据实际识别到的入侵事件,进行有针对性的响应。
2.什么是 IDPS
2.1 IDPS 技术要点
IDPS 的出现最早可追溯到 2007 NIST 出版的 SP 800-94《Guide to Intrusion Detection and Prevention Systems》,文章提到 IDPS 至少应提供以下信息安全相关的功能:
- Information gathering capabilities:从在观活动收集观测主体的网络活动等;
- Logging Capabilities:记录与检测到事件的相关数据,该数据可用于确认警报的有效性;
- Detection Capabilities:检测事件的能力,常见手段有异常行为的阈值设定、黑白名单、警告设置等;
- Prevention Capabilities:针对入侵事件的预防、防范功能。
因此,顾名思义 IDPS 就是检测入侵事件、进行响应防御,由 IDS(Intrusion Detection System)和 IPS(Intrusion Prevention System)组成,该系统至少具备如下能力:
进一步,根据文档,IDPS 主要有以下四种技术类别:
- Netword-Based:持续监视特定网段或设备的网络流量,通过分析网络和应用协议活动来检测可疑活动;例如 AUTOSAR 中针对 CAN\CAN-FD\ETH 的 IDS 技术
- Wireless:监控无线网络的流量异常;
- Host-Based:监视单个主机中发生的可疑事件,例如针对特定 ECU,如网关、智驾域控等;
- Network Behavior Analysis:检查网络流量以识别产生异常流量的威胁,例如 DDoS 攻击、扫描
2.2 车辆 IDPS 系统示例
由于汽车本身属于交叉学科融合的产物,因此它的 IDPS 系统不仅要考虑车内通信,还要考虑车云通信, 因此可能会涉及到 Host-Based、Netword-Based、Wireless 的 IDPS。
Host-Based IDPS 通常被称为 agent,其余三类 IDPS 被称为 sensor,因此,一个车辆 IDPS 系统包括如下内容:
假设有黑客对车辆进行入侵攻击,分布在车辆不同位置的 sensor(如中央计算平台、TCU、网关等)会探测和收集信息,最终由一个统一的出口(一般是 TCU,Telematics Control Unit)上报给云端 SOC(Security Operations Center),由后台运维人员协助进行响应防御,最后还需要更新防御策略,如下图所示:
3.车辆纵深防御架构
在了解完 IDPS 后,我们再来梳理车辆的纵深防御架构,个人认为主要可以从三个层级进行思考:车内 ECU -> 车内网络通信 -> 汽车对外接口。如下图所示:
- 车内安全 ECU 针对汽车信息安全提供安全升级、安全升级、安全诊断以及隔离环境等功能,特别重要的还需要提供一个硬件安全锚点,通常是内置 HSM;
- 车内通信网络主要保证关键车内信号的完整性,功能包括内部网络分区、SecOC、IDS;
- 汽车对外接口,接入到互联网之后,就要关注 V2X 通信,常见功能包括 Firewall、IDPS 等;
安全 ECU 和车内通信提供的功能咱们了解的还是比较多了,不讲了;这里主要聊聊对外接口, 它需要提供 Firewall 和 IDPS。
这两者的差异主要是对消息的处理差别:
- Firewall:阻止对单个 ecu 或整个网络的非法通信;
- IDS:探测异常、生成入侵报告,但不阻止通信;
通常情况,防火墙会被用作入侵防御(Intrusion Prevention),与 IDS 共同组成 IDPS。IDS Sensor 探测到攻击后,创建一个事件报告,根据严重性和现有规则手册请求防火墙规则的更新;防火墙接收到请求后阻塞特定消息并更新防火墙规则,IDS Manager 和 Reporter 上报 log 给到 SOC,由 SOC 判定。
4.小结
随着智能网联汽车的发展,以前静态配置、隔离为主的汽车网络防御措施,逐步往动态、智能化的方向发展,IDPS 系统会逐渐成为网联汽车的主流网络安全配置。
END
作者:快乐的肌肉
文章来源:汽车MCU软件设计
推荐阅读
- 驾驶行为谱系及反常驾驶行为建模
- 高效信息管理模块:支持自动驾驶安全的数据库解决方案
- SoC 安全岛应用和未来演进(附直播回放)
- 密码学基础 -- RSASSA-PSS盐值长度大揭秘
- 万字长文,当要求功能安全时,我们在要求什么?
更多物联网安全,PSA 等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA 技术交流群,请备注研究方向。
