2022車載信息安全方案

01OPTION02OPTION03OPTION

車載終端應(yīng)用隔離方案VehicleTerminalApplicationIsolationSolution中央控制器安全方案CentralControllerSecuritySolution產(chǎn)品與技術(shù)Product&Technology01背景描述當(dāng)前主流車載終端將數(shù)字儀表盤和IVI娛樂系統(tǒng)合二為一，由一顆CPU支持所有功能，其中部分車輛控制（如：舒適性等）在IVI娛樂系統(tǒng)中運(yùn)行與第三方應(yīng)用共同存在。第三方應(yīng)用不受主機(jī)廠管控，存在信息安全風(fēng)險(xiǎn)。需求描述主機(jī)廠要防止病毒通過第三方應(yīng)用攻擊到控車應(yīng)用程序，導(dǎo)致車輛失控。解決方案一定要有普適性，能通過或現(xiàn)場安裝的方式適配到大部分車型，包括在研車型和已售車型。引擎狀態(tài)ADAS顯示視頻引擎狀態(tài)ADAS顯示視頻控車1速度表里程表音樂控車2電量分屏顯示游戲故障顯示…………控車3……QNXAndroidQNXHypervisorH/W（高通、NXP…）TEE可信環(huán)境11第三方應(yīng)用1 第三方應(yīng)用21SystemSystemAndroidQNXHypervisor

黑客通過網(wǎng)絡(luò)進(jìn)入第三方應(yīng)用，控車應(yīng)用植入木馬，攻擊到固件、系統(tǒng)底層，導(dǎo)致系統(tǒng)失效?？剀噾?yīng)用現(xiàn)象：車機(jī)按鍵失效或黑屏等。22黑客通過第三方應(yīng)用，直接將病毒植入控車應(yīng)用甚至到CAN控制器，破壞及控制程序。2現(xiàn)象：車輛不受駕駛?cè)丝刂啤ANCANMCUGSMWiFiBluetoothSDRUSB

第三方應(yīng)用平面

利用IPC對(duì)控車應(yīng)用實(shí)施攻擊、滲透。具有漏洞的第三方應(yīng)用惡意具有漏洞的第三方應(yīng)用惡意第三方應(yīng)用具有后門的第三方應(yīng)用具有后門的第三方應(yīng)用

控車應(yīng)用平面控車應(yīng)用控車應(yīng)用控車應(yīng)用

控車應(yīng)用攻破控車應(yīng)用后，可以向OS平面滲透控車應(yīng)用HUT底層平面攻擊者利用第三

OS系統(tǒng)平面AndroidFrameworkAndroidFrameworkLinux用戶空間CANControllerMCUQNXHypervisorAndroidNativeAPILinuxAPILinux用戶空間CANControllerMCUQNXHypervisorsyscall

攻擊者利用已經(jīng)控制的平面，對(duì)底層進(jìn)行攻擊。Linux內(nèi)核甚至通過對(duì)Hypervisor進(jìn)行滲透，從而完成對(duì)全車的控制。Linux內(nèi)核BeanpodSandboxAndroid系統(tǒng)平面控車應(yīng)用平面BeanpodSandboxAndroid系統(tǒng)平面控車應(yīng)用平面第三方應(yīng)用平面檢測并阻斷第三方應(yīng)用平面與不法分子的通信。降低第三方應(yīng)用漏洞遠(yuǎn)程利用等被入侵風(fēng)險(xiǎn)。平面的請求。降低第三方應(yīng)用對(duì)控車以及系統(tǒng)平面的滲透和攻擊可能性。策略調(diào)整。CANControllerMCUCANControllerMCUQNXHypervisor如何保障BeanpodSandbox的安全？Android系統(tǒng)被攻破，如何降低不良影響？BeanpodSandboxCANControllerMCUAgentQNXHypervisorBeanpodSandboxCANControllerMCUAgentQNXHypervisorAndroid系統(tǒng)平面IDPS控車應(yīng)用平面第三方應(yīng)用平面TEE可信環(huán)境CANControllerMCUCANControllerDriveTA指令過濾TAIDPSTAAndroid內(nèi)核檢測TA通過IDPS事件。通過與TEE配合，在最嚴(yán)重安全威脅下，保障系統(tǒng)最基本的安全?；赥EE進(jìn)一步安全增強(qiáng)：通過TEE，保障BeanpodSandbox的完整性與可用性。防止第三方應(yīng)用從沙箱逃逸。通過TEE情況，降低安全事件影響。通過TEE進(jìn)行命令過濾，對(duì)敏感硬件層進(jìn)行保護(hù)。通過TEE保障IDPS的可用性與完整性。在系統(tǒng)被rootLog。AndroidQNXHypervisorAndroidQNXHypervisorQNXH/W（高通、NXP…）CANMCUTEE可信環(huán)境……Android內(nèi)核檢測TAIDPSTAIDPS應(yīng)用安裝控制SandBox…………故障顯示控車3游戲分屏顯示電量控車2音樂里程表速度表控車1視頻ADAS顯示引擎狀態(tài)對(duì)Android框架進(jìn)行修改；開發(fā)TEE系統(tǒng)中兩個(gè)報(bào)文指令傳輸路線引擎狀態(tài) ADAS顯引擎狀態(tài) ADAS顯速度表 里程表電量 分屏顯示故障顯示 ……視頻音樂游戲SandBox控車1控車2控車……QNX應(yīng)用安裝控制AndroidIDPS 報(bào)文指令傳輸路線

開發(fā)集成CAN控制器驅(qū)動(dòng)程序指令過濾TAQNXHypervisorH/W（高通、NXP…）……CANControllerDriveTA指令過濾TAQNXHypervisorH/W（高通、NXP…）……CANControllerDriveTAIDPSTAAndroid內(nèi)核檢測TATEE可信環(huán)境CANCANMCUAndroidFrameworkServiceProxyAndroidFrameworkServiceProxy應(yīng)用安裝控制service調(diào)用審計(jì)應(yīng)用安裝控制關(guān)鍵service調(diào)用限制HOOK敏感PermissionHOOK二進(jìn)制庫調(diào)用審計(jì)調(diào)用監(jiān)控高級(jí)

startActivitystartServiceCamera、通信通訊錄文件/照片限制阻斷記錄

應(yīng)用審計(jì)IDPS審計(jì)用

對(duì)只有授權(quán)簽名的應(yīng)用給與安裝對(duì)非法簽名應(yīng)用不予安裝IDPS對(duì)Android系統(tǒng)實(shí)施監(jiān)控風(fēng)險(xiǎn)IDPSTEE防止非法訪問日志TEE內(nèi)核執(zhí)行區(qū)checkroot檢測02軟件定義汽車——汽車將成為最復(fù)雜的聯(lián)網(wǎng)設(shè)備當(dāng)前的車輛軟件代碼量是智能手機(jī)的10倍，一輛具備自動(dòng)駕駛能力的車輛甚至?xí)?000倍，各類ECU的通信交互十分復(fù)雜。預(yù)計(jì)將來軟件將占到創(chuàng)新的90%、并且在未來的汽車中扮演重要的角色。它在汽車價(jià)值中所占的比例越來越大。中央控制器——從分布式到集中式蓬勃發(fā)展的車載網(wǎng)關(guān)、和自動(dòng)駕駛系統(tǒng)等等，這些應(yīng)用帶動(dòng)了電子控制單元ECU數(shù)量的大幅增加，幾十個(gè)甚至上百個(gè)ECU，對(duì)分布式架構(gòu)提出了挑戰(zhàn)，越來越向集中式靠攏。DCU（DomainControl即汽車域控制器也就應(yīng)運(yùn)而生了。目前新車E/E架構(gòu)設(shè)計(jì)已大量采用域控制器。作為集中式管理的中心，中央控制器成為車載系統(tǒng)的數(shù)據(jù)交換與管理中心。SOA——面向服務(wù)的架構(gòu)SOA(ServiceOrientedArchitecture是Gartner在1996服務(wù)之間通過簡單、精確定義接口進(jìn)行通訊，不涉及底層編程接口和通訊模型。SOA是IT行業(yè)近年來典型的架構(gòu)方式，大量的IT系統(tǒng)都是基于SOA實(shí)現(xiàn)的。汽車領(lǐng)域采用SOA架構(gòu)一方面是EEA采用集中式管理架構(gòu)的需求，另一個(gè)原因就是能夠?qū)⒏鞣N新功能靈活地與互聯(lián)網(wǎng)集成，而無需通過信號(hào)到服務(wù)的轉(zhuǎn)換，加快車輛與互聯(lián)網(wǎng)的互聯(lián)互通。與云端的通信安全（對(duì)外網(wǎng)）網(wǎng)絡(luò)通信安全保護(hù)安全服務(wù)層的身份認(rèn)證中央控制器與域控制器的安全（對(duì)內(nèi)網(wǎng)）中央控制器自身安全保護(hù)與域控制器之間的安全保護(hù)云服務(wù)中央控制器服務(wù)總線DCUN-AdapterDCU2-中央控制器服務(wù)總線DCUN-AdapterDCU2-AdapterDCU1-Adapter總線路由以及總線接口IDPS其它實(shí)時(shí)邏輯ROOT檢測TA應(yīng)用安裝控制Sandbox3rdPartyAppsAppAuthenticationTASandbox3rdPartyAppsAppAuthenticationTAAppIDPSTA

RTOSDCU1DCU2HypervisorH/WDCU1DCU2Hypervisor…

…….TA…….TA安全芯片安全芯片DCUN服務(wù)API通道DCUN解決課題：ID鏈路安全：通信加密;防止中間攻擊應(yīng)用安全：應(yīng)用簽名驗(yàn)簽;防偽

云端車載安全管理中心客戶業(yè)務(wù)服務(wù)身份認(rèn)證管理(IAM)安全日志服務(wù)（SLS）安全態(tài)勢（SPS）客戶業(yè)務(wù)服務(wù)身份認(rèn)證管理(IAM)安全日志服務(wù)（SLS）安全態(tài)勢（SPS）網(wǎng)絡(luò)安全；入侵安全檢查云端車載安全管理中心安全更新；身份認(rèn)證；各域控制器協(xié)議適配各域控制器協(xié)議適配

通信模塊REE環(huán)境安全APP

實(shí)時(shí)系統(tǒng)中控實(shí)時(shí)處理路由器控制(黑白名單機(jī)制)路由器控制(黑白名單機(jī)制)

可信環(huán)境車載安全管理（CSM）擴(kuò)展服務(wù)車載安全管理（CSM）

安全更新服務(wù)（S-OTA）密鑰管理（KMS）基礎(chǔ)業(yè)務(wù)安全更新服務(wù)（S-OTA）密鑰管理（KMS）雙向認(rèn)證 密鑰管理雙向認(rèn)證密鑰管理S-OTA 身份認(rèn)證S-OTA身份認(rèn)證TATA車載安全管理密鑰管理；身份認(rèn)證；

（Linux）

Hypervisor

安全存儲(chǔ)安全認(rèn)證

加解密

可信根安全啟動(dòng)安全可信OS安全啟動(dòng)域控制器N域控制器N解決課題：中央控制器的安全系統(tǒng)安全；安全啟動(dòng);可信根機(jī)制數(shù)據(jù)安全；敏感信息安全加密存儲(chǔ)密鑰安全；安全芯片保護(hù)；EAL4+控制安全；核心控制安全保護(hù)加解密：支持國際/國密算法安全存儲(chǔ)：密鑰證書&設(shè)備配置信息中央控制器與域控制器的安全訪問安全；黑白名單控制網(wǎng)絡(luò)監(jiān)測；IDPS機(jī)制安全產(chǎn)線車載密鑰信息管理車載密鑰信息導(dǎo)入導(dǎo)出

REE環(huán)境APP（Linux）

實(shí)時(shí)系統(tǒng)安全可信OS域控制器3域控制器2域控制器1Hypervisor安全可信OS域控制器3域控制器2域控制器1

安全啟動(dòng)可信環(huán)境中控實(shí)時(shí)處理各域控制器協(xié)議適配路由器控制中控實(shí)時(shí)處理各域控制器協(xié)議適配路由器控制(黑白名單機(jī)制)中央控制TA安全存儲(chǔ)安全存儲(chǔ)

基礎(chǔ)業(yè)務(wù)雙向認(rèn)證S-OTA加解密可信SDKAPI加解密可信根可信根

安全芯片安全芯片密鑰管理身份認(rèn)證安全啟動(dòng)安全啟動(dòng)03TrustedCoreFrameworkAIBaseLibraryBiometricTrustedCoreFrameworkAIBaseLibraryBiometricTrustedExtendedApplication

SharedMemoryClientExtendedApplicationClientBaseSharedMemoryClientExtendedApplication

SharedMemoryView

TrustedBaseApplication

ISEE-TEEGPTEEClientAPIRichOSComponentsGPTEEClientAPI

GPTEEInternalAPITrustedOSComponentsPublicDeviceDrivers REECommunicationAgent TEECommunicationAgentPublicDeviceDriversREECommunicationAgentTEECommunicationAgentTUITrustedFunctionsHypervisor TrustedKernelHypervisorTrustedKernelPublicPeripherals

MessPlatformMess

agesagesHardwareHardw

Trusted Peripheralsspimipii2cuartspimipii2cuartSECameraFPTPLCD. SECameraFPTP LCD.SECameraFPTPLCD.SECameraFPTPLCD.解決課題：數(shù)據(jù)安全：設(shè)備數(shù)據(jù)加解密服務(wù)存儲(chǔ)安全：RPMB；可信加密存儲(chǔ)通信安全：防止中間攻擊&業(yè)務(wù)邏輯保護(hù)采集安全：可信區(qū)域采集數(shù)據(jù)TUI)&設(shè)備信息保護(hù)/安全中心管理：密鑰管理；設(shè)備管理；安全業(yè)務(wù)；鑒權(quán)認(rèn)證設(shè)備管理：設(shè)備身份認(rèn)證；產(chǎn)線管理：燒寫工具；設(shè)備信息管理

安全管理中心設(shè)備鑒權(quán)管理(MAM)安全管理中心設(shè)備鑒權(quán)管理(MAM)安全支付管理(SPM)客戶業(yè)務(wù)服務(wù)系統(tǒng)更新服務(wù)設(shè)備管理（MDM）密鑰管理（KMS）業(yè)務(wù)業(yè)務(wù)AppISEESDKAPIISEESDKAPIAndroidAndroid（Linux）

TEE環(huán)境客制化服務(wù)客戶業(yè)務(wù)TA客戶業(yè)務(wù)TA等)安全存儲(chǔ)安全存儲(chǔ)安全啟動(dòng)安全啟動(dòng)

基礎(chǔ)業(yè)務(wù)GoogleTA(Keymaster/Gatekeeper等)生物識(shí)別TA(指紋/人臉/聲紋等)GoogleTA(Keymaster/Gateke