傳統網路系統、甚至較新的網路系統往往是碎片化的,這使得系統漏洞百出,尤其容易受到網路攻擊。解決方案是導入 IP 企業網路中常見的一個元素——閘道器(gateway)。閘道器作為車輛網路的通訊路由和策略引擎,將流量從感測器引導到處理節點,並將處理節點的指令引導到執行器或其他處理節點,同時確保通訊的隔離、完整性和流動。

安全始終是汽車網路閘道器的核心,重要的是要考慮到乙太網閘道器系統的整體,以確定建立無風險環境的需求。這意味著閘道器能支援多種車輛匯流排協定,以及支援在現場重新放置敏感電子零件和子系統升級,而不損害車輛安全。車輛閘道器還必須支援自動化子網組態(sub-network provisioning),有效地知道哪些元件被授權在哪些群組中通訊,並確保在來自後端系統的最小支援的情況下,將新的 ECU 模組安全登錄到適當的網路中。

閘道器必須區分受信任的 ECU 模組和不受信任的或潛在受危害的設備,並使用這些資訊有效地管理網路策略。這些需求依賴於使用可信設備標識,繁複加密的用戶端身份驗證和金鑰管理方案建立安全通訊,這些方案最適合用於異質車載網路環境。

加強防禦抵抗攻擊

建立安全環境的關鍵是在該環境中使用可信的合作夥伴和解決方案。這些元件必須具有適當的安全性和安全特性,並經過驗證,以增強對攻擊的抵抗力。分層安全體系結構解決方案通過建立多個安全層,以閘道器作為信任錨,將單點安全性漏洞的風險降到最低。

穩健的閘道器安全證書管理器監視車輛電子子系統之間的連接,並充當可信關係的仲裁者。它利用基於公開金鑰基礎設施(PKI)的認證和現代網路平台的金鑰管理原則,使用一個基於閘道器的金鑰主來支援當今車輛的異質網路,從而保護基於 CAN、CAN FD 和乙太網路的子系統以及車輛通訊的安全。

建立信任

在提供數位身份和敏感金鑰材料的過程中,需要信任植根於每個汽車 ECU 中的本地金鑰管理器。這使 ECU 能夠與閘道器互動,透過經過身份驗證的金鑰協定建立安全連接。

閘道器連接是使用內嵌的信任錨清單建立的,該清單詳細敘述了在車輛組立期間提供的已知和可信供應商。偶爾與 OEM 後端進行通訊對信任錨點進行管理和證書狀態檢查,從而使信任清單保持最新狀態。

安全方案還必須包括隔離機制,以保護金鑰管理器的完整性,並提供對安全關鍵的網路工作介面的防火牆造訪,如果發現異常,在適當的時候允許「執行安全」模式。下載的應用程式應該由適當的機構進行認證和簽名,以設定系統中這些資源的許可權。

韌性是另一個基本要求,進階安全性不能破壞其要保護的系統的功能或限制其可服務性。因此,可信金鑰管理器能夠在正常的作業模式下協調一個封閉網路的金鑰分發。

現代網路平台應該能夠使用基於身份辨識的存取控制策略對整個車輛網路進行監控,以實現子系統供應的自動化,同時與 OEM 後端協同工作,以方便檢測出偽造和列入黑名單的零件。例如,OEM 可以控制在當車輛維修過程中使用了不受信任、舊的或盜竊得來元件時,OEM 可以控制在停用車輛中的某些功能。這反過來又使原始設備製造商能夠管理他們在車輛保修、安全更新和安全關鍵作業方面的責任。

把基於 PKI 的車輛閘道器可信金鑰管理方法用於策略管理和 ECU 之間的安全通訊,是增強連接日益緊密的車輛的安全性和可管理性的有效途徑。

本文中文版由Molex供稿;責編:Judith Cheng

(參考原文: Delivering the Trust Anchor for Intelligent Vehicles,by Joe Stenger)