2022車載信息安全方案

01OPTION02OPTION03OPTION

車載終端應用隔離方案VehicleTerminalApplicationIsolationSolution中央控制器安全方案CentralControllerSecuritySolution產品與技術Product&Technology01背景描述當前主流車載終端將數字儀表盤和IVI娛樂系統(tǒng)合二為一，由一顆CPU支持所有功能，其中部分車輛控制（如：舒適性等）在IVI娛樂系統(tǒng)中運行與第三方應用共同存在。第三方應用不受主機廠管控，存在信息安全風險。需求描述主機廠要防止病毒通過第三方應用攻擊到控車應用程序，導致車輛失控。解決方案一定要有普適性，能通過或現場安裝的方式適配到大部分車型，包括在研車型和已售車型。引擎狀態(tài)ADAS顯示視頻引擎狀態(tài)ADAS顯示視頻控車1速度表里程表音樂控車2電量分屏顯示游戲故障顯示…………控車3……QNXAndroidQNXHypervisorH/W（高通、NXP…）TEE可信環(huán)境11第三方應用1 第三方應用21SystemSystemAndroidQNXHypervisor

黑客通過網絡進入第三方應用，控車應用植入木馬，攻擊到固件、系統(tǒng)底層，導致系統(tǒng)失效?？剀噾矛F象：車機按鍵失效或黑屏等。22黑客通過第三方應用，直接將病毒植入控車應用甚至到CAN控制器，破壞及控制程序。2現象：車輛不受駕駛人控制。CANCANMCUGSMWiFiBluetoothSDRUSB

第三方應用平面

利用IPC對控車應用實施攻擊、滲透。具有漏洞的第三方應用惡意具有漏洞的第三方應用惡意第三方應用具有后門的第三方應用具有后門的第三方應用

控車應用平面控車應用控車應用控車應用

控車應用攻破控車應用后，可以向OS平面滲透控車應用HUT底層平面攻擊者利用第三

OS系統(tǒng)平面AndroidFrameworkAndroidFrameworkLinux用戶空間CANControllerMCUQNXHypervisorAndroidNativeAPILinuxAPILinux用戶空間CANControllerMCUQNXHypervisorsyscall

攻擊者利用已經控制的平面，對底層進行攻擊。Linux內核甚至通過對Hypervisor進行滲透，從而完成對全車的控制。Linux內核BeanpodSandboxAndroid系統(tǒng)平面控車應用平面BeanpodSandboxAndroid系統(tǒng)平面控車應用平面第三方應用平面檢測并阻斷第三方應用平面與不法分子的通信。降低第三方應用漏洞遠程利用等被入侵風險。平面的請求。降低第三方應用對控車以及系統(tǒng)平面的滲透和攻擊可能性。策略調整。CANControllerMCUCANControllerMCUQNXHypervisor如何保障BeanpodSandbox的安全？Android系統(tǒng)被攻破，如何降低不良影響？BeanpodSandboxCANControllerMCUAgentQNXHypervisorBeanpodSandboxCANControllerMCUAgentQNXHypervisorAndroid系統(tǒng)平面IDPS控車應用平面第三方應用平面TEE可信環(huán)境CANControllerMCUCANControllerDriveTA指令過濾TAIDPSTAAndroid內核檢測TA通過IDPS事件。通過與TEE配合，在最嚴重安全威脅下，保障系統(tǒng)最基本的安全?；赥EE進一步安全增強：通過TEE，保障BeanpodSandbox的完整性與可用性。防止第三方應用從沙箱逃逸。通過TEE情況，降低安全事件影響。通過TEE進行命令過濾，對敏感硬件層進行保護。通過TEE保障IDPS的可用性與完整性。在系統(tǒng)被rootLog。AndroidQNXHypervisorAndroidQNXHypervisorQNXH/W（高通、NXP…）CANMCUTEE可信環(huán)境……Android內核檢測TAIDPSTAIDPS應用安裝控制SandBox…………故障顯示控車3游戲分屏顯示電量控車2音樂里程表速度表控車1視頻ADAS顯示引擎狀態(tài)對Android框架進行修改；開發(fā)TEE系統(tǒng)中兩個報文指令傳輸路線引擎狀態(tài) ADAS顯引擎狀態(tài) ADAS顯速度表 里程表電量 分屏顯示故障顯示 ……視頻音樂游戲SandBox控車1控車2控車……QNX應用安裝控制AndroidIDPS 報文指令傳輸路線

開發(fā)集成CAN控制器驅動程序指令過濾TAQNXHypervisorH/W（高通、NXP…）……CANControllerDriveTA指令過濾TAQNXHypervisorH/W（高通、NXP…）……CANControllerDriveTAIDPSTAAndroid內核檢測TATEE可信環(huán)境CANCANMCUAndroidFrameworkServiceProxyAndroidFrameworkServiceProxy應用安裝控制service調用審計應用安裝控制關鍵service調用限制HOOK敏感PermissionHOOK二進制庫調用審計調用監(jiān)控高級

startActivitystartServiceCamera、通信通訊錄文件/照片限制阻斷記錄

應用審計IDPS審計用

對只有授權簽名的應用給與安裝對非法簽名應用不予安裝IDPS對Android系統(tǒng)實施監(jiān)控風險IDPSTEE防止非法訪問日志TEE內核執(zhí)行區(qū)checkroot檢測02軟件定義汽車——汽車將成為最復雜的聯(lián)網設備當前的車輛軟件代碼量是智能手機的10倍，一輛具備自動駕駛能力的車輛甚至會是1000倍，各類ECU的通信交互十分復雜。預計將來軟件將占到創(chuàng)新的90%、并且在未來的汽車中扮演重要的角色。它在汽車價值中所占的比例越來越大。中央控制器——從分布式到集中式蓬勃發(fā)展的車載網關、和自動駕駛系統(tǒng)等等，這些應用帶動了電子控制單元ECU數量的大幅增加，幾十個甚至上百個ECU，對分布式架構提出了挑戰(zhàn)，越來越向集中式靠攏。DCU（DomainControl即汽車域控制器也就應運而生了。目前新車E/E架構設計已大量采用域控制器。作為集中式管理的中心，中央控制器成為車載系統(tǒng)的數據交換與管理中心。SOA——面向服務的架構SOA(ServiceOrientedArchitecture是Gartner在1996服務之間通過簡單、精確定義接口進行通訊，不涉及底層編程接口和通訊模型。SOA是IT行業(yè)近年來典型的架構方式，大量的IT系統(tǒng)都是基于SOA實現的。汽車領域采用SOA架構一方面是EEA采用集中式管理架構的需求，另一個原因就是能夠將各種新功能靈活地與互聯(lián)網集成，而無需通過信號到服務的轉換，加快車輛與互聯(lián)網的互聯(lián)互通。與云端的通信安全（對外網）網絡通信安全保護安全服務層的身份認證中央控制器與域控制器的安全（對內網）中央控制器自身安全保護與域控制器之間的安全保護云服務中央控制器服務總線DCUN-AdapterDCU2-中央控制器服務總線DCUN-AdapterDCU2-AdapterDCU1-Adapter總線路由以及總線接口IDPS其它實時邏輯ROOT檢測TA應用安裝控制Sandbox3rdPartyAppsAppAuthenticationTASandbox3rdPartyAppsAppAuthenticationTAAppIDPSTA

RTOSDCU1DCU2HypervisorH/WDCU1DCU2Hypervisor…

…….TA…….TA安全芯片安全芯片DCUN服務API通道DCUN解決課題：ID鏈路安全：通信加密;防止中間攻擊應用安全：應用簽名驗簽;防偽

云端車載安全管理中心客戶業(yè)務服務身份認證管理(IAM)安全日志服務（SLS）安全態(tài)勢（SPS）客戶業(yè)務服務身份認證管理(IAM)安全日志服務（SLS）安全態(tài)勢（SPS）網絡安全；入侵安全檢查云端車載安全管理中心安全更新；身份認證；各域控制器協(xié)議適配各域控制器協(xié)議適配

通信模塊REE環(huán)境安全APP

實時系統(tǒng)中控實時處理路由器控制(黑白名單機制)路由器控制(黑白名單機制)

可信環(huán)境車載安全管理（CSM）擴展服務車載安全管理（CSM）

安全更新服務（S-OTA）密鑰管理（KMS）基礎業(yè)務安全更新服務（S-OTA）密鑰管理（KMS）雙向認證 密鑰管理雙向認證密鑰管理S-OTA 身份認證S-OTA身份認證TATA車載安全管理密鑰管理；身份認證；

（Linux）

Hypervisor

安全存儲安全認證

加解密

可信根安全啟動安全可信OS安全啟動域控制器N域控制器N解決課題：中央控制器的安全系統(tǒng)安全；安全啟動;可信根機制數據安全；敏感信息安全加密存儲密鑰安全；安全芯片保護；EAL4+控制安全；核心控制安全保護加解密：支持國際/國密算法安全存儲：密鑰證書&設備配置信息中央控制器與域控制器的安全訪問安全；黑白名單控制網絡監(jiān)測；IDPS機制安全產線車載密鑰信息管理車載密鑰信息導入導出

REE環(huán)境APP（Linux）

實時系統(tǒng)安全可信OS域控制器3域控制器2域控制器1Hypervisor安全可信OS域控制器3域控制器2域控制器1

安全啟動可信環(huán)境中控實時處理各域控制器協(xié)議適配路由器控制中控實時處理各域控制器協(xié)議適配路由器控制(黑白名單機制)中央控制TA安全存儲安全存儲

基礎業(yè)務雙向認證S-OTA加解密可信SDKAPI加解密可信根可信根

安全芯片安全芯片密鑰管理身份認證安全啟動安全啟動03TrustedCoreFrameworkAIBaseLibraryBiometricTrustedCoreFrameworkAIBaseLibraryBiometricTrustedExtendedApplication

SharedMemoryClientExtendedApplicationClientBaseSharedMemoryClientExtendedApplication

SharedMemoryView

TrustedBaseApplication

ISEE-TEEGPTEEClientAPIRichOSComponentsGPTEEClientAPI

GPTEEInternalAPITrustedOSComponentsPublicDeviceDrivers REECommunicationAgent TEECommunicationAgentPublicDeviceDriversREECommunicationAgentTEECommunicationAgentTUITrustedFunctionsHypervisor TrustedKernelHypervisorTrustedKernelPublicPeripherals

MessPlatformMess

agesagesHardwareHardw

Trusted Peripheralsspimipii2cuartspimipii2cuartSECameraFPTPLCD. SECameraFPTP LCD.SECameraFPTPLCD.SECameraFPTPLCD.解決課題：數據安全：設備數據加解密服務存儲安全：RPMB；可信加密存儲通信安全：防止中間攻擊&業(yè)務邏輯保護采集安全：可信區(qū)域采集數據TUI)&設備信息保護/安全中心管理：密鑰管理；設備管理；安全業(yè)務；鑒權認證設備管理：設備身份認證；產線管理：燒寫工具；設備信息管理

安全管理中心設備鑒權管理(MAM)安全管理中心設備鑒權管理(MAM)安全支付管理(SPM)客戶業(yè)務服務系統(tǒng)更新服務設備管理（MDM）密鑰管理（KMS）業(yè)務業(yè)務AppISEESDKAPIISEESDKAPIAndroidAndroid（Linux）

TEE環(huán)境客制化服務客戶業(yè)務TA客戶業(yè)務TA等)安全存儲安全存儲安全啟動安全啟動

基礎業(yè)務GoogleTA(Keymaster/Gatekeeper等)生物識別TA(指紋/人臉/聲紋等)GoogleTA(Keymaster/Gateke