0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

UNECE WP.29如何遏制汽车网络安全威胁

星星科技指导员 来源:嵌入式计算设计 作者:Ricardo Camacho 2022-06-15 14:17 次阅读

其中一些高级驾驶辅助系统 (ADAS),例如 Tesla Autopilot AI、Volkswagen ID.3,以及诸如 GM 的 Super Cruise 等其他系统,都是车辆的标准配置。其他驾驶员辅助系统作为外部设备提供,例如 comma.ai,您可以将其直接插入车辆的车载诊断 II (OBD-II) 端口以访问车辆的计算机并体验 2 级(转向和加速)自动驾驶

ADAS 依靠从车辆外部环境收集的多个实时数据源来执行其功能并安全地执行它们。来自摄像头的视觉数据、来自 LiDAR 的成像、用于距离测量的雷达、遥测数据(如速度、位置和跟踪)以及车对车通信只是要提及的几个数据源。

远程信息处理、网关、信息娱乐系统和其他支持 ADAS 的 ECU 之间也需要进行协作和通信,并通过控制器局域网(CAN 总线)进行。通信扩展到各种技术,如蓝牙、高速宽带或移动网络,如 LTE 和 5G,您可以在其中锁定和解锁车门、启动引擎并查看您的车辆状态或停车位置。全部通过手机应用程序完成。确保不要忘记您的个人识别码 (PIN)!

虽然拥有一个秘密的 4 位数 PIN 码会让您感到温暖和舒适,但这还不足以确保您的车辆的网络安全。随着当今的联网、自动化和自动驾驶汽车变得越来越复杂,潜在网络攻击的危险也大大增加。

ECE WP.29 车辆网络安全

经过充分准备,联合国欧洲经济委员会 (UNECE) 于 2020 年 6 月 23 日发布了监管要求,概述了汽车制造商必须在其组织和车辆中纳入的新流程和技术。这不仅适用于原始设备制造商 (OEM),也适用于第 1 层和第 2 层软件和硬件组件以及移动服务。

新法规适用于 54 个国家,被称为UNECE WP.29 网络安全和网络安全管理系统(CSMS)。这意味着汽车制造商需要在组织结构中加入基于风险的管理框架,以发现、分析和防范相关威胁、漏洞和网络攻击。我相信您可以按照 ISO 26262-2 的要求将安全性纳入您现有的质量管理体系 (QMS) 和流程中,以实现质量和安全。

此外,对于车辆类型(M 类和 N 类,包括 L6 和 L7 类,如果从 3 级以上配备自动驾驶功能)还有 ECE WP.29 要求,包括测试其网络安全控制的实施和通过检查。成功实现组织和车辆 ECE WP.29 关键要求意味着制造商从批准机构获得合规证书。2022 年 6 月之后,没有此证书的新车将无法在欧盟销售。

ECE/TRANS/WP.29/2020/79 附件 5 表 B1 中的威胁和相应缓解措施的小样本列表如下所示。表 B1 侧重于与车辆通信渠道相关的威胁和缓解活动。请注意,缓解“应该”陈述表示必须满足的要求,而缓解“应该”陈述表示努力缓解威胁的示范。

WP.29 第 7.3.3 段还提到车辆制造商应如何进行详尽的“风险评估”,但没有告诉您如何进行该评估。但是,第 5.3.1(a) 段暗示了有关风险评估知识的各种标准。其中之一是汽车网络安全标准 ISO/SAE 21434——道路车辆——网络安全工程。

ISO/SAE 21434 道路车辆—网络安全工程

来自 ISO 和 SAE 组织的联合工作组于 2020 年 5 月为汽车制造商和供应商发布了 ISO/SAE 21434 草案。该标准旨在确保:

网络安全风险得到成功管理。

定义了网络安全政策和流程。

培养了网络安全文化。

标准草案分为各种“条款”或部分。引起我注意的条款之一是“风险评估方法”,其中需要考虑威胁和损害情景。将 CAN 消息欺骗到动力总成 ECU 的攻击路径等威胁可能导致失控和可能的伤害。由于攻击可能来自各种媒介,例如蓝牙、LTE、USB 或物理访问、ISO/SAE 21434,因此威胁已按照攻击可行性等级进行分类:

高的

中等的

低的

非常低

深度防御方法是指利用多层网络安全措施以防攻击可以穿透一层,需要记录并落实到位。道路车辆功能安全标准 ISO 26262 将解决安全影响。

网络安全保障级别

威胁路径也与损害相吻合。已定义以下损坏影响等级:

严重的

主要的

缓和

微不足道

网络安全保障级别 (CAL) 可以根据威胁和损害场景来确定。CAL 4 级别要求在网络安全设计、测试和审查方面具有最高级别的严格性。CAL 1 要求严格程度较低。

基于影响和攻击向量参数的 CAL 确定示例

分配给软件或硬件组件的 CAL 级别会影响用于其开发和测试的方法。例如,有推荐的集成验证方法,如基于需求的测试、接口测试、资源使用评估、控制流和数据流、软件的静态代码分析等。在代码单元级别,可以推荐语句或分支的结构覆盖。下表显示了推导测试用例的推荐方法。复选标记表示建议。

推导测试用例的方法

整个 SDLC 的网络安全

根据 ISO/SAE 21434,必须从 V 模型的左侧到右侧解决网络安全问题。作为嵌入式工程师,您知道这代表了整个软件开发生命周期。从需求开始到设计、实施、集成以及验证和确认 (V&V)。

因此,请确保您拥有可靠的应用程序生命周期管理 (ALM) 或需求管理 (RM) 工具。除了您的利益相关者和所有其他安全监管要求外,还需要满足 ECE WP.29 网络安全要求。使用可追溯性矩阵将确保不会遗漏任何网络安全要求。

Parasoft 标准合规性和测试配置

对于 V&V,ISO/SAE 21434 推荐了静态代码分析、控制和数据流验证、边界值分析、结构代码覆盖等测试方法。

开始满足您的网络安全要求的理想场所是使用 SEI CERT、CWE、OWASP 和 MISRA C:2012 等编码标准。这些编码标准和其他类似标准可以在编写代码和/或作为持续集成 (CI) 管道的一部分时检测到安全漏洞。

使用标准推荐的结构化代码覆盖率,以便您知道哪些软件尚未经过测试。考虑汽车行业正在发生的演进转型,以及它将如何影响 ISO/SAE 21434 标准以及正在使用的开发工具。确保他们可以轻松适应这种进展。例如,检查该工具是否已通过 TÜV 认证,可用于安全关键系统。当该工具也被认证用于网络安全关键系统时,它将做好准备。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 汽车电子
    +关注

    关注

    2997

    文章

    7386

    浏览量

    161266
  • adas
    +关注

    关注

    307

    文章

    2042

    浏览量

    207779
收藏 人收藏

    评论

    相关推荐

    普华基础软件荣获ISO/SAE 21434汽车网络安全管理体系认证证书

    近日,普华基础软件在网络安全领域取得了又一重大突破,成功获得了国际知名第三方检测、检验和认证机构德国莱茵TÜV颁发的汽车网络安全ISO/SAE 21434管理体系认证证书。这一荣誉的获得,标志着
    的头像 发表于 03-19 09:48 135次阅读

    英飞凌汽车安全控制器获ISO/SAE 21434认证,引领汽车网络安全新篇章

    近日,全球领先的半导体科技公司英飞凌宣布,其SLI37系列汽车安全控制器成功获得了ISO/SAE 21434汽车网络安全管理体系认证,成为业内首家获得此项殊荣的半导体公司。这一认证不仅彰显了英飞凌在
    的头像 发表于 03-12 10:08 234次阅读

    汽车网络安全-挑战和实践指南

    汽车网络安全-挑战和实践指南
    的头像 发表于 02-19 16:37 166次阅读
    <b class='flag-5'>汽车网络安全</b>-挑战和实践指南

    FCA汽车网络安全风险管理

    汽车工业继续在车辆上增加连接,以满足顾客对技术的贪得无厌的需求,但汽车不仅仅是某些计算机网络上的不安全端点--一些人所描绘的--汽车网络安全
    发表于 12-29 10:48 132次阅读
    FCA<b class='flag-5'>汽车网络安全</b>风险管理

    汽车网络安全:防止汽车软件中的漏洞

    汽车网络安全汽车开发中至关重要,尤其是在 汽车软件 日益互联的情况下。在这篇博客中,我们将分享如何防止汽车网络安全漏洞。 静态分析工具有助于执行关键的
    的头像 发表于 12-21 16:12 734次阅读
    <b class='flag-5'>汽车网络安全</b>:防止<b class='flag-5'>汽车</b>软件中的漏洞

    上海控安SmartRocket系列产品推介(六):SmartRocket PeneX汽车网络安全测试系统

    上海控安汽车网络安全测试系统PeneX(Penetrator X)是一款支持对整车及车辆零部件及子系统实施网络安全测试的系统,其包含硬件安全、软件系统安全、车内通信及车外通信四大
    的头像 发表于 09-06 15:09 343次阅读
    上海控安SmartRocket系列产品推介(六):SmartRocket PeneX<b class='flag-5'>汽车网络安全</b>测试系统

    汽车网络安全攻击实例解析(二)

    本文则选取典型的智能网联汽车网络安全攻击实例展开详细介绍。
    的头像 发表于 08-08 15:17 890次阅读
    <b class='flag-5'>汽车网络安全</b>攻击实例解析(二)

    燃爆升级,八大亮点再出圈!谈思第七届中国汽车网络安全周强势来袭

    本届峰会聚焦汽车网络安全、数据安全、出海合规、密码安全、芯片安全、软件安全等热门板块,与各位汽车网络安全
    的头像 发表于 07-25 11:56 452次阅读
    燃爆升级,八大亮点再出圈!谈思第七届中国<b class='flag-5'>汽车网络安全</b>周强势来袭

    均联智行获颁TUV南德ISO/SAE 21434 汽车网络安全流程认证证书

    汽车网络安全流程认证证书。该证书的颁发不仅证明了均联智行在产品概念、开发、生产、运维和报废等全生命周期的各个阶段充分满足ISO/SAE 21434所规定的网络安全风险管理要求,在智行科技产品的网络安全治理及保障能力方面已跻身行业
    的头像 发表于 06-30 22:00 329次阅读
    均联智行获颁TUV南德ISO/SAE 21434 <b class='flag-5'>汽车网络安全</b>流程认证证书

    加特兰微电子通过ISO/SAE 21434汽车网络安全认证

    近日,加特兰微电子正式通过德国莱茵TÜV ISO/SAE 21434《道路车辆–网络安全工程》(以下简称 “ISO/SAE 21434”)汽车网络安全管理体系认证,成为目前国内半导体行业率先获得
    的头像 发表于 06-29 11:05 836次阅读

    斑马智行荣获由DEKRA德凯颁发的ISO/SAE 21434汽车网络安全认证证书

    5月,上海,斑马智行荣获由DEKRA德凯颁发的ISO/SAE 21434汽车网络安全认证证书。斑马智行首席信息安全专家李斓先生,DEKRA德凯亚太区高级副总裁、中国大陆及香港董事总经理Kilian Aviles博士,DEKRA德凯中国
    的头像 发表于 05-26 09:12 639次阅读

    禾赛获激光雷达领域首个汽车网络安全管理标准ISO/SAE 21434认证

    ISO 与 SAE 联合制定的汽车网络安全管理标准 ISO/SAE 21434 覆盖了概念、开发、生产、运营、报废等全产品生命周期的各个阶段,帮助汽车主机厂和相关供应商对道路车辆网络安全风险进行全面管理,以满足全球
    的头像 发表于 05-24 15:15 639次阅读
    禾赛获激光雷达领域首个<b class='flag-5'>汽车网络安全</b>管理标准ISO/SAE 21434认证

    必须了解的五种网络安全威胁

    数据泄露和网络攻击呈上升趋势,任何企业都无法幸免。这就是为什么了解最常见的网络安全威胁,以及如何防范这些威胁至关重要。以下是您应该了解的五种网络安全
    的头像 发表于 05-18 10:23 1276次阅读

    新闻资讯 | 同星智能荣获“智能汽车网络安全解决方案优质供应商”称号

    电子工具链产品,荣获“智能汽车网络安全解决方案优质供应商”荣誉称号。本次智能汽车网络安全解决方案优质供应商的评选活动,旨在促进汽车上下游产业链交流与信息互通,推动汽车
    的头像 发表于 04-26 14:30 334次阅读
    新闻资讯 | 同星智能荣获“智能<b class='flag-5'>汽车网络安全</b>解决方案优质供应商”称号

    【文章转载】基于ISO 21434的汽车网络安全实践

    商业领域的IT系统和嵌入式产品的IT系统正在融合为一种多功能系统。相应地,关注汽车网络安全的ISO21434标准应运而生。该标准的意义在于提供了一个指南,可用于降低产品、项目和组织中存在的安全风险
    的头像 发表于 04-23 09:33 582次阅读
    【文章转载】基于ISO 21434的<b class='flag-5'>汽车网络安全</b>实践