2022车载信息安全方案.docx

车载终端应用隔离方案VehicleTerminalApplicationIsolationSolution中央控制器安全方案CentralControllerSecuritySoIution产品与技术Product&TechnologyMrrENTS车载终端应用隔离方案VehideTerminalApplicationIsolationSolution背景描述 当前主流车载终端将数字仪表盘和M娱乐系统合二为一，由一颗CPU支持所有功能，其中部分车辆控制（如：舒适性等）在IVI娱乐系统中运行与第三方应用共同存在。 第三方应用不受主机厂管控，存在信息安全风险。需求描述 主机厂要防止病毒通过第三方应用攻击到控车应用程序，导致车辆失控。 解决方案一定要有普适性，能通过C）TA或现场安装的方式适配到大部分车型，包括在研车型和已售车型。HW（高通、NXP黑客通过网络进入第三方应用，植入木马，攻击到固件、系统底层,导致系统失效。现象:车机按键失效或黑屏等。黑客通过第三方应用，直接将病毒植入控车应用甚至到CAN控制器,破坏及控制程序。现象：车辆不受驾驶人控制。CANControllerMCU第三方M控车应用应用2AndroidSystemQNXHypervisorH/W现状分析当前方案风险分析1.inux用户空间JavaAPI具有后门的第三方应用具有漏洞的第三方应用QNXHypervisorCANControllerMCU1.inux内核AndroidFramework控车应用控车应用控车应用控车应用平面利用IPC对控车应用实施攻击、渗透。利用共享文件系统实施错误注入。WiFiBluetoothSDRUSB攻破控车应用后，可以向OS平面渗透u-41.-l'lJT77T>a->方应用作为跳板。NativeAPI1.inuxAPI对底层进行攻击。甚至通过对HyPerViSO值行渗透，从而完成对全车的控制。第三方应用平面恶意第三方应用力口入BeanPOdSandbox安全增强：检测并阻断第三方应用平面与不法分子的通信。降低第三方应用漏洞远程利用等被入侵风险。审计过滤制第三方应用平面向控车以及系统平面的请求。降低第三方应用对控车以及系统平面的渗透和攻击可能性。 结合云端推送、热更新机制，实时动态审计策略调整。问题： 如何保障BeanPOdSandbOX的安全？ Android系统被攻破，如何降低不良影响？安全增强增加IDPS: 通过IDPS,实时监控系统状态，感知安全事件。 通过与TEE配合，在最严重安全威胁下，保障系统最基本的安全。基于TEE进一步安全增强： 通过TEE,保障BeanPodSandboX关键逻辑的完整性与可用性。防止第三方应用从沙箱逃逸。 通过TEE对系统平面的监控，及时发现异常情况，降低安全事件影响。 通过TEE进行命令过滤，对敏感硬件层进行保护。 通过TEE保障IDPS的可用性与完整性。 在系统被root条件下，仍提供可信系统1.og。安全增强提供Sand-BOX程序;对Android框架进行修改;开发TEE系统中两个TA程序;CANControllerMCU报文指令传输路线IDPSTAAndrOid内核检测TA开发集成CAN控制器驱动程序开发指令过滤T库呈序指令过滤TA应用安装控制CArQNXAndroidConfkol百）riveTAIDPSTEE可信环境CANControllerMCUQNXHypervisorHW（高通、NXP.）报文指令传输路线方案特点应用安装控制应用审计对只有授权签名的应用给与安装对非法签名应用不予安装IDPSIDPS对ArldrOid系统实施监控风险防止非法访问日志TEE审计用TA内核执行区CheCkroot检测方案特点AndroidFrameworkServiceProxyservice调用审计关键SerViCe调用限制StartActivityStartService敏感PermiSSion虚拟化Camerax通信通讯录文件/照片HOOK二进制库调用审计调用监控高级限制阻断记录中央控制器安全方案Y.,.r'r'I1',"-I:-J：Iri软件定义汽车汽车将成为最复杂的联网设备当前的车辆软件代码量是智能手机的10倍，一辆具备自动驾驶能力的车辆甚至会是100O倍，各类ECU之间的通信交互十分复杂。预计将来软件将占到创新的90%、并且在未来的汽车中扮演重要的角色。它在汽车价值中所占的比例越来越大。中央控制器一从分布式到集中式蓬勃发展的车载网关、BOX和自动驾驶系统等等，这些应用带动了电子控制单元ECU数量的大幅增加，几十个甚至上百个ECU,对分布式架构提出了挑战，越来越向集中式靠拢。DCU(DomainControlUnit)z即汽车域控制器也就应运而生了。目前新车E/E架构设计已大量采用域控制器。作为集中式管理的中心，中央控制器成为车载系统的数据交换与管理中心。SOA面向服务的架构SoA(SerViCeckientedArCHteetUre)是Gartner在1996年提出的概念，作为一种粗粒度、松耦合服务架构。服务之间通过简单、精确定义接口进行通讯，不涉及底层编程接口和通讯模型。SC)A是IT行业近年来典型的架构方式，大量的IT系统都是基于SoA实现的。汽车领域采用SOA架构一方面是EEA采用集中式管理架构的需求，另一个原因就是能够将各种新功能灵活地与互联网集成，而无需通过信号到服务的转换，加快车辆与互联网的互联互通。与云端的通信安全（对外网） 网络通信安全保护 安全OTA 服务层的身份认证中央控制器与域控制器的安全（对内网）中央控制器自身安全保护与域控制器之间的安全保护安全方案介绍中央控制器安全强化框架云服务*8®®CCllZ划天工市跖占I日服务APl通道a安全方案介绍中央控制器&云端间的安全方案解决课题：/车载安全：身份认证;设备唯一ID/通信安全：双向认证;用户名密码/链路安全：通信加密;防止中间攻击/应用安全：应用签名验签;防伪/更新安全：安全下载:镜像加密验签/网络安全；入侵安全检查云端车载安全管理中心,密钥管理；车载管理；/安全更新；身份认证；/安全日志；安全态势；/扩展业务：标准配置+定制服务车载安全宣里/密钥管理；身份认证；/双向认证；S-OTA;实时系统甲控实时处理实时处理路由器控制（黑白名单机制）各域控制器协议适配1.安全方案介绍中央控制器&域控制器的安全方案安全启动解决课题：中央控制器的安全系统安全；安全启动;可信根机制数据安全；敏感信息安全加密存储密钥安全；安全芯片保护；EA1.4+控制安全；核心'控制安全保护加解密：支持国际/国密算法安全存储：密钥证书&设备配置信息中央控制器与域控制器的安全访问安全；黑白名单控制网络监测；IDPS机制安全产线车载密钥信息管理车载密钥信息导入导出XXIRJIA安全APP可信根安全存储加解密域控制器1域控制器2中控实时处理中央控制实时处理安全诃信OSI安全也僖05路由器控制各域控制器协议适配可扩展业务TA（第三方应用鉴权等）基础业务Android(1.idux)（黑白名单机制）安全启动域控制器N产品与技术SandboxHostAPP«2APP»3VtualFamew<xkAPP1CSent1StorageAPP2APP»2AndroidFrameworkCIKotStorgClient3Storag IPC隔离阻断沙箱内应用与外部应用的IPC（广播、ContentProviderxActivity调用等）通道。 存储隔离阻断沙箱内应用与外部应用的存储区访问。 框架接口审计对沙箱内应用对系统的APl调用进行HoOk与审计识别调用风险。产品与技术ISEE-REEClientExtendedApplicationClientBaseApplicationSharedMemoryTrustedv'ewBaseApplicationGPTEECIientAPIRichOSComponentsPublicDeviceDriversREECommunicationAgentTEECommunicationAgentPublicPeripherals豆荚TEE产品(ISEE)-基本架构ISEE-TEETrustedExtendedApplicationGPTEEInternalAPITrustedOSComponentsTrustedCoreFrameworkTUlTrustedFunctionsAlBase1.ibrarVHyPerViSorTnJStedKeInelMessagesPlatformHardwareIrustedHenpneralsI茄1111iIIU11BrtSEIICameraFPTP1.CD.SECameraFPTP1.CD产品与技术TEE安全基础解决方案解决课题：/数据安全：设备数据加解密服务/存储安全：RPMB;可信加密存储/通信安全：防止中间攻击/系统安全：安全启动;固件验签保护/业务安全：核心算法&业务逻辑保护/采集安全：可信区域采集数据/支付安全：设备密钥;业务密钥J输入安全：可信安全输入界面（TUl）/安全存储：密钥证书&设备信息保护/加解密：支持国际/国密算法/安全中心管理：密钥管理；设备管理；安全业务；鉴权认证/设备管理：设备身份认证；,产线管理：烧写工具；设备信息管理/客户业务：标准配置+定制服务安全管理中心密钥