学习目标:熟悉网络安全功能,并知晓其原理。如:安全启动,访问控制,安全日志,安全通信,TEE/HSM等。
学习内容:
车联网安全功能全景图
|— 硬件层安全
|— 安全启动(Secure Boot)
|— TEE(可信执行环境)
|— HSM(硬件安全模块)
|— 通信安全
|— TLS/DTLS(传输层加密)
|— 车载CAN总线加密
|— V2X通信安全(如IEEE 1609.2标准)
|— 系统层安全
|— 访问控制(RBAC/ABAC)
|— 安全日志与审计
|— 入侵检测(IDS)
|— 数据安全
|— 数据脱敏
|— 密钥生命周期管理
安全启动(Secure Boot)
作用:确保设备启动时加载的固件/系统未被篡改。
原理:安全启动是一种确保只有经过认证的软件能够在电子控制单元(ECU)上执行的安全机制。它利用硬件信任锚(HTA)的能力,建立计算系统的信任根。在启动阶段,硬件信任根代码作为安全的起点,使用在生产时预置到硬件中的信任根密钥来验证第一个启动阶段的签名软件。然后,通常会有一个从硬件层面延伸到各个软件层的信任链,涉及验证固件和操作系统的完整性,确保在系统启动时只执行经过授权且未被篡改的代码。
原理:
启动链逐级验证(Bootloader→OS→应用),每级用数字签名校验下一级合法性。
依赖硬件根信任(Root of Trust),如HSM存储密钥。
实现方式:可以使用对称密钥或非对称密钥来实现安全启动。当使用对称密钥时,TEE用于密钥存储、MAC计算和验证。例如,当ECU启动时,TEE中的硬件信任锚执行根信任代码,使用存储在TEE中的引导程序密钥对引导程序软件进行MAC计算,并与存储的“引导程序MAC”值进行比较,验证通过后引导程序才会执行
车联网案例:
电动汽车的ECU(电子控制单元)启动时,若检测到非法固件(如被植入恶意代码),立即停止启动并告警。
访问控制(Access Control)
原理:访问控制是防止未授权访问车辆和ECU的安全机制。它通过限制对车辆通信的访问来实现,即使在开发阶段,车辆通信也默认是无法访问的。只有经过认证的用户或设备才能获得相应的访问权限,从而保护车辆的关键系统和数据不被非法访问。
实现方式:在车联网中,访问控制可以通过多种技术实现,例如基于角色的访问控制(RBAC),根据用户的角色分配不同的访问权限;或者使用身份认证和授权机制,如OAuth等,来确保只有合法的用户或设备能够访问特定的资源和服务。
安全日志(Security Log)
原理:安全日志是记录ECU所有重要事件记录的一种机制。它将事件记录存储在TEE区域,通常包括事件的总数、成功事件数、失败事件数、失败原因、事件时间戳等信息。这些日志对于在安全事件发生后调查攻击的根源非常有用。
实现方式:安全日志会记录多种类型的事件,如安全软件下载、安全启动、加密操作、调试器访问、SecOC、安全访问、ECU重置、诊断会话控制等。通过分析这些日志,可以及时发现潜在的安全问题,并采取相应的措施进行处理。
安全通信(Secure Communication)
原理:安全通信的目的是在车内外网络之间建立安全的通信通道,确保数据在传输过程中的保密性、完整性和可用性。它通过加密技术、身份认证和消息认证等手段来防止数据被窃取、篡改或伪造。
实现方式:在车联网中,安全通信可以通过多种协议和技术实现,如TLS/DTLS用于加密通信,IPsec用于保护IP层通信,MACsec用于保护以太网层通信。此外,还可以使用安全车载通信(SecOC)技术,通过为消息添加认证标签来验证消息的完整性和真实性
TEE(Trusted Execution Environment)
原理:TEE是一种软件安全措施,它在应用处理器内创建一个安全且隔离的执行环境。在这个可信执行环境中,可以执行关键操作并存储敏感数据,从而将它们与车辆的其余系统隔离,防止潜在的网络威胁。TEE具有受保护的加密库,可以安全地存储和管理敏感信息,如加密密钥,并提供可信组件之间的安全通信通道。
实现方式:TEE通常基于硬件隔离技术实现,如ARM TrustZone。它可以运行在车辆的主处理器上,通过软件更新进行部署,具有较高的灵活性和适应性。例如,在OTA系统更新时,TEE可以确保只有经过验证的软件才会被接收和安装,从而保证软件来自OEM而非恶意攻击者。
HSM(Hardware Security Module)
原理:HSM是一种具有独立CPU、密码算法硬件加速器和独立Flash等组件的硬件安全模块。它用于生成、存储和管理加密密钥,并执行加密运算和安全操作。HSM通过硬件隔离、加密芯片和随机数生成器等安全组件,提供高级别的安全保护,防止密钥泄露和恶意攻击。
实现方式:HSM可以用于多种安全功能,如安全通信中的TLS、SecOC等协议的实现,以及安全启动中的镜像保护。它还可以存储根证书、共享密钥等重要密钥信息。例如,在英飞凌AURIX芯片中,HSM通过系统外设总线与芯片的其他部分相连,并且可以通过访问控制设置保护其对应的Flash区域,防止非法访问或篡改。
学习时间:
20250528
学习产出:
完成学习后,确认你是否能回答以下问题:
✅ 安全启动如何防止ECU固件被篡改?
步骤1:硬件根信任(Root of Trust)
固化在硬件中的初始信任:
ECU芯片出厂时,硬件(如HSM或ROM)内预置根公钥(Root Public Key)和验证逻辑,无法被修改。
唯一可信起点:
设备上电后,首先执行固化在硬件中的Boot ROM代码,验证下一级引导程序(Bootloader)的签名。
步骤2:Bootloader验证
Bootloader的数字签名:
Bootloader代码被制造商用对应的私钥签名,生成数字签名(如RSA-2048签名)。
验证过程:
Boot ROM用根公钥验证Bootloader的签名:
匹配 → 执行Bootloader;
不匹配 → 停止启动,进入安全恢复模式。
步骤3:操作系统(OS)与应用层验证
逐级传递信任:
Bootloader验证操作系统内核的签名,内核再验证应用程序或固件的签名,形成完整的信任链。
硬件根信任 → Bootloader → OS内核 → 应用程序/固件
✅ 为什么车联网必须使用HSM而非纯软件加密?
软件可能被篡改,硬件提供物理隔离和防篡改能力,确保根信任不可破坏。
✅ 若CAN总线未加密,可能导致哪些攻击?(如DoS、欺骗攻击)
✅ 安全日志如何满足R155法规的审计要求?
- 技术笔记 1遍
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
