ISO/SAE 21434概述及TARA方法論

ISO/SAE 21434 簡介

1.1

隨著汽車與互聯(lián)網(wǎng)的連接性增強(qiáng)，自動駕駛和高級駕駛輔助系統(tǒng)（ADAS）的發(fā)展，汽車網(wǎng)絡(luò)安全變得至關(guān)重要。ISO/SAE 21434標(biāo)準(zhǔn)的制定旨在幫助汽車行業(yè)在開發(fā)過程中有效控制網(wǎng)絡(luò)干擾和攻擊，確保車輛的安全性和可靠性。

該標(biāo)準(zhǔn)強(qiáng)調(diào)整個車輛生命周期的風(fēng)險管理，包括概念階段、產(chǎn)品開發(fā)、生產(chǎn)、運(yùn)營、維護(hù)以及退役或終止網(wǎng)絡(luò)安全支持的各個階段。它要求對供應(yīng)鏈的所有部分實(shí)施網(wǎng)絡(luò)安全措施，并根據(jù)具體情況調(diào)整網(wǎng)絡(luò)安全活動。同時還規(guī)定了組織層面的網(wǎng)絡(luò)安全管理要求，包括網(wǎng)絡(luò)安全治理、網(wǎng)絡(luò)安全文化、信息共享、管理體系、工具管理、信息安全管理、組織層面網(wǎng)絡(luò)安全審計七個方面。其適用范圍不僅包括車輛的相關(guān)項(xiàng)，還涉及售后和服務(wù)環(huán)節(jié)，確保整個汽車使用周期內(nèi)的網(wǎng)絡(luò)安全得到妥善管理。

下圖是ISO/SAE 21434:2021(E)標(biāo)準(zhǔn)的結(jié)構(gòu)框圖：

TARA方法論

1.2

威脅分析與風(fēng)險評估（Threat Analysis and Risk Assessment, TARA），是ISO/SAE 21434標(biāo)準(zhǔn)推薦的網(wǎng)絡(luò)安全威脅建模方法論，下圖是TARA威脅分析風(fēng)險評估示意圖樣例。

Item定義

實(shí)現(xiàn)車輛級功能的部件或部件組

資產(chǎn)識別

資產(chǎn)是網(wǎng)絡(luò)安全系統(tǒng)中具有價值的對象，其被破壞時會帶來安全風(fēng)險，例如功能安全目標(biāo)、財務(wù)風(fēng)險、運(yùn)營成本和隱私風(fēng)險等。

安全屬性

參考STRIDE模型：

汽車行業(yè)中最重要的安全屬性是機(jī)密性、完整性和可用性（CIA：Confidentiality，Integrity，Availability）。

破壞場景

涉及車輛或車輛功能并影響道路使用者的不利后果。

影響評級

針對破壞場景的影響評級，需要基于下面四個維度去分解。首先是功能安全（Safety），其次有財產(chǎn)（Finance），再有運(yùn)營（Operation），最后是隱私（Privacy）。影響評級的標(biāo)準(zhǔn)可分為極其嚴(yán)重（Severe）、高（Major）、中等（Moderate）、忽略不計（Negligible）。

威脅場景

攻擊可行性評級的方法有多種，比如基于攻擊潛力（Attack Potential-Based Approach）、基于CVSS、基于攻擊向量（Attack Vector Based）等。ISO/SAE 21434中指出可以基于這三種方法中的任何一種進(jìn)行攻擊可行性評級，可分為非常低（Very Low）、低（Low）、中（Medium）、高（High）四個級別。

風(fēng)險評級

風(fēng)險值的評定需要對前述的四個維度（功能安全、財產(chǎn)、運(yùn)營、隱私）分別進(jìn)行風(fēng)險評級。其中1代表最低風(fēng)險值，5代表最高風(fēng)險值。以下是風(fēng)險矩陣的樣例：

風(fēng)險處理

對于每一個威脅場景，基于前述的風(fēng)險評級和風(fēng)險值，可以采取下述的一個或多個風(fēng)險處理方式。

基于TARA分析的規(guī)避風(fēng)險處理，導(dǎo)出安全目標(biāo)，英飛凌對其解讀為頂層網(wǎng)絡(luò)安全需求（Top Level Cybersecurity Requirements）。

英飛凌的車載MCU系列產(chǎn)品，作為安全組件可以基于非特定場景網(wǎng)絡(luò)安全組件（Cybersecurity Component Out-of-Context）開發(fā)，如基于假定的應(yīng)用場景車聯(lián)萬物V2X應(yīng)用，其頂層網(wǎng)絡(luò)安全需求（Top Level Cybersecurity Requirements）包含保護(hù)通訊數(shù)據(jù)的完整性和機(jī)密性，繼而需要相應(yīng)的安全措施，如MCU對硬件的AEAD算法支持等！

AURIX? TC4x安全架構(gòu)

隨著通信能力的增強(qiáng)和網(wǎng)聯(lián)合的發(fā)展，未來的汽車將需要網(wǎng)絡(luò)安全保護(hù)，免受不斷變化的網(wǎng)絡(luò)環(huán)境的影響。為了適應(yīng)這些新的挑戰(zhàn)，我們開發(fā)了一個新的架構(gòu)來應(yīng)對即將到來的與汽車相關(guān)的網(wǎng)絡(luò)安全威脅。

AURIX? TC4x，我們即將推出的微控制器系列，配備了一個創(chuàng)新的安全簇。我們的安全簇支持新功能和算法，并提供最新的硬件加速，與前幾代相比，能夠提供更高的性能。

安全簇有兩個主要模塊：安全實(shí)時模塊（CSRM）和安全衛(wèi)星模塊（CSS）

CSRM是AURIX? TC4x

在安全硬件環(huán)境中的信任之根

1. 與前幾代相比，它的性能提高了5到15倍

2. 支持獨(dú)立于主核應(yīng)用程序的單個安全軟件更新

3. 并能夠?yàn)閺V泛的應(yīng)用程序?qū)崿F(xiàn)多個安全用例

CSS是安全簇的新模塊

1. 它作為硬件加速器外設(shè)，并行化為應(yīng)用程序領(lǐng)域提供安全服務(wù)

2. 多個通道可用于具有不同信任級別的應(yīng)用程序

3. 多個硬件加速器通道可提高吞吐量，避免性能瓶頸

4. 避免不同信任級別應(yīng)用的干擾（Freedom of Interference）

5. 支持ASIL-D應(yīng)用

網(wǎng)絡(luò)安全簇的一個關(guān)鍵特征是，它支持各種網(wǎng)絡(luò)安全用例，特別關(guān)注通信需求，這些需求在不斷發(fā)展的車輛E/E電子電氣架構(gòu)中不斷增加。以下是TC4x支持的常用安全用例。

TC4x的通訊模塊以及安全簇，還特別關(guān)注車載網(wǎng)絡(luò)以及車聯(lián)萬物V2X用例。

所有這些都允許：

• 最大限度地減少網(wǎng)絡(luò)安全應(yīng)用延遲，最大限度地提高吞吐量

• 用戶系統(tǒng)符合最新的安全標(biāo)準(zhǔn)，即ISO/SAE 21434和UNECE WP.29

• 助力軟件空中傳輸SOTA使用案例，更加安全可靠地實(shí)現(xiàn)軟件更新

• 使用關(guān)聯(lián)數(shù)據(jù)的認(rèn)證加密（AEAD）和使用關(guān)聯(lián)數(shù)據(jù)的認(rèn)證（AAD）解決方案，預(yù)計這些方案在未來將變得越來越重要

下圖是英飛凌針滿足ISO/SAE 21434的認(rèn)證證書。

企業(yè)范圍內(nèi)的認(rèn)證包括：

• 網(wǎng)絡(luò)安全管理持續(xù)的網(wǎng)絡(luò)安全活動（如監(jiān)控、風(fēng)險評估、漏洞分析）

• 風(fēng)險評估方法（如威脅識別）

• 概念階段（例如網(wǎng)絡(luò)安全目標(biāo)）

• 產(chǎn)品開發(fā)階段（例如集成和驗(yàn)證）

• 開發(fā)后階段（例如網(wǎng)絡(luò)安全事件響應(yīng)）

同樣，TC4x系列產(chǎn)品會去支持ISO/SAE 21434產(chǎn)品級認(rèn)證！預(yù)計會提供給客戶TC4x產(chǎn)品認(rèn)證證書以及網(wǎng)絡(luò)安全用戶手冊（Cybersecurity Manual）。

參考文獻(xiàn)

[1]ISO/SAE 21434:2021(E) Road vehicles-Cybersecurity engineering.

[2]'The STRIDE Threat model'. Microsoft.

[3]https://www.infineon.com/cms/en/product/promopages/safety-security-and-connectivity/