往期回顧

AURIX?  TC4x  微控制器的并行處理單元(PPU)簡介

AURIX? TC4x免費開發環境介紹

英飛凌新一代MCU AURIX?  TC4x 即將量產

緣起今生：英飛凌車規MCU全系支持Rust 語言開發

探索 AUTOSAR 與 英飛凌 AURIX? TC4x MCAL 解決方案-上

探索 AUTOSAR 與 英飛凌 AURIX? TC4x MCAL 解決方案-下

AURIX? TC4x虛擬化技術助力下一代汽車EE架構設計

車載以太網和AURIX? TC4x 千兆以太網/時間敏感網絡概覽

ISO/SAE 21434概述及TARA方法論

ISO/SAE 21434 簡介

                   1.1

隨著汽車與互聯網的連接性增強，自動駕駛和高級駕駛輔助系統（ADAS）的發展，汽車網絡安全變得至關重要。ISO/SAE 21434標準的制定旨在幫助汽車行業在開發過程中有效控制網絡干擾和攻擊，確保車輛的安全性和可靠性。

該標準強調整個車輛生命周期的風險管理，包括概念階段、產品開發、生產、運營、維護以及退役或終止網絡安全支持的各個階段。它要求對供應鏈的所有部分實施網絡安全措施，并根據具體情況調整網絡安全活動。同時還規定了組織層面的網絡安全管理要求，包括網絡安全治理、網絡安全文化、信息共享、管理體系、工具管理、信息安全管理、組織層面網絡安全審計七個方面。其適用范圍不僅包括車輛的相關項，還涉及售后和服務環節，確保整個汽車使用周期內的網絡安全得到妥善管理。

下圖是ISO/SAE 21434:2021(E)標準的結構框圖：

TARA方法論

                           1.2

威脅分析與風險評估（Threat Analysis and Risk Assessment, TARA），是ISO/SAE 21434標準推薦的網絡安全威脅建模方法論，下圖是TARA威脅分析風險評估示意圖樣例。

Item定義

實現車輛級功能的部件或部件組

資產識別

資產是網絡安全系統中具有價值的對象，其被破壞時會帶來安全風險，例如功能安全目標、財務風險、運營成本和隱私風險等。

安全屬性

參考STRIDE模型：

汽車行業中最重要的安全屬性是機密性、完整性和可用性（CIA：Confidentiality，Integrity，Availability）。

破壞場景

涉及車輛或車輛功能并影響道路使用者的不利后果。

影響評級

針對破壞場景的影響評級，需要基于下面四個維度去分解。首先是功能安全（Safety），其次有財產（Finance），再有運營（Operation），最后是隱私（Privacy）。影響評級的標準可分為極其嚴重（Severe）、高（Major）、中等（Moderate）、忽略不計（Negligible）。

威脅場景

攻擊可行性評級的方法有多種，比如基于攻擊潛力（Attack Potential-Based Approach）、基于CVSS、基于攻擊向量（Attack Vector Based）等。ISO/SAE 21434中指出可以基于這三種方法中的任何一種進行攻擊可行性評級，可分為非常低（Very Low）、低（Low）、中（Medium）、高（High）四個級別。

風險評級

風險值的評定需要對前述的四個維度（功能安全、財產、運營、隱私）分別進行風險評級。其中1代表最低風險值，5代表最高風險值。以下是風險矩陣的樣例：

風險處理

對于每一個威脅場景，基于前述的風險評級和風險值，可以采取下述的一個或多個風險處理方式。

基于TARA分析的規避風險處理，導出安全目標，英飛凌對其解讀為頂層網絡安全需求（Top Level Cybersecurity Requirements）。

英飛凌的車載MCU系列產品，作為安全組件可以基于非特定場景網絡安全組件（Cybersecurity Component Out-of-Context）開發，如基于假定的應用場景車聯萬物V2X應用，其頂層網絡安全需求（Top Level Cybersecurity Requirements）包含保護通訊數據的完整性和機密性，繼而需要相應的安全措施，如MCU對硬件的AEAD算法支持等！

AURIX? TC4x安全架構

隨著通信能力的增強和網聯合的發展，未來的汽車將需要網絡安全保護，免受不斷變化的網絡環境的影響。為了適應這些新的挑戰，我們開發了一個新的架構來應對即將到來的與汽車相關的網絡安全威脅。

AURIX? TC4x，我們即將推出的微控制器系列，配備了一個創新的安全簇。我們的安全簇支持新功能和算法，并提供最新的硬件加速，與前幾代相比，能夠提供更高的性能。

安全簇有兩個主要模塊：安全實時模塊（CSRM）和安全衛星模塊（CSS）

CSRM是AURIX? TC4x

在安全硬件環境中的信任之根

1. 與前幾代相比，它的性能提高了5到15倍

2. 支持獨立于主核應用程序的單個安全軟件更新

3. 并能夠為廣泛的應用程序實現多個安全用例

CSS是安全簇的新模塊

1. 它作為硬件加速器外設，并行化為應用程序領域提供安全服務

2. 多個通道可用于具有不同信任級別的應用程序

3. 多個硬件加速器通道可提高吞吐量，避免性能瓶頸

4. 避免不同信任級別應用的干擾（Freedom of Interference）

5. 支持ASIL-D應用

網絡安全簇的一個關鍵特征是，它支持各種網絡安全用例，特別關注通信需求，這些需求在不斷發展的車輛E/E電子電氣架構中不斷增加。以下是TC4x支持的常用安全用例。

TC4x的通訊模塊以及安全簇，還特別關注車載網絡以及車聯萬物V2X用例。

所有這些都允許：

• 最大限度地減少網絡安全應用延遲，最大限度地提高吞吐量

• 用戶系統符合最新的安全標準，即ISO/SAE 21434和UNECE WP.29

• 助力軟件空中傳輸SOTA使用案例，更加安全可靠地實現軟件更新

• 使用關聯數據的認證加密（AEAD）和使用關聯數據的認證（AAD）解決方案，預計這些方案在未來將變得越來越重要

下圖是英飛凌針滿足ISO/SAE 21434的認證證書。

企業范圍內的認證包括：

• 網絡安全管理持續的網絡安全活動（如監控、風險評估、漏洞分析）

• 風險評估方法（如威脅識別）

• 概念階段（例如網絡安全目標）

• 產品開發階段（例如集成和驗證）

• 開發后階段（例如網絡安全事件響應）

同樣，TC4x系列產品會去支持ISO/SAE 21434產品級認證！預計會提供給客戶TC4x產品認證證書以及網絡安全用戶手冊（Cybersecurity Manual）。

參考文獻

[1]ISO/SAE 21434:2021(E) Road vehicles-Cybersecurity engineering.

[2]"The STRIDE Threat model". Microsoft.

[3]https://www.infineon.com/cms/en/product/promopages/safety-security-and-connectivity/

歡迎關注微信公眾號

英飛凌汽車電子生態圈