2022车载信息安全方案

01OPTION02OPTION03OPTION

车载终端应用隔离方案VehicleTerminalApplicationIsolationSolution中央控制器安全方案CentralControllerSecuritySolution产品与技术Product&Technology01背景描述当前主流车载终端将数字仪表盘和IVI娱乐系统合二为一，由一颗CPU支持所有功能，其中部分车辆控制（如：舒适性等）在IVI娱乐系统中运行与第三方应用共同存在。第三方应用不受主机厂管控，存在信息安全风险。需求描述主机厂要防止病毒通过第三方应用攻击到控车应用程序，导致车辆失控。解决方案一定要有普适性，能通过或现场安装的方式适配到大部分车型，包括在研车型和已售车型。引擎状态ADAS显示视频引擎状态ADAS显示视频控车1速度表里程表音乐控车2电量分屏显示游戏故障显示…………控车3……QNXAndroidQNXHypervisorH/W（高通、NXP…）TEE可信环境11第三方应用1 第三方应用21SystemSystemAndroidQNXHypervisor

黑客通过网络进入第三方应用，控车应用植入木马，攻击到固件、系统底层，导致系统失效。控车应用现象：车机按键失效或黑屏等。22黑客通过第三方应用，直接将病毒植入控车应用甚至到CAN控制器，破坏及控制程序。2现象：车辆不受驾驶人控制。CANCANMCUGSMWiFiBluetoothSDRUSB

第三方应用平面

利用IPC对控车应用实施攻击、渗透。具有漏洞的第三方应用恶意具有漏洞的第三方应用恶意第三方应用具有后门的第三方应用具有后门的第三方应用

控车应用平面控车应用控车应用控车应用

控车应用攻破控车应用后，可以向OS平面渗透控车应用HUT底层平面攻击者利用第三

OS系统平面AndroidFrameworkAndroidFrameworkLinux用户空间CANControllerMCUQNXHypervisorAndroidNativeAPILinuxAPILinux用户空间CANControllerMCUQNXHypervisorsyscall

攻击者利用已经控制的平面，对底层进行攻击。Linux内核甚至通过对Hypervisor进行渗透，从而完成对全车的控制。Linux内核BeanpodSandboxAndroid系统平面控车应用平面BeanpodSandboxAndroid系统平面控车应用平面第三方应用平面检测并阻断第三方应用平面与不法分子的通信。降低第三方应用漏洞远程利用等被入侵风险。平面的请求。降低第三方应用对控车以及系统平面的渗透和攻击可能性。策略调整。CANControllerMCUCANControllerMCUQNXHypervisor如何保障BeanpodSandbox的安全？Android系统被攻破，如何降低不良影响？BeanpodSandboxCANControllerMCUAgentQNXHypervisorBeanpodSandboxCANControllerMCUAgentQNXHypervisorAndroid系统平面IDPS控车应用平面第三方应用平面TEE可信环境CANControllerMCUCANControllerDriveTA指令过滤TAIDPSTAAndroid内核检测TA通过IDPS事件。通过与TEE配合，在最严重安全威胁下，保障系统最基本的安全。基于TEE进一步安全增强：通过TEE，保障BeanpodSandbox的完整性与可用性。防止第三方应用从沙箱逃逸。通过TEE情况，降低安全事件影响。通过TEE进行命令过滤，对敏感硬件层进行保护。通过TEE保障IDPS的可用性与完整性。在系统被rootLog。AndroidQNXHypervisorAndroidQNXHypervisorQNXH/W（高通、NXP…）CANMCUTEE可信环境……Android内核检测TAIDPSTAIDPS应用安装控制SandBox…………故障显示控车3游戏分屏显示电量控车2音乐里程表速度表控车1视频ADAS显示引擎状态对Android框架进行修改；开发TEE系统中两个报文指令传输路线引擎状态 ADAS显引擎状态 ADAS显速度表 里程表电量 分屏显示故障显示 ……视频音乐游戏SandBox控车1控车2控车……QNX应用安装控制AndroidIDPS 报文指令传输路线

开发集成CAN控制器驱动程序指令过滤TAQNXHypervisorH/W（高通、NXP…）……CANControllerDriveTA指令过滤TAQNXHypervisorH/W（高通、NXP…）……CANControllerDriveTAIDPSTAAndroid内核检测TATEE可信环境CANCANMCUAndroidFrameworkServiceProxyAndroidFrameworkServiceProxy应用安装控制service调用审计应用安装控制关键service调用限制HOOK敏感PermissionHOOK二进制库调用审计调用监控高级

startActivitystartServiceCamera、通信通讯录文件/照片限制阻断记录

应用审计IDPS审计用

对只有授权签名的应用给与安装对非法签名应用不予安装IDPS对Android系统实施监控风险IDPSTEE防止非法访问日志TEE内核执行区checkroot检测02软件定义汽车——汽车将成为最复杂的联网设备当前的车辆软件代码量是智能手机的10倍，一辆具备自动驾驶能力的车辆甚至会是1000倍，各类ECU的通信交互十分复杂。预计将来软件将占到创新的90%、并且在未来的汽车中扮演重要的角色。它在汽车价值中所占的比例越来越大。中央控制器——从分布式到集中式蓬勃发展的车载网关、和自动驾驶系统等等，这些应用带动了电子控制单元ECU数量的大幅增加，几十个甚至上百个ECU，对分布式架构提出了挑战，越来越向集中式靠拢。DCU（DomainControl即汽车域控制器也就应运而生了。目前新车E/E架构设计已大量采用域控制器。作为集中式管理的中心，中央控制器成为车载系统的数据交换与管理中心。SOA——面向服务的架构SOA(ServiceOrientedArchitecture是Gartner在1996服务之间通过简单、精确定义接口进行通讯，不涉及底层编程接口和通讯模型。SOA是IT行业近年来典型的架构方式，大量的IT系统都是基于SOA实现的。汽车领域采用SOA架构一方面是EEA采用集中式管理架构的需求，另一个原因就是能够将各种新功能灵活地与互联网集成，而无需通过信号到服务的转换，加快车辆与互联网的互联互通。与云端的通信安全（对外网）网络通信安全保护安全服务层的身份认证中央控制器与域控制器的安全（对内网）中央控制器自身安全保护与域控制器之间的安全保护云服务中央控制器服务总线DCUN-AdapterDCU2-中央控制器服务总线DCUN-AdapterDCU2-AdapterDCU1-Adapter总线路由以及总线接口IDPS其它实时逻辑ROOT检测TA应用安装控制Sandbox3rdPartyAppsAppAuthenticationTASandbox3rdPartyAppsAppAuthenticationTAAppIDPSTA

RTOSDCU1DCU2HypervisorH/WDCU1DCU2Hypervisor…

…….TA…….TA安全芯片安全芯片DCUN服务API通道DCUN解决课题：ID链路安全：通信加密;防止中间攻击应用安全：应用签名验签;防伪

云端车载安全管理中心客户业务服务身份认证管理(IAM)安全日志服务（SLS）安全态势（SPS）客户业务服务身份认证管理(IAM)安全日志服务（SLS）安全态势（SPS）网络安全；入侵安全检查云端车载安全管理中心安全更新；身份认证；各域控制器协议适配各域控制器协议适配

通信模块REE环境安全APP

实时系统中控实时处理路由器控制(黑白名单机制)路由器控制(黑白名单机制)

可信环境车载安全管理（CSM）扩展服务车载安全管理（CSM）

安全更新服务（S-OTA）密钥管理（KMS）基础业务安全更新服务（S-OTA）密钥管理（KMS）双向认证 密钥管理双向认证密钥管理S-OTA 身份认证S-OTA身份认证TATA车载安全管理密钥管理；身份认证；

（Linux）

Hypervisor

安全存储安全认证

加解密

可信根安全启动安全可信OS安全启动域控制器N域控制器N解决课题：中央控制器的安全系统安全；安全启动;可信根机制数据安全；敏感信息安全加密存储密钥安全；安全芯片保护；EAL4+控制安全；核心控制安全保护加解密：支持国际/国密算法安全存储：密钥证书&设备配置信息中央控制器与域控制器的安全访问安全；黑白名单控制网络监测；IDPS机制安全产线车载密钥信息管理车载密钥信息导入导出

REE环境APP（Linux）

实时系统安全可信OS域控制器3域控制器2域控制器1Hypervisor安全可信OS域控制器3域控制器2域控制器1

安全启动可信环境中控实时处理各域控制器协议适配路由器控制中控实时处理各域控制器协议适配路由器控制(黑白名单机制)中央控制TA安全存储安全存储

基础业务双向认证S-OTA加解密可信SDKAPI加解密可信根可信根

安全芯片安全芯片密钥管理身份认证安全启动安全启动03TrustedCoreFrameworkAIBaseLibraryBiometricTrustedCoreFrameworkAIBaseLibraryBiometricTrustedExtendedApplication

SharedMemoryClientExtendedApplicationClientBaseSharedMemoryClientExtendedApplication

SharedMemoryView

TrustedBaseApplication

ISEE-TEEGPTEEClientAPIRichOSComponentsGPTEEClientAPI

GPTEEInternalAPITrustedOSComponentsPublicDeviceDrivers REECommunicationAgent TEECommunicationAgentPublicDeviceDriversREECommunicationAgentTEECommunicationAgentTUITrustedFunctionsHypervisor TrustedKernelHypervisorTrustedKernelPublicPeripherals

MessPlatformMess

agesagesHardwareHardw

Trusted Peripheralsspimipii2cuartspimipii2cuartSECameraFPTPLCD. SECameraFPTP LCD.SECameraFPTPLCD.SECameraFPTPLCD.解决课题：数据安全：设备数据加解密服务存储安全：RPMB；可信加密存储通信安全：防止中间攻击&业务逻辑保护采集安全：可信区域采集数据TUI)&设备信息保护/安全中心管理：密钥管理；设备管理；安全业务；鉴权认证设备管理：设备身份认证；产线管理：烧写工具；设备信息管理

安全管理中心设备鉴权管理(MAM)安全管理中心设备鉴权管理(MAM)安全支付管理(SPM)客户业务服务系统更新服务设备管理（MDM）密钥管理（KMS）业务业务AppISEESDKAPIISEESDKAPIAndroidAndroid（Linux）

TEE环境客制化服务客户业务TA客户业务TA等)安全存储安全存储安全启动安全启动

基础业务GoogleTA(Keymaster/Gatekeeper等)生物识别TA(指纹/人脸/声纹等)GoogleTA(Keymaster/Gateke