往期回顾

AURIX™  TC4x  微控制器的并行处理单元(PPU)简介

AURIX™ TC4x免费开发环境介绍

英飞凌新一代MCU AURIX™  TC4x 即将量产

缘起今生：英飞凌车规MCU全系支持Rust 语言开发

探索 AUTOSAR 与 英飞凌 AURIX™ TC4x MCAL 解决方案-上

探索 AUTOSAR 与 英飞凌 AURIX™ TC4x MCAL 解决方案-下

AURIX™ TC4x虚拟化技术助力下一代汽车EE架构设计

车载以太网和AURIX™ TC4x 千兆以太网/时间敏感网络概览

ISO/SAE 21434概述及TARA方法论

ISO/SAE 21434 简介

                   1.1

随着汽车与互联网的连接性增强，自动驾驶和高级驾驶辅助系统（ADAS）的发展，汽车网络安全变得至关重要。ISO/SAE 21434标准的制定旨在帮助汽车行业在开发过程中有效控制网络干扰和攻击，确保车辆的安全性和可靠性。

该标准强调整个车辆生命周期的风险管理，包括概念阶段、产品开发、生产、运营、维护以及退役或终止网络安全支持的各个阶段。它要求对供应链的所有部分实施网络安全措施，并根据具体情况调整网络安全活动。同时还规定了组织层面的网络安全管理要求，包括网络安全治理、网络安全文化、信息共享、管理体系、工具管理、信息安全管理、组织层面网络安全审计七个方面。其适用范围不仅包括车辆的相关项，还涉及售后和服务环节，确保整个汽车使用周期内的网络安全得到妥善管理。

下图是ISO/SAE 21434:2021(E)标准的结构框图：

TARA方法论

                           1.2

威胁分析与风险评估（Threat Analysis and Risk Assessment, TARA），是ISO/SAE 21434标准推荐的网络安全威胁建模方法论，下图是TARA威胁分析风险评估示意图样例。

Item定义

实现车辆级功能的部件或部件组

资产识别

资产是网络安全系统中具有价值的对象，其被破坏时会带来安全风险，例如功能安全目标、财务风险、运营成本和隐私风险等。

安全属性

参考STRIDE模型：

汽车行业中最重要的安全属性是机密性、完整性和可用性（CIA：Confidentiality，Integrity，Availability）。

破坏场景

涉及车辆或车辆功能并影响道路使用者的不利后果。

影响评级

针对破坏场景的影响评级，需要基于下面四个维度去分解。首先是功能安全（Safety），其次有财产（Finance），再有运营（Operation），最后是隐私（Privacy）。影响评级的标准可分为极其严重（Severe）、高（Major）、中等（Moderate）、忽略不计（Negligible）。

威胁场景

攻击可行性评级的方法有多种，比如基于攻击潜力（Attack Potential-Based Approach）、基于CVSS、基于攻击向量（Attack Vector Based）等。ISO/SAE 21434中指出可以基于这三种方法中的任何一种进行攻击可行性评级，可分为非常低（Very Low）、低（Low）、中（Medium）、高（High）四个级别。

风险评级

风险值的评定需要对前述的四个维度（功能安全、财产、运营、隐私）分别进行风险评级。其中1代表最低风险值，5代表最高风险值。以下是风险矩阵的样例：

风险处理

对于每一个威胁场景，基于前述的风险评级和风险值，可以采取下述的一个或多个风险处理方式。

基于TARA分析的规避风险处理，导出安全目标，英飞凌对其解读为顶层网络安全需求（Top Level Cybersecurity Requirements）。

英飞凌的车载MCU系列产品，作为安全组件可以基于非特定场景网络安全组件（Cybersecurity Component Out-of-Context）开发，如基于假定的应用场景车联万物V2X应用，其顶层网络安全需求（Top Level Cybersecurity Requirements）包含保护通讯数据的完整性和机密性，继而需要相应的安全措施，如MCU对硬件的AEAD算法支持等！

AURIX™ TC4x安全架构

随着通信能力的增强和网联合的发展，未来的汽车将需要网络安全保护，免受不断变化的网络环境的影响。为了适应这些新的挑战，我们开发了一个新的架构来应对即将到来的与汽车相关的网络安全威胁。

AURIX™ TC4x，我们即将推出的微控制器系列，配备了一个创新的安全簇。我们的安全簇支持新功能和算法，并提供最新的硬件加速，与前几代相比，能够提供更高的性能。

安全簇有两个主要模块：安全实时模块（CSRM）和安全卫星模块（CSS）

CSRM是AURIX™ TC4x

在安全硬件环境中的信任之根

1. 与前几代相比，它的性能提高了5到15倍

2. 支持独立于主核应用程序的单个安全软件更新

3. 并能够为广泛的应用程序实现多个安全用例

CSS是安全簇的新模块

1. 它作为硬件加速器外设，并行化为应用程序领域提供安全服务

2. 多个通道可用于具有不同信任级别的应用程序

3. 多个硬件加速器通道可提高吞吐量，避免性能瓶颈

4. 避免不同信任级别应用的干扰（Freedom of Interference）

5. 支持ASIL-D应用

网络安全簇的一个关键特征是，它支持各种网络安全用例，特别关注通信需求，这些需求在不断发展的车辆E/E电子电气架构中不断增加。以下是TC4x支持的常用安全用例。

TC4x的通讯模块以及安全簇，还特别关注车载网络以及车联万物V2X用例。

所有这些都允许：

• 最大限度地减少网络安全应用延迟，最大限度地提高吞吐量

• 用户系统符合最新的安全标准，即ISO/SAE 21434和UNECE WP.29

• 助力软件空中传输SOTA使用案例，更加安全可靠地实现软件更新

• 使用关联数据的认证加密（AEAD）和使用关联数据的认证（AAD）解决方案，预计这些方案在未来将变得越来越重要

下图是英飞凌针满足ISO/SAE 21434的认证证书。

企业范围内的认证包括：

• 网络安全管理持续的网络安全活动（如监控、风险评估、漏洞分析）

• 风险评估方法（如威胁识别）

• 概念阶段（例如网络安全目标）

• 产品开发阶段（例如集成和验证）

• 开发后阶段（例如网络安全事件响应）

同样，TC4x系列产品会去支持ISO/SAE 21434产品级认证！预计会提供给客户TC4x产品认证证书以及网络安全用户手册（Cybersecurity Manual）。

参考文献

[1]ISO/SAE 21434:2021(E) Road vehicles-Cybersecurity engineering.

[2]"The STRIDE Threat model". Microsoft.

[3]https://www.infineon.com/cms/en/product/promopages/safety-security-and-connectivity/

欢迎关注微信公众号

英飞凌汽车电子生态圈

*博客内容为网友个人发布，仅代表博主个人观点，如有侵权请联系工作人员删除。