作為WITTENSTEIN high integrity system(WHIS)公司的核心產(chǎn)品，SAFERTOS專為安全關(guān)鍵型嵌入式系統(tǒng)設(shè)計(jì)，使其成為確保聯(lián)網(wǎng)車輛環(huán)境可靠防護(hù)的理想選擇。在本文中，我們將討論如何開展SAFERTOS安全分析，結(jié)合威脅評估與風(fēng)險(xiǎn)評估（TARA）結(jié)果，以及這些實(shí)踐方法的具體實(shí)施，最終推動(dòng)SAFERTOS增強(qiáng)型安全模塊的開發(fā)。遵循行業(yè)標(biāo)準(zhǔn)，該方法為管理風(fēng)險(xiǎn)并保護(hù)互聯(lián)車輛組件免受不斷演變的威脅提供了一個(gè)結(jié)構(gòu)化的框架。

ISO 21434標(biāo)準(zhǔn)

ISO 21434是一項(xiàng)專注于管理道路車輛網(wǎng)絡(luò)安全威脅的標(biāo)準(zhǔn)，適用于供應(yīng)鏈中的所有相關(guān)組織。它涵蓋了組織層面和項(xiàng)目層面的網(wǎng)絡(luò)安全管理，以及從概念到開發(fā)后期支持的整個(gè)產(chǎn)品生命周期。關(guān)鍵領(lǐng)域包括在供應(yīng)鏈中管理網(wǎng)絡(luò)安全、持續(xù)監(jiān)控和事件管理，以及將TARA方法納入產(chǎn)品開發(fā)階段。標(biāo)準(zhǔn)中涉及的TARA是一個(gè)持續(xù)的過程，旨在識(shí)別可能影響組織和產(chǎn)品層面的安全風(fēng)險(xiǎn)。

TARA流程包括多個(gè)步驟，如資產(chǎn)識(shí)別、威脅場景分析和影響評級(jí)，在此過程中會(huì)從安全、財(cái)務(wù)、運(yùn)營和隱私等方面評估風(fēng)險(xiǎn)。同時(shí)會(huì)分析攻擊路徑的可行性，并為風(fēng)險(xiǎn)分配數(shù)值。最后一步是風(fēng)險(xiǎn)處置決策，可能包括規(guī)避、降低、分擔(dān)或接受風(fēng)險(xiǎn)。這些活動(dòng)有助于在汽車系統(tǒng)中以結(jié)構(gòu)化的方式管理和緩解網(wǎng)絡(luò)安全威脅。

將ISO 21434標(biāo)準(zhǔn)

應(yīng)用于通用軟件組件

ISO 21434認(rèn)可供應(yīng)鏈的作用，并通過兩種方式來處理現(xiàn)成組件的使用：將其視為脫離上下文的組件，或者將其視為現(xiàn)成組件。這兩種方法并非相互排斥，選擇取決于組件的集成方式。

對于現(xiàn)成組件，使用該組件的組織必須通過審查文檔來確定其適用性，以確保其滿足網(wǎng)絡(luò)安全要求。如果文檔不充分，則必須執(zhí)行額外的活動(dòng)以符合ISO 21434的要求。相比之下，當(dāng)一個(gè)組件脫離上下文開發(fā)時(shí)，供應(yīng)商提供其用于通用目的，并未考慮特定的應(yīng)用場景。供應(yīng)商有責(zé)任說明預(yù)期用途和外部接口，并基于這些假設(shè)生成網(wǎng)絡(luò)安全要求。當(dāng)該組件被部署時(shí)，其網(wǎng)絡(luò)安全聲明將被驗(yàn)證。

執(zhí)行SAFERTOS安全分析

由于缺乏終端用戶應(yīng)用程序中定義的外部接口，執(zhí)行SAFERTOS安全分析會(huì)面臨諸多挑戰(zhàn)。作為實(shí)時(shí)操作系統(tǒng)，SAFERTOS通過API提供服務(wù)，但不了解應(yīng)用程序的目的或部署情況，安全分析變得困難。

為確定SAFERTOS的威脅邊界，我們做出了若干關(guān)鍵假設(shè)，如假定存在加密啟動(dòng)過程、使用內(nèi)存保護(hù)單元（MPU）以及使用支持特權(quán)級(jí)別的處理器架構(gòu)。此外，由于該組件的部署環(huán)境未知，物理訪問威脅不在其考慮范圍內(nèi)。這些假設(shè)被歸類為“共享”需求，由集成商負(fù)責(zé)解決。威脅邊界圍繞SAFERTOS內(nèi)核與主機(jī)應(yīng)用程序之間的接口來定義，TARA過程會(huì)識(shí)別資產(chǎn)（例如這些接口），并使用STRIDE模型（身份假冒、篡改、抵賴、信息泄露、拒絕服務(wù)、權(quán)限提升）對其進(jìn)行威脅場景評估。

在脫離具體上下文的情況下，不知道具體的應(yīng)用場景，無法全面評估SAFERTOS所面臨的安全風(fēng)險(xiǎn)影響，因此所有風(fēng)險(xiǎn)都被歸類為影響所有區(qū)域。在攻擊路徑分析過程中，每種威脅的可行性都是基于五個(gè)因素進(jìn)行評估：專業(yè)技能、機(jī)會(huì)窗口、設(shè)備/努力程度、經(jīng)過的時(shí)間以及對目標(biāo)的了解程度。對于未知的系統(tǒng)和環(huán)境，假設(shè)采用了最壞情況下的數(shù)值，例如公開知識(shí)和無限制訪問。由于潛在損害的不可預(yù)測性，風(fēng)險(xiǎn)值被判斷為“嚴(yán)重”，并據(jù)此做出了風(fēng)險(xiǎn)處理決策，許多風(fēng)險(xiǎn)根據(jù)部署和配置被分類為“共享”、“減少”或“接受”。

SAFERTOS增強(qiáng)型安全模塊

TARA流程的主要成果是SAFERTOS增強(qiáng)型安全模塊（ESM），該模塊旨在解決任務(wù)管理中的漏洞，即使已具備內(nèi)存保護(hù)（MMU/MPU）的情況下。ESM提供了額外的工具來限制任務(wù)行為，并利用硬件支持確保任務(wù)與內(nèi)核之間的空間隔離。它包含一個(gè)高級(jí)API封裝器，可強(qiáng)制實(shí)施對象句柄模糊、訪問控制策略以及任務(wù)上下文數(shù)據(jù)安全。雖然ESM增強(qiáng)了系統(tǒng)安全性，但必須與其他保護(hù)措施（如安全啟動(dòng)、加密和硬件驅(qū)動(dòng)的安全性）一并使用。

ESM的主要特點(diǎn)包括：模糊句柄，可防止對對象控制塊的直接引用，并使用查找表進(jìn)行高效映射；訪問控制策略（ACP），它限制任務(wù)對特定SAFERTOS功能的訪問；對象訪問控制策略（OACP）進(jìn)一步限制任務(wù)對特定對象的訪問，而滲透檢測監(jiān)視器則能夠進(jìn)行錯(cuò)誤檢測，以識(shí)別潛在的黑客攻擊企圖。此外，任務(wù)上下文數(shù)據(jù)在內(nèi)存中隔離，以防止未經(jīng)授權(quán)的訪問，而SAFERTOS與用戶內(nèi)存之間的所有數(shù)據(jù)傳輸都經(jīng)過安全驗(yàn)證。

在本文中，我們探討了增強(qiáng)SAFERTOS以提升其在網(wǎng)絡(luò)安全敏感環(huán)境中安全能力的步驟，討論了如何將相關(guān)標(biāo)準(zhǔn)應(yīng)用于必須在更廣泛的設(shè)備生態(tài)系統(tǒng)中作為多功能通用組件運(yùn)行的產(chǎn)品，例如車輛供應(yīng)鏈中的產(chǎn)品。我們還討論了威脅分析與風(fēng)險(xiǎn)評估（TARA）流程如何識(shí)別潛在漏洞并評估風(fēng)險(xiǎn)，從而推動(dòng)SAFERTOS增強(qiáng)型安全模塊（ESM）的開發(fā)。

網(wǎng)絡(luò)安全在嵌入式系統(tǒng)中正變得越來越重要，尤其是在汽車行業(yè)中，因?yàn)檐囕v的互聯(lián)程度日益提高。通過與ISO 21434標(biāo)準(zhǔn)保持一致并采用先進(jìn)的安全措施，SAFERTOS ESM增強(qiáng)了汽車系統(tǒng)的整體安全性，確保其能夠更好地抵御不斷演變的網(wǎng)絡(luò)安全挑戰(zhàn)。

麥克泰技術(shù)是安全認(rèn)證操作系統(tǒng)SAFERTOS在中國的代理商，具有30年嵌入式實(shí)時(shí)操作系統(tǒng)和功能安全軟件服務(wù)的市場、服務(wù)和培訓(xùn)經(jīng)驗(yàn)，聯(lián)系info@bmrtech.com。

麥克泰技術(shù)走過了30年發(fā)展歷程（1995-2025），秉承“讓嵌入式軟件開發(fā)更容易”的理念，致力于推廣嵌入式軟件開發(fā)工具、測試軟件和嵌入式操作系統(tǒng)。麥克泰技術(shù)通過舉辦嵌入式軟件和操作系統(tǒng)研討會(huì)、開設(shè)培訓(xùn)課程、出版圖書，撰寫博客文章，倡導(dǎo)和宣傳開放和開源的嵌入式軟件、操作系統(tǒng)以及開發(fā)技術(shù)，包括VRTX（90年代）、μC/OS（2000年），Montavista Linux（2010年）和FreeRTOS（2010年）以及IAR/BDI/J-Link等知名的產(chǎn)品和技術(shù)。

麥克泰技術(shù)具有豐富嵌入式軟件項(xiàng)目開發(fā)、行業(yè)應(yīng)用與服務(wù)經(jīng)驗(yàn)。今天，我們依托歐美嵌入式軟件商業(yè)團(tuán)隊(duì)支持，提供嵌入式軟件商業(yè)授權(quán)和服務(wù)。包括（不限于）SEGGER嵌入式軟件開發(fā)和編程工具（J-Link/Flasher），OS分析工具Tracealyzer，WITTENSTEIN公司的SafeRTOS（FreeRTOS）、Flexible Safety RTOS（μC/OS-II MPU）以及新一代PX5 RTOS。麥克泰技術(shù)專注預(yù)認(rèn)證功能安全操作系統(tǒng)在汽車、軌交、醫(yī)療和工業(yè)領(lǐng)域的應(yīng)用以及RISC-V處理器嵌入式開發(fā)生態(tài)建設(shè)。我們正在以開放開源+商業(yè)軟件的支持，服務(wù)產(chǎn)業(yè)客戶，更多信息請?jiān)L問www.bmrtech.com以及我們微信公眾號(hào)“麥克泰技術(shù)”。