作為WITTENSTEIN high integrity system(WHIS)公司的核心產(chǎn)品，SAFERTOS專為安全關(guān)鍵型嵌入式系統(tǒng)設(shè)計，使其成為確保聯(lián)網(wǎng)車輛環(huán)境可靠防護的理想選擇。在本文中，我們將討論如何開展SAFERTOS安全分析，結(jié)合威脅評估與風險評估（TARA）結(jié)果，以及這些實踐方法的具體實施，最終推動SAFERTOS增強型安全模塊的開發(fā)。遵循行業(yè)標準，該方法為管理風險并保護互聯(lián)車輛組件免受不斷演變的威脅提供了一個結(jié)構(gòu)化的框架。

ISO 21434標準

ISO 21434是一項專注于管理道路車輛網(wǎng)絡(luò)安全威脅的標準，適用于供應(yīng)鏈中的所有相關(guān)組織。它涵蓋了組織層面和項目層面的網(wǎng)絡(luò)安全管理，以及從概念到開發(fā)后期支持的整個產(chǎn)品生命周期。關(guān)鍵領(lǐng)域包括在供應(yīng)鏈中管理網(wǎng)絡(luò)安全、持續(xù)監(jiān)控和事件管理，以及將TARA方法納入產(chǎn)品開發(fā)階段。標準中涉及的TARA是一個持續(xù)的過程，旨在識別可能影響組織和產(chǎn)品層面的安全風險。

TARA流程包括多個步驟，如資產(chǎn)識別、威脅場景分析和影響評級，在此過程中會從安全、財務(wù)、運營和隱私等方面評估風險。同時會分析攻擊路徑的可行性，并為風險分配數(shù)值。最后一步是風險處置決策，可能包括規(guī)避、降低、分擔或接受風險。這些活動有助于在汽車系統(tǒng)中以結(jié)構(gòu)化的方式管理和緩解網(wǎng)絡(luò)安全威脅。

將ISO 21434標準

應(yīng)用于通用軟件組件

ISO 21434認可供應(yīng)鏈的作用，并通過兩種方式來處理現(xiàn)成組件的使用：將其視為脫離上下文的組件，或者將其視為現(xiàn)成組件。這兩種方法并非相互排斥，選擇取決于組件的集成方式。

對于現(xiàn)成組件，使用該組件的組織必須通過審查文檔來確定其適用性，以確保其滿足網(wǎng)絡(luò)安全要求。如果文檔不充分，則必須執(zhí)行額外的活動以符合ISO 21434的要求。相比之下，當一個組件脫離上下文開發(fā)時，供應(yīng)商提供其用于通用目的，并未考慮特定的應(yīng)用場景。供應(yīng)商有責任說明預(yù)期用途和外部接口，并基于這些假設(shè)生成網(wǎng)絡(luò)安全要求。當該組件被部署時，其網(wǎng)絡(luò)安全聲明將被驗證。

執(zhí)行SAFERTOS安全分析

由于缺乏終端用戶應(yīng)用程序中定義的外部接口，執(zhí)行SAFERTOS安全分析會面臨諸多挑戰(zhàn)。作為實時操作系統(tǒng)，SAFERTOS通過API提供服務(wù)，但不了解應(yīng)用程序的目的或部署情況，安全分析變得困難。

為確定SAFERTOS的威脅邊界，我們做出了若干關(guān)鍵假設(shè)，如假定存在加密啟動過程、使用內(nèi)存保護單元（MPU）以及使用支持特權(quán)級別的處理器架構(gòu)。此外，由于該組件的部署環(huán)境未知，物理訪問威脅不在其考慮范圍內(nèi)。這些假設(shè)被歸類為“共享”需求，由集成商負責解決。威脅邊界圍繞SAFERTOS內(nèi)核與主機應(yīng)用程序之間的接口來定義，TARA過程會識別資產(chǎn)（例如這些接口），并使用STRIDE模型（身份假冒、篡改、抵賴、信息泄露、拒絕服務(wù)、權(quán)限提升）對其進行威脅場景評估。

在脫離具體上下文的情況下，不知道具體的應(yīng)用場景，無法全面評估SAFERTOS所面臨的安全風險影響，因此所有風險都被歸類為影響所有區(qū)域。在攻擊路徑分析過程中，每種威脅的可行性都是基于五個因素進行評估：專業(yè)技能、機會窗口、設(shè)備/努力程度、經(jīng)過的時間以及對目標的了解程度。對于未知的系統(tǒng)和環(huán)境，假設(shè)采用了最壞情況下的數(shù)值，例如公開知識和無限制訪問。由于潛在損害的不可預(yù)測性，風險值被判斷為“嚴重”，并據(jù)此做出了風險處理決策，許多風險根據(jù)部署和配置被分類為“共享”、“減少”或“接受”。

SAFERTOS增強型安全模塊

TARA流程的主要成果是SAFERTOS增強型安全模塊（ESM），該模塊旨在解決任務(wù)管理中的漏洞，即使已具備內(nèi)存保護（MMU/MPU）的情況下。ESM提供了額外的工具來限制任務(wù)行為，并利用硬件支持確保任務(wù)與內(nèi)核之間的空間隔離。它包含一個高級API封裝器，可強制實施對象句柄模糊、訪問控制策略以及任務(wù)上下文數(shù)據(jù)安全。雖然ESM增強了系統(tǒng)安全性，但必須與其他保護措施（如安全啟動、加密和硬件驅(qū)動的安全性）一并使用。

ESM的主要特點包括：模糊句柄，可防止對對象控制塊的直接引用，并使用查找表進行高效映射；訪問控制策略（ACP），它限制任務(wù)對特定SAFERTOS功能的訪問；對象訪問控制策略（OACP）進一步限制任務(wù)對特定對象的訪問，而滲透檢測監(jiān)視器則能夠進行錯誤檢測，以識別潛在的黑客攻擊企圖。此外，任務(wù)上下文數(shù)據(jù)在內(nèi)存中隔離，以防止未經(jīng)授權(quán)的訪問，而SAFERTOS與用戶內(nèi)存之間的所有數(shù)據(jù)傳輸都經(jīng)過安全驗證。

在本文中，我們探討了增強SAFERTOS以提升其在網(wǎng)絡(luò)安全敏感環(huán)境中安全能力的步驟，討論了如何將相關(guān)標準應(yīng)用于必須在更廣泛的設(shè)備生態(tài)系統(tǒng)中作為多功能通用組件運行的產(chǎn)品，例如車輛供應(yīng)鏈中的產(chǎn)品。我們還討論了威脅分析與風險評估（TARA）流程如何識別潛在漏洞并評估風險，從而推動SAFERTOS增強型安全模塊（ESM）的開發(fā)。

網(wǎng)絡(luò)安全在嵌入式系統(tǒng)中正變得越來越重要，尤其是在汽車行業(yè)中，因為車輛的互聯(lián)程度日益提高。通過與ISO 21434標準保持一致并采用先進的安全措施，SAFERTOS ESM增強了汽車系統(tǒng)的整體安全性，確保其能夠更好地抵御不斷演變的網(wǎng)絡(luò)安全挑戰(zhàn)。

麥克泰技術(shù)是安全認證操作系統(tǒng)SAFERTOS在中國的代理商，具有30年嵌入式實時操作系統(tǒng)和功能安全軟件服務(wù)的市場、服務(wù)和培訓經(jīng)驗，聯(lián)系info@bmrtech.com。

麥克泰技術(shù)走過了30年發(fā)展歷程（1995-2025），秉承“讓嵌入式軟件開發(fā)更容易”的理念，致力于推廣嵌入式軟件開發(fā)工具、測試軟件和嵌入式操作系統(tǒng)。麥克泰技術(shù)通過舉辦嵌入式軟件和操作系統(tǒng)研討會、開設(shè)培訓課程、出版圖書，撰寫博客文章，倡導(dǎo)和宣傳開放和開源的嵌入式軟件、操作系統(tǒng)以及開發(fā)技術(shù)，包括VRTX（90年代）、μC/OS（2000年），Montavista Linux（2010年）和FreeRTOS（2010年）以及IAR/BDI/J-Link等知名的產(chǎn)品和技術(shù)。

麥克泰技術(shù)具有豐富嵌入式軟件項目開發(fā)、行業(yè)應(yīng)用與服務(wù)經(jīng)驗。今天，我們依托歐美嵌入式軟件商業(yè)團隊支持，提供嵌入式軟件商業(yè)授權(quán)和服務(wù)。包括（不限于）SEGGER嵌入式軟件開發(fā)和編程工具（J-Link/Flasher），OS分析工具Tracealyzer，WITTENSTEIN公司的SafeRTOS（FreeRTOS）、Flexible Safety RTOS（μC/OS-II MPU）以及新一代PX5 RTOS。麥克泰技術(shù)專注預(yù)認證功能安全操作系統(tǒng)在汽車、軌交、醫(yī)療和工業(yè)領(lǐng)域的應(yīng)用以及RISC-V處理器嵌入式開發(fā)生態(tài)建設(shè)。我們正在以開放開源+商業(yè)軟件的支持，服務(wù)產(chǎn)業(yè)客戶，更多信息請訪問www.bmrtech.com以及我們微信公眾號“麥克泰技術(shù)”。