安全日志功能及系统
存储事件和信息,支持故障和调试分析
日志记录数据用于事件追责
日志条目用于审核ECU功能
检测系统是否受到威胁
识别并分析系统如何受到危害
追溯攻击者的行为
“安全日志记录”安全概念适用于单个 ECU ,其中日志记录过程与所有其他要记录的过程位于同一(逻辑)系统上。安全日志内容及格式
通常以下事件需要记录日志:
1.与安全相关的事件:这包括失败事件(例如,诊断安全访问身份验证失败,签名验证失败,安全启动失失败等),以及正常事件(例如,成功的JTAG 解锁或成功的安全刷新)。此外还可包括定期状态日志记录,例如在运行时操作检测( RTMD )的情况下,来自入侵检测系统( IDS )的事件。
2.与应用程序相关的数据:取决于实际要求
通用日志格式包含以下内容如图:
1.Log Entry: 日志内容包含各个事件和相关信息
2.Process ID: 进程ID 用于唯一标识日志触发进程
3.Priority: 优先级用于有针对性和有选择的处理日志,如果优先级可从其他内容得出,优先级可省略
4.Freshness:新鲜值用于防止重放攻击并按时间顺序排列日志
为了保证新鲜值的真实性和完整性,必须保证时间源的安全,可以通过HSM来累加的计数器,此外还可通过整车的安全时钟
5.Integrity: 可以通过MAC或者签名来保证日志的完整性。
日志存储
安全的数据存储可防止对日志条目进行未经授权的操作或防止其潜在敏感数据的读出。可以使用对称或不对称的加密算法来确保安全数据存储的完整性和真实性,为此,将计算参考值(即对称 MAC 或数字签名)。
对于存储在 MCU 外部闪存模块上的数据,特别建议考虑使用安全的数据存储,以防止攻击者用专用设备读出或处理数据。基于安全数据存储的安全日志记录
安全的数据存储可防止对日志条目进行未经授权的操作或防止其潜在敏感数据的读出。可以使用对称或不对称的加密算法来确保安全数据存储的完整性和真实性,为此,将计算参考值(即对称 MAC 或数字签名)。
对于存储在 MCU 外部闪存模块上的数据,特别建议考虑使用安全的数据存储,以防止攻击者用专用设备读出或处理数据。
安全日志可以通过使用安全数据存储来实现。可以由 OEM 或供应商管理的后台(取决于创建日志数据的功能)会生成唯一的且特定于设备的秘密密钥,例如,将其注入 ECU 。在生产时间。安全日志记录必须始终使用此密钥来保护日志条目的真实性和完整性,例如:通过使用 MAC 或数字签名,如图示例说明。通过密钥,可以验证日志条目的真实性。
日志导出
为了从日志中获取更多信息,必须使用诊断工具(请参考安全诊断安全方案)将其导出。必须验证诊断工具的真实性和授权。为此,必须解决以下安全目标:
- 必须验证诊断工具的真实性和授权。仅允许导出到授权的诊断工具。
- 在传输过程中,必须确保日志条目的完整性,真实性和可选的机密性。
- 如果有安全的时间戳记,则日志导出的新鲜度应该是可验证的,
- 必须确保在导出过程中 ECU 和日志的可用性。因此,日志只能在成功导出后由授权的诊断工具删除