Vehicular Communications ( IF 6.7 ) Pub Date : 2019-10-22 , DOI: 10.1016/j.vehcom.2019.100201 Ahmad M.K. Nasser , Di Ma
Many attacks on vehicle systems that result in a safety hazard follow a general pattern in which ECU firmware is modified, or code is injected in order to send spoofed CAN messages to safety-critical components causing an unsafe driving situation. There is a general consensus that protecting vehicles requires a defense in depth approach where protections are added at each layer of the vehicle data architecture. At the vehicle CAN bus layer, two powerful countermeasures exist: message authentication/encryption and network intrusion detection systems. The two approaches assume that an attacker has already managed to reach the CAN bus and therefore attempt to limit his impact. To defend against CAN injection attacks, we propose an alternative approach which aims at stopping a CAN injection attack before it reaches the vehicle bus. The proposed approach, working at the ECU level, leverages the embedded hardware security module (HSM), available in modern automotive ECUs, to implement four security monitors (SecMonQ) that run within the HSM firmware. SecMonQ performs continuous monitoring activities of the ECU firmware integrity, communication peripherals, periodic task timing, and flow sequence of certain critical functions. It is designed to detect an active attack and bring the system back to a safe state within the safety defined fault tolerant time. We implement SecMonQ on an automotive development environment which consists of an Elektrobit AUTOSAR stack and a Renesas RH850 F1KM micro-controller. We evaluate SecMonQ against the CAN masquerading attack to demonstrate efficacy while maintaining compatibility with AUTOSAR.
中文翻译:
SecMonQ:一种基于HSM的安全监视方法,用于保护AUTOSAR安全关键系统
导致安全隐患的对车辆系统的许多攻击遵循的通用模式是,修改ECU固件,或注入代码,以便将欺骗性的CAN消息发送到对安全至关重要的组件,从而导致不安全的驾驶情况。人们普遍认为,保护车辆需要深度防御方法,即在车辆数据体系结构的每一层都添加保护。在车辆CAN总线层,存在两个强大的对策:消息身份验证/加密和网络入侵检测系统。两种方法都假定攻击者已经设法到达CAN总线,因此试图限制其影响。为了防御CAN注入攻击,我们提出了一种替代方法,旨在在CAN注入攻击到达车辆总线之前停止它。该提议的方法在ECU级别上起作用,它利用了现代汽车ECU中可用的嵌入式硬件安全模块(HSM)来实现在HSM固件中运行的四个安全监视器(SecMonQ)。SecMonQ对ECU固件完整性,通信外围设备,定期任务定时以及某些关键功能的流程顺序进行连续监视。它旨在检测主动攻击,并在安全定义的容错时间内使系统返回安全状态。我们在由Elektrobit AUTOSAR堆栈和Renesas RH850 F1KM微控制器组成的汽车开发环境中实现SecMonQ。我们评估SecMonQ对CAN伪装的攻击,以证明其功效,同时保持与AUTOSAR的兼容性。利用现代汽车ECU中可用的嵌入式硬件安全模块(HSM)来实现在HSM固件中运行的四个安全监视器(SecMonQ)。SecMonQ对ECU固件完整性,通信外围设备,定期任务定时以及某些关键功能的流程顺序进行连续监视。它旨在检测主动攻击,并在安全定义的容错时间内使系统返回安全状态。我们在由Elektrobit AUTOSAR堆栈和Renesas RH850 F1KM微控制器组成的汽车开发环境中实现SecMonQ。我们评估SecMonQ免受CAN伪装攻击,以证明其功效,同时保持与AUTOSAR的兼容性。利用现代汽车ECU中可用的嵌入式硬件安全模块(HSM)来实现在HSM固件中运行的四个安全监视器(SecMonQ)。SecMonQ对ECU固件完整性,通信外围设备,定期任务定时以及某些关键功能的流程顺序进行连续监视。它旨在检测主动攻击,并在安全定义的容错时间内使系统返回安全状态。我们在由Elektrobit AUTOSAR堆栈和Renesas RH850 F1KM微控制器组成的汽车开发环境中实现SecMonQ。我们评估SecMonQ免受CAN伪装攻击,以证明其功效,同时保持与AUTOSAR的兼容性。来实现在HSM固件中运行的四个安全监视器(SecMonQ)。SecMonQ对ECU固件完整性,通信外围设备,定期任务定时以及某些关键功能的流程顺序进行连续监视。它旨在检测主动攻击,并在安全定义的容错时间内使系统返回安全状态。我们在由Elektrobit AUTOSAR堆栈和Renesas RH850 F1KM微控制器组成的汽车开发环境中实现SecMonQ。我们评估SecMonQ对CAN伪装的攻击,以证明其功效,同时保持与AUTOSAR的兼容性。来实现在HSM固件中运行的四个安全监视器(SecMonQ)。SecMonQ对ECU固件完整性,通信外围设备,定期任务定时以及某些关键功能的流程顺序进行连续监视。它旨在检测主动攻击,并在安全定义的容错时间内使系统返回安全状态。我们在由Elektrobit AUTOSAR堆栈和Renesas RH850 F1KM微控制器组成的汽车开发环境中实现SecMonQ。我们评估SecMonQ对CAN伪装的攻击,以证明其功效,同时保持与AUTOSAR的兼容性。和某些关键功能的流程顺序。它旨在检测主动攻击,并在安全定义的容错时间内使系统返回安全状态。我们在由Elektrobit AUTOSAR堆栈和Renesas RH850 F1KM微控制器组成的汽车开发环境中实现SecMonQ。我们评估SecMonQ免受CAN伪装攻击,以证明其功效,同时保持与AUTOSAR的兼容性。和某些关键功能的流程顺序。它旨在检测主动攻击,并在安全定义的容错时间内使系统返回安全状态。我们在由Elektrobit AUTOSAR堆栈和Renesas RH850 F1KM微控制器组成的汽车开发环境中实现SecMonQ。我们评估SecMonQ对CAN伪装的攻击,以证明其功效,同时保持与AUTOSAR的兼容性。
京公网安备 11010802027423号