深入解析AUTOSAR CP入侵检测系统管理（IdsM）规范

在当今日益复杂的汽车网络环境中，车辆的安全性能成为了制造商和消费者共同关注的焦点。为了应对潜在的网络攻击和未经授权的访问，AUTOSAR联盟开发了一系列安全相关的规范，其中之一便是入侵检测系统管理器（IdsM）。本文将对AUTOSAR经典平台R23-11版本的IdsM规范文档进行详细介绍。
一、概念介绍

• 安全传感器（Security Sensor）
  在AUTOSAR架构中，安全传感器（Security Sensor）扮演着至关重要的角色，其基本定义为能够产生安全事件的任何组件。根据AUTOSAR的当前版本，检测安全事件的职责主要落在安全传感器上，而非IdsM或IdsR组件，后者的主要职能是传输安全事件。在AUTOSAR标准中，基础软件模块（BSW）、复杂设备驱动程序（CDD）和业务组件（SWC）均具备充当安全传感器的能力，它们将安全事件（SEv）上报给IdsM进行进一步处理。
  AUTOSAR对BSW模块能够报告的安全事件类型进行了标准化，每个BSW模块的规范文档中都会列出它所生成的安全事件类型。这些事件由相应的模块进行报告。此外，业务组件还有能力报告那些在AUTOSAR中未被标准化的自定义安全事件类型。为了详细指定特定ECU所报告的安全事件类型的属性，可以使用安全性摘要（SecXT）这一工具。通过这种方式，AUTOSAR确保了安全事件的有效识别和处理，从而增强了整个车辆系统的安全性。

• 入侵检测系统管理器（IdsM）
  入侵检测系统管理器在车辆网络安全中扮演着关键角色，其主要职责可以归纳为以下几点：

  1. 安全事件的传输：IdsM的首要任务是接收本ECU内各个传感器产生的安全事件（以下简称为SEv），并将这些事件传递给车内的集中式IdsR组件。IdsR组件进一步将这些安全事件上传至云端，以便进行集中管理和分析。
  2. 事件检测与过滤：IdsM配备了一套可配置的过滤器，用于对收到的安全事件进行检测和筛选。这些过滤器组成了一个“过滤器链”，只有通过过滤器链的SEv才会被认定为合格的安全事件（QSEv），从而确保了事件处理的准确性和有效性。
  3. 本地事件存储：根据配置需求，IdsM还可以将QSEv传输至安全事件存储器（Sem），实现在本地ECU上的存储。这样，即使在无法实时传输至云端的情况下，关键的安全事件也能被保存下来，供后续的离线分析使用。
     通过这些功能，IdsM不仅加强了车辆对潜在威胁的检测能力，还为安全事件的后续处理和分析提供了坚实的基础。

• 安全事件存储器（Sem）
  安全事件存储器（Sem）是一种专用于汽车电子控制单元（ECU）的存储解决方案，旨在保存与安全相关的事件数据。作为诊断事件管理器（Dem）模块的一部分，Sem提供了一块用户可配置的内存区域，专门用于存储由入侵检测系统管理器（IdsM）生成的安全事件（SEv）。Sem的核心功能是在ECU内部持久化安全事件信息，以便进行深入分析和后续处理，从而支持对潜在网络威胁的有效响应和防范。

• 入侵检测系统报告器（IdsR）
  入侵检测系统报告器（IdsR）是一个关键组件，负责从车辆内多个电子控制单元（ECU）中的IdsM实例收集安全事件。IdsR的主要作用是对收集到的安全事件数据进行增强，例如通过添加地理位置信息等上下文数据，从而提供更全面的事件视图。根据原始设备制造商（OEM）的具体需求，IdsR能够将这些富集后的数据传输到车辆安全运营中心（VSOC），在那里安全事件可以利用安全信息和事件管理（SIEM）解决方案进行深入分析。需要注意的是，AUTOSAR并未直接提供IdsR的具体规范，而是留给OEM和系统集成商根据实际需求进行定制和实现。

• 车辆安全运营中心（VSOC）
  车辆安全运营中心（VSOC）是一个专门设计用于监控、分析和响应车辆网络安全事件的集中式平台。随着汽车行业日益依赖于复杂的电子和网络系统，VSOC成为了确保车辆及其乘客安全的关键基础设施。VSOC主要负责事件收集与聚合、实时监控与分析、威胁情报、响应与恢复、合规性与报告等。

二、功能概述

IdsM模块作为AUTOSAR入侵检测系统（IDS）的核心部分，负责接收来自车载安全传感器的安全事件（SEv）。这些事件可能是由软件组件（SW-C）或复杂设备驱动程序（CDD）生成的。IdsM通过一系列可配置的过滤器对这些事件进行处理，最终生成合格的车载安全事件（QSEv）。这些QSEv可以被存储在本地事件存储器（如Dem/Sem模块）中，或者被发送到其他ECU或安全运营中心（SOC）进行进一步分析。
Autosar中，对于IDS系统主要有如下用例：

• UC1: Collect data about security events (SEv)
• UC2: Filter qualified onboard security events (QSEv) from security event data
• UC3: Locally store QSEv records
• UC4: Forward QSEv to ECU with SOC connection
• UC5: Provide access to locally stored QSEv records
• UC6: Re-configure qualification parameters during operation
• UC7: Update IdsM configuration
• UC8: Protect IdsM configuration
• UC9: Protect IdsM data in transit and in rest

三、模块处理

IdsM模块的设计允许它处理各种类型的安全事件，并通过过滤器链对事件进行分类和处理。这些过滤器包括状态过滤器、采样过滤器、聚合过滤器和阈值过滤器等。每个过滤器都有特定的功能，例如，状态过滤器可以基于车辆的当前状态决定是否丢弃事件，而聚合过滤器则可以将多个事件合并为一个事件，以减少网络负载。

四、依赖关系

如上图所示IdsM模块与多个AUTOSAR模块有交互，包括诊断通信管理器（Dcm）、非易失性内存（NvM）模块、PDU路由器（PduR）等。这些交互确保了IdsM能够在整个系统中有效地收集和处理安全事件。

五、配置规范

文档提供了IdsM模块的详细配置规范，包括事件缓冲区、上下文数据缓冲区、事件定义、过滤器链、时间戳和签名等。这些配置参数允许系统开发者根据具体需求定制IdsM的行为，以适应不同的应用场景和安全要求。

六、通信协议
Autosar 定义得事件传输格式如下图所示：

七、Autosar标准事件定义

• Standardized_SecurityEvents_KeyM
  • id-1: KEYM_SEV_INST_ROOT_CERT_OP
  • id-2: KEYM_SEV_UPD_ROOT_CERT_OP
  • id-3: KEYM_SEV_INST_INTERMEDIATE_CERT_OP
  • id-4: KEYM_SEV_UPD_INTERMEDIATE_CERT_OP
  • id-5: KEYM_SEV_CERT_VERIF_FAILED
• Standardized_SecurityEvents_SoAd
  • id-50: SOAD_SEV_DROP_PDU_RX_TCP
  • id-6: SOAD_SEV_DROP_PDU_RX_UDP
  • id-7: SOAD_SEV_DROP_MSG_RX_UDP_LENGTH
  • id-8: SOAD_SEV_DROP_MSG_RX_UDP_SOCKET
  • id-9: SOAD_SEV_REJECTED_TCP_CONNECTION
• Standardized_SecurityEvents_TcpIp
  • id-10: TCPIP_SEV_ARP_IP_ADDR_CONFLICT
  • id-11: TCPIP_SEV_DROP_INV_PORT_TCP
  • id-12: TCPIP_SEV_DROP_INV_PORT_UDP
  • id-13: TCPIP_SEV_DROP_INV_IPV4_ADDR
  • id-14: TCPIP_SEV_DROP_INV_IPV6_ADDR
• Standardized_SecurityEvents_EthIf
  • id-15: ETHIF_SEV_DROP_UNKNOWN_ETHERTYPE
  • id-16: ETHIF_SEV_DROP_VLAN_DOUBLE_TAG
  • id-17: ETHIF_SEV_DROP_INV_VLAN
  • id-18: ETHIF_SEV_DROP_ETH_MAC_COLLISION
• Standardized_SecurityEvents_CanIf
  • id-19: CANIF_SEV_TX_ERROR_DETECTED
  • id-20: CANIF_SEV_RX_ERROR_DETECTED
  • id-21: CANIF_SEV_ERRORSTATE_PASSIVE
  • id-22: CANIF_SEV_ERRORSTATE_BUSOFF
• Standardized_SecurityEvents_Dcm
  • id-23: DIAG_SEV_WRITE_INVALID_DATA
  • id-24: DIAG_SEV_SECURITY_ACCESS_DENIED
  • id-25: DIAG_SEV_COMMUNICATION_CONTROL_SWITCHED_OFF
  • id-26: DIAG_SEV_SERVICE_NOT_SUPPORTED
  • id-27: DIAG_SEV_SUBFUNCTION_NOT_SUPPORTED
  • id-28: DIAG_SEV_INCORRECT_MESSAGE_LENGTH_OR_FORMAT
  • id-29: DIAG_SEV_REQUEST_SEQUENCE_ERROR
  • id-30: DIAG_SEV_REQUEST_OUT_OF_RANGE
  • id-31: DIAG_SEV_REQUESTED_ACTIONS_REQUIRES_AUTHENTICATION
  • id-32: DIAG_SEV_SECURITY_ACCESS_NUMBER_OF_ATTEMPTS_EXCEEDED
  • id-33: DIAG_SEV_SECURITY_ACCESS_INVALID_KEY
  • id-34: DIAG_SEV_SECURITY_ACCESS_REQUIRED_TIME_DELAY_NOT_EXPIRED
  • id-35: DIAG_SEV_NUMBER_OF_FAILED_AUTHENTICATION_ATTEMPTS_EXCEEDED
  • id-36: DIAG_SEV_CERTIFICATE_FAILURE
  • id-37: DIAG_SEV_ECU_UNLOCK_SUCCESSFUL
  • id-38: DIAG_SEV_AUTHENTICATION_SUCCESSFUL
  • id-39: DIAG_SEV_CLEAR_DTC_SUCCESSFUL
  • id-40: DIAG_SEV_ECU_RESET
  • id-41: DIAG_SEV_WRITE_DATA
  • id-42: DIAG_SEV_REQUEST_DOWNLOAD
  • id-43: DIAG_SEV_DTC_SETTING_SWITCHED_OFF
• Standardized_SecurityEvents_SecOc
  • id-44: SECOC_SEV_MAC_VERIFICATION_FAILED
  • id-45: SECOC_SEV_FRESHNESS_NOT_AVAILABLE
• Standardized_SecurityEvents_IDSM
  • id-46: IDSM_INTERNAL_EVENT_NO_EVENT_BUFFER_AVAILABLE
  • id-47: IDSM_INTERNAL_EVENT_NO_CONTEXT_DATA_BUFFER_AVAILABLE
  • id-48: IDSM_INTERNAL_EVENT_TRAFFIC_LIMITATION_EXCEEDED
  • id-49: IDSM_INTERNAL_EVENT_COMMUNICATION_ERROR

八、总结
AUTOSAR IdsM规范文档为车辆网络安全提供了一个坚实的基础。通过标准化的安全事件处理流程和强大的配置能力，IdsM模块能够有效地提高车辆对网络攻击的防御能力。随着汽车行业对网络安全的重视日益增加，IdsM将成为未来车辆安全架构中不可或缺的一部分。