Security Managerを使用したセキュリティ保護されたECUおよびネットワークに対するテスト

Security Managerの原則 - 自動車メーカー固有のバックエンドにアクセスする場合としない場合
Security Managerの原則 - 自動車メーカー固有のバックエンドにアクセスする場合としない場合

セキュリティメカニズムは、車両とそのECUを不正アクセスから守ります。すなわち車両コミュニケーションには、本来は開発中でもアクセスすることはできません。Security Managerは、そのような場合でもECUのテストを可能にする、貴重なサービスを提供します。

Security Managerはベクター製ツールと自動車メーカー固有のセキュリティ実装の間を結ぶリンクです。Security Managerにより、セキュリティ機能をツール内で一貫して使用できるようになります。どの自動車メーカーの制御装置を開発する場合でも、一度使い方をマスターすれば、多様なセキュリティコンセプトを同じユーザーインターフェイスで操作できるため、作業時間を節約できます。

自動車メーカーのセキュリティ実装への接続はアドオンを介して行われます。これはSecurity Managerで管理されるプラグインです。テストやシミュレーションではSecurity Managerはセキュリティ関連の演算を実行し、その結果をツールに提供します。

特長

  • 再利用による時間の節約:セキュリティプロファイルを一度作成すれば、ベクター製ツールで共通して使用可能
  • 設定、アルゴリズム、バックエンド接続などのOEM固有のコンセプトを専用のセキュリティアドオンでサポート
  • すべてのベクターツールは、アドオンへニュートラルな同一インターフェイスを介してセキュリティ機能を使用、それによりセキュリティの実装と詳細情報を一元的に管理

講演

セキュアな診断のためのVector Security Manager

Vector Security ManagerとCANoeを使用してPKI証明書の交換とツール認証を含むUDSサービス29。

右側で録画をご覧いただけます。こちらからスライドをダウンロードできます (PDF)。

ツールの観点からのセキュリティ

Vector Congress 2018: セキュリティをサポートするためのツールの課題。結論から言うと、ツールによるアクセスはセキュリティコンセプト全体の一部である必要があるということです。

右側で講演の録画をご覧いただけます。こちらからスライドをダウンロードできます (PDF)。

効率的なECUのテストとセキュリティの両立

Vector Automotive Cybersecurity Symposium 2017での、テストツールが幅広いセキュリティ実装を管理する必要があることの理由についての講演。これに基づいて、Vector Security Managerのコンセプトが導入されました。

提供しているサービスの概要

ECUをテストする際、Security Managerは次の各サービスを提供することにより日々の作業を簡素化します。

 

Secure Onboard Communication (SecOC)

Security Managerは、SecOCで保護された通信のシミュレーションとテストを目的として、Message Authentication Code (MAC) の生成(左側)と検証(右側)を行います
Security Managerは、SecOCで保護された通信のシミュレーションとテストを目的として、Message Authentication Code (MAC) の生成(左側)と検証(右側)を行います

SecOCはMessage Authentication Code (MAC) に基づいてECU間の通信の保護と認証を行います。シミュレーションツールやテストツールは、有効なMACがなければECUと通信できません。Security Managerは、OEM Securityアドオン*を利用してベクター製ツール用のMACを生成したり、その妥当性を確認したりします。秘密鍵やフレッシュネス値などの入力値はSecurity Managerに保存されます。

 

* ベクターは一部の自動車メーカー向けのOEM Securityアドオンを無料で提供しています。これらには自動車メーカー固有のセキュリティアルゴリズムと手続きが含まれています。OEM Securityアドオンを使用することで自動車メーカー固有の挙動を外部から調達できるため、ツールでの一般的なセキュリティ機能の適用を簡素化できます。

認証によるセキュアな診断

Security Managerは、セキュアな診断のための認証を可能にします
Security Managerは、セキュアな診断のための認証を可能にします

診断サービスの実施は信頼できるテスターにのみ許されます。診断サービスやフラッシュやバリアントコーディングなどの重要な操作は、認証が成功した場合に可能になります。Security ManagerはそれぞれのOEM Securityアドオンと連携し、必要なプロセスを実行します。

 

Transport Layer Security (TLS/DTLS)

オリジナルのコマンドによるTLS通信のシーケンス
オリジナルのコマンドによるTLS通信のシーケンス

クライアント/サーバー通信のセキュリティーをTCP/UDPレベルで確保するには、TLS (Transport Layer Security) プロトコルを使用します。Security Managerには、Ethernet通信のためのTLSプロトコルスタックが用意されています。これによってパラメーター化などのプロトコルをツールで使用し、TLSで保護されている通信を簡単にテストできるようになります。

求められる証明書の階層構造のほか、使用する暗号スイートも設定できます。これらには安全なデータ接続の確立に使用されるアルゴリズムとパラメーターが含まれています。

Internet Protocol Security (IPsec)

CANoeにより、IPsecで保護された方法で通信するECUとネットワークのテストが可能

IPsecの目標はIPプロトコルに基づく通信を安全にすることです。この方法で、機密性、信頼性、整合性などを目的とする典型的な保護を実装します。IPレイヤーを保護することで、すべての上位レイヤーの保護が実現できます。IPsecプロトコルを使用すると、SOME/IP、DoIP、TLS、HTTPなどの上位レイヤープロトコルの透過的な保護が実現できます。

 

Security Managerは、IPsecの最も重要な要素を含めたIPsecスタックを提供します。

  • トランスポートモードで「認証ヘッダー」セキュリティメソッドを使用することによるEthernet通信の包括的な保護
  • IKEv2 (Internet Key Exchange v2) プロトコルの実装により、証明書ベースのセッションでキーマテリアルを柔軟かつセキュアに生成

プロトコルスタックを提供するのに加えて、Security ManagerではIPsecプロトコルの包括的な設定も可能です。この目的のためにセキュリティプロファイルが使われ、すべての必要な設定パラメーターが結合されます。これらには暗号スイート、証明書、およびセキュリティポリシーが含まれます。さらに、StrongSwan設定の内容を簡単に適用してIPsec経由でVPNをセットアップできます。

セキュリティパラメーターの管理と設定

Security Managerは、セキュリティーサービスのパラメーターをプロファイルで簡単に管理できる機能を備えています。プロファイルは実行時にSecurity Managerで使用され、以下のようなアルゴリズムを設定できます。

  • 対称鍵の管理
    安全なオンボード通信には対称鍵が必要です。これらの鍵を直接、コンテナーや自動車メーカー固有の形式でインポートできます
  • 証明書管理
    証明書の階層構造はPKI (Public Key Infrastructure) プロファイルを使用して管理されます。ファイルおよびフォルダーベースでのインポートにより、TLSや診断のコンテキストでの証明書の使用が可能になります
  • セキュリティーバックエンドとの通信セキュリティー上の理由から、自動車メーカーの多くは証明書の受渡しは行わず、それらをバックエンドで管理しています。開発ツールはたとえば署名など、証明書に基づく機能を実行時にそこで要求します。Security Managerはベクター製ツールに替わり、バックエンドとの通信を引き受けます。これによって、ユーザーの複雑なプロセスを大幅に簡素化できます

Security Managerを使用する製品

下記のベクター製品はそれぞれSecurity Managerの次の機能を使用します。

 

ベクター製品 サポートされているユースケース
CANoe – ECUおよびネットワークのテスト
> 通信:SecOC
> 診断:ツール認証
> 診断:バリアントコーディング
> TLS:クライアントとサーバーのシミュレーション
> TLS:Master Secretを使用したTLSオブザーバー
> TLS:DoIP over TLS
> IPsec:IKEv2はピア認証に基づく証明書、動作していないピアの検出、IKEフラグメンテーション、IKE Rekeyをサポート
> IPsec:StrongSwan IPsec設定のインポート
> IPsec:セキュリティポリシーデータベースを完全コントロール
CANalyzer – ECUおよびネットワークの解析
> 通信:SecOC − 解析のみ
> 診断:ツール認証
> 診断:バリアントコーディング
> TLS:クライアントとサーバーのシミュレーション
> TLS:Master Secretを使用したTLSオブザーバー
> TLS:DoIP over TLS
> IPsec:IKEv2はピア認証に基づく証明書、動作していないピアの検出、IKEフラグメンテーション、IKE Rekeyをサポート
> IPsec:StrongSwan IPsec設定のインポート
> IPsec:セキュリティポリシーデータベースを完全コントロール
CANape – ECUのキャリブレーション
> 診断:ツール認証
> 診断:バリアントコーディング
Indigo – 診断のテスト > 診断:ツール認証
CANoe.DiVa – 診断通信機能の自動評価
主なユースケース:
> 診断:ツール認証
> TLS:DoIP over TLS
 
CANoe.DiVaはCANoeに基づいているため、他のすべての上記のユースケースも使用できます。
vFlash – ECUのプログラミング > 診断:ツール認証