列车TCMS信息安全防护设计

admin 2021年11月17日11:06:52评论110 views1字数 2916阅读9分43秒阅读模式


1.引言

列车网络控制系统作为列车控制大脑,实现对列车牵引、制动、转向架、辅助供电、车门、空调等系统的控制、监视和诊断。欧洲Safe4RAIL项目旨在开发下一代列车网络控制系统(TCMS),实现不同安全等级的应用融合,提高 TCMS 通信的灵活性和可靠性,降低开发和维护成本,并实现新的列车功能,特别是制造商的互联互通性和多源的可用性。

在下一代TCMS的概念设计阶段,对TCMS面临的信息安全威胁进行了分析,提出了系统的信息安全要求,其要求涵盖IEC62443标准中系统安全要求和安全等级中描述的安全要求,并定义这些要求的对抗措施。在概念阶段形成了9个对抗措施,由TCMS平台功能分布框架(融合分布式安全关键应用和非关键型应用的同一硬件平台)实现。


2.TCMS平台功能

TCMS功能分布框架提供的服务有:

  • 初始化;

  • 全局时钟同步;

  • 不同SIL等级应用程序的调度执行;

  • 安全的本地数据分发;

  • safety和security的远程数据分发;

  • 透明的I/O读和写;

  • 健康监测;

  • 远程监控;

  • 日志记录;

  • 支持软件部署。


3.TCMS平台安全防护措施

FDF作为一个嵌入式设备,得出的防护措施分为9类:

3.1 对抗措施1:可信的平台模块(TPM)

作为一种防篡改的计算芯片,硬件安全芯片或可信平台模块(TPM)可以安全地存储用于认证的机密信息,如密码、证书和加密密钥。该措施将与加密USB或smartcard令牌结合使用,其中可以存储人员和应用程序的证书,以用于公钥认证、PIN支持、用户定义的密钥限制(即一次性密码,有限的使用次数)和密钥审计计数器(即每次使用密钥都会倒数)。

FDF可以使用TPM技术来实现ECU和应用之间的鉴别和认证,加密,安全密钥存储和完整性验证。

列车TCMS信息安全防护设计


3.2 对抗措施2:密码策略

限制受信任的用户用足够健壮的密码访问FDF/OS,并因此限制和定制采用NIST建议的数字身份准则的可访问功能。用户名和密码用于避免任何用户冒名顶替,登录系统和软件组件之间的通信。密码的稳健性也是需要的,以避免任何黑客攻击的方法。对这种攻击方法的检测,例如在输入固定数量的错误密码时阻止系统,也是提高安全性的一种方法。也可以用证书来代替用户名和密码,以证明它是谁,是人还是应用组件。

通过密码策略,以实现用户鉴别,只有事先确定、验证和正确授权的用户或应用程序才能使用FDF。


3.3 对抗措施3:用户配置文件和应用程序配置文件策略

对FDF提供的不同服务和数据(包括文件系统)的访问应根据用户和应用程序的情况进行限制。因此,应考虑到确定他们被允许执行哪些行动的规则,以及他们访问硬件(如内存、网络)或软件(执行程序或命令)等资源的限制,以界定和分配适当的权限给不同的用户或应用程序。

系统必须实现安全策略,指定谁或什么可以访问文件系统,以及允许的访问类型:例如,R-读、W-写、X-执行和监督者/用户模式。此外,还可以启用策略:运行时、部署等。应采用最少特权原则。


3.4 对抗措施4:基于角色的访问控制(RBAC)

基于角色的访问控制应被用来限制对FDF的访问,只允许基于角色和权限的授权用户。用户角色可以根据具体的操作来分配,如FDF管理员、操作员、应用程序部署者、维护人员等。每个角色将有不同的权限/特权,例如,FDF管理员将有编辑系统文件、访问网络、编辑用户配置文件和应用程序配置文件以及编辑配置文件的权利;而操作员只能访问诊断数据。

列车TCMS信息安全防护设计

应考虑的角色有:具有完全权限的管理员,以及具有较少权限的其他角色,如:应用开发人员、操作员和维护人员。角色必须被分配给用户,以便在用户成功认证后,他们被授权拥有与所分配角色相关的权限。

管理员用户角色应能创建其他用户账户并管理其权限,始终应用最小权限原则。

应用程序也应配置不同的权限,例如,根据应用程序的角色来限制网络、硬件、操作系统。

用户和应用程序必须在允许RBAC安全范式的角色中进行分类,并且应采用最小权限。


3.5 对抗措施5:加密技术

除使用Security通道传输数据外,传输的敏感数据本身也应在发送前进行加密以实现双重安全等级。一个FDF和另一个系统或FDF之间的传输通道。如果安全通道被破坏,由于数据被加密,数据也不可能被侦听。

在FDF的情况下,需要考虑是否由于性能原因,所有存储的数据和信息都应被加密,或者是否只有容易被破坏的机密或敏感数据应被加密。

列车TCMS信息安全防护设计


3.6 对抗措施6:会话绑定

一旦进行了认证,能够持续使用应用程序/服务而无需再认证。为了实现这种方式,可以根据认证事件启动会话,并继续会话,直到它被终止。会话管理比持续出示凭证更可行。有几种机制可以长期管理一个会话;在这种情况下,会话绑定似乎是可取的。应用程序和被访问的服务之间共享一个会话secret。这个secret绑定了会话的两端,允许应用程序在一段时间内继续使用该服务。这个秘密可以通过TPM给出。


3.7 对抗措施7:网络带宽限制

通常在网络中进行数据传输时使用的第一个屏障是防火墙。防火墙可以帮助过滤来自已知和未知来源的连接,减少进入系统的流量。然而,由于硬件和/或软件的限制,特别是在嵌入式设备中,不可能像在台式电脑中那样安装和使用防火墙。

嵌入式设备采用的措施是在应用程序或FDF层面上强制限制带宽,同时在网络组件上相应限制带宽。对内部网络端口的使用应进行定制和限制(关闭),以及防火墙确实为传入数据创建特定规则。白名单也可以被定义为接受来自不同应用程序的通信,但其他一切都被拒绝。如果通信没有出现在白名单上,则通信被拒绝。最好是拒绝所有通信,只允许必要的通信。这种安全模式被称为 "拒绝所有许可例外"。一般来说,这是比使用黑名单更安全的方式,黑名单允许所有的东西,只阻止有人决定是坏的流量。所有允许的流量都应被记录下来以便审计。

以太网TSN实现了对流量的监测和控制,以保障和保护关键流量,同时也实现了物理网络的分割。


3.8 对抗措施8:资产识别管理

连接到FDF的所有系统的资产清单,包括输入、输出、网络、网络设备、网络地址、机器名称、每个系统的用途、负责每个系统的资产所有者。应当对所有这些设备进行认证,例如,在网络层面上,以确定授权与未经授权的系统。

此外,限制对内存和内存映射的硬件的访问,应通过对寄存器或映射到系统内存的内存块的读写来控制硬件外围设备。从物理上禁用或移除连接端口和I/O设备有助于防止信息泄露或将恶意代码引入系统。


3.9 对抗措施9:基于软件的内存保护单元(MPU)

FDF应防止非信任的应用程序对应用程序的内存进行读/写访问。此外,FDF可以防止非信任的应用程序执行代码。一个解决方案可以是基于内存保护单元的内存分区,通过安全操作系统来实现。

列车TCMS信息安全防护设计


以上9类信息安全防护措施,实现了FDF应用程序的授权使用,对底层硬件的限制访问,应用程序的隔离,数据认证和加密,可信的数据交互五个方面的安全防护目标。根据以上措施,在TCMS系统设计中增加用户账户管理,加密管理和安全监控管理软件组件。


参考资料:
Report on TCMS framework concept design security concepts and assessment.

本文始发于微信公众号(薄说安全):列车TCMS信息安全防护设计

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月17日11:06:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   列车TCMS信息安全防护设计http://cn-sec.com/archives/430196.html

发表评论

匿名网友 填写信息