Virtualisierung eingebetteter Echtzeitsysteme im Mehrkernbetrieb zur Partitionierung sicherheitsrelevanter Fahrzeugsoftware

Die Automobilindustrie verzeichnete innerhalb der letzten Jahre einen enormen Zuwachs an neuen elektrischen und elektronischen Fahrzeugfunktionen. Dies führt gleichzeitig zu einer Mehrung der Softwareumfänge in eingebetteten Systemen. Nicht-funktionale Anforderungen wie Sicherheit, Performanz, Verlässlichkeit und Wartbarkeit stellen zusätzliche Herausforderungen an die Entwicklung zukünftiger Fahrzeugsysteme dar. Um die Anzahl der Steuergeräte zu reduzieren, sollen Fahrzeugfunktionen auf gemeinsamen Integrationssteuergeräten konsolidiert werden. Systemvirtualisierung kann hierfür eine zielführende Herangehensweise darstellen, um die Softwaremigration auf Integrationssteuergeräte zu erleichtern und gleichzeitig den geforderten Isolationsansprüchen neuer Sicherheitsstandards gerecht zu werden. In dieser Arbeit wird die Partitionierung sicherheitsrelevanter Fahrzeugfunktionen auf einer gemeinsamen Hardwareplattform fokussiert. Unter Verwendung von Methoden zur Bewertung sozialer Netzwerke wird eine graphenbasierte Herangehensweise vorgestellt, um die Partitionierbarkeit von Softwarenetzen mit sicherheitsrelevanten Anteilen abschätzen zu können. Zur Realisierung der Systempartitionierung wird eine Methodik zur Auswahl der geeignetsten Kernelarchitektur eingeführt. Dabei werden aus gewählten nicht-funktionalen Eigenschaften potentielle technische Lösungskonzepte innerhalb einer Baumstruktur abgeleitet und ingenieurmäßig bewertet. Darauf aufbauend wird ein Hypervisor für eingebettete Echtzeitsysteme der Firma ETAS Ltd. evaluiert. Um die Kosten einer zusätzlichen Hypervisorschicht beurteilen zu können, werden in diesem Rahmen Laufzeitmessungen durchgeführt. Somit werden die Auswirkungen einer zusätzlichen Virtualisierungsschicht auf Fahrzeugsoftwaresysteme zur Erfüllung ausgewählter nicht-funktionaler Eigenschaften aufgezeigt. Die Anbindung virtualisierter Systeme an die Kommunikationsschnittstellen des Hypervisors stellt einen weiteren Schwerpunkt dar. Virtuelle Steuergeräte tauschen sich weiterhin über bereits implementierte Kommunikationskanäle aus und greifen auf gemeinsame Hardwareressourcen zu. Es wird somit ein Konzept eingeführt, um sicherheitsrelevante Anteile des AUTOSAR Microcontroller Abstraction Layers zu entkoppeln. Der Hypervisor selbst wird hierzu an relevanten Stellen erweitert und ein verlässliches Kommunikationskonzept implementiert. Ein Demonstratoraufbau, zur Konsolidierung von produktiver Fahrzeugsoftware auf einer gemeinsamen Hardwareplattform, finalisiert die Arbeit. Hierfür werden unabhängige Softwarestände paravirtualisiert. Als Resümee der Arbeit erhält der Leser sowohl einen technischen Überblick über den Mehrwert als auch der Kosten paravirtualisierter Fahrzeugplattformen, welche auf Kleinststeuergeräten integriert sind.Within the automotive industry, electric and electronic functionality is rapidly rising within the last few years. This fact yields an increase of software functionality of embedded systems within the car. Non-functional requirements like safety, performance, reliability or maintainability represent additional challenges for future vehicle system development. Vehicle functionality is consolidated on common hardware platforms, to reduce the amount of electronic control units. System virtualization can act as a proper approach, to ease the migration of different vehicle applications to a consolidated system and achieve additional demands for functional isolation. Within this thesis, the partitioning of safety-related automotive applications on a common hardware platform is focused. To assess the partitioning of safety-related automotive systems, methods for social network evaluation with a graph-oriented approach are proposed. For realizing the system partitioning, a decision-making model is introduced, which results in the most appropriate kernel architecture. From a chosen set of non-functional requirements, technical solutions are derived and rated from a tree structure. As a result, a hypervisor for embedded real-time systems, supplied by ETAS Ltd., is evaluated. For that purpose, timing measurements are performed to estimate the costs of virtual electronic control units. The impact of an additional virtualization layer for automotive software systems to achieve non-functional requirements is analyzed. A further main focus is the integration of virtualized systems to the communication interfaces of the hypervisor. Virtual ECUs further exchange information over already implemented communication channels and use common hardware ressources. Thus, a concept to decouple the safety-related parts of the AUTOSAR Microcontroller Abstraction Layer is introduced. The hypervisor itself will be enhanced by a reliable communication concept. A demonstrator to consolidate already productive automotive applications on a common hardware platform finalizes the work. Here, independent software parts are paravirtualized. This thesis concludes with a technical overview of the benefits and costs for integrating paravirtualized electronic control units on less capable hardware platforms

Absicherung von Diagnosefunktionen in E/E-Fahrzeugarchitekturen durch verteilte Zugriffskontrolle und Anomalieerkennung

Die Automobilindustrie befindet sich derzeit in einer Transformation, die durch Trends wie beispielsweise der Elektromobilität, dem automatisierten und vernetzten Fahren oder der geteilten Mobilität angetrieben wird. Das Fahrzeug sowie insbesondere die zugehörige Elektrik/Elektronik-Architektur ist ein Teil dieser Transformation. Für die Bereitstellung neuer Fahr- und Komfortfunktionen wird zunehmend mehr Software integriert sowie der Vernetzungsgrad durch die Anbindung der Umwelt (z.B. Hersteller-Backend Systeme) über drahtlose Kommunikationstechnologien gesteigert. Dabei sind in den letzten Jahren zunehmend Angriffe auf die Informationssicherheit von Fahrzeugen bekannt geworden, die auf schwache oder fehlende Absicherungsmaßnahmen zurückzuführen sind. Dadurch gelang es beispielsweise im Jahr 2015 unautorisierten Personen über das Mobilfunknetz aktiv in die Fahrzeugkommunikation einzugreifen und darüber Aktuatoren wie die Lenkung oder Bremse aus der Ferne anzusteuern. Im Rahmen dieser Dissertation werden daher bekannte Angriffe im Zeitraum 2010 - 2019 analysiert sowie bisherige Schwächen bei der Absicherung und Erkennung von Angriffen identifiziert. Im Kern kristallisiert sich auf Basis der untersuchten Angriffe eine bisherige Schwäche im Bereich der Zugriffskontrolle auf Anwendungs- und Netzwerkebene heraus, da kein oder nur ein eingeschränktes Rechtemanagement implementiert war. Darüber hinaus zeigt die Aufarbeitung des aktuellen Stands der Technik und Wissenschaft eine bisherige Forschungslücke auf diesem Gebiet. Auf der Grundlage dieses Wissensstandes wird im Rahmen dieser Arbeit ein Konzept für eine verteilte automotive attributsbasierte Zugriffskontrolle (A-ABAC) vorgestellt. Diese ermöglicht die Kontrolle sowie Durchsetzung von Diagnose-Berechtigungen in Fahrzeugsteuergeräten sowie den Datenaustausch der beteiligten Module in signal-orientierten Fahrzeugarchitekturen. In Anlehnung an bekannte Angriffe wird das entwickelte Konzept durch verschiedene Use-Cases im Rahmen eines Proof-of-Concepts getestet. Ein weiterer Schwerpunkt dieser Arbeit liegt auf der Entwicklung eines Konzepts zur Erkennung von Anomalien innerhalb der Diagnosekommunikation, die durch Insider-Angriffe verursacht werden. Dieser Aspekt wurde bisher im Stand der Technik und Wissenschaft noch nicht adressiert. Präventive Maßnahmen sind in ihrer Wirkung eingeschränkt, einen Angreifer mit Insider-Wissen (z.B. legitimierte Zugangsdaten) abzuwehren. Das entwickelte Intrusion Detection System (IDS) besitzt die Fähigkeit, auf Basis eines bekannten Normalverhaltens durch einen Insider verursachte Abweichungen (Anomalien) zu erkennen, indem eine Methode der Computerlinguistik auf die Diagnosekommunikation adaptiert wird. Die prinzipielle Funktionsfähigkeit des Erkennungsansatzes wird im Rahmen von drei unterschiedlichen Anomalietypen gezeigt. Neben signal-basierten Architekturen werden zunehmend service-orientierte Architekturen (SOA) in Fahrzeuge integriert, um die Updatefähigkeit sowie Anpassungsmöglichkeiten während des Entwicklungsprozesses sowie im Feld durch dynamische Kommunikationsbeziehungen zu steigern. Durch diesen Paradigmenwechsel entstehen jedoch neue Herausforderungen in Bezug auf die Informationssicherheit. Bisherige Absicherungsmaßnahmen sind in das veränderte SOA-Kommunikationsverhalten nur eingeschränkt adaptierbar. Im Ausblick werden zugehörige Unterschiede mit Fokus auf die Maßnahmen der Zugriffskontrolle und Anomalieerkennung diskutiert sowie Potentiale aufgezeigt. Darunter auch die Möglichkeit zur Adaptierung der in dieser Arbeit entwickelten Zugriffskontrolle