Startseite > Automotive > Software + Tools > Security Framework für Imaging-Systeme

Bildgebungssysteme im Fahrzeug

Security Framework für Imaging-Systeme

7. November 2024, 14:58 Uhr | Autor: Philip Hawkes und Rick Wietfeldt, Redaktion: Irina Hübner

Die Verordnung UN R155 schreibt vor, dass auch Bildgebungssysteme im Fahrzeug zuverlässig vor Sicherheitslücken geschützt werden müssen. Das MIPI Camera Security Framework bietet einen durchgängigen Sicherheitsrahmen für solche Systeme.

▶ Diesen Artikel anhören

Mit dem Inkrafttreten der UN-Verordnung UN R155 gelten seit Juli 2024 einheitliche Vorschriften für die Cybersicherheit von Fahrzeugen, um sicherheitskritische Fahrzeugsysteme vor Hacker-Angriffen und dem unbefugten Zugriff auf darin enthaltene personenbezogene Daten zu schützen. Das Hauptziel der Verordnung, die für Straßenfahrzeuge in 64 Ländern rechtsverbindlich ist, besteht darin, sicherzustellen, dass Fahrzeuge angemessene Schutzmaßnahmen gegen eine Vielzahl von Sicherheitsschwachstellen beinhalten.

Cybersicherheit für Automotive-Imaging-Systeme

Kameras und damit verbundene Erkennungs- und Bildverarbeitungssensoren sind von elementarer Bedeutung für hochentwickelte Fahrerassistenz- und autonome Fahrsysteme. Nach UN R155 müssen diese Systeme zuverlässig vor Sicherheitslücken geschützt werden. Die Richtlinie verlangt auch, dass bildgebende Systeme gegen Bedrohungen der Privatsphäre geschützt werden, die sich aus dem unbefugten Zugriff auf Bilder und bildbezogene Metadaten ergeben.

In der Verordnung UN R155 Verordnung werden insbesondere die folgenden Beispiele für Schwachstellen im Zusammenhang mit sensorbasierten Systemen genannt (siehe UN R155, Tabelle A1, Abschnitt 4.3.7):

Manipulation von elektronischer Hardware (zum Beispiel nicht autorisierte elektronische Hardware, die in ein Fahrzeug eingebaut wird, um einen »Man-in-the-Middle«-Angriff zu ermöglichen)
Ersetzen von autorisierter elektronischer Hardware (beispielsweise Sensoren) durch nicht autorisierte elektronische Hardware
Manipulation der von einem Sensor erfassten Informationen

Jobangebote+ passend zum Thema

Regional Key Account (m/w/d) für Elektronische Bauteile

KOA Europe GmbH, Dägeling

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Die Verordnung listet darüber hinaus auch allgemeine Cybersicherheitsrisiken für bordeigene Kommunikationsnetze auf, die Bildsensoren mit den entsprechenden elektronischen Steuergeräten (ECUs) verbinden.

Anforderungen an bildgebende Systeme gemäß UN R155

Zur Behebung der in UN R155 genannten Schwachstellen empfiehlt die Mobile Industry Processor Interface Alliance (MIPI) bei der Implementierung eines Bildgebungssystems für Kraftfahrzeuge folgende Aspekte zu beachten:

»Ende-zu-Ende«-Schutz von Daten: Die Bilddaten müssen von der »Datenquelle« in jedem Bildsensor bis zur »Datensenke« im entsprechenden Steuergerät des Sensors (Bild 1) geschützt werden, wobei die Sicherheit auf dem Application Layer (im Gegensatz zur Sicherheit auf der Multi-Hop-Verbindungsschicht) unabhängig vom zugrunde liegenden Kommunikationsnetz eine Ende-zu-Ende-Sicherheit gestatten sollte.
Authentifizierung der Komponenten: Die Komponenten innerhalb des Bildverarbeitungssystems müssen vertrauenswürdig sein, was die Fähigkeit (des Steuergeräts) zur Authentifizierung der Bildsensoren und der wichtigsten Kommunikationsnetzwerkkomponenten zur Verbindung der Sensoren (zum Beispiel SerDes-Brücken) erfordert.
Quellenselektive Sicherheit: Die Integrität der von einem Sensor erzeugten Daten muss von der ECU überprüft werden.
Datenverschlüsselung: Besteht die Gefahr einer Daten-Exfiltration aus dem bildgebenden System, sollte eine Ende-zu-Ende-Datenverschlüsselung angewendet werden.
Sichere Befehls- und Steuerungsschnittstellen: Die Befehls- und Steuerungsschnittstellen der Sensoren müssen abgesichert werden, um Risiken durch falsch konfigurierte Sensoren zu minimieren.
Ein auf Standards basierender Sicherheitsrahmen: Verifizierte branchenweite Sicherheitsstandards sollten in fahrzeugspezifischen Bildgebungssystemen zum Einsatz kommen.

Herausforderungen bei der Entwicklung von Imaging-Systemen

Die Anforderungen an Bildverarbeitungssysteme in Fahrzeugen stellen vielfältige Bedingungen an das Systemdesign. So werden beispielsweise zur Minimierung der Designkomplexität Kameras über verschiedene Netzwerktopologien wie Daisy-Chain- oder Baumstrukturen verbunden. Für Systementwickler ist es daher besonders vorteilhaft, entsprechende Sicherheitsfunktionen unabhängig von der Netzwerktopologie auf Anwendungsebene und unabhängig von den Netzwerkkomponenten, die zur Bereitstellung des Kommunikationsnetzes verwendet werden, zu implementieren.

Ein weiterer Aspekt ist, dass Bildsensoren riesige Datenmengen erzeugen. Deshalb ist es wichtig, dass die Schutzmaßnahmen mit dem minimal möglichen Datenvolumen auskommen, damit die Bandbreite des Fahrzeugnetzes nicht übermäßig beansprucht wird, sowie dass strenge Vorgaben für den Energieverbrauch und die Wärmeabgabe eingehalten werden. Zur Optimierung des Systemdesigns sind erweiterte Sicherheitstechniken erforderlich, wie beispielsweise die Verwendung eines partiellen Datenintegritätsschutzes, bei dem das Schutzniveau auf der Grundlage der Kritikalität der in jedem Bild gesendeten Daten konfigurierbar ist.

Neues MIPI Camera Security Framework

Aufbauend auf dem MIPI Camera Serial Interface 2 (CSI-2), einem weit verbreiteten Imaging-Protokoll für Bildverarbeitungssysteme in Fahrzeugen, hat MIPI in 2024 eine Reihe von Spezifikationen für die Kamerasicherheit veröffentlicht, die einen durchgängigen Sicherheitsrahmen für Bildverarbeitungsanwendungen bieten.

Das Framework umfasst vier Spezifikationen:

MIPI Camera Service Extensions (MIPI CSE) v2.0 – enthält Sicherheitsfunktionen, die den Schutz der Datenintegrität und die optionale Verschlüsselung von CSI-2-Daten erlauben. Dies ist eine Ergänzung zu den funktionalen Sicherheitsdiensten, die in CSE v1.0 bereitgestellt werden.
MIPI Camera Security v1.0 – definiert das Systemsicherheitsmanagement von MIPI CSE und MIPI CCISE unter Verwendung der SPDM-Architektur (Security Protocol and Data Model) der DMTF (Distributed Management Task Force) zur Authentifizierung und Einrichtung sicherer Übertragungen zwischen bildgebenden Systemkomponenten.
MIPI Camera Security Profiles v1.0 – definiert eine Reihe von gemeinsamen Sicherheitsprofilen, mit denen Interoperabilität ermöglicht wird, einschließlich der Festlegung von SPDM-Authentifizierungsmechanismen.
MIPI Command and Control Interface Service Extensions (MIPI CCISE) v1.0 – definiert Sicherheitsdienste, die den Schutz der Datenintegrität und die optionale Verschlüsselung der MIPI-Command-and-Control(CCI)-Schnittstelle auf der Basis von I2C ermöglichen. Diese Spezifikation befindet sich derzeit in der Entwicklung und soll bis Ende 2024 fertiggestellt werden.

Das Framework bietet eine Auswahl an Sicherheitsprotokollen, Cipher Suites, Integritäts-Tag-Modi und Sicherheitseinstellungen, die ein hohes Maß an Flexibilität bei der Implementierung gestatten, um das erforderliche Sicherheitsniveau mit der Verarbeitungseffizienz, der Implementierungskomplexität, der Wärmeregulierung und dem Strombedarf in Einklang zu bringen. Vor allem aber unterstützt das Security-Framework einen durchgängigen Datenschutz mit CSI-2 Application-Layer Security (im Gegensatz zu Multi-Hop Link-Layer Security), um eine durchgängige Sicherheit unabhängig vom zugrunde liegenden Kommunikationsnetz und der Topologie zu ermöglichen.

Das neue Kamerasicherheits-Framework ist eine Schlüsselkomponente des umfassenden MIPI Automotive SerDes Solutions (MASS) Stacks von Konnektivitätslösungen, wobei die zusätzlichen Sicherheitskomponenten innerhalb des Frameworks die bereits existierenden funktionalen Sicherheitsdienste ergänzen (Bild 2).
Weitere Informationen über das neue Camera Security Framework gibt es auf der MIPI-Website, sowie in einem kürzlich veröffentlichten Whitepaper »A Guide to the MIPI Camera Security Framework for Automotive Applications«.

Die Autoren

Philip Hawkes
ist Co-Vorsitzender der MIPI Security Working Group. Er ist Experte für Mobilfunknetze, Standortdienste, IoT/M2M, WiFi und kabelgebundene Konnektivität. Hawkes ist derzeit Principal Engineer, Technology, bei Qualcomm Technologies und begann seine Karriere als Experte für symmetrische Kryptografie und befasste sich dabei sowohl mit der Entwicklung als auch mit der Analyse von Algorithmen.

Rick Wietfeldt
ist Co-Vorsitzender der MIPI Security Working Group und stellvertretender Vorsitzender des MIPI Alliance Board of Directors. Er ist außerdem Senior Director, Technology, bei Qualcomm Technologies und gründete dort die Abteilung Advanced Connectivity Technology, die für die Standardentwicklungsorganisationen (SDOs) zuständig ist, die sich mit mobilen Schnittstellenstandards befassen. Wietfeldt hat zahlreiche Patente im Bereich der Architektur und des Betriebs mobiler Geräte erhalten.