崩溃保护虚拟测试的完整性
欧洲证券与市场管理局Galijatovic
玛丽亚Eichlseder
西蒙•弗朗茨Heindl2和
科瑞娜克鲁格- 1应用信息处理和通信研究所格拉茨大学技术,奥地利格拉茨
- 2车辆安全研究所,格拉茨大学技术,奥地利格拉茨
兴趣虚拟测试是在全球范围内迅速增加,因为几个优点相比,物理测试实验室。在汽车被动安全领域,有限元模拟可以用来获取进一步的见解,使用更多的biofidelic人类模型,使整体评估更加健壮在虚拟测试负载情况下将更多种类。对于一个成功实现的虚拟测试法规、消费者信息,程序的完整性保证。随着汽车仿真模型中使用的虚拟测试与评价机构通常不共享由于知识产权(IP)问题,这是一个具有挑战性的任务。严格的验证和认证过程是必需的,它必须确保这些步骤中使用的模型是一样的用于虚拟测试。在本文中,我们开发了一个安全的程序模型版本控制。通过分析双方可能的威胁,汽车制造商和评估机构,我们定义需求,新程序应该满足。这些要求,所有共享文档的完整性和真实性应该保护,以及保密的仿真模型。通过考虑所有先决条件,我们开发了一个架构的新过程。此体系结构使用哈希函数和数字签名等密码算法确保完整性和真实性,以及安全计算机制如英特尔软件保护扩展(新加坡)。 In our proof-of-concept implementation, we demonstrated how a secure wrapper around LS-DYNA can produce a signed report to authenticate the input model files based on a hash tree and link them to the simulation results. The evaluation institution can use a matching verification tool to verify that the models were not manipulated compared to other simulation runs or the qualification process. The developed procedure can be used for trustworthy implementation of virtual testing into consumer information or regulation for the assessment of car safety with strengthened integrity. Further research is needed to develop comparable procedures for other simulation software packages or ideally integrate it directly into the simulation software.
1介绍
兴趣虚拟测试车辆安全评估是在全球范围内迅速增加,因为几个优点相比,物理测试实验室。加载条件可以多样的人体测量学以及人类,使一个更健壮的评估。此外,综合评估链接和《撞车》阶段和biofidelic的人体模型(hbm)没有启用硬件限制。因此,而不是崩溃的汽车在一个物理测试,使用一个虚拟汽车模型的复制和测试几乎在一个模拟的崩溃。(惠钦格et al ., 2002;范Ratingen 2020)。
对于成功实现虚拟测试,程序的完整性保证。参与各方和终端消费者购买和驾驶汽车必须信任评估过程和潜在的操作必须阻止。作为知识产权保护的信息包含在虚拟汽车模型,这是一个具有挑战性的任务。严格的程序需要确保质量模型的相似性等之间的虚拟测试(重复性和再现性)。这样一个过程所示的原则图1。
图1。可能实现的虚拟测试程序,评估机构获得仿真结果。
应用仿真模型依赖于应用案例和整体设置往往是车辆和乘员的组合模型。模型必须符合使用虚拟测试满足要求的验证和/或相似性水平。因此,一般要求(质量、几何、输出规范. .)检查和模型响应的目标反应比较实验模拟和/或参考。评估机构检查共享结果和文档来验证仿真模型。最终,合格的仿真模型是用于运行虚拟测试的工况。评估机构检查仿真结果的合理性(质量检查、一致性与资格. .),认为虚拟测试工况的结果整体车辆的评估。复制不同的工况,仿真模型的部分需要改变“动态部分”。模型的其他部分保持不变之间的资格和虚拟测试和还在虚拟测试程序(名为“静态”这个数字)。它必须确保资格步骤中使用的模型是一样的用于虚拟测试和不能操纵。(艾格斯et al ., 2013;克卢格et al ., 2019;范Ratingen 2020)。
目前,虚拟测试程序在汽车安全领域仍然非常罕见。在欧洲新车评估项目(欧洲五星)(2022年欧洲五星)行人评估与部署系统的汽车(即。,pop-up bonnets), the first certification procedure for virtual human models to be used in the assessment procedure was defined. In this application case, the virtual tests—simulations where car models are crashing pedestrian models in different statures—are used to derive the boundary conditions for the physical tests. To qualify the virtual human models, they are used in reference simulations with generic car models and their response is compared to reference curves. Those simulations are very well-defined and as every user has access to the same generic car models, they are comparable among different users. This is done to qualify the simulation models and environments (cluster, used solver version) for use in virtual testing. Results and documentation of these reference simulations are shared with Euro NCAP and there inspected for plausibility. If Euro NCAP judges the all requirements are fulfilled and the reference simulations are within the corridors, the virtual human models qualify for the next step. There, the human models are impacted with the simulation models of the series-production cars to be evaluated. Both types of simulations are done by the car manufacturers, basically exchanging in the simulation setup only the generic vehicle models of the reference simulations with the models of the series-production cars for the assessment simulations. The consistency between the simulation setups and the virtual human models has to be documented and is checked based on the provided outputs. However, the integrity check purely relies on this documentation and the provided data and changes of the models are not trackable by third parties. In this case, this is accepted, as the simulations are only used as prerequisite for phyisical tests. For all simulations, quality criteria have to be fulfilled and plausibility of simulation results is inspected by Euro NCAP. (克卢格et al ., 2019)。
虚拟测试正在开发的进一步应用,仿真结果应该用于评估本身不仅作为先决条件(林德et al ., 2020;范Ratingen 2020)。因此,仿真结果的完整性和使用仿真模型发挥稳步增加作用,可能需要进一步的改善。
在信息安全研究和密码学、数据完整性是一个中心,研究安全属性。提供加密标准算法的解决方案来保护文件的完整性,包括哈希函数(NIST FIPS 180 - 2015)、消息认证码(mac) (NIST FIPS酒吧198 - 1、2008)和数字签名(NIST酒吧FIPS 186 - 4、2013)。这些算法采取作为输入一个文件和一个合适的数字键(mac的对称密钥或非对称密钥对的私钥签名)并产生一个固定大小的认证标签,指纹、签名认证文件的完整性。这以后可以检查与相应的验证关键(相同的对称密钥mac或非对称密钥对的公钥签名)来验证文件没有被修改。然而,应用这些通用的算法来保护特定资产在实践中往往是具有挑战性的。主要的困难包括适当的密钥管理,确保实现,并根据所需的合适的适应的概念完整性(例如,如果资产可能包括部分更改,如果资产分布在多个位置或改变随着时间的推移,考虑到元数据,以及许多其他方面)。
我们的研究的目的是探索可能的解决方案来改善过程的完整性和探索虚拟测试中使用的文件的方法从信息安全研究和密码学。雄心壮志是定义一个增强的过程和调查概念验证的实现。
2材料和方法
探讨如何进一步提高虚拟的完整性测试,应用以下方法:首先,我们进行了威胁分析,结构潜在的问题,其次,我们开发和评估概念来解决这些问题,第三,我们实现了一个概念验证与所选有限元(FE)软件包,即LS-DYNA (ANSYS - LST, 2021)。
2.1威胁分析
威胁分析是基于当前执行过程评估的活跃的帽子,已经心中未来的应用,事故安全评价本身是基于虚拟负载情况下直接。威胁的组织执行的评估以及汽车制造商被认为是基于与不同的利益相关者的讨论。
2.2构建模块的虚拟测试过程和开发解决方案
2.2.1虚拟测试的模拟
虚拟测试领域的车辆安全,多体或有限元模拟。因此不同的软件包用于汽车行业。主体结构的过程非常相似在不同有限元(FE)软件包。目前的概念实现了结合有限元软件包LS-DYNA模范。LS-DYNA的输入文件是纯文本文件,包含ascii字符。所有输入文件都必须遵循一定的格式和结构。这包括一组有限的特定的关键词,紧随其后的是各自的价值。,模型元素和方程式LS-DYNA定义。输入文件也可以加密,这意味着关键词和相关输入参数只对LS-DYNA可为相应的解密密钥。启动仿真时,只有一个主要输入文件插入LS-DYNA,但许多其他文件可以包括通过引用来实现隔离不同的组件。 These additional files are added using *INCLUDE and *INCLUDE PATH keywords. Outputs are binary files generated by LS-DYNA, which contain the simulation results (ANSYS LST, 2021)。
一个模范仿真设置一个简单的“立方体”示例所示图2。在这个例子中,这些文件在下面的框中保持不变(静态仿真模型的部分)在整个过程中,而主要。键和Loadcase.inc。文件被修改改变加载条件(动态仿真模型的部分)。这个模型也被用作演示的可行性研究。
图2。简单的“立方体”的例子来说明输入文件结构。
作为虚拟测试通常是大型模型,仿真模拟是进行高性能计算(HPC)集群。这些集群是高度保护和连接外部世界非常受限制。
2.2.2加密签名方案和哈希函数
加密或数字签名是一个过程,确保消息的完整性和真实性(Diffie赫尔曼,1976;里维斯特et al ., 1978)。这个过程时使用,关键是要知道谁发送特定消息,确保在运输过程中不改变。此外,一个人一旦迹象显示一条消息,该消息带有一个数字签名,他们再也不能否定他们的签名。这个性质叫做不可抵赖性。这些程序使用非对称公钥加密密钥对的公钥和私钥,而由发送方用于签名的私钥,公钥是用于验证接收机(Diffie赫尔曼,1976)。只有一个人拥有私钥可以生成一个签名,因此数字签名不能伪造。在这项研究中我们使用两个加密签名方案:RSA (Rivest-Shamir-Adleman)和ECDSA(椭圆曲线数字签名算法),这两个标准由美国国家标准与技术研究所(NIST, 2013)。RSA算法的安全性是基于整数分解的硬度问题(里维斯特et al ., 1978),而ECDSA的模拟使用椭圆曲线数字签名算法(DSA)算法(米勒,1985;Koblitz 1987)。这些计划对“经典的敌人”被认为是安全的,但安全,以防遭受剧烈的损失潜在的未来的“量子的敌人”,获得一个大型量子计算机。出于这个原因,NIST目前正在寻找“post-quantum”安全的替换(NIST, 2020)。一旦这种post-quantum签名算法已经标准化,它可以作为当前算法提供了一个安全的替代成本的增加这些算法(大签名,大钥匙,慢计算)兼容的应用程序。这些都不是混淆与量子签名算法(戈特斯曼,壮族,2001年;陆et al ., 2021),这要求系统本身使用一个量子比特的公钥,从而一个专用的量子通信基础设施。出于这个原因,他们不能作为替代品在本文中讨论。
此外,所有这些加密签名方案依赖于加密哈希函数将任意长度的输入文件映射到一个散列值,或标签,固定长度的作为安全指纹(Damgard 1989;Merkle 1989)。安全加密哈希函数提供原象阻力(即。,it is infeasible for an attacker to find files that map to a given hash tag) and collision resistance (i.e., it is infeasible for an attacker to prepare two different files that map to the same hash tag). Hash functions and digital signatures are widely used as building blocks in cryptographic protocols (e.g., Transport Layer Security (TLS) for https or blockchains), file integrity (e.g., peer-to-peer (P2P) downloads), version control (e.g., git), and many other applications.
2.2.3安全区域
安全区域(或可信执行环境)电脑安全子系统,目的是确保保密计算。代码执行一个安全的飞地操纵不受检查或其他不受信任的软件,包括高特权级别,如操作系统。这保护了数据的机密性和完整性处理这个受信任的代码。因此,最敏感的计算程序可以运行在一个安全的飞地;例如,安全飞地可以安全地存储加密密钥和信任密码只允许他们使用的实现和这台机器上。无保护的开关,不受信任的代码来保护,受信任的代码在一个安全的飞地(即由一个特殊的实现接口。英特尔称门)。其中一个最突出的例子是英特尔新加坡交易所(英特尔2021),可用于密钥管理、增强的应用程序和数据保护,hardware-enhanced内容保护等等。他们是完全孤立于其他进程,包括操作系统。英特尔新交所使用的安全机制在发达为私钥管理过程。这种机制要求适当的硬件支持的安全飞地组件内的处理器。
3的结果
3.1威胁分析
评估机构的主要威胁是不匹配的模型中使用的不同步骤过程或模拟输入文件和输出之间的不匹配。这些不匹配可以发生在目的(如优化模型分别为每个工况)或作为误差和可能导致的后果:
•汽车制造商所使用的模型是虚拟测试不符合虚拟测试模型版本中使用过程不一致。
•仿真结果共享没有使用合格的模型派生的。
泄漏机密信息是另一个可能的威胁。对汽车制造商来说,这是非常重要的对仿真模型保密。仿真模型文件包含受保护的知识产权,这就是为什么他们必须防止访问来自不受信任的第三方。模拟输出二进制文件还可能包括机密信息,因为它可能包括仿真模型的信息。此外,共享结果还必须防止变化(有意或事故)。
基于威胁分析,我们定义以下需求:
1)需要一个仿真模型的惟一标识符来检查一致性和完整性保护。
2)一些文件被修改,其他的必须一致的所有步骤。
3)的一些汽车制造商或供应商的文件包含机密信息(例如,材料模型),而加速度曲线等加载case-relevant信息不被认为是机密的。机密信息必须受到保护。
4)它必须是可跟踪的仿真模型的仿真结果计算。
5)共享仿真结果的真实性必须保证。导出的结果的任何修改必须检测到任何一方。
3.2体系结构的方法
根据这些需求,我们开发了一个程序,实现了一个概念验证。
3.2.1包装
一个包装器脚本开发阅读的仿真文件,运行仿真,提取的结果,并计算每个输入和输出文件的惟一标识符。第一步所有仿真模型文件读入,检查和散列标识符生成独特的模型。然后仿真开始使用提供集群范围内的shell脚本,也指定了仿真模型运行。为了避免操纵的shell脚本,启动仿真文件哈希之间的时间输入文件和运行仿真,包装器内部存储shell脚本的内容和出口它到一个新的脚本文件最后执行散列后完成。当仿真终止,感兴趣的输出从生成的binout文件提取到。csv文件,然后散列。最后,所有标识符(即在一份报告中列出。,a Portable Document Format (PDF) file) that needs to be signed. The process is shown in图3。
图3。结构的包装使用的汽车制造商开发的运行模拟,提取结果并签署仿真报告,包括输入和结果的惟一标识符。
3.2.2在仿真文件
自交联的仿真模型通常由多个文件包含关键字,我们需要一个专门的策略计算散列。任何改变文件内容,文件名称,或者文件结构将产生不同的散列。一个简单的方法是将所有文件的内容和计算模型从这个字符串哈希。然而,这种设计冲突的要求允许选择类的一些文件的变化是不可能区分允许和禁止修改。因此,我们提出一个不同的方法和代表仿真模型文件树状结构,其中一个主文件形成一个根节点和其他文件包括形成它的子节点。这些子节点可以包含其他文件。知道了这一点,我们可以创建一个树结构,抓住了所有相关的信息模型,并使用它来计算散列。每个节点应该包含文件路径的信息,文件内容(内容)的散列,和文件包括(子节点)。信息保存在一个节点的一个例子是:
这棵树结构是可转换为一个字符串,可以用于计算sha - 256的哈希,这是包含在最终的仿真报告作为最终模型散列。通过这种方法,这是清晰可见,文件过程中改变。这些文件不应包括任何知识产权受保护的信息,因此可以与评估机构,而知识产权受保护的信息显然是可追踪的惟一标识符没有由第三方访问受保护的文件。该算法处理一个文件时,它首先读取它的内容到一个变量中。接下来,它查找*包括路径或*包括路径相对语句,如果它们存在,它将这些路径添加到文件夹的列表。创建的文件夹列表包含所有文件夹查找子节点的算法。之后,该算法搜索所有*包括语句和过程的子节点。当所有子节点被添加到列表字段(如果有的话),儿童的sha - 256的哈希算法计算内容和设置相应的字段结构。这个函数然后返回并继续递归,直到所有文件被访问。
另一个重要的观点是,如果引进循环算法返回一个错误。假设,例如,文件x键包括文件y键,其中包括文件z键。如果文件z键包括文件x键,介绍了一个循环,这是不允许的情况。因此,文件必须是一个树的图(cycle-free)。这种情况使得通过转发通过递归访问文件的列表。这个列表包含了所有访问文件的哈希表。然后,当读取文件内容,一个散列计算,首先检查是否存在当前文件的哈希列表访问文件。如果不是,该算法仍在继续,如果这个文件已经访问,该算法提出了一个例外。此外,为了避免用户覆盖参数的静态文件与动态关键字文件,输入也检查重复的参数。如果可用,输入检查器也可以在未来寻找禁止动态文件中的关键字。
创建这个对象后,它是翻译成一个字符串,最后sha - 256计算散列。如果任何文件是稍微改变,这个散列将是不同的。这里的树结构类似树状结构显示图2。唯一的区别在于,节点包含额外的信息,如前所述。
3.3运行仿真
建立所有必要的参数和变量的模拟可以使用shell脚本完成。这允许仿真运行指定的人提供集群范围内的设置(例如使用哪个LS-Dyna可执行文件、许可证服务器、cpu数量和主仿真文件应该运行)。在处理输入脚本后,可以开始仿真。然而,有一个时间差距阅读脚本和处理输入和仿真。这个时间差距可能会导致使用时间的检查时间(TOCTTOU)问题。有这样一个问题可以允许恶意用户使用一个输入脚本预处理,然后改变输入脚本的内容在预处理仍在和启动模拟一个完全不同的输入脚本。为了防止这一点,我们写的内容输入脚本和一个随机的名字和一个新文件启动模拟使用这种新生成的文件。
3.3.1模拟输出
通常,LS-DYNA输出包含几个二进制文件,其中一些包含机密信息所需的模型和数据评估。python图书馆“Dynasaur”(克卢格et al ., 2018;Schachner et al ., 2022)被用来提取感兴趣的输出的二进制输出文件和出口它分成两CSV文件(包括时间序列和一个标量,如损伤标准)。这些文件可以共享评估机构,因为他们包含所请求的结果用于合理性检查和评估(如轨迹、加速度信号,接触力,计算损伤和质量标准),但没有知识产权受保护的信息。
跟踪模型被用来产生这些结果,并确保结果没有改变之后,另一个sha - 256哈希计算和仿真中报告。
3.3.2仿真报告
仿真报告包括独特的标识符(散列)的仿真模型和仿真结果。当所有的信息模型和结果被收集,可以生成模拟报告。
该报告包括一个哈希表见表图4“立方体”的例子图2。最后的汽车模型提出了散列在第一行,而相对文件路径和散列的内容都包含在以下的行。最后三行包含CSV文件哈希表(两个散列计算文档包含提取结果)和创建报告时的时间和日期。文档变量调用构建方法,生成PDF文档,准备签字。报告保存在“结果”文件夹以及生成CSV文件共享评估机构。
图4。典型结构的仿真报告基于“立方体”的例子图2。
3.4签名的方法
当模型和结果哈希计算,包括仿真报告,有必要防止任何人改变,即。,操纵报告。这可以确保由评估机构与数字签名签署仿真报告。然后,只有私人签名密钥的所有者可以创建有效的报告。然而,这份报告是由汽车制造商,这个私钥管理挑战。在下面几节中,我们将讨论几个潜在的方法。
3.4.1私钥藏在一个安全的飞地
在这种方法中,创建和私钥存储在英特尔新交所见图5。
图5。Python包装器之间的通信,受信任的应用程序和安全存储私钥签署的飞地。
当关键是生成并存储在安全的飞地,没有人可以访问它,除了机器生成它。以来的关键将是单独为每个汽车制造商生成,也不会有一个独特的关键,属于评估机构,但是所有的这些可以验证签名并相应地使用。这种方法的缺点是,必须有硬件支持。汽车制造商必须有安全的飞地的处理器在高性能计算集群或不能使用这种方法。另一个缺点是,汽车制造商仍然可以使用私钥进行签名。因此,有必要结合生成的过程,它的关键,从而限制其使用,例如使用远程认证。这样,只能签署报告生成的脚本使用这种方法。评估机构或一个可信第三方内隐藏的关键安全飞地汽车制造商的集群和绑定的关键仿真运行的脚本。
生成签名的密钥并签署报告使用安全区域,在这个解决方案中,我们使用英特尔新交所应用尼维斯(2020)。它由两个内部应用程序。第一个是门户应用程序,这是一个不受信任的应用程序准备飞地,并调用它的函数。第二个是受信任应用程序运行在英特尔新交所飞地。它调用函数通过英特尔新交所ECALL机制。
受信任的应用程序有两个功能,密钥生成和数据签名。在密钥生成部分,受信任的应用程序生成一个密钥对ECDSA签名方案,它由一个私钥和一个公钥。需要私钥签名和必须保持保护,而公钥可以导出用于验证签名。从技术上讲,私钥保存在飞地和加密使用高级加密标准和伽罗瓦/计数器模式(AES-GCM)算法,使用加密密钥由硅和飞地的签名者测量登记。这样,私钥数据是密封的,只能在同一地区在同一台机器上创建它。
应用程序可以使用简单的命令来生成公私密钥对和签名数据。键生成命令生成一个公钥Privacy-Enhanced邮件(PEM)格式的结果并将其存储在目录中。这个文件需要转发到评估机构签名验证。私钥存储在sealeddata及其相关信息。本,英特尔新交所保护。脚本首先检查这个文件是否已经存在于根文件夹,只有它不生成新密钥。这可以防止攻击者通过删除sealeddata导致拒绝服务。本文件。需要sealeddata签署的命令。本文件为签署知道使用哪个关键。 In our proof-of-concept implementation, the resulting signature is stored in a Report. signature file next to the PDF report to be signed.
3.4.2运行仿真人签字
如果无法使用安全区域使用硬件,签字也可由一个人。这种方法假定接触人负责模型的完整性。实施概念验证演示代码,我们使用“PDFNetPython”Python库创建一个数字签名(PDFTron系统公司,2001年版)。签名PDF报告使用PDFNetPython库,首先需要创建一个签名文档中的小部件。这允许用户创建PDF文档中的一个字段签名将被放置的地方。可以设置一个字段使用的确切位置坐标作为参数。也有可能添加一个图像,视觉代表签名。签名后添加字段,它是用来创建一个数字签名领域对象。这个对象保存到一个变量,在方法调用使用私钥签署文件和密码保护私钥文件。
该方法所使用的签名算法RSA密钥长度为2048位sha - 256哈希。密钥文件作为参数使用PKCS # 12的文件格式(可以文件名扩展)的保护密码。这个文件是出口使用OpenSSL (OpenSSL项目作者,2022年)。这种方法显著提高了先前的过程,因为它限制了潜在的时间操纵模型。然而,模型的完整性可能仍然被技术颠覆高度熟练的汽车制造商的对手;这种方法假设一定的负责的联系人之间的信任和评价机构。
3.5检查的完整性
证明过程正常进行,评估机构需要检查是否收到签署“模拟报告”与提取的仿真输出文件是一致的。因此,我们开发了一个脚本的概念实现评估机构来执行验证签名和验证的散列(散列模型和结果哈希)。检查结果的完整性,测试机构计算的哈希结果CSV文件的内容并将它在报告中给出的散列。如果计算散列是相同的,CSV保存的完整性,因为在报告中给出的散列签名保护。
4讨论
4.1评价
以下4.4.1概述
总之,我们的解决方案由几层的保护,解决不同方面的问题:
•哈希函数建设包装保护完整的仿真模型:它记录仿真模型的细节,任何差异都可以检测到。然而:任何人都可以写下任何散列,即。,this is not sufficient against a malicious actor, only against accidental errors.
•报告:保护的真实性的签名只有私钥的所有者可以产生一个有效的签署报告,因此认证内容。这也提供不可抵赖性,即。,the owner of the private key cannot deny having signed the report. However, access to this key must be restricted with organizational and/or technical measures. For example, it could be assigned to a trusted, personally responsible person.
•可信执行环境将私有密钥的使用限制在一个特定的设备和一个特定的受信任的小程序,实现了签署过程。这可以防止各种各样的滥用和实施攻击。然而,这与恶意签订程序仍然可以被调用的输入(例如,假的输出仿真软件通过操纵这个软件的交互;用给定的设置中,然而,这将是很容易跟踪负责,以防怀疑这样一个操作,并检查是否就是如此)。
•远程认证设置(不是由于缺乏网络实现目标系统)可以限制谁可以调用受信任的代码,可以监控每个调用外部进行进一步安全如果需要和可行的。
接下来,我们讨论这个解决方案的特性,以及潜在的替代品,更多细节。
4.1.2安全
开发过程显著提高处理相关文件的完整性和真实性的主要威胁识别。加密的方式,以确保建立了仿真结果的完整性。独特的模型生成指纹和记录,以避免模型文件可以操纵在虚拟测试过程。数字签名保证文档的真实性,防止否定。
4.1.3性能
过程带来的只有小额外的工作为用户和计算开销小。测量实时开销,我们运行两个进程在提到的多维数据集的例子。一个进程是运行仿真,而其他过程开始运行包装器脚本实现(负责人签字)。仿真(基线过程没有包装)立方体例子持续13.0072秒,而新过程持续了21.3379秒。在比较这两个时期,似乎有一个相当长的时间开销(8.3307秒)。然而,考虑到LS-DYNA模拟现实世界的例子甚至可能经常持续几个小时,8.33秒的时间开销可以忽略不计,无法区分。时间开销将类似的一个复杂的模拟自相同数量的散列,生成报告和CSV文件。当然,如果复杂的解决方案有多个文件,开销将会增加。然而,它仍将在1分钟内,这也是几小时长的仿真相比可以忽略不计。
4.2限制
虽然许多提到威胁解决,仍然有一些威胁,应该意识到。因为仿真不是做在一个受保护的环境中,恶意用户仍然可以损害过程(如LS-DYNA可执行的操作),但需要更高的犯罪能量。另一个威胁是闭源有限元软件本身的执行不能完全防止操纵;特别是,签署过程目前不系安全有限元软件(使用远程认证或类似的机制),因此可以单独调用其他进程在同一台计算机上。签署的过程需要安全的飞地工作在计算机硬件模拟运行(例如,HPC集群在汽车制造商)。如果这不是可用,手工签字可以做,但这降低了程序的安全级别。
开发过程要求可以修改的文件不包含IP保护信息,这样可以检查的内容评估机构。否则,额外的内容,不允许操作可能不避免开发过程。然而,随着负载情况下主要是不同加速度脉冲和这不是应该是机密信息,我们可以用于这样的应用程序开发过程。如果他们的其他用例在未来它将需要修改模型的机密部分之间的负载情况下另一个脚本检查更改的文件中的关键字。这将需要允许和禁止的关键词列表的文件。另一种方法可以由可信第三方审计基本保密协议。我们的程序将仍然有利于等审计信息文件提供工况的改变。
过程也因此和哈希函数加密的文件,作为密文散列也可以计算以确保其一致性模拟。然而,加密的文件不能被审计,因此参数覆盖模型的其他部分可能是藏在那里。如果多次参数定义,开发包装器无法识别。因此,当前的过程可以不应用仿真设置包含加密动态(负载情况下依赖)部分。如果静态部分是加密的,过程仍然工作但有点弱,因为重复的参数不能确定。过程中应用本文只为一个简单的例子,使之更容易阅读和理解的读者。在开发阶段与虚拟模型也适用于更大的文件,这是接近最后的用例。发现这个过程持续工作,也与更复杂的文件和文件结构,基本上只改变所示的结果图4。
程序不能替代的质量和合理性检查模拟。这是必须要做到的基于共享由评估机构仿真结果。程序只支持仿真模型的评估机构通过记录结果生成和模型修改的哪个部分在哪些步骤的过程。
4.3选择签名的方法
报告签署,需要私钥只有评估机构或受信任的第三方(如LS-DYNA),而不是由汽车制造商。然而,它是具有挑战性的生成和安全地存储这样的一个关键。讨论了几种方法在本文描述的发展过程。“安全飞地”的方法最终实现并在本文描述。作为安全的飞地方法仍有缺点,它可能不是可以在一个特定的硬件和方法和一个负责任的人签署这份报告需要信任这个人,进一步选择应该调查在未来,当我们讨论下。
4.3.1 LS-DYNA使用私钥
一种选择是使用LS-DYNA的私人密钥,这是用于内部LS-DYNA输入文件加密和解密。使用这个键是非常方便的,因为它解决密钥生成和存储问题。然而,提供安全的程度将取决于这个关键是如何保护。只有有限的嵌入式加密方法公开文档,防止选择使用或安全评估的机制。所需有限元软件开发人员的支持,另一个选项是隐藏在有限元软件二进制新生成的关键。
4.3.2私钥存储在服务器上
签署一个可信第三方服务器上也可以做。包装必须实现创建最终报告并上传到服务器。然后,服务器使用存储密钥,信号接收到的文件,将相应的详细信息存储在一个日志文件,并返回到包装。
这个选项有一个重大缺点防止它的使用给我们的要求:汽车制造商的HPC集群通常不具备上网或任何连接到外部世界的目的出于安全原因,特别是由于保密的文件上处理这些机器。尽管如此,也需要访问许可证服务器集群。当模拟启动,例如有限元软件可以发送设备许可证服务器的ID和接收“是”如果机器有一个有效的许可证或“不”。基于这一发现的一个想法在同一机器上存储的关键作为许可证服务器。然而,这是一个不合适的解决方案,因为可能来自服务器的响应不能返回一个签署的文件只有一个“是/否”的答案。这必须改变来启用这个选项。
4.4未来的工作
另外签署之前讨论改进的,也有其他方法来进一步提高程序:最重要的是,集成过程的有限元软件本身会使程序更容易实现汽车制造商的集群和进一步提高手术的安全性,因为包装功能将嵌入二进制的有限元软件。输入检查可以检查关键字的文件,以避免禁止模型的变化尤其是动态部分的仿真模型不能检查,因为知识产权问题。其他类型的仿真结果如动画的视频也可以添加到程序在未来,应用相同的方法,因为基本上每个文件可以散列,因此这个过程应确定扩展到一切都在变化。总的来说,我们的过程是解决虚拟测试过程的完整性。其他未来的工作重点发展的仿真模型和资格标准的定义和评估虚拟测试的工况。
5的结论
在本文中,我们提出一个新的IP-protected仿真的虚拟测试和安全程序文件。安全机制,如哈希函数、数字签名和安全区域是用来确保必要的安全要求。该程序可以跟踪仿真模型的哪个部分没有披露IP-protected信息受到修改。此外,仿真结果之间的一致性和输入文件可以检查。这可以确保模型使用在前面的资格程序确实是使用整个虚拟测试和结果都是合格的模型生成,因此极大地提高了程序的完整性。我们实现了一个概念验证有限元软件包LS-DYNA和公开。实现其他仿真软件包(不一定限于菲软件)是未来工作的主题。还需要进一步的研究来解决已知的缺点提出了过程(如签署过程的改善安全)。发达的方法是增加虚拟测试的完整性的推动者消费者信息、车辆安全评估法规和可以实现直接在将来有限元软件包。
数据可用性声明
公开的数据集进行分析。这些数据可以在这里找到:在这项研究中开发的代码通过https://openvt.eu/Integrity_check/proof-of-concept-scripts。
作者的贡献
如写了初稿的手稿,进行威胁分析和推导过程实现的示例代码。我写的部分手稿关注安全和监督如在安全方面。CK写了虚拟的测试部分的手稿和监督应用方面。我和CK评论这项研究。SH的最初设想这种方法和批判性回顾了手稿。所有作者贡献的修订手稿,阅读和批准提交的版本。
资金
进行这项研究的硕士论文已收到由欧盟资助的虚拟项目的支持下地平线2020研究和创新项目资助协议768960号。
确认
作者要感谢同事Dynamore和规模的富有成果的讨论不同的可能性的实现。
的利益冲突
作者声明,这项研究是在没有进行任何商业或财务关系可能被视为一个潜在的利益冲突。
出版商的注意
本文表达的所有索赔仅代表作者,不一定代表的附属组织,或出版商、编辑和审稿人。任何产品,可以评估在这篇文章中,或声称,可能是由其制造商,不保证或认可的出版商。
引用
ANSYS - LST (2021)。Ls-dyna。可以在:https://www.lstc.com/products/ls-dyna。
ANSYS-LST (2020)。关键字用户手册。LS-DYNA。https://www.dynasupport.com/manuals/ls-dyna-manuals/ls-dyna_manual_volume_i_r13.pdf
Diffie, W。,和Hellman, M. E. (1976). New directions in cryptography.IEEE反式。正理论。22日,644 - 654。doi: 10.1109 / TIT.1976.1055638
艾格斯,一个。,Schwedhelm, H., Zander, O., Izquierdo, R. C., Polanco, J. A. G., Paralikas, J., et al. (2013). “Virtual testing based type approval procedures for the assessment of pedestrian protection developed within the eu-project imviter,” in国家公路交通安全管理局、编辑、第23届ESV会议论文集(NHTSA)。
欧洲五星(2022)。欧洲新车评估项目。可以在:https://www.euroncap.com/en。
惠钦格F。,Ostaijen, R., and Slingeland, A. (2002). A practical approach to virtual testing in automotive engineering.j·英格。Des。13日,33-47。doi: 10.1080 / 09544820110090304
英特尔(2021)。英特尔软件扩展。可以在:https://software.intel.com/content/www/us/en/develop/topics/software-guard-extensions.html。
克鲁格是C。,Luttenberger, P., Schachner, M., Micorek, J., Greimel, R., and Sinz, W. (2018). “Postprocessing of human body model results – introduction of the open source tool dynasaur,” inCARHS、编辑、第七届国际研讨会:人类在汽车工程建模与仿真。
克鲁格是C。,Feist, F., Schneider, B., Sinz, W., Ellway, J., and van Ratingen, M. (2019). “Development of a certification procedure for numerical pedestrian models,” in国家公路交通安全管理局、编辑、第26届现代本会议论文集(NHTSA)。
林德,。,Davidse, R. J., Iraeus, J., John, J. D., Keller, A., Klug, C., et al. (2020).VIRTUAL-a欧洲培养方法的虚拟测试车辆安全评估。在2020年8日交通研究领域的交易,2020年4月的观众,,芬兰赫尔辛基。
陆,y S。,Cao, X. Y., Weng, C. X., Gu, J., Xie, Y. M., Zhou, M. G., et al. (2021). Efficient quantum digital signatures without symmetrization step.选择快递。29日,10162 - 10171。doi: 10.1364 / OE.420667
尼维斯,理学学士(2020年)。网关关键配置和安全签署使用英特尔®软件扩展。可以在:https://software.intel.com/content/www/us/en/develop/articles/code-sample-gateway-key-provisioning-and-secure-signing-using-intel-software-guard.html。
PDFTron系统公司(2001)。进行数字签名pdf文件在python中(2001 - 2021)。可以在:https://www.pdftron.com/documentation/samples/py/DigitalSignaturesTest。
里维斯特,r . L。沙米尔,。,和Adleman, L. M. (1978). A method for obtaining digital signatures and public-key cryptosystems.Commun。ACM21日,120 - 126。doi: 10.1145/359340.359342
Schachner, M。Micorek, J。,Luttenberger, P., Greiml, R., Klug, C., and Rajinovic, S. (2022). Dynasaur - dynamic simulation analysis of numerical results. Available at:https://gitlab.com/VSI-TUGraz/Dynasaur。
OpenSSL项目作者(2022)。openssl项目。可以在:https://www.openssl.org/。
van Ratingen, M。更新虚拟测试从欧洲五星安全评估(2020)。虚拟OSCCAR车间:为汽车应用程序虚拟测试的进展。可以在:http://www.ircobi.org/wordpress/downloads/2020-virtual-osccar.pdf。
关键词:汽车安全,消费者测试、完整性、机密性、散列函数、数字签名、虚拟测试
引用:Galijatovic E, Eichlseder M, Heindl科幻和克鲁格C(2022)完整的虚拟测试崩溃保护。前面。未来的透明。3:914489。doi: 10.3389 / ffutr.2022.914489
收到:2022年4月06;接受:09年11月2022;
发表:2022年11月30日。
编辑:
永汉中国,厦门大学,版权©2022 Galijatovic Eichlseder Heindl和克卢格。这是一个开放分布式根据文章知识共享归属许可(CC)。使用、分发或复制在其他论坛是允许的,提供了原始作者(年代)和著作权人(s)认为,最初发表在这个期刊引用,按照公认的学术实践。没有使用、分发或复制是不符合这些条件的允许。
*通信:玛丽亚Eichlseder,maria.eichlseder@iaik.tugraz.at;科瑞娜克鲁格是corina.klug@tugraz.at