從傳統(tǒng)到智能化：汽車(chē)內(nèi)部通信的安全挑戰(zhàn)與SecOC解決方案

01

需求背景

Demand background

在傳統(tǒng)的汽車(chē)電子結(jié)構(gòu)中，車(chē)內(nèi)的電控單元（ECU）數(shù)量和復(fù)雜性受到限制，通信帶寬也受到限制。因此，人們普遍認(rèn)為車(chē)內(nèi)各個(gè)ECU之間的通信是可靠的。只要ECU節(jié)點(diǎn)接收到相應(yīng)的消息，就會(huì)對(duì)其進(jìn)行處理。然而，隨著汽車(chē)行業(yè)和互聯(lián)網(wǎng)的持續(xù)發(fā)展，汽車(chē)變得越來(lái)越智能化和互聯(lián)化，這種默認(rèn)的車(chē)內(nèi)通信變得越來(lái)越不安全。如果在車(chē)輛的物理總線上添加一個(gè)新的節(jié)點(diǎn)，該節(jié)點(diǎn)發(fā)送虛假信號(hào)或篡改其他ECU發(fā)送的消息，例如加速、剎車(chē)和轉(zhuǎn)彎信號(hào)，而與之相關(guān)的動(dòng)力控制ECU卻盲目接受這些消息，那么車(chē)輛可能會(huì)失去控制。因此，迫切需要開(kāi)發(fā)一種安全高效的算法，用于驗(yàn)證消息的真實(shí)性，確認(rèn)消息發(fā)送方的合法性以及數(shù)據(jù)是否遭到篡改。在這種背景下，安全板載通信（Secure Onboard Communication，簡(jiǎn)稱(chēng)SecOC）機(jī)制應(yīng)運(yùn)而生。

02

SecOC實(shí)現(xiàn)原理

SecOC principle of realization

什么是SecOC

SecOC是Security Onboard Communication 的簡(jiǎn)稱(chēng)，中文名稱(chēng)叫做安全車(chē)載通信,是AUTOSAR從Classic Platform4.2開(kāi)始新增的一個(gè)基礎(chǔ)模塊，主要的作用就是為汽車(chē)嵌入式網(wǎng)絡(luò)總線上的數(shù)據(jù)傳輸提供身份驗(yàn)證和防止重放攻擊的功能。

SecOC實(shí)現(xiàn)原理

SecOC 機(jī)制要求在協(xié)議數(shù)據(jù)單元 (Protocol Data Unit, 簡(jiǎn)稱(chēng) PDU) 的發(fā)送方和接收方的 ECU 都要實(shí)現(xiàn) SecOC 模塊。

在發(fā)送方，SecOC 模塊通過(guò)向待發(fā)送的協(xié)議原始 PDU 添加認(rèn)證信息來(lái)創(chuàng)建安全PDU，認(rèn)證信息包括新鮮度值(Freshness Value，簡(jiǎn)稱(chēng) FV) 和 信 息 認(rèn) 證 碼（Message Authentication Code，簡(jiǎn)稱(chēng) MAC）。

FV 由新鮮度值管理模塊 (FVM) 獲得。FVM 分為 Master FVM( 由網(wǎng)關(guān)擔(dān)任 ) 和 Slave FVM( 由其它實(shí)現(xiàn) SecOC 機(jī)制的 ECU 擔(dān)任 )，前者會(huì)向后者發(fā)送新鮮度值同步消息來(lái)保證PDU 收發(fā)端 FV 的一致性，后者則向前者發(fā)送 FV 同步請(qǐng)求消息。

將 PDU 的數(shù)據(jù)標(biāo)識(shí)符、原始 PDU 以及完整新鮮度值拼接起來(lái)，傳遞給認(rèn)證算法產(chǎn)生 MAC 值。

接收方收到安全 PDU 后會(huì)通過(guò)MAC認(rèn)證模塊對(duì)其新鮮性與完整性進(jìn)行驗(yàn)證，如果驗(yàn)證成功，那么將原始的數(shù)據(jù)PDU上傳到上層應(yīng)用的軟件模塊，如果驗(yàn)證失敗，則直接丟棄。

03

TOSUN SecOC測(cè)試解決方案

SecOC test solution

該解決方案是基于SecOC方案實(shí)現(xiàn)車(chē)內(nèi)敏感信息的認(rèn)證。

TOSUN SecOC系統(tǒng)是基于TOSUN同星自研核心軟件TSMaster和CAN工具實(shí)現(xiàn)，能夠涵蓋開(kāi)發(fā)和生產(chǎn)過(guò)程中的測(cè)試需求。主要功能包含主節(jié)點(diǎn)同步報(bào)文解析，完整新鮮度值生成，計(jì)算MAC值，生成并發(fā)送安全報(bào)文、接收解析驗(yàn)證安全報(bào)文和故障注入功能。

測(cè)試面板總體如下圖所示：

3.1 同步報(bào)文接收

新鮮值管理模塊在整車(chē)身上一般由網(wǎng)關(guān)充當(dāng)，負(fù)責(zé)發(fā)送同步報(bào)文，便于從節(jié)點(diǎn)更新新鮮值。同步報(bào)文的主要作用是保證安全PDU發(fā)送和接收端新鮮度值信息的一致性。

同步報(bào)文的行程計(jì)數(shù)器（Trip Counter）、重置計(jì)數(shù)器（Reset Counter）和MAC值（Authenticator）長(zhǎng)度定義如下：

本解決方案采用AES128-CMAC標(biāo)準(zhǔn)算法和基于同步消息的復(fù)合counter新鮮度值管理方案，MAC值計(jì)算方式為CMAC-AES128（DataID/Payload/FV，CK）。

→ 圖示是TOSUN SecOC解決方案中同步報(bào)文接收的演示

第一部分顯示被測(cè)件（主節(jié)點(diǎn)）發(fā)送的同步報(bào)文和報(bào)文解析。Data ID由主節(jié)點(diǎn)（被測(cè)件/新鮮值管理模塊）決定。

第二部分為算法計(jì)算的MAC值，與接收的MAC值前兩位是一致的，則驗(yàn)證成功返回0；否則驗(yàn)證失敗返回1，并且錯(cuò)誤數(shù)量+1。

3.2 新鮮度值管理

→ 圖示是TOSUN SecOC解決方案中新鮮度值管理的演示

完整的新鮮度值包括（64bit）：行程計(jì)數(shù)器（Trip Counter）,重置計(jì)數(shù)器（Reset Counter）, 重置標(biāo)志值（Reset Flag）和消息計(jì)數(shù)器（Message Counter）。

1)行程計(jì)數(shù)器和重置計(jì)數(shù)器由同步報(bào)文決定

2)消息計(jì)數(shù)器每發(fā)送一次安全報(bào)文自增1

3)重置標(biāo)志位為重置計(jì)數(shù)器最后2bit數(shù)據(jù)

從節(jié)點(diǎn)內(nèi)完整的新鮮度值由以上四個(gè)數(shù)據(jù)生成。

3.3 安全報(bào)文發(fā)送

→ 圖示是TOSUN SecOC解決方案中安全報(bào)文發(fā)送的演示

第一部分設(shè)置2字節(jié)的Data ID和4字節(jié)的控制信號(hào)（十進(jìn)制、十六進(jìn)制輸入即可）。

第二部分顯示加密后的MAC值，截取的新鮮值、截取的MAC值和發(fā)送的安全報(bào)文（安全報(bào)文由4個(gè)字節(jié)控制信號(hào)、1個(gè)字節(jié)截取新鮮度值和3個(gè)字節(jié)截取MAC值組成）。

本解決方案的新鮮度值和MAC值截取的標(biāo)準(zhǔn)是在CAN協(xié)議的通信方式下，F(xiàn)V截取低位1字節(jié)，MAC截取高位3字節(jié)。

3.4 安全報(bào)文接收

→ 圖示是TOSUN SecOC解決方案中安全報(bào)文接收的演示

第一部分設(shè)置接收端2字節(jié)的Data ID（安全報(bào)文發(fā)送和接收模塊的Data ID需一致，否則在安全報(bào)文接收端會(huì)驗(yàn)證失敗），顯示完整的安全報(bào)文。

第二部分顯示接收端的MAC驗(yàn)證結(jié)果，驗(yàn)證成功返回0，亮綠燈；驗(yàn)證失敗返回1，亮紅燈，錯(cuò)誤數(shù)量+1。

3.5 故障注入測(cè)試

→ 圖示是TOSUN SecOC解決方案中故障注入測(cè)試的演示

在該面板中點(diǎn)擊任意類(lèi)型故障注入按鈕可進(jìn)行故障注入，可看到【接收端】的錯(cuò)誤數(shù)量增加并亮紅燈。以檢測(cè)和評(píng)估系統(tǒng)的可靠性和穩(wěn)定性，從而提高系統(tǒng)的質(zhì)量。

其中“模擬過(guò)去新鮮值發(fā)送”是指將新鮮值篡改成上一次發(fā)送 的新鮮值，“模擬未來(lái)新鮮值發(fā)送”同理。

如果想查看詳細(xì)的報(bào)文信息，可以在“報(bào)文信息”中查看正確發(fā)送或故障注入的安全報(bào)文，過(guò)濾標(biāo)識(shí)符為 2CA 的報(bào)文即可。同步報(bào)文也可查看，標(biāo)識(shí)符為 25C。