一、需求背景
1-SecOC产生背景
在传统的汽车电子架构中,车内ECU数量和复杂度有限,通讯带宽也受限,因此认为车内ECU间的通讯都是可信的,ECU节点只要收到相应的报文,就会对之处理。随着汽车行业和互联网的不断发展,汽车不断地变得智能化、互联网化,这种默认的车内通讯变得越来越不安全。如果在车辆物理总线上增加一个新的结点,发送假冒的信号或者篡改其它ECU发送的报文,如加速、刹车、转弯,而车辆动力控制相关的ECU照单全收,那么车辆就会失控。因此,急需实现一种安全高效的算法来验证报文,确认报文发送方是否合法以及数据是否被篡改。在这种情况下,安全板载通信 (Secure Onboard Communication,简称 SecOC) 机制就应运而生了。
![汽车内部通信的安全挑战与SecOC解决方案 1 SecOC产生背景](https://www.tosunai.com/wp-content/uploads/2023/08/图表-1-1-SecOC产生背景1.jpg)
2-SecOC实现原理
SecOC是Security Onboard Communication 的简称,中文名称叫做安全车载通信,是AUTOSAR从Classic Platform4.2开始新增的一个基础模块,主要的作用就是为汽车嵌入式网络总线上的数据传输提供身份验证和防止重放攻击的功能。
SecOC 机制要求在协议数据单元 (Protocol Data Unit, 简称 PDU) 的发送方和接收方的 ECU 都要实现 SecOC 模块。
在发送方,SecOC 模块通过向待发送的协议原始 PDU 添加认证信息来创建安全PDU(见图表1-2),认证信息包括新鲜度值(Freshness Value,简称 FV) 和 信 息 认 证 码(Message Authentication Code,简称 MAC)。
![汽车内部通信的安全挑战与SecOC解决方案 2 安全PDU的构建](https://www.tosunai.com/wp-content/uploads/2023/08/图表-1-2-安全PDU的构建1.jpg)
FV 由新鲜度值管理模块 (FVM) 获得。FVM 分为 Master FVM( 由网关担任 ) 和 Slave FVM( 由其它实现 SecOC 机制的 ECU 担任 ),前者会向后者发送新鲜度值同步消息来保证PDU 收发端 FV 的一致性,后者则向前者发送 FV 同步请求消息。
将 PDU 的数据标识符、原始 PDU 以及完整新鲜度值拼接起来,传递给认证算法产生 MAC 值。
接收方收到安全 PDU 后会通过MAC认证模块对其新鲜性与完整性进行验证,如果验证成功,那么将原始的数据PDU上传到上层应用的软件模块,如果验证失败,则直接丢弃。
![汽车内部通信的安全挑战与SecOC解决方案 3 SecOC实现原理图](https://www.tosunai.com/wp-content/uploads/2023/08/图表-1-3-SecOC实现原理图1-1024x688.jpg)
二、同星 SecOC测试解决方案
该解决方案是基于SecOC方案实现车内敏感信息的认证。
TOSUN SecOC系统是基于TOSUN同星自研核心软件TSMaster和CAN工具实现,能够涵盖开发和生产过程中的测试需求,主要功能包含主节点同步报文解析,完整新鲜度值生成,计算MAC值,生成并发送安全报文、接收解析验证安全报文和故障注入功能。
测试面板总体如下图所示:
![汽车内部通信的安全挑战与SecOC解决方案 4 SecOC解决方案 测试总体面板](https://www.tosunai.com/wp-content/uploads/2023/08/图表-2-1-测试总体面板1-1024x533.jpg)
1-同步报文接收
新鲜值管理模块在整车身上一般由网关充当,负责发送同步报文,便于从节点更新新鲜值。同步报文的主要作用是保证安全PDU发送和接收端新鲜度值信息的一致性。
![汽车内部通信的安全挑战与SecOC解决方案 5 SecOC解决方案 基于同步的组合新鲜度值管理(1)](https://www.tosunai.com/wp-content/uploads/2023/08/图片5.png)
同步报文的行程计数器(Trip Counter)、重置计数器(Reset Counter)和MAC值(Authenticator)长度定义如下:
![汽车内部通信的安全挑战与SecOC解决方案 6 同步报文结构](https://www.tosunai.com/wp-content/uploads/2023/08/图表-2-3-同步报文结构1.jpg)
本解决方案采用AES128-CMAC标准算法和基于同步消息的复合counter新鲜度值管理方案,MAC值计算方式为CMAC-AES128(DataID/Payload/FV,CK)。
Ø 图示是TOSUN SecOC解决方案中同步报文接收的演示
![汽车内部通信的安全挑战与SecOC解决方案 7 SecOC解决方案 TOSUN SecOC同步报文接收(1)](https://www.tosunai.com/wp-content/uploads/2023/08/图表-2-4-TOSUN-SecOC同步报文接收1.jpg)
第一部分显示被测件(主节点)发送的同步报文和报文解析。Data ID由主节点(被测件/新鲜值管理模块)决定。
第二部分为算法计算的MAC值,与接收的MAC值前两位是一致的,则验证成功返回0;否则验证失败返回1,并且错误数量+1。
2-新鲜度值管理
Ø 图示是TOSUN SecOC解决方案中新鲜度值管理的演示
完整的新鲜度值包括(64bit):行程计数器(Trip Counter),重置计数器(Reset Counter), 重置标志值(Reset Flag)和消息计数器(Message Counter)。
![汽车内部通信的安全挑战与SecOC解决方案 8 SecOC新鲜值计算](https://www.tosunai.com/wp-content/uploads/2023/08/图表-2-5-TOSUN-SecOC新鲜值计算1.jpg)
1) 行程计数器和重置计数器由同步报文决定。
2) 消息计数器每发送一次安全报文自增1。
3) 重置标志位为重置计数器最后2bit数据。
从节点内完整的新鲜度值由以上四个数据生成。
![汽车内部通信的安全挑战与SecOC解决方案 9 新鲜度值完整数据结构](https://www.tosunai.com/wp-content/uploads/2023/08/图表-2-6-新鲜度值完整数据结构1-1024x430.jpg)
3-安全报文发送
Ø 图示是TOSUN SecOC解决方案中安全报文发送的演示
![汽车内部通信的安全挑战与SecOC解决方案 10 SecOC安全报文发送](https://www.tosunai.com/wp-content/uploads/2023/08/SecOC-solution-3.webp)
第一部分设置2字节的Data ID和4字节的控制信号(十进制、十六进制输入即可)。
第二部分显示加密后的MAC值,截取的新鲜值、截取的MAC值和发送的安全报文(安全报文由4个字节控制信号、1个字节截取新鲜度值和3个字节截取MAC值组成)。
本解决方案的新鲜度值和MAC值截取的标准是在CAN协议的通信方式下,FV截取低位1字节,MAC截取高位3字节。
![汽车内部通信的安全挑战与SecOC解决方案 11 SecOC数据结构(1)](https://www.tosunai.com/wp-content/uploads/2023/08/图表-2-8-SecOC数据结构1.jpg)
4-安全报文接收
Ø 图示是TOSUN SecOC解决方案中安全报文接收的演示
![汽车内部通信的安全挑战与SecOC解决方案 12 SecOC安全报文接收](https://www.tosunai.com/wp-content/uploads/2023/08/图表-2-9-TOSUN-SecOC安全报文接收1.jpg)
第一部分设置接收端2字节的Data ID(安全报文发送和接收模块的Data ID需一致,否则在安全报文接收端会验证失败),显示完整的安全报文。
第二部分显示接收端的MAC验证结果,验证成功返回0,亮绿灯;验证失败返回1,亮红灯,错误数量+1。
5-故障注入测试
Ø 图示是TOSUN SecOC解决方案中故障注入测试的演示
![汽车内部通信的安全挑战与SecOC解决方案 13 SecOC故障注入面板](https://www.tosunai.com/wp-content/uploads/2023/08/图表-2-10-TOSUN-SecOC故障注入面板1.jpg)
在该面板中点击任意类型故障注入按钮可进行故障注入,可看到【接收端】的错误数量增加并亮红灯。以检测和评估系统的可靠性和稳定性,从而提高系统的质量。
其中“模拟过去新鲜值发送”是指将新鲜值篡改成上一次发送 的新鲜值,“模拟未来新鲜值发送”同理。
![汽车内部通信的安全挑战与SecOC解决方案 14 详细报文信息(1)](https://www.tosunai.com/wp-content/uploads/2023/08/图表-2-11-详细报文信息1-1024x532.jpg)
如果想查看详细的报文信息,可以在“报文信息”中查看正确发送或故障注入的安全报文,过滤标识符为 2CA 的报文即可。同步报文也可查看,标识符为 25C。