孫璐，董曉玲，付金勇，張永剛

(北京汽車股份有限公司汽車研究院，北京 101300)

0 引言

當(dāng)前，汽車產(chǎn)業(yè)與信息通信技術(shù)深度融合，汽車產(chǎn)品加快向智能化和網(wǎng)聯(lián)化方向發(fā)展，在滿足交通出行的基礎(chǔ)上，汽車轉(zhuǎn)變?yōu)榇笮鸵苿又悄芙K端、儲能單元和數(shù)字空間。到2023年，智能網(wǎng)聯(lián)汽車預(yù)計(jì)將占全世界所有乘用車的1/4;到2025年，智能網(wǎng)聯(lián)汽車占全球汽車市場近86%[1]。

在這一過程中，車輛接口逐步開放，車載通信總線技術(shù)不斷更迭，CANFD和以太網(wǎng)逐漸成為車載總線的主體，在這一發(fā)展過程中，安全事故頻繁發(fā)生，寶馬汽車“Connected Drive”功能漏洞造成的大規(guī)模遠(yuǎn)程修復(fù)、JEEP 汽車可遠(yuǎn)程破解導(dǎo)致140 萬輛汽車被召回[1]，科恩實(shí)驗(yàn)室成功攻破特斯拉的Autopilot駕駛系統(tǒng)，對駕駛判斷結(jié)果進(jìn)行干預(yù)，對車輛信息安全的保障成為車輛開放接口后需要重點(diǎn)保護(hù)的內(nèi)容。國際知名汽車信息安全研究組織Upstream Security發(fā)布了2021年全球汽車信息安全報告，對比上一年度，基于服務(wù)的信息安全事件有了大幅度增加，2010—2020年的頂級攻擊量分解[1]如圖1所示。

圖1 2010—2020年的頂級攻擊量分解

信息安全指保護(hù)、維持信息的安全性、完整性和可用性，傳統(tǒng)車載網(wǎng)絡(luò)大多以CAN通信為主，廣播式明文傳輸方式，缺乏加密認(rèn)證機(jī)制，在信息娛樂域和自動駕駛域信息量急劇增加的新型電子電器架構(gòu)需求的大背景下[2-3]，有效地混合網(wǎng)絡(luò)信息安全通信系統(tǒng)設(shè)計(jì)，在車載網(wǎng)絡(luò)傳輸?shù)恼鎸?shí)性、可核查性、抗抵賴性、可靠性等性質(zhì)方面的保障，在OEM的系統(tǒng)設(shè)計(jì)過程中，需要在設(shè)計(jì)初期進(jìn)行綜合性考慮，結(jié)合硬件、軟件綜合需求，滿足網(wǎng)絡(luò)傳輸實(shí)時性要求。

1 基于新場景需求的新型混合網(wǎng)絡(luò)設(shè)計(jì)

采用高速車載Ethernet和CANFD通信技術(shù)為主干網(wǎng)和域控制器的新型架構(gòu)，關(guān)鍵系統(tǒng)采用冗余設(shè)計(jì)，支撐不同配置的車型使用，滿足智能網(wǎng)聯(lián)汽車的高實(shí)時性、高安全性和高可靠性的技術(shù)要求，整車分為6個域，共約80余個控制器節(jié)點(diǎn)，可以拓展至100個節(jié)點(diǎn)，具體劃分如圖2所示。

圖2 混合網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

整車采用Ethernet和CANFD作為主干網(wǎng)的拓?fù)浣Y(jié)構(gòu)形式，關(guān)鍵系統(tǒng)采用冗余設(shè)計(jì)，支撐不同配置的車型使用，滿足智能網(wǎng)聯(lián)汽車的高實(shí)時性、高安全性和高可靠性的技術(shù)要求。高速的車載以太網(wǎng)和CANFD新型技術(shù)，滿足大數(shù)據(jù)量和高實(shí)時性通信傳輸需求；同時兼容傳統(tǒng)的CAN、LIN和LVDS通信方式，支撐不同配置車型搭載使用。

在具備Ethenet和CANFD的車內(nèi)混合網(wǎng)絡(luò)中，基于AutoSAR標(biāo)準(zhǔn)的SecOC模塊可以進(jìn)行完整性和實(shí)時性的驗(yàn)證。

2 車載安全通信SecOC模塊工作原理

SecOC模塊提供了車內(nèi)多個控制器之間基于協(xié)議數(shù)據(jù)單元(PDU)層針對敏感數(shù)據(jù)的認(rèn)證機(jī)制，實(shí)現(xiàn)基礎(chǔ)要求發(fā)送方和接收方都具備SecOC模塊，并提供上下層PduR應(yīng)用程序編程接口，SecOC模塊作為AUTOSAR軟件架構(gòu)下的基礎(chǔ)模塊集成在AUTOSAR PduR 層面上，AUTOSAR 標(biāo)準(zhǔn)中，PduR模塊負(fù)責(zé)將收發(fā)到的需要安全保護(hù)的I-PDU路由到SecOC模塊。然后，SecOC模塊負(fù)責(zé)處理信息安全相關(guān)信息，將結(jié)果以IPDU的形式傳回PduR并交由其繼續(xù)發(fā)送。SecOC模塊目前支持對CAN總線和FlexRay 總線加密和驗(yàn)證功能。在新型混合網(wǎng)絡(luò)架構(gòu)中，CANFD總線節(jié)點(diǎn)端對端采用SecOC校驗(yàn)機(jī)制，來保證信號抵抗篡改。

基于SecOC模塊的ECU之間的通信過程，需要SecOC模塊與PduR模塊之間的交互，在發(fā)送端，SecOC模塊通過增加認(rèn)證信息，對發(fā)送的I-PDU來構(gòu)建一個安全的I-PDU，認(rèn)證信息通過增加認(rèn)證的MAC值和FV值，綜合硬件成本、協(xié)議棧部署情況等多方面因素，F(xiàn)V可以采用單一Counter、多Counter，Timestamp的形式來進(jìn)行。在接收端，SecOC檢查FV，并確認(rèn)I-PDU的真實(shí)性，接收和發(fā)動端需要對FV的構(gòu)建進(jìn)行協(xié)商。

該系統(tǒng)的主要目的是傳輸具有真實(shí)性且被FV保護(hù)的消息。因此，發(fā)送方需要使用SecOC 密鑰來計(jì)算數(shù)據(jù)上的MAC，并管理所傳輸?shù)腇V。接收方使用相同的數(shù)據(jù)和SecOC 密鑰以及自己的FV作為輸入來驗(yàn)證MAC值。當(dāng)且僅當(dāng)?shù)玫降腗AC值相等時，驗(yàn)證成功。消息的發(fā)送和驗(yàn)證過程如圖3所示。

圖3 MAC認(rèn)證和FV確認(rèn)

在安全I(xiàn)-PDU中，MAC值為特定的認(rèn)證字符串，通過密鑰、安全I(xiàn)-PDU的數(shù)據(jù)標(biāo)識符、校驗(yàn)Payload和FV，如圖4所示。

圖4 MAC和FV的截取

MAC提供了數(shù)據(jù)是由合法的源頭產(chǎn)生，并提供給特定的接收ECU。根據(jù)驗(yàn)證算法，生成MAC值，調(diào)用Truncation功能，截取具備符合總線傳輸長度的MAC值和FV值，構(gòu)建安全I(xiàn)-PDU。

新鮮度管理提供FV，該值會在協(xié)議數(shù)據(jù)單元(PDU)計(jì)算消息認(rèn)證碼(MAC)中使用。由于AutoSAR中未指定新鮮度管理組件，并且SecOC 是跨ECU 系統(tǒng)，因此安全性管理由SecOC 解決方案提供。此外，由于發(fā)送方和接收方執(zhí)行加密操作，F(xiàn)V必須由新鮮度管理來提供和同步。

SecOC系統(tǒng)中采用對稱密鑰計(jì)算MAC值，一般采用AES128 CBC算法，因此，對稱密鑰的保護(hù)成為保障整個體系安全運(yùn)行的關(guān)鍵。

3 混合網(wǎng)絡(luò)的密鑰更新機(jī)制

密鑰管理保存用以對協(xié)議數(shù)據(jù)單元(PDU)計(jì)算消息認(rèn)證碼(MAC)的密鑰。由于AutoSAR中未指定密鑰管理組件，且SecOC 是跨ECU 的系統(tǒng)，因此密鑰管理由需要進(jìn)行自定義。因此，安全地注入SecOC 密鑰是基礎(chǔ)，且應(yīng)該具備密鑰管理后端。由于需要使得一組SecOC ECU 始終共享有效的SecOC 密鑰，并且根據(jù)不同的功能進(jìn)行密鑰組的注入。

目前，為滿足多場景密鑰的使用需求，基于云平臺的KMS部署已經(jīng)成為普遍應(yīng)用。KMS為密鑰管理系統(tǒng)，可以根據(jù)不同的應(yīng)用場景，生成不同種類及長度的密鑰，并通過安全傳輸，進(jìn)行密鑰排放，可以有效地保證密鑰的安全性。結(jié)合云平臺KMS，可以實(shí)現(xiàn)遠(yuǎn)程升級、遠(yuǎn)程啟動、安全通信等場景的密鑰管理。因此，在此基礎(chǔ)上，以系統(tǒng)設(shè)計(jì)的級別，對通信信號進(jìn)行分組隔離，定義密鑰組，根據(jù)混合網(wǎng)絡(luò)的通信設(shè)計(jì)需求，并基于一定周期進(jìn)行密鑰更新，可以有效保持密鑰組的有效使用。圖5給出了一個基于服務(wù)器的對稱密鑰的申請和發(fā)放過程。

圖5 帶后臺的KMS的密鑰更新過程

車載ECU為需要進(jìn)行安全通信的車載模塊，Tbox為車載通信單元，通過4G/5G通信模組與TSP進(jìn)行通信，通信遵循HTTPS協(xié)議，安全通信協(xié)議版本需要TLS1.2以上，進(jìn)行安全通信，對稱密鑰的更新請求及派發(fā)過程遵循以下步驟：

(1)參與安全通信的車載ECU通過應(yīng)用報文發(fā)送密鑰更新請求給Tbox；

(2)Tbox驗(yàn)證請求節(jié)點(diǎn)身份，判斷密鑰更新周期是否滿足要求；

(3)Tbox向后臺發(fā)送密鑰更新請求；

(4)云平臺生驗(yàn)證Tbox合法性，成隨機(jī)數(shù)A發(fā)送給Tbox；

(5)Tbox發(fā)送密鑰更新請求+隨機(jī)數(shù)A給車載ECU；

(6)車載ECU接收請求+隨機(jī)數(shù)A，生成隨機(jī)數(shù)B，返回請求響應(yīng)，包含隨機(jī)數(shù)A、隨機(jī)數(shù)B、ECU ID及預(yù)制CMAC；

(7)Tbox將車載ECU的密鑰更新響應(yīng)傳遞給后臺；

(8)后臺驗(yàn)證密鑰更新中所含信息的有效性；

(9)后臺生成一級傳遞密鑰，并傳遞給Tbox；

(10)Tbox接收一級傳遞密鑰，進(jìn)行混淆算法計(jì)算，生成二級傳遞密鑰，并發(fā)送給車載ECU；

(11)車載ECU接收二級傳遞密鑰，進(jìn)行混淆算法計(jì)算，生成存儲密鑰，通過校驗(yàn)，寫入HSM，寫入的密鑰參與SecOC模塊計(jì)算，作為通信加解密密鑰使用。

4 結(jié)束語

文中詳細(xì)介紹了AutoSAR規(guī)范下車載安全通信模塊SecOC 的機(jī)制，結(jié)合新型電子電器架構(gòu)平臺開發(fā)，設(shè)計(jì)了基于后臺的KMS的安全密鑰更新過程，實(shí)現(xiàn)了基于SecOC的混合網(wǎng)絡(luò)信息安全通信系統(tǒng)設(shè)計(jì)規(guī)則，該安全防護(hù)機(jī)制可以有效過濾非法的報文廣播，對發(fā)送方進(jìn)行驗(yàn)證，很好地保護(hù)了車載網(wǎng)絡(luò)通信的信息安全。

后期將在此基礎(chǔ)上進(jìn)行系統(tǒng)設(shè)計(jì)，評估各節(jié)點(diǎn)硬件及軟件成本，并對時延進(jìn)行測試，確保通信完整性和實(shí)時性。