作者 |沈平 上海控安可信軟件創(chuàng)新研究院汽車網(wǎng)絡(luò)安全組

來源 |鑒源實(shí)驗(yàn)室

社群 |添加微信號(hào)“TICPShanghai”加入“上海控安51fusa安全社區(qū)”

在現(xiàn)代汽車行業(yè)中，隨著電子控制單元（ECUs）的普及以及車與車之間通信的不斷增加，確保通信安全變得尤為關(guān)鍵。AUTOSAR (Automotive Open System Architecture) 的 SecOC (Secure Onboard Communication) 模塊，正是為應(yīng)對(duì)這種挑戰(zhàn)而設(shè)計(jì)的。AUTOSAR作為一套開放的汽車軟件標(biāo)準(zhǔn)，其中的SecOC模塊在其架構(gòu)中起到了至關(guān)重要的角色，它主要職責(zé)是確保車輛內(nèi)部的通訊數(shù)據(jù)安全無虞。通常，SecOC模塊是位于AUTOSAR通訊堆棧的PDU Router與更底層的通訊驅(qū)動(dòng)之間，確保所有通過這個(gè)堆棧的信息都得到了適當(dāng)?shù)募用芎捅Ｗo(hù)。實(shí)際應(yīng)用中，SecOC模塊還能與HSM (Hardware Security Module) 模塊相結(jié)合，借助硬件來更快速地進(jìn)行數(shù)據(jù)加密和消息認(rèn)證。

圖1 SecOC在BSW中的架構(gòu)圖

SecOC通信流程依賴于兩大核心組件：消息認(rèn)證與新鮮度值（Freshness Value，F(xiàn)V）。為了確保消息的真實(shí)性與完整性，SecOC利用消息認(rèn)證碼（Message Authentication Code，MAC）進(jìn)行核實(shí)。在消息發(fā)送過程中，系統(tǒng)會(huì)利用預(yù)定的密鑰生成MAC，并將其附加在原消息之后。而在消息接收端，系統(tǒng)會(huì)再次利用相同的密鑰計(jì)算MAC，并與接收到的MAC進(jìn)行校驗(yàn)。如若不符，則表明消息在傳輸過程中可能遭到了篡改，或者并非來自一個(gè)合法的發(fā)送方。而Freshness Value（FV）的存在主要是為了應(yīng)對(duì)“重放攻擊”。為此，每一條消息都會(huì)伴隨一個(gè)FV值。這是一個(gè)不斷變化的動(dòng)態(tài)值，如計(jì)數(shù)器或時(shí)間戳，確保每一條發(fā)送的消息均具有其獨(dú)特性。在MAC的生成過程中，F(xiàn)V也起到了關(guān)鍵作用。這一整個(gè)流程如圖2所示。

圖2 SecOC通訊流程圖

接下來，我們將根據(jù)AUTOSAR SecOC官方文檔的附錄11.4，深入探討基于多新鮮度計(jì)數(shù)器的SecOC機(jī)制是如何實(shí)現(xiàn)的。在此示例中，我們遇到三個(gè)關(guān)鍵運(yùn)行實(shí)體，它們是：新鮮度管理器ECU（即“Master”），以及負(fù)責(zé)接收和發(fā)送報(bào)文的ECU（我們稱之為“Slave”）。在此機(jī)制中，Slave的任務(wù)是接收來自Master廣播的Freshness Value（FV）計(jì)數(shù)，以便同步更新其本地的FV計(jì)數(shù)。簡(jiǎn)單地說，Master負(fù)責(zé)維護(hù)并廣播當(dāng)前的FV計(jì)數(shù)，而Slave根據(jù)接收到的計(jì)數(shù)進(jìn)行更新，確保它們的計(jì)數(shù)值保持一致。這種同步機(jī)制是為了確保在整個(gè)系統(tǒng)中，每次的通信都有一個(gè)獨(dú)特的、不斷更新的FV，以加強(qiáng)安全性。這三者之間的交互和關(guān)系可以在圖3中看到。

圖3 多新鮮度計(jì)數(shù)器管理關(guān)系圖

在SecOC通信流程中，所有的數(shù)據(jù)傳輸都默認(rèn)采用大端模式。發(fā)送者發(fā)送的安全報(bào)文（簡(jiǎn)稱S-I-PDU）由幾個(gè)部分組成：S-I-PDU報(bào)文頭、待保護(hù)的交互層協(xié)議數(shù)據(jù)單元（I-PDU）、Freshness Value（FV）和Authenticator（也稱為MAC）。值得注意的是，S-I-PDU報(bào)文頭和FV并不是每次都必須的，它們是可選組件。另外，I-PDU不一定包含原始報(bào)文中的所有載荷（payload），它可能僅包含部分?jǐn)?shù)據(jù)。進(jìn)一步說，通常情況下，我們不會(huì)完整地發(fā)送FV和MAC的所有數(shù)據(jù)。為了效率和安全性的考慮，我們通常只選取其中的部分?jǐn)?shù)據(jù)包含在S-I-PDU中。具體來說，對(duì)于FV，我們從其低位開始，選取一定長(zhǎng)度的數(shù)據(jù)；而對(duì)于MAC，我們則從其高位開始，選取一定長(zhǎng)度的數(shù)據(jù)。這種數(shù)據(jù)組織和截取的方式確保了在有限的報(bào)文長(zhǎng)度內(nèi)，我們可以傳輸最關(guān)鍵的、具有代表性的數(shù)據(jù)。如圖4和圖5所詳細(xì)展示。

圖4 安全報(bào)文構(gòu)成圖

圖5 FV和MAC截取示意圖

MAC（消息認(rèn)證碼）的計(jì)算是關(guān)于數(shù)據(jù)完整性和真實(shí)性驗(yàn)證的核心。在SecOC中，其生成主要采用對(duì)稱加密算法。例如，通過使用AES算法，我們可以得到CMAC（加密消息認(rèn)證碼）。為了計(jì)算MAC，我們需要考慮幾個(gè)關(guān)鍵部分：

· Data Id：這是一個(gè)兩字節(jié)的數(shù)據(jù)標(biāo)識(shí)符，它有助于區(qū)分和識(shí)別不同的I-PDU。

· I-PDU的保護(hù)部分：這并不是完整的I-PDU數(shù)據(jù)，而是我們選擇需要加密保護(hù)的部分。

· 完整的FV (Freshness Value)：如前所述，F(xiàn)V是一個(gè)動(dòng)態(tài)的值，用于確保每條消息的獨(dú)特性，避免重放攻擊。

將這三個(gè)部分組合起來，我們就可以得到MAC的輸入數(shù)據(jù)。然后通過應(yīng)用特定的加密算法（如AES生成CMAC），將這些輸入轉(zhuǎn)化為獨(dú)特的MAC值。如圖6所示。

圖6 生成MAC數(shù)據(jù)構(gòu)成圖

在此示例中，完整的Freshness Value（FV）是由以下四個(gè)部分構(gòu)成的：

· Trip Counter (TripCnt)：由主Freshness Value Manager（主FVM）控制，每一次“trip”（如車輛啟動(dòng)和關(guān)閉的周期）都會(huì)遞增。它主要記錄了車輛啟動(dòng)的次數(shù)。上下電時(shí)觸發(fā)。

· Reset Counter (ResetCnt)：由主FVM管理，它基于配置的周期（ResetCycle）進(jìn)行周期性遞增。可以看作是一個(gè)中間級(jí)別的計(jì)數(shù)器，用于追蹤系統(tǒng)重置的次數(shù)。

· Message Counter (MsgCnt)：與發(fā)送器ECU相關(guān)，每次發(fā)送信息時(shí)都會(huì)遞增。用于追蹤特定ECU發(fā)送的消息數(shù)量。

· Reset Flag (ResatFlag)：與ResetCnt同步更新。它直接取自ResetCnt的低位數(shù)據(jù)，大小通常為兩個(gè)bit。作為一個(gè)標(biāo)志位，它提供了關(guān)于系統(tǒng)重置狀態(tài)的快速參考。

當(dāng)我們談到需要截取的FV時(shí)，特指Reset Flag和MsgCntLower（消息計(jì)數(shù)器的低位部分）。如圖7所示，這些組件如何組合以形成完整的FV。同時(shí)，它們之間的更新關(guān)系和如何相互影響可以在圖8中看到。這種設(shè)計(jì)確保了在保持消息的唯一性和安全性的同時(shí)，系統(tǒng)能夠高效地進(jìn)行操作。

圖7 FV構(gòu)成與截取圖

圖8 FVCnt更新邏輯圖

接下來，我們將探討SecOC的同步報(bào)文（稱為SyncMsg）及其結(jié)構(gòu)。在SecOC的上下文中，同步報(bào)文起著至關(guān)重要的作用，它確保系統(tǒng)中的所有實(shí)體（例如Slave）與主控制實(shí)體（例如Master或通常在整車中的網(wǎng)關(guān)）保持同步。簡(jiǎn)而言之，它允許這些實(shí)體對(duì)關(guān)鍵的計(jì)數(shù)器值和狀態(tài)有一個(gè)統(tǒng)一的理解，從而確保整個(gè)通信過程的安全性。同步報(bào)文的構(gòu)成如下：TripCnt、ResetCnt和MAC。如圖9所示，這三個(gè)部分組合形成了完整的同步報(bào)文。Master（通常是網(wǎng)關(guān)）會(huì)定期發(fā)送這些同步報(bào)文，確保系統(tǒng)中的所有Slave能夠與之保持同步，從而維護(hù)整個(gè)系統(tǒng)的安全通信。

圖9 SyncMsg構(gòu)成

同步報(bào)文的MAC計(jì)算與安全報(bào)文的MAC確實(shí)存在細(xì)微差異。在同步報(bào)文的環(huán)境中，為了確保消息的真實(shí)性和完整性，我們需要使用稍有不同的數(shù)據(jù)元素來生成MAC。在同步報(bào)文中，生成MAC需要以下數(shù)據(jù)：

· Message ID (MsgID)：這是一個(gè)唯一標(biāo)識(shí)該消息的值。它有助于區(qū)分和識(shí)別不同的同步報(bào)文。MsgID通常占用兩個(gè)Byte。

· Freshness Value (FV)：在這種上下文中，F(xiàn)V由TripCnt和ResetCnt組成。

為了確保整體數(shù)據(jù)長(zhǎng)度為整個(gè)Byte，如果這兩個(gè)計(jì)數(shù)器的組合不構(gòu)成完整的Byte長(zhǎng)度，那么后續(xù)的空白部分會(huì)用0來補(bǔ)齊。如圖10所示，MsgID、TripCnt和ResetCnt是順序排列的，然后將這些數(shù)據(jù)輸入加密算法來生成MAC。

圖10 同步報(bào)文MAC生成數(shù)據(jù)構(gòu)成圖

上文為大家淺析了SecOC的通訊機(jī)制。接下來，我們將模擬這一機(jī)制進(jìn)行實(shí)驗(yàn)。利用特定的CAN總線仿真工具，我們配置了一個(gè)Master節(jié)點(diǎn)和一個(gè)Slave發(fā)送節(jié)點(diǎn)。為確保仿真節(jié)點(diǎn)的SecOC機(jī)制無誤，我們還使用了某CAN總線測(cè)試工具進(jìn)行驗(yàn)證和檢驗(yàn)。

將同步報(bào)文ID配置為0x100、TripCnt的長(zhǎng)度配置為24 bit、ResetCnt的長(zhǎng)度配置為18 bit以及MAC的長(zhǎng)度配置為16 bit，MAC生成的對(duì)稱加密算法選擇為AES-128，密鑰為12345678901234567890123456789012。將以上同步報(bào)文以2秒將ResetCnt遞增的方式。具體信息如圖11所示。

圖11 同步報(bào)文配置信息表

將安全報(bào)文ID配置為0x0、IPDU長(zhǎng)度配置為40 bit，F(xiàn)V的長(zhǎng)度配置為8 bit以及MAC的長(zhǎng)度配置為16 bit。MAC生成的對(duì)稱加密算法選擇為AES-128，密鑰為12345678901234567890123456789012。具體信息如圖12所示。

圖12 安全報(bào)文配置信息表

在仿真節(jié)點(diǎn)中完成以上參數(shù)的配置后，在測(cè)試工具中完成相應(yīng)的參數(shù)配置，并進(jìn)行SecOC機(jī)制的驗(yàn)證，通過測(cè)試結(jié)果調(diào)試自己的仿真節(jié)點(diǎn)邏輯。如圖13、14、15所示。

圖13 SecOC機(jī)制參數(shù)配置圖

圖14 安全報(bào)文驗(yàn)證圖

在圖14中，紅色框中內(nèi)容表示測(cè)試工具作為安全報(bào)文接收節(jié)點(diǎn)，收到發(fā)送節(jié)點(diǎn)（仿真節(jié)點(diǎn)）發(fā)送的安全報(bào)文信息，其中要保護(hù)的I-PDU為78901234，截?cái)嗟腇V為00，截?cái)嗟腗AC為E27277（16進(jìn)制）。綠色框中內(nèi)容表示安全報(bào)文生成MAC時(shí)所需的數(shù)據(jù)。藍(lán)色框中內(nèi)容為測(cè)試工具根據(jù)配置信息所生成的MAC值。只有測(cè)試工具計(jì)算的MAC值與收到的截?cái)郙AC值匹配才測(cè)試通過。

圖15 同步報(bào)文驗(yàn)證圖

在圖15中，紅色框中內(nèi)容表示測(cè)試工具作為同步報(bào)文接收方，收到主節(jié)點(diǎn)發(fā)送的同步報(bào)文信息，其中TripCnt值為91，ResetCnt值為77，截?cái)嗟腗AC為D608（16進(jìn)制）。綠色框中內(nèi)容表示測(cè)試工具根據(jù)配置信息整合出來要生成MAC的數(shù)據(jù)（16進(jìn)制，符合前文圖10結(jié)構(gòu)）。藍(lán)色框中內(nèi)容表示測(cè)試工具計(jì)算得到的MAC值。只有測(cè)試工具計(jì)算的MAC值與收到的截?cái)郙AC值匹配才測(cè)試通過。

本文對(duì)AUTOSAR SecOC通訊機(jī)制進(jìn)行了簡(jiǎn)單的闡述，并通過建立仿真節(jié)點(diǎn)實(shí)現(xiàn)SecOC通訊機(jī)制，隨后通過測(cè)試工具驗(yàn)證所實(shí)現(xiàn)的SecOC機(jī)制。

參考文檔：

AUTOSAR. (2022). Specification of Secure Onboard Communication. AUTOSAR Standard Working Specification.

審核編輯 黃宇