AUTOSAR 信息安全框架和關(guān)鍵技術(shù)分析

隨著汽車網(wǎng)聯(lián)化和智能化，汽車不再孤立，越來越多地融入到互聯(lián)網(wǎng)中。在這同時，汽車也慢慢成為潛在的網(wǎng)絡(luò)攻擊目標(biāo)，汽車的網(wǎng)絡(luò)安全已成為汽車安全的基礎(chǔ)，受到越來越多的關(guān)注和重視。AUTO- SAR    作為目前全球范圍普遍認(rèn)可的汽車嵌入式軟件架構(gòu)，已經(jīng)集成的相關(guān)信息安全模塊對實(shí)現(xiàn)信息安全需求有著充分的支持，例如保護(hù)車內(nèi)通信或保護(hù)機(jī)密數(shù)據(jù)。由于 CP AUTOSAR 和 AP AUTOSAR 的體系結(jié)構(gòu)不同，目前信息安全模塊的相關(guān)技術(shù)實(shí)現(xiàn)也存在差異。

1、SecOC

在車載網(wǎng)絡(luò)中，CAN 總線作為常用的通訊總線之一，其大部分?jǐn)?shù)據(jù)是以明文方式廣播發(fā)送且無認(rèn)證接收，這種方案具有低成本、高性能的優(yōu)勢。但是隨著汽車網(wǎng)聯(lián)化、智能化的業(yè)務(wù)需要，數(shù)據(jù)安全性越來越被重視。傳統(tǒng)的針對報文添加 RollingCounter 和 Checksum 信息的方法，實(shí)現(xiàn)的安全性十分有限，也容易被逆向破解，進(jìn)而可以偽造報文控制車輛。SecOC 是在 AUTOSAR 軟件包中添加的信息安全組件，主要增加了加解密運(yùn)算、密鑰管理、新鮮值管理和分發(fā)等一系列的功能和新要求。該模塊的主要作用是為總線上傳輸?shù)臄?shù)據(jù)提供身份驗(yàn)證，它可以有效地檢測出數(shù)據(jù)回放、欺騙以及篡改等攻擊。

圖4.1-1消息認(rèn)證和新鮮度驗(yàn)證流程在 SecOC 標(biāo)準(zhǔn)中，AUTOSAR 主要基于 MAC 的身份驗(yàn)證和 Freshness 的防重放攻擊，來實(shí)現(xiàn)數(shù)據(jù)的真實(shí)性和完整性校驗(yàn)。首先 MAC（Message Authentication Code）是保障信息完整性和認(rèn)證的密碼學(xué)方法之一，其中 CMAC（Cipher based MAC）一般用于對稱加密，整車廠可在車輛下線刷寫程序時靜態(tài)分配密鑰，也可選擇使用云端服務(wù)器動態(tài)地給車輛分配密鑰）是車載總線加密認(rèn)證常用方案。MAC 的作用不是防止有效數(shù)據(jù)被泄露，而是為了保護(hù)數(shù)據(jù)不會被攻擊方篡改，即完成數(shù)據(jù)來源的認(rèn)證。如需保護(hù)通信數(shù)據(jù)不被攻擊方監(jiān)聽，則報文的有效數(shù)據(jù)還需要進(jìn)行額外的加密。為了降低重復(fù)攻擊的風(fēng)險，則需要在 Secured I-PDU 中加入新鮮度值，F(xiàn)reshness Value 是一個根據(jù)一定邏輯不斷更新的數(shù)值，F(xiàn)reshness Value 的更新方法多種多樣，AUTOSAR 標(biāo)準(zhǔn)將基于計數(shù)器或基于時間的新鮮度值作為典型選項(xiàng)。在 CP AUTOSAR 平臺，SecOC 模塊依賴于 PduR 的 API 和功能， 提供了 PDU Router 所需的上下兩層 API（upper and lower layer API）功能。依賴于由 CSM 模塊在 AUTOSAR 中提供的加密算法。SecOC 模塊需要 API 函數(shù)來生成和驗(yàn)證加密簽名（Cryptographic Signatures）或消息驗(yàn)證碼（Message Authentication Codes）。為 RTE 提供具有管理功能的 API 作為服務(wù)接口進(jìn)行調(diào)用。SecOC 通信協(xié)議特性同樣適用于 AP AUTOSAR 平臺標(biāo)準(zhǔn)中，其主要目標(biāo)是實(shí)現(xiàn)與 CP AUTOSAR 平臺 SecOC 功能互操作性，尤其適用于使用 UDP 多播的消息場景（SecOC 是目前唯一支持的協(xié)議）和與 CP AUTOSAR 之間基于信號的網(wǎng)絡(luò)綁定的安全通信場景。

圖4.1-2 AP AUTOSAR通信管理中的SecOC為了實(shí)現(xiàn)與 CP AUTOSAR 平臺的互操作性，SecOC 同樣應(yīng)用于 Adaptive CM 中。認(rèn)證信息包括認(rèn)證器（例如，消息認(rèn)證碼）和可選的新鮮度值。為了保持與 CP AUTOSAR 平臺的互操作性并提供可選的新鮮度值管理功能，AP AUTOSAR CM 將依賴于可插入的新鮮度值管理庫。該庫將提供新鮮度值管理相關(guān)的 API，包含 CP AUTOSAR 平臺關(guān)于 FreshnessManagement 客戶端、服務(wù)端接口的副本以及調(diào)用定義的相關(guān)功能。SecOC 的核心思想在于通信認(rèn)證，但是不涉及報文加密。雖然偽造報文的難度已經(jīng)大大提升了，但是在通信過程中采用明文傳輸，依舊有一定的風(fēng)險；認(rèn)證信息的強(qiáng)度和信息長度相關(guān)，通信認(rèn)證方案會 加大報文負(fù)載（傳統(tǒng) CAN 報文的負(fù)載只用 8-64 個字節(jié)），從而導(dǎo)致負(fù)載率提升，通信實(shí)時性下降，可能使得正常功能受到影響，應(yīng)考慮信息安全強(qiáng)度與通信實(shí)時性的相互平衡；MAC 技術(shù)應(yīng)考慮對稱密鑰的管理和共享的問題，目前大部分 MCU 是沒有安全功能的，對稱密鑰也是明文保存在系統(tǒng)或者內(nèi)存中。共享該密鑰時采用明文通信，這是非常不安全的。但 MCU 的計算能力和存儲空間是有限的，采用了安全 機(jī)制以后，必然占用很大的資源消耗，應(yīng)充分考慮系統(tǒng)的穩(wěn)定性，以保障業(yè)務(wù)與安全機(jī)制能夠正常運(yùn)行；SecOC 用于保證安全通信，必然涉及密鑰（key）的管理，應(yīng)考慮灌裝、更新和維護(hù)該 key, 同時還需考慮換件后 key 的一致性。