AUTOSAR 信息安全框架和關(guān)鍵技術(shù)分析

隨著汽車(chē)網(wǎng)聯(lián)化和智能化，汽車(chē)不再孤立，越來(lái)越多地融入到互聯(lián)網(wǎng)中。在這同時(shí)，汽車(chē)也慢慢成為潛在的網(wǎng)絡(luò)攻擊目標(biāo)，汽車(chē)的網(wǎng)絡(luò)安全已成為汽車(chē)安全的基礎(chǔ)，受到越來(lái)越多的關(guān)注和重視。AUTO- SAR    作為目前全球范圍普遍認(rèn)可的汽車(chē)嵌入式軟件架構(gòu)，已經(jīng)集成的相關(guān)信息安全模塊對(duì)實(shí)現(xiàn)信息安全需求有著充分的支持，例如保護(hù)車(chē)內(nèi)通信或保護(hù)機(jī)密數(shù)據(jù)。由于 CP AUTOSAR 和 AP AUTOSAR 的體系結(jié)構(gòu)不同，目前信息安全模塊的相關(guān)技術(shù)實(shí)現(xiàn)也存在差異。

1、SecOC

在車(chē)載網(wǎng)絡(luò)中，CAN 總線(xiàn)作為常用的通訊總線(xiàn)之一，其大部分?jǐn)?shù)據(jù)是以明文方式廣播發(fā)送且無(wú)認(rèn)證接收，這種方案具有低成本、高性能的優(yōu)勢(shì)。但是隨著汽車(chē)網(wǎng)聯(lián)化、智能化的業(yè)務(wù)需要，數(shù)據(jù)安全性越來(lái)越被重視。傳統(tǒng)的針對(duì)報(bào)文添加 RollingCounter 和 Checksum 信息的方法，實(shí)現(xiàn)的安全性十分有限，也容易被逆向破解，進(jìn)而可以偽造報(bào)文控制車(chē)輛。SecOC 是在 AUTOSAR 軟件包中添加的信息安全組件，主要增加了加解密運(yùn)算、密鑰管理、新鮮值管理和分發(fā)等一系列的功能和新要求。該模塊的主要作用是為總線(xiàn)上傳輸?shù)臄?shù)據(jù)提供身份驗(yàn)證，它可以有效地檢測(cè)出數(shù)據(jù)回放、欺騙以及篡改等攻擊。

圖4.1-1消息認(rèn)證和新鮮度驗(yàn)證流程在 SecOC 標(biāo)準(zhǔn)中，AUTOSAR 主要基于 MAC 的身份驗(yàn)證和 Freshness 的防重放攻擊，來(lái)實(shí)現(xiàn)數(shù)據(jù)的真實(shí)性和完整性校驗(yàn)。首先 MAC（Message Authentication Code）是保障信息完整性和認(rèn)證的密碼學(xué)方法之一，其中 CMAC（Cipher based MAC）一般用于對(duì)稱(chēng)加密，整車(chē)廠可在車(chē)輛下線(xiàn)刷寫(xiě)程序時(shí)靜態(tài)分配密鑰，也可選擇使用云端服務(wù)器動(dòng)態(tài)地給車(chē)輛分配密鑰）是車(chē)載總線(xiàn)加密認(rèn)證常用方案。MAC 的作用不是防止有效數(shù)據(jù)被泄露，而是為了保護(hù)數(shù)據(jù)不會(huì)被攻擊方篡改，即完成數(shù)據(jù)來(lái)源的認(rèn)證。如需保護(hù)通信數(shù)據(jù)不被攻擊方監(jiān)聽(tīng)，則報(bào)文的有效數(shù)據(jù)還需要進(jìn)行額外的加密。為了降低重復(fù)攻擊的風(fēng)險(xiǎn)，則需要在 Secured I-PDU 中加入新鮮度值，F(xiàn)reshness Value 是一個(gè)根據(jù)一定邏輯不斷更新的數(shù)值，F(xiàn)reshness Value 的更新方法多種多樣，AUTOSAR 標(biāo)準(zhǔn)將基于計(jì)數(shù)器或基于時(shí)間的新鮮度值作為典型選項(xiàng)。在 CP AUTOSAR 平臺(tái)，SecOC 模塊依賴(lài)于 PduR 的 API 和功能， 提供了 PDU Router 所需的上下兩層 API（upper and lower layer API）功能。依賴(lài)于由 CSM 模塊在 AUTOSAR 中提供的加密算法。SecOC 模塊需要 API 函數(shù)來(lái)生成和驗(yàn)證加密簽名（Cryptographic Signatures）或消息驗(yàn)證碼（Message Authentication Codes）。為 RTE 提供具有管理功能的 API 作為服務(wù)接口進(jìn)行調(diào)用。SecOC 通信協(xié)議特性同樣適用于 AP AUTOSAR 平臺(tái)標(biāo)準(zhǔn)中，其主要目標(biāo)是實(shí)現(xiàn)與 CP AUTOSAR 平臺(tái) SecOC 功能互操作性，尤其適用于使用 UDP 多播的消息場(chǎng)景（SecOC 是目前唯一支持的協(xié)議）和與 CP AUTOSAR 之間基于信號(hào)的網(wǎng)絡(luò)綁定的安全通信場(chǎng)景。

圖4.1-2 AP AUTOSAR通信管理中的SecOC為了實(shí)現(xiàn)與 CP AUTOSAR 平臺(tái)的互操作性，SecOC 同樣應(yīng)用于 Adaptive CM 中。認(rèn)證信息包括認(rèn)證器（例如，消息認(rèn)證碼）和可選的新鮮度值。為了保持與 CP AUTOSAR 平臺(tái)的互操作性并提供可選的新鮮度值管理功能，AP AUTOSAR CM 將依賴(lài)于可插入的新鮮度值管理庫(kù)。該庫(kù)將提供新鮮度值管理相關(guān)的 API，包含 CP AUTOSAR 平臺(tái)關(guān)于 FreshnessManagement 客戶(hù)端、服務(wù)端接口的副本以及調(diào)用定義的相關(guān)功能。SecOC 的核心思想在于通信認(rèn)證，但是不涉及報(bào)文加密。雖然偽造報(bào)文的難度已經(jīng)大大提升了，但是在通信過(guò)程中采用明文傳輸，依舊有一定的風(fēng)險(xiǎn)；認(rèn)證信息的強(qiáng)度和信息長(zhǎng)度相關(guān)，通信認(rèn)證方案會(huì) 加大報(bào)文負(fù)載（傳統(tǒng) CAN 報(bào)文的負(fù)載只用 8-64 個(gè)字節(jié)），從而導(dǎo)致負(fù)載率提升，通信實(shí)時(shí)性下降，可能使得正常功能受到影響，應(yīng)考慮信息安全強(qiáng)度與通信實(shí)時(shí)性的相互平衡；MAC 技術(shù)應(yīng)考慮對(duì)稱(chēng)密鑰的管理和共享的問(wèn)題，目前大部分 MCU 是沒(méi)有安全功能的，對(duì)稱(chēng)密鑰也是明文保存在系統(tǒng)或者內(nèi)存中。共享該密鑰時(shí)采用明文通信，這是非常不安全的。但 MCU 的計(jì)算能力和存儲(chǔ)空間是有限的，采用了安全 機(jī)制以后，必然占用很大的資源消耗，應(yīng)充分考慮系統(tǒng)的穩(wěn)定性，以保障業(yè)務(wù)與安全機(jī)制能夠正常運(yùn)行；SecOC 用于保證安全通信，必然涉及密鑰（key）的管理，應(yīng)考慮灌裝、更新和維護(hù)該 key, 同時(shí)還需考慮換件后 key 的一致性。