一、背景
随着汽车功能越来越强大,ECU数量也不断增加,从十几个逐渐增加到几十个。且为完成越来越高阶的汽车功能,各ECU之前需紧密配合,ECU间的通信需求也急剧增加。但汽车通信在设计之初,也存在早期TCP/IP协议栈上出现的问题:没有考虑信息安全。在汽车内部通信环境中,接收端ECU只要检测到总线上的发送给我的信号,且信号格式是规范的,ECU就会进行响应。例如智驾模块的ACC功能检测到前车刹车,可以发送一个刹车信号给刹车ECU,刹车ECU接收到信号后,就进行刹车。但攻击者也可以去重放或伪造一个刹车信号,直接发送到总线中,此时刹车ECU检测到刹车信号,同样会做出刹车动作。出现此问题的核心在于,刹车ECU无法区分接收到的信号是合法ECU发出的还是攻击者伪造/重放的,刹车ECU只要接收到符合规范的信号,就做出响应。故从信息安全角度考量,需要一套机制来保障ECU能识别信号是否为合法的发送方所发送的,即检测接收到的信号的真实性和完整性。
为解决此需求,AUTOSAR中定义了SecOC(Secure Onboard Communicaton)机制,通过该机制来保障车辆ECU之间通信的真实性和完整性,使得ECU可以识别出伪造或重放的信号,从而规避攻击者的攻击。
二、概述
SecOC的总体机制如上图所示:
- SecOC需在发送方和接收方同步实施
- SecOC模块与PduR模块进行交互
- 在发送方, SecOC 模块通过向待发送的原始PDU 添加认证信息,从而创建出安全 PDU。认证信息包括 MAC 值(消息认证码)和新鲜度值信息。
- 在接收方, SecOC 模块通过验证发送方 SecOC 模块附加的认证信息来检查安全 PDU 的新鲜性和完整性。只有接收方 SecOC 的安全 PDU数据是发送方 SecOC 生成的安全 PDU 数据时,接收方才能验证通过,验证通过后由 PDUR 模块将该 PDU 转发至应用层使用;若PDU数据不是合法的发送方所发送或被非法篡改,均会导致验证不通过,则PDUR不再路由该 PDU到应用层。
- PDU 发送方和接收方的 SecOC 模块从新鲜度值管理模块获得每个安全 PDU 的新鲜度值(FreshnessValue,简称 FV)。接收方必须能正确获取到发送发计算MAC时使用的FV值,若接受方获取到的FV值和发送发FV值不相同,必然会导致MAC验证失败。保证FV值的相同由新鲜度值管理模块进行管理。
三、安全PDU
3.1 安全PDU格式
如上图所示,安全PDU由4部分组成:安全PDU头(可选)、原始PDU、新鲜度值(可选)、认证信息(MAC值)
-
Secured I-PDU Header:原始I-PDU的长度。当原始PDU为动态PDU时,需通过header中长度知晓FV和Authenticator的位置。通常不使用该字段。
-
Authentica I-PDU:原始I-PDU
-
Freshness Value:新鲜度值
-
Authenticator:认证信息,即MAC值
3.1.1 Authenticator/MAC
MAC 值是使用密钥(KeyID),安全 PDU 的数据标识符(如 CAN-FD 协议的 PDU 数据标识符为 CANID),原始 PDU和新鲜度值通过 AES-128-CMAC 算法生成的唯一认证数据串。
- KeyID: 在进行 MAC 计算时是需要密钥参与的,通常密钥是由 CSM(加密服务模块)提供,一般 CSM 模块会封装密钥,一个 KeyID 对应一个密钥,在调用时只需要接口提供 KeyID来参与 MAC 计算, KeyID 进行设置的话,设为 01(固定值),长度 8 位,范围设置为 0x01-0xFF 之间。
- CANID:根据标准定义 16bit 的 Data Id(参数: SecOCDataId)
- 新鲜度值:每个安全 PDU 需要配置有一个新鲜度值。新鲜度值 FV 是用于确保安全 PDU 新鲜度的单调计数器。新鲜度值应来自新鲜度值管理模块。
SecOC 模 块 应 构 造 用 于 生 成 MAC 值 的 数 据 DataToAuthenticator 。
DataToAuthenticator 由 PDU 的数据标识符 SecOCDataId,原始 PDU 以及该 PDU 的数据标识符相对应的完整新鲜度值进行连接构成。 PDU 的数据标识符和新鲜度值应以 BigEndian字节顺序编码。
3.1.2 新鲜度值和Authenticator截断
原始新鲜度值长度为8字节,原始MAC值长度为16字节。为降低链路负载,可考虑对新鲜度值和MAC进行截取一部分,作为有效信息。
- 新鲜度值:N字节,从低有效位开始截取,长度可自定义
- MAC值:M字节,从高有效位开始截取,长度可自定义
3.2 安全PDU的创建
为原始PDU创建安全PDU包含如下6个步骤:
- 准备构建安全 PDU
在准备期间,应分配必要的缓冲区以保存认证过程的中间和最终结果。 - 为生成 MAC 值构建数据
SecOC 模 块 应 构 造 用 于 生 成 MAC 值 的 数 据 DataToAuthenticator 。
DataToAuthenticator 由 PDU 的数据标识符 SecOCDataId,原始 PDU 以及该 PDU 的数据
标识符相对应的完整新鲜度值进行连接构成。 PDU 的数据标识符和新鲜度值应以 BigEndian
字节顺序编码。 - 生成 MAC 值
SecOC 模块应通过将 DataToAuthenticator, DataToAuthenticator 的长度传递到认证
算法(AES-128-CMAC)中生成 MAC 值。
SecOC 模块应将生成的 MAC 值截取为指定的位数 SecOCAuthInfoTruncLength。 - 构建安全 PDU
SecOC 模块应通过将截取的新鲜度值信息和截取的 MAC 值信息添加到原始 PDU 来构
建安全 PDU。
安全 PDU 中内容的结构顺序应符合以下要求:
安全 PDU=原始 PDU|截取的新鲜度值(长度 SecOCFreshnessValueTruncLength) |截取
的 MAC 值(长度为 SecOCAuthInfoTruncLength) - 更新新鲜度值
需要通知新鲜度值管理模块,将安全 PDU 对应的新鲜度值进行更新。 - 发送安全 PDU
将安全 PDU 发送。
3.3 安全PDU的认证
验证安全PDU包含如下6个步骤:
-
解析安全 PDU
收到安全 PDU 后, SecOC 模块应从中解析原始 PDU,截取的新鲜度值和截取的 MAC值。 -
从新鲜度值管理模块获取新鲜度值
SecOC 模块从新鲜度值管理模块获取与 PDUID 对应的新鲜度值。 -
构建验证 MAC 值的数据
SecOC 模块应构造用于计算接收方 MAC 值(DataToAuthenticator)的数据。该数据由 SecOCDataId,原始 PDU 数据以及用于验证的新鲜度值(FreshnessVerifyValue)连接组成。 用于验证的新鲜度值(FreshnessVerifyValue)应按照接收消息的新鲜值构建方式的要求进行构造。 -
验证安全 PDU 中的认证信息
SecOC 模块应通过将 DataToAuthenticator, DataToAuthenticator 的长度,从安全PDU 解析的 MAC 值和其长度 SecOCAuthInfoTruncLength 传递到认证算法(AES-128-CMAC)中来验证 MAC 值。
如果 MAC 值验证通过(即通过本地认证算法计算得到的 MAC 值与 PDU 中截取的MAC 值一致),则安全 PDU 通过验证。
如果 MAC 值验证不通过,则按下图进行处理。判断验证尝试次数是否超出最大验证尝试次数 SecOCFreshnessValueSyncAttempts,最大验证尝试次数应设置为 3(考虑到在消息传输时,网络上可能存在丢包的情况,会造成消息收发双方新鲜度值高位部分不一致的情况,因此设置最大验证尝试次数保证合法消息的顺利接收。)如果不超过,则对待验证新鲜度值中消息计数器的高有效位进行自增处理,并继续进行 MAC 值验证,如果超过,则认定对该安全 PDU 的验证失败,并按照安全 PDU 验证失败处理的要求进行处理。
-
更新新鲜度值
如果安全 PDU 通过验证,需要对本地的新鲜度值进行更新,将本地的新鲜度值设置为此次待验证新鲜度值。 -
将原始 PDU 传递给上层应用
如果安全 PDU 的验证成功,则 SecOC 模块应使用 PDUR 模块提供的接口将原始 PDU传递给上层应用模块。
四、SecOC和PDUR交互
当上层应用需要发送数据时,上层应用将原始 PDU 信息传输给 PDUR 模块,然后PDUR 模块通过 PDU 标识符判断该 PDU 是否需要实施 SecOC 机制,如果是,则 PDUR 模块将该 PDU 信息转发到 SecOC 模块,由 SecOC 模块对其进行认证,形成安全 PDU 后,SecOC 模块再将安全 PDU 传输给 PDUR 模块进行转发,传输到下层通信模块。
当下层通信模块收到数据时,下层通信模块将 PDU 信息传输给 PDUR 模块,然后PDUR 模块通过 PDU 标识符判断该 PDU 是否需实施了 SecOC 机制,如果是,则 PDUR 模块将该 PDU 信息转发到 SecOC 模块,由 SecOC 模块对其进行验证,验证通过后, SecOC模块再将原始 PDU 传输给 PDUR 模块进行转发,传输到上层应用。
五、新鲜度值管理
新鲜度值管理参考AUTOSAR标准的附录A,附录A中给出四种新鲜度值管理模式:基于单新鲜度计数器、基于新鲜度时间戳、基于多新鲜度计数器(截断模式)、基于多新鲜度计数器(完整模式)。在实际项目中,大多数选择的是:基于多新鲜度计数器(截断模式),故后续基于此模式进行解读。
5.1 新鲜度管理器模式
通常选择一个master的方式,如下图:
| 实体 | 描述 |
|---|---|
| Sender ECU | 发送安全PDU的ECU,接收从主FV管理器发送的新鲜度同步消息,并在创建安全PDU时使用FV |
| Receiver ECU | 接收和验证安全PDU的ECU,接收从主FV管理器发送的新鲜度同步消息,并在验证安全PDU时使用FV |
| FV management master ECU | 作为FV管理节点,向所有使用SecOC的ECU发送新鲜度值同步消息 |
5.2 新鲜度值结构
| 字段 | 描述 |
|---|---|
| Trip Counter(同步计数器) | MASTERFVM所在ECU会通过新鲜度值同步消息将当前同步计数器的值发送SLAVEFVM所在ECU。 SLAVEFVM需要维护该值。该值需要存储在NVM中。 |
| Reset Counter (重置计数器) | 该计数器在MASTERFVM周期性的自增。 MASTERFVM所在ECU会通过新鲜度值同步消息将当前重置计数器的值发送给SLAVEFVM所在ECU。 SLAVEFVM需要维护该值。 |
| Message Counter(消息计数器) | 安 全 PDU发送端每次发送安全PDU后,对应的消息计数器自增1。高位表示高有效位,低位表示低有效位。 |
| ResetFlag(重置低位) | 为重置计数器的低有效位。其值与重置计数器同步。 |
计数器变换说明
| 计数器 | 变化条件 | 置为初始值的条件 | 初始值 | 长度 |
|---|---|---|---|---|
| Trip Counter(同步计数器) | 当masterFVM所在的ECU的FVM初始化时、当被唤醒时、当reset时、当电源状态从IG-OFF=>IG-ON时,均自增1 | 1.当同步计数器达到最大值,并且发生自增。 2.当密钥更新且重启时 | masterFVM:1 salveVM:0 | 最大24bit |
| Reset Counter (重置计数器) | 1.当MASTERFVM的每个重置周期(ResetCycle)到达时,MASTERFVM重置计数器自增1。 2.当MASTERFVM收到同步请求消息,重置计数器自增1. | 当 同步计数器自增 或FVM初始化时 | masterFVM:1 slaveFVM:0 | 最大24bit |
| Message Counter(消息计数器) | 当PDU发送端每次安全PDU消息传输成功后,PDU发送端的消息计数器自增1。 注: ECU启动后向外发的第一帧安全PDU的消息计数器的值应为1 | 当重置计数器自增或FVM初始化时 | slaveFVM:0 | 最大48bit |
| ResetFlag(重置低位) | 与重置计数器低位同步 | 与重置计数器低位同步 | 与重置计数器低位同步 | 最大2bit |
5.2.1 计数器达到最大值
5.2.1.1 Master FVM
- TripCounter同步计数器
当TripCounter达到最大值,并且触发TripCounter自增条件(如ECU上电),TripCounter和ResetCounter均设置为初始值。 - ResetCounter重置计数器
当ResetCounter达到最大值,并且触发ResetCounter自增条件(如进入新的重置周期),ResetCounter值保持不变,固定位最大值。
5.2.1.2 Slave FVM
- TripCounter同步计数器达到最大值(或接近最大值)
若满足下方条件1和条件2,则接受新鲜度值同步消息并验证。如果验证通过,则更新FVM中保存的计数器值。每个计数器的先前发送值和先前接收值需置为初始值。
条件1和条件2中的同步计数器接收窗口设置为3
条件1:
同步计数器最大值-同步计数器接收窗口 <= FVM中保存的最新同步计数器 <= 同步计数器最大值
条件2:
同步计数器初始值 <= 新鲜度值同步消息中的同步计数器值 <= 同步计数器初始值+同步计数器接收窗口
[Reason] This is to provide a permissible range (ClearAcceptanceWindow),
taking into consideration cases where the trip counters of the FV management
master ECU and slave ECU deviate from each other around the maximum value.
The initial value of the trip counter in Condition 2 refers to the initial value of the
FV management master ECU
- ResetCounter
当ResetCounter达到最大值时,ResetCounter不在变化,固定位最大值。ResetCounter使用最大值去生成MAC值 - MessageCounter
当MessageCounter达到最大值时,MessageCounter不在变化,固定位最大值。MessageCounter使用最大值去生成MAC值
5.3 新鲜度值同步信息
5.3.1 新鲜度同步消息
MASTER FVM 和 SLAVE FVM 应具有新鲜度值同步功能,用于将 MASTER FVM 当前的新鲜度值信息同步到 SLAVE FVM,保证安全 PDU 收发两端新鲜度值的一致性。
新鲜度值同步消息格式:
- TripCounter:同步计数器,3个字节。为Master FVM当前的TripCounter值;
- ResetCounter:重置计数器,2个字节。为Master FVM当前的ResetCounter值;
- Authenticator:认证信息,即MAC值,11个字节。使用AES-128-CMAC算法,以TripCounter和ResetCounter作为输入,计算得到MAC值作为认证信息;
Slave FVM通过校验认证信息来判断新鲜度值同步消息的合法性。
5.3.2 CANID分配
- 为Master FVM分配一个CANID用于发送新鲜度值同步消息。发送方位Master FVM所在的ECU,接收方为其他实施SecOC机制的ECU。
- 为作为Slave FVM的每个ECU分配一个CANID,用于发送新鲜度值同步请求消息。发送方为Slave FVM的ECU,接收方为Master FVM的ECU。
- 应分配高优先级的CANID。
5.4 Master FVM处理流程
Master FVM需维护如下计数器:
| 计数器 | 描述 | 更新条件 |
|---|---|---|
| 最新的TripCounter | Master FVM当前的TripCounter | Master FVM初始化时自增1 |
| 最新的ResetCounter | Master FVM当前的ResetCounter | 1.Master FVM每进入一个重置周期时,自增1. 2.Master FVM收到新鲜度值同步请求时,在发送新鲜度值同步消息前,自增1. |
5.4.1 初始化流程
Master FVM所在的ECU在启动、唤醒、复位时执行如下过程:
- 获取存储在非易失性存储器中的同步计数器值。在第一次启动或无法从非易失性存储器读取同步计数器值时,将同步计数器设置为初始值1。如果不是第一次启动,需要将同步计数器TripCounter自增 1
- 将同步计数器TripCounter存储到非易失性存储器
- 将重置计数器ResetCounter设置为初始值1
5.4.2 发送新鲜度同步信息
5.4.2.1 发送消息
每当一个ResetCntCycle周期到达后,需发送一次新鲜度值同步消息。
5.4.2.2 同步消息构建
新鲜度值同步消息的构建流程:
- 获取 MASTER FVM 当前的同步计数器、重置计数器的值。
- 构建计算 MAC 值信息的数据,通过 AES-128-CMAC 算法计算 MAC 值。
计算 MAC 值信息的数据 =“同步消息 CAN ID(16bit) | 同步计数器 | 重置计数器” 。 - 对计算得到的 MAC 值信息的高有效位进行截取, CANFD 协议的截取长度为88bit。如果计算 CMAC 函数调用失败,则使用默认码填充。
- 按照新鲜度值同步消息的格式构建新鲜度值同步消息并发送。
5.4.3 接收新鲜度同步请求消息
如果 MASTER FVM 处在发送新鲜度值同步消息期间(从第 1 次发送到第 3 次发送的时间内),应忽略在此期间内接收到的新鲜度值同步请求消息。如果不在此期间, MASTER FVM 在收到新鲜度值同步请求消息后, MSATER FVM 应执行以下过程:
- MASTER FVM 将重置计数器自增 1,并重新开始计算重置周期。
- 发送新鲜度值同步消息。需要连续发送 3 次,间隔 50ms。
5.5 Slave FVM处理流程
Slave FVM需维护如下计数器:
| 计数器 | 描述 | 更新条件 |
|---|---|---|
| 最新的同步计数器TripCounter | 从 MASTER FVM 成功接收到的最新的同步计数器。所有安全 PDU 共用一个最新的同步计数器 | 成功接收到来自 MASTER FVM所在 ECU发送的新鲜度值同步消息 |
| 最新的重置计数器ResetCounter | 从 MASTER FVM 成功接收到的最新的重置计数器。所有安全 PDU 共用一个最新的重置计数器 | 成功接收到来自 MASTER FVM所在 ECU发送的新鲜度值同步消息 |
| 新鲜度值FV | 对每个安全 PDU 都需要维护一个新鲜度值。 当 SLAVE FVM 所在 ECU为安全 PDU 的发送端:在发 送 安 全 PDU 之 前 ( 当SecOC 模 块 请 求 提 供 FV时), FVM 提供当前 FV 的值。在安全 PDU 成功发送之后,SecOC 模 块 将 通 知 FVM对 FV 的值进行更新。 当 SLAVE FVM 所在 ECU为安全 PDU 的接收端:在接收到安全的 PDU 需要对其进行验证时(SecOC 模块请求提供 FV 时), FVM 提供 FV 的值用于验证。 在安全 PDU 验证通过后, SecOC模块会通知FVM 对 FV 的值进行更新。 | 当 SLAVE FVM 所 在 ECU 为安全 PDU 的发送端:收到 SecOC模块的安全 PDU 传输成功的通知。 当 SLAVE FVM 所 在 ECU 为安全 PDU 的接收端:收到 SecOC模块的安全 PDU 验证成功的通知。 |
5.5.1 初始化流程
SLAVEFVM 所在的 ECU 在启动、唤醒、复位时执行以下过程。
- 获取存储在非易失性存储器中的同步计数器值。在第一次启动或无法从非易失性存储器读取同步计数器值时,将同步计数器设置为初始值0。
- 将最新的同步计数器值设置为第1步获取的同步计数器值。
- 将最新的重置计数器设置为初始值0。
- 每个 FV 中,先前的同步计数器设置为最新的同步计数器值,先前的重置计数器设置、先前的消息计数器以及先前的重置低位均设置为初始值。
5.5.2 接收新鲜度值同步消息
5.5.3 发送新鲜度同步请求消息
在以下情况,需要 SLAVE FVM 所在 ECU 发送新鲜度值同步请求消息。
- 在 SLAVE FVM 初始化流程完成,并且在网络管理报文发出之后,如果 150ms 内没有收到新鲜度值同步消息,应发送新鲜度值同步请求消息。需要连续发送 3 次,间隔 50ms。如果在发送期间收到新鲜度值同步消息,并且验证通过后,则停止发送新鲜度值同步请求消息。
- 在 SLAVE FVM 初始化流程完成之后,如果接收到安全 PDU 消息,并且之前没有收到过新鲜度值同步消息时,应发送新鲜度值同步请求消息。需要连续发送 3 次,间隔 50ms。如果在发送期间收到新鲜度值同步消息,并且验证通过后,则停止发送新鲜度值同步请求消息。
- 当 SLAVE FVM 所在 ECU 发生 busoff,之后在检测到 busoff 恢复时,应发送新鲜度值同步请求消息。需要连续发送 3 次,间隔 50ms
注意:如果在发送新鲜度值同步请求消息期间,收到了的新鲜度值同步消息并验证通过,则停止发送后续的新鲜度值同步请求消息。例如,在发送了 1 次新鲜度值同步请求消息后,收到了新鲜度值同步消息并验证通过,则不再发送后续的两次新鲜度值同步请求消息。
5.6 构建用于创建消息的新鲜度值
| 术语 | 描述 |
|---|---|
| Latest value | 最新的TripCounter或ResetCounter值 |
| Previously sent value | 最近一次成功发送安全PDU所使用的值 |
当发送方SecOC模块向FVM请求获取新鲜度值时,FVM需通过如下表格构造新鲜度值并返回给SecOC:
当最新的TripCounter和ResetCounter和上次成功发送的不相同时(最新值只来自MasterFVM的同步消息,TripCounter和ResetCounter不断自增,故当不相同时,必然是最新值大于前值),说明TripCounter和ResetCounter已进行更新,此时message Counter需置为初始值。
计算该PDU的MAC时,SecOC获取到的FV有2种选择:
autosar选择方案1
在收到 SecOC 模块的安全 PDU 传输成功的通知时, PDU 发送端 FVM 将对先前新鲜度值进行更新,更新为传输成功的安全 PDU 所用的新鲜度值。
5.7 构建用于验证消息的新鲜度值
当 SecOC 模块向 PDU 接收端 FVM 请求获取用于验证安全 PDU 的新鲜度值时,
FVM基于以下三个结果构建用于验证的新鲜度值。
- 重置低位比较:对最新的重置低位和接收到的PDU中的重置低位进行比较;
- TripCounter|ResetCounter比较:最新的TripCounter|ResetCounter与最近一次验证成功的TripCounter|ResetCounter进行比较。
- MessageCounter Lower(低有效位)比较:最近一次接收的低有效位和本次接收的低有效位比较。
| 术语 | 描述 |
|---|---|
| Latest value | FV中最新的值 |
| Received value | 本次安全PDU中接收到的值 |
| Previously received value | 最近一次接收并验证成功的值 |
接收端计算验证时使用的新鲜度值,如下图:
上图很复杂,按照上图的确可以得到正确的FV值(参考5.8章节示例图),但目前是知其然不知其所以然。为啥是如图的逻辑,并没有搞清楚。
5.8 示例图
六、总结
以上为基于阅读AUTOSAR SecOC文档进行简单理解SecOC机制原理。总体上说,SecOC是为了解决整车通信中存在的伪造消息和重放消息的攻击场景,引入的一套全新的机制。该机制核心是通过在发送的每个消息中附加一段认证信息,由接收方进行验证,从而确保消息被伪造和重放可识别出。其中为了识别重放攻击,又引入的新鲜度值的概念。
在实际项目实践中,仍有很多问题需明确,例如:同步周期是多少,FV的TripCounter和ResetCounter具体长度、FV和MAC的截断长度、FV同步消息的CANID、FV同步请求消息的CANID分配、哪些信号应实施SecOC、SDB改造(需要添加FV和MAC字段)、异常处理、MAC密钥注入、是否使用多密钥、多密钥管理等问题
SecOC涉及到整车的多个件,且这些件大概率分属不同的供应商开发,故进行SecOC实施时,需预留充足的时间进行联合调试。
1087
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
