点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
来源: 为辰信安
01
背景简介
在汽车车内总线通信中,CAN/CAN FD的总线报文传输状态多为明文,由于信号信息的安全防护措施几乎是空白,因此黑客可以轻松地对报文进行篡改、重放等攻击,直接影响车辆的行车安全。除了可能造成的财产损失,严重的甚至可能导致对生命安全的威胁。
如何在车内通信中采用有效的机制进行安全防护是需要我们重点关注的问题,当前针对CAN/CAN FD的总线数据保护多采用AUTOSAR SecOC。
02
SecOC是什么
SecOC(Secure On-board Communication),是一种保护车内网通信数据的安全机制。
AUTOSAR(Automotive Open System Architecture)是一种用于汽车电子系统开发的开放性标准,由全球知名汽车制造商、零部件供应商及其他电子、半导体和软件系统公司共同开发,旨在降低汽车控制软件的开发风险,提高软件复用度。
SecOC标准由AUTOSAR提出,源于对CAN FD总线场景的报文保护,可以扩展应用于CAN与以太网。SecOC是AutoSAR协议栈通信模块中添加的信息安全组件,依托密码服务、新鲜值管理等应用于安全报文认证与验证功能的组件。SecOC处于BSW层,主要提供对PDU级别的保护。
03
SecOC解决什么问题
SecOC利用消息授权码和新鲜值为车载通信报文提供安全验证,能有效防御重放、篡改攻击,为车内安全通信数据提供真实性、完整性和时效性保护。SecOC主要采用消息授权码与新鲜值机制:
消息授权码(Message Authentication Code,简称MAC)是一种基于密钥的密码学方法,以保护数据完整性和真实性。MAC多用CMAC或HMAC两种方式。
新鲜值(Freshness Value,简称FV)是一种通过计数值度量数据新鲜度的方法,以保证数据时效性。
SecOC原理为在发送端对报文件进行认证,新鲜值和消息授权码会以截取的方式追加原始报文末尾形成安全报文。在接收端收到安全报文后,获取新鲜值及消息授权码对原始报文进行验证。
04
SecOC的量产应用问题
当前已有不少主机厂选择应用SecOC来保证车内通信的安全,在量产应用过程中,可能会面临的问题如下——
1
缺乏完备的密钥管理系统。针对密钥全生命周期管理(测试密钥、下线密钥、密钥更新、密钥废弃),密钥如何为查错提供支持,既能供运营查错,又能确保不泄露?
2
同步报文漏收导致通信CNT值不一致怎么处理?
3
安全报文验证不通过,怎么能够迅速便捷地排查问题所在?
4
部分控制器休眠后,未收到同步报文前的安全报文校验如何处理?
5
各节点从非易失性存储器读取TripCnt失败后,分别如何处理?
6
如果密钥未采用硬件安全存储,而是存储在非易失存储器,如何保证安全存储密钥?使用密钥时,若读取失败该如何处理?
7
采用硬件加密算法(如HSM)时,如何与HSM集成适配?认证时HSM硬件加密模块反馈失败如何处理?验证时HSM硬件加密模块反馈失败如何处理?
8
如何降低集成、测试的人力成本消耗?
05
问题解决思路
针对在实际量产中出现的上述问题,为辰信安建议从下述思路考虑解决方案。
❖
1、从整车级别的密钥全生命周期管理,而不是从单个业务独立进行密钥管理,结合后台数据库对密钥验证、使用、查错等支撑。
❖
2、采用同步请求、同步报文多帧等机制解决控制器不同步启动、同步报文漏收等问题。
❖
通过默认码手段解决非易失性存储器异常、HSM硬件算法支持异常等设备异常时报文的验证问题。
❖
采用错误报文快照上报云平台等方式支撑发生报文验证不通过时的可能原因排查。
❖
针对集成与测试人力资源消耗的问题,可以采用CANoe插件支持集成联调,方便确认单个件的功能是否准确。同时采用测试工具自动化的方式提高测试效率,支持完备、高效的系统级测试。
通过上述措施为SecOC在开发—测试—上车—售后阶段提供充分的保证。
精品活动推荐
更多文章
会员权益: (点击可进入)谈思实验室VIP会员
如有侵权请联系:admin#unsafe.sh