2022年8月5日，由蓋世汽車、AUTOSAR組織聯(lián)合主辦的2022第三屆軟件定義汽車論壇暨AUTOSAR中國(guó)日活動(dòng)中，維克多汽車技術(shù)（上海）有限公司商業(yè)開發(fā)經(jīng)理郝子鑒首先對(duì)智能網(wǎng)聯(lián)化趨勢(shì)下，汽車的網(wǎng)絡(luò)安全需求和技術(shù)環(huán)境進(jìn)行了簡(jiǎn)要介紹，接著對(duì)維克多提供的產(chǎn)品MICROSAR，其與AUTOSAR兼容的加密協(xié)議棧、行業(yè)主流HSM硬件安全模塊進(jìn)行了詳盡地介紹。

汽車信息安全性在智能網(wǎng)聯(lián)時(shí)代需提上日程

SDV時(shí)代，隨車身代碼數(shù)量不斷增長(zhǎng)，繼功能安全之后，網(wǎng)絡(luò)安全正成為汽車領(lǐng)域最火熱的話題。目前行業(yè)更多做的是V2V，V2X的互聯(lián)，也就是說(shuō)，車不再是以車內(nèi)的通信為主，而是轉(zhuǎn)而集中在車外，這種智能互聯(lián)會(huì)帶來(lái)網(wǎng)絡(luò)安全和數(shù)據(jù)安全的問題。我這邊會(huì)介紹一些維克多針對(duì)網(wǎng)絡(luò)安全和數(shù)據(jù)安全的解決方案，希望給大家或者各個(gè)主機(jī)廠和tier1更多啟示。

圖片來(lái)源：維克多 官網(wǎng)

功能安全和信息安全/網(wǎng)絡(luò)安全這兩個(gè)概念經(jīng)常能聽到，但大家不一定能理解對(duì)。通過(guò)這兩張圖可以更快地分清它們：上圖是保護(hù)人免遭系統(tǒng)的傷害，因?yàn)槿耸亲钪匾?，最需要保護(hù)的，功能安全更多指的是我們要保護(hù)人，來(lái)避免人受到汽車的傷害。

下圖是保護(hù)系統(tǒng)免遭人的傷害，這個(gè)人就是黑客，需要避免網(wǎng)絡(luò)入侵操縱系統(tǒng)?，F(xiàn)在再單獨(dú)提功能安全，已經(jīng)沒有什么意義了。即便安全方面達(dá)到的等級(jí)再高，一旦黑客入侵了，他就可以操控汽車破壞任何東西，這就不能再稱之為安全。

圖片來(lái)源：維克多

回到今天的主題，信息安全大概有四個(gè)目標(biāo)：

第一點(diǎn)是真實(shí)性，簡(jiǎn)單理解就是收發(fā)信息的時(shí)候，發(fā)送方和接收方一定要是確定的，收信人可以明確對(duì)面是不是要接收的信息來(lái)源。

第二點(diǎn)是機(jī)密性，也就是明文變暗文，當(dāng)有黑客去截取信息之后，它沒有辦法讀到真正的具體內(nèi)容。因?yàn)樾畔⒁呀?jīng)通過(guò)密鑰和算法庫(kù)進(jìn)行了加密。

第三點(diǎn)是完整性，其實(shí)完整性在網(wǎng)絡(luò)安全當(dāng)中是非常重要的一點(diǎn)，信息是不會(huì)允許其他人篡改的，或者說(shuō)當(dāng)信息被篡改之后，接收方可以知道，從而選擇將信息直接棄用，或者采取其他措施來(lái)避免風(fēng)險(xiǎn)。

最后一點(diǎn)是不可抵賴性。網(wǎng)絡(luò)安全會(huì)要求對(duì)數(shù)據(jù)進(jìn)行簽名，從而使信息的發(fā)布方透明化。

圖片來(lái)源：維克多

在使用過(guò)程中，數(shù)據(jù)安全和信息安全的關(guān)系非常密切，首先，要保障里程和計(jì)數(shù)等基本信息的安全儲(chǔ)存、不被篡改。整體而言，保證系統(tǒng)的通信節(jié)點(diǎn)可靠，傳輸過(guò)程需要進(jìn)行加密與完整新的確認(rèn)，保證數(shù)據(jù)不會(huì)來(lái)自第三方/黑客。

車外互聯(lián)方面，比如車輛與基站的通信等需要連接外部網(wǎng)絡(luò)，那么連接過(guò)程中肯定要有措施進(jìn)行保護(hù)。再比如升級(jí)，升級(jí)方是否允許和授權(quán)，升級(jí)后軟件是否被篡改，這些都是要考慮到的問題。

維克多針對(duì)網(wǎng)絡(luò)安全的具體方案：MICROSAR Crypto Stack

維克多企業(yè)總部位于德國(guó)，著力于為ECU開發(fā)符合AUTOSAR標(biāo)準(zhǔn)的基礎(chǔ)軟件，在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)上有豐富經(jīng)驗(yàn)。其產(chǎn)品MICROSAR包含與AUTOSAR兼容的加密協(xié)議棧（CSM、CRYIF、Crypto SW/HW）。

基礎(chǔ)協(xié)議站在MICROSAR的網(wǎng)絡(luò)安全部署中居于關(guān)鍵地位：上文提到信息安全的四點(diǎn)目標(biāo)會(huì)通過(guò)基礎(chǔ)協(xié)議站落地。右側(cè)簡(jiǎn)單模塊內(nèi)容在AUTOSAR的規(guī)范當(dāng)中有明確的定義，而且定義隨著智能網(wǎng)聯(lián)的不斷推進(jìn)而逐步完善。

圖片來(lái)源：維克多

圖片上方的加密協(xié)議站也是在AUTOSAR上已經(jīng)進(jìn)行了定義。

圖片的左下方帶有紅色ve標(biāo)志的部分，更多是維克多的解決方案，是主機(jī)廠可進(jìn)行定義的內(nèi)容：主機(jī)廠對(duì)密鑰相關(guān)的處理、認(rèn)證等，維克多所提供的服務(wù)會(huì)根據(jù)主機(jī)廠的需求來(lái)定制和開發(fā)。

下圖是對(duì)模塊的概覽，這里我會(huì)把基礎(chǔ)和信息安全相關(guān)的模塊給大家列出來(lái)，右半部分是基礎(chǔ)軟件協(xié)議站，包括診斷和協(xié)議。左側(cè)大家可以看到是FBL和veHSM，也就是說(shuō)，右側(cè)是提供基礎(chǔ)和支撐，支撐之上可以再去提供相應(yīng)的安全更新下載，然后通過(guò)veHSM提供更多的軟件算法和加速支持。

圖片來(lái)源：維克多

接下來(lái)具體看一下這里面AUTOSAR定義的三個(gè)模塊的關(guān)系與作用。

AUTOSAR整個(gè)從上到下的架構(gòu)都是很類似，最上面是應(yīng)用也就是SWCs中的算法，最下面的深灰色模塊是和硬件相關(guān)的驅(qū)動(dòng)，中間的模塊是為了做解耦，最上面是個(gè)偏管理的模塊。

Csm模塊可以直接調(diào)取上層的算法，比如說(shuō)這個(gè)應(yīng)用需要做算法和保護(hù)數(shù)據(jù)，可以直接通過(guò)函數(shù)調(diào)用。里面的內(nèi)容包括優(yōu)先級(jí)和處理方式，還會(huì)包括具體用到的算法：是對(duì)稱加密算法AES還是非對(duì)稱算法，都會(huì)在我們這里進(jìn)行配置和使用。

再往下，通過(guò)中間模塊對(duì)下層硬件/軟件進(jìn)行抽象和解耦，解耦之后對(duì)上層來(lái)說(shuō)接口就完全統(tǒng)一。最下方是和硬件強(qiáng)相關(guān)的，這邊適用于各種芯片，這層也會(huì)針對(duì)不同芯片去提供加密驅(qū)動(dòng)。

圖片來(lái)源：維克多

要談數(shù)據(jù)安全，就需要對(duì)數(shù)據(jù)進(jìn)行加密，保證完整性且避免重放攻擊。如何保證ECU之間的通信數(shù)據(jù)完整性？比如說(shuō)左側(cè)是我們發(fā)送方，右側(cè)是接收方，發(fā)送的時(shí)候我們會(huì)有原始數(shù)據(jù)，配合新鮮值更多是防止的數(shù)據(jù)重放：截取一部分?jǐn)?shù)據(jù)之后會(huì)再進(jìn)行發(fā)送。

這里用到的是對(duì)稱算法：兩邊的密鑰完全一樣，進(jìn)行MAC值的生成，會(huì)和數(shù)據(jù)新鮮值打包在一起，然后發(fā)送給接收方，接收方接收以后會(huì)進(jìn)行逆向操作然后解讀，這一流程沒有問題的話，數(shù)據(jù)就可以進(jìn)行完整的接收和繼續(xù)往下傳輸，如果有問題則會(huì)把數(shù)據(jù)進(jìn)行遺棄或者進(jìn)行其他措施。

圖片來(lái)源：維克多

接下來(lái)是KeyM，AR4.4會(huì)引入KeyM。證書的解析都會(huì)通過(guò)KeyM處理，它有一部分內(nèi)容需要由主機(jī)廠去做、定義具體實(shí)施內(nèi)容和邏輯，但底層接口有一定的標(biāo)準(zhǔn)可以參考。KeyM本身的密鑰和證書安全等級(jí)很高，所以我們這邊建議直接把它存到加密的HSM中，有單獨(dú)的加密儲(chǔ)存空間，這也是我們認(rèn)為HSM的安全等級(jí)高的原因。

圖片來(lái)源：維克多

接下來(lái)是介紹IdsM，其規(guī)范落地是在2020年10月份，但維克多在2017年就已經(jīng)開發(fā)了這個(gè)模塊，到目前，維克多的這個(gè)模塊技術(shù)已經(jīng)很成熟，可以直接供用戶使用。如果有需求可以找到我們維克多，我們會(huì)給大家提供具體落地的方案。

具體來(lái)看內(nèi)容，相當(dāng)于IdsM是基礎(chǔ)軟件和應(yīng)用層的安全傳感器，它的作用是收集一些必要的安全事件SEM，事件之后會(huì)做過(guò)濾，過(guò)濾的內(nèi)容可以自己定義，過(guò)濾的QSEv會(huì)發(fā)給idsR，idsR這一節(jié)點(diǎn)會(huì)幫助上傳到云端，然后通過(guò)安全相關(guān)的平臺(tái)或者云端進(jìn)行分析。

圖片來(lái)源：維克多

HSM硬件安全模塊優(yōu)勢(shì)為何？

最后介紹一下HSM（Hardware Security Modules），其實(shí)在以前維克多更多做的是純軟件，也就是左邊這種形式，但純軟件的弊端會(huì)比較多，它沒有自己的CPU和升級(jí)，雖然在之后不斷演變的外掛路徑解決了純軟件的大部分弊端，但軟件方案的安全性還是不夠：沒有單獨(dú)自己獨(dú)立存儲(chǔ)的區(qū)域。

圖片來(lái)源：維克多

SHE是基于兩種方案的進(jìn)一步擴(kuò)展，SHE方案已經(jīng)有單獨(dú)用于儲(chǔ)存的部分了，可以存儲(chǔ)密鑰、證書。安全等級(jí)也是硬件級(jí)別的。但SHE的性能也有限，因?yàn)樗旧硎窃贛CU這一端共享處理器，所以去處理密鑰或者加密和解密需要進(jìn)行額外的部署。

圖片來(lái)源：維克多

HSM應(yīng)該是維克多當(dāng)前階段會(huì)采用的一種方式，現(xiàn)在基本新的芯片或者成熟一點(diǎn)的芯片都可以完整支持HSM。它自己有獨(dú)立的CPU，還有獨(dú)立的存儲(chǔ)區(qū)域，因此進(jìn)行計(jì)算處理時(shí)占用的資源也是獨(dú)立CPU的資源，不會(huì)和主核資源有任何沖突，這部分性能也能支持的更多，包括非對(duì)稱的算法，包括對(duì)算法的加速，也都會(huì)支持的更好。

圖片來(lái)源：維克多

下圖的紅色模塊是維克多可以為大家提供的，此外，中間的FBL Application，升級(jí)相關(guān)服務(wù)，安全啟動(dòng)相關(guān)服務(wù)，也都由維克多提供。在這些做數(shù)據(jù)安全的時(shí)候可能會(huì)到的加密算法、加速支持，維克多可以通過(guò)veHSM Application針對(duì)不同芯片去提供服務(wù)。

圖片來(lái)源：維克多

下圖顯示了完整的安全下載流程：首先會(huì)對(duì)文件進(jìn)行相應(yīng)的加密或者簽名，做了個(gè)hash，因?yàn)閔ash的長(zhǎng)度是固定的，這里會(huì)用私鑰來(lái)簽名，用公鑰進(jìn)行驗(yàn)簽。簽名之后，會(huì)實(shí)施刷寫流程，實(shí)施過(guò)程中ECU會(huì)對(duì)簽名進(jìn)行驗(yàn)簽，驗(yàn)簽之后如果一致性沒有問題，才會(huì)把文件下載至到ECU當(dāng)中。

下載的同時(shí)，會(huì)計(jì)算CMAC，被儲(chǔ)存至HSM中，那么在下一次啟動(dòng)的時(shí)候，HSM可以再去核對(duì)當(dāng)下的數(shù)據(jù)值是否和上次存的一致，如果是一致那說(shuō)明是安全的。

圖片來(lái)源：維克多

這里對(duì)veHSM做一下總結(jié)，剛才講的后半部分主要是針對(duì)HSM這塊，它在網(wǎng)絡(luò)安全也占了很重要的地位。這里支持的算法和安全啟動(dòng)，功能和證書類型我也簡(jiǎn)單羅列了一下，維克多的工具的完整性和一致性是沒有任何問題的。

圖片來(lái)源：維克多

我今天和大家分享的內(nèi)容大概是這些，因?yàn)楸旧頃r(shí)間有限我也沒辦法展開講，如果大家感興趣但又不知道怎么落實(shí)，維克多也提供了咨詢服務(wù)：比如說(shuō)這邊需要分析，或者以后需要過(guò)信息安全認(rèn)證，維克多會(huì)有全套的流程，以及基礎(chǔ)軟件可以提供更強(qiáng)大的支撐。

（以上內(nèi)容來(lái)自維克多汽車技術(shù)（上海）有限公司商業(yè)開發(fā)經(jīng)理郝子鑒于2022年8月5日由蓋世汽車、AUTOSAR組織聯(lián)合主辦的2022第三屆軟件定義汽車論壇暨AUTOSAR中國(guó)日發(fā)表的《汽車中的網(wǎng)絡(luò)安全解決方案》主題演講。）

返回第一電動(dòng)網(wǎng)首頁(yè) >