AUTOSAR SecOC(Secure Onboard Communication)机制简介

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

随着汽车功能越来越强大，ECU数量也不断增加，从十几个逐渐增加到几十个。且为完成越来越高阶的汽车功能，各ECU之前需紧密配合，ECU间的通信需求也急剧增加。但汽车通信在设计之初，也存在早期TCP/IP协议栈上出现的问题：没有考虑信息安全。在汽车内部通信环境中，接收端ECU只要检测到总线上的发送给我的信号，且信号格式是规范的，ECU就会进行响应。例如智驾模块的ACC功能检测到前车刹车，可以发送一个刹车信号给刹车ECU，刹车ECU接收到信号后，就进行刹车。但攻击者也可以去重放或伪造一个刹车信号，直接发送到总线中，此时刹车ECU检测到刹车信号，同样会做出刹车动作。出现此问题的核心在于，刹车ECU无法区分接收到的信号是合法ECU发出的还是攻击者伪造/重放的，刹车ECU只要接收到符合规范的信号，就做出响应。故从信息安全角度考量，需要一套机制来保障ECU能识别信号是否为合法的发送方所发送的，即检测接收到的信号的真实性和完整性。

为解决此需求，AUTOSAR中定义了SecOC(Secure Onboard Communicaton)机制，通过该机制来保障车辆ECU之间通信的真实性和完整性，使得ECU可以识别出伪造或重放的信号，从而规避攻击者的攻击。

SecOC的总体机制如上图所示：

• SecOC需在发送方和接收方同步实施

• SecOC模块与PduR模块进行交互

• 在发送方， SecOC 模块通过向待发送的原始PDU 添加认证信息，从而创建出安全 PDU。认证信息包括 MAC 值（消息认证码）和新鲜度值信息。

• 在接收方， SecOC 模块通过验证发送方 SecOC 模块附加的认证信息来检查安全 PDU 的新鲜性和完整性。只有接收方 SecOC 的安全 PDU数据是发送方 SecOC 生成的安全 PDU 数据时，接收方才能验证通过，验证通过后由 PDUR 模块将该 PDU 转发至应用层使用；若PDU数据不是合法的发送方所发送或被非法篡改，均会导致验证不通过，则PDUR不再路由该 PDU到应用层。

• PDU 发送方和接收方的 SecOC 模块从新鲜度值管理模块获得每个安全 PDU 的新鲜度值（FreshnessValue，简称 FV）。接收方必须能正确获取到发送发计算MAC时使用的FV值，若接受方获取到的FV值和发送发FV值不相同，必然会导致MAC验证失败。保证FV值的相同由新鲜度值管理模块进行管理。

3.1 安全PDU格式

如上图所示，安全PDU由4部分组成：安全PDU头（可选）、原始PDU、新鲜度值（可选）、认证信息（MAC值）

• Secured I-PDU Header：原始I-PDU的长度。当原始PDU为动态PDU时，需通过header中长度知晓FV和Authenticator的位置。通常不使用该字段。

• Authentica I-PDU：原始I-PDU

• Freshness Value：新鲜度值

• Authenticator：认证信息，即MAC值

3.1.1 Authenticator/MAC

MAC 值是使用密钥(KeyID)，安全 PDU 的数据标识符（如 CAN-FD 协议的 PDU 数据标识符为 CANID），原始 PDU和新鲜度值通过 AES-128-CMAC 算法生成的唯一认证数据串。

• KeyID: 在进行 MAC 计算时是需要密钥参与的，通常密钥是由 CSM（加密服务模块）提供，一般 CSM 模块会封装密钥，一个 KeyID 对应一个密钥，在调用时只需要接口提供 KeyID来参与 MAC 计算， KeyID 进行设置的话，设为 01（固定值），长度 8 位，范围设置为 0x01-0xFF 之间。

• CANID:根据标准定义 16bit 的 Data Id（参数：SecOCDataId）

• 新鲜度值：每个安全 PDU 需要配置有一个新鲜度值。新鲜度值 FV 是用于确保安全 PDU 新鲜度的单调计数器。新鲜度值应来自新鲜度值管理模块。

SecOC 模 块 应 构 造 用 于 生 成 MAC 值 的 数 据 DataToAuthenticator 。

DataToAuthenticator 由 PDU 的数据标识符 SecOCDataId，原始 PDU 以及该 PDU 的数据标识符相对应的完整新鲜度值进行连接构成。PDU 的数据标识符和新鲜度值应以 BigEndian字节顺序编码。

3.1.2 新鲜度值和Authenticator截断

原始新鲜度值长度为8字节，原始MAC值长度为16字节。为降低链路负载，可考虑对新鲜度值和MAC进行截取一部分，作为有效信息。

• 新鲜度值：N字节，从低有效位开始截取，长度可自定义

• MAC值：M字节，从高有效位开始截取，长度可自定义

3.2 安全PDU的创建

为原始PDU创建安全PDU包含如下6个步骤：

1、准备构建安全 PDU

在准备期间，应分配必要的缓冲区以保存认证过程的中间和最终结果。

2、为生成 MAC 值构建数据

SecOC 模 块 应 构 造 用 于 生 成 MAC 值 的 数 据 DataToAuthenticator 。

DataToAuthenticator 由 PDU 的数据标识符 SecOCDataId，原始 PDU 以及该 PDU 的数据

标识符相对应的完整新鲜度值进行连接构成。PDU 的数据标识符和新鲜度值应以 BigEndian

字节顺序编码。

3、生成 MAC 值

SecOC 模块应通过将 DataToAuthenticator， DataToAuthenticator 的长度传递到认证

算法（AES-128-CMAC）中生成 MAC 值。

SecOC 模块应将生成的 MAC 值截取为指定的位数 SecOCAuthInfoTruncLength。

4、构建安全 PDU

SecOC 模块应通过将截取的新鲜度值信息和截取的 MAC 值信息添加到原始 PDU 来构

建安全 PDU。

安全 PDU 中内容的结构顺序应符合以下要求：

安全 PDU=原始 PDU|截取的新鲜度值（长度 SecOCFreshnessValueTruncLength） |截取
的 MAC 值（长度为 SecOCAuthInfoTruncLength）

5、更新新鲜度值

需要通知新鲜度值管理模块，将安全 PDU 对应的新鲜度值进行更新。

6、发送安全 PDU

将安全 PDU 发送。

3.3 安全PDU的认证

验证安全PDU包含如下6个步骤：

1、解析安全 PDU

收到安全 PDU 后， SecOC 模块应从中解析原始 PDU，截取的新鲜度值和截取的 MAC值。

2、从新鲜度值管理模块获取新鲜度值

SecOC 模块从新鲜度值管理模块获取与 PDUID 对应的新鲜度值。

3、构建验证 MAC 值的数据

SecOC 模块应构造用于计算接收方 MAC 值（DataToAuthenticator）的数据。该数据由 SecOCDataId，原始 PDU 数据以及用于验证的新鲜度值（FreshnessVerifyValue）连接组成。用于验证的新鲜度值（FreshnessVerifyValue）应按照接收消息的新鲜值构建方式的要求进行构造。

4、验证安全 PDU 中的认证信息

SecOC 模块应通过将 DataToAuthenticator， DataToAuthenticator 的长度，从安全PDU 解析的 MAC 值和其长度 SecOCAuthInfoTruncLength 传递到认证算法（AES-128-CMAC）中来验证 MAC 值。

如果 MAC 值验证通过（即通过本地认证算法计算得到的 MAC 值与 PDU 中截取的MAC 值一致），则安全 PDU 通过验证。

如果 MAC 值验证不通过，则按下图进行处理。判断验证尝试次数是否超出最大验证尝试次数

SecOCFreshnessValueSyncAttempts，最大验证尝试次数应设置为 3（考虑到在消息传输时，网络上可能存在丢包的情况，会造成消息收发双方新鲜度值高位部分不一致的情况，因此设置最大验证尝试次数保证合法消息的顺利接收。）如果不超过，则对待验证新鲜度值中消息计数器的高有效位进行自增处理，并继续进行 MAC 值验证，如果超过，则认定对该安全 PDU 的验证失败，并按照安全 PDU 验证失败处理的要求进行处理。

5、更新新鲜度值

如果安全 PDU 通过验证，需要对本地的新鲜度值进行更新，将本地的新鲜度值设置为此次待验证新鲜度值。

6、将原始 PDU 传递给上层应用

如果安全 PDU 的验证成功，则 SecOC 模块应使用 PDUR 模块提供的接口将原始 PDU传递给上层应用模块。

当上层应用需要发送数据时，上层应用将原始 PDU 信息传输给 PDUR 模块，然后PDUR 模块通过 PDU 标识符判断该 PDU 是否需要实施 SecOC 机制，如果是，则 PDUR 模块将该 PDU 信息转发到 SecOC 模块，由 SecOC 模块对其进行认证，形成安全 PDU 后，SecOC 模块再将安全 PDU 传输给 PDUR 模块进行转发，传输到下层通信模块。

当下层通信模块收到数据时，下层通信模块将 PDU 信息传输给 PDUR 模块，然后PDUR 模块通过 PDU 标识符判断该 PDU 是否需实施了 SecOC 机制，如果是，则 PDUR 模块将该 PDU 信息转发到 SecOC 模块，由 SecOC 模块对其进行验证，验证通过后， SecOC模块再将原始 PDU 传输给 PDUR 模块进行转发，传输到上层应用。

来源：CSDN@辛勤板砖的门卫

原文链接：

https://blog.csdn.net/anjiyufei/article/details/136256770