軟件定義汽車新時代下的通信安全

隨著軟件定義汽車（SDV）理念的普及，車輛內(nèi)部各電子控制單元（ECU）之間的通信已經(jīng)突破傳統(tǒng)的控制邊界，成為支撐自動駕駛、高度互聯(lián)和OTA更新的關鍵基礎設施。在這樣的背景下，通信安全的重要性尤為凸顯。未經(jīng)保護的通信鏈路可能面臨數(shù)據(jù)篡改、重放攻擊及冒充攻擊等風險，危及車輛功能的正確性和用戶安全。因此，在AUTOSAR架構中建立完備的通信安全機制，已成為行業(yè)共識與技術剛需。

AUTOSAR通信棧（ComStack）：分層、模塊化的基礎

AUTOSAR通信棧（ComStack）作為基礎軟件（BSW）核心組件之一，承擔起ECU之間數(shù)據(jù)交換的核心功能，包含多個分層模塊，支持CAN、LIN、FlexRay 和以太網(wǎng)等多種通信協(xié)議。其層級結構可概括如下：

1．CanIf/EthIf/FrIf/LinIf接口層

針對不同總線協(xié)議，在低層提供硬件抽象，屏蔽底層細節(jié)，連接上層的PduR。

2．PduR（Protocol Data Unit Router）路由層

管理不同協(xié)議的數(shù)據(jù)單元（PDU）路由，確保來自Com模塊的消息發(fā)送至應用層或者對應物理總線，也可以接收和轉(zhuǎn)發(fā)消息。

3．Com（Communication）層

位于應用和底層接口之間，負責信號級處理，包括信號打包、解包及路由到相應應用組件或下層。

4．SecOC（Secure Onboard Communication）模塊

這是通信棧中專門針對安全功能設計的組件，用于消息認證與防篡改，屬于BSW結合PduR共同協(xié)作實現(xiàn)端到端的安全傳輸。

這種分層架構使得通信部分高度模塊化，功能清晰，易于擴展與維護，同時為集成安全功能功能安全提供了良好的基礎。

SecOC模塊：安全通信的核心支撐

Secure Onboard Communication（SecOC）是AUTOSAR專門用于通信安全的模塊，旨在保護ECU間的PDU級消息，確保其真實性、完整性和新鮮度。根據(jù)官方規(guī)范，SecOC的功能包括：消息認證、完整性保護及防重放措施。

1．消息認證與完整性保護

每條受保護消息都會附加認證標簽（如MAC），接受方在接收消息時進行驗證，確保消息確實來自可信源且在傳輸中未被篡改。 SecOC支持對一條消息內(nèi)容和其認證標簽共同校驗，從而對攻擊產(chǎn)生抵御能力。

2．重放攻擊防護機制（Freshness）

為阻止重放攻擊，SecOC插入"freshness"值（如遞增計數(shù)器或時間戳），用于區(qū)分消息的時序新舊。接收方比較該值并拒絕過期或重復消息，從而確保系統(tǒng)只能處理按預期順序或時間提交的消息。

3．資源高效設計

SecOC模塊強調(diào)在資源受限的AUTOSAR環(huán)境中實現(xiàn)輕量安全機制。其規(guī)范涵蓋處理認證算法、打包認證標簽、與Com/PduR協(xié)作流程等細節(jié)，并支持根據(jù)實際資源選用對稱算法、MAC長度及計數(shù)器類型等多個配置選項。

安全通信的系統(tǒng)級實現(xiàn)流程

1．初期設計與配置

定義通信需求及安全等級：分析哪些通信路徑需要認證、完整性驗證以及新鮮度保護。如：安全/關鍵命令、遙測數(shù)據(jù)或OTA觸發(fā)消息等；

配置SecOC模塊：設置安全算法（如AES-CMAC）、MAC總長度、計數(shù)器大小、如何計算新鮮度值等。

2．與ComStack集成

Tx路徑：應用調(diào)用Com，將信號封裝為PDU；隨后PduR將PDU導向SecOC，SecOC 生成認證標簽并附加生成MAC校驗值；經(jīng)過PduR-CanIf將其發(fā)送至總線。

Rx路徑：接收方通過CanIf接收數(shù)據(jù)后轉(zhuǎn)發(fā)至SecOC；SecOC校驗MAC與新鮮度，認證通過后移除標簽，將凈內(nèi)容轉(zhuǎn)交給PduR處理，再由PduR分發(fā)給應用組件。

該流程由AUTOSAR通信規(guī)范明確規(guī)定，不允許跳過SecOC模塊以保證端到端的安全性。

3．系統(tǒng)級測試與驗證

功能驗證：測量正常通信路徑及認證通過時的數(shù)據(jù)完整性。

攻擊模擬：嘗試對消息內(nèi)容篡改、重放舊消息或偽造MAC，檢驗系統(tǒng)并確保拒絕不符合安全策略的消息。

性能評估：評估認證與驗證機制對總線延遲和資源（如CPU、內(nèi)存）的影響，確保系統(tǒng)仍滿足實時、安全等關鍵性能指標。

AUTOSAR通信安全的未來方向

1．趨向更高的安全目標與擴展

隨著整車功能和聯(lián)網(wǎng)能力的不斷增強，未來安全機制亦需升級。當前研究如CINNAMON模塊，即在SecOC的基礎上增加加密功能，增強機密性保護。這種機制可以與SecOC并行部署，使信息在傳輸中不僅防篡改，也無法被未授權讀取。

2．與Adaptive Platform的整合

除了Classic Platform當前支持的SecOC，AUTOSAR Adaptive Platform（AP）中的ara::com同樣集成認證與防重放功能，新版本規(guī)格已加入SecOC行為和API，支持Freshness管理，從而保障高級、動態(tài)更新場景下的通信安全。

總結與Elektrobit的專業(yè)視角

通過上述分析，可見AUTOSAR通信棧中安全機制的設計原則：模塊化、安全性與資源效率兼?zhèn)洹?SecOC模塊作為樞紐，結合Com、PduR、CanIf等基礎組件，實現(xiàn)端到端安全通信，為SDV提供可信基礎。

未來發(fā)展方向主要包括：

增強機密性保護；

更完善的濃縮式Freshness 管理；

在Adaptive Platform場景中實現(xiàn)統(tǒng)一安全策略。

以下提供EB tresos軟件解決方案的實踐案例

多核ECU可信配置與ASIL?D安全實裝

面向?qū)ο螅篍CU軟件架構師、嵌入式系統(tǒng)工程師、功能安全負責人

通過EB tresos AutoCore OS實現(xiàn)單/多核部署、實現(xiàn)基于Crypto/HSM的CAN/LIN/ETH通信協(xié)議棧，利用Elektrobit對MCAL接入與安全隔離優(yōu)化來實現(xiàn)安全通信的實現(xiàn)。

以我們在英飛凌AURIXTMTC 397上的Demo為例：

首先通過EB tresos Studio新建一個多核的OS系統(tǒng)，按照初始化的流程在EcuM中實現(xiàn)從主核到從核的順序初始化MCAL和BSW的寄存器/函數(shù)。

因為部署有多個CAN控制器（CAN0, CAN1, ...），不同核（Core0, Core1）會獨立管理它監(jiān)控的進程。

初始化成功之后，OS啟動調(diào)度，通過RTE管理不同的Task，來觸發(fā)CAN通信的讀寫，通信流程例子如下：

MCAL CAN Driver多核

每個核上的CAN Driver接收自己核上CAN控制器的數(shù)據(jù)

例如：CAN0的Rx消息在Core0的中斷中觸發(fā)CanIf_RxIndication()或者把消息放到對應的CANtx Buffer里面去

CanIf多核部署

每核各自運行CanIf實例，但共享統(tǒng)一配置（通常靜態(tài)分區(qū)）

CanIf查找匹配的RxPdu后，調(diào)用上層PduR_CanIfRxIndication()

PduR多核處理

若RxPdu的目標模塊（如COM）位于同核：直接調(diào)用上層模塊

若目標模塊在另一核（Core1接收，Core0的SWC接收）：

調(diào)用核間通信機制：

Shared Memory Ring Buffer

AUTOSAR OS Event

數(shù)據(jù)通過共享內(nèi)存或IOC傳遞至另一核

COM & RTE

數(shù)據(jù)最終被寫入目標核上的COM模塊

SWC通過Rte_Read()接口讀取數(shù)據(jù)

LIN/ETH的通信也是類似的，通過各自的LinIf和SOAD抽象層協(xié)議棧去實現(xiàn)通信。

在此之上，Elektrobit通過對此過程中PduR的數(shù)據(jù)根據(jù)對應的Crypto算法，使用密鑰，新鮮值等參數(shù)作為入?yún)?，實現(xiàn)通信數(shù)據(jù)的加解密，實現(xiàn)數(shù)據(jù)的安全通信滿足ASIL-D的要求。

作者

湯旭