Vector：AUTOSAR赋能中国汽车信息安全新国标实施

2024年3月14日，在2024第五届软件定义汽车论坛暨AUTOSAR中国日上，Vector 技术方案经理吴长隆表示，当前智能汽车与移动端、手机端、云端、路端存在大量的信息交互，如果缺少有效的保护会带来巨大的信息安全和数据安全风险。

在此背景下，工信部委托全国汽车标准化技术委员会智能网联汽车分会提出了《汽车整车信息安全技术要求》。围绕标准中涉及到的信息安全管理系统、安全通信、安全存储、安全启动、安全诊断、入侵检测系统、网络防火墙等要求和解决方案，吴长隆进行了全面的讲解。同时他表示，Vector的MICROSAR产品将支持AUTOSAR定义的标准化解决方案以及许多扩展功能，并实现高度自定义化的配置，从而帮助OEM快速实现相关的法规和产品要求。 

吴长隆 | Vector 技术方案经理

以下为演讲内容整理：

汽车信息安全的技术要求

信息安全管理系统简称CSMS，是为了让汽车行业各组织能够应对信息安全风险而制定的一系列流程。国标和R155法规要求OEM需要提供CSMS的证明，并覆盖整个供应链，这其中也会涉及对基础软件供应商的要求，Vector已经由独立的第三方机构完成了CSMS的审计。

接下来是国标对汽车技术各方面的具体要求。首先是安全通信的要求，国标要求车辆采取保护措施来保护通信通道的完整性。在信息安全方面，国标设定了以下保护目标：真实性、完整性、新鲜度、保密性和可用性。其中，真实性指数据由真实发送者发送，完整性指数据内容没有被篡改，新鲜度表示数据是最新的且未被重放，保密性指数据内容无法被第三方获取，可用性表示服务未被阻塞。 

图源：VECTOR

针对通信，我们可以在不同的网络层级应用不同的安全通信保护方法。例如，在应用层可以使用Tester或者SecOC进行保护，在网络协议层的IP层可以使用IPsec，在MAC层可以使用MACsec进行保护。

下面是对几种主要网络通信保护协议的说明。首先是SecOC，它在每个PDU层级增加了一个消息认证码MAC来保护PDU数据的完整性和真实性。MAC计算使用对称加密算法，需要预先分配的对称密钥，并在计算中加入新鲜值来保证数据的新鲜度。SecOC主要应用于保护车内基于信号的通信和SOME通信。它的优点是协议简单，适用于所有汽车内部总线系统，如CAN、Lin、以太网等。SecOC通信不需要握手即可直接开始，并提供端到端保护。 

然而，SecOC的缺点包括实现FvM全局同步的复杂性、只能保护PDU层数据、无保密性保护以及需要预分配对称密钥。 

TLS用于保护基于TCP或UDP传输的数据真实性、完整性、新鲜度和保密性。通信开始前需要进行身份认证，可以基于证书和预分配的密钥。TLS主要应用于保护车辆与外部通信，如DoIP诊断通信、车辆与充电桩通信以及车辆与云端通信等。尽管Tester理论上可以用于保护车辆内部通信，但其认证可能导致通信启动延迟，并且通信加密会消耗大量CPU资源，因此在车内通信中应用较少。TLS的优点包括已广泛应用于IT系统的标准协议，并且已在DoIP和V2G通信的ISO标准中标准化。它的认证可基于PKI证书体系，是一种IT行业广泛采用的方案。

MACsec用于保护以太网通信，包括非IP协议的报文。它能保护所有类型的以太网报文的真实性、完整性和新鲜度，并可进行加密。密钥分配基于预分配密钥的MKA协议，其特点是Hop-by-Hop网络架构，即在通信路径上建立保护通道。主要应用场景是保护车内以太网骨干网通信，其优点在于加解密运算由以太网收发器硬件完成，不会影响CPU负载。

缺点是不是端到端保护，加解密运算经过switch处理，若switch被攻破，整个网络也会受到影响。另外，需要特殊硬件支持。

安全存储

在国标里面要求车辆应该对里面存储的私钥、关键数据以及关键安全资质保护，以防被篡改。关于安全存储有两种主要方案，第一是基于NVM的安全保护，第二是基于硬件保护模块HSM的保护。

首先，NVM是用来在MCU里面对数据做非易失存储的模块，它也可以使用CSM整个密码模块来对数据进行保护。如果我们需要保护NVM数据的保密性的时候，NVM可以使用CSM模块对数据进行对称加密，然后读取的时候再解密。如果需要保护完整性和真实性可以在存储数据的时候再加入一个MAC，读取数据的时候进行验证。 

图源：VECTOR

第二种，使用硬件安全模块HSM的安全存储。HSM在控制器内部有一个带CPU和Flash的安全区域，这块区域无法被外部访问到，它可以用来安全存储密码资产，以及为密码运算提供丰富的硬件加速资源。使用HSM可保护密码带来的安全存储和安全更新。HSM具有独立的CPU，可执行复杂的软件密码运算，并提供对称加密和非对称加密的硬件加速支持。HSM固件还可升级。

针对HSM，Vector提供了veHsm软件协议栈产品，可在HSM中集成丰富的软硬件加密算法，并对证书进行存储、解析、校验等处理，确保安全资产可靠存储。veHsm类似于AUTOSAR CP的模块化软件架构，可根据需求进行灵活组合和配置，使用达芬奇工具进行配置，并生成源代码进行集成测试。应用场景包括安全启动、软件更新、签名验签以及通信校验，可以为客户提供有效灵活的软件协议栈。

安全启动

国标要求车辆软件系统的引导程序和固件在篡改后无法再次运行，可以通过使用FBL与HSM或SHE配合实现安全启动。安全启动需要一个可信根，而HSM由于具有自己的独立CPU和内存资源，并且无法被外部访问到，因此天然适合用作可信根。一种严格的安全启动方式是Secure Boot，也叫串行安全启动，其中HSM先启动并校验Host端，通过后再触发Host端启动并接管后续安全启动流程，请求HSM对固件进行校验后再启动程序。串行安全启动具有较高的安全性，但可能导致ECU启动时间较长。

相对的，另一种方式是并行安全启动，由Host端和HSM同步启动，HSM在后台校验Host端和应用程序，并在校验完成后释放密钥访问权限。并行安全启动可以减少ECU的启动时间，但Host端软件在未经校验的情况下启动。在实际应用中，需要根据具体场景选择不同的安全启动模式。

安全诊断

安全诊断在国标中被要求采取安全措施来保护身份认证和访问控制。这可以通过以下几种方法实现。诊断传输安全方面，针对基于DOIP的诊断，可以利用Tester协议对传输内容进行加密保护，以确保传输过程的安全性。

在UDS服务层面，我们可以使用27和29服务来实现安全诊断。27服务作为一种安全访问服务，用于验证Tester的身份。它的工作原理是Tester向ECU请求一个安全访问种子(SED)，ECU回应后，Tester会生成一个密钥并发送给ECU，ECU在校验密钥后确定相应的安全等级。27服务的安全配置是静态的，对整个ECU生命周期有效，但修改安全配置较为困难，需要更新整个ECU软件及相关数据库。此外，27只适用于非默认会话，对于默认会话的服务无法设置安全访问。而29服务是较新的UDS服务，在2020年版ISO14229协议中引入。它提供了一种面向未来的认证方法，即Tester向ECU发放证书进行认证，认证通过后ECU会检解锁书对应的安全访问权限。 

在ISO标准中，定义了两种证书认证方法，其中一种是基于PKI证书体系的验证方法，也得到了AUTOSAR标准模块的支持。然而，随着车型和车辆数量的增加，管理这些证书的工作量可能会很大。 

图源：VECTOR

另一种方法是基于challenge-response的验证方法，相对比较简单，整车厂可以自定义算法，类似于27服务。这种方法无需复杂的PKI体系，适用于不希望建立PKI的OEM。29服务的安全访问基于证书，使其具有更高的灵活性。通过角色可以设定一系列可执行服务，以设定不同的权限，如开发权限、生产权限和售后权限等。

关于入侵监测系统，国标要求车辆具备对关键信息安全事件进行检测和记录日志的能力，因此引入了IDS。IDS系统包括几个部分。首先，在车辆上设置各种检测机制来检测异常情况，然后通过通信通道传输到云端后台的安全服务中心（SOC）。在经过云端的分析后，如果确定存在安全漏洞或风险，则需要采取相应的措施，并最终将其部署到车辆上。

在AUTOSAR框架中，由于其用于车上的嵌入式软件，我们今天主要关注车辆上IDS的检测和上报机制。车辆上的IDS通常采用分布式架构，在各个控制器中集成IDS功能，用于检测车辆上的各种异常行为，并生成安全事件。然后，这些安全事件上报给每个控制器中集成的IDS管理器（IDSM）。IDSM收集这些事件后，将其存储在本地的安全事件存储器（SEM）中，或者转发给车辆上的IDS Reporter节点，再由IDSR节点转发到云端的SOC。

在AUTOSAR CP的架构中，各个BSW中嵌入了许多Security Sensor来检测异常情况。例如，在SecOC中，如果发生MAC校验失败，就会触发生成一个IDS事件。IDSM收集这些事件后，可以调用诊断协议栈将事件存储在系统中，或者调用通信协议栈将这些事件发送给IDSR。

网络防火墙

在新的国家标准中，对于车辆内部网络的安全要求划分安全区域，并在区域之间实施安全隔离和访问控制。对于基于以太网的网络，最简单的隔离方法是使用VLAN，但其粒度相对较粗。若需要更精细的网络隔离，可以使用网络防火墙。

我想介绍一种基于智能以太网Switch的高级防火墙解决方案。车内以太网网络通过这种新型的智能以太网Switch连接，所有节点都连接到该Switch。这种Switch内部通常集成了一个M核和R核，相比传统的需要由网关中的MCU来控制的Switch，它具有更高的智能性。M核可以执行一些MCU的功能，包括以太网Switch的配置，如防火墙配置以实现网络隔离。

针对智能以太网Switch，我们推出了专门的软硬件协议站veswitch，它可以将MCU中的一部分功能迁移到Switch的M核中，从而降低MCU的负载，减少延迟。此外，它还可以在Switch中部署本地的OS硬件抽象层、软件通信配置、时间同步处理、诊断处理、OTA更新以及信息安全相关的功能，包括防火墙和MACsec。

最后，新国标提出了许多具体的信息安全技术要求，涉及到控制器的底层方案，包括安全通信和安全诊断等。AUTOSAR技术软件提供了许多标准化的解决方案，可供OEM和供应商实施。Switch产品可以支持AUTOSAR中已定义的标准信息安全解决方案，同时还提供了许多扩展功能，帮助OEM更快地实现新法规的要求。

（以上内容来自Vector 技术方案经理吴长隆于2024年3月12-14日在2024第五届软件定义汽车论坛暨AUTOSAR中国日发表的《AUTOSAR赋能中国汽车信息安全新国标实施》主题演讲。）