2022年8月5日，由蓋世汽車、AUTOSAR組織聯合主辦的2022第三屆軟件定義汽車論壇暨AUTOSAR中國日活動中，維克多汽車技術（上海）有限公司商業開發經理郝子鑒首先對智能網聯化趨勢下，汽車的網絡安全需求和技術環境進行了簡要介紹，接著對維克多提供的產品MICROSAR，其與AUTOSAR兼容的加密協議棧、行業主流HSM硬件安全模塊進行了詳盡地介紹。

汽車信息安全性在智能網聯時代需提上日程

SDV時代，隨車身代碼數量不斷增長，繼功能安全之后，網絡安全正成為汽車領域最火熱的話題。目前行業更多做的是V2V，V2X的互聯，也就是說，車不再是以車內的通信為主，而是轉而集中在車外，這種智能互聯會帶來網絡安全和數據安全的問題。我這邊會介紹一些維克多針對網絡安全和數據安全的解決方案，希望給大家或者各個主機廠和tier1更多啟示。

圖片來源：維克多 官網

功能安全和信息安全/網絡安全這兩個概念經常能聽到，但大家不一定能理解對。通過這兩張圖可以更快地分清它們：上圖是保護人免遭系統的傷害，因為人是最重要的，最需要保護的，功能安全更多指的是我們要保護人，來避免人受到汽車的傷害。

下圖是保護系統免遭人的傷害，這個人就是黑客，需要避免網絡入侵操縱系統。現在再單獨提功能安全，已經沒有什么意義了。即便安全方面達到的等級再高，一旦黑客入侵了，他就可以操控汽車破壞任何東西，這就不能再稱之為安全。

圖片來源：維克多

回到今天的主題，信息安全大概有四個目標：

第一點是真實性，簡單理解就是收發信息的時候，發送方和接收方一定要是確定的，收信人可以明確對面是不是要接收的信息來源。

第二點是機密性，也就是明文變暗文，當有黑客去截取信息之后，它沒有辦法讀到真正的具體內容。因為信息已經通過密鑰和算法庫進行了加密。

第三點是完整性，其實完整性在網絡安全當中是非常重要的一點，信息是不會允許其他人篡改的，或者說當信息被篡改之后，接收方可以知道，從而選擇將信息直接棄用，或者采取其他措施來避免風險。

最后一點是不可抵賴性。網絡安全會要求對數據進行簽名，從而使信息的發布方透明化。

圖片來源：維克多

在使用過程中，數據安全和信息安全的關系非常密切，首先，要保障里程和計數等基本信息的安全儲存、不被篡改。整體而言，保證系統的通信節點可靠，傳輸過程需要進行加密與完整新的確認，保證數據不會來自第三方/黑客。

車外互聯方面，比如車輛與基站的通信等需要連接外部網絡，那么連接過程中肯定要有措施進行保護。再比如升級，升級方是否允許和授權，升級后軟件是否被篡改，這些都是要考慮到的問題。

維克多針對網絡安全的具體方案：MICROSAR Crypto Stack

維克多企業總部位于德國，著力于為ECU開發符合AUTOSAR標準的基礎軟件，在網絡安全標準上有豐富經驗。其產品MICROSAR包含與AUTOSAR兼容的加密協議棧（CSM、CRYIF、Crypto SW/HW）。

基礎協議站在MICROSAR的網絡安全部署中居于關鍵地位：上文提到信息安全的四點目標會通過基礎協議站落地。右側簡單模塊內容在AUTOSAR的規范當中有明確的定義，而且定義隨著智能網聯的不斷推進而逐步完善。

圖片來源：維克多

圖片上方的加密協議站也是在AUTOSAR上已經進行了定義。

圖片的左下方帶有紅色ve標志的部分，更多是維克多的解決方案，是主機廠可進行定義的內容：主機廠對密鑰相關的處理、認證等，維克多所提供的服務會根據主機廠的需求來定制和開發。

下圖是對模塊的概覽，這里我會把基礎和信息安全相關的模塊給大家列出來，右半部分是基礎軟件協議站，包括診斷和協議。左側大家可以看到是FBL和veHSM，也就是說，右側是提供基礎和支撐，支撐之上可以再去提供相應的安全更新下載，然后通過veHSM提供更多的軟件算法和加速支持。

圖片來源：維克多

接下來具體看一下這里面AUTOSAR定義的三個模塊的關系與作用。

AUTOSAR整個從上到下的架構都是很類似，最上面是應用也就是SWCs中的算法，最下面的深灰色模塊是和硬件相關的驅動，中間的模塊是為了做解耦，最上面是個偏管理的模塊。

Csm模塊可以直接調取上層的算法，比如說這個應用需要做算法和保護數據，可以直接通過函數調用。里面的內容包括優先級和處理方式，還會包括具體用到的算法：是對稱加密算法AES還是非對稱算法，都會在我們這里進行配置和使用。

再往下，通過中間模塊對下層硬件/軟件進行抽象和解耦，解耦之后對上層來說接口就完全統一。最下方是和硬件強相關的，這邊適用于各種芯片，這層也會針對不同芯片去提供加密驅動。

圖片來源：維克多

要談數據安全，就需要對數據進行加密，保證完整性且避免重放攻擊。如何保證ECU之間的通信數據完整性？比如說左側是我們發送方，右側是接收方，發送的時候我們會有原始數據，配合新鮮值更多是防止的數據重放：截取一部分數據之后會再進行發送。

這里用到的是對稱算法：兩邊的密鑰完全一樣，進行MAC值的生成，會和數據新鮮值打包在一起，然后發送給接收方，接收方接收以后會進行逆向操作然后解讀，這一流程沒有問題的話，數據就可以進行完整的接收和繼續往下傳輸，如果有問題則會把數據進行遺棄或者進行其他措施。

圖片來源：維克多

接下來是KeyM，AR4.4會引入KeyM。證書的解析都會通過KeyM處理，它有一部分內容需要由主機廠去做、定義具體實施內容和邏輯，但底層接口有一定的標準可以參考。KeyM本身的密鑰和證書安全等級很高，所以我們這邊建議直接把它存到加密的HSM中，有單獨的加密儲存空間，這也是我們認為HSM的安全等級高的原因。

圖片來源：維克多

接下來是介紹IdsM，其規范落地是在2020年10月份，但維克多在2017年就已經開發了這個模塊，到目前，維克多的這個模塊技術已經很成熟，可以直接供用戶使用。如果有需求可以找到我們維克多，我們會給大家提供具體落地的方案。

具體來看內容，相當于IdsM是基礎軟件和應用層的安全傳感器，它的作用是收集一些必要的安全事件SEM，事件之后會做過濾，過濾的內容可以自己定義，過濾的QSEv會發給idsR，idsR這一節點會幫助上傳到云端，然后通過安全相關的平臺或者云端進行分析。

圖片來源：維克多

HSM硬件安全模塊優勢為何？

最后介紹一下HSM（Hardware Security Modules），其實在以前維克多更多做的是純軟件，也就是左邊這種形式，但純軟件的弊端會比較多，它沒有自己的CPU和升級，雖然在之后不斷演變的外掛路徑解決了純軟件的大部分弊端，但軟件方案的安全性還是不夠：沒有單獨自己獨立存儲的區域。

圖片來源：維克多

SHE是基于兩種方案的進一步擴展，SHE方案已經有單獨用于儲存的部分了，可以存儲密鑰、證書。安全等級也是硬件級別的。但SHE的性能也有限，因為它本身是在MCU這一端共享處理器，所以去處理密鑰或者加密和解密需要進行額外的部署。

圖片來源：維克多

HSM應該是維克多當前階段會采用的一種方式，現在基本新的芯片或者成熟一點的芯片都可以完整支持HSM。它自己有獨立的CPU，還有獨立的存儲區域，因此進行計算處理時占用的資源也是獨立CPU的資源，不會和主核資源有任何沖突，這部分性能也能支持的更多，包括非對稱的算法，包括對算法的加速，也都會支持的更好。

圖片來源：維克多

下圖的紅色模塊是維克多可以為大家提供的，此外，中間的FBL Application，升級相關服務，安全啟動相關服務，也都由維克多提供。在這些做數據安全的時候可能會到的加密算法、加速支持，維克多可以通過veHSM Application針對不同芯片去提供服務。

圖片來源：維克多

下圖顯示了完整的安全下載流程：首先會對文件進行相應的加密或者簽名，做了個hash，因為hash的長度是固定的，這里會用私鑰來簽名，用公鑰進行驗簽。簽名之后，會實施刷寫流程，實施過程中ECU會對簽名進行驗簽，驗簽之后如果一致性沒有問題，才會把文件下載至到ECU當中。

下載的同時，會計算CMAC，被儲存至HSM中，那么在下一次啟動的時候，HSM可以再去核對當下的數據值是否和上次存的一致，如果是一致那說明是安全的。

圖片來源：維克多

這里對veHSM做一下總結，剛才講的后半部分主要是針對HSM這塊，它在網絡安全也占了很重要的地位。這里支持的算法和安全啟動，功能和證書類型我也簡單羅列了一下，維克多的工具的完整性和一致性是沒有任何問題的。

圖片來源：維克多

我今天和大家分享的內容大概是這些，因為本身時間有限我也沒辦法展開講，如果大家感興趣但又不知道怎么落實，維克多也提供了咨詢服務：比如說這邊需要分析，或者以后需要過信息安全認證，維克多會有全套的流程，以及基礎軟件可以提供更強大的支撐。

（以上內容來自維克多汽車技術（上海）有限公司商業開發經理郝子鑒于2022年8月5日由蓋世汽車、AUTOSAR組織聯合主辦的2022第三屆軟件定義汽車論壇暨AUTOSAR中國日發表的《汽車中的網絡安全解決方案》主題演講。）

返回第一電動網首頁 >