作者 |Ted 上海控安革路工作室資深技術(shù)顧問(wèn)

來(lái)源 |鑒源實(shí)驗(yàn)室

01

Autosar SecOC標(biāo)準(zhǔn)

隨著智能網(wǎng)聯(lián)汽車的蓬勃發(fā)展，尤其是輔助及自動(dòng)駕駛技術(shù)的提高，新一代電子電氣架構(gòu)對(duì)車身網(wǎng)絡(luò)通訊信息安全提出了新的要求。整車中越來(lái)越多的零部件在直接或者間接的對(duì)外信息通訊過(guò)程中面對(duì)信息安全風(fēng)險(xiǎn)，整車FOTA、V2X等應(yīng)用也催生了復(fù)雜信息交互的安全加密要求。

最近幾年也發(fā)生了很多對(duì)車載網(wǎng)絡(luò)的惡意攻擊事件，以當(dāng)下發(fā)展迅猛的新能源汽車電力驅(qū)動(dòng)為例，整車控制器通過(guò)CAN網(wǎng)絡(luò)發(fā)送給牽引電機(jī)控制器扭矩和轉(zhuǎn)速請(qǐng)求等，但是當(dāng)總線中有人偽造相關(guān)扭矩請(qǐng)求報(bào)文，將會(huì)造成牽引電機(jī)非預(yù)期加速這樣的致命后果。為了應(yīng)對(duì)汽車電子總線數(shù)據(jù)加密和驗(yàn)證的需求，AUTOSAR組織增加了全稱為Secure Onboard Communication（SecOC）的組件，為車載通訊總線引入了一套通信加密和驗(yàn)證的標(biāo)準(zhǔn)。本文主要描述了基于ST高性能高安全性PowerPC結(jié)合Autosar SecOC完成的硬件加密的安全總線通信實(shí)現(xiàn)。

02

SPC58系列軟件解決方案

ST SPC58系列產(chǎn)品內(nèi)置了Hardware Security Module（HSM），SPC58xC/xG/xN等產(chǎn)品符合歐盟Evita Medium信息安全等級(jí)，SPC58xH產(chǎn)品符合歐盟Evita Full信息安全等級(jí)，能夠支持客戶應(yīng)對(duì)當(dāng)前及未來(lái)汽車電子ECU的信息安全挑戰(zhàn)。

SPC58系列產(chǎn)品搭載的HSM核心由32bit PowerPC e200z0核心及針對(duì)關(guān)鍵密碼算法的硬件單元組合而成，其通過(guò)HSM/HOST接口和Shared RAM與主核心交互。下面結(jié)合SecOC應(yīng)用和服務(wù)構(gòu)建了基于HSM硬件和HSM固件包的演示系統(tǒng)?；炯軜?gòu)如下圖所示：

圖1 AUTOSAR規(guī)范的SecOC與HSM交互示意圖

上?？匕残畔踩透锫饭ぷ魇覉F(tuán)隊(duì)基于SPC58微控制器和HSM/Security Stack相關(guān)軟件提供上述框圖中的軟件解決方案及示例代碼：

（1）HSM核心中運(yùn)行的Firmware，包括基于SPC58xH的增強(qiáng)型eHSM的Firmware固件或者基于SPC58xC/xG/xN等產(chǎn)品的標(biāo)準(zhǔn)HSM的Firmware固件。固件支持的密碼學(xué)算法包括如下圖所示：

圖2 ST HSM支持算法示意圖

（2）ST提供符合Autosar Crypto Interface要求的Crypto Driver，以方便客戶集成第三方Autosar基礎(chǔ)軟件；

（3）HSM核心的啟動(dòng)示例代碼，包括基于MC_ME軟件啟動(dòng)HSM核心及基于DCF配置的System Boot啟動(dòng)HSM核心；

（4）采用與對(duì)應(yīng)HSM 固件相關(guān)的Crypto Driver。

03

整體ECU安全通信演示

基于上述HSM Firmware和相關(guān)硬件密碼加速器，結(jié)合SecOC應(yīng)用需求，開(kāi)發(fā)了整體ECU間安全通信的演示系統(tǒng)。

（1）Host Core軟件功能

運(yùn)行于SPC58多核心PowerPC e200z4的Host core軟件主要功能有：

·Com協(xié)議棧：包括COM、PduR、CanIf及SecOC模塊；

·Crypto協(xié)議棧：包括Csm和CryIf模塊；

·MCAL相關(guān)模塊：包括Can和Crypto模塊。

一個(gè)安全通信CAN信號(hào)發(fā)送的過(guò)程如下圖：

圖3 SecOC CAN-FD信號(hào)交互流程圖

（2）Crypto Driver配置

基于ST提供的相應(yīng)Crypto Driver包，只需要對(duì)CryIf接口部分進(jìn)行配置，包括CryptoKey和CryptoObject等配置，本例使用了AES128算法進(jìn)行安全加密通信算法。

圖4 基于ST Crypto Driver的配置示例

（3）HSM Core固件燒錄及密鑰生成

本例中HSM固件需要單獨(dú)進(jìn)行仿真器燒錄，并且需要調(diào)用Key Management功能，提前加載Key功能。

（4）功能驗(yàn)證

本例實(shí)現(xiàn)了對(duì)CAN-FD幀payload的加密，下圖中CAN幀ID 0x456的最后四個(gè)字節(jié)分別是FVM及加密結(jié)果。本例使用的UDE仿真調(diào)試器可以同時(shí)實(shí)現(xiàn)主核變量查看，HSM核心狀態(tài)和HSM核心存儲(chǔ)器查看。演示效果如下圖所示：

圖5 SecOC在SPC58 MCU中的運(yùn)行及安全通訊信號(hào)示例

審核編輯 黃昊宇