01 Autosar SecOC標準

隨著智能網(wǎng)聯(lián)汽車的蓬勃發(fā)展，尤其是輔助及自動駕駛技術的提高，新一代電子電氣架構對車身網(wǎng)絡通訊信息安全提出了新的要求。整車中越來越多的零部件在直接或者間接的對外信息通訊過程中面對信息安全風險，整車FOTA、V2X等應用也催生了復雜信息交互的安全加密要求。

最近幾年也發(fā)生了很多對車載網(wǎng)絡的惡意攻擊事件，以當下發(fā)展迅猛的新能源汽車電力驅動為例，整車控制器通過CAN網(wǎng)絡發(fā)送給牽引電機控制器扭矩和轉速請求等，但是當總線中有人偽造相關扭矩請求報文，將會造成牽引電機非預期加速這樣的致命后果。為了應對汽車電子總線數(shù)據(jù)加密和驗證的需求，AUTOSAR組織增加了全稱為Secure Onboard Communication（SecOC）的組件，為車載通訊總線引入了一套通信加密和驗證的標準。

本文主要描述了基于ST高性能高安全性PowerPC結合Autosar SecOC完成的硬件加密的安全總線通信實現(xiàn)。

02 SPC58系列軟件解決方案

ST SPC58系列產(chǎn)品內置了Hardware Security Module（HSM），SPC58xC/xG/xN等產(chǎn)品符合歐盟Evita Medium信息安全等級，SPC58xH產(chǎn)品符合歐盟Evita Full信息安全等級，能夠支持客戶應對當前及未來汽車電子ECU的信息安全挑戰(zhàn)。 SPC58系列產(chǎn)品搭載的HSM核心由32bit PowerPC e200z0核心及針對關鍵密碼算法的硬件單元組合而成，其通過HSM/HOST接口和Shared RAM與主核心交互。

下面結合SecOC應用和服務構建了基于HSM硬件和HSM固件包的演示系統(tǒng)?；炯軜嬋缦聢D所示：



圖1 AUTOSAR規(guī)范的SecOC與HSM交互示意圖

上?？匕残畔踩透锫饭ぷ魇覉F隊基于SPC58微控制器和HSM/Security Stack相關軟件提供上述框圖中的軟件解決方案及示例代碼：

（1）HSM核心中運行的Firmware，包括基于SPC58xH的增強型eHSM的Firmware固件或者基于SPC58xC/xG/xN等產(chǎn)品的標準HSM的Firmware固件。固件支持的密碼學算法包括如下圖所示：



圖2 ST HSM支持算法示意圖

（2）ST提供符合Autosar Crypto Interface要求的Crypto Driver，以方便客戶集成第三方Autosar基礎軟件；

（3）HSM核心的啟動示例代碼，包括基于MC_ME軟件啟動HSM核心及基于DCF配置的System Boot啟動HSM核心；

（4）采用與對應HSM 固件相關的Crypto Driver。

03整體ECU安全通信演示

基于上述HSM Firmware和相關硬件密碼加速器，結合SecOC應用需求，開發(fā)了整體ECU間安全通信的演示系統(tǒng)。

（1）Host Core軟件功能

運行于SPC58多核心PowerPC e200z4的Host core軟件主要功能有：

·Com協(xié)議棧：包括COM、PduR、CanIf及SecOC模塊；

·Crypto協(xié)議棧：包括Csm和CryIf模塊；

·MCAL相關模塊：包括Can和Crypto模塊。

一個安全通信CAN信號發(fā)送的過程如下圖：



圖3 SecOC CAN-FD信號交互流程圖

（2）Crypto Driver配置

基于ST提供的相應Crypto Driver包，只需要對CryIf接口部分進行配置，包括CryptoKey和CryptoObject等配置，本例使用了AES128算法進行安全加密通信算法。



圖4 基于ST Crypto Driver的配置示例

（3）HSM Core固件燒錄及密鑰生成

本例中HSM固件需要單獨進行仿真器燒錄，并且需要調用Key Management功能，提前加載Key功能。

（4）功能驗證

本例實現(xiàn)了對CAN-FD幀payload的加密，下圖中CAN幀ID 0x456的最后四個字節(jié)分別是FVM及加密結果。本例使用的UDE仿真調試器可以同時實現(xiàn)主核變量查看，HSM核心狀態(tài)和HSM核心存儲器查看。演示效果如下圖所示：


圖5 SecOC在SPC58 MCU中的 運行及安全通訊信號示例

審核編輯：劉清