摘要
当今世界,在互联网多模式发展和工业智能化趋势的背景下,传统制造业逐渐向“智能制造”转型升级。汽车产业在移动互联、大数据及云计算等技术的推动下向智能化、网联化发展的趋势愈发明显。当前,CAN总线作为汽车行业专用的总线,已暴露出了越来越多的车联网信息安全问题,无法适应汽车的发展趋势。
对此,传统的CAN总线引入一套通信认证的方法,即SecOC(Secure Onboard Communication)。SecOC作为新一代车内网络安全总线方案,美亚网安已将该技术集成在车联网信息安全自动化检测试验设备中,通过在国内主机厂进行SecOC总线验证性测试,积累了测试用例,并取得了良好的效果。
前段时间,美亚网安技术专家就车联网信息安全方面为我们分享了SecOC总线加密通信原理,本期,技术专家将带来SecOC总线新鲜值及含义。
在上一期《车联网信息安全之:SecOC总线加密通信原理》文章中,技术专家对SecOC总线加解密通信进行了介绍,并且对整个总线通信加密流程做了较为详细的阐述,通过MAC码实现身份认证,防止总线数据被篡改。除此之外,为了避免CAN/CAN-FD被重放攻击,SecOC同样引入新鲜值,通过不同的新鲜值在一定程度上大大提升了总线的安全性,在性能与安全性之间做了很好的权衡。
整个SecOC总线报文结构如下所示,Authentic I-PDU是需要被保护的数据;Authenticator为认证信息(通常使用消息认证码,即Message Authentication Code,简称MAC,后文以MAC来简称此内容);Secured I-PDU Header为可选用的报头;Freshness Value为可选用的新鲜度值。
新鲜值传达了信息的实时性,可以由时间戳校验和帧计数器校验两种模式生成。时间戳检验的最大挑战在于要求多个 ECU 间进行时间同步,消除 ECU 振荡器自身产生的偏差,所以时间戳检验需要同步机制。
目前只有 TTCAN 以及更先进的 Flexray 总线支持这种机制,因此我们选用了帧计数器模式。在每个发送者或接收者的 ECU 中,都有一个专用本地帧计数器将用于跟踪 CAN 消息事件。该帧计数器只会在每个 CAN 成功发送或接收事件计数,这避免了时间同步上的问题。当出现报文错误或丢失情况时,ECU可以通过帧计数器重新同步来恢复正常工作。
新鲜值由Trip Counter、Reset Counter、Message Counter、Reset Flag共8字节组成,如下图所示:
Trip Counter
此计数器为递增计数器,初始值为0,在上电、唤醒等操作时自增,当Trip Counter自增时,Reset Counter清零;Master ECU将一个新的Trip Counter和Reset Counter放到同步消息中发送给Slave ECU,所有Slave ECU都保存Trip Counter和Reset Counter。每一次自增后都将当前值写入非易失性存储中,建议存储在安全存储区域。
(建议Trip Counter为3字节,0XFFFFFF = 16777215 ,按使用寿命30年计算,16777215 / 30 /365 = 1532,即平均每天可重复上电1532次,30年后才会出现溢出。若Trip Counter 溢出,将不会有效抵御重放攻击。)Reset_counter溢出时,Trip Counter + 1
Reset Counter
此计数器单调递增,ResetCounter可根据实际场景设置不同的周期,周期单调递增(即Reset Counter + 1);当Reset Counter自增时,Message Counter清零;Master ECU将当前最新的Trip Counter和Reset Counter作为同步消息发送给Slave ECU。所有Slave ECU都保存Trip Counter和Reset Counter。
(建议Reset_Counter为3字节,0XFFFFFF = 16777215, CAN总线上最快10MS一帧报文发出,这里设置Reset Counter的递增周期为200ms(可配置),每秒钟会递增5次,每天递增5*60*60*24 = 432000次。16777215 / 432000 = 38,即不下电的情况下,ResetCounter在第38天后会发生溢出。溢出后将不再能够抵御放攻击)。
Message Counter
此计数器单调递增,发送ECU每发送一次报文数据帧,发送ECU的Message Counter + 1,截取Message Counter的低位(Message CntLower),作为新鲜值部分组包到CAN总线报文帧中(Secure I-PDU)。接收到成功验证一条指令后同样执行Message_Counter + 1操作。
(Message Counter建议14bit,高位10bit不出现在消息体中,低位4bit出现在消息体中。需保证在一次Reset周期内,Message Counter不会出现溢出,溢出后将不在能够抵御重放攻击)。
Reset Flag
实时同步来自MasterECU中的Reset Counter的值。取Reset Counter的低2位,作为新鲜值部分组包到CAN总线报文帧中。需要特别注意的是,建议要将Trip Counter、Reset Counter、Message Counter等存储在非易失性存储器(NVRAM)中,因为如果用普通Flash,通常只能擦写10万次,如果Reset Counter每200ms同步一次,Flash很快就会被写坏。因此可以考虑对Flash做磨损平衡处理,即Reset Counter和Message Counter不存储,但是安全性会受影响,如果网格发出同步指令之前,某些ECU间的通信可能存在被重放攻击的可能性。
当前,美亚网安在汽车信息安全与汽车取证方面已经有了深度的研究,全面理解汽车电子电气架构和总线协议。未来,北京美亚网安将持续性的输出车联网信息安全技术的能力,加强同国内外主机厂的合作,为提升整个汽车行业的信息安全能力做出自己的贡献。
公司简介
北京美亚柏科网络安全科技有限公司(简称:美亚网安)是国投智能控股厦门市美亚柏科信息股份有限公司(股票简称:美亚柏科,股票代码:300188)的全资子公司,是美亚柏科集团网络空间安全、大数据智能化、网络开源情报和智能装备制造四大产品战略重要组成部分。以服务国家网络强国战略为已任,力争成为网络空间安全的领先者。
在新一代网络空间安全的建设浪潮下,利用大数据和零信任技术,依托“狼烟计划”从使用者角度构建“一中心两体系”为核心的大数据安全产品;依托“长城计划”从监管者角度打造网络安全大数据产品。
公司致力于网络安全、数据安全、内容安全等技术方向的研究,通过网络安全生态的建设,构建有竞争力的产品和解决方案,实现云计算、大数据、物联网、工业控制、移动互联五大领域的全覆盖。通过咨询规划、系统集成、平台产品、安全服务、教育培训等,全面支撑政府机关、监管单位、事业单位、大型企业等客户的网络安全建设与运营。
平顶山网络公司公司动态
蓬安互联网户外洗车机公司动态