以最小的系統影響高效率地實(shí)施CAN的安全通信

　　有效地實(shí)施CAN通信安全是一個(gè)挑戰，目前，基于數據有效負載的認證有各種不同方案，例如AUTOSAR?SecOC[1]。這些解決方案采用了加密的方式，這意味著(zhù)需要更高的帶寬、更長(cháng)的傳輸延遲和更高的處理能力，與此同時(shí)還需要管理加密密鑰本身。

　　恩智浦新推出的安全型CAN收發(fā)器系列提供一種非常高效的無(wú)縫解決方案，無(wú)需加密即可保障CAN通信安全。這樣可以降低其他解決方案會(huì )面臨的系統影響。

　　恩智浦認為，只要收發(fā)器具備分布式入侵檢測和遏制方法，無(wú)需加密即可有效保障CAN通信安全[2]。另外，在發(fā)送和接收路徑中采用CAN報文標識符(ID)過(guò)濾機制，將有助于防止和遏制諸如欺騙、遠程幀篡改和泛洪拒絕服務(wù)等網(wǎng)絡(luò )攻擊。通過(guò)監視和過(guò)濾總線(xiàn)上的網(wǎng)絡(luò )流量，安全型CAN收發(fā)器能夠有效遏制電子控制單元(ECU)試圖發(fā)送未授權的惡意報文的行為，從而為CAN總線(xiàn)提供安全保護。

　　從安全角度出發(fā)，人們往往會(huì )選擇使用尖端技術(shù)解決方案來(lái)防范安全威脅，比如基于加密和相關(guān)安全密鑰管理的加密報文認證碼(MAC)。各種安全微控制器也采用加密加速器來(lái)為這類(lèi)最先進(jìn)的解決方案提供硬件支持。但即便如此，這種解決方案對于保障CAN通信安全而言也并非始終是最有效率的。安全微控制器可用于保護多個(gè)CAN網(wǎng)絡(luò )或其他網(wǎng)絡(luò )(如以太網(wǎng)或LTE)上的端對端通信，實(shí)現安全啟動(dòng)、認證診斷和認證固件更新。

　　不過(guò)，本文將要展示的是一種更高效率的CAN總線(xiàn)保護解決方案，那就是安全型CAN收發(fā)器。這種解決方案無(wú)帶寬開(kāi)銷(xiāo)，而且對于配置和生命周期管理的需求極低。通過(guò)執行密碼檢查來(lái)驗證報文真實(shí)性，勢必會(huì )造成報文延遲、總線(xiàn)負載和計算能耗的增加。因此，這類(lèi)解決方案可能會(huì )遭到抑制，或者造成如下折衷的結果：

　　1.?只將報文認證碼(MAC)應用于網(wǎng)絡(luò )中的一小部分CAN報文

　　2.?將超出合理限制范圍的MAC和/或新鮮度值截短

　　3.?可能存在無(wú)保護的寬限期[3]。

　　當所選微控制器系列沒(méi)有足夠的計算能力來(lái)加解密CAN報文時(shí)，將會(huì )導致現有的電子控制單元設計無(wú)法升級。此外，整個(gè)車(chē)輛生命周期的密鑰管理也會(huì )是一個(gè)復雜的挑戰。最終，可能需要對整個(gè)系統進(jìn)行從經(jīng)典CAN到CAN?FD的重新設計，以此補償引入安全處理芯片SecOC所導致的總線(xiàn)負載增加，因此這種方案并非總是切實(shí)可行的。

　　恩智浦提供的方案能夠在系統影響最低的前提下保護CAN總線(xiàn)，既可以為基于加密的安全解決方案增加一層保護以實(shí)現深度防御(DiD[1])，也可以作為獨立的解決方案使用。無(wú)論是哪種情況下，安全型CAN收發(fā)器都能夠有效提供強有力的保護并遏制黑客攻擊。

　　安全型CAN收發(fā)器的安全功能

　　防范發(fā)送端欺騙

　　安全型CAN收發(fā)器在發(fā)送路徑中提供了一種方法來(lái)保護總線(xiàn)不受被破壞的電子控制單元的侵害，即根據CAN報文ID對報文進(jìn)行過(guò)濾。如果電子控制單元試圖用原來(lái)未分配給它的ID發(fā)送報文，安全型CAN收發(fā)器可以拒絕向總線(xiàn)發(fā)送該報文，使該報文失效，并拒絕執行后續發(fā)送。CAN報文ID的過(guò)濾對策可通過(guò)制造商可以配置的ID白名單來(lái)實(shí)現。例如，可以從白名單中排除ISO?14229標準針對非車(chē)載測試儀規定的統一診斷服務(wù)(UDS)ID。這樣做可以防止被破壞的電子控制單元通過(guò)用另一個(gè)車(chē)載電子控制單元啟動(dòng)診斷會(huì )話(huà)來(lái)操縱校準值。

　　防范接收端欺騙

　　當接收到分配給用于發(fā)送的CAN報文ID時(shí)，一種補救保護措施就是使總線(xiàn)上的報文失效。這種方法意味著(zhù)每個(gè)電子控制單元都可以在不法電子控制單元使用相同ID發(fā)送報文時(shí)保護自己的ID;比如，不屬于汽車(chē)OEM制造商控制范圍并因此沒(méi)有配有發(fā)送白名單的安全型CAN收發(fā)器的售后器件。任何電子控制單元在總線(xiàn)上發(fā)送報文時(shí)，合法電子控制單元的安全型CAN收發(fā)器都可以通過(guò)向總線(xiàn)寫(xiě)入激活錯誤幀，主動(dòng)使該報文失效。被破壞的發(fā)送方重復被騙報文16次后，暫停發(fā)送行為介入，限制被騙報文加重總線(xiàn)負載;然后，再重復16次以后，攻擊電子控制單元會(huì )進(jìn)入總線(xiàn)關(guān)閉狀態(tài)。這一短暫的總線(xiàn)負載高峰可視為對策的負面影響。不過(guò)，只有當系統受到攻擊時(shí)才會(huì )采取這種措施，因此不必過(guò)于擔心。

　　防篡改保護

　　使CAN總線(xiàn)上報文失效的方法也可以用來(lái)預防篡改攻擊。安全型CAN收發(fā)器可以檢查總線(xiàn)上是否存在電子控制單元已經(jīng)贏(yíng)得其仲裁但已經(jīng)停止在數據域中發(fā)送(因為在發(fā)送隱性位時(shí)收到顯性位)的有效報文，以及該報文是否由篡改電子控制單元完成。這是有被破壞電子控制單元介入發(fā)送的明顯標志。在電子控制單元的CAN控制器沒(méi)有報告錯誤時(shí)的被動(dòng)錯誤狀態(tài)期間，這特別有價(jià)值。請注意，報文篡改將是繞過(guò)接收端欺騙防范的一種方法。

　　防范泛洪攻擊

　　在發(fā)送端實(shí)施時(shí)，限制電子控制單元在單位時(shí)間內對整體總線(xiàn)負載，有助于防止總線(xiàn)遭到泛洪攻擊。為防止泛洪攻擊，可以使用漏桶機制。漏桶在報文發(fā)送時(shí)填充，并不斷清空。一旦漏桶溢出，便停止后續發(fā)送。因此，泛洪攻擊保護提高了總線(xiàn)的可用性，從而阻止混串音。為了使一個(gè)電子控制單元的報文猝發(fā)持續一定的時(shí)間，可以適當地設置漏桶容量。填充漏桶時(shí)可以將低優(yōu)先級的報文排除，因為它們必將失去仲裁，不利于防止泛洪攻擊。這樣一來(lái)，診斷服務(wù)(如SW上傳/下載)等便能以高速率交換低優(yōu)先級的報文，而且不會(huì )觸發(fā)泛洪保護。

　　使用這些對策防止欺騙和篡改，無(wú)需克服密碼協(xié)議和相關(guān)資產(chǎn)管理方法方面的障礙即可使發(fā)送方合法化。與最先進(jìn)的解決方案相比，這種方案的破壞性比較低。此外，它還支持深度防御概念，可以使向不法電子控制單元發(fā)送被盜加密密鑰的行為失效，因為該電子控制單元無(wú)法發(fā)送它可能用被盜密鑰驗證的報文的CAN報文ID。

　　最先進(jìn)解決方案對系統的影響以及安全型CAN收發(fā)器的價(jià)值

　　為了通過(guò)最先進(jìn)的解決方案使報文合法化，需使用基于加密的有效載荷認證，例如使用AUTOSAR?SecOC。在原始未受保護的有效載荷中補充報文認證碼(MAC)和參數，以標識報文的新鮮度。報文認證碼基于加密算法和共享密鑰進(jìn)行計算。報文的新鮮度用于重播保護，它可以確保重復的有效載荷擁有不同的新報文認證碼。

　　注：?經(jīng)認證的有效載荷采用普通或加密格式，但會(huì )以相同的方式處理以達到驗證目的。推薦的安全實(shí)踐要求將加密和認證分開(kāi)，例如對每個(gè)操作使用不同的共享密鑰。因此，在下面的討論中，我們將有效載荷加密視為不相關(guān)的。

　　對CAN網(wǎng)絡(luò )應用基于加密的有效載荷認證解決方案時(shí)，產(chǎn)生的值可能會(huì )受到下面將討論的幾個(gè)因素影響。相關(guān)程度取決于安全設計和體系架構——因此下述因素并非全都適用于每一位讀者的情況。

　　安全通信啟動(dòng)延遲

　　在系統上電(或點(diǎn)火)之后，需要一定的時(shí)間來(lái)協(xié)調和調整即將到來(lái)的經(jīng)認證報文的新鮮度屬性。這段時(shí)間會(huì )造成對第一批重要報文的認證準備發(fā)生延遲。盡管有不同的方法可供使用，但通常都會(huì )涉及到相關(guān)電子控制單元之間的少量或大量有效載荷交換的協(xié)議。例如，可以就安全的時(shí)間分配或安全的單調計數器同步達成一致。另一種方法是在每次啟動(dòng)時(shí)刷新共享密鑰，并使用重置的新鮮度值。但是，考慮到點(diǎn)火后電子控制單元的重啟周期數可能會(huì )出現不可預測、異步和不相等的情況，因此協(xié)議將是復雜的，比較耗費時(shí)間。不可預測性可能來(lái)自發(fā)動(dòng)機啟動(dòng)時(shí)潛在的功率損失，而不相等則是由于功率損失不同所導致。AUTOSAR定義了一個(gè)寬限期[3]來(lái)應對這個(gè)問(wèn)題，但是當關(guān)鍵報文沒(méi)有受到保護時(shí)，將導致點(diǎn)火后出現一段延遲(或者由于攻擊而強制重啟)。

　　在稍后的穩定時(shí)期刷新密鑰不失為一種替代方案。這樣可將復雜性轉移到單調計數器的管理上，但也可能導致其他問(wèn)題，比如非易失性存儲器磨損或者計數器在混亂的上電狀態(tài)下失去同步。

　　恩智浦的安全型CAN收發(fā)器可確?？偩€(xiàn)上任何受保護的報文(包括最開(kāi)始的報文)都是合法的。

　　增加總線(xiàn)負載和帶寬

　　如果通過(guò)增加總線(xiàn)負載來(lái)傳輸附加參數(如MAC和新鮮度值)，則帶寬需求也會(huì )隨之增大。附加參數的大小會(huì )影響安全級別，或另一總線(xiàn)負載的消耗速率。NIST[4]?建議MAC至少為64位(即：8字節)，這對于經(jīng)典CAN而言損失相當大。新鮮度計數器的大小決定了密鑰的刷新速率，或一些其他安全型基本計數器/新鮮度同步的速率。

　　　此圖顯示了帶寬開(kāi)銷(xiāo)。它對500?kbps條件下的經(jīng)典CAN報文與11位CAN報文ID的傳輸時(shí)間進(jìn)行了比較。最初的普通有效載荷在灰色區域，相應的值對應不同的認證參數[計數器?+?MAC](括號中的值以字節為單位)。

　　以圈紅處為例：假設一個(gè)普通的經(jīng)典CAN報文的無(wú)保護報文有效載荷為16位，那么2字節的計數器和5字節的MAC用于可接受的保護，總線(xiàn)負載增大2.5倍。

　　圖1?認證帶寬開(kāi)銷(xiāo)

　　圖中的數字僅指報文認證開(kāi)銷(xiāo)，不包括運行管理協(xié)議刷新密鑰或新鮮度值時(shí)可能增加的總線(xiàn)負載。

　　恩智浦的安全型CAN收發(fā)器無(wú)需傳輸任何附加位即可在經(jīng)典CAN和CAN?FD協(xié)議下正常工作。

　　增加處理器負載和功能延遲

　　額外的功能延遲可能來(lái)自額外的緩沖區或中斷處理以及與硬件加速器之間的通信，而不是在生成和認證期間計算MAC所導致。額外的處理負載會(huì )降低應用的性能。附加位在總線(xiàn)上的傳輸時(shí)間也會(huì )以圖1中總線(xiàn)開(kāi)銷(xiāo)的數量級增加。如圖1所示，16位無(wú)保護報文有效載荷需要172?μs，而有效載荷受保護的同一報文需要436?μs。分布式車(chē)輛功能的功能延遲和實(shí)時(shí)行為取決于當前的架構和車(chē)輛設計。

　　恩智浦的安全型CAN收發(fā)器可獨立于微控制器保護CAN通信，不會(huì )增加任何延遲。

　　增加軟件復雜性

　　CAN控制器負責管理TX緩沖區或TX隊列，從而使應用從復雜的管理和中斷處理任務(wù)中脫身。在汽車(chē)應用中，處理不同優(yōu)先級的報文是很常見(jiàn)的。不同的部分(如軟件線(xiàn)程)彼此之間并行運行。它們在CAN驅動(dòng)器或CAN控制器中使用不同的TX緩沖區或TX隊列。應用部分或線(xiàn)程將報文傳遞給CAN驅動(dòng)程序或控制器的順序不一定對應于報文在總線(xiàn)上出現的順序。對于使用全局新鮮度值(例如全局同步時(shí)間)的已認證報文，總線(xiàn)上的順序必須遵循用于計算報文認證碼的新鮮度值的順序。否則，它將被視為舊報文或者被接收器重播。等待贏(yíng)得仲裁的待處理CAN報文有效載荷中已經(jīng)包含報文認證碼和新鮮度值。因此，應用提供的任何更高優(yōu)先級的報文都將使所有待處理報文的新鮮度和相關(guān)認證失效。這意味著(zhù)CAN控制器的TX緩沖區和TX隊列已經(jīng)耗盡，應用不能再簡(jiǎn)單地向CAN控制器發(fā)送任何報文。此外，它需要設計為重新計算在等待傳輸的無(wú)效報文的認證，這為應用增加了額外的處理任務(wù)并且增加了系統延遲。

　　恩智浦的安全型CAN收發(fā)器屬于純硬件解決方案。

　　需要密鑰管理

　　任何基于加密的解決方案都依賴(lài)于密鑰的使用，或對稱(chēng)或不對稱(chēng)。適當的密鑰管理通常比較復雜，需要付出極大的努力，而這一點(diǎn)往往會(huì )被低估?？紤]到用于實(shí)時(shí)通信的有效載荷認證與高性能要求，通常會(huì )采用對稱(chēng)加密，即共享密鑰。系統的安全級別在一定程度上取決于共享密鑰的保護和特權。通過(guò)設計，密鑰應當具備有限的專(zhuān)用特權，以便降低密鑰本身(密鑰被盜)或使用過(guò)程中(雖以安全方式存儲但為被破壞的應用所利用)的安全漏洞影響。在這兩種情況下，應用都將獲得密鑰特權，亦即未經(jīng)授權的訪(fǎng)問(wèn)特權。

　　每個(gè)車(chē)輛的密鑰都應該是獨特或多樣化的，這樣即便車(chē)輛A的密鑰被盜也不能授予對任何其他類(lèi)似車(chē)輛的等同功能的訪(fǎng)問(wèn)權——這就是所謂的車(chē)隊攻擊應變力。在制造和車(chē)輛生命周期中，需要特別考慮密鑰特權的分配以及密鑰的創(chuàng )建與分配?？梢圆渴鹈總€(gè)車(chē)輛和功能的靜態(tài)多樣化密鑰，并在更換模塊期間維護用于密鑰注入的中央數據庫?；蛘?，也可以選擇為每個(gè)電子控制單元的角色分配密鑰使用擴展證書(shū)和非對稱(chēng)加密證書(shū)，讓車(chē)輛動(dòng)態(tài)分配或重新分配密鑰。Diffie-Hellman?(DH)協(xié)議有時(shí)會(huì )被理解為分配密鑰的標準方式，但這是不夠的。該協(xié)議可保證密鑰在兩個(gè)實(shí)體之間秘密交換，但并未指出交換密鑰的具體實(shí)體。這意味著(zhù)，攻擊者也可以加入DH會(huì )話(huà)并獲取有價(jià)值的相關(guān)密鑰。后者需要通過(guò)額外的流程來(lái)驗證另一方，如不對稱(chēng)證書(shū)方案。因此，用于有效載荷認證的對稱(chēng)密鑰管理可以轉化為車(chē)輛內的證書(shū)管理和動(dòng)態(tài)使用。

　　整個(gè)汽車(chē)生命周期的密鑰管理策略選擇是多種多樣的，但需要具體的想法和部署工作。而且，傳統的密鑰管理解決方案可能無(wú)法直接應用于汽車(chē)行業(yè)。密鑰管理策略可能取決于上述其他方面的設計選擇，例如上電后的新鮮度管理。

　　恩智浦的安全型CAN收發(fā)器無(wú)需加密即可高效運行——因此無(wú)需任何復雜的密鑰管理。

　　結論

　　基于加密的最先進(jìn)解決方案

　　-?需要某種形式的密鑰管理

　　-?需要一種方法在啟動(dòng)時(shí)處理新鮮度值以實(shí)現重播保護

　　-?可能會(huì )造成認證準備發(fā)生延遲，即存在一個(gè)寬限期

　　-?會(huì )引入傳輸延遲，用以計算報文認證碼

　　-?增加總線(xiàn)負載以傳輸附加參數(即：MAC和新鮮度值)

　　-?占用發(fā)送方和接收方應用的處理周期，并最終

　　-?可能會(huì )增加發(fā)送方應用架構的復雜性，以根據報文優(yōu)先級和新鮮度值對待處理的發(fā)送操作進(jìn)行排序，即：新的較高優(yōu)先級報文可能由于新鮮度值重新排序而使得待處理的低優(yōu)先級報文的認證碼失效

　　恩智浦提出的概念僅僅依靠安全型CAN收發(fā)器即可實(shí)現。該器件完全獨立于微控制器(μC)單獨運行。這意味著(zhù)它具備固有的安全級別，并且是專(zhuān)門(mén)以將系統影響降至最低為前提而設計的，因此能夠克服CAN協(xié)議規范中缺少發(fā)送方身份的問(wèn)題。該器件可以逐步(逐個(gè)電子控制單元)引入網(wǎng)絡(luò )，不會(huì )影響其他電子控制單元，也不會(huì )影響報文延遲、總線(xiàn)負載或增加處理器負載。實(shí)施的欺騙保護機制可確保目標電子控制單元(即：報文接收器)接收到的受保護報文都是由預期的發(fā)送方發(fā)送。另外，總線(xiàn)會(huì )在點(diǎn)火之后立即受到保護——我們的對策不需要任何初始化(各個(gè)電子控制單元)或同步(總線(xiàn)上的多個(gè)電子控制單元)操作。

　　這種安全型CAN收發(fā)器可以作為當今標準CAN收發(fā)器的硬件替代產(chǎn)品，無(wú)需更換電子控制單元上的主要硬件和軟件，并且不會(huì )影響其他電子控制單元的運行。因此，本文所述方案提供了一種快速、省力、非破壞性且具有高成本效益的方式來(lái)向CAN總線(xiàn)中引入安全性—既可以作為獨立的保護機制，也可以為其他安全解決方案增加第二道安全防線(xiàn)。

　　參考文獻

　　[1]?AUTOSAR?SecOC——模塊安全板載通信規范

　　https://www.autosar.org/fileadmin/user_upload/standards/classic/4-3/AUTOSAR_SWS_SecureOnboardCommunication.pdf

　　[2]?iCC?2017——網(wǎng)絡(luò )安全增強型CAN收發(fā)器(恩智浦)

　　https://www.can-cia.org/fileadmin/resources/documents/conferences/2017_elend.pdf

　　[3]?[ECUC_SecOC_00051]?SecOCEnableForcedPassOverride

　　https://www.autosar.org/fileadmin/user_upload/standards/classic/4-3/AUTOSAR_SWS_SecureOnboardCommunication.pdf

　　[4]?SP?800-38B：推薦的分組密碼操作模式：CMAC認證模式

　　https://csrc.nist.gov/publications/detail/sp/800-38b/final

　　[1]?DiD是一種在整個(gè)系統中實(shí)施多層安全對策的概念。這樣，可以在其中一種安全對策失敗或漏洞被成功利用的情況下發(fā)揮冗余的作用。通過(guò)DiD，可以為攻擊者設置多重障礙防止其攻破，從而提升整個(gè)系統的保護強度。