2024 年 3 月 14 日，在 2024 第五届软件定义汽车论坛暨 AUTOSAR 中国日上，Vector 技术方案经理吴长隆表示，当前智能汽车与移动端、手机端、云端、路端存在大量的信息交互，如果缺少有效的保护会带来巨大的信息安全和数据安全风险。

在此背景下，工信部委托全国汽车标准化技术委员会智能网联汽车分会提出了《汽车整车信息安全技术要求》。围绕标准中涉及到的信息安全管理系统、安全通信、安全存储、安全启动、安全诊断、入侵检测系统、网络防火墙等要求和解决方案，吴长隆进行了全面的讲解。同时他表示，Vector 的 MICROSAR 产品将支持 AUTOSAR 定义的标准化解决方案以及许多扩展功能，并实现高度自定义化的配置，从而帮助 OEM 快速实现相关的法规和产品要求。 

吴长隆 | Vector 技术方案经理

以下为演讲内容整理：

汽车信息安全的技术要求

信息安全管理系统简称 CSMS，是为了让汽车行业各组织能够应对信息安全风险而制定的一系列流程。国标和 R155 法规要求 OEM 需要提供 CSMS 的证明，并覆盖整个供应链，这其中也会涉及对基础软件供应商的要求，Vector 已经由独立的第三方机构完成了 CSMS 的审计。

接下来是国标对汽车技术各方面的具体要求。首先是安全通信的要求，国标要求车辆采取保护措施来保护通信通道的完整性。在信息安全方面，国标设定了以下保护目标：真实性、完整性、新鲜度、保密性和可用性。其中，真实性指数据由真实发送者发送，完整性指数据内容没有被篡改，新鲜度表示数据是最新的且未被重放，保密性指数据内容无法被第三方获取，可用性表示服务未被阻塞。 

图源：VECTOR

针对通信，我们可以在不同的网络层级应用不同的安全通信保护方法。例如，在应用层可以使用 Tester 或者 SecOC 进行保护，在网络协议层的 IP 层可以使用 IPsec，在 MAC 层可以使用 MACsec 进行保护。

下面是对几种主要网络通信保护协议的说明。首先是 SecOC，它在每个 PDU 层级增加了一个消息认证码 MAC 来保护 PDU 数据的完整性和真实性。MAC 计算使用对称加密算法，需要预先分配的对称密钥，并在计算中加入新鲜值来保证数据的新鲜度。SecOC 主要应用于保护车内基于信号的通信和 SOME 通信。它的优点是协议简单，适用于所有汽车内部总线系统，如 CAN、Lin、以太网等。SecOC 通信不需要握手即可直接开始，并提供端到端保护。 

然而，SecOC 的缺点包括实现 FvM 全局同步的复杂性、只能保护 PDU 层数据、无保密性保护以及需要预分配对称密钥。 

TLS 用于保护基于 TCP 或 UDP 传输的数据真实性、完整性、新鲜度和保密性。通信开始前需要进行身份认证，可以基于证书和预分配的密钥。TLS 主要应用于保护车辆与外部通信，如 DoIP 诊断通信、车辆与充电桩通信以及车辆与云端通信等。尽管 Tester 理论上可以用于保护车辆内部通信，但其认证可能导致通信启动延迟，并且通信加密会消耗大量 CPU 资源，因此在车内通信中应用较少。TLS 的优点包括已广泛应用于 IT 系统的标准协议，并且已在 DoIP 和 V2G 通信的 ISO 标准中标准化。它的认证可基于 PKI 证书体系，是一种 IT 行业广泛采用的方案。

MACsec 用于保护以太网通信，包括非 IP 协议的报文。它能保护所有类型的以太网报文的真实性、完整性和新鲜度，并可进行加密。密钥分配基于预分配密钥的 MKA 协议，其特点是 Hop-by-Hop 网络架构，即在通信路径上建立保护通道。主要应用场景是保护车内以太网骨干网通信，其优点在于加解密运算由以太网收发器硬件完成，不会影响 CPU 负载。

缺点是不是端到端保护，加解密运算经过 switch 处理，若 switch 被攻破，整个网络也会受到影响。另外，需要特殊硬件支持。

安全存储

在国标里面要求车辆应该对里面存储的私钥、关键数据以及关键安全资质保护，以防被篡改。关于安全存储有两种主要方案，第一是基于 NVM 的安全保护，第二是基于硬件保护模块 HSM 的保护。

首先，NVM 是用来在 MCU 里面对数据做非易失存储的模块，它也可以使用 CSM 整个密码模块来对数据进行保护。如果我们需要保护 NVM 数据的保密性的时候，NVM 可以使用 CSM 模块对数据进行对称加密，然后读取的时候再解密。如果需要保护完整性和真实性可以在存储数据的时候再加入一个 MAC，读取数据的时候进行验证。 

第二种，使用硬件安全模块 HSM 的安全存储。HSM 在控制器内部有一个带 CPU 和 Flash 的安全区域，这块区域无法被外部访问到，它可以用来安全存储密码资产，以及为密码运算提供丰富的硬件加速资源。使用 HSM 可保护密码带来的安全存储和安全更新。HSM 具有独立的 CPU，可执行复杂的软件密码运算，并提供对称加密和非对称加密的硬件加速支持。HSM 固件还可升级。

针对 HSM，Vector 提供了 veHsm 软件协议栈产品，可在 HSM 中集成丰富的软硬件加密算法，并对证书进行存储、解析、校验等处理，确保安全资产可靠存储。veHsm 类似于 AUTOSAR CP 的模块化软件架构，可根据需求进行灵活组合和配置，使用达芬奇工具进行配置，并生成源代码进行集成测试。应用场景包括安全启动、软件更新、签名验签以及通信校验，可以为客户提供有效灵活的软件协议栈。

安全启动

国标要求车辆软件系统的引导程序和固件在篡改后无法再次运行，可以通过使用 FBL 与 HSM 或 SHE 配合实现安全启动。安全启动需要一个可信根，而 HSM 由于具有自己的独立 CPU 和内存资源，并且无法被外部访问到，因此天然适合用作可信根。一种严格的安全启动方式是 Secure   Boot，也叫串行安全启动，其中 HSM 先启动并校验 Host 端，通过后再触发 Host 端启动并接管后续安全启动流程，请求 HSM 对固件进行校验后再启动程序。串行安全启动具有较高的安全性，但可能导致 ECU 启动时间较长。

相对的，另一种方式是并行安全启动，由 Host 端和 HSM 同步启动，HSM 在后台校验 Host 端和应用程序，并在校验完成后释放密钥访问权限。并行安全启动可以减少 ECU 的启动时间，但 Host 端软件在未经校验的情况下启动。在实际应用中，需要根据具体场景选择不同的安全启动模式。

安全诊断

安全诊断在国标中被要求采取安全措施来保护身份认证和访问控制。这可以通过以下几种方法实现。诊断传输安全方面，针对基于 DOIP 的诊断，可以利用 Tester 协议对传输内容进行加密保护，以确保传输过程的安全性。

在 UDS 服务层面，我们可以使用 27 和 29 服务来实现安全诊断。27 服务作为一种安全访问服务，用于验证 Tester 的身份。它的工作原理是 Tester 向 ECU 请求一个安全访问种子 ( SED ) ，ECU 回应后，Tester 会生成一个密钥并发送给 ECU，ECU 在校验密钥后确定相应的安全等级。27 服务的安全配置是静态的，对整个 ECU 生命周期有效，但修改安全配置较为困难，需要更新整个 ECU 软件及相关数据库。此外，27 只适用于非默认会话，对于默认会话的服务无法设置安全访问。而 29 服务是较新的 UDS 服务，在 2020 年版 ISO14229 协议中引入。它提供了一种面向未来的认证方法，即 Tester 向 ECU 发放证书进行认证，认证通过后 ECU 会检解锁书对应的安全访问权限。 

在 ISO 标准中，定义了两种证书认证方法，其中一种是基于 PKI 证书体系的验证方法，也得到了 AUTOSAR 标准模块的支持。然而，随着车型和车辆数量的增加，管理这些证书的工作量可能会很大。 

另一种方法是基于 challenge-response 的验证方法，相对比较简单，整车厂可以自定义算法，类似于 27 服务。这种方法无需复杂的 PKI 体系，适用于不希望建立 PKI 的 OEM。29 服务的安全访问基于证书，使其具有更高的灵活性。通过角色可以设定一系列可执行服务，以设定不同的权限，如开发权限、生产权限和售后权限等。

关于入侵监测系统，国标要求车辆具备对关键信息安全事件进行检测和记录日志的能力，因此引入了 IDS。IDS 系统包括几个部分。首先，在车辆上设置各种检测机制来检测异常情况，然后通过通信通道传输到云端后台的安全服务中心（SOC）。在经过云端的分析后，如果确定存在安全漏洞或风险，则需要采取相应的措施，并最终将其部署到车辆上。

在 AUTOSAR 框架中，由于其用于车上的嵌入式软件，我们今天主要关注车辆上 IDS 的检测和上报机制。车辆上的 IDS 通常采用分布式架构，在各个控制器中集成 IDS 功能，用于检测车辆上的各种异常行为，并生成安全事件。然后，这些安全事件上报给每个控制器中集成的 IDS 管理器（IDSM）。IDSM 收集这些事件后，将其存储在本地的安全事件存储器（SEM）中，或者转发给车辆上的 IDS   Reporter 节点，再由 IDSR 节点转发到云端的 SOC。

在 AUTOSAR CP 的架构中，各个 BSW 中嵌入了许多 Security Sensor 来检测异常情况。例如，在 SecOC 中，如果发生 MAC 校验失败，就会触发生成一个 IDS 事件。IDSM 收集这些事件后，可以调用诊断协议栈将事件存储在系统中，或者调用通信协议栈将这些事件发送给 IDSR。

网络防火墙

在新的国家标准中，对于车辆内部网络的安全要求划分安全区域，并在区域之间实施安全隔离和访问控制。对于基于以太网的网络，最简单的隔离方法是使用 VLAN，但其粒度相对较粗。若需要更精细的网络隔离，可以使用网络防火墙。

我想介绍一种基于智能以太网 Switch 的高级防火墙解决方案。车内以太网网络通过这种新型的智能以太网 Switch 连接，所有节点都连接到该 Switch。这种 Switch 内部通常集成了一个 M 核和 R 核，相比传统的需要由网关中的 MCU 来控制的 Switch，它具有更高的智能性。M 核可以执行一些 MCU 的功能，包括以太网 Switch 的配置，如防火墙配置以实现网络隔离。

针对智能以太网 Switch，我们推出了专门的软硬件协议站 veswitch，它可以将 MCU 中的一部分功能迁移到 Switch 的 M 核中，从而降低 MCU 的负载，减少延迟。此外，它还可以在 Switch 中部署本地的 OS 硬件抽象层、软件通信配置、时间同步处理、诊断处理、OTA 更新以及信息安全相关的功能，包括防火墙和 MACsec。

最后，新国标提出了许多具体的信息安全技术要求，涉及到控制器的底层方案，包括安全通信和安全诊断等。AUTOSAR 技术软件提供了许多标准化的解决方案，可供 OEM 和供应商实施。Switch 产品可以支持 AUTOSAR 中已定义的标准信息安全解决方案，同时还提供了许多扩展功能，帮助 OEM 更快地实现新法规的要求。

（以上内容来自 Vector 技术方案经理吴长隆于 2024 年 3 月 12-14 日在 2024 第五届软件定义汽车论坛暨 AUTOSAR 中国日发表的《AUTOSAR 赋能中国汽车信息安全新国标实施》主题演讲。）