01 Autosar SecOC標(biāo)準(zhǔn)

隨著智能網(wǎng)聯(lián)汽車的蓬勃發(fā)展，尤其是輔助及自動駕駛技術(shù)的提高，新一代電子電氣架構(gòu)對車身網(wǎng)絡(luò)通訊信息安全提出了新的要求。整車中越來越多的零部件在直接或者間接的對外信息通訊過程中面對信息安全風(fēng)險，整車FOTA、V2X等應(yīng)用也催生了復(fù)雜信息交互的安全加密要求。

最近幾年也發(fā)生了很多對車載網(wǎng)絡(luò)的惡意攻擊事件，以當(dāng)下發(fā)展迅猛的新能源汽車電力驅(qū)動為例，整車控制器通過CAN網(wǎng)絡(luò)發(fā)送給牽引電機(jī)控制器扭矩和轉(zhuǎn)速請求等，但是當(dāng)總線中有人偽造相關(guān)扭矩請求報文，將會造成牽引電機(jī)非預(yù)期加速這樣的致命后果。為了應(yīng)對汽車電子總線數(shù)據(jù)加密和驗證的需求，AUTOSAR組織增加了全稱為Secure Onboard Communication（SecOC）的組件，為車載通訊總線引入了一套通信加密和驗證的標(biāo)準(zhǔn)。

本文主要描述了基于ST高性能高安全性PowerPC結(jié)合Autosar SecOC完成的硬件加密的安全總線通信實現(xiàn)。

02 SPC58系列軟件解決方案

ST SPC58系列產(chǎn)品內(nèi)置了Hardware Security Module（HSM），SPC58xC/xG/xN等產(chǎn)品符合歐盟Evita Medium信息安全等級，SPC58xH產(chǎn)品符合歐盟Evita Full信息安全等級，能夠支持客戶應(yīng)對當(dāng)前及未來汽車電子ECU的信息安全挑戰(zhàn)。 SPC58系列產(chǎn)品搭載的HSM核心由32bit PowerPC e200z0核心及針對關(guān)鍵密碼算法的硬件單元組合而成，其通過HSM/HOST接口和Shared RAM與主核心交互。

下面結(jié)合SecOC應(yīng)用和服務(wù)構(gòu)建了基于HSM硬件和HSM固件包的演示系統(tǒng)。基本架構(gòu)如下圖所示：



圖1 AUTOSAR規(guī)范的SecOC與HSM交互示意圖

上?？匕残畔踩透锫饭ぷ魇覉F(tuán)隊基于SPC58微控制器和HSM/Security Stack相關(guān)軟件提供上述框圖中的軟件解決方案及示例代碼：

（1）HSM核心中運行的Firmware，包括基于SPC58xH的增強(qiáng)型eHSM的Firmware固件或者基于SPC58xC/xG/xN等產(chǎn)品的標(biāo)準(zhǔn)HSM的Firmware固件。固件支持的密碼學(xué)算法包括如下圖所示：



圖2 ST HSM支持算法示意圖

（2）ST提供符合Autosar Crypto Interface要求的Crypto Driver，以方便客戶集成第三方Autosar基礎(chǔ)軟件；

（3）HSM核心的啟動示例代碼，包括基于MC_ME軟件啟動HSM核心及基于DCF配置的System Boot啟動HSM核心；

（4）采用與對應(yīng)HSM 固件相關(guān)的Crypto Driver。

03整體ECU安全通信演示

基于上述HSM Firmware和相關(guān)硬件密碼加速器，結(jié)合SecOC應(yīng)用需求，開發(fā)了整體ECU間安全通信的演示系統(tǒng)。

（1）Host Core軟件功能

運行于SPC58多核心PowerPC e200z4的Host core軟件主要功能有：

·Com協(xié)議棧：包括COM、PduR、CanIf及SecOC模塊；

·Crypto協(xié)議棧：包括Csm和CryIf模塊；

·MCAL相關(guān)模塊：包括Can和Crypto模塊。

一個安全通信CAN信號發(fā)送的過程如下圖：



圖3 SecOC CAN-FD信號交互流程圖

（2）Crypto Driver配置

基于ST提供的相應(yīng)Crypto Driver包，只需要對CryIf接口部分進(jìn)行配置，包括CryptoKey和CryptoObject等配置，本例使用了AES128算法進(jìn)行安全加密通信算法。



圖4 基于ST Crypto Driver的配置示例

（3）HSM Core固件燒錄及密鑰生成

本例中HSM固件需要單獨進(jìn)行仿真器燒錄，并且需要調(diào)用Key Management功能，提前加載Key功能。

（4）功能驗證

本例實現(xiàn)了對CAN-FD幀payload的加密，下圖中CAN幀ID 0x456的最后四個字節(jié)分別是FVM及加密結(jié)果。本例使用的UDE仿真調(diào)試器可以同時實現(xiàn)主核變量查看，HSM核心狀態(tài)和HSM核心存儲器查看。演示效果如下圖所示：


圖5 SecOC在SPC58 MCU中的 運行及安全通訊信號示例

審核編輯：劉清