维克多推出汽车网络安全解决方案

2022年8月5日，维克多汽车技术(上海)有限公司商业开发经理郝子健首先简单介绍了智能网联趋势下汽车的网络安全需求和技术环境，然后详细介绍了维克多提供的产品MICROSAR，其兼容AUTOSAR的加密协议栈以及主流的HSM硬件安全模块。

智能网联时代汽车信息安全需要提上日程

在SDV时代，随着车身代码越来越多，网络安全正在成为继功能安全之后汽车领域最热门的话题。目前业界做的比较多的是V2V和V2X的互联互通，也就是说车内的沟通不再是主要的，而是集中在车外。这种智能互联会带来网络安全和数据安全的问题。我在这里介绍一些Victor的网络安全和数据安全的解决方案，希望能给你或者所有的OEM厂商和tier1更多的启示。

图片来源:维克多官网

功能安全和信息安全/网络安全的概念经常听到，但人们可能不会正确理解它们。通过这两张图，我们可以更快地区分:上图是从制度上保护人，因为人是最重要的，是需要保护的，而功能安全就是要保护人不被车伤害。

下图是为了保护系统免受人的攻击，人是黑客，需要避免网络入侵来操纵系统。现在单独提功能安全没有意义。即使安全级别达到了更高的级别，一旦有黑客入侵，他可以操纵汽车破坏任何东西，这已经不能称之为安全了。

图片来源:维克多

回到今天的主题，信息安全大约有四个目标:

第一点是真实性。一个简单的理解就是，在发送和接收信息的时候，发送方和接收方一定要确定，接收方才能明确对方是不是要接收的信息的来源。

第二点是保密性，即黑客截获信息时，无法读取真实的具体内容。因为信息已经被密钥和算法库加密了。

第三点是诚信。事实上，完整性是网络安全中非常重要的一点。信息不会被他人篡改，或者当信息被篡改时，接收方能够知道，因此可以选择直接丢弃信息或者采取其他措施规避风险。

最后一点是不可否认性。网络安全将要求对数据进行签名，从而使信息发布者变得透明。

图片来源:维克多

在使用过程中，数据安全与信息安全的关系非常密切。首先，要保证里程、计数等基础信息的安全存储和不被篡改。总的来说，保证系统的通信节点是可靠的，传输过程需要加密和完全确认，保证数据不会来自第三方/黑客。

外部互联，比如车辆和基站之间的通信，需要连接到外网，所以在连接过程中必须有保护的措施。再比如升级，升级方是否允许和授权，升级后软件是否被篡改。这些都是需要考虑的问题。

Victor的网络安全专用方案:MICROSAR加密堆栈

Victor Enterprise总部位于德国，专注于开发符合AUTOSAR标准的ECU基础软件，在网络安全标准方面拥有丰富的经验。其产品MICROSAR包含与AUTOSAR兼容的加密协议栈(CSM、CRYIF、Crypto SW/HW)。

基础协议站在MICROSAR的网络安全部署中起着关键作用:上面提到的信息安全的四个目标都将通过基础协议站来实现。右边简单模块的内容在AUTOSAR的规范中有明确的定义，随着智能网联的不断推进，定义也在逐步完善。

即时消息……e资料来源:维克托

图片上方的加密协议站也已经在AUTOSAR上定义了。

图片左下方带有红色ve标识的部分更多的是Victor的解决方案，可以由OEM定义:与密钥相关的处理、认证等。Victor提供的服务将根据原始设备制造商的需求进行定制和开发。

下图是模块的概述。这里我会列出基础信息安全相关的模块，右半部分是基础软件协议站，包括诊断和协议。左边可以看到FBL和veHSM，也就是说右边可以提供基础和支持，然后可以提供相应的安全更新和下载，然后可以通过veHSM提供更多的软件算法和加速支持。

图片来源:维克多

接下来，我们具体看一下AUTOSAR定义的三个模块的关系和功能。

AUTOSAR的整个架构从上到下非常相似，最上面是应用，也就是SWCs中的算法，最下面是硬件相关的驱动，中间的模块是解耦，最上面是部分管理模块。

Csm模块可以直接调用上层算法。比如这个应用需要做算法和保护数据，可以直接被函数调用。内容包括优先级和处理方式，还包括使用的具体算法:对称加密算法AES或者非对称算法，这里会进行配置和使用。

再往下，通过中间模块对下层硬件/软件进行抽象和解耦，解耦后对上层完全统一接口。底层和硬件有很强的关联。这一层适用于各种芯片，这一层也会为不同的芯片提供加密驱动。

图片来源:维克多

要说数据安全，就要对数据进行加密，保证完整性，避免重放攻击。如何保证ECU之间通信数据的完整性？例如，发送方在左边，接收方在右边。发送的时候我们会有原始数据，更多的带着新鲜值是为了防止数据重放:截取一部分数据后再发送。

这里使用的是对称算法:两边的密钥完全相同。如果生成了MAC值，它将与数据的新值打包在一起，然后发送给接收方。接收到之后，接收方会反向操作，然后进行解释。如果这个过程没有问题的话，数据是可以完整接收并持续传输的。如果有问题，将放弃数据或采取其他措施。

图片来源:维克多

接下来是KeyM，AR4.4会介绍KeyM。证书的解析会由KeyM负责，其部分内容需要主机厂来做，定义具体的实现内容和逻辑，但是底层接口有一定的标准可以参考。KeyM自己的密钥和证书具有很高的安全级别，所以我们建议将其直接存储在加密的HSM中，并有单独的加密存储空间，这也是我们认为HSM具有很高安全级别的原因。

图片来源:维克多

下一步是引入IdsM，其规范在2020年10月落地，但Victor在2017年就已经开发了这个模块。到目前为止，Victor的模块技术已经非常成熟，用户可以直接使用。如果有需求，可以找维克多，我们会给你提供具体的落地方案。

具体来说，内容相当于IdsM是基础软件和应用层的安全传感器。它的作用是收集一些必要的安全事件SEM，事后会进行过滤。过滤后的QSEV可以自己定义，过滤后的QSEv会发送到idsR，idsR会帮助上传到云端，然后通过安全相关的平台或者云端进行分析。

图片来源:维克多

HSM硬件安全模块有什么优势？

最后，介绍HSM(硬件安全模块)。其实Victor以前做纯软件比较多，就是左边的形式，但是纯软件的缺点会更多。它没有自己的CPU和升级。虽然不断发展的插件路径已经解决了纯软件的大部分缺点，但是软件方案的安全性仍然……不够:没有独立的存储区域。

图片来源:维克多

她是这两个方案的进一步延伸。她方案已经有一个单独的存储部分，可以存储密钥和证书。安全级别也是硬件级别。但是SHE的性能也是有限的，因为它共享MCU端的处理器，所以需要额外的部署来处理密钥或者加解密。

图片来源:维克多

HSM应该是现阶段胜利者将采取的一种方式。现在基本上新的芯片或成熟的芯片可以完全支持HSM。它有自己独立的CPU和独立的存储区，所以计算和处理时占用的资源也是独立CPU的资源，不会和主核心资源发生冲突。这部分性能还可以支持更多，包括非对称算法，包括算法的加速。

0

图片来源:维克多

下图中的红色模块可以由Victor提供。此外，中间的FBL应用、升级相关服务和安全启动相关服务也由Victor提供。Victor可以通过veHSM应用为做数据安全时可能遇到的加密算法和加速支持提供不同芯片的服务。

1

图片来源:维克多

下图展示了完整的安全下载过程:首先会对文件进行加密或签名，并做一个hash。因为哈希的长度是固定的，所以私钥将用于签名，公钥将用于验证签名。签字后，将执行书写流程。在执行过程中，ECU将检查签名。检查后，如果一致性没有问题，文件将被下载到ECU。

在下载的同时，CMAC将被计算并存储在HSM，因此在下次启动时，HSM可以检查当前数据值是否与上次一致。如果一致，说明是安全的。

2

图片来源:维克多

以下是veHSM的总结。我刚才说的后半部分主要是针对HSM，它在网络安全方面也起着非常重要的作用。我还简单列出了支持的算法、安全启动、函数和证书类型。Victor工具的完整性和一致性没有问题。

3

图片来源:维克多

今天跟大家分享的大概就是这些，因为时间有限，不能说了。如果你有兴趣但不知道如何实现，Victor还提供咨询服务:比如你这里需要分析，或者你以后需要信息安全认证，Victor会有全套流程和基础软件提供更强的支持。

(以上内容来自于2022年8月5日由Gaspar和AUTOSAR联合主办的第三届软件定义汽车论坛2022暨AUTOSAR中国日上，维克多汽车技术(上海)有限公司商业发展经理郝子健发表的主题演讲《车内网络安全解决方案》。)2022年8月5日，维克多汽车技术(上海)有限公司商业开发经理郝子健首先简单介绍了智能网联趋势下汽车的网络安全需求和技术环境，然后详细介绍了维克多提供的产品MICROSAR，其兼容AUTOSAR的加密协议栈以及主流的HSM硬件安全模块。

智能网联时代汽车信息安全需要提上日程

在SDV时代，随着车身代码越来越多，网络安全正在成为继功能安全之后汽车领域最热门的话题。目前业界做的比较多的是V2V和V2X的互联互通，也就是说车内的沟通不再是主要的，而是集中在车外。这种智能互联会带来网络安全和数据安全的问题。我在这里介绍一些Victor的网络安全和数据安全的解决方案，希望能给你或者所有的OEM厂商和tier1更多的启示。

图片来源:维克多官网

乐趣的概念……国家安全和信息安全/网络安全经常听到，但人们可能不会正确理解它们。通过这两张图，我们可以更快地区分:上图是从制度上保护人，因为人是最重要的，是需要保护的，而功能安全就是要保护人不被车伤害。

下图是为了保护系统免受人的攻击，人是黑客，需要避免网络入侵来操纵系统。现在单独提功能安全没有意义。即使安全级别达到了更高的级别，一旦有黑客入侵，他可以操纵汽车破坏任何东西，这已经不能称之为安全了。

图片来源:维克多

回到今天的主题，信息安全大约有四个目标:

第一点是真实性。一个简单的理解就是，在发送和接收信息的时候，发送方和接收方一定要确定，接收方才能明确对方是不是要接收的信息的来源。

第二点是保密性，即黑客截获信息时，无法读取真实的具体内容。因为信息已经被密钥和算法库加密了。

第三点是诚信。事实上，完整性是网络安全中非常重要的一点。信息不会被他人篡改，或者当信息被篡改时，接收方能够知道，因此可以选择直接丢弃信息或者采取其他措施规避风险。

最后一点是不可否认性。网络安全将要求对数据进行签名，从而使信息发布者变得透明。

图片来源:维克多

在使用过程中，数据安全与信息安全的关系非常密切。首先，要保证里程、计数等基础信息的安全存储和不被篡改。总的来说，保证系统的通信节点是可靠的，传输过程需要加密和完全确认，保证数据不会来自第三方/黑客。

外部互联，比如车辆和基站之间的通信，需要连接到外网，所以在连接过程中必须有保护的措施。再比如升级，升级方是否允许和授权，升级后软件是否被篡改。这些都是需要考虑的问题。

Victor的网络安全专用方案:MICROSAR加密堆栈

Victor Enterprise总部位于德国，专注于开发符合AUTOSAR标准的ECU基础软件，在网络安全标准方面拥有丰富的经验。其产品MICROSAR包含与AUTOSAR兼容的加密协议栈(CSM、CRYIF、Crypto SW/HW)。

基础协议站在MICROSAR的网络安全部署中起着关键作用:上面提到的信息安全的四个目标都将通过基础协议站来实现。右边简单模块的内容在AUTOSAR的规范中有明确的定义，随着智能网联的不断推进，定义也在逐步完善。

图片来源:维克多

图片上方的加密协议站也已经在AUTOSAR上定义了。

图片左下方带有红色ve标识的部分更多的是Victor的解决方案，可以由OEM定义:与密钥相关的处理、认证等。Victor提供的服务将根据原始设备制造商的需求进行定制和开发。

下图是模块的概述。这里我会列出基础信息安全相关的模块，右半部分是基础软件协议站，包括诊断和协议。左边可以看到FBL和veHSM，也就是说右边可以提供基础和支持，然后可以提供相应的安全更新和下载，然后可以通过veHSM提供更多的软件算法和加速支持。

图片来源:维克多

接下来，我们具体看一下AUTOSAR定义的三个模块的关系和功能。

AUTOSAR的整个架构从上到下都很像，最上面是应用，也就是SWCs中的算法，最下面是硬件相关的驱动，中间的模块是解耦，an……顶部是部分管理模块。

Csm模块可以直接调用上层算法。比如这个应用需要做算法和保护数据，可以直接被函数调用。内容包括优先级和处理方式，还包括使用的具体算法:对称加密算法AES或者非对称算法，这里会进行配置和使用。

再往下，通过中间模块对下层硬件/软件进行抽象和解耦，解耦后对上层完全统一接口。底层和硬件有很强的关联。这一层适用于各种芯片，这一层也会为不同的芯片提供加密驱动。

图片来源:维克多

要说数据安全，就要对数据进行加密，保证完整性，避免重放攻击。如何保证ECU之间通信数据的完整性？例如，发送方在左边，接收方在右边。发送的时候我们会有原始数据，更多的带着新鲜值是为了防止数据重放:截取一部分数据后再发送。

这里使用的是对称算法:两边的密钥完全相同。如果生成了MAC值，它将与数据的新值打包在一起，然后发送给接收方。接收到之后，接收方会反向操作，然后进行解释。如果这个过程没有问题的话，数据是可以完整接收并持续传输的。如果有问题，将放弃数据或采取其他措施。

图片来源:维克多

接下来是KeyM，AR4.4会介绍KeyM。证书的解析会由KeyM负责，其部分内容需要主机厂来做，定义具体的实现内容和逻辑，但是底层接口有一定的标准可以参考。KeyM自己的密钥和证书具有很高的安全级别，所以我们建议将其直接存储在加密的HSM中，并有单独的加密存储空间，这也是我们认为HSM具有很高安全级别的原因。

图片来源:维克多

下一步是引入IdsM，其规范在2020年10月落地，但Victor在2017年就已经开发了这个模块。到目前为止，Victor的模块技术已经非常成熟，用户可以直接使用。如果有需求，可以找维克多，我们会给你提供具体的落地方案。

具体来说，内容相当于IdsM是基础软件和应用层的安全传感器。它的作用是收集一些必要的安全事件SEM，事后会进行过滤。过滤后的QSEV可以自己定义，过滤后的QSEv会发送到idsR，idsR会帮助上传到云端，然后通过安全相关的平台或者云端进行分析。

图片来源:维克多

HSM硬件安全模块有什么优势？

最后，介绍HSM(硬件安全模块)。其实Victor以前做纯软件比较多，就是左边的形式，但是纯软件的缺点会更多。它没有自己的CPU和升级。虽然不断进化的插件路径解决了纯软件的大部分弊端，但是软件方案的安全性仍然不够:没有独立的存储区域。

图片来源:维克多

她是这两个方案的进一步延伸。她方案已经有一个单独的存储部分，可以存储密钥和证书。安全级别也是硬件级别。但是SHE的性能也是有限的，因为它共享MCU端的处理器，所以需要额外的部署来处理密钥或者加解密。

图片来源:维克多

HSM应该是现阶段胜利者将采取的一种方式。现在基本上新的芯片或成熟的芯片可以完全支持HSM。它有自己独立的CPU和独立的存储区，所以计算和处理时占用的资源也是独立CPU的资源，不会和主核心资源发生冲突。这部分性能还可以支持更多，包括非对称算法，包括算法的加速。

0

图片来源:维克多

下图中的红色模块可以由Victor提供。另外，FBL应用程序，升级r……中间的ate服务和安全启动相关服务也由Victor提供。Victor可以通过veHSM应用为做数据安全时可能遇到的加密算法和加速支持提供不同芯片的服务。

1

图片来源:维克多

下图展示了完整的安全下载过程:首先会对文件进行加密或签名，并做一个hash。因为哈希的长度是固定的，所以私钥将用于签名，公钥将用于验证签名。签字后，将执行书写流程。在执行过程中，ECU将检查签名。检查后，如果一致性没有问题，文件将被下载到ECU。

在下载的同时，CMAC将被计算并存储在HSM，因此在下次启动时，HSM可以检查当前数据值是否与上次一致。如果一致，说明是安全的。

2

图片来源:维克多

以下是veHSM的总结。我刚才说的后半部分主要是针对HSM，它在网络安全方面也起着非常重要的作用。我还简单列出了支持的算法、安全启动、函数和证书类型。Victor工具的完整性和一致性没有问题。

3

图片来源:维克多

今天跟大家分享的大概就是这些，因为时间有限，不能说了。如果你有兴趣但不知道如何实现，Victor还提供咨询服务:比如你这里需要分析，或者你以后需要信息安全认证，Victor会有全套流程和基础软件提供更强的支持。

(以上内容来自于2022年8月5日由Gaspar和AUTOSAR联合主办的第三届软件定义汽车论坛2022暨AUTOSAR中国日上，维克多汽车技术(上海)有限公司商业发展经理郝子健发表的主题演讲《车内网络安全解决方案》。)

标签：

汽车资讯热门资讯