梁亞麗，黃金山，范新欣，高家君

（1.一汽奔騰轎車有限公司電子電氣開發(fā)部，吉林 長春 130012；2.中國第一汽車集團有限公司工程與生產(chǎn)物流部，吉林 長春 130012）

各類車輛控制軟件數(shù)據(jù)、狀態(tài)數(shù)據(jù)等大量重要信息存在于控制器內(nèi)容，只有保障其信息的安全有效才能實現(xiàn)車輛的有效運轉。所以在設備通過診斷指令對其進行操作時，必須通過安全有效策略保障介入設備的合法性，才能確保控制器數(shù)據(jù)不會被非法篡改。

1 安全訪問過程簡介

診斷儀等設備、整車控制器（Server）在設計之初，會集成OEM安全算法。由于它們集成的算法是一致的，如果采用同樣的Seed進行計算將得到同樣的Key。診斷儀等設備對車輛內(nèi)某控制器進行安全訪問時，由以下4步完成，如圖1所示。

圖1 安全訪問過程

1）診斷儀等設備發(fā)起安全訪問請求。

2）控制器生成Seed并發(fā)送給診斷儀等設備。

3）診斷儀等設備控制器發(fā)來的Seed并按照預先集成的安全算法計算得到相應的Key，并將其傳遞給控制器。

4）目標控制器根據(jù)自身集成的算法和自身生成的Seed進行計算得到相應的Key，并將其和診斷儀等設備發(fā)的Key進行比對，如一致，安全訪問通過。

2 安全訪問方案

ISO 14229中雖然規(guī)定了安全訪問的基本步驟、相關的NRC（否定相應碼）等信息，但動態(tài)種子和靜態(tài)種子的選擇，NRC使用方式、計時或計數(shù)器的選擇及使用等方面OEM均可自主設計。

故在此介紹現(xiàn)有的安全進入方案（圖2），其安全訪問過程同圖1所示，但種子采用動態(tài)種子形式且在安全訪問Key比對環(huán)節(jié)增加計數(shù)器，如比對不成功計數(shù)器+1，當計數(shù)器達到3時，控制器安全訪問通道關閉且在規(guī)定時間內(nèi)不再開啟（該時間一般設定為60s）。

圖2 安全訪問方案

3 安全訪問過程場景下風險分析

根據(jù)以上安全訪問方案，可以分析得出其風險主要存在于下列場景。

場景1：在4S店曾經(jīng)工作過的售后人員已知一系列的Seed及其對應的Key（表1），如果在診斷儀請求動態(tài)種子的過程中，診斷儀可以通過多次請求到需求種子（如種子A），并手動發(fā)送診斷指令將對應的Key（A’）發(fā)送給控制器，則可通過非授權診斷儀進入安全訪問。

場景2：動態(tài)隨機種子產(chǎn)生方式主要有通過軟件生成隨機種子和通過種子發(fā)生器硬件生成隨機種子兩種方式。如果采用軟件生成隨機種子，在控制器內(nèi)部設置相應的隨機種子庫，每次從庫中隨機選擇種子。如該種子庫容量為N（一般設置為10000），則兩次種子相同的概率為1/N。假如表1中容量為m，允許請求次數(shù)為k，則出現(xiàn)表1中種子的概率為mk/N。如果采用隨機種子發(fā)生器，其隨機種子庫容量為232，則兩次種子相同的概率為1/232，也同樣假設表1中容量為m，允許請求次數(shù)為k，則出現(xiàn)表1中種子的概率為mk/232。表1中容量OEM是不可控制的，但允許請求次數(shù)k越小且隨機種子庫數(shù)量越大則出現(xiàn)表1中種子的概率就越小。因而要盡量選用隨機種子發(fā)生器生成隨機種子并盡量減少允許請求次數(shù)k。

表1 預期Seed與Key對應表

4 方案分析

為了應對場景1和場景2中風險，可以通過兩種方案解決。

方案1：在安全訪問全過程中均采用靜態(tài)種子。

方案2：在安全訪問全過程中采用動態(tài)種子，但在控制器向診斷儀等設備“回復動態(tài)種子”環(huán)節(jié)加入計數(shù)器。

從種子發(fā)送邏輯是否變化、計數(shù)器是否增加、NRC使用邏輯及規(guī)則是否變化、方案復雜度等方面對以上兩個方案進行詳細分析，具體如圖3所示。

圖3 方案對比

方案1邏輯簡單，且計數(shù)器NRC使用邏輯均不發(fā)生變化，只需改為靜態(tài)種子。而方案2方案復雜且更改較大，故不建議使用。

如果一定要采用動態(tài)種子方式，為了最大化控制場景1及場景2中風險，建議采用種子發(fā)生器硬件方式進行隨機種子生成，并在控制器進行隨機種子發(fā)送環(huán)節(jié)采用和Key比對環(huán)節(jié)同樣的策略。即如果診斷儀等設備持續(xù)請求動態(tài)種子，而不進行Key計算及比對，則每請求一次種子其計數(shù)器+1，并給出帶有響應NRC的否定響應。直至計數(shù)器達到3則控制器安全訪問通道關閉且在規(guī)定時間內(nèi)不再開啟（該時間一般設定為60s）。方案2具體實現(xiàn)邏輯見圖4。

圖4 方案2實現(xiàn)邏輯

5 結束語

通過對控制器安全進入方案的優(yōu)化分析，明確了其安全進入策略及方法，且目前已應用于車型實踐。安全訪問作為控制器進入的重要通道，只有進行有效控制才能有效降低其信息安全風險，從而保障車輛安全穩(wěn)定的運行。