关于控制器安全进入的优化设计

2021-08-04 11:08梁亚丽黄金山范新欣高家君
汽车电器 2021年7期
关键词:诊断仪计数器控制器

梁亚丽,黄金山,范新欣,高家君

(1.一汽奔腾轿车有限公司电子电气开发部,吉林 长春 130012;2.中国第一汽车集团有限公司工程与生产物流部,吉林 长春 130012)

各类车辆控制软件数据、状态数据等大量重要信息存在于控制器内容,只有保障其信息的安全有效才能实现车辆的有效运转。所以在设备通过诊断指令对其进行操作时,必须通过安全有效策略保障介入设备的合法性,才能确保控制器数据不会被非法篡改。

1 安全访问过程简介

诊断仪等设备、整车控制器(Server)在设计之初,会集成OEM安全算法。由于它们集成的算法是一致的,如果采用同样的Seed进行计算将得到同样的Key。诊断仪等设备对车辆内某控制器进行安全访问时,由以下4步完成,如图1所示。

图1 安全访问过程

1)诊断仪等设备发起安全访问请求。

2)控制器生成Seed并发送给诊断仪等设备。

3)诊断仪等设备控制器发来的Seed并按照预先集成的安全算法计算得到相应的Key,并将其传递给控制器。

4)目标控制器根据自身集成的算法和自身生成的Seed进行计算得到相应的Key,并将其和诊断仪等设备发的Key进行比对,如一致,安全访问通过。

2 安全访问方案

ISO 14229中虽然规定了安全访问的基本步骤、相关的NRC(否定相应码)等信息,但动态种子和静态种子的选择,NRC使用方式、计时或计数器的选择及使用等方面OEM均可自主设计。

故在此介绍现有的安全进入方案(图2),其安全访问过程同图1所示,但种子采用动态种子形式且在安全访问Key比对环节增加计数器,如比对不成功计数器+1,当计数器达到3时,控制器安全访问通道关闭且在规定时间内不再开启(该时间一般设定为60s)。

图2 安全访问方案

3 安全访问过程场景下风险分析

根据以上安全访问方案,可以分析得出其风险主要存在于下列场景。

场景1:在4S店曾经工作过的售后人员已知一系列的Seed及其对应的Key(表1),如果在诊断仪请求动态种子的过程中,诊断仪可以通过多次请求到需求种子(如种子A),并手动发送诊断指令将对应的Key(A’)发送给控制器,则可通过非授权诊断仪进入安全访问。

场景2:动态随机种子产生方式主要有通过软件生成随机种子和通过种子发生器硬件生成随机种子两种方式。如果采用软件生成随机种子,在控制器内部设置相应的随机种子库,每次从库中随机选择种子。如该种子库容量为N(一般设置为10000),则两次种子相同的概率为1/N。假如表1中容量为m,允许请求次数为k,则出现表1中种子的概率为mk/N。如果采用随机种子发生器,其随机种子库容量为232,则两次种子相同的概率为1/232,也同样假设表1中容量为m,允许请求次数为k,则出现表1中种子的概率为mk/232。表1中容量OEM是不可控制的,但允许请求次数k越小且随机种子库数量越大则出现表1中种子的概率就越小。因而要尽量选用随机种子发生器生成随机种子并尽量减少允许请求次数k。

表1 预期Seed与Key对应表

4 方案分析

为了应对场景1和场景2中风险,可以通过两种方案解决。

方案1:在安全访问全过程中均采用静态种子。

方案2:在安全访问全过程中采用动态种子,但在控制器向诊断仪等设备“回复动态种子”环节加入计数器。

从种子发送逻辑是否变化、计数器是否增加、NRC使用逻辑及规则是否变化、方案复杂度等方面对以上两个方案进行详细分析,具体如图3所示。

图3 方案对比

方案1逻辑简单,且计数器NRC使用逻辑均不发生变化,只需改为静态种子。而方案2方案复杂且更改较大,故不建议使用。

如果一定要采用动态种子方式,为了最大化控制场景1及场景2中风险,建议采用种子发生器硬件方式进行随机种子生成,并在控制器进行随机种子发送环节采用和Key比对环节同样的策略。即如果诊断仪等设备持续请求动态种子,而不进行Key计算及比对,则每请求一次种子其计数器+1,并给出带有响应NRC的否定响应。直至计数器达到3则控制器安全访问通道关闭且在规定时间内不再开启(该时间一般设定为60s)。方案2具体实现逻辑见图4。

图4 方案2实现逻辑

5 结束语

通过对控制器安全进入方案的优化分析,明确了其安全进入策略及方法,且目前已应用于车型实践。安全访问作为控制器进入的重要通道,只有进行有效控制才能有效降低其信息安全风险,从而保障车辆安全稳定的运行。

猜你喜欢
诊断仪计数器控制器
三转子式比例控制器设计与内泄漏分析
南京溧水电子3款控制器产品
采用虚拟计数器的电子式膜式燃气表
本田雅阁混动发动机无法启动故障检修案例
日立EUB 8500E彩色超声诊断仪的维修与升级
迈腾B8轿车启动防盗系统故障分析
基于NFV的分布式SDN控制器节能机制
汽车故障的综合诊断方法
基于Multisim10.1的任意进制计数器的设计与实现
SR620型与53230A型计数器的性能测试