面向汽車Zonal架構的TSN輕量級認證與授權通信框架 *

魯睿其，謝國琪，劉新忠，李仁發

（1. 湖南大學信息科學與工程學院， 嵌入式與網絡計算湖南省重點實驗室， 長沙 410082；2. 上汽通用五菱汽車股份有限公司技術中心控制與軟件部，柳州 545000；3. 湖南理工學院信息科學與工程學院，岳陽 414000； 4. 湖南大學重慶研究院，重慶 401135）

前言

隨著汽車智能化的不斷發展，傳統的分布式電子電氣（electrical/electronic，E/E）架構和域集中式E/E 架構由于實時性的限制，難以滿足智能網聯汽車的車載使用需求［1-2］，因此，需要采用基于時間敏感網絡（time-sensitive networking，TSN）區域（Zonal）架構［3］，以提高帶寬利用率和數據傳輸速率。同時，汽車網聯化的發展也帶來了嚴重的信息安全問題［4］，威脅到汽車網絡的數據傳輸。雖然TSN標準要求每個流量都經過流過濾器、流控門和流計量器3 層防護模塊［5］，但該技術的實現機制與防火墻類似，通過檢測流量的異常情況來對異常流量進行阻斷或限流操作；一旦異常流量突破這道保護屏障，整個汽車系統將暴露在攻擊者面前，從而很容易導致整個系統癱瘓。此外，這種防護技術需要經過多層處理，會產生過多的計算和通信開銷［6］。因此，開展針對汽車Zonal 架構的輕量級信息安全研究具有重要意義［7］，這也是智能網聯汽車確保智能應用準確實施和保障車輛功能安全的前提條件。

劫持攻擊、篡改攻擊和監聽攻擊是汽車網絡中廣泛存在且具有極高危險性的惡意攻擊類型。為對抗監聽攻擊，對稱密鑰算法和非對稱密鑰算法被廣泛應用于汽車網絡中。Woo 等［8］提出了一種基于迭代分組密碼算法（advanced encryption standard，AES）為控制局域網（controller area network， CAN）提供機密性保護。為防止篡改攻擊，自動開放系統體系結構（AUTomotive open system architecture， AUTOSAR）推薦使用消息驗證碼（message authentication code，MAC）算法，并在信息安全車載通信（secure onboard communication， SecOC）規范中進行標準化。Nilsson等［9］提出一種基于128 位密鑰的密碼塊MAC 為保證消息的完整性。劫持攻擊是指未經授權訪問汽車網絡信息的攻擊方式。Mundhenk 等［10］提出了一種基于汽車CAN-FD 網絡的認證與授權框架，為汽車網絡提供防劫持和防監聽的安全防護。此外，研究人員常采用入侵檢測（intrusion detection system，IDS）和防火墻來防止劫持攻擊。Taylor 等［11］提出了一種基于時間間隔的IDS，通過比較消息的平均時間和歷史時間來檢測系統異常。但IDS 檢測方法很容易遭受汽車環境（如振動、電磁干擾、消息調度和仲裁延遲）的干擾，從而導致待檢測的屬性不穩定和不一致。Luo 等［12］提出一個基于消息過濾器的防護墻用來隔離不可信網絡域和可信網絡域，并實現了CAN和具有靈活數據速率的CAN（CAN with flexible data-rate，CAN-FD）網絡的密鑰管理和安全通信。但是，一旦有異常流量突破這道保護屏障，網絡安全將會受到威脅。

綜上所述，上述汽車安全防護機制大多是基于CAN 和CAN-FD 網絡，且絕大部分安全框架只做到了防劫持、防篡改及防監聽中一種或兩種防護，很少有安全框架做到同時滿足防劫持、防篡改及防監聽的一體化的信息安全框架。此外，TSN 標準所提供的流過濾器、流控門和流計量器3 層信息防護模塊本質上是一種邊界防火墻技術，一旦邊界被攻破，整個架構將被暴露并因此癱瘓；這種防護技術因存在多層處理而產生過多的計算和通信開銷。總之，TSN 標準所規定的安全防護模塊不適合汽車E/E 架構。因此，本文提出了一種面向汽車Zonal 架構的TSN 輕量級認證與授權通信框架，實現了防劫持、防篡改及防監聽的一體化信息安全通信。

1 汽車Zonal架構構建

1.1 汽車E/E架構發展趨勢

當前，汽車E/E 系統是一個典型的分布式架構［13］。在智能化趨勢下，分布式架構在開發智能應用軟件時面臨成本高和部署難的問題［14］；在網聯化趨勢下，分布式架構使汽車軟件難以更新（如OTA）［15］。因此，傳統的分布式E/E 架構難以滿足面向未來的車-路-云-網一體化發展的新需求［16］。然而，隨著汽車E/E 架構由分布式向集中式發展，以上問題能得到很好地解決［17］。

業界普遍認為汽車E/E 架構的發展將經歷分布式、域集中式和中央計算式3 個階段，如圖 1 所示。在分布式架構中，各電子控制單元（electronic control units， ECUs）通過車載總線實現互連，而這些車載總線又通過中央網關實現互連［1，18］。域集中式架構以域為核心，通過域控制器管理域內多個ECU，從而緩解分布式架構的缺陷。中央計算式架構的中央計算單元被zone 控制器包圍，這些zone 控制器具有很強的算力。在中央計算單元上運行的某些功能被分配到特定的zone 控制器上，進行預處理后再發送給中央計算單元進行處理。

圖1 汽車E/E架構發展趨勢

1.2 汽車Zonal架構模型

基于新一代智能網聯汽車E/E 架構，設計了一款Zonal架構作為系統模型，旨在研究智能汽車信息安全通信，如圖2所示。

圖2 汽車Zonal架構圖

Zonal 架構以中心計算單元（central computing，CC）為中心節點，其通過TSN 與多個zone 控制器（zone controller， ZC）連接，包括ZC1、ZC2、ZC3 和ZC4。TSN是一種點對點通信的工業嵌入式網絡，使用一對雙絞線進行全雙工通信，并在以太網的數據鏈路層上添加了一系列協議標準。各個zone內部采用傳統的CAN 或者CAN-FD 網絡連通各個ECU。本文的研究重點是Zonal 架構ZC 間的安全通信，故不對zone內部通信進行詳細介紹和說明。

1.3 汽車Zonal架構原型平臺

本文采用TSN 交換機、SoC 單元、收發器和車載以太網轉換器為Zonal 架構構建了一個硬件原型平臺，通過TSN網絡連接各節點，平臺的拓撲結構如圖3所示。下面對Zonal架構用到的設備和TSN網絡實現要素進行詳細介紹。

圖3 Zonal架構拓撲結構

（1）SJA1105Q［19］： 本架構采用SJA1105Q 作為TSN 交換機，用來實現TSN 組網。SJA1105Q 是NXP半導體公司開發的一種主流工業嵌入式TSN 交換機。SJA1105Q 具有可配置的TSN 特征（例如802.1 Qav 中定義的CBS、IEEE 802.1 Qbv 定義的TAS 等），以連接Zonal架構中的TSN節點。

（2）LS1028A［20］：本架構采用LS1028A作為Zonal架構中的CC 和ZC。LS1028A 是NXP 半導體公司開發的處理器，將雙核ARMCortex-A72 與數據包處理和高速外設相集成，其主頻高達1.5 GHz，板載 2GB DDR4 RAM， 8GBROM。該開發板配置了6 個Gbit Ethernet 接口，支持 TSN 的以太網交換機和以太網控制器，為一系列企業和服務提供商的網絡、存儲、安全和工業應用提供絕佳組合。

（3）TJA1102［21］：本架構使用NXP 半導體公司開發的收發器TJA1102 作為交換機的PHY 芯片（即收發器），以連接Zonal 架構中的CC 和ZC；TJA1102 是高性能，雙端口汽車以太網PHY，符合100BAEST1，其傳輸速度可達100 Mbit/s。TJA1102 集成到SJA1105Q（TSN交換機）開發板中。

（4）YT8614H［22］： 作為ZC 的LS1028A 開發板中集成了裕太微電子 公司生產的 YT8614H 以太網收發器。 YT8614H 是一款低功耗 4 端口 10/100/100 Mbps 以太網 PHY，支持同步以太網時鐘輸出。

（5）TSN 網絡：TSN 網絡是Zonal 架構的通信載體。LS1028A 開發板具有可配置TSN 的特性，包括時鐘同步、時間感知整形、無縫冗余、逐流過濾和監管等。對于TSN 的時鐘同步，LS1028A 開發板采用IEEE 802.1AS 也就是gPTP （general precision time protocol）來實現；gPTP 是一種用于網絡時鐘同步的協議，其改進了IEEE 1588 中規定的精確時間協議。LS1028A 開發板集成了裕太微電子公司生產的YT8614H PHY，該公司生產的PHY 已被德賽西威和廣汽等知名車企采用［23］。YT8614H能夠提取軟件時間戳和硬件時間戳，其中硬件時間戳可以通過內核FSL_ENETC_HW_TIMESTAMPING 配置項來開啟ENETC 的硬件時間戳。時鐘同步可以使各個節點在相同的時間點上開始傳輸數據，避免了數據包的沖突和丟失，從而確保實時通信的準確性和可靠性。時鐘同步是TSN網絡確定性傳輸的基礎。本文使用帶有IEEE 802.1Q-Tag 的以太網幀進行通信，并采用基于802.1Q 的服務質量（QoS）處理，從而實現幀優先級。SJA1105Q 支持端口優先級重映射且每個端口最多支持8個出口隊列。TSN網絡基于802.1Qav定義的信用的流量整形器（credit-based shaper， CBS）使用信用機制來控制 AVB A 流和 AVB B 流流量的帶寬和時延，避免增強的突發多媒體數據流造成較大的緩沖擁堵，使其滿足相應的 QoS 需求。CBS 的實現依賴于TSN交換機的支持。SJA1105Q提供10個基于IEEE802.1Qav 的CBS，每個CBS 都可以自由分配給任意一個端口的任意一個優先級隊列，具有很大的靈活性。本文基于IEEE 802.1Qbv 定義的時間感知整形器（time awareness shaper，TAS），通過門控制列表（GCL）控制數據流傳輸以實現低延遲和數據包傳輸的確定性行為，通過NXP Semiconductors提供的SDK配置CBS和TAS來塑造SJA1105Q中的流量。

圖4 展示了一個包括CC 和兩個ZC 的Zonal 架構網絡連接的原型平臺。該硬件平臺采用LS1028A SoC開發板代表CC 和兩個ZC，該開發板集成了以太網收發器YT8614；同時，該平臺采用SJA1105Q 開發板代表TSN交換機，該交換機開發板集成了2個TSN的收發器TJA1102。然而，由于LS1028A 開發板的以太網接口是RJ45，而SJA1105Q 開發板的以太網接口是雙絞線接口，因此，本硬件架構采用車載以太網轉換器來連接LS1028A 開發板和SJA1105Q 開發板的PHY。該車載轉換器用于標準的RJ45 以太網和雙絞線車載以太網之間的物理雙向轉換，支持100BASE-T1 協議，能與NXP、TI、Brodcom、Marvell、Realtek的雙絞線車載以太網互聯互通。

圖4 Zonal架構網絡連接的原型平臺

1.4 TSN交換機結構模型

TSN 交換機結構模型基于商用TSN 交換機SJA1105Q開發板實現。

以往的工作中［24-25］，TSN 交換機的8 個隊列只有一個隊列是TT 流，這種GCL 機制很容易將TT 流設計成以確定的方式傳輸。但是在TT 流數量很多時（實際智能網聯汽車這種情況常有），TT 流也可能有較大的排隊時延，從而造成丟包現象。

本文重新分配了TSN 交換機中每個端口對應的8 個FIFO 隊列，如圖5 所示。根據需求將兩個FIFO隊列分配給TT 流類別（TT T1 流、TT T2 流），以緩解單個FIFO 隊列面對大量TT 流時會造成較大的阻塞延時或丟包情況。本文刪除了TT T2 隊列的GCL，保留了TT T1 隊列的GCL。也就是說，只保留TT T1流量的GCL，而刪除其他流量的GCL［26］。因此，本研究涉及的GCL配置只針對TT T1流量。

圖5 TSN交換機結構模型［26］

圖6 TSN輕量級認證與授權通信框架示意圖

2 TSN輕量級認證與授權通信框架

2.1 TSN輕量級認證與授權通信框架概述

為做到防劫持、防篡改及防監聽的一體化防護方案，TSN 輕量級認證與授權通信框架包括3 個部分： （1）身份驗證；（2）通信授權；（3）安全傳輸。如圖 6 所示，以ZC3 和ZC4 為一對通信參與者為例介紹通信框架。

身份認證是CC 和ZC 之間的相互認證（而不是所有節點之間的相互認證），有效節約了計算和通信等開銷。此外，身份認證還為后續通信授權機密提供了授權密鑰。通信授權是以CC 為主節點為從節點ZC 提供訪問控制策略，也就是CC 安全分享通信密鑰給從節點ZC。身份認證和授權通信有效預防劫持攻擊。安全通信是指從節點完成消息的傳輸，該過程基于主節點CC分享的通信密鑰完成，有效預防了監聽和篡改攻擊。本通信框架設計的所有TSN消息都是TT T1流量。

2.2 身份認證

在各個ZC 通信之前，須完成CC 和ZC 之間的相互身份認證，包括4 個過程：（1）ZC 發送數字證書；（2）CC 發送數字證書和通信密鑰；（3）ZC 發送確認消息；（4）CC 確認。具體過程如圖7 所示。特別說明，CC依次與每個ZC完成相互身份認證。

圖7 身份認證

（1）ZC 發送數字證書。ZC 將自身的數字證書發送給CC，使CC 認證ZC 的身份。數字證書是由證書授權中心（certificate authority，CA）頒發的權威電子文檔，其中包括節點公鑰、標識符和其他信息。本設計中除通過數字證書認證節點身份，還需要利用數字證書中的公鑰。

（2）CC 發送數字證書和通信密鑰。CC 收到ZC的數字證書后，驗證其數字證書的合法性后，獲取ZC 的公鑰。CC 將自身的數字證書發送給ZC，使ZC認證CC 的身份。同時，CC 向ZC 發送CC 和ZC 通信的對稱密鑰，叫做授權密鑰（圖7 中用KAZC表示）。CC 采用ZC 的公鑰加密授權密鑰KAZC與CC 的時間戳（圖7 中用TCC表示），以及CC 對授權密鑰KAZC的數字簽名。

（3）ZC 發送確認消息。ZC 驗證CC 的數字證書獲得CC 的公鑰，采用CC 的公鑰解密密文獲得明文形式的授權密鑰KAZC與CC 的時間戳TCC，并核對ZC的時間戳（圖7 用TZC表示），如果TZC-TCC≤ △T，則說明保證了授權密鑰KAZC的新鮮度，其中△T是兩個節點之間最大的時間延時。采用CC 的公鑰驗證CC的數字簽名，如果驗證成功則采用授權密鑰KAZC加密ZC的時間戳形成TZC確信信息，發送給CC。

（4）CC 確認。CC 收到確認消息后，采用授權密鑰KAZC解密確認消息，獲取ZC 的時間戳TZC，如果TCC-TZC≤ △T成立，則完成CC 與ZC 之間的相互認證。

2.3 通信授權

CC 與ZC 完成身份認證之后，不同ZC 通信之前要完成通信授權，確保通信的可用性。本文中以ZC3 和ZC4 為例介紹通信授權，分為4 個步驟：（1）ZC3 請求；（2）CC 授權；（3）ZC3 接收；（4）ZC4 接收，如圖8所示。

圖8 通信授權

（1）ZC3 請求。當發送端ZC3 有消息要發送給ZC4 時，ZC3 向CC 發送請求消息。請求信息采用ZC3的授權密鑰（圖8中用KAZC3表示）加密發送消息的消息流IDi和ZC3 的時間戳（圖8 中用TZC3表示）。消息流IDi可以指明兩個通信ZC和發送消息的ID。

（2）CC 授權。CC 收到ZC3 的請求消息后，采用授權密鑰KAZC3解密該消息獲得明文形式的消息流IDi和ZC3 的時間戳TZC3；如果TCC-TZC≤ △T成立，則說明請求消息的新鮮度得到保證。驗證消息流IDi的合法性后，CC 生成授權消息分別發送給兩個通信的參與者，即ZC3 和ZC4。授權消息分別采用ZC3和ZC4 的授權密鑰KAZC3和KAZC4加密，加密內容均是兩者的通信密鑰（圖8中用KCi表示）和CC 的時間戳（圖8中用TCC表示）。

（3）ZC3 接收。當ZC3 收到授權消息后，分別采用授權密鑰KAZC3解密該消息，獲得明文形式的通信密鑰KCi和CC 的時間戳TCC，當TZC3*-TCC≤ △T（TZC3*是ZC3 新的時間戳），則保證了通信密鑰KCi的新鮮度。

（4）ZC4 接收。該過程與ZC3 接收類似，當ZC4成功解密授權消息獲得通信密鑰KCi并驗證其新鮮度后，則通信授權完成。

2.4 安全通信

通信參與者ZC3 和ZC4 被授權通信密鑰后，兩者可以進行安全通信，安全通信分為兩個過程：（1）ZC3發送；（2）ZC4接收，如圖9所示。

圖9 安全通信

（1）ZC3 發送。發送端ZC3 采用通信密鑰KCi加密要發送的消息主體和ZC3的時間戳TZC3，同時生成消息的HMAC值，與加密消息一同發給接收端ZC4。

（2）ZC4 接收。接收端ZC4 收到發送端ZC3 的消息后，采用通信密鑰KCi解密此消息獲取明文形式的消息主體和ZC3的時間戳TZC3，并采用HMAC算法計算出消息的HMAC 值（圖9 中用HMAC*表示），與收到的HMAC值進行比較，如果兩者相等，則說明該消息未被篡改，ZC4采納消息完成安全通信。

3 安全性驗證和實驗評估

主要采用形式化驗證工具ProVerif 驗證本文所提出的通信框架的安全屬性，并從計算開銷和通信開銷兩方面評估所設計的通信架構和LASAN［10］。

3.1 安全性驗證

采用ProVerif［27］工具驗證設計的安全協議的安全性。ProVerif 工具由Bruno Blanchet 開發，該工具是基于 Dolev-Yao 模型的形式化自動驗證密碼學協議工具，能夠描述各種密碼學原語；并在驗證安全協議時，如果協議存在漏洞，該工具將提供相應的攻擊序列。ProVerif能夠分析和驗證保密性、認證性和觀察等價等屬性。

本文中主要使用ProVerif 工具驗證所提出的TSN 輕量級認證與授權通信框架的安全屬性，其中包括CC 與ZC 之間的身份認證性、授權密鑰和通信密鑰的機密性。驗證身份認證性和授權密鑰的機密性成功表明，身份認證過程和通信授權過程可以安全地執行，從而證明該通信框架可以防御劫持攻擊；驗證通信密鑰的機密性成功表明，安全通信過程可以安全地執行，從而證明該通信框架可以防護監聽攻擊和篡改攻擊。

通過ProVerif工具對于以上安全屬性的驗證，工具輸出結果均為true，說明該通信架構能夠滿足響應的安全屬性。

3.2 實驗準備

本實驗采用開放式安全套接字層（open secure sockets layer， OpenSSL）［28］作為密碼學算法實現。OpenSSL 是一個安全套接字密碼庫，由OpenSSL 項目組維護和開發，支持Unix/Linux、Windows、Mac OS等多種平臺。目前，OpenSSL 被廣泛應用于各種軟件中的安全模塊，如VOIP的OpenH323協議、Apache服務器、Linux 安全模塊等等。OpenSSL 囊括了主要的密碼算法，包括對稱加密算法、非對稱加密算法、散列算法、數字簽名和認證等。

本實驗選用AES 作為對稱密鑰算法，并采用Rivest-Shamir-Adleman（RSA）作為非對稱加密算法、數字簽名和數字證書，以及采用安全散列算法-1（secure hash algorithm-1， SHA-1）和SHA-256 作為HMAC 算法。由于都是基于非對稱密鑰算法的本質，本實驗假設基于RSA 的非對稱加密算法的加密時間與基于RSA 的數字簽名的驗證時間相等，基于RSA的非對稱解密時間與基于RSA的數字簽名的簽名時間相等。為區分不同的密鑰長度的性能表現，本實驗將密碼學算法分為兩組，第一組包括AES-128、RSA-1024 和SHA-1，第二組包括AES-256、RSA-2048和SHA-256。

3. 3 性能對比

比較本文的通信框架與LASAN［10］在計算開銷和通信開銷兩方面的性能。LASAN 的全稱是Lightweight Authentication for Secure Automotive Networks（安全汽車網絡的輕量級認證）。LASAN 提供了認證與授權功能，但忽略了安全通信環節，只為通信提供了機密性和可用性，忽略了完整性，而本文提出的框架包括認證、授權和安全通信3 個階段，為汽車網絡提供了機密性、完整性和可用性。

3.3.1 計算開銷對比

計算開銷是指通信框架執行所需的密碼學算法需要的時間，以微秒（μs）為單位。為比較通信框架計算開銷，本實驗在如圖4 所示的硬件平臺上，重復100 次測試3 s（RSA 測試時間是10 s）內執行不同密碼學算法的平均執行時間，并列于表1中。

表1 密碼學算法在LS1028A上的執行時間 μs

根據表1 的密碼學算法的執行時間，本實驗對比了本文的通信框架和LASAN 在身份認證、通信授權和安全通信3 個階段的密碼學算法種類和數量對計算開銷的影響，結果如表2～表4 所示。其中，C1表示采用第一組密碼學算法的結果，C2 表示采用第二組密碼學算法的結果。由于LASAN 未設計安全通信階段，本實驗采用設計的對稱加密結合HMAC操作作為LASAN 的安全通信設計，并延續LASAN在認證與授權階段時攜帶明文形式發送和接收端標識符、時間戳和隨機數的特性。

表2 身份認證計算開銷結果對比μs

表3 通信授權計算開銷結果對比μs

表4 安全通信計算開銷結果對比μs

通過對比表2～表4可以看出以下趨勢：

（1） 整體來看，認證階段的計算開銷遠遠多于通信授權和安全通信階段，但也不超過20 ms。身份認證在車輛運行前完成，也不會影響汽車網絡通信的實時性。

（2） 信息安全通信框架采用的密碼學算法的密鑰長度越長，則通信框架的計算開銷越大，說明安全性越強的密碼學算法的執行需要的時間越長。

（3） 在認證、通信授權和安全通信3 個階段，本文的通信框架的計算開銷均優于LASAN，這表明本文的設計更加輕量。

3.3.2 通信開銷對比

通信開銷是指節點之間交換數據所需要的有效負載，單位為字節（B）。

為定量比較信息安全通信框架的通信開銷，本實驗假設消息的ID 和ECU 的標識符均為8 B。本文所設計的信息安全通信架構和LASAN 的通信開銷對比結果如表5～表7 所示。同樣的，LASAN 未設計安全通信階段，依然采用本文的安全通信設計，并保持LASAN本身的特征如3.3.1節所述。

表5 身份認證通信開銷結果對比B

表6 通信授權階段通信開銷結果對比B

表7 安全通信階段通信開銷結果對比B

從表5 中可以看出，通信開銷的趨勢類似計算開銷。3 個階段的計算開銷從大到小依次為身份認證階段、通信授權階段、安全通信階段，而這正好符合本設計對輕量級通信架構的需求；同樣，密碼學算法的密鑰長度增加（即安全性增加），通信框架的通信開銷也增加，也就是說，安全性增加通信開銷也增加。此外，本設計的通信架構的通信開銷均小于LASAN。

通過計算開銷和通信開銷的對比，可以看出本文所設計的信息安全通信框架具有更低的成本和更少的操作，因此通信開銷和計算開銷相對少于LASAN。

4 結論

提出一款汽車Zonal 架構并基于該架構設計了一個TSN輕量級認證與授權框架用來增強汽車網絡通信的安全性。TSN 輕量級認證與授權框架通過身份認證、通信授權和安全通信，有效地為汽車網絡提供了防劫持、防篡改及防監聽的一體化防護方案。本文采用ProVerif 工具驗證TSN 輕量級認證與授權框架的安全性。通過車規級的芯片搭建了該框架的硬件平臺，并測量了框架的計算和通信開銷。總的來說，本文所提出的通信框架為TSN 網絡安全通信提供了可行的參考。