发布日期：2025-09-02 04:59    点击次数：165

纲目 跟着汽车以太网的兴起和车载通讯系统数目的加多，蚁集整合成为适度复杂性和资本的关节。面前架构呈现明确分层：以太网（100/1000Mbit/s）撑握信息文娱、ADAS等高带宽诳骗，而CAN/CAN FD（0.5-5Mbit/s）处剃头动机管制等及时适度。异日CAN XL和10BASE-T1S将对准中速适度鸿沟。值得注主见是，面前约90%的车载节点通讯速率仍≤10Mbit/s，突显了中低速通讯的基础性地位。

虹科PCAN XL套件开yun体育网

01. 深度退避

往时数十年间，IT行业耐久秉握深度退避（Defense-in-Depth）核脸色念，通过在信息技艺系统中部署多层级独处安全适度机制，为潜在的单点失效提供冗余防护。基于这一理念，在车载10Mbit/s通讯鸿沟同步构建两种技艺体系的安全防护层，已成为汽车行业应付蚁集整合趋势的势必要求。

张开剩余93%

本文针对多点数据层安全架构建造中的两个关节贫穷张开议论：其一聚焦于高效密钥协商条约的开发，其二探索桥接征战跨蚁集荟萃场景下的端到端加密结束有策划。

需要非凡评释的是，本文建议的安全增强有策划严格辞退分层防照顾念，其想象策划并非取代现存OSI条约栈中的安全机制（如车载SecOC条约、IPSec或TLS等），而是通过纵向协同构建更完备的退避体系。

02. MACsec 和 CANsec

以太网依然有了MACsec过头配套的密钥协商条约MKA，且已界说了十年之久，而外洋CiA协会正通过CiA613-2为CAN XL制定CANsec表率。MACsec和CANsec的策划皆是在各自的数据层之上，以线速性能提供掩饰性、竣工性和认证性。

图1 MACsec / CANsec

为欢腾这些要求，这两种技艺皆使器具有提供认证加密和联系数据（AEAD）操作模式的分组密码。MACsec只支握AES，而CANsec则议论以 ASCON[3]的神志支握轻量级加密。

受保护的帧捎带一个单调递加的分组编号（PN），以珍惜重放袭击。这个分组编号用于生成一个马上数（Nonce），该马上数是相应AEAD算法所需的输入。

那么有了这些基石，就不可能在蚁集的系数这个词生命周期中使用长久有用的加密密钥，因为使用沟通密钥意味着叠加使用马上数，这么骨子上会使加密无效。

因此，需要一种机制来协商一个临时有用的会话密钥，或者凭据MKA表率称为安全关联密钥（SAK），并如期更换该密钥。

03. 10Mbit/s速率鸿沟的MKA

以太网领有经过充分考据、功能丰富但也相配复杂的MACsec密钥条约，专门用于处理这一贫穷，因此，采纳MKA手脚CANsec(CAN XL)和MACsec(10BASE- T1S)的密钥条约处理有策划亦然很天然的。

MKA是围绕零常识和零假定方法想象的，每个参与者只依赖我方的推行质地。由于MKA使用专用的MACsec密钥条约数据单位 (MKPDU)，它不需要知谈有几许参与者正在、将要或也曾在线，也不要求参与者以一定的频率发送数据。此外，每个参与者在启动时生成的马上成员标志符确保了重放保护。如若联系参与者的马上数生成器质地较高，则该参与者不错安全地抗争MKA适度信息的重放袭击。

不外，典型的MKA诳骗与在10Mbit/s速率鸿沟的预期诳骗之间存在两个决定性相反。

最初，天然MACsec密钥协商是为苟且数目的参与者（或凭据IEEE 802.1法式称为平等节点）制定的，但骨子使用中很少卓越两个参与者。

其次，MKA的Hello时刻为两秒。因此，建立密钥协商至少需要两秒，平均需要三秒。

天然这种密钥条约时刻在数据中心等典型的以太网环境中是不错接纳的，但在汽车或其他对时刻更敏锐的环境中就不行了。关于加多一个安全层所形成的通讯蔓延具体有几许是不错接纳的，现在还莫得达成共鸣。不雅点有从几毫秒到一百多毫秒不等。这十足取决于具体的使用情况，但关于大大皆（汽车）使用情况来说，MKA所需的平均3秒钟太慢了。

04. 更快的MKA

以下优化设施的策划皆是在不违抗现存表率[2]的情况下，缩小密钥协商时刻（即从系数参与者上线到系数参与者大致相互通讯的时刻绝交）。因此，MKPDU，尤其是其中包含的系数参数集皆不会以任何口头进行修改，也不会违抗IEEE表率中的任何「应」和「可」次序。

2021年，Völker博士[1]建议了一些修改建议，以优化密钥协商时刻。其基本念念路是：凭据MKPDU的内容对其进行分类，并相应地修改发送频率。

最直不雅的，你能意想的次序是，每当有有助于达成密钥条约的音书要发送时，每个参与者皆要发送一个更新的MKPDU。这些次序是：

(1) 潜在平等节点或步履平等节点列表发生了变化

(2) 需要分发新的安全关联密钥

(3) 已装配新的安全关联密钥，需要进行说明

(4) 新参与者想要加入荟萃关联

咱们将这组次序称为基本设置文献。

如文献[1]所示，这些修改产生了显赫效果，将密钥条约所需的时刻减少到了30毫秒以下。

05. 多节点诳骗场景

让咱们将这些修改诳骗于MKA，将参与者数目膨胀到n，并从表面上分析需要交换几许音书，以及每个参与者必须处理几许音书。

如若系数参与者同期上线，每个参与者皆会生成一个MKA Hello音书，其中包含其马上生成的成员标志符。每个参与者皆会收到n-1条这么的音书，每次处理一条，就向其潜在平等节点列表中添加n-1个要求，并复兴n-1次。那么统统会发送n²条音书，每个参与者必须处理n²-n条音书。因此，密钥协商的这一开动设施与参与者数目并非呈线性关系。

图2 基本贵寓——参与方发现

如若咱们将次序稍作修改，这个问题就不错获得处理：

(1) 在潜在平等节点或步履平等节点列表中添加一个密钥工作器平等节点。

咱们将这组修改后的次序称为优化设置文献。在典型树立中，不时唯唯独两个具备密钥工作器功能的参与者。

这使得每个参与者必须处理的音书数目减少到O(n)。

图3 优化设置文献——参与方发现

在密钥分发流程中也能不雅察到访佛的景象。凭据MKA表率，如若有参与者添加到步履平等节点列表中，密钥工作器应分发新的SAK。

在咱们的系统启动场景中，密钥工作器在收到第一个MKA Hello反当令会发出一个新的SAK，收到第二个反当令再发出一个，如斯无间，直到步履平等节点列表最终包含系数参与者的成员标志符。统统会分发n-1个SAK，但唯独临了一个会获得系数参与者的说明。横祸的是，系数SAK皆会被其MKA Hello音书发轫被密钥工作器处理的参与者说明，除第一个SAK外，其他SAK皆会被其MKA Hello音书第二个被处理的参与者说明，如斯无间，直到临了分发的SAK最终被系数参与者接纳和说明。为了完成密钥协商，每个参与者统统必须处理O(n²) 数目的音书。

图4 基本设置文献——密钥分发

为了处理这个问题，必须减少密钥工作器分发的密钥分发音书数目。一种结束方法是让密钥工作器知谈参与者的数目。有了这个信息，密钥工作器不错挑升蔓延SAK的分发，直到收到系数预期参与者的MKA Hello音书。但这需要十足静态的蚁集树立，因此并不适用于系数用例。举例，若有一个参与者的启动速率知晓慢于其他参与者，就会导致汇注集的其他部分无法通讯。

另一种保握MKA对蚁集拓扑无感知特点的方法是截止新SAK的发布。密钥工作器在处理完一个传入的MKPDU后，会干涉一个需要发布新SAK的状况。此时，它不是立即发送相应的MKPDU，而是将发送蔓延一定时刻。这使密钥工作器未必刻处理其他传入的MKA Hello音书（见图5），并发布一个可供更多致使系数参与者使用的SAK。让咱们将这种行动添加到优化设置文献中。

图5 优化后的剖面图

在对16个参与者进行的模拟中，这种优化将分发的SAK数目减少到两个，从而摈斥了运行时刻随参与者数目呈二次方增长的问题。这种方法具有很大的纯真性。凭据蚁集树立，你不错采纳相宜的蔓延时刻来优化密钥协商时刻。

举例：

(1) 系数参与者速率沟通。你不错将蔓延时刻树立为一个较小的值，但要饱和让密钥工作器处理系数MKA Hello反应。

(2) 有一个参与者比其他参与者慢得多，但它提供了遑急信息。你不错将蔓延时刻树立为能让这个慢的参与者有饱和时刻发送其MKA Hello反应的值。

更有意的是，如若荟萃的参与者不提供此选项，或者你无法窥察其设置，那么只需对密钥工作器诳骗此设置即可。

06. MKA的替代有策划

密钥协商条约的采纳取决于对密钥协商的具体要求，以及条约称呼所隐含的特点。如若你的保护策划是使密钥协商不会受到来自一身参与者的有用纪录流量的袭击，那么密钥协商条约需要包含一些挑战反应条约部分，强制加入一个潜在袭击者无法适度且质地邃密（尽可能马上）的值（即挑战）。

有两种方法不错结束这少许。第一种方法需要一个高度同步的全球时刻源，这自己等于一个贫穷，本文分歧此进行究诘。第二种方法要求每个参与者生成一个马上数，并将其发送给系数其他参与者，而其他参与者则必须在反应中包含系数这些马上数（在MKA中称为成员标志符）。

这恰是MKA所给与的口头。任何替代有策划皆必须选用访佛的作念法，而况不可幸免地至少需要一个音书往来，因此会触及传输和处理时刻。如若莫得树立时刻，就无法结束大致抗争这种重放袭击的密钥协商。

07. 小结

仿真收尾明晰地标明，MKA不错优化到在典型蚁集树立中，最多16个参与者的密钥协商大致在50毫秒内完成。与法式MKA比较，这是一个远大的矫正，因为咱们仅仅对时刻进行了更精准的蜕变，并分析了关节成分。

这种优化方法保留了MKA的系数优点（功能丰富、经过充分考据、与蚁集无关），使其适用于好多需要更快通讯启动时刻的用例。

08. 桥接场景中的端到端 CANsec

在某些用例中，桥接征战是两个或更多CAN XL蚁集的一部分，用于结束音书在CAN总线A和CAN总线B之间的转发。

图6 桥接的CAN XL蚁集

可能会出现这么的情况：CAN总线A上的音书的优先级标志符已被CAN总线B中的CAN XL节点使用，因此如若不进行修改就转发音书，会导致优先级标志符冲突。

如若你想使用CANsec保护这么的系统，不错为总线A和总线B差别建立不同的荟萃关联。桥接征战对传入的音书进行解密，凭据需要修改优先级标志符，然后从头加密音书。酌量到深度退避原则，这可能不是最好采纳，因为这意味着桥接征战必须领有两个关联的耐久密钥，这使其成为袭击者的主要策划。

从安全角度来看，端到端加密更为梦想，即桥接征战不进行加密操作，因此无需窥察任何密钥。为了在CANsec中结束这种场景，面前的CiA 613-2草案章程了一些选项，不错将优先级标志符和编造CAN标志符（VCID）撤废在CANsec提供的竣工性保护以外。

天然这些选项如实使结束此类场景成为可能，但请确保你极其严慎地使用它们，因为优先级标志符和VCID皆不可包含语义信息，这少许至关遑急。

09. 切勿将优先级标志符用作标志符

CAN XL相较于传统CAN和CAN FD的矫正之一，是它冲破了标志符字段在语义上不太合理的双重用途。在CAN XL出现之前，标志符字段既是物理层的优先级教导，又是音书标志符。因此，在不改变音书含义的情况下，无法改换标志符字段。而在CAN XL中，优先级教导由优先级标志符承担，接纳字段（AF）看重识别音书的含义。

在梦想情况下，想象CAN XL蚁集的系统工程师会铭刻这少许，不会耻辱这两个字段的独处用途。在这种情况下，CANsec的撤废选项支握端到端加密的桥接。然而，如若至少有一个CAN XL节点仅仅对现存CAN FD结束的简便迁徙，会发生什么情况呢？

很可能优先级标志符仅仅留传名目中的CAN标志符，因为这是将名目迁徙到CAN XL的最简便方法。这么一来，优先级标志符的含义超出了预期，在不失去CANsec保护的情况下，无法桥接CAN XL音书。

缺憾的是，面前的CANsec草案并未针对这种情况提供安全的处理有策划。

CANsec撤废选项的另一个谬误是，汇注集的系数节点皆必须事前设置，以标明某些音书要进行转发，并因此将优先级标志符从其竣工性校验值（ICV）野心中撤废。如若不改换设置，就无法通过桥接征战荟萃第二条CAN总线，而这可能由于无法窥察系数节点而无法结束，这截止了膨胀选项。

10. CAN-in-CAN

如若遭受优先级标志符传达语义信息的情况，而况/或者但愿大致纯真地采纳或临时添加桥接征战，就需要一种欢腾以下要求的处理有策划：

(1) 节点无需知谈其音书是否会越过其 CAN XL 蚁集的规模。

(2) CAN XL 报头的系数字段皆受到 CANsec 的保护

CAN-in-CAN等于一种欢腾上述要求且不会龙套端到端加密的处理有策划：

发起方蚁集的设置保握不变，因此每个节点皆传输CANsec保护的帧。桥接征战识别要转发的帧，并将系数这个词CAN XL帧（包括其报头数据）手脚新「封装」帧的有用载荷，并为其添加一个新的CAN XL报头。图9展示了这一看法。

图9 CAN-in-CAN

接收汇注集的节点通过特殊的工作数据类型识别转发的帧，移除策划蚁集报头，然后不错考据未修改的CANsec保护帧。如若不使帧无效，就无法批改其任何内容（包括优先级标志符和 VCID）。

图10 通讯示例

由于MKA适度音书也必须以沟通口头通过桥接征战，因此系数参与节点皆必须支握CAN-in-CAN看法。

追想.

天然CAN-in-CAN看法在CAN XL有用载荷中需要极度占用12个字节，但它提供了更大的纯真性，并为使用留传组件安全桥接 CAN XL 蚁集提供了可能。

著述开首

本文基于Peter Decker（Vector）在第18届外洋CAN大会（iCC）的演讲。已刊于《第18届iCC会论说文集》2024版，由CiA出书。虹科智能互联团队翻译并分享，旨在与行业同仁分享前沿技艺效果。

参考文献

[1] Starting Up MACsec for Automotive Ethernet, Dr. Lars Völker

[2] IEEE802.1X-2020

[3] Ascon - Lightweight Authenticated Encryption & Hashing开yun体育网

发布于：广东省