SecOC 规范虽然详细介绍了消息保护技术，但一些安全方面仍然不属于AUTOSAR规范的范围，也就是密钥管理和新鲜度管理。此外，该规范不一定适用于所有车内通信，并且当正确应用时，可能会受到 CAN 消息大小的限制。这些都会带来安全挑战。以下将讨论 Elektrobit SecOC 产品机制和 Argus IDPS 的联合方法，以充分利用这两种技术的优势，并大大提高车内通信的安全性。

SecOC 如何从额外的安全性中获益？

1. SecOC 范围内的规范差距 

尽管详细说明了 SecOC 的许多方面，但AUTOSAR 有意将密钥管理或新鲜度值管理等方面从标准化中排除。这些方面必须由每个OEM单独定义，其中涉及解决每个解决方案所特有的安全方面。

 Elektrobit 提供普通 AUTOSAR 和 OEM 定制的解决方案。然而，对于刚接触该课题的客户来说，挑战是非常严峻的。为了降低重复攻击的风险，在该方案中集成了新鲜度值管理。AUTOSAR 标准将计数器或基于时间的新鲜度值作为典型选项，但由于不同的 OEM 解决方案，这些主题却被有意地排除在标准化之外。
这使得 OEM 在实施 SecOC 方案时需要定义两个基本的安全攸关方面：新鲜度值管理和密钥管理。后面会讨论需要解决的一些典型挑战。

2. 新鲜度值管理

时间管理是一种特殊的计数器管理形式。若要根据时间值设置 SecOC 方案，您需要在参与 SecOC 组的所有 ECU 中建立同步且安全的基准时间。面临的挑战是确保安全的时间同步，而不依赖于 SecOC 机制。

如果使用基于对称加密的类似 SecOC 机制传输初始时间值，则所涉及的所有ECU都可以访问用于验证时间戳消息的密钥。任何 ECU 都可能冒充时间戳消息的发送方并将欺骗性时间戳消息发送到其他 ECU。因此，被盗用的 ECU 可能会尝试执行以下任何操作：
（1）向后移动时间（甚至稍微后移）以扩展消息接受窗口。
（2）在一个网段中实质上改变时间，使其与其他网段不同步。
（3）通过将新鲜度机制移动到其最大值来有效地禁用新鲜度机制。通常，由于不支持值的翻转以防止重复攻击，因此一旦新鲜度达到其最大值，它将无限期地保留在那里。一旦新鲜度值被固定，就无法阻止重复攻击。安全通信的监测机制如图1所示。

图 1 安全通信的检测机制

 3. 密钥管理

有许多策略可用在相关的ECU中分配和管理对称密钥。许多不太复杂的策略涉及难以维护的复杂物流。
通常，为了处理不同 ECU 中的对称密钥，将使用基于附加非对称算法的密钥交换机制。这些机制允许车辆中 ECU 之间的密钥交换，并且可以触发一次、频繁地触发或根据请求（例如当不同步时）触发。
在计算能力方面，这种密钥交换机制的实现通常很昂贵，这可能导致某些速度优化，从而危及安全目标：
（1）攻击者可能会窃听 ECU 更换过程并从车内流量中提取新密钥（即，即使它被另一个“已知”密钥加密）。
（2）攻击者可能会强制进行密钥交换。这可能导致拒绝服务或可能允许攻击者窃听密钥资料。
在 AUTOSAR 架构中集成安全的通信如图2所示。

图 2 在 AUTOSAR 架构中集成安全的通信

SecOC 的应用

Elektrobit SecOC 实现是一种机制，它可以明确声明消息的完整性和真实性。但是，必须相应地预先选择和配置要由 SecOC 保护的每条消息。对于没有 SecOC 配置的消息，不能给出关于真实性或完整性的声明。
4. MAC 截断
当通过 CAN 网络实现 SecOC 时（与通过CAN-FD 网络实现相反），每条消息只有 8 Byte的数据可用（而不是 CAN-FD 中的 64 Byte）。若要执行消息验证，这 8 Byte必须包含 MAC 和消息数据。
由于这种严格的限制，必须使用短 MAC（例如，2-4 Byte MAC 使该方案容易受到蛮力攻击—对于 2 Byte MAC，车内蛮力攻击只需 2 h即可攻破，对于 4 Byte MAC ，蛮力攻击大约需 10 天）。在这种情况下，如果这些消息对这些时隙有效，蛮力攻击可能会导致在总线上成功注入一条有效但恶意的消息。这种单条有效但恶意的消息的潜在影响的一些示例可能是：
（1）恶意单条消息可能会操纵新鲜度/时间戳值。这建立在上面给出的分析的基础上，但它并不要求攻击者知道 SecOC 密钥即可完成攻击。
（2）恶意单条消息可能会对车辆造成网络物理损坏。例如该消息可以模拟预碰撞消息，用于紧固安全带并切断燃料泵。抑或该消息可能解锁车门或使防抱死制动系统减压（即，使制动器放气）以便禁用制动器。
试图在大型车队的数百或数千辆车辆上大规模地执行此攻击可以显著缩短攻击者成功猜出一条有效消息所需的时间。

如何通过 Argus IDPS 增强 SecOC

与 SecOC 相比，Argus IDPS 可以提供有关系统安全性的不同声明。监控总线上的所有消息，Argus IDPS 不需要显式配置单条消息，并且可以基于将每条消息与预期车内流量行为的预定义行为模型进行比较来检测流量中的异常。

此外，Argus IDPS 的部分行为模型一般可以包括协议的属性、消息序列的逻辑和总线流量等。这可以包括消息的定时和内容属性以及关于车辆中不同消息的消息测试和合理性测试的预期一致性。例如，Argus IDPS 可以对诊断流量进行分析以便对其进行验证并确保其与车辆的当前状态一致，或者它可以检测与周期性消息的预定义循环时间的偏差。这些品质可用于增强 SecOC 方案和必要的相邻协议的安全性。Argus 和 Elektrobit 在 2017 年 Escar US 上展示的综合解决方案如图3所示。

图 3 Argus 和 Elektrobit 在 2017 年 Escar US 上展示的综合解决方案

关于检测攻击，上面提到的对 SecOC 方案的示例攻击通常要求攻击者将消息注入总线或以与正常情况下预期车内流量的行为方式不同的方式修改流量。
因此，部署在车辆中心位置（例如，在网关上，具体取决于车辆架构）的 Argus IDPS 可以基于不同的消息定时和内容模型以及一致性和其他合理性测试来检测是否有攻击在尝试操纵 SecOC。

Argus IDPS 的行为模型可以包括新鲜度值和密钥管理协议的属性，因此，Argus IDPS 可以被配置为检测重复攻击、新鲜度值操纵尝试、密钥管理操纵、蛮力攻击，这使 Argus IDPS 能够检测对 SecOC 方案正常运行所必需的相关协议和消息的攻击。
由于通过车载网络传输的所有消息都由 Argus IDPS 进行监控，因此它可以检测到对 SecOC 方案未涵盖的消息的攻击以及针对 SecOC 方案本身的攻击。

整个车队的网络安全

可以收集来自 Argus IDPS 和 Elektrobit SecOC 产品机制以及车辆中其他安全机制的安全日志，并将其发送到中央分析中心。然后，可以使用此信息来更好地了解车队的网络安全健康状况，并协助进行网络安全事件管理流程。

客户可通过基于 Web 的控制面板访问该信息，该控制面板可以检查关于车队中车辆的网络健康状况的不同测量值和指标：关于网络攻击的实时和历史信息、在线 (OTA) 更新车队的安全策略、攻击热图等。 

车队的网络健康状况显示如图4所示。网络安全专家和车辆工程师也可以分析其他技术信息，如取证数据。控制面板的另一个组成部分是能够查看安全层的配置并通过 OTA 车队更新对该配置进行修改/更新。

图 4 车队的网络健康状况显示在基于网络的控制面板上

关于 Elektrobit SecOC 和 Argus IDPS 联合设置的提案

通过互相配合，Elektrobit SecOC 实施和 Argus IDPS 能够全面覆盖所有网络通信：
1）使用 Elektrobit SecOC 验证消息的真实性和完整性。使用 Argus IDPS 保护适当的SecOC 方案所必需的相关协议和消息。
2）使用 Argus IDPS 增强所有消息的安全性（无论消息是否按照 SecOC 配置）。
3）通过监控与分析 Argus IDPS 和 Elektrobit SecOC 及其他来源生成的车辆数据，经由无线安全更新实时了解并响应攻击。