20多年来,CAN一直是并且仍然是车辆中的主导通信系统。 随着车载功能日益复杂,传统CAN已无法满足对有效数据速率日益增长的需求。 因此,引入了CAN FD—它允许高达64字节的有效载荷以实现2 Mbit/s 和5 Mbit/s的数据速率。为了将这一主要优势用于高级功能,必须解决更大网络拓扑的挑战。 特别是所谓的振铃效应对通信的可靠性有很大的影响。 CAN FD的主要优点之一是它使用AUTOSAR板载安全通信 (SecOC) 为单协议数据单元提供安全性。
1、振铃
在具有两个以上节点的CANFD网络中,由于网络中在信号转换频率上的阻抗不匹配而产生的通信电压波的反射会产生振铃。阻抗不匹配主要发生在非末端节点和结节处。当收发器输出一个隐性状态时,收发器的输出具有一个很高的阻抗。因此,信号振铃经常发生在从隐性位到显性位的过渡过程中。此外,由于阻抗减小,在结节处发生负反射。这导致阻抗低于特征阻抗。如果振铃在采样点不收敛到预定电压以下,则发生位故障。
为了避免这种情况,我们开发了所谓的RSC-振铃抑制电路。该电路检测从显性状态到隐性状态的变化,并将阻抗改变到120欧姆。内部MOS组件检测到该下降边缘激活振铃抑制。这种抑制电路可以看作是一个由电阻和开关组成的电路,它把网络中的能量释放出去。RSC兼容所有ISO11898-2的收发器,因此,它可用于CAN FD网络,工程师可以利用CAN FD的所有技术优势开发软件。RSC已在CiA中定义为CiA 601-4,并不断改进601-4推进ISO级别 (11898-2) 的标准化活动。
图1:常规CANFD收发器
图2:DensoRS收发器
2、CANFD可以完全启用SecOC
AUTOSAR SecOC用于检查单个传输协议数据单元的真实性,从而检测诸如重放、欺骗和篡改等攻击。正如最近发布的黑客攻击所显示的那样,进入CAN网络通常是远程控制车辆的唯一障碍。一旦进入总线,攻击者就可以模仿一个合法的发送者,并获得对整个车辆行为的控制。如果采用SecOC,攻击者必须去了解发送者的密钥。加上合适的系统设计,攻击只能通过物理访问车辆和破坏对应的控制器。因此,这种攻击是可以防止的。
SecOC模块计算消息认证码(MAC)并添加到协议数据单元中。为了进行重放保护,必须在加密计算中包含一个新鲜度值。PDU与MAC和新鲜度值一起在一帧内传输。使用经典CAN,由于8字节的帧大小有限,只能添加一部分同步的新鲜度值和一部分MAC。然后,接收器计算PDU的MAC和新鲜度值,并将其与它(部分)接收到的值进行比较。如果没有匹配项,则会删除并忽略该PDU。
然而,SecOC在产品中的应用仍然存在一些问题。标准没有解决的具有挑战性主题是密钥管理、新鲜度值处理和恢复策略。例如,如何处理失败的身份验证,如何在这种情况下确保系统的功能或至少确保系统的安全性,以及在参与者不同步时如何恢复系统运行。另一个关键问题是经典的CAN帧,它只提供了8个字节的有效负载。
图3:德国汽车公司车载安全通信流程
图4:CANFD有潜力提高安全性和效率
虽然NIST建议在仔细评估后,把MAC减少到低于64位。否则经典CAN消息将完全被MAC 占用,并没有为实际有效负载留下空间。为了保持良好的通信效率,MAC 必须被截断为更短的长度,但也降低了MAC可以提供的安全级别。MAC也可以在另一个帧中发送,这提高了安全性,但对总线负载和通信工作有相当大的影响。通过切换到CANFD,高达64字节的有效载荷允许传输合理数量的数据与“安全”相结合MAC长度。最终,经典CAN的局限性阻碍得到解决,可以更广泛、更有效地引入安全技术。因此,基于CAN的关键任务通信应该跟随向CAN FD的演进,以加速引入新功能。 RSC使大型网络的设计能够充分利用CAN FD的优势。
3. 总结
AUTOSAR SecOC在经典CAN网络中受到限制,因为其有效负载仅为8字节。使用CAN FD,SecOC可以不受MAC截断和新鲜度同步等限制。但是,CAN FD不像传统CAN那样容易部署。对于较大的网络,要么降低拓扑的复杂性,要么应用其他技术来衰减振铃效应。RSC的使用简化了对现有(经典 CAN)拓扑的CAN FD升级,也提高了网络拓扑设计的自由度。
如需了解AUTOSAR相关技术课程,请联系我微NewCarRen