隨著汽車智能化、網聯化深度發展，車載網絡的安全不再是“可選項”，而是保障車輛可靠運行的基石。面對AUTOSAR SecOC、車載以太網MACSec等多樣化的安全協議，您是否也曾感到配置復雜、工具鏈割裂的困擾？為此，我們整理了這份TSMaster安全管理模塊用戶手冊，為您提供一站式的安全協議配置與激活解決方案。

本文關鍵詞：安全管理，SecOC協議，PDU、MACSec協議

目錄

Catalog

1. 關于手冊

2.功能概要

3.Windows窗體

3.1 主窗體

3.2 菜單欄

4. 功能描述

4.1 MACSec

4.2 SecOC

5. 使用示例

1

關于手冊

本文中所用到的一些樣式和符號，可以參考以下表格說明。

2

功能概要

安全管理模塊用于配置與激活各類安全協議。除標準協議外，該模塊也支持使用定制化的安全插件。

當前，模塊主要支持 AUTOSAR的SecOC（Secure Onboard Communication）協議以及面向以太網的MACSec（Media Access Control Security）協議。

3

Windows窗體

安全管理模塊主窗體包括：

●工具欄

●主窗體

3.1 主窗體

安全管理模塊在架構上分為兩部分：

1. 安全配置：負責全局安全參數的設置，如密鑰、證書等。

2. 工程配置：負責與具體工程相關的數據庫設置，例如指定哪些報文或PDU需要應用安全機制。

實際配置流程為：首先確定所需的安全協議類型并完成其安全配置，隨后導入數據庫，并完成工程相關的配置。

3.1.1 安全配置 （全局選項卡）

安全配置是全局的，由電腦上的所有工程共享，同時，不會隨著工程拷貝到其他電腦。這意味著密鑰和證書等安全相關的文件都不會在其它電腦上直接生效，而是需要重新配置。

當前支持的主要協議包括：

SecOC：一種為 PDU 生成身份驗證碼的安全算法。接收節點使用相同算法與密鑰進行驗證，若結果不匹配則丟棄該 PDU。SecOC以明文傳輸 PDU，安全性高于 E2E（端到端保護），實踐中常與 E2E 共存。

MACSec：基于 IEEE 802.1 AE 的以太網安全標準，在鏈路層對數據（包括 IP 地址）進行加密。與 TLS 類似，MACSec同樣支持密鑰交換。可通過右鍵菜單進行配置的增刪。

表1：支持的安全類型

3.1.2 工程配置 （工程選項卡）

工程配置針對當前項目，用于設定具體的安全策略。例如：啟用安全協議的通信通道、需進行安全校驗的特定報文或PDU等。

3.2 菜單欄

4

功能描述

4.1MACSec

同星的MACSec協議棧需要通過MKA協議進行密鑰交換，暫時不支持直接配置對稱加密密鑰。用戶需指定通道在MKA中的角色，請優先確定此配置。

MACSec通道配置較為簡潔，目前僅需要配置以太網通道指定所使用的MACSec配置和MKA協議使用的MAC地址。

MAC地址將自動獲取自其他界面的相關配置。

4.2 SecOC

4.2.1 SecOC配置

SecOC當前支持三種新鮮值處理方式：使用數據的一部分、使用時間戳、使用同步報文和計數器。

對于新鮮值的處理方式有三個配置項，首先是新鮮值的長度，以位為單位。在計算驗證結果之后，新鮮值和驗證都需要進行截斷處理，以適應通信帶寬（如CAN PDU的長度限制）。雖然截斷驗證信息會略微降低安全性，但仍在可接受范圍內。新鮮值截斷長度和驗證信息截斷長度共同決定實際發送的安全報文長度。SecOC會截取新鮮值的后半部分和驗證信息的前半部分進行組合。

密鑰和算法指的是校驗時使用的相關配置，如果需要多個密鑰，可通過右鍵菜單添加密鑰對，系統將根據PDU中的Data ID來分配對應密鑰。未匹配的PDU將使用默認的總密鑰。

不同的新鮮值模式需要額外的特定配置。需要注意的是，時間戳和同步報文的發送方式在協議中未明確定義，因此可能需要安全插件的支持。ARXML文件可能包含時間戳新鮮值的配置，但不包含同步新鮮值的配置，后者需手動輸入。

4.2.2 SecOC通道配置

配置安全PDU前，請先保存工程。然后可通過右鍵菜單選擇導入ARXML信息進行批量導入，也支持手動輸入。

5

使用示例

5.1SecOC示例

TSMaster軟件提供相關示例工程。請注意，安全配置不會隨工程文件帶走，您可以創建一個新配置而不作修改以供參考。

示例中，安全字段總長度為 (24 + 8) = 32 位，向上取整為4字節。ARXML數據庫會為安全PDU預留此空間。如果配置的長度超出預留范圍，PDU仍可能被發送，但若總長度超過鏈路層限制，則無法成功發送。

在硬件、通道選擇中配置好1個通道，在分析、數據庫、CAN數據庫中加載好ARXML格式的數據庫。

SecOC基于PDU運行，必須加載能夠定義PDU的數據庫。

完成數據庫加載后，即可導入ARXML中定義的安全PDU。在此界面，您可以添加和修改PDU信息，非安全PDU也可以被添加至此列表。

在RBS仿真中激活相應PDU的發送功能，即可觀察通信結果。