干货分享 | TSMaster安全管理模块用户手册：一站式配置SecOC与MACSec-电子发烧友网

随着汽车智能化、网联化深度发展，车载网络的安全不再是“可选项”，而是保障车辆可靠运行的基石。面对AUTOSAR SecOC、车载以太网MACSec等多样化的安全协议，您是否也曾感到配置复杂、工具链割裂的困扰？为此，我们整理了这份TSMaster安全管理模块用户手册，为您提供一站式的安全协议配置与激活解决方案。

本文关键词：安全管理，SecOC协议，PDU、MACSec协议

Catalog

1. 关于手册

2.功能概要

3.Windows窗体

3.1 主窗体

3.2 菜单栏

4. 功能描述

4.1 MACSec

4.2 SecOC

5. 使用示例

关于手册

本文中所用到的一些样式和符号，可以参考以下表格说明。

功能概要

安全管理模块用于配置与激活各类安全协议。除标准协议外，该模块也支持使用定制化的安全插件。

当前，模块主要支持 AUTOSAR的SecOC（Secure Onboard Communication）协议以及面向以太网的MACSec（Media Access Control Security）协议。

Windows窗体

安全管理模块主窗体包括：

●工具栏

●主窗体

3.1 主窗体

安全管理模块在架构上分为两部分：

1. 安全配置：负责全局安全参数的设置，如密钥、证书等。

2. 工程配置：负责与具体工程相关的数据库设置，例如指定哪些报文或PDU需要应用安全机制。

实际配置流程为：首先确定所需的安全协议类型并完成其安全配置，随后导入数据库，并完成工程相关的配置。

3.1.1 安全配置（全局选项卡）

安全配置是全局的，由电脑上的所有工程共享，同时，不会随着工程拷贝到其他电脑。这意味着密钥和证书等安全相关的文件都不会在其它电脑上直接生效，而是需要重新配置。

当前支持的主要协议包括：

SecOC：一种为 PDU 生成身份验证码的安全算法。接收节点使用相同算法与密钥进行验证，若结果不匹配则丢弃该 PDU。SecOC以明文传输 PDU，安全性高于 E2E（端到端保护），实践中常与 E2E 共存。

MACSec：基于 IEEE 802.1 AE 的以太网安全标准，在链路层对数据（包括 IP 地址）进行加密。与 TLS 类似，MACSec同样支持密钥交换。可通过右键菜单进行配置的增删。

表1：支持的安全类型

3.1.2 工程配置（工程选项卡）

工程配置针对当前项目，用于设定具体的安全策略。例如：启用安全协议的通信通道、需进行安全校验的特定报文或PDU等。

3.2 菜单栏

功能描述

4.1MACSec

同星的MACSec协议栈需要通过MKA协议进行密钥交换，暂时不支持直接配置对称加密密钥。用户需指定通道在MKA中的角色，请优先确定此配置。

MACSec通道配置较为简洁，目前仅需要配置以太网通道指定所使用的MACSec配置和MKA协议使用的MAC地址。

MAC地址将自动获取自其他界面的相关配置。

4.2 SecOC

4.2.1 SecOC配置

SecOC当前支持三种新鲜值处理方式：使用数据的一部分、使用时间戳、使用同步报文和计数器。

对于新鲜值的处理方式有三个配置项，首先是新鲜值的长度，以位为单位。在计算验证结果之后，新鲜值和验证都需要进行截断处理，以适应通信带宽（如CAN PDU的长度限制）。虽然截断验证信息会略微降低安全性，但仍在可接受范围内。新鲜值截断长度和验证信息截断长度共同决定实际发送的安全报文长度。SecOC会截取新鲜值的后半部分和验证信息的前半部分进行组合。