基于ISO14229標(biāo)準(zhǔn)的安全診斷服務(wù)

中圖分類號：U463.6 文獻標(biāo)識碼：A 文章編號：1003-8639（2025）07-0138-03

Security Diagnosis Service Based on ISO14229 Standard

Liu Zhilong，Zhang Baoping，Cai Zhaoqian，Hou Bobo，Wang Yuanbo

Automobile Enginering Research Institute，Shaanxi Heavy Duty Automobile Co.，Ltd.，Xi'an7102O0，China）

【Abstract】Thisarticle focusesonthe fieldof vehicle diagnostic security and systematically analyzes the technical principlesandapplication scenariosof Ox29 identityauthenticationservice and Ox27authorityauthenticationservice under the ISO standard system.Firstly，forthe Ox29 service，the one-way/two-way authentication mechanism，PKI certificate exchange processand challenge response authentication strategy are expounded，and thedeploymentschemes fordiferentscenariosareproposed incombination withtheplatformizationrequirementsof theentirevehicle.Secondly， inviewof thecurrent situationof insuficientsecuritystrengthof thetraditionalOx27service，strenghening schemesare proposed from three dimensions：algorithmupgrade（replacing traditional CRCwith AES/SM4），interaction process reconstruction（bidirectional dynamic factor authentication），and real-time verificationmechanism （periodic verificationof 3Eservices），to constructasecurityprotectionsystem covering theentire diagnosis cycle.Theresearch resultsprovideenginering references for thesafety designofon-board diagnostic systems，anditisexpected to play some promoting role in theimplementation of vehicle information security standards.

【Keywords】diagnostic safety；authority identification；ISO standard；diagnostic

0 引言

車輛的軟件升級、硬件采集驅(qū)動信息讀取、故障碼讀取和清除、介入式負載驅(qū)動、傳感器零位標(biāo)定、鑰匙匹配等功能，均通過與車輛通信相同的物理總線、不同的上層協(xié)議實現(xiàn)?？紤]到排放檢測等通用工況，整車為兼容行業(yè)通用設(shè)備及企業(yè)定制設(shè)備，該功能設(shè)計采用國際通用協(xié)議（如ISO14229、ISO15765、IS027145、IS013400），自定義情況較少。

隨著車輛信息安全功能納入國內(nèi)外公告檢測范圍已成定局，國內(nèi)外標(biāo)準(zhǔn)也順應(yīng)發(fā)展趨勢修訂，增加了診斷安全連接、身份校驗等服務(wù)。診斷安全設(shè)計需多個服務(wù)組合完成，現(xiàn)有標(biāo)準(zhǔn)主要圍繞服務(wù)定義，但如何在車輛上應(yīng)用、車輛診斷流程如何柔性兼容需要認證和不需要認證的兩種應(yīng)用工況，需主機廠根據(jù)實際情況細化。該系列通過兩篇論文完整介紹，第1篇為《基于IS013400的以太網(wǎng)安全鏈接》，圍繞診斷安全相關(guān)服務(wù)的應(yīng)用原則、TLS與DOIP流程的融合；本文為第2篇，圍繞 0x29 、0x27服務(wù)展開。

1安全服務(wù)

1.1 0x29服務(wù)介紹

該服務(wù)主要用于診斷功能中ECU和診斷儀之間的身份認證，管控雙方身份合法性。認證通過后可進行下一步具體訪問；認證失敗則拒絕最基礎(chǔ)訪問，視為非法用戶。

從整車平臺化統(tǒng)一方案考慮，ECU和診斷儀需完全支持該服務(wù)才能真正發(fā)揮作用。結(jié)合切換費用、周期、平臺化、標(biāo)準(zhǔn)化等因素，根據(jù)ECU及診斷儀支持情況，建議如下： ① 診斷儀不支持時，在使用該服務(wù)時，選擇使用取消認證； ② 診斷儀支持，對不支持該服務(wù)的ECU，在使用該服務(wù)時，選擇使用取消認證； ③ 診斷儀支持，對支持該服務(wù)的ECU，在使用該服務(wù)時，選擇使用對應(yīng)的認證方式。

1.2 取消認證

對于不支持該服務(wù)的診斷儀或ECU，交互數(shù)據(jù)流如表1所示。

1.3 身份認證

對于完全支持該服務(wù)的診斷儀和ECU，身份認證校驗方向分兩種：單向和雙向。當(dāng)采用單向認證時，由ECU對診斷儀的身份合法性進行認證；當(dāng)采用雙向認證時，為ECU和診斷儀之間互相認證。

認證過程有兩種，一種基于證書進行認證，稱為PKI證書交換認證；一種基于密鑰進行認證，稱為挑戰(zhàn)應(yīng)答認證。

1）PKI證書交換認證為目前主流方式，其認證過程有： ① 單向認證，由ECU校驗外部訪問者（診斷儀），在訪問之前診斷儀應(yīng)內(nèi)置自身的應(yīng)用證書，認證步驟如表2所示； ② 雙向認證，ECU和外部訪問者（診斷儀）互相驗證身份，在訪問之前診斷儀、ECU均應(yīng)內(nèi)置自身的應(yīng)用證書，認證步驟如表3所示。

2）挑戰(zhàn)應(yīng)答認證，主要是沿用傳統(tǒng)的做法，主機廠自定義，相對靈活。在該項認證中，使用兩類算法，一類為對稱加密，一類為非對稱加密；對稱加密為認證對方所持有的密鑰完全一致，非對稱加密為認證對方所持有的密鑰不一致，分為公鑰和私鑰，但這兩個密鑰為一對，有對應(yīng)關(guān)系；從密鑰安全等級上看，非對稱比對稱等級高；從密鑰運算效率上看，非對稱比對稱運算慢。非對稱和對稱在流程上基本一致，因密鑰已經(jīng)提前存儲，故在交互過程中雙方只需要確認算法類型即可，不需要再傳輸密鑰。單項認證前，診斷儀內(nèi)存儲自身的公鑰和私鑰，診斷儀的公鑰需保存在ECU內(nèi)；雙項認證前，診斷儀內(nèi)存儲自身的公鑰和私鑰，診斷儀的公鑰需保存在ECU內(nèi)；ECU內(nèi)存儲自身的公鑰和私鑰，ECU的公鑰需保存在診斷儀內(nèi)。認證流程見表4。

1.4 0x27服務(wù)

0x27 服務(wù)用于ECU對診斷儀操控權(quán)限的鑒定，服務(wù)機制屬于單向鑒定，采用種子和密鑰的鑒定機制，安全強度低于 0x29 服務(wù)。該服務(wù)常用來解鎖ECU端的高級功能，如執(zhí)行通過，可進行寫參數(shù)、負載控制、服務(wù)、標(biāo)定、軟件刷寫等操作；不執(zhí)行或執(zhí)行失敗，只能執(zhí)行讀基本信息、讀故障碼操作。此處定義可由企業(yè)自定義，但設(shè)計時需考慮排放等法規(guī)要求。

基于CAN總線通信，該服務(wù)為車輛診斷安全的第2把鎖；基于車載以太網(wǎng)，為第3把鎖。該服務(wù)交互流程見表5。

該服務(wù)已經(jīng)應(yīng)用很多年了，早期密碼技術(shù)、破解手段、車輛網(wǎng)聯(lián)功能均處于較低水平，故Seed使用的2字節(jié)、4字節(jié)、8字節(jié)等還相對安全，但隨著以上技術(shù)發(fā)展，提高服務(wù)的強度迫在眉睫。提升該服務(wù)的強度有3個強化點。

1）提高Seed與Key的算法強度。早期Seed與Key間的運算算法，使用CRC檢驗或企業(yè)自定義的移位算法，Seed長度也短，這類在48h內(nèi)就被破解了；目前多選擇AES（192/256）、SM4或組合算法，Seed、Key長度變長，提升了破解難度。

2）提升 0x27 服務(wù)交互復(fù)雜度。從表6可以看出，現(xiàn)有流程是單向驗證，由ECU校驗診斷儀，提升思路為對27服務(wù)做適度改造。

在認證之前診斷儀和ECU需內(nèi)置對稱算法，AES或SM4，同時最好具備真隨機生成器，生成隨機數(shù)B1和B2，作為后續(xù)密碼運算的密鑰因子；B3為診斷儀將B1和B2代人對稱算法所計算認證數(shù)據(jù)；ECU收到B3后，自己將B1和B2代人對稱算法計算出B4，將B3與B4做比對，如果一致，解鎖成功，反之則為非法設(shè)備。

3）使用3E進行實時校驗。以上兩個防護提高了攻擊難度，但如果攻擊者想辦法在27之后接入，以上防護對這種攻擊無效，對此可選擇使用3E服務(wù)進行實時校驗，在使用前需對3E服務(wù)的數(shù)據(jù)結(jié)構(gòu)及周期進行改造，C1為隨機數(shù)，C2為將C1代入摘要算法后計算的校驗值，ECU收到后，根據(jù)C1算出C3，將C2與C3做比對，在整個診斷通信期間，依靠3E服務(wù)周期性交互的特性多次重復(fù)校驗診斷儀的合法身份。如表7所示。

2 結(jié)束語

本文系統(tǒng)剖析了 0x29 身份認證服務(wù)的雙向/單向驗證機制及PKI證書交換、挑戰(zhàn)應(yīng)答等具體實現(xiàn)流程，結(jié)合整車平臺化需求提出了分場景應(yīng)用策略。針對傳統(tǒng) 0x27 權(quán)限鑒定服務(wù)，從算法升級、交互流程重構(gòu)、實時校驗機制3個維度構(gòu)建了強化方案，通過AES/SM4加密算法替換、雙向動態(tài)因子認證及3E服務(wù)周期性校驗，形成了覆蓋診斷全周期的安全防護體系。研究成果可為車載診斷系統(tǒng)的安全設(shè)計提供工程化參考，后續(xù)將進一步探索車云一體化診斷場景下的安全協(xié)議協(xié)同機制。

（編輯林子衿）