賈先鋒，寧玉橋，武智

（中汽數據（天津）有限公司，天津 300300）

1 前言

1.1 研究背景與研究意義

網聯(lián)汽車即擁有車聯(lián)網功能的汽車，它不是單純地將汽車鏈接互聯(lián)網，而是將車內網絡、車間網絡、智慧交通系統(tǒng)、TSP、手機APP等融合起來。得益于互聯(lián)網的飛速發(fā)展，對諸如車聯(lián)網技術、智慧交通、無人駕駛系統(tǒng)和后端云服務等信息化應用的需求促進了汽車網聯(lián)化的快速發(fā)展。但是與此同時，車聯(lián)網中的安全威脅也日趨嚴重，對車載系統(tǒng)、移動終端、云平臺等的攻擊手段層出不窮，日益嚴重。來自全球多個汽車廠商的信息安全攻擊事件引發(fā)了社會各界的廣泛關注，研究網聯(lián)汽車的安全問題刻不容緩[1]。

車載網絡系統(tǒng)無疑是網聯(lián)汽車中最重要的部分之一，它不僅要與外部的智能交通系統(tǒng)以及云平臺進行通信，還要控制車內的關鍵電控單元，所以一旦車載網絡系統(tǒng)被黑客攻破，后果將不堪設想。目前基于CAN總線的車內網絡協(xié)議得到了廣泛地應用，該協(xié)議具有成本低且可靠性高等特點。但是CAN總線在最初開發(fā)和設計時沒有考慮有關信息安全的問題，一旦將汽車接入互聯(lián)網，那么車載網絡總線將不再是封閉系統(tǒng)，黑客可能會通過各種電子設備、車載智能信息系統(tǒng)等多種途徑發(fā)起攻擊[2]。因此，在車聯(lián)網快速發(fā)展的形勢下，對車載網絡安全性的研究顯得尤為重要（以太網安全性提出）。

1.2 國內外研究現(xiàn)狀

網聯(lián)汽車是通過有線連接和無線連接的方式，將智能網聯(lián)汽車車內網絡與外部互聯(lián)網相連接，包括車內網絡、車端設備和云端服務等。由于對網聯(lián)汽車信息安全的研究才剛剛起步，當前智能網聯(lián)汽車的信息安全問題主要包括以下幾點[2-3]：

（1）車載總線網絡缺乏信息安全防護；

（2）智能設備的安全漏洞；

（3）汽車企業(yè)對信息安全問題的重視不足。

國內外高校和研究人員關于網聯(lián)汽車安全的研究，主要集中在車載系統(tǒng)與互聯(lián)網系統(tǒng)連接交互方面，如車輛和服務器之間安全認證機制、車載嵌入式系統(tǒng)安全分析、服務器和車輛之間公私鑰分配等。然而科技人員對車內網絡安全的問題研究相對較少。近年來對車輛內部網絡安全的研究主要分為以下幾類[4]：

（1）車輛內部網絡安全框架方面的研究；

（2）車內網絡通信與安全認證方面的研究；

（3）車載網絡入侵和異常檢測方面的研究。

2 網聯(lián)汽車及車內通訊架構系統(tǒng)概述

2.1 網聯(lián)汽車系統(tǒng)概述

2.1.1 網絡結構和系統(tǒng)架構

網聯(lián)車技術是物聯(lián)網在智慧交通與現(xiàn)代汽車行業(yè)相結合的具體應用和落地。網聯(lián)汽車以車輛為中心，利用車內移動通訊模組及相關車內傳感器，以及車外的監(jiān)控傳感設備和云端平臺，通過蜂窩無線連接技術和有線通信技術，實現(xiàn)了車與車、車與人、車與后臺服務器、車與路端設施都直接進行信息交互。如今，車聯(lián)網在交通規(guī)劃，智能駕駛，智慧出行等領域都有了長足的發(fā)展以及更廣的發(fā)展空間[5]。

智能網聯(lián)汽車的網絡結構如圖1所示，如今大量網聯(lián)車基于車載通信模塊進行交互、通信以及相互連接，汽車通過通信衛(wèi)星、RFID、移動基站等設施接入網絡，最終連接到后臺的服務中心，為車輛提供交通管理、信息訂閱等遠程網聯(lián)服務[6]。

圖1 智能網聯(lián)汽車的網絡結構

網聯(lián)車的系統(tǒng)結構，從內部到外部它可以分為感知延伸層、網絡層、業(yè)務支持層和應用層，如圖2所示。

圖2 網聯(lián)車的系統(tǒng)架構

2.1.2 網聯(lián)汽車的應用

網聯(lián)汽車描述了一個將人、車、路、云以及服務平臺相互結合、連接并交互的全方位互聯(lián)系統(tǒng)，可以實現(xiàn)對道路交通的全面控制和對車輛的全程監(jiān)控，如圖3所示。

圖3 網聯(lián)汽車的應用

2.2 網聯(lián)汽車內部網絡系統(tǒng)概述

2.2.1 車載網絡系統(tǒng)介紹

汽車可以理解為一個非常龐大的計算機系統(tǒng)，由大量的ECU、傳感器、動力裝置、傳動裝置等構成的一個復雜而龐大的系統(tǒng)。

然而傳統(tǒng)的非智能網聯(lián)汽車系統(tǒng)認為，車內ECU通常應使用接插件和導線進行連接。隨著車內功能模塊的增加，ECU的數量頁逐步增加，從而導致無法使用單純的導線和接插件無法滿足更加復雜的系統(tǒng)，基于車內總線的技術車載網絡應運而生，剩的車內用到的導線和接插件大幅減少，利用有限的資源大大提高的車內ECU間的通訊能力。各個控制系統(tǒng)之間通過信息交流和協(xié)作控制等，實現(xiàn)對汽車功能的精確控制，提高了整體可靠性和穩(wěn)定性[7]。

2.2.2 汽車總線分類

（1）CAN總線

控制器局域網總線（CAN）是最古老的多功能總線之一，而且是正在運行的最普遍的總線系統(tǒng)之一。CAN總線標準在開發(fā)設計階段就突出了其滿足控制系統(tǒng)需求的特性，并以其具有靈活性、實時性和可靠性的汽車控制系統(tǒng)總線等特點成為了行業(yè)標準。CAN是點對點網絡。這意味著沒有主機可以控制各個節(jié)點何時可以訪問CAN總線上的數據。當CAN節(jié)點傳輸數據前，它將檢查總線是否繁忙，然后簡單地將CAN幀寫入網絡。發(fā)送的CAN幀不包含發(fā)送節(jié)點或任何預期的接收節(jié)點的地址。相反，在整個網絡中唯一的仲裁ID會標記該幀。CAN網絡上的所有節(jié)點都接收CAN幀，并且根據該傳輸幀的仲裁ID各節(jié)點判斷是否決定是否接受該幀。CAN總線具備一定的安全性，然而，隨著車聯(lián)網概念的興起和汽車信息技術的高速發(fā)展，智能網聯(lián)汽車逐漸在原本封閉的網絡中對外開放了越來越多的外部訪問接口。這些接口可能由汽車內部CAN總線通過直接或間接的方式連接其他節(jié)點的控制單元。這些外部訪問接口已經成為攻擊者攻擊汽內網絡的潛在入口，從而使攻擊者可以通過某些技術手段直接滲透到車輛關鍵控制系統(tǒng)——車載CAN總線網絡[8]。

（2）車載以太網

傳統(tǒng)車載網絡通常采用CAN、LIN等傳輸速度較為緩慢的專用網絡協(xié)議。隨著汽車的內部運作變得更加智能和復雜，越來越多的智能傳感器和高性能車載計算機被引入，應用于汽車的新網絡不僅要更快、更經濟、支持多節(jié)點互聯(lián)，而且需要實行標準化和廣泛應用，以保證不同供應商和行業(yè)之間的兼容和互通[8]。

車載以太網由Broadcom率先推出BroadR-Reach變體。它利用標準的以太網技術，但使其適用于汽車應用。它在非屏蔽雙絞線電纜上的傳輸能力為100MB/s，最長可達15米（對于屏蔽雙絞線則可達40米）。在車載設備的通信過程中可滿足低延遲、高帶寬和音視頻同步傳輸的要求；滿足車載系統(tǒng)對網絡實現(xiàn)外部管理的需求等。因此可以理解為，車載以太網可以用于任何基于以太網的車載電氣系統(tǒng)的聯(lián)網解決方案。同時，它也是100Base-T1（IEEE的802.3bw-2015）和BroadR-Reach（或OPEN聯(lián)盟BroadR-Reach）中定義的通用術語。由此看出，汽車以太網是為實現(xiàn)車載網絡實現(xiàn)更快數據傳輸通訊而量身定制的專用網絡。

3 車載網絡的攻擊測試

3.1 CAN總線攻擊

CAN協(xié)議的通訊方式、數據結構、仲裁技術等能夠滿足車載網絡對實時性和輕量化要求，但由于開發(fā)設計階段未考慮信息安全因素，導致存在一些原生了一些安全隱患，如仲裁機制被攻擊、廣播消息被監(jiān)聽、消息欺騙偽造等。

3.1.1 模糊測試

模糊測試是指通過軟件對讀取到的重要ID進行8個數據位的測試分析，進而找出動作指令相關信號，并通過Fuzzing工具向CAN總線中發(fā)送攻擊指令的檢測方法。

圖4 模糊測試

3.1.2 錄制回放

圖5 錄制回放

錄制回放攻擊是指通過錄制車輛動作報文，如開車門指令等，通過軟件的Replay模塊回放至CAN總線測試攻擊。

3.2 車載以太網攻擊

3.2.1 泛洪（Flood）攻擊

ICMP泛洪：ICMP flood泛洪攻擊屬于DOS攻擊的一種，顧名思義是通過將大量的Ping數據包發(fā)送給目標地址，導致目標主機忙于處理Ping數據包而無法處理其他正常請求，就好像ICMP報文像洪水一樣把傳輸通道堵滿，是正常的通訊報文無法傳輸和處理。泛洪攻擊的過程是首先nmap查找到同一網段下的車載以太網網關，使用ping命令與網關建立連接，在進行攻擊后，連接斷開，同一網段為無法再與車載以太網網關進行連接。

TCP SYN泛洪：TCP SYN泛洪攻擊（也稱為SYN泛洪）是一種分布式拒絕服務（DDoS）攻擊，它在常規(guī)的TCP連接時的三次握手過程中來消耗目標服務器并使服務器服務終端。本質上，攻擊者在使用SYN Flood DDoS時發(fā)送TCP連接請求的速度比目標計算機可以處理它們的速度快，從而導致網絡飽和。導致 SYN泛洪產生。在SYN Flood攻擊中，攻擊者通常使用偽造IP地址，并重復地向目標地址發(fā)送大量的SYN數據包。被攻擊的地址將會收到多個看似真實合法的請求，隨后目標地址會嘗試使用SYN-ACK數據包對請求地址進行響應。

圖6 與網關建立連接

圖7 攻擊網關

圖8 攻擊后網關無法建立連接

4 安全防護

4.1 CAN總線安全防護方法

4.1.1 CAN總線消息數據來源保護

（1）設備認證

設備認證是指只有已知或已授信的設備才能對總線進行訪問和報文發(fā)送。

網關或單獨總線管理設備可以對專業(yè)的診斷設備和PC機進行身份認證。這就制定了一種白名單策略。只有身份合法有效的設備才能向總線發(fā)送消息，未通過認證的設備所發(fā)送的報文會被屏蔽隔離。

（2）OBD防火墻

OBD防火墻實際上是在OBD接口處安裝的一種保護數據安全的設備。它對網關的報文進行隔離篩選，從而開放合理的報文信息至OBD處。

在常規(guī)通信級別上，由于體系結構設計的要求，OBD防火墻通常直接連接到多條總線。因此，防火墻在設計過程中對數據包吞吐量也需要應適應現(xiàn)有不同總線的通信速率。OBD防火墻從OBD口處有效控制了整車通信信息的泄露與篡改、讀取刷寫，是對整車消息來源處非常重要的安全保護。

4.1.2 CAN總線數據保護

（1）CAN數據報文的加密與解密

CAN總線加密技術是使用加密算法對ECU發(fā)出的報文進行16bit的加密，通過相同算法由收到的ECU進行解密的技術。

對于總線加密而言，簡單的加密算法無法對CAN網絡通訊進行真正的保護，復雜的加密算法對車內資源占用較高所以目前汽車行業(yè)中OEM通常采用AES-128的對稱加密算法保障CAN網絡的安全性。這樣的加密方式有2個特點：

1＞通過使用HSM等硬件模塊實現(xiàn)AES-128及以上的對稱加密，可以很好滿足對加解密算法及密鑰存儲的可行性要求。2＞該方案無需對現(xiàn)有的車內網絡架構及協(xié)議進行修改，只需要對傳輸的報文格式進行修改及調整。

（2）安全的CAN收發(fā)器芯片

安全的CAN收發(fā)器芯片可以加裝在重要ECU的硬件上，實現(xiàn)ECU間消息的定向接收，防止虛假消息影響ECU。

通過CAN-ID過濾發(fā)送過程中的報文這是保護總線的一種方式，可使總線不用遭受已經被篡改后ECU的影響。如果ECU嘗試使用還未分配的ID進行通訊時，安全的CAN收發(fā)器可以直接對該ID的報文進行過濾，并拒絕它在總線上發(fā)送該報文，并拒絕后續(xù)的報文執(zhí)行?；贑AN-ID的過濾策略可通過配置ECU的ID白名單來實現(xiàn)。

第二個防止欺騙的對策是基于CAN-ID監(jiān)控總線上的報文并使其失效。這種方法使每個ECU都能保護好自己的ID，適用于未能防止不法電子控制單元發(fā)送該ID的情況。

預防報文篡改的方法同樣可以使用對CAN報文失效屏蔽。安全的CAN收發(fā)器還可以檢查網絡上是否存在局部ECU已經完成仲裁但未發(fā)送有效報文。

以下為初步計劃需要受到保護的電器件模塊表：

表1 電器件模塊表

4.1.3 網關物理隔離保護

網關物理隔離保護是指通過評估網絡拓撲設計，進一步對車內網絡進行改造，將其中重點防護的系統(tǒng)放置于獨立的網絡中并對涉及安全的關鍵系統(tǒng)隔離開來。

通過網關內嵌的安全加密機制和網絡防火墻，容易受到攻擊、安全性要求不高的普通域，如：信息娛樂域、車身舒適域、T-BOX、OBD等，可以與安全域，如：地盤與動力總成域、ADAS域等隔離開。

對于跨域控制和傳輸請求，特別是來自車外的請求，網關可以對其進行身份識別、消息認證和權限控制，然后決定這個請求能否轉發(fā)給安全域。這些請求可能是來自T-BOX或智能鑰匙的遠程控制指令，也可能是來自服務器的更新固件等。對于跨域的，針對域內私有代碼和數據的訪問請求，中央網關也有責任對其進行甄別，拒絕非法訪問。

4.1.4 入侵檢測系統(tǒng)保護

入侵檢測系統(tǒng)保護機制如下：

在總線關鍵ECU或網關中部署監(jiān)控模塊去監(jiān)控車載網絡流量和每條CAN請求報文及相應報文，一旦檢測到異常情況，如：發(fā)現(xiàn)網絡流量突然陡增或檢測到陌生ID的報文，就會嘗試去判斷是否為車內ECU發(fā)出的異常報文，還是通過外部接口發(fā)起的攻擊行為，檢測完成后由入侵防御系統(tǒng)自動阻斷該類攻擊。

其優(yōu)點總結如下：

（1）不用改變現(xiàn)有通訊架構：基于車內網絡的入侵檢測系統(tǒng)，是在現(xiàn)有系統(tǒng)和協(xié)議的基礎上實現(xiàn)的，不對要對 CAN總線的鏈路層、網絡層、應用層協(xié)議棧進行修改，這種實現(xiàn)方式使得系統(tǒng)不僅能適用于新車型，還能用于出廠時沒有信息安全防護策略的舊車型上。

（2）靈活部署：基于車內網絡的入侵檢測系統(tǒng)，一般以安全插件的方式部署在GW或ECU當中，也可以單獨以硬件方式進行部署。

（3）檢測范圍廣：目前行業(yè)中已有多種傳統(tǒng)網絡的入侵檢測技術?？山Y合現(xiàn)有技術并針對車內網絡特點進行修改檢測到更多的已知車內攻擊通過綜合利用多種入侵檢測技術，理論上常見的車內攻擊都可以被檢測到。

4.1.5 安全的診斷訪問服務

車輛診斷服務有多種類型,包括讀取相關參數、寫入相關參數、讀取故障碼、執(zhí)行動作測試、上傳下載數據等，若汽車內ECU定制的診斷訪問服務缺少一定的安全性，則外界診斷設備可以通過OBD接口對汽車ECU進行數據篡改及獲取，嚴重的可以影響汽車的運行狀態(tài)并導致汽車無法正常啟動或運行。故對診斷服務制定安全訪問機制（0x27）是一種非常重要和必需的安全防御方法。

在診斷進入到不同的會話模式時，首先均需要進行安全訪問校驗機制，即UDS協(xié)議中的0x27服務，通過ECU返回的Seed計算得出Key,若校驗成功，則通過安全訪問，繼續(xù)進行下一步的診斷操作，比如讀寫等操作，若校驗不成功，則需重新進行安全訪問，但最好設定安全訪問最大次數，若超過設定最大次數，則在此次上電過程中永久拒絕安全訪問操作。

另外，針對不同的診斷27服務，可以通過設定不同的安全訪問等級提高安全水平，如讀取故障數據等可以設定較低安全等級為01，寫入參數操作可以設定較高等級02，上傳下載數據設為更高等級，對于不同安全等級，使用的密鑰算法不同，安全等級越高，密鑰算法越復雜。

圖9 安全診斷訪問

通過添加安全訪問服務后，所有針對ECU進行的診斷操作都必須通過不同的安全等級校驗進行相應操作，這樣便大大加強對汽車ECU的防護作用，一定程度有效阻止通過診斷服務來竊取篡改ECU數據等行為。

4.2 CAN總線隔離防護驗證

（1）首先使用CANoe軟件仿真網絡中總線傳輸數據；

圖10 使用CANoe軟件仿真網絡中總線傳輸數據

（2）將開發(fā)的OBD隔離設備的軟件及硬件調試完成，設置為只接收ID111-ID115范圍的CAN報文；

圖11 OBD隔離設備的軟件及硬件調試

（3） OBD隔離設備要求開放的報文可以通過軟件讀取到。對ECU的發(fā)送端和接收端都可設置白名單，有效保護整車通訊的安全性。

圖12 設置完后顯示的數據

4.3 車載以太網防護

泛洪攻擊的防護：

4.3.1 禁止外部ICMP

防止ICMP泛濫的方法之一是在外部網絡上禁止ICMP。但是這也將阻止包括ICMP ECHO數據包在內的合法流量。如果正常ICMP ECHO數據被阻止，則將丟失正常數據包；通道的連接性和流量將被惡化?？衫迷谲噧仍黾臃阑饓Φ仍O備或組建防止ICMP flood攻擊。

4.3.2 積壓增加隊列

在目標設備上具有半開放連接的每個操作系統(tǒng)都有一定數量的存在。如果允許這種類型的連接，則需要增加操作系統(tǒng)所允許的響應大量SYN數據包的最大半開連接數。 系統(tǒng)必須保留其他內存資源來處理所有新請求，以便成功增加最大積壓。 如果由于內存不足而導致系統(tǒng)無法處理增加的積壓隊列大小，那么系統(tǒng)的性能將受到負面影響，但其影響將小于拒絕服務。

4.3.3 關閉半開放式TCP連接

另一種緩解策略是一旦連接已滿，就覆蓋原有的半開放連接。要求可以在短時間內建立合法的完整的連接。當攻擊量增加或積壓的大小對于實際操作而言太小時，這種特殊的防御機制將失敗。

4.4.4 SYN Cookie

此策略需要通過Cookie技術實施。為了避免積壓后的斷開連接風險，可以使用SYN-ACK數據包響應每個連接請求，然后從積壓中刪除SYN請求，然后從內存中刪除該請求，同時保持端口持續(xù)打開狀態(tài)以建立新連接。 如果連接是來自真實用戶的合法請求，并且ACK數據包最終可以從客戶端發(fā)送回服務器，則服務器將允許重建SYN積壓隊列條目。 盡管此緩解措施導致丟失了一些有關TCP連接的信息，但它比無法防止攻擊導致合法用戶接收拒絕服務更有效。

5 結論

通過研究測試可以得出，無論是CAN網絡，還是相對先進的車載以太網，它們的信息安全都存在一定地風險。網聯(lián)汽車車載網絡的發(fā)展趨勢將會是由復合型架構向中央計算式架構發(fā)展，形成適用于自動駕駛的域網絡架構。車載網絡中起到代表性作用的CAN總線是汽車信息安全問題的起點也是汽車信息安全問題的終點，對其安全性和防惡意攻擊能力有著極高的要求。在現(xiàn)有基礎架構的基礎上，通過安全性分類隔離網絡和域，為關鍵模塊建立深度的多層體系結構防御，并使用軟件和硬件的組合來進行安全保護是必然的發(fā)展趨勢。