賈先鋒，王鵬程，劉天宇

基于智能網(wǎng)聯(lián)汽車車載網(wǎng)絡(luò)防護(hù)技術(shù)的研究

賈先鋒，王鵬程，劉天宇

（中汽數(shù)據(jù)（天津）有限公司，天津 300300）

隨著智能網(wǎng)聯(lián)汽車通訊總線越來越豐富，傳統(tǒng)的CAN通訊總線安全暴露的風(fēng)險越來越高。當(dāng)前亟需對車載網(wǎng)絡(luò)進(jìn)行信息安全防護(hù)，以提高車載通訊的隱私性、準(zhǔn)確性、可靠性等。文章主要介紹了車載網(wǎng)絡(luò)的安全防護(hù)原理，通過引用加解密算法、新鮮值信息、身份校驗(yàn)等相關(guān)技術(shù)，將車載網(wǎng)絡(luò)安全防護(hù)做到低成本，短周期快速有效地防護(hù)應(yīng)用，提升智能網(wǎng)聯(lián)汽車信息安全防護(hù)水平。

智能網(wǎng)聯(lián)；車載網(wǎng)絡(luò)；防護(hù)

前言

隨著智能化和信息化的發(fā)展，汽車電氣系統(tǒng)日益復(fù)雜，當(dāng)前汽車普遍擁有幾十個電子控制單元（ECU），一輛高級轎車運(yùn)行代碼接近1億行，而這些車載信息是通過車內(nèi)總線實(shí)現(xiàn)互聯(lián)。近年來汽車信息安全事件的頻發(fā)大多是基于車內(nèi)總線的物理訪問或者遠(yuǎn)程攻擊，攻擊者可以通過車載ECU自身漏洞，實(shí)現(xiàn)對關(guān)鍵節(jié)點(diǎn)的輸入控制，如汽車節(jié)氣門、轉(zhuǎn)向器、制動器等。在汽車總線中，控制器局域網(wǎng)（CAN）因其高性能和可靠性被大量應(yīng)用[1]。為保護(hù)汽車總線免受網(wǎng)絡(luò)攻擊，基于CAN網(wǎng)絡(luò)分析的相關(guān)技術(shù)解決方案逐漸引起行業(yè)的關(guān)注和重視，同時在考慮成本和應(yīng)用等方面，企業(yè)已將開始著手現(xiàn)有汽車零部件產(chǎn)品的安全升級。

1 研究背景與意義

為了解決車載總線信息未加密直接進(jìn)行傳輸，容易被非法監(jiān)測、惡意破解的問題，規(guī)劃對車載總線信息進(jìn)行加密后再進(jìn)行傳輸，即報文發(fā)送方和接收方使用同一套密鑰，發(fā)送方在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)進(jìn)行加密，接收方接收到數(shù)據(jù)后先解密再應(yīng)用數(shù)據(jù)。應(yīng)用CAN總線加密技術(shù)能夠有效保障車端數(shù)據(jù)傳輸?shù)碾[私性和可靠性，防止不法分子通過逆向CAN總線報文泄露和篡改報文信息，從根本上保障了車端信息安全有效合規(guī)傳輸[2-3]。

當(dāng)前汽車行業(yè)車內(nèi)通訊數(shù)據(jù)協(xié)議80%以上均為CAN通訊，車輛動力系統(tǒng)，舒適系統(tǒng)，娛樂系統(tǒng)都是通過CAN傳輸。與缺陷和漏洞相對應(yīng)的，已有多項(xiàng)事實(shí)表明現(xiàn)有CAN通訊以及相關(guān)協(xié)議所導(dǎo)致的安全風(fēng)險與事故：如向一輛裝有OBD的汽車CAN總線發(fā)送指令控制了汽車的雨刷和剎車系統(tǒng)；也可通過OEM后端系統(tǒng)漏洞控制了相關(guān)車型門禁系統(tǒng)。2019年通過惡意軟件感染了某車型車內(nèi)的電腦系統(tǒng)；并成功通過綜合多種漏洞的手段完全在有接觸或無接觸情況下遠(yuǎn)程控制了一些車型的動力系統(tǒng)和駕駛系統(tǒng)。2020年，某國外高端電動車車主遭遇App大面積宕機(jī)，致使手機(jī)無法與車鏈接，手機(jī)鑰匙失效，導(dǎo)致無法獲取車輛信息、無法點(diǎn)亮車內(nèi)儀表盤、中控屏。多車主處于“盲開”狀態(tài)，甚至有些車主被鎖在車中，對車主行車安全和人身安全構(gòu)成威脅。這些研究和事故都表明現(xiàn)有的車內(nèi)通訊系統(tǒng)以及相關(guān)的車聯(lián)網(wǎng)通信系統(tǒng)等都有著巨大安全隱患，它們不僅會危害人身安全，也可能會危害社會穩(wěn)定與國家安全，車聯(lián)網(wǎng)安全問題已成為影響車聯(lián)網(wǎng)產(chǎn)業(yè)能否快速發(fā)展的重要因素。

通過構(gòu)建車載安全CAN防護(hù)項(xiàng)目，利用數(shù)字加密技術(shù)，結(jié)合電子控制器的身份識別，提供CAN總線通訊中的認(rèn)證、加密技術(shù)，全方位保障傳統(tǒng)車內(nèi)通訊、車聯(lián)網(wǎng)相關(guān)通訊的信息安全。針對目前已存在的通過OBD入侵CANBus、通過WIFI及藍(lán)牙入侵CANBus以及通過云端、手機(jī)或App入侵CANBus等安全威脅事實(shí)，著重構(gòu)建車內(nèi)域通信安全，對關(guān)鍵組件系統(tǒng)通信網(wǎng)絡(luò)進(jìn)行安全加固，并通過相關(guān)方案擴(kuò)展覆蓋V2X通信域以及基礎(chǔ)設(shè)施設(shè)備域中的通信安全。進(jìn)一步構(gòu)建車聯(lián)網(wǎng)安全技術(shù)體系，提供整套車聯(lián)網(wǎng)信息安全防護(hù)方案，搭建行業(yè)級安全保障平臺[4]。

2 車載網(wǎng)絡(luò)安全防護(hù)技術(shù)

2.1 汽車信息安全車載網(wǎng)絡(luò)防護(hù)架構(gòu)

總體框架如圖1所示，包括基本的車聯(lián)網(wǎng)設(shè)施和安全服務(wù)設(shè)施。密鑰服務(wù)設(shè)施包括密鑰管理系統(tǒng)、標(biāo)識認(rèn)證系統(tǒng)、IDPS等。標(biāo)識認(rèn)證中心提供密鑰數(shù)據(jù)的簽名、身份管控。TBOX、網(wǎng)關(guān)內(nèi)置具有簽名、驗(yàn)簽、加解密能力的硬件安全模塊（HSM）或軟盾，內(nèi)置自定義安全文件系統(tǒng)，文件格式私有化，以安全沙箱的機(jī)制保證文件安全。采集終端設(shè)備硬件信息、軟件信息以及其他特征信息，綜合運(yùn)算為每一個終端設(shè)備計(jì)算出唯一的機(jī)器指紋ID，有效地防止各類設(shè)備仿冒技術(shù)。采用白盒加密技術(shù)，從根本上防護(hù)針對密鑰的白盒攻擊行為。并且實(shí)現(xiàn)終端秘鑰等敏感數(shù)據(jù)保護(hù)、數(shù)字產(chǎn)權(quán)保護(hù)，防止用戶非法恢復(fù)、傳播密鑰，偽造客戶端標(biāo)識[5]。

圖1 網(wǎng)絡(luò)防護(hù)整體框架

2.2 CAN總線防護(hù)應(yīng)用

2.2.1嚴(yán)格的入口準(zhǔn)入機(jī)制

針對可以與外部通訊的控制器，設(shè)立嚴(yán)格的消息準(zhǔn)入、轉(zhuǎn)發(fā)機(jī)制，對外部消息嚴(yán)格限制。例如網(wǎng)關(guān)、TBOX和IVI。

圖2 入口準(zhǔn)入機(jī)制

2.2.2基于輕量級密碼的加密和認(rèn)證機(jī)制

在保證原始總線負(fù)載影響最低的情況下，設(shè)立輕量級密碼的加密，總線控制器認(rèn)證機(jī)制。

（1）ECU等級劃分。

CAN總線上的消息有多種類型，基于ID進(jìn)行區(qū)分，每個消息的重要性是不同的，其對于安全的需求也就不一樣。本方案將消息區(qū)分為普通消息和重要消息。為了信息的安全，同時兼顧使用投入，對不同類型的消息基于其重要性高低采取不同的安全協(xié)議保護(hù)。由于一個ECU可能處理（發(fā)送或接收）多種安全級別的消息，因此可能需要兼容多種安全協(xié)議。安全等級與安全協(xié)議劃分如表1所示。

如果一個ECU需要處理高安全等級的消息則此ECU定義為高安全等級ECU，如果只需要處理低安全等級消息則定義為低安全等級ECU。

特別的，安全等級也可以只有一級，這樣解決方案退化為無等級區(qū)分，所有的ECU都具有同樣的安全策略。

表1 安全策略

安全等級消息類別安全策略 高加速、減速、換擋、轉(zhuǎn)向…加密；所屬ECU包含硬件安全模塊(HSM) 低開燈、關(guān)燈、開窗、關(guān)窗…普通

（2）ECU身份認(rèn)證。

本方案以網(wǎng)關(guān)為中心，實(shí)現(xiàn)ECU的身份認(rèn)證與會話密鑰的協(xié)商。認(rèn)證流程中需要強(qiáng)調(diào)的是該認(rèn)證過程僅發(fā)生在網(wǎng)關(guān)節(jié)點(diǎn)與網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)之間，而除網(wǎng)關(guān)節(jié)點(diǎn)外的其它節(jié)點(diǎn)間則不發(fā)生認(rèn)證，這是因?yàn)镃AN網(wǎng)絡(luò)中的普通節(jié)點(diǎn)數(shù)量眾多，若要所有節(jié)點(diǎn)間都進(jìn)行相互認(rèn)證，即假設(shè)CAN網(wǎng)絡(luò)中有N個節(jié)點(diǎn)則該認(rèn)證過程總共需要進(jìn)行N(N-1)/2次，那么在認(rèn)證期間龐大的計(jì)算開銷和隨之而來的時間開銷對于處理能力較弱的普通節(jié)點(diǎn)而言幾乎是無法承受的，而CAN網(wǎng)關(guān)作為整個CAN網(wǎng)絡(luò)中的控制中心，其除了擁有較強(qiáng)的處理能力和計(jì)算能力，還應(yīng)該是整個網(wǎng)絡(luò)的安全中心，即它有著最高的安全級別，因此若一個普通節(jié)點(diǎn)通過了網(wǎng)關(guān)節(jié)點(diǎn)的認(rèn)證，則可以說明該節(jié)點(diǎn)是安全可靠的，那么網(wǎng)絡(luò)中的其他節(jié)點(diǎn)就可以信任網(wǎng)關(guān)的結(jié)論，而不再需要進(jìn)行節(jié)點(diǎn)間的二次認(rèn)證，因此該認(rèn)證過程僅發(fā)生在網(wǎng)關(guān)節(jié)點(diǎn)與關(guān)鍵實(shí)體節(jié)點(diǎn)之間。

ECU認(rèn)證通過后，網(wǎng)關(guān)根據(jù)安全等級不同為其分發(fā)會話密鑰，此密鑰用于消息HMAC值得產(chǎn)生和加解密。因此沒有認(rèn)證通過的ECU是無法與認(rèn)證通過的ECU進(jìn)行通信的，也無法解密高安全級別的ECU發(fā)出的消息。

（3）防重放機(jī)制。

為保證信息的實(shí)時性，加入新鮮值TripCounter。此計(jì)數(shù)器為遞增計(jì)數(shù)器，初始值為0，在上電、喚醒等操作時自增；Master ECU（網(wǎng)關(guān)）將一個新的Trip Counter在認(rèn)證階段發(fā)送給Slave ECU，所有Slave ECU都保存Trip Counter。每一次自增后都將當(dāng)前值寫入非易失性存儲中，建議存儲在安全存儲區(qū)域。

2.3 車載以太網(wǎng)防護(hù)技術(shù)

2.3.1 DOS攻擊

針對以太網(wǎng)TCP/IP協(xié)議典型的拒絕服務(wù)包括 UDP flooding、ICMP flooding、Ping of Death等。

（1）消息偽造。

針對以太網(wǎng)TCP/IP協(xié)議的偽造攻擊包括地址偽造攻擊和內(nèi)容偽造攻擊。典型的地址偽造攻擊包括ARP Spoofing，IP Spoofing，ICMP Smurf Attcking。典型的內(nèi)容偽造攻擊包括Teardrop，TCP Syn attacking。

（2）網(wǎng)絡(luò)嗅探。

針對以太網(wǎng)TCP/IP協(xié)議的網(wǎng)絡(luò)窺探可以通過掃描網(wǎng)絡(luò)連接主機(jī)的地址和端口，來發(fā)現(xiàn)系統(tǒng)的脆弱點(diǎn)。典型的網(wǎng)絡(luò)窺探包括：IP address sweep，Port scanning。

（3）TCP/IP應(yīng)用層攻擊。

從網(wǎng)絡(luò)傳輸角度看，針對以太網(wǎng)TCP/IP協(xié)議應(yīng)用層的攻擊主要是攻擊服務(wù)控制、數(shù)據(jù)傳輸狀態(tài)和具體應(yīng)用的執(zhí)行過程。比如TCP 數(shù)據(jù)傳輸層狀態(tài)偽造、Web服務(wù)的 Cross-site Scripting、SQL Injection、惡意軟件等。

（4）廣播通訊。

在傳播廣播消息、組播消息以及目的地址不明確的消息時會使用廣播的傳遞方式[6]。

2.3.2安全防護(hù)方案

（1）VLAN。

在構(gòu)建數(shù)據(jù)信息時，可以對信息根據(jù)娛樂、控制的區(qū)別來進(jìn)行分類。也可以通過VLAN技術(shù)來區(qū)分不同類型的信息：IEEE802.1Q對VLAN技術(shù)做出了詳細(xì)描述，該技術(shù)的核心是以太網(wǎng)絡(luò)中虛擬分割出許多子網(wǎng)，屬于統(tǒng)一子網(wǎng)的節(jié)點(diǎn)擁有相同的VLAN ID。使用VLAN技術(shù)后，即使是廣播消息，或是物理連接于同一交換機(jī)的不同節(jié)點(diǎn)，也可以通過VLAN ID進(jìn)行消息的隔離。

從安全層面考慮，VLAN技術(shù)不僅可以隔絕虛擬網(wǎng)絡(luò)之間的消息，還可以減小廣播范圍。VLAN可以根據(jù)流量的重要程度、內(nèi)外部消息或者不同應(yīng)用區(qū)域等進(jìn)行劃分。此外VLAN隱含了過濾/丟棄數(shù)據(jù)包的功能；攜帶有交換機(jī)不支持VLAN標(biāo)簽的數(shù)據(jù)包將被拋棄。如果交換機(jī)接收的數(shù)據(jù)不含有VLAN信息，交換機(jī)可以直接將其丟棄或根據(jù)端口、協(xié)議、包頭等賦予該數(shù)據(jù)VLAN標(biāo)簽。

（2）傳輸層安全協(xié)議TLS。

傳輸層安全協(xié)議TLS（原為安全套接字層協(xié)議SSL）專門用于應(yīng)對TCP序列預(yù)測攻擊的方式，此攻擊方法預(yù)測并偽造數(shù)據(jù)包的序列，以此攻擊數(shù)據(jù)接收方。TLS支持多種加密、密鑰交換和認(rèn)證方式，通過提供加密和認(rèn)證機(jī)制，保證兩個應(yīng)用（如HTTP, IMAP, SMTP等）通信數(shù)據(jù)的隱私和完整性。

（3）IPSec協(xié)議。

由于IP數(shù)據(jù)經(jīng)過的每一個路由器都可以讀取甚至更改IP數(shù)據(jù)包中的內(nèi)容，通信節(jié)點(diǎn)還可以偽裝成其他節(jié)點(diǎn)發(fā)送數(shù)據(jù)（IP欺騙），IPSec協(xié)議可以解決。該協(xié)議通過各種機(jī)制（如在包頭添加密碼），來保證點(diǎn)對點(diǎn)通信的隱私、真實(shí)和完整性，以上行為均在ISO/OSI模型的第三層完成，對于上層應(yīng)用而言是透明的。IPSec協(xié)議是與IPv6協(xié)同開發(fā)的，但也可以與IPv4一起使用。IPSec協(xié)議較MACsec覆蓋了更多的極限情況。如果僅需進(jìn)行認(rèn)證的話，則可以使用IPsec AH。

MAC層的典型攻擊方式是ARP偵聽。ARP協(xié)議的基本功能是將IP地址映射到MAC地址。攻擊者使用自己的MAC地址，發(fā)送帶有偽裝主機(jī)IP地址的消息，使得接收方記錄偽裝IP與攻擊MAC的映射關(guān)系。因此攻擊者能夠攔截、操作甚至中斷通信，并進(jìn)行其他攻擊，如淹沒/拒絕服務(wù)，使網(wǎng)絡(luò)癱瘓等。MACsec提供了直接相連的點(diǎn)對點(diǎn)（P2P）之間的加密和認(rèn)證，此策略保護(hù)VLAN標(biāo)記，且在每一跳都執(zhí)行，這與僅提供端到端保障的IPSec和SecOC有很大差別。

圖3 安全傳輸協(xié)議方式

3 結(jié)論

CAN總線是車載網(wǎng)絡(luò)中的一種通信方式，由于其協(xié)議機(jī)制，信息安全防護(hù)能力并不完善。在智能網(wǎng)聯(lián)程度越來越高的今天，已不能完全滿足當(dāng)前需求。通過升級網(wǎng)絡(luò)拓?fù)洌瑧?yīng)用新型網(wǎng)絡(luò)架構(gòu)如CANFD、FlexRay、Ethernet等網(wǎng)絡(luò)已慢慢成為主流應(yīng)用通訊網(wǎng)絡(luò)。在其安全性上比CAN總線高，但由于成本和通用適配性問題，此類網(wǎng)絡(luò)應(yīng)用推廣并未普及。當(dāng)下對CAN總線的安全防護(hù)技術(shù)也愈發(fā)重要，針對整車通訊網(wǎng)絡(luò)和安全風(fēng)險識別后，有針對性地進(jìn)行車載通訊防護(hù)技術(shù)應(yīng)用，能夠有效提高整車信息安全屬性，在低成本和短周期內(nèi)快速提升整車安全防護(hù)水平。

[1] 張琦.淺析智能網(wǎng)聯(lián)汽車關(guān)鍵技術(shù)及其趨勢[J].建筑工程技術(shù)與設(shè)計(jì),2018(36):118.

[2] 張浩,陳全思,欒群.智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)化的挑戰(zhàn)與突破方向 [J].智能網(wǎng)聯(lián)汽車,2020(3):14-18.

[3] 徐杭,白瑞林,嚴(yán)惠. CAN總線上層協(xié)議的設(shè)計(jì)[J].計(jì)算機(jī)工程,2007,33(24):258-260.

[4] 何默,費(fèi)毅杰,孫競.基于ISO 14229協(xié)議的汽車ECU自動診斷測試平臺開發(fā)[J].汽車電器,2020(5):60-62.

[5] 趙馨月.智能網(wǎng)聯(lián)汽車信息安全關(guān)鍵技術(shù)[J].時代汽車, 2021(1):18-19.

[6] 李志濤.車載以太網(wǎng)系統(tǒng)測試的研究與分析[J].汽車電器, 2019(10):9-12.

Research on the On-board Network Protection Technology of Intelligent Networked Vehicles

JIA Xianfeng, WANG Pengcheng, LIU Tianyu

( Automotive Data of China Co., Ltd., Tianjin 300300 )

As the communication buses of intelligent networked vehicles become more and more abundant, the risk of safety exposure of the traditional CAN communication bus is getting higher and higher. Currently, there is an urgent need for information security protection for vehicle-mounted networks to improve the privacy, accuracy, and reliability of vehicle-mounted communications. This article mainly introduces the security protection principle of in-vehicle network. By citing encryption and decryption algorithms, fresh value information, identity verification and other related technologies, the in-vehicle network security protection is low-cost, fast and effective in a short period of time, and the intelligent network connection is improved. The level of car information security protection.

Intelligent networking; Vehicle network;Protection

A

1671-7988(2022)01-32-04

U495

A

1671-7988(2022)01-32-04

CLC NO.: U495

賈先鋒,就職于中汽數(shù)據(jù)（天津）有限公司。

10.16638/j.cnki.1671-7988.2022.001.008