葉非凡，竇鬧喜，李樂言

域控制器架構(gòu)車載通信安全測(cè)評(píng)技術(shù)及對(duì)策探究

葉非凡1，竇鬧喜2，李樂言2

（1.西安電子科技大學(xué)（廣州研究院），廣東 廣州 510555； 2.工業(yè)和信息化部 電子第五研究所，廣東 廣州 510370）

隨著汽車逐漸呈現(xiàn)“新四化”的發(fā)展趨勢(shì)，其電子電氣架構(gòu)趨于模塊化、集中化，出現(xiàn)了以域控制器架構(gòu)為代表的集中式電子電氣架構(gòu)。文章首先從產(chǎn)生背景、典型架構(gòu)設(shè)計(jì)和實(shí)際應(yīng)用情況對(duì)域控制器架構(gòu)進(jìn)行了概述，其次分析了在域控制器架構(gòu)下車載通信的安全威脅?；诖嬖诘陌踩{，結(jié)合實(shí)際測(cè)試用例介紹了域控制器架構(gòu)下車載通信安全的測(cè)評(píng)技術(shù)。最后從硬件安全模塊、通信加密和認(rèn)證、域間隔離三個(gè)角度提出了加強(qiáng)域控制器架構(gòu)通信安全的合理建議。

域控制器；車載通信安全；測(cè)評(píng)技術(shù)；安全對(duì)策

1 域控制器架構(gòu)概述

1.1 產(chǎn)生背景

汽車在近年來逐漸呈現(xiàn)電動(dòng)化、智能化、網(wǎng)聯(lián)化、共享化的“新四化”發(fā)展趨勢(shì)，對(duì)現(xiàn)代車輛的算力提出了更高要求。傳統(tǒng)的分布式電子電氣架構(gòu)由于算力分散、布線復(fù)雜、軟硬件耦合深、通信帶寬瓶頸等缺點(diǎn)而無法適應(yīng)當(dāng)下智能網(wǎng)聯(lián)汽車的發(fā)展需求，在這樣的時(shí)代背景下，“域”的概念和域控制器架構(gòu)隨之誕生。域控制器最早由博世、大陸、德爾福等一級(jí)汽車供應(yīng)商提出，通過利用運(yùn)算能力更強(qiáng)的多核處理器芯片，使得域控制器可以相對(duì)集中地控制每個(gè)域，是集中式電子電氣架構(gòu)的典型代表，用以取代傳統(tǒng)的分布式電子電氣架構(gòu)。域控制器架構(gòu)的出現(xiàn)大幅減少了車內(nèi)電子控制單元（Electronic Control Unit, ECU）的數(shù)量和線束長(zhǎng)度，降低了硬件成本。同時(shí)配備的高算力芯片可以滿足各種汽車智能化的信息處理與運(yùn)算要求，實(shí)現(xiàn)了軟硬件的解耦和整車遠(yuǎn)程空中下載（Over The Air, OTA）技術(shù)，為“軟件定義汽車”提供了可能性[1]。

1.2 架構(gòu)設(shè)計(jì)

所謂“域”，即控制汽車的某一大功能模塊的電子電氣架構(gòu)的集合，每一個(gè)域由一個(gè)域控制器進(jìn)行統(tǒng)一的控制，最典型的劃分方式是把全車的電子電氣架構(gòu)分為五個(gè)域：動(dòng)力域、底盤域、座艙域、車身域和自動(dòng)駕駛域，具體分工如下：

動(dòng)力域控制器控制車輛的動(dòng)力總成，優(yōu)化車輛的動(dòng)力表現(xiàn)，保證車輛動(dòng)力安全。功能包括但不限于發(fā)動(dòng)機(jī)、變速箱、電池、動(dòng)力分配、排放的管理。

底盤域控制器控制車輛的行駛行為和行駛姿態(tài)，包括但不限于制動(dòng)系統(tǒng)、傳動(dòng)系統(tǒng)、行駛系統(tǒng)、轉(zhuǎn)向系統(tǒng)、車速傳感器、懸掛、安全氣囊的管理。

座艙域控制器控制車輛的智能座艙中的各種電子信息系統(tǒng)功能，包括車載信息娛樂系統(tǒng)（In-Vehicle Infotainment, IVI）、中控、座椅、儀表、后視鏡、導(dǎo)航系統(tǒng)等。

車身域控制器控制各種車身功能，包括但不限于對(duì)于車燈、內(nèi)飾燈、車鎖、車窗、雨刮器、電動(dòng)后備箱、智能鑰匙、空調(diào)、天線、網(wǎng)關(guān)通信的控制。

自動(dòng)駕駛域控制器負(fù)責(zé)實(shí)現(xiàn)和控制汽車的自動(dòng)駕駛功能，對(duì)圖像信息進(jìn)行接收、處理和判斷；對(duì)數(shù)據(jù)進(jìn)行處理和計(jì)算，做出快速?zèng)Q策。自動(dòng)駕駛域控制器需要處理感知、決策、控制三個(gè)層面的算法，對(duì)算力要求較高。

域控制器架構(gòu)的典型設(shè)計(jì)如圖1所示，各個(gè)域通過中央網(wǎng)關(guān)進(jìn)行連接，使用高速的車載以太網(wǎng)協(xié)議通信。域控制器獨(dú)立組成域內(nèi)網(wǎng)絡(luò)，根據(jù)功能需要選用以太網(wǎng)或控制器局域網(wǎng)絡(luò)（Contro- ller Area Network, CAN）等傳統(tǒng)總線協(xié)議通信。

圖1 域控制器架構(gòu)的典型設(shè)計(jì)

1.3 實(shí)際應(yīng)用

小鵬汽車目前已逐漸過渡到中央集中式電子電氣架構(gòu)，其發(fā)布的P7車型具備分層域控、跨域整合、混合設(shè)計(jì)的特點(diǎn)。功能域控制器（智駕、車身、動(dòng)力域模塊）與中央域控制器并存；域控制器覆蓋多重功能，保留局部的傳統(tǒng) ECU；CAN總線和以太網(wǎng)總線并存；特斯拉推出的Model 3車型是汽車電子電氣架構(gòu)集中化的一次變革，全車只有中央計(jì)算模塊、右車身控制模塊、左車身控制模塊三個(gè)域控制器；蔚來率先推出中國(guó)首個(gè)全棧自研智能底盤域控制器，搭配自主集成開發(fā)的底盤硬件系統(tǒng)，使車輛能夠兼顧舒適性和操控性，同時(shí)還支持跨域融合的高級(jí)別自動(dòng)駕駛場(chǎng)景。

2 域控制器架構(gòu)車載通信的安全威脅

在全新的汽車電子電氣架構(gòu)下，車載通信面臨的安全威脅與傳統(tǒng)架構(gòu)相比更為豐富。本節(jié)以車內(nèi)的重要安全資產(chǎn)為切入點(diǎn)，從通信實(shí)體、通信協(xié)議兩個(gè)角度展開，總結(jié)域控制器架構(gòu)下車載通信面臨的主要安全威脅。

2.1 通信實(shí)體安全威脅

通信實(shí)體是車載網(wǎng)絡(luò)承擔(dān)主要數(shù)據(jù)通信任務(wù)的零部件及相關(guān)接口，是車載網(wǎng)絡(luò)通信的第一道防線。域控制器架構(gòu)的重要通信實(shí)體描述如下：

車載T-BOX與云端服務(wù)器及手機(jī)App通訊，具備藍(lán)牙、近場(chǎng)通訊（Near Field Communication, NFC）、Wi-Fi接口，同時(shí)承擔(dān)遠(yuǎn)程、近場(chǎng)通訊業(yè)務(wù)；通過車載自診斷（On-Board Diagnostics, OBD）接口與車載通訊總線直接相連，可讀取車輛通信數(shù)據(jù)；具備USB和在PCB電路板上暴露的JTAG、UART等物理調(diào)試接口；接口豐富，安全風(fēng)險(xiǎn)高，是智能網(wǎng)聯(lián)汽車漏洞挖掘、逆向分析和網(wǎng)絡(luò)攻擊的重要入口[2]。

域控制器本質(zhì)上是搭載了多核處理器的高算力車載ECU，控制著車輛關(guān)鍵部件的運(yùn)行，通過車載總線進(jìn)行信息交互。與T-BOX類似，域控制器同樣具備眾多物理調(diào)試接口，最大風(fēng)險(xiǎn)點(diǎn)是座艙域控制器的IVI。IVI是基于車身總線系統(tǒng)、互聯(lián)網(wǎng)服務(wù)、嵌入式或移動(dòng)操作系統(tǒng)形成的車載綜合信息系統(tǒng)，可提供信息娛樂、地圖導(dǎo)航等眾多功能，攻擊面廣、風(fēng)險(xiǎn)點(diǎn)多。

車身傳感器智能網(wǎng)聯(lián)汽車擁有攝像頭、激光雷達(dá)等用于自動(dòng)駕駛等高階功能的傳感器設(shè)備。這些傳感器很容易受到惡意信息注入攻擊，擾亂車載網(wǎng)絡(luò)通信和域控制器決策。如車輛在行駛過程中遭受攻擊，將造成不可預(yù)料的安全事故。

攻擊者一旦通過通信實(shí)體的安全風(fēng)險(xiǎn)點(diǎn)接入車載網(wǎng)絡(luò)，將能夠進(jìn)行：遠(yuǎn)程通訊中間人攻擊；通信數(shù)據(jù)監(jiān)聽和篡改；逆向分析車載通信矩陣；遠(yuǎn)程拒絕服務(wù)（Denial of Service, DoS）攻擊；偽造遠(yuǎn)程控車指令；逆向分析固件，進(jìn)而竊取通信會(huì)話密鑰、用戶數(shù)據(jù)等敏感信息；注入惡意后門程序等[3]。

2.2 通信鏈路安全威脅

在域控制器架構(gòu)下，車載主干網(wǎng)絡(luò)使用通信速率更快的車載以太網(wǎng)通信，同時(shí)仍保留CAN等相對(duì)低速的通信總線作為域內(nèi)網(wǎng)絡(luò)，主干網(wǎng)絡(luò)和域內(nèi)網(wǎng)絡(luò)以域控制器為網(wǎng)關(guān)進(jìn)行數(shù)據(jù)交換。上述車載通信協(xié)議均存在不同程度的安全漏洞。

CAN/CAN-FD總線在設(shè)計(jì)之初未考慮信息安全風(fēng)險(xiǎn)，具有較多的信息安全漏洞。一是采用非破壞性總線仲裁方式進(jìn)行通信，校驗(yàn)簡(jiǎn)單、廣播發(fā)送；二是完全采用明文傳輸，缺少身份認(rèn)證協(xié)議，無法驗(yàn)證消息發(fā)送方和接收方的身份合法性；三是消息格式定義標(biāo)準(zhǔn)簡(jiǎn)單，報(bào)文編號(hào)（ID）數(shù)量能夠窮舉，破解和逆向解析整車通信協(xié)議的難度較小[4]。

車載以太網(wǎng)在傳統(tǒng)以太網(wǎng)的基礎(chǔ)上對(duì)車載通信場(chǎng)景進(jìn)行了適配，實(shí)現(xiàn)了100 Mb/s的高速率傳輸，可進(jìn)行點(diǎn)對(duì)點(diǎn)通信。然而協(xié)議仍存在IP地址漏洞、地址解析協(xié)議（Address Resolution Protocol, ARP）中間人攻擊、數(shù)據(jù)明文傳輸?shù)刃畔踩珕栴}[5]。

基于上述協(xié)議漏洞，攻擊者可以輕松地對(duì)車載總線進(jìn)行報(bào)文竊聽、偽造、篡改、重放和DoS攻擊，嚴(yán)重危害車載通信安全。

3 域控制器架構(gòu)車載通信安全測(cè)評(píng)

域控制器架構(gòu)的通信安全測(cè)評(píng)技術(shù)需要結(jié)合常用檢測(cè)手段進(jìn)行適配改進(jìn)。本章以某車型的車身域控制器為例，介紹域控制器架構(gòu)下車載通信安全的測(cè)試思路、測(cè)試方法和評(píng)價(jià)標(biāo)準(zhǔn)。

測(cè)試按層次由淺至深進(jìn)行，分為硬件安全測(cè)試、CAN總線安全測(cè)試、車載以太網(wǎng)安全測(cè)試三部分。硬件安全測(cè)試圍繞域控制器調(diào)試接口和存儲(chǔ)固件開展，這與通信安全密切相關(guān)；后兩者圍繞域控制器的通信過程進(jìn)行。

3.1 硬件安全測(cè)試

3.1.1測(cè)試內(nèi)容

該測(cè)試旨在尋找可能接入車載網(wǎng)絡(luò)的調(diào)試接口，以及尋找可能存在域控制器固件內(nèi)的通信密鑰和安全證書。測(cè)試內(nèi)容包括調(diào)試接口檢查、芯片固件提取和固件信息分析等。部分典型測(cè)試用例如表1所示。

表1 硬件安全測(cè)試用例

3.1.2測(cè)試過程和結(jié)果評(píng)價(jià)

固件分析工具如圖2所示。首先拆開被測(cè)件的外殼進(jìn)行檢查，發(fā)現(xiàn)了隱藏的ADB調(diào)試接口。攻擊者通過該接口可接入域控制器的操作系統(tǒng)，注入惡意程序或監(jiān)聽車載網(wǎng)絡(luò)通信。之后使用固件提取工具成功提取了被測(cè)件板載芯片的固件，分析固件代碼，未發(fā)現(xiàn)通信密鑰、安全證書等敏感信息。

圖2 固件分析工具

3.2 CAN總線通信安全測(cè)試

3.2.1測(cè)試內(nèi)容

在域控制器架構(gòu)下，CAN總線作為域內(nèi)子網(wǎng)通信鏈路。測(cè)試針對(duì)車身域控制器及其連接的車身零部件，測(cè)試內(nèi)容包括報(bào)文逆向分析、重放攻擊、DoS攻擊測(cè)試、統(tǒng)一診斷服務(wù)（Unified Diagno- stic Service, UDS）檢測(cè)、模糊測(cè)試等。典型的測(cè)試用例如表2所示。

表2 CAN總線通信安全測(cè)試用例

3.2.2測(cè)試過程和結(jié)果評(píng)價(jià)

測(cè)試開始前由廠商提供CAN總線接口引腳圖和通信矩陣。前置條件具備后，使用CAN總線測(cè)試工具及線束（本文以USBCAN測(cè)試工具為例），一端連接測(cè)試電腦，另一端連接被測(cè)件的CAN通信接口，按照測(cè)試用例逐一測(cè)試，測(cè)試工具如圖3所示。

測(cè)試結(jié)果表明，被測(cè)件的CAN通信數(shù)據(jù)未使用任何加密和認(rèn)證手段，可逆向分析出報(bào)文含義；對(duì)通信數(shù)據(jù)進(jìn)行重放，被測(cè)件正常執(zhí)行相應(yīng)動(dòng)作，表明通信鏈路沒有防止重放攻擊的對(duì)策；在發(fā)起模糊測(cè)試的過程中，被測(cè)件所連接的車身零部件出現(xiàn)隨機(jī)異常重啟狀況，如圖4所示。

圖4 模糊測(cè)試造成車身零部件異常重啟

3.3 車載以太網(wǎng)通信安全測(cè)試

3.3.1測(cè)試內(nèi)容

車載以太網(wǎng)是域控制器架構(gòu)下典型的通信協(xié)議，通常作為主干網(wǎng)絡(luò)，用于車載T-BOX和不同域控制器間的通信。測(cè)試內(nèi)容主要包括漏洞掃描、基于以太網(wǎng)協(xié)議的診斷（Diagnostic over Internet Protocol, DoIP）和可擴(kuò)展的面向服務(wù)的IP中間件SOME/IP（Scalable service-Oriented MiddlewarE/ IP）協(xié)議中間件測(cè)試、DoS攻擊測(cè)試、ARP中間人攻擊測(cè)試、數(shù)據(jù)加密測(cè)試、模糊測(cè)試等。典型的測(cè)試用例如表3所示。

表3 車載以太網(wǎng)通信安全測(cè)試用例

3.3.2測(cè)試過程和結(jié)果評(píng)價(jià)

測(cè)試開始前，由廠商提供車載以太網(wǎng)的組網(wǎng)方法。前置條件具備后將被測(cè)件接入車載以太網(wǎng)測(cè)試電腦，使用漏洞掃描軟件掃描IP協(xié)議漏洞；使用Wireshark軟件抓取通信數(shù)據(jù)包，按照測(cè)試用例逐一測(cè)試，測(cè)試環(huán)境和工具如圖5所示。

圖5 車載以太網(wǎng)通信安全測(cè)試工具

測(cè)試結(jié)果表明，在DoS攻擊場(chǎng)景下，被測(cè)件及其域內(nèi)傳感器的以太網(wǎng)通信鏈路受到較大影響，部分傳感器無響應(yīng)，無法正常收發(fā)數(shù)據(jù)、執(zhí)行決策；對(duì)通信數(shù)據(jù)進(jìn)行重放，被測(cè)件正常執(zhí)行相應(yīng)動(dòng)作，表明通信鏈路沒有防止重放攻擊的對(duì)策；模糊測(cè)試未發(fā)現(xiàn)明顯異常。此外，由于DoIP、SOME/IP協(xié)議未提供加密機(jī)制，通過廠商提供的協(xié)議通信矩陣可輕松解析出協(xié)議數(shù)據(jù)包的內(nèi)容含義，如圖6所示，該SOME/IP數(shù)據(jù)幀是一個(gè)服務(wù)請(qǐng)求報(bào)文，包括了服務(wù)ID、方法ID、消息類型、服務(wù)響應(yīng)碼，這些信息均包含在Payload數(shù)據(jù)內(nèi)。

圖6 解析車載以太網(wǎng)通信數(shù)據(jù)

4 安全對(duì)策建議

域控制器大幅提升了汽車的智能化水平，同時(shí)帶來了嚴(yán)峻的信息安全問題。結(jié)合智能網(wǎng)聯(lián)汽車安全產(chǎn)品的研發(fā)現(xiàn)狀和車載通信安全測(cè)試的實(shí)踐經(jīng)驗(yàn)，本章從三個(gè)角度對(duì)域控制器架構(gòu)下如何提高車載網(wǎng)絡(luò)通信安全性提出一些可行建議。

4.1 使用硬件安全模塊保護(hù)通信密鑰

硬件安全模塊（Hardware Security Module, HSM）是一種用于保護(hù)和管理強(qiáng)認(rèn)證系統(tǒng)所使用的密鑰和敏感數(shù)據(jù)，并同時(shí)提供相關(guān)密碼學(xué)操作的硬件設(shè)備。HSM通過128位AES硬件加速器，用于生成密鑰材料的真隨機(jī)數(shù)生成器，用于存儲(chǔ)加密密鑰的硬件保護(hù)存儲(chǔ)，刷寫和調(diào)試功能等，為車載通信提供所需的安全保障。HSM能夠有效阻止固件逆向，保護(hù)車載通信密鑰，大大提高車載通信節(jié)點(diǎn)的安全性。建議在域控制器架構(gòu)下，基于HSM構(gòu)建安全信任錨點(diǎn)，安全存儲(chǔ)通信使用的加密算法和密鑰。

4.2 通信數(shù)據(jù)加密認(rèn)證

針對(duì)車載通信明文傳輸、缺乏認(rèn)證的安全漏洞，建議對(duì)通信數(shù)據(jù)進(jìn)行加密傳輸，并部署消息認(rèn)證機(jī)制。對(duì)于車載以太網(wǎng)，建議采用安全傳輸層協(xié)議（Transport Layer Service, TLS）行安全傳輸，配合IPSec、MACSec等傳輸層安全協(xié)議實(shí)現(xiàn)通信數(shù)據(jù)加密傳輸和數(shù)據(jù)幀的身份認(rèn)證。對(duì)于CAN、CAN-FD等協(xié)議，使用AES對(duì)稱加密體制保護(hù)數(shù)據(jù)傳輸。

此外，建議為每個(gè)通信實(shí)體內(nèi)部署安全板載通信（Secure Onboard Communication, SecOC）機(jī)制。SecOC是在AUTOSAR軟件包中添加的信息安全組件，為車載通信增加了加解密運(yùn)算、密鑰管理、新鮮值管理和分發(fā)等一系列的功能。SecOC模塊為車載通信關(guān)鍵數(shù)據(jù)提供有效可行的身份驗(yàn)證機(jī)制，與AUTOSAR通信系統(tǒng)無縫集成，減小資源消耗[5]。

4.3 域間通信隔離

在域控制器架構(gòu)下，車輛按照功能被劃分為若干個(gè)域，不同的域承擔(dān)不同的車身功能，這從架構(gòu)上為車載網(wǎng)絡(luò)域間隔離提供了基礎(chǔ)條件。建議在每個(gè)域控制器內(nèi)設(shè)置防火墻以加強(qiáng)訪問控制，在對(duì)數(shù)據(jù)嚴(yán)格加密傳輸?shù)耐瑫r(shí)，依據(jù)通信白名單對(duì)域間通信數(shù)據(jù)采取身份認(rèn)證，確保充分過濾可疑數(shù)據(jù)，實(shí)現(xiàn)域間安全隔離。對(duì)于自動(dòng)駕駛、座艙娛樂等安全要求較高的域，應(yīng)提供更強(qiáng)的隔離手段，不應(yīng)暴露任何可接入系統(tǒng)的硬件調(diào)試接口。

5 總結(jié)

目前域控制器架構(gòu)仍處于快速發(fā)展階段，基于域控制器架構(gòu)的車載通信安全問題仍未得到足夠的重視，也未有普適性的車載域控制器通信安全測(cè)試用例，相關(guān)通信安全方案和安全產(chǎn)品仍處于空白階段。本文首先簡(jiǎn)述了域控制器的產(chǎn)生背景、典型架構(gòu)設(shè)計(jì)和實(shí)際應(yīng)用現(xiàn)狀。其次從通信實(shí)體、通信協(xié)議兩個(gè)角度層次化分析了域控制器架構(gòu)下車載通信的安全威脅。之后結(jié)合實(shí)際測(cè)試用例，從硬件接口和固件、CAN總線、車載以太網(wǎng)三個(gè)部分介紹了域控制器架構(gòu)下的車載通信安全測(cè)評(píng)技術(shù)。最后結(jié)合現(xiàn)有技術(shù)從硬件安全模塊、通信加密認(rèn)證、域間隔離三個(gè)角度提出了加強(qiáng)車載通信安全的對(duì)策建議。

[1] 金星辰,方沂,徐征.基于域集中式架構(gòu)的汽車車載通信安全方案[J].天津職業(yè)技術(shù)師范大學(xué)學(xué)報(bào),2020, 30(4):48-53.

[2] 吳武飛,李仁發(fā),曾剛,等.智能網(wǎng)聯(lián)車網(wǎng)絡(luò)安全研究綜述[J].通信學(xué)報(bào),2020,41(6):161-174.

[3] 宋昊辰,楊林,徐華偉,等.智能網(wǎng)聯(lián)汽車信息安全綜述[J].信息安全與通信保密,2020(7):106-114.

[4] 向民奇,韋天文,鄧宇,等.智能網(wǎng)聯(lián)汽車CAN總線信息安全測(cè)試方法[J].時(shí)代汽車,2021(20):197-198.

[5] 章意,李飛,張森葳.基于SecOC的車載網(wǎng)絡(luò)通信安全模型研究[J].計(jì)算機(jī)應(yīng)用研究,2022,39(8):2474-2478.

Research on Security Evaluation Technology and Countermeasures of Vehicle Communication with Domain Controller Architecture

YE Feifan1, DOU Naoxi2, LI Leyan2

( 1.Xidian University (Guangzhou Research Institute), Guangzhou 510555, China; 2. Fifth Research Institute of Electronics, Ministry of Industry and Information Technology, Guangzhou 510370, China )

With the gradual development trend of the "new four modernizations", the electronic and electrical architecture of automobiles tends to be modular and centralized, and a centralized electronic and electrical architecture represented by the domain controller architecture appears. This paper firstly summarizes the domain controller architecture from the background, typical architecture design and practical application, and then analyzes the security threats of vehicle communication under the domain controller architecture. Based on the existing security threats and practical test cases, this paper introduces the evaluation technology of vehicle communication security under domain controller architecture. Finally, some reasonable suggestions are put forward to strengthen the communication security of domain controller architecture from three aspects: hardware security module, communication encryption and authentication, and interdomain isolation.

Domain controller; Vehicle communication security; Evaluation technology; Security countermeasure

10.16638/j.cnki.1671-7988.2023.022.011

U463.61

A

1671-7988(2023)22-60-06

葉非凡（1998－），男，碩士研究生，研究方向?yàn)檐嚶?lián)網(wǎng)安全，E-mail:18260958799@163.com。