车内控制器局域网总线安全评估机制研究

　　摘要为了评估车内网络的安全状况，在分析控制器局域网(CAN)总线协议安全性的基础上提出了一种覆盖所有类型CAN总线数据帧的安全评估机制.该机制采用四个基本评估向量对车内CAN总线进行非逆向评估;采用基于数据域特征的CAN总线数据帧逆向分析技术对车内CAN总线进行逆向安全评估，可以同时分析周期性数据帧与非周期性数据帧，弥补了基于CANID频率的逆向分析技术只能分析非周期性数据帧的不足.模拟实际驾驶环境，在福特某型号车辆上的实验结果表明：该安全评估机制可以快速且准确地评估车窗、转向灯、中控锁等物理控制指令以及刹车、油门、离合等状态控制指令面临监听、重放、篡改等攻击时的安全风险.相比于目前已有的车内CAN总线安全评估机制，提出的安全评估机制覆盖面更广、效率更高.

　　关键词车内CAN总线;网络安全;评估向量;逆向分析;安全评估

　　现代汽车集成了上百个电子控制单元(electron‐iccontrolunit，ECU)，主要通过控制器局域网(con‐ rollerareanetwork，CAN)总线进行连接[1].车内CAN总线设计时充分考虑了汽车通信实时性较高、抗干扰的性能需求，成为当前事实上的车内总线标准[2]，但是认证、加密、完整性校验等安全机制的缺乏为现代汽车引入了重大安全隐患.针对车内CAN总线的安全问题，研究人员开展了大量的研究工作.文献[3-6]从汽车的多个入口入侵车内CAN总线，最终控制汽车相应功能，证明了恶意攻击者可以通过车内CAN总线控制车辆，但是针对车内CAN总线的攻击案例严重依赖具体的车辆型号，缺乏普适性.

　　文献[7-10]实现了具备车内CAN总线数据帧捕获和数据帧注入等基本功能的硬件设备及相应软件，虽然并未进一步对车内CAN总线进行安全评估，但是为研究车内CAN总线安全评估奠定了工具基础.文献[11]提出了一种车内CAN总线安全分析框架，但是评估框架欠缺细粒度，无法对车内CAN总线进行精细化安全评估.本研究在分析CAN总线安全性的基础上提出了一种车内CAN总线安全评估机制，在缺乏车辆信息的条件下对车内CAN总线的安全性进行评估.在分析车内CAN总线安全性的基础上，将汽车攻击行为分为重放攻击、拒绝服务(denialofservice，DoS)攻击、伪造攻击和模糊测试攻击.

　　基于数据域特征的车内CAN总线逆向分析技术弥补了基于CANID频率的逆向技术无法分析周期性数据帧的不足，可以逆向非周期性数据帧而且可以逆向周期性数据帧，从而获取车辆控制指令.实验结果表明：该安全评估机制成功发现了远光灯、转向灯、中控锁、车窗、仪表盘显示等多项功能面临控制指令泄露、指令重放等安全风险，相比于已有的安全评估机制，覆盖面更广、效率更高.

　　1CAN总线安全性分析

　　依据仲裁字段CANID的长度，CAN总线数据帧分为标准帧和扩展帧[12].标准数据帧主要由个字段组成：数据帧起始字段(SOF)，通知每个接收器数据传输开始;仲裁字段，防止数据帧在传输过程中产生冲突;数据域，传输最多8B的数据;循环冗余码，用于标识数据帧是否正常发送到接收器，若接收器正常接收到数据帧则会激活会激活确认标志位(Acknowledge，ACK)位;数据帧结束位，表示数据帧的传输过程已结束;控制域，解决总线数据竞争;数据长度字段(DLC)，定义了数据域的长度.CAN总线缺乏基本的安全机制[13]，其脆弱性表现在如下六个方面.

　　缺乏身份认证.CAN总线数据帧无地址字段.任意节点都可以伪装成恶意节点发送报文，接收节点无法识别发送方是否是真实的节点.

　　缺乏加密机制.基于数据传输的实时性考虑，CAN总线协议未采用加密机制对总线上传输的数据进行加密保护，攻击者可以监听总线数据获取传输内容，造成隐私泄露.缺乏完整性校验.CAN数据帧接收者并未检查数据的完整性，攻击者可以恶意篡改传输数据.广播传输机制.CAN数据帧以广播形式发送至CAN总线上，总线上的任意节点都会接收到广播数据，这意味着恶意节点可以监听到所有的总线传输数据.

　　基于ID的仲裁机制.CANID决定了CAN数据帧的传输优先级.数据帧CANID越小，其在总线上传输的优先级越高.恶意攻击者可以利用该机制，构造较高优先级的数据帧不断发送到总线上，造成DoS服务攻击..带宽有限.高速CAN总线的数据传输速率仅为500kbit/s，数据载荷长度最高只有64bit[13]，限制了CAN总线协议提供较强的访问控制功能，为攻击者攻击ECU降低了难度.

　　2CAN总线安全评估机制

　　2.1非逆向安全评估

　　非逆向安全评估不依赖汽车制造商的具体信息，模拟汽车攻击中的四种基本攻击方式对待评估车辆进行模拟攻击，以评估其是否可以抵御相应的攻击行为.评估向量如下.

　　数据重放.数据重放评估基于CAN总线数据帧重放攻击，截取汽车相应功能对应的CAN总线数据帧，将其原封不动地发回车内CAN总线上.若汽车重现了特定的行为，则面临重放攻击带来的安全威胁.总线DoS.总线DoS评估基于CAN总线仲裁机制，以较高的频率向车内CAN总线注入大量高优先级的数据帧，阻止其他数据帧的正常传输.若汽车出现了功能无法使用的异常现象，则面临DoS攻击带来的安全威胁.

　　数据伪造.数据伪造评估基于特定的CANID向车内CAN总线注入精心构造的数据帧，实施特定的汽车功能控制.若汽车表现出了预期的行为，则面临数据伪造带来的安全威胁.模糊测试.模糊测试截取车内CAN总线合法数据帧，通过丰富的变异策略对合法数据帧进行变异生成大量的测试数据帧并注入到CAN总线.

　　若车辆出现异常行为，则存在潜在的安全漏洞.非逆向安全评估流程如图1(a)所示，OBD为连接诊断接口，不同评估向量的注入数据帧构造方式不同.数据重放将监听到的数据帧注入到车内CAN总线;总线DoS从监听到的数据帧中选取优先级较高的CANID，构造大量数据帧，按照总线传输速率注入到车内CAN总线;模糊测试将监听到的总线数据帧变异之后注入到车内CAN总线中;数据伪造基于监听到的数据精心构造特定数据帧注入到车内CAN总线.

　　2.2逆向安全评估

　　车内CAN总线数据帧分为周期性数据帧与非周期性数据帧.当汽车触发特定动作时，非周期性数据帧相应CANID频率会出现显著变化，而周期性数据帧周期性出现在CAN总线上，即使当汽车触发特定动作时，总线上的数据帧CANID频率也不会出现显著变化.基于CANID频率的逆向技术仅适用于常见低速车内CAN总线的非周期数据帧，且仅能分析出数据帧CANID与控制指令的对应关系，无法分析出CAN总线数据帧数据域与控制指令之间的映射细节.基于数据域特征的逆向技术，利用CAN数据帧数据域8B的特征进行逆向分析.

　　通过统计一定数量数据帧中数据域各字节的变化来分析数据域与控制指令的映射关系.对于单一状态转换的控制指令，例如转向灯、中控锁、远光灯等，其CAN总线数据帧数据域的有效比特较少.对于车速等连续变化的控制指令，其CAN总线数据帧数据域的有效比特较多，通过多个比特控制连续变化的行车参数.基于此，可以统计CAN总线数据域的字节变化来逆向CAN总线数据帧.实验数据及分析实验采用的CAN总线控制器为创芯科技CAN‐alyst-II分析仪，车辆为福特某型号车辆.

　　3.1非逆向安全评估

　　3.1.1数据重放评估

　　实验截取转向灯动作前后的2000条CAN数据帧，将其重放到车内CAN总线.为低速CAN总线与高速CAN总线上转向灯动作的数据重放评估结果.结果显示：低速CAN总线出现了仪表盘转向灯闪烁并伴随转向灯物理开启现象，高速CAN总线则未出现此现象，表明控制转向灯的ECU连接在低速CAN总线.远光灯、油门及中控锁的仪表盘状态显示均连接在低速CAN总线.在数据重放评估中，远光灯和油门的状态显示均出现在仪表盘，但是远光灯并未物理开启、油门并无物理变化，中控锁物理解锁.尽管远光灯与油门无物理变化，但是仪表盘状态显示紊乱同样会对驾驶员造成干扰，威胁行车安全，存在一定的安全隐患.

　　结语

　　为了评估车内CAN总线的安全性，提出一种CAN总线安全评估机制，该机制通过基于四种基本评估向量的非逆向评估及基于数据域特征的逆向评估对车内CAN总线进行安全评估.福特某型号车辆的实验结果表明：在非逆向安全评估中，该型号福特汽车可以抵御DoS攻击，而在数据重放评估中面临转向灯、中控锁、油门及中控锁等控制指令被重放的安全威胁.在数据伪造评估中，发动机转速与车速的仪表盘显示均出现紊乱.

　　在模糊测试评估中，仪表盘显示出现异常，车窗出现升降，中控锁物理开启，均面临一定的安全风险.在逆向安全评估中该型号车辆低速CAN总线上的转向灯、车窗、中控锁的控制指令遭到泄露，高速CAN总线安全性较高，并无控制指令泄露.相比于已有的车内CAN总线安全评估机制，提出的安全评估机制覆盖面更广、效率更高.

　　参考文献

　　[1]ZHANGS，SUNW.In-vehiclenetworkattacksandcountermeasures：challengesandfuturedirections[J].IEEENetwork，2017，31(5)：50-58.

　　[2]邹雪城，余悦敏，张明宇，等.基于SAEJ3061的车载T-BOX信息安全策略[J].华中科技大学学报自然科学版，2019，47(9)：55-59.

　　[3]CHECKOWAYS，MCCOYD，KANTORB，etal.Comprehensiveexperimentalanalysesofautomotiveat‐ acksurfaces[C]//ProcofUSENIxSecuritySymposium.NY：USENIXAssociation，2011：447-462.

　　[4]HOPPET，KILTZS，DITTMANNJ.SecuritythreatstoautomotiveCANnetworks;practicalexamplesandse‐lectedshort-termcountermeasures[J].ReliabilityEngi‐ eeringandSystemSafety，2011，96(1)：11-25.

　　[5]WOOS，JOHJ，LEEDH.Apracticalwirelessattackontheconnectedcarandsecurityprotocolforin-vehicleCAN[J].IEEETransactionsonIntelligentTransportationSystems，2015，16(2)：993-1006.

　　作者：张海春姜荣帅鲁赵骏刘政林