網(wǎng)聯(lián)汽車車載網(wǎng)絡(luò)通訊的安全分析

賈先鋒，寧玉橋，武智

（中汽數(shù)據(jù)（天津）有限公司，天津 300300）

1 前言

1.1 研究背景與研究意義

網(wǎng)聯(lián)汽車即擁有車聯(lián)網(wǎng)功能的汽車，它不是單純地將汽車鏈接互聯(lián)網(wǎng)，而是將車內(nèi)網(wǎng)絡(luò)、車間網(wǎng)絡(luò)、智慧交通系統(tǒng)、TSP、手機(jī)APP等融合起來。得益于互聯(lián)網(wǎng)的飛速發(fā)展，對(duì)諸如車聯(lián)網(wǎng)技術(shù)、智慧交通、無人駕駛系統(tǒng)和后端云服務(wù)等信息化應(yīng)用的需求促進(jìn)了汽車網(wǎng)聯(lián)化的快速發(fā)展。但是與此同時(shí)，車聯(lián)網(wǎng)中的安全威脅也日趨嚴(yán)重，對(duì)車載系統(tǒng)、移動(dòng)終端、云平臺(tái)等的攻擊手段層出不窮，日益嚴(yán)重。來自全球多個(gè)汽車廠商的信息安全攻擊事件引發(fā)了社會(huì)各界的廣泛關(guān)注，研究網(wǎng)聯(lián)汽車的安全問題刻不容緩[1]。

車載網(wǎng)絡(luò)系統(tǒng)無疑是網(wǎng)聯(lián)汽車中最重要的部分之一，它不僅要與外部的智能交通系統(tǒng)以及云平臺(tái)進(jìn)行通信，還要控制車內(nèi)的關(guān)鍵電控單元，所以一旦車載網(wǎng)絡(luò)系統(tǒng)被黑客攻破，后果將不堪設(shè)想。目前基于CAN總線的車內(nèi)網(wǎng)絡(luò)協(xié)議得到了廣泛地應(yīng)用，該協(xié)議具有成本低且可靠性高等特點(diǎn)。但是CAN總線在最初開發(fā)和設(shè)計(jì)時(shí)沒有考慮有關(guān)信息安全的問題，一旦將汽車接入互聯(lián)網(wǎng)，那么車載網(wǎng)絡(luò)總線將不再是封閉系統(tǒng)，黑客可能會(huì)通過各種電子設(shè)備、車載智能信息系統(tǒng)等多種途徑發(fā)起攻擊[2]。因此，在車聯(lián)網(wǎng)快速發(fā)展的形勢(shì)下，對(duì)車載網(wǎng)絡(luò)安全性的研究顯得尤為重要（以太網(wǎng)安全性提出）。

1.2 國內(nèi)外研究現(xiàn)狀

網(wǎng)聯(lián)汽車是通過有線連接和無線連接的方式，將智能網(wǎng)聯(lián)汽車車內(nèi)網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)相連接，包括車內(nèi)網(wǎng)絡(luò)、車端設(shè)備和云端服務(wù)等。由于對(duì)網(wǎng)聯(lián)汽車信息安全的研究才剛剛起步，當(dāng)前智能網(wǎng)聯(lián)汽車的信息安全問題主要包括以下幾點(diǎn)[2-3]：

（1）車載總線網(wǎng)絡(luò)缺乏信息安全防護(hù)；

（2）智能設(shè)備的安全漏洞；

（3）汽車企業(yè)對(duì)信息安全問題的重視不足。

國內(nèi)外高校和研究人員關(guān)于網(wǎng)聯(lián)汽車安全的研究，主要集中在車載系統(tǒng)與互聯(lián)網(wǎng)系統(tǒng)連接交互方面，如車輛和服務(wù)器之間安全認(rèn)證機(jī)制、車載嵌入式系統(tǒng)安全分析、服務(wù)器和車輛之間公私鑰分配等。然而科技人員對(duì)車內(nèi)網(wǎng)絡(luò)安全的問題研究相對(duì)較少。近年來對(duì)車輛內(nèi)部網(wǎng)絡(luò)安全的研究主要分為以下幾類[4]：

（1）車輛內(nèi)部網(wǎng)絡(luò)安全框架方面的研究；

（2）車內(nèi)網(wǎng)絡(luò)通信與安全認(rèn)證方面的研究；

（3）車載網(wǎng)絡(luò)入侵和異常檢測(cè)方面的研究。

2 網(wǎng)聯(lián)汽車及車內(nèi)通訊架構(gòu)系統(tǒng)概述

2.1 網(wǎng)聯(lián)汽車系統(tǒng)概述

2.1.1 網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)架構(gòu)

網(wǎng)聯(lián)車技術(shù)是物聯(lián)網(wǎng)在智慧交通與現(xiàn)代汽車行業(yè)相結(jié)合的具體應(yīng)用和落地。網(wǎng)聯(lián)汽車以車輛為中心，利用車內(nèi)移動(dòng)通訊模組及相關(guān)車內(nèi)傳感器，以及車外的監(jiān)控傳感設(shè)備和云端平臺(tái)，通過蜂窩無線連接技術(shù)和有線通信技術(shù)，實(shí)現(xiàn)了車與車、車與人、車與后臺(tái)服務(wù)器、車與路端設(shè)施都直接進(jìn)行信息交互。如今，車聯(lián)網(wǎng)在交通規(guī)劃，智能駕駛，智慧出行等領(lǐng)域都有了長足的發(fā)展以及更廣的發(fā)展空間[5]。

智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，如今大量網(wǎng)聯(lián)車基于車載通信模塊進(jìn)行交互、通信以及相互連接，汽車通過通信衛(wèi)星、RFID、移動(dòng)基站等設(shè)施接入網(wǎng)絡(luò)，最終連接到后臺(tái)的服務(wù)中心，為車輛提供交通管理、信息訂閱等遠(yuǎn)程網(wǎng)聯(lián)服務(wù)[6]。

圖1 智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)聯(lián)車的系統(tǒng)結(jié)構(gòu)，從內(nèi)部到外部它可以分為感知延伸層、網(wǎng)絡(luò)層、業(yè)務(wù)支持層和應(yīng)用層，如圖2所示。

圖2 網(wǎng)聯(lián)車的系統(tǒng)架構(gòu)

2.1.2 網(wǎng)聯(lián)汽車的應(yīng)用

網(wǎng)聯(lián)汽車描述了一個(gè)將人、車、路、云以及服務(wù)平臺(tái)相互結(jié)合、連接并交互的全方位互聯(lián)系統(tǒng)，可以實(shí)現(xiàn)對(duì)道路交通的全面控制和對(duì)車輛的全程監(jiān)控，如圖3所示。

圖3 網(wǎng)聯(lián)汽車的應(yīng)用

2.2 網(wǎng)聯(lián)汽車內(nèi)部網(wǎng)絡(luò)系統(tǒng)概述

2.2.1 車載網(wǎng)絡(luò)系統(tǒng)介紹

汽車可以理解為一個(gè)非常龐大的計(jì)算機(jī)系統(tǒng)，由大量的ECU、傳感器、動(dòng)力裝置、傳動(dòng)裝置等構(gòu)成的一個(gè)復(fù)雜而龐大的系統(tǒng)。

然而傳統(tǒng)的非智能網(wǎng)聯(lián)汽車系統(tǒng)認(rèn)為，車內(nèi)ECU通常應(yīng)使用接插件和導(dǎo)線進(jìn)行連接。隨著車內(nèi)功能模塊的增加，ECU的數(shù)量頁逐步增加，從而導(dǎo)致無法使用單純的導(dǎo)線和接插件無法滿足更加復(fù)雜的系統(tǒng)，基于車內(nèi)總線的技術(shù)車載網(wǎng)絡(luò)應(yīng)運(yùn)而生，剩的車內(nèi)用到的導(dǎo)線和接插件大幅減少，利用有限的資源大大提高的車內(nèi)ECU間的通訊能力。各個(gè)控制系統(tǒng)之間通過信息交流和協(xié)作控制等，實(shí)現(xiàn)對(duì)汽車功能的精確控制，提高了整體可靠性和穩(wěn)定性[7]。

2.2.2 汽車總線分類

（1）CAN總線

控制器局域網(wǎng)總線（CAN）是最古老的多功能總線之一，而且是正在運(yùn)行的最普遍的總線系統(tǒng)之一。CAN總線標(biāo)準(zhǔn)在開發(fā)設(shè)計(jì)階段就突出了其滿足控制系統(tǒng)需求的特性，并以其具有靈活性、實(shí)時(shí)性和可靠性的汽車控制系統(tǒng)總線等特點(diǎn)成為了行業(yè)標(biāo)準(zhǔn)。CAN是點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)。這意味著沒有主機(jī)可以控制各個(gè)節(jié)點(diǎn)何時(shí)可以訪問CAN總線上的數(shù)據(jù)。當(dāng)CAN節(jié)點(diǎn)傳輸數(shù)據(jù)前，它將檢查總線是否繁忙，然后簡單地將CAN幀寫入網(wǎng)絡(luò)。發(fā)送的CAN幀不包含發(fā)送節(jié)點(diǎn)或任何預(yù)期的接收節(jié)點(diǎn)的地址。相反，在整個(gè)網(wǎng)絡(luò)中唯一的仲裁ID會(huì)標(biāo)記該幀。CAN網(wǎng)絡(luò)上的所有節(jié)點(diǎn)都接收CAN幀，并且根據(jù)該傳輸幀的仲裁ID各節(jié)點(diǎn)判斷是否決定是否接受該幀。CAN總線具備一定的安全性，然而，隨著車聯(lián)網(wǎng)概念的興起和汽車信息技術(shù)的高速發(fā)展，智能網(wǎng)聯(lián)汽車逐漸在原本封閉的網(wǎng)絡(luò)中對(duì)外開放了越來越多的外部訪問接口。這些接口可能由汽車內(nèi)部CAN總線通過直接或間接的方式連接其他節(jié)點(diǎn)的控制單元。這些外部訪問接口已經(jīng)成為攻擊者攻擊汽內(nèi)網(wǎng)絡(luò)的潛在入口，從而使攻擊者可以通過某些技術(shù)手段直接滲透到車輛關(guān)鍵控制系統(tǒng)——車載CAN總線網(wǎng)絡(luò)[8]。

（2）車載以太網(wǎng)

傳統(tǒng)車載網(wǎng)絡(luò)通常采用CAN、LIN等傳輸速度較為緩慢的專用網(wǎng)絡(luò)協(xié)議。隨著汽車的內(nèi)部運(yùn)作變得更加智能和復(fù)雜，越來越多的智能傳感器和高性能車載計(jì)算機(jī)被引入，應(yīng)用于汽車的新網(wǎng)絡(luò)不僅要更快、更經(jīng)濟(jì)、支持多節(jié)點(diǎn)互聯(lián)，而且需要實(shí)行標(biāo)準(zhǔn)化和廣泛應(yīng)用，以保證不同供應(yīng)商和行業(yè)之間的兼容和互通[8]。

車載以太網(wǎng)由Broadcom率先推出BroadR-Reach變體。它利用標(biāo)準(zhǔn)的以太網(wǎng)技術(shù)，但使其適用于汽車應(yīng)用。它在非屏蔽雙絞線電纜上的傳輸能力為100MB/s，最長可達(dá)15米（對(duì)于屏蔽雙絞線則可達(dá)40米）。在車載設(shè)備的通信過程中可滿足低延遲、高帶寬和音視頻同步傳輸?shù)囊?；滿足車載系統(tǒng)對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)外部管理的需求等。因此可以理解為，車載以太網(wǎng)可以用于任何基于以太網(wǎng)的車載電氣系統(tǒng)的聯(lián)網(wǎng)解決方案。同時(shí)，它也是100Base-T1（IEEE的802.3bw-2015）和BroadR-Reach（或OPEN聯(lián)盟BroadR-Reach）中定義的通用術(shù)語。由此看出，汽車以太網(wǎng)是為實(shí)現(xiàn)車載網(wǎng)絡(luò)實(shí)現(xiàn)更快數(shù)據(jù)傳輸通訊而量身定制的專用網(wǎng)絡(luò)。

3 車載網(wǎng)絡(luò)的攻擊測(cè)試

3.1 CAN總線攻擊

CAN協(xié)議的通訊方式、數(shù)據(jù)結(jié)構(gòu)、仲裁技術(shù)等能夠滿足車載網(wǎng)絡(luò)對(duì)實(shí)時(shí)性和輕量化要求，但由于開發(fā)設(shè)計(jì)階段未考慮信息安全因素，導(dǎo)致存在一些原生了一些安全隱患，如仲裁機(jī)制被攻擊、廣播消息被監(jiān)聽、消息欺騙偽造等。

3.1.1 模糊測(cè)試

模糊測(cè)試是指通過軟件對(duì)讀取到的重要ID進(jìn)行8個(gè)數(shù)據(jù)位的測(cè)試分析，進(jìn)而找出動(dòng)作指令相關(guān)信號(hào)，并通過Fuzzing工具向CAN總線中發(fā)送攻擊指令的檢測(cè)方法。

圖4 模糊測(cè)試

3.1.2 錄制回放

圖5 錄制回放

錄制回放攻擊是指通過錄制車輛動(dòng)作報(bào)文，如開車門指令等，通過軟件的Replay模塊回放至CAN總線測(cè)試攻擊。

3.2 車載以太網(wǎng)攻擊

3.2.1 泛洪（Flood）攻擊

ICMP泛洪：ICMP flood泛洪攻擊屬于DOS攻擊的一種，顧名思義是通過將大量的Ping數(shù)據(jù)包發(fā)送給目標(biāo)地址，導(dǎo)致目標(biāo)主機(jī)忙于處理Ping數(shù)據(jù)包而無法處理其他正常請(qǐng)求，就好像ICMP報(bào)文像洪水一樣把傳輸通道堵滿，是正常的通訊報(bào)文無法傳輸和處理。泛洪攻擊的過程是首先nmap查找到同一網(wǎng)段下的車載以太網(wǎng)網(wǎng)關(guān)，使用ping命令與網(wǎng)關(guān)建立連接，在進(jìn)行攻擊后，連接斷開，同一網(wǎng)段為無法再與車載以太網(wǎng)網(wǎng)關(guān)進(jìn)行連接。

TCP SYN泛洪：TCP SYN泛洪攻擊（也稱為SYN泛洪）是一種分布式拒絕服務(wù)（DDoS）攻擊，它在常規(guī)的TCP連接時(shí)的三次握手過程中來消耗目標(biāo)服務(wù)器并使服務(wù)器服務(wù)終端。本質(zhì)上，攻擊者在使用SYN Flood DDoS時(shí)發(fā)送TCP連接請(qǐng)求的速度比目標(biāo)計(jì)算機(jī)可以處理它們的速度快，從而導(dǎo)致網(wǎng)絡(luò)飽和。導(dǎo)致 SYN泛洪產(chǎn)生。在SYN Flood攻擊中，攻擊者通常使用偽造IP地址，并重復(fù)地向目標(biāo)地址發(fā)送大量的SYN數(shù)據(jù)包。被攻擊的地址將會(huì)收到多個(gè)看似真實(shí)合法的請(qǐng)求，隨后目標(biāo)地址會(huì)嘗試使用SYN-ACK數(shù)據(jù)包對(duì)請(qǐng)求地址進(jìn)行響應(yīng)。

圖6 與網(wǎng)關(guān)建立連接

圖7 攻擊網(wǎng)關(guān)

圖8 攻擊后網(wǎng)關(guān)無法建立連接

4 安全防護(hù)

4.1 CAN總線安全防護(hù)方法

4.1.1 CAN總線消息數(shù)據(jù)來源保護(hù)

（1）設(shè)備認(rèn)證

設(shè)備認(rèn)證是指只有已知或已授信的設(shè)備才能對(duì)總線進(jìn)行訪問和報(bào)文發(fā)送。

網(wǎng)關(guān)或單獨(dú)總線管理設(shè)備可以對(duì)專業(yè)的診斷設(shè)備和PC機(jī)進(jìn)行身份認(rèn)證。這就制定了一種白名單策略。只有身份合法有效的設(shè)備才能向總線發(fā)送消息，未通過認(rèn)證的設(shè)備所發(fā)送的報(bào)文會(huì)被屏蔽隔離。

（2）OBD防火墻

OBD防火墻實(shí)際上是在OBD接口處安裝的一種保護(hù)數(shù)據(jù)安全的設(shè)備。它對(duì)網(wǎng)關(guān)的報(bào)文進(jìn)行隔離篩選，從而開放合理的報(bào)文信息至OBD處。

在常規(guī)通信級(jí)別上，由于體系結(jié)構(gòu)設(shè)計(jì)的要求，OBD防火墻通常直接連接到多條總線。因此，防火墻在設(shè)計(jì)過程中對(duì)數(shù)據(jù)包吞吐量也需要應(yīng)適應(yīng)現(xiàn)有不同總線的通信速率。OBD防火墻從OBD口處有效控制了整車通信信息的泄露與篡改、讀取刷寫，是對(duì)整車消息來源處非常重要的安全保護(hù)。

4.1.2 CAN總線數(shù)據(jù)保護(hù)

（1）CAN數(shù)據(jù)報(bào)文的加密與解密

CAN總線加密技術(shù)是使用加密算法對(duì)ECU發(fā)出的報(bào)文進(jìn)行16bit的加密，通過相同算法由收到的ECU進(jìn)行解密的技術(shù)。

對(duì)于總線加密而言，簡單的加密算法無法對(duì)CAN網(wǎng)絡(luò)通訊進(jìn)行真正的保護(hù)，復(fù)雜的加密算法對(duì)車內(nèi)資源占用較高所以目前汽車行業(yè)中OEM通常采用AES-128的對(duì)稱加密算法保障CAN網(wǎng)絡(luò)的安全性。這樣的加密方式有2個(gè)特點(diǎn)：

1＞通過使用HSM等硬件模塊實(shí)現(xiàn)AES-128及以上的對(duì)稱加密，可以很好滿足對(duì)加解密算法及密鑰存儲(chǔ)的可行性要求。2＞該方案無需對(duì)現(xiàn)有的車內(nèi)網(wǎng)絡(luò)架構(gòu)及協(xié)議進(jìn)行修改，只需要對(duì)傳輸?shù)膱?bào)文格式進(jìn)行修改及調(diào)整。

（2）安全的CAN收發(fā)器芯片

安全的CAN收發(fā)器芯片可以加裝在重要ECU的硬件上，實(shí)現(xiàn)ECU間消息的定向接收，防止虛假消息影響ECU。

通過CAN-ID過濾發(fā)送過程中的報(bào)文這是保護(hù)總線的一種方式，可使總線不用遭受已經(jīng)被篡改后ECU的影響。如果ECU嘗試使用還未分配的ID進(jìn)行通訊時(shí)，安全的CAN收發(fā)器可以直接對(duì)該ID的報(bào)文進(jìn)行過濾，并拒絕它在總線上發(fā)送該報(bào)文，并拒絕后續(xù)的報(bào)文執(zhí)行?；贑AN-ID的過濾策略可通過配置ECU的ID白名單來實(shí)現(xiàn)。

第二個(gè)防止欺騙的對(duì)策是基于CAN-ID監(jiān)控總線上的報(bào)文并使其失效。這種方法使每個(gè)ECU都能保護(hù)好自己的ID，適用于未能防止不法電子控制單元發(fā)送該ID的情況。

預(yù)防報(bào)文篡改的方法同樣可以使用對(duì)CAN報(bào)文失效屏蔽。安全的CAN收發(fā)器還可以檢查網(wǎng)絡(luò)上是否存在局部ECU已經(jīng)完成仲裁但未發(fā)送有效報(bào)文。

以下為初步計(jì)劃需要受到保護(hù)的電器件模塊表：

表1 電器件模塊表

4.1.3 網(wǎng)關(guān)物理隔離保護(hù)

網(wǎng)關(guān)物理隔離保護(hù)是指通過評(píng)估網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)，進(jìn)一步對(duì)車內(nèi)網(wǎng)絡(luò)進(jìn)行改造，將其中重點(diǎn)防護(hù)的系統(tǒng)放置于獨(dú)立的網(wǎng)絡(luò)中并對(duì)涉及安全的關(guān)鍵系統(tǒng)隔離開來。

通過網(wǎng)關(guān)內(nèi)嵌的安全加密機(jī)制和網(wǎng)絡(luò)防火墻，容易受到攻擊、安全性要求不高的普通域，如：信息娛樂域、車身舒適域、T-BOX、OBD等，可以與安全域，如：地盤與動(dòng)力總成域、ADAS域等隔離開。

對(duì)于跨域控制和傳輸請(qǐng)求，特別是來自車外的請(qǐng)求，網(wǎng)關(guān)可以對(duì)其進(jìn)行身份識(shí)別、消息認(rèn)證和權(quán)限控制，然后決定這個(gè)請(qǐng)求能否轉(zhuǎn)發(fā)給安全域。這些請(qǐng)求可能是來自T-BOX或智能鑰匙的遠(yuǎn)程控制指令，也可能是來自服務(wù)器的更新固件等。對(duì)于跨域的，針對(duì)域內(nèi)私有代碼和數(shù)據(jù)的訪問請(qǐng)求，中央網(wǎng)關(guān)也有責(zé)任對(duì)其進(jìn)行甄別，拒絕非法訪問。

4.1.4 入侵檢測(cè)系統(tǒng)保護(hù)

入侵檢測(cè)系統(tǒng)保護(hù)機(jī)制如下：

在總線關(guān)鍵ECU或網(wǎng)關(guān)中部署監(jiān)控模塊去監(jiān)控車載網(wǎng)絡(luò)流量和每條CAN請(qǐng)求報(bào)文及相應(yīng)報(bào)文，一旦檢測(cè)到異常情況，如：發(fā)現(xiàn)網(wǎng)絡(luò)流量突然陡增或檢測(cè)到陌生ID的報(bào)文，就會(huì)嘗試去判斷是否為車內(nèi)ECU發(fā)出的異常報(bào)文，還是通過外部接口發(fā)起的攻擊行為，檢測(cè)完成后由入侵防御系統(tǒng)自動(dòng)阻斷該類攻擊。

其優(yōu)點(diǎn)總結(jié)如下：

（1）不用改變現(xiàn)有通訊架構(gòu)：基于車內(nèi)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，是在現(xiàn)有系統(tǒng)和協(xié)議的基礎(chǔ)上實(shí)現(xiàn)的，不對(duì)要對(duì) CAN總線的鏈路層、網(wǎng)絡(luò)層、應(yīng)用層協(xié)議棧進(jìn)行修改，這種實(shí)現(xiàn)方式使得系統(tǒng)不僅能適用于新車型，還能用于出廠時(shí)沒有信息安全防護(hù)策略的舊車型上。

（2）靈活部署：基于車內(nèi)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，一般以安全插件的方式部署在GW或ECU當(dāng)中，也可以單獨(dú)以硬件方式進(jìn)行部署。

（3）檢測(cè)范圍廣：目前行業(yè)中已有多種傳統(tǒng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)。可結(jié)合現(xiàn)有技術(shù)并針對(duì)車內(nèi)網(wǎng)絡(luò)特點(diǎn)進(jìn)行修改檢測(cè)到更多的已知車內(nèi)攻擊通過綜合利用多種入侵檢測(cè)技術(shù)，理論上常見的車內(nèi)攻擊都可以被檢測(cè)到。

4.1.5 安全的診斷訪問服務(wù)

車輛診斷服務(wù)有多種類型,包括讀取相關(guān)參數(shù)、寫入相關(guān)參數(shù)、讀取故障碼、執(zhí)行動(dòng)作測(cè)試、上傳下載數(shù)據(jù)等，若汽車內(nèi)ECU定制的診斷訪問服務(wù)缺少一定的安全性，則外界診斷設(shè)備可以通過OBD接口對(duì)汽車ECU進(jìn)行數(shù)據(jù)篡改及獲取，嚴(yán)重的可以影響汽車的運(yùn)行狀態(tài)并導(dǎo)致汽車無法正常啟動(dòng)或運(yùn)行。故對(duì)診斷服務(wù)制定安全訪問機(jī)制（0x27）是一種非常重要和必需的安全防御方法。

在診斷進(jìn)入到不同的會(huì)話模式時(shí)，首先均需要進(jìn)行安全訪問校驗(yàn)機(jī)制，即UDS協(xié)議中的0x27服務(wù)，通過ECU返回的Seed計(jì)算得出Key,若校驗(yàn)成功，則通過安全訪問，繼續(xù)進(jìn)行下一步的診斷操作，比如讀寫等操作，若校驗(yàn)不成功，則需重新進(jìn)行安全訪問，但最好設(shè)定安全訪問最大次數(shù)，若超過設(shè)定最大次數(shù)，則在此次上電過程中永久拒絕安全訪問操作。

另外，針對(duì)不同的診斷27服務(wù)，可以通過設(shè)定不同的安全訪問等級(jí)提高安全水平，如讀取故障數(shù)據(jù)等可以設(shè)定較低安全等級(jí)為01，寫入?yún)?shù)操作可以設(shè)定較高等級(jí)02，上傳下載數(shù)據(jù)設(shè)為更高等級(jí)，對(duì)于不同安全等級(jí)，使用的密鑰算法不同，安全等級(jí)越高，密鑰算法越復(fù)雜。

圖9 安全診斷訪問

通過添加安全訪問服務(wù)后，所有針對(duì)ECU進(jìn)行的診斷操作都必須通過不同的安全等級(jí)校驗(yàn)進(jìn)行相應(yīng)操作，這樣便大大加強(qiáng)對(duì)汽車ECU的防護(hù)作用，一定程度有效阻止通過診斷服務(wù)來竊取篡改ECU數(shù)據(jù)等行為。

4.2 CAN總線隔離防護(hù)驗(yàn)證

（1）首先使用CANoe軟件仿真網(wǎng)絡(luò)中總線傳輸數(shù)據(jù)；

圖10 使用CANoe軟件仿真網(wǎng)絡(luò)中總線傳輸數(shù)據(jù)

（2）將開發(fā)的OBD隔離設(shè)備的軟件及硬件調(diào)試完成，設(shè)置為只接收ID111-ID115范圍的CAN報(bào)文；

圖11 OBD隔離設(shè)備的軟件及硬件調(diào)試

（3） OBD隔離設(shè)備要求開放的報(bào)文可以通過軟件讀取到。對(duì)ECU的發(fā)送端和接收端都可設(shè)置白名單，有效保護(hù)整車通訊的安全性。

圖12 設(shè)置完后顯示的數(shù)據(jù)

4.3 車載以太網(wǎng)防護(hù)

泛洪攻擊的防護(hù)：

4.3.1 禁止外部ICMP

防止ICMP泛濫的方法之一是在外部網(wǎng)絡(luò)上禁止ICMP。但是這也將阻止包括ICMP ECHO數(shù)據(jù)包在內(nèi)的合法流量。如果正常ICMP ECHO數(shù)據(jù)被阻止，則將丟失正常數(shù)據(jù)包；通道的連接性和流量將被惡化?？衫迷谲噧?nèi)增加防火墻等設(shè)備或組建防止ICMP flood攻擊。

4.3.2 積壓增加隊(duì)列

在目標(biāo)設(shè)備上具有半開放連接的每個(gè)操作系統(tǒng)都有一定數(shù)量的存在。如果允許這種類型的連接，則需要增加操作系統(tǒng)所允許的響應(yīng)大量SYN數(shù)據(jù)包的最大半開連接數(shù)。 系統(tǒng)必須保留其他內(nèi)存資源來處理所有新請(qǐng)求，以便成功增加最大積壓。 如果由于內(nèi)存不足而導(dǎo)致系統(tǒng)無法處理增加的積壓隊(duì)列大小，那么系統(tǒng)的性能將受到負(fù)面影響，但其影響將小于拒絕服務(wù)。

4.3.3 關(guān)閉半開放式TCP連接

另一種緩解策略是一旦連接已滿，就覆蓋原有的半開放連接。要求可以在短時(shí)間內(nèi)建立合法的完整的連接。當(dāng)攻擊量增加或積壓的大小對(duì)于實(shí)際操作而言太小時(shí)，這種特殊的防御機(jī)制將失敗。

4.4.4 SYN Cookie

此策略需要通過Cookie技術(shù)實(shí)施。為了避免積壓后的斷開連接風(fēng)險(xiǎn)，可以使用SYN-ACK數(shù)據(jù)包響應(yīng)每個(gè)連接請(qǐng)求，然后從積壓中刪除SYN請(qǐng)求，然后從內(nèi)存中刪除該請(qǐng)求，同時(shí)保持端口持續(xù)打開狀態(tài)以建立新連接。 如果連接是來自真實(shí)用戶的合法請(qǐng)求，并且ACK數(shù)據(jù)包最終可以從客戶端發(fā)送回服務(wù)器，則服務(wù)器將允許重建SYN積壓隊(duì)列條目。 盡管此緩解措施導(dǎo)致丟失了一些有關(guān)TCP連接的信息，但它比無法防止攻擊導(dǎo)致合法用戶接收拒絕服務(wù)更有效。

5 結(jié)論

通過研究測(cè)試可以得出，無論是CAN網(wǎng)絡(luò)，還是相對(duì)先進(jìn)的車載以太網(wǎng)，它們的信息安全都存在一定地風(fēng)險(xiǎn)。網(wǎng)聯(lián)汽車車載網(wǎng)絡(luò)的發(fā)展趨勢(shì)將會(huì)是由復(fù)合型架構(gòu)向中央計(jì)算式架構(gòu)發(fā)展，形成適用于自動(dòng)駕駛的域網(wǎng)絡(luò)架構(gòu)。車載網(wǎng)絡(luò)中起到代表性作用的CAN總線是汽車信息安全問題的起點(diǎn)也是汽車信息安全問題的終點(diǎn)，對(duì)其安全性和防惡意攻擊能力有著極高的要求。在現(xiàn)有基礎(chǔ)架構(gòu)的基礎(chǔ)上，通過安全性分類隔離網(wǎng)絡(luò)和域，為關(guān)鍵模塊建立深度的多層體系結(jié)構(gòu)防御，并使用軟件和硬件的組合來進(jìn)行安全保護(hù)是必然的發(fā)展趨勢(shì)。