基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)的車載網(wǎng)絡(luò)內(nèi)生安全機(jī)制

王 鵬 翟浡琨 李玉峰 鄭秋生

①(中原工學(xué)院前沿信息技術(shù)研究院 鄭州 450000)

②(網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室 南京 210008)

③(上海大學(xué)計(jì)算機(jī)工程與科學(xué)學(xué)院 上海 200444)

④(河南省網(wǎng)絡(luò)輿情監(jiān)測(cè)與智能分析重點(diǎn)實(shí)驗(yàn)室 鄭州 450000)

1 引言

隨著智能網(wǎng)聯(lián)汽車的高速發(fā)展，未來車載網(wǎng)絡(luò)安全受到了前所未有的挑戰(zhàn)?？刂破骶钟蚓W(wǎng)(Controller Area Network, CAN)是目前汽車中最常見的總線結(jié)構(gòu)，其優(yōu)點(diǎn)在于實(shí)時(shí)性強(qiáng)、抗電磁干擾能力強(qiáng)、傳輸距離遠(yuǎn)、成本低等[1]。但現(xiàn)有研究表明，CAN總線在最初開發(fā)和設(shè)計(jì)時(shí)沒有考慮到報(bào)文在傳輸過程中的安全問題，使得各電子控制單元(Electronic Control Unit, ECU)明文廣播通信，帶來了一系列安全隱患[2]。據(jù)Upstream Security發(fā)布的2021年《全球自動(dòng)駕駛網(wǎng)絡(luò)安全報(bào)告》顯示[3]，預(yù)計(jì)2023年初，智能網(wǎng)聯(lián)汽車的數(shù)量約占到全世界汽車總數(shù)的1/4，到2025年末，這個(gè)數(shù)量將提高到86%。智能網(wǎng)聯(lián)汽車數(shù)量的提升使得車載網(wǎng)絡(luò)被攻擊后所產(chǎn)生的破壞力也急劇提升，這種潛在風(fēng)險(xiǎn)可能會(huì)傷害生命、摧毀城市，甚至導(dǎo)致災(zāi)難發(fā)生。因此，如何提高車載網(wǎng)絡(luò)的安全性顯得尤為重要。

針對(duì)車載網(wǎng)絡(luò)不同類型的攻擊手段，國(guó)內(nèi)外研究人員提出了一系列的防御技術(shù)和方法。在車聯(lián)網(wǎng)攻擊分析與檢測(cè)防御方面，文獻(xiàn)[4]總結(jié)了當(dāng)前車聯(lián)網(wǎng)中遇到的各類攻擊方式，對(duì)車輛可用性的攻擊如干擾攻擊、洪泛攻擊、拒絕服務(wù)攻擊等；對(duì)數(shù)據(jù)完整性的攻擊如偽裝攻擊、重放攻擊、數(shù)據(jù)篡改攻擊等。Gmiden等人[5]總結(jié)了智能網(wǎng)聯(lián)汽車潛在的網(wǎng)絡(luò)攻擊以及安全影響， 指出了汽車面臨的外部網(wǎng)絡(luò)攻擊行為，評(píng)估了當(dāng)前用于保護(hù)車輛數(shù)據(jù)的各項(xiàng)安全防御策略；Cui等人[6]針對(duì)車載網(wǎng)絡(luò)面臨的安全問題，分析了車載網(wǎng)絡(luò)相關(guān)的故障、攻擊和應(yīng)對(duì)策略，提出了一種安全和保密協(xié)同分析框架，通過建模分析證明了該框架對(duì)提高車載網(wǎng)絡(luò)的安全性是有效的；Oh等人[7]針對(duì)CAN總線拒絕服務(wù)攻擊問題，提出了一種車載網(wǎng)絡(luò)通信加密算法(Format-Preserving Encryption, FPE)，該算法能在不修改報(bào)文結(jié)構(gòu)的情況下有效提高CAN總線對(duì)拒絕服務(wù)攻擊的防御能力；Kang等人[8]針對(duì)CAN總線安全性問題，提出了一種基于深度神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，使用無監(jiān)督的深度信任網(wǎng)絡(luò)調(diào)整預(yù)訓(xùn)練參數(shù)進(jìn)而提高訓(xùn)練精度；文獻(xiàn)[9-11]針對(duì)CAN總線通信的安全問題，提出了基于機(jī)器學(xué)習(xí)或者基于報(bào)文字段的安全防御措施，能正確有效地檢測(cè)出大多數(shù)入侵行為。Patsakis等人[12]提出了一種新的車載通信架構(gòu)，該架構(gòu)重新調(diào)整了車內(nèi)鎖存器的作用，并在每個(gè)ECU中實(shí)現(xiàn)了多方安全計(jì)算方案，從而避免車輛因接入惡意設(shè)備造成阻塞進(jìn)而損害安全的情況發(fā)生。Wolf等人[13]提出了一種車輛硬件安全模塊(Hardware Security Module, HSM)，其能夠?qū)噧?nèi)ECU及其通信進(jìn)行整體保護(hù)。以上研究雖提高了車載CAN總線的安全性能，但還存在以下問題：一方面，部分研究調(diào)整CAN總線硬件設(shè)備或網(wǎng)絡(luò)結(jié)構(gòu)，難以應(yīng)用于實(shí)際車輛中；另一方面，加密驗(yàn)證或機(jī)器學(xué)習(xí)會(huì)導(dǎo)致報(bào)文響應(yīng)時(shí)延較長(zhǎng)，不利于車輛實(shí)時(shí)控制。因此，迫切需要一種創(chuàng)新的車載CAN總線安全機(jī)制為車內(nèi)報(bào)文通信提供安全性保障。

網(wǎng)絡(luò)空間主動(dòng)防御是網(wǎng)絡(luò)安全領(lǐng)域的新興概念和技術(shù)方向。Woo等人[14]針對(duì)CAN總線嗅探攻擊問題，提出了一種基于移動(dòng)目標(biāo)防御機(jī)制(Moving Target Defense, MTD)的網(wǎng)絡(luò)地址變換策略，該策略通過動(dòng)態(tài)隨機(jī)生成報(bào)文ID，使嗅探攻擊和重放攻擊喪失攻擊能力；Brown等人[15]分析CAN總線嗅探攻擊和重放攻擊的特點(diǎn)，提出了一種基于MTD的動(dòng)態(tài)地址認(rèn)證數(shù)組協(xié)議(Dynamic Address Validation Array, DAVA)，該協(xié)議利用動(dòng)態(tài)認(rèn)證數(shù)組控制變換ID，進(jìn)而為CAN總線提供健壯的安全框架；Yoon等人[16]針對(duì)車載網(wǎng)絡(luò)結(jié)構(gòu)缺乏可擴(kuò)展性的安全問題，提出了一種基于洗牌策略的車載軟件定義網(wǎng)絡(luò)(Software Define Network, SDN)移動(dòng)目標(biāo)防御技術(shù)，該技術(shù)能夠有效地抵御網(wǎng)絡(luò)中的偵察攻擊和重放攻擊。以上研究雖然都在一定程度上提高了CAN總線防御重放攻擊的能力，但都還存在動(dòng)態(tài)變換機(jī)制易被破解、安全性難以長(zhǎng)期保證等問題。因此，如何進(jìn)一步提高CAN總線防御重放攻擊的能力是本文研究重點(diǎn)。

本文提出了一種基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)(Dynamic Heterogeneous Redundancy, DHR)的車載CAN總線內(nèi)生安全機(jī)制。該機(jī)制在CAN總線通信中引入動(dòng)態(tài)、異構(gòu)、冗余思想，構(gòu)建針對(duì)攻擊者的防御迷霧，提高攻擊者實(shí)施重放攻擊的難度，從而實(shí)現(xiàn)在車載CAN總線對(duì)重放攻擊的防御。

本文主要貢獻(xiàn)如下：

(1) 提出了一種基于DHR架構(gòu)的車載網(wǎng)絡(luò)內(nèi)生安全機(jī)制，通過生成虛擬報(bào)文ID保證其動(dòng)態(tài)冗余來提高攻擊者的攻擊難度，利用擬態(tài)裁決機(jī)制消除了攻擊報(bào)文對(duì)最終結(jié)果的影響。

(2) 針對(duì)動(dòng)態(tài)異構(gòu)冗余架構(gòu)提出了一種報(bào)文ID動(dòng)態(tài)冗余更新策略，即當(dāng)前主ECU根據(jù)報(bào)文發(fā)送狀態(tài)動(dòng)態(tài)更新，提高了該防御機(jī)制在攻擊環(huán)境下的魯棒性。

(3) 從空間開銷、時(shí)間開銷及安全性等方面，證明了該防御機(jī)制對(duì)車載網(wǎng)絡(luò)重放攻擊是可行和有效的。

2 動(dòng)態(tài)異構(gòu)冗余架構(gòu)

動(dòng)態(tài)異構(gòu)冗余架構(gòu)理論上要求系統(tǒng)具有視在結(jié)構(gòu)表征的不確定性[17]。其包括非周期的從功能等價(jià)的異構(gòu)池中隨機(jī)抽取若干個(gè)構(gòu)件組合為當(dāng)前的服務(wù)集合，或者重構(gòu)、重組、重建異構(gòu)池本身，或者借助虛擬化技術(shù)改變?nèi)哂鄨?zhí)行體內(nèi)在的配置方式或者視在運(yùn)行環(huán)境，或者對(duì)異構(gòu)池中的構(gòu)建作預(yù)防性或者修復(fù)性的清洗、初始化等操作，使得攻擊者在時(shí)間和空間維度上很難有效地再現(xiàn)成功攻擊的場(chǎng)景[18]，動(dòng)態(tài)異構(gòu)冗余的整體架構(gòu)如圖1所示。

圖1 動(dòng)態(tài)異構(gòu)冗余架構(gòu)圖

該架構(gòu)由輸入、執(zhí)行體集合、異構(gòu)體集合、策略調(diào)度、負(fù)反饋控制器和多模表決器等組成。其中，策略調(diào)度和異構(gòu)體集合作為多維動(dòng)態(tài)重構(gòu)的支撐環(huán)節(jié)。使用標(biāo)準(zhǔn)化的軟硬件模塊可以組合出多種功能等價(jià)的異構(gòu)體集合E，使用策略調(diào)度算法動(dòng)態(tài)選取n 個(gè)構(gòu)件體作為執(zhí)行體集合A，系統(tǒng)將輸入轉(zhuǎn)發(fā)給當(dāng)前的執(zhí)行體集合中的各個(gè)執(zhí)行體，執(zhí)行體輸出提交給表決器進(jìn)行表決得到系統(tǒng)輸出[19]。

動(dòng)態(tài)、異構(gòu)和冗余是DHR架構(gòu)的主要特點(diǎn)。通過對(duì)外表現(xiàn)出隨機(jī)、不確定性來呈現(xiàn)動(dòng)態(tài)性，這使得攻擊者難以實(shí)現(xiàn)有效的嗅探或?qū)崿F(xiàn)攻擊鏈；而異構(gòu)能夠有效降低執(zhí)行體之間的統(tǒng)一漏洞或系統(tǒng)后門帶來的威脅，降低來自漏洞和后門協(xié)同攻擊的可能性；冗余性增加了系統(tǒng)的容錯(cuò)能力，提高了系統(tǒng)的可靠性和魯棒性。3者之間相互作用平衡穩(wěn)定，為DHR提供高度容錯(cuò)能力，能夠?qū)Υ_定或不確定的威脅提供有效的防御能力，從而解決在不同環(huán)境下的魯棒性和安全性問題[20]。

3 基于DHR架構(gòu)的車載網(wǎng)絡(luò)內(nèi)生安全機(jī)制

3.1 核心思想

本文針對(duì)車載網(wǎng)絡(luò)通信報(bào)文容易被捕獲重放的問題，基于動(dòng)態(tài)異構(gòu)冗余思想，采用擬態(tài)裁決和負(fù)反饋方法，提出了一種基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)的車載網(wǎng)絡(luò)內(nèi)生安全機(jī)制(Endogenous Security Mechanism for Vehicular Networks, ESM-VN)。該機(jī)制的核心思想是為每個(gè)ECU動(dòng)態(tài)生成冗余的虛擬ID(virtual ID, vID)用于報(bào)文傳輸，且vID組成的報(bào)文與真實(shí)報(bào)文的數(shù)據(jù)結(jié)構(gòu)一致，將所有vID組合后生成vIDs存儲(chǔ)于動(dòng)態(tài)重組(Moving Recombination, MR)矩陣便于讀取和更新，其核心框架圖如圖2所示。在目標(biāo)ECU接收?qǐng)?bào)文后，讀取報(bào)文內(nèi)容并采用多數(shù)裁決的方式選擇多數(shù)相同內(nèi)容的報(bào)文作為最后裁決結(jié)果。由于多條報(bào)文共同作用產(chǎn)生的結(jié)果大概率真實(shí)可信，因此執(zhí)行該結(jié)果能夠有效降低重放攻擊對(duì)系統(tǒng)造成的影響。該機(jī)制通過實(shí)現(xiàn)報(bào)文的動(dòng)態(tài)冗余，構(gòu)建對(duì)攻擊者的防御迷霧，提高攻擊者實(shí)施攻擊的難度，從而增強(qiáng)車載網(wǎng)絡(luò)對(duì)于抵御重放攻擊的能力。

圖2 核心框架圖

3.2 總體機(jī)制設(shè)計(jì)

ESM-VN總體機(jī)制共分為3個(gè)階段，分別是初始化階段、報(bào)文收發(fā)階段和更新階段。具體機(jī)制運(yùn)行過程如圖3所示。

圖3 機(jī)制框圖

在初始化階段負(fù)責(zé)注冊(cè)ECU、MR初始化等工作；在報(bào)文收發(fā)階段負(fù)責(zé)正常報(bào)文通信及報(bào)文裁決工作，同時(shí)設(shè)置報(bào)文計(jì)數(shù)器控制更新進(jìn)程；在更新階段動(dòng)態(tài)更新機(jī)制中各項(xiàng)數(shù)據(jù)，如隨機(jī)種子、主ECU, vID, MR等。

3.2.1 初始化階段

初始化階段分為兩步。第1步：注冊(cè)ECU并加載硬件數(shù)據(jù)創(chuàng)建MR，為每個(gè)ECU分配報(bào)文ID上下限用于生成vID；第2步：以全體ECU報(bào)文段上限和下限及其源ID共同運(yùn)算作為隨機(jī)種子初始化全體ECU的vIDs并從所有ECU中隨機(jī)選取主ECU。

假設(shè)CAN總線共有P個(gè)ECU節(jié)點(diǎn)，創(chuàng)建并初始化MR，包含ECU報(bào)文ID段的上限和下限、ECU源ID、vIDs及ME，數(shù)據(jù)初始化過程可以描述為式(1)-式(6)

其中，M表示動(dòng)態(tài)重組矩陣MR，U為ECU對(duì)應(yīng)報(bào)文段的ID上限值空間，uP表示為第P個(gè)ECU對(duì)應(yīng)報(bào)文段中的ID值上限，D為ECU對(duì)應(yīng)報(bào)文段的ID下限值空間，O表示ECU源ID值空間，V表示ECU的 vIDs值空間，ME表示主ECU判定空間，當(dāng)ME中第i個(gè)值為1時(shí)，表示第i個(gè)ECU被設(shè)置為主ECU，即mei=1，則有

ECUi與mi建立映射關(guān)系，其中mi表示第i個(gè)ECU映射到MR中的值，E為全體ECU實(shí)體空間，e代表某個(gè)ECU實(shí)體子空間，則有

再初始化隨機(jī)種子，該隨機(jī)種子在初始化階段由全體ECU報(bào)文段的上下限、源ID共同運(yùn)算得出，隨機(jī)種子初始化過程表示為

其中，SdF表示初始階段的種子。每個(gè)ECU使用隨機(jī)種子生成冗余度n，再隨機(jī)產(chǎn)生n個(gè)vID，任意vID值在對(duì)應(yīng)ECU報(bào)文段ID上下限范圍內(nèi)可表示為

其中，R_V(·)為動(dòng)態(tài)隨機(jī)生成函數(shù)，vIDa[i]表示第a個(gè)ECU的第i個(gè)vID，將生成的全部vID通過整合函數(shù)assamble(·)整合得到vIDs

最后，將vIDs填入MR矩陣中。使用種子生成冗余值a，主ECU創(chuàng)建報(bào)文計(jì)數(shù)器控制觸發(fā)更新。至此，初始化階段完成。

3.2.2 報(bào)文收發(fā)階段

在報(bào)文發(fā)送時(shí)，讀取MR中的vIDs，解析獲得多個(gè)的vID，將其分別組裝進(jìn)入報(bào)文中進(jìn)行發(fā)送。目標(biāo)ECU接收到全部報(bào)文后，將報(bào)文傳入裁決模塊，使用多數(shù)裁決的方式輸出數(shù)量最多的報(bào)文作為裁決結(jié)果并執(zhí)行。

設(shè)在某一時(shí)刻接收到m條符合目標(biāo)ECU報(bào)文ID段的報(bào)文，將其傳入裁決模塊，讀取報(bào)文內(nèi)容并統(tǒng)計(jì)相同數(shù)據(jù)域報(bào)文的數(shù)目。理論上每次接收時(shí)僅會(huì)接收到一種報(bào)文，但當(dāng)遭受重放攻擊時(shí)，ECU會(huì)接收到被篡改后的錯(cuò)誤報(bào)文，因此，接收的全部報(bào)文可表示為

其中，MG表示全部接收到的報(bào)文集合，mgA表示識(shí)別出內(nèi)容為A的報(bào)文，mgB表示識(shí)別出內(nèi)容為B的報(bào)文，多數(shù)裁決機(jī)制表示為

其中，Res表示統(tǒng)計(jì)得到數(shù)量最多的報(bào)文，NUM(mgA)表示內(nèi)容為A的報(bào)文數(shù)量。將Res作為裁決機(jī)制的結(jié)果輸出并執(zhí)行指令。

分析該階段，當(dāng)CAN總線遭受重放攻擊時(shí)，少量報(bào)文會(huì)被攔截和篡改，但由于裁決模塊中的多數(shù)報(bào)文占主導(dǎo)的特性使得少量的錯(cuò)誤報(bào)文無法影響裁決結(jié)果，因此可以有效降低重放攻擊對(duì)CAN總線的影響。

3.2.3 更新階段

在更新階段，采用主ECU更新模式對(duì)系統(tǒng)進(jìn)行更新，但常用的更新模式缺點(diǎn)在于如果主ECU出現(xiàn)故障，將無法正常更新報(bào)文ID，從而影響CAN總線的正常工作。因此，本文改進(jìn)了主ECU更新模式，通過動(dòng)態(tài)變換主ECU的方法解決了因單點(diǎn)損壞影響車載網(wǎng)絡(luò)安全性問題，更新方案如下。

首先，在主ECU的報(bào)文計(jì)數(shù)器歸零后，機(jī)制進(jìn)入更新階段并由主ECU向CAN總線上發(fā)送更新報(bào)文通知全體ECU當(dāng)前需開始更新。全體ECU收到更新報(bào)文后先對(duì)隨機(jī)種子進(jìn)行更新，再使用隨機(jī)種子更新各自vID, MR和主ECU。最后，重置報(bào)文計(jì)數(shù)器即可完成更新操作。該模式能夠在不通過CAN總線傳輸具體數(shù)據(jù)的條件下完成全局同步更新，避免因數(shù)據(jù)泄露對(duì)系統(tǒng)安全造成威脅。

在進(jìn)入更新階段前，首先判斷是否需要更新。定義SC為剩余報(bào)文發(fā)送次數(shù)，K為更新閾值。當(dāng)K=1時(shí)，進(jìn)入更新階段，否則重新進(jìn)入報(bào)文收發(fā)階段可表示為

確定系統(tǒng)需要更新后，第1步對(duì)種子進(jìn)行更新。隨機(jī)種子的更新過程由主ECU的下標(biāo)，全體ECU的報(bào)文ID上下限、源ID以及vIDs參與計(jì)算得出。該過程可寫為

其中，Sdup表示在更新后的隨機(jī)種子。在更新n時(shí)，首先計(jì)算主ECU的所有vID的和μ作為更新平衡參數(shù)，通過up_Ran(·)將vIDs和更新后的隨機(jī)種子共同生成新的冗余值n′

計(jì)算得到n′后，開始對(duì)當(dāng)前主ECU的vIDs進(jìn)行更新，將生成的vID組裝成為新的vIDs，再利用函數(shù)Rand(·)生成更新后新主ECU的編號(hào)。vID, vIDs與ME的更新過程可表示為

其中，I是更新前主ECU的序號(hào)，表示更新前第I個(gè)ECU為主ECU，I′表示新生成的主ECU的序號(hào)，vIDup I[i]表示主ECU為I時(shí)進(jìn)行更新的第i個(gè)vID,vIDsup I表示vID更新后生成的vIDs。更新開始時(shí)，利用隨機(jī)種子和各自上下限值通過R_V(生成新的vID，再組合為新的vIDs，并更新MR對(duì)應(yīng)數(shù)據(jù)。最后將所有ECU的me設(shè)置為0，使用隨機(jī)種子和前主ECU計(jì)算得出新主ECU序號(hào)I′，設(shè)置新主ECU的me為1，完成對(duì)主ECU的更新。

至此，更新階段完成并重新收發(fā)報(bào)文，新主ECU負(fù)責(zé)激活下一輪次更新，繼續(xù)報(bào)文正常通信。

3.3 機(jī)制分析

本小節(jié)對(duì)ESM-VN機(jī)制進(jìn)行實(shí)例分析，具體報(bào)文收發(fā)過程如圖4所示。在圖4中，令ECU1發(fā)送報(bào)文，ECU2接收?qǐng)?bào)文，共有n個(gè)ECU連接CAN總線，建立報(bào)文收發(fā)模型。

圖4 DHR結(jié)構(gòu)的報(bào)文收發(fā)實(shí)例

報(bào)文發(fā)送時(shí)，ECU1先從MR獲取vIDs，解析獲得ECU1的冗余度4及多個(gè)報(bào)文vID分別為0x033,0x011, 0x006和0x008，將所有的vID和報(bào)文數(shù)據(jù)域組裝成完整報(bào)文，向CAN總線發(fā)送所有報(bào)文。主ECU控制更新進(jìn)程，當(dāng)報(bào)文計(jì)數(shù)器歸零時(shí)，對(duì)全體ECU的vID進(jìn)行更新，更新前根據(jù)當(dāng)前vID及上下限生成新的隨機(jī)種子后，用隨機(jī)種子更新vID。報(bào)文接收時(shí)，ECU2接收符合報(bào)文ID段的報(bào)文，接收完當(dāng)前批次所有報(bào)文后進(jìn)入裁決模塊使用多數(shù)裁決機(jī)制進(jìn)行判斷輸出結(jié)果。

該機(jī)制的動(dòng)態(tài)異構(gòu)冗余特性主要體現(xiàn)在：通過生成虛擬ID有效解決了文獻(xiàn)[15]中出現(xiàn)的“一次發(fā)送報(bào)文數(shù)量單一且無法驗(yàn)證報(bào)文真假”的問題；通過生成冗余值來控制產(chǎn)生動(dòng)態(tài)冗余報(bào)文的數(shù)量(相同內(nèi)容不同ID的報(bào)文數(shù)量)；利用多數(shù)裁決保證車輛執(zhí)行命令的正確性，實(shí)現(xiàn)了攻擊感知和主動(dòng)防御的協(xié)調(diào)統(tǒng)一。

4 實(shí)驗(yàn)仿真與結(jié)果分析

本節(jié)從時(shí)間開銷、空間開銷和安全性角度對(duì)ESM-VN機(jī)制的性能進(jìn)行實(shí)驗(yàn)仿真和對(duì)比評(píng)估，并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行總結(jié)分析。

4.1 仿真環(huán)境設(shè)定

本文使用C++語(yǔ)言實(shí)現(xiàn)了具有ECU收發(fā)報(bào)文功能的CAN總線模擬器來驗(yàn)證ESM-VN機(jī)制的有效性。該模擬器運(yùn)行在Windows 10系統(tǒng)下，使用i5-6300HQ處理器，具有基本的報(bào)文傳輸及模擬操作ECU功能，實(shí)現(xiàn)了通過報(bào)文標(biāo)識(shí)符來判斷執(zhí)行報(bào)文的優(yōu)先級(jí)，能夠仿真CAN總線上的基本操作如收發(fā)報(bào)文、更新報(bào)文ID、計(jì)算報(bào)文時(shí)延等。仿真實(shí)驗(yàn)設(shè)計(jì)報(bào)文自動(dòng)發(fā)送，通過控制臺(tái)看到ECU的詳細(xì)信息。整個(gè)仿真實(shí)驗(yàn)?zāi)M完整ESM-VN機(jī)制，實(shí)現(xiàn)在報(bào)文收發(fā)階段和更新階段之間循環(huán)。在相關(guān)實(shí)驗(yàn)過程中，設(shè)置初始冗余值n為3，并另取5和10共3個(gè)值來進(jìn)行對(duì)照實(shí)驗(yàn)。

4.2 評(píng)價(jià)指標(biāo)

參考已有的車載網(wǎng)絡(luò)安全防御評(píng)價(jià)方法，本次實(shí)驗(yàn)以ECU平均注冊(cè)時(shí)延、報(bào)文處理時(shí)延、單節(jié)點(diǎn)空間開銷和全節(jié)點(diǎn)空間開銷、總線服務(wù)可用率等性能指標(biāo)對(duì)該文所提機(jī)制的性能進(jìn)行評(píng)估。

(1) 單節(jié)點(diǎn)空間開銷。指單個(gè)ECU存儲(chǔ)不同機(jī)制相關(guān)數(shù)據(jù)使用的空間。該指標(biāo)評(píng)估了不同機(jī)制在單個(gè)ECU中空間占用情況。

(2) 全節(jié)點(diǎn)空間開銷。指全體ECU存儲(chǔ)不同機(jī)制相關(guān)數(shù)據(jù)使用的全部空間。該指標(biāo)評(píng)估了不同機(jī)制在全體ECU中空間占用情況。

(3) ECU平均注冊(cè)時(shí)延。指汽車在啟動(dòng)時(shí)ECU向主ECU發(fā)送注冊(cè)數(shù)據(jù)的平均時(shí)間開銷。其意義在于評(píng)估了不同機(jī)制下所有ECU初始化所需要的平均時(shí)間。

(4) 報(bào)文時(shí)延。指報(bào)文在CAN總線傳輸時(shí)延與ECU處理報(bào)文時(shí)延之和。該指標(biāo)評(píng)估了不同機(jī)制下的ECU處理相同數(shù)量的報(bào)文時(shí)消耗的時(shí)間。

(5) 總線服務(wù)可用率。指在單位時(shí)間內(nèi)目標(biāo)ECU接收到的正確數(shù)據(jù)包數(shù)與CAN總線上所有數(shù)據(jù)包數(shù)的比值，其用來衡量當(dāng)前CAN總線的有效服務(wù)可用率。具體計(jì)算可用式(30)表示，其中，F(xiàn)b表示總線服務(wù)可用率，NUM(mgR)表示正常數(shù)據(jù)包數(shù)。

4.2.1 空間開銷

ESM-VN機(jī)制的空間開銷主要來源于包括隨機(jī)化種子、MR以及全體ECU的vID在內(nèi)的數(shù)據(jù)。由于在該機(jī)制下的每個(gè)ECU所新增的數(shù)據(jù)結(jié)構(gòu)相同，因此所需存儲(chǔ)空間的大小隨ECU的數(shù)量線性增長(zhǎng)。目前主流車輛的調(diào)查表明，平均每輛車包含20 個(gè)左右的ECU，對(duì)于高端車型將達(dá)到100 個(gè)左右[1]。通過仿真實(shí)驗(yàn)，計(jì)算單個(gè)ECU所需空間大小，來計(jì)算ESM-VN機(jī)制在執(zhí)行的過程中需要占用ECU的存儲(chǔ)空間。本文與文獻(xiàn)[15]在單節(jié)點(diǎn)和全節(jié)點(diǎn)的空間占用量上進(jìn)行對(duì)比，如表1、表2所示?？紤]一輛車有20 個(gè)ECU，每個(gè)ECU大概包含1.5 kB的附加信息，在裝在有100 個(gè)ECU的汽車中，每個(gè)ECU約要占用5.4 kB的空間。在單個(gè)ECU中，隨著車內(nèi)ECU數(shù)量的增加所需額外空間線性變化如圖5所示。與文獻(xiàn)[15]進(jìn)行對(duì)比，本文機(jī)制所占用的空間略高，其主要原因在于MR中加入的vIDs以字符串形式動(dòng)態(tài)存儲(chǔ)對(duì)應(yīng)ECU的多個(gè)報(bào)文vID。

表1 單節(jié)點(diǎn)占用空間對(duì)比(Byte)

表2 全節(jié)點(diǎn)空間對(duì)比(Byte)

仿真實(shí)驗(yàn)表示，一輛使用20 個(gè)ECU的汽車需要的額外空間為31.09 KB，隨著ECU數(shù)量的提升當(dāng)ECU數(shù)量增加到100 個(gè)時(shí)，額外空間占用為 543 KB，全體ECU占用額外空間線性變化如圖6所示。

分析圖5和圖6發(fā)現(xiàn)，本機(jī)制在占用空間上相比略高于文獻(xiàn)[15]，但對(duì)目前常見的ECU進(jìn)行調(diào)查并計(jì)算分析額外代碼量對(duì)ECU的影響，以型號(hào)SAKXC2267-96F80L82為例，其閃存空間為768 kB，用于存放代碼和數(shù)據(jù)的線性存儲(chǔ)空間為16 MB可知，本文所提出的方案需要占用的空間占比最小為0.1 %最大也僅為3.3 %，其剩余空間超過96 %，由此可見ESM-VN雖相比于文獻(xiàn)[15]空間開銷略大，但并未對(duì)CAN總線及ECU的正常工作造成影響，同時(shí)本文以此額外空間占用作為代價(jià)，雖提高了空間占用，但通過動(dòng)態(tài)更新機(jī)制提高了攻擊者對(duì)CAN總線的嗅探和攻擊難度，使得其對(duì)重放攻擊的防御能力相較于文獻(xiàn)[16]更強(qiáng)。

圖5 單節(jié)點(diǎn)空間占用對(duì)比

圖6 全節(jié)點(diǎn)空間占用對(duì)比

4.2.2 時(shí)間開銷

ESM-VN機(jī)制在一般情況下，發(fā)送n次報(bào)文后進(jìn)入更新階段更新vIDs；但在某一種極端情況下，有可能會(huì)出現(xiàn)發(fā)送一條報(bào)文就進(jìn)入更新階段的情況。所以，實(shí)際精確的時(shí)間開銷會(huì)更復(fù)雜多變。從機(jī)制的運(yùn)行流程分析，初始化階段只會(huì)在通電時(shí)發(fā)生，此時(shí)ECU注冊(cè)、初始化MR等需要數(shù)據(jù)運(yùn)算，從而時(shí)間開銷較大；在報(bào)文收發(fā)階段計(jì)算需求較低，時(shí)間開銷也相對(duì)較??；在更新階段，MR數(shù)據(jù)需要?jiǎng)討B(tài)變化更新，仍需要數(shù)據(jù)運(yùn)算，因此時(shí)間開銷會(huì)有增加。

隨著冗余值n和處理報(bào)文數(shù)量的增大，時(shí)間開銷進(jìn)行線性增長(zhǎng)，具體時(shí)間變化趨勢(shì)如圖7所示。當(dāng)報(bào)文數(shù)量為200 條，冗余值為10時(shí)，報(bào)文時(shí)延也僅有2500 ms左右，反觀文獻(xiàn)[7,8,12]中的時(shí)間開銷，其最小值也已經(jīng)達(dá)到了5900 ms。同時(shí)本小節(jié)還針對(duì)ECU注冊(cè)時(shí)的時(shí)間開銷及全節(jié)點(diǎn)時(shí)間開銷，將文獻(xiàn)[7,8,12]與ESM-VN機(jī)制對(duì)比，如表3所示。整個(gè)機(jī)制的主要時(shí)間開銷來源于兩個(gè)方面，一是在車輛開始啟動(dòng)時(shí)，所有ECU均需要進(jìn)行注冊(cè)，因此時(shí)間開銷較長(zhǎng)；二是ESM-VN機(jī)制在進(jìn)入更新階段時(shí)，全體ECU執(zhí)行更新命令計(jì)算量較大，時(shí)間開銷較大。分析文獻(xiàn)[7,8,12]發(fā)現(xiàn)其時(shí)間主要花費(fèi)在數(shù)據(jù)的加解密或公私鑰計(jì)算上，而ESM-VN機(jī)制采用多數(shù)裁決不需要進(jìn)行復(fù)雜運(yùn)算，能夠有效節(jié)省時(shí)間開銷。相比較而言，本文提出的機(jī)制至少降低了50%的時(shí)間開銷，保證了報(bào)文傳輸?shù)膶?shí)時(shí)性。

圖7 不同參數(shù)下報(bào)文處理時(shí)延

表3 時(shí)間開銷對(duì)比(ms)

4.2.3 安全性分析

設(shè)置仿真實(shí)驗(yàn)中連接到CAN總線的ECU的數(shù)量為50 個(gè)，報(bào)文總數(shù)為200 條，初始冗余值n為3。在實(shí)驗(yàn)過程中，總線上的重放攻擊主要分為兩類，一類是利用單個(gè)報(bào)文進(jìn)行重放攻擊來測(cè)試該報(bào)文的攻擊效果，另一類利用一組報(bào)文進(jìn)行重放攻擊來測(cè)試組合報(bào)文實(shí)現(xiàn)的攻擊效果。為此分別進(jìn)行實(shí)驗(yàn)發(fā)現(xiàn)，當(dāng)進(jìn)行單個(gè)報(bào)文重放攻擊時(shí)，由于攻擊者利用單條報(bào)文展開攻擊測(cè)試，而ESM-VN每次隨機(jī)至少生成3 個(gè)vID來傳輸報(bào)文，同時(shí)利用主ECU進(jìn)行控制報(bào)文vID不斷更新，保證在CAN總線傳輸時(shí)的報(bào)文ID動(dòng)態(tài)變換，難以獲取有效的報(bào)文和ECU的映射。并且，多條報(bào)文在經(jīng)過裁決器時(shí)，由于多數(shù)裁決機(jī)制使得單條攻擊報(bào)文不足以對(duì)整個(gè)結(jié)果造成影響，因此本機(jī)制在單條報(bào)文重放攻擊的條件下具有較好的防御能力；當(dāng)進(jìn)行一組報(bào)文重放攻擊時(shí)，攻擊者利用不同ECU的多條報(bào)文組合來實(shí)現(xiàn)攻擊目標(biāo)，但對(duì)于多個(gè)ECU而言，每個(gè)ECU依舊收到的是單條報(bào)文指令，因此等價(jià)于單條報(bào)文重放攻擊，所以依舊具有較強(qiáng)的防御能力。

表4總結(jié)了關(guān)于ESM-VN的安全屬性并將其與文獻(xiàn)[12,15,16]進(jìn)行對(duì)比，相比較而言本方案通過隨機(jī)生成vID和組合成vIDs存儲(chǔ)的方式獲得了保密性，同時(shí)利用動(dòng)態(tài)更新vID實(shí)現(xiàn)了對(duì)重放攻擊和偵察攻擊的防御。同時(shí)本文還對(duì)文獻(xiàn)[16]、無防御措施以及ESM-VN進(jìn)行模擬重放攻擊實(shí)驗(yàn)，實(shí)驗(yàn)假設(shè)攻擊者能夠監(jiān)聽CAN總線，竊取CAN總線上的全部數(shù)據(jù)包來獲取ECU的數(shù)據(jù)信息，模擬重放攻擊時(shí)，修改監(jiān)聽獲取到的數(shù)據(jù)包，再放到總線上傳輸，最后計(jì)算總線服務(wù)可用率進(jìn)行量化分析對(duì)比，如圖8所示。

圖8 總線服務(wù)可用率

表4 安全性分析對(duì)比

模擬實(shí)驗(yàn)在第4 s時(shí)發(fā)動(dòng)重放攻擊，總線服務(wù)可用率開始下降，根據(jù)實(shí)驗(yàn)數(shù)據(jù)分析發(fā)現(xiàn)，對(duì)于沒有防御措施的CAN總線而言，在發(fā)動(dòng)攻擊后，總線服務(wù)可用率持續(xù)下降到50%左右時(shí)趨于平穩(wěn)，這是由于在計(jì)算總線服務(wù)可用率時(shí)，統(tǒng)計(jì)整個(gè)CAN總線上全部ECU的報(bào)文，而這其中仍存在有未被攻擊的報(bào)文所導(dǎo)致。而文獻(xiàn)[16]通過SDN控制器定時(shí)更新ECU虛擬地址并檢測(cè)惡意攻擊者，在更新間隙中報(bào)文ID不發(fā)生變化，在此期間被攻擊時(shí)導(dǎo)致總線服務(wù)可用率下降，但更新間隔過后更新完成，恢復(fù)了對(duì)重放攻擊的防御能力，所以總線服務(wù)可用率重新達(dá)到100%。本文提出的機(jī)制在應(yīng)對(duì)重放攻擊時(shí)，多個(gè)vID以及裁決模塊協(xié)同作用，使得攻擊者無法有效地進(jìn)行攻擊，即使發(fā)送篡改后的報(bào)文也無法對(duì)實(shí)際命令結(jié)果造成影響，實(shí)驗(yàn)證明ESM-VN在重放攻擊時(shí)能夠保持較高的總線服務(wù)可用率。

通過安全性分析結(jié)果表明，本文提出的內(nèi)生安全機(jī)制能夠有效抵御重放攻擊，并且在重放攻擊時(shí)，CAN總線仍能夠保持較高的安全性和可用性。

5 結(jié)束語(yǔ)

本文提出了一種針對(duì)CAN總線重放攻擊的基于動(dòng)態(tài)異構(gòu)冗余思想的車載網(wǎng)絡(luò)內(nèi)生安全機(jī)制，該機(jī)制通過生成冗余虛擬報(bào)文ID、主ECU動(dòng)態(tài)變換更新和報(bào)文內(nèi)容擬態(tài)裁決實(shí)現(xiàn)了攻擊感知與主動(dòng)防御的協(xié)調(diào)統(tǒng)一，在不加密無認(rèn)證的環(huán)境下有效地提高車載網(wǎng)絡(luò)在重放攻擊時(shí)的防御能力，保護(hù)數(shù)據(jù)和指令的安全。實(shí)驗(yàn)結(jié)果表明，與現(xiàn)有車載網(wǎng)絡(luò)主動(dòng)防御機(jī)制相比，該機(jī)制在報(bào)文時(shí)延開銷更低，以部分空間作為代價(jià)來獲得更好的防御效果。后續(xù)將根據(jù)CAN總線遭受攻擊的頻率、方式和部位以自適應(yīng)方式生成冗余值，優(yōu)化機(jī)制效率及空間利用。