• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)的車載網(wǎng)絡(luò)內(nèi)生安全機(jī)制

    2023-02-18 08:36:46翟浡琨李玉峰鄭秋生
    電子與信息學(xué)報(bào) 2023年1期
    關(guān)鍵詞:攻擊者異構(gòu)報(bào)文

    王 鵬 翟浡琨 李玉峰 鄭秋生

    ①(中原工學(xué)院前沿信息技術(shù)研究院 鄭州 450000)

    ②(網(wǎng)絡(luò)通信與安全紫金山實(shí)驗(yàn)室 南京 210008)

    ③(上海大學(xué)計(jì)算機(jī)工程與科學(xué)學(xué)院 上海 200444)

    ④(河南省網(wǎng)絡(luò)輿情監(jiān)測(cè)與智能分析重點(diǎn)實(shí)驗(yàn)室 鄭州 450000)

    1 引言

    隨著智能網(wǎng)聯(lián)汽車的高速發(fā)展,未來車載網(wǎng)絡(luò)安全受到了前所未有的挑戰(zhàn)??刂破骶钟蚓W(wǎng)(Controller Area Network, CAN)是目前汽車中最常見的總線結(jié)構(gòu),其優(yōu)點(diǎn)在于實(shí)時(shí)性強(qiáng)、抗電磁干擾能力強(qiáng)、傳輸距離遠(yuǎn)、成本低等[1]。但現(xiàn)有研究表明,CAN總線在最初開發(fā)和設(shè)計(jì)時(shí)沒有考慮到報(bào)文在傳輸過程中的安全問題,使得各電子控制單元(Electronic Control Unit, ECU)明文廣播通信,帶來了一系列安全隱患[2]。據(jù)Upstream Security發(fā)布的2021年《全球自動(dòng)駕駛網(wǎng)絡(luò)安全報(bào)告》顯示[3],預(yù)計(jì)2023年初,智能網(wǎng)聯(lián)汽車的數(shù)量約占到全世界汽車總數(shù)的1/4,到2025年末,這個(gè)數(shù)量將提高到86%。智能網(wǎng)聯(lián)汽車數(shù)量的提升使得車載網(wǎng)絡(luò)被攻擊后所產(chǎn)生的破壞力也急劇提升,這種潛在風(fēng)險(xiǎn)可能會(huì)傷害生命、摧毀城市,甚至導(dǎo)致災(zāi)難發(fā)生。因此,如何提高車載網(wǎng)絡(luò)的安全性顯得尤為重要。

    針對(duì)車載網(wǎng)絡(luò)不同類型的攻擊手段,國(guó)內(nèi)外研究人員提出了一系列的防御技術(shù)和方法。在車聯(lián)網(wǎng)攻擊分析與檢測(cè)防御方面,文獻(xiàn)[4]總結(jié)了當(dāng)前車聯(lián)網(wǎng)中遇到的各類攻擊方式,對(duì)車輛可用性的攻擊如干擾攻擊、洪泛攻擊、拒絕服務(wù)攻擊等;對(duì)數(shù)據(jù)完整性的攻擊如偽裝攻擊、重放攻擊、數(shù)據(jù)篡改攻擊等。Gmiden等人[5]總結(jié)了智能網(wǎng)聯(lián)汽車潛在的網(wǎng)絡(luò)攻擊以及安全影響, 指出了汽車面臨的外部網(wǎng)絡(luò)攻擊行為,評(píng)估了當(dāng)前用于保護(hù)車輛數(shù)據(jù)的各項(xiàng)安全防御策略;Cui等人[6]針對(duì)車載網(wǎng)絡(luò)面臨的安全問題,分析了車載網(wǎng)絡(luò)相關(guān)的故障、攻擊和應(yīng)對(duì)策略,提出了一種安全和保密協(xié)同分析框架,通過建模分析證明了該框架對(duì)提高車載網(wǎng)絡(luò)的安全性是有效的;Oh等人[7]針對(duì)CAN總線拒絕服務(wù)攻擊問題,提出了一種車載網(wǎng)絡(luò)通信加密算法(Format-Preserving Encryption, FPE),該算法能在不修改報(bào)文結(jié)構(gòu)的情況下有效提高CAN總線對(duì)拒絕服務(wù)攻擊的防御能力;Kang等人[8]針對(duì)CAN總線安全性問題,提出了一種基于深度神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),使用無監(jiān)督的深度信任網(wǎng)絡(luò)調(diào)整預(yù)訓(xùn)練參數(shù)進(jìn)而提高訓(xùn)練精度;文獻(xiàn)[9-11]針對(duì)CAN總線通信的安全問題,提出了基于機(jī)器學(xué)習(xí)或者基于報(bào)文字段的安全防御措施,能正確有效地檢測(cè)出大多數(shù)入侵行為。Patsakis等人[12]提出了一種新的車載通信架構(gòu),該架構(gòu)重新調(diào)整了車內(nèi)鎖存器的作用,并在每個(gè)ECU中實(shí)現(xiàn)了多方安全計(jì)算方案,從而避免車輛因接入惡意設(shè)備造成阻塞進(jìn)而損害安全的情況發(fā)生。Wolf等人[13]提出了一種車輛硬件安全模塊(Hardware Security Module, HSM),其能夠?qū)噧?nèi)ECU及其通信進(jìn)行整體保護(hù)。以上研究雖提高了車載CAN總線的安全性能,但還存在以下問題:一方面,部分研究調(diào)整CAN總線硬件設(shè)備或網(wǎng)絡(luò)結(jié)構(gòu),難以應(yīng)用于實(shí)際車輛中;另一方面,加密驗(yàn)證或機(jī)器學(xué)習(xí)會(huì)導(dǎo)致報(bào)文響應(yīng)時(shí)延較長(zhǎng),不利于車輛實(shí)時(shí)控制。因此,迫切需要一種創(chuàng)新的車載CAN總線安全機(jī)制為車內(nèi)報(bào)文通信提供安全性保障。

    網(wǎng)絡(luò)空間主動(dòng)防御是網(wǎng)絡(luò)安全領(lǐng)域的新興概念和技術(shù)方向。Woo等人[14]針對(duì)CAN總線嗅探攻擊問題,提出了一種基于移動(dòng)目標(biāo)防御機(jī)制(Moving Target Defense, MTD)的網(wǎng)絡(luò)地址變換策略,該策略通過動(dòng)態(tài)隨機(jī)生成報(bào)文ID,使嗅探攻擊和重放攻擊喪失攻擊能力;Brown等人[15]分析CAN總線嗅探攻擊和重放攻擊的特點(diǎn),提出了一種基于MTD的動(dòng)態(tài)地址認(rèn)證數(shù)組協(xié)議(Dynamic Address Validation Array, DAVA),該協(xié)議利用動(dòng)態(tài)認(rèn)證數(shù)組控制變換ID,進(jìn)而為CAN總線提供健壯的安全框架;Yoon等人[16]針對(duì)車載網(wǎng)絡(luò)結(jié)構(gòu)缺乏可擴(kuò)展性的安全問題,提出了一種基于洗牌策略的車載軟件定義網(wǎng)絡(luò)(Software Define Network, SDN)移動(dòng)目標(biāo)防御技術(shù),該技術(shù)能夠有效地抵御網(wǎng)絡(luò)中的偵察攻擊和重放攻擊。以上研究雖然都在一定程度上提高了CAN總線防御重放攻擊的能力,但都還存在動(dòng)態(tài)變換機(jī)制易被破解、安全性難以長(zhǎng)期保證等問題。因此,如何進(jìn)一步提高CAN總線防御重放攻擊的能力是本文研究重點(diǎn)。

    本文提出了一種基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)(Dynamic Heterogeneous Redundancy, DHR)的車載CAN總線內(nèi)生安全機(jī)制。該機(jī)制在CAN總線通信中引入動(dòng)態(tài)、異構(gòu)、冗余思想,構(gòu)建針對(duì)攻擊者的防御迷霧,提高攻擊者實(shí)施重放攻擊的難度,從而實(shí)現(xiàn)在車載CAN總線對(duì)重放攻擊的防御。

    本文主要貢獻(xiàn)如下:

    (1) 提出了一種基于DHR架構(gòu)的車載網(wǎng)絡(luò)內(nèi)生安全機(jī)制,通過生成虛擬報(bào)文ID保證其動(dòng)態(tài)冗余來提高攻擊者的攻擊難度,利用擬態(tài)裁決機(jī)制消除了攻擊報(bào)文對(duì)最終結(jié)果的影響。

    (2) 針對(duì)動(dòng)態(tài)異構(gòu)冗余架構(gòu)提出了一種報(bào)文ID動(dòng)態(tài)冗余更新策略,即當(dāng)前主ECU根據(jù)報(bào)文發(fā)送狀態(tài)動(dòng)態(tài)更新,提高了該防御機(jī)制在攻擊環(huán)境下的魯棒性。

    (3) 從空間開銷、時(shí)間開銷及安全性等方面,證明了該防御機(jī)制對(duì)車載網(wǎng)絡(luò)重放攻擊是可行和有效的。

    2 動(dòng)態(tài)異構(gòu)冗余架構(gòu)

    動(dòng)態(tài)異構(gòu)冗余架構(gòu)理論上要求系統(tǒng)具有視在結(jié)構(gòu)表征的不確定性[17]。其包括非周期的從功能等價(jià)的異構(gòu)池中隨機(jī)抽取若干個(gè)構(gòu)件組合為當(dāng)前的服務(wù)集合,或者重構(gòu)、重組、重建異構(gòu)池本身,或者借助虛擬化技術(shù)改變?nèi)哂鄨?zhí)行體內(nèi)在的配置方式或者視在運(yùn)行環(huán)境,或者對(duì)異構(gòu)池中的構(gòu)建作預(yù)防性或者修復(fù)性的清洗、初始化等操作,使得攻擊者在時(shí)間和空間維度上很難有效地再現(xiàn)成功攻擊的場(chǎng)景[18],動(dòng)態(tài)異構(gòu)冗余的整體架構(gòu)如圖1所示。

    圖1 動(dòng)態(tài)異構(gòu)冗余架構(gòu)圖

    該架構(gòu)由輸入、執(zhí)行體集合、異構(gòu)體集合、策略調(diào)度、負(fù)反饋控制器和多模表決器等組成。其中,策略調(diào)度和異構(gòu)體集合作為多維動(dòng)態(tài)重構(gòu)的支撐環(huán)節(jié)。使用標(biāo)準(zhǔn)化的軟硬件模塊可以組合出多種功能等價(jià)的異構(gòu)體集合E,使用策略調(diào)度算法動(dòng)態(tài)選取n 個(gè)構(gòu)件體作為執(zhí)行體集合A,系統(tǒng)將輸入轉(zhuǎn)發(fā)給當(dāng)前的執(zhí)行體集合中的各個(gè)執(zhí)行體,執(zhí)行體輸出提交給表決器進(jìn)行表決得到系統(tǒng)輸出[19]。

    動(dòng)態(tài)、異構(gòu)和冗余是DHR架構(gòu)的主要特點(diǎn)。通過對(duì)外表現(xiàn)出隨機(jī)、不確定性來呈現(xiàn)動(dòng)態(tài)性,這使得攻擊者難以實(shí)現(xiàn)有效的嗅探或?qū)崿F(xiàn)攻擊鏈;而異構(gòu)能夠有效降低執(zhí)行體之間的統(tǒng)一漏洞或系統(tǒng)后門帶來的威脅,降低來自漏洞和后門協(xié)同攻擊的可能性;冗余性增加了系統(tǒng)的容錯(cuò)能力,提高了系統(tǒng)的可靠性和魯棒性。3者之間相互作用平衡穩(wěn)定,為DHR提供高度容錯(cuò)能力,能夠?qū)Υ_定或不確定的威脅提供有效的防御能力,從而解決在不同環(huán)境下的魯棒性和安全性問題[20]。

    3 基于DHR架構(gòu)的車載網(wǎng)絡(luò)內(nèi)生安全機(jī)制

    3.1 核心思想

    本文針對(duì)車載網(wǎng)絡(luò)通信報(bào)文容易被捕獲重放的問題,基于動(dòng)態(tài)異構(gòu)冗余思想,采用擬態(tài)裁決和負(fù)反饋方法,提出了一種基于動(dòng)態(tài)異構(gòu)冗余架構(gòu)的車載網(wǎng)絡(luò)內(nèi)生安全機(jī)制(Endogenous Security Mechanism for Vehicular Networks, ESM-VN)。該機(jī)制的核心思想是為每個(gè)ECU動(dòng)態(tài)生成冗余的虛擬ID(virtual ID, vID)用于報(bào)文傳輸,且vID組成的報(bào)文與真實(shí)報(bào)文的數(shù)據(jù)結(jié)構(gòu)一致,將所有vID組合后生成vIDs存儲(chǔ)于動(dòng)態(tài)重組(Moving Recombination, MR)矩陣便于讀取和更新,其核心框架圖如圖2所示。在目標(biāo)ECU接收?qǐng)?bào)文后,讀取報(bào)文內(nèi)容并采用多數(shù)裁決的方式選擇多數(shù)相同內(nèi)容的報(bào)文作為最后裁決結(jié)果。由于多條報(bào)文共同作用產(chǎn)生的結(jié)果大概率真實(shí)可信,因此執(zhí)行該結(jié)果能夠有效降低重放攻擊對(duì)系統(tǒng)造成的影響。該機(jī)制通過實(shí)現(xiàn)報(bào)文的動(dòng)態(tài)冗余,構(gòu)建對(duì)攻擊者的防御迷霧,提高攻擊者實(shí)施攻擊的難度,從而增強(qiáng)車載網(wǎng)絡(luò)對(duì)于抵御重放攻擊的能力。

    圖2 核心框架圖

    3.2 總體機(jī)制設(shè)計(jì)

    ESM-VN總體機(jī)制共分為3個(gè)階段,分別是初始化階段、報(bào)文收發(fā)階段和更新階段。具體機(jī)制運(yùn)行過程如圖3所示。

    圖3 機(jī)制框圖

    在初始化階段負(fù)責(zé)注冊(cè)ECU、MR初始化等工作;在報(bào)文收發(fā)階段負(fù)責(zé)正常報(bào)文通信及報(bào)文裁決工作,同時(shí)設(shè)置報(bào)文計(jì)數(shù)器控制更新進(jìn)程;在更新階段動(dòng)態(tài)更新機(jī)制中各項(xiàng)數(shù)據(jù),如隨機(jī)種子、主ECU, vID, MR等。

    3.2.1 初始化階段

    初始化階段分為兩步。第1步:注冊(cè)ECU并加載硬件數(shù)據(jù)創(chuàng)建MR,為每個(gè)ECU分配報(bào)文ID上下限用于生成vID;第2步:以全體ECU報(bào)文段上限和下限及其源ID共同運(yùn)算作為隨機(jī)種子初始化全體ECU的vIDs并從所有ECU中隨機(jī)選取主ECU。

    假設(shè)CAN總線共有P個(gè)ECU節(jié)點(diǎn),創(chuàng)建并初始化MR,包含ECU報(bào)文ID段的上限和下限、ECU源ID、vIDs及ME,數(shù)據(jù)初始化過程可以描述為式(1)-式(6)

    其中,M表示動(dòng)態(tài)重組矩陣MR,U為ECU對(duì)應(yīng)報(bào)文段的ID上限值空間,uP表示為第P個(gè)ECU對(duì)應(yīng)報(bào)文段中的ID值上限,D為ECU對(duì)應(yīng)報(bào)文段的ID下限值空間,O表示ECU源ID值空間,V表示ECU的 vIDs值空間,ME表示主ECU判定空間,當(dāng)ME中第i個(gè)值為1時(shí),表示第i個(gè)ECU被設(shè)置為主ECU,即mei=1,則有

    ECUi與mi建立映射關(guān)系,其中mi表示第i個(gè)ECU映射到MR中的值,E為全體ECU實(shí)體空間,e代表某個(gè)ECU實(shí)體子空間,則有

    再初始化隨機(jī)種子,該隨機(jī)種子在初始化階段由全體ECU報(bào)文段的上下限、源ID共同運(yùn)算得出,隨機(jī)種子初始化過程表示為

    其中,SdF表示初始階段的種子。每個(gè)ECU使用隨機(jī)種子生成冗余度n,再隨機(jī)產(chǎn)生n個(gè)vID,任意vID值在對(duì)應(yīng)ECU報(bào)文段ID上下限范圍內(nèi)可表示為

    其中,R_V(·)為動(dòng)態(tài)隨機(jī)生成函數(shù),vIDa[i]表示第a個(gè)ECU的第i個(gè)vID,將生成的全部vID通過整合函數(shù)assamble(·)整合得到vIDs

    最后,將vIDs填入MR矩陣中。使用種子生成冗余值a,主ECU創(chuàng)建報(bào)文計(jì)數(shù)器控制觸發(fā)更新。至此,初始化階段完成。

    3.2.2 報(bào)文收發(fā)階段

    在報(bào)文發(fā)送時(shí),讀取MR中的vIDs,解析獲得多個(gè)的vID,將其分別組裝進(jìn)入報(bào)文中進(jìn)行發(fā)送。目標(biāo)ECU接收到全部報(bào)文后,將報(bào)文傳入裁決模塊,使用多數(shù)裁決的方式輸出數(shù)量最多的報(bào)文作為裁決結(jié)果并執(zhí)行。

    設(shè)在某一時(shí)刻接收到m條符合目標(biāo)ECU報(bào)文ID段的報(bào)文,將其傳入裁決模塊,讀取報(bào)文內(nèi)容并統(tǒng)計(jì)相同數(shù)據(jù)域報(bào)文的數(shù)目。理論上每次接收時(shí)僅會(huì)接收到一種報(bào)文,但當(dāng)遭受重放攻擊時(shí),ECU會(huì)接收到被篡改后的錯(cuò)誤報(bào)文,因此,接收的全部報(bào)文可表示為

    其中,MG表示全部接收到的報(bào)文集合,mgA表示識(shí)別出內(nèi)容為A的報(bào)文,mgB表示識(shí)別出內(nèi)容為B的報(bào)文,多數(shù)裁決機(jī)制表示為

    其中,Res表示統(tǒng)計(jì)得到數(shù)量最多的報(bào)文,NUM(mgA)表示內(nèi)容為A的報(bào)文數(shù)量。將Res作為裁決機(jī)制的結(jié)果輸出并執(zhí)行指令。

    分析該階段,當(dāng)CAN總線遭受重放攻擊時(shí),少量報(bào)文會(huì)被攔截和篡改,但由于裁決模塊中的多數(shù)報(bào)文占主導(dǎo)的特性使得少量的錯(cuò)誤報(bào)文無法影響裁決結(jié)果,因此可以有效降低重放攻擊對(duì)CAN總線的影響。

    3.2.3 更新階段

    在更新階段,采用主ECU更新模式對(duì)系統(tǒng)進(jìn)行更新,但常用的更新模式缺點(diǎn)在于如果主ECU出現(xiàn)故障,將無法正常更新報(bào)文ID,從而影響CAN總線的正常工作。因此,本文改進(jìn)了主ECU更新模式,通過動(dòng)態(tài)變換主ECU的方法解決了因單點(diǎn)損壞影響車載網(wǎng)絡(luò)安全性問題,更新方案如下。

    首先,在主ECU的報(bào)文計(jì)數(shù)器歸零后,機(jī)制進(jìn)入更新階段并由主ECU向CAN總線上發(fā)送更新報(bào)文通知全體ECU當(dāng)前需開始更新。全體ECU收到更新報(bào)文后先對(duì)隨機(jī)種子進(jìn)行更新,再使用隨機(jī)種子更新各自vID, MR和主ECU。最后,重置報(bào)文計(jì)數(shù)器即可完成更新操作。該模式能夠在不通過CAN總線傳輸具體數(shù)據(jù)的條件下完成全局同步更新,避免因數(shù)據(jù)泄露對(duì)系統(tǒng)安全造成威脅。

    在進(jìn)入更新階段前,首先判斷是否需要更新。定義SC為剩余報(bào)文發(fā)送次數(shù),K為更新閾值。當(dāng)K=1時(shí),進(jìn)入更新階段,否則重新進(jìn)入報(bào)文收發(fā)階段可表示為

    確定系統(tǒng)需要更新后,第1步對(duì)種子進(jìn)行更新。隨機(jī)種子的更新過程由主ECU的下標(biāo),全體ECU的報(bào)文ID上下限、源ID以及vIDs參與計(jì)算得出。該過程可寫為

    其中,Sdup表示在更新后的隨機(jī)種子。在更新n時(shí),首先計(jì)算主ECU的所有vID的和μ作為更新平衡參數(shù),通過up_Ran(·)將vIDs和更新后的隨機(jī)種子共同生成新的冗余值n′

    計(jì)算得到n′后,開始對(duì)當(dāng)前主ECU的vIDs進(jìn)行更新,將生成的vID組裝成為新的vIDs,再利用函數(shù)Rand(·)生成更新后新主ECU的編號(hào)。vID, vIDs與ME的更新過程可表示為

    其中,I是更新前主ECU的序號(hào),表示更新前第I個(gè)ECU為主ECU,I′表示新生成的主ECU的序號(hào),vIDup I[i]表示主ECU為I時(shí)進(jìn)行更新的第i個(gè)vID,vIDsup I表示vID更新后生成的vIDs。更新開始時(shí),利用隨機(jī)種子和各自上下限值通過R_V(生成新的vID,再組合為新的vIDs,并更新MR對(duì)應(yīng)數(shù)據(jù)。最后將所有ECU的me設(shè)置為0,使用隨機(jī)種子和前主ECU計(jì)算得出新主ECU序號(hào)I′,設(shè)置新主ECU的me為1,完成對(duì)主ECU的更新。

    至此,更新階段完成并重新收發(fā)報(bào)文,新主ECU負(fù)責(zé)激活下一輪次更新,繼續(xù)報(bào)文正常通信。

    3.3 機(jī)制分析

    本小節(jié)對(duì)ESM-VN機(jī)制進(jìn)行實(shí)例分析,具體報(bào)文收發(fā)過程如圖4所示。在圖4中,令ECU1發(fā)送報(bào)文,ECU2接收?qǐng)?bào)文,共有n個(gè)ECU連接CAN總線,建立報(bào)文收發(fā)模型。

    圖4 DHR結(jié)構(gòu)的報(bào)文收發(fā)實(shí)例

    報(bào)文發(fā)送時(shí),ECU1先從MR獲取vIDs,解析獲得ECU1的冗余度4及多個(gè)報(bào)文vID分別為0x033,0x011, 0x006和0x008,將所有的vID和報(bào)文數(shù)據(jù)域組裝成完整報(bào)文,向CAN總線發(fā)送所有報(bào)文。主ECU控制更新進(jìn)程,當(dāng)報(bào)文計(jì)數(shù)器歸零時(shí),對(duì)全體ECU的vID進(jìn)行更新,更新前根據(jù)當(dāng)前vID及上下限生成新的隨機(jī)種子后,用隨機(jī)種子更新vID。報(bào)文接收時(shí),ECU2接收符合報(bào)文ID段的報(bào)文,接收完當(dāng)前批次所有報(bào)文后進(jìn)入裁決模塊使用多數(shù)裁決機(jī)制進(jìn)行判斷輸出結(jié)果。

    該機(jī)制的動(dòng)態(tài)異構(gòu)冗余特性主要體現(xiàn)在:通過生成虛擬ID有效解決了文獻(xiàn)[15]中出現(xiàn)的“一次發(fā)送報(bào)文數(shù)量單一且無法驗(yàn)證報(bào)文真假”的問題;通過生成冗余值來控制產(chǎn)生動(dòng)態(tài)冗余報(bào)文的數(shù)量(相同內(nèi)容不同ID的報(bào)文數(shù)量);利用多數(shù)裁決保證車輛執(zhí)行命令的正確性,實(shí)現(xiàn)了攻擊感知和主動(dòng)防御的協(xié)調(diào)統(tǒng)一。

    4 實(shí)驗(yàn)仿真與結(jié)果分析

    本節(jié)從時(shí)間開銷、空間開銷和安全性角度對(duì)ESM-VN機(jī)制的性能進(jìn)行實(shí)驗(yàn)仿真和對(duì)比評(píng)估,并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行總結(jié)分析。

    4.1 仿真環(huán)境設(shè)定

    本文使用C++語(yǔ)言實(shí)現(xiàn)了具有ECU收發(fā)報(bào)文功能的CAN總線模擬器來驗(yàn)證ESM-VN機(jī)制的有效性。該模擬器運(yùn)行在Windows 10系統(tǒng)下,使用i5-6300HQ處理器,具有基本的報(bào)文傳輸及模擬操作ECU功能,實(shí)現(xiàn)了通過報(bào)文標(biāo)識(shí)符來判斷執(zhí)行報(bào)文的優(yōu)先級(jí),能夠仿真CAN總線上的基本操作如收發(fā)報(bào)文、更新報(bào)文ID、計(jì)算報(bào)文時(shí)延等。仿真實(shí)驗(yàn)設(shè)計(jì)報(bào)文自動(dòng)發(fā)送,通過控制臺(tái)看到ECU的詳細(xì)信息。整個(gè)仿真實(shí)驗(yàn)?zāi)M完整ESM-VN機(jī)制,實(shí)現(xiàn)在報(bào)文收發(fā)階段和更新階段之間循環(huán)。在相關(guān)實(shí)驗(yàn)過程中,設(shè)置初始冗余值n為3,并另取5和10共3個(gè)值來進(jìn)行對(duì)照實(shí)驗(yàn)。

    4.2 評(píng)價(jià)指標(biāo)

    參考已有的車載網(wǎng)絡(luò)安全防御評(píng)價(jià)方法,本次實(shí)驗(yàn)以ECU平均注冊(cè)時(shí)延、報(bào)文處理時(shí)延、單節(jié)點(diǎn)空間開銷和全節(jié)點(diǎn)空間開銷、總線服務(wù)可用率等性能指標(biāo)對(duì)該文所提機(jī)制的性能進(jìn)行評(píng)估。

    (1) 單節(jié)點(diǎn)空間開銷。指單個(gè)ECU存儲(chǔ)不同機(jī)制相關(guān)數(shù)據(jù)使用的空間。該指標(biāo)評(píng)估了不同機(jī)制在單個(gè)ECU中空間占用情況。

    (2) 全節(jié)點(diǎn)空間開銷。指全體ECU存儲(chǔ)不同機(jī)制相關(guān)數(shù)據(jù)使用的全部空間。該指標(biāo)評(píng)估了不同機(jī)制在全體ECU中空間占用情況。

    (3) ECU平均注冊(cè)時(shí)延。指汽車在啟動(dòng)時(shí)ECU向主ECU發(fā)送注冊(cè)數(shù)據(jù)的平均時(shí)間開銷。其意義在于評(píng)估了不同機(jī)制下所有ECU初始化所需要的平均時(shí)間。

    (4) 報(bào)文時(shí)延。指報(bào)文在CAN總線傳輸時(shí)延與ECU處理報(bào)文時(shí)延之和。該指標(biāo)評(píng)估了不同機(jī)制下的ECU處理相同數(shù)量的報(bào)文時(shí)消耗的時(shí)間。

    (5) 總線服務(wù)可用率。指在單位時(shí)間內(nèi)目標(biāo)ECU接收到的正確數(shù)據(jù)包數(shù)與CAN總線上所有數(shù)據(jù)包數(shù)的比值,其用來衡量當(dāng)前CAN總線的有效服務(wù)可用率。具體計(jì)算可用式(30)表示,其中,F(xiàn)b表示總線服務(wù)可用率,NUM(mgR)表示正常數(shù)據(jù)包數(shù)。

    4.2.1 空間開銷

    ESM-VN機(jī)制的空間開銷主要來源于包括隨機(jī)化種子、MR以及全體ECU的vID在內(nèi)的數(shù)據(jù)。由于在該機(jī)制下的每個(gè)ECU所新增的數(shù)據(jù)結(jié)構(gòu)相同,因此所需存儲(chǔ)空間的大小隨ECU的數(shù)量線性增長(zhǎng)。目前主流車輛的調(diào)查表明,平均每輛車包含20 個(gè)左右的ECU,對(duì)于高端車型將達(dá)到100 個(gè)左右[1]。通過仿真實(shí)驗(yàn),計(jì)算單個(gè)ECU所需空間大小,來計(jì)算ESM-VN機(jī)制在執(zhí)行的過程中需要占用ECU的存儲(chǔ)空間。本文與文獻(xiàn)[15]在單節(jié)點(diǎn)和全節(jié)點(diǎn)的空間占用量上進(jìn)行對(duì)比,如表1、表2所示??紤]一輛車有20 個(gè)ECU,每個(gè)ECU大概包含1.5 kB的附加信息,在裝在有100 個(gè)ECU的汽車中,每個(gè)ECU約要占用5.4 kB的空間。在單個(gè)ECU中,隨著車內(nèi)ECU數(shù)量的增加所需額外空間線性變化如圖5所示。與文獻(xiàn)[15]進(jìn)行對(duì)比,本文機(jī)制所占用的空間略高,其主要原因在于MR中加入的vIDs以字符串形式動(dòng)態(tài)存儲(chǔ)對(duì)應(yīng)ECU的多個(gè)報(bào)文vID。

    表1 單節(jié)點(diǎn)占用空間對(duì)比(Byte)

    表2 全節(jié)點(diǎn)空間對(duì)比(Byte)

    仿真實(shí)驗(yàn)表示,一輛使用20 個(gè)ECU的汽車需要的額外空間為31.09 KB,隨著ECU數(shù)量的提升當(dāng)ECU數(shù)量增加到100 個(gè)時(shí),額外空間占用為 543 KB,全體ECU占用額外空間線性變化如圖6所示。

    分析圖5和圖6發(fā)現(xiàn),本機(jī)制在占用空間上相比略高于文獻(xiàn)[15],但對(duì)目前常見的ECU進(jìn)行調(diào)查并計(jì)算分析額外代碼量對(duì)ECU的影響,以型號(hào)SAKXC2267-96F80L82為例,其閃存空間為768 kB,用于存放代碼和數(shù)據(jù)的線性存儲(chǔ)空間為16 MB可知,本文所提出的方案需要占用的空間占比最小為0.1 %最大也僅為3.3 %,其剩余空間超過96 %,由此可見ESM-VN雖相比于文獻(xiàn)[15]空間開銷略大,但并未對(duì)CAN總線及ECU的正常工作造成影響,同時(shí)本文以此額外空間占用作為代價(jià),雖提高了空間占用,但通過動(dòng)態(tài)更新機(jī)制提高了攻擊者對(duì)CAN總線的嗅探和攻擊難度,使得其對(duì)重放攻擊的防御能力相較于文獻(xiàn)[16]更強(qiáng)。

    圖5 單節(jié)點(diǎn)空間占用對(duì)比

    圖6 全節(jié)點(diǎn)空間占用對(duì)比

    4.2.2 時(shí)間開銷

    ESM-VN機(jī)制在一般情況下,發(fā)送n次報(bào)文后進(jìn)入更新階段更新vIDs;但在某一種極端情況下,有可能會(huì)出現(xiàn)發(fā)送一條報(bào)文就進(jìn)入更新階段的情況。所以,實(shí)際精確的時(shí)間開銷會(huì)更復(fù)雜多變。從機(jī)制的運(yùn)行流程分析,初始化階段只會(huì)在通電時(shí)發(fā)生,此時(shí)ECU注冊(cè)、初始化MR等需要數(shù)據(jù)運(yùn)算,從而時(shí)間開銷較大;在報(bào)文收發(fā)階段計(jì)算需求較低,時(shí)間開銷也相對(duì)較??;在更新階段,MR數(shù)據(jù)需要?jiǎng)討B(tài)變化更新,仍需要數(shù)據(jù)運(yùn)算,因此時(shí)間開銷會(huì)有增加。

    隨著冗余值n和處理報(bào)文數(shù)量的增大,時(shí)間開銷進(jìn)行線性增長(zhǎng),具體時(shí)間變化趨勢(shì)如圖7所示。當(dāng)報(bào)文數(shù)量為200 條,冗余值為10時(shí),報(bào)文時(shí)延也僅有2500 ms左右,反觀文獻(xiàn)[7,8,12]中的時(shí)間開銷,其最小值也已經(jīng)達(dá)到了5900 ms。同時(shí)本小節(jié)還針對(duì)ECU注冊(cè)時(shí)的時(shí)間開銷及全節(jié)點(diǎn)時(shí)間開銷,將文獻(xiàn)[7,8,12]與ESM-VN機(jī)制對(duì)比,如表3所示。整個(gè)機(jī)制的主要時(shí)間開銷來源于兩個(gè)方面,一是在車輛開始啟動(dòng)時(shí),所有ECU均需要進(jìn)行注冊(cè),因此時(shí)間開銷較長(zhǎng);二是ESM-VN機(jī)制在進(jìn)入更新階段時(shí),全體ECU執(zhí)行更新命令計(jì)算量較大,時(shí)間開銷較大。分析文獻(xiàn)[7,8,12]發(fā)現(xiàn)其時(shí)間主要花費(fèi)在數(shù)據(jù)的加解密或公私鑰計(jì)算上,而ESM-VN機(jī)制采用多數(shù)裁決不需要進(jìn)行復(fù)雜運(yùn)算,能夠有效節(jié)省時(shí)間開銷。相比較而言,本文提出的機(jī)制至少降低了50%的時(shí)間開銷,保證了報(bào)文傳輸?shù)膶?shí)時(shí)性。

    圖7 不同參數(shù)下報(bào)文處理時(shí)延

    表3 時(shí)間開銷對(duì)比(ms)

    4.2.3 安全性分析

    設(shè)置仿真實(shí)驗(yàn)中連接到CAN總線的ECU的數(shù)量為50 個(gè),報(bào)文總數(shù)為200 條,初始冗余值n為3。在實(shí)驗(yàn)過程中,總線上的重放攻擊主要分為兩類,一類是利用單個(gè)報(bào)文進(jìn)行重放攻擊來測(cè)試該報(bào)文的攻擊效果,另一類利用一組報(bào)文進(jìn)行重放攻擊來測(cè)試組合報(bào)文實(shí)現(xiàn)的攻擊效果。為此分別進(jìn)行實(shí)驗(yàn)發(fā)現(xiàn),當(dāng)進(jìn)行單個(gè)報(bào)文重放攻擊時(shí),由于攻擊者利用單條報(bào)文展開攻擊測(cè)試,而ESM-VN每次隨機(jī)至少生成3 個(gè)vID來傳輸報(bào)文,同時(shí)利用主ECU進(jìn)行控制報(bào)文vID不斷更新,保證在CAN總線傳輸時(shí)的報(bào)文ID動(dòng)態(tài)變換,難以獲取有效的報(bào)文和ECU的映射。并且,多條報(bào)文在經(jīng)過裁決器時(shí),由于多數(shù)裁決機(jī)制使得單條攻擊報(bào)文不足以對(duì)整個(gè)結(jié)果造成影響,因此本機(jī)制在單條報(bào)文重放攻擊的條件下具有較好的防御能力;當(dāng)進(jìn)行一組報(bào)文重放攻擊時(shí),攻擊者利用不同ECU的多條報(bào)文組合來實(shí)現(xiàn)攻擊目標(biāo),但對(duì)于多個(gè)ECU而言,每個(gè)ECU依舊收到的是單條報(bào)文指令,因此等價(jià)于單條報(bào)文重放攻擊,所以依舊具有較強(qiáng)的防御能力。

    表4總結(jié)了關(guān)于ESM-VN的安全屬性并將其與文獻(xiàn)[12,15,16]進(jìn)行對(duì)比,相比較而言本方案通過隨機(jī)生成vID和組合成vIDs存儲(chǔ)的方式獲得了保密性,同時(shí)利用動(dòng)態(tài)更新vID實(shí)現(xiàn)了對(duì)重放攻擊和偵察攻擊的防御。同時(shí)本文還對(duì)文獻(xiàn)[16]、無防御措施以及ESM-VN進(jìn)行模擬重放攻擊實(shí)驗(yàn),實(shí)驗(yàn)假設(shè)攻擊者能夠監(jiān)聽CAN總線,竊取CAN總線上的全部數(shù)據(jù)包來獲取ECU的數(shù)據(jù)信息,模擬重放攻擊時(shí),修改監(jiān)聽獲取到的數(shù)據(jù)包,再放到總線上傳輸,最后計(jì)算總線服務(wù)可用率進(jìn)行量化分析對(duì)比,如圖8所示。

    圖8 總線服務(wù)可用率

    表4 安全性分析對(duì)比

    模擬實(shí)驗(yàn)在第4 s時(shí)發(fā)動(dòng)重放攻擊,總線服務(wù)可用率開始下降,根據(jù)實(shí)驗(yàn)數(shù)據(jù)分析發(fā)現(xiàn),對(duì)于沒有防御措施的CAN總線而言,在發(fā)動(dòng)攻擊后,總線服務(wù)可用率持續(xù)下降到50%左右時(shí)趨于平穩(wěn),這是由于在計(jì)算總線服務(wù)可用率時(shí),統(tǒng)計(jì)整個(gè)CAN總線上全部ECU的報(bào)文,而這其中仍存在有未被攻擊的報(bào)文所導(dǎo)致。而文獻(xiàn)[16]通過SDN控制器定時(shí)更新ECU虛擬地址并檢測(cè)惡意攻擊者,在更新間隙中報(bào)文ID不發(fā)生變化,在此期間被攻擊時(shí)導(dǎo)致總線服務(wù)可用率下降,但更新間隔過后更新完成,恢復(fù)了對(duì)重放攻擊的防御能力,所以總線服務(wù)可用率重新達(dá)到100%。本文提出的機(jī)制在應(yīng)對(duì)重放攻擊時(shí),多個(gè)vID以及裁決模塊協(xié)同作用,使得攻擊者無法有效地進(jìn)行攻擊,即使發(fā)送篡改后的報(bào)文也無法對(duì)實(shí)際命令結(jié)果造成影響,實(shí)驗(yàn)證明ESM-VN在重放攻擊時(shí)能夠保持較高的總線服務(wù)可用率。

    通過安全性分析結(jié)果表明,本文提出的內(nèi)生安全機(jī)制能夠有效抵御重放攻擊,并且在重放攻擊時(shí),CAN總線仍能夠保持較高的安全性和可用性。

    5 結(jié)束語(yǔ)

    本文提出了一種針對(duì)CAN總線重放攻擊的基于動(dòng)態(tài)異構(gòu)冗余思想的車載網(wǎng)絡(luò)內(nèi)生安全機(jī)制,該機(jī)制通過生成冗余虛擬報(bào)文ID、主ECU動(dòng)態(tài)變換更新和報(bào)文內(nèi)容擬態(tài)裁決實(shí)現(xiàn)了攻擊感知與主動(dòng)防御的協(xié)調(diào)統(tǒng)一,在不加密無認(rèn)證的環(huán)境下有效地提高車載網(wǎng)絡(luò)在重放攻擊時(shí)的防御能力,保護(hù)數(shù)據(jù)和指令的安全。實(shí)驗(yàn)結(jié)果表明,與現(xiàn)有車載網(wǎng)絡(luò)主動(dòng)防御機(jī)制相比,該機(jī)制在報(bào)文時(shí)延開銷更低,以部分空間作為代價(jià)來獲得更好的防御效果。后續(xù)將根據(jù)CAN總線遭受攻擊的頻率、方式和部位以自適應(yīng)方式生成冗余值,優(yōu)化機(jī)制效率及空間利用。

    猜你喜歡
    攻擊者異構(gòu)報(bào)文
    基于J1939 協(xié)議多包報(bào)文的時(shí)序研究及應(yīng)用
    汽車電器(2022年9期)2022-11-07 02:16:24
    試論同課異構(gòu)之“同”與“異”
    基于微分博弈的追逃問題最優(yōu)策略設(shè)計(jì)
    CTCS-2級(jí)報(bào)文數(shù)據(jù)管理需求分析和實(shí)現(xiàn)
    淺析反駁類報(bào)文要點(diǎn)
    正面迎接批判
    愛你(2018年16期)2018-06-21 03:28:44
    overlay SDN實(shí)現(xiàn)異構(gòu)兼容的關(guān)鍵技術(shù)
    ATS與列車通信報(bào)文分析
    LTE異構(gòu)網(wǎng)技術(shù)與組網(wǎng)研究
    有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
    石屏县| 宜城市| 阿克陶县| 兴海县| 安康市| 甘泉县| 礼泉县| 沁阳市| 固安县| 无棣县| 土默特右旗| 福泉市| 南雄市| 宿迁市| 鄂伦春自治旗| 江陵县| 永和县| 威海市| 无棣县| 阳江市| 禄丰县| 东辽县| 邳州市| 汉源县| 呼伦贝尔市| 南乐县| 新和县| 吕梁市| 河北省| 调兵山市| 瓦房店市| 巴彦淖尔市| 白银市| 济阳县| 汉沽区| 深圳市| 调兵山市| 班玛县| 贵南县| 泽州县| 阳朔县|