張政

上汽通用汽車有限公司 上海市 201206

1 引言

隨著智能網(wǎng)聯(lián)汽車的逐步發(fā)展，智能網(wǎng)聯(lián)汽車已經(jīng)逐漸進入人們視野。從網(wǎng)聯(lián)汽車對外接口來看，攻擊接口可以分為三類：①物理訪問接口，如診斷口OBD-II、車內(nèi)USB接口、電動汽車的充電端口等；②短距離無線訪問接口，如藍(lán)牙、WiFi、無鑰匙進入系統(tǒng)、胎壓系統(tǒng)、車載雷達(dá)等；③長距離無線訪問接口，如無線電廣播、GPS、OnStar、移動3G/4G網(wǎng)絡(luò)等。攻擊者可以通過以上接口對車輛進行攻擊，嚴(yán)重威脅駕駛者的人身和財產(chǎn)安全，車輛網(wǎng)絡(luò)信息安全問題日益突出。

2 CAN總線網(wǎng)絡(luò)安全問題

CAN (Controller Area Network) 總線是目前各主機廠使用最廣泛的車載總線網(wǎng)絡(luò)技術(shù)，由于汽車網(wǎng)絡(luò)信息安全問題的凸顯，因此，解決車載CAN總線網(wǎng)絡(luò)的信息安全問題尤其至關(guān)重要。

2.1 CAN總線特點

車載CAN總線網(wǎng)絡(luò)技術(shù)上每一條 CAN報文都有自己的CAN ID標(biāo)識符，CAN ID的主要功能是報文識別和優(yōu)先級確定。CAN總線主要特性如下：

①多主節(jié)點控制?？偩€上所有的節(jié)點都可以作為主節(jié)點來發(fā)送報文，各節(jié)點平等，任何時刻都可以主動發(fā)送。

②基于優(yōu)先級的總線仲裁制。多個單元同時開始發(fā)送時，優(yōu)先級較高的ID獲得發(fā)送權(quán)，采取逐位仲裁比較的方式，判斷哪一個消息報文優(yōu)先發(fā)送。

③廣播式發(fā)送報文。報文可以被所有節(jié)點同時接收，各節(jié)點依據(jù)具體情況有選擇地接收或者響應(yīng)報文信息，從而控制汽車執(zhí)行相關(guān)操作。

④節(jié)點單元總數(shù)沒有限制。在CAN網(wǎng)絡(luò)中，接入總線的節(jié)點數(shù)理論上沒有限制，可同時接入較多節(jié)點，但是隨著節(jié)點數(shù)的增加，總線的通信速率會降低。

2.2 CAN總線安全威脅

基于以上CAN總線的性能特點，結(jié)合目前車載CAN總線網(wǎng)絡(luò)安全威脅研究，主要可歸納為以下幾點：

①缺乏總線保護。CAN總線是廣播特性的，網(wǎng)絡(luò)上的惡意節(jié)點可以窺探所有發(fā)送在網(wǎng)絡(luò)上的信息或數(shù)據(jù)包，并且沒有任何消息認(rèn)證碼 (MAC，Message Authentication Code)保護。

②易受拒絕服務(wù)攻擊。在基于優(yōu)先級的仲裁模式下，拒絕服務(wù)攻擊(Dos， Denial of service attack)是由于總線仲裁機制導(dǎo)致的，攻擊者可使用最高優(yōu)先級發(fā)送數(shù)據(jù)，從而導(dǎo)致其他ECU無法使用CAN總線。

③消息泄露?？赏ㄟ^車載診斷口（如OBD-II）獲取車輛的CAN總線信息，從而導(dǎo)致消息泄露。

針對上述車載CAN總線安全威脅，攻擊者可以通過丟棄、欺騙、重放、修改、洪泛等攻擊方式對車輛進行攻擊，從而影響車輛使用安全。

3 網(wǎng)絡(luò)安全策略

面對日益嚴(yán)峻的車輛網(wǎng)絡(luò)安全問題，各主機廠的網(wǎng)絡(luò)安全策略也在逐漸升級，目前為止，網(wǎng)絡(luò)安全策略主要經(jīng)歷了三個階段。

3.1 第一階段：安全訪問

在對各ECU進行診斷時，需要先通過安全訪問驗證（Service ID為0x27），使用的是2個字節(jié)的Seed & Key。當(dāng)進行安全訪問時，設(shè)備對ECU發(fā)送Seed請求，ECU會將Seed反饋回給設(shè)備并根據(jù)ECU內(nèi)部既有算法生成Key，而收到Seed的設(shè)備也會根據(jù)匹配的算法生成一個Key，并將Key值發(fā)送給ECU，ECU會比對兩個Key值，若兩個Key相同，則安全訪問驗證通過，反之則不通過。只有通過安全訪問驗證后才能進行修改車輛信息和控制電器功能的操作。

該方法的驗證是基于本地算法的靜態(tài)驗證，ECU的Seed & Key值都是2個字節(jié)的，而且每個ECU的Seed & Key值都是固定值，字節(jié)數(shù)太短，算法簡單，屬于較基礎(chǔ)的安全驗證。

3.2 第二階段：初級網(wǎng)絡(luò)安全

初級網(wǎng)絡(luò)安全相比于之前的安全訪問有很大的提升，從模塊設(shè)計初始時就開始強化，主要體現(xiàn)以下方面：ECU支持安全解鎖（SU）、安全刷新（SP）、安全診斷（SD），整車架構(gòu)上增加了中央網(wǎng)關(guān)模塊（CGM）。

安全解鎖（SU， Security Unlock）：類似于之前的安全訪問，但是各ECU的Seed& Key值是5字節(jié)的。設(shè)備根據(jù)ECU反饋的Seed值按照一定的算法計算出Key值，并與ECU內(nèi)部生成的Key值對比，若兩個Key值相同，則表明安全解鎖成功。該方法也是基于本地算法的靜態(tài)解鎖，字節(jié)數(shù)較長，解鎖較困難。

安全刷新（SP， Security Program）：使用數(shù)字簽名驗證來確認(rèn)刷新環(huán)節(jié)的真實性與完整性，每個標(biāo)定都需提前進行數(shù)字簽名，若沒有數(shù)字簽名或簽名驗證不通過則無法刷新成功。

安全診斷（SD，Security Diagnostic）：對診斷服務(wù)進行安全合理的升級，發(fā)送某些診斷命令時需要在特定環(huán)境下才能進行。如0x28診斷服務(wù)，車輛行駛中是無法禁止ECU發(fā)送應(yīng)用報文的，否則會影響車輛安全行駛。

架構(gòu)上增加中央網(wǎng)關(guān)模塊（CGM，Central Gateway Module）：CGM主要用于對數(shù)據(jù)的打包，管理，篩選等，為娛樂信息系統(tǒng)與安全的關(guān)鍵組件之間提供了物理的防火墻，可以降低從娛樂信息系統(tǒng)入侵的可能性。

3.3 第三階段：增強型網(wǎng)絡(luò)安全

增強型網(wǎng)絡(luò)安全的主要目的是防止未經(jīng)授權(quán)解鎖ECU進行重新刷新或安全診斷；防止車輛通信總線上有未經(jīng)授權(quán)的消息；防止安全敏感信息在車載通信總線不真實的溝通。增強型網(wǎng)絡(luò)安全相比于初級網(wǎng)絡(luò)安全，對安全解鎖方式、中央網(wǎng)關(guān)模塊策略做了升級，同時還增加了消息認(rèn)證碼（MAC）機制。

安全解鎖升級：從之前5字節(jié)的Seed &Key靜態(tài)解鎖方式升級到32字節(jié)的動態(tài)解鎖方式，以前每個ECU的Seed & Key值都是靜態(tài)的固定值，升級后每次解鎖ECU的Seed &Key值都是動態(tài)變化的不同值。5字節(jié)的解鎖算法是集成在刷新工具里的，而32字節(jié)的解鎖算法是存放在獨立的服務(wù)器里，每次解鎖都需要訪問服務(wù)器獲取Key值，而且服務(wù)器設(shè)置了多重權(quán)限，僅對少部分授權(quán)人員開放，從安全解鎖方面極大地提升了車載總線的網(wǎng)絡(luò)安全。

中央網(wǎng)關(guān)模塊策略升級：之前的網(wǎng)關(guān)僅隔離了部分總線（如娛樂系統(tǒng)），而且從實車診斷口是可以讀到總線的應(yīng)用報文信息的。升級后，車輛所有總線都被網(wǎng)關(guān)隔離保護，實車診斷口無法讀到任何總線的應(yīng)用報文，僅能夠?qū)囕v進行診斷，有效地防止消息泄露。

增加了消息認(rèn)證碼（MAC）機制：消息認(rèn)證碼是在ECU刷新時注入的，消息認(rèn)證碼在每條總線應(yīng)用報文的開頭，各ECU之間只有消息認(rèn)證碼正確的總線應(yīng)用報文才能夠被識別，否則報文將是無效地存在。例如，儀表顯示檔位信號時需要獲取變速箱控制單元的檔位信號，如果檔位信號正常但消息認(rèn)證碼不正確，儀表控制單元則不會接受該信號，從而無法顯示檔位。此外，在MAC和報文真實內(nèi)容之間還加了防重放計數(shù)器以防止車輛受到重放的攻擊。MAC機制能夠有效地確?？偩€報文的身份真實性、消息正確性以及數(shù)據(jù)新鮮性。

4 結(jié)束語

本文描述了當(dāng)前道路車輛所面臨的網(wǎng)絡(luò)安全問題，并分析了通過實現(xiàn)車輛安全解鎖、安全刷新、安全診斷、網(wǎng)關(guān)隔離保護、增加MAC機制等方法加強車輛CAN總線的網(wǎng)絡(luò)信息安全。當(dāng)前，車聯(lián)網(wǎng)的網(wǎng)絡(luò)信息安全問題已經(jīng)受到廣泛關(guān)注，并已成為智能網(wǎng)聯(lián)技術(shù)的關(guān)鍵點。只有車聯(lián)網(wǎng)的安全性和可靠性得到全面地提升，才能夠使得車聯(lián)網(wǎng)技術(shù)實現(xiàn)大規(guī)模的應(yīng)用。汽車行業(yè)應(yīng)該主動地去與互聯(lián)網(wǎng)公司、網(wǎng)絡(luò)安全公司進行深度地合作，使得車聯(lián)網(wǎng)汽車能夠更安全、更智能的發(fā)展。