CAN總線和車載以太網(wǎng)安全機(jī)制

摘要

今天，汽車不再僅僅是孤立的機(jī)械設(shè)備，而是越來(lái)越多地與外部環(huán)境相連接，例如V2I（車到基礎(chǔ)設(shè)施）、V2V（車到車）、V2C（車到云）和V2X（車到萬(wàn)物）。高度的連通性使得車輛暴露在一系列安全和隱私威脅之下。車輛控制模塊越來(lái)越多的互連需求意味著沒有保障就沒有安全。

在本文中，我們描述了CAN和以太網(wǎng)汽車總線的脆弱性。介紹了連接到高速千兆位汽車以太網(wǎng)的多域CAN總線。闡述了后端計(jì)算機(jī)和中央計(jì)算網(wǎng)關(guān)提供分層安全。解釋了硬件安全模塊和CAN幀中的消息認(rèn)證碼(MAC)將提高安全性。提出了保護(hù)汽車以太網(wǎng)總線的方法。

I.簡(jiǎn)介

安全功能不僅必須包括物理訪問(wèn)和保護(hù)機(jī)密信息，還必須包括關(guān)鍵安全系統(tǒng)。我們必須預(yù)測(cè)各種形式的攻擊，以防止對(duì)嵌入式系統(tǒng)和數(shù)據(jù)的訪問(wèn)。

它需要利用已經(jīng)成為消費(fèi)類電子產(chǎn)品的技術(shù)水平的優(yōu)勢(shì)。然而，汽車電子與消費(fèi)電子有很大不同。汽車系統(tǒng)的首要重點(diǎn)是安全和產(chǎn)品質(zhì)量，并采用最高的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，以確保汽車中的電子產(chǎn)品的可靠性。

本節(jié)介紹了現(xiàn)代汽車電子和網(wǎng)絡(luò)結(jié)構(gòu)，以及軟件更新的空中作業(yè)。汽車電子架構(gòu)正在迅速變化和發(fā)展。它們正在從功能孤立的電子控制單元轉(zhuǎn)變?yōu)榫哂性圃L問(wèn)、遠(yuǎn)程更新和高帶寬訪問(wèn)其他車輛和周圍基礎(chǔ)設(shè)施的分布式網(wǎng)絡(luò)系統(tǒng)。 這促使人們需要提高數(shù)據(jù)完整性和網(wǎng)絡(luò)安全性。此外，隨著與車輛之間的無(wú)線通信變得越來(lái)越普遍，在網(wǎng)絡(luò)中采取安全措施以防止未經(jīng)授權(quán)訪問(wèn)車輛網(wǎng)絡(luò)也是一個(gè)重要的推動(dòng)力。

A. 汽車電子和網(wǎng)絡(luò)結(jié)構(gòu)

為了提高日益增長(zhǎng)的車輛性能、安全性、效率和可靠性，現(xiàn)代車輛可能具有越來(lái)越多的傳感器、執(zhí)行器和專用計(jì)算域控制器，以及車輛內(nèi)部和外部網(wǎng)絡(luò)通信，如圖1所示。

圖1：汽車電子和網(wǎng)絡(luò)架構(gòu)

B. 中央網(wǎng)關(guān)服務(wù)器

中央信息服務(wù)器和代理將處理所有通信信息。 它將本地域控制與外部環(huán)境隔離開來(lái)，以維護(hù)其安全和保障。 實(shí)體、信息和服務(wù)將是分開的。這有利于從基本車輛到裝備齊全的車輛的可擴(kuò)展性和規(guī)模。

在未來(lái)的汽車架構(gòu)中，中央網(wǎng)關(guān)作為信息橋梁來(lái)交換信息，并隔離車內(nèi)域控制器和外圍通信源，如移動(dòng)蜂窩、藍(lán)牙、Wi-Fi、以太網(wǎng)。 它還充當(dāng)汽車的中央診斷接口。域控制器還充當(dāng)中央網(wǎng)關(guān)和本地智能傳感器、執(zhí)行器和ECU之間的網(wǎng)關(guān)，在以太網(wǎng)和CAN或LIN之間翻譯和交換信息。

中央網(wǎng)關(guān)將承擔(dān)維護(hù)網(wǎng)絡(luò)安全的主要責(zé)任。中央網(wǎng)關(guān)驗(yàn)證通信是否來(lái)自批準(zhǔn)的來(lái)源，保護(hù)認(rèn)證不被欺騙，并將網(wǎng)絡(luò)通信限制在預(yù)定的正常行為上，限制異?；虼罅康男畔?，以避免損害車輛的功能。它還需要阻止未經(jīng)批準(zhǔn)的和不適當(dāng)?shù)男畔?，并提醒任何無(wú)效的嘗試。這可以極大地提高整個(gè)車輛網(wǎng)絡(luò)的安全性，并大大減輕車內(nèi)域控制器的安全負(fù)擔(dān)。

C. 車內(nèi)和后端架構(gòu)

車載系統(tǒng)和后端架構(gòu)之間有越來(lái)越多的互動(dòng)。它將通過(guò)Wi-Fi，以及高帶寬的5G蜂窩網(wǎng)絡(luò)進(jìn)行連接。

為了安全功能和自主控制，車輛將被要求與外部來(lái)源，如其他車輛、基礎(chǔ)設(shè)施和基于云的來(lái)源，交換數(shù)據(jù)和信息，包括有關(guān)天氣、交通、道路建設(shè)、更新地圖的信息。因?yàn)橹匦?a target="_blank">編程算法來(lái)處理和實(shí)時(shí)做出每個(gè)可能的場(chǎng)景和不斷變化的駕駛條件的決定并不容易，越來(lái)越多的汽車功能需要與后端系統(tǒng)獲取數(shù)據(jù)和信息，并在后端部分執(zhí)行。

II.安全網(wǎng)絡(luò)通信

隨著車輛內(nèi)部和外部連接的增加，安全和保障是建立一個(gè)安全的汽車電子系統(tǒng)的一個(gè)重要問(wèn)題。CAN和以太網(wǎng)將是現(xiàn)代汽車網(wǎng)絡(luò)結(jié)構(gòu)中應(yīng)用的兩個(gè)最主要的通信媒介。

A. CAN網(wǎng)絡(luò)安全

CAN總線是最流行的車載網(wǎng)絡(luò)，支持電子控制單元（ECU）之間交換車輛信息和狀態(tài)。CAN協(xié)議缺乏安全機(jī)制來(lái)防止各種攻擊。CAN總線通信不僅容易受到來(lái)自車輛內(nèi)部的攻擊，而且也容易受到來(lái)自外部的攻擊。隨著連接性的增加，已經(jīng)在CAN總線上暴露和引入了更多的入口點(diǎn)和接口。這導(dǎo)致了一個(gè)更廣泛的潛在攻擊面。例如，最近的報(bào)告指出，歐洲福特和大眾的兩款著名的聯(lián)網(wǎng)汽車很容易通過(guò)信息娛樂裝置受到網(wǎng)絡(luò)攻擊。

最初，在車輛內(nèi)使用CAN并沒有考慮安全問(wèn)題，因?yàn)楫?dāng)時(shí)的車輛幾乎是孤立的，沒有與外部環(huán)境連接。最初的CAN協(xié)議沒有安全測(cè)量，它很容易受到幀注入或拒絕服務(wù)的攻擊。如今，車輛的連接越來(lái)越多，它們有內(nèi)部和外部通信接口，如以太網(wǎng)、藍(lán)牙和蜂窩移動(dòng)網(wǎng)絡(luò)，因此網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)大問(wèn)題。

1) 車載CAN總線的漏洞

在車輛CAN總線中存在一些安全漏洞：

? CAN網(wǎng)絡(luò)不是分段的，而且是廣播式的，CAN總線中的所有節(jié)點(diǎn)都連接到同一總線上。 廣播機(jī)制被用于CAN總線傳輸數(shù)據(jù)，這意味著CAN網(wǎng)絡(luò)上的所有節(jié)點(diǎn)都可以發(fā)送和接收相同的消息。

? 沒有任何安全機(jī)制用于認(rèn)證，因此CAN總線容易受到消息中毒和拒絕服務(wù)攻擊。

? 由于廣播機(jī)制，連接到CAN總線的每個(gè)節(jié)點(diǎn)都可以嗅到CAN幀。CAN總線上的流量沒有被加密，因此可以很容易地被數(shù)據(jù)嗅探攻擊所讀取。

? 一個(gè)ECU可以使CAN總線處于支配狀態(tài)，從而阻止其他節(jié)點(diǎn)使用總線。

? 有許多潛在的攻擊面和連接，如診斷端口、Wi-Fi和藍(lán)牙。

2) CAN總線安全機(jī)制

考慮到CAN總線的容量有限，任何解決其脆弱性的對(duì)策都不應(yīng)該使總線過(guò)載。CAN的安全測(cè)量可以分為加密、認(rèn)證和將消息分割成多個(gè)幀。加密方法已被用于確保CAN總線免受來(lái)自車輛內(nèi)部的攻擊。由于目前ECU缺乏計(jì)算資源，加密機(jī)制很難被使用。此外，車輛內(nèi)的決策需要實(shí)時(shí)的數(shù)據(jù)分析，任何由于數(shù)據(jù)加密造成的延遲都會(huì)導(dǎo)致道路上的安全問(wèn)題。相比之下，入侵檢測(cè)系統(tǒng)（IDS）與一些加密機(jī)制相比，不需要改變網(wǎng)絡(luò)和協(xié)議規(guī)范。然而，一些基于深度學(xué)習(xí)的IDS需要大量的計(jì)算資源，而這些資源在一輛車內(nèi)是有限的。

a) 加密

基于加密的解決方案專注于確保CAN總線免受惡意信息的影響。在CAN總線中實(shí)施加密需要在節(jié)點(diǎn)和控制器中增加計(jì)算資源。加密可用于通過(guò)信息驗(yàn)證碼（MAC）提供認(rèn)證和數(shù)據(jù)完整性。這種應(yīng)用于經(jīng)典CAN總線的方法包括創(chuàng)建一個(gè)小于8字節(jié)的小型MAC標(biāo)簽，并將其與實(shí)際的CAN數(shù)據(jù)有效載荷一起插入，如圖2所示。這個(gè)標(biāo)簽具有完整性和認(rèn)證，已經(jīng)被共享秘鑰加密了。每個(gè)節(jié)點(diǎn)中預(yù)裝的密鑰可用于建立密鑰交換和認(rèn)證。鑒于CAN總線的有限容量和低計(jì)算資源，硬件安全模塊（HSM）也可用于資源有限的節(jié)點(diǎn)，以提供更好的加密/解密性能。

圖2：CAN幀內(nèi)的MAC簽名

基于硬件的加密：硬件方法可以節(jié)省計(jì)算資源，以加快生成車內(nèi)CAN網(wǎng)絡(luò)的密碼功能的過(guò)程。然而，網(wǎng)絡(luò)中的每個(gè)ECU都需要更新以包括基于硬件的加密技術(shù)，這與目前的車輛不兼容，而且實(shí)施的成本可能很高。

基于軟件的加密：這種機(jī)制的主要概念是通過(guò)使用加密和認(rèn)證機(jī)制為CAN總線提供安全，而不需要額外的硬件或?qū)ΜF(xiàn)有ECU進(jìn)行修改。

b) CAN幀認(rèn)證和加密

認(rèn)證機(jī)制被稱為消息認(rèn)證碼（MAC），可用于為車內(nèi)CAN總線提供認(rèn)證和數(shù)據(jù)的完整性。然而，這種方法并不提供保密性，這意味著CAN總線仍然能夠被嗅到并被反向工程攻擊。因此，需要結(jié)合加密和認(rèn)證機(jī)制來(lái)提供更好的數(shù)據(jù)保密性、安全性和完整性。這種機(jī)制提供了對(duì)嗅探和注入攻擊的預(yù)防。

c) 入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IDS）可以是基于簽名的方法，可用于檢測(cè)車輛CAN網(wǎng)絡(luò)內(nèi)的惡意攻擊。IDS可以根據(jù)其位置分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS。

基于簽名的IDS是基于檢測(cè)預(yù)先定義的攻擊簽名列表的。

B. 以太網(wǎng)網(wǎng)絡(luò)安全

雖然以太網(wǎng)直到最近幾年才被廣泛地應(yīng)用于汽車行業(yè)，但隨著汽車內(nèi)功能需要支持越來(lái)越復(fù)雜的計(jì)算和通信，汽車以太網(wǎng)的使用正在上升。隨著對(duì)安全措施和帶寬需求的增加，目前的汽車網(wǎng)絡(luò)總線即將達(dá)到其極限。CAN的帶寬有限，最高為1Mbps，而且有效載荷很小，只有8個(gè)字節(jié)[9,10]。因此，需要另一種具有更高帶寬的網(wǎng)絡(luò)通信，如以太網(wǎng)。汽車以太網(wǎng)是使用基于以太網(wǎng)的網(wǎng)絡(luò)在車載電子控制單元之間進(jìn)行連接?，F(xiàn)代汽車電氣/電子架構(gòu)現(xiàn)在正在跨越領(lǐng)域界限進(jìn)行擴(kuò)展。這引起了人們對(duì)安全保障、安全和可靠時(shí)間響應(yīng)的關(guān)注。

1) 以太網(wǎng)網(wǎng)絡(luò)漏洞

以太網(wǎng)可以通過(guò)連接設(shè)備到網(wǎng)絡(luò)或獲得對(duì)現(xiàn)有設(shè)備的控制來(lái)進(jìn)行攻擊。在汽車以太網(wǎng)網(wǎng)絡(luò)中存在一些安全漏洞。主要的漏洞類別包括以下不同的漏洞：

未經(jīng)授權(quán)的加入：任何設(shè)備都可以連接到以太網(wǎng)交換機(jī)上一個(gè)未連接的端口。它將接入網(wǎng)絡(luò)，如果任何設(shè)備通過(guò)物理訪問(wèn)接入網(wǎng)絡(luò)交換機(jī)，它可以進(jìn)行通信。

交換控制：交換機(jī)有風(fēng)險(xiǎn)，可以通過(guò)改變交通路線來(lái)管理。

交通保密性：在以太網(wǎng)網(wǎng)絡(luò)中，沒有防止未經(jīng)授權(quán)的讀取的保護(hù)機(jī)制。任何發(fā)送到設(shè)備的幀，如果它默認(rèn)是可讀的，并且有方法強(qiáng)制交換機(jī)廣播網(wǎng)絡(luò)上的所有流量，這將使惡意用戶能夠讀取網(wǎng)絡(luò)上的所有流量。

2) 針對(duì)漏洞的以太網(wǎng)反措施

正如我們所知，有許多與以太網(wǎng)有關(guān)的威脅。這些漏洞已經(jīng)被汽車以太網(wǎng)繼承了，因此對(duì)現(xiàn)代汽車中的汽車以太網(wǎng)的實(shí)施造成了關(guān)鍵問(wèn)題。為了避免ECU受到任何潛在的惡意攻擊，需要采取不同的應(yīng)對(duì)措施。

a) 傳統(tǒng)的IT解決方案

我們需要檢測(cè)并禁止試圖獲得未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)的節(jié)點(diǎn)，識(shí)別并防止網(wǎng)絡(luò)操縱。現(xiàn)在有一些既定的解決方案，如虛擬網(wǎng)絡(luò)--VLANs--來(lái)劃分網(wǎng)絡(luò)流量。最初，網(wǎng)絡(luò)端口被分配到各種VLAN的交換機(jī)上?，F(xiàn)在，它也標(biāo)記以太網(wǎng)幀和獨(dú)立于端口的VLAN。加密認(rèn)證或加密也是實(shí)現(xiàn)網(wǎng)絡(luò)安全的普遍解決方案。

此外，還有通過(guò)使用過(guò)濾規(guī)則的安全機(jī)制，經(jīng)典的防火墻控制哪些數(shù)據(jù)包可以在不同的節(jié)點(diǎn)或網(wǎng)絡(luò)之間移動(dòng)。入侵檢測(cè)系統(tǒng)（IDS）和入侵預(yù)防系統(tǒng)（IPS）是為了保護(hù)而產(chǎn)生的。

b) 現(xiàn)代車輛網(wǎng)絡(luò)的安全機(jī)制

現(xiàn)代汽車網(wǎng)絡(luò)架構(gòu)與經(jīng)典IT行業(yè)使用的網(wǎng)絡(luò)架構(gòu)有一些相似之處。在現(xiàn)代汽車以太網(wǎng)中，它被劃分為具有不同保護(hù)需求的虛擬區(qū)域，與安全有關(guān)的網(wǎng)絡(luò)流量可以被實(shí)時(shí)識(shí)別，它也可以根據(jù)需要被優(yōu)先處理或隔離。如果拒絕服務(wù)（DoS）攻擊或故障信息使網(wǎng)絡(luò)充斥著數(shù)據(jù)包，可以通過(guò)速率限制的方式在下一個(gè)交換機(jī)上阻止它們，以使優(yōu)先組件中的通信得到優(yōu)先處理。

c) 安全的分層方法

分層安全機(jī)制是結(jié)合多種緩解控制措施來(lái)保護(hù)資源和數(shù)據(jù)的做法。它是建立幾個(gè)安全屏障，以避免在一個(gè)安全機(jī)制被繞過(guò)的情況下完全暴露。為了防止廣泛的攻擊，使用多種策略是比較有效的。如果一個(gè)層被繞過(guò)，其他層可以提供保護(hù)。當(dāng)突破發(fā)生時(shí)，其他子系統(tǒng)應(yīng)保持對(duì)攻擊的彈性。在這種情況下，汽車以太網(wǎng)網(wǎng)絡(luò)系統(tǒng)中的所有層和組件都要有其穩(wěn)定性和彈性，這一點(diǎn)至關(guān)重要。主要有以下四個(gè)層次的安全機(jī)制：

限制對(duì)網(wǎng)絡(luò)的訪問(wèn)：為了實(shí)現(xiàn)這一點(diǎn)，我們可以限制ECU的數(shù)量，所以ECU有板外連接，如藍(lán)牙、手機(jī)、無(wú)線鑰匙、OBD。有一個(gè)中央網(wǎng)絡(luò)接入點(diǎn)，有嚴(yán)格的防火墻來(lái)隔離和保護(hù)。從外部測(cè)試器到ECU的診斷通信將由網(wǎng)關(guān)橋接。并將網(wǎng)絡(luò)劃分為不同的隔離安全區(qū)，并限制這些區(qū)域之間的流量，通過(guò)網(wǎng)關(guān)進(jìn)行物理分割和隔離。只有經(jīng)過(guò)授權(quán)的設(shè)備才能被連接。

安全的車載通信：要做到這一點(diǎn)，有一些既定的解決方案，如加密和認(rèn)證。不同的密鑰用于不同的功能，一個(gè)密鑰只能用于保護(hù)有限數(shù)量的數(shù)據(jù)。為了滿足高效執(zhí)行的要求，硬件安全模塊（HSM）與軟件密碼庫(kù)結(jié)合使用。

Apply data usage policies: 定義數(shù)據(jù)使用策略以限制數(shù)據(jù)暴露。我們可以只在特定的應(yīng)用狀態(tài)下接受控制命令，并對(duì)請(qǐng)求者進(jìn)行優(yōu)先排序。

檢測(cè)和防御：通過(guò)基于不同輸入數(shù)據(jù)或數(shù)據(jù)序列的合理性檢查，檢測(cè)任何異常情況，失敗的完整性檢查。通過(guò)執(zhí)行帶寬限制，報(bào)告并開始緩解。

III.總結(jié)

車輛控制模塊日益相互關(guān)聯(lián)的性質(zhì)意味著沒有保障就沒有安全。在最初應(yīng)用于汽車E/E系統(tǒng)而沒有跨域通信之后，現(xiàn)代E/E架構(gòu)正在跨域擴(kuò)展。這引起了對(duì)網(wǎng)絡(luò)安全、安全和可靠性的挑戰(zhàn)和關(guān)注。需要安全的網(wǎng)絡(luò)通信來(lái)確保數(shù)據(jù)的可用性、完整性和保密性。傳感器數(shù)據(jù)必須按時(shí)提供，執(zhí)行器指令必須正確及時(shí)地發(fā)送。傳感器和執(zhí)行器數(shù)據(jù)只由授權(quán)方發(fā)送，以確保完整性。傳感器和執(zhí)行器的數(shù)據(jù)不允許被篡改、刪除或延遲，以保持完整性。傳感器和執(zhí)行器的數(shù)據(jù)不被未經(jīng)授權(quán)的第三方監(jiān)控，以保護(hù)數(shù)據(jù)的隱私和保密性。

文章來(lái)源：智能汽車開發(fā)者平臺(tái)

審核編輯：湯梓紅