摘要為了評估車內網絡的安全狀況，在分析控制器局域網(CAN)總線協議安全性的基礎上提出了一種覆蓋所有類型CAN總線數據幀的安全評估機制.該機制采用四個基本評估向量對車內CAN總線進行非逆向評估;采用基于數據域特征的CAN總線數據幀逆向分析技術對車內CAN總線進行逆向安全評估，可以同時分析周期性數據幀與非周期性數據幀，彌補了基于CANID頻率的逆向分析技術只能分析非周期性數據幀的不足.模擬實際駕駛環境，在福特某型號車輛上的實驗結果表明：該安全評估機制可以快速且準確地評估車窗、轉向燈、中控鎖等物理控制指令以及剎車、油門、離合等狀態控制指令面臨監聽、重放、篡改等攻擊時的安全風險.相比于目前已有的車內CAN總線安全評估機制，提出的安全評估機制覆蓋面更廣、效率更高.

　　關鍵詞車內CAN總線;網絡安全;評估向量;逆向分析;安全評估

　　現代汽車集成了上百個電子控制單元(electron‐iccontrolunit，ECU)，主要通過控制器局域網(con‐ rollerareanetwork，CAN)總線進行連接[1].車內CAN總線設計時充分考慮了汽車通信實時性較高、抗干擾的性能需求，成為當前事實上的車內總線標準[2]，但是認證、加密、完整性校驗等安全機制的缺乏為現代汽車引入了重大安全隱患.針對車內CAN總線的安全問題，研究人員開展了大量的研究工作.文獻[3-6]從汽車的多個入口入侵車內CAN總線，最終控制汽車相應功能，證明了惡意攻擊者可以通過車內CAN總線控制車輛，但是針對車內CAN總線的攻擊案例嚴重依賴具體的車輛型號，缺乏普適性.

　　文獻[7-10]實現了具備車內CAN總線數據幀捕獲和數據幀注入等基本功能的硬件設備及相應軟件，雖然并未進一步對車內CAN總線進行安全評估，但是為研究車內CAN總線安全評估奠定了工具基礎.文獻[11]提出了一種車內CAN總線安全分析框架，但是評估框架欠缺細粒度，無法對車內CAN總線進行精細化安全評估.本研究在分析CAN總線安全性的基礎上提出了一種車內CAN總線安全評估機制，在缺乏車輛信息的條件下對車內CAN總線的安全性進行評估.在分析車內CAN總線安全性的基礎上，將汽車攻擊行為分為重放攻擊、拒絕服務(denialofservice，DoS)攻擊、偽造攻擊和模糊測試攻擊.

　　基于數據域特征的車內CAN總線逆向分析技術彌補了基于CANID頻率的逆向技術無法分析周期性數據幀的不足，可以逆向非周期性數據幀而且可以逆向周期性數據幀，從而獲取車輛控制指令.實驗結果表明：該安全評估機制成功發現了遠光燈、轉向燈、中控鎖、車窗、儀表盤顯示等多項功能面臨控制指令泄露、指令重放等安全風險，相比于已有的安全評估機制，覆蓋面更廣、效率更高.

　　1CAN總線安全性分析

　　依據仲裁字段CANID的長度，CAN總線數據幀分為標準幀和擴展幀[12].標準數據幀主要由個字段組成：數據幀起始字段(SOF)，通知每個接收器數據傳輸開始;仲裁字段，防止數據幀在傳輸過程中產生沖突;數據域，傳輸最多8B的數據;循環冗余碼，用于標識數據幀是否正常發送到接收器，若接收器正常接收到數據幀則會激活會激活確認標志位(Acknowledge，ACK)位;數據幀結束位，表示數據幀的傳輸過程已結束;控制域，解決總線數據競爭;數據長度字段(DLC)，定義了數據域的長度.CAN總線缺乏基本的安全機制[13]，其脆弱性表現在如下六個方面.

　　缺乏身份認證.CAN總線數據幀無地址字段.任意節點都可以偽裝成惡意節點發送報文，接收節點無法識別發送方是否是真實的節點.

　　缺乏加密機制.基于數據傳輸的實時性考慮，CAN總線協議未采用加密機制對總線上傳輸的數據進行加密保護，攻擊者可以監聽總線數據獲取傳輸內容，造成隱私泄露.缺乏完整性校驗.CAN數據幀接收者并未檢查數據的完整性，攻擊者可以惡意篡改傳輸數據.廣播傳輸機制.CAN數據幀以廣播形式發送至CAN總線上，總線上的任意節點都會接收到廣播數據，這意味著惡意節點可以監聽到所有的總線傳輸數據.

　　基于ID的仲裁機制.CANID決定了CAN數據幀的傳輸優先級.數據幀CANID越小，其在總線上傳輸的優先級越高.惡意攻擊者可以利用該機制，構造較高優先級的數據幀不斷發送到總線上，造成DoS服務攻擊..帶寬有限.高速CAN總線的數據傳輸速率僅為500kbit/s，數據載荷長度最高只有64bit[13]，限制了CAN總線協議提供較強的訪問控制功能，為攻擊者攻擊ECU降低了難度.

　　2CAN總線安全評估機制

　　2.1非逆向安全評估

　　非逆向安全評估不依賴汽車制造商的具體信息，模擬汽車攻擊中的四種基本攻擊方式對待評估車輛進行模擬攻擊，以評估其是否可以抵御相應的攻擊行為.評估向量如下.

　　數據重放.數據重放評估基于CAN總線數據幀重放攻擊，截取汽車相應功能對應的CAN總線數據幀，將其原封不動地發回車內CAN總線上.若汽車重現了特定的行為，則面臨重放攻擊帶來的安全威脅.總線DoS.總線DoS評估基于CAN總線仲裁機制，以較高的頻率向車內CAN總線注入大量高優先級的數據幀，阻止其他數據幀的正常傳輸.若汽車出現了功能無法使用的異常現象，則面臨DoS攻擊帶來的安全威脅.

　　數據偽造.數據偽造評估基于特定的CANID向車內CAN總線注入精心構造的數據幀，實施特定的汽車功能控制.若汽車表現出了預期的行為，則面臨數據偽造帶來的安全威脅.模糊測試.模糊測試截取車內CAN總線合法數據幀，通過豐富的變異策略對合法數據幀進行變異生成大量的測試數據幀并注入到CAN總線.

　　若車輛出現異常行為，則存在潛在的安全漏洞.非逆向安全評估流程如圖1(a)所示，OBD為連接診斷接口，不同評估向量的注入數據幀構造方式不同.數據重放將監聽到的數據幀注入到車內CAN總線;總線DoS從監聽到的數據幀中選取優先級較高的CANID，構造大量數據幀，按照總線傳輸速率注入到車內CAN總線;模糊測試將監聽到的總線數據幀變異之后注入到車內CAN總線中;數據偽造基于監聽到的數據精心構造特定數據幀注入到車內CAN總線.

　　2.2逆向安全評估

　　車內CAN總線數據幀分為周期性數據幀與非周期性數據幀.當汽車觸發特定動作時，非周期性數據幀相應CANID頻率會出現顯著變化，而周期性數據幀周期性出現在CAN總線上，即使當汽車觸發特定動作時，總線上的數據幀CANID頻率也不會出現顯著變化.基于CANID頻率的逆向技術僅適用于常見低速車內CAN總線的非周期數據幀，且僅能分析出數據幀CANID與控制指令的對應關系，無法分析出CAN總線數據幀數據域與控制指令之間的映射細節.基于數據域特征的逆向技術，利用CAN數據幀數據域8B的特征進行逆向分析.

　　通過統計一定數量數據幀中數據域各字節的變化來分析數據域與控制指令的映射關系.對于單一狀態轉換的控制指令，例如轉向燈、中控鎖、遠光燈等，其CAN總線數據幀數據域的有效比特較少.對于車速等連續變化的控制指令，其CAN總線數據幀數據域的有效比特較多，通過多個比特控制連續變化的行車參數.基于此，可以統計CAN總線數據域的字節變化來逆向CAN總線數據幀.實驗數據及分析實驗采用的CAN總線控制器為創芯科技CAN‐alyst-II分析儀，車輛為福特某型號車輛.

　　3.1非逆向安全評估

　　3.1.1數據重放評估

　　實驗截取轉向燈動作前后的2000條CAN數據幀，將其重放到車內CAN總線.為低速CAN總線與高速CAN總線上轉向燈動作的數據重放評估結果.結果顯示：低速CAN總線出現了儀表盤轉向燈閃爍并伴隨轉向燈物理開啟現象，高速CAN總線則未出現此現象，表明控制轉向燈的ECU連接在低速CAN總線.遠光燈、油門及中控鎖的儀表盤狀態顯示均連接在低速CAN總線.在數據重放評估中，遠光燈和油門的狀態顯示均出現在儀表盤，但是遠光燈并未物理開啟、油門并無物理變化，中控鎖物理解鎖.盡管遠光燈與油門無物理變化，但是儀表盤狀態顯示紊亂同樣會對駕駛員造成干擾，威脅行車安全，存在一定的安全隱患.

　　結語

　　為了評估車內CAN總線的安全性，提出一種CAN總線安全評估機制，該機制通過基于四種基本評估向量的非逆向評估及基于數據域特征的逆向評估對車內CAN總線進行安全評估.福特某型號車輛的實驗結果表明：在非逆向安全評估中，該型號福特汽車可以抵御DoS攻擊，而在數據重放評估中面臨轉向燈、中控鎖、油門及中控鎖等控制指令被重放的安全威脅.在數據偽造評估中，發動機轉速與車速的儀表盤顯示均出現紊亂.

　　在模糊測試評估中，儀表盤顯示出現異常，車窗出現升降，中控鎖物理開啟，均面臨一定的安全風險.在逆向安全評估中該型號車輛低速CAN總線上的轉向燈、車窗、中控鎖的控制指令遭到泄露，高速CAN總線安全性較高，并無控制指令泄露.相比于已有的車內CAN總線安全評估機制，提出的安全評估機制覆蓋面更廣、效率更高.

　　參考文獻

　　[1]ZHANGS，SUNW.In-vehiclenetworkattacksandcountermeasures：challengesandfuturedirections[J].IEEENetwork，2017，31(5)：50-58.

　　[2]鄒雪城，余悅敏，張明宇，等.基于SAEJ3061的車載T-BOX信息安全策略[J].華中科技大學學報自然科學版，2019，47(9)：55-59.

　　[3]CHECKOWAYS，MCCOYD，KANTORB，etal.Comprehensiveexperimentalanalysesofautomotiveat‐ acksurfaces[C]//ProcofUSENIxSecuritySymposium.NY：USENIXAssociation，2011：447-462.

　　[4]HOPPET，KILTZS，DITTMANNJ.SecuritythreatstoautomotiveCANnetworks;practicalexamplesandse‐lectedshort-termcountermeasures[J].ReliabilityEngi‐ eeringandSystemSafety，2011，96(1)：11-25.

　　[5]WOOS，JOHJ，LEEDH.Apracticalwirelessattackontheconnectedcarandsecurityprotocolforin-vehicleCAN[J].IEEETransactionsonIntelligentTransportationSystems，2015，16(2)：993-1006.

　　作者：張海春姜榮帥魯趙駿劉政林