楊福宇

(重慶工業(yè)自動化儀表研究所，重慶 401123)

?

一種現(xiàn)場優(yōu)先的車控網(wǎng)絡(luò)防黑客攻擊方法

楊福宇

(重慶工業(yè)自動化儀表研究所，重慶 401123)

摘要:車控網(wǎng)絡(luò)受到黑客攻擊時可能直接危及駕乘人員的安全，由于無線接入點與車控網(wǎng)絡(luò)的連接已逐漸普及，信息安全已引起重視。本文首先分析了車控網(wǎng)中的兩個薄弱環(huán)節(jié)：物理口的敞開便于接入未經(jīng)授權(quán)的節(jié)點；授權(quán)的應(yīng)用被黑客攻破而濫用。接著分析了用發(fā)送濾波器對抗假冒信號幀的有效性，補充了滿足合法取代的要求。最后分析了使用可中斷CAN總線實現(xiàn)對抗黑客攻擊措施可能帶來的好處。

關(guān)鍵詞:CAN總線；信息安全；假冒錯

引言

2014年以來，汽車黑客攻擊技術(shù)的公開引起車廠、主管部門和消費者的重視，有的車廠已經(jīng)進行了召回，以打補丁的方式解決問題。這種攻擊替代駕駛員的意愿實現(xiàn)了對汽車的任意操控，給駕乘員人身安全帶來很大風(fēng)險；另一方面，無人駕駛又是汽車發(fā)展的方向，它要在原有操控基礎(chǔ)上逐步實現(xiàn)，需要對原輸出與新輸出作有效分割并實現(xiàn)替代，這種替代也給了黑客導(dǎo)入錯誤的機會。因此，區(qū)分替代的合法性，以保證操控的安全性、不受黑客攻擊而失效變得十分必要。

1車控的薄弱環(huán)節(jié)

現(xiàn)在汽車的操控都是通過CAN總線上的幀來傳送的。黑客接入CAN總線的方式有兩種：一種是通過原有的OBD接口(基于CAN總線)，另一種是經(jīng)過網(wǎng)關(guān)(將各種無線接入的節(jié)點跨接到CAN總線上)。最近各種黑客攻擊的實施方法綜述可借鑒參考文獻[1]。漏洞可分為兩種，一種是由于擴大的授權(quán)被濫用，例如特斯拉的例子[2]，發(fā)現(xiàn)了通過以太網(wǎng)可以合法地“停止汽車”。這就是說只要以太網(wǎng)那邊沒防住，要阻止黑客的辦法就只有切斷以太網(wǎng)的接入了。在切諾基的例子中，黑客改寫了芯片代碼[3]，等同于加入了失控的CAN總線節(jié)點。OBD是開放接口，將一個端口分接兩個插座的線纜在市場上很容易購買，任何人都可以加上失控CAN總線節(jié)點。另一種是可直接或間接添加的后裝功能，這些CAN節(jié)點是否含未經(jīng)授權(quán)的功能或漏洞(例如開發(fā)者留的后門)是未知的。出現(xiàn)事故后雖然從刑事責(zé)任上可以追查，但危害已經(jīng)發(fā)生，所以必須預(yù)先設(shè)計對抗此種風(fēng)險的機制。

CAN總線黑客造成的風(fēng)險程度不同，例如在OBD接口將CANH、CANL短路最簡單，此時汽車將不會啟動，故障馬上被發(fā)現(xiàn)了，也就不會危及生命。但如果加在分接口的是一個CAN總線節(jié)點，這個節(jié)點可以定時發(fā)送幀，情況就不同了，雖然車廠對CAN總線幀的定義保密，但是它是可讀取、可記錄的，將它重發(fā)就會有不可預(yù)知的結(jié)果。這是一種replay攻擊，實現(xiàn)起來很容易。

所以應(yīng)該考慮一種在發(fā)生漏網(wǎng)之魚(無線接入的濫用授權(quán)、未經(jīng)注意的有漏洞的接入)時對抗CAN總線攻擊的方法，作為最后的防線。

CAN總線的接收節(jié)點是用標(biāo)識符ID來選出節(jié)點要收的幀，通常用接收濾波器來實現(xiàn)。在發(fā)送節(jié)點，該幀存放在發(fā)送對象里，也含有ID, 但沒有作濾波器的設(shè)計。不過由于消息對象在存儲器區(qū)域內(nèi)是任意定義為發(fā)送/接收的，硬件上已備有ID比較邏輯。 如果添加發(fā)送對象的濾波器設(shè)計，那么并未發(fā)送的對象就可以通過對總線上ID的監(jiān)視發(fā)現(xiàn)有節(jié)點在假冒自己。發(fā)現(xiàn)假冒錯(masquerade error)后，就可以通過發(fā)報錯幀(error frame)中止假冒幀的發(fā)送，從而對抗黑客攻擊。這個思想在參考文獻[4]中已提出，只是沒這么明確地表達(dá)。當(dāng)然，現(xiàn)在的CAN總線及CAN FD還不具備這一功能。如果保證同一時間總線上只有一個合法的發(fā)送該ID的發(fā)送節(jié)點，那么由于黑客攻擊或者干擾引起的假冒錯都可能被檢測出來，從而免除錯誤引起的安全風(fēng)險。

2對抗措施需要考慮的另一個要求

簡單地添加發(fā)送濾波器還是不夠的，因為從發(fā)展來看，在兩種情況下我們需要實施替代控制，也就是說對濾波器是否起用需要加以控制，而該控制模塊也要有防假冒的能力。

第一種情況是開發(fā)或診斷時需要固定某輸入?yún)?shù)，以觀察控制對象的響應(yīng)是否合乎邏輯。例如使用OBD接口時開關(guān)ERG閥，監(jiān)視MAP傳感器，觀察ERG閥是否正常。未來的診斷、標(biāo)定可以深入開發(fā)這一能力，通過設(shè)置參數(shù)使發(fā)動機的效率得到細(xì)調(diào)，提升車的節(jié)油與排放水平。車廠由于對車的質(zhì)量負(fù)有法定的責(zé)任，所以會擔(dān)心第三方軟件的副作用而拒絕使用，但對他們自己的軟件，微調(diào)方法仍是必要的。類似的調(diào)校也適用于混合動力車兩種動力的切換、能量回收與剎車安全之間的配合等需要大量實驗確定最佳參數(shù)標(biāo)定的場合。

第二種情況是在應(yīng)用升級時，可選擇性地控制輸出。以往的方法是把所有可選輸出做在一個算法內(nèi)，由算法挑選輸出。例如控制剎車的最后動作由不同單元計算，結(jié)果在一個控制器中綜合。這當(dāng)然是一種合理的辦法，但是如果考慮選擇性輸出的辦法，可能會更好。例如正常行駛時不使用自動泊車功能，選用人工操控或其他輔助操控，在泊車時切換到用泊車ECU控制轉(zhuǎn)向及換檔。這種系統(tǒng)升級的方法顯然優(yōu)于把它混合在一個系統(tǒng)里：由于新老兩個系統(tǒng)有清楚的切分，添加新系統(tǒng)的安全認(rèn)證就簡單得多；這也使車廠充分利用第三方的供貨變得簡單，拓展了生產(chǎn)協(xié)作的渠道；使整個生態(tài)鏈的技術(shù)進步和成本下降變得容易，因此試驗與比較不同供貨商的自動泊車產(chǎn)品的性價比要容易得多了。同樣地，也可以用于其他的功能升級方案，例如自動巡航、車道偏離、輔助駕駛等。此時只要劃分出新老系統(tǒng)要取代的輸出，一個自己開發(fā)、綜合能力不足的廠商也可以充分利用別人先進的東西。由于取代的輸出應(yīng)該有相同的ID，因此不影響系統(tǒng)的其他部分。這一需求可稱為取代控制(Substitute control)，現(xiàn)在的CAN總線及CAN FD還不具備易于實現(xiàn)這一功能的機制。

下面是實現(xiàn)取代控制又能對抗攻擊的方案：取代時首先要得到授權(quán)，在車載CAN總線網(wǎng)上設(shè)一個主節(jié)點負(fù)責(zé)授權(quán)密碼的驗證。申請取代的源節(jié)點(新節(jié)點、OBD接口或網(wǎng)關(guān))首先向這個主節(jié)點發(fā)送一個幀(幀的ID是公開的)，其內(nèi)容含有授權(quán)密鑰及取代輸出的ID。這個密鑰的格式、類型由車廠與被授權(quán)方共同確定，可以是固定的，也可以是臨時的、滾動的，總之不易被黑客破譯。主節(jié)點收到此幀后要進行檢查，密鑰如合格，則發(fā)修改用幀(其ID為唯一，主節(jié)點存在發(fā)送濾波器)，內(nèi)容為被修改的輸出的ID。每個節(jié)點都收下此幀，按內(nèi)容檢查本節(jié)點的發(fā)送濾波器并作相應(yīng)處理。如果主節(jié)點認(rèn)為密鑰錯誤，就不發(fā)送修改用幀，而且采用一種拒絕試探的方法，例如密鑰有錯誤位要等1 min后清除，才能接收下一個申請的檢查。如果平均264次試探可以成功，時間的消耗使黑客幾乎沒有成功可能。

黑客也不能在總線上直接發(fā)送修改用幀，因為主節(jié)點的發(fā)送濾波器匹配會使主節(jié)點發(fā)報錯幀，進而使黑客的幀失敗。

有人曾建議用CAN總線的CRC檢驗的初值(種子seed)作為數(shù)字簽名(密鑰)，認(rèn)為攻擊者不知道種子就無法假冒。這種方法是不行的，因為CRC校驗和的算法服從疊加規(guī)則，在有非零種子時，校驗和為零種子時校驗和與種子的校驗和的疊加。因為只要他觀察到成功發(fā)送的關(guān)鍵性幀的校驗和就可以反推出種子的校驗和，進而反推出種子的值。

CAN 總線消息對象的數(shù)據(jù)結(jié)構(gòu)需要實現(xiàn)的功能有：本對象是否已被取代；發(fā)現(xiàn)假冒時是否要報錯；能否修改這種報錯能力。為實現(xiàn)上述功能，除了原有的Update、ready 等以外，要新增Active、masquerade check setting、masquerade check setting enable位。

Active=1 表示該消息在條件滿足時可以發(fā)送，Active=0 表示即使消息條件滿足也不可移入發(fā)送緩沖器發(fā)送，因為可能該輸出已被取代。Active位在應(yīng)用需要改變時由程序更改，即主節(jié)點在發(fā)出更改幀時，其含的ID發(fā)送到各節(jié)點，除申請節(jié)點外，原來Active=1的對象改為Active=0。

發(fā)送濾波器在Active=1及masquerade check setting=1時見到總線上有假冒錯便可以發(fā)送報錯幀，在Active=1及masquerade check setting=0時表示見到匹配的ID不發(fā)送報錯幀。

masquerade check setting enable表示masquerade check setting是否可以修改，masquerade check setting enable=1表示整車廠認(rèn)為此參數(shù)太重要，以至不容許被取代領(lǐng)導(dǎo)者，所以任何取代都是不合法的。例如上述主節(jié)點發(fā)送修改幀的對象是不容許被取代的。masquerade check setting enable及masquerade check setting位只有整個ECU程序刷新時才能更改，所以車廠有最終控制權(quán)。

只有整車廠設(shè)置masquerade check setting enable=0時，應(yīng)用程序才允許獲取設(shè)置masquerade check setting的值，這是提供的一種未來的選項。

新增的數(shù)據(jù)結(jié)構(gòu)會影響消息對象內(nèi)部發(fā)送的順序，只有Active=1 的就緒的發(fā)送消息才能參加發(fā)送隊列。

3殘存弱點的處理原則

在上述CAN總線層上實現(xiàn)的防假冒錯的措施之后，尚有失控的可能性。例如通過無線接入的合法替代的濫用，即以太網(wǎng)那里出了問題，置駕駛員的意愿不顧；不斷的假冒幀-報錯會造成總線帶寬消耗，形成正常通信拒絕服務(wù)(deny of service)，這也是需要解決的。

IT領(lǐng)域中網(wǎng)絡(luò)行為異常被作為存在可疑黑客攻擊的警示，在汽車中更重要的是對黑客攻擊后果的防止。由于汽車有更多傳感器對環(huán)境作出判斷，只要把設(shè)計的控制優(yōu)先級放在現(xiàn)場，那么黑客攻擊的后果就可以大大緩和。例如視頻監(jiān)控發(fā)現(xiàn)車前有障礙物(前車、路人、路口紅燈)，黑客通過合法替代濫用形成的車加速命令就不會執(zhí)行；對車道的判斷不允許執(zhí)行黑客突然停車命令而停在行車道中；車的環(huán)境溫度傳感器超限可以阻止黑客濫用座墊加熱命令。而這些發(fā)生沖突的事件可以作為阻止黑客攻擊的事件而加以進一步處理。

4在IntCAN總線中實現(xiàn)對抗攻擊的好處

汽車的安全狀態(tài)定義是非常重要的，過去的定義重點是設(shè)計一個降額運行的狀態(tài)，一旦有故障就降額，保證汽車可以跛足進入一個安全的環(huán)境。故障-沉默(fail-silent)有時是背道而馳的，例如CAN總線通信有故障時，雙離合器變速器均不嚙合就會使車失去動力，甚至連實現(xiàn)跛足回家都不可能。另一方面，車是一個運動的物體，其過渡過程也需要安全，所以盡快進入也是要爭取實現(xiàn)的指標(biāo)。

在IntCAN總線的可中斷通信協(xié)議中考慮含有系統(tǒng)重啟的強大的二級中斷Int2d1[5]。懷疑有黑客侵入車內(nèi)系統(tǒng)時，駕駛員不僅要禁止車與外網(wǎng)的連接，而且要恢復(fù)原來的曾是成功的設(shè)置，就像重啟 Windows一樣，此時駕駛員不必知曉動作的細(xì)節(jié)，只要按一個按鈕就行。與按鈕相連的主節(jié)點發(fā)送2d1中斷幀，此中斷幀可以超越所有常規(guī)幀，不管黑客植入什么，系統(tǒng)是否正在按病毒做什么，仍能停止其干擾。節(jié)點在收到2d1中斷幀及其后續(xù)幀后，恢復(fù)到后備設(shè)置，或其他預(yù)定的工作模式。這個后備設(shè)置將禁止一些高級控制方式(包括來自網(wǎng)絡(luò)的高級控制方式)，僅當(dāng)駕駛員允許時才可再進入，所以儀表板要有此手動切換的方法。

當(dāng)黑客攻擊被否決時，總線上錯誤會很多，IntCAN系統(tǒng)進入Failure狀態(tài)，可采用提醒應(yīng)用進入對應(yīng)的安全狀態(tài)的方式加以處理。拒絕服務(wù)錯誤發(fā)生時并非帶寬已經(jīng)耗盡，所以此時可以采用降額運行的方案，例如限制車速的“跛足回家”的方案。還可以有暫時降低排放、舒適性的讓出帶寬的降額方案，這些降額方案要由車廠預(yù)先設(shè)計好。

結(jié)語

在IntCAN中，上述替代控制合法性檢驗后，主節(jié)點發(fā)送替代輸出修改用幀的方式也可以經(jīng)由中斷幀引導(dǎo)，從而加快反應(yīng)速度，此時修改用幀傳送時間不受優(yōu)先級影響，對ID的分配也就沒有要求了。外部節(jié)點也無法假冒主節(jié)點的中斷幀，因為對二級中斷同樣設(shè)置了發(fā)送濾波器機制：主節(jié)點自己未發(fā)二級中斷而在總線上見到二級中斷時，它會發(fā)送IntF來破壞假冒的二級中斷。

如需與作者聯(lián)系，可以發(fā)郵件到：yfy812@163.com。

參考文獻

[1] 黑客攻擊汽車總結(jié)篇之漏洞在哪兒(上)[EB/OL].[2015-10].http://auto.163.com/15/0826/10/B1UIR8F0000853 V5.html.

[2] 黑客獨家披露：我們是如何破解特斯拉的？[EB/OL].[2015-10].http://auto.huanqiu.com/globalnews/2015-08/7255628.html.

[3] 看黑客如何遠(yuǎn)程入侵并控制汽車[EB/OL].[2015-10].http://tech.163.com/15/0722/07/AV44NH8I000915BF.html.

[4] Tobias Hoppe.Security Threats to Automotive CAN Networks-Practical Examples and Selected S hort-Term Countermeasures[C]//M.D. Harrison and M.-A. Sujan(Eds.):SAFECOMP 2008,LNCS5219,2008.

[5] 楊福宇.IntCAN中為什么需要通信中斷？[J].單片機與嵌入式系統(tǒng)應(yīng)用,2015(8):19-22.

Anti-hacker Attack Method for Site Priority Vehicle Control Network

Yang Fuyu

(Chongqing Industrial Automation Instrument Research,Chongqing 401123,China)

Abstract：The hacker attack to the automotive control networks will endanger the safety of driver and passengers.Due to wide spread wireless application connected to the control networks,security has become current issue.Firstly,two vulnerable points in the automotive control networks are analyzed:the free reach-ability for easily adding unauthorized nodes,and abuse of authorized action by the hacker.Then the validity of the transmission filter against the frame of the fake signal is analyzed.Finally,the interruptible CAN solution for the anti-hacker attack mechanism is discussed.

Key words:CAN bus;information security;masquerade error

收稿日期：(責(zé)任編輯：薛士然2015-10-16)

中圖分類號:TP302

文獻標(biāo)識碼:A