向民奇　韋天文　鄧宇　劉書帆

摘 要：目前CAN總線仍是智能網(wǎng)聯(lián)汽車車內(nèi)通信的主要方式，直接與車內(nèi)各ECU控制模塊相連組成整個(gè)車內(nèi)網(wǎng)，由于CAN總線通信為廣播式、缺乏報(bào)文數(shù)據(jù)保密、缺乏報(bào)文數(shù)據(jù)來(lái)源驗(yàn)證以及缺乏DoS攻擊的保護(hù)特性。若車輛遭受網(wǎng)絡(luò)入侵滲透到車內(nèi)CAN總線網(wǎng)絡(luò)時(shí)各個(gè)ECU模塊將面臨嚴(yán)重的威脅，嚴(yán)重將引發(fā)車輛安全事故。如何有效規(guī)避車輛信息安全問題，則需要加強(qiáng)對(duì)車輛的信息安全測(cè)試，及時(shí)發(fā)現(xiàn)存在的安全問題并進(jìn)行修復(fù)。為此本文總結(jié)提出了針對(duì)智能網(wǎng)聯(lián)汽車CAN總線信息安全測(cè)試的方法。主要內(nèi)容為：1、應(yīng)用報(bào)文的模糊測(cè)試、重放攻擊測(cè)試、DoS攻擊測(cè)試;2、診斷報(bào)文的測(cè)試安全分析。

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車 信息安全 CAN總線 OBD接口 安全測(cè)試

Can Bus Cyber Security Test Method of Intelligent Connected Vehicle

Xiang Minqi Wei Tianwen Deng Yu Liu Shufan

Abstract：At present， can bus is still the main way of in vehicle communication of intelligent connected vehicle， and it is directly connected with each ECU control module in the vehicle to form the whole in vehicle network. Can bus communication is broadcast type， lack of message data confidentiality， lack of message data source verification and lack of DoS attack protection characteristics. If the vehicle suffers from network intrusion and penetrates the CAN bus network inside the vehicle， each ECU module will face a serious threat， which will lead to serious vehicle safety accidents. To effectively avoid the vehicle cyber security problems， we need to strengthen the vehicle cyber security testing， timely find the existing security problems and repair. Therefore， this paper summarizes and puts forward the testing method of CAN bus cyber security for intelligent connected vehicles. The main contents are as follows： 1. Fuzzy test of application message， replay attack test， DoS attack test; 2. Test security analysis of diagnostic message.

Key words：intelligent connected vehicle， cyber security， can bus， OBD interface， security testing

1 引言

今年來(lái)汽車網(wǎng)絡(luò)安全事件頻發(fā)[1-2]。車輛CAN總線作為整個(gè)車聯(lián)網(wǎng)鏈路上最底層的通訊網(wǎng)絡(luò)，直接參與控制車輛各傳感器、ECU以及執(zhí)行器，其可控性直接影響整車安全。車聯(lián)網(wǎng)與傳統(tǒng)網(wǎng)絡(luò)被攻擊所造成的結(jié)果有明顯的區(qū)別，車聯(lián)網(wǎng)被成功攻破后不僅可能是后端TSP服務(wù)平臺(tái)的不可用、車廠或者用戶的個(gè)人隱私敏感信息的泄露，還可能直接引發(fā)車輛安全事故，造成社會(huì)危害。因此對(duì)于智能網(wǎng)聯(lián)汽車即使在傳統(tǒng)的通信網(wǎng)絡(luò)被攻破后，車內(nèi)CAN總線仍需自身具備安全防御能力。為此國(guó)內(nèi)外學(xué)者特意針對(duì)汽車網(wǎng)絡(luò)安全模糊測(cè)試做了研究[3-4]。本文的主要內(nèi)容是針對(duì)智能網(wǎng)聯(lián)汽車CAN總線提出了一套完整的測(cè)試項(xiàng)目、測(cè)試方法及要求。

2 應(yīng)用報(bào)文信息安全測(cè)試

2.1 模糊測(cè)試

在對(duì)車輛CAN總線應(yīng)用報(bào)文進(jìn)行模糊測(cè)試時(shí)，通過OBD口向CAN總線應(yīng)用報(bào)文CAN ID區(qū)間內(nèi)的所有CAN ID（無(wú)論開發(fā)定義中是否真實(shí)存在此CAN ID）依次發(fā)送隨機(jī)生成的報(bào)文數(shù)據(jù)幀或者其他不合法的報(bào)文數(shù)據(jù)幀，觀察車輛異常狀態(tài)。對(duì)于模糊測(cè)試可分為CAN總線通信工具可監(jiān)聽類報(bào)文和不可監(jiān)聽類報(bào)文進(jìn)行測(cè)試。其中可監(jiān)聽類報(bào)文可以在車輛上電時(shí)對(duì)車輛的各ECU執(zhí)行器進(jìn)行動(dòng)作，在報(bào)文監(jiān)聽面板顯示出的CAN ID即是可監(jiān)聽類報(bào)文。

對(duì)于可監(jiān)聽類報(bào)文的模糊測(cè)試重點(diǎn)從以下方面進(jìn)行：1）報(bào)文數(shù)據(jù)幀內(nèi)容變異;2）報(bào)文周期變異;3）報(bào)文字節(jié)數(shù)變異;4）以上3方面的相互組合。對(duì)于不可監(jiān)聽類報(bào)文進(jìn)行模糊測(cè)試是對(duì)應(yīng)用報(bào)文CAN ID區(qū)間內(nèi)沒監(jiān)聽到的CAN ID構(gòu)造小于等于8字節(jié)的周期性隨機(jī)數(shù)據(jù)幀內(nèi)容的發(fā)送類報(bào)文，建議對(duì)每個(gè)不可監(jiān)聽類的CAN ID重復(fù)多個(gè)報(bào)文周期和多個(gè)報(bào)文字節(jié)的隨機(jī)數(shù)據(jù)幀內(nèi)容測(cè)試。

2.2 重放攻擊

對(duì)于車輛CAN總線應(yīng)用報(bào)文的重放攻擊，利用CAN總線通信工具錄制車輛目標(biāo)動(dòng)作的數(shù)據(jù)，然后回放至CAN總線。測(cè)試步驟為：1）報(bào)文錄制——測(cè)試人員對(duì)車輛執(zhí)行相應(yīng)的操作，利用CAN總線通信工具錄制測(cè)試操作過程中的所有報(bào)文;2）報(bào)文回放——測(cè)試人員將車輛恢復(fù)至操作前狀態(tài)，利用CAN總線通信工具將錄制的報(bào)文進(jìn)行回放至CAN 網(wǎng)絡(luò);3） 觀察車輛異常狀態(tài)。