CAN总线和车载以太网安全机制

摘要

今天，汽车不再仅仅是孤立的机械设备，而是越来越多地与外部环境相连接，例如V2I（车到基础设施）、V2V（车到车）、V2C（车到云）和V2X（车到万物）。高度的连通性使得车辆暴露在一系列安全和隐私威胁之下。车辆控制模块越来越多的互连需求意味着没有保障就没有安全。

在本文中，我们描述了CAN和以太网汽车总线的脆弱性。介绍了连接到高速千兆位汽车以太网的多域CAN总线。阐述了后端计算机和中央计算网关提供分层安全。解释了硬件安全模块和CAN帧中的消息认证码(MAC)将提高安全性。提出了保护汽车以太网总线的方法。

I.简介

安全功能不仅必须包括物理访问和保护机密信息，还必须包括关键安全系统。我们必须预测各种形式的攻击，以防止对嵌入式系统和数据的访问。

它需要利用已经成为消费类电子产品的技术水平的优势。然而，汽车电子与消费电子有很大不同。汽车系统的首要重点是安全和产品质量，并采用最高的网络安全标准，以确保汽车中的电子产品的可靠性。

本节介绍了现代汽车电子和网络结构，以及软件更新的空中作业。汽车电子架构正在迅速变化和发展。它们正在从功能孤立的电子控制单元转变为具有云访问、远程更新和高带宽访问其他车辆和周围基础设施的分布式网络系统。 这促使人们需要提高数据完整性和网络安全性。此外，随着与车辆之间的无线通信变得越来越普遍，在网络中采取安全措施以防止未经授权访问车辆网络也是一个重要的推动力。

A. 汽车电子和网络结构

为了提高日益增长的车辆性能、安全性、效率和可靠性，现代车辆可能具有越来越多的传感器、执行器和专用计算域控制器，以及车辆内部和外部网络通信，如图1所示。

图1：汽车电子和网络架构

B. 中央网关服务器

中央信息服务器和代理将处理所有通信信息。 它将本地域控制与外部环境隔离开来，以维护其安全和保障。 实体、信息和服务将是分开的。这有利于从基本车辆到装备齐全的车辆的可扩展性和规模。

在未来的汽车架构中，中央网关作为信息桥梁来交换信息，并隔离车内域控制器和外围通信源，如移动蜂窝、蓝牙、Wi-Fi、以太网。 它还充当汽车的中央诊断接口。域控制器还充当中央网关和本地智能传感器、执行器和ECU之间的网关，在以太网和CAN或LIN之间翻译和交换信息。

中央网关将承担维护网络安全的主要责任。中央网关验证通信是否来自批准的来源，保护认证不被欺骗，并将网络通信限制在预定的正常行为上，限制异常或大量的信息，以避免损害车辆的功能。它还需要阻止未经批准的和不适当的信息，并提醒任何无效的尝试。这可以极大地提高整个车辆网络的安全性，并大大减轻车内域控制器的安全负担。

C. 车内和后端架构

车载系统和后端架构之间有越来越多的互动。它将通过Wi-Fi，以及高带宽的5G蜂窝网络进行连接。

为了安全功能和自主控制，车辆将被要求与外部来源，如其他车辆、基础设施和基于云的来源，交换数据和信息，包括有关天气、交通、道路建设、更新地图的信息。因为重新编程算法来处理和实时做出每个可能的场景和不断变化的驾驶条件的决定并不容易，越来越多的汽车功能需要与后端系统获取数据和信息，并在后端部分执行。

II.安全网络通信

随着车辆内部和外部连接的增加，安全和保障是建立一个安全的汽车电子系统的一个重要问题。CAN和以太网将是现代汽车网络结构中应用的两个最主要的通信媒介。

A. CAN网络安全

CAN总线是最流行的车载网络，支持电子控制单元（ECU）之间交换车辆信息和状态。CAN协议缺乏安全机制来防止各种攻击。CAN总线通信不仅容易受到来自车辆内部的攻击，而且也容易受到来自外部的攻击。随着连接性的增加，已经在CAN总线上暴露和引入了更多的入口点和接口。这导致了一个更广泛的潜在攻击面。例如，最近的报告指出，欧洲福特和大众的两款著名的联网汽车很容易通过信息娱乐装置受到网络攻击。

最初，在车辆内使用CAN并没有考虑安全问题，因为当时的车辆几乎是孤立的，没有与外部环境连接。最初的CAN协议没有安全测量，它很容易受到帧注入或拒绝服务的攻击。如今，车辆的连接越来越多，它们有内部和外部通信接口，如以太网、蓝牙和蜂窝移动网络，因此网络安全已经成为一个大问题。

1) 车载CAN总线的漏洞

在车辆CAN总线中存在一些安全漏洞：

• CAN网络不是分段的，而且是广播式的，CAN总线中的所有节点都连接到同一总线上。 广播机制被用于CAN总线传输数据，这意味着CAN网络上的所有节点都可以发送和接收相同的消息。

• 没有任何安全机制用于认证，因此CAN总线容易受到消息中毒和拒绝服务攻击。

• 由于广播机制，连接到CAN总线的每个节点都可以嗅到CAN帧。CAN总线上的流量没有被加密，因此可以很容易地被数据嗅探攻击所读取。

• 一个ECU可以使CAN总线处于支配状态，从而阻止其他节点使用总线。

• 有许多潜在的攻击面和连接，如诊断端口、Wi-Fi和蓝牙。

2) CAN总线安全机制

考虑到CAN总线的容量有限，任何解决其脆弱性的对策都不应该使总线过载。CAN的安全测量可以分为加密、认证和将消息分割成多个帧。加密方法已被用于确保CAN总线免受来自车辆内部的攻击。由于目前ECU缺乏计算资源，加密机制很难被使用。此外，车辆内的决策需要实时的数据分析，任何由于数据加密造成的延迟都会导致道路上的安全问题。相比之下，入侵检测系统（IDS）与一些加密机制相比，不需要改变网络和协议规范。然而，一些基于深度学习的IDS需要大量的计算资源，而这些资源在一辆车内是有限的。

a) 加密

基于加密的解决方案专注于确保CAN总线免受恶意信息的影响。在CAN总线中实施加密需要在节点和控制器中增加计算资源。加密可用于通过信息验证码（MAC）提供认证和数据完整性。这种应用于经典CAN总线的方法包括创建一个小于8字节的小型MAC标签，并将其与实际的CAN数据有效载荷一起插入，如图2所示。这个标签具有完整性和认证，已经被共享秘钥加密了。每个节点中预装的密钥可用于建立密钥交换和认证。鉴于CAN总线的有限容量和低计算资源，硬件安全模块（HSM）也可用于资源有限的节点，以提供更好的加密/解密性能。

图2：CAN帧内的MAC签名

基于硬件的加密：硬件方法可以节省计算资源，以加快生成车内CAN网络的密码功能的过程。然而，网络中的每个ECU都需要更新以包括基于硬件的加密技术，这与目前的车辆不兼容，而且实施的成本可能很高。

基于软件的加密：这种机制的主要概念是通过使用加密和认证机制为CAN总线提供安全，而不需要额外的硬件或对现有ECU进行修改。

b) CAN帧认证和加密

认证机制被称为消息认证码（MAC），可用于为车内CAN总线提供认证和数据的完整性。然而，这种方法并不提供保密性，这意味着CAN总线仍然能够被嗅到并被反向工程攻击。因此，需要结合加密和认证机制来提供更好的数据保密性、安全性和完整性。这种机制提供了对嗅探和注入攻击的预防。

c) 入侵检测系统

入侵检测系统（IDS）可以是基于签名的方法，可用于检测车辆CAN网络内的恶意攻击。IDS可以根据其位置分为基于主机的IDS和基于网络的IDS。

基于签名的IDS是基于检测预先定义的攻击签名列表的。

B. 以太网网络安全

虽然以太网直到最近几年才被广泛地应用于汽车行业，但随着汽车内功能需要支持越来越复杂的计算和通信，汽车以太网的使用正在上升。随着对安全措施和带宽需求的增加，目前的汽车网络总线即将达到其极限。CAN的带宽有限，最高为1Mbps，而且有效载荷很小，只有8个字节[9,10]。因此，需要另一种具有更高带宽的网络通信，如以太网。汽车以太网是使用基于以太网的网络在车载电子控制单元之间进行连接。现代汽车电气/电子架构现在正在跨越领域界限进行扩展。这引起了人们对安全保障、安全和可靠时间响应的关注。

1) 以太网网络漏洞

以太网可以通过连接设备到网络或获得对现有设备的控制来进行攻击。在汽车以太网网络中存在一些安全漏洞。主要的漏洞类别包括以下不同的漏洞：

未经授权的加入 ：任何设备都可以连接到以太网交换机上一个未连接的端口。它将接入网络，如果任何设备通过物理访问接入网络交换机，它可以进行通信。

交换控制： 交换机有风险，可以通过改变交通路线来管理。

交通保密性： 在以太网网络中，没有防止未经授权的读取的保护机制。任何发送到设备的帧，如果它默认是可读的，并且有方法强制交换机广播网络上的所有流量，这将使恶意用户能够读取网络上的所有流量。

2) 针对漏洞的以太网反措施

正如我们所知，有许多与以太网有关的威胁。这些漏洞已经被汽车以太网继承了，因此对现代汽车中的汽车以太网的实施造成了关键问题。为了避免ECU受到任何潜在的恶意攻击，需要采取不同的应对措施。

a) 传统的IT解决方案

我们需要检测并禁止试图获得未经授权的网络访问的节点，识别并防止网络操纵。现在有一些既定的解决方案，如虚拟网络--VLANs--来划分网络流量。最初，网络端口被分配到各种VLAN的交换机上。现在，它也标记以太网帧和独立于端口的VLAN。加密认证或加密也是实现网络安全的普遍解决方案。

此外，还有通过使用过滤规则的安全机制，经典的防火墙控制哪些数据包可以在不同的节点或网络之间移动。入侵检测系统（IDS）和入侵预防系统（IPS）是为了保护而产生的。

b) 现代车辆网络的安全机制

现代汽车网络架构与经典IT行业使用的网络架构有一些相似之处。在现代汽车以太网中，它被划分为具有不同保护需求的虚拟区域，与安全有关的网络流量可以被实时识别，它也可以根据需要被优先处理或隔离。如果拒绝服务（DoS）攻击或故障信息使网络充斥着数据包，可以通过速率限制的方式在下一个交换机上阻止它们，以使优先组件中的通信得到优先处理。

c) 安全的分层方法

分层安全机制是结合多种缓解控制措施来保护资源和数据的做法。它是建立几个安全屏障，以避免在一个安全机制被绕过的情况下完全暴露。为了防止广泛的攻击，使用多种策略是比较有效的。如果一个层被绕过，其他层可以提供保护。当突破发生时，其他子系统应保持对攻击的弹性。在这种情况下，汽车以太网网络系统中的所有层和组件都要有其稳定性和弹性，这一点至关重要。主要有以下四个层次的安全机制：

限制对网络的访问： 为了实现这一点，我们可以限制ECU的数量，所以ECU有板外连接，如蓝牙、手机、无线钥匙、OBD。有一个中央网络接入点，有严格的防火墙来隔离和保护。从外部测试器到ECU的诊断通信将由网关桥接。并将网络划分为不同的隔离安全区，并限制这些区域之间的流量，通过网关进行物理分割和隔离。只有经过授权的设备才能被连接。

安全的车载通信： 要做到这一点，有一些既定的解决方案，如加密和认证。不同的密钥用于不同的功能，一个密钥只能用于保护有限数量的数据。为了满足高效执行的要求，硬件安全模块（HSM）与软件密码库结合使用。

Apply data usage policies: 定义数据使用策略以限制数据暴露。我们可以只在特定的应用状态下接受控制命令，并对请求者进行优先排序。

检测和防御： 通过基于不同输入数据或数据序列的合理性检查，检测任何异常情况，失败的完整性检查。通过执行带宽限制，报告并开始缓解。

III.总结

车辆控制模块日益相互关联的性质意味着没有保障就没有安全。在最初应用于汽车E/E系统而没有跨域通信之后，现代E/E架构正在跨域扩展。这引起了对网络安全、安全和可靠性的挑战和关注。需要安全的网络通信来确保数据的可用性、完整性和保密性。传感器数据必须按时提供，执行器指令必须正确及时地发送。传感器和执行器数据只由授权方发送，以确保完整性。传感器和执行器的数据不允许被篡改、删除或延迟，以保持完整性。传感器和执行器的数据不被未经授权的第三方监控，以保护数据的隐私和保密性。

文章来源：智能汽车开发者平台

　　审核编辑：汤梓红