摘要

今天，汽車不再僅僅是孤立的機械設備，而是越來越多地與外部環(huán)境相連接，例如V2I（車到基礎設施）、V2V（車到車）、V2C（車到云）和V2X（車到萬物）。高度的連通性使得車輛暴露在一系列安全和隱私威脅之下。車輛控制模塊越來越多的互連需求意味著沒有保障就沒有安全。

在本文中，我們描述了CAN和以太網(wǎng)汽車總線的脆弱性。介紹了連接到高速千兆位汽車以太網(wǎng)的多域CAN總線。闡述了后端計算機和中央計算網(wǎng)關(guān)提供分層安全。解釋了硬件安全模塊和CAN幀中的消息認證碼(MAC)將提高安全性。提出了保護汽車以太網(wǎng)總線的方法。

I.簡介

安全功能不僅必須包括物理訪問和保護機密信息，還必須包括關(guān)鍵安全系統(tǒng)。我們必須預測各種形式的攻擊，以防止對嵌入式系統(tǒng)和數(shù)據(jù)的訪問。

它需要利用已經(jīng)成為消費類電子產(chǎn)品的技術(shù)水平的優(yōu)勢。然而，汽車電子與消費電子有很大不同。汽車系統(tǒng)的首要重點是安全和產(chǎn)品質(zhì)量，并采用最高的網(wǎng)絡安全標準，以確保汽車中的電子產(chǎn)品的可靠性。

本節(jié)介紹了現(xiàn)代汽車電子和網(wǎng)絡結(jié)構(gòu)，以及軟件更新的空中作業(yè)。汽車電子架構(gòu)正在迅速變化和發(fā)展。它們正在從功能孤立的電子控制單元轉(zhuǎn)變?yōu)榫哂性圃L問、遠程更新和高帶寬訪問其他車輛和周圍基礎設施的分布式網(wǎng)絡系統(tǒng)。 這促使人們需要提高數(shù)據(jù)完整性和網(wǎng)絡安全性。此外，隨著與車輛之間的無線通信變得越來越普遍，在網(wǎng)絡中采取安全措施以防止未經(jīng)授權(quán)訪問車輛網(wǎng)絡也是一個重要的推動力。

A. 汽車電子和網(wǎng)絡結(jié)構(gòu)

為了提高日益增長的車輛性能、安全性、效率和可靠性，現(xiàn)代車輛可能具有越來越多的傳感器、執(zhí)行器和專用計算域控制器，以及車輛內(nèi)部和外部網(wǎng)絡通信，如圖1所示。

圖1：汽車電子和網(wǎng)絡架構(gòu)

B. 中央網(wǎng)關(guān)服務器

中央信息服務器和代理將處理所有通信信息。 它將本地域控制與外部環(huán)境隔離開來，以維護其安全和保障。 實體、信息和服務將是分開的。這有利于從基本車輛到裝備齊全的車輛的可擴展性和規(guī)模。

在未來的汽車架構(gòu)中，中央網(wǎng)關(guān)作為信息橋梁來交換信息，并隔離車內(nèi)域控制器和外圍通信源，如移動蜂窩、藍牙、Wi-Fi、以太網(wǎng)。 它還充當汽車的中央診斷接口。域控制器還充當中央網(wǎng)關(guān)和本地智能傳感器、執(zhí)行器和ECU之間的網(wǎng)關(guān)，在以太網(wǎng)和CAN或LIN之間翻譯和交換信息。

中央網(wǎng)關(guān)將承擔維護網(wǎng)絡安全的主要責任。中央網(wǎng)關(guān)驗證通信是否來自批準的來源，保護認證不被欺騙，并將網(wǎng)絡通信限制在預定的正常行為上，限制異?；虼罅康男畔ⅲ员苊鈸p害車輛的功能。它還需要阻止未經(jīng)批準的和不適當?shù)男畔?，并提醒任何無效的嘗試。這可以極大地提高整個車輛網(wǎng)絡的安全性，并大大減輕車內(nèi)域控制器的安全負擔。

C. 車內(nèi)和后端架構(gòu)

車載系統(tǒng)和后端架構(gòu)之間有越來越多的互動。它將通過Wi-Fi，以及高帶寬的5G蜂窩網(wǎng)絡進行連接。

為了安全功能和自主控制，車輛將被要求與外部來源，如其他車輛、基礎設施和基于云的來源，交換數(shù)據(jù)和信息，包括有關(guān)天氣、交通、道路建設、更新地圖的信息。因為重新編程算法來處理和實時做出每個可能的場景和不斷變化的駕駛條件的決定并不容易，越來越多的汽車功能需要與后端系統(tǒng)獲取數(shù)據(jù)和信息，并在后端部分執(zhí)行。

II.安全網(wǎng)絡通信

隨著車輛內(nèi)部和外部連接的增加，安全和保障是建立一個安全的汽車電子系統(tǒng)的一個重要問題。CAN和以太網(wǎng)將是現(xiàn)代汽車網(wǎng)絡結(jié)構(gòu)中應用的兩個最主要的通信媒介。

A. CAN網(wǎng)絡安全

CAN總線是最流行的車載網(wǎng)絡，支持電子控制單元（ECU）之間交換車輛信息和狀態(tài)。CAN協(xié)議缺乏安全機制來防止各種攻擊。CAN總線通信不僅容易受到來自車輛內(nèi)部的攻擊，而且也容易受到來自外部的攻擊。隨著連接性的增加，已經(jīng)在CAN總線上暴露和引入了更多的入口點和接口。這導致了一個更廣泛的潛在攻擊面。例如，最近的報告指出，歐洲福特和大眾的兩款著名的聯(lián)網(wǎng)汽車很容易通過信息娛樂裝置受到網(wǎng)絡攻擊。

最初，在車輛內(nèi)使用CAN并沒有考慮安全問題，因為當時的車輛幾乎是孤立的，沒有與外部環(huán)境連接。最初的CAN協(xié)議沒有安全測量，它很容易受到幀注入或拒絕服務的攻擊。如今，車輛的連接越來越多，它們有內(nèi)部和外部通信接口，如以太網(wǎng)、藍牙和蜂窩移動網(wǎng)絡，因此網(wǎng)絡安全已經(jīng)成為一個大問題。

1) 車載CAN總線的漏洞

在車輛CAN總線中存在一些安全漏洞：

? CAN網(wǎng)絡不是分段的，而且是廣播式的，CAN總線中的所有節(jié)點都連接到同一總線上。 廣播機制被用于CAN總線傳輸數(shù)據(jù)，這意味著CAN網(wǎng)絡上的所有節(jié)點都可以發(fā)送和接收相同的消息。

? 沒有任何安全機制用于認證，因此CAN總線容易受到消息中毒和拒絕服務攻擊。

? 由于廣播機制，連接到CAN總線的每個節(jié)點都可以嗅到CAN幀。CAN總線上的流量沒有被加密，因此可以很容易地被數(shù)據(jù)嗅探攻擊所讀取。

? 一個ECU可以使CAN總線處于支配狀態(tài)，從而阻止其他節(jié)點使用總線。

? 有許多潛在的攻擊面和連接，如診斷端口、Wi-Fi和藍牙。

2) CAN總線安全機制

考慮到CAN總線的容量有限，任何解決其脆弱性的對策都不應該使總線過載。CAN的安全測量可以分為加密、認證和將消息分割成多個幀。加密方法已被用于確保CAN總線免受來自車輛內(nèi)部的攻擊。由于目前ECU缺乏計算資源，加密機制很難被使用。此外，車輛內(nèi)的決策需要實時的數(shù)據(jù)分析，任何由于數(shù)據(jù)加密造成的延遲都會導致道路上的安全問題。相比之下，入侵檢測系統(tǒng)（IDS）與一些加密機制相比，不需要改變網(wǎng)絡和協(xié)議規(guī)范。然而，一些基于深度學習的IDS需要大量的計算資源，而這些資源在一輛車內(nèi)是有限的。

a) 加密

基于加密的解決方案專注于確保CAN總線免受惡意信息的影響。在CAN總線中實施加密需要在節(jié)點和控制器中增加計算資源。加密可用于通過信息驗證碼（MAC）提供認證和數(shù)據(jù)完整性。這種應用于經(jīng)典CAN總線的方法包括創(chuàng)建一個小于8字節(jié)的小型MAC標簽，并將其與實際的CAN數(shù)據(jù)有效載荷一起插入，如圖2所示。這個標簽具有完整性和認證，已經(jīng)被共享秘鑰加密了。每個節(jié)點中預裝的密鑰可用于建立密鑰交換和認證。鑒于CAN總線的有限容量和低計算資源，硬件安全模塊（HSM）也可用于資源有限的節(jié)點，以提供更好的加密/解密性能。

圖2：CAN幀內(nèi)的MAC簽名

基于硬件的加密：硬件方法可以節(jié)省計算資源，以加快生成車內(nèi)CAN網(wǎng)絡的密碼功能的過程。然而，網(wǎng)絡中的每個ECU都需要更新以包括基于硬件的加密技術(shù)，這與目前的車輛不兼容，而且實施的成本可能很高。

基于軟件的加密：這種機制的主要概念是通過使用加密和認證機制為CAN總線提供安全，而不需要額外的硬件或?qū)ΜF(xiàn)有ECU進行修改。

b) CAN幀認證和加密

認證機制被稱為消息認證碼（MAC），可用于為車內(nèi)CAN總線提供認證和數(shù)據(jù)的完整性。然而，這種方法并不提供保密性，這意味著CAN總線仍然能夠被嗅到并被反向工程攻擊。因此，需要結(jié)合加密和認證機制來提供更好的數(shù)據(jù)保密性、安全性和完整性。這種機制提供了對嗅探和注入攻擊的預防。

c) 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）可以是基于簽名的方法，可用于檢測車輛CAN網(wǎng)絡內(nèi)的惡意攻擊。IDS可以根據(jù)其位置分為基于主機的IDS和基于網(wǎng)絡的IDS。

基于簽名的IDS是基于檢測預先定義的攻擊簽名列表的。

B. 以太網(wǎng)網(wǎng)絡安全

雖然以太網(wǎng)直到最近幾年才被廣泛地應用于汽車行業(yè)，但隨著汽車內(nèi)功能需要支持越來越復雜的計算和通信，汽車以太網(wǎng)的使用正在上升。隨著對安全措施和帶寬需求的增加，目前的汽車網(wǎng)絡總線即將達到其極限。CAN的帶寬有限，最高為1Mbps，而且有效載荷很小，只有8個字節(jié)[9,10]。因此，需要另一種具有更高帶寬的網(wǎng)絡通信，如以太網(wǎng)。汽車以太網(wǎng)是使用基于以太網(wǎng)的網(wǎng)絡在車載電子控制單元之間進行連接。現(xiàn)代汽車電氣/電子架構(gòu)現(xiàn)在正在跨越領(lǐng)域界限進行擴展。這引起了人們對安全保障、安全和可靠時間響應的關(guān)注。

1) 以太網(wǎng)網(wǎng)絡漏洞

以太網(wǎng)可以通過連接設備到網(wǎng)絡或獲得對現(xiàn)有設備的控制來進行攻擊。在汽車以太網(wǎng)網(wǎng)絡中存在一些安全漏洞。主要的漏洞類別包括以下不同的漏洞：

未經(jīng)授權(quán)的加入：任何設備都可以連接到以太網(wǎng)交換機上一個未連接的端口。它將接入網(wǎng)絡，如果任何設備通過物理訪問接入網(wǎng)絡交換機，它可以進行通信。

交換控制：交換機有風險，可以通過改變交通路線來管理。

交通保密性：在以太網(wǎng)網(wǎng)絡中，沒有防止未經(jīng)授權(quán)的讀取的保護機制。任何發(fā)送到設備的幀，如果它默認是可讀的，并且有方法強制交換機廣播網(wǎng)絡上的所有流量，這將使惡意用戶能夠讀取網(wǎng)絡上的所有流量。

2) 針對漏洞的以太網(wǎng)反措施

正如我們所知，有許多與以太網(wǎng)有關(guān)的威脅。這些漏洞已經(jīng)被汽車以太網(wǎng)繼承了，因此對現(xiàn)代汽車中的汽車以太網(wǎng)的實施造成了關(guān)鍵問題。為了避免ECU受到任何潛在的惡意攻擊，需要采取不同的應對措施。

a) 傳統(tǒng)的IT解決方案

我們需要檢測并禁止試圖獲得未經(jīng)授權(quán)的網(wǎng)絡訪問的節(jié)點，識別并防止網(wǎng)絡操縱?，F(xiàn)在有一些既定的解決方案，如虛擬網(wǎng)絡--VLANs--來劃分網(wǎng)絡流量。最初，網(wǎng)絡端口被分配到各種VLAN的交換機上?，F(xiàn)在，它也標記以太網(wǎng)幀和獨立于端口的VLAN。加密認證或加密也是實現(xiàn)網(wǎng)絡安全的普遍解決方案。

此外，還有通過使用過濾規(guī)則的安全機制，經(jīng)典的防火墻控制哪些數(shù)據(jù)包可以在不同的節(jié)點或網(wǎng)絡之間移動。入侵檢測系統(tǒng)（IDS）和入侵預防系統(tǒng)（IPS）是為了保護而產(chǎn)生的。

b) 現(xiàn)代車輛網(wǎng)絡的安全機制

現(xiàn)代汽車網(wǎng)絡架構(gòu)與經(jīng)典IT行業(yè)使用的網(wǎng)絡架構(gòu)有一些相似之處。在現(xiàn)代汽車以太網(wǎng)中，它被劃分為具有不同保護需求的虛擬區(qū)域，與安全有關(guān)的網(wǎng)絡流量可以被實時識別，它也可以根據(jù)需要被優(yōu)先處理或隔離。如果拒絕服務（DoS）攻擊或故障信息使網(wǎng)絡充斥著數(shù)據(jù)包，可以通過速率限制的方式在下一個交換機上阻止它們，以使優(yōu)先組件中的通信得到優(yōu)先處理。

c) 安全的分層方法

分層安全機制是結(jié)合多種緩解控制措施來保護資源和數(shù)據(jù)的做法。它是建立幾個安全屏障，以避免在一個安全機制被繞過的情況下完全暴露。為了防止廣泛的攻擊，使用多種策略是比較有效的。如果一個層被繞過，其他層可以提供保護。當突破發(fā)生時，其他子系統(tǒng)應保持對攻擊的彈性。在這種情況下，汽車以太網(wǎng)網(wǎng)絡系統(tǒng)中的所有層和組件都要有其穩(wěn)定性和彈性，這一點至關(guān)重要。主要有以下四個層次的安全機制：

限制對網(wǎng)絡的訪問：為了實現(xiàn)這一點，我們可以限制ECU的數(shù)量，所以ECU有板外連接，如藍牙、手機、無線鑰匙、OBD。有一個中央網(wǎng)絡接入點，有嚴格的防火墻來隔離和保護。從外部測試器到ECU的診斷通信將由網(wǎng)關(guān)橋接。并將網(wǎng)絡劃分為不同的隔離安全區(qū)，并限制這些區(qū)域之間的流量，通過網(wǎng)關(guān)進行物理分割和隔離。只有經(jīng)過授權(quán)的設備才能被連接。

安全的車載通信：要做到這一點，有一些既定的解決方案，如加密和認證。不同的密鑰用于不同的功能，一個密鑰只能用于保護有限數(shù)量的數(shù)據(jù)。為了滿足高效執(zhí)行的要求，硬件安全模塊（HSM）與軟件密碼庫結(jié)合使用。

Apply data usage policies: 定義數(shù)據(jù)使用策略以限制數(shù)據(jù)暴露。我們可以只在特定的應用狀態(tài)下接受控制命令，并對請求者進行優(yōu)先排序。

檢測和防御：通過基于不同輸入數(shù)據(jù)或數(shù)據(jù)序列的合理性檢查，檢測任何異常情況，失敗的完整性檢查。通過執(zhí)行帶寬限制，報告并開始緩解。

III.總結(jié)

車輛控制模塊日益相互關(guān)聯(lián)的性質(zhì)意味著沒有保障就沒有安全。在最初應用于汽車E/E系統(tǒng)而沒有跨域通信之后，現(xiàn)代E/E架構(gòu)正在跨域擴展。這引起了對網(wǎng)絡安全、安全和可靠性的挑戰(zhàn)和關(guān)注。需要安全的網(wǎng)絡通信來確保數(shù)據(jù)的可用性、完整性和保密性。傳感器數(shù)據(jù)必須按時提供，執(zhí)行器指令必須正確及時地發(fā)送。傳感器和執(zhí)行器數(shù)據(jù)只由授權(quán)方發(fā)送，以確保完整性。傳感器和執(zhí)行器的數(shù)據(jù)不允許被篡改、刪除或延遲，以保持完整性。傳感器和執(zhí)行器的數(shù)據(jù)不被未經(jīng)授權(quán)的第三方監(jiān)控，以保護數(shù)據(jù)的隱私和保密性。

文章來源：智能汽車開發(fā)者平臺

審核編輯：湯梓紅