一種現場優先的車控網絡防黑客攻擊方法

楊福宇

(重慶工業自動化儀表研究所，重慶 401123)

?

一種現場優先的車控網絡防黑客攻擊方法

楊福宇

(重慶工業自動化儀表研究所，重慶 401123)

摘要:車控網絡受到黑客攻擊時可能直接危及駕乘人員的安全，由于無線接入點與車控網絡的連接已逐漸普及，信息安全已引起重視。本文首先分析了車控網中的兩個薄弱環節：物理口的敞開便于接入未經授權的節點；授權的應用被黑客攻破而濫用。接著分析了用發送濾波器對抗假冒信號幀的有效性，補充了滿足合法取代的要求。最后分析了使用可中斷CAN總線實現對抗黑客攻擊措施可能帶來的好處。

關鍵詞:CAN總線；信息安全；假冒錯

引言

2014年以來，汽車黑客攻擊技術的公開引起車廠、主管部門和消費者的重視，有的車廠已經進行了召回，以打補丁的方式解決問題。這種攻擊替代駕駛員的意愿實現了對汽車的任意操控，給駕乘員人身安全帶來很大風險；另一方面，無人駕駛又是汽車發展的方向，它要在原有操控基礎上逐步實現，需要對原輸出與新輸出作有效分割并實現替代，這種替代也給了黑客導入錯誤的機會。因此，區分替代的合法性，以保證操控的安全性、不受黑客攻擊而失效變得十分必要。

1車控的薄弱環節

現在汽車的操控都是通過CAN總線上的幀來傳送的。黑客接入CAN總線的方式有兩種：一種是通過原有的OBD接口(基于CAN總線)，另一種是經過網關(將各種無線接入的節點跨接到CAN總線上)。最近各種黑客攻擊的實施方法綜述可借鑒參考文獻[1]。漏洞可分為兩種，一種是由于擴大的授權被濫用，例如特斯拉的例子[2]，發現了通過以太網可以合法地“停止汽車”。這就是說只要以太網那邊沒防住，要阻止黑客的辦法就只有切斷以太網的接入了。在切諾基的例子中，黑客改寫了芯片代碼[3]，等同于加入了失控的CAN總線節點。OBD是開放接口，將一個端口分接兩個插座的線纜在市場上很容易購買，任何人都可以加上失控CAN總線節點。另一種是可直接或間接添加的后裝功能，這些CAN節點是否含未經授權的功能或漏洞(例如開發者留的后門)是未知的。出現事故后雖然從刑事責任上可以追查，但危害已經發生，所以必須預先設計對抗此種風險的機制。

CAN總線黑客造成的風險程度不同，例如在OBD接口將CANH、CANL短路最簡單，此時汽車將不會啟動，故障馬上被發現了，也就不會危及生命。但如果加在分接口的是一個CAN總線節點，這個節點可以定時發送幀，情況就不同了，雖然車廠對CAN總線幀的定義保密，但是它是可讀取、可記錄的，將它重發就會有不可預知的結果。這是一種replay攻擊，實現起來很容易。

所以應該考慮一種在發生漏網之魚(無線接入的濫用授權、未經注意的有漏洞的接入)時對抗CAN總線攻擊的方法，作為最后的防線。

CAN總線的接收節點是用標識符ID來選出節點要收的幀，通常用接收濾波器來實現。在發送節點，該幀存放在發送對象里，也含有ID, 但沒有作濾波器的設計。不過由于消息對象在存儲器區域內是任意定義為發送/接收的，硬件上已備有ID比較邏輯。 如果添加發送對象的濾波器設計，那么并未發送的對象就可以通過對總線上ID的監視發現有節點在假冒自己。發現假冒錯(masquerade error)后，就可以通過發報錯幀(error frame)中止假冒幀的發送，從而對抗黑客攻擊。這個思想在參考文獻[4]中已提出，只是沒這么明確地表達。當然，現在的CAN總線及CAN FD還不具備這一功能。如果保證同一時間總線上只有一個合法的發送該ID的發送節點，那么由于黑客攻擊或者干擾引起的假冒錯都可能被檢測出來，從而免除錯誤引起的安全風險。

2對抗措施需要考慮的另一個要求

簡單地添加發送濾波器還是不夠的，因為從發展來看，在兩種情況下我們需要實施替代控制，也就是說對濾波器是否起用需要加以控制，而該控制模塊也要有防假冒的能力。

第一種情況是開發或診斷時需要固定某輸入參數，以觀察控制對象的響應是否合乎邏輯。例如使用OBD接口時開關ERG閥，監視MAP傳感器，觀察ERG閥是否正常。未來的診斷、標定可以深入開發這一能力，通過設置參數使發動機的效率得到細調，提升車的節油與排放水平。車廠由于對車的質量負有法定的責任，所以會擔心第三方軟件的副作用而拒絕使用，但對他們自己的軟件，微調方法仍是必要的。類似的調校也適用于混合動力車兩種動力的切換、能量回收與剎車安全之間的配合等需要大量實驗確定最佳參數標定的場合。

第二種情況是在應用升級時，可選擇性地控制輸出。以往的方法是把所有可選輸出做在一個算法內，由算法挑選輸出。例如控制剎車的最后動作由不同單元計算，結果在一個控制器中綜合。這當然是一種合理的辦法，但是如果考慮選擇性輸出的辦法，可能會更好。例如正常行駛時不使用自動泊車功能，選用人工操控或其他輔助操控，在泊車時切換到用泊車ECU控制轉向及換檔。這種系統升級的方法顯然優于把它混合在一個系統里：由于新老兩個系統有清楚的切分，添加新系統的安全認證就簡單得多；這也使車廠充分利用第三方的供貨變得簡單，拓展了生產協作的渠道；使整個生態鏈的技術進步和成本下降變得容易，因此試驗與比較不同供貨商的自動泊車產品的性價比要容易得多了。同樣地，也可以用于其他的功能升級方案，例如自動巡航、車道偏離、輔助駕駛等。此時只要劃分出新老系統要取代的輸出，一個自己開發、綜合能力不足的廠商也可以充分利用別人先進的東西。由于取代的輸出應該有相同的ID，因此不影響系統的其他部分。這一需求可稱為取代控制(Substitute control)，現在的CAN總線及CAN FD還不具備易于實現這一功能的機制。

下面是實現取代控制又能對抗攻擊的方案：取代時首先要得到授權，在車載CAN總線網上設一個主節點負責授權密碼的驗證。申請取代的源節點(新節點、OBD接口或網關)首先向這個主節點發送一個幀(幀的ID是公開的)，其內容含有授權密鑰及取代輸出的ID。這個密鑰的格式、類型由車廠與被授權方共同確定，可以是固定的，也可以是臨時的、滾動的，總之不易被黑客破譯。主節點收到此幀后要進行檢查，密鑰如合格，則發修改用幀(其ID為唯一，主節點存在發送濾波器)，內容為被修改的輸出的ID。每個節點都收下此幀，按內容檢查本節點的發送濾波器并作相應處理。如果主節點認為密鑰錯誤，就不發送修改用幀，而且采用一種拒絕試探的方法，例如密鑰有錯誤位要等1 min后清除，才能接收下一個申請的檢查。如果平均264次試探可以成功，時間的消耗使黑客幾乎沒有成功可能。

黑客也不能在總線上直接發送修改用幀，因為主節點的發送濾波器匹配會使主節點發報錯幀，進而使黑客的幀失敗。

有人曾建議用CAN總線的CRC檢驗的初值(種子seed)作為數字簽名(密鑰)，認為攻擊者不知道種子就無法假冒。這種方法是不行的，因為CRC校驗和的算法服從疊加規則，在有非零種子時，校驗和為零種子時校驗和與種子的校驗和的疊加。因為只要他觀察到成功發送的關鍵性幀的校驗和就可以反推出種子的校驗和，進而反推出種子的值。

CAN 總線消息對象的數據結構需要實現的功能有：本對象是否已被取代；發現假冒時是否要報錯；能否修改這種報錯能力。為實現上述功能，除了原有的Update、ready 等以外，要新增Active、masquerade check setting、masquerade check setting enable位。

Active=1 表示該消息在條件滿足時可以發送，Active=0 表示即使消息條件滿足也不可移入發送緩沖器發送，因為可能該輸出已被取代。Active位在應用需要改變時由程序更改，即主節點在發出更改幀時，其含的ID發送到各節點，除申請節點外，原來Active=1的對象改為Active=0。

發送濾波器在Active=1及masquerade check setting=1時見到總線上有假冒錯便可以發送報錯幀，在Active=1及masquerade check setting=0時表示見到匹配的ID不發送報錯幀。

masquerade check setting enable表示masquerade check setting是否可以修改，masquerade check setting enable=1表示整車廠認為此參數太重要，以至不容許被取代領導者，所以任何取代都是不合法的。例如上述主節點發送修改幀的對象是不容許被取代的。masquerade check setting enable及masquerade check setting位只有整個ECU程序刷新時才能更改，所以車廠有最終控制權。

只有整車廠設置masquerade check setting enable=0時，應用程序才允許獲取設置masquerade check setting的值，這是提供的一種未來的選項。

新增的數據結構會影響消息對象內部發送的順序，只有Active=1 的就緒的發送消息才能參加發送隊列。

3殘存弱點的處理原則

在上述CAN總線層上實現的防假冒錯的措施之后，尚有失控的可能性。例如通過無線接入的合法替代的濫用，即以太網那里出了問題，置駕駛員的意愿不顧；不斷的假冒幀-報錯會造成總線帶寬消耗，形成正常通信拒絕服務(deny of service)，這也是需要解決的。

IT領域中網絡行為異常被作為存在可疑黑客攻擊的警示，在汽車中更重要的是對黑客攻擊后果的防止。由于汽車有更多傳感器對環境作出判斷，只要把設計的控制優先級放在現場，那么黑客攻擊的后果就可以大大緩和。例如視頻監控發現車前有障礙物(前車、路人、路口紅燈)，黑客通過合法替代濫用形成的車加速命令就不會執行；對車道的判斷不允許執行黑客突然停車命令而停在行車道中；車的環境溫度傳感器超限可以阻止黑客濫用座墊加熱命令。而這些發生沖突的事件可以作為阻止黑客攻擊的事件而加以進一步處理。

4在IntCAN總線中實現對抗攻擊的好處

汽車的安全狀態定義是非常重要的，過去的定義重點是設計一個降額運行的狀態，一旦有故障就降額，保證汽車可以跛足進入一個安全的環境。故障-沉默(fail-silent)有時是背道而馳的，例如CAN總線通信有故障時，雙離合器變速器均不嚙合就會使車失去動力，甚至連實現跛足回家都不可能。另一方面，車是一個運動的物體，其過渡過程也需要安全，所以盡快進入也是要爭取實現的指標。

在IntCAN總線的可中斷通信協議中考慮含有系統重啟的強大的二級中斷Int2d1[5]。懷疑有黑客侵入車內系統時，駕駛員不僅要禁止車與外網的連接，而且要恢復原來的曾是成功的設置，就像重啟 Windows一樣，此時駕駛員不必知曉動作的細節，只要按一個按鈕就行。與按鈕相連的主節點發送2d1中斷幀，此中斷幀可以超越所有常規幀，不管黑客植入什么，系統是否正在按病毒做什么，仍能停止其干擾。節點在收到2d1中斷幀及其后續幀后，恢復到后備設置，或其他預定的工作模式。這個后備設置將禁止一些高級控制方式(包括來自網絡的高級控制方式)，僅當駕駛員允許時才可再進入，所以儀表板要有此手動切換的方法。

當黑客攻擊被否決時，總線上錯誤會很多，IntCAN系統進入Failure狀態，可采用提醒應用進入對應的安全狀態的方式加以處理。拒絕服務錯誤發生時并非帶寬已經耗盡，所以此時可以采用降額運行的方案，例如限制車速的“跛足回家”的方案。還可以有暫時降低排放、舒適性的讓出帶寬的降額方案，這些降額方案要由車廠預先設計好。

結語

在IntCAN中，上述替代控制合法性檢驗后，主節點發送替代輸出修改用幀的方式也可以經由中斷幀引導，從而加快反應速度，此時修改用幀傳送時間不受優先級影響，對ID的分配也就沒有要求了。外部節點也無法假冒主節點的中斷幀，因為對二級中斷同樣設置了發送濾波器機制：主節點自己未發二級中斷而在總線上見到二級中斷時，它會發送IntF來破壞假冒的二級中斷。

如需與作者聯系，可以發郵件到：yfy812@163.com。

參考文獻

[1] 黑客攻擊汽車總結篇之漏洞在哪兒(上)[EB/OL].[2015-10].http://auto.163.com/15/0826/10/B1UIR8F0000853 V5.html.

[2] 黑客獨家披露：我們是如何破解特斯拉的？[EB/OL].[2015-10].http://auto.huanqiu.com/globalnews/2015-08/7255628.html.

[3] 看黑客如何遠程入侵并控制汽車[EB/OL].[2015-10].http://tech.163.com/15/0722/07/AV44NH8I000915BF.html.

[4] Tobias Hoppe.Security Threats to Automotive CAN Networks-Practical Examples and Selected S hort-Term Countermeasures[C]//M.D. Harrison and M.-A. Sujan(Eds.):SAFECOMP 2008,LNCS5219,2008.

[5] 楊福宇.IntCAN中為什么需要通信中斷？[J].單片機與嵌入式系統應用,2015(8):19-22.

Anti-hacker Attack Method for Site Priority Vehicle Control Network

Yang Fuyu

(Chongqing Industrial Automation Instrument Research,Chongqing 401123,China)

Abstract：The hacker attack to the automotive control networks will endanger the safety of driver and passengers.Due to wide spread wireless application connected to the control networks,security has become current issue.Firstly,two vulnerable points in the automotive control networks are analyzed:the free reach-ability for easily adding unauthorized nodes,and abuse of authorized action by the hacker.Then the validity of the transmission filter against the frame of the fake signal is analyzed.Finally,the interruptible CAN solution for the anti-hacker attack mechanism is discussed.

Key words:CAN bus;information security;masquerade error

收稿日期：(責任編輯：薛士然2015-10-16)

中圖分類號:TP302

文獻標識碼:A