基于MBD的商用車終端遠程控制安全系統研究

【摘" 要】當前商用車遠程控制功能存在各類安全隱患，在通信過程中會面臨信息截獲、假冒攻擊的威脅，這些威脅將會導致車聯網的可用性大大降低。文章通過遠程控制功能場景的研究，基于已有的車載終端平臺，通過模型開發方法，設計并實現一個應用于商用車的遠程控制安全系統，并對該系統的功能和性能進行測試。測試結果表明該系統具有一定通信保密性、消息完整性和正確性等功能，在確保商用車遠程控制功能時效性的前提下，提升商用車遠程控制功能的有效性和安全性。

【關鍵詞】遠程控制；車聯網；密鑰；加密；MBD

中圖分類號：U463.6" " 文獻標識碼：A" " 文章編號：1003-8639（ 2024 ）08-0051-03

Research on a Remote Control Security System for Commercial Vehicle Terminals Based on MBD

REN Jingyuan，DU Bin，HOU Rui

（Shaanxi Tianxingjian IoV Information Technology Co.，Ltd.，Xi′an 710200，China）

【Abstract】The current remote control function of commercial vehicles has various security risks. During the communication process，the remote control function may face threats，such as information interception and counterfeit attacks. These threats will greatly reduce the availability of the Internet of Vehicles. Based on the research of remote control function scenarios and existing vehicle terminal platforms，this paper designs and implements a remote control security system by using model-based development approach. And the system was tested and analyzed to verify the reliability and validity. The test results indicate that the system has the capacity to improve communication confidentiality，message integrity，and correctness. The system improves the effectiveness and security of commercial vehicle remote control functions without time delay.

【Key words】remote control；internet of vehicles；key；encryption；MBD

作者簡介

任靜媛，女，工程師，碩士，主要從事車聯網終端嵌入式軟件開發工作；杜彬，男，工程師，主要從事車聯網終端產品項目管理及規劃工作；侯瑞，男，助理工程師，主要從事車聯網終端軟件平臺開發工作。

1" 引言

隨著汽車智能化、網聯化的快速發展，網絡技術在汽車領域得到了廣泛的應用。車載智能終端作為信息交互的關鍵節點，從單一的數據采集逐漸轉變為可為用戶提供各類預警、定位跟蹤、主動車況查詢、遠程控制等服務的車載設備。但是車聯網應用程度的持續提升，對網絡安全造成影響的因素也在逐漸增加，出現了信息泄露、數據篡改、非法控制等安全隱患。為保障車聯網技術應用的安全性，中國工信部先后頒布了《重型車排放遠程監控技術規范》《電動汽車遠程服務與管理系統技術規范》《智能網聯汽車遠程服務與管理系統技術規范》，針對傳統車和電動車的車輛遠程控制安全技術勢在必行。當下，越來越多的車輛推出遠程控制功能，通過手機遠程控制終端，開關空調、啟停車輛、開鎖門等，在車輛便捷性提升的同時，車輛被非法操縱的安全風險一直存在。

本文采用基于模型的開發方法，通過雙重認證、敏感信息加密、目標地址過濾等方式，降低終端授權遠程控制發生信息泄露的可能性。

2" 遠程控制安全體系結構

本文所述遠程控制安全系統按照持續校驗、指令校驗、源地址過濾、密碼對比、結果記錄的流程對遠程控制命令進行加密校驗，構建完善的遠程控制校驗系統，實現了控制流程的閉環，提升終端安全性。遠程控制安全系統工作流程如圖1所示。系統在車輛上電時及上電后，按照一定時間間隔與指定車載控制器校驗，并對校驗的結果進行記錄，錯誤次數超過閾值后限制當前可執行指令。系統根據當前車輛的配置信息對指令值進行有效性校驗，超出范圍的指令終端將直接丟棄，不執行。系統將指令下發至車輛執行端，并對執行端反饋的延時、反饋的信息、執行端的源地址進行校驗，如發生超時或反饋錯誤，則中止此次指令。系統按照固定密鑰+隨機密鑰的方式計算密碼，并等待執行端返回結果。系統記錄并反饋過程及結果數據。指令執行結束后，無論是否成功，均回到空閑狀態，等待下次指令觸發。

遠程控制系統的目的是實現車輛的遠程操控，本文提出的以信息處理為基礎的遠程控制系統安全校驗機制，利用原有的終端設備平臺，實現了控制源、控制過程及控制結果的統一管理。

遠程控制安全系統采用基于模型設計的方法進行開發。近10年來，基于模型的設計（Model Based Design，MBD）在航空、汽車等先進制造業中獲得了廣泛的應用。如圖2所示，MBD以V流程為基礎，以模型為中心，通過搭建模型在系統開發的各個階段進行高效、便捷的循環驗證。通過模型開放、靈活的集成方式，遠程安全控制系統中的加密算法以庫的形式通過C、C++、Python等多種語言單獨開發并集成。利用MBD技術進行遠程控制安全系統的軟件功能開發，大幅降低了軟件開發的難度，提升代碼品質，縮短開發周期。

3" 遠程控制安全系統設計與實現

3.1" 遠程控制安全系統總體設計

本文遠程控制安全系統基于MBD的開發環境，實現控制模型的設計、仿真和控制程序的自動化生成。

遠程控制安全系統包括控制終端與外部執行端校驗流程的校驗機制，密鑰分配及加密算法的計算，指令ID的有效性校驗及執行端身份驗證。系統通過總線、無線通信與車載設備及數據平臺進行通信，獲取控制流程及算法所需的信號，如指令值、密鑰、執行結果、指令請求狀態，用以計算得出安全系統的工作狀態及密碼。遠程控制安全系統示意圖如圖3所示。

3.2" 安全校驗機制

安全校驗機制的主要功能是通過CAN總線控制執行端的校驗流程。系統發起校驗的來源有兩類：遠程信息管理平臺和系統主動校驗，遠程信息管理平臺發起的校驗請求來自于用戶的操作，需攜帶具體的指令ID；系統主動發起的校驗不攜帶具體的控制指令，僅用于確認系統與執行端的通信是否正常、連續。針對上述兩種校驗來源，系統均采用同一安全校驗流程，主動校驗的優先級高于遠程信息管理平臺的校驗。圖4是遠程信息管理平臺校驗成功流程，圖5是主動校驗失敗流程。

首先，用戶通過手機APP操作遠程控制車輛后，系統通過無線通信獲取遠程信息管理平臺下發指令并將指令信息的請求發送至執行端。執行端根據自身狀態返回狀態信息及隨機密鑰。系統使用密鑰通過加密算法計算密碼，并將密碼與執行端的計算結果進行比較，系統向遠程信息管理平臺上報記錄比較結果及失敗原因，用戶從平臺獲取結果。至此，遠程信息管理平臺校驗流程執行結束。

遠程控制安全系統在車輛上電后，周期性地發起主動校驗，確認執行端與系統通信正常，防止其他未授權終端篡改指令執行信息。此流程中校驗請求由系統發起，系統根據自身時鐘模塊對校驗間隔進行判斷。若本次校驗通過，終端會向遠程信息管理平臺上報成功的消息，并修改自身存儲的結果及成功的次數。若出現嚴重故障，即失敗次數超過限值，系統會限制車輛使用，向遠程信息管理平臺上報預警信息，并在平臺對車輛作失敗記錄。

3.3" 密鑰及加密算法

為了確保遠程控制的安全運營，加密驗證技術是必不可少的。密鑰是加密驗證技術的核心，遠程控制安全系統通過固定密鑰與隨機密鑰組合的動態加密方式提升系統的安全性。固定密鑰采用預分配方式分別存儲于系統及執行端內部，隨機密鑰由執行端通過總線發送至安全校驗系統。

考慮到控制指令的實時性及系統運行的穩定性，安全校驗系統選用小型機密算法。為提升系統的靈活性，設計加密算法數據交互層，密鑰、密鑰長度、密碼、密碼長度、密碼計算使能狀態均以接口形式定義，加密算法以源碼、庫等多種形式調用、替換。具體計算步驟如下。

1）密鑰填充，使用內部存儲密鑰與總線接收的隨機數密鑰進行組合，組合為長度64位的密鑰。

2）判斷密碼計算使能是否有效，有效時使用處理后的密鑰通過加密算法計算密碼。

3）將輸出的密碼與掩碼進行異或運算，對異或運算后的密碼進行移位，得出最終的認證密碼。

基于密鑰的動態處理機制，遠程控制安全系統有效避免了密鑰竊取、數據篡改和重放攻擊。通過設計通用數據交互層，對加密算法進行隔離，如替換新的加密算法，無需進行二次或適應性開發，直接替換算法庫或源碼即可，便于系統的維護和移植。

加密算法的開發方式不局限于某一語言或方法，可采用源碼、模型、庫等多種方式開發，系統靈活性較高。

3.4" 指令ID及執行端身份驗證

為進一步提升遠程控制安全系統的正確性及穩定性，在系統內部預置了有效指令ID表（表1）和指令ID對應執行地址表（表2）。系統對遠程信息管理平臺下發的指令進行有效性判斷，如指令ID存在于內置有效指令表內，則執行后續流程；如指令ID不存在，則系統將直接丟棄指令，并反饋執行失敗結果。

系統發出指令校驗后，查找指令ID對應執行地址表，得出目標執行源地址，對反饋信息的執行端進行源地址校驗，如不符合查表結果，則直接忽略反饋信息。

4" 測試驗證

本文基于嵌入式硬件平臺對上述功能進行測試及性能驗證，測試軟硬件環境為：內存64kB，頻率112MHz，測試輔助工具CANoe。

從功能測試及性能測試兩個方面完成遠程控制安全系統的驗證。功能測試包括校驗流程的數據交互、密鑰和密碼的服務調用等，性能測試包括系統各流程階段完成一次完整運算所需的時間、占用的計算資源等。

從表3功能測試結果可知，軟件實現的校驗請求發送、密碼計算、結果上報等功能，能確保控制指令信息的正確性和合理性，滿足安全控制的需求。

為保證遠程控制的時效性要求，校驗各步驟時間要求在一個運行周期，即10ms內完成。由表4可知，安全校驗流程處理時間較為穩定，基本都在2～3ms以內，密碼計算的時間也較為穩定，基本維持在4ms以內，滿足控制指令實時校驗的性能要求。

由上述結果可知，遠程控制安全系統可以有效地實現安全校驗和加解密操作，保障遠程控制指令傳輸執行的安全性，且本機制工作效率較高，可抵擋外部數據篡改、重放等攻擊，在不增加硬件成本的基礎上，滿足遠程控制的安全需求。

5" 總結

本文基于MBD方法實現了遠程控制安全系統的開發及測試，對總線網絡存在的安全威脅進行了分析并提出了安全校驗機制，并增加了小型的加密認證算法，最后對系統進行了功能驗證和性能測試，驗證了系統的正確性及工作效率，可滿足遠程控制信息傳輸的安全校驗需求。

參考文獻：

[1] 趙子垚. 《中國商用汽車產業發展報告（2022）》發布[J]. 汽車縱橫，2022（8）：27-31.

[2] 羅禹. 基于加密算法的車載CAN總線安全通信研究[D]. 長沙：湖南師范大學，2020.

[3] 于柯實. 探討大數據時代計算機網絡信息安全及防護策略研究[J]. 信息系統工程，2023（9）：130-133.

[4] 朱亭諾，劉聰. 面向服務架構的汽車信息安全設計研究[J]. 汽車電器，2022（9）：46-48.

（編輯" 楊凱麟）