道路车辆网络安全概述

张政

上汽通用汽车有限公司 上海市 201206

1 引言

随着智能网联汽车的逐步发展，智能网联汽车已经逐渐进入人们视野。从网联汽车对外接口来看，攻击接口可以分为三类：①物理访问接口，如诊断口OBD-II、车内USB接口、电动汽车的充电端口等；②短距离无线访问接口，如蓝牙、WiFi、无钥匙进入系统、胎压系统、车载雷达等；③长距离无线访问接口，如无线电广播、GPS、OnStar、移动3G/4G网络等。攻击者可以通过以上接口对车辆进行攻击，严重威胁驾驶者的人身和财产安全，车辆网络信息安全问题日益突出。

2 CAN总线网络安全问题

CAN (Controller Area Network) 总线是目前各主机厂使用最广泛的车载总线网络技术，由于汽车网络信息安全问题的凸显，因此，解决车载CAN总线网络的信息安全问题尤其至关重要。

2.1 CAN总线特点

车载CAN总线网络技术上每一条 CAN报文都有自己的CAN ID标识符，CAN ID的主要功能是报文识别和优先级确定。CAN总线主要特性如下：

①多主节点控制。总线上所有的节点都可以作为主节点来发送报文，各节点平等，任何时刻都可以主动发送。

②基于优先级的总线仲裁制。多个单元同时开始发送时，优先级较高的ID获得发送权，采取逐位仲裁比较的方式，判断哪一个消息报文优先发送。

③广播式发送报文。报文可以被所有节点同时接收，各节点依据具体情况有选择地接收或者响应报文信息，从而控制汽车执行相关操作。

④节点单元总数没有限制。在CAN网络中，接入总线的节点数理论上没有限制，可同时接入较多节点，但是随着节点数的增加，总线的通信速率会降低。

2.2 CAN总线安全威胁

基于以上CAN总线的性能特点，结合目前车载CAN总线网络安全威胁研究，主要可归纳为以下几点：

①缺乏总线保护。CAN总线是广播特性的，网络上的恶意节点可以窥探所有发送在网络上的信息或数据包，并且没有任何消息认证码 (MAC，Message Authentication Code)保护。

②易受拒绝服务攻击。在基于优先级的仲裁模式下，拒绝服务攻击(Dos， Denial of service attack)是由于总线仲裁机制导致的，攻击者可使用最高优先级发送数据，从而导致其他ECU无法使用CAN总线。

③消息泄露。可通过车载诊断口（如OBD-II）获取车辆的CAN总线信息，从而导致消息泄露。

针对上述车载CAN总线安全威胁，攻击者可以通过丢弃、欺骗、重放、修改、洪泛等攻击方式对车辆进行攻击，从而影响车辆使用安全。

3 网络安全策略

面对日益严峻的车辆网络安全问题，各主机厂的网络安全策略也在逐渐升级，目前为止，网络安全策略主要经历了三个阶段。

3.1 第一阶段：安全访问

在对各ECU进行诊断时，需要先通过安全访问验证（Service ID为0x27），使用的是2个字节的Seed & Key。当进行安全访问时，设备对ECU发送Seed请求，ECU会将Seed反馈回给设备并根据ECU内部既有算法生成Key，而收到Seed的设备也会根据匹配的算法生成一个Key，并将Key值发送给ECU，ECU会比对两个Key值，若两个Key相同，则安全访问验证通过，反之则不通过。只有通过安全访问验证后才能进行修改车辆信息和控制电器功能的操作。

该方法的验证是基于本地算法的静态验证，ECU的Seed & Key值都是2个字节的，而且每个ECU的Seed & Key值都是固定值，字节数太短，算法简单，属于较基础的安全验证。

3.2 第二阶段：初级网络安全

初级网络安全相比于之前的安全访问有很大的提升，从模块设计初始时就开始强化，主要体现以下方面：ECU支持安全解锁（SU）、安全刷新（SP）、安全诊断（SD），整车架构上增加了中央网关模块（CGM）。

安全解锁（SU， Security Unlock）：类似于之前的安全访问，但是各ECU的Seed& Key值是5字节的。设备根据ECU反馈的Seed值按照一定的算法计算出Key值，并与ECU内部生成的Key值对比，若两个Key值相同，则表明安全解锁成功。该方法也是基于本地算法的静态解锁，字节数较长，解锁较困难。

安全刷新（SP， Security Program）：使用数字签名验证来确认刷新环节的真实性与完整性，每个标定都需提前进行数字签名，若没有数字签名或签名验证不通过则无法刷新成功。

安全诊断（SD，Security Diagnostic）：对诊断服务进行安全合理的升级，发送某些诊断命令时需要在特定环境下才能进行。如0x28诊断服务，车辆行驶中是无法禁止ECU发送应用报文的，否则会影响车辆安全行驶。

架构上增加中央网关模块（CGM，Central Gateway Module）：CGM主要用于对数据的打包，管理，筛选等，为娱乐信息系统与安全的关键组件之间提供了物理的防火墙，可以降低从娱乐信息系统入侵的可能性。

3.3 第三阶段：增强型网络安全

增强型网络安全的主要目的是防止未经授权解锁ECU进行重新刷新或安全诊断；防止车辆通信总线上有未经授权的消息；防止安全敏感信息在车载通信总线不真实的沟通。增强型网络安全相比于初级网络安全，对安全解锁方式、中央网关模块策略做了升级，同时还增加了消息认证码（MAC）机制。

安全解锁升级：从之前5字节的Seed &Key静态解锁方式升级到32字节的动态解锁方式，以前每个ECU的Seed & Key值都是静态的固定值，升级后每次解锁ECU的Seed &Key值都是动态变化的不同值。5字节的解锁算法是集成在刷新工具里的，而32字节的解锁算法是存放在独立的服务器里，每次解锁都需要访问服务器获取Key值，而且服务器设置了多重权限，仅对少部分授权人员开放，从安全解锁方面极大地提升了车载总线的网络安全。

中央网关模块策略升级：之前的网关仅隔离了部分总线（如娱乐系统），而且从实车诊断口是可以读到总线的应用报文信息的。升级后，车辆所有总线都被网关隔离保护，实车诊断口无法读到任何总线的应用报文，仅能够对车辆进行诊断，有效地防止消息泄露。

增加了消息认证码（MAC）机制：消息认证码是在ECU刷新时注入的，消息认证码在每条总线应用报文的开头，各ECU之间只有消息认证码正确的总线应用报文才能够被识别，否则报文将是无效地存在。例如，仪表显示档位信号时需要获取变速箱控制单元的档位信号，如果档位信号正常但消息认证码不正确，仪表控制单元则不会接受该信号，从而无法显示档位。此外，在MAC和报文真实内容之间还加了防重放计数器以防止车辆受到重放的攻击。MAC机制能够有效地确保总线报文的身份真实性、消息正确性以及数据新鲜性。

4 结束语

本文描述了当前道路车辆所面临的网络安全问题，并分析了通过实现车辆安全解锁、安全刷新、安全诊断、网关隔离保护、增加MAC机制等方法加强车辆CAN总线的网络信息安全。当前，车联网的网络信息安全问题已经受到广泛关注，并已成为智能网联技术的关键点。只有车联网的安全性和可靠性得到全面地提升，才能够使得车联网技术实现大规模的应用。汽车行业应该主动地去与互联网公司、网络安全公司进行深度地合作，使得车联网汽车能够更安全、更智能的发展。