摘要

今天，汽車不再僅僅是孤立的機械設備，而是越來越多地與外部環境相連接，例如V2I（車到基礎設施）、V2V（車到車）、V2C（車到云）和V2X（車到萬物）。高度的連通性使得車輛暴露在一系列安全和隱私威脅之下。車輛控制模塊越來越多的互連需求意味著沒有保障就沒有安全。

在本文中，我們描述了CAN和以太網汽車總線的脆弱性。介紹了連接到高速千兆位汽車以太網的多域CAN總線。闡述了后端計算機和中央計算網關提供分層安全。解釋了硬件安全模塊和CAN幀中的消息認證碼(MAC)將提高安全性。提出了保護汽車以太網總線的方法。

I.簡介

安全功能不僅必須包括物理訪問和保護機密信息，還必須包括關鍵安全系統。我們必須預測各種形式的攻擊，以防止對嵌入式系統和數據的訪問。

它需要利用已經成為消費類電子產品的技術水平的優勢。然而，汽車電子與消費電子有很大不同。汽車系統的首要重點是安全和產品質量，并采用最高的網絡安全標準，以確保汽車中的電子產品的可靠性。

本節介紹了現代汽車電子和網絡結構，以及軟件更新的空中作業。汽車電子架構正在迅速變化和發展。它們正在從功能孤立的電子控制單元轉變為具有云訪問、遠程更新和高帶寬訪問其他車輛和周圍基礎設施的分布式網絡系統。 這促使人們需要提高數據完整性和網絡安全性。此外，隨著與車輛之間的無線通信變得越來越普遍，在網絡中采取安全措施以防止未經授權訪問車輛網絡也是一個重要的推動力。

A. 汽車電子和網絡結構

為了提高日益增長的車輛性能、安全性、效率和可靠性，現代車輛可能具有越來越多的傳感器、執行器和專用計算域控制器，以及車輛內部和外部網絡通信，如圖1所示。

圖1：汽車電子和網絡架構

B. 中央網關服務器

中央信息服務器和代理將處理所有通信信息。 它將本地域控制與外部環境隔離開來，以維護其安全和保障。 實體、信息和服務將是分開的。這有利于從基本車輛到裝備齊全的車輛的可擴展性和規模。

在未來的汽車架構中，中央網關作為信息橋梁來交換信息，并隔離車內域控制器和外圍通信源，如移動蜂窩、藍牙、Wi-Fi、以太網。 它還充當汽車的中央診斷接口。域控制器還充當中央網關和本地智能傳感器、執行器和ECU之間的網關，在以太網和CAN或LIN之間翻譯和交換信息。

中央網關將承擔維護網絡安全的主要責任。中央網關驗證通信是否來自批準的來源，保護認證不被欺騙，并將網絡通信限制在預定的正常行為上，限制異常或大量的信息，以避免損害車輛的功能。它還需要阻止未經批準的和不適當的信息，并提醒任何無效的嘗試。這可以極大地提高整個車輛網絡的安全性，并大大減輕車內域控制器的安全負擔。

C. 車內和后端架構

車載系統和后端架構之間有越來越多的互動。它將通過Wi-Fi，以及高帶寬的5G蜂窩網絡進行連接。

為了安全功能和自主控制，車輛將被要求與外部來源，如其他車輛、基礎設施和基于云的來源，交換數據和信息，包括有關天氣、交通、道路建設、更新地圖的信息。因為重新編程算法來處理和實時做出每個可能的場景和不斷變化的駕駛條件的決定并不容易，越來越多的汽車功能需要與后端系統獲取數據和信息，并在后端部分執行。

II.安全網絡通信

隨著車輛內部和外部連接的增加，安全和保障是建立一個安全的汽車電子系統的一個重要問題。CAN和以太網將是現代汽車網絡結構中應用的兩個最主要的通信媒介。

A. CAN網絡安全

CAN總線是最流行的車載網絡，支持電子控制單元（ECU）之間交換車輛信息和狀態。CAN協議缺乏安全機制來防止各種攻擊。CAN總線通信不僅容易受到來自車輛內部的攻擊，而且也容易受到來自外部的攻擊。隨著連接性的增加，已經在CAN總線上暴露和引入了更多的入口點和接口。這導致了一個更廣泛的潛在攻擊面。例如，最近的報告指出，歐洲福特和大眾的兩款著名的聯網汽車很容易通過信息娛樂裝置受到網絡攻擊。

最初，在車輛內使用CAN并沒有考慮安全問題，因為當時的車輛幾乎是孤立的，沒有與外部環境連接。最初的CAN協議沒有安全測量，它很容易受到幀注入或拒絕服務的攻擊。如今，車輛的連接越來越多，它們有內部和外部通信接口，如以太網、藍牙和蜂窩移動網絡，因此網絡安全已經成為一個大問題。

1) 車載CAN總線的漏洞

在車輛CAN總線中存在一些安全漏洞：

? CAN網絡不是分段的，而且是廣播式的，CAN總線中的所有節點都連接到同一總線上。 廣播機制被用于CAN總線傳輸數據，這意味著CAN網絡上的所有節點都可以發送和接收相同的消息。

? 沒有任何安全機制用于認證，因此CAN總線容易受到消息中毒和拒絕服務攻擊。

? 由于廣播機制，連接到CAN總線的每個節點都可以嗅到CAN幀。CAN總線上的流量沒有被加密，因此可以很容易地被數據嗅探攻擊所讀取。

? 一個ECU可以使CAN總線處于支配狀態，從而阻止其他節點使用總線。

? 有許多潛在的攻擊面和連接，如診斷端口、Wi-Fi和藍牙。

2) CAN總線安全機制

考慮到CAN總線的容量有限，任何解決其脆弱性的對策都不應該使總線過載。CAN的安全測量可以分為加密、認證和將消息分割成多個幀。加密方法已被用于確保CAN總線免受來自車輛內部的攻擊。由于目前ECU缺乏計算資源，加密機制很難被使用。此外，車輛內的決策需要實時的數據分析，任何由于數據加密造成的延遲都會導致道路上的安全問題。相比之下，入侵檢測系統（IDS）與一些加密機制相比，不需要改變網絡和協議規范。然而，一些基于深度學習的IDS需要大量的計算資源，而這些資源在一輛車內是有限的。

a) 加密

基于加密的解決方案專注于確保CAN總線免受惡意信息的影響。在CAN總線中實施加密需要在節點和控制器中增加計算資源。加密可用于通過信息驗證碼（MAC）提供認證和數據完整性。這種應用于經典CAN總線的方法包括創建一個小于8字節的小型MAC標簽，并將其與實際的CAN數據有效載荷一起插入，如圖2所示。這個標簽具有完整性和認證，已經被共享秘鑰加密了。每個節點中預裝的密鑰可用于建立密鑰交換和認證。鑒于CAN總線的有限容量和低計算資源，硬件安全模塊（HSM）也可用于資源有限的節點，以提供更好的加密/解密性能。

圖2：CAN幀內的MAC簽名

基于硬件的加密：硬件方法可以節省計算資源，以加快生成車內CAN網絡的密碼功能的過程。然而，網絡中的每個ECU都需要更新以包括基于硬件的加密技術，這與目前的車輛不兼容，而且實施的成本可能很高。

基于軟件的加密：這種機制的主要概念是通過使用加密和認證機制為CAN總線提供安全，而不需要額外的硬件或對現有ECU進行修改。

b) CAN幀認證和加密

認證機制被稱為消息認證碼（MAC），可用于為車內CAN總線提供認證和數據的完整性。然而，這種方法并不提供保密性，這意味著CAN總線仍然能夠被嗅到并被反向工程攻擊。因此，需要結合加密和認證機制來提供更好的數據保密性、安全性和完整性。這種機制提供了對嗅探和注入攻擊的預防。

c) 入侵檢測系統

入侵檢測系統（IDS）可以是基于簽名的方法，可用于檢測車輛CAN網絡內的惡意攻擊。IDS可以根據其位置分為基于主機的IDS和基于網絡的IDS。

基于簽名的IDS是基于檢測預先定義的攻擊簽名列表的。

B. 以太網網絡安全

雖然以太網直到最近幾年才被廣泛地應用于汽車行業，但隨著汽車內功能需要支持越來越復雜的計算和通信，汽車以太網的使用正在上升。隨著對安全措施和帶寬需求的增加，目前的汽車網絡總線即將達到其極限。CAN的帶寬有限，最高為1Mbps，而且有效載荷很小，只有8個字節[9,10]。因此，需要另一種具有更高帶寬的網絡通信，如以太網。汽車以太網是使用基于以太網的網絡在車載電子控制單元之間進行連接。現代汽車電氣/電子架構現在正在跨越領域界限進行擴展。這引起了人們對安全保障、安全和可靠時間響應的關注。

1) 以太網網絡漏洞

以太網可以通過連接設備到網絡或獲得對現有設備的控制來進行攻擊。在汽車以太網網絡中存在一些安全漏洞。主要的漏洞類別包括以下不同的漏洞：

未經授權的加入：任何設備都可以連接到以太網交換機上一個未連接的端口。它將接入網絡，如果任何設備通過物理訪問接入網絡交換機，它可以進行通信。

交換控制：交換機有風險，可以通過改變交通路線來管理。

交通保密性：在以太網網絡中，沒有防止未經授權的讀取的保護機制。任何發送到設備的幀，如果它默認是可讀的，并且有方法強制交換機廣播網絡上的所有流量，這將使惡意用戶能夠讀取網絡上的所有流量。

2) 針對漏洞的以太網反措施

正如我們所知，有許多與以太網有關的威脅。這些漏洞已經被汽車以太網繼承了，因此對現代汽車中的汽車以太網的實施造成了關鍵問題。為了避免ECU受到任何潛在的惡意攻擊，需要采取不同的應對措施。

a) 傳統的IT解決方案

我們需要檢測并禁止試圖獲得未經授權的網絡訪問的節點，識別并防止網絡操縱。現在有一些既定的解決方案，如虛擬網絡--VLANs--來劃分網絡流量。最初，網絡端口被分配到各種VLAN的交換機上。現在，它也標記以太網幀和獨立于端口的VLAN。加密認證或加密也是實現網絡安全的普遍解決方案。

此外，還有通過使用過濾規則的安全機制，經典的防火墻控制哪些數據包可以在不同的節點或網絡之間移動。入侵檢測系統（IDS）和入侵預防系統（IPS）是為了保護而產生的。

b) 現代車輛網絡的安全機制

現代汽車網絡架構與經典IT行業使用的網絡架構有一些相似之處。在現代汽車以太網中，它被劃分為具有不同保護需求的虛擬區域，與安全有關的網絡流量可以被實時識別，它也可以根據需要被優先處理或隔離。如果拒絕服務（DoS）攻擊或故障信息使網絡充斥著數據包，可以通過速率限制的方式在下一個交換機上阻止它們，以使優先組件中的通信得到優先處理。

c) 安全的分層方法

分層安全機制是結合多種緩解控制措施來保護資源和數據的做法。它是建立幾個安全屏障，以避免在一個安全機制被繞過的情況下完全暴露。為了防止廣泛的攻擊，使用多種策略是比較有效的。如果一個層被繞過，其他層可以提供保護。當突破發生時，其他子系統應保持對攻擊的彈性。在這種情況下，汽車以太網網絡系統中的所有層和組件都要有其穩定性和彈性，這一點至關重要。主要有以下四個層次的安全機制：

限制對網絡的訪問：為了實現這一點，我們可以限制ECU的數量，所以ECU有板外連接，如藍牙、手機、無線鑰匙、OBD。有一個中央網絡接入點，有嚴格的防火墻來隔離和保護。從外部測試器到ECU的診斷通信將由網關橋接。并將網絡劃分為不同的隔離安全區，并限制這些區域之間的流量，通過網關進行物理分割和隔離。只有經過授權的設備才能被連接。

安全的車載通信：要做到這一點，有一些既定的解決方案，如加密和認證。不同的密鑰用于不同的功能，一個密鑰只能用于保護有限數量的數據。為了滿足高效執行的要求，硬件安全模塊（HSM）與軟件密碼庫結合使用。

Apply data usage policies: 定義數據使用策略以限制數據暴露。我們可以只在特定的應用狀態下接受控制命令，并對請求者進行優先排序。

檢測和防御：通過基于不同輸入數據或數據序列的合理性檢查，檢測任何異常情況，失敗的完整性檢查。通過執行帶寬限制，報告并開始緩解。

III.總結

車輛控制模塊日益相互關聯的性質意味著沒有保障就沒有安全。在最初應用于汽車E/E系統而沒有跨域通信之后，現代E/E架構正在跨域擴展。這引起了對網絡安全、安全和可靠性的挑戰和關注。需要安全的網絡通信來確保數據的可用性、完整性和保密性。傳感器數據必須按時提供，執行器指令必須正確及時地發送。傳感器和執行器數據只由授權方發送，以確保完整性。傳感器和執行器的數據不允許被篡改、刪除或延遲，以保持完整性。傳感器和執行器的數據不被未經授權的第三方監控，以保護數據的隱私和保密性。

文章來源：智能汽車開發者平臺

審核編輯：湯梓紅