CAN總線中的一種安全協議

李超贏 李秦偉

摘要：針對現有CAN總線中存在的安全問題，給出了一種解決方案。即在原有CAN總線中新嵌入一層，包括認證部分和加密部分，為總線中的消息提供私密性和完整性保護。給出認證協議后，用BAN邏輯對協議進行了形式化分析，分析結果證明協議是正確可行的;然后加密部分采用了一次一密的加密方法和對稱加密算法;最后討論了此方案的性能與展望。

關鍵詞：CAN總線;認證協議;BAN邏輯;密鑰序列;負載率

中圖分類號：TP309.2

文獻標識碼：A

1 引言

隨著信息技術和網絡技術的迅猛發展，國家安全邊界已經超越地理空間限制，延伸到了信息網絡。一直以來被認為相對安全的工業控制系統已經成為黑客攻擊的目標，而且工業控制系統安全漏洞及攻擊方式已經成為“黑市”熱銷商品，甚至被作為“特殊武器”列入“瓦森納協定”的控制清單[1]。

控制器局域網（Controller Area Network，CAN）是由德國Bosch公司為汽車應用而開發的多主機局部網絡。德國Bosch公司開發CAN總線的最初目的是解決汽車上數量眾多的電子設備之間的通信問題，減少電子設備之間繁雜的信號線，于是設計了一個單一的網絡總線，使所有的外圍期間可以掛在該總線上。現在CAN總線主要被應用與工業控制網絡。

CAN總線采用的是一種基于報文而不是基于節點地址的通信方式，這就允許不同的信息以“廣播”的形式發送到所有節點。CAN總線上報文所包含的內容只有優先級標志區和預傳遞的數據內容。所有節點都會接收到在總線上傳送的報文，至于該報文是否要做進一步的處理或被丟棄將完全取決于接收節點本身。CAN只具有ISO國際標準組織定義的七層結構中的三層——物理層、數據鏈路層和應用層，并且整個系統的數據傳送都是公開透明的，數據很容易受到竊取甚至破會其完整些，對整個系統造成不可預知的后果[2][3]。

2 CANSec協議設計

由于總線結構單一，如果需要攻擊總線，只需在總線上接入一個新的節點，就能接受到總線上的所有報文，并且這些數據未經過任何加密等保護措施，如圖1所示。所以為了解決上述問題，本文給出一種解決方案。就是在數據鏈路層之上加入CANSec層，對數據的保密性與完整性進行保護，防止整個系統受到攻擊。

CAN總線早已經形成了國際標準。因此，要想解決上面的問題，實現加密與認證，修改原有的CAN協議是特別困難甚至不可能的。所以就選擇在原有的CAN的基礎上新嵌入一層（包括CANSec協議與加密解密系統），原有的結構不變，簡要結構如圖2所示。

一個CAN總線系統中有許多個節點，圖2中以兩個節點與一個入外來節點為代表來說明系統結構。其中節點和總線不做任何更改，CANSec協議主要負責：協商握手、初始化、故障診斷和工作模式;加密系統負責加密重裝從節點發出的報文，解密還原從總線上接受到的密文。

CANSec協議中的初始化是防止攻擊最重要的部分，在總線工作之前，首先要對個節點進行認證，以防外來節點攻擊，也就是要設計認證協議;其次，加密系統將采用對稱分組密碼的輸出反饋模式，并且采用輸出反饋模式（OFB），密鑰序列的產生需要一個IV和一個DES加密的，所以總線工作之前還需要對這兩項初始化或者重新分配[4]。

CANSec協議的參與者為各個節點，各節點是同等的關系，沒有主從關系，也沒有為之服務的認證服務器。所以就要在所有節點中選出一個節點作為主節點，然后由這個主節點對其他節點逐個進行認證。協商握手和初始化的過程即CANSec認證協議。

2.1 主節點的選舉

主節點必須是具有以下特點的節點：

擁有其他所有節點的標識ID及與之對應的共享密鑰K_mj，i;

節點物理位置安全，與上位機連接，或者就是上位機;

該節點由施工方設定好，具有主動發起認證協議的權限。

其中ID是各個節點的唯一標識（但不是地址），K_mj，i是候選主節點與其他節點對應的會話共享密鑰，也叫做主密鑰，K_mj，i表示第j個候選主節點與第i個從節點的共享密鑰。初始狀態都是由施工方設定。其中ID的不同也是區分候選主節點與從節點的標識。

這樣的主節點可以設定多個，就算有一個出錯不能正常工作，候選主節點自動形成新的主節點，也不會影響整個系統的正常運行，本文討論的都以3個候選主節點為例。

主節點和從節點所存ID和對應的共享密鑰的情況可以用表1和表2表示。在表1中，G_m2和G_m3是另外兩個候選主節點，

2.2 CANSec認證協議

經過選舉，假設G_m1成為了主節點，那么協議的參與者就是1個主節點G_m1和n個從節點，稱此認證協議為CANSec認證協議。

下面以一個具體的單個節點的認證為例子，對認證協議進行描述，其中G_m1為主節點，Gi為從節點，K_mj，i，，是G_m1和G1的共享密鑰，該共享密鑰的初始值由施工方完成，以后如果需要更改也可以由主節點完成。對節點G1的認證及密鑰建立過程如圖3所示。

3 分析CANSec認證協議

BAN邏輯是認證協議的形式化分析中最具影響的有效的一種工具，對CANsec認證協議的形式化分析也采用BAN邏輯[7]。

3.1 預期目的

4 報文設計與加密

4.1 原CAN協議報文格式

CAN總線上的信息是以報文的形式傳遞的。并且定義了四種幀報文，分別為數據幀、遠程幀、出錯幀和超載幀，其中數據幀用來傳遞信息，遠程幀則用于某個節點請求其他節點發送信息。后兩種用于錯誤處理。以數據幀為例，一個標準數據幀如表3所示，一共有11個字節，前3個字節為幀描述部分，后8個字節為數據部分，如表3所示[9][10]。

其中前三個字節已經用于幀描述（比如ID，數據長度等），每一位都不能少，因此要實現CANsec協議，一種解決方案就是在數據段中的8個字節中取用第一個字節用來表示CANsec協議的中各事項。比如初始化、協商握手、工作模式、故障診斷和數據幀等。在這里有一個問題就是，有些數據幀本來就要8個字節的數據，由于實現CANsec協議占用了一個字節，因此8個字節的數據幀就需要用兩幀來表示，可以稱另外一幀為續幀。

4.2 CANSec協議中的報文設計

將報文的第四個字節用作CANSec協議各事項的標識，就可以按表4來確定各事項，可以稱這8位為CSC段。

4.3 加密算法

通過前面的認證協議初始化后，所有節點的密鑰序列生成器狀態都是一樣的，加密算法選擇對稱加密算法。密鑰上采用一次一密，因為一個數據幀中最多只有8個字節需要加密，采用單鑰加密很不安全[11]。

密鑰序列的產生采用輸出反饋模式（OFB），IV和DES加密的由前面的認證協議完成，每次輸出的密鑰長度為64位，與數據幀中需加密的64位進行異或，得到64位的密文;其他節點接收到64位的密文后，通過對稱密鑰解密得到64位明文，而其中的加密解密變換均采用異或[12]。其中最重要的就是密鑰序列的生成，而且所有節點的當前密鑰必須是同步的，只要有一個節點的密鑰出錯，就得發送報錯幀，請求重新初始化。

5 兼容性與性能分析

5.1 兼容性分析

原CAN協議的通信圖如圖4所示：

在CAN協議中加入了CANSec層后的通信圖如圖5所示：

原CAN協議在加入CANSec層后，應用層之間的收發消息沒有變化，所以不會對應用層產生影響;數據鏈路層處理的只是幀頭前，而CANSec加密的只是后面的數據段，所以對數據鏈路層來說也沒有影響。以上分析說明該方案具有良好的兼容性。

物理層上傳送的數據流已經加密，保證了數據的私密性，而外來設備由于沒認證，也不能偽造出有效的消息，保證了數據的不可偽造性。

5.2 性能分析

網絡負載率是Is內網絡總線傳輸數據所占帶寬的百分率，根據以往的工程經驗，CAN總線負載率超過30%就會造成報文延時的概率增大。但是根據近幾年的研究，CAN總線的負載率不再局限于30%。2012年，菲亞特利用時間分析軟件Symtavi-sion使CAN總線負載率達到70%，并且總線仍然能正常工作[13]。本方案對CAN總線負載率會有所提高，以我校研制的混合動力車油氣混合控制裝置中的通信為例，具體分析本方案對負載率的影響。

混合動力汽車中CAN負載率約為9%～13%之間。本方案導致CAN總線負載率的提高主要來自于一些8字節數據的幀要改為兩幀。混合動力汽車系統中包含三種8字節數據：日期（年月日）、累計油耗、與累計氣耗;一種24字節數據：ECU信息;15種低于8字節的數據。各種數據同等概率的情況下，平均每21 （3+24/8+15）幀經過CANSec層后變為25幀，負載率將會提升到原負載率的25/21倍，約提高19%[14]。因此，對于混合動力汽車來說，加入本方案后負載率約為10.7%—15.5%，仍然遠低于30%，CAN通信仍然能夠正常工作。對于其他系統中的CAN總線來說，同樣也不影響其正常工作，況且現在很多CAN總線負載率已經不再局限于30%。

6 總結與展望

CAN總線從最初的汽車應用，到現在的工業控制，都扮演者重要的角色。在所有的現場總線中，它具有己開發性，低成本性，網絡節點之間的數據通信實時性強，并且已經形成了國際標準，在很多地方還是可以得到應用的。但是，在這個信息化時代CAN總線的安全性很有必要提高。本文針對CAN總線存在的安全問題，提出了一套解決方案，通過認證協議，對每個節點認證和初始化，保證了信息的的完整性;通過對數據進行加密，保證了信息的保密性，并且具有良好的兼容性。這套方案很容易在CAN總線中實現，并且還可以在其它現場總線中采用同樣的技術手段。

參考文獻

[1]佚名.2016工控安全態勢報告發布[J].自動化應用，2017， （1）：2-5.

[2]鮑官軍，計時鳴，張利，等.CAN總線技術、系統實現及發展趨勢[J].浙江工業大學學報，2003，31（1）：58-61.

[3]韓成浩，高曉紅.CAN總線技術及萁應用[J].制造業自動化，2010，32（2）：146-149.

[4]宮大力，流密碼算法的研究與設計[D].南京航空航天大學，2011.

[5]劉躍軍，王紅旗，楊強.Andrew Secure RPC協議的一種組合分析方法[J].四川理工學院學報：自然科學版，2008，21 （4）：43-46.

[6]王劍，張子鍵，袁堅.應用于CAN總線的廣播認證系統[J].北京郵電大學學報，2015，38（4）：24-27.

[7] 白漢利，蔡紅柳，鄭廣.基于形式方法的Andrew RPC認證協議的分析與改進[J].計算機工程與設計，2005，26 （7）：1886- 1888.

[8]卿斯漢.安全協議[M].北京：清華大學出版社，2005.

[9]李童華，陳立定.基于CAN總線的能源管理系統通信研究[C]//中國自動化學會，2012.

[10]龍志強.CAN總線技術與應用系統設計[M].北京：機械工業出版社，2013.

[11] WANC T J，YAO GANC L I，LIU X D.Intelligent Waste WaterTreatment System Base on CAN Bus Technology [J].Environ-mental Technology， 2004， （3）： 32-33.

[12] JUKL M，CUPERA J，Using of tiny encryption algorithm inCAN-Bus communication [J].Res.Agr.Eng.，2016， （2）：50-55

[13]佚名.菲亞特利用時間分析軟件Symtavision使CAN總線負載率達到70% [EB/OL].http：//www.21ic.e om/app/auto/201203/108515.htm，2012-03-05.

[14]韓江洪，劉征宇，崔世輝，等.混合動力汽車CAN網絡通信協議的應用研究[J]，汽車工程，2011，33 （12）：1062-1066.