智能網聯汽車CAN總線信息安全測試方法

向民奇　韋天文　鄧宇　劉書帆

摘 要：目前CAN總線仍是智能網聯汽車車內通信的主要方式，直接與車內各ECU控制模塊相連組成整個車內網，由于CAN總線通信為廣播式、缺乏報文數據保密、缺乏報文數據來源驗證以及缺乏DoS攻擊的保護特性。若車輛遭受網絡入侵滲透到車內CAN總線網絡時各個ECU模塊將面臨嚴重的威脅，嚴重將引發車輛安全事故。如何有效規避車輛信息安全問題，則需要加強對車輛的信息安全測試，及時發現存在的安全問題并進行修復。為此本文總結提出了針對智能網聯汽車CAN總線信息安全測試的方法。主要內容為：1、應用報文的模糊測試、重放攻擊測試、DoS攻擊測試;2、診斷報文的測試安全分析。

關鍵詞：智能網聯汽車 信息安全 CAN總線 OBD接口 安全測試

Can Bus Cyber Security Test Method of Intelligent Connected Vehicle

Xiang Minqi Wei Tianwen Deng Yu Liu Shufan

Abstract：At present， can bus is still the main way of in vehicle communication of intelligent connected vehicle， and it is directly connected with each ECU control module in the vehicle to form the whole in vehicle network. Can bus communication is broadcast type， lack of message data confidentiality， lack of message data source verification and lack of DoS attack protection characteristics. If the vehicle suffers from network intrusion and penetrates the CAN bus network inside the vehicle， each ECU module will face a serious threat， which will lead to serious vehicle safety accidents. To effectively avoid the vehicle cyber security problems， we need to strengthen the vehicle cyber security testing， timely find the existing security problems and repair. Therefore， this paper summarizes and puts forward the testing method of CAN bus cyber security for intelligent connected vehicles. The main contents are as follows： 1. Fuzzy test of application message， replay attack test， DoS attack test; 2. Test security analysis of diagnostic message.

Key words：intelligent connected vehicle， cyber security， can bus， OBD interface， security testing

1 引言

今年來汽車網絡安全事件頻發[1-2]。車輛CAN總線作為整個車聯網鏈路上最底層的通訊網絡，直接參與控制車輛各傳感器、ECU以及執行器，其可控性直接影響整車安全。車聯網與傳統網絡被攻擊所造成的結果有明顯的區別，車聯網被成功攻破后不僅可能是后端TSP服務平臺的不可用、車廠或者用戶的個人隱私敏感信息的泄露，還可能直接引發車輛安全事故，造成社會危害。因此對于智能網聯汽車即使在傳統的通信網絡被攻破后，車內CAN總線仍需自身具備安全防御能力。為此國內外學者特意針對汽車網絡安全模糊測試做了研究[3-4]。本文的主要內容是針對智能網聯汽車CAN總線提出了一套完整的測試項目、測試方法及要求。

2 應用報文信息安全測試

2.1 模糊測試

在對車輛CAN總線應用報文進行模糊測試時，通過OBD口向CAN總線應用報文CAN ID區間內的所有CAN ID（無論開發定義中是否真實存在此CAN ID）依次發送隨機生成的報文數據幀或者其他不合法的報文數據幀，觀察車輛異常狀態。對于模糊測試可分為CAN總線通信工具可監聽類報文和不可監聽類報文進行測試。其中可監聽類報文可以在車輛上電時對車輛的各ECU執行器進行動作，在報文監聽面板顯示出的CAN ID即是可監聽類報文。

對于可監聽類報文的模糊測試重點從以下方面進行：1）報文數據幀內容變異;2）報文周期變異;3）報文字節數變異;4）以上3方面的相互組合。對于不可監聽類報文進行模糊測試是對應用報文CAN ID區間內沒監聽到的CAN ID構造小于等于8字節的周期性隨機數據幀內容的發送類報文，建議對每個不可監聽類的CAN ID重復多個報文周期和多個報文字節的隨機數據幀內容測試。

2.2 重放攻擊

對于車輛CAN總線應用報文的重放攻擊，利用CAN總線通信工具錄制車輛目標動作的數據，然后回放至CAN總線。測試步驟為：1）報文錄制——測試人員對車輛執行相應的操作，利用CAN總線通信工具錄制測試操作過程中的所有報文;2）報文回放——測試人員將車輛恢復至操作前狀態，利用CAN總線通信工具將錄制的報文進行回放至CAN 網絡;3） 觀察車輛異常狀態。