赵强
湖州宏威新能源汽车有限公司 湖州 313000
摘要:随着车联网技术的不断升级和革新,车载网络通讯已经从传统的CAN总线逐步转化为CAN FD、FlexRay以及车载以太网等复合型车载通信网络。本文主要对网联汽车车载网络通讯的安全进行探索,以供相关部门参考。
关键词:车联网技术;车载网络通讯;网络通讯安全
引言
智能网联车在为人们的交通出行带来舒适便捷的同时,系统复杂化和对外通信接口的增加使车载网络更容易受到网络攻击,针对车载网络的攻击,不仅会造成个人隐私泄露和经济损失,严重时还会危及生命安全,甚至上升为国家公共安全问题。因此智能网联车网络安全问题已经成为当前学术界和汽车工业界共同关注的热点。
1、网联汽车内部网络系统概述
1.1、车载网络系统介绍
汽车可以理解为一个非常庞大的计算机系统,由大量的ECU、传感器、动力装置、传动装置等构成的一个复杂而庞大的系统。
随着车内功能模块的增加,车内ECU的数量页逐步增加,从而导致无法使用单纯的导线和接插件无法满足更加复杂的系统,基于车内总线的技术车载网络应运而生,剩的车内用到的导线和接插件大幅减少,利用有限的资源大大提高的车内ECU间的通讯能力。各个控制系统之间通过信息交流和协作控制等,实现对汽车功能的精确控制,提高了整体可靠性和稳定性。
1.2、汽车总线分类
1.2.1 CAN总线
控制器局域网总线(CAN)是最古老的多功能总线之一,而且是正在运行的最普遍的总线系统之一。CAN总线标准在开发设计阶段就突出了其满足控制系统需求的特性,并以其具有灵活性、实时性和可靠性的汽车控制系统总线等特点成为了行业标准。CAN是点对点网络。这意味着没有主机可以控制各个节点何时可以访问CAN总线上的数据。当CAN节点传输数据前,它将检查总线是否繁忙,然后简单地将CAN帧写入网络。发送的CAN帧不包含发送节点或任何预期的接收节点的地址。相反,在整个网络中唯一的仲裁ID会标记该帧。CAN网络上的所有节点都接收CAN帧,并且根据该传输帧的仲裁ID各节点判断是否决定是否接受该帧。CAN总线具备一定的安全性,然而,随着车联网概念的兴起和汽车信息技术的高速发展,智能网联汽车逐渐在原本封闭的网络中对外开放了越来越多的外部访问接口。这些接口可能由汽车内部CAN总线通过直接或间接的方式连接其他节点的控制单元。这些外部访问接口已经成为攻击者攻击汽内网络的潜在入口,从而使攻击者可以通过某些技术手段直接渗透到车辆关键控制系统——车载CAN总线网络。
1.2.2车载以太网
随着汽车的内部运作变得更加智能和复杂,越来越多的智能传感器和高性能车载计算机被引入,应用于汽车的新网络不仅要更快、更经济、支持多节点互联,而且需要实行标准化和广泛应用,以保证不同供应商和行业之间的兼容和互通。
车载以太网由Broadcom率先推出Broad R-Reach变体。它利用标准的以太网技术,但使其适用于汽车应用。它在非屏蔽双绞线电缆上的传输能力为100MB/s,最长可达15米(对于屏蔽双绞线则可达40米)。在车载设备的通信过程中可满足低延迟、高带宽和音视频同步传输的要求;满足车载系统对网络实现外部管理的需求等。因此可以理解为,车载以太网可以用于任何基于以太网的车载电气系统的联网解决方案。同时,它也是100Base-T1(IEEE的802.3bw-2015)和Broad R-Reach(或OPEN联盟Broad R-Reach)中定义的通用术语。由此看出,汽车以太网是为实现车载网络实现更快数据传输通讯而量身定制的专用网络。
2、安全防护
2.1网关物理隔离保护
网关物理隔离保护是指通过评估网络拓扑设计,进一步对车内网络进行改造,将其中重点防护的系统放置于独立的网络中并对涉及安全的关键系统隔离开来。
通过网关内嵌的安全加密机制和网络防火墙,容易受到攻击、安全性要求不高的普通域,如:信息娱乐域、车身舒适域、T-BOX、OBD等,可以与安全域,如:地盘与动力总成域、ADAS域等隔离开。
对于跨域控制和传输请求,特别是来自车外的请求,网关可以对其进行身份识别、消息认证和权限控制,然后决定这个请求能否转发给安全域。这些请求可能是来自T-BOX或智能钥匙的远程控制指令,也可能是来自服务器的更新固件等。对于跨域的,针对域内私有代码和数据的访问请求,中央网关也有责任对其进行甄别,拒绝非法访问。
2.2入侵检测系统保护
入侵检测系统保护机制如下:
在总线关键ECU或网关中部署监控模块去监控车载网络流量和每条CAN请求报文及相应报文,一旦检测到异常情况,如:发现网络流量突然陡增或检测到陌生ID的报文,就会尝试去判断是否为车内ECU发出的异常报文,还是通过外部接口发起的攻击行为,检测完成后由入侵防御系统自动阻断该类攻击。
其优点总结如下:
2.2.1不用改变现有通讯架构:基于车内网络的入侵检测系统,是在现有系统和协议的基础上实现的,不对要对CAN总线的链路层、网络层、应用层协议栈进行修改,这种实现方式使得系统不仅能适用于新车型,还能用于出厂时没有信息安全防护策略的旧车型上。
2.2.2灵活部署:基于车内网络的入侵检测系统,一般以安全插件的方式部署在GW或ECU当中,也可以单独以硬件方式进行部署。
2.2.3检测范围广:目前行业中已有多种传统网络的入侵检测技术。可结合现有技术并针对车内网络特点进行修改检测到更多的已知车内攻击通过综合利用多种入侵检测技术,理论上常见的车内攻击都可以被检测到。
2.3车载以太网防护
泛洪攻击的防护:
2.3.1、禁止外部ICMP
防止ICMP泛滥的方法之一是在外部网络上禁止ICMP。但是这也将阻止包括ICMP ECHO数据包在内的合法流量。如果正常ICMP ECHO数据被阻止,则将丢失正常数据包;通道的连接性和流量将被恶化。可利用在车内增加防火墙等设备或组建防止ICMP flood攻击。
2.3.2、积压增加队列
在目标设备上具有半开放连接的每个操作系统都有一定数量的存在。如果允许这种类型的连接,则需要增加操作系统所允许的响应大量SYN数据包的最大半开连接数。系统必须保留其他内存资源来处理所有新请求,以便成功增加最大积压。如果由于内存不足而导致系统无法处理增加的积压队列大小,那么系统的性能将受到负面影响,但其影响将小于拒绝服务。
2.3.3、关闭半开放式TCP连接
另一种缓解策略是一旦连接已满,就覆盖原有的半开放连接。要求可以在短时间内建立合法的完整的连接。当攻击量增加或积压的大小对于实际操作而言太小时,这种特殊的防御机制将失败。
2.3.4、 SYN Cookie
此策略需要通过Cookie技术实施。为了避免积压后的断开连接风险,可以使用SYN-ACK数据包响应每个连接请求,然后从积压中删除SYN请求,然后从内存中删除该请求,同时保持端口持续打开状态以建立新连接。如果连接是来自真实用户的合法请求,并且ACK数据包最终可以从客户端发送回服务器,则服务器将允许重建SYN积压队列条目。尽管此缓解措施导致丢失了一些有关TCP连接的信息,但它比无法防止攻击导致合法用户接收拒绝服务更有效。
4、安全防护建议
4.1、如何应对未知的智能网联车网络攻击
考虑到汽车长生命周期(20年左右)和网络环境动态变化的特点,现有研究中主要存在3个方面的问题。1)检测方法往往对应特定的攻击模型;2)检测效果的稳健性不强(有诸多前提条件,缺乏对汽车状态的感知);3)缺乏检对检测响应时间的评估及对功能安全保障的影响。考虑到ACPS功能安全关键属性,亟待通过入侵检测模型和算法的优化研究来解决上述问题,以避免因网络安全问题导致严重的智能网联车功能安全危机。
4.2、如何实现网络安全增强与资源消耗的均衡
智能网联车环境下计算和通信带宽等资源的限制带来功能安全和信息安全设计在资源上的竞争博弈。现有的基于机器学习的入侵检测方法存在计算和带宽资源消耗大的问题,如何降低计算复杂度和对车载网络通信带宽的消耗。实现网络安全增强与资源消耗均衡是当前智能网联车信息安全增强研究有待进一步解决的问题。
结语
总之,通过研究测试可以得出,无论是CAN网络,还是相对先进的车载以太网,它们的信息安全都存在一定地风险。网联汽车车载网络的发展趋势将会是由复合型架构向中央计算式架构发展,形成适用于自动驾驶的域网络架构。在现有基础架构的基础上,通过安全性分类隔离网络和域,为关键模块建立深度的多层体系结构防御,并使用软件和硬件的组合来进行安全保护是必然的发展趋势。
参考文献
[1]张海强智能网联汽车安全远程升级技术的研究与实现[D].成都:电子科技大学,2020.
[2]诸彤宇,王家川陈智宏车联网技术初探[J]公路交通科技(应用技术版),2020,7(05):266-268.