來(lái)源 | 軒轅實(shí)驗(yàn)室

知圈 | 進(jìn)“汽車(chē)智能交互社群”請(qǐng)加微信13636581676，備注交互

本文翻譯自Pierre Kleberger, Tomas Olovsson和Erland Jonsson瑞典查爾姆斯理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院SE-412 96 Gothenburg, Sweden 所著Security Aspects of the In-Vehicle Network in the Connected Car

摘要： 本文簡(jiǎn)要介紹了互聯(lián)汽車(chē)的安全性研究，特別是車(chē)載網(wǎng)絡(luò)的安全性研究。目的是突出研究的現(xiàn)狀，發(fā)現(xiàn)了哪些問(wèn)題，提出了哪些解決辦法。我們將調(diào)查分為以下五類(lèi):車(chē)載網(wǎng)絡(luò)問(wèn)題、架構(gòu)安全特性、入侵檢測(cè)系統(tǒng)、蜜罐以及威脅和攻擊。我們的結(jié)論是，盡管在該領(lǐng)域已經(jīng)花費(fèi)了相當(dāng)多的努力，但大部分努力是針對(duì)問(wèn)題的定義，而不是針對(duì)安全解決方案。我們還強(qiáng)調(diào)了一些我們認(rèn)為立即需要關(guān)注的領(lǐng)域。

01 簡(jiǎn)介

本文綜述了國(guó)內(nèi)外在連通車(chē)輛網(wǎng)絡(luò)安全方面的研究進(jìn)展。目的是突出該領(lǐng)域目前的研究，以便在未來(lái)可以采取新的方向。

為車(chē)輛配備無(wú)線(xiàn)連接將為新服務(wù)創(chuàng)造許多機(jī)會(huì)，例如空中固件更新(FOTA)和遠(yuǎn)程診斷。然而，這些非常吸引人的功能帶來(lái)了巨大的挑戰(zhàn)。內(nèi)部和外部通信都必須得到適當(dāng)?shù)谋Ｗo(hù)。這一點(diǎn)特別重要，因?yàn)檐?chē)內(nèi)網(wǎng)絡(luò)對(duì)安全至關(guān)重要，必須避免安全問(wèn)題導(dǎo)致災(zāi)難性的安全影響。因此，我們對(duì)最近一些關(guān)于聯(lián)網(wǎng)汽車(chē)嚴(yán)重不安全的報(bào)道表示關(guān)注。

例如，Kosche等人最近就證明了當(dāng)今車(chē)輛缺乏安全性。通過(guò)連接到車(chē)載診斷II (OBD-II)，他們能夠發(fā)出命令，在駕駛時(shí)禁用剎車(chē)。雖然這些攻擊是通過(guò)診斷接口執(zhí)行的(到目前為止需要對(duì)車(chē)輛進(jìn)行物理訪(fǎng)問(wèn))，但我們預(yù)計(jì)這些攻擊將有可能在聯(lián)網(wǎng)車(chē)輛的未來(lái)版本中通過(guò)無(wú)線(xiàn)連接執(zhí)行。

車(chē)輛內(nèi)的一些系統(tǒng)在設(shè)計(jì)時(shí)考慮到了安全性，例如電子制動(dòng)裝置，但大多數(shù)系統(tǒng)都沒(méi)有考慮到安全性，完整的安全體系結(jié)構(gòu)尚未確定。更復(fù)雜的是，我們有理由相信，車(chē)輛對(duì)車(chē)輛(V2V)和車(chē)輛對(duì)基礎(chǔ)設(shè)施(V2I)通信的引入將帶來(lái)更高的威脅級(jí)別，因此安全需求將相應(yīng)提高。

本文的其余部分概述如下。第二部分介紹了該領(lǐng)域的相關(guān)研究。在第三部分，我們給出了一個(gè)背景的車(chē)輛設(shè)置。第四部分介紹了在聯(lián)網(wǎng)車(chē)的車(chē)內(nèi)網(wǎng)絡(luò)安全方面的研究成果。論文最后在第五部分進(jìn)行了討論，包括公開(kāi)的研究問(wèn)題和第六部分的結(jié)論。

02 相關(guān)工作

一些關(guān)于聯(lián)網(wǎng)汽車(chē)安全性的調(diào)查和概述已經(jīng)在早些時(shí)候發(fā)布。然而，在這篇論文中，我們關(guān)注的是車(chē)載網(wǎng)絡(luò)的安全性，我們沒(méi)有注意到任何其他與此相關(guān)的工作。

Wolf等人對(duì)車(chē)輛內(nèi)部的安全性進(jìn)行了調(diào)查。介紹了可能的攻擊、保護(hù)機(jī)制和一些安全關(guān)鍵的應(yīng)用程序。

Jenkins和Mahmud討論了安全問(wèn)題和對(duì)車(chē)輛的攻擊。他們研究了車(chē)輛間和車(chē)輛內(nèi)部通信，以及軟件和硬件攻擊。Kocher等人對(duì)嵌入式系統(tǒng)的安全性做了進(jìn)一步的介紹。

Brooks等人用用例展示了車(chē)輛中需要保護(hù)的內(nèi)容，以及車(chē)輛上可能進(jìn)行的操作的不同場(chǎng)景。還對(duì)可能的通信方式進(jìn)行了分類(lèi)。他們進(jìn)一步使用經(jīng)過(guò)改編的CERT分類(lèi)來(lái)分析針對(duì)已經(jīng)在車(chē)輛中實(shí)現(xiàn)的或即將到來(lái)的服務(wù)的攻擊。所分析的服務(wù)包括電子控制裝置(ECUs)的固件安全更新的需要，以及當(dāng)車(chē)輛越來(lái)越多地融入汽車(chē)公司的系統(tǒng)時(shí)的攻擊風(fēng)險(xiǎn)。這種系統(tǒng)的一個(gè)例子是遠(yuǎn)程診斷。

Larson和Nilsson討論了一種深入防御的方法來(lái)保護(hù)車(chē)輛。他們研究的五層是:預(yù)防、探測(cè)、偏轉(zhuǎn)、對(duì)策和恢復(fù)。對(duì)于這五層，他們還討論了可能的需求:認(rèn)證防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)，入侵檢測(cè)系統(tǒng)(IDS)和日志機(jī)制的檢測(cè)，建議使用蜜罐進(jìn)行信息檢索，入侵預(yù)防系統(tǒng)(IPS)作為對(duì)策，并有必要進(jìn)行可追溯性恢復(fù)。另外，Nilsson和Larson擴(kuò)展了討論并提出了不同層的方法。

只有少數(shù)幾個(gè)研究項(xiàng)目的主要焦點(diǎn)是確保連接的汽車(chē)或與它的通信。其中兩個(gè)是EVITA和SeV eCOM。

03 背景

A．連網(wǎng)汽車(chē)

連網(wǎng)車(chē)由三個(gè)域組成：

(1)車(chē)輛，包括車(chē)內(nèi)網(wǎng)絡(luò)和ecu

(2)汽車(chē)公司向車(chē)輛提供服務(wù)的門(mén)戶(hù)

(3)車(chē)輛與門(mén)戶(hù)之間的通信鏈接

將車(chē)載網(wǎng)絡(luò)進(jìn)一步劃分為不同總線(xiàn)系統(tǒng)技術(shù)的子網(wǎng);控制器區(qū)域網(wǎng)絡(luò)(CAN)、本地互連網(wǎng)絡(luò)(LIN)、面向媒體系統(tǒng)傳輸(MOST)和FlexRay。子網(wǎng)通過(guò)專(zhuān)用網(wǎng)關(guān)ecu相互連接。

在上面的三個(gè)領(lǐng)域中，我們將主要關(guān)注車(chē)輛。

 

B．挑戰(zhàn)

以下是保障車(chē)載網(wǎng)絡(luò)安全的一些常見(jiàn)要求:

(1) ECU的資源約束，即ECU的處理能力和內(nèi)存有限。

(2)連接設(shè)備的額外成本有限的可能性，新的安全解決方案必須非常具有成本效益。

(3)解決方案使用壽命，車(chē)輛可使用10-15年。

 

C．攻擊者模式

在解決車(chē)輛設(shè)置的安全性時(shí)，使用攻擊者模型有不同的方法。一種方法是不真正定義或使用攻擊者模型。其中，Koscher等人假設(shè)他們有必要訪(fǎng)問(wèn)車(chē)載網(wǎng)絡(luò)來(lái)執(zhí)行攻擊。

另一種方法是從Howard和Longstaff提出的CERT分類(lèi)派生出攻擊者模型。其中一個(gè)can總線(xiàn)上的通信模型是由Nilsson和Larson推導(dǎo)出來(lái)的，攻擊者可以讀取、欺騙、刪除、修改、淹沒(méi)、竊取和重放通信。將該模型進(jìn)一步應(yīng)用于FlexRay協(xié)議。Lang等人使用基于IP流量的攻擊者模型，攻擊者可以讀取、修改、中斷、創(chuàng)建/欺騙和竊取/刪除流量。

 

04 車(chē)內(nèi)網(wǎng)絡(luò)

在這一章中，我們介紹了與車(chē)內(nèi)網(wǎng)絡(luò)相關(guān)的研究。我們首先強(qiáng)調(diào)當(dāng)前在車(chē)載網(wǎng)絡(luò)中發(fā)現(xiàn)的問(wèn)題。然后，我們將討論在這些網(wǎng)絡(luò)中實(shí)現(xiàn)安全性的架構(gòu)。

建議使用IDSs和蜜罐，然后研究威脅和攻擊。圖1顯示了分類(lèi)。

A.  車(chē)內(nèi)網(wǎng)絡(luò)的問(wèn)題

解決車(chē)載網(wǎng)絡(luò)安全性問(wèn)題的大部分工作是識(shí)別和顯示缺乏安全性。在本節(jié)中，我們將首先介紹在該領(lǐng)域中正在進(jìn)行的相關(guān)工作，然后總結(jié)已經(jīng)確定的問(wèn)題。

 (1)相關(guān)工作:

Koscher等人最近強(qiáng)調(diào)，車(chē)載網(wǎng)絡(luò)明顯缺乏必要的安全機(jī)制。他們?cè)趦奢v汽車(chē)上進(jìn)行了實(shí)驗(yàn)。通過(guò)使用包嗅探、包模糊和反向工程等技術(shù)，他們發(fā)現(xiàn)可以對(duì)車(chē)內(nèi)網(wǎng)絡(luò)執(zhí)行許多攻擊。

Wolf等人研究了車(chē)載網(wǎng)絡(luò)中對(duì)不同總線(xiàn)的一些可能攻擊。 Hoppe和Dittmann使用模擬來(lái)評(píng)估安全性。 他們研究了對(duì)can總線(xiàn)進(jìn)行嗅探和重放攻擊的可能性，通過(guò)模擬一個(gè)電子窗口電梯系統(tǒng)。 為了對(duì)他們的攻擊進(jìn)行分類(lèi)，使用了Howard和Longstaff提出的CERT分類(lèi)的一個(gè)改編版本。 其中，Hoppe等人還利用真實(shí)硬件對(duì)電子車(chē)窗系統(tǒng)進(jìn)行了攻擊，對(duì)防盜系統(tǒng)和氣囊控制系統(tǒng)的警示燈進(jìn)行了攻擊。

Nilsson和Larson介紹了車(chē)輛病毒的概念。病毒在遠(yuǎn)程鎖定艙門(mén)的can總線(xiàn)上監(jiān)聽(tīng)信息，當(dāng)信息被捕獲時(shí)，病毒采取了適當(dāng)?shù)男袆?dòng)。為了進(jìn)一步解決分類(lèi)技術(shù)在保護(hù)汽車(chē)病毒方面的需要，Hamle和Bauer提出了一種改進(jìn)的分類(lèi)方法。

最后，Lang等人對(duì)車(chē)輛使用基于ip的網(wǎng)絡(luò)進(jìn)行連接時(shí)的安全影響進(jìn)行了有趣的討論。根據(jù)“普通IT系統(tǒng)”已知的攻擊，即對(duì)通信協(xié)議、惡意代碼和社會(huì)工程的攻擊，提出了九種“假想攻擊場(chǎng)景”。對(duì)每個(gè)場(chǎng)景進(jìn)行了機(jī)密性、完整性、可用性、真實(shí)性和不可抵賴(lài)性方面的分析。此外，還試圖定量估計(jì)對(duì)安全的影響。因此，對(duì)每個(gè)場(chǎng)景都提出了一個(gè)安全完整性級(jí)別(SIL)值。

（2）識(shí)別出的安全問(wèn)題 ，以下是識(shí)別出的安全問(wèn)題的摘要:

• 缺乏足夠的總線(xiàn)保。can總線(xiàn)缺乏必要的保護(hù)來(lái)確保機(jī)密性、完整性、可用性、真實(shí)性和不可抵賴(lài)性。can總線(xiàn)上的消息可以被其他節(jié)點(diǎn)讀取，沒(méi)有發(fā)送方或接收方地址，不受任何消息驗(yàn)證碼(MAC)或數(shù)字簽名的保護(hù)。對(duì)CAN和FlexRay規(guī)范的分析也得出結(jié)論，這些協(xié)議缺乏必要的數(shù)據(jù)認(rèn)證、數(shù)據(jù)保密性和數(shù)據(jù)新鮮度的保護(hù)。但是，對(duì)于數(shù)據(jù)完整性和數(shù)據(jù)可用性有一些保護(hù)；

• 弱身份驗(yàn)證。通過(guò)新固件非法重新編程ecu是可能的。其原因是弱身份驗(yàn)證，有時(shí)根本沒(méi)有身份驗(yàn)證。

• 協(xié)議的濫用。對(duì)車(chē)載網(wǎng)絡(luò)的攻擊可以通過(guò)誤用協(xié)議中精心選擇的機(jī)制來(lái)執(zhí)行。因此，對(duì)于LIN-bus，發(fā)送惡意睡眠幀可以禁用子網(wǎng)。對(duì)于CAN協(xié)議，可以使用總線(xiàn)仲裁機(jī)制進(jìn)行拒絕服務(wù)攻擊(DoS)。通過(guò)發(fā)送具有最高優(yōu)先級(jí)的消息，其他人將無(wú)法使用總線(xiàn)。此外，可以利用格式良好的惡意錯(cuò)誤消息攻擊CAN和FlexRay實(shí)現(xiàn)的故障檢測(cè)機(jī)制，使控制器與網(wǎng)絡(luò)斷開(kāi)連接。

• 糟糕的協(xié)議實(shí)現(xiàn)。在某些情況下，協(xié)議實(shí)現(xiàn)不能恰當(dāng)?shù)胤从硡f(xié)議標(biāo)準(zhǔn)。例如，該標(biāo)準(zhǔn)規(guī)定，在車(chē)輛行駛時(shí)，不應(yīng)將發(fā)動(dòng)機(jī)控制模塊(ECM)設(shè)置為編程模式。顯然，這是出于安全考慮。但是，在某些實(shí)現(xiàn)中，確實(shí)可以啟動(dòng)一個(gè)命令來(lái)禁用CAN通信并使ECU進(jìn)入編程模式，盡管車(chē)輛正在移動(dòng)。

• 信息泄漏。車(chē)輛的信息泄漏可以通過(guò)操縱診斷協(xié)議觸發(fā)，從而產(chǎn)生潛在的隱私?jīng)_突。信息泄漏是通過(guò)嗅探一個(gè)普通的診斷會(huì)話(huà)來(lái)完成的，然后重播修改后的流量版本。由于網(wǎng)關(guān)不能區(qū)分普通流量和診斷流量，這兩種類(lèi)型的流量都將由網(wǎng)關(guān)轉(zhuǎn)發(fā)。

 

B.  架構(gòu)安全特性

在本節(jié)中，我們將介紹為車(chē)載體系結(jié)構(gòu)或通信提出的一些安全特性。特性的摘要見(jiàn)表I。Wolf等人提出了一些提高通信安全性的方法，要求對(duì)控制器進(jìn)行身份驗(yàn)證，并對(duì)通信進(jìn)行加密。首先，每個(gè)控制器必須由網(wǎng)關(guān)通過(guò)證書(shū)進(jìn)行身份驗(yàn)證。驗(yàn)證完成后，控制器將收到一個(gè)對(duì)稱(chēng)加密密鑰，該密鑰與本地網(wǎng)絡(luò)上其他經(jīng)過(guò)驗(yàn)證的控制器共享，從而使秘密數(shù)據(jù)交換成為可能。

表I:關(guān)于通信的架構(gòu)安全特性的摘要

Chavez等人建議使用OSI參考模型(ISO 7489-2)的安全服務(wù)來(lái)保護(hù)can協(xié)議。OSI模型描述了五種安全服務(wù):機(jī)密性、完整性、身份驗(yàn)證、不可抵賴(lài)性和訪(fǎng)問(wèn)控制。根據(jù)這一點(diǎn)，他們提出可以在協(xié)議的更高層處理訪(fǎng)問(wèn)控制，可以使用哈希算法來(lái)加強(qiáng)完整性，可以使用can幀的RC4加密來(lái)加強(qiáng)保密性。然后，作者評(píng)估了不同有效載荷大小的加密時(shí)間。剩下的兩個(gè)OSI服務(wù)，身份驗(yàn)證和不可抵賴(lài)性，在這個(gè)上下文中并不被認(rèn)為是有用的。

Nilsson等人提出在CAN通信中使用MAC來(lái)提供數(shù)據(jù)完整性和數(shù)據(jù)認(rèn)證。為了實(shí)現(xiàn)這一點(diǎn)，兩個(gè)正在通信的ecu之間共享一個(gè)128位的密鑰。通過(guò)使用KASUMI加密算法的密碼塊鏈接消息驗(yàn)證碼(CBC-MAC)，可以生成64位的MAC。MAC通過(guò)4條連續(xù)的can消息進(jìn)行計(jì)算，得到的MAC被劃分為4個(gè)16位塊，并在接下來(lái)的4條can消息的循環(huán)冗余碼(CRC)字段中進(jìn)行傳輸。該協(xié)議引入了數(shù)據(jù)完整性和數(shù)據(jù)認(rèn)證驗(yàn)證前的延遲。總共需要8條消息才能完成驗(yàn)證。

議定書(shū)剩下的兩個(gè)挑戰(zhàn)是;(1)如果MAC計(jì)算失敗，則無(wú)法識(shí)別出實(shí)際錯(cuò)誤的個(gè)別消息;(2)無(wú)法防止重播攻擊。

Groll和Ruland提出了一種體系結(jié)構(gòu)，將通信劃分為受信任的組。受信任組中的所有ecu共享相同的對(duì)稱(chēng)密鑰來(lái)加密和解密通信。車(chē)輛內(nèi)的密鑰分發(fā)中心(KDC)用于為這些受信任的組創(chuàng)建和分發(fā)對(duì)稱(chēng)密鑰。受信任組由訪(fǎng)問(wèn)控制列表(acl)定義，并由汽車(chē)公司簽名。每個(gè)ECU保留一個(gè)ACL，并定義ECU所屬的受信任組。要將受信任組內(nèi)用于通信的對(duì)稱(chēng)密鑰分發(fā)給ECU, ECU將其ACL發(fā)送給KDC。在KDC驗(yàn)證ACL上的簽名之后，KDC將發(fā)送回ACL定義的受信任組的對(duì)稱(chēng)密鑰。為了保護(hù)可信組密鑰的分布，在ECU和KDC之間使用了非對(duì)稱(chēng)加密。所需要的非對(duì)稱(chēng)密鑰也必須由汽車(chē)公司簽署。

Oguma等人提出了一種基于認(rèn)證的安全體系結(jié)構(gòu)。通過(guò)應(yīng)用散列函數(shù)，驗(yàn)證ECU中軟件的完整性，并將結(jié)果與有效散列列表進(jìn)行比較，他們希望驗(yàn)證ECU只運(yùn)行真正的軟件。只有成功驗(yàn)證的ECUs才能交換對(duì)稱(chēng)密鑰進(jìn)行進(jìn)一步的加密通信。他們提出的體系結(jié)構(gòu)有三個(gè)組成部分;(1)車(chē)輛外部的中心;(2)車(chē)輛內(nèi)部的主ECU;(3)車(chē)輛內(nèi)部的其他ECU。中心存儲(chǔ)關(guān)于所有車(chē)輛的信息，但是每輛車(chē)也需要主ECU來(lái)進(jìn)行認(rèn)證，因?yàn)橹行目赡懿豢偸强梢缘竭_(dá)。主ECU包含一個(gè)散列值列表，這些值對(duì)于在ECU上運(yùn)行的該車(chē)輛的軟件是有效的。此外，還使用了密鑰預(yù)分配系統(tǒng)(KPS)，而不是在車(chē)輛內(nèi)使用非對(duì)稱(chēng)加密。在執(zhí)行認(rèn)證過(guò)程之后，使用KPS為每對(duì)經(jīng)過(guò)驗(yàn)證的ECU生成加密密鑰。支持加密消息和簽名消息。這些消息還包含證明ECU已經(jīng)過(guò)驗(yàn)證的信息和防止重播攻擊的計(jì)數(shù)器。Lee等人進(jìn)一步討論了基于認(rèn)證的安全架構(gòu)。通過(guò)使用ProVerif，他們提出了一種方法，根據(jù)Wolf等人提出的對(duì)安全通信非常重要的一些要求來(lái)正式驗(yàn)證協(xié)議。

Szilagyi和Koopman提出了一種為時(shí)間觸發(fā)應(yīng)用程序提供消息驗(yàn)證的方法。因此，協(xié)議被設(shè)計(jì)成能夠同時(shí)對(duì)多個(gè)目的地進(jìn)行身份驗(yàn)證，這要求每對(duì)通信節(jié)點(diǎn)共享一個(gè)對(duì)稱(chēng)的加密密鑰。這些鍵用于通過(guò)每個(gè)目的地的消息計(jì)算MAC。每臺(tái)MAC被進(jìn)一步分解成幾個(gè)比特，并連接到消息的末尾。由于只使用少量可用的MAC來(lái)偽造消息更容易，因此作者建議通過(guò)在一組消息上成功地驗(yàn)證MAC來(lái)提供身份驗(yàn)證。對(duì)于所研究的兩種類(lèi)型的消息，狀態(tài)變化消息和反應(yīng)控制消息，討論了執(zhí)行成功攻擊的概率上限。該協(xié)議還具有對(duì)重放攻擊的保護(hù)。并進(jìn)一步討論了該協(xié)議，且在模擬攻擊的幫助下提供了分析。

Schulze等人提出了一種更通用的方法。這是通過(guò)引入數(shù)據(jù)管理系統(tǒng)(DMS)來(lái)實(shí)現(xiàn)的;不是讓所有ecu相互交換數(shù)據(jù)，而是將數(shù)據(jù)存儲(chǔ)在車(chē)輛內(nèi)的特定節(jié)點(diǎn)中。通過(guò)使用DMS存儲(chǔ)數(shù)據(jù)，可以對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)和更新以及并發(fā)控制實(shí)施訪(fǎng)問(wèn)控制等安全機(jī)制，從而確保數(shù)據(jù)的完整性。該方法還允許在發(fā)生事故時(shí)將全局狀態(tài)存儲(chǔ)到保護(hù)性存儲(chǔ)中。研究了部署DMS的三種不同方法:集中式方法、分布式方法和混合方法，在混合方法中為每個(gè)子網(wǎng)絡(luò)部署DMS?；旌螪MS方法被認(rèn)為是最有吸引力的。

 

A.  入侵檢測(cè)系統(tǒng)， 到目前為止，入侵檢測(cè)系統(tǒng)(IDSs)的研究一直以CAN協(xié)議為目標(biāo)。已經(jīng)討論了基于規(guī)范和基于異常的檢測(cè)方法。這里遵循所建議的方法。

1)基于規(guī)范的檢測(cè):Larson et al.為CAN 2.0和CANopen 3.01協(xié)議提出并評(píng)估基于規(guī)范的IDS。他們的結(jié)論是，由于這些協(xié)議缺乏關(guān)于消息的生產(chǎn)者和消費(fèi)者的信息，因此沒(méi)有足夠的信息可用來(lái)使用基于網(wǎng)絡(luò)的入侵檢測(cè)。相反，他們建議基于主機(jī)的檢測(cè)，即在每個(gè)ECU中放置一個(gè)檢測(cè)器。然后，可以根據(jù)來(lái)自協(xié)議棧和can協(xié)議的目標(biāo)目錄(位于預(yù)期的ECU)的信息來(lái)研究傳入和傳出的網(wǎng)絡(luò)流量。對(duì)于ECU中的檢測(cè)器，可以開(kāi)發(fā)通信協(xié)議和ECU行為的安全規(guī)范。對(duì)于通信協(xié)議，安全規(guī)范由對(duì)單個(gè)字段的需求，一個(gè)字段對(duì)另一個(gè)字段的依賴(lài)關(guān)系和一個(gè)對(duì)象對(duì)另一個(gè)對(duì)象的依賴(lài)關(guān)系來(lái)描述。此外，ECU的行為由以下安全規(guī)范描述:(1)消息傳輸、(2)消息檢索和(3)允許的消息傳輸和檢索速率。

Larson等人從他們對(duì)基于規(guī)范的方法的評(píng)估中得出結(jié)論，網(wǎng)關(guān)ECU是最需要保護(hù)的ECU。如果網(wǎng)關(guān)ECU被攻破，他們調(diào)查的所有攻擊都可以執(zhí)行。不幸的是，在網(wǎng)關(guān)ECU中執(zhí)行檢測(cè)比在普通ECU中更難，因?yàn)榫W(wǎng)關(guān)中不同接口的檢測(cè)器必須協(xié)作以檢測(cè)某些攻擊，例如檢測(cè)丟失或修改的消息。

2)基于異常的檢測(cè):Hoppe等人的[29]演示了基于異常的CAN協(xié)議的IDS。與Larson等人基于規(guī)范的方法(IDS放置在ECU中)不同，他們監(jiān)聽(tīng)can總線(xiàn)上的網(wǎng)絡(luò)流量。通過(guò)查看特定消息在總線(xiàn)上傳輸?shù)念l率，并將其與正常情況進(jìn)行比較，可以檢測(cè)傳輸消息數(shù)量的偏差。這一點(diǎn)通過(guò)研究檢測(cè)車(chē)輛損壞的系統(tǒng)得到了證明。當(dāng)防盜報(bào)警被激活時(shí)，系統(tǒng)會(huì)向車(chē)燈發(fā)送信息，讓車(chē)燈打開(kāi)或關(guān)閉，從而使車(chē)燈閃爍。攻擊者不希望這些燈被激活，但是由于can總線(xiàn)是一個(gè)廣播網(wǎng)絡(luò)，警報(bào)系統(tǒng)發(fā)送的消息不能被刪除(可能在網(wǎng)關(guān)中除外)。相反，攻擊者必須創(chuàng)建新消息，以便在消息一點(diǎn)亮?xí)r就將其關(guān)閉。這些新消息將偏離正常發(fā)送的消息數(shù)量，并且將被基于異常的IDS檢測(cè)到。

3)處理入侵警報(bào):入侵檢測(cè)的一個(gè)關(guān)鍵問(wèn)題是決定如何處理作為成功檢測(cè)結(jié)果的警報(bào)?？梢钥紤]將警報(bào)發(fā)送到中心門(mén)戶(hù)，由安全人員負(fù)責(zé)處理警報(bào)。然而，假設(shè)門(mén)戶(hù)應(yīng)該為連接的大量汽車(chē)提供這樣的資源可能是不現(xiàn)實(shí)的。此外，由于各種原因，car可能無(wú)法連續(xù)連接到門(mén)戶(hù)。因此，將警報(bào)告知司機(jī)似乎更現(xiàn)實(shí)。這種方法是由Hoppe等人提出的。通過(guò)使用人機(jī)界面(HCI)，可以將各種與安全相關(guān)的事件呈現(xiàn)給驅(qū)動(dòng)程序。根據(jù)事件的嚴(yán)重程度，可以使用三種不同的方法:(1)非關(guān)鍵事件使用視覺(jué)方法，(2)關(guān)鍵事件使用聽(tīng)覺(jué)方法，(3)嚴(yán)重事件使用觸覺(jué)方法。他們還提出了一種“自適應(yīng)動(dòng)態(tài)決策模型”。通過(guò)使用車(chē)輛的傳感器，可以在警報(bào)發(fā)出時(shí)對(duì)車(chē)輛的環(huán)境進(jìn)行評(píng)估。如果當(dāng)前使用的提醒驅(qū)動(dòng)程序的方法還不夠，則必須提高提醒級(jí)別。

4)入侵防護(hù)：目前還沒(méi)有針對(duì)車(chē)輛設(shè)置的入侵防護(hù)系統(tǒng)(IPS)。其中，Hoppe等人討論了入侵響應(yīng)問(wèn)題，并指出，由于法律對(duì)安全關(guān)鍵系統(tǒng)的要求，主動(dòng)響應(yīng)系統(tǒng)可能不允許在車(chē)輛中主動(dòng)做出決策。

 

B.  蜜罐， 蜜罐是另一種可能用于收集和分析針對(duì)車(chē)內(nèi)網(wǎng)絡(luò)的攻擊的安全機(jī)制。到目前為止，只有一種這樣的方法被Verendel等人描述過(guò)。建議將蜜罐連接到車(chē)內(nèi)無(wú)線(xiàn)網(wǎng)關(guān)，模擬車(chē)內(nèi)網(wǎng)絡(luò)。從蜜罐中收集的數(shù)據(jù)可以發(fā)送到門(mén)戶(hù)并在門(mén)戶(hù)中進(jìn)行分析。這樣做的目的是了解新的攻擊，并可能改進(jìn)系統(tǒng)的下一個(gè)版本，從而使系統(tǒng)從一開(kāi)始就受到這些攻擊的保護(hù)。蜜罐的一個(gè)重要特性是目標(biāo)的模擬有多逼真。如果模擬不夠逼真，攻擊者可能會(huì)意識(shí)到他并沒(méi)有攻擊目標(biāo)網(wǎng)絡(luò)。然而，制作一個(gè)現(xiàn)實(shí)的蜜罐可能是非常困難的，Verendel等人通過(guò)提出三個(gè)模型來(lái)解決這個(gè)問(wèn)題。另一個(gè)復(fù)雜的問(wèn)題是，出于安全和安全的考慮，蜜罐應(yīng)該使用單獨(dú)的硬件。還應(yīng)該確保蜜罐不會(huì)對(duì)真正的車(chē)載網(wǎng)絡(luò)造成不利影響。

 

C.  威脅和攻擊， 為了在汽車(chē)領(lǐng)域內(nèi)對(duì)攻擊進(jìn)行分類(lèi)，已經(jīng)使用了Howard和Longstaff提供的CERT分類(lèi)，但適應(yīng)于汽車(chē)環(huán)境。

Brooks等人和Hoppe和Dittmann也從CERT分類(lèi)開(kāi)始，并將其應(yīng)用于汽車(chē)領(lǐng)域。新加入的攻擊者包括調(diào)諧器和競(jìng)爭(zhēng)產(chǎn)品; 調(diào)諧器可能希望操縱車(chē)輛，使其獲得更多的馬力。

05 討論與總結(jié)

在不久的將來(lái)，或者在今天，聯(lián)網(wǎng)汽車(chē)將成為Internet或其他基于ip的網(wǎng)絡(luò)中的成熟節(jié)點(diǎn)。這將增強(qiáng)所提供服務(wù)的靈活性和功能。與此同時(shí)，我們很可能會(huì)面臨所有通過(guò)互聯(lián)網(wǎng)傳播的威脅。因此，我們將不得不考慮將所有可用的安全機(jī)制應(yīng)用于聯(lián)網(wǎng)汽車(chē)，以適應(yīng)這種特殊且高度安全關(guān)鍵的環(huán)境所帶來(lái)的特定需求。我們發(fā)現(xiàn)，這一進(jìn)程已經(jīng)開(kāi)始，但還有許多工作要做。

我們所研究的各個(gè)子范疇的整體情況如下:

• 車(chē)內(nèi)網(wǎng)絡(luò)的問(wèn)題。CAN和FlexRay協(xié)議仍然缺乏足夠的保護(hù)。如果要將外部通信轉(zhuǎn)發(fā)到這些總線(xiàn)，則需要應(yīng)用適當(dāng)?shù)陌踩珯C(jī)制。此外，可以注意到為安全而實(shí)現(xiàn)的機(jī)制，例如can中的故障檢測(cè)機(jī)制，可能會(huì)被攻擊者用來(lái)造成安全問(wèn)題。此外，一些安全問(wèn)題是由糟糕的實(shí)現(xiàn)引起的。

• 架構(gòu)安全特性。有兩種方法使用mac來(lái)提供消息的完整性。這些方法通過(guò)修改相應(yīng)的協(xié)議來(lái)實(shí)現(xiàn)MAC。其他方法是提出新的安全體系結(jié)構(gòu)。然而，考慮到車(chē)載網(wǎng)絡(luò)的有限資源，其中一些方法仍然需要進(jìn)行評(píng)估。其他有趣的建議是嘗試正式驗(yàn)證基于認(rèn)證的安全架構(gòu)，以及通過(guò)DMS在車(chē)輛中添加安全性的概念。應(yīng)該對(duì)這種DMS如何影響車(chē)載網(wǎng)絡(luò)進(jìn)行調(diào)查。

• 入侵檢測(cè)系統(tǒng)。基于異常和基于規(guī)范的IDSs都被建議用于can協(xié)議。但是，還沒(méi)有找到其他協(xié)議的方法。由于FlexRay也缺乏適當(dāng)?shù)陌踩珯C(jī)制，最終將取代can協(xié)議，所以也應(yīng)該研究FlexRay的IDS。

• 蜜罐。在實(shí)現(xiàn)蜜罐的過(guò)程中，最困難的問(wèn)題是將其與真實(shí)的車(chē)載網(wǎng)絡(luò)分離，并使其盡可能真實(shí)。如果蜜罐將被用于收集關(guān)于攻擊者的信息，那么需要進(jìn)一步研究如何以一種安全的方式執(zhí)行此操作。

• 威脅和攻擊。我們注意到，已經(jīng)采取了調(diào)整CERT分類(lèi)的步驟，以對(duì)針對(duì)聯(lián)網(wǎng)汽車(chē)的攻擊進(jìn)行分類(lèi)。

正如我們所看到的，已經(jīng)有一些安全特性在汽車(chē)環(huán)境中進(jìn)行了應(yīng)用研究，但是還有更多的特性需要考慮。例如，Wolf簡(jiǎn)要討論了防火墻的概念，但是我們知道沒(méi)有嘗試真正引入防火墻，在每個(gè)ECU上對(duì)流量進(jìn)行過(guò)濾。我們還注意到，在車(chē)載網(wǎng)絡(luò)使用的四種協(xié)議(CAN、LIN、MOST和FlexRay)中，幾乎所有的研究都針對(duì)CAN。關(guān)于其他協(xié)議的研究很少。

06 結(jié)論

我們已經(jīng)調(diào)查了目前有關(guān)汽車(chē)聯(lián)網(wǎng)安全的研究 ，重點(diǎn)是車(chē)內(nèi)網(wǎng)絡(luò)的安全性。 雖然提出了一些解決辦法，但大多數(shù)研究的重點(diǎn)是查明安全問(wèn)題，提出解決辦法的程度較低。在這方面，還有許多工作要做。增加聯(lián)網(wǎng)汽車(chē)安全性的 最大挑戰(zhàn)之一 將是在非常有限的硬件、軟件和電力資源的約束下，使安全解決方案適應(yīng)非常高的安全要求。