車輛IT融合技術(shù)是現(xiàn)代車輛的一種快速崛起的范例，其中電子控制單元（ECU）用于控制車輛電氣系統(tǒng)，而控制器局域網(wǎng)（CAN）作為車載網(wǎng)絡(luò)通常被使用構(gòu)建高效的ECU網(wǎng)絡(luò)。 不幸的是，盡管CAN控制消息可能對生命至關(guān)重要，但在CAN中并未適當(dāng)?shù)亟鉀Q安全問題。 隨著互聯(lián)汽車環(huán)境的出現(xiàn)，車載網(wǎng)絡(luò)（例如CAN）現(xiàn)在已連接到外部網(wǎng)絡(luò)（例如3G / 4G移動網(wǎng)絡(luò)），從而使對手可以使用CAN漏洞進(jìn)行遠(yuǎn)程無線攻擊。 在本文中，我們證明了在連接的汽車環(huán)境中，使用真實(shí)的車輛和惡意的智能手機(jī)應(yīng)用程序，在物理上可能進(jìn)行遠(yuǎn)程無線攻擊。

引入

最新的模型車追求與各種IT技術(shù)的融合，從而為用戶提供舒適的駕駛環(huán)境并有效響應(yīng)汽車排放法規(guī)。為了將IT技術(shù)應(yīng)用于車輛，必須使用許多汽車應(yīng)用程序組件。在這些組件中，電子控制單元（ECU）是控制車輛中一個或多個電氣系統(tǒng)和子系統(tǒng)的最重要的組件[3]。最新的車載系統(tǒng)架構(gòu)可以包含70多個ECU，這些ECU通過異構(gòu)通信網(wǎng)絡(luò)（例如控制器局域網(wǎng)（CAN），本地互連網(wǎng)絡(luò)（LIN）或FlexRay）互連 。

在本文中，我們演示了在連接的汽車環(huán)境中使用實(shí)際車輛進(jìn)行的實(shí)際無線攻擊，其中駕駛員的智能手機(jī)已連接至車載CAN。我們的攻擊實(shí)驗(yàn)包括兩個階段：初步攻擊和實(shí)際攻擊。在準(zhǔn)備階段，即在發(fā)起實(shí)際攻擊之前，攻擊者首先獲取CAN數(shù)據(jù)幀，以使用診斷工具強(qiáng)制控制目標(biāo)車輛。實(shí)際上，可以使用相同模型的車輛（更確切地說，具有相同配置的汽車電子子系統(tǒng)的車輛）。我們注意到，診斷工具用于獲取CAN數(shù)據(jù)幀以強(qiáng)制控制ECU，并且在實(shí)際攻擊過程中無需將其附加到目標(biāo)車輛。攻擊者還制造了一種偽裝成正常應(yīng)用程序的惡意自我診斷應(yīng)用程序，并將其上傳到應(yīng)用程序市場。通過使用自診斷應(yīng)用程序（例如“ Torque”，“ Car Gauge Pro”）和OBD2掃描工具（例如“ EML327”，“ PLX KiWi”），即使在駕駛時，駕駛員也可以監(jiān)視CAN狀態(tài)信息。一旦目標(biāo)車輛的駕駛員下載了惡意的自我診斷應(yīng)用程序，智能手機(jī)就會受到攻擊者的控制。在實(shí)際攻擊階段，利用受感染的驅(qū)動程序智能手機(jī)，進(jìn)行了遠(yuǎn)程無線攻擊。也就是說，如果可能進(jìn)行3G，4G或LTE等移動通信，攻擊者可以通過智能手機(jī)獨(dú)立于其位置注入CAN數(shù)據(jù)幀。因此，智能手機(jī)不必屬于攻擊者或機(jī)械師。我們建議的攻擊模型僅在驅(qū)動程序下載惡意的自診斷應(yīng)用程序時才可行。即使在應(yīng)用程序市場中大約有300種自診斷應(yīng)用程序，就應(yīng)用程序下載量而言，它們也不是最受歡迎的應(yīng)用程序。根據(jù)我們提出的攻擊模型，這減少了攻擊的可能性。但是，我們提出的攻擊模型仍然是現(xiàn)實(shí)的攻擊場景，并且在不久的將來將是可行的，因?yàn)镚oogle和領(lǐng)先的汽車制造商正在合作將Android OS引入車輛，并且互聯(lián)汽車服務(wù)（例如鏡像鏈接）正在迅速增長。

結(jié)合實(shí)際的無線攻擊實(shí)驗(yàn)，我們還提出了一種針對CAN漏洞的安全協(xié)議，滿足以下要求。
數(shù)據(jù)加密和認(rèn)證技術(shù)可確保車載CAN中的實(shí)時數(shù)據(jù)處理。
使用消息認(rèn)證碼（MAC）的方法考慮了CAN數(shù)據(jù)幀的有限數(shù)據(jù)有效載荷。
密鑰管理技術(shù)支持外部設(shè)備與車載CAN之間的安全連接。

攻擊模型和安全要求

攻擊模型
攻擊者的能力：對手可以使用汽車診斷工具來獲取CAN數(shù)據(jù)幀，以在發(fā)動實(shí)際攻擊之前強(qiáng)制控制ECU。攻擊者可以使用惡意的自診斷應(yīng)用程序竊聽并將CAN數(shù)據(jù)幀注入連接的汽車環(huán)境中的車載CAN中。因此，攻擊者不必從短距離攻擊目標(biāo)。通過偽裝成用于車輛的合法自我診斷應(yīng)用程序，該應(yīng)用程序可能會在應(yīng)用程序市場中廣泛傳播。

目標(biāo)漏洞：目標(biāo)車輛使用CAN在ECU之間進(jìn)行通信。CAN不提供安全服務(wù)，例如加密或數(shù)據(jù)幀身份驗(yàn)證。這意味著可以在CAN中進(jìn)行監(jiān)聽和重放攻擊。由于汽車診斷工具存儲了ECU的控制命令，因此未經(jīng)授權(quán)使用汽車診斷工具也是一個安全漏洞。

受害者行為：目標(biāo)車輛的受害者通過應(yīng)用程序市場將惡意的自我診斷應(yīng)用程序下載到他/她的智能手機(jī)。受害人無法識別該應(yīng)用程序是否正在對車載CAN進(jìn)行竊聽或重放攻擊等惡意行為。在我們提出的攻擊模型中，我們不考慮攻擊破壞安裝在車輛內(nèi)部的ECU或操縱ECU固件的攻擊，因?yàn)檫@些攻擊需要長時間占用目標(biāo)車輛和專門知識。

安全需求
機(jī)密性：CAN中的每個數(shù)據(jù)幀均應(yīng)加密以提供機(jī)密性。也就是說，數(shù)據(jù)框的純文本格式應(yīng)僅對合法的ECU或一方可用。由于CAN的特性，所有數(shù)據(jù)幀都會被廣播，從而使攻擊者可以輕松竊聽CAN數(shù)據(jù)幀。特別地，可以使用汽車診斷工具來獲得用于執(zhí)行ECU控制的數(shù)據(jù)幀，因此非常容易分析相關(guān)數(shù)據(jù)幀的含義。

身份驗(yàn)證：CAN中的控制數(shù)據(jù)幀僅由數(shù)據(jù)幀中的發(fā)送方ID標(biāo)識，這使得重播攻擊成為可能。也就是說，具有有效控制數(shù)據(jù)幀的對手可以重新發(fā)送它，并有可能偽裝成合法的發(fā)送者。為了阻止這種類型的攻擊，應(yīng)該提供所傳輸數(shù)據(jù)的身份驗(yàn)證和完整性。當(dāng)前的CAN規(guī)范僅提供CRC碼以確保檢測到傳輸錯誤，而不提供認(rèn)證。

防御機(jī)制
CAN數(shù)據(jù)幀的加密和身份驗(yàn)證：為了為廣播的數(shù)據(jù)幀提供機(jī)密性，應(yīng)在加密后進(jìn)行傳輸。另外，為了認(rèn)證發(fā)送的數(shù)據(jù)幀，應(yīng)該生成一個MAC并與之一起發(fā)送。但是，要在CAN數(shù)據(jù)幀中有效地包含MAC并不容易。CAN數(shù)據(jù)幀由120位組成，包括一個64位數(shù)據(jù)字段。如果數(shù)據(jù)字段用于MAC，則CAN數(shù)據(jù)幀傳輸?shù)目偭恐辽僭黾觾杀叮阂粋€數(shù)據(jù)幀用于原始數(shù)據(jù)，至少一個用于MAC。這種方法不合適，因?yàn)樗鼘⒀杆僭黾覥AN總線負(fù)載。因此，安全協(xié)議需要一種有效的數(shù)據(jù)認(rèn)證技術(shù)，該技術(shù)可以應(yīng)用于當(dāng)前的CAN數(shù)據(jù)幀格式。

CAN的高效密鑰管理：為了進(jìn)行安全通信，CAN安全協(xié)議應(yīng)提供用于數(shù)據(jù)幀加密和身份驗(yàn)證的安全且快速的密鑰分發(fā)機(jī)制。另外，需要有效且安全的會話密鑰更新協(xié)議，以增強(qiáng)會話密鑰和截斷的MAC的安全性。還需要支持外部設(shè)備和車輛之間的連接。

擬議的安全協(xié)議
1.加載長期對稱密鑰

2.初始會話密鑰的分布

3.CAN數(shù)據(jù)幀的加密和認(rèn)證

總結(jié)
近來，關(guān)于車載CAN的脆弱性的許多研究已經(jīng)完成。但是，這樣的攻擊模型是不現(xiàn)實(shí)的，因?yàn)樗鼈冃枰罅康木蛷?fù)雜的技術(shù)，例如反向工程和劫車。因此，在本文中，我們提出了一種在聯(lián)網(wǎng)汽車環(huán)境中使用惡意智能手機(jī)應(yīng)用程序的實(shí)際攻擊模型，并通過實(shí)際實(shí)驗(yàn)進(jìn)行了演示。在分析了車載CAN的脆弱性并演示了攻擊模型后，我們設(shè)計了可應(yīng)用于汽車環(huán)境的安全協(xié)議。此外，我們通過基于Secure-ECU和CANoe的評估來分析提出的安全協(xié)議的安全性和性能。將來，我們計劃通過在硬件上實(shí)施加密和哈希算法來優(yōu)化所提出的安全協(xié)議的性能，以優(yōu)化我們的安全技術(shù)。