向民奇　韦天文　邓宇　刘书帆

摘 要：目前CAN总线仍是智能网联汽车车内通信的主要方式，直接与车内各ECU控制模块相连组成整个车内网，由于CAN总线通信为广播式、缺乏报文数据保密、缺乏报文数据来源验证以及缺乏DoS攻击的保护特性。若车辆遭受网络入侵渗透到车内CAN总线网络时各个ECU模块将面临严重的威胁，严重将引发车辆安全事故。如何有效规避车辆信息安全问题，则需要加强对车辆的信息安全测试，及时发现存在的安全问题并进行修复。为此本文总结提出了针对智能网联汽车CAN总线信息安全测试的方法。主要内容为：1、应用报文的模糊测试、重放攻击测试、DoS攻击测试;2、诊断报文的测试安全分析。

关键词：智能网联汽车 信息安全 CAN总线 OBD接口 安全测试

Can Bus Cyber Security Test Method of Intelligent Connected Vehicle

Xiang Minqi Wei Tianwen Deng Yu Liu Shufan

Abstract：At present， can bus is still the main way of in vehicle communication of intelligent connected vehicle， and it is directly connected with each ECU control module in the vehicle to form the whole in vehicle network. Can bus communication is broadcast type， lack of message data confidentiality， lack of message data source verification and lack of DoS attack protection characteristics. If the vehicle suffers from network intrusion and penetrates the CAN bus network inside the vehicle， each ECU module will face a serious threat， which will lead to serious vehicle safety accidents. To effectively avoid the vehicle cyber security problems， we need to strengthen the vehicle cyber security testing， timely find the existing security problems and repair. Therefore， this paper summarizes and puts forward the testing method of CAN bus cyber security for intelligent connected vehicles. The main contents are as follows： 1. Fuzzy test of application message， replay attack test， DoS attack test; 2. Test security analysis of diagnostic message.

Key words：intelligent connected vehicle， cyber security， can bus， OBD interface， security testing

1 引言

今年來汽车网络安全事件频发[1-2]。车辆CAN总线作为整个车联网链路上最底层的通讯网络，直接参与控制车辆各传感器、ECU以及执行器，其可控性直接影响整车安全。车联网与传统网络被攻击所造成的结果有明显的区别，车联网被成功攻破后不仅可能是后端TSP服务平台的不可用、车厂或者用户的个人隐私敏感信息的泄露，还可能直接引发车辆安全事故，造成社会危害。因此对于智能网联汽车即使在传统的通信网络被攻破后，车内CAN总线仍需自身具备安全防御能力。为此国内外学者特意针对汽车网络安全模糊测试做了研究[3-4]。本文的主要内容是针对智能网联汽车CAN总线提出了一套完整的测试项目、测试方法及要求。

2 应用报文信息安全测试

2.1 模糊测试

在对车辆CAN总线应用报文进行模糊测试时，通过OBD口向CAN总线应用报文CAN ID区间内的所有CAN ID（无论开发定义中是否真实存在此CAN ID）依次发送随机生成的报文数据帧或者其他不合法的报文数据帧，观察车辆异常状态。对于模糊测试可分为CAN总线通信工具可监听类报文和不可监听类报文进行测试。其中可监听类报文可以在车辆上电时对车辆的各ECU执行器进行动作，在报文监听面板显示出的CAN ID即是可监听类报文。

对于可监听类报文的模糊测试重点从以下方面进行：1）报文数据帧内容变异;2）报文周期变异;3）报文字节数变异;4）以上3方面的相互组合。对于不可监听类报文进行模糊测试是对应用报文CAN ID区间内没监听到的CAN ID构造小于等于8字节的周期性随机数据帧内容的发送类报文，建议对每个不可监听类的CAN ID重复多个报文周期和多个报文字节的随机数据帧内容测试。

2.2 重放攻击

对于车辆CAN总线应用报文的重放攻击，利用CAN总线通信工具录制车辆目标动作的数据，然后回放至CAN总线。测试步骤为：1）报文录制——测试人员对车辆执行相应的操作，利用CAN总线通信工具录制测试操作过程中的所有报文;2）报文回放——测试人员将车辆恢复至操作前状态，利用CAN总线通信工具将录制的报文进行回放至CAN 网络;3） 观察车辆异常状态。