域控制器架構車載通信安全測評技術及對策探究

葉非凡，竇鬧喜，李樂言

域控制器架構車載通信安全測評技術及對策探究

葉非凡1，竇鬧喜2，李樂言2

（1.西安電子科技大學（廣州研究院），廣東 廣州 510555； 2.工業和信息化部 電子第五研究所，廣東 廣州 510370）

隨著汽車逐漸呈現“新四化”的發展趨勢，其電子電氣架構趨于模塊化、集中化，出現了以域控制器架構為代表的集中式電子電氣架構。文章首先從產生背景、典型架構設計和實際應用情況對域控制器架構進行了概述，其次分析了在域控制器架構下車載通信的安全威脅?；诖嬖诘陌踩{，結合實際測試用例介紹了域控制器架構下車載通信安全的測評技術。最后從硬件安全模塊、通信加密和認證、域間隔離三個角度提出了加強域控制器架構通信安全的合理建議。

域控制器；車載通信安全；測評技術；安全對策

1 域控制器架構概述

1.1 產生背景

汽車在近年來逐漸呈現電動化、智能化、網聯化、共享化的“新四化”發展趨勢，對現代車輛的算力提出了更高要求。傳統的分布式電子電氣架構由于算力分散、布線復雜、軟硬件耦合深、通信帶寬瓶頸等缺點而無法適應當下智能網聯汽車的發展需求，在這樣的時代背景下，“域”的概念和域控制器架構隨之誕生。域控制器最早由博世、大陸、德爾福等一級汽車供應商提出，通過利用運算能力更強的多核處理器芯片，使得域控制器可以相對集中地控制每個域，是集中式電子電氣架構的典型代表，用以取代傳統的分布式電子電氣架構。域控制器架構的出現大幅減少了車內電子控制單元（Electronic Control Unit, ECU）的數量和線束長度，降低了硬件成本。同時配備的高算力芯片可以滿足各種汽車智能化的信息處理與運算要求，實現了軟硬件的解耦和整車遠程空中下載（Over The Air, OTA）技術，為“軟件定義汽車”提供了可能性[1]。

1.2 架構設計

所謂“域”，即控制汽車的某一大功能模塊的電子電氣架構的集合，每一個域由一個域控制器進行統一的控制，最典型的劃分方式是把全車的電子電氣架構分為五個域：動力域、底盤域、座艙域、車身域和自動駕駛域，具體分工如下：

動力域控制器控制車輛的動力總成，優化車輛的動力表現，保證車輛動力安全。功能包括但不限于發動機、變速箱、電池、動力分配、排放的管理。

底盤域控制器控制車輛的行駛行為和行駛姿態，包括但不限于制動系統、傳動系統、行駛系統、轉向系統、車速傳感器、懸掛、安全氣囊的管理。

座艙域控制器控制車輛的智能座艙中的各種電子信息系統功能，包括車載信息娛樂系統（In-Vehicle Infotainment, IVI）、中控、座椅、儀表、后視鏡、導航系統等。

車身域控制器控制各種車身功能，包括但不限于對于車燈、內飾燈、車鎖、車窗、雨刮器、電動后備箱、智能鑰匙、空調、天線、網關通信的控制。

自動駕駛域控制器負責實現和控制汽車的自動駕駛功能，對圖像信息進行接收、處理和判斷；對數據進行處理和計算，做出快速決策。自動駕駛域控制器需要處理感知、決策、控制三個層面的算法，對算力要求較高。

域控制器架構的典型設計如圖1所示，各個域通過中央網關進行連接，使用高速的車載以太網協議通信。域控制器獨立組成域內網絡，根據功能需要選用以太網或控制器局域網絡（Contro- ller Area Network, CAN）等傳統總線協議通信。

圖1 域控制器架構的典型設計

1.3 實際應用

小鵬汽車目前已逐漸過渡到中央集中式電子電氣架構，其發布的P7車型具備分層域控、跨域整合、混合設計的特點。功能域控制器（智駕、車身、動力域模塊）與中央域控制器并存；域控制器覆蓋多重功能，保留局部的傳統 ECU；CAN總線和以太網總線并存；特斯拉推出的Model 3車型是汽車電子電氣架構集中化的一次變革，全車只有中央計算模塊、右車身控制模塊、左車身控制模塊三個域控制器；蔚來率先推出中國首個全棧自研智能底盤域控制器，搭配自主集成開發的底盤硬件系統，使車輛能夠兼顧舒適性和操控性，同時還支持跨域融合的高級別自動駕駛場景。

2 域控制器架構車載通信的安全威脅

在全新的汽車電子電氣架構下，車載通信面臨的安全威脅與傳統架構相比更為豐富。本節以車內的重要安全資產為切入點，從通信實體、通信協議兩個角度展開，總結域控制器架構下車載通信面臨的主要安全威脅。

2.1 通信實體安全威脅

通信實體是車載網絡承擔主要數據通信任務的零部件及相關接口，是車載網絡通信的第一道防線。域控制器架構的重要通信實體描述如下：

車載T-BOX與云端服務器及手機App通訊，具備藍牙、近場通訊（Near Field Communication, NFC）、Wi-Fi接口，同時承擔遠程、近場通訊業務；通過車載自診斷（On-Board Diagnostics, OBD）接口與車載通訊總線直接相連，可讀取車輛通信數據；具備USB和在PCB電路板上暴露的JTAG、UART等物理調試接口；接口豐富，安全風險高，是智能網聯汽車漏洞挖掘、逆向分析和網絡攻擊的重要入口[2]。

域控制器本質上是搭載了多核處理器的高算力車載ECU，控制著車輛關鍵部件的運行，通過車載總線進行信息交互。與T-BOX類似，域控制器同樣具備眾多物理調試接口，最大風險點是座艙域控制器的IVI。IVI是基于車身總線系統、互聯網服務、嵌入式或移動操作系統形成的車載綜合信息系統，可提供信息娛樂、地圖導航等眾多功能，攻擊面廣、風險點多。

車身傳感器智能網聯汽車擁有攝像頭、激光雷達等用于自動駕駛等高階功能的傳感器設備。這些傳感器很容易受到惡意信息注入攻擊，擾亂車載網絡通信和域控制器決策。如車輛在行駛過程中遭受攻擊，將造成不可預料的安全事故。

攻擊者一旦通過通信實體的安全風險點接入車載網絡，將能夠進行：遠程通訊中間人攻擊；通信數據監聽和篡改；逆向分析車載通信矩陣；遠程拒絕服務（Denial of Service, DoS）攻擊；偽造遠程控車指令；逆向分析固件，進而竊取通信會話密鑰、用戶數據等敏感信息；注入惡意后門程序等[3]。

2.2 通信鏈路安全威脅

在域控制器架構下，車載主干網絡使用通信速率更快的車載以太網通信，同時仍保留CAN等相對低速的通信總線作為域內網絡，主干網絡和域內網絡以域控制器為網關進行數據交換。上述車載通信協議均存在不同程度的安全漏洞。

CAN/CAN-FD總線在設計之初未考慮信息安全風險，具有較多的信息安全漏洞。一是采用非破壞性總線仲裁方式進行通信，校驗簡單、廣播發送；二是完全采用明文傳輸，缺少身份認證協議，無法驗證消息發送方和接收方的身份合法性；三是消息格式定義標準簡單，報文編號（ID）數量能夠窮舉，破解和逆向解析整車通信協議的難度較小[4]。

車載以太網在傳統以太網的基礎上對車載通信場景進行了適配，實現了100 Mb/s的高速率傳輸，可進行點對點通信。然而協議仍存在IP地址漏洞、地址解析協議（Address Resolution Protocol, ARP）中間人攻擊、數據明文傳輸等信息安全問題[5]。

基于上述協議漏洞，攻擊者可以輕松地對車載總線進行報文竊聽、偽造、篡改、重放和DoS攻擊，嚴重危害車載通信安全。

3 域控制器架構車載通信安全測評

域控制器架構的通信安全測評技術需要結合常用檢測手段進行適配改進。本章以某車型的車身域控制器為例，介紹域控制器架構下車載通信安全的測試思路、測試方法和評價標準。

測試按層次由淺至深進行，分為硬件安全測試、CAN總線安全測試、車載以太網安全測試三部分。硬件安全測試圍繞域控制器調試接口和存儲固件開展，這與通信安全密切相關；后兩者圍繞域控制器的通信過程進行。

3.1 硬件安全測試

3.1.1測試內容

該測試旨在尋找可能接入車載網絡的調試接口，以及尋找可能存在域控制器固件內的通信密鑰和安全證書。測試內容包括調試接口檢查、芯片固件提取和固件信息分析等。部分典型測試用例如表1所示。

表1 硬件安全測試用例

3.1.2測試過程和結果評價

固件分析工具如圖2所示。首先拆開被測件的外殼進行檢查，發現了隱藏的ADB調試接口。攻擊者通過該接口可接入域控制器的操作系統，注入惡意程序或監聽車載網絡通信。之后使用固件提取工具成功提取了被測件板載芯片的固件，分析固件代碼，未發現通信密鑰、安全證書等敏感信息。

圖2 固件分析工具

3.2 CAN總線通信安全測試

3.2.1測試內容

在域控制器架構下，CAN總線作為域內子網通信鏈路。測試針對車身域控制器及其連接的車身零部件，測試內容包括報文逆向分析、重放攻擊、DoS攻擊測試、統一診斷服務（Unified Diagno- stic Service, UDS）檢測、模糊測試等。典型的測試用例如表2所示。

表2 CAN總線通信安全測試用例

3.2.2測試過程和結果評價

測試開始前由廠商提供CAN總線接口引腳圖和通信矩陣。前置條件具備后，使用CAN總線測試工具及線束（本文以USBCAN測試工具為例），一端連接測試電腦，另一端連接被測件的CAN通信接口，按照測試用例逐一測試，測試工具如圖3所示。

測試結果表明，被測件的CAN通信數據未使用任何加密和認證手段，可逆向分析出報文含義；對通信數據進行重放，被測件正常執行相應動作，表明通信鏈路沒有防止重放攻擊的對策；在發起模糊測試的過程中，被測件所連接的車身零部件出現隨機異常重啟狀況，如圖4所示。

圖4 模糊測試造成車身零部件異常重啟

3.3 車載以太網通信安全測試

3.3.1測試內容

車載以太網是域控制器架構下典型的通信協議，通常作為主干網絡，用于車載T-BOX和不同域控制器間的通信。測試內容主要包括漏洞掃描、基于以太網協議的診斷（Diagnostic over Internet Protocol, DoIP）和可擴展的面向服務的IP中間件SOME/IP（Scalable service-Oriented MiddlewarE/ IP）協議中間件測試、DoS攻擊測試、ARP中間人攻擊測試、數據加密測試、模糊測試等。典型的測試用例如表3所示。

表3 車載以太網通信安全測試用例

3.3.2測試過程和結果評價

測試開始前，由廠商提供車載以太網的組網方法。前置條件具備后將被測件接入車載以太網測試電腦，使用漏洞掃描軟件掃描IP協議漏洞；使用Wireshark軟件抓取通信數據包，按照測試用例逐一測試，測試環境和工具如圖5所示。

圖5 車載以太網通信安全測試工具

測試結果表明，在DoS攻擊場景下，被測件及其域內傳感器的以太網通信鏈路受到較大影響，部分傳感器無響應，無法正常收發數據、執行決策；對通信數據進行重放，被測件正常執行相應動作，表明通信鏈路沒有防止重放攻擊的對策；模糊測試未發現明顯異常。此外，由于DoIP、SOME/IP協議未提供加密機制，通過廠商提供的協議通信矩陣可輕松解析出協議數據包的內容含義，如圖6所示，該SOME/IP數據幀是一個服務請求報文，包括了服務ID、方法ID、消息類型、服務響應碼，這些信息均包含在Payload數據內。

圖6 解析車載以太網通信數據

4 安全對策建議

域控制器大幅提升了汽車的智能化水平，同時帶來了嚴峻的信息安全問題。結合智能網聯汽車安全產品的研發現狀和車載通信安全測試的實踐經驗，本章從三個角度對域控制器架構下如何提高車載網絡通信安全性提出一些可行建議。

4.1 使用硬件安全模塊保護通信密鑰

硬件安全模塊（Hardware Security Module, HSM）是一種用于保護和管理強認證系統所使用的密鑰和敏感數據，并同時提供相關密碼學操作的硬件設備。HSM通過128位AES硬件加速器，用于生成密鑰材料的真隨機數生成器，用于存儲加密密鑰的硬件保護存儲，刷寫和調試功能等，為車載通信提供所需的安全保障。HSM能夠有效阻止固件逆向，保護車載通信密鑰，大大提高車載通信節點的安全性。建議在域控制器架構下，基于HSM構建安全信任錨點，安全存儲通信使用的加密算法和密鑰。

4.2 通信數據加密認證

針對車載通信明文傳輸、缺乏認證的安全漏洞，建議對通信數據進行加密傳輸，并部署消息認證機制。對于車載以太網，建議采用安全傳輸層協議（Transport Layer Service, TLS）行安全傳輸，配合IPSec、MACSec等傳輸層安全協議實現通信數據加密傳輸和數據幀的身份認證。對于CAN、CAN-FD等協議，使用AES對稱加密體制保護數據傳輸。

此外，建議為每個通信實體內部署安全板載通信（Secure Onboard Communication, SecOC）機制。SecOC是在AUTOSAR軟件包中添加的信息安全組件，為車載通信增加了加解密運算、密鑰管理、新鮮值管理和分發等一系列的功能。SecOC模塊為車載通信關鍵數據提供有效可行的身份驗證機制，與AUTOSAR通信系統無縫集成，減小資源消耗[5]。

4.3 域間通信隔離

在域控制器架構下，車輛按照功能被劃分為若干個域，不同的域承擔不同的車身功能，這從架構上為車載網絡域間隔離提供了基礎條件。建議在每個域控制器內設置防火墻以加強訪問控制，在對數據嚴格加密傳輸的同時，依據通信白名單對域間通信數據采取身份認證，確保充分過濾可疑數據，實現域間安全隔離。對于自動駕駛、座艙娛樂等安全要求較高的域，應提供更強的隔離手段，不應暴露任何可接入系統的硬件調試接口。

5 總結

目前域控制器架構仍處于快速發展階段，基于域控制器架構的車載通信安全問題仍未得到足夠的重視，也未有普適性的車載域控制器通信安全測試用例，相關通信安全方案和安全產品仍處于空白階段。本文首先簡述了域控制器的產生背景、典型架構設計和實際應用現狀。其次從通信實體、通信協議兩個角度層次化分析了域控制器架構下車載通信的安全威脅。之后結合實際測試用例，從硬件接口和固件、CAN總線、車載以太網三個部分介紹了域控制器架構下的車載通信安全測評技術。最后結合現有技術從硬件安全模塊、通信加密認證、域間隔離三個角度提出了加強車載通信安全的對策建議。

[1] 金星辰,方沂,徐征.基于域集中式架構的汽車車載通信安全方案[J].天津職業技術師范大學學報,2020, 30(4):48-53.

[2] 吳武飛,李仁發,曾剛,等.智能網聯車網絡安全研究綜述[J].通信學報,2020,41(6):161-174.

[3] 宋昊辰,楊林,徐華偉,等.智能網聯汽車信息安全綜述[J].信息安全與通信保密,2020(7):106-114.

[4] 向民奇,韋天文,鄧宇,等.智能網聯汽車CAN總線信息安全測試方法[J].時代汽車,2021(20):197-198.

[5] 章意,李飛,張森葳.基于SecOC的車載網絡通信安全模型研究[J].計算機應用研究,2022,39(8):2474-2478.

Research on Security Evaluation Technology and Countermeasures of Vehicle Communication with Domain Controller Architecture

YE Feifan1, DOU Naoxi2, LI Leyan2

( 1.Xidian University (Guangzhou Research Institute), Guangzhou 510555, China; 2. Fifth Research Institute of Electronics, Ministry of Industry and Information Technology, Guangzhou 510370, China )

With the gradual development trend of the "new four modernizations", the electronic and electrical architecture of automobiles tends to be modular and centralized, and a centralized electronic and electrical architecture represented by the domain controller architecture appears. This paper firstly summarizes the domain controller architecture from the background, typical architecture design and practical application, and then analyzes the security threats of vehicle communication under the domain controller architecture. Based on the existing security threats and practical test cases, this paper introduces the evaluation technology of vehicle communication security under domain controller architecture. Finally, some reasonable suggestions are put forward to strengthen the communication security of domain controller architecture from three aspects: hardware security module, communication encryption and authentication, and interdomain isolation.

Domain controller; Vehicle communication security; Evaluation technology; Security countermeasure

10.16638/j.cnki.1671-7988.2023.022.011

U463.61

A

1671-7988(2023)22-60-06

葉非凡（1998－），男，碩士研究生，研究方向為車聯網安全，E-mail:18260958799@163.com。