聯(lián)網(wǎng)汽車內(nèi)的計(jì)算復(fù)雜性越來越高，隨著自動(dòng)駕駛汽車的出現(xiàn)，制造商如何測(cè)試網(wǎng)絡(luò)安全保障？聯(lián)網(wǎng)汽車的計(jì)算復(fù)雜度不斷增加，隨著自動(dòng)駕駛汽車的出現(xiàn)，制造商如何測(cè)試網(wǎng)絡(luò)安全保證？模糊測(cè)試是一種成功的黑盒測(cè)試方法，黑客們用它來發(fā)現(xiàn)各個(gè)領(lǐng)域的安全弱點(diǎn)。因此，SAEJ3061中提到的模糊測(cè)試（沒有任何細(xì)節(jié)）是否應(yīng)更廣泛地應(yīng)用于車輛系統(tǒng)開發(fā)過程中，以幫助減少漏洞？為了研究這個(gè)問題，我們開發(fā)了一個(gè)自定義模糊器，允許對(duì)目標(biāo)車輛的CAN總線(用作車輛的ecu的數(shù)據(jù)互連)進(jìn)行實(shí)驗(yàn)。結(jié)果表明，模糊測(cè)試是車輛系統(tǒng)在準(zhǔn)備進(jìn)行系列生產(chǎn)之前需要進(jìn)行的眾多安全測(cè)試之一。然而，以前在對(duì)汽車進(jìn)行網(wǎng)絡(luò)測(cè)試時(shí)提出的問題也得到了證實(shí)。因此，在將模糊測(cè)試加入汽車工程工具箱時(shí)，提出了一些需要在未來研究中解決的問題。

I.簡(jiǎn)介

所有大規(guī)模制造的車輛都需要內(nèi)部聯(lián)網(wǎng)的計(jì)算機(jī)才能正常運(yùn)行。車輛上的計(jì)算機(jī)被稱為電子控制單元(ECUs)。CU運(yùn)行著從發(fā)動(dòng)機(jī)到車內(nèi)照明的所有設(shè)備，通常與低成本的控制器區(qū)域網(wǎng)絡(luò)（CAN）數(shù)據(jù)總線互連。在車輛中發(fā)現(xiàn)的其他網(wǎng)絡(luò)包括FlexRay、面向媒體的系統(tǒng)傳輸（MOST）、本地互連網(wǎng)（LIN）和兩線制以太網(wǎng)（100BASE-T1）。這些車輛系統(tǒng)可能直接或間接地連接到互聯(lián)網(wǎng)。這是通過內(nèi)置的蜂窩通信，或通過司機(jī)或乘客的小工具，如智能手機(jī)來實(shí)現(xiàn)的。這使得我們駕駛的汽車或使用的交通工具成為網(wǎng)絡(luò)物理系統(tǒng)（CPS）和物聯(lián)網(wǎng)（IoT）設(shè)備。這些聯(lián)網(wǎng)汽車已被證明患有類似的網(wǎng)絡(luò)安全漏洞，就像其他基于計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)，無論是家庭、辦公室還是工業(yè)。因此，聯(lián)網(wǎng)和自動(dòng)駕駛汽車(CAV)需要能夠抵御網(wǎng)絡(luò)攻擊。所以，網(wǎng)絡(luò)安全測(cè)試已被添加到制造商的車輛工程流程的任務(wù)清單中，或應(yīng)成為其一部分，正如政府現(xiàn)在所規(guī)定的那樣。

由于汽車領(lǐng)域的特殊技術(shù)和CPS環(huán)境，將既定的網(wǎng)絡(luò)安全測(cè)試方法應(yīng)用于汽車工程是具有挑戰(zhàn)性的。模糊測(cè)試是一種成熟的軟件動(dòng)態(tài)測(cè)試方法，對(duì)汽車領(lǐng)域來說是一個(gè)有價(jià)值的補(bǔ)充嗎？本文的貢獻(xiàn)是通過一個(gè)定制的模糊測(cè)試程序來研究這個(gè)問題，并開始解決將模糊測(cè)試引入汽車系統(tǒng)測(cè)試的挑戰(zhàn)。

A簡(jiǎn)要介紹了模糊測(cè)試之后，研究了將其應(yīng)用于車輛系統(tǒng)的現(xiàn)有工作。本文介紹了測(cè)試CPS系統(tǒng)的動(dòng)機(jī)和挑戰(zhàn)。然后介紹了經(jīng)過模糊測(cè)試的車輛技術(shù)，即CAN總線。在討論觀察和進(jìn)一步的工作和結(jié)論之前，將介紹運(yùn)行自定義軟件和結(jié)果輸出。在討論觀察結(jié)果和進(jìn)一步的工作以及結(jié)論之前，介紹了運(yùn)行定制軟件和結(jié)果輸出。

A. 什么是模糊測(cè)試？

模糊測(cè)試是一種動(dòng)態(tài)分析測(cè)試方法。它是針對(duì)正在運(yùn)行的系統(tǒng)執(zhí)行的（與對(duì)源代碼的靜態(tài)分析相反）。模糊器是一個(gè)執(zhí)行模糊測(cè)試的程序。向目標(biāo)系統(tǒng)生成隨機(jī)輸入數(shù)據(jù)是模糊器的主要功能。然而，為了更有效率，從而更有效，模糊測(cè)試器可以在了解系統(tǒng)數(shù)據(jù)格式、通信協(xié)議和接口的情況下運(yùn)行。模糊測(cè)試的本質(zhì)是：

-隨機(jī)輸入（fuzz）被發(fā)送到系統(tǒng)的接口。

-系統(tǒng)的反應(yīng)被監(jiān)測(cè)。

-如果系統(tǒng)發(fā)生故障，會(huì)記錄導(dǎo)致故障的條件并重置系統(tǒng)。

-這個(gè)過程要重復(fù)大量的次數(shù)，以覆蓋一個(gè)大的輸入值空間。

-由于執(zhí)行了大量的測(cè)試，模糊測(cè)試是自動(dòng)化的，以提高效率。

能夠使軟件失效是攻擊者用來滲透系統(tǒng)的方法之一。因此，模糊測(cè)試現(xiàn)在是一種成熟的、完善的方法，可以發(fā)現(xiàn)應(yīng)用程序和操作系統(tǒng)中的漏洞，并被用來幫助對(duì)汽車系統(tǒng)進(jìn)行逆向工程。然而，它在汽車系統(tǒng)的一般測(cè)試中的應(yīng)用卻很低（圖1）。

圖1汽車行業(yè)的測(cè)試方法，來自于[7]的數(shù)據(jù)

II.相關(guān)工作

對(duì)車輛黑客的研究通常關(guān)注的是證明聯(lián)網(wǎng)車輛的漏洞。一些研究人員確實(shí)在攻擊的同時(shí)提供解決方案。盡管早期在破壞控制器區(qū)域網(wǎng)絡(luò)（CAN）方面進(jìn)行了實(shí)際演示，但直到2010年大眾媒體廣泛宣傳了實(shí)際的聯(lián)網(wǎng)汽車網(wǎng)絡(luò)攻擊，人們才對(duì)針對(duì)車輛的網(wǎng)絡(luò)攻擊產(chǎn)生了興趣。實(shí)現(xiàn)媒體廣泛報(bào)道的2010年的原始研究指出：

事實(shí)上，由于有效的CAN包的范圍相當(dāng)小，通過簡(jiǎn)單的包模糊（即隨機(jī)或部分隨機(jī)包的迭代測(cè)試）可以造成嚴(yán)重的損害。事實(shí)上，對(duì)于尋求無差別破壞的攻擊者來說，模糊化本身就是一種有效的攻擊。

盡管他們對(duì)模糊的主要用途是幫助對(duì)目標(biāo)車輛的系統(tǒng)進(jìn)行反向工程。然而，在網(wǎng)絡(luò)服務(wù)和一般信息系統(tǒng)中，模糊技術(shù)被用來破解軟件。然而，到目前為止，汽車黑客的模糊測(cè)試的價(jià)值在于幫助發(fā)現(xiàn)汽車系統(tǒng)的功能。這是因?yàn)檐囕v內(nèi)部系統(tǒng)的操作細(xì)節(jié)是商業(yè)機(jī)密。通常情況下，確定一個(gè)特定的CAN信息的唯一方法是在操作車輛功能時(shí)捕獲網(wǎng)絡(luò)數(shù)據(jù)包。在生產(chǎn)前的安全測(cè)試中，關(guān)于模糊測(cè)試的有用性的工作做得很少。在汽車系統(tǒng)的模糊測(cè)試方面有哪些可用的方法？

[13]提供了一個(gè)用于ECU診斷的統(tǒng)一診斷服務(wù)(UDS)模糊器的設(shè)計(jì)。該報(bào)告主要關(guān)注模糊器的設(shè)計(jì)，并在UDS模擬器上進(jìn)行了測(cè)試。它確實(shí)發(fā)現(xiàn)了模擬器的UDS實(shí)現(xiàn)中的弱點(diǎn)，盡管沒有提供深入的結(jié)果介紹。

測(cè)試諭問題（如何確定系統(tǒng)的正確響應(yīng)）對(duì)cps來說是一個(gè)挑戰(zhàn)，特別是在自動(dòng)化整個(gè)安全測(cè)試過程方面。在[15]中，提出了一個(gè)從一個(gè)硬件循環(huán)(HIL)和軟件循環(huán)(SIL)測(cè)試和開發(fā)系統(tǒng)到基于Python的開源模糊器的鏈接，稱為booFuzz。他們提出了幾種解決測(cè)試諭問題的方法：

-網(wǎng)絡(luò)通信監(jiān)控。

-通過組件調(diào)試接口進(jìn)行監(jiān)控。通常不用于硬件調(diào)試，一旦開始生產(chǎn)，通常就不能使用。

-對(duì)模擬器內(nèi)部可用的系統(tǒng)信號(hào)的直接和間接監(jiān)測(cè)。

-使用汽車通用測(cè)量和校準(zhǔn)協(xié)議（XCP），允許遠(yuǎn)程訪問ECU的內(nèi)部。

-用外部傳感器監(jiān)測(cè)系統(tǒng)的物理反應(yīng)。

然而，沒有考慮到任何額外的監(jiān)測(cè)能力可能被攻擊者利用，他們會(huì)尋找任何信息來源來幫助破壞系統(tǒng)。因此，支持XCP可能有助于詳細(xì)的ECU診斷，但它提供了另一個(gè)可能被利用的渠道。注意到的一個(gè)有趣的問題是，汽車ECU有不同的操作模式。在其壽命的大部分時(shí)間里，ECU都在提供正常的操作功能。然而，在車輛維修期間，ECU可以被鎖定或解鎖，以便通過UDS進(jìn)行軟件更新。對(duì)于系統(tǒng)測(cè)試人員來說，覆蓋ECU的所有狀態(tài)是很重要的，因?yàn)檫@些不同的狀態(tài)之前已經(jīng)被利用了。

在[16]中提供了如何配置一個(gè)商業(yè)模糊器來連接到一個(gè)汽車網(wǎng)絡(luò)。沒有給出實(shí)際應(yīng)用，只發(fā)布關(guān)于數(shù)據(jù)包吞吐量率的結(jié)果。在[17]中，另一個(gè)商業(yè)模糊工具用于測(cè)試單個(gè)ECU。測(cè)試環(huán)境定義了一個(gè)比較模塊，作為測(cè)試參數(shù)，在模糊CAN消息時(shí)驗(yàn)證ECU的正確操作。

表一列出了已發(fā)表的參考工作中所使用的模糊器，加上Peach模糊器，它被宣傳為支持汽車測(cè)試1。大多數(shù)是通用的商業(yè)產(chǎn)品，booFuzz是開源的，Peach也有一個(gè)開源版本。他們都需要對(duì)汽車系統(tǒng)的工作進(jìn)行調(diào)整。兩種主要方法是：1）協(xié)議，使用CAN數(shù)據(jù)包的格式（表三），或2）從系統(tǒng)設(shè)計(jì)中輸入，即對(duì)數(shù)據(jù)包內(nèi)容有預(yù)先的了解（可以從ECU中運(yùn)行的源代碼中得知）。在下面的章節(jié)中，將對(duì)汽車模糊測(cè)試的需求進(jìn)行研究。

III.動(dòng)機(jī)

安全是汽車的一個(gè)關(guān)鍵設(shè)計(jì)目標(biāo)。汽車的操作正確性、認(rèn)證以及與國(guó)際和國(guó)家標(biāo)準(zhǔn)的一致性都要進(jìn)行測(cè)試。國(guó)家間標(biāo)準(zhǔn)化組織（ISO）發(fā)布了ISO 26262，用于電氣和電子系統(tǒng)的功能安全。然而，對(duì)于聯(lián)網(wǎng)汽車來說，網(wǎng)絡(luò)攻擊是一種超越正常功能操作的威脅。如何解決這種威脅呢？汽車工程師協(xié)會(huì)（SAE）J3061出版物為CPS提供了一些最佳實(shí)踐指南，作為引入安全意識(shí)的過程和設(shè)計(jì)的起點(diǎn)，另外ISO/SAE AWI 21434（道路車輛，網(wǎng)絡(luò)安全工程）正在開發(fā)中。然而，對(duì)于系統(tǒng)工程師來說，需要適用的方法。

A. 從物理鎖到網(wǎng)絡(luò)鎖

從根本上說，安全是一個(gè)經(jīng)濟(jì)問題，必須在一個(gè)系統(tǒng)中加入足夠的安全性來勸阻對(duì)手。安全措施曾經(jīng)只是物理性的，比如說更強(qiáng)的鎖。現(xiàn)在，網(wǎng)絡(luò)鎖需要認(rèn)證、數(shù)據(jù)和通信加密以及其他密碼學(xué)措施來保護(hù)安全屬性，其形式為CIA三要素。

?保密性--防止敏感數(shù)據(jù)被查看。

?完整性--防止數(shù)據(jù)值的改變。

?可用性--保護(hù)系統(tǒng)運(yùn)行。

然而，網(wǎng)絡(luò)鎖并不能保證系統(tǒng)的安全。計(jì)算機(jī)代碼的一般問題是它很少?zèng)]有錯(cuò)誤。盡管在一個(gè)計(jì)算系統(tǒng)中盡了最大努力消除錯(cuò)誤，但在數(shù)十萬(wàn)行代碼(LOC)中仍會(huì)有一個(gè)給定的錯(cuò)誤率。攻擊者的目標(biāo)是找到可以用來獲取收益的代碼錯(cuò)誤。尋找弱點(diǎn)所涉及的努力（即成本）越大，攻擊者就越有可能尋找其他地方。然而，制造商面臨著一個(gè)困境，在某種程度上，減少系統(tǒng)中的錯(cuò)誤數(shù)量變得指數(shù)級(jí)困難的，任何項(xiàng)目都有有限的資源。因此，能夠緩解這種緊張關(guān)系的方法是有益的。

B. CPS模糊測(cè)試的挑戰(zhàn)

如果黑客使用模糊測(cè)試來破壞系統(tǒng)，為什么不在生產(chǎn)前的測(cè)試中部署同樣的技術(shù)來提高網(wǎng)絡(luò)安全的復(fù)原力。事實(shí)上，模糊測(cè)試是廣受好評(píng)的微軟安全開發(fā)生命周期（SDL）的一部分，并被列入了J3061。然而，在J3061中并沒有涵蓋任何幫助制造商的資源，而且在將模糊測(cè)試應(yīng)用于CPS領(lǐng)域的深入研究也很少。讓模糊測(cè)試在汽車行業(yè)得到更廣泛的應(yīng)用，有哪些挑戰(zhàn)？

1)車輛的CPS性質(zhì)：對(duì)于現(xiàn)在部署在我們周圍的CPS來說，計(jì)算命令和控制的結(jié)果是物理上的非計(jì)算操作。車輛駕駛員按下開關(guān)可以導(dǎo)致數(shù)字命令通過數(shù)據(jù)網(wǎng)絡(luò)發(fā)送，該動(dòng)作導(dǎo)致現(xiàn)實(shí)世界的輸出，例如，一個(gè)燈被打開。因此，對(duì)被測(cè)系統(tǒng)（SUT）或被測(cè)設(shè)備（DUT）的監(jiān)測(cè)增加了CPS的復(fù)雜性。然而，對(duì)于生產(chǎn)前的車輛設(shè)計(jì)階段，這種CPS監(jiān)測(cè)的復(fù)雜性可以借助于硬件在環(huán)和軟件在環(huán)設(shè)備來模擬物理世界而得到緩解。

2)車輛產(chǎn)生的大量數(shù)據(jù)：隨著更多的計(jì)算系統(tǒng)被納入汽車，車輛內(nèi)部不斷產(chǎn)生的數(shù)據(jù)量只會(huì)增加。數(shù)據(jù)量問題在傳統(tǒng)的IT安全中并不陌生。此外，在汽車行業(yè)中部署了不同的通信協(xié)議，另外還有一系列的數(shù)據(jù)類型和格式需要處理。車輛數(shù)據(jù)處理是另一個(gè)大數(shù)據(jù)問題。

3)不完整的知識(shí)：針對(duì)一個(gè)組件的已知規(guī)格和接口的功能測(cè)試是很容易確定的。然而，可能會(huì)存在為其他用途而開發(fā)的額外功能，如支持其他客戶或用于組件測(cè)試。未文檔化的應(yīng)用編程接口（API）以及未經(jīng)測(cè)試的代碼路徑可能會(huì)被利用。汽車工程師需要考慮到這些未知因素。

4)定義可測(cè)量度量：CPS的復(fù)雜性意味著沒有兩個(gè)類似的系統(tǒng)或類似的組件是可以比較的。這意味著測(cè)量模糊測(cè)試的有效性是困難的。在其他領(lǐng)域，模糊測(cè)試是以發(fā)現(xiàn)的錯(cuò)誤數(shù)量的最終計(jì)數(shù)為導(dǎo)向的。然而，這只能是相對(duì)于同一系統(tǒng)上的其他運(yùn)行，另外，由于模糊測(cè)試的隨機(jī)性，比較只能是近似值。對(duì)于攻擊者來說，發(fā)現(xiàn)的缺陷總數(shù)并不重要。他們所追求的是使他們有能力違反CIA三原則的那一個(gè)漏洞。而系統(tǒng)制造商則需要在系統(tǒng)交付前盡可能多地發(fā)現(xiàn)這些漏洞。然而，如果沒有發(fā)現(xiàn)漏洞，這并不意味著不存在漏洞，這只是意味著測(cè)試沒有觸發(fā)任何東西。

鑒于上述動(dòng)機(jī)和挑戰(zhàn)，假設(shè)模糊測(cè)試對(duì)于提高車輛中聯(lián)網(wǎng)ECU的安全性是有益的。如果是真的，那么在J3061中列出的車輛測(cè)試方法中加入模糊測(cè)試就是一個(gè)有效的論斷。這里，一個(gè)定制的模糊測(cè)試器被用來對(duì)目標(biāo)車輛進(jìn)行模糊測(cè)試。這里使用一個(gè)自定義模糊器將模糊測(cè)試應(yīng)用于目標(biāo)車輛。通過這樣做，我們可以學(xué)會(huì)哪些什么來應(yīng)對(duì)這些挑戰(zhàn)呢？模糊器需要如何調(diào)整？未來在汽車領(lǐng)域的模糊測(cè)試應(yīng)用需要什么？雖然確實(shí)存在將模糊測(cè)試應(yīng)用于汽車系統(tǒng)的經(jīng)驗(yàn)性結(jié)果，但很少有發(fā)表的實(shí)驗(yàn)與可用的經(jīng)驗(yàn)教訓(xùn)。

在這里，模糊測(cè)試器是通過CAN總線與車輛對(duì)接的，因此對(duì)CAN進(jìn)行了簡(jiǎn)要介紹。

IV.汽車CAN總線

CAN總線是在20世紀(jì)80年代引入的，對(duì)于那些對(duì)比特級(jí)協(xié)議感興趣的人來說，[23]有大量的可用的資源。總線上的每個(gè)節(jié)點(diǎn)(ECU)都可以啟動(dòng)數(shù)據(jù)傳輸，一次只傳輸一個(gè)節(jié)點(diǎn)。對(duì)于一個(gè)標(biāo)準(zhǔn)的CAN數(shù)據(jù)幀來說，11位的仲裁標(biāo)識(shí)符（又稱數(shù)據(jù)包標(biāo)識(shí)符）允許最高優(yōu)先級(jí)的信息在兩到多個(gè)節(jié)點(diǎn)同時(shí)傳輸?shù)那闆r下繼續(xù)傳輸。一個(gè)標(biāo)準(zhǔn)的CAN數(shù)據(jù)包有多達(dá)八個(gè)字節(jié)（64位）的數(shù)據(jù)。節(jié)點(diǎn)中的CAN收發(fā)器芯片自動(dòng)處理協(xié)議，向高層應(yīng)用提供id、數(shù)據(jù)長(zhǎng)度和數(shù)據(jù)字節(jié)。表二顯示了從目標(biāo)車輛上捕獲的一些CAN數(shù)據(jù)包。按照今天的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)CAN的傳輸速度并不高，被設(shè)計(jì)為支持高達(dá)1Mb/s。汽車中常用的傳輸速度是500kb/s。

圖2 用于汽車測(cè)試的基于PC的模糊器

CAN的設(shè)計(jì)沒有考慮到安全問題，因此很容易進(jìn)入。與CAN接口的設(shè)備成本很低。CAN總線通常通過開放的車內(nèi)診斷（OBD）端口暴露在車輛中，另外，只要車輛的線路可以接觸到，就可以進(jìn)行線切割。這些因素使得對(duì)CAN數(shù)據(jù)的操縱有了直接的研究。被破壞的ECU或中間人（MITM）攻擊（例如連接到車輛的OBD連接器的售后設(shè)備）可以欺騙傳輸?shù)男畔ⅲ绊懻２僮鞑⑼{到車輛和乘客的安全。這種CAN操縱是針對(duì)車輛的網(wǎng)絡(luò)攻擊成功的一個(gè)要素。加強(qiáng)CAN的安全性是一個(gè)有用的措施，然而，盡管有幾個(gè)方案可以為CAN增加加密，但沒有一個(gè)方案符合在批量生產(chǎn)中部署的所有標(biāo)準(zhǔn)。

V.方法

表一中列出的可用的商業(yè)和混合許可模糊器是專門定制的，用于汽車系統(tǒng)。這里介紹的定制模糊器（圖2）是為HORIBA MIRA有限公司開發(fā)的，是專門為處理CAN格式而編程的。該模糊器的設(shè)計(jì)很簡(jiǎn)單，與[15]相比，它的子組件數(shù)量較少，[15]執(zhí)行時(shí)在Python和.NET技術(shù)之間跳轉(zhuǎn)。

1)基于PC的模糊器：模糊測(cè)試軟件是在一臺(tái)連接到矢量車輛模擬器的計(jì)算機(jī)上開發(fā)的（圖8）。矢量設(shè)備在工業(yè)上被廣泛用于網(wǎng)絡(luò)控制系統(tǒng)的設(shè)計(jì)、驗(yàn)證、HIL和SIL測(cè)試，包括基于CAN的車輛系統(tǒng)。車輛模擬器的使用簡(jiǎn)化了開發(fā)周期，因?yàn)樵陂_發(fā)過程中不需要訪問目標(biāo)車輛。

用于模糊測(cè)試的軟件是用C#計(jì)算機(jī)編程語(yǔ)言編寫的。使用的集成開發(fā)環(huán)境（IDE）是Microsoft Visual Studio。軟件模糊測(cè)試程序的主要功能項(xiàng)目是用于命令和控制的用戶界面（UI）屏幕、常規(guī)CAN數(shù)據(jù)傳輸?shù)亩〞r(shí)線程、模糊CAN消息的隨機(jī)字節(jié)發(fā)生器、通信API處理模塊和CAN總線流量監(jiān)視器。

2)通過車輛數(shù)據(jù)總線或ECU接口連接到SUT或DUT：使用一個(gè)通用串行總線（USB）到CAN的硬件適配器來連接模糊器軟件到CAN總線，這里使用的是PEAK- System生產(chǎn)的PCAN-USB產(chǎn)品。PCAN-USB設(shè)備有一個(gè)應(yīng)用編程接口(API)，可以通過C#語(yǔ)言訪問該設(shè)備。

圖3 配置CAN模糊器的用戶界面

USB CAN適配器需要9路D型插座，其接線符合CANopen規(guī)范（CiA303-1）2。兩根CAN通信線被稱為CAN High和CAN Low，CAN High連接到9針連接器的針腳7，CAN Low連接到針腳2（一個(gè)相同的插座用于連接到模擬器硬件）。

模糊器是通過其用戶界面進(jìn)行配置的，提供對(duì)注入到SUT或DUT（通過CAN總線）的數(shù)據(jù)的控制，圖3。通過用戶界面，模糊器可以被編程，以產(chǎn)生一個(gè)單一信息中的一個(gè)位，到每個(gè)信息中的每個(gè)位。由于CAN數(shù)據(jù)流的組合爆炸問題，這個(gè)功能很重要。一個(gè)具有11位id和一個(gè)字節(jié)有效載荷的標(biāo)準(zhǔn)CAN數(shù)據(jù)包有50萬(wàn)個(gè)數(shù)據(jù)包組合（219）。在1ms的傳輸頻率下（目前這個(gè)模糊器的最小值），傳輸所有的組合需要8分鐘以上。再加上一個(gè)數(shù)據(jù)字節(jié)，所有組合的傳輸時(shí)間為1.5天。除此之外，進(jìn)一步增加數(shù)據(jù)長(zhǎng)度是不切實(shí)際的，因此需要有針對(duì)性地進(jìn)行模糊處理（例如，通過在CAN總線上監(jiān)測(cè)到的已知消息ID進(jìn)行模糊處理，或者通過設(shè)計(jì)來通知）。

一旦配置好，模糊器就會(huì)針對(duì)SUT或DUT執(zhí)行，發(fā)送隨機(jī)的CAN數(shù)據(jù)。它監(jiān)視目標(biāo)系統(tǒng)，記錄對(duì)注入的信息的反應(yīng)并采取行動(dòng)。

VI.結(jié)果與分析

目標(biāo)車輛使用標(biāo)準(zhǔn)的CAN數(shù)據(jù)包（11位ID）。可供模糊處理的數(shù)據(jù)包參數(shù)（ID、數(shù)據(jù)長(zhǎng)度、有效載荷字節(jié)）見表三。根據(jù)模糊器中定義的參數(shù)，生成隨機(jī)的CAN數(shù)據(jù)包見表四。

該模糊器分析了CAN數(shù)據(jù)，以便進(jìn)行數(shù)據(jù)完整性檢查。圖4顯示了每個(gè)字節(jié)位置的平均數(shù)據(jù)字節(jié)值，是從目標(biāo)車輛的網(wǎng)絡(luò)中捕獲的100,000個(gè)CAN數(shù)據(jù)包計(jì)算出來的。它顯示了一個(gè)非線性分布的八位數(shù)值。相比之下，圖5顯示了對(duì)由模糊器生成的66144個(gè)CAN數(shù)據(jù)包的相同計(jì)算結(jié)果。該線性分布，即所有消息中所有字節(jié)的總體平均值為127，這證明了模糊器正確地生成了字節(jié)值的均勻分布。

來自模糊器的隨機(jī)CAN數(shù)據(jù)包的影響可以在矢量模擬器中進(jìn)行測(cè)量。正常的車輛信號(hào)如圖6所示。圖7，在比圖6更短的時(shí)間內(nèi)被捕獲，說明了隨機(jī)數(shù)據(jù)包對(duì)信號(hào)的影響。

當(dāng)模糊器運(yùn)行并注入CAN數(shù)據(jù)包時(shí)，模擬器的反應(yīng)很不穩(wěn)定。這是由畸形的CAN數(shù)據(jù)所引起的信號(hào)的快速變化造成的。在圖8中，模擬的車輛顯示了一個(gè)負(fù)的發(fā)動(dòng)機(jī)轉(zhuǎn)速，這表明車輛模擬處理物理上無效值的方式與處理物理上合理的值相同。

一旦模糊測(cè)試軟件投入使用，就可以用來對(duì)付物理目標(biāo)，即車輛和車輛部件。以前的汽車黑客研究表明，對(duì)車輛的永久性破壞是可能的，例如，使ECU失效（制動(dòng)）。因此，在對(duì)目標(biāo)車輛進(jìn)行測(cè)試之前，對(duì)目標(biāo)車輛上使用的現(xiàn)有儀表盤進(jìn)行了模糊處理。

圖4 從100000條捕獲的車輛CAN報(bào)文中每個(gè)數(shù)據(jù)字節(jié)位置的平均值

圖5 來自66144個(gè)隨機(jī)生成的CAN報(bào)文的每個(gè)數(shù)據(jù)字節(jié)位置的平均值

圖6 模擬車輛信號(hào)

圖7 模糊化對(duì)信號(hào)的影響

圖8 通過模糊處理在車輛模擬器上顯示不適當(dāng)?shù)闹?/p>

圖9 因模糊而導(dǎo)致的車輛部件崩潰

對(duì)著儀表盤運(yùn)行模糊器，立即導(dǎo)致故障指示燈（MIL）亮起、警告聲和不穩(wěn)定的儀表針。此外，一個(gè)數(shù)字顯示器開始有規(guī)律地顯示崩潰這個(gè)詞。循環(huán)供電給集束器，消除了任何變得亮起的MIL。不幸的是，碰撞信息不會(huì)清除。

該組件的損壞要求重新評(píng)估對(duì)目標(biāo)車輛使用模糊器的情況，這是一種共享資源，如果被損壞會(huì)產(chǎn)生維修費(fèi)用。因此，該實(shí)驗(yàn)僅限于檢查模糊器是否對(duì)目標(biāo)車輛產(chǎn)生影響。與其在整個(gè)CAN消息空間中運(yùn)行模糊器，不如只對(duì)一小部分消息進(jìn)行模糊處理。這些信息的ID是以前在車輛的CAN總線上觀察到的正常操作，例如，已知的影響儀表盤表針的信息。使用OBD電纜（通過USB到CAN適配器）將模糊器連接到車輛上，模糊信息被送入空轉(zhuǎn)的目標(biāo)車輛。目標(biāo)車輛有兩條CAN總線，模糊器在兩條總線上都進(jìn)行了測(cè)試。該車表現(xiàn)出與集群測(cè)試類似的行為， 即各種MIL燈的點(diǎn)亮、儀表區(qū)的警告聲、儀表讀數(shù)的變化、車輛中央控制臺(tái)的錯(cuò)誤信息以及發(fā)動(dòng)機(jī)怠速轉(zhuǎn)速的不穩(wěn)定。一旦發(fā)現(xiàn)模糊處理有明顯的影響，就會(huì)停止，以防止可能的損害，如圖9所示。為了防止對(duì)焦油車部件的損害，對(duì)模糊器的進(jìn)一步測(cè)試是針對(duì)臺(tái)式硬件配置進(jìn)行的。基于工作臺(tái)的配置是為了代表互聯(lián)汽車越來越普遍的特征，即通過應(yīng)用程序控制車輛功能，見圖10。

一個(gè)CAN總線目標(biāo)是由帶有CAN接口的Arduino單板計(jì)算機(jī)（SBC）構(gòu)建的。每個(gè)SBC在網(wǎng)絡(luò)上充當(dāng)一個(gè)ECU。CAN總線上的信息是在目標(biāo)車輛的CAN總線上傳輸?shù)男畔⒌囊粋€(gè)小子集。其中一個(gè)ECU作為車身控制模塊（BCM），其發(fā)光二極管（LED）代表車輛的鎖定狀態(tài)（off代表鎖定，on代表解鎖），見圖11。

圖12顯示了復(fù)制功能的圖示。外部手機(jī)應(yīng)用程序向車輛信息娛樂系統(tǒng)ECU（又稱車頭裝置）發(fā)送解鎖命令。

圖10 通過制造商的智能手機(jī)應(yīng)用程序控制車輛，可從應(yīng)用程序商店獲得

圖11 連接三個(gè)作為ECU的單板計(jì)算機(jī)的CAN總線

這是一個(gè)安全的連接（或應(yīng)該是）。信息娛樂裝置通過車輛的CAN總線傳輸解鎖命令。模糊器是作為一個(gè)惡意的單元連接到車輛網(wǎng)絡(luò)（通過OBD端口或一個(gè)被破壞的ECU）。當(dāng)模糊器運(yùn)行時(shí)，它不知道激活鎖的CAN信息。

在這個(gè)實(shí)驗(yàn)中，一個(gè)PC應(yīng)用作為智能手機(jī)應(yīng)用，圖13，作為信息娛樂系統(tǒng)ECU的代理發(fā)送鎖定和解鎖命令。這導(dǎo)致LED燈的開啟和關(guān)閉，表明在鎖定和解鎖車門方面的正常系統(tǒng)操作。用模糊器，見圖3，在隨機(jī)產(chǎn)生的CAN數(shù)據(jù)幾分鐘后，解鎖（或鎖定）功能被激活。為了幫助檢測(cè)解鎖狀態(tài)，測(cè)試平臺(tái)被增強(qiáng)以傳送解鎖確認(rèn)的CAN消息。對(duì)于真正的車輛還需要另一種檢測(cè)機(jī)制，例如門鎖上的傳感器。

圖12 遠(yuǎn)程車輛解鎖功能

圖13 PC車輛鎖定/解鎖應(yīng)用程序

模糊器目前的最大信息傳輸率為每毫秒一條信息。在這個(gè)速率下，根據(jù)12次運(yùn)行的小樣本，引起解鎖反應(yīng)的平均時(shí)間是431秒，見表五。解鎖代碼測(cè)試的是一個(gè)具有特定ID的信息中第一字節(jié)位置的特定字節(jié)值。當(dāng)代碼被修改為包括測(cè)試數(shù)據(jù)包的長(zhǎng)度時(shí)，平均時(shí)間增加到1959秒。代碼的這一簡(jiǎn)單變化大大增加了模糊器找到正確解鎖信息的時(shí)間。如果改變?yōu)闄z查兩個(gè)字節(jié)的值，時(shí)間的增加會(huì)更多。

VII.探討

事實(shí)證明，這些實(shí)驗(yàn)已經(jīng)被證明是有用的，可以從少數(shù)現(xiàn)有的工作中收集出幾條信息。

關(guān)于在車輛CAN總線上應(yīng)用模糊測(cè)試。實(shí)驗(yàn)結(jié)果證實(shí)了之前關(guān)于車輛模糊測(cè)試的聲明，即：

-模糊測(cè)試可用于對(duì)車輛信息進(jìn)行反向工程。

-破壞車輛的通信網(wǎng)絡(luò)并非難事。

-模糊測(cè)試可以作為網(wǎng)絡(luò)攻擊的一種形式。

-網(wǎng)絡(luò)安全測(cè)試車輛及其部件可導(dǎo)致車輛部件損壞。

由于模糊測(cè)試對(duì)運(yùn)行中的車輛和模擬器有不利的影響，它表明車輛系統(tǒng)需要額外的邏輯來忽略無意義的CAN消息值，以及這些值的序列。因此，很明顯，CAN總線在互聯(lián)汽車中運(yùn)行時(shí)需要額外的工程考慮。因此，保護(hù)CAN總線和車輛部件不受外部網(wǎng)絡(luò)攻擊，現(xiàn)在已經(jīng)成為互聯(lián)汽車系統(tǒng)設(shè)計(jì)的一個(gè)功能要求。對(duì)于這樣的系統(tǒng)，這些實(shí)驗(yàn)的目的是展示可以用來開始將模糊測(cè)試納入測(cè)試制度的方法。

事實(shí)也表明，模糊測(cè)試可以用來驗(yàn)證系統(tǒng)是否符合CIA三原則。模糊測(cè)試能夠在不事先了解系統(tǒng)設(shè)計(jì)的情況下激活安全功能（保密性），能夠改變儀器上顯示的數(shù)值（完整性），并破壞組件和車輛的運(yùn)行（可用性）。這意味著，對(duì)于互聯(lián)車輛來說，設(shè)計(jì)功能以正確隔離安全問題必須是一個(gè)考慮因素。事實(shí)上，在較新的車輛中使用網(wǎng)關(guān)ECU表明制造商正在應(yīng)對(duì)這一問題。此外，對(duì)設(shè)計(jì)的簡(jiǎn)單修改可以提高安全性。在這里，通過改變CAN信息來激活解鎖，因此，增加了通過隨機(jī)模糊測(cè)試發(fā)現(xiàn)該功能的時(shí)間。

所開發(fā)的軟件將被用于進(jìn)一步研究汽車系統(tǒng)的模糊測(cè)試，并加以擴(kuò)展。這是一個(gè)有價(jià)值的研究領(lǐng)域，因?yàn)樵谄囅到y(tǒng)上運(yùn)行這種測(cè)試的定量數(shù)據(jù)很少。該工作可以擴(kuò)展的其他方式包括:

-利用模糊測(cè)試來確定保護(hù)措施的有效性，例如車輛防火墻和網(wǎng)關(guān)，或?qū)CU軟件的補(bǔ)充，以減輕網(wǎng)絡(luò)攻擊。

-研究在位級(jí)對(duì)模糊CAN協(xié)議控制位（數(shù)據(jù)鏈路層）的數(shù)據(jù)包的操作。

-將這些技術(shù)應(yīng)用于靈活數(shù)據(jù)速率（FD）版本的CAN。

-對(duì)車輛工程工具（如CAN接口設(shè)備）的API進(jìn)行模糊處理，以確保其彈性。例如，對(duì)研究中使用的PEAK USB CAN適配器的API進(jìn)行模糊處理。

-使用視頻處理軟件，例如OpenCV，來監(jiān)測(cè)被模糊測(cè)試的車輛和設(shè)備的網(wǎng)絡(luò)物理行為。

審核編輯 ：李倩