基于车载can总线网络的安全协议研究.doc

基于车载can总线网络的安全协议研究 基于车载CAN总线网络的安全协议研究刘毅吉林大学分类号TP311单位代码10183研究生学号xx532072密级公开吉林大学硕士学位论文（学术学位）基于车载CAN总线网络的安全协议研究Research on Security Protocol Based on Vehicle CAN Bus Network作者姓名刘毅专业计算机应用技术研究方向智能控制与嵌入式系统指导教师秦贵和教授培养单位计算机科学与技术学院20199年年44月基于车载CAN总线网络的安全协议研究Research onSecurity ProtocolBased onVehicle CANBus Network作者姓名刘毅专业名称计算机应用技术指导教师秦贵和教授学位类别工学硕士答辩日期年月日吉林大学硕士学位论文原创性声明本人郑重声明所呈交学位论文，是本人在指导教师的指导下，独立进行研究工作所取得的成果。 除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。 本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名日期年月日关于学位论文使用授权的声明本人完全了解吉林大学有关保留、使用学位论文的规定，同意吉林大学保留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅；本人授权吉林大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本学位论文。 （保密论文在解密后应遵守此规定）论文级别硕士博士学科专业计算机应用技术论文题目基于车载CAN总线网络的安全协议研究作者签名指导教师签名年月日作者联系地址（邮编）吉林省长春市前进大街2699号经信B公寓633室邮编130012作者联系电要I摘要基于车载CAN总线网络的安全协议研究伴随着智能网联汽车的快速发展，自主驾驶技术、V2X技术、智能交通管理技术等越来越多的技术应运而生。 这些技术的广泛应用提升了驾驶的便捷性和舒适性，为用户带来了更美好的出行方式和出行体验，但同时越来越多开放的接口也可能成为攻击的入口，威胁车载信息安全。 攻击者可以通过OBD-II、蓝牙、WIFI、GPS北斗导航等接口对汽车发动短距离或长距离、无线或有线的攻击，进而对驾驶者的人身和财产安全造成严重威胁，因此智能网联汽车的信息安全问题亟待解决。 车载网关承担着车外网络和车内总线网络的信息交互，但仅仅在网关上增加防火墙的方式并不能提供足够的安全保护，智能网联汽车的信息安全更是要保护车内总线网络的信息安全。 车载CAN总线技术是车载总线技术的基础，并且因其实时性、可靠性、灵活性已成为车载总线网络的标准。 但即使CAN总线有着得天独厚的优势，CAN总线协议在设计之初却并没有考虑到信息安全问题。 CAN总线协议没有提供对连接到总线上的节点进行身份校验的机制，没有提供对总线上传输数据的加密保护，也没有提供支持保障数据正确性与完整性的校验机制。 由此造成的严重后果是攻击者可以轻易地发动基于监听总线、篡改数据、重放数据等一系列恶意攻击。 考虑到智能网联汽车的快速发展和CAN总线网络的安全漏洞，CAN总线的信息安全问题就成为了现实中亟需解决的问题。 目前已有研究通过在CAN总线上实施异常检测、密钥管理等防御机制的安全协议来保证CAN总线网络的信息安全。 然而，由于上述方法没有考虑到车辆启动阶段的初始化身份认证，也没有整体考虑汽车通信阶段的数据机密性、消息正确性、数据完整性、数据新鲜性、网络可用性和日志记录功能等，因此研究适合车载CAN总线的安全协议意义重大。 本文从智能网联汽车的信息安全问题着手，分析了智能网联汽车所面临的信息安全威胁，并针对CAN总线协议安全漏洞及车载CAN总线的信息安全需求进行了深入的分析和讨论，针对CAN总线的特点，提出了一种车载CAN总线网络的安全协议。 本文的研究工作和主要内容包括 （1）归纳了智能网联汽车的信息安全威胁，并对国内外车载CAN总线的信息安全问题和安全协议的研究现状进行了概述； （2）深入分析了车载CAN总线网络的信息安全问题，归纳分析了车载网络架构，CAN总线通信协议，详细分析了智能网联汽车的攻击接口和车载CAN总线网络的安全漏洞，提出并讨论了车载CAN总线网络的防护目标和信息安全需求；摘要II （3）提出了一种车载CAN总线网络的安全协议设计。 基于协议的前提假设，首先重新设计了CAN总线报文格式；其次，根据安全性及实时性需求的不同，将车载网络的安全性问题划分为汽车点火启动阶段的安全性问题和通信阶段的安全性问题，针对第一个阶段设计了初始化密钥分配方法，通过网关节点调控总线上各节点的身份认证过程，并对通过认证的节点分配通信阶段的密钥；针对第二个阶段设计了通信阶段的安全架构，利用网关分发的密钥融合安全加密算法实现安全通信过程；最后分析了硬件设备HSM，TPM对于系统安全的保障； （4）详细介绍了车载CAN总线网络的安全协议设计，深入分析了RSA算法的实现细节，并深入研究挑战应答模式的实现过程，通过融合RSA算法和挑战应答模式实现了初始化密钥分配过程，采用基于公钥体系加密方法的身份认证技术，提供了CAN总线上待通信节点的身份真实性保证，在汽车打火启动阶段保障了节点间的通信安全；深入研究了DES算法的原理和流程结构，并对BKDR-Hash算法的技术原理进行了详细分析，通过融合DES算法和BKDR-Hash实现了通信阶段的安全架构，采用基于对称机制的加密通信技术、消息校验技术及序列号技术，提供了CAN总线上节点间信息传递时的消息正确性、数据机密性、数据完整性、数据新鲜性保证，并且在网关上实时监控总线负载，保障网络可用性，具有日志记录功能，在汽车运行通信阶段保障了节点之间信息传递的安全； （5）基于FreeScale MPC5646C和MC9S12XDT512开发板搭建了CAN总线网络车载控制系统的硬件平台，并基于CANoe System Demo数据集对安全协议的性能从有效性和实时性两方面进行评估，在有效性方面，能够有效的防止攻击者进行身份欺骗攻击，监听攻击，篡改攻击，重放攻击，Dos攻击，实现日志记录功能；在实时性方面，即使在传统CAN总线协议上增加了信息安全功能，无论是在汽车点火启动阶段还是车辆运行通信阶段，都仍然满足实时性技术指标，因而能够有效地保障车载CAN总线网络上各节点间的通信安全。 关键词智能网联汽车，车载CAN总线，信息安全，安全协议Abstract IIIAbstract ResearchonSecurityProtocolBased onVehicleCANBusNetwork Alongwith therapid developmentof intelligent connected vehicles,more and more technologieshave emergedsuch as autonomous drivingtechnology,V2X technology,and intelligenttraffic managementtechnology.The wideapplication of these technologiesenhances theconvenience andfort ofdriving,and providesusers witha betterway oftravelling,but at the sametime moreandmoreopen interfacesmay bee the aessof theentrance ofattacks,causing vehicleinformation securitythreat.Attackers canuse theOBD-II,Bluetooth,WIFI,GPS/Beidou navigationinterface tolaunch short-range orlong-distance,wireless orwired attackson thecar,which posesa seriousthreat to the drivers personaland propertysecurity.The information security problem of automobilesneeds to be solvedurgently.The vehiclegateway bearsthe informationinteraction between the off-board work and the in-vehicle bus work,but merelyadding afirewall on the gatewaycan not provide sufficientsecurity protection.The information security of the intelligent connected vehiclesis toprotect thesafety ofinformation of thein-vehicle bus work.The vehicle CAN bustechnology isthe basisof the vehicle bustechnology,and hasbeethestandard of the vehiclebus workdue toits real-time,reliability andflexibility.But even if the CAN bus has aunique advantage,the CAN bus protocoldid notconsider information security issuesatthebeginning of the design.The CAN bus protocoldoes notprovide anidentity verificationmechanism fornodes connectedto the bus,does notprovide encryptionprotection fordata transmittedon thebus,and does notprovidea verificationmechanism thatsupports datacorrectness andintegrity.The seriousconsequence ofthat isthat anattacker caneasily launcha seriesof maliciousattacks based on listeningto thebus,tampering withdata,and replayingdata.Considering therapid developmentof intelligent connected vehicles and the security vulnerabilities of CAN bus works,the information security problem of CAN bus hasbee anurgent problemto besolved in reality.At present,research hasbeen conductedto ensurethe information security of the CANbus workby implementinga security protocol suchas anomalydetection andkey managementon the CANbus.However,since theabove protocoldoesnottake intoaount of the initializationidentity authenticationduring the vehicle startup phase,nor doesit considerthe data confidentiality,message correctness,data integrity,data AbstractIV freshness,work availabilityand logging functions of the vehiclemunication phaseasawhole,so researchingthe suitablesecurity protocol for theon-board CANbushasvery importantsignificance.Based on the informationsecurity ofintelligent connected vehicles,this paperanalyzes the informationsecuritythreats facedby intelligentconnectedvehicles,and conductsin-depth analysisand discussionon the security vulnerabilitiesof CANbus protocolsand the informationsecurity requirements ofvehicle CANbuses.Aording tothe characteristicsof CANbus,a security protocolfor vehicle CANbus work is proposed.The researchworkandmain contentsof thispaper include: (1)Summarize theinformationsecuritythreats ofintelligentconnectedvehicles,and summarizethe researchstatus ofinformationsecurity issues andsecurity protocolsof on-board CANbuse athome andabroad; (2)In-depth analyzetheinformationsecurity problemof the vehicle CANbus work,inductively analyzethe vehiclework architecture,CANbusmunication protocol;detailed analysisoftheattack interfaceoftheintelligentconnectedvehiclesand the securityvulnerabilitiesofthe vehicle CANbus work;proposed anddiscussed theprotection objectivesand informationsecurityrequirementsofthevehicle CANbus work; (3)A securityprotocol designed forvehicle CANbuswork isproposed.Based onthe premiseassumption ofthe protocol,the CANbus messageformat isredesigned.Secondly,aording tothe securityand real-time requirements,the securityproblemofthevehicleworkisdivided intothesecurityproblemofthevehicle ignition start-up phaseand thesecurity ofthe munication phase,the initialkey distributionmethod is designed for the firststage,the identity authentication process of eachnode onthebusis regulatedby the gateway node,and thekey ofthe munication phase isassigned tothe nodethat passesthe authentication;The municationsecurityisdesignedforthe secondstage.The securityarchitecture ofthe phaseuses thekey distributionsecurity encryptionalgorithm distributedby thegateway toimplement thesecure municationprocess.Finally,thesecurityofthe hardware deviceHSM andTPM hasbeen analyzed; (4)The securityprotocolsdesignofthevehicleCANbusworkis introducedin detail.The implementationdetails ofthe RSA algorithm aredeeply analyzed.The implementationprocessofthe challenge/response modeis deeply studied.The AbstractV initializationis realized by the fusion ofRSAalgorithm and challenge/response mode.The keydistribution processuses theidentityauthenticationtechnology basedonthepublic keysystem encryptionmethod toprovide theidentity authenticityguarantee ofthe nodetobemunicated onthe CANbus,and guaranteesthe municationsecurity betweenthe nodesduring thestart-up phaseofthevehicleignition.The DESalgorithm isdeeplystudied.The Feistelprinciple andprocess structure,andthetechnical principleof BKDR-Hash algorithmare analyzedin detail.The securityarchitecture ofthe municationphase isrealizedbythefusionof DESalgorithmandBKDR-Hash.The encryptionmunication technologybasedonsymmetric mechanism,message verificationtechnology andserial numbertechnology areadopted,provideing messagecorrectness,dataconfidentiality,data integrityand datafreshness assurancewhen transmittinginformation betweennodes ontheCANbus.Monitoring thebus loadinrealtime onthegatewayensures workavailability,and logrecording functionin the municationphaseofthecar guaranteesthe transferof securitythe letterbetweenthe nodes; 智能网联汽车是搭载先进车载传感器、控制器、执行器等硬件装置，融合了车联网及智能汽车的相关技术并结合现代通信与网络信息技术，实现车与X（人、车、路、后台、云等）智能信息交换共享，具备复杂的环境感知、智能决策、协同控制和优化执行等功能，可实现节能、安全、舒适、高效行驶，并最终可替代人操作的新一代汽车1。 相比于传统汽车，智能网联汽车在技术上增加了更多的分布式和集中式具有智能决策系统的控制器；增加了雷达、V2X通信、摄像头、GPS/北斗定位系统等形成协作式和自主式相融合的环境感知系统；增加了自动变速器、电子稳定系统、电动助力转向等电子控制单元和CAN、FlexRay、以太网等异构车载总线的复杂控制执行机构2-4。 智能网联汽车的关键技术分为以下几类车辆设施关键技术、信息交互关键技术、基础支撑关键技术。 其中本文所研究的主要内容就是车载信息安全技术，尤其是车内CAN总线网络上的信息安全技术。 11.1.2智能网联汽车的信息安全威胁随着智能网联汽车的飞速发展，越来越多前所未有的问题和挑战也逐渐涌现了出来，信息安全威胁就是其中面临的重要课题。 汽车作为一种交通工具，其任何安全威胁所导致的结果往往是致命的。 信息安全的保障能够解决可用性、真实性、保密性、完整性等问题，从而实现信息的安全性和可靠性保证，让用户不必担心智能网联汽车的安全性5。 但是传统汽车上的信息安全机制不具有情景自适第1章绪论2应能力并且对资源、存储空间、计算能力的开销过大，并不适合在复杂多变的拓扑结构和资源受限的智能网联汽车环境中使用。 因此，信息安全基础理论和防护关键技术已经成为智能网联汽车亟需解决的核心问题之一。 由于汽车上装载着乘客，许多与生命安全息息相关的功能和硬件装置都安装到了车上，从而保证驾驶员和乘客的生命和财产安全，于是，对待汽车上的信息安全漏洞必须非常谨慎。 计算机系统发展的几十年虽然建立了许多信息安全标准，但智能网联汽车的信息安全不同于计算机上的信息安全，互联网中基于以太网的信息安全标准对汽车分布式嵌入式系统中基于总线通讯的信息安全并不适用，其中很重要的一点原因就是，汽车电子中总线带宽有限、处理器性能不足，并且对于实时性要求很高，而计算机系统上的信息安全标准并不受到这些要求的限制，于是研究以智能网联汽车为背景的信息安全意义重大。 1.2课题的研究现状1.2.1车载N CAN总线信息安全问题研究现状车载CAN总线网络在设计之初并没有考虑信息安全问题，也没有相应的信息安全防护机制，使得这种网络设计极易受到攻击。 下面对CAN总线的信息安全问题的研究工作进行总结。 沃尔夫等人6调查了汽车的安全性，介绍了汽车可能受到的攻击、对应的保护机制和一些对于安全至关重要的应用程序；Jenkins和Mahmud7讨论了信息安全问题和对车辆的攻击方式，研究车辆间和车内的通信，以及基于软件和硬件的攻击；Kocher8等人给出了对嵌入式系统安全性的进一步介绍。 欧盟、美国等相关机构也积极资助开展汽车信息安全项目，例如EVITA、OVERSEE项目等。 车辆电子安全入侵检测应用（EVITA）项目9定义了安全需求并且提供了应用车载网络的方法。 其中EVITA定义的MEDIUM-HSM保障了ECUs之间通信环境的安全。 开放式车辆安全平台（OVERSEE）项目提供了标准的软件架构和车辆运行的内部环境，保障了信息的安全性和可靠性10,11。 但是这些项目并没有给出具体的安全设计，也没有针对某种车载总线系统制定出安全协议。 因而，仍然有必要设计出一个有效的安全协议。 第1章绪论31.2.2车载N CAN总线安全协议的研究现状国外对于CAN总线安全协议的研究工作起步较早，下面对CAN总线网络的安全协议的研究工作进行总结。 Larson和Nilsson12讨论了保护车辆的5层纵深防御方法预防、检测、转移、对策和恢复，讨论了可能的安全需求，禁止未授权访问的身份验证，增加入侵检测系统（IDS）和日志记录功能，并且分析了执行入侵防御系统（IPS）以及执行恢复可追溯的必要性；在文献13中，Nilsson和Larson扩展讨论并展示了他们针对不同信息安全层次的方法；施韦普等人在文献14和15中建议使用EVITA-HSM实现车载网络安全协议，考虑CAN数据帧的有效载荷，使用截断的32位MAC，并说明了由于车载网络的性能限制，32位MAC可以抵御35周的冲突攻击；为了提供防止重放攻击的车载CAN通信环境，文献16-18和19提出了考虑CAN数据帧的有限数据负载的数据认证技术；文献16提出的安全协议使用截断的32位MAC进行数据帧认证，此外还提出了一种使用扩展ID字段中的前16位和16位CRC字段用于32位MAC传输的技术。 但是扩展ID字段和CRC字段不能用于实际CAN协议中的数据传输，因此这种安全协议不能应用于实际的车载CAN环境；尼尔森等人19提出了一种用于传输MAC的延迟数据认证（DDA）技术，DDA是一种用于分割和传输MAC的技术，分开的MAC被插入CRC字段并被发送到接收器。 DDA技术有两个问题，首先，在接收每个划分的MAC之前不能执行MAC验证，不能执行实时数据处理；其次CRC字段无法纠错，不可能将MAC插入到CRC字段。 由于上述协议没有考虑到车辆启动阶段的初始化身份认证，也没有整体考虑汽车通信阶段的数据机密性、消息正确性、数据完整性和数据新鲜性，网络可用性和日志记录功能，因此不能很好地提供车载CAN总线的安全保障。 1.3本文的主要研究工作随着车内电子控制单元数量的增多，V2X技术的迅猛发展，原本相对封闭的车内网络也越来越多的与外界网络相连，由此引发的信息安全问题日益严重。 本文针对车载CAN网络的特性，设计了一种保障CAN总线网络信息安全的安全协议。 本文的主要研究内容如下第1章绪论4 （1）深入分析了车载CAN总线网络的信息安全问题，归纳分析了车载网络架构，CAN总线通信协议，详细分析了CAN总线协议的安全漏洞，智能网联汽车的攻击接口，提出并讨论了车载CAN总线网络的防护目标和信息安全需求； （2）结合车载系统特性及CAN总线协议特点，基于协议的前提假设，首先重新设计了CAN总线报文格式；其次，根据安全性及实时性需求的不同，将通信安全的保障划分为初始会话密钥分配阶段和通信阶段的安全架构两部分，首先通过网关节点调控总线上各节点的身份认证过程，并利用网关分发的密钥融合安全加密算法实现安全通信过程，此外还对硬件安全问题进行了说明； （3）深入分析RSA算法的实现细节，详细分析挑战应答模式的原理，并融合改进的RSA算法和挑战应答模式实现初始化会话密钥分配过程，在汽车打火启动阶段保障了节点间的通信安全；深入研究DES算法和BKDR-Hash算法的技术原理，基于DES加密和BKDR-Hash校验保障通信阶段各车载节点之间的通信安全，在汽车运行通信阶段保障了节点之间信息传递的安全； （4）基于FreeScaleMPC5646C和MC9S12XDT512开发板搭建了CAN总线网络车载控制系统的硬件平台，编码调试实现上述安全协议，并基于CANoeSystemDemo数据集对安全协议的性能从有效性和实时性两方面进行评估。 实验证明，在有效性方面，能够有效的防止攻击者进行身份欺骗攻击、监听攻击、篡改攻击、重放攻击、Dos攻击，并且具有日志记录功能；在实时性方面，即使在传统CAN总线协议上增加了信息安全功能，无论是在汽车点火启动阶段还是车辆运行通信阶段，都仍然满足实时性技术指标，因而能够有效地保障车载CAN总线网络上各节点间的通信安全。 1.4本文的组织结构根据上述主要研究工作，本文共分6个章节呈现，各章的主要内容如下第一章，主要阐述了本文的研究背景和意义，并针对车载CAN总线信息安全问题和安全协议分析国内外的研究现状，最后对本文的主要研究内容和组织结构进行了说明；第二章，归纳总结了CAN总线协议特点、车载网络架构，深入分析了CAN总线网络的安全漏洞，攻击入口，提出并讨论了车载CAN总线网络的防护目标和信息安全需求；第三章，概要介绍了车载CAN总线网络的安全协议设计，首先介绍了协议的前提假设和CAN报文设计，然后介绍初始会话密钥分配过程和第1章绪论5通信阶段的安全架构，最后对硬件安全问题进行了进一步的说明；第四章，详细分析了本文安全协议的技术原理，包括RSA算法原理、挑战应答模式原理，介绍了融合RSA算法和挑战应答模式的初始化密钥分配过程；深入分析了DES算法原理和BKDR-Hash算法原理，并融合DES算法和BKDR-Hash算法实现加密通信过程；第五章，介绍了本文的实验工具、实验环境、搭建的车载嵌入式硬件节点的实验平台及实验所需CANoe数据集，并对本文的安全协议从有效性和实时性两方面进行了分析；第六章，对本文的研究工作进行总结，并对下一步的工作进行了展望。 第2章车载CAN总线网络信息安全问题分析6第第22章车载N CAN总线网络信息安全问题分析2.1引言本章深入分析了车载CAN总线网络信息安全问题，归纳总结了CAN总线及其协议特点，车载总线网络架构；详细分析了网联汽车的攻击入口和车载CAN总线网络的安全漏洞；最后提出并讨论了车载CAN总线防护目标及信息安全需求。 2.2车载网络架构与N CAN总线通信协议N2.2.1CAN总线及车载总线网络架构随着汽车电子的飞速发展，越来越多的电子控制单元（Electric ControlUnitECU）安装到了车上，汽车也从传统的机械式结构逐渐变为以电子电气为主体结构的新型汽车。 为了有效地减少通信线缆的数量，并且标准化车上网络通信方式，德国博世公司于1986年开发出面向汽车网络的通信总线车载控制器局域网络（Controller AreaNetworkCAN）20。 过去20年里，CAN总线取代了繁重复杂的电缆，大大降低了网络的成本和复杂性，并发展成为标准化串行通信协议。 CAN总线因其灵活性、实时性、可靠性已成为车内总线网络的标准21，并且在未来一段时间内，CAN总线也将一直是车载总线技术的基础。 在车内的各个核心控制系统，诸如动力系统，车身系统、传动系统等都由CAN总线直接或间接控制。 表2.1给出了某款汽车上的主要ECU和所在的子系统22。 表2.1某款汽车上的主要ECU及说明主要子系统子系统中主要的ECU功能描述信息娱乐系统信息控制模块ICM语音电话模块PHM媒体播放器1MP1多媒体单元MMM信息娱乐系统指能够在汽车内使用的信息通讯功能和多媒体娱乐功能，例如，CDMP3播放器，视频播放器，收音机等。 第2章车载CAN总线网络信息安全问题分析7（续表）表2.1某款汽车上的主要ECU及说明车身系统后置电子模块REM乘客座椅模块PSM司机车门单元DDM乘客车门单元PDM车身系统是一种车载子系统的通用术语，主要用于控制车门，车窗，座椅等。 动力-底盘系统发动机控制模块ECM刹车控制模块BCM传动控制模块TCM差动控制单元DEM悬挂单元SUM动力系统是车内产生动力的子系统，其中具有代表性的是发动机子系统和传动子系统。 底盘系统是控制车辆行为的子系统，包括刹车和悬挂单元，大部分与安全相关的子系统都包含在底盘系统中。 车载电子系统中主要的动力-底盘系统，车身系统和娱乐系统如图2.1所示方式进行连接。 由功能不同所属领域相近的ECU相互连接形成了各自的子网，进而形成了各自的子系统。 一般地，汽车子系统使用高速CAN用于动力总成-底盘系统和使用低速CAN用于车身系统23。 每一个子系统在物理上是独立的，各个子系统之间的通信通过网关ECU实现24。 网关ECU的作用是实现信息在不同子网之间的路由选择。 一般的信息安全实现方式是在网关ECU上加装防火墙来保障车内总线网络的安全，但是仅仅在网关上增加的信息安全机制并不能提供足够的安全防护，网联汽车的信息安全更重要的是将安全策略具体实施到总线网络上。 图2.1包含网关及部分车载子系统的车载网络架构第2章车载CAN总线网络信息安全问题分析8N2.2.2CAN总线通信协议在CAN总线系统中，能够有效通信的帧类型一共有以下5种。 其中，数据帧和远程帧是由相同的ID命名的，但即使具有相同的ID，当发生总线冲突时，数据帧的优先级高于远程帧。 （1）数据帧用于节点之间传输数据； （2）远程帧需要数据的节点通过发送该帧可以请求另一节点发送数据帧； （3）错误帧检测出错误时向其它单元发出通知； （4）过载帧接收单元通知其未做好接收准备； （5）帧间隔将数据帧及遥控帧与前面的帧分隔开。 图2.2CAN2.0B协议的数据帧格式CAN总线协议根据ID域长度的不同，分为CAN2.0A标准格式和CAN2.0B扩展格式两部分25，由于CAN2.0B支持CAN2.0A，所以对CAN2.0B进行解释说明。 如图2.2所示，CAN2.0B数据帧中的ID域用于设置消息的优先级，其29位ID域分为标准ID和扩展ID两个部分，IDE域决定是否使用18位扩展ID。 帧起始包括总线空闲和硬同步，仲裁场由ID位和RTR位两部分组成，ID位最高的7位不能全是隐性，这是因为唤醒帧的特殊标识符位是00000010000。 当一个帧是数据帧时，RTR位为显性，远程帧时则为隐性。 当总线上帧发生冲突时，就会引起总线仲裁。 控制场由2bit保留位和4bit数据长度位组成，保留位要求发送方必须为显性。 数据域包含0-8个字节数据，远程帧没有数据场，并且RTR位隐性。 CRC域提供传输过程中的错误检测，这也是CAN协议中唯一提供与安全相关的校验机制，但这种校验机制在网联汽车的背景下是远远不够的。 第2章车载CAN总线网络信息安全问题分析932.3针对智能网联汽车的攻击分析和N CAN总线安全漏洞分析2.3.1智能网联汽车的攻击接口随着网联技术的发展，汽车与外界有了更多需要交互的信息，开放的接口也越来越多，攻击者可能通过这些接口对汽车发动攻击26。 图2.3给出了汽车电子系统容易受到攻击的接口，根据连接方式，这些接口可以分为以下几类 （1）物理访问接口通过直连或使用第三方工具访问汽车内部网络，例如用于娱乐系统或移动设备的USB接口，车载标准诊断接口OBD-II和电动汽车开放的充电桩接口等； （2）短距离无线访问接口物理连接容易觉察且不易实施，于是当物理连接方式难以实现的情况下，攻击者通过非物理接触的、近距离的方式访问汽车内网，这种短距离的无线访问一般通过在距离汽车5300m的范围内放置发射器与接收器的方式来实现27，这类典型接口包括胎压监测系统（TPMS）、蓝牙、WIFI、门禁与防盗系统、无钥匙进入系统、车载雷达等； （3）长距离无线访问接口攻击者通过无线电、广播信号、卫星导航GPS北斗等通信距离超过1km的访问接口实现长距离无线访问攻击28； （4）车载服务系统攻击者通过车载移动端对外连接的数据接口，例如车载T-Box通讯模块、TSP平台（Telematics ServiceProvider汽车远程服务提供商）和应用程序APP等终端接口连接到车载网络，进入车载信息系统，进一步发送控制命令，威胁汽车安全。 图2.3网联汽车可能的攻击接口第2章车载CAN总线网络信息安全问题分析102.3.2车载N CAN总线网络的安全漏洞车载CAN总线由于其可靠性、灵活性、低成本等特点成为了车内总线网络的标准，一时间受到了各大汽车厂商的青睐。 但是CAN总线在设计之初却并没有考虑到信息安全问题，使得CAN总线的安全漏洞在网联汽车的背景下逐渐被放大。 在过去的几年中，文献29-32已经提出了针对车辆进行各种类型黑客攻击的研究结果，Koscher29等提出了利用车载无线通信和车载CAN总线的安全漏洞进行的攻击模型；Chris Valasek和Charlie Miller在xx年至xx年期间每年都发布了针对新型汽车黑客攻击的调查结果，他们研究了车载网络和车载无线网络的脆弱性，并发表了关于车辆无线黑客攻击的调查结果；Jeep Cherokee32通过使用车载无线通信服务进行了网络攻击来控制车辆。 迄今为止的研究都指出了车载CAN总线作为黑客攻击的根本原因是其网络的脆弱性，也就是说，可以通过消除车载CAN总线的安全漏洞来创建抵御黑客攻击的安全车辆环境。 以下对车载CAN总线网络的安全漏洞进行说明 （1）缺乏足够的信息安全保护机制CAN总线帧格式中唯一提供与安全相关的校验机制的就是CRC域，它仅仅能够提供传输过程中的错误检测，却没有任何信息保护机制，以确保数据机密性，消息完整性，可用性，真实性，不可否认性和数据新鲜性33。 无论CAN总线拓扑是何种结构，连接到总线上的节点所发送的消息是与其他节点共享的，并且CAN帧中没有发送方或接收方地址，没有消息验证代码（MAC）的保护； （2）没有身份认证机制CAN总线上的身份认证问题源于