轩辕实验室┃一种实用的联网汽车无线攻击方法及车载安全协议
车辆IT融合技术是现代车辆的一种快速崛起的范例,其中电子控制单元(ECU)用于控制车辆电气系统,而控制器局域网(CAN)作为车载网络通常被使用构建高效的ECU网络。 不幸的是,尽管CAN控制消息可能对生命至关重要,但在CAN中并未适当地解决安全问题。 随着互联汽车环境的出现,车载网络(例如CAN)现在已连接到外部网络(例如3G / 4G移动网络),从而使对手可以使用CAN漏洞进行远程无线攻击。 在本文中,我们证明了在连接的汽车环境中,使用真实的车辆和恶意的智能手机应用程序,在物理上可能进行远程无线攻击。
引入
数据加密和认证技术可确保车载CAN中的实时数据处理。
使用消息认证码(MAC)的方法考虑了CAN数据帧的有限数据有效载荷。
密钥管理技术支持外部设备与车载CAN之间的安全连接。
攻击模型
攻击者的能力:对手可以使用汽车诊断工具来获取CAN数据帧,以在发动实际攻击之前强制控制ECU。攻击者可以使用恶意的自诊断应用程序窃听并将CAN数据帧注入连接的汽车环境中的车载CAN中。因此,攻击者不必从短距离攻击目标。通过伪装成用于车辆的合法自我诊断应用程序,该应用程序可能会在应用程序市场中广泛传播。
目标漏洞:目标车辆使用CAN在ECU之间进行通信。CAN不提供安全服务,例如加密或数据帧身份验证。这意味着可以在CAN中进行监听和重放攻击。由于汽车诊断工具存储了ECU的控制命令,因此未经授权使用汽车诊断工具也是一个安全漏洞。
受害者行为:目标车辆的受害者通过应用程序市场将恶意的自我诊断应用程序下载到他/她的智能手机。受害人无法识别该应用程序是否正在对车载CAN进行窃听或重放攻击等恶意行为。在我们提出的攻击模型中,我们不考虑攻击破坏安装在车辆内部的ECU或操纵ECU固件的攻击,因为这些攻击需要长时间占用目标车辆和专门知识。
安全需求
机密性:CAN中的每个数据帧均应加密以提供机密性。也就是说,数据框的纯文本格式应仅对合法的ECU或一方可用。由于CAN的特性,所有数据帧都会被广播,从而使攻击者可以轻松窃听CAN数据帧。特别地,可以使用汽车诊断工具来获得用于执行ECU控制的数据帧,因此非常容易分析相关数据帧的含义。
身份验证:CAN中的控制数据帧仅由数据帧中的发送方ID标识,这使得重播攻击成为可能。也就是说,具有有效控制数据帧的对手可以重新发送它,并有可能伪装成合法的发送者。为了阻止这种类型的攻击,应该提供所传输数据的身份验证和完整性。当前的CAN规范仅提供CRC码以确保检测到传输错误,而不提供认证。
CAN数据帧的加密和身份验证:为了为广播的数据帧提供机密性,应在加密后进行传输。另外,为了认证发送的数据帧,应该生成一个MAC并与之一起发送。但是,要在CAN数据帧中有效地包含MAC并不容易。CAN数据帧由120位组成,包括一个64位数据字段。如果数据字段用于MAC,则CAN数据帧传输的总量至少增加两倍:一个数据帧用于原始数据,至少一个用于MAC。这种方法不合适,因为它将迅速增加CAN总线负载。因此,安全协议需要一种有效的数据认证技术,该技术可以应用于当前的CAN数据帧格式。
CAN的高效密钥管理:为了进行安全通信,CAN安全协议应提供用于数据帧加密和身份验证的安全且快速的密钥分发机制。另外,需要有效且安全的会话密钥更新协议,以增强会话密钥和截断的MAC的安全性。还需要支持外部设备和车辆之间的连接。
拟议的安全协议
1.加载长期对称密钥
2.初始会话密钥的分布
3.CAN数据帧的加密和认证
总结
- 用户评论
