聯(lián)網(wǎng)汽車內(nèi)的計算復雜性越來越高，隨著自動駕駛汽車的出現(xiàn)，制造商如何測試網(wǎng)絡安全保障？聯(lián)網(wǎng)汽車的計算復雜度不斷增加，隨著自動駕駛汽車的出現(xiàn)，制造商如何測試網(wǎng)絡安全保證？模糊測試是一種成功的黑盒測試方法，黑客們用它來發(fā)現(xiàn)各個領域的安全弱點。因此，SAEJ3061中提到的模糊測試（沒有任何細節(jié)）是否應更廣泛地應用于車輛系統(tǒng)開發(fā)過程中，以幫助減少漏洞？為了研究這個問題，我們開發(fā)了一個自定義模糊器，允許對目標車輛的CAN總線(用作車輛的ecu的數(shù)據(jù)互連)進行實驗。結果表明，模糊測試是車輛系統(tǒng)在準備進行系列生產(chǎn)之前需要進行的眾多安全測試之一。然而，以前在對汽車進行網(wǎng)絡測試時提出的問題也得到了證實。因此，在將模糊測試加入汽車工程工具箱時，提出了一些需要在未來研究中解決的問題。

I.簡介

所有大規(guī)模制造的車輛都需要內(nèi)部聯(lián)網(wǎng)的計算機才能正常運行。車輛上的計算機被稱為電子控制單元(ECUs)。CU運行著從發(fā)動機到車內(nèi)照明的所有設備，通常與低成本的控制器區(qū)域網(wǎng)絡（CAN）數(shù)據(jù)總線互連。在車輛中發(fā)現(xiàn)的其他網(wǎng)絡包括FlexRay、面向媒體的系統(tǒng)傳輸（MOST）、本地互連網(wǎng)（LIN）和兩線制以太網(wǎng)（100BASE-T1）。這些車輛系統(tǒng)可能直接或間接地連接到互聯(lián)網(wǎng)。這是通過內(nèi)置的蜂窩通信，或通過司機或乘客的小工具，如智能手機來實現(xiàn)的。這使得我們駕駛的汽車或使用的交通工具成為網(wǎng)絡物理系統(tǒng)（CPS）和物聯(lián)網(wǎng)（IoT）設備。這些聯(lián)網(wǎng)汽車已被證明患有類似的網(wǎng)絡安全漏洞，就像其他基于計算機的網(wǎng)絡系統(tǒng)，無論是家庭、辦公室還是工業(yè)。因此，聯(lián)網(wǎng)和自動駕駛汽車(CAV)需要能夠抵御網(wǎng)絡攻擊。所以，網(wǎng)絡安全測試已被添加到制造商的車輛工程流程的任務清單中，或應成為其一部分，正如政府現(xiàn)在所規(guī)定的那樣。

由于汽車領域的特殊技術和CPS環(huán)境，將既定的網(wǎng)絡安全測試方法應用于汽車工程是具有挑戰(zhàn)性的。模糊測試是一種成熟的軟件動態(tài)測試方法，對汽車領域來說是一個有價值的補充嗎？本文的貢獻是通過一個定制的模糊測試程序來研究這個問題，并開始解決將模糊測試引入汽車系統(tǒng)測試的挑戰(zhàn)。

A簡要介紹了模糊測試之后，研究了將其應用于車輛系統(tǒng)的現(xiàn)有工作。本文介紹了測試CPS系統(tǒng)的動機和挑戰(zhàn)。然后介紹了經(jīng)過模糊測試的車輛技術，即CAN總線。在討論觀察和進一步的工作和結論之前，將介紹運行自定義軟件和結果輸出。在討論觀察結果和進一步的工作以及結論之前，介紹了運行定制軟件和結果輸出。

A. 什么是模糊測試？

模糊測試是一種動態(tài)分析測試方法。它是針對正在運行的系統(tǒng)執(zhí)行的（與對源代碼的靜態(tài)分析相反）。模糊器是一個執(zhí)行模糊測試的程序。向目標系統(tǒng)生成隨機輸入數(shù)據(jù)是模糊器的主要功能。然而，為了更有效率，從而更有效，模糊測試器可以在了解系統(tǒng)數(shù)據(jù)格式、通信協(xié)議和接口的情況下運行。模糊測試的本質(zhì)是：

-隨機輸入（fuzz）被發(fā)送到系統(tǒng)的接口。

-系統(tǒng)的反應被監(jiān)測。

-如果系統(tǒng)發(fā)生故障，會記錄導致故障的條件并重置系統(tǒng)。

-這個過程要重復大量的次數(shù)，以覆蓋一個大的輸入值空間。

-由于執(zhí)行了大量的測試，模糊測試是自動化的，以提高效率。

能夠使軟件失效是攻擊者用來滲透系統(tǒng)的方法之一。因此，模糊測試現(xiàn)在是一種成熟的、完善的方法，可以發(fā)現(xiàn)應用程序和操作系統(tǒng)中的漏洞，并被用來幫助對汽車系統(tǒng)進行逆向工程。然而，它在汽車系統(tǒng)的一般測試中的應用卻很低（圖1）。

圖1汽車行業(yè)的測試方法，來自于[7]的數(shù)據(jù)

II.相關工作

對車輛黑客的研究通常關注的是證明聯(lián)網(wǎng)車輛的漏洞。一些研究人員確實在攻擊的同時提供解決方案。盡管早期在破壞控制器區(qū)域網(wǎng)絡（CAN）方面進行了實際演示，但直到2010年大眾媒體廣泛宣傳了實際的聯(lián)網(wǎng)汽車網(wǎng)絡攻擊，人們才對針對車輛的網(wǎng)絡攻擊產(chǎn)生了興趣。實現(xiàn)媒體廣泛報道的2010年的原始研究指出：

事實上，由于有效的CAN包的范圍相當小，通過簡單的包模糊（即隨機或部分隨機包的迭代測試）可以造成嚴重的損害。事實上，對于尋求無差別破壞的攻擊者來說，模糊化本身就是一種有效的攻擊。

盡管他們對模糊的主要用途是幫助對目標車輛的系統(tǒng)進行反向工程。然而，在網(wǎng)絡服務和一般信息系統(tǒng)中，模糊技術被用來破解軟件。然而，到目前為止，汽車黑客的模糊測試的價值在于幫助發(fā)現(xiàn)汽車系統(tǒng)的功能。這是因為車輛內(nèi)部系統(tǒng)的操作細節(jié)是商業(yè)機密。通常情況下，確定一個特定的CAN信息的唯一方法是在操作車輛功能時捕獲網(wǎng)絡數(shù)據(jù)包。在生產(chǎn)前的安全測試中，關于模糊測試的有用性的工作做得很少。在汽車系統(tǒng)的模糊測試方面有哪些可用的方法？

[13]提供了一個用于ECU診斷的統(tǒng)一診斷服務(UDS)模糊器的設計。該報告主要關注模糊器的設計，并在UDS模擬器上進行了測試。它確實發(fā)現(xiàn)了模擬器的UDS實現(xiàn)中的弱點，盡管沒有提供深入的結果介紹。

測試諭問題（如何確定系統(tǒng)的正確響應）對cps來說是一個挑戰(zhàn)，特別是在自動化整個安全測試過程方面。在[15]中，提出了一個從一個硬件循環(huán)(HIL)和軟件循環(huán)(SIL)測試和開發(fā)系統(tǒng)到基于Python的開源模糊器的鏈接，稱為booFuzz。他們提出了幾種解決測試諭問題的方法：

-網(wǎng)絡通信監(jiān)控。

-通過組件調(diào)試接口進行監(jiān)控。通常不用于硬件調(diào)試，一旦開始生產(chǎn)，通常就不能使用。

-對模擬器內(nèi)部可用的系統(tǒng)信號的直接和間接監(jiān)測。

-使用汽車通用測量和校準協(xié)議（XCP），允許遠程訪問ECU的內(nèi)部。

-用外部傳感器監(jiān)測系統(tǒng)的物理反應。

然而，沒有考慮到任何額外的監(jiān)測能力可能被攻擊者利用，他們會尋找任何信息來源來幫助破壞系統(tǒng)。因此，支持XCP可能有助于詳細的ECU診斷，但它提供了另一個可能被利用的渠道。注意到的一個有趣的問題是，汽車ECU有不同的操作模式。在其壽命的大部分時間里，ECU都在提供正常的操作功能。然而，在車輛維修期間，ECU可以被鎖定或解鎖，以便通過UDS進行軟件更新。對于系統(tǒng)測試人員來說，覆蓋ECU的所有狀態(tài)是很重要的，因為這些不同的狀態(tài)之前已經(jīng)被利用了。

在[16]中提供了如何配置一個商業(yè)模糊器來連接到一個汽車網(wǎng)絡。沒有給出實際應用，只發(fā)布關于數(shù)據(jù)包吞吐量率的結果。在[17]中，另一個商業(yè)模糊工具用于測試單個ECU。測試環(huán)境定義了一個比較模塊，作為測試參數(shù)，在模糊CAN消息時驗證ECU的正確操作。

表一列出了已發(fā)表的參考工作中所使用的模糊器，加上Peach模糊器，它被宣傳為支持汽車測試1。大多數(shù)是通用的商業(yè)產(chǎn)品，booFuzz是開源的，Peach也有一個開源版本。他們都需要對汽車系統(tǒng)的工作進行調(diào)整。兩種主要方法是：1）協(xié)議，使用CAN數(shù)據(jù)包的格式（表三），或2）從系統(tǒng)設計中輸入，即對數(shù)據(jù)包內(nèi)容有預先的了解（可以從ECU中運行的源代碼中得知）。在下面的章節(jié)中，將對汽車模糊測試的需求進行研究。

III.動機

安全是汽車的一個關鍵設計目標。汽車的操作正確性、認證以及與國際和國家標準的一致性都要進行測試。國家間標準化組織（ISO）發(fā)布了ISO 26262，用于電氣和電子系統(tǒng)的功能安全。然而，對于聯(lián)網(wǎng)汽車來說，網(wǎng)絡攻擊是一種超越正常功能操作的威脅。如何解決這種威脅呢？汽車工程師協(xié)會（SAE）J3061出版物為CPS提供了一些最佳實踐指南，作為引入安全意識的過程和設計的起點，另外ISO/SAE AWI 21434（道路車輛，網(wǎng)絡安全工程）正在開發(fā)中。然而，對于系統(tǒng)工程師來說，需要適用的方法。

A. 從物理鎖到網(wǎng)絡鎖

從根本上說，安全是一個經(jīng)濟問題，必須在一個系統(tǒng)中加入足夠的安全性來勸阻對手。安全措施曾經(jīng)只是物理性的，比如說更強的鎖。現(xiàn)在，網(wǎng)絡鎖需要認證、數(shù)據(jù)和通信加密以及其他密碼學措施來保護安全屬性，其形式為CIA三要素。

?保密性--防止敏感數(shù)據(jù)被查看。

?完整性--防止數(shù)據(jù)值的改變。

?可用性--保護系統(tǒng)運行。

然而，網(wǎng)絡鎖并不能保證系統(tǒng)的安全。計算機代碼的一般問題是它很少沒有錯誤。盡管在一個計算系統(tǒng)中盡了最大努力消除錯誤，但在數(shù)十萬行代碼(LOC)中仍會有一個給定的錯誤率。攻擊者的目標是找到可以用來獲取收益的代碼錯誤。尋找弱點所涉及的努力（即成本）越大，攻擊者就越有可能尋找其他地方。然而，制造商面臨著一個困境，在某種程度上，減少系統(tǒng)中的錯誤數(shù)量變得指數(shù)級困難的，任何項目都有有限的資源。因此，能夠緩解這種緊張關系的方法是有益的。

B. CPS模糊測試的挑戰(zhàn)

如果黑客使用模糊測試來破壞系統(tǒng)，為什么不在生產(chǎn)前的測試中部署同樣的技術來提高網(wǎng)絡安全的復原力。事實上，模糊測試是廣受好評的微軟安全開發(fā)生命周期（SDL）的一部分，并被列入了J3061。然而，在J3061中并沒有涵蓋任何幫助制造商的資源，而且在將模糊測試應用于CPS領域的深入研究也很少。讓模糊測試在汽車行業(yè)得到更廣泛的應用，有哪些挑戰(zhàn)？

1)車輛的CPS性質(zhì)：對于現(xiàn)在部署在我們周圍的CPS來說，計算命令和控制的結果是物理上的非計算操作。車輛駕駛員按下開關可以導致數(shù)字命令通過數(shù)據(jù)網(wǎng)絡發(fā)送，該動作導致現(xiàn)實世界的輸出，例如，一個燈被打開。因此，對被測系統(tǒng)（SUT）或被測設備（DUT）的監(jiān)測增加了CPS的復雜性。然而，對于生產(chǎn)前的車輛設計階段，這種CPS監(jiān)測的復雜性可以借助于硬件在環(huán)和軟件在環(huán)設備來模擬物理世界而得到緩解。

2)車輛產(chǎn)生的大量數(shù)據(jù)：隨著更多的計算系統(tǒng)被納入汽車，車輛內(nèi)部不斷產(chǎn)生的數(shù)據(jù)量只會增加。數(shù)據(jù)量問題在傳統(tǒng)的IT安全中并不陌生。此外，在汽車行業(yè)中部署了不同的通信協(xié)議，另外還有一系列的數(shù)據(jù)類型和格式需要處理。車輛數(shù)據(jù)處理是另一個大數(shù)據(jù)問題。

3)不完整的知識：針對一個組件的已知規(guī)格和接口的功能測試是很容易確定的。然而，可能會存在為其他用途而開發(fā)的額外功能，如支持其他客戶或用于組件測試。未文檔化的應用編程接口（API）以及未經(jīng)測試的代碼路徑可能會被利用。汽車工程師需要考慮到這些未知因素。

4)定義可測量度量：CPS的復雜性意味著沒有兩個類似的系統(tǒng)或類似的組件是可以比較的。這意味著測量模糊測試的有效性是困難的。在其他領域，模糊測試是以發(fā)現(xiàn)的錯誤數(shù)量的最終計數(shù)為導向的。然而，這只能是相對于同一系統(tǒng)上的其他運行，另外，由于模糊測試的隨機性，比較只能是近似值。對于攻擊者來說，發(fā)現(xiàn)的缺陷總數(shù)并不重要。他們所追求的是使他們有能力違反CIA三原則的那一個漏洞。而系統(tǒng)制造商則需要在系統(tǒng)交付前盡可能多地發(fā)現(xiàn)這些漏洞。然而，如果沒有發(fā)現(xiàn)漏洞，這并不意味著不存在漏洞，這只是意味著測試沒有觸發(fā)任何東西。

鑒于上述動機和挑戰(zhàn)，假設模糊測試對于提高車輛中聯(lián)網(wǎng)ECU的安全性是有益的。如果是真的，那么在J3061中列出的車輛測試方法中加入模糊測試就是一個有效的論斷。這里，一個定制的模糊測試器被用來對目標車輛進行模糊測試。這里使用一個自定義模糊器將模糊測試應用于目標車輛。通過這樣做，我們可以學會哪些什么來應對這些挑戰(zhàn)呢？模糊器需要如何調(diào)整？未來在汽車領域的模糊測試應用需要什么？雖然確實存在將模糊測試應用于汽車系統(tǒng)的經(jīng)驗性結果，但很少有發(fā)表的實驗與可用的經(jīng)驗教訓。

在這里，模糊測試器是通過CAN總線與車輛對接的，因此對CAN進行了簡要介紹。

IV.汽車CAN總線

CAN總線是在20世紀80年代引入的，對于那些對比特級協(xié)議感興趣的人來說，[23]有大量的可用的資源。總線上的每個節(jié)點(ECU)都可以啟動數(shù)據(jù)傳輸，一次只傳輸一個節(jié)點。對于一個標準的CAN數(shù)據(jù)幀來說，11位的仲裁標識符（又稱數(shù)據(jù)包標識符）允許最高優(yōu)先級的信息在兩到多個節(jié)點同時傳輸?shù)那闆r下繼續(xù)傳輸。一個標準的CAN數(shù)據(jù)包有多達八個字節(jié)（64位）的數(shù)據(jù)。節(jié)點中的CAN收發(fā)器芯片自動處理協(xié)議，向高層應用提供id、數(shù)據(jù)長度和數(shù)據(jù)字節(jié)。表二顯示了從目標車輛上捕獲的一些CAN數(shù)據(jù)包。按照今天的標準，標準CAN的傳輸速度并不高，被設計為支持高達1Mb/s。汽車中常用的傳輸速度是500kb/s。

圖2 用于汽車測試的基于PC的模糊器

CAN的設計沒有考慮到安全問題，因此很容易進入。與CAN接口的設備成本很低。CAN總線通常通過開放的車內(nèi)診斷（OBD）端口暴露在車輛中，另外，只要車輛的線路可以接觸到，就可以進行線切割。這些因素使得對CAN數(shù)據(jù)的操縱有了直接的研究。被破壞的ECU或中間人（MITM）攻擊（例如連接到車輛的OBD連接器的售后設備）可以欺騙傳輸?shù)男畔ⅲ绊懻２僮鞑⑼{到車輛和乘客的安全。這種CAN操縱是針對車輛的網(wǎng)絡攻擊成功的一個要素。加強CAN的安全性是一個有用的措施，然而，盡管有幾個方案可以為CAN增加加密，但沒有一個方案符合在批量生產(chǎn)中部署的所有標準。

V.方法

表一中列出的可用的商業(yè)和混合許可模糊器是專門定制的，用于汽車系統(tǒng)。這里介紹的定制模糊器（圖2）是為HORIBA MIRA有限公司開發(fā)的，是專門為處理CAN格式而編程的。該模糊器的設計很簡單，與[15]相比，它的子組件數(shù)量較少，[15]執(zhí)行時在Python和.NET技術之間跳轉。

1)基于PC的模糊器：模糊測試軟件是在一臺連接到矢量車輛模擬器的計算機上開發(fā)的（圖8）。矢量設備在工業(yè)上被廣泛用于網(wǎng)絡控制系統(tǒng)的設計、驗證、HIL和SIL測試，包括基于CAN的車輛系統(tǒng)。車輛模擬器的使用簡化了開發(fā)周期，因為在開發(fā)過程中不需要訪問目標車輛。

用于模糊測試的軟件是用C#計算機編程語言編寫的。使用的集成開發(fā)環(huán)境（IDE）是Microsoft Visual Studio。軟件模糊測試程序的主要功能項目是用于命令和控制的用戶界面（UI）屏幕、常規(guī)CAN數(shù)據(jù)傳輸?shù)亩〞r線程、模糊CAN消息的隨機字節(jié)發(fā)生器、通信API處理模塊和CAN總線流量監(jiān)視器。

2)通過車輛數(shù)據(jù)總線或ECU接口連接到SUT或DUT：使用一個通用串行總線（USB）到CAN的硬件適配器來連接模糊器軟件到CAN總線，這里使用的是PEAK- System生產(chǎn)的PCAN-USB產(chǎn)品。PCAN-USB設備有一個應用編程接口(API)，可以通過C#語言訪問該設備。

圖3 配置CAN模糊器的用戶界面

USB CAN適配器需要9路D型插座，其接線符合CANopen規(guī)范（CiA303-1）2。兩根CAN通信線被稱為CAN High和CAN Low，CAN High連接到9針連接器的針腳7，CAN Low連接到針腳2（一個相同的插座用于連接到模擬器硬件）。

模糊器是通過其用戶界面進行配置的，提供對注入到SUT或DUT（通過CAN總線）的數(shù)據(jù)的控制，圖3。通過用戶界面，模糊器可以被編程，以產(chǎn)生一個單一信息中的一個位，到每個信息中的每個位。由于CAN數(shù)據(jù)流的組合爆炸問題，這個功能很重要。一個具有11位id和一個字節(jié)有效載荷的標準CAN數(shù)據(jù)包有50萬個數(shù)據(jù)包組合（219）。在1ms的傳輸頻率下（目前這個模糊器的最小值），傳輸所有的組合需要8分鐘以上。再加上一個數(shù)據(jù)字節(jié)，所有組合的傳輸時間為1.5天。除此之外，進一步增加數(shù)據(jù)長度是不切實際的，因此需要有針對性地進行模糊處理（例如，通過在CAN總線上監(jiān)測到的已知消息ID進行模糊處理，或者通過設計來通知）。

一旦配置好，模糊器就會針對SUT或DUT執(zhí)行，發(fā)送隨機的CAN數(shù)據(jù)。它監(jiān)視目標系統(tǒng)，記錄對注入的信息的反應并采取行動。

VI.結果與分析

目標車輛使用標準的CAN數(shù)據(jù)包（11位ID）。可供模糊處理的數(shù)據(jù)包參數(shù)（ID、數(shù)據(jù)長度、有效載荷字節(jié)）見表三。根據(jù)模糊器中定義的參數(shù)，生成隨機的CAN數(shù)據(jù)包見表四。

該模糊器分析了CAN數(shù)據(jù)，以便進行數(shù)據(jù)完整性檢查。圖4顯示了每個字節(jié)位置的平均數(shù)據(jù)字節(jié)值，是從目標車輛的網(wǎng)絡中捕獲的100,000個CAN數(shù)據(jù)包計算出來的。它顯示了一個非線性分布的八位數(shù)值。相比之下，圖5顯示了對由模糊器生成的66144個CAN數(shù)據(jù)包的相同計算結果。該線性分布，即所有消息中所有字節(jié)的總體平均值為127，這證明了模糊器正確地生成了字節(jié)值的均勻分布。

來自模糊器的隨機CAN數(shù)據(jù)包的影響可以在矢量模擬器中進行測量。正常的車輛信號如圖6所示。圖7，在比圖6更短的時間內(nèi)被捕獲，說明了隨機數(shù)據(jù)包對信號的影響。

當模糊器運行并注入CAN數(shù)據(jù)包時，模擬器的反應很不穩(wěn)定。這是由畸形的CAN數(shù)據(jù)所引起的信號的快速變化造成的。在圖8中，模擬的車輛顯示了一個負的發(fā)動機轉速，這表明車輛模擬處理物理上無效值的方式與處理物理上合理的值相同。

一旦模糊測試軟件投入使用，就可以用來對付物理目標，即車輛和車輛部件。以前的汽車黑客研究表明，對車輛的永久性破壞是可能的，例如，使ECU失效（制動）。因此，在對目標車輛進行測試之前，對目標車輛上使用的現(xiàn)有儀表盤進行了模糊處理。

圖4 從100000條捕獲的車輛CAN報文中每個數(shù)據(jù)字節(jié)位置的平均值

圖5 來自66144個隨機生成的CAN報文的每個數(shù)據(jù)字節(jié)位置的平均值

圖6 模擬車輛信號

圖7 模糊化對信號的影響

圖8 通過模糊處理在車輛模擬器上顯示不適當?shù)闹?/p>

圖9 因模糊而導致的車輛部件崩潰

對著儀表盤運行模糊器，立即導致故障指示燈（MIL）亮起、警告聲和不穩(wěn)定的儀表針。此外，一個數(shù)字顯示器開始有規(guī)律地顯示崩潰這個詞。循環(huán)供電給集束器，消除了任何變得亮起的MIL。不幸的是，碰撞信息不會清除。

該組件的損壞要求重新評估對目標車輛使用模糊器的情況，這是一種共享資源，如果被損壞會產(chǎn)生維修費用。因此，該實驗僅限于檢查模糊器是否對目標車輛產(chǎn)生影響。與其在整個CAN消息空間中運行模糊器，不如只對一小部分消息進行模糊處理。這些信息的ID是以前在車輛的CAN總線上觀察到的正常操作，例如，已知的影響儀表盤表針的信息。使用OBD電纜（通過USB到CAN適配器）將模糊器連接到車輛上，模糊信息被送入空轉的目標車輛。目標車輛有兩條CAN總線，模糊器在兩條總線上都進行了測試。該車表現(xiàn)出與集群測試類似的行為， 即各種MIL燈的點亮、儀表區(qū)的警告聲、儀表讀數(shù)的變化、車輛中央控制臺的錯誤信息以及發(fā)動機怠速轉速的不穩(wěn)定。一旦發(fā)現(xiàn)模糊處理有明顯的影響，就會停止，以防止可能的損害，如圖9所示。為了防止對焦油車部件的損害，對模糊器的進一步測試是針對臺式硬件配置進行的。基于工作臺的配置是為了代表互聯(lián)汽車越來越普遍的特征，即通過應用程序控制車輛功能，見圖10。

一個CAN總線目標是由帶有CAN接口的Arduino單板計算機（SBC）構建的。每個SBC在網(wǎng)絡上充當一個ECU。CAN總線上的信息是在目標車輛的CAN總線上傳輸?shù)男畔⒌囊粋€小子集。其中一個ECU作為車身控制模塊（BCM），其發(fā)光二極管（LED）代表車輛的鎖定狀態(tài)（off代表鎖定，on代表解鎖），見圖11。

圖12顯示了復制功能的圖示。外部手機應用程序向車輛信息娛樂系統(tǒng)ECU（又稱車頭裝置）發(fā)送解鎖命令。

圖10 通過制造商的智能手機應用程序控制車輛，可從應用程序商店獲得

圖11 連接三個作為ECU的單板計算機的CAN總線

這是一個安全的連接（或應該是）。信息娛樂裝置通過車輛的CAN總線傳輸解鎖命令。模糊器是作為一個惡意的單元連接到車輛網(wǎng)絡（通過OBD端口或一個被破壞的ECU）。當模糊器運行時，它不知道激活鎖的CAN信息。

在這個實驗中，一個PC應用作為智能手機應用，圖13，作為信息娛樂系統(tǒng)ECU的代理發(fā)送鎖定和解鎖命令。這導致LED燈的開啟和關閉，表明在鎖定和解鎖車門方面的正常系統(tǒng)操作。用模糊器，見圖3，在隨機產(chǎn)生的CAN數(shù)據(jù)幾分鐘后，解鎖（或鎖定）功能被激活。為了幫助檢測解鎖狀態(tài)，測試平臺被增強以傳送解鎖確認的CAN消息。對于真正的車輛還需要另一種檢測機制，例如門鎖上的傳感器。

圖12 遠程車輛解鎖功能

圖13 PC車輛鎖定/解鎖應用程序

模糊器目前的最大信息傳輸率為每毫秒一條信息。在這個速率下，根據(jù)12次運行的小樣本，引起解鎖反應的平均時間是431秒，見表五。解鎖代碼測試的是一個具有特定ID的信息中第一字節(jié)位置的特定字節(jié)值。當代碼被修改為包括測試數(shù)據(jù)包的長度時，平均時間增加到1959秒。代碼的這一簡單變化大大增加了模糊器找到正確解鎖信息的時間。如果改變?yōu)闄z查兩個字節(jié)的值，時間的增加會更多。

VII.探討

事實證明，這些實驗已經(jīng)被證明是有用的，可以從少數(shù)現(xiàn)有的工作中收集出幾條信息。

關于在車輛CAN總線上應用模糊測試。實驗結果證實了之前關于車輛模糊測試的聲明，即：

-模糊測試可用于對車輛信息進行反向工程。

-破壞車輛的通信網(wǎng)絡并非難事。

-模糊測試可以作為網(wǎng)絡攻擊的一種形式。

-網(wǎng)絡安全測試車輛及其部件可導致車輛部件損壞。

由于模糊測試對運行中的車輛和模擬器有不利的影響，它表明車輛系統(tǒng)需要額外的邏輯來忽略無意義的CAN消息值，以及這些值的序列。因此，很明顯，CAN總線在互聯(lián)汽車中運行時需要額外的工程考慮。因此，保護CAN總線和車輛部件不受外部網(wǎng)絡攻擊，現(xiàn)在已經(jīng)成為互聯(lián)汽車系統(tǒng)設計的一個功能要求。對于這樣的系統(tǒng)，這些實驗的目的是展示可以用來開始將模糊測試納入測試制度的方法。

事實也表明，模糊測試可以用來驗證系統(tǒng)是否符合CIA三原則。模糊測試能夠在不事先了解系統(tǒng)設計的情況下激活安全功能（保密性），能夠改變儀器上顯示的數(shù)值（完整性），并破壞組件和車輛的運行（可用性）。這意味著，對于互聯(lián)車輛來說，設計功能以正確隔離安全問題必須是一個考慮因素。事實上，在較新的車輛中使用網(wǎng)關ECU表明制造商正在應對這一問題。此外，對設計的簡單修改可以提高安全性。在這里，通過改變CAN信息來激活解鎖，因此，增加了通過隨機模糊測試發(fā)現(xiàn)該功能的時間。

所開發(fā)的軟件將被用于進一步研究汽車系統(tǒng)的模糊測試，并加以擴展。這是一個有價值的研究領域，因為在汽車系統(tǒng)上運行這種測試的定量數(shù)據(jù)很少。該工作可以擴展的其他方式包括:

-利用模糊測試來確定保護措施的有效性，例如車輛防火墻和網(wǎng)關，或?qū)CU軟件的補充，以減輕網(wǎng)絡攻擊。

-研究在位級對模糊CAN協(xié)議控制位（數(shù)據(jù)鏈路層）的數(shù)據(jù)包的操作。

-將這些技術應用于靈活數(shù)據(jù)速率（FD）版本的CAN。

-對車輛工程工具（如CAN接口設備）的API進行模糊處理，以確保其彈性。例如，對研究中使用的PEAK USB CAN適配器的API進行模糊處理。

-使用視頻處理軟件，例如OpenCV，來監(jiān)測被模糊測試的車輛和設備的網(wǎng)絡物理行為。

審核編輯 ：李倩