Кибербезопасность · 11 min read · Nov 14, 2025

Безопасность шины CAN: Невидимая кибербезопасностная битва в подключенных автомобилях

Кибербезопасность автомобиля

Увеличение интеграции цифровой связи в современных автомобилях повысило важность кибербезопасности, особенно в системе шины Controller Area Network (CAN).

Изначально разработанная для эффективной связи между электронными блоками управления (ECU), шина CAN не имеет встроенных мер безопасности, что делает её основной целью для киберугроз.

В данной статье рассматриваются уязвимости шины CAN, включая отсутствие аутентификации и шифрования, восприимчивость к атакам отказа в обслуживании и повторным атакам, а также растущие риски, связанные с беспроводной связью.

Для решения этих проблем мы представляем многоуровневый подход к безопасности шины CAN, включающий системы обнаружения и предотвращения вторжений (IDPS), аутентификацию и шифрование сообщений, защищенные шлюзы, сегментацию сети и механизмы безопасной загрузки.

Ключевым вкладом данного исследования является анализ глубоких нейронных сетей для обнаружения аномалий, что позволяет в реальном времени идентифицировать злонамеренную активность.

Кроме того, мы рассматриваем эффективность криптографической аутентификации и легковесных методов шифрования для защиты внутрисистемной связи.

Полученные результаты подчеркивают критическую необходимость проактивной стратегии кибербезопасности, акцентируя внимание на решениях, основанных на ИИ, постквантовой криптографии и защите на основе блокчейна для борьбы с развивающимися векторами атак.

Реализуя эти меры защиты, автомобильная промышленность может повысить безопасность автомобилей, защитить целостность данных и укрепить доверие потребителей в условиях все более связанного мира.

Введение: Невидимые угрозы в подключенных автомобилях

По мере того как автомобили становятся сложными цифровыми машинами, важность кибербезопасности в автомобильной промышленности никогда не была столь велика.

Шина Controller Area Network (CAN), изначально разработанная для упрощения внутрисистемной связи между электронными блоками управления (ECU), стала основной целью для киберугроз.

Хотя её эффективность в управлении функциями автомобиля неоспорима, отсутствие встроенных протоколов безопасности оставляет современные автомобили уязвимыми для нового типа кибератак.

Киберпреступники все чаще используют слабости в сетях CAN, угрожая безопасности автомобилей, целостности данных и доверию потребителей.

С быстрым внедрением подключенных и автономных автомобилей понимание уязвимостей шины CAN и внедрение передовых механизмов защиты больше не является опцией, это необходимость.

Почему безопасность шины CAN критически важна

Безопасность шины CAN имеет решающее значение, поскольку современные автомобили полагаются на этот протокол для управления всем, от управления двигателем и тормозными системами до информационно-развлекательных и вспомогательных функций для водителей.

Скомпрометированная шина CAN может привести к катастрофическим последствиям, включая непреднамеренное ускорение, сбои в торможении и удаленное захват автомобилей.

Знаменитый взлом Jeep Cherokee в 2015 году продемонстрировал, как злоумышленники могут удаленно манипулировать функциями автомобиля, побуждая отрасль приоритизировать безопасность CAN.

Исследование Миллера и Валасека (2015) показало, что атаки на шину CAN могут вызвать сбои в рулевом управлении и торможении, что доказывает, что это не просто теоретический риск, а реальная угроза.

С ростом связи «Автомобиль-всё» (V2X), обновлений по воздуху (OTA) и облачного управления флотом поверхность атаки автомобилей расширяется.

Исследования Пети и Шладовера (2014) показывают, что беспроводные векторы атак значительно увеличивают потенциал удаленной эксплуатации шины CAN, делая традиционные предположения о безопасности устаревшими.

Уязвимости шины CAN: Глубокое погружение

Несмотря на свою эффективность, протокол CAN не был разработан с учетом кибербезопасности. Некоторые из ключевых уязвимостей включают:

1. Отсутствие аутентификации и шифрования

В отличие от современных коммуникационных протоколов, сообщения шины CAN не имеют механизмов аутентификации, что означает, что любой ECU в сети может отправлять и получать сообщения без проверки.

Злоумышленники, использующие несанкционированный физический или удаленный доступ, могут внедрять злонамеренные команды, потенциально переопределяя функции, критически важные для безопасности.

Исследования Ву и Кима (2015) показывают, что добавление кодов аутентификации сообщений (MAC) может предотвратить атаки подделки, но реализация остается проблемой из-за ограничений пропускной способности.

2. Модель широковещательной связи

Поскольку все ECU делят одну шину и получают все переданные сообщения, один скомпрометированный узел может манипулировать поведением автомобиля.

Исследование Чекова и др. (2011) показало, что компрометация информационно-развлекательной системы может позволить боковое движение по сети CAN, влияя на критически важные системы автомобиля.

3. Атаки отказа в обслуживании (DoS)

Распространенная атака на шину CAN включает затопление сети высокоприоритетными сообщениями, перегружая систему и блокируя законные сигналы.

Исследование Чои и др. (2018) продемонстрировало, что атаки DoS могут вызвать сбои в работе подушек безопасности, сбои в торможении и аномалии на приборной панели.

4. Повторные атаки

Злоумышленники могут захватывать действительные сообщения CAN и повторно отправлять их позже, что затрудняет автомобилям различение легитимных и мошеннических команд.

Гролл и Рике (2019) предлагают криптографические временные метки для смягчения повторных атак, хотя реальная реализация сталкивается с проблемами вычислительных затрат.

5. Удаленные эксплуатации и беспроводные поверхности атаки

Интеграция Wi-Fi, Bluetooth и сотовой связи расширяет векторы атак за пределы физического доступа.

Исследование Кошера и др. (2010) подтвердило, что беспроводная связь может быть использована для удаленной инъекции команд шины CAN, демонстрируя необходимость улучшенной безопасности шлюзов.

Векторы атак в шине CAN

Обеспечение безопасности шины CAN: Настоящее и будущее

Чтобы бороться с этими уязвимостями, лидеры отрасли внедряют многоуровневый подход, объединяющий аппаратные и программные стратегии безопасности.

1. Системы обнаружения и предотвращения вторжений (IDPS)

Обнаружение на основе сигнатур является основным методом, используемым в системах обнаружения и предотвращения вторжений (IDPS) для идентификации известных киберугроз в автомобильных сетях CAN.

Этот метод основывается на базе данных заранее определенных сигнатур атак, уникальных паттернов, связанных с злонамеренной деятельностью, такой как несанкционированные инъекции команд, повторные атаки или подделанные сообщения ECU.

Когда трафик шины CAN мониторится, система сравнивает каждое сообщение с этими сохраненными сигнатурами, чтобы обнаружить и отметить подозрительную активность в реальном времени.

Обнаружение аномалий с помощью глубоких нейронных сетей (DNN) является продвинутым методом, специально разработанным для решения уязвимостей в сети Controller Area Network (CAN).

Поскольку шина CAN не имеет встроенных функций безопасности, таких как аутентификация и шифрование, она становится высоко уязвимой для киберугроз, включая атаки программ-вымогателей.

Для решения этой проблемы недавние исследования Чжоу и др. (2019) предложили инновационную систему, использующую глубокие нейронные сети для реального времени обнаружения аномалий сообщений шины CAN.

Этот метод включает в себя обработку последовательностей пакетов данных шины CAN одновременно.

Конкретно, пакеты данных организуются в три группы — якорь (известные хорошие данные), положительные (нормальные операционные данные) и отрицательные (аномальные данные) — и подаются в архитектуру глубоких нейронных сетей с использованием стратегии обучения с общими весами.

Этот подход использует встроенную функцию потерь триплета, изначально использовавшуюся в распознавании лиц, для оптимизации расстояний между этими группами.

DNN стремится минимизировать расстояние между якорными и положительными точками данных (нормальное поведение), одновременно максимизируя расстояние между якорными и отрицательными точками данных (аномальное поведение).

Глубокая нейронная сеть извлекает отличительные векторные признаки из сообщений шины CAN, которые охватывают критические поведенческие паттерны, такие как частота сообщений, последовательности идентификаторов сообщений и содержимое полезной нагрузки.

При развертывании в реальных сценариях эта система непрерывно мониторит входящие сообщения CAN, быстро идентифицируя отклонения от изученного базового поведения.

При обнаружении аномальной активности, указывающей на программ-вымогатель или злонамеренную манипуляцию, IDPS вызывает немедленные оповещения и автоматические защитные меры, такие как изоляция сети или приостановка ECU.

Дополняя обнаружение на основе аномалий, сегментация сети дополнительно укрепляет безопасность шины CAN, разделяя внутреннюю коммуникационную инфраструктуру автомобиля на изолированные сегменты.

Этот подход отделяет системы, критически важные для безопасности, такие как рулевое управление, торможение и подушки безопасности, от некритических систем, таких как информационно-развлекательные и телематические. Электронные блоки управления (ECU) шлюза обеспечивают строгие политики связи, ограничивая боковые движения и предотвращая распространение программ-вымогателей по сетям автомобиля.

Полный процесс системы обнаружения аномалий CAN в автомобиле

2. Аутентификация и шифрование сообщений

Аутентификация сообщений гарантирует, что сообщения поступают из легитимных источников и остаются неизменными во время передачи. Техники, такие как коды аутентификации сообщений на основе хеширования (HMAC), обеспечивают надежное и эффективное решение.

Чжан и др. (2021) продемонстрировали эффективность сочетания HMAC с алгоритмом шифрования Tiny (TEA), который предлагает сильную защиту от несанкционированных изменений сообщений и повторных атак, при этом накладывая минимальные затраты на производительность.

Кроме того, методы аутентификации на основе аппаратного обеспечения, такие как физические неклонируемые функции (PUF), используют уникальные производственные характеристики ECU для генерации безопасных криптографических идентификаторов, значительно снижая риски несанкционированного доступа.

Шифрование дополняет аутентификацию, защищая конфиденциальность сообщений, гарантируя, что только авторизованные ECU могут интерпретировать переданные данные.

Симметричные методы шифрования предпочитаются для использования в автомобилях из-за их минимальных вычислительных требований, что позволяет быстро и эффективно шифровать сообщения, подходящие для реальной связи.

Протоколы, такие как легковесные протоколы шифрования и аутентификации (LEAP), специально разработаны для автомобильных условий, обеспечивая баланс между надежной безопасностью и требованиями к производительности.

LEAP использует легковесные, улучшенные алгоритмы шифрования потоков для обеспечения одновременной аутентификации и шифрования, гарантируя безопасные CAN-коммуникации без значительных задержек или ограничений ресурсов.

3. Защищенные шлюзы и сегментация сети

Сегментация сети стала важной стратегией кибербезопасности для защиты автомобильных шины Controller Area Network (CAN) от киберугроз.

Этот подход включает в себя логическое разделение внутренней сети автомобиля на несколько изолированных сегментов, каждый из которых имеет свои протоколы безопасности.

Ограничивая связь между этими сегментами, сегментация эффективно минимизирует потенциал для злоумышленников перемещаться по сети, значительно ограничивая распространение угроз.

Даже если один сегмент будет скомпрометирован, сегментация гарантирует, что критические системы — такие как торможение, рулевое управление или контроль безопасности — останутся защищенными и не будут затронуты в операционном плане.

Современные реализации сегментации сети используют электронные блоки управления (ECU) шлюза, которые обеспечивают строгие правила связи и мониторят сетевой трафик в реальном времени.

Эти шлюзы действуют как специализированные контрольные точки безопасности, постоянно анализируя потоки сообщений на предмет аномальной или несанкционированной активности.

Если обнаруживается злонамеренное поведение, происходит немедленная изоляция затронутого сегмента, обеспечивая защиту критических функций.

Этот метод не только предотвращает эскалацию киберугроз, но и облегчает быструю реакцию и восстановление, поддерживая безопасность и операционную целостность автомобильных систем.

4. Безопасная загрузка и проверка целостности прошивки

Обеспечение целостности и подлинности прошивки имеет первостепенное значение для защиты шины Controller Area Network (CAN) от потенциальных киберугроз.

Два критически важных механизма, используемых для достижения этого, — это безопасная загрузка и проверка целостности прошивки. Эти процессы работают в тандеме, чтобы предотвратить выполнение несанкционированного кода и поддерживать доверие к внутрисистемным системам.

Безопасная загрузка: Установление цепочки доверия

Безопасная загрузка — это протокол безопасности, который гарантирует, что встроенная система автомобиля загружается только с использованием проверенного и доверенного программного обеспечения.

Он устанавливает цепочку доверия (CoT), начиная с неизменяемого корня доверия (RoT), встроенного в аппаратное обеспечение, который проверяет каждый последующий слой программного обеспечения перед выполнением.

Этот процесс предотвращает загрузку злонамеренного или поддельного кода во время последовательности загрузки. 

Цепочка доверия (CoT) проверяет доверенность, начиная с корня доверия (RoT).

Реализация безопасной загрузки включает в себя:

  1. Корень доверия (RoT): Неизменяемый компонент, часто хранящийся в памяти только для чтения (ROM), содержащий первоначальный код и криптографические ключи, необходимые для первого шага проверки. 

  2. Проверка загрузчика: RoT проверяет цифровую подпись загрузчика с использованием асимметричной криптографии (например, RSA или ECC). Если подпись действительна, загрузчик выполняется; в противном случае процесс загрузки останавливается. 

  3. Проверка операционной системы и приложений: Загрузчик, теперь доверенный, проверяет операционную систему и приложения аналогичным образом, гарантируя, что каждый компонент аутентифицирован перед выполнением.

Этот многоуровневый процесс проверки гарантирует, что загружается только аутентифицированное программное обеспечение, защищая сеть CAN от потенциальных киберугроз.

Проверка целостности прошивки: Обеспечение непрерывного доверия

Помимо начального процесса загрузки, проверка целостности прошивки непрерывно контролирует целостность прошивки во время выполнения. Это включает в себя:

  • Криптографическое хеширование: Генерация хеша кода прошивки и сравнение его с известным хорошим значением. Любое несоответствие указывает на потенциальное вмешательство. 

  • Цифровые подписи: Использование цифровых подписей для проверки того, что обновления прошивки поступают от доверенных источников и не были изменены во время передачи. 

Эти меры гарантируют, что любые несанкционированные изменения прошивки будут обнаружены своевременно, поддерживая безопасность сети CAN. 

Реализация в автомобильных системах

Реализация безопасной загрузки и проверки целостности прошивки в автомобилях включает в себя интеграцию этих механизмов в электронные блоки управления (ECU), которые управляют различными функциями внутри автомобиля. Эта интеграция требует:

  • Поддержка аппаратного обеспечения: ECU должны быть оснащены модулями аппаратной безопасности, способными выполнять криптографические операции, необходимые для безопасной загрузки и проверок целостности. 

  • Архитектура программного обеспечения: Программное обеспечение должно быть разработано для поддержки последовательностей безопасной загрузки и проверки целостности во время выполнения без ущерба для производительности. 

Исследование процессора сети автомобиля S32G274A продемонстрировало практическую интеграцию механизмов безопасной загрузки, защищенных от квантовых атак, подчеркивая осуществимость и важность этих мер безопасности в современных автомобильных системах. 

Заключение: Дорога вперед для кибербезопасности в автомобилях

Быстрая эволюция подключенных автомобилей принесла беспрецедентное удобство, но также выявила критические уязвимости в архитектуре шины CAN.

Поскольку киберугрозы продолжают расти в сложности, обеспечение безопасности автомобильных сетей больше не является опцией, это необходимость.

Исследования и реальные атаки, освещенные в этой статье, подчеркивают неотложную необходимость проактивной многоуровневой стратегии защиты.

Интегрируя обнаружение аномалий на основе ИИ, криптографическую аутентификацию, защищенные шлюзы и соблюдение нормативных требований, производители автомобилей могут укрепить безопасность шины CAN против новых киберугроз.

По мере развития технологий отрасль также должна инвестировать в перспективные решения, такие как постквантовая криптография, безопасность на основе блокчейна и самовосстанавливающиеся сети, чтобы оставаться на шаг впереди развивающихся векторов атак.

Будущее кибербезопасности в автомобилях зависит от совместных усилий между производителями, законодателями и экспертами в области кибербезопасности.

Только через постоянные инновации и бдительность мы можем гарантировать, что автомобили завтрашнего дня останутся безопасными, устойчивыми и надежными.

В этой высокостратегической битве кибербезопасности защита шины CAN — это не просто защита данных, это защита жизней на дороге.

Ссылки

  1. Миллер, К., & Валасек, К. (2015). “Удаленная эксплуатация неизмененного пассажирского автомобиля.”

  2. Пети, Ж., & Шладовер, С. Е. (2014). “Потенциальные кибератаки на автоматизированные автомобили.”

  3. Кошер, К., Ческис, А., Розенер, Ф. и др. (2010). “Экспериментальный анализ безопасности современного автомобиля.”

  4. Ву, С., & Ким, Дж. (2015). “Практический код аутентификации сообщений для безопасности шины CAN.”

  5. Чои, В., Ву, С., & Ким, Й. (2018). “Атаки отказа в обслуживании на сетях CAN.”

  6. Дорри, А., Канхере, С. С., Джурдак, Р., & Гаураварам, П. (2017). “Блокчейн для безопасности и конфиденциальности IoT.”

  7. Тхирулога, С., Куккала, В. К., & Пасрича, С. (2021). “Обнаружение аномалий на основе ИИ в автомобильных сетях.”

  8. Чжоу, Айго и Ли, Жэнью и Шэнь, Ён. (2019). Обнаружение аномалий сообщений шины CAN с использованием глубокой нейронной сети для автономных автомобилей.

  9. Чжан и др. (2021). “Метод аутентификации, сочетающий HMAC-SHA256 с алгоритмом шифрования Tiny для безопасности шины CAN.” SAE International.

  10. Сиддики и др. (2017). “Безопасная связь по шине CAN: рамка взаимной аутентификации на основе PUF.” ResearchGate.

Источники изображений

  • Источник изображения 1: Эмад Алива, Омер Рана, Чарит Переера и Питер Бернап. 2021. Кибератаки и меры противодействия для внутрисистемных сетей. ACM Comput. Surv. 54, 1, Статья 21 (январь 2022), 37 страниц. https://doi.org/10.1145/3431233

  • Источник изображения 2: Чжоу, Ли, Шэнь. (2019). Обнаружение аномалий сообщений шины CAN с использованием глубокой нейронной сети для автономных автомобилей. Прикладные науки. 9. 3174. 10.3390/app9153174.

  • Источник изображения 3: Исследовательская статья из embeddedcomputing “Безопасная загрузка: неотъемлемая функция безопасности для хранения кода, операционных систем и хранения данных” Ссылка: https://embeddedcomputing.com/technology/storage/secure-boot-an-integral-security-feature-for-code-storage-operating-systems-and-data-storage

Эта статья была первоначально опубликована 21 мая 2024 года.

Share: X/Twitter LinkedIn
#Кибербезопасность

Get new posts in your inbox

No spam. Unsubscribe anytime.