基于MBD的商用車終端遠(yuǎn)程控制安全系統(tǒng)研究

【摘" 要】當(dāng)前商用車遠(yuǎn)程控制功能存在各類安全隱患，在通信過程中會面臨信息截獲、假冒攻擊的威脅，這些威脅將會導(dǎo)致車聯(lián)網(wǎng)的可用性大大降低。文章通過遠(yuǎn)程控制功能場景的研究，基于已有的車載終端平臺，通過模型開發(fā)方法，設(shè)計(jì)并實(shí)現(xiàn)一個應(yīng)用于商用車的遠(yuǎn)程控制安全系統(tǒng)，并對該系統(tǒng)的功能和性能進(jìn)行測試。測試結(jié)果表明該系統(tǒng)具有一定通信保密性、消息完整性和正確性等功能，在確保商用車遠(yuǎn)程控制功能時效性的前提下，提升商用車遠(yuǎn)程控制功能的有效性和安全性。

【關(guān)鍵詞】遠(yuǎn)程控制；車聯(lián)網(wǎng)；密鑰；加密；MBD

中圖分類號：U463.6" " 文獻(xiàn)標(biāo)識碼：A" " 文章編號：1003-8639（ 2024 ）08-0051-03

Research on a Remote Control Security System for Commercial Vehicle Terminals Based on MBD

REN Jingyuan，DU Bin，HOU Rui

（Shaanxi Tianxingjian IoV Information Technology Co.，Ltd.，Xi′an 710200，China）

【Abstract】The current remote control function of commercial vehicles has various security risks. During the communication process，the remote control function may face threats，such as information interception and counterfeit attacks. These threats will greatly reduce the availability of the Internet of Vehicles. Based on the research of remote control function scenarios and existing vehicle terminal platforms，this paper designs and implements a remote control security system by using model-based development approach. And the system was tested and analyzed to verify the reliability and validity. The test results indicate that the system has the capacity to improve communication confidentiality，message integrity，and correctness. The system improves the effectiveness and security of commercial vehicle remote control functions without time delay.

【Key words】remote control；internet of vehicles；key；encryption；MBD

作者簡介

任靜媛，女，工程師，碩士，主要從事車聯(lián)網(wǎng)終端嵌入式軟件開發(fā)工作；杜彬，男，工程師，主要從事車聯(lián)網(wǎng)終端產(chǎn)品項(xiàng)目管理及規(guī)劃工作；侯瑞，男，助理工程師，主要從事車聯(lián)網(wǎng)終端軟件平臺開發(fā)工作。

1" 引言

隨著汽車智能化、網(wǎng)聯(lián)化的快速發(fā)展，網(wǎng)絡(luò)技術(shù)在汽車領(lǐng)域得到了廣泛的應(yīng)用。車載智能終端作為信息交互的關(guān)鍵節(jié)點(diǎn)，從單一的數(shù)據(jù)采集逐漸轉(zhuǎn)變?yōu)榭蔀橛脩籼峁└黝愵A(yù)警、定位跟蹤、主動車況查詢、遠(yuǎn)程控制等服務(wù)的車載設(shè)備。但是車聯(lián)網(wǎng)應(yīng)用程度的持續(xù)提升，對網(wǎng)絡(luò)安全造成影響的因素也在逐漸增加，出現(xiàn)了信息泄露、數(shù)據(jù)篡改、非法控制等安全隱患。為保障車聯(lián)網(wǎng)技術(shù)應(yīng)用的安全性，中國工信部先后頒布了《重型車排放遠(yuǎn)程監(jiān)控技術(shù)規(guī)范》《電動汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范》《智能網(wǎng)聯(lián)汽車遠(yuǎn)程服務(wù)與管理系統(tǒng)技術(shù)規(guī)范》，針對傳統(tǒng)車和電動車的車輛遠(yuǎn)程控制安全技術(shù)勢在必行。當(dāng)下，越來越多的車輛推出遠(yuǎn)程控制功能，通過手機(jī)遠(yuǎn)程控制終端，開關(guān)空調(diào)、啟停車輛、開鎖門等，在車輛便捷性提升的同時，車輛被非法操縱的安全風(fēng)險一直存在。

本文采用基于模型的開發(fā)方法，通過雙重認(rèn)證、敏感信息加密、目標(biāo)地址過濾等方式，降低終端授權(quán)遠(yuǎn)程控制發(fā)生信息泄露的可能性。

2" 遠(yuǎn)程控制安全體系結(jié)構(gòu)

本文所述遠(yuǎn)程控制安全系統(tǒng)按照持續(xù)校驗(yàn)、指令校驗(yàn)、源地址過濾、密碼對比、結(jié)果記錄的流程對遠(yuǎn)程控制命令進(jìn)行加密校驗(yàn)，構(gòu)建完善的遠(yuǎn)程控制校驗(yàn)系統(tǒng)，實(shí)現(xiàn)了控制流程的閉環(huán)，提升終端安全性。遠(yuǎn)程控制安全系統(tǒng)工作流程如圖1所示。系統(tǒng)在車輛上電時及上電后，按照一定時間間隔與指定車載控制器校驗(yàn)，并對校驗(yàn)的結(jié)果進(jìn)行記錄，錯誤次數(shù)超過閾值后限制當(dāng)前可執(zhí)行指令。系統(tǒng)根據(jù)當(dāng)前車輛的配置信息對指令值進(jìn)行有效性校驗(yàn)，超出范圍的指令終端將直接丟棄，不執(zhí)行。系統(tǒng)將指令下發(fā)至車輛執(zhí)行端，并對執(zhí)行端反饋的延時、反饋的信息、執(zhí)行端的源地址進(jìn)行校驗(yàn)，如發(fā)生超時或反饋錯誤，則中止此次指令。系統(tǒng)按照固定密鑰+隨機(jī)密鑰的方式計(jì)算密碼，并等待執(zhí)行端返回結(jié)果。系統(tǒng)記錄并反饋過程及結(jié)果數(shù)據(jù)。指令執(zhí)行結(jié)束后，無論是否成功，均回到空閑狀態(tài)，等待下次指令觸發(fā)。

遠(yuǎn)程控制系統(tǒng)的目的是實(shí)現(xiàn)車輛的遠(yuǎn)程操控，本文提出的以信息處理為基礎(chǔ)的遠(yuǎn)程控制系統(tǒng)安全校驗(yàn)機(jī)制，利用原有的終端設(shè)備平臺，實(shí)現(xiàn)了控制源、控制過程及控制結(jié)果的統(tǒng)一管理。

遠(yuǎn)程控制安全系統(tǒng)采用基于模型設(shè)計(jì)的方法進(jìn)行開發(fā)。近10年來，基于模型的設(shè)計(jì)（Model Based Design，MBD）在航空、汽車等先進(jìn)制造業(yè)中獲得了廣泛的應(yīng)用。如圖2所示，MBD以V流程為基礎(chǔ)，以模型為中心，通過搭建模型在系統(tǒng)開發(fā)的各個階段進(jìn)行高效、便捷的循環(huán)驗(yàn)證。通過模型開放、靈活的集成方式，遠(yuǎn)程安全控制系統(tǒng)中的加密算法以庫的形式通過C、C++、Python等多種語言單獨(dú)開發(fā)并集成。利用MBD技術(shù)進(jìn)行遠(yuǎn)程控制安全系統(tǒng)的軟件功能開發(fā)，大幅降低了軟件開發(fā)的難度，提升代碼品質(zhì)，縮短開發(fā)周期。

3" 遠(yuǎn)程控制安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

3.1" 遠(yuǎn)程控制安全系統(tǒng)總體設(shè)計(jì)

本文遠(yuǎn)程控制安全系統(tǒng)基于MBD的開發(fā)環(huán)境，實(shí)現(xiàn)控制模型的設(shè)計(jì)、仿真和控制程序的自動化生成。

遠(yuǎn)程控制安全系統(tǒng)包括控制終端與外部執(zhí)行端校驗(yàn)流程的校驗(yàn)機(jī)制，密鑰分配及加密算法的計(jì)算，指令I(lǐng)D的有效性校驗(yàn)及執(zhí)行端身份驗(yàn)證。系統(tǒng)通過總線、無線通信與車載設(shè)備及數(shù)據(jù)平臺進(jìn)行通信，獲取控制流程及算法所需的信號，如指令值、密鑰、執(zhí)行結(jié)果、指令請求狀態(tài)，用以計(jì)算得出安全系統(tǒng)的工作狀態(tài)及密碼。遠(yuǎn)程控制安全系統(tǒng)示意圖如圖3所示。

3.2" 安全校驗(yàn)機(jī)制

安全校驗(yàn)機(jī)制的主要功能是通過CAN總線控制執(zhí)行端的校驗(yàn)流程。系統(tǒng)發(fā)起校驗(yàn)的來源有兩類：遠(yuǎn)程信息管理平臺和系統(tǒng)主動校驗(yàn)，遠(yuǎn)程信息管理平臺發(fā)起的校驗(yàn)請求來自于用戶的操作，需攜帶具體的指令I(lǐng)D；系統(tǒng)主動發(fā)起的校驗(yàn)不攜帶具體的控制指令，僅用于確認(rèn)系統(tǒng)與執(zhí)行端的通信是否正常、連續(xù)。針對上述兩種校驗(yàn)來源，系統(tǒng)均采用同一安全校驗(yàn)流程，主動校驗(yàn)的優(yōu)先級高于遠(yuǎn)程信息管理平臺的校驗(yàn)。圖4是遠(yuǎn)程信息管理平臺校驗(yàn)成功流程，圖5是主動校驗(yàn)失敗流程。

首先，用戶通過手機(jī)APP操作遠(yuǎn)程控制車輛后，系統(tǒng)通過無線通信獲取遠(yuǎn)程信息管理平臺下發(fā)指令并將指令信息的請求發(fā)送至執(zhí)行端。執(zhí)行端根據(jù)自身狀態(tài)返回狀態(tài)信息及隨機(jī)密鑰。系統(tǒng)使用密鑰通過加密算法計(jì)算密碼，并將密碼與執(zhí)行端的計(jì)算結(jié)果進(jìn)行比較，系統(tǒng)向遠(yuǎn)程信息管理平臺上報記錄比較結(jié)果及失敗原因，用戶從平臺獲取結(jié)果。至此，遠(yuǎn)程信息管理平臺校驗(yàn)流程執(zhí)行結(jié)束。

遠(yuǎn)程控制安全系統(tǒng)在車輛上電后，周期性地發(fā)起主動校驗(yàn)，確認(rèn)執(zhí)行端與系統(tǒng)通信正常，防止其他未授權(quán)終端篡改指令執(zhí)行信息。此流程中校驗(yàn)請求由系統(tǒng)發(fā)起，系統(tǒng)根據(jù)自身時鐘模塊對校驗(yàn)間隔進(jìn)行判斷。若本次校驗(yàn)通過，終端會向遠(yuǎn)程信息管理平臺上報成功的消息，并修改自身存儲的結(jié)果及成功的次數(shù)。若出現(xiàn)嚴(yán)重故障，即失敗次數(shù)超過限值，系統(tǒng)會限制車輛使用，向遠(yuǎn)程信息管理平臺上報預(yù)警信息，并在平臺對車輛作失敗記錄。

3.3" 密鑰及加密算法

為了確保遠(yuǎn)程控制的安全運(yùn)營，加密驗(yàn)證技術(shù)是必不可少的。密鑰是加密驗(yàn)證技術(shù)的核心，遠(yuǎn)程控制安全系統(tǒng)通過固定密鑰與隨機(jī)密鑰組合的動態(tài)加密方式提升系統(tǒng)的安全性。固定密鑰采用預(yù)分配方式分別存儲于系統(tǒng)及執(zhí)行端內(nèi)部，隨機(jī)密鑰由執(zhí)行端通過總線發(fā)送至安全校驗(yàn)系統(tǒng)。

考慮到控制指令的實(shí)時性及系統(tǒng)運(yùn)行的穩(wěn)定性，安全校驗(yàn)系統(tǒng)選用小型機(jī)密算法。為提升系統(tǒng)的靈活性，設(shè)計(jì)加密算法數(shù)據(jù)交互層，密鑰、密鑰長度、密碼、密碼長度、密碼計(jì)算使能狀態(tài)均以接口形式定義，加密算法以源碼、庫等多種形式調(diào)用、替換。具體計(jì)算步驟如下。

1）密鑰填充，使用內(nèi)部存儲密鑰與總線接收的隨機(jī)數(shù)密鑰進(jìn)行組合，組合為長度64位的密鑰。

2）判斷密碼計(jì)算使能是否有效，有效時使用處理后的密鑰通過加密算法計(jì)算密碼。

3）將輸出的密碼與掩碼進(jìn)行異或運(yùn)算，對異或運(yùn)算后的密碼進(jìn)行移位，得出最終的認(rèn)證密碼。

基于密鑰的動態(tài)處理機(jī)制，遠(yuǎn)程控制安全系統(tǒng)有效避免了密鑰竊取、數(shù)據(jù)篡改和重放攻擊。通過設(shè)計(jì)通用數(shù)據(jù)交互層，對加密算法進(jìn)行隔離，如替換新的加密算法，無需進(jìn)行二次或適應(yīng)性開發(fā)，直接替換算法庫或源碼即可，便于系統(tǒng)的維護(hù)和移植。

加密算法的開發(fā)方式不局限于某一語言或方法，可采用源碼、模型、庫等多種方式開發(fā)，系統(tǒng)靈活性較高。

3.4" 指令I(lǐng)D及執(zhí)行端身份驗(yàn)證

為進(jìn)一步提升遠(yuǎn)程控制安全系統(tǒng)的正確性及穩(wěn)定性，在系統(tǒng)內(nèi)部預(yù)置了有效指令I(lǐng)D表（表1）和指令I(lǐng)D對應(yīng)執(zhí)行地址表（表2）。系統(tǒng)對遠(yuǎn)程信息管理平臺下發(fā)的指令進(jìn)行有效性判斷，如指令I(lǐng)D存在于內(nèi)置有效指令表內(nèi)，則執(zhí)行后續(xù)流程；如指令I(lǐng)D不存在，則系統(tǒng)將直接丟棄指令，并反饋執(zhí)行失敗結(jié)果。

系統(tǒng)發(fā)出指令校驗(yàn)后，查找指令I(lǐng)D對應(yīng)執(zhí)行地址表，得出目標(biāo)執(zhí)行源地址，對反饋信息的執(zhí)行端進(jìn)行源地址校驗(yàn)，如不符合查表結(jié)果，則直接忽略反饋信息。

4" 測試驗(yàn)證

本文基于嵌入式硬件平臺對上述功能進(jìn)行測試及性能驗(yàn)證，測試軟硬件環(huán)境為：內(nèi)存64kB，頻率112MHz，測試輔助工具CANoe。

從功能測試及性能測試兩個方面完成遠(yuǎn)程控制安全系統(tǒng)的驗(yàn)證。功能測試包括校驗(yàn)流程的數(shù)據(jù)交互、密鑰和密碼的服務(wù)調(diào)用等，性能測試包括系統(tǒng)各流程階段完成一次完整運(yùn)算所需的時間、占用的計(jì)算資源等。

從表3功能測試結(jié)果可知，軟件實(shí)現(xiàn)的校驗(yàn)請求發(fā)送、密碼計(jì)算、結(jié)果上報等功能，能確保控制指令信息的正確性和合理性，滿足安全控制的需求。

為保證遠(yuǎn)程控制的時效性要求，校驗(yàn)各步驟時間要求在一個運(yùn)行周期，即10ms內(nèi)完成。由表4可知，安全校驗(yàn)流程處理時間較為穩(wěn)定，基本都在2～3ms以內(nèi)，密碼計(jì)算的時間也較為穩(wěn)定，基本維持在4ms以內(nèi)，滿足控制指令實(shí)時校驗(yàn)的性能要求。

由上述結(jié)果可知，遠(yuǎn)程控制安全系統(tǒng)可以有效地實(shí)現(xiàn)安全校驗(yàn)和加解密操作，保障遠(yuǎn)程控制指令傳輸執(zhí)行的安全性，且本機(jī)制工作效率較高，可抵擋外部數(shù)據(jù)篡改、重放等攻擊，在不增加硬件成本的基礎(chǔ)上，滿足遠(yuǎn)程控制的安全需求。

5" 總結(jié)

本文基于MBD方法實(shí)現(xiàn)了遠(yuǎn)程控制安全系統(tǒng)的開發(fā)及測試，對總線網(wǎng)絡(luò)存在的安全威脅進(jìn)行了分析并提出了安全校驗(yàn)機(jī)制，并增加了小型的加密認(rèn)證算法，最后對系統(tǒng)進(jìn)行了功能驗(yàn)證和性能測試，驗(yàn)證了系統(tǒng)的正確性及工作效率，可滿足遠(yuǎn)程控制信息傳輸?shù)陌踩ｒ?yàn)需求。

參考文獻(xiàn)：

[1] 趙子垚. 《中國商用汽車產(chǎn)業(yè)發(fā)展報告（2022）》發(fā)布[J]. 汽車縱橫，2022（8）：27-31.

[2] 羅禹. 基于加密算法的車載CAN總線安全通信研究[D]. 長沙：湖南師范大學(xué)，2020.

[3] 于柯實(shí). 探討大數(shù)據(jù)時代計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J]. 信息系統(tǒng)工程，2023（9）：130-133.

[4] 朱亭諾，劉聰. 面向服務(wù)架構(gòu)的汽車信息安全設(shè)計(jì)研究[J]. 汽車電器，2022（9）：46-48.

（編輯" 楊凱麟）