基于 CPN 的汽车 CAN 协议形式

化安全评估与改进
Formal safety evaluation and improvement of vehicle CAN protocol based on CPN

兰州理工大学硕士研究生论文开题答辩

答辩人：郑路 导师：冯涛研究员

专业：通信与信息系统 研究方向：网络与信息安全

1
 1 课题意义 2 研究现状

目录 拟解决问题
3 研究内容 4

5 拟研究方案 6 可行性创新点

2
课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

背景
汽车电子系统是汽车的核心构成，汽车联网其本质是
汽车电子 汽车电子系统的联网。现代汽车中汽车电子系统的成本最
高已占到整车成本的 70% 。

汽车传感器由分布在车辆周围的嵌入式电子控制单元
ECU （ ECU ）控制， ECU 用于控制汽车中一系列功能，例如
发动机控制、防抱死制动 (ABS) 和高级驾驶员辅助系统
(ADAS ）等。
背景

总线 ECU 通过称为总线的不同通信通道进行通信。如果不
能保障安全性，可能会对驾驶员和乘客造成更加严重的生
命威胁。

3
课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

背景 为了减少总线的复杂布线和成本，研究人员为不同类型的通

总线协议 信总线设计了特定的标准和协议，如 LIN 、 CAN 、 FlexRay

和 MOST ，这些协议有助于提高通信效率，被不同的汽车制
造商广泛使用。

背景

4
课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

背景 汽车电子系统涉及到的功能由内至外可以分为不同的
层次，各个层次对于安全的定义和需求也不尽相同。
规范的汽车系统架构将不同的功能区域进行合理的隔
离，分割为不同的安全区域。不同区域之间的信息流转加
以严格的控制，从而满足在车联网环境中汽车电子系统的
一系列网络安全要求。

背景

汽车电子网络安全参考架构
5
 课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点
BACnet 安全性问题研究现
状
汽车安全性问题研究现状

1. OBD 端口
2. 恶意节点 直接
攻击
1. 多媒体通信设备

短距离 间接攻
1. 蓝牙 远程攻 安全问题
击
2. WiFi 击
3. 无遥控门锁
4. 电子防盗系统
5. 胎压勘测系统
6. 车用自组织网络 长距离 1. 蜂窝网络
（ VANET ） 远程攻 2. GPS
击 3. 无线电信道（无线电数据系统、
传输信息信道）

6
 课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

CAN 体系结构研究现状
逻辑链路子层(LLC)
ISO/OSI模型 CAN节点电路 接收报文的选择
过载通知
功能电路 错误恢复功能
应用层
媒介访问控制子层(MAC)
Application 控制器
数据的打包/拆包
eg.P89V51Rx2 帧编码《填充、去填充)
错误检测及通知
串并行转换
数据链路层 CAN控制器 物理信号子层(PLS)
Data Link Layer eg.SJA1000 位编码、解码
位定时及同步
物理层 CAN收发器 物理介质连接(PMA)
Physical Layer eg.PCA82C51 驱动器、收发器
介质相关接口(MDI)
连接器

CAN-bus网络

CAN 体系结构层次图

CAN 是一种针对汽车电子的开放性的网络协议，为保证通信效率采用了
OSI 模型体系结构，定义了 3 层协议 : 物理层、数据链路层、应用层。
1 CAN 体系结构层次图如图所示。

7
 课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

CAN 协议安全研究现状

访问控制弱、没有身份验证、没有加密是造成 CAN 车内通信面临大量

威胁的主要原因，诸多学者对 CAN 网络通信协议进行了密码学安全改
2 进。

这些基于 CAN 的通信协议的安全研究缺乏形式化安全分析方法，有必要设

计出一种适用于 CAN 协议安全分析的形式化分析方法。
3

安全评估是 CAN 系统防御策略制定的依据，安全评估的准确性最终决

定了系统的稳定运行，有必要研究出一种基于协议状态的安全评估方法，
4 更加准确高效的反映系统协议行为状态。

8
 课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

协议关键字节的模型抽象
针对 CAN2.0B 唯一现有的帧级密钥管理方案，提取协议关键交
互流程，包括 : 初始会话密钥分发阶段 (ISDP) 、数据帧加密和认证阶
段 (DFP) 、会话密钥更新阶段 (SKUP) 进行协议建模。

消息流模型（ MSC ）
消息流模型是一种直观的消息交互图表，能够在协议分析
过程中表现出协议在各实体间完整的交互行为。
CPN 建模
形式
化评
估与 CPN 模型检测方法
改进 CPN 既有直观的图形表达方式，也有严格的数学表述方式，
CPN 可以同时对状态和行为特征进行显式的描述。有利于建立动态
安全评估 的协议模型，并有效地进行协议的模拟和安全性验证。

9
 课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

如何通过协议规范对实际的 CAN 进行基于逻辑方法的形式化建模，将所得逻辑

模型与基于模型检测的 CPN 建模方法融合，是安全评估模型建立的一个关键问
题。

测试环境中嵌入的新安全方案会对协议自身带来不确定的影响，如何在提升安全
性的前提下，保证协议性能的一致性，使新协议模型准确反应系统协议正常行为，
是安全改进工作中的一个关键问题 。

10
 课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

ISDP 协议消息流模型 MSC 建立方法

建立基于 CAN 的 IVN 配置，包括网关

ECU （ GECU ）和一组 ECU 。 GECU 是
IVN 的中央机构，负责在 ECU 和外部设备
之间建立和更新会话密钥。
ECU 和网关 ECU （ GECU ）通信协议
如图所示：

初始会话密钥分发 11
 课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

SKUP 协议消息流模型 MSC 建立方法

ECU 和网关 ECU （ GECU ）通信协议的交互流程如

图所示：

会话密钥更新

12
 课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

DFP 协议消息流模型 MSC 建立方法

CAN 数据帧的加密和认证的交互流程如图所示：

CAN 数据帧的加密和认证

13
 课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

CPN 安全评估工具

状态空间 OK
死状态

行为验证 安全验证
根据协议信息交
加入攻击者模型
互消息流建模
SML方法 CTL方法
爆炸 Fail 模型错误

CPN 原理示意图

14
 课题意义 研究现状 研究内容 拟解决问题 拟研究方案 可行性创新点

CPN 安全评估工具

CPN 原理示意图
状态空间分析报告 15
 研究背景 系统模型 问题分析 拟解决问题 拟研究方案 创新性

提出一种在汽车电子控制单元（ ECU ）上
分析安全协议的思路，此协议是 CAN 2.0B
唯一现有的帧级密钥管理方案，提取协议
创新一 关键交互流程，包括 : 初始会话密钥分发阶
段 (ISDP) 、数据帧加密和认证阶段
(DFP) 、会话密钥更新阶段 (SKUP) 进行协
议建模。
提出一种实际 CAN 协议运行基于协议状态
的 CPN 协议模型。通过将协议过程和协议
实体间通讯过程有机整合，建立协议的完
整通讯模型。该模型能够全面准确反应协 创新二
议的数据传输过程、数据加密过程、协议
交互过程，从而使协议的行为模型与协议
本身保持高度的一致性。

提出一种适用于 CAN 安全通信协议。针对

CAN 协议本身不包含加密身份认证的问题，
创新三 结合国内外学者的改进措施，添加安全机
制或相应的密码学算法对协议进行安全改
进，设计安全通信协议 。
16
 感谢各位老师批评指正
基于 CPN 的汽车 CAN 协议形式化安全评估与改进

17