星期六, 02 10月 2021 12:24

电动汽车的车型复杂多样 TBOX如何做好汽车的总线数据功能协议适配

一般可以借助 CANalyst-II 总线报文收发器工具与汽车的 CAN 总线相连,可以获取到 CAN总线上广播的 CAN 数据包。通过 CanTest 软件可以实时的观察到 CAN 总线上正在发送的数据包。

从大量的 CAN 数据包中进行逆向分析,找到汽车车身的控制指令对应的是哪一个 CAN ID,逆向分析出这样 CAN 数据包所代表的含义,这是最基本也是最重要的一步。逆向出了这些车身控制的数据包指令信息后,了解这些数据包的工作原理。根据这些数据包的工作原理,制定出可行性攻击策略。例如:

对于车身的某一项功能的控制,只需要一个 CAN ID 的数据包即可达到控制效果,对于这种情况,只需要单纯的重放这一个数据报即可达到攻击的目的,控制汽车车身的某一项功能。对于车身的某一项功能的控制,可能需要多个 CAN ID 的数据包联合才能控制。构造一个这样的 CAN ID 数据包,设定发送间隔发送到 CAN 网络当中,间隔的制定是为了绕过 ECU 的时间检测机制。

某些的 CAN ID 数据包中带有计数器,我们所谓的心跳包,在攻击的时候必须加上计数器,才能绕过系统检查。编写一个脚本程序模拟 CAN ID 数据包数据位的变化规律,将这样的数据发送到 CAN 总线当中等等。

数据包上一共 8 位,每一位上的字节代表什么。例如速度表上的数值,是 CAN 数据包数据位某几位数值,带入一个计算公式计算出来的,前两位数值相加与第四位数值的乘积为当前的车速值。对于这种数据包的破解,我们需要大量收集这个数据包,逆向出来这个公式。

CanTest 的 DBC(数据库功能)功能逆向数据包所代表的指令,DBC 功能能够显示当前总线中有多少种 CAN ID。在汽车作出动作指令后,CAN ID 的报文是如何进行变化的,DBC 会把变化的部分标成红色。通过观察哪一个 CAN ID 在汽车发出指令后发生变化(这种变化通常只在瞬间),来确定此项车身控制指令对应的是哪一个 CAN ID。

以车门数据为例,通过改变车门的开关状态,利用 DBC 进行观察。在车门改变开关状态的同时,观察是哪一个 CAN ID 发生了变化,从而确定和车门状态相关的 CAN ID是哪一个。测试环境说明:汽车未启动,车内一切电器设备保持原有状态,只对车门状态进行改变,DBC 界面如图:

 t box can id 01


通过实验统计发现车门的开关状态和数据位的第一位的第二个字节有关:

** ** ** 10 04 19 02 FF。

四个车门正好有 16 种状态,第一位的第二个字节正好能全部表示,如下表 3-2 所示:√表示车门开,×表示车门关。

 

t box can id 02

查看 3008