[发明专利]一种CAN设备安全测试系统及测试方法

说明书

本发明涉及一种CAN设备安全测试系统及测试方法，基于一个现有的工控协议模糊测试平台，开发支持CAN高层协议的测试套件，测试套件包含基于测试脚本语法规则的DeviceNet协议测试脚本和CANopen协议测试脚本、以及与CAN被测设备进行协议数据交互的测试引擎，测试引擎能够自动解析包含变异策略的协议数据脚本，生成帧格式的测试数据包，并经扩展USBCAN接口卡发送给CAN被测设备，同时接收到CAN被测设备的返回数据；整个设计技术方案能够对高层协议进行高效测试，针对CAN被测设备的协议的健壮性，实现稳定验证。

技术领域

本发明涉及一种CAN设备安全测试系统及测试方法，属于工业信息化管理技术领域。

背景技术

随着互联网技术的发展，通信技术和控制技术的融合，传统的工业控制系统逐渐向网络化方向发展，更多的信息资源共享、更高效的数据处理技术、更快速的数据传输技术都为传统工控领域带来了飞速发展，但同时也带来了潜在的风险，传统封闭工控网络中的协议设备暴露在互联网中，如果遭到恶意攻击必然会导致整个系统网络不能正常工作，使企业客户遭受重大损失。为提高工控互联网系统的安全性和稳定性，提高系统中工控协议设备的健壮性，对协议设备进行有效地安全检测，及时采取措施是规避风险的有效途径。

CAN是一种用于实时应用、有效支持分布式控制系统的串行通信协议总线，为全球应用最广泛的现场总线之一。CAN协议最早是由德国博世公司在20世纪80年代专门为汽车行业开发的一种串行通信总线，由于该协议的高性能、高可靠性以及独特的CAN-bus总线技术而越来越受到重视,被广泛应用于工业控制领域。1991年CAN总线技术规范(Version2.0)制定并发布。其中2.0A给出了CAN报文标准格式，2.0B给出了标准的和扩展的两种格式，不同之处在于标准帧采用11位标识符，扩展帧采用29位标识符。CAN总线协议规范描述了五种不同的帧类型：数据帧、远程帧、错误帧、过载帧和帧间隔。数据帧和远程帧结构类似，根据标识符长度分标准帧和扩展帧，一帧传输数据量最大为8字节，这种短帧结构使得CAN-bus总线实时性很高、抗干扰能力强，适用于汽车和工控应用。CAN-bus的错误帧共有五种类型：CRC错误、格式错误、应答错误、位发送错误和位填充错误。过载帧用于接受节点未做好接收下一帧数据准备时发送给发送节点，由过载标志和过载帧界定符组成。帧间隔用于数据帧或远程帧与前一帧分离，过载帧和错误帧前面没有间隔。

CAN总线的这种短帧结构传输方式的优越性使得现场总线成为工控系统领域发展的必然趋势，基于CAN总线产生了DeviceNet和CANopen高层协议标准，目前在工控系统中得到广泛应用。DeviceNet协议是基于CAN总线技术并符合全球工业标准的开放型通信网络，DeviceNet规范定义了一个网络通信标准，使得工业控制系统的各个设备之间可以进行数据通信，除了提供ISO模型应用层定义以外，还定义了部分物理层和数据链路层。DeviceNet的应用层协议采用的是通用工业协议CIP。

CANopen是架构在CAN上的高层通讯协定，是基于CAN-bus分布式工业控制技术的标准，由生产厂商和用户联合CiA共同开发。CANopen实现了OSI模型中的网络层以上(包括网络层)的协定。CANopen已经在广泛的工业通信上建立了标准，CANopen标准包括寻址方案、数个小的通讯子协定及由设备子协定所定义的应用层。CANopen支持对象字典(对象字典是每个CANopen设备中心元素并描述设备的功能)、设备描述(描述自动控制系统中主要设备类型的属性和特点)、使用PDO/SDO进行数据传输(PDO处理段过程数据的快速交换，通过SDO访问对象字典的入口)、网络管理(用来管理网络设备的状态)。

以上两个CAN高层协议都是CAN总线技术在工业领域的应用，CAN总线安全风险在于：1、通信缺乏加密和访问控制机制，可被攻击者逆向总线通信协议，分析出协议控制指令，用于攻击指令伪造；2、通信缺乏认证及消息校验机制，不能对攻击者伪造、篡改的异常消息进行识别和预警。鉴于CAN总线的特性，攻击者可通过物理侵入或远程侵入的方式实施消息伪造、拒绝服务、重放等攻击。如果CAN高层协议设备本身存在协议安全漏洞，那么攻击很容易造成设备故障，或者信息泄露。