CAN总线系统中的一种安全隐患精品.pdfVIP

雎 CAN息线系统中的一种安全隐患 ■ 重庆工业 自动化仪表研究所 杨 福 宇 ． 。 一 在 CAN消极报错帧分界符 中发生的格式错会 引起该消极报错节点处于等效离线状态，以及 由该节点发 “’ 送的消息优先级逆转。本文讨论 了发生此 问题的情景、后果以及解决方案。 关键词 CAN 报错帧分界符 优 先级逆转 CAN是最成功 的现场总线 ，特别是在汽车工业 的应 帧将在总线上叠合 ，虽然 比特流的解释对该消极报错节点 用方面。仅 2006年一年 ，CAN有关的控制器 出货量超过 和其他节点而言是不 同的，但两种帧分界符的结束时刻是 5亿个 ]。在过去 16年里 ，有许多关于 CAN在安全攸关 一 样 的。所有节点都会在此刻复位 CAN协议状态机 的 的系统中应用时的安全 问题 的研究。其 中大部分是针对 状态 ，使它 回到开始服务 间隔的状态。这解释 了Bosch 因CAN事件触发通信的性质弓l起 的时间延迟 问题 ，以及 CAN协议的说 明。但如果对 3位总线空闲时间没有保 数据帧帧结束域倒数第 2位 出错时造成 的节点问消息不 证 ，那又该如何呢? 一 致的问题 。有些研究着力于解决 CAN系统 中的Babb— 对报错帧分界符格式错 的检查在 国际标准化组织 lingIdiot问题 ，尚未见到有关源于标准协议设计本身的严 (IS())的标准 ISO16845l3中有 明确 的规定 ：在消极报错 帧 重 问题的相关文献 。 分界符 中的任何显位是一种格式错。第 7．5．6款和 8．5． 13款是对应消极报错接收节点和消极报错发送节点消极 1 出错的情况 报错帧分界符格式错的测试方法，第 7．6．12款和8．6．9款 在 CAN协议 2．OA版 3．1．3款中提到 ：为 了使报错 是消极报错节点消极报错帧分界符查到格式错时，接收错 帧正确结束 ，消极报错节点可能需要处于空闲状态至少 3 计数器与发送错计数器增加机制的检查方法 。因此 ，消极 位 的时间(如果消极报错接收节点发生本地错)，因此总线 报错节点与其他节点不同步时，另一个节点开始发送新消 不应满负荷运行 。这是引发应用故障的原因。节点间并 息，其 SOF将被该消极报错节点视为消极报错帧分界符 无时间同步 ，因而即便总线有空闲时间，也不能保证像上 内的格式错。它将在其他节点新帧传送过程 中开始一个 述要求那样的分布 。在总线的利用率较低时，挂起待发 的 新的消极报错帧，新的消极报错标志将在其他节点新帧的 消息将在服务间隔 (intermission，缩写为 I．M．)后立 即发 EOF部分得到确认 ，新消极报错帧分界符再一次延续到 送 。这在标准中也有规定 ：在另一条消息发送过程 中挂起 超过其他节点服务间隔之后。只要挂起的消息未发完 ，这 一 过程将不断重复 。在此时间段里 ，消极报错节点不能接 待发的消息在服务 间隔后 的第一位启动 (发送)。 现在考虑一种情况 ：由于 电磁干扰 ，某消极报错节点 收或发送任何消息，因为它总在不断发送消极报错帧。这 发生一个本地错 (其他节点未发现有错)，它就发一个消极 延迟 了该节点应发送 的消息，而不管消息的优先级有多 高，也就引起了优先级逆转 。由于 电磁干扰 的随机性 ，无 报错标志 (P．E．Flag)。因为是隐位 ，其他节点对这个消极 报错标志也无响应 。这一消极报错帧的报错标志在数据 法对系统进行调度分析 。这个消极报错节点有 2种可能 帧ACK分界符后的E0F部分得到确认 (如图 1所示)，但 的方式退 出循环 。如果在后面不断发送的新