CAN总线简介:如何以编程方式控制汽车

最近,我正与Voyage公司的朋友合作研究,以实现福特Fusion空调系统(A/C)的编程控制。目前,Voyage公司正努力打造自动驾驶的终极目标:能够以低廉的价格成本和广泛的投放范围,把世界任何地方有用车需求的人们安全自动地送达目的地。对Voyage来说,在真正实现不需司机的无人驾驶之后,必须给予后座乘客对车辆关键功能的访问控制权。

Voyage Auto:硅谷自动自动驾驶出租车初创公司,由专注机器学习、人工智能等方面的在线培训机构Udacity于2017年4月成立,在无人驾驶领域,Voyage将与谷歌、特斯拉、Uber展开竞争。目前,Voyage已完成首轮种子融资和测试车辆外观研发。

CAN-Bus简介

CAN-Bus全称为“控制器局域网总线技术(Controller Area Network-Bus)”,是ISO国际标准化的串行通信协议,最早由德国BOSCH公司1983年开发,并最终成为国际标准(ISO 11898),是全球应用最广泛的现场总线之一。 在北美和西欧,CAN总线协议已经成为汽车计算机控制系统和嵌入式工业控制网络的标准协议。

现代汽车拥有大量控制系统,这些控制系统基于web技术开发并在多种微服务处理中发挥作用,如安全气囊、刹车、巡航控制、电动助力转向、音响系统、电动车窗、门、后视镜调整按钮、电池和充电系统等。这些系统需要相互通信和状态读取,因此CAN-Bus协议被开发并派上用场,如同为汽车配置了神经系统。

可以把CAN-Bus认为是汽车用来进行传感器数据传递的简单网络,它完美地集成了各种复杂部件,从而在汽车使用中展示和实现了各种我们所想所愿的各种新型功能。以下为1988年款的宝马8系,这是全球第一台采用CAN总线的汽车:

自动驾驶汽车与其CAN-Bus

随着自动驾驶技术的的飞速发展,CAN-Bus的应用概念也变得非常普及。为什么呢?因为很多自动驾驶公司并不会大规模地从头制造无人汽车,而是把关注点放在编程控制车辆方面。而通过汽车CAN-Bus协议的逆向工程分析,无人汽车工程师可以利用软件方式实现对汽车的命令发送控制,如转向、加速和刹车等。

通过使用类似激光雷达(LIDAR)这样的传感器,无人汽车就具备了超凡的“感知”世界的能力,车内微型PC可以就引导、加速、刹车等动作做出决定。因为自动驾驶技术的要求非常高,因而Voyage选择了福特Fusion电传线控方式(drive-by-wire!)来传递汽车控制讯号。可以点此阅读更多内容。

破解福特Fusion的CAN-Bus

开始破解福特Fusion温度控制系统时,《汽车黑客手册》成了我的研究参考首选。在深入之前,让我们来看看《汽车黑客手册》第2章描述的三个重要概念:总线协议、CAN总线协议、CAN帧。

CAN-Bus

CAN协议自1994年以来就成为了美国汽车和轻卡的一个行业标准,但分别在2001年和2008年才陆续成为欧盟和美国汽车工业制造的强制性标准。总体来说,CAN-Bus分为一条CAN high (CANH) 线和一条CAN low (CANL)线,通过差分信号传输,当信号传递进入时,CAN在CANH线中升压信号保持高电平,而在CANL中降压等量信号形成低电平状态。

这种差分信号传输方式一般用于对噪声有容错能力要求的环境,如汽车制动系统和生产制造行业中。以下为示波器中观察到的原始CAN信号:

也就是说,通过CAN-Bus传输的数据包不是标准的,每个CAN-Bus数据包包括四个主要部分:

Arbitration ID :用于标识发起通信请求的设备ID广播消息,并且任何一个设备组件都能发起多个Arbitration ID,如果两个CAN数据包同一时间在总线Bus内传输,则Arbitration ID较小的数据包先获得总线使用权,先被传输。 Identifier extension(标识符扩展,IDE) :对标准CAN协议来说,这个数据位总是为o; Data length code (数据长度代码,DLC): 代表数据的大小,从0到8字节不等; Data(数据): 传输数据本身,标准CAN总线可以承载最大数据包为8字节,但有些系统也强制使用8字节进行数据包填充。

标准CAN包格式

CAN帧

一辆车内有多种CAN总线,为了实现A/C系统的打开和关闭,我们需要找到正确的CAN运行总线,以福特Fusion来说,其中至少标记有4个总线,其中3个为运行500kbps的高速率CAN总线HS1、HS2、HS3,1个为运行125kbps的中速CAN总线MS。

OBD-II接口具备两种这类型CAN总线:HS1和HS2,但为了以防一些恶意命令,它们都是被阻断状态的。但在来自Voyage的Alan帮助下,我们彻底把OBD-II这个限制问题翻转解决了,我们发现了直接访问HS1、HS2、HS3和MS的方式。关键在于OBD-II接口背后,一个所有总线汇总,叫做网关模块(Gateway Module)的部件上。以下为Voyage第一辆无人驾驶出租车Homer后座控制接口概览:

由于A/C系统可以通过汽车的媒体界面(SYNC)进行更改,所以,我们直奔MS中速总线而去。但是我们如何才能让电脑可以读写CAN数据包呢?答案就是SocketCAN,这是一个由大众公司向Linux内核基金会研发的开源CAN驱动和网络栈协议集。

我们可以把车辆的GND、MSCANH、MSCANL3条线连接到Kvaser Leaf Light HSv2和CANable设备中,然后在另一端,使用安装有较新版本Linux内核的电脑连接,把CAN总线作为网络设备识别加载:

modprobe can modprobe kvaser_usb ip link set can0 type can bitrate 1250000 ifconfig can0 up

Kvaser Leaf Light HSv2亚马逊售价300美金,CANable在Tindie售价25美金,以下为中速总线MSCAN部件图:

GND:地线,公共接地线; MSCAN:中速总线,也称飞思卡尔控制器局域网总线,是BOSCH公司定义的CAN2.0和CAN3.0协议下的CAN总线控制器,是当前汽车控制器中流行的CAN控制框架。MSCANH、MSCANL为其高电平和低电平线。 Kvaser Leaf Light HSv2是一个用于CAN的单通道USB接口,它能够方便地把几个接口连接到标准的PC机上。

加载之后,我们可以尝试使用candump can0命令,分析其中的流量情况:

can0 33A [8] 00 00 00 00 00 00 00 00 can0 415 [8] 00 00 C4 FB 0F FE 0F FE can0 346 [8] 00 00 00 03 03 00 C0 00 can0 348 [8] 00 00 00 00 00 00 00 00 can0 167 [8] 72 7F FF 10 00 19 F8 00 can0 3E0 [8] 00 00 00 00 80 00 00 00 can0 167 [8] 72 7F FF 10 00 19 F7 00 can0 34E [8] 00 00 00 00 00 00 00 00 can0 358 [8] 00 00 00 00 00 00 00 00 can0 3A4 [8] 00 00 00 00 00 00 00 00 can0 216 [8] 00 00 00 00 82 00 00 00 can0 3AC [8] FF FF FF FF FF FF FF FF can0 415 [8] 00 00 C8 FA 0F FE 0F FE can0 083 [8] 00 00 00 00 00 01 7E F4 can0 2FD [8] D4 00 E3 C1 08 52 00 00 can0 3BC [8] 0C 00 08 96 01 BB 27 00 can0 167 [8] 72 7F FF 10 00 19 F7 00 can0 3BE [8] 00 20 AE EC D2 03 54 00 can0 333 [8] 00 00 00 00 00 00 00 00 can0 42A [8] D6 5B 70 E0 00 00 00 00 can0 42C [8] 05 51 54 00 90 46 A4 00 can0 33B [8] 00 00 00 00 00 00 00 00 can0 42E [8] 93 00 00 E1 78 03 CD 40 can0 42F [8] 7D 04 00 2E 66 04 01 77 can0 167 [8] 72 7F FF 10 00 19 F7 00 can0 3E7 [8] 00 00 00 00 00 00 00 00 can0 216 [8] 00 00 00 00 82 00 00 00 can0 415 [8] 00 00 CC F9 0F FE 0F FE can0 3A5 [8] 00 00 00 00 00 00 00 00 can0 3AD [8] FF FF FF FF FF FF FF FF can0 50B [8] 1E 12 00 00 00 00 00 00

但是,这相当于观察声音信号振幅一样,很难从中发现动作和行为模式。在此,我们需要使用工具cansniffer对频率进行等效化分析,cansniffer显示的一串数据包ID号,可以帮助我们在CAN帧数据区变化时进行准确定位。有了这个功能,我们就能分辨出哪些数据包是应该丢弃的,而哪些又是与我们问题相关的。

CANSniffer:一款收发CAN格式数据包的分析软件,通过串口与外部设备交互,用于分析串口数据包。

以下是cansniffer在MS中速总线的抓包示例,我们正在对所有通过串口的数据包进行过滤,只需要CAN id为355、356和358的数据包。同时,通过按下汽车空气调节按钮后观察数据包变化情况,发现001C00000000代表了该按钮的开关作用。

控制汽车空调系统(A/C系统)

接下来就是把A/C系统功能连接到我们运行于汽车内的微型PC,该PC为机器人操作系统(ROS),而幸运的是,利用前述提及的SocketCAN和ROS中的一个模块,就能很容易实现连接和操作。而且用socketcan_bridge方式可以将我们的CAN数据帧转换成ROS可接收的消息格式。完美!

以下就是A/C系统功能数据包解码方式的一个示例:

if frame.id == 0×356: raw_data = unpack(‘BBBBBBBB’, frame.data) fan_speed = raw_data[1] / 4 driver_temp = parse_temperature(raw_data[2:4]) passenger_temp = parse_temperature(raw_data[4:6])

由此生成的数据被存储在名为CelsiusReport.msg的文件中:

bool auto bool system_on bool unit_on bool dual bool max_cool bool max_defrost bool recirculation bool head_fan bool feet_fan bool front_defrost bool rear_defrost string driver_tempstring passenger_temp

在按下汽车A/C系统相关功能的按钮之后,我们将得到以下这个对应的代码清单:

CONTROL_CODES = { ‘ac_toggle’: 0x5C, ‘ac_unit_toggle’: 0×14, ‘max_ac_toggle’: 0×38, ‘recirculation_toggle’: 0x3C, ‘dual_temperature_toggle’: 0×18, ‘passenger_temp_up’: 0×24, ‘passenger_temp_down’: 0×28, ‘driver_temp_up’: 0x1C, ‘driver_temp_down’: 0×20, ‘auto’: 0×34, ‘wheel_heat_toggle’: 0×78, ‘defrost_max_toggle’: 0×64, ‘defrost_toggle’: 0x4C, ‘rear_defrost_toggle’: 0×58, ‘body_fan_toggle’: 0×04, ‘feet_fan_toggle’: 0x0C, ‘fan_up’: 0x2C, ‘fan_down’: 0×30, }

现在,我们就可以直接将以上字符串对应的数据代码发往ROS节点,由它将这些数据信息转换成汽车可以识别的特殊代码:

rostopic pub /celsius_control celsius/CelsiusControl ac_toggle

研究结果

好了,我们可以向CAN总线发送相应的CAN代码了,这种代码控制方式与我们调节汽车空调A/C系统的外置按钮是一样的效果。这也意味着,在无人驾驶汽车的后座,我们可以实现以手机APP方式远程控制改变汽车的车内温度了。成功了!

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-06-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

研究人员将在Blackhat 2013上讲解如何30秒破解SSL

Salesforce和Square工程师Angelo Prado和Neal Harris将在Blackhat USA 2013上发表《SSL,30秒破解-超越C...

27360
来自专栏大数据文摘

荷兰记者口述:危机四伏的公共WiFi

23560
来自专栏农夫安全

盘点目前市面上流行的网络攻击

? 一、攻击分类 主动攻击 主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端(拒绝服务)。 ? ? (2)窃听 ...

39660
来自专栏FreeBuf

WPA2 安全协议惊现高危漏洞,几乎涉及所有 WiFi 设备(附固件升级列表)

近日,鲁汶大学的研究人员 Mathy Vanhoef 在 WPA2 协议中发现了严重的安全漏洞,这对无线网络的安全造成了极大的考验。本文简要介绍了此次攻击的技术...

24790
来自专栏FreeBuf

一次对支付宝木马的分析溯源之旅

0x00 引子 与网络的黑暗面斗争中,我们看到太多的年轻人陷入黑产的陷井,少数人暴发横财及时收手还能全身而退,多数人身处产业链的底端所得不多却受牢狱之灾。年轻...

25460
来自专栏FreeBuf

某行小程序投标测试的思路和坑

先发下牢骚吧,最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇气点开看看了。

8710
来自专栏FreeBuf

Quantum – NSA最强大的互联网攻击工具

作者 小禾才露尖尖角54 wired最近刊登了一篇详细描述有关Quantum的好文,披露了一些有关NSA Quantum系统的细节,其攻击能力令人印象深刻。 ...

207100
来自专栏农夫安全

啥?Metasploit里面也有菜刀~~~

利用msf破解一句话木马 0x01 前言 本文为智者楚轩原创文章 事情要从下午说起,同学突然叫我说,xxx,我扫到一个老师在电脑上自己搭建的服务器,上面有他...

54790
来自专栏机器人网

国外DIY牛人教你做Wifi机器人(最全教程)

一、前言 Wifi机器人(Wifi Robot):其实是一辆能通过互联网,或500米以外的笔记本无线设施来远程控制的遥控汽车。由于在车上配备了一个网络摄像...

33850
来自专栏安智客

iPhone能用公交卡了,细节全在白皮书里!

昨天中午就开始网传iOS11.3版本会增加对北京和上海公交卡的支持! 安智客一直关注安全技术,对于iOS11,不想再似是而非了,不愿在网上搜索只言片语了,我们需...

390150

扫码关注云+社区

领取腾讯云代金券