|
因此车载网络设计之初,需要将安全因素作为重中之重的因素考虑进设计方案中,尽量避免相应的悲剧发生。 由于辅助驾驶逐步引入到车辆中,汽车将慢慢过渡到无人驾驶。这个过程增加了许多新的车身零部件(激光雷达、摄像头等),考虑到带宽和传输速率,因此将以太网引入到车载网络。由于以太网能够实现无线连接,其潜在后果和来源的不确定性大大增加。因此汽车的网络安全议题设计的范围非常广泛。本篇文章将着重阐述汽车以太网相关的网络安全问题。 一、汽车的网络安全 保障车载网络安全的首要任务,是在系统层面上对安全威胁和攻击进行清晰的思考和分析,全面而详尽的应对策略才会尽可能地减少安全攻击的风险。因此还是参考互联网思维,通过分层的方法来完成安全策略部署。 PS: 没有任何一种安全策略是完美的,安全漏洞可能由许多因素导致,如软件漏洞、配置错误或不完善的网络设计等,不是还有一种说法,道高一尺魔高一丈嘛哈哈!但如果有一层又一层的安全策略,而黑客需要将其一层层攻克才能达到目的的话(让黑客感觉到麻烦他妈给麻烦开门,麻烦到家啦!!!),网络安全所受到的威胁将有所减缓。 汽车行业参考IT行业层级性的安全架构时,应区分两者之间的应用存在很大的不同点: 1、在IT网络,网络通常是即插即用的,且不同地点的网络都是独一无二的。IT网络可以非常庞大,可能需要多种资源和频繁更新; 2、车载网络是一个具有有限尺寸和资源(如存储器、计算能力等)的固定网络拓扑结构,每一个型号的产品周期很长,经设计构建后,更新机会和次数十分有限; 3、汽车需要每天重复启动多次,网络需要保证启动后两秒可用,而对比IT设备,时间倒不是主要考量因素。 一旦一辆车被黑客入侵,所有相同型号的车都将是潜在目标。可怕的是,攻击方法会不断更新,越来越有攻击性,即使现在被认为是安全的数据加密方法和受到良好保护的汽车,在十年后仍有可能被黑客入侵,而此时,同样车型的车仍在路上驾驶(细思甚恐)!!! 如下图,列举了车内分层部署的安全策略, 首先确保车载电子设备的物理层访问时安全的,这包括基本的硬件措施,如难以从外部访问车内ECU。另外,若需要外界设备与汽车连线,需要确保外界设备与汽车通信连接与车内网络不关联,作为单独网络隔离。当然还可以从框架设计上来保证物理层安全,如限制带有车外通信功能的ECU数量。
分层的汽车网络安全框架图 完成物理层的安全策略后,将在网络层面进行部署,这可以通过计算机ISO/OSI七层模型的不同网络分层一一实现,
AUTOSAR SecOC提供一种资源高效并实用的安全机制,用于无缝集成到AUTOSAR通信框架中,且能够保证AUTOSAR支持的网络技术之间的相互通信,比如CAN(FD)、FlexRay、以太网、LIN等。此策略根据报文认证码和新鲜度(计数器或时间戳)提供端到端的消息认证和完整性。为了提高技术效率和宽带利用,它使用对称密钥进行加密(当然也不排除非对称密钥) 如下图,是SecOC流程示意图:
(1)报文的原始数据切片,加上秘钥,加上新鲜度,通过算法128bit生成身份认证信息。图中MAC是MessageAuthentication Code的缩写,不是MAC地址; (2)然后再将身份认证信息的切片和新鲜值切片,插入CAN报文负载的指定字节中。其中新鲜值切片可以长度为0,但是身份认证信息的切片必须要存在; (3)接收方就是个逆过程了,校验失败就丢弃。 其过程核心思想是通信认证,是一套通信认证方案。使用此功能后,车载网络还是明文通信,黑客仿造报文的难度已经极大。但是相应的也有弊端:大量占用通信负载(比如CAN网络),导致总线负载率提升、通信实时性降低。
攻击方通过此方法预测并伪造数据包的序列,以此攻击数据接收方。传输层安全协议(TLS,原为安全套接字层协议SSL)专门用于应对此黑客攻击,保证两个应用(如HTTP,IMAP,SMTP等)通信数据的隐私和完整性。TLS协议仅适用于TCP而不用于UDP. TLS相当于通过第三方授权形式,用来验证传输数据的真实性、完整性和机密性。 TLS协议主要解决如下三个网络安全问题。 ü 保密(messageprivacy),保密通过加密encryption实现,所有信息都加密传输,第三方无法嗅探; ü 完整性(messageintegrity),通过MAC校验机制,一旦被篡改,通信双方会立刻发现; ü 认证(mutualauthentication),双方认证,双方都可以配备证书,防止身份被冒充 TLS协议主体可以分为两部分:
详细过程,会专门写篇文章描述!
由于IP数据经过的每一个路由器都可以读取甚至更改IP数据包中的内容,通信节点还可以伪装成其他节点发送数据(也叫IP欺骗),IPSec协议应运而生。该协议通过各种机制(报文头添加密码),来保证点对点通信的隐私、真实和完整性。以上行为均在ISO/OSI模型的第三层完成。对于上层应用而言时透明的。IPSec协议较MACsec覆盖了更多极限情况。如果仅仅需要认证的话,可以使用IPsec。 IPsec可用于三个不同的安全域:虚拟专用网络、应用程序级安全性和路由安全性。IPsec主要用于VPN,当在应用程序级安全性或路由安全性中使用时,IPsec不是一个完整的解决方案,必须与其他安全措施结合才能发挥其有效作用。 IPsec有两种操作模式:传输模式和隧道模式。在传输模式下运行时,源主机和目标主机必须直接执行所有加密操作,加密数据通过使用L2TP(第2层隧道协议) 创建的单个隧道发送,数据(密文)由源主机创建,并由目标主机检索,这种操作模式建立了端到端的安全性。 在隧道模式下运行时,除源和目标主机外,特殊网关还会执行加密处理。在这里,许多隧道在网关之间串联创建,建立了网关到网关的安全性。使用这些模式中的任何一种时,重要的是为所有网关提供验证数据包是否真实的能力以及在两端验证数据包的能力,必须丢弃任何无效的数据包。
ARP协议基本功能是将IP地址映射到MAC地址。攻击者使用自己的MAC地址,发送带有伪装主机IP地址的报文,使得接收方记录伪装IP地址与攻击MAC地址的映射关系。因此,攻击方可以拦截、操纵甚至终端通信,并进行其他攻击,如淹没/拒绝服务,是整个网络瘫痪等。IEEE关于此问题颁布了802.1AE,也成为MACsec,用于抵抗此威胁。MACsec提供了直接相连的点对点之间的加密和认证,此策略保护VLAN标记,且在每一跳都执行。这与仅提供端到端保障的IPsec和SecOC(SecurityOnboard Communication)有很大区别。 该协议尤其是其认证算法对汽车行业意义重大,因为它为车载网络所代表的单一架构的混合安全域保证了良好的完整性。在现实中,要想在车上使用MACsec,要求控制器和交换机硬件的支持,会导致半导体材料的成本。因此该应用在车载网络的应用还在讨论中。 加密对于网络安全非常重要,不同的加密算法如密钥交换、对等认证、消息认证(报文认证)、报文加密等可以用于不同场合和目的。在汽车中,加密算法的实现非常关键,它必须高效且迅速,尤其是在车内网络使用以太网技术以后,实现的要求会越发严格。纯软件加密无法保证高效的处理时间和资源利用,因此还需要结合硬件的支持。 在保证了网络通信的安全性之后,需要保证ECU(软件和电子设备)的安全性。这与ECU选择的处理器、不同软件配置等相关。可以采取一些基本措施以保护ECU,如关闭暂时不使用的端口。在应用程序层面,可以在验证和加密的基础上运用真实性检查和数据使用策略。也可以设定应用程序在特定状态仅接受期望或特定数据(例如控制消息),当接受到的数据出现异常(如周期性发送消息发送频率增加或传感器数据异常)时则可以探测并采取措施。除了以太网技术,车载网络使用的其他技术均采用分层级的安全策略。由于以太网技术在IT行业已经得到成熟应用,车载以太网技术的网络安全策略得以借鉴其15年发展累计的经验。 (以太网是一种计算机局域网技术。IEEE组织的IEEE802.3标准制定了以太网的技术标准,它规定了包括物理层的连线、电子信号和介质访问层协议的内容。) 相关成果:经过汽车行业工程师的不懈努力,有相关成果如下: 1、AUTOSARsecOC; 2、致力于车载网络安全的美国汽车工程师协会(SAE)推出的SAEJ3061; 3、德国汽车工业协会(VDA)启动ISO 21434标准化项目,涵盖了提供汽车安全的程序性内容; 4、日本JSAPAR成立了安全工作组。 有以上内容,也深深感受到国内汽车行业关于这块的弱化,打铁还需自身硬,我们需要进一步努力! 自媒体提供了一个展现自己观点的平台,我有幸参与其中,来畅所欲言的表达自己观点。但鉴于眼界和以往经验,阐述的观点有可能具有一定的局限性,望读者批判性的阅读。 若您有所收获,我将万分激动,因为他人的认可是我幸福度提高的动力和源泉,也是我不断更新的动力。 ----------------------------------------- 作者简介 | 穿拖鞋的汉子
|
|
|
