因此车载网络设计之初,需要将安全因素作为重中之重的因素考虑进设计方案中,尽量避免相应的悲剧发生。
一、汽车的网络安全
保障车载网络安全的首要任务,是在系统层面上对安全威胁和攻击进行清晰的思考和分析,全面而详尽的应对策略才会尽可能地减少安全攻击的风险。因此还是参考互联网思维,通过分层的方法来完成安全策略部署。
PS:没有任何一种安全策略是完美的,安全漏洞可能由许多因素导致,如软件漏洞、配置错误或不完善的网络设计等,不是还有一种说法,道高一尺魔高一丈嘛哈哈!但如果有一层又一层的安全策略,而黑客需要将其一层层攻克才能达到目的的话(让黑客感觉到麻烦他妈给麻烦开门,麻烦到家啦!!!),网络安全所受到的威胁将有所减缓。
汽车行业参考IT行业层级性的安全架构时,应区分两者之间的应用存在很大的不同点:
1、在IT网络,网络通常是即插即用的,且不同地点的网络都是独一无二的。IT网络可以非常庞大,可能需要多种资源和频繁更新;
2、车载网络是一个具有有限尺寸和资源(如存储器、计算能力等)的固定网络拓扑结构,每一个型号的产品周期很长,经设计构建后,更新机会和次数十分有限;
一旦一辆车被黑客入侵,所有相同型号的车都将是潜在目标。可怕的是,攻击方法会不断更新,越来越有攻击性,即使现在被认为是安全的数据加密方法和受到良好保护的汽车,在十年后仍有可能被黑客入侵,而此时,同样车型的车仍在路上驾驶(细思甚恐)!!!
如下图,列举了车内分层部署的安全策略,
首先确保车载电子设备的物理层访问时安全的,这包括基本的硬件措施,如难以从外部访问车内ECU。另外,若需要外界设备与汽车连线,需要确保外界设备与汽车通信连接与车内网络不关联,作为单独网络隔离。当然还可以从框架设计上来保证物理层安全,如限制带有车外通信功能的ECU数量。
分层的汽车网络安全框架图
完成物理层的安全策略后,将在网络层面进行部署,这可以通过计算机ISO/OSI七层模型的不同网络分层一一实现,
如下图,是SecOC流程示意图:
(1)报文的原始数据切片,加上秘钥,加上新鲜度,通过算法128bit生成身份认证信息。图中MAC是MessageAuthenticationCode的缩写,不是MAC地址;
(2)然后再将身份认证信息的切片和新鲜值切片,插入CAN报文负载的指定字节中。其中新鲜值切片可以长度为0,但是身份认证信息的切片必须要存在;
(3)接收方就是个逆过程了,校验失败就丢弃。
其过程核心思想是通信认证,是一套通信认证方案。使用此功能后,车载网络还是明文通信,黑客仿造报文的难度已经极大。但是相应的也有弊端:大量占用通信负载(比如CAN网络),导致总线负载率提升、通信实时性降低。
攻击方通过此方法预测并伪造数据包的序列,以此攻击数据接收方。传输层安全协议(TLS,原为安全套接字层协议SSL)专门用于应对此黑客攻击,保证两个应用(如HTTP,IMAP,SMTP等)通信数据的隐私和完整性。TLS协议仅适用于TCP而不用于UDP.
TLS协议主要解决如下三个网络安全问题。
ü保密(messageprivacy),保密通过加密encryption实现,所有信息都加密传输,第三方无法嗅探;
ü完整性(messageintegrity),通过MAC校验机制,一旦被篡改,通信双方会立刻发现;
ü认证(mutualauthentication),双方认证,双方都可以配备证书,防止身份被冒充
TLS协议主体可以分为两部分:
由于IP数据经过的每一个路由器都可以读取甚至更改IP数据包中的内容,通信节点还可以伪装成其他节点发送数据(也叫IP欺骗),IPSec协议应运而生。该协议通过各种机制(报文头添加密码),来保证点对点通信的隐私、真实和完整性。以上行为均在ISO/OSI模型的第三层完成。对于上层应用而言时透明的。IPSec协议较MACsec覆盖了更多极限情况。如果仅仅需要认证的话,可以使用IPsec。
IPsec可用于三个不同的安全域:虚拟专用网络、应用程序级安全性和路由安全性。IPsec主要用于VPN,当在应用程序级安全性或路由安全性中使用时,IPsec不是一个完整的解决方案,必须与其他安全措施结合才能发挥其有效作用。
IPsec有两种操作模式:传输模式和隧道模式。在传输模式下运行时,源主机和目标主机必须直接执行所有加密操作,加密数据通过使用L2TP(第2层隧道协议)创建的单个隧道发送,数据(密文)由源主机创建,并由目标主机检索,这种操作模式建立了端到端的安全性。
在隧道模式下运行时,除源和目标主机外,特殊网关还会执行加密处理。在这里,许多隧道在网关之间串联创建,建立了网关到网关的安全性。使用这些模式中的任何一种时,重要的是为所有网关提供验证数据包是否真实的能力以及在两端验证数据包的能力,必须丢弃任何无效的数据包。
ARP协议基本功能是将IP地址映射到MAC地址。攻击者使用自己的MAC地址,发送带有伪装主机IP地址的报文,使得接收方记录伪装IP地址与攻击MAC地址的映射关系。因此,攻击方可以拦截、操纵甚至终端通信,并进行其他攻击,如淹没/拒绝服务,是整个网络瘫痪等。IEEE关于此问题颁布了802.1AE,也成为MACsec,用于抵抗此威胁。MACsec提供了直接相连的点对点之间的加密和认证,此策略保护VLAN标记,且在每一跳都执行。这与仅提供端到端保障的IPsec和SecOC(SecurityOnboardCommunication)有很大区别。
该协议尤其是其认证算法对汽车行业意义重大,因为它为车载网络所代表的单一架构的混合安全域保证了良好的完整性。在现实中,要想在车上使用MACsec,要求控制器和交换机硬件的支持,会导致半导体材料的成本。因此该应用在车载网络的应用还在讨论中。
(以太网是一种计算机局域网技术。IEEE组织的IEEE802.3标准制定了以太网的技术标准,它规定了包括物理层的连线、电子信号和介质访问层协议的内容。)
1、AUTOSARsecOC;
2、致力于车载网络安全的美国汽车工程师协会(SAE)推出的SAEJ3061;
3、德国汽车工业协会(VDA)启动ISO21434标准化项目,涵盖了提供汽车安全的程序性内容;
4、日本JSAPAR成立了安全工作组。
自媒体提供了一个展现自己观点的平台,我有幸参与其中,来畅所欲言的表达自己观点。但鉴于眼界和以往经验,阐述的观点有可能具有一定的局限性,望读者批判性的阅读。
若您有所收获,我将万分激动,因为他人的认可是我幸福度提高的动力和源泉,也是我不断更新的动力。