汽车网络信息安全-通信安全方案(基于OSI模型)

爱思考的发菜_汽车网络信息安全2025-01-07 22:50

汽车网络信息安全方案-基于OSI模型

  1. UDS 27服务和UDS 29服务是用于和诊断仪之间的安全访问保护 ,这里不过多介绍,有兴趣可以看我其他文章里面有具体介绍

  2. 这里主要介绍一下,不同OSI层级的安全通信协议

车载以太网

首先先了解一下车载以太网:

我们常用的以太网和车载以太网主要是在物理层不同,基本架构依然是MAC+PHY芯片+传输链路。

车载以太网构成了一个相对封闭的网络环境,其复杂性远不及互联网。由于车内通信参与者固定,IP地址和端口可提前设定,从而省去了DHCP协议动态分配地址的繁琐。同时,整车网络内的虚拟子网也已预先划分。

以下是车载以太网网络中的几种关键角色:

  1. Switch(交换机):负责在特定VLAN内,基于层2地址(即MAC地址)转发以太网帧。

  2. Router(路由器):在VLAN间基于层3地址(即IP地址)转发以太网帧。

  3. ECU节点(无转发功能):负责验证接收的以太网帧合法性,主要依据通信矩阵定义和预定义通信协议。

为避免大量无关信息在车内网络中泛滥,我们常利用VLAN将网络按功能域划分为多个虚拟子网,如娱乐、驾驶辅助、舒适等系统。当需要跨VLAN通信时,则借助上述的Router角色。

SecOC

安全车载通信(Secure Onboard Communication,简称SecOC)主要的作用就是为汽车嵌入式网络总线上的数据传输提供身份验证和防止重放攻击的功能。

  • Protects integrity on PDU level.
  • Symmetric key used for transmission and reception.

具体关于SecOC的细节讲解,可以看我另一篇文章

汽车网络信息安全技术之AUTOSAR SecOC,非常详细的学习笔记,由浅入深-CSDN博客

(D)TLS

TLS 属于工作在传输层的协议,它介于传输层底层协议和上层应用协议之间。而以太网的传输层主要有两大底层协议:TCP(Transmission Control Protocol)和UDP(UserDatagram Protocol)。二者各有特点,互为补充。不管在传统互联网上,还是车载以太网上,两者都是常见的传输层底层协议。不同的传输层底层协议实际上对应着不同的传输层安全保护协议,采用TCP 传输的,就用TLS 保护。采用UDP 传输的,就用DTLS 保护。DTLS 的全称是Datagram Transport Layer Security,比TLS 多出来的"D" ,指的就是UDP 中的"D" 。TLS 和DTLS 各有不同的版本,目前主流支持的还是1.2 和1.3版本。

  • Protects integrity and confidentiality on TCP/UDP layer.
  • Certificate-based or with pre-shared keys.

汽车信息安全--TLS,OpenSSL_车联网tls方案-CSDN博客具体关于TLS的细节讲解,可以看我另一篇文章:汽车信息安全--TLS,OpenSSL_车联网tls方案-CSDN博客

TLS支持应用程序到应用程序(端口到端口)的安全性。TLS能够确保在具有唯一端口号的两个ECU上运行的两个应用程序之间的消息的真实性、机密性和完整性。

IPsec

IPSec是网络层协议,一种使用IP协议保护数据通信安全的方法,能够提供端到端(IP到IP)安全性。

IPSec能够确保具有唯一IP地址的两个ECU之间消息的真实性、机密性和完整性。虚拟专用网络(VPN)使用IPSec协议。

  • Protects integrity and confidentiality on IP layer.
  • Certificate-based or with pre-shared keys.

IPsec 可以保护 IP 上的所有通信,并支持两种模式(隧道和传输)下的两种协议(AH 和 ESP)。

MACsec

MACsec,全称Media Access Control security,被定义为IEEE 标准 802.1AE,它专注于以太网连接设备之间的点对点数据安全性。与传统的网络安全协议不同,MACsec工作在OSI模型的第二层,即数据链路层,这一层负责在网段上的节点之间传输数据。这种低层次的安全保护确保了数据在传输过程中的机密性和完整性,为整个网络系统提供了坚实的基础。

  • Protects integrity and confidentiality on Ethernet layer.
  • Certificate-based or with pre-shared keys.
  • Hop-by-hop instead of end-to-end.

Macsec 是一种非常适合于以太网的Hop by Hop 的链路层安全协议,它实现如下三个功能:

  1. 报文加密:通过加密算法和密钥,将明文变成乱码的密文,即使被窃听也难以解密。

  2. 防重放攻击:防止黑客截获目的主机接收的报文,再次发送给目的主机,达到欺骗目的主机的目的,比如身份认证

  3. 防篡改:防止黑客随意篡改原始报文内容,实现不可告人的目的。

Macsec 的实现分两种模式:

  1. 面向主机模式:用于终端接入网络的第一跳保护。

  2. 面向设备模式:用户设备之间互联链路的保护。

MACsec 作用于:主机到交换机连接和交换机到交换机连接上

MACsec的特性之一是它保护协议栈较低层(以太网)中的数据通信。然而,仅靠MACsec并不能保证端到端的安全。反对为车载通信部署MACsec的几个原因是成本较高、性能下降,并且很少有提供商在其SoC中提供MACsec功能。

相关推荐
黑客老李27 分钟前
BaseCTF scxml 详解
开发语言·网络·数据库·python·sql·安全
碎碎思41 分钟前
使用 IP 核和开源库减少 FPGA 设计周期
网络·网络协议·tcp/ip·fpga开发
Hacker_LaoYi1 小时前
[CTF/网络安全] 攻防世界 view_source 解题详析
网络·安全·web安全
mgwzz2 小时前
nfs开机自动挂载
linux·服务器·网络
域智盾-运营小韩4 小时前
怎么管理电脑usb接口,分享四种USB端口管理方法
服务器·网络·负载均衡
犹若故人归4 小时前
计算机网络、嵌入式等常见问题简答
java·网络·嵌入式硬件·计算机网络·intellij-idea
LLLuckyGirl~5 小时前
计算机网络之---信号与编码
网络·计算机网络
jiecy5 小时前
OSPF浅析
网络
web135956097056 小时前
桌面运维岗面试三十问
运维·网络
雪球不会消失了7 小时前
06-RabbitMQ基础
java·网络·spring cloud·mq
热门推荐
01(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明02半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)03HCIA-datacom数通题库和录播视频资料04渗透测试之SQLMAP工具详解 kali自带SQLmap解释 重点sqlmap --tamper 使用方式详解 搞完你就很nice了05校验 GPT-4 真实性的三个经典问题:快速区分 GPT-3.5 与 GPT-4,并提供免费测试网站06玄机平台应急响应—webshell查杀07youtubu视频下载和yt-dlp 使用教程08优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间09【一文读懂】NTN(非地面网络)技术介绍10uniapp中的uview组件库丰富的Form 表单用法