汽车网络信息安全-通信安全方案(基于OSI模型)

爱思考的发菜_汽车网络信息安全2025-01-07 22:50

汽车网络信息安全方案-基于OSI模型

  1. UDS 27服务和UDS 29服务是用于和诊断仪之间的安全访问保护 ,这里不过多介绍,有兴趣可以看我其他文章里面有具体介绍

  2. 这里主要介绍一下,不同OSI层级的安全通信协议

车载以太网

首先先了解一下车载以太网:

我们常用的以太网和车载以太网主要是在物理层不同,基本架构依然是MAC+PHY芯片+传输链路。

车载以太网构成了一个相对封闭的网络环境,其复杂性远不及互联网。由于车内通信参与者固定,IP地址和端口可提前设定,从而省去了DHCP协议动态分配地址的繁琐。同时,整车网络内的虚拟子网也已预先划分。

以下是车载以太网网络中的几种关键角色:

  1. Switch(交换机):负责在特定VLAN内,基于层2地址(即MAC地址)转发以太网帧。

  2. Router(路由器):在VLAN间基于层3地址(即IP地址)转发以太网帧。

  3. ECU节点(无转发功能):负责验证接收的以太网帧合法性,主要依据通信矩阵定义和预定义通信协议。

为避免大量无关信息在车内网络中泛滥,我们常利用VLAN将网络按功能域划分为多个虚拟子网,如娱乐、驾驶辅助、舒适等系统。当需要跨VLAN通信时,则借助上述的Router角色。

SecOC

安全车载通信(Secure Onboard Communication,简称SecOC)主要的作用就是为汽车嵌入式网络总线上的数据传输提供身份验证和防止重放攻击的功能。

  • Protects integrity on PDU level.
  • Symmetric key used for transmission and reception.

具体关于SecOC的细节讲解,可以看我另一篇文章

汽车网络信息安全技术之AUTOSAR SecOC,非常详细的学习笔记,由浅入深-CSDN博客

(D)TLS

TLS 属于工作在传输层的协议,它介于传输层底层协议和上层应用协议之间。而以太网的传输层主要有两大底层协议:TCP(Transmission Control Protocol)和UDP(UserDatagram Protocol)。二者各有特点,互为补充。不管在传统互联网上,还是车载以太网上,两者都是常见的传输层底层协议。不同的传输层底层协议实际上对应着不同的传输层安全保护协议,采用TCP 传输的,就用TLS 保护。采用UDP 传输的,就用DTLS 保护。DTLS 的全称是Datagram Transport Layer Security,比TLS 多出来的"D" ,指的就是UDP 中的"D" 。TLS 和DTLS 各有不同的版本,目前主流支持的还是1.2 和1.3版本。

  • Protects integrity and confidentiality on TCP/UDP layer.
  • Certificate-based or with pre-shared keys.

汽车信息安全--TLS,OpenSSL_车联网tls方案-CSDN博客具体关于TLS的细节讲解,可以看我另一篇文章:汽车信息安全--TLS,OpenSSL_车联网tls方案-CSDN博客

TLS支持应用程序到应用程序(端口到端口)的安全性。TLS能够确保在具有唯一端口号的两个ECU上运行的两个应用程序之间的消息的真实性、机密性和完整性。

IPsec

IPSec是网络层协议,一种使用IP协议保护数据通信安全的方法,能够提供端到端(IP到IP)安全性。

IPSec能够确保具有唯一IP地址的两个ECU之间消息的真实性、机密性和完整性。虚拟专用网络(VPN)使用IPSec协议。

  • Protects integrity and confidentiality on IP layer.
  • Certificate-based or with pre-shared keys.

IPsec 可以保护 IP 上的所有通信,并支持两种模式(隧道和传输)下的两种协议(AH 和 ESP)。

MACsec

MACsec,全称Media Access Control security,被定义为IEEE 标准 802.1AE,它专注于以太网连接设备之间的点对点数据安全性。与传统的网络安全协议不同,MACsec工作在OSI模型的第二层,即数据链路层,这一层负责在网段上的节点之间传输数据。这种低层次的安全保护确保了数据在传输过程中的机密性和完整性,为整个网络系统提供了坚实的基础。

  • Protects integrity and confidentiality on Ethernet layer.
  • Certificate-based or with pre-shared keys.
  • Hop-by-hop instead of end-to-end.

Macsec 是一种非常适合于以太网的Hop by Hop 的链路层安全协议,它实现如下三个功能:

  1. 报文加密:通过加密算法和密钥,将明文变成乱码的密文,即使被窃听也难以解密。

  2. 防重放攻击:防止黑客截获目的主机接收的报文,再次发送给目的主机,达到欺骗目的主机的目的,比如身份认证

  3. 防篡改:防止黑客随意篡改原始报文内容,实现不可告人的目的。

Macsec 的实现分两种模式:

  1. 面向主机模式:用于终端接入网络的第一跳保护。

  2. 面向设备模式:用户设备之间互联链路的保护。

MACsec 作用于:主机到交换机连接和交换机到交换机连接上

MACsec的特性之一是它保护协议栈较低层(以太网)中的数据通信。然而,仅靠MACsec并不能保证端到端的安全。反对为车载通信部署MACsec的几个原因是成本较高、性能下降,并且很少有提供商在其SoC中提供MACsec功能。

相关推荐
敲上瘾7 分钟前
网络数据传输与NAT技术的工作原理
网络·智能路由器·信息与通信·nat
希赛网10 分钟前
《HCIA-Datacom 认证》希赛三色笔记:Vlan间三层通信过程解析
网络·智能路由器
都给我34 分钟前
服务器中涉及节流(Throttle)的硬件组件及其应用注意事项
服务器·网络·express
ALe要立志成为web糕手38 分钟前
计算机网络基础
网络·安全·web安全·网络安全
liulun1 小时前
SkSurface---像素的容器:表面
网络·网络协议·rpc
火车叨位去19491 小时前
鱼皮项目简易版 RPC 框架开发(六)----最后的绝唱
网络·网络协议·rpc
DBWYX1 小时前
计算机网络五层模型
网络·计算机网络
学编程的董2 小时前
网络原理 - TCP/IP(一)
网络·网络协议·udp·ip·tcp
极客范儿2 小时前
新华三H3CNE网络工程师认证—Telnet
网络·ssh·telnet
Σdoughty2 小时前
HCIP---MGRE实验
网络
热门推荐
01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code02全球最强模型Grok4,国内已可免费使用!(附教程)03Coze 开源了,送上保姆级私有化部署方案【建议收藏】04扣子开源本地部署教程 丨Coze智能体小白喂饭级指南05KGG转MP3工具|非KGM文件|解密音频06腾讯还是太全面了,限时免费!超全CodeBuddy IDE保姆级教程!(附案例)07【手把手攻略】国家育儿补贴正式开领!一键算清你能拿多少钱?附补贴领取计算器0801-开源版COZE-字节 Coze Studio 重磅开源!保姆级本地安装教程,手把手带你体验09干翻 Typora!MilkUp:完全免费的桌面端 Markdown 编辑器!10coze 开源版本地部署及踩过的坑【喂饭级教程】