汽车网络信息安全-通信安全方案(基于OSI模型)

爱思考的发菜_汽车网络信息安全2025-01-07 22:50

汽车网络信息安全方案-基于OSI模型

  1. UDS 27服务和UDS 29服务是用于和诊断仪之间的安全访问保护 ,这里不过多介绍,有兴趣可以看我其他文章里面有具体介绍

  2. 这里主要介绍一下,不同OSI层级的安全通信协议

车载以太网

首先先了解一下车载以太网:

我们常用的以太网和车载以太网主要是在物理层不同,基本架构依然是MAC+PHY芯片+传输链路。

车载以太网构成了一个相对封闭的网络环境,其复杂性远不及互联网。由于车内通信参与者固定,IP地址和端口可提前设定,从而省去了DHCP协议动态分配地址的繁琐。同时,整车网络内的虚拟子网也已预先划分。

以下是车载以太网网络中的几种关键角色:

  1. Switch(交换机):负责在特定VLAN内,基于层2地址(即MAC地址)转发以太网帧。

  2. Router(路由器):在VLAN间基于层3地址(即IP地址)转发以太网帧。

  3. ECU节点(无转发功能):负责验证接收的以太网帧合法性,主要依据通信矩阵定义和预定义通信协议。

为避免大量无关信息在车内网络中泛滥,我们常利用VLAN将网络按功能域划分为多个虚拟子网,如娱乐、驾驶辅助、舒适等系统。当需要跨VLAN通信时,则借助上述的Router角色。

SecOC

安全车载通信(Secure Onboard Communication,简称SecOC)主要的作用就是为汽车嵌入式网络总线上的数据传输提供身份验证和防止重放攻击的功能。

  • Protects integrity on PDU level.
  • Symmetric key used for transmission and reception.

具体关于SecOC的细节讲解,可以看我另一篇文章

汽车网络信息安全技术之AUTOSAR SecOC,非常详细的学习笔记,由浅入深-CSDN博客

(D)TLS

TLS 属于工作在传输层的协议,它介于传输层底层协议和上层应用协议之间。而以太网的传输层主要有两大底层协议:TCP(Transmission Control Protocol)和UDP(UserDatagram Protocol)。二者各有特点,互为补充。不管在传统互联网上,还是车载以太网上,两者都是常见的传输层底层协议。不同的传输层底层协议实际上对应着不同的传输层安全保护协议,采用TCP 传输的,就用TLS 保护。采用UDP 传输的,就用DTLS 保护。DTLS 的全称是Datagram Transport Layer Security,比TLS 多出来的"D" ,指的就是UDP 中的"D" 。TLS 和DTLS 各有不同的版本,目前主流支持的还是1.2 和1.3版本。

  • Protects integrity and confidentiality on TCP/UDP layer.
  • Certificate-based or with pre-shared keys.

汽车信息安全--TLS,OpenSSL_车联网tls方案-CSDN博客具体关于TLS的细节讲解,可以看我另一篇文章:汽车信息安全--TLS,OpenSSL_车联网tls方案-CSDN博客

TLS支持应用程序到应用程序(端口到端口)的安全性。TLS能够确保在具有唯一端口号的两个ECU上运行的两个应用程序之间的消息的真实性、机密性和完整性。

IPsec

IPSec是网络层协议,一种使用IP协议保护数据通信安全的方法,能够提供端到端(IP到IP)安全性。

IPSec能够确保具有唯一IP地址的两个ECU之间消息的真实性、机密性和完整性。虚拟专用网络(VPN)使用IPSec协议。

  • Protects integrity and confidentiality on IP layer.
  • Certificate-based or with pre-shared keys.

IPsec 可以保护 IP 上的所有通信,并支持两种模式(隧道和传输)下的两种协议(AH 和 ESP)。

MACsec

MACsec,全称Media Access Control security,被定义为IEEE 标准 802.1AE,它专注于以太网连接设备之间的点对点数据安全性。与传统的网络安全协议不同,MACsec工作在OSI模型的第二层,即数据链路层,这一层负责在网段上的节点之间传输数据。这种低层次的安全保护确保了数据在传输过程中的机密性和完整性,为整个网络系统提供了坚实的基础。

  • Protects integrity and confidentiality on Ethernet layer.
  • Certificate-based or with pre-shared keys.
  • Hop-by-hop instead of end-to-end.

Macsec 是一种非常适合于以太网的Hop by Hop 的链路层安全协议,它实现如下三个功能:

  1. 报文加密:通过加密算法和密钥,将明文变成乱码的密文,即使被窃听也难以解密。

  2. 防重放攻击:防止黑客截获目的主机接收的报文,再次发送给目的主机,达到欺骗目的主机的目的,比如身份认证

  3. 防篡改:防止黑客随意篡改原始报文内容,实现不可告人的目的。

Macsec 的实现分两种模式:

  1. 面向主机模式:用于终端接入网络的第一跳保护。

  2. 面向设备模式:用户设备之间互联链路的保护。

MACsec 作用于:主机到交换机连接和交换机到交换机连接上

MACsec的特性之一是它保护协议栈较低层(以太网)中的数据通信。然而,仅靠MACsec并不能保证端到端的安全。反对为车载通信部署MACsec的几个原因是成本较高、性能下降,并且很少有提供商在其SoC中提供MACsec功能。

相关推荐
ws2019072 小时前
智行未来,科技驱动:AUTO TECH China 2026广州展将于11月27日举办!
人工智能·科技·汽车
科技块儿2 小时前
如何使用IP数据云提升网络风控、减少业务欺诈
网络·网络协议·tcp/ip
fei_sun2 小时前
【计网】2025年真题
网络
Fnetlink12 小时前
中小企业网络环境优化与安全建设
网络·安全·web安全
爬山算法3 小时前
Netty(10)Netty的粘包和拆包问题是什么?如何解决它们?
服务器·网络·tcp/ip
Sleepy MargulisItG3 小时前
【Linux网络编程】应用层协议:HTTP协议
linux·服务器·网络·http
bruce_哈哈哈3 小时前
车载网络--soa总结--some/ip等认识
网络
logic_53 小时前
静态路由配置
运维·服务器·网络
门思科技3 小时前
企业级 LoRaWAN 网关远程运维方案对比:VPN 与 NPS FRP 的技术与安全差异分析
运维·网络·安全
kkk_皮蛋4 小时前
RTCP: 统计、同步与网络自适应
网络
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)05Neo4j(一) - Neo4j安装教程(Windows)06【AutoGLM部署】本地私有化部署AI手机Agent07Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser08BongoCat - 跨平台键盘猫动画工具09Open-AutoGLM Windows 安装部署教程10安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)