汽车网络信息安全-通信安全方案(基于OSI模型)

爱思考的发菜_汽车网络信息安全2025-01-07 22:50

汽车网络信息安全方案-基于OSI模型

  1. UDS 27服务和UDS 29服务是用于和诊断仪之间的安全访问保护 ,这里不过多介绍,有兴趣可以看我其他文章里面有具体介绍

  2. 这里主要介绍一下,不同OSI层级的安全通信协议

车载以太网

首先先了解一下车载以太网:

我们常用的以太网和车载以太网主要是在物理层不同,基本架构依然是MAC+PHY芯片+传输链路。

车载以太网构成了一个相对封闭的网络环境,其复杂性远不及互联网。由于车内通信参与者固定,IP地址和端口可提前设定,从而省去了DHCP协议动态分配地址的繁琐。同时,整车网络内的虚拟子网也已预先划分。

以下是车载以太网网络中的几种关键角色:

  1. Switch(交换机):负责在特定VLAN内,基于层2地址(即MAC地址)转发以太网帧。

  2. Router(路由器):在VLAN间基于层3地址(即IP地址)转发以太网帧。

  3. ECU节点(无转发功能):负责验证接收的以太网帧合法性,主要依据通信矩阵定义和预定义通信协议。

为避免大量无关信息在车内网络中泛滥,我们常利用VLAN将网络按功能域划分为多个虚拟子网,如娱乐、驾驶辅助、舒适等系统。当需要跨VLAN通信时,则借助上述的Router角色。

SecOC

安全车载通信(Secure Onboard Communication,简称SecOC)主要的作用就是为汽车嵌入式网络总线上的数据传输提供身份验证和防止重放攻击的功能。

  • Protects integrity on PDU level.
  • Symmetric key used for transmission and reception.

具体关于SecOC的细节讲解,可以看我另一篇文章

汽车网络信息安全技术之AUTOSAR SecOC,非常详细的学习笔记,由浅入深-CSDN博客

(D)TLS

TLS 属于工作在传输层的协议,它介于传输层底层协议和上层应用协议之间。而以太网的传输层主要有两大底层协议:TCP(Transmission Control Protocol)和UDP(UserDatagram Protocol)。二者各有特点,互为补充。不管在传统互联网上,还是车载以太网上,两者都是常见的传输层底层协议。不同的传输层底层协议实际上对应着不同的传输层安全保护协议,采用TCP 传输的,就用TLS 保护。采用UDP 传输的,就用DTLS 保护。DTLS 的全称是Datagram Transport Layer Security,比TLS 多出来的"D" ,指的就是UDP 中的"D" 。TLS 和DTLS 各有不同的版本,目前主流支持的还是1.2 和1.3版本。

  • Protects integrity and confidentiality on TCP/UDP layer.
  • Certificate-based or with pre-shared keys.

汽车信息安全--TLS,OpenSSL_车联网tls方案-CSDN博客具体关于TLS的细节讲解,可以看我另一篇文章:汽车信息安全--TLS,OpenSSL_车联网tls方案-CSDN博客

TLS支持应用程序到应用程序(端口到端口)的安全性。TLS能够确保在具有唯一端口号的两个ECU上运行的两个应用程序之间的消息的真实性、机密性和完整性。

IPsec

IPSec是网络层协议,一种使用IP协议保护数据通信安全的方法,能够提供端到端(IP到IP)安全性。

IPSec能够确保具有唯一IP地址的两个ECU之间消息的真实性、机密性和完整性。虚拟专用网络(VPN)使用IPSec协议。

  • Protects integrity and confidentiality on IP layer.
  • Certificate-based or with pre-shared keys.

IPsec 可以保护 IP 上的所有通信,并支持两种模式(隧道和传输)下的两种协议(AH 和 ESP)。

MACsec

MACsec,全称Media Access Control security,被定义为IEEE 标准 802.1AE,它专注于以太网连接设备之间的点对点数据安全性。与传统的网络安全协议不同,MACsec工作在OSI模型的第二层,即数据链路层,这一层负责在网段上的节点之间传输数据。这种低层次的安全保护确保了数据在传输过程中的机密性和完整性,为整个网络系统提供了坚实的基础。

  • Protects integrity and confidentiality on Ethernet layer.
  • Certificate-based or with pre-shared keys.
  • Hop-by-hop instead of end-to-end.

Macsec 是一种非常适合于以太网的Hop by Hop 的链路层安全协议,它实现如下三个功能:

  1. 报文加密:通过加密算法和密钥,将明文变成乱码的密文,即使被窃听也难以解密。

  2. 防重放攻击:防止黑客截获目的主机接收的报文,再次发送给目的主机,达到欺骗目的主机的目的,比如身份认证

  3. 防篡改:防止黑客随意篡改原始报文内容,实现不可告人的目的。

Macsec 的实现分两种模式:

  1. 面向主机模式:用于终端接入网络的第一跳保护。

  2. 面向设备模式:用户设备之间互联链路的保护。

MACsec 作用于:主机到交换机连接和交换机到交换机连接上

MACsec的特性之一是它保护协议栈较低层(以太网)中的数据通信。然而,仅靠MACsec并不能保证端到端的安全。反对为车载通信部署MACsec的几个原因是成本较高、性能下降,并且很少有提供商在其SoC中提供MACsec功能。

相关推荐
Danileaf_Guo3 分钟前
我们的WireGuard管理系统支持手机电脑了!全平台终端配置,支持扫码连接,一键搞定
网络
犀思云37 分钟前
构建全球化多云网格:FusionWAN NaaS 在高可用基础设施中的工程实践
运维·网络·人工智能·系统架构·机器人
Black蜡笔小新1 小时前
国密GB35114平台EasyGBS筑牢安防安全防线,GB28181/GB35114无缝接入
网络·安全·音视频·gb35114
多多*2 小时前
2月3日面试题整理 字节跳动后端开发相关
android·java·开发语言·网络·jvm·adb·c#
vortex52 小时前
Alpine Linux syslinux 启动加固(密码保护)
linux·服务器·网络
犀思云3 小时前
网络运维减负:解构FusionWAN NaaS 面向企业广域网的技术逻辑演进
网络·智能仓储·fusionwan·专线·naas
倔强的石头1063 小时前
边缘侧时序数据的选型指南:网络不稳定、数据不丢、回传可控——用 Apache IoTDB 设计可靠链路
网络·apache·iotdb
db_murphy3 小时前
知识篇 | net.ipv4.ip_forward 参数
网络·网络协议·tcp/ip
科技块儿3 小时前
在线考试防作弊IP工具选型:5款主流IP查询API精度、成本、场景适配全测评
服务器·网络·tcp/ip·安全
zbtlink4 小时前
路由器的外置天线和内置天线有多大差别?
网络·智能路由器
热门推荐
01GitHub 镜像站点02Vue-skills的中文文档03一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示04Claude Code Skills 实用使用手册05UV安装并设置国内源06在Trae中使用Pencil MCP07让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南08Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services09OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书10OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)