ToB企服应用市场:ToB评测及商务社交产业平台
标题:
电子电气架构--- 实施基于以太网的安全车载网络
[打印本页]
作者:
耶耶耶耶耶
时间:
8 小时前
标题:
电子电气架构--- 实施基于以太网的安全车载网络
我是穿拖鞋的夫君,魔都中坚持长期主义的汽车电子工程师。
老规矩,分享一段喜好的文字,制止自己成为高知识低文化的工程师:
全部人的看法和评价都是暂时的,只有自己的经历是陪伴一生的,险些全部的担忧和畏惧,都是来源于自己的想象,只有你真的去做了,才会发现有多快乐。人就应该满脑子都是前程,不再在意别人的看法不再害怕别人讨厌自己,不再畏手畏脚忧心忡忡也不会在睡前反回想白天的活动,是否让对方产生误解用你那精神内耗的态度去搞学习搞事业搞钱,然后用躺平和摆烂的态度对待人际关系,烦恼能消失一大半。
无人问津也好,技不如人也罢,你都要试着安静下来,去做自己该做的事.而不是让心田的烦躁、焦急、毁掉你本就不多的热情和定力。
时间不知不觉中,快要来到深秋。国庆假期竣事,又开始新的繁忙。成年人的我也不知道去哪里渡自己的灵魂,独自敲击一些文字算是对这段时间做一个记录。
一、实施基于以太网的安全车载网络
首先需要提前考虑与实施相关的事项:
-> 概述受技术限定因素驱动的安全题目;
1、无线通信的脆弱性:IVN体系往往依靠于无线通信来传输数据,这使得体系容易受到信号干扰、黑客攻击和数据窃取等风险。
2、硬件和软件漏洞:随着IVN体系中利用的硬件和软件不断更新换代,新的漏洞可能会不断出现,给体系安全带来威胁。
3、数据完整性和隐私保护:IVN体系中存储和传输的数据通常包罗敏感信息,如车辆位置、速率等,这些数据一旦泄露或被窜改,将对车辆安全和用户隐私造成严峻影响。
->说明典范的IVN技术架构中特定于实施的安全题目。
1、 网络架构的安全性:IVN体系的网络架构可能涉及多个子网和网关,这些网络节点之间的通信和数据传输需要得到充分的安全保护。
2、装备认证和访问控制:IVN体系中的装备需要进行身份认证,以确保只有正当的装备才华接入体系。同时,还需要实施严格的访问控制策略,防止未经授权的访问和操纵。
3、数据加密和传输安全:IVN体系中的数据需要进行加密处置惩罚,以确保在传输过程中不被窃取或窜改。此外,还需要考虑数据在存储过程中的安全性。
4、应急相应和恢复能力:IVN体系需要具备应对安全变乱的能力,包括及时发现并隔离安全威胁、恢复体系正常运行等。
安全信息的价值确实与特定的技术观点细密相关,而且随着技术的发展和IVN体系架构的变化,这些信息可能会过时。因此,对于IVN体系的安全考虑需要不断更新和完善。
然而,确实缺乏适用于IVN的非技术性参考模子和参考架构,这使得特定于实施的安全题目讨论缺乏统一的基线。这增加了IVN体系安全评估和实施的难度。
二、汽车以太网相关的安全网关功能
监督和控制差别逻辑网络域(例如, VLAN、 IPv4子网、 IPv6前缀定义的子网;每个逻辑网络域通过其安全属性代表一个特定的安全域)之间的通信流对于尽可能地降低基于以太网的IVN中来自未经授权的访问和DoS攻击的风险是很重要的。
利用具体的防火墙或一般的安全网关在IVN或在车载网络和外部网络的结合处根据预定规则允许或拒绝通信数据,以进步车辆安全级别。
如根据当前典范的车载E/E技术架构所知,发起利用以下技术组件来监控来自车辆或IVN外部的通信消息,以实现此类安全网关功能(如防火墙)。
1、以太网互换机。
以太网互换机在网络中扮演着关键角色,它代表网络节点类型,而非端节点。在IVN(工业车辆网络)中,有两种主要的实施选项:一是作为独立的技术组件存在;二是作为前端或端节点单片集成到车辆的计算节点中。
互换机可以或许在网络中的差别节点之间高效地传输数据。在车载网络中,它负责将数据包从一个ECU(电子控制单元)传输到另一个ECU,确保数据在车辆内部顺畅流畅。
2、车辆界限网关。
当地选择,由于该技术组件代表常规V2X通信流量的单一观察点。车辆界限网关是常规V2X(车与万物互联)通信流量的单一观察点,因此它是实现安全网关功能的理想选择。
功能:界限网关作为车辆与外部网络之间的接口,负责监控和控制来自车辆外部的通信消息。它可以或许对进入车辆网络的数据包进行过滤和查抄,确保只有正当的数据包才华进入车辆内部网络。
3、 ECU:当ECU可以或许直接进行外部通信时。
车辆计算节点可以为车辆直接外部通信提供额外的通信接口(即,绕过车辆界限网关),在某些情况下,ECU可能需要直接进行外部通信,例如用于诊断目的。此时,车辆计算节点可以为ECU提供额外的通信接口,以绕过车辆界限网关。
固然绕过界限网关可以提供更大的灵活性,但这也增加了车辆网络的安全风险。因此,在ECU直接进行外部通信时,必须接纳额外的安全措施来确保数据的安全性和完整性。
防火墙利用多种机制进行包过滤,包括静态包过滤,无状态或有状态包检测,浅度、中度甚至深度包检测。
A、静态包过滤:基于预定义的策略规则对数据包进行过滤。这些规则可以根据车辆E/E架构和所应用的通信协议进行具体设置。
B 、无状态或有状态包检测:无状态包检测仅查抄数据包的头部信息,而有状态包检测则跟踪数据包之间的关联性和状态变化。
C、浅度、中度或深度包检测:浅度包检测通常查抄L3(网络层)和L4(传输层)的头部信息;中度包检测可能还包括对部门应用层数据的查抄;深度包检测则会对整个数据包进行具体的查抄和分析。
协议层;PDU上下文类型的信息 ,例如,就互联网业务而言, “浅度包检测” 通常是L3、 4头部检测。特别是,静态包过滤机制基于预定义的策略规则。因此,根据车辆E/E架构和所应用的通信协议,发起具体的策略规则设置。此外,防火墙策略默认应用于白名单方法,这根本上制止了全部未明白允许的通信。
防火墙的一个主要特性是防御DoS攻击。防火墙可以通过设置阈值和利用频率过滤器来防御DoS攻击。它可以利用预先存储的值(如计数器)来监控网络流量,并在流量超过阈值时接纳措施来防止攻击。
防火墙的另一个补充特性是日志功能(即,作为被管理实体的防火墙网络元素根据提供日志管理综合功能)。一般来说,与安全相关的变乱应该是日志服务的对象。因此,当安全变乱发生时,防火墙、 IDS或安全网关一般会记录信息,这不但有助于取证专家分析变乱情况,而且可以通过拦截记录等研究来进步防火墙策略的准确性。因此,在存储日志时,有须要利用加密机制来确保完整性。
汇总-防火墙具有日志功能,可以记录与安全相关的变乱。这些日志信息对于取证专家分析变乱情况和进步防火墙策略的准确性至关重要。在存储日志时,应利用加密机制来确保日志的完整性和安全性。
二、安全的VLAN设置
设置安全的VLAN对于IVN的通信安全以满足需求非常重要。 OEM应作为VLAN规范的负责机构,由于VLAN设置取决于OEM选择的车辆E/E架构。
每个VLAN都有一个唯一的值,被称为“VLAN标识符(ID)”。VLAN ID(VID)在VLAN规范中可以利用0到4094的范围内的值,但有一些预定义的VLAN ID应制止利用,由于它们可能被用于特定的网络功能或管理目的。例如,VLAN ID 0通常表示优先级标志的帧,而VLAN ID 1则可能因双标签攻击的风险而被制止利用。
VLAN ID的分配与设置
1、制止利用预定义VLAN ID:
OEM在设置VLAN时,应确保不利用表5中描述的预定义VLAN ID,以制止潜在的网络冲突或安全题目。
2、更改VLAN ID 1:
由于VLAN ID 1存在双标签攻击的风险,互换机应将VLAN ID 1更改为另一个VLAN ID。这可以通过互换机的管理界面进行设置,确保网络的安全性。
3、根据E/E架构设置VLAN:
OEM应根据所选的车辆E/E架构来设置VLAN。这包括确定需要多少个VLAN、每个VLAN应包罗哪些装备、以及VLAN之间的访问控制策略等。
4、实施访问控制策略:
通过VLAN设置,OEM可以实施严格的访问控制策略,确保只有颠末授权的装备才华访问特定的VLAN。这有助于防止未经授权的访问和数据泄露。
5、监控和日志记录:
为了进一步加强网络的安全性,OEM应设置监控和日志记录功能。这可以包括及时监控网络流量、检测非常活动以及记录全部网络活动的日志。这些日志信息对于后续的安全变乱分析和取证至关重要。
攻击者可以通过“VLAN跳跃” 攻击,从另一个VLAN进行未经授权的访问来监控以太网流量。为了化解这种攻击,应将没有标志VLAN的帧设置为丢弃。但是,可能存在以下例外情况。对于时间同步,通过精确时间协议发送消息,该协议要求根据在没有VLAN标签的情况下传输帧。
VLAN跳跃攻击的原理
攻击方式:
攻击者通过向帧添加两个VLAN标签(双标签)来实行攻击。
第一个标签包罗默认的当地VLAN ID,第二个标签包罗攻击者的目的VLAN ID。
当添加了标签的帧通过第一台互换机时,第一个标签(即默认的当地VLAN ID标签)被删除,第二个标签被保留并转发到下一台互换机。
第二台互换机利用剩余的第二个标签(即攻击者的目的VLAN ID标签)将帧转发至目的VLAN。
攻击效果:
攻击者成功地将消息发送到目的VLAN,从而实现了跨VLAN的未经授权访问。
当地VLAN中的攻击者可以利用默认的当地VLAN ID实行双标签攻击。攻击者向帧添加两个标签:
-> 第一个包罗默认的当地VLAN ID;
-> 第二个包罗攻击者的目的VLAN ID。
当添加了标签的帧通过第一台互换机时,第一个标签被删除,第二个标签被转发到下一台互换机。然后,该互换机利用剩余的第二个标签将帧转发至目的VLAN。这样,攻击者就可以将消息发送到目的VLAN。因此,应更改默认的当地VLAN ID,以防止这种攻击。
三、汽车情况下以太网互换机的安全性
IEEE以太网桥,通常也被称为“以太网互换机”,在网络通信中扮演着至关重要的角色。它们固有地提供转发信息库(FIB),这个库现实上就是一个MAC地点表,用于辅助数据的转发和互换过程
以太网互换机的根本功能: 以太网互换机工作在OSI模子的数据链路层(第2层),它们基于MAC地点识别并转发以太网数据帧。互换机的主要功能包括:
隔离各网段内的通信:互换机可以将LAN细分为多个单独的冲突域,每个端口都代表一个单独的冲突域,并为该端口毗连的节点提供完全的介质带宽。
动态MAC地点学习:当新的装备(如ECU)毗连到互换机端口时,互换机会自动学习该装备的MAC地点,并将其添加到MAC地点表中。这样,装备就可以通过互换机与其他网络域中的装备通信。
VLAN支持:互换机支持VLAN(假造局域网)功能,可以将数据互换限定在各个假造网的范围内,淘汰广播包的传输,进步网络传输效率,并加强网络安全性。
在端到端通信路径中可能有不止一台以太网互换机。
动态MAC地点学习功能有助于对网络进行未经授权的访问,因此应该被禁用。如果出于维护或诊断目的需要外部诊断装备,则可能需要此功能。在这种情况下,互换机应该支持限定动态获取的MAC地点的有效时间的能力。
这两个发起显然是相互抵牾的,但它们现实上取决于车载以太网络的具体操纵情况:有没有外部毗连可以毗连到,例如, DoIP以太网络域。这种网络操纵情况依靠性可产生有条件的安全性发起,例如,在这里是启用了动态地点学习的有限的、受限的时间窗口等。
网络操纵情况对以太网互换机的安全性发起具有重要影响。例如,在存在外部毗连(如DoIP以太网络域)的情况下,可能需要更加严格的安全措施来防止未经授权的访问。在这种情况下,启用动态地点学习的有限的、受限的时间窗口可能是一个公道的选择。这可以在维护或诊断期间允许外部诊断装备接入网络,同时降低安全风险。
MAC地点欺骗是一种众所周知的计算机网络攻击方法,可以在车辆攻击场景中实施。为了保护IVN,如果利用了访问变体,则应包管利用基于端口的网络访问控制的毗连装备具有身份验证和可靠性。这种控制会在授权访问网络之前对组件进行身份验证。仅当验证成功后,以太网互换机才与网络通信。
为了化解DoS攻击,互换机应防止广播风暴,并支持基于端口的数据包接收速率限定中的以太网流量参数控制。
为了互换机的安全性,应确保互换机设置管理数据的完整性,而且应只有通过用于更新的安全编程机制或安全管理协议才可能更新。
通常,在集成了自己的处置惩罚器的汽车应用中,操纵和管理以太网互换机所需的安全功能如下:
安全存储器
安全存储器确生存储数据的机密性和完整性。密钥和MAC等数据应利用HSM等安全存储器进行保护。
安全存储器是确生存储数据的机密性和完整性的关键组件。在以太网互换机中,密钥、MAC地点等敏感数据应利用硬件安全模块(HSM)等安全存储器进行保护。HSM提供了对敏感数据的物理和逻辑保护,防止未经授权的访问和窜改。
安全启动
安全启动功能在每个启动周期查抄软件的完整性,确保互换机运行的是颠末验证的软件版本。初始启动时,会生成软件映像的消息验证码(MAC)并存储在安全存储器中。在下一次启动时,如果新生成的消息验证码与存储的消息验证码雷同,则表明软件的完整性得到了保障。这一功能有助于防止恶意软件的注入和攻击。
安全的调试接口
调试接口是产品开辟和维护过程中必不可少的部门,但也可能成为安全漏洞的入口。因此,在汽车以太网互换机中,应接纳措施确保调试接口的安全性。通常发起移除不须要的调试接口,以淘汰潜在的安全风险。如果调试接口对于产品包管或维护是须要的,则应只允许经授权的实体访问,并通过加密、认证等机制保护接口的安全。
安全的软件更新
软件更新是保持产品安全性和功能性的重要本领。在汽车以太网互换机中,安全的软件更新机制应确保只有在软件的真实性得到包管的情况下才允许软件重新编程。这通常通过数字署名来实现。软件供应商利用它们的私钥生成数字署名,并将数字署名和软件映像一起发送。当接收方利用供应商的公钥验证数字署名是由供应商生成的时,软件的真实性就得到了包管。这一机制有助于防止恶意软件的注入和攻击,确保互换机的稳固运行。
汽车应用中集成了处置惩罚器的以太网互换机需要一系列安全功能来确保网络的稳固、可靠和安全。这些安全功能包括安全存储器、安全启动、安全的调试接口以及安全的软件更新等。通过实施这些安全功能,可以有效地降低潜在的安全风险,进步网络的整体安全性。
搁笔分享完毕!
愿你我信赖时间的气力
做一个长期主义者
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)
Powered by Discuz! X3.4
