|
在車載以太網絡中�,影響網絡安全的因素主要有: 1�、廣播通信:在廣播消息�、組播消息以及目的地址不明確的消息傳播時會使用廣播的傳遞方式,主要處于這個網絡就可以接受到對應的廣播報文���; 
2�、缺乏相應措施控制車載節(jié)點在車載網絡中發(fā)送過多流量���,工程師在設計ECU時應考慮限制自身發(fā)送過多流量�,而除了設計錯誤和設備故障��,安全策略主要用于抵抗網絡攻擊產生的較大流量��。 僅是一個節(jié)點發(fā)送的大量廣播和過量消息就可以引起車載網絡控制器中MAC層服務的癱瘓和故障�����,此外���,隨處可偵聽的廣播也是安全隱患(無法區(qū)分廣播報文接受者用意是好還是壞)。 因此交換機的安全保障主要分為以下兩點: 1����、禁止接受過多流量��; 2����、禁止發(fā)送過多流量�����。 對應上述需求�,有以下措施可以借鑒: 一、VLAN 在構建車載網絡數(shù)據(jù)信息時����,可以根據(jù)娛樂、控制和盡力而為流量的區(qū)別來對信息進行分類���。也可以通過VLAN技術做出了詳盡描述���,該技術的核心是在以太網中虛擬分割出許多子網,屬于同一個子網的節(jié)點擁有形同的VLANID��。使用VLAN技術后�����,即使是廣播信息,或是物理連接于統(tǒng)一交換機的不同節(jié)點���,也可以通過VLANID進行消息的隔離 從安全的層面考慮�,VLAN技術不僅可以隔絕虛擬網絡之間的消息����,還可以減少廣播范圍(避免廣播風暴)。此外�,VLAN隱藏了過濾/丟棄數(shù)據(jù)包的功能:攜帶有交換機不支持的VLAN標簽的數(shù)據(jù)包,將被拋棄(這個功能一般沒有被提起)���。如果交換機接受的數(shù)據(jù)不含有VLAN信息�,交換機可以直接將其丟棄或根據(jù)端口�、協(xié)議、報頭等賦予該數(shù)據(jù)VLAN標簽���。 
如下圖:不同應用場景設置不同VLAN VLAN技術不僅有助于網絡安全的提升,還可以簡化不少問題: 數(shù)據(jù)記錄和測試:由于VLAN的劃分與設備的物理位置無關�����,它為ECU的網段分配提供了極大的靈活性��,有助于日益增長的汽車以太網絡中的數(shù)據(jù)記錄和分析。
2. 性能:可以將特定的通信分配至特定VLAN�����,并在交換機中進行優(yōu)先處理����。 如上圖中對汽車以太網的流量隔離做出了詮釋。在此例中���,“汽車交換機”作為對流量進行隔離的ECU����。此ECU可以放置在汽車部位任意位置����,每個端口均配置了VLAN過濾策略。在交換機接受到診斷流量時����,會根據(jù)診斷流量的VLAN將此流量轉發(fā)至相應節(jié)點。如此操作簡單有效�����,如同建立了一個防火墻,對車載信息安全提供了更大的可能性����。 對于汽車上其他為外部接口而言,VLAN同樣能夠發(fā)揮作用���。進出汽車的流量可以在同一個接口處分別打上或去除VLAN標簽���。在ECU內部,只有特定區(qū)域才有權對標記的數(shù)據(jù)進行處理�,此方法有效隔離了數(shù)據(jù)。汽車制造商應在開發(fā)過程中重視VLAN的開發(fā)��。 二�、 其他交換機配置交換機的主要任務是讀取接受數(shù)據(jù)的目的地址,找到目的轉發(fā)端口后��,將數(shù)據(jù)發(fā)送出去�����。 因此����,交換機內部存在一個轉發(fā)表,該表記錄了接收到數(shù)據(jù)的源端口和MAC地址�。當接受到的數(shù)據(jù)需要轉發(fā)到轉發(fā)表中存儲的目的MAC地址時,交換機只要根據(jù)轉發(fā)表進行轉發(fā)即可����。另外,當轉發(fā)到未知目的地址的情況時�。這時,交換機會向所有端口發(fā)送數(shù)據(jù)(廣播)��。上述也是交換機的工作原理���。 許多黑客利用交換機工作原理����,不斷向交換機發(fā)送未知目的地址的數(shù)據(jù)包���,使得交換機不斷廣播��,導致網絡癱瘓����。 當然可以采取一些措施避免黑客進行上述攻擊,如: 1���、設置交換機僅在啟動階段只進行一次地址學習���,或者完全關閉交換機的地址學習功能,改用靜態(tài)IP地址的映射�。同樣可以使用用這些方法建立ARP地址表,完成MAC地址和IP地址的映射��。對于汽車這樣一個靜態(tài)網絡��,完全可以采用這些方法建立地址表�����,還可以根據(jù)地址條目數(shù)量���、地址范圍和變化頻率對地址學習進行限制����。 2�����、還可以建立組播消息的過濾策略。交換機會將組播消息轉發(fā)至滿足組播要求的端口����,因此只有同組內成員可以接受都組播消息��。但是�����,同樣需要對非組內成員接受到組播消息的行為進行會話��,可以將其拋棄或者轉發(fā)至特定地址���。 3����、交換機現(xiàn)在還可以使用強制認證策略��,使得端口處于禁用狀態(tài)����,直到成功認證后方可啟用。網絡節(jié)點的認證需要由交換機固件或直連到交換機的微控制器完成�����,這樣可以保證快速啟動。 密鑰管理 密碼學的基本原理要求:不能將同一密碼用于不同功能或者設備�����,且同一密碼的使用時間不宜過長�����。 
不同的過程�����,如數(shù)據(jù)認證��、密鑰交換和數(shù)據(jù)加密應分別使用各自的密碼�����。這樣��,在某一密碼收到損害時����,如數(shù)據(jù)加密�����,仍可以正常地通過密鑰交換更改數(shù)據(jù)加密的密碼���。保證密鑰安全的方式有:宣布照顧密鑰的使用時間����,保證它僅用于有限的數(shù)據(jù);跟還有不同地汽車功能和適用范圍進行分類�,各類通信分別使用不同地密鑰。 
汽車不同ECU的密鑰分配是一項十分復雜的工作�����,在IT網絡中�����,密鑰分配有相關規(guī)范�����。由于這些密鑰管理辦法消耗大量資源且需要一個線上的授權服務器�����,無法對實時和速度保證,因此不適用于汽車網絡��。在汽車網絡中�,可以由一個專用于ECU作為密鑰master,給網絡內的其他ECU分配密碼���。 實現(xiàn)上述想法的基本思路為:密鑰交換是通過對稱加密實現(xiàn)的��,由診斷請求�����、定期或者外部的服務后端服務器觸發(fā)��。密鑰master是唯一與后端服務器進行密鑰相關通信的ECU�����,當然也可以使用非對稱密碼學方法來完成密鑰管理���。 上述內容,是將傳統(tǒng)以太網中應用到信息安全策略移植到車載以太網應用中�����,多方面、分層級保護信息安全措施�����。 自媒體提供了一個展現(xiàn)自己觀點的平臺��,我有幸參與其中���,來暢所欲言的表達自己觀點。但鑒于眼界和以往經驗����,闡述的觀點有可能具有一定的局限性,望讀者批判性的閱讀�����。 若您有所收獲���,我將萬分激動���,因為他人的認可是我幸福度提高的動力和源泉����,也是我不斷更新的動力���。
|
