車輛與外部實現遠近場通訊的兩種主要連線方式:如包括藍芽、公釐波感測器、rfid及未來doip(diagnostic over internet protocal)在內的遠端連線;外部診斷裝置通過dlc口與整車can匯流排直接建立通訊的物理連線等。需要意識到的是:
診斷裝置廣泛應用於工程產品開發、工廠生產製造過程eol階段及售後模式的診斷,由於應用場景不同,所使用的工具不同,但通訊連線原理一致。
診斷裝置diagostic tester(tst)通過車輛通訊介面vehicle communication inte***ce(vci)與診斷口data link connector(dlc)連線。目前tst與vci之間常見的連線方式有usb,藍芽及wifi,而vci與dlc口之間則主要通過傳統can方式及今後的ethernet連線。
無論外部診斷裝置是通過物理連線與車輛can匯流排建立通訊或是用doip遠端診斷的方式,兩者實現目的一致:通過既有的診斷服務service,獲取車輛ecu包括故障碼在內的節點資訊,或是對車輛ecu的operation software及標定檔案進行flash program。
優勢是doip遠端診斷的方式能同時實現一台伺服器對多台車輛進行並行更新。
下圖是針對車輛乙太網診斷結構的協議棧,其中使用的診斷規範為uds。
對於診斷工程師或診斷裝置工程師而言,uds診斷協議並不陌生,且目前在業內趨於標準化推廣。需要認識的是,整車資料通訊報文可分為兩類,in-vehicle communication以及diagnostic communication。
uds的診斷服務如下:
當由外部裝置對ecu節點傳送物理定址或者功能定址的診斷服務時,對應節點會對其給出相應的反饋,正響應則會去實現對應的操作,或是由於不支援不滿足條件等而會拒絕。
那麼車輛需要在什麼樣的條件下對外部診斷服務給出正響應呢?
如在uds協議中,0x28是對車內communication進行控制的service,在裝置傳送
1003使節
點進入e
xten
sion
mode
後,緊接
傳送1003使
節點進入
exte
nsio
nmod
e後,緊
接傳送28 03後,模組即會禁止傳送及接收來自其他節點的應用報文或網路管理報文。試想,假如一輛車上並未對診斷服務進行安全策略的約束,那麼在車輛高速行駛過程中,hacker遠端對tcm或者ecm傳送了禁止通訊的報文,車輛各模組之間在powertrain上的報文即會終止,後果可想而知。
又如0x11service能對ecu進行reset,以及0x31service用於start對模組執行狀態起作用的routine control等等。
此類診斷服務若無嚴謹的安全診斷策略進行定義,將會使得外部發起攻擊異常簡單。
寶馬與奧迪目前正在進行全新end-to-end的電子架構設計,相似的是都在整車架構內採用了單個或多個高效能的**計算單元節點(如英偉達,高通,mobileye等提供的晶元)對各功能不同的域層進行管理。同時這些節點會與各oem雲平台進行資料互動,來實現定位,通訊,路徑規劃,以完成自動駕駛、v2x、ota等功能。
奧迪命名為**計算集群(central computing cluster)
類似的架構寶馬稱之為**計算平台(central computing platform)
全新的域層架構設計則如下圖,包括powertrain,底盤,車身控制,娛樂資訊系統,自動駕駛等功能在內的域層以乙太網作為傳輸介質,通過車內閘道器來實現資料傳輸。
傳統it行業的防火牆模組,會對各安全區域之間所有可能的通訊通路進行可靠性管理,即在所有區域邊界上,根據事件event對網路流量進行監控,並根據既定安全策略(如whitelist)來允許指令請求的通行,能抵擋住來自不安全網路的攻擊與入侵,以保障內網安全。
針對汽車防火牆需求定義,首先,由於在車內的分布式匯流排系統上,車輛ecu對不同domain之間通訊時的響應時間有著極為嚴苛的要求,因此防火牆須滿足執行的實時性(real-time),且在運算時必須比消費電子領域防火牆占用更少的cpu資源。
考慮到車載網路防火牆位於整車架構最外圍,如obd口或遠端通訊的入口,受到攻擊的頻次勢必最高,因此對於軟體update問題,firewall應具備足夠flexibility,如同傳統防火牆一致,車廠會要求firewall能及時實現快速公升級,完成防火牆策略及軟體協議棧的更新,確保迅速修復安全漏洞以抵禦快速更迭的攻擊方式。軟體執行於firewall的作業系統os之上,假如os受到病毒攻擊或非法篡改,所有安全策略都將不再適用,因此os也應支援遠端公升級。
在此過程中,任何**商留backdoor行為都不應被允許。最後應具備完備的log記錄功能,以對任何攻擊行為進行記錄並遠端傳輸給伺服器端,用於後期對攻擊資料進行分析。
防火牆硬體方面,首先需滿足傳統it行業的防火牆策略規範,也就是網路通訊時所應具備的安全篩選隔離功能。其次就是在汽車這個特殊場景下的需求,如作為嵌入式晶元,應滿足低功耗以及適應各種極端天氣下仍能正常工作的需求。能完成對closed-loop 閉環系統的整車資訊保安路由控制。
在正常通訊層面,由於domain架構設計需求,firewall後通常會直接連線多路匯流排,因此firewall在設計資料報吞吐量時也應適應不同匯流排的通訊速率。
在進行防火牆晶元選擇時,不同於傳統消費類電子防火牆,傳統oem會對晶元有定製化需求,因此cpu負載能力,ram大小都直接決定了防火牆的硬體成本,這裡不進行討論。
目前傳統越來越多的整車廠開始在架構設計中加入了防火牆,可見資訊保安的理念逐漸開始深入。由於車輛場景太過特殊,車輛防火牆須確保整車的功能安全在駕駛過程中不受到破壞,因此其地位也將會隨著車輛智慧型化的發展愈加重要,這就需要整車廠oem,晶元半導體公司,軟體公司的共同努力了。
資訊保安策略建立步驟
確定應用範圍 在制訂安全策略之前乙個必要的步驟是確認該策略所應用的範圍,例如是在整個組織還是在某個部門。如果沒有明確範圍就制訂策略無異於無的放矢。獲得管理支援 事實上任何專案的推進都無法離開管理層的支援,安全策略的實施也是如此。先從管理層獲得足夠的承諾有很多好處,可以為後面的工作鋪平道路,還可以了解...
MySQL安全策略
資料是企業核心資產,資料對企業而言是最重要的工作之一。稍有不慎,極有可能發生資料無意洩露,甚至被黑客惡意竊取的風險。每年業界都會傳出幾起大事件,某知名或不知名的公司被脫褲 拖庫的諧音,意思是整個資料庫被黑客盜取 之類的。從資料安全上也可以分為外網安全及內部操作安全,下面分別討論一下。內部操作安全策略...
SSH安全策略
ssh安全策略 ss配置基本安全策略 調整sshd服務配置,並過載服務 root vim etc ssh sshd config protocol 2 去掉ssh協議v1 permitrootlogin no 禁止root使用者登入 permitemptypasswords no 禁止密碼為空的使用...