车载以太网防火墙设计
2023-1-26 18:2:34 Author: 谈思实验室(查看原文) 阅读量:17 收藏

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

车辆内部的以太网网络是一个相对封闭的环境,没有因特网那么复杂。由于车辆内部的通信参与者都是固定不变的,所以IP地址和Port都是可以提前的,这样就免去了使用DHCP协议去动态分配地址的开销。同时,整车网络内的虚拟子网也是预先划分好的。

车载以太网网络内部的几种角色:

1.Switch(交换机)

在某个VLAN中利用层2地址(MAC地址)转发以太网帧

2.Router(路由器)

利用层3地址(IP地址)在VLAN之间转发以太网帧

3.ECU 节点(不具备转发功能的ECU)

ECU节点需要检查自己收到的以太网帧是否合法,主要从两个角度进行检查,分别是通信矩阵的定义和预先定义的通信协议。

为了避免大量不相关信息在车载以太网网络内到处转发,通常我们可以使用VLAN将整个网络根据功能域划分为各个虚拟子网,比如娱乐系统、驾驶辅助系统、舒适系统等。如果遇到需要跨VLAN传播的情况,就要利用上面提到的Router这个角色。关于VLAN的信息可以参考IEEE 802.1Q。

接下来将以一张通信协议栈的图阐述设计车载以太网防火墙时要考虑哪些方面。这张图展示了车载以太网通信协议栈用到的各层协议。本文以IPv6为例说明。

车载以太网通信协议栈用到的各层协议(以IPv6为例)

Ethernet(层2):由于VLAN是预先划分好并写在通信矩阵里的,所以每个ECU只应该接收属于本VLAN的层2帧。另外ECU还要检查收到的以太网帧的MAC地址自己是否已经学习过,还要检查层2报头中的Ethernet Type字段,比如如果车辆预先定义要求使用VLAN,那么Ethernet Type就必须是0x86DD(代表上层是IPv6).

IPv6(层3):由于在车载网络内以太网帧的源IP和目的IP通常也是预先写在通信矩阵里,所以每个ECU只应该接收在通信矩阵中定义的属于自己的数据包。在这一层次检查的对象就是源IP和目的IP。另外还要检查目标IP地址与层2目标MAC地址之间的关系是否正确。

PTP(层3):PTP协议是用来在各个ECU之间进行时间同步的。对于它来说,要检查层2的Ethernet Type是否为0x88F7。

ICMPv6(IPv6的控制协议):ICMPv6报文中没有用户自定义的内容,所以需要检查的只是ICMPv6协议中定义的这几个字段,通常这些工作都由集成在系统中的TCP/IP自动完成了。

TCP和UDP(层4):由于在车载网络内以太网帧的源port和目的Port通常也是预先写在通信矩阵里,所以每个ECU只接收属于自己的数据包。

DoIP(应用层):由于每个OEM可能定义ISO13400规定之外的自己的Payload Type的,所以这个字段要进行检查。另外还要检查Protocol Version。

PDU(应用层):根据Autosar的规定,会有多个PDU复用一个以太网帧中,为了区别PDU,每个PDU都要有自己的PDU-ID,而这些内容也是在通信矩阵中预先定义的。ECU只能接收定义的PDU-ID。

防火墙的实现手段:

1.将各种配置信息直接写死在软件中。

2.将配置信息做成一个配置文件或者参数文件,写到ECU中。

另外,为了更好地检查和监测以太网防火墙的工作情况,还可以为防火墙设计一些诊断的测量值,比如在层2、3、4因各种原因过滤掉的、成功接收的、成功发送的数据包。

码上报名

WISS 2023 第四届世界物联网安全及数据安全治理峰会火热报名中,3月9-10日,上海

码上报名

AutoSec 7周年年会暨中国汽车网络安全及数据安全合规峰会,5月10-11日,上海

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车?

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架,我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级(OTA)技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全功能安全自动驾驶TARA渗透测试SOTIFWP.29以太网物联网安全等,现专题社群仍然开放,入满即止。

扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。

谈思实验室,为汽车科技赋能,推动产业创新发展!


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247518104&idx=1&sn=b277af4f16d9a0f670f4e6fbfa5126fe&chksm=e927c343de504a557eaa431f1c364838f6cfb83ded04e2e38fe09532c500158e6d208ae9a618#rd
如有侵权请联系:admin#unsafe.sh