随着智能网联汽车的发展,具有大带宽、传输速度快等优势的车载以太网,可以作为下一代EEA的骨干网,而准确的时序和可靠安全的数据传输在汽车环境中至关重要。
时间敏感网络作为传统以太网的扩展可以保证车载以太网的☞时间同步、☞低延迟传输和☞可靠性,然而很少有讨论TSN的安全机制,小怿今天就和大家聊一聊TSN协议之安全协议(802.1Qci)的那些事儿。
在大带宽需求的背景下,现代汽车的网络架构将是传统总线(如CAN、LIN和FlexRay)与新型总线(如CAN FD和以太网)技术相结合的新链路,不同的域和不同的时序要求共享相同的以太网基础设施。未来,智能汽车的EEA随着通信的集中化发展,应用TSN技术的车载以太网将作为骨干网存在。
TSN技术的引入使得车载以太网可以满足车内通信系统服务质量的要求,包括时间同步、实时性和高可靠性。
TSN技术最初是作为音频视频桥接(Audio Video Bridging,AVB)的扩展,其主要目标是为网络中的时间敏感数据流提供零拥塞丢失和有限延迟,同时支持尽力而为流量的传输。
虽然TSN为车载以太网带来了好处,但是车辆也面临着新的挑战。在过去,车辆和外界通信断开连接,因此黑客攻击和操作车辆的可能性很小。但是现在, V2X技术使得车辆暴露在网络环境中,从而增加了车辆的攻击面,例如黑客可以使用大多数汽车仪表板下的车载诊断(OBD-II)接口直接访问车载网络。
此外,车载以太网除了TSN之外,还可以使用更复杂的通信协议(如DoIP、SOME/IP),其缺陷也会增加车辆的安全风险。
可以想见,当越来越多的车辆应用场景需要以太网参与的时候(例如诊断通信、高速率确定性传输以及面向服务的架构),各种各样的漏洞也会随之而来。
黑客是怎么攻击以太网的呢?
一般攻击者会通过以下三种方式对车载以太网发起攻击[1]:
· 主动操纵或窃听报文:攻击者想要操纵车辆的功能集,甚至通过车辆的部件(ECU)来利用原始设备制造商(OEM)的后端服务器。此外,攻击者通过长时间收集车载网络的通信报文,可以获取车载网络使用的加密方式和密钥的详细信息。
· 伪装攻击:攻击者通常是未经授权的设备,使用虚假身份与原始车载网络进行通信,此时如果通信系统的授权过程没有得到充分保护,则很容易受到攻击。
· DoS攻击:拒绝服务攻击(Denial of Service attack)类似于破坏目标网络的泛洪攻击,占用大量可用带宽来阻止原始车载网络报文的正常发送。
其中,最常见的是DoS攻击,我们通过一个端口传输速率100Mbps的网桥来示例,如图1:
· 图1(a)显示ECU1和ECU2正常运行的情况,两个流量分别分配了30Mbps和40Mbps的带宽,一共70Mbps的带宽;
· 图1(b)表示ECU1遇到DoS攻击或节点故障时,其传输流量变得异常,从原来的30Mbps激增至80Mbps,如果网桥的入端口没有过滤和监管机制,则ECU2的数据传输会受到ECU1故障数据的影响,导致ECU2的数据无法正常传输,发生拥塞和丢包;
· 对于ECU1的异常数据流量,通常的做法是网桥的入端口对其进行限流(如图1(c))或直接将其阻断(图1(d))。
图1-DoS攻击的示例
传统以太网是通过在OSI模型的第3层和第4层设置防火墙(Firewall)来避免DoS攻击并限制同时连接到网络的数量和吞吐量。
此外,还有使用密码学的方式。密码学的IEEE 802.1AE MAC 安全 (MAC-Sec) 提供了在固定网络中验证报文有效负载内容的规范,并指定了如何加密报文有效负载的内容来提供除报文验证之外的机密性。
除了上述提到的传统以太网安全协议外, 还有安全套接字层 (SSL)、传输层安全性 (TLS) 和数据报传输层安全性 (DTLS), 以及AUTOSAR组织标准化的车载安全通信 (Security Onboard Communication,SecOC)等协议可用于提高安全性。
而TSN作为车载以太网数据链路层的扩展,需要对第2层进行保护,因此需要考虑流过滤和监管(这取决于如何使用不同的检测参数,如MAC地址、VLAN ID等),Qci协议就很好的解决了这个问题。
TSN提出的802.1Qci协议(Per-Stream Filtering and Policing,PSFP)[2],对到达网桥入端口的报文,提供流过滤和监管功能,来防止流量过载,从而提高网络安全性。该过程发生在数据流到达网桥的入端口之后,在出端口排队之前,如图2所示。
图2-网桥中MAC帧的转发过程
流过滤和监管功能的数据处理过程主要由以下组件支持:
TSN
(1) 流过滤器(stream filter)
(2) 流门控(stream gate)
(3) 流计量器(stream meter)
每个组件都有对应的参数实例表,即流过滤器实例表、流门控实例表和流计量器实例表,如图3所示。流过滤器实例表是一个由多个流过滤器组成的有序列表。进入流过滤器的流被分配流门控和流计量器,实现流过滤和监管。
图3-TSN的流过滤和监管功能
(1)
对于流过滤器,传入帧根据流过滤器中的Stream Id(与流识别得到的Stream_handle参数相关联)和priority参数匹配到对应的流过滤器,不匹配流过滤器的帧被丢弃。
· 流过滤器中的零个或多个过滤器(Filters)规范、Gate Id 和Meter Id参数确定与流过滤器相关的过滤器规范、流门控和流计量器。
· 过滤器规范表明,如果进入流过滤器的流数据包超过定义的服务数据单元(Service Data Unit,SDU),则将其丢弃。
· 此外,计数器(Counters)对匹配的、通过的以及丢弃的帧进行计数。
(2)
对于流门控,过滤后的帧按照门的状态依次传输。
· 门的状态包括打开和关闭。
· 门打开时允许帧通过,门关闭时不允许帧通过。如果该帧没有在正确的时间窗口内按时发送,则在门关闭时该帧将被丢弃。
· 基于门控列表(Gate Control List,GCL)对数据流进行过滤;并对通过门的帧赋予IPV(常和TAS、CQF整形器结合使用),用于确定后续进入的traffic class队列。
(3)
对于流计量器,通过门的流量由流量过滤器指定Meter Id的计量器(meter)进行监管。
· 流分类规则根据帧的参数(例如,目标 MAC 地址、源 MAC 地址、Priority等)识别具有相同转发和计量过程的流集合。
· 使用相同分类规则得到的流集合中的流使用相同的流计量器,即相同流集合中的流的相关带宽参数相同。
· 流计量器使用令牌桶原理(参见MEF10.3[3])将通过流过滤器和流门控的数据包标记为Green(通过)、Yellow(警告)和Red(丢弃)。
流计量器实例包含承诺信息率、承诺突发大小、超额信息率、超额突发大小等参数。这些取决于带宽配置文件的参数设置流的带宽和突发大小以监管数据流。不满足这些带宽分配和流量大小的流将被丢弃。
图4-TSN的流过滤和监管的处理流程
在图5的Qci流计量器示例中,端设备E1沿着路由r1传输流s1到端设备E3,端设备E2沿着路由r2传输流s2到端设备E3,配置网桥B1和B2使用Qci流计量器来限制两个流s1和s2的速率:
• 对于网桥B1入端口到达的流s1希望保证50Mbps的速率(即承诺信息率(CIR))并允许超过这个速率高达20Mbps(即超额信息率(EIR));
• 对于网桥B2入端口到达的流s2希望保证40Mbps(即承诺信息率(CIR))。由于网桥B2的出口端口的速率不超过100Mbps,则需要将流s1的超额信息速率(EIR)降低到10Mbps。
图5-使用Qci流计量器实现限流
802.1Qci可以解决网络攻击和流量过载问题。例如,流过滤和监管功能将通过限制传输带宽来控制数据流,从而在网络中发生 DoS 网络攻击时提高网络的安全性。
由于篇幅有限,小怿今天就介绍到这里了,请大家持续关注我们的公众号,有任何疑问都可以在下方评论区留言哦,我们收到后会第一时间为您解答。
欢迎大家一起关注TSN技术的进展,一起探讨,共同进步。
参考文献:
[1]Committee VCSE, Cybersecurity Guidebook for cyber-physical vehicle systems, SAE International, Warrendale, PA. USA,2016.
[2]IEEE802.1Qci-2017, IEEE Standard for Local and Metropolitan Area Networks - Bridges and Bridged Networks, Amendment 28: Per-Stream Filtering and Policing.
[3]MEF Technical Specification 10.3 (MEF 10.3), Ethernet Service Attributes Phase 3.
往期 · 推荐
【操作细则】如何实现TSN系统级测试?
TSN协议之冗余协议——IEEE 802.1 CB
传输层安全协议TLS——协议解析
传输层安全协议TLS——密码学概述
一刻钟读懂gPTP
