当DoIP遇上TLS
最后更新:2022-07-02 12:43:46 手机定位技术交流文章
DoIP规范
以前的DoIP文章“DoIP测试与开发实践”已有两年了,当时使用的标准是ISO13400-22012版本,新的13400-2标准版本于2019年发布。然而,到目前为止,大多数 OEM Ethernet诊断刷刷标准仍参考2012年版本。每个人都熟悉DoIP协议,虽然Ethernet内部节点的DoIP策略的要求从主机到主机不同(例如需要内部节点支持部分DoIP报告,需要完整的DoIP协议),还有要求支持自定义的DoIP声明),但边缘节点的要求基本上符合2012年DoIP标准,那么,2019 DoIP规范的具体定义是什么?
ISO 13400-2 2019
与2012年版相比,2019年版的主要变化如下:
1.更新文档结构:增加“内部诊断”的概念,并改进有关细节的描述(例如,测试程序可以使用实时检查响应消息来维护DoIP会议)。
2.“运输层安全”。
本文主要介绍了TLS协议, 范围有限, 具体协议细节建议参考相关标准:
TLS1.2 IETF RFC 5246
TLS1.3 IETF RFC 8446
TLS简介
TLS Transport Layer Security,因为基于TCP的数据被传输,这些包可以被其他人截获和修改,这给网络信息的安全带来了巨大的挑战。基于此问题,Netscape公司提议SSL协议,当IETF标准化SSL协议时,将其命名为TLS,这意味着TLS属于SSL升级版本。TLS在密码学中使用非对称加密和对称加密来谈判密钥和应用数据加密,防止资料泄露和伪造,通过证书机制验证认证,防止第三方伪造通信节点。
TLS组成
TLS协议由两个层组成:TLS记录协议和TLS手握协议。TLS手握协议分为手握协议、密码规格更改协议、警告协议和应用程序数据协议。
握手协议负责进行加密算法的谈判和客户与服务器之间共享密钥,包括证书的认证操作。代码规范变更协议负责向通信对象传递信号,以更改代码模式,警告协议负责互相传达错误,当它们发生时,应用程序数据协议是将应用程序数据发送到通信对象的协议。TLS记录协议负责压缩、加密和验证数据。
TLS-based DoIP conversation process
对于支持TLS-based节点的节点,下面显示了DoIP安全对话过程。
出自ISO 13400-2 2019
1.完成物理连接和车辆检测过程
2.建立TCP连接(注:*终端编号3496)
3.完成TLS手握过程
4.路由激活、诊断数据交互(加密)
基于TLS的DoIP数据流
我们使用Vector CANoe软件模拟基于TLS的DoIP通信,数据流如下。
对于支持安全的DoIP对话的节点,诊断设备跳过TLS手握协议并直接发送路由激活请求。DoIP节点返回路由激活代码0x07的路由激活响应消息,路由激活失败。
保存数据并重新定位CANoe查询数据,因为CANoe不知道对称加密密钥不能进行分析
基于TLS的DoIP测试点
对于支持TLS的DoIP节点,需要同时添加相应的测试实例,例如TLS-DoIP流量导向测试、TLS-DoIP端口代码测试、手持协议跳跃测试、反向测试等。
总结与思考
鉴于TLS协议的安全、识别和一致性,目前TLS在资讯科技行业广泛应用,尤其是HTTPS协议。在汽车行业,基于TLS的DoIP协议以后可能更适用于OTA和无线刷画场景,提高数据传输的安全性。但DoIP引入了TLS的一些问题仍需考虑,首先,诊断内容需要通过对称加密算法加密,也就是说,它只能由沟通双方进行分析,想要分析数据的第三方必须知道两者之间的密钥,也就是说,如果测试工程师分析了一个基于TLS的DoIP数据,必须从诊断装置获取钥匙,因此,如何获得钥匙和方便需要加以评价。其次,基于TCP协议的诊断数据传输,ISO14229-5标准规定,输入或退出编程模式和ECUReset会导致TCP重新连接,对于诊断协议测试,控制器可以连续进入退出编程模式并执行ECU HardReset,在此期间,诊断装置与控制器之间的键可能相应地发生变化,那么如何在以后的测试分析中分析整个数据?当然,上述只是官员的意见,网络安全的重要性是显而易见的,引入新特性需要与应用场景迭代和优化相结合。支持OTA和远程诊断,相关技术信息化的趋势更加明显,谁将勇立潮头,且看风云变幻。
诊断技术的IT化 Photo source: Network
本公司致力于汽车电子的先进技术,并提供关键测试解决方案,包括:设计要求审核、测试规格/实例开发、测试脚本/工程实现及测试实现服务。如有兴趣,请进一步联络我们。
注: 文本中的一些图像来自Vector.
本文由 在线网速测试 整理编辑,转载请注明出处。
