01
背 景
隨著科技的迅猛發展�,汽車行業正經歷著前所未有的數字化變革?���,F代汽車中使用70多個電子控制單元(ECU)�,而且這個數字仍在上升[1]。在這場數字化革命中�����,診斷通信過程協議(Diagnostic communication over Internet Protocol���,簡稱DoIP)嶄露頭角�,成為汽車制造商和維修服務提供商之間進行遠程診斷和維修的核心通信工具�。DoIP協議的重要性在于它使汽車制造商能夠通過互聯網連接到汽車的電子控制單元(ECU),實時監測和遠程維修車輛��,為車主提供更加高效和方便的服務���。然而,隨著DoIP的普及��,網絡安全威脅也在日益增多�����。本文將探討DoIP協議的基本原理�����,并研究可能的攻擊方式,以及如何采取措施保護現代汽車免受潛在威脅�。
02
DoIP協議
DoIP協議是一種關鍵的汽車診斷和通信協議���,能夠高效傳輸大量數據���,提供快速響應��,并支持遠程診斷,其在ISO13400[2-5]標準中定義���。這一標準不僅定義了DoIP協議本身,還涵蓋了開放系統互連基本參考模型(OSI)的第一層到第四層����,包括了Ethernet���、IP及其他協議的使用細則���。DoIP協議并不是一個完整的診斷協議,而是一種擴展傳輸協議。它負責診斷數據包的傳輸��,而診斷服務仍由專門的診斷協議(如KWP2000協議和UDS協議)規定和說明�。DoIP協議的存在為現代汽車系統的高級診斷和通信提供了強有力的支持,確保了兼容性和一致性,使其能夠有效地在汽車領域中運行。
圖2.1 與DoIP部分相關的OSI模型
如下圖2.2所示為DoIP系統車輛網絡架構示意圖�,分為內部網絡和外部網絡���。這兩個部分之間通過兩組線束進行信息交互���。一組是用于數據傳輸的以太網線��,另一組是用于激活診斷功能的激活線。一般來說����,在工程師或者售后人員控制下的網絡節點被稱為外部測試設備(External Test Equipment)�����,外部測試設備向車輛發送診斷請求,然后等待被診斷車輛的響應。但是在智能網聯汽車豐富的使用場景中����,診斷測試設備可能出現布置在車輛內部的情況��,對車輛進行診斷,如OTA技術和遠程診斷,在這些使用場景中,診斷測試設備會作為車輛節點或將此功能集成在其他節點中。ISO13400標準對DoIP系統中不同作用的節點進行了分類����,這些分類包括:
1)DoIP實體(DoIP Entity):DoIP實體是實現DoIP協議的網絡節點��,例如DoIP節點或DoIP網關。
2)DoIP網關(DoIP Gateway):DoIP網關是一個網絡節點,它實施DoIP協議����,從而提供對其自身及其連接的車輛子網的ECU的訪問���。
3)DoIP節點(DoIP Node):DoIP節點是一個網絡節點,該節點實施DoIP協議以提供對其自身的訪問�,但不將DoIP協議數據路由到車輛子網���。
4)DoIP邊緣節點(DoIP Edge Node):DoIP邊緣節點是連接ISO 13400-3中定義的以太網激活線的節點����。
圖2.2 DoIP系統車輛網絡架構示意圖
DoIP(Diagnostic communication over Internet Protocol)協議嶄露頭角����,作為一種以太網診斷軟件架構的中間件�,它不僅重新定義了車輛的診斷通信方式���,還提供了一系列關鍵功能���,以確保車輛系統的穩定性��、安全性和可靠性:
1)車輛發現
車輛發現是DoIP協議的關鍵功能之一����。它用于檢測目標車輛中的ECU是否在線�。診斷儀發送廣播式的車輛發現報文,所有網絡中的ECU都會響應并提供自身的身份信息。通過分析這些響應,診斷儀可以確定在線的ECU,并對其進行分類���。
2)路由激活
DoIP協議中的“路由激活”與傳統網關的“路由”不同,它指的是診斷儀與被診斷節點之間的報文傳輸。在與外部測試儀建立通信連接之后,必須發送路由激活請求��。此請求需要DoIP節點驗證�,以確保合法性。這個過程還包括了DoIP節點對外部診斷儀的安全認證,其中ECU開發人員可以自定義安全認證算法��,以阻止非法診斷儀對ECU的訪問�。
3)診斷儀在線監測
DoIP診斷要求預先建立與ECU的通信連接,即TCP socket。因為建立socket連接會占用內存資源�,所以連接數量是有限的�。因此���,ECU在設計階段會定義支持的并行連接的數量�����。如果并行連接達到上限,將無法建立新的診斷通信連接�����。為防止無效占用連接通道�����,設計了診斷儀在線監測機制��。DoIP節點會定期向現有的連接通道發送在線監測請求,如果連接通道未收到診斷儀的響應��,則將復位該連接���,以待新的診斷儀接入��。
4)節點信息
節點信息包含了節點的屬性�����,例如支持的并行診斷儀連接數量、可接受的診斷報文長度以及當前節點的電源狀態�����。這些信息在診斷通信前進行檢查�����,以確保后續的診斷通信不受外部因素的干擾。
5)診斷通信
作為DoIP協議的核心功能��,診斷通信負責診斷報文的傳輸�����。每個診斷報文包括:發送方的邏輯地址(SA)�、接收方的邏輯地址(DA)以及診斷數據�����。在DoIP網絡中����,DA的作用類似于CAN總線網絡中的CANID,用于尋址目標ECU以進行診斷���,診斷過程如圖2.3所示。
圖2.3 診斷過程
DoIP協議的五大功能共同促成了基于車載以太網的高速診斷服務����,其允許更高速率的數據傳輸�����,從而提高了車輛診斷的效率。如圖2.4所示為一個完整的DoIP會話流程圖�����,其中涉及四個關鍵端口號:UDP_DISCOVERY(13400)�、UDP_TEST_EQUPMENT(49152-65535)、TCP_DATA(13400)和動態分配(49152-65535)�。診斷會話的建立經過以下步驟:
1)物理連接:診斷儀與車輛建立物理連接��。
2)IP地址配置:配置IP地址����,以確保診斷儀和車輛都能夠正確地通信。配置的方法有兩種����,DHCP和Auto-configuration�����。當DHCP配置未成功時,會觸發Auto-configuration。在DHCP配置流程中,通常由外部診斷儀扮演DHCP Server角色���。
3)車輛發現:車輛發現是通過UDP進行數據傳輸的關鍵步驟。DoIP實體主動發送三次Vehicle announcement message,以宣告其存在���。若未收到DoIP實體發送的Vehicle announcement message,診斷儀將主動發送Vehicle identification request請求,DoIP實體接收后會發送Vehicle identification response響應。
4)TCP連接:車輛識別后�,診斷儀會發起TCP同步���,并與DoIP實體建立TCP連接�。
5)路由激活:TCP連接建立后�����,診斷儀發送Routing activation request��,DoIP實體接收并響應Routing activation response,從而建立DoIP邏輯連接����。
6)診斷服務傳輸:接下來�����,可以進行診斷服務的傳輸�����。診斷儀發送Diagnostic message request�����,DoIP實體接收并響應Diagnostic message response。DoIP message ACK表示DoIP層級的確認報文(0x8002����、0x8003等)�����。
圖2.4 DoIP會話流程圖
DoIP協議為汽車行業帶來了巨大的好處,但它也引入了潛在的風險���,包括中間人攻擊、拒絕服務攻擊�、數據篡改等威脅���,這些威脅可能導致數據泄露����、車輛失控和用戶隱私侵犯等嚴重后果。
中間人攻擊是一種網絡攻擊,攻擊者通過攔截無線網絡通信或入侵車輛網絡的中間設備等方式來截獲DoIP通信��,截獲通信后通過偽裝成合法的通信方來欺騙車輛或設備�����,在偽造通信的過程中�����,攻擊者可以查看�����、修改����、插入數據���。在攻擊過程中�,攻擊者可以通過訪問車輛傳輸的敏感信息,如車輛位置����,車主信息�,車輛性能等數據�����,從而導致用戶的數據泄漏����;攻擊者可以通過偽造����、修改診斷數據,導致錯誤的診斷結果�,從而使維修人員采取不必要的維修操作��;攻擊者通過執行一些惡意的維修操作,如禁用車輛的部分功能或危害車輛的性能��,從而威脅駕駛員的人身財產安全�。中間人攻擊是DoIP協議所面臨的關鍵威脅之一��,因此必須采取適當的安全措施�����,以防止這種類型的攻擊并保護車輛數據和通信的安全。
針對中間人攻擊可以采用以下防范措施:
1)數據加密:使用加密算法保護DoIP通信,以確保數據的機密性和完整性�。
2)身份驗證:雙方的身份驗證是防范中間人攻擊的關鍵�����,使用數字證書和身份驗證來保證通信方的合法性。
3)網絡監控:實施網絡監控和入侵檢測系統,以及時檢測可疑活動和中間人攻擊的跡象�����。
拒絕服務攻擊旨在使目標系統�����、網絡或服務無法正常運作�����,從而導致服務不可用。在DoIP協議的應用場景中,攻擊者通過DoIP通信流量防洪�����、惡意DoIP消息注入、阻塞DoIP會話等多種攻擊手段來引發拒絕服務攻擊��,從而嚴重干擾DoIP通信和車輛維修等操作�,從而導致車輛無法進行遠程診斷或維修,嚴重的話會引發系統崩潰�,從而對人身財產安全造成威脅。因此必須采取有效的防范措施,以確保系統的可用性和穩定性。
針對拒絕服務攻擊可以采用以下防范措施:
1)流量過濾:使用流量過濾和防火墻技術,識別和過濾出現在DoIP通信中的惡意流量。
2)負載均衡:采用負載均衡技術�����,分散流量負載���,減輕單一點的壓力�����,提高系統的彈性�����。
3)引入反向代理服務器:作為DoIP通信的中間層,處理和緩解攻擊�。
4)容災計劃:建立容災計劃����,以便在遭受拒絕服務攻擊時迅速恢復服務��。
數據篡改攻擊則是通過試圖在傳輸過程中修改����、插入或刪除數據����,以操縱信息,導致錯誤的診斷結果或損害車輛的功能,在DoIP協議的應用場景中�,攻擊者通過中間人攻擊����、嗅探網絡流量或其他方式實現攔截DoIP通信中的數據包����,以獲得訪問數據的機會��。一旦獲得數據���,攻擊者會修改����、插入或刪除其中的信息, 然后重新傳輸已篡改的數據�����,使其看起來像是合法的數據���,車輛制造商或維修服務提供商接收到篡改的數據后����,可能依賴于這些數據來進行診斷和維修操作�。由于數據已被篡改,可能會導致錯誤的診斷結果和錯誤的維修操作�,影響車輛功能和安全性���。
針對數據篡改攻擊可以采用以下防范措施:
1)數據完整性驗證:使用數據完整性檢查技術�����,確保數據在傳輸過程中沒有被篡改。
2)加密數據傳輸:采用強大的數據加密措施�,以保護數據的機密性和完整性�,使攻擊者無法修改數據��。
3)數字簽名:使用數字簽名驗證數據的真實性��,確保數據未經篡改。
4)訪問控制:實施訪問控制措施�,限制對車輛數據的訪問����,并確保只有授權用戶才能對數據進行修改�。
參考文獻:
[1] Staron M. Automotive software architectures[M]. Cham, Switzerland: Springer, 2021.
[2] ISO. 2011. ISO 13400–1:2011, Road Vehicles – Diagnostic Communication over Internet Protocol (DoIP): Part 1: General Information and Use Case Definition. https://www.iso.org/obp/ui/#iso:std:iso:13400:-1:en
[3] ISO. 2016. ISO 13400–3:2016, Road Vehicles – Diagnostic Communication over Internet Protocol (DoIP): Part 3: Wired Vehicle Interface Based On IEEE 802.3. https://www.iso.org/obp/ui/#iso:std:iso:13400:-3:ed-2:v1:en
[4] ISO. 2016. ISO 13400–4:2016, Road Vehicles – Diagnostic Communication over Internet Protocol (DoIP): Part 4: Ethernet-Based High-Speed Data Link Connector. https://www.iso.org/obp/ui/#iso:std:iso:13400:-4:ed-1:v1:en
[5] ISO. 2019. ISO 13400–2:2019, Road Vehicles – Diagnostic Communication over Internet Protocol (DoIP): Part 2: Transport Protocol and Network Layer Services. https://www.iso.org/obp/ui/#iso:std:iso:13400:-2:ed-2:v1:en
