在文章当中,我们了解到对于安全车载通信,主要涉及到的是MACsec,IPsec,TLS以及SecOC,SecOC针对于PDU,独立于通信协议。关于AUTOSAR SecOC的介绍可阅读
本文将介绍MACsec,IPsec,TLS的基本概念,对以太网协议栈能够提供的信息安全相关功能有一个大致概念。
基本概念[1]
MACSec,IPsec,TLS(SSL)协议从概念上来说都有相似之处,包含两部分处理,一部分是控制处理,用来描述/管理协议本身(认证,密钥等到),另外一部分是数据处理,以安全的方式对上层协议数据进行保护。
这三种协议都提供了这些安全服务:
双向认证(可选)
完整性
保密性(可选)
不可重放
不可抵赖
MACsec
MACsec是链路层的协议,点对点保护。它保护了网络设备之间的链接,例如笔记本电脑和交换机之间的链接。其控制部分遵从的是IEEE802.1x(WiFi也是用的此协议),只有认证的双方能够建立链接。
其数据部分遵从的是IEEE802.AE,对以太网报文基于AES-GCM进行加密。
当MACsec被使用时,只有认证双方可以连接网络
所有期望“欺骗”交换机/路由将网络数据重定向到攻击者机器的行为都不能成功
MACsec是WiFi中WPA2的有线等效
应用不会感知MACsec的存在
MACsec的典型应用场景是用户办公室的IP电话机和公司电话服务器之间的链接保护。
IPsec
IPsec是网络层协议,它保护任意参与IP网络的双方链接,例如互联网,且无论其链接需要经过多少个路由器或者多少个不同形式的连接。
控制部分由IKE/IKEv2完成
数据部分即IPsec
IPsec常用于VPN
拥有非常多选项的复杂协议
应用不会感知IPsec的存在
IPsec的典型应用场景就是移动设备的VPN客户端与企业中的VPN服务器的链接保护,可以认证是否允许连接,进而让职员安全地从远端访问到公司的资源。
SSL/TLS/DTLS
它们是传输层协议,保护的是两个终端的链接(可以理解为应用程序)。
由于过去版本的SSL(安全套接层)可能有安全问题,所以TLS(传输层安全)成为了SSL的替代。TLS要求可靠的传输层协议,因此一般都基于TCP工作。
DTLS也是TLS,但是适配于UDP通信。
SSL/TLS一般用于应用安全,例如HTTPS,因为凭据可以绑定到应用
从架构与软件角度来说,这些协议不会在系统层面实现,因此需要用户集成到应用
应用可以为每一个需要连接的主机指定加密和认证参数
SSL/TLS的典型应用场景是使用HTTPS从浏览器(SSL 客户端)安全地连接到公网网站。另一个场景则是通过浏览器连接到路由器基于网页的管理界面。
DTLS的使用场景是加密VoIP通信,数据可以实时传输,丢包也不会断开连接。
参考
^secure-networking-101-macsec-ipsec-and-ssl-basics-2 https://docslib.org/doc/13378673/secure-networking-101-macsec-ipsec-and-ssl-basics-2