Statusseminar Bericht AP 4.4 Seamless Interoperability Seite 1
Agenda 1. Einleitung 2. Use Cases 3. Ziele des AP 4.4 4. Untersuchte Technologien 1. Schicht 4 - Transport Multipath-TCP (mptcp) Stream Control Transmission Protocol (SCTP) 2. Schicht 3 - Vermittlung Locator/Identifier Split Mobile IP Network Mobility (NeMo) 3. Schicht 2.5 Media Independant Handover (MIH, IEEE 802.21) 5. Ausblick Seite 2
1. Einleitung Webserver Smartphone Gateway Internet Proxy OEM Diagnose VPN-Endpunkte Mobilfunkanbieter Kommunikation mit extern IEEE 802.11 (WLAN) GMS/ UMTS... Steuerung per Smartphone Hautpkommunikation bei Stillstand Hauptkommunikation bei Bewegung Ladekommunikation Generische Backend-Lösung Seite 3
2. Use Cases - Übersicht 1. Ferndiagnose 2. Remote Code Update 3. Webservices Office Webbrowser Location based services / Navigation 4. Fernauslösung von Funktionen und Statusabfragen Seite 4
2. Use Cases - Anforderungen an die Kommunikation Senden von Befehlen nach Bedarf / Aufrechterhaltung der Verbindung Von Fahrzeug Von Backend Unterstützung von Authentifizierungsmaßnahmen Unterstützung von Verschlüsselung Sicherstellung der Integrität Hohe Toleranz gegenüber Latenz, Jitter Seite 5
3. Ziele des AP 4.4 Nahtlose Umschaltung zwischen verschiedenen Übertragungsmedien (Multihoming) Anwendungsspezifische Festlegung von Authentizität, Integrität, Vertraulichkeit übermittelter Daten Möglichkeiten der Vernetzung des fahrzeuginternen Netzwerks mit der Umwelt auf IP-Basis unter Berücksichtigung des Sicherheitsmodells Besonderheiten bei Kommunikation mit fahrzeugexternen Systemen; Untersuchung von systembeeinträchtigenden Angriffen Definition von Schutzmechanismen für die direkte Verbindung mit dem Internet Seite 6
3. Ziele des AP 4.4 Definition Umwelt: Start- oder Zielpunkt der Kommunikation außerhalb der fahrzeuginternen Kommunikationswege, keine Beachtung von CE-Geräten Nicht betrachtet, da bereits in anderen Projekten untersucht: Car2Car-Kommunikation Roadside-Kommunikation Seite 7
4. Technologien: Multipath TCP (mptcp) Erweiterung von TCP Aufsplittung einer TCP-Verbindung in mehrere "Subflows", welche ihrerseits eigenständige TCP Verbindungen sind Seite 8
4. Technologien: Multipath TCP (mptcp) Vorteile: Erweiterung des Standardprotokolls TCP - alle Eigenschaften von TCP bleiben erhalten Load Sharing über mehrere Übertragungswege, um maximalen Durchsatz über alle verfügbare Schnittstellen zu erreichen Für alle Use Cases geeignet Unterstützt TLS und IPsec Nachteile: Gleiche Nachteile wie bei TCP (Anfälligkeit gegen SYN- Angriffe, ) mptcp ist derzeit noch nicht fertig standardisiert Benötigt zusätzliche Sicherungsmaßnahmen Seite 9
4. Technologien: Stream Control Transmission Protocol (SCTP) Neu entwickeltes Transportprotokoll, um bekannte Schwachstellen von TCP auszubessern Sicherheit durch Verwendung eines 4-Way- Handshakes beim Verbindungsaufbau; beim initialem Verbindungs-aufbau reserviert der Server keine Ressourcen für die Verbindung, so dass ein DoS auf diese Art und Weise nicht möglich ist Inhärente Unterstützung von Multihoming Verwendet ähnliche Algorithmen für Flow- und Congestion Control wie TCP -> verhält sich in einem gemischten Netz neutral Regelmäßige Erreichbarkeitsprüfung durch Heartbeats Seite 10
4. Technologien: Stream Control Transmission Protocol (SCTP) Vorteile: Resistenz gegenüber SYN-Flooding Zuordnung des Kommunikationspartners durch einen Verification-Tag, der zu Beginn der Kommunikation ausgehandelt wird Für alle Use Cases geeignet Unterstützt TLS und IPsec Nachteile: Anpassung von Anwendungen notwendig Höherer Overhead durch 4-Way-Handshakes und gelegentliche Heartbeats Seite 11
4. Technologien: Locator/Identifier Split Die IP-Adresse gibt Auskunft, wo (locator) man sich befindet und wer (identifier) man ist Anwendungen benötigen i.a. nur den identifier zur Kommunikation; der locator ist für das Routing zuständig Idee: Aufsplittung der locator/identifier Dualität der IP-Adresse -> Locator/Identifier Split Zwei Möglichkeiten für Splitting: Map-and-encap Address rewriting Seite 12
4. Technologien: Locator/Identifier Split Map-and-encap: Verwendung von zwei Adressräumen Endpoint ID (EID, Start/Ziel-Adressen) Routing locator (RLOC, Verwendung für Routing) An jedem Übergangsrouter erfolgt eine Abbildung der Ziel-EID auf den RLOC, damit der nächste Hop bestimmbar ist Typischerweise werden große Mapping-Tabellen in entsprechenden Geräten erzeugt Seite 13
4. Technologien: Locator/Identifier Split Address rewriting: Funktioniert nur mit IPv6 Bei Paketgenerierung: Obere 64 Bit der Quelle werden vorerst nicht genutzt Untere 64 Bit der Quelle nutzen MAC-Adresse als Identifier Zieladresse muss komplett sein Am ersten Übergangsrouter werden die oberen 64 Bit mit einem validen Wert belegt Seite 14
4. Technologien: Locator/Identifier Split Primäres Ziel von Locator/Identifier Split ist eine Verbesserung des Routings - Multihoming ist ein "Abfallprodukt" Es existieren viele Realisierunsvorschläge, wobei die meisten nicht über einen draft-status hinausgehen Sicherheitsvorkehrungen sind kaum vorhanden Beste Ansätze: Locator/identifier separation Protocol (LISP) Site multihoming by IPv6 Intermediation (SHIM6) Weitere Ansätze: Host Identity Protocol (HIP) Global, Site and End-System address elements (GSE) Internet vastly improved plumbing (Ivip) Six/One Seite 15
4. Technologien: Mobile IP Betrachtung eines mobilen Gerätes, welches sich durch mehrere Netzwerke bewegt Die Heimatadresse des Gerätes bleibt erhalten -> die Mobilitätsverwaltung erfolgt mittels eines Home Agent im Heimatnetz Im Fremdnetz erhält das Gerät neue Adresse (aus dem Adressraum des Fremdnetzes), die dem Home Agent mitgeteilt wird Der Home Agent kümmert sich um die Paketweiterleitung ins Fremdnetz Das Gerät gibt als Absender immer nur die Heimatadresse an Für alle Use Cases geeignet Absicherung durch IPsec Seite 16
4. Technologien: Network Mobility (NeMo) Betrachtung der gemeinsamen Bewegung von Geräten (bspw. im Zug, Flugzeug) Ein Endgerät bezieht seine Adresse zunächst von einem Heimatrouter; bewegt es sich in den Bereich eines anderen Routers wird jeglicher Verkehr über den Heimatrouter zu dem anderen Router geleitet Verschachtelung von Netzwerken ist möglich Seite 17
4. Technologien: Media Independent Handover (MIH, IEEE 802.21) Schicht 2.5 Protokoll Benötigt weitere Protokolle zur Mobilitätsverwaltung (wie z.b. Mobile IP) Handover-Optimierung durch direkte Signalisierung Übersetzung von generischen Kommandos aus der Anwendungsschicht in medienspezifische Kommandos auf den niedrigeren Schichten Seite 18
5. Ausblick & Empfehlungen Folgende Themen werden noch weiter bearbeitet: Intrusion Detection Anforderung an die Privatspähre/Datenschutz Empfehlungen für Use Cases: SCTP Mobile IP Seite 19
Vielen Dank für ihre Aufmerksamkeit Seite 20