-Security am Beispiel SOME/IP VDI/VW-Gemeinschaftstagung Automotive Security, 21./22.10.2015, Wolfsburg V1.0 2015-10-21
Agenda 1. Motivation 2. SOME/IP und AUTOSAR 3. Bestehende Security-Protokolle für 4. Absicherung von SOME/IP 5. Zusammenfassung 2
Motivation Warum Security? Zugriffskontrolle OBD Head Unit DSRC 4G LTE CAN CAN Powertrain DC Chassis DC Central Gateway Connectivity Gateway CU Schutz vor unechter Firmware Laptop CAN & LIN Body DC Tablet Komponentenschutz ADAS DC Instr. Clust. Smartphone Smart Charging Der Schutz von Intellectual Property (IP) und vor Manipulation erfordert eine authentisierte Kommunikation. Für z.b. die Schlüsselverteilung im Fahrzeug kann auch die Vertraulichkeit der Kommunikation ein Schutzziel sein. 3
Motivation und SOME/IP Projekte von Vector SOME/IP Jan. 2013 Jan. 2014 Jan. 2015 Okt. 2014 SOME/IP in AUTOSAR 4.2.1 standardisiert und SOME/IP werden immer stärker nachgefragt. 4
Agenda 1. Motivation 2. SOME/IP und AUTOSAR 3. Bestehende Security-Protokolle für 4. Absicherung von SOME/IP 5. Zusammenfassung 5
SOME/IP und AUTOSAR Scalable Service-Oriented Middleware over IP (SOME/IP) SOME/IP als Teil von AUTOSAR 4.2 bietet: Client/Server Kommunikation ( Funktionsaufrufe ) zwischen ECUs Benachrichtigung von Ereignissen an (mehreren) Empfängern im Netzwerk Service Discovery erlaubt das dynamische Auffinden von Services ECU 1 ECU 2 SWC A Client RTE SOME/IP XF Request Response SOME/IP Transformer (XF) serialisiert Daten zur Übertragung über SWC B Server RTE SOME/IP XF Basis SW 101101011100110101001101010111001101010 Basis SW 6
SOME/IP und AUTOSAR Einbettung in AUTOSAR 1. Software Component (SWC) möchte entfernten Service nutzen. LeftLight_SetState(ON); 2. Runtime Environment (RTE) setzt Funktionsaufruf mit Hilfe des SOME/IP Transformers (XF) um. SWC RTE SOME/IP XF Client ID Session ID Version Info Msg. Type Ret. Code Payload (hier z.b. 1=ON) 7 3. Large Data COM (LDCOM) und PDU Router (PDUR) geben die Daten an den SOAD weiter. 4. Der Socket Adapter (SOAD) imitiert die notwendige Verbindung und fügt Service ID und Method ID (für LeftLight_SetState) hinzu. 5. Über TCP/IP, das Interface (ETHIF) und den Treiber (ETH) wird der Request versandt. LDCOM PDUR SOAD TCP/IP ETHIF ETH Hardware
Agenda 1. Motivation 2. SOME/IP und AUTOSAR 3. Bestehende Security-Protokolle für 4. Absicherung von SOME/IP 5. Zusammenfassung 8
Bestehende Security-Protokolle für Media Access Control Security (MACsec) OSI Layer: 2 Verbindung Schutz: Integrität, Vertraulichkeit, Authentizität Verbindungsart: -zu- Schnittstelle Anwendungsgebiet: Backbones, IP Telefonanlagen Frame MAC Dest. Addr. MAC Src. Addr. Ether Type Version, Association, Length, IV Secure Data ICV CRC checksum 86 DD for IPv6 88 E5 for MACsec MACsec Protocol Data Unit (MPDU) SecTAG (8 or 16 bytes) ICV Integrity Check Value 9
Bestehende Security-Protokolle für Internet Protocol Security (IPsec) OSI Layer: 3 Netzwerk Schutz: Integrität, Vertraulichkeit (opt.), Authentizität Verbindungsart: IP-Knoten zu IP-Knoten Anwendungsgebiet: Mehrere IP Netze miteinander verbinden (VPNs) Frame Header IP Header Next Header, Length, Sequence, Number, Association (SPI), ICV Secure Data CRC checksum IP Packet Authentication Header (AH) 10
Bestehende Security-Protokolle für TLS/DTLS OSI Layer: 6 Präsentation Schutz: Integrität, Vertraulichkeit, Authentizität Verbindungsart: Client-Server-Verbindungen Anwendungsgebiet: Webbrowser Frame Header IP Header TCP/UDP Header Content Type, Version, Length, MAC, Secure Data CRC checksum IP Packet TLS Record Content Type ChangeCipherSpec Alert Handshake Application Heartbeat 11
Bestehende Security-Protokolle für Zusammenfassung Typische Anwendung MACsec IPsec TLS/DTLS Sichere Verbindung zwischen IP-Telefon und Telefon-Server am gleichen Standort OSI-Layer Layer 2 - Verbindung Sichere Verbindung von IP Netzwerken (VPN) Sichere Verbindung zwischen Client und Server, z.b. Webbrowser Layer 3 - Netzwerk Layer 6 - Präsentation Kontroll-Ebene IEEE 802.1X IKE, IKEv2 RFC 5246 RFC 6347 Daten-Ebene IEEE 802.1AE IPsec Bemerkungen Komplexes Protokoll mit vielen Optionen und Varianten TLS erfordert ein verlässliches Transport-Protokoll und läuft über TCP. DTLS basiert auf TLS und wurde angepasst um über UDP zu arbeiten. 12
Agenda 1. Motivation 2. SOME/IP und AUTOSAR 3. Bestehende Security-Protokolle für 4. Absicherung von SOME/IP 5. Zusammenfassung 13
Absicherung von SOME/IP Sicherung mit Secure Onboard Communication (SecOC) Dieses Mal soll die Kommunikation authentisiert sein: LeftLight_SetState(ON); Geschützt durch Message Authentication Code (MAC) und Freshness Value SecOC SWC RTE LDCOM SOME/IP XF PDUR SOAD Data SOME/IP Data Payload Freshness Value MAC Freshness Value soll vor Replay Angriffen schützen Service ID und Method ID (SOAD Data) sind nicht gesichert Schlüsselmanagement nahezu unspezifiziert SOAD TCP/IP ETHIF ETH Hardware 14
Absicherung von SOME/IP Transport Layer Security (TLS) TLS client TLS server Möglicher AUTOSAR-Stack mit TLS: Client Hello Server Hello SWC Server certificate Demand client certificate Client certificate Optional step RTE LDCOM SOME/IP XF Hello done PDUR Key exchange Change cipher spec Finish Change cipher Finish SOAD TLS TCP/IP ETHIF ETH Hardware 15
Zusammenfassung Zusammenfassung und SOME/IP sind stark im Kommen Es gibt verschiedene potentielle Protokolle zur Absicherung der Anwendungsfälle SecOC ist bereits heute für eine authentisierte Kommunikation über einsetzbar TLS steht als Alternative in den Startlöchern und SOME/IP können für das Fahrzeug sicher gemacht werden. Das Thema Schlüsselmanagement (Verwaltung, Aushandlung und Verteilung) stellt derzeit die größte Herausforderung dar. 16
For more information about Vector and our products please visit www.vector.com Author: Wolf, Jonas mit Dr. Eduard Metzker, Armin Happel Vector Germany 17 2015. Vector Informatik GmbH. All rights reserved. Any distribution or copying is subject to prior written approval by Vector. V1.0 2015-10-21