Ethernet-Security am Beispiel SOME/IP

Ähnliche Dokumente
Funktionale Sicherheit und Cyber Security

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

SERVICEORIENTIERTE KOMMUNIKATION MIT IP UND ETHERNET MARKUS BECHTER

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

8.2 Vermittlungsschicht

3.2 Vermittlungsschicht

Webinarreihe

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

oscan ein präemptives Echtzeit-Multitasking-Betriebssystem

SSL VPNs 2G06. VPNs eine Übersicht. IT-Symposium Andreas Aurand Network Consultant NWCC, HP.

Das J1939 Protokoll. Überblick und Ausblick

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

IPSec. Markus Weiten Lehrstuhl für Informatik 4 Verteilte Systeme und Betriebssysteme Universität Erlangen-Nürnberg

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Virtual Private Networks Hohe Sicherheit wird bezahlbar

Produktinformation CANoe.Ethernet

im DFN Berlin Renate Schroeder, DFN-Verein

IPSec und IKE. Richard Wonka 23. Mai 2003

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

VPN: wired and wireless

SSL-Protokoll und Internet-Sicherheit

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Vertrauliche Videokonferenzen im Internet

VIRTUAL PRIVATE NETWORKS

Vorlesung VPN: Drahtgebunden und drahtlos Fachbereich Informatik (FB 20) Lehrstuhl Prof. J. Buchmann

Layer 2 Forwarding Protokoll. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Systeme II 4. Die Vermittlungsschicht

IT-Sicherheit SSL/TLS. Jens Kubieziel. Fakultät für Mathematik und Informatik. 6. Januar 2012

Telekommunikationsnetze 2

shri Raw Sockets Prof. Dr. Ch. Reich

SSL/TLS und SSL-Zertifikate

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Sicherheitsrisiken bei WLAN

Computeranwendung in der Chemie Informatik für Chemiker(innen) 4. Netzwerke

Seminar Neue Techologien in Internet und WWW

2017 achelos. Benjamin Eikel

Rechnern netze und Organisatio on

Streaming Protokolle Jonas Hartmann

IPSec. Michael Gschwandtner, Alois Hofstätter, Roland Likar, Horst Stadler. Jänner 2003

VPN: wired and wireless

Anmeldung über Netz Secure Socket Layer Secure Shell SSH 1 SSH 2. Systemverwaltung. Tatjana Heuser. Sep Tatjana Heuser: Systemverwaltung

Rechnernetze II SS Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/ , Büro: H-B 8404

Digitale Identitäten in der Industrieautomation

IoT-Architektur für Web-Entwickler

Sichere Identitäten in Smart Grids

Übertragungsprotokolle TCP/IP Ethernet-Frames / network layer

Transport Layer Security Nachtrag Angriffe

IT-Sicherheit - Sicherheit vernetzter Systeme -

P107: VPN Überblick und Auswahlkriterien

Themen. Transportschicht. Internet TCP/UDP. Stefan Szalowski Rechnernetze Transportschicht

Security of IoT. Generalversammlung 21. März 2017

IP Adressen & Subnetzmasken

ARP, ICMP, ping. Jörn Stuphorn Bielefeld, den 4. Mai Mai Universität Bielefeld Technische Fakultät

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

Produktinformation. CANalyzer.Ethernet

Transportschicht TCP, UDP. Netzzugangsschicht

Produktinformation CANalyzer.IP

IT-Sicherheit Kapitel 11 SSL/TLS

Workshop: IPSec. 20. Chaos Communication Congress

Anytun - Secure Anycast Tunneling

Breitband ISDN Lokale Netze Internet WS 2009/10. Martin Werner, November 09 1

GigE Vision: Der Standard

Grundkurs Routing im Internet mit Übungen

Beweisbar sichere Verschlüsselung

IT-Sicherheit Kapitel 10 IPSec

Übung 3 - Ethernet Frames

Grundlagen der Rechnernetze. Internetworking

Sicherer Netzzugang im Wlan

Exkurs: IPSec. Brandenburg an der Havel, den 5. Juni 2005

IPsec. Vortrag im Rahmen des Seminars Neue Internet Technologien

Einführung in Ethernet und IP im Kraftfahrzeug

Mobilkommunikationsnetze - TCP/IP (und andere)-

Handbuch der Routing-Protokolle

WLAN-Technologien an der HU

Konfigurationsbeispiel

Netze und Protokolle für das Internet

Rechnernetze Übung 11

Mobilkommunikationsnetze. - IEEE Security -

Netzwerke, Kapitel 3.1

Tutorübung zur Vorlesung Grundlagen Rechnernetze und Verteilte Systeme Übungsblatt 6 (27. Mai 31. Mai 2013)

Freifunk in Chemnitz. Konzepte eines freien Internets. Dipl.-Ing. Amadeus Alfa M.sc. Steffen Förster

1E05: VPN Verbindungen zwischen Data Center und Branch Office

IPSec-VPN site-to-site. Zyxel USG Firewall-Serie ab Firmware-Version Knowledge Base KB-3514 September Zyxel Communication Corp.

IP Internet Protokoll

VPN Virtual Private Network

Rechnernetze Übung 11. Frank Weinhold Professur VSR Fakultät für Informatik TU Chemnitz Juni 2012

Verschlüsselung Neben den von IPSEC geforderten (aber unsicheren) Algorithmen null encryption transform und DES implementiert FreeS/WAN TripleDES.

Betriebstagung DFN-Verein , 14:30 15:00 Uhr Torsten Remscheid. U. Hautzendorfer / VoIP im DFN Fernsprechen

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Varianten Handling in AUTOSAR

VPN: wired and wireless

Einführung in Ethernet und IP im Kraftfahrzeug

VPN: SSL vs. IPSec. erfrakon - Erlewein, Frank, Konold & Partner Martin Konold Dr. Achim Frank. Präsentation auf dem

IPv6 Chance und Risiko für den Datenschutz im Internet

Implementierung eines universellen IPv6 Protokollstapels

Computeranwendung in der Chemie Informatik für Chemiker(innen) 5. Internet

Einführung in die Netzwerktechnik

Das ISO / OSI -7 Schichten Modell

Transkript:

-Security am Beispiel SOME/IP VDI/VW-Gemeinschaftstagung Automotive Security, 21./22.10.2015, Wolfsburg V1.0 2015-10-21

Agenda 1. Motivation 2. SOME/IP und AUTOSAR 3. Bestehende Security-Protokolle für 4. Absicherung von SOME/IP 5. Zusammenfassung 2

Motivation Warum Security? Zugriffskontrolle OBD Head Unit DSRC 4G LTE CAN CAN Powertrain DC Chassis DC Central Gateway Connectivity Gateway CU Schutz vor unechter Firmware Laptop CAN & LIN Body DC Tablet Komponentenschutz ADAS DC Instr. Clust. Smartphone Smart Charging Der Schutz von Intellectual Property (IP) und vor Manipulation erfordert eine authentisierte Kommunikation. Für z.b. die Schlüsselverteilung im Fahrzeug kann auch die Vertraulichkeit der Kommunikation ein Schutzziel sein. 3

Motivation und SOME/IP Projekte von Vector SOME/IP Jan. 2013 Jan. 2014 Jan. 2015 Okt. 2014 SOME/IP in AUTOSAR 4.2.1 standardisiert und SOME/IP werden immer stärker nachgefragt. 4

Agenda 1. Motivation 2. SOME/IP und AUTOSAR 3. Bestehende Security-Protokolle für 4. Absicherung von SOME/IP 5. Zusammenfassung 5

SOME/IP und AUTOSAR Scalable Service-Oriented Middleware over IP (SOME/IP) SOME/IP als Teil von AUTOSAR 4.2 bietet: Client/Server Kommunikation ( Funktionsaufrufe ) zwischen ECUs Benachrichtigung von Ereignissen an (mehreren) Empfängern im Netzwerk Service Discovery erlaubt das dynamische Auffinden von Services ECU 1 ECU 2 SWC A Client RTE SOME/IP XF Request Response SOME/IP Transformer (XF) serialisiert Daten zur Übertragung über SWC B Server RTE SOME/IP XF Basis SW 101101011100110101001101010111001101010 Basis SW 6

SOME/IP und AUTOSAR Einbettung in AUTOSAR 1. Software Component (SWC) möchte entfernten Service nutzen. LeftLight_SetState(ON); 2. Runtime Environment (RTE) setzt Funktionsaufruf mit Hilfe des SOME/IP Transformers (XF) um. SWC RTE SOME/IP XF Client ID Session ID Version Info Msg. Type Ret. Code Payload (hier z.b. 1=ON) 7 3. Large Data COM (LDCOM) und PDU Router (PDUR) geben die Daten an den SOAD weiter. 4. Der Socket Adapter (SOAD) imitiert die notwendige Verbindung und fügt Service ID und Method ID (für LeftLight_SetState) hinzu. 5. Über TCP/IP, das Interface (ETHIF) und den Treiber (ETH) wird der Request versandt. LDCOM PDUR SOAD TCP/IP ETHIF ETH Hardware

Agenda 1. Motivation 2. SOME/IP und AUTOSAR 3. Bestehende Security-Protokolle für 4. Absicherung von SOME/IP 5. Zusammenfassung 8

Bestehende Security-Protokolle für Media Access Control Security (MACsec) OSI Layer: 2 Verbindung Schutz: Integrität, Vertraulichkeit, Authentizität Verbindungsart: -zu- Schnittstelle Anwendungsgebiet: Backbones, IP Telefonanlagen Frame MAC Dest. Addr. MAC Src. Addr. Ether Type Version, Association, Length, IV Secure Data ICV CRC checksum 86 DD for IPv6 88 E5 for MACsec MACsec Protocol Data Unit (MPDU) SecTAG (8 or 16 bytes) ICV Integrity Check Value 9

Bestehende Security-Protokolle für Internet Protocol Security (IPsec) OSI Layer: 3 Netzwerk Schutz: Integrität, Vertraulichkeit (opt.), Authentizität Verbindungsart: IP-Knoten zu IP-Knoten Anwendungsgebiet: Mehrere IP Netze miteinander verbinden (VPNs) Frame Header IP Header Next Header, Length, Sequence, Number, Association (SPI), ICV Secure Data CRC checksum IP Packet Authentication Header (AH) 10

Bestehende Security-Protokolle für TLS/DTLS OSI Layer: 6 Präsentation Schutz: Integrität, Vertraulichkeit, Authentizität Verbindungsart: Client-Server-Verbindungen Anwendungsgebiet: Webbrowser Frame Header IP Header TCP/UDP Header Content Type, Version, Length, MAC, Secure Data CRC checksum IP Packet TLS Record Content Type ChangeCipherSpec Alert Handshake Application Heartbeat 11

Bestehende Security-Protokolle für Zusammenfassung Typische Anwendung MACsec IPsec TLS/DTLS Sichere Verbindung zwischen IP-Telefon und Telefon-Server am gleichen Standort OSI-Layer Layer 2 - Verbindung Sichere Verbindung von IP Netzwerken (VPN) Sichere Verbindung zwischen Client und Server, z.b. Webbrowser Layer 3 - Netzwerk Layer 6 - Präsentation Kontroll-Ebene IEEE 802.1X IKE, IKEv2 RFC 5246 RFC 6347 Daten-Ebene IEEE 802.1AE IPsec Bemerkungen Komplexes Protokoll mit vielen Optionen und Varianten TLS erfordert ein verlässliches Transport-Protokoll und läuft über TCP. DTLS basiert auf TLS und wurde angepasst um über UDP zu arbeiten. 12

Agenda 1. Motivation 2. SOME/IP und AUTOSAR 3. Bestehende Security-Protokolle für 4. Absicherung von SOME/IP 5. Zusammenfassung 13

Absicherung von SOME/IP Sicherung mit Secure Onboard Communication (SecOC) Dieses Mal soll die Kommunikation authentisiert sein: LeftLight_SetState(ON); Geschützt durch Message Authentication Code (MAC) und Freshness Value SecOC SWC RTE LDCOM SOME/IP XF PDUR SOAD Data SOME/IP Data Payload Freshness Value MAC Freshness Value soll vor Replay Angriffen schützen Service ID und Method ID (SOAD Data) sind nicht gesichert Schlüsselmanagement nahezu unspezifiziert SOAD TCP/IP ETHIF ETH Hardware 14

Absicherung von SOME/IP Transport Layer Security (TLS) TLS client TLS server Möglicher AUTOSAR-Stack mit TLS: Client Hello Server Hello SWC Server certificate Demand client certificate Client certificate Optional step RTE LDCOM SOME/IP XF Hello done PDUR Key exchange Change cipher spec Finish Change cipher Finish SOAD TLS TCP/IP ETHIF ETH Hardware 15

Zusammenfassung Zusammenfassung und SOME/IP sind stark im Kommen Es gibt verschiedene potentielle Protokolle zur Absicherung der Anwendungsfälle SecOC ist bereits heute für eine authentisierte Kommunikation über einsetzbar TLS steht als Alternative in den Startlöchern und SOME/IP können für das Fahrzeug sicher gemacht werden. Das Thema Schlüsselmanagement (Verwaltung, Aushandlung und Verteilung) stellt derzeit die größte Herausforderung dar. 16

For more information about Vector and our products please visit www.vector.com Author: Wolf, Jonas mit Dr. Eduard Metzker, Armin Happel Vector Germany 17 2015. Vector Informatik GmbH. All rights reserved. Any distribution or copying is subject to prior written approval by Vector. V1.0 2015-10-21

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback