一区二区三区三上|欧美在线视频五区|国产午夜无码在线观看视频|亚洲国产裸体网站|无码成年人影视|亚洲AV亚洲AV|成人开心激情五月|欧美性爱内射视频|超碰人人干人人上|一区二区无码三区亚洲人区久久精品

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

網(wǎng)絡(luò)安全開發(fā)測試 | CANoe解密車載TLS通信

北匯信息POLELINK ? 2022-11-22 10:20 ? 次閱讀
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

應(yīng)用層數(shù)據(jù)可以通過傳輸控制協(xié)議(TCP)在基于IP的網(wǎng)絡(luò)上進(jìn)行可靠交換,但是TCP無法保證數(shù)據(jù)傳輸?shù)目煽啃?,?yīng)用數(shù)據(jù)的機(jī)密性及完整性。因此,實際應(yīng)用中可以在TCP之上使用TLS(Transport Layer Security)建立服務(wù)器和客戶端之間的安全通信(圖1),從而保證數(shù)據(jù)的安全傳輸。

車內(nèi)外通信中的下列應(yīng)用層協(xié)議在安全通信時會采用TLS/DTLS加密通信:

>

DoIP (Diagnostic communication over Internet Protocol)

>

SOME/IP (Scalable service-Oriented MiddlewarE over IP)

>

MQTT (Message Queuing Telemetry Transport)

>

HTTPS (Hypertext Transfer Protocol Secure)

>

SCC (Smart Charging Communication)

9dfed3a4-6857-11ed-b116-dac502259ad0.png

圖1:OSI參考模型

隨著TLS在載數(shù)據(jù)通信過程中的廣泛應(yīng)用,給OEM和零部件供應(yīng)商的開發(fā)測試工程師在開發(fā)測試分析過程中需要面臨TLS服務(wù)器和客戶端之間加密通信的考驗。毫無疑問,作為車載產(chǎn)品開發(fā)驗證平臺的核心工具CANoe需要支撐從單板調(diào)試到實車驗證中涉及TLS安全通信應(yīng)用的仿真與回放分析工作:

>

模擬TLS服務(wù)器通信;

>

模擬客戶端參與TLS通信;

>

在線解密正在監(jiān)聽的真實服務(wù)器和客戶端之間的TLS通信(圖2.1);

>

離線回放過程中解密記錄文件中存儲的TLS數(shù)據(jù)(圖2.2)。

9e0c5e7a-6857-11ed-b116-dac502259ad0.png

圖2.1:CANoe解密TLS通信場景(離線)

9e34ade4-6857-11ed-b116-dac502259ad0.png

圖2.2:CANoe解密TLS通信場景(在線)

CANoe在線監(jiān)聽或離線回放TLS通信的過程中,接收的是加密的TLS應(yīng)用數(shù)據(jù),需要經(jīng)過解密才能得到原始消息,圖3為TLS一組相同數(shù)據(jù)在Trace窗口中解密前后的對比。解密前Trace窗口只有密文信息,解密后Trace窗口才能以系統(tǒng)變量的形式顯示原始消息。如果Observer支持原始消息所屬的應(yīng)用層協(xié)議(如DoIP協(xié)議),Trace窗口中還會包含原始消息基于DoIP層面的解析。要完成解密的過程,需要在CANoe中進(jìn)行一系列配置,本文圍繞TLS Observer中最常用的解密方式“基于主密碼解密”就具體配置做說明。首先概述CANoe基于主密碼解密TLS通信的機(jī)制,其次介紹解密工程的環(huán)境設(shè)置,最后分別對不同的主密碼配置方式進(jìn)行說明。

9e3e9aac-6857-11ed-b116-dac502259ad0.png

圖3:TLS數(shù)據(jù)解密前后對比

01/

CANoe基于主密碼解密TLS通信的機(jī)制概述

CANoe.Ethernet工程會自動生成名為“_Security::TLSMasterSecret”的系統(tǒng)變量,用于存儲TLS會話的客戶端隨機(jī)數(shù)(Client Random,32Bytes)和主密碼(Master Secret,48Bytes)。待解密的TLS數(shù)據(jù)可能包含多個TLS會話,每個TLS會話都有唯一的主密碼。當(dāng)解密時,CANoe首先根據(jù)客戶端隨機(jī)數(shù)識別正確的TLS會話,然后基于主密碼生成的密鑰素材解密TLS應(yīng)用數(shù)據(jù),因此正確配置主密碼和客戶端隨機(jī)數(shù)是解密TLS通信的關(guān)鍵。

02/

解密工程環(huán)境設(shè)置

CANoe支持多種配置主密碼的方式,如通過CAPL/Security Manager/UDP報文配置主密碼或從CANoe參與通信的TLS記錄文件中讀取主密碼。無論采用何種方式,都需要首先完成工程環(huán)境設(shè)置。

1.

激活TLS應(yīng)用數(shù)據(jù)的觀測變量(圖4)

點擊CANoe->Options->General->File Locations->Location of application data的Open按鈕,打開文件夾中的can.ini文件,配置can.ini文件中的參數(shù)EnableTlsAppDataSv=1。

9e73a71a-6857-11ed-b116-dac502259ad0.png

圖4:激活TLS應(yīng)用數(shù)據(jù)的觀測變量

>

配置TLS/DTLS通信的端口號(圖5)

檢查CANoe Option->Bus System->Protocol Identification是否對用于TLS/DTLS通信的Port進(jìn)行正確定義,避免Trace中可能出現(xiàn)無法解析TLS協(xié)議的情況,影響解密TLS通信的功能。

9e984778-6857-11ed-b116-dac502259ad0.png

圖5:TLS/DTLS通信端口設(shè)置

03/

基于CAPL配置主密碼解密TLS通信

基于CAPL配置主密碼具有較高的靈活性,支持離線回放或在線監(jiān)聽TLS數(shù)據(jù)時解密通信。當(dāng)離線回放TLS通信時,一般主密碼是用戶提供的靜態(tài)數(shù)值,該值可以直接通過CAPL編程賦值給系統(tǒng)變量“_Security::TLSMasterSecret”,賦值代碼如圖6。當(dāng)在線監(jiān)聽TLS數(shù)據(jù)時,主密碼是由真實服務(wù)器或客戶端提供的動態(tài)數(shù)值,首先通過診斷、CAN報文或者其他接口傳給CANoe,然后基于CAPL編程賦值給系統(tǒng)變量“_Security::TLSMasterSecret”。

9ee316cc-6857-11ed-b116-dac502259ad0.png

圖6:CAPL代碼示例

04/

基于Security Manager配置主密碼解密TLS通信

為了實現(xiàn)在離線回放過程中解密TLS通信,除了可通過CAPL編程配置主密碼之外,還可以在CANoe->Tools->Security Manager中手動輸入主密碼。具體流程如下:

1.

新建Security Profile(圖7)

選中File based PKI,點擊Add添加Security Profile,可按照需求自定義Profile名稱,如TLS Observer Profile。

9f00ecf6-6857-11ed-b116-dac502259ad0.png

圖7:新建Security Profile

2.

設(shè)置參數(shù)(圖8)

在新建的TLS Observer Profile主配置界面上選中TLS Observer,點擊Add打開參數(shù)設(shè)置對話框,選擇參數(shù)類型為Master Secret并填寫Random Bytes和Master Secret。

9f1f8f30-6857-11ed-b116-dac502259ad0.png

圖8:Master Secret|參數(shù)設(shè)置

3.

Security Configuration配置

打開CANoe->Simulation->Security Configuration,在TLS Observer選項卡處關(guān)聯(lián)新建的Profile,如圖9。

9f34196e-6857-11ed-b116-dac502259ad0.png

圖9:Security Configuration配置

05/

通過UDP報文傳輸主密碼解密TLS通信

為了實現(xiàn)在線監(jiān)聽TLS數(shù)據(jù)過程中解密通信,除了基于CAPL配置主密碼外,還可由通信參與者通過UDP報文傳入主密碼。如果真實服務(wù)器或客戶端在完成TLS握手之后,支持從加密堆棧中讀取主密碼,并通過UDP報文發(fā)送出來,就可以配置CANoe接收該UDP報文,獲取主密碼數(shù)值,解密正在監(jiān)聽的TLS通信。與手動輸入主密碼配置過程類似,通過UDP報文傳輸主密碼也需要基于Security Manager配置,區(qū)別在于參數(shù)設(shè)置部分,參數(shù)類型需選擇Master Secret Source并配置UDP通信雙方的IP和Port(圖10)。

9fb72502-6857-11ed-b116-dac502259ad0.png

圖10:Master Secret Source|參數(shù)配置

注:此種方式要求Master Secret以NSS Key Log的格式封裝到UDP報文中。NSS Key Log的格式以及示例見表1。

9fd6f5f8-6857-11ed-b116-dac502259ad0.png

表1:NSSKeyLogMasterSecret格式示例

06/

離線回放CANoe參與通信的TLS記錄文件

CANoe參與TLS通信時,經(jīng)過TLS握手階段,可以自動計算出主密碼并將該值存儲到系統(tǒng)變量“_Security::TLSMasterSecret”中。TLS數(shù)據(jù)可通過CANoe Logging功能進(jìn)行記錄,需將記錄文件格式設(shè)置為BLF/ASC/MF4。這些格式的文件不僅可以保存通信數(shù)據(jù),還可以保存系統(tǒng)變量(包括_Security::TLSMasterSecret)。后期離線回放時,CANoe可以從記錄文件中讀取主密碼來解密TLS應(yīng)用數(shù)據(jù)。

1.

在CANoe 15/16中回放,只需將工程切換為Offline模式,添加記錄文件,點擊回放按鈕,CANoe即可在回放過程中解密TLS應(yīng)用數(shù)據(jù);

2.

在CANoe 14中回放,還需在Security Configuration配置中關(guān)聯(lián)Security Profile。

上述就CANoe基于主密碼解密TLS通信的過程及多種主密碼的配置方式:如CAPL、Security Manager、UDP報文以及記錄文件等。不同主密碼配置方式的總結(jié)描述以及對CANoe版本要求見圖11。CANoe為各種網(wǎng)絡(luò)安全通信提供基礎(chǔ)平臺技術(shù),使得開發(fā)和測試各階段更好驗證系統(tǒng)通信和功能,點擊原文了解更多CANoe對Security的支持。

9fe47a16-6857-11ed-b116-dac502259ad0.png

圖11:主密碼配置方式及版本要求

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 通信
    +關(guān)注

    關(guān)注

    18

    文章

    6206

    瀏覽量

    137829
  • 網(wǎng)絡(luò)安全
    +關(guān)注

    關(guān)注

    11

    文章

    3343

    瀏覽量

    61483
收藏 人收藏
加入交流群
微信小助手二維碼

掃碼添加小助手

加入工程師交流群

    評論

    相關(guān)推薦
    熱點推薦

    DEKRA德凱在網(wǎng)絡(luò)安全測試與認(rèn)證領(lǐng)域?qū)崿F(xiàn)新突破

    首家獲此資質(zhì)的測試實驗室,服務(wù)范圍涵蓋工業(yè)控制、智能制造、能源、汽車及消費類物聯(lián)網(wǎng)等多個高安全需求行業(yè)。這標(biāo)志著德凱在網(wǎng)絡(luò)安全測試與認(rèn)證領(lǐng)域?qū)崿F(xiàn)新突破,能夠為企業(yè)提供一站式、符合國際標(biāo)
    的頭像 發(fā)表于 06-09 17:45 ?593次閱讀

    SSL/TLS的常見問題解答

    無論你是參加安全認(rèn)證考試、準(zhǔn)備技術(shù)面試,還是只想深入了解網(wǎng)絡(luò)安全,SSL/TLS都是不可回避的核心主題。本文精選了十個最常被考察的SSL/TLS問題,提供詳盡解析,幫助你建立全面的理解
    的頭像 發(fā)表于 05-28 16:55 ?311次閱讀

    芯盾時代連續(xù)十一次入選安全?!吨袊?b class='flag-5'>網(wǎng)絡(luò)安全行業(yè)全景圖》

    近日,國內(nèi)知名網(wǎng)絡(luò)安全媒體安全牛正式發(fā)布《中國網(wǎng)絡(luò)安全行業(yè)全景圖(第十二版)》(以下簡稱“全景圖”)。芯盾時代連續(xù)十一次上榜全景圖,成功入選零信任、終端安全防護(hù)、身份認(rèn)證、IDaaS、
    的頭像 發(fā)表于 05-07 10:53 ?2067次閱讀

    Lansweeper:強化網(wǎng)絡(luò)安全與資產(chǎn)管理

    使用 Lansweeper 全面了解您的 IT 資產(chǎn)清單 保護(hù)任何東西的第一步是知道你擁有什么 全可見性 發(fā)現(xiàn)您甚至不知道的資產(chǎn)并消除盲點。 風(fēng)險緩解 通過審計預(yù)防措施預(yù)測潛在的網(wǎng)絡(luò)安全攻擊。 威脅
    的頭像 發(fā)表于 02-19 13:59 ?485次閱讀

    MCU在車載系統(tǒng)中的展望

    和實時性表現(xiàn),以滿足車載系統(tǒng)中多任務(wù)處理的需求,如自動駕駛輔助系統(tǒng)中同時處理多個傳感器數(shù)據(jù),信息娛樂系統(tǒng)中同時處理語音指令和手勢動作等。此外,隨著車聯(lián)網(wǎng)技術(shù)的發(fā)展,MCU將承擔(dān)更多網(wǎng)絡(luò)通信與遠(yuǎn)程監(jiān)控
    發(fā)表于 01-17 12:11

    智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全開發(fā)解決方案

    經(jīng)緯恒潤網(wǎng)絡(luò)安全團(tuán)隊密切關(guān)注行業(yè)發(fā)展趨勢,致力于為國內(nèi)外客戶提供優(yōu)質(zhì)的網(wǎng)絡(luò)安全咨詢服務(wù)。在智能網(wǎng)聯(lián)汽車電子電氣架構(gòu)(EEA)開發(fā)階段,協(xié)助客戶識別到系統(tǒng)的薄弱點并定義網(wǎng)絡(luò)安全目標(biāo),
    的頭像 發(fā)表于 12-19 17:30 ?1142次閱讀
    智能網(wǎng)聯(lián)汽車<b class='flag-5'>網(wǎng)絡(luò)安全開發(fā)</b>解決方案

    面向教學(xué)科研的車載網(wǎng)絡(luò)系統(tǒng)開發(fā)測試實驗室

    車載網(wǎng)絡(luò)通訊技術(shù)是汽車行業(yè)的基礎(chǔ)技術(shù),是軟件定義汽車的基礎(chǔ)。網(wǎng)絡(luò)通信設(shè)計與網(wǎng)絡(luò)測試目的是保證各個ECUs控制器之間一致性和正確性,是整車應(yīng)用
    的頭像 發(fā)表于 12-18 10:35 ?787次閱讀
    面向教學(xué)科研的<b class='flag-5'>車載</b><b class='flag-5'>網(wǎng)絡(luò)系統(tǒng)開發(fā)</b>及<b class='flag-5'>測試</b>實驗室

    面向教學(xué)科研的車載網(wǎng)絡(luò)系統(tǒng)開發(fā)測試實驗室

    車載網(wǎng)絡(luò)通訊技術(shù)是汽車行業(yè)的基礎(chǔ)技術(shù),是軟件定義汽車的基礎(chǔ)。網(wǎng)絡(luò)通信設(shè)計與網(wǎng)絡(luò)測試目的是保證各個ECUs控制器之間一致性和正確性,是整車應(yīng)用
    的頭像 發(fā)表于 12-18 09:50 ?61次閱讀
    面向教學(xué)科研的<b class='flag-5'>車載</b><b class='flag-5'>網(wǎng)絡(luò)系統(tǒng)開發(fā)</b>及<b class='flag-5'>測試</b>實驗室

    ETAS推出兩種全新網(wǎng)絡(luò)安全解決方案

    日前,作為領(lǐng)先的汽車軟件解決方案供應(yīng)商,ETAS近日在德國多特蒙德舉辦的escar歐洲汽車網(wǎng)絡(luò)安全會議上宣布推出兩種全新的網(wǎng)絡(luò)安全解決方案。ESCRYPT車載電腦安全套件和ESCRYP
    的頭像 發(fā)表于 11-26 16:00 ?724次閱讀

    測試新體驗 | 車載網(wǎng)絡(luò)測試套件INTEWORK-ANTP

    經(jīng)緯恒潤自主研發(fā)的INTEWORK-ANTP(車載網(wǎng)絡(luò)測試套件)專注于以太網(wǎng)(Ethernet)和控制器局域網(wǎng)(CAN)等常見車載通信的協(xié)議
    的頭像 發(fā)表于 11-08 19:56 ?1070次閱讀
    <b class='flag-5'>測試</b>新體驗 | <b class='flag-5'>車載</b><b class='flag-5'>網(wǎng)絡(luò)</b><b class='flag-5'>測試</b>套件INTEWORK-ANTP

    恒訊科技分析:IPSec與SSL/TLS相比,安全性如何?

    IPSec和SSL/TLS都是用于保護(hù)網(wǎng)絡(luò)通信安全的協(xié)議,但它們在實現(xiàn)方式、安全性側(cè)重點、兼容性以及使用場景上存在一些顯著的區(qū)別。1、安全
    的頭像 發(fā)表于 10-23 15:08 ?903次閱讀
    恒訊科技分析:IPSec與SSL/<b class='flag-5'>TLS</b>相比,<b class='flag-5'>安全</b>性如何?

    IP風(fēng)險畫像如何維護(hù)網(wǎng)絡(luò)安全

    在當(dāng)今數(shù)字化時代,互聯(lián)網(wǎng)已成為我們生活、工作不可或缺的一部分。然而,隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛,網(wǎng)絡(luò)安全問題也日益凸顯。為了有效應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn),IP風(fēng)險畫像技術(shù)應(yīng)運而生,正逐步成為構(gòu)建網(wǎng)絡(luò)安全
    的頭像 發(fā)表于 09-04 14:43 ?599次閱讀

    網(wǎng)絡(luò)安全技術(shù)商CrowdStrike與英偉達(dá)合作

    Falcon網(wǎng)絡(luò)安全平臺幫助開發(fā)人員安全地利用開源基礎(chǔ)模型,加速人工智能的創(chuàng)新。同時雙方還將開發(fā)針對特定行業(yè)的定制化網(wǎng)絡(luò)安全解決方案。 業(yè)
    的頭像 發(fā)表于 08-28 16:30 ?1900次閱讀

    格陸博科技榮獲ISO/SAE 21434《道路車輛-網(wǎng)絡(luò)安全開發(fā)流程認(rèn)證》

    近日,格陸博科技正式獲得國際知名第三方認(rèn)證機(jī)構(gòu)TüV NORD(杭州漢德質(zhì)量認(rèn)證服務(wù)有限公司)授予ISO/SAE 21434《道路車輛-網(wǎng)絡(luò)安全開發(fā)流程認(rèn)證》,標(biāo)志著格陸博科技現(xiàn)有
    的頭像 發(fā)表于 08-15 11:25 ?1061次閱讀

    IBM獲美國國際開發(fā)署合同,強化網(wǎng)絡(luò)安全防線

    IBM公司近日宣布,成功從美國國際開發(fā)署(USAID)贏得一項為期五年的重大合同,初始資金高達(dá)2600萬美元,旨在強化全球網(wǎng)絡(luò)安全保護(hù)與響應(yīng)能力。此合同標(biāo)志著IBM在網(wǎng)絡(luò)安全領(lǐng)域的深厚實力再獲國際認(rèn)可,并將為政府機(jī)構(gòu)及關(guān)鍵基礎(chǔ)設(shè)
    的頭像 發(fā)表于 07-22 16:47 ?1009次閱讀