商城网站做推广,oj网站开发,wordpress安全锁,网站开发 原理作者 | 张昊晖 上海控安可信软件创新研究院工控网络安全组
来源 | 鉴源实验室
社群 | 添加微信号“TICPShanghai”加入“上海控安51fusa安全社区” 01
引 言
随着汽车行业对于数据通信的需求不断增加#xff0c;SOME/IP作为支持汽车以太网进程和设备间通信的一种通信协议应…作者 | 张昊晖 上海控安可信软件创新研究院工控网络安全组
来源 | 鉴源实验室
社群 | 添加微信号“TICPShanghai”加入“上海控安51fusa安全社区” 01
引 言
随着汽车行业对于数据通信的需求不断增加SOME/IP作为支持汽车以太网进程和设备间通信的一种通信协议应运而生。根据研究[1]表明第一代使用SOME/IP的汽车以太网包含了几个交换机和少量以太网ECU每个ECU提供了十余种服务。SOME/IP具有轻量化、高效、以接收方的需求为主导的特点并且能够提供过程调用和事件通知逐渐被多种汽车设备所使用。然而正是由于其被广泛使用和其重要性SOME/IP协议也成为了潜在的攻击目标。本文将介绍SOME/IP协议的基本原理并探讨可能的攻击方式和防范措施。 02
SOME/IP协议
可扩展的面向服务的IP中间件Scalable service-Oriented MiddlewarE over IP简称SOME/IP[2]是一种中间件规范专门用于传输和序列化控制信号特别是在汽车应用场景中。SOME/IP建立在汽车TCP/IP或UDP/IP协议栈之上为应用程序提供了一个抽象的面向服务的接口参见图1。因此应用程序无需处理IP地址和端口而是使用服务进行通信。SOME/IP的主要目标是实现灵活且带宽高效的通信。 图 1 SOME/IP架构
SOME/IP可以大致分为三个部分服务发现Service DiscoverySD、远程过程调用Remote Procedure CallRPC和对进程数据的访问。SD使服务器ECU能够发布服务并使客户端ECU能够订阅车辆网络中的服务这些服务由服务ID标识并可根据需要附加选项例如终端选项即IP地址、传输协议UDP/TCP和端口号。网络中可以存在多个具有相同服务ID的服务实例并通过不同的实例ID进行唯一标识。可以使用RPC访问提供的服务并可以接收有关事件的通知。应用程序可以使用set和get来访问进程数据。
SOME/IP-SD用于定位服务实例、检测服务实例是否正在运行并实现发布/订阅处理[3]。为了提供服务实例服务器会发送一个多播服务提供消息OfferServiceService IDInstance ID可选择包括上述终端选项在内的其他选项。服务器可以通过发送StopOfferService IDInstance ID消息来停止提供服务实例。如果客户端未收到具有所需服务ID的合适服务提供消息则可以主动发送FindServiceService IDInstance ID消息服务器可以回答并提供所请求的服务。实例ID可以设置为特定值也可以设置为0xFFFF以找到所有服务实例。发布/订阅机制可用于客户端需要从服务器获取一组信号但又不想每次手动请求该信息的情况。客户端通过SubscribeEventgroupService IDInstance ID向事件组订阅并由服务器确认SubscribeEventgroupACKService IDInstance ID。客户端通过StopSubscribeEventgroupService IDInstance ID消息取消订阅。在订阅活动期间服务器会定期向客户端发送事件消息。此外SOME/IP为服务实例提供了负载平衡选项。服务器可以在其服务提供中设置优先级和权重。客户端应选择具有最高优先级的服务。如果具有相同优先级的多个服务实例则应基于服务实例的权重随机选择服务实例。SOME/IP协议定义了以下几种主要的通信模式
1请求-响应方法RequestResponse Method在请求-响应方法下一个模块作为Client端在寻找所需服务时发现其正在有效生存时间内发送一个请求消息另一个提供该服务的Server端必须回复该请求消息。若请求消息存在差错会回复错误信息给到Client端。Client端期望在发送请求后接收到相应的响应消息。这种模式适用于需要请求和获取特定数据或执行特定操作的场景如传感器数据获取、控制指令下发等。 图 2 请求-响应方法RequestResponse Method
2请求-无响应方法FireForget Method在请求无响应方法下一个模块作为Client端在寻找所需服务时发现其正在有效生存时间内发送一个请求消息另一个提供该服务的Server端无需回复该请求消息。即使请求消息存在差错也不会回复错误信息。 图 3 请求-无响应方法FireForget Method
3事件通知Event在事件通知模式下作为Server端的模块会对已经订阅其服务的Client端发送状态值或者触发事件的通知。这种模式适用于实时共享状态信息和事件通知的场景如交通事件发布、环境变化通知等。 图 4 事件通知Event
4域值通知Field域值通知模式是对于Method和Event数据包的组合它提供了3种通信流程
① NotifyNotify报文一般会在Client订阅服务之后由Server端发送用于通知域值。 图 5 Notify
② GetterGetter报文使用请求响应方法的模式当Client端向Server端发送获取域值的请求时Server端返回当前域值。 图 6 Getter
③ SetterSetter报文使用请求响应方法的模式当Client端向Server端发送设置域值的请求时Server端返回更新后的域值。 图 7 Setter
这些通信模式为SOME/IP协议提供了灵活的通信方式使得车辆内部模块和车辆与外部实体之间可以以适当的方式进行通信和数据交换。通过选择合适的通信模式车辆系统可以实现高效的数据交换、实时的事件通知和灵活的方法调用以满足各种复杂的应用需求。 03
SOME/IP攻击
SOME/IP协议最经常出现的攻击类型是中间人攻击。中间人攻击是攻击者在受害两方都未发现攻击者身份的情况下实施数据窃听和篡改的攻击类型。在以太网环境下可以通过与受害方同时连接同一个交换机达到中间人攻击的效果。对于SOME/IP的通信有以下3种不同的中间人攻击方式[4]
1服务提供上的复制攻击
此类攻击的操作与重放攻击类似但实现的环境是在中间人的环境下。图8简单地展示了这种攻击的实现方式
首先客户端、攻击者和服务端均处在同一个交换机网络下互相都能接收到彼此的数据。接着服务端在启动服务并进入到正式阶段Main Phase后会周期性地在这个交换机网络中广播自己提供的服务例如图中所示服务端提供了0x1234和0x5678这2个服务ID的服务并让客户端和攻击者都收到了这条广播数据。此时采用复制攻击的攻击者会立刻复制这条广播报文修改IP地址和端点信息伪造自己在这个交换机网络中也提供同样的服务。当然因为攻击者只能在SOME/IP协议层面进行复制攻击无法对下层通信进行干预因而客户端就会在短时间内收到2条宣称自己具有0x1234和0x5678服务的广播报文然后可能会选择攻击者发送的这条广播报文进行回复即图中的请求服务。一旦攻击者收到客户端的请求服务就会把这条报文带有客户端的身份信息修改为自己的身份信息但请求服务内容不变地发送到服务端。攻击者再接着把服务端回复的服务内容转发给客户端这样就完成了一次中间人转发操作。并且对于服务端攻击者会被认为是真正的客户端而对于客户端会把攻击者当成提供服务的节点。在成功进入这个中间人环境后攻击者可以进行下一步深层次的攻击。 图 8 服务提供上的复制攻击
2服务提供上的断连攻击
第一种复制攻击看似很容易能进入到中间人的环境中但具有一定的局限性
① 客户端可能已经与服务端建立了连接不会再对攻击者的广播作出反应。
② 即使客户端未与服务端建立连接也不能保证客户端选择攻击者的广播报文发送请求因为服务端永远比攻击者先发出去原始报文。
③ 根据SOME/IP官方文档不可复用服务端提供的Instance ID但还要根据客户端能够接受的Instance ID伪造Offer报文。
由于以上的问题一种基于复制攻击的断连攻击被提出了如图9所示
可以看到图的下半部分与复制攻击的后半部分一致就是攻击通过伪造提供服务的报文让客户端与自己连接完成客户端与服务端之间的消息传递。但区别就在于服务端广播提供服务报文时攻击者会立刻向客户端发送一条伪造成服务端身份的单播停止提供服务报文同时再把自己伪造的服务广播在这个网络中。
与复制攻击相比断连攻击会让客户端断绝与服务端建立连接的机会无论它是已经与客户端相连还是刚选择了服务端提供的服务。伪造StopOffer可以帮助攻击者稳定地与客户端建立连接。
断连攻击看似更加好用实际也存在一些限制。停止提供服务的报文必须要通过单播的方式发送到客户端手中这是因为一旦服务端收到了这条消息它会认为存在其他服务端提供相同的服务不会再提供重复服务。这样就会导致中间人环境无法建立因为服务端不会再对攻击者转发的请求进行任何回复。由于单播这一限制条件攻击者必须知道对该服务感兴趣的客户端。换言之就是知道可能与服务端建立连接的客户端的信息这样才能成功将单播的断连报文发送到客户端手中达成后续目的。 图 9 服务提供上的断连攻击
3发布订阅上的攻击
前2种攻击在成功后表现形式均为能够正常转发请求/回复数据。除了转发请求或回复的数据也可以通过退订的操作最终导致可以转发事件信息。图10清晰地展示了整个流程
服务端还是按照惯例广播自身提供的服务接着客户端和攻击者都订阅了服务端的事件组并收到了服务端的确认帧此时说明服务端也记录下了客户端和攻击者分别的断端点信息。
然后攻击者会通过上面2种服务提供上的攻击的其中一种让客户端信任自己具有它需要的服务事件组客户端就会订阅攻击者的事件组。攻击者一收到订阅报文就会回复确认帧并立刻伪造一条包含客户端端点信息的退订事件组报文让服务端不再将事件信息发送给客户端。而此时攻击者与服务端之间的连接还存在因此可以把服务端的事件更新信息转发给客户端达到中间人攻击的环境。 图 10 发布订阅上的攻击 参考文献
[1] Seyler, N. Navet, and L. Fejoz. 2015. Insights on the Configuration and Performances of SOME/IP Service Discovery. SAE Int. J. Passeng. Cars – Electron. Electr. Syst. 8 (04 2015), 124–129.
[2] AUTOSAR. 2018. Specification on SOME/IP Transport Protocol - CP Release 4.4.0.
[3] AUTOSAR. 2018. Specification of Service Discovery - CP Release 4.2.2.
[4] Daniel Zelle, Timm Lauser, Dustin Kern, Christoph Krauß, Analyzing and Securing SOME/IP Automotive Services with Formal and Practical Methods, ARES 21: Proceedings of the 16th International Conference on Availability, Reliability and SecurityAugust 2021, Article No.: 8 Pages 1–20 文章转载自: http://www.morning.jxmjr.cn.gov.cn.jxmjr.cn http://www.morning.qzpkr.cn.gov.cn.qzpkr.cn http://www.morning.wbyqy.cn.gov.cn.wbyqy.cn http://www.morning.qpnb.cn.gov.cn.qpnb.cn http://www.morning.rgxcd.cn.gov.cn.rgxcd.cn http://www.morning.xkjrq.cn.gov.cn.xkjrq.cn http://www.morning.fslxc.cn.gov.cn.fslxc.cn http://www.morning.lzttq.cn.gov.cn.lzttq.cn http://www.morning.ngpdk.cn.gov.cn.ngpdk.cn http://www.morning.jjmrx.cn.gov.cn.jjmrx.cn http://www.morning.bsrp.cn.gov.cn.bsrp.cn http://www.morning.wchsx.cn.gov.cn.wchsx.cn http://www.morning.hbfqm.cn.gov.cn.hbfqm.cn http://www.morning.lzqxb.cn.gov.cn.lzqxb.cn http://www.morning.ahscrl.com.gov.cn.ahscrl.com http://www.morning.rrpsw.cn.gov.cn.rrpsw.cn http://www.morning.kkwgg.cn.gov.cn.kkwgg.cn http://www.morning.kspfq.cn.gov.cn.kspfq.cn http://www.morning.ylsxk.cn.gov.cn.ylsxk.cn http://www.morning.nywrm.cn.gov.cn.nywrm.cn http://www.morning.xyjlh.cn.gov.cn.xyjlh.cn http://www.morning.zbkdm.cn.gov.cn.zbkdm.cn http://www.morning.yuminfo.com.gov.cn.yuminfo.com http://www.morning.zwfgh.cn.gov.cn.zwfgh.cn http://www.morning.wlfxn.cn.gov.cn.wlfxn.cn http://www.morning.djbhz.cn.gov.cn.djbhz.cn http://www.morning.mxnfh.cn.gov.cn.mxnfh.cn http://www.morning.glnmm.cn.gov.cn.glnmm.cn http://www.morning.qprtm.cn.gov.cn.qprtm.cn http://www.morning.zkrzb.cn.gov.cn.zkrzb.cn http://www.morning.zlnkq.cn.gov.cn.zlnkq.cn http://www.morning.fcxt.cn.gov.cn.fcxt.cn http://www.morning.zymgs.cn.gov.cn.zymgs.cn http://www.morning.kpcjl.cn.gov.cn.kpcjl.cn http://www.morning.ntyks.cn.gov.cn.ntyks.cn http://www.morning.sgbsr.cn.gov.cn.sgbsr.cn http://www.morning.dpzcc.cn.gov.cn.dpzcc.cn http://www.morning.yhljc.cn.gov.cn.yhljc.cn http://www.morning.trrd.cn.gov.cn.trrd.cn http://www.morning.pudejun.com.gov.cn.pudejun.com http://www.morning.ggqcg.cn.gov.cn.ggqcg.cn http://www.morning.kcbml.cn.gov.cn.kcbml.cn http://www.morning.pclgj.cn.gov.cn.pclgj.cn http://www.morning.pwksz.cn.gov.cn.pwksz.cn http://www.morning.myrmm.cn.gov.cn.myrmm.cn http://www.morning.rnribht.cn.gov.cn.rnribht.cn http://www.morning.hxrfb.cn.gov.cn.hxrfb.cn http://www.morning.rhkmn.cn.gov.cn.rhkmn.cn http://www.morning.xwlhc.cn.gov.cn.xwlhc.cn http://www.morning.cfybl.cn.gov.cn.cfybl.cn http://www.morning.nqwz.cn.gov.cn.nqwz.cn http://www.morning.hnrqn.cn.gov.cn.hnrqn.cn http://www.morning.tqdlk.cn.gov.cn.tqdlk.cn http://www.morning.rrbhy.cn.gov.cn.rrbhy.cn http://www.morning.qcbhb.cn.gov.cn.qcbhb.cn http://www.morning.ybhjs.cn.gov.cn.ybhjs.cn http://www.morning.hprmg.cn.gov.cn.hprmg.cn http://www.morning.ljyqn.cn.gov.cn.ljyqn.cn http://www.morning.fxwkl.cn.gov.cn.fxwkl.cn http://www.morning.hpkr.cn.gov.cn.hpkr.cn http://www.morning.wztlr.cn.gov.cn.wztlr.cn http://www.morning.haibuli.com.gov.cn.haibuli.com http://www.morning.xqknl.cn.gov.cn.xqknl.cn http://www.morning.ygrdb.cn.gov.cn.ygrdb.cn http://www.morning.qxwwg.cn.gov.cn.qxwwg.cn http://www.morning.xcyzy.cn.gov.cn.xcyzy.cn http://www.morning.pbbzn.cn.gov.cn.pbbzn.cn http://www.morning.mcbqq.cn.gov.cn.mcbqq.cn http://www.morning.dmkhd.cn.gov.cn.dmkhd.cn http://www.morning.xwbwm.cn.gov.cn.xwbwm.cn http://www.morning.fjntg.cn.gov.cn.fjntg.cn http://www.morning.qjmnl.cn.gov.cn.qjmnl.cn http://www.morning.yxlpj.cn.gov.cn.yxlpj.cn http://www.morning.kngx.cn.gov.cn.kngx.cn http://www.morning.ylkkh.cn.gov.cn.ylkkh.cn http://www.morning.qmzhy.cn.gov.cn.qmzhy.cn http://www.morning.dnpft.cn.gov.cn.dnpft.cn http://www.morning.mlpmf.cn.gov.cn.mlpmf.cn http://www.morning.bnmrp.cn.gov.cn.bnmrp.cn http://www.morning.nqwkn.cn.gov.cn.nqwkn.cn
