在車載以太網(wǎng)絡(luò)中，影響網(wǎng)絡(luò)安全的因素主要有：

1、廣播通信：在廣播消息、組播消息以及目的地址不明確的消息傳播時(shí)會(huì)使用廣播的傳遞方式，主要處于這個(gè)網(wǎng)絡(luò)就可以接受到對(duì)應(yīng)的廣播報(bào)文；

2、缺乏相應(yīng)措施控制車載節(jié)點(diǎn)在車載網(wǎng)絡(luò)中發(fā)送過多流量，工程師在設(shè)計(jì)ECU時(shí)應(yīng)考慮限制自身發(fā)送過多流量，而除了設(shè)計(jì)錯(cuò)誤和設(shè)備故障，安全策略主要用于抵抗網(wǎng)絡(luò)攻擊產(chǎn)生的較大流量。

     僅是一個(gè)節(jié)點(diǎn)發(fā)送的大量廣播和過量消息就可以引起車載網(wǎng)絡(luò)控制器中MAC層服務(wù)的癱瘓和故障，此外，隨處可偵聽的廣播也是安全隱患（無法區(qū)分廣播報(bào)文接受者用意是好還是壞）。

因此交換機(jī)的安全保障主要分為以下兩點(diǎn)：

1、禁止接受過多流量；

2、禁止發(fā)送過多流量。

對(duì)應(yīng)上述需求，有以下措施可以借鑒：

                                              一、VLAN

      在構(gòu)建車載網(wǎng)絡(luò)數(shù)據(jù)信息時(shí)，可以根據(jù)娛樂、控制和盡力而為流量的區(qū)別來對(duì)信息進(jìn)行分類。也可以通過VLAN技術(shù)做出了詳盡描述，該技術(shù)的核心是在以太網(wǎng)中虛擬分割出許多子網(wǎng)，屬于同一個(gè)子網(wǎng)的節(jié)點(diǎn)擁有形同的VLANID。使用VLAN技術(shù)后，即使是廣播信息，或是物理連接于統(tǒng)一交換機(jī)的不同節(jié)點(diǎn)，也可以通過VLANID進(jìn)行消息的隔離

從安全的層面考慮，VLAN技術(shù)不僅可以隔絕虛擬網(wǎng)絡(luò)之間的消息，還可以減少廣播范圍（避免廣播風(fēng)暴）。此外，VLAN隱藏了過濾/丟棄數(shù)據(jù)包的功能：攜帶有交換機(jī)不支持的VLAN標(biāo)簽的數(shù)據(jù)包，將被拋棄（這個(gè)功能一般沒有被提起）。如果交換機(jī)接受的數(shù)據(jù)不含有VLAN信息，交換機(jī)可以直接將其丟棄或根據(jù)端口、協(xié)議、報(bào)頭等賦予該數(shù)據(jù)VLAN標(biāo)簽。

如下圖：不同應(yīng)用場(chǎng)景設(shè)置不同VLAN

VLAN技術(shù)不僅有助于網(wǎng)絡(luò)安全的提升，還可以簡(jiǎn)化不少問題：

1.      數(shù)據(jù)記錄和測(cè)試：由于VLAN的劃分與設(shè)備的物理位置無關(guān)，它為ECU的網(wǎng)段分配提供了極大的靈活性，有助于日益增長(zhǎng)的汽車以太網(wǎng)絡(luò)中的數(shù)據(jù)記錄和分析。

   2.     性能：可以將特定的通信分配至特定VLAN，并在交換機(jī)中進(jìn)行優(yōu)先處理。

       如上圖中對(duì)汽車以太網(wǎng)的流量隔離做出了詮釋。在此例中，“汽車交換機(jī)”作為對(duì)流量進(jìn)行隔離的ECU。此ECU可以放置在汽車部位任意位置，每個(gè)端口均配置了VLAN過濾策略。在交換機(jī)接受到診斷流量時(shí)，會(huì)根據(jù)診斷流量的VLAN將此流量轉(zhuǎn)發(fā)至相應(yīng)節(jié)點(diǎn)。如此操作簡(jiǎn)單有效，如同建立了一個(gè)防火墻，對(duì)車載信息安全提供了更大的可能性。

      對(duì)于汽車上其他為外部接口而言，VLAN同樣能夠發(fā)揮作用。進(jìn)出汽車的流量可以在同一個(gè)接口處分別打上或去除VLAN標(biāo)簽。在ECU內(nèi)部，只有特定區(qū)域才有權(quán)對(duì)標(biāo)記的數(shù)據(jù)進(jìn)行處理，此方法有效隔離了數(shù)據(jù)。汽車制造商應(yīng)在開發(fā)過程中重視VLAN的開發(fā)。

                                      二、  其他交換機(jī)配置

交換機(jī)的主要任務(wù)是讀取接受數(shù)據(jù)的目的地址，找到目的轉(zhuǎn)發(fā)端口后，將數(shù)據(jù)發(fā)送出去。

因此，交換機(jī)內(nèi)部存在一個(gè)轉(zhuǎn)發(fā)表，該表記錄了接收到數(shù)據(jù)的源端口和MAC地址。當(dāng)接受到的數(shù)據(jù)需要轉(zhuǎn)發(fā)到轉(zhuǎn)發(fā)表中存儲(chǔ)的目的MAC地址時(shí)，交換機(jī)只要根據(jù)轉(zhuǎn)發(fā)表進(jìn)行轉(zhuǎn)發(fā)即可。另外，當(dāng)轉(zhuǎn)發(fā)到未知目的地址的情況時(shí)。這時(shí)，交換機(jī)會(huì)向所有端口發(fā)送數(shù)據(jù)（廣播）。上述也是交換機(jī)的工作原理。

許多黑客利用交換機(jī)工作原理，不斷向交換機(jī)發(fā)送未知目的地址的數(shù)據(jù)包，使得交換機(jī)不斷廣播，導(dǎo)致網(wǎng)絡(luò)癱瘓。

當(dāng)然可以采取一些措施避免黑客進(jìn)行上述攻擊，如：

1、設(shè)置交換機(jī)僅在啟動(dòng)階段只進(jìn)行一次地址學(xué)習(xí)，或者完全關(guān)閉交換機(jī)的地址學(xué)習(xí)功能，改用靜態(tài)IP地址的映射。同樣可以使用用這些方法建立ARP地址表，完成MAC地址和IP地址的映射。對(duì)于汽車這樣一個(gè)靜態(tài)網(wǎng)絡(luò)，完全可以采用這些方法建立地址表，還可以根據(jù)地址條目數(shù)量、地址范圍和變化頻率對(duì)地址學(xué)習(xí)進(jìn)行限制。

2、還可以建立組播消息的過濾策略。交換機(jī)會(huì)將組播消息轉(zhuǎn)發(fā)至滿足組播要求的端口，因此只有同組內(nèi)成員可以接受都組播消息。但是，同樣需要對(duì)非組內(nèi)成員接受到組播消息的行為進(jìn)行會(huì)話，可以將其拋棄或者轉(zhuǎn)發(fā)至特定地址。

3、交換機(jī)現(xiàn)在還可以使用強(qiáng)制認(rèn)證策略，使得端口處于禁用狀態(tài)，直到成功認(rèn)證后方可啟用。網(wǎng)絡(luò)節(jié)點(diǎn)的認(rèn)證需要由交換機(jī)固件或直連到交換機(jī)的微控制器完成，這樣可以保證快速啟動(dòng)。

密鑰管理

密碼學(xué)的基本原理要求：不能將同一密碼用于不同功能或者設(shè)備，且同一密碼的使用時(shí)間不宜過長(zhǎng)。

      不同的過程，如數(shù)據(jù)認(rèn)證、密鑰交換和數(shù)據(jù)加密應(yīng)分別使用各自的密碼。這樣，在某一密碼收到損害時(shí)，如數(shù)據(jù)加密，仍可以正常地通過密鑰交換更改數(shù)據(jù)加密的密碼。保證密鑰安全的方式有：宣布照顧密鑰的使用時(shí)間，保證它僅用于有限的數(shù)據(jù)；跟還有不同地汽車功能和適用范圍進(jìn)行分類，各類通信分別使用不同地密鑰。

      汽車不同ECU的密鑰分配是一項(xiàng)十分復(fù)雜的工作，在IT網(wǎng)絡(luò)中，密鑰分配有相關(guān)規(guī)范。由于這些密鑰管理辦法消耗大量資源且需要一個(gè)線上的授權(quán)服務(wù)器，無法對(duì)實(shí)時(shí)和速度保證，因此不適用于汽車網(wǎng)絡(luò)。在汽車網(wǎng)絡(luò)中，可以由一個(gè)專用于ECU作為密鑰master，給網(wǎng)絡(luò)內(nèi)的其他ECU分配密碼。

      實(shí)現(xiàn)上述想法的基本思路為：密鑰交換是通過對(duì)稱加密實(shí)現(xiàn)的，由診斷請(qǐng)求、定期或者外部的服務(wù)后端服務(wù)器觸發(fā)。密鑰master是唯一與后端服務(wù)器進(jìn)行密鑰相關(guān)通信的ECU，當(dāng)然也可以使用非對(duì)稱密碼學(xué)方法來完成密鑰管理。

上述內(nèi)容，是將傳統(tǒng)以太網(wǎng)中應(yīng)用到信息安全策略移植到車載以太網(wǎng)應(yīng)用中，多方面、分層級(jí)保護(hù)信息安全措施。

自媒體提供了一個(gè)展現(xiàn)自己觀點(diǎn)的平臺(tái)，我有幸參與其中，來暢所欲言的表達(dá)自己觀點(diǎn)。但鑒于眼界和以往經(jīng)驗(yàn)，闡述的觀點(diǎn)有可能具有一定的局限性，望讀者批判性的閱讀。

若您有所收獲，我將萬分激動(dòng)，因?yàn)樗说恼J(rèn)可是我幸福度提高的動(dòng)力和源泉，也是我不斷更新的動(dòng)力。