Traffic Analysis in V2X Application-Level Gateways

Abstract

Zukünftig werden Fahrzeuge mit einer Vielzahl von Teilnehmern in diversen Netzwerken, von VANETs (Vehicular ad-hoc Networks) bis hin zum Internet kommunizieren. Das werden andere Fahrzeuge, Infrastruktur, wie z.B. Ampeln, oder Services in der Cloud sein. Diese V2X Kommunikation ist von zentraler Bedeutung, da sie die Verkehrssicherheit und Verkehrseffizienz erhöht, zur leichteren Wartung von Fahrzeugen beiträgt und eine wichtige Rolle für die Realisierung autonomer Fahrzeuge spielt. Es ist zwingend notwendig, dass die V2X Kommunikation entsprechend abgesichert wird, da sie sicherheitskritische Funktionen umfasst. Die Absicherung geschieht durch ein V2X Security Gateway im Fahrzeug, welches den Fahrzeug-internen Diensten, die mit der Außenwelt kommunizieren, als Proxy dient und sowohl die kryptografische Sicherheit, als auch die Sicherheit auf dem Internet-, Transport- und Application-Layer gewährleistet. Eine zentrale Komponente eines solchen V2X Security Gateways ist das V2X Application- Level Gateway, welches die Proxy-Funktion, die kryptografische Sicherheit und Sicherheit auf dem Application-Layer realisiert. Die Sicherheit auf dem Application-Layer umfasst die kontext-sensitive semantische Analyse von Anwendungsdaten, die Erkennung von Application-Layer Protokoll-Verletzungen und die Erkennung von Application-Layer DoS-Angriffen. Diese Arbeit stellt das Konzept und eine Prototyp-Implementierung eines solchen V2X Application-Level Gateways vor. Die Implementierung wurde in einem Test- Netzwerk, welches das interne Fahrzeug-Netzwerk repräsentiert, evaluiert. In dem Netzwerk, bestehend aus einem Edgecore SDN Switch, Intel NUCs und Raspberry Pis, welche Fahrzeug ECUs repräsentieren, wurden mehrere V2X Szenarios simuliert: die Steuerung des Kofferraums über HTTPS, das Erhalten von Verkehrs-Updates über MQTT und ein einfacher V2V Traffic Safety Service der ETSI CAM nutzt. Jedes Szenario beinhaltete Angriffe, welche für die Evaluierung des V2X Application-Level Gateways entworfen wurden. Es wurde gezeigt, dass das V2X Application-Level Gateway alle Angriffe erkennen und darauf reagieren konnte.

Future cars will communicate with a variety of entities ranging from other vehicles and infrastructure, such as traffic lights, to Internet-based services running on remote servers. This V2X communication is essential for future vehicles, since it increases traffic safety and traffic efficiency, contributes to easier vehicle maintenance and also plays an important role for the realisation of autonomous vehicles. It is necessary that V2X communication is appropriately secured, especially since it includes safety-critical communication. This can be done with a V2X Security Gateway in the vehicle, which serves as a proxy for vehicle-internal services communicating with the outside world and ensures cryptographic security as well as security on the internet-, transport- and application layer. A central component of such a V2X Security Gateway is the V2X Application-Level Gateway, which ensures security on the application layer, including a context-sensitive semantic analysis of application data, detection of application layer protocol violations and detection of application layer DoS attacks. It also realises the proxy-functionality and ensures cryptographic security. This work presents a concept and prototype implementation of such a V2X Application-Level Gateway. The implementation was evaluated with the V2X Application-Level Gateway software run on an Intel NUC integrated in a test network representing an internal vehicle network. In this network, consisting of an Edgecore SDN switch and Intel NUCs and Raspberry Pis representing vehicle ECUs, several V2X scenarios like remotely controlling the vehicle trunk via HTTP, receiving traffic updates via MQTT and a basic V2V traffic safety service using the ETSI CAM were simulated. Each scenario included realistic attacks devised for evaluating the V2X Application-Level Gateway. It was shown that with the traffic analysis in the V2X Application-Level Gateway all attacks could be detected and handled.