FÁBIO LEITE SOARES
Sistema embarcado para comunicação intraveicular segura em Diagnostics over IP - DoIP
Universidade Federal de Pernambuco posgraduacao@cin.ufpe.br www.cin.ufpe.br/~posgraduacao
Recife 2016
Sistema embarcado para comunicação intraveicular segura em Diagnostics over IP - DoIP
Dissertação de Mestrado apresentada ao Programa de Pós-Graduação em Ciência da Computação da Universidade Federal de Pernambuco, como requisito parcial para a obtenção do título de Mestre em Ciência da Computação.
Orientador: Divanilson Rodrigo de Sousa Campelo
Recife 2016
Catalogação na fonte
Bibliotecária Monick Raquel Silvestre da S. Portes, CRB4-1217
S676s Soares, Fábio Leite
Sistema embarcado para comunicação intraveicular segura em Diagnostics Over IP - DoIP / Fábio Leite Soares. – 2016.
90 f.:il., fig., tab.
Orientador: Divanilson Rodrigo de Sousa Campelo.
Dissertação (Mestrado) – Universidade Federal de Pernambuco. CIn, Ciência da Computação, Recife, 2016.
Inclui referências.
1. Segurança da informação. 2. Criptografia. 3. Sistemas embarcados. I. Campelo, Divanilson Rodrigo de Sousa (orientador). II. Título.
005.8 CDD (23. ed.) UFPE- MEI 2017-232
Fabio Leite Soares
Sistema Embarcado para Comunicação Intraveicular Segura em Diagnostics Over IP – DoIP
Dissertação de Mestrado apresentada ao Programa de Pós-Graduação em Ciência da Computação da Universidade Federal de Pernambuco, como requisito parcial para a obtenção do título de Mestre em Ciência da Computação
Aprovado em: 09/09/2016.
BANCA EXAMINADORA
__________________________________________ Prof. Dr. Carlos André Guimarães Ferraz
Centro de Informática / UFPE
__________________________________________ Prof. Dr. Luis Henrique Maciel Kosmalski Costa Departamento de Eletrônica e de Computação / UFRJ
__________________________________________ Prof. Dr. Divanilson Rodrigo de Sousa Campelo
Centro de Informática / UFPE
Primeiramente agradeço a Deus por sempre me guiar, ajudar e me dar forças frente aos questionamentos e dificuldades da vida, sem Ele nada disso seria possível. Aos meus queridos pais, Reginaldo e Ladjane, que não deixaram de acreditar em mim em nenhum momento, mesmo quando pensei em desistir da carreira de engenheiro da computação, mesmo quando eu achava que era incapaz, quando estava cansado, eles estiveram sempre ao meu lado, me amando e me incentivando em todas as fases da minha vida, à eles agradeço por ter chegado até aqui. Eles não imaginam o quanto eu os amo.
Agradeço às minhas irmãs Flávia e Fernanda pela paciência, amor e compreensão desde o início de tudo em 2007 quando iniciei minha graduação. À Fernanda pelo seu carinho, cuidado e imensa paciência comigo durante o nosso convívio diário.
À minha namorada Camila, por ser tão especial com seu carinho, atenção e compreen-são. Me fez enxergar a vida de outra forma sendo ela a maior responsável da minha felicidade diária em suas imensas declarações e afeto. Me acompanhando lado a lado em todos os meus passos, não poderia ser mais feliz ao seu lado.
Gostaria de expressar gratidão em especial ao Professor Divanilson Campelo, que, através da sua forma competente de pensar e agir, mudou a minha vida pessoal e completamente a profissional. Aprendi com ele não só como conduzir uma pesquisa científica mas também como impactar cientificamente a sociedade com os resultados gerados neste trabalho. Sua visão moderna e empreendedora de como devemos enxer-gar a pesquisa acadêmica contemporânea e sua respectiva contribuição à sociedade trouxe ao Centro de Informática da UFPE uma estreita relação profissional com o maior departamento privado de pesquisa e desenvolvimento para Ethernet automotiva do mundo, localizado na Alemanha. Destaco também sua paciência e compreensão às falhas que cometi durante esta trajetória, foram exatamente nas minhas quedas que mais aprendi com ele. Sua orientação nesta jornada foi definitivamente uma experiência enriquecedora.
Agradeço aos meus grandes amigos do grupo de pesquisa em Redes Intraveiculares do Centro de Informática, Edilson, Bianca, Rhudney, Paulo e Rodrigo que me incentivaram bastante e acreditaram em mim. Em especial a Edilson e Bianca que me ajudaram neste projeto de mestrado com imensa empatia e olhar crítico.
Por fim, expresso minha gratidão e admiração aos professores da banca avaliadora, Professor Luís (UFRJ) e Professor Carlos (UFPE), por aceitarem o convite e dedicarem o seu tempo à leitura e apreciação deste trabalho, contribuindo com críticas e sugestões para a melhoria desta pesquisa.
“A good scientist is a person with original ideas. A good engineer is a person who makes a design that works with as few original ideas as possible. There are no prima donnas in engineering”. Freeman Dyson
Nos últimos anos, a falta de medidas de segurança em protocolos de comu-nicação intraveiculares acarretou em sérios problemas para a indústria automotiva. Casos recentes demonstram carros modernos sendo hackeados através de suas redes intraveiculares via interfaces digitais de acesso com ou sem fio. À medida que as Unida-des Eletrônicas de Controle (ECU) são comprometidas, os invasores são capazes de controlar completamente sistemas críticos como o ABS (Anti-lock breaking system), o sistema de direção elétrica e o de aceleração, por exemplo, provocando riscos severos para os condutores e passageiros do veículo. Redes intraveiculares de diagnóstico não são exceções. Através da porta de acesso para as redes intraveiculares padronizadas, OBD-II, o invasor pode explorar o CAN gateway de diversas maneiras para obter o total controle da rede intraveicular e, consequentemente, dos sistemas críticos veiculares. O padrão ISO 13400 Diagnostic communication over Internet Protocol (DoIP), lançado em 2012, é um padrão fundamentalmente proposto a definir como mensagens de diagnóstico serão transmitidas sobre uma rede de comunicação IP, desde a camada física até a camada de transporte, seguindo o modelo OSI. O padrão ISO 14229 Unified Diagnostic Services (UDS) e o ISO 27145-3 World-Wide Harmonized On-Board Diag-nostics (WWH-OBD) são os principais padrões que definem a estrutura da mensagem de diagnóstico, já que o DoIP apenas especifica os requisitos necessários para o trans-porte das mensagens. Embora o ISO 13400 tenha sido desenvolvido para ser o próximo padrão confiável e de longo prazo para mensagens de diagnóstico automotivas sobre IP, mecanismos de segurança não foram definidos para tratar conhecidas vulnerabilidades herdadas do modelo TCP/IP tais como, ARP spoofing, MAC spoofing, IP Spoofing, TCP session hijacking, monitoramento de pacotes, modificações não autorizadas em bytes e retransmissão de pacotes manualmente. Mesmo com a presença de uma sub-camada de segurança no UDS através do serviço SecureDataTransmission (0x84), três serviços desse mesmo protocolo continuam vulneráveis a possíveis ataques, sendo eles: ResponseOnEvent (0x86), ReadDataByPeriodicIdentifier (0x2A) e TesterPresent (0x3E). Além do mais, a sub-camada de segurança oferecida situa-se na camada de aplicação, camada 7, permanecendo as camadas subjacentes desprotegidas e vulneráveis a possíveis ataques. Este trabalho apresenta um modelo seguro de um DoIP Edge Node, entidade de comunicação entre as redes intraveiculares e agentes externos, em IPv6. O sistema de comunicação embarcado assim como a performance de rotinas criptográficas são analisadas sob as quatro topologias centrais descritas no padrão DoIP. Ameaças e vulnerabilidades para cada camada da pilha de comuni-cação, os riscos e mecanismos de mitigação também são levados em consideração. O modelo proposto cobre quatro requisitos essenciais da segurança da informação: confidencialidade, integridade, autenticidade e temporalidade. Devido ao overhead de
processamento provenientes dos mecanismos de segurança empregados tais como o Transport Layer Security (TLS), Generic Routing Encapsulation (GRE), Internet Pro-tocol Security (IPSec) e o Media Access Control Security (MACsec), uma análise do desempenho da rede é realizada e comparada ao desempenho de redes inseguras. Por fim, são apresentados os possíveis custos de desenvolvimento, o gerenciamento de chaves e certificados e o hardware utilizado nesta arquitetura.
Palavras-chave: Redes Intraveiculares. Segurança da Informação. Criptografia. Siste-mas Embarcados. Ethernet Automotiva. Diagnóstico sobre IP.
The lack of security in current in-vehicle communication protocols has brought serious problems to the automotive industry in the past few years. Recent demon-strations have shown modern cars being hacked through in-vehicle networks either via wired access or wirelessly. By taking control over crucial Electronic Control Units (ECUs), hackers were able to compromise, for instance, the anti-lock braking system, the steering wheel and the throttle control system, leading to severe risks for drivers and passengers. Diagnostic networks are not an exception. Through the On-board Diagnostics (OBD-II) connector, the attacker can exploit the CAN gateway in many different ways to obtain full access to the internal car network and conduct similar attacks. The ISO 13400 Diagnostics over IP (DoIP), released in 2012, is a standard fundamentally proposed to define how diagnostic messages are transmitted over an IP communication network, from the transport layer to the physical layer, following the OSI model. Despite the fact it was initially designed only for diagnostic systems, ISO 13400 also has the capability of providing transport protocol and network layer services for other IP-based systems, if necessary. The ISO 14229 Unified Diagnostic Services (UDS) and ISO 27145-3 World-Wide Harmonized On-Board Diagnostics (WWH-OBD) are the primary standards that define the structure of diagnostic messages, since DoIP only specifies the requirements for message transportation. Although the ISO 13400 standard has been developed to be the next reliable and long-term protocol for automotive diagnostics over IP, no security mechanisms have been proposed so far to manage well-known vulnerabilities inherited from the TCP/IP model, such as ARP spoofing, MAC spoofing, eavesdropping, message tampering and message replay. Even though the Unified Diagnostic Services provide an application security sub-layer through the SecuredDataTransmission service (0x84), three services are still uncovered: ResponseOnEvent (0x86), ReadDataByPeriodicIdentifier (0x2A) and TesterPresent (0x3E). Moreover, this security sub-layer is only at the application layer, leaving lower layers still vulnerable to attacks. This work presents an embedded implementation of a secure IPv6 DoIP Edge Node, the external interface entity for the DoIP network. The embedded network security and the cryptographic performance routines are analyzed under the four central network topologies described in the DoIP standard. Potential threats and vulnerabilities for each layer of the stack, their associated risks and the security mechanisms to mitigate the attacks are also addressed. The implementation covers four essential security requirements: data confidentiality, data integrity, data authenticity and data freshness. Authorization and resiliency are also discussed. Due to the cryptographic computing overhead caused by security mechanisms such as Transport Layer Security (TLS), ISO 15764, IPsec and MACsec, a network performance analysis is presented, along with a comparison with unsecured systems. Finally, the
development costs, the key management and the hardware required for the proposed architecture are discussed.
Keywords: In-vehicle Networks. Information Security. Cryptography. Embedded Sys-tems. Automotive Ethernet. Diagnostics over IP.
Figura 1 – Comparação do número de linhas de código entre veículos e
aplica-ções de alta complexidade. . . 21
Figura 2 – Imagem de Charlie Miller e Chris Valasek enviada através do sistema de telemetria do Jeep Cherokee 2014 . . . 22
Figura 3 – Redes intraveiculares modernas. . . 28
Figura 4 – Funcionalidades oferecidas em carros modernos. . . 28
Figura 5 – Conjunto de cabos utilizados em carros modernos. . . 29
Figura 6 – Modelo OSI em CAN. . . 31
Figura 7 – Subcamadas do protocolo CAN. . . 31
Figura 8 – Arquitetura atual da uma rede intraveicular automotiva. . . 34
Figura 9 – Coexistência das diferentes redes intraveiculares . . . 35
Figura 10 – Transição de arquitetura centralizada para uma arquitetura hierár-quica através do uso de gateways/switches (hexágonos) e backbone Ethernet (retângulo superior central à direita). . . 36
Figura 11 – Automotive Ethernet Roadmap. . . 38
Figura 12 – Uso conjunto de câmeras, radar e sensores de proximidade. . . 40
Figura 13 – Diagramas de codificação do padrão Ethernet e do BroadR-Reach. 41 Figura 14 – Componentes físicos da conexão BroadR-Reach. . . 42
Figura 15 – Padrão Ethernet como backbone da arquitetura de rede intraveicular. 43 Figura 16 – Arquitetura AUTOSAR.. . . 44
Figura 17 – Cronograma AUTOSAR. . . 45
Figura 18 – Porta OBD-II. . . 48
Figura 19 – Modelo OSI e o padrão DoIP comparado ao padrão de diagnósticos sobre CAN. . . 52
Figura 20 – Arquitetura da rede de diagnóstico. . . 54
Figura 21 – Conexão direta 1 - 1: (1) Cabo Ethernet, (2) equipamento de diagnós-tico, (3) veículo e (4) conexão lógica. . . 58
Figura 22 – Conexão através da rede 1 - 1: (1) Ethernet switch e ponto de acesso sem fio, (2) cabo Ethernet, (3) WLAN, (4, 5) equipamentos de diag-nóstico, (6, 7) veículos e (8, 9) conexões lógicas distintas. . . 59
Figura 23 – LegConexão através da rede N - 1: (1) Rede local do centro de manu-tenção, (2) cabo Ethernet, (3) WLAN, (4) equipamento de diagnóstico, (5) servidor, (6, 7, 8) veículos e (9, 10) conexões lógicas distintas. . 60
Figura 24 – Conexão através da rede 1 - N: (1) Rede local do centro de ma-nutenção, (2) cabo Ethernet, (3) WLAN, (4, 5) equipamentos de diagnóstico, (6) servidor, (7, 8, 9) veículos e (10, 11, 12, 13) conexões
lógicas distintas. . . 61
Figura 25 – Plataforma de prototipação utilizada neste trabalho . . . 72
Figura 26 – Funcionamento do MACsec. . . 75
Figura 27 – Camadas de segurança aplicadas ao modelo proposto. . . 77
Figura 28 – Modelo de encapsulamento das mensagens de diagnóstico. . . 78
Tabela 1 – Lista de atributos de segurança . . . 63
Tabela 2 – Protocolos utilizados pelo DoIP . . . 68
Tabela 3 – Ameaças e vulnerabilidades mapeadas no padrão ISO 13400-2. . . 71
Lista de abreviaturas e siglas
ABS Anti-lock Breaking System
ADAS Advanced Driver Assistance Systems AES Advanced Encryption Standard ARP Address Resolution Protocol
AUTOSAR Automotive Open System Architecture
AVB Audio/Video Bridging
CAN Controller Area Network CAT 5 Category 5 Cable
CCU Communication Control Unit
CMC Common Mode Choke
DAS Driver Assistance Systems
DHCP Dynamic Host Configuration Protocol
DoIP Diagnostic communication over Internet Protocol
DoS Denial-of-Service
DTC Diagnostic Trouble Code ECU Electronic Control Unit
EMC Electromagnetic Compatibility EMI Electromagnetic Interference ESP Encapsulating Security Payload
EVITA E-safety Vehicle Intrusion Protected Applications
GCM Galois/Counter Mode
GPS Global Positioning System GRE Generic Routing Encapsulation ICMP Internet Control Message Protocol
IKEv2 Internet Key Exchange version 2
IP Internet Protocol
IPsec Internet Protocol Security
ISO International Organization for Standardization
LAN Local Area Network
LAND Local Area Network Denial LIN Local Interconnect Network LVDS Low-Voltage Differential Signaling
MAC Medium Access Control
MAC Message Authentication Code MACsec Media Access Control Security MAN Metropolitan Area Network MLT Multi-Level Transmit
MOST Media Oriented Systems Transport NDP Neighbor Discovery Protocol OABR OPEN Alliance BroadR-Reach
OBD On-board Diagnostics
ONU Organização das Nações Unidas OPEN Alliance One Pair EtherNet Alliance OSI Open Systems Interconnection
PHY Physical Layer
PKI Public Key Infrastructure
PSK Pre-Shared Key
QoS Quality of Service
RJ45 Registered Jack 45
RST Reset
SAE Society of Automotive Engineers
SecOC Module Secure Onboard Communication TCP Transmission Control Protocol
TDMA Time Division Multiple Access TKIP Temporal Key Integrity Protocol TLS Transport Layer Security
ToE Target Of Evaluation
TSN Time-Sensitive Networking TTEthernet Time-Triggered Ethernet UDP User Datagram Protocol UDS Unified Diagnostic Services UTP Unshielded Twisted Pair VLAN Virtual Local Area Network WEP Wired Equivalent Privacy WLAN Wireless Local Area Network WPA Wi-Fi Protected Access
1 INTRODUÇÃO . . . . 20 1.1 Contexto e Motivação . . . 20 1.2 Objetivos da Investigação . . . 23 1.2.1 Objetivo Geral . . . 23 1.2.2 Objetivo Específico . . . 24 1.3 Contribuições . . . 24 1.4 Estrutura da Dissertação . . . 25 2 REDES INTRAVEICULARES . . . . 26 2.1 Introdução . . . 26
2.2 Controller Area Network . . . 29
2.3 Local Interconnect Network . . . 31
2.4 FlexRay . . . 32
2.5 MOST . . . 32
2.6 LVDS . . . 33
2.7 A Caminho da Ethernet Automotiva. . . 33
2.7.1 Automotive Ethernet . . . 36
2.7.1.1 Primeira Geração: Diagnostic Communication over IP . . . 38
2.7.1.2 Segunda Geração: Driver Assistance Systems e Entretenimento. . . 39
2.7.1.3 BroadR-Reach. . . 40
2.7.1.4 Terceira Geração: Ethernet como Backbone . . . 42
2.7.2 Autosar . . . 43
2.8 On-board Diagnostics . . . 45
2.9 Acesso Remoto ao Diagnóstico Veicular. . . 47
2.10 Diagnóstico Automotivo Integrado . . . 47
2.11 Diagnostics Communication over IP . . . 48
3 DESCRIÇÃO DO SISTEMA EM ANÁLISE . . . . 51
3.1 Método de Análise . . . 52
3.2 Agentes de Comunicação da Rede . . . 53
3.3 Arquitetura da Rede DoIP. . . 53
3.4 Características da Camada Física e Camada de Enlace . . . 55
3.5 Características da Camada de Rede e Camada de Transporte . . 55
3.6 Características da Camada de Aplicação . . . 57
3.7 Topologias e Casos de Uso . . . 57
3.7.2 Conexão através da rede entre um veículo e um equipamento de
diagnóstico. . . 58
3.7.3 Conexão através da rede entre múltiplos veículos e um equipamento de diagnóstico . . . 59
3.7.4 Conexão através da rede entre um veículo e múltiplos equipamentos de diagnóstico . . . 60
3.8 Recursos a Serem Protegidos . . . 61
3.9 Requisitos de segurança . . . 62
3.9.1 Autenticidade da Origem dos Dados . . . 63
3.9.2 Integridade . . . 64 3.9.3 Autorização . . . 64 3.9.4 Data Freshness . . . 65 3.9.5 Não-Rejeição . . . 65 3.9.6 Privacidade e Anonimidade . . . 66 3.9.7 Confidencialidade . . . 66 3.9.8 Disponibilidade . . . 67
3.10 Análise de Ameaças e Vulnerabilidades . . . 67
3.10.1 DHCP . . . 68 3.10.2 ARP . . . 69 3.10.3 NDP . . . 69 3.10.4 ICMP . . . 69 3.10.5 IP . . . 69 3.10.6 TCP. . . 70 3.10.7 UDP . . . 70
3.10.8 Ameaças e Vulnerabilidades no protocolo DoIP . . . 70
4 DESCRIÇÃO DO MODELO PROPOSTO. . . . 72
4.1 Plataforma utilizada . . . 72
4.1.1 Sistema operacional . . . 72
4.1.2 Mecanismos de Segurança Aplicados no Modelo . . . 73
4.1.2.1 MACsec . . . 74
4.1.2.2 VLAN . . . 76
4.1.2.3 Generic Routing Encapsulation . . . 76
4.1.2.4 IPsec . . . 76
4.1.2.5 TLS . . . 77
4.1.3 Pilha de TCP/IP . . . 77
4.1.4 Modelo de encapsulamento na camada de rede . . . 78
4.2 Análise de Desempenho . . . 79
20
1 INTRODUÇÃO
1.1 Contexto e Motivação
Os veículos modernos, hoje equipados com diversos dispositivos eletrônicos de alta tecnologia e complexidade, oferecem ao usuário uma infinidade de funcionalidades e configurações, proporcionando uma experiência inovadora e sofisticada ao condutor e aos passageiros. Um exemplo desta sofisticação se dá pela possibilidade de sin-cronização do smartphone ao sistema de segurança e alerta do veículo. Utilizando a conectividade à Internet oferecida por este dispositivo, o veículo é capaz de informar ao condutor sobre alertas em tempo real, acidentes, trânsito e rotas alternativas. Carros conectados também são muito úteis para os fabricantes, pois possibilitam um maior controle de riscos e danos, atuando proativamente em atualizações de software re-motas, monitoramento do desempenho do sistema e componentes em tempo real, evitando assim maiores problemas técnicos e que comprometam a vida dos usuários e a imagem da empresa. No entanto, juntamente com os avanços tecnológicos vêm os riscos associados ao sistema e às falhas de segurança da informação, assim como às questões de privacidade. Para mitigar tais ameaças, a indústria automotiva considera a segurança1como prioridade contra ataques digitais (INTEL SECURITY,2015).
Por várias décadas, veículos eram apenas máquinas metálicas, contendo um motor à combustão com o único propósito de transportar passageiros e cargas de um lugar a outro, sem qualquer tipo de comunicação digital interna ou externa ao veículo. Nos últimos 50 anos, a indústria automotiva tem adotado a eletrônica e a tecnologia da informação e comunicação para cumprirem regulamentações, legislações, padrões, controles de emissão de CO2 e eficiência no consumo de combustível; assim como a
melhoria nos sistemas de diagnóstico, no conforto oferecido ao usuário, conveniência, comunicação e entretenimento.
Com o advento de uma sociedade permanentemente conectada, espera-se que a mesma experiência digital e de conectividade, oferecidas por smartphones por exemplo, estejam presentes nos veículos modernos. Funcionalidades como escutar músicas de playlists personalizadas, fazer e receber ligações através de comandos de voz com informações sendo exibidas na tela principal do veículo, ligar o veíclo à distância e carros que busquem por vagas de estacionamento automaticamente são 1 Em inglês, safety e security possuem significados diferentes no contexto automotivo. Security está
associado à segurança da informação em sistemas de comunicação intraveiculares, sendo portanto, o principal foco deste trabalho. Safety por outro lado, possui uma conotação mais abrangente, incluindo componentes mecânicos, acústicos, elétricos e eletrônicos no veículo. É importante destacar que security é um subconjunto de safety, logo ao contribuírmos para um sistema seguro digitalmente, contribui-se automaticamente para um sistema veicular seguro - safety.
exemplos de ações esperadas no futuro pelos usuários.
Portanto, espera-se que o veículo seja um nó em uma rede de dispositivos e usuários conectados. É com esta motivação que fabricantes automotivos modernizam seus veículos, acompanhando as necessidades e interesses dos seus usuários, e analogamente, a modernização de componentes de segurança e conforto, garantindo a integridade dos passageiros.
Analogamente à adição de novas funcionalidades e sistemas eletrônicos embar-cados nos veículos, o volume de software responsável pelo correto funcionamento das unidades eletrônicas de controle (ECU) também aumentou drasticamente. A Figura 1.1 mostra a quantidade de linhas de código presentes em um carro moderno no ano de 2010, sendo a quantidade de linhas de código em veículos duas vezes maior que o Grande Colisor de Hádrons.
Figura 1 – Comparação do número de linhas de código entre veículos e aplicações de alta complexidade.
IBM, 2014.
Porém, esta modernização traz riscos e consequências potencialmente fatais. Pesquisadores de segurança da informação demonstraram que carros computado-rizados podem ser invadidos e controlados com apenas um computador portátil e programas de código aberto facilmente encontrados na Internet. Obtiveram sucesso em demonstrar falsas informações enviadas ao sistema de telemetria do veículo sendo estas exibidas no painel principal do carro como visualizado na Figura 1.2 (MILLER; VALASEK,2015;KOSCHER et al.,2010;CHECKOWAY et al.,2011).
Miller e Valasek demonstraram como controlar remotamente a direção do veículo em movimento, controlar os freios e até mesmo desligar o motor completamente em uma rodovia americana de alta velocidade. Outro exemplo de grande repercussão
Capítulo 1. INTRODUÇÃO 22
partiu da empresa britânica E2V após o desenvolvimento de um dispositivo capaz de parar os veículos através do envio de ondas eletromagnéticas (E2V,2013).
Ataques utilizando Ramsonwares2 em sistemas de transporte, exigindo atos
políticos sob a ameaça de ataques a frotas veiculares ou transferências de dinheiro, já foram realizados e podem aumentar proporcinalmente com o aumento da conectividade veicular (THE GUARDIAN,2016). O Anonymous é um conhecido exemplo de um grupo mundial anônimo de hackers que agem principalmente por motivações políticas. Um exemplo recente foi a declaração de “guerra total” ao atual candidato às eleições presidenciais dos Estados Unidos da América, Donald John Trump (ANONYMOUS,
2004;THE CONVERSATION,2016).
Figura 2 – Imagem de Charlie Miller e Chris Valasek enviada através do sistema de telemetria do Jeep Cherokee 2014 .
Remote Exploitation of an Unaltered Passenger Vehicle, 2015.
Assim como invadir sistemas comercias evoluiu de simples brincadeiras por adolescentes sem qualquer motivação política e financeira para empresas de ciber-crime altamente rentáveis (DEIBERT,2016), o mesmo pode ser esperado no âmbito automotivo. Não apenas a segurança física dos usuários será afetada, mas a privaci-dade também está em risco diante das vulnerabiliprivaci-dades presentes hoje nos veículos modernos. Informações pessoais em smartphones, tais como e-mails, mensagens de 2 Ramsonware é um software malicioso que se aloja sem o consentimento do usuário para a execução
de um ataque criptográfico impedindo, através de criptografia, o correto funcionamento de uma ou mais funcionalidades do sistema em troca de pagamento para a remoção do mesmo.
texto, contatos, registro de ligações, posicionamento através do GPS e outros dados podem ser copiados ou alterados por invasores caso não existam barreiras de proteção.
Atualmente, a principal e única porta de acesso para o sistema de comunicação intraveicular se dá através da porta de diagnóstico, On-board Diagnostics II (ODB-II). É através dessa porta que os fabricantes automotivos realizam atualizações de software, assim como a verificação do comportamento dos sensores e de possíveis falhas registradas no sistema. No entanto, é através da porta de diagnóstico que vários ataques são realizados pela facilidade do acesso físico à porta OBD-II e má construção de mecanismos de segurança programados em software. Anteriormente ao caso Jeep, Miller e Valasek utilizaram do fácil acesso às redes de comunicação intraveicular, através da porta OBD-II, para a exploração de vulnerabilidades em interfaces de acesso remoto oferecidos pelo modelo do Jeep.
É a partir dessa porta insegura hoje presente nos automóveis que este presente trabalho analisa as ameaças, vulnerabilidades e riscos associados aos protocolos de diagnósticos utilizados pela indústria automotiva.
O desafio para a indústria automotiva na segurança da informação é definitiva-mente multidisciplinar: componentes eletrônicos fornecidos por empresas terceirizadas devem ser minuciosamente analisados evitando-se casos como o backdoor3encontrado
em dispositivos Android manufaturados pela empresa chinesa Allwinner em 2016 (THE REGISTER,2016), auditoria e testes de penetração durante a fabricação de firmwares e softwares automotivos, testes de segurança, integridade e stress em ECUs, etc.
As tecnologias são complexas, a integração entre diferentes domínios é com-plexa, a vida útil do produto e de sua manutenção é longa, a cadeia de fornecedores de componentes automotivos nem sempre é confiável e o ambiente ao qual o veículo está inserido é vasto em termos de ameaças.
Na verdade, a segurança da informação deve ser inserida em cada estágio do processo de fabricação, desde o projeto do componente até a produção, chegando à cadeia de fornecedores, montadoras e manutenção. A segurança deve fazer parte do ecossistema automotivo desde a concepção do produto até o seu fim.
1.2 Objetivos da Investigação 1.2.1 Objetivo Geral
O objetivo geral deste trabalho é apresentar uma análise da segurança da informação na realização de atualizações de firmware e rotinas de diagnóstico através 3 Backdoor é um recurso utilizado por diversos malwares para garantir acesso remoto ao sistema ou à
rede infectada, explorando falhas críticas não documentadas existentes em programas instalados, softwares desatualizados e do firewall para abrir portas do dispositivo.
Capítulo 1. INTRODUÇÃO 24
do uso do protocolo ISO 13400 - Diagnostics communication over the Internet Protocol. Em seguida, um modelo de segurança é proposto a fim de mitigar os problemas de segurança deste cenário.
1.2.2 Objetivo Específico
Este trabalho apresenta um modelo seguro de um DoIP Edge Node, entidade de comunicação entre as redes intraveiculares e agentes externos, em IPv6. O sistema de comunicação embarcado assim como o desempenho de rotinas criptográficas são analisados sob as quatro topologias centrais descritas no padrão DoIP. Ameaças e vulnerabilidades para cada camada da pilha de comunicação, os riscos e mecanismos de mitigação também são levados em consideração. O modelo proposto cobre quatro requisitos essenciais da segurança da informação: confidencialidade, integridade, au-tenticidade e temporalidade. Devido à sobrecarga de processamento provenientes dos mecanismos de segurança empregados tais como o Transport Layer Security (TLS), Generic Routing Encapsulation (GRE), Internet Protocol Security (IPSec) e o Media Access Control Security (MACsec), uma análise do desempenho da rede é realizada e comparada à de redes inseguras. Por fim, o modelo proposto é validado através do uso de uma plataforma embarcada de baixo custo. Esta plataforma utilizará bibliotecas de código aberto, algoritmos e patches de kernel necessários para a garantia de um canal de comunicação seguro entre as entidades.
1.3 Contribuições
As principais contribuições realizadas neste trabalho dividem-se em duas partes:
• A primeira é a análise teórica das ameaças e vulnerabilidades presentes no DoIP, que foi proposto como o protocolo de diagnóstico de próxima geração. Nesta análise, verifica-se que a adoção deste protocolo como a próxima tecnologia de uso de longo prazo acarreta questões de segurança sérias e que trazem riscos aos usuários, aos pedestres e aos fabricantes dos automóveis. Pontua-se onde estão as falhas e quais as consequências de cada uma presentes na comunicação entre os veículos e os equipamentos de diagnóstico.
• A segunda contribuição se dá pela proposta de um modelo de um canal de comunicação seguro para a troca de mensagens utilizando o DoIP. Para a validação do modelo proposto, é utilizada uma plataforma embarcada de baixo custo capaz de executar o sistema operacional Raspbian, distribuição baseada no sistema operacional Linux.
1.4 Estrutura da Dissertação
O restante do trabalho se organiza da seguinte forma: No Capítulo 2, as redes intraveiculares são apresentadas. A origem e necessidade do uso destas redes são discutidas para a compreensão das tecnologias atuais e necessidade de largura de banda. Uma breve introdução das principais redes hoje utilizadas facilita a compreen-são dos aspectos técnicos na transmiscompreen-são de informações entre sistemas eletrônicos. Ao fim do Capítulo 2, a Ethernet automotiva é explicada detalhadamente até o nível elétrico da solução existente hoje no mercado. No Capítulo 3, apresenta-se o conceito de diagnóstico automotivo e sua necessidade. Ao final, apresenta-se o protocolo ISO 13400 como protocolo do futuro nos diagnósticos automotivos.
O Capítulo 4 traz uma análise detalhada quanto às ameaças e vulnerabilidades mapea-das no ISO 13400. As consequências de cada vulnerabilidade são apresentamapea-das ao fim deste capítulo. O capítulo 5 apresenta uma proposta de um modelo seguro para a comunicação remota entre dispositivos de teste e automóveis. Por fim, os resultados e conclusão deste trabalho aparecem nos Capítulos 6 e 7 respectivamente.
26
2 REDES INTRAVEICULARES
Neste capítulo uma breve introdução sobre as redes intraveiculares modernas é apresentada. (NAVET; SIMONOT-LION, 2013) e (TUOHY et al., 2015) realizaram um trabalho minucioso sobre a evolução de tecnologias, protocolos e necessidades quanto à transmissão de informações entre ECUs. O autor deste presente trabalho destaca a importância destas duas referências como ponto de partida para a completa compreensão das redes intraveiculares modernas.
2.1 Introdução
Recentes avanços no desenvolvimento de hardware de sistemas embarcados e do poder computacional desses possibilitaram grandes inovações na indústria automo-tiva. Sistemas eletrônicos intraveiculares avançam rapidamente em complexidade e diversidade. Inúmeros sensores e processadores são utilizados em diferentes partes de um automóvel moderno atualmente. Sistemas como o Antilock Braking System (ABS) e sistemas de controle de estabilidade são exemplos de sistemas que monitoram e controlam o desempenho e dinâmica em um automóvel; já câmeras, radares e senso-res ultrassônicos são considerados como a visão do carro no ambiente ao qual está inserido, trazendo novas informações ao condutor e ao próprio sistema de atuação do veículo, consequentemente aumentando o controle e a segurança sobre a dirigibilidade do automóvel.
A natural substituição de partes mecânicas por componentes eletrônicos de maior confiabilidade, durabilidade e eficiência, assim como legislações governamentais para maior segurança e diminuição de índices de poluição, são alguns dos principais fatores que incentivam a indústria automotiva no desenvolvimento de tecnologias de redes intraveiculares. Maior eficiência de combustão, conforto, diminuição de custos, menor peso do automóvel e menor tempo na linha de produção são algumas das inúmeras vantagens da aplicabilidade e desenvolvimento de redes intraveiculares.
Nos primeiros estágios do desenvolvimento da indústria automotiva, o rádio era o único componente considerado eletrônico dentre todos os outros sistemas em um veículo. Hoje, o sistema de freio, navegação e tantas outras unidades de controle para as portas, janelas, controle de temperatura, injeção de combustível, entre outros, são todos eletrônicos. Considera-se uma unidade de controle eletrônica (ECU), a unidade que utiliza sinais de entrada digitais ou analógicos de um ou mais sensores presentes no veículo, interpreta os sinais recebidos e realiza ações através dos atuadores. Portanto, ECUs são basicamente microcontroladores ou microprocessadores.
O processo de receber um ou mais sinais e atuar conforme as diferentes entra-das ocorrem também entre as ECUs, e não apenas sinais advindos de sensores. Por exemplo, em um carro automático o motor deve informar ao sistema de transmissão a velocidade e a rotação atual do eixo principal, o sistema de transmissão irá verificar se a marcha atual corresponde ao intervalo de marchas permitidas para a determinada rotação e velocidade. O sistema de transmissão então trocará de marcha sempre que a rotação do motor estiver fora da faixa preestabelecida. Todo este processo necessari-amente deve ser realizado em tempo real, ou seja, dentro de um intervalo de tempo que garanta a segurança do condutor, a segurança do ambiente no qual o carro se encontra e que atenda aos requisitos de desempenho desejados.
Com o aumento do número de ECUs em um veículo e a necessidade de estarem interconectados, o número de cabos também aumentou consideravelmente, tornando toda a arquitetura complexa e não escalável para futuras expansões. O aumento da complexidade não se deu apenas pelo grande número de cabos, a adição ou remoção de uma ECU exigia uma mudança em toda a arquitetura o que tornava todo o processo bastante difícil. Para resolver essa complexidade, os fabricantes decidiram utilizar um barramento central ao qual as principais unidades eletrônicas de controle estariam conectadas. Isto permitiu que diferentes unidades pudessem ser facilmente conectadas ou desconectadas da rede, trazendo flexibilidade, escalabilidade e rapidez no processo de fabricação.
O barramento é uma rede de comunicação específica para conectar as princi-pais unidades eletrônicas de controle. Cada unidade é um nó responsável por controlar determinada funcionalidade intraveicular. A comunicação e a troca de dados entre as unidades de controle e seus componentes auxiliares acontecem sob o regimento de um protocolo padronizado de comunicação. A razão para a introdução de novos padrões e protocolos é uma característica do desenvolvimento tecnológico em comunicações intraveiculares para atender demandas como imunidade eletromagnética, confiabili-dade e disponibiliconfiabili-dade em ambientes críticos, robustez, assim como a aplicação de uma tecnologia rentável, quando utilizada em larga escala. A Figura 2.1 e a Figura 2.2 abaixo exibem as principais redes intraveiculares usadas em veículos modernos e suas principais funcionalidades, respectivamente.
Capítulo 2. REDES INTRAVEICULARES 28
Figura 3 – Redes intraveiculares modernas.
Fonte: Renesas Electronics Corporation
Figura 4 – Funcionalidades oferecidas em carros modernos.
Fonte: ZF Friedrichshafen AG, 2015
Nas próximas seções, serão apresentados de forma sucinta, diferentes protoco-los e padrões propostos na indústria automotiva. Destacam-se os diversos protocoprotoco-los de comunicação nesta indústria mapeando-os nas camadas do modelo OSI.
2.2 Controller Area Network
Controller Area Network, ou CAN, é um barramento automotivo de comunicação pertencente à família Fieldbus desenvolvido pela empresa alemã Robert Bosch GmbH em 1965 para a troca de informações em sistemas embarcados interconectados (Robert Bosch GmbH,1991).
Fieldbus é um modelo industrial de rede para sistemas distribuídos de tempo real. É basicamente um barramento para a conexão de diferentes instrumentos em uma planta industrial. Fieldbus opera em uma estrutura de rede que permite diversas topologias tais como daisy-chain, estrela, anel, barramento e árvore. Anteriormente, computadores ou sistemas embarcados eram conectados através do protocolo serial RS-232 o qual permite apenas dois dispositivos para o estabelecimento de uma comu-nicação. Diferentemente do RS-232, tecnologias Fieldbus são equivalentes às atuais Local Area Networks – LANs, pois permitem centenas de dispositivos se interconecta-rem em nível lógico através de endereçamento ou broadcast. Isto reduz drasticamente o número de cabos necessários e o comprimento total utilizado (THOMESSE,2005).
Para termos uma dimensão do problema de cabeamentos na indústria automo-tiva, em um veículo moderno, este é considerado o terceiro componente de maior custo na produção do veículo, sendo o chassis em segundo lugar e o motor em primeiro. O trabalho de conexão e instalação dos cabos compreende 50% do custo de produção de todo o carro como também é o terceiro componente mais pesado, portanto, qualquer tecnologia que reduza o número de cabos, consequentemente o peso, contribuirá dire-tamente no consumo de combustível. A Figura 2.3 exibe a quantidade de cabos totais utilizados pelos componentes eletrônicos nos diversos barramentos de comunicação intraveicular.
Figura 5 – Conjunto de cabos utilizados em carros modernos.
Capítulo 2. REDES INTRAVEICULARES 30
O barramento CAN é capaz de transmitir dados em até 1Mbps, teoricamente. Foi um grande avanço para solucionar o problema de cabeamento na indústria au-tomotiva pois é capaz de funcionar plenamente em ambientes de alta interferência eletromagnética, cenário encontrado no interior dos veículos, além de ser um protocolo tolerante a falhas. Um sistema tolerante a falhas é a propriedade a qual permite que o sistema continue em pleno e correto funcionamento após um evento de falha em um ou mais componentes lógicos do sistema (Robert Bosch GmbH,1991;CORRIGAN,
2008).
Estas características tornaram o CAN bastante popular no setor automotivo, militar, médico, industrial e aeroespacial. O protocolo CAN é um protocolo de trocas de mensagens no qual os nós competem para utilizar o barramento através da arbitração. A prioridade do uso do barramento é determinada pelo código de arbitração contido no cabeçalho de cada mensagem. Um mesmo nó pode transmitir diferentes mensagens com diferentes prioridades – código de arbitração. Os nós com mensagens prioritárias possuem a dominância sobre o barramento ao transmitir suas mensagens, impedindo todos os outros nós de utilizarem o barramento no mesmo instante de tempo (Robert Bosch GmbH,1991;CORRIGAN,2008). Este modelo de prioridades permite que um nó sempre vença ao disputar o barramento, impedindo outros nós de transmitirem dados por um longo período de tempo, forçando os demais nós a não cumprirem com seus respectivos deadlines.
O CAN é um barramento serial multi-master que transmite suas mensagens num meio compartilhado por todos os nós conectados, ou seja, toda mensagem enviada por qualquer nó será recebida igualmente nos demais nós da rede. O padrão CAN definido pelo (ISO 11898-1,2015) define o protocolo nas camadas física e de enlace do modelo OSI. A Figura 2.4 e a Figura 2.5 mostram de forma bastante simplificada as camadas e subcamadas do modelo OSI para as redes CAN. O detalhamento dos protocolos utilizados nas diferentes camadas da pilha de comunicação CAN está fora do escopo deste trabalho, dado a complexidade dos protocolos e a proposta deste trabalho quanto à segurança da informação.
Figura 6 – Modelo OSI em CAN.
Fonte: Robert Bosch GmbH
Figura 7 – Subcamadas do protocolo CAN.
Fonte: Robert Bosch GmbH
2.3 Local Interconnect Network
Para aplicações intraveiculares simples que requerem apenas uma comunicação sensor-atuador em um sistema de comunicação de um fio, a rede Local Interconnect Network (LIN) é uma das mais indicadas tecnologias. Disponível desde 2001, foi desenvolvida por um consórcio formado de 5 fabricantes automotivos BMW, Volkswagen Group, Audi Group, Volvo Cars, Mercedes-Benz sendo a Volcano Automotive Group e a Motorola os parceiros tecnológicos do consórcio. Diferente da tecnologia CAN, onde
Capítulo 2. REDES INTRAVEICULARES 32
todos os nós da rede possuem o mesmo grau de independência quanto ao uso do barramento, o padrão LIN possui uma arquitetura mestre-escravo com transmissão de dados serial. Com uma taxa de 19.200 bauds e apenas um fio compartilhado, a proposta dessa rede se encaixa no domínio body electronics (espelhos, acessórios, janelas, etc) uma vez que é mais barata e seus requisitos de largura de banda são baixos (MATHEUS; KÖNIGSEDER,2014). Para aplicações onde a largura de banda e latência não são fatores críticos como aplicações que dependem de redes CAN, a industria automotiva comumente utiliza redes LIN, reduzindo o custo da linha de produção.
2.4 FlexRay
A rede FlexRay que está disponível desde 2005, é um barramento serial com-partilhado que pode chegar a uma taxa de 10Mbps. A mesma foi desenvolvida pelo consórcio FlexRay, um grupo de fornecedores de semicondutores, de automóveis e de infraestrutura de rede. O padrão FlexRay possui largura de banda maior que a da rede CAN, sendo esta uma vantagem em relação a tal tecnologia. Entretanto, a FlexRay é mais cara e mais complexa das redes intraveiculares, elevando o custo de projetos exigindo um maior tempo no desenvolvimento e time altamente qualificado. O padrão FlexRay é usado em domínios automotivos de alta criticalidade como powertrain 1e safety (drive-by-wire, adptive cruise control) uma vez que este padrão é considerado o mais confiável da atualidade (MATHEUS; KÖNIGSEDER,2014).
2.5 MOST
A tecnologia Media Oriented Systems Transport (MOST) foi disponibilizada em 2001, atualmente é composta por uma arquitetura de rede do tipo anel e pode chegar a uma taxa de 50Mbps usando fibra ótica ou cabos de cobre. A tecnologia MOST define a comunicação entre as 7 camadas do modelo ISO/OSI de camadas. De maior complexidade em sua pilha de protocolos, comparado ao CAN e LIN, é a primeira tecnologia a possuir funções e serviços que podem ser requisitados durante a operação do veículo. Esse padrão tem uma largura de banda relativamente alta (no mercado automotivo), porém tem um custo muito alto. Desta forma, a tecnologia é usada apenas para câmeras e transmissões multimídia (MATHEUS; KÖNIGSEDER,2014).
1 Em veículos motorizados, o termo powertrain descreve os principais componentes geradores de
potência e que transmitem esta potência para as rodas proporcinando o deslocamento dos veículos. Estes incluem o motor, transmissão, eixos de transmissão, diferenciais e rodas. Em modelos híbridos a bateria, o motor elétrico e o algoritmo de controle da transmissão de potência também são considerados elementos do Powertrain.
2.6 LVDS
O padrão Low Voltage Differential Signaling (LVDS), definido em 1994, vem ganhando espaço no mercado automotivo como uma alternativa ao MOST. Diferente-mente das tecnologias MOST/LIN/FlexRay, o LVDS é um barramento ponto-a-ponto (não compartilhado). Esse padrão tem um custo muito menor que MOST e muitos fabricantes estão começando a usá-lo para câmera e dados de vídeo. Por outro lado, a desvantagem dessa tecnologia é que cada barramento LVDS pode ser usando para suportar apenas uma saída de câmera ou saída de vídeo (MATHEUS; KÖNIGSEDER,
2014).
2.7 A Caminho da Ethernet Automotiva
Para a próxima geração de arquiteturas de redes intraveiculares, a indústria automotiva identificou o padrão Ethernet2como tecnologia bastante promissora para a
comunicação entre ECUs. Ethernet é um padrão IEEE de transmissão de dados bas-tante utilizado tanto em casas, escritórios, universidades quanto por grandes empresas de telecomunicações devido ao alto grau de reuso de componentes, abstração, trans-parência, maturidade, custo e domínio tecnológico. Além disso, o padrão Ethernet oferece uma largura de banda necessária para as novas tecnologias como Sistemas Avançados de Assistência ao Condutor (Advanced Driver Assistance System - ADAS), sistemas de entretenimento e telemetria. No entanto, para o uso real deste padrão em veículos, a indústria automotiva necessita de grandes esforços técnicos para adaptar a aplicabilidade desta tecnologia num ambiente hostil quanto às interferências ele-tromagnéticas, variações de temperatura e constantes impactos mecânicos. Fatores não menos importantes como escalabilidade, flexibilidade, baixo consumo de potência, robustez e segurança também estão sendo discutidos na padronização do protocolo no setor automotivo (MATHEUS; KÖNIGSEDER,2014).
A necessidade de conectividade, troca de mensagens e largura de banda au-mentam com a oferta de diferentes e complexas funcionalidades em um veículo, por exemplo, sistemas de estabilidade e controle, entretenimento e telemetria. Os usuários desejam encontrar no veículo o mesmo nível de experiência, entretenimento e conecti-vidade que possuem em suas casas. Tecnologias existentes de redes intraveiculares como os padrões LIN, CAN e FlexRay não foram projetadas para suprir a crescente demanda em termos de largura de banda e escalabilidade que são necessárias nos sistemas ADAS. Tecnologias de rede futuras devem reutilizar padrões e protocolos 2 Ao longo deste trabalho toda e qualquer referência ao termo padrão Ethernet deve ser compreendida
como o padrão IEEE 802.3 definido pelo Instituto de Engenheiros Eletricistas e Eletrônicos (IEEE). Independentemente da especificação da camada física em questão, o padrão IEEE 802.3 oferece suporte transparente aos demais serviços definidos em camadas superiores, por exemplo, os serviços definidos no padrão IEEE 802.1 de redes locais e metropolitanas.
Capítulo 2. REDES INTRAVEICULARES 34
já existentes e utilizados por usuários fora do domínio automotivo, aumentando a transparência da experiência do usuário na troca de ambientes. Redes intraveiculares como MOST também oferecem uma alta taxa de transmissão de dados, porém, o custo de uma solução proprietária para uso em larga escala aumenta drasticamente (METCALFE et al.,2014).
Diante das inúmeras aplicações e funcionalidades adicionadas aos veículos ao longo dos anos, diferentes redes intraveiculares foram desenvolvidas, permitindo a coexistência de diferentes tecnologias e características quanto à transmissão de dados. Outro importante fator da coexistência dessas redes se da pelo custo total do veículo produzido, como exemplo, o uso da rede LIN reduz significantemente o custo de produção, antendendo à aplicações de baixa criticalidade.
Portanto, a arquitetura das redes intraveiculares se apresenta como um sistema heterogêneo como observado nas Figuras 2.6 e 2.7, característica histórica no projeto de novas tecnologias para suprir as necessidades temporais dos últimos anos.
Figura 9 – Coexistência das diferentes redes intraveiculares
Fonte: NXP Semiconductors
Se a arquitetura das redes intraveiculares fosse construída totalmente do zero, desconsiderando a retrocompatibilidade de tecnologias, a arquitetura se assemelharia à arquitura do lado direito da Figura 2.8. Nela, as ECUs estão estruturadas de forma hierárquica, em que os módulos centrais de cada domínio estariam conectados dire-tamente em um barramento de alta velocidade. O padrão Ethernet oferece suporte a todos os pré-requisitos para esta construção. A Ethernet seria utilizada como back-bone3 para conectar as diversas aplicações de diferentes domínios, assim como as
sub-redes que demandam maior largura de banda (MATHEUS; KÖNIGSEDER,2014). Atualmente, as redes Ethernet utilizam comunicação ponto a ponto, e são mais eficien-tes no uso e no gerenciamento da largura de banda disponível na rede, se comparadas às redes CAN e FlexRay (MATHEUS; KÖNIGSEDER,2014). O conceito de comutação de dados pode ser aplicado eficientemente nas interfaces de redes intraveiculares distintas em um veículo, não sendo necessários encapsulamentos e ordenamento de pacotes entre estas redes, impactando diretamente na latência das mensagens.
3 Um backbone Ethernet pode ser definido como a principal rota na troca de dados entre imensas redes
de computadores estrategicamente distribuídas para o envio e recebimento de grande massa de dados. O termo backbone utilizado no contexto de redes intraveiculares diz respeito a um barramento único de alta capacidade e confiabilidade capaz de interconectar todas as sub-redes de diferentes tecnologias através de gateways.
Capítulo 2. REDES INTRAVEICULARES 36
Figura 10 – Transição de arquitetura centralizada para uma arquitetura hierárquica através do uso de gateways/switches (hexágonos) e backbone Ethernet (retângulo superior
central à direita).
O uso do padrão Ethernet em veículos significa uma mudança de paradigma no projeto das redes intraveiculares do futuro, conectando sub-redes de diferentes domínios, transportando diferentes tipos de dados com prioridades distintas além dos desafios em cumprir eficientemente restrições temporais, eletromagnéticas, de temperatura e mecânicas.
2.7.1 Automotive Ethernet
O padrão Ethernet é um padrão IEEE pertencente à família de padrões IEEE 802 que estuda redes locais e redes metropolitanas, LANs e MANs respectivamente (IEEE 802.3,2012). O padrão IEEE 802.3 define as características e comportamento da camada física e da sub-camada MAC para redes Ethernet com fio. Nas últimas décadas, o comitê de padronização IEEE 802 definiu diversos modelos de camadas física iniciando em 10Mbps até 10Gbps.
O padrão 100Base-TX é amplamente utilizado tanto por usuários domésticos quanto na indústria e foi selecionado como padrão para a nova geração de diagnós-tico automotivo baseado em IP, definido pelo ISO 13400, que será discutido em detalhes nas próximas seções (ISO 13400-3,2011). Como mostra a Figura 2.9, diferentes pro-tocolos acima da camada de rede também foram definidos para serem utilizados na indústria automotiva. O grupo-tarefa para Time-Sensitive Networking (TSN), anterior-mente denominado Audio/Video Bridging (AVB), definiu um conjunto de padrões de alto nível pertencentes à família IEEE 802. Nos próximos cinco anos, diferentes camadas físicas compatíveis com o padrão IEEE 802.3 coexistirão, por exemplo BroadR-Reach e PHYs Gigabit Ethernet. Analogamente, protocolos serão adicionados ou atualizados para versões mais eficientes.
ca-racterísticas como: temporização e sincronização de mensagens em aplicações com requisitos temporais, largura fixa de banda reservada para streaming, encaminhamento e enfileiramento cíclicos, preepção de frame, etc (IEEE 802.1AS,2011;IEEE 802.1Q,
2011; IEEE 802.1QAV, 2009; IEEE 802.1BA, 2011). Um exemplo prático de redes TSN são sistemas que utilizam câmeras para transmissão de imagens em tempo real, auxiliando o condutor a visualizar os pontos cegos do veículo.
A fim de dar continuidade e apoio ao desenvolvimento de tecnologia da Ether-net Automotiva, um grupo especial de interesse foi formado por empresas de vários segmentos, unindo esforços em comum chamado One Pair EtherNet Alliance (OPEN Alliance) para o desenvolvimento de uma nova camada física que atendesse aos re-quisitos e restrições do hostil ambiente automotivo. Além do esforço comum para o desenvolvimento da camada física o OPEN Alliance atualmente trabalha na padroni-zação de componentes e testes utilizando a camada física para Ethernet a 100Mbps desenvolvida pela Broadcom, conhecida como BroadR-Reach (Broadcom Corporation,
2014). Outro importante interesse do OPEN Alliance é a definição dos requisitos para futuras tecnologias como o Reduced Pair Gigabit, onde esforços estão sendo tomados para a aplicabilidade do barramento Ethernet a 1Gbps em redes intraveiculares ( BRO-ADCOM CORPORATION,2013).
De acordo com as estimativas da consultoria fornecida pela Frost & Sullivan, aproximadamente 400 milhões de portas Ethernet automotivas serão utilizadas até 2020. Em 2022, é esperado que o número total de portas Ethernet automotivas seja maior que todas as outras portas Ethernet existentes somadas. Ethernet automotiva não se destina apenas para o mercado de luxo, tendências indicam que a significante maioria dos fabricantes de automóveis planejam utilizar o barramento Ethernet em todas as suas classes e linhas de veículos. A BMW é a pioneira quanto à adoção da tecnologia (BMW,2015), influenciando outras montadoras à seguirem o mesmo caminho nesta “corrida tecnológica” automotiva já que é possível observar exemplos como a Hyundai ao utilizar a Ethernet automotiva nos sistemas de entretenimento em seus próximos lançamentos e a Volkswagen nos Sistemas Avançados de Assistência ao Condutor (Advanced Driver Assistance System - ADAS).
Capítulo 2. REDES INTRAVEICULARES 38
Figura 11 – Automotive Ethernet Roadmap.
Como o padrão Ethernet não foi desenvolvido para redes TDMA, uma impor-tante questão que necessita ser discutida para sistemas automotivos é uma solução adequada para se alcançar um desepenho de tempo real e qualidade do serviço (QoS). Redes Time-Sensitive Networking (TSN) como o AVB já possuem mecanismos para a garantia temporal da entrega em canais de transmissão de dados sobre Ethernet. Para o grupo-tarefa TSN, a melhoria da latência é um dos maiores desafios de execução. As primeiras aplicações Time-Sensitive para Ethernet foram realizadas em sistemas digi-tais aeronáuticos com requisitos temporais de altíssima criticidade e severos requisitos de segurança (TILL STREICHERT; DAIMLER AG,2012).
Definido no (SAE AS6802,2011), diferentemente do AVB, Time-Triggered Ether-net (TTEtherEther-net) foi desenvolvido sobre um algoritmo distribuído para a sincronização dos clocks da rede, resultando em um algoritmo preciso de comportamento determinís-tico. Embora a integração entre TTEthernet e AVB seja possível, pesquisas ainda são necessárias para permitir esta integração no sistema crítico automotivo, já que dados de entretenimento, controles de tempo real assim como informações de diagnóstico seriam transmitidos utilizando a mesma rede (STEINBACH et al.,2012).
2.7.1.1 Primeira Geração: Diagnostic Communication over IP
As primeiras aplicações Ethernet na indústria automotiva são execuções de rotinas de diagnóstico e atualizações de firmware de ECUs através deste barramento. A largura de banda para a transmissão de grandes volumes de dados através das redes
intraveiculares existentes é um fator limitante, não sendo suficiente para os requisitos de produção exigidos pela indústria. Em (ELEKTROBIT GMBH, 2008), engenheiros analisaram o tempo de transmissão e atualização da quarta e quinta geração do BMW Series 7. A quarta geração utiliza CAN como barramento principal para a transmissão de diagnósticos e atualizações de ECUs, já a quinta geração utiliza o padrão Ethernet para ambas as funcionalidades. Foi observado que para o BMW Series 7 de quarta geração foram necessárias dez (10) horas para a transmissão e instalação de oitenta e um (81) megabytes de dados, enquanto o BMW Series 7 de quinta geração utilizou apenas vinte (20) minutos para a transmissão e instalação de um (1) gigabyte de dados. O padrão Ethernet 100Base-TX juntamente com o padrão de cabo CAT 5 e conector RJ45 foram eleitos para definirem a interface entre o veículo e o equipamento de diagnóstico externo. A grande largura de banda disponível da tecnologia Ethernet reduz custos tanto na produção quanto na manutenção (MATHEUS; KÖNIGSEDER,2014). Os padrões (ISO 13400-1,2011) e (ISO 14229-1,2013) usam padrões da indústria para construir um modelo a longo prazo, moderno, estável e escalável para diagnósticos veiculares. Hoje os carros da BMW já oferecem suporte à interface de diagnósticos através do padrão Ethernet 100Base-TX.
2.7.1.2 Segunda Geração: Driver Assistance Systems e Entretenimento
A segunda geração da Ethernet Automotiva oferecerá soluções robustas para os sistemas de entretenimento e câmeras acopladas ao carro para sistemas ADAS. Atual-mente, câmeras traseiras normalmente utilizam a tecnologia LVDS para a transmissão do vídeo, sendo o LVDS uma tecnologia adequada para o uso de apenas uma câmera (DILLON,2003). Nos sistemas futuros, mais câmeras serão utilizadas em conjunto com os sensores de proximidade, como mostrado na Figura 2.10, proporcionando maior segurança e comodidade ao condutor. A tecnologia LVDS se torna bastante ineficiente quanto ao uso de cabos de transmissão, conectores e multiplexadores de sinal, favore-cendo o uso do padrão Ethernet para a transmissão, sincronização e processamento das imagens. Tal ineficiência ocorre pela característica técnica do padrão ao utilizar um barramento não compartilhado, sendo necessário o uso de cabos individuais de alto custo para cada câmera. O uso de uma rede que ofereça maior largura de banda e me-nor latência garantirá a detecção de objetos através do processamento de imagens de múltiplas câmeras acopladas ao carro requer uma transmissão não compactada, sem perdas, evitando assim que informações importantes sejam perdidas ou mascaradas devido à compressão.
Grande parte das soluções de entretenimento utilizam protocolos e barramentos proprietários e de alto custo; o uso da Ethernet automotiva, portanto, contribui signifi-cativamente para a redução de custos, utilizando o protocolos TSN para transmissão, sincronização e baixas latências já demonstradas em componentes de primeira geração
Capítulo 2. REDES INTRAVEICULARES 40
do AVB.
Figura 12 – Uso conjunto de câmeras, radar e sensores de proximidade.
2.7.1.3 BroadR-Reach
Embora o padrão 100Base-TX e o modelo IP tenham sido criados desde meados dos anos 90, mais de vinte anos foram necessários para atrair a atenção da indústria automotiva para o uso da Ethernet como padrão de comunicação das redes intravei-culares do futuro, principalmente pela falta de uma camada física capaz de atender aos requisitos do ambiente automotivo. A Figura 2.11 ilustra as diferenças técnicas, evidenciando o uso da Fast Ethernet e da Gigabit Ethernet não foram aplicados ao domínio automotivo. Fast Ethernet utiliza o esquema de codificação de sinal MLT-3, diferenciando 3 níveis de sinais: positivo, nulo e negativo (MAZZOLA; CAFIERO; DE-NICOLO,1994). Utiliza dois pares trançados para comunicação, cada par transmite dados em apenas uma direção. Gigabit Ethernet alcança uma taxa de transmissão de dados dez vezes maior que o Fast Ethernet, utilizando quatro pares trançados e codificação de sinal PAM-5 (SCHREIBER,2004).
Modulação por amplitude de pulso (PAM) é uma técnica de modulação de sinal onde a informação é codificada na amplitude de pulsos de sinais elétricos. Os sinais são transmitidos de forma analógica em séries de pulsos elétricos temporais de diferentes amplitudes. A demodulação ocorre periodicamente pra cada pulso recebido de acordo com a amplitude do sinal. Por exemplo, PAM-3 e PAM-5 utilizam respectivamente três e cinco diferentes níveis de amplitudes elétricas ao transmitirem informações.
O valor da taxa de transmissão a 125MBaud para ambas Fast e Gigabit Ethernet contribui significantemente para a emissão de ruídos eletromagnéticos na faixa crítica de rádio FM eliminando a possibilidade do uso de pares trançados não blindados de
baixo custo no ambiente automotivo. A tecnologia BroadR-Reach foi capaz de reduzir a taxa para 66.6 Mbaud possibilitando o uso de um par trançado não blindado para a transmissão confiável de dados. A princípio, o BroadR-Reach pode ser considerado uma versão reduzida do Gigabit, utilizando uma codificação bidirecional em apenas um par trançado. Graças ao uso da codificação de sinal PAM-3, uma taxa de erros de transmissão de bits menor que 10−10 pode ser alcançada.
Figura 13 – Diagramas de codificação do padrão Ethernet e do BroadR-Reach.
Aplicações automotivas impõem requisitos consideravelmente mais rígidos em sistemas eletrônicos e seus componentes, quando comparadas às aplicações domésti-cas, principalmente em termos de EMC (Compatibilidade Eletromagnética) e condições ambientais (ISO 11452-1,2015). Investigações iniciais indicam que BroadR-Reach é compatível para o uso no ambiente automotivo. Entretanto, para alcançar a robustez necessária para os padrões de redes intraveiculares da próxima geração, novos compo-nentes otimizados precisam ser desenvolvidos por exemplo, camada física automotiva para Gigabit Ethernet.
O diagrama elétrico na Figura 2.12 revela os principais componentes de um enlace de conexão do BroadR-Reach. Comparado com o padrão Fast Ethernet, o preço total dos componentes pode ser significativamente reduzido. Aplicando um acoplamento capacitivo no lugar de um transformador convencional, a estrutura de hardware utilizada na camada física – que consiste do controlador TJA1100 (PHY), common mode choke (CMC)4, capacitores de acoplamento, conector e o par trançado não blindado (UTP) –
é muito similar à do FlexRay ou CAN.
4 Em eletrônica, um choke é um indutor (bobina) utilizado no bloqueio de correntes alternadas de
Capítulo 2. REDES INTRAVEICULARES 42
Figura 14 – Componentes físicos da conexão BroadR-Reach.
O controlador TJA1100(PHY), sendo a interface entre o meio de transmissão analógico e o controlador MAC digital, é determinante na robustez contra ruídos eletromagnéticos. Enquanto um controlador PHY é otimizado para ser compatível com comprimentos de cabeamento de mais de 100 m, controladores PHY automotivos tipicamente utilizam um comprimento de enlace de menos de 10 metros.
Com a tecnologia BroadR-Reach permitindo o uso de cabos de pares trançado não blindados, a Ethernet torna-se competitiva financeiramente para aplicações au-tomotivas. O cabo utilizado pelo FlexRay suporta as condições severas do ambiente automotivo e é também a primeira escolha para a Ethernet Automotiva. Em contraste com as aplicações não automotivas, um estudo cuidadoso do impacto das condições do ambiente (principalmente temperatura) sobre a integridade do sinal Ethernet é preciso.
2.7.1.4 Terceira Geração: Ethernet como Backbone
Enquanto na primeira e segunda geração a Ethernet é utilizada em sub-redes para o uso em aplicações específicas de ADAS e entretenimento, na terceira geração o padrão Ethernet será utilizado como backbone da rede intraveicular. Um exemplo do uso da Ethernet como backbone é mostrado na Figura 2.13. O uso de um backbone Ethernet em redes intraveiculares representa uma mudança de paradigma na forma da arquitetura de comunicação entre ECUs. A rede de comunicação será organizada de forma hierarquizada onde os principais módulos de cada domínio estão conectados diretamente ao backbone. Sub-redes localizadas abaixo dos controladores de cada domínio também podem ser Ethernet onde switches serão responsáveis pela troca de dados entre a sub-rede e o backbone. Esta estrutura oferece uma solução escalável já que cada porta do switch geralmente pode ser implementada para taxas de transmissão variando entre 10Mbps, 100Mbps e 1Gbps sem mudanças nos protocolos das camadas acima.
A mudança de paradigma também se torna evidente na forma como as mensa-gens entre diferentes tecnologias serão transmitidas, por exemplo, enquanto nas redes atuais complexos gateways de aplicação específica realizam esta função, switches e
baixa frequência ou correntes contínuas. Common-mode chokes são quando dois chokes (bobi-nas) separados são envoltos no mesmo núcleo ferroso. São bastante úteis na proteção dos circuitos contra interferências eletromagnéticas (EMI) e interferências de radiofrequência (RFI) advindas de fontes de tensão.
roteadores já conhecidos e estabelecidos são propostos na interface com o backbone e sub-redes. O uso do roteamento IP é totalmente independente das camadas inferiores da rede, permitindo assim um conceito de endereçamento homogêneo em toda a rede intraveicular. Além disso, o modelo baseado em IP permite o estabelecimento transparente de rotas entre a rede intraveicular e a Internet (METCALFE et al.,2014), facilitando o acesso a serviços remotos como por exemplo a execução de diagnósticos remotamente.
Figura 15 – Padrão Ethernet como backbone da arquitetura de rede intraveicular.
Fonte: NXP Semiconductors.
2.7.2 Autosar
AUTOSAR ou Automotive Open System Architecture é uma iniciativa de padro-nização liderada por fabricantes e fornecedores automotivos. Fundada em 2003, o intuito desta iniciativa é o desenvolvimento de uma arquitetura de software referência para ECUs, reduzindo a complexidade no desenvolvimento de novas funcionalidades adicionadas nos firmwares das ECUs.
O AUTOSAR define um conjunto de especificações descrevendo os módulos básicos de software, as interfaces das aplicações e propondo uma metodologia comum no desenvolvimento baseado na padronização de software favorecendo o reuso. Esses módulos são disponibilizados pela arquitetura de software em camadas da AUTOSAR, como mostra a Figura 2.14, e podem ser usados em veículos de diferentes fabricantes e também em componentes eletrônicos de diversos fornecedores, assim reduzindo os custos de pesquisa e desenvolvimento, além de controlar o crescente aumento da complexidade da eletrônica automotiva e das arquiteturas de software (SCHMERLER et al.,2012;HEINECKE et al.,2006;FENNEL et al.,2006).
Capítulo 2. REDES INTRAVEICULARES 44
Figura 16 – Arquitetura AUTOSAR.
Fonte: AUTOSAR, 2015.
Com base nesses princípios, o AUTOSAR foi desenvolvido com o objetivo de incentivar sistemas eletrônicos inovadores que aumentem o desempenho, segurança e contribuam na redução de emissões, além de facilitar a troca e atualização de software e hardware durante toda a vida útil do veículo. Assim, o AUTOSAR abstrai as funcionalidades do hardware das ECUs, estando assim preparado para as próximas tecnologias e para a melhoria do custo-benefício. Desde sua fundação, essa parceria publicou diversas versões como resultado das atividades de desenvolvimento conjuntas. Com a versão 2.1 no fim da Fase I em 2006, o AUTOSAR finalizou o primeiro conjunto das principais especificações. Já na fase II, as versões 3.0 e 3.1 introduziram adições e ajudaram a amadurecer estes documentos. A versão 4.0 foi apresentada com um grande número de novos recursos em 2009, sendo a versão 4.2.2 a mais recente, lançada em 2015 com a introdução de novos conceitos como o módulo de segurança de comunicação onboard - SecOC. As fases e versões de desenvolvimento do AUTOSAR são exibidos no cronograma da Figura 2.15.
Figura 17 – Cronograma AUTOSAR.
2.8 On-board Diagnostics
Com a introdução de uma legislação específica para o controle e monitora-mento de emissões de CO2 em veículos à combustível fóssil, protocolos digitais de comunicação para diagnósticos intraveiculares foram desenvolvidos para atender às demandas governamentais favorecendo o bem-estar e a proteção ao meio ambiente. Tais protocolos evoluíram ao longo dos anos com a adição de novas funcionalidades desde o diagnóstico do monitoramento de emissões até funcionalidades específicas de cada fabricante automotivo como calibração ou atualizações de software da ECU.
Devido à constante adição de novas tecnologias nas redes intraveiculares, a interface física entre as unidades de controle eletrônicas internas ao veículo e equipa-mentos de testes externos sofreu diversas modificações para atender as características específicas de cada barramento intraveicular, exigindo otimizações e refinamentos cons-tantes na camada física e de enlace como também na camada de transporte. Essas modificações e atualizações trazem à indústria automotiva maior controle no gerencia-mento das informações digitais transmitidas através das mensagens de diagnóstico, consequentemente, maior eficiência em sua produtividade.
Como apresentado no Capítulo 2 deste trabalho, o aumento das funcionalidades presentes nas ECUs e a necessidade de diversas atualizações de software para suprir a
