UDS 安全认证29服务概述

已于 2022-03-31 16:47:20 修改
阅读量6.4k 收藏 53
点赞数 5
分类专栏: 系统安全 文章标签: 安全
于 2022-03-31 14:44:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43586667/article/details/123871579
版权

一.服务概述

此服务的目的是为客户提供一种证明其身份的方法,允许其访问数据和/或诊断服务,这些数据和/或诊断服务由于安全、排放或安全等原因而受到限制。 用于将例程或数据下载/上传到服务器以及从服务器读取特定内存位置的诊断服务可能需要身份验证。 不正确的程序或下载到服务器的数据可能会潜在地损害电子设备或其他车辆部件,或危及车辆的排放、安全或安全标准的遵守。 另一方面,当从服务器检索数据时,可能会违反数据安全性。
该服务支持两个安全概念:
概念 1 :基于使用非对称密码的 PKI 证书交换过程。
概念 2 :基于不带 PKI 证书的挑战 – 应答过程,使用带有软件身份验证令牌或对称密码的非对称加密算法。
有关身份验证服务的概述,如下图所示:
在这里插入图片描述
图片摘自ISO 14229
子功能定义:
•“ deAuthenticate ”,此子功能参数有效地结束认证状态。
•“ VerfyCertificateUnidirectional ”,此子功能参数启动单向身份验证过程,仅针对 ECU 对测试仪进行单向身份验证。
• “verifyCertificateBidirectional”, 这个SubFunction参数启动双向身份验证过程,客户端对服务器进行身份验证,服务器对客户端进行身份验证。
•“ proofOfOwnership ”,此子功能参数用于将所有权证明数据传输到测试仪。
•“ TransmitCertificate ”,此子功能参数独立或在先前的身份验证之后传输证书。

二、基于PKI 证书交换的认证Authentication with PKI Certificate Exchange (APCE)

前提条件:
双方(客户端和服务器)应提供不同的证书(以及相应的私钥):
— 在单向身份验证的情况下,客户端需要一个带有其私钥的证书,这允许客户端将自己标识为合法的客户端。根据PKI的信任模型,服务器可能需要由颁发和签署客户端证书的颁发机构(CA) 颁发和签署的证书。
— 双向认证时,客户端需要一个带有私钥的证书,以证明客户端是合法的。此外,服务器还需要一个带有私钥的证书,这允许服务器将自己标识为合法。根据公PKI的信任模型,客户端和服务器可能需要证书颁发机构(CA)颁发的证书,CA颁发并签署了客户端证书和服务器证书。

认证流程
在这里插入图片描述
图片摘自ISO 14229
认证过程概述:
1 测试人员向 ECU 发出身份验证请求;
2. 在此请求消息中,包含测试仪的证书;
3. 收到请求消息后,ECU 将验证测试仪的证书;
4. 如果通过了证书验证,则 ECU 创建一个挑战 ;
5,6 取决于认证所使用的算法及是否双向认证;
7.并将挑战发送回测试人员;
8. 只是双向认证用到;
9.取决于认证所用到的算法
10. 测试人员通过签署挑战 ECU 来计算所有权证明测试人员;
11. 测试人员将所有权证明发送给 ECU ;
12. ECU 用收到的证书测试器中的公钥验证所有权证明测试器;
13.用来创建会话密钥(可选);
14.设定访问权限;
15. 如果通过了所有权证明的验证,则 ECU 返回响应或者会话密钥(会话密钥可选);
16,17,18用来设定会话密钥
最后. ECU 响应认证成功。

三、基于挑战应答的认证Authentication with Challenge-Response (ACR)

前提条件:
— 在使用非对称加密的情况下,客户端密钥对必须存在:客户端私钥必须存在于客户端,客户端公钥必须存在于服务器端。在双向认证的情况下,需要有一个额外的服务器密钥对:服务器中需要有服务器私钥,客户端中需要有服务器公钥。
— 在使用对称加密的情况下,一个对称密钥应该存在,并且应该在客户端和服务器之间预共享。
认证流程
在这里插入图片描述图片摘自ISO 14229
认证流程概述
1 测试人员通过 SubFunction requestChallengeForAuthentication 请求认证。
2. ECU 创建挑战
3. ECU 将挑战发送给测试人员。(14229图中的序号错误应该为3)
4. 双向认证时需要
5. 测试人员计算测试人员的所有权证明如下:
如果非对称密码时:构建适当的(特定于汽车制造商的)令牌(例如,基于CVC)内容,包含令牌授权、身份验证、权限/角色、服务器端质询信息,以及客户端质询信息和其他信息,视情况而定。使用客户私钥计算令牌内容签名,并构建包含令牌内容和签名的客户端身份验证令牌。产生的客户端身份验证令牌是客户端POWN。
如果使用对称密码:使用预共享的对称密钥,通过 ECU 侧 Challenge 来计算签名(例如,一次签名 或 HMAC 或 CMAC )。生成的签名是测试者方 POWN 。
6. 如果服务器在步骤3中指示了其他参数,那么客户端在需要的附加参数中提供适当的附加参数。
7. 测试人员通过子功能 verifyProofOfOwnershipUnidirectional 发送测试人员端 POWN 。
8. ECU 验证测试仪侧 POWN 。
11. 如果验证成功,ECU 根据访问权限授予对诊断对象的访问权限。
9,10,12~16 取决于是否双向认证和是否需要会话密钥

四、服务格式

具体服务格式请参考ISO 14229-1 2020版

Johnny 周
关注
  • 5
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
UDS入门至精通系列:Service 29
Soly_kun的博客
12-03 2727
本文中对UDS2020版协议中新定义的Service 29做了功能描述、服务格式描述、认证状态描述、认证模型描述,最后对该服务在OEM新定义需求规范中需要注意的几点事项做了描述(有效期、会话模式绑定关系、认证深度等)。
UDS诊断服务介绍.pdf
08-11
中汽研UDS资料讲解,道路车辆—统一诊断服务 规范和需求 ,详细说明讲解UDS各service identifier含义以及使用规则。
UDS 安全访问的基本流程
06-23
UDS 安全访问的基本流程,适用于汽车电子领域MCU开发,上位机开发,车载测试等人员参考。内有seed&key请求与应答流程,CANoe CAPL测试用例,DLL生成与调用等。
UDS关于0x29认证服务诊断签名与验签(一)
weixin_42362797的博客
12-06 1704
服务的目的是为客户提供一种证明其身份的方法,使其能够访问出于安全、排放或安全等原因而限制访问的数据和/或诊断服务。用于将例程或数据下载/上传到服务器以及从服务器读取特定内存位置的诊断服务可能需要身份验证。不适当的例程或下载到服务器的数据可能会造成潜在的损害。
认识UDS诊断29认证服务-Authentication Service
weixin_38092700的博客
08-07 5812
29服务是在ISO 14229-2020版本中首次增加的为应对网联汽车日益增加的安全风险的新服务
UDS(ISO14229)诊断服务29服务和84服务
qq_33163046的博客
05-08 3883
USD协议诊断主要采用“问 - 答”模式,即诊断仪像车辆指定的ECU发送请求(Request),指定的ECU会做出相对应的响应(Response),并将响应返回给诊断仪。从而可以依据定义好的诊断描述文件,就可以将相对应的数据转化为相对应的问题和描述。常见的UDS服务类型可以参考这一篇博客对UDS诊断服务功能和描述较为完整,推荐阅读。起初,我认为UDS协议只能只能传输明文,并不设计密码学算法。后来发现并非如此,但是由于历史传统和资源耗费的问题,目前还是以一些传统UDS服务为主。
UDS 29服务
qq_42357877的博客
03-09 1439
29服务支持安全概念 1、APCE:采用非对称加密的基于PKI证书交换程序的认证 2、ACR:采用对称或非对称加密的基于挑战确认流程的认证
UDS 29 认证服务
WangHuiShou的博客
09-01 432
服务的目的是为客户提供一种证明其身份的方法,允许其访问数据和/或诊断服务,这些数据和/或诊断服务由于安全、排放或安全等原因而受到限制。用于将例程或数据下载/上传到服务器以及从服务器读取特定内存位置的诊断服务可能需要身份验证。不正确的程序或下载到服务器的数据可能会潜在地损害电子设备或其他车辆部件,或危及车辆的排放、安全安全标准的遵守。另一方面,当从服务器检索数据时,可能会违反数据安全性。概念 1 :基于使用非对称密码的 PKI 证书交换过程。
UDS14229-2020 29服务介绍
u011941262的博客
05-26 1425
一.服务目的 对诊断服务的访问进行限制,只有通过安全认证之后才可进行诊断。 二.服务支持的两类安全概念,如下图: 1.概念#1基于使用非对称加密的PKI证书交换过程 大致步骤(单向认证为例): 1.客户端创建一个随机数 2.客户端发送客户端证书 3.服务端验证客户端证书 4.服务端创建一个随机数(如果需要安全通信还需要产生一对临时的公私钥) 5.服务端发送随机数和可能的用于安全通信的公钥 6.客户端使用适当的证书令牌对至少包括服务端随机数,零时公钥等信息进行签名得到得到proof
跟我学UDS(ISO14229) ———— 0x29(Authentication)
永远的菜鸡小詹的博客
08-08 5448
服务的目的是为客户提供一种证明其身份的方法,允许其访问数据或诊断服务,这部分数据或服务安全、排放或安全原因而受到限制。该服务致力于解决将例程或数据下载或上传到服务器并从服务器读取特定内存位置的诊断服务是可能需要身份验证的情况。不当程序或数据可能会损坏电子设备或其他车辆组件,或危及车辆遵守排放、安全或安保标准的风险。另一方面,从服务器检索数据也可能会违反数据安全性。该服务支持两个安全概念:1. 基于使用非对称加密的 PKI 证书交换程序。...
UDS诊断服务详解.docx
08-23
UDS由ISO-14229系列标准定义,ISO 14229-1 定义了诊断服务,不涉及网络及实现,只有应用层的内容。而ISO 14229-3则定义了UDS在CAN总线上的实现。 诊断通信的过程从用户角度来看非常容易理解,诊断仪发送诊断请求(request),ECU给出诊断响应(response),而UDS就是为不同的诊断功能的request和response定义了统一的内容和格式。
UDS Service 29
12-11
由于以太网引入到车载网络中,也带来了新的应用场景——外界设备无需实际的物理线连接便可以远程连接到车辆。这个时候为了防止外界恶意控制车辆运行...而新版UDS Service 29便是基于这样的背景应运而生(被新定义)。
UDS诊断服务列表汇总【个人总结汇总】
03-24
UDS各类诊断服务进行汇总,可以用来学习,也可以直接进行查询。 主要包括:SID(服务ID),诊断服务名,相应的说明解释,肯定响应,否定相应,是否支持子功能,子功能包括的值及说明,支持的否定响应码
UDS国际标准协议,车辆安全诊断
最新发布
02-29
UDS国际标准协议,车辆安全诊断
UDS诊断服务列表.pdf
11-14
介绍诊断和通信管理功能单元、数据传输功能单元、存储数据传输功能单元、输入输出控制功能单元、例行程序功能单元、上传下载功能单元以及ISO15031-5中具体的每个服务的详细总结。
云数据中心UDS系列服务器介绍.pdf
06-03
云数据中心UDS系列服务器介绍,UDS解决方案介绍,UDS接入流程,注意事项详细信息介绍,在可靠性、可用性之外,绿色节能是京东云华东数据中心在建设时最为看重的一点。可以说,将绿色节能理念贯穿于整个生命周期,是...
UDS诊断服务学习
JIWilliams
12-12 7976
UDS诊断服务资料: 1.统一诊断服务 (Unified diagnostic services , UDS) (一) 2.统一诊断服务 (Unified diagnostic services , UDS) (二) 3.统一诊断服务 (Unified diagnostic services , UDS) (三) 4.统一诊断服务 (Unified diagnostic services ...
汽车UDS诊断demo程序
10-19
关于汽车完整的UDS的demo程序,对刚入门UDS有很大帮助,架构清晰,很容易理解
uds 0x29 服务
08-12
UDS 0x29服务是指车载诊断服务中的0x29功能码。根据ISO 14229的规定,UDS 0x29服务用于读取特定内存位置的数据。该服务可能需要身份验证以确保数据安全和防止不当程序或数据的访问。为了保障安全性,UDS 0x29服务支持两种安全概念。一种是基于使用非对称加密的PKI证书交换程序,使用符合ISO 7816-8的CVC和符合ISO/IEC 9594-8、RFC 5280和RFC 5755或IEEE 1609.2的X.509证书格式。另一种是基于使用带有软件认证令牌的非对称加密或对称加密的不带PKI证书的请求-响应过程。通过这些安全措施,UDS 0x29服务可以安全地读取特定内存位置的数据,以支持诊断功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [车载诊断服务安全要点](https://blog.csdn.net/didaliping/article/details/121105468)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [UDS(ISO14229)诊断服务29服务和84服务](https://blog.csdn.net/qq_33163046/article/details/130564636)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值