CAN busを守るwolfSentry

CAN busは世界中の車両と工場オートメーションで普及し続けています。接続されるデバイスはより強力になり、外界との接続がさらに強化されています。そのため、このバス上のデバイスのセキュリティはますます重要になっています。

以前の投稿でCAN bus上でwolfSSLを使用してデバイス間の接続を暗号化する方法を紹介しました。しかし、これは必要なセキュア化方策の一部にすぎません。予期されるパケットのみが通過するようにトラフィックをフィルタリングすることも必要とされています。

wolfSentryは、軽量の組み込みデバイス上で実行できる強力なIDS( Intrusion Detection System:侵入検出システム)です。この製品をCAN bus上で使用するサンプルプログラムを提供しています。

このサンプルプログラムはwolfSSL CAN busのサンプルプログラムを基にしているのでメッセージペイロードにTLS1.3を使用しますが、ISO-TPの「通常の固定アドレス指定」のターゲットアドレスとソースアドレスをフィルタリングする目的でwolfSentryも使用します。このアドレス指定スキームは他の多くのCAN bus規格と互換性があります。

このサンプルプログラムはGitHubレポジトリ (https://github.com/LinuxJedi/wolfsentry/tree/can-bus/examples/Linux-CANbus)のwolfSentryコードベースにあります。LinuxカーネルのSocketCAN機能を使用しますが、他のCAN bus実装と連携できるように簡単に適合させることができます。

さらに加えて、wolfSSLの一部として独自のISO-TPレイヤーも作成しました。これにより、CAN busの送受信機能にフックするだけですみ、実装サイズの大幅な削減になります。先のwolfSSLサンプルプログラム(wolfSentryサンプルプログラムも)この新しい実装を使うように更新されました。

ご質問のある方はinfo@wolfssl.jp までお寄せください。

原文:https://www.wolfssl.com/wolfsentry-protecting-the-can-bus/