DDS-Security協(xié)議與DDS協(xié)議、DDSI-RTPS協(xié)議、DDS-XTypes協(xié)議共同作為DDS協(xié)議簇中的核心協(xié)議。本協(xié)議基于其它三份核心協(xié)議，對(duì)系統(tǒng)中各交互環(huán)節(jié)的認(rèn)證加密等措施進(jìn)行規(guī)范化，保障用戶發(fā)現(xiàn)和數(shù)據(jù)傳遞的安全性。協(xié)議于2016年發(fā)布v1.0，目前最新版本為2018年發(fā)布的v1.1。

目前車載環(huán)境中實(shí)現(xiàn)的安全機(jī)制能夠根據(jù)不同層級(jí)的需求實(shí)現(xiàn)一些認(rèn)證或者加密操作，但現(xiàn)有密鑰分配往往是以控制器為顆粒度，針對(duì)某個(gè)控制器的全部收發(fā)數(shù)據(jù)大包大攬，同時(shí)對(duì)于控制器的性能也提出了更高的要求。DDS-Security的實(shí)現(xiàn)依據(jù)其獨(dú)有的DCPS模型，能夠?qū)崿F(xiàn)針對(duì)某一控制器的某個(gè)應(yīng)用數(shù)據(jù)進(jìn)行安全保護(hù)，或者針對(duì)同一應(yīng)用不同安全級(jí)別的數(shù)據(jù)進(jìn)行選擇加密等操作，很大程度上能夠提升計(jì)算處理效率并避免資源浪費(fèi)。本文將從DDS系統(tǒng)安全風(fēng)險(xiǎn)分析切入，對(duì)系統(tǒng)的實(shí)現(xiàn)的認(rèn)證、訪問控制、加密環(huán)節(jié)等安全機(jī)制做介紹。

DDS系統(tǒng)安全風(fēng)險(xiǎn)分析及解決措施

圖1 風(fēng)險(xiǎn)行為

在以Topic為中心進(jìn)行數(shù)據(jù)發(fā)布訂閱的DDS模型中，圖1中A~E的用戶角色分別定位為某個(gè)域中的域參與者（Domain Participant，DP），同一域內(nèi)的DP在相互發(fā)現(xiàn)階段就已經(jīng)確認(rèn)了自身及可交互DP的發(fā)布訂閱權(quán)限，雖然圖中A為授權(quán)發(fā)布的DP,C和D為授權(quán)訂閱的DP，但仍有可能存在非法的DP在接入網(wǎng)絡(luò)后執(zhí)行非法的風(fēng)險(xiǎn)行為。主要涉及風(fēng)險(xiǎn)包括：

• 未授權(quán)訂閱（E）：未對(duì)Topic數(shù)據(jù)進(jìn)行加密的情況下，組播場(chǎng)景中E（具有相同的組播接收地址）可能獲取關(guān)于Topic T的相關(guān)數(shù)據(jù)，造成Topic T數(shù)據(jù)泄露風(fēng)險(xiǎn)。

• 未授權(quán)發(fā)布（B）：在未對(duì)Topic數(shù)據(jù)進(jìn)行加密的情況下，B若偽造身份（修改RTPS報(bào)文中的GUID等內(nèi)容）發(fā)布關(guān)于Topic T的相關(guān)數(shù)據(jù)，則干擾其余訂閱DP針對(duì)此數(shù)據(jù)的判斷。

• 數(shù)據(jù)篡改（D）：D作為合法訂閱者，能夠獲取一定的加密信息，但是其本身沒有發(fā)布權(quán)限，在有加密措施的情況下，也能可能偽造發(fā)送身份造成數(shù)據(jù)污染。

為了避免上述風(fēng)險(xiǎn)，DDS-Security規(guī)范中引入服務(wù)插件接口（Service Plugin Interface，SPI），從而實(shí)現(xiàn)：

• 對(duì)傳輸數(shù)據(jù)進(jìn)行加密

• 保證數(shù)據(jù)樣本及其包含報(bào)文的完整性

• 提供發(fā)布訂閱雙方認(rèn)證及授權(quán)機(jī)制

• 提供報(bào)文源及數(shù)據(jù)源身份驗(yàn)證機(jī)制

DDS-Security新增定義

DDS-Security中為保證系統(tǒng)安全性引入的認(rèn)證機(jī)制、加密機(jī)制也需要通過DP間的RTPS報(bào)文收發(fā)實(shí)現(xiàn)認(rèn)證及加密信息交互，因此，基于DDSI-RTPS新增了子報(bào)文類型及內(nèi)置Topic定義。

圖2 DDS-Security新增報(bào)文定義

圖3 DDS-Security新增內(nèi)置Topic及節(jié)點(diǎn)

服務(wù)插件

DDS-Security中定義了一系列服務(wù)插件，包括：認(rèn)證插件（Authentication）、訪問控制插件（AccessControl）、加密插件（Cryptography）、日志插件（Logging）、數(shù)據(jù)標(biāo)記插件（DataTagging）。每個(gè)插件都定義了協(xié)議棧內(nèi)部實(shí)現(xiàn)的一組接口，執(zhí)行對(duì)應(yīng)的認(rèn)證、訪問控制等功能，插件之間的實(shí)現(xiàn)通過變量傳遞互為依賴關(guān)系。

圖4 服務(wù)插件結(jié)構(gòu)圖

• 認(rèn)證插件

認(rèn)證插件提供了一組驗(yàn)證Domain中已發(fā)起單參與者發(fā)現(xiàn)協(xié)議（Simple Participant Discovery Protocol，SPDP）的DP身份的接口，其驗(yàn)證顆粒度為DP，為SPDP階段匹配的DP之間的相互認(rèn)證和建立共享密鑰提供設(shè)施。對(duì)于身份驗(yàn)證和密鑰交換，使用非對(duì)稱加密算法RSA或DSA以及Diffie-Hellman算法。

圖5 認(rèn)證插件接口示例

圖6 認(rèn)證報(bào)文交互流程示意圖

SPDP中新增定義PID攜帶有DP的身份信息，完成SPDP匹配后，由一組Best-Effort內(nèi)置節(jié)點(diǎn)發(fā)送DCPSParticipantStatelessMessage Topic進(jìn)行認(rèn)證交互的握手環(huán)節(jié)。如圖1中，A、C、D三者之間可以通過認(rèn)證環(huán)節(jié)，識(shí)別對(duì)方身份。

• 訪問控制插件

訪問控制插件提供一組對(duì)經(jīng)過身份驗(yàn)證的用戶可以執(zhí)行的DDS相關(guān)操作的策略決策手段，能夠配置DP的入域權(quán)限、對(duì)于不同Topic的發(fā)布訂閱權(quán)限、Domain安全配置規(guī)則及Topic的安全配置規(guī)則等，上述配置均為XML文件，設(shè)計(jì)人員需要根據(jù)協(xié)議中規(guī)定的標(biāo)準(zhǔn)文件格式進(jìn)行設(shè)計(jì)輸出。

圖7 訪問控制插件接口示例

• 加密插件

加密插件是提供了一組針對(duì)不同對(duì)象進(jìn)行加密操作的接口，其功能包括加密、解密、哈希、數(shù)字簽名等。如圖1中，通過加密插件，可以實(shí)現(xiàn)A、C、D之間的數(shù)據(jù)加密傳輸，避免B和E的非法發(fā)布訂閱行為造成的數(shù)據(jù)泄露。涉及主要對(duì)稱加密算法包括：AES128_GMAC、AES128_GCM、AES256_GMAC、AES256_GCM。

圖8 DataWriter子報(bào)文加密圖示

• 日志插件

日志插件可記錄所有安全事件，包括預(yù)期行為和所有安全違規(guī)或錯(cuò)誤。通過配置LogOption可以控制日志級(jí)別、路徑、是否遠(yuǎn)程分發(fā)。

圖9 Logging插件結(jié)構(gòu)

• 數(shù)據(jù)標(biāo)記插件

數(shù)據(jù)標(biāo)記是向數(shù)據(jù)添加安全標(biāo)簽或標(biāo)記的能力。

主要用途為：

- 訪問控制

-報(bào)文優(yōu)先級(jí)

-不僅用于中間件，可直接被應(yīng)用調(diào)用

主要標(biāo)記方法包括：

-DataWriter tagging——標(biāo)記顆粒度為DataWriter

-Data instance tagging ——標(biāo)記顆粒度為Instance

-Individual sample tagging ——標(biāo)記顆粒度為Data Sample

-Per-field sample tagging ——標(biāo)記顆粒度為Data Sample field

總結(jié)

本文從DDS安全風(fēng)險(xiǎn)切入，介紹DDS-Security中新增報(bào)文類型及Topic，并對(duì)DDS-Security規(guī)范中涉及的服務(wù)插件進(jìn)行介紹，包括：認(rèn)證插件、訪問控制插件、加密插件、日志插件、數(shù)據(jù)標(biāo)記插件。從實(shí)現(xiàn)角度為讀者介紹DDS-Security針對(duì)不同層級(jí)的報(bào)文豐富的處理機(jī)制。在車載環(huán)境中DDS-Security能夠?qū)崿F(xiàn)更靈活的加密方案，為OEM提供了除MACSec、IPSec等加密技術(shù)外的另一種選擇。