車載以太網(wǎng)系列文章“當DoIP遇上TLS”介紹了新版ISO13400-2規(guī)范變化點、TLS簡介以及CANoe TLS demo工程的數(shù)據(jù)流，其中TLS DoIP數(shù)據(jù)流分為4部分，1.建立TCP連接，2.TLS握手流程，3.路由激活，4.診斷數(shù)據(jù)交互。接下來小編結(jié)合北匯已執(zhí)行的項目，分享下TLS DoIP測試開發(fā)經(jīng)驗。

圖1 簡易TLS握手流程（出自ISO13400-2規(guī)范）

01 TLS DoIP測試實踐

測試配置

TLS協(xié)議可以為信息傳輸提供三個基本保證：加密、身份驗證、數(shù)據(jù)完整性，上篇文章介紹過TLS借助密碼學(xué)中的非對稱加密和對稱加密來協(xié)商秘鑰以及應(yīng)用數(shù)據(jù)加密，防止數(shù)據(jù)泄露以及篡改，通過證書機制做身份驗證，防止第三方偽造通訊節(jié)點。

Security Manager

在執(zhí)行測試前需要確認OEM對控制器TLS的配置要求，比如認證類型、支持的密碼套件等信息。Vector CANoe軟件的Security Manager模塊具備安全相關(guān)測試配置功能，測試人員基于此模塊完成證書、密碼套件配置工作。

圖2 CANoe安全管理配置界面

依據(jù)被測控制器的特性，為測試模塊選擇相應(yīng)的安全配置文件，完成測試配置。

圖3 配置文件的選擇

測試仿真節(jié)點開發(fā)

為實現(xiàn)TLS DoIP的測試，需開發(fā)仿真節(jié)點以實現(xiàn)與DUT的交互，如下為針對某控制器 TLS DoIP交互過程及交互數(shù)據(jù)流。

TCP連接：使用3496端口號與控制器建立TCP連接

TLS握手流程：采用雙向認證方案的TLS握手流程

DoIP路由激活數(shù)據(jù)：TCP連接建立后，兩秒內(nèi)完成路由激活（加密傳輸-測試模塊知曉協(xié)商過的秘鑰，故可解析DoIP數(shù)據(jù)）

診斷數(shù)據(jù)：診斷數(shù)據(jù)加密傳輸

圖4 TLS DoIP數(shù)據(jù)流1

圖5 TLS DoIP數(shù)據(jù)流2

TLS DoIP測試內(nèi)容和測試工程

測試內(nèi)容包括TLS流程測試、證書測試、協(xié)議版本測試、密碼套件測試、端口號測試等等，其測試工程北匯通過Vector CANoe.CAPL結(jié)合其他第三方編程語言定制實現(xiàn)。

如下為一典型測試用例的示例，該用例是為了完成TLS DoIP正向流程測試。

圖6 測試用例示例

如下為TLS DoIP測試工程和測試報告的示例。

圖7 TLS DoIP測試工程

圖8 某控制器TLS DoIP診斷報文測試報告