車載以太網系列文章“當DoIP遇上TLS”介紹了新版ISO13400-2規范變化點、TLS簡介以及CANoe TLS demo工程的數據流，其中TLS DoIP數據流分為4部分，1.建立TCP連接，2.TLS握手流程，3.路由激活，4.診斷數據交互。接下來小編結合北匯已執行的項目，分享下TLS DoIP測試開發經驗。

圖1 簡易TLS握手流程（出自ISO13400-2規范）

01 TLS DoIP測試實踐

測試配置

TLS協議可以為信息傳輸提供三個基本保證：加密、身份驗證、數據完整性，上篇文章介紹過TLS借助密碼學中的非對稱加密和對稱加密來協商秘鑰以及應用數據加密，防止數據泄露以及篡改，通過證書機制做身份驗證，防止第三方偽造通訊節點。

Security Manager

在執行測試前需要確認OEM對控制器TLS的配置要求，比如認證類型、支持的密碼套件等信息。Vector CANoe軟件的Security Manager模塊具備安全相關測試配置功能，測試人員基于此模塊完成證書、密碼套件配置工作。

圖2 CANoe安全管理配置界面

依據被測控制器的特性，為測試模塊選擇相應的安全配置文件，完成測試配置。

圖3 配置文件的選擇

測試仿真節點開發

為實現TLS DoIP的測試，需開發仿真節點以實現與DUT的交互，如下為針對某控制器 TLS DoIP交互過程及交互數據流。

TCP連接：使用3496端口號與控制器建立TCP連接

TLS握手流程：采用雙向認證方案的TLS握手流程

DoIP路由激活數據：TCP連接建立后，兩秒內完成路由激活（加密傳輸-測試模塊知曉協商過的秘鑰，故可解析DoIP數據）

診斷數據：診斷數據加密傳輸

圖4 TLS DoIP數據流1

圖5 TLS DoIP數據流2

TLS DoIP測試內容和測試工程

測試內容包括TLS流程測試、證書測試、協議版本測試、密碼套件測試、端口號測試等等，其測試工程北匯通過Vector CANoe.CAPL結合其他第三方編程語言定制實現。

如下為一典型測試用例的示例，該用例是為了完成TLS DoIP正向流程測試。

圖6 測試用例示例

如下為TLS DoIP測試工程和測試報告的示例。

圖7 TLS DoIP測試工程

圖8 某控制器TLS DoIP診斷報文測試報告