CN103547975B - 用于识别对车辆网络的操纵的方法和控制单元 - Google Patents

用于识别对车辆网络的操纵的方法和控制单元 Download PDF

Info

Publication number
CN103547975B
CN103547975B CN201280024676.3A CN201280024676A CN103547975B CN 103547975 B CN103547975 B CN 103547975B CN 201280024676 A CN201280024676 A CN 201280024676A CN 103547975 B CN103547975 B CN 103547975B
Authority
CN
China
Prior art keywords
network
vehicle
control
vehicle network
print
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201280024676.3A
Other languages
English (en)
Other versions
CN103547975A (zh
Inventor
R.贝耶
R.法尔克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN103547975A publication Critical patent/CN103547975A/zh
Application granted granted Critical
Publication of CN103547975B publication Critical patent/CN103547975B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0018Communication with or on the vehicle or train
    • B61L15/0036Conductor-based, e.g. using CAN-Bus, train-line or optical fibres
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0072On-board train data handling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Mechanical Engineering (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Lock And Its Accessories (AREA)

Abstract

用于对车辆(1)的至少一个车辆网络(2)进行操纵识别的方法,具有以下步骤:确定至少一个车辆网络(2)的数字指纹,将至少一个车辆网络(2)的数字指纹与参考信息进行比较,根据比较的结果适配至少一个车辆网络(2)的功能,使得保证运行安全性/安全性,如果未识别到对至少一个车辆网络(2)的操纵则激活正常控制模式或者如果识别到对至少一个车辆网络(2)的操纵则激活运行安全控制模式。用于对车辆(1)的至少一个车辆网络(2)进行操纵识别的控制单元,其特征在于,根据至少一个车辆网络(2)的数字指纹与控制网络(21)的参考信息的比较的结果来执行控制任务。

Description

用于识别对车辆网络的操纵的方法和控制单元
技术领域
本发明涉及信息安全性或完整性的监控用以维持运行安全性/安全性和用于维持攻击安全性/防护性用以保护免受由操纵引起的损坏。
背景技术
越来越多地使用基于以太网或基于IP的数据传输,用以执行控制和监控任务。因此各种车辆、尤其是有轨车辆拥有用于执行车辆控制以及用于其他运行功能的数据网络。
车辆协会的车辆或有轨车辆的控制和监控任务的准确的、按规定的实施需要,控制网络和经由其所连接的控制组件、诸如控制计算机、具有传感器和执行器的子系统或现场组件按规定地起作用。但是在控制网络被操纵时,这不被保证,因为所传输的控制和测量数据可能被改变。由此,按规定的运行受影响。也许对于车辆的运行安全性可能不再按规定地满足所需要的功能。
用于车辆网络的保护措施以不同的形式已知。因此可以以接入保护的方式安装控制网络。这例如在特定电缆检查井中发生,使得所述控制网络对于局外设备不可接入并且因此操纵可以被阻止。但是这是成本耗费的和由于耗费的安装和维护工作的执行而一般不能被实施。如果例如仅需要除去或旋开盖板,简单的物理保护措施可以相对简单地被回避。
控制网络大多在逻辑上是闭合的,也即不与外部网络连接或不与外部网络直接连接。通过所谓的“防火墙”,至少可以在选择允许与外部网络交换的数据的意义上限制数据通信业务。因此,从外部的基于网络的攻击是不可能的或仅以耗费的方式是可能的。
但是通过所述措施不构建免受对车辆操纵的保护,使得数据在车辆网络内仍可以被操纵。
此外已知的是,在传输时通过诸如“CRC值/循环冗余校验(Cyclic RedundancyCheck)”循环冗余校验的校验和来保护数据。这些校验和仅仅适用于识别随机传输误差。从而不能实现免受故意操作的保护,因为攻击者能够以简单的方式计算由其所操纵的数据的有效CRC值。
同样,密码校验和是已知的,诸如“消息鉴权码”或“数字签名”。在此所传输的数据、例如用于车辆的控制数据在发送时被补充有密码校验和。该密码校验和在接收时被检验。仅被正确检验的数据被进一步处理。例如可以用“MACsec”、“IPsec”或“SSL/TLS”对通信加密。在此,所传输的数据通过密码校验和来保护。这样的密码保护仅能耗费地事后作为自动化组件中的集成来实现。单独的加密前置组件同样是耗费的。此外,加密校验和的计算以及检验由于计算耗费的密码运算导致延迟,这尤其是在实时关键的控制和调节任务情况下是不希望的。
此外,所谓“侵入探测系统”是已知的,所述侵入探测系统监控出现的网络通信业务。在“可疑的”网络通信业务情况下触发警报。在此可以识别网络通信业务的已知攻击模式、所谓的攻击签名。但是由此仅能识别特定的、已经已知的攻击。通过诸如识别描述网络通信业务的统计参量的显著变化的启发式方法,尝试也识别迄今未知的攻击。由此通过分析诸如网络服务的使用频率和访问持续时间的统计特征值的显著变化仅仅能够识别攻击。在此,在随机波动情况下,可能容易有误地探测出主观想象的攻击。
由此基于统计特征值的启发性攻击识别方法是不可靠的并且在实际上最多以补充的方式被使用。
利用在网络中的自动拓扑识别,例如借助于“LLDP”、“CDP”、“SNMP”或“广播Ping”确定所有相连接的网络设备。通过“LLDP”也可以确定网络电缆线路的拓扑。
具有标题“Method and System for IP Train Inauguration”的US 2006/0180709描述了在基于IP的列车控制网络中运行的列车设定装置(Zugtaufe)。在此,尤其是根据引导车辆设计的列车拓扑借助于网络识别来确定。与此有关地配置“路由选择”和IP地址转换/NAT。
发明内容
本发明所基于的任务是,确定车辆网络处的、尤其是有轨车辆的车辆网络处的变化并且防止危及完整性、也即危及运行安全性/安全性和攻击安全性/防护性。
通过根据本发明的用于对车辆的至少一个车辆网络进行操纵识别的方法以及用于对车辆的至少一个车辆网络进行操纵识别的控制单元来解决该任务。
根据本发明的用于对车辆的至少一个车辆网络进行操纵识别的方法,具有以下步骤:
-确定至少一个车辆网络的数字指纹,
-将至少一个车辆网络的数字指纹与参考信息进行比较用于确定操纵,
-根据比较的结果适配至少一个车辆网络的功能,使得保证运行安全性,
-如果未识别到对至少一个车辆网络的操纵则激活正常控制模式或者如果识别到对至少一个车辆网络的操纵则激活运行安全控制模式。
根据本发明的用于对车辆的至少一个车辆网络进行操纵识别的控制单元,其特征在于,根据至少一个车辆网络的数字指纹与控制网络的参考信息的比较的结果来执行控制任务。
本发明基于以下认识:可以识别对车辆网络的不同的操纵或恶意破坏,其中通过所述不同的操纵或恶意破坏危及在车辆处的控制功能的正确执行。如果运行安全状态不能得以保证,则不能实现正常的运行。
为了正常地运行车辆,一般需要车辆网络的完整性。故意或非故意类型的或由于技术故障引起的变化可能随时出现。完整性包括运行安全性/安全性、保护免受传输故障、和攻击安全性/防护性,尤其是保护免受故意的变化。
车辆、尤其是有轨车辆处的操纵识别通过以下方式实现,即车辆网络的数字指纹被确定并且与所存放的参考信息比较。车辆网络的数字指纹表征车辆网络的当前存在的配置、也即所连接的网络组件(例如控制设备)的数目和/或所连接的网络组件的标识信息的集合。网络组件的标识信息可以例如通过诸如MAC地址、IP地址的其网络地址或通过其类型和其序列号给出。车辆网络的数字指纹也可以包括表征网络拓扑的信息,也即所述信息描述哪些网络组件直接与哪些或哪个其他网络组件相连接并且经由哪个接口连接。根据比较的结果,适配与所考虑的车辆网络相连接的控制单元的控制功能,所述控制单元尤其是是控制计算机。
对于在该比较情况下有偏差的情况,转换到所谓的安全性控制或运行安全状态。因此在对车辆网络的有关操纵情况下通过操作识别和接着转换到安全性控制来防止:可能发生对人员的伤害或对设备/车辆的损害。在此可以使用按标准存在的安全性功能,以便对付有关的事故或限制由所述事故造成的损坏。
所确定的比较信息相对于所存储的参考信息被检验,以便确定车辆网络的实际网络配置是否对应于参考信息。因此,识别出对车辆网络的操纵。
重要的是,识别对车辆的控制网络的操纵。例如当附加网络设备与车辆网络连接时可以识别这一点,其方式是,所连接的网络组件的数目高于所存储的参考值。也可以根据网络组件的不同标识信息识别出一个网络设备被另一个网络设备替换。也可以识别电缆线路的转接。
比较信息或参考信息可以被理解为车辆网络的数字参考指纹。
“数字指纹”分别表征单个车辆网络2。
如果用于控制车辆所使用的控制网络的所确定的数字指纹与所存储的参考指纹匹配,则车辆控制装置执行正常的控制。在偏差情况下,受限制地运行或去激活车辆,以便将所述车辆保持在运行安全状态。
有利的是,使用基于以太网或IP的车辆网络,其仅与已知组件根据固定电缆线路连接。这意味着,涉及具有固定配置的闭合网络。这适用于以下情况,即只要没有探测到控制网络的所确定的指纹与所存储的参考指纹的偏差,则在车辆控制网络处进行了操纵识别。根据本发明,在比较时可以容易地识别与所述固定网络配置的偏差。有利的是,在出现与所存放的固定配置的偏差情况下适配车辆控制。由此即使在故意或无意地操纵的车辆控制网络时也可以避免有误的控制。由此实现防止危及乘客的目的。
在“数字指纹”和参考信息之间执行比较可以通过控制单元(诸如在车辆网络范围中的控制计算机)本身来执行。但是同样可以将比较的结果输送给另外的控制单元。这可以经由控制网络本身或经由单独的控制线路进行。
使用可存储器编程的控制单元是有利的。由此可以进行空调、门、传动装置、制动装置等的操控。
尤其是对于车辆的运行安全状态,可以在转发时以密码方式保护比较或检验结果。这例如可以通过所谓的“消息鉴权码/MAC”或通过“数字签名”实现。由此该信息获得所述信息不能被操纵的状态。
为了识别操纵,有利地可以考虑网络电缆线路的拓扑完整性的检验。拓扑完整性被理解为:与车辆控制网络连接的网络组件的网络接口的连接通过网络电缆不被改变。即使数据通信是可能的,则在错误连接的网络电缆情况下例如也不排除在一些网络连接上的网络过负荷,或者在网络电缆上在网络连接上的实时关键的网络控制通信可能被另外的数据通信干扰,所述另外的数据通信在如所设置的所连接的网络电缆情况下不会存在。在此检验,设备是否如平常那样接线或组件或网络电缆是否例如被转接。此外可以检验,正常的设备是否可达并且确定的、不期望的设备也实际上不可达。可以检验,未被占用的网络端子是否实际上是未被占用的。在此可以考虑,各个控制设备可以由车辆服务关断。因此在搜索操纵时可以将组件缺乏立即归为负的、也即不允许的偏差。
此外有利的是,使用物理传感器用于监控网络电缆线路。因此例如可以监控以数字方式、也即仅断开或仅接通地被控制的部件。
在另一变型方案中,考虑物理传输参数用于分析。在此,确定网络电缆线路的脉冲应答并且与参考值进行比较。以网络电缆更换形式或对网络电缆的物理操纵形式的操纵因此可以被识别。
此外有利的是,借助于IP地址或MAC地址标识外来设备或更换设备。连接在车辆网络上的组件被标识或鉴权。在此,其设备类型按照诸如制造商、型号、序列号等准则来确定。此外,密码设备鉴权可以进行。在此,对所连接的设备的鉴权可以借助于口令、密码密钥或数字设备证书来执行。该询问可以在操纵识别本身的范围中被执行或者在鉴权另外的组件时发生的通信通过操纵识别被监控和分析。此外,测试数据可以经由车辆网络被传输,以便验证其正确的传输。
借助于控制单元根据控制网络的检验的结果执行至少一个控制任务。在此,用于运行的控制设备的功能性被释放、受限制地被释放或被去激活。可以将去激活一般地理解为车辆的自安全运行状态。作为特别的服务可以将释放通知发送给控制设备。由此实现,设备即使在对控制网络的当前操纵的情况下也不能切换到非运行安全的运行状态下。可以实现车辆的受限制的运行,诸如以有限的行驶速度或可见行驶(Fahren auf Sicht)。
附加的优点从在耦合多个车辆网络情况下使用控制计算机中得出,以便将允许的通信限制于网络耦合器/网关。一般,存在不同的车辆子网络,诸如旅客网络、运营商网络等,其通常完全从车辆网络退耦,所述车辆网络负责控制车辆。在用于操纵识别的方法流程中,可以置入计算,其中为了继续运行车辆必须满足附加准则。因此可以例如检验,具有防火墙功能性的网络耦合器/网关实际上真实地阻止在车辆控制网络和经由网络耦合器/网关连接的运营商网络或旅客网络之间的不允许的通信。但是如果这样的不允许的通信是可能的,例如因为网络电缆错误地被插接至网络耦合器/网关或者因为网络耦合器/网关的防火墙功能性不按规定地起作用,则故障被探测出来,也即操纵识别识别出偏差/操纵。
为了跟踪故障通知,可以发生到故障存储器中的录入。这同样适用于检验的正结果。
此外,如果数据的传输被传输给陆地侧单元,例如经由“WLAN”或移动无线电网络、诸如“GSM”、“GPRS”、“UMTS”、“WIMAX”等,则得出优点。
用于识别操纵的方法可以在不同时间被应用,该方法可以规则地、持续地或可选地被调用。该方法例如可以在以下条件下被激活:
-在结束用于释放来运行的维护模式时,
-在激活控制功能时,
-在切换操作者以进行新操作者的鉴权时,
-在进行中的运行中。
车辆、尤其是有轨车辆可以拥有车辆网或者车辆网络,例如以便实施不同的车辆网络任务或车辆控制任务。这里要列举的是:
·传动网络,
·制动网络,
·列车保险网络,
·空调控制网络,
·门控制网络,
·旅客信息网络或者
·视频监控网络。
监控可以涉及这些车辆网络中的单个车辆网络。也可能的是,在一个车辆网络上实现多个车辆网络任务。因此例如传动网络和制动网络可以重合。各个车辆网络可以经由网络耦合器/网关连接。
在另一变型方案中,监控车辆网络的完整性并且在偏差情况下阻止或限制与车辆网络的数据通信。如果例如识别出,运营商网络或用于例如空调控制或照明控制的控制网络与已知的参考配置不同,因为备用设备或维护设备与该车辆网络连接,则可以将网络耦合器/网关与另外的子网、例如车辆的控制网络或制动网络连接。此外,可以限制或阻止所考虑的车辆控制网络与另外的网络的数据通信。因此防止,任何车辆网络的变化危险地影响另外的车辆网络的可靠运行。
特别有利的是,参考信息不仅可以固定地被预先给定,而且在变型方案中可以被训练。在车辆维护(其中有缺陷的控制设备被替换)时,车辆网络的指纹也改变。为了不必明确地由操作人员存储参考指纹,在结束维护时或在结束车辆维护模式时可以确定车辆网络的当前存在的指纹并且将其作为新的参考指纹进行存储。这可以通过车辆的控制设备进行或者通过所连接的维护设备、例如维护笔记本进行。在此,所确定的指纹也可以被修改或者所修改的指纹可以被存储为参考指纹,以便例如从参考指纹中去除涉及所连接的维护笔记本的信息。如果车辆释放用于车辆运行的参考信息,从而在维护车辆或有轨车辆时,所述参考信息可以被检测和存储。这在该情况下只有当经由有轨车辆的维护接口进行有权利的维护访问时才是可能的。
附图说明
下面根据示意图描述不限制本发明的实施例:
图1示出具有多个不同车辆网络2的有轨车辆,其中网络耦合器/网关GW将车辆网络2与车辆主网络连接,
图2示出图1的变型方案,其中有轨车辆拥有多个车辆网络2,所述车辆网络2经由网络耦合器/网关GW彼此连接,以及同时经由网络耦合器/网关GW与车辆主网络耦合,
图3示出用于操纵识别和相应的反应的流程图。
具体实施方式
图1和2分别示出具有车辆主网络总线3的车辆1,尤其是有轨车辆,所述车辆主网络总线3经由网络耦合器/网关GW将一个或多个电耦合EK连接。如在图1中所示的,车辆网络2的车辆子网络21至26彼此经由车辆控制网络总线4连接,其中存在至网络耦合器/网关GW的连接。车辆网络2可以尤其是被实现为以太网网络或IP网络或其组合。该车辆网络2在图1中作为总线示出,其中车辆控制设备或车辆子网络21-24和网络耦合器/网关GW经由所述总线连接。车辆网络2或一组车辆网络2同样可以被构造为环或星形。
图2示出一种变型方案,其中三个车辆控制网络或三个车辆控制子网络21-23以及25-26分别联合。根据图2的车辆控制子网络因此部分地彼此连接并且部分地经由网络耦合器/网关GW相互连接并且单独地和总体地经由网络耦合器/网关GW与车辆主网络总线3连接。
图的附图标记详细地表示:
1 车辆
2 车辆网络/VCS车辆控制网络
3 车辆主网络总线
4 车辆子网络总线/车辆控制网络总线
车辆子网络:
21 控制网络
22 制动网络/制动控制设备
23 空调网络/空调控制设备/HVAC控制装置
24 列车保险网络ATP
25 乘客信息网络PIS-S
26 乘客信息网络AIS-D
图3:
31 开始
32 确定车辆网络的指纹
33 与参考信息比较
34 判定:操纵 是/否
35 否
36 是
37激活正常控制模式
38 激活运行安全控制模式
39 结束
GW网络耦合器/网关
EK 电耦合。
在图1中绘出的有轨车辆包含多个车辆控制设备,所述车辆控制设备彼此连接在一起。控制网络21的车辆控制设备在该情况下作为“车辆控制服务器(VCS)”承担引导作用并且可以操控各个子系统/车辆子网络/车辆控制设备。在该情况下属于子网络的有:
·制动控制设备或制动网络22,
·空调控制设备或空调网络23,HVAC,供暖、通风、空调,和
·列车保险控制设备或列车保险网络、自动列车保护,ATP。
车辆1的控制网络21经由网络耦合器GW与车辆主网络总线3连接。该车辆主网络总线3可以是以太网网络或IP网络或其组合。列车的存在的主网络例如是“以太网列车骨干”,ETB/以太网/列车基础网络。
在对车辆控制网络进行操纵识别情况下,在操纵被识别时适配车辆控制、也即所实现的控制功能性。操纵识别可以在网络耦合器/网关GW中或作为“车辆控制服务器VCS”、也即车辆控制网络或车辆控制设备21的部分实现。在变型方案中,所述操纵识别是列车保险控制设备/“自动列车保护”ATP的部分。
根据另一实施例,操纵识别的结果可以经由车辆主网络总线3和电耦合EK被传输给另外的车辆。在此存在以下可能性:在操作台处显示操纵识别的结果。
图2是一种变型方案,其中有轨车辆的装备包括大量车辆子网络21-26。这些车辆子网络经由网络耦合器/网关GW连接。
在图2中这是:控制网络21,所述控制网络21包括作为车辆控制服务器(VCS)的车辆控制设备,以及制动控制设备22和具有空调控制网络23的空调控制设备。此外,存在具有列车保险控制设备的列车保险网络以及具有两个乘客信息控制设备25 PIS-S和26 PIS-D的乘客信息控制网络。
图3示出用于操纵识别的流程图。在开始31之后,运行用于当前网络的所谓数字指纹的确定32。接着,将结果与所存储的参考信息比较33。如果操纵识别34得出:在该测试中不存在偏差,也即具有应答“否35”的左边支路适用,则运行正常控制模式的激活37。如果在参考信息和车辆网络的所确定的指纹之间存在偏差,则沿着具有“是36”的右边支路走向并且激活38运行安全控制模式。接下来,用于操纵识别的方法方式到达结束39。

Claims (26)

1.用于对车辆(1)的至少一个车辆网络(2)进行操纵识别的方法,具有以下步骤:
-确定至少一个车辆网络(2)的数字指纹,
-将至少一个车辆网络(2)的数字指纹与参考信息进行比较用于确定操纵,
-根据比较的结果适配至少一个车辆网络(2)的功能,使得保证运行安全性,
-如果未识别到对至少一个车辆网络(2)的操纵则激活(37)正常控制模式或者如果识别到对至少一个车辆网络(2)的操纵则激活(38)运行安全控制模式。
2.根据权利要求1所述的方法,其特征在于,借助于控制单元实施至少一个车辆网络(2)的适配。
3.根据权利要求1或2所述的方法,其特征在于,使用所存放的安全性功能,用以在操纵被识别时将所引起的损坏保持得最小。
4.根据权利要求1或2所述的方法,其特征在于,为了识别对至少一个车辆网络(2)的操纵使用参考信息与车辆网络的数字指纹的比较的结果。
5.根据权利要求4所述的方法,其特征在于,只有当用于控制车辆(1)所使用的车辆控制网络(21)的所确定的数字指纹与所存储的参考信息匹配时,才在车辆控制网络(21)中实施正常控制模式。
6.根据权利要求4所述的方法,其特征在于,在所接收的数字指纹与参考信息之间有偏差时,所述至少一个车辆网络(2)在受限制的模式中运行或被去激活,以便将车辆保持在运行安全状态。
7.根据权利要求5所述的方法,其特征在于,车辆控制网络(21)是以太网或基于IP的车辆控制网络或其组合。
8.根据权利要求1或2所述的方法,其特征在于,使用具有固定网络配置的闭合车辆网络(2),使得可以简单地识别与该固定网络配置的偏差。
9.根据权利要求8所述的方法,其特征在于,当在固定参考网络配置信息和要检验的至少一个车辆网络(2)的数字指纹之间的比较有偏差时,适配至少一个车辆网络(2)的控制。
10.根据权利要求5所述的方法,其特征在于,对于识别到对车辆的控制网络的操纵或恶意破坏、由此危及控制功能的正确执行的情况,不进行车辆(1)的正常运行。
11.根据权利要求1或2所述的方法,其特征在于,检验网络电缆线路的拓扑完整性。
12.根据权利要求1或2所述的方法,其特征在于,使用物理传感器并且询问开关元件的双极状态。
13.根据权利要求1或2所述的方法,其特征在于,分析物理传输参数并且与参考值进行比较。
14.根据权利要求1或2所述的方法,其特征在于,识别在车辆网络中存在的外来设备。
15.根据权利要求14所述的方法,其特征在于,借助于密码密钥保护设备的标志。
16.根据权利要求1或2所述的方法,其特征在于,可以训练参考信息。
17.根据权利要求1或2所述的方法,其特征在于,操纵识别持续地或者在所选择的时刻或者在所选择的事件情况下或在所选择的运行状态情况下进行。
18.根据权利要求1或2所述的方法,其特征在于,在各个车辆子网络(21至26)处进行监控。
19.用于对车辆(1)的至少一个车辆网络(2)进行操纵识别的控制单元,其特征在于,根据至少一个车辆网络(2)的数字指纹与控制网络(21)的参考信息的比较的结果来执行控制任务。
20.根据权利要求19所述的控制单元,其特征在于,所述控制单元被设计为使得可以执行自检验。
21.根据权利要求19或20所述的控制单元,其特征在于,对于正常运行,通过控制单元可以释放、受限制地释放或去激活至少一个控制设备。
22.根据权利要求19或20所述的控制单元,其特征在于,所述控制单元包括控制计算机,所述控制计算机限制经由用于耦合多个车辆网络(2)的网络耦合器/网关(GW)的允许的通信。
23.根据权利要求19或20所述的控制单元,其特征在于,可以关掉显示操纵识别的警报通知并且可以记录正常运行。
24.根据权利要求19或20所述的控制单元,其特征在于,存在用于存储检验结果的故障存储器。
25.根据权利要求19或20所述的控制单元,其特征在于,可以经由按标准的移动无线电网络将用于操纵识别的数据通信传输给陆地侧单元。
26.根据权利要求19或20所述的控制单元,其特征在于,存在多个车辆网络(2)或车辆子网络(21至26),其经由网络耦合器/网关(GW)连接。
CN201280024676.3A 2011-05-24 2012-05-15 用于识别对车辆网络的操纵的方法和控制单元 Expired - Fee Related CN103547975B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102011076350.3 2011-05-24
DE102011076350A DE102011076350A1 (de) 2011-05-24 2011-05-24 Verfahren und Steuereinheit zur Erkennung von Manipulationen an einem Fahrzeugnetzwerk
PCT/EP2012/059051 WO2012159940A2 (de) 2011-05-24 2012-05-15 Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk

Publications (2)

Publication Number Publication Date
CN103547975A CN103547975A (zh) 2014-01-29
CN103547975B true CN103547975B (zh) 2017-03-01

Family

ID=46210204

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280024676.3A Expired - Fee Related CN103547975B (zh) 2011-05-24 2012-05-15 用于识别对车辆网络的操纵的方法和控制单元

Country Status (12)

Country Link
US (1) US9471770B2 (zh)
EP (1) EP2684154B1 (zh)
CN (1) CN103547975B (zh)
BR (1) BR112013030082A2 (zh)
CA (1) CA2837139A1 (zh)
DE (1) DE102011076350A1 (zh)
DK (1) DK2684154T3 (zh)
ES (1) ES2647673T3 (zh)
PL (1) PL2684154T3 (zh)
PT (1) PT2684154T (zh)
RU (1) RU2580790C2 (zh)
WO (1) WO2012159940A2 (zh)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210403062A1 (en) * 2012-09-20 2021-12-30 Westinghouse Air Brake Technologies Corporation Alerting system and method
CA3111241C (en) * 2012-09-20 2023-03-14 Wabtec Holding Corp. Method and system for transmitting enforceable instructions in positive train control systems
DE102014212484A1 (de) * 2014-06-27 2015-12-31 Siemens Aktiengesellschaft Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs
US20180034644A1 (en) * 2015-03-25 2018-02-01 Mitsubishi Electric Corporation Server, certificate generation instruction method, and program
EP3150460B1 (en) * 2015-09-30 2019-11-13 ALSTOM Transport Technologies Railway vehicle with unidirectional security gateway for secure diagnosis data transmission
DE102016210788B4 (de) 2016-02-18 2023-06-07 Volkswagen Aktiengesellschaft Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
DE102016204999A1 (de) 2016-03-24 2017-09-28 Volkswagen Aktiengesellschaft Verfahren zur Überwachung der Sicherheit von Kommunikationsverbindungen eines Fahrzeugs
CN107454047B (zh) * 2016-06-01 2020-04-03 中车株洲电力机车研究所有限公司 一种用于防止非法设备接入的列车设备识别方法及系统
DE102017208545A1 (de) 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102017208548A1 (de) 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102017208553A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102017208551A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102017208547A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102017208549A1 (de) 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102017215969A1 (de) * 2017-09-11 2019-03-14 Siemens Mobility GmbH Schienenfahrzeug mit Mehrkernrechenleistung
DE102017220371A1 (de) * 2017-11-15 2019-05-16 Siemens Mobility GmbH System und Verfahren zum Senden und zum Empfangen von Daten
DE102017220370A1 (de) * 2017-11-15 2019-05-16 Siemens Mobility GmbH System und Verfahren zum geschützten Übertragen von Daten
EP3528524A1 (de) * 2018-02-20 2019-08-21 Siemens Aktiengesellschaft Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten
US10730479B2 (en) * 2018-03-28 2020-08-04 Denso International America, Inc. Tamper security systems and methods for vehicles
AU2018423506B2 (en) 2018-05-15 2021-02-25 Cylus Cyber Security Ltd. Railway cyber security systems
US20210092103A1 (en) * 2018-10-02 2021-03-25 Arista Networks, Inc. In-line encryption of network data
RU2716871C1 (ru) * 2019-03-19 2020-03-17 Дмитрий Михайлович Михайлов Система и способ защиты электронных систем управления транспортных средств от несанкционированного вторжения
AU2020275139B2 (en) * 2019-05-16 2021-09-09 Cylus Cyber Security Ltd. Self organizing cyber rail-cop
US11240061B2 (en) * 2019-06-03 2022-02-01 Progress Rail Locomotive Inc. Methods and systems for controlling locomotives
DE102019212820A1 (de) * 2019-08-27 2021-03-04 Robert Bosch Gmbh Verfahren zur Auswertung und Anpassung von Netzwerkmodellen in Signal-Fingerabdruck-Systemen
EP3823235A1 (de) * 2019-11-14 2021-05-19 Siemens Aktiengesellschaft Verbindungsspezifisch geprüfte datenübertragung über eine kryptographisch authentisierte netzwerkverbindung
US11683341B2 (en) 2019-12-20 2023-06-20 Robert Bosch Gmbh System and method for network intrusion detection based on physical measurements
DE102022200780A1 (de) * 2022-01-25 2023-07-27 Siemens Mobility GmbH Kommunikationsverfahren und Kommunikationssystem zum Betrieb eines spurgebundenen Fahrzeugs

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050076246A1 (en) * 2003-10-01 2005-04-07 Singhal Tara Chand Method and apparatus for network security using a router based authentication system
US20060180709A1 (en) * 2005-02-11 2006-08-17 Luc Breton Method and system for IP train inauguration
US20070121596A1 (en) * 2005-08-09 2007-05-31 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in VoIP networks
WO2007083278A1 (en) * 2006-01-20 2007-07-26 Nokia Corporation Distributed (modular) internal architecture
CN101281409A (zh) * 2008-05-09 2008-10-08 北京海兰信数据科技股份有限公司 自动操舵仪
CN101559745A (zh) * 2009-05-15 2009-10-21 华南理工大学 一种防盗抢的车辆控制系统及其实现方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19708314A1 (de) 1997-02-28 1998-09-03 Volkswagen Ag Vorrichtung und Verfahren zur Diebstahlsicherung von Zusatzgeräten
JPH11259423A (ja) * 1998-03-10 1999-09-24 Fujitsu Ltd 伝送装置のセキュリティシステム
US6308272B1 (en) * 1998-12-21 2001-10-23 International Business Machines Corporation Security system using existing network and personal computers
US6694235B2 (en) 2001-07-06 2004-02-17 Denso Corporation Vehicular relay device, in-vehicle communication system, failure diagnostic system, vehicle management device, server device and detection and diagnostic program
US7747730B1 (en) * 2002-06-28 2010-06-29 Netfuel, Inc. Managing computer network resources
US9137670B2 (en) * 2003-02-18 2015-09-15 Hewlett-Packard Development Company, L.P. Method for detecting rogue devices operating in wireless and wired computer network environments
WO2005091901A2 (en) * 2004-03-10 2005-10-06 Enterasys Networks, Inc. Dynamic network detection system and method
US20080095058A1 (en) * 2004-07-09 2008-04-24 Koninklijke Philips Electronics, N.V. Data Transmission in a Communication Network
DE102006006109A1 (de) 2006-02-10 2007-08-16 Robert Bosch Gmbh Verfahren zum Manipulationsschutz eines Steuergeräts sowie gegen Manipulationen geschütztes Steuergerät
US8161550B2 (en) * 2007-01-23 2012-04-17 Knowledge Based Systems, Inc. Network intrusion detection
US7894978B2 (en) 2008-02-06 2011-02-22 Gm Global Technology Operations, Inc. Diagnostic system and method for detecting tampering of vehicle software or calibrations
US8424074B2 (en) * 2009-06-17 2013-04-16 Vendor Safe Technologies Method for deploying a firewall and virtual private network to a computer network
US8844041B1 (en) * 2010-01-12 2014-09-23 Symantec Corporation Detecting network devices and mapping topology using network introspection by collaborating endpoints
US8433790B2 (en) * 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
CN103493345B (zh) * 2011-02-10 2016-05-11 舍弗勒技术股份两合公司 磁阻电动机
US8869309B2 (en) * 2011-04-14 2014-10-21 Lockheed Martin Corporation Dynamically reconfigurable 2D topology communication and verification scheme

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050076246A1 (en) * 2003-10-01 2005-04-07 Singhal Tara Chand Method and apparatus for network security using a router based authentication system
US20060180709A1 (en) * 2005-02-11 2006-08-17 Luc Breton Method and system for IP train inauguration
US20070121596A1 (en) * 2005-08-09 2007-05-31 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in VoIP networks
WO2007083278A1 (en) * 2006-01-20 2007-07-26 Nokia Corporation Distributed (modular) internal architecture
CN101281409A (zh) * 2008-05-09 2008-10-08 北京海兰信数据科技股份有限公司 自动操舵仪
CN101559745A (zh) * 2009-05-15 2009-10-21 华南理工大学 一种防盗抢的车辆控制系统及其实现方法

Also Published As

Publication number Publication date
US9471770B2 (en) 2016-10-18
PL2684154T3 (pl) 2018-01-31
PT2684154T (pt) 2017-09-22
DK2684154T3 (da) 2017-11-13
RU2013156572A (ru) 2015-06-27
EP2684154A2 (de) 2014-01-15
EP2684154B1 (de) 2017-08-16
CA2837139A1 (en) 2012-11-29
ES2647673T3 (es) 2017-12-26
US20140107875A1 (en) 2014-04-17
CN103547975A (zh) 2014-01-29
BR112013030082A2 (pt) 2016-09-20
WO2012159940A3 (de) 2013-05-30
DE102011076350A1 (de) 2012-11-29
RU2580790C2 (ru) 2016-04-10
WO2012159940A2 (de) 2012-11-29

Similar Documents

Publication Publication Date Title
CN103547975B (zh) 用于识别对车辆网络的操纵的方法和控制单元
Palanca et al. A stealth, selective, link-layer denial-of-service attack against automotive networks
US10798114B2 (en) System and method for consistency based anomaly detection in an in-vehicle communication network
JP5522160B2 (ja) 車両ネットワーク監視装置
US11848947B2 (en) System and method for providing security to in-vehicle network
Kim et al. Cyber-physical vulnerability analysis of communication-based train control
KR101880162B1 (ko) 자동제어시스템 내 제어신호 분석을 이용한 제어신호 무결성 검증 방법
CN110612527A (zh) 信息处理装置以及异常应对方法
CN104850093A (zh) 用于监控自动化网络中的安全性的方法以及自动化网络
KR101907011B1 (ko) 차량 네트워크 통신보안성 평가 및 모니터링 장치
KR101966345B1 (ko) Can 통신 기반 우회 공격 탐지 방법 및 시스템
US20220182404A1 (en) Intrusion path analysis device and intrusion path analysis method
KR101781135B1 (ko) 차량 네트워크 통신보안성 평가 및 모니터링 장치
CN111149336B (zh) 用于检测对车辆的控制器的攻击的方法
Bantin et al. Designing a secure data communications system for automatic train control
KR20210103972A (ko) 차량 내 네트워크에 대한 침입 탐지를 위한 시스템 및 방법
JP2021163978A (ja) 車載通信システム及び通信制御方法
EP4072065B1 (en) In-vehicle system for abnormality detection
JP7471532B2 (ja) 制御装置
US20220394470A1 (en) Method and control unit for detecting unauthorised data traffic in a packet-oriented data network of a motor vehicle, and corresponding motor vehicle
US20200236028A1 (en) Concept for monitoring network traffic coming into a signal box
CN111526117A (zh) 用于建筑物的网络防御和响应系统
JP2009087225A (ja) 車両識別装置、車両識別システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20170301

Termination date: 20190515