CN107623608A - 用于运行总线系统的方法和设备 - Google Patents
用于运行总线系统的方法和设备 Download PDFInfo
- Publication number
- CN107623608A CN107623608A CN201710564863.5A CN201710564863A CN107623608A CN 107623608 A CN107623608 A CN 107623608A CN 201710564863 A CN201710564863 A CN 201710564863A CN 107623608 A CN107623608 A CN 107623608A
- Authority
- CN
- China
- Prior art keywords
- message
- defence
- intended receiver
- accordance
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000006243 chemical reaction Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 8
- 230000001737 promoting effect Effects 0.000 claims description 7
- 238000003860 storage Methods 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 4
- 238000006467 substitution reaction Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 19
- 230000001788 irregular Effects 0.000 description 11
- 238000003745 diagnosis Methods 0.000 description 10
- 230000006872 improvement Effects 0.000 description 9
- 238000012360 testing method Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 230000008260 defense mechanism Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 238000004080 punching Methods 0.000 description 1
- 230000004936 stimulating effect Effects 0.000 description 1
- 230000000638 stimulation Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
- H04L12/4135—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD] using bit-wise arbitration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/451—Execution arrangements for user interfaces
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/24—Testing correct operation
- H04L1/242—Testing correct operation by comparing a transmitted test signal with a locally generated replica
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40032—Details regarding a bus interface enhancer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
- Small-Scale Networks (AREA)
- Traffic Control Systems (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
Abstract
本发明涉及用于运行总线系统(10)的方法,其中接收所述总线系统(10)的消息并且确定所述消息的有效性,其特征在于,如果确定出所述消息是“无效的”,那么将防御消息发送给所述消息的指定接收方(2),其中构造所述防御消息,使得所述指定接收方(2)通过所述防御消息被指示:针对所述消息引入防御措施。
Description
技术领域
本发明涉及用于运行尤其是机动车中的总线系统的方法、用于执行所述方法的计算机程序和控制和/或调节装置以及机器可读的存储介质,所述计算机程序被存储在所述存储介质上。
背景技术
在DE 10 2009 026 995 A1中描述了用于运行总线系统、尤其是CAN总线的方法。多个站能够连接到总线系统上。所传输的消息具有标识符,其中总是仅允许由唯一的站使用特定的标识符(例如IDENT2)。所述站中的每一个将所传输的消息的标识符与由所述站自身所使用的标识符(例如IDENT2)比较。在一致的情况下生成差错报告(Fehlermeldung)。
发明内容
发明优点
具有独立权利要求1的特征的发明具有以下优点:能够特别有效地识别在所述总线系统的网络中的无规律的干预,以便在需要时有针对性地阻止或防止所述干预。本发明的优点因此是提高相对于对网络的操纵式干预的网络完整性。
另一优点是,能够揭露安全漏洞并且因此开辟以下可能性:利用软件更新消除所述安全漏洞。
本发明的另一优点是,在网络中对无规律的干预(irregulären Eingriffe)的防御(Abwehr)借助存在的车载装置(Bordmittel)进行。尤其是所述防御可以借助于在所涉及的网络用户中的另外的功能进行,所述另外的功能经由网络被激活。
本发明的另一决定性优点是,在防御试图(Abwehrversuch)时不影响网络的工作方式,也即,连接在所述网络上的系统和/或控制设备(术语“控制设备”在这里和在下文中以无限制的方式作为“控制和/或调节装置”的同义缩略术语而被使用)在其功能方面并不受影响,因为通过有针对性地利用已经存在的车载装置用于防御无规律的干预而保证完全的兼容性。
发明公开
可以借助标准化的(genormeter)或适合的协议进行对机动车的干预,网络用户经由所述协议交换数据和/或指令。所述标准化的(gernormten)或适合的协议可以要么是有状态的要么是无状态的。
在有状态的协议的情况下,尤其可以得到以下状况:为了简化对车辆的诊断,车辆中的控制设备可以包含专门的诊断功能。所述诊断功能可以例如实现干预、例如对车辆中的电动机或阀(Ventilen)操控。所述诊断功能另外能够允许,建立状态,所述状态在机动车的规律运行期间是不期望的。另外可以使用诊断功能用于从控制设备读出数据,以便允许推断出在控制设备上存在的软件或机动车的状态。
可以例如经由标准化的诊断协议、诸如ISO14229例如借助于车间测试装置(Werkstatttester)在控制设备中启动诊断功能自身。
在关键的诊断功能的情况下,例如准则 ISO14229规定简单的监控,所述监控确保,在所选择的控制设备(“目标控制设备”)和车间测试装置之间存在有效(aktive)连接。为此,首先借助给目标控制设备的专用网络讯息(Netzwerkbotschaft)在目标控制设备中启动“非默认的(non-default)”诊断会话。随后,能够启动实际的(eigentlichen)诊断功能。
在离开激活的“非默认的”诊断会话的情况下可以规定,一般性地(generisch)停止之前所激活的诊断功能。当例如
-“非默认的”诊断会话的超时监控由于缺少“KeepAlive”讯息被关闭(zuschlägt)时,例如经由在ISO14229中所描述的诊断服务 TesterPresent;
- 主动地启动新的会话时,例如经由在ISO14229中所描述的诊断服务DiagnosticSessionControl;
- 或者当通过询问具有更高优先级的其他诊断协议而在控制设备中进行协议变换时,
可以离开激活的诊断会话。
除了用于终止所激活的诊断功能的一般性方法以外,此外还存在有针对性地去活所述诊断功能的可能性。例如,ISO14229在诊断服务InputOutputControlByIdentifier中维持(vorhalten)InputOutputControlParameter“returnControltoEcu”或者也在诊断服务RoutineControl中维持子功能“StopRoutine”。
尤其当无规律的诊断干预是可能的,而不首先启动“非默认的”诊断会话使,和/或当已经实施了不严格遵循在ISO14229中所描述的方法的诊断通信时,出现(sichanbieten)所述用于有针对性地去活的方法。
所示出的诊断功能被设置为用于利用车间测试装置在车间或生产中的受控制条件下诊断差错的服务。通过在车辆中增加的联网和互联(Connectivity)可以利用适当的反措施防止,诊断功能被滥用,例如以便有针对性地干扰行驶运行。
因此,既对于有状态的协议的上面所述及的情况也对于无状态的协议的上面所述及的情况建议一种用于运行总线系统的方法,其中接收总线系统的消息并且确定所述消息的有效性(即,例如在对关于消息是否有效的有效性两级评价情况下)。在已经确定出所述消息是“无效的”情况下规定,将防御消息发送给消息的指定接收方。所述指定接收方尤其可以是总线系统的用户。规定,构造所述防御消息,使得指定接收方通过防御消息被指示:针对于所述消息引入防御措施。所述方法在此情况下并不被限制于唯一的指定接收方。也可以设想,对于多个指定接收方执行所述方法。
因为为了防御而因此充分利用已经在所述接收方中存在的防御措施(所谓的车载装置),所以系统通过所述方法变得特别简单地能“即插即用(plug-and-play)”的。
有效性的确定例如可以通过以下方式进行,即网络通信被监控,并且与一个或多个传感器(术语“传感器”在这里可以这样宽泛概括地被理解,使得所述术语也一并包括在控制设备中的所分配的评估单元)的输出值关联(verknüpfen)。如果例如从传感器接收到存在异常的提示(例如因为在消息中确定出制动器的在网络之内所传输的期望力矩的异常跃变和/或因为识别到无规律的诊断询问,因为对于诊断询问的容许性的可预先确定的条件不存在,因为例如在车辆移动期间请求执行器测试(Stellgliedtest)),则判决出,所述消息是无效的。
以下实施方式尤其对于有状态的协议的上面所述及的情况是有利的。
尤其是,于是可以构造防御消息,用于促使指定接收方对激活的、也就是当前在进行中的“非默认的”诊断会话去活和/或启动另一“非默认的”诊断会话。
在一种特别有效的改进方案中,防御消息可以被构造,用于促使指定接收方执行从分配给“非默认的”诊断会话的诊断协议向其他诊断协议的协议变换。有利地,在此情况下给诊断协议分派优先级,并且给所述其他诊断协议分派比分配给“非默认的”诊断会话的诊断协议更高的优先级。
在另一特别简单的改进方案中,防御消息可以被构造,用于促使指定接收方去活所述消息。这可以例如在ISO14229中所定义的诊断服务“InputOutputControlByIdentifier”中通过在那里所维持的InputOutputControlParameter“returnControlToEcu”发生,或者在同样在ISO14229中所定义的诊断服务“RoutineControl”中通过子功能(Subfunktion)“StopRoutine”发生。
在另外的方面中,可以规定使用用于测量、刺激(Stimulieren)和调整的有状态的协议、诸如在机动车中所使用的协议CCP(CAN标定协议(CAN Calibration Protocol))和XCP(通用标定协议(Universal Calibration Protocol))。
在一种特别简单的改进方案中,防御消息例如可以被构造,用于促使指定接收方去活被识别为“无效的”消息(例如刺激(Stimuli)干预、诸如所引入的测量干预),其方式为,这样构造防御消息,使得所述防御消息传输指令,所述指令用于停止由所识别的消息所触发的反应、例如刺激干预,例如既在CCP中又在XCP标准中所定义的START-STOP-DATA-TRANSMISSION(启动-停止-数据-传输)指令。于是在使用XCP的情况下可以借助相同的防御消息、例如START-STOP-DATA-TRANSMISSION指令促使指定接收方去活所引入的无效的刺激干预。
如果由被识别为“无效的”消息所触发的反应是调整访问(Verstellzugriff),那么例如防御消息可以被构成,使得所述防御消息代表用于将数据组转换到存储器的参考页(Referenzseite)的指令、例如既在CCP中又在XCP标准中定义的指令SET-CALIBRATION-PAGE(设置-标定-页)。
在另一特别简单的方面中可以这样构造所述消息,使得所述消息通过发送防御消息触发在指定接收方中存在的连接的截止(Schließen)。这可以例如借助DISCONNECT(断开)指令进行,其既在CCP中又在XCP标准中被定义。因为借助所述改进方案可以以与被识别为“无效的”消息的应用领域无关的方式防御在指定接收方中所实施的干预,所以所述防御措施的该改进方案是非常一般性的并且因此简单的方法。
对于无状态的协议的上面述及的情况,以下改进方案尤其是有利的。例如于是可以在一种特别简单的改进方案中充分利用指定接收方的防御机制,其方式为,防御消息被构造,用于由指定接收方被标识为无效的消息。也就是说,通过有针对性地注入有差错的讯息,引发为此设置的替代反应,其中对于所述讯息在指定接收方中存在监控机制。
所述防御消息对此可以装备错误的(falsch)数据长度代码(Data-Length-Code)(“DLC”)和/或错误的循环冗余校验(Cyclic-Redundancy-Check)(“CRC”)代码和/或错误的讯息计数器(也作为“Alive Counter(活跃计数器)”已知)和/或不可信的信号值和/或错误的信号限定符(Signal-Qualifier),以便因此直接触发差错识别。
信号限定符可以是具有例如1-2字节长度的单独的信号。可以由发送器使用所述信号,以便告知接收方所发送的信息的无效性(例如由于被识别为有缺陷的传感器)。
可替代地或附加地,所述防御消息可以具有与所接收的消息相同的标志,以便因此在所接收的消息周期性地被发送的情况下,生成错误的循环时间/发送周期。
可替代地或附加地,所述防御消息可以获得比所接收的消息的优先级更高的优先级。这例如在多级离散式刻度(Skala)上可以是数值,所述数值使所述优先级相对于所接收的消息优先一个或多个级。如果指定接收方现在接收消息和防御消息,则可以因此确保,指定接收方在所述消息之前处理防御消息。所述方法因此变得特别安全。
附加地,所述防御消息可以包含信号的替代值,所述信号应该利用消息被传送给指定接收方。例如可能的是,这样挑选替代值,使得机动车被转变成安全的状态。
与是否存在有状态的或无状态的协议的上面述及的情况无关地,以下改进方案是特别有利的:
在另一方面中例如可以规定,除了所述防御消息之外附加地发送另一防御消息。所述另一防御消息可以是与所述防御消息相同的消息。但是,所述另一防御消息也可以与所述防御消息不同,并且例如按照上面所列出的变型方案之一被构造。以这种方式,所述方法变得特别有效。
在一种特别安全的改进方案中可以规定,发送另外的防御消息,一直到确定出:指定接收方已经引入防御措施。
在另一方面中可以规定,如果所接收的消息已被归入为“有效的”,也即在两级有效性刻度的情况下不被归入为“无效的”,则所接收的消息被存储。
另外可以规定,根据所接收的、所存储的消息决定,是否将所述消息归入“有效的”。这种方法以特别简单的方式是自适应的(lernfähig)。
通过遵循兼容性和利用已经存在的用于防御的车载装置,所描述的方法同样在任何时候都能够在全部的计算单元上被加装,所述计算单元具有对机动车网络的入口、例如是车辆中的网关和控制设备或者也在互联单元或者下游的计算单元中、例如“云”。所述方法因此可以在任意位置处在机动车的网络中被使用,例如作为一个或多个控制设备、网关的集成组成部分或也在互联单元中,其例如可以经由OBD插头事后地被连(anbinden)到网络上。此外,不需要另外的组件或机动车的架构方面的改变,也即,所述方法的使用是特别简单的。
附图说明
接下来,参照所附附图进一步阐述本发明的实施方式。在附图中:
图1示意性示出网络,在所述网络中可以使用根据本发明的方法;
图2示出根据本发明的一个方面的方法的流程图;
图3示出根据本发明的另一方面的方法的流程图。
具体实施方式
图1示例性地示出具有总线系统10的网络,用户(Teilnehmer)1、2、3、4经由所述网络通信。用户1、2、4可以分别例如是控制设备,或者例如也可以是传感器。用户3是控制设备,在所述实施例中本发明在所述控制设备上被实施。
用户1、2、3、4经由总线系统10交换消息,所述消息分别配备有标志(“ID”)。词语“讯息(Botschaft)”和“消息”被同义地使用。在图1中,用“TX”和所发送的讯息的所属的标志来标出讯息的发送,用“RX”和所接收的讯息的所属的标志来标出讯息的接收。在图1中,用户1发送具有标志“123”的讯息。由用户2接收所述讯息。用户3发送具有标志“789”的讯息。由用户2和3接收所述讯息。
用户3在所述实施例中接收所有在网络10中所定义的讯息。攻击者5同样地发送具有标志“123“的讯息,其中所述攻击者同样是网络10中的用户。用户2也接收所述讯息,却不将所述讯息识别为攻击,因为例如具有标志“123”的讯息的CRC代码已经被仿造。用户2因此继续在其程序代码的处理中使用受操纵的讯息内容。然而,用户3(例如通过对讯息“123”的数据内容的合理性检验)识别出:讯息“123”不是有效的并且可以引入防御措施。
图2示出所述方法的流程,所述方法在图1中所图解的实施例中在用户3上运行。例如用户3拥有机器可读的存储介质,在所述存储介质上存储计算机程序,当所述计算机程序在用户3上被实施时,所述计算机程序实施所述方法的步骤,也即计算机程序被构造用于实施所述方法。
所述方法在步骤1000中开始,在所述步骤中用户3例如在网络10中登录或者激活IDS应用。接着的是步骤1010,在所述步骤中用户3监控网络10中的通信并且接收经由网络发送的消息。这些消息例如可以以队列(Queue)的方式被缓冲。有利地为消息中的每一个单独地执行接下来的步骤。
在接下来的步骤1020中开始对所接收的消息进行处理。在该步骤中检验,所接收的消息是否是已知类型的。例如,这可以通过在数据库中查找进行,在其中以能搜索表征性特性(例如所述消息在其指定接收方中所触发的反应)的方式存放消息。如果在这种数据库中找到所接收的消息,则所述消息的类型被看作是已知的,否则被看作是未知的。如果这不是该情况(出口“否(n)”),也即,如果所接收的消息不是已知类型的,则接着是步骤1030,在所述步骤中能够可选地进行内部的或外部的警告:已经接收到未知的消息,并且分支回到步骤1010。
如果相反地消息是已知的(出口“是(j)”),则接着是步骤1040,在所述步骤中检验,所述讯息是“有效的”的还是“无效的”。如果所述讯息是“无效的”,则判定出攻击(aufAngriff erkannt)(出口“是(j)”),并且接着是步骤1050,否则(出口“否(n)”)分支回到步骤1010。
在步骤1050中,用户3将另外的数据引进到网络10中,在对其表征时所装入的监控机制在无效消息的指定接收方中起作用(anschlagen)并且在那里引入预定义的替代措施。对此,用户3将防御消息发送给被标识为攻击的无效消息的指定接收方。所述防御消息可以例如具有与所述无效消息相同的标志。只要具有可替代的标志的讯息在指定接收方中触发替代反应,则所述防御消息也可以具有所述可替代的标志,其中所述替代反应覆盖受攻击的系统,也即,所述替代反应抵消无效消息的作用或者减少后果的危急程度。
可选地,在步骤1050中识别为“无效的”讯息被记录并且被保存在机动车中和/或机动车之外的存储器中。可替代地或附加地,所述讯息已经被识别为“无效的”事实被报告给机动车的驾驶员或例如制造者。这可以例如经由在仪表板中的报告(Meldung)和/或经由信息娱乐系统和/或经由向机动车之外所连接的服务通知而进行。
例如,用户3在制动期望力矩(Bremsenwunschmoment)的上述所探测的异常跃变中将具有错误的CRC代码(攻击者在其攻击中已经正确地仿造了所述CRC代码)的相同标志“123”上的消息注入网络10中。CRC检验现在在指定接收方(这里:用户2)中失败并且对应的替代反应被发起。
可替代地或附加地,可以设置以下方法。首先,可选地基于所接收的消息(例如基于在所述消息中所含有的标志)检验,谁是指定接收方或者哪个用户1、2、4由被识别为“无效的”消息所涉及。因此可能的是,有针对性地对于所涉及的用户1、2、4触发防御机制。
所述方法的该过程以此结束并且分支回到步骤1010。
可以规定,用户3注入“被破坏的(korrumpiert)”数据,一直到替代反应已安全地被触发或一直到用户3不再探测到操纵。
图3示出根据本发明另一方面的方法的流程,所述方法如在图2中图解的方法那样,在图1中图解的实施例中在用户3中被实施。
所述方法在步骤2000中开始,在所述步骤中例如用户3在网络10中登录或者激活IDS应用。接着是步骤2010,在所述步骤中,用户3监控网络10中的通信并且接收经由网络所发送的消息。所述消息可以例如以队列的方式被缓冲。有利地为消息中的每一个单独地执行接下来的步骤。
所接收的消息的处理在接下来的步骤2020中开始。在所述(可选的)步骤2020中首先检验,所接收的消息是是否相关的。对此,例如可以检验,所接收的消息是否是以下消息,所述消息适用于在指定接收方中的一个或多个中激活诊断功能(在所述情况下所接收的消息被称为“诊断讯息”)。如果这不是该情况(出口“否(n)”),接着的是步骤2030。
在(可选的)步骤2030中,所接收的消息(例如包括元信息)在中间存储器中被缓冲,并且因此可选地可以在步骤2020中使用对无规律的干预的检验,以便也识别消息的序列,所述消息并非单独地而是作为序列是无效的。其他的预定义的参数同样地可以在所述缓冲存储器中被存储用于识别,其中所述其他的预定义的参数在网络10中被标识为相关地定义的消息。缓冲器可以例如通过实施为FIFO存储器或对时间戳进行监控而再次被清空。随后,分支回到步骤2010。
如果相反地在步骤2020中识别出,所接收的消息是无效的(出口“是(j)”),则接着是步骤2040。这可以例如如在步骤1020中那样进行,或者可替代地或附加地通过以下方式进行,即已识别出“非默认的(non default)”诊断会话得以激活,并且附加地在所接收的消息中作为被归入为关键的(kritisch)诊断功能被激活。这可以可选地继续被限制在机动车的特定的运行范围上,例如作为另外的条件检验,所述机动车是否附加地行驶。如果这是该情况(出口“是(j)”),接着的是在步骤2050中激活反措施,否则(出口“否(n)”)分支回到步骤2010。
在步骤2050中,可以如在步骤1050中所描述的那样进行反措施。可替代地或附加地,可以设置以下方法。首先,可选地基于所接收的消息(例如基于在所述消息中所含有的标志)检验,谁是指定接收方或者哪些用户1、2、4由无规律的诊断干预涉及。因此可能的是,有针对性地为所涉及的用户1、2、4触发防御机制。
为了防御无规律的诊断干预,用户3于是可以借助另外的诊断功能促使指定接收方终止无规律地激活的诊断功能。这可以如所描述的那样经由一般性方法、经由离开激活的非默认的诊断会话或者也离开用于终止无规律地激活的诊断功能的有针对性的方法借助另外的诊断服务的子功能进行。用户3将对应的询问发送给指定接收方。在此,可以在网络10中使用相同的寻址(Adressierung),利用所述寻址进行了无规律的干预,或者可替代地也可以经由其他预定义的寻址,经由所述其他预定义的寻址可以使所述指定接收方对于诊断询问动作(angesprochen)。
接着的是可选的步骤2060,在所述步骤中记录所识别的无规律的诊断干预并且保存在机动车中和/或在机动车之外的存储器中。
接着的是同样可选的步骤2070,在所述步骤中所探测的无规律的诊断干预被报告给机动车的驾驶员或者例如制造者。这可以例如经由在仪表板中的报告和/或经由信息娱乐系统和/或经由向在机动车之外的所连接的服务通知进行。
所述方法的过程以此结束并且分支回到步骤2010。
Claims (15)
1.用于运行总线系统(10)的方法,其中接收所述总线系统(10)的消息并且确定所述消息的有效性,其特征在于,如果确定出所述消息是“无效的”,那么将防御消息发送给所述消息的指定接收方(2),其中所述防御消息被构造,使得所述指定接收方(2)通过所述防御消息被指示:针对所述消息引入防御措施。
2.按照权利要求1所述的方法,其中,所述防御消息被构造,用于促使所述指定接收方(2)对激活的“非默认的”诊断会话去活。
3.按照权利要求2所述的方法,其中所述防御消息被构造,用于促使所述指定接收方(2)启动另一“非默认的”诊断会话。
4.按照权利要求2所述的方法,其中所述防御消息被构造,用于促使所述指定接收方(2)引起从分配给所述“非默认的”诊断会话的诊断协议向其他诊断协议的协议变换。
5.按照权利要求1所述的方法,其中所述防御消息被构造为CCP和/或XCP标准的DISCONNECT指令。
6.按照权利要求1所述的方法,其中所述防御消息被构造,用于促使所述指定接收方(2)对所述消息去活。
7.按照权利要求6所述的方法,其中所述防御消息被构造,用于由所述指定接收方(2)标识为无效的消息。
8.按照权利要求7所述的方法,其中所述防御消息具有以下特征中的一个或多个:
- 错误的DLC;
- 错误的CRC;
- 错误的讯息计数器;
- 与所述所接收的消息相同的标志;
- 比所述所接收的消息的优先级更高的优先级;
- 信号值;
- 信号的替代值;
- 错误的信号限定符。
9.按照上述权利要求之一所述的方法,其中发送另一防御消息。
10.按照权利要求9所述的方法,其中发送另外的防御消息,一直到所述指定接收方(2)已经引入防御措施。
11.按照上述权利要求之一所述的方法,其中如果所述所接收的消息已经被归入为“有效的”,则所述所接收的消息被存储。
12.按照权利要求11所述的方法,其中根据所接收的、所存储的消息决定,所述消息是否被归入为“有效的”。
13.计算机程序,所述计算机程序被设立用于实施按照权利要求1至12之一所述的方法。
14.机器可读的存储介质,按照权利要求13所述的计算机程序被存储在所述机器可读的存储介质上。
15.控制和/或调节装置(3),所述控制和/或调节装置被设立用于实施按照权利要求1至12之一所述的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016212816.7 | 2016-07-13 | ||
DE102016212816.7A DE102016212816A1 (de) | 2016-07-13 | 2016-07-13 | Verfahren und Vorrichtung zum Betreiben eines Bussystems |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107623608A true CN107623608A (zh) | 2018-01-23 |
Family
ID=60782867
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710564863.5A Pending CN107623608A (zh) | 2016-07-13 | 2017-07-12 | 用于运行总线系统的方法和设备 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10554444B2 (zh) |
CN (1) | CN107623608A (zh) |
DE (1) | DE102016212816A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111083027A (zh) * | 2018-10-19 | 2020-04-28 | 罗伯特·博世有限公司 | 用于监控数据通信的方法和设备 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016219475A1 (de) | 2016-10-07 | 2018-04-12 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Betreiben eines Bussystems |
CN113259055B (zh) * | 2021-05-19 | 2022-11-25 | 金华卓远实业有限公司 | 一种单线uart高效通讯方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8165160B2 (en) * | 2006-09-29 | 2012-04-24 | Intel Corporation | Method and system to validate a write for a device on a serial bus |
CN103078836A (zh) * | 2011-10-25 | 2013-05-01 | 通用汽车环球科技运作有限责任公司 | 车载网络中的计算机安全 |
US20150113638A1 (en) * | 2013-10-23 | 2015-04-23 | Christopher Valasek | Electronic system for detecting and preventing compromise of vehicle electrical and control systems |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4620302A (en) * | 1984-01-06 | 1986-10-28 | Burroughs Corporation | Programmable digital signal testing system |
US4890224A (en) * | 1986-06-27 | 1989-12-26 | Hewlett-Packard Company | Method and apparatus for fault tolerant communication within a computing system |
US5422877A (en) * | 1993-06-01 | 1995-06-06 | Otis Elevator Company | Dual bus switching |
US5894485A (en) * | 1997-03-31 | 1999-04-13 | Emc Corporation | Disk array write protection at the sub-unit level |
JP4287456B2 (ja) * | 2006-10-26 | 2009-07-01 | 株式会社東芝 | サービス不能攻撃を防止するサーバ装置、方法およびプログラム |
DE102009026995A1 (de) | 2009-06-17 | 2011-03-31 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Bussystems, insbesondere eines CAN-Busses |
US8443256B2 (en) * | 2011-01-24 | 2013-05-14 | Xilinx, Inc. | Method and apparatus for determining a cyclic redundancy check (CRC) for a data message |
US8549389B2 (en) * | 2011-05-24 | 2013-10-01 | Honeywell International Inc. | Systems and methods for 1553 bus operation self checking |
KR102281914B1 (ko) | 2012-10-17 | 2021-07-27 | 타워-섹 리미티드 | 차량에 대한 공격의 검출 및 예방을 위한 디바이스 |
US10369942B2 (en) | 2014-01-06 | 2019-08-06 | Argus Cyber Security Ltd. | Hosted watchman |
-
2016
- 2016-07-13 DE DE102016212816.7A patent/DE102016212816A1/de active Pending
-
2017
- 2017-07-07 US US15/643,791 patent/US10554444B2/en active Active
- 2017-07-12 CN CN201710564863.5A patent/CN107623608A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8165160B2 (en) * | 2006-09-29 | 2012-04-24 | Intel Corporation | Method and system to validate a write for a device on a serial bus |
CN103078836A (zh) * | 2011-10-25 | 2013-05-01 | 通用汽车环球科技运作有限责任公司 | 车载网络中的计算机安全 |
US20150113638A1 (en) * | 2013-10-23 | 2015-04-23 | Christopher Valasek | Electronic system for detecting and preventing compromise of vehicle electrical and control systems |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111083027A (zh) * | 2018-10-19 | 2020-04-28 | 罗伯特·博世有限公司 | 用于监控数据通信的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
DE102016212816A1 (de) | 2018-01-18 |
US10554444B2 (en) | 2020-02-04 |
US20180019895A1 (en) | 2018-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6280662B2 (ja) | 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム | |
CN107005572B (zh) | 用于无反作用地检测数据的方法和装置 | |
JP2017112594A5 (zh) | ||
CN107623608A (zh) | 用于运行总线系统的方法和设备 | |
US20150066239A1 (en) | Vehicle network monitoring method and apparatus | |
KR101480605B1 (ko) | 차량 네트워크 접속 장치 및 그 접속 제어 방법 | |
CN111147437B (zh) | 基于错误帧归因总线断开攻击 | |
US9894081B2 (en) | Method and device for avoiding manipulation of a data transmission | |
CN109076016A (zh) | 非法通信检测基准决定方法、非法通信检测基准决定系统以及程序 | |
CN107454107A (zh) | 一种检测注入式攻击的控制器局域网汽车总线报警网关 | |
US20200014758A1 (en) | On-board communication device, computer program, and message determination method | |
CN109005678A (zh) | 非法通信检测方法、非法通信检测系统以及程序 | |
CN111077883A (zh) | 一种基于can总线的车载网络安全防护方法及装置 | |
CN109644189A (zh) | 数据总线保护设备和方法 | |
US11394726B2 (en) | Method and apparatus for transmitting a message sequence over a data bus and method and apparatus for detecting an attack on a message sequence thus transmitted | |
KR20190065942A (ko) | 차량 탑재 중계 장치, 정보 처리 장치, 중계 장치, 정보 처리 방법, 중계 장치에 의해 실행 가능한 프로그램을 기억한 비일시적 기억 매체, 정보 처리 시스템, 차량 및 외부 장치 | |
US9392449B2 (en) | Communication system, communication unit, and communication method | |
JP2014017733A (ja) | 通信システム、通信装置及び中継装置 | |
US20220294638A1 (en) | Method for monitoring a network | |
CN109005147A (zh) | 用于避免被操纵的数据传输而保护车辆网络的方法 | |
CN103475634B (zh) | 用于安全地传输数据的方法和通信系统 | |
CN107066347A (zh) | 用于生成输出数据流的方法和设备 | |
US20180152315A1 (en) | Communication system | |
WO2018008452A1 (ja) | 不正制御抑止方法、不正制御抑止装置及び車載ネットワークシステム | |
CA2665937A1 (en) | System and method of double address detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180123 |