CN108141399A - 用于通过借助于can控制器连接到总线上的节点来防止在can总线处的操纵的方法和装置 - Google Patents
用于通过借助于can控制器连接到总线上的节点来防止在can总线处的操纵的方法和装置 Download PDFInfo
- Publication number
- CN108141399A CN108141399A CN201680060081.1A CN201680060081A CN108141399A CN 108141399 A CN108141399 A CN 108141399A CN 201680060081 A CN201680060081 A CN 201680060081A CN 108141399 A CN108141399 A CN 108141399A
- Authority
- CN
- China
- Prior art keywords
- bus
- notice
- node
- sending module
- following feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40026—Details regarding a bus guardian
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40104—Security; Encryption; Content protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
用于通过借助于CAN控制器连接到总线(12)上的第一节点(A)防止在CAN总线(12)处的操纵的方法(1),其特征在于如下特征:所述第一节点(A)的受保护的发送模块监控所述总线(12);所述发送模块在所述第一节点(A)的正常运行中识别所述CAN控制器的发送过程;所述发送模块识别不同于正常运行地不容许地在所述总线(12)上发送的通知(10、11、20、21、30、31);并且如果所述发送模块识别出所述通知(10、11、20、21、30、31),那么所述发送模块发起针对操纵所规定的应对措施。
Description
技术领域
本发明涉及一种用于通过借助于CAN控制器连接到总线上的节点来防止在CAN总线处的操纵的方法。本发明此外涉及一种相对应的装置、一种相对应的计算机程序以及一种相对应的存储介质。
背景技术
根据现有技术,CAN通信网络由至少两个成员组成,所述至少两个成员可以通过CAN连接根据CAN规范来交换通知。每个总线成员都可以相对应地发送和接收通知。为了避免通信问题,在网络设计的时刻将明确的通知标志(object identifier(对象标志符),ID)分配给相应的总线成员。在接收方一侧,CAN硬件检查所传送的通知是否对应于CAN规范以及可以在有传输错误的情况下拒绝该通知。对有效通知的内容上的检查是应用软件的责任。
在US 8,799,520 B2中描述了一种用于运行总线系统、尤其是CAN总线的方法。多个站能连接到总线系统上。所传输的消息具有标志,其中一个特定的标志始终只允许被唯一的站使用。这些站中的每个站都将所传输的消息的标志与由该站自己使用的标志进行比较。在一致时生成错误报告。
发明内容
本发明提出了按照独立权利要求的一种用于通过借助于CAN控制器连接到总线上的第一节点防止在CAN总线处的操纵的方法、一种相对应的装置、一种相对应的计算机程序以及一种相对应的存储介质。
所描述的方法基于如下认识:每个总线成员都只使用所分配的通知标志并且借此可以明确地通过通知标志将所接收的通知分配给发送方。
在图1的示例中,成员A已经分配有具有标志10和11的通知,成员B分配有具有标志20和21的通知,而成员C分配有具有标志30和31的通知。如果成员B正确地接收到通知11,那么成员B的出发点是通知11由成员A发送。
借此,总线接收方不能确定该通知实际上是由谁发送的。攻击者可能对总线成员有损害,使得该总线成员能够发送总线处的其它成员的通知并且借此干扰一个或多个总线成员的通信或功能。在图2中,总线成员C曾受损害并且现在也发送节点A的通知11。节点B可以毫无困难地识别出通知11是由节点C而不是由节点A发送的。因为CAN总线是在所有通信成员之间共享的通信信道,所以在物理访问通信信道的前提下,通过附加的通信成员的集成而引起模拟攻击是可设想的。
所提出的方法的优点在于:通知的发送方观察在总线上的通信并且在识别出错误(例如另一总线成员刚好发送所监控的发送方的通知标志)的情况下可以在必要时借助于受保护的发送模块来使相对应的通知无效。
所描述的方法也可以被用于监控一定的CAN网络设计(比如通知频率和通知时间间隔,也包括其它总线成员的通知频率和通知时间间隔),以便在有异常的情况下在必要时以相对应的错误反应将通信网络置于安全状态下。
该做法尤其也可以与硬件安全模块(hardware security module,HSM)相关联地被用于利用标准CAN节点来监控正常的应用软件(ASW)的节点自身的发送通知。
该方法的优点还在于:可以以要(例如通过HSM)监控的CAN通知标志来对发送模块初始化。该发送模块可以在识别出“不容许的”通知时选择性地触发预先定义的错误反应。由于附加的发送模块,不需要改变符合标准的CAN模块,比如由罗伯特博世有限公司(Robert Bosch GmbH)在商品名称“M_CAN”下销售的那样。
通过在从属权利要求中详述的措施,对在独立权利要求中说明的基本思想的有利的扩展方案和改进方案都是可能的。因此可以规定:在发送不容许的通知期间在总线上生成错误帧。这不符合CAN协议规范,但是与CAN协议兼容;对应于对所识别出的传输错误的反应。其它通知用户例如可以以对缺失的通知的相对应的替代反应来做出反应。
附图说明
本发明的实施例在附图中示出并且在随后的描述中进一步予以阐述。其中:
图1示出了正常发送过程的方框图。
图2示出了不容许的发送过程的方框图。
图3示出了按照本发明实施例的用于防止操纵的方法。
具体实施方式
该方法规定:总线成员配备有相对应地受保护的硬件模块(HW模块),所述硬件模块能够观察总线通信。该发送模块可以通过HSM或另一控制单元连接和管理。在正常运行中,该模块以应该由该总线节点来发送的通知标志来初始化。在一个替换方案中,可以将CAN-HW模块实现为使得所述CAN-HW模块从值得信任的控制单元(例如HSM)接收关于所规定的总线节点自身的通信的规则,例如消息的周期性或者特定的消息在每个时间单位的最大数目。
CAN-HW模块识别标准CAN控制器的正常的发送过程并且可以借此在必要时监控总线节点的周期性活动。自身总线节点的发送过程被识别为有效,不需要其它措施。
在总线成员(例如网关)被损害或者占据故障状态使得该节点发送与在HW模块中配置的通知不一致的不容许的通知或者不遵守针对要由总线成员发送的消息的限定的通信规则的情况下,这可以通过该节点的HW模块来识别并且引入如下措施中的至少一个:
1.发送模块在正在传输不容许的通知时生成错误帧(error frame)并且借此使所述不容许的通知无效。
2.发送模块通过其它通信信道(例如其它CAN通知)将不容许的通知报告给通知用户。
3.控制设备(SG)生成总线关闭故障状态并且将其余总线成员置于更安全的状态、例如受控制的紧急运行下。
4.发送模块例如借助于硬件干预来防止能够发送其它CAN通知,例如通过断开在CAN控制器与CAN收发器(transceiver)之间的发送线路(transmit(传输),Tx)来防止能够发送其它CAN通知。
在节点(例如受损害的节点C或者也包括附加地集成到网络中的节点)发送通知(在当前情况下是由仲裁域13、数据14和帧结尾(end of frame,EOF)15组成的通知11)(所述通知实际上仅仅被分配给另一节点(例如节点A))的情况下,这些通知可以通过原始发送方(节点A)来识别并且可以触发相对应的替代反应或错误反应(参见图3):
1.发送模块在正在传输不容许的通知时生成错误帧(error frame)并且借此使所述不容许的通知无效。
2.发送模块通过其它通信信道(例如其它CAN通知)将不容许的通知报告给通知用户。
3.控制设备(SG)生成总线关闭故障状态并且将其余总线成员置于更安全的状态、例如受控制的紧急运行下。
如果节点A的发送模块被构造为监控其它通信成员的通信规则(例如消息的周期性或者特定消息在每个时间单位的最大数目),那么节点A的发送模块可以确定另一通信节点(例如节点B)违反这些规则并且触发相对应的替代反应或错误反应:
1.发送模块在正在传输不容许的通知时生成错误帧(error frame)并且借此使所述不容许的通知无效。
2.发送模块通过其它通信信道(例如其它CAN通知)将不容许的通知报告给通知用户。
3.控制设备(SG)生成总线关闭故障状态并且将其余总线成员置于更安全的状态、例如受控制的紧急运行下。
如果多个(例如M_CAN类型的)CAN模块、但是只有一个发送模块集成在控制器上,那么发送模块可以通过硬件多路复用器被周期性地转接到各一个CAN模块上并且可以对所属的CAN总线进行扫描。
Claims (10)
1.用于通过借助于CAN控制器连接到总线(12)上的第一节点(A)来防止在CAN总线(12)处的操纵的方法(1),
其特征在于如下特征:
- 所述第一节点(A)的受保护的发送模块监控所述总线(12);
- 所述发送模块在所述第一节点(A)的正常运行中识别所述CAN控制器的发送过程;
- 所述发送模块识别不同于正常运行地不容许地在所述总线(12)上发送的通知(10、11、20、21、30、31);并且
- 如果所述发送模块识别出所述通知(10、11、20、21、30、31),那么所述发送模块发起针对操纵所规定的应对措施。
2.根据权利要求1所述的方法(1),
其特征在于如下特征:
- 所述应对措施包括:在发送所述通知(10、11、20、21、30、31)期间在所述总线(12)上生成错误帧。
3.根据权利要求1或2所述的方法(1),
其特征在于如下特征:
- 所述应对措施包括:通过其它通信信道来报告所述通知(10、11、20、21、30、31)。
4.根据权利要求1至3之一所述的方法(1),
其特征在于如下特征:
- 所述应对措施包括:将所述总线(12)置于故障状态下。
5.根据权利要求1至4之一所述的方法(1),
其特征在于如下特征:
- 在正常运行中,以所述第一节点(A)的容许的通知标志来对所述发送模块初始化;
- 所述第一节点(A)发送所述通知(10、11、20、21、30、31);
- 依据所述通知标志来识别所述通知(10、11、20、21、30、31);并且
- 所述应对措施包括:尤其是借助于所述CAN控制器中的硬件干预来阻止其它发送过程。
6.根据权利要求1至5之一所述的方法(1),
其特征在于如下特征:
- 所述CAN控制器从值得信任的控制单元、尤其是硬件安全模块接收针对发送过程的预先给定的规则;
- 连接到所述总线(12)上的第二节点(B)发送所述通知(10、11、20、21、30、31);并且
- 依据所述规则来识别所述通知(10、11、20、21、30、31)。
7.根据权利要求1至6之一所述的方法(1),
其特征在于如下特征:
- 在正常运行中,以所述第一节点(A)的容许的通知标志来对所述发送模块初始化;
- 连接到所述总线(12)上的第三节点(C)发送所述通知(10、11、20、21、30、31);并且
- 依据所述通知标志来识别所述消息(10、11、20、21、30、31)。
8.计算机程序,所述计算机程序被设置为实施根据权利要求1至7之一所述的方法(1)。
9.机器可读的存储介质,在其上存储有按照权利要求8所述的计算机程序。
10.装置,所述装置被设置为实施根据权利要求1至7之一所述的方法(1)。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015219996.7A DE102015219996A1 (de) | 2015-10-15 | 2015-10-15 | Verfahren und Vorrichtung zum Abwehren einer Manipulation an einem CAN-Bus durch einen mittels eines CAN-Controllers an den Bus angebundenen Knoten |
DE102015219996.7 | 2015-10-15 | ||
PCT/EP2016/074214 WO2017064001A1 (de) | 2015-10-15 | 2016-10-10 | Verfahren und vorrichtung zum abwehren einer manipulation an einem can-bus durch einen mittels eines can-controllers an den bus angebundenen knoten |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108141399A true CN108141399A (zh) | 2018-06-08 |
CN108141399B CN108141399B (zh) | 2021-07-23 |
Family
ID=57121267
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680060081.1A Active CN108141399B (zh) | 2015-10-15 | 2016-10-10 | 用于防止在can总线处的操纵的方法和装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US10701101B2 (zh) |
EP (1) | EP3363164B1 (zh) |
KR (1) | KR102603512B1 (zh) |
CN (1) | CN108141399B (zh) |
DE (1) | DE102015219996A1 (zh) |
WO (1) | WO2017064001A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017209556A1 (de) | 2017-06-07 | 2018-12-13 | Robert Bosch Gmbh | Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung |
DE102017209557A1 (de) | 2017-06-07 | 2018-12-13 | Robert Bosch Gmbh | Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung |
EP3582447A1 (en) | 2018-06-15 | 2019-12-18 | Technische Hochschule Ingolstadt | Obfuscation of frames in a control area network of a vehicle |
DE102019001978A1 (de) * | 2019-03-21 | 2020-10-08 | Volkswagen Aktiengesellschaft | Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus, elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus sowie Fahrzeug |
KR102423504B1 (ko) | 2020-10-21 | 2022-07-22 | 숭실대학교 산학협력단 | Can 버스에서 노드 id 자동 설정을 통한 물리 계층 보안 방법, 이를 수행하기 위한 기록 매체 및 장치 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1913459A (zh) * | 2006-08-22 | 2007-02-14 | 哈尔滨工业大学 | 一种can错误帧检测与显示的装置及方法 |
DE102012224234A1 (de) * | 2012-12-21 | 2014-06-26 | Continental Teves Ag & Co. Ohg | Verfahren zur Kontrolle von Daten-Frames mit redundantem Identifikator auf einem Datenbus sowie Datenbus-Schnittstellenmodul |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9776597B2 (en) * | 2006-05-16 | 2017-10-03 | Lear Corporation | Vehicle with electronic system intrusion detection |
US8213321B2 (en) * | 2007-02-01 | 2012-07-03 | Deere & Company | Controller area network condition monitoring and bus health on in-vehicle communications networks |
DE102007058163A1 (de) * | 2007-09-28 | 2009-04-23 | Continental Automotive Gmbh | Tachograph, Maut-On-Board-Unit, Anzeigeinstrument und System |
DE102009026995A1 (de) | 2009-06-17 | 2011-03-31 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Bussystems, insbesondere eines CAN-Busses |
US20150191151A1 (en) * | 2014-01-06 | 2015-07-09 | Argus Cyber Security Ltd. | Detective watchman |
-
2015
- 2015-10-15 DE DE102015219996.7A patent/DE102015219996A1/de not_active Withdrawn
-
2016
- 2016-10-10 WO PCT/EP2016/074214 patent/WO2017064001A1/de active Application Filing
- 2016-10-10 KR KR1020187013239A patent/KR102603512B1/ko active IP Right Grant
- 2016-10-10 US US15/767,935 patent/US10701101B2/en active Active
- 2016-10-10 EP EP16778833.0A patent/EP3363164B1/de active Active
- 2016-10-10 CN CN201680060081.1A patent/CN108141399B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1913459A (zh) * | 2006-08-22 | 2007-02-14 | 哈尔滨工业大学 | 一种can错误帧检测与显示的装置及方法 |
DE102012224234A1 (de) * | 2012-12-21 | 2014-06-26 | Continental Teves Ag & Co. Ohg | Verfahren zur Kontrolle von Daten-Frames mit redundantem Identifikator auf einem Datenbus sowie Datenbus-Schnittstellenmodul |
Non-Patent Citations (2)
Title |
---|
MICHAEL M¨UTER, NAIM ASAJ: "基于熵的车载网络异常检测", 《2011 IEEE INTELLIGENT VEHICLES SYMPOSIUM (IV)》 * |
TSUTOMU MATSUMOTO, MASATO HATA, MASATO TANABE, KATSUNARI YOSHIOK: "一种CAN网络中阻止未授权数据传输的方法", 《2012 IEEE 75TH VEHICULAR TECHNOLOGY CONFERENCE》 * |
Also Published As
Publication number | Publication date |
---|---|
KR20180069843A (ko) | 2018-06-25 |
EP3363164B1 (de) | 2019-07-10 |
US20180302431A1 (en) | 2018-10-18 |
CN108141399B (zh) | 2021-07-23 |
DE102015219996A1 (de) | 2017-04-20 |
WO2017064001A1 (de) | 2017-04-20 |
EP3363164A1 (de) | 2018-08-22 |
US10701101B2 (en) | 2020-06-30 |
KR102603512B1 (ko) | 2023-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108141399A (zh) | 用于通过借助于can控制器连接到总线上的节点来防止在can总线处的操纵的方法和装置 | |
US11251898B2 (en) | Device and method for the unidirectional transmission of data | |
KR20150100790A (ko) | 프로토콜 예외 상태를 이용하는 데이터 전송 | |
EP2641358B1 (en) | Electronic device for communication in a data network including a protective circuit for identifying unwanted data | |
KR20140118494A (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
CN102594643B (zh) | 一种控制器局域网总线通讯控制方法、装置及系统 | |
CN110808873B (zh) | 一种检测链路故障的方法及装置 | |
US11888866B2 (en) | Security module for a CAN node | |
CN110740072A (zh) | 一种故障检测方法、装置和相关设备 | |
CN109891848A (zh) | 借助检查can标识符识别can网络中的操纵 | |
CN208227042U (zh) | 一种服务器实时自动故障报警装置 | |
JP2016500503A (ja) | プロトコル例外状態を用いたデータ伝送プロトコル | |
CN116094978A (zh) | 一种信息上报方法和信息处理方法及设备 | |
Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
CA2668671A1 (en) | Serial communications protocol for safety critical systems | |
CN101958577A (zh) | 数字化变电站中的goose检修方法 | |
CN103036724B (zh) | 状态信息传输方法、网络设备及组合设备 | |
CN103501298B (zh) | 一种不中断业务升级过程中保证链路不断流的方法和设备 | |
CN101491026A (zh) | 用双端口mac中继对网络中的禁用端口进行重新启用的方法和系统 | |
CN104468497A (zh) | 监控系统的数据隔离方法及装置 | |
CN202856779U (zh) | 用于自动化网络的网络设备,安全模块和自动化网络 | |
JP3850841B2 (ja) | データパケットの安全送信の監視方法および装置 | |
CN107078856B (zh) | 无线控制系统和用于监视无线链路错误的方法 | |
CN114244786B (zh) | 安全防护方法、装置、设备和存储介质 | |
CN108462702B (zh) | 用于运行总线上的控制设备的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |