CN109104352B - 车辆网络操作协议和方法 - Google Patents
车辆网络操作协议和方法 Download PDFInfo
- Publication number
- CN109104352B CN109104352B CN201810607244.4A CN201810607244A CN109104352B CN 109104352 B CN109104352 B CN 109104352B CN 201810607244 A CN201810607244 A CN 201810607244A CN 109104352 B CN109104352 B CN 109104352B
- Authority
- CN
- China
- Prior art keywords
- node
- network
- bus
- nodes
- data communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
Abstract
一种通信网络包括多个节点,其中每个节点可操作地连接到总线。发送节点根据协议向接收节点发送数据通信。每个数据通信都包含待在数据帧结构内传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应方法。发送节点根据检测触发和协调响应策略与总线分离。
Description
技术领域
本专利总体上涉及一种用于车辆的通信网络,并且更具体地,本专利涉及一种提供主动网络攻击响应的车辆通信网络和方法。
背景技术
车辆通常配备有通过至少一个网络或总线结构连接的一个或多个控制器或控制设备。车辆普遍具有用于各种子系统的许多电子控制单元(ECU)。车辆内的ECU包括但不限于:动力传动系/发动机、主动约束(安全气囊)、制动、底盘、车身、信息娱乐、自主操作等。控制器区域网络(CAN)结构是一种常用于车辆中的通信网络结构,这种通信网络结构使得ECU能通信地耦合到CAN网络,由此在没有主机或主网络控制的情况下彼此之间进行通信。
实际上,任何计算设备或通信结构都可能遭受到网络攻击。一般而言,网络攻击是指针对计算设备或通信网络所采取的具备攻击性的恶意操纵行为,其目的在于获取信息或数据、对设备或网络加以控制或者破坏或降低设备或网络的功能。
车辆制造商愈加意识到需要网络安全来保护车辆计算设备和网络免受网络攻击。这些防御行为的代表性形式是通过创建抗攻击屏障来保护设备和网络免受网络入侵。然而,随着时间的推移,即使是最出色的屏障也并不能总是抵挡技术能力出色的黑客的持续性攻击。
相比起没完没了地抵御网络攻击,更好的方式是主动解决和应对网络攻击。因此,期望提供一种经由网络传送数据的通信网络和方法,其中该网络利用独立于ECU应用软件的机制来主动地作出响应,进而识别出并对抗网络攻击。还期望提供包含了这些协议和方法而不是仅仅采用当前基于ISO11898-1的通信协议解决方案的车辆,其中这种通信协议解决方案具有用于在不影响某些网络安全问题的情况下保持数据传输系统的高可用性的故障界定策略。此外,结合附图以及前述技术领域和背景技术,通过下面的详细描述和所附权利要求,本公开的其他期望的特征和特性将变得显而易见。
发明内容
在非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略与总线分离。
在另一个非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略与总线分离,并且受损状态是网络攻击的结果。
在另一个非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略,通过进入总线关闭状态来与总线分离。
在另一个非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略与总线分离,该响应策略包括发送节点增加错误计数器。
在另一个非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略,通过增加错误计数器来与总线分离。
在另一个非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略与总线分离。总线包括控制器局域网(CAN)总线,并且错误计数器是发送错误计数器(TEC)。
在另一个非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略,通过增加错误计数器来与总线分离,其中错误类型包括比特错误、形式错误和确认错误。
在另一个非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略与总线分离。
在另一个非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略与总线分离。
在另一个非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略与总线分离。多个节点中的节点是主网络安全节点,该主网络安全节点配置为实施检测触发和协调响应策略。
在另一个非限制性示例性实施例中,一种通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略与总线分离,并且接收节点在执行响应策略期间没有增加接收错误计数器。
在另一个非限制性示例性实施例中,一种车辆包括通信网络,该通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略与总线分离。
在另一个非限制性示例性实施例中,一种车辆包括通信网络,该通信网络包括多个节点,每个节点可操作地连接到总线。多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由总线传送到多个节点中的配置为接收数据通信的接收节点。每个数据通信都包含待传送的信息。接收节点配置为根据数据通信确定发送节点的受损状态并发起响应策略。发送节点配置为根据响应策略与总线分离。受损状态是网络攻击的结果。
在另一个非限制性实施例中,一种主动响应于针对耦合到通信网络的节点的网络攻击的方法包括:在通信地耦合到网络的未受损节点处接收来自节点的通信。从数据通信中检测到节点的受损状态,并引发该节点与网络通信地分离。
在另一个非限制性实施例中,一种主动响应于针对耦合到通信网络的节点的网络攻击的方法包括:在通信地耦合到网络的未受损节点处接收来自节点的通信。从数据通信中检测到节点的受损状态,并引发该节点通过进入总线关闭状态来与网络通信地分离。
在另一个非限制性实施例中,一种主动响应于针对耦合到通信网络的节点的网络攻击的方法包括:在通信地耦合到网络的未受损节点处接收来自节点的通信。从数据通信中检测到节点的受损状态,并引发该节点通过增加错误计数器来与网络通信地分离。
在另一个非限制性实施例中,一种主动响应于针对耦合到通信网络的节点的网络攻击的方法包括:在通信地耦合到网络的未受损节点处接收来自节点的通信。从数据通信中检测到节点的受损状态,并且多个未受损节点引发节点与网络通信地分离。
在另一个非限制性实施例中,一种主动响应于针对耦合到通信网络的节点的网络攻击的方法包括:在通信地耦合到网络的未受损节点处接收来自节点的通信。从数据通信中检测到节点的受损状态,并且多个未受损节点引发节点根据响应策略与网络通信地分离。
在另一个非限制性实施例中,一种主动响应于针对耦合到通信网络的节点的网络攻击的方法包括:在通信地耦合到网络的未受损节点处接收来自节点的通信。从数据通信中检测到节点的受损状态,并且引发节点通过增加错误计数器来与网络通信地分离,同时未受损地暂停增加错误计数器。
在另一个非限制性实施例中,一种主动响应于针对耦合到通信网络的节点的网络攻击的方法包括:在通信地耦合到网络的未受损节点处接收来自节点的通信。从数据通信中检测到因为网络攻击而造成的节点的受损状态,并引发节点与网络通信地分离。
附图说明
在下文中将结合以下附图来描述示例性实施例,其中相同的附图标记表示相同的元件,并且其中:
图1是根据本文描述的实施例的包括实施网络攻击响应方法的通信网络结构的车辆的图示;
图2是根据本文描述的实施例的包括网络攻击响应方法的通信网络体系结构的框图图示;
图3是根据本文描述的示例性实施例的通信网络元件的框图;以及
图4是经由具有主动网络攻击响应的网络来传送数据的方法的流程图。
具体实施方式
以下详细描述在本质上仅仅是示例性的,并不意图限制应用和用途。此外,并不意图受到在前述技术领域、背景技术、发明内容或以下详细描述中所呈现的任何明示或暗示的理论的约束。应该理解,在整个附图部分中,相应的附图标记表示相同或相应的部分及特征。如本文所用,术语“系统”或“模块”可以单独地或以任何组合的方式指代机械和电子硬件、软件、固件、电子控制组件、处理逻辑和/或处理器设备的任何组合或集合,其中包括但不限于:专用集成电路(ASIC)、电子电路、执行一个或多个软件或固件程序的处理器(共享、专用、或群组)、用于包含软件或固件指令的存储器、组合逻辑电路和/或其他提供所描述功能的合适组件。
在此可以根据功能和/或逻辑块组件以及各种处理步骤来描述示例性实施例。应认识到的是,这样的块组件可以通过任何数量、组合或集合的配置为执行指定功能的机械和电子硬件、软件和/或固件组件来实现。例如,本发明的实施例可以采用机械组件和电子组件、集成电路组件、存储器组件、数字信号处理组件、逻辑组件、查找表等的各种组合,它们可以在一个或多个微处理器或其他控制设备的控制下实施各种功能。另外,本领域的技术人员将认识到的是,可以结合任何数量的机械和/或电子系统来实践示例性实施例,并且本文描述的车辆系统仅是可行实施方式的示例性实施例。
为了简洁起见,在本文中可以不详细描述常规组件和技术以及系统的其他功能方面(以及系统的各个操作组件)。此外,在本文所包含的各个附图中示出的连接线旨在表示各个元件之间的示例性功能关系和/或物理耦合。应注意,在本发明的实施例中可以存在许多替代的或附加的功能性关系或物理性连接。
参考图1,车辆10包括网络结构12,多个节点可操作地以通信方式耦合到网络结构12,例如电子控制单元(ECU)(在本文中统称为ECU14且单独地称为ECU14-1、14-2至14-n)。在没有对本文描述的示例性实施例的一般性加以限制的情况下,ECU14可以是通常部署在车辆内的无数ECU中的一个,这些ECU包括动力传动系/发动机、主动约束、制动、底盘、车身、信息娱乐、自主操作等,每个ECU14可以包括一个或多个处理器以及存储器,该存储器包含配置为影响处理器的操作以提供所需功能的固件或软件。此外,节点不一定是ECU,但它可以是能够经由网络12发送和/或接收数据的任何电子设备或控制装置。在此示例性描述中,网络结构12可以配置为根据CAN网络协议(例如,ISO11898)进行操作的控制器区域网络(CAN)。
在根据常见通信协议(诸如CAN协议)进行配置的情况下,网络12包含了通信结构,以便利用预定义帧格式、规则和标准来交换数字信息,进而使通信在ECU14之间有效。CAN帧结构是构建用于发送的完整数据帧所需的比特组织。CAN帧结构包括帧开始(SOF)、仲裁字段(标识符所在处)、控制字段、数据、循环冗余校验(CRC)、确认(Ack)、帧结束(EOF)以及ITM。数据链路层(DLL)提供将帧传输到物理层的服务。它还管理总线系统的协议(比特定时、仲裁、错误检测等)。DLL从物理层接收一串比特,执行错误检查,去掉协议信息并将数据和标识符传递给网络层。相反地,DLL以帧为基础从网络层接受数据及关联的标识符信息,添加CAN协议信息并且逐比特地将其传递到物理层。
因此,在示例性实施例中,ECU14可以相应地实现CAN数据链路层16(图2)。通信结构可以包括CAN数据帧格式,该CAN数据帧格式根据ISO11898-1可以包括传统CAN2.0A、CAN2.0B扩展帧和CAN灵活数据速率帧格式。进一步根据CAN协议,ECU14实施可被认为是故障界定/错误管理策略的内容,即使在节点缺陷的情况下,这种策略也适用于保持数据传输的高可用性。基于OSI(开放系统互连)模型,故障界定/错误管理通常也是通信协议的数据链路层的一部分。
参考图2并如上所述,ECU14实施以图表方式描绘的分层体系结构18。应用层20位于各种附加层之上,诸如表示层、会话层、传输层和网络层(未示出)。该体系结构的低层包括数据链路层16和物理层22。物理层22提供ECU14到网络12的通信互连。
应用层20包含实施ECU14的特征和功能的所有专用软件。同样也是应用层可能遭受到网络攻击24。例如,网络攻击24通过分层体系结构18传递并在数据帧内传送,该数据帧由ECU14-1经由网络12传送到ECU14-2。
根据本文描述的示例性实施例,ECU14配置为包括作为数据链路层16的一部分的嵌入式方法26,从而主动地对网络攻击24作出响应。嵌入式协议26可以作为数据链路层16内的CAN协议定义的故障界定/错误管理策略的修改而包含进来。有利地,攻击响应方法26独立于应用软件和应用层20提供。就这一点而言,方法26可以独立于ECU14内的控制器配置或者ECU14是否包含用于网络功能的单独处理器来实施。在示例性实施例中,方法26可以实施入侵检测系统。附加触发器可以包括检测消息认证失败,持续监测接收帧的周期性并且检测异常情况。异常情况的一个示例是周期性出现明显变化,例如,CAN帧周期性从100毫秒(ms)变为10毫秒。
继续参考图2,ECU14-2可操作以检测到网络攻击24已经发生并且ECU14-1因为攻击而受损。ECU14-2依据方法26进行操作,以引发ECU14-1从网络12中将自身移除。通过感知其操作方式方面的错误(例如,由CAN故障界定/错误管理策略定义的错误,或者由可以定义为网络协议的一部分的其他合适CAN故障界定/错误管理策略定义的错误),可以引发ECU14-1将自身从网络12中移出,这样一来,它便将自身从网络12中移除。
参考图3的框图,每个ECU14维护可以维护在数据链路层16内(如所示出的)或者ECU14内的其他地方的发送错误计数器(TEC)30和接收错误计数器(REC)32。每次ECU14检测到发送错误时,TEC30增加一个值,例如8,而每次成功发送时,减少一个值,例如1。类似地,每次ECU检测到接收错误时,REC32增加一个值,例如8,而每次成功接收时,减少一个值,例如1。如果TEC30超过一个值(例如255),则关联的ECU14进入总线关闭状态。在总线关闭状态下,ECU14既不发送帧也不接收帧。与大多数通信网络协议一样,CAN协议定义了许多错误类型,并且还定义了错误是被检测为导致TEC30增加的发送错误,还是导致REC32增加的接收错误。典型的错误类型包括比特、格式、循环冗余校验(CRC)、填充和确认(Ack)错误。
参考图2和图4,在主动响应于针对耦合到通信网络的节点的网络攻击的方法100中,ECU14-2接收所发送的数据帧102。如果没有指示出发送ECU14-1受到网络攻击104的损害,则ECU14-2正常地处理接收到的数据帧106。然而,如果从接收到的数据帧(例如,消息认证的失败或者触发嵌入式入侵检测系统的功能的失败,比如CAN帧周期性的异常改变)中接收ECU14-2确定了发送ECU14-1因为网络攻击(104)而受损,则接收ECU14-2进入网络主动响应状态108。在另一个实施例中,ECU14.2不是主网络安全ECU。如果ECU14.2从外部网络安全主ECU接收到触发(关于104),那么,即使ECU14.2没有检测到任何消息认证问题或异常,它也会使ECU14.2进入网络主动响应状态108。
在网络主动响应状态108下,ECU14-2可以向所有未受影响的ECU14发信号以进入网络主动响应状态108,并识别出受损ECU,例如ECU14-1。在网络主动响应状态108下,未受影响的ECU14引发受损ECU14-1与网络110分离。例如,未受影响的ECU14可以停止确认从受损ECU14-1接收到的数据帧。这样做所产生的效果是使得受损ECU14-1对发送Ack错误进行记录,并导致其TEC30的快速增加。一旦受损ECU14-1的TEC30超过了阈值,它便进入总线关闭状态。在总线关闭状态下,受损ECU14-1既不接收也不发送数据,并且有效地与网络12隔离。如将会理解的,并且在示例性实施方式中,一旦缺陷ECU14-1的TEC30超过了阈值,方法100便迅速地引发缺陷ECU14-1进入总线关闭状态。由于所有非缺陷ECU14停止了基于例如CAN数据帧标识符(诸如基于SAE J1939的商用车辆应用的CAN 2.0B 29比特标识符)内的“源地址”字段对缺陷ECU14-1CAN帧的确认,因而,快速响应得以产生。
作为对来自受损ECU14-1的数据不进行确认的替代或补充,未受影响的ECU14可以改变或重写发送的数据帧内的比特,这样将会引发受损ECU14-1对比特错误进行记录。然而,在这种场景下,未受影响的接收ECU14识别出在发送帧中重写比特是依据方法26,并且在检测到不符合的网络协议活动时暂停增加其单独的接收错误计数器(REC32)。
在根据本文描述的示例性实施例的替代布置中,ECU14中的一个可以是主网络安全ECU14。主网络安全ECU14设置有针对所有与数据帧相关联的发送和接收ECU14的车辆数据字典。然后,主网络安全ECU14配置为利用显性比特来重写来自于受损ECU14(例如,图2的ECU14-1)的所有数据帧。这最终会使受损ECU14-1记录比特错误,但是,借助于对重写技术进行微调的精巧性,避免了其他无缺陷ECU14检测到填充错误,比如在如下的情况下:总线上的传统ECU没有实现本文描述的能力,然后在宣告网络主动响应状态108时,这些传统ECU没有增加它们的REC计数器。主网络安全ECU14还可以通过明确地改变具有非法值的固定形式比特来重写数据帧(即,根据通信协议,写入其中预期了隐性的显性比特),由此使得受损ECU14-1产生形式错误。为了避免在未受影响的ECU14内产生错误,在网络主动响应状态下(例如,“网络安全模式”),可以使未受影响的ECU14忽略掉各种数据帧错误(诸如比特错误和填充错误),直到受损ECU14-1进入总线关闭状态并且网络主动响应状态终止为止。一旦断开了缺陷ECU14,系统必须注意的是,该缺陷ECU14可以重新加入网络,例如,通过在重置硬件并检测到11个连续比特的128次出现之后返回到错误活跃状态,通过成功接收或空闲总线。因此,攻击的特征可以通过已知技术传送到外部后台、中央站或者可以实施最终补救的其他位置。
尽管在前面的详细描述中已经呈现了至少一个示例性实施例,但应该理解的是,仍存在有大量的变型。还应当认识到,一个或多个示例性实施例仅作为示例,并不旨在以任何方式限制本公开的范围、适用性或配置。相反,前面的详细描述将为本领域技术人员提供用于实现一个或多个示例性实施例的便利指引。应理解,在不脱离如所附权利要求及其合法等同物所阐述的本公开的范围的情况下,可以对元件的功能和布置作出各种改变。
Claims (10)
1.一种通信网络,包括:
多个节点,所述节点中的每个可操作地连接到总线,所述多个节点中的发送节点配置为根据预定协议将具有预定帧结构的数据通信经由所述总线传送到所述多个节点中的配置为接收所述数据通信的接收节点,
其中每个数据通信都包含待传送的信息,并且
所述接收节点配置为根据所述数据通信确定所述发送节点的受损状态并发起响应策略,并且所述发送节点配置为根据所述响应策略与所述总线分离;其中
根据所述响应策略,通过感知所述发送节点的操作方式方面的错误,引发所述发送节点将其自身从网络中移除。
2.根据权利要求1所述的通信网络,其中所述受损状态是网络攻击的结果。
3.根据权利要求1所述的通信网络,其中所述发送节点根据所述响应策略进入总线关闭状态。
4.根据权利要求1所述的通信网络,其中根据所述响应策略,所述发送节点配置为增加错误计数器,使得所述发送节点根据所述策略与所述总线可操作地断开。
5.根据权利要求4所述的通信网络,其中引发至少一个其他节点增加错误计数器,所述错误计数器超过协议阈值。
6.根据权利要求1所述的通信网络,其中引发错误包括比特错误、形式错误和确认(ACK)错误中的至少一个。
7.根据权利要求1所述的通信网络,所述节点中的每个配置为确定所述发送节点的所述受损状态并调用所述响应策略。
8.根据权利要求1所述的通信网络,其中所述多个节点中的节点是主网络安全节点,所述主网络安全节点配置为实施所述响应策略。
9.根据权利要求1所述的通信网络,其中所述接收节点在执行所述响应策略期间没有增加接收错误计数器。
10.一种包括根据前述权利要求中任一项所述的通信网络的车辆。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/629451 | 2017-06-21 | ||
| US15/629,451 US10462161B2 (en) | 2017-06-21 | 2017-06-21 | Vehicle network operating protocol and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109104352A CN109104352A (zh) | 2018-12-28 |
| CN109104352B true CN109104352B (zh) | 2021-07-16 |
Family
ID=64568053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810607244.4A Active CN109104352B (zh) | 2017-06-21 | 2018-06-13 | 车辆网络操作协议和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10462161B2 (zh) |
| CN (1) | CN109104352B (zh) |
| DE (1) | DE102018114739A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11030310B2 (en) * | 2017-08-17 | 2021-06-08 | Red Bend Ltd. | Systems and methods for disabling a malicious ECU in a controller area network (CAN) bus |
| US10009325B1 (en) * | 2017-12-07 | 2018-06-26 | Karamba Security | End-to-end communication security |
| JP6555559B1 (ja) * | 2018-06-15 | 2019-08-07 | パナソニックIpマネジメント株式会社 | 電子制御装置、監視方法、プログラム及びゲートウェイ装置 |
| US11354406B2 (en) * | 2018-06-28 | 2022-06-07 | Intel Corporation | Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles |
| JP7030742B2 (ja) * | 2019-05-27 | 2022-03-07 | 本田技研工業株式会社 | 通信システム、および通信制御方法 |
| JP7281714B2 (ja) * | 2019-08-23 | 2023-05-26 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理システム及びプログラム |
| JP7409247B2 (ja) * | 2020-07-14 | 2024-01-09 | 株式会社デンソー | 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6996750B2 (en) * | 2001-05-31 | 2006-02-07 | Stratus Technologies Bermuda Ltd. | Methods and apparatus for computer bus error termination |
| US8914674B2 (en) * | 2010-11-05 | 2014-12-16 | Interdigital Patent Holdings, Inc. | Device validation, distress indication, and remediation |
| JP5423754B2 (ja) * | 2011-09-28 | 2014-02-19 | 株式会社デンソー | バス監視セキュリティ装置及びバス監視セキュリティシステム |
| EP3651437B1 (en) * | 2012-03-29 | 2021-02-24 | Arilou Information Security Technologies Ltd. | Protecting a vehicle electronic system |
| JP5933356B2 (ja) * | 2012-06-12 | 2016-06-08 | ルネサスエレクトロニクス株式会社 | コンピュータシステム |
| WO2014039031A1 (en) * | 2012-09-05 | 2014-03-13 | GM Global Technology Operations LLC | Method and apparatus for isolating a fault in a controller area network |
| DE112012006879B4 (de) * | 2012-09-05 | 2022-01-20 | GM Global Technology Operations LLC | Neuer Ansatz zum Handhaben eines Controller-Area-Network Bus-Off |
| FR2995263B1 (fr) * | 2012-09-10 | 2015-08-21 | Batscap Sa | Procede et dispositif de gestion d'ensembles de stockage d'energie electrique pour l'alimentation electrique d'un vehicule a moteur electrique |
| US9231936B1 (en) * | 2014-02-12 | 2016-01-05 | Symantec Corporation | Control area network authentication |
| JP6455302B2 (ja) * | 2015-04-30 | 2019-01-23 | 富士通株式会社 | バス通信システム |
| US10298612B2 (en) * | 2015-06-29 | 2019-05-21 | Argus Cyber Security Ltd. | System and method for time based anomaly detection in an in-vehicle communication network |
| US10798114B2 (en) * | 2015-06-29 | 2020-10-06 | Argus Cyber Security Ltd. | System and method for consistency based anomaly detection in an in-vehicle communication network |
| US20160378707A1 (en) * | 2015-06-29 | 2016-12-29 | Shivinder Singh Sikand | Vehicular intra network apparatus and client-host method of operation |
| EP3326312A4 (en) * | 2015-07-22 | 2019-01-09 | Arilou Information Security Technologies Ltd. | DATA SECURITY FOR VEHICLE COMMUNICATION BUS |
| EP3440818B1 (en) * | 2016-04-06 | 2022-06-22 | Karamba Security | Reporting and processing controller security information |
| EP3440817B1 (en) * | 2016-04-06 | 2022-06-22 | Karamba Security | Automated security policy generation for controllers |
| EP3535625B1 (en) * | 2016-12-07 | 2021-02-24 | Arilou Information Security Technologies Ltd. | System and method for using signal waveform analysis for detecting a change in a wired network |
| US10878103B2 (en) * | 2017-06-05 | 2020-12-29 | Karamba Security Ltd. | In-memory protection for controller security |
| US10841322B2 (en) * | 2018-01-18 | 2020-11-17 | General Electric Company | Decision system and method for separating faults from attacks |
| US10728282B2 (en) * | 2018-01-19 | 2020-07-28 | General Electric Company | Dynamic concurrent learning method to neutralize cyber attacks and faults for industrial asset monitoring nodes |
| US10868817B2 (en) * | 2018-07-03 | 2020-12-15 | Intel Corporation | Systems and methods for neutralizing masquerading attacks in vehicle control systems |
-
2017
- 2017-06-21 US US15/629,451 patent/US10462161B2/en active Active
-
2018
- 2018-06-13 CN CN201810607244.4A patent/CN109104352B/zh active Active
- 2018-06-19 DE DE102018114739.2A patent/DE102018114739A1/de active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| DE102018114739A1 (de) | 2018-12-27 |
| CN109104352A (zh) | 2018-12-28 |
| US20180375879A1 (en) | 2018-12-27 |
| US10462161B2 (en) | 2019-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109104352B (zh) | 车辆网络操作协议和方法 | |
| US10693905B2 (en) | Invalidity detection electronic control unit, in-vehicle network system, and communication method | |
| US11356475B2 (en) | Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system | |
| JP6762347B2 (ja) | 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法 | |
| JPWO2019117184A1 (ja) | 車載ネットワーク異常検知システム及び車載ネットワーク異常検知方法 | |
| CN112347021B (zh) | 用于串行通信装置的安全模块 | |
| CN111147437B (zh) | 基于错误帧归因总线断开攻击 | |
| JP7182559B2 (ja) | ログ出力方法、ログ出力装置及びプログラム | |
| US10666393B2 (en) | Ethernet communication apparatus, and method for recovering error of end node and switch in vehicle | |
| US11677779B2 (en) | Security module for a can node | |
| CN109245975B (zh) | 实施xcp协议策略的车辆网络及方法 | |
| US20200412756A1 (en) | Communication control device, anomaly detection electronic control unit, mobility network system, communication control method, anomaly detection method, and recording medium | |
| CN111108725A (zh) | 用于监视通信总线上的通信的方法和用于连接到通信总线的电子设备 | |
| CN112347022A (zh) | 用于can节点的安全模块 | |
| US11218501B2 (en) | Detector, detection method, and detection program | |
| US20190109867A1 (en) | Method And Apparatus For Transmitting A Message Sequence Over A Data Bus And Method And Apparatus For Detecting An Attack On A Message Sequence Thus Transmitted | |
| CN112583786B (zh) | 用于警报的方法、发送器设备和接收器设备 | |
| JP6920667B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及びプログラム | |
| CN111385286B (zh) | 用于保护车辆免受网络攻击的方法和相应的设备 | |
| KR102272081B1 (ko) | 자동차 네트워크의 데이터 통신방법 | |
| KR20240043982A (ko) | 차량 네트워크의 Bus-off 공격 기반 가장 공격 탐지 방법 및 이를 탐지하는 장치 | |
| WO2017056395A1 (ja) | 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法 | |
| CN117749555A (zh) | 控制器区域网络系统和用于系统的方法 | |
| CN115016426A (zh) | fail-safe失效安全系统,方法,储存器及汽车 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |