CN109644189A - 数据总线保护设备和方法 - Google Patents
数据总线保护设备和方法 Download PDFInfo
- Publication number
- CN109644189A CN109644189A CN201780051711.3A CN201780051711A CN109644189A CN 109644189 A CN109644189 A CN 109644189A CN 201780051711 A CN201780051711 A CN 201780051711A CN 109644189 A CN109644189 A CN 109644189A
- Authority
- CN
- China
- Prior art keywords
- message
- bus
- received
- transceiver
- common bus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
实现了一种用于放置在可疑设备将被连接到的输入端口与总线之间的总线控制设备。以此方式,从可疑设备(诸如信息娱乐系统)接收到的所有消息必须经过总线控制设备。分开的入侵检测设备耦合到总线。总线控制设备被布置成将通知消息输出到入侵检测设备,该通知消息包括与所接收到的消息有关的信息。入侵检测设备被布置成:响应于所接收到的通知消息来确定所接收到的消息的有效性。
Description
技术领域
本发明一般涉及安全性设备的领域,并且更具体地涉及用于为公共数据总线的设备提供保护的系统和方法。
背景
被安装在车辆中的电子设备的数目正迅速增加。过去,汽车中的电子设备是在独立环境中进行操作的处置特定功能的分立设备。在20世纪80年代,认识到将需要开发针对车辆的网络操作标准,并且诞生了控制器局域网(CAN)总线。
随着时间推移,利用CAN总线的互连设备数目已迅速增加。这些互连设备可以控制驾驶特征,诸如引擎速度、制动控制和转向控制、以及舒适特征,诸如照明、窗户和天窗控制。
进一步发展的是因特网的扩展,以及对因特网的无线接入的不断增长的需求。蜂窝电话和无线因特网接入的扩展确保将来的车辆将被连接到外部网络。最近,对车辆的接入被限制于使用专用服务电缆,并且对无线电的仅有无线接入被限制于递送新闻和音乐,如今正在提供向车辆递送娱乐和信息内容两者的集成信息娱乐系统。
将信息娱乐系统集成到CAN总线中产生特别的挑战,这在车辆情形中从未遇到过—黑客可以使用信息娱乐门户来控制集成车辆。随着自动驾驶车辆迅速涌入,这种威胁变得越来越严重。
已提供了各种解决方案,诸如总线监视器,然而,迄今为止的解决方案并不令人满意,这主要是因为CAN总线的性质不在总线消息中提供源信息。由此,一旦CAN总线上出现消息,就没有关于该消息的源的可用信息。因此不可能指令电子转向模块忽略来自信息娱乐系统的所有消息,因为电子转向模块根本无法标识该模块正在接收的消息的源。此外,CAN总线架构和软件已经建立完善,并且不能容易地改变。
发明概述
因此,本发明的主要目的是克服现有技术的总线控制方法和系统的至少一些缺点。这在一个实施例中是通过在可疑设备将被连接到的输入端口与总线之间提供总线控制设备来提供的。以此方式,从可疑设备(诸如信息娱乐系统)接收到的所有消息必须通过总线控制设备。分开的入侵检测设备耦合到总线。总线控制设备被布置成将通知消息输出到入侵检测设备,该通知消息包括与所接收到的消息有关的信息。入侵检测设备被布置成:响应于所接收到的通知消息来确定所接收到的消息的有效性。
在一个实施例中,总线控制设备被进一步布置成:改变所接收到的消息的至少一位以创建通知消息。在一个进一步实施例中,该一位是在所接收到的消息的标识字段中被改变的。在另一进一步实施例中,通知消息包含足够的信息,以使得在入侵检测设备确定所接收到的消息是有效的情况下,入侵检测设备被布置成从所接收到的通知消息重建所接收到的消息并在公共总线上输出所重建的接收到的消息。
在一个实施例中,总线控制设备被进一步布置成将所接收到的消息输出到公共总线上。在另一实施例中,总线控制设备被布置成:响应于接收到的控制信号而在检测模式和防止模式中的一者中交替地操作,其中,在检测模式中,总线控制设备被布置成将所接收到的消息输出到公共总线上,并且在防止模式中,总线控制设备被布置成不输出所接收到的消息。
在一个实施例中,总线控制设备被布置成将通知消息输出到公共总线上。在另一实施例中,该系统进一步包括在总线控制设备和入侵检测设备之间的与公共总线分开的安全数据连接,其中,总线控制设备被布置成:经由该安全数据连接将通知消息输出到入侵检测设备。
在一个进一步实施例中,在防止模式中,入侵检测设备被布置成:基于通知消息来重构所接收到的消息并将所重构的接收到的消息输出到公共总线上。在另一实施例中,总线控制设备包括:第一收发机和第二收发机;消息处置器,第一收发机和第二收发机中的每一者响应于该消息处置器,第一收发机的接收端口耦合到输入端口,第二收发机的传送端口到公共总线,第一收发机的传送端口耦合到第二收发机的接收端口,其中该消息处置器被布置成创建通知消息。
在一个进一步实施例中,总线控制设备被布置成将通知消息输出到公共总线上,并且其中,消息处置器进一步包括反馈抑制电路,该反馈抑制电路被布置成抑制对所输出的通知消息的反馈。在另一进一步实施例中,该系统进一步包括第三收发机,该第三收发机的接收端口耦合到第一收发机的传送端口,其中,第三收发机的传送端口耦合到公共总线。
在一个进一步实施例中,该系统进一步包括第三收发机,该第三收发机的接收端口耦合到第一收发机的传送端口,其中,第三收发机的传送端口经由安全数据连接被耦合到入侵检测设备。在另一进一步实施例中,消息处置器包括总线控制器。
在一个实施例中,公共总线是控制器局域网(CAN)总线。在另一实施例中,在所接收到的消息未被入侵检测设备确定为有效的情况下,入侵检测设备被布置成输出警报消息。
在一个独立实施例中,提供了一种用于为公共总线上的设备提供保护的系统,该系统包括:用于连接到不安全设备的输入端口,该输入端口被布置成从该不安全设备接收消息;被布置在输入端口与公共总线之间的总线控制设备,该总线控制设备被布置成:在安全信道上将所接收到的消息的副本输出至被耦合到公共总线的入侵检测设备,该入侵检测设备被布置成:接收消息副本并响应于所接收到的消息副本来确定所接收到的消息的有效性。
在一个实施例中,总线控制设备被布置成:响应于接收到的控制信号而在检测模式和防止模式中的一者中交替地操作,其中,在检测模式中,总线控制设备被布置成将所接收到的消息输出到公共总线上,并且在防止模式中,总线控制设备被布置成不将所接收到的消息输出到公共总线上。在一个进一步实施例中,在防止模式中,入侵检测设备被布置成将所接收到的消息输出到公共总线上。
在另一实施例中,总线控制设备包括:第一收发机、第二收发机和第三收发机;消息处置器,第一收发机、第二收发机和第三收发机中的每一者响应于该消息处置器,第一收发机的接收端口耦合到输入端口,第二收发机的传送端口耦合到公共总线,第一收发机的传送端口耦合到第二收发机的接收端口并耦合到第三收发机的接收端口,其中,消息处置器被布置成:响应于所接收到的消息而在第三收发机的传送端口上输出消息副本。在一个进一步实施例中,消息处置器包括总线控制器。
在一个实施例中,公共总线是控制器局域网(CAN)总线。在另一实施例中,在所接收到的消息未被入侵检测设备确定为有效的情况下,入侵检测设备被布置成输出警报消息。
在另一独立实施例中,提供了一种用于公共总线的入侵保护的方法,该方法包括:从不安全设备接收消息;响应于所接收到的消息而产生通知消息,该通知消息包括与所接收到的消息有关并且不同于所接收到的消息的信息;输出该通知消息;在耦合到公共总线的入侵检测设备处接收通知消息;由入侵检测设备响应于所接收到的通知消息来确定所接收到的消息的有效性;以及在所接收到的消息被确定为非有效的情况下,输出警报消息。
在一个实施例中,该方法进一步包括:改变所接收到的消息的至少一位以创建通知消息。在一个进一步实施例中,该一位是在所接收到的消息的标识字段中被改变的。
在另一实施例中,通知消息包含足够的信息,以使得在入侵检测设备确定所接收到的消息为有效的情况下,该方法进一步包括:基于所接收到的通知消息来重建所接收到的消息;以及在公共总线上输出所重建的接收到的消息。
在一个实施例中,该方法进一步包括:将所接收到的消息输出到公共总线上。在另一实施例中,该方法进一步包括:在检测模式和防止模式中的一者中可控地进行操作,其中,当在检测模式中进行操作时,该方法进一步包括将所接收到的消息输出到公共总线上,并且当在防止模式中进行操作时,不将所接收到的消息输出到公共总线上。
在一个实施例中,通知消息的输出是到公共总线上。在另一实施例中,通知消息的输出是经由安全数据连接输出到入侵检测设备。
在一个独立实施例中,提供了一种用于公共总线的入侵保护的方法,该方法包括:从不安全设备接收消息;在安全信道上将所接收到的消息的副本输出至被耦合到公共总线的入侵检测设备;由入侵检测设备响应于所接收到的消息副本来确定所接收到的消息的有效性;以及在所接收到的消息被确定为非有效的情况下,输出警报消息。
在一个实施例中,该方法进一步包括:在第一模式和第二模式中的一者中可选择地进行操作,其中,在第一模式中,该方法包括将所接收到的消息输出到公共总线上,并且其中,在第二模式中,所接收到的消息不被输出到公共总线上。在一个进一步实施例中,该方法进一步包括,在第二模式中:在所接收到的消息被确定为非有效的情况下,由入侵检测设备将所接收到的消息输出到公共总线上。
有利地,本发明的实施例提供了一种总线控制设备,该总线控制设备在检测模式中允许将消息传递到总线而没有干扰。由此,在错误的情况下,消息不被中断。进一步有利地,本发明的总线控制设备的实例可以针对添加到总线的每个新的不安全设备来实现。
本发明另外的特征及优势由以下附图及描述而变得明显。
附图简述
为了更好地理解本发明以及示出可如何实施本发明,现在将参照附图(纯粹作为示例),其中相同的附图标记贯穿始终标记对应的部分或元件。
现在具体参照附图,需要强调的是,所示的细节仅作为示例且出于对本发明的优选实施例的解说性讨论的目的,并且是为了提供对本发明的原理及概念性方面被认为是最有用且容易理解的描述而给出的。就这一点而言,未做出尝试以示出比基本理解本发明所需更为具体的本发明的结构细节,结合附图的描述使得本领域技术人员明了本发明的若干形式可如何在实践中实施。在附图中:
图1A解说了被布置成为公共总线上的设备提供保护的系统的第一实施例的高级框图;
图1B解说了图1A的系统的操作的高级流程图;
图2A解说了被布置成为公共总线上的设备提供保护的系统的第二实施例的高级框图;
图2B解说了图2A的系统的操作的高级流程图;
图3解说了总线控制设备的实施例,其中接收到的消息在公共总线上输出,并且通知消息被生成并输出到公共总线上;
图4解说了总线控制设备的实施例,其中接收到的消息不在公共总线上输出,并且通知消息被生成并输出到公共总线上;
图5解说了包括单向中继器并在SPI协议下进行操作的总线控制设备的实施例;
图6解说了反馈抑制电路的实现的高级电路图;以及
图7解说了利用双CAN收发机的具有反馈抑制的中继器的实施例。
优选实施例的详细描述
在详细解释本发明的至少一个实施例前,需要理解的是,本发明在其应用中并不限于以下描述中阐述或附图中解说的构造细节和组件安排。本发明适用于其它实施例或者以各种方式被实践或实行。另外,需要理解的是,本文中所采用的措辞及术语是为了描述并且不应被视为限制。
本文描述了关于CAN总线的各个实施例,然而,这并不意味着以任何方式进行限制,本文的实施例同样适用于任何总线架构。本文的实施例是关于不安全设备是信息娱乐系统来描述的,然而,这并不意味着以任何方式进行限制。例如,设想将来可以提供用于更新车辆软件的直接因特网连接模块,并且这种因特网连接模块可以被视为不安全设备。类似地,ODB2(板载诊断V2)连接可将车辆暴露于不安全设备。
图1A解说了被布置成为公共总线上的设备提供保护的系统10的第一实施例的高级框图,并且图1B解说了系统10的操作的高级流程图,为简单起见,图1A和1B在本文中一起进行描述。系统10包括:不安全设备20,非限制性地解说为信息娱乐系统;输入端口30;总线控制设备40;入侵检测设备50;公共总线60,诸如CAN总线;以及多个电子控制单元(ECU)70。不安全设备20连接到输入端口30,并且输入端口30连接到总线控制设备40的第一端口。要注意,不安全设备20不直接连接到公共总线60。总线控制设备40的第二端口、入侵检测设备50的端口、以及每个ECU 70的端口连接到公共总线60。在一个实施例中,输入端口30是被布置成用于接纳来自不安全设备20的电缆的连接设备。在一个非限制性实施例中,输入端口30和总线控制设备40在连接器主体内实现。在一个非限制性实施例中,总线控制设备40和入侵检测设备50在物理上毗邻地放置,可任选地被放置在单个外壳内。
可任选地,向入侵检测设备50提供安全连接(未示出)以提供对入侵检测设备50的内容的更新。在一个实施例中,利用板载诊断(OBD)连接来安全地连接到入侵检测设备50以便实现软件/固件更新。在一个特定实施例中,利用满足SAE J1962规范的耦合器来布置至入侵检测设备50的安全连接。
在一个实施例中,总线控制设备40和入侵检测设备50中的每一者的功能性可以由FPGA、控制器或处理器来实现而不超出本发明。在一个特定实施例中,总线控制设备40和入侵检测设备50中的每一者或任一者可包括处理器和板载存储器,由处理器实现的功能性响应于读取存储在相关联的存储器中的处理器可读指令。
在操作中,如在阶段1000所示,在总线控制设备40的输入端口30处接收来自不安全设备20的消息。在阶段1010,总线控制设备40响应于在输入端口30处接收到的消息而产生通知消息,该通知消息包括与所接收到的消息有关的信息。
在阶段1020,输出阶段1010所产生的通知消息。可任选地,通知消息被输出到公共总线60上,该公共总线60如上面所指示的可以是CAN总线。在下文进一步描述的替换实施例中,通知消息可在安全连接上被输出到入侵检测设备50。关于通知消息没有限制,并且在发送通知消息之前可接收多个消息。
可任选地,在阶段1030,通知消息是阶段1000接收到的消息,其中至少一位被改变,该通知消息在本文中被称为经修改消息。进一步可任选地,被改变的位在标识字段中,该标识字段在CAN总线中用于标识消息目标,或即收件方。改变标识位有效地确保阶段1000接收到的消息的目标设备不对通知消息采取动作。优选地,被改变的一个或多个标识位确保入侵检测设备50是经修改消息的目标并且耦合到公共总线60的其他设备将不对经修改消息作出反应。在一个进一步实施例中,原始标识信息被进一步编码在通知消息的备用位中,以使得入侵检测设备50能够确定原始消息目标。
可任选地,在阶段1040,通知消息具有足够的信息,以使得入侵检测设备50能够完整地重构阶段1000的原始接收到的消息。要理解,为了使得入侵检测设备50能够完整地重构阶段1000接收到的消息,可能需要多个通知消息而不超出范围。通知消息不限于如由公共总线60的协议定义的单个消息的大小,并且可包括多个公共总线消息而不超出范围。
在一个实施例中,如在阶段1050所描述的,总线控制设备40可响应于接收到的控制信号而在两种模式中的一种模式中操作。在一个实施例(未示出)中,控制信号由入侵检测设备50在专用信道上提供。在另一实施例中,在制造时在总线控制设备40内设置硬件或软件标志来确定操作模式。替换地,可设置开关或跨接器来确定操作模式。在又一实施例中,向总线控制设备提供专用连接(诸如OBD连接)以实现设置总线控制设备40的硬件或固件标志。
在第一模式(也被称为检测模式)中,总线控制设备40被布置成:将阶段1000接收到的消息输出到公共总线60上,以及准备并输出阶段1020的通知消息。在第二模式(也被称为防止模式)中,总线控制设备40被布置成:不将阶段1000接收到的消息输出到公共总线60上(即,总线控制设备40阻止接收到的消息出现在公共总线60上),并且被布置成准备并输出阶段1020的通知消息,如上面在阶段1020-1030中所指示的,在某些实施例中该通知消息可在标识改变的情况下被输出到公共总线上,以使得阶段1000接收到的消息的收件方不对所收到的消息采取动作。
在阶段1060中,在入侵检测设备50处接收阶段1020的通知消息。如阶段1020中所指示的,通知消息可任选地由入侵检测设备50在公共总线60上或在专用连接上接收。
在阶段1070中,入侵检测设备50被布置成:响应于接收到的通知消息来确定阶段1000接收到的消息的有效性。在一个非限制性示例中,入侵检测设备50可具有针对来自不安全设备20的消息的一系列可接受收件方,并且入侵检测设备50可被布置成:响应于阶段1000原始接收到的消息的标识字段的内容来确定接收到的消息的有效性。
在阶段1080中,由入侵检测设备50作出关于阶段1000接收到的消息的有效性的判定。在阶段1080中确定阶段1000接收到的消息为非有效的情况下,在阶段1090中,由入侵检测设备50输出指示安全性漏洞的警报消息。该警报消息可被发送给操作者可观察的警告设备和/或由安全设备传送给远离车辆的安全站,存储在入侵检测设备50的板载存储器中或者被传送给连接到公共总线60的另一设备,该另一设备被布置成将该警报消息传送给远程警报消息处置站点。要理解,警报消息可包括多个消息、或者单个消息,该单个消息的长度大于标准公共总线消息大小的长度而不超出范围。在一个实施例中,预定的消息历史作为警报消息的一部分被输出。入侵检测设备50优选地不尝试重构阶段1000原始接收到的消息,并且不将该经重构的消息输出到公共总线60上。要注意,在阶段1050中总线控制设备40被设置成防止模式的情况下,阶段1000原始接收到的消息由此不被总线控制设备40或入侵检测设备50输出到公共总线60上,并且由此耦合到公共总线60的任何设备不会对其采取动作。
在阶段1080中确定阶段1000接收到的消息为有效的情况下,在阶段1100中,假定操作处于检测模式(如上面关于阶段1050所描述的),则接收到的有效消息已被输出到公共总线60上并且由此不需要进一步动作。在阶段1050中操作处于防止模式、并且由此接收到的消息未被总线控制设备40输出到公共总线60上的情况下,在阶段1100中,入侵检测设备50被布置成重构阶段1000原始接收到的消息并将所重构的消息输出到公共总线60上。由此,有效消息由目标设备响应于阶段1100的重构而经由公共总线60被接收到。
图2A解说了被布置成为公共总线上的设备提供保护的系统100的第一实施例的高级框图,并且图2B解说了系统100的操作的高级流程图,为简单起见,图2A和2B在本文中一起进行描述。系统100包括:不安全设备20,非限制性地解说为信息娱乐系统;输入端口30;总线控制设备40;入侵检测设备50;公共总线60,诸如CAN总线;多个电子控制单元(ECU)70;以及安全连接110。不安全设备20连接到输入端口30,并且输入端口30连接到总线控制设备40的第一端口。要注意,不安全设备20不直接连接到公共总线60。总线控制设备40的第二端口、入侵检测设备50的端口、以及每个ECU 70的端口连接到公共总线60。安全连接110可以是总线控制设备40与入侵检测设备50之间的专用连接,或者可以是安全总线的一部分。在一个非限制性实施例中,提供了多个总线控制设备40,这些总线控制设备40通过安全连接110的安全总线实现来耦合到单个入侵检测设备50。安全连接110凭借不可由不安全设备20访问而被视为是安全的。
在一个实施例中,输入端口30是被布置成用于接纳来自不安全设备20的电缆的连接设备。在一个非限制性实施例中,输入端口30和总线控制设备40在连接器主体内实现。
可任选地,向入侵检测设备50提供安全连接(未示出)以提供对入侵检测设备50的内容的更新。在一个实施例中,利用OBD连接来安全地连接到入侵检测设备50以便实现软件/固件更新。在一个特定实施例中,利用满足SAE J1962规范的耦合器来布置至入侵检测设备50的安全连接。
在一个实施例中,总线控制设备40和入侵检测设备50中的每一者的功能性可以由FPGA、控制器或处理器中的一者来实现而不超出本发明。在一个特定实施例中,总线控制设备40和入侵检测设备50中的每一者或任一者可包括处理器和板载存储器,由处理器实现的功能性响应于读取存储在相关联的存储器上的处理器可读指令。
在操作中,如在阶段2000所示,在总线控制设备40的输入端口30从不安全设备20接收消息。在阶段2010,总线控制设备40响应于在输入端口30接收到的消息而在安全连接110上向入侵设备50输出所收到的消息的副本。要理解,输出所收到的消息可以按经编码或经封装的形式而不超出范围。关于通知消息没有限制,并且在发送通知消息之前可接收多个消息。由此,可以修改或重新组织消息格式而不丢失阶段2000接收到的消息的任何数据,而不超出范围。
在一个实施例中,如在阶段2020所描述的,总线控制设备40可响应于接收到的控制信号而在两种模式中的一种模式中操作。在一个实施例(未示出)中,控制信号由入侵检测设备50在专用信道上提供,该专用信道可以是安全连接110或附加信道。在另一实施例中,在制造时在总线控制设备40内设置硬件或固件标志来确定操作模式。替换地,可以设置开关或跨接器来确定操作模式。在又一实施例中,向总线控制设备提供专用连接(诸如OBD连接)以实现设置总线控制设备40的硬件或固件标志。
在第一模式(也被称为检测模式)中,总线控制设备40被布置成:将阶段2000接收到的消息输出到公共总线60上,以及准备并输出阶段2010的消息副本。在第二模式(也被称为防止模式)中,总线控制设备40被布置成:不将阶段2000接收到的消息输出到公共总线60上,并且被布置成:仅在安全连接110上输出消息副本,如在阶段2010中所描述的。由此,在第一模式中,消息被传递到公共总线60上并且可由收件方接收并对其采取动作,而在第二模式中,消息在安全连接110上被发送给入侵检测设备50并且不由总线控制设备40传递到公共总线60上。
在阶段2030中,入侵检测设备50被布置成:响应于接收到的消息副本来确定阶段1000接收到的消息的有效性。在一个非限制性示例中,入侵检测设备50可具有针对来自不安全设备20的消息的一系列可接受收件方,并且入侵检测设备50可被布置成:响应于阶段2000原始接收到的消息的标识字段的内容来确定接收到的消息的有效性。
在阶段2040中,由入侵检测设备50作出关于阶段2000接收到的消息的有效性的判定。在阶段2040中确定阶段2000接收到的消息为非有效的情况下,在阶段2050中,由入侵检测设备50输出指示安全性漏洞的警报消息。警报消息可被发送给可由操作者观察的警告设备和/或由安全设备传送给远离车辆的安全站,存储在入侵检测设备50的板载存储器中,或被传送给连接到公共总线60的另一设备,该另一设备被布置成将该警报消息传送给远程警报消息处置站点。要理解,该警报消息可包括多个消息、或单个消息,该单个消息的长度大于标准公共总线消息大小的长度而不超出范围。在一个实施例中,预定的消息历史作为警报消息的一部分被输出。入侵检测设备50优选地不将阶段2000接收到的消息输出到公共总线60上。要注意,在阶段2020中总线控制设备40被设置成防止模式的情况下,阶段2000原始接收到的消息由此不由总线控制设备40或入侵检测设备50输出到公共总线60上,并且由此耦合到公共总线60的任何设备不会对其采取动作。
在阶段2040中确定阶段2000接收到的消息为有效的情况下,在阶段2060中,假定操作处于检测模式(如上面关于阶段2020所描述的),则接收到的有效消息已被输出到公共总线60上并且由此不需要进一步动作。在阶段2020中操作处于防止模式、并且由此接收到的消息未被总线控制设备40输出到公共总线60上的情况下,在阶段2060中,入侵检测设备50被布置成将阶段2000原始接收到的消息输出到公共总线60上。在阶段2010中消息已被修改的情况下,阶段2060进一步提供对阶段2000原始接收到的消息进行重构。由此,有效消息由目标设备响应于由入侵检测设备50执行的阶段2060而经由公共总线60被接收到。
图3解说了总线控制设备200的实施例,其中接收到的消息在公共总线上输出,并且通知消息被生成并输出到公共总线上。总线控制设备200包括:第一和第二CAN收发机210;通信栈205;以及中间件245。通信栈205包括:第一和第二CAN控制器220;第一和第二输出缓冲器230;以及第一和第二输入缓冲器240。中间件245包括:不安全设备输入处置器250;不安全总线发送消息处置器260;公共总线发送消息处置器270;公共总线输入处置器280;以及通知消息生成器290。通信栈205和中间件245中的每一者可由执行非瞬态电可读指令(其被存储在与其相关联的存储器上)的处理器、由专用硬件、或由可编程硬件(诸如FPGA)实现,而不超出范围。
不安全设备20耦合到第一CAN收发机20的CANH和CANL输入端,为简单起见未示出端接设备。第一CAN收发机210的TXD和RXD端口连接到第一CAN控制器220的相应端口。第一CAN控制器220的输出端连接到第一输出缓冲器230的输入端,并且第一输入缓冲器240的输出端连接到第一CAN控制器220的输入端。
第一输出缓冲器230的输出端连接到不安全设备输入处置器250的输入端,不安全设备输入处置器250的第一输出端连接到通知消息生成器290的输入端,并且不安全设备输入处置器250的第二输出端连接到公共总线发送消息处置器270的第一输入端。通知消息生成器290的输出端连接到公共总线消息处置器270的输入端。公共总线消息处置器270的输出端连接到第二输入缓冲器240的输入端,并且公共总线输入处置器280的输入端连接到第二输出缓冲器230的输出端。公共总线处置器280的输出端连接到发送不安全总线消息处置器260的输入端。
第二输入缓冲器240的输出端连接到第二CAN控制器220的输入端,并且第二CAN控制器220的输出端连接到第二输出缓冲器230的输入端。第二CAN控制器220的相应端口连接到第二CAN收发机210的TXD和RXD端口,并且第二CAN收发机210的CANH和CANL端口连接到CAN总线60的相应端口。
在操作中,总线控制设备200如上面关于图1A-1B所描述的进行操作。具体而言,从不安全设备20接收到的消息由第一CAN收发机210经由第一CAN控制器220和第一输出缓冲器230传递到不安全设备输入处置器250。不安全设备输入处置器250将接收到的消息输出到公共总线发送消息处置器270,由此确保接收到的消息被输出到公共总线60上,如上面关于阶段1050的检测模式所描述的,并且附加副本被输出到通知消息生成器290。有利地,在总线控制设备200的错误状况的情况下,从不安全设备20接收到的信息继续被传递到公共总线60而不受阻碍,这是因为大部分逻辑被设置在其中的通知消息生成器290不参与消息的传递。通知消息生成290如上所述地操作以生成通知消息以供在公共总线60上传输到入侵检测设备50。通知消息和接收到的消息两者都由公共总线消息处置器270处理、通过第二输入缓冲器240经由第二CAN控制器220和第二CAN收发机210被传送到CAN总线60上。来自连接到CAN总线60的设备的消息(其寻址不安全设备20)被类似地经由第二CAN收发机210被传递到第二CAN控制器220、并经由第二输出缓冲器230被传递到公共总线输入处置器280而不受阻碍。公共总线输入处置器280将消息传递到不安全总线发送消息处置器260,该不安全总线发送消息处置器260经由第一输入缓冲器240将消息输出到第一CAN控制器220。第一CAN控制器220经由第一CAN收发机210将消息传送到不安全设备20。
图4解说了总线控制设备300的实施例,其中接收到的消息不输出在公共总线上,并且通知消息被生成并输出到公共总线上。总线控制设备300在所有方面类似于总线控制设备200,不同之处在于不安全设备输入处置器250被布置成:将从不安全设备20接收到的消息输出到通知消息生成器290,而不将附加副本直接发送到公共总线发送消息处置器270。由此,仅通知消息由公共总线消息处置器270处理并最终输出到CAN总线60上。如上所述,总线控制设备200和总线控制设备300由此可表示单个可编程设备,其中总线控制设备200表示第一或即检测模式中的操作,并且总线控制设备300表示第二或即防止模式中的操作。
图5解说了总线控制设备400的实施例,该总线控制设备400包括单向中继器410、第一CAN收发机405、通信栈420、以及中间件430。单向中继器410、通信栈420和中间件430中的每一者可由执行非瞬态电可读指令(其被存储在与其相关联的存储器上)的处理器、由专用硬件、或由可编程硬件(诸如FPGA)实现,而不超出范围。为清晰起见,进一步解说CAN总线60和不安全设备。单向中继器410包括第二和第三CAN收发机210、开关442、以及反馈抑制电路440。通信栈420包括SPI控制器450、以及输入缓冲器240和CAN控制器220。中间件430包括SPI输入处置器460、通知消息生成器470、以及公共总线发送消息处置器480。总线控制设备400有利地被布置成:即使在总线控制设备40的错误状况的情况下,从不安全设备20接收到的消息也继续被传递到公共总线60而不受阻碍。通信栈420被解说为经由SPI控制器进行操作,然而要理解,这意味着解说而并非意味着进行限制。由此,例如,I2C协议和控制器可以替代SPI通信协议而不超出范围。
非限制性地解说为信息娱乐设备20的不安全设备20经由CANH和CANL线连接到第二CAN收发机210而无需单向中继器410。第二CAN收发机210经由反馈抑制电路440连接到第三CAN收发机445。第二CAN收发机210的TXD输出端作为单向中继器410的输出端连接到SPI控制器450的输入端并且经由开关442可切换地连接到反馈抑制电路440的相应输入端。SPI控制器450的输出端连接到SPI输入处置器460的输入端,并且SPI输入处置器460的输出端连接到通知消息生成器470。通知消息生成器470的输出端连接到公共总线发送消息处置器480的输入端,并且公共总线发送消息处置器480的输出端连接到输入缓冲器240的输入端。输入缓冲器240的输出端连接到CAN控制器220的输入端,并且CAN控制器220双向地连接到第一CAN收发机405。第一CAN收发机405和第三CAN收发机445中的每一者都连接到CAN总线60,即,CAN总线60的相应CANH和CANL线。开关442被解说为被放置在第二CAN收发机210的TXD输出端与反馈抑制电路440之间,要理解,开关442可以类似地被放置在反馈抑制电路440与第三CAN收发机445的RXD输入端之间而不超出范围。
开关442可以是机械开关、跨接器、或电控开关而不超出范围。在一个实施例中,开关442响应于与总线控制设备400并置的RFID标签来受控。优选地,开关442默认被设置成闭合位置,在该闭合模式中,第一模式(即,检测模式)自动被启用。有利地,默认为检测模式确保在总线控制设备400的错误状况的情况下,从不安全设备20接收到的消息继续被传递到公共总线60而不受阻碍。
在操作中,来自不安全设备20的消息在CAN协议下被馈送到第二CAN收发机210,并且在开关442闭合的情况下,经由第三CAN收发机445被复制到CAN总线60。CAN总线领域的技术人员将认识到对反馈抑制的需要,这是因为出现在CAN总线60上的消息还经由第三CAN收发机445被反馈朝向第二CAN收发机210。SPI控制器450优选地仅耦合到第二CAN收发机210的TXD线。由于反馈抑制电路440的存在,第二CAN收发机210的TXD线的输出不出现在第二CAN收发机210的RXD线上。
SPI控制器450由此接收由信息娱乐设备20传送的消息的副本,但优选地不接收由其他设备在CAN总线60上传送的消息。由信息娱乐设备20传送的消息经由单向中继器410被直接传送到CAN总线60上,并且从CAN总线到信息娱乐设备20的消息类似地由单向中继器410传递。
SPI控制器450用于将数据从CAN总线物理协议转换至SPI协议,并将接收到的数据传输到消息栈430的SPI输入处置器460。SPI输入处置器460用于标识根据CAN协议的消息,并将经标识的消息作为消息块传输到通知消息处置器470。通知消息处置器470在所有范畴上与上述通知消息处置器290相同,但对CAN物理格式以外的消息进行操作。通知消息处置器470生成如上所述的通知消息,并将其传输到公共总线发送消息处置器480,该公共总线发送消息处置器480用于将由通知消息处置器470生成的通知消息转换至CAN总线协议,并将通知消息传输到输入缓冲器240以供传输。CAN控制器220从CAN控制器220检索通知消息,并在CAN控制器220的控制下将其传输到第一CAN收发机405,该第一CAN收发机405用于根据CAN总线60的物理和电要求来输出消息。
在开关442被设置成断开状态的情况下,总线控制设备400被设置成第二模式(即,防止模式),如上所述。具体而言,从不安全设备20接收到的消息不被自动地传输到公共总线60,而是替代地专门被传输到通知消息处置器470。
图6解说了利用反相器510和OR(或)门520的反馈抑制电路440的实现的高级电路图。第二CAN收发机210的TXD输出线连接到第三CAN收发机445的RXD线并连接到反相器510的输入端。反相器510的输出端连接到OR门520的第一输入端,并且OR门520的第二输入端连接到第三CAN收发机445的TXD线。OR门520的输出端连接到第二CAN收发机210的RXD线。
在CAN总线中,有效信号为低电平信号。由此,当第二CAN收发机210在其TXD线输出低电平有效信号时,其输入RXD线经由反相器510和OR门520被迫使为高电平,而不管回波的低电平信号出现在第三CAN收发机445的TXD线上。当第二CAN收发机210不活跃时(即,其TXD线为高),来自第三CAN收发机445的TXD线的信号出现在第二收发机210的RXD线。
图7解说了利用第一、第二和第三双CAN收发机550的具有反馈抑制440的中继器的实施例。每个双CAN收发机550被提供有内部反馈抑制,并且在市场上可购得。第一双CAN收发机550的第一端口连接到不安全设备20,并且第一双CAN收发机550的第二端口连接到第二双CAN收发机550的第一端口。第二双CAN收发机550的第二端口连接到CAN总线60。第一双CAN收发机550的TXD端口进一步连接到第三双CAN收发机550的RXD端口。第三双CAN收发机550的第二端口由此表示单向中继输出,即,第一双CAN收发机550的TXD端口的输出出现在第三双CAN收发机550的第二端口。反馈抑制在市售的双CAN收发机中在内部提供,并且由此不需要单独提供。
将领会,为清楚起见,在分开的实施例的上下文中所描述的本发明的某些特征也可以在单个实施例中组合提供。相反,为了简明起见,在单个实施例的上下文中描述的本发明的各种特征也可被单独提供或者以任何合适的子组合提供。具体而言,已根据按等级标识每个被供电设备来对本发明进行了描述,然而这并不意味着以任何方式进行限制。在替代实施例中,所有被供电设备被平等对待,并因此不需要等级的标识及其相关联的功率需求。
除非另行定义,否则在本文中所使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员所通常理解的相同的含义。虽然类似于或等同于本文中所描述的方法可以用于实践或测试本发明,但是本文中描述了合适的方法。
本文中所提及的所有公开、专利申请、专利和其他参考通过援引本整体纳入于本文中。在冲突的情况下,将以包括定义的本专利说明书为准。此外,材料、方法和示例仅为解说性的而不旨在作为限制。
本领域技术人员将会领会,本发明并不限于上文中所具体示出和描述的部分。确切而言,本发明的范围由所附权利要求定义,并且包括上文所描述的各个特征的组合和子组合二者,以及本领域技术人员在阅读先前的描述之际将会做出的其变形和修改。
Claims (34)
1.一种用于为公共总线上的设备提供保护的系统,所述系统包括:
用于连接到不安全设备的输入端口,所述输入端口被布置成:从所述不安全设备接收消息;
被布置在所述输入端口与所述公共总线之间的总线控制设备,所述总线控制设备被布置成:
响应于所接收到的消息而产生通知消息,所述通知消息包括与所接收到的消息有关并且不同于所接收到的消息的信息;以及
输出所述通知消息;以及
耦合到所述公共总线的入侵检测设备,所述入侵检测设备被布置成:接收所述通知消息并响应于所接收到的通知消息来确定所接收到的消息的有效性。
2.如权利要求1所述的系统,其特征在于,所述总线控制设备被进一步布置成:改变所接收到的消息的至少一位以创建所述通知消息。
3.如权利要求2所述的系统,其特征在于,所述一位是在所接收到的消息的标识字段中被改变的。
4.如权利要求2所述的系统,其特征在于,所述通知消息包含足够的信息,以使得在所述入侵检测设备确定所接收到的消息为有效的情况下,所述入侵检测设备被布置成:从所接收到的通知消息重建所接收到的消息,并在所述公共总线上输出所重建的接收到的消息。
5.如权利要求1所述的系统,其特征在于,所述总线控制设备被进一步布置成:将所接收到的消息输出到所述公共总线上。
6.如权利要求1所述的系统,其特征在于,所述总线控制设备被布置成:响应于接收到的控制信号而在检测模式和防止模式中的一者中交替地操作,其中,在所述检测模式中,所述总线控制设备被布置成将所接收到的消息输出到所述公共总线上,并且在所述防止模式中,所述总线控制设备被布置成不输出所接收到的消息。
7.如权利要求1-6中任一项所述的系统,其特征在于,所述总线控制设备被布置成:将所述通知消息输出到所述公共总线上。
8.如权利要求1-6中任一项所述的系统,其特征在于,进一步包括所述总线控制设备和所述入侵检测设备之间的与所述公共总线分开的安全数据连接,其中,所述总线控制设备被布置成:经由所述安全数据连接将所述通知消息输出到所述入侵检测设备。
9.如权利要求6所述的系统,其特征在于,在所述防止模式中,所述入侵检测设备被布置成:基于所述通知消息来重构所接收到的消息并将所重构的接收到的消息输出到所述公共总线上。
10.如权利要求1所述的系统,其特征在于,所述总线控制设备包括:
第一收发机和第二收发机;
消息处置器,所述第一收发机和所述第二收发机中的每一者响应于所述消息处置器,
所述第一收发机的接收端口耦合到所述输入端口,
所述第二收发机的传送端口耦合到所述公共总线,
所述第一收发机的传送端口耦合到所述第二收发机的接收端口,
其中,所述消息处置器被布置成创建所述通知消息。
11.如权利要求10所述的系统,其特征在于,所述总线控制设备被布置成将所述通知消息输出到所述公共总线上,并且其中,所述消息处置器进一步包括反馈抑制电路,所述反馈抑制电路被布置成抑制对所输出的通知消息的反馈。
12.如权利要求10所述的系统,其特征在于,进一步包括第三收发机,所述第三收发机的接收端口耦合到所述第一收发机的传送端口,其中,所述第三收发机的所述传送端口耦合到所述公共总线。
13.如权利要求10所述的系统,其特征在于,进一步包括第三收发机,所述第三收发机的接收端口耦合到所述第一收发机的传送端口,其中,所述第三收发机的所述传送端口经由安全数据连接被耦合到所述入侵检测设备。
14.如权利要求10所述的系统,其特征在于,所述消息处置器包括总线控制器。
15.如权利要求1所述的系统,其特征在于,所述公共总线是控制器局域网(CAN)总线。
16.如权利要求1所述的系统,其特征在于,在所接收到的消息未被所述入侵检测设备确定为有效的情况下,所述入侵检测设备被布置成输出警报消息。
17.一种用于为公共总线上的设备提供保护的系统,所述系统包括:
用于连接到不安全设备的输入端口,所述输入端口被布置成:从所述不安全设备接收消息;
被布置在所述输入端口与所述公共总线之间的总线控制设备,所述总线控制设备被布置成:
在安全信道上将所接收到的消息的副本输出至被耦合到所述公共总线的入侵检测设备,
所述入侵检测设备被布置成:接收所述消息副本并响应于所接收到的消息副本来确定所接收到的消息的有效性。
18.如权利要求17所述的系统,其特征在于,所述总线控制设备被布置成:响应于接收到的控制信号而在检测模式和防止模式中的一者中交替地操作,其中,在所述检测模式中,所述总线控制设备被布置成将所接收到的消息输出到所述公共总线上,并且在所述防止模式中,所述总线控制设备被布置成不将所接收到的消息输出到所述公共总线上。
19.如权利要求18所述的系统,其特征在于,在所述防止模式中,所述入侵检测设备被布置成:将所接收到的消息输出到所述公共总线上。
20.如权利要求17所述的系统,其特征在于,所述总线控制设备包括:
第一收发机、第二收发机和第三收发机;
消息处置器,所述第一收发机、所述第二收发机和所述第三收发机中的每一者响应于所述消息处置器,
所述第一收发机的接收端口耦合到所述输入端口,
所述第二收发机的传送端口耦合到所述公共总线,
所述第一收发机的传送端口耦合到所述第二收发机的接收端口并耦合到所述第三收发机的接收端口,
其中,所述消息处置器被布置成:响应于所接收到的消息而在所述第三收发机的传送端口上输出所述消息副本。
21.如权利要求20所述的系统,其特征在于,所述消息处置器包括总线控制器。
22.如权利要求17所述的系统,其特征在于,所述公共总线是控制器局域网(CAN)总线。
23.如权利要求17所述的系统,其特征在于,在所接收到的消息未被所述入侵检测设备确定为有效的情况下,所述入侵检测设备被布置成输出警报消息。
24.一种用于公共总线的入侵保护的方法,所述方法包括:
从不安全设备接收消息;
响应于所接收到的消息而产生通知消息,所述通知消息包括与所接收到的消息有关并且不同于所接收到的消息的信息;以及
输出所述通知消息;
在耦合到所述公共总线的入侵检测设备处接收所述通知消息;
由所述入侵检测设备响应于所接收到的通知消息来确定所接收到的消息的有效性;以及
在所接收到的消息被确定为非有效的情况下,输出警报消息。
25.如权利要求24所述的方法,其特征在于,进一步包括:
改变所接收到的消息的至少一位以创建所述通知消息。
26.如权利要求25所述的方法,其特征在于,所述一位是在所接收到的消息的标识字段中被改变的。
27.如权利要求24所述的方法,其特征在于,所述通知消息包含足够的信息,以使得在所述入侵检测设备确定所接收到的消息为有效的情况下,所述方法进一步包括:
基于所接收到的通知消息来重建所接收到的消息;以及
在所述公共总线上输出所重建的接收到的消息。
28.如权利要求24所述的方法,其特征在于,进一步包括:将所接收到的消息输出到所述公共总线上。
29.如权利要求24所述的方法,其特征在于,进一步包括:
在检测模式和防止模式中的一者中可控地进行操作,其中,当在所述检测模式中进行操作时,所述方法进一步包括将所接收到的消息输出到所述公共总线上,并且当在所述防止模式中进行操作时,不将所接收到的消息输出到所述公共总线上。
30.如权利要求24-28中任一项所述的方法,其特征在于,所述通知消息的所述输出是到所述公共总线上。
31.如权利要求24-28中任一项所述的方法,其特征在于,所述通知消息的所述输出是经由安全数据连接到所述入侵检测设备。
32.一种用于公共总线的入侵保护的方法,所述方法包括:
从不安全设备接收消息;
在安全信道上将所接收到的消息的副本输出至被耦合到所述公共总线的入侵检测设备;
由所述入侵检测设备响应于所接收到的消息副本来确定所接收到的消息的有效性;以及
在所接收到的消息被确定为非有效的情况下,输出警报消息。
33.如权利要求32所述的方法,其特征在于,所述方法进一步包括:
在第一模式和第二模式中的一者中可选择地进行操作,
其中,在所述第一模式中,所述方法包括将所接收到的消息输出到所述公共总线上,并且其中,在所述第二模式中,所接收到的消息不被输出到所述公共总线上。
34.如权利要求33所述的方法,其特征在于,所述方法进一步包括,在所述第二模式中:
在所接收到的消息被确定为非有效的情况下,由所述入侵检测设备将所接收到的消息输出到所述公共总线上。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662378407P | 2016-08-23 | 2016-08-23 | |
| US62/378,407 | 2016-08-23 | ||
| PCT/IL2017/050868 WO2018037397A1 (en) | 2016-08-23 | 2017-08-06 | Data bus protection device and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109644189A true CN109644189A (zh) | 2019-04-16 |
| CN109644189B CN109644189B (zh) | 2021-10-08 |
Family
ID=59738389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780051711.3A Active CN109644189B (zh) | 2016-08-23 | 2017-08-06 | 数据总线保护设备和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11386201B2 (zh) |
| EP (1) | EP3504860B1 (zh) |
| CN (1) | CN109644189B (zh) |
| WO (1) | WO2018037397A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114281744A (zh) * | 2021-12-23 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种can总线中继电路、控制方法、装置、电子设备 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112955887A (zh) | 2018-11-07 | 2021-06-11 | C2A安全有限公司 | 面向返回的编程防护 |
| US10956587B2 (en) * | 2018-11-27 | 2021-03-23 | International Business Machines Corporation | Vehicle computer security |
| CN110040107A (zh) * | 2019-03-18 | 2019-07-23 | 百度在线网络技术(北京)有限公司 | 车辆入侵检测及预测模型训练方法、装置及存储介质 |
| WO2021014454A1 (en) | 2019-07-24 | 2021-01-28 | C2A-Sec, Ltd. | Intrusion anomaly monitoring in a vehicle environment |
| US11535267B2 (en) | 2020-03-18 | 2022-12-27 | Toyota Motor Engineering & Manufacturing North America, Inc. | User alert systems, apparatus, and related methods for use with vehicles |
| WO2021259234A1 (zh) * | 2020-06-24 | 2021-12-30 | 阿里巴巴集团控股有限公司 | 直线型和移载机can总线入网单元及其相关方法 |
| DE102020214945A1 (de) * | 2020-11-27 | 2022-06-02 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102469108A (zh) * | 2010-11-12 | 2012-05-23 | Nxp股份有限公司 | 用于汽车远程无钥匙进入系统和联网的传感器设备的安全应答确认协议 |
| US20130124767A1 (en) * | 2011-11-14 | 2013-05-16 | Arm Limited | Integrated circuit having a bus network, and method for the integrated circuit |
| CN103297266A (zh) * | 2013-05-09 | 2013-09-11 | 国家电网公司 | 一种基于企业集成总线的系统接入管理方法 |
| US20140195808A1 (en) * | 2011-12-01 | 2014-07-10 | Victor B. Lortz | Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules |
| CN104460404A (zh) * | 2013-09-12 | 2015-03-25 | 罗伯特·博世有限公司 | 利用点总线提取并进行分区的安全系统 |
| CN104717202A (zh) * | 2013-12-13 | 2015-06-17 | 现代自动车株式会社 | 用于增强车载通信网络的安全性的方法和设备 |
| CN105553946A (zh) * | 2015-12-08 | 2016-05-04 | 严威 | 基于can总线防火墙的车载系统及其控制方法 |
| CN105612734A (zh) * | 2013-10-09 | 2016-05-25 | 罗伯特·博世有限公司 | 用于总线系统的适配设备和用于运行总线系统中的can成员站和can-fd成员站的方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2805290T3 (es) | 2012-03-29 | 2021-02-11 | Arilou Information Security Tech Ltd | Dispositivo para proteger un sistema electrónico de un vehículo |
| US9552279B2 (en) | 2013-08-16 | 2017-01-24 | Nxp Usa, Inc. | Data bus network interface module and method therefor |
| US9401923B2 (en) | 2013-10-23 | 2016-07-26 | Christopher Valasek | Electronic system for detecting and preventing compromise of vehicle electrical and control systems |
| EP2892202B1 (en) * | 2014-01-06 | 2018-06-20 | Argus Cyber Security Ltd. | Hosted watchman |
| US9703955B2 (en) | 2014-07-17 | 2017-07-11 | VisualThreat Inc. | System and method for detecting OBD-II CAN BUS message attacks |
| CN105141579A (zh) | 2015-07-23 | 2015-12-09 | 惠州华阳通用电子有限公司 | 车载设备安全验证方法 |
-
2017
- 2017-08-06 US US16/321,029 patent/US11386201B2/en active Active
- 2017-08-06 CN CN201780051711.3A patent/CN109644189B/zh active Active
- 2017-08-06 EP EP17758639.3A patent/EP3504860B1/en active Active
- 2017-08-06 WO PCT/IL2017/050868 patent/WO2018037397A1/en unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102469108A (zh) * | 2010-11-12 | 2012-05-23 | Nxp股份有限公司 | 用于汽车远程无钥匙进入系统和联网的传感器设备的安全应答确认协议 |
| US20130124767A1 (en) * | 2011-11-14 | 2013-05-16 | Arm Limited | Integrated circuit having a bus network, and method for the integrated circuit |
| US20140195808A1 (en) * | 2011-12-01 | 2014-07-10 | Victor B. Lortz | Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules |
| CN103297266A (zh) * | 2013-05-09 | 2013-09-11 | 国家电网公司 | 一种基于企业集成总线的系统接入管理方法 |
| CN104460404A (zh) * | 2013-09-12 | 2015-03-25 | 罗伯特·博世有限公司 | 利用点总线提取并进行分区的安全系统 |
| CN105612734A (zh) * | 2013-10-09 | 2016-05-25 | 罗伯特·博世有限公司 | 用于总线系统的适配设备和用于运行总线系统中的can成员站和can-fd成员站的方法 |
| CN104717202A (zh) * | 2013-12-13 | 2015-06-17 | 现代自动车株式会社 | 用于增强车载通信网络的安全性的方法和设备 |
| CN105553946A (zh) * | 2015-12-08 | 2016-05-04 | 严威 | 基于can总线防火墙的车载系统及其控制方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114281744A (zh) * | 2021-12-23 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种can总线中继电路、控制方法、装置、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11386201B2 (en) | 2022-07-12 |
| US20190171813A1 (en) | 2019-06-06 |
| CN109644189B (zh) | 2021-10-08 |
| EP3504860A1 (en) | 2019-07-03 |
| WO2018037397A1 (en) | 2018-03-01 |
| EP3504860B1 (en) | 2020-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109644189A (zh) | 数据总线保护设备和方法 | |
| US11381420B2 (en) | In-vehicle relay device, in-vehicle monitoring device, in-vehicle network system, communication monitoring method, and recording medium | |
| JP7170780B2 (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| JP6201962B2 (ja) | 車載通信システム | |
| CN103580911B (zh) | 通信系统及通信方法 | |
| CN108400919A (zh) | 用于在控制器区域网络中发射消息的系统和方法 | |
| CN109299029A (zh) | 用于更新至少一个规则的节点、车辆、集成电路和方法 | |
| US9596225B2 (en) | Out-of-vehicle device interface apparatus and method for protecting in-vehicle network | |
| US20200139995A1 (en) | Secure locomotive communication system | |
| CN106059871A (zh) | 将can总线连接至无线电网络的控制装置以及机动车辆 | |
| CN106059911A (zh) | 将can总线连接至无线电网络的控制装置以及机动车辆 | |
| CN107181722A (zh) | 车辆安全通信方法、装置、车辆多媒体系统及车辆 | |
| CN107770740A (zh) | 车载数据传输方法、接收方法、及相应的系统 | |
| CN106134151A (zh) | 用于在无线的车辆网络中进行授权的方法 | |
| JP2024023912A (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| CN107181725A (zh) | 车辆安全通信方法、装置、车辆多媒体系统及车辆 | |
| KR20130140743A (ko) | 재구성 가능한 멀티유닛 차량의 제어 시스템을 보호하기 위한 방법 및 보안 제어 시스템 | |
| WO2017047469A1 (ja) | 通信制御装置及び通信システム | |
| CN103986736B (zh) | 用于网络安保的通信接口及通信方法 | |
| CN109005147A (zh) | 用于避免被操纵的数据传输而保护车辆网络的方法 | |
| CN112368978A (zh) | 车载通信系统、数据取得装置、管理装置及监视方法 | |
| CN105765912A (zh) | 用于检测在具有至少一个计算机的计算机网络中被发送的数据的方法和数据检测设备 | |
| CN107492264A (zh) | 基于可见光通信的警示标识、系统及车辆 | |
| JP4909868B2 (ja) | ループ式atc/td地上装置 | |
| CN107851384A (zh) | 用于控制用于传送车辆用的警告通知的传送特性的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |