CN109937563B - 用于通信网络的方法、和电子监测单元 - Google Patents
用于通信网络的方法、和电子监测单元 Download PDFInfo
- Publication number
- CN109937563B CN109937563B CN201780066678.1A CN201780066678A CN109937563B CN 109937563 B CN109937563 B CN 109937563B CN 201780066678 A CN201780066678 A CN 201780066678A CN 109937563 B CN109937563 B CN 109937563B
- Authority
- CN
- China
- Prior art keywords
- communication
- risk
- communication path
- attack
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40052—High-speed IEEE 1394 serial bus
- H04L12/40104—Security; Encryption; Content protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/14—Multichannel or multilink protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于机动车辆中的通信网络的方法,其中,数据以至少一个通信路径(60)传输,以用于在该通信网络中进行通信。本发明还涉及一种电子监测单元。
Description
本发明涉及一种根据权利要求1所述的用于通信网络的方法、并且涉及一种电子监测单元。
基于以太网物理层以及在其上面的互联网协议(IP),正在寻找信息技术系统的范围内已经广泛使用的技术进入到车辆的通信网络中的方式。尤其相对于以太网和互联网协议越来越多的使用,需要另外的安全机制以便能够防止外部访问。由于越来越多的使用无线电技术以及相关联的开放和标准化协议,因此,基本上第一次可以在汽车行业通过远程访问车辆的通信网络。例如,已知的是在攻击者设法经由无线电获得访问车辆的权利并且因此影响重要的车辆功能期间访问车辆。其他工业领域具有不能应用至汽车的问题和解决方案,因为,例如在工作站级计算机的情况下,防火墙已经用已经存在在系统中的数据运行,而不是如车辆所需的实时数据。另外,工作站计算机的安全软件可以用比汽车中的软件明显更容易的方式更新。
根据现有技术的通信数据包通常包括传输装置的协议栈的上位层的报头。接收装置的协议栈将在接收此通信数据包时逐渐发展并且将借助于预先定义的过滤器来检验该通信数据包,以例如将传输数据运传送至相应的软件应用。通信数据包(例如以太网消息)通过例如控制装置中的TCP/IP栈运行并且基于对内容的分析而被传送至相应的应用。
协议栈的复杂度随着所使用协议的数量而相当程度地增加。例如,用于传输和复现音频和视频数据的音频/视频桥接(AVB)包括四个子协议,并且时间敏感网络(TSN)甚至包括十一个子协议和综合规范。这存在的缺点在于,因为由于所使用协议的多样性而存在非常大数量的不能简单表示的分支可能性,因此对于确定性协议栈不存在简单的可追踪性。因此,确定协议栈中存在的安全缺陷有相当大的问题。问题是,例如,如果有意或无意地使用了新的以太网类型那么该如何进行,这在有所怀疑的情况下将被送至中央计算单元,这可能导致严峻的系统状态、并且可能显著限制底层系统的功能并且可能危及道路使用者的安全。这样的故意的未经授权的访问可能使用先前未曾发现的安全缺陷,通过有意地在协议栈中寻找安全缺陷的阻断服务攻击(DoS)而发生。
本发明的目的是提供一种可以用于使得车辆网络就外部访问而言更安全的方法和设备。
所述目的是借助于权利要求1、并且借助于另外的独立权利要求所述的方法来实现的。
本发明提出了一种用于机动车辆中的通信网络的方法,其中,数据以至少一个通信路径传输,以用于在该通信网络中进行通信。根据本发明所述的方法包括至少一个步骤、优选地多个步骤。这些步骤至少涉及就通信路径的受攻击风险而言评估这些通信路径中可能用于传输数据的通信路径。
该攻击风险是为了使用安全缺陷而使通信路径被攻击的风险。换言之,这是通信路径被第三方攻击(网络攻击/黑客攻击)成为牺牲品的风险,通过其攻击该第三方获得访问控制机构/调节机构的信息或控制的权利。在汽车中,第三方接管控制权可能尤其对车辆购买者的安全有影响,并且因此应当避免。这可以借助于本发明得以实现。
在本发明的背景下,通信路径应当被理解为是指以下事实:路径包括多个通信参与方和用于在这些参与方之间传输数据的连接。在机动车辆中可能存在多个通信路径,这些通信路径适用于某种通信或适用于传输数据或适用于不同数据传输。
由于确定了可获得的通信路径被攻击的风险,所以可以在机动车辆被交付或出发之前,就已经确定了第三方为了攻击而可能使用的缺陷。因此,可以排除和/或减少这些缺陷或可以以这样的方式配置通信参与方之间的连接,使得存在低的攻击安全风险。
根据本发明的一种改进,优选地提供至少一个数据传输协议,以用于在通信路径中传输数据。根据改进,同样就数据传输协议的受攻击风险而言评估这些数据传输协议中可能用于传输数据的数据传输协议。
特别地,数据传输协议例如呈以太网、FlexRay、VLAN(虚拟局域网)、IP(互联网协议)、AVB(音频/视频桥接)、TSN(时间敏感网络)或SOME/IP(IP之上的可扩展的面向服务的中间件)的形式。由于对数据传输协议进行了额外评估,所以可获得更广的数据库,因此可以实现更好地发现缺陷并且因此对于攻击方面有更好的安全性。
在一个优选的改进中,该方法的步骤同样涉及基于确定的相关攻击风险的评估来选择用于传输数据的通信路径和数据传输协议,并且使用所选择的通信路径和所选择的数据传输协议来传输数据。在这种情况下,数据的传输可以借助于攻击风险的评估以这样的方式配置使得在网络上存在低的攻击安全风险。
本发明可以有利地增加车辆网络的安全性,特别是在没有额外财务支出的情况下。通过在汽车中使用以太网或其他数据传输系统(例如,FlexRay),尤其需要使用简单的技术和给定技术性质的机构,以便能够省去昂贵的实施和额外的硬件。由于借助于早期分析通信路径对攻击和反常行为进行早期检测,所以可以在车辆被交付之前检测缺陷和故障。根据本发明的网络系统在成本和可靠性方面得到改进。本发明更加清楚地限定了测试系统的能力并且因此可以节省测试成本。本发明还提供了透明的安全性功能。
在本发明的一个优选改进中,每个通信路径包括多个通信参与方。在这种情况下,通信参与方特别优选地至少包括传输器和接收方,在该传输器与该接收方之间以数据传输的形式进行通信。根据这个改进,通信参与方中的至少一个通信参与方(也就是说,传输器或接收方)是汽车中的通信网络的一部分。在这种情况下,这个参与方被优选地安排在汽车中。对应的其他通信参与方可以同样是通信网络的一部分、并且然后将同样安排在汽车中,或是因此被外部定位的外部参与方。外部参与方可以例如是外部安排的控制装置或云端。根据该改进,是网络的一部分的参与方优选地呈机动车辆的控制单元(例如,ECU-电子控制单元)的形式。
特别优选地,到车辆外部的连接以特别关键的方式被分析并且被可能地评估,这是因为外部通信参与方由于更好的可访问性而可以被第三方更简单地操作并且因此促进了对车辆网络的攻击。
在本发明的另一个优选改进中,该方法优选地包括(作为进一步的步骤)确定至少一个通信参与方的接口参数和/或至少一个通信参与方的连接性参数。特别优选地,所确定的参数被各自存储在数据库中或公共数据库中。该至少一个数据库可以特别优选地存储在中央控制装置或中央存储器中或通信参与方的控制装置中。根据另一个优选改进,接口参数和/或连接性参数被用于另一个步骤以就其受攻击风险方面评估通信路径。
每个通信参与方优选地具有用于传输数据的一个或多个接口。在本发明的一个优选改进中,接口参数至少包括与接口支持和/或转发的数据传输协议相关的信息。此外或可替代地,可以优选地提供的是确定接口是否被提供用于诊断功能或充电功能(OBD、电力线等)。在充电功能的情况下,车辆(尤其是电动车辆)可以经由接口供应电力。数据还可以特别地经由接口或电力线耦合。进一步优选地,可替代地或另外提供的是,就其传输数据的速度方面检查这些接口。
每个通信参与方还优选地具有连接至其他通信参与方的多种方式。在本发明的一个优选改进中,连接性参数至少包括与支持连接技术和/或分配功能相关的信息。控制单元可以支持例如多个不同的无线电技术(例如,WLAN或蓝牙)。控制单元是否可以访问多个总线是分配功能参数的一部分。同样可以确定是否访问交换机、桥、路由器和/或网关。
这些参数优选地存储在数据库中,其中,还特别优选地存储了与控制单元的MAC地址和/或IP地址以及与直接连接至控制单元的另外的装置相关的信息。
根据先前提及的方法,因此首先有利地通过确定存在哪些通信参与方以及它们带来哪些性能来进行状态分析。然后对该状态分析进行风险评估,以便发现可能攻击的缺陷。通信路径潜在的风险可以有利地通过收集或确定网络所给出的参数进行精确地分析。
在本发明的一个优选改进中,这些参数同样被确定以用于评估数据传输协议受攻击的风险并且被存储在数据库中。在这种情况下,尤其以特别优选的方式分析协议栈。
在本发明的一个优选改进中,数据传输协议确定的参数至少与用于数据协议的频率、用于与特定数量的接收方通信的适用性和/或传输类型相关。
在这种情况下,传输类型例如与传输方向、同步性或非同步性、通信参与方的位置和/或连接定向相关。在连接定向的情况下,连接的开始和结束由特殊的数据包序列限定。数据传输协议的参数还可以包括是否涉及数据包交换通信或流。
在本发明的一个优选改进中,使用对应的相关评估对通信路径和数据传输协议指配风险级别。因此,使通过使用通信路径和数据传输协议来决定或反对传输数据的过程变得更加简单。换言之,可以因此以更简单的方式作出关于哪个通信路径和哪个数据传输协议旨在用于通信的决定。
在本发明的一个优选改进中,与不同攻击情形相关的信息被用来评价通信路径受攻击的风险。该信息优选地同样存储在数据库中,该数据库尤其存储在存储器中并且不会被连续更新。然而,与攻击情形相关的信息还可以可替代地被定期更新,使得还可以考虑更新的攻击情形。例如,可以使用来自外部数据连接的更新而进行更新,在该外部数据连接中进行信息比较。信息特别优选地涉及不同的可能攻击类型和对汽车或购买者安全风险评估。一种可能攻击类型例如是DoS(拒绝服务),其中,由第三方引起过载并且导致功能或服务的失效。通信路径的评估因此可能被有利地调整成适应例如统计上最长出现的一个或多个攻击情形。可替代地或另外,与不同攻击情形相关的信息还可以用来评估数据传输协议。
由于上述过程,有利地执行详细分析或详细信息被存储以便能够尽可能精确地评估网络受攻击的风险。
在本发明的另一个优选改进中,在选择适用的通信路径和适用的数据传输协议之前,可以确定通信是否可以实际发生或是否由于过高安全风险而应该避免。此外,还可以响应于一个或多个评估来采取其他测量,即例如防火墙的特殊配置。
根据本发明的方法优选地在带端部处(在已经完成汽车生产之后)、在软件更新之后、在通告安全缺陷之后或当替换或更新通信路径的参与方时实施一次。因此,还可以在交付给终端消费者之后有利地检测安全缺陷,例如如果替换了控制装置或如果已经提供了软件更新。因此,终端消费者还提供了与在操作车辆期间的攻击有关的增强安全性。
在一个优选改进中,借助于算法评估通信路径被攻击的风险。该算法还可以优选地基于攻击风险创建风险级别并且可以给通信路径指配风险级别。为此目的,该算法尤其伴随地包括与通信路径的参数相关的一个或多个数据库、数据传输协议和/或评价时与不同攻击情形相关的信息。
如果已经选择、提供或指定了用于传输数据的特定的通信路径,则例如可以通过评估攻击风险而选择对于攻击提供高度安全性的数据传输协议来进行通信。这种选择也可能是反过来的。如果已经选择、指定或提供了数据传输协议,则可以基于通信路径的评估而选择对于攻击提供高度安全性的路径。此外,在通信路径与数据传输协议之间的相互作用中蕴含最低安全风险的群集可以选自多个可能的通信路径和数据传输协议。
在本发明的一个优选改进中,用于评估的至少一个数据库、特别优选地所有数据库或数据存储在安全存储区中。特别地,此安全存储区提供有加密并且因此保护免受攻击。在这种情况下,例如,安全存储区可以安排在中央控制装置中。
本发明还涉及一种用于机动车辆控制装置的电子监测单元或控制单元,该机动车辆控制装置被设计成用于执行该方法。
进一步优选的实施例基于附图从以下示例性实施例的描述中显现。
在示意性表示中:
图1示出了通信数据包或栈的结构,
图2示出了软件栈的示例性表示,
图3示出了复杂的以太网/IP通信栈及其分支的示例性实例,
图4示出了本发明的示例性实施例,
图5示出了根据本发明的方法的示例性配置,其中展示了对控制装置的连接性参数和接口参数的确定,
图6示出了根据本发明的方法的示例性配置,其中展示了对数据传输协议的参数的确定,
图7示出了协议的示例性风险评估,
图8示出了具有连接到云端或其他外部单元的车辆中关键路径的示例性路径,并且
图9示出了根据本发明的用于保护通信路径的方法的示例性实施例。
为了能够简短且简单地描述示例性实施例,完全相同的元件提供有相同的附图标记。
图1示出了通信数据包或栈1的通常已知的结构。随着以太网和IP(互联网协议)的出现所带来的挑战尤其是新的通信栈的复杂度。互联网世界与AUTOSAR的初始融合需要大量的初始投资,这是因为两个世界以完全不同的方式运行(例如,静态与动态)。
图1展示了典型的通信数据包。通信栈在接收数据包时逐渐发展,并且根据特定的、预先定义的过滤器检查数据包,以便将其转发至正确的接收方(例如,应用)。
通信数据包包括实际数据内容3和以举例方式示出的多个报头2a-d,这些报头被指配给软件栈的不同层(参见图2)。将报头提供给软件栈的每个层并且向软件栈的层提供处理通信数据包所需要的信息。
图2示出了控制装置中软件栈4的示例性表示。以举例方式展示了TCP/IP栈6。通信数据包(例如,如图1所示)通过此栈运行,在该栈中分析了该数据包。基于内容分析,确定通信数据包被转发至哪个应用。
所展示的TCP/IP栈6包括多个层(此处,如附图标记8、10和12表示),其中,层8是MAC(介质访问控制)形式,层10是IP(互联网协议)形式,并且层12是TCP/UDP(传输控制协议/用户数据报协议)形式。通信数据包的报头(参见图1)被各自指配给这些层中的一个层。
根据通常已知的OSI模式,MAC层8表示第一层(物理层)(例如,图1中报头2a)和第二层(数据链路层)(例如,图1中报头2b),IP表示OSI模式的第三层(例如,图1中的报头2c),并且TCP/UDP表示OSI模式的第四层(例如,图1中的报头2d)。“中间件”层以层14表示,该层与OSI模式的第五层和第六层(会话和表示)相对应。应用(“应用”层)在该中间件层上方作为第七层16。
以太网帧(也就是说,数据包1)被传输至TCP/IP栈6。某层(PDU=有效载荷数据单元)的数据和管理信息18可以例如从TCP/IP栈6传输至“中间件层”14。
图3示出了复杂的以太网/IP通信栈及其分支的示例性实例。清楚地看出,对于必须在这种软件栈中处理的以太网数据包的内容存在多种不同的可能性。随着以太网和IP的出现,汽车中软件栈的复杂度大大增加。尤其由于多个不同的分支可能性,确定性软件栈的可追踪性不再如此简单。
图4示出了本发明的示例性实施例,其中,数据库20存储在中央网关22中,或中央网关22具有访问此数据库20的权利。数据库20包含由根据本发明的方法确定的信息。从中央网关22分支出去的是另外的网关(GW)和控制装置或可能的通信方(描绘为小框),它们经由CAN(控制局域网络)、LIN(本地互联网络)、FlexRay、MOST(媒体导向系统传输)、WLAN(无线局域网络)、LVDS(低电压差分信号)、蓝牙或以太网彼此连接。
根据本发明的方法中考虑了所有这些不同的可能连接,其中,对于各个连接可能性的风险评估至少存储在数据库(例如20)中。在这种情况下,风险评估是指第三方经由连接获得访问车辆中控制/调节机构的数据和/或控制的权利的风险。在此数据库20中的信息(例如通过算法)用于给通信路径和数据传输协议指配风险级别。风险级别被用作选择哪个通信路径与哪个数据传输协议组合的基础,该数据传输协议旨在在多个参与方之间执行通信或数据传输。在这种情况下,优选地选择具有相对较低的安全风险或对其而言已经确定相对较低的攻击风险的通信路径和数据传输协议的组合。
图5示出了用于确定控制单元的连接性参数和接口参数的本发明的示例性实施例。
各个步骤的解释如下:
30:开始查询控制装置的连接性和接口
32:ECU是否支持无线电技术(例如,WLAN、蓝牙)?
33:请求此装置的MAC地址和IP地址,包括直接连接控制装置的地址
34:ECU是否具有提供用于诊断或充电(OBD、电力线等)的接口?
35:请求此装置的MAC地址和IP地址,包括直接连接控制装置的地址、和配电状态
36:ECU是否具有分配功能(交换机、路由器、网关)?
37:请求此装置的IP地址和端口状态和速度
38:ECU是否具有快速接口,例如100BaseT1或可比的或更快的?
39:查询流量监管和速率限制功能
40:结束
例如,可以查询控制单元(ECU)是否支持无线电连接,例如WLAN或蓝牙(附图标记32)。如果支持,则确定装置的MAC地址和/或IP地址33并将其存储在数据库20中。连接至控制单元的装置的地址(MAC和IP)同样优选地存储在数据库20中。还可以查询例如控制单元是否具有适于诊断或充电(OBD-车载诊断、PLC-电力线通信等)的接口34。在这种情况下,也可以再次存储地址与配电状态(如果存在用于电力线通信的接口)35。在这种情况下,配电状态可以是以其对接口供应电力的方式,也就是说,例如从外部电池还是从内部电池向接口供应电力。
另一个示例性查询可能关于控制单元的分配功能36。如果控制单元具有分配功能,则可以访问不同总线并且可以因此到达不同通信参与方(例如交换机、路由器、网关)。除了存储此控制单元和可以连接的通信参与方的IP地址之外,端口的对应状态和可能的速度在此也优选地存储在数据库20中37。能量状态例如“关”、“开”、“节能模式”、“唤醒”等可以设置为端口的状态。
在进一步查询时,可以提供的是例如,确定接口的速度、尤其是是否存在快速接口(例如100BASE-T1)38。这方面优选地使用与监测(流量监管)和速率限制功能相关的信息。在速率限制功能的范围内,数据速率是基于时间单位设置的。然后在所谓的流量监管期间执行监测以便确保不会超过每时间单位的最大数据速率。例如,如果发生超出,例如如果传输的数据多于所设置的数据,则所述数据被拒绝。用于所述功能的信息或设置可以作为用于接口的参数被捕获39并且可以存储在数据库20中。
在这种情况下,各个查询步骤可以以编程循环运行、并且可以是算法的一部分,该算法例如存储在中央控制装置(例如,网关22)上、并且优选地在安全存储区中。数据库20还优选地存储在此存储区中或另一个安全存储区中。
存在于车辆的网络中的控制装置优选地借助于上述方法基于它们的连接性按照风险级别进行分类,以便存储重要的参数,将基于这些重要的参数来对安全机制进行指配。在这种情况下,这些ECU装备有无线电技术或装备有可以与其发生接触的开放网络接口。
然后,例如可以对协议支持进行检查。在等待连接到外部之前、在软件更新或知晓现存协议中的安全缺陷之后,这可以被执行一次(带端)。在这种情况下,该方法可以集中开始、也可以通过单独ECU来请求。例如,如果通信路径的架构是待定的并且如果诊断数据例如旨在通过无线电从天线模块传输,则天线模块可以检查对应的用于其协议支持的邻近装置。
图6以举例方式示出了根据本发明的方法的一部分和包含在其中的算法的各个步骤或程序步骤。各个步骤是:
50:开始检查协议实施
每个控制装置51检查各自的接口52,以便确定是否支持54和/或转发55特定的协议类型53。
步骤54:确定接口是否支持该协议。
步骤55:确定接口是否转发该协议。
步骤56:在数据库20中存储信息,其中,该信息例如与ECU、接口和协议类型相关。
57:程序运行结束
除了附图标记之外,图6中还引用一些注解,因为借助于这些注解可以更好地理解附图标记所表示的程序运行。
因此针对每个ECU以及ECU的每个接口确定了是否支持不同的协议类型51-54。协议类型优选地各自通过算法单独地查询53。结果被存储在数据库20中。在这种情况下,该结果优选地是表,该表指定ECU和接口并且指示是否支持对应的协议类型。例如,可以创建如图7所示的这种类型的结果表。图7中所示的矩阵反映了实际实施而非规范。这使得可以识别实施中的故障或其他缺陷。另外,矩阵可以为
或系统制造商服务,以例如用于在安全性方面审核和测试车辆,而不考虑由此产生的机制并且甚至是在车辆交付给终端消费者之前。
图8例如示出了关键路径60,该关键路径在这种情况下由外部连接(例如,到云端的无线电连接)62组成。在参数分析中,优选地从一开始就将外部连接分类或评估为比仅有内部连接更关键。例如,旨在启动以软件下载64形式的数据传输,在这种情况下旨在从云端62下载软件。为此目的,内部存储器66经由头单元70例如连接至网关68(可能与22完全相同),并且网关68经由WLAN连接模块72连接至云端62。根据实例,通信方62-72的这个链路因此表示通信路径60。就其受攻击风险方面评估此路径60,也就是说可能会危及车辆安全的成为被第三方攻击的牺牲品的风险有多高。为此目的,就各个通信参与方62-72的连接性参数及其接口参数来检查各个通信参与方。同时,在评估中优选地包括各个可能的数据传输协议的风险。如果打算选择此路径60进行通信并且当考虑路径60被攻击的风险时发现预期的协议太不安全,则例如可以选择不同协议来传输数据。可替代地,还可以选择其他更安全的路径进行通信。
在图8中以举例方式示出的这个路径60可以由系统设计者或架构者指定,因此也可以被定义或动态确定。
此外,在检查矩阵(图7)之后,路径60还可以另外地检查其缺陷。然而,可能发生这样的情况,其中非关键路径变得至关重要。例如,由于控制装置的反常行为,其数据可以被转发至CPU,由此另一个控制装置被阻塞并且发生停止。
通信路径的实例和参数:
有关控制装置:
天线、网关(包括交换机)、头单元
协议:
以太网、VLAN、时间同步、IP、TCP、SOME/IP
信息频率:
以太网每秒x个数据包,TCP每秒x个数据包等、最大数据包大小
如果突然要由中央计算单元处理1000个数据包而不是每秒10个数据包,则曾被认为是安全的数据流可能成为风险。CPU(还可能是多个)因此是重要的,这是因为输入数据包始终以高优先级进行处理(接收并且存储)。如果太多数据包达到过高频率并且具有过大的数据包大小,则CPU可以被阻塞并且控制装置可能因此完全失效。
如果通信路径被固定(例如图8),则可以就其风险级别及其协议支持方面查询有关的控制装置62-72。在通信所需要的协议的帮助下,可以因此立即检测出缺陷和/或风险。例如,在此连接中,TCP数据流量被转发至头单元70中的CPU。此信息存在于风险评估中。甚至在建立实际连接之前,TCP流量可能在头单元70中或甚至更早地(在网关68中)受到限制,也就是说可以规定每秒的最大数据包数据速率。
此外,头单元70中的防火墙可以基于通信参数和(已经)检测到的缺陷进行配置。这意味着,防火墙的过滤器被针对此通信调节并且将其置以较高优先级。
图9示出了根据本发明的方法可能的全视图。在该方法开始时,因此首先优选地,就其接口及其连接性参数方面查询各个通信参与方80。结果被存储在数据库20中。此外,例如,作为下一步骤,查询支持的数据传输协议82并且将其同样存储在数据库中。在这种情况下,也将对应的数据传输协议受到攻击的风险进行了存储。因为通常已经知晓数据传输协议的多种不同类型,所以对应存在的攻击风险也可以作为信息早先存储在数据库中,然后当确定支持的协议时使用该信息。然后,基于存储的信息来评估数据传输协议被攻击的风险。
总的来说,可以产生风险矩阵84(如图7所示)。于是,就其受攻击风险方面评估该路径86。这可以借助于算法来执行。然后可以从支持的数据传输协议中选择具有相对较低的安全风险(在网络上受攻击的风险)的协议来进行通信88。
基于分类,还可以确定和指定可能的安全资源的等级90,由此,可以在设计阶段期间、在带端编程期间或在动态和破坏性构架(disruptive architecture)的情况下计划和实施网络中的信息安全。
步骤的概述:
80:确定通信参与方的连接性参数和接口参数
82:确定其支持哪个协议
84:创建风险矩阵
86:关键路径的计算/查询
88:分析所需要的协议/选择适用的数据传输协议
90:定义安全方法
数据库20和/或评估算法特别优选地是集中存储并且存储在各自单独的控制装置中。所谓的风险评估是在支持和不支持的协议及其处理的基础上产生的。此风险评估然后可以用来分析和保护通信路径。在创建通信路径期间查询此矩阵并且如果必要的话限定动作。生成的矩阵反映了实际实施并且不是规范。这使得可以识别实施或其他安全缺陷中的故障。不管由此生成的机制如何,矩阵还可以用于就信息安全方面验证和检查车辆。
在具备了协议支持的知识之后,ECU例如可以因为路径上存在问题而改变其协议选择。例如,在此可以选择更安全的协议。
在现有的附图中,数据库提供有附图标记20。然而,各个确定的参数和攻击风险可以同样存储在单独的数据库中。在这种情况下,数据库然后分别可供用于接口参数、连接性参数、通信路径或通信参与方被攻击的风险、数据传输协议被攻击的风险、以及风险级别。
本发明定义了为潜在攻击功能选择正确软件分支的机制。本发明陈述了哪种应用类型可以使用哪种数据包以及不可以使用哪种数据包。
本发明可以在带端(end-of-belt)编程期间和在系统测试中使用。此外,将来将为汽车提供越来越多软件更新,由此,可以得到新的功能。由于种类繁多,本发明适用于在以其全部和部分更新后检查并且以新的方式评估车辆中的软件栈。本发明提出了一种方法,该方法配置这些调节机构以及网络中的可能性、并且使它们经由接口可使用。因此可以觉察出存在哪些可能的缺陷以及软件是否满足预先定义的需求。这种方法还使得可以提供透明性并且因此就安全性方面以更简单的方式检查和测试整个网络。
Claims (7)
1.一种用于机动车辆中的通信网络的方法,其特征在于,
该方法包括由机动车辆的控制装置评估能在所述控制装置、机动车辆内的内部设备和机动车辆外的外部设备之间传输数据的通信路径,该评估包括:
由所述控制装置确定所述控制装置和内部设备之间以及所述控制装置和外部设备之间的每个通信路径;
由所述控制装置确定内部设备和外部设备中的每一个设备所支持的通信协议;
由所述控制装置确定第三方设备对每个通信路径和每个通信协议的攻击风险;
所述控制装置基于所述攻击风险选择通信路径中选定的通信路径和通信协议中选定的通信协议的组合;以及
所述控制装置经由所选择的组合中的选定的通信路径和选定的通信协议与至少一个内部设备或至少一个外部设备进行通信,从而控制所述机动车辆。
2.如权利要求1所述的方法,其特征在于,
每个通信路径(60)包括多个内部设备和多个外部设备,
其中,该方法包括以下进一步的步骤:
确定内部设备和外部设备的接口参数,并且
将这些接口参数存储在数据库(20)中,并且
使用这些接口参数来评估(86)这些通信路径(60)。
3.如权利要求1或2所述的方法,其特征在于,
每个通信路径(60)包括多个内部设备和多个外部设备,
其中,该方法包括以下进一步的步骤:
确定内部设备和外部设备的连接性参数,并且
将这些连接性参数存储在数据库(20)中,并且
使用所确定的连接性参数来评估(86)这些通信路径(60)。
4.如权利要求1或2所述的方法,其特征在于,该方法包括以下方法步骤:
使用对该攻击风险(86,82)的对应相关评估来分配这些通信路径(60)和通信协议(4)的风险级别。
5.如权利要求1或2所述的方法,其特征在于,使用涉及不同攻击情形的信息来评估(86,82)这些通信路径(60)和/或这些通信协议(4)的攻击风险。
6.如权利要求1或2所述的方法,其特征在于,该方法在已经完成机动车辆生产之后、在软件更新之后、在通告安全缺陷之后或当替换或更新该通信路径(60)的至少一个内部设备或外部设备时执行一次。
7.一种用于在机动车辆中控制通信网络的控制装置,其特征在于,该控制装置被设计成用于执行如权利要求1至6之一所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102016222741.6 | 2016-11-18 | ||
| DE102016222741.6A DE102016222741A1 (de) | 2016-11-18 | 2016-11-18 | Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit |
| PCT/EP2017/079027 WO2018091401A1 (de) | 2016-11-18 | 2017-11-13 | Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109937563A CN109937563A (zh) | 2019-06-25 |
| CN109937563B true CN109937563B (zh) | 2021-10-22 |
Family
ID=60452608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780066678.1A Active CN109937563B (zh) | 2016-11-18 | 2017-11-13 | 用于通信网络的方法、和电子监测单元 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US11038912B2 (zh) |
| EP (1) | EP3542510A1 (zh) |
| JP (1) | JP2020501420A (zh) |
| KR (1) | KR102293752B1 (zh) |
| CN (1) | CN109937563B (zh) |
| DE (1) | DE102016222741A1 (zh) |
| WO (1) | WO2018091401A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3566400B1 (en) * | 2017-01-05 | 2022-08-17 | Guardknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof |
| JP2020184651A (ja) * | 2019-04-26 | 2020-11-12 | 日本電産モビリティ株式会社 | 車載制御装置、及び情報処理装置 |
| JP7411355B2 (ja) * | 2019-08-30 | 2024-01-11 | マツダ株式会社 | 車載ネットワークシステム |
| CN114930914A (zh) * | 2020-01-09 | 2022-08-19 | 索尤若驱动有限及两合公司 | 用于数据传输的方法以及技术系统 |
| DE102021104420A1 (de) * | 2021-02-24 | 2022-08-25 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zum Betreiben eines Bordnetzes, Bordnetz, und Steuergerät |
| CN114760092A (zh) * | 2022-03-09 | 2022-07-15 | 浙江零跑科技股份有限公司 | 一种用于智能汽车与云平台的网络数据安全检测系统 |
| CN117978522B (zh) * | 2024-02-23 | 2024-09-10 | 应急管理部大数据中心 | 基于虚拟链路增强混淆的网络通信方法、系统及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101937421A (zh) * | 2009-07-03 | 2011-01-05 | 上海大潮电子技术有限公司 | 采集车辆实时运行信息而进行运行安全风险评估的方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8909926B2 (en) | 2002-10-21 | 2014-12-09 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis, validation, and learning in an industrial controller environment |
| US8220042B2 (en) | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
| US9325737B2 (en) * | 2007-06-28 | 2016-04-26 | Motorola Solutions, Inc. | Security based network access selection |
| JP2009071436A (ja) | 2007-09-11 | 2009-04-02 | Toshiba Corp | 通信経路選択方法及び中継用情報処理機器 |
| JP5188288B2 (ja) | 2008-06-25 | 2013-04-24 | 株式会社Kddi研究所 | 暗号プロトコルの安全性検証装置、安全性検証方法およびプログラム |
| US8051480B2 (en) | 2008-10-21 | 2011-11-01 | Lookout, Inc. | System and method for monitoring and analyzing multiple interfaces and multiple protocols |
| US8863256B1 (en) | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| EP2909065B1 (en) * | 2012-10-17 | 2020-08-26 | Tower-Sec Ltd. | A device for detection and prevention of an attack on a vehicle |
| EP3056394B1 (en) * | 2013-10-08 | 2022-11-30 | ICTK Holdings Co., Ltd. | Vehicle security network device and design method therefor |
| US9282110B2 (en) | 2013-11-27 | 2016-03-08 | Cisco Technology, Inc. | Cloud-assisted threat defense for connected vehicles |
| US9398035B2 (en) * | 2013-12-31 | 2016-07-19 | Cisco Technology, Inc. | Attack mitigation using learning machines |
| EP3358800B1 (en) * | 2014-01-06 | 2021-10-20 | Argus Cyber Security Ltd | Bus watchman |
-
2016
- 2016-11-18 DE DE102016222741.6A patent/DE102016222741A1/de active Pending
-
2017
- 2017-11-13 KR KR1020197014356A patent/KR102293752B1/ko active IP Right Grant
- 2017-11-13 US US16/344,876 patent/US11038912B2/en active Active
- 2017-11-13 EP EP17804113.3A patent/EP3542510A1/de active Pending
- 2017-11-13 JP JP2019526329A patent/JP2020501420A/ja active Pending
- 2017-11-13 CN CN201780066678.1A patent/CN109937563B/zh active Active
- 2017-11-13 WO PCT/EP2017/079027 patent/WO2018091401A1/de unknown
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101937421A (zh) * | 2009-07-03 | 2011-01-05 | 上海大潮电子技术有限公司 | 采集车辆实时运行信息而进行运行安全风险评估的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190268368A1 (en) | 2019-08-29 |
| WO2018091401A1 (de) | 2018-05-24 |
| KR102293752B1 (ko) | 2021-08-24 |
| EP3542510A1 (de) | 2019-09-25 |
| KR20190065439A (ko) | 2019-06-11 |
| CN109937563A (zh) | 2019-06-25 |
| US11038912B2 (en) | 2021-06-15 |
| JP2020501420A (ja) | 2020-01-16 |
| DE102016222741A1 (de) | 2018-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109937563B (zh) | 用于通信网络的方法、和电子监测单元 | |
| US11120149B2 (en) | Security system and method for protecting a vehicle electronic system | |
| CN109863732B (zh) | 用于通信网络的方法、和电子监测单元 | |
| US10703309B2 (en) | Method and device for connecting a diagnostic unit to a control unit in a motor vehicle | |
| US11314614B2 (en) | Security for container networks | |
| RU2517164C2 (ru) | СПОСОБ ОГРАНИЧЕНИЯ ОБЪЕМА СЕТЕВОГО ТРАФИКА, ПОСТУПАЮЩЕГО НА ЛОКАЛЬНЫЙ УЗЕЛ, ДЕЙСТВУЮЩИЙ СОГЛАСНО ПРОТОКОЛУ Ethernet ПРОМЫШЛЕННОГО ПРИМЕНЕНИЯ | |
| CN112039656B (zh) | 以太网交换机及其控制方法 | |
| US11533327B2 (en) | Method and device for intrusion detection in a computer network | |
| US20210014253A1 (en) | Device and method for intrusion detection in a communications network | |
| CN115225292A (zh) | 一种内网访问方法、装置、设备及计算机可读存储介质 | |
| Lindberg | Security analysis of vehicle diagnostics using DoIP | |
| US20210392012A1 (en) | Control unit architecture for vehicles | |
| US20240195837A1 (en) | Detecting anomalous communications | |
| US10063487B2 (en) | Pattern matching values of a packet which may result in false-positive matches | |
| Krantz | Modelling and Security Analysis of Internet Connected Cars | |
| WO2020161523A1 (en) | System for detecting short duration attacks on connected vehicles | |
| Developers | Testing Automotive Ethernet PHY |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230113 Address after: Hannover Patentee after: Continental Automotive Technology Co.,Ltd. Address before: 9 Valen Ward street, Hannover, Germany Patentee before: CONTINENTAL AUTOMOTIVE GmbH |
|
| TR01 | Transfer of patent right |