CN110445633B - 用于在分布式网络中提供经认证更新的方法 - Google Patents
用于在分布式网络中提供经认证更新的方法 Download PDFInfo
- Publication number
- CN110445633B CN110445633B CN201910342918.7A CN201910342918A CN110445633B CN 110445633 B CN110445633 B CN 110445633B CN 201910342918 A CN201910342918 A CN 201910342918A CN 110445633 B CN110445633 B CN 110445633B
- Authority
- CN
- China
- Prior art keywords
- node
- update
- transceiver
- authenticated
- credentials
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
Abstract
提供了一种用于在分布式网络中提供经认证更新的方法。所述分布式网络具有耦合到串行总线的多个节点。所述方法开始于将凭证从外部装置传输到第一节点。将更新数据和认证代码从所述外部装置提供给第二节点的处理器。所述第二节点的所述处理器向所述第二节点的所述收发器提供所述更新数据和所述认证代码。通过所述第二节点的所述处理器最终确定所述经认证更新。通过所述第一节点的所述收发器关闭所述经认证更新。向所述第二节点的所述收发器提供所述经认证更新的所述凭证。所述第二节点的所述收发器使用所述凭证和所述认证代码验证所述更新数据。在被验证后,存储经认证的更新数据。
Description
技术领域
本公开总体上涉及安全性,并且更具体地说,涉及一种用于在分布式网络中提供经认证更新的方法。
背景技术
控制器局域网(CAN)是主要用于汽车应用的通信标准。CAN协议的数据链路层被标准化为国际标准组织(ISO)11898。CAN系统在分布式网络系统中的处理器、传感器与致动器之间提供串行通信以控制系统如安全气囊、制动器、巡航控制、动力转向、车窗、门锁、引擎控制模块(ECM)、电子控制单元(ECU)等。当首次开发CAN时,因为没有提供外部访问,无需考虑安全性。然而,现在可以远程地或外部地由例如车载诊断(OBD)系统访问CAN系统以配置和上报有关车辆的电子器件。车辆系统暴露于外部实体产生安全性和安全风险。
在安全领域和应用中,认证和完整性验证是用于保护系统免受如欺骗和篡改等安全性威胁的两种机制。数据认证和完整性验证传统上借助于密码算法和相关联的一个或多个密钥或公钥实施。然而,密码算法的使用通常需要处理时间和非易失性存储装置的广泛使用。相比之下,非密码对策也是已知的,并且如果制造商接受这些规则可以被仅编程一次,则所述非密码对策很好地工作而不招致依赖于实时密码对策的高成本。为了抵抗潜在的恶意攻击,已经开始使用非密码对策开发在CAN总线上运行的CAN收发器。为了保护系统,安全CAN收发器可以根据规则集提供在CAN总线上扼杀的消息,从而过滤消息传输并限制消息传输速率。
安全收发器的规则集可能需要装置配置不时地更新。当其包括并涉及如防火墙规则等安全资产时,CAN上的装置配置更新可能需要认证新规则集数据。出于安全性目的,需要应用正确的规则以防止未经授权的修改,这需要一种更新规则的安全方式。
发明内容
根据本发明的第一方面,提供一种用于在具有耦合到串行总线的多个节点的分布式网络中提供经认证更新的方法,所述方法包括:
将凭证从外部源传输到第一节点;
将更新数据和认证代码从所述外部源提供给第二节点;
通过所述第二节点的处理器启动所述经认证更新;
通过所述第二节点的所述处理器最终确定所述经认证更新;
通过所述第一节点关闭所述经认证更新;
由所述第一节点向所述第二节点提供所述经认证更新的所述凭证;
使用所述凭证和所述认证代码验证所述更新数据;以及
存储经认证的更新数据。
在一个或多个实施例中,所述第一节点的收发器被表征为能够根据预定规则使所述串行总线上的消息无效的安全收发器。
在一个或多个实施例中,验证进一步包括根据由所述凭证限定的加扰掩码在所述更新数据和所述认证代码的加扰版本上使用循环冗余校验。
在一个或多个实施例中,所述经认证更新是针对所述分布式网络的预定收发器的规则集的更新。
在一个或多个实施例中,启动所述经认证更新进一步包括所述第二节点的收发器进入更新状态,其中所述第二节点的所述收发器接受用于更新所述第二节点的所述收发器的存储器中的数据的命令并拒绝用于设置所述凭证的命令。
在一个或多个实施例中,最终确定所述经认证更新进一步包括所述第二节点的收发器进入关闭状态,其中所述第二节点的所述收发器不接受用于更新所述第二节点的存储器中的数据的命令。
在一个或多个实施例中,所述分布式网络是控制器局域网(CAN)。
在一个或多个实施例中,所述认证代码被表征为消息认证代码(MAC)。
在一个或多个实施例中,为所述分布式网络中的每个经认证更新随机地生成所述凭证。
根据本发明的第二方面,提供一种用于在具有耦合到串行总线的多个节点的分布式网络中提供经认证更新的方法,所述方法包括:
将凭证从外部装置传输到第一节点;
将更新数据和认证代码从所述外部装置提供给第二节点的处理器;
通过所述第二节点的所述处理器启动所述经认证更新;
由所述第二节点的所述处理器向所述第二节点的安全收发器提供所述更新数据和所述认证代码;
通过所述第二节点的所述处理器最终确定所述经认证更新;
通过所述第一节点关闭所述经认证更新;
由所述第一节点的收发器向所述第二节点的所述安全收发器提供所述经认证更新的所述凭证,其中所述第一节点的所述收发器被配置成根据预定规则监测所述串行总线上的消息并使所述消息无效;
由所述第二节点的所述安全收发器使用所述凭证和所述认证代码验证所述更新数据;以及
将经认证的更新数据存储在存储器中。
在一个或多个实施例中,验证进一步包括根据由所述凭证限定的加扰掩码在所述更新数据和所述认证代码的加扰版本上使用循环冗余校验。
在一个或多个实施例中,所述凭证是密码。
在一个或多个实施例中,所述经认证更新是针对所述分布式网络的预定安全收发器的规则集的更新。
在一个或多个实施例中,启动所述经认证更新进一步包括所述第二节点的收发器进入更新状态,其中所述第二节点的所述收发器接受用于更新所述第二节点的所述收发器的存储器中的数据的命令并拒绝用于设置所述凭证的命令。
在一个或多个实施例中,最终确定所述经认证更新进一步包括所述第二节点的所述安全收发器进入关闭状态,其中所述第二节点的所述安全收发器不接受用于更新所述第二节点的存储器中的数据的命令。
根据本发明的第三方面,提供一种用于在具有耦合到串行总线的多个节点的分布式网络中提供经认证更新的方法,所述方法包括:
将凭证从外部装置传输到第一节点的安全收发器;
将更新数据和认证代码从所述外部装置提供给第二节点的处理器;
通过所述第二节点的所述处理器启动所述经认证更新;
进入更新状态;
由所述第二节点的所述处理器向所述第二节点的所述安全收发器提供所述更新数据和所述认证代码;
通过所述第二节点的所述处理器最终确定所述经认证更新;
进入关闭状态;
通过所述第一节点的所述安全收发器关闭所述经认证更新;
由所述第一节点的所述收发器向所述第二节点的所述安全收发器提供所述经认证更新的所述凭证;
由所述第二节点的所述安全收发器使用所述凭证和所述认证代码验证所述更新数据;以及
将经认证的更新数据存储在存储器中。
在一个或多个实施例中,所述分布式网络是控制器局域网(CAN)。
在一个或多个实施例中,所述认证代码被表征为消息认证代码(MAC)。
在一个或多个实施例中,所述安全收发器被表征为能够根据预定规则移除所述串行总线上的消息。
在一个或多个实施例中,所述经认证更新是所述预定规则的更新。
本发明的这些和其它方面将根据下文中所描述的实施例显而易见,且参考这些实施例予以阐明。
附图说明
本发明是通过举例来说明的并且不受附图限制,在附图中,相同的附图标记表示类似的元件。附图中的元件是为了简单和清楚起见而示出的,并且不一定按比例绘制。
图1示出了根据实施例的分布式网络系统。
图2示出了根据实施例的安全收发器的框图。
图3示出了根据实施例的状态转换在经认证更新期间的状态图。
图4示出了根据实施例的经认证更新的序列图。
具体实施方式
通常,提供了一种用于更新安全收发器的规则集的方法,所述安全收发器不需要使用复杂密码技术。CAN系统中的可信节点负责认证系统中的另一个节点的规则集的更新。在更新之前,认证代码是未知的或由可信节点存储。具有经更新规则的节点使用认证代码和凭证执行两步认证。第一步将新数据加用于更新的认证代码存储在要更新的节点的安全收发器上的存储器中。第二步使用认证代码执行认证并且将新数据存储在安全收发器中的NVM中。在第二步的过程中,数据不能被修改。使用由可信节点提供的凭证来验证所述认证。仅在第二步的执行过程中,由可信节点提供凭证。可信节点是能够提供凭证的唯一节点。使用可信节点验证经认证更新需要攻击者或恶意节点破坏两个节点而不是仅一个。而且,所述方法提供了对更新的认证而不使用复杂密码。
根据实施例,提供了一种用于在具有耦合到串行总线的多个节点的分布式网络中提供经认证更新的方法,所述方法包括:将凭证从外部源传输到第一节点;将更新数据和认证代码从所述外部源提供给第二节点;通过所述第二节点的处理器启动所述经认证更新;通过所述第二节点的所述处理器最终确定所述经认证更新;通过所述第一节点关闭所述经认证更新;由所述第一节点向所述第二节点提供所述经认证更新的所述凭证;使用所述凭证和所述认证代码验证所述更新数据;以及存储经认证的更新数据。所述第一节点的收发器可以被表征为能够根据预定规则使所述串行总线上的消息无效的安全收发器。所述验证步骤另外包括根据由所述凭证限定的加扰掩码在所述更新数据和所述认证代码的加扰版本上使用循环冗余校验。所述经认证更新可以是针对所述分布式网络的预定收发器的规则集的更新。启动所述经认证更新可以另外包括所述第二节点的收发器进入更新状态,其中所述第二节点的所述收发器接受用于更新所述第二节点的所述收发器的存储器中的数据的命令并拒绝用于设置所述凭证的命令。最终确定所述经认证更新可以另外包括所述第二节点的收发器进入关闭状态,其中所述第二节点的所述收发器不接受用于更新所述第二节点的存储器中的数据的命令。所述分布式网络可以是控制器局域网(CAN)。所述认证代码可以被表征为消息认证代码(MAC)。可以为所述分布式网络中的每个经认证更新随机地生成所述凭证。
在另一个实施例中,提供了一种用于在具有耦合到串行总线的多个节点的分布式网络中提供经认证更新的方法,所述方法包括:将凭证从外部装置传输到第一节点;将更新数据和认证代码从所述外部装置提供给第二节点的处理器;通过所述第二节点的所述处理器启动所述经认证更新;由所述第二节点的所述处理器向所述第二节点的安全收发器提供所述更新数据和所述认证代码;通过所述第二节点的所述处理器最终确定所述经认证更新;通过所述第一节点关闭所述经认证更新;由所述第一节点的收发器向所述第二节点的所述安全收发器提供所述经认证更新的所述凭证,其中所述第一节点的所述收发器被配置成根据预定规则监测所述串行总线上的消息并使所述消息无效;由所述第二节点的所述安全收发器使用所述凭证和所述认证代码验证所述更新数据;以及将经认证的更新数据存储在存储器中。验证另外包括根据由所述凭证限定的加扰掩码在所述更新数据和所述认证代码的加扰版本上使用循环冗余校验。所述凭证可以是密码。所述经认证更新可以是用于所述分布式网络的预定安全收发器的规则集的更新。启动所述经认证更新可以另外包括所述第二节点的收发器进入更新状态,其中所述第二节点的所述收发器接受用于更新所述第二节点的所述收发器的存储器中的数据的命令并拒绝用于设置所述凭证的命令。最终确定所述经认证更新可以另外包括所述第二节点的所述安全收发器进入关闭状态,其中所述第二节点的所述安全收发器不接受用于更新所述第二节点的存储器中的数据的命令。
在又另一个实施例中,一种用于在具有耦合到串行总线的多个节点的分布式网络中提供经认证更新的方法,所述方法包括:将凭证从外部装置传输到第一节点的安全收发器;将更新数据和认证代码从所述外部装置提供给第二节点的处理器;通过所述第二节点的所述处理器启动所述经认证更新;进入更新状态;由所述第二节点的所述处理器向所述第二节点的所述安全收发器提供所述更新数据和所述认证代码;通过所述第二节点的所述处理器最终确定所述经认证更新;进入关闭状态;通过所述第一节点的所述安全收发器关闭所述经认证更新;由所述第一节点的所述收发器向所述第二节点的所述安全收发器提供所述经认证更新的所述凭证;由所述第二节点的所述安全收发器使用所述凭证和所述认证代码验证所述更新数据;以及将经认证的更新数据存储在存储器中。所述分布式网络可以是控制器局域网(CAN)。所述认证代码可以被表征为消息认证代码(MAC)。所述安全收发器可以被表征为能够根据预定规则移除所述串行总线上的消息。所述经认证更新可以是所述预定规则的更新。
图1示出了根据实施例的分布式网络系统10。在一个实施例中,分布式网络系统10是CAN系统。所述CAN系统最初开发用于汽车。然而,CAN系统也被用于其它技术领域中,如工业自动化、医疗设备、航空航天和铁路系统。系统10包括由连接到串行总线18的节点12、14和16表示的多个节点。串行总线18仅包括用于向多个节点广播差分信号的两个导体。允许每一个节点在串行总线18上以帧的形式一次一位地广播消息。在一个实施例中,串行总线18是CAN总线。
根据应用,可以将各种类型的节点连接到CAN总线。为了便于说明,简化了图1中的节点。节点12只是一种类型的装置型并且包括安全收发器20、处理器22和存储器24。节点14包括安全收发器26、处理器28和存储器30。节点16包括收发器32、处理器34和存储器36。注意,不是所有收发器必须是安全收发器。在节点12中,安全收发器20、处理器22和存储器24可以一起在一个集成电路上实施或作为多个集成电路实施。处理器22可以被实施为微处理器(MPU)、微控制器(MCU)、数字信号处理器(DSP)等。在一个实施例中,处理器22用作微控制器,所述微控制器具有用于控制装置12的CAN功能的CAN控制器功能。存储器24被连接到处理器22,并且可以被实施为用于存储例如控制信息、消息和数据的一个或多个易失性和非易失性存储器。在一个实施例中,存储器24不包括安全存储装置。安全收发器20可以是连接到处理器22并连接到串行总线18的CAN收发器。集成到处理器22中的CAN控制器广播并从CAN串行总线18串行地接收消息。安全收发器20被表征为安全的,因为其能够例如根据预定规则过滤并移除串行总线18上的消息。安全收发器20在不使用复杂密码的情况下提供针对入侵的保护。在所示出的实施例中,安全收发器20不包括安全元件或安全存储器。在其它实施例中,安全收发器20可以包括不同的安全相关功能。在图1中,节点14类似于节点12并且包括安全收发器26。节点16具有缺乏安全功能的收发器32。
用于控制安全收发器26的安全功能的规则集被存储在安全收发器20和安全收发器26中的每一个的非易失性存储器中。所述规则集可能需要不时地更新。因此,需要不允许未经授权修改的安全更新机构。由于如带宽限制、缺乏处理能力和缺乏用于存储密钥的足够安全的存储器等约束,在系统中使用密码来保护更新机构可能是不可接受的或不可能的。所示出和描述的实施例克服了对复杂密码术的需求以在规则更新期间防止对规则集的未经授权的修改。这是使用与可信节点协作分两步操作的更新过程来完成的。作为例子,假设由节点14的安全收发器26使用的规则集有待被更新,并且已经将节点12选择或指配为可信节点。因为节点14的处理器28不可信并且可能被破坏,因此使用可信节点。更新过程的第一步获取存储器如存储器44中的易失性存储装置中的更新数据。所包括的新更新数据为认证代码。在一个实施例中,所述认证代码可以是消息认证代码(MAC)的全部或部分。如图1所示出的,可以将更新数据从外部源提供给系统10。在一个实施例中,外部源可以经由汽车中的车载诊断(OBD)端口(未示出)或经由原始设备制造商(OEM)诊断单元访问系统10。所述过程的第二步基于从可信节点12接收的凭证执行认证。通过外部源直接向可信节点12提供凭证。所述凭证用于验证认证代码。在一个实施例中,所述凭证是密码。当成功地验证了所述更新时,新更新数据被保存在节点14的存储器44中的NVM中。所述凭证不是永久地存储或在多个更新会话上持续的。第二步仅在第一步最终确定后开始。仅在第二步期间使用所述凭证以进行认证。可信节点仅在第一步最终确定后提供由更新机构使用的所需凭证。只有可信节点可以发送凭证。更新机构不允许新的更新数据或认证代码在第二步中被修改。更新后,凭证将不被再次使用并且将被视为无效的。注意,需要额外的安全程序来确认可信节点的身份。可以使用任何可以识别和认证可信节点的机构。
图2示出了根据实施例的节点14的CAN安全收发器26的框图。根据所示出的实施例,安全收发器20的使用允许节点12用作针对节点14的规则更新的可信节点。CAN安全收发器26包括输入/输出(I/O)端口40、控制器42和存储器44。存储器44包括用于存储规则集的存储器位置46,并且存储器位置48包括ID列表。端口40将节点14连接到总线18。如对于CAN系统典型的是,安全收发器20设置有用于区分标识符(ID)与在串行总线18上广播的消息的能力。然而,除了典型用途之外,节点12的ID还将节点12区分为享有认证更新的特权。此外,安全收发器20被配置成确定是否允许节点14接收来自总线18的传入消息以执行更新。控制器42为收发器26提供接收和处理寻址到节点14本身(或寻址到CAN收发器26)的CAN消息的能力。除非消息来自节点12,否则不允许节点14的收发器26接收所述传入消息以执行更新。否则,安全收发器20使所述消息无效,使得收发器不接收所述消息。在一些实施例中,收发器20可以使错误消息例如在消息结束之前在总线18上广播,使得在总线18上公布的错误消息识别针对包括节点14和16的其它节点的恶意节点的存在。
节点14的ID存储在仅节点12使用的存储器44中。除指配的特权节点12之外,没有其它节点可以借助于例如传输失效发送带有唯一ID的消息。节点14和其它带有安全收发器的节点也可以具有唯一ID。而且,在一些例子中,可信节点12被配置成监测总线18,以确定有待保护的ID是否正被恶意装置误用,并且在做出此类决定时使那些消息无效。这种消息失效甚至防止最容易的物理攻击,如将加密狗附接到车载诊断(OBD)端口。
图3示出了根据实施例的状态转换在经认证更新期间的状态图。更新(UPDATE)状态和关闭(CLOSE)状态支持经认证更新。为了完整性,示出了断开(OFF)状态。包括空闲(IDLE)状态以将更新过程与非更新过程分开,但所述空闲状态不是必需的。在另一个实施例中,空闲状态可以为额外安全措施提供包括另一个可信节点或实体的支持,其中更新的开始受其它可信实体的控制。在图3中,在空闲状态期间,下发命令以启动更新过程。另一个实施方式可以仅具有两种状态,即更新状态和关闭状态,其中可以是默认以在上电时进入更新状态。为了开始规则集的经认证更新,更新状态接受命令以更新正在被更新的节点的存储器中的数据和认证代码。更新状态处理经认证更新过程的第一步。与更新数据相关联的认证代码在与更新数据相同的时间由正在被更新的节点接收。当处于更新状态时,防止收发器接受任何命令以获取用于验证带有认证代码的数据的凭证。
关闭状态控制更新过程的第二步。第一步(更新状态)在开始第二步(关闭状态)前被最终确定。在关闭状态期间,下发用于认证更新数据并将所述更新数据提交给永久存储装置(图2中的存储器44)的命令。当处于关闭状态时,正在被更新的节点不能接受用于更新数据或认证代码的任何命令。用于在关闭状态期间认证和检查新的更新数据的完整性的机构可以是任何合适的机构。例如,可以使用根据由凭证信息定义的加扰掩码对新更新数据和认证代码的加扰版本进行简单CRC(循环冗余校验)。而且,基于轻量密码的机构例如PRINCE是认证新的更新数据的另一个可能的解决方案。支持PRINCE实施例的逻辑门的数量少,并且密钥将不被存储在装置中。密钥可以是由可信节点提供的凭证信息。
由于用于认证新数据的新更新数据和信息被两个不同的实体在两种不同的状态下处理并且仅可以由可信和特权节点在指示转换为更新状态后提供凭证,因此更新机构被视为安全的或已认证的。以此方式,攻击者(或系统中的恶意处理器)在第二步(关闭状态)之前不知道凭证,并且不能在第一步(更新状态)之外修改新的更新数据。假设对指配的可信节点进行适当的保护,攻击者必须控制至少两个节点以绕过经认证更新机构。节点提供新更新数据和认证代码,并且所述节点关闭所述更新。
图4示出了根据实施例的经认证更新的序列图。图4中示出的例子延续了上述关于图1的例子,其中节点14的安全收发器26的规则集正被更新,并且节点12被指配为可信和特权节点。图4中示出了用于描述例子的节点12和14的部分。节点14的处理器28可能被破坏并且不能被信任以执行收发器26的更新。可信节点12被指配为部分地保护和支持节点14的规则集更新。通过外部源50例如汽车OEM的装置向系统10提供更新。第一步(更新状态)开始更新。在传输52处,通过外部源50将可以是密码的凭证传输到可信节点12。在传输54处,通过外部源50向节点14的处理器28、正在被更新的节点和收发器提供更新数据和认证代码。注意,如图1所示出的,可以分别通过安全收发器26或20与处理器28或22通信。通过命令56中的处理器28到进入更新状态的安全收发器26启动在安全收发器26中的规则集的更新。通过通信58中的处理器28到安全收发器26提供更新数据和认证代码。然后通过处理器28到安全收发器26下发命令60以最终确定更新。收发器26最终确定更新状态。注意,图4中的实线表示具有目的地的CAN消息。实线箭头命令60的虚线延长表示与所述描述相关的总线18上的命令的另外CAN广播。节点12还接收广播以最终确定所述更新的命令60,并且作为响应,处理器22发送由关闭更新状态的收发器20保护的消息。通信62关闭更新(CLOSE UPDATE)关闭所述更新状态并且开始关闭状态以认证和验证所述更新。安全收发器26的操作状态移动到关闭状态。在关闭状态下规则集可能不再被更新或修改。通过通信64将凭证从处理器22发送到安全收发器26。可替换的是,所述凭证还可以作为关闭更新命令62的部分发送。在步骤66处,使用从处理器22接收的凭证和从处理器28接收的认证代码通过安全收发器26验证所述更新。处理器28在更新状态期间不知道所述凭证,并且在关闭状态期间不能修改所述数据或所述认证代码。如在步骤68处所示出的,然后可以将经认证规则集数据存储在安全收发器26中的永久存储器中。
本文所述的实施例适用于标准的和扩展的CAN消息格式两者。CAN中的总线访问是事件驱动的并且随机发生。如果两个节点试图同时占用串行总线18,则以非破坏性的按位仲裁实施访问。在这种背景下,“非破坏性”涵盖场景,由此在消息不被另一个节点破坏或损坏的情况下,赢得仲裁的节点仅继续带有消息。在一些例子中,消息优先级的分配可以包含在标识符中。
各种实施例或实施例的一部分可以在硬件中实施或者作为指令在非暂态机器可读存储介质上实施,所述非暂态机器可读存储介质包括用于以机器可读的形式存储信息的任何机构,如个人计算机、膝上型计算机、文件服务器、智能手机或其它计算装置。非暂态机器可读存储介质可以包括易失性和非易失性存储器,如只读存储器(ROM)、随机访问存储器(RAM)、磁盘存储介质、光存储介质、闪存等。所述非暂态机器可读存储介质不包括暂态信号。
虽然在本文中参考具体实施例描述了本发明,但是可以在不背离如以下权利要求中阐述的本发明的范围的情况下作出各种修改和改变。因此,本说明书和附图将被视为是说明性的,而不是限制性的,并且所有这种修改都旨在包括在本发明的范围内。在本文中关于具体实施例描述的任何益处、优点或解决方案不旨在被解释为任何或所有权利要求的关键的、需要的或必要的特征或要素。
另外,如本文中所使用的术语“一个(a)”或“一个(an)”被定义为一个或多于一个。而且,在权利要求中使用例如“至少一个”和“一个或多个”的介绍性短语不应被解释为暗示由不定冠词“一个”或“一个”引入的另一权利要求要素将包含这种引入的权利要求要素的任何特定权利要求限于仅包含一个此类要素的发明,即使当相同的权利要求包括介绍性短语“一个或多个”或“至少一个”以及例如“一个”或“一个”的不定冠词时。对于使用定冠词也是如此。
除非另有说明,否则如‘第一’和‘第二’等术语用于任意区分这种术语描述的元件。因此,这些术语不一定旨在指示这种元件的时间优先次序或其它优先次序。
Claims (10)
1.一种用于在具有耦合到串行总线的多个节点的分布式网络中提供经认证更新的方法,其特征在于,所述方法包括:
将凭证从外部源传输到第一节点;
将更新数据和认证代码从所述外部源提供给第二节点;
通过所述第二节点的处理器启动所述经认证更新;
通过所述第二节点的所述处理器最终确定所述经认证更新;
通过所述第一节点关闭所述经认证更新;
由所述第一节点向所述第二节点提供所述经认证更新的所述凭证;
使用所述凭证和所述认证代码验证所述更新数据;以及
存储经认证的更新数据。
2.根据权利要求1所述的方法,其特征在于,所述第一节点的收发器被表征为能够根据预定规则使所述串行总线上的消息无效的安全收发器。
3.根据权利要求1所述的方法,其特征在于,验证进一步包括根据由所述凭证限定的加扰掩码在所述更新数据和所述认证代码的加扰版本上使用循环冗余校验。
4.根据权利要求1所述的方法,其特征在于,所述经认证更新是针对所述分布式网络的预定收发器的规则集的更新。
5.根据权利要求1所述的方法,其特征在于,启动所述经认证更新进一步包括所述第二节点的收发器进入更新状态,其中所述第二节点的所述收发器接受用于更新所述第二节点的所述收发器的存储器中的数据的命令并拒绝用于设置所述凭证的命令。
6.根据权利要求1所述的方法,其特征在于,最终确定所述经认证更新进一步包括所述第二节点的收发器进入关闭状态,其中所述第二节点的所述收发器不接受用于更新所述第二节点的存储器中的数据的命令。
7.根据权利要求1所述的方法,其特征在于,所述认证代码被表征为消息认证代码(MAC)。
8.根据权利要求1所述的方法,其特征在于,为所述分布式网络中的每个经认证更新随机地生成所述凭证。
9.一种用于在具有耦合到串行总线的多个节点的分布式网络中提供经认证更新的方法,其特征在于,所述方法包括:
将凭证从外部装置传输到第一节点;
将更新数据和认证代码从所述外部装置提供给第二节点的处理器;
通过所述第二节点的所述处理器启动所述经认证更新;
由所述第二节点的所述处理器向所述第二节点的安全收发器提供所述更新数据和所述认证代码;
通过所述第二节点的所述处理器最终确定所述经认证更新;
通过所述第一节点关闭所述经认证更新;
由所述第一节点的收发器向所述第二节点的所述安全收发器提供所述经认证更新的所述凭证,其中所述第一节点的所述收发器被配置成根据预定规则监测所述串行总线上的消息并使所述消息无效;
由所述第二节点的所述安全收发器使用所述凭证和所述认证代码验证所述更新数据;以及
将经认证的更新数据存储在存储器中。
10.一种用于在具有耦合到串行总线的多个节点的分布式网络中提供经认证更新的方法,其特征在于,所述方法包括:
将凭证从外部装置传输到第一节点的安全收发器;
将更新数据和认证代码从所述外部装置提供给第二节点的处理器;
通过所述第二节点的所述处理器启动所述经认证更新;
所述分布式网络进入更新状态;
由所述第二节点的所述处理器向所述第二节点的所述安全收发器提供所述更新数据和所述认证代码;
通过所述第二节点的所述处理器最终确定所述经认证更新;
所述分布式网路进入关闭状态;
通过所述第一节点的所述安全收发器关闭所述经认证更新;
由所述第一节点的所述收发器向所述第二节点的所述安全收发器提供所述经认证更新的所述凭证;
由所述第二节点的所述安全收发器使用所述凭证和所述认证代码验证所述更新数据;以及
将经认证的更新数据存储在存储器中。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/969,307 | 2018-05-02 | ||
US15/969,307 US10789364B2 (en) | 2018-05-02 | 2018-05-02 | Method for providing an authenticated update in a distributed network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110445633A CN110445633A (zh) | 2019-11-12 |
CN110445633B true CN110445633B (zh) | 2023-06-23 |
Family
ID=66102417
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910342918.7A Active CN110445633B (zh) | 2018-05-02 | 2019-04-25 | 用于在分布式网络中提供经认证更新的方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10789364B2 (zh) |
EP (1) | EP3565212B1 (zh) |
CN (1) | CN110445633B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3672304A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Statistical analysis of mismatches for spoofing detection |
EP3672305B1 (en) | 2018-12-20 | 2023-10-25 | HERE Global B.V. | Enabling flexible provision of signature data of position data representing an estimated position |
EP3671253A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Crowd-sourcing of potentially manipulated radio signals and/or radio signal parameters |
EP3671254A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Service for real-time spoofing/jamming/meaconing warning |
EP3672310A1 (en) | 2018-12-20 | 2020-06-24 | HERE Global B.V. | Identifying potentially manipulated radio signals and/or radio signal parameters based on radio map information |
US11477033B2 (en) * | 2020-02-05 | 2022-10-18 | Nxp B.V. | Authentication without pre-known credentials |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102017573A (zh) * | 2008-04-30 | 2011-04-13 | 摩托罗拉公司 | 自组无线网络中信任桥动态部署的方法和设备 |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030191943A1 (en) | 2002-04-05 | 2003-10-09 | Poisner David I. | Methods and arrangements to register code |
US20050120213A1 (en) * | 2003-12-01 | 2005-06-02 | Cisco Technology, Inc. | System and method for provisioning and authenticating via a network |
DE102007015122A1 (de) * | 2007-03-29 | 2008-10-02 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zum Transfer von Daten in mehrere Steuergeräte |
US20130169992A1 (en) * | 2010-09-08 | 2013-07-04 | Stephen D. Panshin | Secure upgrade supplies and methods |
US8868034B2 (en) * | 2010-12-25 | 2014-10-21 | Intel Corporation | Secure wireless device area network of a cellular system |
US9577997B2 (en) * | 2012-05-29 | 2017-02-21 | Toyota Jidosha Kabushiki Kaisha | Authentication system and authentication method |
FR2993682B1 (fr) * | 2012-07-20 | 2014-08-22 | Oberthur Technologies | Mise a jour d'un systeme d'exploitation pour element securise |
US10382271B2 (en) * | 2013-10-17 | 2019-08-13 | Siemens Aktiengesellschaft | Method and network node device for controlling the run of technology specific push-button configuration sessions within a heterogeneous or homogeneous wireless network and heterogeneous or homogeneous wireless network |
US9398397B2 (en) | 2014-01-09 | 2016-07-19 | Ford Global Technologies, Llc | Secure manipulation of embedded modem connection settings through short messaging service communication |
US9722781B2 (en) | 2014-07-09 | 2017-08-01 | Livio, Inc. | Vehicle software update verification |
JP6488702B2 (ja) * | 2014-12-27 | 2019-03-27 | 富士通株式会社 | 通信制御装置、通信制御方法、および、通信制御プログラム |
JP6420176B2 (ja) * | 2015-02-26 | 2018-11-07 | ルネサスエレクトロニクス株式会社 | 通信システムおよび通信装置 |
US9729329B2 (en) | 2015-05-19 | 2017-08-08 | Nxp B.V. | Communications security |
KR101675332B1 (ko) * | 2015-09-14 | 2016-11-11 | 인포뱅크 주식회사 | 차량용 데이터 통신 방법 및 그를 이용하는 차량용 전자 제어 장치 및 시스템 |
US11397801B2 (en) | 2015-09-25 | 2022-07-26 | Argus Cyber Security Ltd. | System and method for controlling access to an in-vehicle communication network |
US10361934B2 (en) | 2015-09-28 | 2019-07-23 | Nxp B.V. | Controller area network (CAN) device and method for controlling CAN traffic |
JP6260066B2 (ja) * | 2016-01-18 | 2018-01-17 | Kddi株式会社 | 車載コンピュータシステム及び車両 |
WO2018017566A1 (en) * | 2016-07-18 | 2018-01-25 | The Regents Of The University Of Michigan | Hash-chain based sender identification scheme |
US10461939B2 (en) * | 2017-02-08 | 2019-10-29 | Ca, Inc. | Secure device registration for multi-factor authentication |
JP2018133744A (ja) * | 2017-02-16 | 2018-08-23 | パナソニックIpマネジメント株式会社 | 通信システム、車両、および監視方法 |
KR102286050B1 (ko) * | 2017-06-23 | 2021-08-03 | 현대자동차주식회사 | 차량 네트워크에서 진단 오류 방지를 위한 방법 및 장치 |
US10360367B1 (en) * | 2018-06-07 | 2019-07-23 | Capital One Services, Llc | Multi-factor authentication devices |
-
2018
- 2018-05-02 US US15/969,307 patent/US10789364B2/en active Active
-
2019
- 2019-04-05 EP EP19167571.9A patent/EP3565212B1/en active Active
- 2019-04-25 CN CN201910342918.7A patent/CN110445633B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102017573A (zh) * | 2008-04-30 | 2011-04-13 | 摩托罗拉公司 | 自组无线网络中信任桥动态部署的方法和设备 |
Non-Patent Citations (1)
Title |
---|
黄伟力 ; 苗肖华 ; .主动网络主动节点的安全机制研究.微计算机信息.2009,(第12期),全文. * |
Also Published As
Publication number | Publication date |
---|---|
EP3565212A1 (en) | 2019-11-06 |
EP3565212B1 (en) | 2021-04-21 |
US10789364B2 (en) | 2020-09-29 |
CN110445633A (zh) | 2019-11-12 |
US20190340363A1 (en) | 2019-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445633B (zh) | 用于在分布式网络中提供经认证更新的方法 | |
KR102642875B1 (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
US8060748B2 (en) | Secure end-of-life handling of electronic devices | |
JP6782444B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
US9767264B2 (en) | Apparatus, method for controlling apparatus, and program | |
KR20220002892A (ko) | 원격 보안 잠금해제 | |
CN111508110B (zh) | 一种实现车辆远程锁定的方法及装置 | |
JP6997260B2 (ja) | 通信装置およびメッセージを認証するための方法 | |
EP3904161A1 (en) | Information processing device | |
US20220131834A1 (en) | Device, method and computer program for providing communication for a control appliance of a vehicle, method, central device and computer program for providing an update, control appliance, and vehicle | |
CN110752917A (zh) | 车辆访问控制方法、装置和系统 | |
US11665002B2 (en) | Authenticated elevated access request | |
US11362823B2 (en) | Cryptographic device | |
CN113935013A (zh) | 用于对控制设备进行安全更新的方法 | |
Sharma et al. | Towards the prevention of car hacking: A threat to automation industry | |
US20220100827A1 (en) | Authentication management device and authentication management method | |
KR102472413B1 (ko) | 차랑 내 통신 네트워크 보안방법 | |
CN112738219B (zh) | 程序运行方法、装置、车辆及存储介质 | |
KR102411797B1 (ko) | 하드웨어 기반의 차량 사이버보안시스템 | |
US11698974B1 (en) | Method and apparatus for authorizing unlocking of a device | |
CN108886529B (zh) | 用于远程地控制车辆的系统 | |
CN117494197A (zh) | 电子控制器的文件加载后的授权使用方法以及装置 | |
EP4338081A1 (en) | Electronic lock comprising a lock-core software module | |
KR20240010291A (ko) | Crl을 이용한 인증서 검증 방법 | |
CN117473466A (zh) | 接口保护方法、装置、非易失性存储介质和计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |