CN111133722B - 用于保护现场总线的方法和设备 - Google Patents
用于保护现场总线的方法和设备 Download PDFInfo
- Publication number
- CN111133722B CN111133722B CN201880061915.XA CN201880061915A CN111133722B CN 111133722 B CN111133722 B CN 111133722B CN 201880061915 A CN201880061915 A CN 201880061915A CN 111133722 B CN111133722 B CN 111133722B
- Authority
- CN
- China
- Prior art keywords
- message
- following features
- protecting
- field bus
- useful data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 238000004590 computer program Methods 0.000 claims description 2
- 238000012795 verification Methods 0.000 claims 2
- 230000008569 process Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000008260 defense mechanism Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 206010009944 Colon cancer Diseases 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Abstract
一种用于保护现场总线(10)的方法(20),其特征在于如下特征:通过监控(21)所述现场总线(10)接收在所述现场总线(10)上传输的第一消息,寻找(22)针对所述第一消息定义的检验规则,如果找到(23)所述检验规则,则对所述第一消息就异常进行检验(24),以及如果识别出(25)所述异常,则传输(26)具有消息计数器的第二消息,使得基于有错误的顺序丢弃后续的消息。
Description
技术领域
本发明涉及一种用于保护现场总线的方法。此外,本发明涉及相应的设备、相应的计算机程序以及相应的存储介质。
背景技术
在IT安全性方面,任何用于识别针对计算机系统或计算机网络的攻击的系统都被称作攻击识别系统(intrusion detection System(入侵检测系统))。尤其已知基于网络的IDS(NIDS),所述IDS对在要监控的网络段中的所有分组进行记录、分析并且根据已知的攻击模式报告可疑的活动。
WO2017042012A1公开了在车辆中的私有控制器区域网络(CAN),以便向未直接受攻击的电子控制单元(electronic control units,ECU)通知未授权的访问受攻击的ECU的尝试。在私有CAN上的每个ECU存储共同的经加密的非法入侵(Hacking)通知密钥和明确的标识码。如果第一车辆系统ECU识别出经由公共CAN的未经许可的访问尝试,则所述第一车辆系统ECU将警告消息经由封闭的私有CAN发送给其他ECU。
发明内容
本发明提供根据独立权利要求的用于保护现场总线的方法、相应的设备、相应的入侵防护系统(intrusion prevention System,IPS)以及存储介质。在此情况下从最广义上说如下任何IDS可以被理解为IPS,所述IDS除了对攻击的纯粹识别以外也采取用于防御攻击的措施。
所提出的方案在此情况下基于如下认识:车辆中的安全性不仅受所安装的系统和驾驶员影响。更确切地说,车辆日益变成第三方攻击的目标,所述第三方攻击干扰在车辆中的传感器、执行器和控制设备之间经由网络或总线系统、如CAN或FlexRay的通信。为了使对通信的这种干扰、尤其对驾驶员的安全性的负面影响最小化,可以使用不同的机制,以便识别失效或干扰并且对此作出反应。算作这些机制的是以硬件实现的措施、诸如在CAN协议中的循环冗余检验(cyclic redundancy check,CRC),循环冗余检验的失败触发否定接收应答(negative acknowledgment,NAK),使得有关的有用数据(payload(有效载荷))并不被进行检验的控制设备进一步处理。
相关的机制也以软件的形式可用,比如监控数据长度和周期时间,所述数据长度和周期时间通常在车辆中是固定定义的。根据监控的结果,必要时进行干预,所述干预例如在各个消息失效之后代替由接收器经由总线接收的有用数据使用替代值或虚拟数据(dummy),以便将车辆置于安全状态中。对于其内容可能危及车辆的安全性的消息,使消息内容增加附加信息、如CRC值和消息计数器(alive counters(活着的计数器)),所述附加信息可以由接收器监控并且针对所述附加消息以相同的方式开始诊断并且必要时应用替代值。
为了将来保护网络免受外部攻击或操纵,可以设想通过(加密)签名扩展消息内容,直至对消息的完整加密。
然而,这些措施需要更高的计算能力或更强的硬件支持并且不能由车辆中的任何执行器、传感器或控制设备实时地引入。
而在下文中所介绍的用于识别对车辆内部的通信的攻击的方法的优点在于其普遍的并且与其他控制设备的协作在很大程度上无关的可应用性。
通过在从属权利要求中列出的措施,在独立权利要求中所说明的基本思想的有利的改进和改善是可能的。
附图说明
本发明的实施例在附图中示出并且在随后的描述中予以更详细地解释。
图1示意性地示出具有根据第一实施方式的攻击识别系统的现场总线。
图2示出根据第二实施方式的方法的流程图。
具体实施方式
在图1的系统实例中示出了现场总线(10),在所述现场总线上连接有第一控制设备(11)、第二控制设备(12)、第三控制设备(13)和第四控制设备(14)。在一个可设想的应用场景中,第一控制设备(11)发送具有标志(标识符,ID)“123”的消息。该消息由第二控制设备(12)接收。而第四控制设备(14)发送具有标志“789”的消息。该消息由第二控制设备(12)和第三控制设备(13)接收。
第三控制设备(13)对应于本发明的一种实施方式并且遵循图2中所图示的流程。因此,在监控(21)网络通信的范围内,第三控制设备(13)接收所有在现场总线(10)中定义的消息。由攻击者毁坏的第五控制设备(15)现在同样发送具有标志“123”的消息。第二控制设备(12)尽管也接收该消息,然而并不独立地将该消息识别为攻击,因为例如具有标志“123”的消息之内的CRC值被正确地模仿了,并且因此通过该第二控制设备的程序代码进一步处理被操纵的消息内容。
然而,在第三控制设备(13)上运行的攻击识别系统(16)例如通过数据内容的合理性检验(判定24)识别出消息“123”的异常(分支25)并且可以引入对异常的防御(过程26)。
为此目的,攻击识别系统(16)应经由现场总线(10)接收并且处理整个通信。仅仅如下消息经受检验(24),所述消息为系统所已知(判定22)并且针对所述消息定义了检验规则(分支23)。如果接收到未知消息(分支28),则不进一步检验所述消息。可选地,在此情况下可以进行对接收到了未知消息的状况的内部或外部警告或其他报告(过程29)。
为了防御(26)识别出的对车辆内部的通信的攻击,将相同的消息标志用于同样有效的、然而无害的消息,该消息被发送,使得该消息在时间上在攻击消息之前或之后到达所指定的接收器并且具有正确的CRC值。消息计数器在此情况下被改变,使得后续的消息由于错误的顺序而被丢弃。特殊情况在此情况下可以是,将消息计数器减小一个单位;同样地可能存在其他特殊情况,在这些特殊情况下消息计数器必须被递增或必须被减小或递增多个单位,以便该消息是成功的。
为此应注意的是,该消息完全可以包含多个CRC值,所述CRC值在此情况下全部都应被正确地计算。例如,CAN数据电报包含相应的16位校验和字段,所述16位校验和字段涉及整个消息并且由很多的原始设备制造商(original equipment manufacturers,OEM)在实际数据字段中补充另一特定的CRC值。
由于该“防御消息”因此包括所有CRC,因此代替攻击消息,接收器将处理该“防御消息”并且相应地提高其内部计数器。如果例如不久以后实际攻击消息到达该接收器,则该实际攻击消息尽管有已知的标志和有效的CRC值但鉴于其与已经处理的防御消息一致的消息计数器而被丢弃。
作为用于防御消息的有用数据,可以或者接受最后的有效的数据,使用错误的数据或虚拟数据(例如零序列)。在此方面的最优的方式与在被攻击的控制设备上所实现的功能的运行方式有关。
在此可以必要时经常实施防御机制。如果在被攻击的控制设备上的实现针对多个“副本”、即具有一致的计数器的有效的消息到达的情况设置这样的停用,通过所描述的防御机制可以停用被攻击的功能。
Claims (10)
1.一种用于保护现场总线(10)的方法(20),
特征在于如下特征:
- 通过监控(21)所述现场总线(10)接收在所述现场总线(10)上传输的第一消息,
- 寻找(22)针对所述第一消息定义的检验规则,
- 如果找到(23)所述检验规则,则对所述第一消息就异常进行检验(24),以及
- 如果识别出(25)所述异常,则传输(26)具有消息计数器的第二消息,使得基于有错误的顺序丢弃后续的消息。
2.根据权利要求1所述的方法(20),
特征在于如下特征:
- 如果未识别出(27)所述异常,则继续所述监控(21)。
3.根据权利要求1或2所述的方法(20),
特征在于如下特征:
- 如果没有找到(28)所述检验规则,则将所述第一消息报告(29)为未知的。
4.根据权利要求1至2中任一项所述的方法(20),
特征在于如下特征:
- 所述第一消息和所述第二消息此外具有一致的消息标志。
5.根据权利要求1至2中任一项所述的方法(20),
特征在于如下特征:
- 传输(26)所述第二消息,使得在所述第一消息之后或在分别紧接着的攻击消息之前或之后递送所述第二消息。
6.根据权利要求4所述的方法(20),
特征在于如下特征之一:
- 所述第二消息包括所存储的有效的有用数据,
- 所述第二消息包括众所周知地有错误的有用数据,或
- 所述第二消息包括虚拟数据作为有用数据。
7.根据权利要求6所述的方法(20),
特征在于如下特征之一:
- 所述虚拟数据是零序列。
8.根据权利要求6或7所述的方法(20),
特征在于如下特征:
- 至少根据所述消息标志、所述消息计数器和所述有用数据计算校验和、尤其CRC值,和
- 所述第二消息此外包括所述校验和。
9.一种机器可读存储介质,在所述机器可读存储介质上存储有计算机程序,所述计算机程序被设立用于实施根据权利要求1至8中任一项所述的方法(20)。
10.一种用于保护现场总线(10)的设备,所述设备被设立用于实施根据权利要求1至8中任一项所述的方法(20)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102017212757.0A DE102017212757A1 (de) | 2017-07-25 | 2017-07-25 | Verfahren und Vorrichtung zum Schützen eines Feldbusses |
| DE102017212757.0 | 2017-07-25 | ||
| PCT/EP2018/069882 WO2019020549A1 (de) | 2017-07-25 | 2018-07-23 | Verfahren und vorrichtung zum schützen eines feldbusses |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111133722A CN111133722A (zh) | 2020-05-08 |
| CN111133722B true CN111133722B (zh) | 2022-01-18 |
Family
ID=62986118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880061915.XA Active CN111133722B (zh) | 2017-07-25 | 2018-07-23 | 用于保护现场总线的方法和设备 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN111133722B (zh) |
| DE (1) | DE102017212757A1 (zh) |
| WO (1) | WO2019020549A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102022209301B4 (de) | 2022-09-07 | 2024-03-28 | Volkswagen Aktiengesellschaft | Verfahren zum Überführen eines Steuergerätes in einen sicheren Systemzustand |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101401370A (zh) * | 2006-01-11 | 2009-04-01 | 费希尔-罗斯蒙德系统公司 | 具有包含消息次序信息的无线消息的控制系统 |
| DE102014224694A1 (de) * | 2013-12-12 | 2015-06-18 | Hitachi Automotive Systems, Ltd. | Netzwerkgerät und Netzwerksystem |
| CN104995873A (zh) * | 2012-12-20 | 2015-10-21 | 罗伯特·博世有限公司 | 使用协议异常状态的数据传输 |
| CN104995874A (zh) * | 2012-12-20 | 2015-10-21 | 罗伯特·博世有限公司 | 具有协议异常状态的数据传输协议 |
| CN106257863A (zh) * | 2015-06-22 | 2016-12-28 | 大众汽车有限公司 | 用于防止待经由总线系统传输的有效数据包被操纵的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6370717B2 (ja) * | 2015-01-14 | 2018-08-08 | 国立大学法人名古屋大学 | 通信システム、異常検出装置及び異常検出方法 |
| WO2017042012A1 (en) | 2015-09-10 | 2017-03-16 | Robert Bosch Gmbh | Unauthorized access event notificaiton for vehicle electronic control units |
-
2017
- 2017-07-25 DE DE102017212757.0A patent/DE102017212757A1/de active Pending
-
2018
- 2018-07-23 WO PCT/EP2018/069882 patent/WO2019020549A1/de active Application Filing
- 2018-07-23 CN CN201880061915.XA patent/CN111133722B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101401370A (zh) * | 2006-01-11 | 2009-04-01 | 费希尔-罗斯蒙德系统公司 | 具有包含消息次序信息的无线消息的控制系统 |
| CN104995873A (zh) * | 2012-12-20 | 2015-10-21 | 罗伯特·博世有限公司 | 使用协议异常状态的数据传输 |
| CN104995874A (zh) * | 2012-12-20 | 2015-10-21 | 罗伯特·博世有限公司 | 具有协议异常状态的数据传输协议 |
| DE102014224694A1 (de) * | 2013-12-12 | 2015-06-18 | Hitachi Automotive Systems, Ltd. | Netzwerkgerät und Netzwerksystem |
| CN106257863A (zh) * | 2015-06-22 | 2016-12-28 | 大众汽车有限公司 | 用于防止待经由总线系统传输的有效数据包被操纵的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111133722A (zh) | 2020-05-08 |
| DE102017212757A1 (de) | 2019-01-31 |
| WO2019020549A1 (de) | 2019-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Palanca et al. | A stealth, selective, link-layer denial-of-service attack against automotive networks | |
| KR102642875B1 (ko) | 차량 내 네트워크에 보안을 제공하는 시스템 및 방법 | |
| US10326793B2 (en) | System and method for guarding a controller area network | |
| Nilsson et al. | Simulated attacks on can buses: vehicle virus | |
| Boudguiga et al. | A simple intrusion detection method for controller area network | |
| EP3565212B1 (en) | Method for providing an authenticated update in a distributed network | |
| JP6782444B2 (ja) | 監視装置、監視方法およびコンピュータプログラム | |
| EP3772840B1 (en) | A security module for a can node | |
| EP3772841B1 (en) | A security module for a can node | |
| CN111066001A (zh) | 日志输出方法、日志输出装置以及程序 | |
| CN111133722B (zh) | 用于保护现场总线的方法和设备 | |
| EP3904161A1 (en) | Information processing device | |
| Nilsson et al. | Creating a secure infrastructure for wireless diagnostics and software updates in vehicles | |
| Kim et al. | Shadowauth: Backward-compatible automatic can authentication for legacy ecus | |
| US11528284B2 (en) | Method for detecting an attack on a control device of a vehicle | |
| CN108965234B (zh) | 用于保护网络防止网络攻击的方法 | |
| EP4106278A1 (en) | System and method for detecting intrusion into in-vehicle network | |
| Amirtahmasebi et al. | Vehicular networks–security, vulnerabilities and countermeasures | |
| US20220394470A1 (en) | Method and control unit for detecting unauthorised data traffic in a packet-oriented data network of a motor vehicle, and corresponding motor vehicle | |
| Sharma et al. | An Extended Survey on Vehicle Security | |
| Galletti | CANguru: a reliable intrusion detection system for CAN and CAN FD networks | |
| Rashmi | Intrusion Detection System: An Approach to Autonomous Vehicles | |
| JP2024041392A (ja) | 電子制御装置 | |
| Carsten | A mechanism for recognizing intrusion in controller area network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |