CN113395253A - 用于在网络中传输数据的方法和设备 - Google Patents

用于在网络中传输数据的方法和设备 Download PDF

Info

Publication number
CN113395253A
CN113395253A CN202110264858.9A CN202110264858A CN113395253A CN 113395253 A CN113395253 A CN 113395253A CN 202110264858 A CN202110264858 A CN 202110264858A CN 113395253 A CN113395253 A CN 113395253A
Authority
CN
China
Prior art keywords
service
network
security rule
security
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110264858.9A
Other languages
English (en)
Inventor
P·杜普莱斯
T·盖尔曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN113395253A publication Critical patent/CN113395253A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

本发明涉及用于在网络中传输数据的方法和设备。用于在具有面向服务的协议的网络中传输数据的方法,在所述网络中,网络元件可以提供至少一个服务,所述方法具有下列步骤:使用至少一个关于至少一个服务的安全规则。

Description

用于在网络中传输数据的方法和设备
技术领域
本公开涉及一种用于在网络中传输数据的方法。
此外,本公开涉及一种用于在网络中传输数据的设备。
发明内容
优选实施形式涉及一种用于在具有面向服务的协议的网络中传输数据的方法,在所述网络中,网络元件可以提供至少一个服务,所述方法具有该下列步骤或这些下列步骤:使用至少一个关于至少一个服务的安全规则。经此,可以有利地提高在传输数据和在网络中供应和/或利用(例如订阅)服务时的安全性。
在其他优选实施形式中设置了,该方法进一步具有:提供至少一个(优选地多个)安全规则。
在其他优选实施形式中设置了,至少一个安全规则表征白名单。例如,白名单可以包含关于网络的服务和/或动作和/或特性的条目,所述服务和/或动作和/或特性是允许的,并且例如可以禁止(尤其是所有的)另外的服务和/或动作和/或特性。
在其他优选实施形式中设置了,面向服务的协议是基于IP的可伸缩的面向服务的中间件(SOME/IP(Scalable service-Oriented MiddlewarE over IP))协议。另外的面向服务的协议根据其他优选实施形式也是可设想的或可使用的。
在其他优选实施形式中设置了,至少一个安全规则具有一个或者多个2元组,所述2元组分别具有服务标识符和实体标识符,其中尤其是服务标识符表征至少一个服务,和/或其中尤其是实体标识符表征如下实体:所述实体允许供应至少一个通过服务标识符表征的服务和/或允许针对该服务进行登记和/或允许消费该服务。
在其他优选实施形式中设置了,至少一个安全规则表征a)服务和/或b)具有相关的(zugehoerigen)实体的服务的(尤其是时间上的)顺序,其中尤其是至少一个安全规则具有列表,所述列表具有与该(尤其是时间上的)顺序相对应的多个a)服务标识符和/或b)具有相关的实体标识符的服务标识符。
在其他优选实施形式中设置了,至少一个安全规则表征,可以和/或允许通过哪个实体或哪些实体在哪个时刻或哪些时刻供应哪个服务或哪些服务,其中尤其是至少一个安全规则具有一个或者多个3元组,所述3元组分别具有服务标识符和实体标识符和时刻。
在其他优选实施形式中设置了,该方法进一步具有:接收至少一个安全规则,检验至少一个安全规则,和可选地,只有当检验已得出至少一个安全规则有效时,才应用至少一个安全规则。
在其他优选实施形式中设置了,所述检验具有:检验至少一个安全规则的签名。
在其他优选实施形式中设置了,该方法进一步具有:a)提供用于识别和/或阻止攻击、入侵检测(Intrusion Detection)和/或预防(Prevention)的模块,和/或b)提供编程接口,用于提供和/或用于发送和/或接收至少一个安全规则,c)提供密码模块,尤其是用于检验至少一个安全规则,尤其是用于检验至少一个安全规则的签名或所述签名。
在其他优选实施形式中设置了,该方法进一步具有:使用借助硬件来实现的密码模块或硬件安全模块。
其他优选实施形式涉及一种用于执行根据上述权利要求中至少一项所述的方法的设备,其中尤其是所述设备具有至少一个计算装置和分配给所述计算装置的存储装置,所述存储装置用于至少暂时存储数据和/或计算机程序。
在其他优选实施形式中设置了,所述设备具有(优选地双向的)数据接口。
在其他优选实施形式中设置了,所述设备具有密码模块、尤其是硬件密码模块。
其他优选实施形式涉及一种用于在具有面向服务的协议的网络中传输数据的网络元件,其中网络的至少一个网络元件(尤其是所述网络元件)可以提供至少一个服务,所述网络元件具有至少一个根据所述实施形式的设备。
其他优选实施形式涉及一种具有面向服务的协议的网络、尤其是基于SOME/IP的网络,所述网络具有至少一个根据所述实施形式的设备和/或具有至少一个根据所述实施形式的网络元件。
其他优选实施形式涉及一种计算机可读的存储介质,所述计算机可读的存储介质包括如下指令:所述指令在通过计算机执行时促使该计算机,执行根据所述实施形式的方法。
其他优选实施形式涉及一种计算机程序,所述计算机程序包括如下指令:所述指令在通过计算机执行程序时促使该计算机,执行根据所述实施形式的方法。
其他优选实施形式涉及一种数据载体信号,所述数据载体信号传输和/或表征根据所述实施形式的计算机程序。
其他优选实施形式涉及根据所述实施形式的方法和/或根据所述实施形式的设备和/或根据所述实施形式的网络元件和/或根据所述实施形式的网络和/或根据所述实施形式的计算机可读的存储介质和/或根据所述实施形式的计算机程序和/或根据所述实施形式的数据载体信号针对下列元素中的至少一个的使用:a)提高在网络中的数据传输的安全性,所述网络具有面向服务的协议、尤其是SOME/IP协议,b)预先给定和/或使用和/或应用至少一个关于至少一个服务的安全性规则,c)抑制或阻止未获授权的服务的供应和/或使用和/或执行,d)检查针对具有面向服务的协议的网络的安全规则的签名。
附图说明
本发明的其他特征、应用可能性和优点从随后对本发明的实施例的描述中得出,所述实施例在附图的图中示出。在此,所有所描述的或者所图示的特征本身或者以任意组合形成本发明的主题,而与这些特征在权利要求中的概括或者这些特征的回引无关,以及与这些特征在说明书中的表述或在附图中的图示无关。
在附图中:
图1示意性地示出了根据优选实施形式的简化框图,
图2A示意性地示出了根据其他优选实施形式的方法的简化流程图,
图2B、2C分别示意性地示出了根据其他优选实施形式的方法的简化流程图,
图3示意性地示出了根据其他优选实施形式的简化框图,
图4示意性地示出了根据其他优选实施形式的简化框图,以及
图5示意性地示出了根据其他优选实施形式的使用的方面。
具体实施方式
图1示意性地示出了根据优选实施形式的具有面向服务的协议的网络10的简化框图,在所述网络10中,网络元件11可以提供至少一个服务D。网络10例如可以是针对车辆或者生产装置的网络,并且网络元件11例如可以是针对车辆或者生产装置的控制设备。例如,网络10也可以具有共享介质(“shared medium”)10a,所述共享介质10a例如可以有线地构造(例如以太网网络)或者也可以无线地构造,并且除了网络元件11之外,其他网络元件12也还可以访问所述共享介质,例如以便利用服务D。
其他优选实施形式涉及一种用于在具有面向服务的协议的网络中传输数据的方法,在所述网络中,网络元件11可以提供至少一个服务D,例如涉及一种用于在示例性地在图1中所描绘的网络10中传输数据的方法,其中所述方法具有下列步骤(参见图2A):使用110至少一个关于至少一个服务D的安全规则SR1、SR2、SR3。经此,可以有利地提高在网络10中传输数据和供应和/或利用服务D时的安全性。
在其他优选实施形式中设置了,该方法进一步具有:提供100至少一个(优选地多个)安全规则SR1、SR2、SR3。如示例性地在图2A中所描绘的那样,提供100例如可以在使用110之前进行。
在其他优选实施形式中设置了,至少一个安全规则SR1、SR2、SR3表征白名单。例如,白名单可以包含关于网络10的服务D和/或动作和/或特性的条目,所述服务D和/或动作和/或特性是允许的,并且可以例如禁止(尤其是所有的)(多个)另外的服务和/或动作和/或特性。
在其他优选实施形式中设置了,面向服务的协议是基于IP的可伸缩的面向服务的中间件(SOME/IP)协议。
在其他优选实施形式(参见图2B)中设置了,该方法进一步具有:(例如在网络元件11中)接收120至少一个安全规则SR1,检验130至少一个安全规则SR1,并且可选地,只有当检验130得出至少一个安全规则SR1有效时,那么才应用140至少一个安全规则SR1。经此,给因混入错误的安全规则引起的滥用造成困难,或该滥用是不可能的。
在其他优选实施形式中设置了,所述检验130具有:检验130至少一个安全规则SR1的签名。在其他优选实施形式中,例如在使用(优选地密码安全的)签名方法的情况下,可以产生至少一个安全规则SR1,例如通过网络10的运营商和/或网络元件11的制造商和/或另外的可信方来产生至少一个安全规则SR1。
其他优选实施形式(参见图3)涉及一种用于执行根据所述实施形式的方法的设备200,其中尤其是所述设备200具有至少一个计算装置202(“计算机”),所述计算装置202具有计算核202a,并且所述设备200具有分配给所述计算装置202的存储装置204,所述存储装置204用于至少暂时存储数据DAT和/或计算机程序PRG。存储装置204例如可以具有易失性存储器204a(例如工作存储器RAM),和/或具有非易失性存储器204b(例如闪存EEPROM)。
在其他优选实施形式中设置了,该设备200具有(优选地双向的)数据接口206,所述数据接口206例如能够实现对共享介质10a(图1)的访问,和/或能够实现与至少一个其他单元的数据交换,例如用于发送和/或接收至少一个安全规则SR。
在其他优选实施形式中设置了,所述设备具有密码模块207、尤其是硬件密码模块,所述密码模块207例如构造用于检验上面所描述的(多个)签名。
其他优选实施形式涉及一种计算机可读的存储介质SM,所述计算机可读的存储介质SM包括指令PRG,所述指令PRG在通过计算机202执行时促使计算机202执行根据所述实施形式的方法。
其他优选实施形式涉及一种计算机程序PRG,所述计算机程序PRG包括如下指令:所述指令在通过计算机202执行程序PRG时促使计算机202执行根据所述实施形式的方法。
其他优选实施形式涉及一种数据载体信号DCS,该数据载体信号DCS传输和/或表征根据所述实施形式的计算机程序PRG,并且所述数据载体信号DCS例如经由数据接口206是可传输的,尤其是通过设备200是可接收的。
其他优选实施形式涉及一种用于在具有面向服务的协议的网络10中传输数据的网络元件11(图1),其中网络10的至少一个网络元件11、12(尤其是网络元件11)可以提供至少一个服务D,所述网络元件11具有至少一个根据所述实施形式的设备200(图3)。换言之,在其他优选实施形式中,所述设备200或对应于根据图3的设备200的功能可集成在网络元件11中。
其他优选实施形式涉及一种具有面向服务的协议的网络10、尤其是基于SOME/IP的网络10,该网络10具有至少一个根据所述实施形式的设备200和/或至少一个根据所述实施形式的网络元件11。
在其他优选实施形式(参见图2C)中设置了,该方法进一步具有:a)提供150用于识别和/或阻止攻击、入侵检测和/或预防的模块IDPS,和/或b)提供152编程接口API,用于提供和/或用于发送和/或接收至少一个安全规则SR1、SR2、SR3,c)提供154密码模块CRYPTO(参见例如根据图3的元件207),尤其是用于检验至少一个安全规则SR1、SR2、SR3,尤其是用于检验至少一个安全规则的签名或所述签名。
在其他优选实施形式中设置了,该方法进一步具有:使用160(图2C)借助硬件实现的密码模块207或硬件安全模块。
尽管步骤150、152、154、160根据图2C示例性地以确定的顺序描绘,但是这些步骤中的两个或者更多步骤的顺序在另外的优选实施形式中也可以是不同的,或可以仅设置这些步骤中的一个步骤。
图4示意性地示出了根据其他优选实施形式的简化框图。描绘了:用于识别和/或阻止攻击的模块IDPS;编程接口API,用于提供和/或用于发送和/或接收至少一个安全规则SR1、SR2、SR3;和密码模块CRYPTO,尤其是用于检验至少一个安全规则SR1、SR2、SR3,尤其是用于检验至少一个安全规则的签名或所述签名。例如,模块IDPS可以将用于检验的签名发送给所述密码模块CRYPTO,并且可以从所述密码模块CRYPTO接收检验的结果,并且基于所述结果例如利用安全规则,或针对将来的利用而使用安全规则,或者例如如果签名不正确,则例如摒弃所述安全规则。这样的基于签名的检查通常对于攻击者而言困难地是可模仿的或可伪造的或可绕开的,尤其是当密码模块CRYPTO借助硬件实现时,那么如此。
同样在图4中描绘了三个安全规则SR1、SR2、SR3,给这些安全规则分别分配有签名Sig1、Sig2、Sig3,这能够实现高效地检验相关的安全规则SR1、SR2、SR3的真实性,例如借助密码模块207(图3)能够实现高效地检验。在其他优选实施形式中,也可设置或可使用比示例性地三个更多的(尤其是也多得多的)在图4中描绘的安全规则SR1、SR2、SR3。
在其他优选实施形式中设置了,至少一个安全规则SR1具有一个或者多个(在本发明示例性地为n个多个)2元组2T,所述2元组分别具有服务标识符s1、s2、...、sn和实体标识符i1、i2、...、in,其中尤其是服务标识符表征至少一个服务D(图1),和/或其中尤其是实体标识符表征如下实体(例如网络元件11):所述实体允许供应至少一个通过服务标识符表征的服务D,和/或允许针对所述服务D进行登记(“订阅”),和/或允许消费所述服务D。
在其他优选实施形式中设置了,至少一个安全规则SR2表征a)服务和/或b)具有相关的实体的服务的(尤其是时间上的)顺序,其中尤其是至少一个安全规则SR2具有列表L,所述列表L具有与该(尤其是时间上的)顺序相对应的多个a)服务标识符和/或b)具有相关的实体标识符 i1、i5、...、ik的服务标识符s1、s5、...、sk。在其他优选实施形式中,当要表征时间序列、例如典型的动作和/或利用服务或起动服务时(例如在车辆起动时),那么该类型的规则SR2例如是有益的。
在其他优选实施形式中设置了,至少一个安全规则SR3表征,可以和/或允许通过哪个实体或哪些实体在哪个时刻或哪些时刻供应和/或登记和/或消费哪个服务或哪些服务,其中尤其是至少一个安全规则SR3具有一个或者多个(在本发明示例性地为n个多个)3元组3T,所述3元组分别具有服务标识符s1、s2、...、sn和实体标识符i1、i2、...、in和时刻t1、t2、...、tn
在其他优选实施形式中,代替规则SR3的时刻,例如也可以使用例如网络或者另外的目标系统的相应的状态,通过安全规则那就是说例如表征,可以和/或允许通过哪个实体或哪些实体在哪个状态或哪些状态中供应和/或登记和/或消费哪个服务或哪些服务。
在其他优选实施形式中,可以经此例如描绘,如果车辆恰好行驶,那么允许不执行和/或起动与诊断有关的功能或服务D,所述与诊断有关的功能或服务D例如典型地在车间中或在车辆的静止状态中被执行。只要这出乎预料地仍发生,就可以在其他优选实施形式中推断出,违反了相对应的安全规则,因此存在针对异常或攻击的迹象。
在其他优选实施形式中,基于安全规则,如果例如网络元件具有不与安全规则相对应的(运行)特性,例如如果网络元件供应以前尚没有供应的服务或者对于该服务的利用或供应没有设置或授权,那么例如可以推断出操纵尝试(和/或故障,例如硬件的故障)。
如果例如攻击者sm可能会尝试供应服务ij,则该攻击者例如可能会违反根据图4的安全规则SR1,因为其中没有限定2元组(sm, ij)(其中m==j)。因此,例如通过模块IDPS,经此可能会查明异常或通过攻击者sm的攻击。
在其他优选实施形式中,在猜测有和/或识别出攻击的情况下,例如通过指示功能F,模块IDPS可以采取至少一个对策或故障反应:该功能F不允许将潜在恶意的服务ij添加到容许的服务的列表。
在其他优选实施形式中,借助编程接口API可以将安全规则SR1、SR2、SR2中的一个或者多个安全规则传送或提供给用于识别和/或阻止攻击的模块IDPS,该模块IDPS例如根据其他优选实施形式实施安全规则SR1、SR2、SR3,例如关于功能F实施所述安全规则SR1、SR2、SR3,所述功能F例如可以基于服务识别service_id和实体识别(实体标识符)instance_id来提供服务D(图1)。
在其他优选实施形式中,模块IDPS、CRYPTO、API中的至少一个模块可以借助硬件和/或软件或者由其构成的任意组合来实现,例如在使用根据图3的设备200的部件202、204的情况下来实现。
在其他优选实施形式中,例如在生产模块IPDS或设备200期间,可以给模块IPDS提供安全规则SR1、SR2、SR3。在其他优选实施形式中,也可以动态地(也就是在模块IPDS或设备200的运行时间)给模块IPDS提供安全规则SR1、SR2、SR3。
其他优选实施形式(参见图5)涉及根据所述实施形式的方法和/或根据所述实施形式的设备200和/或根据所述实施形式的网络元件11和/或根据所述实施形式的网络10和/或根据所述实施形式的计算机可读的存储介质SM和/或根据所述实施形式的计算机程序PRG和/或根据所述实施形式的数据载体信号DCS针对下列元素中的至少一个的使用:a)提高302或确保在网络10中的数据传输的安全性,所述网络10具有面向服务的协议、尤其是SOME/IP协议,b)预先给定304和/或使用306和/或应用308至少一个关于至少一个服务D的安全规则,c)抑制310或阻止未获授权的服务的供应和/或使用和/或执行,d)检查312针对具有面向服务的协议的网络的安全规则的签名。
根据优选实施形式的原理能够实现有利地阻止:攻击者例如供应(尤其是有危险的或恶意的)服务D,所述(尤其是有危险的或恶意的)服务D必要时未经检查地在网络中是可使用的,例如以便将错误的或受操纵的数据混入到网络中和/或用于执行攻击(例如拒绝服务(DoS,denial of service)攻击)。更确切而言,在其他优选实施形式中,例如在使用(多个)安全规则的情况下检查,是否允许供应服务,或允许由谁(或由哪个网络元件)供应该服务,允许针对哪些实体供应该服务,诸如此类。

Claims (20)

1.一种用于在具有面向服务的协议的网络(10)中传输数据的方法,在所述网络(10)中,网络元件(11)能够提供至少一个服务(D),所述方法具有下列步骤:使用(110)至少一个关于所述至少一个服务(D)的安全规则(SR1、SR2、SR3)。
2.根据权利要求1所述的方法,进一步具有:提供(100)至少一个、优选地多个安全规则(SR1、SR2、SR3)。
3.根据上述权利要求中至少一项所述的方法,其中,所述至少一个安全规则(SR1、SR2、SR3)表征白名单。
4.根据上述权利要求中至少一项所述的方法,其中,所述面向服务的协议是基于IP的可伸缩的面向服务的中间件SOME/IP协议。
5.根据上述权利要求中至少一项所述的方法,其中,所述至少一个安全规则(SR1)具有一个或者多个2元组(2T),所述2元组分别具有服务标识符(s1、s2、...、sn)和实体标识符(i1、i2、...、in),其中尤其是所述服务标识符(s1、s2、...、sn)表征至少一个服务(D),和/或其中尤其是所述实体标识符(i1、i2、...、in)表征如下实体:所述实体允许供应通过所述服务标识符(s1、s2、...、sn)来表征的所述至少一个服务(D)和/或允许针对所述服务(D)进行登记和/或允许消费所述服务(D)。
6.根据上述权利要求中至少一项所述的方法,其中,所述至少一个安全规则(SR2)表征a)服务(D)和/或b)具有相关的实体的服务(D)的顺序、尤其是时间上的顺序,其中尤其是所述至少一个安全规则(SR2)具有列表(L),所述列表(L)具有与所述顺序、尤其是所述时间上的顺序相对应的多个a)服务标识符和/或b)具有相关的实体标识符的服务标识符。
7.根据上述权利要求中至少一项所述的方法,其中,所述至少一个安全规则(SR3)表征,能够和/或允许通过哪个实体或哪些实体在哪个时刻或哪些时刻供应哪个服务(D)或哪些服务,其中尤其是所述至少一个安全规则(SR3)具有一个或者多个3元组(3T),所述3元组分别具有服务标识符(s1、s2、...、sn)和实体标识符(i1、i2、...、in)和时刻(t1、t2、...、tn)。
8.根据上述权利要求中至少一项所述的方法,进一步具有:接收(120)所述至少一个安全规则(SR1),检验(130)所述至少一个安全规则(SR1),和可选地,只有当所述检验(130)已得出所述至少一个安全规则(SR1)有效时,才应用(140)所述至少一个安全规则(SR1)。
9.根据权利要求8所述的方法,其中,所述检验(130)具有:检验(130)所述至少一个安全规则(SR1)的签名。
10.根据上述权利要求中至少一项所述的方法,进一步具有:a)提供(150)用于识别和/或阻止攻击、入侵检测和/或预防的模块(IDPS),和/或b)提供(152)编程接口(API),用于提供和/或用于发送和/或接收所述至少一个安全规则(SR1、SR2、SR3),c)提供(154)密码模块(CRYPTO),尤其是用于检验所述至少一个安全规则(SR1、SR2、SR3),尤其是用于检验所述至少一个安全规则(SR1、SR2、SR3)的签名或所述签名。
11.根据上述权利要求中至少一项所述的方法,进一步具有:使用(160)借助硬件实现的密码模块。
12.一种用于执行根据上述权利要求中至少一项所述的方法的设备(200),其中尤其是所述设备(200)具有至少一个计算装置(202)和分配给所述计算装置(202)的存储装置(204),所述存储装置(204)用于至少暂时存储数据(DAT)和/或计算机程序(PRG)。
13.根据权利要求12所述的设备(200),其中,所述设备(200)具有优选地双向的数据接口(206)。
14.根据权利要求12或者13所述的设备(200),其中,所述设备(200)具有密码模块、尤其是硬件密码模块(207)。
15.一种用于在具有面向服务的协议的网络(10)中传输数据的网络元件(11),其中所述网络(10)的至少一个网络元件、尤其是所述网络元件(11)能够提供至少一个服务(D),所述网络元件(11)具有至少一个根据权利要求12至14中至少一项所述的设备(200)。
16.一种具有面向服务的协议的网络(10)、尤其是基于SOME/IP的网络,所述网络(10)具有至少一个根据权利要求12至14中至少一项所述的设备(200)和/或至少一个根据权利要求15所述的网络元件(11)。
17.一种计算机可读的存储介质(SM),其包括指令(PRG),所述指令(PRG)在通过计算机(202)执行时促使所述计算机(202),执行根据权利要求1至11中至少一项所述的方法。
18.一种计算机程序(PRG),其包括指令,所述指令在通过计算机(202)执行所述程序(PRG)时促使所述计算机(202),执行根据权利要求1至11中至少一项所述的方法。
19.一种数据载体信号(DCS),所述数据载体信号(DCS)传输和/或表征根据权利要求18所述的计算机程序(PRG)。
20.根据权利要求1至11中至少一项所述的方法和/或根据权利要求12至14中至少一项所述的设备(200)和/或根据权利要求15所述的网络元件(11)和/或根据权利要求16所述的网络(10)和/或根据权利要求17所述的计算机可读的存储介质(SM)和/或根据权利要求18所述的计算机程序(PRG)和/或根据权利要求19所述的数据载体信号(DCS)针对下列元素中的至少一个的使用(300):a)提高(302)在网络(10)中的数据传输的安全性,所述网络(10)具有面向服务的协议、尤其是SOME/IP协议,b)预先给定(304)和/或使用(306)和/或应用(308)至少一个关于至少一个服务(D)的安全规则(SR1、SR2、SR3),c)抑制(310)或阻止未获授权的服务的供应和/或使用和/或执行,d)检查(312)针对具有面向服务的协议的网络(10)的安全规则(SR1)的签名(Sig1)。
CN202110264858.9A 2020-03-12 2021-03-11 用于在网络中传输数据的方法和设备 Pending CN113395253A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020203206.8A DE102020203206A1 (de) 2020-03-12 2020-03-12 Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk
DE102020203206.8 2020-03-12

Publications (1)

Publication Number Publication Date
CN113395253A true CN113395253A (zh) 2021-09-14

Family

ID=77457087

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110264858.9A Pending CN113395253A (zh) 2020-03-12 2021-03-11 用于在网络中传输数据的方法和设备

Country Status (2)

Country Link
CN (1) CN113395253A (zh)
DE (1) DE102020203206A1 (zh)

Also Published As

Publication number Publication date
DE102020203206A1 (de) 2021-09-16

Similar Documents

Publication Publication Date Title
EP2425367B1 (en) Method and apparatus for improving code and data signing
EP3348036B1 (en) Unauthorized access event notificaiton for vehicle electronic control units
JP6477281B2 (ja) 車載中継装置、車載通信システム及び中継プログラム
KR102642875B1 (ko) 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
EP3220576B1 (en) Information processing device and message authentication method
US11522696B2 (en) Intrusion defense system for a vehicle
CN101199183A (zh) 保证汽车部件通过无线通信连接与外部通信伙伴的安全通信的方法和装置
Yang et al. Breaking and fixing mobile app authentication with OAuth2. 0-based protocols
Stabili et al. Analyses of secure automotive communication protocols and their impact on vehicles life-cycle
Oyler et al. Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors
Daily et al. Securing CAN traffic on J1939 networks
US20190132119A1 (en) Method for exchanging messages between security-relevant devices
US11811922B2 (en) Key generation device, a vehicle-internal communication system, and a method for the vehicle-internal management of cryptographic keys
CN117155716B (zh) 访问校验方法和装置、存储介质及电子设备
WO2017150003A1 (ja) 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法
CN113395253A (zh) 用于在网络中传输数据的方法和设备
US10785242B1 (en) Intrusion detection in airborne platform
KR102462736B1 (ko) 센서의 측정값들에 서명하기 위한 방법, 장치 및 명령어들을 포함하는 컴퓨터 판독 가능 저장 매체
CN112806034A (zh) 用于为车辆的控制设备提供通信的装置、方法和计算机程序,用于提供更新的方法、中央装置和计算机程序,控制设备和车辆
CN113226858A (zh) 信息处理装置
Oberti et al. Taurum p2t: Advanced secure can-fd architecture for road vehicle
EP3692698A1 (en) System and method for validation of authenticity of communication at in-vehicle networks
JP2017050719A (ja) 車載ネットワークシステム
Daily et al. Secure controller area network logging
CN117478422A (zh) 基于解耦状态下免密登录的接口数据获取方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination