CN114465936A - 用于识别对总线系统的不允许的物理访问的方法 - Google Patents

用于识别对总线系统的不允许的物理访问的方法 Download PDF

Info

Publication number
CN114465936A
CN114465936A CN202111319439.7A CN202111319439A CN114465936A CN 114465936 A CN114465936 A CN 114465936A CN 202111319439 A CN202111319439 A CN 202111319439A CN 114465936 A CN114465936 A CN 114465936A
Authority
CN
China
Prior art keywords
measurement signal
sequence
bus
voltage
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111319439.7A
Other languages
English (en)
Inventor
A·奥厄
E·贝克尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN114465936A publication Critical patent/CN114465936A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/38Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation
    • G06F7/48Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation using non-contact-making devices, e.g. tube, solid state device; using unspecified devices
    • G06F7/57Arithmetic logic units [ALU], i.e. arrangements or devices for performing two or more of the operations covered by groups G06F7/483 – G06F7/556 or for performing logical operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computational Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种用于识别对总线系统的不允许的物理访问的方法,在所述总线系统中,根据总线规范利用电压信号中的电平序列来传输数据,该方法包括:检测(52)测量信号,如果电压信号在阈值电压之上,则该测量信号占据第一状态,而如果电压信号不在阈值电压之上,则该测量信号占据第二状态;识别(54)电压信号中的测试电平序列;基于在与测试电平序列相对应的时间段期间的测量信号,形成(56)测量信号模式;将测量信号模式与分配给所识别的测试电平序列的参考模式进行比较(58);和如果在比较时查明测量信号模式和参考模式在一个或者多个预先确定的特性方面彼此偏差相应的容差以上,则确定(60)存在可能的不允许的物理访问。

Description

用于识别对总线系统的不允许的物理访问的方法
技术领域
本发明涉及一种用于识别对总线系统的不允许的物理访问的方法,以及涉及用于执行所述方法的一种计算单元和一种计算机程序。
背景技术
在机器和机动车中,采用可编程控制设备,以便控制所述机器和机动车或者也控制所述机器和机动车的部件。例如,机动车可以包含用于进行发动机控制的、针对制动系统等的控制设备。控制设备包括带有一个或者典型地带有多个处理器核的微控制器或者处理器,所述处理器核执行存储在存储器中的程序,以便实现控制设备的功能。
这些控制设备可以经由总线彼此间并且与其他设备(比方说传感器)连接。流行的例如是CAN总线(控制器域网(Controller Area Network))、即基于差动电压的总线,该总线经由两条总线线路传输数据或消息;总线线路和总线用户共同形成了总线系统。为了防止访问物理层(尤其是总线线路)的攻击者操纵所传输的数据或者偷偷混入自己的数据,可以对要传输的数据进行加密。
然而,尽管进行了加密,仍要防止攻击者获得对物理层的访问,因为该攻击者一方面能够窃听数据传输,并且在大数目的数据传输的情况下可能可以破解加密,而另一方面该攻击者可以用消息淹没总线,并且这样可以损坏总线系统的功能。后者尤其是在CAN总线中是危险,因为在该CAN总线中,每个消息都具有由发送方规定的特定优先级,根据该优先级使用总线带宽,也就是说分别仅传输具有最高优先级的消息。亦即,通过攻击者用高优先级的消息淹没总线,攻击者可能会使控制设备之间的数据传输停顿。
从DE 10 2017 208 547 A1和DE 10 2018 208 118 A1中已知了如下方法:根据这些方法,评估消息经由网络传输的特征(比方说信号边沿),其中依据所述特征来确定消息的来源或证实所述消息。
发明内容
根据本发明,建议了具有独立权利要求的特征的一种用于识别对总线系统的不允许的物理访问的方法以及用于执行所述方法的一种计算单元和一种计算机程序。有利的构建方案是从属权利要求以及随后的描述的主题。
根据本发明,针对在总线的电压信号中识别出的测试电平序列,将测量信号模式与相对应的参考模式进行比较,其中检查确定的特性的在一定的容差之外的偏差。由如下测量信号形成测量信号模式:通过例如比较器将电压信号与阈值电压进行比较并且与此相应地具有第一和第二状态,检测该测量信号。在对应于该测试电平序列的时间段期间,测量信号模式和参考模式至少指明在两个状态之间的过渡及其时刻,其中由相对应的参考测量信号形成参考模式,所述参考测量信号在总线系统的如下状态期间被检测:在所述状态中确保,不存在不允许的访问。
通过使用阈值电压,在电平序列之内可以检测到电压信号中的干扰,并且可以将这些干扰考虑用于比较,所述干扰通过总线系统的设计引起、例如是在电压信号中的一个边沿之后的电压振荡,所述阈值电压一般而言不同于根据总线规范被用于进行数据传输的电压电平,并且所述阈值电压尤其是处于由总线用于进行数据传输的电压电平之间。这是有利的,因为这些干扰视总线系统的具体设计而定来改变。这些干扰反映相应总线系统的特征,并且不能被攻击者预见。因此,利用本发明,更容易地识别出例如通过攻击者借助机械接触将设备连接到总线线路上来对总线系统的物理层的攻击。
根据优选的实施方案,例如通过软件,改变或可改变或可预先给定阈值电压。应理解的是,在改变之后要重新确定相对应的参考模式。阈值电压的改变允许选出合适的参考模式,以致所有总线用户的访问都被分类为允许的,尤其是当总线系统被改变时,例如当连接新总线用户时,那么如此。
术语“电平序列”要标明如下电压信号中的电平的确定的序列:所述电压信号根据总线规范对数据或者总线控制信号进行编码。因此,可以根据总线规范给电平序列指派确定的意义,例如指派具有确定的值的一位或者具有确定的值的多个位;也可以涉及总线控制信号,比方说涉及用信号通知消息的结束的电平序列。是否存在以及存在何种电平序列一般而言可随着电平序列的终结才被查明。原则上,电平序列依据其意义或规格根据总线规范而被识别出。
在这些电平序列中间,选出至少一个电平序列,所述至少一个电平序列在本方法中被使用,以便检查是否可能存在对总线系统、更准确地说是对物理层的不允许的物理访问。该电平序列被称为“测试电平序列”,在此适宜地涉及在普通通信中使用的电平序列。尤其是,已经可以通过传输唯一的位来形成合适的测试电平序列。
在分配给测试电平序列的时间段期间,在比方说从电压信号中的一位的初始边沿直至最终边沿(参见针对例子的图2A、2B)的时间段期间,“测量信号模式”和“参考模式”对应于测量信号和参考测量信号。也就是说,在该时间段期间,形成(参考)测量信号的模式或结构化。“测量信号模式”和“参考模式”可以以测量信号和参考测量信号的时序的形式存在和被存储。可是,由于(参考)测量信号在仅仅两个状态之间来回跳跃,所以(参考)测量信号明确地通过在两个状态之间的过渡的时刻和过渡的方向的说明来表征。相对应地,“测量信号模式”和“参考模式”可以优选地以过渡列表的形式存在并且被存储,该过渡列表包含过渡的时刻和过渡的可选的方向,这比存储时序更高效。可能可以(取决于在比较时检查哪些特性)省去过渡的方向的说明,因为相继的过渡具有不同的方向并且方向已经从电平序列中已知。
容差可以被说明为相对量度,例如在测量信号模式中的两次过渡之间的时间间距允许与在参考模式中的相对应的时间间距最大偏差确定的百分比(例如10%)。同样可以进行绝对说明,例如可以以纳秒或者皮秒为单位来说明确定的容许的偏差。一般而言,针对每个测试电平序列,针对每个特性都说明自己的容差。通过容差来确保,小干扰没有导致错误地查明可能的不允许的物理访问。
优选地,借助比较器,形成测量信号。这有如下优点:在电路技术上要简单地实现该测量信号,并且该测量信号能够实现高速度。
此外,优选地使用定时器模块,以便检测过渡的时刻。由此,能够实现以高时间分辨率来检测这些时刻。
优选地,测量信号模式并且针对每个测试电平序列为所分配的参考模式此外还指明过渡的方向。通过方向的说明,可以识别出测量信号模式中的确定的结构,比方说可以识别出振荡波谷(Schwingungstaeler)或者振荡波峰(Schwingungsberge),并在比较时可以检查这些确定的结构。
优选地,针对每个测试电平序列,所分配的参考模式都包括至少四个过渡。这可以通过相对应的选择或者也通过改变阈值电压来实现,以致由此确定的参考模式具有相对应数目的过渡。由于每个电平序列典型地都包括限定电平序列的时间段的初始过渡和最终过渡,所以这样可以实现:检查过渡、例如通过总线系统引起的干扰或者振荡,所述过渡并不包括在电平序列本身的限定中。
一个或者多个预先确定的特性优选地选自:过渡的数目、在确定的过渡之间的至少一个时间间距、在确定的过渡之间的两个时间间距的至少一个商和预先确定的过渡(例如在稳定的信号阶段之前的最后的过渡)的位置。例如,根据从第一过渡和/或从最后的过渡开始的至少一个编号,可以确定模式中的过渡。也可以考虑过渡的方向,比方说考虑针对上升的过渡(也就是说从第一状态到第二状态)或下降的过渡(也就是说从第二状态到第一状态)的分开编号。由于上升的和下降的过渡以构造引起的方式总是交替地出现并且通过数据结构通常预先给定第一(或者上升的或者下降的)过渡,所以典型地从第一过渡开始的编号足够,以便明确地标识出每个过渡连同方向。
优选地,本方法包括:如果在总线系统上发送的消息包括多个测试电平序列并且针对这些测试电平序列的预先确定的最小数目的测试电平序列查明可能的不允许的物理访问,则确定存在不允许的物理访问。这样可以防止,随机干扰(所述随机干扰并不是通过总线系统引起,可是可能导致在比较模式时查明偏差)立即导致,以不允许的访问为出发点。
优选地,针对至少一个测试电平序列,本方法包括:确定分配给该测试电平序列的参考模式,其中产生包括该测试电平序列的电压信号;(如果给出,则)借助比较器来形成参考测量信号,如果电压信号在阈值电压之上,则所述参考测量信号占据第一状态,而如果电压信号不在阈值电压之上,则所述参考测量信号占据第二状态;和基于参考测量信号,确定分配给该测试电平序列的参考模式。原则上,参考模式因此恰与测量信号模式一样地被确定,区别仅仅是,在此使用如下参考测量信号:例如在制造其包含在内的总线系统或设备(机动车、机器)时,从在未被操纵的状态中(也就是说在该状态中,不存在不允许的物理访问)的电压信号(参考电压信号)中,赢得所述参考测量信号。
此外优选地,在确定分配给相应的测试电平序列的参考模式之前,改变或适配阈值电压,其中该改变进一步优选地在预先给定的阈值电压范围之内随机地进行。在批量生产中,比方说在汽车制造中,制造高数目的具有相同的或者至少非常相似的电特性的总线系统。这在相同的阈值电压的情况下可能导致大量(近似)相同的参考模式,以致如下攻击者潜在地获得对大量相同建立的总线系统的访问:该攻击者以未被操纵识别方法识别出的方式成功获得对这些总线系统之一的访问。如果利用不同的阈值电压在这些总线系统中的不同总线系统中确定参考模式,则参考模式可以在这些总线系统之间变化。用于识别操纵尝试的方法接着自然必须在这些总线系统中的每一个中使用如下阈值电压:利用这些阈值电压,已确定参考模式。进一步优选地,阈值电压在确定的范围之内分别随机地被改变。
优选地,本方法此外包括:针对至少一个测试电平序列,确定针对在比较时所检查的特性中的至少一个特性的容差,其中总线系统的每个总线用户都根据测试电平序列相继产生电压信号,针对每个总线用户分别检测测量信号,基于此形成测量信号模式,并且确定所形成的测量信号模式与分配给测试电平序列的参考模式的总线用户特定的偏差;其中容差被规定为使得,总线用户特定的偏差在所述容差之内,其中进一步优选地进行规定,使得容差是最小的容差,以致总线用户特定的偏差在该容差之内。以这种方式来确保,总线用户的消息没有错误地被识别为对总线系统的操纵,或被确定为不允许的物理访问。
根据本发明的计算单元(例如机动车的控制设备)包括比较器,并且尤其是在编程技术上设立为,执行根据本发明的方法。比较器设立为,将电压信号与阈值电压进行比较,并形成测量信号。
以具有用于执行所有方法步骤的程序代码的计算机程序或者计算机程序产品的形式来实施根据本发明的方法也是有利的,因为这造成特别低的成本,尤其是如果进行执行的控制设备还被用于其他任务并且因而本来就存在则如此。用于提供计算机程序的合适的数据载体尤其是磁存储器、光存储器和电存储器,如例如是硬盘、闪存存储器、EEPROM、DVD以及其他等等。也可能经由计算机网络(互联网、内部网等)下载程序。
从本描述和附上的附图中得出本发明的其他优点和构建方案。
附图说明
依据附图中的实施例示意性地示出了本发明,并且在下文参照附图描述了本发明。
图1示出了总线系统的示例性结构并且示出了攻击者;
图2A和2B示出了用于传输具有值1的位的理想的电压变化过程,并且示出了相对应的实际的电压变化过程;
图3示出了根据本发明的优选实施形式的用于识别不允许的物理访问的装置;
图4A和4B示出了用于传输具有值1的位的实际的电压变化过程,并且示出了相对应的根据本发明检测到的测量信号;和
图5示出了按照根据本发明的方法的优选实施形式的流程图。
具体实施方式
图1示出了总线系统2(尤其是基于差动电压信号的总线系统、如比方说CAN总线系统)的示例性结构,并且示出了攻击者8。总线系统2一方面包括线路4a、4b,电压信号经由所述线路4a、4b来传输,并且所述线路4a、4b经由终端电阻5a、5b相互连接,所述终端电阻5a、5b是总线系统的中央阻抗,并且在另一方面,总线系统2包括与两条总线线路4a、4b连接的多个总线用户6,以便经由所述总线相互进行通信。为此,总线用户使用在两条总线线路之间的差动电压,所述差动电压借助收发器来产生和被读出。总线用户6的例子是机动车的或者机器的控制设备或者是传感器,所述控制设备传输控制数据,所述传感器传输传感器数据,比方说将传感器数据传输至控制设备。总线用户之一包括用于进行操纵识别的装置10,该装置10结合图3予以更详细地阐述。在本申请中,与不允许地访问总线的攻击者相反,术语“总线用户”标明允许对总线的访问的正常总线用户。
攻击者8物理接入总线系统,并且这样可以建立至线路4a、4b的连接,该攻击者8比方说是同样具有收发器或至少一个发射器或者接收器的设备、例如是所谓的OBD插头(Stecker)。攻击者8因此能够,经由总线窃听所传输的消息和/或自己发送消息。
图2A和2B示出了理想的差动电压变化过程30(比方说根据CAN总线规范的差动电压变化过程)和相对应的实际的差动电压变化过程32,所述理想的差动电压变化过程30用于传输具有确定的逻辑值的位。在此,相对时间t分别绘制了差动电压VD
在由发送器产生的理想的差动电压变化过程30(图2A)中,首先存在相对高的差动电压(在CAN总线中为至少2V,所谓的“显性状态”),所述差动电压接着经由下降沿转为低的差动电压(在 CAN总线中为0V,所谓的“隐性状态”),以便紧接着经由上升沿又转为高的差动电压。如果在下降沿与上升沿之间的时间间隔为根据CAN总线系统规范预先确定的时间间隔tBit,则这种电平序列在CAN总线中用于传输具有逻辑值1的位。
可是,物理层(也就是说总线线路4a、4b连同总线用户6)具有干扰该理想化的差动电压变化过程的电特性、尤其是电感和电容。这导致干扰、如比方说边沿的陡度的改变、反射、电压变化过程中的振荡以及诸如此类。这些干扰取决于物理层的具体实现,也就是说取决于实际总线系统的设计(例如,取决于线路的长度,取决于用户的数目以及这些用户与线路在何处连接,取决于用户的收发器的电特性等)。这种实际的差动电压变化过程32示例性地在图2B中示出。这里,在下降沿之后,在差动电压中出现振荡,所述振荡也被称为“振铃(Ringing)”。
由于干扰取决于总线系统的设计,所以这些干扰反映相应的具体总线系统的特征。如果其他用户或者(如在图1中的)攻击者8与总线系统连接,则这导致干扰的改变,以致可以识别出可能的操纵尝试。
在图3中示出了如下装置10,所述装置10根据本发明可以被使用,以便识别对总线系统的物理层的操纵尝试。该装置可以包括在已经存在的总线用户6中,也就是说可以包括在履行另外的任务的总线用户中,或者也可以形成独立的总线用户,该独立的总线用户特定地设置用于进行操纵识别。
在该装置中,设置有比较器12,借助该比较器12进行在电压信号(利用该电压信号来传输数据)与阈值电压VS之间的比较。电压信号这里例如是在CAN总线系统的两条线路4a、4b之间的差动电压VD。差动电压例如可以借助差动放大器14而从附在总线线路4a、4b上的电压中赢得,所述差动放大器14确定在两个输入信号之间的差。在不使用差动电压的总线的情况下,要清楚地相对应地适配该装置,以便获得为比较器12的输入信号的电压信号。替选地(未示出),也可以由收发器或接收器(Receiver)16获得电压信号或差动电压。
通过比较器12,产生测量信号,所述测量信号指明,电压信号VD是在阈值电压VS之下还是在阈值电压VS之上。尤其是,如果电压信号在确定的阈值电压之上,则测量信号可以占据第一状态、例如第一测量信号电压,而如果电压信号不在该阈值电压之上,则测量信号可以占据第二状态、例如第二测量信号电压。
测量信号从比较器12被传送至微控制器18,该微控制器18设立为,检测或评估测量信号。在此,由微控制器18来检测在测量信号的第一状态与第二状态之间的过渡的时刻和这些过渡的方向(第一状态向第二状态或第二状态向第一状态)。为此,优选地设置,使用(包括在微控制器中的)定时器模块20,该定时器模块20能够实现在皮秒范围内的高分辨率时间测量。过渡时刻的时间分辨率优选地为至少5纳秒,进一步优选地为至少100皮秒,还进一步优选地为至少20皮秒,最优选地为至少5皮秒。合适的定时器模块例如从EP 2 553 540B1中已知。
例如经由收发器16进行数据传输,该收发器16一方面将接收到的数据转换成适合于由微控制器18处理的信号,并且传送至该或那里的接口模块22(例如CAN模块),而另一方面,该收发器16从接口模块22获得要发送的数据或相对应的信号,并由此在总线线路4a、4b上产生如下电压:所述电压与根据总线规范的数据相对应。替选地,代替特定的接口模块,可以使用如例如在DE 10 2013 210 182 A1中描述的通用模块,例如可以同样使用定时器模块20。
在此,确定的电平序列(比方说参见图2A)对应于确定的数据(例如具有逻辑值1的位)。亦即,确定的意义对应于确定的电平序列(一般而言可以存在多个电平序列,所述电平序列例如也包括多个位),也就是说微控制器或者收发器可以将确定的数据或者也将总线控制信号指派给所述确定的电平序列;该对应通过总线规范确定。
根据总线规范已知的在电压信号中的电平序列中的数个或者所有电平序列都可以被用作测试电平序列。针对这些测试电平序列中的每个测试电平序列,在总线系统的未被操纵的状态中,从所属的通过比较器获得的参考测量信号中确定参考模式,所述参考模式在测试电平序列期间的电压信号中包括过渡的时刻和这些过渡的方向。因此,给每个测试电平序列都分配一个参考模式。
如果在电压信号中识别出测试电平序列,例如依据所传输的数据识别出测试电平序列,则这样可以利用比较器并从利用该比较器获得的测量信号中获得相对应的测量信号模式,该测量信号模式可以与参考模式进行比较(在检测测量信号时的阈值电压明显要与在检测参考测量信号时的阈值电压相同)。如果在合适地选择的阈值电压的情况下查明偏差,则这样存在可能的操纵尝试,因为通过与总线系统连接的攻击者可能改变电干扰,并且由此可能改变过渡的时刻。
在图4A、4B中,示例性地示出了针对图2B的电压信号的测量信号的确定。在图4A中,再次示出了实际的电压信号32,其中附加地记入了阈值电压VS的大小。阈值电压Vs选择为使得,该阈值电压Vs处于电压信号的最高电压与最低电压之间。在图4B中,示出由此最终得到的测量信号34,该测量信号34是一系列高/低状态,其中如果电压信号在阈值电压之上,则存在高状态36H,而如果电压信号不在阈值电压之上,则存在低状态36L。该测量信号或由此得出的测量信号模式对应于具有逻辑值1的位,并且可以与对应于具有逻辑值1的位的参考模式进行比较。
图4B中的测量信号包括在时刻t0、t1、...、t5进行的在第一状态与第二状态之间的过渡。这些时刻都可以相对于参考时刻(比方说t0)而被说明,该参考时刻表示电平序列的起始,因为发送数据(这里为位)的绝对时间是无关紧要的。原则上,这些时刻是测量信号模式,该测量信号模式与相对应的参考模式或参考模式的相对应的时刻进行比较。在比较时,也可以使用从这些时刻中计算的值。对于参考模式,优选地已经预先计算并(例如在微控制器可以访问的存储器中)存储在比较时使用的所有值,以致不必重新计算这些值。
在比较时,可以考虑各种特性。第一特性是过渡的数目(这里是6)。在通过到来的攻击者引起的振荡更强或者更弱衰减的情况下,该数目可能改变。
另外的特性是彼此在测量信号模式和参考模式中相对应的时刻之间的时间间距或时间间隔,也就是说在两个时刻之间的差。比方说,可以计算在最后的时刻t5与第一时刻t0之间的差t5-t0,该差t5-t0是电平序列的总持续时间(这里大体上等于tBit)。其他可能的时间读数(Zeitstaende)是电压信号中的振荡波峰和/或振荡波谷的持续时间,也就是说两个相继的时刻的时间差ti-ti-1(这里:振荡波峰:t2-t1、t4-t3;振荡波谷:t1-t0、t3-t2)。同样,例如可以计算和比较两个相继的上升沿(这里:t3-t1)或者两个相继的下降沿(这里:t4-t2)的时间差,(这些差是针对振荡的振荡持续时间或振荡频率的量度,总线系统中的电感或者电容的改变影响该振荡)。
其他可能性是观察时间间距的商。这里,四个或者三个(如果两个时刻同时发生)不同的时刻进入到计算中。例如,在如在图4中的振荡结构的情况下,这两个振荡波峰的持续时间可能会彼此被置为比(t2-t1)/(t4-t3)。或者,可以计算振荡波谷和振荡波峰的持续时间的商(t3-t2)/(t2-t1)。振荡波谷和振荡波峰清楚地通过上升的和下降的过渡的序列(也就是说方向)来表征。可设想的是,从过渡的时刻和方向中计算其他(未提到的)特性。
其他可能性是确定预先确定的过渡的位置,例如确定在稳定的信号阶段(也就是说初始信号振荡的结束)之前的最后过渡。通过如下来评价模式:何时存在稳定信号,并且通过与参考模式进行比较,可以识别出不允许的物理访问,例如在车辆交付之前,该参考模式已被保存为参考。如果信号例如在交付时在10个样本之后是稳定的并且这在测量时偏差5个以上样本,则可以识别出不允许的物理访问。
图5示出了按照根据本发明的方法的优选实施形式的流程图。
在可选的步骤50中,首先针对至少一个测试电平序列,确定所分配的参考模式。为此,(针对每个测试电平序列),比方说通过总线用户,产生电压信号、也就是说参考电压信号,在所述电压信号中出现测试电平序列。由此,(尤其是利用比较器)形成参考测量信号,基于该参考测量信号,在对应于该测试电平序列的时段中确定参考模式。在确定参考模式时,带有如下区别地类似于在形成测量信号模式时采取行动:这基于从参考电压信号中赢得的参考测量信号来进行。该或所述参考模式被存储在例如图3的微控制器可以访问的存储器中。步骤50(如果微控制器与发射器或者与收发器连接)和其他步骤可以由该微控制器和与之连接的比较器来执行。步骤50要在总线系统正常运行期间重复执行的其他步骤之前被执行一次。也可能的是,已经可以预先给定参考模式,那么(比方说在多个相同建立的总线系统的情况下)可以省去步骤50。
分配给测试电平序列的至少一个参考模式的确定可以包括改变阈值电压,以致获得合适的参考模式,也就是说如下参考模式:这些参考模式一方面没有将总线用户发送的测试电平序列分类为不允许的访问,而另一方面足够窄地表征相对应的电压信号,以便能够识别出攻击者。至少一个参考模式的这种确定同样可以包括规定容差。
在步骤52中,形成测量信号,所述测量信号检测,电压信号是在阈值之上,还是没有在阈值之上。测量信号优选地借助比较器来形成。这里,电压信号是用来在运行期间经由总线传输数据的那个电压信号。视电压信号是否在阈值之上而定,测量信号占据两个状态。
于是,检查电压信号,是否出现测试电平序列,也就是说,在电压信号中识别出测试电平序列,步骤54。测试电平序列在电压信号中延伸确定的时间段。
在步骤56中,如果已识别出测试电平序列,则形成测量信号模式,该测量信号模式基于在与测试电平序列相对应的时间段(测试电平序列延伸的时间段)期间的测量信号。测量信号模式形成为使得,与在步骤50中确定的参考模式一样,该测量信号模式在测量信号中至少指明在两个状态之间的过渡的时刻。
在步骤58中,将测量信号模式与参考模式进行比较,其中在比较时检查,两个模式的确定的特性是相同还是不同。如果在比较时查明测量信号模式和参考模式在一个或者多个预先确定的特性方面彼此偏差相应的容差以上,则在步骤60中确定可能的不允许的物理访问。如果查明测量信号模式和参考模式在容差之内并无不同,则在步骤60中以如下内容为出发点:不存在不允许的物理访问。在这种情况下,可以再次跳回至步骤54(识别测试电平序列),并且可以从那里针对其他测试电平序列重复本方法。
如果确定不允许的物理访问,则可以采取相对应的措施,例如可以丢弃其中曾包含有问题的测试电平序列的消息。进一步地,可以发送警告,在该警告中比方说向操作员或者另外的设备指示,可能以不允许的方式访问总线系统。例如,接着可以由本领域技术人员进一步分析总线系统,比方说察看总线系统,以便查明是否已进行了结构上的改变(将攻击者与总线连接)。

Claims (14)

1.一种用于识别对总线系统的不允许的物理访问的方法,在所述总线系统中,根据总线规范,利用电压信号中的电平序列来传输数据,所述方法包括:
检测(52)测量信号,如果所述电压信号在阈值电压之上,则所述测量信号占据第一状态,而如果所述电压信号不在所述阈值电压之上,则所述测量信号占据第二状态;
识别(54)所述电压信号中的测试电平序列;
基于在与所述测试电平序列相对应的时间段期间的所述测量信号,形成(56)测量信号模式;
将所述测量信号模式与分配给所识别出的测试电平序列的参考模式进行比较(58),所述参考模式基于在所述总线系统的不曾存在不允许的物理访问的状态中的针对所述测试电平序列的参考测量信号已被确定,其中所述测量信号模式和分配给所述测试电平序列的所述参考模式至少指明在所述测量信号和参考测量信号中的所述第一状态与所述第二状态之间的过渡的时刻;和
如果在比较时查明所述测量信号模式和所述参考模式在一个或者多个预先确定的特性方面彼此偏差相应的容差以上,则确定(60)存在可能的不允许的物理访问。
2.根据权利要求1所述的方法,其中,所述测量信号模式和所分配的参考模式此外指明所述过渡的方向。
3.根据上述权利要求中任一项所述的方法,其中,所述所分配的参考模式包括至少四个过渡。
4.根据上述权利要求中任一项所述的方法,其中,所述一个或者所述多个预先确定的特性选自:
- 过渡的数目;
- 在确定的过渡之间的至少一个时间间距;
- 在确定的过渡之间的两个时间间距的至少一个商;
- 确定的过渡的位置。
5.根据上述权利要求中任一项所述的方法,其包括:如果在所述总线系统上发送的消息包括多个测试电平序列并且针对所述测试电平序列的预先确定的最小数目的测试电平序列查明可能的不允许的物理访问,则确定存在不允许的物理访问。
6.根据上述权利要求中任一项所述的方法,此外还包括:针对至少一个测试电平序列,确定(50)分配给所述测试电平序列的所述参考模式,其中产生包括所述测试电平序列的电压信号;形成所述参考测量信号,如果所述电压信号在所述阈值电压之上,则所述参考测量信号占据所述第一状态,而如果所述电压信号不在所述阈值电压之上,则所述参考测量信号占据所述第二状态;和基于所述参考测量信号,确定分配给所述测试电平序列的所述参考模式。
7.根据权利要求6所述的方法,其中,在确定分配给相应的测试电平序列的所述参考模式之前,改变所述阈值电压,其中所述改变优选地在预先给定的阈值电压范围之内随机地进行。
8.根据上述权利要求中任一项所述的方法,此外还包括:针对至少一个测试电平序列,确定针对在比较时所检查的特性中的至少一个特性的容差,其中所述总线系统的每个总线用户都根据所述测试电平序列相继产生电压信号;针对每个总线用户,分别检测所述测量信号,基于所述测量信号,形成所述测量信号模式,并且确定所形成的测量信号模式与分配给所述测试电平序列的所述参考模式的总线用户特定的偏差;其中所述容差被规定为使得,所述总线用户特定的偏差在所述容差之内。
9.根据权利要求8所述的方法,其中,进行规定为使得,所述容差是最小的容差,以致所述总线用户特定的偏差在所述容差之内。
10.根据上述权利要求中任一项所述的方法,其中,借助比较器(12)来形成所述测量信号。
11.根据上述权利要求中任一项所述的方法,其中,使用定时器模块(20),以便检测所述过渡的时刻。
12.一种计算单元(10),其设立为,执行根据前述权利要求中任一项所述的方法的所有方法步骤,其中所述计算单元优选地包括比较器,或者与比较器(12)连接。
13.一种计算机程序,当在计算单元上执行所述计算机程序时,所述计算机程序促使所述计算单元,执行根据权利要求1至11中任一项所述的方法的所有方法步骤。
14.一种机器可读的存储介质,其具有存储在其上的根据权利要求13所述的计算机程序。
CN202111319439.7A 2020-11-10 2021-11-09 用于识别对总线系统的不允许的物理访问的方法 Pending CN114465936A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020214099.5A DE102020214099A1 (de) 2020-11-10 2020-11-10 Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE102020214099.5 2020-11-10

Publications (1)

Publication Number Publication Date
CN114465936A true CN114465936A (zh) 2022-05-10

Family

ID=81256189

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111319439.7A Pending CN114465936A (zh) 2020-11-10 2021-11-09 用于识别对总线系统的不允许的物理访问的方法

Country Status (3)

Country Link
US (1) US11899785B2 (zh)
CN (1) CN114465936A (zh)
DE (1) DE102020214099A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020214099A1 (de) * 2020-11-10 2022-05-12 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5226137A (en) * 1989-05-15 1993-07-06 Dallas Semiconductor Corp. Electronic key with multiple password protected sub-keys using address and translation to implement a block data move between public and protected sub-keys
EP2372490A1 (en) 2010-03-31 2011-10-05 Robert Bosch GmbH Circuit arrangement for a data processing system and method for data processing
US8384414B2 (en) * 2011-02-22 2013-02-26 International Business Machines Corporation Implementing hacking detection and block function at indeterminate times with priorities and limits
US8955157B2 (en) * 2012-07-03 2015-02-10 Honeywell International Inc. Method and apparatus for differential power analysis protection
DE102013210182A1 (de) 2013-05-29 2014-12-04 Robert Bosch Gmbh Verfahren zur Bereitstellung einer generischen Schnittstelle sowie Mikrocontroller mit generischer Schnittstelle
US10824720B2 (en) * 2014-03-28 2020-11-03 Tower-Sec Ltd. Security system and methods for identification of in-vehicle attack originator
US9665870B1 (en) * 2016-01-29 2017-05-30 Square, Inc. Multi-input tamper detection system
US10339324B2 (en) * 2016-12-22 2019-07-02 Apple Inc. Tamper-proof storage using signatures based on threshold voltage distributions
DE102017208547A1 (de) 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102018208118A1 (de) 2018-05-23 2019-11-28 Robert Bosch Gmbh Verfahren und Vorrichtung zum Authentifizieren einer über einen Bus übertragenen Nachricht
WO2020261262A1 (en) * 2019-06-24 2020-12-30 Cymotive Technologies Ltd. Systems and methods for assessing risk in networked vehicle components
WO2022093180A1 (en) * 2020-10-27 2022-05-05 Hewlett-Packard Development Company, L.P. Detection of physical attacks on communication links
DE102020213893A1 (de) * 2020-11-04 2022-05-05 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE102020214099A1 (de) * 2020-11-10 2022-05-12 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem

Also Published As

Publication number Publication date
US20220147621A1 (en) 2022-05-12
US11899785B2 (en) 2024-02-13
DE102020214099A1 (de) 2022-05-12

Similar Documents

Publication Publication Date Title
KR102601578B1 (ko) 사이버 공격에 대한 네트워크 보호 방법
KR102517216B1 (ko) 사이버 공격에 대한 네트워크 보호 방법
CN110226309B (zh) 用于对机动车辆中数据网络的监测装置进行操作的方法以及监测装置、控制设备和机动车辆
US20140380416A1 (en) Connection detection apparatus and in-vehicle relay apparatus
CN112684773A (zh) 在can总线上的数据操纵检测
JP2018523390A (ja) デバイス認証のためのシステム
US11647045B2 (en) Monitoring a network connection for eavesdropping
CN114465936A (zh) 用于识别对总线系统的不允许的物理访问的方法
Popa et al. ECUPrint—Physical fingerprinting electronic control units on CAN buses inside cars and SAE J1939 compliant vehicles
JP6497656B2 (ja) 通信方法およびそれを利用した通信装置
CN108965236B (zh) 用于保护网络免受网络攻击的方法
CN115776383A (zh) 基于时间分析的车辆网络攻击防护方法及相应装置
US20220294638A1 (en) Method for monitoring a network
US11709971B2 (en) Method for detecting an unauthorized physical access to a bus system
CN108965234B (zh) 用于保护网络防止网络攻击的方法
WO2019207764A1 (ja) 抽出装置、抽出方法および記録媒体、並びに、検知装置
CN114567456A (zh) 用于对通信系统中的消息进行检验的方法
US11606224B2 (en) Method for checking a message in a communication system
CN106370208B (zh) 用于信号研究的方法和装置
CN115412278A (zh) 用于防止对车辆的网络攻击的方法及相应装置
Ohira et al. Divider: Delay-time based sender identification in automotive networks
JP7040993B2 (ja) 電子制御装置
Cho From attack to defense: toward secure in-vehicle networks
CN115842694A (zh) 用于识别对总线系统的操纵的方法
WO2019225369A1 (ja) 車載通信システム、判定装置、通信装置、判定方法及びコンピュータプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination