CN114567456A

CN114567456A - 用于对通信系统中的消息进行检验的方法

Info

Publication number: CN114567456A
Application number: CN202111421745.1A
Authority: CN
Inventors: M·克内布; O·谢尔
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2020-11-27
Filing date: 2021-11-26
Publication date: 2022-05-31
Also published as: US20220174073A1; DE102020214945A1

Abstract

本发明涉及一种用于对通信系统（100）中的消息进行检验的方法，在该通信系统中多个用户（110、112）被连接到通信媒介（120）上并且通过所述通信媒介来交换消息，其中获取在所述通信媒介（120）上的两个不同的预先给定的位置（P₁、P₂）上在该通信媒介（120）上发送的消息的接收时刻（t₁、t₂）的时间差，并且其中根据所述时间差与至少一个参考时间差的比较来确定所述消息是否来自经过验证的用户。

Description

用于对通信系统中的消息进行检验的方法

技术领域

本发明涉及一种用于对通信系统中的消息进行检验的方法以及用于执行所述方法的一种计算单元和一种计算机程序。

背景技术

由于数字化的增加，无线接口越来越多地用在日常产品或系统、比如车辆中。尽管有许多优点，这样的接口也提供了越来越多的攻击可能性。一个特殊的问题例如是对电子控制设备（ECU）的攻击，这些电子控制设备在车辆中负责不同的功能并且通过车辆内部的通信系统来交换数据。攻击者例如能够影响安全关键的功能、比如转向、制动或马达控制。典型的、例如在车辆中使用的通信系统或者通信媒介、比如CAN总线本身在没有安全措施的情况下设计，由此能够防止这样的攻击。

因此，攻击者例如能够通过附加的设备的连接或者通过对于通信媒介上的现有的控制设备的影响作为另一用户来输出并且传输未经授权的消息。由于所提到的缺少用于例如CAN协议的安全措施的情况，而能够成功地执行这样的身份接管，因为（其他）用户不能检验所传输的消息的真实性。

发明内容

根据本发明，提出具有独立权利要求的特征的、一种用于对通信系统中的消息进行检验的方法以及用于执行该方法的一种计算单元和一种计算机程序。有利的设计方案是从属权利要求以及以下说明的主题。

本发明涉及对于通信系统中的消息的检验，在所述通信系统中多个用户被连接到通信媒介上并且借此交换消息。

通常，对于诸如CAN总线的通信媒介来说，安全措施缺失的问题是已知的。为了解决该问题，例如能够利用各个用户的物理特性（在这里典型地涉及控制设备）来识别所传输的消息的来源。例如，对于基于时钟周期的（基于时间的）攻击识别系统（侵入探测系统、所谓的CIDS）来说，能够在周期性的消息传输期间使用每个用户的各个时钟偏移，以便得出关于发送方的真实性的结论。这些时钟偏移能够用于识别先前观察到的周期性传输行为的偏差和异常，这又表明消息的未经授权的由来。但是，由此不能对非周期性的消息进行测评，并且攻击者也能够绕开系统，其方式是：攻击者观察到通信媒介上的时钟偏移并且随后使其传输与有待模仿的用户的偏移相适配。

此外，能够使用侵入探测系统，所述侵入探测系统以各个用户的在其传输过程期间的特定的电压特性为基础。在此，电压符号（Spannungssignatur）的模型能够由经过授权的消息来创建并且与在正常的消息交换期间所观察到的电压符号进行比较。虽然一般来说由此能够获得良好的检测精度结果，但是由于温度变化引起的电压波动是有问题的。此外，由于对电压信号的广泛分析，对此通常需要高的资源需求。

用于提供认证的现有方案基于物理特性、比如内部时钟或电压，所述现有方案或者对计算资源提出高要求，针对信号波动不是稳健的，或者能够被复杂的攻击绕过。

在本发明的范围内所提出的处理措施中，现在获取在通信媒介上的两个不同的、预先给定的位置上在通信媒介上发送的消息的接收时刻之间的时间差。在此，消息从发送用户直至两个位置的两个传播时间作为绝对值是不重要，仅仅其差、即传播时间差是重要的。所述传播时间能够通过检测器件来确定，该检测器件——用相应设计的连接——检测在两个位置上的消息。借助于所述时间差与至少一个参考时间差的比较，然后确定所述消息是否来自经过验证的用户。这样的参考时间差例如能够通过如下测试测量来获取，在所述测试测量中确保没有攻击者改变或者尤其发送通信媒介上的消息。

如果所述时间差例如与参考时间差相差小于预先给定的阈值，则能够确定或认为，所述消息来自经过验证的用户。否则，就能够确定或者认为所述消息不是来自经过验证的用户，并且尤其是存在针对所述通信系统的攻击尝试。通常也能够使用合适的模型，以便执行所述比较。这样的模型尤其是为多个用户或者整个通信系统描述所属的传播时间差，并且而后能够用于“验证”随后针对特定的用户（或多个或所有用户）所测量的传播时间差。

因此，提出了一种实施方式，该实施方式不仅在信号或者消息传播时间的基础上实现认证的提供而且能够在嵌入式系统中有效地得到实现。通过所谓的TDC、典型地特别成本低的时间到数字转换器或者变换器的使用，能够特别容易且快速地确定时间差，而高功率的采样硬件、像比如快速的ADC（模拟数字转换器）的要求则被取消。除此以外，用于计算且评估时间差的计算量相对较小，因为能够使用更简单的技术来进行比较。

与使用时钟特性或电压的侵入探测方案相比，所提出的处理措施允许更高程度的可靠性和正确性。由此例如能够提供侵入探测系统（或侵入预防系统），用该系统达到所谓的汽车安全完整性等级（ASIL）的标准，因为能够实现高的识别率和非常低的假阳性率。在这方面，甚至能够考虑阻止所述通信媒介上的恶意消息或者主动地使其无效，以便防止成功的攻击。

由于能够假设，信号传播几乎不受外部影响、例如通信媒介上的老化或材料损耗的影响，因此不需要用于对物理发送方进行识别的复杂的更新方法。即使存在对信号传播的影响，这些影响也仅仅非常缓慢地并且逐渐地影响传播时间。不会预料有突然的变化。相反，由此产生以下可行方案，即：总是又根据所测量的时间差来对所述参考时间差进行适配。因此，能够考虑到传播时间中的例如由老化引起的小的变化。

通常，每个实现用于多个用户之间的通信的总线拓扑结构（例如CAN、CAN FD、CANXL、10BASET1S等）并且利用广播传输的系统或者通信系统能够使用所提出的方法。基于将消息的发送源定位的可行方案，能够在其缺失的地方提供认证，或者针对更可靠的安全概念来扩展现有的安全实现方案。在这方面，只要在总线上分别只有一个用户是活跃的，那么实现了何种通信协议是不重要的。

例如在机动车的控制设备中的根据本发明的计算单元、比如ASIC或微控制器，尤其是在程序技术上被设立用于执行根据本发明的方法。

以具有用于执行所有方法步骤的程序代码的计算机程序或计算机程序产品的形式来实施根据本发明的方法也是有利的，因为这引起特别低的成本，尤其是如果实施用的控制设备还被用于其他任务并且因此本来就存在的话。用于提供计算机程序的合适的数据载体尤其是磁性存储器、光学存储器和电存储器、像比如硬盘、闪存、EEPROM、DVD等。也能够通过计算机网络（互联网、内联网等）来下载程序。

本发明的其它优点和设计方案由说明书和附图来得出。

附图说明

本发明借助于实施例在附图中示意性地示出并且在下面参照附图进行描述。

图1以两种变型方案示意性地示出了一种通信系统，在所述通信系统中能够执行根据本发明的方法。

图2示意性地示出了根据本发明的方法的一种优选的实施方式的流程。

图3示出了具有如其能够在根据本发明的方法中所使用的那样的参考时间差的图表。

具体实施方式

在图1中以两种变型方案示意性地示出了一种通信系统，在该通信系统中能够执行根据本发明的方法。在图1a中在这里示出了具有示范性两个用户110、112的通信系统100，这两个用户被连接或者被联接到通信媒介120上。所述用户110、112例如能够是车辆中的控制设备，所述通信媒介120例如能够是CAN总线。

此外示出了计算单元130，该计算单元被设立并且被用于获取在通信媒介120上的两个不同的、预先给定的位置P₁和P₂上在该通信媒介上发送的消息的接收时刻的时间差。这两个接收时刻用t₁和t₂表示，并且确切而言以用户110作为发送方。为此，所述计算单元130能够在位置P₁和P₂处被连接到通信媒介120上。所述计算单元130应当在下面进行详细解释。

在图1b中示出了通信系统100'，该通信系统本身与根据图1a的通信系统100没有区别，然而代替计算单元130而设置了时间数字转换器（TDC）140和微控制器142，它们同样被设立并且被用于获取在通信媒介120上的两个位置P₁和P₂上在该通信媒介上发送的消息的接收时刻的时间差。由此形成的计算单元下面同样还要进行详细解释。

首先要解释所提出的方法的一般的处理措施，该方法归根结底代表着或者能够实现侵入探测系统或者侵入预防系统。在此，如果肯定不存在攻击者，则应该在使用每个用户的有效消息的情况下测量实际的时间差。因此，在此尤其是对所述通信系统的每个用户进行测量。由此获得也还在图3中示出的参考时间差。为此，例如能够使用经加密保护的消息或者在受保护的环境、例如车间或工厂中发送的消息。在这个学习阶段中，根据所获取的时间差来创建例如用于随后的比较的模型。更简单的模型例如能够包括查找表、概率分布或者决策树。

在这个阶段之后能够将整个通信系统投入运行，其中确定当前所传输的消息的时间差并且利用事先确定的模型对其进行评估。原则上也能够考虑，确定用于不同用户的消息的多个时间差并且将其与所有用户的模型进行比较。能够额外地提取发送方信息（就CAN而言，这例如是消息标识或者ID）并且在其基础上检验真实性。根据所实施的通信协议（即例如CAN协议），如果发送方（即当前的被检验的用户）被归入为未经授权类，那么，如果期望就能够采取相应的应对措施，以便使持续的传输无效（对于CAN来说这例如能够是错误消息的发送或总线的阻止）。作为替代方案或补充方案，也能够规定，向相应的地点（例如控制设备的用户）进行通知或者对结果进行录入（记录）。

为了实现前面所提到的功能，首先需要两个组件，它们例如能够被设置在一个共同的计算单元、像比如计算单元130中——该计算单元例如能够是专用集成电路（ASIC）。所述第一组件、例如根据图1a的组件132）而后确定所述通信媒介上的时间差。以下，它也将被称为PDDC（“传播差确定组件”）。所述PDDC例如能够作为ASIC的一部分被开发或者被提供或者作为另一独立的电路被开发或者被提供，所述另一独立的电路基于例如内部的计时器来测量在通信媒介的两个位置、例如也还有端部上的两个信号的时间差。

此外，还需要以下也被称为PU（“处理单元”）的、如在图1a中用134表示的一样的处理单元，以便处理所检测到的时间差。这同样能够是ASIC的一部分。

根据要承担的任务，取而代之地例如能够使用更简单的或功率更强的微控制器142（参见图1b）或特定的处理器核。为了确定时间差，而后尤其能够使用TDC 140。在所期望的实施方式的基础上，所提出的系统例如能够由标准组件、比如TDC和微控制器来构建。但是原则上也能够考虑，将TDC集成到ASIC中。

现在在图2中，示意性地示出了根据本发明的方法的一种优选的实施方式的流程，并且更确切地说参考组件PDDC 132和PU 134（参见图1a）示出了所述流程，在这些组件中分别执行所述方法的各部分。

根据所期望的和可用的运行方式，必须例如首先在PU 134的系统启动时根据步骤210来配置PDDC 132。所述配置能够通过通信信道、比如在标准硬件中的SPI或I²C来进行，或者如果使用ASIC则通过给寄存器静态地加载标准值的方式来进行。针对所述配置而能够考虑到的可能的特性尤其是有待执行的测量的数量和是在下降的信号沿的情况下还是在上升的信号沿的情况下要触发的问题。一旦结束所述配置，所述PU 134就根据步骤212主动地等待通信媒介上的消息传输或由所述消息传输来触发。

随着对于所传输的消息200的识别，由PU 134根据步骤214来提取必要的发送方信息。这些信息就CAN而言能够代表着消息标识或者就以太网而言能够代表着MAC地址。通过提供从通信媒介到PU 134的连接的方式，一般能够以两种方式来获得这些信息。要么所述PU 134通过使用GPIO（通用输入/输出）端口和相应的定时器这种方式来主动地确定这一点，以便检测通信媒介上的各个位，要么能够使用通用定时器IP模块（GTM，也参见图1b中的组件144），其独立于PU 134通过GPIO端口来记录所述位并且在结束采样之后提供结果。GTM已经在汽车领域中得到使用并且可以在汽车微控制器架构中找到。

在此应注意，发送方信息也能够根据所使用的通信协议用专用电路来提取。对于CAN来说，所述消息标识例如能够通过CAN控制器来检测，然而这提高了用于整个程序的协调开销。基于发送方信息，建立所传输的消息与发送单元之间的分配关系。

如果确定发送了消息，所述PU 134就在下一个步骤中激活PDDC 132（它根据步骤206等待激活）并且根据步骤216等待接收结果。所述PDDC 132现在离开静止状态并且根据步骤208等待信号的改变，该信号基于来自在位置P₁处的测量点的信号202和来自在位置P₂处的测量点的信号204。在此，当所述PDDC 132被激活时，仅仅一个发送方（或者用户）应该占据所述通信媒介。否则，所获得的结果可能不对应于实际的时间差。

随后，将所记录的接收时刻或者传播时间从PDDC 132传输给PU 134，此后所述PDDC 132再次转换到静止状态中并且等待下一次激活。

一旦时间差被确定，则处理措施中的接下来的步骤取决于系统状态218。如果对所述通信媒介进行了基本改变或者所述系统首次被接入，则执行学习阶段。也有利的是，在每次启动时执行这样的学习阶段。在此，根据步骤222和时间差以及必要时根据发送方信息来构建如下模型228，该模型包括已经提到的参考时间差。所述模型随后用于分类220和侵入探测224、即对于攻击者的识别。

重要的是，在这个阶段的期间能够确保攻击者的缺席，因为否则该模型可能被损坏或者不能正确地被创建。为了使对于所述系统的操作尽可能简单，能够考虑各种模型，包括查找表、决策树或概率分布，以便将所述时间差与参考时间差进行比较。

在图3中示范性地示出了具有如其能够在根据本发明的方法中所使用的那样的参考时间差的图表，并且更确切地说在使用高斯分布的情况下作为所述通信媒介上的八个发送方或者用户的概率分布模型来示出。为此关于时间差Δt（示范性地以ns为单位）绘示了概率密度。

不管选择了哪种模型，在分类步骤220中使用所述时间差来确定实际的发送方。基于在分类步骤220中的、在起始步骤中的所提取的发送方信息——也就是例如参考时间差Δt_R——以及实际上所确定的发送方信息——以及实际的时间差Δt，作出关于所传输的消息200的真实性的陈述，并且识别并且必要时标记可能的攻击。在图2中示范性地示出了阈值Δt_S，所述阈值能够被用于判断，对于所获取的实际的时间差Δt来说是否还能推断出经过验证的用户（例如在所述时间差与参考时间差相差小于阈值时）。在后一种情况下，能够采取相应的措施，包括例如记录车辆的驾驶员的进入、对其警告或执行对策。

如果所述传输是合法的，则所计算的时间差能够被考虑用于模型更新226，以掌握由于外部的影响、比如温度或老化而引起的传播差中的可能的增量变化。在这个步骤之后，所述系统返回到根据步骤212的“等待传输”状态，并且当下一条消息通过所述通信媒介来传输时，重新开始这个过程。

Claims

1. 用于对通信系统（100、100'）中的消息（200）进行检验的方法，在所述通信系统中多个用户（110、112）被连接到通信媒介（120）上并且通过所述通信媒介来交换消息，

其中获取在所述通信媒介（120）上的两个不同的预先给定的位置（P₁、P₂）上在该通信媒介（120）上发送的消息（200）的接收时刻（t₁、t₂）的时间差（Δt），并且

其中根据所述时间差（Δt）与至少一个参考时间差（Δt_R）的比较来确定所述消息（200）是否来自经过验证的用户。

2.根据权利要求1所述的方法，其中在使用TDC（140）和/或微控制器（142）的情况下获取所述时间差（Δt）。

3.根据权利要求1或2所述的方法，其中在使用ASIC（130）的情况下获取所述时间差（Δt）。

4.根据前述权利要求中任一项所述的方法，其中如果所述时间差（Δt）与参考时间差（Δt_R）相差小于预先给定的阈值（Δt_S），则确定所述消息（200）来自经过验证的用户。

5.根据前述权利要求中任一项所述的方法，其中如果确定所述消息（200）来自经过验证的用户，则根据所述时间差（Δt）对相应的参考时间差（Δt_R）进行适配。

6.根据前述权利要求中任一项所述的方法，其中如果所述时间差（Δt）与参考时间差（Δt_R）相差大于预先给定的阈值（Δt_S），则确定所述消息（200）不是来自经过验证的用户并且尤其存在针对所述通信系统（100、100'）的攻击尝试。

7.根据前述权利要求中任一项所述的方法，其中如果仅仅一个单个的用户在所述通信媒介（120）上发送消息（200），则检测到所述时间差（Δt）。

8.根据前述权利要求中任一项所述的方法，其中所述通信媒介（120）利用广播传输并且尤其是被构造为CAN总线、CAN-FD总线、CAN-XL总线或10BASET1S总线。

9.计算单元（130），所述计算单元被设立用于执行根据前述权利要求中任一项所述的方法的所有方法步骤。

10.计算机程序，所述计算机程序在其在计算单元（130）上被实施时促使该计算单元（130）执行根据权利要求1至8中任一项所述的方法的所有方法步骤。

11.机器可读的存储介质，具有被存储在其上面的根据权利要求10所述的计算机程序。