CN115398427A - 用于处理数据异常的方法,特别是在机动车辆中 - Google Patents
用于处理数据异常的方法,特别是在机动车辆中 Download PDFInfo
- Publication number
- CN115398427A CN115398427A CN202180024770.8A CN202180024770A CN115398427A CN 115398427 A CN115398427 A CN 115398427A CN 202180024770 A CN202180024770 A CN 202180024770A CN 115398427 A CN115398427 A CN 115398427A
- Authority
- CN
- China
- Prior art keywords
- event
- zone
- data
- communication adapter
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提出了一种用于处理数据异常的方法,特别是在机动车辆中,其中用于识别异常的至少一个传感器(24、26、28)获得数据(211),其中所述传感器(24、26、28)检查所获得的数据(211)是否存在异常,并且在识别出异常时根据相关联的数据(211)产生事件(220、221)并转发给事件管理器(30),其中设置至少一个可信区域(Z2)和不可信区域(Z1),其中将至少一个传感器(24、26、28;40、60)和事件管理器(30)分配给所述可信区域(Z2)。
Description
技术领域
本发明涉及一种用于处理数据异常的方法,特别是在机动车辆中。
背景技术
DE 102018209407 A1已经公开了用于处理通信网络中、特别是机动车辆的通信网络中的异常的设备和方法。至少一个检测器分析通信网络中的数据流,其中如果数据流中数据包的至少一个参数偏离额定值,则所述至少一个检测器通过基于规则的异常识别方法识别至少一个异常,其中所述至少一个检测器经由通信网络发送关于至少一个识别出的异常的信息。
特别是在识别出异常或事件时协议、历史记录或报告(日志记录)的自动创建应当在事件发生率高和/或长时间攻击的情况下进行,而不会超载和拒绝对应的服务。日志记录或对应事件报告的条目应当是真实的、完整的和可用的。如果可能,应当为攻击者创建关于完整(长时间持续的)攻击的非确定性历史记录。应当避免由攻击者进行的操纵以及特别是删除。在控制设备之外,应当保护日志记录条目免受未经授权的分析。日志记录器应当可靠地发送事件报告,例如经由至外部节点的接口。在向外部节点成功传输之后,可以在本地删除事件条目,特别优选地在接收实例进行了特别是经过认证的确认之后。此外,日志记录器应当发送所谓的心跳信号,所述心跳信号显示网络连接。事件的累积应当可行,以减少要处理的日志记录条目的数量。
在正常运行条件下,事件(Events)不会被触发或很少被触发,例如以每小时一个事件的数量级。在最坏的情况下,攻击者可以完全控制接口,特别是以太网接口。在例如100Mbit的全带宽下,攻击者每秒最多可以发送128000个UDP(User Datagram Protocol,有用数据报协议,一种网络协议)帧。每个这样的帧都可能触发一个事件(在数据流中识别出异常)。假设这样的攻击以在车辆的生命周期内一次攻击的频率发生。存储器、特别是闪存的所谓写入周期的允许数量是有限的并且必须加以考虑。同样,有效运行小时的数量也受到限制。同样,上级外部数据日志记录器的可用性也受到限制。因此,必须缓存对应的日志记录事件或事件报告。所有日志记录条目或事件报告都应当能够每天至少一次传输到上级数据日志记录器。
对于传统的IDS或IDPS系统(Intrusion Detection System,入侵检测,用于自动识别对计算机网络或计算机接口的攻击的系统;或IDPS:Intrusion DetectionPrevention System,在识别出入侵企图的情况下不会转发对应的数据,并由此阻止入侵企图)而言,嵌入式系统的确定性行为和有限资源通常是有问题的。
相反,期望能说明一种用于识别异常的改进方法。该任务通过独立权利要求的特征来解决。
发明公开
这通过根据独立权利要求的方法来实现。
通过设置至少一个可信区域和不可信区域,其中将至少一个传感器和事件管理器分配给所述可信区域,可以借助于两级安全概念进一步提高操纵防护。特别是将传感器和/或事件管理器布置在可信区域中作为可信任实例,使得访问敏感数据的可能性和操纵可能性变得更加困难。
在一种适宜的扩展中规定,将至少一个通信适配器布置在与所述事件管理器相同的区域中,其中所述通信适配器用于传送至少部分地由所述事件管理器创建的事件报告。因此,通信适配器可以检查到传输到其他区域中的数据,同时通信适配器可以在安全相关区域内与事件管理器和/或传感器通信。
在一种适宜的扩展中规定,也将所述通信适配器分配给不可信区域。通过这部分进行与上级IDS实例的通信,该实例通常不是可信实例。
在一种适宜的扩展中规定,所述可信区域中的传感器至少包含来自布置在所述不可信区域中的传感器的数据,特别是经过碎片整理的数据,其中所述可信区域中的传感器检查所获得的数据是否存在异常,并且在存在异常时产生事件,和/或其中所述不可信区域中的传感器检查所获得的数据是否存在异常,并且在存在异常时产生事件。因此只有在事件管理器中进一步处理绝对需要的数据才能进入可信区域。由此进一步降低了操纵可能性。
在一种适宜的扩展中规定,发送所述事件报告,其方式是所述可信区域中的通信适配器将所述事件报告带入到所述不可信区域的存储器中,所述不可信区域中的通信适配器可以访问所述存储器和发送到所述存储器。通过这种方式可以确保从一个区域到另一个区域的安全数据传输。
在一种适宜的扩展中规定,所述事件报告包括针对每个事件报告而改变的至少一个变量和/或至少一个认证信息和/或通过加密而予以加密。由此上级实例可以检查是否是真实的数据。为此特别有利地规定,通过所述事件报告中包含的另外的信息来形成所述认证信息。
在一种适宜的扩展中规定,分配给所述可信区域的安全模块提供针对每个事件报告而改变的变量和/或认证信息和/或加密。由此可以创建与上级实例的安全、真实和保密的连接。
在一种适宜的扩展中规定,在发送了所述事件报告之后接收确认信号,所述确认信号由所述不可信区域的通信适配器接收并且转发给所述可信区域的通信适配器。可以通过确认信号检查事件报告的发送是否按规定完成,并且可以启动诸如清空存储器的进一步措施。
在一种适宜的扩展中规定,所述确认信号包括针对每个确认信号可改变的至少一个变量和/或至少特定的数据或模式和/或至少一个认证信息和/或至少一个恒定长度,和/或使用加密进行加密。通过可改变的变量,确认信号在攻击者看来总是显著不同,特别是在加密之后,并且因此无法解释。通过附加的可变信号确保最新性,因为不可能访问旧事件报告。认证信息确保确认信号来自真正的上级实例,而不是由攻击者产生。由此可以可信地删除本地事件报告。
在一种适宜的扩展中规定,所述可信区域的通信适配器使用布置在所述安全相关区域中的安全模块对接收到的确认信号进行解密和/或认证。通过可信区域中的这种进一步检查,进一步提高了通信的安全性。为此特别有利地规定,通过检查发送的事件报告的可改变的变量是否包含在所述确认信号中来对接收的确认信号进行解密和/或认证。因此,也不必为确认信号生成新的可改变的变量,而是特别适宜地在事件报告的范围中一起发送的、特别是由可信区域中的安全模块生成的可改变的变量也可以用于所述确认信号。
在一种适宜的扩展中规定,当数据从一个区域传输到另一个区域时,所述传感器在使用之前检查所述数据,特别是确定是否出现了事件和/或在未检测到事件的情况下释放所述数据以供在所述另一个区域中使用。由此进一步降低了操纵可能性。为此特别有利地规定,在出现事件时,不将数据传输到所述另一个区域和/或传感器将所述事件转发给事件管理器。
在一种适宜的扩展中规定,所述事件管理器和/或所述可信区域的通信适配器和/或所述可信区域的传感器和/或所述安全模块在计算机核心上实现。由此,所有与安全相关的功能都可以在一个计算机核心上实现,这进一步提高了安全性。
在一种适宜的扩展中规定,向至少一个计算装置分配针对至少两个区域之一的特定可执行应用程序,其中这些区域表征所述计算装置的可用于执行所涉及应用程序的资源,可选地根据分配给应用程序的区域执行至少一个应用程序。通过提到的区域和功能之间的分配,可以确保在可信区域中仅执行与安全相关的功能。这也可以优选地通过以下方式进行,即方法步骤具有以下特征:通过缓冲存储器、特别是工作存储器在不同区域之间交换第一数据,其中特别是在第一区域和第二区域之间交换第一数据具有以下步骤:d1)将所述第一数据复制到分配给所述第一区域的第一缓冲存储器区域中,d2)检查复制的第一数据,并且特别是根据所述检查,d3)将来自分配给所述第一区域的第一缓冲存储器区域的第一数据复制到分配给所述第二区域的第二缓冲存储器区域中。由此确保了区域之间的安全数据交换优先进行。
附图说明
其他有利的设计由以下描述和附图得出。在附图中:
图1示出了入侵识别的示意性组件,
图2示出了接收到的数据的示例性结构或交互、从所述数据导出的事件的示例性结构或交互、相关联的所选择的事件的结构以及事件报告,
图3示意性地示出了根据另外的优选实施方式的方面的简化框图;
图4示意性地示出了根据另外的优选实施方式的方面的简化框图;
图5-图10示出了在事件管理器、通信适配器、另外的IDS实例和后端之间的不同通信流程。
具体实施方式
结合以下讲述的方面,下面将与正常行为的偏差称为异常,所述偏差由于各种原因在真实运行中可能在特别是联网的系统的数据211(例如通信系统的数据或系统数据)中出现。造成这种情况的原因可能例如是以下类型:有缺陷或完全失效的传感器提供错误的数据或根本不提供数据,系统部件损坏,系统受到外部攻击、本地攻击或物理攻击(例如黑客攻击)的操纵。
识别数据211中的异常是借助于所谓的入侵检测系统IDS或IDPS来实现的。下面,IDS表示监视数据211的异常的系统。所述数据例如可以是在通信网络中的数据连接时的数据211,诸如网关的控制设备20经由该通信网络在不同的通信信道上进行通信(例如经由诸如25的总线系统或互联网27)。然而,其他数据211,例如控制设备(或布置在控制设备中的主机29或微控制器或处理器或在芯片内)内的系统数据也应由该IDS系统检查异常。检测数据211的异常由合适的传感器24、26、28进行。传感器24、26、28与数据211的相应来源(在实施例中是总线系统25、27或主机29)相适配。
根据图1,诸如网关20的控制设备布置在车辆18中。控制设备或网关20包括(多个)处理器、存储器、工作存储器(例如作为主机系统29的组成部分)和用于经由通信网络进行通信的接口。网关20例如处理用于数据连接的指令。通过该通信产生数据包形式的数据211。在主机29的运行期间也产生数据211,例如系统数据。在正常状态下,遵守例如关于接收方地址和目标地址、是否符合正确的程序流程(例如对于主机29)、时间戳、特定数据包的数据211的出现频率或频率的额定值。数据包的数据211在车辆18中未详细示出的另外的控制设备或组件之间交换以完成特定任务。网关20用于将诸如CAN总线25、以太网连接27以及数据连接的多个通信系统或接口耦合到主机系统29,主机系统29是控制设备20或网关的组成部分。然而,其他通信系统(例如另外的有线总线系统,如LIN、CAN-FD等)或无线网络(例如WLAN或蓝牙)可以通过网关20相互耦合以进行数据交换。通常,在控制设备中使用入侵识别IDS或异常识别来监视所有数据211(通过通信系统接收的数据211以及在控制设备20内由主机29生成的数据211)是否存在对应的异常。在实施例中,示例性地针对网关20描述IDS功能机制。然而,通常,所描述的异常识别或入侵识别IDS的功能可以在任何控制设备或任何电子组件中实现。特别地,该使用不限于车辆18。相反,任何通信组件,例如互联网(物联网)中或在联网的生产系统中的通信模块可以配备所描述的功能。
诸如控制设备或网关20的通信组件包括至少一个异常识别22。异常识别22延伸到至少一个不可信区域Z1和至少一个可信区域Z2。特别是通信适配器32既驻留在可信区域Z2中又驻留在不可信区域Z1中。至少一个传感器24、26、28位于可信区域Z2中。事件管理器30也驻留在可信区域中。
经由相应通信系统25、27、29的接口输入的数据211分别经由所谓的用于识别异常或识别入侵的传感器24、26、28(简称IDS传感器)引导。从而在网关20中布置了对应的传感器24、26、28。这样的传感器24、26、28用于识别所获得的数据211是否显示异常。为此,在传感器24、26、28中存储了对应的过滤算法或规则集,用于对异常进行检测和分类。如果传感器24、26、28确定了异常,则将数据211的对应数据包分类为事件220(企图入侵)。通常,根据来源25、27、29,传感器24、26、28可以将不同的异常分类为事件220(将相应的事件220分配给特定事件类型218)并识别这些异常。根据相应的事件类型218(数据211中的不同的异常类型),传感器24、26、28将特定的事件相关元数据216汇总为相关联的事件220。此外,事件相关元数据216还可以包含异常数据211的数据或数据组成部分。以这种方式生成的事件220被转发到事件管理器30。传感器24、26、28通常被设计为在没有异常的情况下将通信系统(例如总线系统25、27)的相关联数据211转发到指定地址。在识别出异常的情况下,传感器24、26、28可以被设计为不将通信系统(例如总线系统25、27)的相关联数据211转发到指定地址。替代地,传感器24、26、28也可以用于减少事件220(减少的事件或预减少的事件221)。通过这种减少可以减轻事件管理器30的负担,其方式是例如仅转发包含异常的数据211或数据包的一小部分有用数据。这在大量数据的情况下特别有利,如在以太网连接时出现的那样。
从而例如IDS CAN传感器24用于识别CAN总线25情况下的异常,IDS以太网传感器26用于识别以太网系统27情况下的异常,IDS主机传感器28用于识别主机系统29情况下的异常。根据不同的通信路径和通信协议,还可以设置另外的IDS传感器,它们能够检测相应来源中的异常或异常来源并在必要时分类。
IDS CAN传感器24检测相关联事件类型218的相关事件220,例如无效CAN-ID、无效消息频率、无效消息长度等。IDS以太网传感器26针对以太网27检测相关联事件类型218的相关事件220,例如无效地址或MAC地址、无效消息频率、无效消息长度等。IDS主机传感器28针对主机系统29检测相关联事件类型218的相关事件220,例如无效代码执行、程序损坏、堆栈计数器等。至少一个传感器24、26、28布置在可信区域Z2中。
下面的另外的异常可以作为事件220考虑用于另外的事件类型218。例如,这些是可以分配给防火墙的事件220或事件类型218,例如由于缓冲存储器已满而导致帧丢失、过滤器违规(无状态/有状态)、传输速率限制有效或无效,监视模式激活或停用、上下文变换。涉及主机系统29的另外的异常也可以被考虑作为事件220,具有相关联事件类型218,例如CPU负载太高、存储器访问违规、代码执行时的错误、检测到ECU复位、非易失性存储器中的日志条目损坏、日志记录存储器溢出、事件的拒绝、MAC地址端口更改等。
事件管理器30用于进一步处理输入的事件220或包含在相应事件220中的事件相关元数据215。特别地,事件管理器30用于对事件220进行聚合、格式化或制备以及/或对事件220进行优先级设置和/或减少/选择和/或存储或保持或永久存储选择的和/或减少的事件220、221。特别地,事件管理器30判定应当进一步处理哪些输入的事件220。从输入的事件220中选择的事件被称为所选择的事件226。对应的选择应当尽可能非确定性地进行。此外,事件管理器30特别优选地为输入的事件220或所选择的事件226设置另外的通用元数据217。由此可以在更高级别观察由不同传感器24、26、28传送的事件220,其方式是例如在通用元数据217的范围中添加出现的事件的数量、相关联的时间戳或时间信号224等。此外,确保即使在所谓的事件突发的情况下也可以将足够多的有说服力的事件220存储为所选择的事件226。事件管理器30布置在可信区域Z2中。
事件管理器30与入侵识别或异常识别的通信适配器32交换信号。通信适配器32用作用于在事件管理器30与控制设备或网关20的异常识别22之外的另外的组件34、36之间交换数据的通信装置。具体地,通信适配器32用作用于在事件管理器30和另外的IDS实例34(优选在车辆18内)和/或后端36(优选在车辆18外)之间交换数据的接口。另外的IDS实例34可以仅可选地设置。只能可选地提供另外的IDS实例34。通信适配器32布置在两个区域Z1、Z2中。
为了提高安全性,事件管理器30可以对事件220、221进行随机的、对于攻击者来说非确定性的并且是隐藏的减少和优先级设置。从而可以随机地、对于攻击者来说非确定性地并且隐藏地进行所选择的事件226的非易失性存储。随机控制的选择例如可以基于特定控制设备单独的随机数273。同样,事件管理器30还可以随机地存储事件计数器204的计数器读数231。除了事件相关元数据216之外,事件管理器30还将添加的通用元数据217随机地存储为所选择的事件226。
为了提高安全性,通信适配器32可以将事件报告242随机地、对于攻击者而言非确定性地和隐藏地上传或发送到其他IDS实例34。随机控制的上传例如可以基于特定控制设备(或网关20)单独的随机数273。从而可以在事件报告242的范围中周期性地和加密地传输特定事件220。然而,即使没有新事件220,所谓的虚拟事件也可以以事件报告242的格式周期性地和加密地传输。这用于防止通信适配器32和另外的IDS实例34或后端36之间的数据交换遭到窃听或随机的隐藏。
将经过处理的减少的事件221从传感器26转发到事件管理器30。因此,事件管理器30未从该传感器26获得这些网络帧的完整数据流,而是仅获得具有减小的数据大小的减少的事件221。基于IDS以太网传感器26示例性地描述待转发事件221的减少。然而,原则上这也可以在其他IDS传感器24、26、28中实现。然而,由于具有高传输速率的以太网帧中的高信息含量,正是这样的事件220将迅速导致缓冲存储器206溢出。在IDS CAN传感器24的情况下,对应的数据211无论如何以较低的数据速率和较小的数据量出现,从而这里可以转发和存储趋于完整的事件220。
结合图2示例性地示出了在识别出异常的情况下如何由传感器24、26、28进一步处理数据211并且发送到事件管理器30,直到该事件管理器经由通信适配器32发送事件报告242。
在图2a中示例性地示出了数据211的数据包,所述数据例如可能出现在网络帧(例如CAN、以太网)中。数据211具有包括例如源地址和目标地址(例如MACa、MACb)的报头214。此外,数据211包括有用数据213。
如下面更详细讲述的,传感器24、26、28可以可选地随机选择转发给事件管理器30的有用数据区域219。传感器24、26、28已经确定这是根据特定事件类型218(事件ID,ID)的异常。因此,传感器24、26、28生成如图2b所示的事件相关元数据216。根据事件类型218(或ID),可以在事件相关元数据216中存储异常的不同信息。在实施例中,作为事件相关元数据216尤其是使用源地址和目标地址(MACa、MACb)、事件类型218和所选择的有用数据区域219。
替代地,也可以将事件相关有用数据213在事件220的范围中完整地转发给事件管理器30。
替代地,事件220也可以不包括事件相关有用数据213,例如当主机29被用作来源时。这可以是事件类型218,例如关于由于缓冲器已满而丢失数据帧、观察模式的激活或停用、CPU上的负荷太高、非易失性存储器208中的条目损坏、日志记录缓冲器溢出、事件减少是有效的等等的信息。
此外,对于不同的事件类型218,在事件相关元数据216范围内的另外的事件相关信息可以是事件220的组成部分。在事件类型218“上下文变换”的情况下,事件相关元数据216例如可以包括上下文,例如32位大小的上下文。在事件类型218“存储器访问违规”或“执行代码时违规”的情况下,事件相关元数据216例如可以包括访问地址(例如,32位)、程序计数器(例如,32位)、任务ID(例如,8位)。在事件类型218“检测到控制设备复位”的情况下,事件相关元数据216例如可以包括复位的原因(例如8位),例如POR(返回点)、软件复位、例外等。
下面的以太网相关事件220可以记录为事件相关元数据216,例如静态/状态相关的过滤器违规(特定规则ID或特定事件类型218的ID,例如16位)、导致事件220的过滤器规则的ID(如果可用)、物理端口地址、经由其获得帧的物理端口ID、源地址(例如MAC地址,例如48位)、目标地址(例如MAC地址,例如48位),来源或目标的可能IP地址、UDP/TCP端口的指定(例如16位,如果帧中存在,可选)。替代地,也可以一起记录静态/状态相关的过滤器违规,例如规则ID、物理端口、帧(字节数)、存储接收帧的特定字节数、选择的有用数据区域219(特定字节数)、原始帧的字节的选择的有用数据区域219、有用数据区域219-索引(例如16位)、原始帧中选择的有用数据区域219的起始字节。另外的以太网相关事件也可以包含在传送给事件管理器30的事件220中,例如对于事件类型218“传输速率受限(有效/无效)”是具有导致事件220的过滤器规则的相关联ID的规则ID,对于事件类型218“更改上下文”是上下文(例如32位),对于事件类型218“地址跳跃”或“MAC跳跃”是旧端口(最初分配给地址的物理端口ID)、新端口(最近观察到地址的物理端口ID)、地址(优选MAC地址)。然而,也可能出现没有元数据216的事件类型218,例如“由于缓冲器已满而导致帧丢失”等。
因此,事件相关有用数据213的转发特别是取决于具有相关联事件类型218的数据211的来源。元数据216作为事件220或减少的事件221(由于依据随机的选择或减少传感器24、26、28中待传输的有用数据区域219)而被传输到事件管理器30。
如果事件管理器30选择该事件220、221以进行进一步处理(所选择的事件226),如下文更详细解释的,则还将通用元数据217添加到事件相关元数据216,从而产生图2c中所示的元数据215。所述通用元数据217通常在事件管理器30中生成。这例如是事件计数器204的输出信号,即当前计数器读数231,是有多少全局事件220或是当前事件220是多少具有特定事件类型218的事件。此外,通用元数据217可以包括例如关于该事件220何时出现的时间信号224。此外,元数据217可以包括事件相关元数据216或完整元数据215所具有的长度232(数据的大小)。这对于以后缓冲存储器206的存储器管理是有利的。
示例性地提出下面的通用元数据217。这例如可以是在事件ID(例如8位)范围中的事件类型218。事件类型218的这个事件ID是唯一的并且可以例如包括基于TLV的编码(TLV:Type-Length-Value,类型长度值)。通用元数据217包括长度232,例如大小在8到16位之间。数据(元数据215)的大小遵循以字节为单位的长度字段,最多255个字节。又可以设置基于TLV的编码。还包含时间信号224,即时间戳(例如,64位)。例如,以自从诸如1970年1月1日的参考时间点以来经过的绝对时间值(以毫秒为单位)的形式来说明时间224,以说明唯一的时间戳。此外,通用元数据217可以包括事件类型计数器204的计数器读数231或输出值231(例如32位)和/或全局(事件)计数器204的计数器读数231(例如32位)、每个事件类型218的事件计数器204的所有计数器读数231之总和。
事件相关元数据216以相应传感器24、26、28形成它们的形式被接管。具有既由传感器24、26、28又由事件管理器30形成的对应元数据215的该事件220存储在事件管理器30的缓冲存储器206中。以类似的方式,由事件管理器30选择或减少的另外的事件226(在根据图2d的实施例中示例性地表示为215_1、215_8、215_190)存储在缓冲储存器206中,如下面还要详细解释的。
从存储在缓冲存储器206中的所选择的事件226(在根据图2d的实施例中示例性地表示为215_1、215_8、215_190(元数据215事件编号1、元数据215事件编号8、元数据215事件编号190)作为所选择的事件226的示例)中,现在生成事件报告242。该事件报告包括存储在缓冲存储器206中的所选择的事件226(在该示例中为215_1、215_8、215_190)。这些所选择的事件226之前是相对于每个事件报告242已改变的变量254(例如随机数、时间或计数器等)。此外,事件报告242还包括认证信息256。通过该认证信息可以在通信适配器32或事件管理器30与接收事件报告242的单元(IDS实例34、后端36等)之间进行认证。事件报告242包括固定长度258。为了实现这个固定长度258,数据254、215_1、215_8、215_190、256仍然填充有所谓的填充数据255。这些填充数据255不包含与事件相关的信息。如图2d所示,在传输之前,事件报告242中所示出的数据设置有加密258。以这种方式通过加密258加密的事件报告242由通信适配器32发送,并且由另外的IDS实例34或后端36解密和认证,如所描述的。
图3示意性地示出了根据另外的优选实施方式的交换机SWT48的计算机核心102a,该计算机核心包括操作系统BS和/或管理器SV并且向该计算机核心本身分配了两个区域Z1、Z2。
异常识别22基于2区域概念,其中将特定应用分配给不可信区域Z1和可信区域Z2。异常识别22特别是可以例如用于嵌入式系统和/或控制识别,特别是用于车辆,特别是机动车辆。
优选实施方式涉及一种用于运行分配给异常识别22的计算装置的方法,该方法具有以下步骤:将可由计算装置执行的一个或多个应用程序AP1、AP2分配给至少两个区域Z1、Z2之一,其中区域Z1、Z2表征可用于执行所涉及应用程序AP1、AP2的计算装置的资源,可选地根据分配给该应用程序的区域Z1、Z2执行应用程序AP1、AP2中的至少一个,其中该方法还替代地具有:使用管理器SV来为不同的应用程序和/或应用程序的实例分派计算时间资源,其中该管理器SV和/或对应于该管理器SV的功能至少部分地借助于管理器实例SVI实现,所述管理器实例与至少两个区域Z1、Z2无关。在另外的优选实施方式中,例如可以由此定义信任边界(英语:Trust Boundaries),例如在可信实例/单元/域和不可信实例/单元/域之间。通过这种方式,例如可以将计算装置的第一应用程序分配给不可信的第一区域Z1(英语:non-trustworthy zone,NT),将计算装置的第二应用程序分配给可信的第二区域Z2(英语:trustworthy zone,(T)Z)。在另外的优选实施方式中,管理器实例SVI可以例如由(专用)计算核心和/或硬件安全模块HSM和/或可信平台模块TPM形成,或者管理器实例SVI的功能可以借助于这些要素中的至少一个来实现。
在另外的优选实施方式中规定,用于运行计算装置的方法还包括:控制,特别是限制以下要素中的至少一个:a)对分配给计算装置的存储器的读取权限,b)对分配给计算装置的存储器的写入权限,c) 根据至少一个区域Z1、Z2对分配给计算装置的存储器的执行权限(“执行权限”)。由此有利地确保只有分配给对应区域Z1、Z2的那些应用程序AP才能访问所提到的一个或多个存储器。例如,因此在另外的优选实施方式中可以防止不可信区域Z1的应用程序访问一个或多个存储器(特别是例如由不可信区域Z1访问分配给可信区域Z2的存储区域),这在必要时代表由不信任区域Z1的应用程序可能操纵存储器内容的风险。
在另外的优选实施方式中,计算装置例如可以执行以下场景:如果第一应用程序AP1应当从例如不可信的第一区域Z1接收数据——例如来自互联网的远程服务请求(“来自远方的服务请求”)——并在可信区域Z2内对应地处理或转发所述数据——例如为了执行对应的服务(“远程服务”),则在第一区域Z1内由应用程序AP1的Z1代理AP1_l1接收所述数据,其中对应的Z2代理_l2例如执行以下步骤:对由Z2代理_l2特别是在默认情况下归类为不可信的数据进行数据验证,以及在数据验证成功的情况下在第二区域Z2内处理或转发现在(在数据验证后)归类为可信的数据。在另外的优选实施方式中规定,该方法还包括:通过缓冲存储器、特别是工作存储器在不同区域之间交换第一数据,其中特别是在第一区域Z1和第二区域Z2之间交换第一数据具有以下步骤:将第一数据复制到分配给第一区域的第一缓冲存储器区域,检查复制的第一数据,并且特别是根据该检查,将来自分配给第一区域Z1的第一缓冲存储器区域的第一数据复制到分配给第二区域Z2的第二缓冲存储器区域中。如下所述,现在针对异常识别22实现2区域概念的这些简要概述的功能。
根据图3的计算核心102a可以例如用于网络交换机,以例如发送和/或接收以太网数据包。应用程序AP的对应实例用附图标记I1(接收以太网包,在区域Z1中执行)、I2(接收以太网包,在区域Z2中执行)、I3(发送以太网包,在区域Z1中执行)、I4(发送以太网数据包,在区域Z2中执行)表示。另外的应用程序AP5——其例如执行网络交换机48的管理任务——仅在定义为可信的第二区域Z2中运行,但不在定义为不可信的第一区域Z1中运行。此外,以太网传感器38布置在定义为不可信的第一区域Z1中。另外的以太网传感器40布置在定义为可信的第二区域Z2中。此外,主机传感器42布置在定义为不可信的第一区域Z1中。可以可选地设置不可信区域Z1的主机传感器43。主机传感器45布置在定义为可信的第二区域Z2中。因此,根据应用情况,传感器可以布置在可信区域和/或不可信区域Z1、Z2中。
向计算核心102a分配RAM1030,在另外的优选实施方式中,该RAM可以被划分。可选地设置交换引擎(例如耦合网络)和/或TCAM(三元内容可寻址存储器)模块或ACL(访问控制列表)模块。交换引擎SE或TCAM/ACL模块是硬件模块42。可以在TCAM/ACL模块中配置对应的过滤规则,从而将TCAM/ACL模块用作检测异常的传感器。在硬件模块42中对应配置的过滤规则对应于所描述的传感器24、26、28的过滤规则。如果该过滤规则检测到异常,则可以生成事件220和/或可以阻止该异常。在生成事件220的情况下,硬件模块42可以触发中断,从而可以在软件侧将异常记录为事件220。这同样适用于主控制器上的CAN硬件收发器,在那里传感器的过滤规则可以在硬件中配置。
还示出了中断44,其可以例如由软件、如所描述的由硬件或由定时器触发。提到的组件是电子单元48或交换机的组成部分。在电子单元48或交换机的外部设置了计算单元100b(主控制器),其通过通信信道52与电子单元48或交换机交换数据。此外,计算单元100b能够与其他IDS实例34通信。该通信可以从计算单元100b到其他IDS实例34进行,例如经由CAN或从计算单元100b经由交换机48到其他IDS实例34。电子单元48又将以太网事件220从交换机SWT48发送到计算单元100b。
从不可信区域Z1到可信区域Z2的区域间通信经由可信区域Z2的ETH传感器40和/或经由通过硬件过滤规则实现的传感器42和/或通过不可信区域Z1的ETH传感器40和/或可信区域Z2的主机传感器45控制。
如果区域间通信或从Z1到Z2的区域转换在交换机48上进行,则在两个区域Z1和Z2之间仅传输可信区域Z2中所需的必要最小量数据。
因此,已经在不可信区域Z1中将协议碎片整理到必要的最低限度,在碎片整理的范围内,(为了检测异常)同样已经执行了合理性检查。这是通过Z1以太网传感器38进行的。
在必要最小量数据从不可信区域Z1传输到可信区域Z2之后,由Z2以太网传感器40检查必要最小量数据的合理性。在每次上下文变换/Z1和Z2任务的切换之前,都通过BS或SV的主机传感器43、45检查是否没有发生无效的区域转移和/或程序流程改变(例如通过检查堆栈上的返回地址)。
在没有检测到异常的情况下,可信区域Z2的ETH传感器40使得能够使用可信区域Z2中的数据。将所述数据归类为可信数据(Trusted Data)。在检测到异常的情况下,ETH传感器40丢弃所述数据和/或产生事件220。此外,ETH传感器40将异常或相关联的事件220传送给可信区域Z2的计算单元100b或传送给可信区域Z2的相关联事件管理器30。ETH传感器40的传感器逻辑位于可信区域Z2中,因为所述事件必须由可信实例评估。
区域Z1、Z2内的通信或从可信区域Z2到不可信区域Z1的通信可以在可选地使用ETH传感器38用于不可信区域Z1的情况下进行。此外,对于从Z2到Z1的区域间通信以及区域内通信而言,传感器是可选的;必要时也可以为此使用减少的传感器集(例如,对性能影响很小的默认传感器)。
交换机48SWT经由通信适配器32将不可信区域Z1的计算单元100b的通信转发到另外的IDS实例34。通信适配器32位于计算单元100b中。通信适配器32周期性地向事件管理器30查询事件报告242并将该事件报告传送给另外的IDS实例34。如果至另外的IDS实例34的通信经由以太网进行(这是优选的变体),则该通信从主微控制器或计算单元100b的通信适配器32经由交换机48进行到另外的IDS实例34。
图4示意性地示出了根据另外的优选实施发生的计算装置100b的方面的简化框图。在当前情况下,计算装置100b示例性地具有四个计算核心K1、K2、K3、K4,其中第一计算核心K1被构造为处理通信消息,特别是CAN消息。因此,在另外的优选实施方式中,第一计算核心K1也可以称为“CAN核心”。另外的计算核心K2、K3被设置用于执行应用程序(的必要时不同的实例)并且因此在另外的优选实施发生中也可以称为“应用核心”(英语:Application Cores)K2、K3。第四计算核心K4被构造为处理以太网通信消息,因此在另外的优选实施发生中也可以称为以太网核心或ETH核心(英语:ETH Core)K4。向第一计算核心K1分配第一管理器SV1,特别是CAN轻量级管理器,向第四计算核心K4分配第二管理器SV2,特别是ETH(以太网)轻量级管理器。
在另外的优选实施方式中,将第一计算核心K1分配给两个区域Z1、Z2。在另外的优选实施方式中,也将第四计算核心K4分配给两个区域Z1、Z2。
在另外的优选实施方式中,向第一计算核心K1分配应用程序AP,用于发送和/或接收CAN消息,其中附图标记I1表示该应用程序的第一实例,该第一实例I1被分配给第一区域Z1并构造为接收CAN消息。相反,附图标记I2表示该应用程序的第二实例,该第二实例被分配给第二区域Z2并且被构造为接收CAN消息。附图标记I3、I4表示用于发送CAN消息的对应实例,它们也分别分配给两个区域Z1、Z2之一。此外,计算核心K1可以包括CAN传感器60,CAN传感器60布置在可信区域Z2中。可选地,在计算核心K1中CAN传感器62也可以设置在不可信区域Z1中。
在另外的优选实施方式中,中断请求Rx、定时器、SW可以由第一计算核心K1处理,例如通过执行对应的中断例程。
在另外的优选实施方式中,向第四计算核心K4分配用于发送和/或接收以太网消息的应用程序,其中附图标记I1表示该应用程序的第一实例,该第一实例11被分配给第一区域Z1并构造为接收以太网消息。相反,附图标记I2表示该应用程序的第二实例,该第二实例被分配给第二区域Z2并且被构造为接收以太网消息。附图标记I3、I4表示用于发送以太网消息的对应实例,这些实例也分别分配给两个区域Z1、Z2之一。
在另外的优选实施方式中,计算核心K1、K4内的两个区域Z1、Z2分别使用至少一个存储器保护装置SSE1、SSE4分隔开。
如上所述,两个应用核心K2、K3被构造为执行应用程序,这些应用程序或其各个实例在所涉及应用核心K2、K3内作为矩形示出。在另外的优选实施方式中,将第二计算核心K2分配给第二区域Z2,将第三计算核心K3分配给第一区域Z1。在计算核心K2中示例性地设置了DPI传感器64(用于深度有效负载分析的深度包检查)、事件管理器30、通信适配器32、代理70、BSW堆栈72(BSW:Basis Software,基本软件)、V-CAN74(虚拟CAN)和V-ETH76(虚拟以太网)。在计算核心K3中示例性地设置了DPI传感器84、通信适配器32、代理90、BSW堆栈92、V-CAN94和V-ETH96。如已经描述的,通信适配器32既位于可信区域Z2中又位于不可信区域Z1中。
在另外的优选实施方式中,计算装置100b具有易失性存储器,特别是工作存储器(RAM)1030b,该易失性存储器划分为不同区域,例如与根据图4的图示相比,这些区域分别分配给不同的计算核心K1、K2、K3、K4或其区域Z1、Z2。
例如,将根据图13的计算装置100b的工作存储器1030b的第一区域B1分配给第一计算核心K1,其中将第一子分区B1_1分配给第一区域Z1,将第二子分区B1_2分配给第二区域Z1。第一子分区B1_1又细分为可信分区和不可信分区,由存储器保护装置SSE分隔开。第二子分区B1_2又细分为至少一个可信分区和一个不可信分区,再次通过存储器保护装置SSE分隔开。在另外的优选实施方式中,对于第四计算核心K4也可以类似地划分为对应的分区或子区域B4、B4_1、B4_2。第一子区域B4_1又细分为可信分区Tb1b和不可信分区Tb1a,由存储器保护装置SSE分隔开。第二子分区B4_2又细分为至少一个可信分区Tb2a和一个不可信分区Tb2b,再次通过存储器保护装置SSE分隔开。
在另外的优选实施方式中,可以将工作存储器1030b的另外的分区B2、B3例如分配给应用核心K2、K3。在另外的优选实施方式中,例如分区B2可以进一步划分为可信分区T和不可信分区NT。在另外的优选实施方式中,这同样可以适用于第三应用核心K3。
在另外的优选实施方式中,可以设置一个或多个另外的存储器保护装置,它们共同由附图标记SSE'表示,以实现根据优选实施方式的关于例如读取权限和/或写入权限和/或执行权限的相应分隔。
在另外的优选实施方式中,计算装置100b可以例如提供网关的功能,即可以例如将CAN总线(参见CAN核心K1)与以太网网络(参见ETH核心K4)耦合的网络耦合元件。在另外的优选实施方式中,例如第一计算核心K1可以承担所谓的用于CAN消息的高速路由引擎的功能,和/或第四计算核心K4可以承担所谓的用于以太网消息的高速引擎的功能。
交换机SWT48,特别是以太网交换机,将以太网事件传送到负责处理以太网通信的计算核心K4。此外,计算核心K4与其他IDS实例32进行通信。
在区域之间,即从不可信区域Z1到可信区域Z2的通信时,可以将数据从不可信区域Z1的代理90推送到区域Z1的不可信分区中的隔离的缓冲存储器中。分配给可信区域Z2的传感器60在所述数据用于可信区域Z2之前验证所述数据。如果没有检测到异常,则可信区域Z2的传感器60使得所述数据能够用于可信区域Z2(可信数据)。如果检测到异常或意外事件,则分配给可信区域Z2的传感器60丢弃所述数据。此外,分配给可信区域Z2的传感器60将检测到的异常作为事件220传送给可信区域Z2的事件管理器。传感器60的逻辑布置在可信区域Z2中,因为对应的事件必须由可信实例评估。此外,可以在可信区域Z2和不可信区域Z1之间进行通信。此外,从可信区域Z2到不可信区域Z1的通信可以很容易地进行。可以可选地设置另外的传感器62。
从不可信区域Z1到可信区域Z2的通信如已经讲述的也可以由不可信区域Z1和可信区域Z2中的传感器监视。在碎片整理之后不再可用或在可信区域Z2中不需要的数据由布置在不可信区域Z1中的传感器38、62监视。布置在可信区域Z2中的传感器40、60然后监视在碎片整理之后(必要的最小量数据)从不可信区域Z1传输到可信区域Z2的数据。如果不可信区域Z1的传感器38、62已经检测到某事,则来自布置在不可信区域Z1中的传感器38、62和布置在可信区域Z2中的事件管理器30的通信同样必须例如在生成的事件220的范围中可行。
可信区域Z2的事件管理器30聚集、减少或优先化、格式化或保持输入的事件220。事件管理器66布置在可信区域Z2中,因为事件必须由可信实例(Trusted Instanz)处理、优先化和存储。
通信适配器32部分地布置在可信区域Z2中。通信适配器32控制与同样布置在可信区域Z2中的事件管理器30的通信。此外,通信适配器32处理与HSM(硬件安全模块,可用于认证和/或加密)的通信,以确保通向上级IDS实例34的安全的、经过认证的和机密的通道。通信适配器32部分地布置在可信区域Z2中,因为它同样必须与诸如可信区域Z2的事件管理器30或HSM的可信实例进行通信。
通信适配器32应当经由交换机SWT48承担与诸如信息娱乐系统的其他IDS实例34的通信。由于通信适配器32与不可信实例(信息娱乐系统,CCU)进行通信,因此通信适配器32部分地布置在不可信区域Z1中。
示例性地,决定将事件报告242周期性地发送到上级实例34的通信流程。为此,来自可信区域Z2的通信适配器32请求可信区域Z2中的事件管理器30使所选择的事件226在缓冲存储器206中可用,如结合图2示例性描述的。在事件报告242中包含关于加密和/或认证的特定的特别可信的信息,特别是可改变的变量254和/或认证信息256和/或加密258。这些变量可以由安全模块73提供,上面已经将该安全模块描述为HSM(硬件安全模块)。安全模块73——示例性地容纳在所谓的BSW堆栈72中——提供例如对应的随机数273或这样的随机数的部分作为可改变的变量254。事件管理器30和/或可信区域22的通信适配器32在事件报告242的范围中接管这个可改变的变量254。事件报告242以纯文本形式到达安全模块73,安全模块73通过密钥258执行加密并提供给可信区域Z2的通信适配器32。以这种方式加密的事件报告242现在经由通信适配器32到达不再可信的分区Z1,也就是到达核心K3。因此,事件报告242被写入区域B3的缓冲器中。例如,如已经讲述的,事件报告242可以经由以太网核心K4传送到上级实例32,如对应箭头所示。为此,事件报告242从分区B3中的存储器传送到存储区域B4_1,因此现在位于以太网核心K4中。从K4经由发送过程I3,例如经由以太网交换机48等,到经由以太网连接的上级实例32进行进一步的通信。
随后的通信流程描述了由上级实例34生成的确认信号408、416的接收(如下文结合图5-10更详细描述的)。对应的确认信号408、416经由以太网交换机48到达以太网核心K4并在那里进入不可信区域Z1。经由通信适配器32的驻留在不可信区域Z1中的部分,数据首先缓存在分区B3中,在那里在不可信分区NT中。可信区域Z2的通信适配器32可以访问那里隔离的数据。可信区域Z2的通信适配器32识别出是加密的数据。解密现在进行,其方式是可信区域Z2的通信适配器32将用于解密的数据发送到安全模块73或向对应的安全模块73分派对数据的访问。由安全模块73解密的信号然后以纯文本形式再次返回到可信区域Z2的通信适配器32。通信适配器32然后识别出诸如可改变的变量254'和/或认证信息256'的另外的安全相关信息是确认信号408、416的组成部分(参见图5)。在一个特别优选的变体中,确认信号408、416的可改变的变量254'由上级实例34形成,使得由最后事件报告242传送(并且也由安全模块73生成)的可改变的变量254作为可改变的变量254'用于确认信号408、416。安全模块73因此对应地检查确认信号408、416的可改变的变量254'是否与特别是最后事件报告242的可改变的变量254一致。如果是这种情况,则可以生成针对确认信号408、416的对应释放信息。在此关联中,可信区域Z2的通信适配器32向事件管理器30例如发送信号410,以删除缓冲存储器206中在最后事件报告242的范围中传输的事件226。此外,对应的认证信息256'还可以用于如所描述的验证或认证接收到的确认信号408、416。
下面基于图5-图10示例性地描述在控制设备或网关20内的事件管理器30和通信适配器32之间的通信流程、在通信适配器32和车辆18内的至少一个另外的IDS实例34之间的通信流程以及在另外的IDS实例34和后端36之间的通信流程。
从诸如网关20的控制设备到另外的(多个)IDS实例34(例如车辆18内的中央事件日志记录器)的通信应当确保另外的IDS实例34或事件日志记录器被告知未被读取的条目或存储在存储器206中的事件236或所选择的事件226。控制设备或网关20应当定期向另外的IDS实例34发送事件报告242,优选地通过所谓的心跳信号(可以用于检查通信参与者是否按规定连接的周期信号)。心跳信号(包括事件报告242)应当是加密的和真实的。优选地,所传送的信息应当真实地(必要时使用认证信息256)并且加密地,优选随机地或使用随机数273在控制设备或网关20与另外的IDS实例34之间交换。优选地,事件报告242应当具有固定长度257,应当被加密和认证。每个加密的事件报告242应当不同于先前的事件报告242,即使所传送的状态没有改变。
此外,从另外的IDS实例34到控制设备或网关20或相关联的通信适配器32的通信也应当以下列功能为特征。数据日志记录器或IDS实例34应当尽可能快地读入事件236或相关联的事件报告242,以便特别是防止存储器或缓冲存储器206的溢出。事件报告242应当能够例如根据请求经由诊断接口读出。替代地,可以完整地周期性地发送事件报告242。即使在新事件报告242的范围中没有新的所选择的事件226可用,事件报告242也应定期传送或读出,优选真实地和加密地或经过隐藏的。控制设备或网关20应当用具有固定长度的响应或事件报告242加密地和经过认证地响应读出请求240。即使内容没有改变,每个加密的响应或事件报告242也应不同于先前的响应或事件报告242。这示例性地通过如已经描述的不断改变的变量254来进行。
根据图5,布置在可信区域Z2中的事件管理器30首先选择第一所选择的事件226.1,然后选择第二所选择的事件226.2。这些所选择的事件由事件管理器30如所描述那样处理。因此,所选择的事件226.1、226.2存储在存储器206中。通信适配器32的驻留在可信区域Z2中的部分包含信号400,即时间相关的中断信号(Timer IRQ)。时间相关信号400优选周期性地形成,从而由此周期性地启动从通信适配器32向车辆18中的另外的IDS实例34发送事件报告242。然而,即使在没有新事件226.1、226.2的情况下,如下面描述的,信号(以“正常”事件报告242的形式)也从通信适配器32发送到另外的IDS实例34(参见信号406)。然而,特别优选地,事件报告242的发送不是根据事件220或所选择的事件226的获得而被触发,而是周期性地(通过周期时间的时间流逝)触发。这是特别有利的,因为到另外的IDS实例34和/或后端36的传输以后也总是周期性地执行,即在特定时间过去之后进行。由此事件管理器30的行为或异常识别对于攻击者而言是不透明的。攻击者永远不知道是否其攻击已被检测到、检测到了什么以及异常识别系统如何工作。
在通信适配器32已经接收到信号400(Timer Interrupt,定时器中断)之后,通信适配器32的驻留在可信区域Z2中的部分向事件管理器30请求事件报告242,即信号402。事件管理器30创建对应的事件报告242,该事件报告包括先前选择的事件226.1和/或226.2(具有相应的通用元数据217和事件相关元数据216)和改变的变量254。此外,添加对应的填充数据255,从而达到事件报告242的固定长度257(在知道仍要形成的认证信息256的长度的情况下)。此外,例如事件管理器30使用特定算法从改变的信息254、所选择的事件226.1、226.2以及填充数据255中生成认证信息256。以这种方式形成的认证信息256完成了事件报告242。然后用密钥258对完整的事件报告242进行加密。加密的事件报告242作为信号404到达通信适配器32的驻留在可信区域Z2中的部分。如果满足对应的安全要求,则加密(使用改变的信息254和/或密钥258)和认证(形成认证信息256)可以在事件管理器30和/或通信适配器32中或使用安全模块73(同样布置在可信区域Z2中)如已经描述的进行。
替代地,通信适配器32和/或安全模块73可以加密事件报告242,例如根据随机数273。特别优选地总是形成新的随机数273以用于加密,例如通过散列法。这进一步使传输的消息或加密的事件报告242的解密变难。必要时,通信适配器33接管使用认证信息256的认证和/或可改变的变量254的添加和/或用加密258对整个事件报告242的最终加密。
即使由于新的所选择的事件226的出现而导致事件管理器30没有提供新的事件报告242,相应的信号406也响应于定时器中断(信号400)而发送。然后使用具有事件报告242的数据格式的虚拟消息并通过随机数或不断改变的变量254加密地(使用密钥258)传输到另外的IDS实例34。虚拟消息也总是通过不断改变的变量254或新的随机数来加密,从而即使没有出现新选择的事件226也总是周期性地传输其他消息或加密的消息(信号406)。通过该周期性传输可以检查通信适配器32和另外的IDS实例34之间按规定的通信连接是否起作用。如已经描述的,事件报告242是经由通信适配器32的布置在不可信区域Z1中的部分发送的。
在另外的IDS实例34获得了从通信适配器32发送的消息(信号406)之后,另外的IDS实例34向通信适配器32、特别是向通信适配器32的布置在不可信区域Z1中的部分发送确认信号(408)。进一步的过程已经结合图4详细讲述过。在获得确认信号408之后,通信适配器32的布置在可信区域Z2中的部分向事件管理器30生成请求以删除或再次覆盖缓存的、必要时减少的、所选择的事件226或相关联的事件报告242(信号410)。
在替代实施例中,上级实例34和/或后端36检查接收到的加密的事件报告242的真实性。为此,上级实例34和/或后端36使用已知密钥258解密接收到的消息,即加密的事件报告242。然后事件报告242以纯文本可用。使用用于形成认证信息256的对应算法(该算法也由事件管理器30或通信适配器32用来创建认证信息256),对事件报告242进行认证。为此,再次使用接收到的和解密的事件报告242的所有数据(除了认证信息256之外),并由此形成对应的认证信息256'。然后将形成的认证信息256'与在事件报告242的范围中接收的认证信息256进行比较。如果一致,则认为接收到的事件报告246是真实的。在该变体中,在进行了认证之后才能与较高级别或较低级别的实例进行进一步数据通信。在这个实施例中,在成功认证之后才将信号408(确认信号)发送到通信适配器32,然后通信适配器32发送信号410到事件管理器30以释放对所选择的事件226.1、226.2的覆盖。
优选地,响应或确认信号408、416也应当具有固定长度257'。优选地,确认信号408应当经过认证和加密。上级实例34和/或后端36的每个响应或确认信号408都应当彼此不同,即使内容没有改变。
这种确认信号408、416的示例可以在图5中找到。确认信号408、416具有与事件报告242类似的结构。确认信号408、416包括可改变的变量254'。可改变的变量254'针对每个新发送的确认信号408、416而改变。可改变的变量254'可以再次例如通过随机数、计数器、时间来实现。
特别优选地,确认信号408、416的可改变的变量254'可以通过使用刚刚传送的事件报告242的可改变的变量254(必要时通过安全模块73产生)来形成。为此,上级实例34、36被设置为从接收到的事件报告242中提取可改变的变量254并插入到确认信号408、416中。由此在随后的步骤中,还可以通过将接收到的确认信号408、416的可改变的变量254'与先前发送的事件报告242的可改变的变量254进行比较来认证确认信号408、416。如果一致则推断出真实的确认信号406、408。此外,可改变的变量254'不必在上级实例34,36中自己生成。这之后可以释放存储器206。
此外,确认信号408、416包括特定数据255',例如以任何模板的形式。此外,确认信号408、416包括认证信息256'。与事件报告242的情况类似,认证信息256'可以再次通过特定算法形成,该特定算法使用确认信号408、416的剩余数据,即可改变的变量254'和数据255'。以这种方式形成的认证信息256'完成了确认信号408、416。该确认信号具有固定长度257'。然后使用密钥258'进行加密。可选地,也可以省去这种加密258'。
接收实例(例如上级实例34、后端36)和/或通信适配器32或事件管理器30又能够解密确认信号408、412(使用密钥258')并且进行认证。为此,又使用对应已知的算法从接收到的数据(可改变的变量254',数据255')中确定由此得出的认证信息256'',并与获得的认证信息256'进行比较。如果一致,则假定真实性。如果获得的认证信息256'是正确的,则可以产生用于释放存储器206的信号410。如果认证信息256'不正确,则不能生成该信号410,从而存储器206中包含的所选择的事件226(仍)不会被删除。
另外的IDS实例34也周期性地接收定时器中断信号412,该信号类似于已经描述的信号400形成。响应于中断信号412,另外的IDS实例34又发送加密的消息,即信号414。该消息必要时可以包含事件报告242或车辆相关事件报告(包括另外的事件报告),如经由在通信适配器32之前的信号406传送的。与通信适配器32一样,消息由另外的IDS实例34加密,特别是由诸如随机数273的不断改变的变量254'加密。如果通信适配器32没有传送事件报告242,例如因为没有出现新的所选择的事件226,则再次使用具有与事件报告242相同数据格式的虚拟消息并以加密形式传输到后端36(信号414)。后端36向另外的IDS实例34发送确认信号416和/或覆盖缓存在缓冲存储器206中的事件236等的另外的通知或请求。确认信号416可以如上所述形成。
在获得关于事件释放的信号410之后,事件管理器30选择另外的所选择的事件226.3和226.4。进一步的流程可以从图6中得到。同时,事件管理器30还选择了另外的事件226.5。定时器中断(信号420)重新到达通信适配器32。该通信适配器现在向网关20请求事件报告242(信号422)。事件管理器30向通信适配器32发送基于所选择的事件226.3、226.4、226.5的事件报告242,即信号424。在获得事件报告242之后,通信适配器32发送由新的可改变的变量254(如随机数)加密和认证的事件报告242到另外的IDS实例34,即信号426。另外的IDS实例34通过确认信号428确认所述获得。确认信号428可以如结合确认信号408(图5)所述的那样形成。在获得确认信号428之后,通信适配器32又向事件管理器30发送请求以覆盖或删除事件报告242所基于的所选择的事件226.3、226.4、226.5,即信号430。同时在信号424的发送和信号430的接收之间选择另外的所选择的事件226.6。然而,这个所选择的事件226.6还不能被覆盖,因为这个所选择的事件226.6还不是已经传送到通信适配器32的事件报告242的基础。在这方面,信号430不涉及覆盖所选择的事件226.6,而仅涉及覆盖已经在最后的事件报告242的范围中传送的所选择的事件226.3、226.4、226.5。
如已经描述的,在另外的IDS实例34那里也出现定时器中断(信号432)。由此促使另外的IDS实例34将在信号426中新接收到的事件报告242以加密形式传输到后端36,即信号434。后端36通过对应的确认信号436确认获得了对应的消息434,该确认信号436被发送到另外的IDS实例34。确认信号436可以像确认信号408或416那样形成。
进一步的流程在图7中示出。对于通信适配器32再次出现另外的定时器中断,即信号440。然后来自可信区域Z2的通信适配器32向事件管理器30发送请求以发送事件报告242,即信号442。事件管理器30发送包含在此期间所选择的事件226.6的事件报告242,即信号444。通信适配器32使用新的可改变的变量256(必要时使用安全模块73)对事件报告242进行加密,并将加密的事件报告242经由通信适配器32的位于不可信区域Z1中的部分发送到另外的IDS实例34,即信号446。在获得时,另外的IDS实例34发送确认,即信号448,在获得该信号448时通信适配器32向事件管理器30发送请求以覆盖或释放已经传送的事件226.6,即450。
另外的IDS实例34再次接收定时器中断,即信号452。然后,加密的事件报告242必要时连同来自另外的IDS系统的另外的事件报告车辆相关地传送到后端36。后端36向(多个)另外的IDS实例34发送确认信号和/或释放或覆盖对应的事件等的请求,即信号456。
在根据图8的示例性流程中,在发送最后一个事件报告242和新出现定时器中断(信号460)之间没有出现新的所选择的事件226。在获得定时器中断460之后,来自可信区域Z2的通信适配器32向事件管理器30发送针对新事件报告242的对应请求信号462。事件管理器30生成——尽管出现了新的所选择的事件226——具有虚拟内容的事件报告242,然后该事件报告发送到通信适配器32,即信号464。另外的IDS实例34和/或后端36可以将所述虚拟内容识别为虚拟内容。通信适配器32在可信区域Z2中,必要时使用安全模块73用新的、可改变的变量254对接收到的具有虚拟内容的事件报告242进行加密,并将加密和认证的事件报告242发送到另外的IDS实例34,即信号466。所述发送又从不可信区域Z1进行。所述获得由另外的IDS实例34确认,即信号468。在获得该信号时,通信适配器32重新向事件管理器30发送请求信号以覆盖最后的所选择的事件226,即信号470。即使如在这个星座中没有新的所选择的事件226,这也要进行。
另外的IDS实例34重新获得定时器中断,即信号472。然后另外的IDS实例34对由通信适配器32发送的最后获得的加密的事件报告242进行加密,并且必要时将其与来自另外的IDS系统的另外的事件报告一起车辆相关地发送到后端36。后端36向另外的IDS实例34发送确认信号476和/或释放所基于的事件等的请求。
在图9的通信序列中,通信适配器32重新获得定时器中断,即信号480。这个定时器中断480可以是特殊信号,使得通信适配器32向事件管理器30请求事件摘要(而不是常见的事件报告242之一),即信号482。事件管理器30将事件摘要发送到通信适配器32,即信号484。这又在可信区域Z2中进行。事件摘要可以包含上级信息,例如针对不同事件类型218的不同计数器读数231,或新事件类型等的出现。再次也通过诸如随机数的新的可改变的变量254(必要时使用安全模块73)由通信适配器32在安全相关区域Z2中对事件摘要进行加密,并传输到另外的IDS实例34,即信号486。该传输又从非安全相关区域Z1进行。一旦IDS实例34从通信适配器32获得了加密的事件摘要,另外的IDS实例34就将事件摘要转发到后端36,特别优选地以加密的形式。在实施例中,对于另外的IDS实例34和后端36之间的发送过程没有设置定时器中断来启动通信过程。然而,替代地,该通信过程又可以周期性地启动,就像发送常见的事件报告那样。
在图10的通信序列中,后端36向另外的IDS实例34发送对事件报告的请求,即信号490。另外的IDS实例34例如通过诊断接口向通信适配器32发送对事件报告的加密请求,即信号492。该加密可以再次通过可改变的变量254'进行,例如随机数,该变量特别是针对每次加密都改变。在获得请求492之后,安全相关区域Z2中的通信适配器32向事件管理器30发送对事件报告242的查询,即信号494。在获得对应的查询494之后,事件管理器30向通信适配器32发送事件报告242,即信号496。通信适配器32对事件报告242加密,例如通过诸如随机数的新的可改变的变量254(必要时使用安全模块73)并将该事件报告从非安全相关区域Z1发送到另外的IDS实例34,即信号498。在获得加密的事件报告242之后,另外的IDS实例34向后端36发送事件报告242。后端36向另外的IDS实例34确认所述获得,即信号492。另外的IDS实例34向通信适配器32确认获得了确认信号492,即信号494。在获得对应的信号494之后,通信适配器32向事件管理器30发送对应的请求,以至少释放或覆盖在最后一个事件报告242的范围内传送的事件220。
所描述的方法可以在计算单元、计算机或控制器中实现,特别是在车辆18的控制设备中实现。同样,该方法可以在计算机程序的范围中创建,该计算机程序被设置为当它在计算机上执行时执行该方法。此外,该计算机程序可以存储在机器可读存储介质上。然而,该程序例如可以作为软件“用无线电”无线地加载或通过诊断接口有线地加载。
Claims (17)
1.一种用于处理数据异常的方法,特别是在机动车辆中,其中用于识别异常的至少一个传感器(24、26、28)获得数据(211),其中所述传感器(24、26、28)检查所获得的数据(211)是否存在异常,并且在识别出异常时根据相关联的数据(211)产生事件(220、221)并转发给事件管理器(30),其特征在于,设置至少一个可信区域(Z2)和不可信区域(Z1),其中将至少一个传感器(24、26、28;40、60)和/或事件管理器(30)分配给所述可信区域(Z2)。
2.根据权利要求1所述的方法,其特征在于,将至少一个通信适配器(32)布置在与所述事件管理器(30)相同的区域(Z2)中,其中所述通信适配器(32)用于传送至少部分地由所述事件管理器(30)创建的事件报告(242)。
3.根据前述权利要求中任一项所述的方法,其特征在于,也将所述通信适配器(32)分配给不可信区域(Z1)。
4.根据前述权利要求中任一项所述的方法,其特征在于,所述可信区域(Z2)中的传感器(24、26、28)至少包含来自布置在所述不可信区域(Z1)中的传感器(38、62)的数据(211),特别是经过碎片整理的数据,其中所述可信区域(Z2)中的传感器(24、26、28)检查所获得的数据(211)是否存在异常,并且在存在异常时产生事件(220),和/或其中所述不可信区域(Z1)中的传感器(38、62)检查所获得的数据(211)是否存在异常,并且在存在异常时产生事件(220)。
5.根据前述权利要求中任一项所述的方法,其特征在于,发送所述事件报告(242),其方式是所述可信区域(Z2)中的通信适配器(32)将所述事件报告(242)带入到所述不可信区域(Z1)的存储器中,所述不可信区域(Z1)中的通信适配器(32)能够访问所述存储器和发送到所述存储器。
6.根据前述权利要求中任一项所述的方法,其特征在于,所述事件报告(242)包括针对每个事件报告(242)而改变的至少一个变量(254)和/或至少一个认证信息(256)和/或通过加密(258)而予以加密。
7.根据前述权利要求中任一项所述的方法,其特征在于,分配给所述可信区域(Z2)的安全模块(73)提供针对每个事件报告(242)可改变的变量(254)和/或认证信息(256)和/或加密(258)。
8.根据前述权利要求中任一项所述的方法,其特征在于,在发送了所述事件报告(242)之后接收确认信号(408、416),所述确认信号(408、416)由所述不可信区域(Z1)的通信适配器(32)接收并且转发给所述可信区域(Z2)的通信适配器(32)。
9.根据前述权利要求中任一项所述的方法,其特征在于,所述确认信号(408、416)包括针对每个确认信号(408、416)可改变的至少一个变量(254')和/或至少特定的数据或模式(255')和/或至少一个认证信息(256')和/或至少一个恒定长度(257'),和/或使用加密(258')进行加密。
10.根据前述权利要求中任一项所述的方法,其特征在于,所述可信区域(Z2)的通信适配器(32)使用布置在所述安全相关区域(Z2)中的安全模块(73)对接收到的确认信号(408、416)进行解密和/或认证。
11.根据前述权利要求中任一项所述的方法,其特征在于,通过检查发送的事件报告(242)的可改变的变量(256)是否包含在所述确认信号(408、416)中来对接收的确认信号(408、416)进行解密和/或认证。
12.根据前述权利要求中任一项所述的方法,其特征在于,当数据从一个区域(Z1)传输到另一个区域(Z2)时,所述传感器(24、26、28)在使用之前检查所述数据,特别是确定是否出现了事件(220)和/或在未检测到事件(220)的情况下释放所述数据以供在所述另一个区域(Z2)中使用。
13.根据前述权利要求中任一项所述的方法,其特征在于,在出现事件(220)时,不将所述数据传输到所述另一个区域(Z2)和/或所述传感器(24、26、28)将所述事件(220)转发给所述事件管理器(30)。
14.根据前述权利要求中任一项所述的方法,其特征在于,所述事件管理器(30)和/或所述可信区域(Z2)的通信适配器(32)和/或所述可信区域(Z2)的传感器(24、26、28)和/或所述安全模块(73)在计算机核心(K2)上实现。
15.根据前述权利要求中任一项所述的方法,其特征在于,向至少一个计算装置(100a;100b)分配针对至少两个区域(Z1、Z2)之一的特定可执行应用程序(AP),其中所述区域(Z1,Z2)表征所述计算装置(100b;100b)的可用于执行所涉及应用程序(AP)的资源,可选地根据分配给应用程序的区域(Z1,Z2)执行至少一个应用程序(AP)。
16.根据前述权利要求中至少一项所述的方法,还包括:
通过缓冲存储器、特别是工作存储器在不同区域(Z1,Z2)之间交换第一数据,其中特别是在第一区域(Z1)和第二区域(Z2)之间交换第一数据具有以下步骤:d1)将所述第一数据复制到分配给所述第一区域(Z1)的第一缓冲存储器区域中,d2)检查复制的第一数据,并且特别是根据所述检查,d3)将来自分配给所述第一区域(Z1)的第一缓冲存储器区域的第一数据复制到分配给所述第二区域(Z2)的第二缓冲存储器区域中。
17.一种用于执行根据前述权利要求中至少一项所述的方法的设备。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102020204059.1A DE102020204059A1 (de) | 2020-03-28 | 2020-03-28 | Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug |
DE102020204059.1 | 2020-03-28 | ||
PCT/EP2021/056539 WO2021197822A1 (de) | 2020-03-28 | 2021-03-15 | Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115398427A true CN115398427A (zh) | 2022-11-25 |
Family
ID=75111563
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180024770.8A Pending CN115398427A (zh) | 2020-03-28 | 2021-03-15 | 用于处理数据异常的方法,特别是在机动车辆中 |
Country Status (4)
Country | Link |
---|---|
JP (1) | JP7467670B2 (zh) |
CN (1) | CN115398427A (zh) |
DE (1) | DE102020204059A1 (zh) |
WO (1) | WO2021197822A1 (zh) |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7886348B2 (en) * | 2003-10-03 | 2011-02-08 | Verizon Services Corp. | Security management system for monitoring firewall operation |
FR3012643B1 (fr) | 2013-10-28 | 2017-03-17 | Oberthur Technologies | Systeme de detection d'intrusion dans un dispositif comprenant un premier systeme d'exploitation et un deuxieme systeme d'exploitation |
CN105450406B (zh) | 2014-07-25 | 2018-10-02 | 华为技术有限公司 | 数据处理的方法和装置 |
US20160180078A1 (en) * | 2014-12-23 | 2016-06-23 | Jasmeet Chhabra | Technologies for enhanced user authentication using advanced sensor monitoring |
US10193858B2 (en) * | 2015-12-22 | 2019-01-29 | Mcafee, Llc | Attestation device custody transfer protocol |
JP6981078B2 (ja) | 2017-07-28 | 2021-12-15 | 大日本印刷株式会社 | セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びデバイス監視方法 |
JP7026298B2 (ja) | 2017-09-29 | 2022-02-28 | 積水ハウス株式会社 | セキュアモードとノンセキュアモードとを選択的に切り替え可能なシステム |
DE102017221889B4 (de) | 2017-12-05 | 2022-03-17 | Audi Ag | Datenverarbeitungseinrichtung, Gesamtvorrichtung und Verfahren zum Betrieb einer Datenverarbeitungseinrichtung oder Gesamtvorrichtung |
US11184388B2 (en) * | 2018-02-19 | 2021-11-23 | Argus Cyber Security Ltd. | Cryptic vehicle shield |
DE102018209407A1 (de) | 2018-06-13 | 2019-12-19 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Behandlung einer Anomalie in einem Kommunikationsnetzwerk |
-
2020
- 2020-03-28 DE DE102020204059.1A patent/DE102020204059A1/de active Pending
-
2021
- 2021-03-15 JP JP2022558498A patent/JP7467670B2/ja active Active
- 2021-03-15 WO PCT/EP2021/056539 patent/WO2021197822A1/de active Application Filing
- 2021-03-15 CN CN202180024770.8A patent/CN115398427A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
JP7467670B2 (ja) | 2024-04-15 |
WO2021197822A1 (de) | 2021-10-07 |
JP2023519910A (ja) | 2023-05-15 |
DE102020204059A1 (de) | 2021-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11848947B2 (en) | System and method for providing security to in-vehicle network | |
US10243928B2 (en) | Detection of stale encryption policy by group members | |
US6076168A (en) | Simplified method of configuring internet protocol security tunnels | |
EP2843897B1 (en) | Locked Down Network Interface | |
JP2017174111A (ja) | 車載ゲートウェイ装置、蓄積制御方法およびプログラム | |
CN111434089B (zh) | 数据处理装置,总装置及用于运行数据处理装置或总装置的方法 | |
KR20160060683A (ko) | 차량 네트워크에서 id 익명화를 사용한 실시간 프레임 인증 | |
JPWO2006095438A1 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
WO2021002010A1 (ja) | 不正フレーム検知装置および不正フレーム検知方法 | |
CN103647772A (zh) | 一种对网络数据包进行可信访问控制的方法 | |
WO2021131193A1 (ja) | 攻撃監視用センター装置、及び攻撃監視用端末装置 | |
KR20180137306A (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
US11528284B2 (en) | Method for detecting an attack on a control device of a vehicle | |
Daily et al. | Securing CAN traffic on J1939 networks | |
JP6997260B2 (ja) | 通信装置およびメッセージを認証するための方法 | |
US11095613B2 (en) | System of smart edge sensors | |
JP7467670B2 (ja) | 特に自動車におけるデータの異常を処理するための方法 | |
CN115280724A (zh) | 用于处理数据异常的方法,特别是在机动车辆中 | |
CN115398429A (zh) | 用于处理数据异常的方法,特别是在机动车辆中 | |
KR20160038935A (ko) | Dnp 메시지의 보안통신장치 및 방법 | |
CN115398428A (zh) | 用于处理数据异常的方法,特别是在机动车辆中 | |
CN115398863A (zh) | 用于处理数据异常的方法,特别是在机动车辆中 | |
US20220210143A1 (en) | Apparatus and method for communicating data in in-vehicle network based on automotive ethernet | |
US20220150229A1 (en) | Method for transmitting data packets | |
KR101196366B1 (ko) | 서버보안을 위한 랜카드 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |