CN115769620A - 确保车辆与用于管理所述车辆的远程管理服务器之间的连接安全 - Google Patents
确保车辆与用于管理所述车辆的远程管理服务器之间的连接安全 Download PDFInfo
- Publication number
- CN115769620A CN115769620A CN202180043584.9A CN202180043584A CN115769620A CN 115769620 A CN115769620 A CN 115769620A CN 202180043584 A CN202180043584 A CN 202180043584A CN 115769620 A CN115769620 A CN 115769620A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- management server
- remote management
- communication module
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/45—Security arrangements using identity modules using multiple identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及一种车辆(V),该车辆包括通信模块(MC),该通信模块能够使用两张电信标识符卡,一张电信标识符卡(VCA)与车辆(V)的制造商的订阅有关,另一张电信标识符卡(UCA)与用户的订阅有关,该车辆(V)包括托管安全功能的可信执行环境(TEE)、以及托管通信模块(MC)的一部分的多媒体系统执行环境(EESM),该可信执行环境(TEE)包括监管模块(MS),该监管模块监测车辆(V)与用于管理车辆(V)的远程管理服务器(SG)之间的连接。
Description
本发明总体上涉及电信和机动车辆,并且更具体地涉及确保供应至车辆的远程信息处理服务和该车辆的软件安全。
制造商在车辆上提供的远程信息处理服务详细说明并且使用敏感数据和功能。这些服务通常一方面由驻留在车辆中的嵌入式逻辑执行,另一方面由驻留在制造商或第三方的至少一个远程服务器上的外部逻辑执行。确保远程信息处理服务和汽车软件安全的一个基本问题通常围绕着这两种逻辑之间的通信链路。事实上,为了实现良好的安全水平,制造商在这些远程信息处理服务的软件的嵌入式部分和外部部分之间建立了安全的通信机制。制造商还为其保有的车辆建立了管理中心。例如通过更新车辆的软件,这些管理工具允许制造商检测异常并且触发车辆中的阻止动作或纠正动作,以对故障或潜在的网络攻击做出响应。
然而,当车辆没有被网络覆盖并且无法与制造商的远程服务器对话时,或者当车辆与远程服务器之间的通信不再被认为可靠且可信时,这种安全确保策略被证明是无效的。用于增强车辆中的远程信息处理服务软件的嵌入式部分与其外部部分之间的连接安全性的一种手段是获得车辆的制造商所订阅的由电信运营商实施的附加保护能力和附加应对措施能力。
然而,在这些远程信息处理服务建立的同时,将互联网带给车辆用户的需求正在兴起和增长。此外,汽车的用户对于能够使用他们自己的蜂窝电话订阅来获得该互联网使用有强烈需求。
现在,互联网连接带回了一系列威胁和潜在漏洞,这些威胁和潜在漏洞可能允许黑客控制使用该连接的电子部件。不仅如此,为该互联网连接而利用特定于用户的订阅使用与相关车辆的制造商的电信运营商不同的电信运营商,这一事实会阻止从制造商的电信运营商可以提供的用于确保由车辆使用的远程信息处理服务安全的保护和纠正措施受益。
因此,需要确保车辆与其远程管理中心之间的通信安全,同时允许车辆的用户经由他们的蜂窝电话订阅来连接到互联网。
一种解决方案是将一方面用于互联网的与另一方面用于远程信息处理服务的连接和系统隔离。由于用户使用他们自己的蜂窝电话订阅,这意味着物理蜂窝通信系统必须是重复的:要么利用两个蜂窝调制解调器而不是仅一个,要么利用一个蜂窝调制解调器但其可以与同时激活的两个SIM(订户身份模块)卡一起操作,这种能力被称为“双卡双待(active dual-SIM)”。在这两种情况下,这种重复都代表着非常显著的成本开销(每个车辆几十美元)。
本发明的一个目的是通过以较低的成本提供一种车辆、一种系统和一种方法来弥补现有技术的至少一些缺点,该车辆、系统和方法保证车辆与管理车辆的网络安全的管理中心之间的可信通信,同时允许车辆的用户经由他或她自己的蜂窝电话订阅来访问互联网。
为此,本发明提出了一种车辆,该车辆包括通信模块,该通信模块能够使用两张电信标识符卡,一张电信标识符卡与所述车辆的制造商和电信运营商之间的订阅有关,另一张电信标识符卡与所述车辆的用户和电信运营商之间的订阅有关,所述车辆包括托管该车辆的安全功能的可信执行环境、以及托管所述通信模块的至少一部分的多媒体系统执行环境,所述车辆的特征在于,所述可信执行环境包括监管模块,该监管模块监测所述车辆与所述车辆的远程管理服务器之间的连接。
凭借本发明,单个调制解调器要么采用使用车辆的订阅的连接,要么采用使用用户的订阅的连接,但是车辆与远程服务器之间的连接被监测。因此,在使用用户订阅的连接不再被认为是可靠或可信的时,调制解调器可以例如立即切换至车辆的制造商的SIM卡,以受益于网络攻击阻止和纠正措施,这些措施由链接至制造商的运营商供应,而不需要任何昂贵的“双卡双待”调制解调器。
有利地,所述监管模块能够通过分别向所述远程管理服务器发送和从所述远程管理服务器接收已签名的唯一且预定义的消息来定期测试所述连接。这种实施方式尤其是提供了重放保护。
在本发明的变体实施例中,所述监管模块能够通过从所述远程管理服务器接收已签名的唯一且预定义的消息来定期测试所述连接。因此,在该变体中,监管模块不发送测试消息而是监测对测试消息的正确接收。
再次有利地,所述监管模块能够在以下情况下检测到连接异常:
-所述通信模块指示该车辆的蜂窝连接操作,同时所述通信模块不确认将所述消息之一发送至所述远程管理服务器或者该通信模块不传送由所述远程管理服务器发送的所述消息之一,
-或者所述通信模块指示该车辆的蜂窝连接不可用持续的时间大于第一预定义时间间隔。
这种实施方式使得可以简单地检测通信模块的并非由无线电覆盖的短暂且有限的丢失引起的可疑异常。在本申请中,车辆的“蜂窝连接”被理解为意指通过无线电尤其是凭借充分的蜂窝电话网络覆盖来接收或发送消息的能力。
再次有利地,由所述监管模块发送的消息包括表示检测到所述车辆与所述远程管理服务器之间的连接异常的信息、或表示并非这样的检测结果的信息。这允许远程管理服务器在可能时进行干预以排除或确认异常,并且实施比如远程车辆软件更新等补救动作。
根据另一有利特征,根据本发明的车辆包括选自包括以下各项的列表的发送装置中的至少一个:
-用于向该通信模块发送指令以触发禁用该车辆的不安全应用程序的外部通信的第一装置,
-用于向该通信模块发送指令以触发由该通信模块选择与所述车辆的制造商的订阅有关的电信标识符卡作为唯一的连接装置、以及由该通信模块禁用与所述远程管理服务器之外的任何通信的第二装置,
-用于向该通信模块发送指令以触发重启所述通信模块、以及发送指令以引起所述多媒体系统执行环境的重启并同时对所述重启强制实行安全配置的第三装置,
-以及用于发送指令以触发重启该车辆的其他执行环境或其他软件的至少一部分并同时对这些部分强制实行安全配置的第四装置,
所述车辆进一步包括激活装置,该激活装置被配置为在检测到所述车辆与所述远程管理服务器之间的连接异常时,激活所述所选择的发送装置中的全部或部分。
通过包含这四个发送装置中的一个或多个,根据本发明的车辆受益于独立于远程管理服务器的补救解决方案。
有利地,根据本发明的车辆至少包括所述第一发送装置,所述激活装置被配置为当所述通信模块指示该车辆的蜂窝连接不可用持续的时间大于所述第一预定义的时间间隔时,仅激活所述第一发送装置。因此,避免了在由于无线电覆盖丢失而导致错误的异常检测的情况下过度降低用户体验。
再次有利地,根据本发明的车辆至少包括所述第二发送装置,所述激活装置被配置为当所述通信模块指示蜂窝连接不可用持续的时间大于第二预定义的时间间隔时,激活所述第二发送装置,而将从所述第三发送装置或所述第四发送装置之中选择的发送装置排除在外,该第二预定义时间间隔大于该第一预定义时间间隔。因此,即使根据本发明的车辆包含第三发送装置和/或第四发送装置,最初也不实施这些装置,尤其是只要车辆没有停止就如此。因此,远程管理服务器SG有时间进行干预,以避免在错误检测的情况下实施第三发送装置和第四发送装置。因此,当可疑异常的可能性变大时,在确保车辆安全的同时几乎不会降低用户体验。
再次有利地,根据本发明的车辆至少包括所述第三发送装置或所述第四发送装置,所述激活装置被配置为仅当所述车辆停止时,激活所述第三发送装置或所述第四发送装置。这使得可以仅在最合适的时机、尤其是仅在车辆运行阶段之外,损害用户体验以确保车辆安全。
本发明还涉及一种系统,该系统包括根据本发明的车辆、以及所述远程管理服务器,其特征在于,所述远程管理服务器包括:
-用于接收由所述监管模块发送的消息并且包括表示检测到所述车辆与所述远程管理服务器之间的连接异常的信息的装置,
-用于通过所述车辆(V)的位置与无线电覆盖数据之间的关联来检测所述异常检测结果是否是由于网络攻击而导致的装置,
-用于响应于来自所述监管模块(MS)并且报告所述异常检测结果的所述消息而发送指示所述异常不是由于对所述车辆(V)的网络攻击而导致的消息的装置。
因此,远程管理服务器阻止车辆在由于无线电覆盖的瞬时或长时间丢失导致错误检测时执行损害用户体验的补救动作。
有利地,所述远程管理服务器进一步包括:
-用于在多个车辆报告的异常多于预定义阈值时立即检测到网络攻击的装置,
-用于向所述车辆发送消息以激活用于安全重启所述通信模块和所述多媒体执行环境的程序和/或用于在所述检测装置检测到网络攻击时立即更新所述多媒体执行环境的程序的装置。该附加特征使得可以保护车辆免受预定义的未来网络攻击。
本发明最后涉及一种用于确保根据本发明的车辆与所述车辆的所述远程管理服务器之间的连接安全的方法,该方法包括以下步骤:
-分别向所述远程管理服务器发送和/或从所述远程管理服务器接收已签名的唯一且预定义的消息,
-检测所述连接的异常,
-向所述通信模块发送指令,从而能够将所述车辆与所述远程管理服务器之间的通信切换至使用与所述车辆的制造商的订阅有关的电信标识符卡的连接。
根据本发明的系统和方法提供了与根据本发明的车辆的优点类似的优点。
通过阅读参考附图所描述的优选实施例,其他特征和优点将变得清楚,在附图中:
-图1表示了在本发明的这个优选实施例中的根据本发明的车辆和系统,
-图2表示了在本发明的该优选实施例中的根据本发明的车辆的补救装置,
-图3表示了在本发明的该优选实施例中的根据本发明的方法的步骤,
-图4表示了在本发明的该优选实施例中的在根据本发明的车辆中实施的补救逻辑的状态图。
根据图1所表示的本发明的优选实施例,根据本发明的车辆V包括托管各种软件的各种执行环境。特别地,车辆V的安全软件(比如发动机控制软件或驾驶辅助软件)被托管在安全计算机上,例如可仅经由包含可信执行环境TEE的安全网关访问。在本发明的该示例性实施例中,可信环境TEE托管以下各项:车辆V的安全功能SF、托管在检测到网络攻击的情况下触发的补救功能的模块MR、以及用于监管车辆V与车辆V的远程管理服务器SG之间的连接的模块MS。可信环境TEE例如被托管在安全网关中,该安全网关构建了在车辆的安全软件区与包括同车辆外部进行通信的多媒体通信功能的软件区之间的链路,该安全软件区可以访问车辆的安全计算机。
车辆V还包括至少一个不安全执行环境,在此,多媒体系统的执行环境EESM托管车辆V的所谓“信息娱乐”信息和休闲部分。因此,执行环境EESM托管旨在供车辆的用户使用的应用程序AC(并且这些应用程序暴露于来自或去往互联网的数据流),比如地理定位服务、嵌入式浏览器等。执行环境EESM还托管车辆的非安全功能BF,比如车辆V的音频输出设置功能或图形界面。
最后,执行环境EESM托管通信模块MC。通信模块MC包含蜂窝无线电调制解调器,该蜂窝无线电调制解调器能够将以太网网络信号转换为GSM(“全球移动通信系统”)、3G、4G、5G(G代表移动电话技术代数)或Wi-Fi(根据IEEE 802.11标准)无线电信号,并且反之亦然。在变体实施例中,通信模块MC将其他类型的有线协议转换为其他类型的无线电协议,尤其是根据车辆的使用国家及其电气/电子架构来转换。例如,在变体中,调制解调器用于将CAN(控制器区域网络)信号转换成CDMA2000信号。
虽然尤其是为了允许不安全应用程序对外通信,通信模块MC包含在执行环境EESM中,但这些不安全应用程序的一些功能是安全的。这些安全功能由安全电子电路实施,或在比如微控制器等安全计算机中实施。因此,执行环境EESM不仅包含不安全软件,还包含安全软件和/或硬件电路。这些功能尤其允许可信执行环境TEE强制通信模块MC切换到特定于车辆V的制造商的电信标识符卡,如稍后所述。当然可以考虑,在变体中,通信模块MC的安全部分形成可信执行环境TEE的一部分。
通信模块MC的调制解调器具有“双SIM”能力,该能力允许其使用两张SIM卡,在本实施例中这两张卡为:
-被标记为UCA的电信标识符SIM卡,与车辆V的用户和电信运营商之间的订阅有关,
-被标记为VCA的电信标识符SIM卡,与车辆V的制造商和电信运营商之间的订阅有关,该电信运营商可以不同于供应UCA卡的电信运营商。
通信模块MC使用的UCA卡例如是虚拟SIM,也就是说,用户不需要将其SIM卡放在车辆V的调制解调器的特定插槽中,他或者她只需在车辆中输入认证其个人SIM卡的数据,以供车辆生成该虚拟SIM卡。在变体中,通信模块MC具有允许用户将其个人SIM卡插入其中的物理插槽。
在本发明的该实施例中,通信模块MC的调制解调器不具有同时使用UCA卡和VCA卡两者的能力,而只有一次使用这些卡中的一个或另一个、通过从一个卡切换到另一个卡以而取决于背景建立与外部的通信的能力。因此,它不具有所谓的“双卡双待”能力。例如,当车辆V的用户使用执行环境EESM来接入互联网时,通信模块使用UCA卡与互联网网络INT建立通信会话LSU。该通信会话以特定于个人蜂窝电话订阅的标准安全级别建立,并且还可以用于与远程管理服务器SG通信。当车辆V停止同时发动机熄火、车门关闭且内部没有用户,并且车辆出于维护原因而与远程管理服务器SG通信时,通信模块MC另一方面使用VCA卡建立与远程管理服务器SG的通信会话LSV。该通信会话LSV受益于可能比通信会话LSU的安全级别更高的安全级别,例如使用安全APN(“接入点名称”)。
通信模块MC还具有向执行环境TEE报告蜂窝连接的状态的能力。特别地,其指示无线电网络覆盖是否太弱或不存在而无法对外建立通信会话。
远程管理服务器SG包括用于对制造商的车辆进行一般管理的逻辑VAL、以及用于监测车辆V与远程管理服务器SG之间的通信链路的监管模块SMM。
使用UCA卡时的主要风险是来自互联网的攻击,这允许黑客控制车辆的计算机和不安全执行环境,从而可能允许黑客切断远程管理服务器SG与可信执行环境TEE之间的通信,由此阻止可信执行环境接收用于触发纠正动作并恢复正常的命令。为了弥补该问题,监管模块MS在车辆V使用时监测车辆V与远程管理服务器SG之间的连接,该监测特别是通过定期测试该连接来进行。因此,监管模块能够检测车辆V与远程管理服务器SG之间的通信的异常中断。当检测到这种连接异常时,监管模块MS激活安全功能SF,这些安全功能在如图2所表示的模块M1到M4中实施。因此,在本申请中应该理解,监管模块MS落实对在车辆与远程管理服务器SG之间的连接的监管,该监管不同于由通信模块MC实施的标准化监管机制,尤其是不同于由通信模块MC使用的GSM、3G、4G、5G或Wi-Fi通信标准强制要求的消息加密机制。实际上,该监管模块能够检测到车辆V与远程管理服务器SG之间的通信的异常中断,也就是说,由于通信模块MC的软件完整性受到侵犯而导致的异常中断。
更具体地,监管模块MS包括激活模块MA,该激活模块接收异常代码、蜂窝连接的状态以及车辆V的状态作为输入。基于这些输入参数,激活模块MA激活模块M1至M4中的一个或多个。
模块M1是用于向通信模块MC的安全微控制器发送指令以触发禁用车辆的不安全应用程序的外部通信(也就是说,切断从执行环境EESM发出的并且去往互联网的任何通信)的软件装置。
模块M2是用于向通信模块MC的安全微控制器发送指令以触发由通信模块MC选择VCA卡对外通信、以及由通信模块MC禁用与远程管理服务器SG以外的任何通信的软件装置。
模块M3是用于向通信模块MC的安全微控制器发送指令以触发重启通信模块MC、以及向执行环境EESM的安全部分MB1发送指令以重启该安全部分的软件装置。在变体中,只需要一个指令,尤其是当微控制器被链接至安全部分MB1时。这些安全重启触发擦除这些系统的随机存取存储器,并且强制选择VCA卡与远程管理服务器SG通信,而无需连接至互联网。
模块M4是用于发送指令以触发安全重启车辆V的其他执行环境或其他软件MB2至MBn中的全部或部分的软件装置。该安全重启触发擦除这些其他环境的随机存取存储器以及软件,并在必要时阻止使用比其他软件部分对攻击更敏感的某些软件部分。
在图3中,以根据本发明的用于确保车辆V与远程管理服务器SG之间的连接安全的方法的形式表示了由监管模块MS使用这些装置之一的一个示例。在该示例中,通信模块MC最初使用UCA卡对外通信。
步骤E1是由监管模块MS分别向远程管理服务器SG发送以及从车辆V接收已签名的唯一且预定义的消息。为此,监管模块MS周期性地向远程管理服务器SG发送消息,这允许远程管理服务器SG对其进行认证。例如,该消息使用比如RSA(Rivest、Shamir和Adleman)加密等非对称加密算法进行签名。在变体中,监管模块MS使用通过HMAC(“密钥散列消息认证代码”)类型的散列算法获得的签名,该散列算法使用仅对制造商已知(并且安全地包含在车辆V和远程管理服务器SG中)的加密密钥。当然,也可以使用其他对称或非对称加密算法对由监管模块MS发送的消息进行签名。这些消息还包括重放阻止数据,比如时间戳、计数或由仅对车辆V和远程管理服务器SG已知的算法生成的预定义数字。由监管模块MS发送的消息还包括异常代码,该异常代码的值和含义是,例如:
-0:监管模块MS未检测到异常
-1:由于通信模块MC指示缺少网络覆盖的时间持续大于第一预定时间阈值T1而导致的连接断开
-2:由于在通信模块MC指示缺少网络覆盖的时间持续大于第二预定时间阈值T2而导致的连接断开,该第二预定时间阈值大于第一预定时间阈值T1
-3:不明原因的连接断开。
第一预定时间阈值T1例如被设置为30分钟,并且第二预定时间阈值T2例如被设置为60分钟。
应该注意的是,在本发明的该实施例中,为简单起见,异常代码尤其是侧重于由于真实或虚假的网络覆盖中断而导致的连接断开。实际上,异常代码可能有更加细微的差别。例如,在变体中,不同的代码被应用于以下情况:
-监管模块MS已发送测试消息并接收到即时协议回复,但未接收到来自远程管理服务器SG的响应,
-监管模块MS已发送测试消息但未收到任何即时协议回复,而通信模块MC指示已与远程管理服务器SG建立连接,
-监管模块MS没有设法传送测试消息,并且通信模块MC指示不再有与远程管理服务器SG的连接建立,而蜂窝连接正在以数据传输模式工作,
-通信模块MC指示在数据传输模式下不再有可用的蜂窝连接,而网络覆盖可用,
-通信模块MC指示不再有网络覆盖。
在该变体中,对应于时间T1和T2的时间计数器被例如,更广泛地应用于通信模块MC指示不再有与远程服务器SG的连接建立的情况,以便分别激活模块M1和M2。
由远程管理服务器SG响应于其从监管模块MS接收到的消息而发送的消息被签名并且包括重放阻止数据,其方式类似于由监管模块MS发送的消息。另外,来自远程管理服务器SG的响应消息可能包括对先前由监管模块MS报告的存在缺少网络覆盖的情况进行确认或排除的信息、或触发车辆V上的补救动作的指令(比如在车辆V停止时立即进行的软件更新或安全重启指令)。
该方法的步骤E2是由监管模块MS检测连接异常。监管模块MS在以下情况下检测到这种异常:
-监管模块没有接收到对其发送的消息之一的响应,或者通信模块MC指示不能将来自监管模块MS的消息之一传送到远程管理服务器SG,但通信模块MC指示网络覆盖可用。该检测结果可能在几个重传测试之后或在被设置为预定义响应时间(例如被设置为15分钟)的时间计数器到期时达成;该检测结果对应于上面定义的异常代码3;
-通信模块MC指示网络覆盖不可用持续的时间大于预定义的时间阈值T1或T2;该检测结果基于对应的阈值而对应于上面定义的异常代码1或2。
步骤E3是由监管模块MS激活补救装置,使得即使执行环境EESM由于攻击而受损,也可以在车辆V与远程管理服务器SG之间重新建立可信通信。选择这些装置是为了最好地保护用户体验,尤其是在检测到的异常不对应于网络攻击而对应于真正的网络覆盖丢失的情况下。为此,根据车辆V的状态和网络攻击的实际风险,在用户和车辆V的连接可能性方面的影响逐渐增大。例如,与当通信模块MC指示网络覆盖可用时相比,当通信模块MC指示缺少网络覆盖时,监管模块MS做出更多的尝试来重新发送消息。同样,预定义的时间阈值T1或T2例如是基于地理定位数据来设置的。因此,如果车辆检测到进入空白区域,则这些阈值例如适应于在该区域中行驶的估计时间。基于检测到的异常代码,补救动作的影响也或大或小。在使用本发明的该示例中,假设车辆V在使用中并且报告的异常代码是3。在这种情况下,步骤E3包括激活模块M2,以触发将车辆V与远程管理服务器SG之间的通信切换为使用VCA卡的连接。换言之,模块M2向通信模块MC发送指令,以暂时切断车辆V与远程管理服务器SG之间的通信,并且通过使用车辆V的制造商的订阅来重新建立这两个实体之间的连接。
一旦在车辆V与远程管理服务器SG之间重新建立了通信,监管模块MS就在消息中将异常代码3发送到远程管理服务器SG。然后,远程管理服务器SG的监管模块SMM在对应的响应消息中或单独地发送允许通过车辆的安全功能SF实施补救动作的指令,该补救动作例如为软件更新或环境EESM的安全重启,这将在车辆停止、优选地同时发动机熄火时立即实施。在远程管理服务器SG没有响应的情况下,车辆V本身实施该补救动作。
应该注意的是,在车辆V与远程管理服务器SG之间重新建立通信之后,当监管模块报告的异常代码为1或2时,远程管理服务器SG可以检查车辆V是否在网络覆盖实际上很差或不存在的区域中。如果是这种情况,则远程管理服务器SG的监管模块SMM在与车辆V的通信重新建立时立即通知车辆V其在这样的区域中,从而使得可以避免在下次车辆V停止时执行环境EESM的无意义的安全重启。另一方面,当不是这种情况时,远程管理服务器SG的监管模块SMM在与车辆V的通信重新建立时立即将此通知车辆V,并且在车辆停止、优选地同时发动机熄火时,立即向车辆发送安全重启指令或更新执行环境EESM的指令。应该注意的是,优选地,通信模块MC和环境EESM的安全重启在车辆停止后延迟几十秒进行,以便使任务处理操作的结束不被中断。另外,当车辆停止时,停止发送和接收测试消息以保护车辆的电池。
另外,由于远程管理服务器SG管理全部保有的车辆,因此该远程管理服务器能够通过关联由这些保有的车辆报告的异常来检测网络攻击。尤其地,如果这些保有的车辆在包括可接受网络覆盖的地理区域内报告的异常的数量大于预定义的阈值,例如在短时段内超过1000个,则监管模块SMM检测到网络攻击并且利用安全重启在其车辆上编程软件更新。
参考图4,在监管模块MS中实施的并且可以最小化根据本发明的安全确保方法对用户体验的影响的逻辑的示例包括状态S0至S5。
在状态S0下,车辆V停止,同时发动机熄火且不点火,也就是说,不设置点火开关。在这种状态下,车辆V仅利用VCA卡与远程管理服务器SG进行通信,并且未建立互联网通信。当用户利用点火开关启动车辆V时,逻辑切换至状态S1。
在状态S1下,用户可以在车辆中输入其个人SIM卡的数据并且经由UCA卡通过执行环境EESM访问互联网。如果这些数据已经在先前使用车辆V时被输入到车辆V中,则通信模块MC在车辆启动时立即切换至UCA卡。然后,监管模块MS监管车辆V与远程管理服务器SG之间的连接。在这种状态S1下,当用户使车辆熄火时,逻辑返回至状态S0。
如果在状态S1下,监管模块MS接收到来自远程管理服务器SG的用于安全重启通信模块MC和环境EESM并可能地更新这些实体的指令,则逻辑切换至安全重启(并可能地更新)这些实体的状态S2。在该状态S2下进行安全重启之后,逻辑切换至安全通信状态S4,这将在稍后进行描述。
如果在状态S1下,监管模块MS检测到异常代码1或3,则监管模块MS激活模块M1,并且逻辑切换至状态S3,在该状态下,通信模块MC继续使用UCA卡,但禁止与远程管理服务器SG以外的任何互联网通信。
如果在这种状态S3下,监管模块MS检测到异常代码2或3,也就是说,通信模块MC指示已经持续一小时没有网络覆盖,或者通信模块MC已经持续十五分钟不再发送或者接收消息而没有指示网络覆盖丢失,则逻辑切换至安全通信状态S4。
如果在状态S3下,用户使车辆V熄火,而远程管理服务器SG尚不能排除触发切换至状态S3的异常代码1或3并且将其通知车辆V,则逻辑切换至安全重启通信模块MC的状态S5,从而强制通信模块仅使用VCA卡;在该重启之后,逻辑切换至安全通信状态S4。
如果在状态S3下,远程管理服务器SG排除了触发切换至状态S3的异常代码1或3,则逻辑切换至状态S1。
在安全通信状态S4下,通信模块MC被授权仅使用VCA卡与远程管理服务器SG通信,无论车辆V是启动还是熄火。如果在该状态S4下车辆V启动,并且用户使其车辆熄火而远程管理服务器SG尚不能排除导致切换至状态S4的异常代码1、2或3并将其通知车辆V,则逻辑循环回到状态S4。相反,如果在这种状态S4下,远程管理服务器SG排除了导致切换至状态S4的异常代码1、2或3并将其通知车辆V,则在车辆熄火的情况下,逻辑循环回到状态S0,而在车辆启动的情况下,逻辑循环回到状态S1。
明显地,该逻辑仅是本发明的示例性实施例。可以在根据本发明的车辆、系统或方法的其他变体实施例中实施其他逻辑。例如,在车辆仅实施模块M2和M3的变体中,状态S3和S4被合并。另外,在本发明的另一变体实施例中,远程管理服务器SG为第三方所有。在这种变体中,用于对监管模块MS与远程管理服务器SG之间交换的消息进行签名的私钥的交换是通过第一加密交换执行的,该第一加密交换例如使用RSA非对称加密算法。许多其他变体实施例当然是可能的。尤其地,在本发明的另一变体实施例中,监管模块MS通过监测对由远程管理服务器SG发送的已签名的唯一且预定义的消息的正确接收来监管通信模块MC与远程管理服务器SG之间的连接的正确操作,但监管模块本身并不向远程管理服务器SG发送测试消息。然而,这种变体仅涵盖对一个方向上的连接的监管。在另一变体中,监管模块向远程监管服务器SG发送测试消息,这些测试消息不包含异常代码,或仅在检测到异常时才包含异常代码。最后,在另一变体中,管理服务器SG在车辆V即将进入空白区域之前发送警告车辆V的消息,以便停用与阈值T1和T2相关联的时间计数器,直到车辆已经退出空白区域为止。
Claims (12)
1.一种车辆(V),该车辆包括通信模块(MC),该通信模块能够使用两张电信标识符卡,一张电信标识符卡(VCA)与所述车辆(V)的制造商和电信运营商之间的订阅有关,另一张电信标识符卡(UCA)与所述车辆(V)的用户和电信运营商之间的订阅有关,所述车辆(V)包括托管该车辆(V)的安全功能的可信执行环境(TEE)、以及托管所述通信模块(MC)的至少一部分的多媒体系统执行环境(EESM),所述车辆(V)的特征在于,所述可信执行环境(TEE)包括监管模块(MS),该监管模块监测所述车辆(V)与所述车辆(V)的远程管理服务器(SG)之间的连接。
2.如权利要求1所述的车辆(V),其特征在于,所述监管模块(MS)能够通过分别向所述远程管理服务器(SG)发送和从所述远程管理服务器(SG)接收已签名的唯一且预定义的消息来定期测试所述连接。
3.如权利要求1所述的车辆(V),其特征在于,所述监管模块(MS)能够通过从所述远程管理服务器(SG)接收已签名的唯一且预定义的消息来定期测试所述连接。
4.如权利要求2或3所述的车辆(V),其特征在于,所述监管模块(MS)能够在以下情况下检测到连接异常:
-所述通信模块(MC)指示该车辆的蜂窝连接操作,同时所述通信模块(MC)不确认将所述消息之一发送至所述远程管理服务器(SG)或者该通信模块不传送由所述远程管理服务器(SG)发送的所述消息之一,
-或者所述通信模块(MC)指示该车辆的蜂窝连接不可用持续的时间大于第一预定义时间间隔。
5.如权利要求2或4所述的车辆(V),其特征在于,由所述监管模块(MS)发送的消息包括表示检测到所述车辆(V)与所述远程管理服务器(SG)之间的连接异常的信息、或表示并非这样的检测结果的信息。
6.如前述权利要求中任一项所述的车辆(V),其特征在于,该车辆包括选自包括以下各项的列表的发送装置中的至少一个:
-用于向该通信模块(MC)发送指令以触发禁用该车辆(V)的不安全应用程序的外部通信的第一装置(M1),
-用于向该通信模块(MC)发送指令以触发由该通信模块(MC)选择与所述车辆(V)的制造商的订阅有关的电信标识符卡(VCA)作为唯一的连接装置、以及由该通信模块(MC)禁用与所述远程管理服务器(SG)之外的任何通信的第二装置(M2),
-用于向该通信模块(MC)发送指令以触发重启所述通信模块(MC)、以及发送指令以引起所述多媒体系统执行环境(EESM)的重启并同时对所述重启强制实行安全配置的第三装置(M3),
-以及用于发送指令以触发重启该车辆(V)的其他执行环境或其他软件的至少一部分并同时对这些部分强制实行安全配置的第四装置(M4),
并且该车辆进一步包括激活装置(MA),该激活装置被配置为在检测到所述车辆(V)与所述远程管理服务器(SG)之间的连接异常时,激活所述所选择的发送装置(M1,M2,M3,M4)中的全部或部分。
7.如权利要求6所述的车辆(V),其中,所述车辆(V)至少包括所述第一发送装置(M1),其特征在于,所述激活装置(MA)被配置为当所述通信模块(MC)指示该车辆(V)的蜂窝连接不可用持续的时间大于所述第一预定义的时间间隔时,仅激活所述第一发送装置(M1)。
8.如权利要求6或7所述的车辆(V),其中,所述车辆(V)至少包括所述第二发送装置(M2),其特征在于,所述激活装置(MA)被配置为当所述通信模块(MC)指示该车辆(V)的蜂窝连接不可用持续的时间大于第二预定义的时间间隔时,激活所述第二发送装置(M2),而将从所述第三发送装置(M3)或所述第四发送装置(M4)之中选择的发送装置排除在外,该第二预定义时间间隔大于该第一预定义时间间隔。
9.如权利要求6至8中任一项所述的车辆(V),其中,所述车辆(V)至少包括所述第三发送装置(M3)或所述第四发送装置(M4),其特征在于,所述激活装置(MA)被配置为仅当所述车辆(V)停止时,激活所述第三发送装置(M3)或所述第四发送装置(M4)。
10.一种系统,该系统包括如权利要求1至9中任一项所述的车辆(V)、以及所述远程管理服务器(SG),其特征在于,所述远程管理服务器(SG)包括:
-用于接收由所述监管模块(MS)发送的消息并且包括表示检测到所述车辆(V)与所述远程管理服务器(SG)之间的连接异常的信息的接收装置(SMM),
-用于通过所述车辆(V)的位置与无线电覆盖数据之间的关联来检测所述异常检测结果是否是由于网络攻击而导致的检测装置(SMM),
-用于响应于来自所述监管模块(MS)并且报告所述异常检测结果的所述消息而发送指示所述异常不是由于对所述车辆(V)的网络攻击而导致的消息的发送装置(SMM)。
11.如前一项权利要求所述的系统,其特征在于,所述远程管理服务器(SG)进一步包括:
-用于在多个车辆报告的异常多于预定义阈值时立即检测到网络攻击的检测装置(SMM),
-用于向所述车辆发送消息以激活用于安全重启所述通信模块(MC)和所述多媒体执行环境(EESM)的程序和/或用于在所述检测装置(SMM)检测到网络攻击时立即更新所述多媒体执行环境(EESM)的程序的装置。
12.一种用于确保如权利要求1至6中任一项所述的车辆(V)与所述车辆的所述远程管理服务器(SG)之间的连接安全的方法,该方法包括以下步骤:
-分别向所述远程管理服务器(SG)发送和/或从所述远程管理服务器(SG)接收(E1)已签名的唯一且预定义的消息,
-检测(E2)所述连接的异常,
-向所述通信模块(MC)发送(E3)指令,从而能够将所述车辆(V)与所述远程管理服务器(SG)之间的通信切换至使用与所述车辆的制造商(V)的订阅有关的电信标识符卡(VCA)的连接。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2005876A FR3111204B1 (fr) | 2020-06-04 | 2020-06-04 | Sécurisation de la connexion entre un véhicule et un serveur distant de gestion dudit véhicule |
| FRFR2005876 | 2020-06-04 | ||
| PCT/EP2021/064155 WO2021244932A1 (fr) | 2020-06-04 | 2021-05-27 | Sécurisation de la connexion entre un véhicule et un serveur distant de gestion dudit véhicule |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115769620A true CN115769620A (zh) | 2023-03-07 |
Family
ID=72266534
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180043584.9A Pending CN115769620A (zh) | 2020-06-04 | 2021-05-27 | 确保车辆与用于管理所述车辆的远程管理服务器之间的连接安全 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20230262070A1 (zh) |
| EP (1) | EP4162719A1 (zh) |
| JP (1) | JP2023528905A (zh) |
| KR (1) | KR20230019878A (zh) |
| CN (1) | CN115769620A (zh) |
| FR (1) | FR3111204B1 (zh) |
| WO (1) | WO2021244932A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20240032549A (ko) * | 2022-09-02 | 2024-03-12 | 삼성전자주식회사 | 차량용 전자 장치 및 그 동작 방법 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101053905B1 (ko) * | 2008-06-26 | 2011-08-04 | 삼성전자주식회사 | 이동통신 시스템에서 네트워크 서비스를 제공하기 위한장치 및 방법 |
| US9877357B2 (en) * | 2014-08-18 | 2018-01-23 | Trimble Navigation Limited | Changing wireless carriers during a mobile gateway session |
| DE102016007183A1 (de) * | 2016-06-14 | 2017-12-14 | Audi Ag | Kraftfahrzeug-Steuervorrichtung und Verfahren zum Übenwachen einer mobilen Internetverbindung sowie Kraftfahrzeug |
| DE102017128063A1 (de) * | 2017-11-28 | 2019-05-29 | Peiker Acustic Gmbh & Co. Kg | Verfahren zur Erfassung von Leistungskennzahlen von Kommunikationsnetzwerken und Telematikeinheit |
-
2020
- 2020-06-04 FR FR2005876A patent/FR3111204B1/fr active Active
-
2021
- 2021-05-27 KR KR1020227046222A patent/KR20230019878A/ko active Search and Examination
- 2021-05-27 US US18/000,670 patent/US20230262070A1/en active Pending
- 2021-05-27 EP EP21727897.7A patent/EP4162719A1/fr active Pending
- 2021-05-27 JP JP2022574727A patent/JP2023528905A/ja active Pending
- 2021-05-27 WO PCT/EP2021/064155 patent/WO2021244932A1/fr unknown
- 2021-05-27 CN CN202180043584.9A patent/CN115769620A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4162719A1 (fr) | 2023-04-12 |
| WO2021244932A1 (fr) | 2021-12-09 |
| US20230262070A1 (en) | 2023-08-17 |
| FR3111204A1 (fr) | 2021-12-10 |
| FR3111204B1 (fr) | 2023-12-22 |
| JP2023528905A (ja) | 2023-07-06 |
| KR20230019878A (ko) | 2023-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111132138B (zh) | 一种移动应用程序透明通信保护方法与装置 | |
| EP2836052B1 (en) | Method and device for data secrecy based on embedded universal integrated circuit card | |
| KR101550482B1 (ko) | 비정상 검출 방법 및 디바이스 | |
| KR100623340B1 (ko) | 디지털 사용자 단말기에서 인증 및 암호 사용자 정보의 관리 방법 및 장치 | |
| US11012859B2 (en) | Secure boot and software upgrade of a device | |
| CA2526759A1 (en) | Event monitoring and management | |
| WO2017015026A1 (en) | Systems and methods for monitoring an operating system of a mobile wireless communication device for unauthorized modifications | |
| JP2007519308A (ja) | アプリケーションの認証方法 | |
| JP2003140759A (ja) | 高信頼性コンピューティングプラットフォーム | |
| CN105141756A (zh) | 一种处理异常的方法和装置 | |
| CN115769620A (zh) | 确保车辆与用于管理所述车辆的远程管理服务器之间的连接安全 | |
| CN104185161A (zh) | 嵌入式通用集成电路卡、用户签约信息的切换方法和系统 | |
| CN101427545A (zh) | 防篡改地建立密钥的方法和系统 | |
| US20120190334A1 (en) | Main board, and method of implementing network/card locking and mobile terminal in which network/card locking is implemented | |
| WO2016207316A1 (en) | A method of replacing at least one authentication parameter for authenticating a security element and corresponding security element | |
| KR20230038571A (ko) | 연관 제어 방법 및 관련 장치 | |
| KR100250976B1 (ko) | 이동통신서비스 단말기 복제의 검출 및 관리방법 | |
| CN102164042A (zh) | 一种连通性故障告警方法及装置 | |
| US20080195860A1 (en) | Method and apparatus for detecting a compromised node in a network | |
| CN110933058A (zh) | 物联网系统及其安全控制方法 | |
| US11711402B2 (en) | Methods and apparatus for lawful interception of communications | |
| KR20140124730A (ko) | 통신 단말을 위한 보안 요소 | |
| US11190546B2 (en) | Secure failsafe apparatus | |
| US20220083698A1 (en) | Secure failsafe apparatus | |
| CN111988333B (zh) | 一种代理软件工作异常检测方法、装置及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |