CN115842694A - 用于识别对总线系统的操纵的方法 - Google Patents

用于识别对总线系统的操纵的方法 Download PDF

Info

Publication number
CN115842694A
CN115842694A CN202211135362.2A CN202211135362A CN115842694A CN 115842694 A CN115842694 A CN 115842694A CN 202211135362 A CN202211135362 A CN 202211135362A CN 115842694 A CN115842694 A CN 115842694A
Authority
CN
China
Prior art keywords
message
subscriber
bus
reference pattern
pattern
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211135362.2A
Other languages
English (en)
Inventor
E·贝克尔
A·奥厄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN115842694A publication Critical patent/CN115842694A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/001Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using chaotic signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种用于识别对具有多个总线订户(6a、6b、6c、6d)的总线系统(2、102)的操纵的方法,所述方法包括:检测(130)在所述总线系统(2、102)上发送的消息的电压信号(22c、22d);根据所检测到的电压信号(22c、22d)来形成(140)信号模式(35c、35d);确定(150)所述消息的消息标识(14c、14d);检查(160)根据总线配置在所述信号模式(35c、35d)与所述消息标识(14c、14d)之间是否存在对应关系;而且当不存在对应关系时,发现(170)可能的操纵。

Description

用于识别对总线系统的操纵的方法
技术领域
本发明涉及一种用于识别对总线系统的操纵的方法以及一种总线系统和一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。
背景技术
在机器和机动车中使用可编程控制设备,以便控制这些机器和机动车或者还有这些机器和机动车的组件。例如,机动车可包含用于发动机控制、用于制动系统等等的控制设备。这些控制设备包括微控制器或处理器,该微控制器或处理器具有一个或者通常具有多个处理器内核,所述处理器内核执行存储在存储器中的程序,以便实现控制设备的功能。
这些控制设备可以经由总线来彼此连接并且与其它设备、比如传感器连接。例如流行CAN总线(Controller Area Network(控制器局域网)),即一种基于差分电压的总线,该总线经由两条总线线路来传输数据或消息;总线线路和总线订户共同构成总线系统。为了防止访问物理层、尤其是总线线路的攻击方操纵所传输的数据或者混进自己的数据,可以对所要传输的数据进行加密。
发明内容
按照本发明,提出了具有专利独立权利要求的特征的一种用于识别对总线系统的操纵的方法以及一种总线系统和一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。有利的设计方案是从属权利要求以及随后的描述的主题。
本发明使用如下措施:检查在所发送的消息的信号模式与该消息的消息标识之间是否存在对应关系,该对应关系通过总线配置来确定。这能够识别与总线连接的订户或攻击方(能依据信号模式来标识)是否试图在未经授权的情况下发送消息。只有当存在对应关系时才认为是有效的消息。尤其是解决了如下问题:以对已知信号模式的识别为基础的攻击识别系统虽然可以识别物理攻击、即其中在总线上连接附加设备的导致未知信号模式的攻击,但是无法识别总线订户是否已经被操纵或被黑客入侵,即无法识别总线订户的软件是否已被操纵,在这种情况下,该总线订户会继续产生具有已知信号模式的电压信号。通过检查消息是否具有就总线系统的配置而言有效的、即对应的消息标识,至少可以识别:被操纵的总线订户正在发送该被操纵的总线订户没有被授权发送的消息,比如必须由其他总线订户、例如具有比该被操纵的总线订户更高的安全等级的总线订户或者其它控制设备、传感器等等来发送的消息。
按照本发明的方法尤其也可以应用于在发送消息时不将发送方的标识包括在消息内的总线系统。其中优选地应用按照本发明的方法的示例是按照如下CAN规范的CAN总线系统(CAN:控制器局域网(Controller Area Network)):罗伯特博世有限公司,CAN规范,版本2.0,1991年9月。
具体来说,用于识别对具有多个总线成员的总线系统的操纵的方法包括:检测在该总线系统上所发送的消息的电压信号:根据所检测到的电压信号来形成信号模式(该信号模式对于每个总线订户来说都是表征性的);确定该消息的消息标识;检查根据总线配置在该信号模式与消息标识之间是否存在对应关系;并且当不存在对应关系时发现可能的操纵。
每个消息都与消息标识一起被发送,依据该消息标识,其他总线订户可以确定相对应的消息是否对于他们来说相关,即例如相对应的消息是否包含指向相应的总线订户的数据和/或控制指令。对于总线订户来说无关的消息可以被该总线订户丢弃或忽略。
该总线系统具有所谓的总线配置,按照该总线配置,给总线订户分派或分配消息标识(订户消息标识),这些总线订户将消息与这些消息标识一起在总线上发送。该分派或分配例如在建立该总线系统时发生,即在该总线系统被配置期间发生,或者也在稍后的重新配置时发生。
如果在消息标识与信号模式之间不存在对应关系,则发现“可能的”操纵。术语“可能”是指:不一定必然存在操纵,原因在于也可能出现干扰,这些干扰影响电压信号的变化过程并且导致无法找到对应关系。这例如可以是来自外部的电磁干扰或者也可以是进行发送的总线订户的电源的干扰。
消息标识通常作为字符串存在,例如作为数值存在,尤其是作为二进制值存在。在CAN总线中,该消息标识例如包括11位(标准帧)或者29位(扩展帧)。在进一步的描述中,也针对术语“消息标识”使用缩写“消息ID”并且针对术语“标识”使用缩写“ID”。
应当注意的是:在检查是否存在对应关系时,也隐含地检查:信号模式本身是否是有效的信号模式、即可以被分配给总线订户的信号模式;或者检查消息ID本身是否是在该总线系统中(就总线配置而言)容许的消息的ID。这是因为:如果这两个条件中的任一个不被满足,则当然也不可能存在或者无法找到对应关系。
该对应关系例如可以通过分别具有一个信号模式(优选参考模式)和一个消息ID的对来呈现。在测试阶段、例如在建立或配置该总线系统时,或者也在正常运行期间,如果确保该总线系统不被操纵,则可以发送消息并且据此确定信号模式和对应的消息ID,以便确定这些对。这些对可以被存储,使得这些对可以稍后在检查是否存在对应关系时被使用,其中在该检查时搜遍所存储的对,直至找到对应于信号模式和根据当前的、所检测到的电压信号所确定的消息ID的对为止。优选地,“对应于”这里能被理解为:在消息ID方面存在匹配或相同;并且在信号模式方面存在在指定容差内的匹配(这些容差例如可以在测试阶段期间被确定,即被指定为使得在正常运行时的波动不会导致无效的信号模式)。
优选地,该总线系统是CAN总线系统或者该方法在CAN总线系统中应用。
优选地,该方法包括:将信号模式与至少一个参考模式进行比较,以便标识对应于该信号模式的订户参考模式(即从该至少一个参考模式中标识对应于所发送的消息的信号模式的参考模式、即发送了该消息的订户的参考模式);其中如果在该比较时可以标识出订户参考模式,则基于该订户参考模式来检查是否存在该对应关系;而且其中优选地,如果在该比较时无法标识出订户参考模式,则发现可能的操纵。
“参考模式”或“订户参考模式”是在测试阶段或配置阶段期间已被确定是对于相应的订户来说表征性的参考信号模式,其中针对所发送的(示例)消息检测(示例)电压信号,据此来确定示例信号模式(利用在稍后使用时也被用来确定信号模式的同一方法)并且从这些示例信号模式中选择或推导参考模式。相对应地,适宜的是使用参考模式,原因在于总线订户可以依据参考模式来标识,这些参考模式在某种程度上说表征这些总线订户。这里,应该再次指出:如果信号模式与(订户)参考模式在指定容差内匹配(这一点尤其取决于所使用的用于确定信号模式的方法,或可以被视为相应的方法的一部分),则也可能存在这些信号模式与这些(订户)参考模式的“对应”,以便在比较时标识后者。
优选地,对是否存在该对应关系的检查包括:将消息ID与被分配给订户参考模式的一个或多个参考模式消息ID进行比较;并且当该消息ID与被分配给该订户参考模式的参考模式消息ID中的任何一个都不匹配时,确定不存在该对应关系。相比于搜遍所存储的对的列表,该实施方案能够在检查该对应关系时实现更高的速度。
进一步优选地,基于订户参考模式来确定订户ID,并且将被分配给该订户ID的一个或多个消息ID作为参考消息ID分配给该订户参考模式。当一个订户分配有多个订户参考模式时,这引起了简化,尤其引起了用于在检查该对应关系时所需的数据的存储空间的减少。
优选地,对是否存在该对应关系的检查包括:将订户参考模式与被分配给消息ID的一个或多个消息参考模式进行比较;并且当该订户参考模式与被分配给该消息ID的消息参考模式中的任何一个都不匹配时,确定不存在该对应关系。一方面,该实施方案能够在检查该对应关系时实现更高的速度。附加地,该实施方案能够实现:总线订户可以针对特定的、尤其是对于该总线订户来说相关的消息执行按照本发明的方法,即基于消息ID对待检查的消息的过滤。
进一步优选地,基于消息ID来确定订户ID,并且将被分配给该订户ID的一个或多个参考模式(所述一个或多个参考模式包括在该至少一个参考模式中)作为消息参考模式分配给该消息ID。当一个订户分配有多个消息ID时,这引起了简化,尤其引起了用于在检查该对应关系时所需的数据的存储空间的减少。
优选地,该方法包括:将信号模式与至少一个参考模式进行比较,以便标识对应于该信号模式的订户参考模式;其中如果在该比较时可以标识出订户参考模式,则基于该消息ID来确定第一订户ID并且基于该订户参考模式来确定第二订户ID,并且当第一订户ID不同于第二订户ID时,发现可能的操纵;而且其中优选地,如果在该比较时无法标识出订户参考模式,则发现可能的操纵。当一个订户分配有多个消息ID时,和/或当一个订户分配有多个订户参考模式时,这引起了简化,尤其引起了用于在检查该对应关系时所需的数据的存储空间的减少。
优选地,该方法包括:确定该至少一个参考模式,其中总线订户中的一个发送至少一个示例消息,该至少一个示例消息的示例电压信号被检测,并且根据所检测到的至少一个示例电压信号来形成至少一个示例信号模式;其中基于该至少一个示例信号模式来确定该至少一个参考模式;其中优选地给该至少一个参考模式分配对应于该至少一个示例消息的一个或多个消息ID;和/或其中优选地给该至少一个示例消息的消息ID分配一个或多个参考模式;和/或其中优选地给该至少一个参考模式分配发送该至少一个示例消息的总线订户的订户ID。这里,术语“示例消息”用于表示被用来确定参考模式的消息。术语“示例电压信号”和“示例信号模式”相似地被使用。示例消息可以是在总线系统中正常通信时的消息或者是仅仅为了确定参考模式而被发送的消息(测试消息)。通过该做法,可以获得为了检查该对应关系所需的数据。所获得的数据(参考模式、分配……)可以被存储,以稍后在检查该对应关系时使用。
优选地,该方法包括:对总线系统进行配置,以便确定总线配置,其中给这些总线订户中的至少一个分配一个或多个消息ID;其中被分配给不同总线订户的消息ID是不同的;其中每个总线订户都被设立为将消息与被分配给该总线订户的消息ID一起进行发送。
优选地,在形成信号模式时,将电压信号与比较电压进行比较。这可以简单地被实现,例如借助于比较器或者截止于适合的接口模块。
按照本发明的计算单元、例如机动车的控制设备尤其是以程序技术方式被设立为执行按照本发明的方法。优选地,该计算单元被设立为:针对具有表明消息对于该计算单元来说相关的消息ID的那些消息执行对是否存在对应关系的检查。该计算单元能与该总线系统连接,并且例如是总线订户之一。
按照本发明的总线系统包括多个总线订户,其中这些总线订户中的至少一个总线订户是按照本发明的计算单元。优选地,该总线系统是CAN总线系统。
尤其是当进行实施的控制设备还被用于其它任务并且因而总归存在时,按照本发明的方法的以具有用于执行所有方法步骤的程序代码的计算机程序或计算机程序产品的形式的实现方案也是有利的,因为这引起了特别低的成本。最后,提供了一种机器可读存储介质,在其上存储有如上所述的计算机程序。尤其是,适合于提供该计算机程序的存储介质或数据载体是磁存储器、光存储器和电存储器,诸如硬盘、闪速存储器、EEPROM、DVD以及其它等等。通过计算机网络(因特网、内联网等等)来下载程序也是可行的。在此,这种下载可以以有线方式或以线缆方式或者以无线方式(例如经由WLAN网络,3G、4G、5G或6G连接,等等)实现。
本发明的其它优点和设计方案从说明书以及随附的附图中得到。
本发明依据实施例在附图中示意性示出并且在下文参考附图予以描述。
附图说明
图1示出了具有攻击方的总线系统的示例性结构。
图2A和2B示出了用于传输具有值1的位的理想化的电压变化过程和相对应的实际的电压变化过程。
图3A和3B示出了总线系统以及两个总线订户的电压信号和从中获得的信号模式。
图4示出了按照本发明的优选的实施方式的流程图。
具体实施方式
图1示出了总线系统2、尤其是基于差分电压信号的总线系统的示例性结构,比如CAN总线系统,以及攻击方8。一方面,总线系统2包括线路4a、4b,经由这些线路来传输电压信号,并且这些线路经由代表该总线系统的中央阻抗的终端电阻5a、5b来彼此连接,而且另一方面,该总线系统包括多个总线订户6、7,这些总线订户与这两条总线线路4a、4b连接,以便经由总线来彼此进行通信。为此,这些总线订户使用在这两条总线线路之间的差分电压,这些差分电压借助于收发器来产生和读取。总线订户6、7的示例是机动车或机器的传输控制数据的控制设备,或者是传输传感器数据、比如将传感器数据传输到控制设备的传感器。在这些总线订户中的一个总线订户中示范性地绘制收发器或接口模块10,借助于该收发器或该接口模块,该总线订户可以在总线线路上产生电压信号和/或从这些总线线路读取这些电压信号;当然,其他总线订户也可包括这种收发器或接口模块。一方面,这种收发器将所接收到的数据转换成适合于通过微控制器来处理的信号,并且将这些信号传送给该微控制器或者在那里的接口模块、例如CAN模块。另一方面,该收发器从接口模块获得所要发送的数据或相对应的信号,并且据此在总线线路4a、4b上产生电压,这些电压按照总线规范来对应于这些数据。替代地,可以使用诸如在DE 10 2013 210 182 A1中所描述的通用模块,例如定时器模块,来代替特殊的接口模块。
在本申请中,与不允许访问总线的攻击方相反,术语“总线订户”是指允许访问该总线的正常总线订户。
可能的外部攻击方8,比如同样具有收发器或者至少具有发射器或接收器的设备、例如所谓的OBD连接器,可能试图借助于与线路4a、4b的连接来建立对总线系统的物理访问。因此,攻击方8有能力窃听经由总线传输的消息或者读取相对应的电压信号和/或自己发送消息或者产生相对应的电压信号。
除了外部攻击方8之外,也可能发生如下情况:总线订户7被攻击方操纵或黑客入侵了。即,攻击方已经成功操纵由被操纵的总线订户7所执行的(并且通常被该被操纵的总线订户所存储的)计算机程序,例如其方式是在软件更新时安装被操纵的计算机程序。这种被操纵的总线订户7可以被视为内部攻击方。
图2A和2B示出了:理想化的差分电压变化过程20,比如对应于CAN总线规范的差分电压变化过程,该差分电压变化过程用于传输具有特定逻辑值的位;和相对应的实际的差分电压变化过程22。在此,分别相对于时间t来绘制差分电压VD。 在由发送方产生的理想的差分电压变化过程20(图2A)中,首先存在相对高的差分电压(在CAN总线中至少是2 V,即所谓的“显性状态”),该相对高的差分电压接着经由下降沿转变成低的差分电压(在CAN总线中时0 V,即所谓的“隐性状态”),以便然后经由上升沿重新转变成高的差分电压。在CAN总线中,当在下降沿与上升沿之间的时间跨度为按照CAN总线系统规范所预先确定的时间跨度tBit时,这种电平序列用于传输具有逻辑值1的位。
然而,物理层,即收发器和总线线路4a、4b连同总线订户6,具有电特性、尤其是电感和电容,这些电特性干扰或者影响该理想化的差分电压变化过程。这会导致比如这些沿的陡度的变化、反射、在电压变化过程中的振荡等等的干扰。这些干扰取决于物理层的具体实现,即取决于实际总线系统的设计(例如取决于线路的长度、取决于订户数目以及这些订户与这些线路连接的地方、取决于这些订户的收发器的电特性,等等)。这种实际的差分电压变化过程22示例性地在图2B中示出。这里,在下降沿之后,在差分电压中出现振荡23,这些振荡也称为“振铃(Ringing)”。
由于这些干扰取决于总线系统的设计,所以可以识别可能的操纵尝试或者对物理层的可能的未经允许的访问,原因在于当有另一订户或者如图1中那样外部攻击方8与总线系统连接时,这些干扰(振铃)被改变。为此,从电压信号中可以获得表征电压变化过程的信号模式,并且可以将该信号模式与相对应的参考模式进行比较。通过如下方式来获得该信号模式:将该电压信号与阈电压进行比较,以便识别在该电压变化过程中的电压低于或高于该阈电压和/或该电压超过或低于该阈电压的时间点。该电压信号与该阈电压的比较例如可以通过接口模块、尤其是通用模块、如定时器模块(如上所述)或者通过比较器来实现。相对应的方法在德国专利申请No.102020213893.1和No.102020203663.2中描述。
一种可能性是在特定的、尤其是均匀间隔开的采样时间点对电压信号进行采样,以便获得位模式(作为信号模式),在该位模式中,每个采样时间点都对应于一个位或值0或1,该位或值表明电压在相应的采样时间点是高于该阈电压还是低于该阈电压。这样获得的位模式可以与相对应的参考位模式进行比较。另一种可能性在于:确定该电压超过或低于该阈电压的时间点,并且要么使用这些时间点本身作为信号模式(比如以时间点列表为形式,该时间点列表可被分配给比如对应于所发送的位的特定电压信号序列)要么使用基于这些时间点所得出的数值作为信号模式(比如这些时间点的绝对和/或相对时间间隔或者类似确定的数值)。
参考模式以与信号模式相同的方式来获得,其中这些参考模式在确保总线系统不被操纵的时间点被取得。在比较信号模式是否对应于参考模式时,可以检查是否在指定容差内匹配,这些容差考虑到电压信号及对其的检测的一定的变化。例如,可以允许将模式移动正负一位,或者将容差指定为绝对或相对(以百分比)时间容差。
不同总线订户的电压信号的干扰或振荡(振铃)是不同的。这一点的原因在于总线订户在总线系统中的位置不同并且这些总线订户的电磁特性不同。即,电压信号的干扰以及借此还有信号模式对于每个总线订户来说都是表征性的。
图3A和3B图解说明了在总线系统102中的不同总线订户6c、6d的电压信号22c、22d(相对于时间t被绘制)和从中获得的信号模式35c、35d。总线系统102如结合图1所阐述的那样被构造。总线系统102示例性地包括四个总线订户6a、6b、6c、6d,这四个总线订户分别与总线线路4a、4b连接,其中设置终端电阻5a、5b。根据总线配置,每个总线订户都被设立为将消息与特定消息ID一起进行发送。对于总线订户6c来说,这些消息ID 14c例如通过集合{ID0x2, ID 0x10, ID 0x15, …}来给出,并且对于其他总线订户6d来说,这些消息ID 14d例如通过集合{ID 0x7, ID 0x20, ID 0x35, …}来给出,如在这些图中所绘制的那样。
此外,例如被总线订户6a接收的电压信号22c、22d(如已经在图2中那样在CAN总线中的所发送的逻辑值为'1'的位)的变化过程被示出(差分电压VD)。相应的信号路径12c、12d在该图中同样被勾画出。尤其是进行发送的总线订户6c、6d的这些不同的信号路径12c、12d以及可能不同的其他电磁特性导致在被总线订户6a接收的电压信号中的不同干扰23c、23d。
根据一个优选的做法,根据电压信号22c、22d通过与阈电压VS的比较来形成信号模式(位模式)35c、35d,其中当在相对应的采样时间点电压信号的电压高于阈电压VS时,位具有逻辑值'0',并且当在相对应的采样时间点电压信号的电压低于阈电压VS时,位具有逻辑值'1'。除了阈电压VS之外,这里还绘制评估电压阈VF,根据总线规范(这里是CAN总线规范),该评估电压阈用于识别在电压信号中的所发送的位的上升或下降沿。此外,还绘制信号24c、24d,这些信号表明电压信号22c、22d是高于还是低于阈电压VS
能清楚地看出:分别关于在所发送的位的下降和上升沿之间的时间段tBit,其中一个总线订户6c的信号模式35c(即'11001011...1')不同于另一个总线订户6d的信号模式35d(即'001011...1')。相对应的信号模式对于每个总线订户来说都是不同的并且因而适合于表征或标识该总线订户。所示出的信号模式35c、35d应该是在总线系统的未被操纵的状态下的信号模式,即是表征相应的总线订户6c、6d的参考模式35c、35d。
图4示出了按照本发明的一个优选的实施方式的流程图。在可选的步骤110中,对总线系统进行配置,在该配置的框架内,给每个总线订户分派一个或多个消息ID,即所谓的订户消息ID。该分派进行为使得这些消息ID中的每个消息ID都被分派给仅仅一个总线订户。即,不同总线订户的订户消息ID的集合彼此不相交。步骤110比如可以在构建或建立总线系统期间和/或在总线订户的编程期间进行,例如当首次安装软件或者更新该软件时。这里,还应指出:消息ID向特定总线订户的明确的分派可以涉及所有在总线系统中使用的消息ID的子集,即涉及对其来说能够实现明确的分派的那些消息ID,或者其中的一部分。例如,该分派可以涉及特定消息类型的消息。由于消息类型同样被显示在消息中,所以这可以被视为消息ID的一部分。例如,按照CAN总线规范,(可用来请求总线订户发送数据帧)的REMOTE FRAME(远程帧)具有与DATA FRAME相同的所谓的IDENTIFIER(标识符),但是两者的区别在于所谓的RTR位。接着,在该方法中,分派对其来说该RTR位表明涉及DATA FRAME的那些消息ID(或者其中的一部分),或者换言之,IDENTIFIER和RTR位一起被视为消息ID,其中该方法被应用于对其来说该RTR位表明是DATA FRAME的所有这些复合消息ID的子集(或者其中的一部分)。总线订户也可能会只基于专门针对该总线订户或者对于该总线订户来说相关(对于该总线订户来说能在消息ID上看出来)的消息来实现该方法。
在步骤120中,针对总线订户中的每个总线订户确定一个或多个参考模式。为此,这些总线订户中的每个总线订户(在总线系统不被操纵的情况下)被促使发送消息,依据这些消息的电压信号,例如像结合图2、3A、3B所描述的那样,形成信号模式,从这些信号模式得出或确定参考模式,这些参考模式被存储(当然,这里可以进行对信号模式的多次发送和形成,以便确保这些参考模式被确定为使得所有信号模式都作为容许被包括在内)。这例如可以在构建或建立总线系统期间进行半年过去可以被视为总线系统的配置的一部分。在此,为了形成参考模式对电压信号的检查优选地通过该总线订户或者这些总线订户来进行,该总线订户或者这些总线订户稍后也实现用于识别对总线系统的操纵的方法,即尤其是执行相对应的计算机程序。这一点是适宜的,原因在于(同一发送方的)电压信号的所检测到的变化过程可以取决于检测这些电压信号的总线订户,比如基于进行检测的总线订户在总线系统中的位置。可选地,总线系统嵌入其中的机器也可以在步骤120期间运行,如果该机器例如产生电磁干扰的话。
步骤120和110涉及总线系统的建立,即通常在按规定使用该总线系统之前。当有订户被添加到该总线系统或者被移除时,步骤120和/或步骤110应该被再次执行。接下来的步骤在该总线系统正常运行或使用期间、即在设备、例如机动车或该总线系统被嵌入其中以进行数据通信的其它机器运行期间进行。
在步骤130中,检测在总线上被发送的消息的电压信号,例如通过总线订户的一个或多个接口模块或者通用模块。
基于该电压信号,在步骤140中确定该消息的消息ID并且在步骤150中确定表征总线订户的信号模式,如已经阐述的那样。
在步骤160中,检查消息ID和信号模式是否彼此对应。这里,不同做法都是可设想的。例如,在配置总线系统时,可以形成和存储分别由消息ID和信号模式、即在步骤120中所确定的参考模式构成的对,其中该参考模式属于被设立为将消息与在相应的对中所包括的消息ID一起进行发送的那个总线订户。接着,这些所存储的对可以被搜遍,并且当找到适合的其参考模式对应于信号模式并且其包括已被确定的消息ID的对时,发现存在对应关系。否则,不存在对应关系。
另一种可能性在于:为每个消息ID分配和存储对应于将消息与相应的消息ID一起发送的总线订户的那个参考模式。接着,在检查对应关系时,将信号模式与被分配给该消息的消息ID的参考模式进行比较,并且如果这些参考模式之一对应于该信号模式,则发现存在对应关系,或者如果情况不是如此,则发现不存在对应关系。按照另一种可能性,针对每个参考模式都可以确定和存储具有该参考模式的消息的消息ID。由于这些参考模式特定于总线订户,所以可以针对每个总线订户确定这些参考模式并且给这些参考模式分配消息ID。在步骤160中,在该可能性中,将信号模式与这些参考模式进行比较,以便标识或找到对应于该信号模式的参考模式,并且接着将所检测到的消息的消息ID与被分配给所找到的参考模式的消息ID进行比较。如果未找到匹配,则不存在对应关系。当然,如果无法找到对应于该信号模式的参考模式,则也不存在对应关系。按照另一种可能性,这些总线订户中的每个总线订户都具有总线订户ID。接着,可以给每个消息ID分配总线订户ID并且给每个参考模式分配总线订户ID。接着,在检查是否存在对应关系时,根据消息ID来确定相关的总线订户ID,称为消息总线订户ID。同样,标识对应于该信号模式的参考模式,并且根据该参考模式来确定相关的总线订户ID,称为参考模式总线订户ID。如果消息总线订户ID不同于参考模式总线订户ID,则不存在对应关系,否则存在对应关系。显然,同样如果无法找到被分配给消息ID的总线订户ID,和/或如果无法找到被分配给消息ID的参考模式,则不存在对应关系。
如果在消息ID与信号模式之间不存在对应关系,则在步骤170中发现:存在对总线系统、尤其是该总线系统的总线订户之一的可能的操纵。接着,一方面,如果实际上可能存在操纵,则可以引入措施,以便尽可能保护总线系统或者在其中使用该总线系统的设备免受损坏,例如可能会将总线系统的部分切断或者忽略在总线系统中的带有用来发现可能的操纵的消息的消息ID和/或信号模式(或者相对应的参考模式)的消息。另一方面,附加地或替代地,可以引入措施,以便查明是否存在实际操纵,例如可能会检查发送了用来发现可能的操纵的消息的总线订户(能依据该消息的消息ID和/或信号模式或者对应于该消息ID和/或该信号模式的参考模式来查明)的存储器,以便查明存储于其上的计算机程序和/或数据是否被操纵。
如果另一方面在消息ID与信号模式之间存在对应关系,则可以跳回到步骤130(箭头165)并且针对另一消息重复该方法。
步骤130、140、150、160、170可以由总线订户来进行,该总线订户被设立为执行按照本发明的方法。这可以使至少一个正常的总线订户或者专门为监控所设置的总线订户。尤其可以规定:这些总线订户中的至少一个总线订户被设立为:在确定消息ID(步骤130)之后,只针对依据消息ID能识别出的指向该总线订户或者对于该总线订户来说相关的消息,执行步骤150、160、170和/或如果可能的话执行步骤140(根据所使用的用于确定信号模式的方法,在步骤130之前或者并行地进行该步骤),或者换言之,这些总线订户中的至少一个总线订户被设立为:在确定消息ID(步骤130)之后,不针对未指向该总线订户或对于该总线订户来说不相关的消息执行步骤150、160、170和/或如果可能的话执行步骤140。

Claims (14)

1.一种用于识别对具有多个总线订户(6a、6b、6c、6d)的总线系统(2、102)的操纵的方法,所述方法包括:
检测(130)在所述总线系统(2、102)上所发送的消息的电压信号(22c、22d);
根据所检测到的电压信号(22c、22d)来形成(140)信号模式(35c、35d);
确定(150)所述消息的消息标识(14c、14d);
检查(160)根据总线配置在所述信号模式(35c、35d)与所述消息标识(14c、14d)之间是否存在对应关系;而且
当不存在对应关系时发现(170)可能的操纵。
2.根据上述权利要求所述的方法,所述方法包括:
将所述信号模式与至少一个参考模式进行比较,以便标识对应于所述信号模式的订户参考模式;
其中如果在所述比较时能够标识出订户参考模式,则基于所述订户参考模式来检查是否存在所述对应关系;而且
其中优选地,如果在所述比较时无法标识出订户参考模式,则发现(170)可能的操纵。
3. 根据权利要求2所述的方法,其中对是否存在所述对应关系的检查包括:
将所述消息标识与被分配给所述订户参考模式的一个或多个参考模式消息标识进行比较;而且
当所述消息标识(14c、14d)与被分配给所述订户参考模式的所述一个或多个参考模式消息标识中的任何一个都不匹配时,确定不存在所述对应关系。
4.根据权利要求3所述的方法,其中基于所述订户参考模式来确定订户标识,并且将被分配给所述订户标识的一个或多个消息标识(14c、14d)作为参考消息标识分配给所述订户参考模式。
5. 根据权利要求2所述的方法,其中对是否存在所述对应关系的检查包括:
将所述订户参考模式与一个或多个消息参考模式进行比较,所述消息参考模式被分配给所述消息标识;而且
当所述订户参考模式与被分配给所述消息标识(14c、14d)的一个或多个消息参考模式中的任何一个都不匹配时,确定不存在所述对应关系。
6.根据权利要求5所述的方法,其中基于所述消息标识(14c、14d)来确定订户标识,并且将被分配给所述订户标识的一个或多个参考模式作为消息参考模式分配给所述消息标识。
7.根据权利要求1所述的方法,所述方法包括:
将所述信号模式与至少一个参考模式进行比较,以便标识对应于所述信号模式的订户参考模式;
其中如果在所述比较时能够标识出订户参考模式,则基于所述消息标识来确定第一订户标识并且基于所述订户参考模式来确定第二订户标识,而且当所述第一订户标识不同于所述第二订户标识时,发现可能的操纵;而且
其中优选地,如果在所述比较时无法标识出订户参考模式,则发现可能的操纵。
8.根据上述权利要求2至7中任一项所述的方法,所述方法包括:
确定所述至少一个参考模式;
其中所述总线订户(6a、6b、6c、6d)中的一个总线订户发送至少一个示例消息,所述至少一个示例消息的至少一个示例电压信号被检测,并且根据所检测到的至少一个示例电压信号来形成至少一个示例信号模式;
其中所述至少一个参考模式基于所述至少一个示例信号模式来确定;
其中优选地给所述至少一个参考模式分配对应于所述至少一个示例消息的一个或多个消息标识(14c、14d);和/或
其中优选地给所述至少一个示例消息的消息标识分配一个或多个参考模式;和/或
其中优选地给所述至少一个参考模式分配发送所述至少一个示例消息的总线订户的订户标识。
9.根据上述权利要求中任一项所述的方法,所述方法包括:
对所述总线系统(2、102)进行配置(110),以便确定所述总线配置,其中给所述总线订户(6c、6d)中的至少一个总线订户分配一个或多个消息标识(14c、14d);其中被分配给不同总线订户(6c、6d)的消息标识是不同的;其中每个总线订户都被设立为将消息与被分配给所述总线订户的消息标识(14c、14d)一起进行发送。
10.根据上述权利要求中任一项所述的方法,其中在形成所述信号模式(35c、35d)时将所述电压信号(22c、22d)与比较电压(VS)进行比较。
11.一种计算单元,所述计算单元被设立为执行根据上述权利要求中任一项所述的方法的所有方法步骤;其中所述计算单元优选地被设立为:针对具有表明消息对于所述计算单元来说相关的消息标识(14c、14d)的那些消息执行对是否存在对应关系的检查。
12.一种总线系统(2、102),所述总线系统包括多个总线订户(6a、6b、6c、6d),其中所述总线订户中的至少一个总线订户是根据权利要求11所述的计算单元。
13.一种计算机程序,当所述计算机程序在计算单元上被执行时,所述计算机程序促使所述计算单元执行根据权利要求1至10中任一项所述的方法的所有方法步骤。
14.一种机器可读存储介质,其具有被存储在其上的根据权利要求13所述的计算机程序。
CN202211135362.2A 2021-09-20 2022-09-19 用于识别对总线系统的操纵的方法 Pending CN115842694A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021210429.0A DE102021210429A1 (de) 2021-09-20 2021-09-20 Verfahren zum Erkennen einer Manipulation eines Bussystems
DE102021210429.0 2021-09-20

Publications (1)

Publication Number Publication Date
CN115842694A true CN115842694A (zh) 2023-03-24

Family

ID=85383766

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211135362.2A Pending CN115842694A (zh) 2021-09-20 2022-09-19 用于识别对总线系统的操纵的方法

Country Status (2)

Country Link
CN (1) CN115842694A (zh)
DE (1) DE102021210429A1 (zh)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013210182A1 (de) 2013-05-29 2014-12-04 Robert Bosch Gmbh Verfahren zur Bereitstellung einer generischen Schnittstelle sowie Mikrocontroller mit generischer Schnittstelle

Also Published As

Publication number Publication date
DE102021210429A1 (de) 2023-03-23

Similar Documents

Publication Publication Date Title
KR102601578B1 (ko) 사이버 공격에 대한 네트워크 보호 방법
Kneib et al. Scission: Signal characteristic-based sender identification and intrusion detection in automotive networks
Choi et al. Identifying ecus using inimitable characteristics of signals in controller area networks
Zhou et al. Btmonitor: Bit-time-based intrusion detection and attacker identification in controller area network
US20160173513A1 (en) Apparatuses and methods for security in broadcast serial buses
Fröschle et al. Analyzing the capabilities of the CAN attacker
US10135866B2 (en) Method of preventing drive-by hacking, and apparatus and system therefor
KR102517216B1 (ko) 사이버 공격에 대한 네트워크 보호 방법
CN112684773A (zh) 在can总线上的数据操纵检测
JP5935543B2 (ja) 通信システム
Bloom WeepingCAN: A stealthy CAN bus-off attack
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
CN110995555B (zh) 使用移位can消息参考控制车辆中的can通信方法、系统及介质
CN109669433A (zh) 用于总线上电子控制单元的认证系统
KR101734505B1 (ko) 차량용 네트워크의 공격탐지 방법 및 그 장치
CN115412279A (zh) 用于防止对车辆的网络攻击的方法及相应装置
Souma et al. Counter attacks for bus-off attacks
Lee et al. Ttids: Transmission-resuming time-based intrusion detection system for controller area network (can)
CN108965236B (zh) 用于保护网络免受网络攻击的方法
Boumiza et al. An efficient hidden Markov model for anomaly detection in can bus networks
CN115842694A (zh) 用于识别对总线系统的操纵的方法
Ahmed et al. Two-point voltage fingerprinting: Increasing detectability of ecu masquerading attacks
US11899785B2 (en) Method for detecting an unauthorized physical access to a bus system
CN114567456A (zh) 用于对通信系统中的消息进行检验的方法
CN115412278A (zh) 用于防止对车辆的网络攻击的方法及相应装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication