CN117728969A - 用于在系统中引入缓解措施的计算机实现的方法 - Google Patents
用于在系统中引入缓解措施的计算机实现的方法 Download PDFInfo
- Publication number
- CN117728969A CN117728969A CN202311196723.9A CN202311196723A CN117728969A CN 117728969 A CN117728969 A CN 117728969A CN 202311196723 A CN202311196723 A CN 202311196723A CN 117728969 A CN117728969 A CN 117728969A
- Authority
- CN
- China
- Prior art keywords
- message
- computing unit
- computer
- implemented method
- mitigation measures
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000116 mitigating effect Effects 0.000 title claims abstract description 55
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000004891 communication Methods 0.000 claims description 30
- 238000004590 computer program Methods 0.000 claims description 12
- 230000000903 blocking effect Effects 0.000 claims description 11
- 238000012790 confirmation Methods 0.000 claims description 5
- 230000001502 supplementing effect Effects 0.000 claims description 3
- 238000001514 detection method Methods 0.000 description 11
- 230000007123 defense Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 230000015654 memory Effects 0.000 description 5
- 230000002265 prevention Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- CLVFWRBVFBUDQU-UHFFFAOYSA-N 1,4-bis(2-aminoethylamino)-5,8-dihydroxyanthracene-9,10-dione Chemical compound O=C1C2=C(O)C=CC(O)=C2C(=O)C2=C1C(NCCN)=CC=C2NCCN CLVFWRBVFBUDQU-UHFFFAOYSA-N 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003936 working memory Effects 0.000 description 2
- 230000001174 ascending effect Effects 0.000 description 1
- 238000011157 data evaluation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007667 floating Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开的总体方面涉及一种用于在系统中、尤其是在车辆的情况下在该系统中引入对抗软件操纵的缓解措施的计算机实现的方法,其中,该系统具有第一计算单元、第二计算单元和多个缓解措施,其中,该系统被设计为使得如果成功接收到从第一计算单元到第二计算单元的特定消息,则利用相对应的确认消息来回复这些消息。所述方法包括:将第一消息从第一计算单元发送给第二计算单元;由第二计算单元从第一计算单元接收该第一消息;在针对该第一消息的确认消息中添加关于要由第一计算单元执行的一个或多个缓解措施的信息;由第二计算单元来发送该确认消息;而且由第一计算单元来接收该第二消息。
Description
技术领域
本发明涉及一种用于在系统中、尤其是在车辆的情况下在系统中引入对抗软件操纵的缓解措施的计算机实现的方法、一种相对应的计算机系统、一种相对应的计算机程序和一种相对应的计算机可读介质或信号。
背景技术
“智能出行”的需求意味着将车辆融入数字世界。车辆彼此间和/或与位于云中的后端的自动化和联网程度的不断加深增加了所需接口的数量,并且借此增加了对车辆的IT系统进行外部攻击的攻击面。因而,网络安全(Cyber-Security)在如今的车辆的软件和硬件开发中发挥着越来越重要的作用。借助于攻击识别和攻击防御系统、如“入侵检测和防御系统”(Intrusion Detection and Prevention System,IDPS),有关可能的网络攻击来持续观察系统并且必要时在有攻击的情况下引入应对措施。为此,车辆的各种系统组件,诸如控制设备、传感器、CCU(连接控制单元(Connectivity ControlUnit))、入侵检测系统管理器(Intrusion Detection SystemManger,IDSM)或者后端,必须彼此进行通信,以便一方面识别攻击并且另一方面在发生攻击的情况下在系统中进行必要的设置或更改。在现有技术中,在参与的系统组件之间的这种通信部分地以加密方式被执行,使得攻击方无法从例如指定安全措施的消息的内容中获取信息。
然而,攻击方有可能在参与的系统组件在进行攻击识别和攻击防御时的通信期间从元信息中获取信息。这些信息可以被攻击方用于使他们的攻击例如与更改后的安全设置适配并且更有效地执行他们的攻击。由于这个原因,值得期望的是一种在攻击识别和攻击防御时提高系统安全性的方法。
发明内容
本公开的第一总体方面涉及一种用于在系统中、尤其是在车辆的情况下在系统中引入对抗软件操纵的缓解措施的计算机实现的方法,其中,该系统具有第一计算单元、第二计算单元和多个缓解措施,其中,该系统被设计为使得如果成功接收到从第一计算单元到第二计算单元的特定消息,则利用相对应的确认消息来回复这些消息。该方法包括:将第一消息从第一计算单元发送给第二计算单元;由第二计算单元从第一计算单元接收该第一消息;在针对该第一消息的确认消息中添加关于要由第一计算单元执行的一个或多个缓解措施的信息;由第二计算单元来发送该确认消息;而且由第一计算单元来接收该第二消息。
本公开的第二总体方面涉及一种计算机程序,该计算机程序被设计为:执行根据第一总体方面(或其实施方式)的用于在系统中引入缓解措施的计算机实现的方法。
本公开的第三总体方面涉及一种计算机程序,该计算机程序包含指令,当这些指令在计算机系统上被执行时,这些指令促使该计算机系统执行根据第一总体方面(或其实施方式)的用于在系统中引入缓解措施的计算机实现的方法。
本公开的第四总体方面涉及一种计算机可读介质或信号,该计算机可读介质或信号存储和/或包含根据第三总体方面(或其实施方式)的计算机程序。
在有些情况下,本公开的第一至第四总体方面的技术可具有如下优点中的一个或多个。
通过本方法,可以掩盖元信息,由此使开发和执行成功的攻击变得困难。例如可以防止:攻击方可能会通过从元信息中观察系统组件之间的通信来识别在系统对重复攻击的响应模式并且从中得出调整后的攻击。在信息技术中的常见通信协议或数据交换中,发送确认消息、即所谓的“Acknowledgements(确认)”是一种向发送方确认成功接收到消息的常见做法。一方面,在该确认消息中添加关于缓解措施的信息可以使除了总归已经存在的确认消息之外的附加消息变得不必要。另一方面,如果关于缓解措施的信息被嵌入到确认消息中,则可能的攻击方不会知道该信息的发送,而且无法从中得出关于对抗攻击的措施的任何结论,这可以使成功执行网络攻击和软件操纵变得困难。此外,该方法可以在不修改系统中的硬件的情况下实现或者在已经投入运行的系统、如较旧的车辆中实施。在此,该方法可以容易地被扩展到具有多个参与攻击识别和攻击防御的组件的大型系统,而不需要对该系统进行硬件修改。由此,本公开可以实现:增强在以联网和通信的增加为特征的系统中防止网络攻击的安全性。该方法所提供的另一优点在于:不限于特定类型的计算单元,而且这样可以被应用于系统中的所参与的各种组件。
在本公开中,一些术语以如下方式被使用:
“元信息”包括如下信息,这些信息超出消息的实际内容,并且更确切地说包含关于该消息本身的信息或者将该消息嵌入到上下文中。元信息例如可以包括关于发送时间点或消息大小的信息。关于消息的发送方或接收方、该消息的类别或分类、所使用的加密的类型的信息或者关于该消息的其它信息也可以是元信息的一部分。
本公开中的(例如车载网络的)“计算单元”或“组件”拥有自己的硬件资源,这些硬件资源至少包括用于执行指令的处理器和用于存放至少一个软件组件的存储器。术语“处理器”还包括多核处理器或者多个单独构件,所述多核处理器或者多个单独构件承担电子设备的中央处理单元的任务(并且必要时分担这些任务)。组件可以独立执行任务(例如测量任务、监视任务、控制任务、通信任务和/或其它工作任务)。但是,在有些示例中,计算单元或组件也可以由另一个组件来控制。计算单元可以在物理上隔开(例如利用自己的外壳),要不然可以集成到上级系统中。计算单元可以是车辆的控制设备或通信设备。计算单元可以是嵌入式系统。计算单元可以是传感器单元或者包括传感器。此外,计算单元可以是CCU(连接控制单元(Connectivity Control Unit))、入侵检测系统管理器(IntrusionDetection SystemManger,IDSM)或者后端。入侵检测系统管理器(IDSM)例如可以用于收集和/或管理安全事件。安全事件例如可以由为此所设计的传感器来生成。
“控制设备”是(专门)控制车辆的一个功能或多个功能的组件。控制设备例如可以承担发动机控制、制动系统的控制或者辅助系统的控制。在此,“功能”可以在车辆的不同层面被定义(例如针对一项功能可以使用单个传感器或执行器,但是也可以使用多个部件,这些部件被组合成更大的功能单元)。
原则上,术语“软件”或“软件组件”可以是本公开的组件(例如控制设备)的软件的任何部分。该“软件”或“软件组件”可以存储在像闪速存储器或者EEPROM那样的非易失性存储器中。
“车载网络”或“机载网络”可以是车辆的任何内部网络,车辆的组件或计算单元经由该内部网络来进行通信。在此,这些组件本身可以是车载网络的一部分和/或例如用作通信节点或网络节点。在有些示例中,车载网络是局域网。车载网络可以使用一种或多种短程通信协议(例如两种或更多种短程通信协议)。短程通信协议可以是无线或有线通信协议。短程通信协议可以包括总线协议(例如CAN、LIN、MOST、FlexRay或以太网(Ethernet))。短程通信协议可以包括蓝牙协议(例如蓝牙5或更高版本)或者WLAN协议(例如IEEE 802.11族的协议,例如802.11h或者更高版本的协议)。车载网络可以包含用于与车辆外部系统进行通信的接口并且因此也可以集成到其它网络中。然而,车辆外部系统以及其它网络并非该车载网络的一部分。
“后端”例如可以是计算单元。后端例如可以是移动的或静止的。此外,后端例如可以包括用于存储数据或者用于执行计算操作的系统。后端也可以包括用于数据评估的系统和/或用于创建控制规范的系统。
“车辆”可以是运输乘客和/或货物的任何装置。车辆可以是机动车辆(例如载客车(PKW)或载货车(LKW)),但是也可以是轨道车辆。车辆也可以是机动的、非机动的和/或人力驱动的两轮或三轮车。然而,漂浮和飞行装置也可以是车辆。车辆可以至少部分自主地运行或被辅助。
在本公开中,术语“操纵”包括对车辆的组件的软件、配置或数据的任何改变。该改变可以是攻击的后果(也就是说第三方的蓄意影响),但是也可以是随机或意外影响的后果。
针对软件操纵的“缓解(Mitigation)”或“缓解措施”可以被理解为如下措施,这些措施可以用于:制止软件操纵或者解除该操纵或者将软件重置到该操纵之前的状态。另一方面,这些措施可以用于:减少软件操纵对于该系统或者对于该系统的其它不受该操纵影响的组件或部分所带来的后果,并且限制或减轻操纵对于该系统所带来的损害。为此,这些缓解措施可以包括针对特定事件或者特定形式的软件操纵的规则。
附图说明
图1示意性图解说明了用于在系统中引入缓解措施的示例性方法步骤。
图2示意性图解说明了第二消息的结构。
图3以时序图的形式示意性图解说明了第一计算单元与第二计算单元之间的通信过程。
具体实施方式
公开了一种用于在系统10中、尤其是在车辆的情况下在该系统中引入对抗软件操纵的缓解措施的计算机实现的方法100,其中,该系统10具有第一计算单元11、第二计算单元21和多个缓解措施24a、24b,其中,该系统被设计为使得如果成功接收到从第一计算单元21到第二计算单元21的特定消息12,则利用相对应的确认消息22来回复这些消息12。该方法包括:将第一消息12从第一计算单元11发送110给第二计算单元21;由第二计算单元21从第一计算单元11接收120第一消息12;在针对第一消息12的确认消息22中添加130关于要由第一计算单元11执行的一个或多个缓解措施24a、24b的信息;由第二计算单元21来发送140确认消息22;而且由第一计算单元11来接收150第二消息22。
图1示意性图解说明了用于在系统10中引入缓解措施的方法的示例性方法步骤。
第一计算单元11和/或第二计算单元21可以是入侵检测和防御系统(IntrusionDetection and Prevention System,IDPS)的一部分。该系统表示一种例如在车辆的车载网络中监控网络活动以寻找恶意活动的迹象、记录关于该活动的信息并且尝试通过自动响应或者通过通知用户来防止该恶意活动的解决方案。例如,这种恶意活动可以包括用于使该系统的安全相关功能、例如车辆中的制动力增强功能暂停或者读取(个人相关或车辆相关的)数据的网络攻击。为了进行攻击识别或攻击防御,在该系统中,各种计算单元,如第一计算单元11和第二计算单元21,可以彼此经由通信网络、诸如车载网络来进行通信或者交换消息。在第二计算单元21接收120第一消息12之后,该第二计算单元将带有用于确认(英文Acknowledgment)的第一信息23的确认消息22发送给第一计算单元11。图3以时序图的形式示意性图解说明了第一计算单元11与第二计算单元21之间的通信过程。例如,通过该确认,可以防止第一消息12以及包含在其中的信息丢失。此外,向确认消息22添加130关于要由第一计算单元11执行的一个或多个缓解措施24a、24b的信息24。在确认消息22(Acknowledgement)中添加130关于要由第一计算单元11执行的一个或多个缓解措施24a、24b的信息24可以是有利的,原因在于:在接收到第一消息12之后,除了实际的确认消息之外,不需要具有关于缓解措施24a、24b的信息的其它或单独的消息,而且由此可以防止可能的攻击方知道缓解措施的引入。
此外,多个缓解措施24a、25b中的每个缓解措施都可以分配有标识符,而且第二信息24可以具有被分配给多个缓解措施24a、24b的一个标识符或多个标识符。例如,第一计算单元11或者系统10中的其它组件可以包括用标识符来引用的预定义的缓解措施的列表。由此,例如第二信息24包括引用预定义的缓解措施的一个或多个标识符就可足够。标识符例如可以是唯一的编号或者位序列。在一个示例中,标识符可以由各个(被引用的)缓解措施24a、24b的(升序或降序)编号来得到或者借助于(伪)随机发生器来产生。在有些示例中,标识符例如可以在执行该方法之前被手动规定或者借助于计算机来创建。标识符和相关缓解措施的分配例如可以存放在数据库或者电子表格中。
此外,第一消息12可以具有关于一个安全事件或多个安全事件的信息。例如,在攻击识别和/或攻击防御的框架内,可以在系统10中的各种组件之间传送关于安全事件的信息。为了该目的,借助于第一消息12,可以将一个或多个安全事件传送给第二计算单元21。例如,安全事件可以是关于攻击的通知或报告,其例如描述了该攻击的类型和范围或者受影响的组件。在有些情况下,第二计算单元21可以包括连接控制单元(英文ConnectivityControl Unit(CCU)),必要时与后端进行通信,而且第一消息12可以具有安全事件,该安全事件表示针对后端的报告,以便传送关于存在的攻击的信息。在有些示例中,第一消息12可以包括多个子消息,其中每个子消息分别对应于所要传送的安全事件。
在有些示例中,第一消息12的每个安全事件都可以对应于第二消息22的一个缓解措施的一个标识符或者缓解措施24a、24b的多个标识符。例如,第二计算单元21可以用于与后端的通信并且借助于第一消息12从第一计算单元获得关于安全事件的报告,以便将这些安全事件传送给后端。在一个示例中,作为应答,信息、例如关于缓解措施的信息可以由后端传送给第二计算单元21。例如,这些信息可以作为在第二消息中的第二信息24被传送140或转发给第一计算单元11。例如,对于每个安全事件,在第二信息24中恰好可以包含一个或多个缓解措施,或者附加地或替选地,如上所述,可以借助于标识符来引用一个或多个缓解措施。在有些情况下,对于多个安全事件,在第二信息24中也可以包含以标识符为形式的缓解措施。
此外,该方法可以包括:在发送140第二消息22之前,给第二消息22补充118空白部分25,该空白部分具有第二长度,其中确认消息22具有小于等于预定长度的第一长度,其中该第二长度为该第一长度与该预定长度之差。例如,第二消息22的第一长度可以取决于缓解措施24a、24b的数量。在有些情况下,可以是有利的是:确认消息22在发送140时具有标准长度或预定长度,使得攻击方在观察多个消息时无法推断出该系统的响应。在有些情况下,该预定长度可以在软件实现时被规定和/或在系统10运行期间被规定或调整。图2示出了在第一消息22的结构中的空白部分25。空白部分25可以由空白填充数据组成(所谓的“Padding(填充)”),其目的在于:补偿该第一长度和该预定长度的长度差,使得对于可能的多个确认消息,每个确认消息22都具有相同的(预定)长度。在有些情况下,空白部分25可以在第二消息22中被布置在缓解措施24a、24b(或者这些缓解措施的标识符/引用)之后。
此外,第一消息12可以在发送110之前被加密,和/或确认消息22可以在发送140之前被加密。为此,可以使用密码方法,诸如“高级加密标准-密码块链接模式”(AdvancedEncryption Standard-CipherBlock Chaining Mode,AES-CBC),或者可以使用AEAD方法(英文“Authenticated Encryption with Associated Data(与关联数据进行身份验证的加密)”),诸如“高级加密标准-伽罗瓦/计数器模式”(Advanced EncryptionStandard-Galois/CounterMode,AES-GCM)。也可以应用任何其它适合于此、但是没有提到的加密方法。
此外,该方法可以包括:在第一消息12被加密之前,给第一消息12补充109第一随机数(Nonce);和/或在确认消息22被加密之前,给第二消息22补充119第二随机数26。随机数(英文:“used only once”)可以包括数字和/或字母组合。例如,随机数可以通过(伪)随机发生器来产生,并且因此表示(伪)随机字符串。例如,每个单独的随机数、即特定字符串,可以在系统10的运行的时间范围内仅产生一次。例如,给消息12、22补充109、119随机数可以有利于防御重放攻击(英文“Replay-Attacks”)。第一随机数可以在加密之前被附加到第一消息12的开头,和/或第二随机数24可以在加密之前被附加到第二消息22的开头,如在图2中在第二消息22的结构中所示。
此外,对于用于对第一消息12进行加密的算法,可以使用第一随机数作为初始化向量,和/或对于用于对第二消息22进行加密的算法,可以使用第二随机数26作为初始化向量。例如,在“CBC模式”加密方法中,随机数24可以被用作初始值,即初始化向量,以便提供初始状态。
在有些示例中,在第一消息12被加密之后,可以用第一签名或者用第一消息认证码来对第一消息12进行签名;和/或在确认消息22被加密之后,可以用第二签名27或者用第二消息认证码来对确认消息22进行签名。例如,借助于方法“椭圆曲线数字签名算法”(Elliptic Curve Digital Signature Algorithm,ECDSA),可以产生用于对第一消息12或第二消息22进行签名的签名。例如,可以在AES-CBC加密方法之后使用该ECDSA方法。替选地,代替签名15、25,也可以使用消息认证码(英文Message Authentication Code(MAC)),例如AES-CMAC。AEAD方法已经包含MAC,因此,例如在使用GCM时,不必附加额外的签名或MAC。在有些情况下,可以将签名附加到第一消息12的末尾和/或将签名27附加到第二消息22的末尾。
此外,第一消息12和/或确认消息22可以在接收120、140之后被验证和/或被解密。如果,例如如上所述,使用用于对第一消息12和/或第二消息22进行加密的方法,则在接收120第一消息12和接收140第二消息22之后对相应的消息12、22进行验证和解密。在此,验证可以包括:检查已发送消息12、22的相应计算单元11、21的身份。
例如,可以不需要关于接收到第二消息22的确认。例如,在具有多个第一消息12和多个第二消息22的消息交换的周期内,第二计算单元21可以将随后发送110与上一个第一消息不同的新的第一消息12理解为对先前发送的第二消息22的确认,或者换言之,如果先前发送的第一消息12没有连续被发送多次,则第二计算单元22可以假设第一计算单元11接收到第二消息22。在有些情况下,可以提供关于接收到第二消息22的确认。
为此,第一计算单元11对第二消息22的接收140可以作为安全事件在第一计算单元11的后续的第一消息12中被确认。例如,第一消息12可以包括先前接收140的第二消息22的确认信息,例如以可为了该目的而生成的安全事件为形式。例如,在攻击识别和攻击防御的概念中或者在“入侵检测系统管理器”(IDSM)处,用于确认接收到第二消息22的该安全事件可以获得比其它安全事件更高的优先级。借此,可以例如在安全事件的总量在其数量上超过平均值时避免丢弃。
对抗软件操纵的缓解措施可以包括:阻断系统10中的受操纵影响的组件的通信;阻断包含受影响的组件的一组组件的通信;以及更改受影响的组件的功能性和/或将受影响的组件的功能性转移到系统10中的多个组件中的一个或多个其它组件。缓解措施可以用于:防止对该系统10的组件的软件的可能的攻击或操纵,或者减轻影响、遏制该攻击或消除由于该攻击所引起的损害,例如通过将被操纵的软件重置到较早或完好的状态。在有些示例中,对抗操纵的应对措施可以包括:阻断受操纵影响的组件(例如第一计算单元11)(该组件的软件被操纵)的经由车载网络的通信。对该通信的阻断可以防止:受影响的组件的被操纵的软件经由车载网络来造成损害。另一方面,被操纵的软件可以仍然始终(例如在一定时长内)执行受影响的组件的功能。出于该原因,在有些情况下,阻断受影响的组件的经由车载网络的通信可能比重置受影响的组件的软件更可取(例如在其中受影响的组件的失灵至少在短期内不可容忍或者不值得期望的上下文中)。重置受影响的组件的软件的应对措施可以在阻断受影响的组件的通信的应对措施之后被引入(例如在被更改的上下文中)。
替选地或附加地,对抗操纵的应对措施可以包括:阻断包含受影响的组件的一组组件经由车载网络的通信。阻断一组组件经由车载网络的通信类似于阻断单个组件,如上所述。这样,也可以防止由于该组组件而在车载网络中造成损害。即使在阻断一组组件经由车载网络的通信的情况下,也可以在稍后的时间点(例如在被更改的上下文中)引入重置受影响的组件的软件的应对措施。
进一步替选地或附加地,对抗操纵的应对措施可以包括:更改对其来说已识别出操纵的受影响的组件的功能性。例如,功能性可以根据预定模式来被限制(例如限于对于特定的安全相关的方面来说在相应的上下文中所需要的功能性)。
进一步替选地或附加地,对抗操纵的应对措施可以包括:将对其来说已识别出操纵的受影响的组件的功能性转移到多个组件中的一个或多个其它组件。例如,所述多个组件中的其它组件中的一个或多个组件可以至少暂时承担受影响的组件的任务(或该任务的部分)。接着,受影响的组件可以被停用和/或被阻断。即使在这种情况下,也可以在稍后的时间点(例如在被更改的上下文中)引入重置受影响的组件的软件的应对措施。
此外,可能的缓解措施例如可以是:重置、重新“刷新(Flashen)”,即例如在EEPROM上对固件进行重新编程;或者在受影响的组件或计算单元或者系统10的另一组件的防火墙的多个规则集之间进行切换。
此外,第一计算单元11和/或第二计算单元21可以布置在车辆中。例如,第一计算单元11和/或第二计算单元21可以是车辆的车载网络或机载网络的组件。例如,该系统10可以是车载网络的一部分或者包括车载网络的一部分。例如,车载网络可以包括:用于攻击识别/攻击防御或者危险识别/危险预防的中央装置;和多个其它计算单元或组件。该中央装置可以在有些情况下检测所述多个组件的软件操纵并且引入应对措施。在有些情况下,第一计算单元11或第二计算单元21可以包括该中央装置或者是该中央装置的一部分。在有些情况下,入侵检测系统管理器(IDSM)可以是该中央装置或者包括该中央装置。
还公开了一种计算机系统,该计算机系统被设计为执行用于在系统10中引入缓解措施的计算机实现的方法100。该计算机系统可以包括至少一个处理器和/或至少一个工作存储器。该计算机系统还可以包括(非易失性)存储器。此外,第一计算单元11和/或第二计算单元21可以是计算机系统或者计算机系统的一部分。第一计算单元11和/或第二计算单元21可以至少包括处理器和/或工作存储器。第一计算单元11和/或第二计算单元21可以包括(非易失性)存储器。
还公开了一种计算机程序,该计算机程序包含指令,当这些指令在计算机系统上被执行时,这些指令促使该计算机系统执行用于在系统10中引入缓解措施的计算机实现的方法100。该计算机程序例如可以以可解释形式或者以编译形式存在。该计算机程序可以(也可以部分地)例如作为位或字节序列被加载到计算机的RAM中,以供执行。该计算机程序可以包括多个部分,其中,至少一个部分在第一计算单元11上被执行并且另一部分在第二计算单元21上被执行。
还公开了一种计算机可读介质或信号,该计算机可读介质或信号存储和/或包含该计算机程序或者该计算机程序的至少一部分。该介质例如可包括RAM,ROM,EPROM,HDD,SDD,...之一,在其上或在其中存储该信号。例如,计算机可读介质或其部分可以是第一计算单元11和/或第二计算单元21的一部分。
Claims (16)
1.一种用于在系统(10)中、尤其是在车辆的情况下在所述系统中引入对抗软件操纵的缓解措施的计算机实现的方法(100),其中,所述系统(10)具有第一计算单元(11)、第二计算单元(21)和多个缓解措施(24a、24b),
其中,所述系统被设计为使得如果成功接收到从所述第一计算单元(21)到所述第二计算单元(21)的特定消息(12),则利用相对应的确认消息(22)来回复所述消息(12),所述方法包括:
将第一消息(12)从第一计算单元(11)发送(110)给所述第二计算单元(21);
由所述第二计算单元(21)从所述第一计算单元(11)接收(120)所述第一消息(12);
在针对所述第一消息(12)的确认消息(22)中添加(130)关于要由所述第一计算单元(11)执行的一个或多个缓解措施(24a、24b)的信息(24);
由所述第二计算单元(21)来发送(140)所述确认消息(22);而且
由所述第一计算单元(11)来接收(150)所述第二消息(22)。
2.根据权利要求1所述的计算机实现的方法(100),其中,所述多个缓解措施(24a、24b)中的每个缓解措施都分配有标识符,而且所述第二信息(24)具有被分配给所述多个缓解措施(24a、24b)的一个标识符或多个标识符。
3.根据权利要求1或2所述的计算机实现的方法(100),其中,所述第一消息(12)具有关于一个安全事件或多个安全事件的信息。
4.根据权利要求3所述的计算机实现的方法(100),其中,所述第一消息(12)的每个安全事件都对应于所述第二消息(22)的一个缓解措施的一个标识符或者缓解措施(24a、24b)的多个标识符。
5.根据上述权利要求中任一项所述的计算机实现的方法(100),其中,所述确认消息(22)具有小于等于预定长度的第一长度,所述方法包括:
在发送(130)所述第二消息(22)之前,给所述第二消息(22)补充(118)空白部分(25),所述空白部分具有第二长度,其中,所述第二长度为所述第一长度与所述预定长度之差。
6.根据上述权利要求中任一项所述的计算机实现的方法(100),其中,所述第一消息(22)在所述发送(110)之前被加密,和/或所述确认消息(22)在所述发送(130)之前被加密。
7.根据权利要求6所述的计算机实现的方法(100),所述方法包括:
在所述第一消息(12)被加密之前,给所述第一消息(12)补充(109)第一随机数;和/或在所述确认消息(22)被加密之前,给所述第二消息(22)补充(119)第二随机数(26)。
8.根据权利要求6或7所述的计算机实现的方法(100),其中,对于用于对所述第一消息(12)进行加密的算法,使用第一随机数作为初始化向量,和/或对于用于对所述第二消息(22)进行加密的算法,使用第二随机数(26)作为初始化向量。
9.根据权利要求6至8中任一项所述的计算机实现的方法(100),其中,在所述第一消息(12)被加密之后,用第一签名或者用第一消息认证码来对所述第一消息(12)进行签名;和/或在所述确认消息(22)被加密之后,用第二签名(27)或者用第二消息认证码来对所述确认消息(22)进行签名。
10.根据上述权利要求中任一项所述的计算机实现的方法(100),其中,所述第一消息(12)和/或所述确认消息(22)在接收(120、140)之后被验证和/或被解密。
11.根据权利要求3至10中任一项所述的计算机实现的方法(100),其中,所述第一计算单元(11)对所述第二消息(22)的接收(140)作为安全事件在所述第一计算单元(11)的后续的第一消息(12)中被确认。
12.根据权利要求1至11中任一项所述的方法,其中,对抗所述软件操纵的缓解措施包括如下缓解措施中的一个或多个:
阻断所述系统(10)中的受操纵影响的组件的通信;
阻断包含受影响的组件的一组组件的通信;以及
更改所述受影响的组件的功能性和/或将所述受影响的组件的功能性转移到所述系统(10)中的多个组件中的一个或多个其它组件。
13.根据上述权利要求中任一项所述的计算机实现的方法(100),其中,所述第一计算单元(11)和/或所述第二计算单元(21)布置在车辆中。
14.一种计算机系统,所述计算机系统被设计为:执行根据上述权利要求1至13中任一项所述的用于在系统(10)中引入对抗软件操纵的缓解措施的计算机实现的方法(100)。
15.一种计算机程序,所述计算机程序包含指令,当所述指令在计算机系统上被执行时,所述指令促使所述计算机系统执行根据权利要求1至13中任一项所述的用于在系统(10)中引入对抗软件操纵的缓解措施的计算机实现的方法(100)。
16.一种计算机可读介质或信号,所述计算机可读介质或信号存储和/或包含根据权利要求15所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102022209766.1A DE102022209766A1 (de) | 2022-09-16 | 2022-09-16 | COMPUTERIMPLEMENTIERTES VERFAHREN ZUR EINLEITUNG VON MITIGATIONSMAßNAHMEN IN EINEM SYSTEM |
| DE102022209766.1 | 2022-09-16 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117728969A true CN117728969A (zh) | 2024-03-19 |
Family
ID=90062446
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311196723.9A Pending CN117728969A (zh) | 2022-09-16 | 2023-09-15 | 用于在系统中引入缓解措施的计算机实现的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117728969A (zh) |
| DE (1) | DE102022209766A1 (zh) |
-
2022
- 2022-09-16 DE DE102022209766.1A patent/DE102022209766A1/de active Pending
-
2023
- 2023-09-15 CN CN202311196723.9A patent/CN117728969A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| DE102022209766A1 (de) | 2024-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102243114B1 (ko) | 차량 네트워크에서 id 익명화를 사용한 실시간 프레임 인증 | |
| Jo et al. | Mauth-can: Masquerade-attack-proof authentication for in-vehicle networks | |
| US10104094B2 (en) | On-vehicle communication system | |
| US10095634B2 (en) | In-vehicle network (IVN) device and method for operating an IVN device | |
| CN108028784B (zh) | 不正常检测方法、监视电子控制单元以及车载网络系统 | |
| JP6807906B2 (ja) | 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法 | |
| JP6477281B2 (ja) | 車載中継装置、車載通信システム及び中継プログラム | |
| US20190184916A1 (en) | Vehicle secure messages based on a vehicle private key | |
| JP6762347B2 (ja) | 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法 | |
| US11245535B2 (en) | Hash-chain based sender identification scheme | |
| CN104717201A (zh) | 网络装置以及网络系统 | |
| US10554623B2 (en) | On-board communication system | |
| Han et al. | A practical solution to achieve real-time performance in the automotive network by randomizing frame identifier | |
| JP7412506B2 (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
| Souma et al. | Counter attacks for bus-off attacks | |
| CN111149336B (zh) | 用于检测对车辆的控制器的攻击的方法 | |
| Kornaros et al. | Trustnet: ensuring normal-world and trusted-world can-bus networking | |
| JP6375962B2 (ja) | 車載ゲートウェイ装置及び電子制御装置 | |
| CN117728969A (zh) | 用于在系统中引入缓解措施的计算机实现的方法 | |
| EP4231594A1 (en) | Relay device, communication network system and communication control method | |
| KR20180072340A (ko) | 운송 수단 내부 네트워크에서의 제어 데이터를 보안 전송하는 방법 | |
| CN115398427A (zh) | 用于处理数据异常的方法,特别是在机动车辆中 | |
| JP2023122638A (ja) | 車両のソフトウェアの改竄の軽減 | |
| KR102472413B1 (ko) | 차랑 내 통신 네트워크 보안방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |