DE102020212452B3 - Method for reducing the impact of a message injected on a communication bus - Google Patents
Method for reducing the impact of a message injected on a communication bus Download PDFInfo
- Publication number
- DE102020212452B3 DE102020212452B3 DE102020212452.3A DE102020212452A DE102020212452B3 DE 102020212452 B3 DE102020212452 B3 DE 102020212452B3 DE 102020212452 A DE102020212452 A DE 102020212452A DE 102020212452 B3 DE102020212452 B3 DE 102020212452B3
- Authority
- DE
- Germany
- Prior art keywords
- message
- identifier
- communication bus
- bus
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3027—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/36—Handling requests for interconnection or transfer for access to common bus or bus system
- G06F13/362—Handling requests for interconnection or transfer for access to common bus or bus system with centralised access control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L2001/0092—Error control systems characterised by the topology of the transmission link
- H04L2001/0093—Point-to-multipoint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L2001/0092—Error control systems characterised by the topology of the transmission link
- H04L2001/0094—Bus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
Bei dem erfindungsgemäßen Verfahren zur Reduzierung der Auswirkungen von einer auf einem Kommunikationsbus (CB) eingeschleusten Botschaft (EB) wird eine auf dem Kommunikationsbus (CB) eingeschleuste Botschaft (EB) mit verfälschtem Dateninhalt erkannt (10). Eine Korrekturbotschaft (KB), welche den korrekten, unverfälschten Dateninhalt der angegriffenen Botschaft enthält, wird daraufhin erzeugt (11) und dann auf dem Kommunikationsbus (CB) versendet (12). Wenn bei mehreren durch den Kommunikationsbus (CB) vernetzten Netzwerkknoten (CK1- CK3) hierbei eine über den Kommunikationsbus übertragene Botschaft mit einer Kennung versehen ist, die nur von einem der sendenden Netzwerkknoten zur Übertragung von Nutzdaten verwendet wird und für die jeweils versandte Botschaft eindeutig ist, wird eine eingeschleuste Botschaft (EB) mit verfälschtem Dateninhalt daran erkannt (1), dass ein Netzwerkknoten (CK1- CK3) auf dem Kommunikationsbus (CB) eine fremde Botschaft zur Übertragung von Nutzdaten mit einer Kennung erfasst, die für eine eigene Botschaft zur Übertragung von Nutzdaten reserviert ist. Die Kennung der eingeschleusten Botschaft (EB) mit verfälschtem Dateninhalt wird dann ermittelt und eine Korrekturbotschaft in Form derjenigen regulären Botschaft (RB), welche die gleiche Kennung wie die ermittelte Kennung der eingeschleusten Botschaft (EB) aufweist, versendet.In the method according to the invention for reducing the effects of a message (EB) introduced on a communication bus (CB), a message (EB) introduced on the communication bus (CB) with corrupted data content is recognized (10). A correction message (KB), which contains the correct, unadulterated data content of the attacked message, is then generated (11) and then sent (12) on the communication bus (CB). If, in the case of several network nodes (CK1-CK3) networked by the communication bus (CB), a message transmitted via the communication bus is provided with an identifier that is only used by one of the sending network nodes for the transmission of user data and is unique for the message sent in each case , a smuggled message (EB) with falsified data content is recognized (1) by the fact that a network node (CK1-CK3) on the communication bus (CB) detects an external message for the transmission of user data with an identifier that is for its own message for transmission is reserved by user data. The identifier of the smuggled message (EB) with corrupted data content is then determined and a correction message in the form of that regular message (RB) which has the same identifier as the identified identifier of the smuggled message (EB) is sent.
Description
Die Erfindung betrifft ein Verfahren zur Reduzierung der Auswirkungen von einer auf einem Kommunikationsbus eingeschleusten Botschaft, das insbesondere zur Schadensreduzierung bei unberechtigten Zugriffen auf CAN-Busse in Fahrzeugen eingesetzt werden kann.The invention relates to a method for reducing the effects of a message introduced on a communication bus, which can be used in particular to reduce damage in the event of unauthorized access to CAN buses in vehicles.
In modernen Kraftfahrzeugen werden eine Vielzahl von Steuergeräten verbaut, wie zum Beispiel das Motor- und Getriebe-Steuergerät für den Antriebstrang, Tür- oder Fensterheber-Steuergeräte, Klimaanlagen-Steuergeräte, Sitzverstellungs-Steuergeräte für entsprechende Komfortfunktionen, oder ein Steuergerät für ein Infotainmentsystem des Fahrzeugs. Um die Steuergeräte zu vernetzen, werden Bussysteme im Fahrzeug eingesetzt. Im Zuge der fortschreitenden Automatisierung von Kraftfahrzeugen kommt dem Schutz der im Kraftfahrzeug verbauten Bussysteme eine immer größere Bedeutung zu. Dies trifft insbesondere auf den CAN-Bus zu, der für die Vernetzung von sicherheitsrelevanten Steuergeräten, Sensoren und Aktoren in Kraftfahrzeugen weit verbreitet ist, aber auch in anderen technischen Anwendungsbereichen wie der Automatisierungstechnik oder Medizintechnik eingesetzt wird.A large number of control units are installed in modern motor vehicles, such as the engine and transmission control unit for the drive train, door or window lifter control units, air conditioning control units, seat adjustment control units for corresponding comfort functions, or a control unit for an infotainment system in the vehicle . Bus systems are used in the vehicle to network the control units. In the course of the progressive automation of motor vehicles, the protection of the bus systems installed in the motor vehicle is becoming increasingly important. This applies in particular to the CAN bus, which is widely used for networking safety-related control units, sensors and actuators in motor vehicles, but is also used in other technical areas of application such as automation technology or medical technology.
Die Kommunikation auf dem CAN-Bus erfolgt mit sogenannten Botschaften, auch als Telegramme oder Frames bezeichnet, die von CAN-Bus-Komponenten wie den Steuergeräten oder Sensoreinheiten im Kraftfahrzeug auf den CAN-Bus gesendet werden. Für Informationen, die regelmäßig erforderlich sind, werden die Botschaften üblicherweise zyklisch versendet. Ebenso können die Botschaften aber auch ereignisbasiert, beispielsweise bei einem Defekt einer Fahrzeugkomponente, übermitteln werden. Die Botschaften werden hierbei grundsätzlich nicht an einen bestimmten Adressaten gerichtet, vielmehr erfolgt die Übertragung nach dem Broadcast-Prinzip. Ein Steuergerät, welches eine in einer Botschaft enthaltene Information benötigt, greift dann auf diese Botschaft anhand einer eindeutigen Kennung der Botschaft, auch Identifier (ID) genannt, zu. Die Kennung kennzeichnet damit den Inhalt einer Botschaft, nicht ein Gerät, wobei es zu einer Kennung mehrere Empfänger, aber immer nur einen Sender geben kann.Communication on the CAN bus takes place with so-called messages, also referred to as telegrams or frames, which are sent to the CAN bus by CAN bus components such as the control units or sensor units in the vehicle. For information that is regularly required, the messages are usually sent cyclically. Likewise, the messages can also be event-based, for example in the event of a defect in a vehicle component. In principle, the messages are not addressed to a specific addressee, rather the transmission takes place according to the broadcast principle. A control device that requires information contained in a message then accesses this message using a unique identification of the message, also known as an identifier (ID). The identifier thus identifies the content of a message, not a device, whereby there can be several recipients for an identifier, but only one sender.
Neben normalen Botschaften, den sogenannten Daten-Frames, zur Übertragung von Nutzdaten, wie insbesondere der Steuergeräte- bzw. Sensorinformationen, existieren bei dem CAN-Protokoll ferner sogenannte Remote-Botschaften bzw. Remote-Frames, mit denen Nutzdaten bzw. Data Frames von beliebigen CAN-Knoten angefordert werden können. Diese werden im Automobilbereich allerdings kaum verwendet, weil die Datenübertragung im Wesentlichen auf der Initiative der Steuergeräte und Sensoren, anstatt auf Nachfrage, erfolgt. Ferner sind sogenannte Error-Frames zur Signalisierung von Übertragungsfehler vorgesehen.In addition to normal messages, the so-called data frames, for the transmission of user data, such as in particular the control unit or sensor information, there are also so-called remote messages or remote frames in the CAN protocol, with which user data or data frames from any CAN nodes can be requested. However, these are rarely used in the automotive sector because the data transmission essentially takes place on the initiative of the control units and sensors, rather than on demand. Furthermore, so-called error frames are provided for signaling transmission errors.
Ein Verfahren zur Prüfung der Übertragung von CAN-Telegrammen auf Fehlerfreiheit und Korrektur von Übertragungsfehlern zur Reduzierung von Datenverlusten und Datenverfälschungen ist aus der
Neben einer Erkennung von Übertragungsfehlern kann mit einem geeigneten Überwachungssystem auch ein externer Angriff auf einen CAN-Bus, bei dem Botschaften mit falschen Signalinhalten eingeschleust werden, erkannt werden. Hierbei ist neben der Erkennung der eingeschleusten Botschaften auch die Reaktion auf einen solchen Angriff von großer Bedeutung. Hierfür sind verschiedene Verfahren bekannt. So können eingeschleuste Botschaften durch ein gezieltes Überschreiben mit dominanten Bits unschädlich gemacht werden. Dieses führte dazu, dass der CAN-Controller in einem sendenden Steuergerät dann die Sendung abbricht oder die empfangenen Steuergeräte die Botschaft als ungültig werten. Ein derartiges Eingreifen in den CAN-Bus erfordert jedoch Änderungen bei der Hardware der Steuergeräte, da die bislang üblicherweise eingesetzten Standard-CAN-Bus-Komponenten nicht über eine derartige Funktionalität verfügen. Mittlerweile sind aber spezialisierte Chips, die eingeschleuste Botschaften unbrauchbar machen können, auf dem Markt.In addition to detecting transmission errors, a suitable monitoring system can also be used to detect an external attack on a CAN bus, in which messages with incorrect signal content are injected. In addition to recognizing the smuggled messages, the reaction to such an attack is also of great importance. Various methods are known for this. In this way, smuggled messages can be rendered harmless through targeted overwriting with dominant bits. This led to the CAN controller in a sending control unit then aborting the transmission or the receiving control units evaluating the message as invalid. Such an intervention in the CAN bus, however, requires changes to the hardware of the control units, since the standard CAN bus components that have been commonly used up to now do not have such a functionality. However, there are now specialized chips on the market that can render smuggled messages unusable.
Bisher bekannte software-basierte Überwachungssysteme, die auf Standard-CAN-Bus-Komponenten aufbauen, können nicht unmittelbar auf einen Angriff reagieren, bzw. eine eingeschleuste Botschaft zerstören. Es besteht jedoch die Möglichkeit, betroffene Steuergeräte bzw. Funktionen in geeigneter Weise zu warnen und über einen Angriff zu informieren. Neben speziellen Botschaften mit einem entsprechenden Inhalt, der Auskunft über den Angriff enthält, können auch Botschaften mit bewusst fehlerhaften Signalen zum Einsatz kommen. In beiden Fällen werden damit Empfänger-Steuergeräte bzw. Funktionen in einen sicheren Zustand überführt, so dass von den eingeschleusten Daten keine Gefahr mehr ausgeht.Previously known software-based surveillance systems based on standard CAN bus components cannot react immediately to an attack or destroy a smuggled message. However, it is possible to warn affected control units or functions in a suitable manner and to inform them of an attack mix In addition to special messages with a corresponding content that contains information about the attack, messages with deliberately incorrect signals can also be used. In both cases, receiver control units or functions are transferred to a safe state so that the data that has been smuggled in no longer poses a risk.
Es ist eine Aufgabe der Erfindung, ein verbessertes Verfahren zur Reduzierung der Auswirkungen von einer auf einem Kommunikationsbus eingeschleusten Botschaft zur Verfügung zu stellen.It is an object of the invention to provide an improved method for reducing the effects of a message injected on a communication bus.
Diese Aufgabe wird durch ein Verfahren mit den Merkmalen des Anspruchs 1 gelöst. Bevorzugte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Ansprüche.This object is achieved by a method having the features of claim 1. Preferred developments of the invention are the subject matter of the dependent claims.
Bei dem erfindungsgemäßen Verfahren zur Reduzierung der Auswirkungen von einer auf einem Kommunikationsbus eingeschleusten Botschaft wird eine auf dem Kommunikationsbus eingeschleuste Botschaft mit verfälschtem Dateninhalt erkannt. Eine Korrekturbotschaft, welche den korrekten, unverfälschten Dateninhalt der angegriffenen Botschaft enthält, wird daraufhin erzeugt. Die Korrekturbotschaft wird dann auf dem Kommunikationsbus versendet.In the method according to the invention for reducing the effects of a message introduced on a communication bus, a message with corrupted data content introduced on the communication bus is recognized. A correction message containing the correct, unadulterated data content of the attacked message is then generated. The correction message is then sent on the communication bus.
Dieses ermöglicht auf einfache, aber wirkungsvolle Weise eine softwarebasierte Implementierung zur Minimierung der Auswirkung von unberechtigten Zugriffen auf einen Kommunikationsbus, wie beispielsweise den CAN-Bus eines Fahrzeugs.This allows for a simple but effective software-based implementation to minimize the impact of unauthorized access to a communications bus, such as a vehicle's CAN bus.
Gemäß einer Ausführungsform der Erfindung sind durch den Kommunikationsbus mehrere Netzwerkknoten vernetzt. Hierbei ist eine über den Kommunikationsbus übertragene Botschaft mit einer Kennung versehen, die nur von einem der sendenden Netzwerkknoten zur Übertragung von Nutzdaten verwendet wird und für die jeweils versandte Botschaft eindeutig ist. Eine eingeschleuste Botschaft mit verfälschtem Dateninhalt wird daran erkannt, dass ein Netzwerkknoten auf dem Kommunikationsbus eine fremde Botschaft zur Übertragung von Nutzdaten mit einer Kennung erfasst, die für eine eigene Botschaft zum Versenden von Nutzdaten reserviert ist.According to one embodiment of the invention, several network nodes are networked by the communication bus. In this case, a message transmitted via the communication bus is provided with an identifier which is only used by one of the transmitting network nodes for the transmission of user data and is unique for the message sent in each case. A smuggled-in message with falsified data content is recognized by the fact that a network node on the communication bus detects an external message for the transmission of user data with an identifier that is reserved for its own message for sending user data.
Vorteilhafterweise wird hierbei die Kennung der eingeschleusten Botschaft mit verfälschtem Dateninhalt ermittelt und eine Korrekturbotschaft in Form derjenigen regulären Botschaft, welche die gleiche Kennung wie die ermittelte Kennung der eingeschleusten Botschaft aufweist, versendet.In this case, the identifier of the injected message with falsified data content is advantageously determined and a correction message is sent in the form of that regular message which has the same identifier as the identified identifier of the injected message.
Vorzugsweise wird hierbei die Korrekturbotschaft vor einer Datenübernahme der eingeschleusten Botschaft mit verfälschtem Dateninhalt durch die Netzwerkknoten, welche die eingeschleuste Botschaft aufgrund ihrer Kennung empfängerseitig selektieren, versandt und von diesen Netzwerkknoten empfangen, selektiert und statt der eingeschleusten Botschaft verarbeitet.In this case, the correction message is preferably sent by the network nodes, which select the injected message on the basis of their identifier on the receiver side, before data acceptance of the injected message with falsified data content, and is received by these network nodes, selected and processed instead of the injected message.
Vorteilhafterweise wird die Korrekturbotschaft dabei so versandt, dass sie möglichst unmittelbar vor der Datenübernahme durch den Netzwerkknoten empfangen und verarbeitet wird.The correction message is advantageously sent in such a way that it is received and processed by the network node as directly as possible before the data is accepted.
Weiterhin kann vorteilhafterweise eine Folge von mehreren Korrekturbotschaften versandt werden.Furthermore, a sequence of several correction messages can advantageously be sent.
Vorzugsweise endet die Folge von Korrekturbotschaften hierbei spätestens zu dem Zeitpunkt, an dem die nachfolgende reguläre Botschaft versendet wird.In this case, the sequence of correction messages preferably ends at the latest at the point in time at which the subsequent regular message is sent.
Gemäß einer Ausführungsform der Erfindung ist der Kommunikationsbus als CAN-Bus ausgestaltet, auf dem mit einer Kennung versehene CAN-Botschaften übertragen werden.According to one embodiment of the invention, the communication bus is designed as a CAN bus on which CAN messages provided with an identifier are transmitted.
Insbesondere kann der CAN-Bus für den Austausch von CAN-Botschaften zwischen CAN-Bus-Komponenten eines Fahrzeuges vorgesehen sein.In particular, the CAN bus can be provided for the exchange of CAN messages between CAN bus components of a vehicle.
Die Erfindung betrifft auch eine Vorrichtung, die so eingerichtet ist, dass sie ein Verfahren nach einem der vorhergehenden Ansprüche durchführt.The invention also relates to a device set up to carry out a method according to any one of the preceding claims.
Weitere Merkmale der vorliegenden Erfindung werden aus der nachfolgenden Beschreibung und den Ansprüchen in Verbindung mit den Figuren ersichtlich.
-
1 zeigt ein Flussdiagramm, das die grundlegenden Schritte des erfindungsgemäßen Verfahrens zur Reduzierung der Auswirkungen von einer auf einem Kommunikationsbus eingeschleusten Botschaft wiedergibt; -
2 zeigt ein detaillierteres Flussdiagramm des erfindungsgemäßen Verfahrens; -
3 zeigt schematisch den Zeitverlauf der Reaktion auf einen Angriff durch eine eingeschleuste Botschaft durch Versenden einer Korrekturbotschaft (A) oder einer Folge von Korrekturbotschaften (B); und -
4 zeigt schematisch einen Kommunikationsbus mit mehreren Netzwerkknoten, bei dem das erfindungsgemäße Verfahren durchgeführt wird.
-
1 Fig. 12 is a flow chart showing the basic steps of the method of reducing the impact of a message injected on a communication bus according to the invention; -
2 shows a more detailed flow chart of the method according to the invention; -
3 shows schematically the time course of the reaction to an attack by a smuggled message by sending a correction message (A) or a sequence of correction messages (B); and -
4 shows a communication bus with a plurality of network nodes, in which the method according to the invention is carried out.
Zum besseren Verständnis der Prinzipien der vorliegenden Erfindung werden nachfolgend Ausführungsformen der Erfindung anhand der Figuren detaillierter erläutert. Es versteht sich, dass sich die Erfindung nicht auf diese Ausführungsformen beschränkt und dass die beschriebenen Merkmale auch kombiniert oder modifiziert werden können, ohne den Schutzbereich der Erfindung, wie er in den Ansprüchen definiert ist, zu verlassen.For a better understanding of the principles of the present invention, the following exemplifications tion forms of the invention explained in more detail with reference to the figures. It goes without saying that the invention is not limited to these embodiments and that the features described can also be combined or modified without departing from the protective scope of the invention as defined in the claims.
Das Verfahren kann beispielsweise beim Einschalten der Zündung des Kraftfahrzeugs gestartet werden. Ein Überwachungssystem des CAN-Busses überwacht den Busverkehr. Dieses Überwachungssystem kann hierbei insbesondere dezentral auf den verschiedenen Netzwerkknoten als standardisierte Software-Komponente implementiert sein. Das Überwachungssystem erkennt dann zunächst in Verfahrensschritt 10 den Angriff mit der eingeschleusten Botschaft, beispielsweise anhand der Verwendung einer für einen Netzwerkknoten reservierten Kennung zum Transport von Daten durch eine Botschaft, die nicht von dem jeweiligen Netzwerkknoten versandt worden ist.The method can be started, for example, when the ignition of the motor vehicle is switched on. A CAN bus monitoring system monitors the bus traffic. In this case, this monitoring system can be implemented in a decentralized manner on the various network nodes as a standardized software component. In
Hat das Überwachungssystem eine eingeschleuste Botschaft erkannt, so wird in Verfahrensschritt 11 eine Korrekturbotschaft erzeugt. Diese Korrekturbotschaft entspricht hierbei derjenigen regulären CAN-Botschaft, die der erkannten Kennung der eingeschleusten Botschaft mit verfälschtem Dateninhalt entspricht und enthält damit den korrekten, unverfälschten Dateninhalt dieser regulären CAN-Botschaft.If the monitoring system has recognized a message that has been smuggled in, then in method step 11 a correction message is generated. In this case, this correction message corresponds to that regular CAN message which corresponds to the identified identifier of the introduced message with falsified data content and thus contains the correct, unadulterated data content of this regular CAN message.
Die Korrekturbotschaft wird dann in Verfahrensschritt 12 auf dem Kommunikationsbus versendet. Indem sichergestellt wird, dass die Korrekturbotschaft vor einer Datenübernahme der eingeschleusten Botschaft durch die Netzwerkknoten, welche die eingeschleuste Botschaft aufgrund ihrer Kennung empfängerseitig selektieren, von diesen Netzwerkknoten empfangen wird, wird dann die Korrekturbotschaft statt der eingeschleusten Botschaft verarbeitet. Auf diese Weise kann verhindert werden, dass die falschen Signalinhalte der eingeschleusten Botschaft zur Ausführung von Fahrzeugfunktionen führen können, die von dem Angreifer zwar so beabsichtigt, für die Fahrzeuginsassen und Fahrzeugumwelt aber eine potenzielle Gefahr darstellen.The correction message is then sent in
In Verfahrensschritt 20 wird dann für jede über den CAN-Bus empfangene Botschaft die Kennung dieser Botschaft ermittelt. Daraufhin überprüft das Überwachungsmodul in Verfahrensschritt 21 die ermittelte Kennung darauf, ob diese Botschaft mit einer Kennung gekennzeichnet ist, die von der CAN-Bus-Komponente selbst beim Versenden von Botschaften mit Nutzdaten verwendet wird. Hierfür kann auf eine CAN-Matrix oder auch eine spezielle Sendetabelle zurückgegriffen werden, in der alle Kennungen, die bei der Aussendung von Nutzdaten durch die CAN-Bus-Komponente benutzt werden, verzeichnet sind. Solange hierbei keine Botschaft mit einer eigenen Kennung detektiert wird, wird die Überwachung des Kommunikationsbusses fortgesetzt, um bei darauffolgenden Botschaften ebenfalls die Kennung zu ermitteln und zu überprüfen.In
Bei Feststellen einer Übereinstimmung der Kennung einer empfangenen Botschaft mit einem Eintrag in der Sendetabelle kann in einem darauffolgenden optionalen Verfahrensschritt 22 zunächst noch überprüft werden, ob es sich ggfs. um ein Remote Frame handelt, welches von einer anderen CAN-Bus-Komponente zur Anforderung von Daten gesendet wurde. Wie bereits erwähnt, wird die Remote-Funktion in der Automobilbranche kaum verwendet, und ist bei einigen Automobilherstellern sogar verboten, in anderen Technikbereichen kann aber durchaus eine Nutzung der Remotefunktion erfolgen. Dieses kann an einem gesetzten RTR („Remote Transmission Request“)-Bit der Botschaft erkannt werden. Handelt es sich tatsächlich um einen Remote Frame, so wird dieses nicht durch Versenden einer Korrekturbotschaft unbrauchbar gemacht. Die Überwachung des Kommunikationsbusses wird aber auch nach Empfang einer Botschaft mit gesetztem RTR-Bits fortgesetzt, um zu verhindern, dass ein Angreifer zunächst eine Remote Frame sendet und danach die Antwort einschleust.If it is determined that the identifier of a received message matches an entry in the transmission table, in a subsequent
Im Anschluss an Verfahrensschritt 21 bzw. wenn in dem optionalen Verfahrensschritt 22 erkannt wird, dass es sich nicht um einen Remote Frame handelt, kann davon ausgegangen werden, dass es sich um eine eingeschleuste Botschaft handelt. Es wird dann im darauffolgenden Verfahrensschritt 23 als Gegenmaßnahme eine Korrekturbotschaft versendet, um die eingeschleuste Botschaft unmittelbar nach ihrer Übertragung unwirksam zu machen.Subsequent to
Hierbei kann es vorgesehen werden, bis zum Versenden der nächsten regulären Botschaft durch die CAN-Bus-Komponente eine Folge von Korrekturbotschaften zu versenden. Zu diesem Zweck kann in dem darauffolgenden Verfahrensschritt 24 überprüft werden, ob bereits der Zeitpunkt zum Versenden dieser nachfolgenden regulären Botschaft erreicht ist. So kann bei zyklisch über den Bus übertragenen Botschaften überprüft werden, ob ein hierfür vorgesehene Timer bereits abgelaufen ist oder in Kürze ablaufen wird. Solange dieses nicht der Fall ist, können dann weitere Korrekturbotschaften versandt werden.Provision can be made here for a sequence of correction messages to be sent before the next regular message is sent by the CAN bus component. For this purpose, it can be checked in the
Erkennt das Überwachungssystem dann den Angriff mit der eingeschleusten Botschaft EB anhand der Verwendung einer für den jeweiligen Netzwerkknoten reservierten Kennung, so antwortet dieses zum Zeitpunkt t1 mit dem Versenden einer Korrekturbotschaft KB, wie in
Das Versenden einer einzelnen Korrekturbotschaft erhöht hierbei kaum die Buslast auf dem CAN-Bus. Ebenso kann es aber von Vorteil sein, eine Folge von Korrekturbotschaften zu versenden, beispielsweise um bei einem erkannten Angriff die Gefahr eines erneuten Angriffes zu reduzieren. Dieses ist in
Ob nur eine einzelne Korrekturbotschaft, oder aber eine Folge von Korrekturbotschaften versandt wird, kann beispielsweise in Abhängigkeit von der Zyklusdauer, Wahrscheinlichkeit eines drohenden Angriffs oder Wichtigkeit der jeweiligen regulären Botschaft entschieden werden.Whether only a single correction message or a sequence of correction messages is sent can be decided, for example, depending on the cycle time, the probability of an impending attack or the importance of the respective regular message.
Als Teil der Kommunikationssoftware SW der CAN-Bus-Komponente CK1 ist ein Überwachungsmodul UE vorgesehen, welches die oben beschriebene Überwachung der Botschaften auf dem CAN-Bus CB durchführt und das Versenden der Korrekturbotschaften veranlasst. Ein solches Überwachungsmodul UE kann als standardisierte Software-Komponente in jedem der an dem CAN-Bus angeschlossenen CAN-Bus-Komponenten vorgesehen sein bzw. bei einem gesicherten Update der Firmware eingespielt werden. Ebenso ist es aber auch möglich, nur einen oder ausgewählte der CAN-Bus-Komponenten mit solchen Überwachungsmodulen zu versehen.As part of the communication software SW, the CAN bus component CK 1 is provided a monitoring module UE, which performs the monitoring of the messages described above to the CAN bus CB and causes the sending of correction messages. Such a monitoring module UE can be provided as a standardized software component in each of the CAN bus components connected to the CAN bus or can be loaded in the case of a secure update of the firmware. However, it is also possible to provide only one or selected of the CAN bus components with such monitoring modules.
Das erfindungsgemäße Verfahren ist nicht auf den CAN-Bus beschränkt, sondern lässt sich ebenso auch bei anderen Kommunikationsbussystemen einsetzen, bei denen Botschaften mit einer bestimmten Kennung jeweils nur von einer festgelegten Sendeeinheit versendet werden.The method according to the invention is not limited to the CAN bus, but can also be used in other communication bus systems in which messages with a specific identifier are only sent by a specified transmission unit.
BezugszeichenlisteReference List
- 10 - 12, 20 - 2410-12, 20-24
- Verfahrensschrittprocess step
- RBRB
- reguläre Botschaftregular message
- EBEB
- eingeschleuste Botschaftsmuggled message
- KB, KB1 - KB4KB, KB1 - KB4
- Korrekturbotschaftcorrection message
- CK1 - CK3CK1 - CK3
- CAN-KnotenCAN node
- CBcb
- CAN-BusCAN bus
- SWSW
- Kommunikationssoftwarecommunication software
- HWhw
- Kommunikationssoftwarecommunication software
- UEUE
- Überwachungsmodulmonitoring module
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102020212452.3A DE102020212452B3 (en) | 2020-10-01 | 2020-10-01 | Method for reducing the impact of a message injected on a communication bus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102020212452.3A DE102020212452B3 (en) | 2020-10-01 | 2020-10-01 | Method for reducing the impact of a message injected on a communication bus |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102020212452B3 true DE102020212452B3 (en) | 2022-01-13 |
Family
ID=79020356
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102020212452.3A Active DE102020212452B3 (en) | 2020-10-01 | 2020-10-01 | Method for reducing the impact of a message injected on a communication bus |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102020212452B3 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3506118C2 (en) | 1985-02-22 | 1991-01-03 | Robert Bosch Gmbh, 7000 Stuttgart, De | |
DE102009026995A1 (en) | 2009-06-17 | 2011-03-31 | Robert Bosch Gmbh | Method for operating a bus system, in particular a CAN bus |
WO2011051157A1 (en) | 2009-10-27 | 2011-05-05 | Siemens Aktiengesellschaft | Method and device for transmitting data |
DE102019001978A1 (en) | 2019-03-21 | 2020-10-08 | Volkswagen Aktiengesellschaft | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle |
-
2020
- 2020-10-01 DE DE102020212452.3A patent/DE102020212452B3/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3506118C2 (en) | 1985-02-22 | 1991-01-03 | Robert Bosch Gmbh, 7000 Stuttgart, De | |
DE102009026995A1 (en) | 2009-06-17 | 2011-03-31 | Robert Bosch Gmbh | Method for operating a bus system, in particular a CAN bus |
WO2011051157A1 (en) | 2009-10-27 | 2011-05-05 | Siemens Aktiengesellschaft | Method and device for transmitting data |
DE102009050767A1 (en) | 2009-10-27 | 2011-05-05 | Siemens Aktiengesellschaft | Method and device for data transmission |
DE102019001978A1 (en) | 2019-03-21 | 2020-10-08 | Volkswagen Aktiengesellschaft | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1298850B1 (en) | Method and apparatus for monitoring a bus system and a bus system | |
EP3977682B1 (en) | Error detection test device for a subscriber station of a serial bus system, and method for testing mechanisms for detecting errors in a communication in a serial bus system | |
DE112008000795B4 (en) | In-vehicle forwarding connection unit | |
WO2018077528A1 (en) | Detection of manipulations in a can network by checking can identifiers | |
EP3685551B1 (en) | Method for monitoring the communication on a communication bus, and electronic apparatus for connection to a communication bus | |
WO2020187985A1 (en) | Method for monitoring communication on a communication bus, electronic apparatus for connection to a communication bus, and vehicle | |
DE102019217030A1 (en) | ASSIGN BUS-OFF ATTACKS BASED ON ERROR-FRAMES | |
DE102018114739A1 (en) | Operation log and procedure of the vehicle network | |
EP3189629A1 (en) | Method for serially transmitting a frame from a transmitter to at least one receiver by means of a bus system, and a subscriber station for a bus system | |
DE102016206630A1 (en) | Method and device for avoiding manipulation of a data transmission | |
DE102018116676A1 (en) | Vehicle network with implementation of XCP protocol policy and procedures | |
DE102018212879A1 (en) | Control device and control method | |
EP0570338B1 (en) | Method and apparatus for monitoring access and access protection in communication networks | |
DE102017209557A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
EP3523941B1 (en) | Communication data authentication device for a vehicle | |
DE112014003345B4 (en) | data exclusion device | |
EP1548986B1 (en) | Bus system for an airplane | |
DE102020212452B3 (en) | Method for reducing the impact of a message injected on a communication bus | |
EP3725041B1 (en) | Method for providing information for the localization of errors in a communications network of an apparatus, correspondingly designed bus device station and vehicle | |
DE102012110712B4 (en) | Method and system for functional testing of an error detection unit of a CAN bus controller unit | |
DE102017209556A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
EP3871393B1 (en) | Method for monitoring a data transmission system, data transmission system and motor vehicle | |
EP2575282B1 (en) | Device and method for receiving a secure telegram | |
WO2021099186A2 (en) | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus, and central monitoring device for connection to a communication bus | |
DE102018216958B4 (en) | Bus system with at least two bus nodes, bus node, motor vehicle and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012260000 Ipc: H04L0043000000 |
|
R020 | Patent grant now final |