JP2018523390A - デバイス認証のためのシステム - Google Patents
デバイス認証のためのシステム Download PDFInfo
- Publication number
- JP2018523390A JP2018523390A JP2017567236A JP2017567236A JP2018523390A JP 2018523390 A JP2018523390 A JP 2018523390A JP 2017567236 A JP2017567236 A JP 2017567236A JP 2017567236 A JP2017567236 A JP 2017567236A JP 2018523390 A JP2018523390 A JP 2018523390A
- Authority
- JP
- Japan
- Prior art keywords
- data bus
- signal
- bus
- message
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/36—Handling requests for interconnection or transfer for access to common bus or bus system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
通信バスは、デバイスが情報及び制御信号を伝達及び交換することを可能にする。このようなタイプのバスのセキュリティに対する懸念が増大している。任意のデバイスが任意のメッセージを送信できるので、危険に晒され得るバス上のデバイスはバスに対して脅威を与える。通信バス上の様々なデバイスからメッセージのソースを認証するためのシステムが記載されている。
Description
本願及び方法は、通信バスに接続されるデバイスの認証の分野に関する。
一方の電子デバイスから他方に情報を送信するための複数のアーキテクチャが存在している。図1Aには一般に使用されているアーキテクチャが示されている。このアーキテクチャにおいて、デバイスは、データバス又は通信バスと呼ばれることが多い一般的な通信構造を共有している。このアーキテクチャにおいて、データバスに接続される各デバイスは、データバス上に情報を送信し、又はデータバス上に送信された任意の情報を受信する。更に、データバス上に送信される情報は、各デバイスを歪みなく通り抜けることができる。このようなバスの例は、RS485/422、CAN BUS、Flex Ray等である。
多数のデバイスが上記のデータバスに接続されている。一部のデータバスにおいて、デバイスは、一意識別(ID)番号によって識別される。このような場合、ID番号は、デバイスからの全ての通信に出現し、通信のソースを認証するために使用され得る。例えば、CAN BUS等の他のデータバスにおいて、メッセージはメッセージID番号によって識別され、メッセージは特定のデバイスに関連付けられない。それ故に、何らの制限無く任意のデバイスが任意のメッセージをバス上で送信することができる。
このようなタイプのバスのセキュリティに対する懸念が増大している。任意のデバイスが任意のメッセージを送信できるので、危険に晒され得るバス上のデバイスはバスに対して脅威を与える。特定の例として、自動車のCAN BUSについて考えることができる。カーラジオ等のブルートゥース(登録商標)無線接続を有するデバイスはハッキングされる可能性が有り、攻撃者がカーラジオの制御を掌握し得る。次に、攻撃者は、任意のメッセージを発信し、更には何らかのアクションを開始するために車のCAN BUSに接続されているカーラジオを使用し得る。メッセージの例には、車を開錠すること、又はブレーキペダルを踏むこと、又は自動車の速度計若しくは回転の数値を変更することが含まれる。一般的な脅威は、自動車の完全性及び運転者の安全性が自動車のCAN BUSに接続される任意のデバイスにアクセスできる攻撃者によって深刻な危険に晒され得ることである。
(用語解説)
本開示において使用される「データバス」とは、2つ以上の電子デバイスを接続する1つ以上の有線接続であって一方のデバイスから他方に電子データ情報を送信するために使用されるものを意味する。
本開示において使用される「データバス」とは、2つ以上の電子デバイスを接続する1つ以上の有線接続であって一方のデバイスから他方に電子データ情報を送信するために使用されるものを意味する。
本開示において使用される「データバスライン」とは、データバスに使用される配線を意味する。
本開示において使用される「電圧レベル」とは、データバスラインの既定の電圧を意味する。
本開示において使用される「データバス信号」とは、差動データバスの2つのデータバスラインにおける電圧レベル間の差を意味する。
本開示において使用される「物理特性」とは、データバス信号の物理的特徴を意味し、物理特性の例は、信号パルス幅、信号テール、信号電圧、信号パルス間時間変動、信号パルススルーレート、及び信号パルス間若しくはパルス内電圧変動を含む。
本開示において使用される「パッシブ・タイム・ドメイン・リフレクトメトリ」(PTDR)とは、データバスに電気的に接続される電子デバイスであり、データバス信号の物理特性を測定する。
同じ譲受人に対する2013年12月30日の優先日を有する2014年12月4日に出願された米国出願第US14559,966号及び米国特許第7,812,617号は、CAN BUSにおける不良を識別するためのシステムを記載している。不良は、パッシブ・タイム・ドメイン・リフレクトメトリ(PTDR)と呼ばれる手法を用いてリアルタイムで識別される。こうした参考文献において、受信デバイスは、信号テール又は信号パルス等の所定の信号特性を測定して、信号物理特性が不良状態を示す場合にアラートを提供する。参考文献“Passive Time Domain Reflectometry Based Authentication for Controller Area Network Bus”は、バスに信号を送信するデバイスを識別するためにPTDR法を用いることを記載している。しかしながら、“Passive Time Domain Reflectometry Based Authentication for Controller Area Network Bus”において記載された方法には、幾つかの欠点が有る。即ち、信号が自動車から自動車へと反復可能ではなく、信号は、実際にはデバイスを示しておらず、バス媒体及び関連の不良を示している。このようなことのため、“Passive Time Domain Reflectometry Based Authentication for Controller Area Network Bus”システムは、システムのセキュア動作にとって有害な多くの誤報を有する。
図1Aは、電子デバイス(101、103)を互いに接続する手段を提供するデータバス(119、121)の例である。図1Aはデータバスの例であり、デバイス101はライン111、113を介してデータバス(119、121)に接続され、デバイス103はライン115及び117を介してデータバス(119、121)に接続されている。デバイス(101、103)は、データバス(119、121)上に電圧を印加することによってデータを送信する。一例では、差動データバスにおいて、データバスライン119の初期ライン電圧レベルは、データバスライン121の初期電圧レベルに等しい。デバイス(101、103)は、データを送信するときに、一連の電圧レベルから成る時間変動ライン電圧信号を生成する。ビットは、最小データ情報単位である。それは2つの値、‘1’又は‘0’を有し得る。各ビットは、ビット時間に対応する持続時間の間、デバイス(101、103)によってデータバス(119、121)上に印加される一連の2つの電圧レベルによって定義される。終端抵抗(130、132)は、バスの終端点において整合インピーダンスを提供し、バスの終端点からの信号反射を防ぐ。
図1Bは、データバス(119、121)上のライン電圧信号(151、153)の例である。結果として生じるデータバス信号(155)は、ライン電圧信号(151、153)間の電圧差である。ライン151は第1のデータバスライン(119)上のライン電圧信号であり、ライン153は第2のデータバスライン121上のライン電圧信号である。ライン151は、2つの電圧レベルを含む。電圧レベルの例は、3Vの高電圧レベルと2.5Vの低電圧レベルである。他の電圧レベルの例は、CAN BUS Spec 2.0、ISO 11898−2等の関連の通信標準に記載されている。CAN BUS Specにおいて、バスライン配線(119)上のCAN高電圧は3.5Vであり、バスライン配線(121)上のCAN低電圧は1.5Vである。信号は優勢及び劣性と名付けられる。‘0’とも名付けられる優勢信号は、バスライン配線(119、121)間の電圧差が2Vよりも大きい場合である。‘1’とも名づけられる劣性信号は、電圧差が0V(ゼロ)であり、両配線が2.5Vの共通電圧で浮動している場合である。ライン153は、2つの電圧レベルを含む。一例では、ライン153の高電圧レベルは、ライン151の低電圧レベルに等しい。別の例では、データバスライン153の高電圧レベルは、データバスライン151の低電圧レベルよりも低い。一例では、データバスライン153の高電圧レベルは、データバスライン151の低電圧レベルに対して0.5V以上小さい。
図1Bに記載されているデータバス信号は、複数のビットから成る。一例では、‘1’ビットが、楕円145で示されている。一例では、‘1’データバス信号は、楕円141で示されるように、ライン電圧151における電圧レベルが高い場合であって、ライン電圧153における電圧レベルが低い場合に取得される。別の例では、‘0’データバス信号が、楕円147で示されている。一例では、‘0’データバス信号は、楕円143で示されるように、ライン電圧151における電圧レベルが低い場合であって、ライン電圧153における電圧レベルが高い場合に取得される。
図2は、電子デバイス(202、204、208、210、212、214)を接続するデータバス(220)及びデータバス(220)に接続されたPTDRデバイス(222)の例である。PTDRは、任意の電子デバイス(202、204、208、210、212、214)と同じ形態でデータバス(220)に電気的に接続される。PTDRに基づく通信バス上でデバイスを認証するためのシステムが以下に記載される。
一例では、PTDR(222)は、バス上で電気信号を受信するように設計される受信機と、前記信号を分析するために参照時間基準を提供するように設計される高速カウンタと、前記参照時間基準を使用して前記信号を分析するように構成される論理ユニットと、バス用の送信機又は無線送受信機の何れかであり得る通信デバイスとを備える。
更なる例では、PTDRは、上記の項目に加えて以下の任意のもの、即ち、データ記録ユニットと、デバイス及び関連の信号特性のデータベースであって、不揮発性メモリに含まれるデータベースと、データバスからの非許可信号を除去するためにアクティブ化され得る信号除去ユニットとを備え得る。
一例では、PTDR(222)は、連続運転されて、データバス信号の物理特性を測定する。物理特性の例は、信号パルス幅、信号電圧、信号パルス間時間変動、送信機発振周波数、信号パルススルーレート、及び信号パルス間若しくはパルス内電圧変動を含む。特に、一部の特性、利点及び可能な用途について検討する。
信号電圧−バス上の異なる各デバイスは、異なる電気回路又はコンポーネントを有しており、バス上の異なる場所に位置している。デバイスの場所及び構造は、バス上に様々な信号電圧を生み出す。使用の一例では、送信機ごとに電圧が測定される。一例では、電圧は以下に記載されるようにデータ伝送中の特定のタイミングの間に測定され得る。なお、アナログ・デジタルサンプリング点は、ビット幅が非常に短い場合が有るのでメッセージ内の非常に特定された点であるべきことに留意されたい。例えば、CAN FD標準において、ビットは100ns程の短さであってもよい。信号電圧は、配線切断の影響を受け易く、バスの不良中に使用されるべきではない。
信号パルス幅−CAN BUSにおいて、有効な優勢パルス幅は、1から5ビット長まで適合する。2つの送信機は、殆ど同じ単一のビット幅を有してもよいが、異なる5ビット幅測定値を有してもよい。信号パルス幅は、配線切断の影響を受け易く、バスの不良中に使用されるべきではない。
信号パルススルーレート又は単一の立ち上がり時間及び立ち下がり時間−立ち上がり時間及び立ち下がり時間は送信機ごとに変化する。一例では、スルーレートは、高速カウンタを使用して測定され得る。スルーレートを測定する方法の1つは、1/2の減衰等、減衰した入力信号を追加の送受信機に加えること、高速カウンタを使用して、立ち上がり時間を求めるために第1の受信機のレベルから第2の受信機までの時間、及び立ち下がり時間を測定するために第2の受信機から第1の受信機までの時間を測定することである。スルーレートは、配線切断の影響を受け易く、バスの不良中に使用されるべきではない。
送信機発振周波数−バス上の各送信機はそれ自身の発振器を有する。例えば、CAN BUS等の各標準は、こうした発振周波数が変化し得るパーツ・パー・ミリオン(PPM)を定義している。特定のシステムにおいて組み立てられると、適格な発振器であれば、発振器デバイスPPM許容範囲まで指定周波数に近い周波数を生成するであろう。各送信機の実際の周波数は、特徴的であり、物理特性としての役割を果たし得る。この特性を測定するために、高速カウンタは、50マイクロ秒離れている優勢ビットの2つのエッジの間を測定し得る。100PPM(=0.01%)の発振器に関して、50マイクロ秒は、プラスマイナス5ナノ秒の差を生むであろう。この測定値は、バス不良にとって多くも少なくもない。
PTDR(222)データベースは、メッセージ番号及び許可された送信機の識別番号のリストを含む。データベースは、送信機識別番号及び信号の物理特性のリストを更に含み得る。特性は、各物理特性の絶対数又は数字の範囲を含み得る。例えば、データベースは、電圧の値、電圧範囲、パルス幅等を含み得る。一例では、データベースは、物理特性の平均及び分散を含む。論理ユニットは、受信した信号が特定の送信機から送信された確率を計算するためにこうした数字を使用し得る。
高速カウンタは、PTDRの動作を促進するコンポーネントの1つである。高速カウンタは、受信した信号の全ての時間的特徴に対して時間基準を提供する。一例では、高速カウンタは、一連のより遅いカウンタによって実装される。例えば、特定の電子ICが最大で特定の周波数−Fmaxまで標準バイナリカウンタを収容できる場合である。高速カウンタは、同じIC設計規則で実装され得るが、Fmaxよりも高いカウント周波数を達成できる。例として8xFmaxカウンタが記載される。
位相ロックループ(PLL)又はデジタル位相ロックループ(DLL)は、最大でFmaxまで及び50%デューティサイクルで4つのクロック信号を生成する。各クロックが45°シフトされ、それ故に各クロックは、それぞれ0°、45°、90°、135°で立ち上がりエッジ を有する。立ち下がりエッジは、180°、225°、270°、315°である。クロック信号は、8つのカウンタを駆動する。各カウンタは、カウンタ信号の各立ち上がり又は立ち下がりエッジでカウントするように構成される。全ての8つのカウンタが、元のクロックの周波数よりも8倍高いカウンタを生み出すように合計される。このような高速カウンタの動作を成功させる鍵は、その一意のクロックエッジを使用して、各カウンタが入力イネーブル信号をサンプリングするフリップフロップによってバッファリングされることである。このフリップフロップは、そのカウンタの一意のクロックによってクロックされる、個々のより遅いカウンタに対するクロック・ドメイン・クロッシング・バリアとして機能する。
典型的なデータバスは、データバス上に常に情報を送信している数十のデバイスを含む。PTDRは、データバス上の信号を連続的に分析して、信号の物理特性を抽出する。物理特性抽出のエラーを減らすことが望ましい。特定の時間に及び特定のやり方でサンプリングすることによって、他の信号と関連するクロストークを減少させることができ、物理特性を獲得した値においてより小さな不確実性で抽出することができることが観測された。ソース送信機特徴の物理特性を測定するために使用可能なCAN BUSメッセージには3つの部分が有る。最初のアービトレーション部、最後のアクノリッジ部、及びアービトレーション部とアクノリッジ部との間のデータベアリング部である。アービトレーション部及びアクノリッジ部において、少数の又は更に全てのモジュールが同時にバス上に送信し、それ故に単一の送信機を識別することは困難である。メッセージのデータ部は単一の送信機によってのみ送信されるので、これはメッセージのソースである送信機を認証して関連特性を導出するのに適切な時間である。
例示のPTDRの動作は、データバス上の電圧の変化が高速カウンタをアクティブ化すること、データバス上の電圧がデータバス信号レートよりも少なくとも10倍高いレートでサンプリングされること、電圧及びタイミング情報が信号の関連物理特性を抽出するために論理ユニットによって処理されること、メッセージ識別番号がデータバスプロトコルを使用して分析されること、論理ユニットがメッセージ識別番号に関して許可された送信機を取得すること、全ての許可された送信機に対して、論理ユニットが測定された物理特性をデータベースに保持されている物理特性データと比較すること、及び一致が無い場合、論理ユニットが取得されたメッセージが許可された送信機からではないことを出力することである。
このシステムの動作の重大な側面は、誤報の減少である。データバス上のノイズのために測定された物理特性が許可された送信機に対応しない場合に誤報が発生する。この場合、論理ユニットは、受信したメッセージが許可された送信機からではないことを誤って示し得る。誤報の割合を減らすために、以下のアクションが行われる。
物理特性は記述統計データとして記憶され、論理ユニットは、測定された物理特性が記述統計データに対応する確率を計算する。例えば、値の分布がガウス確率変数である場合、記述統計データは信号の平均及び分散である。測定された物理特性の確率は、ガウス母関数及び測定された信号の期待値を計算することによって得ることができる。
論理ユニットの決定は、2つ以上の物理特性の確率に基づいている。一例として、論理ユニットは、以下に一致しない場合に受信したメッセージが許可された送信機からではないことを識別する。
即ち、電圧値が90%より高い限界を有している確率、及び時間変動が95%より高い限界の中である確率、及びパルス幅が90%より高い限界の中である確率である。
別の例では、誤報の割合を更に最小化するために、メッセージ物理特性が許可された送信機の確率に適合しない2つ以上のインスタンスの後でのみ受信したメッセージが許可されたソースからではないことを論理ユニットが識別するように、上記の識別の処理が洗練される。この関数をサポートするために、データベースは、カウンタを含むように拡張される。一例では、カウンタは、メッセージのデータベースに追加され得る。論理ユニットがメッセージが許可された送信機からではないことを識別すると、カウンタは1だけ増加される。所定のタイプの不正なメッセージの既定数が受信された後でのみ、論理ユニットは、それらが物理特性の確率基準に適合しない場合に、更なるこのようなメッセージが許可されたものからではないことを決定する。
別の例では、データベースは、バス上の全ての送信機のデータベースを含むように拡張され得る。受信される任意のメッセージが、それが送信された送信機を見つけるために分析される。この例では、特定の送信機から反復的に受信される不正なメッセージが、関連する電子デバイスが危険に晒されていることの指示を提供することができる。
それ故に、一例では、データが信号レートで送信されるデータバスと、前記データバスに接続される受信機と、高速カウンタと、論理ユニットと、信号レートよりも高いサンプリングレートでデータバス電圧をサンプリングして受信信号を生成するように構成されるサンプリングユニットと、許可されたメッセージ及び対応するメッセージ物理特性のリストを含むデータベースとを含むデータバス上で不正な信号を識別するためのシステムであって、論理ユニットは受信信号の物理特性を計算し且つ物理特性をデータベースに保持されたものと比較するシステムが記載される。データバス上の不正な信号を識別するためのシステムの更なる例では、データバスは、RS485/422、CAN BUS、又はFlex Rayの何れかである。追加例では、高速カウンタは、2つ以上の位相シフトカウンタを合計することによって実装される。更なる例では、サンプリングレートは、信号レートの少なくとも5倍である。更なる例では、論理ユニットは、測定された物理特性がデータベースに維持されている一連の物理特性に属する確率を計算する。別の例では、論理ユニットは、測定された物理特性がデータベースに維持されている一連の物理特性に属する確率を計算する。更なる例では、論理ユニットは、計算された確率が既定の閾値よりも低い場合に非許可のメッセージを示す信号を提供する。追加例では、論理ユニットは、測定された物理特性がデータベースに維持されている物理特性に適合しない場合に非許可のメッセージを示す信号を提供する。
本開示の教示は、データバスを利用して電子デバイス間で通信するシステムに対するサイバー攻撃を軽減するためのシステム及び方法を構築するために使用され得る。データバスを使用して電子デバイス間で通信するシステムの一例は、自動車である。自動車へのサイバー攻撃は、自動車の運転を制御するか又は通常運転を混乱させることを目的としていることがある。このような混乱は、潜在的に致死的な結果をもたらし得る。 典型的には、自動車へのサイバー攻撃は、通常は、無線通信チャネルである侵入経路を必要とする。入力経路の例は、WiFi又はブルートゥース無線接続を有し得るカーオーディオシステム、各ホイールに無線送信機及び自動車内に設けられる入力点となり得る無線受信機を含む自動車タイヤ空気圧測定システム(TPSM)、自動車WiFiユニット、自動車製造業者トランスポンダ(例えば、オンスター、その他)を含む。
攻撃者が無線システムを介して自動車内の電子デバイスへのアクセスを取得すると、次のステップは、データバス上に不正なメッセージ又はコマンドをブロードキャストするために電子デバイスの送信機を使用することである。このようなメッセージ又はコマンドの例は、自動車内の走行制御をアクティブ化又は非アクティブ化すること、自動車の施錠又は開錠、運転中であってもエンジンを切ること、ブレーキをアクティブ化すること等を含む。このような例から、サイバー攻撃が有害な結果を有しており、不正なメッセージの識別が最も重要であることが明らかである。
更なる例では、論理ユニットは、不正なメッセージがバス上に送信されたことを示すアラーム又は信号を提供することができる。一例では、論理ユニットは、データバス上にメッセージとしてアラームを提供することができる。このメッセージは、バス上の任意の電子デバイスによって受信され得る。一例では、このようなメッセージが受信されると、電子デバイスは以前の不正なメッセージを無視する。別の例では、アラーム信号は、バス上の電子デバイスに、又は外部電子デバイスに、不正なメッセージがバス上に送信されたことの指示を提供するための無線チャネルによって送信され得る。一例では、自動車は、不正なメッセージの場合にアクティブ化される既定のプロシージャを有してもよい。このようなプロシージャの例は、自動車ユーザ又は所有者の通知、又は法執行機関の通知を含み得る。
更なる例には、バス上に送信された不正なメッセージ又はコマンドをキャンセルするために使用され得るシステムが記載される。以前の例とは対照的に、このシステムは、バス上の電子デバイスを改良する必要がない。CAN BUS標準は、アクティブ及びパッシブエラーエラー処理に関するスルーエラー処理定義を含む。バス上の各CAN BUSユニットは、アクティブ又はパッシブエラーユニットとして定義される。エラーアクティブユニットは、バス上の全てのメッセージをリッスンすることを期待されており、任意のCAN BUS違反を検出すると、6ビット優勢パルスを送信する。このパルスがメッセージの終了前に送信されると、全メッセージが失敗し、バス上の何れのユニットもそのデータを処理又は使用しない。従って、サイバーセキュリティモジュールは、アクティブエラーユニットとして機能し、それが不正なソースから検出したメッセージをエラー出力する。
更なる例では、各ユニットは、ユニットのみが送信できるメッセージに関してCAN BUSを監視する。ユニットによって送信されるべきであった送信信号をユニットが検出すると、それは以前に記載された6ビット優勢パルスを送信することによってメッセージをキャンセルすることができる。一例として、ユニットは、特定のアイデアを有するメッセージをCAN BUS上に送信する衝突検出システムであってもよく、メッセージは、潜在的な衝突を様々な他のユニットに警告するグローバルメッセージである。衝突検出ユニットが衝突検出ユニットから発信されなかった衝突アラートに対応するメッセージIDをCAN BUS上に検出すると、衝突検出ユニットは、6ビット優勢パルスを送信して、CAN BUS上のメッセージをキャンセルする。
それ故に、一例では、本開示には、データバス上のメッセージを無効化するためのシステムであって、データバス上で送信されたメッセージにおける不良を検出するシステムと、メッセージを認証するために前記システムから信号を受信するように構成される受信ユニットであって、前記信号はバス上のメッセージにおける不良を示す受信ユニットと、送信ユニットとを備え、送信ユニットは、受信機が現在送信されているメッセージにおける不良を示す信号を受信すると、データバス上で既定のシーケンスを送信するシステムが記載されている。以前に記載されたデータバス上のメッセージを無効化するためのシステムの別の例では、バス上で送信されたメッセージにおける不良を検出するためのシステムは、以前に記載された不正な信号を識別するための任意のシステムである。
別の例では、バス上の不良状態を検出するためにPTDR機能が利用されて誤報を軽減する。不良が発生すると、一瞬であっても、全てのデバイスの物理特性が変化する。PTDRは、多くのデバイスに対する信号テールの外観の又はパルス幅の変化を検出することによって不良の発生を検出することができる。PTDRが不良の発生を検出すると、それは不良の影響を受けるデバイスに関する認証動作を停止する。
Claims (9)
- データが信号レートで送信されるデータバス(119、121、220)と、
前記データバスに接続される受信機と、
高速カウンタと、
論理ユニットと、
前記バス上の信号レートよりも高いサンプリングレートでデータバス電圧をサンプリングし、且つ受信信号を生成するように構成されるサンプリングユニットと、
許可されたメッセージ及び対応するメッセージ物理特性のリストを含むデータベースと
を備え、
前記論理ユニットは、前記受信信号の前記物理特性を計算し、且つ前記物理特性をデータベースに保持されているものと比較する、データバス(119、121、220)上の不正な信号を識別するためのシステム。 - 前記データバス(119、121、220)は、Mil−Std−1553、CAN BUS、Flex Rayの何れかである、請求項1に記載のデータバス(119、121、220)上の不正な信号を識別するためのシステム。
- 前記高速カウンタは、2つ以上の位相シフトカウンタを合計することによって実装される、請求項1に記載のデータバス(119、121、220)上の不正な信号を識別するためのシステム。
- 前記サンプリングユニットの前記サンプリングレートは、前記信号レートの少なくとも5倍である、請求項1に記載のデータバス(119、121、220)上の不正な信号を識別するためのシステム。
- 前記論理ユニットは、測定された物理特性が前記データベースに保持されている一連の物理特性に属する確率を計算する、請求項1に記載のデータバス(119、121、220)上の不正な信号を識別するためのシステム。
- 前記論理ユニットは、計算された確率が既定の閾値より低い場合に非許可のメッセージを示す信号を提供する、請求項5に記載のデータバス(119、121、220)上の不正な信号を識別するためのシステム。
- 前記論理ユニットは、測定された物理特性が前記データベースに保持されている前記物理特性に適合しない場合に非許可のメッセージを示す信号を提供する、請求項1に記載のデータバス(119、121、220)上の不正な信号を識別するためのシステム。
- データバス(119、121、220)上で送信されたメッセージにおける不良を検出するシステムと、
メッセージを認証するために前記システムから信号を受信するように構成される受信ユニットであって、前記信号は前記バス上のメッセージにおける不良を示す受信ユニットと、
送信ユニットと
を備え、
前記送信ユニットは、受信機が現在送信されているメッセージにおける不良を示す信号を受信すると、前記データバス上で既定のシーケンスを送信する、データバス(119、121、220)上のメッセージを無効化するためのシステム。 - 前記バス上で送信されたメッセージにおける不良を検出するシステムは、請求項1に記載の不正な信号を識別するためのシステムである、請求項8に記載のデータバス(119、121、220)上のメッセージを無効化するためのシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562190771P | 2015-07-10 | 2015-07-10 | |
| US62/190,771 | 2015-07-10 | ||
| PCT/IL2016/050618 WO2017017668A1 (en) | 2015-07-10 | 2016-06-13 | System for device authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018523390A true JP2018523390A (ja) | 2018-08-16 |
Family
ID=57884190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017567236A Pending JP2018523390A (ja) | 2015-07-10 | 2016-06-13 | デバイス認証のためのシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10970381B2 (ja) |
| EP (1) | EP3320474B1 (ja) |
| JP (1) | JP2018523390A (ja) |
| KR (1) | KR20180029961A (ja) |
| CN (1) | CN107636668A (ja) |
| WO (1) | WO2017017668A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220174073A1 (en) * | 2020-11-27 | 2022-06-02 | Robert Bosch Gmbh | Method for checking a message in a communication system |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10599840B2 (en) * | 2016-07-21 | 2020-03-24 | Ramot At Tel Aviv University Ltd. | Anti-spoofing defense system for a can bus |
| US11057213B2 (en) * | 2017-10-13 | 2021-07-06 | Garrett Transportation I, Inc. | Authentication system for electronic control unit on a bus |
| DE102018208118A1 (de) * | 2018-05-23 | 2019-11-28 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Authentifizieren einer über einen Bus übertragenen Nachricht |
| US10884069B2 (en) * | 2018-08-10 | 2021-01-05 | Texas Instruments Incorporated | Control area network (CAN) bus fault detection |
| DE102018218902B4 (de) * | 2018-11-06 | 2020-06-18 | Zf Friedrichshafen Ag | Sicherheitseinrichtung für Bussysteme in Fahrzeugen |
| WO2021086306A1 (en) * | 2019-10-28 | 2021-05-06 | Hewlett-Packard Development Company, L.P. | Analyzing electrical response to detect unauthorized attachment |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6650258B1 (en) * | 2002-08-06 | 2003-11-18 | Analog Devices, Inc. | Sample rate converter with rational numerator or denominator |
| DE10349600B4 (de) * | 2002-10-25 | 2011-03-03 | Infineon Technologies Ag | Verfahren zur Überprüfung von Leitungsfehlern in einem Bussystem und Bussystem |
| ATE453145T1 (de) | 2004-02-24 | 2010-01-15 | Nxp Bv | Verfahren und einrichtung zum schützen einer integrierten schaltung mittels einbrucherkennung durch monte-carlo-analyse |
| US7812617B2 (en) * | 2006-07-07 | 2010-10-12 | Sital Technology & Hw Design 1997 Ltd. | System and method for detecting and locating faults in electronic communication bus systems |
| US7593243B2 (en) * | 2006-10-09 | 2009-09-22 | Honeywell International Inc. | Intelligent method for DC bus voltage ripple compensation for power conversion units |
| US8213321B2 (en) * | 2007-02-01 | 2012-07-03 | Deere & Company | Controller area network condition monitoring and bus health on in-vehicle communications networks |
| US20090175195A1 (en) * | 2008-01-07 | 2009-07-09 | Commscope, Inc. North Carolina | Methods, systems and computer program products for using time domain reflectometry signatures to monitor network communication lines |
| CN101309436B (zh) * | 2008-07-02 | 2012-04-18 | 三一重工股份有限公司 | 一种无线通信设备匹配认证方法、装置及系统 |
| US8549630B2 (en) * | 2010-03-05 | 2013-10-01 | The Regents Of The University Of California | Trojan-resistant bus architecture and methods |
| US9058289B2 (en) * | 2011-11-07 | 2015-06-16 | Sandisk Enterprise Ip Llc | Soft information generation for memory systems |
| WO2013088173A1 (en) * | 2011-12-14 | 2013-06-20 | Wolfson Microelectronics Plc | Data transfer |
| US8880277B2 (en) * | 2012-02-29 | 2014-11-04 | GM Global Technology Operations LLC | Methods and systems for diagnosing a vehicle |
| CN103560810B (zh) * | 2013-11-15 | 2016-04-06 | 哈尔滨工业大学 | 基于can总线通信的电缆测试控制器 |
| US8955130B1 (en) * | 2014-04-10 | 2015-02-10 | Zephyr Technology Co., Limited | Method for protecting vehicle data transmission system from intrusions |
| US20160306967A1 (en) * | 2015-04-17 | 2016-10-20 | Symantec Corporation | Method to Detect Malicious Behavior by Computing the Likelihood of Data Accesses |
-
2016
- 2016-06-13 US US15/579,234 patent/US10970381B2/en active Active
- 2016-06-13 WO PCT/IL2016/050618 patent/WO2017017668A1/en active Application Filing
- 2016-06-13 CN CN201680034621.9A patent/CN107636668A/zh active Pending
- 2016-06-13 KR KR1020177034966A patent/KR20180029961A/ko unknown
- 2016-06-13 EP EP16829951.9A patent/EP3320474B1/en active Active
- 2016-06-13 JP JP2017567236A patent/JP2018523390A/ja active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220174073A1 (en) * | 2020-11-27 | 2022-06-02 | Robert Bosch Gmbh | Method for checking a message in a communication system |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3320474A4 (en) | 2019-03-06 |
| KR20180029961A (ko) | 2018-03-21 |
| WO2017017668A1 (en) | 2017-02-02 |
| EP3320474C0 (en) | 2023-08-02 |
| US20180181743A1 (en) | 2018-06-28 |
| EP3320474A1 (en) | 2018-05-16 |
| CN107636668A (zh) | 2018-01-26 |
| US10970381B2 (en) | 2021-04-06 |
| EP3320474B1 (en) | 2023-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2018523390A (ja) | デバイス認証のためのシステム | |
| KR102601578B1 (ko) | 사이버 공격에 대한 네트워크 보호 방법 | |
| Murvay et al. | Source identification using signal characteristics in controller area networks | |
| Matsumoto et al. | A method of preventing unauthorized data transmission in controller area network | |
| US20180069874A1 (en) | Attack detection apparatus | |
| US9578047B2 (en) | Method and system for reflectometry based communication network monitoring, intrusion detection, and message authentication | |
| KR102517216B1 (ko) | 사이버 공격에 대한 네트워크 보호 방법 | |
| Murvay et al. | TIDAL-CAN: Differential timing based intrusion detection and localization for controller area network | |
| Giannopoulos et al. | Securing vehicular controller area networks: An approach to active bus-level countermeasures | |
| US10970382B2 (en) | System for device authentication | |
| Seifert et al. | Secure automotive gateway—Secure communication for future cars | |
| Ji et al. | Investigating the effects of attack detection for in-vehicle networks based on clock drift of ECUs | |
| Wang et al. | A delay based plug-in-monitor for intrusion detection in controller area network | |
| KR20190118211A (ko) | 계측 제어기 통신망을 통한 키 합의 방식들에 대한 과도 상태 기반 공격들을 완화시키기 위한 방법 | |
| Bozdal et al. | Hardware trojan enabled denial of service attack on can bus | |
| US10389751B2 (en) | Wireless data security between vehicle components | |
| CN108965236B (zh) | 用于保护网络免受网络攻击的方法 | |
| US20200312060A1 (en) | Message monitoring system, message transmission electronic control unit, and monitoring electronic control unit | |
| Kneib et al. | On the fingerprinting of electronic control units using physical characteristics in controller area networks | |
| GB2592967A (en) | A method for monitoring a network | |
| Ahmed et al. | Two-point voltage fingerprinting: Increasing detectability of ecu masquerading attacks | |
| CN108965234B (zh) | 用于保护网络防止网络攻击的方法 | |
| Roeschlin et al. | EdgeTDC: On the security of time difference of arrival measurements in CAN bus systems | |
| US11645430B2 (en) | System for device authentication | |
| Dupont et al. | Network intrusion detection systems for in-vehicle network-Technical report |