JP2019075781A - データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置 - Google Patents

データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置 Download PDF

Info

Publication number
JP2019075781A
JP2019075781A JP2018190737A JP2018190737A JP2019075781A JP 2019075781 A JP2019075781 A JP 2019075781A JP 2018190737 A JP2018190737 A JP 2018190737A JP 2018190737 A JP2018190737 A JP 2018190737A JP 2019075781 A JP2019075781 A JP 2019075781A
Authority
JP
Japan
Prior art keywords
message
invalid
information
signal
phase
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018190737A
Other languages
English (en)
Other versions
JP6586500B2 (ja
Inventor
ビルガー・カンプ
Kamp Birger
アンケ・イェンツシュ
Jentzsch Anke
ヴィクトル・ブニモフ
Bunimov Viktor
シュテフェン・ミヒナ
Michna Steven
クリストフ・リーヒェル
Riechel Christoph
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Publication of JP2019075781A publication Critical patent/JP2019075781A/ja
Application granted granted Critical
Publication of JP6586500B2 publication Critical patent/JP6586500B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/36Handling requests for interconnection or transfer for access to common bus or bus system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40039Details regarding the setting of the power status of a node according to activity on the bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/4013Management of data rate on the bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

【課題】本発明は、データバス2によってメッセージシーケンスを送信するための方法に関する。さらに、本発明は、データバス2によってメッセージシーケンスを送信するための装置並びにデータバス2によって送信されるメッセージシーケンスに対する攻撃を認識するための方法6及び装置に関する。【解決手段】当該方法は、1つの有効フェーズAP中に情報信号を含んでいる情報メッセージP1,P2を送信し50、1つの無効フェーズRPを始動するために1つの安全メッセージPSを送信し51、前記無効フェーズRP中に1つの無効サイクル期間RZで無効信号を含んでいる複数の無効メッセージPRを送信する52ことから成る。この場合、前記情報信号と前記無効信号とは互いに異なり、この場合、前記安全メッセージPSと前記無効メッセージPRとは互いに異なる。【選択図】図5

Description

本発明は、データバス、例えば自動車内のCANバスによってメッセージシーケンスを送信するための方法及び装置に関する。さらに、本発明は、データバス、特にCANバスによって送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置に関する。
自動車のネットワーク化の増大と共に、自動車のバスシステム内でのデータ送信時に、攻撃を阻止すること及び認識すること、並びにデータバスを通じて互いに通信するバスシステムの複数の構成要素の改竄を回避することの要求が高まっている。
それ故に、幾つかの攻撃認識方法が既に開発されている。例えば、米国特許出願公開第2015/0172306号明細書は、自動車の通信ネットワーク内で信号を確実に送信するための方法を開示する。この場合、送信間隔に対する平均値と所定の値との比較に基づいて、ハッキングされた情報が認識される。欧州特許出願公開第3133774号明細書は、サイクル期間に依存してハッカーメッセージを認識するための方法を開示する。
国際公開第2016/156034号パンフレットが、バスシステムに対する別の攻撃認識方法を開示する。この場合、ハッカー攻撃が、情報送信サイクル、遮断期間等に関する通信規則を用いて認識される。
基本的な信号概念に基づくが、専ら限定された、例えばイフ・アクティブ信号送信方式又はその他の関連する信号送信方式のような、所定のCANバス信号送信方式の監視が、周知の方法によって達成される。
米国特許出願公開第2015/0172306号明細書 欧州特許出願公開第3133774号明細書 国際公開第2016/156034号パンフレット
本発明の課題は、上記の欠点の少なくとも一部を解決する、データバスによってメッセージシーケンスを送信するための方法及び装置並びにデータバスによって送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置を提供することにある。
この課題は、請求項1に記載のデータバスによってメッセージシーケンス送信するための本発明の方法と、請求項8に記載のデータバスによってメッセージシーケンスを送信するための装置と、請求項9に記載のデータバスによって送信されるメッセージシーケンスに対する攻撃を認識するための方法と、請求項10に記載のデータバスによって送信されるメッセージシーケンスに対する攻撃を認識するための装置とによって解決される。
第1の観点によれば、本発明は、データバスによってメッセージシーケンスを送信するための方法に関する。
当該方法は、
1つの有効フェーズ中に情報信号を含んでいる情報メッセージを送信し、
1つの無効フェーズを始動するために1つの安全メッセージを送信し、
前記無効フェーズ中に1つの無効サイクル期間で無効信号を含んでいる複数の無効メッセージを送信することから成り、
前記情報信号と前記無効信号とは互いに異なり、
前記安全メッセージと前記無効メッセージとは互いに異なる。
第2の観点によれば、本発明は、データバスによってメッセージシーケンスを送信するための装置に関する。
当該装置は、データバスによってメッセージシーケンスを送信するための前記第1の観点に記載の方法を実行するように構成されている回路を有する。
第3の観点によれば、本発明は、データバス(2)によって送信されるメッセージシーケンス、特にデータバス(2)によってメッセージシーケンスを送信するための前記第1の観点に記載の方法(5)によって送信されるメッセージシーケンスに対する攻撃を認識するための方法に関する。
当該方法は、
前記データバスによって送信される前記メッセージシーケンスを受信し、
無効内容を有するメッセージを1つの無効サイクル期間の間隔で送信する1つの無効フェーズが、予め設定されている1つの安全メッセージによって始動されたか否かを検査し、予め設定されている前記安全メッセージと前記無効メッセージとは互いに異なり、
前記無効フェーズが、予め設定されている前記安全メッセージによって始動されなかったときに、攻撃を認識することから成る。
第4の観点によれば、本発明は、データバスによって送信されるメッセージシーケンスに対する攻撃を認識するための装置に関する。
当該装置は、データバスによって送信されるメッセージシーケンスに対する攻撃を認識するための前記第3の観点に記載の方法を実行するように構成されている回路を有する。
本発明の別の好適な構成は、従属請求項と、本発明の好適な実施の形態の以下の説明とに記載されている。
本発明は、データバスによってメッセージシーケンスを送信するための方法に関する。当該データバスによって送信すべきメッセージシーケンスは、以下でさらに詳しく説明する、以下の信号送信方式のイフ・アクティブ(IfActive)、イフ・アクティブ・ウィズ・レピティション(IFActiveWithRepetition)又はそれに匹敵する信号送信方式のうちの1つの信号送信方式にしたがう。これらの信号送信方式は、情報を速く送信するために適している。何故なら、情報を送信できる有効フェーズが何時でも始動され得るからである。当該データバスは、バスシステムのデータバスでもよく、例えばCANバスのようなシリアルバスでもよい。当該バスシステムは、自動車、列車、エンジン駆動式の船舶、飛行機、設備又は機械等のバスシステムでもよい。
本発明の方法によれば、情報信号を含んでいる1つの情報メッセージが、1つの有効フェーズ中に送信される。この場合、当該情報信号は、送信すべき1つの命令、送信すべき1つのメッセージ又は送信すべきデータを示す。当該送信すべき命令は、バスシステムの1つの構成要素の1つの制御命令でもよい。例えば、当該バスシステムの1つの構成要素を所定の方法で作動させることを要求する命令でもよく、例えば、当該構成要素を起動又は停止させることを要求する命令でもよく、1つの構成要素の状態を保持する又は状態を変更することを要求する命令等でもよい。当該送信すべきデータは、センサ信号又はその他の状態情報を含み得る。
さらに、1つの無効フェーズを始動するための本発明の方法によれば、1つの安全メッセージが送信される。この安全メッセージは、以下でさらに詳しく説明する予め設定されている内容を有し得る。
本発明の方法によれば、当該安全メッセージの送信後に、無効信号を含む複数の無効メッセージが、当該無効フェーズ中に1つの無効サイクル期間の間隔で送信される。当該無効信号は、特に全ての無効メッセージに対して同じである予め設定されている信号でもよい。特に、当該無効信号は、有効フェーズ中に送信される情報メッセージの情報信号とは異なる。さらに、当該安全メッセージと当該無効メッセージとは互いに異なる。特に、当該安全メッセージに含まれる信号は、当該無効信号とは異なり、及び/又は、当該安全メッセージに含まれる信号の値は、当該無効信号の値とは異なる。
当該それぞれのメッセージは、最初にバスシステムの1つの構成要素によって生成され、引き続きデータバスに送信するためにこの構成要素によって出力され得る。それぞれのメッセージが、1つのメッセージヘッド及び/又は1つのメッセージエンドを有する。このメッセージヘッド及び/又はこのメッセージエンドはそれぞれ、当該メッセージを「管理する」ためのデータを有する。さらに、当該メッセージは、特に当該メッセージの信号が含まれているデータ部を有する。すなわち、情報信号が、情報メッセージに含まれていて、無効信号が、無効メッセージに含まれている。
当該安全メッセージの使用による送信すべき信号又はメッセージシーケンスの送信挙動の特定の適合が、さらに不正侵入したメッセージの認識、すなわちデータバスによって送信すべき、特に上記の複数の信号送信方式のうちの1つの信号送信方式を用いて送信されるメッセージシーケンスに対する攻撃の認識を可能にする。
本発明の方法は、安全性に関連する分野における信号送信方式のイフ・アクティブ、イフ・アクティブ・ウィズ・レピティション又はそれに匹敵する信号送信方式の使用を保証する。当該分野では、例えば、自動化技術、エレベーター装置、医療技術、飛行機技術、宇宙航空技術、列車、造船、花火製造技術及び/又は匹敵する分野では、高いデータ信頼性が重要である。
1つ以上の情報メッセージが、当該有効フェーズ中に送信される。ただ1つの情報メッセージが送信される場合、この情報メッセージは、1つの無効メッセージ後であるが、無効サイクル期間の経過前に存在する任意の1つの時点に送信され得る。
多くの実施の形態では、2以上の情報メッセージが、当該有効フェーズ中に当該無効サイクル期間よりも短い1つの情報送信サイクル期間の間隔で送信され得る。
したがって、無効状態では、無効メッセージが、当該無効サイクル期間で送信され得る。1つのイベントが、メッセージシーケンスを出力するバスシステムの構成要素で、例えば1つの制御装置で発生すると、この構成要素が、1つ以上の情報メッセージを1つの情報送信サイクル期間で送信することによって、この構成要素は、当該無効サイクル期間外に有効フェーズを始動し得る。当該情報メッセージが送信される場合、この構成要素は、1つの安全メッセージを送信し、その後に複数の無効メッセージを当該無効サイクル期間で送信し得る。
特に、当該無効メッセージの無効信号の値は、当該有効フェーズ中の情報メッセージの情報信号の値とは異なる。無効信号の値、無効サイクル期間、情報送信サイクル期間、安全メッセージの値及びその他の信号送信条件は、バスシステムの全体のために、例えば中央の記憶装置内に又は当該バスシステムの構成要素の1つ以上のデータ記憶装置内に記憶され得る。
多くの実施の形態では、当該安全メッセージは、無効フェーズの直前に先行する有効フェーズ中に送信された複数の情報メッセージのうちの1つの情報メッセージに相当する信号を有し得る。特に、当該安全メッセージは、無効フェーズの直前に先行する有効フェーズ中に送信された複数の情報メッセージのうちの1つの情報メッセージの値に相当する値を有し得る。ただ1つの情報メッセージが、当該有効フェーズ中に送信される場合、例えば、この有効フェーズの情報メッセージの情報信号を有する1つのメッセージが、安全メッセージとして当該有効フェーズを終了させ当該無効フェーズを始動させるために送信され得る。2つ以上の情報メッセージが、当該有効フェーズ中に送信される場合、例えば、複数の情報メッセージのうちの1つの情報メッセージの情報信号を有する1つのメッセージが、安全メッセージとして送信され得る。
多くの実施の形態では、当該安全メッセージは、当該無効フェーズの直前に先行する有効フェーズ中に最後に送信された1つの情報メッセージの情報信号に相当する信号を有し得る。代わりに、当該安全メッセージは、当該無効フェーズの直前に先行する有効フェーズ中に最初に送信されたか、又は当該有効フェーズの最初の情報メッセージと最後の情報メッセージとの間に送信された1つの情報メッセージの情報信号に相当する信号を有し得る。
代わりに、当該安全メッセージは、予め設定されている1つの値を有してもよい。例えば、当該安全メッセージの値が一定でもよく、当該情報メッセージ及び当該無効メッセージと異なってもよい。
特に、当該安全メッセージから直接に後続する無効メッセージまでの間隔が、1つの無効サイクル期間に相当し得る。したがって、1つのメッセージシーケンスが、少なくとも1つの情報メッセージと、無効サイクル期間よりも短い間隔で当該情報メッセージに追従する1つの安全メッセージと、当該無効サイクル期間に相当する間隔で当該安全メッセージに追従する少なくとも1つの無効メッセージとから成る。このメッセージシーケンスは、信号送信方式、例えばイフ・アクティブ、イフ・アクティブ・ウィズ・レピティション又はそれに匹敵する信号送信方式の効果的な監視を可能にし得る。
多くの実施の形態では、当該安全メッセージの送信後の無効フェーズ中に、当該無効サイクル期間よりも短い間隔で、当該無効信号を含んでいる1つのメッセージが送信され得る。当該安全メッセージと当該無効信号を含んでいる無効メッセージとの間の間隔が、当該情報送信サイクル期間に相当し得る。このとき、当該安全メッセージと別の無効メッセージとの間の間隔でが、当該無効サイクル期間に相当するように選択されている間隔で、当該別の無効メッセージが追従し得る。
多くの実施の形態では、当該データバスによって送信すべきメッセージシーケンスが、所定の信号送信方式によって、例えば信号送信方式のイフ・アクティブ又はイフ・アクティブ・ウィズ・レピティションによって送信され得る。
イフ・アクティブ信号の場合、無効状態では、特に複数のメッセージが、設定された所定の信号(無効信号)と長いサイクル期間(無効サイクル期間)とによって送信される。1つの送信機、例えば1つの送信装置からバスシステム内の1つ以上の受信機に直接に送信されなければならない1つのイベントが発生すると、当該送信制御装置は、情報信号を当該長いサイクル期間外に送信できる。したがって、有効な1つのメッセージ(情報メッセージ)が、(早い)任意の1つの時点に送信され得る。当該送信制御装置は、有効フェーズの終了後に無効状態に再び移行し、無効メッセージを長いサイクル期間で送信する。複数の情報メッセージが、直接に連続して追従すると、これらの情報メッセージは、設定された短い1つのサイクル期間(情報送信サイクル期間)で送信される。この場合、当該有効なメッセージの内容は、特に当該無効メッセージの内容とは異なる。
信号送信方式のイフ・アクティブ・ウィズ・レピティションによる1つのメッセージシーケンスの場合、所定の数の無効メッセージ、例えば2つ又は3つ又は多数の無効メッセージが、それぞれの有効フェーズ後に速いサイクル期間(繰り返し)で送信され得る。
代わりに、データバスによって送信すべきメッセージシーケンスは、信号送信方式のオン・チェンジ・アンド・イフ・アクティブ(OnChangeAndifAndifActive)、オン・チェンジ・アンド・イフ・アクティブ・ウィズ・レピティション(OnChangeAndifActiveWithRepetition)、オン・ライト(OnWrite)、オン・ライト・アンド・イフ・アクティブ・ウィズ・レピティション(OnWriteAndifActiveWithRepetition)によって送信され得る。
特に、上記の信号送信方式は、情報及び/又は命令を速く、特に一般的なサイクル期間、例えば1000ms以上に達する周期的な信号送信方式を尊守する場合よりも速く送信するために適している。
多くの実施の形態では、当該情報メッセージと当該無効メッセージとが、当該データバスによって送信すべきメッセージシーケンスの信号送信方式とは異なる信号送信方式によって送信される1つのメッセージシーケンスの1つの情報信号であるそれぞれ1つの追加の情報信号を有し得る。例えば、第1信号送信方式による第1メッセージシーケンスと、当該第1信号送信方式とは異なる第2信号送信方式による第2メッセージシーケンスとが、共通のメッセージを用いてデータバスによって送信され得る。当該第1信号送信方式は、イフ・アクティブ又は上記の匹敵する信号送信方式でもよく、当該第2信号送信方式は、メッセージが例えば当該第1信号送信方式の無効サイクル期間に相当するサイクル周期で送信される周期的な信号送信方式でもよい。当該第1信号送信方式は、その時間挙動を当該第2信号送信方式の第2信号に転写する優勢な信号送信方式でもよい。すなわち、当該第2メッセージシーケンスの情報信号は、特に当該無効サイクル期間の間隔で周期的に送信されるだけではなくて、当該第1メッセージシーケンスの情報信号が有効フェーズ中に送信される時点にもさらに送信される。例えば、当該第1メッセージシーケンスの無効信号を有する1つのメッセージが、当該第2メッセージシーケンスの情報信号をさらに有し、当該第1メッセージシーケンスの情報メッセージが、当該第2メッセージシーケンスの情報信号をさらに有する。したがって、異なる複数の信号送信方式が、1つのメッセージ内で発生する。この場合、1つの優勢な信号送信方式が、その時間挙動を別の信号に転写する。特に、当該別の信号が、追従し、当該送信制御装置から直接に入力される値を含み得る。これに応じて、別の信号が、別の信号送信方式によってパラレルに送信され得る。
異なる複数の信号送信方式の複数の信号が、共通のメッセージで送信されるときに、当該送信されるメッセージシーケンスに対する攻撃を阻止できるようにするため、又は攻撃を認識できるようにするため、優勢な信号の1つの無効フェーズが、安全メッセージを送信することによって始動され得る。
さらに、本発明は、データバスによってメッセージシーケンスを送信するための装置に関する。当該装置は、1つの情報信号を含んでいる1つの情報メッセージを1つの有効フェーズ中に送信し、1つの安全メッセージを1つの無効フェーズを始動するために送信し、1つの無効信号を含んでいる無効メッセージを当該無効フェーズ中に1つの無効サイクル期間の間隔で」送信するように構成されている回路を有する。この場合、当該情報信号と当該無効信号とは互いに異なり、この場合、当該安全メッセージと当該無効メッセージとは互いに異なる。したがって、当該回路は、データバスによって1つのメッセージシーケンスを送信するための方法を、上記に詳しく説明したように実行するように構成されている。当該回路は、プロセッサ又は通信チップ(トランシーバ)でもよい。
当該装置は、バスシステムの1つの構成要素、例えば1つの送信制御装置でもよい。この構成要素は、複数の情報信号を有する複数のメッセージを有する1つ以上のメッセージシーケンスを出力するように構成されている。当該情報信号は、送信すべき命令、特にバスシステムの1つ以上の別の構成要素用の命令を含み、送信すべきメッセージ又は送信すべきデータを示す。例えば、当該送信制御装置は、自動車のエンジン制御装置でもよい。代わりに、当該制御装置は、列車、エンジン駆動式の船舶、飛行機、設備又は機械等の制御装置でもよい。
当該装置は、当該装置を、例えばコネクタ接続部を用いてデータバスに接続するように構成されている信号出力部を有し得る。
当該装置は、信号を送信するための情報が記憶されているデータ記憶装置を有し得る。当該情報は、例えば、無効サイクル期間の値、及び/又は情報送信サイクル期間の値、及び/又は無効信号の値、及び/又はイフ・アクティブ・ウィズ・レピティションにおける無効メッセージの数、及び/又は信号を送信するための別の情報を含み得る。さらに、調整アルゴリズム及び/又は制御アルゴリズムが、当該データ記憶装置内に記憶され得る。当該装置は、当該アルゴリズムによってデータバスによって送信すべきメッセージシーケンスを生成できる。
さらに、本発明は、データバスによって送信されるメッセージシーケンスに対する攻撃を認識するための方法に関する。このメッセージシーケンスは、1つの情報信号を含んでいる、1つの有効フェーズ中に送信される1つの情報メッセージと、1つの無効フェーズを始動させる1つの安全メッセージと、1つの無効信号を含んでいる、当該無効フェーズ中に1つの無効サイクル期間の間隔で送信される複数の無効メッセージとから成る。当該メッセージシーケンスは、特に、上記のメッセージシーケンスを送信するための方法を用いてデータバスによって送信される1つのメッセージシーケンスでもよい。
攻撃を認識するための本発明の方法によれば、データバスによって送信されるメッセージシーケンスが受信される。引き続き、複数の無効メッセージを1つの無効サイクル期間の間隔で送信する1つの無効フェーズが、予め設定されている1つの安全メッセージによって始動されたか否かが検査される。この場合、当該予め設定されている安全メッセージと当該複数の無効メッセージとは互いに異なる。当該無効フェーズが、当該予め設定されている安全メッセージによって始動されなかったときは、攻撃が確認される。
当該予め設定されている安全メッセージは、当該無効フェーズの直前に先行する有効フェーズ中に送信された複数の情報メッセージのうちの1つの情報メッセージ、特に当該無効フェーズの直前に先行する有効フェーズ中に最後に送信された1つの情報メッセージを有し得る。当該安全メッセージ用の基準として使用される当該有効フェーズの情報メッセージ情報信号が、特にデータ記憶装置内に中間記憶される。当該安全メッセージが予め設定されている1つの安全メッセージに相当するか否かを検査するため、当該送信される安全メッセージ、特に当該送信される安全メッセージの値が、当該予め設定されている安全メッセージ又は当該予め設定されている安全メッセージの値と比較され得る。
当該送信されるメッセージシーケンに対する攻撃が遂行されたか否かが、比較結果に依存して認識され得る。当該安全メッセージが、当該予め設定されている安全メッセージに相当するときは、当該メッセージシーケンスに対する攻撃が遂行されなかったことが認識され得る。当該安全メッセージが、当該予め設定されている安全メッセージに相当しないときは、当該メッセージシーケンスに対する攻撃が遂行されたことが認識され得る。
認識された攻撃の結果として、エラーメッセージが生成され、例えばアラーム等としてユーザに出力され得る。代わりに、当該メッセージシーケンスが、新たに要求されてもよい。
さらに、本発明は、データバスによって送信されるメッセージシーケンスに対する攻撃を認識するための装置に関する。当該装置は、回路を有する。この回路は、当該データバスによって送信されるメッセージシーケンスを受信し、複数の無効メッセージを1つの無効サイクル期間の間隔で送信する1つの無効フェーズが、予め設定されている1つの安全メッセージによって始動されたか否かを検査し、当該無効フェーズが、当該予め設定されている安全メッセージによって始動されなかったときに、攻撃を認識するように構成されている。この場合、当該予め設定されている安全メッセージと当該複数の無効メッセージとは互いに異なる。したがって、当該回路は、データバスによって送信されるメッセージシーケンスに対する攻撃を認識するための方法を、上記に詳しく説明したように実行するように構成されている。当該回路は、例えば、プロセッサ又は通信チップ(トランシーバ)でもよい。
当該装置は、命令、メッセージ又は当該装置用のデータを示す複数の情報信号を有する複数のメッセージを有する1つ以上のメッセージシーケンスを受信するように構成されているバスシステムの1つの構成要素でもよい。例えば、当該装置は、ABS制御装置、走行動特性制御装置、ドア及び/又は窓制御装置、照明装置及び/又はワイパー装置用の制御装置、ナビゲーション装置、CDプレーヤー、表示機器、情報システム及び/又はバスシステムのその他の構成要素でもよい。
当該装置は、例えばコネクタ接続部を用いてデータバスに接続するように構成されている信号入力部を有し得る。さらに、当該装置は、信号出力部を有し得る。
当該装置は、送信されるメッセージシーケンスに対する攻撃を認識するための情報が記憶されているデータ記憶装置を有し得る。当該情報は、上記の信号を送信するための情報に相当し得る。さらに、調整アルゴリズム及び/又は制御アルゴリズムが、当該データ記憶装置内に記憶され得る。当該回路は、当該アルゴリズムによってデータバスによって送信される内容を変換できる。
さらに、上記の攻撃を認識するための装置の回路は、上記のデータバスによってメッセージシーケンスを送信するため方法も実行するように構成されている。
以下に、本発明の実施の形態を例示し、添付した図面を参照して説明する。
1つのデータバスを介して接続されている複数のバス構成要素を有する1つのバスシステムの実施の形態を示す。 通常の情報メッセージを有するイフ・アクティブ信号(IfActive−Signal)の従来のメッセージシーケンスを示す。 攻撃中に不正侵入したメッセージを有するイフ・アクティブ信号の従来のメッセージシーケンスを示す。 図1に示されたバスシステムのCANバスによってメッセージシーケンスを送信するための方法のフローチャートを示す。 通常の情報メッセージを有するイフ・アクティブ信号の本発明のメッセージシーケンスを示す。 図1に示されたバスシステムのデータバスによって送信されるメッセージシーケンスに対する攻撃を認識するための方法を示す。 通常の情報メッセージを有するイフ・アクティブ・ウィズ・レピティション信号(IFActiveWithRepetition−Signal)の従来のメッセージシーケンスを示す。 攻撃中に不正侵入したメッセージを有するイフ・アクティブ・ウィズ・レピティション信号の従来のメッセージシーケンスを示す。 通常の情報メッセージを有するイフ・アクティブ・ウィズ・レピティション信号の本発明のメッセージシーケンスを示す。 通常の情報メッセージと付加された通常の無効メッセージとを有するイフ・アクティブ信号の本発明の別のメッセージシーケンスを示す。 異なる信号送信方式による2つのパラレル送信信号のメッセージシーケンスを示す。 異なる信号送信方式による複数の信号から成るメッセージの構造を示す。
CANバスシステム1の実施の形態が、図1に概略的に示されている。
ここでは、CANバスシステム1は、例えば、1つのエンジン制御装置3と複数のバス構成要素4とが配置されている1つの制御線(CANバス)2を有する。1つのアンチブロックシステム制御装置(ABS制御装置)4aと1つのナビゲーション装置4bと1つの光スイッチ4cと1つの車両運転制御装置4dとが、バス構成要素として図1に例示されている。CANバス2によって送信されるメッセージシーケンスが、異なる信号送信方式の信号を含み得る。
代わりに、エンジン制御装置とバスシステムとが、CANバスシステムの、ゲートウェイ制御装置を介して互いに接続されている異なる複数の制御線に配置されてもよい。
第1の実施の形態では、CANバス2によって送信されるメッセージシーケンスは、信号送信方式のいわゆるイフ・アクティブ(IfActive)によるメッセージシーケンスである。それ故に、以下では、最初に、信号送信方式のイフ・アクティブの従来の方式を説明し、この従来の方式に対する攻撃の概要を記載する。
図2に示されているように、信号送信方式のイフ・アクティブのメッセージシーケンスは、有効フェーズAPと無効フェーズRPとを有する。情報信号を含む情報メッセージP,Pが、有効フェーズAP中に情報送信サイクル期間BZで送信される。この場合、この情報信号は、送信すべき命令を示す。有効フェーズAP中の情報メッセージP,Pの数は、増減でき、特に2つでなくてもよい。無効信号を含む無効メッセージPが、無効フェーズRP中に無効サイクル期間RZで送信される。この場合、この無効信号は、アイドル状態として予め確定されている。この場合、無効サイクル期間RZは、情報送信サイクル期間BZよりも十分に長い。この場合には、無効サイクル期間RZは、情報送信サイクル期間BZの約5倍である。図2に示されているように、無効フェーズRPは、有効フェーズAPの直後に1つの無効メッセージPによって開始する。情報メッセージP,Pの情報信号は、この無効メッセージPとは異なる。
攻撃者が、当該アイドル状態と遮断期間、つまり無効サイクル期間RPとを考慮する場合、図3に示されているように、当該攻撃者は、誰にも気づかれずに追加のメッセージPを2つの無効メッセージP間に不正侵入させ得る。当該不正侵入した追加のメッセージPは、監視システムによって認識され得ない。何故なら、当該メッセージPは、通常のメッセージシーケンスに相当するからである。
説明されている従来の信号送信方式の「イフ・アクティブ」のメッセージシーケンスでは、時間挙動と信号内容とに関する全ての基準が順守される場合、不正侵入したメッセージは、認識システムによって当該時間挙動を簡単に監視することでは発見され得ない。何故なら、当該基準は、通常の情報メッセージとは相違しないからである。
それ故に、本発明の第1の実施の形態では、イフ・アクティブ信号の送信シーケンスが変更される。当該変更されたイフ・アクティブ信号が、図4に示されたメッセージを送信するための方法5にしたがってCANバスによって送信される。当該メッセージを送信するための方法5は、ここでは、例えばエンジン制御装置3によって実行される。しかしながら、その他のバス構成要素によって実行されてもよい。
50では、図5に示されているように、2つの情報メッセージP及びPが、有効フェーズAP中に情報送信サイクル期間BZの間隔で送信される。例えば、急な制動工程が認識された後に、信号が、ABS制御装置4aに送信されなければならない。このとき、車輪のロックを回避するため、情報メッセージPは、制動力を低下させることをABS制御装置に要求する情報信号を含む。情報メッセージPは、制動力を調整させるための情報を有する情報信号を含む。当該メッセージシーケンスは、ABS制御装置4aに関する情報だけではなくて、状況に応じて複数のバス構成要素のうちのそれぞれ別のバス構成要素に関する情報を含んでもよい。
引き続き、51では、図5に示されているように、安全メッセージPが、無効フェーズRPを始動させるために送信される。この安全メッセージPは、その直前に先行する情報メッセージPの情報信号の値、すなわちここでは制動力を調整させるための情報を示す値を値として含む。
52では、無効メッセージPが、無効フェーズRP中に無効サイクル期間RZの間隔で送信される。この場合、安全メッセージPから第1無効メッセージPまでの間隔が、無効サイクル期間RZに相当する。当該無効メッセージの無効信号が、予め設定されていて、情報メッセージP,Pの情報信号と安全メッセージPの情報信号とは異なる。
したがって、図5に示されているようなメッセージシーケンスが生成され送信される。その特徴は、変更された送信シーケンスにある:有効フェーズAPの終了後に、後続する無効フェーズRPが、安全メッセージPによって、図5に示された場合には有効フェーズAPの最後のメッセージによって開始する。当該後続する無効メッセージPは、この安全メッセージPから長いサイクル期間RZまで離間している。この安全メッセージPは、後続する無効フェーズRPの開始を示すので、この安全メッセージPは、この明細書では安全マークとも呼ばれる。
図5を参照して説明されているメッセージシーケンスは、信号送信中に不正侵入したメッセージを確実に認識することを可能にする。以下に、CANバスによって送信されるメッセージに対する攻撃を認識するための方法6を、図6を参照して説明する。当該方法は、メッセージシーケンスが設定されているバス構成要素によって、ここではABS制御装置4aによって実行される。しかしながら、攻撃を認識するための当該方法は、当該メッセージシーケンスを受信する別のバス構成要素によって実行されてもよい。
60では、CANバスによって送信されるメッセージシーケンスが受信される。当該送信されるメッセージシーケンスは、図5を参照して説明されているメッセージシーケンスに基づくが、不正侵入した追加のメッセージを含み得る。
61では、無効メッセージPを無効サイクル期間RZの間隔で送信する無効フェーズRPが、予め設定されている安全メッセージによって始動されたか否かが検査される。したがって、無効メッセージPが無効サイクル期間RZの間隔で追従するように、安全メッセージPの値が情報メッセージPの情報信号の値に相当する当該安全メッセージPが、無効フェーズRPの開始時に送信されたか否かが検査される。
62では、無効フェーズRPが、予め設定されている安全メッセージによって始動されなかったときに、攻撃が認識される。したがって、有効フェーズAPの直後に、無効メッセージPが後続する場合、すなわち安全メッセージPが見つからない場合、このことは、不正侵入したメッセージを示唆する。こうして、不正侵入したメッセージを確実に認識することが達成される。何故なら、時間規則に違反することなしに、攻撃時に、通常の時間挙動が、容易に妨害され得ないからである。有効フェーズAPに付加される不正侵入したメッセージも、同様に発見され得る。有効フェーズAPの最後のメッセージPが、安全メッセージPと違う場合、攻撃が存在する。したがって、送信シーケンスの説明した変更によって、不正侵入したメッセージに対する効果的な保護が達成される。
第2の実施の形態では、CANバスによって送信されるメッセージシーケンスが、信号送信方式のいわゆるイフ・アクティブ・ウィズ・レピティション信号(IFActiveWithRepetition−Signal)によるメッセージシーケンスである。それ故に、以下では、最初に、信号送信方式のイフ・アクティブ・ウィズ・レピティションの従来の方式を説明し、この従来の方式に対する攻撃の概要を記載する。
図7に示されているように、信号送信方式のいわゆるイフ・アクティブ・ウィズ・レピティションによるメッセージシーケンスは、有効フェーズAPとレピティションフェーズRepPと無効フェーズRPとを有する。情報信号を含む情報メッセージP,Pが、有効フェーズAP中に情報送信サイクル期間BZで送信される。レピティションフェーズRepPが、有効フェーズAPに追従する。それぞれ無効信号を含む3つの無効メッセージPが、このレピティションフェーズRepP中に情報送信サイクル期間BZで送信される。このレピティションフェーズRepP中の無効メッセージPの数は、3つでなくてもよいが、予め設定されている。当該無効信号を含む複数の無効メッセージPが、無効フェーズRP中に1つの無効サイクル期間RZで送信される。図2に示されているように、無効フェーズRPは、レピティションフェーズRepPの直後に1つの無効メッセージPによって開始する。
当該イフ・アクティブ・ウィズ・レピティションの信号送信方式の場合でも、攻撃者が、図8に示されているように、さらなる2つの無効メッセージPARを、情報送信サイクル期間BZの間隔で、後続する2つの無効メッセージP間に不正侵入させるときに、当該攻撃者は、誰にも気づかれずに追加のメッセージPを2つの無効メッセージP間に不正侵入させ得る。これらの追加のメッセージP及びPARは、監視システムによって認識され得ない。何故なら、これらの追加のメッセージP及びPARは、通常のメッセージシーケンスに相当するからである。
したがって、当該信号送信方式の「イフ・アクティブ・ウィズ・レピティション」の場合、それぞれの有効フェーズAP後に、所定の数の無効メッセージPが、速いサイクル期間BZ(繰り返し)で送信される。この信号送信方式の場合も、不正侵入した部分が、全ての規則(禁止期間、速いサイクル期間及び繰り返し回数)に相当し、連続する2つの無効メッセージP間に適正に配列されるときに、当該不正侵入したメッセージP,PARは認識され得ない。
それ故に、本発明の第2の実施の形態では、図9に示されているように、イフ・アクティブ・ウィズ・レピティション信号の送信シーケンスが変更される。図9のメッセージシーケンスは、情報送信サイクル期間BZの間隔で2つの情報メッセージP,Pを有する1つの有効フェーズAPを示す。情報送信サイクル期間BZの間隔で3つの無効メッセージPを有する1つのレピティションフェーズRepPが、この有効フェーズAPに追従する。無効フェーズRPが、このレピティションフェーズRepP後に1つの安全メッセージPによって始動される。この安全メッセージPの値は、この有効フェーズAPの最後の情報メッセージPの情報信号の値に相当する。同様に無効サイクル期間RZで送信される複数の無効メッセージPが、無効サイクル期間RZの間隔でこの安全メッセージPに追従する。
当該メッセージシーケンスを送信するため、図4を参照して説明されているCANバスによってメッセージシーケンスを送信するための方法5が、同様に適用される。この場合、有効フェーズAP中の最後の情報メッセージPと安全メッセージPとの間の送信だけで、3つの無効メッセージPが、情報送信サイクル期間BZの間隔で送信される。図6を参照して説明されている攻撃を認識するための方法も、同様に適用される。
図10は、第3の実施の形態によるメッセージシーケンスを示す。このメッセージシーケンスは、無効信号を含む追加の1つの無効メッセージPRaddが、安全メッセージP後に情報送信サイクル期間BZの間隔で送信される点だけが、図5に示されたメッセージシーケンスと異なる。これにより、安全メッセージPが、より確実に認識され、受信装置・制御装置内での望まない状態又は応答が阻止され得る。
追加の1つの無効メッセージPRaddの代わりに、追加の複数の無効メッセージPRaddが送信されてもよい。
これにしたがって、図9のイフ・アクティブ・ウィズ・レピティションの信号送信方式のメッセージシーケンスも、安全メッセージP後の短い間隔BZで追加の1つ又は複数の無効メッセージPRaddだけ付加されてもよい。
第4の実施の形態によれば、図5に示されたメッセージシーケンスの安全マークが、上記の監視のために適していると同時に、無効フェーズRPの開始として受信装置によって認識され得るように、当該安全マークは適切に提供されている。
これにしたがって、安全メッセージPは、図9のイフ・アクティブ・ウィズ・レピティションの信号送信方式のメッセージシーケンスに配列されてもよい。
当該説明されている方法は、1つのメッセージ内の個々の信号だけに適用され得るのではなくて、全体の複数のメッセージにも適用され得る。それ故に、第5の実施の形態では、複数の信号送信方式が混ざっている複数のメッセージの確実な送信可能性を説明する。
図11は、Aの場合に第1メッセージシーケンスS1を示し、Bの場合に第2メッセージシーケンスS2を示す。第1メッセージシーケンスS1によれば、複数のメッセージPが、周期的に送信される。第2メッセージシーケンスS2によれば、第1メッセージシーケンスS1のメッセージPと同時に、複数の無効メッセージPと、2つの無効メッセージ間の情報メッセージP〜Pと、情報メッセージPに相当する安全メッセージPとが送信される。
これから、図11のCの場合に示されているように、2つの信号送信方式を成す複数のメッセージを有する1つのメッセージシーケンスが生成される。信号送信方式のイフ・アクティブが、優勢な信号送信方式であるので、第2メッセージシーケンスS2が、この第2メッセージシーケンスS2の時間挙動を第1メッセージシーケンスS1に転写する。第2メッセージシーケンスS2が追従し、制御装置、例えばエンジン制御装置から直接に入力される値を含む。したがって、当該生成されたメッセージシーケンスは、図11のCの場合で示されているように、当該転写された時間挙動のイフ・アクティブによる周期的な挙動を含む第1受信シーケンスE1と、イフ・アクティブ挙動を含む第2受信シーケンスE2とから成る。
図12は、当該生成された信号のメッセージの構造7を示す。メッセージを「管理する」ための2つのデータから成るメッセージヘッド70及びメッセージエンド71を有する。さらに、このメッセージは、メッセージヘッド70とメッセージエンド71との間にデータ部72を有する。異なる複数の受信信号ES1,ES2が、このデータ部72内に含まれている。したがって、このデータ部は、例えば、第1メッセージシーケンスS1がその情報信号を送信し、第2メッセージシーケンスがその無効信号を送信する時点tに、第1メッセージシーケンスS1の情報信号と第2メッセージシーケンスの無効信号とを含み得る。第2メッセージシーケンスS2がその時間挙動を第1メッセージシーケンスS1に転写する時点tに、このデータ部は、第1メッセージシーケンスS1の情報信号と第2メッセージシーケンスS2の情報信号とを含み得る。第2メッセージシーケンスの無効信号が始動される時点tに、このデータ部は、第1メッセージシーケンスS1の情報信号と第2メッセージシーケンスS2の有効フェーズの最後のメッセージの情報信号とを含み得る。
したがって、個々のメッセージシーケンスの送信時と同様に、安全メッセージが配列される。これにより、攻撃が阻止され得る。メッセージの全体を監視する場合、有効フェーズ中に、場合によってはレピティションフェーズ中に、(安全マークを含めて)該当するメッセージ内の信号が変化しない限り、このメッセージが、複数の信号構成要素に分割される。
上記の開示内容は、ここで説明されている実施の形態に限定されない。当業者がその知識に基づいて上記の開示内容に属すると考えられる様々な適合及び変更の余地がある。例えば、説明されている送信方法は、CANバスとは違うバスシステムでも使用され得る。
ここで説明した全ての例及び構成は、特定して引用された例に限定しないで解釈しなければならない。したがって、当業者は、例えば、ここに示されたブロック図は例示的な回路配置の概念的な図であることを認識している。同様に、図示されたフローチャート等は、主にコンピュータで読み取り可能な媒体に記憶され、したがってコンピュータ又はプロセッサによって実行され得るプロセスの様々なバリエーションを示すものと解釈しなければならない。
提唱されている方法及び付随する装置は、ハードウェア、ソフトウェア、ファームウェア、特別なプロセッサ又はこれらの組み合わせの様々な形態で実装され得ることが分かる。特別なプロセッサは、特定用途向け集積回路(ASIC)、縮小命令セットコンピュータ(Reduced Instruction Set Computer−RISC)及び/又はデジタル技術の集積回路(Field Programmable Gate Arrays−FPGA)を含み得る。ソフトウェアは、アプリケーションプログラムとしてプログラム記憶装置上にインストールされ得る。ハードウェアは、例えば、1つ又はh複数の中央演算処理装置(CPU)及び/又は1つ又は複数の記憶装置並びにランダムアクセスメモリ(RAM)及び/又は1つ又は複数の入出力(I/O)インタフェースを有し得る。
1 CANバスシステム
2 制御線
3 エンジン制御装置
4a ABS制御装置
4b ナビゲーション装置
4c 光スイッチ
4d 車両運動制御装置
5 CANバスによってメッセージシーケンスを送信するための方法
50 情報メッセージの受信
51 安全メッセージの送信
52 無効内容を有するメッセージの送信
6 攻撃を認識するための方法
60 CANバスによって送信されるメッセージシーケンスの受信
61 安全メッセージの検査
62 攻撃の認識
7 メッセージ
70 メッセージヘッド
70 メッセージエンド
72 データ部
AP 有効フェーズ
RP 無効フェーズ
BZ 情報送信サイクル期間(短いサイクル期間)
RZ 無効サイクル期間(長いサイクル期間)
,P,P,P 情報メッセージ
不正侵入情報メッセージ
,PRadd 無効内容を有するメッセージ
AR 無効内容を有する不正侵入メッセージ
安全メッセージ
S1,S2 メッセージシーケンス
E1,E2 受信機シーケンス
ES1,ES2 受信信号
,t,t 時点

Claims (10)

  1. データバス(2)によってメッセージシーケンスを送信するための方法において、
    当該方法は、
    1つの有効フェーズ(AP)中に情報信号を含んでいる情報メッセージ(P,P)を送信し(50)、
    1つの無効フェーズ(RP)を始動するために1つの安全メッセージ(P)を送信し(51)、
    前記無効フェーズ(RP)中に1つの無効サイクル期間(RZ)で無効信号を含んでいる複数の無効メッセージ(P)を送信する(52)ことから成り、
    前記情報信号と前記無効信号とは互いに異なり、
    前記安全メッセージ(P)と前記無効メッセージ(P)とは互いに異なる当該方法。
  2. 2つ以上の情報メッセージ(P,P)が、前記有効フェーズ(AP)中に前記無効サイクル期間(RZ)よりも短い1つの情報送信サイクル期間(BZ)の間隔で送信される請求項1に記載の方法。
  3. 前記安全メッセージ(P)は、前記無効フェーズ(RP)の直前に先行する前記有効フェーズ(AP)中に送信された複数の前記情報メッセージ(P,P)のうちの1つの情報メッセージの情報信号に相当する信号を有する請求項1又は2に記載の方法。
  4. 前記安全メッセージ(P)は、前記無効フェーズ(RP)の直前に先行する前記有効フェーズ(AP)中に最後に送信された前記情報メッセージ(P)の情報信号に相当する信号を有する請求項1〜3のいずれか1項に記載の方法。
  5. 無効内容を有する1つの無効メッセージ(PRadd)が、前記安全メッセージ(P)の送信後の前記無効フェーズ(RP)中に前記無効サイクル期間(RZ)よりも短い間隔で送信される請求項1〜4のいずれか1項に記載の方法。
  6. 前記データバス(2)によって送信すべき前記メッセージシーケンスは、信号送信方式のイフ・アクティブ又はイフ・アクティブ・ウィズ・レピティションによって送信される請求項1〜5のいずれか1項に記載の方法。
  7. 前記情報メッセージ(P,P)と前記無効メッセージ(P)とは、前記データバスによって送信すべき前記メッセージシーケンスの信号送信方式とは異なる1つの信号送信方式によって送信される1つのメッセージシーケンスの情報信号であるそれぞれ1つの追加の信号を有する請求項1〜6のいずれか1項に記載の方法。
  8. データバスによってメッセージシーケンスを送信するための装置において、
    当該装置は、データバス(2)によってメッセージシーケンスを送信するための請求項1〜7のいずれか1項に記載の方法(5)を実行するように構成されている回路を有する当該装置。
  9. データバス(2)によって送信されるメッセージシーケンス、特にデータバス(2)によってメッセージシーケンスを送信するための請求項1〜7のいずれか1項に記載の方法(5)によって送信されるメッセージシーケンスに対する攻撃を認識するための方法において、
    当該方法は、
    前記データバスによって送信される前記メッセージシーケンスを受信し(60)、
    無効内容を有するメッセージ(P)を1つの無効サイクル期間(RZ)の間隔で送信する1つの無効フェーズ(RP)が、予め設定されている1つの安全メッセージによって始動されたか否かを検査し、予め設定されている前記安全メッセージと前記無効メッセージとは互いに異なり、
    前記無効フェーズ(RP)が、予め設定されている前記安全メッセージによって始動されなかったときに、攻撃を認識する(62)ことから成る当該方法。
  10. データバス(2)によって送信されるメッセージシーケンスに対する攻撃を認識するための装置において、
    当該装置は、データバス(2)によって送信されるメッセージシーケンスに対する攻撃を認識するための請求項9に記載の方法(6)を実行するように構成されている回路を有する当該装置。
JP2018190737A 2017-10-11 2018-10-09 データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置 Active JP6586500B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017218134.6 2017-10-11
DE102017218134.6A DE102017218134B3 (de) 2017-10-11 2017-10-11 Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge

Publications (2)

Publication Number Publication Date
JP2019075781A true JP2019075781A (ja) 2019-05-16
JP6586500B2 JP6586500B2 (ja) 2019-10-02

Family

ID=65084813

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018190737A Active JP6586500B2 (ja) 2017-10-11 2018-10-09 データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置

Country Status (5)

Country Link
US (1) US11394726B2 (ja)
JP (1) JP6586500B2 (ja)
KR (1) KR102053186B1 (ja)
CN (1) CN109660506B (ja)
DE (1) DE102017218134B3 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019218045A1 (de) 2019-11-22 2021-05-27 Volkswagen Aktiengesellschaft Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus, elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus, sowie zentrale Überwachungsvorrichtung zum Anschluss an einen Kommunikationsbus
CN112514351A (zh) * 2020-10-31 2021-03-16 华为技术有限公司 异常检测方法及装置
CN115412376B (zh) * 2022-11-02 2023-02-14 北京网藤科技有限公司 基于智能特征匹配的攻击模式验证方法和系统
KR102569600B1 (ko) * 2022-12-27 2023-08-29 (주)디에스랩컴퍼니 선박 네트워크 침입 탐지 방법 및 장치

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10252230A1 (de) * 2002-11-11 2004-05-27 Robert Bosch Gmbh Verfahren zur Übertragung von Daten
RU2256274C1 (ru) 2003-12-08 2005-07-10 Новосибирский государственный технический университет Способ управления статическими стабилизированными источниками переменного напряжения, работающими параллельно на общую нагрузку
DE102011102274B4 (de) 2011-05-23 2012-12-06 Pilz Gmbh & Co. Kg Verfahren zum Betreiben eines Sicherheitssteuergeräts
CN102354305B (zh) 2011-09-27 2016-08-03 青岛海信电器股份有限公司 设备间串行通信系统及方法
JP5522160B2 (ja) 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
DE102012014724B3 (de) * 2012-04-14 2013-09-12 Volkswagen Aktiengesellschaft Vorrichtung, Verfahren und Computerprogramm zum Betreiben eines Datenbussystems eines Kraftfahrzeugs
US8973138B2 (en) 2012-05-02 2015-03-03 The Johns Hopkins University Secure layered iterative gateway
JP5919205B2 (ja) 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
US9420530B1 (en) * 2013-07-22 2016-08-16 Quantenna Communications, Inc. WAP with context sensitive energy management
WO2015013440A1 (en) 2013-07-23 2015-01-29 Battelle Memorial Institute Systems and methods for securing real-time messages
KR101472896B1 (ko) 2013-12-13 2014-12-16 현대자동차주식회사 차량 내 통신 네트워크에서의 보안 강화 방법 및 그 장치
CN103747601B (zh) * 2013-12-19 2016-03-02 广西科技大学 一种基于can总线的智能照明监测系统
WO2016151566A1 (en) 2015-03-26 2016-09-29 Tower-Sec Ltd Security system and methods for identification of in-vehicle attack originator
CN106170953B (zh) * 2014-04-17 2019-10-18 松下电器(美国)知识产权公司 车载网络系统、网关装置以及不正常检测方法
EP4236196A3 (en) 2014-05-08 2023-10-18 Panasonic Intellectual Property Corporation of America In-vehicle network system, fraud-sensing electronic control unit, and anti-fraud method
US9891142B2 (en) 2014-11-21 2018-02-13 Rockwell Automation Technologies, Inc. Time-stamping and synchronization for single-wire safety communication
US10083071B2 (en) 2014-12-30 2018-09-25 Battelle Memorial Institute Temporal anomaly detection on automotive networks
US9380070B1 (en) * 2015-01-20 2016-06-28 Cisco Technology, Inc. Intrusion detection mechanism
DE102015205670A1 (de) 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
KR101638613B1 (ko) 2015-04-17 2016-07-11 현대자동차주식회사 차량용 네트워크의 침입 탐지 시스템(ids) 및 그 제어방법
CN106274307A (zh) 2015-05-27 2017-01-04 惠州市德赛西威汽车电子股份有限公司 基于can总线的胎压监测方法及系统
US9756024B2 (en) 2015-09-18 2017-09-05 Trillium Incorporated Computer-implemented cryptographic method for improving a computer network, and terminal, system and computer-readable medium for the same
KR101714520B1 (ko) 2015-10-30 2017-03-09 현대자동차주식회사 차량 내 네트워크 공격 탐지 방법 및 장치
JP6839963B2 (ja) 2016-01-08 2021-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知方法、異常検知装置及び異常検知システム
KR101724991B1 (ko) 2016-01-21 2017-04-07 현대자동차주식회사 차량 네트워크 보호 방법
JP6433951B2 (ja) * 2016-08-09 2018-12-05 東芝デジタルソリューションズ株式会社 ネットワーク監視装置およびプログラム
CN106341283B (zh) * 2016-11-15 2019-06-04 安徽江淮汽车集团股份有限公司 一种双网段控制方法及系统
DE102017216096A1 (de) * 2017-09-12 2019-03-14 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem

Also Published As

Publication number Publication date
US11394726B2 (en) 2022-07-19
DE102017218134B3 (de) 2019-02-14
KR102053186B1 (ko) 2019-12-09
US20190109867A1 (en) 2019-04-11
CN109660506B (zh) 2021-07-16
KR20190040911A (ko) 2019-04-19
CN109660506A (zh) 2019-04-19
JP6586500B2 (ja) 2019-10-02

Similar Documents

Publication Publication Date Title
JP6586500B2 (ja) データバスによってメッセージシーケンスを送信するための方法及び装置並びにこうして送信されるメッセージシーケンスに対する攻撃を認識するための方法及び装置
US11063970B2 (en) Attack detection method, attack detection device and bus system for a motor vehicle
US10142358B1 (en) System and method for identifying an invalid packet on a controller area network (CAN) bus
CN107005447B (zh) 通信控制装置及通信系统
JP6282216B2 (ja) 通信システム及び通信装置
JP2019521040A (ja) 車内ネットワーク異常検出のためのnet sleuth
Fröschle et al. Analyzing the capabilities of the CAN attacker
US11647045B2 (en) Monitoring a network connection for eavesdropping
JP2017069941A (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法
US11938897B2 (en) On-vehicle device, management method, and management program
US10462161B2 (en) Vehicle network operating protocol and method
US20210258187A1 (en) Electronic control device, electronic control method, and recording medium
JP2000509585A (ja) 安全性の微妙な用途に対するプロトコル
US20200213149A1 (en) Electronic control system, electronic control device, control method, and recording medium
EP3772840B1 (en) A security module for a can node
KR101972457B1 (ko) Can 통신 기반 해킹공격 탐지 방법 및 시스템
JP2016143963A (ja) 車載通信システム
CN112583786B (zh) 用于警报的方法、发送器设备和接收器设备
JP2015065546A (ja) 車両制御装置
JP6099269B2 (ja) データ排除装置
WO2019044174A1 (ja) 監視装置、監視システムおよびコンピュータプログラム
JP2015192216A (ja) 通信装置および通信方法
JP2020115620A (ja) 制御装置及び通信システム
WO2017056395A1 (ja) 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法
CN115643038A (zh) 总线系统中经由接收线路的帧无效

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190821

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190909

R150 Certificate of patent or registration of utility model

Ref document number: 6586500

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250