KR102373922B1 - 차량의 제어 장치에 대한 공격을 검출하기 위한 방법 - Google Patents

차량의 제어 장치에 대한 공격을 검출하기 위한 방법 Download PDF

Info

Publication number
KR102373922B1
KR102373922B1 KR1020207008727A KR20207008727A KR102373922B1 KR 102373922 B1 KR102373922 B1 KR 102373922B1 KR 1020207008727 A KR1020207008727 A KR 1020207008727A KR 20207008727 A KR20207008727 A KR 20207008727A KR 102373922 B1 KR102373922 B1 KR 102373922B1
Authority
KR
South Korea
Prior art keywords
control device
vehicle
communication
data
communication channel
Prior art date
Application number
KR1020207008727A
Other languages
English (en)
Other versions
KR20200040876A (ko
Inventor
카르무 호드리구 다니엘 두
미하엘 게르하르트 슈나이더
Original Assignee
콘티넨탈 테베스 아게 운트 코. 오하게
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콘티넨탈 테베스 아게 운트 코. 오하게 filed Critical 콘티넨탈 테베스 아게 운트 코. 오하게
Publication of KR20200040876A publication Critical patent/KR20200040876A/ko
Application granted granted Critical
Publication of KR102373922B1 publication Critical patent/KR102373922B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 차량의 제어 장치 (10) 에 대한 공격, 특히 사이버 공격을 검출하는 방법에 관한 것으로서, 그 방법은 제어 장치 (10) 에 연결되는 차량의 적어도 하나의 통신 채널 (12a, 12b) 을 통해 송신되는 통신 데이터를 체크하는 단계를 포함하며, 여기서 제어 장치 (10) 에 연결된 차량의 적어도 하나의 통신 채널 (12a, 12b) 을 통해 송신되는 통신 데이터를 체크하는 단계는 차량의 적어도 하나의 통신 채널 (12a, 12b) 을 통해 송신된 통신 데이터가 하나 이상의 가변 규칙들에 의해 정의되는 데이터 요건들을 만족시키는지 여부를 체크하는 단계를 포함한다.

Description

차량의 제어 장치에 대한 공격을 검출하기 위한 방법
본 발명은 차량의 제어 장치에 대한 공격, 특히 사이버 공격을 검출하기 위한 방법에 관한 것으로, 제어 장치에 연결되는 차량의 적어도 하나의 통신 채널을 통해 송신되는 통신 데이터를 체크하는 단계를 갖는다.
본 발명은 또한 적어도 하나의 제어 장치 및 제어 장치의 컴포넌트이거나 제어 장치로의 신호 전송을 위해 연결되는 하나의 공격 검출 시스템을 구비한 차량용 통신 시스템에 관한 것으로, 여기서 공격 검출 시스템은 제어 장치에 연결되는 차량의 적어도 하나의 통신 채널을 통해 송신되는 통신 데이터를 체크하도록 구성된다.
본 발명은 또한 통신 시스템을 구비한 차량, 특히 자동차에 관한 것이다.
현대의 차량은, 차량 내부의 통신 채널에 추가하여, 유해한 데이터가 그러한 차량의 통신 시스템에 도입될 수 있는 하나 또는 복수의 통신 인터페이스를 통상적으로 포함한다. 차량의 전자 장치는 특히 이러한 종류의 데이터에 의해 공격받을 수 있으며, 그로부터 제어 장치 또는 차량의 기능 장애 또는 기능 고장이 발생할 수 있다.
차량에 대한 이러한 사이버 공격이 인식되거나 방지될 수 있는 효과적인 동시에 자원 절약적인 솔루션은 종래 기술로부터 아직까지 알려져 있지 않다.
따라서 본 발명의 목적은 사이버 공격에 대한 차량의 보호를 증가시키는 것이다.
그 목적은 처음에 언급된 유형의 방법에 의해 달성되며, 여기서 제어 장치에 연결되는 차량의 적어도 하나의 통신 채널을 통해 송신되는 통신 데이터의 체킹은 차량의 적어도 하나의 통신 채널을 통해 송신되는 통신 데이터가 하나 또는 복수의 변경 가능한 규칙에 의해 정의되는지 여부에 대한 체크를 포함한다.
본 발명은 데이터 요건이 규칙에 의해 정의되는 경우, 송신된 통신 데이터의 체킹으로부터 유해한 데이터의 효과적이고 자원 절약적인 검출이 발생할 수 있다는 인식을 이용한다. 규칙은 변경 가능하므로, 새로운 공격 방법이나 데이터 패턴에 따라 규칙을 적응시키거나 업데이트할 수 있다. 변경 가능한 규칙을 사용하면 공격 검출에 실패할 위험이 크게 줄어든다. 제어 장치 또는 차량에 의한 규칙의 자율적인 조정은 바람직하게는 발생하지 않는다. 규칙은 예를 들어, 통신 데이터의 데이터 내용과 관련된 통신 규칙일 수 있다. 규칙은 또한 충족되어야 하는 통신 데이터의 데이터 속성을 정의하는 충족 규칙일 수 있다.
본 발명에 따른 방법의 하나의 바람직한 형태의 실시형태에서, 이것은 제어 장치로의 신호 전송을 위해 연결되거나 제어 장치의 컴포넌트인 차량의 공격 검출 시스템에 의해 부분적으로 또는 전체적으로 수행된다. 특히 통신 데이터의 체킹은 실시간으로 발생한다. 또한, OSI (Open Systems Interconnection Model) 구조의 하나, 복수 또는 모든 계층 상에서 송신된 통신 데이터는 상기 방법에 의해 동시에 체크되는 것이 바람직하다.
본 발명에 따른 방법의 특히 바람직한 형태의 실시형태에서, 차량의 적어도 하나의 통신 채널을 통해 송신된 통신 데이터는 그 통신 데이터가 데이터 요건을 충족시키는 경우 비유해한 또는 무해한 것으로 분류된다. 대안적으로 또는 추가로, 차량의 적어도 하나의 통신 채널을 통해 송신된 통신 데이터는 그 통신 데이터가 데이터 요건을 충족시키지 않으면 악의적이거나 유해한 것으로 분류된다. 바람직하게는, 통신 데이터는 규칙 중 하나, 복수 또는 모두가 그 통신 데이터에 의해 위반되는 경우 데이터 요건을 충족시키지 못한다. 바람직하게는, 제어 장치 또는 차량에 대한 그것의 잠재적 유해성의 관점에서 통신 데이터의 평가가 발생하며, 여기서 통신 데이터에 의한 규칙 위반의 수 및/또는 강도는 평가를 위해 고려된다.
또한, 차량의 적어도 하나의 통신 채널을 통해 송신된 통신 데이터가 데이터 요건을 충족시키는 경우, 제어 장치 또는 제어 장치의 제어 유닛에 의해 차량의 적어도 하나의 통신 채널을 통해 송신된 통신 데이터의 수신이 허용되는, 본 발명에 따른 방법은 바람직하다. 대안적으로 또는 추가적으로, 차량의 적어도 하나의 통신 채널을 통해 송신된 통신 데이터가 데이터 요건을 충족시키지 않는 경우에는, 제어 장치 또는 제어 장치의 제어 유닛에 의해 차량의 적어도 하나의 통신 채널을 통해 송신된 통신 데이터의 수신이 방지된다. 수신을 방지하는 것은 유해한 데이터가 제어 장치 또는 제어 장치의 목적지 제어 유닛에 도달하지 않는 효과를 가져서, 제어 장치의 기능 고장 또는 기능 장애가 효과적으로 회피되도록 한다. 이 방법은 차량의 적어도 하나의 통신 채널을 통해 송신된 그의 통신 데이터가 데이터 요건을 충족시키지 않는 데이터 소스와의 통신의 일시적인 중단을 더 포함할 수 있다. 예를 들어, 데이터 소스가 과거에 차량에 통신 데이터를 이미 송신했지만, 그 자신이 사이버 공격의 희생자가 된 외부 장치인 경우 통신의 일시적인 중단이 적절할 수 있다. 예를 들어, 외부 장치에 의해 유해한 데이터의 송신이 방지되는 경우 통신 중단이 제거될 수 있다. 대안적으로 또는 추가로, 이 방법은 차량의 적어도 하나의 통신 채널을 통해 송신된 그의 통신 데이터가 데이터 요건을 충족시키지 않는 데이터 소스와의 통신의 영구적인 방지를 더 포함할 수 있다. 통신의 영구적인 방지를 통해, 이데이터 소스에서 발생하는 나중의 공격 시도가 또한 효과적으로 회피될 수 있다.
본 발명에 따른 방법은 데이터 요건을 특정하는 하나 또는 복수의 규칙이 변경되는 점에서 더욱 유리하게 개발된다. 대안적으로 또는 추가로, 데이터 요건을 정의하는 하나 또는 복수의 규칙은 하나 또는 복수의 추가의 규칙에 의해 보충된다. 또한, 데이터 요건을 정의하는 하나 또는 복수의 규칙은 취소되거나 삭제될 수 있다. 또한, 데이터 요건을 정의하는 하나 또는 복수의 규칙을 교환하는 것이 유리할 수 있다. 규칙의 변경, 보충, 취소, 삭제 및/또는 교환은 통신 데이터에 의해 만족될 데이터 요건을 새로운 공격 방법 및/또는 유해한 통신 데이터의 새로운 데이터 패턴에 적응시키기 위해 발생한다.
데이터 요건을 정의하는 하나 또는 복수의 규칙이 하드웨어 기반 신뢰 앵커에 의한 수정에 대해 보호되는 본 발명에 따른 방법이 더욱 바람직하다. 하드웨어 기반 신뢰 앵커는 하나 또는 복수의 데이터 요건을 정의하는 규칙의 하드웨어 지원 암호화 및/또는 서명을 보장한다. 이러한 방식으로, 변경, 취소 또는 삭제되는 데이터 요건의 수정에 대한 규칙을 효과적으로 회피하는 것이 가능하다. 이러한 방식으로, 충족되어야 하는 데이터 요건을 변경하려는 예비적인 공격이 효과적으로 회피된다.
본 발명에 따른 방법의 다른 바람직한 형태의 실시형태에서, 제어 장치에 연결되고 체크되는 차량의 적어도 하나의 통신 채널을 통해 송신되는 통신 데이터는 차량의 통신 인터페이스를 통해 수신된다. 통신 인터페이스는, 예를 들어 CAN 버스, CAN-FD 버스, Flexray 버스 및/또는 LIN 버스로서 구현되는 차량의 통신 채널과의 신호 전송을 위해 연결될 수 있다. 대안적으로 또는 추가로, 통신 인터페이스는 이더넷 인터페이스 또는 무선으로 및/또는 유선을 통해 외부 장치와 통신하도록 구성되는 차량의 통신 모듈의 통신 인터페이스일 수 있다. 대안적으로 또는 추가적으로, 제어 장치에 연결되고 체크되는 차량의 적어도 하나의 통신 채널을 통해 송신되는 통신 데이터는 차량 내부의 메모리에 저장되거나 또는 차량에 의해 생성되는 차량 내부의 데이터일 수 있다. 차량 내부의 데이터는 예를 들어 프로토콜, 특히 액세스 프로토콜, 파라미터 및/또는 측정된 값을 포함할 수 있다. 따라서, 차량에 저장되고 차량 자체에 의해 생성되는 모든 데이터뿐만 아니라, 외부로부터 차량 내로 송신되는 모든 데이터는 본 방법에 의해 체크될 수 있다.
본 발명에 따른 방법의 추가의 개발에서, 제어 장치는 차량 내부 네트워크의 클라이언트 제어 장치로서 동작되며, 통신 데이터의 체킹은 클라이언트 제어 장치에 의해 및 차량 내부의 네트워크의 서버 제어 장치에 의해 공동으로 이루어진다. 대안적으로, 통신 데이터의 체킹은 제어 장치에 의해 자율적으로 수행될 수 있다. 이 경우, 제어 장치 자체는, 예를 들어 서버 제어 장치와 같은 추가의 추가 장치와 독립적으로, 유해한 통신 데이터에 대한 체크를 수행할 수 있다.
본 발명에 따른 방법의 추가의 바람직한 형태의 실시형태에서, 겉보기 오류 (apparently erroneous) 체크 신호가 클라이언트 제어 장치로부터 서버 제어 장치로 송신되고 및/또는 서버 제어 장치에 의해 수신된 체크 신호가 클라이언트 제어 장치에 의해 송신된 체크 신호에 대응하는지 또는 변경되었는지 여부를 알기 위해 서버 제어 장치에 의해 체크될 수 있다. 대안적으로 또는 추가적으로, 방법은 서버 제어 장치에 의한 수신된 체크 신호에 대한 체크 응답의 생성 및/또는 서버 제어 장치로부터 클라이언트 제어 장치로의 생성된 체크 응답의 송신을 포함하며, 여기서 제어 장치에 연결되는 차량의 적어도 하나의 통신 채널을 통해 송신되는 통신 데이터의 체킹은 서버 제어 장치에 의해 생성된 체크 응답의 체킹을 포함하는 것이 바람직하다. 겉보기 오류 체크 신호가 송신되었기 때문에, 제어 장치 또는 차량에 대한 잠재적인 공격 가능성이 해커에게 시사된다. 겉보기 오류가 없는 신호를 생성하기 위해 잘못된 신호가 보충되고 및/또는 유해한 데이터로 오버레이될 수 있다. 본경우에, 서버 제어 장치에 의해 겉보기 오류가 없는 신호가 수신되면, 겉보기 오류 체크 신호가 송신되었음에도 불구하고, 유해한 데이터가 도입되었다고 추정될 수 있으며, 이에 의해 공격이 성립될 수 있다. 허니팟 (honeypot) 전략으로 알려진 것은 겉보기 오류 체크 신호의 의도적인 송신을 통해 구현된다.
본 발명에 따른 방법의 다른 바람직한 형태의 실시형태에서, 통신 데이터의 체킹은 부하 분산 모드에서 수행되는데, 부하 분산 모드에서는 모두가 아니라 일부 개별 데이터 패킷 만이 데이터 요건의 충족의 관점에서 체크된다. 예를 들어, 여기에서 모든 제 2 또는 제 3 데이터 패킷은 데이터 요건의 충족에 대해 체크될 수 있다. 이러한 방식으로, 요구된 컴퓨팅 능력이 크게 줄어들어 자원에서의 추가의 절약이 달성된다.
다른 바람직한 형태의 실시형태에서, 본 발명에 따른 방법은 컴퓨터 구현 방법이다. 이 경우, 프로그램이 컴퓨터, 특히 차량의 컴퓨터에 의해 실행될 때, 전술한 실시형태의 형태들 중 하나에 따른 방법을 수행하게 하는 명령을 포함하는 컴퓨터 프로그램 제품이 구현될 수 있다. 프로그램이 컴퓨터에 의해, 특히 차량의 컴퓨터에 의해 실행될 때, 전술한 실시형태의 형태들 중 하나에 따른 방법을 수행하게 하는 명령들을 포함하는 컴퓨터 판독가능 저장 매체가 또한 이러한 방식으로 구현될 수 있다.
본 발명의 기초가 되는 목적은 처음에 언급된 유형의 통신 시스템을 통해 추가로 달성되며, 통신 시스템은 전술한 실시형태의 형태들 중 하나에 따른 차량의 제어 장치에 대한 공격, 특히 사이버 공격을 검출하는 방법을 수행하도록 구성된다. 본 발명에 따른 통신 시스템의 장점 및 변경과 관련하여, 본 발명에 따른 방법의 장점 및 변경이 참조된다.
본 발명의 기초가 되는 목적은 또한 처음에 언급된 유형의 차량에 의해 달성되며, 통신 시스템은 전술한 실시형태의 형태들 중 하나에 따라 설계된다. 본 발명에 따른 차량의 장점 및 변경과 관련하여, 본 발명에 따른 방법의 장점 및 변경이 참조된다.
본 발명의 바람직한 실시형태들은 이하에서 첨부 도면들을 참고로 하여 보다 상세하게 설명 및 기술된다.
도 1 은 본 발명에 따른 통신 시스템의 예시적인 실시형태를 개략도로 도시한다.
도 2 는 제어 장치를 개략도로 도시한다.
도 3 은 본 발명에 따른 통신 시스템의 추가의 예시적인 실시형태를 개략도로 도시한다.
도 4 는 본 발명에 따른 방법의 하나의 예시적인 실시형태에 대응하는 클라이언트 제어 장치와 서버 제어 장치 사이의 통신을 도시한다.
도 1 은 공격 검출 시스템 (14) 을 포함하는 제어 장치 (10) 를 구비한 차량용 통신 시스템 (100) 을 도시한다. 공격 검출 시스템 (14) 은제어 장치 (10) 에 연결되는 차량의 통신 채널 (12a, 12b) 을 통해 송신되는 통신 데이터를 체크하도록 구성된다.
통신 데이터를 체크하는 동안, 통신 데이터가 복수의 규칙에 의해 정의되는 데이터 요건을 충족하는 지 여부에 대한 문제가 실시간으로 체크된다. 공격 검출 시스템 (14) 은 통신 데이터가 데이터 요건을 충족하는 경우 그 통신 데이터를 비유해한 또는 무해한 것으로 분류하도록 구성된다. 한편, 공격 검출 시스템 (14) 은 통신 데이터가 데이터 요건을 충족하지 않으면 그 통신 데이터를 악의적이거나 유해한 것으로 분류하도록 구성된다.
새로운 공격 방법 및/또는 새로운 유해한 데이터로부터 제어 장치 (10) 를 보호하기 위한 규칙의 적응이 발생할 수 있도록, 데이터 요건을 정의하는 규칙이 변경, 보충, 취소 또는 삭제 및 교환될 수 있다.
공격자에 의한 데이터 요건에서의 대응하는 변경이라는 결과를 낳을 규칙의 변경을 회피하기 위해, 하드웨어 기반 트러스트 앵커 (hardware-based trust anchor) 를 통해 규칙이 변경되지 않도록 보호된다. 하드웨어 기반 트러스트 앵커는 공격 검출 시스템 (14) 에 신호 전송을 위해 연결되는 보안 모듈 (16) 에 의해 구현된다.
공격 검출 시스템 (14) 및 보안 모듈 (16) 에 더하여, 제어 장치 (10) 는 또한 통신 데이터의 잠재적인 수신자를 나타내는 복수의 제어 유닛 (18a, 18b) 을 포함한다. 제어 장치는 원칙적으로 통신 데이터의 잠재적인 수신자일 수 있는 다수의 제어 유닛을 포함할 수 있다. 통신 데이터가 비유해하거나 무해한 것으로 분류되면, 그것은 예를 들어 제어 프로세스의 구현을 위해 제어 유닛 (18a, 18b) 으로 전달될 수 있다.
도 2 는 소프트웨어 스택 (24) 과 하드웨어 (26) 로 개략적으로 분할되는 제어 장치 (10) 를 도시한다.
제어 장치 (10) 는 소프트웨어 측 통신 모듈 (20) 에 연결되는 하드웨어 측 통신 인터페이스 (22) 를 포함한다. 제어 장치는 통신 인터페이스 (22) 를 통해 통신 채널 (12) 에 연결되며, 통신 채널 (12) 을 통해 유해한 데이터가 제어 장치 (10) 에 로딩될 수 있다. 통신 인터페이스 (22) 를 통해 수신된 통신 데이터는 통신 모듈 (20) 에 의해 공격 검출 시스템 (14) 에 이용 가능하게 된다.
공격 검출 시스템 (14) 은 통신 데이터가 복수의 규칙에 의해 정의되는 데이터 요건을 충족하는 지 여부에 대해 실시간으로 통신 데이터를 체크하도록 구성된다. 또한, 공격 검출 시스템 (14) 은 통신 데이터가 데이터 요건을 충족하는 경우 제어 장치 (10) 의 제어 유닛 (18) 에 의한 통신 데이터의 수신을 허용하고, 통신 데이터가 데이터 요건을 충족하지 않으면 제어 장치 (10) 의 제어 유닛 (18) 에 의한 통신 데이터의 수신을 방지하며, 통신 데이터가 데이터 요건을 충족하지 않으면 제어 장치 (10) 의 제어 유닛 (18) 에 의한 통신 데이터의 수신을 방지하도록 구성된다.
데이터 요건을 정의하는 규칙은 하드웨어 기반 트러스트 앵커를 통해 변경에 대해 보호된다. 제어 장치 (10) 는 이를 위해 규칙을 암호화하는 하드웨어 측 보안 모듈 (16) 을 포함한다.
도 3 은 복수의 제어 장치 (10', 28, 30a-30c) 에 연결되는 CAN 버스로서 형성된 통신 채널 (12) 을 도시한다. 통신 채널 (12) 은 또한 텔레매틱 장치 (32) 및통신 인터페이스 (34) 에 연결된다. 통신 인터페이스 (34) 는 예를 들어 차량 대 차량 통신을 위해 서빙할 수 있고, 통신 데이터를 다른 차량과 무선으로 교환하도록 구성될 수 있다.
차량의 통신 채널 (12) 을 통해 송신되고 체크되어야 하는 통신 데이터는 따라서 차량의 통신 인터페이스 (34) 를 통해 수신될 수 있거나, 예를 들어, 차량 내부에 있는 메모리에 저장되거나 차량에 의해 생성되는 차량 내부의 데이터일 수 있으며, 여기서 차량 내부의 데이터는 통신 채널 (12) 을 통해 차량 내에서 송신된다.
제어 장치 (10') 는 차량 내부의 네트워크의 클라이언트 제어 장치로서 작동된다. 통신 데이터의 체킹은 이 경우에 차량 내부의 네트워크의 클라이언트 제어 장치 (10') 및 서버 제어 장치 (28) 에 의해 공동으로 일어난다. 공격 검출 시스템은 따라서 클라이언트 제어 장치 (10') 및 서버 제어 장치 (28) 에 부분적으로 통합된다.
본 경우에, 공격 검출 시스템은, 통신 채널 (12) 을 통해 데이터 소스로부터 송신된 통신 데이터가 데이터 요건을 충족하지 않으면, 데이터 소스와의 통신이 식별 가능한 한, 데이터 소스와의 통신을 일시적으로 중단시키거나 영구적으로 방지하도록 설계된다. 이러한 방식으로, 유해한 통신 데이터를 영구적으로 또는 일시적으로 송신하는 다른 장치는 통신에서 일시적으로 또는 영구적으로 제외된다.
도 4 는 클라이언트 제어 장치 (10') 로부터 서버 제어 장치 (28) 로 겉보기 오류 체크 신호 (36) 의 송신을 도시한다. 겉보기 오류 체크 신호 (36) 는 공격자 (44) 에 의해 이용될 수 있는 신호 에러 (42) 를 포함한다.
공격자 (44) 는 겉보기 오류 체크 신호를 확장하는 신호 확장부 (38) 를 송신한다. 서버 제어 장치 (28) 에 의해 수신된 체크 신호는 이제 신호 확장부 (38) 의 결과로서 에러가 없는 것으로 보인다. 서버 제어 장치 (28) 는 수신된 체크 신호 (36) 에 대한 체크 응답 (40) 을 생성하고 이를 클라이언트 제어 장치 (10') 에송신하도록 구성된다. 본 경우에, 서버 제어 장치는 체크 신호 (36) 의 모든 제로 접촉마다 체크 응답 (40) 으로 짧은 신호 펄스를 생성하도록 구성된다.
따라서, 클라이언트 제어 장치 (10') 는 체크 응답 (40) 이 예상된 체크 응답에 대응하지 않기 때문에, 겉보기 오류 체크 신호 (36) 가 공격자 (44) 에 의해 변경되었음을 인식할 수 있다. 수신된 체크 응답 (40) 이 예상된 체크 응답과 상이하기 때문에, 공격자 (44) 에 의해 신호 변경이 이루어졌으며 수신된 통신 데이터가 악의적이거나 유해하다고 추론하는 것이 또한 가능하다.
겉보기 오류 체크 신호 (36) 가 송신되었기 때문에, 공격자 (44) 는 체크 신호 (36) 의 신호 에러 (42) 를 이용하려는 유혹을 받았다. 이 신호의 의도적인 송신에 기초하여, 허니팟 기능으로 알려진 것이 이러한 방식으로 구현되었으며, 공격자 (44) 는 예상되는 공격을 수행하도록 유혹 받았다.
10 제어 장치
10' 클라이언트 제어 장치
12, 12a, 12b 통신 채널
14 공격 검출 시스템
16 보안 모듈
18, 18a, 18b 제어 유닛
20 통신 모듈
22 통신 인터페이스
24 소프트웨어 스택
26 하드웨어
28 서버 제어 장치
30a-30c 기타 제어 장치
32 텔레매틱 장치
34 통신 인터페이스
36 체크 신호
38 신호 확장부
40 체크 응답
42 신호 에러
44 공격자
100 통신 시스템

Claims (10)

  1. 차량의 제어 장치 (10) 에 대한 공격을 검출하는 방법으로서,
    - 상기 제어 장치 (10) 에 연결되는 상기 차량의 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신되는 통신 데이터를 체크하는 단계를 가지며;
    상기 제어 장치 (10) 에 연결되는 차량의 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신되는 통신 데이터를 체크하는 단계는:
    - 상기 차량의 상기 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신된 상기 통신 데이터가 하나 또는 복수의 변경 가능한 규칙들에 의해 정의되는 데이터 요건들을 충족하는지 여부를 체크하는 단계를 포함하고,
    상기 제어 장치 (10) 는 상기 차량의 내부의 네트워크의 클라이언트 제어 장치 (10') 로서 동작되며, 상기 통신 데이터의 상기 체크하는 단계는 상기 차량의 내부의 상기 네트워크의 상기 클라이언트 제어 장치 (10') 에 의해 및 서버 제어 장치 (28) 에 의해 공동으로 발생하고,
    - 상기 클라이언트 제어 장치 (10') 로부터 상기 서버 제어 장치 (28) 로 겉보기 오류 체크 신호 (36) 를 송신하는 단계;
    - 상기 서버 제어 장치 (28) 에 의해 수신된 상기 체크 신호 (36) 가 상기 클라이언트 제어 장치 (10') 에 의해 송신된 상기 체크 신호 (36) 에 대응하는지 또는 변경되었는지 여부를 상기 서버 제어 장치 (28) 에 의해 체크하는 단계;
    - 상기 서버 제어 장치 (28) 에 의해, 수신된 상기 체크 신호 (36) 에 대한 체크 응답 (40) 을 생성하는 단계;
    - 상기 서버 제어 장치 (28) 로부터 상기 클라이언트 제어 장치 (10') 로 생성된 상기 체크 응답 (40) 을 송신하는 단계
    중 적어도 하나를 특징으로 하고,
    상기 제어 장치 (10) 에 연결된 상기 차량의 상기 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신된 통신 데이터의 상기 체크하는 단계는 상기 서버 제어 장치 (28) 에 의해 생성된 상기 체크 응답 (40) 을 체크하는 단계를 포함하는 것을 특징으로 하는 차량의 제어 장치에 대한 공격을 검출하기 위한 방법.
  2. 제 1 항에 있어서,
    - 상기 통신 데이터가 상기 데이터 요건들을 충족하는 경우, 상기 차량의 상기 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신된 상기 통신 데이터를 비유해하거나 무해한 것으로 분류하는 단계;
    - 상기 통신 데이터가 상기 데이터 요건들을 충족하지 않는 경우, 상기 차량의 상기 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신된 상기 통신 데이터를 악의적이거나 유해한 것으로 분류하는 단계
    중 적어도 하나를 특징으로 하는 차량의 제어 장치에 대한 공격을 검출하기 위한 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    - 상기 차량의 상기 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신된 상기 통신 데이터가 상기 데이터 요건들을 충족하는 경우, 상기 제어 장치 (10) 또는 상기 제어 장치 (10) 의 제어 유닛 (18, 18a, 18b) 에 의해 상기 차량의 상기 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신된 상기 통신 데이터의 수신을 허용하는 단계;
    - 상기 차량의 상기 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신된 상기 통신 데이터가 상기 데이터 요건들을 충족하지 않는 경우, 상기 제어 장치 (10) 또는 상기 제어 장치 (10) 의 제어 유닛 (18, 18a, 18b) 에 의해 상기 차량의 상기 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신된 상기 통신 데이터의 수신을 방지하는 단계;
    - 상기 차량의 상기 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신된, 그의 통신 데이터가 상기 데이터 요건들을 충족하지 않는 데이터 소스와의 통신을 일시적으로 중단하거나 영구적으로 방지하는 단계
    중 적어도 하나를 특징으로 하는 차량의 제어 장치에 대한 공격을 검출하기 위한 방법.
  4. 제 1 항 또는 제 2 항에 있어서,
    - 상기 데이터 요건들을 정의하는 상기 하나 또는 상기 복수의 규칙들을 변경하는 단계;
    - 상기 데이터 요건들을 정의하는 상기 하나 또는 상기 복수의 규칙들을 하나 또는 복수의 추가의 규칙들로 보충하는 단계;
    - 상기 데이터 요건들을 정의하는 하나 또는 복수의 상기 규칙들을 취소하거나 삭제하는 단계
    - 상기 데이터 요건들을 정의하는 하나 또는 복수의 상기 규칙들을 교환하는 단계
    중 적어도 하나를 특징으로 하는 차량의 제어 장치에 대한 공격을 검출하기 위한 방법.
  5. 제 1 항 또는 제 2 항에 있어서,
    상기 데이터 요건들을 정의하는 상기 하나 또는 상기 복수의 규칙들은 하드웨어 기반 트러스트 앵커를 통해 변경에 대해 보호되는 것을 특징으로 하는 차량의 제어 장치에 대한 공격을 검출하기 위한 방법.
  6. 제 1 항 또는 제 2 항에 있어서,
    상기 제어 장치 (10) 에 연결되는 상기 차량의 상기 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신되고 체크되는 상기 통신 데이터는 상기 차량의 통신 인터페이스 (34) 를 통해 수신된 데이터 및/또는 상기 차량의 내부의 메모리에 저장되거나 상기 차량에 의해 생성되는 상기 차량의 내부에 있는 데이터인 것을 특징으로 하는 차량의 제어 장치에 대한 공격을 검출하기 위한 방법.
  7. 삭제
  8. 삭제
  9. 차량용 통신 시스템 (100) 으로서,
    - 적어도 하나의 제어 장치 (10), 및
    - 상기 제어 장치 (10) 의 컴포넌트이거나 신호 전송을 위해 상기 제어 장치 (10) 에 연결되는 공격 검출 시스템 (14) 으로서, 상기 공격 검출 시스템 (14) 은 상기 제어 장치 (10) 에 연결되는 상기 차량의 적어도 하나의 통신 채널 (12, 12a, 12b) 을 통해 송신되는 통신 데이터를 체크하도록 구성되는, 상기 공격 검출 시스템 (14) 을 가지며,
    상기 통신 시스템 (100) 은 제 1 항 또는 제 2 항에 기재된 차량의 제어 장치 (10) 에 대한 공격을 검출하기 위한 방법을 수행하도록 구성되는 것을 특징으로 하는 차량용 통신 시스템 (100).
  10. 차량으로서,
    - 통신 시스템 (100) 을 가지며,
    상기 통신 시스템 (100) 은 제 9 항에 기재된 바와 같이 설계되는 것을 특징으로 하는 차량.
KR1020207008727A 2017-09-27 2018-09-19 차량의 제어 장치에 대한 공격을 검출하기 위한 방법 KR102373922B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102017217195.2A DE102017217195A1 (de) 2017-09-27 2017-09-27 Verfahren zum Erfassen eines Angriffs auf ein Steuergerät eines Fahrzeugs
DE102017217195.2 2017-09-27
PCT/EP2018/075298 WO2019063374A1 (de) 2017-09-27 2018-09-19 Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs

Publications (2)

Publication Number Publication Date
KR20200040876A KR20200040876A (ko) 2020-04-20
KR102373922B1 true KR102373922B1 (ko) 2022-03-11

Family

ID=63642996

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207008727A KR102373922B1 (ko) 2017-09-27 2018-09-19 차량의 제어 장치에 대한 공격을 검출하기 위한 방법

Country Status (7)

Country Link
US (1) US11528284B2 (ko)
EP (1) EP3688951B1 (ko)
JP (1) JP7024069B2 (ko)
KR (1) KR102373922B1 (ko)
CN (1) CN111149336B (ko)
DE (1) DE102017217195A1 (ko)
WO (1) WO2019063374A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019204452A1 (de) * 2019-03-29 2020-10-01 Robert Bosch Gmbh Verfahren und Vorrichtung zum Betreiben eines Steuergerätes in einem Verbund von Steuergeräten
CN111756762A (zh) * 2020-06-29 2020-10-09 北京百度网讯科技有限公司 车辆安全性分析方法、装置、电子设备及存储介质
EP4315751A1 (de) * 2021-05-06 2024-02-07 Siemens Mobility GmbH Verfahren und system zum erkennen eines datentechnischen angriffs auf ein fahrzeug unter verwendung von deep-learning-verfahren

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015136107A (ja) * 2014-01-06 2015-07-27 アーガス サイバー セキュリティ リミテッド グローバル自動車安全システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10209766B4 (de) * 2002-03-05 2004-02-19 Daimlerchrysler Ag Komponententausch-Warnsystem
US8378800B2 (en) * 2009-09-30 2013-02-19 Dei Headquarters, Inc. Security system and method for operating the same
US9881165B2 (en) 2012-03-29 2018-01-30 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
EP2909065B1 (en) * 2012-10-17 2020-08-26 Tower-Sec Ltd. A device for detection and prevention of an attack on a vehicle
US20140380475A1 (en) * 2013-06-25 2014-12-25 International Business Machines Corporation User centric fraud detection
US9480095B2 (en) * 2014-10-27 2016-10-25 GM Global Technology Operations LLC Simplified pairing of a second device in a vehicle via short range wireless communication
JP6369334B2 (ja) * 2015-01-09 2018-08-08 トヨタ自動車株式会社 車載ネットワーク
DE102015205670A1 (de) * 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
JP6173541B2 (ja) * 2015-10-09 2017-08-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、攻撃検知方法及びプログラム
KR101759136B1 (ko) * 2015-11-17 2017-07-31 현대자동차주식회사 차량 헤드 유닛과 외부 기기 연동 시 차량 전용 데이터 채널 보안 서비스 제공 방법 및 그를 위한 장치
JP6649215B2 (ja) 2015-12-14 2020-02-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、ネットワークシステム及び攻撃検知方法
JP6423402B2 (ja) 2015-12-16 2018-11-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ処理方法及びサーバ
JP6839963B2 (ja) 2016-01-08 2021-03-10 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知方法、異常検知装置及び異常検知システム
GB2548371A (en) * 2016-03-15 2017-09-20 William Tindell Kenneth Firewall for securing access to vehicle networks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015136107A (ja) * 2014-01-06 2015-07-27 アーガス サイバー セキュリティ リミテッド グローバル自動車安全システム

Also Published As

Publication number Publication date
WO2019063374A1 (de) 2019-04-04
JP2020535523A (ja) 2020-12-03
CN111149336B (zh) 2022-05-13
JP7024069B2 (ja) 2022-02-22
US20210194893A1 (en) 2021-06-24
CN111149336A (zh) 2020-05-12
DE102017217195A1 (de) 2019-03-28
EP3688951A1 (de) 2020-08-05
US11528284B2 (en) 2022-12-13
EP3688951B1 (de) 2023-08-23
KR20200040876A (ko) 2020-04-20

Similar Documents

Publication Publication Date Title
US11709950B2 (en) Security system and method for protecting a vehicle electronic system
KR102373922B1 (ko) 차량의 제어 장치에 대한 공격을 검출하기 위한 방법
US11245535B2 (en) Hash-chain based sender identification scheme
US20170048241A1 (en) Transmission device, reception device, transmission method, and reception method
US9661006B2 (en) Method for protection of automotive components in intravehicle communication system
Olufowobi et al. Controller area network intrusion prevention system leveraging fault recovery
Kwon et al. Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet
US9444845B2 (en) Network security apparatus and method
Elend et al. Cyber security enhancing CAN transceivers
CN113226858A (zh) 信息处理装置
Ujiie et al. A method for disabling malicious CAN messages by using a CMI-ECU
KR20190097216A (ko) 센서의 측정값들에 서명하기 위한 방법, 장치 및 명령어들을 포함하는 컴퓨터 판독 가능 저장 매체
KR20180072340A (ko) 운송 수단 내부 네트워크에서의 제어 데이터를 보안 전송하는 방법
Nasser et al. Exploiting AUTOSAR safety mechanisms to launch security attacks
US11916871B2 (en) Method and device for transferring electronic information
Rashmi Intrusion Detection System: An Approach to Autonomous Vehicles
CN115398427A (zh) 用于处理数据异常的方法,特别是在机动车辆中

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant