KR20180029961A - 장치 인증 시스템 - Google Patents

장치 인증 시스템 Download PDF

Info

Publication number
KR20180029961A
KR20180029961A KR1020177034966A KR20177034966A KR20180029961A KR 20180029961 A KR20180029961 A KR 20180029961A KR 1020177034966 A KR1020177034966 A KR 1020177034966A KR 20177034966 A KR20177034966 A KR 20177034966A KR 20180029961 A KR20180029961 A KR 20180029961A
Authority
KR
South Korea
Prior art keywords
bus
signal
message
data bus
data
Prior art date
Application number
KR1020177034966A
Other languages
English (en)
Inventor
오퍼 호프만
Original Assignee
시탈 테크놀로지 앤드 하드웨어 엔지니어링 (1997) 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 시탈 테크놀로지 앤드 하드웨어 엔지니어링 (1997) 리미티드 filed Critical 시탈 테크놀로지 앤드 하드웨어 엔지니어링 (1997) 리미티드
Publication of KR20180029961A publication Critical patent/KR20180029961A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/36Handling requests for interconnection or transfer for access to common bus or bus system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

통신 버스는 장치들이 정보 및 제어 신호를 통신하고 교환하는 것을 가능하게 한다. 이러한 유형의 버스들의 보안에 대한 관심이 점점 증가하고 있다. 모든 장치가 어떤 메시지든 송신할 수 있기 때문에, 손상될 수 있는 버스 상의 장치가 버스에 대한 위협이 된다. 통신 버스 상의 다양한 장치들로부터의 메시지의 출처를 인증하는 시스템이 개시된다.

Description

장치 인증 시스템
본 발명의 장치 및 방법은 통신 버스에 연결된 장치의 인증 분야에 관한 것이다.
하나의 전자 장치에서 다른 전자 장치로 정보를 전송하기 위한 몇 가지 아키텍처가 있다. 일반적으로 사용되는 아키텍처가 도 1a에 도시되어 있다. 이 아키텍처에서 디바이스들은 데이터 버스 또는 통신 버스라고 하는 공통의 통신 구조를 공유한다. 이 아키텍처에서 데이터 버스에 연결된 각 장치는 데이터 버스에 정보를 송신하거나 데이터 버스에 송신된 임의의 정보를 수신할 수 있다. 또한 데이터 버스에 송신되는 정보는 각 장치들에 왜곡되지 않은 상태로 전달될 수 있다. 이러한 버스의 예로는 RS485/422, CAN BUS, Flex Ray 등이 있다.
다수의 장치가 전술한 데이터 버스에 연결될 수 있다. 일부 데이터 버스에서 장치들은 고유한 ID 번호로 식별된다. 이 경우 ID 번호는 장치로부터의 모든 통신에서 나타나며 통신의 출처를 인증하는 데 사용될 수 있다. 예를 들어 CAN BUS와 같은 다른 데이터 버스에서, 메시지는 메시지 ID 번호로 식별되며 메시지는 특정 장치에 관련되지 않는다. 따라서 모든 장치는 제한없이 버스 상의 어떤 메시지라도 통과시킬 수 있다.
이러한 유형의 버스의 보안에 대한 관심이 증가하고 있다. 모든 장치가 모든 메시지를 송신할 수 있기 때문에 손상될 수 있는 버스 상의 모든 장치가 버스에 위협을 야기한다. 구체적인 예로서, 우리는 자동차의 CAN BUS를 고려할 수 있다. 자동차 라디오와 같은 Bluetooth 무선 연결을 갖는 장치는 해킹 당할 수 있으며 해커는 차량 라디오를 제어할 수 있다. 해커는 그 다음에 자동차의 CAN 버스에 연결된 자동차 라디오를 사용하여 메시지를 보내고 심지어 일부 작업을 시작할 수도 있다. 상기 메시지의 예는: 자동차의 잠금을 해제하거나, 브레이크 페달을 밟거나, 자동차 속도계 또는 회전 판독 값을 변경하는 것을 포함한다. 공통의 주제는 자동차의 무결성과 운전자 안전이 자동차의 CAN BUS에 연결된 모든 장치에 액세스할 수 있는 해커에 의해 심각하게 손상될 수 있다는 것이다.
도 1a는 전자 장치들을 연결하는 데이터 버스의 예이다.
도 1b는 데이터 버스 상의 수신된 신호들의 예이다.
도 2는 전자 장치들 연결하는 데이터 버스와 데이터 버스에 연결된 PTDR 장치의 예이다.
(용어 정의)
본 개시에서 사용되는 "데이터 버스"는 둘 이상의 전자 장치를 연결하고 한 장치에서 다른 장치로 전자 데이터 정보를 송신하는 데 사용되는 하나 이상의 와이어를 의미한다.
본 개시에서 사용되는 "데이터 버스 라인"은 데이터 버스에서 사용되는 와이어를 의미한다.
본 개시에서 사용되는 "전압 레벨"은 데이터 버스 라인의 미리 정의된 전압을 의미한다.
본 개시에서 사용된 "데이터 버스 신호"는 차동 데이터 버스의 2개의 데이터 버스 라인 상의 전압 레벨 간의 차이를 의미한다.
본 개시에서 사용된 "물리적 특징"은 데이터 버스 신호의 물리적 특징을 의미하며, 물리적 특징의 예는 다음을 포함한다: 신호 펄스 폭; 신호 꼬리; 신호 전압; 신호 펄스 간 타이밍 지터(jitter); 신호 펄스 슬루율(slew rate); 및 신호 펄스 간 또는 펄스 내 전압 변동.
본 개시에서 사용되는 "수동 시간 도메인 반사 측정기(PTDR: Passive Time Domain Reflectometry)"는 데이터 버스에 전기적으로 접속되어 데이터 버스 신호의 물리적 특징을 측정하는 전자 장치이다.
우선일이 2013년 12월 30일이고 2014년 12월 4일에 출원된 출원인의 미국 특허 제7,812,617호 및 미국 출원 제14/559,966호는 CAN BUS의 장애를 식별하는 시스템을 설명한다. 상기 장애는 PTDR이라고 하는 방법을 사용하여 실시간으로 식별된다. 이 참조 문헌들에서 수신장치는 신호 꼬리(tail) 또는 신호 펄스 폭과 같은 특정 신호 특징을 측정하고 신호의 물리적 특징이 장애 상태를 나타낼 때 경고를 제공한다. 참고문헌 "Passive Time Domain Reflectometry Based Authentication for Controller Area Network Bus"은 버스에 신호를 송신하는 장치를 식별하기 위해 PTDR 방법을 사용하는 것에 대해 설명했다. 그러나 "Passive Time Domain Reflectometry Based Authentication for Controller Area Network Bus"에 설명된 방법에는 몇 가지 단점이 있다; 즉, 신호가 자동차에서 자동차로 반복될 수 없으며; 신호는 실제로 장치를 나타내는 것이 아니라 버스 매체 및 관련된 장애를 나타낸다는 것이다. 이러한 이유로 "Passive Time Domain Reflectometry Based Authentication for Controller Area Network Bus" 시스템은 시스템의 안전한 작동에 해로운 상당한 수의 허위의 경보를 갖는다.
도 1a는 전자 장치들(101, 103)을 서로 연결시키는 수단을 제공하는 데이터 버스(119, 121)의 예이다. 도 1a는 버스의 예이며, 도면에서 장치(101)는 라인(111, 113)을 통해 데이터 버스(119, 121)에 연결되고, 장치(103)는 라인(115, 117)을 통해 데이터 버스(119, 121)에 연결된다. 장치(101, 103)는 데이터 버스(119, 121) 상에 전압을 인가함으로써 데이터를 송신한다. 일 예로서, 차동 데이터 버스에서, 데이터 버스(119)의 초기 라인 전압 레벨은 데이터 버스(121)의 초기 전압 레벨과 같다. 장치들(101, 103)이 데이터를 송신할 때, 그것들은 한 세트의 전압 레벨들을 포함하는 시변 라인 전압 신호를 발생시킨다. 비트는 최소 데이터 정보 단위이다. 그것은 '1' 또는 '0'의 두 값을 가질 수 있다. 각 비트는 비트 기간에 대응하는 시간 동안 데이터 버스(119, 121) 상의 장치(101, 103)에 의해 인가되는 2개의 전압 레벨의 세트로 정의된다. 종단 저항기(130, 132)는 버스의 종단점에서 정합된 임피던스를 제공하고 버스의 종단점으로부터의 신호 반사를 방지한다.
도 1b는 데이터 버스(119, 121) 상의 라인 전압 신호들(151, 153)의 예이다. 최종 데이터 버스 신호(155)는 라인 전압 신호들(151, 153) 간의 전압 차이다. 라인(151)은 하나의 데이터 버스 라인(119) 상의 라인 전압 신호이고, 라인(153)은 제2 데이터 버스 라인(121)상의 라인 전압 신호이다. 라인(151)은 2 개의 전압 레벨을 포함한다. 전압 레벨의 예는 3V의 고전압 레벨 및 2.5V의 저전압 레벨이다. 다른 전압 레벨의 예는 CAN BUS Spec 2.0, ISO 11898-2와 같은 관련 통신 표준에 설명되어 있다. CAN BUS Spec에서 버스 라인 와이어(119) 상의 CAN 고전압은 3.5V이고 버스 라인 와이어(121) 상의 CAN 저전압은 1.5V 이다. 상기 신호들은 우세(dominant)와 열세(recessive)로 지칭된다. '0'으로 지칭되는 우세 신호는 버스 라인 와이어(119, 121) 간의 전압 차가 2V보다 클 때이다. '1'로 지칭되는 열세 신호는 전압 차가 0(제로) V 이고 두 와이어가 2.5V의 공통 전압에서 부동(floating) 상태인 경우이다. 라인(153)은 2개의 전압 레벨을 포함한다. 일 예에서, 라인(153)의 고전압 레벨은 라인(151)의 저전압 레벨과 동일하다. 다른 예에서, 데이터 버스 라인(153)의 고전압 레벨은 데이터 버스 라인(151)의 저전압 레벨보다 낮다. 일 예에서, 데이터 버스 라인(153)의 고전압 레벨은 데이터 버스 라인(151)의 저전압 레벨에 대해 0.5V보다 더 낮다.
도 1b에 도시된 데이터 버스 신호는 다수의 비트로 구성된다. 일 예에서, '1' 비트는 타원(145) 내에 도시되어 있다. 일 예에서, '1' 데이터 버스 신호는 라인 전압(151)의 전압 레벨이 높고 라인 전압(153)의 전압 레벨이 타원(141) 내에 도시된 바와 같이 낮을 때 얻어진다. 또 다른 예에서, '0' 데이터 버스 신호는 타원(147)으로 도시된다. 일 예에서, '0' 데이터 버스 신호는 타원(143)으로 도시된 바와 같이 라인 전압(151)의 전압 레벨은 낮고 라인 전압(153)의 전압 레벨은 높을 때 얻어진다.
도 2는 전자 장치들(202, 204, 208, 210, 212, 214)을 연결하는 데이터 버스(220)와 데이터 버스(220)에 연결된 PTDR 장치(222)의 예이다. PTDR은 전자 장치들(202, 204, 208, 210, 212, 214)과 동일한 형태로 데이터 버스(220)에 전기적으로 연결된다. 다음은 PTDR을 기반으로 하여 통신 버스 상의 장치들을 인증하는 시스템에 대한 설명이다.
일 예에서, PTDR(222)는 다음을 포함한다:
버스상에서 전자 신호를 수신하도록 설계된 수신기;
상기 신호들을 분석하기 위한 기준 시간 축(reference time base)을 제공하도록 설계된 고속 카운터;
상기 기준 시간 축을 이용하여 상기 신호들을 분석하도록 구성된 로직 유닛; 및
상기 버스용 송신기 또는 무선 송수신기일 수 있는 통신장치.
추가의 예에서, PTDR은 상기 제시된 항목에 추가하여 다음 중 임의의 것을 포함 할 수 있다:
데이터 기록 유닛;
비휘발성 메모리에 저장된, 장치들 및 관련 신호 특징들의 데이터베이스;
데이터 버스로부터 인가되지 않은 신호를 제거하기 위해 작동될 수 있는 신호 제거 유닛.
일 예에서, PTDR(222)은 연속적으로 동작되어 데이터 버스 신호의 물리적 특징을 측정한다. 물리적 특징의 예는: 신호 펄스 폭; 신호 전압; 신호 펄스 간 타이밍 지터; 송신기 발진기 주파수; 신호 펄스 슬루율; 및 신호 펄스 간 또는 펄스 내 전압 변동을 포함한다. 특히 우리는 몇 가지 특징에 대해 장점과 잠재적인 용도에 대해 논의한다.
신호 전압 - 버스 상의 각각의 상이한 장치는 상이한 전기 회로 또는 소자를 가지며 버스 상의 다른 위치에 배치된다. 장치의 위치와 구조는 버스에서 다양한 신호 전압을 생성한다. 하나의 사용 예로서, 각각의 송신기에 대한 전압이 측정된다. 일 예에서, 전압은 아래에 설명된 바와 같이 데이터 송신의 특정 타이밍 동안 측정될 수 있다. 비트 폭이 매우 짧을 수 있기 때문에 아날로그-디지털 샘플 지점은 메시지 내의 매우 특정한 지점이어야 한다. 예를 들어 CAN FD 표준에서 비트는 100ns 정도로 짧을 수 있다. 신호 전압은 와이어 단선에 취약하며, 버스가 고장 상태인 동안 사용해서는 안된다.
신호 펄스 폭 - CAN BUS에서, 유효한 우세 펄스 폭은 1 내지 5 비트 길이가 합당하다. 두 송신기는 거의 동일한 단일 비트 폭을 가질 수 있지만 다른 5-비트 폭 측정을 가질 수 있다. 신호 펄스 폭은 와이어 단선에 취약하며 버스가 장애 상태인 동안 사용해서는 안 된다.
신호 펄스 슬루율 또는 신호 상승 시간 및 하강 시간 - 상승 시간 및 하강 시간은 송신기마다 변한다. 일 예에서 슬루율은 고속 카운터를 사용하여 측정할 수 있다. 슬루율을 측정하는 한 가지 방법은, 감쇠된(예컨대, 1/2 감쇠) 입력 신호를 갖는 추가 송수신기를 추가하고, 고속 카운터를 사용하여, 제1 수신기 레벨에서 제2 수신기 레벨까지의 시간을 측정하여 상승 시간을 결정하고, 제2 수신기 레벨에서 제2 수신기 레벨까지 시간을 측정하여 하강 시간을 측정하는 것이다. 슬루율은 와이어 단선에 취약하며, 버스가 장애 상태인 동안 사용해서는 안 된다.
송신기 발진기 주파수 - 버스 상의 각각의 송신기는 그 자신의 발진기를 갖는다. 예를 들어 CAN BUS와 같은 각 표준은 이러한 발진기 주파수가 변할 수 있는 PPM(parts per million)을 정의한다. 일단 특정 시스템에 조립되면, 적합한 발진기는 지정된 주파수에 근접한 주파수를 발진기 장치 PPM 허용오차까지 발생시킨다. 각 송신기의 실제 주파수는 특유하며 신체적 특징으로 작용할 수 있다. 이 특징을 측정하기 위해 고속 카운터는 50 마이크로 초 간격의 우세 비트들의 두 엣지 사이를 측정할 수 있다. 100 PPM (= 0.01 %)인 발진기의 경우, 50 마이크로 초는 ±5 나노 초의 차이를 나타낼 수 있다. 이 측정은 버스 장애와 무관하다.
PTDR(222) 데이터베이스는 메시지 번호들 및 그들의 허용된 송신기들의 식별 번호의 목록을 포함한다. 데이터베이스는 송신기 식별 번호 및 신호의 물리적 특징들의 목록을 더 포함할 수 있다. 상기 특징들은 각 물리적 특징에 대한 절대 숫자들 또는 숫자의 범위를 포함할 수 있다. 예를 들어, 데이터베이스는 전압 값, 전압 범위, 펄스 폭 등을 포함할 수 있다. 일 예에서, 데이터베이스는 물리적 특징의 평균 및 분산(variance)을 포함한다. 상기 로직 유닛은 수신된 신호가 특정 송신기로부터 송신된 확률을 계산하기 위해 이들 숫자를 사용할 수 있다.
고속 카운터는 PTDR의 동작을 용이하게 하는 구성 요소 중 하나이다. 고속 카운터는 수신된 신호의 모든 시간 특징에 대한 시간 축을 제공한다. 일 예에서, 고속 카운터는 한 세트의 더 느린 카운터들에 의해 구현된다. 예를 들어 특정한 전자 IC는 특정 주파수(Fmax)까지의 표준 2진 카운터를 수용할 수 있다. 고속 카운터는 동일한 IC 설계 규칙으로 구현될 수 있지만, Fmax보다 높은 카운팅 주파수를 달성한다. 8 x Fmax 카운터가 예로서 설명된다.
위상 고정 루프(PLL: Phase Locked Loop) 또는 디지털 위상 고정 루프(DLL)는 Fmax 까지의 주파수 및 50% 듀티 사이클에서 4개의 클록 신호를 생성한다. 각 클록은 45도씩 시프트되고, 따라서 각각의 클록은 각각 0 도, 45 도, 90 도, 135 도에서 각각 상승 엣지를 갖는다. 하강 엣지는 180 도, 225 도, 270 도, 315 도에 있다. 클럭 신호는 8개의 카운터를 구동한다. 각 카운터는 카운터 신호의 각각의 상승 엣지 또는 하강 엣지에서 카운트하도록 구성된다. 8개의 카운터 모두 합산되어 원래 클록의 주파수보다 8배 더 높은 카운터를 생성한다. 이러한 고속 카운터의 성공적인 동작의 요인은, 고유한 클럭 엣지를 사용하는 각 카운터가 입력 인에이블(enable) 신호를 샘플링하는 플립 플롭에 의해 완충된다는 것이다. 이 플립 플롭은, 해당 카운터의 고유한 클록으로 클록되는 각각의 저속 카운터에 대해 클럭 도메인 교차 장벽으로서의 역할을 한다.
전형적인 데이터 버스는 데이터 버스 상에 정보를 끊임없이 송신하는 수십 개의 장치를 포함한다. PTDR은 데이터 버스 상의 신호를 지속적으로 분석하고 신호의 물리적 특징을 추출한다. 물리적 특징 추출에서의 오류를 줄이는 것이 바람직하다. 특정 시간에 특정 방식으로 샘플링함으로써, 다른 신호들과 관련된 혼신이 감소될 수 있고 물리적 특징이 획득된 값에서 보다 작은 불확실성으로 추출될 수 있다는 것이 관찰되었다. CAN BUS 메시지에는 출처 송신기 특성의 물리적 특징을 측정하는 데 사용할 수 있는 세 부분이 있다. 처음의 중재 부분(arbitration part), 끝의 승인 부분(acknowledgement part), 그리고 중재 부분과 확인 부분 사이의 데이터 보유 부분(data bearing part)이 그것이다. 중재 및 승인 부분에서, 일부 또는 모든 모듈이 버스에 동시에 송신하므로, 단일 송신기를 식별하기가 어렵다. 메시지의 데이터 부분은 단일 송신기에 의해서만 송신되므로, 이것은 메시지의 출처인 송신기를 인증하고 관련 특징을 유도하는 데 적절한 시간이다.
PTDR 동작의 예는 다음과 같다:
데이터 버스 상의 전압의 변화가 고속 카운터를 작동시키고;
데이터 버스 상의 전압이 데이터 버스 신호 속도보다 적어도 10 배 높은 속도로 샘플링되고;
상기 전압 및 타이밍 정보가 상기 로직 유닛에 의해 처리되어 상기 신호의 관련 물리적 특징을 추출하고;
메시지 식별 번호가 데이터 버스 프로토콜을 사용하여 분석되고;
상기 논리 유닛이 상기 메시지 식별 번호에 대해 허가된(authorized) 송신기들을 검색하고;
모든 허가된 송신기에 대하여;
상기 로직 유닛은 상기 측정된 물리적 특징을 데이터베이스에 포함된 물리적 특징 데이터와 비교하고; 일치가 없는 경우, 로직 유닛은 상기 수신된 메시지가 허가된 송신기로부터의 것이 아닌 것을 출력한다.
이 시스템의 동작에 대한 하나의 중요한 측면은 허위 경보의 감소이다. 데이터 버스의 노이즈로 인해 측정된 물리적 특징이 허가된 송신기와 대응하지 않을 때, 허위 경보가 발생한다. 이 경우 로직 유닛은 수신된 메시지가 허가된 송신기로부터 온 것이 아니라고 잘못 표시할 수 있다. 허위 경보의 비율을 줄이기 위해 다음 작업이 수행된다.
물리적 특징은 설명적 통계 데이터로서 저장되고, 로직 유닛은 측정된 물리적 특징이 상기 설명적 통계 데이터에 대응할 확률을 계산한다. 예를 들어 값의 분포가 가우시안 랜덤 변수인 경우, 상기 설명적 통계 데이터는 신호의 평균 및 분산이다. 측정된 물리적 특징의 확률은 측정된 신호의 기대값 및 가우시안 생성 함수를 계산하여 얻을 수 있다.
로직 유닛의 결정은 둘 이상의 물리적 특징의 확률에 기초한다. 일 예로서, 로직 유닛은 수신된 메시지가 다음이 충족되는 경우 허가된 송신기로부터 온 것이 아닌 것을 식별한다:
전압 값이 90 %보다 큰 경계를 가질 확률; 및
타이밍 지터가 95 %보다 큰 경계 내에 있을 확률; 및
펄스 폭이 90 %보다 큰 경계 내에 있을 확률.
또 다른 예에서, 전술한 식별 프로세스는 허위 경보 비율을 더욱 최소화하기 위해 정제된다. 즉, 로직 유닛은 메시지 물리적 특징이 허가된 송신기의 확률에 맞지 않는 둘 이상의 사례 이후에만 수신된 메시지가 허가된 출처로부터의 것이 아닌 것으로 식별한다. 이 기능을 지원하기 위해, 데이터베이스가 카운터를 포함하도록 확장된다. 일 예에서, 카운터는 메시지들의 데이터베이스에 추가될 수 있다. 로직 유닛이 메시지가 허가된 수신기의 것이 아니라고 식별하면 카운터가 1씩 증가된다. 특정 유형의 허가되지 않은 정해진 수의 메시지가 수신된 후에만, 로직 유닛은 추가의 그러한 메시지가 물리적 특징의 확률 기준을 충족시키지 않으면 허가된 것으로부터의 것이 아닌 것으로 결정할 것이다.
다른 예에서, 데이터베이스는 버스 상의 모든 송신기들의 데이터베이스를 포함하도록 확장될 수 있다. 수신되는 모든 메시지는 송신한 송신기를 찾기 위해 분석된다. 이 예에서, 특정 송신기로부터 반복적으로 수신되는 허가되지 않은 메시지는 관련된 전자 장치가 손상되었다는 표시를 제공할 수 있다.
따라서, 일 예에서, 데이터 버스 상의 허가되지 않은 신호를 식별하는 시스템은, 상기 신호 속도로 송신된 데이터를 갖는 데이터 버스; 상기 데이터 버스에 연결된 수신기; 고속 카운터; 로직 유닛; 상기 버스 상의 신호 속도보다 높은 샘플링 속도로 상기 데이터 버스 전압을 샘플링하여 수신 신호를 생성하도록 구성된 샘플링 유닛; 허가된 메시지들 및 대응하는 메시지 물리적 특징들의 목록을 포함하는 데이터베이스;를 포함하며, 상기 로직 유닛은 상기 수신된 신호의 물리적 특징을 계산하고 그 물리적 특징들을 상기 데이터베이스에 포함된 것들과 비교한다. 추가의 예에서는, 데이터 버스가 RS485/422, CAN BUS 또는 Flex Ray 중 어느 하나인 데이터 버스 상의 허가되지 않은 신호들을 식별하는 시스템이다. 추가의 예에서, 고속 카운터는 2개 이상의 위상 시프트 된 카운터를 합하여 구현된다. 추가의 예에서, 샘플링 속도는 신호 속도의 적어도 5배이다. 추가의 예에서 로직 유닛은 측정된 물리적 특징들의 확률을 데이터베이스에 유지된 한 세트의 물리적 특징들에 속하는 것으로 계산한다. 또 다른 예에서 로직 유닛은 측정된 물리적 특징들의 확률을 데이터베이스에 유지된 한 세트의 물리적 특징들에 속하는 것으로 계산한다. 추가의 예에서 로직 유닛은 계산된 확률이 미리 정의된 문턱보다 낮으면 허가되지 않은 메시지를 나타내는 신호를 제공한다. 추가의 예에서 로직 유닛은 상기 측정된 물리적 특징들이 데이터베이스에 포함된 물리적 특징들에 일치하지 않으면 허가되지 않은 메시지를 나타내는 신호를 제공한다.
본 개시의 교시는 데이터 버스를 이용하여 전자 장치들 사이에서 통신하는 시스템에 대한 사이버 공격을 완화하기 위한 시스템 및 방법을 구성하기 위해 사용될 수 있다. 전자 장치들 간의 통신을 위해 데이터 버스를 이용하는 시스템의 한 예는 자동차이다. 자동차에 대한 사이버 공격의 목적은 차의 조작을 제어하거나 차의 정상 작동을 방해하는 것일 수 있다. 이러한 방해는 잠재적으로 생명을 위협하는 결과로 이어질 수 있다. 일반적으로 자동차의 사이버 공격은 보통은 무선 통신 채널인 진입 경로가 필요하다. 진입 경로의 예는 다음과 같다: WiFi 또는 Bluetooth® 무선 연결을 가질 수 있는 카 오디오 시스템; 각 바퀴에 설치된 무선 송신기와 자동차에 위치한 진입점이 될 수 있는 무선 수신기를 포함하는 자동차의 타이어 압력 측정 시스템(TPSM: Tire Pressure Measurement System); 자동차 WiFi 유닛; 자동차 제조업체 트랜스폰더(예컨대, onstar 등).
일단 해커가 무선 시스템을 통해 차량 내의 전자 장치에 액세스하면, 다음 단계는 전자 장치 송신기를 사용하여 데이터 버스 상에 허가되지 않은 메시지 또는 명령을 브로드캐스팅하는 것이다. 이러한 메시지 또는 명령의 예에는 다음이 포함된다: 자동차의 주행제어를 활성화 또는 비활성화 함; 자동차의 잠금 또는 잠금 해제; 운전 중임에도 엔진 끄기; 브레이크 작동 등. 이러한 예들로부터, 사이버 공격이 유해한 결과를 초래하고 허가되지 않은 메시지의 식별이 매우 중요하다는 것이 명백하다.
또 다른 예에서, 로직 유닛은 허가받지 않은 메시지가 버스 상에서 송신되었다는 것을 나타내는 경보 또는 신호를 제공할 수 있다. 일 예에서, 로직 유닛은 경보를 데이터 버스 상에 메시지로서 제공할 수 있다. 이 메시지는 버스 상의 모든 전자 장치에서 수신할 수 있다. 일 예에서, 그러한 메시지가 수신되면, 전자 장치는 이전의 허가되지 않은 메시지를 무시할 것이다. 다른 예에서, 경보 신호는 무선 채널에 의해 버스 상의 전자 장치 또는 외부 전자 장치에 송신되어, 허가받지 않은 메시지가 버스 상에서 송신되었다는 표시를 제공할 수 있다. 일 예에서, 차량은 허가되지 않은 메시지의 경우에 활성화 될 미리 정의된 절차를 가질 수 있다. 그러한 절차의 예로는 다음을 들 수 있다: 자동차 사용자 또는 소유자에게 통지; 또는 법 집행 당국에 통지.
또 다른 예는 버스 상에 송신된 허가되지 않은 메시지 또는 명령을 취소하는데 사용될 수 있는 시스템을 설명한다. 앞의 예와는 대조적으로, 이 시스템은 버스 상의 전자 장치에 대한 세부 조정을 필요로하지 않는다. CAN BUS 표준은 능동 및 수동 오류 처리를 위한 통과 오류 처리 정의(through error handling definition)를 포함한다. 버스 상의 각 CAN BUS 유닛은 능동 또는 수동 오류 유닛으로 정의된다. 능동 오류 유닛은 버스 상의 모든 메시지를 청취하는 것으로 기대되며, CAN BUS 위반을 감지하면 6 비트의 우세 펄스를 송신한다. 메시지가 끝나기 전에 이 펄스가 송신되면, 전체 메시지가 실패하고, 버스 상의 어떤 유닛도 그 데이터를 처리하거나 사용하지 않는다. 따라서 사이버 보안 모듈은 능동 오류 유닛으로 작동할 수 있으며, 허가되지 않은 출처에서 검출된 오류 메시지를 출력할 수 있다.
추가의 예에서, 각각의 유닛은 상기 유닛만이 송신할 수 있는 메시지에 대해 CAN BUS를 모니터링 한다. 유닛이 자신에 의해 송신되었어야 하는 송신된 신호를 감지하면, 이전에 설명한 대로 6 비트 우세 펄스를 송신함으로써 메시지를 취소할 수 있다. 일 예로서, 유닛은 특정 아이디어를 갖는 메시지를 CAN BUS 상에 송신하는 충돌 검출 시스템일 수 있으며, 상기 메시지는 다양한 다른 유닛들에게 잠재적인 충돌을 경보하는 글로벌 메시지이다. 상기 충돌 검출 유닛이 자신으로부터 발생되지 않은 충돌 경보에 대응하는 메시지 ID를 CAN BUS 상에서 검출하는 경우, 충돌 검출 유닛은 6 비트 우세 펄스를 송신하고 CAN BUS 상에서 메시지를 취소할 것이다.
따라서, 일 예에서, 본 개시는 데이터 버스 상에서 메시지를 무효화하는(nulling) 시스템을 설명하며: 데이터 버스 상에 송신된 메시지 내의 장애를 검출하는 시스템; 메시지를 인증하기 위해 상기 시스템으로부터 신호를 수신하는 수신기 유닛; 송신기 유닛;을 포함하며, 상기 신호는 버스 상의 메시지 내 오류를 표시하며, 상기 송신기 유닛은 상기 수신기가 현재 송신된 메시지 내 장애를 나타내는 신호를 수신할 때 데이터 버스 상에 미리 정의된 시퀀스를 송신할 것이다. 이전에 설명된 것과 같이 버스 상에 송신된 메시지를 무효화하는 다른 실시예 시스템에서, 버스 상에 송신된 메시지 내 장애를 검출하는 시스템은 이전에 설명된 허가되지 않은 신호들을 식별하는 시스템들 중의 어느 것이다.
또 다른 예에서 버스 상의 장애 상태를 검출하여 허위 경보를 경감시키기 위해 PTDR이 이용된다. 일시적으로라도 장애가 발생할 때, 모든 장치들의 물리적 특징이 변할 것이다. PTDR은 펄스 폭의 변화 또는 다수의 장치에서 신호 꼬리의 외관의 변화를 검출함으로써 장애의 발생을 검출할 수 있다. PTDR이 장애의 발생을 검출하는 경우, 그 장애에 의해 영향을 받는 장치들에 대한 인증 동작을 중지한다.

Claims (9)

  1. 데이터 버스 상의 허가되지 않은 신호를 식별하는 시스템에 있어서,
    신호 속도로 송신된 데이터를 갖는 데이터 버스(119, 121, 220);
    상기 데이터 버스에 연결된 수신기;
    고속 카운터;
    로직 유닛;
    상기 데이터 버스 상의 신호 속도보다 높은 샘플링 속도로 상기 데이터 버스 전압을 샘플링하고 수신된 신호를 생성하는 샘플링 유닛; 및
    허가된 메시지들 및 대응하는 메시지 물리적 특징들의 목록을 저장하는 데이터베이스;
    를 포함하고,
    상기 로직 유닛은 상기 수신된 신호들의 물리적 특징들을 계산하고 상기 물리적 특징들과 데이터베이스 내에 저장된 물리적 특징들을 비교하는, 시스템.
  2. 제 1 항에 있어서,
    상기 데이터 버스(119, 121, 220)는 Mil-Std-1553, CAN BUS, Flex Ray 중 어느 하나인, 시스템.
  3. 제 1 항에 있어서,
    상기 고속 카운터는 2개 이상의 위상 시프트 된 카운터를 합하여 구현되는, 시스템.
  4. 제 1 항에 있어서,
    상기 샘플링 유닛의 샘플링 속도는 상기 신호 속도의 5배 이상인, 시스템.
  5. 제 1 항에 있어서,
    상기 로직 유닛은 측정된 물리적 특징들의 확률을 상기 데이터베이스에 유지된 물리적 특징들의 세트에 속하는 것으로 계산하는, 시스템.
  6. 제 5 항에 있어서,
    상기 로직 유닛은 계산된 확률이 미리 정의된 문턱보다 낮으면 허가되지 않은 메시지를 나타내는 신호를 제공하는, 시스템.
  7. 제 1 항에 있어서,
    상기 로직 유닛은 측정된 물리적 특징들이 상기 데이터베이스에 저장된 물리적 특징들과 일치하지 않으면 허가되지 않은 메시지를 나타내는 신호를 제공하는, 시스템.
  8. 데이터 버스 상의 메시지를 무효화하는 시스템에 있어서,
    상기 데이터 버스(119, 121, 220) 상에 송신된 메시지 내 장애를 검출하는 시스템;
    메시지를 인증하기 위해 상기 시스템으로부터 신호를 수신하는 수신기 유닛; 및
    송신기 유닛;
    을 포함하고,
    상기 신호는 상기 버스 상의 메시지 내 장애를 나타내고,
    상기 송신기 유닛은 상기 수신기 유닛이 현재 송신된 상기 메시지 내 장애를 나타내는 신호를 수신하는 경우 상기 데이터 버스 상에 미리 정의된 시퀀스를 송신하는, 메시지 무효화 시스템.
  9. 제 8 항에 있어서,
    상기 버스 상에 송신된 메시지 내 장애를 검출하는 시스템은 제 1 항에 따른 허가되지 않은 신호를 식별하는 시스템인, 메시지 무효화 시스템.
KR1020177034966A 2015-07-10 2016-06-13 장치 인증 시스템 KR20180029961A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562190771P 2015-07-10 2015-07-10
US62/190,771 2015-07-10
PCT/IL2016/050618 WO2017017668A1 (en) 2015-07-10 2016-06-13 System for device authentication

Publications (1)

Publication Number Publication Date
KR20180029961A true KR20180029961A (ko) 2018-03-21

Family

ID=57884190

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177034966A KR20180029961A (ko) 2015-07-10 2016-06-13 장치 인증 시스템

Country Status (6)

Country Link
US (1) US10970381B2 (ko)
EP (1) EP3320474B1 (ko)
JP (1) JP2018523390A (ko)
KR (1) KR20180029961A (ko)
CN (1) CN107636668A (ko)
WO (1) WO2017017668A1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10599840B2 (en) * 2016-07-21 2020-03-24 Ramot At Tel Aviv University Ltd. Anti-spoofing defense system for a can bus
US11057213B2 (en) * 2017-10-13 2021-07-06 Garrett Transportation I, Inc. Authentication system for electronic control unit on a bus
DE102018208118A1 (de) * 2018-05-23 2019-11-28 Robert Bosch Gmbh Verfahren und Vorrichtung zum Authentifizieren einer über einen Bus übertragenen Nachricht
US10884069B2 (en) * 2018-08-10 2021-01-05 Texas Instruments Incorporated Control area network (CAN) bus fault detection
DE102018218902B4 (de) * 2018-11-06 2020-06-18 Zf Friedrichshafen Ag Sicherheitseinrichtung für Bussysteme in Fahrzeugen
US20220335167A1 (en) * 2019-10-28 2022-10-20 Hewlett-Packard Development Company, L.P. Analyzing electrical response to detect unauthorized attachment
DE102020214945A1 (de) * 2020-11-27 2022-06-02 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6650258B1 (en) * 2002-08-06 2003-11-18 Analog Devices, Inc. Sample rate converter with rational numerator or denominator
DE10349600B4 (de) * 2002-10-25 2011-03-03 Infineon Technologies Ag Verfahren zur Überprüfung von Leitungsfehlern in einem Bussystem und Bussystem
DE602005018457D1 (de) * 2004-02-24 2010-02-04 Nxp Bv Verfahren und Einrichtung zum Schützen einer integrierten Schaltung mittels Einbrucherkennung durch Monte-Carlo-Analyse
US7812617B2 (en) * 2006-07-07 2010-10-12 Sital Technology & Hw Design 1997 Ltd. System and method for detecting and locating faults in electronic communication bus systems
US7593243B2 (en) * 2006-10-09 2009-09-22 Honeywell International Inc. Intelligent method for DC bus voltage ripple compensation for power conversion units
US8213321B2 (en) * 2007-02-01 2012-07-03 Deere & Company Controller area network condition monitoring and bus health on in-vehicle communications networks
US20090175195A1 (en) * 2008-01-07 2009-07-09 Commscope, Inc. North Carolina Methods, systems and computer program products for using time domain reflectometry signatures to monitor network communication lines
CN101309436B (zh) 2008-07-02 2012-04-18 三一重工股份有限公司 一种无线通信设备匹配认证方法、装置及系统
US8549630B2 (en) 2010-03-05 2013-10-01 The Regents Of The University Of California Trojan-resistant bus architecture and methods
US8793543B2 (en) * 2011-11-07 2014-07-29 Sandisk Enterprise Ip Llc Adaptive read comparison signal generation for memory systems
GB2499699A (en) * 2011-12-14 2013-08-28 Wolfson Ltd Digital data transmission involving the position of and duration of data pulses within transfer periods
US8880277B2 (en) * 2012-02-29 2014-11-04 GM Global Technology Operations LLC Methods and systems for diagnosing a vehicle
CN103560810B (zh) * 2013-11-15 2016-04-06 哈尔滨工业大学 基于can总线通信的电缆测试控制器
US8955130B1 (en) * 2014-04-10 2015-02-10 Zephyr Technology Co., Limited Method for protecting vehicle data transmission system from intrusions
US20160306967A1 (en) * 2015-04-17 2016-10-20 Symantec Corporation Method to Detect Malicious Behavior by Computing the Likelihood of Data Accesses

Also Published As

Publication number Publication date
EP3320474A1 (en) 2018-05-16
EP3320474C0 (en) 2023-08-02
EP3320474B1 (en) 2023-08-02
CN107636668A (zh) 2018-01-26
US20180181743A1 (en) 2018-06-28
US10970381B2 (en) 2021-04-06
JP2018523390A (ja) 2018-08-16
EP3320474A4 (en) 2019-03-06
WO2017017668A1 (en) 2017-02-02

Similar Documents

Publication Publication Date Title
KR20180029961A (ko) 장치 인증 시스템
KR102601578B1 (ko) 사이버 공격에 대한 네트워크 보호 방법
Sagong et al. Cloaking the clock: Emulating clock skew in controller area networks
Matsumoto et al. A method of preventing unauthorized data transmission in controller area network
US20180069874A1 (en) Attack detection apparatus
Cho et al. Fingerprinting electronic control units for vehicle intrusion detection
US9578047B2 (en) Method and system for reflectometry based communication network monitoring, intrusion detection, and message authentication
CN109076001B (zh) 帧传送阻止装置、帧传送阻止方法及车载网络系统
CN108476155B (zh) 不正当消息检测装置、方法、记录介质、以及电子控制装置
Murvay et al. DoS attacks on controller area networks by fault injections from the software layer
US10970382B2 (en) System for device authentication
Murvay et al. TIDAL-CAN: Differential timing based intrusion detection and localization for controller area network
KR102517216B1 (ko) 사이버 공격에 대한 네트워크 보호 방법
Giannopoulos et al. Securing vehicular controller area networks: An approach to active bus-level countermeasures
Wang et al. A delay based plug-in-monitor for intrusion detection in controller area network
Bozdal et al. Hardware trojan enabled denial of service attack on can bus
JP2022545639A (ja) コントローラ・エリア・ネットワーク母線に対する侵入を検知かつ無効にする方法および装置
US11645430B2 (en) System for device authentication
GB2592967A (en) A method for monitoring a network
CN111149336B (zh) 用于检测对车辆的控制器的攻击的方法
CN108965236B (zh) 用于保护网络免受网络攻击的方法
US10389751B2 (en) Wireless data security between vehicle components
Elend et al. Cyber security enhancing CAN transceivers
Roeschlin et al. EdgeTDC: On the security of time difference of arrival measurements in CAN bus systems
Kneib et al. On the fingerprinting of electronic control units using physical characteristics in controller area networks