KR20190065439A - 통신 네트워크를 위한 방법, 및 전자 제어 유닛 - Google Patents

통신 네트워크를 위한 방법, 및 전자 제어 유닛 Download PDF

Info

Publication number
KR20190065439A
KR20190065439A KR1020197014356A KR20197014356A KR20190065439A KR 20190065439 A KR20190065439 A KR 20190065439A KR 1020197014356 A KR1020197014356 A KR 1020197014356A KR 20197014356 A KR20197014356 A KR 20197014356A KR 20190065439 A KR20190065439 A KR 20190065439A
Authority
KR
South Korea
Prior art keywords
communication
risk
attack
data transmission
data
Prior art date
Application number
KR1020197014356A
Other languages
English (en)
Other versions
KR102293752B1 (ko
Inventor
헬게 친너
Original Assignee
콘티넨탈 오토모티브 게엠베하
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콘티넨탈 오토모티브 게엠베하 filed Critical 콘티넨탈 오토모티브 게엠베하
Publication of KR20190065439A publication Critical patent/KR20190065439A/ko
Application granted granted Critical
Publication of KR102293752B1 publication Critical patent/KR102293752B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 자동차에서의 통신 네트워크를 위한 방법에 관련되고, 여기서, 데이터는 통신 네트워크에서의 통신을 수행하기 위해 적어도 하나의 통신 경로 (60) 에서 송신된다. 본 발명은 또한 전자 제어 유닛에 관련된다.

Description

통신 네트워크를 위한 방법, 및 전자 제어 유닛
본 발명은 청구항 제 1 항에 따른 통신 네트워크를 위한 방법 및 전자 모니터링 유닛에 관한 것이다.
이더넷 물리 계층 및 그 위에 있는 인터넷 프로토콜 (IP) 을 기반으로, 정보 기술 시스템들의 범위 내에서 이미 널리 확산된 기법들은 차량들의 통신 네트워크들로 그 길을 찾고 있다. 특히 이더넷 및 인터넷 프로토콜들의 증가하는 사용에 관하여, 외부 액세스를 방지할 수 있기 위해 추가의 보안 메커니즘들에 대한 필요성이 존재한다. 무선 기술들의 증가하는 사용 및 관련 공개 및 표준화된 프로토콜들로 인해, 따라서, 자동차 부문에서 원격 액세스에 의해 차량의 통신 네트워크들에 액세스하는 것이 실질적으로 처음으로 가능하다. 예를 들어, 공격자들이 무선을 통해 차량에 액세스하고 따라서 중요한 차량 기능들에 영향을 미치도록 관리되는 차량들로의 액세스가 공지되어져 있다. 다른 산업 부문들은, 예를 들어, 워크스테이션 컴퓨터의 경우, 차량들에 대해 요구된 바와 같이, 시스템에 이미 존재하고 온더플라이 (on-the-fly) 가 아닌 데이터로 방화벽이 이미 동작하기 때문에, 자동차들에 적용될 수 없는 문제들 및 해법들을 갖는다. 부가적으로, 워크스테이션 컴퓨터들의 보안 소프트웨어는 자동차들에서의 소프트웨어보다 상당히 더 용이한 방식으로 업데이트될 수 있다.
종래 기술에 따른 통신 패킷은 일반적으로, 송신 디바이스의 프로토콜 스택의 상위 계층들의 헤더들을 포함한다. 수신 디바이스의 프로토콜 스택은 이러한 통신 패킷을 수신할 때 점진적으로 진행할 것이고, 예를 들어, 송신된 데이터를 대응하는 소프트웨어 어플리케이션에 포워딩하기 위하여 미리정의된 필터들에 의해 검사할 것이다. 이더넷 메시지와 같은 통신 패킷은, 예를 들어, 제어 디바이스에서 TCP/IP 스택을 통해 구동하고, 컨텐츠의 분석에 기반하여 대응하는 어플리케이션에 포워딩된다.
프로토콜 스택들의 복잡도는 사용된 프로토콜의 수로 상당히 증가한다. 예를 들어, 오디오 및 비디오 데이터를 송신 및 재생하기 위한 오디오/비디오 브릿징 (AVB) 은 4개의 서브-프로토콜들을 포함하고, 심지어 시간 민감성 네트워킹 (TSN) 은 11개의 서브-프로토콜들 및 포괄적인 사양들을 포함한다. 이것의 단점은, 따라서, 사용된 프로토콜들의 다중성으로 인해 용이하게 표현될 수 없는 매우 많은 수의 분기 가능성들이 존재하기 때문에, 결정성 프로토콜 스택에 대한 간단한 추적가능성이 존재하지 않는다는 것이다. 따라서, 프로토콜 스택에서의 기존의 보안 갭들을 결정하는 것에 있어서 상당한 문제들이 존재한다. 예를 들어, 의심스러운 경우 중앙 컴퓨팅 유닛에 포워딩될 것이고 임계 시스템 상태를 초래할 수 있고 그리고 기본 시스템의 기능성을 상당히 제약할 수 있고 도로 사용자들의 안전을 위태롭게 할 수 있는, 새로운 이더넷 타입이 의도적으로 또는 의도치 않게 사용되면 어떻게 진행할지가 문제이다. 그러한 의도적인 비인가 액세스는, 프로토콜 스택에서 보안 갭들을 의도적으로 탐색하는 서비스 거부 공격 (DoS) 에 의해 이전에 발견되지 않았던 보안 갭들을 사용하여 발생할 수 있다.
본 발명의 목적은, 차량 네트워크가 외부 액세스에 대해 더 보안성있게 되도록 사용될 수 있는 방법 및 장치를 제공하는 것이다.
상기 목적은 청구항 제 1 항에 청구된 바와 같은 방법에 의해 그리고 추가의 독립 청구항들에 의해 달성된다.
본 발명은 자동차에서의 통신 네트워크를 위한 방법을 제안하며, 여기서, 데이터는 통신 네트워크에서의 통신을 위해 적어도 하나의 통신 경로에서 송신된다. 본 발명에 따른 방법은 적어도 하나의 단계, 바람직하게는, 복수의 단계들을 포함한다. 이들 단계들은, 적어도, 공격의 그 위험에 대해 데이터를 송신하는 것이 가능한 통신 경로들의 평가에 관련된다.
공격의 위험은 통신 경로가 보안 갭들을 사용할 목적으로 공격받는 위험이다. 즉, 이는, 통신 경로가 제 3 자에 의한 공격 (사이버 공격/해커 공격) 의 희생자가 되는 위험이며, 제 3 자는, 그 공격으로, 제어 메커니즘들/조절 메커니즘들의 제어 또는 정보로의 액세스를 획득한다. 자동차들에 있어서, 제 3 자들에 의한 제어의 그러한 인수는, 특히, 차량 탑승자들의 안전에 영향을 줄 수도 있으며, 따라서, 회피되어야 한다. 이는 본 발명에 의해 달성될 수 있다.
본 발명의 맥락에서, 통신 경로는, 경로가 복수의 통신 참여자들 및 그 참여자들 간에 데이터를 송신하기 위한 접속을 포함한다는 사실을 의미하는 것으로서 이해되어야 한다. 특정 통신에 또는 데이터를 송신하는 것에 또는 상이한 데이터 송신들에 적합한 복수의 통신 경로들이 자동차에 있어서 존재할 수도 있다.
이용가능한 통신 경로들이 공격받는 위험의 결정의 결과로서, 제 3 자들에 의해 공격용으로 가능하게 사용될 수 있는 갭들이, 자동차가 인도되거나 시동되기 전에 이미 결정될 수 있다. 따라서, 갭들은 배제 및/또는 감소시킬 수 있거나 또는 통신 참여자들 간의 접속들은 공격의 낮은 보안 위험이 존재하는 방식으로 구성될 수도 있다.
본 발명의 일 전개예에 따르면, 적어도 하나의 데이터 송신 프로토콜이 바람직하게, 통신 경로에서 데이터를 송신하기 위해 제공된다. 이 전개예에 따르면, 데이터를 송신하는 것이 가능한 데이터 송신 프로토콜들이 마찬가지로, 공격의 그 위험에 대해 평가된다.
특히, 데이터 송신 프로토콜들은, 예를 들어, 이더넷, 플렉스레이 (FlexRay), 가상 로컬 영역 네트워크 (VLAN), 인터넷 프로토콜 (IP), 오디오/비디오 브릿지 (AVB), 시간 민감성 네트워킹 (TSN) 또는 SOME/IP (Scalable service-Oriented MiddlewarE over IP) 의 형태이다. 데이터 송신 프로토콜들의 추가적인 평가의 결과로서, 더 넓은 데이터베이스가 이용가능하고, 결과적으로, 갭들의 더 양호한 발견 및 따라서 공격들에 대한 더 양호한 보안성이 달성될 수 있다.
하나의 선호된 전개예에 있어서, 본 방법의 단계들은 마찬가지로, 공격의 관련 위험들의 결정된 평가에 기반하여 데이터를 송신하기 위한 통신 경로 및 데이터 송신 프로토콜을 선택하는 것, 및 선택된 통신 경로 및 선택된 데이터 송신 프로토콜을 사용하여 데이터를 송신하는 것에 관련된다. 이 경우, 데이터의 송신은, 네트워크 상의 공격의 낮은 보안 위험이 존재하는 방식으로 공격 위험의 평가들에 의해 구성될 수 있다.
본 발명은, 특히, 추가 재정 지출없이 차량 네트워크의 보안을 유리하게 증가시킬 수 있다. 자동차에서 이더넷 또는 다른 데이터 송신 시스템들 (예를 들어, 플렉스레이) 의 사용으로, 특히, 고가의 구현들 및 추가의 부가 하드웨어를 없앨 수 있기 위하여 간단한 기법들 및 기술들의 주어진 특성들을 사용하는 메커니즘들에 대한 필요성이 존재한다. 통신 경로들의 조기 분석에 의한 공격들 및 비정상적 거동의 더 조기 검출의 결과로서, 차량이 인도되기 전에 갭들 및 결함들이 검출될 수 있다. 본 발명에 따른 네트워크 시스템은 비용 및 신뢰도의 관점에서 개선된다. 시스템을 테스트하기 위한 능력은 본 발명에 의해 더 분명하게 정의되며, 결과적으로, 테스트 비용이 절약될 수 있다. 본 발명은 또한 투명한 보안 기능성을 제공한다.
본 발명의 하나의 선호된 전개예에 있어서, 각각의 통신 경로는 복수의 통신 참여자들을 포함한다. 이 경우, 통신 참여자들은 적어도 송신기 및 수신기를 특히 바람직하게 포함하고, 그 사이에서, 통신은 데이터 송신의 형태로 실행된다. 이 전개예에 따르면, 통신 참여자들 중 적어도 하나, 즉, 송신기 또는 수신기 중 어느 하나는 자동차에서의 통신 네트워크의 부분이다. 이 참여자는 이 경우 자동차에 바람직하게 배열된다. 개별의 다른 통신 참여자는 마찬가지로, 통신 네트워크의 부분일 수도 있는 것 - 그 후 마찬가지로 자동차에 배열될 것임 - 또는 외부 참여자인 것 - 따라서, 외부에 포지셔닝됨 - 중 어느 하나일 수도 있다. 외부 참여자는, 예를 들어, 외부적으로 배열된 제어 디바이스 또는 클라우드일 수도 있다. 전개예에 따르면, 네트워크의 부분인 참여자는 바람직하게, 자동차의 제어 유닛 (예를 들어, ECU- 전자 제어 유닛) 의 형태이다.
특히 바람직하게, 외부 통신 참여자들이 더 양호한 액세스가능성의 결과로서 제 3 자들에 의해 더 용이하게 조작될 수 있고 따라서 차량 네트워크에 대한 공격을 용이하게 하기 때문에, 차량 외부로의 접속들은 특히 임계 방식으로 분석되고 가능하게 평가된다.
본 발명의 다른 선호된 전개예에 있어서, 그 방법은 바람직하게, 추가의 단계들로서, 통신 참여자들 중 적어도 하나의 인터페이스 파라미터들 및/또는 통신 참여자들 중 적어도 하나의 접속성 파라미터들을 결정하는 단계를 포함한다. 특히 바람직하게, 결정된 파라미터들은 데이터베이스에 또는 공통 데이터베이스에 각각 저장된다. 적어도 하나의 데이터베이스는 특히 바람직하게, 중앙 제어 디바이스 또는 중앙 메모리에 또는 통신 참여자들의 제어 디바이스들에 저장될 수도 있다. 다른 선호된 전개예에 따르면, 인터페이스 파라미터들 및/또는 접속성 파라미터들은 공격의 그 위험에 대해 통신 경로들을 평가하기 위한 추가 단계에서 사용된다.
각각의 통신 참여자는 바람직하게, 데이터를 송신하기 위한 하나 이상의 인터페이스들을 갖는다. 본 발명의 하나의 선호된 전개예에 있어서, 인터페이스 파라미터들은, 적어도, 인터페이스들에 의해 지원 및/또는 포워딩된 데이터 송신 프로토콜들에 관한 정보를 포함한다. 더욱이 또는 대안적으로, 인터페이스들이 진단 기능 또는 충전 기능 (OBD, 전력선 등) 을 위해 제공되는지 여부를 결정하기 위해 바람직하게 제공될 수도 있다. 충전 기능의 경우, 차량 (특히, 전기 차량) 은 인터페이스를 통해 전력을 공급받을 수 있다. 데이터는 또한, 특히 인터페이스를 통해 또는 전력선 상에서 커플링될 수 있다. 더 바람직하게, 데이터를 송신하기 위한 그 속도에 대해 검사될 인터페이스들에 대해 대안적으로 또는 부가적으로 제공된다.
각각의 통신 참여자는 또한 바람직하게, 다른 통신 참여자들에 접속되는 복수의 방식들을 갖는다. 본 발명의 하나의 선호된 전개예에 있어서, 접속성 파라미터들은, 적어도, 접속 기술들 및/또는 분배 기능성들에 대한 지원에 관한 정보를 포함한다. 제어 유닛은, 예를 들어, 다양한 무선 기술들, 예컨대, WLAN 또는 블루투스를 지원할 수 있다. 제어 유닛이 복수의 버스들에 액세스할 수 있는지 여부는 분배 기능성 파라미터의 부분이다. 마찬가지로, 스위치들, 브리지들, 라우터들 및/또는 게이트웨이들로의 액세스가 가능한지 여부도 결정된다.
파라미터들은 바람직하게, 데이터베이스에 저장되며, 여기서, 제어 유닛 및 제어 유닛에 직접 접속된 추가의 디바이스들의 MAC 어드레스 및/또는 IP 어드레스에 관한 정보가 또한 특히 바람직하게 저장된다.
따라서, 전술한 방법에 따르면, 어느 통신 참여자들이 존재하는지 및 어느 특성들을 가져올지를 결정함으로써 우선 유리하게 상태 분석이 실행된다. 그 후, 이러한 상태 분석은 가능한 공격들에 대한 갭들을 발견하기 위하여 위험 평가를 받게 된다. 통신 경로의 위험 잠재성은 네트워크에서 주어진 파라미터들을 수집 또는 결정함으로써 유리하게 정확하게 분석될 수 있다.
본 발명의 하나의 선호된 전개예에 있어서, 파라미터들이 마찬가지로, 데이터 송신 프로토콜들의 공격의 위험을 평가하기 위해 결정되고 데이터베이스에 저장된다. 이 경우, 특히, 프로토콜 스택들이 특히 바람직하게 분석된다.
본 발명의 하나의 선호된 전개예에 있어서, 데이터 송신 프로토콜들의 결정된 파라미터들은, 적어도, 데이터 프로토콜을 위해 사용된 빈도, 특정 수의 수신기들과 통신하기 위한 적합성 및/또는 송신의 타입과 관련된다.
이 경우, 송신의 타입은, 예를 들어, 송신 방향, 동기화 또는 비동기화, 통신 참여자들의 포지션 및/또는 접속 배향과 관련된다. 접속 배향의 경우, 접속의 시작 및 종료가 특별한 패킷 시퀀스들에 의해 정의된다. 데이터 송신 프로토콜들의 파라미터들은 또한, 패킷 스위칭 통신 또는 스트리밍이 수반되는지 여부를 포함할 수 있다.
본 발명의 하나의 선호된 전개예에 있어서, 통신 경로들 및 데이터 송신 프로토콜들은 개별의 관련 평가들을 사용하여 위험 등급들에 할당된다. 따라서, 통신 경로 및 데이터 송신 프로토콜을 사용하여 데이터의 송신을 위해 또는 송신에 대하여 결정하는 프로세스가 더 용이하게 된다. 즉, 어느 통신 경로 및 어느 데이터 송신 프로토콜이 통신을 위해 사용되도록 의도되는지에 관한 결정이, 따라서, 더 간단한 방식으로 될 수 있다.
본 발명의 하나의 선호된 전개예에 있어서, 상이한 공격 시나리오들에 관한 정보가 통신 경로들의 공격의 위험을 평가하는데 사용된다. 이러한 정보는 마찬가지로, 바람직하게, 특히 메모리에 저장되고 연속적으로 업데이트되지 않는 데이터베이스에 저장된다. 하지만, 공격 시나리오들에 관한 정보는 대안적으로 또한, 정규적으로 업데이트될 수 있어서, 더 새로운 공격 시나리오들이 또한 고려될 수 있다. 업데이팅은, 예를 들어, 정보가 비교되는 외부 데이터 접속으로부터의 업데이트들을 사용하여 실행될 수 있다. 정보는 특히 바람직하게, 자동차 또는 탑승자들에 대한 상이한 가능한 타입들의 공격 및 보안 위험의 평가와 관련된다. 하나의 가능한 타입의 공격은, 예를 들어, 오버로드가 제 3 자에 의해 야기되고 기능 또는 서비스의 실패를 초래하는 DoS (서비스 거부) 이다. 따라서, 통신 경로의 평가는, 예를 들어, 통계적으로 가장 자주 발생하는 하나 이상의 공격 시나리오들에 유리하게 맞춤화될 수 있다. 대안적으로 또는 부가적으로, 상이한 공격 시나리오들에 관한 정보는 또한, 데이터 송신 프로토콜들을 평가하는데 사용될 수 있다.
상기 기술된 절차의 결과로서, 가능한 한 정확하게 네트워크의 공격의 위험을 평가할 수 있도록, 상세한 분석이 유리하게 실행되거나 상세한 정보가 저장된다.
본 발명의 다른 선호된 전개예에 있어서, 적합한 통신 경로 및 적합한 데이터 송신 프로토콜을 선택하기 전에, 통신이 실제로 발생할 수 있는지 여부 또는 과도하게 높은 보안 위험들의 결과로서 방지되어야 하는지 여부를 결정하는 것이 가능하다. 부가적으로, 평가들 중 하나 이상에 응답하여, 다른 조치들, 즉, 예를 들어 방화벽의 특별한 구성이 또한 취해질 수 있다.
본 발명에 따른 방법은 바람직하게, 벨트의 단부에서 (자동차의 제조가 완료된 이후), 소프트웨어 업데이트 이후, 보안 갭들의 통신 이후 또는 통신 경로의 참여자를 교체 또는 업데이트할 때 한번 실행된다. 따라서, 보안 갭들은 또한, 예를 들어, 제어 디바이스들이 교체되면 또는 소프트웨어 업데이트가 제공되었으면, 최종 고객으로의 인도 이후 유리하게 검출될 수 있다. 따라서, 최종 고객은 또한, 차량의 동작 동안 공격들에 대해 증가된 보안을 제공한다.
하나의 선호된 전개예에 있어서, 통신 경로들이 공격받는 위험은 알고리즘에 의해 평가된다. 알고리즘은 또한 바람직하게, 공격의 위험에 기반하여 위험 등급들을 생성할 수 있고, 통신 경로들을 위험 등급들에 할당할 수 있다. 이러한 목적으로, 알고리즘은 특히, 통신 경로들, 데이터 송신 프로토콜들 및/또는 평가에 있어서 상이한 공격 시나리오들에 관한 정보의 파라미터들과 관련된 하나 이상의 데이터베이스들을 부수적으로 포함한다.
특정 통신 경로가 데이터를 송신하기 위해 선택, 제공 또는 명시되었으면, 공격들에 대해 고도의 보안을 제공하는 데이터 송신 프로토콜이 예를 들어 공격의 위험을 평가함으로써 통신을 위해 선택될 수 있다. 이러한 선택은 또한 다른 방식으로도 가능하다. 데이터 송신 프로토콜이 선택, 명시 또는 제공되었으면, 공격들에 대해 고도의 보안을 제공하는 경로가 통신 경로들의 평가에 기반하여 선택될 수 있다. 더욱이, 통신 경로와 데이터 송신 프로토콜 간의 상호작용에서 가장 낮은 보안 위험을 수반하는 그 콘스텔레이션이 복수의 가능한 통신 경로들 및 데이터 송신 프로토콜들로부터 선택될 수 있다.
본 발명의 하나의 선호된 전개예에 있어서, 데이터베이스들 중 적어도 하나, 특히 바람직하게는 평가에 사용된 모든 데이터베이스들 또는 데이터가 보안성 메모리 영역에 저장된다. 특히, 이러한 보안성 메모리 영역에는 암호화가 제공되고, 따라서, 공격들에 대해 보호된다. 이 경우, 예를 들어, 보안성 메모리 영역은 중앙 제어 디바이스에 배열될 수 있다.
본 발명은 또한, 그 방법을 실행하도록 설계되는 자동차 제어 디바이스용 전자 모니터링 유닛 또는 제어 유닛에 관련된다.
추가의 선호된 실시형태들이 도면들에 기반한 예시적인 실시형태들의 다음의 설명으로부터 드러난다.
개략 표현에 있어서:
도 1 은 통신 패킷 또는 스택의 구조를 도시한다.
도 2 는 소프트웨어 스택의 예시적인 표현을 도시한다.
도 3 은 복잡한 이더넷/IP 통신 스택 및 그 분기들의 예시적인 예를 도시한다.
도 4 는 본 발명의 예시적인 실시형태를 도시한다.
도 5 는 본 발명에 따른 방법의 예시적인 구성을 도시하며, 여기서, 제어 디바이스의 접속성 파라미터들 및 인터페이스 파라미터들의 결정이 예시된다.
도 6 은 본 발명에 따른 방법의 예시적인 구성을 도시하며, 여기서, 데이터 송신 프로토콜들에 대한 파라미터들의 결정이 예시된다.
도 7 은 프로토콜들의 예시적인 위험 평가를 도시한다.
도 8 은 클라우드 또는 다른 외부 유닛들로의 접속을 갖는 차량 내의 임계 경로의 예시적인 경로를 도시한다.
도 9 는 통신 경로를 보호하기 위한 본 발명에 따른 방법의 예시적인 실시형태를 도시한다.
예시적인 실시형태들의 짧고 간단한 설명을 가능하게 하기 위하여, 동일한 엘리먼트들에는 동일한 참조 부호들이 제공된다.
도 1 은 통신 패킷 또는 스택 (1) 의 일반적으로 공지된 구조를 도시한다. 이더넷 및 IP (인터넷 프로토콜) 의 도래의 난제들은, 특히, 새로운 통신 스택들의 복잡도이다. 인터넷 세계와 AUTOSAR 와의 초기 융합은, 양자의 세계들이 완전히 상이한 방식 (예를 들어, 정적 대 동적) 으로 기능하기 때문에, 많은 초기 지출을 요구한다.
도 1 은 통상적인 통신 패킷을 예시한다. 통신 스택은 패킷을 수신할 시 점진적으로 진행하고, 올바른 수신기 (예를 들어, 어플리케이션) 에 포워딩하기 위해 특정의 미리정의된 필터들에 따라 패킷을 검사한다.
통신 패킷은 실제 데이터 컨텐츠 (3) 및, 예로서, 소프트웨어 스택 (도 2 참조) 의 상이한 계층들에 할당된 복수의 헤더들 (2a-2d) 을 포함한다. 헤더는 소프트웨어 스택의 각각의 계층에 대해 제공되며, 소프트웨어 스택의 계층에 통신 패킷을 프로세싱하는데 필요한 정보를 제공한다.
도 2 는 제어 디바이스에서의 소프트웨어 스택 (4) 의 예시적인 표현을 도시한다. TCP/IP 스택 (6) 이 예로서 예시된다. (예를 들어, 도 1 에 도시된 바와 같은) 통신 패킷은 이 스택을 통해 구동하고, 여기서, 패킷이 분석된다. 컨텐츠의 분석에 기반하여, 어느 어플리케이션으로 통신 패킷이 포워딩될지가 결정된다.
예시된 TCP/IP 스택 (6) 은 도면 부호들 (8, 10 및 12) 로서 여기에 나타낸 복수의 계층들을 포함하며, 여기서, 계층 (8) 은 MAC (매체 액세스 제어) 의 형태이고, 계층 (10) 은 IP (인터넷 프로토콜) 의 형태이고, 계층 (12) 은 TCP/UDP (송신 제어 프로토콜/사용자 데이터그램 프로토콜) 의 형태이다. 통신 패킷의 헤더들 (도 1 참조) 은, 이들 계층들 중 하나에 각각 할당된다.
MAC 계층 (8) 은 일반적으로 공지된 OSI 모델에 따른 계층 1 (물리 계층) (예를 들어, 도 1 에서의 헤더 (2a) 를 가짐) 및 계층 2 (데이터 링크 계층) (예를 들어, 도 1 에서의 헤더 (2b) 를 가짐) 를 나타내고, IP 는 OSI 모델의 제 3 계층 (예를 들어, 도 1 에서의 헤더 (2c) 를 가짐) 을 나타내며, TCP/UDP 는 OSI 모델의 제 4 계층 (예를 들어, 도 1 에서의 헤더 (2d) 를 가짐) 을 나타낸다. "미들웨어" 계층은 OSI 모델의 계층 5 및 계층 6 (세션 및 프레젠테이션) 에 대응하는 계층 (14) 에 나타낸다. 어플리케이션 ( "어플리케이션" 계층) 은 이 위에 제 7 계층 (16) 과 같다.
이더넷 프레임들, 즉, 데이터 패킷들 (1) 은 TCP/IP 스택 (6) 으로 송신된다. 계층의 데이터 및 관리 정보 (18) (PDU들 = 페이로드 데이터 유닛들) 는, 예를 들어, TCP/IP 스택 (6) 으로부터 "미들웨어 계층" (14) 으로 송신될 수 있다.
도 3 은 복잡한 이더넷/IP 통신 스택 및 그 분기들의 예시적인 예를 도시한다. 그러한 소프트웨어 스택에서 프로세싱되어야 하는 이더넷 패킷의 컨텐츠에 대한 다양한 가능성들이 존재함이 분명하게 된다. 소프트웨어 스택들의 복잡도는 이더넷 및 IP 의 도래로 자동차에서 매우 크게 증가한다. 결정성 소프트웨어 스택에 대한 추적가능성은, 특히, 다양한 분기화 가능성들의 결과로서, 더 이상 그렇게 간단하지 않다.
도 4 는, 데이터베이스 (20) 가 중앙 게이트웨이 (22) 에 저장되거나 중앙 게이트웨이 (22) 가 이 데이터베이스 (20) 에 액세스하는 본 발명의 예시적인 실시형태를 도시한다. 데이터베이스 (20) 는 본 발명에 따른 방법에 의해 결정되는 정보를 포함한다. 중앙 게이트웨이 (22) 로부터 분기하는 것은 제어 영역 네트워크 (CAN), 로컬 상호접속 네트워크 (LIN), 플렉스레이, MOST (Media Oriented Systems Transport), 무선 로컬 영역 네트워크 (WLAN), 저전압 차동 시그널링 (LVDS), 블루투스 또는 이더넷을 통해 서로 접속되는 추가의 게이트웨이들 (GW) 및 제어 디바이스들 또는 가능한 통신 파트너들 (소형 박스들로서 도시됨) 이다.
이들 상이한 가능한 접속들의 모두는 본 발명에 따른 방법에서 고려되며, 여기서, 개별적인 접속 가능성들에 대한 위험 평가들이 적어도 데이터베이스 (예를 들어, 20) 에 저장된다. 이 경우, 위험 평가들은, 제 3 자들이 접속을 통해 차량에서의 제어/조절 메커니즘들의 제어 및/또는 데이터로의 액세스를 획득하는 위험을 표시한다. 이러한 데이터베이스 (20) 에서의 정보는 통신 경로들 및 데이터 송신 프로토콜들을 위험 등급들에 할당하기 위해, 예를 들어, 알고리즘에 의해 사용된다. 위험 등급들은, 어느 데이터 전송 프로토콜과 조합하여 어느 통신 경로가 복수의 참여자들 사이에서 통신 또는 데이터 송신을 실행하도록 의도되는지를 선택하기 위한 기반으로서 취해진다. 이 경우, 상대적으로 낮은 보안 위험을 갖거나 또는 공격의 상대적으로 낮은 위험이 결정되었던 통신 경로와 데이터 송신 프로토콜의 조합이 바람직하게 선택된다.
도 5 는 제어 유닛의 접속성 파라미터들 및 인터페이스 파라미터들을 결정하기 위한 본 발명의 예시적인 실시형태를 도시한다.
개별적인 단계들의 설명:
30: 접속성 및 인터페이스들에 관한 제어 디바이스들의 쿼리의 시작
32: ECU 가 무선 기술들, 예를 들어, WLAN, 블루투스를 지원하는지?
33: 직접 접속된 제어 디바이스들의 어드레스들을 포함하여 이 디바이스의 MAC 어드레스 및 IP 어드레스에 대한 요청
34: ECU 가 진단 또는 충전 (OBD, 전력선 등) 을 위해 제공되는 인터페이스들을 갖는지?
35: 직접 접속된 제어 디바이스들의 어드레스들 및 전력 상태를 포함하여 이 디바이스의 MAC 어드레스 및 IP 어드레스에 대한 요청
36: ECU 가 분배 기능성 (스위치, 라우터, 게이트웨이) 을 갖는지?
37: 이 디바이스의 IP 어드레스 및 포트 상태들 및 속도들에 대한 요청
38: ECU 가 100베이스T1과 같거나 비슷하거나 또는 더 빠른 고속 인터페이스들을 갖는지?
39: 폴리싱 (policing) 및 레이트 제한 기능들에 대한 쿼리
40: 종료
예를 들어, 제어 유닛 (ECU) 가 무선 접속들, 예를 들어, WLAN 또는 블루투스를 지원하는지 여부를 쿼리하는 것이 가능하다 (참조 부호 (32)). 지원한다면, 디바이스의 MAC 어드레스 및/또는 IP 어드레스가 결정되고 (33), 데이터베이스 (20) 에 저장된다. 제어 유닛에 접속된 디바이스들의 어드레스들 (MAC 및 IP) 이 마찬가지로 바람직하게, 데이터베이스 (20) 에 저장된다. 예를 들어, 제어 유닛이 진단 또는 충전 (OBD - 온 보드 진단, PLC - 전력선 통신 등) 에 적합한 인터페이스들을 갖는지 여부 (34) 를 쿼리하는 것이 또한 가능하다. 이 경우에도 또한, 전력 상태 (전력선 통신용 인터페이스가 존재하는 경우) 뿐 아니라 어드레스들이 다시 저장될 수 있다 (35). 이 경우, 전력 상태는, 인터페이스에 전력이 공급되는 방식, 즉, 예를 들어, 외부 배터리로부터 또는 내부 배터리로부터 공급되는 방식일 수도 있다.
추가의 예시적인 쿼리는 제어 유닛의 분배 기능성과 관련될 수도 있다 (36). 제어 유닛이 분배 기능성을 가지면, 상이한 버스들에 액세스할 수 있고 따라서 상이한 통신 참여자들 (예를 들어, 스위치, 라우터, 게이트웨이) 에 도달할 수 있다. 이러한 제어 유닛의 및 접속될 수 있는 통신 참여자들의 IP 어드레스들을 저장하는 것에 부가하여, 포트들의 개별 상태 및 가능한 속도들이 또한 바람직하게, 여기서 데이터베이스 (20) 에 저장된다 (37). "오프", "온", "에너지 절약 모드", "웨이크가능" 등과 같은 에너지 상태들이 포트들의 상태로서 제공될 수 있다.
추가의 쿼리로서, 인터페이스들의 속도, 특히, 고속 인터페이스, 예를 들어, 100베이스-T1 이 존재하는지 여부를 결정하기 위해 제공될 수도 있다 (38). 모니터링 (폴리싱) 및 레이트 제한 기능들에 관한 정보는 이 점에 있어서 바람직하게 사용된다. 레이트 제한 기능의 범위 내에서, 데이터 레이트는 시간 단위에 기초하여 설정된다. 그 후, 소위 폴리싱 동안, 시간 단위 당 최대 데이터 레이트가 초과되지 않음을 보장하기 위하여 모니터링이 실행된다. 초과가 발생하면, 예를 들어, 설정치보다 더 많은 데이터가 송신되면, 상기 데이터는 예를 들어 거절된다. 상기 기능들에 대한 정보 또는 설정들은 인터페이스들에 대한 파라미터들로서 캡처될 수 있고 (39), 데이터베이스 (20) 에 저장될 수 있다.
개별적인 쿼리 단계들은, 이 경우에 프로그래밍 루프 내에서 구동될 수 있으며, 예를 들어, 중앙 제어 디바이스, 예컨대 게이트웨이 (22) 상에 그리고 바람직하게는 보안성 메모리 영역에 저장되는 알고리즘의 부분일 수 있다. 데이터베이스들 (20) 은 바람직하게 또한, 이 메모리 영역에 또는 다른 보안성 메모리 영역에 저장된다.
차량의 네트워크에 존재하는 제어 디바이스들은 바람직하게, 중요한 파라미터들을 저장하기 위하여 그 접속성에 기반하여 상기 언급된 방법에 의해 위험 등급들로 분류되며, 이에 기반하여, 보안 메커니즘들에 대한 할당이 발생할 것이다. 이 경우, 이들 ECU들에는 무선 기술들 또는 접촉이 행해질 수 있는 공개 네트워크 인터페이스들 중 어느 하나가 장비된다.
그 후, 예를 들어, 프로토콜 지원에 대한 체크가 일어날 수 있다. 이는, 외부로의 펜딩 접속들 이전에, 소프트웨어 업데이트 이후 또는 기존의 프로토콜들에서의 보안 갭들의 통지로, 한번 (벨트 단부) 실행될 수 있다. 이 경우, 그 방법은 중앙적으로 개시될 수 있거나 또는 개별적인 ECU들에 의해 요청될 수 있다. 예를 들어, 통신 경로의 셋업이 펜딩이면 그리고 예를 들어, 진단 데이터가 안테나 모듈로부터 무선에 의해 송신되도록 의도되면, 안테나 모듈은 개별 이웃 디바이스들을 그 프로토콜 지원을 위해 체크할 수 있다.
도 6 은, 예로서, 본 발명에 따른 방법의 부분 및 여기에 포함된 알고리즘의 개별적인 단계들 또는 절차 단계들을 도시한다. 개별적인 단계들은 다음과 같다:
50: 프로토콜 구현들을 위한 검사의 시작
각각의 제어 디바이스 (51) 는, 특정 프로토콜 타입들 (53) 이 지원되는지 (54) 및/또는 포워딩되는지 (55) 여부를 결정하기 위하여 각각의 인터페이스 (52) 를 검사한다.
단계 54: 인터페이스가 프로토콜을 지원하는지 여부가 결정된다.
단계 55: 인터페이스가 프로토콜을 포워딩하는지 여부가 결정된다.
단계 56: 정보의 데이터베이스 (20) 로의 저장, 여기서, 정보는, 예를 들어, ECU, 인터페이스 및 프로토콜 타입과 관련된다.
57: 프로그램 구동의 종료
일부 코멘트들이 참조 부호들에 부가하여 도 6 에 인용되는데, 왜냐하면 이들은 코멘트들에 의해 더 양호하게 이해될 수 있는 프로그램 구동을 나타내기 때문이다.
따라서, 각각의 ECU 에 대해 및 ECU들의 각각의 인터페이스에 대해, 상이한 프로토콜 타입들이 지원되는지 여부가 결정된다 (51-54). 프로토콜 타입들은 바람직하게, 알고리즘에 의해 각각 개별적으로 쿼리된다 (53). 결과들은 데이터베이스 (20) 에 저장된다. 이 경우, 결과는 바람직하게, ECU 및 인터페이스의 지정 및 개별 프로토콜 타입이 지원되는지 여부를 갖는 표이다. 예를 들어, 도 7 에 도시된 바와 같이 이러한 타입의 결과 표가 생성될 수 있다. 도 7 에 도시된 매트릭스는 사양이 아닌 실제 구현을 반영한다. 이는, 구현에서의 결함들 또는 기타 갭들을 식별하는 것을 가능하게 한다. 매트릭스는 추가적으로, 예를 들어, 심지어 차량이 최종 고객에게 인도되기 전에도 그로부터 발생한 메커니즘들과 무관하게, 보안의 관점에서 차량을 검증 및 테스트하기 위한 T
Figure pct00001
V 또는 시스템 제조자를 서빙할 수 있다.
도 8 은, 예를 들어, 이 경우에서 외부 접속 (예를 들어, 클라우드로의 무선 접속) (62) 으로 이루어진 임계 경로 (60) 를 도시한다. 외부 접속들은 바람직하게, 파라미터 분석에서 처음부터 배타적으로 내부 접속들보다 더 임계적인 것으로서 분류 또는 평가된다. 예를 들어, 소프트웨어 다운로드 (64) 형태의 데이터 송신이 개시되도록 의도되고, 이 경우, 소프트웨어는 클라우드 (62) 로부터 다운로드되도록 의도된다. 이러한 목적으로, 내부 메모리 (66) 는, 예를 들어, 헤드 유닛 (70) 을 통해 게이트웨이 (68) (22 와 동일할 수도 있음) 에 접속되고, 게이트웨이 (68) 는 WLAN 접속 모듈 (72) 을 통해 클라우드 (62) 에 접속된다. 따라서, 그 예에 따르면, 통신 파트너들 (62-72) 의 이러한 체인은 통신 경로 (60) 를 나타낸다. 이러한 경로 (60) 는 공격의 그 위험, 즉, 얼마나 높은 위험이 차량에서의 안전을 가능하게 위태롭게 할 수 있는 제 3 자들에 의한 공격의 희생자가 되는지에 대하여 평가된다. 이러한 목적으로, 개별적인 통신 참여자들 (62-72) 은 그 접속성 파라미터들 및 그 인터페이스 파라미터들에 대하여 검사된다. 동시에, 개별적인 가능한 데이터 송신 프로토콜들의 위험이 바람직하게는 평가에 포함된다. 이러한 경로 (60) 가 통신을 위해 선택되도록 의도되고 그리고 경로 (60) 가 공격받는 위험이 고려될 때 의도된 프로토콜이 너무 보안성없는 것으로 드러나면, 예를 들어, 상이한 프로토콜이 데이터를 송신하기 위해 선택될 수 있다. 대안적으로, 다른 더 보안성의 경로들이 또한 통신을 위해 선택될 수 있다.
도 8 에서의 예로서 도시된 이러한 경로 (60) 은 시스템 디자이너 또는 설계자에 의해 명시될 수 있고, 그에 따라, 또한 정의되거나 동적으로 결정될 수도 있다.
더욱이, 매트릭스 (도 7) 를 체크한 이후, 경로 (60) 가 또한 그 갭들에 대해 추가적으로 체크될 수 있다. 그럼에도 불구하고 비임계적 경로가 임계적이게 되는 상황이 발생할 수도 있다. 예를 들어, 제어 디바이스의 비정상적인 거동의 결과로서, 그 데이터는 CPU 에 포워딩될 수도 있으며, 그 결과로서, 다른 제어 디바이스가 차단되고 정지하게 된다.
통신 경로 및 파라미터들의 예:
관련 제어 디바이스들 :
안테나, 게이트웨이 (스위치 포함), 헤드 유닛
프로토콜들:
이더넷, VLAN, 시간 동기화, IP, TCP, SOME/IP
메시지 빈도:
x/초당 패킷 이더넷, x/초당 패킷 TCP 등, 최대 패킷 사이즈
초당 10 데이터 패킷들 대신, 1000 데이터 패킷들이 갑자기 중앙 컴퓨팅 유닛에 의해 프로세싱되도록 의도되면, 보안성있는 것으로 간주된 데이터 스트림이 위험이 될 수도 있다. 따라서, 인커밍 데이터 패킷들이 항상 고 우선순위로 프로세싱 (수락 및 저장) 되기 때문에, CPU (가능하게는 또한 복수개) 가 중요하다. 너무 많은 패킷들이 과도하게 높은 빈도로 그리고 과도한 패킷 사이즈로 도달하면, CPU 는 차단될 수 있고, 따라서, 제어 디바이스는 완전히 실패할 수 있다.
통신 경로가 예를 들어 도 8 에서와 같이 고정되면, 관련 제어 디바이스들 (62-72) 은 그 위험 등급 및 그 프로토콜 지원에 대해 쿼리될 수 있다. 따라서, 갭들 및/또는 위험들은, 통신에 요구된 프로토콜들의 도움으로 즉시 검출될 수 있다. 예를 들어, TCP 데이터 트래픽은 이러한 접속에서의 헤드 유닛 (70) 에서 CPU 에 포워딩된다. 이러한 정보는 위험 평가에 존재한다. 심지어 실제 접속이 셋업되기 전에도, TCP 트래픽은 헤드 유닛 (70) 에서 또는 심지어 더 조기에 (게이트웨이 (68) 에서) 제한될 수 있으며, 즉, 초당 최대 패킷 데이터 레이트가 규정될 수 있다.
더욱이, 헤드 유닛 (70) 에서의 방화벽은 통신 파라미터들 및 (이미) 검출된 갭들에 기반하여 구성될 수 있다. 이는, 방화벽의 필터들이 이러한 통신에 대해 조정되고 더 높은 우선순위가 거기에 놓여짐을 의미한다.
도 9 는 본 발명에 따른 방법의 가능한 전체도를 도시한다. 따라서, 방법의 시작에서, 개별적인 통신 참여자들은 바람직하게 우선, 그 인터페이스들 및 그 접속성 파라미터들에 대하여 쿼리된다 (80). 결과들은 데이터베이스 (20) 에 저장된다. 더욱이, 예를 들어 다음 단계로서, 지원된 데이터 송신 프로토콜들이 쿼리되고 (82), 마찬가지로, 데이터베이스에 저장된다. 이 경우, 개별 데이터 송신 프로토콜들이 공격받는 위험이 또한 저장된다. 다양한 타입들의 데이터 송신 프로토콜들이 일반적으로 이미 공지되어 있기 때문에, 공격의 개별적으로 존재하는 위험들이 또한 데이터베이스에 정보로서 이미 저장될 수 있으며, 이 정보는, 그 후, 지원된 프로토콜들을 결정할 때 사용된다. 그 후, 데이터 송신 프로토콜들이 공격받는 위험이 저장된 정보에 기반하여 평가된다.
전체적으로, (도 7 에 도시된 바와 같은) 위험 매트릭스가 생성될 수도 있다 (84). 그 후, 경로가 공격의 그 위험에 대해 평가된다 (86). 이는 알고리즘에 의해 실행될 수 있다. 그 후, 상대적으로 낮은 보안 위험 (네트워크에 대한 공격의 위험) 을 갖는 그 프로토콜이 통신을 위해 지원된 데이터 송신 프로토콜들로부터 선택될 수 있다 (88).
분류들에 기반하여, 가능한 보안 리소스들의 레벨이 또한 결정 및 할당되고 (90), 그 결과로서, 네트워크에서의 정보 보안이 설계 단계 동안, 벨트 단부 프로그래밍 동안, 또는 동적 및 파괴적 아키텍처의 경우에, 계획 및 구현될 수 있다.
단계들의 개요:
80: 통신 참여자들의 접속성 파라미터들 및 인터페이스 파라미터들의 결정
82: 어느 프로토콜들이 지원되는지의 결정
84: 위험 매트릭스의 생성
86: 임계 경로의 계산/쿼리
88: 요구된 프로토콜들의 분석/적합한 데이터 송신 프로토콜의 선택
90: 보안 방법들의 정의
데이터베이스들 (20) 및/또는 평가 알고리즘은 특히 바람직하게, 중앙적으로 그리고 각각의 개별적인 제어 디바이스에 양자 모두에 저장된다. 소위 위험 평가는, 지원된 및 미지원된 프로토콜들 및 그 프로세싱에 기반하여 생성된다. 그 후, 이러한 위험 평가는, 통신 경로를 분석 및 보호하기 위해 사용될 수 있다. 이러한 매트릭스는 통신 경로의 생성 동안 쿼리되고, 필요하다면 액션들이 정의된다. 결과적인 매트릭스는 사양이 아닌 실제 구현을 반영한다. 이는, 구현에서의 결함들 또는 기타 보안 갭들을 식별하는 것을 가능하게 한다. 그로부터 발생하는 메커니즘들에 무관하게, 매트릭스는 정보 보안에 대해 차량을 검증 및 체크하는데 추가로 사용될 수 있다.
프로토콜 지원에 대한 지식을 가진 이후, ECU 는, 예를 들어, 경로 상에 문제들이 존재하기 때문에, 그 프로토콜 선택을 변경할 수 있다. 예를 들어, 더 보안성있는 프로토콜들이 여기서 선택될 수 있다.
본 도면들에 있어서, 데이터베이스들에는 참조 부호 (20) 가 제공된다. 하지만, 개별 결정된 파라미터들 및 공격의 위험들이 마찬가지로 별도의 데이터베이스들에 저장될 수도 있다. 이 경우, 데이터베이스는 그 후, 인터페이스 파라미터들에 대해, 접속성 파라미터들에 대해, 통신 경로들 또는 통신 참여자들이 공격받는 위험에 대해, 데이터 송신 프로토콜들이 공격받는 위험에 대해, 그리고 위험 등급들에 대해, 각각 이용가능하다.
본 발명은 잠재적인 공격 기능들에 대한 올바른 소프트웨어 분기들을 선택하기 위한 메커니즘들을 정의한다. 본 발명은, 어느 패킷들이 어떤 타입의 어플리케이션에 사용될 수 있고 어느 패킷들이 사용될 수 없는지를 서술한다.
본 발명은 벨트 단부 프로그래밍 동안 및 시스템 테스트 중에 사용될 수 있다. 더욱이, 미래에 자동차들을 위해 점점 더 많은 소프트웨어 업데이트들이 제공될 것이며, 그 결과로서, 새로운 기능들이 가능하게 된다. 넓은 다양성의 결과로서, 본 발명은, 전체적으로 및 부분적으로 업데이트 이후 차량에서의 소프트웨어 스택들을 체크하고 새롭게 평가하는 데 적합하다. 본 발명은 네트워크에서 이들 조절 메커니즘들 및 가능성들을 구성하고 이들을 인터페이스를 통해 사용가능하게 하는 방법을 제안한다. 따라서, 어느 잠재적인 갭들이 존재하는지 및 소프트웨어가 미리정의된 요건들을 충족시키는지 여부를 분별하는 것이 가능하다. 이러한 방법은 또한, 투명성을 제공하는 것을 가능하게 하고, 따라서, 훨씬 더 간단한 방식으로 보안에 대해 전체 네트워크를 체크 및 테스트하는 것을 가능하게 한다.

Claims (9)

  1. 자동차에서의 통신 네트워크를 위한 방법으로서,
    데이터가 상기 통신 네트워크에서의 통신을 위해 적어도 하나의 통신 경로 (60) 에서 송신되고,
    상기 방법은,
    - 상기 통신 경로들의 공격의 위험에 대해 데이터를 송신하는 것이 가능한 상기 통신 경로들 (60) 을 평가 (86) 하는 방법 단계를 포함하고,
    상기 공격의 위험은 개별 통신 경로 (60) 가 보안 갭들을 사용할 목적으로 공격받는 위험인 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  2. 제 1 항에 있어서,
    적어도 하나의 데이터 송신 프로토콜 (4) 이 상기 통신 경로 (60) 에서의 통신을 위해 제공되고,
    상기 방법은 추가로,
    - 상기 데이터 송신 프로토콜들의 공격의 위험에 대해 데이터를 송신하는 것이 가능한 상기 데이터 송신 프로토콜들 (4) 을 평가 (82) 하는 단계를 포함하는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  3. 제 2 항에 있어서,
    상기 방법은,
    - 상기 통신 경로의 공격의 위험의 상기 평가 (86) 및 상기 데이터 송신 프로토콜들의 공격의 위험의 상기 평가 (82) 에 기반하여 데이터를 송신하기 위한 통신 경로 (60) 및 데이터 송신 프로토콜 (4) 을 선택하는 단계, 및
    - 선택된 상기 통신 경로 (60) 및 선택된 상기 데이터 송신 프로토콜 (4) 을 사용하여 데이터를 송신하는 단계를 포함하는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    - 각각의 통신 경로 (60) 는 복수의 통신 참여자들 (62, 66, 68, 70, 72) 를 포함하고, 상기 통신 참여자들 중 적어도 하나는 상기 통신 네트워크의 부분이고 상기 자동차에서의 제어 유닛의 형태이며,
    상기 방법은 다음의 추가 단계들을 포함하는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법:
    - 적어도 하나의 상기 제어 유닛의 인터페이스 파라미터들을 결정하는 단계와,
    - 상기 인터페이스 파라미터들을 데이터베이스 (20) 에 저장하는 단계와,
    - 상기 통신 경로들 (60) 을 평가 (86) 하기 위해 상기 인터페이스 파라미터들을 사용하는 단계.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    - 각각의 통신 경로 (60) 는 복수의 통신 참여자들 (62, 66, 68, 70, 72) 를 포함하고, 상기 통신 참여자들 중 적어도 하나는 상기 통신 네트워크의 부분이고 상기 자동차에서의 제어 유닛의 형태이며,
    상기 방법은 다음의 추가 단계들을 포함하는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법:
    - 적어도 하나의 상기 제어 유닛의 접속성 파라미터들을 결정하는 단계와,
    - 상기 접속성 파라미터들을 데이터베이스 (20) 에 저장하는 단계와,
    - 상기 통신 경로들 (60) 을 평가 (86) 하기 위해 결정된 상기 접속성 파라미터들을 사용하는 단계.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 방법은,
    - 상기 공격의 위험의 개별 관련 평가 (86, 82) 를 사용하여 상기 통신 경로들 (60) 및 데이터 송신 프로토콜들 (4) 을 위험 등급들에 대해 평가하는 방법 단계를 포함하는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상이한 공격 시나리오들에 관한 정보가 상기 통신 경로들 (60) 및/또는 상기 데이터 송신 프로토콜들 (4) 의 공격의 위험을 평가 (86, 82) 하는데 사용되는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  8. 제 1 항 내지 제 7 항 중 어느 한 항에 있어서,
    상기 방법은 벨트의 단부에서, 소프트웨어 업데이트 이후에, 보안 갭들의 통신 이후에 또는 상기 통신 경로 (60) 의 참여자를 교체 또는 업데이트할 때, 한번 실행되는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  9. 자동차 제어 디바이스용 전자 모니터링 유닛으로서,
    상기 자동차 제어 디바이스는 제 1 항 내지 제 8 항 중 어느 한 항에 기재된 방법을 실행하도록 설계되는 것을 특징으로 하는 자동차 제어 디바이스용 전자 모니터링 유닛.
KR1020197014356A 2016-11-18 2017-11-13 통신 네트워크를 위한 방법, 및 전자 제어 유닛 KR102293752B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102016222741.6 2016-11-18
DE102016222741.6A DE102016222741A1 (de) 2016-11-18 2016-11-18 Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit
PCT/EP2017/079027 WO2018091401A1 (de) 2016-11-18 2017-11-13 Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit

Publications (2)

Publication Number Publication Date
KR20190065439A true KR20190065439A (ko) 2019-06-11
KR102293752B1 KR102293752B1 (ko) 2021-08-24

Family

ID=60452608

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197014356A KR102293752B1 (ko) 2016-11-18 2017-11-13 통신 네트워크를 위한 방법, 및 전자 제어 유닛

Country Status (7)

Country Link
US (1) US11038912B2 (ko)
EP (1) EP3542510A1 (ko)
JP (1) JP2020501420A (ko)
KR (1) KR102293752B1 (ko)
CN (1) CN109937563B (ko)
DE (1) DE102016222741A1 (ko)
WO (1) WO2018091401A1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3566400B1 (en) * 2017-01-05 2022-08-17 Guardknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof
JP2020184651A (ja) * 2019-04-26 2020-11-12 日本電産モビリティ株式会社 車載制御装置、及び情報処理装置
JP7411355B2 (ja) * 2019-08-30 2024-01-11 マツダ株式会社 車載ネットワークシステム
CN114760092A (zh) * 2022-03-09 2022-07-15 浙江零跑科技股份有限公司 一种用于智能汽车与云平台的网络数据安全检测系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150073176A (ko) * 2012-10-17 2015-06-30 타워-섹 리미티드 차량에 대한 공격의 검출 및 예방을 위한 디바이스
US20160255154A1 (en) * 2013-10-08 2016-09-01 Ictk Co., Ltd. Vehicle security network device and design method therefor

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8909926B2 (en) 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US8220042B2 (en) 2005-09-12 2012-07-10 Microsoft Corporation Creating secure interactive connections with remote resources
US9325737B2 (en) * 2007-06-28 2016-04-26 Motorola Solutions, Inc. Security based network access selection
JP2009071436A (ja) 2007-09-11 2009-04-02 Toshiba Corp 通信経路選択方法及び中継用情報処理機器
JP5188288B2 (ja) 2008-06-25 2013-04-24 株式会社Kddi研究所 暗号プロトコルの安全性検証装置、安全性検証方法およびプログラム
US8051480B2 (en) 2008-10-21 2011-11-01 Lookout, Inc. System and method for monitoring and analyzing multiple interfaces and multiple protocols
CN101937421A (zh) 2009-07-03 2011-01-05 上海大潮电子技术有限公司 采集车辆实时运行信息而进行运行安全风险评估的方法
US8863256B1 (en) * 2011-01-14 2014-10-14 Cisco Technology, Inc. System and method for enabling secure transactions using flexible identity management in a vehicular environment
US9282110B2 (en) * 2013-11-27 2016-03-08 Cisco Technology, Inc. Cloud-assisted threat defense for connected vehicles
US9398035B2 (en) * 2013-12-31 2016-07-19 Cisco Technology, Inc. Attack mitigation using learning machines
JP6382724B2 (ja) * 2014-01-06 2018-08-29 アーガス サイバー セキュリティ リミテッド グローバル自動車安全システム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150073176A (ko) * 2012-10-17 2015-06-30 타워-섹 리미티드 차량에 대한 공격의 검출 및 예방을 위한 디바이스
US20160255154A1 (en) * 2013-10-08 2016-09-01 Ictk Co., Ltd. Vehicle security network device and design method therefor

Also Published As

Publication number Publication date
CN109937563B (zh) 2021-10-22
US11038912B2 (en) 2021-06-15
DE102016222741A1 (de) 2018-05-24
JP2020501420A (ja) 2020-01-16
KR102293752B1 (ko) 2021-08-24
WO2018091401A1 (de) 2018-05-24
EP3542510A1 (de) 2019-09-25
US20190268368A1 (en) 2019-08-29
CN109937563A (zh) 2019-06-25

Similar Documents

Publication Publication Date Title
US11651088B2 (en) Protecting a vehicle bus using timing-based rules
KR102293752B1 (ko) 통신 네트워크를 위한 방법, 및 전자 제어 유닛
KR102227933B1 (ko) 통신 네트워크를 위한 방법 및 전자 제어 유닛
Kleberger et al. Security aspects of the in-vehicle network in the connected car
US10703309B2 (en) Method and device for connecting a diagnostic unit to a control unit in a motor vehicle
US20150058983A1 (en) Revival and redirection of blocked connections for intention inspection in computer networks
CN107819730B (zh) 数据传输方法、安全隔离装置及车载以太网系统
US11314614B2 (en) Security for container networks
CN111682989A (zh) 一种端口链路状态的检测方法、设备及系统
CN112217783A (zh) 用于在通信网络中的攻击识别的设备和方法
CN116566752A (zh) 安全引流系统、云主机及安全引流方法
Douss et al. State-of-the-art survey of in-vehicle protocols and automotive Ethernet security and vulnerabilities
Schell et al. Assessment of current intrusion detection system concepts for intra-vehicle communication
EP3921988B1 (en) Detecting short duration attacks on connected vehicles
Gong Security threats and countermeasures for connected vehicles
Alkoutli et al. Assessing the Security of Internal Automotive Networks
Weiss Security Testing in Safety-Critical Networks
CN117610007A (zh) 一种拒绝服务的测试方法和装置
CN115225292A (zh) 一种内网访问方法、装置、设备及计算机可读存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant