KR20190065440A - 통신 네트워크를 위한 방법 및 전자 제어 유닛 - Google Patents

통신 네트워크를 위한 방법 및 전자 제어 유닛 Download PDF

Info

Publication number
KR20190065440A
KR20190065440A KR1020197014363A KR20197014363A KR20190065440A KR 20190065440 A KR20190065440 A KR 20190065440A KR 1020197014363 A KR1020197014363 A KR 1020197014363A KR 20197014363 A KR20197014363 A KR 20197014363A KR 20190065440 A KR20190065440 A KR 20190065440A
Authority
KR
South Korea
Prior art keywords
communication
security
quot
communication network
firewall
Prior art date
Application number
KR1020197014363A
Other languages
English (en)
Other versions
KR102227933B1 (ko
Inventor
헬게 친너
Original Assignee
콘티넨탈 오토모티브 게엠베하
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콘티넨탈 오토모티브 게엠베하 filed Critical 콘티넨탈 오토모티브 게엠베하
Publication of KR20190065440A publication Critical patent/KR20190065440A/ko
Application granted granted Critical
Publication of KR102227933B1 publication Critical patent/KR102227933B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 자동차에서의 통신 네트워크 (1) 를 위한 방법에 관한 것이며, 여기서 데이터는 통신 네트워크 (1) 에서의 통신을 위해 송신되고, 상기 통신 네트워크 (1) 에는 적어도 2 개의 통신 사용자들 (5, 5", 7, 9, 11) 이 존재한다. 본 발명은 추가로, 자동차 제어 디바이스용 전자 제어 유닛에 관한 것이다.

Description

통신 네트워크를 위한 방법 및 전자 제어 유닛
본 발명은 청구항 제 1 항의 전제부에 따른 통신 네트워크를 위한 방법 및 전자 모니터링 유닛에 관한 것이다.
이더넷 물리 계층과 그 위에 있는 인터넷 프로토콜 (IP) 을 기반으로, 정보 기술 시스템의 범위 내에서 이미 널리 보급된 기술들은 차량의 통신 네트워크로 나아가고 있다. 특히 이더넷 및 인터넷 프로토콜의 사용이 증가함에 따라, 외부 액세스를 방지할 수 있게 하기 위해 추가의 보안 메커니즘들이 요구된다. 무선 기술들 및 연관된 개방형 및 표준화된 프로토콜들의 사용 증가로 인해, 처음으로 자동차 분야에서 원격 액세스에 의해 차량의 통신 네트워크에 액세스하는 것이 실질적으로 가능하다. 예를 들어, 공격자가 라디오를 통해 차량으로의 액세스를 획득하고 따라서 중요한 차량 기능에 영향을 주기 위해 관리한, 차량들로의 액세스가 알려져 있다. 다른 산업 분야는 자동차에 적용될 수 없는 문제점과 해결책을 가지고 있으며, 이는 예를 들어 워크스테이션 컴퓨터의 경우, 방화벽이 이미 차량에서 필요한 대로 시스템에 이미 존재하고 온-더-플라이 (on-the-fly) 가 아닌 데이터로 동작하기 때문이다. 또한, 워크스테이션 컴퓨터들의 보안 소프트웨어는 자동차의 소프트웨어보다 훨씬 쉬운 방식으로 업데이트될 수 있다.
종래 기술에 따른 통신 패킷은 통상적으로 송신 디바이스의 프로토콜 스택의 상위 계층의 헤더들을 포함한다. 수신 디바이스의 프로토콜 스택은 이 통신 패킷을 수신할 때 점진적으로 진행할 것이며, 예를 들어, 송신된 데이터를 대응 소프트웨어 애플리케이션에 포워딩하기 위해 미리 정의된 필터들을 통해 검사할 것이다. 이더넷 메시지와 같은 통신 패킷은 예를 들어, 제어 디바이스에서 TCP/IP 스택을 통해 실행되고, 콘텐츠의 분석에 기초하여 대응 애플리케이션으로 포워딩된다.
프로토콜 스택들의 복잡도는 사용된 프로토콜들의 수에 따라 상당히 증가한다. 예를 들어, 오디오 및 비디오 데이터를 송신하고 재생하기 위한 AVB (Audio/Video Bridging) 는 4 개의 서브-프로토콜들을 포함하며, TSN (Time-Sensitive Networking) 은 심지어 11 개의 서브-프로토콜들과 포괄적인 사양들을 포함한다. 이것의 단점은 사용된 프로토콜의 다양성으로 인해 용이하게 표현될 수 없는 매우 많은 수의 분기하는 가능성들이 있기 때문에, 결정적 프로토콜 스택에 대해 간단한 추적가능성이 없다는 것이다. 따라서, 프로토콜 스택에서 기존의 보안 갭들을 결정하는데 있어서 상당한 문제점이 있다. 문제는, 예를 들어, 의심되는 경우 중앙 컴퓨팅 유닛으로 포워딩되는 새로운 이더넷 유형이 의도적으로 또는 의도하지 않게 사용되는 경우, 어떻게 진행할지에 대한 것이며, 이는 중요한 시스템 상태를 초래할 수 있고 기본 시스템의 기능을 상당히 제한할 수 있으며 도로 사용자의 안전을 위태롭게 할 수 있다. 그러한 의도적인 비인가 액세스는, 프로토콜 스택에서 보안 갭들을 의도적으로 탐색하는 서비스 거부 공격 (DoS) 에 의해 이전에 발견되지 않았던 보안 갭들을 사용하여 발생할 수 있다.
OSI 모델에 따르면, 데이터 패킷들은 7 개의 계층들을 가질 수 있다. 이 경우에, 데이터 패킷은 계층들의 각각에 대한 헤더 및 유용한 데이터로 구성된다. 헤더들 각각은 연관된 계층에 대한 프로세싱 정보를 저장한다. 따라서 계층들은 각각 유용한 데이터, 그들 자체의 헤더 및 하위 계층들의 헤더들을 포함한다. 이 경우에 계층들은 하위 계층의 정확한 프로세싱에 의존하고, 그 작업을 활용한다. 제 3 계층은 전송자와 수신자의 IP 주소들을 포함하는 "IP 계층" 으로 공지된 계층을 형성한다.
통신 네트워크들에 대한 공격들은 매우 다양한 형태일 수 있다. 공격들은 이 경우 개별 계층들을 공격하고, 거기에서 획득된 정보에 대한 액세스를 활용할 수 있다. 예를 들어, 초기에 제 2 계층에서 "스니핑" 으로 알려진 것은 가입자들의 IP 주소를 확인할 수 있으며, "스푸핑" 으로 알려진 것은 서비스 사용자들의 MAC 테이블들을 변경할 수 있으므로, 서비스 제공자에 대한 요청들이 더 이상 정확히 송신되지 않는다. 그 결과, 서비스들 및/또는 리소스들의 사용가능성을 제한하는 "서비스 거부 공격" (DoS) 으로 알려진 것을 발생한다. 이를 위해 상위 계층들에 대한 공격은 전혀 필요하지 않다.
그러나, 모든 공격들을 미리 검출하기 위해서, 하위 계층들의 헤더들뿐만 아니라 상위 계층들과 유용한 데이터가 가능한 에러들 또는 변경들에 대하여 탐색되어야만 한다. 또한, 계층들의 심층 분석이 유용하다. 개별 계층들에 대한 분석이 심층적일수록, 그 계층의 더 많은 바이트들이 탐색되어야만 하며, 더 많은 에러들 또는 잠재적인 공격들이 발견될 수 있다. 분석될 최대 가능한 계층과 계층의 최대 탐색가능한 바이트들의 조합은 "탐색 심도" 로 지칭될 수 있다. 데이터 전체의 탐색 (계층들 5 내지 7 의 헤더들 및 유용한 데이터 및/또는 계층들 내부의 심층 조사) 은 "심층 패킷 검사" 로 지칭된다. 분석에 의해 검사되는 계층들이 높을수록, 그리고 개별 계층들 내부의 조사가 심층적일수록, 하드웨어와 소프트웨어가 더 강력해질 필요가 있다. 따라서, 더 심층적인 분석 및 상위 계층에서의 분석은 비용이 더 많이 든다.
방화벽은 예를 들어, 모든 계층들을 분석하여 가능하면 포괄적으로 공격들을 검출할 수 있다. 이더넷과 100 Mbit/s, 또는 이후에, 심지어 1000 Mbit/s 또는 최대 10 Gbit/s 의 속도로 인해, 이전의 제어기들을 사용하여 더 이상 데이터 스트림을 관리할 수 없다. 이러한 데이터 레이트로 DoS 공격이 발생하면, 사용된 방화벽들 (또는 제어기들) 이 오버로딩되어 제어 디바이스가 정지할 수 있다.
그러나, 비용 면에서, 모든 제어 디바이스에 추가의 방화벽을 구현할 수 있다는 것은 상상할 수 없다. 각각의 경우에 추가의 제어기 코어가 필요하면, 제어 디바이스의 비용은 거의 폭발한다.
E/E 아키텍처들 (전기/전자 아키텍처들: E/E 시스템들, 인터페이스들, 환경, E/E 시스템에서 데이터 및 에너지의 흐름, 데이터 및 소프트웨어 아키텍처의 상호 작용 및 네트워킹과 관련하여 차량을 위한 구조를 생성하여, 모든 E/E 시스템들 및 E/E 컴포넌트들에 대한 연속적이고 차량 전체의 아키텍처가 하드웨어, 소프트웨어, 차량 전기 시스템, 와이어링 하니스 및 토폴로지 레벨에서 생성되게 함) 의 기술적 문제점은 큰 데이터 레이트들의 프로세싱일 것이다. 장애의 경우에, 방화벽의해 더 이상 관리될 수 없는 데이터 볼륨들이 발생할 수 있다. 단지 제어기가 100 Mbit/s 를 가지고 있기 때문에, 인터페이스는 소프트웨어 (방화벽) 가 이러한 볼륨의 데이터를 (실시간으로) 프로세싱할 수 있다는 것을 절대 의미하지 않는다. 이 경우, 차량 전기 시스템을 더 안전하게 렌더링하고 동시에 비용을 기하급수적으로 올리지 않는 기술들이 필요하다.
그러므로, 본 발명의 목적은, 차량 네트워크가 외부 액세스에 대해 더 안전하게 하기 위해 사용될 수 있고 동시에 방화벽에 대한 부하를 완화시킬 수 있는 방법 및 장치를 제공하는 것이다.
상기 목적은 청구항 제 1 항에 기재된 바와 같은 방법에 의해 그리고 추가의 독립 청구항들에 의해 달성된다.
본 발명에 따른 방법은 차량용 통신 네트워크에 관한 것이며, 여기서 통신 네트워크에서의 통신은 데이터 송신이 수행되는 것을 수반한다. 이 경우, 통신 네트워크는 적어도 2 명의 통신 가입자들을 제공한다. 통신 네트워크에 대한 공격에 대하여 보안 조치들이 제공된다. 본 발명에 따르면, 보안 조치들의 수행은 다수의 통신 가입자들에 걸쳐 분할된다.
통신 네트워크에 대한 공격은 이 문맥에서 보안 갭들을 활용하기 위한 네트워크에 대한 공격으로 이해되어야 한다. 즉, 공격에 의해, 정보에 대한 액세스를 획득하거나 또는 차량의 제어 메커니즘/조절 메커니즘을 제어하는, 제 3 자에 의한 공격 (사이버 공격/해커 공격) 과 관련된다. 자동차에서, 제 3 자들에 의한 제어의 그러한 장악은, 특히, 차량 탑승자들의 안전에 영향을 줄 수 있으며, 따라서, 회피되어야 한다. 이는 본 발명에 의해 달성될 수 있다.
보안 조치들은 예컨대, 특정 유형의 공격 (예를 들어, DoS 공격들) 에 대한 추적 및 방어일 수 있다. 예를 들어 상이한 통신 가입자들이 다른 유형의 공격들을 필터링하거나 방어하도록 하는 보안 조치들의 수행의 분배는 유리하게 방화벽에 추가의 하드웨어를 구비하고 및/또는 상기 방화벽을 오버로딩하지 않으면서 다수의 상이한 가능한 공격들의 완전한 커버리지를 제공하거나 그에 대한 방어를 제공한다. 따라서, 비용들은 유리하게 절약된다. 또한, 공격들에 대한 방어는 실시간으로 가능하다. 또한, 본 발명은 심지어 유해한 데이터 패킷이 방화벽에 도달하기 전에 다른 통신 가입자들에 의한 공격이 차단되게 한다.
보안 메커니즘들의 분배는 오직 통신 가입자들 사이에 또는 통신 가입자들과 방화벽 사이에서만 수행될 수 있다. 예를 들어, 특정 보안 조치들은 특히 방화벽에 의해 바람직하게 수행되는 반면, 다른 보안 조치들은 통신 가입자들 중 하나 이상에 의해 수행되거나 또는 하나 이상의 통신 가입자들에 걸쳐 분할된다.
바람직하게, 통신 가입자들은 결합되어 통신 경로들을 생성한다. 통신은 연관된 통신 가입자들을 갖는 통신 경로에서 발생한다. 본 발명의 추가의 바람직한 전개에서, 보안 메커니즘들의 분배는 통신을 위해 제공된 개별 통신 경로의 통신 가입자를 통해 발생한다. 통신 가입자들은 특히 바람직하게 적어도 송신기 및 수신기를 포함하고, 그 사이에서 데이터 송신의 형태의 통신이 수행된다. 이러한 전개에 따르면, 통신 가입자들 중 적어도 하나, 즉, 송신기 또는 수신기 중 어느 하나는 자동차에 배열된다. 각각의 다른 통신 가입자는 마찬가지로 자동차 내에 배열될 수 있거나 또는 외부에 위치된 외부 가입자이다. 외부 가입자는, 예를 들어, 외부에 배열된 제어 디바이스 또는 클라우드일 수 있다.
본 발명의 바람직한 전개에서, 상기 방법은 또한 각각의 통신 가입자에 대한 최대 가능한 보안 지원의 확인을 포함한다. 다르게 말하면, 각각의 통신 가입자가 제공할 수 있는 최대 보안 지원이 확인된다. 보안 지원은 이 경우에 보안 조치들을 수행하기 위한 통신 가입자에 의한 지원에 관한 것이다. 특히 바람직하게, 확인된 정보는 데이터베이스에 저장된다.
전개는 방화벽을 지원하기 위해 사용가능한 리소스들이 확인되게 하고 따라서 보안 조치들의 분배가 수행되게 한다. 따라서, 네트워크에 대한 공격들을 방지하기 위해 사용가능한 리소스들이 최적의 방식으로 활용될 수 있다.
본 발명의 바람직한 전개에서, 그 방법은 각각의 통신 가입자에 대한 최대 가능한 탐색 심도의 확인을 포함한다. 최대 가능한 탐색 심도는 특히 바람직하게, 통신 가입자가 탐색할 수 있는 프로토콜 계층의 최대 복잡도와 관련된다. 이 경우, 프로토콜 계층의 "복잡도" 는 프로토콜 계층의 수가 증가함에 따라 "복잡도" 가 증가하는 것으로 이해되어야 한다. 계층 1 (물리 계층) 에서, 예를 들어, 오직 헤더 및 유용한 데이터만이 이용가능하며, 유용한 데이터는 실제로 송신되기 위한 데이터이고, 헤더는 각각 연관된 계층에 의한 이들 데이터의 프로세싱에 관한 정보를 포함한다 (이 경우 계층 1). 이것은 최저의, 덜 복잡한 계층이고, 최저 성능들 (컴퓨테이션 지출) 을 요구한다. 반면에, 계층 7 에서, 추가로 6 개의 계층들이 탐색되는 것이 필요하며, 이는 더 높은 성능 (컴퓨테이션 지출) 을 요구한다. 따라서, 각 통신 가입자에 대해, 어느 계층까지 통신 가입자가 데이터 패킷을 탐색할 수 있는지가 바람직하게 확인된다.
최대 탐색 심도는 또한, 대안적으로 또는 부가적으로, 개별 계층들의 분석의 심도, 즉 개별 계층들이 얼마나 심층적으로 (바이트 심도) 탐색되는지, 즉 보는 것이 가능한 각각의 계층 내에서 얼마나 많은 바이트들이 "심층적인지" 에 관련된다.
그 후에, 이 정보는 바람직하게 통신 가입자들의 최대 가능한 보안 지원을 확인하기 위해 사용되며, 이는 탐색 심도가 어떤 공격들이 통신 가입자들에 의해 검출될 수 있는지를 지배하기 때문이다. 이는 또한 리소스들의 최적 분배를 허용한다.
본 발명의 바람직한 전개에서, 보안 메커니즘들은 필터 규칙들의 형태이거나, 또는 사용된 보안 메커니즘들은 필터 규칙들이다. 이 경우 필터 규칙들은 바람직하게 각각의 데이터 패킷에 무엇이 발생하는지를 결정하는 규칙들이다. 필터 규칙들은 특히 바람직하게 패킷 필터 또는 네트워크 필터로서 이용가능하며, 통신 가입자들에서 및/또는 방화벽에서 이 형태로 구현된다.
본 발명의 바람직한 전개에서, 통신을 위한 데이터 송신은 데이터 송신 프로토콜에 의해 수행된다. 후자는 다중 계층들을 갖는다. 유리하게, 공지된 데이터 송신 프로토콜들 및 그와 연관된 요구되는 분석 리소스들을 갖는 데이터베이스가 상기 방법을 위해 제공된다. 따라서 모든 공지된 데이터 송신 프로토콜에는, 공격들이 신뢰성있게 검출될 수 있도록 어떤 계층들이 분석되어야만 하는지 및 어떤 바이트 심도로 분석되어야만 하는지가 제공된다. 데이터베이스는 바람직하게는 이용가능한 리소스들이 통신 가입자들에 의해 질의될 때 및/또는 보안 조치들이 분배될 때 사용된다. 공지되지 않은 데이터 송신 프로토콜들의 경우에, 공지되지 않은 프로토콜들의 경우에 공격들이 은닉될 수 있는 곳이 불명확하기 때문에, 최대 리소스들이 필수적인 것이 특히 바람직하게 언급된다. 이 경우 모든 계층들이 최대 바이트 심도로 탐색되어야만 한다고 규정된다.
특히, 데이터 송신 프로토콜들은, 예를 들어, 이더넷, 플렉스레이 (FlexRay), 가상 로컬 영역 네트워크 (VLAN), 인터넷 프로토콜 (IP), 오디오/비디오 브릿지 (AVB), 시간 민감성 네트워킹 (TSN) 또는 SOME/IP (Scalable service-Oriented MiddlewarE over IP) 의 형태이다.
본 발명의 또 다른 바람직한 전개에서, 통신 가입자들은 제어 디바이스들 (ECU- 전자 제어 유닛) 및/또는 스위치들의 형태이다. 어쨌든 현재 존재하는 차량 내의 다양한 디바이스들은 보안 조치들을 분배하는데 있어 유용하다. 따라서, 추가의 하드웨어를 추가로 제공할 필요가 없다.
본 발명의 바람직한 전개에서, 통신 네트워크는 방화벽을 가지며, 방화벽의 구성은 보안 조치들의 분배와 매칭된다. 통신 가입자들에 의해 보안 조치들이 착수되는 경우, 방화벽의 구성이 변경되어 방화벽이 이러한 착수된 보안 조치들을 더 이상 수행하지 않을 수 있다. 이는 방화벽에 대한 부하를 완화시킨다. 대안적으로, 방화벽은 이러한 보안 메커니즘들을 계속해서 수행할 수 있으므로, 유리하게 중복이 발생한다.
본 발명에 따른 방법은 바람직하게, 생산의 종료시 (자동차의 생산이 완료된 이후), 소프트웨어 업데이트 이후, 보안 갭들의 발현 이후 또는 통신 경로의 가입자를 교체 또는 업데이트할 때 한 번 실행된다. 따라서, 보안 갭들은 또한, 최종 고객으로의 전달 이후, 예를 들어, 제어 디바이스들이 교체되거나 또는 소프트웨어 업데이트가 제공되는 경우에, 유리하게 검출될 수 있다. 따라서, 최종 고객은 또한, 차량의 동작 동안 공격들에 대해 증가된 보안을 제공한다.
본 발명의 바람직한 전개에서, 상이한 공격 시나리오들에 관한 정보는 보안 지원에 관한 질의를 위해 및/또는 보안 메커니즘들의 분배를 위해 사용된다. 이러한 정보는 마찬가지로, 바람직하게, 특히 메모리에 저장되는 데이터베이스에 저장되고 연속적으로 업데이트되지 않는다. 이 정보는 특히 바람직하게 상이한 가능한 공격 유형 및 필요한 보안 메커니즘들과 관련된다. 하나의 가능한 공격 유형은, 예를 들어 DoS (서비스 거부) 이며, DoS 에서 오버로드가 제 3 자에 의해 야기되고 방화벽 또는 ECU 의 기능 또는 서비스 등의 장애를 발생한다.
본 발명의 바람직한 전개에서, 데이터베이스들은 보안 메모리 영역에 저장된다. 특히, 이러한 보안 메모리 영역에는 암호화가 제공되고, 따라서, 공격들에 대해 보호된다. 이 경우에, 보안 메모리 영역은 예를 들어, 중앙 제어 디바이스 상에 배열될 수 있다.
바람직한 전개에서, 통신 가입자들의 최대 가능한 보안 지원에 대한 등급은 알고리즘에 의해 수행된다. 알고리즘은 바람직하게 최대 가능한 탐색 심도를 사용하여 리소스 클래스들을 생성할 수 있고, 통신 가입자들을 리소스 클래스들에 할당할 수 있다. 이러한 목적으로, 알고리즘은 특히, 최대 가능한 탐색 심도, 데이터 송신 프로토콜들 및/또는 평가에 있어서 상이한 공격 시나리오들에 대한 정보에 관련된 하나 이상의 데이터베이스들을 포함한다.
본 발명은 또한, 그 방법을 실행하도록 설계되는 자동차 제어 디바이스용의 전자 모니터링 유닛 또는 제어 유닛에 관련된다.
본 발명은, 특히 추가의 재정 지출 없이, 차량 네트워크의 보안을 유리하게 증가시킬 수 있다. 자동차에서 이더넷 또는 다른 데이터 송신 시스템들 (예를 들어, 플렉스레이) 의 사용으로, 특히, 고비용의 구현들 및 추가의 부가 하드웨어를 생략할 수 있기 위하여 간단한 기법들 및 기술들의 주어진 특성들을 사용하는 메커니즘들에 대한 필요성이 존재한다.
추가의 바람직한 실시형태들이 도면들에 기반하여 예시적인 실시형태들의 다음의 설명으로부터 명백해질 것이다.
개략도에서:
도 1 은 통신 패킷 또는 스택의 구조를 도시한다.
도 2 는 접속 유닛 및 중앙 방화벽을 통해 차량 네트워크를 인터넷에 네트워킹하는 예시적인 예를 도시한다.
도 3 은 다수의 접속 유닛들 및 다수의 중앙 방화벽들을 통해 차량 네트워크를 인터넷에 네트워킹하는 예시적인 예를 도시한다.
도 4 는 도 3 의 전개로서 본 발명의 예시적인 실시 예를 도시한다.
도 5 는 최대 가능한 탐색 심도를 확인하기 위한 본 발명에 따른 방법의 예시적인 구성을 도시한다.
도 6 은 확인된 탐색 심도에 대한 데이터베이스의 예시적인 구성을 도시한다.
도 7 은 보안 지원에 따라 제어 디바이스들을 할당하는 방법의 예시적인 구성을 도시한다.
도 8 은 이더넷 스위치와 방화벽의 탐색 심도의 비교를 도시한다.
도 9 는 탐색 심도를 분배하는 방법의 예시적인 실시형태를 도시한다.
도 10 은 보안 메커니즘의 분배를 위한 예시적인 순서를 도시한다.
예시적인 실시형태들의 짧고 간단한 설명을 허용하게 하기 위하여, 동일한 엘리먼트들에는 동일한 참조 부호들이 제공된다.
도 1 은 예시에 의해 통신 스택의 구조를 도시한다. 이 예에 따르면, 통신 스택은 OSI 모델을 기반으로 하는 7 개 계층들을 가질 수 있다. 네트워크를 보호하기 위한 방화벽의 요구들은 통신 계층에 의존한다. 통신이 발생하는 계층이 높을수록, 프레임 심도가 커지며 - 더 많은 메모리가 유지되어야 하고 더 많은 컴퓨팅 능력이 요구된다. 또한, 컴퓨팅 능력은 각 계층의 분석 심도가 증가함에 따라 증가한다. 이 경우, 분석 심도는 계층 내부를 보는데 사용되는 바이트 심도를 의미한다.
따라서, 도 1 은 확인된 통신 계층과 관련하여, 복잡도, 컴퓨팅 능력 및 메모리 요건의 변화를 도시한다. 계층이 증가할수록 (계층들의 수가 증가할수록), 패킷의 프레임 사이즈가 증가한다. 따라서, 점검 동안 데이터를 버퍼-저장하는데 필요한 버퍼 메모리도 증가한다. 유사하게, 필요한 컴퓨팅 능력도 증가한다. 모든 계층들로 향후 데이터 패킷들을 탐색할 수 있도록 하기 위해, 방화벽들은 더 양호하거나 추가된 하드웨어를 제공받아야 하며, 이는 비용을 발생한다.
도 2 는 차량 네트워크 (1) 를 인터넷에 네트워킹하는 예시적인 예를 도시한다. 이 경우, 차량 네트워크 (1) 는 접속 유닛 (5) 및 (중앙) 방화벽 (3) 을 갖는 나머지 차량 네트워크 (9) 를 갖는다. 나머지 차량 네트워크는 예컨대, 제어 디바이스일 수 있거나 또는 CAN, LIN, 플렉스레이, MOST, LVDS, WLAN, 블루투스 또는 이더넷을 통해 다수의 제어 디바이스들 및 게이트웨이들이 서로 접속되게 할 수도 있다 (미도시). 네트워크 (1) 는 접속 유닛 (5) ("접속 유닛") 을 통해 인터넷에 접속된다. 이 예에 따르면, 나머지 네트워크 (9) 와 접속 유닛 (5) 사이의 접속은 유선 접속의 형태이고, 접속 유닛 (5) 과 인터넷 사이의 접속은 무선 (라디오) 접속의 형태이다.
도 3 은 도 2 의 더 복잡한 변형을 도시하고, 여기서 차량 네트워크 (1) 는 다수의 방화벽들 (3', 3") 및 다수의 이더넷 스위치들 (7) 을 포함한다. 접속 유닛 (5') 및 추가 접속 유닛 (5") 은 차량 네트워크 (1) 에 유사하게 배열된다. 블록으로 도시된 나머지 차량 네트워크 (9) 에 추가의 유닛들이 제공될 수 있다. 나머지 차량 네트워크 (9) 및 2 개의 접속 유닛들 (5', 5") 은 각각 자신의 방화벽들 (3', 3", 3'") 을 갖는다. 방화벽들 (3', 3", 3'") 은 예를 들어, 보안 조치들을 수행하는 것과 같은 적절한 작업들을 착수하도록 구성된 제어기 형태일 수 있다.
도 4 는 도 3 의 전개를 도시하며, 여기서 나머지 차량 네트워크 (9) 는 방화벽 (3") 을 갖는 제어 디바이스 (ECU) (11) 의 형태이다. 이더넷 스위치들 (7) 은 각각 방화벽 (3"") 을 추가로 갖는다. 이는 예를 들어, 스위치 (7) 의 마이크로제어기 유닛, 특히 ASIC 이 그에 따라 구성되는 것에 의해, 즉 방화벽의 작업들을 착수하는 것에 의해 제공될 수 있다. 이 예에 따르면, 방화벽 (3"") 은 데이터 패킷들의 사전 정렬을 수행할 수 있으며, 그 후에 공격들에 대해 방화벽들 (3" 및 3'") (그리고 가능하면 3') 에 의해 필터링되거나 또는 방화벽들 (3", 3'") (그리고 가능하면 3') 의 작업들 중 일부를 착수하고 따라서 이들에 대한 부하를 완화시킨다. 방화벽들 (3' 및 3") 은 이 경우에 보다 단순하고 및/또는 중복된 방화벽들의 형태일 수 있다. 다수의 유닛들 (5", 7, 11) 이 분석을 위해 협력하는 것 및 검사의 컴퓨테이션 부하가 분배되는 것의 결과로, 더 이상 단일 방화벽이 분석을 수행할 필요가 없다.
네트워크 (1) 내의 개별 유닛들은 통신 가입자들 일 수 있다. 접속 유닛 (5") 은 더 이상 주요 통신 경로의 일부가 아니지만, 보안 메커니즘의 수행시 수반될 수 있다. 보안 조치들을 수행한 후, 데이터 또는 결과들이 통신 경로로 리턴되어야만 한다.
보안 조치들의 수행은 통신 가입자들을 통해 분배된다. 이 경우 모든 방화벽들 또는 모든 통신 가입자들이 보안 조치들을 착수해야할 필요는 없다. 바람직하게, 최적의 리소스 활용이 발생하도록 분배가 시행된다. 특히, 통신 가입자들 및/또는 방화벽들은 또한 중복으로 동작할 수 있고, 따라서 다른 방화벽 또는 다른 통신 가입자에 의해 마찬가지로 수행될 수 있는 보안 조치들을 착수한다. 이는 공격 검출시 에러들이 감소될 수 있기 때문에, 더 높은 레벨의 보안을 제공한다.
도 5 는 개별 통신 가입자들의 가능한 최대 탐색 심도를 확인하기 위한 가능한 방법을 도시한다. 이 경우, 방법의 시작 (20) 후에, 선택된 통신 경로, 또는 통신에 필요한 통신 요건들 및 수반되는 제어 디바이스는 초기에 선택된 방화벽 (예컨대 3 내지 3"") 으로 송신된다 (22). 통신 요건들은 예를 들어 메시지 빈도, 패킷 유형 또는 프로토콜 유형 및 보안 레벨을 포함할 수 있다. 방화벽 (예컨대 3 내지 3""), 또는 대안적으로 다른 제어 유닛은 통신에 필요한 리소스들을 계산하고 (24), 통신 매트릭스에 저장한다. 특히, 필요한 리소스들은 사용된 프로토콜 유형에 따라 카테고리화된다. 알려진 프로토콜들 및 요구되는 연관된 리소스들은 의존할 수 있는 데이터베이스로 제공될 수 있다. 특히 새로운 프로토콜 유형이 사용되는 외부 통신은 바람직하게 최대 분석이 발생하도록 분류된다. 즉, 모든 프로토콜 계층들이 최대 바이트 분석 심도로 검사되는 것이 바람직하며, 이는 공지되지 않은 프로토콜들의 경우에 프로토콜에서 공격들이 은닉되는 것이 가능한 위치가 명확하지 않기 때문이다.
필요한 리소스들의 확인 후, 제어 디바이스들 (5, 5', 5", 7, 11) 에 정보에 대한 요구가 수행된다 (26, 30). 예를 들어, 제어 디바이스들 (5, 5', 5", 7, 11) 에 의한 지원의 가능성이 어느 패킷 계층까지 존재하는지 (26), 및 지원의 가능성이 어떤 바이트 심도에서 존재하는지 (30) 가 확인된다. 따라서, 제어 디바이스들 (5, 5', 5", 7, 11) 의 최대 가능한 탐색 심도가 어떻게될 것인지가 확인된다. 제어 디바이스들 (5, 5', 5", 7, 11) 은 요청에 대한 적절한 응답들 (28, 30) 을 방화벽 (3 내지 3"") 에 제공한다. 확인된 정보는 데이터베이스, 특히 바람직하게는 보안 메모리 영역에 저장되는 것이 바람직하며, 작업 부하의 리소스-최적화된 분배가 확인된다. 결과적으로, 분석은 제어 디바이스들 (5, 5', 5", 7, 11) 에 의해 활성화될 수 있다. 이 경우, 제어 디바이스들 (5, 5', 5", 7, 11) 및 방화벽 (3 내지 3"") 은 확인된 분배에 따라 공격들을 방어하도록 구성된다.
지원된 계층에 관한 제어 디바이스들 (5, 5', 5", 7, 11) 에 의한 질의 (26) 는 예를 들어, 단계적으로 실행될 수 있다. 이 경우, 제 1 계층부터 최대 계층에 대한 지원이 연속적으로 질의될 수 있다. 예를 들어, 처음에는 제 1 계층이 지원되는지의 여부가 질의된다. 만약 그렇다면, 제 2 계층이 지원되는지의 여부 등이 질의된다. 이 경우, 물리적 베이스로서의 제 1 계층이 항상 분석가능해야 하기 때문에, 제 1 계층에 대한 질의가 실제로 생략될 수 있음을 주목해야 한다. 만약 단계별 질의의 과정에서, 특정 계층이 더 이상 분석되지 않는다는 것이 확인된다면, 지원된 것으로 확인된 초기 검사 계층이 최대 가능한 지원 계층이라는 것을 이로부터 결론을 내릴 수 있다. 그 결과, 예를 들어 검사된 제어 디바이스와 관련하여 데이터베이스에 저장될 수 있다.
도 6 은 예를 들어 제어 디바이스들 (5, 5', 5", 7, 11) 및/또는 방화벽들 (3 내지 3"") 일 수 있는 개개의 통신 가입자들에 관한 확인된 정보를 갖는 데이터베이스의 가능한 매트릭스를 도시한다. 이 예에 따르면, 데이터베이스는 제어 디바이스들 (5, 5', 5", 7, 11) 및 방화벽 (3 내지 3"") 이 특정 공격들을 식별하고 방어할 수 있는지의 여부를 저장할 수 있다. 모든 공격은 특정 프로토콜 계층에서 발생한다. 다수의 잠재적 공격 유형이 주어지면, 서로 다른 계층들이 영향받을 가능성이 크다. 모든 제어 디바이스는 데이터 프로토콜들에 대해 최대 가능한 탐색 심도를 갖는다. 제 1 제어 디바이스는 예를 들어 오직 하위 계층들만을 탐색할 수 있지만, 제 2 제어 디바이스는 예를 들어 상위 계층들을 또한 탐색할 수 있다. 따라서, 제 2 제어 디바이스는 상위 계층들에 대한 공격들을 커버할 수 있고, 제 1 제어 디바이스는 예를 들어 하위 계층들에 대한 공격들을 커버할 수 있다. 방화벽은 또한 최대 탐색 심도를 가지며, 보안 메커니즘들이 제어 디바이스들을 통해 분배될 때, 예를 들어 제어 디바이스들에 의해 착수될 수 없는 나머지 계층들을 커버하도록 구성될 수 있다.
본 발명에 따른 개념은 또한 도 7 에 도시된다. 도면의 좌측은 예를 들어, 안테나 (42) 를 통해 네트워크에 도달할 수 있는 가능한 공격들 (40) 을 도시한다. 다른 통신 가입자들로서, 데이터 패킷들을 수신하는 것으로 추측되는 스위치 (7) 및 ECU (11) 가 제공된다. 이 예에 따르면, 도시된 가능한 공격들 (40) 은 예를 들어, "핑 오브 데스 (Ping of Death)", "신 플러드 (SYN flood)" 또는 "브로드캐스트 스톰 (broadcast storm)" 과 같은 DoS (서비스 거부 공격) 의 다른 변형들이다. 이 예에 따르면, 공격들은 안테나 (42) 에 의해 핸들링되지 않는다. 일부 공격들의 제 1 식별은 스위치 (7) 에 의해 착수된다. 따라서, 스위치 (7) 에 의해 착수되지 않은 오직 나머지 공격들 (40) 만이 남도록, 공격들 (40) 은 필터링되거나 걸러낼 수 있다. 정보 또는 데이터 패킷들은 ECU (11) 로 포워딩되고, 나머지 공격들 (40) 의 식별을 착수하거나 또는 공격들 (40) 에 대하여 방어한다. 공격들 (40) 의 식별 또는 방어는 보안 조치로서 지칭될 수 있다. 따라서, 네트워크 (1) 에 대한 공격들 (40) 을 회피하기 위한 보안 조치들은 네트워크 (1) 에서 분배된 방식으로 수행된다. 이를 위해, 사용가능한 리소스들의 (예를 들어, 스위치 (7) 및 ECU (11) 에 의한) 분석 다음에, 보안 조치들의 할당이 수행된다. 유리하게, 모든 공격들 (40) 을 검출해야 하는 새로운 하드웨어가 제공될 필요 없이, 큰 대역폭의 공격들 (40) 이 방어될 수 있다. 따라서 보안 조치들의 수행 분배는 비용들이 절약되게 한다.
도 8 은 예시적인 방식으로, 이더넷 스위치 (7) 및 방화벽 (3 내지 3"") 의 탐색 심도를 도시하는데 사용되는 데이터 패킷을 도시한다. 상이한 박스들은 헤더들 및 유용한 데이터이다. 이더넷 스위치 (7) 가 오직 데이터 (최좌측 박스) 및 처음 2 개의 헤더들/계층들만을 탐색할 수 있지만 (50), 방화벽들 (3 내지 3"") 이 데이터 패킷의 모든 계층들, 예컨대 7 개 계층들을 탐색하는 것이 가능하다. 스위치 (7) 및 방화벽 (3 내지 3"") 양자가 탐색을 시작할 경우, 처음 2 개의 계층들의 영역에 중복이 발생할 것이다 (50). 이러한 중복은 스위치 (7) 및 방화벽 (3 내지 3"") 으로부터의 결과들을 이러한 방식으로 비교함으로써 에러 분석을 위해 사용될 수 있거나, 또는 방화벽 (3 내지 3"") 은 스위치 (7) 에 의해 탐색될 수 없는 헤더들만을 탐색한다 (도 9). 후자의 경우, 분석 영역에서의 시프트 (54) 가 방화벽 (3 내지 3"") 에서 발생한다. 따라서 스위치 (7) 에 의해 또한 분석될 수 있는 계층들을 탐색할 필요는 더 이상 없다. 이 경우, 방화벽 (3 내지 3"") 은 유리하게 추가의 작업들에 대하여 사용가능한 리소스들을 갖는다. 분석될 영역들은 자연스럽게 마찬가지로 추가의 스위치들 (7) 또는 제어 디바이스들 (11) 를 통해 분할될 수 있으므로, 방화벽 (3 내지 3"") 에 대한 공유가 더욱 작아진다.
도 10 은 특정 데이터 송신 프로토콜이 사용될 때 보안 조치들을 분배하기 위해 도 5 에 도시된 방법의 전체 뷰의 대안적인 도면을 도시한다. 방법 (20) 의 시작 후에, 필요한 분석 리소스들이 예를 들어 제어 유닛 또는 방화벽에 의해 확인되며 (22), 그 후에 통신 매트릭스에 저장된다. 그 후에, 제어 유닛들 또는 방화벽들이 어떤 계층들 및 어떤 분석 심도를 제공할 수 있는지가 확인된다. 그 결과가 보안 데이터베이스 (62) 에 저장된다. 그 후에, 보안 조치들의 분배가 어떻게 발생하는지가 결정된다 (33). 그 후, 확인된 분배가 실제로 구현될 수 있으며, 그 단부에 제어 유닛들 및 방화벽들이 그에 따라 구성된다 (34). 이를 위해, 제어 유닛들 및 방화벽들과의 통신이 시행된다 (35). 매칭된 구성들을 사용하여 36 개의 공격들을 분배형 방식으로 성공적으로 발견하고 차단한다.
본 발명에 관한 추가 정보는:
본 발명은 네트워크에서 필터 규칙들 (방화벽의 기본 원리) 을 분배하고 누설하기 위한 새로운 방법을 제안한다. 또한, 본 발명은 자동차 네트워크 및 그 컴포넌트들에 상기 규칙들에 대해 질의하고 이들을 상기 규칙들에 따라 구성하기 위한 방법들을 제공한다. 이 경우, 본 발명은 잠재적인 공격 기능들을 위해 정확한 보안 플랫폼을 미리 선택하기 위한 메커니즘을 정의한다; 이와 관련하여, 예시적인 예를 위해 도 5 를 참조한다.
본 발명은 보안 능력들 및 옵션들을 구성하고 이들을 인터페이스를 통해 네트워크에서 사용가능하게 하는 방법을 제안한다. 그러므로 어떤 보안 메커니즘들이 반복해서 커버될 수 있는지, 어떤 것들이 전혀 커버될 수 없는지, 및 어떤 것들이 생략될 수 있는지가 분명해진다. 이러한 방식으로 획득된 보안 매트릭스는 첫째로 어떤 보안 유형이 구현될 수 있는지와 둘째로 또한 각각의 제어 디바이스들에 의해 제공될 수 있는 보안 레벨의 간단한 도시를 허용한다. 본 발명의 방법은 먼저, 방화벽이 어떻게 부하를 완화시킬 수 있는지, 그리고 컴퓨팅 능력이 재배치될 수 있는 위치를 명확하게 한다.
이 방법은 전체 네트워크가 보안 (외부로부터의 공격들) 과 관련하여 훨씬 쉽게 점검되고 테스트되게 한다.
본 발명은 이더넷 TSN 표준 및 이 경우 특히 차량 보안을 목적으로 IEEE802.1Qci Ingress Policing and Filtering 서브표준을 사용하는 것을 제안한다. 표준 및 그 능력들은 자동차 분야에서 매우 중요할 수 있으며, 이는 첫 번째로 이러한 기능들이 하드웨어에서 구현되고 따라서 소프트웨어에서 어떤 컴퓨팅 능력도 요구하지 않으며, 두 번째로 이러한 컴포넌트들이 가능하게 모든 미래 자동차에 포함될 것이기 때문이다.
본 발명의 본질 및 신규성은 첫 번째로 차량 네트워크의 보안이 (동일 비용에 대해) 증가되는 것이고 두 번째로 보안 메커니즘에 대해 중복이 제공된다는 것이다. 이더넷의 등장으로, 특히, 고비용의 구현들 및 추가의 부가 하드웨어를 생략할 수 있기 위하여 간단한 기법들 및 기술들의 주어진 특성들을 사용하는 메커니즘들에 대한 필요성이 존재한다.
본 발명은 이더넷 또는 IP 와 같은 새로운 기술들이 더 양호하게 관리될 수 있는 장점을 갖는다. 새로운 기술들이 더 이상 자동차에서 지연되지 않아야 한다. IT 로부터의 통상적인 기술들은 모두 착수될 수 없다. 예를 들어, 필요한 컴퓨팅 시간이 통상적으로 초 단위이기 때문에, 암호화는 유한 깊이 (128 비트) 일 수 없다. 이 경우, 자동차에서의 요구들이 충족될 수 없다.
CAN 또는 LIN 에서 오류의 발생시, 제어기들 (방화벽을 포함함) 은 인정하건데, 현재 이들이 100% 로 동작하는 경우 패킷들의 플러드를 관리할 수 있다. 100 Mbit/s 이더넷 또는 심지어 1000 Mbit/s 이더넷의 경우, (제어기들이 이러한 인터페이스를 가지는지의 여부에 관계없이) 더 이상 가능하지 않다. 방화벽은 본 발명의 결과로서 확실하게 동작할 수 있고 오버로드를 경험하지 않는다.
따라서 방화벽에 대한 하드웨어 요구들이 발생되지 않아야 한다. 따라서 보안 성능에 대한 고수가 일정하게 유지되는 경우에 추가의 제어기들이 생략될 수 있다. 그 결과 방화벽의 필요한 컴퓨팅 능력의 감소의 결과로서 비용 절약을 발생한다.
보안 메커니즘들의 분배 및 일부 메커니즘들의 중복 실행 또는 컴퓨테이션은 또한 간단한 에러들이 회피되게 한다. 따라서 차량 전기 시스템에서 보안 기능들을 반복적으로 통합하는 것은 실제 방화벽 앞에서 공격/에러가 검출되게 하고, 대책들이 보다 신속하게 개시되게 한다.
이는 (합리적인 전체 비용을 고려하여) 차량 전기 시스템에서 어떤 컴포넌트 단독으로도 보안을 관리할 수 없음을 나타낸다. 방화벽은 원칙적으로 거의 모든 것을 커버할 수 있지만, 실시간으로 이를 수행하기 위해서는 매우 높은 레벨의 성능을 결과로서 요구한다. 스위치는 하위 계층에서 다수의 이러한 기능들을 이미 커버할 수 있으며, 내장된 HW 지원 방법들의 결과로 메모리 또는 CPU들과 같은 추가 컴포넌트들 없이 관리할 수 있다. 이를 위해 시스템에 대하여 달성된 지원은 전반적인 개념을 보다 중복되게 할뿐만 아니라 방화벽(들)의 복잡도를 더욱 단순하게 만든다.
(시스템에서, DBC, Fibex 파일들을 사용한 방화벽의 구현시, 또는 생산 종료 (end-of-production) 프로그래밍에서 동적으로) 통신 경로의 송신 후에, 방화벽은 인입하는 메시지들을 보호하는데 필요한 리소스들을 계산한다. 패킷 유형, 패킷 길이, 프로토콜 및 메시지 빈도는 컴퓨팅 용량 및 그에 필요한 메모리에 직접적으로 영향을 미친다. 오늘날에도, 단일 CPU 는 심층 패킷 검사에만 제공된다. 본 발명은 방화벽이 네트워크 내의 보안 메커니즘들을 재배치하거나 이들을 중복하여 제공할 것을 제안한다. 이를 위해, 시스템 설계, 업데이트 또는 구현 동안, 이더넷 스위치들은 서비스 발견 방법을 사용하여 그들의 기능에 대해 질의받는다. 이 질의의 목적은 높은 레벨의 컴퓨팅 능력이 필요하며 이미 부분적으로 재배치될 수 있는 심층 패킷 검사의 재배치에 대한 통찰력이다.
따라서, 다양한 공격 기술들이 유리하게는 먼저 방화벽에 의해 중단되는 것이 아니라, 실제 방화벽 및 수신기보다 앞의 제어 디바이스들에 의해 이미 부분적으로 제거될 수 있다. 보안 지원의 카테고리화 이후에, 시스템 (방화벽) 은 통신 경로(들)을 보호하고 보안 메커니즘들을 할당할 수 있다.
본 발명에 의해 제공되는 추가 옵션은 방화벽의 최적화이다. ECU 또는 스위치들의 탐색 심도의 검출은 방화벽이 다른 검사들을 위해 컴퓨팅 능력을 사용하여 실시간 검사를 수행하게 한다. 더 이상 전체 프레임이 탐색될 필요가 없기 때문에 이는 메모리와 컴퓨팅 능력을 절약한다.

Claims (9)

  1. 자동차에서의 통신 네트워크 (1) 를 위한 방법으로서,
    상기 통신 네트워크 (1) 에서의 통신은 수행되고 있는 데이터 송신을 수반하고, 상기 통신 네트워크 (1) 는 적어도 2 개의 통신 가입자들 (5, 5", 7, 9, 11) 을 제공하며,
    상기 방법은,
    - 다수의 통신 가입자들 (5, 5", 7, 9, 11) 에 걸쳐 상기 통신 네트워크 (1) 에 대한 공격에 대해 보안 조치들의 수행의 적어도 부분을 분배하는 방법 단계를 포함하는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  2. 제 1 항에 있어서,
    상기 방법은,
    - 각각의 통신 가입자 (5, 5", 7, 9, 11) 에 대한 최대 가능한 보안 지원을 확인 (26, 28, 30, 32) 하는 추가 단계를 포함하고,
    상기 보안 조치들의 수행의 분배 (34) 는 상기 통신 가입자들 (5, 5", 7, 9, 11) 의 상기 최대 가능한 보안 지원에 기초하여 수행되는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  3. 제 2 항에 있어서,
    상기 방법은,
    - 상기 통신 가입자들 (5, 5", 7, 9, 11) 의 최대 가능한 탐색 심도를 확인 (26, 28, 30, 32) 하는 추가 단계를 포함하고,
    상기 최대 가능한 탐색 심도는 상기 통신 가입자들 (5, 5", 7, 9, 11) 의 상기 최대 가능한 보안 지원을 확인하는데 사용되는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    제공된 상기 보안 조치들은 필터 규칙들인 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  5. 제 3 항에 있어서,
    상기 통신은 다수의 계층들을 갖는 데이터 송신 프로토콜에 의해 수행되고, 상기 최대 가능한 탐색 심도를 위해, 각각의 통신 가입자 (5, 5", 7, 9, 11) 에 의해 분석가능한 최대 계층 (26, 28) 및/또는 상기 각각의 통신 가입자 (5, 5", 7, 9, 11) 에 의해 분석가능한 각 계층 (30, 32) 의 최대 바이트 심도가 확인되는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    제공된 상기 통신 가입자 (5, 5", 7, 9, 11) 는 적어도 하나의 제어 디바이스 (11) 및/또는 적어도 하나의 스위치 (7) 인 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 통신 네트워크 (1) 는 상기 통신 네트워크 (1) 에 대한 공격들에 대해 방어하기 위한 적어도 하나의 방화벽 (3, 3', 3", 3"") 을 가지고,
    상기 방법은,
    - 상기 방화벽 (3, 3', 3", 3"") 의 구성을 상기 보안 조치들의 분배에 매칭 (34) 하는 추가 단계를 포함하는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  8. 제 1 항 내지 제 7 항 중 어느 한 항에 있어서,
    상기 방법은 생산 종료시, 소프트웨어 업데이트 이후에, 보안 갭들의 발현 이후에 또는 상기 통신 가입자를 교체 또는 업데이트할 때, 한 번 실행되는 것을 특징으로 하는 자동차에서의 통신 네트워크를 위한 방법.
  9. 자동차 제어 디바이스용 전자 모니터링 유닛으로서,
    상기 자동차 제어 디바이스는 제 1 항 내지 제 8 항 중 어느 한 항에 기재된 방법을 실행하도록 설계되는 것을 특징으로 하는 자동차 제어 디바이스용 전자 모니터링 유닛.
KR1020197014363A 2016-11-18 2017-11-17 통신 네트워크를 위한 방법 및 전자 제어 유닛 KR102227933B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102016222740.8A DE102016222740A1 (de) 2016-11-18 2016-11-18 Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit
DE102016222740.8 2016-11-18
PCT/EP2017/079584 WO2018099736A1 (de) 2016-11-18 2017-11-17 Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit

Publications (2)

Publication Number Publication Date
KR20190065440A true KR20190065440A (ko) 2019-06-11
KR102227933B1 KR102227933B1 (ko) 2021-03-12

Family

ID=60473512

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197014363A KR102227933B1 (ko) 2016-11-18 2017-11-17 통신 네트워크를 위한 방법 및 전자 제어 유닛

Country Status (7)

Country Link
US (1) US11019102B2 (ko)
EP (1) EP3542511B1 (ko)
JP (1) JP6782842B2 (ko)
KR (1) KR102227933B1 (ko)
CN (1) CN109863732B (ko)
DE (1) DE102016222740A1 (ko)
WO (1) WO2018099736A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7316609B2 (ja) * 2017-01-05 2023-07-28 ガードノックス・サイバー・テクノロジーズ・リミテッド サービス指向アーキテクチャに基づく集中化サービスecuおよびその使用方法
KR20200142945A (ko) * 2019-06-14 2020-12-23 현대자동차주식회사 자동차 및 그를 위한 사용자 설정 메뉴 관리 방법
DE102019210230A1 (de) * 2019-07-10 2021-01-14 Robert Bosch Gmbh Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
CN112347047A (zh) * 2019-08-09 2021-02-09 广州汽车集团股份有限公司 一种车辆数据文件生成方法及装置
JP7115442B2 (ja) * 2019-08-21 2022-08-09 トヨタ自動車株式会社 判定装置、判定システム、プログラム及び判定方法
FR3106421B1 (fr) * 2020-01-17 2021-12-10 Continental Automotive Passerelle de communication de trames de données pour véhicule automobile
CN114465889A (zh) * 2022-01-07 2022-05-10 东风柳州汽车有限公司 一种车辆配置的切换方法
CN114866344B (zh) * 2022-07-05 2022-09-27 佛山市承林科技有限公司 信息系统数据安全防护方法、系统及云平台

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150073176A (ko) * 2012-10-17 2015-06-30 타워-섹 리미티드 차량에 대한 공격의 검출 및 예방을 위한 디바이스
EP2892199A1 (en) * 2014-01-06 2015-07-08 Argus Cyber Security Ltd. Global automotive safety system

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6161071A (en) * 1999-03-12 2000-12-12 Navigation Technologies Corporation Method and system for an in-vehicle computing architecture
JP2000293493A (ja) 1999-04-02 2000-10-20 Nec Corp セキュリティチェックの分散処理方法及びその装置並びに情報記録媒体
JP2000330897A (ja) * 1999-05-17 2000-11-30 Nec Corp ファイアウォール負荷分散システム、ファイアウォール負荷分散方法および記録媒体
JP4124948B2 (ja) 2000-08-25 2008-07-23 三菱電機株式会社 移動体電子装置
AUPS339102A0 (en) 2002-07-04 2002-08-01 Three Happy Guys Pty Ltd Method of monitoring volumes of data between multiple terminals and an external communication network
JP4116920B2 (ja) 2003-04-21 2008-07-09 株式会社日立製作所 分散型サービス不能攻撃を防ぐネットワークシステム
DE102005046935B4 (de) 2005-09-30 2009-07-23 Nokia Siemens Networks Gmbh & Co.Kg Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Zuweisen einer Schutzvorrichtung
US7966654B2 (en) * 2005-11-22 2011-06-21 Fortinet, Inc. Computerized system and method for policy-based content filtering
DE102011077409A1 (de) 2011-06-10 2012-12-13 Robert Bosch Gmbh Verbindungsknoten für ein Kommunikationsnetz
CN103139184B (zh) 2011-12-02 2016-03-30 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
US8914406B1 (en) * 2012-02-01 2014-12-16 Vorstack, Inc. Scalable network security with fast response protocol
US9288048B2 (en) * 2013-09-24 2016-03-15 The Regents Of The University Of Michigan Real-time frame authentication using ID anonymization in automotive networks
CN104908781B (zh) * 2015-05-27 2018-04-27 中国铁路总公司 一种集成化电务监测维护系统
WO2017024078A1 (en) * 2015-08-03 2017-02-09 Icon Labs A method for detecting, blocking and reporting cyber-attacks against automotive electronic control units
WO2017032957A1 (en) * 2015-08-21 2017-03-02 Renesas Electronics Europe Limited Design support system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150073176A (ko) * 2012-10-17 2015-06-30 타워-섹 리미티드 차량에 대한 공격의 검출 및 예방을 위한 디바이스
EP2892199A1 (en) * 2014-01-06 2015-07-08 Argus Cyber Security Ltd. Global automotive safety system

Also Published As

Publication number Publication date
CN109863732A (zh) 2019-06-07
US20190245890A1 (en) 2019-08-08
EP3542511A1 (de) 2019-09-25
CN109863732B (zh) 2022-02-25
JP6782842B2 (ja) 2020-11-11
EP3542511B1 (de) 2021-11-17
DE102016222740A1 (de) 2018-05-24
KR102227933B1 (ko) 2021-03-12
WO2018099736A9 (de) 2019-05-16
JP2020500374A (ja) 2020-01-09
US11019102B2 (en) 2021-05-25
WO2018099736A1 (de) 2018-06-07

Similar Documents

Publication Publication Date Title
KR102227933B1 (ko) 통신 네트워크를 위한 방법 및 전자 제어 유닛
EP3226508B1 (en) Attack packet processing method, apparatus, and system
JP5610247B2 (ja) ネットワークシステム、及びポリシー経路設定方法
US9032504B2 (en) System and methods for an alternative to network controller sideband interface (NC-SI) used in out of band management
US11314614B2 (en) Security for container networks
Li et al. Detecting saturation attacks based on self-similarity of OpenFlow traffic
WO2012030530A1 (en) Detecting botnets
CN107612890B (zh) 一种网络监测方法及系统
US11038912B2 (en) Method of selecting the most secure communication path
US11533388B2 (en) Method and device for analyzing service-oriented communication
EP2600566A1 (en) Unauthorized access blocking control method
CN111147519A (zh) 数据检测方法、装置、电子设备和介质
CN110691139B (zh) 一种数据传输方法、装置、设备及存储介质
Almaini et al. Delegation of authentication to the data plane in software-defined networks
CN112217783A (zh) 用于在通信网络中的攻击识别的设备和方法
Koyama et al. SOME/IP intrusion detection system using real-time and retroactive anomaly detection
CN105812274B (zh) 一种业务数据的处理方法和相关设备
KR102046612B1 (ko) Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법
CN112217779A (zh) 用于分析面向服务的通信的方法和设备
CN103688508A (zh) 报文识别方法和防护设备
EP3921988B1 (en) Detecting short duration attacks on connected vehicles
Purohit et al. The Impact of ICMP Attacks in Software-Defined Network Environments
US20220311747A1 (en) Method and system for securing connections to iot devices
Liu et al. Community Cleanup: Incentivizing Network Hygiene via Distributed Attack Reporting
EP2940944B1 (en) Method and device for processing packet in trill network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant