RU2712138C2 - Способ, система и электронный блок управления для предотвращения спуфинга в автомобильной сети - Google Patents

Способ, система и электронный блок управления для предотвращения спуфинга в автомобильной сети Download PDF

Info

Publication number
RU2712138C2
RU2712138C2 RU2016117388A RU2016117388A RU2712138C2 RU 2712138 C2 RU2712138 C2 RU 2712138C2 RU 2016117388 A RU2016117388 A RU 2016117388A RU 2016117388 A RU2016117388 A RU 2016117388A RU 2712138 C2 RU2712138 C2 RU 2712138C2
Authority
RU
Russia
Prior art keywords
electronic control
control unit
message
bus
address
Prior art date
Application number
RU2016117388A
Other languages
English (en)
Other versions
RU2016117388A3 (ru
RU2016117388A (ru
Inventor
Джеймс Мартин ЛОЛИС
Original Assignee
ФОРД ГЛОУБАЛ ТЕКНОЛОДЖИЗ, ЭлЭлСи
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ФОРД ГЛОУБАЛ ТЕКНОЛОДЖИЗ, ЭлЭлСи filed Critical ФОРД ГЛОУБАЛ ТЕКНОЛОДЖИЗ, ЭлЭлСи
Publication of RU2016117388A publication Critical patent/RU2016117388A/ru
Publication of RU2016117388A3 publication Critical patent/RU2016117388A3/ru
Application granted granted Critical
Publication of RU2712138C2 publication Critical patent/RU2712138C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24024Safety, surveillance

Abstract

Изобретение относится к защите электронных систем авто. В способе предотвращения спуфинга в автомобильной сети хранят адрес первого электронного блока управления транспортного средства и обнаруживают сообщение от множества вторых электронных блоков управления по шине связи. Исходящий адрес сообщения соответствует адресу электронного блока управления. Определяют, что упомянутое сообщение передавали с помощью источника, отличного от электронного блока управления и что этот источник является исходящим спуфинговым устройством. Генерируют и передают сообщение отрицательного квитирования (NACK) модулю по шине связи, передающее команду множеству вторых электронных блоков управления не предпринимать никаких действий по упомянутому сообщению. Приводят исходящее спуфинговое устройство в состояние отключения от шины после приема предварительно определенного числа NACK. Состояние отключения от шины представляет собой удаление исходящего спуфингового устройства из шины связи. Повышается защита от несанкционированного доступа. 3 н. и 15 з.п. ф-лы, 3 ил.

Description

Область техники
[0001] Настоящее изобретение относится к защите электронных систем автомобиля от несанкционированного доступа.
Уровень техники
Современный автомобиль обычно имеет много, например, вплоть до семидесяти, электронных блоков управления (ЭБУ) для различных систем и подсистем. Наиболее мощным ЭБУ в отношении мощности обработки обычно является блок управления двигателем. Другие ЭБУ используются для трансмиссии, подушек безопасности, антиблокировочного торможения/ABS, круиз-контроля, рулевого управления с электроусилителем, аудиосистем, электростеклоподъемников, дверей, регулировки зеркал, аккумуляторной батареи и систем перезарядки для гибридных и электрических автомобилей и т.д. Некоторые из этих ЭБУ образуют независимые подсистемы, но, тем не менее, связи между ЭБУ являются в общем необходимыми.
[0002] Был разработан стандарт шины локальной сети контроллеров (CAN), и он хорошо известен тем, что позволяет микроконтроллерам, таким как в ЭБУ и других устройствах в транспортном средстве, осуществлять связь друг с другом в приложениях без главного компьютера. CAN представляет собой протокол на основе сообщений, спроектированный изначально для автомобильных приложений, но также используется во многих других контекстах. Шина CAN использует последовательную связь для отправки и приема сообщений. Последовательная связь относится к процессу отправки данных по одному биту за единицу времени последовательно по каналу связи, такому как шина связи транспортного средства.
[0003] Спуфинг (доступ путем обмана, spoofing) представляет собой ситуацию, в которой вычислительная единица и/или программа успешно маскируется под другую путем фальсификации данных, и тем самым получая незаконный доступ к системе или сети. Спуфинг сообщения по шине связи транспортного средства обычно включает в себя маскировку под модуль ЭБУ и размещение сообщений на шине связи транспортного средства так, как если бы маскирующийся модуль ЭБУ был законным источником сообщения. Маскирующийся модуль ЭБУ может отправлять сообщения на шину. Приемные модули на шине могут действовать в соответствии с сообщениями, не зная их истинного источника. Последствия транспортного средства, действующего в соответствии с обманными (спуфинговыми) сообщениями, могут быть серьезными.
Краткое изложение существа изобретения
Согласно одному аспекту изобретения предложен способ предотвращения спуфинга в автомобильной сети, причем способ содержит этапы, на которых: хранят по меньшей мере один адрес первого электронного блока управления транспортного средства; обнаруживают по меньшей мере одно сообщение от множества вторых электронных блоков управления по шине связи транспортного средства, причем по меньшей мере одно сообщение имеет исходящий адрес, который соответствует по меньшей мере одному адресу электронного блока управления; определяют, что упомянутое по меньшей мере одно сообщение передавали с помощью источника, отличного от электронного блока управления; и генерируют и передают сообщение отрицательного квитирования (NACK) по меньшей мере одному модулю на шине в автомобильной сети, передающее команду множеству вторых электронных блоков управления не предпринимать никаких действий по упомянутому по меньшей мере одному сообщению.
Согласно одному варианту осуществления способа обнаружение выполняют с помощью программы контроля, исполняемой процессором электронного блока управления.
Согласно другому варианту осуществления способа обнаружение выполняют с помощью матрицы дискретных логических вентилей.
Согласно другому варианту осуществления способа шина связи транспортного средства является частью сети транспортного средства, которая включает в себя беспроводную сеть.
Согласно другому варианту осуществления способ дополнительно содержит этап, на котором приводят злоумышленника в состояние отключения от шины после приема предварительно определенного числа NACK.
Согласно другому варианту осуществления способа по меньшей мере одно сообщение включает в себя данные датчика.
Согласно другому варианту осуществления способа электронный блок управления определяет, что по меньшей мере одно сообщение передавали с помощью источника, отличного от электронного блока управления, с помощью контроля по меньшей мере одного передаваемого сообщения электронного блока управления.
Согласно другому варианту осуществления способа по меньшей мере один адрес электронного блока управления является динамическим.
Согласно другому аспекту изобретения предложена система для предотвращения спуфинга в автомобильной сети, содержащая: электронный блок управления, включающий в себя процессор; приложение, исполняемое процессором, причем приложение выполнено с возможностью осуществления: обнаружения по меньшей мере одного сообщения от множества электронных блоков управления по шине в автомобильной сети, и причем по меньшей мере одно сообщение имеет исходящий адрес, который соответствует по меньшей мере одному адресу электронного блока управления; определения, что упомянутое по меньшей мере одно сообщение было передано с помощью источника, отличного от электронного блока управления; и генерации и передачи сообщения NACK по меньшей мере одному модулю на шине в автомобильной сети, передающего команду множеству электронных блоков управления не предпринимать никаких действий по упомянутому по меньшей мере одному сообщению.
Согласно одному варианту осуществления системы автомобильная сеть представляет собой беспроводную сеть.
Согласно другому варианту осуществления система дополнительно содержит приведение злоумышленника в состояние отключения от шины после приема предварительно определенного числа NACK.
Согласно другому варианту осуществления системы сообщения передаются в ответ на датчик.
Согласно другому варианту осуществления системы приложение определяет по меньшей мере один адрес электронного блока управления с помощью контроля по меньшей мере одного передаваемого сообщения электронного блока управления.
Согласно другому варианту осуществления системы по меньшей мере один адрес электронного блока управления является динамическим.
Согласно еще одному аспекту изобретения предложен компьютерный программный продукт для предотвращения спуфинга в автомобильной сети, причем компьютерный программный продукт содержит некратковременный компьютерный носитель данных, имеющий инструкции, реализованные в нем, которые при исполнении процессором электронного блока управления предписывают электронному блоку управления осуществлять: обнаружение по меньшей мере одного сообщения от множества электронных блоков управления по шине в автомобильной сети, и причем по меньшей мере одно сообщение имеет исходящий адрес, который соответствует по меньшей мере одному адресу электронного блока управления; определение, что упомянутое по меньшей мере одно сообщение было передано источником, отличным от электронного блока управления; и генерацию и передачу сообщения NACK по меньшей мере одному модулю на шине в автомобильной сети, передающего команду множеству электронных блоков управления не предпринимать никаких действий по упомянутому по меньшей мере одному сообщению.
Согласно одному варианту осуществления компьютерного программного продукта автомобильная сеть представляет собой беспроводную сеть.
Согласно другому варианту осуществления компьютерного программного продукта автомобильная сеть соединена с телематическим блоком.
Согласно другому варианту осуществления компьютерного программного продукта сообщения передаются в ответ на датчик.
Согласно другому варианту осуществления компьютерный программный продукт определяет по меньшей мере один адрес электронного блока управления с помощью контроля по меньшей мере одного передаваемого сообщения электронного блока управления.
Согласно другому варианту осуществления компьютерного программного продукта по меньшей мере один адрес электронного блока управления является динамическим.
Краткое описание чертежей
[0004] Фигура 1 представляет собой блок-схему примерной системы антиспуфинга шины транспортного средства.
[0005] Фигура 2 представляет собой вид, показывающий примерный кадр последовательного протокола связи.
[0006] Фигура 3 представляет собой блок-схему процесса, иллюстрирующую примерный процесс для системы на Фигуре 1.
Подробное описание
[0007] Фигура 1 представляет собой блок-схему примерной системы 100 антиспуфинга шины транспортного средства. Датчик 111 соединен с электронным блоком 102 управления (ЭБУ), например, известным образом. ЭБУ 102 имеет контроллер 104, который находится в связи с контроллером 106 связи. Контроллер 106 связи соединен с модулем 108 антиспуфинга. Модуль 108 антиспуфинга коммуникативно связан с коммуникационным приемопередатчиком 110. Коммуникационный приемопередатчик 110, в свою очередь, коммуникативно связан с шиной 101 автомобильной сети. Шина 101 имеет оконечный резистор 103 полного сопротивления на каждом конце шины 101.
[0008] Контроллер 104 может включать в себя один или более процессоров, таких как микропроцессоры или микроконтроллеры. Контроллер 104 также может иметь память, такую как постоянное запоминающее устройство (ROM), для хранения инструкций, подлежащих исполнению процессором, и память с произвольным доступом (RAM) для временного хранения данных или сохранения информации регистра. ЭБУ 102 может использовать микропроцессоры для обработки показания датчика от датчика 111 (например, датчиков двигателя, таких как датчики впрыска топлива, устройств отсчета времени, датчиков кислорода, датчиков охлаждающей жидкости, датчиков впуска воздуха и т.д.) и, в ответ, передачи этой информации другим компонентам транспортного средства, таким как ЭБУ 112, ЭБУ 114 и ЭБУ 116 или устройствам, например, подсветкам приборов, подсветкам транспортного средства, гудкам и т.п. в транспортном средстве согласно их соответственным функциям. Каждый ЭБУ должен иметь уникальный адрес при соединении с шиной 101 для исключения путаницы. Например, ЭБУ 102, ЭБУ 112, ЭБУ 114 и ЭБУ 116 могут иметь уникальные шестнадцатеричные адреса ЭБУ 1A0h, 2B0h, 3AFh и 008h соответственно.
[0009] Контроллер 106 связи может представлять собой, например, контроллер локальной сети контроллеров (CAN) и часто представляет собой целую часть процессора контроллера 104. Контроллер 104 связи может содержать процессор для исполнения инструкций. При приеме данных контроллер 106 связи хранит принятые последовательные биты, которые он принимает от шины 101, до тех пор, пока все сообщение не станет доступным. Сообщение может далее извлекаться процессором контроллера 104. Контроллер связи может запускать прерывание в процессоре контроллера 104, оповещающее процессор о том, что было принято новое сообщение. При отправке данных процессор контроллера 104 отправляет сообщения, подлежащие размещению на шине 101, с помощью контроллера 106 связи.
[0010] Модуль 108 антиспуфинга расположен между контроллером 106 связи и коммуникационным приемопередатчиком 110. Функциональность модуля антиспуфинга может быть осуществлена в аппаратном обеспечении, программном обеспечении или их сочетании. Примеры осуществления модуля 108 антиспуфинга рассмотрены ниже. При работе модуль 108 антиспуфинга контролирует шину 101 с помощью коммуникационного приемопередатчика 110 и обнаруживает, когда принятое сообщение по шине 101 имеет исходящий адрес, который соответствует выходному адресу ЭБУ 102, и принятое сообщение не отправлялось ЭБУ 102. Модуль 108 антиспуфинга будет немедленно отправлять последовательность из шести последовательных доминантных битов шине 101 с помощью коммуникационного приемопередатчика 110 до того, как спуфинговое сообщение сможет завершиться, таким образом, отвергая спуфинговое сообщение (дополнительно рассмотрено ниже). Шесть битов содержат «Активный флаг ошибки» согласно стандарту шины CAN, который представляет собой активный флаг ошибки и образует сообщение отрицательного квитирования (NACK) от ЭБУ 102, информируя любые модули на шине 101 о том, что было принято спуфинговое сообщение. Предпочтительно, сообщение NACK ЭБУ 102 будет заставлять модули на шине 101 игнорировать это спуфинговое сообщение.
[0011] Как известно, передачи данных шины CAN используют способ побитового арбитража без потерь для устранения конфликтов. Этот способ арбитража требует синхронизации всех узлов в сети CAN для отбора каждого бита в сети CAN по существу одновременно. Спецификации CAN используют термины «доминантные» биты и «рецессивные» биты следующим образом. Доминантный представляет собой логический 0 (активно приводимый к напряжению передатчиком), а рецессивный представляет собой логическую 1 (пассивно возвращаемую к напряжению резистором). Состояние простоя представлено рецессивным уровнем (логическая 1). Если один узел передает доминантный бит, а другой узел передает рецессивный бит, в этом случае происходит коллизия, и доминантный бит «побеждает». Это значит, что отсутствует задержка до сообщения более высокого приоритета, и узел, передающий сообщение более низкого приоритета, автоматически пытается повторно передавать шестибитные тактовые циклы после окончания доминантного сообщения. Это делает CAN весьма пригодной в качестве системы связи с приоритетами в реальном времени.
[0012] Фигура 2 представляет собой временную диаграмму кадра 10 данных последовательной шины связи. Столбцы представляют различные поля в кадре 10 данных. Состояния данных Логическая 1 (Рецессивный) и Логический 0 (Доминантный) представлены по оси y вместе с числом битов для каждого столбца. Кадр 10 данных отделен от предыдущих кадров битовым полем, называемым межкадровым пространством 16. Межкадровое пространство 16 состоит из по меньшей мере трех последовательных рецессивных (1) битов. Если доминантный бит (0) обнаружен после межкадрового пространства 16, он будет рассматриваться в качестве начала бита 18 кадра. Следующий столбец представляет собой поле 20 арбитража, состоящее из 11 битов, и будет рассмотрен ниже. После поля 20 арбитража представлено поле 22 управления, состоящее из четырех битов, которое указывает на число байтов в поле 24 данных. Поле 24 данных содержит отправляемые данные и может составлять от нуля до восьми байтов по длине. Поле 26 CRC представляет собой 16-битное поле циклического избыточного кода для обнаружения любых данных и исправления ошибок данных. Исправление CRC составляет пятнадцать битов, при этом шестнадцатый бит является рецессивным (1) битом. Поле 28 подтверждения составляет два бита. Поле 30 конца кадра составляет семь рецессивных (1) битов и используется для обозначения конца кадра 10 данных.
[0013] Поле 20 арбитража аналогично полю адреса, но так как шина CAN является полуасинхронной, любой ЭБУ на шине может передавать в любой момент времени, что может вызывать проблемы конфликта на шине. Некоторым ЭБУ будет необходимо иметь приоритет над другими модулями. Например, ЭБУ тормозной системы будет необходимо иметь приоритет над развлекательным ЭБУ. Будет использоваться способ побитового арбитража устранения конфликтов, рассмотренный выше, и ЭБУ тормозной системы будет присвоен адрес шины с более низким числовым значением. Так как значение адресов более низкого порядка является доминирующим над более высоким значением адресов, ЭБУ тормозной системы будет доминировать над развлекательным ЭБУ.
[0014] При приеме данных от шины 101 коммуникационный приемопередатчик 110 преобразует и накапливает уровни сигнала потока данных от шины 101 до уровней сигнала, которые у модуля 108 антиспуфинга. При передаче коммуникационный приемопередатчик 110 преобразует поток данных от модуля 108 антиспуфинга до уровней шины 101. Например, уровни сигнала на шине CAN могут находиться в диапазоне от -3 Вольт до +32 Вольт, и контроллер модуля 108 антиспуфинга может применять TTL логику (транзисторно-транзисторную логику) и может быть способен обрабатывать колебание напряжения не более чем от 0 до +5 Вольт. Коммуникационный приемопередатчик 110, например, приемопередатчик CAN, будет преобразовывать передаваемые и принимаемые сигналы данных в подходящие уровни напряжения сигнала. В дополнение, приемопередатчик CAN должен быть способен подавлять любые временные всплески напряжения от -150 Вольт до +100 Вольт.
[0015] Шина 101 может быть осуществлена с использованием любого пригодного типа конфигурации сети. Например, в одном варианте выполнения шина 101 может работать с использованием стандартных протоколов, таких как протоколы локальной сети контроллеров (CAN). В качестве не ограничивающих примеров, шина 101 может быть осуществлена в виде одного провода или может представлять собой два провода (например, витую пару), которые передают сообщения от одного ЭБУ другому ЭБУ и другим требуемым компонентам транспортного средства. В других не ограничивающих примерах шина 101 может быть осуществлена с использованием коаксиального кабеля или оптоволоконного кабеля или может быть осуществлена по беспроводной связи с использованием радиочастотной сигнализации. Дополнительно, шина 101 может быть осуществлена с использованием любой пригодной топологии сети, известной в уровне техники, такой как топология от точки к точке, звезда, шина, кольцо, сетка, дерево, цепочка и т.д.
[0016] Шина 101 также может быть соединена с телематическим блоком, чтобы разрешать внешним ЭБУ соединяться с шиной 101 внутренней сети транспортного средства по телекоммуникационной связи. Телематический блок, который известен, может отправлять, принимать и хранить информацию с помощью телекоммуникационных устройств в отношении различных компонентов транспортного средства, таких как датчики, контрольно-измерительные приборы, статус и связи беспроводной сети, дорожные условия, дорожная безопасность и т.д.
[0017] В одном примере модуль 108 антиспуфинга может быть осуществлен с помощью матрицы дискретных логических вентилей. Адрес ЭБУ может быть аппаратно включен в модуль 108 антиспуфинга, и когда принятый адрес соответствует адресу передачи ЭБУ, логический контур может отправлять сообщение NACK, заставляя любые модули на шине 101 игнорировать спуфинговое сообщение. Логический вентиль, который известен, представляет собой элементарный компоновочный блок цифрового контура.
[0018] Согласно другому примеру, программируемое логическое устройство (PLD), программируемая пользователем вентильная матрица (FPGA) или встроенный контроллер могут использоваться в качестве модуля 108 антиспуфинга. PLD представляет собой электронный компонент, используемый для компоновки реконфигурируемых цифровых контуров, которые известны. В отличие от логического вентиля, который имеет фиксированную функцию, PLD имеет неопределенную функцию в момент изготовления. До того, как PLD может использоваться в контуре, оно должно быть запрограммировано с помощью требуемой логической схемы. Например, PLD может быть запрограммировано с возможностью имитации дискретных логических вентилей, которые описаны выше. FPGA содержат матрицу программируемых логических блоков и иерархию реконфигурируемых межсоединений, которые позволяют блокам «соединяться проводами вместе». Логические блоки могут быть выполнены с возможностью выполнения сложных комбинационных функций или всего лишь простых логических вентилей, подобных и исключающее ИЛИ. Встроенный контроллер представляет собой микроконтроллер в системе, который обрабатывает различные задачи системы, которые не обрабатывает операционная система.
[0019] В еще одном примере процессор в ЭБУ 102 может выполнять программирование для контроля адресов на шине 101. Если программа контроля обнаруживает, что входящее сообщение на шине 101 имеет такой же адрес, что и выходной адрес ЭБУ 102, и ЭБУ 102 не отправляло сообщение, программа контроля может в этом случае отправлять сообщение NACK шине 101 и заставлять другие модули на шине 101 игнорировать спуфинговое сообщение.
[0020] В некоторых примерах адрес ЭБУ 102 является динамическим и будет изменяться время от времени. В связи с этим преимущество использования встроенного контроллера или процессора ЭБУ 102 заключается в том, что он может быть запрограммирован с возможностью узнавания адресов ЭБУ 102 по мере их изменения. Например, процессор контроллера 104 может исполнять код для контроля выходных возникших сообщений ЭБУ 102 и хранения выходных адресов ЭБУ 102 в памяти и далее помещения выходных адресов ЭБУ 102 в модуль 108 антиспуфинга.
[0021] Признак ЭБУ 102, отправляющего сообщения NACK для уведомления устройств на шине 101 для игнорирования спуфинговых сообщений, заключается в том, что злоумышленник будет отключен от шины 101 повторяющимися NACK. Например, злоумышленник отправляет последовательность спуфинговых сообщений, ЭБУ 101 обнаруживает спуфинговые сообщения и реагирует с помощью NACK. После порогового числа NACK исходящий контроллер шины CAN спуфингового устройства будет входить в состояние отключения от шины, удаляя исходящее спуфинговое устройство из шины 101. В состоянии отключения от шины узлу не разрешено осуществлять связь по шине. Например, стандарт шины CAN ISO 11898-1:2003 разрешает счет ошибок передачи (NACK), равный 256, до приведения контроллера CAN спуфингового устройства в состояние отключения от шины.
[0022] Фигура 3 представляет собой блок-схему процесса, иллюстрирующую примерный процесс 200 для модуля 108 антиспуфинга, который может быть выполнен в аппаратном обеспечении или программном обеспечении.
[0023] Процесс 200 начинается на этапе 210, в котором адрес ЭБУ 102 загружают в модуль антиспуфинга. Например, ЭБУ 102 может иметь шестнадцатеричный адрес 1A0h, который далее загружают в модуль 108 антиспуфинга. Далее на этапе 220 трафик по шине 101 контролируют на предмет любых принятых спуфинговых сообщений, например, принятое сообщение имеет исходящий адрес 1A0h, такой же, как ЭБУ 102. Далее на этапе 230 выполняют определение, было ли принято одно такое сообщение. Если спуфинговое сообщение не принято на этапе 230, модуль антиспуфинга будет возвращаться к этапу 220. Если спуфинговое сообщение было принято, далее на этапе 240 отправляют сообщение NACK по шине 101, указывающее на возникновение ошибки. Далее на этапе 250 модули на шине 101 будут игнорировать это спуфинговое сообщение. После этапа 250 процесс 200 заканчивается. Альтернативно или дополнительно, процесс 200 может возвращаться к этапу 200 для продолжения контроля трафика шины 200.
[0024] Как используется в материалах настоящей заявки, наречие «по существу», уточняющее прилагательное, означает, что форма, конструкция, измерение, значение, вычисление, отсчет времени и т.д. могут отклоняться от точно описанной геометрии, расстояния, измерения, значения, вычисления, отсчета времени и т.д. из-за несовершенств материалов, механической обработки, изготовления, измерений датчиков, вычислений, времени обработки, времени связи и т.д.
[0025] В общем каждое из вычислительных устройств, таких как вычислительные устройства, рассмотренные в материалах настоящей заявки, включает в себя инструкции, исполняемые одним или более вычислительными устройствами, такие как инструкции, идентифицированные выше, и для выполнения блоков или этапов процессов, описанных выше. Исполняемые компьютером инструкции могут компилироваться или интерпретироваться на основе компьютерных программ, создаваемых с использованием множества языков и/или технологий программирования, включающих в себя, без ограничения, и либо по отдельности, либо в совокупности, Java™, C, C++, C#, Visual Basic, Java Script, Perl, HTML, PHP и т.д. В общем процессор (например, микропроцессор) принимает инструкции, например, из памяти, считываемого компьютером носителя и т.д., и исполняет эти инструкции, тем самым выполняя один или более процессов, включающих в себя один или более из процессов, описанных в материалах настоящей заявки. Такие инструкции и другие данные могут храниться и передаваться с использованием множества считываемых компьютером сред. Файл в вычислительном устройстве в общем представляет собой совокупность данных, хранящихся в считываемом компьютером носителе, таком как носитель данных, память с произвольным доступом и т.д.
[0026] Считываемый компьютером носитель включает в себя любой носитель, который участвует в обеспечении данных (например, инструкций), который может считываться компьютером. Такой носительможет принимать многие формы, включающие в себя, но не ограниченные ими, энергонезависимые носители, энергозависимые носители и т.д. Энергонезависимые носители включают в себя, например, оптические или магнитные диски и другую постоянную память. Энергозависимые носители включают в себя динамическую память с произвольным доступом (DRAM), которая обычно образует основную память. Общие формы считываемых компьютером носителей включают в себя, например, флоппи-диск, гибкий диск, жесткий диск, магнитную ленту, любую другую магнитную среду, CD-ROM, DVD, любую другую оптическую среду, перфокарты, бумажную ленту, любую другую физическую среду со схемами отверстий, RAM, PROM, EPROM, FLASH-EEPROM, любую другую микросхему или картридж памяти или любой другой носитель, с которого компьютер может считывать.
[0027] В отношении носителей, процессов, систем, способов и т.д., описанных в материалах настоящей заявки, следует понимать, что, несмотря на то, что этапы таких процессов и т.д. были описаны как происходящие согласно определенной упорядоченной последовательности, такие процессы могут быть осуществлены на практике с описанными этапами, выполняемыми в порядке, отличном от порядка, описанного в материалах настоящей заявки. Дополнительно следует понимать, что определенные этапы могут выполняться одновременно, что могут быть добавлены другие этапы, или что определенные этапы, описанные в материалах настоящей заявки, могут быть исключены. Другими словами, описания систем и/или процессов в материалах настоящей заявки обеспечены с целью иллюстрации определенных вариантов выполнения, и никоим образом не должны истолковываться так, чтобы ограничивать изложенный объект изобретения.
[0028] Соответственно, следует понимать, что вышеуказанное описание предназначено быть иллюстративным, а не ограничительным. Многие варианты выполнения и применения, отличные от обеспеченных примеров, будут ясны специалисту в данной области техники при прочтении вышеуказанного описания. Объем охраны изобретения следует определять не со ссылкой на вышеуказанное описание, но вместо этого следует определять со ссылкой на формулу изобретения, прилагаемую к настоящему документу и/или включенную в обычную заявку на патент, основанную на этом документе, вместе с полным объемом эквивалентов, на которые такая формула изобретения имеет право. Предполагается и подразумевается, что последующие разработки будут возникать в уровнях техники, рассмотренных в материалах настоящей заявки, и что раскрытые системы и способы будут включены в такие последующие варианты выполнения. В общем следует понимать, что раскрытый объект изобретения способен к преобразованию и изменению.

Claims (36)

1. Способ предотвращения спуфинга в автомобильной сети, причем способ содержит этапы, на которых:
хранят по меньшей мере один адрес первого электронного блока управления транспортного средства;
обнаруживают по меньшей мере одно сообщение от множества вторых электронных блоков управления по шине связи транспортного средства, причем по меньшей мере одно сообщение имеет исходящий адрес, который соответствует по меньшей мере одному адресу электронного блока управления;
определяют, что упомянутое по меньшей мере одно сообщение передавали с помощью источника, отличного от электронного блока управления;
определяют, что упомянутый источник, отличный от электронного блока управления, является исходящим спуфинговым устройством;
генерируют и передают сообщение отрицательного квитирования (NACK) по меньшей мере одному модулю по шине связи транспортного средства в автомобильной сети, передающее команду множеству вторых электронных блоков управления не предпринимать никаких действий по упомянутому по меньшей мере одному сообщению; и
приводят исходящее спуфинговое устройство в состояние отключения от шины после приема предварительно определенного числа NACK, причем состояние отключения от шины представляет собой удаление исходящего спуфингового устройства из шины связи транспортного средства.
2. Способ по п.1, в котором обнаружение выполняют с помощью программы контроля, исполняемой процессором электронного блока управления.
3. Способ по п.1, в котором обнаружение выполняют с помощью матрицы дискретных логических вентилей.
4. Способ по п.1, причем шина связи транспортного средства является частью сети транспортного средства, которая включает в себя беспроводную сеть.
5. Способ по п.1, в котором по меньшей мере одно сообщение включает в себя данные датчика.
6. Способ по п.1, в котором электронный блок управления определяет, что по меньшей мере одно сообщение передавали с помощью источника, отличного от электронного блока управления, с помощью контроля по меньшей мере одного передаваемого сообщения электронного блока управления.
7. Способ по п.1, в котором по меньшей мере один адрес электронного блока управления является динамическим.
8. Система для предотвращения спуфинга в автомобильной сети, содержащая:
электронный блок управления, включающий в себя аппаратный процессор;
приложение, исполняемое процессором, причем приложение выполнено с возможностью осуществления:
обнаружения по меньшей мере одного сообщения от множества электронных блоков управления по шине в автомобильной сети, и причем по меньшей мере одно сообщение имеет исходящий адрес, который соответствует по меньшей мере одному адресу электронного блока управления;
определения, что упомянутое по меньшей мере одно сообщение было передано с помощью источника, отличного от электронного блока управления;
определения, что упомянутый источник, отличный от электронного блока управления, является исходящим спуфинговым устройством;
генерации и передачи сообщения отрицательного квитирования (NACK) по меньшей мере одному модулю по шине связи транспортного средства в автомобильной сети, передающего команду множеству электронных блоков управления не предпринимать никаких действий по упомянутому по меньшей мере одному сообщению; и
приведения исходящего спуфингового устройства в состояние отключения от шины после приема предварительно определенного числа NACK, причем состояние отключения от шины представляет собой удаление исходящего спуфингового устройства из шины связи транспортного средства.
9. Система по п.8, причем автомобильная сеть представляет собой беспроводную сеть.
10. Система по п.8, причем сообщения передаются в ответ на датчик.
11. Система по п.8, в которой приложение определяет по меньшей мере один адрес электронного блока управления с помощью контроля по меньшей мере одного передаваемого сообщения электронного блока управления.
12. Система по п.8, в которой по меньшей мере один адрес электронного блока управления является динамическим.
13. Электронный блок управления для предотвращения спуфинга в автомобильной сети, имеющий инструкции, реализованные в нем, которые при исполнении процессором электронного блока управления предписывают электронному блоку управления осуществлять:
обнаружение по меньшей мере одного сообщения от множества электронных блоков управления по шине в автомобильной сети, и причем по меньшей мере одно сообщение имеет исходящий адрес, который соответствует по меньшей мере одному адресу электронного блока управления;
определение, что упомянутое по меньшей мере одно сообщение было передано источником, отличным от электронного блока управления;
определение, что упомянутый источник, отличный от электронного блока управления, является исходящим спуфинговым устройством; и
генерацию и передачу сообщения отрицательного квитирования (NACK) по меньшей мере одному модулю по шине связи транспортного средства в автомобильной сети, передающего команду множеству электронных блоков управления не предпринимать никаких действий по упомянутому по меньшей мере одному сообщению; и
приведение исходящего спуфингового устройства в состояние отключения от шины после приема предварительно определенного числа NACK, причем состояние отключения от шины представляет собой удаление исходящего спуфингового устройства из шины связи транспортного средства.
14. Электронный блок управления по п.13, причем автомобильная сеть представляет собой беспроводную сеть.
15. Электронный блок управления по п.13, причем автомобильная сеть соединена с телематическим блоком.
16. Электронный блок управления по п.13, причем сообщения передаются в ответ на датчик.
17. Электронный блок управления по п.13, причем по меньшей мере один адрес электронного блока управления определяется с помощью контроля по меньшей мере одного передаваемого сообщения электронного блока управления.
18. Электронный блок управления по п.13, причем по меньшей мере один адрес электронного блока управления является динамическим.
RU2016117388A 2015-05-19 2016-05-05 Способ, система и электронный блок управления для предотвращения спуфинга в автомобильной сети RU2712138C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/715,696 2015-05-19
US14/715,696 US9531750B2 (en) 2015-05-19 2015-05-19 Spoofing detection

Publications (3)

Publication Number Publication Date
RU2016117388A RU2016117388A (ru) 2017-11-10
RU2016117388A3 RU2016117388A3 (ru) 2019-08-08
RU2712138C2 true RU2712138C2 (ru) 2020-01-24

Family

ID=57231742

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016117388A RU2712138C2 (ru) 2015-05-19 2016-05-05 Способ, система и электронный блок управления для предотвращения спуфинга в автомобильной сети

Country Status (5)

Country Link
US (1) US9531750B2 (ru)
CN (1) CN106168796B (ru)
DE (1) DE102016108923A1 (ru)
MX (1) MX2016006190A (ru)
RU (1) RU2712138C2 (ru)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016201091A1 (en) * 2015-06-10 2016-12-15 RunSafe Security, Inc. System and method for guarding a controller area network
EP3326312A4 (en) * 2015-07-22 2019-01-09 Arilou Information Security Technologies Ltd. DATA SECURITY FOR VEHICLE COMMUNICATION BUS
DE112017001236T5 (de) * 2016-03-10 2018-12-13 Honda Motor Co., Ltd. Kommunikationssystem
WO2017211424A1 (en) * 2016-06-09 2017-12-14 Telefonaktiebolaget Lm Ericsson (Publ) Multi-subscription in internet protocol multimedia subsystems
DE102017200826A1 (de) * 2017-01-19 2018-07-19 Conti Temic Microelectronic Gmbh Verfahren zum Betreiben einer Überwachungsvorrichtung eines Datennetzwerks eines Kraftfahrzeugs sowie Überwachungsvorrichtung, Steuergerät und Kraftfahrzeug
IT201700013903A1 (it) * 2017-02-08 2018-08-08 Fpt Ind Spa Metodo e sistema per contrastare un attacco informatico ad una rete dati veicolare
KR102505993B1 (ko) * 2017-06-23 2023-03-03 로베르트 보쉬 게엠베하 통신에서 이상들을 확인함으로써 차량의 통신 시스템에서 중단을 검출하기 위한 방법
US10958470B2 (en) * 2018-11-06 2021-03-23 Lear Corporation Attributing bus-off attacks based on error frames
US11140730B2 (en) * 2019-03-15 2021-10-05 Cisco Technology, Inc. Automatic provisioning of Wi-Fi connections for trailers
US11130455B2 (en) 2019-10-22 2021-09-28 Ford Global Technologies, Llc Vehicle security enhancement
EP4136873A1 (en) * 2020-04-15 2023-02-22 Xcom Labs, Inc. Wireless network multipoint association and diversity
US11271971B1 (en) 2021-03-19 2022-03-08 King Saud University Device for facilitating managing cyber security health of a connected and autonomous vehicle (CAV)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7707638B2 (en) * 2002-01-30 2010-04-27 Stmicroelectronics (Research & Development) Limited Autonomous software integrity checker
US8121624B2 (en) * 2006-07-25 2012-02-21 Alcatel Lucent Message spoofing detection via validation of originating switch
KR101434155B1 (ko) * 2012-11-30 2014-08-27 한국인터넷진흥원 이동통신망에서 ip 스푸핑으로 인한 비정상 패킷 탐지 방법
US8874926B1 (en) * 2012-03-08 2014-10-28 Sandia Corporation Increasing security in inter-chip communication
WO2015012934A2 (en) * 2013-05-04 2015-01-29 Trimble Navigation Ltd. Apparatus for verified antispoofing navigation

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030149870A1 (en) 2002-02-04 2003-08-07 Wookey Michael J. Remote services wide area network connection anti-spoofing control
EP1465038B1 (en) * 2003-04-03 2013-03-27 STMicroelectronics (Research & Development) Limited Memory security device for flexible software environment
KR100877664B1 (ko) * 2003-05-30 2009-01-12 인터내셔널 비지네스 머신즈 코포레이션 어택 검출 방법, 어택 검출 장치, 데이터 통신 네트워크, 컴퓨터 판독 가능 기록 매체 및 침입 검출 애플리케이션의 전개 방법
US7010639B2 (en) * 2003-06-12 2006-03-07 Hewlett-Packard Development Company, L.P. Inter integrated circuit bus router for preventing communication to an unauthorized port
US7962957B2 (en) * 2007-04-23 2011-06-14 International Business Machines Corporation Method and apparatus for detecting port scans with fake source address
US20100325720A1 (en) * 2009-06-23 2010-12-23 Craig Stephen Etchegoyen System and Method for Monitoring Attempted Network Intrusions
CN201736954U (zh) * 2010-07-12 2011-02-09 谢天鸽 一种车辆信息安全检测装置
US8925083B2 (en) * 2011-10-25 2014-12-30 GM Global Technology Operations LLC Cyber security in an automotive network
JP5522160B2 (ja) * 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
US20130278441A1 (en) 2012-04-24 2013-10-24 Zetta Research and Development, LLC - ForC Series Vehicle proxying
KR101371902B1 (ko) * 2012-12-12 2014-03-10 현대자동차주식회사 차량 네트워크 공격 탐지 장치 및 그 방법
EP3056394B1 (en) * 2013-10-08 2022-11-30 ICTK Holdings Co., Ltd. Vehicle security network device and design method therefor
JP6382724B2 (ja) * 2014-01-06 2018-08-29 アーガス サイバー セキュリティ リミテッド グローバル自動車安全システム
US9811660B2 (en) * 2014-06-16 2017-11-07 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Securing a shared serial bus
US9703962B2 (en) * 2014-10-09 2017-07-11 Qualcomm Incorporated Methods and systems for behavioral analysis of mobile device behaviors based on user persona information

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7707638B2 (en) * 2002-01-30 2010-04-27 Stmicroelectronics (Research & Development) Limited Autonomous software integrity checker
US8121624B2 (en) * 2006-07-25 2012-02-21 Alcatel Lucent Message spoofing detection via validation of originating switch
US8874926B1 (en) * 2012-03-08 2014-10-28 Sandia Corporation Increasing security in inter-chip communication
KR101434155B1 (ko) * 2012-11-30 2014-08-27 한국인터넷진흥원 이동통신망에서 ip 스푸핑으로 인한 비정상 패킷 탐지 방법
WO2015012934A2 (en) * 2013-05-04 2015-01-29 Trimble Navigation Ltd. Apparatus for verified antispoofing navigation

Also Published As

Publication number Publication date
CN106168796B (zh) 2021-02-02
US9531750B2 (en) 2016-12-27
CN106168796A (zh) 2016-11-30
US20160344766A1 (en) 2016-11-24
DE102016108923A1 (de) 2016-11-24
RU2016117388A3 (ru) 2019-08-08
MX2016006190A (es) 2016-11-18
RU2016117388A (ru) 2017-11-10

Similar Documents

Publication Publication Date Title
RU2712138C2 (ru) Способ, система и электронный блок управления для предотвращения спуфинга в автомобильной сети
EP3229410B1 (en) Illegality detection electronic control unit, car onboard network system, and illegality detection method
US10902109B2 (en) Misuse detection method, misuse detection electronic control unit, and misuse detection system
US11048797B2 (en) Securing vehicle bus by corrupting suspected messages transmitted thereto
US20190141070A1 (en) Anomaly detection electronic control unit, onboard network system, and anomaly detection method
US10142358B1 (en) System and method for identifying an invalid packet on a controller area network (CAN) bus
EP3148154A1 (en) Controller area network (can) device and method for controlling can traffic
EP3206361A1 (en) Controller area network (can) message filtering
CN111147437B (zh) 基于错误帧归因总线断开攻击
JP2014528187A (ja) メッセージの大きさがフレキシブルな直列データ伝送におけるデータ伝送信頼性を改善するための方法及び装置
CN112347021B (zh) 用于串行通信装置的安全模块
EP3772200B1 (en) Illicit act detection method, illicit act detection device, and program
US20200412756A1 (en) Communication control device, anomaly detection electronic control unit, mobility network system, communication control method, anomaly detection method, and recording medium
EP3772840B1 (en) A security module for a can node
US20210258187A1 (en) Electronic control device, electronic control method, and recording medium
CN112347023A (zh) 用于can节点的安全模块
CN111108725A (zh) 用于监视通信总线上的通信的方法和用于连接到通信总线的电子设备
CN108632242B (zh) 通信装置及接收装置
JP7151931B2 (ja) 中継装置、通信ネットワークシステム及び通信制御方法
EP4213448A1 (en) Controller area network module and method for the module
KR102595722B1 (ko) 통신 네트워크, 이에 연결된 노드를 식별하는 방법 및 장치
JP7100558B2 (ja) 自動車用電子制御装置
US20240097935A1 (en) Controller area network system and a method for the system
Galletti CANguru: a reliable intrusion detection system for CAN and CAN FD networks
CN115150220A (zh) 控制器局域网装置