RU2797357C2 - Improvements in vehicle data or message transmission using scalable service oriented middleware over ip communication protocol - Google Patents

Improvements in vehicle data or message transmission using scalable service oriented middleware over ip communication protocol Download PDF

Info

Publication number
RU2797357C2
RU2797357C2 RU2021131524A RU2021131524A RU2797357C2 RU 2797357 C2 RU2797357 C2 RU 2797357C2 RU 2021131524 A RU2021131524 A RU 2021131524A RU 2021131524 A RU2021131524 A RU 2021131524A RU 2797357 C2 RU2797357 C2 RU 2797357C2
Authority
RU
Russia
Prior art keywords
entity
offering
requesting
specified
service
Prior art date
Application number
RU2021131524A
Other languages
Russian (ru)
Other versions
RU2021131524A (en
Inventor
Фульвио РИССО
Фульвио ВАЛЕНЦА
Риккардо СИСТО
Марко ЙОРИО
Массимо РЕЙНЕРИ
Альберто БУТТИЛЬЕРИ
Original Assignee
Италдизайн-Джуджаро С.П.А.
Политекнико Ди Торино
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Италдизайн-Джуджаро С.П.А., Политекнико Ди Торино filed Critical Италдизайн-Джуджаро С.П.А.
Publication of RU2021131524A publication Critical patent/RU2021131524A/en
Application granted granted Critical
Publication of RU2797357C2 publication Critical patent/RU2797357C2/en

Links

Images

Abstract

FIELD: communications.
SUBSTANCE: invention relates to providing the possibility to carry out secure exchange of information in the communication network between onboard objects of a vehicle. It is achieved in that the method for transmitting messages in a data network on board a vehicle between an entity requesting a service instance and an entity offering a service instance via the SOME/IP communication protocol includes a step of mutual authentication between the requesting entity and the offering entity, taking into account transmission of data associated with the service instance, including checking for the existence and mutual validity of a pre-issued certificate between the requesting entity and the offering entity that permits access to the service instance, and verifying that the level of security at which the service is offered by the offering entity is not less than the minimum security level pre-assigned to the service by the requesting entity and the offering entity, and the step of transmitting at least one data message associated with the service instance from the offering entity to the requesting entity and vice versa, if the certificate verification and the security level verification are successful.
EFFECT: possibility to carry out secure exchange of information in the communication network between onboard objects of a vehicle.
11 cl, 9 dwg

Description

Настоящее изобретение в целом относится к передаче данных или сообщений по бортовой сети транспортного средства, а более конкретно относится к передаче данных или сообщений по бортовой сети транспортного средства посредством протокола связи SOME/IP.The present invention generally relates to the transmission of data or messages over the onboard network of a vehicle, and more specifically relates to the transmission of data or messages over the onboard network of a vehicle using the SOME/IP communication protocol.

В частности, изобретение относится к способу передачи данных или сообщений с использованием бортовой сети транспортного средства между по меньшей мере одним объектом, запрашивающим экземпляр услуги, и объектом, предлагающим экземпляр услуги, посредством протокола связи SOME/IP, согласно объему испрашиваемой правовой охраны.In particular, the invention relates to a method for transmitting data or messages using the on-board network of a vehicle between at least one entity requesting a service instance and an entity offering a service instance via the SOME/IP communication protocol, according to the scope of the claimed legal protection.

SOME/IP, Масштабируемое сервис-ориентированное промежуточное программное обеспечение по IP, представляет собой протокол связи, разработанный для автомобильного сектора для передачи сообщений и сообщений по сети Ethernet, работающей на борту транспортного средства, между устройствами различных размеров, функций и операционных систем, например, от камер до телематических развлекательных и информационных устройств. Протокол SOME/IP обеспечивает сервис-ориентированную связь и основан на списке услуг, которые априори объявляются каждым приложением. Для каждого приложения существует так называемый "манифест", в котором указаны все предлагаемые услуги и услуги, к которым приложению требуется доступ. Услуга или данные, которые он предоставляет, могут быть доступны устройству, подключенному к бортовой сети связи транспортного средства, после событий, в которых предлагающее устройство циклически передает сообщения или когда происходит изменение статуса, или впоследствии на запросы или вызовы удаленных процедур на предлагающем устройстве, выполненные запрашивающим устройством.SOME/IP, Scalable Service Oriented Middleware over IP, is a communication protocol developed for the automotive sector to transfer messages and messages over an Ethernet network running on board a vehicle between devices of various sizes, functions and operating systems, e.g. from cameras to telematic entertainment and information devices. The SOME/IP protocol provides service-oriented communication and is based on a list of services that are advertised a priori by each application. For each application, there is a so-called "manifest", which specifies all the services offered and the services that the application needs access to. The service or data it provides may be available to a device connected to the vehicle's on-board communication network after events in which the offering device cycles messages or when a status change occurs, or subsequently to requests or remote procedure calls on the offering device made requesting device.

Протокол SOME/IP основан на обеспечении серий данных в протокольных блоках данных (PDUs) в качестве информационного наполнения UDP или управляющего протокола передачи (TCP) сообщений, передаваемых по сети связи на основе интернет-протокола (IP).The SOME/IP protocol is based on providing data series in Protocol Data Units (PDUs) as the payload of UDP or Transfer Control Protocol (TCP) messages sent over an Internet Protocol (IP) communications network.

В настоящее время протокол SOME/IP характеризуется недостатком безопасности при обмене информацией внутри транспортного средства, поэтому может случиться так, что внешние устройства могут получить доступ к бортовым средствам связи, и оттуда они могут перехватывать сообщения, получая доступ к информации, которой обмениваются два объекта, или отправляя ложные сообщения на адрес объекта-получателя, принимая на себя роль передающего объекта без того, чтобы объект-получатель был осведомлен о фальсифицированной передаче.Currently, the SOME/IP protocol is characterized by a lack of security in the exchange of information inside the vehicle, so it may happen that external devices can access the on-board communications, and from there they can intercept messages, gaining access to information exchanged between two objects, or by sending bogus messages to the address of the receiving entity, assuming the role of the transmitting entity without the receiving entity being aware of the spoofed transfer.

В документе "Характеристика манифеста Архитектуры открытых автомобильных систем AUTOSAR АР выпуска 17-10" от 17 октября 2017 года и статье J. Kreissl "Защита связи с использованием SOME/IP в адаптивной AUTOSAR" от 15 ноября 2017 года предлагается использовать протокол безопасности транспортного уровня (TLS) для формирования пакета данных SOME/IP-сообщений. Однако протокол TLS предназначен только для защиты одноадресных передач и специфичен для протокола передачи.In the document "Characteristics of the Manifesto of AUTOSAR AP Open Automotive Systems Architecture Release 17-10" dated October 17, 2017 and the article by J. Kreissl "Securing communication using SOME / IP in adaptive AUTOSAR" dated November 15, 2017, it is proposed to use the transport layer security protocol ( TLS) to form a data packet of SOME/IP messages. However, the TLS protocol is only intended to secure unicast transmissions and is specific to the transmission protocol.

При передаче данных аутентификация означает процесс проверки личности субъекта/объекта. Вместо этого авторизация относится к правилам, которые определяют, что субъекту/объекту разрешаются действия. Эти две концепции самостоятельны и независимы, но обе важны при создании систем, которые функционируют безопасно. В предшествующем уровне техники аутентификация пользователя обычно является требованием для авторизации определенного объекта для выполнения заранее определенной операции.In data transmission, authentication means the process of verifying the identity of a subject/object. Instead, authorization refers to the rules that determine that a subject/object is allowed to act. The two concepts are distinct and independent, but both are important in building systems that function safely. In the prior art, user authentication is typically a requirement for authorizing a particular entity to perform a predetermined operation.

В протоколе TLS аутентификация объектов, взаимодействующих друг с другом, осуществляется с помощью цифровых сертификатов. На начальном этапе установления сеанса сервер и клиент должны предоставить друг другу свой цифровой сертификат вместе с доказательством того, что они являются законными владельцами сертификата. Для этой цели цифровые сертификаты используются для взаимодействия идентификационной информации с некоторыми криптографическими параметрами, например открытым ключом, который может быть проверен. Однако протокол TLS не имеет средств для придания какого-либо значения содержимому цифровых сертификатов. Поэтому, хотя он позволяет аутентифицировать объекты, взаимодействующие друг с другом, протокол TLS сам по себе не может проверить, уполномочен ли объект также инициировать связь. Фактически, эта проверка оставлена для протоколов более высокого уровня и приложений.In the TLS protocol, authentication of objects interacting with each other is carried out using digital certificates. At the initial stage of establishing a session, the server and client must provide each other with their digital certificate, along with proof that they are the rightful owners of the certificate. For this purpose, digital certificates are used to communicate identity information with some cryptographic parameters, such as a public key that can be verified. However, the TLS protocol has no means to give any meaning to the content of digital certificates. Therefore, although it allows authentication of entities communicating with each other, TLS by itself cannot verify whether an entity is also authorized to initiate communication. In fact, this check is left to higher level protocols and applications.

Вышеупомянутые документы предлагают использовать протокол TLS для установления безопасных соединений между различными устройствами, предлагая использовать сертификаты со стороны сервера и клиента для получения взаимной аутентификации. Никакая дальнейшая проверка не выполняется, кроме проверки действительности цифровых сертификатов. В этих документах не содержится дополнительной информации о том, как осуществить подтверждение, должна ли быть разрешена связь между двумя объектами или нет, т.е. для предотвращения доступа приложения к сервису, на который оно не авторизовано.The above documents suggest using the TLS protocol to establish secure connections between different devices, suggesting using server and client side certificates to obtain mutual authentication. No further verification is performed other than checking the validity of digital certificates. These documents do not contain additional information on how to confirm whether communication between two objects should be allowed or not, i.e. to prevent an application from accessing a service for which it is not authorized.

Протокол TLS имеет некоторые недостатки. Несколько уровней безопасности официально не поддерживаются последней версией стандарта (TLS 1.3), поэтому фактически он ограничен более дорогим уровнем безопасности "конфиденциальность". Даже при условии применения версии стандарта TLS 1.2, которая поддерживает набор последовательностей шифрования, работающих только в режиме аутентификации, уровень безопасности будет зависеть от некоторых изменяемых локальных параметров (разрешенный набор последовательностей шифрования), для которых отсутствуют гарантии фактического соблюдения уровня безопасности, который необходим проектировщикам и разработчикам.The TLS protocol has some disadvantages. Several security layers are not officially supported by the latest version of the standard (TLS 1.3), so it is effectively limited to the more expensive "confidentiality" security layer. Even if a version of the TLS 1.2 standard is used that supports a set of cipher sequences that work only in authentication mode, the level of security will depend on some mutable local parameters (allowed set of cipher sequences) for which there is no guarantee that the security level that designers and developers.

Однако, в отличие от традиционных интернет-серверов, автомобильные устройства управления двигателем (ЭБУ) физически доступны на транспортном средстве, что позволяет легко редактировать содержимое незащищенных конфигурационных файлов.However, unlike traditional Internet servers, automotive engine control units (ECUs) are physically accessible on the vehicle, making it easy to edit the contents of insecure configuration files.

Целью настоящего изобретения является обеспечение расширения протокола SOME/IP, который позволяет осуществлять безопасный обмен информацией в сети связи между объектами транспорта.The purpose of the present invention is to provide an extension of the SOME/IP protocol that allows secure exchange of information in a communication network between transport entities.

В соответствии с настоящим изобретением эта цель достигается с помощью способа передачи данных или сообщений по бортовой сети связи транспортного средства, обладающего существенными признаками, в соответствии с объемом испрашиваемой правовой охраны.According to the present invention, this object is achieved by means of a method for transmitting data or messages over the on-board communication network of a vehicle, having essential features, in accordance with the scope of the claimed legal protection.

Конкретные варианты осуществления изобретения характеризуют частные случаи его выполнения, содержание этих вариантов следует понимать как неотъемлемую часть настоящего описания.Specific embodiments of the invention characterize particular cases of its implementation, the content of these options should be understood as an integral part of the present description.

Таким образом, настоящее изобретение основано на принципе подтверждения того, какие объекты, запрашивающие экземпляр данной услуги, и какие объекты, предлагающие экземпляр данной услуги, уполномочены взаимодействовать друг с другом на борту транспортного средства (матрица потоков), в соответствии с которым каждая услуга или каждое приложение, выполнение которого оказывает услугу, могут быть доступны только объектам с подтвержденными полномочиями. Объект - это бортовое устройство или приложение, выполняемое бортовым устройством. Проверка полномочий объекта на борту транспортного средства заключается в том, чтобы запрашивать или предоставлять услугу, будь то бортовое устройство или конкретное приложение, с помощью которого устройство выполняет заданную функцию среди множества исполняемых функций, она удостоверена органом по сертификации, внешним по отношению к транспортному средству, таким как производитель транспортного средства или поставщик первого уровня бортового компонента.Thus, the present invention is based on the principle of confirming which entities requesting an instance of a given service and which entities offering an instance of a given service are authorized to communicate with each other on board the vehicle (flow matrix), whereby each service or each an application whose execution provides a service can only be accessed by objects with validated permissions. An object is an on-board device or an application executed by an on-board device. Verification of the authority of an object on board the vehicle is to request or provide a service, whether it be an on-board device or a specific application with which the device performs a given function among the many functions performed, it is certified by a certification body external to the vehicle, such as a vehicle manufacturer or a Tier 1 on-board component supplier.

Проверка полномочий объекта транспортного средства запрашивать или предоставлять экземпляр услуги взаимно проверяется как объектом, запрашивающим экземпляр услуги, так и объектом, предлагающим экземпляр услуги, и код аутентификации связан с любым последующим информационным сообщением между участвующими объектами, определенными в соответствии с протоколом SOME/IP, который передается между предлагающим услугу объектом и запрашивающим услугу объектом, если проверка полномочий обоих объектов дала положительный результат.The verification of the authority of the vehicle entity to request or provide a service instance is mutually verified by both the entity requesting the service instance and the entity offering the service instance, and the authentication code is associated with any subsequent information message between the participating entities defined in accordance with the SOME/IP protocol, which is passed between the service-offering entity and the service-requesting entity if the authorization check of both entities is positive.

Код аутентификации генерируется отправляющим объектом с помощью криптографической функции, которая получает на входе защищаемое сообщение и симметричный ключ шифрования, связанный с экземпляром услуги, и возвращает фиксированного размера строку байтов на выходе. Используется симметричный ключ, связанный с соответствующим экземпляром услуги, которым обмениваются авторизованные объекты перед началом передачи данных на этапе установления сеанса передачи данных. Это позволяет получающему объекту, обладающему тем же симметричным ключом, проверить, что сообщение не было изменено с момента его создания (целостность) и что оно было сгенерировано объектом, который обладает симметричным ключом (аутентификация).The authentication code is generated by the sending entity using a cryptographic function that takes as input a secure message and a symmetric encryption key associated with the service instance and returns a fixed-length byte string as output. The symmetric key associated with the corresponding service instance is used, which is exchanged between authorized entities before the start of data transmission during the data session establishment stage. This allows the receiving entity holding the same symmetric key to verify that the message has not been modified since it was created (integrity) and that it was generated by the entity holding the symmetric key (authentication).

Следовательно, в заявленном изобретении используют преимущество интеграции в промежуточное программное обеспечение SOME/IP для получения как функций аутентификации объектов связи, так и авторизации для запуска передачи данных во время установления каждого сеанса защищенной связи. В отличие от предшествующего уровня техники, для каждого отдельного экземпляра службы SOME/IP должен быть установлен другой защищенный сеанс, т.е. техническое решение осуществляется с детализацией экземпляра услуг.Therefore, the claimed invention takes advantage of the integration into the SOME/IP middleware to obtain both the functions of authentication of the communication objects and the authorization to initiate a data transfer during the establishment of each secure communication session. Unlike the prior art, a different secure session must be established for each individual instance of the SOME/IP service, i. the technical solution is carried out with the detailing of the service instance.

Каждое приложение (или бортовое устройство) связано с другим цифровым сертификатом для целей аутентификации. Кроме того, те же цифровые сертификаты расширены для определения набора услуг, которые приложение (или бортовое устройство) имеет право предлагать/запрашивать. Таким образом, цифровые сертификаты могут быть использованы в интересах производителей транспортных средств для определения матрицы разрешенного трафика, объявляющей весь набор коммуникаций, которые могут быть фактически установлены.Each application (or on-board device) is associated with a different digital certificate for authentication purposes. In addition, the same digital certificates are extended to define the set of services that an application (or on-board device) has the right to offer/request. Thus, digital certificates can be used to the advantage of vehicle manufacturers to define an allowed traffic matrix declaring the entire set of communications that can actually be established.

Всякий раз, когда новое соединение инициируется приложением, которое желает получить доступ к службе, происходит обмен сертификатами, аналогично протоколу TLS. Аналогично протоколу TLS, первоначально проверяется действительность цифрового сертификата, предоставленного объектом, запрашивающим передачу данных. В отличие от протокола TLS, изобретение также предусматривает проверку того, уполномочен ли объект также инициировать передачу данных, проверяя соответствие между текущим экземпляром службы и правилами, заявленными в его сертификате. Другими словами, как аутентификация, так и авторизация для доступа к экземпляру службы проверяются в соответствии с заявленным способом во время установления защищенного сеанса, перед обменом данными приложения.Whenever a new connection is initiated by an application that wishes to access a service, certificates are exchanged, similar to the TLS protocol. Similar to the TLS protocol, the validity of the digital certificate provided by the entity requesting the data transfer is initially checked. Unlike the TLS protocol, the invention also provides for checking whether the entity is also authorized to initiate a data transfer by checking the correspondence between the current instance of the service and the rules declared in its certificate. In other words, both authentication and authorization for access to a service instance are checked in accordance with the declared method during the establishment of a secure session, before application data is exchanged.

Предпочтительно, благодаря изобретению можно обеспечить, по меньшей мере, два уровня безопасности для передачи данных между различными бортовыми объектами транспортного средства в соответствии с нуждами, соответственно, первый уровень безопасности "аутентификация", при котором гарантируется, что сообщение достигло принимающего объекта, исходящего от сертифицированного (авторизованного) объекта и не было изменено во время транзита по сети, и второй, более высокий уровень безопасности "конфиденциальность", в котором неавторизованным третьим лицам запрещается дешифрировать содержимое сообщения, передаваемого по сети.Preferably, thanks to the invention, it is possible to provide at least two levels of security for data transmission between different on-board objects of the vehicle in accordance with the needs, respectively, the first level of security "authentication", in which it is guaranteed that the message has reached the receiving object, originating from a certified (authorized) entity and has not been altered in transit over the network, and a second, higher level of security, "confidentiality", which prevents unauthorized third parties from decrypting the contents of a message as it travels over the network.

В частности, уровень безопасности "аутентификация" гарантирует, что только авторизованные объекты могут отправлять сообщения, связанные с определенной службой, обеспечивая аутентификацию сообщений. Перед отправкой пакета в соответствии с протоколом SOME/IP, содержащего сообщение, относящееся к экземпляру службы, передающим объектом, будь то предлагающий объект или запрашивающий объект, к нему прикрепляется код аутентификации (MAC), сгенерированный с помощью механизмов симметричного шифрования. Когда принимающий объект получает сообщение, этот код может быть проверен: в случае успешной проверки принимающий объект может определить, что сообщение отправлено надежным и сертифицированным (авторизованным) передающим объектом и не было изменено при передаче по сети. Другими словами, получающий объект может быть уверен в подлинности и целостности сообщения. Кроме того, путем добавления порядкового номера, надежность которого гарантируется вышеупомянутым кодом аутентификации в поле «Поддержка данных», можно предотвратить атаки путем репликации, которые характеризуются перехватом действительных информационных пакетов и последующей повторной передачей третьими сторонами того же пакета для нового запроса того же действия. В случае уровня безопасности "аутентификация", хотя третье лицо способно перехватывать информацию, передаваемую по сети связи транспортного средства, оно не может вводить ложные сообщения, которые могут быть легко обнаружены, поскольку в них отсутствует код аутентификации сообщения, сгенерированный с использованием криптографического ключа, полученного обменом после взаимного признания предлагающими и принимающими объектами, и, следовательно, игнорируется принимающим объектом. Этот режим уравновешивает важность предотвращения совершения третьими лицами физических действий, которые могут быть даже опасными, на борту транспортного средства с помощью ложных команд, с возможностью того, что данные, которыми обмениваются, не являются конфиденциальными, в целях защиты вычислительных и передающих ресурсов.In particular, the "authentication" security layer ensures that only authorized entities can send messages associated with a particular service, providing message authentication. Before a SOME/IP packet containing a message relating to a service instance is sent, the transmitting entity, whether it be the offeror or the requester, is appended with an authentication code (MAC) generated by symmetric encryption mechanisms. When the receiving entity receives the message, this code can be verified: if the verification is successful, the receiving entity can determine that the message was sent by a trusted and certified (authorized) transmitting entity and has not been modified in transit over the network. In other words, the receiving entity can be sure of the authenticity and integrity of the message. In addition, by adding a sequence number, the strength of which is guaranteed by the above authentication code in the Data Maintenance field, it is possible to prevent attacks by replication, which are characterized by the interception of valid information packets and subsequent retransmission by third parties of the same packet for a new request for the same action. In the case of the "authentication" security level, although a third party is able to intercept information transmitted over the vehicle's communication network, it cannot inject false messages that can be easily detected because they lack a message authentication code generated using a cryptographic key obtained exchange after mutual recognition by the offering and receiving entities, and is therefore ignored by the receiving entity. This mode balances the importance of preventing third parties from taking physical actions, which can even be dangerous, on board the vehicle with false commands, with the possibility that the data exchanged is not confidential, in order to protect computing and transmission resources.

Уровень безопасности "конфиденциальность" включает в себя все свойства, предлагаемые предыдущим уровнем безопасности "аутентификация", то есть он гарантирует подлинность и целостность сообщений, которыми обмениваются в сети связи транспортного средства, и предотвращает атаки путем репликации. Кроме того, перед передачей каждого сообщения осуществляют: информационное наполнение сообщения шифруется с помощью функции шифрования, чтобы предотвратить несанкционированный доступ к нему посторонних лиц. Это также обеспечивает конфиденциальность, то есть секретность данных. Таким образом, третья сторона, пытающаяся вторгнуться в сеть передачи данных транспортного средства, не может вводить сообщения в сеть, поскольку они будут распознаны посредством проверки кода аутентификации, а также не может декодировать передаваемые данные, не имея необходимого ключа для расшифровки семантического значения сообщений. Этот режим обеспечивает высочайший уровень безопасности за счет более высоких вычислительных ресурсов, особенно с точки зрения времени задержки передачи сообщений.The "confidentiality" security level includes all the properties offered by the previous "authentication" security level, i.e. it guarantees the authenticity and integrity of messages exchanged on the vehicle communication network and prevents replication attacks. In addition, before transmission of each message, the content of the message is encrypted using an encryption function to prevent unauthorized access to it by unauthorized persons. It also provides confidentiality, i.e. data secrecy. Thus, a third party trying to intrude into the vehicle's data network cannot enter messages into the network because they will be recognized by checking the authentication code, and also cannot decode the transmitted data without having the necessary key to decrypt the semantic meaning of the messages. This mode provides the highest level of security at the expense of higher computing resources, especially in terms of message latency.

Поле «Поддержка данных» может преимущественно включать, в дополнение к порядковому номеру, любые другие параметры, требуемые выбранным симметричным криптографическим алгоритмом, например синхропосылку, которая может совпадать с порядковым номером.The Data Support field may advantageously include, in addition to the sequence number, any other parameters required by the selected symmetric cryptographic algorithm, such as a sync message which may be the same as the sequence number.

Дополнительные особенности и преимущества изобретения будут более подробно охарактеризованы из следующего подробного описания его осуществления, приведенного в качестве примера, который не ограничивает объем испрашиваемой правовой охраны, со ссылкой на следующие иллюстрации:Additional features and advantages of the invention will be described in more detail from the following detailed description of its implementation, given as an example, which does not limit the scope of the claimed legal protection, with reference to the following illustrations:

Фиг. 1 - известные режимы связи между объектом, запрашивающим услугу, или клиентом, и объектом, предлагающим услугу, или сервером, в сети связи транспортного средства;Fig. 1 shows known communication modes between a service requesting entity or client and a service offering entity or server in a vehicle communication network;

Фиг. 2 - схематическое изображение известного формата сообщения, передаваемого по сети связи транспортного средства в соответствии с протоколом SOME/IP, включая заголовок и информационное наполнение;Fig. 2 is a schematic representation of a known format of a message transmitted over a vehicle communication network in accordance with the SOME/IP protocol, including header and payload;

Фиг. 3 - схематическое изображение конфигурации многоадресной рассылки по сети связи транспортного средства, к которой относится изобретение;Fig. 3 is a schematic representation of a multicast configuration over a vehicle communications network to which the invention pertains;

Фиг. 4 - схематическое изображение высокого уровня установления сеанса связи между запрашивающим объектом и предлагающим объектом, подключенным к сети связи транспортного средства, в соответствии с изобретением;Fig. 4 is a high level schematic of a session establishment between a requesting entity and an offering entity connected to a vehicle communication network in accordance with the invention;

Фиг. 5 - схематическое изображение свойств объекта транспортного средства или приложения, выполненного объектом транспортного средства, подключенного к сети обмена данными транспортного средства в соответствии с изобретением;Fig. 5 is a schematic representation of the properties of a vehicle object or an application executed by a vehicle object connected to a vehicle communication network in accordance with the invention;

Фиг. 6 - диаграмма последовательности действий, характеризующих принцип взаимной аутентификации между объектом, запрашивающим экземпляр службы, и объектом, предлагающим экземпляр службы, в соответствии с заявленным способом;Fig. 6 is a flowchart describing the principle of mutual authentication between an entity requesting a service instance and an entity offering a service instance, in accordance with the claimed method;

Фиг. 7 - схематическое изображение примера формата сообщения запроса на аутентификацию в соответствии с заявленным способом;Fig. 7 is a schematic representation of an example of an authentication request message format in accordance with the claimed method;

Фиг. 8 - схематическое изображение примера аутентификационного ответного сообщения в соответствии с заявленным способом; иFig. 8 is a schematic representation of an example of an authentication response message in accordance with the claimed method; And

Фиг. 9 - схематическое изображение примера сообщения, передаваемого по сети транспортного средства в соответствии с усовершенствованным протоколом SOME/IP согласно изобретению.Fig. 9 is a schematic representation of an example of a message transmitted over a vehicle network in accordance with the improved SOME/IP protocol according to the invention.

На фиг. 1 изображены два разных типа передачи данных между сервером или предлагающим объектом «OF» (на иллюстрации - «ПО») и клиентом или запрашивающим объектом «RQ» (на иллюстрации - «ЗО»). Первый тип передачи данных, называемый "Запрос/Ответ", включает отправку запроса экземпляру службы запрашивающим объектом «RQ» и, возможно, как следствие этого, отправку ответа предлагающим объектом «OF». Второй тип связи, называемый "Публикация/подписка", включает активацию подписки на одно или несколько событий, связанных с экземпляром службы, запрашивающим объектом «RQ» и отправку периодических или инициируемых событиями уведомлений предлагающим объектом «OF».In FIG. 1 depicts two different types of data transfer between a server or offering entity "OF" (illustrated "software") and a client or requesting entity "RQ" (illustrated "30"). The first type of communication, called "Request/Response", involves sending a request to a service instance by the requesting "RQ" entity, and possibly as a consequence, sending a response by the offering "OF" entity. The second type of communication, called Publish/Subscribe, involves activating a subscription to one or more events associated with a service instance by the requesting RQ entity and sending periodic or event-triggered notifications by the offering OF entity.

На фиг. 2 изображен формат сообщения, передаваемого по сети связи транспортного средства в соответствии с протоколом SOME/IP Сообщение включает заголовок «Н» (на иллюстрации - «З»), содержащий идентификатор сообщения, длину сообщения, идентификатор запроса и множество полей идентификации версии протокола, версии интерфейса, типа сообщения и кода возврата. Сообщение также включает информационное наполнение непостоянного размера «Р» (на иллюстрации «ИН»).In FIG. Figure 2 shows the format of a message transmitted over a vehicle communication network in accordance with the SOME/IP protocol. interface, message type, and return code. The message also includes content of variable size "P" (in the illustration "IN").

На фиг. 3 изображено схематическое изображение конфигурации многоадресной рассылки по сети связи транспортного средства, в которой множество объектов «RQ», запрашивающих один и тот же экземпляр службы, взаимодействуют с одним объектом «OF», предлагающим экземпляр службы. Стрелки непрерывной линии обозначают двустороннюю связь взаимной аутентификации «AuthREQ» и «AuthRES», в то время как пунктирные стрелки обозначают сеанс передачи сообщений «С» в соответствии с защищенным протоколом SOME/IP, что возможно только в случае успешной взаимной аутентификации.In FIG. 3 is a schematic representation of a multicast configuration over a vehicle communications network in which a plurality of RQ entities requesting the same service instance communicate with a single OF entity offering a service instance. The arrows in a continuous line indicate the two-way relationship of mutual authentication "AuthREQ" and "AuthRES", while the dotted arrows indicate a message transfer session "C" in accordance with the secure SOME/IP protocol, which is possible only in case of successful mutual authentication.

На фиг. 4 показано схематическое изображение установления сеанса связи между запрашивающим объектом «RQ» и предлагающим объектом «OF», имеющими доступ к сети связи транспортного средства, сеанс связи характеризуется взаимной аутентификацией с помощью метода асимметричного шифрования. Запрашивающий объект «RQ» передает сертификат аутентификации и авторизации «AUTH_RQ» во время запроса экземпляра службы предлагающему объекту «OF», и последний отвечает передачей сертификата аутентификации и авторизации «AUTH_OF» вместе с ключом симметричной криптографии K в зашифрованном виде.In FIG. 4 is a schematic representation of the establishment of a session between a requesting entity "RQ" and an offering entity "OF" having access to the communication network of the vehicle, the session is characterized by mutual authentication with an asymmetric encryption method. The requesting entity "RQ" sends the authentication and authorization certificate "AUTH_RQ" during the service instance request to the offering entity "OF", and the latter responds by sending the authentication and authorization certificate "AUTH_OF" together with the symmetric cryptography key K in encrypted form.

На фиг. 5 изображено схематическое изображение свойств объекта «О» транспортного средства или приложения, выполняемого объектом «О» транспортного средства, подключенного к сети передачи данных транспортного средства. Объект «О» или приложение, выполняемое объектом «О», может предлагать множество услуг S1, S2, S3, каждая с соответствующим минимальным уровнем безопасности SL (на иллюстрации - УБ1, УБ2, УБ3), и может запрашивать множество услуг S4, S5, каждая с соответствующим минимальным уровнем безопасности УБ4, УБ5. Такой объект или приложение связаны с удостоверением подлинности отпечатка пальца (на иллюстрациях «УО.П.») и подписью «П». Удостоверением подлинности отпечатка пальца может быть сертификат «С», например, в соответствии со стандартом Х.509, или идентификатор сертификата «F где #=1, 2, … адаптированный для указания на централизованный реестр сертификатов транспортного средства или воспроизведенный в каждом бортовом устройстве (в последнем случае достигается более высокая эффективность, поскольку сертификаты доступны локально, когда они запрашиваются), например, опубликованный органом по сертификации, внешним по отношению к транспортному средству, таким как производитель транспортного средства или поставщик первого уровня бортового компонента, соответствующий сертификат «С#» (где #=1, 2, …), включающий открытый криптографический ключ «К PUB», адаптированный для работы с соответствующим закрытым криптографическим ключом «K_PRIV», доступный только соответствующему объекту, для шифрования и дешифрования данных, которыми обмениваются запрашивающие и предлагающие объекты, в соответствии с известной технологией асимметричного шифрования. Сертификация (т.е. наличие и действительность сертификата) удостоверяет полномочия объекта, запрашивающего экземпляр услуги, и объекта, предлагающего экземпляр услуги, на обмен информацией друг с другом на борту транспортного средства. Служба или приложение, выполнение которого создает службу, могут быть доступны только авторизованным объектам.In FIG. 5 is a schematic representation of the properties of a vehicle object "O" or an application executed by a vehicle object "O" connected to a vehicle data network. Entity O or an application executed by entity O may offer multiple services S1, S2, S3, each with a corresponding minimum security level SL (SL1, SL2, SL3 in the illustration), and may request multiple services S4, S5, each with a corresponding minimum security level UB4, UB5. Such an object or application is associated with a fingerprint authentication (in the illustrations "O.P.") and a signature "P". The fingerprint authentication may be a certificate "C", for example, in accordance with the X.509 standard, or a certificate identifier "F where # = 1, 2, ... adapted to point to a centralized registry of vehicle certificates or reproduced in each on-board device ( in the latter case, higher efficiency is achieved because the certificates are available locally when they are requested), e.g. published by a certification body external to the vehicle, such as the vehicle manufacturer or the first level supplier of the on-board component, the corresponding "C#" certificate (where #=1, 2, ...), including the public cryptographic key "K PUB", adapted to work with the corresponding private cryptographic key "K_PRIV", available only to the corresponding object, for encrypting and decrypting data exchanged between requesting and offering objects, according to the well-known asymmetric encryption technology. Certification (ie, the existence and validity of a certificate) certifies the authority of the entity requesting the service instance and the entity offering the service instance to communicate with each other on board the vehicle. The service or application whose execution creates the service can only be accessed by authorized entities.

Со ссылкой на фиг. 6-9 далее описан способ безопасного обмена информацией в соответствии с протоколом SOME/IP.With reference to FIG. 6-9, the method for securely exchanging information in accordance with the SOME/IP protocol is described below.

На фиг. 6 изображена схема последовательности действий по взаимной аутентификации между запрашивающим объектом «RQ» и предлагающим объектом «OF». На первом этапе запрашивающий объект «RQ» отправляет по сети связи транспортного средства сообщение с запросом аутентификации «AuthREQ» предлагающему объекту «OF», к которому он намеревается направить запрос экземпляра службы. Примерный формат сообщения запроса аутентификации «AuthREQ» изображен на фиг. 7. Он включает, в частности, удостоверение подлинности отпечатка пальца запрашивающего объекта «F_RQ».In FIG. 6 is a diagram of the mutual authentication flow between the requesting entity "RQ" and the offering entity "OF". In the first step, the requesting RQ entity sends an AuthREQ message over the vehicle communications network to the offering OF entity to which it intends to request the service instance. An exemplary format for an "AuthREQ" authentication request message is shown in FIG. 7. It includes, in particular, the authentication of the fingerprint of the requesting entity "F_RQ".

После получения сообщения запроса аутентификации «AUTHREQ» предлагающий объект «OF» извлекает сертификат принимающего объекта с помощью отпечатка пальца «F_RQ», например, путем доступа к сертификату посредством централизованного реестра сертификатов, к которому можно обращаться по адресу, связанному с идентификатором сертификата «F_RQ». Предлагающий объект проверяет сертификат, проверяя цифровую подпись, содержащуюся в нем, с помощью открытого ключа, содержащегося в главном сертификате, который называется "корневым сертификатом", целостность и подлинность которого гарантируется с помощью внешних механизмов, и в случае успеха он сравнивает минимальный уровень безопасности, разрешенный запрашивающим объектом, подтвержденный сертификатом, с уровнем безопасности «SLSE», которому в настоящее время предлагается экземпляр службы. В случае, если минимальный уровень безопасности «SLRQ», разрешенный запрашивающим объектом, превышает уровень безопасности, что предлагает экземпляр службы, SLRQ>SLSE, предлагающий объект прерывает связь. В противном случае, если минимальный уровень безопасности SLRQ, разрешенный запрашивающим объектом, равен или ниже уровня безопасности SLSE, что предлагает экземпляр службы, предлагающий объект отвечает, отправляя по сети связи транспортного средства ответное сообщение аутентификации «AuthRES».Upon receipt of the "AUTHREQ" authentication request message, the offering entity "OF" retrieves the certificate of the receiving entity using the fingerprint "F_RQ", for example, by accessing the certificate through a centralized certificate registry that can be accessed at the address associated with the certificate identifier "F_RQ" . The offeror verifies the certificate by verifying the digital signature it contains against the public key contained in the master certificate, called the "root certificate", whose integrity and authenticity are guaranteed by external mechanisms, and if successful, it compares the minimum security level authorized by the requesting entity, validated by a certificate, with a security level of "SL SE ", to which the service instance is currently being offered. In the event that the minimum security level "SL RQ " allowed by the requesting entity exceeds the security level that the service instance offers, SL RQ >SL SE , the offering entity terminates the connection. Otherwise, if the minimum security level SL RQ allowed by the requesting entity is equal to or lower than the security level SL SE that the service instance offers, the offering entity responds by sending an "AuthRES" authentication response message over the vehicle communication network.

Пример аутентификационного ответного сообщения «AuthRES» изображен на фиг. 8. Он включает, в частности, удостоверение подлинности отпечатка пальца «F_OF» предлагающего объекта, симметричный ключ шифрования «K_SYM», зашифрованный с помощью открытого ключа шифрования «K_PUB_RQ» запрашивающего объекта «RQ», полученного из сертификата запрашивающего объекта, обозначенного k, где k=encrypt(K_SYM)K_PUB_RQ, и электронную цифровую подпись «S_OF», прикрепленную с помощью закрытого криптографического ключа предлагающего объекта, обозначенную S, где S=sign(AuthRES)K_PRiV_OF.An example of an "AuthRES" authentication response message is shown in FIG. 8. It includes, in particular, the fingerprint authentication "F_OF" of the offering entity, the symmetric encryption key "K_SYM" encrypted with the public encryption key "K_PUB_RQ" of the requesting entity "RQ", obtained from the certificate of the requesting entity, denoted by k, where k=encrypt(K_SYM) K_PUB_RQ , and an electronic digital signature "S_OF" affixed with the offeror's private cryptographic key, denoted S, where S=sign(AuthRES) K_PRiV_OF .

После получения ответного сообщения об аутентификации «AuthRES» запрашивающий объект «RQ» извлекает сертификат предлагающего объекта с помощью отпечатка пальца «F_OF», например, путем доступа к сертификату через централизованный реестр сертификатов, к которому можно обратиться по адресу, связанному с идентификатором сертификата «F_OF». Запрашивающий объект проверяет сертификат, проверяя электронную цифровую подпись, содержащуюся в нем, с помощью открытого ключа, содержащегося в главном сертификате, который называется "корневым сертификатом", целостность и подлинность которого гарантируется с помощью внешних механизмов, и в случае успеха проверяет подпись S, связанная с сообщением, полученным с помощью открытого ключа шифрования «K_PUB_OF» предлагающего объекта «OF», полученного из сертификата предлагающего объекта. Если проверка цифровой подписи прошла успешно, запрашивающий объект сравнивает уровень безопасности SLSE, на который в настоящее время предлагается экземпляр службы, как с минимальным уровнем безопасности SLOF, который должен быть гарантирован предлагающим объектом, обозначенным в сертификате, так и с собственным минимальным уровнем безопасности, разрешенным SLRQ. В случае, если уровень безопасности предлагаемого экземпляра службы ниже минимального уровня безопасности SLOF, который должен быть гарантирован предлагающим объектом, SLSE<SLOF, или уровень безопасности предлагаемой услуги ниже минимально допустимого уровня безопасности SLRQ, SLSE<SLRQ, запрашивающий объект прерывает связь. В противоположном случае, когда уровень безопасности предлагаемого экземпляра службы равен или превышает как минимальный уровень безопасности SLOF, который должен быть гарантирован предлагающим объектом, так и его собственный минимальный допустимый уровень безопасности SLRQ, запрашивающий объект «RQ» завершает установление сеанса связи путем расшифровки с помощью закрытого криптографического ключа принимающего объекта «RQ» симметричного ключа, переданного предлагающим объектом для последующей защиты сообщений, что обозначено выражением: K_SYM=decrypt(k)K_PRIV_RQ.Upon receipt of the authentication response "AuthRES", the requesting entity "RQ" retrieves the certificate of the offering entity using the fingerprint "F_OF", for example, by accessing the certificate through a centralized certificate registry, which can be accessed at the address associated with the certificate identifier "F_OF ". The requesting entity verifies the certificate by verifying the digital signature contained therein against the public key contained in the master certificate, called the "root certificate", the integrity and authenticity of which is guaranteed by external mechanisms, and if successful, verifies the signature S associated with the message received using the public encryption key "K_PUB_OF" of the offering entity "OF" obtained from the certificate of the offering entity. If the verification of the digital signature is successful, the requesting entity compares the security level SL SE for which the service instance is currently being offered against both the minimum security level SL OF that the offering entity must guarantee as specified in the certificate, and against its own minimum security level. allowed by SL RQ . In case the security level of the offered service instance is below the minimum security level SL OF that must be guaranteed by the offering entity, SL SE <SL OF , or the security level of the offered service is below the minimum acceptable security level SL RQ , SL SE <SL RQ , the requesting entity breaks the connection. In the opposite case, when the security level of the offered service instance is equal to or greater than both the minimum security level SL OF that the offering entity must guarantee and its own minimum acceptable security level SL RQ , the requesting RQ entity terminates the session establishment by decrypting with using the private cryptographic key of the receiving object "RQ" of the symmetric key transmitted by the offeror for the subsequent protection of messages, which is indicated by the expression: K_SYM=decrypt(k) K_PRIV_RQ .

Подтверждение полномочий субъекта транспортного средства запрашивать или предоставлять экземпляр услуги затем взаимно проверяется как объектом, запрашивающим экземпляр услуги, так и объектом, предлагающим экземпляр услуги, посредством проверки соответствующего сертификата, а код аутентификации связан с любым последующим сообщением между участвующими в их обмене объектами в соответствии с протоколом SOME/IP, который передается между предлагающим объектом и запрашивающим объектом, если проверка полномочий обоих объектов дала положительный результат.The confirmation of the authority of the vehicle entity to request or provide an instance of the service is then mutually verified by both the entity requesting the service instance and the entity offering the service instance by checking the corresponding certificate, and the authentication code is associated with any subsequent message between the entities participating in their exchange in accordance with the SOME/IP protocol that is passed between the offeror and the requester if the credentials of both entities pass.

Как только сеанс связи между запрашивающим объектом «RQ» и предлагающим объектом «OF» установлен, сообщения могут безопасно обмениваться в соответствии с протоколом связи SOME/IP между двумя аутентифицированными и авторизованными объектами в соответствии с форматом, изображенным на фиг. 9, в котором информационное наполнение зашифровано с помощью симметричного ключа «K_SYM», если имеет место "конфиденциальная" связь.Once a session has been established between the requesting RQ entity and the offering OF entity, messages can be securely exchanged according to the SOME/IP communication protocol between two authenticated and authorized entities in accordance with the format depicted in FIG. 9 in which the payload is encrypted with the symmetric key "K_SYM" if "confidential" communication takes place.

Предпочтительно, описанный способ гарантирует защиту сообщения с различным симметричным ключом для каждого экземпляра службы в конфигурации многоадресной связи. Ключ генерируется предлагающим объектом и безопасно передается множеству запрашивающих объектов на этапе установления сеанса обмена информацией. Повторная генерация ключа может быть удобной для долговременных услуг, например для передачи данных о местоположении, и должна выполняться с такой периодичностью, чтобы со временем поддержать уровень безопасности, гарантированный особенностями криптографического алгоритма и используемого ключа.Preferably, the method described ensures that the message is protected with a different symmetric key for each service instance in a multicast configuration. The key is generated by the offeror and is securely transmitted to a plurality of requesting entities during the session establishment phase. Key regeneration may be convenient for long-term services, such as location data transmission, and should be performed at intervals such that over time the level of security guaranteed by the characteristics of the cryptographic algorithm and the key used is maintained.

Использование одного ключа в определенной группе объектов, чьи сообщение касаются заранее определенного экземпляра службы, позволяет достаточно просто защищать многоадресные передачи без ограничения функциональности протокола SOME/IP и без увеличения использования сети автомобильной связи.The use of a single key in a specific group of entities whose message is for a predefined service instance allows multicasts to be secured quite simply without limiting SOME/IP functionality and without increasing vehicular network usage.

Преимущественно, заявленный способ предназначен для выполнения операций предпочтительно с детализацией на уровне экземпляров службы, т.е. рассматривая каждый экземпляр службы SOME/IP как уникальный объект, к которому заранее определенное приложение (или бортовое устройство) может иметь доступ или может получить отказ в доступе. Это условие представляет собой эффективный компромисс между необходимостью надежного ограничения передачи данных, что требует принятия исключительно лучшей детализации, и вниманием к ресурсам, что требует ограничения количества процессов для установления сеансов аутентификации, чтобы не вызвать неприемлемого увеличения времени задержки при передаче сообщений и данных по сети связи транспортного средства.Advantageously, the inventive method is designed to perform operations preferably at the level of service instances, i. e. treating each SOME/IP service instance as a unique entity that a predefined application (or on-board device) can access or be denied access to. This condition is an effective compromise between the need to securely limit data transmission, which requires accepting exceptionally finer granularity, and attention to resources, which requires limiting the number of processes for establishing authentication sessions so as not to cause an unacceptable increase in latency in the transmission of messages and data over a communication network. vehicle.

В отличие от протокола TLS, заявленный способ предназначен для строгого соблюдения уровня безопасности, настроенного разработчиками приложения или на бортовом устройстве, при условии, что цифровые сертификаты свидетельствуют о минимальном уровне безопасности, который должен соблюдаться каждым объектом в дополнение к определению набора экземпляров службы, доступ к которым разрешен каждому бортовому приложению или устройству (матрица трафика). Следовательно, на этапе установления сеанса обмена информацией уровень, на котором предоставляется желаемый экземпляр службы, сравнивается с требованиями предлагающего объекта и запрашивающего объекта, чтобы предотвратить нарушение этими объектами ранее наложенных конструктивных ограничений. Принимая во внимание гарантированную подлинность и целостность цифровых сертификатов, заявленный способ предотвращает атаки, основанные на принудительном снижении уровня безопасности ниже требований, предъявляемых разработчиками приложения или бортового устройства.Unlike the TLS protocol, the claimed method is intended to strictly enforce the level of security configured by the developers of the application or on the on-board device, provided that digital certificates are indicative of a minimum level of security that each entity must comply with in addition to defining a set of service instances, access to allowed to each aircraft application or device (traffic matrix). Therefore, during the session establishment step, the level at which the desired service instance is provided is compared to the requirements of the offering entity and the requesting entity to prevent these entities from violating previously imposed design constraints. Taking into account the guaranteed authenticity and integrity of digital certificates, the claimed method prevents attacks based on the forced lowering of the security level below the requirements set by the developers of the application or on-board device.

Таким образом, изобретение представляет собой персонализированный подход, интегрированный в протокол SOME/IP, для ослабления ограничений, налагаемых внешними решениями, и обеспечения совместимости со всеми различными моделями средств передачи информации, поддерживающих протокол SOME/IP (одноадресная и многоадресная рассылка). Изобретение обеспечивает реализацию простого и эффективного решения для представления матрицы трафика, разрешенного в транспортном средстве (набор услуг, которые может запросить/предложить каждый объект), и в то же время обеспечивает несколько уровней безопасности для учета различных запросов безопасности и возможных расходов, которые могут возникнуть.Thus, the invention is a personalized approach integrated into the SOME/IP protocol to ease the restrictions imposed by external solutions and ensure compatibility with all different models of media that support the SOME/IP protocol (unicast and multicast). The invention provides an implementation of a simple and effective solution for representing the matrix of traffic allowed in a vehicle (the set of services that each entity can request/offer), while at the same time providing multiple security layers to account for various security requests and possible costs that may arise. .

Естественно, принципы изобретения, конструктивные элементы и варианты осуществления изобретения могут отличаться от тех, что описаны и изображены на иллюстрациях, при этом они не ограничивают объем правовой охраны и представлены в качестве примеров без изменения сущности заявленного изобретения, в соответствии с объемом испрашиваемой правовой охраны.Naturally, the principles of the invention, structural elements and embodiments of the invention may differ from those described and depicted in the illustrations, while they do not limit the scope of legal protection and are presented as examples without changing the essence of the claimed invention, in accordance with the scope of the claimed legal protection.

Claims (16)

1. Способ передачи данных или сообщений в сети передачи данных на борту транспортного средства между по меньшей мере одним объектом, запрашивающим экземпляр услуги, и объектом, предлагающим экземпляр услуги, посредством протокола связи SOME/IP, в котором указанный предлагающий объект предоставляет ответ в результате запроса указанного запрашивающего объекта или в котором указанный предлагающий объект предоставляет периодические уведомления или уведомления, инициированные событиями в результате подписки на услугу указанным запрашивающим объектом,1. A method for transmitting data or messages in a data communication network on board a vehicle between at least one entity requesting a service instance and an entity offering a service instance via the SOME/IP communication protocol, wherein said offering entity provides a response as a result of the request the specified requesting entity or in which the specified offering entity provides periodic notifications or notifications triggered by events as a result of the subscription to the service by the specified requesting entity, отличающийся тем, что проверка полномочий указанному, по меньшей мере, одному запрашивающему объекту и, по меньшей мере, одному предлагающему объекту на доступ к экземпляру услуги заранее определяется органом по сертификации, внешним по отношению к транспортному средству, посредством выдачи предварительно выданного сертификата указанного запрашивающего объекта и указанного предлагающего объекта, при этом сертификат указанного предлагающего объекта дополнительно присваивает минимальный уровень безопасности этой услуге для предлагающего объекта среди множества заранее определенных уровней безопасности, а сертификат указанного запрашивающего объекта присваивает минимальный уровень безопасности указанной услуге для запрашивающего объекта среди указанного множества заранее определенных уровней безопасности,characterized in that the verification of the authorization of the specified at least one requesting entity and at least one offering entity to access the service instance is determined in advance by a certification body external to the vehicle by issuing a pre-issued certificate of the specified requesting entity and the specified offering entity, wherein the certificate of the specified offering entity additionally assigns a minimum security level to this service for the offering entity among the set of predefined security levels, and the certificate of the specified requesting entity assigns the minimum security level to the specified service for the requesting entity among the specified set of predefined security levels, указанный способ включает предварительный этап взаимной аутентификации между указанным запрашивающим объектом и указанным предлагающим объектом с учетом начала последующей передачи данных, связанной с экземпляром услуги, включая:said method includes a preliminary mutual authentication step between said requesting entity and said offering entity, considering the start of a subsequent data transfer associated with the service instance, including: - проверку наличия и взаимной действительности указанного предварительно выданного сертификата указанного запрашивающего объекта и указанного предлагающего объекта,- checking the existence and mutual validity of the specified pre-issued certificate of the specified requesting entity and the specified offering entity, - проверку того, что уровень безопасности, с которым услуга предлагается предлагающим объектом, не ниже минимального уровня безопасности, предварительно назначенного для указанной услуги запрашивающим объектом и предлагающим объектом, и- checking that the level of security with which the service is offered by the offering entity is not lower than the minimum security level pre-assigned for the specified service by the requesting entity and the offering entity, and - передачу по меньшей мере одного информационного сообщения, связанного с экземпляром службы, от предлагающего объекта запрашивающему объекту и наоборот, если упомянутая проверка уровня безопасности и упомянутая проверка сертификата успешны.transmitting at least one information message associated with the service instance from the offering entity to the requesting entity and vice versa if said security level check and said certificate check are successful. 2. Способ по п.1, отличающийся тем, что указанное множество заранее определенных уровней безопасности содержит уровень безопасности аутентификации, в котором код аутентификации сообщения, зашифрованный с помощью заранее определенной функции шифрования, связан с каждым сообщением связи экземпляра службы, и уровень безопасности конфиденциальности, в котором каждое сообщение для передачи данных включает код аутентификации сообщения, зашифрованный с помощью заранее определенной функции шифрования, и информационное наполнение, зашифрованное с помощью указанной заранее определенной функции шифрования.2. The method of claim 1, wherein said plurality of predefined security layers comprises an authentication security layer in which a message authentication code encrypted with a predefined encryption function is associated with each communication message of the service instance, and a privacy security layer, wherein each communication message includes a message authentication code encrypted with a predetermined encryption function and a payload encrypted with said predetermined encryption function. 3. Способ по п.2, отличающийся тем, что указанная заранее определенная функция шифрования включает в себя симметричный ключ шифрования, связанный с соответствующим экземпляром услуги, переданный указанным предлагающим объектом указанному получающему объекту на предварительном этапе взаимной аутентификации.3. The method of claim 2, wherein said predetermined encryption function includes a symmetric encryption key associated with a respective service instance, transmitted by said offering entity to said receiving entity in a pre-mutual authentication step. 4. Способ по п.3, отличающийся тем, что указанный код аутентификации сообщения генерируется отправляющим объектом посредством указанной заранее определенной криптографической функции, которая получает на входе указанное коммуникационное сообщение и указанный симметричный ключ шифрования, связанный с экземпляром службы, и возвращает фиксированного размера строку байтов.4. The method of claim 3, wherein said message authentication code is generated by the sending entity through said predefined cryptographic function that takes as input said communication message and said symmetric encryption key associated with the service instance and returns a fixed-length byte string . 5. Способ по п.3 или 4, отличающийся тем, что указанный симметричный ключ шифрования передается указанным предлагающим объектом указанному получающему объекту, зашифрованному посредством открытого ключа шифрования запрашивающего объекта.5. The method according to claim 3 or 4, characterized in that said symmetric encryption key is transmitted by said offering entity to said receiving entity, encrypted with the requesting entity's public encryption key. 6. Способ в соответствии с любым из предыдущих пунктов, отличающийся тем, что проверка того, что уровень безопасности, с которым услуга предлагается предлагающим объектом, не ниже минимального уровня безопасности, предварительно назначенного указанной услуге в предлагающем объекте и запрашивающем объекте, осуществляют в предлагающем объекте и в получающем объекте.6. The method according to any of the preceding claims, wherein the verification that the level of security with which the service is offered by the offering entity is not lower than the minimum security level pre-assigned to said service in the offering entity and the requesting entity is carried out in the offering entity and in the receiving object. 7. Способ в соответствии с любым из предыдущих пунктов, отличающийся тем, что указанный предварительный этап взаимной аутентификации включает отправку от запрашивающего объекта предлагающему объекту сообщения для запроса на аутентификацию, включающего указанный предварительно выданный сертификат или идентификатор указанного предварительно выданного сертификата запрашивающего объекта, и отправку от предлагающего объекта запрашивающему объекту сообщения с ответом на аутентификацию, включающего указанный предварительно выданный сертификат или идентификатор указанного предварительно выданного сертификата предлагающего объекта.7. A method according to any of the preceding claims, wherein said preliminary mutual authentication step comprises sending from the requesting entity to the offering entity an authentication request message including said pre-issued certificate or an identifier of said requesting entity pre-issued certificate, and sending from from the proposer to the requesting entity of an authentication response message including said pre-issued certificate or the identity of said pre-issued certificate of the offering entity. 8. Способ по п.7, отличающийся тем, что указанный предварительно выданный сертификат запрашивающего объекта и указанный предварительно выданный сертификат предлагающего объекта хранятся в централизованном реестре сертификатов транспортного средства или воспроизводятся в каждом бортовом устройстве, опубликованном органом по сертификации, внешним по отношению к транспортному средству.8. The method of claim 7, wherein said pre-issued requesting entity certificate and said pre-issued offering entity certificate are stored in the vehicle's centralized certificate registry or reproduced in each on-board device published by a certification body external to the vehicle. . 9. Способ по п.7 или 8, отличающийся тем, что проверка наличия и взаимной действительности предварительно выданного сертификата указанного запрашивающего объекта и указанного предлагающего объекта осуществляется путем проверки правильности связанной с ним цифровой подписи с использованием открытого ключа, содержащегося в главном сертификате, целостность и подлинность которого гарантируется внешними механизмами.9. The method according to claim 7 or 8, characterized in that the verification of the existence and mutual validity of the pre-issued certificate of the specified requesting entity and the specified offering entity is carried out by verifying the correctness of the digital signature associated with it using the public key contained in the main certificate, the integrity and the authenticity of which is guaranteed by external mechanisms. 10. Способ по п.7, отличающийся тем, что указанное сообщение с ответом на аутентификацию дополнительно включает контрольную подпись предлагающего объекта, сгенерированную посредством частного криптографического ключа предлагающего объекта.10. The method of claim 7, wherein said authentication response message further comprises an offeror control signature generated by the offeror's private cryptographic key. 11. Способ по п.3, отличающийся тем, что множество объектов, запрашивающих один и тот же экземпляр услуги, взаимодействует с одним объектом, предлагающим экземпляр услуги в конфигурации многоадресной связи, в которой указанный симметричный ключ шифрования, связанный с указанным экземпляром услуги, генерируется указанным предлагающим объектом и совместно используется указанным множеством запрашивающих объектов.11. The method of claim 3, wherein a plurality of entities requesting the same service instance interact with a single entity offering the service instance in a multicast configuration in which said symmetric encryption key associated with said service instance is generated by the specified offering entity and is shared by the specified set of requesting entities.
RU2021131524A 2019-04-23 2020-04-23 Improvements in vehicle data or message transmission using scalable service oriented middleware over ip communication protocol RU2797357C2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102019000006242 2019-04-23

Publications (2)

Publication Number Publication Date
RU2021131524A RU2021131524A (en) 2023-04-27
RU2797357C2 true RU2797357C2 (en) 2023-06-02

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050021955A1 (en) * 2002-01-24 2005-01-27 Siemens Aktiengesellschaft Method for securing data traffic in a mobile network environment
RU2316130C2 (en) * 2001-10-25 2008-01-27 Квэлкомм Инкорпорейтед Method and system for transmission of ip-packets by combining several radio communication channels for high speed data transmission
WO2010115607A1 (en) * 2009-04-03 2010-10-14 Digidentity B.V. Secure data system
US20170201383A1 (en) * 2013-09-20 2017-07-13 Mobile Iron, Inc. Multiple factor authentication in an identity certificate service
WO2018057321A2 (en) * 2016-09-23 2018-03-29 Kwourz Research Llc Secure communication of network traffic

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2316130C2 (en) * 2001-10-25 2008-01-27 Квэлкомм Инкорпорейтед Method and system for transmission of ip-packets by combining several radio communication channels for high speed data transmission
US20050021955A1 (en) * 2002-01-24 2005-01-27 Siemens Aktiengesellschaft Method for securing data traffic in a mobile network environment
WO2010115607A1 (en) * 2009-04-03 2010-10-14 Digidentity B.V. Secure data system
US20170201383A1 (en) * 2013-09-20 2017-07-13 Mobile Iron, Inc. Multiple factor authentication in an identity certificate service
WO2018057321A2 (en) * 2016-09-23 2018-03-29 Kwourz Research Llc Secure communication of network traffic

Similar Documents

Publication Publication Date Title
US11171783B2 (en) System and method for decentralized identity management, authentication and authorization of applications
KR102471298B1 (en) A method of data transfer, a method of controlling use of data and a cryptographic device
KR102177794B1 (en) Distributed device authentication protocol in internet of things blockchain environment
US20100235625A1 (en) Techniques and architectures for preventing sybil attacks
JP7489069B2 (en) IMPROVED TRANSMISSION OF DATA OR MESSAGES ON VEHICLES USING SOME/IP COMMUNICATION PROTOCOL - Patent application
JP2009514072A (en) Method for providing secure access to computer resources
US20210067337A1 (en) Secure api flow
US10218704B2 (en) Resource access control using named capabilities
JP4783340B2 (en) Protecting data traffic in a mobile network environment
CN114553480B (en) Cross-domain single sign-on method and device, electronic equipment and readable storage medium
CN116956247B (en) Information processing system based on BIM
US11611541B2 (en) Secure method to replicate on-premise secrets in a cloud environment
CN113329003B (en) Access control method, user equipment and system for Internet of things
RU2797357C2 (en) Improvements in vehicle data or message transmission using scalable service oriented middleware over ip communication protocol
CN116192432A (en) Security authentication and authority control method and device under micro-application architecture and storage medium
Ko et al. Viotsoc: Controlling access to dynamically virtualized iot services using service object capability
JP2005165671A (en) Multiplex system for authentication server and multiplex method therefor
Goel Access Control and Authorization Techniques wrt Client Applications
JP5466698B2 (en) Systems that process encryption certificates
Torrellas et al. An authentication protocol for agent platform security manager