TWI674778B - 車輛資訊安全監控裝置 - Google Patents

車輛資訊安全監控裝置 Download PDF

Info

Publication number
TWI674778B
TWI674778B TW107138820A TW107138820A TWI674778B TW I674778 B TWI674778 B TW I674778B TW 107138820 A TW107138820 A TW 107138820A TW 107138820 A TW107138820 A TW 107138820A TW I674778 B TWI674778 B TW I674778B
Authority
TW
Taiwan
Prior art keywords
processor
key
data
interface
message
Prior art date
Application number
TW107138820A
Other languages
English (en)
Other versions
TW202019131A (zh
Inventor
蔡瑞陽
陳星宇
劉文楷
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW107138820A priority Critical patent/TWI674778B/zh
Priority to CN201811329195.9A priority patent/CN111131136B/zh
Application granted granted Critical
Publication of TWI674778B publication Critical patent/TWI674778B/zh
Publication of TW202019131A publication Critical patent/TW202019131A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

一種安裝於一車輛之車輛資訊安全監控裝置。車輛資訊安全監控裝置包含一共用模組及一監控模組。共用模組儲存及產生一金鑰。監控模組自一控制器區域網路(CAN)匯流排接收一CAN訊息,其包含一辨識碼及一CAN資料。監控模組使用金鑰,解密CAN資料,並判斷是否正確解密CAN資料,以產生一解密結果指示符。當無法正確解密CAN資料時,監控模組根據解密結果指示符、辨識碼及複數裝置資料,產生一風險評估值,並將風險評估值與一風險門檻值比較,產生一風險判定值,以使共用模組因應風險判定值,產生一警示訊號並更新金鑰。

Description

車輛資訊安全監控裝置
本發明係關於一種安裝於一車輛之車輛資訊安全監控裝置。具體而言,本發明之車輛資訊安全監控裝置係使用金鑰加解密控制器區域網路(CAN)匯流排與電子控制單元間之CAN訊息,並監控CAN訊息以即時更新金鑰及產生警示訊號。
隨著科技的快速發展,各種車輛皆裝載電子系統,以控制安裝於車輛上的各種電子裝置及所結合之零組件,並對其進行檢測。控制器區域網路(CAN)為目前廣泛用於車輛的車用匯流排標準,允許車輛上的該等電子裝置透過CAN匯流排來相互通訊。
此外,受惠於行動通訊技術的成熟,車載通訊亦成為目前產業發展的主流之一,故越來越多的車輛會安裝具有行動通訊功能的電子裝置。然而,控制器區域網路的內部通訊係基於資訊導向傳輸協定的廣播機制,故對於內部訊息的傳遞並無提供任何資訊安全防護措施,因而使得有心人士有機可乘,透過具有行動通訊功能的電子裝置入侵車輛的電子系統,進而影響車輛的操作,此舉將可能危及車輛的行車安全。
有鑑於此,如何提供為控制器區域網路提供一種資訊安全防護機制,防止有心人士入侵車輛的電子系統而影響車輛的操作,乃是業 界亟待解決的問題。
本發明之目的在於為控制器區域網路提供一種資訊安全防護機制,藉由安裝車輛資訊安全監控裝置於車輛中,以使用金鑰對控制器區域網路(CAN)匯流排與電子控制單元間之CAN訊息進行加解密,並監控CAN訊息來達到即時更新金鑰及產生警示訊號。據此,本發明之資訊安全防護機制能有效地對車輛的資訊安全進行監控,以防止有心人士入侵車輛的電子系統而影響車輛的操作,進而確保車輛的行車安全。
為達上述目的,本發明揭露一種安裝於一車輛之車輛資訊安全監控裝置,其包含一共用模組及一監控模組。該共用模組包含一第一通訊接口、一第一儲存器、一輸出元件及一第一處理器。該第一儲存器用以儲存一金鑰。該第一處理器電性連接至該第一通訊接口、該第一儲存器及該輸出元件,用以產生該金鑰,並儲存於該儲存器。該監控模組包含一第二通訊接口、一第二儲存器、一第一CAN接口、一第二CAN接口及一第二處理器。該第二通訊接口用以連接至該共用模組之該第一通訊接口。該第二儲存器用以儲存該金鑰及複數裝置資料。該第一CAN接口用以連接至該車輛之一CAN匯流排。該第二CAN接口用以連接至該車輛之一電子控制單元,且該電子控制單元連接至一電子裝置。該第二處理器電性連接至該第二通訊接口、該第二儲存器、該第一CAN接口及該第二CAN接口,並用以執行下列操作:透過該第二通訊接口,自該共用模組接收該金鑰,並將該金鑰儲存於該第二儲存器;透過第一CAN接口,自該CAN匯流排接收一CAN訊息,該CAN訊息包含一辨識碼及一CAN資料;使用該金鑰,解密該CAN資料,並 判斷是否正確解密該CAN資料並產生一解密結果指示符(indicator);當該解密結果指示符指示無法正確解密該CAN資料時,根據該解密結果指示符、該辨識碼及該等裝置資料,產生一風險評估值;將該風險評估值與一風險門檻值比較,產生一風險判定值;透過該第二通訊接口,將該風險判定值傳送至該共用模組。該共用模組之該第一處理器更用以執行下列操作:透過該第一通訊接口,接收該風險判定值;因應該風險判定值,透過該輸出元件,產生一警示訊號;因應該風險判定值,更新該金鑰;以及透過該第一通訊接口,將更新之該金鑰傳送至該監控模組。
此外,本發明更揭露一種安裝於一車輛之車輛資訊安全監控裝置,其包含一儲存器、一輸出元件、一第一CAN接口、一第二CAN接口及一處理器。該儲存器用以儲存一金鑰及複數裝置資料。該第一CAN接口,用以連接至該車輛之一CAN匯流排。該第二CAN接口,用以連接至該車輛之一電子控制單元(ECU),該電子控制單元連接至一電子裝置。該處理器電性連接至該儲存器、該輸出元件、該第一CAN接口及該第二CAN接口,並用以執行下列操作:產生該金鑰,並將其儲存於該儲存器;透過該第一CAN接口,自該CAN匯流排接收一CAN訊息,該CAN訊息包含一辨識碼及一CAN資料;使用該金鑰,解密該CAN資料,並判斷是否正確解密該CAN資料並產生一解密結果指示符(indicator);當該解密結果指示符指示無法正確解密該CAN資料時,根據該解密結果指示符、該辨識碼及該等裝置資料,產生一風險評估值;將該風險評估值與一風險門檻值比較,產生一風險判定值;因應該風險判定值,透過該輸出元件,產生一警示訊號;以及因應該風險判定值,更新該金鑰。
在參閱圖式及隨後描述之實施方式後,此技術領域具有通常知識者便可瞭解本發明之其他目的,以及本發明之技術手段及實施態樣。
1‧‧‧車輛資訊安全監控裝置
3‧‧‧CAN匯流排
11‧‧‧共用模組
11a‧‧‧第一通訊接口
11b‧‧‧第一處理器
11c‧‧‧輸出元件
11d‧‧‧第一儲存器
11e‧‧‧第三通訊接口
13‧‧‧監控模組
13a‧‧‧第一CAN接口
13b‧‧‧第二處理器
13c‧‧‧第二CAN接口
13d‧‧‧第二儲存器
13e‧‧‧第二通訊接口
15‧‧‧監控模組
15a‧‧‧第一CAN接口
15b‧‧‧第二處理器
15c‧‧‧第二CAN接口
15d‧‧‧第二儲存器
15e‧‧‧第四通訊接口
51、53‧‧‧電子控制單元
71、73‧‧‧電子裝置
102、110‧‧‧CAN訊息
104‧‧‧金鑰
106‧‧‧裝置資料
108、114‧‧‧解密CAN訊息
112‧‧‧加密CAN訊息
132‧‧‧常態模型
134‧‧‧威脅模型
2‧‧‧車輛資訊安全監控裝置
2a‧‧‧第一CAN接口
2b‧‧‧處理器
2c‧‧‧第二CAN接口
2d‧‧‧輸出元件
2e‧‧‧儲存器
2f‧‧‧第三CAN接口
2g‧‧‧第四CAN接口
第1A圖描繪本發明之車輛資訊安全監控裝置1之一實施情境;第1B圖係本發明之車輛資訊安全監控裝置1之監控模組13及共用模組11之一示意圖;第2A圖描繪本發明之車輛資訊安全監控裝置1之另一實施情境;第2B圖係本發明之車輛資訊安全監控裝置1之監控模組13及共用模組11之另一示意圖;第3A圖係本發明之常態模型之一示意圖;第3B圖係本發明之威脅模型之一示意圖;第3C圖係本發明之威脅模型之另一示意圖;第4圖描繪本發明之車輛資訊安全監控裝置2之一實施情境及車輛資訊安全監控裝置2之一示意圖;以及第5圖描繪本發明之車輛資訊安全監控裝置2之另一實施情境及車輛資訊安全監控裝置2之另一示意圖。
以下將透過實施例來解釋本發明所提供之車輛資訊安全監控裝置,本發明的實施例並非用以限制本發明須在如實施例所述之任何特定的環境、應用或特殊方式方能實施。因此,關於實施例之說明僅為闡釋本發明之目的,而非用以限制本發明。需說明者,以下實施例及圖式中,與本 發明非直接相關之元件已省略而未繪示,且圖式中各元件間之尺寸關係僅為求容易瞭解,並非用以限制實際比例。
本發明第一實施例如第1A-1B圖所示。第1圖係描繪本發明之車輛資訊安全監控裝置1之一實施情境。車輛資訊安全監控裝置1包含一共用模組11及一監控模組13。車輛資訊安全監控裝置1可安裝於一車輛(例如:一汽車,但不限於此)並連接於該車輛之控制器區域網路(Controller Area Network;CAN)匯流排3與一電子控制單元(Electronic Control Unit;ECU)51間。電子控制單元51係連接至一電子裝置71,以控制電子裝置71或進一步控制電子裝置71所結合之零組件。舉例而言,電子控制單元51可是控制與空調、車門、雨刷、引擎或其他零組件結合之電子裝置71。車輛資訊安全監控裝置1係自CAN匯流排3接收CAN訊息102,並進行安全性驗證後,才產生一解密CAN訊息108,並將解密CAN訊息108傳送至電子控制單元51。
詳言之,如第1B圖所示,共用模組11包含一第一通訊接口11a、一第一處理器11b、一輸出元件11c及一第一儲存器11d。第一處理器11b電性連接至第一通訊接口11a、第一儲存器11d及輸出元件11c。第一處理器11b用以產生一金鑰104,並將其儲存於第一儲存器11d。
舉例而言,金鑰104可採用一對稱加密(Symmetric Encryption)金鑰或一非對稱加密(Asymmetric Encryption)金鑰,但不限於此。當採用對稱加密金鑰時,金鑰104可為進階加密標準(Advanced Encryption Standard;AES)演算法中的金鑰。此外,於其他實施例中,本發明亦可將AES演算法結合數位簽章(Digital Signature)加密技術,透過數位簽章加密技術中的金鑰及雜湊函數(Hash Function)提高CAN資料被竄改或 偽造的機會,故在此情況下,金鑰104除了包含AES演算法之金鑰外,更包含數位簽章加密技術中的金鑰。由於所屬技術領域中具有通常知識者可基於前述說明瞭解本發明之金鑰104的各種實施態樣,故在此不再加以贅述。
監控模組13包含一第一CAN接口13a、一第二處理器13b、一第二CAN接口13c、一第二儲存器13d及一第二通訊接口13e。第二處理器13b電性連接至第二通訊接口13e、第二儲存器13d、第一CAN接口13a及第二CAN接口13c。第二通訊接口13e用以連接至共用模組11之第一通訊接口11a。第二儲存器13d用以儲存金鑰104及複數裝置資料106。舉例而言,各裝置資料106可為預設之車輛相關資訊,並分為靜態資料(例如:CAN識別碼、高低速匯流排資訊、ECU種類)及動態資料(例如:接收頻率),但不限於此。ECU種類可包含車身、外部設備、引擎、傳動、內部設備等,但不限於此。
第一CAN接口13a用以連接至該車輛之CAN匯流排3。須說明者,CAN匯流排3可包含一高速匯流排及一低速匯流排,且CAN匯流排上設置有多數CAN接口(圖未繪示)。第二CAN接口13c用以連接至車輛之電子控制單元51。第二處理器13b透過第二通訊接口13e,自共用模組11接收金鑰104,並將金鑰104儲存於第二儲存器13d。第二處理器13b透過第一CAN接口13a,自CAN匯流排3接收一CAN訊息102。
於本實施例中,CAN訊息102包含一辨識碼(圖未繪示)及一CAN資料(圖未繪示)。須說明者,CAN訊息102之辨識碼對應至該等裝置資料106其中之一的CAN識別碼。接著,第二處理器13b使用金鑰104,對CAN資料進行解密,並判斷是否正確解密CAN資料,以產生一解密結果指示符(indicator)。
舉例而言,當解密結果指示符指示為正確解密CAN資料時,第二處理器13b產生一解密CAN訊息108,並將解密CAN訊息108傳送至電子控制單元51。此外,當解密結果指示符指示無法正確解密該CAN資料時,第二處理器13b根據解密結果指示符、辨識碼及裝置資料106,產生一風險評估值。接著,第二處理器13b將風險評估值與一預設的風險門檻值進行比較,以產生一風險判定值,其代表一風險程度(例如:普通危險及高危險其中之一,但不限於此)。
舉例而言,第二處理器13b將解密結果指示符及辨識碼所對應的裝置資料106之高低速匯流排資訊及接收頻率帶入至一風險評估函數而產生風險評估值,其中接收頻率為第二處理器13b透過第一CAN接口13a,自CAN匯流排3每單位時間接收到具有相同辨識碼的CAN訊息102的次數。風險評估函數可表示如以下之公式,但應理解以下公式並非用以限制本發明之範圍:μ=f(x1,x2,x3)=x1*x2*x3
上述公式中,參數μ代表風險評估值,參數x1代表高低速匯流排資訊(例如:x1可為5e,高速匯流排:e=1,低速匯流排:e=-1,但不限於此),參數x2代表接收頻率,參數x3代表CAN資料是否正確解密(例如:x3可為2f,無法正確解密:f=1,正確解密:f=-1,但不限於此)。當μ小於10時,代表普通危險,而當μ大於等於10時,代表高危險。
第二處理器13b透過第二通訊接口13e,將風險判定值傳送至共用模組11。隨後,第一處理器11b透過第一通訊接口11a,接收風險判定值,並因應風險判定值,透過輸出元件11c,產生一警示訊號。須說明者,警示 訊號因應風險判定值,呈現普通危險或高危險,俾駕駛者或車輛相關人員可即時得知車輛的危險程度。舉例而言,輸出元件11c可為一螢幕、一揚聲器及一無線收發器或其任意組合其中之一,但不限於此。再者,所屬領域中具有通常知識者可瞭解風險判定值可根據風險評估函數之設計以呈現多種不同風險程度,例如:風險判定值可呈現低危險、普通危險及高危險三種危險程度。因此,風險判定值所能呈現之風險程度之數量及種類並非用以限制本發明之保護範圍。
除了透過輸出元件11c產生警示訊號告知駕駛者或車輛相關人員外,第一處理器11b更因應風險判定值,更新金鑰104。於更新金鑰104後,第一處理器11b透過第一通訊接口11a,將更新後的金鑰104傳送至監控模組13。如此一來,監控模組13即可使用更新後之金鑰104對傳送至CAN匯流排3或自CAN匯流排3接收之CAN訊息進行加解密,以阻擋以舊的金鑰104加密的CAN訊息。
據此,車輛資訊安全監控裝置1可根據風險判定值判斷CAN資料102是否能被正確解密,並產生相對應的警示,且將金鑰104進行更新,以防止有心人士入侵車輛的電子系統而影響車輛的操作,進而確保車輛的行車安全。
此外,於其他實施例中,第一處理器11b亦可定時地更新金鑰104,並透過第一通訊接口11a,將更新後的金鑰104傳送至監控模組13。舉例而言,第一處理器11b可根據一預設間隔時間(例如:每隔24小時),將金鑰104進行更新。此外,於其他實施例中,共用模組11可包含一輸入元件(圖未繪示),其電性連接至第一處理器11b,且用以接收一輸入訊號。在此 情況下,第一處理器11b可因應輸入訊號,更新金鑰104,並透過第一通訊接口11a,將更新後的金鑰104傳送至監控模組13。輸入元件可為一按鍵、一感測元件及一無線收發器其中之一。舉例而言,輸入元件可為一觸碰螢幕,駕駛者或車輛相關人員可透過操作觸碰螢幕以更新金鑰104。再舉例而言,輸入元件可為符合LTE行動通訊標準之一無線收發器,車輛相關人員可透過傳送控制訊息以遠端控制的方式進行金鑰104之更新。須說明者,前述輸入元件之種類僅為舉例說明,各種能達成手動更新金鑰104之技術手段皆屬於本發明保護之範疇。
本發明第二實施例請參考第2A-2B圖。第二實施例為第一實施例之延伸。於本實施例中,共用模組11包含電性連接至第一處理器之一第三通訊接口11e,且車輛資訊安全監控裝置1包含另一監控模組15。監控模組15包含一第一CAN接口15a、一第二處理器15b、一第二CAN接口15c、一第二儲存器15d及一第四通訊接口15e。第二處理器15b電性連接至第一CAN接口15a、第二CAN接口15c、第二儲存器15d及第四通訊接口15e。第四通訊接口15e用以連接至共用模組11之第三通訊接口11e。類似地,監控模組15係連接於CAN匯流排3與一電子控制單元53間。電子控制單元53係連接至一電子裝置73,以控制電子裝置73或進一步控制電子裝置73所結合之零組件。
當監控模組15自CAN匯流排3接收一加密CAN訊息112,監控模組15將對加密CAN訊息112進行安全性驗證,若通過安全性驗證才會產生一解密CAN訊息114,並將其傳送至電子控制單元53。須說明者,監控模組15實質上係與監控模組13相同,以及共用模組11與監控模組15間可執行之運作係與監控模組13間可執行之運作相同。為簡化說明,在此不再針對共 用模組11與監控模組15間可執行之運作加以贅述。
此外,於其他實施例中,車輛資訊安全監控裝置1更可包含其他監控模組。換言之,本發明之車輛資訊安全監控裝置1可透過外加的方式增加其他監控模組,並將其與共用模組11連接。前述第一實施例及第二實施例之第一通訊接口11a、第二通訊接口13e、第三通訊接口11e及第四通訊接口15e係符合一有線通訊標準之接口(例如:UART接口、I2C接口及SPI接口等)因此,本發明之車輛資訊安全監控裝置1可同時與多個電子控制單元連接,故任何數量之監控模組皆屬於本發明之保護範疇。
進一步言,於本實施例中,加密CAN訊息112可由監控模組13所產生。第二處理器13b可進一步地透過第二CAN接口13c,自電子控制單元51接收另一CAN訊息110。CAN訊息110包含另一辨識碼及另一CAN資料。第二處理器13b使用金鑰104,對CAN訊息110之CAN資料進行加密,並產生加密CAN訊息112。第二處理器13b透過第一CAN接口13a,將加密CAN訊息112傳送至CAN匯流排3。如此一來,加密CAN訊息112即可透過CAN匯流排3被監控模組15或其他監控模組所接收。
此外,可理解的是,若CAN匯流排3連接有其他未連接至監控模組之電子控制單元(即,此電子控制單元係直接連接至CAN匯流排3),此電子控制單元當然亦可接收到加密CAN訊息112,惟,其因無法解密CAN訊息112,故無法解讀加密CAN訊息112之CAN資料。因此,本發明可防止不明裝置自CAN匯流排3直接讀取加密CAN訊息112之CAN資料。
本發明第三實施例請參考第3A-3C圖。第三實施例為第一實施例及第二實施例之延伸。於本實施例中,各裝置資料106亦包含所對應之 電子控制單元之一常態模型。當解密結果指示符正確解密CAN訊息102之CAN資料時,第二處理器13b根據CAN資料,建立一威脅模型,且將威脅模型與裝置資料106中對應至CAN訊息102之辨識碼之常態模型進行比對,以產生一差異值。隨後,第二處理器13b判斷差異值是否大於一警示門檻值,當差異值大於警示門檻值時,即根據解密結果指示符、辨識碼及裝置資料106,產生風險評估值。如同第一實施例所述,隨後,第二處理器13b將風險評估值與預設的風險門檻值進行比較,以產生風險判定值,並將風險判定值傳送至共用模組11。如此一來,共用模組11可因應風險判定值,透過輸出元件11c,產生警示訊號。
接著,第二處理器13b判斷差異值是否亦大於一危險門檻值,當差異值大於危險門檻值時,即阻擋後續所接收之CAN訊息102(即,後續相同的CAN訊息)。舉例而言,第3A圖描繪CAN訊息102之識別碼所對應之電子控制單元的常態模型132,其中橫軸為頻率(例如:每秒發送出/接收到某相同辨識碼的CAN訊息102的次數、每分鐘接收到某相同辨識碼的CAN訊息102的次數)以及縱軸為次數(即,持續一特定時間範圍內某一頻率的CAN訊息所對應的累計次數)。常態模型132可根據各電子控制單元所傳送之CAN訊息之頻率所預先建立(例如:根據車輛出廠時的設定所建立),或者第二處理器13b經由執行一校正程序所建立。
於CAN訊息102正確被解密後,第二處理器13b可記錄每次CAN訊息102之接收,並為其建立威脅模型134,再將威脅模型134與常態模型132進行比對,以產生差異值。如第3B圖所示,若第二處理器13b判斷差異值大於警示門檻值(例如:某一頻率過高的CAN訊息在該特定時間範圍 內的統計次數超過10次),則基於前述實施例所述之方式,產生風險評估值。此外,如第3C圖所示,若第二處理器13b判斷差異值大於危險門檻值(例如:某一頻率過高的CAN訊息在該特定時間範圍內的統計次數超過30次),則隨即阻擋後續所接收之CAN訊息102的接收。換言之,當差異值大於危險門檻值時,第二處理器13b將終止因應CAN訊息102而產生解密CAN訊息108,以避免可疑的CAN訊息102之CAN資料被傳送給電子控制單元51,而造成不當的車輛操作,進而影響車輛的行車安全。
須說明者,危險門檻值係大於警示門檻值,亦即,若差異值達到危險門檻值,則代表CAN訊息可能產生較高程度之危險,故需即時阻擋。反之,若差異值僅達到警示門檻值而未達到危險門檻值,則可能是電子控制單元或其結合之零組件暫時產生些微故障或因駕駛者的一時的特定操作所造成,故無即時阻擋之必要。
綜上所述,本發明之車輛資訊安全監控裝置1可對CAN訊息102進行風險評估,判斷出CAN訊息102之危險程度,使得車輛之駕駛者或相關人員能即時採取適當的動作,因此,本發明能有效地對車輛的資訊安全進行監控,以防止有心人士入侵車輛的電子系統而影響車輛的操作,進而確保車輛的行車安全。
本發明第四實施如第4圖所示,其描繪本發明之車輛資訊安全監控裝置2之一實施情境及車輛資訊安全監控裝置2之一示意圖。類似地,車輛資訊安全監控裝置2可安裝於一車輛(例如:一汽車,但不限於此)並連接於該車輛之CAN匯流排3與電子控制單元51間。相較於車輛資訊安全監控裝置1之共用模組11及監控模組13屬於分離之組件,車輛資訊安全監控裝 置2係將共用模組11及監控模組13整合成單一組件。
具體而言,車輛資訊安全監控裝置2包含一第一CAN接口2a、一處理器2b、一第二CAN接口2c、一輸出元件2d及一儲存器2e。儲存器2e用以儲存金鑰104及該等裝置資料106。第一CAN接口2a用以連接至CAN匯流排3。第二CAN接口2c用以連接至電子控制單元51。處理器2b電性連接至第一CAN接口2a、第二CAN接口2c、輸出元件2d及儲存器2e。
於本實施例中,處理器2b產生金鑰104,並將其儲存於儲存器2e。此外,處理器2b透過第一CAN接口2a,自CAN匯流排3接收CAN訊息102,其包含辨識碼及CAN資料。接著,第二處理器2b使用金鑰104,對CAN資料進行解密,並判斷是否正確解密CAN資料,以產生解密結果指示符。
當解密結果指示符無法正確解密CAN資料時,處理器2b根據解密結果指示符、辨識碼及裝置資料106,產生風險評估值。舉例而言,處理器2b可如同第一實施例所述將解密結果指示符及辨識碼所對應的裝置資料106之高低速匯流排資訊及接收頻率帶入至風險評估函數而產生風險評估值。
隨後,處理器2b將風險評估值與風險門檻值進行比較,以產生風險判定值。接著,處理器2b因應風險判定值,透過輸出元件2d,產生警示訊號,並因應風險判定值,更新金鑰104。類似地,風險評估值可代表一普通危險及一高危險其中之一,且風險判定值指示普通危險或高危險,以及警示訊號呈現普通危險或高危險。因此,車輛資訊安全監控裝置2可如同車輛資訊安全監控裝置1所接收到的CAN訊息中之CAN資料無法被正確解密時,對CAN訊息進行風險評估,並執行相對應的警示及更新金鑰104。
類似地,輸出元件2d可如同輸出元件11c為一螢幕、一揚聲器及一無線收發器或其任意組合其中之一,但不限於此。此外,於其他實施例中,處理器2b亦可定時地更新金鑰104。另外,於其他實施例中,車輛資訊安全監控裝置2可包含一輸入元件(圖未繪示),其電性連接至處理器2b,且用以接收一輸入訊號。在此情況下,處理器2b可因應輸入訊號,更新金鑰104。同樣地,輸入元件可為一按鍵、一感測元件及一無線收發器其中之一。
依據上述說明,所屬技術領域中具有通常知識者應能理解第四實施方式如何實現第一實施方式中所述之其他運作,以具有同樣之功能,並達到同樣之技術效果,故在此不再加以贅述。
本發明之第五實施例如第5圖所示,其描繪本發明之車輛資訊安全監控裝置2之另一實施情境及車輛資訊安全監控裝置2之另一示意圖。於本實施例中,車輛資訊安全監控裝置2更包含電性連接至處理器2b之一第三CAN接口2f及一第四CAN接口2g。第三CAN接口2f用以連接至CAN匯流排3。第四CAN接口2g用以連接至電子控制單元53。同樣地,電子控制單元53係連接至電子裝置73,以控制電子裝置73或進一步控制電子裝置73所結合之零組件。當處理器2b透過第三CAN接口2f,自CAN匯流排3接收加密CAN訊息112,處理器2b將對加密CAN訊息112進行安全性驗證,若通過安全性驗證才會產生解密CAN訊息114,並透過第三CAN接口2f,將其傳送至電子控制單元53。
類似地,加密CAN訊息112可由處理器2b透過第二CAN接口2c,自電子控制單元51接收CAN訊息110,並使用金鑰104,對CAN訊息110之CAN資料進行加密而產生。處理器2b透過第一CAN接口2a,將加密CAN 訊息112傳送至CAN匯流排3。此外,可想像的是,若CAN匯流排3連接有其他未連接至監控模組之電子控制單元(即,此電子控制單元係直接連接至CAN匯流排3),此電子控制單元當然亦可接收到加密CAN訊息112,惟,其因無法解密CAN訊息112,故無法解讀加密CAN訊息112之CAN資料。因此,本發明可防止不明裝置自CAN匯流排3直接讀取加密CAN訊息112之CAN資料。
依據上述說明,所屬技術領域中具有通常知識者應能理解第五實施方式如何實現第二實施方式中所述之其他運作,以具有同樣之功能,並達到同樣之技術效果,故在此不再加以贅述。
本發明第六實施例亦請參考第3A-3C圖。第六實施例為第四實施例及第五實施例之延伸。於本實施例中,各裝置資料106亦包含所對應之電子控制單元之常態模型。當解密結果指示符正確解密CAN訊息102之CAN資料時,處理器12b根據CAN資料,建立一威脅模型,且將威脅模型與裝置資料106中對應至CAN訊息102之辨識碼之常態模型進行比對,以產生一差異值。隨後,處理器2b判斷差異值是否大於一警示門檻值,當差異值大於警示門檻值時,即根據解密結果指示符、辨識碼及裝置資料106,產生風險評估值。如同第四實施例所述,隨後,處理器2b將風險評估值與預設的風險門檻值進行比較,以產生風險判定值,並因應風險判定值,透過輸出元件2d,產生警示訊號。
接著,處理器2b判斷差異值是否亦大於一危險門檻值,當差異值大於危險門檻值時,即阻擋後續所接收之CAN訊息102(即,後續相同的CAN訊息)。由於所屬技術領域中具有通常知識者,基於前述第三實施例 之說明,可輕易瞭解第3A-3C圖之範例如何套用至本實施例中,故在此不再加以贅述。
綜上所述,本發明之車輛資訊安全監控裝置可使用金鑰104評估CAN訊息正確與否,並發出相對應的警示訊號,通知該車輛的駕駛者或相關人員,使其能即時做出適當之動作,且能對金鑰104進行更新。此外,即使CAN訊息能通過金鑰104解密,本發明之車輛資訊安全監控裝置仍可透過各電子控制單元之常態模型,以評估CAN訊息之傳送接收狀況是否合理,並於不合理時及時地更新金鑰、發出警示訊號及阻擋後續CAN訊息。因此,本發明為控制器區域網路提供一種資訊安全防護機制,其能有效地對車輛的資訊安全進行監控,以防止有心人士入侵車輛的電子系統而影響車輛的操作,進而確保車輛的行車安全。
上述之實施例僅角來例舉本發明之實施態樣,以及闡釋本發明之技術特徵,並非用來限制本發明之保護範疇。任何熟悉此技術者可輕易完成之改變或均等性之安排均屬於本發明所主張之範圍,本發明之權利保護範圍應以申請專利範圍為準。

Claims (20)

  1. 一種安裝於一車輛之車輛資訊安全監控裝置,包含:一共用模組,包含:一第一通訊接口;一第一儲存器,用以儲存一金鑰;一輸出元件;以及一第一處理器,電性連接至該第一通訊接口、該第一儲存器及該輸出元件,用以產生該金鑰,並將其儲存於該第一儲存器;一監控模組,包含:一第二通訊接口,用以連接至該共用模組之該第一通訊接口;一第二儲存器,儲存該金鑰及複數裝置資料;一第一控制器區域網路(Controller Area Network;CAN)接口,用以連接至該車輛之一CAN匯流排;一第二CAN接口,用以連接至該車輛之一電子控制單元(Electronic Control Unit;ECU),該電子控制單元連接至一電子裝置;以及一第二處理器,電性連接至該第二通訊接口、該第二儲存器、該第一CAN接口及該第二CAN接口,並用以執行下列操作:透過該第二通訊接口,自該共用模組,接收該金鑰,並將該金鑰儲存於該第二儲存器;透過該第一CAN接口,自該CAN匯流排接收一CAN訊息,該CAN訊息包含一辨識碼及一CAN資料; 使用該金鑰,解密該CAN資料,並判斷是否正確解密該CAN資料並產生一解密結果指示符;當該解密結果指示符指示無法正確解密該CAN資料時,根據該解密結果指示符、該辨識碼及該等裝置資料,產生一風險評估值;將該風險評估值與一風險門檻值比較,產生一風險判定值;以及透過該第二通訊接口,將該風險判定值傳送至該共用模組;其中,該共用模組之該第一處理器更用以執行下列操作:透過該第一通訊接口,接收該風險判定值;因應該風險判定值,透過該輸出元件,產生一警示訊號;因應該風險判定值,更新該金鑰;以及透過該第一通訊接口,將更新之該金鑰傳送至該監控模組。
  2. 如請求項1所述之車輛資訊安全監控裝置,其中當該解密結果指示符指示正確解密該CAN資料時,該第二處理器更執行下列操作:根據該CAN訊息,建立一威脅模型;將該威脅模型與該等裝置資料中對應至該辨識碼之一常態模型比對,以產生一差異值;判斷該差異值是否大於一警示門檻值;當該差異值大於該警示門檻值時,根據該解密結果指示符、該辨識碼及該等裝置資料,產生該風險評估值;判斷該差異值是否大於一危險門檻值,其中該危險門檻值大於該警示門檻值;以及 當該差異值大於該危險門檻值時,阻擋後續所接收之該CAN訊息。
  3. 如請求項1所述之車輛資訊安全監控裝置,其中該監控模組之該第二處理器係將該風險評估值與該風險門檻值比較,以判斷該風險評估值代表一普通危險及一高危險其中之一,該風險判定值指示該普通危險或該高危險,以及該警示訊號呈現該普通危險或該高危險。
  4. 如請求項1所述之車輛資訊安全監控裝置,其中該共用模組之該第一處理器更定時地更新該金鑰,以及透過該第一通訊接口,將更新之該金鑰傳送至該監控模組。
  5. 如請求項1所述之車輛資訊安全監控裝置,其中該共用模組更包含一輸入元件,電性連接至該第一處理器且用以接收一輸入訊號,以及該第一處理器更因應該輸入訊號,更新該金鑰,以及透過該第一通訊接口,將更新之該金鑰傳送至該監控模組。
  6. 如請求項1所述之車輛資訊安全監控裝置,其中該輸出元件為一螢幕、一揚聲器、一無線收發器或其任意組合其中之一。
  7. 如請求項1所述之車輛資訊安全監控裝置,其中該監控模組之該第二處理器更透過該第二CAN接口,自該電子控制單元接收另一CAN訊息,該另一CAN訊息包含另一識別碼及另一CAN資料,以及該第二處理器更使用該金鑰,加密該另一CAN資料,以產生一加密CAN訊息,並透過該第一CAN接口,傳送該加密CAN訊息至該CAN匯流排。
  8. 如請求項1所述之車輛資訊安全監控裝置,其中該共用模組更包含一第三通訊接口,電性連接至該第一處理器,以及該車輛資訊安全監控裝置更包含另一監控模組,其包含一第四通訊接口,且該第四通訊接口用以連 接至該共用模組之該第三通訊接口。
  9. 如請求項1所述之車輛資訊安全監控裝置,其中各該裝置資料包含一CAN識別碼、一高低速匯流排資訊、一ECU種類及一接收頻率,其中該CAN訊息之該識別碼對應至該等裝置資料其中之一之該CAN識別碼。
  10. 如請求項9所述之車輛資訊安全監控裝置,其中該監控模組之該第二處理器係將該解密結果指示符及該辨識碼所對應之該裝置資料之該高低速匯流排資訊與該接收頻率帶入至一風險評估函數而產生該風險評估值。
  11. 一種安裝於一車輛之車輛資訊安全監控裝置,包含:一儲存器,用以儲存一金鑰及複數裝置資料;一輸出元件;一第一CAN接口,用以連接至該車輛之一CAN匯流排;一第二CAN接口,用以連接至該車輛之一電子控制單元,該電子控制單元連接至一電子裝置;以及一處理器,電性連接至該儲存器、該輸出元件、該第一CAN接口及該第二CAN接口,並用以執行下列操作:產生該金鑰,並將其儲存於該儲存器;透過該第一CAN接口,自該CAN匯流排接收一CAN訊息,該CAN訊息包含一辨識碼及一CAN資料;使用該金鑰,解密該CAN資料,並判斷是否正確解密該CAN資料並產生一解密結果指示符;當該解密結果指示符指示無法正確解密該CAN資料時,根據該解密結果指示符、該辨識碼及該等裝置資料,產生一風險評估值; 將該風險評估值與一風險門檻值比較,產生一風險判定值;因應該風險判定值,透過該輸出元件,產生一警示訊號;以及因應該風險判定值,更新該金鑰。
  12. 如請求項11所述之車輛資訊安全監控裝置,其中當該解密結果指示符指示正確解密該CAN資料時,該處理器更執行下列操作:根據該CAN訊息,建立一威脅模型;將該威脅模型與該等裝置資料中對應至該辨識碼之一常態模型比對,以產生一差異值;判斷該差異值是否大於一警示門檻值;當該差異值大於該警示門檻值時,根據該解密結果指示符、該辨識碼及該等裝置資料,產生該風險評估值;判斷該差異值是否大於一危險門檻值,其中該危險門檻值大於該警示門檻值;以及當該差異值大於該危險門檻值時,阻擋後續所接收之該CAN訊息。
  13. 如請求項11所述之車輛資訊安全監控裝置,其中該處理器係將該風險評估值與該風險門檻值比較,以判斷該風險評估值代表一普通危險及一高危險其中之一,該風險判定值指示該普通危險或該高危險,以及該警示訊號呈現該普通危險或該高危險。
  14. 如請求項11所述之車輛資訊安全監控裝置,其中該處理器更定時地更新該金鑰。
  15. 如請求項11所述之車輛資訊安全監控裝置,包含一輸入元件,電性連接至該處理器,且用以接收一輸入訊號,其中,該處理器更因應該輸入訊 號,更新該金鑰。
  16. 如請求項11所述之車輛資訊安全監控裝置,其中該輸出元件為一螢幕、一揚聲器、一無線收發器或其任一組合其中之一。
  17. 如請求項11所述之車輛資訊安全監控裝置,其中該處理器更透過該第二CAN接口,自該電子控制單元接收另一CAN訊息,該另一CAN訊息包含另一識別碼及另一CAN資料,以及該處理器更使用該金鑰,加密該另一CAN資料,以產生一加密CAN訊息,並透過該第一CAN接口,傳送該加密CAN訊息至該CAN匯流排。
  18. 如請求項11所述之車輛資訊安全監控裝置,更包含:一第三CAN接口,電性連接至該處理器,且用以連接至該車輛之該CAN匯流排;以及一第四CAN接口,電性連接至該處理器,且用以連接至該車輛之另一電子控制單元,該另一電子控制單元連接至另一電子裝置。
  19. 如請求項11所述之車輛資訊安全監控裝置,其中各該裝置資料包含一CAN識別碼、一高低速匯流排資訊、一ECU種類及一接收頻率,其中該CAN訊息之該識別碼對應至該等裝置資料其中之一之該CAN識別碼。
  20. 如請求項19所述之車輛資訊安全監控裝置,其中該處理器係將該解密結果指示符及該辨識碼所對應之該裝置資料之該高低速匯流排資訊與該接收頻率帶入至一風險評估函數而產生該風險評估值。
TW107138820A 2018-11-01 2018-11-01 車輛資訊安全監控裝置 TWI674778B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW107138820A TWI674778B (zh) 2018-11-01 2018-11-01 車輛資訊安全監控裝置
CN201811329195.9A CN111131136B (zh) 2018-11-01 2018-11-09 车辆信息安全监控装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107138820A TWI674778B (zh) 2018-11-01 2018-11-01 車輛資訊安全監控裝置

Publications (2)

Publication Number Publication Date
TWI674778B true TWI674778B (zh) 2019-10-11
TW202019131A TW202019131A (zh) 2020-05-16

Family

ID=69023541

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107138820A TWI674778B (zh) 2018-11-01 2018-11-01 車輛資訊安全監控裝置

Country Status (2)

Country Link
CN (1) CN111131136B (zh)
TW (1) TWI674778B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114365450B (zh) * 2021-04-28 2023-03-21 华为技术有限公司 密钥处理方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7797737B2 (en) * 1999-07-01 2010-09-14 International Business Machines Corporation Security for network-connected vehicles and other network-connected processing environments
US8255144B2 (en) * 1997-10-22 2012-08-28 Intelligent Technologies International, Inc. Intra-vehicle information conveyance system and method
US9173100B2 (en) * 2011-11-16 2015-10-27 Autoconnect Holdings Llc On board vehicle network security
TW201735669A (zh) * 2016-03-25 2017-10-01 高通公司 用於使用從多個感測器收集之資訊來保護車輛免受惡意軟體及攻擊之方法及系統

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN201923071U (zh) * 2010-12-29 2011-08-10 奇瑞汽车股份有限公司 一种汽车防盗系统
WO2016075869A1 (ja) * 2014-11-13 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 鍵管理方法、車載ネットワークシステム及び鍵管理装置
US20160155276A1 (en) * 2014-12-01 2016-06-02 Institute For Information Industry Method and Apparatus of Dynamically Assigning Parking Lot
CN105227642A (zh) * 2015-09-10 2016-01-06 上海修源网络科技有限公司 用于传输车辆数据的装置及其数据传输方法
CN106850230B (zh) * 2017-02-15 2018-04-17 北京航空航天大学 一种基于can网络的数据安全交换方法
CN107150659A (zh) * 2017-05-27 2017-09-12 吉利汽车研究院(宁波)有限公司 基于一键启动指纹识别的车辆防盗报警方法及其装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8255144B2 (en) * 1997-10-22 2012-08-28 Intelligent Technologies International, Inc. Intra-vehicle information conveyance system and method
US7797737B2 (en) * 1999-07-01 2010-09-14 International Business Machines Corporation Security for network-connected vehicles and other network-connected processing environments
US9173100B2 (en) * 2011-11-16 2015-10-27 Autoconnect Holdings Llc On board vehicle network security
TW201735669A (zh) * 2016-03-25 2017-10-01 高通公司 用於使用從多個感測器收集之資訊來保護車輛免受惡意軟體及攻擊之方法及系統

Also Published As

Publication number Publication date
CN111131136A (zh) 2020-05-08
CN111131136B (zh) 2022-01-11
TW202019131A (zh) 2020-05-16

Similar Documents

Publication Publication Date Title
JP7410223B2 (ja) 不正検知サーバ、及び、方法
Palanca et al. A stealth, selective, link-layer denial-of-service attack against automotive networks
JP7045288B2 (ja) データ解析装置、データ解析方法及びプログラム
US9646156B2 (en) System and method for detecting OBD-II CAN BUS message attacks
US10279775B2 (en) Unauthorized access event notification for vehicle electronic control units
EP3084676B1 (en) Secure vehicular data management with enhanced privacy
JP2019013007A (ja) グローバル自動車安全システム
WO2018051607A1 (ja) 検知装置、ゲートウェイ装置、検知方法および検知プログラム
JP5900007B2 (ja) 車両用データ通信認証システム及び車両用ゲートウェイ装置
CN106427828A (zh) 用于插入式无线安全装置的方法和设备
JP7045286B2 (ja) データ解析装置、データ解析方法及びプログラム
US11995181B2 (en) Vehicle surveillance device and vehicle surveillance method
CN105329208A (zh) 一种汽车防盗监控系统
CN108122311A (zh) 车辆虚拟钥匙实现方法及系统
KR20200103643A (ko) 차량 내 네트워크에 보안을 제공하는 시스템 및 방법
US20200014758A1 (en) On-board communication device, computer program, and message determination method
US20190340850A1 (en) Method and Terminal For Controlling the Establishment of a Vehicle Accident Report
KR20190003112A (ko) Can 통신 기반 우회 공격 탐지 방법 및 시스템
JP2022176312A (ja) 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
TWI674778B (zh) 車輛資訊安全監控裝置
Saeed et al. A review: Cybersecurity challenges and their solutions in connected and autonomous vehicles (CAVs)
US20070266250A1 (en) Mobile Data Transmission Method and System
KR20190063209A (ko) 차량의 상태 검증과 이상 징후 탐지 장치 및 이를 포함하는 시스템
JP2010208353A (ja) 車両用制御システム
JP2015227157A (ja) データゲートウェイ及びその車両動作への干渉方法