TWI716135B - 用於車用網路之安全監控裝置及方法 - Google Patents

用於車用網路之安全監控裝置及方法 Download PDF

Info

Publication number
TWI716135B
TWI716135B TW108136062A TW108136062A TWI716135B TW I716135 B TWI716135 B TW I716135B TW 108136062 A TW108136062 A TW 108136062A TW 108136062 A TW108136062 A TW 108136062A TW I716135 B TWI716135 B TW I716135B
Authority
TW
Taiwan
Prior art keywords
electronic control
control unit
area network
controller area
encryption key
Prior art date
Application number
TW108136062A
Other languages
English (en)
Other versions
TW202116037A (zh
Inventor
洪逸舟
施志民
陳星宇
劉文楷
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW108136062A priority Critical patent/TWI716135B/zh
Priority to CN201911075402.7A priority patent/CN112615766A/zh
Priority to US16/693,835 priority patent/US11392690B2/en
Application granted granted Critical
Publication of TWI716135B publication Critical patent/TWI716135B/zh
Publication of TW202116037A publication Critical patent/TW202116037A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

一種用於車用網路之安全監控裝置及方法。該裝置透過該控制器區域網路接口,傳送一指示符及加密金鑰至複數個電子控制單元。該裝置透過該控制器區域網路接口,自該等電子控制單元接收各該電子控制單元之一回應碼,其中各該回應碼由各該電子控制單元的序列號及該加密金鑰經由一雜湊演算法產生。該裝置基於一列表、該加密金鑰及該雜湊演算法,比對各該電子控制單元回傳之該回應碼,以判斷各該電子控制單元是否正確地回傳該回應碼。該裝置判斷當該等電子控制單元其中之一未正確地回傳該回應碼時,產生一警示訊號。

Description

用於車用網路之安全監控裝置及方法
本發明係關於一種用於車用網路之安全監控裝置及方法。具體而言,本發明係關於一種安裝於一車輛之控制器區域網路的安全監控裝置及方法。
隨著科技的快速發展,各種車輛皆裝載多種電子控制單元(Electronic Control Unit;ECU),以控制安裝於車輛上的各種電子裝置及所結合之零組件,並對其進行檢測。一般而言,車用網路又稱作控制器區域網路(Controller Area Network;CAN),控制器區域網路為目前廣泛用於車輛的車用匯流排標準,允許車輛上的該等電子控制單元透過控制器區域網路匯流排來相互通訊。
然而,由於控制器區域網路的內部通訊係基於資訊導向傳輸協定的廣播機制,因此對於內部訊息的傳遞並無提供任何資訊安全防護措施。此外,在控制器區域網路的機制下,對於已知的節點或新加入的節點缺乏監督機制,且由於沒有主機來監控控制器區域網路下的節點組成(例如:各個電子控制單元)及訊息,因而使得有心人士有機可乘,當控制器區域網路下的某個節點被入侵時(例如:取代或是仿冒),入侵者即可透過該被入侵的節點發送非法訊息,進而影響車輛的操作,此舉將可能危及車 輛的行車安全。
另外,在控制器區域網路的機制下,外部裝置只要透過控制器區域網路匯流排連接至車輛的控制器區域網路,該外部裝置即可在控制器區域網路上接收及發出訊息。然而,由於控制器區域網路的運作機制對於底下的節點並未控管,且對於內部訊息的傳遞並無提供任何資訊安全防護措施,因此無法偵測控制器區域網路可能存在之非法訊息。
有鑑於此,如何在現有的控制器區域網路架構下為控制器區域網路提供一種安全防護機制,監控控制器區域網路下的節點,防止有心人士入侵車輛網路而影響車輛的操作,乃是業界亟待解決的問題。
本發明之一目的在於提供一種用於車用網路之安全監控裝置,該安全監控裝置安裝於一車輛。該安全監控裝置包含一控制器區域網路接口、一儲存器及一處理器,其中該處理器電性連接至該控制器區域網路接口及該儲存器。該控制器區域網路接口透過一控制器區域網路匯流排連接至該車輛之一控制器區域網路。該儲存器儲存一列表及一加密金鑰,其中該列表儲存連接至該控制器區域網路的複數個電子控制單元各自的一單元代碼及一序列號。該處理器執行下列運作:(a)透過該控制器區域網路接口,傳送一指示符及該加密金鑰至該等電子控制單元,其中該指示符與一第一控制器區域網路辨識碼及該單元代碼相關,且該加密金鑰經由一加密演算法加密;(b)透過該控制器區域網路接口,自該等電子控制單元接收各該電子控制單元之一回應碼,其中各該回應碼由各該電子控制單元的該序列號及該加密金鑰經由一雜湊演算法產生;(c)基於該列表、該加密金鑰 及該雜湊演算法,比對各該電子控制單元回傳之該回應碼,以判斷各該電子控制單元是否正確地回傳該回應碼;以及(d)判斷當該等電子控制單元其中之一未正確地回傳該回應碼時,產生一警示訊號。
本發明之另一目的在於提供一種用於車用網路之安全監控方法,適用於一電子裝置。該電子裝置安裝於一車輛,該電子裝置包含一控制器區域網路接口、一儲存器及一處理器。該控制器區域網路接口透過一控制器區域網路匯流排連接至該車輛之一控制器區域網路。該儲存器儲存一列表及一加密金鑰,其中該列表儲存連接至該控制器區域網路的複數個電子控制單元各自的一單元代碼及一序列號。該車用網路安全監控方法由該處理器所執行且包含下列步驟:(a)透過該控制器區域網路接口,傳送一指示符及該加密金鑰至該等電子控制單元,其中該指示符與一第一控制器區域網路辨識碼及該單元代碼相關,且該加密金鑰經由一加密演算法加密;(b)透過該控制器區域網路接口,自該等電子控制單元接收各該電子控制單元之一回應碼,其中各該回應碼由各該電子控制單元的該序列號及該加密金鑰經由一雜湊演算法產生;(c)基於該列表、該加密金鑰及該雜湊演算法,比對各該電子控制單元回傳之該回應碼,以判斷各該電子控制單元是否正確地回傳該回應碼;以及(d)判斷當該等電子控制單元其中之一未正確地回傳該回應碼時,產生一警示訊號。
本發明所提供之安全監控技術(至少包含裝置及方法),藉由對於控制器區域網路網路中的已知節點執行驗證機制,由安全監控裝置傳送加密金鑰,由節點根據其自身的序列號及該加密金鑰,並經由一雜湊演算法生成回應碼,由安全監控裝置驗證各該節點的回傳碼是否正確。當 該等節點其中之一未正確地回傳時,安全監控裝置即產生警示訊號。此外,安全監控裝置更可自各節點接收各節點可能會使用的控制器區域網路辨識碼及對應的傳輸頻率,所以當控制器區域網路出現異常的控制器區域網路辨識碼及傳輸頻率時,可以預先發現異常傳輸資料並發出警告訊息。另外,由於本發明的驗證機制是建立在應用層,因此不需要改變傳統控制器區域網路及封包傳輸的架構,更能適用在現有的控制器區域網路架構產品上。因此,本發明能有效地對車用網路的安全進行監控,以防止有心人士入侵車用網路而影響車輛的操作,進而確保車輛的行車安全。
以下結合圖式闡述本發明之詳細技術及較佳實施方式,俾使本發明所屬技術領域中具有通常知識者能理解所請求保護之發明之特徵。
1:安全監控裝置
11:控制器區域網路接口
13:儲存器
15:處理器
131:列表
133:加密金鑰
EID1、EID2、EID3;EID4:單元代碼
SN1、SN2、SN3、SN4:序列號
S301、S303、S305、S307:步驟
S401、S403:步驟
第1A圖係描繪第一實施方式之車輛之控制器區域網路的架構示意圖;第1B圖係描繪第一實施方式之安全監控裝置之架構示意圖;第2圖係描繪列表之一具體範例;第3圖係描繪第二實施方式之安全監控方法之部分流程圖;以及第4圖係描繪某些實施方式所會執行之方法之部分流程圖。
以下將透過實施方式來解釋本發明所提供之一種用於車用網路之安全監控裝置及方法。然而,該等實施方式並非用以限制本發明需 在如該等實施方式所述之任何環境、應用或方式方能實施。因此,關於實施方式之說明僅為闡釋本發明之目的,而非用以限制本發明之範圍。應理解,在以下實施方式及圖式中,與本發明非直接相關之元件已省略而未繪示,且各元件之尺寸以及元件間之尺寸比例僅為例示而已,而非用以限制本發明之範圍。
本發明第一實施例如第1A圖至第2圖所示。第1A圖例示了關於車輛之控制器區域網路(下稱:CAN)的架構示意圖,有5個節點連接到CAN,其分別為引擎控制電子控制單元、動力控制電子控制單元、防鎖死煞車系統(Anti-lock Braking System;ABS)電子控制單元、故障診斷電子控制單元及本發明的安全監控裝置1。本發明的安全監控裝置1透過控制器區域網路匯流排(下稱:CAN匯流排)連接至該車輛之CAN。須說明者,本發明並未限制與CAN所連線的電子控制單元數目。換言之,於本發明之其他實施方式中,安全監控裝置1可與更多的電子控制單元透過CAN連線,視CAN之規模及實際需求而定。另外,示意圖僅繪示了CAN部分的結構,而省略了部分的元件,例如:電子控制單元更連接至其他元件(例如:車門、雨刷、引擎或其他零組件)。
本發明之第一實施方式為一安全監控裝置1,其裝置架構示意圖係描繪於第1B圖。安全監控裝置1包含一控制器區域網路接口11(下稱:CAN接口11)、一儲存器13及一處理器15,且處理器15電性連接至CAN接口11及儲存器13。CAN接口11為一可接收及傳輸資料之介面或本發明所屬技術領域中具有通常知識者所知悉之其他可接收及傳輸資料之介面。
儲存器13可為一記憶體、一通用串列匯流排(Universal Serial Bus;USB)碟、一硬碟、一光碟、一隨身碟或本發明所屬技術領域中具有通常知識者所知且具有相同功能之任何其他儲存媒體或電路。處理器15可為各種處理器、中央處理單元、微處理器、數位訊號處理器或本發明所屬技術領域中具有通常知識者所知之其他計算裝置。
於本實施方式中,安全監控裝置1的CAN接口11透過CAN匯流排連接至該車輛之CAN(如第1A圖所例示之控制器區域網路)。儲存器13儲存一列表131及一加密金鑰133,其中列表131儲存連接至該CAN的複數個電子控制單元各自的一單元代碼(又稱:electronic Identity;EID)及一序列號(Serial Number;SN)。須說明者,該列表131由安全監控裝置1預先建立並維護,於某些實施方式中亦可由外部裝置直接接收。
除了安全監控裝置1存有各個電子控制單元的單元代碼及序列號,各電子控制單元本身亦存有其自身的單元代碼及序列號。具體而言,單元代碼為安全監控裝置1配置給各個電子控制單元的固定名稱,而序列號則用於安全監控裝置1與各個電子控制單元後續驗證時的序號,其值可能因為不同的加密/雜湊機制而變動,關於安全監控裝置1與各該電子控制單元的驗證方式將於後段詳述。
為便於理解,請參考第2圖關於列表的一具體範例。以第1圖的CAN架構為例,第2圖所示的列表儲存4筆已知的節點,其分別為引擎控制電子控制單元、動力控制電子控制單元、防鎖死煞車系統電子控制單元及故障診斷電子控制單元,且分別對應至單元代碼「EID1」、「EID2」、「EID3」、「EID4」及序列號「SN1」、「SN2」、「SN3」、「SN4」。
為便於理解,先簡單說明本實施方式的運作流程。安全監控 裝置1藉由發送預設訊息(包含預設辨識碼及加密金鑰)給CAN中的各個節點(即,各該電子控制單元),命令各節點回傳其自身的回傳值,以進行後續驗證。接著,由各節點根據接收到的加密金鑰及自身之序列號,經由雜湊演算法運算後,產生回傳值,回傳給安全監控裝置1。最後,由安全監控裝置1根據列表131中紀錄的序列號及加密金鑰,驗證自各該節點接收的回傳值是否正確來判斷各該已知的節點(即,於列表131中紀錄的節點)是否異常/被入侵,以下段落將詳細敘述各運作的細節。
首先,由安全監控裝置1發起驗證運作,處理器15透過CAN接口11,傳送一指示符(未繪示)及加密金鑰133至該等電子控制單元,其中該指示符與一第一控制器區域網路辨識碼及該單元代碼相關,且加密金鑰133經由一加密演算法加密。具體而言,該指示符為安全監控裝置1與各該電子控制單元事先約定的回傳指示,當各該電子控制單元收聽到該預設辨識碼時,各該電子控制單元需要回傳相對應的回應值。
須說明者,在CAN的機制下,在CAN中傳輸的任何傳輸資料均需帶有一控制器區域網路辨識碼(下稱:CAN ID)及資料內容,CAN ID用以辨識該傳輸資料的用途、種類、接收對象等等,通常同樣種類的傳輸資料均使用同一CAN ID傳輸。更具體而言,在CAN的機制中,由於在CAN中的傳輸資料是開放給所有節點均可收聽,CAN ID用以讓各節點知道該傳輸資料是否是自己要接收的,意即某節點(即,電子控制單元)僅會對於某類的CAN ID的傳輸資料有動作,例如:防鎖死煞車系統電子控制單元可能僅對於CAN ID為剎車類的傳輸資料有相應的運作。
舉例而言,安全監控裝置1可與各該電子控制單元約定以閒 置之CAN ID 999及安全監控裝置1的單元代碼作為指示符(即,由安全監控裝置1發送CAN ID為999且資料內容為安全監控裝置1單元代碼的傳輸資料至CAN)。隨後,當各電子控制單元接收到CAN ID為999且資料內容為安全監控裝置1單元代碼時,即代表各電子控制單元需要回傳資料進行驗證。接著,安全監控裝置1再將CAN ID為998且資料內容為加密金鑰133的傳輸資料傳輸給各該電子控制單元。
一般而言,由於CAN中傳輸資料的固定格式為8個byte,由於此長度太短對於一般加密金鑰的安全性不足,因此可以透過CAN ID為998分多次傳輸加密金鑰的不同部分(例如:將加密金鑰切割成4個部分,分次傳送)。另外,在CAN的機制中,CAN ID越小的傳輸資料優先權越高。因此,使用CAN ID為998來傳輸可以保證優先權來發送加密金鑰的傳輸資料。須說明者,此處安全監控裝置1使用CAN ID為999及CAN ID為998來傳輸資料僅為其中一種例示,而非用以限制本發明的範圍,本領域具有通常知識者應可根據其內容了解本實施方式運作的方法,茲不贅言。
另外,由於CAN屬於開放資料的傳播,任何節點均可聽取CAN上的傳輸資料,為避免被有心人士透過CAN監聽得知加密金鑰133,安全監控裝置1在傳輸資料過程中會將加密金鑰133進行加密,再由接收到的各該電子控制單元解密後使用。舉例而言,加密金鑰133可透過一對稱加密(Symmetric Encryption)或一非對稱加密(Asymmetric Encryption),但不限於此,由於所屬技術領域中具有通常知識者可基於前述說明瞭解本發明加密的各種實施態樣,故在此不再加以贅述。
接著,於本實施方式中,由各該電子控制單元接收加密金鑰 133後進行解密,接著產生各該電子控制單元的回應碼,並回傳該回應碼給安全監控裝置1。舉例而言,各該電子控制單元將自身的序列號及加密金鑰133相加,並透過一雜湊演算法(例如:SHA 256雜湊演算法,但不限定),產生該回應碼(即,加密後的字串)並傳輸該回應碼給安全監控裝置1,由於安全監控裝置1亦存有各該電子控制單元的序列號及加密金鑰133,透過同一雜湊演算法即可檢驗各該電子控制單元回傳的回應碼。
關於各該電子控制單元回傳的方式,以第2圖的引擎控制電子控制單元舉例而言,引擎控制電子控制單元先經由CAN ID為999且資料內容為EID1的傳輸資料,讓安全監控裝置1得知目前是哪個電子控制單元在回報資訊。接著,再透過CAN ID為998且資料內容為回應碼(即,該電子控制單元的序列號及加密金鑰133相加後的雜湊值)的傳輸資料,回傳給安全監控裝置1。於某些實施方式中,各該電子控制單元亦在回傳前先加密該回應碼(例如:透過對稱加密或一非對稱加密),以防止有心人士仿造該回應碼,由於所屬技術領域中具有通常知識者可基於前述說明瞭解本發明加密的各種實施態樣,故在此不再加以贅述。
隨後,處理器15透過CAN接口11,自該等電子控制單元接收各該電子控制單元之回應碼,其中各該回應碼由各該電子控制單元的序列號及該加密金鑰經由雜湊演算法產生。接著,處理器15基於該列表、該加密金鑰及該雜湊演算法,比對各該電子控制單元回傳之該回應碼,以判斷各該電子控制單元是否正確地回傳該回應碼。具體而言,由於安全監控裝置1的列表131已存有各該電子控制單元的序列號及加密金鑰133,處理器15將加密金鑰133及列表131中的該等序列號,經由該雜湊演算法產生對應 各該電子控制單元的一驗證碼,接著比對各該電子控制單元回傳之該回應碼及各該電子控制單元的該驗證碼是否相等,即可判斷各該電子控制單元是否正確地回傳該回應碼。
最後,處理器15判斷當該等電子控制單元其中之一未正確地回傳該回應碼時,產生一警示訊號。須說明者,安全監控裝置1根據列表131中儲存的已知節點(即,各該電子控制單元)作驗證,對於無法發送正確回應碼或是未發送回應碼的各該電子控制單元,安全監控裝置1即可判斷其可能已被入侵(例如:取代或是仿冒)成為非法節點,由處理器15產生警示訊號以提醒可能的非法行為。
於某些實施方式中,處理器15更定時地更新該加密金鑰133,以防止有心人士側錄到相關資訊。舉例而言,處理器15可根據一預設間隔時間(例如:每隔24小時),將加密金鑰133進行更新。又舉例而言,處理器15可在每次車輛啟動時,更新加密金鑰133。
於某些實施方式中,為防止有心人士側錄節點的相關資訊,安全監控裝置1與各該電子控制單元可約定一機制更新其序列號。具體而言,處理器15可以一預定規則,定時地根據該預定規則變更該列表中各該電子控制單元的該序列號,該預定規則可為複數個雜湊演算法的集合,在每次執行完驗證的運作後,處理器15及各該電子控制單元利用預定規則中約定好的另一雜湊演算法(例如:SHA-1、SHA-224、SHA-256、SHA-384及SHA-512等雜湊演算法,但不限定於此)將舊的序列號更新為新的序列號,如此迭代的更新序列號以防止偽節點側錄到節點的相關資訊。
於某些實施方式中,該處理器更基於一驗證週期(例如:每 10分鐘),週期性的執行由安全監控裝置1發起的前述驗證運作,以定期的對於CAN的已知節點(即,列表131中的各該電子控制單元)驗證其安全,降低可能的風險。
此外,由於CAN的機制對於惡意加入CAN的節點(即,未在列表131中)缺乏監督機制,且惡意的節點可能發送非法訊息,進而影響車輛的操作,此舉將可能危及車輛的行車安全,造成可能的安全危險。因此,於某些實施方式中,安全監控裝置1更自各該電子控制單元接收各該電子單元可能會使用的CAN ID及對應的傳輸頻率,用以監控當CAN出現異常的CAN ID及傳輸頻率時,可以預先發現異常傳輸資料並發出警告訊息。具體而言,處理器15透過該CAN接口透過該控制器區域網路接口,自各該電子控制單元接收各該電子控制單元的一頻率列表,其中各該頻率列表儲存各該電子控制單元使用的複數個控制器區域網路辨識碼及對應各該控制器區域網路辨識碼的一傳輸頻率;以及基於該頻率列表,判斷CAN是否存在一非法訊息。
於某些實施方式中,各該電子控制單元亦在回傳前先加密該頻率列表(例如:透過對稱加密或一非對稱加密),以防止有心人士竊取該頻率列表,由於所屬技術領域中具有通常知識者可基於前述說明瞭解本發明加密的各種實施態樣,故在此不再加以贅述。
綜上所述,本發明之安全監控裝置1可對於CAN網路中的已知節點執行驗證機制,由安全監控裝置1傳送加密金鑰,由節點根據其自身的序列號及該加密金鑰,並經由一雜湊演算法生成回應碼,由安全監控裝置1驗證各該節點的回傳碼是否正確。當該等節點其中之一未正確地回傳 時,安全監控裝置1即產生警示訊號。此外,安全監控裝置1更可自各節點接收各節點可能會使用的CAN ID及對應的傳輸頻率,所以當CAN出現異常的CAN ID及傳輸頻率時,可以預先發現異常傳輸資料並發出警告訊息。另外,由於本發明的驗證機制是在建立在應用層,因此不需要改變傳統CAN及封包傳輸的架構,更能適用在現有的CAN架構產品上。因此,本發明能有效地對車用網路的安全進行監控,以防止有心人士入侵車用網路而影響車輛的操作,進而確保車輛的行車安全。
本發明之第二實施方式為一用於車用網路之安全監控方法,其流程圖係描繪於第3圖。安全監控方法適用於一電子裝置,該電子裝置安裝於一車輛,例如:第一實施方式所述之安全監控裝置1。該電子裝置包含一控制器區域網路接口、一儲存器及一處理器。該控制器區域網路接口透過一控制器區域網路匯流排連接至該車輛之一控制器區域網路。該儲存器儲存一列表及一加密金鑰,其中該列表儲存連接至該控制器區域網路的複數個電子控制單元各自的一單元代碼及一序列號。該安全監控方法由該處理器所執行,該安全監控方法透過步驟S301至步驟S307產生監控該車輛的控制器區域網路。
於步驟S301,由該電子裝置透過該控制器區域網路接口,傳送一指示符及該加密金鑰至該等電子控制單元,其中該指示符與一第一控制器區域網路辨識碼及該單元代碼相關,且該加密金鑰經由一加密演算法加密。於步驟S303,由該電子裝置透過該控制器區域網路接口,自該等電子控制單元接收各該電子控制單元之一回應碼,其中各該回應碼由各該電子控制單元的該序列號及該加密金鑰經由一雜湊演算法產生。
接著,於步驟S305,由該電子裝置基於該列表、該加密金鑰及該雜湊演算法,比對各該電子控制單元回傳之該回應碼,以判斷各該電子控制單元是否正確地回傳該回應碼。最後,於步驟S307,由該電子裝置判斷當該等電子控制單元其中之一未正確地回傳該回應碼時,產生一警示訊號。
於某些實施方式中,該步驟S305更包含以下步驟:將該加密金鑰及該列表中的該等序列號,經由該雜湊演算法產生對應各該電子控制單元的一驗證碼;以及比對各該電子控制單元回傳之該回應碼及各該電子控制單元的該驗證碼是否相等,以判斷各該電子控制單元是否正確地回傳該回應碼。
於某些實施方式中,該安全監控方法更包含定時地更新該加密金鑰。於某些實施方式中,該安全監控方法更包含以一預定規則,定時地根據該預定規則變更該列表中各該電子控制單元的該序列號,其中該預定規則為與另一雜湊演算法相關。
於某些實施方式中,該安全監控方法更包含基於一驗證週期,週期性的執行步驟S301至步驟S307。
於某些實施方式中,該安全監控方法更包含步驟S401至步驟S403。請參第4圖,於步驟S401,由該電子裝置透過該控制器區域網路接口,自各該電子控制單元接收各該電子控制單元的一頻率列表,其中各該頻率列表儲存各該電子控制單元使用的複數個第二控制器區域網路辨識碼及對應各該第二控制器區域網路辨識碼的一傳輸頻率。接著,於步驟S403,由該電子裝置基於該頻率列表,判斷該控制器區域網路是否存在一非法訊 息。
除了上述步驟,第二實施方式亦能執行第一實施方式所描述之安全監控裝置1之所有運作及步驟,具有同樣之功能,且達到同樣之技術效果。本發明所屬技術領域中具有通常知識者可直接瞭解第二實施方式如何基於上述第一實施方式以執行此等運作及步驟,具有同樣之功能,並達到同樣之技術效果,故不贅述。
需說明者,於本發明專利說明書及申請專利範圍中,某些用語(包含:控制器區域網路辨識碼)前被冠以「第一」或「第二」,該等「第一」及「第二」僅用來區分不同之用語。例如:第一控制器區域網路辨識碼及第二控制器區域網路辨識碼中之「第一」及「第二」僅用來表示不同之控制器區域網路辨識碼。
綜上所述,本發明所提供之安全監控技術(至少包含裝置及方法),藉由對於CAN網路中的已知節點執行驗證機制,由安全監控裝置1傳送加密金鑰,由節點根據其自身的序列號及該加密金鑰,並經由一雜湊演算法生成回應碼,由安全監控裝置1驗證各該節點的回傳碼是否正確。當該等節點其中之一未正確地回傳時,安全監控裝置1即產生警示訊號。此外,安全監控裝置1更可自各節點接收各節點可能會使用的CAN ID及對應的傳輸頻率,所以當CAN出現異常的CAN ID及傳輸頻率時,可以預先發現異常傳輸資料並發出警告訊息。另外,由於本發明的驗證機制是在建立在應用層,因此不需要改變傳統CAN及封包傳輸的架構,更能適用在現有的CAN架構產品上。因此,本發明能有效地對車用網路的安全進行監控,以防止有心人士入侵車用網路而影響車輛的操作,進而確保車輛的行車安全。
上述實施方式僅用來例舉本發明之部分實施態樣,以及闡釋本發明之技術特徵,而非用來限制本發明之保護範疇及範圍。任何本發明所屬技術領域中具有通常知識者可輕易完成之改變或均等性之安排均屬於本發明所主張之範圍,而本發明之權利保護範圍以申請專利範圍為準。
S301、S303、S305、S307:步驟

Claims (12)

  1. 一種用於車用網路之安全監控裝置,該安全監控裝置安裝於一車輛,包含:一控制器區域網路接口,透過一控制器區域網路匯流排連接至該車輛之一控制器區域網路;一儲存器,儲存一列表及一加密金鑰,其中該列表儲存連接至該控制器區域網路的複數個電子控制單元各自的一單元代碼及一序列號;一處理器,電性連接至該控制器區域網路接口及該儲存器,並用以執行下列運作:(a)透過該控制器區域網路接口,傳送一指示符及該加密金鑰至該等電子控制單元,其中該指示符與一第一控制器區域網路辨識碼及該單元代碼相關,且該加密金鑰經由一加密演算法加密;(b)透過該控制器區域網路接口,自該等電子控制單元接收各該電子控制單元之一回應碼,其中各該回應碼由各該電子控制單元的該序列號及該加密金鑰經由一雜湊演算法產生;(c)基於該列表、該加密金鑰及該雜湊演算法,比對各該電子控制單元回傳之該回應碼,以判斷各該電子控制單元是否正確地回傳該回應碼;以及(d)判斷當該等電子控制單元其中之一未正確地回傳該回應碼時,產生一警示訊號。
  2. 如請求項1所述之安全監控裝置,其中該運作(c)包含以下運作:將該加密金鑰及該列表中的該等序列號,經由該雜湊演算法產生對 應各該電子控制單元的一驗證碼;以及比對各該電子控制單元回傳之該回應碼及各該電子控制單元的該驗證碼是否相等,以判斷各該電子控制單元是否正確地回傳該回應碼。
  3. 如請求項1所述之安全監控裝置,其中該處理器更定時地更新該加密金鑰。
  4. 如請求項1所述之安全監控裝置,其中該處理器更以一預定規則,定時地根據該預定規則變更該列表中各該電子控制單元的該序列號,其中該預定規則為與另一雜湊演算法相關。
  5. 如請求項1所述之安全監控裝置,其中該處理器更基於一驗證週期,週期性的執行運作(a)、運作(b)、運作(c)及運作(d)。
  6. 如請求項1所述之安全監控裝置,其中該處理器更執行以下運作:透過該控制器區域網路接口,自各該電子控制單元接收各該電子控制單元的一頻率列表,其中各該頻率列表儲存各該電子控制單元使用的複數個第二控制器區域網路辨識碼及對應各該第二控制器區域網路辨識碼的一傳輸頻率;以及基於該頻率列表,判斷該控制器區域網路是否存在一非法訊息。
  7. 一種用於車用網路之安全監控方法,適用於一電子裝置,該電子裝置安裝於一車輛,該電子裝置包含一控制器區域網路接口、一儲存器及一處理器,該控制器區域網路接口透過一控制器區域網路匯流排連接至該車輛之一控制器區域網路,該儲存器儲存一列表及一加密金鑰,其中該列表儲存連接至該控制器區域網路的複數個電子控制單元各自的一單元代碼及一序列號,該安全監控方法由該處理器所執行且包含下列步驟: (a)透過該控制器區域網路接口,傳送一指示符及該加密金鑰至該等電子控制單元,其中該指示符與一第一控制器區域網路辨識碼及該單元代碼相關,且該加密金鑰經由一加密演算法加密;(b)透過該控制器區域網路接口,自該等電子控制單元接收各該電子控制單元之一回應碼,其中各該回應碼由各該電子控制單元的該序列號及該加密金鑰經由一雜湊演算法產生;(c)基於該列表、該加密金鑰及該雜湊演算法,比對各該電子控制單元回傳之該回應碼,以判斷各該電子控制單元是否正確地回傳該回應碼;以及(d)判斷當該等電子控制單元其中之一未正確地回傳該回應碼時,產生一警示訊號。
  8. 如請求項7所述之安全監控方法,其中該步驟(c)包含以下步驟:將該加密金鑰及該列表中的該等序列號,經由該雜湊演算法產生對應各該電子控制單元的一驗證碼;以及比對各該電子控制單元回傳之該回應碼及各該電子控制單元的該驗證碼是否相等,以判斷各該電子控制單元是否正確地回傳該回應碼。
  9. 如請求項7所述之安全監控方法,其中更包含以下步驟:定時地更新該加密金鑰。
  10. 如請求項7所述之安全監控方法,其中更包含以下步驟:以一預定規則,定時地根據該預定規則變更該列表中各該電子控制單元的該序列號,其中該預定規則為與另一雜湊演算法相關。
  11. 如請求項7所述之安全監控方法,其中更包含以下步驟: 基於一驗證週期,週期性的執行步驟(a)、步驟(b)、步驟(c)及步驟(d)。
  12. 如請求項7所述之安全監控方法,其中更包含以下步驟:透過該控制器區域網路接口,自各該電子控制單元接收各該電子控制單元的一頻率列表,其中各該頻率列表儲存各該電子控制單元使用的複數個第二控制器區域網路辨識碼及對應各該第二控制器區域網路辨識碼的一傳輸頻率;以及基於該頻率列表,判斷該控制器區域網路是否存在一非法訊息。
TW108136062A 2019-10-04 2019-10-04 用於車用網路之安全監控裝置及方法 TWI716135B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW108136062A TWI716135B (zh) 2019-10-04 2019-10-04 用於車用網路之安全監控裝置及方法
CN201911075402.7A CN112615766A (zh) 2019-10-04 2019-11-06 用于车用网络的安全监控装置及方法
US16/693,835 US11392690B2 (en) 2019-10-04 2019-11-25 Security monitoring apparatus and method for vehicle network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW108136062A TWI716135B (zh) 2019-10-04 2019-10-04 用於車用網路之安全監控裝置及方法

Publications (2)

Publication Number Publication Date
TWI716135B true TWI716135B (zh) 2021-01-11
TW202116037A TW202116037A (zh) 2021-04-16

Family

ID=75224484

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108136062A TWI716135B (zh) 2019-10-04 2019-10-04 用於車用網路之安全監控裝置及方法

Country Status (3)

Country Link
US (1) US11392690B2 (zh)
CN (1) CN112615766A (zh)
TW (1) TWI716135B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210362735A1 (en) * 2020-05-20 2021-11-25 Intertrust Technologies Corporation Policy managed vehicle operation systems and methods
DE102021209973A1 (de) * 2021-09-09 2023-03-23 Robert Bosch Gesellschaft mit beschränkter Haftung Ressourcen-effiziente verifikation von nachrichten in einem dienstorientierten kommunikationssystem
CN114594752B (zh) * 2022-03-04 2024-05-14 潍柴雷沃智慧农业科技股份有限公司 一种拖拉机控制单元软件刷写方法及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070250920A1 (en) * 2006-04-24 2007-10-25 Jeffrey Dean Lindsay Security Systems for Protecting an Asset
EP2646994B1 (en) * 2010-11-29 2015-05-20 Tracker Network (UK) Limited Vehicle communications
CN106027260A (zh) * 2016-05-12 2016-10-12 成都信息工程大学 基于密钥预分配的汽车ecu完整性验证和加密通信方法
US20180220189A1 (en) * 2016-10-25 2018-08-02 725-1 Corporation Buffer Management for Video Data Telemetry
TWI669919B (zh) * 2014-07-28 2019-08-21 荷蘭商麥勒普斯股份有限公司 收發報機模組以及用於啟動及設置該收發報機模組的存取模組
WO2019160600A1 (en) * 2018-02-14 2019-08-22 Hrl Laboratories, Llc System and method for side-channel based detection of cyber-attack

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6618480B2 (ja) * 2014-11-12 2019-12-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 更新管理方法、更新管理システム及び制御プログラム
US9916151B2 (en) * 2015-08-25 2018-03-13 Ford Global Technologies, Llc Multiple-stage secure vehicle software updating
US11397801B2 (en) * 2015-09-25 2022-07-26 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network
US10530793B2 (en) * 2016-06-29 2020-01-07 Argus Cyber Security Ltd. System and method for detection and prevention of attacks on in-vehicle networks
JP6956624B2 (ja) * 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
EP3618361B1 (en) * 2017-04-27 2021-06-16 Fujitsu Limited Vehicle system and key distribution method
US10701102B2 (en) * 2017-10-03 2020-06-30 George Mason University Hardware module-based authentication in intra-vehicle networks
US20190281052A1 (en) * 2018-03-08 2019-09-12 Auton, Inc. Systems and methods for securing an automotive controller network
US11985150B2 (en) * 2018-05-25 2024-05-14 Securethings U.S., Inc. Cybersecurity on a controller area network in a vehicle
US10991175B2 (en) * 2018-12-27 2021-04-27 Beijing Voyager Technology Co., Ltd. Repair management system for autonomous vehicle in a trusted platform
US11618395B2 (en) * 2019-09-17 2023-04-04 Ford Global Technologies, Llc Vehicle data verification

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070250920A1 (en) * 2006-04-24 2007-10-25 Jeffrey Dean Lindsay Security Systems for Protecting an Asset
EP2646994B1 (en) * 2010-11-29 2015-05-20 Tracker Network (UK) Limited Vehicle communications
TWI669919B (zh) * 2014-07-28 2019-08-21 荷蘭商麥勒普斯股份有限公司 收發報機模組以及用於啟動及設置該收發報機模組的存取模組
CN106027260A (zh) * 2016-05-12 2016-10-12 成都信息工程大学 基于密钥预分配的汽车ecu完整性验证和加密通信方法
US20180220189A1 (en) * 2016-10-25 2018-08-02 725-1 Corporation Buffer Management for Video Data Telemetry
WO2019160600A1 (en) * 2018-02-14 2019-08-22 Hrl Laboratories, Llc System and method for side-channel based detection of cyber-attack

Also Published As

Publication number Publication date
US20210103655A1 (en) 2021-04-08
CN112615766A (zh) 2021-04-06
US11392690B2 (en) 2022-07-19
TW202116037A (zh) 2021-04-16

Similar Documents

Publication Publication Date Title
US11755713B2 (en) System and method for controlling access to an in-vehicle communication network
JP6574535B2 (ja) グローバル自動車安全システム
TWI716135B (zh) 用於車用網路之安全監控裝置及方法
CN109257374B (zh) 安全控制方法、装置和计算机设备
EP3883208B1 (en) Validation of software residing on remote computing devices
JP2011517804A (ja) 計算装置への不許可アクセスを検出するためのおよびそのような不許可アクセスについての情報を安全に伝えるための方法および装置
US11888866B2 (en) Security module for a CAN node
WO2019213869A1 (zh) 一种用于区块链节点的方法及装置
US20230046161A1 (en) Network device authentication
EP3949353A1 (en) Vehicle accident management using peer-to-peer networks and systems
US11222116B2 (en) Heartbeat signal verification
WO2021022802A1 (zh) 安全启动方法、控制器和控制系统
CN113226858A (zh) 信息处理装置
KR102236282B1 (ko) 차량용 통신 데이터 인증 방법 및 시스템
WO2023000313A1 (zh) 一种密钥验证方法及相关装置
CN114157489A (zh) 基于周期性鉴权握手机制的通信域控制器安全通信方法
JP5152539B2 (ja) ユーザ認証システム
CN115190578B (zh) 车载通信中信息更新方法及装置
KR20230097397A (ko) 차량 네트워크 침입 탐지 시스템 및 그 방법
Wolf Vehicular security mechanisms
Ansari Low-cost approaches to detect masquerade and replay attacks on automotive Controller Area Network
CN115729123A (zh) 电子控制单元ecu的控制方法及设备
CN117040865A (zh) 一种SecOC通信安全事件处理方法、装置及电控单元
CN114329422A (zh) 一种可信安全防护方法、装置、电子设备和存储介质
CN117880814A (zh) 可信度校验方法、计算机设备及存储介质