用于保护现场总线的方法和设备转让专利
申请号 : CN201880061915.X
文献号 : CN111133722B
文献日 : 2022-01-18
发明人 : L.邓 , A.拉马尔卡 , B.赫尔曼
申请人 : 罗伯特·博世有限公司
摘要 :
权利要求 :
1.一种用于保护现场总线(10)的方法(20),特征在于如下特征:
‑ 通过监控(21)所述现场总线(10)接收在所述现场总线(10)上传输的第一消息,‑ 寻找(22)针对所述第一消息定义的检验规则,‑ 如果找到(23)所述检验规则,则对所述第一消息就异常进行检验(24),以及‑ 如果识别出(25)所述异常,则传输(26)具有消息计数器的第二消息,使得基于有错误的顺序丢弃后续的消息。
2.根据权利要求1所述的方法(20),特征在于如下特征:
‑ 如果未识别出(27)所述异常,则继续所述监控(21)。
3.根据权利要求1或2所述的方法(20),特征在于如下特征:
‑ 如果没有找到(28)所述检验规则,则将所述第一消息报告(29)为未知的。
4.根据权利要求1至2中任一项所述的方法(20),特征在于如下特征:
‑ 所述第一消息和所述第二消息此外具有一致的消息标志。
5.根据权利要求1至2中任一项所述的方法(20),特征在于如下特征:
‑ 传输(26)所述第二消息,使得在所述第一消息之后或在分别紧接着的攻击消息之前或之后递送所述第二消息。
6.根据权利要求4所述的方法(20),特征在于如下特征之一:
‑ 所述第二消息包括所存储的有效的有用数据,‑ 所述第二消息包括众所周知地有错误的有用数据,或‑ 所述第二消息包括虚拟数据作为有用数据。
7.根据权利要求6所述的方法(20),特征在于如下特征之一:
‑ 所述虚拟数据是零序列。
8.根据权利要求6或7所述的方法(20),特征在于如下特征:
‑ 至少根据所述消息标志、所述消息计数器和所述有用数据计算校验和、尤其CRC值,和
‑ 所述第二消息此外包括所述校验和。
9.一种机器可读存储介质,在所述机器可读存储介质上存储有计算机程序,所述计算机程序被设立用于实施根据权利要求1至8中任一项所述的方法(20)。
10.一种用于保护现场总线(10)的设备,所述设备被设立用于实施根据权利要求1至8中任一项所述的方法(20)。
说明书 :
用于保护现场总线的方法和设备
技术领域
背景技术
IDS(NIDS),所述IDS对在要监控的网络段中的所有分组进行记录、分析并且根据已知的攻
击模式报告可疑的活动。
尝试。在私有CAN上的每个ECU存储共同的经加密的非法入侵(Hacking)通知密钥和明确的
标识码。如果第一车辆系统ECU识别出经由公共CAN的未经许可的访问尝试,则所述第一车
辆系统ECU将警告消息经由封闭的私有CAN发送给其他ECU。
发明内容
上说如下任何IDS可以被理解为IPS,所述IDS除了对攻击的纯粹识别以外也采取用于防御
攻击的措施。
的传感器、执行器和控制设备之间经由网络或总线系统、如CAN或FlexRay的通信。为了使对
通信的这种干扰、尤其对驾驶员的安全性的负面影响最小化,可以使用不同的机制,以便识
别失效或干扰并且对此作出反应。算作这些机制的是以硬件实现的措施、诸如在CAN协议中
的循环冗余检验(cyclic redundancy check,CRC),循环冗余检验的失败触发否定接收应
答(negative acknowledgment,NAK),使得有关的有用数据(payload(有效载荷))并不被进
行检验的控制设备进一步处理。
在各个消息失效之后代替由接收器经由总线接收的有用数据使用替代值或虚拟数据
(dummy),以便将车辆置于安全状态中。对于其内容可能危及车辆的安全性的消息,使消息
内容增加附加信息、如CRC值和消息计数器(alive counters(活着的计数器)),所述附加信
息可以由接收器监控并且针对所述附加消息以相同的方式开始诊断并且必要时应用替代
值。
附图说明
具体实施方式
场景中,第一控制设备(11)发送具有标志(标识符,ID)“123”的消息。该消息由第二控制设
备(12)接收。而第四控制设备(14)发送具有标志“789”的消息。该消息由第二控制设备(12)
和第三控制设备(13)接收。
的消息。由攻击者毁坏的第五控制设备(15)现在同样发送具有标志“123”的消息。第二控制
设备(12)尽管也接收该消息,然而并不独立地将该消息识别为攻击,因为例如具有标志
“123”的消息之内的CRC值被正确地模仿了,并且因此通过该第二控制设备的程序代码进一
步处理被操纵的消息内容。
则(分支23)。如果接收到未知消息(分支28),则不进一步检验所述消息。可选地,在此情况
下可以进行对接收到了未知消息的状况的内部或外部警告或其他报告(过程29)。
指定的接收器并且具有正确的CRC值。消息计数器在此情况下被改变,使得后续的消息由于
错误的顺序而被丢弃。特殊情况在此情况下可以是,将消息计数器减小一个单位;同样地可
能存在其他特殊情况,在这些特殊情况下消息计数器必须被递增或必须被减小或递增多个
单位,以便该消息是成功的。
及整个消息并且由很多的原始设备制造商(original equipment manufacturers,OEM)在
实际数据字段中补充另一特定的CRC值。
实际攻击消息尽管有已知的标志和有效的CRC值但鉴于其与已经处理的防御消息一致的消
息计数器而被丢弃。
能的运行方式有关。
御机制可以停用被攻击的功能。