用于监视通信总线上的通信的方法和用于连接到通信总线的电子设备
阅读:597发布:2020-05-08
专利汇可以提供用于监视通信总线上的通信的方法和用于连接到通信总线的电子设备专利检索,专利查询,专利分析的服务。并且本 发明 涉及一种用于按照CAN总线标准系列的方案的通信总线(104)的监视方法。该方法包括在连接到通信总线的站(151,152,153,157)上设置监视模 块 。在该方法中,通过标识符来标识消息,其中对于每个站(151,152,153,157),确定其允许利用哪个标识符来发送哪个消息。在此,唯一性规则在于,禁止另外的站(151,152,153)利用已为该站(157)保留的标识符发送有效数据消息。在监视时利用该规则。如果由另外的站(151,152,153)利用为自身的站(157)保留的标识符发送有效数据消息,则识别出未经授权的总线 访问 。在识别出为站保留的CAN总线远程 帧 消息的情况下,监视模块假定没有未经授权的总线访问并且不采取对策。,下面是用于监视通信总线上的通信的方法和用于连接到通信总线的电子设备专利的具体信息内容。
1.一种用于监视通信总线(104)上的通信的方法,其中,通过所述通信总线(104)将多个电子站(51,52,53)联网,
其中,按照与控制器局域网相对应的CAN总线标准系列的方案设计所述通信总线(104),
其中,利用标识符来标识经由所述通信总线(104)传输的消息,其中,对于每个站(51,
52,53),确定其允许利用哪个标识符来发送哪个消息,
其中,遵守唯一性规则,所述唯一性规则禁止另外的站(52,53)利用已为该站(51)保留的标识符发送有效数据消息;
其中,在一个或多个或所有电子站(51,52,53)中设置监视模块(18,1518),所述监视模块监视是否由另外的站(52,53)利用为自身的站(51)保留的标识符将有效数据消息发送到通信总线(104)上;
其中,在识别出带有为站(51)保留的消息标识符的CAN总线远程帧消息的情况下,所述监视模块(18,1518)假定不是未经授权的总线访问并且不采取对策。
2.根据权利要求1所述的方法,其中,用于进行监视的监视模块(18,1518)访问发送表(1515)并将接收到的消息的标识符与发送表(1515)中的条目进行比较,在所述发送表中列出了所有为站(51)保留的标识符。
3.根据权利要求1或2所述的方法,其中,在接收到的有效数据消息(ECM)的标识符与发送表(1515)中的条目一致时,所述监视模块(18,1518)确定未经授权的总线访问并且采取对策。
4.根据权利要求3所述的方法,其中,在站(51)本身经由通信总线(104)发送消息的状态期间,抑制对策的执行。
5.根据权利要求4所述的方法,其中,如下地抑制对策的执行:所述监视模块(18,1518)在站(51)本身经由通信总线(104)发送消息的状态期间被切换为不活动,并且在从通信总线(104)接收消息的状态期间被切换为活动。
6.根据上述权利要求中任一项所述的方法,其中,所述通信总线(104)被设计为用于在车辆的电子组件之间交换消息。
7.根据权利要求3至6中任一项所述的方法,其中,执行以下措施中的一个或多个作为对策:
·利用光学、声学或触觉信号向车辆驾驶员输出警告;
·开启警报设备;
·经由无线电将操纵通知发送到车辆制造商或政府部门的中央计算机
或发送到车主的智能手机;
·将操纵事件的地点、日期、时间存储在存储器中;
·禁用已利用其来开启车辆的钥匙。
8.根据权利要求3至7中任一项所述的方法,其中,作为对策,由确定了未经授权的总线访问的站经由总线发送错误信号,由此当前传输的消息被解释为无效。
9.根据上述权利要求中任一项所述的方法,其中,所述有效数据消息包含控制命令。
10.根据上述权利要求中任一项所述的方法,其中,所述标识符与CAN总线消息标识符相对应。
11.根据上述权利要求中任一项所述的方法,其中,所述有效数据消息与CAN总线标准数据帧相对应。
12.根据权利要求8所述的方法,其中,作为对策经由CAN总线发送的错误信号与根据CAN总线协议的“错误标志”相对应。
13.一种用于连接到通信总线(104)的电子设备,其特征在于,所述设备具有监视模块(18,1518),所述监视模块被设计为用于按照根据上述权利要求中任一项所述的步骤进行监视。
用于监视通信总线上的通信的方法和用于连接到通信总线的
电子设备
技术领域
[0001] 本发明涉及监视通信总线上的通信是否是未经授权的总线访问的技术领域。该方法尤其可以在车辆中所使用的通信总线中使用。联网的控制设备也可以在其他的技术领域中找到,例如在自动化技术、过程技术等中。本发明还涉及一种用于连接到通信总线的电子设备。
背景技术
[0002] 现代车辆中安装了大量的控制设备。一些控制设备,即例如发动机控制设备、传动装置控制设备、变速杆控制设备、安全气囊控制设备等,仅被用于动力总成系统。此外,还存在安装在车辆车身范围中并且提供特定的舒适功能的另外的控制设备。作为示例提到门控制设备或车窗玻璃升降器控制设备、空调控制设备、座椅调节控制设备等。此外,还存在视为信息娱乐领域的控制设备,诸如用于观察周围环境的照相机控制设备、导航设备、通信模块和具有电视功能、广播功能、视频功能和音乐功能的娱乐设备。
[0003] 通常,不同种类的控制设备分别与单独的、为设备种类对应地设计的总线联网。因此,可以在车辆中使用多个不同的总线系统。在此,不同的总线系统可以经由网关相互连接,以便能够实现数据交换。在动力总成系统控制设备的领域中通常使用CAN总线(Controller Area Network,控制器局域网),同样在舒适控制设备的领域中也使用CAN总线。在信息娱乐领域中还使用另外的总线系统,诸如基于以太网技术的总线系统,例如基于按照IEEE 802.1标准的标准系列的AVB(Audio Video Bridging,音频视频桥接)。也可使用通过光波导实现数据传输的总线系统。作为示例提到MOST总线(Media Oriented System Transport,面向媒体的系统传输)或D2B总线(Domestic Digital Bus,家用数字总线)。
[0004] 机动车辆领域的总线系统正日益成为黑客攻击的焦点,并试图故意操纵消息内容。通常通过接入物理传输介质(即,总线导线)或通过访问所谓的OBD插口(On Board Diagnose-Schnittstelle,车载诊断接口)来对总线系统进行这种黑客攻击。因为越来越复杂的驾驶员辅助系统进入了车辆甚至形成自动驾驶,网络安全也为此越来越成为焦点。在此必须排除操纵。
[0005] 因此,存在一直确保在车辆和其他地方的通信总线上的通信的需要。
[0006] CAN总线在机动车辆领域特别普遍,并且通常用于联网车辆中与安全有关的电子器件。因此,在此存在对于确保通信的特别的需要。
[0007] 从DE 10 2015 205 670 A1中已知一种用于机动车辆的总线系统的攻击识别方法和一种对应的设备。在此,涉及识别并且防范从外部对总线系统的攻击。为此,将模块安装在总线系统的网关中,该模块按照通常的方法来检验是否已按照通信规则传输在总线上传输的信息。这涉及不同的通信规则:按照一个方面,模块检查所确定的信息周期的特定特性。例如,这分别涉及两个依次的信息之间的时间,并且如果识别到两个依次的信息的时间间隔与预定的周期持续时间不一致,则输出警告。按照另一方面,模块检查是否分别依次地仅传输了相同的信息。检查方面可以涉及特定的信息类型。
[0008] 从US 2015/172306 A1中还已知一种攻击监视方法,其中在周期性出现信息的情况下监视周期时间。如果出现与平均周期时间的偏差,则识别攻击。为了在非周期性出现信息的情况下也可以执行监视,通过插入安全代码来确保该监视。监视模块被定位在机动车通信网络的网关的中央。
发明内容
[0009] 本发明要解决的技术问题是,提供一种用于通信总线的有效的监视方法,该监视方法可以可靠地识别未经授权的总线访问。在此,应当尽可能避免加密,并且监视方法应当能够易于实施而无需较大的开发开销。
[0012] 该解决方案是一种用于监视通信总线上的通信的方法,通过该通信总线将多个电子站联网。特点在于,消息格式被设计为,通过标识符来标识消息,其中对于每个站,确定其允许利用哪个标识符来发送哪个消息。在此,遵守唯一性规则,该唯一性规则禁止另外的站利用已为该站保留的标识符发送有效数据消息。该方法的特征在于,在一个或多个或所有电子站中设置监视模块,该监视模块监视是否由另外的站利用已为自身的站保留的标识符将有效数据消息发送到通信总线上。该方法既简单又有效。在该方法中使用特别的唯一性规则。
[0013] 该监视方法在按照CAN总线标准系列(与控制器局域网,Controller Area Network相对应)的方案的通信总线中使用。特别地,这在机动车辆领域非常常见,并且满足先决条件。
[0014] 如果识别出带有为站保留的消息标识符的CAN总线远程帧消息,则假定不是未经授权的总线访问并且不采取任何对策。远程帧可以例外地使用相同的消息标识符。但是,该消息不包含有效数据,并且因此被归类为不太危险。如果通过由攻击者多次发送远程帧而产生了总线的溢出,则也可以通过已知的对周期时间的监视措施来禁止这种攻击。
[0015] 为了实施该方法,有利的是,用于进行监视的监视模块访问发送表并将接收到的消息的标识符与该发送表中的条目进行比较,在该发送表中列出了所有为该站保留的标识符。在CAN总线中,表的创建对于验收过滤也已经是必需的,并且可以对应地实现。比较的执行可以在微型计算机中轻松实现。如果在此发生处理器过载,则可以为此替换地使用通过FPGA芯片实现的特殊电路。
[0016] 在确定接收到的消息的消息标识符与发送表中的条目一致时,监视模块确定未经授权的总线访问并且可以采取对策。
[0017] 因为对总线上的通信进行监视的站本身还会利用为其保留的标识符发送消息,所以在站本身经由通信总线发送消息的状态期间需要抑制对策的执行。否则,由站定期发送的消息也将会被识别为攻击,并且不必要地采取对策。存在用于实现这一点的多个可能性。
[0018] 以有利的方式,监视模块在站本身经由通信总线发送消息的状态期间被切换为不活动,并且在从通信总线接收消息的状态期间被切换为活动。在自身的站的发送阶段期间,不能经由通信总线传输另外的消息,使得通过禁用监视模块而不产生安全风险。
[0019] 另外的可能性在于,如果站本身进行发送,则继续监视总线,但不采取对策。也就是,尽管会识别出不正常的消息,但不会进行警报、警告等。
[0020] 第三种可能性在于,如果站本身进行发送、识别不正常消息、进行警报或警告,但是该报告被接收到该报告的站在对应设计的接收器例程中忽略。可以通过经由通信总线将对应的消息发送到例如车辆中的信息娱乐控制设备来进行警报或警告。
[0021] 以有利的方式,该方法可以在通信总线中使用,该通信总线被设计为用于在车辆的电子组件之间交换消息。特别地,在那里使用总线系统,在该总线系统中结合所描述的唯一性规则使用这种标识符。
[0022] 可以在该方法中使用的对策的示例为:
[0024] ·接通警报设备;
[0025] ·经由无线电将操纵通知发送到车辆制造商或政府部门的数据库中央计算机或发送到车主的智能手机;
[0026] ·将操纵事件的地点、日期、时间存储在存储器中;
[0027] ·禁用已利用其来开启车辆的钥匙。
[0028] 该列举未提出对完整性的要求,所列出的对策中的多个也可以并行使用。另外的对策涉及还在经由总线发送未经授权的消息期间立即发送错误信号。
[0029] 该对策使用例如在CAN协议中设置的错误保护机制。出于网络范围内数据一致性的原因,CAN协议规定,在局部干扰的情况下,识别出错误的CAN总线站必须通知连接在CAN网络中的所有CAN总线站。为此,识别出错误的CAN总线站传输错误信号(“Error Flag,错误标志”),该错误信号由六个显性比特组成。由此故意违反了CAN总线协议的比特填充规则,并造成比特填充错误。
[0030] 在CAN总线中,“错误标志”的传输导致所有另外的CAN总线站也传输“错误标志”(次级“错误标志”),并且由此也如初级“错误标志”的发送者一样中断数据传输。
[0031] 在CAN总线中,在“错误标志”的发送之后始终连接“错误分隔符”的传输。该“错误分隔符”由八个隐性比特组成。“错误分隔符”代替了“ACK分隔符”和常规消息传输中的EOF码,使得与CAN总线上的强制发送暂停(ITM–Intermission,ITM-中断)一起产生11个隐性比特(Bus-Idle-Kennung,总线空闲识别符)。
[0032] 该行为也可以以这种方式或以经匹配的形式在另外的总线中使用,以扩展总线监视方法。这由此实现了,如果控制设备识别到了攻击,则通过发送错误信号使渗入的消息不可用。于是,所有接收器站都会拒绝该消息。由此,有害消息直接变得无害。
[0033] 以该方式,可以立即防止渗入的消息造成破坏。
[0034] 还应当将提到的有效数据消息理解为该有效数据消息也可以有利地包含控制命令。特别有利的是,在对应于本地互连网络总线(Local Interconnect Network Bus)的所谓的LIN总线中使用监视方法。在那里,消息的标识符也用于标识特定的控制命令。
[0036] 有效数据消息可以与CAN总线标准数据帧相对应。
[0037] 针对在CAN总线中的使用特别有利的是,将那里针对错误情况而设置的“错误标志”作为错误信号来发送,该错误信号经由CAN总线作为对策被发送。
[0039] 在附图中示出了本发明的实施例,并且在下面根据附图对其进行更详细地阐述。
[0040] 附图中:
[0041] 图1示出了借助CAN总线使电子组件联网的原理;
[0042] 图2示出了针对具有不同种类的控制设备的车辆通信网络的框图;
[0043] 图3示出了CAN总线中的标准帧传输帧的格式;
[0044] 图4示出了CAN总线中的远程帧传输帧的格式;
[0045] 图5示出了构建有根据本发明的监视模块的CAN总线接口的框图;
[0046] 图6示出了针对在CAN总线接口上作为监视模块安装的程序的流程图;以及[0047] 图7示出了对在监视阶段期间通过攻击者渗入的消息进行说明的线图。
具体实施方式
[0048] 现有的描述说明了根据本发明的公开的原理。由此,理解为:本领域技术人员将能够设计不同的布置,虽然在此未明确地描述这些布置,但是该布置体现了根据本发明的公开的原理,并且应当在该公开的范围内同样地受到保护。
[0049] CAN总线已于1994年标准化。对应的ISO标准具有编号ISO 11898。存在针对直至1Mbit/s的高速范围的标准,该标准是标准ISO 11898-2。然后,存在针对直至125kBit/s的低速范围的标准,该标准是标准ISO11898-3。由于增长的数据总量,产生了CAN总线上不断增高的总线负担。这导致了对CAN总线的进一步开发。经扩展的CAN总线称为CAN FD总线。在此,FD代表灵活数据速率(Flexible Data Rate)。在该CAN总线方案中切换数据速率。与传统的CAN总线中一样,针对仲裁阶段,速率保持为低。针对有效数据的传输,切换到较高的数据速率。如果CAN FD消息的有效数据传输得更快,则缩短总线占用的持续时间并且减少总线负担。如果传输持续时间与传统的CAN消息中一样保持在相同的帧中,则可以利用CAN FD消息传输更大的数据量。这也已在CAN FD中实现。代替8字节长的有效数据字段,在CAN FD中使用了64字节长的有效数据字段。为了传输有效数据字段,数据速率在转换时例如从
500kbit/s提高至2Mbit/s。
500kbit/s提高至2Mbit/s。
[0051] 在实施例的以下描述中,如在机动车辆领域中常见的总线站被称为控制设备。但是,也可能不将总线站设计为控制设备。作为示例提到连接到总线的特定的传感器或执行器(例如,调整机构)。
[0052] 图1示出了借助CAN总线使电子组件联网的原理。CAN网络是由CAN节点(具有CAN接口的电子组件(控制设备,传感器,执行器))构成的系统联合,CAN节点经由其相应的CAN接口以及连接所有CAN接口的传输介质(CAN总线)彼此交换数据。示出了三个CAN节点10。CAN总线的总线结构是线性的。因此,存在总线导线15,所有三个CAN节点10连接到该总线导线15。在最常见的使用情况中,绞合的、未屏蔽的双导体导线(Unshielded Twisted Pair-UTP,非屏蔽双绞线)被用作总线导线15,经由该双导体导线进行对称的信号传输。在对称的信号传输中,信号作为电压差经由两个导线传输。导线对在此由未反相的信号导线CANH和反相了的信号导线CANL组成。根据这两个导体上施加的信号的差,接收器重建原始数据信号。这具有以下优点:通过形成差,消除了出现在总线导线15的两个导体上的共模干扰,并且因此该共模干扰对传输没有影响。
[0053] 为了避免信号反射,总线导线15在两个导线端部与连接电阻13连接,该连接电阻的大小为总线导线的波阻抗(120欧姆)。
[0054] CAN接口由两部分组成:通信软件和通信硬件。尽管通信软件包括更高的通信服务,但是基本通信功能通常在硬件中实现:在此,两个硬件组件的区别为:CAN控制器14负责统一地处理CAN通信协议,并且由此减轻了主机16的负担,在该主机上运行已经提到的通信软件。CAN收发器12负责将CAN控制器14耦合到CAN总线15。该CAN收发器在发送过程中形成用于数据传输的信号,并在接收情况下进行信号整理。
[0055] 图2示出了现代机动车辆的通信网络的典型结构。用附图标记151表示发动机控制设备。附图标记152与变速杆控制设备相对应,并且附图标记153表示传动装置控制设备。在机动车中可以存在另外的控制设备,诸如附加的行驶动态控制设备(用于具有电可调减震器的车辆)、安全气囊控制设备等。这种全部被分配到动力总成系统种类的控制设备的联网通常利用CAN总线系统(Controller Area Network,控制器局域网)104来实现,该CAN总线系统被标准化为ISO标准,通常为ISO 11898-1。对于机动车辆中不再仅应连接到各个控制设备的不同的传感器,也规定将该传感器连接到总线系统104,并且该传感器的传感器数据经由总线传输到各个控制设备。机动车辆中的传感器的示例是车轮转速传感器、转向角传感器、加速度传感器、旋转率传感器、轮胎压力传感器、距离传感器、爆震传感器、空气质量传感器等。利用与变速杆控制设备相连接的变速杆操作设备,驾驶员可以选择驾驶模式。这涉及档位选择和发动机设置,诸如运动模式、普通模式、全轮驱动等。
[0056] 然而,现代机动车辆也可以具有另外的组件、诸如摄像机,例如作为倒车照相机或作为驾驶员监视照相机。于是,机动车辆中还存在另外的电子设备。另外的电子设备更多地布置在乘客车厢的区域中,并且通常也由驾驶员操作。示例是用户接口设备,驾驶员可以利用该用户接口设备进行设置,但也可以操作传统的组件。这涉及方向指示灯控制、雨刷控制、灯光控制、对于收音机的音频设置、对于车辆电话的另外的设置、导航系统等。该用户接口装置具有附图标记130。用户接口装置130通常还构建有旋转/压力开关,驾驶员可以通过该旋转/压力开关选择在驾驶舱中的显示器上显示的不同菜单。另一方面,接触敏感的显示器也属于该种类。甚至用于操作辅助的语音输入也属于该领域。
[0057] 导航系统具有附图标记120,该导航系统也安装在驾驶舱的区域中。当然,也可以在驾驶舱中的显示器上显示在地图上示出的路线。可能存在另外的组件、例如免提装置,但未更详细示出。附图标记110表示车载单元。该车载单元110与通信模块相对应,车辆可以经由该通信模块接收和发送移动数据。通常,在此是(例如,按照LTE标准的)移动无线电通信模块。所有这些设备都与信息娱乐领域相关联。因此,所有这些设备经由为该设备种类的特别需要而设计的总线系统102联网。在所示的示例中,假设也已经以CAN总线的方案实现了总线系统102。已经提到的CAN FD总线可能合适,因为可以在那里以较高的数据速率传输数据,这对于信息娱乐领域中的经联网的控制设备是有利的。
[0058] 通常为信息娱乐领域使用另外的总线系统。就此,指出总线系统AVB(Audio Video Bridging,音频视频桥接)、MOST总线(Media Oriented System Transport,面向媒体的系统传输)或D2B总线(Domestic Digital Bus,国内数字总线)作为示例。为了应当经由通信接口110将与车辆有关的传感器数据传输到另外的车辆或传输到数据库的外部中央计算机的这一目的,设置网关140。该网关与两个不同的总线系统102和104连接。为此,网关140被设计为用于转换经由CAN总线104接收的数据,即,将该数据转换为信息娱乐总线102的传输格式,使得可以将该数据以此处指定的分组分发。为了向外部(即向另外的机动车辆或向中央计算机)转发该数据,车载单元110为此配备有通信接口以接收该数据分组,并且将其再次转换为对应使用的移动无线电标准的传输格式。如果总线102被实现为CAN FD总线,则也需要转换。
[0059] 如图2中所示,在连接到相应的CAN总线102、104的控制设备的每一个中设置监视模块18。
[0060] 图3示出了CAN标准帧的消息格式。更确切地说,图3说明了根据CAN通信标准的CAN传输帧格式。
[0061] 按照ISO 11898-1,传输帧中存在许多不同的单独的比特,其满足控制目的。在下表中,以英语以其附图标记列出了传输帧的不同字段和控制比特。还说明了各个字段的长度。在下面提到该比特时,不再重复详细的附图标记。
[0062]
[0063] CAN帧包含帧开始(SOF)字段、仲裁字段、控制字段、数据字段、循环冗余校验(Cyclic Redundancy Check,CRC)字段、ACK字段、帧结束(EOF)和间歇序列(Intermission Sequence,ITM)字段。
[0064] 根据本发明的示例性实施方式,SOF字段是示出CAN帧的开始、即信息的开始的字段。仲裁字段标识信息,并为该信息分配优先级。根据在仲裁字段中相关联的标识字段的长度,CAN帧被划分为标准格式和扩展格式(所示为标准格式)。在标准格式中,仲裁字段具有11比特的长度。对于扩展格式,仲裁字段中标识字段的长度为29比特。
[0065] 标识符确定数据帧的优先权,并与验收过滤共同负责CAN网络中在通信矩阵中定义的发送器接收器关系。在通信矩阵中为每个控制设备确定了该控制设备处理哪个消息。也就是,如果消息到达,但该消息的消息标识符未在此处列出,则通过验收过滤对该消息进行分类并且不会将其转发给应用程序。
[0066] 借助RTR比特,发送站将帧类型(数据帧或远程帧)通知接收器。显性RTR比特报告了数据帧,对应地隐性比特报告了远程帧。附加地,仲裁字段可以包含具有1比特长度的标识扩展字段(IDE),以标识帧是具有标准格式还是具有扩展格式。如果IDE字段的值为0,则这报告了标准格式。如果值为1,则这意味着扩展格式。
[0067] 在DLC字段中,向接收器报告消息中所包含的有效数据字节的数量。在数据字段中传输有效数据字节。利用一个数据帧最大可以传输八个有效数据字节。在应用循环冗余校验的情况下,借助在CRC字段中传输的校验和,确保有效数据字节免受传输错误。
[0068] 根据CRC校验的结果,接收器在ACK槽中肯定地或否定地签收接收。在此,在信息结束时通过已准确接收了信息的CAN控制器传输ACK比特。已发送了信息的节点检查ACK比特是否在CAN总线上存在。如果未找到ACK,则这提示,节点未能正确接收信息以及发送站可以尝试重新传输。
[0069] 以七个隐性比特结束对数据帧的传输,这与帧结束码EOF对应。
[0070] 图4还示出了CAN远程帧的消息格式。如果本来就不是周期性地发送所期望的有效数据,则控制设备可以利用远程帧来请求该所期望的有效数据。该帧类型很少用在汽车中的应用中,这是因为在那里不是以询问的方式而是基本上周期性地进行数据传输。
[0071] 除了缺少的数据字段,远程帧的结构与数据帧的结构相对应。借助RTR比特实现数据帧和远程帧之间的区分。在数据帧的情况下,显性地发送RTR比特。通过隐性的RTR比特标识远程帧。
[0072] 原理上,可以为CAN网络中的所有存在的数据帧定义对应的远程帧。为此,仅需注意,远程帧的标识符与关联的数据帧的标识符相对应。一旦CAN节点接收到其标识符与自己的通信矩阵中的标识符相同的远程帧,则该CAN节点以对应的标准帧进行应答。
[0073] 现在,图5以软件模块的形式示出了监视模块18的实施。以附图标记1510表示发动机控制设备151的CAN接口。该CAN接口由硬件组件、即CAN控制器1513和CAN收发器(未示出)以及由两个软件组件、即应用软件1511和监视模块1518组成。两个软件组件之间存在接口1514。经由CAN总线来输入和输出的CAN消息在对应的导线1516上等待处理。
[0074] 现在借助于图6和图7中的流程图阐述监视模块1518的工作方式。
[0075] 当CAN接口在接收运行下工作时,监视模块1518始终处于活动状态。控制设备通常将其数据周期性地发送到总线上。为此,在控制设备中为每个周期设置对应的计时器。可以以不同的周期发送不同的有效数据。应用软件1511接管不同计时器的设置。这可以是软件辅助计时器或硬件辅助计时器(未示出)。通常在动力总成系统的控制设备的范围中使用配备有可编程计时器/计数器单元的微控制器,使得在此计时器通常是硬件辅助的。在计时器到期时触发中断,由此使控制设备从接收运行切换到发送运行。每次执行发送运行之后,控制设备再次切换回接收运行。这可以通过在控制设备中设置标志来发送信号。于是,设置该标志将触发监视模块的启动。然而此外,控制设备中也还存在一系列另外的发送方式。作为示例提到仅在正常/空闲状态下周期性地发送的发送方式(ifActiv ,ifAcitvWithRepetition,OnChange,OnChangeWithRepetition,如果重复地激活,则重复地改变)。如果发生特定的、经定义的事件(例如传感器值发生变化),则通常以更快的周期时间在正常周期之外发送数据。
[0076] 监视程序的启动在图6中以附图标记181表示。步骤182中,类似于在验收过滤中那样,程序对每个接收到的消息检查是否利用消息标识符标识了该消息,该消息标识符本身已记录在站自身的发送表1515中。在站自身的发送表1515中列有所有在发送有效数据时使用的消息标识符。该发送表1515可以被视为站自身的通信矩阵的一部分。
[0077] 如果接收到了未在发送表1515中列出的消息标识符,则程序分支到开头。如果接收到了在发送表1515中列出的消息标识符,则这可能是由攻击者渗入到总线上的消息。但是,这也可能是由另外的控制设备发送的远程帧。因此,还在步骤183中检查这是否是远程帧。如先前所述,这可以通过RTR比特来识别。如果是远程帧,则监视模块在步骤185中结束。如果不是远程帧,则该消息可能很危险,因为该消息带有有效数据。于是,监视模块还确定这是不正常的消息。由于开头提到的适用于CAN总线的唯一性原理,因此其他控制设备在发送其消息时不允许使用相同的消息标识符。因此,在下一步骤184中采取对策。作为对策可以考虑不同的措施。属于此的例如有:触发警报设备;接通警告灯;经由无线电将操纵通知发送到车辆制造商或政府部门的中央计算机或发送到车主的智能手机;将操纵事件的地点、日期、时间存储在存储器中;对于特定的时间禁用点火等。
[0078] 现在,图7还示出了监视方法的原理。相同的附图标记表示与先前说明的相同的组件。攻击者在图7中以附图标记157标记。在该示例中,该攻击者已利用对应的工具接通到CAN总线104。在车间中,这当然没问题,尽管CAN总线通常安装在车辆中难以够着的位置。但是,车辆上通常存在可够着CAN总线的特定位置。在图7的下部中示出了周期,发动机控制设备151以该周期将消息ECM发送到总线上。监视模块1518在相应的发送阶段不活动。在经标记的阶段MP中进行对总线交通的监视。在第二阶段MP中,出现另外的ECM‘消息。如上面所描述的,由于该另外的ECM‘消息使用为控制设备151保留的相同的消息标识符,因此该另外的ECM‘消息被监视模块识别为不正常的。据此如上面所描述地,发动机控制设备151启动对策。
[0080] 所描述的监视方法也可以在CAN总线以外的总线系统中使用。特别还提到LIN总线(Local Interconnect Bus,本地互连总线)作为示例。但是,LIN总线是主/从总线,在LIN总线中还以消息格式设置标识符,但是该标识符也可以标识特定的控制命令。
[0081] 应当将所有在此提到的示例以及相关的表述理解为不限于这些具体实施的示例。因此,例如本领域技术人员承认,在此示出的框图是示例性电路布置的概念图。以类似的方式可以看出,所示出的流程图、状态转换图、伪代码等代表用于表示过程的不同方案,其基本上存储在计算机可读的介质中,并且由此可以由计算机或处理器实施。
[0082] 应当理解,可以以硬件、软件、固件、专用处理器或其组合的不同的形式来实现所提出的方法和相关的装置。专用处理器可以包括特定于应用的集成电路(ASIC)、精简指令集计算机(RISC)和/或现场可编程门阵列(FPGA)。优选地,将所提出的方法和装置实现为硬件和软件的组合。软件优选地作为应用程序安装在程序存储装置上。通常,其是基于计算机平台的机器,该机器具有硬件,诸如一个或多个中央单元(CPU)、随机存取存储器(RAM)和一个或多个输入/输出(I/O)接口。此外,通常也将操作系统安装在计算机平台上。在此已描述的不同的过程和功能可以是应用程序的一部分,或者也可以是通过操作系统实施的一部分。
[0083] 附图标记列表
[0084] 10 CAN节点
[0085] 12 CAN收发器
[0086] 13 连接电阻
[0087] 14 CAN控制器
[0088] 15 总线导线
[0089] 16 主机
[0090] 18 监视模块
[0091] 100 机动车辆电子器件
[0092] 102 信息娱乐CAN总线
[0093] 104 CAN总线
[0094] 110 车载单元
[0095] 120 导航系统
[0096] 130 操作单元
[0097] 140 网关
[0098] 151 发动机控制设备
[0099] 152 ESP控制设备
[0100] 153 传动装置控制设备
[0101] 157 攻击者
[0102] 181 程序启动
[0103] 182 比较消息ID与发送表
[0104] 183 检查远程帧
[0105] 184 对策
[0106] 185 程序结束
[0107] 1510 CAN总线接口的构架
[0108] 1511 应用软件
[0109] 1512 第一接口
[0110] 1513 CAN控制器
[0111] 1514 第二接口
[0112] 1515 发送表
[0113] 1516 第三接口
[0114] 1518 监视模块
[0115] ECM 发动机控制设备的消息
[0116] MP 监视阶段
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 具有集成温度控制的电子灶台式加热器单元 | 2020-05-08 | 619 |
| 用于对运动信息进行编码和解码的方法以及用于对运动信息进行编码和解码的设备 | 2020-05-08 | 960 |
| 振荡电路、芯片、电子设备 | 2020-05-08 | 407 |
| 基于滑动输入来确定输入字符的系统和方法 | 2020-05-11 | 26 |
| 处理样本实体的测定系统和方法 | 2020-05-11 | 257 |
| 电子设备和通信方法 | 2020-05-08 | 233 |
| 扫描电子显微镜 | 2020-05-08 | 989 |
| 使用电容耦合电压互感器中的电阻分压器的高保真度电压测量 | 2020-05-11 | 810 |
| 无线通信系统中进行波束成形的设备和方法 | 2020-05-08 | 668 |
| 用于监视通信总线上的通信的方法和用于连接到通信总线的电子设备 | 2020-05-08 | 597 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈