建议了一种用于针对被操纵的数据传输来保护车辆的车辆网络的方法,在该方法中,所述车辆网络包括多个网络节点,并且其中在车辆网络中的至少一个第一网络节点在普通模式中对第一接收到的消息在这一方面进行检查:是否所述第一接收到的消息是在普通模式中分配给第一网络节点的消息,但是所述第一网络节点没有发送过它。另外,所述第一网络节点在诊断模式中在这一方面对第二接收到的消息进行检查:第二接收到的消息是在普通模式中还是在诊断模式中分配给第一网络节点的消息,但是第一网络节点没有发送过它。
【技术实现步骤摘要】
用于避免被操纵的数据传输而保护车辆网络的方法
介绍了用于避免被操纵的数据传输而保护车辆网络的方法以及对此设置的计算机程序。
技术介绍
由DE102015219996A1已知一种通过一种借助于CAN控制器连到总线上的节点用于防止在CAN总线上的操纵的方法。在这种情况下在第一节点的普通运行中,第一节点的一种被防护的发送模块监控所述总线,并且识别CAN控制器的发送过程。此外,所述发送模块识别一种偏离普通运行的不被允许地在总线上被发送的消息,并且如果所述发送模块识别了所述消息,就导入针对所述操纵所设置的措施。DE102009026995A1公开了一种用于运行特别是CAN总线的总线系统的方法,多个站点可以连接到该总线系统上。一种被传播的信息具有一种标识符,其中,一种被确定了的标识符总是只允许被唯一的站点使用。所述站点中的每一个站点将被传播的信息的标识符与由该站点自己使用的标识符相比较。当一致时产生一种错误通知。本专利技术的公开内容这样的方法被建议:利用所述方法可以保护一种车辆的网络,并且因此保护所述车辆免受被操纵的数据传输,或者避免一种这样的攻击而得到加固。在此,所述车辆网络包括多个网络节点,其中在所述车辆网络中的至少一个第一网络节点在普通模式中对于第一接收到的消息在下述方面进行检查:是否所述第一接收到的消息是在普通模式中分配给第一网络节点的消息,但是第一网络节点没有发送过该第一接收到的消息。现在建议的是:第一网络节点在诊断模式中在下述方面检查第二接收到的消息:是否该第二接收到的消息是在普通模式中或者在诊断模式中分配给所述第一网络节点的消息,但是该第一网络节点没有发送过该第二接收到的消息。该识别特别地可以借助于所述消息的标识信息来实现。因此,车辆网络的防止当前的、改进了的对于车辆网络的攻击的特别地有效的防护是可能的,所述攻击利用网络节点的诊断模式,特别是利用车辆控制器。这种解决方案可以没有附加的硬件地实现,并且因此可以简单地在软件中实现,或者像已经交付了的车辆在加装方案中作为软件更新在存在的系统上传播。这种解决方案的一个另外的优点是:它可以不取决于车辆的车辆变型方案(双门跑车、大型轿车、敞篷轿车、不同的变速器、不同的发动机等等)地实现,因为每个网络节点、特别是每个控制器自己对自己进行监控。因此不必进行对于另外的网络节点的特殊的调整。车辆网络以及因此车辆可以针于攻击(在该攻击时攻击者充分利用车辆网络的诊断功能)如下这样地变得更安全:只有当车辆在安全状态中时,网络节点才可以在诊断模式中被调动或者才可以完全地被关掉。那么一方面阻止或者至少妨碍了这样的攻击的最关键的作用——也即对于在行驶运行中关键的行驶功能的影响。另一方面,减少了对于攻击者来说通过特别是来自远处的攻击在利用控制器的诊断模式的情况下攻击车辆的可能性。此外对于诊断消息来说有利的是:也通过像桥控制器或者网关控制器那样的被转达的网络节点来实现相应的监控,以使得所述车辆网络避免在诊断场景中的攻击地更加稳固。如果一网络节点借助于接收到的消息识别出对于所述数据传输的操纵,所述网络节点原本只应该自己发送所述消息,但是这没有做到,那么该网络节点优选地开始应对措施。以下的必要时也可以组合的措施已经被证明是有利的:-使车辆网络或者车辆网络的一部分关闭,-使第一消息无效,-发送一种错误信息,在分配给第一网络节点的另外的消息中、特别是在另外的消息的一种检查部段中,特别是作为附加的诊断消息或者作为被操纵的信息,-放弃发送确定的、特别是对于安全来说关键的消息,-通过所述多个网络节点中的至少第一网络节点来忽略在车辆网络中所接收到的信息,-将车辆置于一种具有受限制的功能的紧急运行中,-在点火更换之后重置在车辆网络中的信息。附图说明以下参照附加的附图并且借助于实施例更详细地描述本专利技术。在此,图1示意性地示出了一种示例性的具有多个网络参与者或者网络节点的车辆网络。具体实施例的描述本专利技术涉及一种用于针对被操纵的数据传输而保护车辆网络的方法。车辆网络一般由不同的、大多是控制器节点的网络节点组成,所述网络节点通过总线系统相互连接成网,目前主要是CAN(控制器局域网络)、LIN(局域互联网络)、FlexRay以及MOST(多媒体传输系统)。在控制器-硬件中,每个总线系统建造一种组件,所述组件承担在发送-以及接收方向上的通信。所述控制器节点此外还具有一种计算单元,该计算单元运行一种计算机程序。该计算机程序经常如此地设置:使得从一控制器节点能够发送一定数量的消息并且能够接收一定数量的消息。如果所述控制器不涉及所述总线系统的桥或者网关,那么这些消息集是有规律地分离的。在图1中示意性地示出了一种示例性的车辆网络1。该车辆网络包括一主总线10,对于安全来说关键的网络节点的组20以及具有无线电通讯的网络节点的组30与该主总线相连接。例如马达控制器21、ESP-控制器22、变速器控制器23以及用于转向的控制器24属于所述对于安全来说关键的网络节点的组20。例如WLAN-和/或蓝牙模块31、集成的车辆电话32以及组合的导航-和多媒体系统33属于具有无线电通讯的网络节点的组30。OBD-插口60同样地与所述主总线相连接,并且被设置为向车辆网络外部的或者向车辆外部的接口。一种所谓的车身控制器40(BodyController(车身控制器),BCM)不仅与所述主总线10相连接,也与另一总线50相连接。此外,另外的网络节点、特别是控制器51到55与所述另外的总线50相连接。已经知道的对于车辆网络的攻击(Angriff)在很多情况下对于在这样的车辆网络1中的标准消息或者诊断消息进行操纵。在这种情况下,由控制器发送了原本不是为此设置的消息。为了使所述消息相对于正常的在总线系统上的消息得到发布或者实施,所述消息经常以一种部分地明显地更高的数据传输率来发送。在车辆中占支配地位的总线类型经常这样起作用,以使得所有的被发送的消息被所有的网络节点所接收。通常对于所接收到的网络节点来说不清楚的是:哪个(其它的)网络节点发送了一个确定的被接收的消息。一般也不存在1:1-通信。这使得极为困难的是:识别出一种接收到的消息是否来自于正确的发送者。对于车辆网络的攻击经常远程地、也就是说通过无线电接口来实施,所述攻击的目的是对于在车辆网络中的数据传输进行操纵。这样的攻击可以例如划分成三个步骤:1.由远方恶意地接管一种能够远程的控制器。2.操纵所述控制器,以使得这种确定的消息发送到对于安全来说关键的控制器上。3.因此导致所述对于安全来说关键的控制器执行不希望的、特别是不安全的操作。在对于在所述控制器节点的普通运行中的标准消息进行操纵的情况下,可以用下述方式保护免受这样的攻击或者免受这样地被操纵的数据传输:每个控制器节点在这样的消息方面监控所述总线:所述消息通常由控制器节点自己发送或者只允许由控制器节点自己发送。如果通过一控制器节点识别到这样的消息——不是所述控制节点自己发送了该消息,那么可能存在攻击或者相应的对于数据传输的操纵,并且开始合适的应对反应。但是单独这种方法免除更新的以及改进的对于车辆网络的攻击却是不足够的,在所述攻击时有目的地将各个控制器节点发送到诊断模式中。在该诊断模式中,控制器一般不发送消息或者只发送少量的消息。但是,标本文档来自技高网...
【技术保护点】
1.用于避免被操纵的数据传输而保护车辆的车辆网络(1)的方法,其中所述车辆网络(1)包括多个网络节点(21‑24、31‑33、51‑55),并且其中在车辆网络中的至少一个第一网络节点(21)在普通模式中在下述方面检查第一接收到的消息:是否所述第一接收到的消息是在普通模式中分配给所述第一网络节点(21)的消息,但是所述第一网络节点(21)没有发送过该第一接收到的消息,其特征在于,所述第一网络节点(21)在一种诊断模式中在下述方面检查第二接收到的消息:所述第二接收到的消息是在普通模式中还是在诊断模式中分配给所述第一网络节点(21)的消息,但是所述第一网络节点(21)没有发送过该第二接收到的消息。
【技术特征摘要】
2017.06.07 DE 102017209556.31.用于避免被操纵的数据传输而保护车辆的车辆网络(1)的方法,其中所述车辆网络(1)包括多个网络节点(21-24、31-33、51-55),并且其中在车辆网络中的至少一个第一网络节点(21)在普通模式中在下述方面检查第一接收到的消息:是否所述第一接收到的消息是在普通模式中分配给所述第一网络节点(21)的消息,但是所述第一网络节点(21)没有发送过该第一接收到的消息,其特征在于,所述第一网络节点(21)在一种诊断模式中在下述方面检查第二接收到的消息:所述第二接收到的消息是在普通模式中还是在诊断模式中分配给所述第一网络节点(21)的消息,但是所述第一网络节点(21)没有发送过该第二接收到的消息。2.根据权利要求1所述的方法,其特征在于,只有当车辆处于安全状态中时——特别是当车辆驻立时,所述多个网络节点(21-24、31-33、51-55)的至少所述第一网络节点(21)才能够被调动到诊断模式中或者能够被完全关闭。3.根据权利要求2所述的方法,其特征在于,经过在所述车辆网络(1)中接收到的、具有车辆数据的消息——所述消息来自所述多个网络节点(21-24、31-33、51-55)的至少第一网络节点(21)——识别出:车辆是否处于安全状态中,特别地,车辆是否驻立。4.根据权利要求3所述的方法,其特征在于,所接收到的具有车辆数据的消息包含车辆速度。5.根据前述权利要求中任一项所述的方法,其特征在于,所述第一网络节点是一种桥控制器或者网关控制器,并且第一消息是一种被转达的诊断消息。6.根据前述权利要求中任一项所述的方法,其特征在于...
【专利技术属性】
技术研发人员:M科纳,M韦伯,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。