本发明专利技术涉及一种用于防止待经由总线系统传输的有效数据包被操纵的方法,其中所述系统组件(1,2)分别包括签名和签名检验单元(10),借助所述签名和签名检验单元能够生成和检验数据包。本发明专利技术规定,所述系统组件(1)中的第一系统组件为待经由总线系统(50)传输的有效数据包(N)生成独立的、带有保护信息的保护数据包(S),该保护数据包不取决于、但是仍然能够明确地对应于该有效数据包(N),随后将所生成的保护数据包(S)与所关联的有效数据包(N)分离地通过总线系统(50)发送给所述系统组件(2)中的第二系统组件,和通过所述系统组件中的第二系统组件(2)根据所发送的保护数据包(S)对所传输的有效数据包(N)进行真实性验证。
【技术实现步骤摘要】
本专利技术涉及一种用于防止待经由总线系统在至少两个系统组件之间传输的有效数据包被操纵的方法,其中所述系统组件分别包括签名和签名检验单元,借助所述签名和签名检验单元(Signierungs-und Signierungsprüfungseinheit)能够生成和检验用于有效数据包(Nutzdatenpakete)的数据包。
技术介绍
一段时间以来有越来越多的黑客攻击针对机动车的总线系统,其中将任意的数据或数据包加载到机动车的总线系统、尤其CAN-总线系统上,这造成了或可能造成车辆性能异常。这种黑客攻击可导致机动车的损坏或机动车组件的损坏。因此在现有技术中已经存在设计用于保护总线系统的系统组件之间的通信的若干途径。例如,DE 10 2009 002 396 A1公开了一种用于防止传感器和传感器的传感器数据被操纵的方法,其中在认证传感器数据的框架中给传感器发送来自控制器的随机数,其中为了识别传感器数据的操纵,从传感器到控制器的传感器数据设有加密完整性保护。另外,为了防止重放攻击,给传感器数据增加额外的随时间变化的参数。DE 10 2009 045 133 A1公开了很相似的方法。DE 10 2004 036 810 A1另外公开了用于机动车总线系统的至少两个系统组件的通信方法。在该通信方法中,这些系统组件分别提供预定的固定数目的仅它们知道的验证码。基于两个系统组件都能访问的随时间变化的信号,在车辆启动时由两个系统组件通过在此设计为哈希函数的映射函数选出其中一个验证码并且用该验证码编码待传输的有效数据。另外在现有技术中存在多种多样的用来为信息加密的方法和标准,其中作为其中一个实例要提及的是AUTOSAR标准。然而,所有这些方法和标准都具有关于其安全性或关于其可操作性的缺 陷。因此,例如通过CAN-总线系统仅能传输有限的预定比特长度的数据包,该比特长度对于大多数前述和现有技术中已知的加密方法和加密标准都太低。另外,所述加密方法和系统通常关于其他方面也不是针对机动车中使用的总线系统设计的,提供的安全级别不够或者需要大幅修改待传输的消息。大多数所述方法和标准都未考虑或未充分考虑尤其是混合总线系统,如CAN-总线系统、CAN-FD-总线系统或者以太网。
技术实现思路
现在本专利技术要解决的技术问题在于,提供一种用于防止待经由总线系统在至少两个系统组件之间传输的有效数据包被操纵的方法,该方法相对于现有技术而言更好地适合于在机动车中使用的总线系统并且不受借助所述总线系统可传输的数据包的最大比特长度的约束。提供了一种用于防止待经由总线系统在至少两个系统组件之间传输的有效数据包被操纵的方法,其中,所述系统组件分别包括签名和签名检验单元,借助所述签名和签名检验单元能够生成和检验数据包。在该方法的范围内,所述系统组件中的第一系统组件为待经由总线系统传输的有效数据包生成独立的、带有保护信息的保护数据包,该保护数据包不取决于、但是仍然能够明确地对应于该有效数据包。接下来将所生成的保护数据包与所关联的有效数据包分离地通过总线系统发送给所述系统组件中的第二系统组件。另外还通过所述系统组件中的第二系统组件根据所发送的保护数据包对所传输的有效数据包进行真实性验证。在这样的方法中,除了要保护的信息外,即除了要保护的有效数据包外,还通过总线系统传输另外的含保护信息的信息、即保护数据包,保护数据包的保护信息是以加密方式生成的并且可以由进行接收的系统组件验证。由此使得上述黑客攻击不能实现。优选地,数据包包含至少一个关于至少一个比特的值的信息。优选地,在发送保护数据包后,将与保护数据包可对应的有效数据包从第一系统组件传送给第二系统组件。进一步优选地,同时发送有效数据包和可对应于该有效数据包的保护数据包。在优选实施方式中,向所述至少两个系统组件的签名和签名检验单元中分别存入至少一个完全相同的密钥,借助该密钥加密和解密所发送的保护数 据包。在这样的实施方式中,可以以简单但是还安全的方式用同一密钥加密和解密该保护数据包。优选地,每个有效数据包(为该有效数据包生成了保护数据包)还包括比特长度为N比特的计数器,该计数器在每次传送相应的有效数据包时都增加。特别优选地,有效数据包的计数器在每次传送该有效数据包时都增加1。进一步优选地,计数器在溢出时复位至初始值零。这有助于安全地防止所谓的重放攻击并且能够实现将保护数据包简单地对应于它们各自的有效数据包。另外优选地,分别可对应于有效数据包的保护数据包还包括有效数据包所带有的计数器。特别优选地,该方法被设计用于发送所谓的有关ASIL的信息,也就是说用于那些对于所谓的汽车安全完整性等级(Automotive Safety Integrity Level)相关的有效数据包。更准确地说,所谓的分级ASIL数据包自身已然包含了计数器。通过在AUTOSAR中确定的方法来确保计数器在ASIL数据包中的实施。在所谓的AUTOSAR中,即在所谓的汽车开放系统架构(AUTomotive Open System ARchitecture)中,所涉及的是发源于机动车制造商、控制器制造商以及开发工具、控制器基础软件和微控制器制造商的开发伙伴关系的软件架构。汽车安全完整性等级是由ISO 26262定义的风险分类方案。优选地,计数器具有4-比特的比特长度。尤其是当总线系统(根据本专利技术的方法,通过该总线系统发送有效数据包)是CAN-总线系统时,这样的短的计数器是适合的或者采用这种计数器。在优选实施方式中,每个保护数据包和每个有效数据包分别具有决定各个数据包所对应的优先级的消息标识符,其中保护数据包的消息标识符的值被选成与可对应于该保护数据包的有效数据包的消息标识符的值接近为使得有效数据包和可对应的保护数据包被对应给同一优先级或者直接相邻的优先级。换言之,有效数据包和对应于该有效数据包的保护数据包二者在总线系统内部都具有相同或紧挨着的优先级。由此避免了例如在总线系统高负荷的情况下两个数据包中的仅一个数据包到达各接收系统组件。优选地,不通过保护数据包验证的有效数据包也经由同一总线系统在至少两个系统组件之间传送,对于这些有效数据包而言不生成和发送保护数据包。由此可以避免总线系统的不必要的多次加载,因为所传输的有效数据包的认证只有在这真的有必要的情况下才进行。优选地,根据本专利技术的方法另 外包括划分和确定待经由总线系统传送的有效数据包的步骤,在该步骤中所有可经由总线系统传送的有效数据包均根据功能判断标准被划分成功能群组,并且对于每个这样得到的群组均确认,对于被计入该群组的有效数据包是否都生成并传送了保护数据包。优选地,在划分和确认步骤中预先确定所述选择和确定或者可由使用者个人实施。在该方法的这样的实施方式中,总线系统的使用者可以决定,对于哪些有效数据包或对于有效数据包的哪些功能群组生成可对应的保护数据包。功能群组例如可以包括所有如下的有效数据包,所述有效数据包具有关于机动车在系统内部存储的路径的信息或数据。优选地,至少两个系统组件具有与一个共同的系统时间同步的时间单元。在根据本专利技术的方法的一个可能备选实施方式中,这能够实现以简单的方式防止对总线系统的所谓的重放攻击。在优选实施方式中,保护数据包通过系统时间并通过与保护数据包可对应的、待传输的有效数据包的至本文档来自技高网...
【技术保护点】
一种用于防止待经由总线系统(50)在至少两个系统组件(1,2)之间传输的有效数据包(N)被操纵的方法,其中所述系统组件(1,2)分别包括签名和签名检验单元(10),借助所述签名和签名检验单元能够生成和检验数据包,其特征在于,‑所述系统组件(1)中的第一系统组件为待经由总线系统(50)传输的有效数据包(N)生成独立的、带有保护信息的保护数据包(S),所述保护数据包不取决于、但是仍然能够明确地对应于有效数据包(N),随后‑将所生成的保护数据包(S)与所关联的有效数据包(N)分离地通过总线系统(50)发送给所述系统组件(2)中的第二系统组件,和‑由所述系统组件中的第二系统组件(2)根据所发送的保护数据包(S)对所传输的有效数据包(N)进行真实性验证。
【技术特征摘要】
2015.06.22 DE 102015211451.11.一种用于防止待经由总线系统(50)在至少两个系统组件(1,2)之间传输的有效数据包(N)被操纵的方法,其中所述系统组件(1,2)分别包括签名和签名检验单元(10),借助所述签名和签名检验单元能够生成和检验数据包,其特征在于,-所述系统组件(1)中的第一系统组件为待经由总线系统(50)传输的有效数据包(N)生成独立的、带有保护信息的保护数据包(S),所述保护数据包不取决于、但是仍然能够明确地对应于有效数据包(N),随后-将所生成的保护数据包(S)与所关联的有效数据包(N)分离地通过总线系统(50)发送给所述系统组件(2)中的第二系统组件,和-由所述系统组件中的第二系统组件(2)根据所发送的保护数据包(S)对所传输的有效数据包(N)进行真实性验证。2.根据权利要求1所述的方法,其特征在于,向所述至少两个系统组件(1,2)的签名和签名检验单元(10)中分别存入至少一个完全相同的密钥,借助所述密钥对所发送的保护数据包(S)进行加密和解密。3.根据权利要求1或2所述的方法,其特征在于,为其生成了保护数据包(S)的每个有效数据包(N)均包括具有N比特的比特长度的计数器(Z),所述计数器在每次传送相应的有效数据包(N)时都增加。4.根据权利要求3所述的方法,其特征在于,计数器(Z)具有4比特的比特长度。5.根据前述权利要求之一所述的方法,其特征在于,每个保护数据包(S)和每个有效数据包(N)分别具有决定各个数据包(S,N)所对应的优先级的消息标识符(IDS,IDN),其中,保护数据包(S)的消息标识符(IDS)的值被选成与所述保护数据包可对应的有效数据包(N)的消息标识符(IDN)的值接近为使得有效数据包(N)和该可对应的保护数据包(S)被对应于同一优先级或者直接相邻的优先级。6.根据前述权利要求之一所述的方...
【专利技术属性】
技术研发人员:A查奇,O哈特科普,
申请(专利权)人:大众汽车有限公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。