设计支持系统技术方案

描述了一种用于生成针对容易受到源自电子系统外部的攻击的该系统的至少部分的风险状况(28)的方法和设计支持系统。该方法包括：接收识别攻击(10：图1)和该攻击在该系统的该至少部分内的潜在目标(21；22、23、24、25、26、27：图1)的攻击情形(64)，接收来自用户的用于评估该攻击的安全分析模型(25)的选择，接收识别在电子系统的该至少部分中可应用的选择的安全机制(70)的信息并且依靠该安全机制生成风险状况。

Design support system

A method and a design support system for generating at least part of the risk state (28) of the system that are vulnerable to attacks from external electronic systems are described. The method includes: a reception recognition attack (10: Fig. 1) and an attack case (64) of the potential targets (21; 22, 23, 24, 24, 25, 26, 27: 1) of the attack at least part of the system, receiving the selection of the security analysis model (25) from the user to evaluate the attack, and the reception is recognized in the at least part of the electronic system. The information of the selected security mechanism (70) can be applied and the risk situation can be generated by the security mechanism.

【技术实现步骤摘要】
【国外来华专利技术】设计支持系统
本专利技术涉及可以生成针对电子系统的至少部分的风险状况的设计支持系统，并涉及以及生成针对电子系统的至少部分的风险状况的方法，该电子系统诸如容易受到源自系统外部的攻击的车辆(诸如机动车辆)中的电子控制单元的网络或工业控制系统。
技术介绍
在广泛的汽车领域(诸如动力总成、底盘、车身、主动安全、驾驶辅助、乘客舒适性和信息娱乐)中，电子控制单元(ECU)越来越多地被引入机动车辆中。不仅车辆中嵌入的ECU的数量增加，而且这些单元通过通信总线(诸如控制区域网络(CAN)、FlexRay、媒体定向系统传输(MOST)和以太网)变得越来越互联化。在用于例如制造厂或加工厂以及医疗系统的工业控制系统中，控制单元也变得越来越普遍。与任何联网的计算机系统一样，汽车电子系统和工业控制系统容易受到外部恶意实体的攻击。因此，正在关注设计安全的汽车电子系统和工业控制系统。一个项目，电子安全车辆入侵保护应用(EVITA)，具有设计、验证和原型化汽车车载电子网络的安全架构的目标。HervéSeudie给出了EVITA的概述：“EVITA-Project.org：电子安全车辆入侵保护应用”，第7届escar汽车嵌入式安全会议，2009年11月24日～25日，杜塞尔多夫。根据EVITA，可以基于攻击的严重性和概率确定风险等级，从而允许用户评估风险。尽管如此，仍然需要生成风险状况的设计支持系统和方法，这可以有助于设计者比较电子系统的不同设计，允许他们例如通过测试系统在系统生命周期的不同阶段的安全性更快和/或更全面地评估安全性，并在必要时调整对策。
技术实现思路
根据本专利技术的第一方面，提供一种生成针对容易受到源自系统外部的攻击的电子系统的至少部分的风险状况的方法。该方法包括：接收识别攻击和该攻击在系统的至少部分内的潜在目标的攻击情形，接收来自用户的用于评估该攻击的安全分析模型的选择，接收识别在电子系统的至少部分中可应用的选择的安全机制的信息，以及依靠该选择的安全机制生成风险状况。这可以允许用户评估不同的安全机制(诸如基于软件的加密或硬件安全模块)的影响，由此识别应实施哪些安全机制。用户还可以使用不同的安全分析模型来比较结果，这可以提供进一步深入了解选择的安全机制的有效性。电子系统的至少部分可以是整个电子系统、电子系统的一部分、域或组件。组件可以是集成电路，诸如微控制器、片上系统(SoC)、内存、内存控制器、专用集成电路(ASIC)或现场可编程门阵列(FPGA)。组件可以是集成电路中的模块，诸如通信控制器。组件可以是宏。组件可以包括软件。安全分析模型可以选自多个安全分析模型，该多个安全分析模型可以包括电子安全车辆入侵保护应用(EVITA)、可靠性、安全和任务保证(RSMA)、通用漏洞评分系统(CVSS)、STRIDE加DREAD或者适用于汽车、工业、医疗或其他安全敏感设置或安全敏感域的其他安全分析过程。风险状况可以包括诸如安全等级的值。风险状况值可能是整数。风险状况值可以是正值。风险状况值可以采用在下限(可以是0或1)和上限(可以是6、7或8)之间的值。风险状况可以包括至少两个包括该值的严重性相关值的阵列。生成风险状况可以包括根据预定义的方案将安全分析模型的输出映射到预定义的风险状况模板上。这可以有助于比较使用多于一个模型生成的结果。该方法可以包括生成不具有选择的安全机制的另一个风险状况。这可以有助于开发者通过比较在适当的位置具有和不具有安全措施的风险状况来评估安全机制的影响。可以在风险状况(即具有安全机制的风险状况)之前并且可选地在接收识别选择的安全机制的信息之前生成另一个风险状况(即不具有安全机制的风险状况)。因此，计算机系统可以生成不具有任何安全机制的初始风险状况，并且稍后生成具有选择的安全机制的进一步的风险状况。该方法可以进一步包括生成包括风险状况的报告。该报告可以包括不应用选择的安全机制的另一个风险状况。接收关于选择的安全机制的信息可以包括接收来自用户的安全机制的选择。该方法可以包括根据预定方法或规则选择安全机制，依靠安全机制生成风险状况，确定风险状况是否满足预定标准，以及依靠确定风险状况满足预定标准，使用安全机制作为选择的安全机制。实际上，这提供了可以有助于用户找到可接受的安全机制的自动选择安全机制的方式。攻击情形可以是第一攻击情形，并且风险状况可以是第一风险状况。该方法可以进一步包括接收识别第二、不同的攻击和相同目标的第二攻击情形，以及依靠安全机制生成第二风险状况。该方法可以进一步包括提示用户该安全机制是否要用于第二攻击。系统的该至少部分包括域。电子系统可以是汽车电子系统。电子系统可以是工业电子系统。电子系统可以是医疗电子系统。电子系统可以是互连设备的系统，即物联网内的系统。可以同时考虑多于一个安全机制。因此，该方法可以包括：接收关于在电子系统的至少部分中可应用的至少两个选择的安全机制的信息，以及依靠该至少两个安全机制生成风险状况。根据本专利技术的第二方面，提供一种设计电子系统的方法。该方法包括生成针对电子系统的至少部分的风险状况，将安全机制包括在电子系统的至少部分的设计中，以及存储该设计。根据本专利技术的第三方面，提供一种制造并入电子系统的产品或系统的方法，该电子系统体现包括该电子系统的该至少部分的设计的设计。产品可以是车辆。产品可以是机动车辆。机动车辆可以是摩托车、汽车(有时称为“车”)、小型公共汽车、公共汽车、卡车或货车。机动车辆可以由内燃机和/或一个或多个电动机供能。产品可以是火车车辆，诸如驱动单元(有时称为“火车发动机”)或火车车厢。产品可以是宇航飞行器，诸如飞机或太空飞行器。产品可以是用于运输的信号设备。信号设备可以是车辆外的，例如火车的轨道旁信号设备。产品可以是医疗系统，诸如用于监测生命体征(诸如心率、呼吸率等)的监测器。医疗系统可以包括远程设备和能够与远程设备无线通信的本地设备(“家庭设备”)。远程设备可以是可植入的。系统可以是用于制造或加工的工业系统。根据本专利技术的第四方面，提供一种通过该方法制造的产品。根据本专利技术的第五方面，提供一种计算机程序，该计算机程序在由数据处理装置执行时使该数据处理装置实施该方法。根据本专利技术的第六方面，提供一种可以是非暂时性的计算机程序产品，该计算机程序产品包括存储计算机程序的计算机可读介质。根据本专利技术的第七方面，提供一种设计支持系统，该设计支持系统包括包含至少一个处理器和至少一组内存的数据处理装置。该至少一个处理器被配置为实施该方法。根据本专利技术的第八方面，提供一种存储安全相关数据的数据库，该安全相关数据按照域和/或按照攻击来分类。附图说明现在将参考附图以示例的方式描述本专利技术的某些实施方式，其中：图1示意性地示出情形环境；图2是包括多个数据库和安全分析系统的设计支持系统的示意性框图；图3是图2中所示的安全分析系统的示意性框图；图4是用于实施图3所示的安全分析系统的计算机系统的示意性框图；图5是由图2所示的安全分析系统实施的方法的流程图；图6示出机动车辆和在该机动车辆中可部署的电子系统；图7示出攻击情形的示例；图8使用情形数据、安全分析数据和安全机制生成风险状况；图9示出由不同的安全机制数据导致的不同的风险状况；图10示出第一攻击树和使用EVITA生成风险等级；图11示出第二攻击树本文档来自技高网...

【技术保护点】
1.一种生成针对容易受到源自电子系统外部的攻击的所述系统的至少部分的风险状况的方法，所述方法包括：接收识别攻击和所述攻击在所述系统的所述至少部分内的潜在目标的攻击情形；接收来自用户的用于评估所述攻击的安全分析模型的选择；接收识别在电子系统的所述至少部分中可应用的选择的安全机制的信息；以及依靠所述选择的安全机制生成风险状况。

【技术特征摘要】
【国外来华专利技术】1.一种生成针对容易受到源自电子系统外部的攻击的所述系统的至少部分的风险状况的方法，所述方法包括：接收识别攻击和所述攻击在所述系统的所述至少部分内的潜在目标的攻击情形；接收来自用户的用于评估所述攻击的安全分析模型的选择；接收识别在电子系统的所述至少部分中可应用的选择的安全机制的信息；以及依靠所述选择的安全机制生成风险状况。2.根据权利要求1所述的方法，进一步包括：生成包括所述风险状况的报告。3.根据权利要求2所述的方法，其中所述报告包括没有应用所述选择的安全机制的另一个风险状况。4.根据权利要求1至3中任一项所述的方法，其中接收识别所述选择的安全机制的信息包括：接收来自所述用户的安全机制的选择。5.根据权利要求1至3中任一项所述的方法，进一步包括：根据预定方法选择安全机制；依靠所述安全机制生成风险状况；确定所述风险状况是否满足预定标准；以及依靠确定所述风险状况满足所述预定标准，将所述安全机制识别为所述选择的安全机制。6.根据任一前述权利要求所述的方法，其中所述攻击情形是第一攻击情形，并且所述风险状况是第一风险状况，其中所述方法进一步包括：接收识别第二、不同的攻击和相同目标的第二攻击情形；以及依靠所述安全机制生成第...

【专利技术属性】
技术研发人员：M·德米，M·C·西蒙娜，S·比萨塞，B·卡尔内瓦莱，D·卢翁戈，H·洪让，
申请(专利权)人：瑞萨电子欧洲有限公司，
类型：发明
国别省市：英国,GB