用于控制对信息-物理系统的访问的系统和方法技术方案

本发明专利技术公开了一种用于控制对信息‑物理系统(CPS)的访问的系统和方法。安全工具可以通过以下步骤来执行访问授权：分析通过CPS发送的消息，创建多个虚构消息，通过CPS发送多个虚构消息，以及检查被分析的消息中是否包括正确的授权数据，以确定对CPS的授权访问或未授权访问。访问监控工具可以检测与对CPS的未授权访问相关的功能CPS模块的变化，并且响应于检测到与对CPS的未授权访问相关的功能CPS模块的变化，使用监控规则改变功能CPS模块的状态。

Systems and methods for controlling access to information physical systems

【技术实现步骤摘要】
用于控制对信息-物理系统的访问的系统和方法相关申请本申请要求2019年2月7日提交的俄罗斯联邦专利申请No.RU2019103370的权益，该申请通过引用全部并入本文。
实施例总地涉及计算机安全领域，更具体地，涉及信息-物理系统的安全性。
技术介绍
对信息-物理系统(CPS)的未授权访问是一种快速增长的威胁。信息-物理系统是将计算资源集成到物理过程中的系统。CPS的示例包括工业控制系统(ICS)、物联网和工业物联网系统、车辆电子系统和其他电子系统。对CPS构成威胁的典型示例是震网(Stuxnet)计算机蠕虫，最初是在对伊朗工业公司的APCS进行网络攻击时发现的。对乌克兰核电站甚至莫斯科缆车服务器的网络攻击也是众所周知的。与此同时，对信息-物理系统的未授权访问通常不仅与网络攻击有关，而且与违规者(offender)的恶意行为有关。作为未授权访问的结果，信息-物理系统可能会发生故障，这可能导致停机，财务损失，甚至对环境和人口构成真正的威胁。对CPS的未授权访问所造成的威胁的另一个典型示例是车辆被盗。出于这个原因，车辆具有许多安全特征，从使用机械钥匙以防止对车辆内部的物理访问和启动发动机的可能性的基本保护，到复杂的防盗设备(例如防盗器)。防盗器是通常基于汽车电路中断原理的车辆访问监控系统(例如，参见俄罗斯专利No.2440902)，其例如向点火线圈、燃料泵、燃料喷射器和启动器马达等供电。这种设备隐藏在汽车中并连接到相关电路。而且，防盗设备可以具有无线通信单元，用于与由车辆用户控制的发射器/应答器交换数据。在未授权访问车辆或试图启动发动机的情况下，防盗器锁定车辆的发动机或其他功能模块。连接到车辆的数据总线(例如，多路复用数据总线)并执行用户授权(例如，参见俄罗斯专利No.2613927)的防盗器也是已知的。在用户授权不成功的情况下，防盗器通过数据总线发送发动机锁定命令。然而，上述防盗设备具有许多缺点。它们安装起来很昂贵，并且可以被违规者找到并随后禁用。此外，知道防盗器操作逻辑的违规者可以连接到数据总线(例如，通过ODB-II端口或通过移除连接到数据总线的大灯，并在该点连接到数据总线)并阻止防盗器关闭汽车的命令。车辆示例说明了采用已知的CPS访问监控系统存在的技术问题，其使得违规者能够绕过这样的系统并获得对CPS的未授权访问。
技术实现思路
本文描述的实施例基本上满足了工业的上述需求。例如，第一个技术结果包括改进信息-物理系统访问监控工具的特性，例如锁定程度、可靠性和故障安全性。第二个技术结果包括防止违规者获得授权访问信息-物理系统所需的数据。在一个实施例中，一种用于控制对信息-物理系统(CPS)的访问的系统包括：至少一个电子控制单元(ECU)，其包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器；指令，当在至少一个ECU上执行时，使至少一个ECU实现：安全工具，其被配置为通过以下步骤执行访问授权：分析通过CPS发送的多个消息，创建多个虚构消息，多个虚构消息寻址到多个消息被寻址到的ECU中的至少一个，通过CPS以随机顺序和随机延迟发送多个虚构消息，并检查被分析的消息中是否包括正确的授权数据以确定对CPS的授权访问或未授权访问；访问监控工具，被配置为检测与对CPS的未授权访问相关的至少一个功能CPS模块的变化，并且响应于检测到与对CPS的未授权访问相关的至少一个功能CPS模块的变化，使用至少一个监控规则改变至少一个功能CPS模块的状态。在一个实施例中，一种用于控制对信息-物理系统(CPS)的访问的方法，该系统包括至少一个电子控制单元(ECU)，其包括至少一个处理器和可操作地耦合到至少一个处理器的存储器，该方法包括通过以下步骤执行访问授权：分析通过CPS发送的多个消息，创建多个虚构消息，多个虚构消息寻址到多个消息被寻址到的ECU中的至少一个，通过CPS以随机顺序和随机延迟发送多个虚构消息，检查被分析的消息中是否包括正确的授权数据，以确定对CPS的授权访问或未授权访问；检测与对CPS的未授权访问相关的至少一个功能CPS模块的变化；以及响应于检测到与对CPS的未授权访问相关的至少一个功能CPS模块的变化，使用至少一个监控规则改变至少一个功能CPS模块的状态。在一个实施例中，车辆包括动力传动(drivetrain)网关，被配置为向车轮传递动力；多媒体网关，被配置为控制车辆的多媒体；变速器(transmission)网关，被配置为通过动力传动网关控制车轮，其中动力传动网关、多媒体网关和变速器网关中的每一个包括至少一个电子控制单元(ECU)，至少一个安全工具，其被配置为通过以下步骤执行访问授权：分析通过车辆发送的多个消息，创建多个虚构消息，通过车辆发送多个虚构消息，并检查被分析的消息中是否包括正确的授权数据，以确定对车辆的授权访问或未授权访问；以及至少一个访问监控工具，其被配置为：检测与对CPS的未授权访问相关的至少一个功能CPS模块的变化，以及响应于检测到与对CPS的未授权访问相关的至少一个功能CPS模块的变化，使用至少一个监控规则来改变至少一个功能CPS模块的状态。以上
技术实现思路
不旨在描述每个所示实施例或其主题的每个实现。下面的附图和具体实施方式更具体地举例说明了各个实施例。附图说明考虑到以下结合附图对各个实施例的详细描述，可以更全面地理解其主题，其中：图1a是根据实施例的技术系统的示例的框图。图1b是图1a的技术系统的特定实现的示例的框图。图1c是根据实施例的利用便携式设备的物联网的示例性系统的图示和框图。图1d是根据实施例的一组可能的设备传感器的框图。图1e是根据实施例的车辆网络架构的框图。图1f是根据另一实施例的车辆网络架构的框图。图2是根据实施例的CPS访问监控系统的框图。图3是根据实施例的用于CPS访问监控的方法的流程图。图4是根据实施例的包括防止拦截授权数据的CPS访问监控系统的框图。图5是根据实施例的用于包括防止拦截授权数据的CPS访问监控的方法的流程图。图6是根据实施例的车辆中的CPS访问监控系统的框图。图7是根据实施例的车辆中的另一CPS访问监控系统的框图。图8是根据实施例的数据帧的框图。图9是被配置为实现本文描述的实施例的计算机系统的框图。虽然各种实施例可以进行各种修改和修改为替换形式，但是其细节已经通过附图中的示例示出并且将被详细描述。然而，应该理解，意图并非将要求保护的专利技术限制于所描述的特定实施例。相反，其目的是涵盖落入由权利要求限定的主题的精神和范围内的所有修改、等同物和替代物。具体实施方式在特定实施例中贯穿说明书使用以下定义和概念。例如，受控对象是外部影响(控制和/或干扰)指向的过程对象，以便改变其状态。在一个实施例中，这样的对象可以是设备(例如，电动机)或过程(或其一部分)。在一个实施例中，工艺过程(TP)可以是材料生产的过程，其包括材料物质(工作对象)的状态本文档来自技高网...

【技术保护点】
1.一种用于控制对信息-物理系统(CPS)的访问的系统，所述系统包括：/n至少一个电子控制单元(ECU)，其包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器；/n指令，当在所述至少一个ECU上执行时，使所述至少一个ECU实现：/n安全工具，配置为：/n通过以下步骤执行访问授权：/n分析通过所述CPS发送的多个消息，/n创建多个虚构消息，所述多个虚构消息寻址到所述多个消息被寻址到的所述ECU中的至少一个，/n通过所述CPS以随机顺序和随机延迟发送所述多个虚/n构消息，以及/n检查所述分析的消息中是否包括正确的授权数据，以确定对所述CPS的授权访问或未授权访问；/n访问监控工具，配置为：/n检测与对所述CPS的未授权访问相关的至少一个功能CPS/n模块的变化，以及/n响应于检测到与对所述CPS的未授权访问相关的至少一个/n功能CPS模块的变化，使用至少一个监控规则改变至少一个功能CPS模块的状态。/n

【技术特征摘要】
20190207 RU 2019103370;20190614 US 16/441,8931.一种用于控制对信息-物理系统(CPS)的访问的系统，所述系统包括：
至少一个电子控制单元(ECU)，其包括至少一个处理器和可操作地耦合到所述至少一个处理器的存储器；
指令，当在所述至少一个ECU上执行时，使所述至少一个ECU实现：
安全工具，配置为：
通过以下步骤执行访问授权：
分析通过所述CPS发送的多个消息，
创建多个虚构消息，所述多个虚构消息寻址到所述多个消息被寻址到的所述ECU中的至少一个，
通过所述CPS以随机顺序和随机延迟发送所述多个虚
构消息，以及
检查所述分析的消息中是否包括正确的授权数据，以确定对所述CPS的授权访问或未授权访问；
访问监控工具，配置为：
检测与对所述CPS的未授权访问相关的至少一个功能CPS
模块的变化，以及
响应于检测到与对所述CPS的未授权访问相关的至少一个
功能CPS模块的变化，使用至少一个监控规则改变至少一个功能CPS模块的状态。


2.如权利要求1所述的系统，还包括受信ECU的数据库，其包括受信ECU列表，其中所述安全工具安装在第一ECU上，并且所述访问监控工具安装在第二ECU上，并且其中所述第一ECU和所述第二ECU包括在所述受信ECU列表中。


3.如权利要求1所述的系统，其中，所述访问监控工具还被配置为向所述安全工具发送第一完整性校验消息，
其中，所述安全工具还被配置为：向所述访问监控工具发送第二完整性校验消息，并且当所述访问监控工具未能发送所述第一完整性消息时，确定对所述CPS的未授权访问，以及
其中，所述访问监控工具还被配置为：当所述安全工具未能发送所述第二完整性消息时，确定对所述CPS的未授权访问。


4.如权利要求3所述的系统，其中，通过经编码的通信信道发送所述第一完整性校验消息和所述第二完整性校验消息。


5.如权利要求1所述的系统，其中，当所述安全工具确定授权访问时，所述安全工具还被配置为向所述访问监控工具发送成功的CPS授权消息。


6.如权利要求1所述的系统，其中，所述CPS是包括多个数据总线的车辆，所述数据总线连接动力传动子系统、多媒体子系统、传输子系统和远程信息处理子系统。


7.如权利要求6所述的系统，其中，所述至少一个功能CPS模块是包括在所述动力传动子系统中的车辆发动机ECU，包括在所述传输子系统中的车轮ECU，或者包括在所述传输子系统中的车辆转向ECU中的至少一个，并且其中所述至少一个监控规则包括通过所述车辆发动机ECU、所述车轮ECU或所述车辆转向ECU中的至少一个来禁用所述车辆。


8.如权利要求6所述的系统，其中，检测至少一个功能CPS模块的所述变化包括启动所述车辆的发动机或固定所述车辆。


9.如权利要求6所述的系统，其中，所述安全工具安装在耦合所述动力传动子系统、所述多媒体子系统、所述传输子系统和所述远程信息处理子系统的中央网关上。


10.如权利要求6所述的系统，其中，所述安全工具被配置为通过忽略与所述车辆的用户的授权无关的消息来选择性地分析所述多个消息。


11.如权利要求1所述的系统，其中，所述安全工具由制造商预安装在所述ECU上，并且其中所述安全工具还被配置为从用户接收访问授权数据，所述访问授权数据确定对所述CPS的访...

【专利技术属性】
技术研发人员：S·G·佐琳，A·V·沙德林，
申请(专利权)人：卡巴斯基实验室股份公司，
类型：发明
国别省市：俄罗斯;RU