一种用于技术单元(1)的安全性检查的方法,其中确定至少一个第一合理模型变型以及必要时多个替换模型变型,其中该方法在测试计算机系统(2)上被实施,并且其中该方法具有以下步骤:将已知弱点分配给模型变型的各组件;定义攻击目标;针对每个模型变型创建至少一个与攻击目标相关的攻击模型;根据至少一个评估变量对攻击模型的节点进行加权;确定关于评估变量的攻击模型的至少一个测试向量的评估;将安全值确定为所有评估的悲观值,以及在安全值符合安全性准则时输出安全性确认。合安全性准则时输出安全性确认。合安全性准则时输出安全性确认。
【技术实现步骤摘要】
【国外来华专利技术】用于技术单元的安全性检查的方法
[0001]本公开涉及一种在测试计算机系统上实施的用于技术单元的安全性检查的方法、一种用于确定技术单元的至少一种合理配置的方法、一种计算机程序产品、以及一种测试计算机系统。
[0002]从某种复杂性程度来看,现代技术设备、尤其是车辆具有各自设有自己的处理器或微控制器的多个嵌入式和彼此互连的组件。然而,本公开不仅限于车辆,而且还可以与具有多个彼此互连的组件且结合本公开通常被称为“技术单元”的其他单元和技术设备结合使用。不同设备的其他组合属于技术单元的示例。例如,特定任务可以由自主计算机单元(诸如平板计算机或智能电话)实施,该自主计算机单元(例如,作为行驶记录仪)与另一单元(诸如(自主)车辆)通信。另一方面,多个车辆也可以(例如,经由无线电)相互通信以实施共同的任务,以诸如在虚拟牵引杆的意义上相互耦合,或者一个单元(例如,建筑部门、农业、应急服务等领域的特殊车辆)可以与一个或多个车载设备连接。此类经组合单元在本公开的意义上可被视为技术单元。
[0003]此类技术单元的组件通常具有自己的存储器和通信接口,并且因此它们可以各自被视为单独的计算机系统。此类组件也被称为“嵌入式系统
‑
ES”或“网络物理系统
‑
CPS”。此类技术单元的复杂性很快变得不合理地高。例如,车辆通常具有几十个控制器,在这些控制器上实施具有数千万行程序代码的软件。可以仅列举部分同时使用的各种无线连接协议作为通信接口的示例。由于通信接口的复杂性和多样化,针对此类车辆形成了针对网络攻击的大攻击面(“Attack Surface(攻击面)”)。在此,攻击不仅可以经由实际的通信接口进行,而且还例如经由传感器(诸如LIDAR或雷达系统)进行。例如,可以利用虚假信号或借助DoS/泛洪来进行攻击。
[0004]结合本公开,对技术单元的外部或内部起作用的事件被称为“网络攻击”,该事件的目的在于,以不允许的方式影响技术单元和/或以不允许的方式向第三方转发技术单元的数据。
[0005]由于车辆的物理能力(质量和速度、由此得到的高动能、潜在地与许多人直接交互)、数量众多(车队)以及向自主车辆的发展,此类攻击可能会产生巨大的潜在风险。这不仅涉及大量陆地车辆(诸如汽车、卡车或轨道车辆),而且还涉及船只和飞机。
[0006]本公开旨在保护这种车辆和其他技术单元免受网络攻击并且有助于其弹性。结合本公开,技术单元不取决于起作用的事件(诸如网络攻击)而继续产生预期结果的能力被称为“弹性”。
[0007]为了保护技术单元免受网络攻击并使其具有弹性,有效的是尽可能防止开发中的弱点,或者尽可能隔离可能受到威胁的单个组件并且采取冗余安全性措施。在概念阶段,这是通过架构措施(如例如在来自Papadimitratos,P.,Buttyan,L.,Holczer,T.,Schoch,E.,Freudiger,J.,Raya,M.,Ma,Z.,Kargl,F.,Kung,A.,&Hubaux的出版物“安全车辆通信系统:设计与架构(Secure Vehicular CommunicationSystems:Design and Architecture),2008,IEEE通信杂志(IEEE Communications Magazine),46(11),100
‑
109中被描述”)进行的,而该概念的实施是通过对应的开发过程(诸如最佳实践、源代码审查等)来进行的。
[0008]在技术单元完全组装好并且将组件集成到其中之后,在每种情形中都需要进行测试或安全性检查,以便能够尽可能找到所有相关的弱点(还有那些通过组合子系统才出现的弱点)。此类安全性检查也称为网络安全测试。
[0009]为了能够找到弱点,具有关于其存在的知识是有帮助的(然而,还存在不需要先验知识的用于查找弱点的技术,诸如模糊测试)。安全性检查所基于的弱点可以例如从公众可免费访问或收费的数据库或从内部数据库中获得。内部数据库可以包含在自己的弱点分析过程中发现的弱点;一些迄今未被发现的弱点也可以在暗网上付费提供。
[0010]安全性检查应使制造商(例如,“原始装备制造商”-OEM)、政府机构(例如,许可机构)和其他利益团体(例如,消费者协会、商业车队运营商等)能够评估技术单元或车辆的具体网络安全风险。这可用于车辆的进一步开发或改进、验收或认证以及类似任务。
[0011]例如,在OEM处开发新车期间、在市场推出/标准化/认证期间以及随后持续地在车辆的整个生命周期期间都需要进行安全性检查。由于改变的配置、软件(的部分)的持续更新、改变的环境条件(例如,车辆到基础设施-V2I、车辆到车辆-V2V:交互伙伴的改变)、新已知的测试向量(也来自自己的安全性研究)等而得出对系统测试层的重复安全性检查以及因此对网络安全性的持续检查的必要性。在此,安全性检查可以由制造商执行,也可能由(车队)运营商、许可机构和专业的第三方公司执行。
[0012]由于汽车价值链中的分布式开发、生产、配置和维护,在安全性检查时无法或仅能非常受限地访问关于技术单元的具体内部实现的知识。待测试技术单元的系统架构、配置数据、源代码等主要针对安全性检查几乎不为制造商本身以外的参与者(诸如用户或当局部门)所知。因此,安全性检查在很大程度上对应于“黑盒测试”或“灰盒测试”,即,在没有或仅具有很少或部分关于待测试单元的内部功能或实现的知识的情况下开发的测试。
[0013]由此导致了为安全性检查选择合适的测试用例和测试或攻击向量的问题。由于高度复杂性,因组合的多样性而形成极大数量的测试用例,即使利用高质量的计算机系统也无法在实际可用的时间内完全处理这些测试用例。
[0014]因此,本专利技术的任务在于,提供一种方法和设备,借助该方法和设备可以将待检查的测试用例的数量减少到技术上可管理的量。此外,安全性检查应该能够在很大程度上自动执行。
[0015]这些和其他任务通过一种用于借助测试计算机系统来确定技术单元的配置的至少一个第一合理模型变型的方法来解决,其中该技术单元具有至少一个数据传输装置和多个组件,这些组件能够经由该数据传输装置进行数据通信,并且其中该方法包括以下步骤:
[0016]‑
在测试计算机系统的测试接口与技术单元的数据传输装置之间建立连接,
[0017]‑
确定技术单元的配置的模型的初始实例,
[0018]‑
从初始实例出发通过一系列指定过程来开发模型的指定实例,每个指定过程具有至少以下步骤:
[0019]·
必要时实施挑战动作,
[0020]·
确定针对技术单元的表征性行为,
[0021]·
分析表征性行为并且推断技术单元的实际配置的至少一个特征,
[0022]·
利用至少一个所确定的特征来指定模型,
[0023]其中至少一个指定过程由测试计算机系统自动实施,以及
[0024]‑
在满足至少一个确定性条件时,将模型的本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于技术单元(1)的安全性检查的方法,其中确定至少一个第一合理模型变型以及必要时多个替换模型变型,其中所述方法在测试计算机系统(2)上被实施,并且其中所述方法具有以下步骤:
‑
将已知弱点分配给模型变型的各组件,
‑
定义攻击目标,
‑
针对所述模型变型确定至少一个与所述攻击目标相关的攻击模型,
‑
根据至少一个评估变量来对所述攻击模型的节点进行加权,
‑
确定关于评估变量的所述攻击模型的至少一个测试向量的评估,
‑
将安全值确定为所有评估的悲观值,以及
‑
在所述安全值符合安全准则时输出安全性确认。2.如权利要求1所述的方法,其中所述至少一个第一合理模型变型以及必要时多个替换模型变型根据以下用于借助所述测试计算机系统(2)来确定所述技术单元(1)的配置的至少一个第一合理模型变型的方法来确定,其中所述技术单元(1)具有至少一个数据传输装置(3)和多个组件(4),所述多个组件(4)能够经由所述数据传输装置(3)进行数据通信,并且其中所述方法具有以下步骤:
‑
在所述测试计算机系统(2)的测试接口(6)与所述技术单元(1)的所述数据传输装置(3)之间建立连接,
‑
确定所述技术单元(1)的配置的模型(5)的初始实例,
‑
从所述初始实例出发通过一系列指定过程来开发所述模型(5)的指定实例,每个指定过程具有至少以下步骤:
·
必要时实施挑战动作,
·
确定针对技术单元的表征性行为,
·
分析表征性行为并且推断所述技术单元(1)的实际配置的至少一个特征,
·
利用至少一个所确定的特征来指定所述模型(5),其中至少一个指定过程由所述测试计算机系统(2)自动实施,以及
‑
在满足至少一个确定性条件时,将所述模型(5)的指定实例标识为所述第一合理模型变型。3.一种用于借助测试计算机系统(2)来确定技术单元(1)的配置的至少一个第一合理模型变型的方法,其中所述技术单元(1)具有至少一个数据传输装置(3)和多个组件(4),所述多个组件(4)能够经由所述数据传输装置(3)进行数据通信,并且其中所述方法具有以下步骤:
‑
在所述测试计算机系统(2)的测试接口(6)与所述技术单元(1)的所述数据传输装置(3)之间建立连接,
‑
确定所述技术单元(1)的配置的模型...
【专利技术属性】
技术研发人员:P,
申请(专利权)人:AVL李斯特有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。