一种保护车辆电子控制系统免受黑客攻击的系统和方法与流程

1.本发明涉及车辆安全保障领域，即车辆电子控制系统的保护系统及方法。本发明允许在必要时识别和消除威胁(threats)，并将其通知所有者。车辆控制保护系统是一个软件和硬件方案(solutions)的综合体(complex)。


背景技术：

2.在现代车辆中，自主控制系统的数量每年都在增加。这种情况是由于新的安全系统的出现，增加了舒适性，并且改进和数字化了现有系统。因此，如今几乎所有的车辆设备都是由电子设备控制的：发动机控制系统、制动控制系统、车辆安全系统、温度控制系统等。
3.汽车电子技术的快速发展为汽车控制算法的不断改进、附加功能的出现、车辆单个部件的简化/降低成本等提供了广泛的基础。对汽车控制系统数字化的动态分析表明，汽车控制系统数字化的发展趋势是积极的，并有望在未来逐步发展。
4.然而，这种电子控制系统的广泛使用也有一个严重的缺点。像任何数字系统一样，它们也有漏洞，因此可能会受到损害。如果一个控制系统受到破坏，黑客就可以获得对它部分或完全控制权。这会对其所有者和其他人造成物质和物理上的损害。
5.允许黑客访问车辆控制系统的几种不同的威胁：
6.·
通过外部数据载体(u盘、gsm模块、蓝牙模块、wi
‑
fi网络等)；
7.·
在控制系统的接口通信线路上未经授权安装设备。
8.因此，本发明旨在确保车辆的电子系统免受未经授权的入侵。
9.所有控制系统的拓扑结构都有一个相似的原理。即：通常有一定数量的模块(设备)连接，并通过接口通信线路交换数据。黑客(在任何威胁的情况下)的主要目标是攻击控制系统的接口通信线路。该攻击包括欺骗、封锁、在通信接口线路上显示黑客的数据。
10.目前，汽车制造商没有在适当的水平上实施或仅部分实施控制系统保护措施。因此，本发明所提出的方法和系统是有需求的。
11.市面上现存的提供车辆控制系统保护的综合体(complexes)可分为两类：
12.·
在软件层面提供保护；
13.·
硬件防火墙。
14.根据现有技术可知晓一种安全系统，它是车辆的电子控制单元(electronic control unit，ecu)固件(firmware)的附加部分，设计用于监视网络活动、分析并消除黑客攻击(参见argus development https://argus
‑
sec.com/argus
‑
ecu
‑
protection/)。通过检测攻击、可疑活动和汽车网络标准行为的变化，在软件层面提供保护。安装在车辆中的该系统旨在监控网络活动，分析和消除攻击。
15.这种解决方案的缺点是，只有在执行命令时才能确定威胁的存在。此外，这种解决方案不能适用于任何类型和品牌的车辆，因为对其进行改编是必要的。
16.选择作为原型的最接近的技术方案是在2018年01月30日公布的专利us9881165b2中描述的用于确保车辆电子系统保护的系统和方法。这类系统的主要组成部分是防火墙设
备。它安装在控制系统与ecu的接口通信线路之间。防火墙由以下功能块组成：
17.·
消息接收单元(监控总线与ecu电子控制单元之间的消息)；
18.·
消息分析块(基于建立的规则确定未经授权的命令)；
19.·
消息发送单元(将合法命令转发给ecu的电子控制单元)。
20.然而，这种类型的系统与上面描述的系统具有类似的缺点。在这种系统中，只有在产生恶意命令时才能确定系统被未经授权的命令所影响。使系统适应每种类型的车辆也是必须的。另外，一个防火墙只保护一个ecu。
21.所描述的现有的保护车辆控制系统的选择并不是为了确定接口线路上存在未经授权的设备、更换标准ecu、安装新设备等事实。此外，它们在探测综合体安全区内的无线电接收/发射设备方面没有提供保护，也无法干扰选定的无线电波段。


技术实现要素：

22.本发明的实质是在确定和处理(fixing)车辆控制系统的接口通信线路上的未授权设备方面提供最准确的结果。因此，本发明消除了现有系统的所有上述缺点：
23.·
在控制系统运行之前,就可以确定在接口通信线路上安装了未经授权的设备；
24.·
本发明允许确定在控制系统的接口线上替换现有设备的事实；
25.·
本发明允许确定在控制系统的接口通信线路上安装新设备的事实；
26.·
本发明不需要进一步改进运算的算法；
27.·
本发明适用于任何车辆的接口通信线路；
28.·
本发明可以安装在控制系统中使用的几乎任何类型的接口通信线路上；
29.·
本发明提供了通过接口通信线路发出的恶意命令的检测和抑制；
30.·
本发明提供在给定频率范围内对未经授权的无线电发射机的检测；
31.·
本发明允许在给定频率范围内建立干扰；
32.·
本发明具有一种显示和归档信息、设置的方法。
33.本发明的技术效果是，通过对车辆控制系统的参数进行全面检查和监控，以及对未经授权的连接模块的检测，提高车辆免受入侵的安全性和保护程度。
附图说明
34.图1显示了车辆控制系统的典型拓扑结构；
35.图2说明了威胁的一种变体“未经授权在控制系统的接口通信线路上安装设备”；
36.图3显示了现有替代系统的一个变体，根据“在软件层面提供保护”的原则制作；
37.图4显示了现有替代系统的一个变体，根据“硬件防火墙”的原则制作；
38.图5显示了实现本技术中所述方法的系统的功能框图；
39.图6显示了将综合体连接到车辆控制系统的选择；
40.图7显示了将掩码(mask)应用于无线电信号源的变体；
41.图8显示了使用掩码检测数据传输信道的变体；
42.图9显示了使用can、lin标准接口通信线路的车辆综合体的变体。
具体实施方式
43.图1显示了一个车辆控制系统的典型拓扑结构，该系统包含一个接口通信线路和与之相连的车辆模块。接口通信线路101可以是任何现有接口(can、lin、以太网、sae j1708、sae j1938等)之一。系统中的电子模块(设备)111、112、113、114、115的数量不受限制，可以以几十个计算。任何模块通过单独的电线102、103、104、105、106连接到接口通信线路。电子模块之间的信息交换是按照一定的规则(数字协议)进行的。可能在车辆中有几个控制系统，以及接口通信线路。在每个接口通信线路上，可以使用不同于其他的协议/标准来实现数据传输。
44.图2显示了威胁的一种变体：“未经授权在控制系统的接口通信线路上安装设备”。未经授权的设备201通过连接211连接到控制系统的接口通信线路101。通过这种连接，攻击者可以完全访问接口通信线路，从而可以控制车辆的所有电子模块。
45.图3显示了根据“在软件层面提供保护”的原则制作的现有替代系统的一个变体。其中，在接口通信线路101上的每个模块111、112中，固件应该通过添加一个软件块301、302进行升级，以防止未经授权的攻击。
46.图4显示了基于“硬件防火墙”原则制作的现有替代系统的一个变体。所有模块111、112与接口通信线路的通信都通过称为防火墙401、402的单独设备执行。为保证对控制系统的充分保护，需要通过单独的防火墙设备提供各模块的连接。
47.图5显示了提供车辆控制系统保护的设备的功能框图。501设备由6个硬件和软件模块组成，每个模块通过其自身特性提供对威胁的识别和抑制：
48.·
单元502车辆参数监测与控制；
49.·
单元503接口通信线路的无源扫描；
50.·
单元503恶意命令的检测和抑制；
51.·
单元504接口通信线路的频谱分析；
52.·
单元505恶意命令的检测/抑制
53.·
单元506在给定频率范围内检测和干扰未经授权的接收机/发射机。
54.·
单元507显示信息并输入配置数据。
55.图6显示了车辆控制系统保护设备501通过电导线611与车辆控制系统接口通信线路101的连接。该设备可以连接到任何类型的接口通信线路。如上所述，该系统还包括经由电导线102、103、104、105、106连接到接口通信线路101的车辆的至少一个电子模块111、112、113、114、115。如果存在未经授权的连接设备201，则根据设备501中制定的算法阻止其动作。接下来，将详细考虑作为设备501的一部分的单元502
‑
507。
56.用于监测和控制车辆参数的单元502(参见图5)是设备501的一部分，并且连接到接口通信线路101，并且用于向执行单元503
‑
507发送配置参数，组织组件之间的交互，收集关于所连接的模块的信息，处理、归档并向信息显示单元507发送数据，以及输入配置数据。
57.接口通信线路的无源扫描单元503(参见图5)是设备501的一部分，并且连接到用于监测和控制车辆参数的单元502和接口通信线路101，并且实现了一种监测控制系统接口电气参数并将其作为确定未经授权的设备的技术手段的方法。接口通信线路的电气参数的监测包括测量电阻和电容分量，并将其与“参考值”(在安装系统时的初始时间的设置)进行比较。在“休息”状态时执行电气参数的监测。
58.该方法基于这样一个事实，即连接到接口通信线路101的任何附加设备都会导致电阻的减小和电容的增加。连接到接口通信线路的每个收发器具有r＝50kohm的电阻，和大约10pf的电容分量。这允许通过增加总容量(如果连接附加设备，容量增加)和降低电阻(如果连接附加设备，电阻减小)来检测未经授权的设备。
59.单元504(参见图5)，接口通信线路的频谱分析是设备501的一部分，并且连接到车辆参数监测和控制单元502和接口通信线路101，并且确保在通过接口通信线路进行数据交换时(处于“活动”状态)设备501的运行。其工作原理是根据不同类型、不同数量的设备在界面线上所测得的频谱(spectral)参数存在差异而构造的。
60.该单元将显示在接口通信线路上的瞬时值数字化，并对频谱进行处理和计算。在初始时刻，显示频谱的“参考”模型，并与随后的模型进行比较。当更换其中一个单元、添加一个新的单元等时，新的频谱与“参考”的频谱有差异。这是未经授权的侵犯进入控制系统的迹象。
61.例如，接口通信线路的电抗(reactance)或车辆的任何其他参数的增加都会导致矩形信号形状的失真。这是由于转变过程(transition processes)的影响越来越大。任何链(在这种情况下是接口线)的转变过程的性质取决于电抗的电阻分量(reactive resistance component)的积分微分性质。接口线路的微分特性导致矩形信号的失真，并在其边缘处增加峰值(正
‑
在前面，负
‑
在后面)。电抗的电容分量是影响电总线(electric bus)微分特性的主要因素。
62.因此，电容分量越高，脉冲前沿的峰值幅度越高。因此，与车辆控制系统接口线路连接的设备数量与数据传输时电信号的形式有直接关系。也就是说，连接的设备越多，前端的峰值幅度就越高。在更换或替换车辆电子设备时，由于驱动芯片特性的异构性，上述参数也会发生变化。
63.恶意命令的检测和抑制单元505(参见图5)是设备501的一部分，并且连接到车辆参数监测和控制单元502和接口通信线路101，提供阻塞车辆模块中的至少一个进入服务模式的命令的功能。基本上，单元505监测发送到车辆控制系统的命令。在监测接口通信线路期间，单元505从连接到接口通信线路的模块(111、112、113、114、115)接收各种数据(例如：模块标识符、发送参数的标识符、参数值等)。各种事件都可以用作模块传输的参数：中央锁的状态、车内是否有钥匙、转速表、速度表的读数、车外、车内的温度等。为了在服务模式中阻断一个或多个模块的输入命令，通信线路被强制从显性状态切换到隐性状态，从而阻止序列的完成。
64.当综合体增加接口通信线路上的逻辑级别时，会发出完全不同的命令。这种方法保护车辆，并且不允许模块进入服务模式。换句话说，通过强制将接口线路的状态从主动更改为被动，整个命令就会改变，并且不能按照攻击者的意图工作。
65.该单元的运行机制由以下行动确定：
66.·
检测到恶意序列，该恶意序列由将接口线路上的单元切换到服务模式的由三个相同命令(典型的恶意序列至少有三个命令)组成。
67.以修改ford mondeo mk4中abs/esp进入单元服务模式的第三个命令为例。模块进入服务模式的说明如下：
68.02 00 08 35 ff 00 48 04 1a fc 43；
69.04 00 08 ff fa 0a 86 bc 31 ff f0；a
70.02 f0.08 0f f1 62 ce fb 40 f0 ff。
71.模块的结果(已修改)序列：
72.02 00 08 35 ff 00 48 04 1a fc 43；
73.04 00 08 ff fa 0a 86 bc 31 ff f0；
74.02 f0.08 ff ff 62 ce fb 7f ff ff。
75.不进入服务模式。该序列导致esp关闭，而这不是一个关键现象。按下驾驶员遥控器上的一个按钮就可以解决这个问题。
76.·
当发出第三命令时，接口线路被转移到隐性状态，从而阻止该命令。第三个命令被阻止，因为第一个命令是在正常维护模式下使用的，但在检测到行中的两个可疑命令后，系统知道第三个命令应该作为恶意命令被阻止。
77.·
综合体检查模块的状态。如果有模块在服务模式下运行，则从该模式输出。
78.·
该单元就袭击事件提出报告。
79.此外，该模块用于阻止根据预先确定的指定算法向接口线发出的任何命令，例如，在汽车移动时禁用制动系统，在汽车移动期间阻止安全系统模块的操作等。这些命令在系统配置和适应时被初始化，并且也被存储在单元502的存储器中。
80.用于在给定频率范围内检测和干扰未授权接收机/发射机的单元506(见图5)通过特定频率下的无线电发射来识别给定范围内的设备，以及如果需要，提供干扰。本单元不用于搜索安装在控制系统接口通信线路上的未经授权的设备。
81.现代数字通信协议如gsm、3g、4g、cdma等可用于未经授权的信息跟踪和传输(“窃听器”、“窃听器”)。
82.这类协议的主要特点是：
83.1.难以被接收机窃听的私有加密信道；
84.2.使用标准廉价设备(路由器、gsm模块等)的可能性；
85.3.双向数据交换允许远程控制“窃听器”：打开和关闭，读取数据，进行设置；
86.4.隐身模式下的运行
‑‑
只能根据外部请求传输数据，因此很难通过无线电信号进行探测；
87.5.数据传输是通过蜂窝网络和互联网进行的，这意味着它不需要在物体附近的控制站；
88.6.宽带允许从隐藏的摄像机控制高质量的音频和传输视频。
89.因此，利用蜂窝通信组织窃听是一个非常简单和诱人的解决方案。除了听声音，gsm/3g/4g移动网络还可以通过内置的gps跟踪器或基站信号来监控汽车的位置。
90.这些使我们在进行窃听检查(窃听)时需要非常仔细地研究对象上是否存在这样的信号。
91.该单元检测来自无线电源的信号，评估信号的功率和频率，并在自动模式下在无线电源的频率上形成类似信号的干扰。
92.因此，块506提供针对以下攻击的保护
93.‑
防止窃听；
94.‑
发现和干扰未经授权的接收机和发射机。
95.与传统的场检测器不同，该装置不仅用于通过电磁场检测源，而且用于检测各种类型的数字协议，各种类型的自动干扰。该单元的运行排除了各种“干扰”源的触发，并允许在更远的距离上感知“期望”信号。
96.与搜索数字信号的现有现场探测器相比，该单元的主要优点是：
97.1)较高的检测灵敏度；
98.2)根据敌我原则选择来源；
99.3)辐射源数据库的可扩展性；
100.4)无假触发(false triggers)；
101.5)在70～6000兆赫的宽频率范围内适用于不同通信标准的可能性。
102.该单元能够搜索和抑制其辐射区域的接收机和发射机的信号，不仅适用于最常见的通信系统(gsm/3g/4g、bt、wifi)，而且适用于任何以70至6000兆赫频率交换信息的未经授权的设备。
103.主要技术特点：
104.·
接收和发射路径的工作频率范围从70兆赫到6000兆赫；
105.·
取决于所选的硬件和软件平台，即时工作频带从30兆赫到100兆赫；
106.·
接收设备的频率分辨率不大于20千赫。
107.·
接收机在单信号模式下的动态范围不小于60分贝
108.·
扫描、分析作用范围并选择辐射iri的时间(iri检测阶段的持续时间)不超过500微秒
109.·
产生的测试信号类型：ask，noisedfsk，2fsk，4fsk，8fsk，bpsk，qpsk，8qam，16qam，32qam，64qam，128qam，256qam，512qam。信号参数可以手动设置(例如，信号发射的持续时间)或自动确定(偏差、频带等)。
110.·
电源由输出电压(9
‑
13v)的电池提供。
111.·
辐射功率高达2瓦。
112.用于通过辐射场检测未授权设备的主要操作模式是监测，它在给定的信号阈值处提供检测，并保存关于它的信息(发生时间、持续时间、电平)以供进一步处理。
113.图7和8示出了一种基于检测蜂窝通信系统发射机的工作频带中的场来检测3g网络上的数据传输信道的方法。
114.运行原则基于以下方面：
115.·
通过蜂窝通信系统信道在可能的“窃听”发射机的操作范围内扫描频带；
116.·
基于对无线电发射源的监测结果形成掩码；
117.·
记录无线电源的时间、强度和功率，以便进一步识别；
118.此外，还有一种操作模式，其中不仅通过电磁场对源进行检测，而且还对各种类型的数字协议进行检测。该单元的运行排除了各种“干扰”源的触发，并允许在更远的距离上感知“期望(desired)”信号。
119.该单元的这种运作方式具有以下优点：
120.1.检测灵敏度高；
121.2.基于敌我原则选择情报来源；
122.3.辐射源数据库的可扩展性；
123.4.无假触发；
124.5.与各种标准通信(wi
‑
fi、蓝牙等)一起使用的能力。
125.6.不仅能够检测“窃听”的存在，而且能够确定它的位置。
126.图9显示了该系统在带有can和lin接口线路的车辆上的应用。该综合体监控can和lin标准的两条独立接口线。智能手机充当显示信息和输入配置数据的块。系统与智能手机之间的通信通过蓝牙低能耗接口进行。
127.为了保护蓝牙低能耗通信信道，采用了安全加密处理器(安全加密芯片)。通信信道的加密是基于ec/aes256算法进行的。
128.单元507(参见图5)显示信息并输入配置数据。它是系统中信息采集和管理的中心。任何移动(便携)设备都可以是这样的中心。安装的应用程序提供有关系统运行的完整信息，还具有配置和校准系统单元的能力。
129.块507的主要功能是显示信息并输入配置数据：
130.·
提供有关车辆控制系统的接口通信线路的一般安全级别的信息；
131.·
显示检测到的硬件窃听；
132.·
显示被阻止的恶意序列；
133.·
检测受攻击的车辆块；
134.·
控制总线数据的记录；
135.·
检测和选择抑制未经授权的接收机/发射机的方法。
136.它也可以接收关于在单元与设备501断开连接期间发生的事件的信息。
137.下面是一个用于保护车辆电子系统免受未经授权的入侵的方法示例。
138.车辆的每条接口通信线路都由电抗、有源电阻、主总线电压和隐性总线电压、平均和最大电流消耗、总线速度、脉冲占空比等多个电气参数，车辆的每个模块在连接到车辆的接口通信线路时，都对电气参数进行改变。
139.检测连接的未授权设备的方法包括在第一和第二时间间隔内测量接口通信线路的电信号的参数。第一个时间间隔被认为是买车的时刻，此时通过一个技术检查，或另一个设定的时间点。第二时间间隔是由车辆用户设置的任何时刻，或者在从第一时间间隔开始的特定时间间隔(一天、一周、一个月)之后。接口线路电信号参数的测量和传输通信命令的监测由单元503
‑
505完成。接下来，将处理后的参数传送到单元502进行处理。之后，这些参数变得可用于其他执行单元506
‑
507。在第一个时间间隔内测量的参数是“参考”。此外，在第二时间间隔中测量的参数与“参考”参数进行比较。
140.块503的操作基于以下事实，即连接到接口通信线路的每个模块导致电阻的有功分量的减小和无功分量的增加(active and an increase in the reactive component of the resistance)。使用此属性可以检测未经授权的连接设备。在测量第二时间间隔内的参数之后，与在第一时间间隔内获得的参数进行比较。这样，由于参数被改变，所以检测到未授权的连接模块。
141.频谱分析单元504在第一和第二时间间隔内测量接口通信线路101的电信号的参数，随后构建这些信号的频谱。然后，为了登记安装在接口通信线路上的未授权设备，对获得的频谱进行比较。当更换一个模块、添加一个新模块等时，新频谱与第一个时间段内构建的频谱不同，这是未经授权入侵进入了车辆控制系统的标志。
142.恶意命令检测和抑制单元505连接到单元502，并通过确定数据传输是否恶意，提供对发送命令的阻止，该发送命令使至少一个车辆模块进入服务模式。恶意命令的列表在系统的配置和适配时被初始化，并且也被存储在单元502的存储器中。如果块505检测到由三个可疑命令组成的恶意未授权序列，则阻止第三个命令，这会阻止单元切换到服务模式。
143.用于在给定频率范围内对未经授权的接收机/发射机进行检测和干扰的单元506被配置为在开始工作前配置为在70至6000mhz的频率范围内工作。因此，单元506的主题是大多数通信标准和各种通信协议，如gsm、3g、4g、cdma等，可以用于对未经授权的信息的跟踪和传输(“窃听器”、“窃听”)。单元506允许检测来自无线源的信号，随后评估信号功率和频率，以及检测各种类型的通信协议，如果需要，随后在自动模式下在无线源的频率上形成类似信号的干扰。在运行期间，单元506可以从单元502接收关于先前检测到的接收机/发射机的信息，以及关于它们连接的频率范围和数字协议的信息。
144.关于作为车辆控制系统保护装置501的一部分的单元的操作的所有信息可以显示在信息显示单元507和配置数据的输入中。通过该单元，还可以配置或校准设备501的操作。