用于保护现场总线的方法和设备与流程

本发明涉及一种用于保护现场总线的方法。此外，本发明涉及相应的设备、相应的计算机程序以及相应的存储介质。

背景技术：

在it安全性方面，任何用于识别针对计算机系统或计算机网络的攻击的系统都被称作攻击识别系统（intrusiondetectionsystem（入侵检测系统））。尤其已知基于网络的ids（nids），所述ids对在要监控的网络段中的所有分组进行记录、分析并且根据已知的攻击模式报告可疑的活动。

wo2017042012a1公开了在车辆中的私有控制器区域网络（can），以便向未直接受攻击的电子控制单元（electroniccontrolunits，ecu）通知未授权的访问受攻击的ecu的尝试。在私有can上的每个ecu存储共同的经加密的非法入侵（hacking）通知密钥和明确的标识码。如果第一车辆系统ecu识别出经由公共can的未经许可的访问尝试，则所述第一车辆系统ecu将警告消息经由封闭的私有can发送给其他ecu。

技术实现要素：

本发明提供根据独立权利要求的用于保护现场总线的方法、相应的设备、相应的入侵防护系统（intrusionpreventionsystem，ips）以及存储介质。在此情况下从最广义上说如下任何ids可以被理解为ips，所述ids除了对攻击的纯粹识别以外也采取用于防御攻击的措施。

所提出的方案在此情况下基于如下认识：车辆中的安全性不仅受所安装的系统和驾驶员影响。更确切地说，车辆日益变成第三方攻击的目标，所述第三方攻击干扰在车辆中的传感器、执行器和控制设备之间经由网络或总线系统、如can或flexray的通信。为了使对通信的这种干扰、尤其对驾驶员的安全性的负面影响最小化，可以使用不同的机制，以便识别失效或干扰并且对此作出反应。算作这些机制的是以硬件实现的措施、诸如在can协议中的循环冗余检验（cyclicredundancycheck，crc），循环冗余检验的失败触发否定接收应答（negativeacknowledgment，nak），使得有关的有用数据（payload（有效载荷））并不被进行检验的控制设备进一步处理。

相关的机制也以软件的形式可用，比如监控数据长度和周期时间，所述数据长度和周期时间通常在车辆中是固定定义的。根据监控的结果，必要时进行干预，所述干预例如在各个消息失效之后代替由接收器经由总线接收的有用数据使用替代值或虚拟数据（dummy），以便将车辆置于安全状态中。对于其内容可能危及车辆的安全性的消息，使消息内容增加附加信息、如crc值和消息计数器（alivecounters（活着的计数器）），所述附加信息可以由接收器监控并且针对所述附加消息以相同的方式开始诊断并且必要时应用替代值。

为了将来保护网络免受外部攻击或操纵，可以设想通过（加密）签名扩展消息内容，直至对消息的完整加密。

然而，这些措施需要更高的计算能力或更强的硬件支持并且不能由车辆中的任何执行器、传感器或控制设备实时地引入。

而在下文中所介绍的用于识别对车辆内部的通信的攻击的方法的优点在于其普遍的并且与其他控制设备的协作在很大程度上无关的可应用性。

通过在从属权利要求中列出的措施，在独立权利要求中所说明的基本思想的有利的改进和改善是可能的。

附图说明

本发明的实施例在附图中示出并且在随后的描述中予以更详细地解释。

图1示意性地示出具有根据第一实施方式的攻击识别系统的现场总线。

图2示出根据第二实施方式的方法的流程图。

具体实施方式

在图1的系统实例中示出了现场总线（10），在所述现场总线上连接有第一控制设备（11）、第二控制设备（12）、第三控制设备（13）和第四控制设备（14）。在一个可设想的应用场景中，第一控制设备（11）发送具有标志（标识符，id）“123”的消息。该消息由第二控制设备（12）接收。而第四控制设备（14）发送具有标志“789”的消息。该消息由第二控制设备（12）和第三控制设备（13）接收。

第三控制设备（13）对应于本发明的一种实施方式并且遵循图2中所图示的流程。因此，在监控（21）网络通信的范围内，第三控制设备（13）接收所有在现场总线（10）中定义的消息。由攻击者毁坏的第五控制设备（15）现在同样发送具有标志“123”的消息。第二控制设备（12）尽管也接收该消息，然而并不独立地将该消息识别为攻击，因为例如具有标志“123”的消息之内的crc值被正确地模仿了，并且因此通过该第二控制设备的程序代码进一步处理被操纵的消息内容。

然而，在第三控制设备（13）上运行的攻击识别系统（16）例如通过数据内容的合理性检验（判定24）识别出消息“123”的异常（分支25）并且可以引入对异常的防御（过程26）。

为此目的，攻击识别系统（16）应经由现场总线（10）接收并且处理整个通信。仅仅如下消息经受检验（24），所述消息为系统所已知（判定22）并且针对所述消息定义了检验规则（分支23）。如果接收到未知消息（分支28），则不进一步检验所述消息。可选地，在此情况下可以进行对接收到了未知消息的状况的内部或外部警告或其他报告（过程29）。

为了防御（26）识别出的对车辆内部的通信的攻击，将相同的消息标志用于同样有效的、然而无害的消息，该消息被发送，使得该消息在时间上在攻击消息之前或之后到达所指定的接收器并且具有正确的crc值。消息计数器在此情况下被改变，使得后续的消息由于错误的顺序而被丢弃。特殊情况在此情况下可以是，将消息计数器减小一个单位；同样地可能存在其他特殊情况，在这些特殊情况下消息计数器必须被递增或必须被减小或递增多个单位，以便该消息是成功的。

为此应注意的是，该消息完全可以包含多个crc值，所述crc值在此情况下全部都应被正确地计算。例如，can数据电报包含相应的16位校验和字段，所述16位校验和字段涉及整个消息并且由很多的原始设备制造商（originalequipmentmanufacturers，oem）在实际数据字段中补充另一特定的crc值。

由于该“防御消息”因此包括所有crc，因此代替攻击消息，接收器将处理该“防御消息”并且相应地提高其内部计数器。如果例如不久以后实际攻击消息到达该接收器，则该实际攻击消息尽管有已知的标志和有效的crc值但鉴于其与已经处理的防御消息一致的消息计数器而被丢弃。

作为用于防御消息的有用数据，可以或者接受最后的有效的数据，使用错误的数据或虚拟数据（例如零序列）。在此方面的最优的方式与在被攻击的控制设备上所实现的功能的运行方式有关。

在此可以必要时经常实施防御机制。如果在被攻击的控制设备上的实现针对多个“副本”、即具有一致的计数器的有效的消息到达的情况设置这样的停用，通过所描述的防御机制可以停用被攻击的功能。

技术特征：

1.一种用于保护现场总线（10）的方法（20），

特征在于如下特征：

-通过监控（21）所述现场总线（10）接收在所述现场总线（10）上传输的第一消息，

-寻找（22）针对所述第一消息定义的检验规则，

-如果找到（23）所述检验规则，则对所述第一消息就异常进行检验（24），以及

-如果识别出（25）所述异常，则传输（26）具有消息计数器的第二消息，使得基于有错误的顺序丢弃后续的消息。

2.根据权利要求1所述的方法（20），

特征在于如下特征：

-如果未识别出（27）所述异常，则继续所述监控（21）。

3.根据权利要求1或2所述的方法（20），

特征在于如下特征：

-如果没有找到（28）所述检验规则，则将所述第一消息报告（29）为未知的。

4.根据权利要求1至3中任一项所述的方法（20），

特征在于如下特征：

-所述第一消息和所述第二消息此外具有一致的消息标志。

5.根据权利要求1至4中任一项所述的方法（20），

特征在于如下特征：

-传输（26）所述第二消息，使得在所述第一消息之后或在分别紧接着的攻击消息之前或之后递送所述第二消息。

6.根据权利要求4或5所述的方法（20），

特征在于如下特征之一：

-所述第二消息包括所存储的有效的有用数据，

-所述第二消息包括众所周知地有错误的有用数据，或

-所述第二消息包括虚拟数据、尤其零序列作为有用数据。

7.根据权利要求6所述的方法（20），

特征在于如下特征：

-至少根据所述消息标志、所述消息计数器和所述有用数据计算校验和、尤其crc值，和

-所述第二消息此外包括所述校验和。

8.一种计算机程序，尤其攻击识别系统（16），所述计算机程序被设立用于实施根据权利要求1至7中任一项所述的方法（20）。

9.一种机器可读存储介质，在所述机器可读存储介质上存储有根据权利要求8所述的计算机程序。

10.一种设备，所述设备被设立用于实施根据权利要求1至7中任一项所述的方法（20）。

技术总结
一种用于保护现场总线（10）的方法（20），其特征在于如下特征：‑通过监控（21）所述现场总线（10）接收在所述现场总线（10）上传输的第一消息，‑寻找（22）针对所述第一消息定义的检验规则，‑如果找到（23）所述检验规则，则对所述第一消息就异常进行检验（24），以及‑如果识别出（25）所述异常，则传输（26）具有消息计数器的第二消息，使得基于有错误的顺序丢弃后续的消息。

技术研发人员：L.邓;A.拉马尔卡;B.赫尔曼
受保护的技术使用者：罗伯特·博世有限公司
技术研发日：2018.07.23
技术公布日：2020.05.08