防止攻击联网车辆的系统和方法

文档序号:7848236阅读:209来源:国知局
专利名称:防止攻击联网车辆的系统和方法
技术领域
本发明涉及一种根据权利要求I前序部分所述的系统,用于通过车辆的无线通讯装置防止对联网车辆的攻击,还涉及一种相应的方法。
现有技术车辆在变成越来越复杂的系统,它们能够通过一个或者多个无线的连接装置从一个或者多个数据网络下载不同类型的内容,例如天气及交通数据、音乐、电影、热点信息、软件更新或者远程诊断。为了进行无线连接,在车辆中可以装入一个通讯接口(通讯箱,ComBox),它支持一 种或者多种无线电标准(例如GSM/GPRS、EDGE、UMTS、HSDPA、LTE、WLAN、WiMAX…)。于是,车辆或者说车辆的组件,例如娱乐信息节目系统,与基础设施服务器、其他车辆(车到车通讯)或者竖立在街边的无线电信标进行通讯,并且从这些地方下载东西。通过这种无线通讯,使得车辆对不可靠的外界开放,于是也暴露在通过通讯接口实施的攻击之下。因此,联网的车辆需要保护措施,防止通过通讯接口对车辆实施的攻击。由现有技术公知许多装置,它们能够从外部接受连接、转达给内部的控制器、能够进行加密通讯,并且这些装置能够从外部编程。然而,在从车辆提取数据时,这些装置却不能提供适当的保护。此外还公知许多系统,它们在线调查更新状态。然而,这些系统要在已经建立起连接之后才调查更新状态,并且原则上不适合在检查完更新状态之前阻止对来自车辆的下载内容的攻击行为。

发明内容
因此,本发明任务在于,提供一种系统和一种方法,它们适用于防止通过无线通讯装置对联网的车辆实施的攻击,并且同时消除现有技术中的一个或者多个缺点。根据本发明,提供一种系统用于防止通过车辆的无线通讯装置对联网的车辆实施攻击。该系统包括无线的数据传输网络、安全状态调查装置,用于依据调查得到的安全状态控制对无线数据传输网络(DatenverkehrsnetZ)的访问,其中,安装状态以评估车辆的实际配置和/或车辆的登录数据(Log-Daten)为基础和/或以更新相关软件以后经过的时间为基础。此外,该系统还具有通讯装置,适用于与无线数据传输网络相连,并且具有访问控制装置,用于控制对无线数据传输网络的网络访问并且能与安全状态调查装置相连。此外,本发明也涉及一种用于防止通过车辆的无线通讯装置对联网的车辆实施攻击的系统的方法,其中,调查安全状态,所述安全状态以评估车辆的实际配置和/或车辆的登录数据为基础和/或以从更新相关软件以后经过的时间为基础。此外,该方法还包括以调查得到的安全状态为基础确定用于访问数据传输网络的网络访问策略,所述确定的网络访问策略紧接着被激活。根据权利要求I所述的根据本发明的系统和根据权利要求9所述的根据本发明的方法的改进方案是各个从属权利要求的对象。


下面以举例的方式借助附图阐述本发明。然而,本发明不局限于所示实施例。在这些图中示出图I根据本发明的系统的一种实施方式的示意图,图2根据本发明的组件在参照车辆内部总线系统的情况下的一种可能的布局的截取图,·
图3符合第一实施方式的示例性的根据本发明的方法,图4符合第二实施方式的另一示例性的根据本发明的方法,图5符合第三实施方式的另一示例性的根据本发明的方法,图6符合第四实施方式的另一示例性的根据本发明的方法,图7根据本发明的一种实施方式的一种根据本发明的信息流,图8根据本发明的系统的另一种实施方式的示意性示图。
具体实施例方式图I示出一辆车,它具备车载单元(0BU),该车载单元能够通过通讯装置在使用不同的移动无线电系统的情况下(例如UMTS、LTE、GPS、WiMAX, Wlan)与一个示例性的数据网络中的基础设施服务器进行通讯。示例性的基础设施服务器(Infrastruktur-Servern)例如可以是下载服务器(DL),它例如提供音乐的下载。另一个基础设施服务器例如可以是车辆管理服务器(VM),它配置并监控车辆,例如用于诊断或者运行软件更新。还有另一个基础设施服务器可以是车辆在线服务服务器(V0S),它提供在线服务,例如实际的天气及交通信息。此外还能够设置车辆安全状态评估服务器(VSSES),它为车辆提供关于其安全状态的信息。此外,车辆或者说OBU能够通过车到车通讯(C2C)与其它的车辆或者说OBU通讯,或者与固定安装的路边设施(RSU)进行通讯。图2示出根据本发明的组件参照车辆内部的总线系统的一种可能的布局的截取图。在示例性的通讯装置(ComBox)上连接着发送接收单元,从而能够使用不同的无线电系统(UMTS、HSDPA, WLAN、Broadcast、WAVA (c2c))。通过一个示例性的以太网(Ethernet)汽车总线使得娱乐信息系统与一个示例性的头单元(Head Unit)相连,以及示例性地与两个用于后座的单元相连,即所谓的后座娱乐系统(RSE1、RSE2)。代替以太网,在这里也可以例如使用MOST、Flexray或者任何其他合适的总线。
通过网关(GW)使两个控制器E⑶I、E⑶2相连,它们能够通过另一个协议进行通讯,例如CAN协议。该ComBox可以具有网络访问执行引擎(NAEE),它限制或者说影响“外部”和“内部”之间的通讯。它的实现符合实际的网络访问策略(AOAP=激活OTA访问策略)。这个网络访问策略(AOAP)是由网络访问策略选择功 能(NAPS)(网络访问策略选择)选择或者说定义的,它可以依据安全自评估(SSE)的结果。此外,该网络访问策略也能够依据其它的参数。该ComBox可以包含网络访问实施单兀(Network Access Control PolicyEnforcement Unit),它限制或者说影响来自/通往“外部”的网络传输,也就是说与发送接收单元的网络传输。网络访问实施单元能够执行对安全状态的评估,并且能够调查安全策略,所述网络访问实施单元能够激活并实施所述安全策略。此外,网络访问实施单元还能够选择通过控制口令改变车辆的其他组件的网络通讯过滤器(防火墙功能)的配置。特别是网络访问实施单元能够相应地更改网关(GW)、娱乐信息系统单元(HU、RSEU RSE2)或者无线电模块的网络通讯过滤器。图3不出一种符合第一种实施方式的不例性的根据本发明的方法。其中,该方法以步骤100开始。可以通过许多的事件启动该方法的流程。于是例如可以设计的是,在开始点火时、在发动汽车马达时、在打开/激活娱乐信息系统时、在建立连接时(激活ComBox)、或者还有在改变配置/软件更新之后启动该方法流程,或者也可以有规律地例如按时地(例如每小时一次地)启动该方法流程。紧接着,在步骤300中调查实际的车辆安全状态。以调查得到的车辆安全状态为基础,在步骤400中确定网络访问策略,网络访问策略在步骤900中被激活。紧接着在步骤1000中终止该方法流程。在前述方法中,所有步骤都能够自主地在车辆中进行,并且以相应的方法布置在ComBox或者说OBU中。由此使得能够在建立通讯之前,并且因此在接触到潜在的危险源之前就检查其安全性,并且在可疑情况下暂且禁止通讯。在另一种优选的实施方式中可以在步骤100中启动以后直接在一个在此未示出的步骤200中明确地激活一个网络访问策略“零”(NULL) / “关闭”/ “全部拒绝”,从而在步骤300中激活调查得到的网络访问策略之前禁止任何OTA通讯。图4示出一种符合第二种实施方式的示例性的根据本发明的方法。其中,该方法流程在步骤100中启动。在步骤500中激活初始的网络访问策略。然后步骤600中将车辆的实际配置和/或车辆的登录数据和/或在相应的软件更新之后经过的时间传输给用于调查安全状态的评估服务器(VSSES)。在步骤700中接收安全状态的调查结果,紧接着在步骤800中确定一个合适的网络访问策略。然后在步骤900中激活这个确定的网络访问策略。紧接着在步骤1000中终止该方法流程。在这种变化方案中,是在一个外部的服务器上进行评估的。于是,这个方法可以被称为由服务器协助的评估。只有当本地的安全状态检查结果是安全结果的最低底限时,才继续进行由服务器协助的安全评估。
图5还示出了另一种示例性的根据本发明的符合第三种实施方式的方法。其中,在步骤100中启动所述方法流程。紧接着在启动后,可以在步骤200中明确地激活网络访问策略“零”/ “关闭”/ “全部拒绝”,从而暂时禁止在激活调查得到的网络访问策略之前进行任何OTA通讯。紧接着在步骤300中调查实际的车辆安全状态。以调查得到的车辆安全状态为基础,在步骤400中调查是否满足了对安全性的最低要求。如果这些要求未被满足,就在步骤1000中终止该方法流程。如果满足了最低要求,该方法流程就如之前参照图4所描述的那样继续进行下去,也就是说,在步骤500中激活一个初始的网络访问策略。然后在步骤600中将车辆的实际配置和/或车辆的登录数据和/或从更新相关软件以来经过的时间传输给用于调查安全状态的评估服务器(VSSES)。在步骤700中接收调 查安全状态的结果,紧接着在步骤800中确定合适的网络访问策略。然后在步骤900中激活所确定的网络访问策略。紧接着在步骤1000中终止该方法流程。这种实施方式可以被称为对安全状态的多级询问,其中,不仅能够自主地在车辆中完成评估,并且以相应的方式布置在ComBox或者说OBU中,还能够在外部的服务器上进行评估。图6还示出一种示例性的根据本发明的符合第四种实施方式的方法。其中,在步骤100中启动该方法流程。在启动后,可以直接在步骤200中明确地激活一个网络访问策略“零关闭全部拒绝”,从而暂时禁止在激活调查得到的网络访问策略之前进行任何OTA通讯。紧接着在步骤300中调查实际的车辆安全状态。以调查得到的车辆安全状态为基础,在步骤400中调查是否满足了对安全性的要求,如果满足要求,就在步骤900a中激活网络访问策略,它激活OTA通讯。紧接着在步骤1000中终止该方法流程。然而,如果在步骤400中发现未满足条件,就进入由服务器协助的评估。这是通过在步骤500中激活一次初始的网络访问策略启动的。然后在步骤600中将车辆的实际配置和/或车辆的登录数据和/或在相应的软件更新之后经过的时间传输给用于调查安全状态的评估服务器(VSSES)。在步骤700中接收安全状态的调查结果。在步骤800检查,接收到的评估结果是否充分,也就是说,要确定激活哪一个网络访问策略。如果评估结果足以将该系统称为安全的,那么在步骤900a中激活一个网络访问策略,它用来激活OTA通讯。紧接着在步骤1000中终止该方法流程。如果评估结果不足以将该系统称为安全的,那么在步骤900b中明确地激活一个网络访问策略“零”/ “关闭”/ “全部拒绝”,从而暂时禁止在激活调查得到的网络访问策略之前进行任何OTA通讯。紧接着在步骤1000中终止该方法流程。这就是说,只有在车辆本身“不肯定”自己是否处于可靠的安全状态下时,才询问服务器。图7示出根据本发明的一种实施方式的、根据本发明的信息流。这里在第一个步骤2100中在车辆内,例如在OBU或ComBox中调查车辆配置。紧接着在进一步的步骤2200中在车辆中激活通讯接口。现在在进一步的步骤2300中可以相对于VSSES或者一般化地相对于安全状态调查装置(SEE)进行一次认证。这次通讯可以包含许多信息,它们在通讯接口和安全状态调查装置之间进行交换。在实现这次通讯之后,可以在进一步的步骤2400中激活对安全状态的调查,为此,要向SEE发出相应的请求。这个请求可以作为参数就已经包含车辆的实际配置和/或车辆的登录数据和/或从相关的软件更新以来经过的时间。当然也有可能的是,在一个或者多个单独的消息中提供这些参数。紧接着,SEE在获得的参数的基础上评估配置,也就是安全状态,并且在进一步的步骤2600中将安全状态提供给车辆。现在该车辆就能够通过合适的装置,例如访问控制装置,为访问数据传输网络激活相应的网络访问策略。在另一个特别的实施方式中,可以在车辆安全状态评估服务器(VSSES)中就已经存在车辆配置信息,或者说被车辆管理者调用。在这种实施方式中,没有必要传输车辆的实际配置和/或车辆的登录数据和/或从相关的软件更新以来经过的时间的参数,而是作为 代替传输车辆身份鉴定信息就足够了。这个信息同时又能够利用询问、或者在一个单独的消息中传输给SEE。图8示出根据本发明的系统的另一种实施方式的示意图。其中设定车辆具备车载设备0BU,它通过通讯装置在使用不同的移动无线电系统的情况下与基础设施服务器进行通讯。以典型的方式,车辆管理员VM与车辆数据库VDB相连,或者具有该车辆数据库。在这个数据库中为由车辆管理员管理的车辆存储配置信息。在这种实施方式中,能够通过可信车辆在线通讯代理服务器(TVOCP)实现通讯或者部分通讯。用一条黑线示出了车辆和车辆在线服务(VOS)的通讯关系(例如http)。通过例如从车辆到TVOCP建立起一个VPN,该通讯可以在车辆和TVOCP之间打通隧道。在一个可选的实施方式中,在HTTP中,TVOCP可以实现为HTTP代理服务器。然后就不必打通隧道,而是也可以从车辆向TVOCP直接发送HTTP询问,TVOCP (可能修改后)将其转发给目标服务器,例如V0S。对这种询问的回答可以相应地由目标服务器VOS传输给TV0CP,它能够将其(可能再次修改后)转发给车辆。在建立隧道时,车辆可以相对于TVOCP自行认证。TVOCP就可以从车辆数据库VDB调用车辆的实际配置。对配置进行分析,从而查出例如是否打上了实际的安全补丁。据此,为这辆车执行一个网络访问策略或者多个网络访问策略。特征在于,通过TVOCP引导车辆和目标服务器之间的任何通讯或者一部分通讯,使得在通讯到达车辆之前,能够在TVOCP那里检查数据传输,并且能够阻止进行潜在危险的或者不希望的通讯。TVOCP以评估为基础(例如依据车辆类型和车辆的配置)执行定义的网络访问规则或者说策略(Network Access Policy),这就是说,只能进行规定的网络访问规则允许的通讯。其它的通讯被阻止。TVOCP以以下示例性的方式获得进行评估的基础-直接从车辆传输(特别是车辆身份鉴定/车辆认证),例如当车辆建立通往TVOCP的隧道(IPSec、SSL/TLS),并且车辆自我认证以后。作为选择,车辆在这里就已经能够传输其他关于自己的信息(生产商、产品系列、车底盘编号/车辆识别码、配置信息)。
-关于车辆的信息可以由TVOCP从一个数据库中调用;特别是可以从车辆管理者(VM)或者说VM使用的、用于存储车辆的配置信息的数据库(VDB)调用信息。在这里,特别是可以提供关于特定车辆的软件水平的信息。于是特别是能够考虑到,是否进行了实际的软件更新(关键的安全更新)。在某些情况下,VM可以由TVOCP触发,调用车辆的实际配置。-TVOCP也能够主动地扫描车辆,从而获得关于车辆的信息。依据这些参数可以确定TVOCP的网络访问规则,在车辆以下的通讯中实施这个规则。如果阻止了一次通讯,那么可以选择转移到另一个服务器上,或者说TVOCP代理答复。例如,车辆的一次HTTP询问可以由TVOCP截获,并且向车辆传输HTTP重定向消息,它将车辆客户转移到另一个HTTP服务器上。在那里例如能够以HTML显示一个网页,该网页让驾驶员得知,访问已被阻止以及为何被阻止。
·
此外,能够通过TVOCP向车辆传输信息,告知车辆应该连接VM服务器。这例如可以通过将特殊的HTTP头(HTTP-Header)插入传输给车辆的HTTP响应中。这样一来,VM服务器就能够例如将可支配的软件更新传输给车辆。此外,由TVOCP能够向VM服务器传输信息,告知车辆正在线。在即将更新时,VM服务器能够发起与车辆的一次管理会议,例如通过发送一条触发SMS消息。本领域技术人员能够立即看出,上述实施方式能够相互组合,并且例如能够在每种应用情况下或者在每种使用的协议下重新并且分开地执行,其中,针对不同的应用情况和不同的调查安全状态的途径可以同时存在不同的网络访问策略。总而言之,通过所有的实施例能够确定的是,借助本发明能够由车辆自主地进行评估,或者由一台服务器协助进行评估(由服务器协助评估),或者将两个之前所述的可能性组合起来。在自主评估时,评估功能可以检查车辆的实际配置和/或登录信息和/或以下信息最后一次更新后经过的多久,或者说什么时候最后检查更新情况的,或者说是否也下载并安装了最新的更新。例如可以由车间进行更新。这例如通过车间检验器实现,它通过诊断接口与车辆相连。作为代替,也能够由使用者自己进行更新,例如借助更新媒介,例如⑶/DVD、U盘、存储卡等等,或者为此通过无线电通讯接口从更新服务器下载更新(OTA Seif Update)。在OTA Seif Update时,车辆与车辆管理服务器(VM)进行通讯,从而或者关于提供的更新的信息,并且可能将其下载并安装。依据调查得到的评估结果就能够查出网络访问规则,并且将其激活执行。例如能够定义两个网络访问策略(受限、不受限)。如果评估结果是,车辆处于安全的配置状态下(例如在最近7天内检查并安装了最新的对于安全性至关重要的更新包),那么激活“不受限”这个网络访问策略(使得能够例如自由地、直接地访问网络)。否则激活“受限”这个网络访问集,在这种情况下,只能够访问直接由车辆生产商提供的可信的网络服务。在由服务器协助进行评估时(由服务器协助评估),车辆能够将参数传输给车辆安全状态评估服务器(VSSES)或者总的来说传输给安全状态调查装置(SEE),并且得到返回的评估结果作为响应。传输的参数可以包括-车辆的身份认证信息(例如车底盘编号、车辆识别码),-车辆类型信息(生产商、款型、生产年份、已安装配件),-配置信息(已安装组件、软件情况),-登录信息(车辆的登录信息,还连带当前使用的车钥匙,特别是关于OTA通讯,这些信息能够这样在服务器上进行评估)。特别是,当服务器(VM)中的数据库(VDB)中存储着关于车辆的实际配置信息,并 且能够由VSSES调用时,只传输车辆身份认证信息就够了。例如是在OMA (开放移动联盟)DM协议OTA的帮助下管理例如车辆配置信息时,情况就是如此。如果信息未存放在数据库中,就能够直接从车辆向VSSES传输信息。评估结果可以具有-标记(安全是/否),-值(例如0、1、2、· · ·、9),-标识符(策略标识符直接的或者映射的),-提供的安全更新,可能带有关于它的重要性或者说相关功能的信息,-网络访问规则。车辆依据接收到的评估结果设置网络访问规则,并且将其执行。车辆安全状态评估服务器(VSSES)例如是车辆生厂商的或者通讯服务商的一台服务器。在服务器和车辆之间进行一次认证。例如可以借助IPSec-、SSL-或TLS-协议支持通讯。信息例如可以通过HTTP、SOAP、OMA, DM、SyncML, SNMP实现。尽管VSSES被描述为独立的单元,它也可以被包含在其它的单元内。于是,VSSES例如可以是可能提供更新的VM服务器的一部分。正如已经实施的那样,能够预定义几个网络访问策略,例如-不受限允许进行任意通讯(即使不通过代理服务器直接进行);-基础设施不受限允许与基础设施服务进行任意通讯(即使直接进行),但是不进行车到车通讯;-基础设施受管理允许与基础设施进行任意通讯(即使直接进行),但是,其中只使用由公知的基础设施运营商运营的移动无线电网络(即,例如只使用Vodafone、T-MobiIe或 Orange 运营的 GPRS、UMTS/HSDPA、T,但是不使用 WLAN);-隧道与信任网关建立通讯隧道(建立隧道进行数据传输,并且发送给VPN服务器,在例如被转发给因特网服务器之前,它可以在那里被分析且过滤;只有源自该服务器的建立了隧道的数据传输才被进一步处理);-信任服务器只能够与由注册在车辆的已配置好的白名单上的服务器提供的在线服务进行通讯(例如 http ://*· bmw. de ;https ://*· bmw. de ;http ://*· bmw. com ;https //*. bmw. com);-零/关闭/全部拒绝不能进行OTA通讯。作为代替或者作为补充,也可以由车辆安全状态评估服务器(VSSES)或者其它的服务器提供网络访问策略。
也可以定义极其细致的网络访问策略例如可以进行内容过滤,从而为车辆过滤危险的内容。例如只有当某辆特定的车辆为相应的显示程序下载了实际的安全补丁时,才允许网页上的flash内容或者JavaScripts通过。一个网络访问策略的内容例如可以规定使用防火墙或者VPN。一个网络访问策略是由许多规则构成的。它们规定,以什么方法处理什么类型的网络传输,特别是-是否允许进行该网络传输,也就是说是否允许进一步处理,并且可能转发给车辆中的目标控制器(允许);-是否要建立隧道(建立隧道;压缩),也就是说通过一条VPN隧道进行传输;-是否要退出隧道(退出隧道;解压缩),也就是说在进一步处理或者说转发给目标 控制器之前,打开通过VPN隧道接收的数据;-是否要摒弃(删除)。此外,可以为了允许的数据传输加上一定的限制,特别是关于最大数据传输率的限制,从而防止例如目标组件的过载。可能的过滤标准包括-车辆车辆生产商、款型、版本/生产年份、已安装配件(特别是装入的娱乐信息系统的版本);-朝向(导入车辆,从车辆导出);-车辆中的目标组件(也就是说,向哪个控制器转发数据,或者说数据源自哪个控制器);-OTA 接口(GPRS、UMTS、WLAN、· ·.);-实际的OTA网络运行商(例如T-Mobile、Vodafone、未公知的)和国家(德国、法国、· · ·);-IP地址(发送方;接收方);-原产地国IP地址(可以屏蔽某些国家);-协议(例如TCP,UDP);-端口编号;-URL 过滤器;-通讯已加密(例如SSL、TLS)或未加密;-针对公知攻击方式的特定过滤器,特别是拒绝服务(DoS)(例如长度特定的Ping包);-经由可信任服务器直接接收到的数据的隧道。除了纯粹的网络通讯,网络访问策略也可以涉及内容、即所谓的Content(网页、多媒体数据库、程序代码)-可用的多媒体格式(例如总是能够播放CD和WAV文件,而不能再播放MP3和Video);-支持的浏览器插件,例如用于Flash动画;-用于将在线内容(网页)分配到安全区(例如在微软因特网浏览器中定义一个安全区,它被授权这个区的网页上可能的网页内容,例如是否能使用JavaScript)的标准。借助URL实现分配,由URL下载网页或者一般来说是下载在线内容。-与安全区相关联的授权(针对在线内容);-针对执行的程序代码的授权现有技术中公知代码访问安全性,例如在微软公共语言运行时或者Java运行时环境中。其中,依据其来源向程序代码授予访问权(也就是说,依据是谁签发了程序代码或者说是谁下载了该程序代码)。近来,是依据安全评估设置授予某个特定代码的授权;或者说,依据评估结果决定,究竟是否能够执行某个特定的代码。例如在车辆组件的补丁状态不是实时状态时,能够以这种方式防止执行不可信的代码/下载的第三方代码。优选地,由车辆的通讯单元实施选择的网络访问策略。作为选择也能够由单独的、连接在前方的安全通讯单元实施选择的网络访问策略。此外,在一个变化方案中,车辆内部在车载网络中也能够通过访问控制装置(车辆总线-网关、控制器)实现对通讯的过滤。为此,通讯单元或者说安全通讯单元能够向这个 访问控制装置传输关于车辆安全状态的信息(指示符、过滤规则),由此使得它们相应地适应它们的网络访问规则。然而,当前组件也能够单独地执行所描述的方法。为了避免受限,使用者最好能得到指示,要及时地或者说尽快地打上安全补丁,从而能够继续使用全部的服务。当访问受限时,通讯可能性受限,并且因此最终不能使用所有的服务。然而,优选地应该总是能够进行必要的软件更新。可以指示使用者,为了能够相应地使用服务,需要进is软件更新。借助本发明,车辆能够相对自由地直接进行通讯,只要这样做无危险。然而一旦发现有攻击行为,或者车辆的保护措施过时或者不再充分有效,那么就能够通过网络连接、通过相应的自我保护措施避免各种危害,例如对车辆组件的人为操控。如果出于安全原因有必要的话,就通过所述的保护机制限制或者完全禁止在线服务。只有当软件的安全更新状态是实时状态时,车辆组件才能获得对外的完全访问权,因为然后它就能够抵抗来自网络的由此出现的攻击。于是确保了车辆能够可靠运行。
权利要求
1.一种防止通过车辆的无线通讯装置对联网车辆进行攻击的系统,包括 -无线数据传输网络, -安全状态调查装置,用于依据调查得到的安全状态控制对无线数据传输网络的访问,-其中,所述安装状态是以对车辆的实际配置和/或车辆的登录数据和/或自从相关的软件更新后经过的时间进行的评估为基础的, -通讯装置,适于与无线数据传输网络相连, -访问控制装置,用于控制对无线数据传输网络的网络访问并且能与安全状态调查装置相连。
2.根据权利要求I所述的系统,其中,所述安全状态调查装置布置在车辆中并且能够自主地对安全状态进行评估。
3.根据权利要求I所述的系统,其中,所述安全状态调查装置布置在数据传输网络中。
4.根据权利要求I至3中任一项所述的系统,其中,所述访问控制装置布置在车辆中。
5.根据权利要求I至3中任一项所述的系统,其中,所述访问控制装置布置在数据传输网络中。
6.根据权利要求I至5中任一项所述的系统,其中,对无线数据传输网络的网络访问的控制能够通过网络访问策略控制,其中,能够根据连接的类型、过滤标准的类型和/或内容的类型选择对无线数据传输网络的网络访问策略。
7.根据权利要求I至6中任一项所述的系统,其中,对网络访问的控制还包括确认访问是否加密进行或者建立隧道进行。
8.根据权利要求I至7中任一项所述的系统,其中,对安全状态进行评估还包括识别,车辆组件识别出的是一次攻击还是在网络访问框架内的功能故障。
9.一种用于防止通过车辆的无线通讯装置对联网车辆进行攻击的系统的方法,该系统具有 -无线数据传输网络, -安全状态调查装置, -适于与所述无线数据传输网络相连的通讯装置,以及 -访问控制装置, 具有以下步骤 -调查安全状态,其中,该安全状态是以对车辆的实际配置和/或车辆的登录数据和/或自从相关的软件更新后经过的时间进行的评估为基础的, -基于调查得到的安全状态确定用于访问数据传输网络的网络访问策略, -激活所述确定的网络访问策略。
10.根据权利要求9所述的方法,还具有以下步骤 -激活初始的网络访问策略, -将车辆的实际配置和/或车辆的登录数据和/或自从相关的软件更新后经过的时间传输给用于调查安全状态的评估服务器, -传输调查得到的安全状态。
11.根据权利要求10所述的方法,其中,不仅本地调查安全状态而且还远程调查安全状态。
全文摘要
本发明涉及一种防止通过车辆的无线通讯装置对联网车辆进行攻击的系统。该系统具有无线数据传输网络和安全状态调查装置,用于依据调查得到的安全状态控制对无线数据传输网络的访问,其中,所述安装状态是以对车辆的实际配置和/或车辆的登录数据和/或自从相关的软件更新后经过的时间进行的评估为基础的。该系统还具有适于与无线数据传输网络相连的通讯装置和用于控制对无线数据传输网络的网络访问的访问控制装置,它能够与安全状态调查装置相连。本发明也还涉及一种用于防止通过车辆的无线通讯装置对联网车辆进行攻击的系统的方法,其中,调查安全状态,其中,该安装状态是以对车辆的实际配置和/或车辆的登录数据和/或自从相关的软件更新后经过的时间进行的评估为基础的。本发明还包括基于调查得到的安全状态确定用于访问数据传输网络的网络访问策略,紧接着激活该网络访问策略。
文档编号H04L29/06GK102893574SQ201180010608
公开日2013年1月23日 申请日期2011年2月17日 优先权日2010年2月22日
发明者罗兰·迪茨, 赖纳·法尔克, 汉斯-约阿希姆·霍夫, 弗朗茨·斯塔德勒 申请人:大陆汽车有限责任公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1