专利名称:车载网络中的计算机安全的制作方法
技术领域:
本发明涉及车载网络中的计算机安全,更具体地涉及防止车载网络中的消息欺骗。
背景技术:
车辆数据总线上的消息欺骗涉及通过扮作意图导致车辆以车辆操作者不期望的方式运转的不同模块的模块而将消息放置到总线上。这种入侵模块可发送消息到总线上,而接收模块在不知道这些消息的真实来源的情况下对这些消息进行处理。车辆处理欺骗消息的后果可能很严重。因此,期望提供一种用于检测车载网络中的欺骗消息并且防止这些欺骗消息的非期望后果的装置。
发明内容
根据一个示例性实施方式,提供了一种用于防止车载网络中的欺骗的方法。所述方法包括通过电子控制单元监测车载网络中的总线上的数据包。在响应于所述监测而确定具有标识的数据包来自除电子控制单元以外的来源时,所述方法包括生成并通过总线传送诊断消息给车载网络中的至少一个模块。所述诊断消息指令模块对所述数据包不采取动作。根据另一个示例性实施方式,提供了一种用于防止车载网络中的欺骗的系统。所述系统包括电子控制单元,所述电子控制单元包括计算机处理器。所述系统还包括可由计算机处理器执行的应用程序。所述应用程序配置成实施一种方法。所述方法包括监测车载网络中的总线上的数据包。在响应于所述监测而确定数据包来自除电子控制单元以外的来源时,所述方法包括生成并通过总线传送诊断消息给车载网络中的至少一个模块。所述诊断消息指令模块对所述数据包不采取动作。根据另一个示例性实施方式,提供了一种用于防止车载网络中的欺骗的计算机程序产品。所述计算机程序产品包括具有包含在其上的指令的计算机存储介质,当通过计算机执行时,所述指令导致所述计算机实施一种方法。所述方法包括通过电子控制单元监测车载网络中的总线上的数据包。在响应于所述监测而确定数据包来自除电子控制单元以外的来源时,所述方法包括生成并通过总线传送诊断消息给车载网络中的至少一个模块。所述诊断消息指令模块对所述数据包不采取动作。在另一个示例性实施方式中,提供了一种用于防止车载网络中的欺骗的方法。所述方法包括通过电子控制单元监测车载网络中的总线上的数据包。在响应于所述监测而确定数据包来自除电子控制单元以外的来源时,所述方法包括执行数据区段的主导超越(dominant override)或针对总线上具有标识的任何消息导致网络错误。方案1.一种用于防止车载网络中的欺骗的方法,所述方法包括:
通过电子控制单元监测车载网络中的总线上的数据包;以及
在响应于所述监测而确定数据包来自除所述电子控制单元以外的来源时,生成并通过总线传送诊断消息给车载网络中的至少一个模块,所述诊断消息指令所述至少一个模块对所述数据包不采取动作。方案2.如方案I所述的方法,其中所述数据包形成响应于传感器读数而传送的消息的一部分。方案3.如方案I所述的方法,其中所述监测通过可由所述电子控制单元的处理器执行的应用程序来执行。方案4.如方案I所述的方法,进一步包括:
通过监测由所述电子控制单元创建并且通过车载网络传送的消息来确定所述数据包来自另一来源。方案5.如方案4所述的方法,其中所述另一来源在车载网络的外部。方案6.如方案I所述的方法,其中所述车载网络是无线网络。方案7.如方案I所述的方法,其中所述数据包经由收发器通过车载网络传送。方案8.—种用于防止车载网络中的欺骗的系统,包括:
电子控制单元,所述电子控制单元包括计算机处理器;以及
可由所述计算机处理器执行的应用程序,所述应用程序配置成实施一种方法,所述方法包括:
监测车载网络中的总线上的数据包;
在响应于所述监测而确定数据包来自除所述电子控制单元以外的来源时,生成并通过总线传送诊断消息给车载网络中的至少一个模块,所述诊断消息指令所述至少一个模块对所述数据包不采取动作。方案9.如方案8所述的系统,其中所述数据包形成响应于传感器读数而传送的消息的一部分。方案10.如方案8所述的系统,其中所述应用程序进一步配置成执行下列操作: 通过监测由所述电子控制单元创建并且通过车载网络传送的消息来确定所述数据包
来自另一来源。方案11.如方案10所述的系统,其中所述另一来源在车载网络的外部。方案12.如方案8所述的系统,其中所述车载网络是无线网络。方案13.如方案8所述的系统,其中所述数据包经由收发器通过车载网络传送。方案14.一种用于防止车载网络中的欺骗的计算机程序产品,所述计算机程序产品包括具有包含在其上的指令的计算机存储介质,当通过计算机执行时,所述指令导致所述计算机实施一种方法,所述方法包括:
通过电子控制单元监测车载网络中的总线上的数据包;以及
在响应于所述监测而确定数据包来自除所述电子控制单元以外的来源时,生成并通过总线传送诊断消息给车载网络中的至少一个模块,所述诊断消息指令所述至少一个模块对所述数据包不采取动作。方案15.如方案14所述的计算机程序产品,其中所述数据包形成响应于传感器读数而传送的消息的一部分。方案16.如方案14所述的计算机程序产品,其中所述方法进一步包括:
通过监测由所述电子控制单元创建并且通过车载网络传送的消息来确定所述数据包
来自另一来源。方案17.如方案16所述的计算机程序产品,其中所述另一来源在车载网络的外部。方案18.如方案14所述的计算机程序产品,其中所述车载网络是控制器局域网。方案19.如方案14所述的计算机程序产品,其中所述数据包经由收发器通过车载网络传送。方案20.—种用于防止车载网络中的欺骗的方法,所述方法包括:
通过电子控制单元监测车载网络中的总线上的数据包;以及
在响应于所述监测而确定数据包来自除电子控制单元以外的来源时,使用由所述电子控制单元实施的状态机的主导状态和劣势状态来执行数据包中的数据区段的主导超越。
在下面对实施方式的详细描述中,仅通过示例来呈现其他特征、优点和细节,所述详细描述参阅附图进行,附图中:
图1是可以在其上根据本发明的示例性实施方式来实施防欺骗程序的系统;以及 图2是描绘了根据示例性实施方式用于防止车载网络上的消息欺骗的程序的流程图。
具体实施例方式下面的描述本质上仅是示例性的,并非用于限制本发明、其应用或用途。根据本发明的一个示例性实施方式,提供了对车载网络中的欺骗的检测和防止。车载网络可能易于受到外部实体的黑客攻击。例如,基于控制器局域网的车辆系统使用通讯广播系统操作,并且第三方通讯可能被黑客插入该网络中,这些黑客创建欺骗技术以尝试欺骗车辆模块使其在认为欺骗消息来源于授权车辆模块的前提下对所述欺骗消息进行处理。在此描述的示例性防欺骗程序通过下列方式减轻这些欺骗技术的负面效应:监测通过车辆网络传送的消息,识别欺骗消息和生成分配给联网车辆模块的诊断程序以便忽视欺骗消息。在备选的示例性实施方式中,该防欺骗程序包括通过下列方式防止欺骗消息或欺骗装置到达或访问车辆模块(例如,ECU102):配置ECU的硬件以便在车载网络中采用基于状态的程序(例如,状态机),所述程序指令任何模块屏蔽未授权的消息。例如,车载网络中的ECU可配置成执行数据区段的主导超越或针对其在网络上看到的具有其标识的任何消息导致网络错误,由此防止模块对具有ECU的标识或特定消息的标识但通过未授权模块发送的数据作出响应或使用所述数据。现在参阅图1,现将在示例性实施方式中描述防欺骗程序可在其上实施的系统100。系统100包括通过收发器106在串行数据总线104 (在此也称为“总线”)上彼此通讯的电子控制单元(ECU) 102。总线104可备选地是并联总线或其他类型的连接。ECU102可每个都包括一个或多个微处理器和存储器。E⑶102采用微处理器处理来自传感器110 (例如发动机传感器,诸如燃料喷射传感器、正时装置、氧传感器、冷却剂传感器、进气传感器等)的输入,并且根据它们相应的功能将该信息传输至车辆部件-例如车辆中的其他ECU102或模块,所述车辆部件随后作出动作-例如驱动执行车辆功能的相应致动器112。传感器110通过相应的E⑶102传送传感器数据,所述相应的E⑶102转而通过收发器106在总线104上发送数据。其他E⑶102可基于包含在构成该消息的数据包中的消息标识来读取消息。E⑶102 “拥有”其自己的消息或使用允许它知道它是唯一的有效消息来源的任何其他机构。作为消息的拥有者,每个ECU102都可容易地识别它自己创建的总线104上的每个消息。在一个实施方式中,E⑶102每个都包括可在其上执行以便监测其在总线104上的消息、识别欺骗消息以及对欺骗消息采取纠正动作的监测应用程序108。在一个实施方式中,每个E⑶102都包括用于在车载网络内识别E⑶102并且用于通过网络发送数据包的网络地址。在一个备选实施方式中,E⑶102采用其硬件和逻辑电路来监测用于它自己的消息的总线104。如在此将进一步描述的,如果E⑶102确定总线104上的数据包不是E⑶102创建的,那么ECU102可通过修改消息以便引起错误(或插入无效值)来阻止消息的传送。可使用任何类型的网络配置来实施总线104。例如,在一个实施方式中,可使用标准协议-例如控制器局域网(CAN)协议来操作总线104。通过非限制性示例,总线104可作为单根导线来实施或者可以是以消息形式从一个ECU102传送数据包至另一个ECU以及至其他期望车辆部件的双导线(例如,绞线对),或者可以使用任何数量的导线(例如,并联总线)来实施。总线104能够以多路导线方式实施,在该方式中特定微处理器将来自车辆的指定区域内(例如,包括电动车窗、电动锁、驾驶员侧后视镜等的驾驶员侧车门区段)的多个来源的输入和输出合并。在其他非限制性示例中,总线104可以使用同轴电缆或光线电缆实施,或者可以使用无线电频率信号无线实施。应当理解的是,总线104可以使用本领域中公知的任何网络拓扑-例如星形、线性、环形、网状等来实施。E⑶102、收发器106和总线104形成车辆上的车载网络的一部分。E⑶102的微处理器以及车辆中的其他联网模块都可包括用于处理配置成便于车辆的各种部件的操作的数据一例如流体混合、点火正时和空气流量等的硬件(例如,电路、逻辑芯、寄存器等)。如将在此描述的,E⑶102的微处理器执行监测应用程序108。收发器106便于E⑶102之间以及与其他车辆部件之间的通讯。收发器106收听消息并且将消息置于总线104上,以及将总线侧上的电信号缓冲和转换成E⑶侧上E⑶102需要的逻辑电平信号。如在此描述的,由收发器106执行的功能涉及CAN网络;然而,应当理解的是,本发明的实施方式并不局限于此。E⑶102中的一个或多个可以通讯性地联接至协调车辆的车载网络与外部网络装置-例如手机网络、卫星系统、远程通信供应商等之间的通信量数据的通信部件(未示出)。如上所示,在另一个实施方式中,防欺骗程序包括通过下列方式防止欺骗消息或欺骗装置到达或访问车辆模块(例如,E⑶102):配置车载网络中的E⑶102的硬件来指令任何模块屏蔽某些消息。例如,在确定网络上的消息包含其标识或E⑶拥有的消息的标识但所述消息不是ECU102创建的时,ECU102可配置成执行消息中的数据区段的主导超越或针对其在总线104上看到的具有其标识的任何消息导致网络错误,由此防止模块对未授权模块发送的数据作出响应或使用该数据。该方法依赖状态机以及一种逻辑状态(主导状态)战胜另一逻辑状态(劣势状态)的方案。ECU102的逻辑电路识别数据包并且确定其包含有效的E⑶102标识但E⑶102没有发送该消息。E⑶102随后将消息的剩余串行流改变成其他ECU102将看作是错误状态或良性值的状态。例如,在CAN网络中,具有公知为无效的特定字节样式。如果一个ECU102将总线104保持在主导状态达到延长的时间段,那么其他ECU102将不会继续传送它们的消息到总线104上。车载网络配置成在某些备选方案可能对某些模块的功能(例如,将总线104保持在来自未授权消息的主导欺诈命令中)造成过大风险的情况下容忍这种情形。现在参阅图2,现将在一个实施方式中描述一种用于防止车载网络中的欺骗的程序。在步骤202,E⑶的监测应用程序108监测总线104上的网络数据包。所述数据包形成提供信息至一个或多个车辆部件的消息的一部分。例如,一个数据包包括标识该数据包(例如,该数据包是来自一个传感器的速度读数或来自另一个传感器的温度读数)的标题。所述数据包还包括其本身包含读数值(例如,102度的温度)的数据。监测应用程序108可配置成监测仅具有与由ECU102 (该监测应用程序通过其执行)创建和传送的数据包关联的标识的数据包(即,监测其自身生成的消息)。在步骤204,确定是否被监测的数据包具有与ECU102关联的标识但是确定其是由除ECU102以外的来源创建的。如果确定所述数据包由E⑶102创建,那么程序返回步骤202并且继续监测。在该情形中,所述数据包如发送信息中指示的那样通过网络传送。否则,如果确定所述数据包来自除ECU102以外的来源,那么监测应用程序108配置成在步骤206处生成并且传送指令其他E⑶102忽视(即,不处理或响应于)所述数据包的诊断消息。所述程序随后可返回到步骤202,在该步骤中ECU102继续监测总线104上的通信量。如上所示,备选的示例性实施方式包括配置E⑶102的硬件以防止欺骗消息或欺骗装置到达或访问车辆模块(例如,ECU102),从而相应的ECU102指令任何模块屏蔽所述消息。例如,ECU102可执行数据区段的主导超越或针对其在总线104上看到的具有其标识(但不是ECU102创建的)的任何消息导致网络错误或良性消息,由此防止模块对未授权模块发送的数据作出响应或使用所述数据。例如,监测其在总线104上的消息的ECU102识别具有其标识的消息并确定该消息不是由ECU102创建的。随着消息的数据流被串行传送,ECU102首先检测标识然后使用主导字节超越消息的剩余部分,由此导致所述消息被所有其他ECU102解释为错误或良性消息(B卩,不采取动作)。相比之下,当采用监测应用程序108时,消息在总线104上继续其传送而监测应用程序108在总线104上发送指令其他E⑶102忽视的所述消息的另一消息。所述实施方式的技术效果提供车载网络中的欺骗的检测和防止。所述实施方式通过下列方式减轻这些欺骗技术的负面效应:监测通过车辆网络传送的消息、识别欺骗消息和生成分配给联网车辆模块的诊断消息以忽视欺骗消息。备选实施方式包括通过下列方式防止欺骗消息或欺骗装置到达或访问车辆模块:将电子控制单元的硬件配置成在车载网络中采用基于状态的程序,所述程序指令任何模块屏蔽未授权消息或使未授权消息无效。如上所述,本发明可以计算机执行的程序以及用于实施那些程序的装置的形式来实施。本发明的实施方式还可以包含在诸如软盘、CD-ROM、硬盘驱动或任何其他计算机可读存储介质的实体介质中实施的指令的计算机程序代码的形式来实施,其中当计算机程序代码被载入计算机并由计算机执行时,所述计算机变成用于实施本发明的装置。本发明的一个实施方式还可以计算机程序代码的形式实施,例如无论其是否存储在存储介质中、由计算机载入和/或执行或者通过某些传输介质传送,诸如通过电导线或电缆、通过光纤或经由电磁辐射,其中当计算机程序代码被载入计算机并由计算机执行时,所述计算机变成用于实施本发明的装置。当在通用微处理器上实施时,计算机程序代码区段将微处理器配置为创建特定逻辑电路。虽然已经参照示例性实施方式描述了本发明,但是所属领域技术人员将会理解的是,在不偏离本发明的范围的情况下,可对本发明做出各种改变并且可用等同元件来代替本发明的元件。另外,在不偏离本发明的实质范围的情况下,可做出多种改型以使本发明的教导适应特定情况或材料。因此,本发明将不局限于所公开的特定实施方式,相反,本发明将包括落入本申请的范围内的所有实施方式。
权利要求
1.一种用于防止车载网络中的欺骗的方法,所述方法包括: 通过电子控制单元监测车载网络中的总线上的数据包;以及 在响应于所述监测而确定数据包来自除所述电子控制单元以外的来源时,生成并通过总线传送诊断消息给车载网络中的至少一个模块,所述诊断消息指令所述至少一个模块对所述数据包不采取动作。
2.如权利要求1所述的方法,其中所述数据包形成响应于传感器读数而传送的消息的一部分。
3.如权利要求1所述的方法,其中所述监测通过可由所述电子控制单元的处理器执行的应用程序来执行。
4.如权利要求1所述的方法,进一步包括: 通过监测由所述电子控制单元创建并且通过车载网络传送的消息来确定所述数据包来自另一来源。
5.如权利要求4所述的方法,其中所述另一来源在车载网络的外部。
6.一种用于防止车载网络中的欺骗的系统,包括: 电子控制单元,所述电子控制单元包括计算机处理器;以及 可由所述计算机处理器执行的应用程序,所述应用程序配置成实施一种方法,所述方法包括: 监测车载网络中的总线上的数据包; 在响应于所述监测而确定数据包来自除所述电子控制单元以外的来源时,生成并通过总线传送诊断消息给车载网络中的至少一个模块,所述诊断消息指令所述至少一个模块对所述数据包不采取动作。
7.如权利要求6所述的系统,其中所述应用程序进一步配置成执行下列操作: 通过监测由所述电子控制单元创建并且通过车载网络传送的消息来确定所述数据包来自另一来源。
8.如权利要求6所述的系统,其中所述车载网络是无线网络。
9.如权利要求6所述的系统,其中所述数据包经由收发器通过车载网络传送。
10.一种用于防止车载网络中的欺骗的计算机程序产品,所述计算机程序产品包括具有包含在其上的指令的计算机存储介质,当通过计算机执行时,所述指令导致所述计算机实施一种方法,所述方法包括: 通过电子控制单元监测车载网络中的总线上的数据包;以及 在响应于所述监测而确定数据包来自除所述电子控制单元以外的来源时,生成并通过总线传送诊断消息给车载网络中的至少一个模块,所述诊断消息指令所述至少一个模块对所述数据包不采取动作。
全文摘要
本发明涉及车载网络中的计算机安全,具体地,防止车载网络中的欺骗包括通过电子控制单元监测车载网络中的总线上的数据包。在响应于所述监测而确定数据包来自除电子控制单元以外的来源时,所述防止车载网络中的欺骗包括生成并通过总线传送诊断消息给车载网络中的至少一个模块,所述诊断消息指令所述至少一个模块对所述数据包不采取动作。
文档编号H04L29/06GK103078836SQ20121041250
公开日2013年5月1日 申请日期2012年10月25日 优先权日2011年10月25日
发明者R.尼纳, M.H.科斯丁 申请人:通用汽车环球科技运作有限责任公司