用于运行总线系统的方法和设备与流程

本发明涉及一种用于运行总线系统、尤其是在机动车中运行总线系统的方法、一种计算机程序和一种用于执行所述方法的控制和/或调节装置以及一种机器可读的存储介质，其中计算机程序被存储在所述机器可读的存储介质上。

背景技术：

在未预先公开的de102016212816中已知一种用于运行总线系统的方法，其中接收所述总线系统的消息并且确定其有效性，其中如果已确定所述消息是“无效的”，那么将防御消息发送给该消息的指定接收者，其中防御消息这样构造，使得通过该防御消息来指示指定接收者，采取针对该消息的防御措施。

技术实现要素：

本发明的优点

具有独立权利要求1的特征的方法具有优点：能够识别在所述总线系统的网络中的不合常规的干预，并且能够特别简单地确保所述总线系统的进一步可用性。

有利的扩展方案是从属权利要求的主题。

本发明基于如下思想：作为防御攻击的方法，替代于以在接收者方面（imempfänger）触发替代反应这样的目标来发送讯息（如从de102016212816中已知的那样），可以发送具有原始的、并没有由攻击者操纵的数据的讯息。由此，在接收者方面的运行可以在没有触发替代反应的情况下利用来自真正的、非恶意的发送者的数据而继续。

在本发明的第一方面，因此是一种用于运行总线系统的方法，在所述方法中总线系统的消息被接收并且该消息的有效性被确定，其中如果已经确定了所述消息是“无效的”，那么将新的消息发送给所述“无效的”消息的指定接收者，其中所述新的消息的内容事先已经被归入为“有效的”。

其具有优点：藏在该消息的发送背后的功能继续可供使用。

尤其是可以规定：新的消息的内容与被发送给所述指定接收者的之前的消息的内容相同，其中所述之前的消息的有效性也已经被确定并且已经被归入为“有效的”。

由此以特别简单的方式可能的是：避免所提到的功能的能力中断。

在攻击机动车的组件的情况下，例如攻击自动化的变速箱的情况下，其中所述变速箱经由总线系统从变速器杆单元得到用于转换驾驶模式（停车档、空档、行驶档、倒车档）的指令，则如下地得出根据本发明的方法的优点。在（经由例如错误的crc）借助触发自动化的变速箱中的替代反应来防御攻击的情况下，虽然可以防御如下意义上的攻击：攻击者并不能够在信号灯处置于倒挡。但是也许可能：通过所述替代反应而使得对于驾驶员而言经由变速器杆进行的驾驶模式的改变同样地不再可能。

由此能够设想：车辆也许不再100%作好行驶准备。如果替代于用于触发替代反应的讯息的发送，将变速器杆单元的原始信息作为防御来使用，则该变速器杆的功能以不受限的方式保持可用。

在一种扩展方案中可以规定：所述之前的消息是在被归入为“无效的”消息之前已被发送给指定接收者的、最后的被归入为“有效的”消息。所述方法应特别简单地实施。

由此发生对之前的消息的内容的追溯，其方式为，规定：如果所接收的消息已经被归入为“有效的”的，则所述所接收的消息被存储。这是特别简单的。可替代地，可以将归入为“有效的”消息的相关组成部分提取并存储。

在本发明的另一方面，可以由此发生所述方法的适配：根据所接收的、所存储的消息来决定：所述消息是否被归入为“有效的”。

附图说明

接下来参照所附的附图进一步阐述本发明的实施方式。在附图中：

图1示意性地示出网络，在所述网络中根据本发明的方法能够得到应用；

图2示出根据本发明的一方面的方法的流程图。

具体实施方式

图1示例性地示出具有总线系统10的网络，成员1、2、3、4经由该总线系统来通信。所述成员1、2、4可以分别例如是控制设备或者例如也是传感器。成员3是控制设备，在所述实施例中本发明在所述控制设备上实施。

成员1、2、3、4经由总线系统10来交换消息，所述消息分别配备有标志（“id”）。词语“讯息”和“消息”以同义的方式使用。讯息的发送在图1中以“tx”和所发送的讯息的所属的标志来标出，讯息的接收以“rx”和所接收的讯息的所属的标志来标出。在图1中，成员1发送具有标志“123”的讯息。所述讯息由成员2来接收。成员4发送具有标志“789”的讯息。所述讯息由成员2和3来接收。

成员3在实施例中接收在网络10中所限定的所有讯息。攻击者5、同样地发送具有标志“123”的讯息，其中所述攻击者同样地是网络10中的成员。成员2也接收所述讯息，但是并不将其识别为攻击，因为例如该讯息的crc代码已经正确地利用标志“123”来被仿造。成员2因此进一步在其程序代码的处理中使用经操纵的讯息内容。然而成员3（例如通过讯息“123”的数据内容的合理性检验）识别出：讯息“123”是无效的，并且可以采取防御措施。

图2示出所述方法的流程，所述方法在图1中所图解的实施例中在成员3上进行。例如，成员3拥有机器可读的存储介质，计算机程序被存储在所述存储介质上，当所述计算机程序在成员3上被运行时，所述计算机程序实施所述方法的步骤，也即，所述计算机程序被构造用于，实施所述方法。

所述方法在步骤1000中开始，在所述步骤中成员3例如在网络10中登录或者激活ids应用。接着是步骤1010，在所述步骤中成员3监控网络10中的通信并且接收经由所述网络所发送的消息。所述消息可以例如在队列中被缓冲。接下来的步骤有利地针对所述消息其中的每个被单独执行。

所接收的消息的处理在接下来的步骤1020中开始。在所述步骤中检验：所接收的消息是否是已知的类型。例如，这可以通过在数据库中的查找来进行，其中消息以能够根据表征性的特性（例如所述消息在自身的接收者处触发的反应）来搜索的方式来存放在所述数据库中。如果所接收的消息在这样的数据库中被找到，则该消息的类型作为已知的来适用，否则就作为未知的来适用。如果这不是该情况（输出（ausgang）“n”），也即如果所接收的消息并不是已知的类型，则接着是步骤1030，在所述步骤中能够可选地进行内部或外部的维护，已经接收了未知的消息并且分支回到步骤1010。

相反，如果该消息是已知的（输出“j”），则接着是步骤1040，在该步骤中检验：讯息是“有效的”还是“无效的”。如果该讯息是“无效的”，则识别到攻击（输出“j”），并且接着是步骤1050，否则（输出“n”），则该讯息被存储在有效的讯息的列表中并且并且分支回到步骤1010。

在步骤1050中，成员3在有效讯息的列表中检验：哪个有效讯息已最后被传送给了指定接收者。现在，成员3将已被传送给了指定接收者的最后的有效讯息重新发送给指定接收者。

可选地，在步骤1050中，被识别为“无效的”讯息被记录并且保存在机动车中的和/或机动车之外的存储器中。可替代地或附加地，讯息已经被识别为“无效的”这一事实被报告给机动车的驾驶员或者例如生产者。这可以例如经由在仪表盘中的报告和/或经由资讯娱乐系统和/或经由给在机动车之外的所连接的服务的通知来进行。该方法的过程以此结束并且分支回到步骤1010。

可以规定：成员3将最后有效的讯息传送，一直到成员3不再探测到操纵。