用于避免被操纵的数据传输而保护车辆网络的方法与流程

介绍了用于避免被操纵的数据传输而保护车辆网络的方法以及对此设置的计算机程序。

背景技术

由de102015219996a1已知一种通过一种借助于can控制器连到总线上的节点用于防止在can总线上的操纵的方法。在这种情况下在第一节点的普通运行中，第一节点的一种被防护的发送模块监控所述总线，并且识别can控制器的发送过程。此外，所述发送模块识别一种偏离普通运行的不被允许地在总线上被发送的消息，并且如果所述发送模块识别了所述消息，就导入针对所述操纵所设置的措施。

de102009026995a1公开了一种用于运行特别是can总线的总线系统的方法，多个站点可以连接到该总线系统上。一种被传播的信息具有一种标识符，其中，一种被确定了的标识符总是只允许被唯一的站点使用。所述站点中的每一个站点将被传播的信息的标识符与由该站点自己使用的标识符相比较。当一致时产生一种错误通知。

本发明的公开内容

这样的方法被建议：利用所述方法可以保护一种车辆的网络，并且因此保护所述车辆免受被操纵的数据传输，或者避免一种这样的攻击而得到加固。在此，所述车辆网络包括多个网络节点，其中在所述车辆网络中的至少一个第一网络节点在普通模式中对于第一接收到的消息在下述方面进行检查：是否所述第一接收到的消息是在普通模式中分配给第一网络节点的消息，但是第一网络节点没有发送过该第一接收到的消息。现在建议的是：第一网络节点在诊断模式中在下述方面检查第二接收到的消息：是否该第二接收到的消息是在普通模式中或者在诊断模式中分配给所述第一网络节点的消息，但是该第一网络节点没有发送过该第二接收到的消息。该识别特别地可以借助于所述消息的标识信息来实现。

因此，车辆网络的防止当前的、改进了的对于车辆网络的攻击的特别地有效的防护是可能的，所述攻击利用网络节点的诊断模式，特别是利用车辆控制器。这种解决方案可以没有附加的硬件地实现，并且因此可以简单地在软件中实现，或者像已经交付了的车辆在加装方案中作为软件更新在存在的系统上传播。

这种解决方案的一个另外的优点是：它可以不取决于车辆的车辆变型方案（双门跑车、大型轿车、敞篷轿车、不同的变速器、不同的发动机等等）地实现，因为每个网络节点、特别是每个控制器自己对自己进行监控。因此不必进行对于另外的网络节点的特殊的调整。

车辆网络以及因此车辆可以针于攻击（在该攻击时攻击者充分利用车辆网络的诊断功能）如下这样地变得更安全：只有当车辆在安全状态中时，网络节点才可以在诊断模式中被调动或者才可以完全地被关掉。那么一方面阻止或者至少妨碍了这样的攻击的最关键的作用——也即对于在行驶运行中关键的行驶功能的影响。另一方面，减少了对于攻击者来说通过特别是来自远处的攻击在利用控制器的诊断模式的情况下攻击车辆的可能性。

此外对于诊断消息来说有利的是：也通过像桥控制器或者网关控制器那样的被转达的网络节点来实现相应的监控，以使得所述车辆网络避免在诊断场景中的攻击地更加稳固。

如果一网络节点借助于接收到的消息识别出对于所述数据传输的操纵，所述网络节点原本只应该自己发送所述消息，但是这没有做到，那么该网络节点优选地开始应对措施。以下的必要时也可以组合的措施已经被证明是有利的：

-使车辆网络或者车辆网络的一部分关闭，

-使第一消息无效，

-发送一种错误信息，在分配给第一网络节点的另外的消息中、特别是在另外的消息的一种检查部段中，特别是作为附加的诊断消息或者作为被操纵的信息，

-放弃发送确定的、特别是对于安全来说关键的消息，

-通过所述多个网络节点中的至少第一网络节点来忽略在车辆网络中所接收到的信息，

-将车辆置于一种具有受限制的功能的紧急运行中，

-在点火更换之后重置在车辆网络中的信息。

附图说明

以下参照附加的附图并且借助于实施例更详细地描述本发明。在此，图1示意性地示出了一种示例性的具有多个网络参与者或者网络节点的车辆网络。

具体实施例的描述

本发明涉及一种用于针对被操纵的数据传输而保护车辆网络的方法。

车辆网络一般由不同的、大多是控制器节点的网络节点组成，所述网络节点通过总线系统相互连接成网，目前主要是can（控制器局域网络）、lin（局域互联网络）、flexray以及most（多媒体传输系统）。在控制器-硬件中，每个总线系统建造一种组件，所述组件承担在发送-以及接收方向上的通信。所述控制器节点此外还具有一种计算单元，该计算单元运行一种计算机程序。该计算机程序经常如此地设置：使得从一控制器节点能够发送一定数量的消息并且能够接收一定数量的消息。如果所述控制器不涉及所述总线系统的桥或者网关，那么这些消息集是有规律地分离的。

在图1中示意性地示出了一种示例性的车辆网络1。该车辆网络包括一主总线10，对于安全来说关键的网络节点的组20以及具有无线电通讯的网络节点的组30与该主总线相连接。例如马达控制器21、esp-控制器22、变速器控制器23以及用于转向的控制器24属于所述对于安全来说关键的网络节点的组20。例如wlan-和/或蓝牙模块31、集成的车辆电话32以及组合的导航-和多媒体系统33属于具有无线电通讯的网络节点的组30。obd-插口60同样地与所述主总线相连接，并且被设置为向车辆网络外部的或者向车辆外部的接口。

一种所谓的车身控制器40（bodycontroller（车身控制器），bcm）不仅与所述主总线10相连接，也与另一总线50相连接。此外，另外的网络节点、特别是控制器51到55与所述另外的总线50相连接。

已经知道的对于车辆网络的攻击（angriff）在很多情况下对于在这样的车辆网络1中的标准消息或者诊断消息进行操纵。在这种情况下，由控制器发送了原本不是为此设置的消息。为了使所述消息相对于正常的在总线系统上的消息得到发布或者实施，所述消息经常以一种部分地明显地更高的数据传输率来发送。

在车辆中占支配地位的总线类型经常这样起作用，以使得所有的被发送的消息被所有的网络节点所接收。通常对于所接收到的网络节点来说不清楚的是：哪个（其它的）网络节点发送了一个确定的被接收的消息。一般也不存在1：1-通信。这使得极为困难的是：识别出一种接收到的消息是否来自于正确的发送者。

对于车辆网络的攻击经常远程地、也就是说通过无线电接口来实施，所述攻击的目的是对于在车辆网络中的数据传输进行操纵。这样的攻击可以例如划分成三个步骤：

1.由远方恶意地接管一种能够远程的控制器。

2.操纵所述控制器，以使得这种确定的消息发送到对于安全来说关键的控制器上。

3.因此导致所述对于安全来说关键的控制器执行不希望的、特别是不安全的操作。

在对于在所述控制器节点的普通运行中的标准消息进行操纵的情况下，可以用下述方式保护免受这样的攻击或者免受这样地被操纵的数据传输：每个控制器节点在这样的消息方面监控所述总线：所述消息通常由控制器节点自己发送或者只允许由控制器节点自己发送。如果通过一控制器节点识别到这样的消息——不是所述控制节点自己发送了该消息，那么可能存在攻击或者相应的对于数据传输的操纵，并且开始合适的应对反应。

但是单独这种方法免除更新的以及改进的对于车辆网络的攻击却是不足够的，在所述攻击时有目的地将各个控制器节点发送到诊断模式中。在该诊断模式中，控制器一般不发送消息或者只发送少量的消息。但是，标准消息那么就被关掉。

特别关键的是：将一控制器节点调动到诊断模式中，但是在普通模式中、或者在一种跟诊断模式不同的第二模式中剩下另外的控制器节点。在这种情况下，错误的消息通过被接管的控制器节点来发送，而真正的分配给该消息的控制器节点没有识别到这一点，因为它处于诊断模式中。因此它是这种情况，因为所述诊断模式相应于一种在控制器节点上的与普通模式不同的软件主管机关，该软件主管机关包括另外的、自己待发送的消息，并且一般只等待另外的控制器节点的诊断消息。如果这里类似地使用所述标准方法，那么所述控制器节点只是在在诊断模式中被分配给所述控制器节点的信息的方面对于接收到的消息进行检查。因此被建议的是：所述控制器节点在这一方面同样地也检查在诊断模式中接收到的消息：所述消息是否是在普通模式中被分配给该控制器节点的消息。所述控制器节点的这种功能必须为此也在相应于所述诊断模式的软件主管机关中（冗余地）实施，包括关于在普通模式中的消息的信息在内。

为了进一步地确保安全，所述控制器节点可以这样设置：只有当车辆处于安全的状态中时（特别是当车辆驻立时），所述控制器节点才能被调动到诊断模式中和/或才能被关掉。车辆速度例如由在网络中的esp（电子的稳定程序）提供。为了不对其进行操纵，又通过控制器节点追溯到所描述的监控。特别地也应该这样地阻止：在关键的车辆状态中、特别是在行驶运行中，控制器节点可以完全地被关掉。不仅自己停止运转是关键的。由此也可能的是：绕开所描述的方法，因为分配给被关掉的控制器节点的消息可以被发送，而控制器节点没能识别到它。

相比于在普通运行中的标准消息，车载诊断消息（obd）在车辆网络中经常通过一种另外的总线来发送。在此经常涉及一种can总线，所述can总线与一种obd-插口相连接。如果所述通过车辆网络实现的控制器连接被划分成子网络，那么这里通常存在桥控制器（bridges（桥））和/或网关控制器（gateway（网关）），所述桥控制器和/或网关控制器转达来自工厂测试员和到达工厂测试员的询问和回答，该工厂测试员通过所述obd-插口访问所述车辆。在这种情况下，对于消息的监控通过下述方式像之前所描述的那样实现：诊断消息由被转达的桥控制器或者网关控制器自己来检查。

针对在车辆网络中识别到的、对于数据传输的操纵，可以设置不同的反应或者应对措施。主要的目标应该是：保证车辆的安全的运行。如果这是不可能的，那么就应该阻止车辆的运行。

第一困难在于：识别到了数据操纵的网络节点怎样能够将另外的网络节点也包括到应对措施中或者怎样能够通知它们：识别到了攻击。

不同的可能性包括：

-关闭网络或者网络的一部分，

-使得信息无效，

-将信息在一种合法的消息中“隐藏起来”（例如一种错误的crc码），

-一种附加的一经要求就发送的诊断消息，

-不再发送合法的消息。

当网络或者总线被攻击者利用很多消息涌进时，最后的措施例如也起作用。在这种情况下，消息不可避免地被停止。

那么第二点在于：另外的控制器应该怎样对此作出反应。这里值得期望的是：给攻击者尽可能少的提示，他可以再使用所述提示，用于改进或者扩大所述攻击。这可以通过这种方式发生：所有的控制器不再信任网络或者网络的一部分，特别是简单地将其忽略。由此，攻击者不能再继续寻找薄弱环节。

附加地还可以将错误放置在错误存储器中，所述错误只能够在工厂中被重置。将车辆置于到一种紧急运行中是一种另外的可行方案，同样地也像在点火更换之后将信息在网络中重置。

所建议的解决方案既不需要附加的硬件，也不需要介入到存在的硬件中。因此简单地可能的是：车辆或者车辆网络通过软件更新而加装一种这样的攻击识别或者一种这样的针对操纵所述数据传输的保护。