用于车用网络的安全监控装置及方法与流程

本发明涉及一种用于车用网络的安全监控装置及方法。具体而言，本发明涉及一种安装于一车辆的控制器区域网络的安全监控装置及方法。

背景技术：

随着科技的快速发展，各种车辆皆装载多种电子控制单元(electroniccontrolunit；ecu)，以控制安装于车辆上的各种电子装置及所结合的零组件，并对其进行检测。一般而言，车用网络又称作控制器区域网络(controllerareanetwork；can)，控制器区域网络为目前广泛用于车辆的车用总线标准，允许车辆上的这些电子控制单元通过控制器区域网络总线来相互通讯。

然而，由于控制器区域网络的内部通讯是基于信息导向传输协定的广播机制，因此对于内部信息的传递并无提供任何信息安全防护措施。此外，在控制器区域网络的机制下，对于已知的节点或新加入的节点缺乏监督机制，且由于没有主机来监控控制器区域网络下的节点组成(例如：各个电子控制单元)及信息，因而使得有心人士有机可乘，当控制器区域网络下的某个节点被入侵时(例如：取代或是仿冒)，入侵者即可通过该被入侵的节点发送非法信息，进而影响车辆的操作，此举将可能危及车辆的行车安全。

另外，在控制器区域网络的机制下，外部装置只要通过控制器区域网络总线连接至车辆的控制器区域网络，该外部装置即可在控制器区域网络上接收及发出信息。然而，由于控制器区域网络的运作机制对于底下的节点并未管控，且对于内部信息的传递并未提供任何信息安全防护措施，因此无法检测控制器区域网络可能存在的非法信息。

有鉴于此，如何在现有的控制器区域网络架构下为控制器区域网络提供一种安全防护机制，监控控制器区域网络下的节点，防止有心人士入侵车辆网络而影响车辆的操作，乃是业界亟待解决的问题。

技术实现要素：

本发明的一目的在于提供一种用于车用网络的安全监控装置，该安全监控装置安装于一车辆。该安全监控装置包含一控制器区域网络接口、一储存器及一处理器，其中该处理器电性连接至该控制器区域网络接口及该储存器。该控制器区域网络接口通过一控制器区域网络总线连接至该车辆的一控制器区域网络。该储存器储存一列表及一加密金钥，其中该列表储存连接至该控制器区域网络的多个电子控制单元各自的一单元代码及一序列号。该处理器执行下列运作：(a)通过该控制器区域网络接口，传送一指示符及该加密金钥至这些电子控制单元，其中该指示符与一第一控制器区域网络辨识码及该单元代码相关，且该加密金钥经由一加密演算法加密；(b)通过该控制器区域网络接口，自这些电子控制单元接收各该电子控制单元的一回应码，其中各该回应码由各该电子控制单元的该序列号及该加密金钥经由一杂凑演算法产生；(c)基于该列表、该加密金钥及该杂凑演算法，比对各该电子控制单元回传的该回应码，以判断各该电子控制单元是否正确地回传该回应码；以及(d)判断当这些电子控制单元其中之一未正确地回传该回应码时，产生一警示信号。

本发明的另一目的在于提供一种用于车用网络的安全监控方法，适用于一电子装置。该电子装置安装于一车辆，该电子装置包含一控制器区域网络接口、一储存器及一处理器。该控制器区域网络接口通过一控制器区域网络总线连接至该车辆的一控制器区域网络。该储存器储存一列表及一加密金钥，其中该列表储存连接至该控制器区域网络的多个电子控制单元各自的一单元代码及一序列号。该车用网络安全监控方法由该处理器所执行且包含下列步骤：(a)通过该控制器区域网络接口，传送一指示符及该加密金钥至这些电子控制单元，其中该指示符与一第一控制器区域网络辨识码及该单元代码相关，且该加密金钥经由一加密演算法加密；(b)通过该控制器区域网络接口，自这些电子控制单元接收各该电子控制单元的一回应码，其中各该回应码由各该电子控制单元的该序列号及该加密金钥经由一杂凑演算法产生；(c)基于该列表、该加密金钥及该杂凑演算法，比对各该电子控制单元回传的该回应码，以判断各该电子控制单元是否正确地回传该回应码；以及(d)判断当这些电子控制单元其中之一未正确地回传该回应码时，产生一警示信号。

本发明所提供的安全监控技术(至少包含装置及方法)，借由对于控制器区域网络中的已知节点执行验证机制，由安全监控装置传送加密金钥，由节点根据其自身的序列号及该加密金钥，并经由一杂凑演算法生成回应码，由安全监控装置验证各该节点的回传码是否正确。当这些节点其中之一未正确地回传时，安全监控装置即产生警示信号。此外，安全监控装置更可自各节点接收各节点可能会使用的控制器区域网络辨识码及对应的传输频率，所以当控制器区域网络出现异常的控制器区域网络辨识码及传输频率时，可以预先发现异常传输资料并发出警告信息。另外，由于本发明的验证机制是建立在应用层，因此不需要改变传统控制器区域网络及封包传输的架构，更能适用在现有的控制器区域网络架构产品上。因此，本发明能有效地对车用网络的安全进行监控，以防止有心人士入侵车用网络而影响车辆的操作，进而确保车辆的行车安全。

附图说明

为让本发明的上述目的、特征和优点能更明显易懂，以下结合附图对本发明的具体实施方式作详细说明，其中：

图1a是描绘第一实施方式的车辆的控制器区域网络的架构示意图；

图1b是描绘第一实施方式的安全监控装置的架构示意图；

图2是描绘列表的一具体范例；

图3是描绘第二实施方式的安全监控方法的部分流程图；以及

图4是描绘某些实施方式所会执行的方法的部分流程图。

符号说明

1：安全监控装置

11：控制器区域网络接口

13：储存器

15：处理器

131：列表

133：加密金钥

eid1、eid2、eid3；eid4：单元代码

sn1、sn2、sn3、sn4：序列号

s301～s307：步骤

s401～s403：步骤

具体实施方式

以下将通过具体实施方式来解释本发明所提供的一种用于车用网络的安全监控装置及方法。然而，这些实施方式并非用以限制本发明需在如这些实施方式所述的任何环境、应用或方式才能实施。因此，关于实施方式的说明仅为阐释本发明的目的，而非用以限制本发明的范围。应理解，在以下实施方式及附图中，与本发明非直接相关的元件已省略而未绘示，且各元件的尺寸以及元件间的尺寸比例仅为例示而已，而非用以限制本发明的范围。

本发明第一实施例如图1a至图2所示。图1a例示了关于车辆的控制器区域网络(下称：can)的架构示意图，有5个节点连接到can，其分别为引擎控制电子控制单元、动力控制电子控制单元、防锁死煞车系统(anti-lockbrakingsystem；abs)电子控制单元、故障诊断电子控制单元及本发明的安全监控装置1。本发明的安全监控装置1通过控制器区域网络总线(下称：can总线)连接至该车辆的can。须说明者，本发明并未限制与can所连线的电子控制单元数目。换言之，于本发明的其他实施方式中，安全监控装置1可与更多的电子控制单元通过can连线，视can的规模及实际需求而定。另外，示意图仅绘示了can部分的结构，而省略了部分的元件，例如：电子控制单元更连接至其他元件(例如：车门、雨刷、引擎或其他零组件)。

本发明的第一实施方式为一安全监控装置1，其装置架构示意图是描绘于图1b。安全监控装置1包含一控制器区域网络接口11(下称：can接口11)、一储存器13及一处理器15，且处理器15电性连接至can接口11及储存器13。can接口11为一可接收及传输资料的接口或本领域技术人员所知悉的其他可接收及传输资料的接口。

储存器13可为一存储器、一通用串行总线(universalserialbus；usb)盘、一硬盘、一光盘、一随身盘或本领域技术人员所知且具有相同功能的任何其他储存媒体或电路。处理器15可为各种处理器、中央处理单元、微处理器、数字信号处理器或本领域技术人员所知的其他计算装置。

在本实施方式中，安全监控装置1的can接口11通过can总线连接至该车辆的can(如图1a所例示的控制器区域网络)。储存器13储存一列表131及一加密金钥133，其中列表131储存连接至该can的多个电子控制单元各自的一单元代码(又称：electronicidentity；eid)及一序列号(serialnumber；sn)。须说明者，该列表131由安全监控装置1预先建立并维护，在某些实施方式中亦可由外部装置直接接收。

除了安全监控装置1存有各个电子控制单元的单元代码及序列号，各电子控制单元本身亦存有其自身的单元代码及序列号。具体而言，单元代码为安全监控装置1配置给各个电子控制单元的固定名称，而序列号则用于安全监控装置1与各个电子控制单元后续验证时的序号，其值可能因为不同的加密/杂凑机制而变动，关于安全监控装置1与各该电子控制单元的验证方式将于后段详述。

为便于理解，请参考图2关于列表的一具体范例。以图1的can架构为例，图2所示的列表储存4笔已知的节点，其分别为引擎控制电子控制单元、动力控制电子控制单元、防锁死煞车系统电子控制单元及故障诊断电子控制单元，且分别对应至单元代码「eid1」、「eid2」、「eid3」、「eid4」及序列号「sn1」、「sn2」、「sn3」、「sn4」。

为便于理解，先简单说明本实施方式的运作流程。安全监控装置1借由发送预设信息(包含预设辨识码及加密金钥)给can中的各个节点(即，各该电子控制单元)，命令各节点回传其自身的回传值，以进行后续验证。接着，由各节点根据接收到的加密金钥及自身的序列号，经由杂凑演算法运算后，产生回传值，回传给安全监控装置1。最后，由安全监控装置1根据列表131中纪录的序列号及加密金钥，验证自各该节点接收的回传值是否正确来判断各该已知的节点(即，在列表131中纪录的节点)是否异常/被入侵，以下段落将详细叙述各运作的细节。

首先，由安全监控装置1发起验证运作，处理器15通过can接口11，传送一指示符(未绘示)及加密金钥133至这些电子控制单元，其中该指示符与一第一控制器区域网络辨识码及该单元代码相关，且加密金钥133经由一加密演算法加密。具体而言，该指示符为安全监控装置1与各该电子控制单元事先约定的回传指示，当各该电子控制单元收听到该预设辨识码时，各该电子控制单元需要回传相对应的回应值。

须说明的是，在can的机制下，在can中传输的任何传输资料均需带有一控制器区域网络辨识码(下称：canid)及资料内容，canid用以辨识该传输资料的用途、种类、接收对象等等，通常同样种类的传输资料均使用同一canid传输。更具体而言，在can的机制中，由于在can中的传输资料是开放给所有节点均可收听，canid用以让各节点知道该传输资料是否是自己要接收的，意即某节点(即，电子控制单元)仅会对于某类的canid的传输资料有动作，例如：防锁死煞车系统电子控制单元可能仅对于canid为剎车类的传输资料有相应的运作。

举例而言，安全监控装置1可与各该电子控制单元约定以闲置的canid999及安全监控装置1的单元代码作为指示符(即，由安全监控装置1发送canid为999且资料内容为安全监控装置1单元代码的传输资料至can)。随后，当各电子控制单元接收到canid为999且资料内容为安全监控装置1单元代码时，即代表各电子控制单元需要回传资料进行验证。接着，安全监控装置1再将canid为998且资料内容为加密金钥133的传输资料传输给各该电子控制单元。

一般而言，由于can中传输资料的固定格式为8个byte，由于此长度太短对于一般加密金钥的安全性不足，因此可以通过canid为998分多次传输加密金钥的不同部分(例如：将加密金钥切割成4个部分，分次传送)。另外，在can的机制中，canid越小的传输资料优先权越高。因此，使用canid为998来传输可以保证优先权来发送加密金钥的传输资料。须说明者，此处安全监控装置1使用canid为999及canid为998来传输资料仅为其中一种例示，而非用以限制本发明的范围，本领域技术人员应可根据其内容了解本实施方式运作的方法，不再赘述。

另外，由于can属于开放资料的传播，任何节点均可听取can上的传输资料，为避免被有心人士通过can监听得知加密金钥133，安全监控装置1在传输资料过程中会将加密金钥133进行加密，再由接收到的各该电子控制单元解密后使用。举例而言，加密金钥133可通过一对称加密(symmetricencryption)或一非对称加密(asymmetricencryption)，但不限于此，由于本领域技术人员可基于前述说明了解本发明加密的各种实施态样，故在此不再加以赘述。

接着，在本实施方式中，由各该电子控制单元接收加密金钥133后进行解密，接着产生各该电子控制单元的回应码，并回传该回应码给安全监控装置1。举例而言，各该电子控制单元将自身的序列号及加密金钥133相加，并通过一杂凑演算法(例如：sha256杂凑演算法，但不限定)，产生该回应码(即，加密后的字串)并传输该回应码给安全监控装置1，由于安全监控装置1亦存有各该电子控制单元的序列号及加密金钥133，通过同一杂凑演算法即可检验各该电子控制单元回传的回应码。

关于各该电子控制单元回传的方式，以图2的引擎控制电子控制单元举例而言，引擎控制电子控制单元先经由canid为999且资料内容为eid1的传输资料，让安全监控装置1得知目前是哪个电子控制单元在回报信息。接着，再通过canid为998且资料内容为回应码(即，该电子控制单元的序列号及加密金钥133相加后的杂凑值)的传输资料，回传给安全监控装置1。在某些实施方式中，各该电子控制单元亦在回传前先加密该回应码(例如：通过对称加密或一非对称加密)，以防止有心人士仿造该回应码，由于本领域技术人员可基于前述说明了解本发明加密的各种实施态样，故在此不再加以赘述。

随后，处理器15通过can接口11，自这些电子控制单元接收各该电子控制单元的回应码，其中各该回应码由各该电子控制单元的序列号及该加密金钥经由杂凑演算法产生。接着，处理器15基于该列表、该加密金钥及该杂凑演算法，比对各该电子控制单元回传的该回应码，以判断各该电子控制单元是否正确地回传该回应码。具体而言，由于安全监控装置1的列表131已存有各该电子控制单元的序列号及加密金钥133，处理器15将加密金钥133及列表131中的这些序列号，经由该杂凑演算法产生对应各该电子控制单元的一验证码，接着比对各该电子控制单元回传的该回应码及各该电子控制单元的该验证码是否相等，即可判断各该电子控制单元是否正确地回传该回应码。

最后，处理器15判断当这些电子控制单元其中之一未正确地回传该回应码时，产生一警示信号。须说明者，安全监控装置1根据列表131中储存的已知节点(即，各该电子控制单元)作验证，对于无法发送正确回应码或是未发送回应码的各该电子控制单元，安全监控装置1即可判断其可能已被入侵(例如：取代或是仿冒)成为非法节点，由处理器15产生警示信号以提醒可能的非法行为。

于某些实施方式中，处理器15更定时地更新该加密金钥133，以防止有心人士侧录到相关信息。举例而言，处理器15可根据一预设间隔时间(例如：每隔24小时)，将加密金钥133进行更新。又举例而言，处理器15可在每次车辆启动时，更新加密金钥133。

于某些实施方式中，为防止有心人士侧录节点的相关信息，安全监控装置1与各该电子控制单元可约定一机制更新其序列号。具体而言，处理器15可以一预定规则，定时地根据该预定规则变更该列表中各该电子控制单元的该序列号，该预定规则可为多个杂凑演算法的集合，在每次执行完验证的运作后，处理器15及各该电子控制单元利用预定规则中约定好的另一杂凑演算法(例如：sha-1、sha-224、sha-256、sha-384及sha-512等杂凑演算法，但不限定于此)将旧的序列号更新为新的序列号，如此叠代的更新序列号以防止伪节点侧录到节点的相关信息。

于某些实施方式中，该处理器更基于一验证周期(例如：每10分钟)，周期性的执行由安全监控装置1发起的前述验证运作，以定期的对于can的已知节点(即，列表131中的各该电子控制单元)验证其安全，降低可能的风险。

此外，由于can的机制对于恶意加入can的节点(即，未在列表131中)缺乏监督机制，且恶意的节点可能发送非法信息，进而影响车辆的操作，此举将可能危及车辆的行车安全，造成可能的安全危险。因此，于某些实施方式中，安全监控装置1更自各该电子控制单元接收各该电子单元可能会使用的canid及对应的传输频率，用以监控当can出现异常的canid及传输频率时，可以预先发现异常传输资料并发出警告信息。具体而言，处理器15通过该can接口通过该控制器区域网络接口，自各该电子控制单元接收各该电子控制单元的一频率列表，其中各该频率列表储存各该电子控制单元使用的多个控制器区域网络辨识码及对应各该控制器区域网络辨识码的一传输频率；以及基于该频率列表，判断can是否存在一非法信息。

于某些实施方式中，各该电子控制单元亦在回传前先加密该频率列表(例如：通过对称加密或一非对称加密)，以防止有心人士窃取该频率列表，由于本领域技术人员可基于前述说明了解本发明加密的各种实施态样，故在此不再加以赘述。

综上所述，本发明的安全监控装置1可对于can网络中的已知节点执行验证机制，由安全监控装置1传送加密金钥，由节点根据其自身的序列号及该加密金钥，并经由一杂凑演算法生成回应码，由安全监控装置1验证各该节点的回传码是否正确。当这些节点其中之一未正确地回传时，安全监控装置1即产生警示信号。此外，安全监控装置1更可自各节点接收各节点可能会使用的canid及对应的传输频率，所以当can出现异常的canid及传输频率时，可以预先发现异常传输资料并发出警告信息。另外，由于本发明的验证机制是在建立在应用层，因此不需要改变传统can及封包传输的架构，更能适用在现有的can架构产品上。因此，本发明能有效地对车用网络的安全进行监控，以防止有心人士入侵车用网络而影响车辆的操作，进而确保车辆的行车安全。

发明的第二实施方式为一用于车用网络的安全监控方法，其流程图描绘于图3。安全监控方法适用于一电子装置，该电子装置安装于一车辆，例如：第一实施方式所述的安全监控装置1。该电子装置包含一控制器区域网络接口、一储存器及一处理器。该控制器区域网络接口通过一控制器区域网络总线连接至该车辆的一控制器区域网络。该储存器储存一列表及一加密金钥，其中该列表储存连接至该控制器区域网络的多个电子控制单元各自的一单元代码及一序列号。该安全监控方法由该处理器所执行，该安全监控方法通过步骤s301至步骤s307产生监控该车辆的控制器区域网络。

在步骤s301，由该电子装置通过该控制器区域网络接口，传送一指示符及该加密金钥至这些电子控制单元，其中该指示符与一第一控制器区域网络辨识码及该单元代码相关，且该加密金钥经由一加密演算法加密。在步骤s303，由该电子装置通过该控制器区域网络接口，自这些电子控制单元接收各该电子控制单元的一回应码，其中各该回应码由各该电子控制单元的该序列号及该加密金钥经由一杂凑演算法产生。

接着，在步骤s305，由该电子装置基于该列表、该加密金钥及该杂凑演算法，比对各该电子控制单元回传的该回应码，以判断各该电子控制单元是否正确地回传该回应码。最后，在步骤s307，由该电子装置判断当这些电子控制单元其中之一未正确地回传该回应码时，产生一警示信号。

在某些实施方式中，该步骤s305更包含以下步骤：将该加密金钥及该列表中的这些序列号，经由该杂凑演算法产生对应各该电子控制单元的一验证码；以及比对各该电子控制单元回传的该回应码及各该电子控制单元的该验证码是否相等，以判断各该电子控制单元是否正确地回传该回应码。

在某些实施方式中，该安全监控方法更包含定时地更新该加密金钥。在某些实施方式中，该安全监控方法更包含以一预定规则，定时地根据该预定规则变更该列表中各该电子控制单元的该序列号，其中该预定规则为与另一杂凑演算法相关。

在某些实施方式中，该安全监控方法更包含基于一验证周期，周期性的执行步骤s301至步骤s307。

在某些实施方式中，该安全监控方法更包含步骤s401至步骤s403。请参图4，在步骤s401，由该电子装置通过该控制器区域网络接口，自各该电子控制单元接收各该电子控制单元的一频率列表，其中各该频率列表储存各该电子控制单元使用的多个第二控制器区域网络辨识码及对应各该第二控制器区域网络辨识码的一传输频率。接着，在步骤s403，由该电子装置基于该频率列表，判断该控制器区域网络是否存在一非法信息。

除了上述步骤，第二实施方式亦能执行第一实施方式所描述的安全监控装置1的所有运作及步骤，具有同样的功能，且达到同样的技术效果。本领域技术人员可直接了解第二实施方式如何基于上述第一实施方式以执行此等运作及步骤，具有同样的功能，并达到同样的技术效果，故不赘述。

需说明的是，在本发明专利说明书及权利要求中，某些用语(包含：控制器区域网络辨识码)前被冠以「第一」或「第二」，这些「第一」及「第二」仅用来区分不同的用语。例如：第一控制器区域网络辨识码及第二控制器区域网络辨识码中的「第一」及「第二」仅用来表示不同的控制器区域网络辨识码。

综上所述，本发明所提供的安全监控技术(至少包含装置及方法)，借由对于can网络中的已知节点执行验证机制，由安全监控装置1传送加密金钥，由节点根据其自身的序列号及该加密金钥，并经由一杂凑演算法生成回应码，由安全监控装置1验证各该节点的回传码是否正确。当这些节点其中之一未正确地回传时，安全监控装置1即产生警示信号。此外，安全监控装置1更可自各节点接收各节点可能会使用的canid及对应的传输频率，所以当can出现异常的canid及传输频率时，可以预先发现异常传输资料并发出警告信息。另外，由于本发明的验证机制是在建立在应用层，因此不需要改变传统can及封包传输的架构，更能适用在现有的can架构产品上。因此，本发明能有效地对车用网络的安全进行监控，以防止有心人士入侵车用网络而影响车辆的操作，进而确保车辆的行车安全。

上述实施方式仅用来例举本发明的部分实施形态，以及阐释本发明的技术特征，而非用来限制本发明的保护范畴及范围。任何本领域技术人员可轻易完成的改变或均等性的安排均属于本发明所主张的范围，而本发明的权利保护范围以权利要求书为准。