用于识别车辆的总线系统上的篡改的设备和方法与流程

本发明涉及一种用于识别总线系统上的篡改的安全装置，尤其用于识别总线系统、例如车辆的can总线上的经篡改的信号的安全装置。

背景技术：

总线系统在现代车辆中越来越多地被用于对安全至关重要的消息及其传递，例如对车轮的控制、驾驶员辅助系统的功能、车辆的锁定和解锁、或警报装置的激活和解除激活。

因此，总线系统越来越形成安全风险。例如，可能以中间人攻击(man-in-the-middleattacken)的形式实施对车辆的攻击，在攻击中，在总线上传递复制的消息来操控车辆的功能，例如解锁车辆的门。为此，消息例如可能经由轮胎的压力测量系统从外部侵入。

为了防止这种攻击，例如提出了使用加密，然而这可能在很大程度上减小单独数据包的用户数据段的长度。

us2016/0188876a1还提出了分析can总线上的消息密度以识别攻击。

然而这种方法只能有限制地被用于识别异步消息及其复制。

ep3291119a1进而提出一种系统，该系统防止在控制器(ecu，electroniccontrolunit，电子控制单元)上实施经篡改的软件。

技术实现要素：

因此，本发明提供一种可以实现识别车辆的总线系统上的经篡改的信号的解决方案。

在此，用于识别车辆的总线系统上的篡改、更确切地说用于识别车辆的总线系统上的经篡改的信号的安全装置包括接收单元、分析单元和评估单元。

在此，安全装置尤其可以被设计成呈控制器的形式，例如具有额外的安全功能的ecu(安全ecu)。

在此，安全装置的接收单元被设计成用于与车辆的总线系统相连接并且用于接收来自总线系统的信号。

因此，安全装置、例如车辆的其他的控制器(ecu)与车辆的总线系统(车辆总线)、例如can总线连接。因此，安全装置接收消息，这些消息在控制器与必要时和总线相连接的其他装置之间进行交换。换种方式表述，安全装置监测在总线上传递的信号或数据包，并且在总线上截取这些信号或数据包。

由接收单元接收的信号随后被转送到分析单元。分析单元被设计为用于分析信号的信号状态之间的转变。

换言之，分析单元分析信号的信号状态之间或逻辑电平之间的转变。因此，分析单元分析边沿或逻辑电平之间的信号曲线的特征，即该分析单元分析上升边沿或下降边沿的特征，尤其是在数字信号的信号状态(高和低)之间。

这个分析的结果被输出到评估单元。所述评估单元被适配成用于基于所述分析单元的分析将所述信号评估为经篡改的信号或未经篡改的信号。

因此，基于对数字信号的信号状态(或逻辑电平)之间的转变的分析，评估单元将信号评估为经篡改的信号(即例如由中间人攻击引起的信号)或真实可信的、未经篡改的信号。

由于数字电平之间的转变的特征(更确切地说信号曲线)取决于各种因素，因此控制器的信号无法在信号状态之间的转变的特征方面完全复制，这允许识别经篡改的信号。

尤其，信号状态(或信号电平)之间的转变的特征取决于例如输出阻抗或发送式单元在总线上的位置等物理特征。此外，一旦额外的装置连接至车辆总线，边沿就发生变化，原因在于例如车辆总线上的阻抗和电阻发生变化。因此可以借助信号电平之间的转变来识别经篡改的信号。

为此，评估单元例如可以实施将信号的转变的参数与针对这个参数的公差范围进行比较。

即，可以实施将分析结果与针对相应参数的参考值和围绕该参考值的公差范围进行比较。

这种参数尤其可以是信号状态之间的信号曲线本身、边沿陡度、信号电平之间的转变持续时间、上升时间或下降时间、以及信号电平之间的转变的曲线上的上冲或下冲。

针对这些参数中的每个参数，可以限定公差范围，即参考值(或参考曲线)和围绕该参考值的可接受的范围，并且可以将所测得的信号的这个特征(或这个参数)与这个公差范围进行比较。

即，例如可以存储针对转变持续时间的时间说明，然而还可以存储信号状态之间的转变的具体信号曲线。

为了能够分析信号，首先可以借助于模拟-数字转换器将信号转化为数字信号，该数字信号被输出给分析单元。为此例如可以使用可以在总线上实现较高采样的fpga电路板。这种模拟-数字转换器能够以500ms/s的采样速率进行采样。由于例如can总线以最大1mb/s工作，因此可以获得较高数量的采样值来确定信号特征。这种模拟-数字转换器(例如ads5474)还允许以16位分辨率进行采样，这可以实现对信号曲线的准确分析。

在此，fpga还可以用于执行其他单元的另外的功能。

代替fpga，还可以使用其他元件来进行训练，例如数字信号处理器、dsp、或专用集成电路(asic)。

由于(如上所述)转变或边沿例如还与发送式控制器在can上的位置相关，因此可以提出的是：还基于信号的源和取决于源所限定的公差范围(针对相应参数)来实施将信号评估为经篡改的信号或未经篡改的信号。

即，可以针对每个发送式控制器(针对每个源)和相应参数来设置公差范围，原因在于信号的边沿可以取决于发送式控制器被形成为不同的。

因此可以提出的是，评估单元借助信号内容来实施对(所谓的)数据源进行确定。

同样，转变还可以通过环境影响或同样可以包括在内的其他外部因素而发生变化。

对应地，可以基于环境影响和取决于环境影响所限定的公差范围(针对相应参数)执行将信号评估为经篡改的信号或未经篡改的信号。

还可以提出的，给所述评估单元设有神经网络以用于将所述信号评估为经篡改的信号或未经篡改的信号。

由于(如上所述)信号转变的参数或边沿的特征与许多因素相关，因此可能难以针对相应参数或针对信号曲线本身限定普遍而言的公差范围。借助于神经网络，可以针对未经篡改的信号来训练系统。

在此，例如可以提出的是，基于在将安全装置安装在车辆中之后由接收单元所接收的信号来训练神经网络。即，神经网络可以借助随后在总线上传递的消息(这些消息被限定为未经篡改的消息)来学习相应参数的公差范围或针对相应发送式控制装置和必要时还针对相应环境影响的信号曲线本身的公差范围。

即，针对具有相应的在此连接的部件的相应车辆，在将安全装置安装在车辆中之后，安全装置通过训练来学习针对未经篡改的信号、或其参数或信号曲线的可接受的边界范围。

这可以实现进一步提高对经篡改的信号的识别，原因在于公差范围不必广泛地选择成使得这些公差范围可以被应用于任意车辆或某一车辆类型的所有车辆。

对应地可以提出的是，针对不同环境影响和/或不同控制器的不同信号利用多个训练数据组来训练神经网络，或者在安全装置中设置这样训练过的神经网络。

为了防止经篡改的信号操控车辆的功能，还可以设有防止实施单元。

这个防止实施单元可以被设计成用于：当所述评估单元将所述信号评估为经篡改的信号时，防止实施所述信号所预期的控制。换种方式表述，防止实施单元可以被设计为不实施信号可能触发的功能。

为此例如可以提出的是：防止实施单元使车辆的至少一个控制器(或还有多个或所有控制器)解除激活，从而使得无法实现对这些控制器的进一步的篡改。这例如可以通过将对应的信号发送到相应的其他控制器来实施。

相关的车辆包括上文提及的总线系统以及上文提及的安全装置。安全装置在此与总线系统相连接。另外的控制器(ecu)或还有车辆控制器(vehiclecontrolunit，vcu)或域ecu也可以与总线系统相连接。

一种用于识别车辆的总线系统上的篡改的相关的方法以对应的方式包括以下步骤：接收来自车辆的总线系统的信号；分析所述信号的信号状态之间的转变；以及基于分析步骤的结果将所述信号评估为经篡改的信号或未经篡改的信号。

附图说明

图1示出具有控制器和安全装置的总线系统。

图2示出安全装置及其部件。

图3示出具有上升边沿和下降边沿的信号曲线。

图4示出上升边沿和下降边沿的不同的信号曲线。

图5示出具有相关公差范围的信号曲线。

图6示出相关方法的流程图。

具体实施方式

图1示出车辆的具有相关的控制器和安全装置的总线系统(车辆总线)，例如can总线。控制器102a、和其他的装置，例如域ecu102b或车辆控制装置(vcu)102c，各自与总线101相连接。安全装置100以与其他的控制器102相对应的方式与总线101相连接。安全装置100因此可以监测或者拾取传递到总线101上的信号，并且使得所述信号经受针对经篡改的信号的分析。

这种安全装置的结构在图2中示出。安全装置200包括接收单元203，该接收单元接收来自总线系统、或车辆总线的数据(由单元203左侧的箭头展示)。接收单元随后将信号输出到分析单元204，该分析单元分析信号的信号状态之间的转变。分析结果随后被输出到评估单元205，该评估单元基于分析单元204的分析来执行将信号评估为经篡改的信号或未经篡改的信号。

现在会参照随后的图3和图4来描述数字信号的信号状态或信号电平(例如高和低)之间的转变的特征。

在图3中，在虚线范围内展示了数字信号的信号转变到低信号电平(即低)以及信号转变到高信号电平(即高)。这个信号转变(即上升边沿或下降边沿的信号曲线)被用于针对经篡改的信号进行分析。

在图4中示出了上升边沿的简化的图示。

如从图4可以看到的，转变持续时间(即上升时间)在图4a的情况下明显小于在图4b的情况下。如可以看到的，信号在图4a的情况下在时间点t1时已经处于高电平，然而在图4b的情况下在时间点t2时才处于高电平。

如果控制器与测量式安全装置相距更远，则可以假设：与控制器非常靠近安全装置的情况相比，所述边沿具有更长的上升时间或更长的转变持续时间。如已经描述的，还可以通过将另外的或其他的装置连接至总线而使所述边沿发生变化。因此如果已知，基于控制单元与安全装置的间距并且基于总线上的其他特征，控制单元的信号通常具有在图4b中已知的边沿，即例如作为参数具有转变时间t2-t0，则可以将呈图4a中所示出的具有较短的转变时间t1-t0的信号形式的、接收到的信号辨别为经篡改的信号。

在图5中示出了控制器的未经篡改的信号508的信号曲线、以及呈虚线507a和507b的形式的公差范围。如果在分析时得到转变的、落在线507a与507b之间的这个公差范围中的信号曲线，则这个信号被分类或者被评估为真实可信的或未经篡改的信号。然而如果例如接收到如信号506a或506b那样处于公差范围之外的信号，则评估单元基于分析将信号识别为并且对应地分类/评估为经篡改的信号。

如上文描述的，可以通过训练针对每个发送式控制器(即每个源)限定所示出的、在线507a与507b之间的公差范围。

图6示出用于识别车辆的总线系统上的篡改的相关方法的方法步骤。

首先，在步骤s1中，接收来自车辆的总线系统的信号。

随后，在步骤s2中，分析信号的信号状态之间的转变。

随后，在步骤s3中，基于分析步骤的结果将信号评估为经篡改的信号或未经篡改的信号。

上文限定的单元还可以被设计成呈软件的形式。接收单元、分析单元和评估单元还可以例如被形成在共用的单元(例如fpga)中。在此无需单元之间的结构分离。然而，这些单元自然还可以被设计成呈独立元件的形式。

附图标记清单

100，200安全装置

102a控制器

102b域ecu

102c车辆控制器，vcu

203接收单元

204分析单元

205评估单元

506a，506b经篡改的信号

507a，507b公差范围的界限

508未经篡改的信号