[发明专利]用于保护现场总线的方法和设备

说明书

一种用于保护现场总线（10）的方法（20），其特征在于如下特征：通过监控（21）所述现场总线（10）接收在所述现场总线（10）上传输的第一消息，寻找（22）针对所述第一消息定义的检验规则，如果找到（23）所述检验规则，则对所述第一消息就异常进行检验（24），以及如果识别出（25）所述异常，则传输（26）具有消息计数器的第二消息，使得基于有错误的顺序丢弃后续的消息。

技术领域

本发明涉及一种用于保护现场总线的方法。此外，本发明涉及相应的设备、相应的计算机程序以及相应的存储介质。

背景技术

在IT安全性方面，任何用于识别针对计算机系统或计算机网络的攻击的系统都被称作攻击识别系统（intrusion detection System（入侵检测系统））。尤其已知基于网络的IDS（NIDS），所述IDS对在要监控的网络段中的所有分组进行记录、分析并且根据已知的攻击模式报告可疑的活动。

WO2017042012A1公开了在车辆中的私有控制器区域网络（CAN），以便向未直接受攻击的电子控制单元（electronic control units，ECU）通知未授权的访问受攻击的ECU的尝试。在私有CAN上的每个ECU存储共同的经加密的非法入侵（Hacking）通知密钥和明确的标识码。如果第一车辆系统ECU识别出经由公共CAN的未经许可的访问尝试，则所述第一车辆系统ECU将警告消息经由封闭的私有CAN发送给其他ECU。

发明内容

本发明提供根据独立权利要求的用于保护现场总线的方法、相应的设备、相应的入侵防护系统（intrusion prevention System，IPS）以及存储介质。在此情况下从最广义上说如下任何IDS可以被理解为IPS，所述IDS除了对攻击的纯粹识别以外也采取用于防御攻击的措施。

所提出的方案在此情况下基于如下认识：车辆中的安全性不仅受所安装的系统和驾驶员影响。更确切地说，车辆日益变成第三方攻击的目标，所述第三方攻击干扰在车辆中的传感器、执行器和控制设备之间经由网络或总线系统、如CAN或FlexRay的通信。为了使对通信的这种干扰、尤其对驾驶员的安全性的负面影响最小化，可以使用不同的机制，以便识别失效或干扰并且对此作出反应。算作这些机制的是以硬件实现的措施、诸如在CAN协议中的循环冗余检验（cyclic redundancy check，CRC），循环冗余检验的失败触发否定接收应答（negative acknowledgment，NAK），使得有关的有用数据（payload（有效载荷））并不被进行检验的控制设备进一步处理。

相关的机制也以软件的形式可用，比如监控数据长度和周期时间，所述数据长度和周期时间通常在车辆中是固定定义的。根据监控的结果，必要时进行干预，所述干预例如在各个消息失效之后代替由接收器经由总线接收的有用数据使用替代值或虚拟数据（dummy），以便将车辆置于安全状态中。对于其内容可能危及车辆的安全性的消息，使消息内容增加附加信息、如CRC值和消息计数器（alive counters（活着的计数器）），所述附加信息可以由接收器监控并且针对所述附加消息以相同的方式开始诊断并且必要时应用替代值。

为了将来保护网络免受外部攻击或操纵，可以设想通过（加密）签名扩展消息内容，直至对消息的完整加密。

然而，这些措施需要更高的计算能力或更强的硬件支持并且不能由车辆中的任何执行器、传感器或控制设备实时地引入。

而在下文中所介绍的用于识别对车辆内部的通信的攻击的方法的优点在于其普遍的并且与其他控制设备的协作在很大程度上无关的可应用性。

通过在从属权利要求中列出的措施，在独立权利要求中所说明的基本思想的有利的改进和改善是可能的。

附图说明

本发明的实施例在附图中示出并且在随后的描述中予以更详细地解释。

图1示意性地示出具有根据第一实施方式的攻击识别系统的现场总线。