[发明专利]用于防止在CAN总线处的操纵的方法和装置

说明书

用于通过借助于CAN控制器连接到总线（12）上的第一节点（A）防止在CAN总线（12）处的操纵的方法（1），其特征在于如下特征：所述第一节点（A）的受保护的发送模块监控所述总线（12）；所述发送模块在所述第一节点（A）的正常运行中识别所述CAN控制器的发送过程；所述发送模块识别不同于正常运行地不容许地在所述总线（12）上发送的通知（10、11、20、21、30、31）；并且如果所述发送模块识别出所述通知（10、11、20、21、30、31），那么所述发送模块发起针对操纵所规定的应对措施。

技术领域

本发明涉及一种用于通过借助于CAN控制器连接到总线上的节点来防止在CAN总线处的操纵的方法。本发明此外涉及一种相对应的装置、一种相对应的计算机程序以及一种相对应的存储介质。

背景技术

根据现有技术，CAN通信网络由至少两个成员组成，所述至少两个成员可以通过CAN连接根据CAN规范来交换通知。每个总线成员都可以相对应地发送和接收通知。为了避免通信问题，在网络设计的时刻将明确的通知标志（object identifier（对象标志符），ID）分配给相应的总线成员。在接收方一侧，CAN硬件检查所传送的通知是否对应于CAN规范以及可以在有传输错误的情况下拒绝该通知。对有效通知的内容上的检查是应用软件的责任。

在US 8，799，520 B2中描述了一种用于运行总线系统、尤其是CAN总线的方法。多个站能连接到总线系统上。所传输的消息具有标志，其中一个特定的标志始终只允许被唯一的站使用。这些站中的每个站都将所传输的消息的标志与由该站自己使用的标志进行比较。在一致时生成错误报告。

发明内容

本发明提出了按照独立权利要求的一种用于通过借助于CAN控制器连接到总线上的第一节点防止在CAN总线处的操纵的方法、一种相对应的装置、一种相对应的计算机程序以及一种相对应的存储介质。

所描述的方法基于如下认识：每个总线成员都只使用所分配的通知标志并且借此可以明确地通过通知标志将所接收的通知分配给发送方。

在图1的示例中，成员A已经分配有具有标志10和11的通知，成员B分配有具有标志20和21的通知，而成员C分配有具有标志30和31的通知。如果成员B正确地接收到通知11，那么成员B的出发点是通知11由成员A发送。

借此，总线接收方不能确定该通知实际上是由谁发送的。攻击者可能对总线成员有损害，使得该总线成员能够发送总线处的其它成员的通知并且借此干扰一个或多个总线成员的通信或功能。在图2中，总线成员C曾受损害并且现在也发送节点A的通知11。节点B可以毫无困难地识别出通知11是由节点C而不是由节点A发送的。因为CAN总线是在所有通信成员之间共享的通信信道，所以在物理访问通信信道的前提下，通过附加的通信成员的集成而引起模拟攻击是可设想的。

所提出的方法的优点在于：通知的发送方观察在总线上的通信并且在识别出错误（例如另一总线成员刚好发送所监控的发送方的通知标志）的情况下可以在必要时借助于受保护的发送模块来使相对应的通知无效。

所描述的方法也可以被用于监控一定的CAN网络设计（比如通知频率和通知时间间隔，也包括其它总线成员的通知频率和通知时间间隔），以便在有异常的情况下在必要时以相对应的错误反应将通信网络置于安全状态下。

该做法尤其也可以与硬件安全模块（hardware security module，HSM）相关联地被用于利用标准CAN节点来监控正常的应用软件（ASW）的节点自身的发送通知。

该方法的优点还在于：可以以要（例如通过HSM）监控的CAN通知标志来对发送模块初始化。该发送模块可以在识别出“不容许的”通知时选择性地触发预先定义的错误反应。由于附加的发送模块，不需要改变符合标准的CAN模块，比如由罗伯特博世有限公司（Robert Bosch GmbH）在商品名称“M_CAN”下销售的那样。