ES2955391T3 - Interfaz de red protegida contra ataques - Google Patents

Interfaz de red protegida contra ataques Download PDF

Info

Publication number
ES2955391T3
ES2955391T3 ES19782474T ES19782474T ES2955391T3 ES 2955391 T3 ES2955391 T3 ES 2955391T3 ES 19782474 T ES19782474 T ES 19782474T ES 19782474 T ES19782474 T ES 19782474T ES 2955391 T3 ES2955391 T3 ES 2955391T3
Authority
ES
Spain
Prior art keywords
network interface
messages
program
network
sender
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES19782474T
Other languages
English (en)
Inventor
Helge Zinner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aumovio Germany GmbH
Original Assignee
Continental Automotive Technologies GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive Technologies GmbH filed Critical Continental Automotive Technologies GmbH
Application granted granted Critical
Publication of ES2955391T3 publication Critical patent/ES2955391T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/62Establishing a time schedule for servicing the requests
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Navigation (AREA)

Abstract

Interfaz de red (1) con una conexión de entrada (11), diseñada para recibir mensajes (2) de un primer dispositivo (21a) o primera red (22a), y una conexión de salida (12), que está diseñado para reenviar los mensajes (2) a un segundo dispositivo (21b) o segunda red (22b), en el que: se proporciona una memoria (13) para un horario (3); la interfaz de red (1) está diseñada para reenviar mensajes (2) a la conexión de salida (12) que llegan a la conexión de entrada (11) durante los horarios de apertura (31) definidos por el horario (3) y rechazar mensajes (2).) que llegan a la conexión de entrada (11) durante los horarios de cierre (32) definidos por el horario (3); y además, está prevista una unidad de configuración (14), que está diseñada para recibir un horario (3) definido por una unidad de control (4) como secreto común para la interfaz de red (1) y al menos un remitente (21a, 22a) de mensajes (2) y almacenarlo en la memoria (13), y/o negociar un horario (3) con al menos un remitente (21a, 22a) de mensajes (2) como secreto común. La invención también se refiere a un dispositivo de control (52a), un sistema de navegación (51), un sistema de entretenimiento (51b) y una red de a bordo (50) para un vehículo (5). Por último, la invención se refiere a un método operativo (100). (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Interfaz de red protegida contra ataques
La invención se refiere a una interfaz de red que está especialmente protegida contra la infiltración no autorizada de mensajes y, por lo tanto, es especialmente adecuada para redes Ethernet en vehículos.
Los documentos de patente US 2017/134937 A1 y US 2005/220017 A1 son técnica anterior relevante.
Las redes se han utilizado durante mucho tiempo para conectar aparatos de control, sensores y actores en un vehículo entre sí en lugar de conexiones individuales punto a punto para ahorrar costos y peso en el cableado. Para ello pasan a emplearse la mayoría de las veces sistemas de bus, tales como CAN, MOST y FlexRay. También se desea utilizar Ethernet en el futuro, que se ha establecido como patrón más común para redes fuera de los vehículos.
Una gran ventaja de redes de este tipo es que, en principio, se puede acceder a cualquier dispositivo desde todas las ubicaciones de la red. La desventaja es que las interferencias también puedan propagarse en la red y un mal funcionamiento aparentemente inofensivo puede convertirse en un problema crítico, por ejemplo, debido a una mera sobrecarga de la red, porque los mensajes críticos para la seguridad del vehículo ya no pueden transportarse a tiempo. Por lo tanto, el documento EP 3166255 A1 da a conocer un procedimiento para procesar tráfico de datos de tiempo crítico en una red, en el que los paquetes de datos que llegan fuera de un período de tiempo preasignado se descartan sin mirar su contenido. De esta forma se garantiza que los datos que llegan en el momento equivocado no impidan la transmisión de otros datos importantes.
La invención proporciona una interfaz de red. Esta interfaz de red presenta un puerto de entrada que está diseñado para recibir mensajes de un primer dispositivo o primera red. La interfaz de red presenta también un puerto de salida, que está configurado para reenviar mensajes a un segundo dispositivo o una segunda red. Por lo tanto, la interfaz de red puede integrarse, por ejemplo, en un dispositivo de control, sensor o actor, para conectar estos componentes a una red de vehículos. Sin embargo, la interfaz de red también se puede instalar, por ejemplo, en un dispositivo de la infraestructura de red tal como, por ejemplo, un conmutador o un router.
La interfaz de red presenta, además, una memoria para un programa y está configurada para reenviar mensajes entrantes al puerto de salida durante las horas de apertura definidas por el programa en el puerto de entrada y para descartar los mensajes entrantes en el puerto de entrada durante las horas de cierre definidas por el programa.
Adicionalmente, se proporciona una unidad de configuración, la cual está configurada para recibir y almacenar en la memoria un programa definido por una unidad de control como un secreto común para la interfaz de red y al menos un remitente de mensajes, y/o para negociar un programa con al menos un remitente de mensajes como un secreto común.
En este caso, la expresión "secreto común" significa, en particular, que el programa generalmente no se conoce en la red y que los tiempos compartidos de los programas de apertura y cierre se seleccionan de tal manera que es suficientemente improbable que el programa o un programa de apertura contenidos en el mismo se descubra simplemente probándolo. Por ejemplo, si cada segundo impar (o milisegundo) fuera un tiempo de apertura y cada segundo par (o milisegundo) fuera un tiempo de cierre, un paquete de datos enviado a la interfaz de red en un tiempo aleatorio tendría un 50 % de posibilidades de ser aceptado. Si el tiempo de apertura es de solo un milisegundo por segundo, esta probabilidad se reduce a 0,1 %.
Se reconoció que de esta manera la interfaz de red puede protegerse contra la infiltración de mensajes enviados no autorizados con poco esfuerzo. Varias fuentes son concebibles para mensajes no autorizados de este tipo en un vehículo. Por ejemplo, se puede conectar un dispositivo adicional a la red tal como, por ejemplo, interfiriendo físicamente en una conexión de cable, usando un puerto todavía libre en un distribuidor (por ejemplo un puente), usando el acceso de diagnóstico o reemplazando un dispositivo que no se necesita en este momento por un dispositivo no autorizado. Un dispositivo en la red que está autorizado per se también puede estar infectado con un malware (software malicioso), por ejemplo, lo que hace que envíe mensajes adicionales en momentos distintos a los realmente previstos.
Además, siempre que haya varios dominios de seguridad y estos no estén físicamente desacoplados entre sí, existe en principio el riesgo de que mensajes de un dominio de seguridad menos fiable (por ejemplo, un dominio al que pertenece un sistema de infoentretenimiento en red) se introduzcan en un dominio de seguridad fiable y que es importante para el funcionamiento del vehículo (por ejemplo, un dominio al que pertenece una unidad de control para la conducción autónoma). Los puntos de ataque a este respecto son, por ejemplo, componentes de red o aparatos que están conectados a ambos dominios de seguridad al mismo tiempo.
En todos estos casos, el atacante desconoce los programas de apertura. Por lo tanto, no le sirve de nada introducir los mensajes en la red de alguna manera, porque serán descartados por la interfaz de red. En particular, este descarte puede tener lugar simplemente por el tiempo de transmisión incorrecto sin mirar el contenido, lo que es particularmente ventajoso desde una perspectiva de seguridad: si en virtud del tiempo de transmisión incorrecto se tenga que contar con que el contenido del mensaje sea malicioso, entonces cada procesamiento de este contenido alberga el riesgo de que el malware contenido en este contenido imponga su voluntad en la lógica de procesamiento a través de desbordamientos de búfer, mensajes mal formulados deliberadamente y técnicas de ataque similares. Si no se lleva a cabo un procesamiento de este tipo, los ataques quedarán en nada.
Descartar los mensajes sin procesar el contenido también se puede realizar rápidamente y en hardware sin que con ello se puedan agotar los recursos limitados (como, por ejemplo, el máximo número posible de mensajes que se procesan al mismo tiempo) en el sentido de un ataque de "denegación de servicio".
Además, se puede detectar el intercambio completo no autorizado de un participante de la red por otro dispositivo y se pueden bloquear los mensajes de este otro dispositivo. Por ejemplo, los inmovilizadores antirrobo implementados hasta ahora en los dispositivos de control del motor se eluden reemplazando todo el dispositivo de control por un dispositivo de control manipulado que permite arrancar el vehículo también sin la llave original. Si, por ejemplo, al ensamblar los dispositivos para un vehículo concreto con una unidad de control, se establece un programa como un secreto, que la unidad de control del motor y los dispositivos y actores a los que debe responder conocen, entonces este secreto falta en un dispositivo de control del motor empleado sin autorización. Como resultado, los mensajes enviados por el dispositivo de control del motor falso en el momento equivocado se descartan, de modo que el motor de arranque, por ejemplo, ignora el comando para activarlo.
En principio, el mismo o un mayor nivel de seguridad también podría lograrse únicamente asegurando criptográficamente la comunicación. Sin embargo, esto requiere mucha más potencia de cálculo, que no siempre está disponible en los dispositivos de control de vehículos y otros sistemas integrados. Además, cada mensaje primero debe procesarse y verificarse criptográficamente, lo que crea nuevos puntos de ataque. Como mínimo, el atacante tiene la oportunidad de presentar mensajes al software criptográfico de privilegios elevados. Por ejemplo, podría intentar colapsar el software criptográfico o incluso imponer su voluntad formateando deliberadamente mensajes que no se ajustan a la especificación.
Las horas de cierre no están disponibles para aceptar mensajes, lo que reduce correspondientemente el ancho de banda disponible promediado sobre el tiempo total, incluidas todas las horas de apertura y todas las horas de cierre. La división del tiempo total en tiempos de apertura y tiempos de cierre se basa por consiguiente, por un lado, en el ancho de banda y el tiempo de latencia deseados y, por otro lado, en la duración de los mensajes a transmitir. Así, por ejemplo, los paquetes de datos más grandes deben transmitirse en una red Ethernet cuando se deben transmitir datos de gran volumen tales como datos de video o actualizaciones de software.
Por lo tanto, en una ejecución ventajosa, los distintos tiempos de apertura en el programa tienen una duración máxima de 150 gis y están separados entre sí por tiempos de cierre de al menos 1 ms. Esto representa un compromiso viable entre el nivel de seguridad, el ancho de banda y el tiempo de latencia para muchas aplicaciones de vehículos.
En una ejecución particularmente ventajosa, la interfaz de red comprende al menos un elemento de conmutación eléctrico u óptico, que conmuta un camino eléctrico u óptico de señales presentadas en el puerto de entrada para que sea físicamente permeable durante las horas de apertura y físicamente impermeable durante las horas de cierre. Se puede utilizar un transistor, por ejemplo, como elemento de conmutación eléctrico, que puede activar y desactivar, por ejemplo, el camino eléctrico o una fuente de luz para el camino óptico. Por ejemplo, un espejo MEMS que se puede insertar en el camino óptico puede servir como elemento de conmutación óptico. La interrupción física del camino eléctrico u óptico en las horas de cierre no podrá ser anulada por ningún contenido malicioso que pueda contener el mensaje.
Esto se aplica, en particular, a otra ejecución particularmente ventajosa en la que al menos un elemento de conmutación eléctrico u óptico está conectado entre el puerto de entrada y un demodulador que decodifica mensajes de las señales. Una interrupción por parte del elemento de conmutación tiene entonces como consecuencia inmediata que el posible mensaje malicioso no se decodifica y este contenido malicioso permanece inaccesible.
En otra ejecución particularmente ventajosa, la unidad de configuración está diseñada para negociar el programa utilizando un protocolo criptográfico de clave pública. Por ejemplo, se puede realizar un intercambio de claves Diffie-Hellman entre la unidad de configuración y un remitente del que se deben recibir los mensajes, lo que desemboca en la generación de la programación como un secreto compartido. Luego, los dispositivos se autentican entre sí demostrando que cada uno tiene la clave privada de una clave pública que el socio ha clasificado como fiable.
De esta forma, la confianza mutua entre dispositivos se puede organizar de forma descentralizada. Por ejemplo, dos dispositivos que van juntos se pueden entregar de fábrica en un estado en el que sus claves públicas se reconozcan mutuamente como fiables. Luego puede negociar un cronograma inmediatamente después de conectarse a la red sin más configuración manual, independientemente de qué otros dispositivos estén presentes en la red. Además, por ejemplo, se puede autorizar selectivamente un nuevo dispositivo para que se comunique solo con otros determinados dispositivos.
Está previsto un detector que está configurado para detectar intentos de entregar mensajes al puerto de entrada durante las horas de cierre. Mensajes de este tipo pueden indicar errores en la red y, particularmente si persisten, apuntar a un ataque o reemplazo no autorizado de un dispositivo. Dependiendo de cuán detallada deba ser la retroalimentación del detector, el detector puede equiparse con más o menos funcionalidad e implementarse en hardware y/o software.
Si, por ejemplo, solo se trata de reconocer y reaccionar ante una aparición continua de mensajes durante las horas de cierre, entonces puede ser suficiente registrar si se aplica luz o tensión eléctrica al puerto de entrada durante las horas de cierre. Entonces se puede determinar una exposición a mensajes durante las horas de cierre por encima de un umbral de tolerancia específico, por ejemplo, cargando un condensador con la luz o bien con la tensión. Si el estado de carga de este condensador supera un valor umbral predeterminado, se puede reconocer que se ha producido un ataque. En el caso de un procesamiento digital, cada mensaje que llega durante una hora de cierre puede, por ejemplo, incrementar un contador.
Si, por el contrario, se deben recopilar informaciones más detalladas y posiblemente también se deba determinar la fuente de los mensajes que llegan durante las horas de cierre, entonces se pueden decodificar los mensajes, o al menos sus encabezados. Para ello se puede pasar a emplear, por ejemplo, un descodificador de software. También se puede usar, por ejemplo, un circuito de decodificación hecho de ASIC8 u otros circuitos que no se pueden cambiar en tiempo de ejecución, por ejemplo, para decodificar, por una parte, la información deseada y no ser susceptible de que el malware corrompa el proceso de decodificación por otra parte.
La unidad de configuración está configurada adicionalmente para solicitar un nuevo programa de la unidad de configuración en respuesta a uno o más intentos reconocidos por el detector, y/o para negociar un nuevo programa con el al menos un remitente de mensajes, y/o para informar un intento de manipulación a través de una salida de alarma.
Reemplazar el programa actual por un programa nuevo cumple el propósito de hacer que sea más difícil encontrar el programa, o también programas de apertura individuales de este programa, a través de pruebas sistemáticas. Antes de que las pruebas y el error conduzca al éxito con una probabilidad suficiente, el programa buscado ya ha sido reemplazado por uno nuevo y todas las pruebas y el error debe comenzar desde el principio.
El informe de intentos de manipulación a través de una salida de alarma se puede utilizar, por ejemplo, para iniciar contramedidas, tales como, por ejemplo, desactivar o reiniciar dispositivos o, por ejemplo, bloquear mensajes de redes externas a través de un firewall.
Según lo descrito anteriormente, al menos el puerto de entrada está configurado para conectarse a una red Ethernet. Como se explicó anteriormente, esto puede fomentar el uso de redes Ethernet como redes a bordo de vehículos, al menos indirectamente: la mayor seguridad contra mensajes no autorizados introducidos hace que se reduzca claramente el riesgo de seguridad abstracto inicialmente provocado por la libre disponibilidad de conocimiento y componentes para acceder a redes Ethernet.
Por lo tanto, la invención también se refiere a una dispositivo de control, sistema de navegación o sistema de entretenimiento para un vehículo, estando previsto al menos un ejemplar de la interfaz de red descrita anteriormente para la conexión a una red a bordo del vehículo.
En otra ejecución especialmente ventajosa está previsto un circuito de seguridad que puede conectarse con la salida de alarma de la interfaz de red. El circuito de seguridad está configurado para bloquear la funcionalidad de un dispositivo de control, un sistema de navegación y/o un sistema de entretenimiento, bloquear un inmovilizador del vehículo y/o activar un sistema de dirección, un sistema de conducción y/o en respuesta a la notificación de un intento de manipulación a través del sistema de frenado de salida de alarma del vehículo para retirar el vehículo del flujo de tráfico.
Por ejemplo, un sistema de navegación o un sistema de entretenimiento se puede diseñar de tal manera que solo funcione si recibe mensajes de una unidad de control del vehículo a ciertos intervalos. En este caso, estos mensajes solo son aceptados por la interfaz de red del sistema de navegación o del sistema de entretenimiento si llegan durante el programa de apertura de un programa secreto. Si estos mensajes ya no llegan, o bien si los mensajes solo llegan durante las horas de cierre, esto puede interpretarse como una señal de que el sistema de navegación o el sistema de entretenimiento se ha separado de su vehículo de origen original y se ha trasplantado a otro vehículo. Si esto sucede sin ajustar también el programa de la interfaz de red, esto puede tomarse como una indicación de que el sistema de navegación o el sistema de entretenimiento han sido robados de su vehículo. Entonces, el sistema puede quedar inutilizable por el momento, por ejemplo, bloqueando su firmware o quemando un componente necesario para su funcionamiento, y en este estado no tiene ningún valor para un ladrón.
El inmovilizador antirrobo también se puede asegurar de manera similar. Por ejemplo, una unidad que ejerza el efecto físico del inmovilizador antirrobo y, por ejemplo, bloquee los frenos o corte el suministro de combustible, y/u otro subgrupo necesario para arrancar el vehículo tal como, por ejemplo, el motor de arranque o una bomba para aumentar la presión hidráulica en la transmisión automática, puede estar conectado al dispositivo de control del motor del vehículo a través de la red de a bordo del vehículo y solo aceptar comandos dentro de ciertos programas de apertura. Si el vehículo se retira del tráfico público, esto puede suceder, por ejemplo, a través de una trayectoria de emergencia, tal como está almacenada en el dispositivo de control ESP en vehículos al menos parcialmente automatizados.
Según lo descrito anteriormente, la invención también se refiere a una red de a bordo para un vehículo. Esta red de a bordo de vehículos comprende al menos un primer dominio de seguridad y un segundo dominio de seguridad, en donde el segundo dominio de seguridad comprende participantes a los que se les asigna un nivel de confianza más alto que los participantes en el primer dominio de seguridad, y/o el segundo dominio de seguridad comprende participantes que controlan o supervisan funciones importantes para la seguridad del vehículo en su conjunto. La red de a bordo incluye al menos un ejemplar de la interfaz de red descrita, cuyo puerto de entrada está conectado con el primer dominio de seguridad y en donde el puerto de salida de la interfaz de red está conectado con el segundo dominio de seguridad.
De esta forma, el envío de mensajes desde el primer dominio de seguridad al segundo dominio de seguridad se puede restringir a los participantes que conocen el programa de la interfaz de red. El control del flujo de información con ayuda del cronograma puede, por ejemplo, centrarse en la transición entre los dos dominios de seguridad, mientras que los cronogramas no tienen que mantenerse y vigilarse necesariamente dentro de los respectivos dominios de seguridad. De esta manera se puede evitar, por ejemplo, que se produzcan fallos de funcionamiento posiblemente esporádicos debido a mensajes descartados debido a la desviación de los relojes de los diferentes participantes de la red.
Otra posibilidad para subdividir redes en zonas de seguridad o bien grupos de seguridad la proporciona un procedimiento para hacer funcionar la interfaz de red descrita anteriormente o bien la red de a bordo descrita anteriormente. En el caso de este procedimiento, una misma interfaz de red utiliza diferentes programas para los mensajes que llegan de al menos dos o más remitentes diferentes. Cambiando o borrando uno de estos programas, la posibilidad de entregar mensajes a través de la interfaz de red puede entonces retirarse de forma selectiva a ciertos abonados o grupos de abonados. Por ejemplo, los participantes que usan el mismo programa para enviar a la misma interfaz de red también pueden usar este programa para comunicarse entre sí.
Ventajosamente, al menos un remitente de mensajes realiza una autenticación con respecto a la unidad de configuración y/o con respecto a la unidad de control. La decisión de qué programa utilizar como secreto compartido entre el remitente y la interfaz de red depende del éxito de la autenticación. Por ejemplo, se puede especificar que cuando un remitente se autentica y se reconoce como ser digno de confianza, se usa un programa que se usó en último lugar, mientras que se usa un nuevo programa separado para los participantes en la comunicación no autenticados y/o que no son dignos de confianza.
Por consiguiente, la decisión sobre qué programa se utiliza como secreto compartido del remitente y la interfaz de red depende ventajosamente también de un estado de confianza del remitente en la unidad de configuración y/o en la unidad de control. De esta manera, en particular, los derechos de acceso de los interlocutores de comunicación menos fiables pueden restringirse al máximo y, si es necesario, revocarse selectivamente sin que el tráfico de datos reconocido como fiable sea bloqueado al mismo tiempo. Si bien los programas de apertura dentro del programa son preferiblemente cortos, por ejemplo, menos de 50 ps para transmisiones de volumen no demasiado grande a través de Ethernet de 100 Mbit/s, el programa en su conjunto puede extenderse por períodos de segundos a horas. El programa también se puede repetir cíclicamente. La unidad de configuración y/o la unidad de control transmite ventajosamente al remitente de mensajes el momento en el que comienza a correr el programa. De esta manera, se puede garantizar que el remitente esté sincronizado con la interfaz de red receptora, mientras que al mismo tiempo la mera hora de inicio del programa no revela ningún secreto y, por lo tanto, también se puede enviar abiertamente a través de la red.
Si bien muchas de las formas de realización descritas aportan seguridad adicional mediante el uso de un hardware adicional, la funcionalidad de la interfaz de red descrita, una funcionalidad posterior de un dispositivo de control, sistema de navegación o sistema de entretenimiento que hace uso de la presencia de esta interfaz de red, así como también la funcionalidad del procedimiento descrito puede estar parcialmente implementado en el software. Este software se puede comercializar, por ejemplo, como una actualización o mejora que interactúa con el hardware ya existente. Por lo tanto, la invención también se refiere a un elemento de programa con instrucciones legibles por máquina que,
• cuando se ejecutan en un sistema integrado de una interfaz de red, actualizan la interfaz de red a la interfaz de red descrita;
• cuando se ejecutan en un dispositivo de control, sistema de navegación o sistema de entretenimiento, actualizan el dispositivo de control, el sistema de navegación o el sistema de entretenimiento al dispositivo de control, sistema de navegación o sistema de entretenimiento descritos; y
• cuando se ejecutan en una o más computadoras, dispositivos de control o sistemas integrados, provocan que las computadoras, los dispositivos de control o los sistemas integrados lleven a cabo el procedimiento descrito.
Asimismo, la invención se refiere a un soporte de datos legible por máquina o a un producto de descarga con el elemento de programa.
El objeto de la invención se explica a continuación con referencia a las Figuras, sin que por ello se limite el objeto de la invención. Muestran:
la Figura 1: un ejemplo de realización de la interfaz de red 1;
la Figura 2: Efecto a modo de ejemplo del programa 3;
la Figura 3: uso a modo de ejemplo de la interfaz de red 1 en un vehículo 5 con una red 50;
la Figura 4: ejemplo de realización del procedimiento 100.
Según la Figura 1, la interfaz de red 1 tiene un puerto de entrada 11, a través del cual recibe mensajes 2 de un primer dispositivo 21a o de una primera red 22a. Los mensajes 2 están inicialmente presentes en el puerto de entrada 11 como señales eléctricas u ópticas 2a. A partir de esto, los mensajes 2 primero deben decodificarse con un demodulador 17 antes de que su contenido pueda procesarse adicionalmente. Los mensajes decodificados 2 se enrutan desde el demodulador 17 al puerto de salida 12 de la interfaz de red 1. Desde allí, los mensajes 2 llegan a sus destinatarios, aquí a modo de ejemplo un segundo dispositivo 21b o una segunda red 22b.
Un elemento de conmutación 16 eléctrico u óptico está conectado en el camino 15 eléctrico u óptico entre el puerto de entrada 11 y el demodulador 17. Este elemento de conmutación 16 se controla con ayuda de un programa 3 que está almacenado en una memoria 13 de la interfaz de red 1. Durante las horas de apertura 31 del programa 3, el elemento de conmutación 16 se conmuta para que sea permeable a las señales 2a. En las horas de cierre 32 del programa 3, el elemento de conmutación 16 se conmuta impermeable a las señales 2a. Así, en efecto, los mensajes 2 que llegan durante las horas de apertura 31 del programa 3 se reenvían a sus destinatarios 21b, 22b, mientras que los mensajes 2 que llegan durante las horas de cierre 32 del programa 3 se descartan. Los mensajes 2 descartados ni siquiera llegan al demodulador 17 y, por lo tanto, ni siquiera son decodificados en primer lugar, por lo que no existe la posibilidad de imponer la voluntad de un atacante en cualquier componente de la interfaz de red 1 utilizando malware de cualquier tipo en un mensaje 2.
Esta seguridad se basa en el hecho de que el programa 3 es un secreto compartido de la interfaz de red 1 por un lado y los remitentes autorizados 21a, 22a por otro lado. En la Figura 1 se representan dos posibilidades a modo de ejemplo de cómo se puede conseguir el estado en el que el secreto común esté presente tanto en el primer dispositivo 21a como en la interfaz de red 1. La unidad de configuración 14 de la interfaz de red 1 puede negociar el programa 3 directamente con el primer dispositivo 21a, por ejemplo a través de un protocolo de clave pública. Sin embargo, el programa también puede ser transmitido, por ejemplo, por una unidad de control 4 tanto al primer dispositivo 21a como también a la unidad de configuración 14. En este caso, la unidad de control 4 puede estar situada fuera de la interfaz de red 1, como se muestra a modo de ejemplo en la Figura 1. Sin embargo, la unidad de control 4 también puede ubicarse dentro de la interfaz de red 1.
También está previsto un detector 18 en la interfaz de red 1, que es informado sobre los tiempos de cierre 32 y comprueba si llegan mensajes 2 al puerto de entrada 11 durante este tiempo (es decir, si allí hay señales 2a). Si es este el caso, un intento de manipulación se puede informar a través de la salida de alarma 19. Este mensaje puede, por ejemplo, ser procesado adicionalmente por un circuito de seguridad 53 aguas abajo y puede desencadenar acciones para contener los efectos del ataque.
La Figura 2 muestra esquemáticamente cómo se pueden rechazar los ataques con el programa 3. Un mensaje malicioso 2' de un remitente desconocido, simbolizado por el signo de interrogación, que no conoce el programa 3, llega con alta probabilidad durante una hora de cierre 32 y no se reenvía al destinatario 21 b, 22b. Un mensaje benigno 2 de un remitente 21a, 22a autorizado, por el contrario, llega durante un tiempo de apertura 31 y llega al destinatario 21b, 22b.
La Figura 3 muestra la aplicación a modo de ejemplo de la interfaz de red 1 en una red de a bordo 50 de un vehículo 5. La red de a bordo 50 se divide en dos dominios de seguridad 51 y 52 en este ejemplo. Los sistemas menos críticos tales como aquí, por ejemplo, un sistema de navegación 51a y un sistema de entretenimiento 51 b, están ubicados en el primer dominio de seguridad 51 menos digno de confianza. Al mismo tiempo, estos sistemas son relativamente vulnerables a los ataques, porque típicamente aceptan la entrada del usuario o también datos digitales (por ejemplo, mapas de carreteras o archivos multimedia). Los sistemas que son importantes para la seguridad del vehículo, tales como aquí, por ejemplo, un dispositivo de control 52a y un inmovilizador antirrobo 52b, se encuentran en el segundo dominio de seguridad 52 más digno de confianza. El tráfico de datos del primer dominio de seguridad 51 al segundo dominio de seguridad 52 solo es posible a través de la interfaz de red 1. La interfaz de red 1 está conectada al primer dominio de seguridad 1 con su puerto de entrada 11 y al segundo dominio de seguridad 52 con su puerto de salida 12.
Ahora se puede prever, por ejemplo, que determinados mensajes 2 se transmitan desde el primer dominio de seguridad 51 al segundo dominio de seguridad 52. Por ejemplo, los sistemas de asistencia al conductor se benefician de ser informados por el sistema de navegación 51a sobre qué ruta ha planificado el conductor del vehículo 5. También es posible introducir, por ejemplo, a través de los elementos de mando del sistema de entretenimiento 51b, que la transmisión automática solo debe cambiar a la tercera marcha para que el freno del motor pueda usarse en una pendiente cuesta abajo. Estos mensajes 2 autorizados llegan durante los horarios de apertura 31 del programa 3 almacenado en la memoria 13 de la interfaz de red 1 y son reenviados a sus respectivos destinatarios.
Por el contrario, si el sistema de navegación 51a o el sistema de entretenimiento 51b están comprometidos con un malware, o si un atacante se crea acceso al primer dominio de seguridad 51 de alguna otra forma, existe una alta probabilidad de que los mensajes enviados sin autorización (2' en la Figura 2) lleguen durante las horas de cierre 32 y no serán reenviados. En su lugar, la aparición de mensajes 2' de este tipo se puede informar al circuito de seguridad 53 del dispositivo de control 52a a través de la salida de alarma 19 de la interfaz de red 1. El circuito de seguridad 53 puede entonces, por ejemplo, bloquear la funcionalidad del sistema de navegación 51a o del sistema de entretenimiento 51b o, por ejemplo, bloquear el inmovilizador antirrobo 52a. Además, el circuito de seguridad 53 puede, por ejemplo, retirar el vehículo 5 del flujo de tráfico activando el sistema de dirección 54, el sistema de conducción 55 y/o el sistema de frenado 56.
La Figura 4 muestra un ejemplo de realización del procedimiento 100. En la etapa 110, diferentes remitentes 21a, 22a de mensajes 2 realizan una autenticación 21a1 o bien 22a1 con respecto a la unidad de configuración 14 y/o con respecto a la unidad de control 4. En la etapa 120 se determina además el estado de confianza 21a2 o bien 22a2 de los remitentes 21a y 22a. Esto se usa junto con el resultado de la autenticación 21a1 o bien 22a1 respectiva para la decisión 130 sobre qué programas 3, 3a, 3b se asignan en cada caso a los remitentes 21a y 22a.
Los programas 3, 3a, 3b asignados se transmiten en la etapa 140 a los remitentes 21a, 22a correspondientes. En el ejemplo mostrado en la Figura 4, al primer remitente 21a se le asigna el programa 3a y al segundo remitente 22a se le asigna el programa 3b. Además, a los remitentes 21a y 22a se les informa en la etapa 150 de la respectiva hora de inicio 3a1 o bien 3b1 del respectivo programa 3a o 3b. Este programa de inicio 3a1 o bien 3b1 no es idéntico al comienzo de la respectiva primera hora de apertura 31, es decir, ambos programas 3a, 3b comienzan en cada caso con un horario de cierre 32.
Lista de símbolos de referencia
1
interfaz de red
11
puerto de entrada de la interfaz de red 1
12
conexión de salida de la interfaz de red 1
13
memoria de la interfaz de red 1
14
unidad de configuración de la interfaz de red 1
15
camino de la señal 2a al demodulador 17
16
elemento de conmutación eléctrico u óptico en el camino 15
17
demodulador, extrae el mensaje 2 de la señal 2a
18
detector para los mensajes 2 durante la hora de cierre 32
19
salida de alarma de la interfaz de red 1
2
mensaje
2'
mensaje malicioso
21a
primer dispositivo, primer remitente
21a1
autenticación del primer remitente 21a
21a2
estado de confianza del primer remitente 21a
22a
primera red, segundo remitente
22a1
autenticación del segundo remitente 22a
22a2
estado de confianza del segundo remitente 22a
21b
segundo dispositivo, primer receptor
22b
segunda red, segundo receptor
3
programa
3a, 3b
programas diferentes para remitentes 21a, 22a
3a1
horario de apertura del programa 3a
3b1
horario de apertura del programa 3b
horario de apertura en el programa 3, 3a, 3b
horario de cierre en en el programa 3, 3a, 3b
unidad de control
vehículo
red de a bordo del vehículo 5
primer dominio de seguridad de la red de a bordo 50
a
sistema de navegación en el primer dominio de seguridad 51 b
sistema de entretenimiento en el primer dominio de seguridad 51 a
dispositivo de control en el segundo dominio de seguridad 52 b
inmovilizador antirrobo en el segundo dominio de seguridad 52
segundo dominio de seguridad de la red de a bordo 50
circuito de seguridad
sistema de dirección del vehículo 5
sistema de conducción del vehículo 5
sistema de frenado del vehículo 5
0
procedimiento
0
realización de la autenticación 21a1,22a1
120
determinación del estado de confianza 21a2, 22a2
130
decisión sobre el programa 3, 3a, 3b
140
Aplicar el programa 3a, 3b
150
transmisión de los horarios de inicio 3a1, 3b1

Claims (15)

REIVINDICACIONES
1. Interfaz de red (1) con un puerto de entrada (11) que está configurado para recibir mensajes (2) de un primer dispositivo (21 a) o primera red (22a), y un puerto de salida (12) que está configurado para reenviar los mensajes (2) a un segundo dispositivo (21 b) o segunda red (22b), en donde está prevista una memoria (13) para un programa (3), en donde la interfaz de red (1) está configurada para reenviar, durante los horarios de apertura (31) definidos por el programa (3) mensajes (2) entrantes en el puerto de entrada (11) al puerto de salida (12) y durante los horarios de cierre (32) definidos por el programa (3) en el puerto de entrada (11) descartar mensajes (2) entrantes, en donde adicionalmente está prevista una unidad de configuración (14), que está configurada para recibir por una unidad de control (4) como un secreto compartido para la interfaz de red (1) y al menos un remitente (21a, 22a) un programa (3) establecido de mensajes (2) y almacenar en la memoria (13) y/o para negociar un programa (3) con al menos un remitente (21a, 22a) de mensajes (2) como un secreto compartido,
caracterizado por que
está previsto un detector (18) que está configurado para detectar intentos de entregar durante los horarios de cierre (32) mensajes (2) al puerto de entrada (11),
en donde la unidad de configuración (14) está configurada adicionalmente para solicitar un nuevo programa (3) de la unidad de configuración (14) en respuesta a uno o más intentos reconocidos por el detector (18), y/o para negociar un nuevo programa (3) con el al menos un remitente (21a, 22a) de mensajes (2), y/o para informar un intento de manipulación a través de una salida de alarma (19).
2. Interfaz de red (1) según la reivindicación 1, que comprende al menos un elemento de conmutación (16) eléctrico u óptico, que conmuta un camino (15) eléctrico u óptico de señales (2a) presentadas en el puerto de entrada (11) para que sea físicamente permeable durante los horarios de apertura (31) y físicamente impermeable durante los horarios de cierre (32).
3. Interfaz de red (1) según la reivindicación 2, en donde al menos un elemento de conmutación (16) eléctrico u óptico está conectado entre el puerto de entrada (11) y un demodulador (17) que decodifica mensajes (2) de las señales (2a).
4. Interfaz de red (1) según una de las reivindicaciones 1 a 3, en donde la unidad de configuración (14) está configurada para negociar el horario (3) con un protocolo criptográfico de clave pública.
5. Interfaz de red (1) según una de las reivindicaciones 1 a 4, en donde los distintos tiempos de apertura (31) en el programa (3) son como máximo de 150 gs y están separados entre sí por horarios de cierre (32) de al menos 1 ms duración.
6. Interfaz de red (1) según una de las reivindicaciones 1 a 5, en donde al menos el puerto de entrada (11) está configurado para la conexión a una red Ethernet.
7. Dispositivo de control (52a), sistema de navegación (51a) o sistema de entretenimiento (51b) para un vehículo (5), que comprende al menos una interfaz de red (1) según una de las reivindicaciones 1 a 6 para la conexión con una red de a bordo del vehículo.
8. Dispositivo de control (52a), sistema de navegación (51 a) o sistema de entretenimiento (51 b) según la reivindicación 7, que comprende un circuito de seguridad (53) conectable a la salida de alarma (19) de la interfaz de red (1), en donde el circuito de seguridad (53) está configurado para bloquear, en respuesta a la notificación de un intento de manipulación a través de la salida de alarma (19), la funcionalidad de un dispositivo de control (51a), un sistema de navegación (51 a) y/o un sistema de entretenimiento (51 b), para bloquear un inmovilizador antirrobo (52b) del vehículo (5) en y/o para retirar el vehículo (5) del flujo de tráfico mediante el control de un sistema de dirección (54), sistema de conducción (55) y/o sistema de frenado ( 56) del vehículo (5).
9. Red de a bordo (50) para un vehículo (5), que comprende al menos un primer dominio de seguridad (51) y un segundo dominio de seguridad (52), en donde el segundo dominio de seguridad (52) comprende un participante (52a, 52b), al cual se le asigna una mayor fiabilidad que a los participantes (51a, 51b) del primer dominio de seguridad (51), y/o en donde el segundo dominio de seguridad (52) comprende participantes (52a, 52b) que controlan o vigilan funciones importantes para la seguridad del vehículo (5) en su conjunto, en donde la red de a bordo (50) comprende al menos una interfaz de red (1) según una de las reivindicaciones 1 a 6, que está conectada al primer dominio de seguridad (51) a través de su puerto de entrada (11) y al segundo dominio de seguridad (52) a través de su puerto de salida (12).
10. Procedimiento (100) para hacer funcionar una interfaz de red (1) según una de las reivindicaciones 1 a 6 o una red de a bordo (50) según la reivindicación 9, en donde una y la misma interfaz de red (1) para mensajes (2) que entran de al menos dos remitentes (21a, 22a) diferentes, se utilizan diferentes programas (3, 3a, 3b) (140).
11. Procedimiento (100) según la reivindicación 10, en el que al menos un remitente (21 a, 22a) de mensajes (2) realiza (110) una autenticación (21a1, 22a1) con respecto a la unidad de configuración (14) y/o con respecto a la unidad de control (4) y en donde la decisión (130) sobre qué programa (3, 3a, 3b) se utiliza como secreto compartido del remitente (21 a, 22a) y la interfaz de red (1) (140) depende del éxito de la autenticación (110).
12. Procedimiento (100) según la reivindicación 11, en el que la decisión (130) de qué horario (3, 3a, 3b) se usa (140) como un secreto compartido del remitente (21a, 22a) y de la interfaz de red (1) depende (120) además de un estado de confianza (21a2, 22a2) del remitente (21a, 22a) en la unidad de configuración (14) y/o en la unidad de control (4).
13. Procedimiento (100) según una de las reivindicaciones 10 a 12, en el que la unidad de configuración (14) y/o la unidad de control (4) transmite (150) al remitente (21a, 22a) de mensajes (2) el momento (3a1, 3b1) a partir del cual comienza a correr el programa (3, 3a, 3b).
14. Elemento de programa que contiene instrucciones legibles por la máquina que,
• cuando se ejecuta en un sistema integrado de una interfaz de red (1), evalúan la interfaz de red (1) a una interfaz de red (1) según una de las reivindicaciones 1 a 8;
• cuando se ejecutan en un dispositivo de control (52a), un sistema de navegación (51a) o un sistema de entretenimiento (51b), el dispositivo de control (52a), revalorizan el sistema de navegación (51a) o el sistema de entretenimiento (51b) a un dispositivo de control (52a), sistema de navegación (51a) o sistema de entretenimiento (51b) según una de las reivindicaciones 9 a 10; y
• cuando se ejecutan en una o más computadoras, dispositivos de control o sistemas integrados, provocan que las computadoras, los dispositivos de control o los sistemas integrados lleven a cabo un procedimiento (100) según una de las reivindicaciones 12 a 15.
15. Soporte de datos legible por la máquina o producto de descarga con el elemento de programa de la reivindicación 14.
ES19782474T 2018-08-17 2019-08-16 Interfaz de red protegida contra ataques Active ES2955391T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018213902.4A DE102018213902A1 (de) 2018-08-17 2018-08-17 Gegen Angriffe gesicherte Netzwerkschnittstelle
PCT/EP2019/071989 WO2020035584A1 (de) 2018-08-17 2019-08-16 Gegen angriffe gesicherte netzwerkschnittstelle

Publications (1)

Publication Number Publication Date
ES2955391T3 true ES2955391T3 (es) 2023-11-30

Family

ID=68136323

Family Applications (1)

Application Number Title Priority Date Filing Date
ES19782474T Active ES2955391T3 (es) 2018-08-17 2019-08-16 Interfaz de red protegida contra ataques

Country Status (6)

Country Link
US (1) US12021833B2 (es)
EP (1) EP3837823B1 (es)
CN (1) CN112567713B (es)
DE (1) DE102018213902A1 (es)
ES (1) ES2955391T3 (es)
WO (1) WO2020035584A1 (es)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018205264B3 (de) * 2018-04-09 2019-10-10 Continental Automotive Gmbh Verfahren zum Betreiben eines Ethernet-Bordnetzes eines Kraftfahrzeugs, Steuereinheit und Ethernet-Bordnetz
DE102020111450A1 (de) * 2020-04-27 2021-10-28 Bayerische Motoren Werke Aktiengesellschaft Erkennen von Fehlern in einem Computernetzwerk

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6434620B1 (en) * 1998-08-27 2002-08-13 Alacritech, Inc. TCP/IP offload network interface device
US20040028047A1 (en) 2002-05-22 2004-02-12 Sean Hou Switch for local area network
DE10225550A1 (de) * 2002-06-06 2003-12-18 Volkswagen Ag Kommunikationsplattform in einem Kraftfahrzeug
US20050220017A1 (en) * 2004-03-31 2005-10-06 Brand Thomas E Denial of service protection through port hopping
CN100471172C (zh) * 2006-03-04 2009-03-18 华为技术有限公司 一种黑名单实现的方法
AT506623A1 (de) 2008-04-03 2009-10-15 Fts Computertechnik Gmbh Verfahren zur sicheren dynamischen bandbreitenallokation in tt-ethernet
US8554883B2 (en) * 2008-08-06 2013-10-08 Cisco Technology, Inc. Apparatus and method for sharing a generic configuration across a group of network devices
WO2011069096A2 (en) * 2009-12-04 2011-06-09 Interdigital Patent Holdings, Inc. Bandwidth management for a converged gateway in a hybrid network
JP5395036B2 (ja) 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 車載ネットワークシステム
DE102011106078A1 (de) 2011-06-30 2013-01-03 Continental Automotive Gmbh Fahrzeugeinheit und Verfahren zum Betreiben der Fahrzeugeinheit
US9349234B2 (en) * 2012-03-14 2016-05-24 Autoconnect Holdings Llc Vehicle to vehicle social and business communications
WO2014158766A1 (en) * 2013-03-14 2014-10-02 Flextronics Ap, Llc On board vehicle networking module
DE102015207783B4 (de) 2015-04-15 2019-01-31 Continental Automotive Gmbh Gegen Überspannung geschütztes elektronisches Steuergerät
EP3166255B1 (en) 2015-11-03 2018-09-26 Robert Bosch Gmbh Switching of scheduled frames in an ethernet-based in-vehicle network
US20170132619A1 (en) * 2015-11-06 2017-05-11 SWFL, Inc., d/b/a "Filament" Systems and methods for autonomous device transacting
CN108352943B (zh) 2015-11-13 2021-04-20 索尼公司 蜂窝网络的节点以及重新协商服务质量的延迟参数的方法
US10205784B2 (en) 2016-03-21 2019-02-12 General Electric Company Communication system and method for controlling data distribution quality of service in time sensitive networks
DE102016208451A1 (de) 2016-05-17 2017-11-23 Robert Bosch Gmbh Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
US10530793B2 (en) * 2016-06-29 2020-01-07 Argus Cyber Security Ltd. System and method for detection and prevention of attacks on in-vehicle networks
CN106161451B (zh) 2016-07-19 2019-09-17 青松智慧(北京)科技有限公司 防御cc攻击的方法、装置及系统
CN110140156A (zh) 2017-01-06 2019-08-16 三菱电机株式会社 导航装置及显示控制方法
CN108173755B (zh) * 2017-12-08 2020-07-28 同济大学 一种时间敏感网络的帧的复制和消除方法

Also Published As

Publication number Publication date
US12021833B2 (en) 2024-06-25
CN112567713A (zh) 2021-03-26
WO2020035584A1 (de) 2020-02-20
EP3837823A1 (de) 2021-06-23
US20210168120A1 (en) 2021-06-03
CN112567713B (zh) 2023-09-05
DE102018213902A1 (de) 2020-02-20
EP3837823B1 (de) 2023-06-07

Similar Documents

Publication Publication Date Title
CN107846395B (zh) 确保车载总线上的通信安全的方法、系统、介质和车辆
EP3158707B1 (en) Authentication of devices having unequal capabilities
ES2805290T3 (es) Dispositivo para proteger un sistema electrónico de un vehículo
ES2359637T3 (es) Sistema cortafuegos para proteger una comunidad de aparatos, aparato participante del sistema y método para actualización de las reglas de cortafuegos dentro del sistema.
US9596245B2 (en) Secure one-way interface for a network device
EP3959859B1 (en) Improvements in the transmission of data or messages on board a vehicle using a some/ip communication protocol
Jadhav et al. A survey on security in automotive networks
WO2017127639A1 (en) Exploiting safe mode of in-vehicle networks to make them unsafe
Boudguiga et al. A simple intrusion detection method for controller area network
KR101754951B1 (ko) Can 통신 기반 해킹공격에 안전한 can 컨트롤러
CN114422208B (zh) 车辆安全通讯方法、装置、微处理器和存储介质
ES2955391T3 (es) Interfaz de red protegida contra ataques
CN110290980B (zh) 具有分成多个分开的域的数据网络的机动车及用于运行数据网络的方法
Oyler et al. Security in automotive telematics: a survey of threats and risk mitigation strategies to counter the existing and emerging attack vectors
Wang et al. Automotive network security
KR101003303B1 (ko) 차량의 제어신호 인증방법과 그를 이용한 차량 제어신호 송신장치 및 차량 전자 제어장치
Lang et al. Future perspectives: The car and its ip-address–a potential safety and security risk assessment
ES3061235T3 (en) Method for setting up a proof of authorization for a first device
US20220131834A1 (en) Device, method and computer program for providing communication for a control appliance of a vehicle, method, central device and computer program for providing an update, control appliance, and vehicle
CN105743863A (zh) 一种对报文进行处理的方法及装置
Pesé Bringing practical security to vehicles
Oberti et al. Lin-mm: Multiplexed message authentication code for local interconnect network message authentication in road vehicles
KR20180039586A (ko) Can 통신 기반 해킹공격에 안전한 can 컨트롤러
KR101825711B1 (ko) Can 통신 기반 해킹공격에 안전한 can 컨트롤러
Boudguiga et al. Enhancing CAN security by means of lightweight stream-ciphers and protocols