用于识别对总线系统的未经允许的物理访问的方法与流程

1.本发明涉及用于识别对总线系统的未经允许的物理访问的方法以及用于执行所述方法的计算单元和计算机程序。


背景技术：

2.在机器和机动车辆中使用可编程控制设备以控制机器和机动车辆或它们的组件。例如，机动车辆可以包含用于发动机控制、用于制动系统等的控制设备。这些控制设备包括具有一个处理器核或典型地具有多个处理器核的微控制器或处理器，所述处理器核执行存储在存储器中的程序以实现所述控制设备的功能。
3.控制设备可以经由总线相互连接以及连接到诸如传感器的其他设备。例如，can总线（controller area network，控制器局域网）广泛应用，这是一种基于差分电压的总线，其经由两条总线线路传输数据或消息；总线线路和总线用户共同形成总线系统。为了防止可以访问物理层、特别是总线线路的攻击者操纵传输的数据或渗入自己的数据，可以对要传输的数据进行加密。
4.然而，尽管进行了加密，还是应当防止攻击者获得对物理层的访问，因为一方面该攻击者可以监听数据传输并可能在大量数据传输的情况下破解加密，另一方面该攻击者可以用消息淹没总线，从而可以干扰总线系统的功能。后者对于can总线尤其危险，因为在这种情况下每个消息都具有由发送方设定的特定优先级，对应于该优先级使用总线带宽，即分别仅传输具有最高优先级的消息。因此，攻击者可以通过用高优先级消息淹没总线来中断控制设备之间的数据传输。
5.从de 10 2017 208 547 a1和de 10 2018 208 118 a1已知用于评估消息经由网络的传输的特性（例如信号边沿）的方法，其中基于所述特性确定所述消息的来源或认证所述消息。


技术实现要素：

6.根据本发明，提出了具有独立权利要求的特征的用于识别对总线系统的未经允许的物理访问的方法以及用于执行所述方法的计算单元和计算机程序。有利的设计是从属权利要求和以下描述的主题。
7.根据本发明，对于在总线的电压信号中识别出的检查电平序列，将从中通过在特定模式时刻扫描形成的二进制扫描模式与对应的参考模式进行比较，其中如果扫描模式与参考模式不一致，则确定对所述总线系统的可能未经允许的物理访问，即对所述总线系统的物理层的访问，例如通过设备对所述总线线路的机械接触。在预定的模式时刻评估所述电压信号，其中如果所述电压信号在相应模式时刻高于预给定电压阈值，则分别为所述二进制扫描模式的位置分配第一值，以及如果所述电压信号在相应的模式时刻不高于所述电压阈值，则分别为所述二进制扫描模式的位置分配第二值。
8.该方法基于以下事实，即电压信号中包含干扰，例如在电压信号中的边沿之后的
电压振荡，这些干扰在适当选择模式时刻的情况下反映在扫描模式中。根据总线系统的具体设计，这些干扰会发生变化，因此扫描模式会发生变化。这些干扰是相应总线系统的特征，并且攻击者无法预见。因此，利用本发明更容易识别例如通过攻击者将设备连接到总线线路而对总线系统物理层的攻击。
9.使用二进制扫描模式和参考模式使得可以快速比较这些模式，而为此无需高计算能力。特别地，扫描模式和参考模式可以被实现和存储为比特模式。然后可以通过比特模式的xor逻辑关联（xor：异或）以简单的方式进行所述比较。
10.可以为一个检查电平序列分配多个参考模式，以考虑总线系统的某些变化，例如关于对应于略有不同的干扰的不同总线用户，例如当不同的总线用户在电压信号中产生不同陡峭度的边沿时。
11.术语“电平序列”应当表示电压信号中的特定电平序列，对应于总线规范利用该特定电平序列对数据或总线控制信号进行编码。一个电平序列包括一个或多个电平转换。因此，可以根据总线规范为电平序列分配特定含义，例如具有特定值的一个比特或具有特定值的多个比特；也可以涉及总线控制信号，例如表示消息结束的电平序列。即使是单个电平转换（例如从高电平到低电平的下降边沿）也已经形成了电平序列。在特定时间（t
bit
）之后接着是上升边沿的下降边沿也代表电平序列。通常只有随着电平序列的完成才能确定是否存在以及存在什么样的电平序列，例如当在 can 总线中发送了多个连续的具有逻辑值 1的比特时。原则上根据总线规范基于电平序列的含义或规范来识别所述电平序列。
12.从这些电平序列中选择在该方法中使用的至少一个电平序列，以检查是否可能存在对总线系统、更准确地说是对物理层的未经允许的物理访问。所述电平序列称为“检查电平序列”，其在此适宜地是在正常通信中使用的电平序列。特别是通过唯一比特的传输就已经可以产生合适的检查电平序列。检查电平序列特别是可以具有重复的检查电平序列区段，例如多个比特或连续的比特序列。
13.优选地，向检查电平序列分配具有预定模式时刻的多个集合，其中选择集合之一并且在形成扫描模式时将该集合的模式时刻用作分配给检查电平序列的模式时刻，并且其中在特定的选择时刻改变所述集合的选择。优选地，以随机方式进行所述选择。通过改变分配给检查电平序列的模式时刻，提高了识别出未经允许的访问的概率。选择时刻可以更优选地有规律地间隔开或者与扫描模式的形成重合，即随着每次识别出相应的检查电平序列而重新选择所使用的模式时刻集合。
14.如果向一个检查电平序列分配多个模式时刻集合，则对应的参考模式当然也被确定，所述参考模式分别涉及模式时刻之一并且在选择对应的模式时刻集合时在比较步骤中使用所述参考模式。
15.优选地，所述模式时刻选自有规律地间隔开的网格时刻。因此，连续的网格时刻彼此之间始终具有相同的时间间隔。
16.附加地或替代地，如果不使用网格时刻，则还可以将模式时刻指定为至检查电平序列的特定电平转换的时间间隔，例如至检查电平序列的第一电平转换的时间间隔。
17.如果预给定了有规律地间隔开的网格时刻（与电平序列无关），则电压信号的评估或二进制值的确定可以连续进行，所述二进制值然后在模式时刻形成扫描模式的位置。然后可以临时存储这些二进制值（例如，在环形缓冲器或移位寄存器中）并在识别检查电平序
列时使用。临时存储的二进制值可以在特定时间后被再次删除——所述特定时间面向与检查电平序列对应的最长时间段，或者被覆盖，例如在临时存储在环形缓冲器的情况下。
18.优选地，两个连续网格时刻之间的时间间隔小于或等于25ns（纳秒）。高时间分辨率使得可以识别出电压信号中的微小变化。
19.优选地，将已识别的检查电平序列内的所有网格时刻选择为模式时刻。通过这种方式，电压信号尽可能精确地映射在扫描模式中。因此，在与参考模式比较时，同时在多个方面对电压信号的形状进行检查。
20.根据优选实施，也可以仅选择已识别的检查电平序列内的一部分网格时刻作为模式时刻；其中更优选地，最多选择十分之一的网格时刻。由此产生具有较少位置的扫描模式，从而可以进行较少计算的处理。
21.如果检查电平序列具有重复的检查电平序列区段，则优选在重复的检查电平序列区段的每个检查电平序列区段中具有至少一个模式时刻。从而例如可以识别出扫描模式中以下随时间的变化，所述变化的时间常数长于检查电平序列区段。特别优选地，这些模式时刻分别位于相对于所述检查电平序列区段的开始的不同位置处。由此可以（假设重复的检查电平序列区段（例如比特）足够相同）随着时间的推移扫描所述检查电平序列区段的更大长度或整个长度，这改进了结果。
22.优选地，该方法包括确定用于检查电平序列的参考模式，其中对于总线系统的一个或多个总线用户按照顺序执行以下步骤：通过相应总线用户产生对应于所述检查电平序列的参考电压信号；产生参考信号，当所述参考电压信号高于预给定电压阈值时所述参考信号具有第一状态，并且当所述参考电压信号不高于所述电压阈值时所述参考信号具有第二状态；形成二进制参考模式，其中所述检查电平序列内的每个预定模式时刻对应于参考模式的以下位置，该位置被确定为，如果所述参考信号在相应模式时刻具有所述第一状态，则所述位置具有第一值，以及如果所述参考信号在相应模式时刻具有所述第二状态，则所述位置具有第二值。
23.在确定参考模式时，进一步优选地分别将模式时刻朝着一个方向移动一个网格时刻，并且同样基于经过移动的模式时刻执行形成参考模式的步骤，以形成额外的参考模式。将扫描模式移动一个网格时刻的情况不会错误地导致存在未经允许的访问的假设。进一步优选的是，为每个执行这些步骤的总线用户形成两个额外的参考模式，一个用于向前移动，一个用于向后移动。与移动模式时刻等价的是移动参考信号（朝着另一个方向）。同样等价的是，将利用没有移动的模式时刻获得的扫描模式移动一个位置。
24.该方法进一步优选地包括形成扫描信号，所述扫描信号在所述电压信号高于预给定电压阈值时具有第一状态并且在所述电压信号不高于所述电压阈值时具有第二状态。于是与所述电压信号不同，所述扫描信号只有两个定义的电平。进一步优选地，基于所述扫描信号形成扫描模式或参考模式，其中如果扫描信号在对应于相应位置的模式时刻处于第一状态，则向扫描模式或参考模式的位置分配第一值，并且如果扫描信号在对应于相应位置的模式时刻处于第二状态，则向扫描模式或参考模式的位置分配第二值。这是有利的，因为已经存在的硬件，特别是总线用户的收发器然后可以用于形成扫描信号并且从中形成扫描或参考模式。这是因为，扫描信号特别地可以是收发器（或至少接收器/接收级）的接收信号，该接收信号无论如何都会由总线用户形成以用于从电压信号中接收数据。因此，该方法
可以由已经存在的总线用户执行，该总线用户通常包括收发器和处理器。
25.根据本发明的计算单元，例如机动车辆的控制设备或包括在其中的微控制器，特别是以程序技术被设置为执行根据本发明的方法。优选地，所述计算单元包括收发器或接收器。
26.以具有用于执行所有方法步骤的程序代码的计算机程序或计算机程序产品的形式实现根据本发明的方法是有利的，因为这导致特别低的成本，特别是在执行控制设备还用于其他任务并且因此无论如何都存在的情况下。适用于提供计算机程序的数据载体特别是磁的、光的和电的存储器，例如硬盘驱动器、闪存、eeprom、dvd等。程序也可以经由计算机网络（因特网、内联网等）下载。
27.本发明的其他优点和设计从说明书和附图中得到。
附图说明
28.基于实施例在附图中示意性地示出本发明并且在下面参照附图描述本发明。
29.图1示出了总线系统和攻击者的示例性结构；图2a和图2b示出了用于传输具有值1的比特的理想电压变化过程和对应的实际电压变化过程；图3a示出了根据本发明方法的优选实施方式的流程图；图3b示出了说明在确定参考模式时的优选过程的流程图；图4和图5以示例的方式示出了由电压信号形成扫描信号和扫描模式。
具体实施方式
30.图1示出了总线系统的示例性结构和攻击者，所述总线系统特别是基于差分电压信号的总线系统，例如can总线系统。总线系统2一方面包括线路4a、4b并且另一方面包括多个总线用户6，电压信号经由这些线路传输并且这些线路经由终端电阻5a、5b相互连接，终端电阻5a、5b代表所述总线系统的中心阻抗，所述多个总线用户连接到两个总线线路4a、4b以经由总线相互通信。为此，总线用户使用两个总线线路之间的差分电压，这些差分电压借助于收发器产生和读取。总线用户6的示例是机动车辆或机器的控制设备，所述控制设备传输控制数据，或者是将传感器数据例如传输到控制设备的传感器。在总线用户之一中，示例性地示出了收发器10，所述总线用户借助于该收发器在总线线路上产生电压信号并且从所述总线线路读取所述电压信号，其他总线用户当然也可以包括这样的收发器。在本技术中，术语“总线用户”是指被允许访问总线的常规总线用户，而不是未经允许访问总线的攻击者。
31.数据传输例如经由收发器10进行，该收发器一方面将接收到的数据转换为适合由微控制器处理的信号并将所述信号传送到该微控制器或那里的接口模块，例如can模块，另一方面从接口模块获得要发送的数据或对应的信号，并且从中在总线线路4a、4b上产生电压，这些电压与根据总线规范的所述数据相对应。替代地，代替专用接口模块，可以使用例如在de 10 2013 210 182 a1中描述的通用模块，例如定时器模块。
32.攻击者8，例如同样具有收发器或至少一个发射器或接收器的设备，例如所谓的obd插头，获得对总线系统的物理访问并且从而可以建立到线路4a、4b的连接。攻击者8因此
能够监听经由总线传输的消息或读取对应的电压信号和/或自己发送消息或产生对应的电压信号。
33.图2a和2b示出了例如对应于can总线规范的理想差分电压变化过程20以及对应的实际差分电压曲线22，所述理想差分电压变化过程用于传输具有特定逻辑值的比特。在此，差分电压vd是分别针对时间t绘制的。在由发送器产生的理想差分电压变化过程20(图2a)中，首先存在相对较高的差分电压（在can总线中是至少2v，所谓的“显性状态”），其然后通过下降边沿转换到低差分电压（在can总线中为0v，所谓的“隐性状态”），以随后通过上升边沿再次转换到高差分电压。如果下降边沿和上升边沿之间的时间间隔是根据can总线系统规范预定的时间间隔t
bit
，则这样的电平序列用于在can总线中传输具有逻辑值1的比特。
34.然而，物理层，即总线线路4a、4b连同总线用户6，具有干扰该理想差分电压变化过程的电特性，特别是电感和电容。这导致诸如边沿陡度变化、反射、电压变化过程中的振荡等干扰。这些干扰取决于物理层的具体实现，即取决于实际总线系统的设计（例如，取决于线路的长度、用户的数量以及用户在哪里连接到线路、用户的收发器的电气特性等）。这种实际差分电压变化过程22在图2b中以示例的方式示出。这里，在下降边沿之后在差分电压中出现振荡23，所述振荡也称为“振铃”。
35.由于干扰取决于总线系统的设计，因此干扰是相应具体总线系统的特征。如果另一用户或如图1中的攻击者8连接到总线系统，则这导致干扰的改变，从而可以识别出可能的操纵尝试或对物理层的可能未经允许的访问。
36.图3a示出了根据本发明方法的优选实施方式的流程图。该方法可以由总线用户之一（或彼此独立地，由总线用户中的多个总线用户）执行，或者可以为其设置单独的计算单元，即总线上的监视用户，用于识别对所述总线系统的未经允许的物理访问；这样的监视用户也可能执行附加的用于识别操纵的其他方法。
37.在进一步执行该方法之前执行的步骤50中，首先为每个检查电平序列确定至少一个参考模式。检查电平序列的示例是图2a、2b中所示的电压变化过程。为此，在确保不存在对总线系统的未经允许的物理访问的总线系统状态下，例如在制造总线系统时，在总线（确切地说是总线线路）上产生（例如通过总线用户之一）对应于相应检查电平序列的电压信号或参考电压信号。然后对应于以下描述的步骤从该参考电压信号形成作为参考模式的扫描模式。在此，优选地对应于步骤60、64来进行。图3b中示出了在确定参考模式时的优选过程。如果为检查电平序列设置多个模式时刻集合，则为每个集合确定至少一个参考模式。
38.在优选的步骤60中形成或产生扫描信号，当电压信号高于预给定电压阈值时，该扫描信号具有第一状态，而当电压信号不高于所述电压阈值时，该扫描信号具有第二状态。所述扫描信号是以下电压信号，其中第一状态对应第一电平且第二状态对应于第二电平。如果所述电压阈值是在数据传输过程中对应于总线规范用于区分电压信号中的电平或电平范围的电压阈值，则所述扫描信号原则上代表接收信号，即不必单独产生。于是该扫描信号可以源自例如收发器（例如图1中的10）。
39.在步骤62中，在电压信号（或扫描信号）中识别检查电平序列，即检查电压信号的变化过程以确定其中是否包含相应的检查电平序列。由于检查电平序列根据总线规范至少部分具有特定含义，例如代表具有特定值的传输比特，因此可以基于该含义以简单方式识别。必要时也可以在扫描信号中识别检查电平序列，特别是在该扫描信号是接收信号并且
通过接收器对应于总线规范加以评估的情况下。
40.如果已识别出检查电平序列，则在步骤64中形成二进制扫描模式。为此，优选地在分配给已识别的检查电平序列的特定模式时刻评估所述扫描信号，其中如果存在第一状态，则向所述扫描模式的对应于所述扫描信号在相应模式时刻所处于的状态的位置或比特分配第一值（例如逻辑“1”），或如果存在第二状态则分配第二值（例如逻辑“0”）。原则上，所述扫描模式形成比特模式，位置对应于所述比特模式的各个比特。模式时刻是所述检查电平序列内的特定时刻。所述检查电平序列的特定电平转换可以用作参考点，例如电压信号中的初始边沿，例如图2b所示的电压信号中的初始下降边沿。如果省去步骤60，即省去扫描信号的产生，则也可以直接从电压信号形成所述扫描模式，其中根据电压信号在相应网格时刻是否高于所述电压阈值向所述扫描模式的位置分配第一值或第二值。如果将多个模式时刻集合分配给已识别的检查电平序列，则选择这些集合之一的模式时刻并且在确定所述扫描模式时使用这些模式时刻。该选择可以在特定选择时刻以优选随机的方式更新，例如随着每次出现和识别出所述检查电平序列，或以有规律的时间间隔更新。
41.在步骤66中，将在步骤64中形成的扫描模式与分配给所述检查电平序列的至少一个参考模式进行比较，其中检查是否存在一致性（在所有位置或比特都一致的意义上）。如果将多个模式时刻集合分配给已识别的检查电平序列，则在该比较中使用通过所选择的模式时刻集合确定的至少一个参考模式。
42.如果在检查一致性时确定没有分配给检查电平序列的参考模式与扫描模式一致，则推断或确定存在可能的未经允许的物理访问。然后可以采取对应的措施。此外可以发送警告，在该警告中例如通知操作员或其他设备其可能以未经允许的方式访问总线系统。然后例如可以由本领域技术人员进一步分析总线系统，例如仔细查看，以确定是否已经进行了结构改变（攻击者连接到总线）。
43.另一方面，如果确定与参考模式一致，则可以再次跳回到步骤62并且可以监视电压信号或扫描信号以确定另外出现检查电平序列。
44.在图3b中以流程图说明了在确定参考模式时的优选过程，这对应于图3a中的步骤50。这可以针对一个或多个检查电平序列执行，其中在下面解释针对检查电平序列的过程。
45.在步骤52中，由总线用户之一产生对应于检查电平序列并形成参考电压信号的电压信号。
46.在步骤54中，优选地形成参考信号，当参考电压信号高于预给定电压阈值时该参考信号具有第一状态并且当参考电压信号不高于所述电压阈值时该参考信号具有第二状态。该步骤可以通过任何总线用户（该总线用户包括接收器/收发器）来执行，特别是以后执行用于识别对总线系统的未经允许的物理访问的本发明方法的总线用户。如果在总线上设置单独的监视用户来执行该方法，则该监视用户可以执行该步骤。
47.在步骤56中形成二进制参考模式，其中检查电平序列内的预定模式时刻分别对应于参考模式的以下位置，该位置被确定为，如果参考信号在相应模式时刻具有第一状态，则所述位置具有第一值，以及如果参考信号在相应模式时刻具有第二状态，则所述位置具有第二值。即，参考模式被形成为基于参考电压信号的扫描模式。通常，也可以直接从参考电压信号形成参考模式，其中根据电压信号在相应的网格时刻是否高于所述电压阈值，向参考模式的位置分配第一或第二值。
48.在步骤58中检查是否还存在应当执行步骤52至56的总线用户。如果是这种情况，则跳回到步骤52并且对另一个总线用户重复该方法。否则，将在步骤56中分别（针对不同的总线用户）形成的参考模式分配给检查电平序列，以形成分配给检查电平序列的参考模式；必要时可以通过不同方式确定另外的检查电平序列，例如基于在步骤60中通过移动一个位置（比特）确定的检查电平序列。然后或者当已经针对另外的检查电平序列执行了图3b的过程时，继续根据本发明的方法，例如继续图3a中的步骤60。
49.图4和图5示例性地说明了如何从图2b所示的电压信号形成对应的扫描信号和扫描模式，所述电压信号代表检查电平序列，其中在这两个图中使用了不同数量的模式时刻。在每个图中，来自图2b的电压信号22（差分电压信号vd）绘制在上部，该电压信号例如在can总线的情况下代表具有逻辑值1的比特。如前所述，横坐标对应于时间t，在图的下端绘制了对应的时间轴。附加地，在电压信号的变化过程中录入电压阈值vs，对应于该电压阈值将电压信号22转换为扫描信号。适宜地，电压阈值vs是根据总线规范用于数据传输的相同电压阈值，以区分电压信号中的电平或电平范围，从而不需要额外的硬件来执行该方法，而是可以使用现有的接收器或收发器。
50.从电压信号22产生扫描信号24，该扫描信号取决于电压信号是否高于电压阈值vs而采取第一状态24h或第二状态24l。如果对应于总线规范的电压阈值是用于区分电压信号中的电平或电平范围的电压阈值，则所述扫描信号对应于由接收级或收发器产生的接收信号（例如can总线中的rx信号），因此不必单独或附加地产生所述扫描信号，而是可以使用已经存在的信号。
51.根据图中的实施例，预给定了有规律地间隔开的网格时刻26；这些网格时刻分别沿着轴27录入。分别从这些网格时刻中选择模式时刻。
52.在图4中，使用从网格时刻26中选择的三个模式时刻28、29、30来形成扫描模式，因此获得具有3个位置或3个比特的扫描模式34。在没有预给定网格时刻的情况下，模式时刻28、29、30也可以被指定为到初始下降边沿（即高-低电平转换）的时间间隔，所述高-低电平转换可以用作检查电平序列的开始。因为如解释的扫描信号24也可以是接收信号（can总线情况下的rx），带有附图标记30的模式时刻同时是所发送的比特对应于总线规范由接收器接收的时刻。扫描模式34以由“1”和“0”组成的比特模式的形式示出。扫描模式的每个比特（位置）对应于模式时刻中的一个，其中当扫描信号24处于第一状态24h时，向相应比特分配值“1”，并且当扫描信号24处于第二状态24l时向相应比特分配值“0”。这样获得的扫描模式34对应地是比特模式“100”。如果例如由于攻击者连接到总线线路并由此改变了电特性而导致在图4中恰好位于第一模式时刻28的第一振荡峰值例如向后移动，使得该第一振荡峰值在第一模式时刻28之后才出现，则作为扫描模式将得出“000”，从而可以确定相对于比特模式“100”的改变。显然，也可以选择不同数量（不同于三）的模式时刻，于是由此形成的扫描模式具有对应数量的位置或比特。
53.替代地可以规定，一个或多个模式时刻（例如模式时刻28）从比特移动到比特。在这个意义上，例如，一个比特仅代表更长的（即，于是包括多个比特的）检查电平序列中的一个重复的检查电平序列区段。然后每个重复的检查电平序列区段中的模式时刻28分别处于相对于该检查电平序列区段开始的不同位置。通过移动模式时刻——类似于图5，可以扫描检查电平序列区段的更长区域，直至整个检查电平序列区段。
54.在图5中，为了形成扫描模式将所有网格时刻26用作模式时刻，因此获得具有对应多的位置或比特的扫描模式35，即对应于检查电平序列内的网格时刻数量。边沿在这里属于检查电平序列，并且可以在扫描模式中识别出。与图4不同，图5中不再通过箭头来表示网格时刻，只有所发送的比特由接收器接收的时刻仍然用箭头30表示。如果在形成扫描模式35时再次如所描述的那样进行，则对应地获得比特模式“1100110000000000000000000000000000011”。该实施例提供更高的分辨率（例如，第一振荡峰值在这里通过值为“1”的两个比特代表），从而可以识别出总线系统的微小电改变。