防止攻擊聯網車輛的系統和方法
2023-07-11 23:37:46 3
專利名稱:防止攻擊聯網車輛的系統和方法
技術領域:
本發明涉及一種根據權利要求I前序部分所述的系統,用於通過車輛的無線通訊裝置防止對聯網車輛的攻擊,還涉及一種相應的方法。
現有技術車輛在變成越來越複雜的系統,它們能夠通過一個或者多個無線的連接裝置從一個或者多個數據網絡下載不同類型的內容,例如天氣及交通數據、音樂、電影、熱點信息、軟體更新或者遠程診斷。為了進行無線連接,在車輛中可以裝入一個通訊接口(通訊箱,ComBox),它支持一 種或者多種無線電標準(例如GSM/GPRS、EDGE、UMTS、HSDPA、LTE、WLAN、WiMAX…)。於是,車輛或者說車輛的組件,例如娛樂信息節目系統,與基礎設施伺服器、其他車輛(車到車通訊)或者豎立在街邊的無線電信標進行通訊,並且從這些地方下載東西。通過這種無線通訊,使得車輛對不可靠的外界開放,於是也暴露在通過通訊接口實施的攻擊之下。因此,聯網的車輛需要保護措施,防止通過通訊接口對車輛實施的攻擊。由現有技術公知許多裝置,它們能夠從外部接受連接、轉達給內部的控制器、能夠進行加密通訊,並且這些裝置能夠從外部編程。然而,在從車輛提取數據時,這些裝置卻不能提供適當的保護。此外還公知許多系統,它們在線調查更新狀態。然而,這些系統要在已經建立起連接之後才調查更新狀態,並且原則上不適合在檢查完更新狀態之前阻止對來自車輛的下載內容的攻擊行為。
發明內容
因此,本發明任務在於,提供一種系統和一種方法,它們適用於防止通過無線通訊裝置對聯網的車輛實施的攻擊,並且同時消除現有技術中的一個或者多個缺點。根據本發明,提供一種系統用於防止通過車輛的無線通訊裝置對聯網的車輛實施攻擊。該系統包括無線的數據傳輸網絡、安全狀態調查裝置,用於依據調查得到的安全狀態控制對無線數據傳輸網絡(DatenverkehrsnetZ)的訪問,其中,安裝狀態以評估車輛的實際配置和/或車輛的登錄數據(Log-Daten)為基礎和/或以更新相關軟體以後經過的時間為基礎。此外,該系統還具有通訊裝置,適用於與無線數據傳輸網絡相連,並且具有訪問控制裝置,用於控制對無線數據傳輸網絡的網絡訪問並且能與安全狀態調查裝置相連。此外,本發明也涉及一種用於防止通過車輛的無線通訊裝置對聯網的車輛實施攻擊的系統的方法,其中,調查安全狀態,所述安全狀態以評估車輛的實際配置和/或車輛的登錄數據為基礎和/或以從更新相關軟體以後經過的時間為基礎。此外,該方法還包括以調查得到的安全狀態為基礎確定用於訪問數據傳輸網絡的網絡訪問策略,所述確定的網絡訪問策略緊接著被激活。根據權利要求I所述的根據本發明的系統和根據權利要求9所述的根據本發明的方法的改進方案是各個從屬權利要求的對象。
下面以舉例的方式藉助附圖闡述本發明。然而,本發明不局限於所示實施例。在這些圖中示出圖I根據本發明的系統的一種實施方式的示意圖,圖2根據本發明的組件在參照車輛內部總線系統的情況下的一種可能的布局的截取圖,·
圖3符合第一實施方式的示例性的根據本發明的方法,圖4符合第二實施方式的另一示例性的根據本發明的方法,圖5符合第三實施方式的另一示例性的根據本發明的方法,圖6符合第四實施方式的另一示例性的根據本發明的方法,圖7根據本發明的一種實施方式的一種根據本發明的信息流,圖8根據本發明的系統的另一種實施方式的示意性示圖。
具體實施例方式圖I示出一輛車,它具備車載單元(0BU),該車載單元能夠通過通訊裝置在使用不同的移動無線電系統的情況下(例如UMTS、LTE、GPS、WiMAX, Wlan)與一個示例性的數據網絡中的基礎設施伺服器進行通訊。示例性的基礎設施伺服器(Infrastruktur-Servern)例如可以是下載伺服器(DL),它例如提供音樂的下載。另一個基礎設施伺服器例如可以是車輛管理伺服器(VM),它配置並監控車輛,例如用於診斷或者運行軟體更新。還有另一個基礎設施伺服器可以是車輛在線服務伺服器(V0S),它提供在線服務,例如實際的天氣及交通信息。此外還能夠設置車輛安全狀態評估伺服器(VSSES),它為車輛提供關於其安全狀態的信息。此外,車輛或者說OBU能夠通過車到車通訊(C2C)與其它的車輛或者說OBU通訊,或者與固定安裝的路邊設施(RSU)進行通訊。圖2示出根據本發明的組件參照車輛內部的總線系統的一種可能的布局的截取圖。在示例性的通訊裝置(ComBox)上連接著發送接收單元,從而能夠使用不同的無線電系統(UMTS、HSDPA, WLAN、Broadcast、WAVA (c2c))。通過一個示例性的乙太網(Ethernet)汽車總線使得娛樂信息系統與一個示例性的頭單元(Head Unit)相連,以及示例性地與兩個用於後座的單元相連,即所謂的後座娛樂系統(RSE1、RSE2)。代替乙太網,在這裡也可以例如使用MOST、Flexray或者任何其他合適的總線。
通過網關(GW)使兩個控制器E⑶I、E⑶2相連,它們能夠通過另一個協議進行通訊,例如CAN協議。該ComBox可以具有網絡訪問執行引擎(NAEE),它限制或者說影響「外部」和「內部」之間的通訊。它的實現符合實際的網絡訪問策略(AOAP=激活OTA訪問策略)。這個網絡訪問策略(AOAP)是由網絡訪問策略選擇功 能(NAPS)(網絡訪問策略選擇)選擇或者說定義的,它可以依據安全自評估(SSE)的結果。此外,該網絡訪問策略也能夠依據其它的參數。該ComBox可以包含網絡訪問實施單兀(Network Access Control PolicyEnforcement Unit),它限制或者說影響來自/通往「外部」的網絡傳輸,也就是說與發送接收單元的網絡傳輸。網絡訪問實施單元能夠執行對安全狀態的評估,並且能夠調查安全策略,所述網絡訪問實施單元能夠激活並實施所述安全策略。此外,網絡訪問實施單元還能夠選擇通過控制口令改變車輛的其他組件的網絡通訊過濾器(防火牆功能)的配置。特別是網絡訪問實施單元能夠相應地更改網關(GW)、娛樂信息系統單元(HU、RSEU RSE2)或者無線電模塊的網絡通訊過濾器。圖3不出一種符合第一種實施方式的不例性的根據本發明的方法。其中,該方法以步驟100開始。可以通過許多的事件啟動該方法的流程。於是例如可以設計的是,在開始點火時、在發動汽車馬達時、在打開/激活娛樂信息系統時、在建立連接時(激活ComBox)、或者還有在改變配置/軟體更新之後啟動該方法流程,或者也可以有規律地例如按時地(例如每小時一次地)啟動該方法流程。緊接著,在步驟300中調查實際的車輛安全狀態。以調查得到的車輛安全狀態為基礎,在步驟400中確定網絡訪問策略,網絡訪問策略在步驟900中被激活。緊接著在步驟1000中終止該方法流程。在前述方法中,所有步驟都能夠自主地在車輛中進行,並且以相應的方法布置在ComBox或者說OBU中。由此使得能夠在建立通訊之前,並且因此在接觸到潛在的危險源之前就檢查其安全性,並且在可疑情況下暫且禁止通訊。在另一種優選的實施方式中可以在步驟100中啟動以後直接在一個在此未示出的步驟200中明確地激活一個網絡訪問策略「零」(NULL) / 「關閉」/ 「全部拒絕」,從而在步驟300中激活調查得到的網絡訪問策略之前禁止任何OTA通訊。圖4示出一種符合第二種實施方式的示例性的根據本發明的方法。其中,該方法流程在步驟100中啟動。在步驟500中激活初始的網絡訪問策略。然後步驟600中將車輛的實際配置和/或車輛的登錄數據和/或在相應的軟體更新之後經過的時間傳輸給用於調查安全狀態的評估伺服器(VSSES)。在步驟700中接收安全狀態的調查結果,緊接著在步驟800中確定一個合適的網絡訪問策略。然後在步驟900中激活這個確定的網絡訪問策略。緊接著在步驟1000中終止該方法流程。在這種變化方案中,是在一個外部的伺服器上進行評估的。於是,這個方法可以被稱為由伺服器協助的評估。只有當本地的安全狀態檢查結果是安全結果的最低底限時,才繼續進行由伺服器協助的安全評估。
圖5還示出了另一種示例性的根據本發明的符合第三種實施方式的方法。其中,在步驟100中啟動所述方法流程。緊接著在啟動後,可以在步驟200中明確地激活網絡訪問策略「零」/ 「關閉」/ 「全部拒絕」,從而暫時禁止在激活調查得到的網絡訪問策略之前進行任何OTA通訊。緊接著在步驟300中調查實際的車輛安全狀態。以調查得到的車輛安全狀態為基礎,在步驟400中調查是否滿足了對安全性的最低要求。如果這些要求未被滿足,就在步驟1000中終止該方法流程。如果滿足了最低要求,該方法流程就如之前參照圖4所描述的那樣繼續進行下去,也就是說,在步驟500中激活一個初始的網絡訪問策略。然後在步驟600中將車輛的實際配置和/或車輛的登錄數據和/或從更新相關軟體以來經過的時間傳輸給用於調查安全狀態的評估伺服器(VSSES)。在步驟700中接收調 查安全狀態的結果,緊接著在步驟800中確定合適的網絡訪問策略。然後在步驟900中激活所確定的網絡訪問策略。緊接著在步驟1000中終止該方法流程。這種實施方式可以被稱為對安全狀態的多級詢問,其中,不僅能夠自主地在車輛中完成評估,並且以相應的方式布置在ComBox或者說OBU中,還能夠在外部的伺服器上進行評估。圖6還示出一種示例性的根據本發明的符合第四種實施方式的方法。其中,在步驟100中啟動該方法流程。在啟動後,可以直接在步驟200中明確地激活一個網絡訪問策略「零關閉全部拒絕」,從而暫時禁止在激活調查得到的網絡訪問策略之前進行任何OTA通訊。緊接著在步驟300中調查實際的車輛安全狀態。以調查得到的車輛安全狀態為基礎,在步驟400中調查是否滿足了對安全性的要求,如果滿足要求,就在步驟900a中激活網絡訪問策略,它激活OTA通訊。緊接著在步驟1000中終止該方法流程。然而,如果在步驟400中發現未滿足條件,就進入由伺服器協助的評估。這是通過在步驟500中激活一次初始的網絡訪問策略啟動的。然後在步驟600中將車輛的實際配置和/或車輛的登錄數據和/或在相應的軟體更新之後經過的時間傳輸給用於調查安全狀態的評估伺服器(VSSES)。在步驟700中接收安全狀態的調查結果。在步驟800檢查,接收到的評估結果是否充分,也就是說,要確定激活哪一個網絡訪問策略。如果評估結果足以將該系統稱為安全的,那麼在步驟900a中激活一個網絡訪問策略,它用來激活OTA通訊。緊接著在步驟1000中終止該方法流程。如果評估結果不足以將該系統稱為安全的,那麼在步驟900b中明確地激活一個網絡訪問策略「零」/ 「關閉」/ 「全部拒絕」,從而暫時禁止在激活調查得到的網絡訪問策略之前進行任何OTA通訊。緊接著在步驟1000中終止該方法流程。這就是說,只有在車輛本身「不肯定」自己是否處於可靠的安全狀態下時,才詢問伺服器。圖7示出根據本發明的一種實施方式的、根據本發明的信息流。這裡在第一個步驟2100中在車輛內,例如在OBU或ComBox中調查車輛配置。緊接著在進一步的步驟2200中在車輛中激活通訊接口。現在在進一步的步驟2300中可以相對於VSSES或者一般化地相對於安全狀態調查裝置(SEE)進行一次認證。這次通訊可以包含許多信息,它們在通訊接口和安全狀態調查裝置之間進行交換。在實現這次通訊之後,可以在進一步的步驟2400中激活對安全狀態的調查,為此,要向SEE發出相應的請求。這個請求可以作為參數就已經包含車輛的實際配置和/或車輛的登錄數據和/或從相關的軟體更新以來經過的時間。當然也有可能的是,在一個或者多個單獨的消息中提供這些參數。緊接著,SEE在獲得的參數的基礎上評估配置,也就是安全狀態,並且在進一步的步驟2600中將安全狀態提供給車輛。現在該車輛就能夠通過合適的裝置,例如訪問控制裝置,為訪問數據傳輸網絡激活相應的網絡訪問策略。在另一個特別的實施方式中,可以在車輛安全狀態評估伺服器(VSSES)中就已經存在車輛配置信息,或者說被車輛管理者調用。在這種實施方式中,沒有必要傳輸車輛的實際配置和/或車輛的登錄數據和/或從相關的軟體更新以來經過的時間的參數,而是作為 代替傳輸車輛身份鑑定信息就足夠了。這個信息同時又能夠利用詢問、或者在一個單獨的消息中傳輸給SEE。圖8示出根據本發明的系統的另一種實施方式的示意圖。其中設定車輛具備車載設備0BU,它通過通訊裝置在使用不同的移動無線電系統的情況下與基礎設施伺服器進行通訊。以典型的方式,車輛管理員VM與車輛資料庫VDB相連,或者具有該車輛資料庫。在這個資料庫中為由車輛管理員管理的車輛存儲配置信息。在這種實施方式中,能夠通過可信車輛在線通訊代理伺服器(TVOCP)實現通訊或者部分通訊。用一條黑線示出了車輛和車輛在線服務(VOS)的通訊關係(例如http)。通過例如從車輛到TVOCP建立起一個VPN,該通訊可以在車輛和TVOCP之間打通隧道。在一個可選的實施方式中,在HTTP中,TVOCP可以實現為HTTP代理伺服器。然後就不必打通隧道,而是也可以從車輛向TVOCP直接發送HTTP詢問,TVOCP (可能修改後)將其轉發給目標伺服器,例如V0S。對這種詢問的回答可以相應地由目標伺服器VOS傳輸給TV0CP,它能夠將其(可能再次修改後)轉發給車輛。在建立隧道時,車輛可以相對於TVOCP自行認證。TVOCP就可以從車輛資料庫VDB調用車輛的實際配置。對配置進行分析,從而查出例如是否打上了實際的安全補丁。據此,為這輛車執行一個網絡訪問策略或者多個網絡訪問策略。特徵在於,通過TVOCP引導車輛和目標伺服器之間的任何通訊或者一部分通訊,使得在通訊到達車輛之前,能夠在TVOCP那裡檢查數據傳輸,並且能夠阻止進行潛在危險的或者不希望的通訊。TVOCP以評估為基礎(例如依據車輛類型和車輛的配置)執行定義的網絡訪問規則或者說策略(Network Access Policy),這就是說,只能進行規定的網絡訪問規則允許的通訊。其它的通訊被阻止。TVOCP以以下示例性的方式獲得進行評估的基礎-直接從車輛傳輸(特別是車輛身份鑑定/車輛認證),例如當車輛建立通往TVOCP的隧道(IPSec、SSL/TLS),並且車輛自我認證以後。作為選擇,車輛在這裡就已經能夠傳輸其他關於自己的信息(生產商、產品系列、車底盤編號/車輛識別碼、配置信息)。
-關於車輛的信息可以由TVOCP從一個資料庫中調用;特別是可以從車輛管理者(VM)或者說VM使用的、用於存儲車輛的配置信息的資料庫(VDB)調用信息。在這裡,特別是可以提供關於特定車輛的軟體水平的信息。於是特別是能夠考慮到,是否進行了實際的軟體更新(關鍵的安全更新)。在某些情況下,VM可以由TVOCP觸發,調用車輛的實際配置。-TVOCP也能夠主動地掃描車輛,從而獲得關於車輛的信息。依據這些參數可以確定TVOCP的網絡訪問規則,在車輛以下的通訊中實施這個規則。如果阻止了一次通訊,那麼可以選擇轉移到另一個伺服器上,或者說TVOCP代理答覆。例如,車輛的一次HTTP詢問可以由TVOCP截獲,並且向車輛傳輸HTTP重定向消息,它將車輛客戶轉移到另一個HTTP伺服器上。在那裡例如能夠以HTML顯示一個網頁,該網頁讓駕駛員得知,訪問已被阻止以及為何被阻止。
·
此外,能夠通過TVOCP向車輛傳輸信息,告知車輛應該連接VM伺服器。這例如可以通過將特殊的HTTP頭(HTTP-Header)插入傳輸給車輛的HTTP響應中。這樣一來,VM伺服器就能夠例如將可支配的軟體更新傳輸給車輛。此外,由TVOCP能夠向VM伺服器傳輸信息,告知車輛正在線。在即將更新時,VM伺服器能夠發起與車輛的一次管理會議,例如通過發送一條觸發SMS消息。本領域技術人員能夠立即看出,上述實施方式能夠相互組合,並且例如能夠在每種應用情況下或者在每種使用的協議下重新並且分開地執行,其中,針對不同的應用情況和不同的調查安全狀態的途徑可以同時存在不同的網絡訪問策略。總而言之,通過所有的實施例能夠確定的是,藉助本發明能夠由車輛自主地進行評估,或者由一臺伺服器協助進行評估(由伺服器協助評估),或者將兩個之前所述的可能性組合起來。在自主評估時,評估功能可以檢查車輛的實際配置和/或登錄信息和/或以下信息最後一次更新後經過的多久,或者說什麼時候最後檢查更新情況的,或者說是否也下載並安裝了最新的更新。例如可以由車間進行更新。這例如通過車間檢驗器實現,它通過診斷接口與車輛相連。作為代替,也能夠由使用者自己進行更新,例如藉助更新媒介,例如⑶/DVD、U盤、存儲卡等等,或者為此通過無線電通訊接口從更新伺服器下載更新(OTA Seif Update)。在OTA Seif Update時,車輛與車輛管理伺服器(VM)進行通訊,從而或者關於提供的更新的信息,並且可能將其下載並安裝。依據調查得到的評估結果就能夠查出網絡訪問規則,並且將其激活執行。例如能夠定義兩個網絡訪問策略(受限、不受限)。如果評估結果是,車輛處於安全的配置狀態下(例如在最近7天內檢查並安裝了最新的對於安全性至關重要的更新包),那麼激活「不受限」這個網絡訪問策略(使得能夠例如自由地、直接地訪問網絡)。否則激活「受限」這個網絡訪問集,在這種情況下,只能夠訪問直接由車輛生產商提供的可信的網絡服務。在由伺服器協助進行評估時(由伺服器協助評估),車輛能夠將參數傳輸給車輛安全狀態評估伺服器(VSSES)或者總的來說傳輸給安全狀態調查裝置(SEE),並且得到返回的評估結果作為響應。傳輸的參數可以包括-車輛的身份認證信息(例如車底盤編號、車輛識別碼),-車輛類型信息(生產商、款型、生產年份、已安裝配件),-配置信息(已安裝組件、軟體情況),-登錄信息(車輛的登錄信息,還連帶當前使用的車鑰匙,特別是關於OTA通訊,這些信息能夠這樣在伺服器上進行評估)。特別是,當伺服器(VM)中的資料庫(VDB)中存儲著關於車輛的實際配置信息,並 且能夠由VSSES調用時,只傳輸車輛身份認證信息就夠了。例如是在OMA (開放移動聯盟)DM協議OTA的幫助下管理例如車輛配置信息時,情況就是如此。如果信息未存放在資料庫中,就能夠直接從車輛向VSSES傳輸信息。評估結果可以具有-標記(安全是/否),-值(例如0、1、2、· · ·、9),-標識符(策略標識符直接的或者映射的),-提供的安全更新,可能帶有關於它的重要性或者說相關功能的信息,-網絡訪問規則。車輛依據接收到的評估結果設置網絡訪問規則,並且將其執行。車輛安全狀態評估伺服器(VSSES)例如是車輛生廠商的或者通訊服務商的一臺伺服器。在伺服器和車輛之間進行一次認證。例如可以藉助IPSec-、SSL-或TLS-協議支持通訊。信息例如可以通過HTTP、SOAP、OMA, DM、SyncML, SNMP實現。儘管VSSES被描述為獨立的單元,它也可以被包含在其它的單元內。於是,VSSES例如可以是可能提供更新的VM伺服器的一部分。正如已經實施的那樣,能夠預定義幾個網絡訪問策略,例如-不受限允許進行任意通訊(即使不通過代理伺服器直接進行);-基礎設施不受限允許與基礎設施服務進行任意通訊(即使直接進行),但是不進行車到車通訊;-基礎設施受管理允許與基礎設施進行任意通訊(即使直接進行),但是,其中只使用由公知的基礎設施運營商運營的移動無線電網絡(即,例如只使用Vodafone、T-MobiIe或 Orange 運營的 GPRS、UMTS/HSDPA、T,但是不使用 WLAN);-隧道與信任網關建立通訊隧道(建立隧道進行數據傳輸,並且發送給VPN伺服器,在例如被轉發給網際網路伺服器之前,它可以在那裡被分析且過濾;只有源自該伺服器的建立了隧道的數據傳輸才被進一步處理);-信任伺服器只能夠與由註冊在車輛的已配置好的白名單上的伺服器提供的在線服務進行通訊(例如 http ://*· bmw. de ;https ://*· bmw. de ;http ://*· bmw. com ;https //*. bmw. com);-零/關閉/全部拒絕不能進行OTA通訊。作為代替或者作為補充,也可以由車輛安全狀態評估伺服器(VSSES)或者其它的伺服器提供網絡訪問策略。
也可以定義極其細緻的網絡訪問策略例如可以進行內容過濾,從而為車輛過濾危險的內容。例如只有當某輛特定的車輛為相應的顯示程序下載了實際的安全補丁時,才允許網頁上的flash內容或者JavaScripts通過。一個網絡訪問策略的內容例如可以規定使用防火牆或者VPN。一個網絡訪問策略是由許多規則構成的。它們規定,以什麼方法處理什麼類型的網絡傳輸,特別是-是否允許進行該網絡傳輸,也就是說是否允許進一步處理,並且可能轉發給車輛中的目標控制器(允許);-是否要建立隧道(建立隧道;壓縮),也就是說通過一條VPN隧道進行傳輸;-是否要退出隧道(退出隧道;解壓縮),也就是說在進一步處理或者說轉發給目標 控制器之前,打開通過VPN隧道接收的數據;-是否要摒棄(刪除)。此外,可以為了允許的數據傳輸加上一定的限制,特別是關於最大數據傳輸率的限制,從而防止例如目標組件的過載。可能的過濾標準包括-車輛車輛生產商、款型、版本/生產年份、已安裝配件(特別是裝入的娛樂信息系統的版本);-朝向(導入車輛,從車輛導出);-車輛中的目標組件(也就是說,向哪個控制器轉發數據,或者說數據源自哪個控制器);-OTA 接口(GPRS、UMTS、WLAN、· ·.);-實際的OTA網絡運行商(例如T-Mobile、Vodafone、未公知的)和國家(德國、法國、· · ·);-IP位址(發送方;接收方);-原產地國IP位址(可以屏蔽某些國家);-協議(例如TCP,UDP);-埠編號;-URL 過濾器;-通訊已加密(例如SSL、TLS)或未加密;-針對公知攻擊方式的特定過濾器,特別是拒絕服務(DoS)(例如長度特定的Ping包);-經由可信任伺服器直接接收到的數據的隧道。除了純粹的網絡通訊,網絡訪問策略也可以涉及內容、即所謂的Content(網頁、多媒體資料庫、程序代碼)-可用的多媒體格式(例如總是能夠播放CD和WAV文件,而不能再播放MP3和Video);-支持的瀏覽器插件,例如用於Flash動畫;-用於將在線內容(網頁)分配到安全區(例如在微軟網際網路瀏覽器中定義一個安全區,它被授權這個區的網頁上可能的網頁內容,例如是否能使用JavaScript)的標準。藉助URL實現分配,由URL下載網頁或者一般來說是下載在線內容。-與安全區相關聯的授權(針對在線內容);-針對執行的程序代碼的授權現有技術中公知代碼訪問安全性,例如在微軟公共語言運行時或者Java運行時環境中。其中,依據其來源向程序代碼授予訪問權(也就是說,依據是誰籤發了程序代碼或者說是誰下載了該程序代碼)。近來,是依據安全評估設置授予某個特定代碼的授權;或者說,依據評估結果決定,究竟是否能夠執行某個特定的代碼。例如在車輛組件的補丁狀態不是實時狀態時,能夠以這種方式防止執行不可信的代碼/下載的第三方代碼。優選地,由車輛的通訊單元實施選擇的網絡訪問策略。作為選擇也能夠由單獨的、連接在前方的安全通訊單元實施選擇的網絡訪問策略。此外,在一個變化方案中,車輛內部在車載網絡中也能夠通過訪問控制裝置(車輛總線-網關、控制器)實現對通訊的過濾。為此,通訊單元或者說安全通訊單元能夠向這個 訪問控制裝置傳輸關於車輛安全狀態的信息(指示符、過濾規則),由此使得它們相應地適應它們的網絡訪問規則。然而,當前組件也能夠單獨地執行所描述的方法。為了避免受限,使用者最好能得到指示,要及時地或者說儘快地打上安全補丁,從而能夠繼續使用全部的服務。當訪問受限時,通訊可能性受限,並且因此最終不能使用所有的服務。然而,優選地應該總是能夠進行必要的軟體更新。可以指示使用者,為了能夠相應地使用服務,需要進is軟體更新。藉助本發明,車輛能夠相對自由地直接進行通訊,只要這樣做無危險。然而一旦發現有攻擊行為,或者車輛的保護措施過時或者不再充分有效,那麼就能夠通過網絡連接、通過相應的自我保護措施避免各種危害,例如對車輛組件的人為操控。如果出於安全原因有必要的話,就通過所述的保護機制限制或者完全禁止在線服務。只有當軟體的安全更新狀態是實時狀態時,車輛組件才能獲得對外的完全訪問權,因為然後它就能夠抵抗來自網絡的由此出現的攻擊。於是確保了車輛能夠可靠運行。
權利要求
1.一種防止通過車輛的無線通訊裝置對聯網車輛進行攻擊的系統,包括 -無線數據傳輸網絡, -安全狀態調查裝置,用於依據調查得到的安全狀態控制對無線數據傳輸網絡的訪問,-其中,所述安裝狀態是以對車輛的實際配置和/或車輛的登錄數據和/或自從相關的軟體更新後經過的時間進行的評估為基礎的, -通訊裝置,適於與無線數據傳輸網絡相連, -訪問控制裝置,用於控制對無線數據傳輸網絡的網絡訪問並且能與安全狀態調查裝置相連。
2.根據權利要求I所述的系統,其中,所述安全狀態調查裝置布置在車輛中並且能夠自主地對安全狀態進行評估。
3.根據權利要求I所述的系統,其中,所述安全狀態調查裝置布置在數據傳輸網絡中。
4.根據權利要求I至3中任一項所述的系統,其中,所述訪問控制裝置布置在車輛中。
5.根據權利要求I至3中任一項所述的系統,其中,所述訪問控制裝置布置在數據傳輸網絡中。
6.根據權利要求I至5中任一項所述的系統,其中,對無線數據傳輸網絡的網絡訪問的控制能夠通過網絡訪問策略控制,其中,能夠根據連接的類型、過濾標準的類型和/或內容的類型選擇對無線數據傳輸網絡的網絡訪問策略。
7.根據權利要求I至6中任一項所述的系統,其中,對網絡訪問的控制還包括確認訪問是否加密進行或者建立隧道進行。
8.根據權利要求I至7中任一項所述的系統,其中,對安全狀態進行評估還包括識別,車輛組件識別出的是一次攻擊還是在網絡訪問框架內的功能故障。
9.一種用於防止通過車輛的無線通訊裝置對聯網車輛進行攻擊的系統的方法,該系統具有 -無線數據傳輸網絡, -安全狀態調查裝置, -適於與所述無線數據傳輸網絡相連的通訊裝置,以及 -訪問控制裝置, 具有以下步驟 -調查安全狀態,其中,該安全狀態是以對車輛的實際配置和/或車輛的登錄數據和/或自從相關的軟體更新後經過的時間進行的評估為基礎的, -基於調查得到的安全狀態確定用於訪問數據傳輸網絡的網絡訪問策略, -激活所述確定的網絡訪問策略。
10.根據權利要求9所述的方法,還具有以下步驟 -激活初始的網絡訪問策略, -將車輛的實際配置和/或車輛的登錄數據和/或自從相關的軟體更新後經過的時間傳輸給用於調查安全狀態的評估伺服器, -傳輸調查得到的安全狀態。
11.根據權利要求10所述的方法,其中,不僅本地調查安全狀態而且還遠程調查安全狀態。
全文摘要
本發明涉及一種防止通過車輛的無線通訊裝置對聯網車輛進行攻擊的系統。該系統具有無線數據傳輸網絡和安全狀態調查裝置,用於依據調查得到的安全狀態控制對無線數據傳輸網絡的訪問,其中,所述安裝狀態是以對車輛的實際配置和/或車輛的登錄數據和/或自從相關的軟體更新後經過的時間進行的評估為基礎的。該系統還具有適於與無線數據傳輸網絡相連的通訊裝置和用於控制對無線數據傳輸網絡的網絡訪問的訪問控制裝置,它能夠與安全狀態調查裝置相連。本發明也還涉及一種用於防止通過車輛的無線通訊裝置對聯網車輛進行攻擊的系統的方法,其中,調查安全狀態,其中,該安裝狀態是以對車輛的實際配置和/或車輛的登錄數據和/或自從相關的軟體更新後經過的時間進行的評估為基礎的。本發明還包括基於調查得到的安全狀態確定用於訪問數據傳輸網絡的網絡訪問策略,緊接著激活該網絡訪問策略。
文檔編號H04L29/06GK102893574SQ201180010608
公開日2013年1月23日 申請日期2011年2月17日 優先權日2010年2月22日
發明者羅蘭·迪茨, 賴納·法爾克, 漢斯-約阿希姆·霍夫, 弗朗茨·斯塔德勒 申請人:大陸汽車有限責任公司