CN112347022B - 用于can节点的安全模块 - Google Patents
用于can节点的安全模块 Download PDFInfo
- Publication number
- CN112347022B CN112347022B CN202010747491.1A CN202010747491A CN112347022B CN 112347022 B CN112347022 B CN 112347022B CN 202010747491 A CN202010747491 A CN 202010747491A CN 112347022 B CN112347022 B CN 112347022B
- Authority
- CN
- China
- Prior art keywords
- bus
- bits
- consecutive bits
- consecutive
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 28
- 239000013389 DUT-20 Substances 0.000 description 12
- 238000005259 measurement Methods 0.000 description 8
- 230000004044 response Effects 0.000 description 8
- 239000013390 DUT-21(Si) Substances 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000000246 remedial effect Effects 0.000 description 2
- 239000013391 DUT-21(Sn) Substances 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000013388 element-organic framework Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4204—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus
- G06F13/4221—Bus transfer protocol, e.g. handshake; Synchronisation on a parallel bus being an input/output bus, e.g. ISA bus, EISA bus, PCI bus, SCSI bus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
- G06F11/10—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
- G06F11/1004—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B1/00—Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
- H04B1/38—Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/004—Arrangements for detecting or preventing errors in the information received by using forward error control
- H04L1/0056—Systems characterized by the type of code used
- H04L1/0061—Error detection codes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Small-Scale Networks (AREA)
- Quality & Reliability (AREA)
Abstract
一种用于CAN节点(402)的安全模块(460)。所述安全模块(460)包括:用于从CAN总线(404)接收数据的RXD输入接口,以及用于将数据传输到CAN总线(404)的TXD输出接口。所述安全模块(460)被配置成:经由所述RXD输入接口从所述CAN总线接收CAN帧;将接收到的CAN帧的标识符和与本地控制器(410)相关联的至少一个标识符进行比较;以及在检测到所述接收到的CAN帧的所述标识符和与所述本地控制器(410)相关联的所述至少一个标识符之间的匹配之后,通过将所述CAN帧中预定的多个连续位(682)设置为显性值,经由所述TXD输出接口将错误信号输出到所述CAN总线。所述预定的多个连续位(682)标识针对连接到所述CAN总线(404)的CAN节点的安全错误,并且至少是10个连续位。
Description
技术领域
本公开涉及控制器局域网中的安全。
背景技术
控制器局域网(CAN)总线是基于消息的通信总线协议,通常在汽车内使用。CAN总线协议用于实现各种电子控制单元(ECU)之间的通信,例如发动机控制模块(ECM)、传动系控制模块(PCM)、安全气囊、防震刹车、定速巡航、电动转向、音频系统、车窗、车门、后视镜调整、用于混合动力/电动汽车的电池和再充电系统等等。CAN协议的数据链路层被标准化为国际标准组织(ISO)11898-1。标准化的CAN数据链路层协议也已经被扩展以提供更高的数据速率。被称作CAN灵活数据速率或“CAN FD”的扩展协议是标准的ISO 11898-1:2015版本的一部分。被称为CAN XL的下一代CAN协议还在开发中。
车载网络(例如使用CAN总线协议的车载网络)日益引起人们关注的是网络安全,包括入侵检测和入侵防护。例如,受损的车载网络可能使攻击者恶意地控制车辆的组件。
发明内容
根据本公开的第一方面,提供了一种用于控制器局域网CAN节点的安全模块,所述安全模块包括:
接收数据RXD输入接口,用于从CAN总线接收数据;
传输数据TXD输出接口,用于将数据传输到CAN总线;
所述安全模块被配置成:
经由所述RXD输入接口从所述CAN总线接收CAN帧;
将接收到的CAN帧的标识符和与本地控制器相关联的至少一个标识符进行比较;以及
在检测到所述接收到的CAN帧的所述标识符和与所述本地控制器相关联的所述至少一个标识符之间的匹配之后,通过将所述CAN帧中预定的多个连续位设置为显性值,经由所述TXD输出接口将错误信号输出到所述CAN总线,其中所述预定的多个连续位标识针对连接到所述CAN总线的CAN节点的安全错误,并且至少是10个连续位。
此安全模块可以在CAN网络使恶意CAN消息失效、被破坏和/或终止的同时,有利地向其它CAN节点警示CAN网络正在遭受攻击。如 11898-1标准所定义的,使用至少10个连续显性位可以区分具有6位的错误标记。
在一个或多个实施例中,所述预定的多个连续位借助长度与由于形式错误而可能在所述CAN总线上出现的任何连续显性位的长度不同来标识针对连接到所述CAN总线的CAN节点的安全错误。
在一个或多个实施例中,所述预定的多个连续位是至多15个连续位。
在一个或多个实施例中,所述预定的多个连续位是以下之一:
10个连续位;
11个连续位;或
13个连续位。
在一个或多个实施例中,所述预定的多个连续位是以下之一:
16个连续位;
17个连续位;
19个连续位;或
超过19个连续位。
在一个或多个实施例中,所述安全模块被配置成设置所述预定的多个连续位,使得所述预定的多个连续位中的第一位在所述接收到的CAN 帧的CRC分隔符位之后出现。
在一个或多个实施例中,所述安全模块被配置成设置所述预定的多个连续位,使得所述预定的多个连续位中的第一位对应于所述接收到的CAN帧的应答位。
还提供了一种CAN节点,包括:
CAN收发器;
本地控制器;以及
本文所公开的任何安全模块。
所述安全模块的所述RXD输入接口和所述TXD输出接口可以被配置成经由所述CAN收发器与所述CAN总线进行通信。所述安全模块可位于所述CAN收发器与所述本地控制器之间的数据路径上。
在一个或多个实施例中,所述安全模块被配置成将所述接收到的 CAN帧传递到所述本地CAN控制器。所述本地CAN控制器可以被配置成基于所述接收到的CAN帧中的连续显性位来确定所述接收到的 CAN帧的有效性。
在一个或多个实施例中,所述CAN节点被配置成因以下原因而确定所述接收到的CAN帧无效:
当所述接收到的CAN帧中连续显性位的数目等于所述多个连续位中预定的连续位的数目时,违反安全政策;或
当所述接收到的CAN帧中连续显性位的所述数目不等于所述多个连续位中所述预定的连续位的数目时,出现非安全错误。
在一个或多个实施例中,所述CAN节点包括测量模块,所述测量模块被配置成测量所述CAN帧中连续显性位的所述数目。
在一个或多个实施例中,所述测量模块包括:计时器模块;或捕获和比较模块。
在一个或多个实施例中,所述测量模块被配置成通过测量与由连续显性位定义的脉冲相对应的脉冲长度来测量所述CAN帧中连续显性位的所述数目。
在一个或多个实施例中,所述测量模块被配置成在所述TXD输出接口上的信号电平和所述RXD输入接口上的信号电平都为显性时开始测量脉冲长度。
根据本公开的另一方面,提供了一种用于将错误信号输出到控制器局域网CAN总线的方法,所述方法包括:
从CAN总线接收CAN帧;
将接收到的CAN帧的标识符和与本地控制器相关联的至少一个标识符进行比较;
检测所述接收到的CAN帧的所述标识符和与所述本地控制器相关联的所述至少一个标识符之间的匹配;以及
通过将所述CAN帧中预定的多个连续位设置为显性值来将错误信号输出到所述CAN总线,其中所述预定的多个连续位标识针对连接到所述CAN总线的CAN节点的安全错误,并且至少是10个连续位。
虽然本公开容许各种修改和替代形式,但是已经以例子的方式在图式中示出本公开的细节并且将进行详细描述。然而,应理解,除所描述的特定实施例之外的其它实施例也是可能的。也涵盖属于所附权利要求书的精神和范围的所有修改、等效物和替代实施例。
以上论述并非旨在表示当前或未来权利要求集的范围内的每个示例实施例或每个实施方案。以下图式和具体实施方式也举例说明了各种示例实施例。考虑到结合附图的以下具体实施方式,可以更全面地理解各种示例实施例。
附图说明
现将参考附图仅借助于例子描述一个或多个实施例,在附图中:
图1示出了CAN网络;
图2示出了CAN节点的放大图;
图3示出了呈基本帧格式的经典CAN帧和CAN FD帧;
图4A示出了根据本公开的实施例的包括安全模块的CAN节点;
图4B示出了根据本公开的实施例的包括另一安全模块的CAN节点;
图5示出了经典CAN、CRC错误;
图6示出了CAN FD、CRC错误;
图7示出了具有失真的CAN FD、CRC错误;
图8示出了具有CRC失真的CAN FD、CRC错误;
图9示出了具有填充错误的经典CAN或CAN FD;
图10示出了经典CAN、CRC Del错误;
图11示出了CAN FD、CRC Del错误;
图12示出了CAN网络中形式错误的标准错误处理的例子;
图13示出了根据本公开的实施例的由安全模块标记的安全错误;
图14示出了安全错误标记;以及
图15示出了向控制器局域网CAN总线输出错误信号的方法的示例实施例。
具体实施方式
图1描述了包括各自连接到CAN总线104的多个CAN节点102(也被称作ECU)的CAN网络100。在图1的实施例中,每个CAN节点102 包括具有嵌入式CAN协议控制器114的本地控制器110或微控制器,以及CAN收发器120。本地控制器110通常连接到至少一个装置(未示出),例如传感器、致动器或一些其它控制装置,且所述本地控制器110 被编程以确定接收到的消息的含义并产生适当的传出消息。本地控制器还可被称作主机处理器、主机或数字信号处理器(DSP)。在一些例子中,主机支持与CAN协议控制器114交互的应用程序软件。
可以嵌入本地控制器110内或外接到本地控制器(例如,单独的IC 装置)的CAN协议控制器114实施数据链路层操作。例如,在接收操作中,CAN协议控制器114存储从收发器120接收到的串行位,直到本地控制器110可获取全部消息为止。CAN协议控制器114还可以根据 CAN协议的标准化帧格式对CAN消息进行解码。在传输操作中,CAN 协议控制器114从本地控制器接收消息,并将消息作为串行位以CAN 帧格式之一传输到CAN收发器120。
CAN收发器120位于CAN协议控制器114与CAN总线104之间并且实施物理层操作。例如,在接收操作中,CAN收发器120将来自 CAN总线的模拟差分信号转换成CAN协议控制器114可以解译的串行数字信号。CAN收发器还保护CAN协议控制器114免受CAN总线104 上极端电气条件(例如,电涌)的干扰。在传输操作中,CAN收发器 120将从CAN协议控制器114接收到的串行数字位转换成在CAN总线 104上发送的模拟差分信号。
CAN总线104承载模拟差分信号,并且包括CAN高(CANH)总线线路124和CAN低(CANL)总线线路126。
图2描绘了一个CAN节点202的放大图。也在图1中示出的图2 的特征已经用200序列给出了相应的附图标记,此处不必再次描述。
本地控制器210包括主机216,所述主机216例如可以是存储在本地控制器210的存储器中并由本地控制器210的处理电路执行的软件应用程序。CAN节点202的本地控制器210和CAN收发器220连接在电源电压Vcc和接地GND之间。在一些例子中,本地控制器210和CAN收发器220可具有不同的电源电压。如图2所示,从本地控制器210传送到CAN收发器220的数据被标识为传输数据(TXD),并且从CAN 收发器220传送到本地控制器210的数据被称作接收数据(RXD)。数据分别经由CANH总线线路224和226传送到CAN总线和从CAN总线传送。
图3描绘了在CAN正常模式中使用的ISO 11898-1帧330的格式(呈经典基本帧格式(CBFF)或标准格式),以及在CAN FD模式中使用的 ISO/DIS 11898-1帧332的格式(呈FD基本帧格式或FBFF)。CAN正常模式和CAN FD模式帧的字段定义如下:
SOF:开始帧(始终是显性的)
IDENTIFIER:标识符位,定义消息内容
RTR:远程传输请求
IDE:ID扩展
r0:保留位0(由FDF替换为CAN FD格式)
FDF:FD格式(这是区分帧格式的位)
BRS:波特率开关
ESI:错误状态指示符
DLC:数据长度码
Data:数据字节
CRC:循环冗余校验
CRC Del:CRC分隔符(始终是隐性的)
ACK:应答
ACK Del:应答分隔符
EOF:结束帧
经典帧格式还有另一版本,被称作“经典扩展帧格式(CEFF)”,其中FDF位处于旧r1位置,而FDF位处于CBFF中的r0位置。还有“FD 扩展帧格式(FEFF)”,其中“扩展”指的是29位标识符。值得注意的是,CAN协议使用CAN帧内的保留位(r0或ri)(还通常被称作FDF 位)来将帧标识为CAN FD模式帧。具体地,FDF位是指示帧是CAN 正常模式帧还是CAN FD模式帧的1位字段。当FDF位是显性(例如,低或“0”)时,帧是CAN正常模式帧,且当FDF位是隐性(例如,高或“1”)时,帧是CAN FD模式帧。在CAN正常模式帧中,保留位(r0, ri)总是被驱动为对总线线路为显性的。
CAN消息是广播消息并且标识符对于发送器CAN节点是唯一的。接收CAN节点的CAN协议控制器具有标识符过滤器,所述标识符过滤器被“调谐”到某些标识符以确保主机接收到相关消息并且不受无关消息的干扰。标准CAN帧具有11位IDENTIFIER字段以承载11位标识符,且扩展CAN帧具有29位IDENTIFIER字段以承载29位标识符。 29位IDENTIFIER字段被分成两部分,即11位基本IDENTIFIER字段和18位扩展IDENTIFIER字段。
如上所述,安全已成为车载网络日益关注的问题。车载网络的许多组件都使用必须定期更新的软件。为了更新软件,车载网络通常具有“后门”访问端口。如果后门访问端口被黑客入侵,则车载网络中的元件可能会受损。使用CAN协议的车载网络上的一种已知攻击技术涉及攻击者发送错误标记来干扰以特定标识符开头的帧,这可能导致此特定标识符的合法发送CAN节点进入“总线关闭”状态。当合法的CAN节点从总线关闭状态恢复时,攻击者可能用通常由发送CAN节点使用的标识符发送CAN消息(例如,“数据帧”,即RTR位设置为“0”的CAN帧)。可疑的CAN消息可能由CAN总线上的CAN节点接收并被辨识为有效消息,因为此标识符先前已在CAN网络中使用。因此,CAN总线上存在欺骗消息。一旦被CAN总线上的CAN节点接收到,可疑消息就可能被用于在接收CAN节点内实施恶意活动。
为了检测和防止CAN网络上的此类攻击,CAN节点可以被配置成存储通过CAN节点自身发送的CAN消息的标识符,并进一步被配置成将传入的CAN消息的标识符与存储的标识符进行比较,以确定是否任何传入的CAN消息都具有匹配标识符。由于通常对每个CAN节点唯一地分配标识符,所以如果接收到的标识符与存储的标识符匹配,则接收 CAN节点可以假设CAN消息来自侵入者并且可以采取措施以防止入侵。例如,响应于检测到接收到的标识符与存储的标识符之间的匹配, CAN节点可以被配置成立即将错误信号(例如,错误标记)发送到CAN 总线上,以防止恶意CAN消息被CAN总线上的任何CAN节点成功且完全地接收,例如,使CAN消息失效、被破坏和/或终止。应用此类技术,只有使用特定标识符的原始(或合法)CAN节点才可以发送具有此标识符的CAN消息,而不会使CAN消息无效、被破坏和/或终止。
图4A描绘了根据本公开的实施例的包括安全模块460的CAN节点 402。在此实施例中,向CAN收发器420和CAN本地控制器410分别提供安全模块460。安全模块460位于CAN收发器420与CAN本地控制器410之间的数据路径中。
图4B描绘了根据本公开的另一个实施例的包括安全模块460的 CAN节点402。在此实施例中,提供安全模块460作为CAN本地控制器410的一部分。例如,安全模块460的功能性可由CAN协议控制器提供。
在另一个实施例中,安全模块460的功能性可由CAN收发器420 提供。
安全模块460被配置成以使得CAN总线上的CAN节点能够标识CAN网络正在遭受攻击的方式实施上述入侵检测/防止技术。CAN节点 402包括如上文参考图1和图2所描述的CAN收发器420和CAN本地控制器410。安全模块460优选地在没有/最小延迟并且没有任何种类的缓冲的情况下将接收到的CAN帧传递到CAN本地控制器410。
应了解,本文中所公开的例子可以涉及经典的CAN节点、CAN FD 节点、CAN XL节点,或现在或将来满足相关的CAN标准的任何其它 CAN节点。
安全模块434包括用于从CAN总线404接收数据的接收数据RXD 输入接口436。安全模块434还包括用于向CAN总线404传输数据的传输数据TXD输出接口438。
安全模块460被配置成对在CAN总线404上接收到的CAN消息(例如,RXD路径上的CAN消息)的标识符进行解码,并且将CAN消息的标识符和与CAN节点402相关联的本地标识符的列表进行比较。所述列表可包括一个或多个本地标识符。安全模块460被定位成使得可以在CAN本地控制器410处完全接收到CAN消息之前进行比较。如果 CAN消息标识符与本地标识符匹配,则CAN节点402被视为遭受攻击的CAN节点。如果比较指示来自CAN消息的标识符与本地标识符中的一个匹配(并且假设CAN节点402不传输CAN消息自身),则安全模块460通过将CAN消息预定的多个连续位设置为显性值来将错误信号输出到CAN总线,其中所述多个是至少10个连续位。至少10个的多个连续显性位标识针对连接到CAN总线的CAN节点的安全错误。如 11898-1标准所定义的,使用至少10个连续显性位来区分具有6位的错误标记。以此方式,安全模块460在CAN网络使恶意CAN消息失效、被破坏和/或终止的同时,向其它CAN节点警示CAN网络正在遭受攻击。
耦合到CAN总线404的CAN节点通过丢弃CAN消息而不处理消息或检查在CAN节点相应的本地控制器处的有效负载来响应错误标记或失效标记。这可以防止CAN消息在遭受攻击的CAN节点402内和/ 或在CAN网络中的其它CAN节点内实施任何恶意活动。
通过将预定的至少10个的多个连续位设置为显性值,连接到CAN 总线404的CAN节点可以在不检查恶意CAN消息的有效负载的情况下标识CAN网络上的安全攻击。
预定的多个连续显性位是至少10个连续位,并且长度可不同于例如由于填充或形式错误而在CAN总线404上出现的连续显性位的任何长度。以此方式,CAN节点可区分:a)安全攻击,因为CAN节点接收含有预定数目(至少10个)的连续显性位的错误标记;以及b)由不同错误标记表示的形式错误。预定的多个连续显性位使得遭受攻击的CAN 节点402以及CAN网络上的其它远程CAN节点能够:(i)确定CAN 网络正在遭受攻击;以及(ii)潜在地采取任何补救措施。
多个连续显性位的长度标识针对从CAN总线404接收数据的CAN 节点的安全错误。使用CAN或CAN FD的标准错误处理方法,可以从 CAN网络中的以下一系列与非安全相关的错误例子中最好地理解长度的选择。每个情景都考虑了名为Alice、Bob和Eve的三个CAN节点通过同一CAN网络进行通信。
例子1-经典CAN网络中的标准CRC错误
参考图5,图5指示每个节点经由其TXD路径发送到CAN总线以及经由其RXD路径从CAN总线接收的位。
在此第一例子中,Bob检测到CRC错误(图中未示出),并且将由6个显性位组成的错误标记发送到CAN总线。从EOF-1开始在ACK Del 位之后标记错误。6位错误标记是由ISO11898-1定义的标准形式错误标记。
Alice和Eve从CAN总线接收EOF-1作为显性位,在正常操作下, Alice和Eve希望接收EOF-1作为隐性位。因此,Alice和Eve从下一位时间EOF-2开始将其自身的6位错误标记发送到CAN总线。
CAN总线上产生的错误由7个连续显性位组成。
例子2-CAN FD网络中的标准CRC错误
参考图6,图6指示每个节点经由其TXD路径发送到CAN总线以及经由其RXD路径从CAN总线接收的位。
在此例子中,Bob再次检测到CRC错误(图中未示出),并且将由6个显性位组成的错误标记发送到CAN总线。根据ISO 11898-1,从 EOF-2开始在CRC De1位之后的三位标记6位错误。
Alice和Eve从CAN总线接收EOF-2作为显性位,在正常操作下, Alice和Eve希望接收EOF-2作为隐性位。因此,Alice和Eve从下一位时间EOF-3开始将其自身的6位错误标记发送到CAN总线。
CAN总线上产生的错误由7个连续显性位组成。
例子3-具有失真的CAN FD网络中的标准CRC错误
参考图7,图7指示每个节点经由其TXD路径发送到CAN总线以及经由其RXD路径从CAN总线接收的位。
在此例子中,Bob再次检测到CRC错误(图中未示出)并且将由6 个显性位组成的错误标记发送到CAN总线。根据ISO 11898-1,在CRC Del位之后的三位标记6位错误。然而,由于失真,所有节点都会看到延长的ACK,并在其解码过程中添加ACK-2位。因此,Bob的6位错误标记开始于EOF-1。
Alice和Eve从CAN总线接收EOF-1作为显性位,在正常操作下, Alice和Eve希望接收EOF-1作为隐性位。因此,Alice和Eve从下一位时间EOF-2开始将其自身的6位错误标记发送到CAN总线。
CAN总线上产生的错误同样由7个连续显性位组成。
例子4-具有CRC失真的CAN FD网络中的标准CRC错误
参考图8,图8指示每个节点经由其TXD路径发送到CAN总线以及经由其RXD路径从CAN总线接收的位。
在此例子中,Bob再次检测到CRC错误(图中未示出),并且将由 6个显性位组成的错误标记发送到CAN总线。根据ISO 11898-1,在CRC Del位之后的三位标记6位错误。然而,由于失真,所有节点都会看到延长的CRC,并在其解码过程中添加CRC Del-2位。因此,Bob的6位错误标记开始于EOF-1。
Alice和Eve从CAN总线接收EOF-1作为显性位,在正常操作下, Alice和Eve希望接收EOF-1作为隐性位。因此,Alice和Eve从下一位时间EOF-2开始将其自身的6位错误标记发送到CAN总线。
CAN总线上产生的错误同样由7个连续显性位组成。
例子5-经典CAN或CAN FD网络中的标准填充错误
参考图9,图9指示每个节点经由其TXD路径发送到CAN总线以及经由其RXD路径从CAN总线接收的位。
在此例子中,Bob检测到由于失真导致的填充错误(6个连续显性位)。应注意,所有节点将图中的第七位作为隐性位发送,然而Bob接收到显性位。在检测到填充错误之后,Bob根据ISO 11898-1发送6位错误标记。
Alice和Eve接收到Bob的6位错误标记,并将其解译为填充错误。因此,根据ISO11898-1,Alice和Eve在下一位时间设置了其自身的6 位错误标记。
Bob从Can总线接收18个连续显性位。
Alice和Eve从Can总线接收12个连续显性位。
例子6-经典CAN网络中的CRC分隔符错误
参考图10,图10指示每个节点经由其TXD路径发送到CAN总线以及经由其RXD路径从CAN总线接收的位。
在此例子中,由于失真,Bob已接收到显性CRC分隔符(其为形式错误)位。作为响应,Bob根据ISO 11898-1在下一位时间开始发送6位错误标记。
Alice和Eve从CAN总线接收ACK-Del作为显性位,在正常操作下,Alice和Eve希望接收ACK-Del作为隐性位。因此,Alice和Eve从下一位时间EOF-1开始将其自身的6位错误标记发送到CAN总线。
Bob从Can总线接收14个连续显性位。
Alice和Eve从Can总线接收8个连续显性位。
例子7-CAN FD网络中的CRC分隔符错误
参考图11,图11指示每个节点经由其TXD路径发送到CAN总线以及经由其RXD路径从CAN总线接收的位。
在此例子中,由于失真,Bob已接收到显性CRC分隔符位(其为形式错误)。作为响应,Bob根据ISO 11898-1在下一位时间开始发送6位错误标记。
Alice和Eve在ACK之后看到显性位,并因此在其解码过程中插入 ACK 2位。然后,Alice和Eve接收ACK Del作为显性位,在正常操作下,Alice和Eve希望接收ACK Del作为隐性位。因此,Alice和Eve从下一位时间EOF-1开始将其自身的6位错误标记发送到CAN总线。
Bob从Can总线接收15个连续显性位。
Alice和Eve从Can总线接收9个连续显性位。
图12提供了CAN网络中形式错误的标准错误处理的另外的图示。上部图示示出了存在于CAN总线上的位序列570,其中一个节点已检测到由于缺少隐性ACK分隔符而引起的形式错误,并且在ACK期间设置了6位错误标记。其它节点通过在接收到显性ACK Del位之后开始设置 6位错误标记572而作出响应。对于CAN FD网络,其它CAN节点在 CAN总线上看到9个连续显性位(对于经典CAN,则看到8个连续位)。
下部图示示出了存在于CAN总线上的位序列574,其中一个CAN 节点已检测到CRC错误。节点将错误标记为从ACK分隔符位之后开始的6位错误标记。其它节点在下一位时间用自身的6位错误标记576作出响应。所有节点在CAN总线上看到7个连续显性位。此图示对应于上面的例子1和2。
以上例子示出了在标准错误处理程序下,经典CAN网络或CAN FD 网络中的CAN节点可以接收长度为7、12或18位的连续显性位序列。经典CAN网络中的CAN节点可以另外从CAN总线接收8或14个连续显性位。CAN FD网络中的CAN节点可以另外从CAN总线接收9或15个连续显性位。
在标准错误处理程序中,根据ISO 11898-1,经典CAN网络或CAN FD网络中的CAN节点仅将错误标记为6位错误标记。因此,即使CAN 节点可以接收7、8、9、12、14、15或18位的连续显性位序列,CAN 节点也仅被配置成设置6位错误标记。因此,在标准错误处理程序下,在CRC分隔符之后,CAN总线上不能存在特定长度(例如,10、11、 13)的连续显性位(并且不能由CAN节点接收)。可以使用这些特定的长度和位置来定义标识安全错误的本公开的预定的多个连续显性位。
图13示出了根据本公开的实施例的由安全模块标记的安全错误。图中示出了存在于CAN总线上的位序列680,其中CAN节点的安全模块通过将CAN消息的标识符和与CAN节点相关联的本地标识符进行匹配已检测到了欺骗攻击。响应于标识符匹配,安全模块通过将预定的多个连续位682设置为显性值已向CAN总线输出错误信号。预定的多个连续位682标识针对连接到CAN总线的CAN节点的安全错误。
为了标识针对CAN节点的安全错误,安全模块通过设置预定的多个连续显性位682来标记CAN总线上的错误,所述预定的多个连续显性位682的长度与由于形式错误而可能在CAN总线上出现的任何连续显性位的长度不同。预定的多个连续显性位682是至少10个连续位。在此例子中,预定的多个连续位682是11个连续位。在其它例子中,预定的多个连续显性位682可以是10个连续位或13个连续位。10、11或13 个连续位的长度与经典CAN和CAN FD网络都兼容。在经典CAN网络中,预定的多个连续显性位还可以是15个连续位。在CAN FD网络中,预定的多个连续位还可以是14个连续位。
如本文中所公开,术语“预定的”是指在CAN网络的操作之前(预定)确定标识针对CAN节点的安全错误的多个连续显性位的长度。以此方式,CAN网络的节点知道等于预定长度的连续显性位序列(例如, 11个连续显性位)标识出安全错误。
在一些例子中,预定的多个连续位682不是可以指示形式错误的数目。如关于以上例子所解释的,此类被排除的数字可以包括12、14、15 或18个连续位。因此,CAN节点将无法区分安全错误和形式错误。
在其它例子中,预定的多个连续位682可以是16个连续位、17个连续位、19个连续位或超过19个连续位。或者,预定的多个连续位682 可以少于14个连续位,以避免接收节点多次增加其错误计数器(这可被称作不合意的多错误解释)。
多个11个连续位和多个13个连续位都具有既适用于经典CAN节点又适用于CAN FD节点并且避免了多错误解释影响的优点。
在一些例子中,特别是在预定的多个连续位682是11或13位的例子中,预定的多个连续位682的第一位出现在CAN消息的CRC分隔符位684之后。第一位可以对应于CAN消息的应答位686。如果预定的多个连续位682大于13位,预定的多个连续位682中的第一位可在CRC 分隔符位684之前。
在所示出的CAN FD例子中,CAN网络中的其它CAN节点检测到显性ACK del位并确定了形式错误。作为响应,其它CAN节点根据ISO 11898-1标记了6位错误标记688。然而,由于预定的多个连续位682的长度至少是10位,因此CAN总线对于在6位错误标记688之后的一些位保持显性。以此方式,CAN总线上的节点确定预定的多个连续位682 标识出安全错误而且CAN网络正在遭受攻击。
安全模块的预定11位错误标记682的持续时间比其它CAN节点的反应性6位错误标记688长,因此可以清楚区分安全错误682与其它错误标记源。
根据本公开的实施例,以下例子描述了在以上例子中使用的三节点 CAN网络中安全模块的操作。此情境考虑了三个CAN节点Alice、Bob 和Eve通过同一CAN网络进行通信,然而在此例子中,Eve是试图欺骗 Alice标识符的恶意节点。
参考图14,图14指示每个节点经由其TXD路径发送到CAN总线并且经由其RXD路径从CAN总线接收的位。
在此例子中,恶意CAN节点Eve发送具有分配给Alice的标识符的 CAN消息。合法CAN节点Alice的安全模块接收到CAN消息,并将 CAN消息的标识符和与CAN节点Alice相关联的本地标识符进行比较。在检测到两者之间的匹配后,Alice的安全模块通过将多个11个连续位设置为从ACK位开始的显性值而向CAN总线输出错误。
Bob和Eve接收显性ACK Del,在正常操作下,Bob和Eve希望接收ACK Del作为隐性位。因此,根据ISO 11898-1,Bob和Eve从下一位时间EOF-1开始向CAN总线发送6位形式错误标记。6位错误标记在EOF-6处结束,但CAN总线仍然保持显性,直到Alice的11位安全错误标记结束为止。每一节点可以通过检测预定的多个11个连续显性位来标识已出现的安全攻击。
返回到图4A和4B,安全模块460被配置成将接收到的CAN消息传送到本地控制器410。本地控制器410可等待直到本地控制器410已接收到完整的CAN消息,然后再尝试对CAN消息进行解码或处理,或者本地控制器410可以持续处理接收到的CAN消息。
根据本公开的实施例,本地控制器410被配置成基于接收到的CAN 消息中存在的连续显性位确定所述接收到的CAN消息的有效性。具体地,如果接收到的CAN消息中连续显性位的数目等于预定的多个连续位中连续位的数目,CAN节点402可以确定由于安全攻击(或欺骗攻击) 而导致接收到的CAN消息无效。如果连接到CAN总线404的任何CAN 节点通过将CAN总线404上预定的多个连续位设置为显性值已经标识出安全攻击,则会出现这种情况。如果CAN消息中连续显性位的数目不等于与安全错误相关联的预定的连续位的数目,CAN节点402还可以确定由于非安全错误(例如,形式错误)导致接收到的CAN消息无效。在一些例子中,CAN节点的微控制器或其它专用硬件可以区分违反安全政策和非安全错误。
CAN节点402可以包括测量模块,以测量接收到的CAN消息中连续显性位的数目或长度。在一些例子中,测量模块可以是本地控制器410 的计时器模块或捕获和比较模块。测量模块可以通过测量与由连续显性位定义的脉冲相对应的脉冲长度来测量CAN消息中连续显性位的数目。测量模块可测量在CAN消息的CRC分隔符位之后的位的连续显性位的数目。当本地控制器上的RXD路径和TXD路径上的数据都是显性位时,测量模块可以在CRC分隔符位之后的时间开始测量连续位的数目。这将对应于RXD指示CAN总线404为显性的,而且TXD将显性ACK位发送到CAN总线404。当连接到CAN总线404的CAN节点中的一个可发出11位错误标记时,这又指示了正确的时间点。
在确定接收到的CAN消息是恶意CAN消息或CAN网络正在遭受攻击之后,本地控制器410可执行多个额外操作:
1.本地控制器可将CAN消息记录为恶意消息。CAN节点或网络运营商可以访问记录的消息以供将来分析。
2.本地控制器可以向网络运营商提醒或显示CAN网络正在遭受攻击的错误。网络运营商可以采取适当的补救措施,例如关闭CAN网络、启用网络中一个或多个节点的安全模式和/或标识并隔离攻击源。
3.本地控制器可将其CAN节点置于紧急模式或安全模式中。这可能包括禁止、限制或拒绝访问某些特征。
4.本地控制器可以自动地将消息发送到一个或多个其它CAN节点或整个CAN网络。此消息可能会警示CAN节点或网络遭受了攻击和/ 或将一个或多个CAN节点置于紧急模式中。
以上动作可由连接到CAN总线的CAN节点的任何本地控制器执行,因为每个CAN节点都可以将预定的多个连续显性位标识为安全攻击。
所公开的系统和方法为CAN节点和/或CAN网络拥有者提供手段来区分是否由于违反安全政策或由于非安全干扰(例如,由于故障或RF 能量注入而导致)而使CAN帧已失效。这通过错误信号的恰当计时实现,其中错误信号包括至少10个连续显性位。
安全模块收发器可以在恶意消息的CRC分隔符位之后启动错误信号,并且错误信号持续超过9位或至少10位。有利的是,错误信号可以具有11位或13位的长度。这可以提供安全错误信号的唯一位置和长度,可以通过连接到CAN总线的CAN节点观察到并区别于其它(与非安全相关的)错误信号。
图15示出了向控制器局域网CAN总线输出错误信号的方法的示例实施例。如贯穿本文所论述的,所述方法可响应于攻击而输出错误信号。
在步骤790处,所述方法涉及从CAN总线接收CAN帧。所述方法可涉及确定接收到的消息是否从本地主机发送。如果消息由本地主机/ 节点发送,此方法可应用与当远程主机/节点已接收到消息时的情况不同的或额外的条件。例如,可以仅检查一个或多个政策以查看具有本地主机/节点的标识符的远程接收的消息是否已违反了这些政策。
在步骤792处,所述方法包括将接收到的CAN帧的标识符和与本地控制器相关联的至少一个标识符进行比较。在步骤794处,所述方法包括检测接收到的CAN帧的标识符和与本地控制器相关联的至少一个标识符之间的匹配。如上所述,此类匹配指示第三方试图欺骗与本地控制器的CAN节点相关联的消息。
在步骤796处,所述方法包括通过将CAN帧中预定的多个连续位设置为显性值来向CAN总线输出错误信号。如上所述,预定的多个连续位标识针对连接到CAN总线的CAN节点的安全错误,并且至少是10 个连续位。
除非明确陈述了特定次序,否则以上图式中的指令和/或流程图步骤可以按任何次序执行。并且,本领域的技术人员将认识到,尽管已经论述了一个示例指令集/方法,但本说明书中的材料还可以通过多种方式组合以产生其它例子,且应在由此具体实施方式提供的上下文内理解。
在一些示例实施例中,上文所描述的指令集/方法步骤实施为以可执行指令集体现的功能和软件指令,所述可执行指令集在计算机或以所述可执行指令编程和控制的机器上得以实现。此类指令被加载用于在处理器(例如一个或多个CPU)上执行。术语“处理器”包括微处理器、微控制器、处理器模块或子系统(包括一个或多个微处理器或微控制器),或其它控制或计算装置。处理器可指代单个组件或多个组件。
在其它例子中,本文示出的指令集/方法以及与其相关联的数据和指令存储在相应的存储装置中,所述存储装置被实施为一个或多个非暂时性机器或计算机可读或计算机可用存储介质。此类一个或多个计算机可读或计算机可用存储介质被视为物品(或制品)的一部分。物品或制品可指任何制造的单个组件或多个组件。如本文中所定义的一种或多种非暂时性机器或计算机可用介质不包括信号,但是此类一种或多种介质可能够接收并处理来自信号和/或其它暂时性介质的信息。
本说明书中论述的材料的示例实施例可完全或部分地通过网络、计算机或基于数据的装置和/或服务来实施。这些可包括云、互联网、内联网、移动装置、台式计算机、处理器、查找表、微控制器、消费型设备、基础设施或其它启用装置和服务。如本文和权利要求书中可使用的,提供以下非排他性定义。
在一个例子中,本文中所论述的一个或多个指令或步骤是自动的。术语“自动的”或“自动地”(和其类似变型)是指使用计算机和/或机械/电气装置的设备、系统和/或过程的受控操作,而无需人类干预、观测、努力和/或决策。
应了解,可直接或间接地耦合或连接所述待耦合的任何组件。在间接耦合的情况下,额外的组件可位于所述待耦合的两个组件之间。
在本说明书中,已经根据选定的细节集呈现了示例实施例。然而,本领域的普通技术人员将理解,可以实践包括这些细节的不同选定集的许多其它示例实施例。所附权利要求书旨在涵盖所有可能的示例实施例。
Claims (9)
1.一种安全系统,包括用于控制器局域网CAN节点(402)的安全模块(460),其特征在于,所述安全模块(460)包括:
接收数据RXD输入接口(464),用于从CAN总线(404)接收数据;
传输数据TXD输出接口(462),用于将数据传输到所述CAN总线(404);
其中所述安全模块(460)被配置成:
经由所述RXD输入接口从所述CAN总线(404)接收CAN帧;
将接收到的CAN帧的标识符和与本地控制器(410)相关联的至少一个标识符进行比较;以及
在检测到所述接收到的CAN帧的所述标识符和与所述本地控制器(410)相关联的所述至少一个标识符之间的匹配之后,通过将所述CAN帧中预定的多个连续位(682)设置为显性值,经由所述TXD输出接口将错误信号输出到所述CAN总线(404),其中所述预定的多个连续位(682)标识针对连接到所述CAN总线(404)的CAN节点的安全错误,并且至少是10个连续位,并且所述预定的多个连续位是至多15个连续位。
2.根据权利要求1所述的安全系统,其特征在于,所述预定的多个连续位借助长度与由于形式错误而可能在所述CAN总线上出现的任何连续显性位的长度不同来标识针对连接到所述CAN总线(404)的CAN节点的安全错误。
3.根据在前的任一项权利要求所述的安全系统,其特征在于,所述预定的多个连续位是以下之一:
10个连续位;
11个连续位;或
13个连续位。
4.根据权利要求1所述的安全系统,其特征在于,所述预定的多个连续位是以下之一:
16个连续位;
17个连续位;
19个连续位;或
超过19个连续位。
5.根据权利要求1或权利要求2所述的安全系统,其特征在于,所述安全模块(460)被配置成设置所述预定的多个连续位,使得所述预定的多个连续位中的第一位在所述接收到的CAN帧的CRC分隔符位(684)之后出现。
6.根据权利要求1或权利要求2所述的安全系统,其特征在于,所述安全模块(460)被配置成设置所述预定的多个连续位,使得所述预定的多个连续位中的第一位对应于所述接收到的CAN帧的应答位(686)。
7.一种CAN节点(402),其特征在于,包括:
CAN收发器(420);
本地控制器(410);以及
根据在前的任一项权利要求所述的安全模块(460),
其中:
所述安全模块(460)的所述RXD输入接口和TXD输出接口被配置成经由所述CAN收发器与所述CAN总线(404)进行通信,并且
所述安全模块(460)位于所述CAN收发器(420)与所述本地控制器(410)之间的数据路径上。
8.根据权利要求7所述的CAN节点(402),其特征在于:
所述安全模块(460)被配置成将所述接收到的CAN帧传递到所述本地控制器(410),并且
所述本地控制器(410)被配置成基于所述接收到的CAN帧中的连续显性位来确定所述接收到的CAN帧的有效性。
9.一种用于将错误信号输出到控制器局域网CAN总线(404)的方法,其特征在于,所述方法包括:
从所述CAN总线(404)接收CAN帧;
将接收到的CAN帧的标识符和与本地控制器(410)相关联的至少一个标识符进行比较;
检测所述接收到的CAN帧的所述标识符和与所述本地控制器(410)相关联的所述至少一个标识符之间的匹配;以及
通过将所述CAN帧中预定的多个连续位设置为显性值来将错误信号输出到所述CAN总线(404),其中所述预定的多个连续位标识针对连接到所述CAN总线的CAN节点的安全错误,并且至少是10个连续位;并且所述预定的多个连续位是至多15个连续位。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP19190350.9 | 2019-08-06 | ||
| EP19190350.9A EP3772840B1 (en) | 2019-08-06 | 2019-08-06 | A security module for a can node |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112347022A CN112347022A (zh) | 2021-02-09 |
| CN112347022B true CN112347022B (zh) | 2024-07-30 |
Family
ID=67658492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010747491.1A Active CN112347022B (zh) | 2019-08-06 | 2020-07-29 | 用于can节点的安全模块 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11888866B2 (zh) |
| EP (1) | EP3772840B1 (zh) |
| CN (1) | CN112347022B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3772841B1 (en) | 2019-08-06 | 2023-06-14 | Nxp B.V. | A security module for a can node |
| EP3772839B1 (en) | 2019-08-06 | 2023-01-04 | Nxp B.V. | Security module for a serial communications device |
| JP2022545639A (ja) * | 2019-08-12 | 2022-10-28 | ボヨモーティブ,エルエルシー | コントローラ・エリア・ネットワーク母線に対する侵入を検知かつ無効にする方法および装置 |
| US11431439B1 (en) | 2021-04-12 | 2022-08-30 | Nxp B.V. | Controller area network transceiver |
| US20220374515A1 (en) * | 2021-04-23 | 2022-11-24 | Ut-Battelle, Llc | Universally applicable signal-based controller area network (can) intrusion detection system |
| EP4199434A1 (en) * | 2021-12-17 | 2023-06-21 | Nxp B.V. | Apparatus for a controller area network |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475523A (zh) * | 2013-09-10 | 2013-12-25 | 浙江大学 | 带总线错误解析功能的can总线分析系统 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9009523B2 (en) | 2012-11-27 | 2015-04-14 | GM Global Technology Operations LLC | Method and apparatus for isolating a fault in a controller area network |
| US10452504B2 (en) | 2013-10-02 | 2019-10-22 | Nxp B.V. | Controller area network (CAN) device and method for emulating classic CAN error management |
| US20150135271A1 (en) | 2013-11-11 | 2015-05-14 | GM Global Technology Operations LLC | Device and method to enforce security tagging of embedded network communications |
| EP2940935B1 (en) * | 2014-04-30 | 2017-08-02 | Nxp B.V. | Controller area network (CAN) device and method for controlling CAN traffic |
| US9298529B2 (en) | 2014-05-29 | 2016-03-29 | Freescale Semiconductor, Inc. | Indicating internal transmitter errors in a controller area network (CAN) |
| EP2985955B1 (en) * | 2014-08-15 | 2019-06-12 | Nxp B.V. | Controller area network (can) device and method for emulating classic can error management |
| US9380070B1 (en) | 2015-01-20 | 2016-06-28 | Cisco Technology, Inc. | Intrusion detection mechanism |
| US9825918B2 (en) * | 2015-05-22 | 2017-11-21 | Nxp B.V. | Controller area network (CAN) device and method for operating a CAN device |
| US9935774B2 (en) * | 2015-05-22 | 2018-04-03 | Nxp B.V. | Configurable cryptographic controller area network (CAN) device |
| US10095634B2 (en) * | 2015-05-22 | 2018-10-09 | Nxp B.V. | In-vehicle network (IVN) device and method for operating an IVN device |
| US9817714B2 (en) | 2015-08-28 | 2017-11-14 | Intel Corporation | Memory device on-die error checking and correcting code |
| US10361934B2 (en) * | 2015-09-28 | 2019-07-23 | Nxp B.V. | Controller area network (CAN) device and method for controlling CAN traffic |
| JP6836340B2 (ja) | 2015-09-29 | 2021-02-24 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正検知電子制御ユニット、車載ネットワークシステム及び通信方法 |
| WO2017083862A1 (en) | 2015-11-12 | 2017-05-18 | Mercury Systems, Inc. | Broadcast bus frame filter |
| US20170235698A1 (en) * | 2016-02-12 | 2017-08-17 | Nxp B.V. | Controller area network (can) message filtering |
| US10701102B2 (en) | 2017-10-03 | 2020-06-30 | George Mason University | Hardware module-based authentication in intra-vehicle networks |
| US11609574B2 (en) | 2018-11-13 | 2023-03-21 | FLIR Belgium BVBA | Extrinsic sensor calibration systems and methods |
| EP3772839B1 (en) | 2019-08-06 | 2023-01-04 | Nxp B.V. | Security module for a serial communications device |
| EP3772841B1 (en) | 2019-08-06 | 2023-06-14 | Nxp B.V. | A security module for a can node |
-
2019
- 2019-08-06 EP EP19190350.9A patent/EP3772840B1/en active Active
-
2020
- 2020-07-29 CN CN202010747491.1A patent/CN112347022B/zh active Active
- 2020-08-04 US US16/984,925 patent/US11888866B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475523A (zh) * | 2013-09-10 | 2013-12-25 | 浙江大学 | 带总线错误解析功能的can总线分析系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210044600A1 (en) | 2021-02-11 |
| EP3772840A1 (en) | 2021-02-10 |
| US11888866B2 (en) | 2024-01-30 |
| CN112347022A (zh) | 2021-02-09 |
| EP3772840B1 (en) | 2023-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112347022B (zh) | 用于can节点的安全模块 | |
| CN112347023B (zh) | 用于can节点的安全模块 | |
| EP3668756B1 (en) | Systems and methods for disabling a malicious ecu in a controller area network (can) bus | |
| US10868817B2 (en) | Systems and methods for neutralizing masquerading attacks in vehicle control systems | |
| CN112347021B (zh) | 用于串行通信装置的安全模块 | |
| CN111147437B (zh) | 基于错误帧归因总线断开攻击 | |
| US20190123908A1 (en) | Arithmetic Device, Authentication System, and Authentication Method | |
| CN109104352B (zh) | 车辆网络操作协议和方法 | |
| KR101972457B1 (ko) | Can 통신 기반 해킹공격 탐지 방법 및 시스템 | |
| US12052371B2 (en) | Method for monitoring a network | |
| KR101734505B1 (ko) | 차량용 네트워크의 공격탐지 방법 및 그 장치 | |
| US11789886B2 (en) | Controller area network device | |
| Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
| CN112583786A (zh) | 用于警报的方法、发送器设备和接收器设备 | |
| US11528284B2 (en) | Method for detecting an attack on a control device of a vehicle | |
| US20190098017A1 (en) | Data communication method and apparatus for vehicle network | |
| EP4304135A1 (en) | Controller area network (can) transceiver, can node, can system and method for the can transceiver | |
| SE2350065A1 (en) | Methods and arrangements for communicating a security critical signal over a CAN bus | |
| KR20230097397A (ko) | 차량 네트워크 침입 탐지 시스템 및 그 방법 | |
| CN115643038A (zh) | 总线系统中经由接收线路的帧无效 | |
| CN116471139A (zh) | 控制器局域网模块和用于所述模块的方法 | |
| KR20200124470A (ko) | 차량의 게이트웨이 장치, 그를 포함한 시스템 및 그 침입 탐지 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |