亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

防止攻擊聯(lián)網(wǎng)車輛的系統(tǒng)和方法

文檔序號:7848236閱讀:244來源:國知局
專利名稱:防止攻擊聯(lián)網(wǎng)車輛的系統(tǒng)和方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種根據(jù)權(quán)利要求I前序部分所述的系統(tǒng),用于通過車輛的無線通訊裝置防止對聯(lián)網(wǎng)車輛的攻擊,還涉及一種相應(yīng)的方法。
現(xiàn)有技術(shù)車輛在變成越來越復(fù)雜的系統(tǒng),它們能夠通過一個或者多個無線的連接裝置從一個或者多個數(shù)據(jù)網(wǎng)絡(luò)下載不同類型的內(nèi)容,例如天氣及交通數(shù)據(jù)、音樂、電影、熱點信息、軟件更新或者遠(yuǎn)程診斷。為了進(jìn)行無線連接,在車輛中可以裝入一個通訊接口(通訊箱,ComBox),它支持一 種或者多種無線電標(biāo)準(zhǔn)(例如GSM/GPRS、EDGE、UMTS、HSDPA、LTE、WLAN、WiMAX…)。于是,車輛或者說車輛的組件,例如娛樂信息節(jié)目系統(tǒng),與基礎(chǔ)設(shè)施服務(wù)器、其他車輛(車到車通訊)或者豎立在街邊的無線電信標(biāo)進(jìn)行通訊,并且從這些地方下載東西。通過這種無線通訊,使得車輛對不可靠的外界開放,于是也暴露在通過通訊接口實施的攻擊之下。因此,聯(lián)網(wǎng)的車輛需要保護(hù)措施,防止通過通訊接口對車輛實施的攻擊。由現(xiàn)有技術(shù)公知許多裝置,它們能夠從外部接受連接、轉(zhuǎn)達(dá)給內(nèi)部的控制器、能夠進(jìn)行加密通訊,并且這些裝置能夠從外部編程。然而,在從車輛提取數(shù)據(jù)時,這些裝置卻不能提供適當(dāng)?shù)谋Wo(hù)。此外還公知許多系統(tǒng),它們在線調(diào)查更新狀態(tài)。然而,這些系統(tǒng)要在已經(jīng)建立起連接之后才調(diào)查更新狀態(tài),并且原則上不適合在檢查完更新狀態(tài)之前阻止對來自車輛的下載內(nèi)容的攻擊行為。

發(fā)明內(nèi)容
因此,本發(fā)明任務(wù)在于,提供一種系統(tǒng)和一種方法,它們適用于防止通過無線通訊裝置對聯(lián)網(wǎng)的車輛實施的攻擊,并且同時消除現(xiàn)有技術(shù)中的一個或者多個缺點。根據(jù)本發(fā)明,提供一種系統(tǒng)用于防止通過車輛的無線通訊裝置對聯(lián)網(wǎng)的車輛實施攻擊。該系統(tǒng)包括無線的數(shù)據(jù)傳輸網(wǎng)絡(luò)、安全狀態(tài)調(diào)查裝置,用于依據(jù)調(diào)查得到的安全狀態(tài)控制對無線數(shù)據(jù)傳輸網(wǎng)絡(luò)(DatenverkehrsnetZ)的訪問,其中,安裝狀態(tài)以評估車輛的實際配置和/或車輛的登錄數(shù)據(jù)(Log-Daten)為基礎(chǔ)和/或以更新相關(guān)軟件以后經(jīng)過的時間為基礎(chǔ)。此外,該系統(tǒng)還具有通訊裝置,適用于與無線數(shù)據(jù)傳輸網(wǎng)絡(luò)相連,并且具有訪問控制裝置,用于控制對無線數(shù)據(jù)傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問并且能與安全狀態(tài)調(diào)查裝置相連。此外,本發(fā)明也涉及一種用于防止通過車輛的無線通訊裝置對聯(lián)網(wǎng)的車輛實施攻擊的系統(tǒng)的方法,其中,調(diào)查安全狀態(tài),所述安全狀態(tài)以評估車輛的實際配置和/或車輛的登錄數(shù)據(jù)為基礎(chǔ)和/或以從更新相關(guān)軟件以后經(jīng)過的時間為基礎(chǔ)。此外,該方法還包括以調(diào)查得到的安全狀態(tài)為基礎(chǔ)確定用于訪問數(shù)據(jù)傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問策略,所述確定的網(wǎng)絡(luò)訪問策略緊接著被激活。根據(jù)權(quán)利要求I所述的根據(jù)本發(fā)明的系統(tǒng)和根據(jù)權(quán)利要求9所述的根據(jù)本發(fā)明的方法的改進(jìn)方案是各個從屬權(quán)利要求的對象。


下面以舉例的方式借助附圖闡述本發(fā)明。然而,本發(fā)明不局限于所示實施例。在這些圖中示出圖I根據(jù)本發(fā)明的系統(tǒng)的一種實施方式的示意圖,圖2根據(jù)本發(fā)明的組件在參照車輛內(nèi)部總線系統(tǒng)的情況下的一種可能的布局的截取圖,·
圖3符合第一實施方式的示例性的根據(jù)本發(fā)明的方法,圖4符合第二實施方式的另一示例性的根據(jù)本發(fā)明的方法,圖5符合第三實施方式的另一示例性的根據(jù)本發(fā)明的方法,圖6符合第四實施方式的另一示例性的根據(jù)本發(fā)明的方法,圖7根據(jù)本發(fā)明的一種實施方式的一種根據(jù)本發(fā)明的信息流,圖8根據(jù)本發(fā)明的系統(tǒng)的另一種實施方式的示意性示圖。
具體實施例方式圖I示出一輛車,它具備車載單元(0BU),該車載單元能夠通過通訊裝置在使用不同的移動無線電系統(tǒng)的情況下(例如UMTS、LTE、GPS、WiMAX, Wlan)與一個示例性的數(shù)據(jù)網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施服務(wù)器進(jìn)行通訊。示例性的基礎(chǔ)設(shè)施服務(wù)器(Infrastruktur-Servern)例如可以是下載服務(wù)器(DL),它例如提供音樂的下載。另一個基礎(chǔ)設(shè)施服務(wù)器例如可以是車輛管理服務(wù)器(VM),它配置并監(jiān)控車輛,例如用于診斷或者運(yùn)行軟件更新。還有另一個基礎(chǔ)設(shè)施服務(wù)器可以是車輛在線服務(wù)服務(wù)器(V0S),它提供在線服務(wù),例如實際的天氣及交通信息。此外還能夠設(shè)置車輛安全狀態(tài)評估服務(wù)器(VSSES),它為車輛提供關(guān)于其安全狀態(tài)的信息。此外,車輛或者說OBU能夠通過車到車通訊(C2C)與其它的車輛或者說OBU通訊,或者與固定安裝的路邊設(shè)施(RSU)進(jìn)行通訊。圖2示出根據(jù)本發(fā)明的組件參照車輛內(nèi)部的總線系統(tǒng)的一種可能的布局的截取圖。在示例性的通訊裝置(ComBox)上連接著發(fā)送接收單元,從而能夠使用不同的無線電系統(tǒng)(UMTS、HSDPA, WLAN、Broadcast、WAVA (c2c))。通過一個示例性的以太網(wǎng)(Ethernet)汽車總線使得娛樂信息系統(tǒng)與一個示例性的頭單元(Head Unit)相連,以及示例性地與兩個用于后座的單元相連,即所謂的后座娛樂系統(tǒng)(RSE1、RSE2)。代替以太網(wǎng),在這里也可以例如使用MOST、Flexray或者任何其他合適的總線。
通過網(wǎng)關(guān)(GW)使兩個控制器E⑶I、E⑶2相連,它們能夠通過另一個協(xié)議進(jìn)行通訊,例如CAN協(xié)議。該ComBox可以具有網(wǎng)絡(luò)訪問執(zhí)行引擎(NAEE),它限制或者說影響“外部”和“內(nèi)部”之間的通訊。它的實現(xiàn)符合實際的網(wǎng)絡(luò)訪問策略(AOAP=激活OTA訪問策略)。這個網(wǎng)絡(luò)訪問策略(AOAP)是由網(wǎng)絡(luò)訪問策略選擇功 能(NAPS)(網(wǎng)絡(luò)訪問策略選擇)選擇或者說定義的,它可以依據(jù)安全自評估(SSE)的結(jié)果。此外,該網(wǎng)絡(luò)訪問策略也能夠依據(jù)其它的參數(shù)。該ComBox可以包含網(wǎng)絡(luò)訪問實施單兀(Network Access Control PolicyEnforcement Unit),它限制或者說影響來自/通往“外部”的網(wǎng)絡(luò)傳輸,也就是說與發(fā)送接收單元的網(wǎng)絡(luò)傳輸。網(wǎng)絡(luò)訪問實施單元能夠執(zhí)行對安全狀態(tài)的評估,并且能夠調(diào)查安全策略,所述網(wǎng)絡(luò)訪問實施單元能夠激活并實施所述安全策略。此外,網(wǎng)絡(luò)訪問實施單元還能夠選擇通過控制口令改變車輛的其他組件的網(wǎng)絡(luò)通訊過濾器(防火墻功能)的配置。特別是網(wǎng)絡(luò)訪問實施單元能夠相應(yīng)地更改網(wǎng)關(guān)(GW)、娛樂信息系統(tǒng)單元(HU、RSEU RSE2)或者無線電模塊的網(wǎng)絡(luò)通訊過濾器。圖3不出一種符合第一種實施方式的不例性的根據(jù)本發(fā)明的方法。其中,該方法以步驟100開始??梢酝ㄟ^許多的事件啟動該方法的流程。于是例如可以設(shè)計的是,在開始點火時、在發(fā)動汽車馬達(dá)時、在打開/激活娛樂信息系統(tǒng)時、在建立連接時(激活ComBox)、或者還有在改變配置/軟件更新之后啟動該方法流程,或者也可以有規(guī)律地例如按時地(例如每小時一次地)啟動該方法流程。緊接著,在步驟300中調(diào)查實際的車輛安全狀態(tài)。以調(diào)查得到的車輛安全狀態(tài)為基礎(chǔ),在步驟400中確定網(wǎng)絡(luò)訪問策略,網(wǎng)絡(luò)訪問策略在步驟900中被激活。緊接著在步驟1000中終止該方法流程。在前述方法中,所有步驟都能夠自主地在車輛中進(jìn)行,并且以相應(yīng)的方法布置在ComBox或者說OBU中。由此使得能夠在建立通訊之前,并且因此在接觸到潛在的危險源之前就檢查其安全性,并且在可疑情況下暫且禁止通訊。在另一種優(yōu)選的實施方式中可以在步驟100中啟動以后直接在一個在此未示出的步驟200中明確地激活一個網(wǎng)絡(luò)訪問策略“零”(NULL) / “關(guān)閉”/ “全部拒絕”,從而在步驟300中激活調(diào)查得到的網(wǎng)絡(luò)訪問策略之前禁止任何OTA通訊。圖4示出一種符合第二種實施方式的示例性的根據(jù)本發(fā)明的方法。其中,該方法流程在步驟100中啟動。在步驟500中激活初始的網(wǎng)絡(luò)訪問策略。然后步驟600中將車輛的實際配置和/或車輛的登錄數(shù)據(jù)和/或在相應(yīng)的軟件更新之后經(jīng)過的時間傳輸給用于調(diào)查安全狀態(tài)的評估服務(wù)器(VSSES)。在步驟700中接收安全狀態(tài)的調(diào)查結(jié)果,緊接著在步驟800中確定一個合適的網(wǎng)絡(luò)訪問策略。然后在步驟900中激活這個確定的網(wǎng)絡(luò)訪問策略。緊接著在步驟1000中終止該方法流程。在這種變化方案中,是在一個外部的服務(wù)器上進(jìn)行評估的。于是,這個方法可以被稱為由服務(wù)器協(xié)助的評估。只有當(dāng)本地的安全狀態(tài)檢查結(jié)果是安全結(jié)果的最低底限時,才繼續(xù)進(jìn)行由服務(wù)器協(xié)助的安全評估。
圖5還示出了另一種示例性的根據(jù)本發(fā)明的符合第三種實施方式的方法。其中,在步驟100中啟動所述方法流程。緊接著在啟動后,可以在步驟200中明確地激活網(wǎng)絡(luò)訪問策略“零”/ “關(guān)閉”/ “全部拒絕”,從而暫時禁止在激活調(diào)查得到的網(wǎng)絡(luò)訪問策略之前進(jìn)行任何OTA通訊。緊接著在步驟300中調(diào)查實際的車輛安全狀態(tài)。以調(diào)查得到的車輛安全狀態(tài)為基礎(chǔ),在步驟400中調(diào)查是否滿足了對安全性的最低要求。如果這些要求未被滿足,就在步驟1000中終止該方法流程。如果滿足了最低要求,該方法流程就如之前參照圖4所描述的那樣繼續(xù)進(jìn)行下去,也就是說,在步驟500中激活一個初始的網(wǎng)絡(luò)訪問策略。然后在步驟600中將車輛的實際配置和/或車輛的登錄數(shù)據(jù)和/或從更新相關(guān)軟件以來經(jīng)過的時間傳輸給用于調(diào)查安全狀態(tài)的評估服務(wù)器(VSSES)。在步驟700中接收調(diào) 查安全狀態(tài)的結(jié)果,緊接著在步驟800中確定合適的網(wǎng)絡(luò)訪問策略。然后在步驟900中激活所確定的網(wǎng)絡(luò)訪問策略。緊接著在步驟1000中終止該方法流程。這種實施方式可以被稱為對安全狀態(tài)的多級詢問,其中,不僅能夠自主地在車輛中完成評估,并且以相應(yīng)的方式布置在ComBox或者說OBU中,還能夠在外部的服務(wù)器上進(jìn)行評估。圖6還示出一種示例性的根據(jù)本發(fā)明的符合第四種實施方式的方法。其中,在步驟100中啟動該方法流程。在啟動后,可以直接在步驟200中明確地激活一個網(wǎng)絡(luò)訪問策略“零關(guān)閉全部拒絕”,從而暫時禁止在激活調(diào)查得到的網(wǎng)絡(luò)訪問策略之前進(jìn)行任何OTA通訊。緊接著在步驟300中調(diào)查實際的車輛安全狀態(tài)。以調(diào)查得到的車輛安全狀態(tài)為基礎(chǔ),在步驟400中調(diào)查是否滿足了對安全性的要求,如果滿足要求,就在步驟900a中激活網(wǎng)絡(luò)訪問策略,它激活OTA通訊。緊接著在步驟1000中終止該方法流程。然而,如果在步驟400中發(fā)現(xiàn)未滿足條件,就進(jìn)入由服務(wù)器協(xié)助的評估。這是通過在步驟500中激活一次初始的網(wǎng)絡(luò)訪問策略啟動的。然后在步驟600中將車輛的實際配置和/或車輛的登錄數(shù)據(jù)和/或在相應(yīng)的軟件更新之后經(jīng)過的時間傳輸給用于調(diào)查安全狀態(tài)的評估服務(wù)器(VSSES)。在步驟700中接收安全狀態(tài)的調(diào)查結(jié)果。在步驟800檢查,接收到的評估結(jié)果是否充分,也就是說,要確定激活哪一個網(wǎng)絡(luò)訪問策略。如果評估結(jié)果足以將該系統(tǒng)稱為安全的,那么在步驟900a中激活一個網(wǎng)絡(luò)訪問策略,它用來激活OTA通訊。緊接著在步驟1000中終止該方法流程。如果評估結(jié)果不足以將該系統(tǒng)稱為安全的,那么在步驟900b中明確地激活一個網(wǎng)絡(luò)訪問策略“零”/ “關(guān)閉”/ “全部拒絕”,從而暫時禁止在激活調(diào)查得到的網(wǎng)絡(luò)訪問策略之前進(jìn)行任何OTA通訊。緊接著在步驟1000中終止該方法流程。這就是說,只有在車輛本身“不肯定”自己是否處于可靠的安全狀態(tài)下時,才詢問服務(wù)器。圖7示出根據(jù)本發(fā)明的一種實施方式的、根據(jù)本發(fā)明的信息流。這里在第一個步驟2100中在車輛內(nèi),例如在OBU或ComBox中調(diào)查車輛配置。緊接著在進(jìn)一步的步驟2200中在車輛中激活通訊接口?,F(xiàn)在在進(jìn)一步的步驟2300中可以相對于VSSES或者一般化地相對于安全狀態(tài)調(diào)查裝置(SEE)進(jìn)行一次認(rèn)證。這次通訊可以包含許多信息,它們在通訊接口和安全狀態(tài)調(diào)查裝置之間進(jìn)行交換。在實現(xiàn)這次通訊之后,可以在進(jìn)一步的步驟2400中激活對安全狀態(tài)的調(diào)查,為此,要向SEE發(fā)出相應(yīng)的請求。這個請求可以作為參數(shù)就已經(jīng)包含車輛的實際配置和/或車輛的登錄數(shù)據(jù)和/或從相關(guān)的軟件更新以來經(jīng)過的時間。當(dāng)然也有可能的是,在一個或者多個單獨(dú)的消息中提供這些參數(shù)。緊接著,SEE在獲得的參數(shù)的基礎(chǔ)上評估配置,也就是安全狀態(tài),并且在進(jìn)一步的步驟2600中將安全狀態(tài)提供給車輛?,F(xiàn)在該車輛就能夠通過合適的裝置,例如訪問控制裝置,為訪問數(shù)據(jù)傳輸網(wǎng)絡(luò)激活相應(yīng)的網(wǎng)絡(luò)訪問策略。在另一個特別的實施方式中,可以在車輛安全狀態(tài)評估服務(wù)器(VSSES)中就已經(jīng)存在車輛配置信息,或者說被車輛管理者調(diào)用。在這種實施方式中,沒有必要傳輸車輛的實際配置和/或車輛的登錄數(shù)據(jù)和/或從相關(guān)的軟件更新以來經(jīng)過的時間的參數(shù),而是作為 代替?zhèn)鬏斳囕v身份鑒定信息就足夠了。這個信息同時又能夠利用詢問、或者在一個單獨(dú)的消息中傳輸給SEE。圖8示出根據(jù)本發(fā)明的系統(tǒng)的另一種實施方式的示意圖。其中設(shè)定車輛具備車載設(shè)備0BU,它通過通訊裝置在使用不同的移動無線電系統(tǒng)的情況下與基礎(chǔ)設(shè)施服務(wù)器進(jìn)行通訊。以典型的方式,車輛管理員VM與車輛數(shù)據(jù)庫VDB相連,或者具有該車輛數(shù)據(jù)庫。在這個數(shù)據(jù)庫中為由車輛管理員管理的車輛存儲配置信息。在這種實施方式中,能夠通過可信車輛在線通訊代理服務(wù)器(TVOCP)實現(xiàn)通訊或者部分通訊。用一條黑線示出了車輛和車輛在線服務(wù)(VOS)的通訊關(guān)系(例如http)。通過例如從車輛到TVOCP建立起一個VPN,該通訊可以在車輛和TVOCP之間打通隧道。在一個可選的實施方式中,在HTTP中,TVOCP可以實現(xiàn)為HTTP代理服務(wù)器。然后就不必打通隧道,而是也可以從車輛向TVOCP直接發(fā)送HTTP詢問,TVOCP (可能修改后)將其轉(zhuǎn)發(fā)給目標(biāo)服務(wù)器,例如V0S。對這種詢問的回答可以相應(yīng)地由目標(biāo)服務(wù)器VOS傳輸給TV0CP,它能夠?qū)⑵?可能再次修改后)轉(zhuǎn)發(fā)給車輛。在建立隧道時,車輛可以相對于TVOCP自行認(rèn)證。TVOCP就可以從車輛數(shù)據(jù)庫VDB調(diào)用車輛的實際配置。對配置進(jìn)行分析,從而查出例如是否打上了實際的安全補(bǔ)丁。據(jù)此,為這輛車執(zhí)行一個網(wǎng)絡(luò)訪問策略或者多個網(wǎng)絡(luò)訪問策略。特征在于,通過TVOCP引導(dǎo)車輛和目標(biāo)服務(wù)器之間的任何通訊或者一部分通訊,使得在通訊到達(dá)車輛之前,能夠在TVOCP那里檢查數(shù)據(jù)傳輸,并且能夠阻止進(jìn)行潛在危險的或者不希望的通訊。TVOCP以評估為基礎(chǔ)(例如依據(jù)車輛類型和車輛的配置)執(zhí)行定義的網(wǎng)絡(luò)訪問規(guī)則或者說策略(Network Access Policy),這就是說,只能進(jìn)行規(guī)定的網(wǎng)絡(luò)訪問規(guī)則允許的通訊。其它的通訊被阻止。TVOCP以以下示例性的方式獲得進(jìn)行評估的基礎(chǔ)-直接從車輛傳輸(特別是車輛身份鑒定/車輛認(rèn)證),例如當(dāng)車輛建立通往TVOCP的隧道(IPSec、SSL/TLS),并且車輛自我認(rèn)證以后。作為選擇,車輛在這里就已經(jīng)能夠傳輸其他關(guān)于自己的信息(生產(chǎn)商、產(chǎn)品系列、車底盤編號/車輛識別碼、配置信息)。
-關(guān)于車輛的信息可以由TVOCP從一個數(shù)據(jù)庫中調(diào)用;特別是可以從車輛管理者(VM)或者說VM使用的、用于存儲車輛的配置信息的數(shù)據(jù)庫(VDB)調(diào)用信息。在這里,特別是可以提供關(guān)于特定車輛的軟件水平的信息。于是特別是能夠考慮到,是否進(jìn)行了實際的軟件更新(關(guān)鍵的安全更新)。在某些情況下,VM可以由TVOCP觸發(fā),調(diào)用車輛的實際配置。-TVOCP也能夠主動地掃描車輛,從而獲得關(guān)于車輛的信息。依據(jù)這些參數(shù)可以確定TVOCP的網(wǎng)絡(luò)訪問規(guī)則,在車輛以下的通訊中實施這個規(guī)則。如果阻止了一次通訊,那么可以選擇轉(zhuǎn)移到另一個服務(wù)器上,或者說TVOCP代理答復(fù)。例如,車輛的一次HTTP詢問可以由TVOCP截獲,并且向車輛傳輸HTTP重定向消息,它將車輛客戶轉(zhuǎn)移到另一個HTTP服務(wù)器上。在那里例如能夠以HTML顯示一個網(wǎng)頁,該網(wǎng)頁讓駕駛員得知,訪問已被阻止以及為何被阻止。
·
此外,能夠通過TVOCP向車輛傳輸信息,告知車輛應(yīng)該連接VM服務(wù)器。這例如可以通過將特殊的HTTP頭(HTTP-Header)插入傳輸給車輛的HTTP響應(yīng)中。這樣一來,VM服務(wù)器就能夠例如將可支配的軟件更新傳輸給車輛。此外,由TVOCP能夠向VM服務(wù)器傳輸信息,告知車輛正在線。在即將更新時,VM服務(wù)器能夠發(fā)起與車輛的一次管理會議,例如通過發(fā)送一條觸發(fā)SMS消息。本領(lǐng)域技術(shù)人員能夠立即看出,上述實施方式能夠相互組合,并且例如能夠在每種應(yīng)用情況下或者在每種使用的協(xié)議下重新并且分開地執(zhí)行,其中,針對不同的應(yīng)用情況和不同的調(diào)查安全狀態(tài)的途徑可以同時存在不同的網(wǎng)絡(luò)訪問策略??偠灾?,通過所有的實施例能夠確定的是,借助本發(fā)明能夠由車輛自主地進(jìn)行評估,或者由一臺服務(wù)器協(xié)助進(jìn)行評估(由服務(wù)器協(xié)助評估),或者將兩個之前所述的可能性組合起來。在自主評估時,評估功能可以檢查車輛的實際配置和/或登錄信息和/或以下信息最后一次更新后經(jīng)過的多久,或者說什么時候最后檢查更新情況的,或者說是否也下載并安裝了最新的更新。例如可以由車間進(jìn)行更新。這例如通過車間檢驗器實現(xiàn),它通過診斷接口與車輛相連。作為代替,也能夠由使用者自己進(jìn)行更新,例如借助更新媒介,例如⑶/DVD、U盤、存儲卡等等,或者為此通過無線電通訊接口從更新服務(wù)器下載更新(OTA Seif Update)。在OTA Seif Update時,車輛與車輛管理服務(wù)器(VM)進(jìn)行通訊,從而或者關(guān)于提供的更新的信息,并且可能將其下載并安裝。依據(jù)調(diào)查得到的評估結(jié)果就能夠查出網(wǎng)絡(luò)訪問規(guī)則,并且將其激活執(zhí)行。例如能夠定義兩個網(wǎng)絡(luò)訪問策略(受限、不受限)。如果評估結(jié)果是,車輛處于安全的配置狀態(tài)下(例如在最近7天內(nèi)檢查并安裝了最新的對于安全性至關(guān)重要的更新包),那么激活“不受限”這個網(wǎng)絡(luò)訪問策略(使得能夠例如自由地、直接地訪問網(wǎng)絡(luò))。否則激活“受限”這個網(wǎng)絡(luò)訪問集,在這種情況下,只能夠訪問直接由車輛生產(chǎn)商提供的可信的網(wǎng)絡(luò)服務(wù)。在由服務(wù)器協(xié)助進(jìn)行評估時(由服務(wù)器協(xié)助評估),車輛能夠?qū)?shù)傳輸給車輛安全狀態(tài)評估服務(wù)器(VSSES)或者總的來說傳輸給安全狀態(tài)調(diào)查裝置(SEE),并且得到返回的評估結(jié)果作為響應(yīng)。傳輸?shù)膮?shù)可以包括-車輛的身份認(rèn)證信息(例如車底盤編號、車輛識別碼),-車輛類型信息(生產(chǎn)商、款型、生產(chǎn)年份、已安裝配件),-配置信息(已安裝組件、軟件情況),-登錄信息(車輛的登錄信息,還連帶當(dāng)前使用的車鑰匙,特別是關(guān)于OTA通訊,這些信息能夠這樣在服務(wù)器上進(jìn)行評估)。特別是,當(dāng)服務(wù)器(VM)中的數(shù)據(jù)庫(VDB)中存儲著關(guān)于車輛的實際配置信息,并 且能夠由VSSES調(diào)用時,只傳輸車輛身份認(rèn)證信息就夠了。例如是在OMA (開放移動聯(lián)盟)DM協(xié)議OTA的幫助下管理例如車輛配置信息時,情況就是如此。如果信息未存放在數(shù)據(jù)庫中,就能夠直接從車輛向VSSES傳輸信息。評估結(jié)果可以具有-標(biāo)記(安全是/否),-值(例如0、1、2、· · ·、9),-標(biāo)識符(策略標(biāo)識符直接的或者映射的),-提供的安全更新,可能帶有關(guān)于它的重要性或者說相關(guān)功能的信息,-網(wǎng)絡(luò)訪問規(guī)則。車輛依據(jù)接收到的評估結(jié)果設(shè)置網(wǎng)絡(luò)訪問規(guī)則,并且將其執(zhí)行。車輛安全狀態(tài)評估服務(wù)器(VSSES)例如是車輛生廠商的或者通訊服務(wù)商的一臺服務(wù)器。在服務(wù)器和車輛之間進(jìn)行一次認(rèn)證。例如可以借助IPSec-、SSL-或TLS-協(xié)議支持通訊。信息例如可以通過HTTP、SOAP、OMA, DM、SyncML, SNMP實現(xiàn)。盡管VSSES被描述為獨(dú)立的單元,它也可以被包含在其它的單元內(nèi)。于是,VSSES例如可以是可能提供更新的VM服務(wù)器的一部分。正如已經(jīng)實施的那樣,能夠預(yù)定義幾個網(wǎng)絡(luò)訪問策略,例如-不受限允許進(jìn)行任意通訊(即使不通過代理服務(wù)器直接進(jìn)行);-基礎(chǔ)設(shè)施不受限允許與基礎(chǔ)設(shè)施服務(wù)進(jìn)行任意通訊(即使直接進(jìn)行),但是不進(jìn)行車到車通訊;-基礎(chǔ)設(shè)施受管理允許與基礎(chǔ)設(shè)施進(jìn)行任意通訊(即使直接進(jìn)行),但是,其中只使用由公知的基礎(chǔ)設(shè)施運(yùn)營商運(yùn)營的移動無線電網(wǎng)絡(luò)(即,例如只使用Vodafone、T-MobiIe或 Orange 運(yùn)營的 GPRS、UMTS/HSDPA、T,但是不使用 WLAN);-隧道與信任網(wǎng)關(guān)建立通訊隧道(建立隧道進(jìn)行數(shù)據(jù)傳輸,并且發(fā)送給VPN服務(wù)器,在例如被轉(zhuǎn)發(fā)給因特網(wǎng)服務(wù)器之前,它可以在那里被分析且過濾;只有源自該服務(wù)器的建立了隧道的數(shù)據(jù)傳輸才被進(jìn)一步處理);-信任服務(wù)器只能夠與由注冊在車輛的已配置好的白名單上的服務(wù)器提供的在線服務(wù)進(jìn)行通訊(例如 http ://*· bmw. de ;https ://*· bmw. de ;http ://*· bmw. com ;https //*. bmw. com);-零/關(guān)閉/全部拒絕不能進(jìn)行OTA通訊。作為代替或者作為補(bǔ)充,也可以由車輛安全狀態(tài)評估服務(wù)器(VSSES)或者其它的服務(wù)器提供網(wǎng)絡(luò)訪問策略。
也可以定義極其細(xì)致的網(wǎng)絡(luò)訪問策略例如可以進(jìn)行內(nèi)容過濾,從而為車輛過濾危險的內(nèi)容。例如只有當(dāng)某輛特定的車輛為相應(yīng)的顯示程序下載了實際的安全補(bǔ)丁時,才允許網(wǎng)頁上的flash內(nèi)容或者JavaScripts通過。一個網(wǎng)絡(luò)訪問策略的內(nèi)容例如可以規(guī)定使用防火墻或者VPN。一個網(wǎng)絡(luò)訪問策略是由許多規(guī)則構(gòu)成的。它們規(guī)定,以什么方法處理什么類型的網(wǎng)絡(luò)傳輸,特別是-是否允許進(jìn)行該網(wǎng)絡(luò)傳輸,也就是說是否允許進(jìn)一步處理,并且可能轉(zhuǎn)發(fā)給車輛中的目標(biāo)控制器(允許);-是否要建立隧道(建立隧道;壓縮),也就是說通過一條VPN隧道進(jìn)行傳輸;-是否要退出隧道(退出隧道;解壓縮),也就是說在進(jìn)一步處理或者說轉(zhuǎn)發(fā)給目標(biāo) 控制器之前,打開通過VPN隧道接收的數(shù)據(jù);-是否要摒棄(刪除)。此外,可以為了允許的數(shù)據(jù)傳輸加上一定的限制,特別是關(guān)于最大數(shù)據(jù)傳輸率的限制,從而防止例如目標(biāo)組件的過載。可能的過濾標(biāo)準(zhǔn)包括-車輛車輛生產(chǎn)商、款型、版本/生產(chǎn)年份、已安裝配件(特別是裝入的娛樂信息系統(tǒng)的版本);-朝向(導(dǎo)入車輛,從車輛導(dǎo)出);-車輛中的目標(biāo)組件(也就是說,向哪個控制器轉(zhuǎn)發(fā)數(shù)據(jù),或者說數(shù)據(jù)源自哪個控制器);-OTA 接口(GPRS、UMTS、WLAN、· ·.);-實際的OTA網(wǎng)絡(luò)運(yùn)行商(例如T-Mobile、Vodafone、未公知的)和國家(德國、法國、· · ·);-IP地址(發(fā)送方;接收方);-原產(chǎn)地國IP地址(可以屏蔽某些國家);-協(xié)議(例如TCP,UDP);-端口編號;-URL 過濾器;-通訊已加密(例如SSL、TLS)或未加密;-針對公知攻擊方式的特定過濾器,特別是拒絕服務(wù)(DoS)(例如長度特定的Ping包);-經(jīng)由可信任服務(wù)器直接接收到的數(shù)據(jù)的隧道。除了純粹的網(wǎng)絡(luò)通訊,網(wǎng)絡(luò)訪問策略也可以涉及內(nèi)容、即所謂的Content(網(wǎng)頁、多媒體數(shù)據(jù)庫、程序代碼)-可用的多媒體格式(例如總是能夠播放CD和WAV文件,而不能再播放MP3和Video);-支持的瀏覽器插件,例如用于Flash動畫;-用于將在線內(nèi)容(網(wǎng)頁)分配到安全區(qū)(例如在微軟因特網(wǎng)瀏覽器中定義一個安全區(qū),它被授權(quán)這個區(qū)的網(wǎng)頁上可能的網(wǎng)頁內(nèi)容,例如是否能使用JavaScript)的標(biāo)準(zhǔn)。借助URL實現(xiàn)分配,由URL下載網(wǎng)頁或者一般來說是下載在線內(nèi)容。-與安全區(qū)相關(guān)聯(lián)的授權(quán)(針對在線內(nèi)容);-針對執(zhí)行的程序代碼的授權(quán)現(xiàn)有技術(shù)中公知代碼訪問安全性,例如在微軟公共語言運(yùn)行時或者Java運(yùn)行時環(huán)境中。其中,依據(jù)其來源向程序代碼授予訪問權(quán)(也就是說,依據(jù)是誰簽發(fā)了程序代碼或者說是誰下載了該程序代碼)。近來,是依據(jù)安全評估設(shè)置授予某個特定代碼的授權(quán);或者說,依據(jù)評估結(jié)果決定,究竟是否能夠執(zhí)行某個特定的代碼。例如在車輛組件的補(bǔ)丁狀態(tài)不是實時狀態(tài)時,能夠以這種方式防止執(zhí)行不可信的代碼/下載的第三方代碼。優(yōu)選地,由車輛的通訊單元實施選擇的網(wǎng)絡(luò)訪問策略。作為選擇也能夠由單獨(dú)的、連接在前方的安全通訊單元實施選擇的網(wǎng)絡(luò)訪問策略。此外,在一個變化方案中,車輛內(nèi)部在車載網(wǎng)絡(luò)中也能夠通過訪問控制裝置(車輛總線-網(wǎng)關(guān)、控制器)實現(xiàn)對通訊的過濾。為此,通訊單元或者說安全通訊單元能夠向這個 訪問控制裝置傳輸關(guān)于車輛安全狀態(tài)的信息(指示符、過濾規(guī)則),由此使得它們相應(yīng)地適應(yīng)它們的網(wǎng)絡(luò)訪問規(guī)則。然而,當(dāng)前組件也能夠單獨(dú)地執(zhí)行所描述的方法。為了避免受限,使用者最好能得到指示,要及時地或者說盡快地打上安全補(bǔ)丁,從而能夠繼續(xù)使用全部的服務(wù)。當(dāng)訪問受限時,通訊可能性受限,并且因此最終不能使用所有的服務(wù)。然而,優(yōu)選地應(yīng)該總是能夠進(jìn)行必要的軟件更新??梢灾甘臼褂谜?,為了能夠相應(yīng)地使用服務(wù),需要進(jìn)is軟件更新。借助本發(fā)明,車輛能夠相對自由地直接進(jìn)行通訊,只要這樣做無危險。然而一旦發(fā)現(xiàn)有攻擊行為,或者車輛的保護(hù)措施過時或者不再充分有效,那么就能夠通過網(wǎng)絡(luò)連接、通過相應(yīng)的自我保護(hù)措施避免各種危害,例如對車輛組件的人為操控。如果出于安全原因有必要的話,就通過所述的保護(hù)機(jī)制限制或者完全禁止在線服務(wù)。只有當(dāng)軟件的安全更新狀態(tài)是實時狀態(tài)時,車輛組件才能獲得對外的完全訪問權(quán),因為然后它就能夠抵抗來自網(wǎng)絡(luò)的由此出現(xiàn)的攻擊。于是確保了車輛能夠可靠運(yùn)行。
權(quán)利要求
1.一種防止通過車輛的無線通訊裝置對聯(lián)網(wǎng)車輛進(jìn)行攻擊的系統(tǒng),包括 -無線數(shù)據(jù)傳輸網(wǎng)絡(luò), -安全狀態(tài)調(diào)查裝置,用于依據(jù)調(diào)查得到的安全狀態(tài)控制對無線數(shù)據(jù)傳輸網(wǎng)絡(luò)的訪問,-其中,所述安裝狀態(tài)是以對車輛的實際配置和/或車輛的登錄數(shù)據(jù)和/或自從相關(guān)的軟件更新后經(jīng)過的時間進(jìn)行的評估為基礎(chǔ)的, -通訊裝置,適于與無線數(shù)據(jù)傳輸網(wǎng)絡(luò)相連, -訪問控制裝置,用于控制對無線數(shù)據(jù)傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問并且能與安全狀態(tài)調(diào)查裝置相連。
2.根據(jù)權(quán)利要求I所述的系統(tǒng),其中,所述安全狀態(tài)調(diào)查裝置布置在車輛中并且能夠自主地對安全狀態(tài)進(jìn)行評估。
3.根據(jù)權(quán)利要求I所述的系統(tǒng),其中,所述安全狀態(tài)調(diào)查裝置布置在數(shù)據(jù)傳輸網(wǎng)絡(luò)中。
4.根據(jù)權(quán)利要求I至3中任一項所述的系統(tǒng),其中,所述訪問控制裝置布置在車輛中。
5.根據(jù)權(quán)利要求I至3中任一項所述的系統(tǒng),其中,所述訪問控制裝置布置在數(shù)據(jù)傳輸網(wǎng)絡(luò)中。
6.根據(jù)權(quán)利要求I至5中任一項所述的系統(tǒng),其中,對無線數(shù)據(jù)傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問的控制能夠通過網(wǎng)絡(luò)訪問策略控制,其中,能夠根據(jù)連接的類型、過濾標(biāo)準(zhǔn)的類型和/或內(nèi)容的類型選擇對無線數(shù)據(jù)傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問策略。
7.根據(jù)權(quán)利要求I至6中任一項所述的系統(tǒng),其中,對網(wǎng)絡(luò)訪問的控制還包括確認(rèn)訪問是否加密進(jìn)行或者建立隧道進(jìn)行。
8.根據(jù)權(quán)利要求I至7中任一項所述的系統(tǒng),其中,對安全狀態(tài)進(jìn)行評估還包括識別,車輛組件識別出的是一次攻擊還是在網(wǎng)絡(luò)訪問框架內(nèi)的功能故障。
9.一種用于防止通過車輛的無線通訊裝置對聯(lián)網(wǎng)車輛進(jìn)行攻擊的系統(tǒng)的方法,該系統(tǒng)具有 -無線數(shù)據(jù)傳輸網(wǎng)絡(luò), -安全狀態(tài)調(diào)查裝置, -適于與所述無線數(shù)據(jù)傳輸網(wǎng)絡(luò)相連的通訊裝置,以及 -訪問控制裝置, 具有以下步驟 -調(diào)查安全狀態(tài),其中,該安全狀態(tài)是以對車輛的實際配置和/或車輛的登錄數(shù)據(jù)和/或自從相關(guān)的軟件更新后經(jīng)過的時間進(jìn)行的評估為基礎(chǔ)的, -基于調(diào)查得到的安全狀態(tài)確定用于訪問數(shù)據(jù)傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問策略, -激活所述確定的網(wǎng)絡(luò)訪問策略。
10.根據(jù)權(quán)利要求9所述的方法,還具有以下步驟 -激活初始的網(wǎng)絡(luò)訪問策略, -將車輛的實際配置和/或車輛的登錄數(shù)據(jù)和/或自從相關(guān)的軟件更新后經(jīng)過的時間傳輸給用于調(diào)查安全狀態(tài)的評估服務(wù)器, -傳輸調(diào)查得到的安全狀態(tài)。
11.根據(jù)權(quán)利要求10所述的方法,其中,不僅本地調(diào)查安全狀態(tài)而且還遠(yuǎn)程調(diào)查安全狀態(tài)。
全文摘要
本發(fā)明涉及一種防止通過車輛的無線通訊裝置對聯(lián)網(wǎng)車輛進(jìn)行攻擊的系統(tǒng)。該系統(tǒng)具有無線數(shù)據(jù)傳輸網(wǎng)絡(luò)和安全狀態(tài)調(diào)查裝置,用于依據(jù)調(diào)查得到的安全狀態(tài)控制對無線數(shù)據(jù)傳輸網(wǎng)絡(luò)的訪問,其中,所述安裝狀態(tài)是以對車輛的實際配置和/或車輛的登錄數(shù)據(jù)和/或自從相關(guān)的軟件更新后經(jīng)過的時間進(jìn)行的評估為基礎(chǔ)的。該系統(tǒng)還具有適于與無線數(shù)據(jù)傳輸網(wǎng)絡(luò)相連的通訊裝置和用于控制對無線數(shù)據(jù)傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問的訪問控制裝置,它能夠與安全狀態(tài)調(diào)查裝置相連。本發(fā)明也還涉及一種用于防止通過車輛的無線通訊裝置對聯(lián)網(wǎng)車輛進(jìn)行攻擊的系統(tǒng)的方法,其中,調(diào)查安全狀態(tài),其中,該安裝狀態(tài)是以對車輛的實際配置和/或車輛的登錄數(shù)據(jù)和/或自從相關(guān)的軟件更新后經(jīng)過的時間進(jìn)行的評估為基礎(chǔ)的。本發(fā)明還包括基于調(diào)查得到的安全狀態(tài)確定用于訪問數(shù)據(jù)傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問策略,緊接著激活該網(wǎng)絡(luò)訪問策略。
文檔編號H04L29/06GK102893574SQ201180010608
公開日2013年1月23日 申請日期2011年2月17日 優(yōu)先權(quán)日2010年2月22日
發(fā)明者羅蘭·迪茨, 賴納·法爾克, 漢斯-約阿希姆·霍夫, 弗朗茨·斯塔德勒 申請人:大陸汽車有限責(zé)任公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1