通過鑒權的時間測量的安全的網絡接入保護的制作方法
【專利摘要】本發明涉及一種用于使接入網絡,特別是接入局域網(LAN)安全的方法和一種相應的設備。描述了一種用于通過鑒權器(201)對請求者(210)接入到以太網網絡(110)進行控制的方法(300)。所述方法(300)包括在使用鑒權協議的情況下在鑒權器(201)處對請求者(210)進行鑒權(301)。所述方法(300)還包括對消息在請求者(210)和鑒權器(201)之間的傳輸時間進行確定(302)。此外所述方法(300)包括基于所進行的鑒權和所確定的傳輸時間對請求者(210)接入以太網網絡(110)進行控制(303)。
【專利說明】
通過鑒權的時間測量的安全的網絡接入保護
技術領域
[0001]本發明涉及一種用于使接入網絡,特別是接入局域網(LAN)安全的方法和一種相應的設備。
【背景技術】
[0002]車輛(例如轎車、卡車和/或摩托車)典型地包括一個具有一個或者多個用于在車輛的不同的控制儀之間交換信息的總線系統的通信系統。所述一個或者多個總線系統特別是可以包括以太網網絡。車輛的控制儀(例如攝像機)可以通過以太網網絡交換相對大的數據量。
[0003]—個或者多個連接到車輛的以太網網絡上的控制儀(也稱作以太網控制儀)可以如此設置在車輛中,使得對于攻擊者可以相對容易地進入所述控制儀。這些控制儀可以由未經授權者用于實現(例如通過控制儀的交換或者通過用于中間人攻擊的中間計算機的引入)接入車輛的通信系統。
[0004]為了阻止這點,可以在車輛的以太網網絡中進行根據IEEE802.1X標準的鑒權。然而已知表明,通過根據IEEE 802.1X標準的鑒權也不能完全排除中間人攻擊。
【發明內容】
[0005]因此,本文獻致力于如下技術任務,如此設計車輛的以太網網絡的接入,使得能以成本高效的方式避免未經授權者(也借助于中間人攻擊)的接入。
[0006]所述任務通過各獨立權利要求得到解決。此外在從屬權利要求中描述有利的實施形式。
[0007]根據一方面描述了一種用于通過鑒權器控制請求者接入以太網網絡的方法。所述以太網網絡可以是車輛的通信系統的部分。在該情況中,請求者和/或鑒權器可以是車輛相應的控制儀。鑒權器可以包括用于控制接入以太網網絡的以太網交換機。
[0008]所述方法包括在使用鑒權協議的情況下在鑒權器處對請求者進行鑒權。所述鑒權協議可以包括根據IEEE 802.1X標準的基于以太網端口的接入控制。此外,對請求者的鑒權可以包括發送可擴展的身份鑒權協議(EAP)消息。
[0009]所述方法還包括確定消息在請求者和鑒權器之間的傳輸時間。為此,所述方法可以包括在使用時間同步協議的情況下對請求者的時間和鑒權器的時間進行同步。時間同步協議的示例是IEEE 802.AS標準和/或精確時間協議(PTP)。通過將請求者和鑒權器的時間同步能夠確保,可以以精確的方式確定消息的傳輸時間。
[0010]此外對消息的傳輸時間的確定可以包括給消息分配隨機的標識符,為所述消息確定傳輸時間。因此能夠確保所述消息可以明確地由請求者和/或由鑒權器進行識別,并且因此可以以可靠的方式確定消息的傳輸時間。
[0011]所述方法還包括基于所進行的鑒權和所確定的傳輸時間對請求者接入到以太網網絡進行控制。在接入控制時,通過對消息的傳輸時間進行考慮可以以可靠的方式排除中間人攻擊,因為這種攻擊典型地導致消息的傳輸時間顯著地延長。
[0012]請求者和鑒權器之間的導線可以具有如下的長度,所述長度等于或小于預定義的長度閾值。這尤其在車輛中是這樣的情況,其中,兩個控制儀之間(亦即在請求者和鑒權器之間)的連接導線的長度典型地由車輛的尺寸給定。所述接入控制于是可以包括檢驗所述傳輸時間是否等于或者小于預定義的傳輸時間閾值。因此可以以簡單且成本高效的方式確定是否存在中間人攻擊,在中間人攻擊的情況下請求者和鑒權器之間所交換的消息的傳輸時間超過預定義的傳輸時間閾值。
[0013]所述預定義的傳輸時間閾值可以通過計算來確定,例如基于請求者和鑒權器之間的連接導線的已知長度進行確定。備選地或者附加地,可以根據實驗確定所述預定義的傳輸時間閾值(例如在車輛出廠前安全的環境中)。
[0014]所述以太網網絡可以包括在請求者和鑒權器之間的全雙工的連接導線。換言之,消息在請求者和鑒權器之間可以通過全雙工以太網總線進行交換。全雙工連接導線的使用是有利的,因為在這樣的情況下中間人攻擊的實施需要引入中間計算機和/或連接導線的物理分離。通過這些步驟顯著地提高了消息在請求者和鑒權器之間的傳輸時間。因此全雙工連接導線的使用便利于基于消息的傳輸時間對中間人攻擊進行探測。
[0015]根據另一個方面描述了一種用于車輛的控制儀。所述控制儀可以具有請求者的如下功能,即,請求或者要求接入車輛的以太網網絡。所述控制儀設置用于在使用鑒權協議的情況下在車輛的以太網網絡的鑒權器處被鑒權。此外所述控制儀可以設置用于確定消息在控制儀和鑒權器之間的傳輸時間。為此,所述控制儀可以設置用于發送具有隨機的標識符的消息到鑒權器上。此外,所述控制儀設置用于基于所進行的鑒權以及基于所確定的傳輸時間實現至以太網網絡的接入。
[0016]根據另一個方面描述了一種用于車輛的以太網網絡的組件。所述組件例如可以包括車輛的控制儀。所述組件可以具有用于以太網網絡的鑒權器的功能。為此,所述組件可以包括以太網交換機。
[0017]所述組件設置用于在使用鑒權協議的情況下對要求接入以太網網絡的請求者進行鑒權。此外,所述組件設置用于確定消息在請求者和組件之間的傳輸時間。此外,所述組件設置用于基于所進行的鑒權以及基于所確定的傳輸時間控制請求者接入以太網網絡。
[0018]根據另一個方面描述了一種如下的車輛(例如轎車、卡車和/或摩托車),所述車輛包括在本文獻中所描述的控制儀和/或在本文獻中所描述的以太網網絡組件。
[0019]根據另一個方面描述了一種軟件(SW)程序。所述軟件程序可以設置用于在(例如控制儀上的)處理器上執行,并且由此用于執行在文獻中所描述的方法。
[0020]根據另一個方面描述了一種存儲介質。所述存儲介質可以包括一種如下的軟件程序,所述軟件程序設置用于在處理器上執行,并且由此用于執行在本文獻中所描述的方法。
[0021]值得注意的是,在本文獻中所描述的方法、設備和系統不僅可以單獨地使用而且也可以與其他在文獻中所描述的方法、設備和系統相組合地使用。此外在文獻中所描述的方法、設備和系統的每個方面可以以多種方式互相組合。尤其是各權利要求的特征可以以多種方式互相組合。
【附圖說明】
[0022]以下根據實施例進一步描述本發明。圖中:
[0023]圖1示出車輛的示例性通信系統的框圖;
[0024]圖2示出在用于在以太網網絡中進行鑒權的示例性組件的框圖;以及
[0025]圖3示出用于控制儀的鑒權的示例性方法的流程圖。
【具體實施方式】
[0026]如在開頭所說明的,本文獻研究如下技術上的任務,以成本高效的方式對控制儀接入車輛中的以太網網絡進行鑒權。
[0027]圖1示出用于車輛(例如機動車或者汽車)的示例性通信系統100。所述系統100包括一個中央網關(ZGW)或者一個中央控制儀(ZSG) 101,不同的總線系統120、130、140連接在所述中央控制儀上。所述總線系統120例如是一種同步FlexRay總線系統,所述總線系統130例如是一種異步CAN(控制器局域網絡(Controller Area Network))總線系統并且總線系統140例如是一種同步的MOST (面向媒體的系統傳輸)總線系統。在相應的總線系統上連接有車輛的不同的組件(例如傳感器、執行器和/或控制儀(英語為Electronic ControlUnits(電子控制單元)E⑶))。因此在總線系統120的總線122上連接有組件121,在總線系統130的總線132上連接有組件131以及在總線系統140的總線142上連接有組件141。
[0028]這些組件(例如車輛的各個控制儀SG)可以根據相應的總線系統的協議作為發送器在總線上發送數據或者作為接收器從總線接收數據。如在圖1中所描述的,在此在FlexRay總線系統120、CAN總線系統130以及MOST總線系統140的情況下分別使用一條共同的總線122、132、142,這些總線的傳輸容量必須由連接在總線122、132、142上的所有組件121、131、141共享。這具有如下的缺點,即為每個單個組件121、131、141所提供的傳輸容量隨著組件121、131、141的數量增加而降低。
[0029]在網關101上還連接有以太網網絡110。所述以太網網絡110同樣包括多個組件或者控制儀111,這些組件或者控制儀通過總線112互相連接。在以太網網絡110的情況下一些或者所有所述組件111通常包括交換機(通過陰影框表示),所述交換機能實現將數據有針對性地從進行發送的組件111引導至進行接收的組件111,使得這些數據通常不在所有的總線112上傳輸,而是僅在位于進行發送的組件111和進行接收的組件111之間的傳輸路徑上的總線112上傳輸。交換機的使用導致為每個單個組件111可用的傳輸容量的增加。
[0030]因此在為各個控制儀111所提供的傳輸容量方面,以太網網絡110的使用是具有優點的。這尤其是對于產生相對大數量的要傳輸的數據的傳感器111如攝像機而言是具有意義的。另一方面在以太網網絡110的情況下出現如下的技術問題,即確保以太網網絡110的各個組件111具有以太網網絡110的接入權限。例如車輛的從外部接入的組件111可能被未授權的組件111交換,由此可能出現對于車輛的安全風險。
[0031]關于這一點,IEEE 802.1X標準進行了詳細說明,通過所述標準能實現組件111在以太網網絡110中(亦即在IEEE 80 2網絡中)的鑒權和授權。圖2示例性地示出在根據IEEE802.1X進行鑒權時的角色分配。所謂的請求者(或者申請者)210向鑒權器201提出網絡接入的詢問。所述鑒權器201例如可以實現在車輛的以太網網絡110的組件111的以太網交換機的端口中。所述鑒權器201借助于鑒權服務器202(例如借助于RADIUS服務器)檢查由請求者210所傳送的鑒權信息并且必要時允許對所述通過鑒權器201可接入的網絡110進行訪問。
[0032]IEEE 802.1X標準建議可擴展的身份鑒權協議(EAP)或者PPP(點對點協議)-EAP-TLS(傳輸層安全)鑒權協議用于鑒權。備選地或者附加地,例如還可以使用EAP-TTLS、EAP-CHAP、EAP-PAP或者其他協議。然而這些協議對于中間人攻擊并不安全。中間人攻擊尤其是由于根據IEEE 802.1X僅在連接開始時進行安全保護而是可能的。在鑒權后,如果攻擊者物理上(physisch)成功地潛入到連接中,潛在的攻擊者則可能其出于其他目的而濫用開放的連接。對此例如可以使用連接在被鑒權的控制儀210和鑒權器201的防御端口之間的計算機220(也稱為中間計算機)(見圖2)。
[0033]關于這一點,IEEE 802.1X標準允許對連接(例如借助于LinkSec)進行加密和/或鑒權并且因此不能進行中間人攻擊。然而加密的使用需要附加的硬件和/或軟件資源以用于對請求者210和鑒權器201之間的通信進行不間斷的加密和/或鑒權。備選地或者附加地,可以使用IPsec、TLS和/或其他的協議,以便對通信進行加密和鑒權。由此鑒權器201上的端口不會被中間人攻擊。不過這些協議通常不能用于組播或者廣播通信,并且因此在車輛中僅能局限地使用。
[0034]在本文獻中,描述了一種方法,所述方法能實現相對于以太網交換機(鑒權器)201對控制儀(請求者)210進行鑒權并且在此確保不存在中間人攻擊者。所描述的方法尤其是能使用在全雙工以太網網絡(例如BroadR-Reach以太網網絡)中。全雙工的以太網網絡的使用是有利的,因為通過使用一條共同的物理導線(例如共同的雙線導線)可以降低以太網網絡110的總線112的成本和重量。此外所描述的方法是資源高效的并且因此成本高效,因為尤其是不需要對連接進行加密,以便確保不能進行中間人攻擊。
[0035]車輛具有如下的特點,S卩,以太網網絡110的各個控制儀/組件210、201、111互相之間具有預定義的和/或固定的間隔。尤其是所述請求者210(例如車輛攝像機的控制儀)在車輛中典型地通過具有固定長度的導線212與鑒權器201相連接。此外得出,在所述請求者210和鑒權器201之間交換的消息具有固定的傳輸時間。尤其是在請求者210和鑒權器201之間交換的消息具有低于所預定義的傳輸時間閾值的傳輸時間。
[0036]為了檢驗中間人攻擊的存在,因此可以檢驗在請求者210和鑒權器201之間所交換的消息的傳輸時間。如果存在中間人攻擊,則典型地通過中間計算機220潛入并且必要時修改消息。由此延長消息的傳輸時間。這尤其導致,消息實際的傳輸時間超過預定義的傳輸時間閾值。所述增加的傳輸時間可以通過鑒權器201來探測,并且因此禁止請求者210訪問車輛的以太網網絡110。
[0037]為了確定所述消息的傳輸時間(“路徑延遲”)可以使用IEEE802.1AS標準或者精確時間協議(PTP)或者其他的用于交換時間信息的協議。通過這種類型的協議可以確定精度約為1-10納秒的傳輸時間。為了測量傳輸時間可以給所傳輸的信息分配唯一的隨機ID,所述ID例如借助于頭擴展(例如在IEEE 802.1AS的情況下TLV(類型長度數值))或者在消息的已經存在的頭字段中進行傳送。
[0038]在PTP的情況下,所述鑒權器201例如可以在消息中將它的時間發送到請求者210上,其中,所述請求者210根據鑒權器的時間確定消息的接收時間。此外所述請求者210可以發送延遲請求消息到鑒權器201上,其中,延遲請求消息的接收時間在鑒權器201處又作為延遲響應消息發回到請求者210上。相應從時間戳的區別可以確定消息在請求者210和鑒權器201之間的傳輸時間(即使在請求者210的和鑒權器201的時鐘時間之間存在偏差)。
[0039]傳輸時間閾值可以在準備階段進行測定和確定。尤其是所述傳輸時間閾值可以在安全的環境中(例如車輛出廠前)進行測定和確定。由此確保通過設置過高的傳輸時間閾值而取消傳輸時間檢驗。
[0040]圖3示出用于在鑒權器201處對請求者210進行鑒權的示例性方法300的流程圖。在第一步驟301中,請求者210 (例如車輛控制儀)在鑒權器201 (例如車輛的交換機控制儀)處被鑒權。對此在使用EAP的情況下可以考慮IEEE 802.1X標準。所使用的EAP模塊可以基于證書、非對稱密鑰、對稱密鑰或者類似的方法實施鑒權。
[0041 ] 所述方法300還包括對在請求者210和鑒權器201之間的傳輸時間(例如路徑延遲)進行的檢驗302。對此可以使用上述協議。對此尤其可以借助于質詢響應或者簽名或者類似的方法使用路徑延遲測量。所述傳輸時間可以借助于單個路徑延遲消息或者根據多個消息確定。為了檢驗傳輸時間可以將所確定的傳輸時間與預定義的傳輸時間閾值進行比較。如果所確定的傳輸時間超過預定義的傳輸時間閾值,則這可以導致在鑒權器201處對請求者210的鑒權失敗。
[0042]所述方法300還包括校驗303,不僅對所述EAP鑒權(在步驟301中)而且還對路徑延遲消息的鑒權(在步驟302中)是否成功進行校驗,并且校驗所測量的延遲(亦即所測量的傳輸時間)是否低于所配置的和/或訓練的傳輸時間閾值。如果是這種情況,則可以激活所述請求者210。反之則拒絕所述請求者210。
[0043]特別是,不僅所述請求者210而且所述鑒權器201(亦即兩個控制儀)可以檢驗,所述EAP鑒權和路徑延遲消息的鑒權是否成功,并且檢驗,所測量的延遲(亦即所測量的傳輸時間)是否低于所配置的和/或訓練的傳輸時間閾值。
[0044]所述在本文獻中所描述的用于激活控制儀的方法在適度的成本耗費的同時能實現提高對于有危險的以太網控制儀的安全性。尤其是車輛目前的控制儀通常已經裝備有時間測量單元,所述時間測量單元能在沒有附加的成本的情況下實現傳輸時間的精確確定。通過確定傳輸時間,尤其是在全雙工的以太網網絡上可以可靠地識別中間人攻擊并且由此將其排除。
[0045]本發明不局限于所示出的實施例。尤其值得注意的是,說明書和附圖僅闡述了所提出的方法、設備和系統的原理。
【主權項】
1.用于通過鑒權器(201)對請求者(210)接入到以太網網絡(110)進行控制的方法(300);其中,所述方法(300)包括: -在使用鑒權協議的情況下在鑒權器(201)處對請求者(210)進行鑒權(301); -確定(302)消息在請求者(210)和鑒權器(201)之間的傳輸時間;以及-基于所進行的鑒權和所確定的傳輸時間對請求者(210)接入到以太網網絡(110)進行控制(303)。2.根據權利要求1所述的方法(300),其中, -在請求者(210)和鑒權器(201)之間的導線(212)具有如下長度,所述長度等于或小于預定義的長度閾值;以及 -對接入的控制(303)包括,檢驗所述傳輸時間是否等于或者小于預定義的傳輸時間閾值。3.根據上述權利要求之一所述的方法(300),其中,對請求者(210)的鑒權(301)包括發送可擴展的身份鑒權協議,EAP,消息。4.根據上述權利要求之一所述的方法(300),其中,所述方法(300)包括在使用時間同步協議的情況下對請求者(210)的時間和鑒權器(201)的時間進行同步。5.根據權利要求4所述的方法(300),其中,所述時間同步協議包括IEEE802.AS和/或精確時間協議,PTP。6.根據上述權利要求之一所述的方法(300),其中,對消息的傳輸時間的確定(302)包括給消息分配隨機的標識符,為所述消息確定傳輸時間。7.根據上述權利要求之一所述的方法(300),其中,所述以太網網絡(110)包括在請求者(210)和鑒權器(201)之間的全雙工的連接導線(212)。8.根據上述權利要求之一所述的方法(300),其中,所述以太網網絡(110)是車輛的通信系統(100)的部分。9.用于車輛的控制儀(210),其中,所述控制儀(210)設置用于: -在使用鑒權協議的情況下在車輛的以太網網絡(110)的鑒權器(201)處被鑒權; -確定消息在控制儀(210)和鑒權器(201)之間的傳輸時間;以及 -基于所進行的鑒權和所確定的傳輸時間實現至以太網網絡(110)的接入。10.用于車輛的以太網網絡(110)的組件(201),其中,所述組件(201)包括以太網交換機,并且所述組件設置用于: -在使用鑒權協議的情況下對要求接入以太網網絡(110)的請求者(210)進行鑒權; -確定消息在請求者(210)和組件(201)之間的傳輸時間;以及 -基于所進行的鑒權和所確定的傳輸時間控制請求者(210)接入以太網網絡(110)。
【文檔編號】H04L29/06GK105917629SQ201480073265
【公開日】2016年8月31日
【申請日】2014年12月15日
【發明人】L·弗爾克爾, G·霍伊斯, M·圖爾納
【申請人】寶馬股份公司