用于检测车辆中未经授权连接的设备的系统和方法
阅读说明:本技术 用于检测车辆中未经授权连接的设备的系统和方法 (System and method for detecting unauthorized connected devices in a vehicle ) 是由 D·M·米哈伊洛夫 E·V·格鲁多维奇 V·I·鲁茨基 A·A·佩索茨基 I·F·杜沙 于 2019-10-10 设计创作,主要内容包括:本发明涉及为车辆提供安全保护的领域,具体涉及一种用于检测未经授权设备连接的系统和方法。一种用于检测车辆中未经授权连接的设备的系统,包括所述车辆的至少一个电子设备,该电子设备通过电气总线连接到用于检测未经授权设备的模块,该模块包括测量单元、模数转换器、数字信号处理单元、缓冲单元和比较器单元。一种用于检测未经授权设备的方法,包括在第一时刻和第二时刻测量电信号的参数,随后形成电信号频谱。将第一时刻的电信号频谱设置为阈值,并以此为基础与第二时间段接收到的信号进行比较。提高了检测未经授权连接设备的准确性。(The present invention relates to the field of providing security for vehicles, and in particular to a system and method for detecting unauthorized device connection. A system for detecting unauthorized connected devices in a vehicle, comprising at least one electronic device of said vehicle connected by an electrical bus to a module for detecting unauthorized devices, the module comprising a measuring unit, an analog-to-digital converter, a digital signal processing unit, a buffering unit and a comparator unit. A method for detecting an unauthorized device includes measuring a parameter of an electrical signal at a first time and a second time, and subsequently forming a spectrum of the electrical signal. The spectrum of the electrical signal at the first time is set to a threshold value and compared with the signal received during the second time period on the basis thereof. The accuracy of detecting unauthorized connected devices is improved.)
技术领域
本发明涉及车辆安全领域,即涉及一种检测未经授权设备连接的系统和方法。
背景技术
现代车辆具有越来越多的新型智能系统。而且,现有系统(例如转向控制系统、车辆舒适性系统、制动系统、巡航控制系统、前照灯控制系统等)正日益自动化。作为所述系统一部分的传感器、设备和系统通过电气数据交换和控制总线(以下称为“总线”或“电气总线”)交换信息。如果已经建立了对这种总线的未经授权的访问,则传输数据的量将增加,这使得入侵者可以获取对车辆和总线本身的控制。例如,入侵者可以轻易地使总线停止运行或引发车辆的不当情况(前照灯断电、安全气囊启动、制动器停用等)。
由于电气数据交换和控制总线的漏洞,这种攻击成为可能。有关用户保护和通知此类攻击以及抑制攻击的策略构成了现代车辆信息安全包的一部分。
本发明允许确定和登记非法地安装在电气总线上的设备,这有助于防止各种攻击。
从现有技术中已知车辆安全系统(参见http://www.igla-systems.ru/katalog/immobilajzery/igla-pro),其形式为带有数字LIN和CAN总线固定的防盗器。在未经授权的情况下,发动机通过车辆的标准线路(即CAN/LIN数字总线)固定。防盗器发送相应的指令,然后发动机停止。
所描述的解决方案仅用于解决车辆劫持问题,不能保证车辆的网络安全以及人身安全。非法安装的设备可用于伤害司机,乘客或行人(例如,夜间驾驶时停用近光灯/远距离灯、启动安全气囊、关闭制动器等)。
还已知Argus(以色列)的产品(参见https://argus-sec.com/argus-ecu-protection/),该产品通过检测攻击、可疑活动和标准车辆网络行为的变化来提供车辆信息网络安全。当安装在车辆中时,该系统用于网络活动监控、攻击分析和清理。
但是,该系统在协议级别运行,无法识别电气总线上未经授权安装的设备。只有在执行命令时,才能识别威胁。此解决方案不能视为功能全面的车辆网络安全保障方案。更具体地说,该解决方案不能解决所有的攻击算法,并且需要与算法改进相关的持续的制造商支持,包括针对每个车辆信息系统的单独设备适配。
最接近的技术解决方案(选择为原型)是在2018年1月30日公布的US9881165B2专利中描述的用于提供车辆电子系统安全的系统和方法。该系统包括一个设备。该设备安装在数据总线和电子控制单元(ECU)之间。该设备包含以下功能单元:
·消息接收单元(用于监控在总线和电子控制单元(ECU)之间发送的消息);
·消息分析单元(用于根据设置的规则识别未经授权的命令);
·消息传输单元(用于将合法命令转发到电子控制单元(ECU))。
该系统是一种用于实现某些硬件防火墙功能的设备。由于其结构和用途,该系统的特征在于与上述系统相似的缺点。更具体地说:
·只有在发出命令时才能检测到未经授权的操作;
·设备要求制造商不断改进算法和嵌入式软件;一个系统设备只能用于提供一个电子控制单元(ECU)的网络安全;
·系统不允许检测数据总线标准电子设备未经授权的替换,包括新设备的安装。
发明内容
本发明的目的是为未经授权的电气总线设备提供尽可能有效和准确的识别和登记。本发明(以及因此的系统)消除了现有系统的所有上述缺点:
·在未经授权的电气总线设备开始在总线上运行之前,可以检测到该设备;
·该系统允许检测对现有车辆电气总线设备的未经授权的替换;
·该系统允许检测新的车辆信息总线设备的安装;
·该系统不需要针对操作算法改进进行后续工作;
·该系统可普遍用于任何车辆或制造商的信息总线;
·该系统可以安装在现代车辆中使用的几乎任何类型的电气总线上;
·该系统具有显示设施和信息存档设施,以及调整选项。
本发明的技术结果是提高了未经授权连接的设备的检测精度。
在该系统的一部分上,由于以下事实而实现了所要求保护的技术结果:车辆非法连接的设备检测系统包含至少一个电子车辆设备,该至少一个电子车辆设备通过电气总线连接到由测量单元、模数转换器、数字信号处理单元、缓冲单元和比较器单元组成的未经授权的设备检测模块。其中,所述测量单元和所述模数转换器的设计允许它们在第一时间段和第二时间段从电气总线接收电信号参数,所述数字信号处理单元执行信号处理和信号频谱构建,所述缓冲单元用于存储所获取的信号数据,所述比较器单元用于通过电信号分量分析的方式比较在所述第一时间段和第二时间段获取的信号频谱。
在该方法的一部分上,由于以下事实而实现了所要求保护的技术结果:车辆非法连接的设备的检测方法包括以下内容:
在第一时间段和第二时间段从电气总线获取电信号参数,
对所获取的信号频谱进行处理和构建,
将在第一时间段获取的信号设置为阈值信号,
通过电信号频谱分量分析,比较在第一时间段和第二时间段获取的组合信号。
附图说明
本发明通过附图进行说明:
图1a示出了车辆电气数据交换和控制总线的通用拓扑;
图1b示出了未经授权的设备连接到车辆电气数据交换和控制总线的示例;
图2a示出了未经授权连接的设备检测系统的总图;
图2b示出了未经授权的设备检测模块的总体功能图;
图3示出了在车辆电气总线上的非理想的失真方形脉冲的时间响应特性;
图4示出了将2X模块连接到电气CAN总线的信号的频谱特性;
图5示出了将3X模块连接到电气CAN总线的信号的频谱特性;
图6示出了为车辆电气总线上各种性质和类型的信号建模而创建的数学模型;
图7示出了持续时间为τ的单个方形脉冲信号的频谱特性的类型;
图8示出了开/关时间比为5(T=5τ)的周期性方形脉冲信号的频谱特性的类型;
图9示出了周期性信号类型及其在微分(differentiation)之后的外观(粗线);
图10示出了开/关时间比为5(T=5τ)的微分周期方形脉冲信号的频谱特性的类型;
图11示出了车辆电气总线上的数字数据序列的时间响应特性(没有附加失真的理想模型);
图12示出了车辆电气总线上的数字数据序列的频谱响应特性(理想模型);
图13示出了具有低振幅失真的车辆电气总线上的数字数据序列的时间响应特性;
图14示出了具有低振幅失真的车辆电气总线上的数字数据序列的频谱特性的类型;
图15示出了具有中等振幅失真的车辆电总线上的数字数据序列的时间响应特性;
图16示出了具有中等振幅失真的车辆电气总线上的数字数据序列的频谱特性的类型。
具体实施方式
图1a示出了车辆电气数据交换和控制总线的通用拓扑;可以使用任何类型(CAN,LIN,以太网等)的电气总线121。车辆中电子设备101、102、103的数量没有限定,可以达到数十个。每个设备通过单独的电导体111、112、113连接到总线。电子设备之间的信息交换是根据一定的规则(数字协议)实现的。一辆汽车可以有几个电器总线;因此,每个总线上的模块可以基于各自的标准(协议)相互通信。
车辆的电气数据交换和控制总线构成了多个电子设备(ECU)之间的电气互连。在本申请中,“车辆电子设备”表示任何电子设备,例如发动机控制设备、变速箱控制设备、制动系统控制设备(包括ABS/ESC)、仪表板信息娱乐系统设备、遥测系统设备等。每个所述设备具有其自身的功能用途。
图1b示出了由未经授权的设备131附接所引起的对车辆电气数据交换和控制总线的攻击的变体。所呈现的布置展示了脆弱性,其中入侵者已经建立了到电气总线121的连接141,其中,几个电子设备101、102、103连接到该电气总线121。通过这种连接,入侵者可以完全访问电气总线,因此可以控制所有车辆电子设备。
图2a示出了未经授权连接的设备检测系统的总图。该系统包含电气总线121、321,其通过导体111、112、113、311、312、313连接到车辆电子设备101、102、103、301、302、303。默认的车辆数据总线配置包括多个不同类型和用途的设备。电子元件(通过其实现与电气总线的连接)通常由驱动器集成电路在模块内表示。这些集成电路具有输出电路物理参数的等效值。
驱动器集成电路是一种数字-模拟元件,它将数字数据位序列转换为具有特定特性的电信号;这种集成电路也用于阻抗匹配。
每个车辆电气总线的特征在于都有许多物理参数,例如无功阻抗(reactiveimpedance)、有源阻抗(active impedance)、显性和隐性总线状态电压、平均和最大消耗电流、总线速度、脉冲开/关时间比等。当连接到车辆电气数据交换和控制总线时,每个驱动器集成电路将引入对总线电气参数的更改。
为了检测电气总线上连接的未经授权设备131,使用了频谱分析方法。与物理参数的登记方法相比,该方法提供了更高的非法连接设备检测精度(由于使用了数字信号处理算法,而不是与模拟信号处理相关的方法)。该方法提供了在通过电气总线交换消息时(在“激活”总线状态下)进行登记。
非法连接的设备检测算法是在单独的模块401中通过频谱分析方法实现的。该模块可以连接到一个或多个电总线121、321。该连接通过单独的线与导体411、412进行。
非法连接设备的检测方法包括在第一时间段和第二时间段获取电信号参数。第一时间段通常是购买车辆或车辆通过技术检查时的时刻,或其他任何时刻。第二时间段是车辆使用者设定的时刻或自第一时间段起的特定时间间隔(一天、一周、一个月)的任何时刻。
该系统分为三个主要阶段运行:
·在第一和第二时刻测量电信号参数,并随后构建电信号频谱。在该过程中,将第一时刻获取的电信号频谱设置为阈值频谱,并根据该阈值频谱与第二时刻获取的频谱进行比较;
·比较第二时刻获取的信号频谱与第一时刻获得的信号频谱,以检测非法安装在车辆电总线上的设备;
·向用户展示相应的信息。
前两个阶段在模块401中实现。第三阶段由显示模块501(图2a)实现。
图2b示出了未经授权的设备检测模块的总体功能图。模块401由以下部分组成:测量登记和模数转换(ADC)单元601;数字信号处理(DSP)单元602;缓冲单元603;比较器单元604;通信接口驱动器单元605;控制单元610。根据模块401的设计,所述单元可以以软件和硬件形式实现。测量和ADC模块601用设置的采样频率记录测量值,将数据转换为数字形式并将其发送到DSP单元602。DSP单元处理电流测量值,对其进行滤波,并在频域内为电流测量值构建频谱。此外,所获取的数据被保存在与所执行的测量类型(更具体地说,是在初始时刻执行的测量或者随后的测量)相对应的各个内存单元中的缓冲单元603中。比较器单元604将随后的测量结果与在初始时刻执行的测量结果进行比较。所有传输算法和仲裁程序都在控制单元610命令上执行。通信接口驱动器单元605用于使用适当的标准或数据协议解释数据,并将信息输出到通信信道中。所有模块401单元的设置参数均可调整。
具有人机界面HMI的任何设备(智能手机、移动或个人计算机、车辆仪表盘信息娱乐系统、服务器等)都可以用作显示模块501。传输的信息可以显示在屏幕上,存档或用于进一步处理。
任何通信接口或协议(Wi-Fi、蓝牙、无线信道、有线接口(CAN、以太网、RS485)等)都可以用作将设备401连接到显示模块501的数据传输通道。
在下文中,以电总线无功阻抗分析为例,对用于识别未经授权安装的设备的电总线频谱特性分析方法进行描述。
例如,增加电气总线无功阻抗会扭曲信号的方形。这归因于瞬态过程影响的增长。任何电路(在这种情况下–在电气总线中)中瞬态过程的性质都取决于无功阻抗分量的积分微分特性。电气总线的差分特性是方形信号失真的原因;峰值被添加到信号的边缘(正峰值–在前边缘,负峰值–在后边缘)。电气总线差分特性主要受无功阻抗电容分量的影响。
因此,电容分量越高,脉冲边缘上的峰值振幅就越高。因此,在数据传输过程中,观察到连接到车辆电气总线的电子设备(包括物理驱动器集成电路)的数量与电信号的波形之间存在直接关系。更具体地说,连接的设备越多,边缘的峰值振幅就越高。当更换或替换车辆电子设备时,由于驱动器集成电路特性的不均匀性,上述参数也会发生变化。
从频谱分析的角度来看,增加的峰值振幅表示信号能量从频谱的低频率区域重新分配到高频率区域。对车辆电气总线频谱进行分析以识别总电气总线无功阻抗值的变化。基于所述值的测量、时变趋势的构建以及与预设参数的比较,可以得出有关负载的类型和配置、电气总线上安装的设备数量以及与恒定值的偏差的结论。频谱分析方法可用于在车辆电气总线激活的时刻,即设备交换数据的时刻。
在车辆电气总线内部,数据以数字序列的形式发送,该数字序列在信号电平上呈曲折状(由连续的方形脉冲组成)。如果电气总线的电阻参数不同,则信号波形就会失真,并变为非方形。
图3示出了非理想方形脉冲形式的时间响应特性,其中τИ是脉冲长度;τФ是脉冲边缘长度;τСР是波形尾部长度。在脉冲的前边缘形成过冲(b1),在后边缘形成滚降(b2)。对过冲和滚降持续时间和振幅的分析允许计算总的电气总线无功阻抗。为了在时域内分析车辆电气总线上的数字信号过冲和滚降,必须有一个具有高采样频率(>200MHz)并因此具有高性能微处理器的模数转换器(ADC)。
在该解决方案中,提出了在频域内评估信号随时间的变化。该方法用于分析具有周期性的信号。
车辆电气总线中的数字信号具有接近周期性的特性;因此,使用较低的ADC采样频率(达数十兆赫),就可以记录信号边缘变化。为此,需要在一段时间内(在第一时间段和第二时间段)累积读数,然后在频域内对其进行分析。信号频谱分析是关于测量和比较高频子频谱振幅值。数字信号波形失真越大,高频频谱振幅越高。
图4和图5示出了两个不同时间段内的两个频谱信号特征。第一种情况说明在第一个时间段内将2个模块连接到电气CAN总线,第二种情况说明了在第二个时间段内将3个模块进行连接。当比较所呈现的频谱特征时,可以清楚地看到波形差异。
让我们使用数学模型方法从理论上证实上述说法。将创建电信号模型,使用该电信号模型可以对各种性质的信号进行建模,并对获取的光谱特性进行分析。
图6示出了可用于对车辆电气总线上的信号进行建模的数学模型。脉冲产生器单元201或随机信号产生单元202可以用作模型输入动作。此后,信号被馈送到模数转换器单元203和符号形成单元204。为了形成实际信号(更具体地说,具有添加了各种特性的滚降和过冲),需要使信号通过微分器单元205、放大器单元207、积分器单元206和求和单元208。为了建立形成的信号频谱,需要对信号进行数字处理。为此,我们将使用低通滤波器(LPF)单元209、缓冲单元210、快速傅立叶变换(FFT)单元211和模块计算器单元212。为了建立时变振幅图,我们将使用示波器221。为了建立信号频谱,我们将使用示波器222。
由于总线中的电信号具有周期性方形脉冲序列的形式,因此其频谱波形将通过以下公式描述:
其中m是当使用离散傅立叶变换时在时域中读取的信号数;
X(m)是信号频谱。
在分析周期性方形信号频谱时,我们将使用它特有的下列性质:
·如果τ是方形脉冲长度值,则频谱波瓣将位于1/τ间隔内。并且在n/τ点中,频谱将假定为零值(n是自然数)(请参见图7)。
·如果我们将脉冲周期值设为T,则频谱读数将位于间隔的每1/T之后;
图8示出了开/关时间比为5(T=5τ)的周期性方形脉冲信号的频谱特性。利用上述特性,可以得出以下结论:四个频率读数位于(n/τ;(n+1)/τ)频率间隔内的每个波瓣中,相同的频率读数间隔为1/5τ频率值。
图9示出了开/关时间比为5(T=5τ)的周期性方形信号的时间响应特性和微分特性(粗线)。可以清楚地看到前后信号边缘位置的脉冲阵列。
当比较周期性方形信号及其微分序列的频谱时,我们可以看到,就频率采样位置而言,它们彼此匹配,但它们的振幅分布却大不相同。这是由于以下事实:在前边缘和后边缘上存在一个附加的脉冲阵列。方形周期信号频谱能量的大部分集中在第一个波瓣处,频率为(0;1/τ)(请参见图8)。
相反,微分周期信号频谱的特征在于,第一波瓣之间的能量分布更加均匀(请参见图10)。这是由于以下事实:在前和后周期信号边缘上存在一个附加的脉冲阵列。考虑到频率傅立叶变换的线性特性,将方形周期信号及其微分序列的频谱在相加的基础上求和;因此,产生的频谱相对于主波瓣将具有逐步升级的高次谐波。因此,电气总线的微分特性表现得越多(由于无功阻抗电容分量),主瓣/旁瓣之比就越低。
图11示出了车辆电气总线上的数字数据序列的时间响应特性(理想模型)。这些信号具有以随机的持续时间和周期为特征的方形脉冲序列的形式。随着Δ(一个数据位的持续时间)离散化,它们随时间变化。这种信号的频谱特性具有在1/nΔ的频率处的频率读数叠加的形式,其中n是自然数[2;10](图12),而11是没有填充位的最大可能序列的位数(5个显性位和5个隐性位)。频率的振幅分布将趋向于在n/Δ点具有最小值的方形信号波形。如前所示,当将微分分量添加到方形周期信号时,频谱会由于主瓣能量重新分布到光栅瓣中而发生变化;对于随机方形周期信号持续时间和周期值,也观察到相同的趋势。
图13示出了电气总线上的数字数据序列的时间响应特性,其失真形式为对主信号进行微分和积分的低振幅相加。图14示出了这种信号的频谱特性。
图15示出了具有更大振幅失真的信号(数字序列)。图16示出了这种信号的频谱特性。当比较两个示波器记录(图13和15)及其频谱特性(图14和16)时,可以得出这样的结论:在更大的振幅失真处,存在有与增加的高频分量值有关的差异。
通过比较频谱的主瓣能量和累积旁瓣能量之间的比率,并通过监控比率随时间的变化,对电信号频谱特性进行分析。如果比率上升,则意味着设备已与数据总线断开连接;如果比率减小,则表明新设备已连接到数据总线。当在电气总线上更换车辆电子模块时,由于驱动器集成电路的电气特性不同,也可以观察到所述特征。