用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的方法、计算机可读的介质、系统和车辆

技术领域

本发明涉及一种用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的方法。本发明还涉及一种用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的计算机可读的介质、一种用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的系统、以及一种包括用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的系统的车辆。

背景技术

车辆可以将安全相关的数据从车辆传输至后台服务器。通常可能无法确定安全相关的数据是否完全从车辆传输。

发明内容

因此本发明的任务在于，有效地识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断。特别是本发明的任务在于，有效地识别安全相关的数据从车辆至车辆外部服务器的完全的传输。

所述任务通过独立权利要求的特征解决。本发明的有利的设计方案和进一步扩展方案从从属权利要求中产生。

按照第一方面，本发明的特征在于一种用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的方法。所述方法可以是计算机实现的方法和/或控制器实现的方法。车辆可以是机动车或摩托车。安全相关功能可以是车辆外部服务器的安全相关的服务。例如，安全相关功能可以是车辆的入侵探测系统、简称IDS的后台服务。数据传输可以是车辆的安全相关的数据传输。例如，数据传输可以是车辆的IDS的数据传输。优选地，每个数据传输可以包括一个或多个控制器的一个或多个数据包。控制器的数据包可以包括相应的控制器的IDS的消息。

所述方法包括：通过车辆外部服务器的安全相关功能接收车辆的一个或多个控制器的数据传输。此外，所述方法包括通过车辆外部服务器接收车辆的目标控制器状态。目标控制器状态可以在车辆的生产中被判定。例如目标控制器状态可以包括车辆的一个或多个控制器、优选地车辆的所有控制器的硬件和/或软件配置。所述方法此外包括根据接收到的数据传输确定车辆的实际控制器状态。实际控制器状态可以包括车辆的一个或多个控制器的硬件和/或软件配置。实际控制器状态的硬件和/或软件配置可以从接收到的数据传输中导出。例如，接收到的数据传输可以包括控制器的硬件和/或软件配置的一个或多个明确的标识符。例如明确的标识符可以是车辆的软件设备的软件模块和/或硬件模块的加密的证书、版本号或者另一明确的字母数字的标识符。

所述方法包括：检查车辆的实际控制器状态与车辆的目标控制器状态的偏差。假如存在实际控制器状态与目标控制器状态的偏差，那么所述方法识别车辆的一个或多个控制器至车辆外部服务器的安全相关功能的数据传输的中断。

有利地，所述方法可以有效地识别车辆的控制器的数据传输的抑制。由此可以通过车辆外部服务器有效识别在车辆的控制器和/或总线系统上的操纵。对车辆的操纵可以例如通过控制器的IDS组件识别。假如控制器的IDS组件的数据传输未出现，那么车辆外部服务器的安全相关功能、例如车辆外部服务器的IDS后台服务可以识别出：抑制了控制器的IDS组件的数据传输。对数据传输的抑制例如可以通过附加的、由入侵者在车辆的总线系统中安装的控制器、对控制器的软件组件的操纵、对硬件组件的操纵、对车辆的控制器的软件配置的操纵和/或对硬件配置的操纵而引起。

按照本发明的一个有利设计方案，所述方法此外可以包括：假如不存在实际控制器状态与目标控制器状态的偏差，那么将接收到的至车辆外部服务器的安全相关功能的数据传输判定为正确的。因此，所述方法可以确定正确的数据传输。

按照本发明的另一有利设计方案，数据传输可以包括车辆的一个或多个控制器至车辆外部服务器的安全相关功能的一个或多个消息。因此，所述方法可以有效汇总车辆的多个控制器的数据传输。

按照本发明的另一有利设计方案，可以将数据传输从车辆的消息收集组件传送给车辆外部服务器；和/或车辆的消息收集组件可以基于时间地收集并传送车辆的一个或多个控制器至车辆外部服务器的安全相关功能的消息。因此，所述方法可以有效汇总车辆的多个控制器的数据传输。

按照本发明的另一有利设计方案，控制器的消息可以是由控制器标记的消息；和/或控制器的消息可以包括控制器的诊断数据；和/或控制器的消息可以包括随机数值(Nonce-Wert)；和/或控制器的消息可以包括控制器的一个或多个警告消息；和/或控制器的消息可以包括代表控制器的正确功能的信号；和/或控制器的消息可以是推送消息；和/或控制器的消息可以是拉取消息。因此可以使方法灵活地适配于不同的控制器。此外，车辆外部服务器可以灵活地在完全性、完整性和/或新鲜性(英语：freshness)方面分析处理接收到的数据传输的消息。因此可以有效提高方法的安全性。

按照本发明的另一有利设计方案，根据接收到的数据传输确定车辆的实际控制器状态可以包括：将车辆的控制器确定为用于接收到的数据传输的每个消息的发送器；以及将所确定的控制器添加给车辆的实际控制器集合，其中，所述车辆的实际控制器集合对应于车辆的实际控制器状态。

按照本发明的另一有利设计方案，检查车辆的实际控制器状态与目标控制器状态的偏差可以包括：确定实际控制器状态的实际控制器集合与目标控制器状态的目标控制器集合的偏差。

按照本发明的另一有利设计方案，所述方法此外可以包括：检查接收到的数据传输的每个所标记的消息的完整性；和/或在使用接收到的数据传输的消息的随机数值的情况下检查每个消息的新鲜性(英语：Freshness)；和/或检查接收到的数据传输的消息的完全性；和/或检查在接收到的数据传输中警告消息和/或代表相应控制器的正确性的信号的存在。因此，所述方法可以灵活地检查接收到的数据传输。

按照另一有利设计方案，目标控制器状态可以是车辆的目标控制器安装状态；和/或实际控制器状态可以是车辆的实际控制器安装状态；和/或目标控制器状态可以包括控制器的消息的历史过程；和/或实际控制器状态可以包括控制器的消息的当前过程。因此可以有效地实施目标-实际比较。

按照另一方面，本发明的特征在于一种用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的计算机可读的介质，其中，所述计算机可读的介质包括指令，所述指令当在计算机上执行时执行上述的方法。

按照另一方面，本发明的特征在于一种用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的系统，其中，上述系统构成为执行所述方法。

按照另一方面，本发明的特征在于一种车辆，所述车辆包括上述的用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的系统。

本发明另外的特征从权利要求、附图以及对附图的描述中产生。上文在说明书中所提及的所有特征和特征组合以及下文在对附图的描述中所提及的和/或在附图中单独示出的特征和特征组合不仅可以以分别提出的组合使用，而且也可以以其他组合使用或者单独地使用。

附图说明

在以下根据附图描述本发明的优选实施例。由此产生本发明另外的细节、优选设计方案和进一步扩展方案。详细地示意性示出：

图1示出用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的示例性方法；以及

图2示出用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的示例性系统。

具体实施方式

图1详细地示出用于识别从车辆至车辆外部服务器的安全相关功能的数据传输的中断的示例性方法100。方法100可以通过车辆外部服务器的安全相关功能接收102车辆的一个或多个控制器的数据传输。数据传输可以包括一个或多个控制器的消息。控制器的消息可以由车辆的消息收集组件收集且集体在数据传输中从车辆传送给车辆外部服务器。优选地，车辆的每个控制器具有IDS组件。控制器的IDS组件可以是车辆的分布式IDS。控制器的消息可以是控制器的IDS组件的消息。车辆的控制器的IDS组件的消息可以是代表识别到入侵的消息或者代表没有识别到入侵的消息。车辆外部服务器的安全相关功能可以是IDS的后台组件或后台服务。

方法100可以通过车辆外部服务器接收车辆的目标控制器状态。目标控制器状态可以是目标控制器安装状态。目标控制器安装状态可以包括车辆的安装在车辆中的所有控制器。目标控制器安装状态优选地仅包括如下控制器，其由车辆的制造商在生产车辆时已安装在车辆中；和/或如下控制器，其安装已由车辆的制造商授权。目标控制器安装状态可以包括控制器的硬件组件、软件组件、硬件配置和/或软件配置。

方法100可以根据接收到的数据传输确定106车辆的实际控制器状态。实际控制器状态可以是车辆的实际控制器安装状态。在确定实际控制器安装状态中，所述方法可以基于接收到的数据传输识别如下控制器，其已经将具有接收到的数据传输的消息传送给车辆外部服务器。所识别的控制器可以形成实际控制器安装状态。

此外，方法100可以检查108车辆的实际控制器状态、特别是实际控制器安装状态与车辆的目标控制器状态、特别是目标控制器安装状态的偏差。此外，方法100可以将目标控制器安装状态的控制器与实际控制器安装状态的所确定的控制器进行比较。假如存在实际控制器状态、特别是实际控制器安装状态与目标控制器状态、特别是目标控制器安装状态的偏差，那么方法100可以识别110车辆的一个或多个控制器至车辆外部服务器的安全相关功能的数据传输的中断或失灵。

如果入侵者在具有分布式IDS的车辆上进行操纵，那么入侵者可以通过另外的操纵、例如通过总线过滤来过滤控制器的IDS组件的消息，从而这些消息不再传输给车辆外部服务器。即使过滤控制器的IDS组件的消息，所述方法也可以识别通过入侵者对消息的抑制/过滤并因此识别对控制器的操纵。通过车辆外部服务器可以触发警告。

图2详细地示出用于识别从车辆202至车辆外部服务器206的安全相关功能204的数据传输的中断的示例性系统。车辆202可以包括三个控制器208、210、212。控制器208和210正常地运行。控制器212已被入侵者操纵，从而通过车辆的IDS组件抑制识别到的入侵。安全相关功能204仅仅接收控制器208和210的消息216、218。接收到的数据传输的消息216、218可以存储在数据库214中。安全相关功能可以通过如上结合图1所描述的目标-实际比较来识别：控制器212的消息220在接收到的数据传输中缺失。由于消息220的缺失，车辆外部服务器的安全相关功能204可以触发IDS警告。

例如安全相关的组件可以将警告消息提供给车辆制造商、用户和/或第三方，所述安全相关的组件通知控制器212的IDS组件的消息的抑制或失灵。

有利地，方法100或系统200可以有效识别一个或多个控制器的入侵探测数据的失灵。每次通过安全相关功能分析处理具有入侵探测数据的数据传输时，那么可以检查：消息或IDS数据对于所有预期的控制器是否完全地存在。如果判定没有完全传输IDS数据，那么可以针对所述车辆触发IDS警告。

附图标记列表：

100方法

102接收数据传输

104接收目标控制器状态

106确定实际控制器状态

108检查实际控制器状态与目标控制器状态的偏差

110识别数据传输的中断

200系统

202车辆

204安全相关功能

206车辆外部服务器

208控制器

210控制器

212被操纵的控制器

214数据库

216消息

218消息

220缺失的消息

222警告消息