用于监视通信总线上的通信的方法、用于连接到通信总线的电子设备以及用于连接到通信总线的中央监视设备

技术领域

本发明涉及针对未经授权的总线访问监视通信总线上的通信的技术领域。所述方法特别是可以在车辆中使用的通信总线中使用。联网的控制设备也可以在其它技术领域中、例如在自动化技术、过程技术等中找到。此外，本发明涉及一种用于连接到通信总线的电子设备。

背景技术

在现代车辆中安装多个控制设备。单单对于传动系统就使用多个控制设备，例如发动机控制设备、变速器控制设备、变速杆控制设备、安全气囊控制设备等。此外，也还存在其它控制设备，其安装在车身区域中并且保证特定的舒适功能。作为示例提到门或窗调节器控制设备、空调设备控制设备、座椅调节控制设备等。然后还存在属于信息娱乐领域的控制设备，例如用于环境观察的照相机控制设备、导航设备、通信模块以及具有电视、无线电、视频和音乐功能的娱乐设备。

通常，将不同类别的控制设备分别与单独的针对设备类别对应地设计的总线联网。因此，在车辆中可能使用多个不同的总线系统。在此，不同的总线系统可能经由网关彼此连接，以使得能够进行数据交换。在传动系统控制设备领域，同样在舒适控制设备领域，通常使用CAN总线(Controller Area Network，控制器局域网)。在信息娱乐领域还使用其它总线系统，例如基于以太网技术的总线系统、例如基于根据IEEE 802.1标准的标准系列的AVB(AudioVideoBridging，音视频桥接)。还可以使用经由光波导体进行数据传输的总线系统。作为示例提到MOST总线(Media Oriented System Transport，面向媒体的系统传输)或者D2B总线(Domestic Digital Bus，国内数字总线)。

机动车辆领域的总线系统正日益成为黑客攻击和企图故意操纵消息内容的焦点。这种对总线系统的黑客攻击通常通过连接到物理传输介质、即总线线路或者通过访问所谓的OBD插口(On Board Diagnose-Schnittstelle，板载诊断接口)来进行。因此，网络安全也越来越受到关注，因为越来越复杂的驾驶员辅助系统被安装在车辆中，直至自动驾驶。这里必须排除操纵。

因此，存在如下需求，即，始终继续确保车辆中的通信总线上的通信以及其它方面安全。

CAN总线在机动车辆领域特别普遍，并且经常用于车辆中的与安全相关的电子设备的联网。因此，这里存在确保通信安全的特殊需求。

从DE 10 2015 205 670 A1中已知一种用于机动车辆的总线系统的攻击识别方法以及对应的设备。在此，目的是识别并且抵御从外部对总线系统的攻击。为此，在总线系统的网关中安装模块，该模块根据一般的方法来检查在总线上传输的消息是否是根据通信规则来传输的。这包括不同的通信规则：根据一个方面，该模块检查指定的消息循环的特定特性。这例如相应地包括两个连续的消息之间的时间，当识别出两个连续的消息的时间间隔与预先给定的循环持续时间不一致时，输出警告通知。根据另一个方面，该模块检查是否相应地仅仅连续地传输相同的消息。这些检查方面可能涉及特定的消息类型。

从DE 10 2016 220 895 A1中已知在CAN网络中采取能够用来识别操纵的措施。在此，利用RX滤波器装置来扩展基本CAN控制器或者完全CAN控制器，RX滤波器装置将为了进行发送而确定的CAN标识符与接收到的CAN消息的CAN标识符进行比较。

从DE 10 2017 216 808 A1中已知一种用于CAN总线的监视方法。其中利用在CAN总线中存在的唯一性规则，唯一性规则在于，禁止另一个站发送具有已经针对该站保留的标识符的有效数据消息。当确定违反了唯一性规则时，确定未经授权的总线访问。

从DE 10 2017 218 134 B3中已知一种通过数据总线来传输消息序列的方法。在活动阶段期间传输包含信息信号的信息消息，并且在休息阶段期间以休息循环时间为间隔传输休息消息，休息消息包含用于开始休息阶段的安全消息以及休息信号。信息信号和休息信号彼此不同，并且安全消息和休息消息同样彼此不同。

发明内容

本发明的目的是给出一种用于通信总线的有效的监视方法，其不仅能够识别未经授权的总线访问，而且为被操纵的站提供识别发出混入的消息的机会。

上述技术问题通过根据权利要求1的用于监视通信总线上的通信的方法、根据权利要求13的电子设备以及根据权利要求14的用于通信总线的中央监视站来解决。

与下面对这些措施的描述对应，从属权利要求包含本发明的有利的扩展方案和改进。

解决方案在于，一种用于监视通信总线上的通信的方法，通过通信总线将多个电子站联网。特别之处在于，消息格式被设计为，用标识符标记消息，其中，针对每一个站确定其允许发送具有哪个标识符的哪个消息。在此，存在唯一性规则，唯一性规则禁止另一个站发送具有已经针对该站保留的标识符的有效数据消息。所述方法的特征在于，站中的记录单元持有关于由站实际发送的消息的标识符的列表，其中，在识别出违反了唯一性规则时，开始针对标识的站的应对措施。在相应的站中持有列表具有以下优点，即，监视系统被设计为是自学习的，因此不需要预先安装列表，并且可以通过事后激活功能特征或者事后进行软件更新来改变站的功能范围，而不需要在车间中对列表重新进行编程。另一个优点在于，不依赖于站的主机，因此可以将监视方法设计得非常可靠。附加地，一个优点在于，使得可以事后借助软件更新使监视方法进入站。

在此有利的是，记录单元逐步地建立列表，方式是，当站发送具有先前尚未登记到列表中的标识符的消息时，生成新的列表条目。由此避免存储器中的重复条目，并且可以节省存储空间。

一个特别有利的措施在于，与包含针对进行发送的站的标志的条目的消息一起，向连接到通信总线的中央监视站发送列表，其中，由安装在中央监视站中的上级的监视机构对记录在列表中的标识符与如下的表格进行比较，在表格中，记录有关于通信总线的站的标识的标志以及具有允许发送列表的站在消息中发送的、与每个控制设备相关联的标识符的参考列表。该措施使得能够标识混入了伪造的消息的站(攻击者控制设备)。这使得监视系统明显更安全，因为于是可以针对识别出的被操纵的控制设备启动针对性的应对措施。

在一个变形方案中，当识别出工作循环结束时，与所记录的列表一起向连接到通信总线的具有上级的监视机构的中央监视站发送消息。在最简单的情况下，一个工作循环可以包括通信系统从接通到关闭电源的阶段。

在另一个有利的变形方案中，本发明包含，在一个站中安装有检测器单元，检测器单元监视在通信总线上是否由另一个站与记录在由记录单元持有的列表中的标识符一起发送了有效数据消息，并且当进行发送的站的检测器单元本身识别出违反了唯一性规则时，与关于进行发送的控制设备的标识的标志一起向具有上级的监视机构的监视站发送消息。在该变形方案中，在相应的站本身中对是否遵守唯一性规则进行检查。通过该变形方案更早地识别出被操纵的消息的出现。可以更早地开始执行应对措施。

在一个特别可靠的变形方案中，检测器单元向站中的逻辑单元通知识别出违反了唯一性规则，然后逻辑单元生成具有关于进行发送的站的标识的标志的消息。

一个优点在于，逻辑单元还可以被配置为，逻辑单元从安装有上级的监视机构的站接收特殊安全消息，并且逻辑单元开始执行在安全消息中通知的应对措施。

这种监视方法可以特别有利地在根据对应于控制器局域网总线的CAN总线系列的变形方案的通信总线中使用。这里适用，作为应对措施，执行标识的控制设备的总线关闭状态的触发。在总线关闭状态下，将该站从通信总线中取出。在这种状态下，其于是不再能够发送伪造的消息。因此，同样可以开始执行其它应对措施。作为示例提到如下的其它应对措施：启动安全模式，从而不会受到来自攻击者控制设备的威胁。许多控制设备配备有紧急模式，在该模式下它们仅执行基本功能。利用该基本功能，例如，虽然不再能够在车辆网络中调用车辆的全部性能，但是车辆仍然可以开到车间。自1990年代初以来，CAN总线已在车辆中使用，并且在那里非常普遍。通过这种通信总线进行的数据传输与安全相关，因此对保护通过CAN总线的通信免遭操纵的要求很高。

在所述方法可以使用的其它应对措施的示例如下：

·例如通过光学、声音或触觉信号向车辆驾驶员输出警告通知，

·打开警报系统，

·通过无线电将操纵报告传输到车辆制造商或当局的中央数据库计算机或车主的智能手机，

·将操纵事件的地点、日期、时间存储在存储器中，

·锁住用来启动车辆的钥匙。

该列举并不声称是完整的，所列出的应对措施中几个也可以并行使用。

用于在CAN总线中使用的所述方法的定制方案在于，所记录的标识符对应于CAN总线消息标识符。

所监视的有效数据消息可以对应于所谓的CAN总线标准数据帧。

一个有利的变形方案还在于，在识别出具有为站保留的消息标识符的CAN总线远程帧消息的情况下，检测器单元不接受未经授权的总线访问，并且不向具有上级的监视机构的站发送具有关于进行发送的控制设备的标识的标志的消息。远程帧通常可以例外地使用相同的消息标识符。但是该消息不包含有效数据，因此被归类为不那么危险。

在另一个方面，本发明涉及一种用于连接到通信总线的电子设备，其特征在于，设备具有记录单元，记录单元被设计为用于，持有关于由电子设备发送的消息的标识符的列表，其中，发送的消息用相应的标识符来表示，其中，针对每一个电子设备确定其允许发送具有哪个标识符的哪个消息，其中，适用唯一性规则，唯一性规则禁止另一个站发送具有已经针对另一个电子设备保留的标识符的有效数据消息。得到与根据本发明的方法相同的优点。

在此，电子设备可以具有逻辑单元，其与包含针对进行发送的电子设备的标志的条目的消息一起，向连接到通信总线的中央监视站发送由记录单元持有的列表，中央监视站具有上级的监视机构。利用该措施，在电子设备中实现对应的方法。

电子设备的逻辑单元可以被设计为用于，从安装有上级的监视机构的站接收特殊安全消息，并且开始执行在安全消息中通知的应对措施。

另一个实施方式在于，电子设备具有检测器单元，其被设计为用于，监视在通信总线上是否由另一个站与记录在由记录单元持有的列表中的标识符一起发送了有效数据消息，并且逻辑单元被设计为用于，当进行发送的电子设备的检测器单元本身识别出违反了唯一性规则时，与关于进行发送的电子设备的标识的标志一起向具有上级的监视机构的中央监视站发送消息。如在对应的方法中所提到的，这具有以下优点，即，可以更早地识别出伪造的消息。

对于CAN总线，有效数据消息将对应于CAN总线标准数据帧。

对于用于连接到通信总线的中央监视设备，有利的是，设备包含目录，目录具有连接到通信总线的总线站以及其各自的标志和其各自的参考列表，其中，在参考列表中列出了针对每一个总线站确定的、允许由相应的总线站发送的消息标识符，其中，适用唯一性规则，唯一性规则禁止另一个总线站发送具有已经针对另一个总线站保留的标识符的有效数据消息。为了揭露攻击者站，监视设备包含监视机构，其被设计为用于，对参考列表与在消息中通知的可疑的消息标识符进行比较，或者对参考列表与通知的记录的列表进行比较。如果记录的列表具有未在相关参考列表中列出的消息标识符，则该总线站被揭露为是被操纵的。同样，如果通知的可疑的消息标识符未在相关参考列表中列出，则同样揭露总线站。

为了针对被揭露的总线站执行应对措施，有利的是，中央监视设备具有发送单元，其向如下的总线站发送具有安全措施的安全消息，该总线站的标志与所通知的关于接收到的记录的列表的标志一致，其中，相关的参考列表没有针对在其列表中记录的消息标识符的条目，或者其标志与通知了可疑的消息标识符的消息中的所通知的标志一致，其中，相关的参考列表没有针对所通知的可疑的消息标识符的条目。

附图说明

本发明的实施例在附图中示出并且下面根据附图来详细说明。

图1示出了借助CAN总线的电子部件的联网的原理；

图2示出了具有不同类别的控制设备的车辆通信网络的框图；

图3示出了CAN总线中的标准帧传输帧的格式；

图4示出了CAN总线中的远程帧传输帧的格式；

图5示出了配备有根据本发明的监视模块的CAN总线接口的框图；

图6示出了作为监视模块安装在CAN总线接口上的程序的流程图；以及

图7示出了攻击识别的第一变形方案的流程图。

具体实施方式

当前的描述示出根据本发明的公开的原理。因此应当理解，本领域技术人员能够设计不同的布置，虽然这里未明确描述这些布置，但是这些布置体现根据本发明的公开的原理，并且同样应当在根据本发明的公开的范围内受到保护。

CAN总线已经于1994年首次标准化。对应的ISO标准编号为ISO 11898。存在针对直至1Mbit/s的高速范围的标准，这是标准ISO 11898-2。于是存在针对直至125kBit/s的低速范围的标准，这是标准ISO 11898-3。由于数据量的不断增长，在CAN总线上产生越来越高的总线负荷。这导致CAN总线的进一步发展。这种扩展的CAN总线作为术语CAN FD总线(CANFD-Bus)而已知。在此，FD代表Flexible Data Rate(灵活数据速率)。在这种CAN总线变形方案中可以切换数据速率。与在经典的CAN总线中一样，对于仲裁阶段，速率保持低。对于有效数据的传输，则切换为更高的数据速率。如果更快速地传输CAN-FD消息的有效数据，则总线占用的持续时间缩短并且总线负荷减小。当传输持续时间保持在与在经典的CAN消息的情况下相同的范围内时，利用CAN-FD消息可以传输更大的数据量。因此，这也已经在CAN FD的情况下实现。代替8字节长的有效数据字段，在CAN FD的情况下使用高达64字节长的有效数据字段。对于有效数据字段的传输，通过转换，数据速率例如从500kbit/s增加到2Mbit/s。

在经典的CAN总线中还存在一种特殊的CAN远程帧格式。CAN远程帧由一个站发送，以便从另一个站请求特定数据。

在下面对实施例的描述中，将例如在机动车辆领域常见的总线站称为控制设备。但是总线站也可以不设计为控制设备。作为示例提到连接到总线的特定传感器或者执行器(控制元件(Stellglieder))。

图1示出了借助CAN总线的电子部件的联网的原理。CAN网络是具有CAN接口的CAN节点(诸如控制设备、传感器、执行器的电子部件)的系统联合体，这些CAN节点经由其各自的CAN接口以及连接所有CAN接口的传输介质(CAN总线)彼此交换数据。示出了3个CAN节点10。CAN总线的总线结构是线性的。因此存在总线线路15，所有3个CAN节点10连接该总线线路15。作为总线线路15，在最经常的使用情况下，使用非屏蔽的双绞线线路(UnshieldedTwisted Pair(非屏蔽双绞线)-UTP)，经由其进行对称信号传输。在对称信号传输的情况下，作为电压差经由两个线路来传输信号。在此，线路对由非反相的CANH和反相的信号线路CANL组成。接收方由在这两个导体上存在的信号的差来重建原始的数据信号。这具有以下优点，即，在总线线路15的两个导体上发生的共模干扰通过求差而被消除，因此不对传输产生影响。

为了避免信号反射，总线线路15在线路两端以具有总线线路的波阻大小(120Ohm)的终端电阻13终止。

CAN接口由两个部分组成：通信软件和通信硬件。通信软件包括更高级别的通信服务，而基本通信功能一般以硬件来实现：这里，区分两个硬件部件：CAN控制器14确保CAN通信协议的统一处理，由此减轻主机16的负荷，已经提到的通信软件在主机16上运行。CAN收发器12确保CAN控制器14耦合到CAN总线15。其在发送过程中形成数据传输的信号，并且在接收情况下进行信号处理。

图2示出了现代机动车辆的通信网络的一般结构。附图标记151表示发动机控制设备。附图标记152对应于变速杆控制设备，并且附图标记153表示变速器控制设备。在机动车辆中可能存在其它控制设备，例如附加的行驶动态控制设备(用于具有电动可调节阻尼器的车辆)、安全气囊控制设备等。所有归入传动系统类别的这些控制设备的联网一般利用CAN总线系统(Controller Area Network，控制器局域网)104来进行，CAN总线系统104被标准化为ISO标准、通常被标准化为ISO 11898-1。对于不再仅仅连接到各个控制设备的机动车辆中的不同的传感器，同样设置为，将传感器连接到总线系统104，并且将其传感器数据经由总线传输到各个控制设备。机动车辆中的传感器的示例是车轮转数传感器、转向角传感器、加速度传感器、转速传感器、轮胎压力传感器、距离传感器、爆震传感器、空气质量传感器等。驾驶员可以利用与变速杆控制设备连接的变速杆操作设备来选择驾驶模式。这包括档位选择和发动机设置、例如运动模式、正常模式、全轮驱动等。

然而，现代机动车辆也可以具有其它部件，例如视频照相机，例如作为倒车摄像机或作为驾驶员监视摄像机。于是在机动车辆中也还存在其它电子设备。这些电子设备更多布置在乘客座舱的区域中，并且经常也由驾驶员来操作。示例是用户接口设备，驾驶员可以利用用户接口设备来进行设置，但是也可以利用用户接口设备来操作一般部件。这包括方向指示灯控制、雨刮器控制、灯光控制、无线电的音频设置、车载电话、导航系统等的其它设置。这些用户接口布置设置有附图标记130。用户接口布置130还经常配备有旋转/按钮开关，驾驶员可以经由旋转/按钮开关来选择在驾驶舱中的显示器上显示的各种菜单。另一方面，触控式显示器也属于这一类别。用于进行操作支持的语音输入本身也落入该范围内。

导航系统具有附图标记120，其同样安装在驾驶舱区域中。当然同样可以在驾驶舱中的显示器上示出在地图上显示的路线。可能存在其它部件、例如免提通话装置，但是未详细示出这些部件。附图标记110还表示车载单元。该车载单元110对应于通信模块，车辆可以经由通信模块接收和发送移动数据。这里一般是例如根据LTE标准的移动无线电通信模块。所有这些设备与信息娱乐领域相关联。因此，这些设备经由针对该设备类别的特殊需求设计的总线系统102来联网。在所示出的示例中，假设总线系统102也是CAN总线的变形方案来实现的。可以考虑已经提到的CAN FD总线，因为在那里可以以较高的数据量来传输数据，这对于联网的信息娱乐领域的控制设备是有利的。

对于信息娱乐领域，经常使用不同的总线系统。关于此，以总线系统AVB(AudioVideo Bridging，音视频桥接)、MOST总线(Media Oriented System Transport，面向媒体的系统传输)或D2B总线(Domestic Digital Bus，国内数字总线)为例。为了将与车辆相关的传感器数据通过通信接口110传输到另一个车辆或者数据库的外部中央计算机，设置有网关140。网关140与两个不同的总线系统102和104连接。网关140被设计为用于将其经由CAN总线104接收到的数据进行转换，将数据转换为信息娱乐总线102的传输格式，使得数据能够在那里指定的数据包中进行分发。对于这些数据向外的转发，即转发到另一个机动车辆或者中央计算机，车载单元110配备有通信接口，用于接收这些数据包，并且又转换为对应地使用的移动无线电标准的传输格式。当作为CAN FD总线实现总线102时，同样需要进行转换。

如在图2中所示出的，在连接到相应的CAN总线102、104的控制设备中的每一个中设置有监视模块18。

图3示出了CAN标准帧的消息格式。更准确地说，图3示出了根据CAN通信标准的CAN传输帧格式。

在根据ISO 11898-1的传输帧中存在实现控制目的的许多不同的各个位。在下面的表格中列出了传输帧的不同的字段和控制位以及其英语名称。同样给出了各个字段的长度。当下面提到这些位时，将不再重复详细的名称。

CAN帧包含帧开始(Start-of-Frame，SOF)字段、仲裁字段、控制字段、数据字段、循环冗余校验(Cyclic Redundancy Check，CRC)字段、ACK字段、帧结束(End-of-Frame，EOF)以及间歇序列(Intermission Sequence，ITM)字段。

根据本发明的一个示例性实施方式，SOF字段是指示CAN帧开始、即消息的开始的字段。仲裁字段标识消息并且为消息分配优先级。根据在仲裁字段中分配的标识字段的长度，将CAN帧划分为标准格式和扩展格式(示出了标准格式)。在标准格式中，仲裁字段的长度为11位。对于扩展格式，仲裁字段中的标识字段的长度为29位。

标识符确定数据帧的优先级，并且与接受过滤(Akzeptanzfilterung)一起确保在通信矩阵中定义的CAN网络中的发送方-接收方关系。在通信矩阵中，针对每一个控制设备确定其处理哪些消息。也就是说，如果接收到消息标识符未在那里列出的消息，则通过接受过滤分拣出该消息，并且不向应用(Applikation)转发该消息。

发送站借助RTR位来向接收方通知帧类型(数据帧或者远程帧)。显性的RTR位指示数据帧，对应地隐性位指示远程帧。附加地，仲裁字段可以包含长度为1位的标识扩展字段(IDE)，以识别帧具有标准格式、还是扩展格式。如果IDE字段的值为0，则这指示标准格式。如果值为1，则这意味着扩展格式。

在DLC字段中向接收方显示包含在消息中的多个有效数据字节。在数据字段中传输有效数据字节。利用一个数据帧最多可以传输8个有效数据字节，或者在CAN-FD的情况下，可以传输多达64个字节。针对传输错误，使用循环冗余校验(Cyclic RedundancyCheck)，借助在CRC字段中传输的校验和来保护有效数据字节的安全。

从CRC校验的结果出发，接收方在ACK时隙中肯定或者否定地确认接收。在此，恰好接收到消息的CAN控制器在消息的末尾处传输ACK位。发送消息的节点检查在CAN总线上是否存在ACK位。如果未找到ACK，则这是节点无法正确接收消息的指示，并且发送站可以尝试重新进行传输。

数据帧的传输以7个隐性位结束，这对应于帧结束代码EOF。

图4还示出了CAN远程帧的消息格式。如果本来就没有循环地发送有效数据，则控制设备可以使用远程帧来请求希望的有效数据。在汽车中应用时，这种帧类型几乎从不使用，因为在那里数据传输不是按照需要来进行，而是基本上循环地进行。

除了缺少的数据字段之外，远程帧的结构对应于数据帧的结构。借助RTR位在数据帧和远程帧之间进行区分。在数据帧的情况下，显性地(dominant)发送RTR位。远程帧由隐性的RTR位来表示。

原则上，可以针对在CAN网络中存在的所有数据帧定义对应的远程帧。为此仅应当注意，远程帧的标识符对应于相关联的数据帧的标识符。一旦CAN节点接收到标识符与自己的通信矩阵中的标识符相同的远程帧，则其利用对应的标准帧进行响应。

现在，图5示出了控制设备中的软件模块形式的监视模块18的一个可能的实现。控制设备的CAN接口由部件CAN收发器12和CAN控制器14构成。附图标记16又表示控制设备的主机硬件和软件。监视模块18借助软件来实现，并且由记录单元18-1、检测器单元18-2和逻辑单元18-3三个部件构成。

下面说明可以用来在图2所示的示例的车载电子设备100中执行攻击识别的两种不同的变形方案。根据图6的变形方案对应于循环攻击识别。在所示出的情况下，将循环时间耦合到车辆的运行阶段。在车辆中，运行阶段涉及所谓的端子15-循环(Klemme 15-Zyklus)。传统上，这个名称还源自机动车辆技术的开始。传统上，端子15还表示连接的电池的正极。通过转动点火钥匙将进行该开关过程。在现代车辆中，经常存在同样接通电源的启动按钮。然而，虽然通过再一次按下启动按钮而结束了正常模式，但是一些设备保持继续连接到电源。这些设备于是例如从正常模式切换到待机模式，在待机模式下设备消耗较少的电力，但是仍然能够执行任务。作为示例提到车身控制设备，车身控制设备在待机模式下等待从无线电钥匙接收无线电信号，以便在无线电信号到达时将车门解锁。

图6从上到下示出了两个连续的端子15循环。在Kl15-循环x中示出了传动系统中的控制设备之间的各种消息传输。上面从左到右示出了如下的控制设备：变速器控制设备153、发动机控制设备151、被操纵的变速杆控制设备152以及网关140。首先，在步骤202中，经由CAN总线104从变速器控制设备153向发动机控制设备151进行消息传输。这涉及以如图3所示的标准数据帧的格式发送的常规消息。该消息被发动机控制设备151接受，因为其被接受过滤过程识别为与发动机控制设备151相关。在步骤206中，在发动机控制设备151侧针对该消息的进入进行对应的正确的反应。当这涉及重要的测量数据时，可以将测量数据存储在存储器中，并且由在主机16中运行的控制程序访问测量数据，以执行要在考虑这些测量数据的情况下进行的控制功能。同时，在CAN接口的记录单元18-1侧经由站自己的CAN标识符在列表中设置条目。这在步骤204中进行。变速器控制设备153发送的消息越多，则该列表逐渐完备。该列表的目的是事后揭露攻击者控制设备。但是攻击者控制设备为此也必须建立列表。一个针对操纵更好地进行保护的变形方案在于，每一个控制设备、包括攻击者控制设备都必须配备有对应地设计的硬件模块，硬件模块包含该记录单元。为此，考虑在集成在CAN收发器或CAN控制器中的硬件块中的对应的实现。在所示出的示例中，攻击者控制设备是被操纵的变速杆控制设备152。在步骤208中，攻击者控制设备接收到向CAN总线104发送伪造的消息的命令。这也可能通过被操纵的控制程序来触发，其中，为此将需要详细地了解标准的

在图6中，随后的端子15-循环用索引x+1表示。在步骤220中对所传输的CAN标识符协议进行评估。在步骤220中，将接收到的CAN标识符协议与存档在监视机构中的参考列表进行比较。参考列表包含分配给相关的控制设备的常规CAN标识符。将该列表存储在每一个控制设备中，并且为了进行接受过滤而在接收到CAN消息时用于判断消息是与自己的控制设备相关，还是针对另一个控制设备。部分也将参考列表称为K矩阵，对应于通信矩阵。必须确保在网关140的监视机构中存在车载电子设备100中的控制设备联合体的所有参考列表。可以在车辆的制造中生产结束时将这些参考列表编程到网关140中的受保护的存储区域(例如EPROM)中。然后，在对记录单元18-1在变速杆控制设备152中记录的列表进行测试时，识别出附加地记录了在步骤210中发送的伪造的消息的CAN标识符。该CAN标识符没有记录在参考列表中。因此，于是识别出变速杆控制设备152被操纵。随后，监视机构于是开始所描述的应对措施中的一个或多个。进行这，使得网关中的监视机构经由CAN总线104向攻击者控制设备152发送消息。为此，在每一个控制设备中设置有逻辑单元18-3。变速杆控制设备152中的逻辑单元18-3从网关140接收带有安全措施的消息。逻辑单元可以经由直接的信号线路与主机16连接，并且向主机发送用于关闭或启动安全模式的命令。替换地，可以通过CAN消息向CAN控制器14提供该命令。另一种安全措施在于在逻辑单元侧触发总线关闭状态。于是由此中断与CAN总线104的连接。

在图7中还示出了攻击识别的另一个变形方案。相同的附图标记表示与前面所描述的相同的部件。区别在于，由此实现了即时的攻击识别。为此需要控制设备本身与由记录单元18-1创建的列表进行比较。这也在列表尚不完全时进行。在检测器单元18-2中进行与所记录的列表的比较。对于每一个进入的消息，对包含在消息中的CAN标识符与所记录的列表进行比较。在攻击者控制设备152在步骤210中发送了伪造的消息之后，在步骤222中在变速器控制设备153中初次进行该比较。比较的结果是与记录在变速器控制设备153中的列表的条目一致。每当识别出一致时，由于存在唯一性规则，这意味着识别出了潜在的攻击。然后，在步骤216中立即向网关140中的监视机构通知这一点。在该通知中又登记进行通知的控制设备的标志以及识别出一致的输入的消息的CAN标识符。但是由此监视机构还不能标识攻击者控制设备。当集成的控制设备再一次发送具有可疑的CAN标识符的常规消息时，这个问题才变得清楚。这在步骤224中由变速器控制设备153进行。然后，在步骤228中在变速杆控制设备152中识别输入了也在由站自己的记录单元18-1持有的列表中记录的相同的CAN标识符。因此，在步骤218中，也向网关140中的监视机构通知变速杆控制设备152的控制设备标志和可疑的CAN标识符的说明。然后在监视机构中存在两个通知，一个来自常规的控制设备，一个来自攻击者控制设备152。该信息足以用于识别攻击者控制设备152。为此，在步骤220中在监视机构中对在那里存在的参考列表与可疑的CAN标识符进行比较。给出记录有CAN标识符的常规参考列表。如果已找到该参考列表，则监视机构可以确定哪个控制设备标志与该参考列表匹配。带有该控制设备标志的通知于是源自集成的控制设备。但是于是由此同时揭露了攻击者控制设备。其是如下的控制设备，另一个通知源自该控制设备。随后同样又针对标识的攻击者控制设备开始一个或多个应对措施。替换地，也可以在监视机构中存储关联列表，在关联列表中针对各个CAN标识符记录有常规控制设备标志。于是将省去复杂的对匹配的参考列表的搜索。

还提到，尤其是可以根据所存储的由记录单元持有的列表中的条目的数量来推断出攻击。

还提到，应当针对存储器溢出对由记录单元持有的列表进行保护，以便能够控制通过利用许多不同的CAN-ID淹没CAN总线的攻击。

本公开不局限于这里描述的实施例。存在空间用于进行不同的调整和修改，本领域技术人员基于其专业知识也将这些调整和修改视为属于本公开。

对于所描述的针对攻击者识别的解决方案的实现，存在不同的变形方案。

1.将模块：记录单元、检测器单元和逻辑单元作为接口软件的一部分安装在控制设备中的软件解决方案。

2.安装在附加的硬件安全模块中的软件解决方案。

3.一起集成在CAN收发器或者CAN控制器芯片中的硬件解决方案。

在这些实现变形方案中，最后提到的两种实现方式可以被归类为针对操纵相对更安全。

所描述的监视方法也可用于CAN总线之外的其它总线系统。特别是作为示例还提到LIN总线(Local Interconnect Bus，本地互连总线)。但是LIN总线是主/从总线，其中在消息格式中同样设置有标识符，但是标识符也可以表示特定的控制命令。

这里提到的所有示例以及有条件的表述应当被理解为不局限于这些具体引用的示例。因此，例如本领域技术人员将理解，这里示出的框图是示例性的电路布置的概念视图。类似地，应当认识到，所示出的流程图、状态转换图、伪代码等是用于示出过程的各种变形方案，可以将这些过程主要存储在计算机可读的介质中，因此可以由计算机或处理器来执行。

应当理解，所提出的方法和相关设备可以以各种形式的硬件、软件、固件、专用处理器或其组合来实现。专用处理器可以包括专用集成电路(ASIC)、精简指令集计算机(Reduced Instruction Set Computer，RISC)和/或现场可编程门阵列(FieldProgrammable Gate Array，FPGA)。优选所提出的方法和设备作为硬件和软件的组合来实现。软件优选作为应用程序安装在程序存储设备上。通常涉及基于计算机平台的机器，其具有硬件、例如一个或多个中央处理单元(CPU)、随机存取存储器(RAM)以及一个或多个输入/输出(I/O)接口。操作系统通常也安装在计算机平台上。这里描述的各种过程和功能可以是应用程序的一部分，也可以是经由操作系统执行的部分。

附图标记列表

10 CAN节点

12 CAN收发器

13 终端电阻

14 CAN控制器

15 总线线路

16 主机

18 监视模块

18-1 记录单元

18-2 检测器单元

18-3 逻辑单元

19 监视机构

100 机动车辆电子设备

102 信息娱乐CAN总线

104 CAN总线

110 车载单元

120 导航系统

130 操作单元

140 网关

151 电动机控制设备

152 变速杆控制设备

153 变速器控制设备

202-228 用于进行攻击识别的方法的各个步骤。