DE102013022498A1 - Method and device for operating a communication network, in particular of a motor vehicle - Google Patents
Method and device for operating a communication network, in particular of a motor vehicle Download PDFInfo
- Publication number
- DE102013022498A1 DE102013022498A1 DE102013022498.5A DE102013022498A DE102013022498A1 DE 102013022498 A1 DE102013022498 A1 DE 102013022498A1 DE 102013022498 A DE102013022498 A DE 102013022498A DE 102013022498 A1 DE102013022498 A1 DE 102013022498A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- control
- data manipulation
- manipulation
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
Die vorliegende Erfindung betrifft Verfahren und eine Vorrichtung zum Betrieb eines Kommunikationsnetzwerks (100) insbesondere eines Kraftfahrzeugs, wobei wenigstens zwei Steuergeräte (10–25) über das Kommunikationsnetz (100) datentechnisch miteinander verbunden sind. Bei dem Verfahren ist insbesondere vorgesehen, dass ein erstes Steuergerät (10) der wenigstens zwei Steuergeräte (10–25) über das Kommunikationsnetzwerk (100) eingehende Daten (50) auf mögliche Datenmanipulation hin prüft, dass das erste Steuergerät (10) im Falle einer erkannten Datenmanipulation ein wenigstens zweites Steuergerät (15–25) über die erkannte Datenmanipulation informiert und dass das erste Steuergerät (10) und das wenigstens zweite Steuergerät (15–25) in einen von der Datenmanipulation nicht betroffenen Betriebsmodus wechseln.The present invention relates to a method and a device for operating a communication network (100), in particular of a motor vehicle, wherein at least two control devices (10-25) are connected to one another via the communication network (100) in terms of data technology. In the method, it is provided in particular that a first control unit (10) of the at least two control units (10-25) via the communication network (100) checks incoming data (50) for possible data manipulation, that the first control unit (10) in the case of detected data manipulation an at least second control device (15-25) informed about the detected data manipulation and that the first control device (10) and the at least second control device (15-25) change to an unaffected by the data manipulation operating mode.
Description
Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs gemäß den Oberbegriffen der jeweiligen unabhängigen Ansprüche. Weiterhin betrifft die Erfindung ein Computerprogramm, das alle Schritte des erfindungsgemäßen Verfahrens ausführt, wenn es auf einem Rechengerät oder einer Steuereinrichtung abläuft. Schließlich betrifft die vorliegende Erfindung ein Computerprogrammprodukt mit Programmcode, der auf einem maschinenlesbaren Träger gespeichert ist, zur Durchführung des erfindungsgemäßen Verfahrens, wenn das Programm auf einem Rechengerät oder einer Steuereinrichtung ausgeführt wird.The present invention relates to a method and a device for operating a communication network, in particular of a motor vehicle, according to the preambles of the respective independent claims. Furthermore, the invention relates to a computer program that performs all the steps of the method according to the invention when it runs on a computing device or a control device. Finally, the present invention relates to a computer program product with program code, which is stored on a machine-readable carrier, for carrying out the method according to the invention when the program is executed on a computing device or a control device.
Stand der TechnikState of the art
Heutige Kraftfahrzeuge enthalten eine große Anzahl von derzeit bis zu 70 Steuergeräten, welche Sensordaten lokal erfassen und, basierend auf den erfassten Sensordaten, Aktoren ansteuern. Die zunehmenden Anforderungen an Fahrsicherheit, Abgasverhalten und Kraftstoffverbrauch erfordern einen über ein On-Board-Kommunikationsnetz erfolgenden Datenaustausch zwischen den Steuergeräten.Today's motor vehicles contain a large number of currently up to 70 control units which record sensor data locally and actuate actuators based on the recorded sensor data. The increasing demands on driving safety, emission behavior and fuel consumption require an exchange of data between the control units via an on-board communication network.
Ein Beispiel für ein genanntes On-Board-Kommunikationsnetzwerk ist der sogenannte „CAN”-Bus (Controlled Area Network), welcher sämtliche Informationen über lediglich zwei Leitungen überträgt. Dennoch können damit komplexe Systemfunktionen realisiert werden, wie z. B. Schaltvorgänge eines automatischen Getriebes oder Steuereingriffe bei einem „Elektronischen Stabilitätsprogramm” (ESP). Die Datenübertragung in einem CAN-Bus erfolgt seriell mittels Datenpaketen, deren Struktur unter den Automobilherstellern bereits weitgehend standardisiert ist. Die Vorgänge bei der Übertragung, der Fehlersicherung, der Fehlerkorrektur und der Bestätigung sind genau festgelegt und in der CAN-Spezifikation beschriebenAn example of a named on-board communication network is the so-called "CAN" bus (Controlled Area Network), which transmits all information via only two lines. Nevertheless, this complex system functions can be realized, such. As switching operations of an automatic transmission or control interventions in an "Electronic Stability Program" (ESP). The data transmission in a CAN bus takes place serially by means of data packets whose structure is already largely standardized among the automobile manufacturers. The transmission, error protection, error correction and acknowledgment procedures are well defined and described in the CAN specification
Ein Teil der ausgetauschten Daten ist sicherheitsbezogen, z. B. von einem ESP an ein Motorsteuergerät abgegebene momentenerhöhende (MSR) oder momentenerniedrigende (ASR) Anforderungen oder von einem Fahrzeugführungsrechner an Steuergeräte momentenstellender Aktoren abgegebene Momentenvorgaben. Bei den zuletzt genannten Aktoren kann es sich insbesondere auch um Steuergeräte von Elektrofahrzeugen handeln. Diese sicherheitsbezogenen Nachrichten werden in an sich bekannter Weise vom jeweiligen Sender entsprechend den bestehenden Anforderungen nach dem bekannten ISO-Sicherheitsstandard ASIL (= ”Automotive Safety Integrity Level”) berechnet und z. B. über Checksummen und Botschaftszähler abgesichert versendet.Part of the exchanged data is security related, e.g. B. issued by an ESP to an engine control unit torque-increasing (MSR) or torque-lowering (ASR) requirements or delivered by a vehicle control computer to control devices torque-setting actuators torque presets. The last-mentioned actuators may in particular also be control units of electric vehicles. These safety-related messages are calculated in a manner known per se by the respective transmitter according to the existing requirements according to the known ISO safety standard ASIL (= "Automotive Safety Integrity Level") and z. B. via checksums and message counter secured.
Offenbarung der ErfindungDisclosure of the invention
Die genannten Kommunikationsnetzwerke wurden bislang nur gering bzw. gar nicht gegen sicherheitsrelevante datentechnische Eingriffe bzw. Datenzugriffe von außen geschützt. Insbesondere sind über bestehende Schnittstellen, z. B. drahtgebundene Schnittstellen des OBD-II-Ports (OBD = On-Board-Diagnose) oder sogar drahtlose Schnittstellen (WLAN, Bluetooth, UMTS, zukünftige Car-2-X-Schnittstellen, etc.), Manipulationen des Bus-internen Nachrichtenflusses möglich.The communication networks mentioned so far have only little, if any, protection against security-related data technology interventions or data access from the outside. In particular, existing interfaces, eg. B. wired interfaces of the OBD II ports (OBD = on-board diagnostics) or even wireless interfaces (WLAN, Bluetooth, UMTS, future Car-2-X interfaces, etc.), manipulation of the internal bus message flow possible ,
Hinzu kommt, dass in sämtlichen Bereichen insbesondere der Industrie- und Transporttechnik ein deutlicher Trend darin besteht, zugrunde liegende Datennetze und an diese Netze angeschlossene Steuergeräte oder dergleichen auch mit dem Internet zu vernetzen, um beispielsweise Fernwartungsarbeiten an den Steuergeräten zu ermöglichen bzw. zu vereinfachen oder den Benutzern eines Transportmittels die mediale Welt zu eröffnen.In addition, in all areas, in particular industrial and transport technology, there is a clear trend in networking the underlying data networks and control units or the like connected to these networks with the Internet in order, for example, to facilitate or simplify remote maintenance work on the control units or to open the media world to users of a means of transport.
Heutige Konzepte zur Datensicherheit in solchen Kommunikationsnetzwerken beruhen jedoch ausschließlich auf der Datenintegrität der ausgetauschten Botschaften, welche durch die genannte Bildung von Checksummen oder die genannten Botschaftenzähler oder das bekannte Prinzip der Signalredundanz überprüft werden kann. Solche Sicherheitsmechanismen bieten zwar eine gewisse Sicherheit gegenüber Fehlfunktionen der zugrunde liegenden Hardware bzw. Elektronik, z. B. aufgrund von nicht ausreichender elektromagnetischer Verträglichkeit (EMV), von defekten CAN-Bauteilen, von Speicherfehlern, oder dergleichen. Jedoch bieten diese bekannten Sicherheitskonzepte keine Maßnahmen, um absichtlich durch Angreifer („Hacker”) verfälschte Botschaften zu entdecken bzw. zu erkennen und/oder gegebenenfalls deren Auswirkungen zu unterdrücken oder diese sogar zu verhindern.However, today's concepts for data security in such communication networks are based exclusively on the data integrity of the exchanged messages, which can be checked by the mentioned formation of checksums or the mentioned message counter or the known principle of signal redundancy. Although such security mechanisms offer a certain security against malfunction of the underlying hardware or electronics, z. B. due to insufficient electromagnetic compatibility (EMC), defective CAN components, memory errors, or the like. However, these known security concepts do not provide any measures to intentionally detect or recognize messages that have been attacked ("hackers") and / or possibly to suppress their effects or even to prevent them.
Gelingt es einem Angreifer, über eine oder mehrere der genannten Schnittstellen Zugriff auf das interne Kommunikationsnetz eines Kraftfahrzeugs zu erlangen, kann er gefälschte Nachrichten einschleusen oder bereits bestehende Nachrichten verfälschen. Sollten dem Angreifer die genannten Absicherungsmaßnahmen sogar bekannt sein, kann er die Nachrichten so manipulieren, dass diese Maßnahmen eine bereits erfolgte Verfälschung nicht erkennen können.If an attacker succeeds in gaining access to the internal communication network of a motor vehicle via one or more of the interfaces mentioned, he can introduce fake messages or falsify existing messages. If the attacker is even aware of the above-mentioned safeguards, he can manipulate the messages in such a way that these measures can not detect a falsification that has already occurred.
Wenn eine solche Manipulation nicht erkannt wird oder auf eine erkannte Manipulation nicht angemessen reagiert wird, kann dies zur Gefährdung von Personen führen, insbesondere wenn eines oder mehrere der oben genannten Fahrsicherheitssysteme, wie z. B. das eingangs genannte ESP, betroffen ist. So kann der Angreifer auf eine fahrdynamisch kritische Situation zuwarten, z. B. eine Kurvenfahrt, eventuell noch auf nassem Untergrund, in der eine fehlerhafte Momentenanforderung des ESP an das Motorsteuergerät zu einem Verlust der Querstabilität und damit zu einem Verlust der Kontrolle über das Fahrzeug führt, und in diesem Moment den genannten Eingriff (fehlerhafte Momentenanforderung) anfordern. Das ESP würde diesen Eingriff nicht anfordern, sobald es die fahrdynamisch kritische Situation erkannt hat.If such a manipulation is not recognized or is not adequately responded to a detected manipulation, this may result in endangerment of persons, especially if one or more of the above driving safety systems, such. B. the aforementioned ESP is concerned. So the attacker can drive on a dynamic wait for critical situation, z. As a cornering, possibly even on wet ground in which a faulty torque request of the ESP leads to the engine control unit to a loss of lateral stability and thus to loss of control of the vehicle, and at this moment the said intervention (erroneous torque request) request , The ESP would not request this intervention as soon as it has recognized the driving dynamics critical situation.
Ein anderes Beispiel ist ein Elektrofahrzeug mit radindividuellem Antrieb, bei dem ein Angreifer sich selbst als Fahrzeugführungsrechner ausgibt und unterschiedliche Momentenanforderungen an z. B. das vordere linke und vordere rechte Rad sendet, so dass die daraus resultierende Momentendifferenz an den Vorderrädern zu einem hohen Giermoment und damit ebenfalls zu einem Verlust der Querstabilität des Fahrzeugs führt.Another example is an electric vehicle with wheel-individual drive in which an attacker spends himself as a vehicle management computer and different torque requirements to z. B. sends the front left and front right wheel, so that the resulting torque difference on the front wheels leads to a high yaw moment and thus also to a loss of lateral stability of the vehicle.
Ein weiteres Beispiel ist ein Hybrid- oder Elektrofahrzeug, in dem Nachrichten vom ESP oder von einer Hochvolt-(HV-)-Batterie blockiert werden, so dass keine Bremsenergie-Rückgewinnung (d. h. „Rekuperation”) mehr erfolgen kann, weil die Batterie entweder bereits vollständig geladen sein soll oder weil sich das Fahrzeug derzeit in einer fahrdynamisch kritischen Situation befinden soll.Another example is a hybrid or electric vehicle that blocks messages from the ESP or from a high voltage (HV) battery so that brake energy recuperation (ie, "recuperation") can no longer occur because the battery is either already should be fully charged or because the vehicle is currently in a dynamic driving situation.
Ein noch weiteres Beispiel ist ein Airbag-Steuergerät, bei dem ein durch einen Angreifer simuliertes Crash-Signal in einem Hybrid- oder Elektrofahrzeug zu einem Öffnen der Schütze der genannten HV-Batterie führen würde. Der Wegfall der HV-Spannung kann wiederum zu einem Momentensprung führen, z. B. durch Verlust an Vortrieb durch den E-Motor oder durch Abbruch der genannten Rekuperation. Dies kann bei entsprechendem Zuwarten des Angreifers auf eine kritische Fahrsituation dann zu einem Verlust der Fahrstabilität des Fahrzeugs führen.Yet another example is an airbag control apparatus in which an attacker simulated crash signal in a hybrid or electric vehicle would result in opening of the contactors of said HV battery. The omission of the HV voltage can in turn lead to a torque jump, z. B. by loss of propulsion through the electric motor or by canceling the aforementioned recuperation. This can then lead to a loss of driving stability of the vehicle with appropriate attention of the attacker to a critical driving situation.
Die vorliegende Erfindung beruht auf dem Konzept, ein hier betroffenes elektronisches bzw. mechatronisches Fahrzeugsteuersystem oder dergleichen und/oder ein bei einem solchen System zugrunde liegendes Daten- bzw. Kommunikationsnetzwerk nach dem Erkennen einer Verletzung der Datenintegrität oder einer sicherheitsrelevanten Datenmanipulation in einen sicheren Betriebszustand überzuführen.The present invention is based on the concept of converting an electronic or mechatronic vehicle control system or the like and / or a data or communication network underlying such a system into a safe operating state after detecting a violation of the data integrity or a security-relevant data manipulation.
Der genannte Erkennungsprozess sowie Überführungsprozess wird insbesondere mittels eines im Datennetzwerk und/oder den damit verbundenen Steuergeräten implementierten Sicherheitselementes bewerkstelligt. Mittels dieses Sicherheitselementes werden von dem Sicherheitselement und/oder einem Steuergerät empfangene Daten im Hinblick auf fehlende Datenintegrität oder mögliche Datenmanipulationen überprüft.Said recognition process and transfer process is accomplished in particular by means of a security element implemented in the data network and / or the associated control devices. By means of this security element, data received from the security element and / or a control unit is checked with regard to missing data integrity or possible data manipulations.
Bei Erkennen einer fehlenden Datenintegrität bzw. einer Datenmanipulation der empfangenen Daten bzw. Nachrichten wird zumindest das betroffene Steuergerät in einen sogenannten Notlaufmodus übergeführt, in dem das betreffende Steuergerät, zumindest hinsichtlich seiner funktionalen Sicherheit, unabhängig vom Empfang weiterer externer Daten bzw. Nachrichten betrieben werden kann. Dadurch ist sowohl die Betriebssicherheit als auch der ggf. eingeschränkte Weiterbetrieb des zugrunde liegenden Kraftfahrzeugs oder dergleichen gewährleistet.Upon detection of a missing data integrity or a data manipulation of the received data or messages at least the affected control unit is converted into a so-called emergency mode, in which the relevant control unit, at least in terms of its functional safety, independent of the receipt of other external data or messages can be operated , As a result, both the operational safety and the possibly limited continued operation of the underlying motor vehicle or the like is ensured.
Basierend auf diesem Sicherheitskonzept schlägt die vorliegende Erfindung einen verteilten Kommunikationsansatz vor, bei dem ein Steuergerät, welches eine verletzte Datenintegrität und/oder eine Datenmanipulation eingehender Daten bzw. Nachrichten feststellt, die erfasste Verletzung der Datenintegrität bzw. Datenmanipulation auch anderen Steuergeräten mitteilt, damit diese ebenfalls in den für diesen Fall vorgesehenen sicheren Zustand oder Notlaufmodus wechseln.Based on this security concept, the present invention proposes a distributed communication approach, in which a control unit which detects an injured data integrity and / or a data manipulation of incoming data or messages notifies the detected violation of data integrity or data manipulation to other control devices, so that they too switch to the safe state or emergency mode provided for this case.
Die Prüfung auf mögliche Datenmanipulation kann vorteilhaft durch einen einfachen Vergleich der eingehenden Daten mit früher bereits eingegangenen Daten erfolgen, denn systematische Abweichungen dieser Daten geben einen Hinweis auf eine tatsächlich vorliegende Datenmanipulation.The test for possible data manipulation can be done advantageously by a simple comparison of the incoming data with previously received data, because systematic deviations of these data give an indication of an actually present data manipulation.
Um zu ermöglichen oder sicherzustellen, dass der genannte Vergleich mit von demselben Steuergerät bereits früher empfangenen Daten erfolgt, kann aus den eingehenden Daten ein Identifizierungscode des die Daten sendenden Steuergeräts ermittelt werden der Vergleich nur mit von dem durch den Identifizierungscode identifizierten Steuergerät früher eingegangenen Daten durchgeführt werden.In order to enable or to ensure that the said comparison is made with data already received earlier from the same control unit, an identification code of the control unit sending the data can be determined from the incoming data, the comparison being carried out only with data received earlier from the control unit identified by the identification code ,
Es ist vorteilhaft, den Vergleich mit den früheren Daten auf der Grundlage von in dem Datenformat des jeweiligen Kommunikationsprotokolls des Kommunikationsnetzwerks festgelegten fixen Datenstrukturen durchzuführen, da die Nutzdaten selbst aufgrund ihrer Veränderlichkeit dafür weniger geeignet sind. Solche fixe Datenstrukturen können ein Datenframe Header oder ein Steuerbit sein oder in Arbitrierungsfeldern oder Kontrollfeldern enthaltene Informationen.It is advantageous to carry out the comparison with the earlier data on the basis of fixed data structures fixed in the data format of the respective communication protocol of the communication network, since the user data themselves are less suitable because of their variability. Such fixed data structures may be a data frame header or a control bit, or information contained in arbitration fields or check boxes.
Die bevorzugt von dem genannten Sicherheitselement durchgeführte Prüfung von eigehenden Daten auf eine mögliche Datenmanipulation hin kann zur Erhöhung der Erkennungsqualität bzw. Erkennungssicherheit anhand an sich bekannter Methoden wie z. B. heuristische oder ”Hash”-basierte Erkennungsmethoden erfolgen. Alternativ oder zusätzlich kann diese Prüfung auf der Grundlage der Häufigkeit der von einem bestimmten Steuergerät eingehenden Daten erfolgen, denn bei einem Angriff bzw. einer Datenmanipulation von außen erhöht sich zwangsläufig auch die Häufigkeit von übertragenen Daten bzw. Nachrichten. Die erfassten Werte der Häufigkeit können dabei mit an sich bekannten statistischen Methoden ausgewertet werden.The preferably performed by said security element examination of eigehenden data on a possible data manipulation out to increase the recognition quality or detection reliability using known methods such. Heuristic or "hash" based Detection methods take place. Alternatively or additionally, this check can be made on the basis of the frequency of the incoming data from a particular controller, because in an attack or a data manipulation from the outside inevitably increases the frequency of transmitted data or messages. The recorded values of the frequency can be evaluated by statistical methods known per se.
Im Falle eines komplexer aufgebauten Kommunikationsnetzwerks mit mehr als Kommunikationskanälen, welche z. B. durch Unternetze (Subnetze) oder nebengeordnete Netzwerke gebildet werden, können die Informationen über die erkannte Datenmanipulation auch über mehr als einen Kommunikationspfad an andere Steuergeräte übertragen werden. Diese somit redundant übermittelten Informationen können gegeneinander plausibilisiert werden, um insbesondere weitere Datenmanipulationen auch an diesen übertragenen Informationen zu erkennen bzw. zu verhindern.In the case of a complex communication network with more than communication channels, which z. B. subnets or sibling networks are formed, the information about the detected data manipulation can also be transmitted to other control devices via more than one communication path. These information, which is thus transmitted redundantly, can be made plausible against one another, in order in particular to recognize or prevent further data manipulations also on the information transmitted.
Die an die beteiligten Steuergeräte verteilten Informationen über die fehlende Datenintegrität bzw. die vorliegende Datenmanipulation bei den jeweils empfangenden Steuergeräten können lokal gespeichert werden und sind damit gegenüber genannten Angriffen von außen noch besser geschützt. Denn die verteilte Speicherung dieser Informationen erschwert es einem Angreifer, z. B. die Spuren seines Angriffs nachträglich zu beseitigen.The distributed to the control units involved information about the lack of data integrity or the present data manipulation in each receiving control units can be stored locally and are thus better protected against external attacks mentioned. Because the distributed storage of this information makes it difficult for an attacker, z. B. to remove the traces of his attack later.
Das erfindungsgemäß vorgeschlagene Verfahren und die Vorrichtung ermöglichen demnach eine technisch einfache und gleichzeitig noch wirksamere Absicherung eines Kommunikationsnetzwerks eines Kraftfahrzeugs oder dergleichen gegen jede Art datentechnischer Manipulation.The inventively proposed method and apparatus thus allow a technically simple and at the same time even more effective protection of a communication network of a motor vehicle or the like against any type of data manipulation.
Die Erfindung kann insbesondere in Kraftfahrzeugen oder anderen Transportmitteln wie Nutzfahrzeugen, Flugzeugen, Schiffen oder Schienenfahrzeugen oder aber auch bei der Steuerung von Industrieanlagen, bevorzugt im Bereich dortiger Automatisierungstechnik, mit den hierin beschriebenen Vorteilen zur Anwendung kommen.The invention can be used in particular in motor vehicles or other means of transport such as commercial vehicles, aircraft, ships or rail vehicles or even in the control of industrial plants, preferably in the field of local automation technology, with the advantages described herein.
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.
Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweiligen angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.
Kurze Beschreibung der ZeichnungenBrief description of the drawings
Beschreibung von AusführungsbeispielenDescription of exemplary embodiments
Die
In dem ersten Ausführungsbeispiel gemäß
Es ist hervorzuheben, dass nicht jedes mit dem CAN-Bus gekoppelte Steuergerät notwendiger Weise solche sicherheitsrelevanten Daten verarbeitet und daher auch nicht jedes Steuergerät ein solches Sicherheitselement
In dem vorliegenden Beispiel bzw. Szenario wird angenommen, dass das Steuergerät
Bei dieser Prüfung können die eingegangenen Daten bzw. in den Daten enthaltene, gegenüber den eigentlichen Nutzdaten fixe Signaturen wie z. B. Frameheader oder Steuerbits, mit entsprechenden Signaturen bereits früher eingegangener Daten verglichen werden und bei etwa festgestellten Unterschieden auf das Vorliegen einer Datenmanipulation geschlossen werden. Alternativ können die Sicherheitselemente
In dem vorliegenden Beispiel wird ferner angenommen, dass die Prüfung auf mögliche Datenmanipulation ergibt, dass die eingegangenen Daten tatsächlich von einem Angreifer manipuliert wurden. In dem Fall benachrichtigt
Als Reaktion auf die manipulierten Daten gehen in dem vorliegenden Beispiel alle Steuergeräte
Im Falle eines im Bereich von ausfallsicheren Netzen an sich bekannten redundanten Kommunikationsnetzwerks, d. h. eines Netzwerks wie in der
In dem zweiten Ausführungsbeispiel gemäß
Zusätzlich zum CAN-Bus
Das HW-Signal
In dem vorliegenden Beispiel bzw. Szenario wird wiederum angenommen, dass nur das Steuergerät
Insbesondere werden die eingegangen Daten wiederum von dem Sicherheitselement
Aufgrund der wiederum angenommenen Manipulation der eingegangenen Daten wird eine wiederum durch gestrichelte Pfeile
Gemäß einem nicht gezeigten dritten Ausführungsbeispiel werden die beiden Übertragungspfade für die Warnmeldung
Unter Hinweis auf
Nach dem Start
Es ist hervorzuheben, dass die genannte Methode bei der Erkennung einer möglichen Datenmanipulation nur beispielhaft ist und die vorliegende Erfindung auch andere Herangehensweisen, wie z. B. heuristische oder ”Hash”-basierte Erkennungsmethoden, umfassen kann.It should be emphasized that the mentioned method in the recognition of a possible data manipulation is only an example and the present invention also other approaches, such as. As heuristic or "hash" -based detection methods may include.
Bei dem im vorliegenden Ausführungsbeispiel durchgeführten Vergleich können im Datenformat des CAN-Bus-Protokolls festgelegte Datenstrukturen, z. B. der sogenannte ”Data frame header”, zu allererst auf eine mögliche Datenmanipulation hin geprüft werden. Zusätzlich können dabei selbstverständlich auch andere Elemente der CAN-Datenstruktur wie z. B. Steuerbits der genannten Datenframes, oder die in der CAN-Datenstruktur vorgesehenen ”Arbitrierungsfelder” und/oder ”Kontrollfelder” bei der Erkennung einbezogen werden. Die in den Datenframes enthaltenen Datenfelder werden jedoch wegen ihrer Veränderlichkeit bevorzugt bei der Erkennung nicht mit einbezogen.In the comparison carried out in the present embodiment, data structures fixed in the data format of the CAN bus protocol, eg. As the so-called "data frame header", are first checked for possible data manipulation out. In addition, of course, other elements of the CAN data structure such. B. control bits of said data frames, or provided in the CAN data structure "arbitration fields" and / or "control fields" are included in the detection. However, due to their variability, the data fields contained in the data frames are preferably not included in the recognition.
Die in den Sicherheitselementen
Bei Vorliegen einer wie in
Wird bei dem beschriebenen Vergleich in Schritt
Im dem Fall, dass die Prüfung
Gemäß dem optionalen Schritt
In dem Notlaufmodus
Alternativ oder zusätzlich werden alle eingehenden Daten oder Parameter, wenigstens für den Betrieb des Kraftfahrzeugs sicherheitsrelevante Eingangsparameter wie im Falle eines Kraftfahrzeugs z. B. die aktuelle Querbeschleunigung oder der aktuelle Gierwinkel, durch vorgegebene Werte oder Standardwerte ersetzt
Bei bestehendem Notlaufmodus wird in Schritt
Claims (12)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013022498.5A DE102013022498A1 (en) | 2013-01-16 | 2013-01-16 | Method and device for operating a communication network, in particular of a motor vehicle |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013022498.5A DE102013022498A1 (en) | 2013-01-16 | 2013-01-16 | Method and device for operating a communication network, in particular of a motor vehicle |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102013022498A1 true DE102013022498A1 (en) | 2017-11-02 |
Family
ID=60081404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102013022498.5A Pending DE102013022498A1 (en) | 2013-01-16 | 2013-01-16 | Method and device for operating a communication network, in particular of a motor vehicle |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102013022498A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102022210020A1 (en) | 2022-09-22 | 2024-03-28 | Robert Bosch Gesellschaft mit beschränkter Haftung | Security data processing unit for a computing unit |
-
2013
- 2013-01-16 DE DE102013022498.5A patent/DE102013022498A1/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102022210020A1 (en) | 2022-09-22 | 2024-03-28 | Robert Bosch Gesellschaft mit beschränkter Haftung | Security data processing unit for a computing unit |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102013200535A1 (en) | Method for operating controller area network in motor car, involves transferring data or messages over communication paths of communication network, and checking data and/or messages based on plausibility check of possible data manipulation | |
EP3584140B1 (en) | Vehicle and method and apparatus for controlling a safety-relevant process | |
DE102019113818B4 (en) | ELECTRONIC CONTROL DEVICE, MONITORING METHOD, PROGRAM AND GATEWAY DEVICE | |
WO2020187985A1 (en) | Method for monitoring communication on a communication bus, electronic apparatus for connection to a communication bus, and vehicle | |
DE102018114739A1 (en) | Operation log and procedure of the vehicle network | |
WO2018077528A1 (en) | Detection of manipulations in a can network by checking can identifiers | |
EP3498544A1 (en) | Device, method and computer program for unlocking a vehicle component, vehicle to vehicle communication module | |
DE102018212879A1 (en) | Control device and control method | |
DE102017216808A1 (en) | Method for monitoring communication on a communication bus and electronic device for connection to a communication bus | |
EP3496975B1 (en) | Motor vehicle having a data network which is divided into multiple separate domains and method for operating the data network | |
DE102018116676A1 (en) | Vehicle network with implementation of XCP protocol policy and procedures | |
WO2020094346A1 (en) | Data switching device and data switching method for a vehicle, device and method for a vehicle component of a vehicle, and computer program | |
DE112019006487B4 (en) | Electronic control unit, electronic control system and program | |
DE102013200528A1 (en) | Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation | |
EP3871393B1 (en) | Method for monitoring a data transmission system, data transmission system and motor vehicle | |
DE102013200525A1 (en) | Method for operating communication network, particularly of motor vehicle, involves connecting two control devices with each other in data technical manner by communication network | |
DE102017209556A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
DE102020208536A1 (en) | GATEWAY DEVICE, ABNORMITY MONITORING PROCEDURES AND STORAGE MEDIUM | |
EP3725041B1 (en) | Method for providing information for the localization of errors in a communications network of an apparatus, correspondingly designed bus device station and vehicle | |
DE102021208459B4 (en) | Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle | |
DE102013022498A1 (en) | Method and device for operating a communication network, in particular of a motor vehicle | |
DE102005040786A1 (en) | Drive unit e.g. petrol engine, controlling method for motor vehicle, involves transmitting message related to possible torque to control engine that is assigned to one control device, when provided possibility has positive result | |
EP3725055A1 (en) | Devices, methods, and computer program for releasing vehicle components, and vehicle-to-vehicle communication module | |
DE102012209445A1 (en) | Method for secure transmission of safety critical function data between diagnosis tester and control device in control system in vehicle, involves synchronizing keys, and initiating access to client during coincidence of keys | |
DE102018208832A1 (en) | A method for containing an attack on a controller |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed |