DE102013022498A1 - Method and device for operating a communication network, in particular of a motor vehicle - Google Patents

Method and device for operating a communication network, in particular of a motor vehicle Download PDF

Info

Publication number
DE102013022498A1
DE102013022498A1 DE102013022498.5A DE102013022498A DE102013022498A1 DE 102013022498 A1 DE102013022498 A1 DE 102013022498A1 DE 102013022498 A DE102013022498 A DE 102013022498A DE 102013022498 A1 DE102013022498 A1 DE 102013022498A1
Authority
DE
Germany
Prior art keywords
data
control
data manipulation
manipulation
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102013022498.5A
Other languages
German (de)
Inventor
Andreas Heyl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102013022498.5A priority Critical patent/DE102013022498A1/en
Publication of DE102013022498A1 publication Critical patent/DE102013022498A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die vorliegende Erfindung betrifft Verfahren und eine Vorrichtung zum Betrieb eines Kommunikationsnetzwerks (100) insbesondere eines Kraftfahrzeugs, wobei wenigstens zwei Steuergeräte (10–25) über das Kommunikationsnetz (100) datentechnisch miteinander verbunden sind. Bei dem Verfahren ist insbesondere vorgesehen, dass ein erstes Steuergerät (10) der wenigstens zwei Steuergeräte (10–25) über das Kommunikationsnetzwerk (100) eingehende Daten (50) auf mögliche Datenmanipulation hin prüft, dass das erste Steuergerät (10) im Falle einer erkannten Datenmanipulation ein wenigstens zweites Steuergerät (15–25) über die erkannte Datenmanipulation informiert und dass das erste Steuergerät (10) und das wenigstens zweite Steuergerät (15–25) in einen von der Datenmanipulation nicht betroffenen Betriebsmodus wechseln.The present invention relates to a method and a device for operating a communication network (100), in particular of a motor vehicle, wherein at least two control devices (10-25) are connected to one another via the communication network (100) in terms of data technology. In the method, it is provided in particular that a first control unit (10) of the at least two control units (10-25) via the communication network (100) checks incoming data (50) for possible data manipulation, that the first control unit (10) in the case of detected data manipulation an at least second control device (15-25) informed about the detected data manipulation and that the first control device (10) and the at least second control device (15-25) change to an unaffected by the data manipulation operating mode.

Figure DE102013022498A1_0001
Figure DE102013022498A1_0001

Description

Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs gemäß den Oberbegriffen der jeweiligen unabhängigen Ansprüche. Weiterhin betrifft die Erfindung ein Computerprogramm, das alle Schritte des erfindungsgemäßen Verfahrens ausführt, wenn es auf einem Rechengerät oder einer Steuereinrichtung abläuft. Schließlich betrifft die vorliegende Erfindung ein Computerprogrammprodukt mit Programmcode, der auf einem maschinenlesbaren Träger gespeichert ist, zur Durchführung des erfindungsgemäßen Verfahrens, wenn das Programm auf einem Rechengerät oder einer Steuereinrichtung ausgeführt wird.The present invention relates to a method and a device for operating a communication network, in particular of a motor vehicle, according to the preambles of the respective independent claims. Furthermore, the invention relates to a computer program that performs all the steps of the method according to the invention when it runs on a computing device or a control device. Finally, the present invention relates to a computer program product with program code, which is stored on a machine-readable carrier, for carrying out the method according to the invention when the program is executed on a computing device or a control device.

Stand der TechnikState of the art

Heutige Kraftfahrzeuge enthalten eine große Anzahl von derzeit bis zu 70 Steuergeräten, welche Sensordaten lokal erfassen und, basierend auf den erfassten Sensordaten, Aktoren ansteuern. Die zunehmenden Anforderungen an Fahrsicherheit, Abgasverhalten und Kraftstoffverbrauch erfordern einen über ein On-Board-Kommunikationsnetz erfolgenden Datenaustausch zwischen den Steuergeräten.Today's motor vehicles contain a large number of currently up to 70 control units which record sensor data locally and actuate actuators based on the recorded sensor data. The increasing demands on driving safety, emission behavior and fuel consumption require an exchange of data between the control units via an on-board communication network.

Ein Beispiel für ein genanntes On-Board-Kommunikationsnetzwerk ist der sogenannte „CAN”-Bus (Controlled Area Network), welcher sämtliche Informationen über lediglich zwei Leitungen überträgt. Dennoch können damit komplexe Systemfunktionen realisiert werden, wie z. B. Schaltvorgänge eines automatischen Getriebes oder Steuereingriffe bei einem „Elektronischen Stabilitätsprogramm” (ESP). Die Datenübertragung in einem CAN-Bus erfolgt seriell mittels Datenpaketen, deren Struktur unter den Automobilherstellern bereits weitgehend standardisiert ist. Die Vorgänge bei der Übertragung, der Fehlersicherung, der Fehlerkorrektur und der Bestätigung sind genau festgelegt und in der CAN-Spezifikation beschriebenAn example of a named on-board communication network is the so-called "CAN" bus (Controlled Area Network), which transmits all information via only two lines. Nevertheless, this complex system functions can be realized, such. As switching operations of an automatic transmission or control interventions in an "Electronic Stability Program" (ESP). The data transmission in a CAN bus takes place serially by means of data packets whose structure is already largely standardized among the automobile manufacturers. The transmission, error protection, error correction and acknowledgment procedures are well defined and described in the CAN specification

Ein Teil der ausgetauschten Daten ist sicherheitsbezogen, z. B. von einem ESP an ein Motorsteuergerät abgegebene momentenerhöhende (MSR) oder momentenerniedrigende (ASR) Anforderungen oder von einem Fahrzeugführungsrechner an Steuergeräte momentenstellender Aktoren abgegebene Momentenvorgaben. Bei den zuletzt genannten Aktoren kann es sich insbesondere auch um Steuergeräte von Elektrofahrzeugen handeln. Diese sicherheitsbezogenen Nachrichten werden in an sich bekannter Weise vom jeweiligen Sender entsprechend den bestehenden Anforderungen nach dem bekannten ISO-Sicherheitsstandard ASIL (= ”Automotive Safety Integrity Level”) berechnet und z. B. über Checksummen und Botschaftszähler abgesichert versendet.Part of the exchanged data is security related, e.g. B. issued by an ESP to an engine control unit torque-increasing (MSR) or torque-lowering (ASR) requirements or delivered by a vehicle control computer to control devices torque-setting actuators torque presets. The last-mentioned actuators may in particular also be control units of electric vehicles. These safety-related messages are calculated in a manner known per se by the respective transmitter according to the existing requirements according to the known ISO safety standard ASIL (= "Automotive Safety Integrity Level") and z. B. via checksums and message counter secured.

Offenbarung der ErfindungDisclosure of the invention

Die genannten Kommunikationsnetzwerke wurden bislang nur gering bzw. gar nicht gegen sicherheitsrelevante datentechnische Eingriffe bzw. Datenzugriffe von außen geschützt. Insbesondere sind über bestehende Schnittstellen, z. B. drahtgebundene Schnittstellen des OBD-II-Ports (OBD = On-Board-Diagnose) oder sogar drahtlose Schnittstellen (WLAN, Bluetooth, UMTS, zukünftige Car-2-X-Schnittstellen, etc.), Manipulationen des Bus-internen Nachrichtenflusses möglich.The communication networks mentioned so far have only little, if any, protection against security-related data technology interventions or data access from the outside. In particular, existing interfaces, eg. B. wired interfaces of the OBD II ports (OBD = on-board diagnostics) or even wireless interfaces (WLAN, Bluetooth, UMTS, future Car-2-X interfaces, etc.), manipulation of the internal bus message flow possible ,

Hinzu kommt, dass in sämtlichen Bereichen insbesondere der Industrie- und Transporttechnik ein deutlicher Trend darin besteht, zugrunde liegende Datennetze und an diese Netze angeschlossene Steuergeräte oder dergleichen auch mit dem Internet zu vernetzen, um beispielsweise Fernwartungsarbeiten an den Steuergeräten zu ermöglichen bzw. zu vereinfachen oder den Benutzern eines Transportmittels die mediale Welt zu eröffnen.In addition, in all areas, in particular industrial and transport technology, there is a clear trend in networking the underlying data networks and control units or the like connected to these networks with the Internet in order, for example, to facilitate or simplify remote maintenance work on the control units or to open the media world to users of a means of transport.

Heutige Konzepte zur Datensicherheit in solchen Kommunikationsnetzwerken beruhen jedoch ausschließlich auf der Datenintegrität der ausgetauschten Botschaften, welche durch die genannte Bildung von Checksummen oder die genannten Botschaftenzähler oder das bekannte Prinzip der Signalredundanz überprüft werden kann. Solche Sicherheitsmechanismen bieten zwar eine gewisse Sicherheit gegenüber Fehlfunktionen der zugrunde liegenden Hardware bzw. Elektronik, z. B. aufgrund von nicht ausreichender elektromagnetischer Verträglichkeit (EMV), von defekten CAN-Bauteilen, von Speicherfehlern, oder dergleichen. Jedoch bieten diese bekannten Sicherheitskonzepte keine Maßnahmen, um absichtlich durch Angreifer („Hacker”) verfälschte Botschaften zu entdecken bzw. zu erkennen und/oder gegebenenfalls deren Auswirkungen zu unterdrücken oder diese sogar zu verhindern.However, today's concepts for data security in such communication networks are based exclusively on the data integrity of the exchanged messages, which can be checked by the mentioned formation of checksums or the mentioned message counter or the known principle of signal redundancy. Although such security mechanisms offer a certain security against malfunction of the underlying hardware or electronics, z. B. due to insufficient electromagnetic compatibility (EMC), defective CAN components, memory errors, or the like. However, these known security concepts do not provide any measures to intentionally detect or recognize messages that have been attacked ("hackers") and / or possibly to suppress their effects or even to prevent them.

Gelingt es einem Angreifer, über eine oder mehrere der genannten Schnittstellen Zugriff auf das interne Kommunikationsnetz eines Kraftfahrzeugs zu erlangen, kann er gefälschte Nachrichten einschleusen oder bereits bestehende Nachrichten verfälschen. Sollten dem Angreifer die genannten Absicherungsmaßnahmen sogar bekannt sein, kann er die Nachrichten so manipulieren, dass diese Maßnahmen eine bereits erfolgte Verfälschung nicht erkennen können.If an attacker succeeds in gaining access to the internal communication network of a motor vehicle via one or more of the interfaces mentioned, he can introduce fake messages or falsify existing messages. If the attacker is even aware of the above-mentioned safeguards, he can manipulate the messages in such a way that these measures can not detect a falsification that has already occurred.

Wenn eine solche Manipulation nicht erkannt wird oder auf eine erkannte Manipulation nicht angemessen reagiert wird, kann dies zur Gefährdung von Personen führen, insbesondere wenn eines oder mehrere der oben genannten Fahrsicherheitssysteme, wie z. B. das eingangs genannte ESP, betroffen ist. So kann der Angreifer auf eine fahrdynamisch kritische Situation zuwarten, z. B. eine Kurvenfahrt, eventuell noch auf nassem Untergrund, in der eine fehlerhafte Momentenanforderung des ESP an das Motorsteuergerät zu einem Verlust der Querstabilität und damit zu einem Verlust der Kontrolle über das Fahrzeug führt, und in diesem Moment den genannten Eingriff (fehlerhafte Momentenanforderung) anfordern. Das ESP würde diesen Eingriff nicht anfordern, sobald es die fahrdynamisch kritische Situation erkannt hat.If such a manipulation is not recognized or is not adequately responded to a detected manipulation, this may result in endangerment of persons, especially if one or more of the above driving safety systems, such. B. the aforementioned ESP is concerned. So the attacker can drive on a dynamic wait for critical situation, z. As a cornering, possibly even on wet ground in which a faulty torque request of the ESP leads to the engine control unit to a loss of lateral stability and thus to loss of control of the vehicle, and at this moment the said intervention (erroneous torque request) request , The ESP would not request this intervention as soon as it has recognized the driving dynamics critical situation.

Ein anderes Beispiel ist ein Elektrofahrzeug mit radindividuellem Antrieb, bei dem ein Angreifer sich selbst als Fahrzeugführungsrechner ausgibt und unterschiedliche Momentenanforderungen an z. B. das vordere linke und vordere rechte Rad sendet, so dass die daraus resultierende Momentendifferenz an den Vorderrädern zu einem hohen Giermoment und damit ebenfalls zu einem Verlust der Querstabilität des Fahrzeugs führt.Another example is an electric vehicle with wheel-individual drive in which an attacker spends himself as a vehicle management computer and different torque requirements to z. B. sends the front left and front right wheel, so that the resulting torque difference on the front wheels leads to a high yaw moment and thus also to a loss of lateral stability of the vehicle.

Ein weiteres Beispiel ist ein Hybrid- oder Elektrofahrzeug, in dem Nachrichten vom ESP oder von einer Hochvolt-(HV-)-Batterie blockiert werden, so dass keine Bremsenergie-Rückgewinnung (d. h. „Rekuperation”) mehr erfolgen kann, weil die Batterie entweder bereits vollständig geladen sein soll oder weil sich das Fahrzeug derzeit in einer fahrdynamisch kritischen Situation befinden soll.Another example is a hybrid or electric vehicle that blocks messages from the ESP or from a high voltage (HV) battery so that brake energy recuperation (ie, "recuperation") can no longer occur because the battery is either already should be fully charged or because the vehicle is currently in a dynamic driving situation.

Ein noch weiteres Beispiel ist ein Airbag-Steuergerät, bei dem ein durch einen Angreifer simuliertes Crash-Signal in einem Hybrid- oder Elektrofahrzeug zu einem Öffnen der Schütze der genannten HV-Batterie führen würde. Der Wegfall der HV-Spannung kann wiederum zu einem Momentensprung führen, z. B. durch Verlust an Vortrieb durch den E-Motor oder durch Abbruch der genannten Rekuperation. Dies kann bei entsprechendem Zuwarten des Angreifers auf eine kritische Fahrsituation dann zu einem Verlust der Fahrstabilität des Fahrzeugs führen.Yet another example is an airbag control apparatus in which an attacker simulated crash signal in a hybrid or electric vehicle would result in opening of the contactors of said HV battery. The omission of the HV voltage can in turn lead to a torque jump, z. B. by loss of propulsion through the electric motor or by canceling the aforementioned recuperation. This can then lead to a loss of driving stability of the vehicle with appropriate attention of the attacker to a critical driving situation.

Die vorliegende Erfindung beruht auf dem Konzept, ein hier betroffenes elektronisches bzw. mechatronisches Fahrzeugsteuersystem oder dergleichen und/oder ein bei einem solchen System zugrunde liegendes Daten- bzw. Kommunikationsnetzwerk nach dem Erkennen einer Verletzung der Datenintegrität oder einer sicherheitsrelevanten Datenmanipulation in einen sicheren Betriebszustand überzuführen.The present invention is based on the concept of converting an electronic or mechatronic vehicle control system or the like and / or a data or communication network underlying such a system into a safe operating state after detecting a violation of the data integrity or a security-relevant data manipulation.

Der genannte Erkennungsprozess sowie Überführungsprozess wird insbesondere mittels eines im Datennetzwerk und/oder den damit verbundenen Steuergeräten implementierten Sicherheitselementes bewerkstelligt. Mittels dieses Sicherheitselementes werden von dem Sicherheitselement und/oder einem Steuergerät empfangene Daten im Hinblick auf fehlende Datenintegrität oder mögliche Datenmanipulationen überprüft.Said recognition process and transfer process is accomplished in particular by means of a security element implemented in the data network and / or the associated control devices. By means of this security element, data received from the security element and / or a control unit is checked with regard to missing data integrity or possible data manipulations.

Bei Erkennen einer fehlenden Datenintegrität bzw. einer Datenmanipulation der empfangenen Daten bzw. Nachrichten wird zumindest das betroffene Steuergerät in einen sogenannten Notlaufmodus übergeführt, in dem das betreffende Steuergerät, zumindest hinsichtlich seiner funktionalen Sicherheit, unabhängig vom Empfang weiterer externer Daten bzw. Nachrichten betrieben werden kann. Dadurch ist sowohl die Betriebssicherheit als auch der ggf. eingeschränkte Weiterbetrieb des zugrunde liegenden Kraftfahrzeugs oder dergleichen gewährleistet.Upon detection of a missing data integrity or a data manipulation of the received data or messages at least the affected control unit is converted into a so-called emergency mode, in which the relevant control unit, at least in terms of its functional safety, independent of the receipt of other external data or messages can be operated , As a result, both the operational safety and the possibly limited continued operation of the underlying motor vehicle or the like is ensured.

Basierend auf diesem Sicherheitskonzept schlägt die vorliegende Erfindung einen verteilten Kommunikationsansatz vor, bei dem ein Steuergerät, welches eine verletzte Datenintegrität und/oder eine Datenmanipulation eingehender Daten bzw. Nachrichten feststellt, die erfasste Verletzung der Datenintegrität bzw. Datenmanipulation auch anderen Steuergeräten mitteilt, damit diese ebenfalls in den für diesen Fall vorgesehenen sicheren Zustand oder Notlaufmodus wechseln.Based on this security concept, the present invention proposes a distributed communication approach, in which a control unit which detects an injured data integrity and / or a data manipulation of incoming data or messages notifies the detected violation of data integrity or data manipulation to other control devices, so that they too switch to the safe state or emergency mode provided for this case.

Die Prüfung auf mögliche Datenmanipulation kann vorteilhaft durch einen einfachen Vergleich der eingehenden Daten mit früher bereits eingegangenen Daten erfolgen, denn systematische Abweichungen dieser Daten geben einen Hinweis auf eine tatsächlich vorliegende Datenmanipulation.The test for possible data manipulation can be done advantageously by a simple comparison of the incoming data with previously received data, because systematic deviations of these data give an indication of an actually present data manipulation.

Um zu ermöglichen oder sicherzustellen, dass der genannte Vergleich mit von demselben Steuergerät bereits früher empfangenen Daten erfolgt, kann aus den eingehenden Daten ein Identifizierungscode des die Daten sendenden Steuergeräts ermittelt werden der Vergleich nur mit von dem durch den Identifizierungscode identifizierten Steuergerät früher eingegangenen Daten durchgeführt werden.In order to enable or to ensure that the said comparison is made with data already received earlier from the same control unit, an identification code of the control unit sending the data can be determined from the incoming data, the comparison being carried out only with data received earlier from the control unit identified by the identification code ,

Es ist vorteilhaft, den Vergleich mit den früheren Daten auf der Grundlage von in dem Datenformat des jeweiligen Kommunikationsprotokolls des Kommunikationsnetzwerks festgelegten fixen Datenstrukturen durchzuführen, da die Nutzdaten selbst aufgrund ihrer Veränderlichkeit dafür weniger geeignet sind. Solche fixe Datenstrukturen können ein Datenframe Header oder ein Steuerbit sein oder in Arbitrierungsfeldern oder Kontrollfeldern enthaltene Informationen.It is advantageous to carry out the comparison with the earlier data on the basis of fixed data structures fixed in the data format of the respective communication protocol of the communication network, since the user data themselves are less suitable because of their variability. Such fixed data structures may be a data frame header or a control bit, or information contained in arbitration fields or check boxes.

Die bevorzugt von dem genannten Sicherheitselement durchgeführte Prüfung von eigehenden Daten auf eine mögliche Datenmanipulation hin kann zur Erhöhung der Erkennungsqualität bzw. Erkennungssicherheit anhand an sich bekannter Methoden wie z. B. heuristische oder ”Hash”-basierte Erkennungsmethoden erfolgen. Alternativ oder zusätzlich kann diese Prüfung auf der Grundlage der Häufigkeit der von einem bestimmten Steuergerät eingehenden Daten erfolgen, denn bei einem Angriff bzw. einer Datenmanipulation von außen erhöht sich zwangsläufig auch die Häufigkeit von übertragenen Daten bzw. Nachrichten. Die erfassten Werte der Häufigkeit können dabei mit an sich bekannten statistischen Methoden ausgewertet werden.The preferably performed by said security element examination of eigehenden data on a possible data manipulation out to increase the recognition quality or detection reliability using known methods such. Heuristic or "hash" based Detection methods take place. Alternatively or additionally, this check can be made on the basis of the frequency of the incoming data from a particular controller, because in an attack or a data manipulation from the outside inevitably increases the frequency of transmitted data or messages. The recorded values of the frequency can be evaluated by statistical methods known per se.

Im Falle eines komplexer aufgebauten Kommunikationsnetzwerks mit mehr als Kommunikationskanälen, welche z. B. durch Unternetze (Subnetze) oder nebengeordnete Netzwerke gebildet werden, können die Informationen über die erkannte Datenmanipulation auch über mehr als einen Kommunikationspfad an andere Steuergeräte übertragen werden. Diese somit redundant übermittelten Informationen können gegeneinander plausibilisiert werden, um insbesondere weitere Datenmanipulationen auch an diesen übertragenen Informationen zu erkennen bzw. zu verhindern.In the case of a complex communication network with more than communication channels, which z. B. subnets or sibling networks are formed, the information about the detected data manipulation can also be transmitted to other control devices via more than one communication path. These information, which is thus transmitted redundantly, can be made plausible against one another, in order in particular to recognize or prevent further data manipulations also on the information transmitted.

Die an die beteiligten Steuergeräte verteilten Informationen über die fehlende Datenintegrität bzw. die vorliegende Datenmanipulation bei den jeweils empfangenden Steuergeräten können lokal gespeichert werden und sind damit gegenüber genannten Angriffen von außen noch besser geschützt. Denn die verteilte Speicherung dieser Informationen erschwert es einem Angreifer, z. B. die Spuren seines Angriffs nachträglich zu beseitigen.The distributed to the control units involved information about the lack of data integrity or the present data manipulation in each receiving control units can be stored locally and are thus better protected against external attacks mentioned. Because the distributed storage of this information makes it difficult for an attacker, z. B. to remove the traces of his attack later.

Das erfindungsgemäß vorgeschlagene Verfahren und die Vorrichtung ermöglichen demnach eine technisch einfache und gleichzeitig noch wirksamere Absicherung eines Kommunikationsnetzwerks eines Kraftfahrzeugs oder dergleichen gegen jede Art datentechnischer Manipulation.The inventively proposed method and apparatus thus allow a technically simple and at the same time even more effective protection of a communication network of a motor vehicle or the like against any type of data manipulation.

Die Erfindung kann insbesondere in Kraftfahrzeugen oder anderen Transportmitteln wie Nutzfahrzeugen, Flugzeugen, Schiffen oder Schienenfahrzeugen oder aber auch bei der Steuerung von Industrieanlagen, bevorzugt im Bereich dortiger Automatisierungstechnik, mit den hierin beschriebenen Vorteilen zur Anwendung kommen.The invention can be used in particular in motor vehicles or other means of transport such as commercial vehicles, aircraft, ships or rail vehicles or even in the control of industrial plants, preferably in the field of local automation technology, with the advantages described herein.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.

Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweiligen angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.

Kurze Beschreibung der ZeichnungenBrief description of the drawings

1a, b zeigen zwei unterschiedlich ausgebildete Kommunikationsnetzwerke zur Illustration zweier Varianten des erfindungsgemäßen Verfahrens. 1a . b show two differently formed communication networks to illustrate two variants of the method according to the invention.

2 zeigt ein bevorzugtes Ausführungsbeispiel des erfindungsgemäßen Verfahrens anhand eines Ablaufdiagramms. 2 shows a preferred embodiment of the method according to the invention with reference to a flow chart.

Beschreibung von AusführungsbeispielenDescription of exemplary embodiments

Die 1a und 1b zeigen jeweils einen Ausschnitt eines CAN-Bus' 100 eines Kraftfahrzeugs als Beispiel eines bei der Erfindung zugrundeliegenden Kommunikationsnetzwerks.The 1a and 1b each show a section of a CAN bus' 100 of a motor vehicle as an example of a communication network according to the invention.

In dem ersten Ausführungsbeispiel gemäß 1a sind beispielhaft vier Steuergeräte 10, 15, 20, 25 über den CAN-Bus 100 daten- bzw. kommunikationstechnisch miteinander gekoppelt. Es wird hier angenommen, dass jedes der gezeigten Steuergeräte 1025 für die Übertragung und Verarbeitung von genannten, für den Betrieb des Kraftfahrzeugs sicherheitsrelevanten Daten vorgesehen ist und daher jedes dieser Steuergeräte 1025 ein Sicherheitselement 30, 35, 40, 45 aufweist. Jedes dieser Sicherheitselemente 3045 ist so ausgestaltet bzw. eingerichtet, dass es das nachfolgend beschriebene erfindungsgemäße Verfahren ausführen kann.In the first embodiment according to 1a are exemplary four control devices 10 . 15 . 20 . 25 over the CAN bus 100 Data or communication technology coupled with each other. It is assumed here that each of the control units shown 10 - 25 is provided for the transmission and processing of said, for the operation of the motor vehicle safety-related data and therefore each of these control units 10 - 25 a security element 30 . 35 . 40 . 45 having. Each of these security elements 30 - 45 is configured or set up so that it can carry out the method according to the invention described below.

Es ist hervorzuheben, dass nicht jedes mit dem CAN-Bus gekoppelte Steuergerät notwendiger Weise solche sicherheitsrelevanten Daten verarbeitet und daher auch nicht jedes Steuergerät ein solches Sicherheitselement 3045 aufweisen muss.It should be emphasized that not every control unit coupled to the CAN bus necessarily processes such security-relevant data and therefore not every control unit has such a security element 30 - 45 must have.

In dem vorliegenden Beispiel bzw. Szenario wird angenommen, dass das Steuergerät 10 Daten über den CAN-Bus empfängt 50. Diese eingehenden Daten werden, wie durch die gestrichelte Linie innerhalb des Steuergeräts 10 angedeutet, wie üblich in dem Steuergerät 10 verarbeitet und zwischengespeichert. Insbesondere aber werden die eingehenden (bzw. eingegangenen) Daten von dem Sicherheitselement 30 auf Datenintegrität bzw. mögliche Datenmanipulation hin geprüft.In the present example or scenario, it is assumed that the control unit 10 Receive data via the CAN bus 50 , These incoming data will be as shown by the dashed line inside the controller 10 indicated as usual in the control unit 10 processed and cached. In particular, however, the incoming (or received) data from the security element 30 checked for data integrity or possible data manipulation.

Bei dieser Prüfung können die eingegangenen Daten bzw. in den Daten enthaltene, gegenüber den eigentlichen Nutzdaten fixe Signaturen wie z. B. Frameheader oder Steuerbits, mit entsprechenden Signaturen bereits früher eingegangener Daten verglichen werden und bei etwa festgestellten Unterschieden auf das Vorliegen einer Datenmanipulation geschlossen werden. Alternativ können die Sicherheitselemente 3045 durch an sich bekannte Sicherheitsmodule wie z. B. „Trusted Platform Module”(TPM)-Chips realisiert sein.In this test, the data received or contained in the data, compared to the actual payload fixed signatures such. As frame header or control bits, are compared with corresponding signatures of previously received data and closed at any observed differences on the existence of a data manipulation. Alternatively, the security elements 30 - 45 by per se known security modules such. B. "Trusted Platform Module" (TPM) chips realized.

In dem vorliegenden Beispiel wird ferner angenommen, dass die Prüfung auf mögliche Datenmanipulation ergibt, dass die eingegangenen Daten tatsächlich von einem Angreifer manipuliert wurden. In dem Fall benachrichtigt 55 das Sicherheitselement 30 die Sicherheitselemente 35, 40, 45 der anderen Steuergeräte 15, 20, 25 über die erkannte Datenmanipulation. Diese Warnmeldung wird, wie durch die gestrichelten Linien 55 angedeutet, an die Steuergeräte 15, 20, 25 verteilt versendet. Die Warnmeldung bzw. die dafür erforderlichen Daten werden bevorzugt verschlüsselt übertragen, da die Warnmeldung in dem vorliegenden Beispiel über den bereits durch die Manipulation kompromittierten CAN-Bus an die anderen Steuergeräte 1525 übertragen wird. Bei dieser Übertragung muss demnach sichergestellt werden, dass der Angreifer die Warnmeldung nicht abfangen und diese wiederum manipulieren kann. In the present example, it is further assumed that the potential data manipulation check indicates that the data received was actually manipulated by an attacker. In the case notified 55 the security element 30 the security elements 35 . 40 . 45 the other controllers 15 . 20 . 25 about the detected data manipulation. This warning message will appear as indicated by the dashed lines 55 indicated to the controllers 15 . 20 . 25 distributed. The warning message or the data required for it are preferably transmitted encrypted, since the warning message in the present example on the already compromised by the manipulation CAN bus to the other control units 15 - 25 is transmitted. This transfer must therefore ensure that the attacker can not intercept the warning message and in turn manipulate it.

Als Reaktion auf die manipulierten Daten gehen in dem vorliegenden Beispiel alle Steuergeräte 1025 in einen sicheren Betriebszustand (z. B. „Notlaufmodus”) über, in welchem die Steuergeräte hinsichtlich ihrer funktionalen Sicherheit unabhängig von weiteren externen Daten bzw. Nachrichten betrieben werden können. Durch diese Maßnahme ist sowohl die Betriebssicherheit als auch der ggf. eingeschränkte Weiterbetrieb z. B. eines zugrundeliegenden Kraftfahrzeugs gewährleistet.In response to the manipulated data, in the present example, all the controllers go 10 - 25 into a safe operating state (eg "emergency mode"), in which the control devices can be operated independently of other external data or messages with regard to their functional safety. By this measure, both the reliability and possibly limited continued operation z. B. an underlying motor vehicle guaranteed.

Im Falle eines im Bereich von ausfallsicheren Netzen an sich bekannten redundanten Kommunikationsnetzwerks, d. h. eines Netzwerks wie in der 1b mit wenigstens zwei voneinander unabhängigen Subnetzen, können diese Informationen parallel d. h. mehrfach übertragen werden. In dem wahrscheinlichen Fall, dass der Angreifer keinen Zugriff auf sämtliche Subnetze hat, können die über wenigstens ein Subnetz übermittelten Daten nicht vom Angreifer manipuliert werden.In the case of a known in the field of fail-safe networks redundant communication network, ie a network as in the 1b with at least two independent subnets, this information can be transmitted in parallel ie multiple times. In the likely event that the attacker does not have access to all subnets, the data transmitted over at least one subnetwork can not be manipulated by the attacker.

In dem zweiten Ausführungsbeispiel gemäß 1b sind wiederum beispielhaft vier Steuergeräte 105, 110, 115, 120 über den CAN-Bus 100 daten- bzw. kommunikationstechnisch miteinander gekoppelt. Jedes dieser Steuergeräte 105120 weist wiederum ein Sicherheitselement 130, 135, 140, 145 auf, wobei jedes dieser Sicherheitselemente 130145 so ausgestaltet ist, dass es das nachfolgend beschriebene erfindungsgemäße Verfahren ausführen kann.In the second embodiment according to 1b again are four control devices by way of example 105 . 110 . 115 . 120 over the CAN bus 100 Data or communication technology coupled with each other. Each of these controllers 105 - 120 again has a security element 130 . 135 . 140 . 145 on, with each of these security elements 130 - 145 is configured such that it can perform the method according to the invention described below.

Zusätzlich zum CAN-Bus 100 sind die Steuergeräte 130145 über eine sogenannte Hardware-Leitung 125 (HW-Leitung) gekoppelt, welche in dem vorliegenden Ausführungsbeispiel die Steuergeräte 105120 kommunikationstechnisch direkt miteinander verbindet und insbesondere nicht mit dem CAN-Bus 100 verbunden ist. Über die HW-Leitung 125 wird ein Hardware-Signal 155 (HW-Signal) übertragen, welches eine direkte Signalleitung, z. B. eine Punkt-zu-Punkt Verbindung, zwischen jeweils zwei Steuergeräten ermöglicht. Solche direkten Signalleitungen sind z. B. im Bereich der datentechnischen Verbindung mehrerer Elektromotor-Steuergeräte bekannt.In addition to the CAN bus 100 are the controllers 130 - 145 via a so-called hardware line 125 (HW line) coupled, which in the present embodiment, the control units 105 - 120 communication technology directly connects and in particular not with the CAN bus 100 connected is. About the HW line 125 becomes a hardware signal 155 (HW signal) transmitted, which is a direct signal line, z. B. allows a point-to-point connection, between two controllers. Such direct signal lines are z. B. in the field of data technology connection of several electric motor control units known.

Das HW-Signal 155 kann mittels einer Modulationstechnik übertragen werden, z. B. mittels physikalischer Signalisierung, bei der eine Momenten-Aktuatorik so angesteuert wird, dass die Warnmeldung auf das Ansteuersignal aufmoduliert wird und beispielsweise zu einem von anderen Steuergeräten messbaren, überlagerten Frequenzverhalten der Motordrehzahl führt.The HW signal 155 can be transmitted by means of a modulation technique, e.g. Example by means of physical signaling, in which a torque actuator is controlled so that the warning message is modulated onto the drive signal and, for example, leads to a measurable from other controllers, superimposed frequency response of the engine speed.

In dem vorliegenden Beispiel bzw. Szenario wird wiederum angenommen, dass nur das Steuergerät 105, wie durch den gestrichelten Pfeil 150 angedeutet, Daten über den CAN-Bus 100 empfängt. Diese eingehenden Daten werden wiederum wie üblich in dem Steuergerät 105 verarbeitet und zwischengespeichert.In the present example or scenario, it is again assumed that only the control unit 105 as indicated by the dotted arrow 150 indicated data via the CAN bus 100 receives. These incoming data will again be in the controller as usual 105 processed and cached.

Insbesondere werden die eingegangen Daten wiederum von dem Sicherheitselement 130 auf ihre Datenintegrität hin und/oder mögliche Datenmanipulation (z. B. durch einen Angreifer) hin geprüft.In particular, the received data in turn from the security element 130 checked for data integrity and / or possible data manipulation (eg by an attacker).

Aufgrund der wiederum angenommenen Manipulation der eingegangenen Daten wird eine wiederum durch gestrichelte Pfeile 155 angedeutete entsprechende Warnmeldung an die übrigen Steuergeräte 110, 115, 120 gesendet. Im Gegensatz zu dem Ausführungsbeispiel gemäß 1a muss die Warnmeldung 155 vorliegend nicht verschlüsselt übertragen werden, da sie über die vom CAN-Bus 100 getrennte HW-Leitung 125 erfolgt.Due to the turn assumed manipulation of the received data is in turn by dashed arrows 155 indicated corresponding warning message to the other control units 110 . 115 . 120 Posted. In contrast to the embodiment according to 1a must have the warning message 155 In the present case, they are not transmitted in encrypted form, as they are transmitted via the CAN bus 100 separate HW line 125 he follows.

Gemäß einem nicht gezeigten dritten Ausführungsbeispiel werden die beiden Übertragungspfade für die Warnmeldung 155 kombiniert, d. h. die Warnmeldung wird 155 sowohl über die HW-Leitung 125 als auch über den CAN-Bus 100 an die übrigen Steuergeräte 110, 115, 120 übertragen. Dies hat den Vorteil, dass die von den Steuergeräten 110, 115, 120 über die HW-Leitung 125 empfangene Warnmeldung 155 mit der der über den CAN-Bus 100 empfangenen Warnmeldung verglichen bzw. plausibilisiert werden kann und so ebenfalls auf eine mögliche Manipulation der Warnmeldung selbst hin überprüft werden kann.According to a third embodiment, not shown, the two transmission paths for the warning message 155 combined, ie the warning message is 155 both via the HW line 125 as well as over the CAN bus 100 to the other control units 110 . 115 . 120 transfer. This has the advantage of being of the control units 110 . 115 . 120 via the HW line 125 received warning message 155 with the via the CAN bus 100 received warning message can be compared or checked for plausibility and so can also be checked for a possible manipulation of the warning itself.

Unter Hinweis auf 2 wird ein bevorzugtes Ausführungsbeispiel des erfindungsgemäßen Verfahrens beschrieben. Die in 2 gezeigte Routine wird bevorzugt von einem oder mehreren der genannten Sicherheitselemente 3045, 130145 ausgeführt. Es versteht sich, dass das erfindungsgemäße Verfahren bei Verwendung eines vorgefertigten Sicherheitsmoduls (z. B. ein genannter TPM-Chip) von der in 2 gezeigten Routine abweichen kann. In diesem Fall ist jedoch ein zusätzliches Funktionselement erforderlich, welches geeignet ist, den nachfolgend beschriebenen Notlaufmodus zu aktivieren bzw. zu deaktivieren.Recalling 2 a preferred embodiment of the method according to the invention will be described. In the 2 The routine shown is preferred by one or more of said security elements 30 - 45 . 130 - 145 executed. It is understood that the inventive method when using a prefabricated security module (eg., A named TPM chip) of the in 2 can deviate shown routine. In this case, however, an additional functional element is required which is suitable for activating or deactivating the emergency mode described below.

Nach dem Start 200 der in 2 gezeigten Routine werden eingehende Daten erfasst und abgespeichert 205. Aus den empfangenen Daten wird ein das jeweilige die Daten sendende Steuergerät identifizierender Identifizierungscode (ID-Code) extrahiert und von dem identifizierten Steuergerät bereits früher eingegangene Daten aus einem Speicher abgerufen. In Schritt 210 werden die aktuell eingegangenen Daten mit den abgerufenen bereits früher empfangenen Daten verglichen, um durch den Vergleich eine mögliche Datenmanipulation zu erkennen.After the start 200 the in 2 shown routine incoming data are recorded and stored 205 , From the received data, an identification code (ID code) identifying the respective control unit sending the data is extracted, and data previously received from the identified control unit is retrieved from a memory. In step 210 the data currently being received is compared with the retrieved data already received earlier in order to detect possible data manipulation by the comparison.

Es ist hervorzuheben, dass die genannte Methode bei der Erkennung einer möglichen Datenmanipulation nur beispielhaft ist und die vorliegende Erfindung auch andere Herangehensweisen, wie z. B. heuristische oder ”Hash”-basierte Erkennungsmethoden, umfassen kann.It should be emphasized that the mentioned method in the recognition of a possible data manipulation is only an example and the present invention also other approaches, such as. As heuristic or "hash" -based detection methods may include.

Bei dem im vorliegenden Ausführungsbeispiel durchgeführten Vergleich können im Datenformat des CAN-Bus-Protokolls festgelegte Datenstrukturen, z. B. der sogenannte ”Data frame header”, zu allererst auf eine mögliche Datenmanipulation hin geprüft werden. Zusätzlich können dabei selbstverständlich auch andere Elemente der CAN-Datenstruktur wie z. B. Steuerbits der genannten Datenframes, oder die in der CAN-Datenstruktur vorgesehenen ”Arbitrierungsfelder” und/oder ”Kontrollfelder” bei der Erkennung einbezogen werden. Die in den Datenframes enthaltenen Datenfelder werden jedoch wegen ihrer Veränderlichkeit bevorzugt bei der Erkennung nicht mit einbezogen.In the comparison carried out in the present embodiment, data structures fixed in the data format of the CAN bus protocol, eg. As the so-called "data frame header", are first checked for possible data manipulation out. In addition, of course, other elements of the CAN data structure such. B. control bits of said data frames, or provided in the CAN data structure "arbitration fields" and / or "control fields" are included in the detection. However, due to their variability, the data fields contained in the data frames are preferably not included in the recognition.

Die in den Sicherheitselementen 3045, 130145 jeweils eingerichtete Überwachungsfunktion zur Erkennung einer möglichen Datenmanipulation kann gemäß einem weiteren Ausführungsbeispiel die Häufigkeit bevorzugt von einem bestimmten, durch den genannten ID-Code identifizierten Steuergerät (d. h. Punkt-zu-Punkt) empfangene Daten bzw. Nachrichten dahingehend überprüfen, ob zusätzliche Nachrichten seitens eines möglichen Angreifers die Anzahl eingehender Nachrichten erhöht hat. Diese Erkennungsmethode bietet sich insbesondere bei zyklisch übertragenen Nachrichten an.The in the security elements 30 - 45 . 130 - 145 each configured monitoring function for detecting a possible data manipulation, according to another embodiment, the frequency preferably from a particular, identified by said ID code controller (ie point-to-point) received data or messages to see whether additional messages from a possible Attacker has increased the number of incoming messages. This recognition method is particularly suitable for cyclically transmitted messages.

Bei Vorliegen einer wie in 1b gezeigten komplexeren Netzwerkstruktur des zugrundeliegenden Kommunikationsnetzwerks, welche wenigstens zwei mögliche Kommunikationspfade 100, 125 bereitstellt, über die jedes der in den Figuren 1a und 1b gezeigten Steuergeräte 1025, 105120 Daten bzw. Nachrichten versenden und empfangen kann, können in Schritt 210 gemäß einem weiteren Ausführungsbeispiel die jeweiligen Inhalte der empfangenen Daten bzw. Nachrichten durch Vergleich mit über redundante Pfade erhaltenen entsprechenden Daten bzw. Nachrichten z. B. plausibilisiert werden.In the presence of a like in 1b shown more complex network structure of the underlying communication network, which at least two possible communication paths 100 . 125 provides about each of the in the figures 1a and 1b shown control units 10 - 25 . 105 - 120 You can send and receive data or messages in step 210 According to a further embodiment, the respective contents of the received data or messages by comparison with corresponding data or messages received via redundant paths z. B. be made plausible.

Wird bei dem beschriebenen Vergleich in Schritt 210 keine Datenmanipulation festgestellt, wird wieder an den Anfang der Routine zurückgesprungen und erneut empfangene Daten bzw. Nachrichten gemäß den Schritten 205, 210 verarbeitet.Will in the described comparison in step 210 If no data manipulation has been detected, the program returns to the beginning of the routine and again received data or messages according to the steps 205 . 210 processed.

Im dem Fall, dass die Prüfung 210 durch das Sicherheitselement des vorliegenden Steuergeräts eine Datenmanipulation an den aktuell empfangenen Daten bzw. Nachrichten erkennt, wird gemäß Schritt 215 eine Warnmeldung generiert und die generierte Warnmeldung an die übrigen, mit dem CAN-Bus gekoppelten und mit einem genannten Sicherheitselement versehenen Steuergeräte versendet. Zusätzlich kann vorgesehen sein, dass die Warnmeldung auch an den Fahrzeugführer gesendet wird und z. B. im Armaturenbrett oder in einer Anzeigeeinheit eines Bordcomputers des Kraftfahrzeugs zur optischen und/oder akustischen Anzeige gebracht wird.In the event that the exam 210 is detected by the security element of the present controller, a data manipulation of the currently received data or messages is, according to step 215 generates a warning message and sends the generated warning message to the other, coupled to the CAN bus and provided with a security element mentioned control units. In addition, it can be provided that the warning message is also sent to the driver and z. B. in the dashboard or in a display unit of an on-board computer of the motor vehicle for optical and / or acoustic display is brought.

Gemäß dem optionalen Schritt 220 speichern die übrigen Steuergeräte die jeweils empfangene Warnmeldung lokal ab. Gemäß Schritt 225 gehen alle Steuergeräte, d. h. sowohl das die Warnmeldung sendende als auch die die Warnmeldung empfangenden Steuergeräte selbsttätig in einen durch die gestrichelte Linie 230 angedeuteten Notlaufmodus um.According to the optional step 220 the remaining control units store the respectively received warning message locally. According to step 225 go all control units, ie both the warning message sending and the warning message receiving control units automatically in a through the dashed line 230 indicated runflat mode.

In dem Notlaufmodus 230 werden alle empfangenen Eingangsdaten oder -parameter, welche im Normalbetrieb über das (nun unsichere) Daten- bzw. Kommunikationsnetzwerk empfangen werden, aus dem Datenstrom herausgefiltert 235. Alternativ können diese unsicheren Daten völlig ignoriert oder nicht weiterverarbeitet werden, was z. B. durch entsprechende Umschaltung des jeweiligen Steuergeräts in einen gesonderten Betriebsmodus realisiert werden kann.In the emergency mode 230 All received input data or parameters, which are received in normal operation via the (now insecure) data or communication network, are filtered out of the data stream 235 , Alternatively, these insecure data can be completely ignored or not further processed, for example. B. can be implemented by appropriate switching of the respective controller in a separate operating mode.

Alternativ oder zusätzlich werden alle eingehenden Daten oder Parameter, wenigstens für den Betrieb des Kraftfahrzeugs sicherheitsrelevante Eingangsparameter wie im Falle eines Kraftfahrzeugs z. B. die aktuelle Querbeschleunigung oder der aktuelle Gierwinkel, durch vorgegebene Werte oder Standardwerte ersetzt 240, bei denen keine Sicherheitsgefährdung zu erwarten ist, einschließlich solcher durch Zusammenspiel mit anderen Steuergeräten hervorgerufenen Gefährdungen.Alternatively or additionally, all incoming data or parameters, at least for the operation of the motor vehicle safety-related input parameters as in the case of a motor vehicle z. As the current lateral acceleration or the current yaw angle, replaced by predetermined values or default values 240 in which no safety hazard is to be expected, including hazards resulting from interaction with other control devices.

Bei bestehendem Notlaufmodus wird in Schritt 245 in einer Programmschleife geprüft, ob der Notlaufmodus z. B. durch äußere Einwirkung z. B. seitens des Fahrzeugführers oder seitens eines Servicetechnikers beendet wird. Ist dies der Fall, wird die Routine beendet 250. Alternativ zur genannten Beendigung des Notlaufmodus' durch äußere Einwirkung kann dieser auch durch das Abstellen des Kraftfahrzeugs beendet werden, sofern der CAN-Bus beim Neustart des Kraftfahrzeugs initialisiert wird, wodurch die genannte Datenmanipulation gelöscht wird.In existing emergency mode, in step 245 checked in a program loop, whether the emergency mode z. B. by external influence z. B. is terminated by the driver or by a service technician. If this is the case, the routine is ended 250 , As an alternative to the aforementioned termination of the emergency mode by external action, this can also be terminated by the parking of the motor vehicle, provided that the CAN bus is initialized when restarting the motor vehicle, whereby said data manipulation is deleted.

Claims (12)

Verfahren zum Betrieb eines Kommunikationsnetzwerks (100) insbesondere eines Kraftfahrzeugs, wobei wenigstens zwei Steuergeräte (1025) über das Kommunikationsnetz (100) datentechnisch miteinander verbunden sind, dadurch gekennzeichnet, dass ein erstes Steuergerät (10) der wenigstens zwei Steuergeräte (1025) über das Kommunikationsnetzwerk (100) eingehende Daten (50) auf mögliche Datenmanipulation hin prüft, dass das erste Steuergerät (10) im Falle einer erkannten Datenmanipulation ein wenigstens zweites Steuergerät (1525) über die erkannte Datenmanipulation informiert und dass das erste Steuergerät (10) und das wenigstens zweite Steuergerät (1525) in einen von der Datenmanipulation nicht betroffenen Betriebsmodus wechseln.Method for operating a communications network ( 100 ) in particular of a motor vehicle, wherein at least two control devices ( 10 - 25 ) via the communications network ( 100 ) are interconnected in terms of data, characterized in that a first control device ( 10 ) of the at least two control devices ( 10 - 25 ) via the communication network ( 100 ) incoming data ( 50 ) on possible data manipulation checks that the first control unit ( 10 ) in the case of a detected data manipulation, an at least second control device ( 15 - 25 ) informed about the detected data manipulation and that the first control device ( 10 ) and the at least second control device ( 15 - 25 ) change to an operating mode unaffected by the data manipulation. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass bei der Prüfung auf mögliche Datenmanipulation die eingehenden Daten mit früher eingegangenen Daten verglichen werden (210).Method according to Claim 1, characterized in that, in the examination for possible data manipulation, the incoming data are compared with data received earlier ( 210 ). Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass aus den eingehenden Daten ein Identifizierungscode des die Daten sendenden Steuergeräts ermittelt wird und der genannte Vergleich (210) mit von dem durch den Identifizierungscode identifizierten Steuergerät früher eingegangenen Daten durchgeführt wird.Method according to claim 2, characterized in that an identification code of the control unit transmitting the data is determined from the incoming data and said comparison ( 210 ) with data previously received from the control unit identified by the identification code. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass bei dem Vergleich (210) in dem Datenformat des Kommunikationsprotokolls des Kommunikationsnetzwerks festgelegte fixe Datenstrukturen, bevorzugt ein Datenframe Header oder wenigstens ein Steuerbit oder in Arbitrierungsfeldern und/oder Kontrollfeldern enthaltene Daten berücksichtigt werden.Method according to claim 2 or 3, characterized in that in the comparison ( 210 ) fixed data structures, preferably a data frame header or at least one control bit or data contained in arbitration fields and / or control fields, are taken into account in the data format of the communication protocol of the communication network. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Prüfung (210) auf mögliche Datenmanipulation anhand einer heuristischen oder ”Hash”-basierten Erkennungsmethode erfolgt.Method according to claim 1, characterized in that the test ( 210 ) for possible data manipulation using a heuristic or "hash" -based recognition method. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Prüfung (210) auf mögliche Datenmanipulation anhand der Häufigkeit der von einem bestimmten Steuergerät eingehenden Daten erfolgt.Method according to claim 1, characterized in that the test ( 210 ) for possible data manipulation based on the frequency of incoming data from a particular controller. Verfahren nach einem der vorhergehenden Ansprüche bei einem Kommunikationsnetzwerk (100) mit wenigstens zwei möglichen Kommunikationspfaden (100, 125), über welche die wenigstens zwei Steuergeräte (1025, 105120) kommunikationstechnisch miteinander verbunden sind, dadurch gekennzeichnet, dass das erste Steuergerät (10, 105) die Information über die erkannte Datenmanipulation über die wenigstens zwei Kommunikationspfade (100, 125) an das wenigstens zweite Steuergerät (1525, 110120) übermittelt.Method according to one of the preceding claims in a communications network ( 100 ) with at least two possible communication paths ( 100 . 125 ), via which the at least two control devices ( 10 - 25 . 105 - 120 ) are connected to one another by communication, characterized in that the first control device ( 10 . 105 ) the information about the detected data manipulation over the at least two communication paths ( 100 . 125 ) to the at least second control device ( 15 - 25 . 110 - 120 ) transmitted. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass anhand der über die wenigstens zwei Kommunikationspfade (100, 125) übermittelten Information über die erkannte Datenmanipulation eine Plausibilitätsprüfung durchgeführt wird.A method according to claim 7, characterized in that on the basis of the at least two communication paths ( 100 . 125 ) information about the detected data manipulation a plausibility check is performed. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das wenigstens zweite Steuergerät (1525, 110120) die empfangene Information über die erkannte Datenmanipulation lokal abspeichert.Method according to one of the preceding claims, characterized in that the at least second control device ( 15 - 25 . 110 - 120 ) locally stores the received information about the detected data manipulation. Vorrichtung zum Betrieb eines Kommunikationsnetzwerks (100) insbesondere eines Kraftfahrzeugs, wobei wenigstens zwei Steuergeräte (1025, 105120) über das Kommunikationsnetz (100) datentechnisch miteinander verbunden sind, gekennzeichnet durch mindestens ein in den wenigstens zwei Steuergeräten (1025, 105120) angeordnetes Sicherheitselement (3045, 130145) zur Ausführung des Verfahrens nach einem der vorhergehenden Ansprüche.Device for operating a communications network ( 100 ) in particular of a motor vehicle, wherein at least two control devices ( 10 - 25 . 105 - 120 ) via the communications network ( 100 ) are connected to one another by data technology, characterized by at least one in the at least two control devices ( 10 - 25 . 105 - 120 ) arranged security element ( 30 - 45 . 130 - 145 ) for carrying out the method according to one of the preceding claims. Computerprogramm, das alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 9 ausführt, wenn es auf einem Rechengerät oder einem Sicherheitselement (3045, 130145) gemäß Anspruch 10 abläuft.A computer program executing all the steps of a method according to any one of claims 1 to 9 when stored on a computing device or a security element ( 30 - 45 . 130 - 145 ) according to claim 10 expires. Computerprogrammprodukt mit Programmcode, der auf einem maschinenlesbaren Träger gespeichert ist, zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 9, wenn das Programm auf einem Computer oder einem Sicherheitselement (3045, 130145) gemäß Anspruch 10 ausgeführt wird.Computer program product with program code, which is stored on a machine-readable carrier, for carrying out the method according to one of Claims 1 to 9, when the program is stored on a computer or a security element ( 30 - 45 . 130 - 145 ) is carried out according to claim 10.
DE102013022498.5A 2013-01-16 2013-01-16 Method and device for operating a communication network, in particular of a motor vehicle Pending DE102013022498A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102013022498.5A DE102013022498A1 (en) 2013-01-16 2013-01-16 Method and device for operating a communication network, in particular of a motor vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013022498.5A DE102013022498A1 (en) 2013-01-16 2013-01-16 Method and device for operating a communication network, in particular of a motor vehicle

Publications (1)

Publication Number Publication Date
DE102013022498A1 true DE102013022498A1 (en) 2017-11-02

Family

ID=60081404

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013022498.5A Pending DE102013022498A1 (en) 2013-01-16 2013-01-16 Method and device for operating a communication network, in particular of a motor vehicle

Country Status (1)

Country Link
DE (1) DE102013022498A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022210020A1 (en) 2022-09-22 2024-03-28 Robert Bosch Gesellschaft mit beschränkter Haftung Security data processing unit for a computing unit

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022210020A1 (en) 2022-09-22 2024-03-28 Robert Bosch Gesellschaft mit beschränkter Haftung Security data processing unit for a computing unit

Similar Documents

Publication Publication Date Title
DE102013200535A1 (en) Method for operating controller area network in motor car, involves transferring data or messages over communication paths of communication network, and checking data and/or messages based on plausibility check of possible data manipulation
EP3584140B1 (en) Vehicle and method and apparatus for controlling a safety-relevant process
DE102019113818B4 (en) ELECTRONIC CONTROL DEVICE, MONITORING METHOD, PROGRAM AND GATEWAY DEVICE
WO2020187985A1 (en) Method for monitoring communication on a communication bus, electronic apparatus for connection to a communication bus, and vehicle
DE102018114739A1 (en) Operation log and procedure of the vehicle network
WO2018077528A1 (en) Detection of manipulations in a can network by checking can identifiers
EP3498544A1 (en) Device, method and computer program for unlocking a vehicle component, vehicle to vehicle communication module
DE102018212879A1 (en) Control device and control method
DE102017216808A1 (en) Method for monitoring communication on a communication bus and electronic device for connection to a communication bus
EP3496975B1 (en) Motor vehicle having a data network which is divided into multiple separate domains and method for operating the data network
DE102018116676A1 (en) Vehicle network with implementation of XCP protocol policy and procedures
WO2020094346A1 (en) Data switching device and data switching method for a vehicle, device and method for a vehicle component of a vehicle, and computer program
DE112019006487B4 (en) Electronic control unit, electronic control system and program
DE102013200528A1 (en) Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation
EP3871393B1 (en) Method for monitoring a data transmission system, data transmission system and motor vehicle
DE102013200525A1 (en) Method for operating communication network, particularly of motor vehicle, involves connecting two control devices with each other in data technical manner by communication network
DE102017209556A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102020208536A1 (en) GATEWAY DEVICE, ABNORMITY MONITORING PROCEDURES AND STORAGE MEDIUM
EP3725041B1 (en) Method for providing information for the localization of errors in a communications network of an apparatus, correspondingly designed bus device station and vehicle
DE102021208459B4 (en) Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle
DE102013022498A1 (en) Method and device for operating a communication network, in particular of a motor vehicle
DE102005040786A1 (en) Drive unit e.g. petrol engine, controlling method for motor vehicle, involves transmitting message related to possible torque to control engine that is assigned to one control device, when provided possibility has positive result
EP3725055A1 (en) Devices, methods, and computer program for releasing vehicle components, and vehicle-to-vehicle communication module
DE102012209445A1 (en) Method for secure transmission of safety critical function data between diagnosis tester and control device in control system in vehicle, involves synchronizing keys, and initiating access to client during coincidence of keys
DE102018208832A1 (en) A method for containing an attack on a controller

Legal Events

Date Code Title Description
R012 Request for examination validly filed