DE102013200528A1 - Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation - Google Patents

Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation Download PDF

Info

Publication number
DE102013200528A1
DE102013200528A1 DE201310200528 DE102013200528A DE102013200528A1 DE 102013200528 A1 DE102013200528 A1 DE 102013200528A1 DE 201310200528 DE201310200528 DE 201310200528 DE 102013200528 A DE102013200528 A DE 102013200528A DE 102013200528 A1 DE102013200528 A1 DE 102013200528A1
Authority
DE
Germany
Prior art keywords
data
data manipulation
control unit
manipulation
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE201310200528
Other languages
German (de)
Inventor
Andreas Heyl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE201310200528 priority Critical patent/DE102013200528A1/en
Publication of DE102013200528A1 publication Critical patent/DE102013200528A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Small-Scale Networks (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)

Abstract

The method involves connecting two control devices (105,110,115,120) in a data communication over the communication network (100) with one another. The control devices are connected over the communication network for checking the detailed data for possible data manipulation based on the frequency the control unit, and for recognizing changes in the control device in the operation mode concerned by the data manipulation. The detailed data is compared with received earlier data. Independent claims are included for the following: (1) device for operation of communication network of motor car; (2) computer program for operating communication network; and (3) computer program product for operating communication network.

Description

Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs gemäß den Oberbegriffen der jeweiligen unabhängigen Ansprüche. Weiterhin betrifft die Erfindung ein Computerprogramm, das alle Schritte des erfindungsgemäßen Verfahrens ausführt, wenn es auf einem Rechengerät oder einer Steuereinrichtung abläuft. Schließlich betrifft die vorliegende Erfindung ein Computerprogrammprodukt mit Programmcode, der auf einem maschinenlesbaren Träger gespeichert ist, zur Durchführung des erfindungsgemäßen Verfahrens, wenn das Programm auf einem Rechengerät oder einer Steuereinrichtung ausgeführt wird.The present invention relates to a method and a device for operating a communication network, in particular of a motor vehicle, according to the preambles of the respective independent claims. Furthermore, the invention relates to a computer program that performs all the steps of the method according to the invention when it runs on a computing device or a control device. Finally, the present invention relates to a computer program product with program code, which is stored on a machine-readable carrier, for carrying out the method according to the invention when the program is executed on a computing device or a control device.

Stand der TechnikState of the art

Heutige Kraftfahrzeuge enthalten eine große Anzahl von derzeit bis zu 70 Steuergeräten, welche Sensordaten lokal erfassen und, basierend auf den erfassten Sensordaten, Aktoren ansteuern. Die zunehmenden Anforderungen an Fahrsicherheit, Abgasverhalten und Kraftstoffverbrauch erfordern einen über ein On-Board-Kommunikationsnetz erfolgenden Datenaustausch zwischen den Steuergeräten.Today's motor vehicles contain a large number of currently up to 70 control units which record sensor data locally and actuate actuators based on the recorded sensor data. The increasing demands on driving safety, emission behavior and fuel consumption require an exchange of data between the control units via an on-board communication network.

Ein Beispiel für ein genanntes On-Board-Kommunikationsnetzwerk ist der sogenannte „CAN“-Bus (Controlled Area Network), welcher sämtliche Informationen über lediglich zwei Leitungen überträgt. Dennoch können damit komplexe Systemfunktionen realisiert werden, wie z.B. Schaltvorgänge eines automatischen Getriebes oder Steuereingriffe bei einem „Elektronischen Stabilitätsprogramm“ (ESP). Die Datenübertragung in einem CAN-Bus erfolgt seriell mittels Datenpaketen, deren Struktur unter den Automobilherstellern bereits weitgehend standardisiert ist. Die Vorgänge bei der Übertragung, der Fehlersicherung, der Fehlerkorrektur und der Bestätigung sind genau festgelegt und in der CAN-Spezifikation beschriebenAn example of a named on-board communication network is the so-called "CAN" bus (Controlled Area Network), which transmits all information via only two lines. Nevertheless complex system functions can be realized with it, as e.g. Switching operations of an automatic transmission or control intervention in an "Electronic Stability Program" (ESP). The data transmission in a CAN bus takes place serially by means of data packets whose structure is already largely standardized among the automobile manufacturers. The transmission, error protection, error correction and acknowledgment procedures are well defined and described in the CAN specification

Ein Teil der ausgetauschten Daten ist sicherheitsbezogen, z.B. von einem ESP an ein Motorsteuergerät abgegebene momentenerhöhende (MSR) oder momentenerniedrigende (ASR) Anforderungen oder von einem Fahrzeugführungsrechner an Steuergeräte momentenstellender Aktoren abgegebene Momentenvorgaben. Bei den zuletzt genannten Aktoren kann es sich insbesondere auch um Steuergeräte von Elektrofahrzeugen handeln. Diese sicherheitsbezogenen Nachrichten werden in an sich bekannter Weise vom jeweiligen Sender entsprechend den bestehenden Anforderungen nach dem bekannten ISO-Sicherheitsstandard ASIL (= “Automotive Safety Integrity Level“) berechnet und z.B. über Checksummen und Botschaftszähler abgesichert versendet.Part of the exchanged data is security related, e.g. torque-increasing (MSR) or torque-lowering (ASR) requirements issued by an ESP to an engine control unit or torque settings issued by a vehicle management computer to control devices of torque-setting actuators. The last-mentioned actuators may in particular also be control units of electric vehicles. These safety-related messages are calculated in a manner known per se by the respective transmitter in accordance with the existing requirements according to the well-known ISO safety standard ASIL (= "Automotive Safety Integrity Level"), and e.g. sent via checksums and message counters secured.

Offenbarung der ErfindungDisclosure of the invention

Die genannten Kommunikationsnetzwerke wurden bislang nur gering bzw. gar nicht gegen sicherheitsrelevante datentechnische Eingriffe bzw. Datenzugriffe von außen geschützt. Insbesondere sind über bestehende Schnittstellen, z.B. drahtgebundene Schnittstellen des OBD-II-Ports (OBD = On-Board-Diagnose) oder sogar drahtlose Schnittstellen (WLAN, Bluetooth, UMTS, zukünftige Car-2-X-Schnittstellen, etc.), Manipulationen des Bus-internen Nachrichtenflusses möglich.The communication networks mentioned so far have only little, if any, protection against security-related data technology interventions or data access from the outside. In particular, existing interfaces, e.g. Wired interfaces of the OBD II port (OBD = on-board diagnostics) or even wireless interfaces (WLAN, Bluetooth, UMTS, future Car-2-X interfaces, etc.), manipulation of the internal bus message flow possible.

Hinzu kommt, dass in sämtlichen Bereichen insbesondere der Industrie- und Transporttechnik ein deutlicher Trend darin besteht, zugrunde liegende Datennetze und an diese Netze angeschlossene Steuergeräte oder dergleichen auch mit dem Internet zu vernetzen, um beispielsweise Fernwartungsarbeiten an den Steuergeräten zu ermöglichen bzw. zu vereinfachen oder den Benutzern eines Transportmittels die mediale Welt zu eröffnen.In addition, in all areas, in particular industrial and transport technology, there is a clear trend in networking underlying data networks and control units or the like connected to these networks with the Internet in order, for example, to facilitate or simplify remote maintenance work on the control units or to open the media world to users of a means of transport.

Heutige Konzepte zur Datensicherheit in solchen Kommunikationsnetzwerken beruhen jedoch ausschließlich auf der Datenintegrität der ausgetauschten Botschaften, welche durch die genannte Bildung von Checksummen oder die genannten Botschaftenzähler oder das bekannte Prinzip der Signalredundanz überprüft werden kann. Solche Sicherheitsmechanismen bieten zwar eine gewisse Sicherheit gegenüber Fehlfunktionen der zugrunde liegenden Hardware bzw. Elektronik, z.B. aufgrund von nicht ausreichender elektromagnetischer Verträglichkeit (EMV), von defekten CAN-Bauteilen, von Speicherfehlern, oder dergleichen. Jedoch bieten diese bekannten Sicherheitskonzepte keine Maßnahmen, um absichtlich durch Angreifer („Hacker“) verfälschte Botschaften zu entdecken bzw. zu erkennen und/oder gegebenenfalls deren Auswirkungen zu unterdrücken oder diese sogar zu verhindern.However, today's concepts for data security in such communication networks are based exclusively on the data integrity of the exchanged messages, which can be checked by the mentioned formation of checksums or the mentioned message counter or the known principle of signal redundancy. While such security mechanisms provide some assurance against malfunctions of the underlying hardware or electronics, e.g. due to insufficient electromagnetic compatibility (EMC), defective CAN components, memory errors, or the like. However, these known security concepts do not provide any measures to intentionally detect or recognize messages that have been attacked ("hackers") and / or possibly to suppress their effects or even to prevent them.

Gelingt es einem Angreifer, über eine oder mehrere der genannten Schnittstellen Zugriff auf das interne Kommunikationsnetz eines Kraftfahrzeugs zu erlangen, kann er gefälschte Nachrichten einschleusen oder bereits bestehende Nachrichten verfälschen. Sollten dem Angreifer die genannten Absicherungsmaßnahmen sogar bekannt sein, kann er die Nachrichten so manipulieren, dass diese Maßnahmen eine bereits erfolgte Verfälschung nicht erkennen können.If an attacker succeeds in gaining access to the internal communication network of a motor vehicle via one or more of the interfaces mentioned, he can introduce fake messages or falsify existing messages. If the attacker is even aware of the above-mentioned safeguards, he can manipulate the messages in such a way that these measures can not detect a falsification that has already occurred.

Wenn eine solche Manipulation nicht erkannt wird oder auf eine erkannte Manipulation nicht angemessen reagiert wird, kann dies zur Gefährdung von Personen führen, insbesondere wenn eines oder mehrere der oben genannten Fahrsicherheitssysteme, wie z.B. das eingangs genannte ESP, betroffen ist bzw. sind. So kann der Angreifer auf eine fahrdynamisch kritische Situation zuwarten, z.B. eine Kurvenfahrt, eventuell noch auf nassem Untergrund, in der eine fehlerhafte Momentenanforderung des ESP an das Motorsteuergerät zu einem Verlust der Querstabilität und damit zu einem Verlust der Kontrolle über das Fahrzeug führt, und in diesem Moment den genannten Eingriff (fehlerhafte Momentenanforderung) anfordern. Das ESP würde diesen Eingriff nicht anfordern, sobald es die fahrdynamisch kritische Situation erkannt hat.If such a manipulation is not recognized or is not adequately responded to a detected manipulation, this can lead to endangerment of persons, especially if one or more of the above driving safety systems, such as the aforementioned ESP, is or are affected. So the attacker can go to a to wait for a critical dynamic situation, eg cornering, possibly even on wet ground, where a faulty moment request of the ESP to the engine control unit leads to a loss of lateral stability and thus to loss of control of the vehicle, and at that moment the intervention ( erroneous torque request). The ESP would not request this intervention as soon as it has recognized the driving dynamics critical situation.

Ein anderes Beispiel ist ein Elektrofahrzeug mit radindividuellem Antrieb, bei dem ein Angreifer sich selbst als Fahrzeugführungsrechner ausgibt und unterschiedliche Momentenanforderungen an z.B. das vordere linke und vordere rechte Rad sendet, so dass die daraus resultierende Momentendifferenz an den Vorderrädern zu einem hohen Giermoment und damit ebenfalls zu einem Verlust der Querstabilität des Fahrzeugs führt.Another example is an electric vehicle with wheel-individual drive in which an attacker pretends to be himself as a vehicle management computer and different torque requests to e.g. the front left and front right wheel sends, so that the resulting moment difference on the front wheels leads to a high yaw moment and thus also to a loss of lateral stability of the vehicle.

Ein weiteres Beispiel ist ein Hybrid- oder Elektrofahrzeug, in dem Nachrichten vom ESP oder von einer Hochvolt-(HV-)-Batterie blockiert werden, so dass keine Bremsenergie-Rückgewinnung (d.h. „Rekuperation“) mehr erfolgen kann, weil die Batterie entweder bereits vollständig geladen sein soll oder weil sich das Fahrzeug derzeit in einer fahrdynamisch kritischen Situation befinden soll.Another example is a hybrid or electric vehicle in which messages from the ESP or from a high voltage (HV) battery are blocked so that brake energy recovery (ie, "recuperation") can no longer occur because the battery is either already should be fully charged or because the vehicle is currently in a dynamic driving situation.

Ein noch weiteres Beispiel ist ein Airbag-Steuergerät, bei dem ein durch einen Angreifer simuliertes Crash-Signal in einem Hybrid- oder Elektrofahrzeug zu einem Öffnen der Schütze der genannten HV-Batterie führen würde. Der Wegfall der HV-Spannung kann wiederum zu einem Momentensprung führen, z.B. durch Verlust an Vortrieb durch den E-Motor oder durch Abbruch der genannten Rekuperation. Dies kann bei entsprechendem Zuwarten des Angreifers auf eine kritische Fahrsituation dann zu einem Verlust der Fahrstabilität des Fahrzeugs führen.Yet another example is an airbag control apparatus in which an attacker simulated crash signal in a hybrid or electric vehicle would result in opening of the contactors of said HV battery. The elimination of the HV voltage can in turn lead to a torque jump, e.g. by loss of propulsion through the electric motor or by cancellation of said recuperation. This can then lead to a loss of driving stability of the vehicle with appropriate attention of the attacker to a critical driving situation.

Der Erfindung liegt der Gedanke zugrunde, ein ein hier betroffenes Kommunikationsnetzwerk aufweisendes Kraftfahrzeug oder dergleichen nach dem Erkennen einer sicherheitsrelevanten Verletzung der Datenintegrität bzw. einer Datenmanipulation in einen sicheren Betriebszustand überzuführen.The invention is based on the idea to convert a motor vehicle or the like having a communication network affected here into a safe operating state after detecting a security-relevant violation of the data integrity or a data manipulation.

Die Erfindung schlägt insbesondere vor, dass zumindest jedes mit dem Kommunikationsnetzwerk datentechnisch verbundene Steuergerät, welches vorgenannte sicherheitsbezogene Daten bzw. Nachrichten von außen bzw. von anderen Steuergeräten erhält, die jeweils empfangenen Daten im Hinblick auf mögliche Datenmanipulationen oder sicherheitsrelevante Verletzungen der Datenintegrität eigenständig überprüft.The invention proposes, in particular, that at least each control unit connected to the communication network by data transmission, which obtains the aforementioned security-related data or messages from outside or from other control units, autonomously checks the respectively received data with regard to possible data manipulations or security-relevant violations of the data integrity.

Alternativ kann vorgesehen sein, dass ein betrachtetes Steuergerät über eine solche Datenmanipulation von außen informiert wird, z.B. von einer ebenfalls mit dem Datenbus verbundenen Überwachungseinrichtung oder von einem anderen Steuergerät.Alternatively, it may be provided that a viewed control device is informed of such data manipulation from the outside, e.g. from a likewise connected to the data bus monitoring device or from another control device.

Bei Erkennen einer solchen Manipulation empfangener Daten bzw. Nachrichten wechselt das die Manipulation erkennende Steuergerät selbstständig bzw. selbsttätig in einen sogenannten Notlaufmodus über. Dieser Notlaufmodus zeichnet sich insbesondere dadurch aus, dass das betreffende Steuergerät, zumindest hinsichtlich seiner funktionalen Sicherheit, unabhängig von weiteren externen Daten bzw. Nachrichten betrieben werden kann. Durch diese Maßnahme ist sowohl die Betriebssicherheit als auch der ggf. eingeschränkte Weiterbetrieb z.B. eines zugrundeliegenden Kraftfahrzeugs gewährleistet.Upon detection of such manipulation of received data or messages, the control unit recognizing the manipulation automatically or automatically changes over to a so-called emergency mode. This emergency mode is characterized in particular by the fact that the relevant control unit, at least in terms of its functional safety, can be operated independently of other external data or messages. By this measure, both the reliability and the possibly limited continued operation, e.g. of an underlying motor vehicle.

Das erfindungsgemäß vorgeschlagene Verfahren und die Vorrichtung ermöglichen eine einfache und gleichzeitig sehr wirksame Absicherung eines Kommunikationsnetzwerks z.B. eines Kraftfahrzeugs gegen jede Art datentechnischer Manipulation.The method and the device proposed according to the invention enable simple and at the same time very effective protection of a communication network, e.g. of a motor vehicle against any kind of data manipulation.

Bei der genannten Erkennung einer Datenmanipulation können eingehende Daten mit früher bereits eingegangenen Daten, insbesondere solche von demselben Sender der eingehenden Daten bereits erhaltene Daten, verglichen werden. Durch einen solchen Vergleich lassen sich Datenmanipulationen mit relativ geringem technischen Aufwand jedoch gleichzeitig sehr wirkungsvoll erkennen. Um diese bereits erhaltenen Daten einem bestimmten Steuergerät sicher und ebenfalls mit möglichst geringem technischen Aufwand zuordnen zu können, kann aus den eingehenden Daten ein Identifizierungscode des die Daten sendenden Steuergeräts ermittelt werden und der genannte Vergleich mit von dem durch den Identifizierungscode identifizierten Steuergerät früher eingegangenen Daten durchgeführt werden.In the case of the above-mentioned detection of data manipulation, incoming data can be compared with data already received earlier, in particular data already received by the same sender of the incoming data. By such a comparison, however, data manipulation with relatively little technical effort can be recognized very effectively at the same time. In order to be able to assign this already obtained data to a specific control device safely and likewise with the least possible technical outlay, an identification code of the control unit sending the data can be determined from the incoming data, and said comparison is made with data received earlier from the control unit identified by the identification code become.

Der genannte Vergleich kann auf der Grundlage von im Datenformat des Kommunikationsprotokolls des Kommunikationsnetzwerks festgelegten fixen Datenstrukturen erfolgen, da diese Datenstrukturen von den eigentlichen Nutzdaten, welche stark veränderlich sind, im Wesentlichen unabhängig sind. Bei diesen Datenstrukturen handelt es sich bevorzugt um einen Datenframe Header oder wenigstens ein Steuerbit oder in Arbitrierungsfeldern und/oder Kontrollfeldern enthaltene Daten.Said comparison can be made on the basis of fixed in the data format of the communication protocol of the communication network fixed data structures, as these data structures of the actual payload, which are highly variable, are essentially independent. These data structures are preferably a data frame header or at least one control bit or data contained in arbitration fields and / or check fields.

Die Erkennung einer möglichen Datenmanipulation kann auch anhand einer heuristischen oder “Hash“-basierten Erkennungsmethode erfolgen, wodurch sich die Erkennungszeit einer Datenmanipulation minimieren lässt.The detection of a possible data manipulation can also be done using a heuristic or "hash" -based detection method, which minimizes the detection time of a data manipulation.

Um die Erkennungsgüte weiter zu verbessern, können auch statistische Informationen einbezogen werden, wie die Häufigkeit der von einem bestimmten Steuergerät eingehenden Daten. Denn bei einer Datenmanipulation wird sich diese Häufigkeit ebenfalls verändern, bevorzugt erhöhen, da die Manipulation in der Regel mit einem sprunghaft ansteigenden Datenverkehr einhergeht. To further improve recognition quality, statistical information may also be included, such as the frequency of incoming data from a particular controller. For in a data manipulation, this frequency will also change, preferably increase, since the manipulation is usually accompanied by a skyrocketing data traffic.

In dem Fall, dass das Kommunikationsnetzwerk wenigstens zwei mögliche (d.h. „redundante“) Kommunikationspfade bereitstellt, über welche die Steuergeräte kommunizieren, kann die Erkennung einer möglichen Datenmanipulation anhand einer Plausibilisierung der über die redundanten Pfade erhaltenen Daten erfolgen. Dadurch lässt sich die Erkennungsgüte weiter verbessern.In the event that the communication network provides at least two possible (i.e., "redundant") communication paths over which the controllers communicate, the detection of possible data manipulation may be based on a plausibility check of the data received over the redundant paths. As a result, the recognition quality can be further improved.

Um im Falle einer erfolgten Datenmanipulation die Betriebssicherheit des zugrundeliegenden Kraftfahrzeugs oder dergleichen weiter zu erhöhen, kann ein in den von der Datenmanipulation nicht betroffenen Betriebsmodus wechselndes Steuergerät wenigstens das die eingehenden Daten sendende Steuergerät über die erkannte Datenmanipulation informieren, damit auch dieses in den genannten Betriebsmodus wechseln kann. Entsprechend können auch andere Steuergeräte informiert werden.In order to further increase the operational safety of the underlying motor vehicle or the like in the event of a data manipulation, a control unit not changing the operating mode that is not affected by the data manipulation can inform at least the control unit transmitting the incoming data of the detected data manipulation, so that the latter also change into the mentioned operating mode can. Accordingly, other control devices can be informed.

In dem genannten, von der Datenmanipulation nicht betroffenen Betriebsmodus, kann vorgesehen sein, dass ein in diesem Betriebsmodus befindliches Steuergerät unabhängig von weiteren externen Daten bzw. Nachrichten betrieben wird. Durch diese Maßnahme kann erreicht werden, dass ein betroffenes Steuergerät zumindest einen Teil der für den sicheren Weiterbetrieb des Kraftfahrzeugs oder dergleichen erforderlichen Funktionen ausführen kann. Alternativ kann ein in dem genannten Betriebsmodus befindliches Steuergerät die von dem sendenden Steuergerät eingehenden Daten herausfiltern oder gar nicht weiter verarbeiten, so dass die Kommunikation mit anderen Steuergeräten weiterhin gewährleistet ist. Dabei kann auch vorgesehen sein, dass ein in diesem Betriebsmodus befindliches Steuergerät eingehende Daten durch vorgegebene Werte oder Standardwerte ersetzt, wodurch zumindest Grundfunktionen oder dergleichen weiterbetrieben werden können.In the said operating mode, which is not affected by the data manipulation, it can be provided that a control unit located in this operating mode is operated independently of further external data or messages. By means of this measure, it can be achieved that an affected control unit can execute at least part of the functions required for the safe continued operation of the motor vehicle or the like. Alternatively, a control unit located in the mentioned operating mode can filter out the incoming data from the transmitting control unit or can not process it further, so that the communication with other control units is still ensured. It can also be provided that a control unit located in this operating mode replaces incoming data with predetermined values or default values, as a result of which at least basic functions or the like can continue to be operated.

Der genannte Wechsel eines Steuergeräts in einen von der Datenmanipulation nicht betroffenen Betriebsmodus kann mittels einer Zustandsmaschine oder mittels einer Flagge oder eines Statusbits realisiert werden, wodurch eine weitere Vereinfachung der technischen Realisierung bei gleichzeitig hoher Betriebssicherheit ermöglicht wird.The mentioned change of a control device into an operating mode not affected by the data manipulation can be realized by means of a state machine or by means of a flag or a status bit, whereby a further simplification of the technical realization is made possible with high reliability.

Die Erfindung betrifft auch eine Vorrichtung zum Betrieb eines genannten Kommunikationsnetzwerks, bei der wenigstens ein Sicherheitselement zur Ausführung der genannten Prozessschritte angeordnet ist. Ein solches Sicherheitselement ermöglicht eine kostengünstige Implementierung des erfindungsgemäßen Verfahrens an einem bestehenden Kraftfahrzeug oder dergleichen.The invention also relates to a device for operating a said communication network, in which at least one security element is arranged for carrying out said process steps. Such a security element allows a cost-effective implementation of the method according to the invention on an existing motor vehicle or the like.

Die Erfindung betrifft ferner ein Computerprogramm sowie ein Computerprogrammprodukt, mittels derer das erfindungsgemäße Verfahren auf einem Rechengerät oder einem genannten Sicherheitselement kostengünstig implementiert werden kann.The invention further relates to a computer program and a computer program product by means of which the method according to the invention can be implemented cost-effectively on a computing device or a named security element.

Es ist anzumerken, dass die genannten Funktionen zur Erkennung einer Datenmanipulation und zur Auslösung des sicheren Betriebszustandes eines genannten Steuergeräts gemäß dem höchsten Anforderungen des eingangs genannten ASIL der von der Deaktivierung betroffenen Steuergeräte zu genügen haben. Die Auswertung des genannten Abschaltsignals in den Steuergeräten muss daher gemäß dem höchsten damit verbundenen ASIL erfolgen, bevorzugt in dessen Sicherheitssoftware. Diese Sicherheitssoftware wird bevorzugt als funktionale Ergänzung der zweiten Ebene des an sich bekannten, auf dem OSI-Modell beruhenden (reduzierten) 3-Ebenen-Konzept des CAN-Bus realisiert.It should be noted that the above-mentioned functions for detecting a data manipulation and for triggering the safe operating state of a named control device according to the highest requirements of the aforementioned ASIL have to comply with the control devices affected by the deactivation. The evaluation of said shutdown signal in the control units must therefore take place in accordance with the highest associated ASIL, preferably in its security software. This security software is preferably implemented as a functional supplement to the second level of the known (reduced) 3-level concept of the CAN bus based on the OSI model.

Die Erfindung kann insbesondere in Kraftfahrzeugen oder anderen Transportmitteln wie Nutzfahrzeugen, Flugzeugen, Schiffen oder Schienenfahrzeugen oder aber auch bei der Steuerung von Industrieanlagen, bevorzugt im Bereich dortiger Automatisierungstechnik, mit den hierin beschriebenen Vorteilen zur Anwendung kommen.The invention can be used in particular in motor vehicles or other means of transport such as commercial vehicles, aircraft, ships or rail vehicles or even in the control of industrial plants, preferably in the field of local automation technology, with the advantages described herein.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.

Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweiligen angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen. It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.

Kurze Beschreibung der ZeichnungenBrief description of the drawings

1 zeigt ein Kommunikationsnetzwerk eines Kraftfahrzeugs mit damit gekoppelten erfindungsgemäß eingerichteten Steuergeräten. 1 shows a communication network of a motor vehicle with coupled thereto inventively established control devices.

2 zeigt ein bevorzugtes Ausführungsbeispiel des erfindungsgemäßen Verfahrens anhand eines Ablaufdiagramms. 2 shows a preferred embodiment of the method according to the invention with reference to a flow chart.

3 zeigt ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens auf der Grundlage einer Zustandsmaschine. 3 shows an embodiment of the inventive method based on a state machine.

Beschreibung von Ausführungsbeispielen Description of exemplary embodiments

1 zeigt einen durch gepunktete Linien angedeuteten Ausschnitt eines CAN-Bus‘ 100 eines Kraftfahrzeugs. Der CAN-Bus stellt nur ein Beispiel eines hier umfassten Kommunikationsnetzwerks dar, denn die vorliegende Erfindung kann auch bei in anderen Transportmitteln oder Industrieanlagen eingesetzten Bussystemen eingesetzt werden. 1 shows a section of a CAN bus indicated by dotted lines 100 of a motor vehicle. The CAN bus is only one example of a communication network included here, because the present invention can also be used in bus systems used in other means of transport or industrial installations.

Mit dem CAN-Bus sind vorliegend vier Steuergeräte 105, 110, 115, 120 datenbzw. kommunikationstechnisch gekoppelt. Die Kommunikation zwischen den Steuergeräten 105120 über den CAN-Bus erfolgt anhand des an sich bekannten CAN-Übertragungsprotokolls, auf welches vorliegend nicht näher eingegangen wird, da es auf die Einzelheiten des Protokolls im Zusammenhang mit der Erfindung nicht ankommt.In the present case there are four control units with the CAN bus 105 . 110 . 115 . 120 datenbzw. coupled with communication technology. The communication between the control units 105 - 120 via the CAN bus is carried out on the basis of the known CAN transmission protocol, which will not be discussed here in detail, since it does not depend on the details of the protocol in connection with the invention.

Jedes der gezeigten Steuergeräte 105120 ist für das Versenden und den Empfang von für den Betrieb des Kraftfahrzeugs sicherheitsrelevanten Daten vorgesehen und weist jeweils ein durch Blöcke 125, 130, 135, 140 schematisch angedeutetes Sicherheitselement/ bzw. -modul oder eine entsprechende Sicherheitssoftware auf. Jedes dieser Sicherheitselemente ist vorgesehen, um das erfindungsgemäße Verfahren, bevorzugt wie in 2 angegeben, auszuführen.Each of the control units shown 105 - 120 is intended for sending and receiving safety-related data for the operation of the motor vehicle and has one each by blocks 125 . 130 . 135 . 140 schematically indicated security element / or module or a corresponding security software on. Each of these security elements is provided to the inventive method, preferably as in 2 specified to execute.

Es versteht sich, dass anstelle des genannten Sicherheitselementes auch ein vorgefertigtes Sicherheitsmodul, z.B. ein an sich bekannter TPM(Trusted Platform Module)-Chip, verwendet werden kann, wobei dann der TPM-Chip die gemäß der Erfindung notwendigen Sicherheitsfunktionen ausführt. Bei Verwendung eines TPM-Chips ist allerdings ein zusätzliches Modul erforderlich, welches geeignet ist, den nachfolgend beschriebenen Notlaufmodus zu aktivieren.It is understood that instead of the said security element also a prefabricated security module, e.g. a per se known TPM (Trusted Platform Module) chip can be used, in which case the TPM chip carries out the security functions required according to the invention. When using a TPM chip, however, an additional module is required, which is suitable to activate the emergency mode described below.

Die nachfolgend beschriebene Erkennung einer möglichen Manipulation empfangener Daten bzw. Nachrichten wird vom jeweiligen Steuergerät selbst durchgeführt. Nach dem Start 200 der in 2 gezeigten Routine wird in einer Programmschleife zunächst geprüft 205, ob das vorliegende Steuergerät Daten empfangen hat. Wurden Daten empfangen, wird in Schritt 210 aus den empfangenen Daten ein das jeweilige die Daten sendende Steuergerät identifizierender Identifizierungscode (ID-Code) extrahiert und von dem identifizierten Steuergerät bereits früher eingegangene Daten aus einem Speicher abgerufen.The detection of a possible manipulation of received data or messages as described below is carried out by the respective control device itself. After the start 200 the in 2 shown routine is first tested in a program loop 205 whether the present controller has received data. Were data received, in step 210 from the received data, an identification code (ID code) identifying the respective control unit sending the data is extracted, and data already received from the identified control unit is retrieved from a memory.

Gemäß dem vorliegenden Ausführungsbeispiel werden im nachfolgenden Schritt 215 die aktuell eingegangenen Daten mit den abgerufenen bereits früher empfangenen Daten verglichen, um durch den Vergleich eine mögliche Datenmanipulation zu erkennen. Es ist hervorzuheben, dass dieser Ansatz für die Erkennung einer möglichen Datenmanipulation nur beispielhaft ist und die vorliegende Erfindung auch andere Herangehensweisen, wie z.B. heuristische oder “Hash“-basierte Erkennungsmethoden, umfassen kann.According to the present embodiment, in the subsequent step 215 the currently received data is compared with the retrieved previously received data to detect possible data manipulation by the comparison. It should be emphasized that this approach to potential data manipulation detection is merely exemplary, and the present invention may include other approaches such as heuristic or hash based detection methods.

Bei dem im vorliegenden Ausführungsbeispiel durchgeführten Vergleich können im Datenformat des CAN-Bus-Protokolls festgelegte Datenstrukturen, z.B. der sogenannte “Data frame header“, zu allererst auf eine mögliche Datenmanipulation hin geprüft werden. Zusätzlich können dabei selbstverständlich auch andere Elemente der CAN-Datenstruktur wie z.B. Steuerbits der genannten Datenframes, oder die in der CAN-Datenstruktur vorgesehenen “Arbitrierungsfelder“ und/oder “Kontrollfelder“ bei der Erkennung einbezogen werden. Die in den Datenframes enthaltenen Datenfelder werden jedoch wegen ihrer Veränderlichkeit bevorzugt bei der Erkennung nicht mit einbezogen.In the comparison made in the present embodiment, data structures fixed in the data format of the CAN bus protocol, e.g. the so-called "data frame header", first of all to be checked for possible data manipulation. In addition, of course, other elements of the CAN data structure such as e.g. Control bits of said data frames, or the provided in the CAN data structure "arbitration fields" and / or "control fields" are included in the detection. However, due to their variability, the data fields contained in the data frames are preferably not included in the recognition.

Die in den Steuergeräten 105120 jeweils eingerichtete Überwachungsfunktion zur Erkennung einer möglichen Datenmanipulation kann gemäß einem weiteren Ausführungsbeispiel die Häufigkeit bevorzugt von einem bestimmten, durch den genannten ID-Code identifizierten Steuergerät (d.h. Punkt-zu-Punkt) empfangene Daten bzw. Nachrichten dahingehend überprüfen, ob zusätzliche Nachrichten seitens eines möglichen Angreifers die Anzahl eingehender Nachrichten erhöht hat. Diese Erkennungsmethode bietet sich insbesondere bei zyklisch übertragenen Nachrichten an.The in the control units 105 - 120 each set up monitoring function for detecting a possible data manipulation, according to a further embodiment, the frequency preferably from a particular, identified by said ID code controller (ie point-to-point) received data or messages to see whether additional messages from a possible Attacker has increased the number of incoming messages. This recognition method is particularly suitable for cyclically transmitted messages.

Bei Vorliegen einer komplexeren Netzwerkstrukur des zugrundeliegenden Kommunikationsnetzwerks, welche wenigstens zwei mögliche Kommunikationspfade bereitstellt, über die jedes der in 1 gezeigten Steuergeräte 105120 Daten bzw. Nachrichten versenden und empfangen kann, können gemäß einem weiteren Ausführungsbeispiel die jeweiligen Inhalte der empfangenen Daten bzw. Nachrichten durch Vergleich mit über redundante Pfade erhaltenen entsprechenden Daten bzw. Nachrichten z.B. plausibilisiert werden.In the presence of a more complex network structure of the underlying communication network which provides at least two possible communication paths over which each of the in 1 shown control units 105 - 120 In accordance with a further exemplary embodiment, the respective contents of the received data or messages can be made plausible by comparison with corresponding data or messages received via redundant paths, for example.

Wird bei dem beschriebenen Vergleich in Schritt 215 keine Datenmanipulation festgestellt, wird wieder an den Anfang der Routine zurückgesprungen und erneut auf das Empfangen eingehender Daten bzw. Nachrichten zugewartet.Will in the described comparison in step 215 If no data manipulation has been detected, the system returns to the beginning of the routine and waits for the receipt of incoming data or messages again.

Im Falle der Erkennung einer Datenmanipulation an den aktuell empfangenen Daten bzw. Nachrichten schaltet 220 zumindest das die Daten empfangende Steuergerät selbsttätig in einen durch die gestrichelte Linie 225 angedeuteten Notlaufmodus um.In the case of detecting a data manipulation on the currently received data or messages switches 220 at least the controller receiving the data automatically into a dashed line 225 indicated runflat mode.

Es ist hervorzuheben, dass in diesem Fall das empfangende Steuergerät auch das die Daten bzw. Nachrichten aussendende und wie beschrieben identifizierbare Steuergerät benachrichtigen kann, damit auch das sendende Steuergerät in den Notlaufmodus umschalten kann, da dieses mit großer Wahrscheinlichkeit ebenfalls durch die manipulierten Daten bereits kompromittiert sein wird, so dass die Betriebssicherheit auch des sendenden Steuergeräts nicht mehr gewährleistet ist.It should be emphasized that in this case the receiving control unit can also notify the control unit which sends out the data or messages and can be identified as described so that the sending control unit can also switch to emergency mode, since this is also likely to be compromised by the manipulated data will be, so that the reliability of the transmitting controller is no longer guaranteed.

In dem Notlaufmodus 225 werden alle empfangenen Eingangsdaten oder -parameter, welche im Normalbetrieb über das (nun unsichere) Daten- bzw. Kommunikationsnetzwerk empfangen werden, aus dem Datenstrom herausgefiltert 230. Alternativ können diese unsicheren Daten völlig ignoriert oder nicht weiterverarbeitet werden, was z.B. durch entsprechende Umschaltung des jeweiligen Steuergeräts in einen gesonderten Betriebsmodus realisiert werden kann.In the emergency mode 225 All received input data or parameters, which are received in normal operation via the (now insecure) data or communication network, are filtered out of the data stream 230 , Alternatively, these unsafe data can be completely ignored or not further processed, which can be realized for example by appropriate switching of the respective control device in a separate operating mode.

Alternativ oder zusätzlich werden alle eingehenden Daten oder Parameter, wenigstens für den Betrieb des Kraftfahrzeugs sicherheitsrelevante Eingangsparameter wie im Falle eines Kraftfahrzeugs z.B. die aktuelle Querbeschleunigung oder der aktuelle Gierwinkel, durch vorgegebene Werte oder Standardwerte ersetzt 235, bei denen keine Sicherheitsgefährdung zu erwarten ist, einschließlich solcher durch Zusammenspiel mit anderen Steuergeräten hervorgerufenen Gefährdungen.Alternatively or additionally, all incoming data or parameters, at least for the operation of the motor vehicle safety-related input parameters as in the case of a motor vehicle, for example, the current lateral acceleration or the current yaw angle, replaced by predetermined values or default values 235 in which no safety hazard is to be expected, including hazards resulting from interaction with other control devices.

Bei bestehendem Notlaufmodus wird in Schritt 240 in einer Programmschleife geprüft, ob der Notlaufmodus z.B. durch äussere Einwirkung z.B. seitens des Fahrzeugführers oder seitens eines Servicetechnikers beendet wird. Ist dies der Fall, wird die Routine beendet 245 oder an den Anfang der Routine (vor Schritt 205) zurückgesprungen. Alternativ zur genannten Beendigung des Notlaufmodus‘ durch äussere Einwirkung kann dieser auch durch das Abstellen des Kraftfahrzeugs beendet werden, sofern der CAN-Bus beim Neustart des Kraftfahrzeugs initialisiert wird, wodurch die genannte Datenmanipulation gelöscht wird.In existing emergency mode, in step 240 Checked in a program loop, whether the emergency mode is terminated, for example by external action, for example by the driver or by a service technician. If this is the case, the routine is ended 245 or to the beginning of the routine (before step 205 ) jumped back. As an alternative to the aforementioned termination of the emergency mode by external action, this can also be terminated by the parking of the motor vehicle, provided that the CAN bus is initialized when restarting the motor vehicle, whereby said data manipulation is deleted.

Die beschriebene Umschaltung in den Notlaufmodus sowie die Beendigung des Notlaufmodus erfolgen gemäß einem weiteren Ausführungsbeispiel mittels einer in 3 gezeigten Zustandsmaschine. Die Zustandsmaschine befindet sich standardmäßig im Normalbetrieb 300 und wird bei erkannter Datenmanipulation 305 in den Notlaufmodus 310 übergeführt. Bei einem wie beschrieben erfolgenden Eingriff von aussen 315 wird die Zustandsmaschine wieder in den Normalbetrieb 300 über.The described switching to the emergency mode and the termination of the emergency mode are carried out according to a further embodiment by means of a in 3 shown state machine. By default, the state machine is in normal operation 300 and will be detected upon data manipulation 305 in the emergency mode 310 converted. In the case of a procedure from outside as described 315 the state machine returns to normal operation 300 above.

Alternativ zur beschriebenen Zustandsmaschine kann die Aktivierung bzw. Deaktivierung des Notlaufmodus auch über das Setzen eines speziellen Status- oder Steuerbits oder einer Flagge im Steuergerät, z.B. mittels eines „Prohibit“-Bits, erfolgen.As an alternative to the described state machine, the activation or deactivation of the emergency mode can also be achieved by setting a special status or control bit or a flag in the control unit, e.g. by means of a "prohibit" bit.

Die technische Realisierung der erforderlichen Steuergeräte-internen Sicherheitsmechanismen, welche die beschriebene Überwachung auf mögliche Datenmanipulation oder fehlende Datenintegrität sowie die Überführung des betroffenen Steuergeräts in den Notlaufmodus durchführen, erfolgt bevorzugt durch eine auf dem Steuergerät implementierte Sicherheitssoftware, welche z.B. durch funktionale Ergänzungen der Ebene 2 des beim CAN-Bus im OSI-Modell relevanten 3-Ebenen-Konzepts mit dem für das System maximal erforderlichen ASIL realisiert werden kann.The technical realization of the required internal safety control mechanisms which carry out the described monitoring for possible data manipulation or lack of data integrity as well as the transfer of the affected control device into the emergency mode is preferably carried out by a security software implemented on the control device, which e.g. can be implemented by functional additions of level 2 of the 3-level concept relevant to the CAN bus in the OSI model with the maximum required ASIL for the system.

Claims (15)

Verfahren zum Betrieb eines Kommunikationsnetzwerks (100) insbesondere eines Kraftfahrzeugs, wobei wenigstens zwei Steuergeräte (105120) über das Kommunikationsnetz (100) datentechnisch miteinander verbunden sind, dadurch gekennzeichnet, dass die wenigstens zwei Steuergeräte (105120) über das Kommunikationsnetzwerk (100) eingehende Daten auf mögliche Datenmanipulation hin prüfen und ein eine Datenmanipulation erkennendes Steuergerät (105120) in einen von der Datenmanipulation nicht betroffenen Betriebsmodus wechselt.Method for operating a communications network ( 100 ) in particular of a motor vehicle, wherein at least two control devices ( 105 - 120 ) via the communications network ( 100 ) are interconnected by data, characterized in that the at least two control devices ( 105 - 120 ) via the communication network ( 100 ) check incoming data for possible data manipulation and a data manipulation recognizing controller ( 105 - 120 ) changes to an operating mode unaffected by the data manipulation. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass bei der Prüfung auf mögliche Datenmanipulation die eingehenden Daten mit früher eingegangenen Daten verglichen werden (215).A method according to claim 1, characterized in that when checking for possible data manipulation, the incoming data is compared with previously received data ( 215 ). Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass aus den eingehenden Daten ein Identifizierungscode des die Daten sendenden Steuergeräts ermittelt wird und der genannte Vergleich (215) mit von dem durch den Identifizierungscode identifizierten Steuergerät früher eingegangenen Daten durchgeführt wird.Method according to claim 2, characterized in that an identification code of the control unit transmitting the data is determined from the incoming data and said comparison ( 215 ) with data previously received from the control unit identified by the identification code. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass bei dem Vergleich (215) in dem Datenformat des Kommunikationsprotokolls des Kommunikationsnetzwerks festgelegte fixe Datenstrukturen, bevorzugt ein Datenframe Header oder wenigstens ein Steuerbit oder in Arbitrierungsfeldern und/oder Kontrollfeldern enthaltene Daten berücksichtigt werden.Method according to claim 2 or 3, characterized in that in the comparison ( 215 ) fixed data structures, preferably a data frame header or at least one control bit or data contained in arbitration fields and / or control fields, are taken into account in the data format of the communication protocol of the communication network. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Prüfung (215) auf mögliche Datenmanipulation anhand einer heuristischen oder “Hash“-basierten Erkennungsmethode erfolgt. A method according to claim 1, characterized in that the test ( 215 ) for possible data manipulation using a heuristic or "hash" -based recognition method. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Prüfung (215) auf mögliche Datenmanipulation anhand der Häufigkeit der von einem bestimmten Steuergerät eingehenden Daten erfolgt.Method according to claim 1, characterized in that the test ( 215 ) on possible Data manipulation is based on the frequency of incoming data from a particular controller. Verfahren nach Anspruch 1 bei einem wenigstens zwei redundante Kommunikationspfade aufweisenden Kommunikationsnetzwerks (100), wobei die Steuergeräte (105120) über die wenigstens zwei Kommunikationspfade kommunizieren, dadurch gekennzeichnet, dass die Prüfung (215) auf mögliche Datenmanipulation anhand einer Plausibilisierung von über die wenigstens zwei redundanten Kommunikationspfade erhaltenen Daten erfolgt.Method according to Claim 1 in a communication network having at least two redundant communication paths ( 100 ), whereby the control devices ( 105 - 120 ) communicate via the at least two communication paths, characterized in that the check ( 215 ) for possible data manipulation based on a plausibility check of data obtained via the at least two redundant communication paths. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das in dem von der Datenmanipulation nicht betroffenenen Betriebsmodus gewechselte Steuergerät wenigstens das die eingehenden Daten sendende Steuergerät über die erkannte Datenmanipulation informiert.Method according to one of the preceding claims, characterized in that the control unit changed over in the operating mode not affected by the data manipulation at least informs the control unit transmitting the incoming data of the detected data manipulation. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein in dem von der Datenmanipulation nicht betroffenenen Betriebsmodus befindliches Steuergerät unabhängig von weiteren externen Daten bzw. Nachrichten betrieben wird.Method according to one of the preceding claims, characterized in that a in the unaffected by the data manipulation operating mode control unit is operated independently of other external data or messages. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein in dem von der Datenmanipulation nicht betroffenenen Betriebsmodus befindliches Steuergerät die von dem sendenden Steuergerät eingehenden Daten herausfiltert (230) oder nicht weiter verarbeitet.Method according to one of the preceding claims, characterized in that a control unit located in the operating mode not affected by the data manipulation filters out the data arriving from the transmitting control unit ( 230 ) or not processed further. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein in dem von der Datenmanipulation nicht betroffenenen Betriebsmodus befindliches Steuergerät eingehende Daten durch vorgegebene Werte oder Standardwerte ersetzt (235).Method according to one of the preceding claims, characterized in that a control unit located in the operating mode not affected by the data manipulation replaces incoming data with predetermined values or default values ( 235 ). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Wechsel (220) in einen von der Datenmanipulation nicht betroffenen Betriebsmodus mittels einer Zustandsmaschine (300315) oder mittels einer Flagge oder eines Statusbits erfolgt. Method according to one of the preceding claims, characterized in that the change ( 220 ) in an operating mode not affected by the data manipulation by means of a state machine ( 300 - 315 ) or by means of a flag or a status bit. Vorrichtung zum Betrieb eines Kommunikationsnetzwerks (100) insbesondere eines Kraftfahrzeugs, wobei wenigstens zwei Steuergeräte (105120) über das Kommunikationsnetz (100) datentechnisch miteinander verbunden sind, gekennzeichnet durch mindestens ein in den wenigstens zwei Steuergeräten (105120) angeordnetes Sicherheitselement (125140) zur Ausführung des Verfahrens nach einem der vorhergehenden Ansprüche.Device for operating a communications network ( 100 ) in particular of a motor vehicle, wherein at least two control devices ( 105 - 120 ) via the communications network ( 100 ) are connected to one another by data technology, characterized by at least one in the at least two control devices ( 105 - 120 ) arranged security element ( 125 - 140 ) for carrying out the method according to one of the preceding claims. Computerprogramm, das alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 12 ausführt, wenn es auf einem Rechengerät oder einem Sicherheitselement (125140) nach Anspruch 13 abläuft.A computer program executing all the steps of a method according to any one of claims 1 to 12 when mounted on a computing device or a security element ( 125 - 140 ) according to claim 13 expires. Computerprogrammprodukt mit Programmcode, der auf einem maschinenlesbaren Träger gespeichert ist, zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 12, wenn das Programm auf einem Computer oder einem Sicherheitselement (125140) nach Anspruch 13 ausgeführt wird.Computer program product with program code, which is stored on a machine-readable carrier, for carrying out the method according to one of claims 1 to 12, when the program is stored on a computer or a security element ( 125 - 140 ) is carried out according to claim 13.
DE201310200528 2013-01-16 2013-01-16 Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation Pending DE102013200528A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201310200528 DE102013200528A1 (en) 2013-01-16 2013-01-16 Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201310200528 DE102013200528A1 (en) 2013-01-16 2013-01-16 Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation

Publications (1)

Publication Number Publication Date
DE102013200528A1 true DE102013200528A1 (en) 2014-07-17

Family

ID=51015078

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201310200528 Pending DE102013200528A1 (en) 2013-01-16 2013-01-16 Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation

Country Status (1)

Country Link
DE (1) DE102013200528A1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016224193A1 (en) * 2016-12-06 2018-06-07 Robert Bosch Gmbh Method for monitoring a control device for a vehicle
WO2018146028A1 (en) 2017-02-10 2018-08-16 Audi Ag Method for detecting a manipulation on a respective data network of at least one motor vehicle, and server apparatus
DE102017128615A1 (en) * 2017-12-01 2019-06-06 Balluff Gmbh Device and method for detecting spoofers in a wireless IO-Link communication network
DE102021215003A1 (en) 2021-12-23 2023-06-29 Robert Bosch Gesellschaft mit beschränkter Haftung Method for operating a control unit arrangement, device, motor vehicle

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016224193A1 (en) * 2016-12-06 2018-06-07 Robert Bosch Gmbh Method for monitoring a control device for a vehicle
WO2018146028A1 (en) 2017-02-10 2018-08-16 Audi Ag Method for detecting a manipulation on a respective data network of at least one motor vehicle, and server apparatus
DE102017202176B4 (en) 2017-02-10 2023-11-30 Audi Ag Method for detecting manipulation of a respective data network of at least one motor vehicle and server device
DE102017128615A1 (en) * 2017-12-01 2019-06-06 Balluff Gmbh Device and method for detecting spoofers in a wireless IO-Link communication network
DE102021215003A1 (en) 2021-12-23 2023-06-29 Robert Bosch Gesellschaft mit beschränkter Haftung Method for operating a control unit arrangement, device, motor vehicle

Similar Documents

Publication Publication Date Title
DE102017209721B4 (en) Device for controlling a safety-relevant process, method for testing the functionality of the device, and motor vehicle with the device
DE102013200535A1 (en) Method for operating controller area network in motor car, involves transferring data or messages over communication paths of communication network, and checking data and/or messages based on plausibility check of possible data manipulation
EP3584140B1 (en) Vehicle and method and apparatus for controlling a safety-relevant process
EP2176106B1 (en) Brake system for a vehicle and method for operating a brake system for a vehicle
WO2014033172A1 (en) Method for carrying out a safety function of a vehicle and system for carrying out the method
EP3393865A1 (en) Monitoring and modifying motor vehicle functions in a motor vehicle
WO2020187985A1 (en) Method for monitoring communication on a communication bus, electronic apparatus for connection to a communication bus, and vehicle
EP3385934B1 (en) Device for controlling a safety-relevant process, method for testing the functionality of the device, and motor vehicle using the device
DE102019113818A1 (en) ELECTRONIC CONTROL DEVICE, MONITORING PROCEDURE, PROGRAM AND GATEWAY DEVICE
DE102018212879A1 (en) Control device and control method
DE102013200528A1 (en) Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation
WO2016134855A1 (en) Motor vehicle communication network with switch device
DE112019006487B4 (en) Electronic control unit, electronic control system and program
DE102018116676A1 (en) Vehicle network with implementation of XCP protocol policy and procedures
EP3871393B1 (en) Method for monitoring a data transmission system, data transmission system and motor vehicle
DE102013200525A1 (en) Method for operating communication network, particularly of motor vehicle, involves connecting two control devices with each other in data technical manner by communication network
DE102011002713A1 (en) Method for providing cryptographic credentials for electronic control unit (ECU) of vehicle e.g. electric car, has control unit that deactivates vehicle drive for deleting cryptographic credentials in vehicle safety management unit
DE102017209556A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102021208459B4 (en) Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle
DE102014219322B4 (en) Update of a vehicle control via Car2X
DE102013022498A1 (en) Method and device for operating a communication network, in particular of a motor vehicle
DE102009009887A1 (en) Method for operating e.g. car on roller type test stand, involves deactivating telecontrol operation of vehicle during manual engagement of vehicle functions, and/or determining whether vehicle is present outside roller type test stand
EP2067668A1 (en) Method and device to check plausibility of an evaluation of safety related signals for a vehicle
EP2013731B1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
DE102018208832A1 (en) A method for containing an attack on a controller

Legal Events

Date Code Title Description
R012 Request for examination validly filed