DE102013200528A1 - Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation - Google Patents
Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation Download PDFInfo
- Publication number
- DE102013200528A1 DE102013200528A1 DE201310200528 DE102013200528A DE102013200528A1 DE 102013200528 A1 DE102013200528 A1 DE 102013200528A1 DE 201310200528 DE201310200528 DE 201310200528 DE 102013200528 A DE102013200528 A DE 102013200528A DE 102013200528 A1 DE102013200528 A1 DE 102013200528A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- data manipulation
- control unit
- manipulation
- communication network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Small-Scale Networks (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
Abstract
Description
Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs gemäß den Oberbegriffen der jeweiligen unabhängigen Ansprüche. Weiterhin betrifft die Erfindung ein Computerprogramm, das alle Schritte des erfindungsgemäßen Verfahrens ausführt, wenn es auf einem Rechengerät oder einer Steuereinrichtung abläuft. Schließlich betrifft die vorliegende Erfindung ein Computerprogrammprodukt mit Programmcode, der auf einem maschinenlesbaren Träger gespeichert ist, zur Durchführung des erfindungsgemäßen Verfahrens, wenn das Programm auf einem Rechengerät oder einer Steuereinrichtung ausgeführt wird.The present invention relates to a method and a device for operating a communication network, in particular of a motor vehicle, according to the preambles of the respective independent claims. Furthermore, the invention relates to a computer program that performs all the steps of the method according to the invention when it runs on a computing device or a control device. Finally, the present invention relates to a computer program product with program code, which is stored on a machine-readable carrier, for carrying out the method according to the invention when the program is executed on a computing device or a control device.
Stand der TechnikState of the art
Heutige Kraftfahrzeuge enthalten eine große Anzahl von derzeit bis zu 70 Steuergeräten, welche Sensordaten lokal erfassen und, basierend auf den erfassten Sensordaten, Aktoren ansteuern. Die zunehmenden Anforderungen an Fahrsicherheit, Abgasverhalten und Kraftstoffverbrauch erfordern einen über ein On-Board-Kommunikationsnetz erfolgenden Datenaustausch zwischen den Steuergeräten.Today's motor vehicles contain a large number of currently up to 70 control units which record sensor data locally and actuate actuators based on the recorded sensor data. The increasing demands on driving safety, emission behavior and fuel consumption require an exchange of data between the control units via an on-board communication network.
Ein Beispiel für ein genanntes On-Board-Kommunikationsnetzwerk ist der sogenannte „CAN“-Bus (Controlled Area Network), welcher sämtliche Informationen über lediglich zwei Leitungen überträgt. Dennoch können damit komplexe Systemfunktionen realisiert werden, wie z.B. Schaltvorgänge eines automatischen Getriebes oder Steuereingriffe bei einem „Elektronischen Stabilitätsprogramm“ (ESP). Die Datenübertragung in einem CAN-Bus erfolgt seriell mittels Datenpaketen, deren Struktur unter den Automobilherstellern bereits weitgehend standardisiert ist. Die Vorgänge bei der Übertragung, der Fehlersicherung, der Fehlerkorrektur und der Bestätigung sind genau festgelegt und in der CAN-Spezifikation beschriebenAn example of a named on-board communication network is the so-called "CAN" bus (Controlled Area Network), which transmits all information via only two lines. Nevertheless complex system functions can be realized with it, as e.g. Switching operations of an automatic transmission or control intervention in an "Electronic Stability Program" (ESP). The data transmission in a CAN bus takes place serially by means of data packets whose structure is already largely standardized among the automobile manufacturers. The transmission, error protection, error correction and acknowledgment procedures are well defined and described in the CAN specification
Ein Teil der ausgetauschten Daten ist sicherheitsbezogen, z.B. von einem ESP an ein Motorsteuergerät abgegebene momentenerhöhende (MSR) oder momentenerniedrigende (ASR) Anforderungen oder von einem Fahrzeugführungsrechner an Steuergeräte momentenstellender Aktoren abgegebene Momentenvorgaben. Bei den zuletzt genannten Aktoren kann es sich insbesondere auch um Steuergeräte von Elektrofahrzeugen handeln. Diese sicherheitsbezogenen Nachrichten werden in an sich bekannter Weise vom jeweiligen Sender entsprechend den bestehenden Anforderungen nach dem bekannten ISO-Sicherheitsstandard ASIL (= “Automotive Safety Integrity Level“) berechnet und z.B. über Checksummen und Botschaftszähler abgesichert versendet.Part of the exchanged data is security related, e.g. torque-increasing (MSR) or torque-lowering (ASR) requirements issued by an ESP to an engine control unit or torque settings issued by a vehicle management computer to control devices of torque-setting actuators. The last-mentioned actuators may in particular also be control units of electric vehicles. These safety-related messages are calculated in a manner known per se by the respective transmitter in accordance with the existing requirements according to the well-known ISO safety standard ASIL (= "Automotive Safety Integrity Level"), and e.g. sent via checksums and message counters secured.
Offenbarung der ErfindungDisclosure of the invention
Die genannten Kommunikationsnetzwerke wurden bislang nur gering bzw. gar nicht gegen sicherheitsrelevante datentechnische Eingriffe bzw. Datenzugriffe von außen geschützt. Insbesondere sind über bestehende Schnittstellen, z.B. drahtgebundene Schnittstellen des OBD-II-Ports (OBD = On-Board-Diagnose) oder sogar drahtlose Schnittstellen (WLAN, Bluetooth, UMTS, zukünftige Car-2-X-Schnittstellen, etc.), Manipulationen des Bus-internen Nachrichtenflusses möglich.The communication networks mentioned so far have only little, if any, protection against security-related data technology interventions or data access from the outside. In particular, existing interfaces, e.g. Wired interfaces of the OBD II port (OBD = on-board diagnostics) or even wireless interfaces (WLAN, Bluetooth, UMTS, future Car-2-X interfaces, etc.), manipulation of the internal bus message flow possible.
Hinzu kommt, dass in sämtlichen Bereichen insbesondere der Industrie- und Transporttechnik ein deutlicher Trend darin besteht, zugrunde liegende Datennetze und an diese Netze angeschlossene Steuergeräte oder dergleichen auch mit dem Internet zu vernetzen, um beispielsweise Fernwartungsarbeiten an den Steuergeräten zu ermöglichen bzw. zu vereinfachen oder den Benutzern eines Transportmittels die mediale Welt zu eröffnen.In addition, in all areas, in particular industrial and transport technology, there is a clear trend in networking underlying data networks and control units or the like connected to these networks with the Internet in order, for example, to facilitate or simplify remote maintenance work on the control units or to open the media world to users of a means of transport.
Heutige Konzepte zur Datensicherheit in solchen Kommunikationsnetzwerken beruhen jedoch ausschließlich auf der Datenintegrität der ausgetauschten Botschaften, welche durch die genannte Bildung von Checksummen oder die genannten Botschaftenzähler oder das bekannte Prinzip der Signalredundanz überprüft werden kann. Solche Sicherheitsmechanismen bieten zwar eine gewisse Sicherheit gegenüber Fehlfunktionen der zugrunde liegenden Hardware bzw. Elektronik, z.B. aufgrund von nicht ausreichender elektromagnetischer Verträglichkeit (EMV), von defekten CAN-Bauteilen, von Speicherfehlern, oder dergleichen. Jedoch bieten diese bekannten Sicherheitskonzepte keine Maßnahmen, um absichtlich durch Angreifer („Hacker“) verfälschte Botschaften zu entdecken bzw. zu erkennen und/oder gegebenenfalls deren Auswirkungen zu unterdrücken oder diese sogar zu verhindern.However, today's concepts for data security in such communication networks are based exclusively on the data integrity of the exchanged messages, which can be checked by the mentioned formation of checksums or the mentioned message counter or the known principle of signal redundancy. While such security mechanisms provide some assurance against malfunctions of the underlying hardware or electronics, e.g. due to insufficient electromagnetic compatibility (EMC), defective CAN components, memory errors, or the like. However, these known security concepts do not provide any measures to intentionally detect or recognize messages that have been attacked ("hackers") and / or possibly to suppress their effects or even to prevent them.
Gelingt es einem Angreifer, über eine oder mehrere der genannten Schnittstellen Zugriff auf das interne Kommunikationsnetz eines Kraftfahrzeugs zu erlangen, kann er gefälschte Nachrichten einschleusen oder bereits bestehende Nachrichten verfälschen. Sollten dem Angreifer die genannten Absicherungsmaßnahmen sogar bekannt sein, kann er die Nachrichten so manipulieren, dass diese Maßnahmen eine bereits erfolgte Verfälschung nicht erkennen können.If an attacker succeeds in gaining access to the internal communication network of a motor vehicle via one or more of the interfaces mentioned, he can introduce fake messages or falsify existing messages. If the attacker is even aware of the above-mentioned safeguards, he can manipulate the messages in such a way that these measures can not detect a falsification that has already occurred.
Wenn eine solche Manipulation nicht erkannt wird oder auf eine erkannte Manipulation nicht angemessen reagiert wird, kann dies zur Gefährdung von Personen führen, insbesondere wenn eines oder mehrere der oben genannten Fahrsicherheitssysteme, wie z.B. das eingangs genannte ESP, betroffen ist bzw. sind. So kann der Angreifer auf eine fahrdynamisch kritische Situation zuwarten, z.B. eine Kurvenfahrt, eventuell noch auf nassem Untergrund, in der eine fehlerhafte Momentenanforderung des ESP an das Motorsteuergerät zu einem Verlust der Querstabilität und damit zu einem Verlust der Kontrolle über das Fahrzeug führt, und in diesem Moment den genannten Eingriff (fehlerhafte Momentenanforderung) anfordern. Das ESP würde diesen Eingriff nicht anfordern, sobald es die fahrdynamisch kritische Situation erkannt hat.If such a manipulation is not recognized or is not adequately responded to a detected manipulation, this can lead to endangerment of persons, especially if one or more of the above driving safety systems, such as the aforementioned ESP, is or are affected. So the attacker can go to a to wait for a critical dynamic situation, eg cornering, possibly even on wet ground, where a faulty moment request of the ESP to the engine control unit leads to a loss of lateral stability and thus to loss of control of the vehicle, and at that moment the intervention ( erroneous torque request). The ESP would not request this intervention as soon as it has recognized the driving dynamics critical situation.
Ein anderes Beispiel ist ein Elektrofahrzeug mit radindividuellem Antrieb, bei dem ein Angreifer sich selbst als Fahrzeugführungsrechner ausgibt und unterschiedliche Momentenanforderungen an z.B. das vordere linke und vordere rechte Rad sendet, so dass die daraus resultierende Momentendifferenz an den Vorderrädern zu einem hohen Giermoment und damit ebenfalls zu einem Verlust der Querstabilität des Fahrzeugs führt.Another example is an electric vehicle with wheel-individual drive in which an attacker pretends to be himself as a vehicle management computer and different torque requests to e.g. the front left and front right wheel sends, so that the resulting moment difference on the front wheels leads to a high yaw moment and thus also to a loss of lateral stability of the vehicle.
Ein weiteres Beispiel ist ein Hybrid- oder Elektrofahrzeug, in dem Nachrichten vom ESP oder von einer Hochvolt-(HV-)-Batterie blockiert werden, so dass keine Bremsenergie-Rückgewinnung (d.h. „Rekuperation“) mehr erfolgen kann, weil die Batterie entweder bereits vollständig geladen sein soll oder weil sich das Fahrzeug derzeit in einer fahrdynamisch kritischen Situation befinden soll.Another example is a hybrid or electric vehicle in which messages from the ESP or from a high voltage (HV) battery are blocked so that brake energy recovery (ie, "recuperation") can no longer occur because the battery is either already should be fully charged or because the vehicle is currently in a dynamic driving situation.
Ein noch weiteres Beispiel ist ein Airbag-Steuergerät, bei dem ein durch einen Angreifer simuliertes Crash-Signal in einem Hybrid- oder Elektrofahrzeug zu einem Öffnen der Schütze der genannten HV-Batterie führen würde. Der Wegfall der HV-Spannung kann wiederum zu einem Momentensprung führen, z.B. durch Verlust an Vortrieb durch den E-Motor oder durch Abbruch der genannten Rekuperation. Dies kann bei entsprechendem Zuwarten des Angreifers auf eine kritische Fahrsituation dann zu einem Verlust der Fahrstabilität des Fahrzeugs führen.Yet another example is an airbag control apparatus in which an attacker simulated crash signal in a hybrid or electric vehicle would result in opening of the contactors of said HV battery. The elimination of the HV voltage can in turn lead to a torque jump, e.g. by loss of propulsion through the electric motor or by cancellation of said recuperation. This can then lead to a loss of driving stability of the vehicle with appropriate attention of the attacker to a critical driving situation.
Der Erfindung liegt der Gedanke zugrunde, ein ein hier betroffenes Kommunikationsnetzwerk aufweisendes Kraftfahrzeug oder dergleichen nach dem Erkennen einer sicherheitsrelevanten Verletzung der Datenintegrität bzw. einer Datenmanipulation in einen sicheren Betriebszustand überzuführen.The invention is based on the idea to convert a motor vehicle or the like having a communication network affected here into a safe operating state after detecting a security-relevant violation of the data integrity or a data manipulation.
Die Erfindung schlägt insbesondere vor, dass zumindest jedes mit dem Kommunikationsnetzwerk datentechnisch verbundene Steuergerät, welches vorgenannte sicherheitsbezogene Daten bzw. Nachrichten von außen bzw. von anderen Steuergeräten erhält, die jeweils empfangenen Daten im Hinblick auf mögliche Datenmanipulationen oder sicherheitsrelevante Verletzungen der Datenintegrität eigenständig überprüft.The invention proposes, in particular, that at least each control unit connected to the communication network by data transmission, which obtains the aforementioned security-related data or messages from outside or from other control units, autonomously checks the respectively received data with regard to possible data manipulations or security-relevant violations of the data integrity.
Alternativ kann vorgesehen sein, dass ein betrachtetes Steuergerät über eine solche Datenmanipulation von außen informiert wird, z.B. von einer ebenfalls mit dem Datenbus verbundenen Überwachungseinrichtung oder von einem anderen Steuergerät.Alternatively, it may be provided that a viewed control device is informed of such data manipulation from the outside, e.g. from a likewise connected to the data bus monitoring device or from another control device.
Bei Erkennen einer solchen Manipulation empfangener Daten bzw. Nachrichten wechselt das die Manipulation erkennende Steuergerät selbstständig bzw. selbsttätig in einen sogenannten Notlaufmodus über. Dieser Notlaufmodus zeichnet sich insbesondere dadurch aus, dass das betreffende Steuergerät, zumindest hinsichtlich seiner funktionalen Sicherheit, unabhängig von weiteren externen Daten bzw. Nachrichten betrieben werden kann. Durch diese Maßnahme ist sowohl die Betriebssicherheit als auch der ggf. eingeschränkte Weiterbetrieb z.B. eines zugrundeliegenden Kraftfahrzeugs gewährleistet.Upon detection of such manipulation of received data or messages, the control unit recognizing the manipulation automatically or automatically changes over to a so-called emergency mode. This emergency mode is characterized in particular by the fact that the relevant control unit, at least in terms of its functional safety, can be operated independently of other external data or messages. By this measure, both the reliability and the possibly limited continued operation, e.g. of an underlying motor vehicle.
Das erfindungsgemäß vorgeschlagene Verfahren und die Vorrichtung ermöglichen eine einfache und gleichzeitig sehr wirksame Absicherung eines Kommunikationsnetzwerks z.B. eines Kraftfahrzeugs gegen jede Art datentechnischer Manipulation.The method and the device proposed according to the invention enable simple and at the same time very effective protection of a communication network, e.g. of a motor vehicle against any kind of data manipulation.
Bei der genannten Erkennung einer Datenmanipulation können eingehende Daten mit früher bereits eingegangenen Daten, insbesondere solche von demselben Sender der eingehenden Daten bereits erhaltene Daten, verglichen werden. Durch einen solchen Vergleich lassen sich Datenmanipulationen mit relativ geringem technischen Aufwand jedoch gleichzeitig sehr wirkungsvoll erkennen. Um diese bereits erhaltenen Daten einem bestimmten Steuergerät sicher und ebenfalls mit möglichst geringem technischen Aufwand zuordnen zu können, kann aus den eingehenden Daten ein Identifizierungscode des die Daten sendenden Steuergeräts ermittelt werden und der genannte Vergleich mit von dem durch den Identifizierungscode identifizierten Steuergerät früher eingegangenen Daten durchgeführt werden.In the case of the above-mentioned detection of data manipulation, incoming data can be compared with data already received earlier, in particular data already received by the same sender of the incoming data. By such a comparison, however, data manipulation with relatively little technical effort can be recognized very effectively at the same time. In order to be able to assign this already obtained data to a specific control device safely and likewise with the least possible technical outlay, an identification code of the control unit sending the data can be determined from the incoming data, and said comparison is made with data received earlier from the control unit identified by the identification code become.
Der genannte Vergleich kann auf der Grundlage von im Datenformat des Kommunikationsprotokolls des Kommunikationsnetzwerks festgelegten fixen Datenstrukturen erfolgen, da diese Datenstrukturen von den eigentlichen Nutzdaten, welche stark veränderlich sind, im Wesentlichen unabhängig sind. Bei diesen Datenstrukturen handelt es sich bevorzugt um einen Datenframe Header oder wenigstens ein Steuerbit oder in Arbitrierungsfeldern und/oder Kontrollfeldern enthaltene Daten.Said comparison can be made on the basis of fixed in the data format of the communication protocol of the communication network fixed data structures, as these data structures of the actual payload, which are highly variable, are essentially independent. These data structures are preferably a data frame header or at least one control bit or data contained in arbitration fields and / or check fields.
Die Erkennung einer möglichen Datenmanipulation kann auch anhand einer heuristischen oder “Hash“-basierten Erkennungsmethode erfolgen, wodurch sich die Erkennungszeit einer Datenmanipulation minimieren lässt.The detection of a possible data manipulation can also be done using a heuristic or "hash" -based detection method, which minimizes the detection time of a data manipulation.
Um die Erkennungsgüte weiter zu verbessern, können auch statistische Informationen einbezogen werden, wie die Häufigkeit der von einem bestimmten Steuergerät eingehenden Daten. Denn bei einer Datenmanipulation wird sich diese Häufigkeit ebenfalls verändern, bevorzugt erhöhen, da die Manipulation in der Regel mit einem sprunghaft ansteigenden Datenverkehr einhergeht. To further improve recognition quality, statistical information may also be included, such as the frequency of incoming data from a particular controller. For in a data manipulation, this frequency will also change, preferably increase, since the manipulation is usually accompanied by a skyrocketing data traffic.
In dem Fall, dass das Kommunikationsnetzwerk wenigstens zwei mögliche (d.h. „redundante“) Kommunikationspfade bereitstellt, über welche die Steuergeräte kommunizieren, kann die Erkennung einer möglichen Datenmanipulation anhand einer Plausibilisierung der über die redundanten Pfade erhaltenen Daten erfolgen. Dadurch lässt sich die Erkennungsgüte weiter verbessern.In the event that the communication network provides at least two possible (i.e., "redundant") communication paths over which the controllers communicate, the detection of possible data manipulation may be based on a plausibility check of the data received over the redundant paths. As a result, the recognition quality can be further improved.
Um im Falle einer erfolgten Datenmanipulation die Betriebssicherheit des zugrundeliegenden Kraftfahrzeugs oder dergleichen weiter zu erhöhen, kann ein in den von der Datenmanipulation nicht betroffenen Betriebsmodus wechselndes Steuergerät wenigstens das die eingehenden Daten sendende Steuergerät über die erkannte Datenmanipulation informieren, damit auch dieses in den genannten Betriebsmodus wechseln kann. Entsprechend können auch andere Steuergeräte informiert werden.In order to further increase the operational safety of the underlying motor vehicle or the like in the event of a data manipulation, a control unit not changing the operating mode that is not affected by the data manipulation can inform at least the control unit transmitting the incoming data of the detected data manipulation, so that the latter also change into the mentioned operating mode can. Accordingly, other control devices can be informed.
In dem genannten, von der Datenmanipulation nicht betroffenen Betriebsmodus, kann vorgesehen sein, dass ein in diesem Betriebsmodus befindliches Steuergerät unabhängig von weiteren externen Daten bzw. Nachrichten betrieben wird. Durch diese Maßnahme kann erreicht werden, dass ein betroffenes Steuergerät zumindest einen Teil der für den sicheren Weiterbetrieb des Kraftfahrzeugs oder dergleichen erforderlichen Funktionen ausführen kann. Alternativ kann ein in dem genannten Betriebsmodus befindliches Steuergerät die von dem sendenden Steuergerät eingehenden Daten herausfiltern oder gar nicht weiter verarbeiten, so dass die Kommunikation mit anderen Steuergeräten weiterhin gewährleistet ist. Dabei kann auch vorgesehen sein, dass ein in diesem Betriebsmodus befindliches Steuergerät eingehende Daten durch vorgegebene Werte oder Standardwerte ersetzt, wodurch zumindest Grundfunktionen oder dergleichen weiterbetrieben werden können.In the said operating mode, which is not affected by the data manipulation, it can be provided that a control unit located in this operating mode is operated independently of further external data or messages. By means of this measure, it can be achieved that an affected control unit can execute at least part of the functions required for the safe continued operation of the motor vehicle or the like. Alternatively, a control unit located in the mentioned operating mode can filter out the incoming data from the transmitting control unit or can not process it further, so that the communication with other control units is still ensured. It can also be provided that a control unit located in this operating mode replaces incoming data with predetermined values or default values, as a result of which at least basic functions or the like can continue to be operated.
Der genannte Wechsel eines Steuergeräts in einen von der Datenmanipulation nicht betroffenen Betriebsmodus kann mittels einer Zustandsmaschine oder mittels einer Flagge oder eines Statusbits realisiert werden, wodurch eine weitere Vereinfachung der technischen Realisierung bei gleichzeitig hoher Betriebssicherheit ermöglicht wird.The mentioned change of a control device into an operating mode not affected by the data manipulation can be realized by means of a state machine or by means of a flag or a status bit, whereby a further simplification of the technical realization is made possible with high reliability.
Die Erfindung betrifft auch eine Vorrichtung zum Betrieb eines genannten Kommunikationsnetzwerks, bei der wenigstens ein Sicherheitselement zur Ausführung der genannten Prozessschritte angeordnet ist. Ein solches Sicherheitselement ermöglicht eine kostengünstige Implementierung des erfindungsgemäßen Verfahrens an einem bestehenden Kraftfahrzeug oder dergleichen.The invention also relates to a device for operating a said communication network, in which at least one security element is arranged for carrying out said process steps. Such a security element allows a cost-effective implementation of the method according to the invention on an existing motor vehicle or the like.
Die Erfindung betrifft ferner ein Computerprogramm sowie ein Computerprogrammprodukt, mittels derer das erfindungsgemäße Verfahren auf einem Rechengerät oder einem genannten Sicherheitselement kostengünstig implementiert werden kann.The invention further relates to a computer program and a computer program product by means of which the method according to the invention can be implemented cost-effectively on a computing device or a named security element.
Es ist anzumerken, dass die genannten Funktionen zur Erkennung einer Datenmanipulation und zur Auslösung des sicheren Betriebszustandes eines genannten Steuergeräts gemäß dem höchsten Anforderungen des eingangs genannten ASIL der von der Deaktivierung betroffenen Steuergeräte zu genügen haben. Die Auswertung des genannten Abschaltsignals in den Steuergeräten muss daher gemäß dem höchsten damit verbundenen ASIL erfolgen, bevorzugt in dessen Sicherheitssoftware. Diese Sicherheitssoftware wird bevorzugt als funktionale Ergänzung der zweiten Ebene des an sich bekannten, auf dem OSI-Modell beruhenden (reduzierten) 3-Ebenen-Konzept des CAN-Bus realisiert.It should be noted that the above-mentioned functions for detecting a data manipulation and for triggering the safe operating state of a named control device according to the highest requirements of the aforementioned ASIL have to comply with the control devices affected by the deactivation. The evaluation of said shutdown signal in the control units must therefore take place in accordance with the highest associated ASIL, preferably in its security software. This security software is preferably implemented as a functional supplement to the second level of the known (reduced) 3-level concept of the CAN bus based on the OSI model.
Die Erfindung kann insbesondere in Kraftfahrzeugen oder anderen Transportmitteln wie Nutzfahrzeugen, Flugzeugen, Schiffen oder Schienenfahrzeugen oder aber auch bei der Steuerung von Industrieanlagen, bevorzugt im Bereich dortiger Automatisierungstechnik, mit den hierin beschriebenen Vorteilen zur Anwendung kommen.The invention can be used in particular in motor vehicles or other means of transport such as commercial vehicles, aircraft, ships or rail vehicles or even in the control of industrial plants, preferably in the field of local automation technology, with the advantages described herein.
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.
Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweiligen angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen. It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.
Kurze Beschreibung der ZeichnungenBrief description of the drawings
Beschreibung von Ausführungsbeispielen Description of exemplary embodiments
Mit dem CAN-Bus sind vorliegend vier Steuergeräte
Jedes der gezeigten Steuergeräte
Es versteht sich, dass anstelle des genannten Sicherheitselementes auch ein vorgefertigtes Sicherheitsmodul, z.B. ein an sich bekannter TPM(Trusted Platform Module)-Chip, verwendet werden kann, wobei dann der TPM-Chip die gemäß der Erfindung notwendigen Sicherheitsfunktionen ausführt. Bei Verwendung eines TPM-Chips ist allerdings ein zusätzliches Modul erforderlich, welches geeignet ist, den nachfolgend beschriebenen Notlaufmodus zu aktivieren.It is understood that instead of the said security element also a prefabricated security module, e.g. a per se known TPM (Trusted Platform Module) chip can be used, in which case the TPM chip carries out the security functions required according to the invention. When using a TPM chip, however, an additional module is required, which is suitable to activate the emergency mode described below.
Die nachfolgend beschriebene Erkennung einer möglichen Manipulation empfangener Daten bzw. Nachrichten wird vom jeweiligen Steuergerät selbst durchgeführt. Nach dem Start
Gemäß dem vorliegenden Ausführungsbeispiel werden im nachfolgenden Schritt
Bei dem im vorliegenden Ausführungsbeispiel durchgeführten Vergleich können im Datenformat des CAN-Bus-Protokolls festgelegte Datenstrukturen, z.B. der sogenannte “Data frame header“, zu allererst auf eine mögliche Datenmanipulation hin geprüft werden. Zusätzlich können dabei selbstverständlich auch andere Elemente der CAN-Datenstruktur wie z.B. Steuerbits der genannten Datenframes, oder die in der CAN-Datenstruktur vorgesehenen “Arbitrierungsfelder“ und/oder “Kontrollfelder“ bei der Erkennung einbezogen werden. Die in den Datenframes enthaltenen Datenfelder werden jedoch wegen ihrer Veränderlichkeit bevorzugt bei der Erkennung nicht mit einbezogen.In the comparison made in the present embodiment, data structures fixed in the data format of the CAN bus protocol, e.g. the so-called "data frame header", first of all to be checked for possible data manipulation. In addition, of course, other elements of the CAN data structure such as e.g. Control bits of said data frames, or the provided in the CAN data structure "arbitration fields" and / or "control fields" are included in the detection. However, due to their variability, the data fields contained in the data frames are preferably not included in the recognition.
Die in den Steuergeräten
Bei Vorliegen einer komplexeren Netzwerkstrukur des zugrundeliegenden Kommunikationsnetzwerks, welche wenigstens zwei mögliche Kommunikationspfade bereitstellt, über die jedes der in
Wird bei dem beschriebenen Vergleich in Schritt
Im Falle der Erkennung einer Datenmanipulation an den aktuell empfangenen Daten bzw. Nachrichten schaltet
Es ist hervorzuheben, dass in diesem Fall das empfangende Steuergerät auch das die Daten bzw. Nachrichten aussendende und wie beschrieben identifizierbare Steuergerät benachrichtigen kann, damit auch das sendende Steuergerät in den Notlaufmodus umschalten kann, da dieses mit großer Wahrscheinlichkeit ebenfalls durch die manipulierten Daten bereits kompromittiert sein wird, so dass die Betriebssicherheit auch des sendenden Steuergeräts nicht mehr gewährleistet ist.It should be emphasized that in this case the receiving control unit can also notify the control unit which sends out the data or messages and can be identified as described so that the sending control unit can also switch to emergency mode, since this is also likely to be compromised by the manipulated data will be, so that the reliability of the transmitting controller is no longer guaranteed.
In dem Notlaufmodus
Alternativ oder zusätzlich werden alle eingehenden Daten oder Parameter, wenigstens für den Betrieb des Kraftfahrzeugs sicherheitsrelevante Eingangsparameter wie im Falle eines Kraftfahrzeugs z.B. die aktuelle Querbeschleunigung oder der aktuelle Gierwinkel, durch vorgegebene Werte oder Standardwerte ersetzt
Bei bestehendem Notlaufmodus wird in Schritt
Die beschriebene Umschaltung in den Notlaufmodus sowie die Beendigung des Notlaufmodus erfolgen gemäß einem weiteren Ausführungsbeispiel mittels einer in
Alternativ zur beschriebenen Zustandsmaschine kann die Aktivierung bzw. Deaktivierung des Notlaufmodus auch über das Setzen eines speziellen Status- oder Steuerbits oder einer Flagge im Steuergerät, z.B. mittels eines „Prohibit“-Bits, erfolgen.As an alternative to the described state machine, the activation or deactivation of the emergency mode can also be achieved by setting a special status or control bit or a flag in the control unit, e.g. by means of a "prohibit" bit.
Die technische Realisierung der erforderlichen Steuergeräte-internen Sicherheitsmechanismen, welche die beschriebene Überwachung auf mögliche Datenmanipulation oder fehlende Datenintegrität sowie die Überführung des betroffenen Steuergeräts in den Notlaufmodus durchführen, erfolgt bevorzugt durch eine auf dem Steuergerät implementierte Sicherheitssoftware, welche z.B. durch funktionale Ergänzungen der Ebene 2 des beim CAN-Bus im OSI-Modell relevanten 3-Ebenen-Konzepts mit dem für das System maximal erforderlichen ASIL realisiert werden kann.The technical realization of the required internal safety control mechanisms which carry out the described monitoring for possible data manipulation or lack of data integrity as well as the transfer of the affected control device into the emergency mode is preferably carried out by a security software implemented on the control device, which e.g. can be implemented by functional additions of level 2 of the 3-level concept relevant to the CAN bus in the OSI model with the maximum required ASIL for the system.
Claims (15)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201310200528 DE102013200528A1 (en) | 2013-01-16 | 2013-01-16 | Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201310200528 DE102013200528A1 (en) | 2013-01-16 | 2013-01-16 | Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102013200528A1 true DE102013200528A1 (en) | 2014-07-17 |
Family
ID=51015078
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE201310200528 Pending DE102013200528A1 (en) | 2013-01-16 | 2013-01-16 | Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102013200528A1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016224193A1 (en) * | 2016-12-06 | 2018-06-07 | Robert Bosch Gmbh | Method for monitoring a control device for a vehicle |
WO2018146028A1 (en) | 2017-02-10 | 2018-08-16 | Audi Ag | Method for detecting a manipulation on a respective data network of at least one motor vehicle, and server apparatus |
DE102017128615A1 (en) * | 2017-12-01 | 2019-06-06 | Balluff Gmbh | Device and method for detecting spoofers in a wireless IO-Link communication network |
DE102021215003A1 (en) | 2021-12-23 | 2023-06-29 | Robert Bosch Gesellschaft mit beschränkter Haftung | Method for operating a control unit arrangement, device, motor vehicle |
-
2013
- 2013-01-16 DE DE201310200528 patent/DE102013200528A1/en active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102016224193A1 (en) * | 2016-12-06 | 2018-06-07 | Robert Bosch Gmbh | Method for monitoring a control device for a vehicle |
WO2018146028A1 (en) | 2017-02-10 | 2018-08-16 | Audi Ag | Method for detecting a manipulation on a respective data network of at least one motor vehicle, and server apparatus |
DE102017202176B4 (en) | 2017-02-10 | 2023-11-30 | Audi Ag | Method for detecting manipulation of a respective data network of at least one motor vehicle and server device |
DE102017128615A1 (en) * | 2017-12-01 | 2019-06-06 | Balluff Gmbh | Device and method for detecting spoofers in a wireless IO-Link communication network |
DE102021215003A1 (en) | 2021-12-23 | 2023-06-29 | Robert Bosch Gesellschaft mit beschränkter Haftung | Method for operating a control unit arrangement, device, motor vehicle |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102017209721B4 (en) | Device for controlling a safety-relevant process, method for testing the functionality of the device, and motor vehicle with the device | |
DE102013200535A1 (en) | Method for operating controller area network in motor car, involves transferring data or messages over communication paths of communication network, and checking data and/or messages based on plausibility check of possible data manipulation | |
EP3584140B1 (en) | Vehicle and method and apparatus for controlling a safety-relevant process | |
EP2176106B1 (en) | Brake system for a vehicle and method for operating a brake system for a vehicle | |
WO2014033172A1 (en) | Method for carrying out a safety function of a vehicle and system for carrying out the method | |
EP3393865A1 (en) | Monitoring and modifying motor vehicle functions in a motor vehicle | |
WO2020187985A1 (en) | Method for monitoring communication on a communication bus, electronic apparatus for connection to a communication bus, and vehicle | |
EP3385934B1 (en) | Device for controlling a safety-relevant process, method for testing the functionality of the device, and motor vehicle using the device | |
DE102019113818A1 (en) | ELECTRONIC CONTROL DEVICE, MONITORING PROCEDURE, PROGRAM AND GATEWAY DEVICE | |
DE102018212879A1 (en) | Control device and control method | |
DE102013200528A1 (en) | Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation | |
WO2016134855A1 (en) | Motor vehicle communication network with switch device | |
DE112019006487B4 (en) | Electronic control unit, electronic control system and program | |
DE102018116676A1 (en) | Vehicle network with implementation of XCP protocol policy and procedures | |
EP3871393B1 (en) | Method for monitoring a data transmission system, data transmission system and motor vehicle | |
DE102013200525A1 (en) | Method for operating communication network, particularly of motor vehicle, involves connecting two control devices with each other in data technical manner by communication network | |
DE102011002713A1 (en) | Method for providing cryptographic credentials for electronic control unit (ECU) of vehicle e.g. electric car, has control unit that deactivates vehicle drive for deleting cryptographic credentials in vehicle safety management unit | |
DE102017209556A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
DE102021208459B4 (en) | Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle | |
DE102014219322B4 (en) | Update of a vehicle control via Car2X | |
DE102013022498A1 (en) | Method and device for operating a communication network, in particular of a motor vehicle | |
DE102009009887A1 (en) | Method for operating e.g. car on roller type test stand, involves deactivating telecontrol operation of vehicle during manual engagement of vehicle functions, and/or determining whether vehicle is present outside roller type test stand | |
EP2067668A1 (en) | Method and device to check plausibility of an evaluation of safety related signals for a vehicle | |
EP2013731B1 (en) | Circuit arrangement, and method for the operation of a circuit arrangement | |
DE102018208832A1 (en) | A method for containing an attack on a controller |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed |