DE102016222741A1 - Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit - Google Patents

Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit Download PDF

Info

Publication number
DE102016222741A1
DE102016222741A1 DE102016222741.6A DE102016222741A DE102016222741A1 DE 102016222741 A1 DE102016222741 A1 DE 102016222741A1 DE 102016222741 A DE102016222741 A DE 102016222741A DE 102016222741 A1 DE102016222741 A1 DE 102016222741A1
Authority
DE
Germany
Prior art keywords
communication
data transmission
control unit
risk
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016222741.6A
Other languages
English (en)
Inventor
Helge Zinner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive Technologies GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102016222741.6A priority Critical patent/DE102016222741A1/de
Priority to CN201780066678.1A priority patent/CN109937563B/zh
Priority to PCT/EP2017/079027 priority patent/WO2018091401A1/de
Priority to JP2019526329A priority patent/JP2020501420A/ja
Priority to US16/344,876 priority patent/US11038912B2/en
Priority to EP17804113.3A priority patent/EP3542510A1/de
Priority to KR1020197014356A priority patent/KR102293752B1/ko
Publication of DE102016222741A1 publication Critical patent/DE102016222741A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40052High-speed IEEE 1394 serial bus
    • H04L12/40104Security; Encryption; Content protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/14Multichannel or multilink protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren für ein Kommunikationsnetzwerk in einem Kraftfahrzeug, wobei für eine Kommunikation in dem Kommunikationsnetzwerk eine Datenübertragung in mindestens einem Kommunikationspfad (60) durchgeführt wird. Die Erfindung betrifft zudem eine elektronische Kontrolleinheit.

Description

  • Die vorliegende Erfindung betrifft Verfahren für ein Kommunikationsnetzwerk nach Anspruch 1 sowie eine elektronische Kontrolleinheit.
  • Auf Basis der physikalischen Schicht Ethernet und dem darüber liegenden Internetprotokoll (IP) finden Techniken in Kommunikationsnetze von Fahrzeugen Einzug, die im Rahmen informationstechnischer Systeme schon weit verbreitet sind. Insbesondere im Hinblick auf einen zunehmenden Einsatz der Protokolle Ethernet und Internetprotokoll besteht der Bedarf an weiteren Sicherheitsmechanismen, um Fremdzugriffe unterbinden zu können. Aufgrund wachsender Anwendung von Funktechnologien sowie damit in Zusammenhang stehender offener und standardisierter Protokolle besteht damit im Automobilbereich im Wesentlichen erstmals die Möglichkeit, auf die Kommunikationsnetze eines Fahrzeugs per Fernzugriff zuzugreifen. Beispielsweise wurden Zugriffe auf Fahrzeuge bekannt, bei denen es Angreifer über Funk geschafft haben, sich Zugriff auf ein Fahrzeug zu verschaffen und somit wichtige Fahrzeugfunktionen zu beeinflussen. Andere Industriezweige haben Probleme und Lösungen, welche sich nicht auf das Automobil übertragen lassen, da beispielsweise bei einem Arbeitsplatzrechner eine Firewall schon mit in dem System bereits vorhandenen Daten arbeitet und nicht, wie für Fahrzeuge gefordert, on-the-fly. Zudem können Arbeitsplatzrechner wesentlich einfacher einer Aktualisierung der Sicherheitssoftware unterzogen werden als eine Software im Automobil.
  • Ein Kommunikationspaket gemäß dem Stand der Technik umfasst üblicherweise Header übergeordneter Schichten eines Protokollstapels einer Sendeeinrichtung. Ein Protokollstapel einer Empfangseinrichtung wird bei Empfang dieses Kommunikationspakets schrittweise vorgehen und dieses mittels vorher definierter Filter untersuchen, um die übertragenen Daten beispielsweise einer entsprechenden Softwareanwendung weiterzuleiten. Zum Beispiel wird ein TCP/IP-Stapel in einem Steuergerät von einem Kommunikationspaket, wie einer Ethernet-Nachricht, durchlaufen und auf der Basis der Analyse des Inhaltes an die entsprechende Applikation geleitet.
  • Die Komplexität von Protokollstacks steigt mit der Anzahl verwendeter Protokolle erheblich an. Beispielsweise umfasst Audio/Video Bridging (AVB) zur Übertragung und Wiedergabe von Audio- und Videodaten vier Subprotokolle und Time-Sensitive Networking (TSN) sogar elf Subprotokolle und umfangreiche Spezifikationen. Nachteilig hierbei ist, dass damit keine einfache Nachweisbarkeit für einen deterministischen Protokollstack gegeben ist, da sich aufgrund der Vielzahl verwendeter Protokolle eine sehr große Anzahl an Möglichkeiten der Verzweigung ergeben, die nicht einfach dargestellt werden können. Somit bestehen erhebliche Probleme, vorhandene Sicherheitslücken eines Protokollstacks festzustellen. Fraglich ist beispielsweise, wie vorgegangen werden soll, wenn beabsichtigt oder unbeabsichtigt ein neuer Ethernettyp verwendet wird, der im Zweifelsfalle zur zentralen Recheneinheit geleitet werden würde, wodurch ein kritischer Systemzustand hervorgerufen werden könnte und die Funktionsfähigkeit eines zugrundeliegenden Systems erheblich eingeschränkt und die Sicherheit von Verkehrsteilnehmern gefährdet werden könnte. Mittels einer Denial of Service-Attacke (DoS), welche gezielt nach Sicherheitslücken eines Protokollstacks sucht, könnte so ein gezielter nichtautorisierter Zugriff über vorher nicht gefundene Sicherheitslücken stattfinden.
  • Die Aufgabe der Erfindung ist es ein Verfahren und eine Vorrichtung bereitzustellen, mittels welchem ein Fahrzeugnetzwerk sicherer gegenüber Fremdzugriffen ausgestaltet werden kann.
  • Diese Aufgabe wird durch das Verfahren gemäß Anspruch 1 und durch die weiteren unabhängigen Ansprüche gelöst.
  • Die Erfindung schlägt ein Verfahren für ein Kommunikationsnetzwerk in einem Kraftfahrzeug vor, wobei für eine Kommunikation in dem Kommunikationsnetzwerk eine Datenübertragung in mindestens einem Kommunikationspfad durchgeführt wird. Das erfindungsgemäße Verfahren umfasst mindestens einen Schritt, bevorzugt mehrere Schritte. Diese Schritte betreffen zumindest eine Bewertung der zur Datenübertragung infrage kommenden Kommunikationspfade hinsichtlich ihres Angriffsrisikos.
  • Das Angriffsrisiko stellt dabei das Risiko dar, welches der Kommunikationspfad hinsichtlich eines Angriffs zur Ausnutzung von Sicherheitslücken hat. Mit anderen Worten ist dies das Risiko des Kommunikationspfads, Opfer eines Angriffs (Cyberangriff / Hackerangriff) eines Dritten zu werden, welcher sich mit seinem Angriff Zugang zu Informationen oder Kontrolle über Steuermechanismen/Regelmechanismen verschafft. Eine derartige Kontrollübernahme von Dritten kann sich im Automobil auf die Sicherheit (safety), insbesondere der Fahrzeuginsassen, auswirken und ist daher zu vermeiden. Dies kann durch die Erfindung erreicht werden.
  • Ein Kommunikationspfad ist im Zusammenhang der Erfindung so zu verstehen, dass ein Pfad mehrere Kommunikationsteilnehmer und eine Verbindung zur Datenübertragung zwischen den Teilnehmern umfasst. Im Kraftfahrzeug können mehrere Kommunikationspfade vorhanden sein die für eine bestimmte Kommunikation bzw. Datenübertragung oder verschiedene Datenübertragungen geeignet ist.
  • Durch die Ermittlung des Angriffsrisikos der verfügbaren Kommunikationspfade können schon vor der Auslieferung des Kraftfahrzeugs bzw. vor der Inbetriebnahme Lücken festgestellt werden, die gegebenenfalls von Dritten für einen Angriff ausgenutzt werden könnten. Damit können die Lücken entweder beseitigt und/oder reduziert werden oder es können Verbindungen zwischen Kommunikationsteilnehmern derart gestaltet werden, dass ein geringes Sicherheitsrisiko für einen Angriff besteht.
  • Bevorzugt ist gemäß einer Weiterbildung der Erfindung für die Datenübertragung in dem Kommunikationspfad mindestens ein Datenübertragungsprotokoll vorgesehen. Gemäß der Weiterbildung werden die zur Datenübertragung infrage kommenden Datenübertragungsprotokolle ebenfalls hinsichtlich ihres Angriffsrisikos bewertet.
  • Insbesondere sind die Datenübertragungsprotokolle beispielsweise als Ethernet, FlexRay, VLAN (Virtual Local Area Network), IP (Internet Protocol), AVB (Audio/Video Bridging), TSN (Time Sensitive Networking) oder SOME/IP (Scalable service-Oriented MiddlewarE over IP) ausgebildet. Durch die zusätzliche Bewertung der Datenübertragungsprotokolle steht eine breitere Datenbasis zur Verfügung, so dass eine bessere Aufdeckung von Lücken und damit eine bessere Sicherheit gegenüber Angriffen erreichbar ist.
  • In einer bevorzugten Weiterbildung betreffen die Schritte des Verfahrens ebenfalls die Auswahl eines Kommunikationspfads und eines Datenübertragungsprotokolls zur Datenübertragung basierend auf der ermittelten Bewertung der zugehörigen Angriffsrisiken und die Durchführung der Datenübertragung mit dem ausgewählten Kommunikationspfad und dem ausgewählten Datenübertragungsprotokoll. Dabei kann die Datenübertragung durch die Bewertungen des Angriffsrisikos so gestaltet werden, dass ein geringes Sicherheitsrisiko für einen Angriff auf das Netzwerk besteht.
  • In vorteilhafter Weise kann durch die Erfindung die Sicherheit eines Fahrzeugnetzwerks erhöht werden, insbesondere ohne finanziellen Mehraufwand. Mit der Nutzung von Ethernet oder anderen Datenübertragungssystemen (wie z.B. FlexRay) im Automobil sind u.a. Mechanismen notwendig, die sich einfache Techniken und gegebene Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können. Durch frühzeitigere Erkennung von Angriffen und Fehlverhalten mittels der frühen Analyse der Kommunikationspfade lassen sich Lücken und Fehler vor der Auslieferung des Fahrzeugs erkennen. Das erfindungsgemäße Netzwerksystem ist im Hinblick auf Kosten und Zuverlässigkeit verbessert. Die Testbarkeit des Systems wird durch die Erfindung klarer definiert und dadurch können Testkosten gespart werden. Zudem bietet die Erfindung eine transparente Sicherheitsfunktionalität.
  • In einer bevorzugten Weiterbildung der Erfindung umfasst jeder Kommunikationspfad mehrere Kommunikationsteilnehmer. Die Kommunikationsteilnehmer umfassen dabei besonders bevorzugt mindestens einen Sender und einen Empfänger, zwischen denen eine Kommunikation in Form einer Datenübertragung durchgeführt wird. Gemäß dieser Weiterbildung ist zumindest einer der Kommunikationsteilnehmer, also entweder der Sender oder der Empfänger, Teil des Kommunikationsnetzwerks im Automobil. Bevorzugt ist dieser Teilnehmer dabei im Automobil angeordnet. Der jeweils andere Kommunikationsteilnehmer kann entweder ebenfalls Teil des Kommunikationsnetzwerks sein - und wäre dann ebenfalls im Automobil angeordnet - oder er ist ein externer Teilnehmer, der damit extern positioniert ist. Ein externer Teilnehmer kann z.B. ein extern angeordnetes Steuergerät oder eine Rechnerwolke („Cloud“) sein. Gemäß der Weiterbildung ist der Teilnehmer, welcher Teil des Netzwerkes ist, bevorzugt als eine Steuereinheit (z.B. ECU - electronic control unit) des Kraftfahrzeugs ausgebildet.
  • Insbesondere bevorzugt werden Verbindungen nach außerhalb des Fahrzeugs besonders kritisch analysiert und ggf. bewertet, da externe Kommunikationsteilnehmer durch die bessere Zugänglichkeit einfacher von Dritten zu manipulieren sind und so einen Angriff auf das Fahrzeugnetzwerk erleichtern.
  • In einer weiteren bevorzugten Weiterbildung der Erfindung umfasst das Verfahren bevorzugt als weitere Schritte eine Ermittlung von Schnittstellenparametern von mindestens einem der Kommunikationsteilnehmer und/oder von Konnektivitätsparametern von mindestens einem der Kommunikationsteilnehmer. Besonders bevorzugt werden die ermittelten Parameter jeweils in einer Datenbank oder in einer gemeinsamen Datenbank abgelegt bzw. gespeichert. Die mindestens eine Datenbank kann insbesondere bevorzugt auf einem zentralen Steuergerät oder zentralen Speicher oder in den Steuergeräten der Kommunikationsteilnehmer abgelegt werden. Gemäß einer weiteren bevorzugten Weiterbildung werden die Schnittstellenparameter und/oder Konnektivitätsparameter in einem weiteren Schritt für die Bewertung der Kommunikationspfade hinsichtlich ihres Angriffsrisikos herangezogen.
  • Jeder Kommunikationsteilnehmer weist bevorzugt eine oder mehrere Schnittstellen zur Datenübertragung auf. In einer bevorzugten Weiterbildung der Erfindung umfassen die Schnittstellenparameter zumindest Informationen hinsichtlich der von den Schnittstellen unterstützten und/oder weitergeleiteten Datenübertragungsprotokollen. Bevorzugt kann weiterhin oder alternativ vorgesehen sein, zu ermitteln, ob die Schnittstellen für eine Diagnosefunktion oder eine Ladefunktion (OBD, Powerline...) vorgesehen sind. Bei einer Ladefunktion kann das Fahrzeug (insb. Elektrofahrzeug) über die Schnittstelle mit Strom versorgt werden. Über die Schnittstelle bzw. auf der Stromleitung können insbesondere auch Daten eingekoppelt werden. Weiterhin bevorzugt ist alternativ oder zusätzlich vorgesehen, die Schnittstellen auf ihre Schnelligkeit bezüglich der Datenübertragung hin zu untersuchen.
  • Jeder Kommunikationsteilnehmer weist zudem bevorzugt mehrere Arten auf, sich mit anderen Kommunikationsteilnehmern zu verbinden. In einer bevorzugten Weiterbildung der Erfindung umfassen die Konnektivitätsparameter zumindest Informationen hinsichtlich der Unterstützung von Verbindungstechnologien und/oder Verteilerfunktionalitäten. Die Steuereinheit kann beispielsweise verschiedene Funktechnologien, wie z.B. WLAN oder Bluetooth, unterstützen. Ob die Steuereinheit auf mehrere Busse zugreifen kann, ist Teil des Parameters der Verteilerfunktionalität. Darunter wird ebenfalls ermittelt, ob ein Zugriff auf Switche, Bridges, Router und/oder Gateways möglich ist.
  • Die Parameter werden bevorzugt in einer Datenbank gespeichert, wobei besonders bevorzugt auch Informationen bezüglich der MAC-Adresse und/oder IP-Adresse der Steuereinheit und den mit der Steuereinheit direkt verbundenen weiteren Geräten gespeichert werden.
  • Vorteilhaft wird somit nach dem bisher genannten Verfahren zunächst eine Zustandsanalyse durchgeführt, indem ermittelt wird, welche Kommunikationsteilnehmer vorhanden sind und welche Eigenschaften diese mit sich bringen. Diese Zustandsanalyse wird dann zum Aufdecken von Lücken für mögliche Angriffe einer Risikobewertung unterzogen. Vorteilhaft wird durch die Sammlung bzw. Ermittlung von im Netzwerk gegebenen Parametern eine genaue Analyse des Gefährdungspotentials eines Kommunikationspfads möglich.
  • In einer bevorzugten Weiterbildung der Erfindung werden für die Bewertung des Angriffsrisikos der Datenübertragungsprotokolle ebenfalls Parameter ermittelt und in einer Datenbank abgelegt. Besonders bevorzugt werden dabei insbesondere die Protokollstapel (Protokollstacks) analysiert.
  • In einer bevorzugten Weiterbildung der Erfindung betreffen die ermittelten Parameter der Datenübertragungsprotokolle zumindest die verwendete Frequenz des Datenprotokolls, die Eignung für die Kommunikation mit einer bestimmten Anzahl an Empfängern und/oder die Art der Übertragung.
  • Die Art der Übertragung betrifft dabei z.B. die Richtung der Übertragung, die Synchronisation oder Nicht-Synchronisation, die Stellung der Kommunikationsteilnehmer und/oder die Verbindungsorientierung. Bei einer Verbindungsorientierung sind der Anfang und das Ende einer Verbindung durch spezielle Paketsequenzen definiert. Zudem kann als Parameter der Datenübertragungsprotokolle einbezogen werden, ob es sich um eine paketorientierte Kommunikation oder ein Streaming handelt.
  • In einer bevorzugten Weiterbildung der Erfindung werden die Kommunikationspfade und Datenübertragungsprotokolle unter Heranziehung der jeweils zugehörigen Bewertungen Risikoklassen zugeordnet. Damit wird der Prozess der Entscheidung für oder gegen die Datenübertragung mittels eines Kommunikationspfads und Datenübertragungsprotokolls einfacher gestaltet. Mit anderen Worten kann so einfacher eine Entscheidung getroffen werden, mit welchem Kommunikationspfad und welchem Datenübertragungsprotokoll die Kommunikation stattfinden soll.
  • In einer bevorzugten Weiterbildung der Erfindung werden für die Bewertung des Angriffsrisikos der Kommunikationspfade Informationen zu verschiedenen Angriffsszenarien herangezogen. Diese Informationen sind bevorzugt ebenfalls in einer Datenbank hinterlegt, welche insbesondere in einem Speicher abgelegt ist und nicht ständig aktualisiert wird. Alternativ können die Informationen zu den Angriffsszenarien jedoch auch regelmäßig aktualisiert werden, damit auch neuere Angriffsszenarien berücksichtigt werden können. Die Aktualisierung kann z.B. über Updates von einer externen Datenverbindung erfolgen, bei denen ein Abgleich der Informationen erfolgt. Die Informationen betreffen besonders bevorzugt verschiedene mögliche Angriffsarten und eine Bewertung zum Sicherheitsrisiko für das Automobil bzw. die Insassen. Eine mögliche Angriffsart ist z.B. DoS - Denial of Service, bei dem eine Überlastung durch einen Dritten herbeigeführt wird, welche zum Ausfall einer Funktion oder eines Dienstes führt. Die Bewertung des Kommunikationspfads kann so vorteilhaft auf ein oder mehrere Angriffsszenarien zugeschnitten sein, welche beispielsweise statistisch am häufigsten vorkommen. Alternativ oder zusätzlich können die Informationen zu den verschiedenen Angriffsszenarien auch zur Bewertung der Datenübertragungsprotokolle herangezogen werden.
  • Vorteilhaft wird durch die zuvor beschriebene Vorgehensweise eine detaillierte Analyse durchgeführt bzw. es sind detaillierte Informationen hinterlegt, um eine Bewertung des Angriffsrisikos des Netzwerks so genau wie möglich vornehmen zu können.
  • In einer weiteren bevorzugten Weiterbildung der Erfindung kann vor der Auswahl eines geeigneten Kommunikationspfads und des geeigneten Datenübertragungsprotokolls bestimmt werden, ob die Kommunikation überhaupt stattfinden darf oder ob diese - durch zu hohe Sicherheitsrisiken - unterbunden werden sollte. Zudem können als Reaktion auf eine oder mehrere der Bewertungen auch andere Maßnahmen getroffen werden - nämlich z.B. eine spezielle Konfiguration der Firewall.
  • Das erfindungsgemäße Verfahren wird bevorzugt einmalig am Bandende (nach der Beendigung der Produktion des Automobils), nach einem Software-Update, nach dem Bekanntwerden von Sicherheitslücken oder beim Austausch oder Update eines Teilnehmers des Kommunikationspfads durchgeführt. Somit können vorteilhaft auch Sicherheitslücken nach der Auslieferung an den Endkunden erkannt werden, z.B. wenn ein Austausch von Steuergeräten erfolgt oder ein Software-Update bereitgestellt wurde. Somit ist auch eine erhöhte Angriffssicherheit während des Betriebs des Fahrzeugs durch den Endkunden gegeben.
  • In einer bevorzugten Weiterbildung wird die Bewertung des Angriffsrisikos der Kommunikationspfade mittels eines Algorithmus durchgeführt. Der Algorithmus kann bevorzugt anhand des Angriffsrisikos auch Risikoklassen erstellen und die Kommunikationspfade den Risikoklassen zuordnen. Dafür bezieht der Algorithmus insbesondere eine oder mehrere Datenbanken bezüglich der Parameter der Kommunikationspfade, der Datenübertragungsprotokolle und/oder der Informationen zu verschiedenen Angriffsszenarien in die Auswertung mit ein.
  • Ist für die Datenübertragung ein bestimmter Kommunikationspfad ausgewählt, vorgesehen oder vorgegeben, so kann z.B. über die Bewertung des Angriffsrisikos ein Datenübertragungsprotokoll für die Kommunikation ausgewählt werden, welches eine hohe Sicherheit gegen Angriffe bietet. Auch andersherum ist diese Auswahl möglich. Ist ein Datenübertragungsprotokoll ausgewählt, vorgegeben oder vorgesehen, kann anhand der Bewertung der Kommunikationspfade der Pfad ausgewählt werden, welches eine hohe Sicherheit gegen Angriffe bietet. Ferner kann aus einer Mehrzahl von möglichen Kommunikationspfaden und Datenübertragungsprotokollen die Konstellation ausgewählt werden, welche in dem Zusammenspiel zwischen Kommunikationspfad und Datenübertragungsprotokoll das geringste Sicherheitsrisiko birgt.
  • In einer bevorzugten Weiterbildung der Erfindung wird mindestens eine der Datenbanken, besonders bevorzugt alle Datenbanken bzw. für die Bewertung herangezogenen Daten, in einem sicheren Speicherbereich abgelegt. Insbesondere ist dieser sichere Speicherbereich mit einer Verschlüsselung versehen und somit vor Angriffen geschützt. Der sichere Speicherbereich kann dabei z.B. auf einem zentralen Steuergerät angeordnet sein.
  • Die Erfindung betrifft weiterhin eine elektronische Kontrolleinheit bzw. Steuereinheit für ein Kraftfahrzeugsteuergerät, welches zur Durchführung des Verfahrens ausgebildet ist.
  • Weitere bevorzugte Ausführungsformen ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen anhand von Figuren.
  • In schematischer Darstellung zeigen:
    • 1 den Aufbau eines Kommunikationspakets bzw. Stapels,
    • 2 eine exemplarische Abbildung eines Softwarestacks,
    • 3 ein exemplarisches Beispiel eines komplexen Ethernet/IP Kommunikationsstapels und dessen Verzweigungen,
    • 4 ein Ausführungsbeispiel der Erfindung,
    • 5 eine beispielhafte Ausgestaltung des erfindungsgemäßen Verfahrens, wobei eine Ermittlung von Konnektivitätsparametern und Schnittstellenparametern eines Steuergeräts dargestellt ist,
    • 6 eine beispielhafte Ausgestaltung des erfindungsgemäßen Verfahrens, wobei eine Ermittlung von Parametern zu Datenübertragungsprotokollen dargestellt ist,
    • 7 eine beispielhafte Risikobewertung der Protokolle,
    • 8 einen Beispielpfad eines kritischen Pfades im Fahrzeug mit Verbindung zu einer Cloud oder anderen externen Einheiten sowie
    • 9 Ausführungsbeispiel des erfindungsgemäßen Verfahrens zur Absicherung eines Kommunikationspfades.
  • Um eine kurze und einfache Beschreibung der Ausführungsbeispiele zu ermöglichen, werden gleiche Elemente mit den gleichen Bezugszeichen versehen.
  • Die 1 zeigt den generell bekannten Aufbau eines Kommunikationspakets bzw. Stapels 1. Die Herausforderungen mit dem Einzug von Ethernet und IP (Internet Protocol) liegen u.a. in der Komplexität der neuen Kommunikationsstacks (= Kommunikationsstapel) . Die erstmalige Verschmelzung von der Internet-Welt mit AUTOSAR erfordert viel Initial-Aufwand, da beide Welten ganz unterschiedlich funktionieren (z.B. statisch vs. dynamisch).
  • In 1 ist ein typisches Kommunikationspacket dargestellt. Ein Kommunikationsstapel (= Kommunikationsstack) geht bei Empfang des Pakets schrittweise vor und untersucht das Paket nach bestimmten, vordefinierten Filtern, um sie an den richtigen Empfänger (z.B. eine Anwendung) weiterzuleiten.
  • Das Kommunikationspaket umfasst den eigentlichen Dateninhalt 3 und beispielhaft mehrere Header 2a-d, die verschiedenen Schichten des Softwarestacks (siehe 2) zugeordnet sind. Für jede Schicht des Softwarestacks in ein Header vorgesehen, welche der Schicht des Softwarestacks notwendige Informationen zur Verarbeitung des Kommunikationspakets liefert.
  • 2 zeigt eine exemplarische Abbildung eines Softwarestacks 4 in einem Steuergerät. Dargestellt ist beispielhaft ein TCP/IP-Stack 6. Dieser wird von einem Kommunikationspaket (z.B. wie in 1 gezeigt) durchlaufen, wobei das Paket analysiert wird. Auf Basis der Analyse des Inhalts wird bestimmt, an welche Anwendung das Kommunikationspaket weitergeleitet wird.
  • Der dargestellte TCP/IP Stack 6 umfasst mehrere Schichten, hier dargestellt als Bezugsziffern 8, 10 und 12, wobei Schicht 8 als MAC (Media Access Control), Schicht 10 als IP (Internet Protocol) und Schicht 12 als TCP/UDP (Transmission Control Protocol / User Data Protocol) ausgebildet ist. Die Header des Kommunikationspakets (siehe 1) sind jeweils einer dieser Schichten zugeordnet.
  • Die MAC Schicht 8 steht stellvertretend für die Schichten Eins (physical layer) (z.B. mit Header 2a in 1) und Zwei (Bitübertragung) (z.B. mit Header 2b in 1) gemäß des allgemein bekannten OSI-Modells, IP für die dritte Schicht (z.B. mit Header 2c in 1) des OSI-Modells und TCP/UDP für die vierte Schicht (z.B. mit Header 2d in 1) des OSI-Modells. In der Schicht 14 ist die Schicht „Middleware“ abgebildet, was den Schichten Fünf und Sechs des OSI-Modells entspricht (Kommunikationssteuerung und Darstellung). Darüber folgt als siebte Schicht 16 eine Anwendung („Application“-Schicht).
  • Ethernet-Frames, also die Datenpakete 1, werden an den TCP/IP Stack 6 übermittelt. Die Daten- und Verwaltungsinfos 18 einer Schicht (PDUs = Payload Data Unit) kann beispielgemäß von dem TCP/IP Stack 6 an die „Middleware-Schicht“ 14 übertragen werden.
  • 3 zeigt ein exemplarisches Beispiel eines komplexen Ethernet/IP Kommunikationsstapels und dessen Verzweigungen. Es wird ersichtlich, dass es vielfältige Möglichkeiten des Inhalts eines Ethernet-Pakets gibt, welche in einem solchen Softwarestack verarbeitet werden müssen. Die Komplexität der Softwarestacks steigt im Automobil mit dem Einzug von Ethernet und IP sehr stark an. Die Nachweisbarkeit für einen deterministischen Softwarestack ist nicht mehr so einfach gegeben, insbesondere durch die vielfältigen Möglichkeiten der Verzweigung.
  • 4 zeigt ein Ausführungsbeispiel der Erfindung, bei dem eine Datenbank 20 in einem zentralen Gateway 22 hinterlegt wird oder der zentrale Gateway 22 auf diese Datenbank 20 Zugriff hat. Die Datenbank 20 enthält Informationen, welche durch das erfindungsgemäße Verfahren ermittelt werden. Abzweigend von dem zentralen Gateway 22 sind weitere Gateways (GW) und Steuergeräte bzw. mögliche Kommunikationsparter (als Kästchen gezeichnet) dargestellt, welche über CAN (Control Area Network), LIN (Local Interconnect Network), FlexRay, MOST (Media Oriented Systems Transport), WLAN (Wireless Local Area Network), LVDS (Low Voltage Differential Signaling), Bluetooth oder Ethernet miteinander verbunden sind.
  • Alle diese verschiedenen möglichen Verbindungen werden in dem erfindungsgemäßen Verfahren berücksichtigt, wobei mindestens in einer Datenbank (z.B. 20) Risikobewertungen zu den einzelnen Verbindungsmöglichkeiten abgelegt sind. Die Risikobewertungen geben dabei das Risiko an, von Dritten über die Verbindung Zugriff auf Daten und/oder eine Kontrolle über Steuer-/Regelmechanismen im Fahrzeug zu erhalten. Die Informationen dieser Datenbank 20 werden - z.B. von einem Algorithmus - verwendet, um Kommunikationspfade und Datenübertragungsprotokolle Risikoklassen zuzuordnen. Anhand der Risikoklassen wird dann ausgewählt, welcher Kommunikationspfad in Kombination mit welchem Datenübertragungsprotokoll die Kommunikation bzw. Datenübertragung zwischen mehreren Teilnehmern durchführen soll. Dabei wird bevorzugt eine Kombination aus Kommunikationspfad und Datenübertragungsprotokoll gewählt, welche ein relativ geringes Sicherheitsrisiko aufweisen bzw. bei denen ein relativ geringes Angriffsrisiko festgestellt wurde.
  • 5 zeigt ein Ausführungsbeispiel der Erfindung zur Ermittlung von Konnektivitätsparametern und Schnittstellenparametern einer Steuereinheit.
  • Erläuterung der einzelnen Schritte:
    • 30: Beginn der Abfrage der Steuergeräte nach Konnektivität und Schnittstellen
    • 32: Unterstützt die ECU Funktechnologien wie bspw. WLAN, Bluetooth?
    • 33: Anfrage nach MAC-Adresse und IP-Adresse dieses Geräts incl. der Adressen der direkt verbundenen Steuergeräte
    • 34: Besitzt die ECU Schnittstellen welche für Diagnose oder das Laden vorgesehen sind (OBD, Powerline...)?
    • 35: Anfrage der MAC-Adresse und IP-Adresse dieses Geräts incl. der Adressen der direkt verbundenen Steuergeräte und des Power-Status
    • 36: Besitzt die ECU eine Verteilerfunktionalität (Switch, Router, Gateway)?
    • 37: Anfrage der IP-Adresse dieses Geräts und der Portzustände und Geschwindigkeiten
    • 38: Besitzt die ECU schnelle Schnittstellen wie 100BaseT1, vergleichbar oder schneller?
    • 39: Abfrage nach Policing und Rate-Limiting Funktionen
    • 40: Ende
  • Beispielsweise kann abgefragt werden, ob die Steuereinheit (ECU) Funkverbindungen wie bspw. WLAN oder Bluetooth unterstützt (Bezugsziffer 32) . Wenn ja, werden die MAC-Adresse und/oder die IP-Adresse des Geräts ermittelt 33 und in einer Datenbank 20 abgespeichert. Bevorzugt werden ebenfalls die Adressen (MAC und IP) der mit der Steuereinheit verbundenen Geräte in der Datenbank 20 gespeichert. Weiterhin kann beispielsweise abgefragt werden, ob die Steuereinheit Schnittstellen aufweist, welche für eine Diagnose oder ein Laden (OBD - On Board Diagnose, PLC - Powerline Communication, ...) geeignet sind 34. Auch hier können wieder die Adressen abgespeichert werden sowie zusätzlich der Power-Status (falls eine Schnittstelle für Powerline Communication vorhanden ist) 35. Der Power-Status kann in diesem Fall die Art sein, wie die Schnittstelle mit Strom versorgt wird, also z.B. von einer externen Batterie oder von einer internen Batterie.
  • Eine weitere beispielgemäße Abfrage kann die Verteilerfunktionalität der Steuereinheit betreffen 36. Wenn die Steuereinheit eine Verteilerfunktionalität hat, kann sie auf verschiedene Busse zugreifen und damit verschiedene Kommunikationsteilnehmer (z.B. Switch, Router, Gateway) erreichen. Neben der Speicherung von IP-Adressen dieser Steuereinheit und der verbindbaren Kommunikationsteilnehmer werden hier bevorzugt auch der jeweilige Zustand der Ports und die möglichen Geschwindigkeiten in der Datenbank 20 abgespeichert 37. Als Zustand der Ports können z.B. die Energiezustände wie „Aus“, „An“, „Energiesparmodus“, „Weckfähig“ usw. vorgesehen sein.
  • Als weitere Abfrage kann beispielsweise vorgesehen sein, die Geschwindigkeit der Schnittstellen zu ermitteln, insbesondere, ob eine schnelle Schnittstelle wie z.B. 100BASE-T1 vorhanden ist, oder nicht 38. Diesbezüglich werden bevorzugt Informationen zu Überwachung (Policing) und Rate-Limiting-Funktionen herangezogen. Im Rahmen einer Rate-Limiting-Funktion wird eine Datenrate bezogen auf eine Zeiteinheit eingestellt. Beim sog. Policing wird dann überwacht, dass die maximale Datenrate pro Zeiteinheit nicht überschritten wird. Falls eine Überschreitung eintritt, z.B. wenn mehr Daten als eingestellt versendet werden, werden diese z.B. verworfen. Die Informationen bzw. Einstellungen zu den genannten Funktionen können als Parameter für die Schnittstellen erfasst 39 und in einer Datenbank 20 gespeichert werden.
  • Die einzelnen Abfrageschritte können dabei in einer Programmier-Schleife durchlaufen werden und Teil eines Algorithmus sein, welcher beispielsweise auf einem zentralen Steuergerät, z.B. Gateway 22, und bevorzugt in einem sicheren Speicherbereit abgelegt ist. Auch die Datenbanken 20 sind bevorzugt in diesem oder einem anderen sicheren Speicherbereich hinterlegt.
  • Bevorzugt werden die in einem Netzwerk eines Fahrzeugs vorhandenen Steuergeräte mittels des o.g. Verfahrens anhand ihrer Konnektivität in Risikoklassen eingeordnet, um wichtige Parameter zu speichern, anhand deren die Zuordnung zu Sicherheitsmechanismen stattfinden wird. Dabei sind diese ECUs entweder mit Funktechnologien ausgestattet oder mit offenen Netzwerkschnittstellen, welche kontaktiert werden können.
  • Daran anschließend kann beispielsweise eine Überprüfung auf die Protokollunterstützung stattfinden. Dies kann einmalig geschehen (Bandende), vor anstehenden Verbindungen nach außen, nach einem Software-Update oder mit Bekanntwerden von Sicherheitslücken in bestehenden Protokollen. Das Verfahren kann dabei zentral ausgelöst werden oder von individuellen ECUs angefragt werden. Steht zum Beispiel der Aufbau eines Kommunikationspfades an und sollen beispielsweise Diagnosedaten von einem Antennenmodul per Funk übertragen werden, so kann das Antennenmodul die jeweiligen Nachbargeräte auf deren Protokollunterstützung prüfen.
  • 6 zeigt beispielhaft einen Teil des erfindungsgemäßen Verfahrens und die darin enthaltenen Einzelschritte bzw. Vorgehensschritte des Algorithmus. Die einzelnen Schritte sind: 50: Start der Untersuchung auf Protokollimplementierungen Von jedem Steuergerät 51 wird jede Schnittstelle 52 untersucht, ob bestimmte Protokolltypen 53 unterstützt werden 54 und/oder weitergeleitet werden 55.
  • Schritt 54: Es wird ermittelt, ob die Schnittstelle das Protokoll unterstützt.
  • Schritt 55: Es wird ermittelt, ob die Schnittstelle das Protokoll weiterleitet.
  • Schritt 56: Speicherung von Informationen in einer Datenbank 20, wobei die Informationen z.B. die ECU, die Schnittstelle und den Protokolltyp betreffen.
  • 57: Ende des Programmablaufs
  • In 6 sind einige Anmerkungen in der Figur zusätzlich zu den Bezugszeichen aufgeführt, da diese einen Programmablauf darstellen, der durch die Anmerkungen besser zu verstehen ist.
  • Demnach wird für jede ECU und für jede Schnittstelle der ECUs ermittelt, ob verschiedene Protokolltypen unterstützt werden 51-54. Die Protokolltypen werden von dem Algorithmus bevorzugt jeweils einzeln abgefragt 53. Die Ergebnisse werden in einer Datenbank 20 abgespeichert. Dabei ergibt sich bevorzugt eine Tabelle mit der Nennung der ECU, der Schnittstelle und ob der jeweilige Protokolltyp unterstützt wird. Beispielgemäß könnte eine derartige Ergebnistabelle wie in 7 gezeigt, erstellt werden. Die in 7 gezeigte Matrix spiegelt die tatsächliche Implementierung und nicht die Spezifikation wieder. Fehler bei der Implementierung oder auch Lücken können hierdurch identifiziert werden. Zusätzlich kann die Matrix z.B. dem TÜV oder Systemhersteller dienen, um ein Fahrzeug in Richtung Security zu verifizieren und zu prüfen - unabhängig von daraus resultierenden Mechanismen und noch bevor die Auslieferung des Fahrzeugs an den Endkunden erfolgt.
  • 8 zeigt beispielsgemäß einen kritischen Pfad 60, der in diesem Fall aus einer externen Verbindung (z.B. Funkverbindung zu einer Cloud) 62 besteht. Externe Verbindungen werden in der Parameteranalyse bevorzugt von vornherein als kritischer eingestuft bzw. bewertet, als ausschließlich interne Verbindungen. Beispielsweise soll eine Datenübertragung in Form eines Softwaredownloads 64 eingeleitet werden, wobei die Software aus der Cloud 62 heruntergeladen werden soll. Ein interner Speicher 66 ist dafür beispielsweise mit einem Gateway 68 (kann identisch sein mit 22) über eine Headunit 70 verbunden und der Gateway 68 über ein WLAN-Verbindungsmodul 72 mit der Cloud 62. Diese Kette aus Kommunikationspartnern 62-72 stellt somit gemäß des Beispiels den Kommunikationspfad 60 dar. Dieser Pfad 60 wird auf sein Angriffsrisiko bewertet, d.h. daraufhin, wie hoch das Risiko ist, Opfer von einem Angriff Dritter zu werden, welcher ggf. die Sicherheit im Fahrzeug gefährden könnte. Dafür werden die einzelnen Kommunikationsteilnehmer 62-72 untersucht auf ihre Konnektivitätsparameter und ihre Schnittstellenparameter. Gleichzeitig wird in die Bewertung bevorzugt einbezogen, wie das Risiko der einzelnen möglichen Datenübertragungsprotokolle ist. Soll dieser Pfad 60 für die Kommunikation gewählt werden und stellt sich heraus, dass das vorgesehene Protokoll bei Betrachtung des Angriffsrisikos des Pfads 60 zu unsicher ist, kann beispielsweise ein anderes Protokoll für die Übertragung der Daten gewählt werden. Alternativ können auch andere, sicherere Pfade für die Kommunikation ausgewählt werden.
  • Dieser in 8 beispielhaft gezeigte Pfad 60 kann durch den Systemdesigner oder Architekten vorgegeben werden und als solcher auch definiert werden oder dynamisch ermittelt werden.
  • Weiterhin kann nach Prüfung der Matrix (7) der Pfad 60 noch zusätzlich auf seine Lücken geprüft werden. So kann es vorkommen, dass ein unkritischer Pfad trotzdem kritisch wird. Beispielsweise können durch ein Fehlverhalten eines Steuergerätes dessen Daten an eine CPU weitergeleitet werden, wodurch ein anderes Steuergerät blockiert wird und zum Erliegen kommt.
  • Beispiel für Komunikationspfad und Parameter:
  • Involvierte Steuergeräte:
  • Antenne, Gateway (incl. Switch), Headunit
  • Protokolle:
  • Ethernet, VLAN, Zeitsynchronisation, IP, TCP, SOME/IP
  • Nachrichtenfrequenz:
  • x/Pakete pro Sekunde Ethernet, x/Pakete pro Sekunde TCP, ... max. Paketgröße
  • Ein Datenstrom, welcher als sicher gilt, kann zur Gefahr werden, wenn statt 10 Datenpaketen pro Sekunde plötzlich 1000 von einer zentralen Recheneinheit verarbeitet werden sollen. Die CPU (können auch mehrere sein) ist deshalb so wichtig, da einkommende Datenpakete immer mit einer hohen Priorität verarbeitet (angenommen und gespeichert) werden. Wenn zu viele Pakete in einer zu hohen Frequenz und Paketgröße eintreffen, so kann die CPU blockiert und damit das Steuergerät gänzlich ausfallen.
  • Steht ein Kommunikationspfad fest, z.B. wie der in 8, so können die involvieren Steuergeräte 62-72 auf dessen Risikoklasse und auf dessen Protokollunterstützung angefragt werden. Mit Hilfe der zur Kommunikation notwendigen Protokolle können so sofort Lücken und/oder Risiken erkannt werden. Beispielsweise wird bei dieser Verbindung der TCP-Datenverkehr zu CPU in der Headunit 70 weitergeleitet. Diese Info liegt der Risikobewertung vor. Noch vor dem Aufbau der eigentlichen Verbindung kann in der Headunit 70, oder schon früher (im Gateway 68) der TCP-Verkehr limitiert werden, also eine maximale Paketdatenrate pro Sekunde festgelegt werden.
  • Weiterhin kann auf Basis der Kommunikationsparameter und der (bereits) erkannten Lücken eine Firewall in der Headunit 70 konfiguriert werden. Dass bedeutet, dass die Filter der Firewall auf diese Kommunikation eingestellt werden bzw. hierauf höhere Priorität gelegt wird.
  • 9 zeigt eine mögliche Gesamtansicht des erfindungsgemäßen Verfahrens. Zu Beginn des Verfahrens werden demnach bevorzugt zunächst Abfragen an die einzelnen Kommunikationsteilnehmer hinsichtlich ihrer Schnittstellen und ihrer Konnektivitätsparameter durchgeführt 80. Die Ergebnisse werden in einer Datenbank 20 abgelegt. Weiterhin, z.B. als nächster Schritt, werden die unterstützten Datenübertragungsprotokolle abgefragt 82 und ebenfalls in einer Datenbank gespeichert. Dabei wird auch das Angriffsrisiko der jeweiligen Datenübertragungsprotokolle gespeichert. Da generell verschiedene Typen von Datenübertragungsprotokollen bereits bekannt sind, können die jeweils vorhandenen Angriffsrisiken auch bereits als Informationen in einer Datenbank hinterlegt sein, die dann bei Ermittlung der unterstützen Protokolle herangezogen wird. Die Bewertung des Angriffsrisikos der Datenübertragungsprotokolle findet dann auf Grundlage der hinterlegten Informationen statt.
  • Insgesamt kann eine Risikomatrix 84 (wie in 7 gezeigt) entstehen. Sodann wird der Pfad auf sein Angriffsrisiko bewertet 86. Dies kann mittels eines Algorithmus erfolgen. Anschließend kann aus den unterstützten Datenübertragungsprotokollen das Protokoll für die Kommunikation ausgewählt 88 werden, welches ein relativ geringes Sicherheitsrisiko (Risiko für einen Angriff auf das Netzwerk) aufweist.
  • Anhand der Klassifizierungen kann zudem das Level der möglichen Sicherheitsressourcen bestimmt und zugeteilt werden 90, wodurch während der Entwurfsphase, bei der Bandendeprogrammierung oder bei einer dynamischen und disruptiven Architektur die Informationssicherheit im Netzwerk geplant und implementiert werden kann.
  • Überblick über die Schritte:
    • 80: Ermittlung der Konnektivitätsparameter und Schnittstellenparameter der Kommunikationsteilnehmer
    • 82: Ermittlung, welche Protokolle unterstützt werden
    • 84: Erstellung einer Risikomatrix
    • 86: Berechnung/Abfrage des kritischen Pfades
    • 88: Analyse der notwendigen Protokolle / Auswahl eines geeigneten Datenübertragungsprotokolls
    • 90: Definition der Sicherheitsverfahren
  • Die Speicherung der Datenbanken 20 und/oder des Algorithmus zur Bewertung erfolgt besonders bevorzugt sowohl zentral als auch in jedem einzelnen Steuergerät. Auf Basis der unterstützten und nicht unterstützen Protokolle und dessen Verarbeitung entsteht eine sog. Risikobewertung. Diese Risikobewertung kann dann genutzt werden, um einen Kommunikationspfad zu analysieren und abzusichern. Diese Matrix wird bei der Erstellung eines Kommunikationspfades abgefragt und bei Bedarf werden Aktionen definiert. Die dabei entstehende Matrix spiegelt die tatsächliche Implementierung und nicht die Spezifikation wieder. Fehler bei der Implementierung oder auch Sicherheitslücken können hierdurch identifiziert werden. Zusätzlich kann die Matrix unabhängig von daraus resultierenden Mechanismen dazu dienen, eine Verifizierung und Prüfung eines Fahrzeugs hinsichtlich der Informationssicherheit vorzunehmen.
  • Nach Erkenntnis der Protokollunterstützung kann z.B. eine ECU seine Protokollwahl ändern, da es Probleme auf einem Pfad gibt. Hier können bspw. sicherere Protokolle gewählt werden.
  • Die Datenbanken sind in den vorliegenden Figuren mit der Bezugsziffer 20 versehen. Die einzelnen ermittelten Parameter und Angriffsrisiken können jedoch ebenfalls in getrennten / eigenen Datenbanken gespeichert werden. In diesem Fall liegt dann jeweils eine Datenbank für die Schnittstellenparameter, für die Konnektivitätsparameter, für das Angriffsrisiko der Kommunikationspfade oder Kommunikationsteilnehmer, für das Angriffsrisiko der Datenübertragungsprotokolle und für die Risikoklassen vor.
  • Die Erfindung definiert Mechanismen, um für potentielle Angriffsfunktionen die richtige Softwareverzweigungen auszuwählen. Die Erfindung legt dar, welche Pakete zu welcher Art von Anwendung finden können und welche nicht.
  • Die Erfindung kann Anwendung finden bei der Bandendeprogrammierung und im Systemtest. Weiterhin werden zukünftig immer mehr Software-Updates für das Auto angeboten werden, wodurch neue Funktionen ermöglicht werden. Durch die große Variantenvielfalt bietet sich die Erfindung an, die Softwarestacks im Fahrzeug nach einem Update in der Gesamtheit, als auch partiell zu prüfen und neu zu bewerten. Die Erfindung schlägt ein Verfahren vor, dass diese Regelmechanismen und Möglichkeiten über eine Schnittstelle im Netz konfiguriert und verwertbar macht. Somit wird erkennbar, welche potentiellen Lücken bestehen und ob die Software vorgegebenen Anforderungen genügt. Durch dieses Verfahren kann auch Transparenz geschaffen werden und so das ganze Netzwerk im Hinblick auf Security viel einfacher geprüft, als auch getestet, werden.

Claims (9)

  1. Verfahren für ein Kommunikationsnetzwerk in einem Kraftfahrzeug, wobei für eine Kommunikation in dem Kommunikationsnetzwerk eine Datenübertragung in mindestens einem Kommunikationspfad (60) durchgeführt wird, dadurch gekennzeichnet, dass das Verfahren folgenden Verfahrensschritt umfasst: - Bewertung (86) der zur Datenübertragung infrage kommenden Kommunikationspfade (60) hinsichtlich ihres Angriffsrisikos, wobei das Angriffsrisiko das Risiko darstellt, welches der jeweilige Kommunikationspfad (60) hinsichtlich eines Angriffs zur Ausnutzung von Sicherheitslücken hat.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass für die Kommunikation in dem Kommunikationspfad (60) mindestens ein Datenübertragungsprotokoll (4) vorgesehen ist, wobei das Verfahren zusätzlich folgenden Schritt umfasst: - Bewertung (82) der zur Datenübertragung infrage kommenden Datenübertragungsprotokolle (4) hinsichtlich ihres Angriffsrisikos.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass das Verfahren folgende Schritte umfasst: - Auswahl eines Kommunikationspfades (60) und eines Datenübertragungsprotokolls (4) zur Datenübertragung basierend auf der Bewertung (86) des Angriffsrisikos des Kommunikationspfads und der Bewertung (82) des Angriffsrisikos der Datenübertragungsprotokolle, sowie - Durchführung der Datenübertragung mit dem ausgewählten Kommunikationspfad (60) und dem ausgewählten Datenübertragungsprotokoll (4).
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass - jeder Kommunikationspfad (60) mehrere Kommunikationsteilnehmer (62, 66, 68, 70, 72) umfasst, wobei mindestens einer der Kommunikationsteilnehmer Teil des Kommunikationsnetzwerks ist und als Steuereinheit im Kraftfahrzeug ausgebildet ist, wobei das Verfahren folgende weitere Schritte umfasst: - Ermittlung von Schnittstellenparametern der mindestens einen Steuereinheit und - Ablage der Schnittstellenparameter in einer Datenbank (20), sowie - Heranziehung der Schnittstellenparameter zur Bewertung (86) der Kommunikationspfade (60).
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass - jeder Kommunikationspfad (60) mehrere Kommunikationsteilnehmer (62, 66, 68, 70, 72) umfasst, wobei mindestens einer der Kommunikationsteilnehmer Teil des Kommunikationsnetzwerks ist und als Steuereinheit im Kraftfahrzeug ausgebildet ist, wobei das Verfahren folgende weitere Schritte umfasst: - Ermittlung von Konnektivitätsparametern der mindestens einen Steuereinheit und - Ablage der Konnektivitätsparameter in einer Datenbank (20), sowie - Heranziehung der ermittelten Konnektivitätsparameter zur Bewertung (86) der Kommunikationspfade (60).
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Verfahren den folgenden Verfahrensschritt umfasst: - Zuordnung der Kommunikationspfade (60) und Datenübertragungsprotokolle (4) zu Risikoklassen unter Heranziehung der jeweils zugehörigen Bewertung des Angriffsrisikos (86, 82) .
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass für die Bewertung (86, 82) des Angriffsrisikos der Kommunikationspfade (60) und/oder der Datenübertragungsprotokolle (4) Informationen zu verschiedenen Angriffsszenarien herangezogen werden.
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Verfahren einmalig am Bandende, nach einem Software-Update, nach dem Bekanntwerden von Sicherheitslücken oder beim Austausch oder Update eines Teilnehmers des Kommunikationspfads (60) durchgeführt wird.
  9. Elektronische Kontrolleinheit für ein Kraftfahrzeugsteuergerät, dadurch gekennzeichnet, dass das Kraftfahrzeugsteuergerät ausgebildet ist, um das Verfahren nach einem der Ansprüche 1 bis 8 durchzuführen.
DE102016222741.6A 2016-11-18 2016-11-18 Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit Pending DE102016222741A1 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE102016222741.6A DE102016222741A1 (de) 2016-11-18 2016-11-18 Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit
CN201780066678.1A CN109937563B (zh) 2016-11-18 2017-11-13 用于通信网络的方法、和电子监测单元
PCT/EP2017/079027 WO2018091401A1 (de) 2016-11-18 2017-11-13 Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
JP2019526329A JP2020501420A (ja) 2016-11-18 2017-11-13 通信ネットワーク用の方法及び電子監視ユニット
US16/344,876 US11038912B2 (en) 2016-11-18 2017-11-13 Method of selecting the most secure communication path
EP17804113.3A EP3542510A1 (de) 2016-11-18 2017-11-13 Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
KR1020197014356A KR102293752B1 (ko) 2016-11-18 2017-11-13 통신 네트워크를 위한 방법, 및 전자 제어 유닛

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016222741.6A DE102016222741A1 (de) 2016-11-18 2016-11-18 Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit

Publications (1)

Publication Number Publication Date
DE102016222741A1 true DE102016222741A1 (de) 2018-05-24

Family

ID=60452608

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016222741.6A Pending DE102016222741A1 (de) 2016-11-18 2016-11-18 Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit

Country Status (7)

Country Link
US (1) US11038912B2 (de)
EP (1) EP3542510A1 (de)
JP (1) JP2020501420A (de)
KR (1) KR102293752B1 (de)
CN (1) CN109937563B (de)
DE (1) DE102016222741A1 (de)
WO (1) WO2018091401A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760092A (zh) * 2022-03-09 2022-07-15 浙江零跑科技股份有限公司 一种用于智能汽车与云平台的网络数据安全检测系统

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110383773B (zh) * 2017-01-05 2022-02-25 伽德诺克斯信息技术有限公司 具有相关设备的被配置成基于面向服务的体系结构实施集中式服务ecu的专门编程的计算系统及其使用方法
JP2020184651A (ja) * 2019-04-26 2020-11-12 日本電産モビリティ株式会社 車載制御装置、及び情報処理装置
JP7411355B2 (ja) * 2019-08-30 2024-01-11 マツダ株式会社 車載ネットワークシステム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150188935A1 (en) * 2013-12-31 2015-07-02 Cisco Technology, Inc. Attack mitigation using learning machines
US20150195297A1 (en) * 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Global automotive safety system
US20150271201A1 (en) * 2012-10-17 2015-09-24 Tower-Sec Ltd. Device for detection and prevention of an attack on a vehicle

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8909926B2 (en) 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US8220042B2 (en) 2005-09-12 2012-07-10 Microsoft Corporation Creating secure interactive connections with remote resources
US9325737B2 (en) * 2007-06-28 2016-04-26 Motorola Solutions, Inc. Security based network access selection
JP2009071436A (ja) 2007-09-11 2009-04-02 Toshiba Corp 通信経路選択方法及び中継用情報処理機器
JP5188288B2 (ja) 2008-06-25 2013-04-24 株式会社Kddi研究所 暗号プロトコルの安全性検証装置、安全性検証方法およびプログラム
US8051480B2 (en) 2008-10-21 2011-11-01 Lookout, Inc. System and method for monitoring and analyzing multiple interfaces and multiple protocols
CN101937421A (zh) * 2009-07-03 2011-01-05 上海大潮电子技术有限公司 采集车辆实时运行信息而进行运行安全风险评估的方法
US8863256B1 (en) 2011-01-14 2014-10-14 Cisco Technology, Inc. System and method for enabling secure transactions using flexible identity management in a vehicular environment
EP3056394B1 (de) * 2013-10-08 2022-11-30 ICTK Holdings Co., Ltd. Netzwerkvorrichtung für fahrzeugsicherheit und entwurfsverfahren dafür
US9282110B2 (en) 2013-11-27 2016-03-08 Cisco Technology, Inc. Cloud-assisted threat defense for connected vehicles

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150271201A1 (en) * 2012-10-17 2015-09-24 Tower-Sec Ltd. Device for detection and prevention of an attack on a vehicle
US20150188935A1 (en) * 2013-12-31 2015-07-02 Cisco Technology, Inc. Attack mitigation using learning machines
US20150195297A1 (en) * 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Global automotive safety system
US20150191135A1 (en) * 2014-01-06 2015-07-09 Argus Cyber Security Ltd. Bus watchman

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114760092A (zh) * 2022-03-09 2022-07-15 浙江零跑科技股份有限公司 一种用于智能汽车与云平台的网络数据安全检测系统

Also Published As

Publication number Publication date
KR20190065439A (ko) 2019-06-11
KR102293752B1 (ko) 2021-08-24
CN109937563B (zh) 2021-10-22
US11038912B2 (en) 2021-06-15
US20190268368A1 (en) 2019-08-29
JP2020501420A (ja) 2020-01-16
EP3542510A1 (de) 2019-09-25
WO2018091401A1 (de) 2018-05-24
CN109937563A (zh) 2019-06-25

Similar Documents

Publication Publication Date Title
EP3542511B1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
EP2954498B1 (de) Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
EP3248362B1 (de) Datenübertragung in einem kommunikationsnetzwerk
WO2018091401A1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
EP1602214A1 (de) Verfahren, system und speichermedium zum eintragen von datennetzwerk-erreichbarkeitsinformationen
DE102017120505A1 (de) System zur Verifikation einer unregistrierten Vorrichtung basierend auf Informationen eines Ethernet-Switchs und Verfahren für dasselbige
DE19740547A1 (de) Sicherer Netzwerk-Proxy zum Verbinden von Entitäten
DE102017202022A1 (de) Kraftfahrzeug mit einem fahrzeuginternen Datennetzwerk sowie Verfahren zum Betreiben des Kraftfahrzeugs
DE112019005529T5 (de) Fahrzeugseitige Kommunikationsvorrichtung, Kommunikationssteuerverfahren und Kommunikationssteuerprogramm
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
DE112020003655T5 (de) Sdn-basiertes eindrigungsverhinderungsverfahren für fahrzeuginternenetzwerke und system zur verwendung davon
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102019210226A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk
CN114338234B (zh) 一种处理报文的方法及装置
EP3881507A1 (de) Steuergerätearchitektur für fahrzeuge
DE102019210223A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
DE102004020880B4 (de) Schnittstelle zur Kommunikation zwischen Fahrzeug-Applikationen und Fahrzeug-Bussystemen
DE102018216959B4 (de) Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug
EP3963839B1 (de) Netzwerkverteiler, automatisierungsnetzwerk und verfahren zur datenübertragung in einem automatisierungsnetzwerk
DE102020128284A1 (de) Verfahren zum Überwachen eines Datennetzwerks in einem Kraftfahrzeug sowie Switchvorrichtung und Kraftfahrzeug
EP4170977A1 (de) Verfahren zum überwachen eines datennetzwerks in einem kraftfahrzeug sowie switchvorrichtung und kraftfahrzeug
WO2021197822A1 (de) Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
DE102021207870A1 (de) Verfahren und Recheneinheit zum Verwalten von Diagnoseanfragen in einem Netzwerk
WO2008006773A1 (de) Kommunikationssystem und -verfahren zur datenkommunikation

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029040000

Ipc: H04L0029080000

R163 Identified publications notified
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029080000

Ipc: H04L0065000000

R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE