DE102017202602A1 - Method and device for operating a control device on a bus - Google Patents

Method and device for operating a control device on a bus Download PDF

Info

Publication number
DE102017202602A1
DE102017202602A1 DE102017202602.2A DE102017202602A DE102017202602A1 DE 102017202602 A1 DE102017202602 A1 DE 102017202602A1 DE 102017202602 A DE102017202602 A DE 102017202602A DE 102017202602 A1 DE102017202602 A1 DE 102017202602A1
Authority
DE
Germany
Prior art keywords
control unit
messages
bus
filter
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017202602.2A
Other languages
German (de)
Inventor
Rene GUILLAUME
Arthur Mutter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017202602.2A priority Critical patent/DE102017202602A1/en
Priority to CN201810151236.3A priority patent/CN108462702B/en
Publication of DE102017202602A1 publication Critical patent/DE102017202602A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Verfahren zum Betreiben eines Steuergerätes an einem Bus (20), gekennzeichnet durch folgende Merkmale:
- über den Bus (20) zu übertragende Nachrichten werden durch eine Filterfunktion (29) des Steuergerätes anhand von Filterlisten überwacht und
- die Nachrichten werden abhängig von durch die Filterlisten definierten Filterkriterien durch die Filterfunktion (29) fallweise unterdrückt.

Figure DE102017202602A1_0000
Method for operating a control device on a bus (20), characterized by the following features:
- via the bus (20) to be transmitted messages are monitored by a filter function (29) of the control unit based on filter lists and
- The messages are suppressed by the filter function (29) on a case-by-case basis, depending on the filter criteria defined by the filter lists.
Figure DE102017202602A1_0000

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Steuergerätes an einem Bus. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.The present invention relates to a method for operating a control device on a bus. The present invention also relates to a corresponding device, a corresponding computer program and a corresponding storage medium.

Stand der TechnikState of the art

In Steuerungs- und Regelungstechnik hinlänglich bekannt ist das gemäß ISO 11898-2 zur Anwendung in Straßenfahrzeugen standardisierte Controllerbereichsnetzwerk (controller area network, CAN). CAN basiert auf einem nachrichtenorientierten Protokoll, bei welchem jede Nachricht durch eine eindeutige Kennung (identifier, ID) bezeichnet wird. Jedes an ein CAN angeschlossene Steuergerät prüft anhand dieser ID selbständig die Relevanz der über den gemeinsamen Bus übertragenen Nachrichten und entscheidet über deren Verwertung.Well-known in control and regulation technology is the controller area network (controller area network, CAN) standardized according to ISO 11898-2 for use in road vehicles. CAN is based on a message-oriented protocol in which each message is identified by a unique identifier (ID). Each control unit connected to a CAN independently uses this ID to check the relevance of the messages transmitted via the shared bus and decides on their utilization.

Zum Betrieb des Steuergerätes im CAN dient ein Sendeempfänger (transceiver) auf der Bitübertragungsschicht (physical layer, PHY), der von einem Kommunikationscontroller auf der Sicherungsschicht (data link layer) angesteuert wird. Letzterer wiederum kann unmittelbar in einem Mikrocontroller (µC) integriert sein, dessen Software die Telegrammrahmen (frames) der Nachrichten auf der Anwendungsschicht (application layer) verarbeitet.The operation of the control unit in the CAN is a transceiver on the physical layer (physical layer, PHY), which is controlled by a communication controller on the data link layer. The latter in turn can be integrated directly into a microcontroller (μC) whose software processes the message frames of the messages on the application layer.

In DE 10 2015 207 220 A1 wird ein Verfahren zur Generierung eines Geheimnisses oder Schlüssels in einem Netzwerk, insbesondere einem CAN, vorgestellt. Hierbei weist das Netzwerk mindestens einen ersten und einen zweiten Teilnehmer und einen Übertragungskanal zwischen mindestens dem ersten und dem zweiten Teilnehmer auf. Der erste und der zweite Teilnehmer können jeweils mindestens einen ersten Wert und einen zweiten Wert auf den Übertragungskanal geben. Der erste Teilnehmer bzw. der zweite Teilnehmer veranlassen eine erste Teilnehmerwertfolge bzw. eine zweite Teilnehmerwertfolge zur zueinander weitgehend synchronen Übertragung auf den Übertragungskanal. Auf Basis von Informationen über die erste Teilnehmerwertfolge bzw. die zweite Teilnehmerwertfolge sowie auf Basis einer aus einer Überlagerung der ersten Teilnehmerwertfolge mit der zweiten Teilnehmerwertfolge auf dem Übertragungskanal resultierenden Überlagerungswertfolge generieren der erste Teilnehmer bzw. der zweite Teilnehmer ein gemeinsames Geheimnis oder einen gemeinsamen Schlüssel. Dieses Verfahren wird nachfolgend als PnS bezeichnet.In DE 10 2015 207 220 A1 A method for generating a secret or key in a network, in particular a CAN, is presented. In this case, the network has at least a first and a second subscriber and a transmission channel between at least the first and the second subscriber. The first and second subscribers may each provide at least a first value and a second value to the transmission channel. The first subscriber or the second subscriber initiate a first subscriber value sequence or a second subscriber value sequence for transmission to the transmission channel which is largely synchronous with one another. On the basis of information about the first subscriber value sequence or the second subscriber value sequence and on the basis of an overlay value sequence resulting from a superposition of the first subscriber value sequence with the second subscriber value sequence on the transmission channel, the first subscriber or the second subscriber generate a shared secret or a common key. This method is referred to below as PnS.

Offenbarung der ErfindungDisclosure of the invention

Die Erfindung stellt ein Verfahren zum Betreiben eines Steuergerätes an einem Bus, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium gemäß den unabhängigen Ansprüchen bereit. Gemeinsames Merkmal dieser Ausführungsformen ist eine zur Absicherung dienende Filterfunktion, wie sie etwa von Firewalls bekannt ist. Der Begriff „Filter“ ist hierbei in einem weiten Wortsinn zu verstehen und erfasst beispielsweise sowohl eine gezielte Entkopplung vom Bus als auch eine aktive Erkennung und Zerstörung bestimmter Frames.The invention provides a method for operating a control device on a bus, a corresponding device, a corresponding computer program and a corresponding storage medium according to the independent claims. A common feature of these embodiments is a hedging filter function, such as is known by firewalls. The term "filter" is to be understood in a broad sense and includes, for example, both a targeted decoupling from the bus as well as an active detection and destruction of certain frames.

Der vorgeschlagene Ansatz erkennt, dass beim
PnS-Schlüsselgenerierungsprozess die Gefahr eines Angriffs durch einen Mittelsmann (man in the middle, MITM) besteht. Ein solcher Angriff könnte ausnutzen, dass bei PnS zunächst (vor der ersten Schlüsselgenerierung) keine hinreichende Authentisierung möglich ist, wenn die Teilnehmer über kein gemeinsames Geheimnis verfügen und ihre Identität nicht von einer vertrauenswürdigen weiteren Partei überprüft werden kann. Auch im laufenden Betrieb ist ein MITM-Angriff möglich, falls die Möglichkeit zur Authentisierung aus Komplexitätsgründen nicht genutzt wird. Ein Aspekt der Erfindung besteht somit darin, PnS gegen MITM-Angriffe zu verteidigen. Eine Authentisierung der einzelnen Knoten ist hierzu nicht notwendig.The proposed approach recognizes that when
PnS key generation process involves the risk of being attacked by a middleman (MIT). Such an attack could exploit that PnS initially (before the first key generation) no adequate authentication is possible if the participants have no common secret and their identity can not be checked by a trusted other party. A MITM attack is also possible during operation if the authentication option is not used for reasons of complexity. One aspect of the invention is thus to defend PnS against MITM attacks. Authentication of the individual nodes is not necessary for this purpose.

Ein Vorzug der hier vorgestellten Lösung liegt dementsprechend darin, dass ein System, welches auf PnS beruht, besser gegen MITM-Angriffe geschützt wird. Dabei kann auf eine Authentisierung mittels kryptografischer Schlüssel verzichtet werden.Accordingly, one advantage of the solution presented here is that a system based on PnS is better protected against MITM attacks. In this case, an authentication by means of cryptographic keys can be dispensed with.

Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich. So kann vorgesehen sein, dass die besagte Filterfunktion durch einen gesicherten Sendeempfänger (secure transceiver) des Steuergerätes ausgeübt wird. Die Schutzwirkung gegen MITM-Angriffe ist in dieser Ausführungsform viel robuster, da die Firewall-Funktionalität im Sendeempfänger und nicht im Mikrocontroller selbst implementiert ist: Ein Mikrocontroller könnte aufgrund eines Befalls durch Schadsoftware die Überwachung nicht durchführen, oder er könnte - zum Beispiel zwecks Diagnose - in einen speziellen Modus versetzt werden, in welchem er seine Funktion nicht verrichtet. Eine im Mikrocontroller umgesetzte Filterfunktion ist somit angreifbarer als eine hardwaremäßig getrennte Implementierung, aber sie gewährt dennoch Schutz vor MITM-Angriffen. Die entsprechende Manipulation eines Sendeempfängers gestaltet sich deutlich aufwändiger, sodass ein vergleichbarer Angriff in diesem Szenario unwahrscheinlich ist.The measures listed in the dependent claims advantageous refinements and improvements of the independent claim basic idea are possible. Thus, it can be provided that the said filter function is exercised by a secure transceiver of the control unit. The mitigating effect against MITM attacks is much more robust in this embodiment because the firewall functionality is implemented in the transceiver and not in the microcontroller itself: a microcontroller could not monitor because of infestation by malware, or it could - for example, for diagnostic purposes - be placed in a special mode in which he does not perform his function. A filter function implemented in the microcontroller is thus more vulnerable than a hardware-separate implementation, but still provides protection against MITM attacks. The corresponding manipulation of a transceiver is significantly more complex, so a similar attack is unlikely in this scenario.

Figurenlistelist of figures

Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:

  • 1 das Flussdiagramm eines Verfahrens gemäß einer ersten Ausführungsform.
  • 2 schematisch ein CAN gemäß einer zweiten Ausführungsform.
Embodiments of the invention are illustrated in the drawings and explained in more detail in the following description. It shows:
  • 1 the flowchart of a method according to a first embodiment.
  • 2 schematically a CAN according to a second embodiment.

Ausführungsformen der ErfindungEmbodiments of the invention

1 illustriert einen grundlegenden funktionalen Aspekt: Über den Bus zu übertragende Nachrichten werden durch eine Filterfunktion des Steuergerätes anhand von Filterlisten (externe Daten 14) überwacht (Prozess 11) und abhängig von durch die Filterlisten (14) definierten Filterkriterien durch die Filterfunktion fallweise (Entscheidung 12) unterdrückt (Prozess 13). Dies kann, wie im Folgenden erläutert werden soll, insbesondere durch eine gezielte Entkopplung vom Bus als auch eine aktive Erkennung und Zerstörung bestimmter Frames geschehen. 1 illustrates a fundamental functional aspect: messages to be transmitted over the bus are filtered by a filter function of the controller based on filter lists (external data 14 ) (process 11 ) and dependent on the filter lists ( 14 ) defined filter criteria by the filter function case by case (decision 12 ) is suppressed (process 13 ). This can, as will be explained below, in particular be done by a targeted decoupling from the bus as well as an active detection and destruction of certain frames.

Folgende Konfiguration soll diesen Ablauf verdeutlichen: Angenommen seien ein erstes Steuergerät (21), ein zweites Steuergerät (22) und ein drittes Steuergerät (23), die zusammen einen kryptographischen Schlüssel mittels PnS aushandeln sollen. Zudem gibt es ein viertes Steuergerät (24), das dieser Gruppe nicht angehört und dazu genutzt wird, einen MITM-Angriff durchzuführen. 2 zeigt einen CAN-Bus (20) mit diesen beispielhaften Teilnehmern sowie den Aufbau der Steuergeräte (21, 22, 23, 24) mit gesichertem Sendeempfänger (28). Grundsätzlich kommen die zwei nachfolgend beschriebenen - wahlweise kombinierbaren - Ausführungsformen der Filterfunktion (29) in Betracht.The following configuration is intended to clarify this procedure: Assume a first control unit ( 21 ), a second controller ( 22 ) and a third control unit ( 23 ), which together should negotiate a cryptographic key using PnS. There is also a fourth control unit ( 24 ) that does not belong to this group and is used to conduct a MITM attack. 2 shows a CAN bus ( 20 ) with these exemplary participants and the structure of the control devices ( 21 . 22 . 23 . 24 ) with secured transceiver ( 28 ). Basically, the two described below - optionally combinable - embodiments of the filter function ( 29 ).

Gemäß einer ersten Variante überwacht der gesicherte Sendeempfänger (28) auf dem eigenen Steuergerät die selbst gesendeten Frames. Wenn das vierte Steuergerät (24) nun Frames sendet, die es nicht senden darf, so entkoppelt der gesicherte Sendeempfänger (28) das vierte Steuergerät (24) vom CAN-Bus (20), indem er zum Beispiel das Sendesignal (transmit, Tx) zukünftig ignoriert und auf dem CAN Bus (20) nur noch ein rezessives Signal sendet. Die Konfiguration des Sendeempfängers (25) kann anhand einer Positivliste (whitelist) freigegebener IDs - anderweitige Nachrichten führen zum Entkoppeln des Steuergerätes - oder einer Negativliste (blacklist) unerlaubter IDs - entsprechend gekennzeichnete Nachrichten führen zum Entkoppeln des Steuergerätes - erfolgen.According to a first variant, the secured transceiver monitors ( 28 ) on the own control unit the self sent frames. If the fourth control unit ( 24 ) now sends frames that it is not allowed to send, the secure transceiver decouples ( 28 ) the fourth control device ( 24 ) from the CAN bus ( 20 ), for example, by ignoring the transmit signal (transmit, Tx) in the future and 20 ) only sends a recessive signal. The configuration of the transceiver ( 25 ) can be based on a whitelist of approved IDs - other messages lead to decoupling of the control unit - or a negative list (blacklist) unauthorized IDs - messages marked accordingly lead to the decoupling of the control unit - done.

Gemäß einer zweiten Variante überwachen die jeweiligen gesicherten Sendeempfänger (28) die auf dem CAN-Bus (20) gesendeten Frames. Wenn das vierte Steuergerät (24) nun einen Frame sendet, den nur das dritte Steuergerät (23) senden darf, so zerstört der gesicherte Sendeempfänger (28) des dritten Steuergerätes (23) den Frame. Die Konfiguration des gesicherten Sendeempfängers (28) kann auch hier anhand einer Positivliste oder Negativliste erfolgen.According to a second variant, the respective secured transceivers ( 28 ) on the CAN bus ( 20 ) sent frames. If the fourth control unit ( 24 ) now sends a frame which only the third control unit ( 23 ), the secured transceiver destroys ( 28 ) of the third control device ( 23 ) the frame. The configuration of the secured transceiver ( 28 ) can also be done here on the basis of a positive list or negative list.

Denkbar sind ferner zwei Anwendungsszenarien:Also conceivable are two application scenarios:

In einem ersten Szenario verfügen das erste Steuergerät (21), das zweite Steuergerät (22) und das dritte Steuergerät (23) über eine für die gemeinsame Schlüsselgenerierung in allen drei Knoten genutzte ID. In Betracht kommt etwa die zum Austausch der PnS-Bitsequenzen oder gemäß einem Protokoll auf einer höheren Abstraktionsebene zur Steuerung der Schlüsselgenerierung verwendete ID. Eine gemeinsame Nutzung von IDs für die normale CAN-Kommunikation berücksichtigt deren begrenzte Verfügbarkeit, erfordert andererseits jedoch eine umfassende Koordination, damit nie zwei Knoten zeitgleich eine Botschaft mit derselben ID senden. Für den Austausch der PnS-Bitsequenzen ist die Nutzung einer gemeinsamen ID zwingend.In a first scenario, the first controller ( 21 ), the second control device ( 22 ) and the third control device ( 23 ) via an ID used for joint key generation in all three nodes. Consider, for example, the ID used to exchange the PnS bit sequences or according to a protocol at a higher level of abstraction to control key generation. Sharing IDs for normal CAN communication takes into account their limited availability, but requires extensive coordination so that no two nodes ever send a message with the same ID at the same time. For the exchange of PnS bit sequences, the use of a common ID is mandatory.

Bei Verwendung mindestens einer derart durch das erste Steuergerät (21), das zweite Steuergerät (22) und das dritte Steuergerät (23) gemeinsam zur Schlüsselerzeugung genutzten ID bietet sich die oben erläuterte erste Verfahrensvariante an. Hierzu wird dem vierten Steuergerät (24) untersagt, Nachrichten unter einer der gemeinsam genutzten IDs zu versenden. Damit kann das vierte Steuergerät (24) keinen MITM-Angriff mehr durchführen, weil es bestimmte Botschaften nicht senden kann, die für die Schlüsselgenerierung notwendig wären. So kann das vierte Steuergerät (24) die durch das erste Steuergerät (21), das zweite Steuergerät (22) und das dritte Steuergerät (23) zum Zwecke der Schlüsselerzeugung gebildete Gruppe nicht infiltrieren.When using at least one such by the first control device ( 21 ), the second control device ( 22 ) and the third control device ( 23 ) jointly used for key generation ID offers the above-explained first method variant. For this purpose, the fourth control unit ( 24 ) prohibits sending messages under one of the shared IDs. This allows the fourth control unit ( 24 ) no longer carry out a MITM attack because it can not send certain messages that would be necessary for key generation. So the fourth control unit ( 24 ) by the first control unit ( 21 ), the second control device ( 22 ) and the third control device ( 23 ) do not infiltrate the group formed for purposes of key generation.

Um als MITM die Schlüsselgenerierung zu manipulieren, müsste das vierte Steuergerät (24) am Schlüsselaustausch der durch das erste Steuergerät (21), das zweite Steuergerät (22) und das dritte Steuergerät (23) gebildeten Gruppe teilnehmen können. Der gesicherte Sendeempfänger (28) des vierten Steuergerätes (24) wird daher so konfiguriert, dass das vierte Steuergerät (24) mindestens einen zum Schlüsselaustausch benötigten Frame nicht senden kann. Zu denken ist insbesondere an die zum Austausch der PnS-Bitsequenzen genutzte ID: Diese ID ist für den Schlüsselaustausch elementar, weil die Frames mit dieser ID sich auf dem Bus (20) überlagern. Jeder Knoten in der besagten Gruppe darf derartige Frames senden. Der gesicherte Sendeempfänger (28) des vierten Steuergerätes (24) wird daher vorzugsweise so konfiguriert, dass das vierte Steuergerät (24) keine solchen Frames versenden kann. Somit wird das vierte Steuergerät (24) bei seinem MITM-Angriff vom CAN-Bus (20) entkoppelt, sobald es einen Frame mit der hierzu reservierten ID versendet. Diese Trennung sollte mindestens bis zum Abschluss des PnS-Verfahrens andauern.In order to manipulate the key generation as MITM, the fourth control unit ( 24 ) on the key exchange by the first control unit ( 21 ), the second control device ( 22 ) and the third control device ( 23 ) can participate. The secured transceiver ( 28 ) of the fourth control device ( 24 ) is therefore configured so that the fourth control unit ( 24 ) can not send at least one frame needed for key exchange. In particular, the ID used for exchanging the PnS bit sequences is to be considered: This ID is elementary for the key exchange because the frames with this ID are located on the bus ( 20 overlay). Each node in said group is allowed send such frames. The secured transceiver ( 28 ) of the fourth control device ( 24 ) is therefore preferably configured so that the fourth control unit ( 24 ) can not send such frames. Thus, the fourth controller ( 24 ) during its MITM attack from the CAN bus ( 20 ) decoupled as soon as it sends a frame with the ID reserved for this purpose. This separation should last at least until completion of the PnS process.

In einem zweiten Szenario verfügen das erste Steuergerät (21), das zweite Steuergerät (22) und das dritte Steuergerät (23) über jeweils mindestens eine exklusiv zugeteilte ID für die Schlüsselgenerierung. Jeder Knoten dieser Gruppe nutzt somit eine eindeutige Kennung für die Übertragung von Nachrichten über den CAN-Bus (20), zumindest für die Dauer der PnS-Schlüsselgenerierung. Ist beispielsweise die ID 0x100 ausschließlich dem ersten Steuergerät (21) vorbehalten, so dürfen weder das zweite Steuergerät (22), das dritte Steuergerät (23) noch das vierte Steuergerät (24) über den Bus (20) einen Frame mit der ID 0x100 versenden. Damit der Schlüsselaustausch zwischen dem ersten Steuergerät (21), dem zweiten Steuergerät (22) und dem dritten Steuergerät (23) erfolgreich abgeschlossen wird, muss jeder dieser Knoten während des Schlüsselaustausches mindestens einmal einen Frame mit seiner exklusiven ID senden. Z. B. könnten die Knoten die exklusive ID für den Frame verwenden, um zu bestätigen, dass sie den neu generierten Schlüssel erfolgreich verifiziert haben. In diesem Szenario kann ein MITM-Schutz in beiden der oben erörterten Varianten erreicht werden.In a second scenario, the first controller ( 21 ), the second control device ( 22 ) and the third control device ( 23 ) via at least one exclusively assigned ID for the key generation. Each node of this group thus uses a unique identifier for the transmission of messages via the CAN bus ( 20 ), at least for the duration of the PnS key generation. For example, if the ID 0x100 is exclusive to the first controller ( 21 ), neither the second control unit ( 22 ), the third control device ( 23 ) nor the fourth control unit ( 24 ) over the bus ( 20 ) send a frame with the ID 0x100. So that the key exchange between the first control unit ( 21 ), the second control device ( 22 ) and the third control device ( 23 ) is completed successfully, each of these nodes must send a frame with its exclusive ID at least once during the key exchange. For example, the nodes could use the exclusive ID for the frame to confirm that they have successfully verified the newly generated key. In this scenario, MITM protection can be achieved in both of the variants discussed above.

Unter der Annahme der ersten Variante beispielsweise könnte das vierte Steuergerät (24) dazu missbraucht werden, als MITM die Schlüsselgenerierung zu manipulieren. Dazu müsste das vierte Steuergerät (24) am Schlüsselaustausch zwischen dem ersten Steuergerät (21), dem zweiten Steuergerät (22) und dem dritten Steuergerät (23) teilnehmen können. Der gesicherte Sendeempfänger (28) des vierten Steuergerätes (24) wird daher so konfiguriert, dass dieses mindestens eine zum Schlüsselaustausch benötigte ID pro Steuergerät (21, 22, 23) nicht senden kann, zum Beispiel eine exklusiv für das erste Steuergerät (21), das zweite Steuergerät (22) und das dritte Steuergerät (23) reservierte ID. Damit kann das vierte Steuergerät (24) sich weder als das erste Steuergerät (21), das zweite Steuergerät (22) noch als das dritte Steuergerät (23) „ausgeben“. Das vierte Steuergerät (24) wird bei seinem MITM-Angriff somit vom CAN-Bus (20) entkoppelt, sobald es einen entsprechenden Frame versendet.For example, assuming the first variant, the fourth controller ( 24 ) are misused to manipulate key generation as MITM. This would require the fourth control unit ( 24 ) on the key exchange between the first control unit ( 21 ), the second control device ( 22 ) and the third control device ( 23 ) can participate. The secured transceiver ( 28 ) of the fourth control device ( 24 ) is therefore configured so that it has at least one ID required per key exchange ( 21 . 22 . 23 ), for example one exclusive to the first controller ( 21 ), the second control device ( 22 ) and the third control device ( 23 ) reserved ID. This allows the fourth control unit ( 24 ) neither as the first control device ( 21 ), the second control device ( 22 ) as the third control device ( 23 ) "output". The fourth control unit ( 24 ) is thus attacked by the CAN bus during its MITM attack ( 20 ) decoupled as soon as it sends a corresponding frame.

Unter der Annahme der zweiten Variante könnten beispielsweise die gesicherten Sendeempfänger (28) des ersten Steuergerätes (21), des zweiten Steuergerätes (22) und des dritten Steuergerätes (23) individuell konfiguriert werden. Z.B. wird der gesicherte Sendeempfänger (28) des ersten Steuergerätes (21) hierzu als einziger berechtigt, einen Frame mit der ID 0x100 zu senden. Wenn also dieser gesicherte Sendeempfänger (28) des ersten Steuergerätes (21) eine Nachricht mit dieser ID auf dem Bus (20) vorfindet, obwohl das erste Steuergerät (21) keine solche Nachricht gesendet hat, wird es den Frame auf dem Bus (20) zerstören, z. B. durch Überschreiben eines rezessiven Bits mit einem dominanten Bit. Die gesicherten Sendeempfänger (28) des zweiten Steuergerätes (22) und des dritten Steuergerätes (23) werden entsprechend konfiguriert, z. B. jener des zweiten Steuergerätes (22) mit der exklusiven ID 0x101 und jener des dritten Steuergerätes (23) mit der exklusiven ID 0x102. Der gesicherte Sendeempfänger (28) des vierten Steuergerätes (24) muss hierzu nicht konfiguriert werden. Wird nun eines der Steuergeräte (21, 22, 23, 24) für einen MITM-Angriff missbraucht und gibt sich als ein anderes Steuergerät aus, so wird der Angriff erkannt, sobald es den Frame mit der exklusiven ID verschickt. Der MITM-Angriff würde somit verhindert.Assuming the second variant, for example, the secure transceivers ( 28 ) of the first control unit ( 21 ), the second control device ( 22 ) and the third control unit ( 23 ) are configured individually. For example, the secure transceiver ( 28 ) of the first control unit ( 21 ) is the only one authorized to send a frame with ID 0x100. So if this secure transceiver ( 28 ) of the first control unit ( 21 ) a message with this ID on the bus ( 20 ), although the first controller ( 21 ) has not sent such a message, it will be the frame on the bus ( 20 ) destroy, for. By overwriting a recessive bit with a dominant bit. The secured transceivers ( 28 ) of the second control device ( 22 ) and the third control unit ( 23 ) are configured accordingly, z. B. that of the second control unit ( 22 ) with the exclusive ID 0x101 and that of the third control unit ( 23 ) with the exclusive ID 0x102. The secured transceiver ( 28 ) of the fourth control device ( 24 ) does not need to be configured for this. Will now one of the control units ( 21 . 22 . 23 . 24 ) for a MITM attack and pretends to be another controller, the attack will be detected as soon as it sends the frame with the exclusive ID. The MITM attack would thus be prevented.

Unabhängig von den genannten Varianten müssen die gesicherten Sendeempfänger (28) nicht zwingend die ID als Filterkriterium heranziehen, sondern können prinzipiell jedes andere Feld oder Bit - möglicherweise in Kombination - eines Frames berücksichtigen. Auch eine Filterung anhand kompletter Frames ist denkbar, ohne den Rahmen der Erfindung zu verlassen.Regardless of the variants mentioned, the secure transceivers ( 28 ) do not necessarily use the ID as a filter criterion, but can in principle consider any other field or bit - possibly in combination - of a frame. A filtering based on complete frames is conceivable without departing from the scope of the invention.

Ebenso wenig müssen die Sendeempfänger (25) zwingend konfigurierbar sein, sondern können über fest hinterlegte Negativ- oder Positivlisten verfügen. Die PnS-Schlüsselgenerierung sollte dann unter Berücksichtigung dieser Listen erfolgen, um den MITM-Schutz zu gewähren.Likewise, the transceivers ( 25 ), but can have fixed negative or positive lists. The PnS key generation should then be done considering these lists to grant MITM protection.

Ein Verfahren (10) gemäß einer Ausführungsform funktioniert unabhängig davon, ob das PnS-Verfahren im Mikrocontroller (26) oder im gesicherten Sendeempfänger (28) implementiert wird. Das Verfahren (10) funktioniert auch, wenn die Filterfunktion (29) nicht durch den gesicherten Sendeempfänger (28) selbst, sondern ein separates Bauteil zwischen Transceiver (25) und Mikrocontroller (26), im Mikrocontroller (26) als eigenständige Schaltung oder im Mikrocontroller (26) mithilfe des CAN-Kommunikationscontrollers (27) ausgeübt wird.A procedure ( 10 ) according to one embodiment, regardless of whether the PnS method in the microcontroller ( 26 ) or in the secured transceiver ( 28 ) is implemented. The procedure ( 10 ) also works if the filter function ( 29 ) not by the secure transceiver ( 28 ) itself, but a separate component between transceivers ( 25 ) and microcontroller ( 26 ), in the microcontroller ( 26 ) as an independent circuit or in the microcontroller ( 26 ) using the CAN communication controller ( 27 ) is exercised.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102015207220 A1 [0004]DE 102015207220 A1 [0004]

Claims (10)

Verfahren (10) zum Betreiben eines Steuergerätes an einem Bus (20), gekennzeichnet durch folgende Merkmale: - über den Bus (20) zu übertragende Nachrichten werden durch eine Filterfunktion (29) des Steuergerätes anhand von Filterlisten (14) überwacht (11) und - die Nachrichten werden abhängig von durch die Filterlisten (14) definierten Filterkriterien durch die Filterfunktion (29) fallweise (12) unterdrückt (13).Method (10) for operating a control unit on a bus (20), characterized by the following features: - messages to be transmitted via the bus (20) are monitored (11) and 11 by a filter function (29) of the control unit on the basis of filter lists (14) - The messages are suppressed depending on by the filter lists (14) defined filter criteria by the filter function (29) case by case (12) (13). Verfahren (10) nach Anspruch 1, gekennzeichnet durch folgendes Merkmal: - die Filterfunktion (29) wird durch einen gesicherten Sendeempfänger (28) des Steuergerätes ausgeübt.Method (10) according to Claim 1 characterized by the following feature: - the filter function (29) is exercised by a secure transceiver (28) of the control unit. Verfahren (10) nach Anspruch 2, gekennzeichnet durch folgendes Merkmal: - die Filterkriterien beziehen sich auf eine Nachrichtenkennung der Nachrichten.Method (10) according to Claim 2 characterized by the following feature: the filter criteria relate to a message identifier of the messages. Verfahren (10) nach Anspruch 3, dadurch gekennzeichnet, dass die Filterlisten (14) mindestens eines der folgenden umfassen: - eine Positivliste erlaubter Nachrichtenkennungen oder - eine Negativliste unerlaubter Nachrichtenkennungen.Method (10) according to Claim 3 , characterized in that the filter lists (14) comprise at least one of the following: - a positive list of permitted message identifiers or - a negative list of unauthorized message identifiers. Verfahren (10) nach einem der Ansprüche 1 bis 4, gekennzeichnet durch folgende Merkmale: - die überwachten (11) Nachrichten werden vom Steuergerät gesendet und - die Nachrichten werden unterdrückt (13), indem der gesicherte Sendeempfänger (28) das Steuergerät vom Bus (20) entkoppelt.Method (10) according to one of Claims 1 to 4 characterized by the following features: - the monitored (11) messages are sent by the controller and - the messages are suppressed (13) by the secure transceiver (28) decoupling the controller from the bus (20). Verfahren (10) nach einem der Ansprüche 1 bis 4, gekennzeichnet durch folgende Merkmale: - die überwachten (11) Nachrichten werden von einem weiteren Steuergerät gesendet und - die Nachrichten werden unterdrückt (13), indem der gesicherte Sendeempfänger (28) die zu unterdrückenden Nachrichten auf dem Bus (20) zerstört.Method (10) according to one of Claims 1 to 4 characterized by the following features: - the monitored (11) messages are sent by another controller and - the messages are suppressed (13) by the secure transceiver (28) destroying the messages to be suppressed on the bus (20). Verfahren (10) nach Anspruch 1, gekennzeichnet durch folgendes Merkmal: - die Filterfunktion (29) wird durch einen Mikrocontroller (26) des Steuergerätes mithilfe eines Kommunikationscontrollers (27) ausgeübt.Method (10) according to Claim 1 characterized by the following feature: the filter function (29) is exercised by a microcontroller (26) of the control unit by means of a communication controller (27). Computerprogramm, welches eingerichtet ist, das Verfahren (10) nach einem der Ansprüche 1 bis 7 auszuführen.Computer program, which is arranged, the method (10) according to one of Claims 1 to 7 perform. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.Machine-readable storage medium on which the computer program is based Claim 8 is stored. Vorrichtung (20, 21, 22, 23, 24), die eingerichtet ist, das Verfahren (10) nach einem der Ansprüche 1 bis 7 auszuführen.Apparatus (20, 21, 22, 23, 24) arranged to perform the method (10) according to any one of Claims 1 to 7 perform.
DE102017202602.2A 2017-02-17 2017-02-17 Method and device for operating a control device on a bus Pending DE102017202602A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102017202602.2A DE102017202602A1 (en) 2017-02-17 2017-02-17 Method and device for operating a control device on a bus
CN201810151236.3A CN108462702B (en) 2017-02-17 2018-02-14 Method and device for operating a control unit on a bus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017202602.2A DE102017202602A1 (en) 2017-02-17 2017-02-17 Method and device for operating a control device on a bus

Publications (1)

Publication Number Publication Date
DE102017202602A1 true DE102017202602A1 (en) 2018-08-23

Family

ID=63046085

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017202602.2A Pending DE102017202602A1 (en) 2017-02-17 2017-02-17 Method and device for operating a control device on a bus

Country Status (2)

Country Link
CN (1) CN108462702B (en)
DE (1) DE102017202602A1 (en)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009112411A2 (en) * 2008-03-10 2009-09-17 Robert Bosch Gmbh Method and filter arrangement for filtering messages that are received via a serial data bus by a user node of a communications network
EP2339790A1 (en) * 2009-12-28 2011-06-29 Nxp B.V. Definition of wakeup bus messages for partial networking
CN102006245B (en) * 2010-12-10 2013-01-30 重庆亚德科技股份有限公司 Date exchanging and sharing platform
WO2013105916A1 (en) * 2011-12-01 2013-07-18 Intel Corporation Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules
GB201315826D0 (en) * 2013-09-05 2013-10-23 Trw Ltd Safety filter
JP6126980B2 (en) * 2013-12-12 2017-05-10 日立オートモティブシステムズ株式会社 Network device and network system

Also Published As

Publication number Publication date
CN108462702B (en) 2023-02-03
CN108462702A (en) 2018-08-28

Similar Documents

Publication Publication Date Title
DE102014224694B4 (en) Network device and network system
DE112019000485T5 (en) SYSTEM AND PROCEDURE FOR PROVIDING SECURITY FOR IN-VEHICLE NETWORK
WO2006133774A1 (en) Method and device enabling the component of a motor vehicle to reliably communicate with an external communication partner by means of a wireless communications connection
DE102014113582A1 (en) Apparatus, method and system for context aware security control in a cloud environment
DE102015002574B4 (en) Motor vehicle communication network with switch device
DE102018202996A1 (en) Method for performing a diagnosis
DE102021203094A1 (en) Communication network system for vehicles and its operating procedures
DE102020003739A1 (en) Procedure for the distribution and negotiation of key material
DE102014212484A1 (en) Data network of a device, in particular a vehicle
EP3266186B1 (en) Network device and method for accessing a data network from a network component
EP3152880B1 (en) Method for communication between secured computer systems, computer network infrastructure and computer program product
DE102012224234A1 (en) Method for controlling data frames with redundant identifier on e.g. controller area network bus, involves initiating termination of transmission of data frames, if identifier of frames is matched with identifier of second bus device
DE102019118286A1 (en) Distribution and use of quantum secure keys in a network
DE102017202239A1 (en) Method and device for agreeing a common key between a first node and a second node of a computer network
EP3363145B1 (en) Method and device for producing a common secret
DE102017202602A1 (en) Method and device for operating a control device on a bus
DE102018002466A1 (en) Method and device for establishing a secure data transmission connection
DE102015208293A1 (en) A method for excluding a subscriber from a group with authorized communication
DE102014109906A1 (en) A method for enabling external computer systems in a computer network infrastructure, distributed computer network with such a computer network infrastructure and computer program product
DE102021000645B3 (en) Procedure for checking cryptographic secrets for equality
DE202021102858U1 (en) Network device and system for managing multiple network devices
DE102015220083A1 (en) Circuitry for generating a secret or key in a network
DE102022208722A1 (en) Method for verifying system integrity of a vehicle system and associated vehicle system
WO2017064006A1 (en) Method and device for producing a common key in a field bus system
DE102020006075A1 (en) Procedure for securing stored user data

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R012 Request for examination validly filed