DE102017202602A1 - Method and device for operating a control device on a bus - Google Patents
Method and device for operating a control device on a bus Download PDFInfo
- Publication number
- DE102017202602A1 DE102017202602A1 DE102017202602.2A DE102017202602A DE102017202602A1 DE 102017202602 A1 DE102017202602 A1 DE 102017202602A1 DE 102017202602 A DE102017202602 A DE 102017202602A DE 102017202602 A1 DE102017202602 A1 DE 102017202602A1
- Authority
- DE
- Germany
- Prior art keywords
- control unit
- messages
- bus
- filter
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000004891 communication Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 description 6
- 230000006378 damage Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 206010061217 Infestation Diseases 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Selective Calling Equipment (AREA)
Abstract
Verfahren zum Betreiben eines Steuergerätes an einem Bus (20), gekennzeichnet durch folgende Merkmale:
- über den Bus (20) zu übertragende Nachrichten werden durch eine Filterfunktion (29) des Steuergerätes anhand von Filterlisten überwacht und
- die Nachrichten werden abhängig von durch die Filterlisten definierten Filterkriterien durch die Filterfunktion (29) fallweise unterdrückt.
Method for operating a control device on a bus (20), characterized by the following features:
- via the bus (20) to be transmitted messages are monitored by a filter function (29) of the control unit based on filter lists and
- The messages are suppressed by the filter function (29) on a case-by-case basis, depending on the filter criteria defined by the filter lists.
Description
Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Steuergerätes an einem Bus. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.The present invention relates to a method for operating a control device on a bus. The present invention also relates to a corresponding device, a corresponding computer program and a corresponding storage medium.
Stand der TechnikState of the art
In Steuerungs- und Regelungstechnik hinlänglich bekannt ist das gemäß ISO 11898-2 zur Anwendung in Straßenfahrzeugen standardisierte Controllerbereichsnetzwerk (controller area network, CAN). CAN basiert auf einem nachrichtenorientierten Protokoll, bei welchem jede Nachricht durch eine eindeutige Kennung (identifier, ID) bezeichnet wird. Jedes an ein CAN angeschlossene Steuergerät prüft anhand dieser ID selbständig die Relevanz der über den gemeinsamen Bus übertragenen Nachrichten und entscheidet über deren Verwertung.Well-known in control and regulation technology is the controller area network (controller area network, CAN) standardized according to ISO 11898-2 for use in road vehicles. CAN is based on a message-oriented protocol in which each message is identified by a unique identifier (ID). Each control unit connected to a CAN independently uses this ID to check the relevance of the messages transmitted via the shared bus and decides on their utilization.
Zum Betrieb des Steuergerätes im CAN dient ein Sendeempfänger (transceiver) auf der Bitübertragungsschicht (physical layer, PHY), der von einem Kommunikationscontroller auf der Sicherungsschicht (data link layer) angesteuert wird. Letzterer wiederum kann unmittelbar in einem Mikrocontroller (µC) integriert sein, dessen Software die Telegrammrahmen (frames) der Nachrichten auf der Anwendungsschicht (application layer) verarbeitet.The operation of the control unit in the CAN is a transceiver on the physical layer (physical layer, PHY), which is controlled by a communication controller on the data link layer. The latter in turn can be integrated directly into a microcontroller (μC) whose software processes the message frames of the messages on the application layer.
In
Offenbarung der ErfindungDisclosure of the invention
Die Erfindung stellt ein Verfahren zum Betreiben eines Steuergerätes an einem Bus, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium gemäß den unabhängigen Ansprüchen bereit. Gemeinsames Merkmal dieser Ausführungsformen ist eine zur Absicherung dienende Filterfunktion, wie sie etwa von Firewalls bekannt ist. Der Begriff „Filter“ ist hierbei in einem weiten Wortsinn zu verstehen und erfasst beispielsweise sowohl eine gezielte Entkopplung vom Bus als auch eine aktive Erkennung und Zerstörung bestimmter Frames.The invention provides a method for operating a control device on a bus, a corresponding device, a corresponding computer program and a corresponding storage medium according to the independent claims. A common feature of these embodiments is a hedging filter function, such as is known by firewalls. The term "filter" is to be understood in a broad sense and includes, for example, both a targeted decoupling from the bus as well as an active detection and destruction of certain frames.
Der vorgeschlagene Ansatz erkennt, dass beim
PnS-Schlüsselgenerierungsprozess die Gefahr eines Angriffs durch einen Mittelsmann (man in the middle, MITM) besteht. Ein solcher Angriff könnte ausnutzen, dass bei PnS zunächst (vor der ersten Schlüsselgenerierung) keine hinreichende Authentisierung möglich ist, wenn die Teilnehmer über kein gemeinsames Geheimnis verfügen und ihre Identität nicht von einer vertrauenswürdigen weiteren Partei überprüft werden kann. Auch im laufenden Betrieb ist ein MITM-Angriff möglich, falls die Möglichkeit zur Authentisierung aus Komplexitätsgründen nicht genutzt wird. Ein Aspekt der Erfindung besteht somit darin, PnS gegen MITM-Angriffe zu verteidigen. Eine Authentisierung der einzelnen Knoten ist hierzu nicht notwendig.The proposed approach recognizes that when
PnS key generation process involves the risk of being attacked by a middleman (MIT). Such an attack could exploit that PnS initially (before the first key generation) no adequate authentication is possible if the participants have no common secret and their identity can not be checked by a trusted other party. A MITM attack is also possible during operation if the authentication option is not used for reasons of complexity. One aspect of the invention is thus to defend PnS against MITM attacks. Authentication of the individual nodes is not necessary for this purpose.
Ein Vorzug der hier vorgestellten Lösung liegt dementsprechend darin, dass ein System, welches auf PnS beruht, besser gegen MITM-Angriffe geschützt wird. Dabei kann auf eine Authentisierung mittels kryptografischer Schlüssel verzichtet werden.Accordingly, one advantage of the solution presented here is that a system based on PnS is better protected against MITM attacks. In this case, an authentication by means of cryptographic keys can be dispensed with.
Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich. So kann vorgesehen sein, dass die besagte Filterfunktion durch einen gesicherten Sendeempfänger (secure transceiver) des Steuergerätes ausgeübt wird. Die Schutzwirkung gegen MITM-Angriffe ist in dieser Ausführungsform viel robuster, da die Firewall-Funktionalität im Sendeempfänger und nicht im Mikrocontroller selbst implementiert ist: Ein Mikrocontroller könnte aufgrund eines Befalls durch Schadsoftware die Überwachung nicht durchführen, oder er könnte - zum Beispiel zwecks Diagnose - in einen speziellen Modus versetzt werden, in welchem er seine Funktion nicht verrichtet. Eine im Mikrocontroller umgesetzte Filterfunktion ist somit angreifbarer als eine hardwaremäßig getrennte Implementierung, aber sie gewährt dennoch Schutz vor MITM-Angriffen. Die entsprechende Manipulation eines Sendeempfängers gestaltet sich deutlich aufwändiger, sodass ein vergleichbarer Angriff in diesem Szenario unwahrscheinlich ist.The measures listed in the dependent claims advantageous refinements and improvements of the independent claim basic idea are possible. Thus, it can be provided that the said filter function is exercised by a secure transceiver of the control unit. The mitigating effect against MITM attacks is much more robust in this embodiment because the firewall functionality is implemented in the transceiver and not in the microcontroller itself: a microcontroller could not monitor because of infestation by malware, or it could - for example, for diagnostic purposes - be placed in a special mode in which he does not perform his function. A filter function implemented in the microcontroller is thus more vulnerable than a hardware-separate implementation, but still provides protection against MITM attacks. The corresponding manipulation of a transceiver is significantly more complex, so a similar attack is unlikely in this scenario.
Figurenlistelist of figures
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
-
1 das Flussdiagramm eines Verfahrens gemäß einer ersten Ausführungsform. -
2 schematisch ein CAN gemäß einer zweiten Ausführungsform.
-
1 the flowchart of a method according to a first embodiment. -
2 schematically a CAN according to a second embodiment.
Ausführungsformen der ErfindungEmbodiments of the invention
Folgende Konfiguration soll diesen Ablauf verdeutlichen: Angenommen seien ein erstes Steuergerät (
Gemäß einer ersten Variante überwacht der gesicherte Sendeempfänger (
Gemäß einer zweiten Variante überwachen die jeweiligen gesicherten Sendeempfänger (
Denkbar sind ferner zwei Anwendungsszenarien:Also conceivable are two application scenarios:
In einem ersten Szenario verfügen das erste Steuergerät (
Bei Verwendung mindestens einer derart durch das erste Steuergerät (
Um als MITM die Schlüsselgenerierung zu manipulieren, müsste das vierte Steuergerät (
In einem zweiten Szenario verfügen das erste Steuergerät (
Unter der Annahme der ersten Variante beispielsweise könnte das vierte Steuergerät (
Unter der Annahme der zweiten Variante könnten beispielsweise die gesicherten Sendeempfänger (
Unabhängig von den genannten Varianten müssen die gesicherten Sendeempfänger (
Ebenso wenig müssen die Sendeempfänger (
Ein Verfahren (
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- DE 102015207220 A1 [0004]DE 102015207220 A1 [0004]
Claims (10)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017202602.2A DE102017202602A1 (en) | 2017-02-17 | 2017-02-17 | Method and device for operating a control device on a bus |
CN201810151236.3A CN108462702B (en) | 2017-02-17 | 2018-02-14 | Method and device for operating a control unit on a bus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017202602.2A DE102017202602A1 (en) | 2017-02-17 | 2017-02-17 | Method and device for operating a control device on a bus |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102017202602A1 true DE102017202602A1 (en) | 2018-08-23 |
Family
ID=63046085
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102017202602.2A Pending DE102017202602A1 (en) | 2017-02-17 | 2017-02-17 | Method and device for operating a control device on a bus |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN108462702B (en) |
DE (1) | DE102017202602A1 (en) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009112411A2 (en) * | 2008-03-10 | 2009-09-17 | Robert Bosch Gmbh | Method and filter arrangement for filtering messages that are received via a serial data bus by a user node of a communications network |
EP2339790A1 (en) * | 2009-12-28 | 2011-06-29 | Nxp B.V. | Definition of wakeup bus messages for partial networking |
CN102006245B (en) * | 2010-12-10 | 2013-01-30 | 重庆亚德科技股份有限公司 | Date exchanging and sharing platform |
WO2013105916A1 (en) * | 2011-12-01 | 2013-07-18 | Intel Corporation | Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules |
GB201315826D0 (en) * | 2013-09-05 | 2013-10-23 | Trw Ltd | Safety filter |
JP6126980B2 (en) * | 2013-12-12 | 2017-05-10 | 日立オートモティブシステムズ株式会社 | Network device and network system |
-
2017
- 2017-02-17 DE DE102017202602.2A patent/DE102017202602A1/en active Pending
-
2018
- 2018-02-14 CN CN201810151236.3A patent/CN108462702B/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN108462702B (en) | 2023-02-03 |
CN108462702A (en) | 2018-08-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102014224694B4 (en) | Network device and network system | |
DE112019000485T5 (en) | SYSTEM AND PROCEDURE FOR PROVIDING SECURITY FOR IN-VEHICLE NETWORK | |
WO2006133774A1 (en) | Method and device enabling the component of a motor vehicle to reliably communicate with an external communication partner by means of a wireless communications connection | |
DE102014113582A1 (en) | Apparatus, method and system for context aware security control in a cloud environment | |
DE102015002574B4 (en) | Motor vehicle communication network with switch device | |
DE102018202996A1 (en) | Method for performing a diagnosis | |
DE102021203094A1 (en) | Communication network system for vehicles and its operating procedures | |
DE102020003739A1 (en) | Procedure for the distribution and negotiation of key material | |
DE102014212484A1 (en) | Data network of a device, in particular a vehicle | |
EP3266186B1 (en) | Network device and method for accessing a data network from a network component | |
EP3152880B1 (en) | Method for communication between secured computer systems, computer network infrastructure and computer program product | |
DE102012224234A1 (en) | Method for controlling data frames with redundant identifier on e.g. controller area network bus, involves initiating termination of transmission of data frames, if identifier of frames is matched with identifier of second bus device | |
DE102019118286A1 (en) | Distribution and use of quantum secure keys in a network | |
DE102017202239A1 (en) | Method and device for agreeing a common key between a first node and a second node of a computer network | |
EP3363145B1 (en) | Method and device for producing a common secret | |
DE102017202602A1 (en) | Method and device for operating a control device on a bus | |
DE102018002466A1 (en) | Method and device for establishing a secure data transmission connection | |
DE102015208293A1 (en) | A method for excluding a subscriber from a group with authorized communication | |
DE102014109906A1 (en) | A method for enabling external computer systems in a computer network infrastructure, distributed computer network with such a computer network infrastructure and computer program product | |
DE102021000645B3 (en) | Procedure for checking cryptographic secrets for equality | |
DE202021102858U1 (en) | Network device and system for managing multiple network devices | |
DE102015220083A1 (en) | Circuitry for generating a secret or key in a network | |
DE102022208722A1 (en) | Method for verifying system integrity of a vehicle system and associated vehicle system | |
WO2017064006A1 (en) | Method and device for producing a common key in a field bus system | |
DE102020006075A1 (en) | Procedure for securing stored user data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012260000 Ipc: H04L0043000000 |
|
R012 | Request for examination validly filed |