DE102018208832A1 - A method for containing an attack on a controller - Google Patents

A method for containing an attack on a controller Download PDF

Info

Publication number
DE102018208832A1
DE102018208832A1 DE102018208832.2A DE102018208832A DE102018208832A1 DE 102018208832 A1 DE102018208832 A1 DE 102018208832A1 DE 102018208832 A DE102018208832 A DE 102018208832A DE 102018208832 A1 DE102018208832 A1 DE 102018208832A1
Authority
DE
Germany
Prior art keywords
control unit
attack
security
network
fallback
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018208832.2A
Other languages
German (de)
Inventor
Andreas Ibing
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102018208832.2A priority Critical patent/DE102018208832A1/en
Publication of DE102018208832A1 publication Critical patent/DE102018208832A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Es werden ein Verfahren und eine Anordnung zum Eindämmen eines Angriffs auf ein Steuergerät (14) in einem Steuergeräteverbund vorgestellt. Dabei entscheidet nach Erkennen eines Angriffs auf das Steuergerät (14) ein Security-Manager (20) in dem Steuergeräteverbund über Security-Rückfallebenen und teil diese den verbleibenden Steuergeräten (24) als Befehle mit.A method and an arrangement for containing an attack on a control unit (14) in a control unit network are presented. After detecting an attack on the control unit (14), a security manager (20) in the control unit network decides on security fallback levels and shares these with the remaining control units (24) as commands.

Description

Die Erfindung betrifft ein Verfahren zum Eindämmen eines Angriffs auf ein Steuergerät, insbesondere auf ein Motorsteuergerät in einem Fahrzeug, und eine Anordnung zum Durchführen des Verfahrens. Die Erfindung betrifft weiterhin ein Computerprogramm und ein maschinenlesbares Speichermedium zum Durchführen des Verfahrens.The invention relates to a method for containing an attack on a control device, in particular an engine control unit in a vehicle, and an arrangement for carrying out the method. The invention further relates to a computer program and a machine-readable storage medium for carrying out the method.

Stand der TechnikState of the art

Steuergeräte sind elektronische Module, die in (Kraft-) Fahrzeugen zur Steuerung und Regelung von technischen Komponenten und damit von Vorgängen bzw. Abläufen in diesen Fahrzeugen eingesetzt werden. Motorsteuergeräte werden zum Steuern und/oder Regeln des Motors des Fahrzeugs eingesetzt und sind von besonderer Bedeutung beim Betrieb des Fahrzeugs.ECUs are electronic modules that are used in (power) vehicles for the control and regulation of technical components and thus of operations in these vehicles. Engine control units are used to control and / or regulate the engine of the vehicle and are of particular importance in the operation of the vehicle.

Im Betrieb des Fahrzeugs ist es insbesondere wichtig, die Sicherheit beim Betrieb des Fahrzeugs, die sogenannte Betriebssicherheit bzw. Safety, sicherzustellen. Alle Einrichtungen und Vorgänge im Fahrzeug, die hierzu dienen, werden unter dem Begriff der Safety-Überwachung bzw. Safety-Monitoring zusammengefasst. Neben der Betriebssicherheit ist in Fahrzeugen verstärkt auch die sogenannte Informationssicherheit bzw. Security von Bedeutung, deren Ziel es ist, die Vertraulichkeit von Daten und Informationen auch bei Angriffen von außen oder innen sicherzustellen. Insbesondere ist dabei zu beachten, dass sich solche Angriffe sowohl auf die Security als auch auf die Safety auswirken können. Das hierin vorgestellte Verfahren stellt ein Vorgehen bei einem erkannten Angriff dar und dient somit sowohl der Safety als auch der Security.In the operation of the vehicle, it is particularly important to ensure the safety during operation of the vehicle, the so-called operational safety. All equipment and processes in the vehicle that serve this purpose are summarized under the term safety monitoring or safety monitoring. In addition to operational safety, so-called information security or security is also increasingly important in vehicles, the aim of which is to ensure the confidentiality of data and information, even in the event of attacks from outside or inside. In particular, it should be noted that such attacks can affect both the security and the safety. The method presented here represents a procedure for a detected attack and thus serves both safety and security.

So ist es bekannt, in einem Motorsteuergerät in einer Monitoring-Komponente Plausibilitätsprüfungen im Hinblick auf die Safety durchzuführen und bei Fehlerverdacht Werte, wie bspw. die Drehmomentbegrenzung, zu korrigieren. Dieser Ansatz ist als Safety-Mehrebenenkonzept bekannt.It is thus known to carry out plausibility checks with regard to safety in an engine control unit in a monitoring component and to correct values such as, for example, the torque limitation in the case of suspected errors. This approach is known as a safety multi-level concept.

Weiterhin ist zu berücksichtigen, dass Steuergeräte eingebaute Selbsttests, sogenannte Built-in Self-Tests, durchführen. Zudem gibt es aufgrund der Emissionsgesetzgebung im Motorsteuergerät besonders viele Diagnose-Fehler-Überprüfungen bzw. Diagnostic Fault Checks. Bei Erkennen eines Fehlers, z. B. bei einem Sensorausfall, werden vordefinierte ausfallsichere Werte, sogenannte Fail-Safe-Werte, verwendet, um das Steuergerät in einen sicheren Zustand zu überführen. Dies wird unter dem Begriff „Limp Home“ zusammengefasst.It should also be taken into account that ECUs perform built-in self-tests. In addition, due to emissions legislation in the engine control unit, there are a particularly large number of diagnostic fault checks or diagnostic fault checks. Upon detection of an error, eg. As in a sensor failure, predefined fail-safe values, so-called fail-safe values are used to bring the controller in a safe state. This is summarized under the term "Limp Home".

Es sind weiterhin Angrifferkennungssysteme bekannt, die dazu dienen, einen Angriff, der gegen ein Computersystem oder Rechnernetz gerichtet ist, zu erkennen. Diese Systeme werden auch als Intrusion Detection Systeme (IDS) bezeichnet. Solche Intrusion Detection Systeme sind aus der IT-Welt (IT: Informationstechnologie) bekannt und dort verbreitet. Sie werden in Host Intrusion Detection Systeme, die einen Angriff auf einen einzelnen Rechner erfassen und daher auch auf diesem Rechner installiert sein müssen, und Network Intrusion Detection Systeme, die Anomalien im Netzwerkverkehr erkennen, unterteilt. Die Network Intrusion Systeme werden auch dazu eingesetzt, Angriffsmuster im Netzwerkverkehr zu erkennen.Attack detection systems are also known which serve to detect an attack directed against a computer system or computer network. These systems are also referred to as intrusion detection systems (IDS). Such intrusion detection systems are known and distributed in the IT world (IT: Information Technology). They are subdivided into host intrusion detection systems that need to detect an attack on a single machine and therefore need to be installed on that machine as well as network intrusion detection systems that detect network traffic anomalies. Network intrusion systems are also used to detect network traffic attack patterns.

Derzeit werden erste Intrusion Detection Systeme für Fahrzeuge entwickelt. Bei diesen wird angestrebt, einen erkannten Angriff an den Fahrzeughersteller, bspw. als Web- Dienst bzw. Service über Mobilfunk, zu melden, so dass dieser geeignete Gegenmaßnahmen einleiten kann.Currently the first intrusion detection systems for vehicles are being developed. In these, the aim is to report a detected attack to the vehicle manufacturer, for example as a web service or service via mobile phone, so that it can initiate appropriate countermeasures.

Die Druckschrift EP 2 433 457 B1 beschreibt ein Sicherheitssystem für Fahrzeuge und ein Verfahren zum Erkennen eines Eindringens, eine sogenannte Intrusion Detection. Dabei wird ein Verfahren zum Umprogrammieren eines Knotens eines elektronischen Kommunikationssystems beschrieben, bei dem ein Signal von einem ersten zu einem zweiten Knoten gesendet wird, wobei das Signal verlangt, dass der zweite Knoten umprogrammiert wird, der zweite Knoten verwendet wird, um eine Identifikation des ersten Knotens an andere Knoten rundzusenden und der zweite Knoten nur dann umprogrammiert wird, wenn eine zuvor festgelegte Menge der anderen Knoten anhand der Identifikation bestätigt, dass der erste Knoten legitim ist.The publication EP 2 433 457 B1 describes a safety system for vehicles and a method for detecting intrusion, a so-called intrusion detection. A method is described for reprogramming a node of an electronic communications system in which a signal is sent from a first to a second node, the signal requesting that the second node be reprogrammed, the second node being used to identify the first one The node is to be broadcast to other nodes and the second node is only reprogrammed if a predetermined set of the other nodes confirms by the identification that the first node is legitimate.

Offenbarung der ErfindungDisclosure of the invention

Vor diesem Hintergrund werden ein Verfahren mit den Merkmalen des Anspruchs 1 und eine Anordnung gemäß Anspruch 7 vorgestellt. Es werden weiterhin ein Computerprogramm nach Anspruch 8 und ein maschinenlesbares Speichermedium gemäß Anspruch 9 vorgestellt. Ausführungsformen ergeben sich aus den abhängigen Ansprüchen und der Beschreibung.Against this background, a method with the features of claim 1 and an arrangement according to claim 7 are presented. Furthermore, a computer program according to claim 8 and a machine-readable storage medium according to claim 9 are presented. Embodiments result from the dependent claims and the description.

Das vorgestellte Verfahren dient zum Eindämmen eines erfassten Angriffs auf ein Steuergerät in einem Steuergeräteverbund. Dabei ist vorgesehen, dass nach Erkennen des Angriffs auf das Steuergerät ein Security-Manager in dem Steuergeräteverbund über Security-Rückfallebenen entscheidet und diese den verbleibenden Steuergeräten als Befehle bzw. Kommandos mitteilt.The presented method serves to contain a detected attack on a control unit in a control unit network. It is provided that after detecting the attack on the control unit, a security manager in the control unit network decides on security fallback levels and informs the remaining control units as commands or commands.

Die beschriebene Anordnung ist zur Durchführung des vorgestellten Verfahrens eingerichtet und ist bspw. in einem Steuergerät implementiert bzw. als solches ausgebildet. Die Anordnung kann als Hard- und/oder Software implementiert sein. Ein entsprechendes Computerprogramm, das diese Software darstellt, ist ebenfalls Gegenstand dieser Anmeldung.The arrangement described is set up to carry out the presented method and is implemented, for example, in a control unit or designed as such. The arrangement can be implemented as hardware and / or software. A corresponding computer program that represents this software is also the subject of this application.

Zu beachten ist, dass ein Angriff immer zunächst auf eines der vielen Steuergeräte eines Fahrzeugs, z. B. über das Internet auf das Central Gateway Steuergerät, erfolgt. Übernimmt ein Angreifer die Kontrolle über ein Steuergerät, z. B. per Control Flow Hijacking Exploit, ist bisher keine Eindämmung des Angriffs, bspw. eine Verhinderung nachfolgender Angriffe auf weitere Steuergeräte, möglich.It should be noted that an attack always first on one of the many control devices of a vehicle, eg. B. over the Internet to the Central Gateway controller, takes place. If an attacker takes control of a control device, eg. As by control flow hijacking exploit, so far no containment of the attack, for example, a prevention of subsequent attacks on other control devices, possible.

Das vorgestellte Verfahren ermöglicht nunmehr eine erhöhte Resilienz gegenüber Cybersecurity-Angriffen. Unter Resilienz ist dabei die Fähigkeit eines Netzwerks, bspw. eines Steuergeräteverbunds, zu verstehen, bei einer Beeinträchtigung in einem Teil des Verbunds nicht vollständig auszufallen.The presented method now allows increased resilience to cybersecurity attacks. Resilience is the ability of a network, for example a control unit network, to understand that if it is impaired in a part of the network it will not completely fail.

Das vorgestellte Verfahren dient zum Eindämmen eines Angriffs auf ein Steuergerät. In diesem Fall hat ein Angriff auf das Steuergerät, das sich typischerweise in einem Steuergeräteverbund mit weiteren Steuergeräten befindet, bereits stattgefunden und dieser wurde erkannt. Nunmehr setzt das hierin beschriebene Verfahren an und bewirkt, dass dieser Angriff eingedämmt wird, d. h., dass Maßnahmen getroffen werden, die die Auswirkungen des Angriffs auf das betroffene Steuergerät und auf weitere Steuergräte im Verbund abmildern und ggf. sogar dazu führen, dass der Angriff abgebrochen wird bzw. nicht fortgeführt wird.The presented method serves to contain an attack on a control unit. In this case, an attack on the control unit, which is typically located in a control unit network with other control units, has already taken place and this has been detected. Now, the method described herein begins and causes this attack to be contained, i. This means that measures are taken which mitigate the effects of the attack on the affected ECU and on other control units in the network and possibly even lead to the attack being aborted or discontinued.

Das vorgestellte Verfahren sieht hierzu vor, dass Nachrichten zwischen Steuergeräten im Fahrzeugnetzwerk über Security-Rückfallebenen, insbesondere durch sogenannte Steuer- und Statusnachrichten, ausgetauscht werden.For this purpose, the presented method provides that messages are exchanged between control units in the vehicle network via security fallback levels, in particular by so-called control and status messages.

Steuergeräte im Fahrzeug, einschließlich Schaltern bzw. Switches und Zugängen bzw. Gateways, implementieren Security-Rückfall- bzw. Fallback-Ebenen. Bei Erkennen eines erfolgreichen Angriffs auf ein Steuergerät entscheidet ein Security-Manager über die angemessene Reaktion. Es wird hierzu auf 1 verwiesen. Die Erkennung eines Angriffs kann mittels einer externen Erfassung, wie bspw. einer Host Intrusion Detection oder einer Network Intrusion Detection, erfolgen.Control units in the vehicle, including switches or switches and access points or gateways, implement security fallback or fallback levels. Upon detecting a successful attack on a controller, a security manager decides on the appropriate response. It is on this 1 directed. The detection of an attack can take place by means of an external detection, such as, for example, a Host Intrusion Detection or a Network Intrusion Detection.

Reaktionen auf einen Angriff können sein:

  • - Deaktivierung bestimmter Kommunikationswege zwischen Fahrzeug und Umgebung, z. B. Mobilfunk und WiFi,
  • - Deaktivierung bestimmter Schnittstellen im Fahrzeugnetzwerk: ein Schalter bzw. Switch oder ein Zugang bzw. Gateway kann Nachrichten betroffener Steuergeräte verwerfen, anstatt sie weiterzuleiten,
  • - Deaktivierung bestimmter Software-Schnittstellen zur Verkleinerung der verbleibenden Angriffsfläche,
  • - Einschränkung von Fahrfunktionen, z. B. Begrenzung von Maximalgeschwindigkeit oder Drehmoment,
  • - Rücksetzen bzw. Reset eines betroffenen Steuergeräts bei nächster Gelegenheit, bspw. beim nächsten Fahrzeughalt.
Reactions to an attack can be:
  • - Deactivation of certain communication paths between the vehicle and the environment, eg. Mobile and WiFi,
  • Deactivation of certain interfaces in the vehicle network: a switch or an access or gateway may discard messages from affected ECUs instead of forwarding them,
  • - deactivation of certain software interfaces to reduce the remaining attack surface,
  • - restriction of driving functions, eg. B. limitation of maximum speed or torque,
  • - Reset or reset an affected controller at the next opportunity, eg. At the next Fahrzeughalt.

Das vorgestellte Verfahren ermöglicht, zumindest in einigen der Ausführungen, eine erhöhte Resilienz gegenüber Cybersecurity-Angriffen.The presented method, at least in some of the embodiments, allows increased resilience to cybersecurity attacks.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beigefügten Zeichnungen.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.

Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.

Figurenlistelist of figures

  • 1 zeigt in schematischer Darstellung eine Anordnung zum Durchführen des Verfahrens. 1 shows a schematic representation of an arrangement for carrying out the method.
  • 2 zeigt in einem Flussdiagramm einen Ablauf einer Ausführungsform des vorgestellten Verfahrens. 2 shows a flowchart of a flow of an embodiment of the presented method.

Ausführungsformen der ErfindungEmbodiments of the invention

Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.The invention is schematically illustrated by means of embodiments in the drawings and will be described in detail below with reference to the drawings.

1 zeigt eine Anordnung zum Durchführen des Verfahrens, die insgesamt mit der Bezugsziffer 10 bezeichnet ist und in einem Fahrzeug zum Einsatz kommt. Die Darstellung zeigt einen Schalter bzw. Zugang 12, ein angegriffenes Steuergerät 14 mit einem Host Intrusion Detection System 16, ein Kommunikationssteuergerät 18, einen Security-Manager 20, ein Network Intrusion Detection System 22 und verbleibende Steuergeräte 24. Das Network Intrusion Detection System 22 ist als dediziertes Steuergerät im Steuergeräteverbund des Fahrzeugs implementiert. 1 shows an arrangement for carrying out the method, in total with the reference numeral 10 is designated and used in a vehicle. The illustration shows a switch or access 12 , an attacked controller 14 with a host intrusion detection system 16 , a communication control device 18 , a security manager 20 , a network intrusion detection system 22 and remaining controllers 24 , The Network Intrusion Detection System 22 is implemented as a dedicated control unit in the control unit network of the vehicle.

Wichtige Komponenten sind somit die Intrusion Detection Systeme 16, 22, der Security-Manager 20 sowie die verbleibenden, nicht unter Kontrolle des Angreifers stehenden Steuergeräte einschließlich der Schalter und Zugänge 12.Important components are thus the intrusion detection systems 16 . 22 , the security manager 20 as well as the remaining, not under the control of Attacker's standing control devices including the switches and accesses 12 ,

Es kann jeweils mehrere Host Intrusion Detection Systeme und Network Intrusion Detection Systeme geben. Diese können jeweils als eigenes Steuergerät oder als zusätzliche Software auf einem Steuergerät laufen. Möglich ist auch eine Implementierung mit Hypervisor im Rahmen einer (Hardware-)Virtualisierung.There can be multiple Host Intrusion Detection Systems and Network Intrusion Detection Systems. These can each run as a separate control unit or as additional software on a control unit. Also possible is an implementation with hypervisor as part of a (hardware) virtualization.

Unter Hardware-Virtualisierung ist die Virtualisierung von Computern als vollständige Hardware-Plattformen, bestimmte logische Abstraktionen ihrer Komponenten oder nur der Funktionalität zu verstehen, die erforderlich ist, um verschiedene Betriebssysteme zu betreiben. Die Virtualisierung versteckt die physischen Eigenschaften einer rechnenden Plattform bzw. Computerplattform vor den Nutzern und zeigt anstelle dessen eine abstrakte rechnende Plattform.Hardware virtualization is understood to mean the virtualization of computers as complete hardware platforms, certain logical abstractions of their components, or just the functionality required to operate different operating systems. Virtualization hides the physical properties of a computing platform or computing platform from users and instead presents an abstract computing platform.

Zu beachten ist, dass viele Prozessoren bestimmte Instruktionen bzw. Maschinenbefehle anbieten, die eine effiziente, da ein geringerer Overhead an Rechenleistung erforderlich ist, und sichere Virtualisierung ermöglichen. Ein virtualisiertes Gast-System hat keinerlei Zugriff auf den Hypervisor und andere Gastsysteme.It should be noted that many processors provide specific instructions or machine instructions that allow for efficient, lower computational overhead and secure virtualization. A virtualized guest system has no access to the hypervisor and other guest systems.

Es kann außerdem einen oder mehrere Security-Manager geben. Diese können jeweils als eigenes Steuergerät oder als Software auf einem Steuergerät implementiert werden. Möglich ist jeweils auch eine Implementierung mit Hypervisor im Rahmen einer Virtualisierung.There may also be one or more security managers. These can each be implemented as a separate control unit or as software on a control unit. Also possible is an implementation with hypervisor in the context of a virtualization.

Nachrichten über erfolgreiche Angriffe werden an den bzw. die Security-Manager 20 geschickt. Der Security-Manager 20 entscheidet über Security-Rückfallebenen und teilt diese den verbleibenden Steuergeräten 24 als Kommandos mit. Eine Rückkehr aus einer Security-Rückfallebene zum Normalbetrieb erfordert eine besondere Authentisierung, beispielsweise von einer Werkstatt. Falls externe Schnittstellen, wie bspw. Mobilfunk, nicht deaktiviert wurden, ist auch eine Fernwartung mit besonderer Authentisierung denkbar.Messages about successful attacks are sent to the security manager (s) 20 cleverly. The security manager 20 decides on security fallback levels and shares these with the remaining controllers 24 as commands with. A return from a security fallback level to normal operation requires special authentication, for example from a workshop. If external interfaces, such as mobile radio, have not been deactivated, remote maintenance with special authentication is also conceivable.

Eine Security-Rückfallebene ist ein bestimmter Betriebsmodus des Steuergeräteverbunds oder eines individuellen Steuergeräts, der der Eindämmung eines Angriffs dient. Dieser Betriebsmodus umfasst eine andere Funktionalität als die üblichen Betriebsmodi, wie bspw. „Driving“ (normaler Fahrbetrieb). Insbesondere sind viele sonst verfügbare Funktionen deaktiviert oder verändert bzw. eingeschränkt, um die verbleibende Angriffsfläche und das Schadenspotential zu reduzieren.A security fallback level is a particular mode of operation of the controller network or an individual controller that serves to contain an attack. This operating mode includes a different functionality than the usual operating modes, such as "Driving" (normal driving). In particular, many otherwise available functions are disabled or altered or restricted to reduce the remaining attack surface and damage potential.

Rückfallebenen können entweder für den Steuergeräteverbund oder individuell für einzelne Steuergeräte definiert werden. Ein Ausführungsbeispiel für den ersten Fall stellt eine im Steuergeräteverbund eindeutige Rückfallebenen-ID dar, entsprechend der jedes Steuergerät seine jeweiligen Aktionen ausführt. Die Rückfallebene kann als Übertragung bzw. Broadcast kommandiert werden. Ein Ausführungsbeispiel für den zweiten Fall, der steuergeräteindividuellen Rückfallebene, ist durch Rückfallebenen-IDs gegeben, die im Steuergeräteverbund nicht eindeutig sind und daher jeweils für ein bestimmtes Steuergerät befohlen werden. Die entsprechende Nachricht umfasst dann die Rückfallebenen-ID zusammen mit der Zielsteuergerät-ID.Fallback levels can be defined either for the ECU network or individually for individual ECUs. An exemplary embodiment for the first case represents a fallback level ID that is unique in the control unit network, in accordance with which each control unit carries out its respective actions. The fallback level can be commanded as transmission or broadcast. An exemplary embodiment of the second case, the control unit individual fallback level, is given by fallback level IDs that are not unique in the control unit network and are therefore each commanded for a particular control unit. The corresponding message then includes the fallback level ID along with the destination ECU ID.

Von Bedeutung sind die Nachrichten über Security-Rückfallebenen, nämlich Steuer- und Statusnachrichten, zwischen Steuergeräten im Fahrzeugnetzwerk. Die verbleibende Steuergeräte 24 senden Statusnachrichten bezüglich ihrer aktuellen Security-Rückfallebene.Significant are the messages about security fallback levels, namely control and status messages, between ECUs in the vehicle network. The remaining control units 24 send status messages regarding their current security fallback level.

Durch die rechteckigen Kästen in der Darstellung, die mit Bezugsziffern 14, 16, 18, 20, 22 und 24 bezeichnet sind, sind somit Steuergeräte dargestellt. Die geraden Striche 30, 32, 34, 36 und 38 zeigen einen Kommunikationsbus, bspw. Ethernet, an, der die Steuergeräte miteinander verbindet. Pfeile 40, 42, 44 und 46 zeigen die Richtung an, in denen Nachrichten übertragen werden. Diese sind:

  • Pfeil 40: Incident report message; Ereignis-Bericht-Nachricht
  • Pfeil 42: Incident report message; Ereignis-Bericht-Nachricht
  • Pfeil 44: Security fallback A command message; Security-Rückfallebene A, Befehlsnachricht
  • Pfeil 46: Security fallback A status message; Security-Rückfallebene A, Statusnachricht
Through the rectangular boxes in the illustration, with reference numerals 14 . 16 . 18 . 20 . 22 and 24 are designated, thus control devices are shown. The straight lines 30 . 32 . 34 . 36 and 38 indicate a communication bus, for example. Ethernet, which connects the control units together. arrows 40 . 42 . 44 and 46 indicate the direction in which messages are transmitted. These are:
  • arrow 40 : Incident report message; Event report message
  • arrow 42 : Incident report message; Event report message
  • arrow 44 : Security fallback A command message; Security fallback A , Command message
  • arrow 46 : Security fallback A status message; Security fallback A , Status message

Ein Symbol 49 kennzeichnet einen Angriff.A symbol 49 denotes an attack.

2 zeigt in einem Flussdiagramm einen möglichen Ablauf des beschriebenen Verfahrens. In einem ersten Schritt 50 wird ein Angriff auf ein Steuergerät, das in einem Steuergeräteverbund in einem Kraftfahrzeug vorgesehen ist, erfasst. In einem zweiten Schritt 52 werden den verbleibenden Steuergeräten von einem Security-Manager sogenannte Security-Rückfallebenen mitgeteilt, die dann von diesen eingenommen werden. Anschließend werden in einem Schritt 54 Gegenmaßnahmen eingeleitet. Sind diese erfolgreich, so können in einem Schritt 56 die verbleibenden Steuergeräte wieder in einen Normalbetrieb übergehen. 2 shows in a flow chart a possible sequence of the method described. In a first step 50 an attack on a control unit, which is provided in a control unit network in a motor vehicle, detected. In a second step 52 The remaining control devices are communicated by a security manager so-called security fallback levels, which are then occupied by them. Subsequently, in one step 54 Countermeasures initiated. If these are successful, you can do it in one step 56 the remaining control units return to normal operation.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • EP 2433457 B1 [0008]EP 2433457 B1 [0008]

Claims (9)

Verfahren zum Eindämmen eines Angriffs auf ein Steuergerät (14) in einem Steuergeräteverbund, bei dem nach Erkennen eines Angriffs auf das Steuergerät (14) ein Security-Manager (20) in dem Steuergeräteverbund über Security-Rückfallebenen entscheidet und diese den verbleibenden Steuergeräten (24) als Befehle mitteilt.Method for containing an attack on a control unit (14) in a control unit network in which, after detecting an attack on the control unit (14), a security manager (20) in the control unit network decides on security fallback levels and assigns these to the remaining control units (24) as commands. Verfahren nach Anspruch 1, bei dem der Angriff mittels eines Intrusion Detection Systems (16, 22) erkannt wird.Method according to Claim 1 in which the attack is detected by means of an intrusion detection system (16, 22). Verfahren nach Anspruch 1 oder 2, das mit einem Hypervisor im Rahmen einer Virtualisiserung durchgeführt wird.Method according to Claim 1 or 2 that is performed with a hypervisor as part of a virtualization. Verfahren nach einem der Ansprüche 1 bis 3, das im Rahmen einer Fernwartung durchgeführt wird.Method according to one of Claims 1 to 3 , which is carried out as part of a remote maintenance. Verfahren nach einem der Ansprüche 1 bis 4, bei dem eine Rückkehr aus der Security-Rückfallebene in einen Normalbetrieb nach erfolgter Authentisierung durchgeführt wird.Method according to one of Claims 1 to 4 in which a return from the security fallback level to a normal mode is carried out after authentication has taken place. Verfahren nach einem der Ansprüche 1 bis 5, bei dem nach Erkennen eines Angriffs auf eines der Steuergeräte (14) in dem Steuergeräteverbund mindestens eine Gegenmaßnahme eingeleitet wird, die ausgewählt ist bzw. sind aus folgender Liste: - Deaktivierung bestimmter Kommunikationswege zwischen Fahrzeug und Umgebung, - Deaktivierung bestimmter Schnittstellen im Fahrzeugnetzwerk, - Deaktivierung bestimmter Software-Schnittstellen zur Verkleinerung der verbleibenden Angriffsfläche, - Einschränkung von Fahrfunktionen, - Rücksetzen eines betroffenen Steuergeräts (14) bei nächster Gelegenheit.Method according to one of Claims 1 to 5 in which after detecting an attack on one of the control devices (14) in the control unit network at least one countermeasure is initiated, which is selected from the following list: - deactivation of certain communication paths between the vehicle and the environment, - deactivation of certain interfaces in the vehicle network, Deactivation of certain software interfaces to reduce the remaining attack surface, - restriction of driving functions, - reset of an affected control unit (14) at the next opportunity. Anordnung zum Eindämmen eines Angriffs auf ein Steuergerät (14) in einem Steuergeräteverbund, wobei die Anordnung zum Durchführen eines Verfahrens nach einem der Ansprüche 1 bis 6 eingerichtet ist.Arrangement for suppressing an attack on a control unit (14) in a control unit network, the arrangement for carrying out a method according to one of the Claims 1 to 6 is set up. Computerprogramm mit Programmcodemitteln, das dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 6 auszuführen, wenn das Computerprogramm auf einer Recheneinheit, insbesondere einer Recheneinheit in einer Anordnung gemäß Anspruch 7, ausgeführt wird.Computer program with program code means adapted to perform a method according to any one of Claims 1 to 6 execute, if the computer program on a computing unit, in particular a computing unit in an arrangement according to Claim 7 , is performed. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 8.Machine-readable storage medium with a computer program stored thereon Claim 8 ,
DE102018208832.2A 2018-06-05 2018-06-05 A method for containing an attack on a controller Pending DE102018208832A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018208832.2A DE102018208832A1 (en) 2018-06-05 2018-06-05 A method for containing an attack on a controller

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018208832.2A DE102018208832A1 (en) 2018-06-05 2018-06-05 A method for containing an attack on a controller

Publications (1)

Publication Number Publication Date
DE102018208832A1 true DE102018208832A1 (en) 2019-12-05

Family

ID=68576317

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018208832.2A Pending DE102018208832A1 (en) 2018-06-05 2018-06-05 A method for containing an attack on a controller

Country Status (1)

Country Link
DE (1) DE102018208832A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124984A (en) * 2020-08-24 2022-03-01 宝能汽车集团有限公司 Vehicle and bus network topology structure thereof

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2433457B1 (en) 2009-05-20 2014-03-19 Robert Bosch GmbH Security system and method for wireless communication within a vehicle

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2433457B1 (en) 2009-05-20 2014-03-19 Robert Bosch GmbH Security system and method for wireless communication within a vehicle

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124984A (en) * 2020-08-24 2022-03-01 宝能汽车集团有限公司 Vehicle and bus network topology structure thereof

Similar Documents

Publication Publication Date Title
EP2684154B1 (en) Method and control unit for detecting manipulations of a vehicle network
EP3393865B1 (en) Monitoring and modifying motor vehicle functions in a motor vehicle
DE102018122152A1 (en) SYSTEMS AND METHOD FOR IMPACT DETECTION INTO THE NETWORK IN THE VEHICLE
DE112019000485T5 (en) SYSTEM AND PROCEDURE FOR PROVIDING SECURITY FOR IN-VEHICLE NETWORK
EP3027483B1 (en) Software updates of non-critical components in dual safety-critical distributed systems
WO2019072840A1 (en) Apparatus for protecting diagnosis commands to a controller, and corresponding motor vehicle
DE102018114739A1 (en) Operation log and procedure of the vehicle network
DE102014111361A1 (en) Method for operating a safety control and automation network with such a safety control
DE102018212879A1 (en) Control device and control method
DE102013200535A1 (en) Method for operating controller area network in motor car, involves transferring data or messages over communication paths of communication network, and checking data and/or messages based on plausibility check of possible data manipulation
DE102017209557A1 (en) Method for protecting a vehicle network against manipulated data transmission
EP3523941B1 (en) Communication data authentication device for a vehicle
EP3688951B1 (en) Method for detecting an attack on a control device of a vehicle
WO2018060250A1 (en) Method and system for protecting an on-board communication network of a motor vehicle
DE102018208832A1 (en) A method for containing an attack on a controller
DE102017209556A1 (en) Method for protecting a vehicle network against manipulated data transmission
DE102016200775A1 (en) Method and device for protecting a vehicle against cyber attacks
DE102013200528A1 (en) Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation
EP3418933A1 (en) Edge device and method for operating an edge device
EP3417589A1 (en) Reducing a possible attack on a weak point of a device via a network access point
DE102021208459B4 (en) Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle
DE102013200525A1 (en) Method for operating communication network, particularly of motor vehicle, involves connecting two control devices with each other in data technical manner by communication network
DE102016221378A1 (en) Method for transmitting data
DE102017209806A1 (en) Method and device for detecting attacks on a fieldbus
DE102018216958B4 (en) Bus system with at least two bus nodes, bus node, motor vehicle and method