DE102018219868A1 - Verifizierung von Datenpaketen in Kraftfahrzeugen - Google Patents

Verifizierung von Datenpaketen in Kraftfahrzeugen Download PDF

Info

Publication number
DE102018219868A1
DE102018219868A1 DE102018219868.3A DE102018219868A DE102018219868A1 DE 102018219868 A1 DE102018219868 A1 DE 102018219868A1 DE 102018219868 A DE102018219868 A DE 102018219868A DE 102018219868 A1 DE102018219868 A1 DE 102018219868A1
Authority
DE
Germany
Prior art keywords
communication network
data
verification
signature
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018219868.3A
Other languages
English (en)
Inventor
Christoph Brochhaus
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102018219868.3A priority Critical patent/DE102018219868A1/de
Priority to CN201911133725.7A priority patent/CN111200498B/zh
Publication of DE102018219868A1 publication Critical patent/DE102018219868A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft Verfahren (100) zur Verifizierung der Echtheit von Datenpaketen, die von Teilnehmern, insbesondere Steuergeräten (5, 10, 15, 20, 25), eines Kommunikationsnetzwerkes (30) eines Kraftfahrzeugs über das Kommunikationsnetzwerk (30) ausgetauscht werden, wobei insbesondere ein Verifizierungskontroller (50) vorgesehen ist, der ausgebildet und eingerichtet ist, die Kommunikation über das Kommunikationsnetzwerk (30) zu erfassen, aufweisend die Schritte,• Ermitteln (120) des Identifiers, der Daten, der Signatur aus einem über das Kommunikationsnetzwerk (30) übertragenen Datenpakets,• Verifizieren (130) der Echtheit des Datenpakets durch Prüfen der Signatur mit Hilfe eines öffentlichen Schlüssels,• Bereitstellen (140) des Ergebnisses der Verifikation, und• Versenden (150) des Ergebnisses als Reaktion auf eine Anfrage eines Teilnehmers des Kommunikationsnetzwerks (30).

Description

  • Die Erfindung umfasst ein Verfahren zur Verifizierung der Echtheit von Datenpaketen, die von Teilnehmer eines Kommunikationsnetzwerkes eines Kraftfahrzeugs übertragen werden, sowie einen Verifizierungskontroller.
  • Stand der Technik
  • Elektronische Steuergeräte werden im automobilen Umfeld heutzutage in zunehmender Zahl eingesetzt. Die Steuergeräte bilden einen Steuergeräteverbund. Die Steuergeräte tauschen über einem Kommunikationsbus, beispielsweise dem CAN-Bus, Informationen, Daten oder Signale aus. Es kommunizieren viele Steuergeräte untereinander. Einige Steuergeräte schicken Datenpakete, die für eine Mehrzahl der übrigen Steuergeräte von Relevanz sind, beispielsweise ist der Ladungszustand von Bedeutung für den Inverter und für die Motorsteuerung. Um mögliche ungewünschte Manipulation der Kommunikation, beispielsweise durch manipulierte Informationen oder Steuerbefehle, zu überprüfen, ist bekannt die Kommunikation zu verschlüsseln. Eine Verschlüsselung hat jedoch zur Folge, dass die benötigte Bandbreite erhöht wird.
  • Offenbarung der Erfindung
  • Das erfindungsgemäße Verfahren zur Verifizierung der Echtheit von Datenpaketen, die von Teilnehmern eines Kommunikationsnetzwerkes eines Kraftfahrzeugs über das Kommunikationsnetzwerk, ausgetauscht, insbesondere übertragen, vorzugsweise gesendet, werden, umfasst mindestens die im Folgenden aufgeführten Verfahrensschritte, wobei ein Datenpaket einen Identifier, Daten sowie eine Signatur umfasst. Und wobei vorzugsweise die Signatur von einem Absender aus den zu übertragenden Daten und dem Identifier mittels eines privaten Schlüssels erzeugt wird. Vorzugsweise erfolgt keine Verschlüsselung des Datenpakets. Vorteilhaft ist, dass das Verfahren auch dann angewendet werden kann, wenn nur ein Teil der Steuergeräte um die Möglichkeit der Überprüfungsanfrage erweitert wird.
  • Erfindungsgemäß wird vorgeschlagen, dass in einem Verfahrensschritt das Ermitteln des Identifiers, der Daten, der Signatur aus einem über das Kommunikationsnetz übertragenen Datenpakets durchgeführt wird.
  • Erfindungsgemäß wird vorgeschlagen, dass in einem Verfahrensschritt das Verifizieren der Echtheit des Datenpakets mittels der Signatur unter Verwendung des öffentlichen Schlüssels erfolgt. Die Signatur wird vom Absender mittels eines privaten Schlüssels aus den zu übertragenden Daten und dem Identifier, gebildet.
  • Auch wird vorgeschlagen, dass das Ergebnis des Verifizierens bereitgestellt wird.
  • Erfindungsgemäß wird weiterhin vorgeschlagen, dass in einem Verfahrensschritt das Versenden des Ergebnisses als Reaktion auf eine Anfrage, insbesondere eine Überprüfungsanfrage eines Teilnehmers des Kommunikationsnetzes durchgeführt wird.
  • Vorteilhaft an dem erfindungsgemäßen Verfahren ist, dass insbesondere Verfälschungen oder Manipulation erkannt werden können, und/oder dass nur eine geringe zusätzliche Belastung der Kommunikation, insbesondere der Bandbreite notwendig ist, und/oder dass es auf sämtliche Topologien anwendbar ist. Ferner kann das Verfahren in bereits bestehenden Steuergeräteverbünde angewendet werden, insbesondere nachgerüstet werden. Ferner werden keine erhöhten, bzw. nur minimal höhere Anforderungen an die Prozessorleistung der Steuergeräte gestellt.
  • Durch die in den Unteransprüchen aufgeführten Maßnahmen ergeben sich vorteilhafte Weiterbildungen und Verbesserungen des im Hauptanspruch angegebenen Verfahrens.
  • Vorteilhaft ist, dass die Datenpakete sich aus Daten, einem Identifier und einer Signatur zusammensetzen, wobei die Signatur mittels eines privaten Schlüssels aus dem Identifier und den Daten erstellt wird. Die Datenpakete werden von dem absendenden Steuergerät zusammengestellt und mittels dem Kommunikationsnetzwerk versendet. Die Signatur wird von dem absendenden Steuergerät erstellt.
  • Eine mögliche Weiterbildung zeichnet dadurch aus, dass das Verifizieren der Echtheit des Datenpakets durch die zusätzliche Verwendung der Daten und/oder dem Identifier erfolgt. Es kann eine noch genauere Aussage bezüglich der Echtheit gemacht werden.
  • Eine mögliche Weiterbildung zeichnet sich durch den Verfahrensschritt aus, dass das Bereitstellen der Ergebnisse des Verifizierens, insbesondere der Prüfung, durch Ablegen der Ergebnisse in einem Datenspeicher, insbesondere einem Ringspeicher erfolgt. Hierdurch kann auch zu einem späteren Zeitpunkt noch auf die Ergebnisse zugegriffen werden.
  • Denkbar ist ferner, dass die Ergebnisse der Verifizierung verschlüsselt und/oder signiert bereitgestellt und versendet werden. Die Signierung erfolgt mittels eine privaten Schlüssels. Es können die Ergebnisse selbst nicht manipuliert werden.
  • Eine mögliche Weiterbildung zeichnet sich dadurch aus, dass für jedes Datenpaket ein pseudo-eindeutiger Identifier erzeugt wird und vorhanden ist. Eine Identifikation der einzelnen Daten ist gegeben.
  • Ferner betrifft die Erfindung einen Verifizierungskontroller für ein Kommunikationsnetzwerk eines Kraftfahrzeugs. Der Verifizierungskontroller weist eine Kommunikationsschnittstelle auf, welche mit einem Kommunikationsnetzwerk des Kraftfahrzeugs verbindbar ist. Die Kommunikationsschnittstelle ist ausgebildet und eingerichtet, Datenpaket, welche über das Kommunikationsnetzwerk ausgetauscht, insbesondere übertragen werden, auszulesen, insbesondere mitzulesen. Vorteilhaft ist, dass der Verifizierungskontroller ausgebildet und eingerichtet ist, das erfindungsgemäße Verfahren auszuführen.
  • Das Kommunikationsnetzwerk ist insbesondere als Kommunikationsbus, insbesondere als CAN, LIN, MOST, FLEXRAY oder IP basiertes Netzwerk ausgebildet.
  • Eine mögliche Weiterbildung zeichnet sich dadurch aus, dass ein Verarbeitungsmittel vorgesehen ist, welches ausgebildet und eingerichtet ist anhand eines öffentlichen Schlüssels aus der Signatur, die in einem Datenpaket enthalten ist, den Identifier und die Daten zu ermitteln. Ferner ist das Verarbeitungsmittel ausgebildet und eingerichtet das Datenpaket bezüglich Echtheit zu verifizieren und das Ergebnis der Verifikation den Teilnehmern des Kommunikationsnetzwerks bereitzustellen. Vorzugsweise ist das Verarbeitungsmittel als Recheneinheit, insbesondere Mikrokontroller oder Mikroprozessor, ausgebildet.
  • Eine mögliche Weiterbildung ist, dass die Kommunikationsschnittstelle ausgebildet und eingerichtet ist, die Ergebnisse, insbesondere auf Anfrage eines Teilnehmers des Steuergeräteverbunds, insbesondere eines Steuergeräts, und vorzugsweise verschlüsselt, zu versenden. Auch ist die Kommunikationsschnittstelle ausgebildet und eingerichtet die Datenpakete, welche über das Kommunikationsnetzwerk versendet werden, mitzulesen und zu empfangen.
  • Nachfolgend wird die Erfindung unter Bezugnahme auf die Zeichnung erläutert. In der Zeichnung zeigen:
    • 1 einen Steuergeräteverbund ohne einen erfindungsgemäßen Verifizierungskontroller
    • 2 einen Steuergeräteverbund mit einem erfindungsgemäßen Verifizierungskontroller,
    • 3 das erfindungsgemäße Verfahren und
    • 4 bis 7 den Ablauf des erfindungsgemäßen Verfahrens am Beispiel eines vereinfachten Steuergeräteverbunds.
  • Ein Steuergeräteverbund 1 besteht aus einer Vielzahl von elektronischen Steuergeräten. Zunehmend weist jede Komponente ein Steuergerät auf, insbesondere Motorsteuergerät, ABS, Fensterheber usw. Die Steuergeräte weisen Kommunikationsmittel auf, wodurch das Steuergerät mit anderen Steuergeräten, insbesondere mittels eine Kommunikationsnetzwerkes, vorzugsweise eines Kommunikationsbusses, kommunizieren kann.
  • Welche Steuergeräte ein Steuergeräteverbund umfasst, ist abhängig von der Ausstattung des Kraftfahrzeugs und/oder der Art des Antriebs, insbesondere Verbrennungs-, Brennstoffzellen-, Hybrid-, Plug -In-Hybrid-, Elektromotor.
  • Beispielhaft ist in 1 ein Teil eines Steuergeräteverbunds 1 eines elektrisch angetriebenen Kraftfahrzeugs dargestellt. Beispielhaft sind die für den Antrieb zuständigen Steuergeräte 5, 10, 15, 20, 25 des Steuergeräteverbunds 1 dargestellt. Die gezeigten Steuergeräte zeigen nur einen beispielhaften Teil eines Steuergeräteverbunds 1 eines Kraftfahrzeugs, insbesondere Automobils. Der gezeigte Steuergeräteverbund 1 umfasst:
    • • Ein Motorsteuergerät 5, das der Ansteuerung des Antriebs dient, insbesondere des elektrischen Antriebs und/oder des Verbrennungsmotors des Kraftfahrzeugs.
    • • Einen Inverter 10 oder Umwandler, der die Aufgabe hat, die Mehr-Phasen-Wechselspannung, insbesondere Drei-Phasen-Wechselspannung, des Generators in eine Gleichspannung zum Laden des elektrischen Energiespeichers umzuwandeln. Im umgekehrten Fall wird beim Antrieb des Elektromotors die Gleichspannung des elektrischen Energiespeichers in eine Mehr-Phasen-Wechselspannung umgeformt. Der Inverter hat weitere Aufgaben, wie die Umwandlung der Spannung oder des Stroms. Vorzugsweise fungiert der elektrische Antriebsmotor gleichzeitig auch als Generator und umgekehrt. Entsprechend muss der Inverter auch elektrische Energie, die beispielsweise beim Verzögern erzeugt wird, derart umwandeln, dass diese in den elektrischen Energiespeicher eingespeist werden kann. Der elektrische Energiespeicher ist ein wiederaufladbare Speicher für elektrische Energie auf elektrochemischer Basis. Der elektrische Energiespeicher umfasst mindestens eine Batteriezelle. Vorzugsweise sind die Batteriezellen wiederaufladbare Speicherelemente, insbesondere Akkumulatoren, vorzugsweise Sekundärelement oder Sekundärzellen.
    • • Die BDU 15, die battery disconnect unit, regelt elektrische Schalter, wie Relais oder Transistoren, welche die Stromzufuhr und Stromabnahme des elektrischen Energiespeichers unterbrechen und/oder freigeben.
    • • Die BCU 20, die battery control unit, übernimmt Berechnungen zu Parametern des Energiespeichers, wie Ladezustand, Zustand des Energiespeichers usw.
    • • Die CSC 25, cell supervision circuit, übernimmt die Datenerfassung von Energiespeicherdaten, wie beispielsweise die Zellspannung, den Strom einzelner Zellen oder des gesamten Energiespeichers und/oder der Temperatur.
  • Ein Steuergeräteverbund 1 eines Plug-In-Hybrides umfasst beispielsweise die Steuergeräte: E-Motor-, Getriebesteuerungs-, Abgasnachbehandlungs-, Batteriemanagement-, Verbrennungsmotor-Steuergerät usw.
  • Die einzelnen Steuergeräte 5, 10, 15, 20, 25 sind untereinander über ein Kommunikationsnetzwerk 30 verbunden. Bei dem Kommunikationsnetzwerk 30 handelt es sich insbesondere um ein kabelloses oder kabelgebundenes Netzwerk. Insbesondere handelt es sich um einen Kommunikationsbus, vorzugsweise um einen MOST-, CAN-, LIN-, FlexRay-Bus. Auch kann das Kommunikationsnetzwerk 30 IP basiert sein. Mittels dem Kommunikationsnetzwerk 30 tauschen die einzelnen Steuergeräte 5, 10, 15, 20, 25 Datenpaket aus. Die Datenpakete umfassen insbesondere Daten, wie Messdaten und/oder Steuerbefehle, Leistungsanforderungen, Energieabruf, Statusinformationen usw.
  • Ein Beispiel für eine Kommunikation in dem in 1 gezeigten Steuergeräteverbund 1 gemäß 1 könnte sein. Die CSC 25 erfasst zyklisch Daten des Energiespeichers, wie beispielsweise Spannung, Strom und Temperatur und kommuniziert diese über das Kommunikationsnetzwerk 20. Die BCU 20 berechnet zyklisch den Ladezustand, den Gesundheitszustand der Batterie und die mögliche abrufbare Leistung. Diese Information senden die BCU 20 an die BDU 15 und das Motorsteuergerät 5. Die BDU 15 hat zu Beginn des Fahrzyklus die Vorladung durchgeführt und den elektrischen Schalter, insbesondere das Relais geschlossen. Über das Kommunikationsnetzwerk 30 kommt eine Moment-Anforderung für den elektrischen Antriebsmotor, beispielsweise, weil das Fahrzeug aus dem Stand bewegt werden soll. Die BCU meldet darauf den abrufbar von Leistung. Der Inverter 10 berechnet, welches Moment an dem elektrischen Antriebsmotor angelegt werden kann. Das Motorsteuergerät 5 steuert den elektrischen Antriebsmotor mit entsprechender Leistung an. Hierbei greift das Motorsteuergerät 5 auf die Daten der BCU 20, der CSC 25 zu.
  • Die gesamte Kommunikation läuft über das Kommunikationsnetzwerk 30. An dem Beispiel wird deutlich, dass die Steuergeräte 5, 10, 15, 20, 25 untereinander kommunizieren und Datenpaket austauschen. Bei bekannten Steuergeräteverbünde kommunizieren die Steuergeräte 5, 10, 15, 20, 25 untereinander ohne Prüfung, ob die geschickten Datenpaket von einem berechtigten Steuergerät gesendet wurden. Eine Prüfung in den einzelnen Steuergeräten wurde insbesondere die Anforderungen an Rechenleistung des Steuergeräts stark erhöhen.
  • In 2 ist der gleich Steuergeräteverbund 1 wie in 1 dargestellt. Der Steuergeräteverbund 1 ist um einen Teilnehmer, der das Verfahren ausführen kann, insbesondere einen erfindungsgemäßen Verifizierungskontroller 50 erweitert,
  • Der Verifizierungskontroller 50 ermöglicht das Prüfen der über das Kommunikationsnetzwerk 30 gesendeten Datenpaket auf Richtigkeit und Echtheit. Er ermöglicht beispielsweise das Erkennen von unerlaubtem Tuning, bei dem manipulierte Datenpakete gesendet werden, beispielsweise, dass der Energiespeicher leistungsfähig ist, wodurch die Motorsteuerung mehr Leistung von dem Energiespeicher abruft. Unerlaubtes Tuning könnte durch ändern der Software eines Steuergeräts, durch die Manipulation von Datenpaketen oder das Senden von Datenpaketen mit manipuliertem Inhalt erfolgen.
  • Das unerlaubte Tuning kann dazu führen, dass mehr Energie aus dem elektrischen Energiespeicher abgerufen wird, als dieser ohne Schaden zu nehmen bereitstellen kann. Auch können Sensordatenpaket verfälscht werden um beispielsweise einen höheren Ladungszustand der Batterie zu erreichen. Solche Tuningmaßnahmen gehen meist zulasten der Lebensdauer des elektrischen Energiespeichers oder anderer Komponenten des Kraftfahrzeugs.
  • Der Verifizierungskontroller 50 ist ausgebildet und eingerichtet das erfindungsgemäße Verfahren 100 auszuführen.
  • In 3 ist ein Ablaufdiagramm des erfindungsgemäßen Verfahrens 100 dargestellt. Das Verfahren 100 umfasst mehrere Verfahrensschritte, deren Reihenfolge vertauscht werden kann.
  • In einem Verfahrensschritt 110 erfolgt das überwachen der Kommunikation, welche über das Kommunikationsnetzwerke 30 abläuft. Das Überwachen der Kommunikation umfasst insbesondere das Mitlesen der Datenpakete, die über das Kommunikationsnetzwerk 30 gesendet wird. Die Datenpakete, welche über das Kommunikationsnetzwerk 30 gesendet werden, werden vom Verifizierungskontroller 50 empfangen. Insbesondere in einem Bussystem werden die Datenpakete auch an Teilnehmer des Bussystems versandt, die dieses Datenpaket die einzelnen Datenpakte gar nicht benötigen. Die Teilnehmer erkennen insbesondere anhand des Absenders und/oder des Adressaten und/oder dem Identifier und/oder den Daten des Datenpakets, ob dieses Datenpaket für sie bestimmt ist.
  • In einem Verfahrensschritt 120 werden die Signatur und/oder die Daten und/oder der Identifier und/oder der Absender aus dem empfangenen Datenpaket ermittelt.
  • Die Signatur wurde vorzugsweise von dem Absender aus dem Identifier und den Daten mittels eines privaten Schlüssels erstellt. Vorzugsweise handelt es sich um asymmetrisches Kryptosystem. Die Signatur ist ein Wert, der mit Hilfe eines privaten, insbesondere geheimen, Schlüssels berechnet wird. Der private Schlüssel ist dem Absender, also dem Steuergerät, fest zugeordnet. Der private Schlüssel wird jedem Steuergerät ab Werk zugewiesen. Das Anlernen erfolgt über einen abgesicherten Diagnosedienst im Werk. Jedes individuelle Steuergerät erhält einen eigenen privaten Schlüssel. Vorteilhaft müssen nur Steuergeräte bei denen die Datenpakte auf Echtheit geprüft werden müssen um diese Funktion erweitert werden. Das sind beispielsweise sicherheitsrelevante Steuergeräte und/oder für den Antrieb relevante Steuergeräte.
  • In einem Verfahrensschritt 130 erfolgt das Ermitteln der Echtheit des Datenpakets mit Hilfe der der Signatur und dem öffentlichen Schlüssel.
  • Vorzugsweise wird die Verifikation mit Hilfe der Daten und/oder dem Identifier und der Signatur und dem öffentlichen Schlüssel durchgeführt. Das Ermitteln entspricht einem Verifizieren der Signatur mittels dem öffentlichen Schlüssel.
  • In einem Verfahrensschritt 140 erfolgt das Bereitstellen des Ergebnisses der Verifikation 130. Das Bereitstellen kann insbesondere mittels Senden über das Kommunikationsnetzwerk 30 und/oder als Abspeichern in einem Datenspeicher erfolgen. Das Ergebnis der Verifikation 130 wird zusammen mit dem Identifier des Datenpakets in einem Datenspeicher, insbesondere einem Ringspeicher abgelegt.
  • In einem optionalen Verfahrensschritt 145 erfolgt das Erfassen einer Anfrage eines Steuergeräts bezüglich Echtheit eines Datenpakets.
  • In einem Verfahrensschritt 150 erfolgt das Versenden des Ergebnisses als Reaktion auf erfasste, insbesondere empfangene, Anfrage, die ein Teilnehmer des Kommunikationsnetzwerks 30, insbesondere ein Steuergerät, gesendet hat. Die Anfrage umfasst insbesondere den Identifier des Datenpakets. Vorzugsweise entnimmt der Verifizierungskontroller 50 aus dem Datenspeicher das Ergebnis der Verifikation. Um das richtige Ergebnis zu ermitteln, wird der Identifier im Datenspeicher gesucht und das dazugehörige Ergebnis ausgelesen. Der Datenspeicher ist insbesondere eine Datenbank oder Tabelle.
  • Vorzugsweise werden die Ergebnisse der Verifikation verschlüsselt an das anfragende Steuergerät gesendet.
  • Die Steuergeräte können eine Anfrage an den Verifizierungskontroller 50 senden und erhalten Auskunft über die Echtheit eines Datenpakets. Die Anfrage umfasst den Identifier des Datenpakets, dessen Echtheit und/oder Richtigkeit erfragt wird.
  • In 4 ist ein Ausschnitt des Steuergeräteverbund 1 dargestellt. Der Ausschnitt umfasst den Verifizierungskontroller 50, die BCU 20 und die CSC 25. Das erfindungsgemäße Verfahren 100 soll anhand des folgenden Beispiels und den 4 bis 7 veranschaulicht werden.
  • Die CSC 25 erfasst Messdaten des elektrischen Energiespeichers, wie beispielsweise Spannung, Strom und Temperatur. Beispielsweise erfasst sie, dass der Energiespeicher eine Spannung von 400 V und einen Strom von 50 A bereitstellt. Ferner erfasst sie beispielsweise, dass der Energiespeicher eine Temperatur von 30° aufweist. Zum Versenden der Daten erzeugt das Steuergerät, hier die CSC 25, einen pseudo-eindeutigen Identifier. Der erzeugte Identifier lautet beispielsweise 488213.
  • Aus den Daten, hier den Messdaten, dem Identifier und einem privaten Schlüssel wird die Signatur ermittelt. Die ermittelte Signatur lautet beispielsweise 0XB1F4D32. Die Messdaten, die Signatur und der Identifier werden in einem Datenpaket zusammengefasst und mittels des Kommunikationsnetzwerks übertragen, insbesondere gesendet. Insbesondere wird das Datenpaket über das Kommunikationsnetzwerk, insbesondere das Bus-System, an die BCU 20 gesendet.
  • In 5 empfängt die BCU 20 sowie weitere Steuergeräte das Datenpaket, welches auf das Kommunikationsnetzwerk gesendet wurde. Der BCU 20 empfängt das Datenpaket mit den Daten, dem Identifier und der Signatur. Sind die Daten für die BCU relevant, verarbeitet die BCU die Daten.
  • Die Steuergeräte können die Daten entnehmen und direkt weiterverarbeiten. Alternativ und/oder zusätzlich können die Steuergeräte die Echtheit über den Verifizierungskontroller 50 und/oder das Verfahren 100 prüfen lassen.
  • Der Verifizierungskontroller 50 empfängt das Datenpaket. Der Verifizierungskontroller 50 hat ebenfalls das Datenpaket durch erfassen, insbesondere mitlesen der Kommunikation des Kommunikationsnetzwerks empfangen. Hierzu überwacht er das Kommunikationsnetzwerk 30 entsprechend Verfahrensschritt 110.
  • In dem Verfahrensschritt 120 werden die Signatur, die Daten, der Identifier und/oder der Absender aus dem empfangenen Datenpaket ermittelt.
  • In einem Verfahrensschritt 130 erfolgt das Verifizieren der Echtheit des Datenpakets mit Hilfe des öffentlichen Schlüssels. Anhand, insbesondere den Daten und/oder dem Identifier, der Signatur und dem öffentlichen Schlüssel erfolgt das Verifizieren des Datenpakets. Es kann, insbesondere durch der Verifizierungskontroller 50, bestimmen werden, ob die Daten echt sind bzw. ob das Datenpaket von einem bevollmächtigten Steuergerät gesendet wurde. Der Verifizierungskontroller 50 empfängt die gleichen Daten und prüft die Gültigkeit der Messdaten und des Identifiers mittels des öffentlichen Schlüssels der CSC 25.
  • Das Ergebnis der Prüfung wird gemeinsam mit dem Identifier in Verfahrensschritt 140 bereitgestellt, insbesondere gespeichert. Insbesondere wird das Ergebnis in einem Datenspeicher, vorzugsweise in einem Ringpuffer, zusammen mit dem Identifier gespeichert.
  • Regelmäßig, nicht notwendigerweise bei jedem Datenpaket, fordert die Steuergeräte, hier beispielhaft die BCU 20, beim Authentifizierungskontrolle 50 mit Angabe des Identifiers das Ergebnis der Verifikation an. 6 zeigt beispielhaft ein solche Anfrage.
  • Der Authentifizierungskontrolle 50 sendet das Ergebnis gemäß Verfahrensschritt 150 und 7 an das Steuergerät zurück, welches die Überprüfung angefordert hat. Die Kommunikation findet insbesondere verschlüsselt und/oder signiert, vorzugsweise nur, zwischen BCU 20 und Authentifizierungskontrolle 50 statt. Die nötigen Schlüssel werden im Werk programmiert. Bei einer negativeren Prüfung kann die BCU 20 entsprechende Maßnahmen ergreifen.
  • Das Verfahren 100 kann auch von bereits bestehenden Steuergeräten des Steuergeräteverbundes 1 ausgeführt werden. Das hierzu notwendige Steuergerät muss lediglich ausgebildet und eingerichtet sein das Verfahren 100 auszuführen. Vorzugsweise benötigt es eine Verarbeitungseinheit, insbesondere einen Mikrokontroller oder Mikroprozessor, der ausgebildet und eingerichtet ist, das erfindungsgemäße Verfahren 100 auszuführen.
  • Gemäß einer Weiterbildung der Erfindung müssen nur bestimmt Datenpakete durch das Verfahren 100 abgesichert werden. Insbesondre müssen nicht alle Datenpakete durch das Verfahren 100 verifiziert werden. Die zu schützenden Datenpakete werden beim Systemdesign spezifiziert, beispielsweise Sicherheitsrelevante, Antriebsrelevante oder Daten die bei Manipulation zu Schäden führen könnten. Vorzugsweise können die Informationen zur Authentifizierung zusätzlich zu den normalerweise versandeten Datenpakte versandt werden.
  • Gemäß einer Weiterbildung muss die Überprüfung, insbesondere Verifikation, 130 nur für bestimmt Datenpakete erfolgen. Die Überprüfung der Echtheit ist optional. Es kann hierdurch Rechenleistung im Verifizierungskontroller 50 reduziert werden.
  • Zur Reduzierung kann man die Frequenz der Überprüfung reduzieren und beispielsweise jede Sekunde oder alle 10 Sekunden eine Verifizierung, also die Verfahrensschritte ab 120 durchführen. Die gewählte Verzögerung darf zu keinen Sicherheitsrisiken führen.
  • Vorzugsweise kann eine zeitliche, nachrichtenbezogene oder Steuergerät bezogene Begrenzung erfolgen. Somit kann die Anzahl der Verifikationen reduziert werden.
  • Das vorgestellt Verfahren 100 erweitert die Kommunikation um eine Möglichkeit der Authentifizierung wichtiger Datenpakete bei gleichzeitiger Ermöglichung einer flexiblen Steuergerätestruktur.

Claims (8)

  1. Verfahren (100) zur Verifizierung der Echtheit von Datenpaketen, die von Teilnehmern, insbesondere Steuergeräten (5, 10, 15, 20, 25), eines Kommunikationsnetzwerkes (30) eines Kraftfahrzeugs über das Kommunikationsnetzwerk (30) ausgetauscht werden, wobei insbesondere ein Verifizierungskontroller (50) vorgesehen ist, der ausgebildet und eingerichtet ist, die Kommunikation über das Kommunikationsnetzwerk (30) zu erfassen, aufweisend die Schritte, • Ermitteln (120) des Identifiers, der Daten, der Signatur aus einem über das Kommunikationsnetzwerk (30) übertragenen Datenpakets, • Verifizieren (130) der Echtheit des Datenpakets durch Prüfen der Signatur mit Hilfe eines öffentlichen Schlüssels, • Bereitstellen (140) des Ergebnisses der Verifikation, und • Versenden (150) des Ergebnisses als Reaktion auf eine Anfrage eines Teilnehmers des Kommunikationsnetzwerks (30).
  2. Verfahren (100) nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die Datenpakete sich aus Daten, einem Identifier und einer Signatur zusammensetzen, wobei die Signatur mittels eines privaten Schlüssels aus dem Identifier und den Daten erstellt wird.
  3. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die das Bereitstellen (140) ein Ablegen (140) der Ergebnisse der Verifikation in einem Datenspeicher, insbesondere einem Ringspeicher umfasst.
  4. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Ergebnisse verschlüsselt und/oder signiert bereitgestellt und versendet werden.
  5. Verfahren (100) nach einem der vorhergehenden Ansprüche aufweisend die Schritte: • Erzeugen eines pseudo-eindeutigen Identifiers für jedes Datenpaket.
  6. Verifizierungskontroller (50) für ein Kommunikationsnetzwerk (30) eines Kraftfahrzeugs, aufweisend eine Kommunikationsschnittstelle, welche mit dem Kommunikationsnetzwerk (30) des Kraftfahrzeugs verbindbar ist, und welche ausgebildet und eingerichtet ist, Datenpaket, welche über das Kommunikationsnetzwerk (30) übertragen werden auszulesen, dadurch gekennzeichnet, dass der Verifizierungskontroller (50) ausgebildet und eingerichtet ist, das Verfahren (100) gemäß einem der vorhergehenden Ansprüche auszuführen.
  7. Verifizierungskontroller (50) nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass ein Verarbeitungsmittel vorgesehen ist, welches ausgebildet und eingerichtet ist mittels eines öffentlichen Schlüssels die Echtheit des Datenpakets zu verifizieren und das Ergebnis der Verifikation den Teilnehmern des Kommunikationsnetzwerks (30) bereitzustellen.
  8. Verifizierungskontroller (50) nach einem der Ansprüche 6 bis 7, dadurch gekennzeichnet, dass die Kommunikationsschnittstelle ausgebildet und eingerichtet ist, die Ergebnisse, insbesondere auf Anfrage eines Teilnehmers, und vorzugsweise verschlüsselt, zu versenden.
DE102018219868.3A 2018-11-20 2018-11-20 Verifizierung von Datenpaketen in Kraftfahrzeugen Pending DE102018219868A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102018219868.3A DE102018219868A1 (de) 2018-11-20 2018-11-20 Verifizierung von Datenpaketen in Kraftfahrzeugen
CN201911133725.7A CN111200498B (zh) 2018-11-20 2019-11-19 对机动车中的数据包的验证

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018219868.3A DE102018219868A1 (de) 2018-11-20 2018-11-20 Verifizierung von Datenpaketen in Kraftfahrzeugen

Publications (1)

Publication Number Publication Date
DE102018219868A1 true DE102018219868A1 (de) 2020-05-20

Family

ID=70470178

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018219868.3A Pending DE102018219868A1 (de) 2018-11-20 2018-11-20 Verifizierung von Datenpaketen in Kraftfahrzeugen

Country Status (2)

Country Link
CN (1) CN111200498B (de)
DE (1) DE102018219868A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112013006375T5 (de) * 2013-01-08 2015-10-08 Mitsubishi Electric Corporation Authentifizierungsverarbeitungsvorrichtung, Authentifizierungsverarbeitungssystem, Authentifizierungsverarbeitungsverfahren und Authentifizierungsverarbeitungsprogramm
US20180310173A1 (en) * 2017-04-25 2018-10-25 Kabushiki Kaisha Toshiba Information processing apparatus, information processing system, and information processing method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008058264A1 (de) * 2008-11-19 2010-07-08 IAD Gesellschaft für Informatik, Automatisierung und Datenverarbeitung mbH Messgerät, insbesondere Enegiezähler und Verfahren zur Erkennung von Manipulationen
CN105429945B (zh) * 2015-10-29 2019-08-30 深圳市元征科技股份有限公司 一种数据传输的方法、装置及系统
CN106790239B (zh) * 2017-01-19 2019-12-10 湖北工业大学 一种防污染攻击的车联网信息传输与分发方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112013006375T5 (de) * 2013-01-08 2015-10-08 Mitsubishi Electric Corporation Authentifizierungsverarbeitungsvorrichtung, Authentifizierungsverarbeitungssystem, Authentifizierungsverarbeitungsverfahren und Authentifizierungsverarbeitungsprogramm
US20180310173A1 (en) * 2017-04-25 2018-10-25 Kabushiki Kaisha Toshiba Information processing apparatus, information processing system, and information processing method

Also Published As

Publication number Publication date
CN111200498B (zh) 2024-05-03
CN111200498A (zh) 2020-05-26

Similar Documents

Publication Publication Date Title
DE102016208910B4 (de) Verfahren und System zur standortbasierten Steuerung der Klimaeigenschaften in einem Fahrzeuginnenraum
DE112008001881B4 (de) Batterieprüfgerät für Elektrofahrzeug
EP3616295B1 (de) Schaltungsanordnung und ladeverfahren für ein elektrisches energiespeichersystem
DE102015103958A1 (de) Akkumulatorsimulator mit variabler Stromkapazität
DE102011115628A1 (de) Verfahren und vorrichtung zum steuern von mehreren batteriepacks in einem hybrid- oder elektrofahrzeug
EP2999605B1 (de) Verfahren und vorrichtungen zum bereitstellen von informationen zu wartungs- und servicezwecken einer batterie
WO2013010832A2 (de) Batteriemanagementsystem und dazugehöriges verfahren zur bestimmung eines ladezustands einer batterie, batterie mit batteriemanagementsystem und kraftfahrzeug mit batteriemanagementsystem
EP2983939B1 (de) Spannungsfreischaltung eines hochvoltfahrzeug
DE102007047619A1 (de) Hybridantrieb mit Notstart- und Fremdstartmöglichkeit
DE102009030091A1 (de) Gesicherte Kommunikation zwischen Ladestation und Elektrofahrzeug
WO2016177529A1 (de) Akkumulatoranordnung mit einer verbesserten zustandsüberwachung
WO2010145971A1 (de) Vorrichtung zum anschluss an ein elektrisches energieversorgungsnetz und transportsystem
DE102014215773A1 (de) Verfahren zum Betrieb eines Batteriesystems
WO2015043928A1 (de) Verfahren und vorrichtungen zur authentifizierung von messdaten einer batterie
DE102014224969A1 (de) Verfahren zum Sicherstellen zuverlässigen Empfangs von Assoziierungsnachrichten von Elektrofahrzeugen
DE102016208244B4 (de) Verfahren und steuersystem zur bestimmung des sicherungszustands bei manuellen service-trennsteckern
DE102020133508A1 (de) Fahrzeug, Fahrzeugsteuersystem und Fahrzeugsteuerverfahren
DE202021105689U1 (de) Intelligentes System zur Verbesserung des Zustands der Batterien von Elektrofahrzeugen durch maschinelles Lernen und künstliche Intelligenz
DE102009029689A1 (de) Verfahren zur Wirkungsgradoptimierung eines Energiesystems
WO2014032728A1 (de) Batterieladesystem und verfahren zum kabellosen laden einer batterie
DE102018219868A1 (de) Verifizierung von Datenpaketen in Kraftfahrzeugen
DE102017218734A1 (de) Hochspannungs-Betriebssystem und Verfahren zum Betreiben eines Hochspannung-Batteriesystems
DE102019002411A1 (de) Verfahren Steuerungsanordnung zum Laden einer Batterie eines wenigstens teilweise elektrisch betreibbaren Kraftfahrzeugs
EP2850860A1 (de) Sicherung eines energiemengenzählers gegen unbefugten zugriff
DE102015015013A1 (de) Verfahren zur Temperierung einer elektrischen Batterie

Legal Events

Date Code Title Description
R163 Identified publications notified