-
Die vorliegende Erfindung betrifft ein Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs. Weiterhin betrifft die Erfindung eine Anordnung mit Steuergeräten, die ein entsprechendes Verfahren ausführen, ein Computerprogramm zur Ausführung des Verfahrens und ein Fahrzeug mit einer solchen Anordnung.
-
Bei Fahrzeugen ermöglicht der steigende Automatisierungsgrad, den Fahrer zunehmend zu entlasten. So können beim hochautomatisierten Fahren sicherheitsrelevante Fahrzeugfunktionen von den Fahrzeugen selbst gesteuert werden, müssen daher aber auch gegen Störungen und Ausfälle möglichst perfekt geschützt sein. So stellen beispielsweise die Steuergeräte aktorischer Systeme für die Lenkung, Gaspedal und Bremse sowie der Umfeldsensorik kritische Systemkomponenten dar, die entsprechend gesichert werden müssen. Aus diesem Grund werden für solche Systemkomponenten Redundanzsysteme im Fahrzeug vorgesehen, die bei Problemen die sicherheitsrelevanten Funktionen hinreichend gut übernehmen können, um das Fahrzeug auch ohne menschliches Eingreifen weiterhin sicher zu steuern und eine Gefährdung der Insassen auszuschließen.
-
Dieses ist aufgrund der zunehmenden Vernetzung der Fahrzeuge von großer Bedeutung. So ermöglicht die drahtlose Kommunikation einerseits zwar einen Informationsaustausch in Echtzeit zwischen Fahrzeugen sowie zwischen Infrastruktur und Fahrzeugen, Updates über Funk oder den Internetzugriff für Unterhaltungssysteme im Fahrzeug. Andererseits entsteht durch den drahtlos von außen möglichen Zugriff auf das fahrzeuginterne Netzwerk ein potenzieller Einstiegspunkt für Cyber-Angriffe, da die hierfür vorgesehenen Schnittstellen Sicherheitslücken aufweisen können. Damit besteht die Gefahr, dass diese Sicherheitslücken genutzt werden können, um einzelne Fahrzeuge oder auch ganze Fahrzeugflotten von außen zu manipulieren und gegebenenfalls gegen den Willen des jeweiligen Fahrzeugführers fernzusteuern. Aus diesem Grund nimmt die sogenannte Cybersecurity der im Automobilbereich eingesetzten Software und Hardware einen immer größeren Stellenwert ein.
-
Hierbei stellen insbesondere auch die Steuergeräte der Fahrzeuge, von denen in gegenwärtigen Fahrzeugen eine Vielzahl verbaut wird, eine potenzielle Schwachstelle dar, da sie jeweils eine eigene Software umfassen und miteinander vernetzt sind, aber keine ausreichende Rechnerkapazität für eine umfassende Verschlüsselung aufweisen. Für die Kommunikation mehrerer Steuergeräte untereinander kann deshalb eine Authentifizierung vorgesehen werden, die es einem empfangenen Steuergerät grundsätzlich ermöglicht zu überprüfen, ob es sich bei dem Absender einer signierten Nachricht tatsächlich um das Steuergerät handelt, für welches sich dieses ausgibt.
-
Ein Verfahren zur Fernsteuerung von autonomen Fahrzeugen durch autonome Einsatzfahrzeuge wird in der
US 2020/0313908 A1 offenbart. Hierbei wird ein kryptografisches Authentifizierungssystem verwendet, um sicherzustellen, dass alle ausgetauschten Nachrichten nachweislich vom Absender signiert sind. Die Nachrichten werden dann über einen sicheren Kommunikationskanal, der TLS-Verschlüsselung verwendet, an die Fahrzeuge übertragen und in einer fälschungssicheren Blockchain-Datenstruktur protokolliert.
-
Die
DE 10 2013 214 018 A1 beschreibt ein Verfahren zur automatisierten Steuerung mindestens einer sicherheitsrelevanten Funktion eines Fahrzeuges, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer oder Operator befinden muss. In einer Ausgestaltung soll so ein Einpark- oder Ausparkvorgang des Fahrzeuges automatisiert ermöglicht werden. Hierbei wird mit einer Authentifizierungsinformation überprüft, ob eine Anforderungsinformation für eine solche sicherheitsrelevante Funktion authentisch ist.
-
Aber auch bei der Verwendung solcher Authentifizierungsverfahren besteht die Gefahr, dass diese durch sogenannte Spoofing-Methoden untergraben werden. Hierbei kann bei Übernahme einer sicherheitsrelevanten Systemkomponente durch einen Angreifer das Verhalten dieser Systemkomponente so manipuliert werden, dass es für das Fahrzeug nicht erkennbar ist, dass auf das Redundanzsystem umgeschaltet werden muss.
-
Es ist eine Aufgabe der Erfindung, ein verbessertes Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, eine Anordnung mit Steuergeräten, die ein entsprechendes Verfahren ausführen, ein entsprechendes Computerprogramm und ein entsprechendes Fahrzeug zur Verfügung zu stellen.
-
Diese Aufgabe wird durch die unabhängigen Ansprüche gelöst. Bevorzugte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Ansprüche.
-
Bei dem erfindungsgemäßen Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs werden Botschaften, die von einem als Hauptdatenquelle dienenden ersten Steuergerät an ein Empfängersteuergerät gesendet werden, zur Authentisierung mit einem ersten kryptographischen Schlüssel versehen und Botschaften, die von einem als redundante Datenquelle dienenden zweiten Steuergerät an das Empfängersteuergerät gesendet werden, zur Authentisierung mit einem zweiten kryptographischen Schlüssel versehen. Hierbei umfasst das Verfahren die folgenden Schritte:
- - Senden einer mit einem dritten kryptographischen Schlüssel versehenen ersten Statusinformation von einem Überwachungsmodul des ersten Steuergeräts an das Empfängersteuergerät;
- - Senden einer mit dem zweiten kryptographischen Schlüssel versehenen zweiten Statusinformation von dem zweiten Steuergerät an das Empfängersteuergerät;
- - Empfangen der ersten Statusinformation und der zweiten Statusinformation durch das Empfängersteuergerät;
- - Auswerten der empfangenen ersten und zweiten Statusinformation zur Erkennung einer Manipulation des ersten Steuergeräts; und
- - Ergreifen einer Gegenmaßnahme bei Erkennen einer Manipulation des ersten Steuergeräts.
-
Das erfindungsgemäße Verfahren ermöglicht auf diese Weise sicherzustellen, dass bei Erkennen einer Manipulation eine Information hierüber trotz der Einflussmöglichkeiten eines möglichen Angreifers im Verbund der Steuergeräte vorliegt, sodass auf die Manipulation reagiert werden kann. Dies ist insbesondere beim automatischen Fahren ein entscheidender Vorteil gegenüber Manipulationserkennungsmechanismen auf Chipebene, die von Chipherstellern für manche elektronischen Chips zur Verfügung gestellt werden, da diese lokal auf den jeweiligen Chip beschränkt sind und somit keinen systemischen Umgang im Kontext eines automotiven Systemverbunds ermöglichen. Gegenüber herkömmlichen Redundanzsystem für das automatische Fahren ermöglicht die Erfindung dagegen auch Manipulationen zu detektieren, wenn diese über den Ausfall von einzelnen Chips bzw. Teilsystemen des Systemverbunds hinausgehen, und darauf dann mit passenden Gegenmaßnahmen zu reagieren.
-
Insbesondere kann die erste Statusinformation vorteilhafterweise von dem Überwachungsmodul basierend auf einer Überwachung des ersten Steuergeräts hinsichtlich Fehlfunktionen und/oder Manipulationsversuchen generiert und regelmäßig an das Empfängersteuergerät gesendet werden.
-
Weiterhin kann die zweite Statusinformation vorteilhafterweise von dem zweiten Steuergerät basierend auf Fahrzeugparametern generiert wird und regelmäßig an das Empfängersteuergerät gesendet werden.
-
Hierbei können die Fahrzeugparameter vorzugsweise einen Parameter zur Längsregelung und/oder Querregelung des Fahrzeugs betreffen.
-
Gemäß einer Ausführungsform der Erfindung sind das Überwachungsmodul und das erste Steuergerät auf einem gemeinsamen Elektronikboard angeordnet, weisen aber getrennte Zugriffe auf kryptographische Schlüssel und/oder Kryptographieressourcen auf.
-
Insbesondere kann das Überwachungsmodul bei Erkennen einer Manipulation des ersten Steuergeräts die Nutzung des kryptographischen Schlüssels für das erste Steuergerät ändern.
-
Hierbei kann gemäß einer bevorzugten Ausführungsform der Erfindung dem ersten Steuergerät durch das Überwachungsmodul der Zugriff auf kryptographische Schlüssel verwehrt werden.
-
Ferner kann gemäß einer weiteren bevorzugten Ausführungsform der Zugriff des ersten Steuergeräts auf kryptographische Schlüssel durch das Überwachungsmodul auf einen von dem ersten kryptographischen Schlüssel verschiedenen kryptographischen Schlüssel umgeleitet werden.
-
Gemäß einer besonders bevorzugten Ausführungsform erkennt hierbei das Empfängersteuergerät anhand einer mit dem von dem ersten kryptographischen Schlüssel verschiedenen kryptographischen Schlüssel versehene Botschaft des ersten Steuergeräts, dass durch das Überwachungsmodul eine Manipulation erkannt worden ist.
-
Gemäß einer weiteren bevorzugten Ausführungsform umfasst das als redundante Datenquelle dienende zweite Steuergerät ein Überwachungsmodul, mit dem eine Manipulation des zweiten Steuergeräts erkannt wird.
-
Vorteilhafterweise kann hierbei das Überwachungsmodul auf dem zweiten Steuergerät bei einer erkannten Manipulation selektiv nur sicherheitskritische Botschaften von dem ersten Steuergerät herausfiltern und sicherheitsunkritische Botschaften weiter durchlassen.
-
Eine erfindungsgemäße Anordnung umfasst mehrere Steuergeräte, die an einen gemeinsamen Kommunikationsbus des Fahrzeugs angeschlossen sind und eingerichtet sind, das erfindungsgemäße Verfahren auszuführen.
-
Hierbei weist mindestens eines der Steuergeräte ein Überwachungsmodul auf, das auf einem gemeinsamen Elektronikboard mit dem mindestens einen Steuergerät angeordnet ist, aber getrennte Zugriffe auf kryptographische Schlüssel und/oder Kryptographieressourcen aufweist.
-
Ein erfindungsgemäßes Computerprogramm umfasst Instruktionen, die eine Anordnung mit mehreren Steuergeräten zur Ausführung der Schritte des erfindungsgemäßen Verfahrens veranlassen.
-
Schließlich umfasst die Erfindung auch ein Fahrzeug mit einer erfindungsgemäßen Anordnung.
-
Weitere Merkmale der vorliegenden Erfindung werden aus der nachfolgenden Beschreibung und den Ansprüchen in Verbindung mit den Figuren ersichtlich.
- 1 zeigt schematisch ein Ausführungsbeispiel für das erfindungsgemäße Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs;
- 2 zeigt schematisch zwei als Hauptdatenquelle und redundante Datenquelle dienende Steuergeräte, die basierend auf einem ersten Ausführungsbeispiel der Erfindung authentisierte Nachrichten an ein Empfängersteuergerät senden;
- 3 zeigt schematisch ein zweites Ausführungsbeispiel der Erfindung mit einer Umleitung des Schlüsselzugriffs; und
- 4 zeigt schematisch für das zweite Ausführungsbeispiel, wie durch das Überwachungsmodul der Schlüsselzugriff des als Hauptdatenquelle dienenden Steuergerätes auf einen anderen kryptographischen Schlüssel umgeleitet wird.
-
Zum besseren Verständnis der Prinzipien der vorliegenden Erfindung werden nachfolgend Ausführungsformen der Erfindung anhand der Figuren detaillierter erläutert. Es versteht sich, dass sich die Erfindung nicht auf diese Ausführungsformen beschränkt und dass die beschriebenen Merkmale auch kombiniert oder modifiziert werden können, ohne den Schutzbereich der Erfindung, wie er in den Ansprüchen definiert ist, zu verlassen.
-
1 zeigt schematisch ein Ausführungsbeispiel für das erfindungsgemäße Verfahren zur authentischen Datenübertragung in einem Fahrzeug, wie beispielsweise einem Personenkraftwagen. Das Verfahren ermöglicht insbesondere eine manipulationssichere Authentisierung von einem Systemverbund für das automatische Fahren, wenn sich das Fahrzeug in einem halbautonomen oder autonomen Fahrmodus befindet, kann aber auch für Assistenzsysteme in einem manuellen Fahrmodus genutzt werden. Neben einem Hauptsystem, das ein oder mehrere Fahrfunktionen ausführt oder überwacht, ist hierbei ein Redundanzsystem vorgesehen, das die Funktion des Hauptsystems übernehmen soll, wenn dieses ausfallen sollte.
-
Exemplarisch wird das Verfahren im Folgenden anhand eines redundanten verteilten Systems erläutert, bei dem ein als Hauptsystem bzw. Hauptdatenquelle dienendes erstes Steuergerät und ein als Redundanzsystem bzw. redundante Datenquelle dienendes zweites Steuergerät jeweils Botschaften mit Daten an ein Empfängersteuergerät senden. Der Systemverbund kann aber ebenso auch mehr als diese drei Steuergerät umfassen.
-
Die authentische Datenübertragung zwischen den Steuergeräten erfolgt hierbei basierend auf kryptographischen Schlüsseln. Die kryptographischen Schlüssel wurden beispielsweise bei der Produktion des Fahrzeugs generiert, über einen gesicherten Transportkanal in die Steuergeräte eingeschrieben und werden von einem Schlüsselmanagementsystem verwaltet. Es kommen hierbei symmetrische Schlüssel zum Einsatz, die somit sowohl auf der Sendeseite zum Signieren der versandten Botschaften als auch der Empfangsseite zur Prüfung der empfangenen Botschaften eingesetzt werden.
-
In einem Verfahrensschritt 1 wird durch ein Überwachungsmodul, das auf der gleichen Platine bzw. dem gleichen Elektronikboard wie das erste Steuergerät implementiert sein kann, aber getrennten Schlüssel- und Kryptographieressourcen-Zugriff hat, eine mit einem eigenen kryptographischen Schlüssel des Überwachungsmoduls versehene Statusinformation an das Empfängersteuergerät gesendet. Hierbei wird die Statusinformation mit dem eigenen kryptographischen Schlüssel mittels eines dem Fachmann bekannten kryptographische Verfahrens signiert.
-
Dabei können die Statusinformationen insbesondere in regelmäßigen zeitlichen Abständen an das Empfängersteuergerät gesendet werden. Ferner können die Statusinformationen ggf. auch an das Redundanzsystem gesendet werden. Als Quelle für die Statusinformationen können beispielsweise sogenannte Tamperdetection-Mechanismen der verwendeten elektronischen Chips, ein „Intrusion Detection System“, ein Forensik-Modul oder eine sogenannten „Watchdog“-Funktion auf dem ersten Steuergerät dienen.
-
In einem Verfahrensschritt 2 sendet das zweite Steuergerät ebenfalls mit einem eigenen kryptographischen Schlüssel versehene Daten an das Empfängersteuergerät. Auch dieses kann in regelmäßigen Zeitabständen, oder aber bei bestimmten Ereignissen, wie dem Zeitpunkt der Betätigung einer Fahrzeugkomponente oder bei Veränderung eines erfassten Parameters um einen vorgegebenen Betrag erfolgen.
-
Hierbei kann es sich insbesondere um Statusinformationen zum Status des Fahrzeugs handeln, wie Parameter zur Längsregelung und/oder Querregelung des Fahrzeugs. Beispielsweise kann die Geschwindigkeit des Fahrzeugs durch das zweite Steuergerät komplett unabhängig von dem ersten Steuergerät berechnet und übertragen werden. In einem weiteren Beispiel kann der Zeitpunkt einer Bremsaktion von dem zweiten Steuergerät parallel zu dem ersten Steuergerät berechnet werden, so dass sich die berechnete Information zum Bremszeitpunkt mit den entsprechenden Daten in dem ersten Steuergerät decken sollten.
-
Die von dem Überwachungsmodul des ersten Steuergeräts und dem zweiten Steuergerät versandten Statusinformationen werden dann in einem Verfahrensschritt 3 durch das Empfängersteuergerät empfangen und in einem darauffolgenden Verfahrensschritt 4 ausgewertet. Hierbei kann das Empfängersteuergerät in einem Verfahrensschritt 5 auf Basis der Daten feststellen, wenn eine Manipulation des ersten Steuergeräts vorliegen könnte, weil entweder von dem Überwachungsmodul direkte Hinweise auf einen Eingriff gemessen worden sind oder weil sich von dem ersten und zweiten Steuergerät berechnete Werte widersprechen.
-
In einem Verfahrensschritt 6 kann dann bei Erkennen einer Manipulation des ersten Steuergeräts eine Gegenmaßnahme ergriffen werden. Je nachdem, welche Indizien für eine Manipulation vorliegen, lassen sich hierbei per Konfiguration unterschiedliche Reaktionsstrategien definieren. Dieses lässt sich beispielsweise anhand eines Zustandsautomaten beschreiben, der sowohl das Signieren und Prüfung der Botschaften, die Interpretation derselben und die Reaktion auf Basis der interpretierten Sachlage abbildet. Ein Beispiel für unterschiedliche Zuständen als konfigurierbare Reaktion auf die Auswertung der empfangenen Botschaften kann wie folgt aussehen:
Zustand | Reaktion |
Z1 | Geschwindigkeit kontinuierlich bis Stillstand drosseln |
Z2 | Nur noch mit Redundanzsystem fahren |
Z3 | Nur noch auf Aktionen der Längs- und Querführung des Fahrers reagieren, dabei Werte nur von Redundanzsystem als Information übernehmen (Geschwindigkeit) |
Z4 | Ignorieren jeglicher Nachrichten von beiden Systemen und nur Rohwerte aus dem Fahrzeugnetzwerk vertrauen (Raddrehzahl) |
-
Selbst wenn nun ein Angreifer erfolgreich die Kontrolle über das erste Steuergerät übernommen haben sollte und sich fälschlich als dieses ausgibt, um daraufhin beispielsweise ein falsches Fahrverhalten auszulösen, müsste er gleichzeitig auch das Überwachungsmodul und das zweite Steuergerät gegenüber dem Empfängersteuergerät „spoofen“, also Botschaften dieser weiteren Kommunikationspartner fälschen, um zu verhindern, dass ein Falschverhalten identifiziert wird. Dieses kann der Angreifer jedoch durch das Schlüsselmodell des Gesamtsystems und die Trennung der Zugriffsmöglichkeit nicht erreichen. Stattdessen löst der Angreifer bei Abweichen vom Normalverhalten also einen anderen Systemzustand im hinterlegten Zustandsautomaten aus, der durch das Empfängersteuergerät festgestellt werden kann. Die Reaktion wird dann anhand der definierten Reaktionskonfiguration eingeleitet.
-
Wenn das Überwachungsmodul als ein getrenntes Security-Modul ausgestaltet ist, das nicht durch Übernahme des ersten Steuergeräts mitgefährdet ist, kann es bei Erkennen einer Manipulation auch die Schlüsselnutzung für das erste Steuergerät ändern. So kann der Schlüsselzugriff verwehrt werden, sodass das erste Steuergerät keine signierten Nachrichten mehr senden kann. Ebenso kann der Schlüsselzugriff auf einen anderen Schlüssel umgeleitet werden, was dann das Empfängersteuergerät erkennen und authentifizieren kann, dann aber nicht als authentische, normale Botschaft von dem ersten Steuergerät, sondern als Botschaft von dem ersten Steuergerät unter der Nebenbedingung, dass das Überwachungsmodul eine Manipulation festgestellt hat.
-
Ein Überwachungsmodul kann ebenso auch auf dem zweiten Steuergerät umgesetzt werden, um auch eine Manipulation auf dem zweiten Steuergerät erkennen und darauf reagieren zu können. Ein solches Überwachungsmodul auf dem zweiten Steuergerät kann bei einer erkannten Manipulation selektiv nur die sicherheitskritische Kommunikation von dem ersten Steuergerät herausfiltern, unkritische Kommunikation dabei aber weiter durchlassen. Dadurch wird zusätzliche Sicherheit gewonnen, ohne die meisten Anwendungsfälle durch einen Fehlalarm zu beeinträchtigen.
-
2 zeigt schematisch anhand dreier Steuergeräte das erfindungsgemäße Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs. Ein erstes Steuergerät SGA dient hierbei als Hauptdatenquelle, ein zweites Steuergerät SGB als redundante Datenquelle. Die beiden Steuergeräte senden hierbei jeweils authentisierte Nachrichten bzw. Botschaften mit Daten an ein Empfängersteuergerät SGc.
-
Das erste Steuergerät SGA weist hierfür einen Schlüssel KA und das zweite Steuergerät SGB einen Schlüssel KB auf, mit denen die Botschaften jeweils beim Versand signiert werden. Da bei der Erfindung ein symmetrisches Verfahren für die Authentisierung der Kommunikation im Fahrzeug verwendet wird, weist das Empfängersteuergerät SGc entsprechend die gleichen Schlüssel zur Prüfung der von den Steuergeräten SGA und SGB empfangenen Botschaften auf.
-
Ein Überwachungsmodul SAX des ersten Steuergeräts SGA befindet sich in der gleichen elektronischen Baugruppe wie das erste Steuergerät, beispielsweise auf dem gleichen Elektronikboard. Dieses kann beispielsweise umgesetzt werden, indem für die Hauptdatenquelle und das Überwachungsmodul zwei Controllerchips vorgesehen werden, die auf der gleichen Platine angeordnet sind. Ebenso kann das Überwachungsmodul aber auch als virtuelle Einheit umgesetzt werden, die dann auf dem gleichen Prozessor wie die Hauptdatenquelle betrieben wird. In jedem Fall weisen das Überwachungsmodul SAX und das erste Steuergerät hierbei aber einen getrennten Schlüssel- und Kryptographieressourcen-Zugriff auf.
-
Das Überwachungsmodul SAX sendet mit einem eigenen kryptographischen Schlüssel KAX, wie oben beschrieben, regelmäßige Statusinformationen an das Empfängersteuergerät SGc, welches ebenfalls Zugriff auf den Schlüssel KAX hat. Durch die oben beschriebene Auswertung der von dem zweiten Steuergerät SGB und dem Überwachungsmodul empfangenen Statusinformationen werden dann Manipulation des ersten Steuergeräts erkannt und Gegenmaßnahmen ergriffen.
-
Die Steuergeräte können hierbei zur Steuerung beliebiger Funktionalitäten eines Fahrzeugs vorgesehen sein und hierfür unterschiedlichste Funktionen und Softwareanwendungen aufweisen. Sie können verschiedene, in 2 aus Gründen der Übersichtlichkeit nicht dargestellte Module umfassen. So kann ein Funktions-Modul die zu übertragenden Daten generieren, beispielsweise basierend auf Signalen von einem oder mehreren Sensoren des Fahrzeugs. Die jeweiligen Steuergeräte weisen weiterhin jeweils ein oder mehrere Kryptographie-Module auf, um Daten absichern und die Absicherung überprüfen zu können. Diese sind vorzugsweise als physikalische Hardware-Sicherheitsmodule ausgestaltet, auf denen die kryptographischen Schlüssel direkt hinterlegt sind und diese schützen und verwalten. Ebenso sind jeweils ein oder mehrere Kommunikationsmodule vorgesehen, mittels denen die Daten über ein fahrzeuginternes elektronisches Netzwerk gesendet und empfangen werden können. Das elektronische Netzwerk kann hierbei beispielsweise als ein CAN-, MOST-, FlexRay- oder Automotive Ethernet -Bus ausgestaltet sein.
-
Hierbei kann die Kommunikation des ersten Steuergeräts SGA und des Überwachungsmoduls SAX über das gleiche Kommunikationsmodul und auch das gleiche fahrzeuginterne elektronische Netzwerk erfolgen. Es kann aber ebenso auch vorgesehen werden, dass die Kommunikation des ersten Steuergeräts SGA über ein erstes Kommunikationsmodul und ein erstes fahrzeuginternes elektronisches Netzwerk und die Kommunikation des Überwachungsmoduls SAX über ein zweites Kommunikationsmodul und über ein zweites fahrzeuginternes elektronisches Netzwerk erfolgt.
-
Schließlich können die Daten in einem Speichermodul lokal gespeichert werden, wobei auch ein Datenverteiler-Modul für eine verteilte Ablage und Absicherung der Daten vorgesehen sein kann.
-
3 zeigt schematisch ein zweites Ausführungsbeispiel der Erfindung, bei dem der Schlüsselzugriff des als Hauptdatenquelle dienenden Steuergerätes auf einen anderen kryptographischen Schlüssel umgeleitet wird.
-
Die Kommunikation zwischen dem zweiten Steuergerät SGB und dem Empfängersteuergerät SGc erfolgt hierbei wie im ersten Ausführungsbeispiel. Für die Kommunikation des ersten Steuergeräts kann hier dagegen auf einen Notfall-Schlüssel KN umgeschaltet werden. Hierfür entscheidet das Überwachungsmodul SAX auf Basis des Eintretens von einem oder mehreren vordefinierten Ereignissen, dass die Kommunikation über diesen Notfall-Schlüssel KN ausgeführt werden soll.
-
4 zeigt diese Umleitung des Schlüsselzugriffs durch das Überwachungsmodul. Das als Hauptdatenquelle dienende erste Steuergerät SGA greift hierbei über ein Interface INT auf den Schlüsselspeicher SS des Überwachungsmoduls SAX zu, dass als getrenntes Sicherheitsmodul vorliegt und daher bei einer Übernahme des ersten Steuergerät SGA nicht gefährdet ist, mit übernommen zu werden. In dem Schlüsselspeicher SS befinden sich hierbei exemplarisch die Schlüssel KA, KAX, sowie der Notfall-Schlüssel KN. Im dargestellten Beispiel erfolgt die Kommunikation zwischen dem als Hauptdatenquelle dienenden ersten Steuergerät SGA und dem Empfängersteuergerät SGc zunächst basierend auf dem Schlüssel KA. Aufgrund des von dem Überwachungsmodul SAX erkannten Ereignisses entscheidet dieses dann aber, für die Kommunikation zwischen dem ersten Steuergerät SGA und dem Empfängersteuergerät SGc auf den Notfall-Schlüssel KN umzuschalten, wie in der Figur durch den nach rechts deutenden Pfeil schematisch angedeutet wird.
-
Das erfindungsgemäße Verfahren wird vorzugsweise als Computerprogramm auf den Steuergeräten ausgeführt. Dazu wird das Computerprogramm bei der Herstellung der Steuergeräte in einen Speicher des jeweiligen Steuergeräts übertragen und abgespeichert. Das Computerprogramm umfasst Instruktionen, die das Steuergerät bei Ausführung durch einen Prozessor des Steuergeräts veranlassen, die Schritte gemäß dem erfindungsgemäßen Verfahren auszuführen. Der Prozessor kann eine oder mehrere Prozessoreinheiten umfassen, beispielsweise Mikroprozessoren, digitale Signalprozessoren oder Kombinationen daraus.
-
Bezugszeichenliste
-
- 1 - 6
- Verfahrensschritte
- SGA, SGB, SGC
- Steuergerät
- SAX
- Überwachungsmodul
- KA, KB, KAX, KN
- kryptographische Schlüssel
- INT
- Interface
- SS
- Schlüsselspeicher
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 20200313908 A1 [0005]
- DE 102013214018 A1 [0006]