DE102021208459A1 - Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug - Google Patents

Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug Download PDF

Info

Publication number
DE102021208459A1
DE102021208459A1 DE102021208459.1A DE102021208459A DE102021208459A1 DE 102021208459 A1 DE102021208459 A1 DE 102021208459A1 DE 102021208459 A DE102021208459 A DE 102021208459A DE 102021208459 A1 DE102021208459 A1 DE 102021208459A1
Authority
DE
Germany
Prior art keywords
control unit
monitoring module
vehicle
sgc
status information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102021208459.1A
Other languages
English (en)
Other versions
DE102021208459B4 (de
Inventor
Timo WINKELVOS
Aljoscha Fernandez
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102021208459.1A priority Critical patent/DE102021208459B4/de
Priority to CN202210930963.6A priority patent/CN115706676A/zh
Priority to US17/881,168 priority patent/US20230052852A1/en
Publication of DE102021208459A1 publication Critical patent/DE102021208459A1/de
Application granted granted Critical
Publication of DE102021208459B4 publication Critical patent/DE102021208459B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Bei dem erfindungsgemäßen Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs werden Botschaften, die von einem als Hauptdatenquelle dienenden ersten Steuergerät (SGA) an ein Empfängersteuergerät (SGc) gesendet werden, zur Authentisierung mit einem ersten kryptographischen Schlüssel (KA) versehen und Botschaften, die von einem als redundante Datenquelle dienenden zweiten Steuergerät (SGB) an das Empfängersteuergerät (SGc) gesendet werden, zur Authentisierung mit einem zweiten kryptographischen Schlüssel (KB) versehen. Es wird hierbei eine mit einem dritten kryptographischen Schlüssel (KAX) versehene erste Statusinformation von einem Überwachungsmodul (SAX) des ersten Steuergeräts (SGA) an das Empfängersteuergerät (SGc) gesendet (1) und eine mit dem zweiten kryptographischen Schlüssel (KB) versehene zweite Statusinformation von dem zweiten Steuergerät (SGB) an das Empfängersteuergerät (SGc) gesendet (2). Die erste Statusinformation und zweite Statusinformation werden durch das Empfängersteuergerät (SGc) empfangen (3). Die empfangene erste und zweite Statusinformation wird zur Erkennung (5) einer Manipulation des ersten Steuergeräts ausgewertet (4). Bei Erkennen einer Manipulation des ersten Steuergeräts wird eine Gegenmaßnahme ergriffen (6).

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs. Weiterhin betrifft die Erfindung eine Anordnung mit Steuergeräten, die ein entsprechendes Verfahren ausführen, ein Computerprogramm zur Ausführung des Verfahrens und ein Fahrzeug mit einer solchen Anordnung.
  • Bei Fahrzeugen ermöglicht der steigende Automatisierungsgrad, den Fahrer zunehmend zu entlasten. So können beim hochautomatisierten Fahren sicherheitsrelevante Fahrzeugfunktionen von den Fahrzeugen selbst gesteuert werden, müssen daher aber auch gegen Störungen und Ausfälle möglichst perfekt geschützt sein. So stellen beispielsweise die Steuergeräte aktorischer Systeme für die Lenkung, Gaspedal und Bremse sowie der Umfeldsensorik kritische Systemkomponenten dar, die entsprechend gesichert werden müssen. Aus diesem Grund werden für solche Systemkomponenten Redundanzsysteme im Fahrzeug vorgesehen, die bei Problemen die sicherheitsrelevanten Funktionen hinreichend gut übernehmen können, um das Fahrzeug auch ohne menschliches Eingreifen weiterhin sicher zu steuern und eine Gefährdung der Insassen auszuschließen.
  • Dieses ist aufgrund der zunehmenden Vernetzung der Fahrzeuge von großer Bedeutung. So ermöglicht die drahtlose Kommunikation einerseits zwar einen Informationsaustausch in Echtzeit zwischen Fahrzeugen sowie zwischen Infrastruktur und Fahrzeugen, Updates über Funk oder den Internetzugriff für Unterhaltungssysteme im Fahrzeug. Andererseits entsteht durch den drahtlos von außen möglichen Zugriff auf das fahrzeuginterne Netzwerk ein potenzieller Einstiegspunkt für Cyber-Angriffe, da die hierfür vorgesehenen Schnittstellen Sicherheitslücken aufweisen können. Damit besteht die Gefahr, dass diese Sicherheitslücken genutzt werden können, um einzelne Fahrzeuge oder auch ganze Fahrzeugflotten von außen zu manipulieren und gegebenenfalls gegen den Willen des jeweiligen Fahrzeugführers fernzusteuern. Aus diesem Grund nimmt die sogenannte Cybersecurity der im Automobilbereich eingesetzten Software und Hardware einen immer größeren Stellenwert ein.
  • Hierbei stellen insbesondere auch die Steuergeräte der Fahrzeuge, von denen in gegenwärtigen Fahrzeugen eine Vielzahl verbaut wird, eine potenzielle Schwachstelle dar, da sie jeweils eine eigene Software umfassen und miteinander vernetzt sind, aber keine ausreichende Rechnerkapazität für eine umfassende Verschlüsselung aufweisen. Für die Kommunikation mehrerer Steuergeräte untereinander kann deshalb eine Authentifizierung vorgesehen werden, die es einem empfangenen Steuergerät grundsätzlich ermöglicht zu überprüfen, ob es sich bei dem Absender einer signierten Nachricht tatsächlich um das Steuergerät handelt, für welches sich dieses ausgibt.
  • Ein Verfahren zur Fernsteuerung von autonomen Fahrzeugen durch autonome Einsatzfahrzeuge wird in der US 2020/0313908 A1 offenbart. Hierbei wird ein kryptografisches Authentifizierungssystem verwendet, um sicherzustellen, dass alle ausgetauschten Nachrichten nachweislich vom Absender signiert sind. Die Nachrichten werden dann über einen sicheren Kommunikationskanal, der TLS-Verschlüsselung verwendet, an die Fahrzeuge übertragen und in einer fälschungssicheren Blockchain-Datenstruktur protokolliert.
  • Die DE 10 2013 214 018 A1 beschreibt ein Verfahren zur automatisierten Steuerung mindestens einer sicherheitsrelevanten Funktion eines Fahrzeuges, ohne dass sich an Bord des Fahrzeuges ein handlungsfähiger Fahrer oder Operator befinden muss. In einer Ausgestaltung soll so ein Einpark- oder Ausparkvorgang des Fahrzeuges automatisiert ermöglicht werden. Hierbei wird mit einer Authentifizierungsinformation überprüft, ob eine Anforderungsinformation für eine solche sicherheitsrelevante Funktion authentisch ist.
  • Aber auch bei der Verwendung solcher Authentifizierungsverfahren besteht die Gefahr, dass diese durch sogenannte Spoofing-Methoden untergraben werden. Hierbei kann bei Übernahme einer sicherheitsrelevanten Systemkomponente durch einen Angreifer das Verhalten dieser Systemkomponente so manipuliert werden, dass es für das Fahrzeug nicht erkennbar ist, dass auf das Redundanzsystem umgeschaltet werden muss.
  • Es ist eine Aufgabe der Erfindung, ein verbessertes Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, eine Anordnung mit Steuergeräten, die ein entsprechendes Verfahren ausführen, ein entsprechendes Computerprogramm und ein entsprechendes Fahrzeug zur Verfügung zu stellen.
  • Diese Aufgabe wird durch die unabhängigen Ansprüche gelöst. Bevorzugte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Ansprüche.
  • Bei dem erfindungsgemäßen Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs werden Botschaften, die von einem als Hauptdatenquelle dienenden ersten Steuergerät an ein Empfängersteuergerät gesendet werden, zur Authentisierung mit einem ersten kryptographischen Schlüssel versehen und Botschaften, die von einem als redundante Datenquelle dienenden zweiten Steuergerät an das Empfängersteuergerät gesendet werden, zur Authentisierung mit einem zweiten kryptographischen Schlüssel versehen. Hierbei umfasst das Verfahren die folgenden Schritte:
    • - Senden einer mit einem dritten kryptographischen Schlüssel versehenen ersten Statusinformation von einem Überwachungsmodul des ersten Steuergeräts an das Empfängersteuergerät;
    • - Senden einer mit dem zweiten kryptographischen Schlüssel versehenen zweiten Statusinformation von dem zweiten Steuergerät an das Empfängersteuergerät;
    • - Empfangen der ersten Statusinformation und der zweiten Statusinformation durch das Empfängersteuergerät;
    • - Auswerten der empfangenen ersten und zweiten Statusinformation zur Erkennung einer Manipulation des ersten Steuergeräts; und
    • - Ergreifen einer Gegenmaßnahme bei Erkennen einer Manipulation des ersten Steuergeräts.
  • Das erfindungsgemäße Verfahren ermöglicht auf diese Weise sicherzustellen, dass bei Erkennen einer Manipulation eine Information hierüber trotz der Einflussmöglichkeiten eines möglichen Angreifers im Verbund der Steuergeräte vorliegt, sodass auf die Manipulation reagiert werden kann. Dies ist insbesondere beim automatischen Fahren ein entscheidender Vorteil gegenüber Manipulationserkennungsmechanismen auf Chipebene, die von Chipherstellern für manche elektronischen Chips zur Verfügung gestellt werden, da diese lokal auf den jeweiligen Chip beschränkt sind und somit keinen systemischen Umgang im Kontext eines automotiven Systemverbunds ermöglichen. Gegenüber herkömmlichen Redundanzsystem für das automatische Fahren ermöglicht die Erfindung dagegen auch Manipulationen zu detektieren, wenn diese über den Ausfall von einzelnen Chips bzw. Teilsystemen des Systemverbunds hinausgehen, und darauf dann mit passenden Gegenmaßnahmen zu reagieren.
  • Insbesondere kann die erste Statusinformation vorteilhafterweise von dem Überwachungsmodul basierend auf einer Überwachung des ersten Steuergeräts hinsichtlich Fehlfunktionen und/oder Manipulationsversuchen generiert und regelmäßig an das Empfängersteuergerät gesendet werden.
  • Weiterhin kann die zweite Statusinformation vorteilhafterweise von dem zweiten Steuergerät basierend auf Fahrzeugparametern generiert wird und regelmäßig an das Empfängersteuergerät gesendet werden.
  • Hierbei können die Fahrzeugparameter vorzugsweise einen Parameter zur Längsregelung und/oder Querregelung des Fahrzeugs betreffen.
  • Gemäß einer Ausführungsform der Erfindung sind das Überwachungsmodul und das erste Steuergerät auf einem gemeinsamen Elektronikboard angeordnet, weisen aber getrennte Zugriffe auf kryptographische Schlüssel und/oder Kryptographieressourcen auf.
  • Insbesondere kann das Überwachungsmodul bei Erkennen einer Manipulation des ersten Steuergeräts die Nutzung des kryptographischen Schlüssels für das erste Steuergerät ändern.
  • Hierbei kann gemäß einer bevorzugten Ausführungsform der Erfindung dem ersten Steuergerät durch das Überwachungsmodul der Zugriff auf kryptographische Schlüssel verwehrt werden.
  • Ferner kann gemäß einer weiteren bevorzugten Ausführungsform der Zugriff des ersten Steuergeräts auf kryptographische Schlüssel durch das Überwachungsmodul auf einen von dem ersten kryptographischen Schlüssel verschiedenen kryptographischen Schlüssel umgeleitet werden.
  • Gemäß einer besonders bevorzugten Ausführungsform erkennt hierbei das Empfängersteuergerät anhand einer mit dem von dem ersten kryptographischen Schlüssel verschiedenen kryptographischen Schlüssel versehene Botschaft des ersten Steuergeräts, dass durch das Überwachungsmodul eine Manipulation erkannt worden ist.
  • Gemäß einer weiteren bevorzugten Ausführungsform umfasst das als redundante Datenquelle dienende zweite Steuergerät ein Überwachungsmodul, mit dem eine Manipulation des zweiten Steuergeräts erkannt wird.
  • Vorteilhafterweise kann hierbei das Überwachungsmodul auf dem zweiten Steuergerät bei einer erkannten Manipulation selektiv nur sicherheitskritische Botschaften von dem ersten Steuergerät herausfiltern und sicherheitsunkritische Botschaften weiter durchlassen.
  • Eine erfindungsgemäße Anordnung umfasst mehrere Steuergeräte, die an einen gemeinsamen Kommunikationsbus des Fahrzeugs angeschlossen sind und eingerichtet sind, das erfindungsgemäße Verfahren auszuführen.
  • Hierbei weist mindestens eines der Steuergeräte ein Überwachungsmodul auf, das auf einem gemeinsamen Elektronikboard mit dem mindestens einen Steuergerät angeordnet ist, aber getrennte Zugriffe auf kryptographische Schlüssel und/oder Kryptographieressourcen aufweist.
  • Ein erfindungsgemäßes Computerprogramm umfasst Instruktionen, die eine Anordnung mit mehreren Steuergeräten zur Ausführung der Schritte des erfindungsgemäßen Verfahrens veranlassen.
  • Schließlich umfasst die Erfindung auch ein Fahrzeug mit einer erfindungsgemäßen Anordnung.
  • Weitere Merkmale der vorliegenden Erfindung werden aus der nachfolgenden Beschreibung und den Ansprüchen in Verbindung mit den Figuren ersichtlich.
    • 1 zeigt schematisch ein Ausführungsbeispiel für das erfindungsgemäße Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs;
    • 2 zeigt schematisch zwei als Hauptdatenquelle und redundante Datenquelle dienende Steuergeräte, die basierend auf einem ersten Ausführungsbeispiel der Erfindung authentisierte Nachrichten an ein Empfängersteuergerät senden;
    • 3 zeigt schematisch ein zweites Ausführungsbeispiel der Erfindung mit einer Umleitung des Schlüsselzugriffs; und
    • 4 zeigt schematisch für das zweite Ausführungsbeispiel, wie durch das Überwachungsmodul der Schlüsselzugriff des als Hauptdatenquelle dienenden Steuergerätes auf einen anderen kryptographischen Schlüssel umgeleitet wird.
  • Zum besseren Verständnis der Prinzipien der vorliegenden Erfindung werden nachfolgend Ausführungsformen der Erfindung anhand der Figuren detaillierter erläutert. Es versteht sich, dass sich die Erfindung nicht auf diese Ausführungsformen beschränkt und dass die beschriebenen Merkmale auch kombiniert oder modifiziert werden können, ohne den Schutzbereich der Erfindung, wie er in den Ansprüchen definiert ist, zu verlassen.
  • 1 zeigt schematisch ein Ausführungsbeispiel für das erfindungsgemäße Verfahren zur authentischen Datenübertragung in einem Fahrzeug, wie beispielsweise einem Personenkraftwagen. Das Verfahren ermöglicht insbesondere eine manipulationssichere Authentisierung von einem Systemverbund für das automatische Fahren, wenn sich das Fahrzeug in einem halbautonomen oder autonomen Fahrmodus befindet, kann aber auch für Assistenzsysteme in einem manuellen Fahrmodus genutzt werden. Neben einem Hauptsystem, das ein oder mehrere Fahrfunktionen ausführt oder überwacht, ist hierbei ein Redundanzsystem vorgesehen, das die Funktion des Hauptsystems übernehmen soll, wenn dieses ausfallen sollte.
  • Exemplarisch wird das Verfahren im Folgenden anhand eines redundanten verteilten Systems erläutert, bei dem ein als Hauptsystem bzw. Hauptdatenquelle dienendes erstes Steuergerät und ein als Redundanzsystem bzw. redundante Datenquelle dienendes zweites Steuergerät jeweils Botschaften mit Daten an ein Empfängersteuergerät senden. Der Systemverbund kann aber ebenso auch mehr als diese drei Steuergerät umfassen.
  • Die authentische Datenübertragung zwischen den Steuergeräten erfolgt hierbei basierend auf kryptographischen Schlüsseln. Die kryptographischen Schlüssel wurden beispielsweise bei der Produktion des Fahrzeugs generiert, über einen gesicherten Transportkanal in die Steuergeräte eingeschrieben und werden von einem Schlüsselmanagementsystem verwaltet. Es kommen hierbei symmetrische Schlüssel zum Einsatz, die somit sowohl auf der Sendeseite zum Signieren der versandten Botschaften als auch der Empfangsseite zur Prüfung der empfangenen Botschaften eingesetzt werden.
  • In einem Verfahrensschritt 1 wird durch ein Überwachungsmodul, das auf der gleichen Platine bzw. dem gleichen Elektronikboard wie das erste Steuergerät implementiert sein kann, aber getrennten Schlüssel- und Kryptographieressourcen-Zugriff hat, eine mit einem eigenen kryptographischen Schlüssel des Überwachungsmoduls versehene Statusinformation an das Empfängersteuergerät gesendet. Hierbei wird die Statusinformation mit dem eigenen kryptographischen Schlüssel mittels eines dem Fachmann bekannten kryptographische Verfahrens signiert.
  • Dabei können die Statusinformationen insbesondere in regelmäßigen zeitlichen Abständen an das Empfängersteuergerät gesendet werden. Ferner können die Statusinformationen ggf. auch an das Redundanzsystem gesendet werden. Als Quelle für die Statusinformationen können beispielsweise sogenannte Tamperdetection-Mechanismen der verwendeten elektronischen Chips, ein „Intrusion Detection System“, ein Forensik-Modul oder eine sogenannten „Watchdog“-Funktion auf dem ersten Steuergerät dienen.
  • In einem Verfahrensschritt 2 sendet das zweite Steuergerät ebenfalls mit einem eigenen kryptographischen Schlüssel versehene Daten an das Empfängersteuergerät. Auch dieses kann in regelmäßigen Zeitabständen, oder aber bei bestimmten Ereignissen, wie dem Zeitpunkt der Betätigung einer Fahrzeugkomponente oder bei Veränderung eines erfassten Parameters um einen vorgegebenen Betrag erfolgen.
  • Hierbei kann es sich insbesondere um Statusinformationen zum Status des Fahrzeugs handeln, wie Parameter zur Längsregelung und/oder Querregelung des Fahrzeugs. Beispielsweise kann die Geschwindigkeit des Fahrzeugs durch das zweite Steuergerät komplett unabhängig von dem ersten Steuergerät berechnet und übertragen werden. In einem weiteren Beispiel kann der Zeitpunkt einer Bremsaktion von dem zweiten Steuergerät parallel zu dem ersten Steuergerät berechnet werden, so dass sich die berechnete Information zum Bremszeitpunkt mit den entsprechenden Daten in dem ersten Steuergerät decken sollten.
  • Die von dem Überwachungsmodul des ersten Steuergeräts und dem zweiten Steuergerät versandten Statusinformationen werden dann in einem Verfahrensschritt 3 durch das Empfängersteuergerät empfangen und in einem darauffolgenden Verfahrensschritt 4 ausgewertet. Hierbei kann das Empfängersteuergerät in einem Verfahrensschritt 5 auf Basis der Daten feststellen, wenn eine Manipulation des ersten Steuergeräts vorliegen könnte, weil entweder von dem Überwachungsmodul direkte Hinweise auf einen Eingriff gemessen worden sind oder weil sich von dem ersten und zweiten Steuergerät berechnete Werte widersprechen.
  • In einem Verfahrensschritt 6 kann dann bei Erkennen einer Manipulation des ersten Steuergeräts eine Gegenmaßnahme ergriffen werden. Je nachdem, welche Indizien für eine Manipulation vorliegen, lassen sich hierbei per Konfiguration unterschiedliche Reaktionsstrategien definieren. Dieses lässt sich beispielsweise anhand eines Zustandsautomaten beschreiben, der sowohl das Signieren und Prüfung der Botschaften, die Interpretation derselben und die Reaktion auf Basis der interpretierten Sachlage abbildet. Ein Beispiel für unterschiedliche Zuständen als konfigurierbare Reaktion auf die Auswertung der empfangenen Botschaften kann wie folgt aussehen:
    Zustand Reaktion
    Z1 Geschwindigkeit kontinuierlich bis Stillstand drosseln
    Z2 Nur noch mit Redundanzsystem fahren
    Z3 Nur noch auf Aktionen der Längs- und Querführung des Fahrers reagieren, dabei Werte nur von Redundanzsystem als Information übernehmen (Geschwindigkeit)
    Z4 Ignorieren jeglicher Nachrichten von beiden Systemen und nur Rohwerte aus dem Fahrzeugnetzwerk vertrauen (Raddrehzahl)
  • Selbst wenn nun ein Angreifer erfolgreich die Kontrolle über das erste Steuergerät übernommen haben sollte und sich fälschlich als dieses ausgibt, um daraufhin beispielsweise ein falsches Fahrverhalten auszulösen, müsste er gleichzeitig auch das Überwachungsmodul und das zweite Steuergerät gegenüber dem Empfängersteuergerät „spoofen“, also Botschaften dieser weiteren Kommunikationspartner fälschen, um zu verhindern, dass ein Falschverhalten identifiziert wird. Dieses kann der Angreifer jedoch durch das Schlüsselmodell des Gesamtsystems und die Trennung der Zugriffsmöglichkeit nicht erreichen. Stattdessen löst der Angreifer bei Abweichen vom Normalverhalten also einen anderen Systemzustand im hinterlegten Zustandsautomaten aus, der durch das Empfängersteuergerät festgestellt werden kann. Die Reaktion wird dann anhand der definierten Reaktionskonfiguration eingeleitet.
  • Wenn das Überwachungsmodul als ein getrenntes Security-Modul ausgestaltet ist, das nicht durch Übernahme des ersten Steuergeräts mitgefährdet ist, kann es bei Erkennen einer Manipulation auch die Schlüsselnutzung für das erste Steuergerät ändern. So kann der Schlüsselzugriff verwehrt werden, sodass das erste Steuergerät keine signierten Nachrichten mehr senden kann. Ebenso kann der Schlüsselzugriff auf einen anderen Schlüssel umgeleitet werden, was dann das Empfängersteuergerät erkennen und authentifizieren kann, dann aber nicht als authentische, normale Botschaft von dem ersten Steuergerät, sondern als Botschaft von dem ersten Steuergerät unter der Nebenbedingung, dass das Überwachungsmodul eine Manipulation festgestellt hat.
  • Ein Überwachungsmodul kann ebenso auch auf dem zweiten Steuergerät umgesetzt werden, um auch eine Manipulation auf dem zweiten Steuergerät erkennen und darauf reagieren zu können. Ein solches Überwachungsmodul auf dem zweiten Steuergerät kann bei einer erkannten Manipulation selektiv nur die sicherheitskritische Kommunikation von dem ersten Steuergerät herausfiltern, unkritische Kommunikation dabei aber weiter durchlassen. Dadurch wird zusätzliche Sicherheit gewonnen, ohne die meisten Anwendungsfälle durch einen Fehlalarm zu beeinträchtigen.
  • 2 zeigt schematisch anhand dreier Steuergeräte das erfindungsgemäße Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs. Ein erstes Steuergerät SGA dient hierbei als Hauptdatenquelle, ein zweites Steuergerät SGB als redundante Datenquelle. Die beiden Steuergeräte senden hierbei jeweils authentisierte Nachrichten bzw. Botschaften mit Daten an ein Empfängersteuergerät SGc.
  • Das erste Steuergerät SGA weist hierfür einen Schlüssel KA und das zweite Steuergerät SGB einen Schlüssel KB auf, mit denen die Botschaften jeweils beim Versand signiert werden. Da bei der Erfindung ein symmetrisches Verfahren für die Authentisierung der Kommunikation im Fahrzeug verwendet wird, weist das Empfängersteuergerät SGc entsprechend die gleichen Schlüssel zur Prüfung der von den Steuergeräten SGA und SGB empfangenen Botschaften auf.
  • Ein Überwachungsmodul SAX des ersten Steuergeräts SGA befindet sich in der gleichen elektronischen Baugruppe wie das erste Steuergerät, beispielsweise auf dem gleichen Elektronikboard. Dieses kann beispielsweise umgesetzt werden, indem für die Hauptdatenquelle und das Überwachungsmodul zwei Controllerchips vorgesehen werden, die auf der gleichen Platine angeordnet sind. Ebenso kann das Überwachungsmodul aber auch als virtuelle Einheit umgesetzt werden, die dann auf dem gleichen Prozessor wie die Hauptdatenquelle betrieben wird. In jedem Fall weisen das Überwachungsmodul SAX und das erste Steuergerät hierbei aber einen getrennten Schlüssel- und Kryptographieressourcen-Zugriff auf.
  • Das Überwachungsmodul SAX sendet mit einem eigenen kryptographischen Schlüssel KAX, wie oben beschrieben, regelmäßige Statusinformationen an das Empfängersteuergerät SGc, welches ebenfalls Zugriff auf den Schlüssel KAX hat. Durch die oben beschriebene Auswertung der von dem zweiten Steuergerät SGB und dem Überwachungsmodul empfangenen Statusinformationen werden dann Manipulation des ersten Steuergeräts erkannt und Gegenmaßnahmen ergriffen.
  • Die Steuergeräte können hierbei zur Steuerung beliebiger Funktionalitäten eines Fahrzeugs vorgesehen sein und hierfür unterschiedlichste Funktionen und Softwareanwendungen aufweisen. Sie können verschiedene, in 2 aus Gründen der Übersichtlichkeit nicht dargestellte Module umfassen. So kann ein Funktions-Modul die zu übertragenden Daten generieren, beispielsweise basierend auf Signalen von einem oder mehreren Sensoren des Fahrzeugs. Die jeweiligen Steuergeräte weisen weiterhin jeweils ein oder mehrere Kryptographie-Module auf, um Daten absichern und die Absicherung überprüfen zu können. Diese sind vorzugsweise als physikalische Hardware-Sicherheitsmodule ausgestaltet, auf denen die kryptographischen Schlüssel direkt hinterlegt sind und diese schützen und verwalten. Ebenso sind jeweils ein oder mehrere Kommunikationsmodule vorgesehen, mittels denen die Daten über ein fahrzeuginternes elektronisches Netzwerk gesendet und empfangen werden können. Das elektronische Netzwerk kann hierbei beispielsweise als ein CAN-, MOST-, FlexRay- oder Automotive Ethernet -Bus ausgestaltet sein.
  • Hierbei kann die Kommunikation des ersten Steuergeräts SGA und des Überwachungsmoduls SAX über das gleiche Kommunikationsmodul und auch das gleiche fahrzeuginterne elektronische Netzwerk erfolgen. Es kann aber ebenso auch vorgesehen werden, dass die Kommunikation des ersten Steuergeräts SGA über ein erstes Kommunikationsmodul und ein erstes fahrzeuginternes elektronisches Netzwerk und die Kommunikation des Überwachungsmoduls SAX über ein zweites Kommunikationsmodul und über ein zweites fahrzeuginternes elektronisches Netzwerk erfolgt.
  • Schließlich können die Daten in einem Speichermodul lokal gespeichert werden, wobei auch ein Datenverteiler-Modul für eine verteilte Ablage und Absicherung der Daten vorgesehen sein kann.
  • 3 zeigt schematisch ein zweites Ausführungsbeispiel der Erfindung, bei dem der Schlüsselzugriff des als Hauptdatenquelle dienenden Steuergerätes auf einen anderen kryptographischen Schlüssel umgeleitet wird.
  • Die Kommunikation zwischen dem zweiten Steuergerät SGB und dem Empfängersteuergerät SGc erfolgt hierbei wie im ersten Ausführungsbeispiel. Für die Kommunikation des ersten Steuergeräts kann hier dagegen auf einen Notfall-Schlüssel KN umgeschaltet werden. Hierfür entscheidet das Überwachungsmodul SAX auf Basis des Eintretens von einem oder mehreren vordefinierten Ereignissen, dass die Kommunikation über diesen Notfall-Schlüssel KN ausgeführt werden soll.
  • 4 zeigt diese Umleitung des Schlüsselzugriffs durch das Überwachungsmodul. Das als Hauptdatenquelle dienende erste Steuergerät SGA greift hierbei über ein Interface INT auf den Schlüsselspeicher SS des Überwachungsmoduls SAX zu, dass als getrenntes Sicherheitsmodul vorliegt und daher bei einer Übernahme des ersten Steuergerät SGA nicht gefährdet ist, mit übernommen zu werden. In dem Schlüsselspeicher SS befinden sich hierbei exemplarisch die Schlüssel KA, KAX, sowie der Notfall-Schlüssel KN. Im dargestellten Beispiel erfolgt die Kommunikation zwischen dem als Hauptdatenquelle dienenden ersten Steuergerät SGA und dem Empfängersteuergerät SGc zunächst basierend auf dem Schlüssel KA. Aufgrund des von dem Überwachungsmodul SAX erkannten Ereignisses entscheidet dieses dann aber, für die Kommunikation zwischen dem ersten Steuergerät SGA und dem Empfängersteuergerät SGc auf den Notfall-Schlüssel KN umzuschalten, wie in der Figur durch den nach rechts deutenden Pfeil schematisch angedeutet wird.
  • Das erfindungsgemäße Verfahren wird vorzugsweise als Computerprogramm auf den Steuergeräten ausgeführt. Dazu wird das Computerprogramm bei der Herstellung der Steuergeräte in einen Speicher des jeweiligen Steuergeräts übertragen und abgespeichert. Das Computerprogramm umfasst Instruktionen, die das Steuergerät bei Ausführung durch einen Prozessor des Steuergeräts veranlassen, die Schritte gemäß dem erfindungsgemäßen Verfahren auszuführen. Der Prozessor kann eine oder mehrere Prozessoreinheiten umfassen, beispielsweise Mikroprozessoren, digitale Signalprozessoren oder Kombinationen daraus.
  • Bezugszeichenliste
    • 1 - 6
    Verfahrensschritte
    SGA, SGB, SGC
    Steuergerät
    SAX
    Überwachungsmodul
    KA, KB, KAX, KN
    kryptographische Schlüssel
    INT
    Interface
    SS
    Schlüsselspeicher
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 20200313908 A1 [0005]
    • DE 102013214018 A1 [0006]

Claims (15)

  1. Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, bei dem Botschaften, die von einem als Hauptdatenquelle dienenden ersten Steuergerät (SGA) an ein Empfängersteuergerät (SGc) gesendet werden, zur Authentisierung mit einem ersten kryptographischen Schlüssel (KA) versehen werden und Botschaften, die von einem als redundante Datenquelle dienenden zweiten Steuergerät (SGB) an das Empfängersteuergerät (SGc) gesendet werden, zur Authentisierung mit einem zweiten kryptographischen Schlüssel (KB) versehen werden und wobei das Verfahren die folgenden Schritte umfasst: - Senden (1) einer mit einem dritten kryptographischen Schlüssel (KAX) versehenen ersten Statusinformation von einem Überwachungsmodul (SAX) des ersten Steuergeräts (SGA) an das Empfängersteuergerät (SGc); - Senden (2) einer mit dem zweiten kryptographischen Schlüssel (KB) versehenen zweiten Statusinformation von dem zweiten Steuergerät (SGB) an das Empfängersteuergerät (SGc); - Empfangen (3) der ersten Statusinformation und der zweiten Statusinformation durch das Empfängersteuergerät (SGc); - Auswerten (4) der empfangenen ersten und zweiten Statusinformation zur Erkennung (5) einer Manipulation des ersten Steuergeräts; und - Ergreifen (6) einer Gegenmaßnahme bei Erkennen einer Manipulation des ersten Steuergeräts.
  2. Verfahren nach Anspruch 1, wobei die erste Statusinformation von dem Überwachungsmodul (SAX) basierend auf einer Überwachung des ersten Steuergeräts (SGA) hinsichtlich Fehlfunktionen und/oder Manipulationsversuchen generiert wird und regelmäßig an das Empfängersteuergerät (SGc) gesendet wird.
  3. Verfahren nach Anspruch 1 oder 2, wobei die zweite Statusinformation von dem zweiten Steuergerät (SGB) basierend auf Fahrzeugparametern generiert wird und regelmäßig an das Empfängersteuergerät (SGc) gesendet wird.
  4. Verfahren nach Anspruch 3, wobei die Fahrzeugparameter einen Parameter zur Längsregelung und/oder Querregelung des Fahrzeugs betreffen.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Überwachungsmodul (SAX) und das erste Steuergerät (SGA) auf einem gemeinsamen Elektronikboard angeordnet sind, aber getrennte Zugriffe auf kryptographische Schlüssel und/oder Kryptographieressourcen aufweisen.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Überwachungsmodul (SAX) bei Erkennen einer Manipulation des ersten Steuergeräts (SGA) die Nutzung des kryptographischen Schlüssels für das erste Steuergerät ändert.
  7. Verfahren nach Anspruch 6, wobei dem ersten Steuergerät (SGA) durch das Überwachungsmodul (SAX) der Zugriff auf kryptographische Schlüssel verwehrt wird.
  8. Verfahren nach Anspruch 6, wobei der Zugriff des ersten Steuergeräts (SGA) auf kryptographische Schlüssel durch das Überwachungsmodul (SAX) auf einen von dem ersten kryptographischen Schlüssel (KA) verschiedenen kryptographischen Schlüssel (KN) umgeleitet wird.
  9. Verfahren nach Anspruch 8, wobei das Empfängersteuergerät (SGc) anhand einer mit dem von dem ersten kryptographischen Schlüssel (KA) verschiedenen kryptographischen Schlüssel (KN) versehene Botschaft des ersten Steuergeräts (SGA) erkennt, dass durch das Überwachungsmodul (SAX) eine Manipulation erkannt worden ist.
  10. Verfahren nach einem der vorhergehenden Ansprüche, wobei das als redundante Datenquelle dienende zweite Steuergerät (SGB) ein Überwachungsmodul umfasst, mit dem eine Manipulation des zweiten Steuergeräts erkannt wird.
  11. Verfahren nach Anspruch 10, wobei das Überwachungsmodul auf dem zweiten Steuergerät (SGA) bei einer erkannten Manipulation selektiv nur sicherheitskritische Botschaften von dem ersten Steuergerät (SGA) herausfiltert und sicherheitsunkritische Botschaften weiter durchlässt.
  12. Anordnung mit mehreren Steuergeräten, wobei die Steuergeräte an einen gemeinsamen Kommunikationsbus des Fahrzeugs angeschlossen sind und eingerichtet sind, ein Verfahren gemäß einem der Ansprüche 1 bis 11 auszuführen.
  13. Anordnung nach Anspruch 12, wobei mindestens eines der Steuergeräte ein Überwachungsmodul (SAX) aufweist, das auf einem gemeinsamen Elektronikboard mit dem mindestens einen Steuergerät (SGA) angeordnet ist, aber getrennte Zugriffe auf kryptographische Schlüssel und/oder Kryptographieressourcen aufweist.
  14. Computerprogramm mit Instruktionen, die eine Anordnung mit mehreren Steuergeräten zur Ausführung der Schritte eines Verfahrens gemäß einem der Ansprüche 1 bis 11 veranlassen.
  15. Fahrzeug mit einer Anordnung nach Anspruch 12 oder 13.
DE102021208459.1A 2021-08-04 2021-08-04 Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug Active DE102021208459B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102021208459.1A DE102021208459B4 (de) 2021-08-04 2021-08-04 Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
CN202210930963.6A CN115706676A (zh) 2021-08-04 2022-08-04 在车辆的控制器之间进行可信的数据传输的方法、具有控制器的组件、计算机程序和车辆
US17/881,168 US20230052852A1 (en) 2021-08-04 2022-08-04 Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021208459.1A DE102021208459B4 (de) 2021-08-04 2021-08-04 Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug

Publications (2)

Publication Number Publication Date
DE102021208459A1 true DE102021208459A1 (de) 2023-02-09
DE102021208459B4 DE102021208459B4 (de) 2023-05-25

Family

ID=84975534

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021208459.1A Active DE102021208459B4 (de) 2021-08-04 2021-08-04 Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug

Country Status (3)

Country Link
US (1) US20230052852A1 (de)
CN (1) CN115706676A (de)
DE (1) DE102021208459B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022206796A1 (de) 2022-07-04 2024-01-04 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung, Verfahren, Computerprogramm zur sicheren hoch-verfügbaren Übertragung von Nachrichten, Fahrzeug das die Vorrichtung umfasst

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013214018A1 (de) 2013-07-17 2015-01-22 Bayerische Motoren Werke Aktiengesellschaft Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges
DE102013108006A1 (de) 2013-07-26 2015-01-29 Infineon Technologies Ag Kommunikationsanordnung
DE102019202527A1 (de) 2019-02-25 2020-08-27 Robert Bosch Gmbh Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
US20200313908A1 (en) 2019-03-25 2020-10-01 Micron Technology, Inc. Cryptographically secure mechanism for remotely controlling an autonomous vehicle

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013214018A1 (de) 2013-07-17 2015-01-22 Bayerische Motoren Werke Aktiengesellschaft Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges
DE102013108006A1 (de) 2013-07-26 2015-01-29 Infineon Technologies Ag Kommunikationsanordnung
DE102019202527A1 (de) 2019-02-25 2020-08-27 Robert Bosch Gmbh Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
US20200313908A1 (en) 2019-03-25 2020-10-01 Micron Technology, Inc. Cryptographically secure mechanism for remotely controlling an autonomous vehicle

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022206796A1 (de) 2022-07-04 2024-01-04 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung, Verfahren, Computerprogramm zur sicheren hoch-verfügbaren Übertragung von Nachrichten, Fahrzeug das die Vorrichtung umfasst

Also Published As

Publication number Publication date
DE102021208459B4 (de) 2023-05-25
US20230052852A1 (en) 2023-02-16
CN115706676A (zh) 2023-02-17

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
DE102018122152A1 (de) Systeme und verfahren zur eindringungserkennung in das netzwerk im fahrzeug
EP2959655A1 (de) Kraftfahrzeug mit nachträglich per anwendungsprogramm veränderbarem fahrverhalten
DE102017210156B4 (de) Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls
DE102018114739A1 (de) Betriebsprotokoll und -verfahren des Fahrzeugnetzwerks
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
WO2019072840A1 (de) Vorrichtung zur absicherung von diagnosebefehlen an ein steuergerät und entsprechendes kraftfahrzeug
DE112016002785T5 (de) Elektronische Steuereinheiten für Fahrzeuge
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102017218438A1 (de) Verfahren und System zum Betreiben eines Fahrzeugs
WO2013164224A2 (de) Verfahren und vorrichtung zur überwachung von funktionen eines rechnersystems, vorzugsweise eines motorsteuersystems eines kraftfahrzeuges
DE102019214461A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
EP2099667A1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102012105093A1 (de) Sicherer Datenspeicher für Fahrzeugnetzwerke
DE102018200820A1 (de) Steuerungssystem für ein Kraftfahrzeug, Verfahren zum Betreiben des Steuerungssystems sowie Kraftfahrzeug mit einem derartigen Steuerungssystem
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102013200528A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
EP3246778A1 (de) Vorrichtung zum auslesen von daten aus einem sicherheitskritischen steuergerät
DE102018208832A1 (de) Verfahren zum Eindämmen eines Angriffs auf ein Steuergerät
DE102013022498A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102022201899A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102022203871A1 (de) Steuersystem
EP4355628A1 (de) Verfahren und system zur übertragung einer steuerungsanforderung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final