DE102022120458A1 - Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug - Google Patents

Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug Download PDF

Info

Publication number
DE102022120458A1
DE102022120458A1 DE102022120458.8A DE102022120458A DE102022120458A1 DE 102022120458 A1 DE102022120458 A1 DE 102022120458A1 DE 102022120458 A DE102022120458 A DE 102022120458A DE 102022120458 A1 DE102022120458 A1 DE 102022120458A1
Authority
DE
Germany
Prior art keywords
control device
head unit
vehicle
state
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022120458.8A
Other languages
English (en)
Inventor
Philipp Obergfell
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102022120458.8A priority Critical patent/DE102022120458A1/de
Publication of DE102022120458A1 publication Critical patent/DE102022120458A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, das Verfahren umfassend: Empfangen einer Zustandsnachricht zum Schreiben eines Zustands eines Zustandsautomaten des Kopfeinheit-Steuergeräts von einem ersten Steuergerät durch das Kopfeinheit-Steuergerät; Schreiben des Zustands des Zustandsautomaten in Abhängigkeit der empfangenen Zustandsnachricht durch das Kopfeinheit-Steuergerät; Empfangen einer Ausgabenachricht von dem manipulierten Steuergerät durch das Kopfeinheit-Steuergerät; Validieren eines Ausgebens der Ausgabenachricht mit einem aktuellen Zustand des Zustandsautomaten durch das Kopfeinheit-Steuergerät; Falls die Ausgabe der Ausgabenachricht valide ist: Ausgeben der Ausgabenachricht des manipulierten Steuergeräts durch das Kopfeinheit-Steuergerät des Fahrzeugs an den Nutzer des Fahrzeugs; und Falls das Ausgeben der Ausgabenachricht nicht valide ist: Verhindern des Ausgebens der Ausgabenachricht des manipulierten Steuergeräts durch das Kopfeinheit-Steuergerät des Fahrzeugs an den Nutzer des Fahrzeugs.

Description

  • Die Erfindung betrifft ein Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs. Die Erfindung betrifft ferner ein computerlesbares Medium zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, ein System zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, sowie ein Fahrzeug umfassend das System zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer des Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs.
  • Es ist aus dem Stand der Technik bekannt, dass ein Infotainment-Steuergerät, auch Kopfeinheit-Steuergerät oder englisch Head Unit genannt, akustische und visuelle Ausgaben bereitstellen kann. Welche akustischen und/oder visuellen Ausgaben von einem Infotainment-Steuergerät bereitgestellt werden, kann von weiteren Steuergeräten im einem Bordnetz eines Fahrzeugs gesteuert werden. Um Manipulationen der akustischen und/oder visuellen Ausgaben zu verhindern, sind aus dem Stand der Technik kryptografische Prüfsummen bekannt, mit denen Man-in-the-Middle-Angriffe verhindert werden können, oder digitale Zertifikate, mit denen Spoofing-Angriffe verhindert werden können. Digitale Zertifikate werden jedoch häufig von verschiedenen Steuergeräten gleichermaßen genutzt. Erlangt ein Angreifer Kontrolle über ein Steuergerät mit einem digitalen Zertifikat, welches berechtigt, eine akustische und/oder visuelle Ausgabe auf einem Infotainment-Steuergerät bereitzustellen, kann ein Ausgeben einer manipulierten akustischen und/oder visuellen Nachricht durch das Infotainment-Steuergerät nicht mehr verhindert werden.
  • Es ist daher eine Aufgabe der Erfindung, die Sicherheit von Steuergeräten eines Fahrzeugs bei Ausgeben einer Information effizient zu verbessern. Insbesondere ist eine Aufgabe der Erfindung, ein Ausgeben einer Ausgabenachricht von einem manipulierten Steuergerät durch ein Kopfeinheit-Steuergerät eines Fahrzeugs effizient zu verhindern.
  • Gelöst wird diese Aufgabe durch die Merkmale der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
  • Gemäß einem ersten Aspekt zeichnet sich die Erfindung aus durch ein Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs. Das Verfahren kann ein computerimplementiertes Verfahren und/oder ein steuergeräteimplementiertes Verfahren sein. Das Fahrzeug kann ein Kraftfahrzeug sein. Das Kopfeinheit-Steuergerät, englisch Head Unit, kann auch als Infotainment-Steuergerät oder Infotainment-System bezeichnet werden. Das Verfahren umfasst ein Empfangen einer Zustandsnachricht zum Schreiben eines Zustands eines Zustandsautomaten des Kopfeinheit-Steuergeräts von einem ersten Steuergerät durch das Kopfeinheit-Steuergerät. Der Zustandsautomat kann ein Softwaremodul des Kopfeinheit-Steuergeräts sein, welches in Abhängigkeit der Zustandsnachricht und vorzugsweise eines aktuellen Zustands, regelbasiert und/oder mit einem vorgegebenen computerimplementierten Verfahren, beispielsweise mit einem vorgegebenen Algorithmus, den aktuellen Zustand an einen Zustand der Zustandsnachricht anpassen kann. Das Verfahren umfasst ein Schreiben des Zustands des Zustandsautomaten in Abhängigkeit der empfangenen Zustandsnachricht durch das Kopfeinheit-Steuergerät. Beispielsweise kann das Softwaremodul, welches den Zustandsautomaten implementiert, den Wert des Zustands, insbesondere einen Wert des aktuellen Zustands in einem Speicher des Kopfeinheit-Steuergeräts schreiben und damit den Wert des Zustands, insbesondere des aktuellen Zustands des Zustandsautomaten, anpassen.
  • Das Verfahren umfasst ein Empfangen einer Ausgabenachricht von dem manipulierten Steuergerät durch das Kopfeinheit-Steuergerät und ein Validieren eines Ausgebens der Ausgabenachricht mit einem aktuellen Zustand des Zustandsautomaten durch das Kopfeinheit-Steuergerät. Falls die Ausgabe der Ausgabenachricht valide ist, gibt das Verfahren die Ausgabenachricht des manipulierten Steuergeräts durch das Kopfeinheit-Steuergerät des Fahrzeugs an den Nutzer des Fahrzeugs aus. Falls das Ausgeben der Ausgabenachricht nicht valide ist, verhindert das Verfahren das Ausgeben der Ausgabenachricht des manipulierten Steuergeräts durch das Kopfeinheit-Steuergerät des Fahrzeugs an den Nutzer des Fahrzeugs.
  • Vorteilhafterweise kann das Verfahren ein Ausgeben einer Ausgabenachricht durch das Kopfeinheit-Steuergerät effizient verhindern. Durch das Validieren der Ausgabenachricht mit dem aktuellen Zustand des Zustandsautomaten des Kopfeinheit-Steuergeräts kann das Verfahren feststellen, ob die auszugebende Nachricht bezüglich des aktuellen Zustands valide ist und damit ausgegeben werden kann oder nicht. Das Kopfeinheit-Steuergerät kann somit ein manipuliertes Steuergerät feststellen und das Ausgeben der Ausgabenachricht verhindern.
  • Gemäß einer vorteilhaften Ausgestaltung der Erfindung kann die Zustandsnachricht zyklisch von dem ersten Steuergerät durch das Kopfeinheit-Steuergeräts empfangen wird. Hiermit kann der Zustand auf dem Kopfeinheit-Steuergerät effizient aktuell gehalten werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das manipulierte Steuergerät ein Telematik-Steuergerät des Fahrzeugs sein, und/oder kann das erste Steuergerät ein Steuergerät eines Fahrerassistenzsystems sein.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das manipulierte Steuergerät ein Berechtigungszertifikat zum Ausgeben der Ausgabenachricht auf dem Kopfeinheit-Steuergerät gespeichert haben, und/oder kann das erste Steuergerät das Berechtigungszertifikat zum Ausgeben der Ausgabenachricht auf dem Kopfeinheit-Steuergerät gespeichert haben, und/oder kann das Berechtigungszertifikat ein geteiltes Berechtigungszertifikat zum Ausgeben von Ausgabenachrichten einer Vielzahl von Steuergeräten durch das Kopfeinheit-Steuergerät ist, wobei die Vielzahl von Steuergeräten wenigstens das manipulierte Steuergerät und das erste Steuergerät umfasst. Hiermit kann die Sicherheit bei Ausgeben von Ausgabenachrichten auf dem Kopfeinheit-Steuergerät effizient verbessert werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das erste Steuergerät zusätzlich ein Berechtigungszertifikat zum Schreiben des Zustands des Zustandsautomaten gespeichert haben. Hiermit kann die Sicherheit beim Schreiben eines Zustands des Zustandsautomaten effizient verbessert werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann die Ausgabenachricht eine Information umfassen, die mit einem Zustand des Zustandsautomaten verknüpft ist. Hiermit können effizient Informationen der Ausgabenachricht eingeschränkt werden, die durch das Kopfeinheit-Steuergerät ausgegeben werden. Nur Informationen, die mit einem aktuellen Zustand des Zustandsautomaten verknüpft sind, können durch das Kopfeinheit-Steuergerät ausgegeben werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Schreiben des Zustands des Zustandsautomaten in Abhängigkeit der empfangenen Zustandsnachricht durch das Kopfeinheit-Steuergerät nur ausgeführt werden, falls das Berechtigungszertifikat zum Schreiben des Zustands des Zustandsautomaten des ersten Steuergeräts durch das Kopfeinheit-Steuergerät erfolgreich validiert wurde. Hiermit kann die Sicherheit beim Schreiben des Zustands des Zustandsautomaten effizient erhöht werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Validieren eines Ausgebens der Ausgabenachricht mit einem aktuellen Zustand des Zustandsautomaten durch das Kopfeinheit-Steuergerät ein Ermitteln eines aktuellen Zustands des Zustandsautomaten, ein Bestimmen eines Zustands des Zustandsautomaten, der mit der Information in der Ausgabenachricht verknüpft ist, umfassen. Falls der aktuelle Zustand des Zustandsautomaten und der bestimmte Zustand des Zustandsautomaten übereinstimmen, kann das Verfahren die Ausgabenachricht des manipulierten Steuergeräts als valide bestimmen. Falls der aktuelle Zustand des Zustandsautomaten und der bestimmte Zustand des Zustandsautomaten nicht übereinstimmen, kann das Verfahren die Ausgabenachricht als nicht valide bestimmen. Hiermit kann das Ausgeben der Ausgabenachricht effizient durch das Kopfeinheit-Steuergerät überprüft werden. Nur valide Ausgabenachricht werden durch das Kopfeinheit-Steuergerät ausgegeben. Die Sicherheit des Ausgebens einer Ausgabenachricht wird somit effizient erhöht.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein computerlesbares Medium zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt aus einem Rechner und/oder einem Steuergerät, das oben beschriebene Verfahren ausführen.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein System zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, wobei das System dazu ausgebildet ist, das oben beschriebene Verfahren auszuführen.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein Fahrzeug umfassend das oben beschriebene System zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer des Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs.
  • Weitere Merkmale der Erfindung ergeben sich aus den Ansprüchen, den Figuren und der Figurenbeschreibung. Alle vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren allein gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder aber in Alleinstellung verwendbar.
  • Im Folgenden wird anhand der beigefügten Zeichnungen ein bevorzugtes Ausführungsbeispiel der Erfindung beschrieben. Daraus ergeben sich weitere Details, bevorzugte Ausgestaltungen und Weiterbildungen der Erfindung. Im Einzelnen zeigen schematisch
    • 1 ein beispielhaftes Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs,
    • 2 ein beispielhaftes Schreiben eines Zustands eines Zustandsautomaten, und
    • 3 ein beispielhaftes Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts.
  • Im Detail zeigt 1 ein beispielhaftes Verfahren 100 zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs. Das Verfahren 100 kann ein computerimplementiertes Verfahren und/oder ein steuergeräteimplementiertes Verfahren sein.
  • Fahrerassistenzfunktionen benötigen häufig eine Interaktion mit einem Fahrer eines Fahrzeugs. Beispielsweise für Interaktionen sind ein Bereitstellen einer Nachricht, im Folgenden auch Ausgabenachricht genannt, an den Fahrer, dass eine Fahrerassistenzfunktion verfügbar ist und/oder ein Bereitstellen einer Nachricht mit einem Übernahmebefehl an den Fahrer, dass eine Fahrerassistenzfunktion nicht mehr möglich ist und der Fahrer das Fahrzeug übernehmen muss. Das Bereitstellen der Nachricht kann mit einer oder mehreren akustischen und/oder visuellen Ausgaben erfolgen. Das Bereitstellen der Nachricht kann mittels eines Kopfeinheit-Steuergeräts, häufig auch Infotainment-Steuergerät genannt, erfolgen. Das Kopfeinheit-Steuergerät kann Nachrichten von einer Vielzahl von Steuergeräten des Fahrzeugs ausgeben. In anderen Worten ist das Kopfeinheit-Steuergerät ein Steuergerät, das von vielen Steuergeräten des Fahrzeugs geteilt wird, um Nachrichten an den Fahrer und/oder weitere Insassen des Fahrzeugs auszugeben. Die Nachrichten, die von dem Kopfeinheit-Steuergerät ausgegeben werden, können sich hinsichtlich ihrer Sicherheitskritikalität unterscheiden. Ein Ausgeben von Nachrichten einer Fahrerassistenzfunktion weist eine hohe Sicherheitskritikalität aus. Ein fehlendes oder inhaltlich und/oder zeitliche falsches Ausgeben von Nachrichten einer Fahrerassistenzfunktion kann zu kritischen Ereignissen für den Fahrer und/oder die weiteren Insassen des Fahrzeugs führen. Eine Manipulation eines Ausgebens einer Nachricht einer Fahrerassistenzfunktion kann ebenfalls zu kritischen Ereignissen führen. Beispielweise kann ein manipuliertes Steuergerät eine Nachricht eines Fahrerassistenzsteuergeräts imitieren und durch ein Ausgeben einer imitierten Nachricht mittels des Kopfeinheit-Steuergeräts ein kritisches Ereignis bezüglich einer Fahrerassistenzfunktion herbeiführen.
  • Das Verfahren 100 kann eine Zustandsnachricht zum Schreiben eines Zustands eines Zustandsautomaten des Kopfeinheit-Steuergeräts von einem ersten Steuergerät durch das Kopfeinheit-Steuergerät empfangen 102. Das erste Steuergerät kann eine Fahrerassistenzsteuergerät sein. Weiter kann der Verfahren 100 den Zustand des Zustandsautomaten in Abhängigkeit der empfangenen Zustandsnachricht durch das Kopfeinheit-Steuergerät schreiben 104.
  • 2 zeigt ein beispielhaftes Schreiben 200 eines Zustands eines Zustandsautomaten 202 eines Kopfeinheit-Steuergeräts 204 durch das erste Steuergerät 206. Der Zustandsautomat 202 kann beispielsweise vier Zustände 208 bis 214 umfassen. Ein erster Zustand 208 kann repräsentativ für einen Betriebszustand des Fahrzeugs „Fahrzeug in Betrieb“ sein. Ein zweiter Zustand 210 kann repräsentativ für einen Betriebszustand einer Fahrerassistenzfunktion „Level 3 an“ sein. Ein dritter Zustand 212 kann repräsentativ für einen Betriebszustand einer Fahrerassistenzfunktion „Level 3 aus“ sein. Ein vierter Zustand kann repräsentativ für einen Betriebszustand des Fahrzeugs „Fahrzeug nicht in Betrieb“ sein. Die Pfeile zwischen den Zuständen repräsentieren mögliche Zustandsübergänge beim Schreiben eines aktuellen Zustands des Zustandsautomaten. Das erste Steuergerät 206 kann ein Fahrerassistenzsteuergerät sein. Beispielsweise kann das Fahrerassistenzsteuergerät eine „Level 3“-Fahrerassistenzfunktion bereitstellen und/oder steuern. Auf dem ersten Steuergerät können mehrere Berechtigungszertifikate 216, 218 gespeichert sein. Ein Berechtigungszertifikat 216, 218 kann ein digitales, kryptografisches Zertifikat sein. Das Berechtigungszertifikat 216 ist vorzugsweise ein exklusives Berechtigungszertifikat des ersten Steuergeräts 206. Das Berechtigungszertifikat 216 kann eine Berechtigung zum Schreiben eines Zustands des Zustandsautomaten des Kopfeinheit-Steuergeräts umfassen. Das Berechtigungszertifikat 218 ist vorzugsweise ein geteiltes Berechtigungszertifikat, welches von einer Vielzahl von Steuergeräten des Fahrzeugs genutzt werden kann, um eine Ausgabenachricht auf dem Kopfeinheit-Steuergerät an einen Nutzer des Fahrzeugs bereitzustellen. Beispielsweise kann das erste Steuergerät 206 das Berechtigungszertifikat 218 nutzen, um eine Ausgabenachricht bezüglich eines Status einer Fahrerassistenzfunktion auf dem Kopfeinheit-Steuergerät bereitzustellen. Wie oben beschrieben, kann die Ausgabenachricht beispielsweise auf eine Verfügbarkeit einer Fahrerassistenzfunktion hinweisen und/oder einen Übernahmebefehl zur Übernahme des Fahrzeugs durch den Fahrer umfassen. Das erste Steuergerät 206 kann in zyklischen Abständen einen aktuellen Status einer Fahrerassistenzfunktion an das Kopfeinheit-Steuergerät übermitteln 220, um den Zustand des Zustandsautomaten zu aktualisieren. Damit kann der aktuelle Zustand des Zustandsautomaten des Kopfeinheit-Steuergeräts effizient angepasst werden.
  • Das Verfahren 100 umfasst weiter ein Empfangen 106 einer Ausgabenachricht von dem manipulierten Steuergerät durch das Kopfeinheit-Steuergerät. Das Verfahren 100 kann ein Ausgeben der Ausgabenachricht mit einem aktuellen Zustand des Zustandsautomaten durch das Kopfeinheit-Steuergerät validieren 108. Im Detail kann das Validieren 108 ein Ermitteln eines aktuellen Zustands des Zustandsautomaten, und ein Bestimmen eines Zustands des Zustandsautomaten, der mit der Information in der Ausgabenachricht verknüpft ist, umfassen. Falls der aktuelle Zustand des Zustandsautomaten und der bestimmte Zustand des Zustandsautomaten übereinstimmen, kann das Verfahren die Ausgabenachricht des manipulierten Steuergeräts als valide bestimmen. Falls der aktuelle Zustand des Zustandsautomaten und der bestimmte Zustand des Zustandsautomaten nicht übereinstimmen, kann das Verfahren die Ausgabenachricht als nicht valide bestimmen.
  • Falls die Ausgabe der Ausgabenachricht valide ist, kann das Verfahren 100 die Ausgabenachricht des manipulierten Steuergeräts durch das Kopfeinheit-Steuergerät des Fahrzeugs an den Nutzer des Fahrzeugs ausgeben 110. Falls das Ausgeben der Ausgabenachricht nicht valide ist, kann das Verfahren 100 das Ausgeben der Ausgabenachricht des manipulierten Steuergeräts durch das Kopfeinheit-Steuergerät des Fahrzeugs an den Nutzer des Fahrzeugs verhindern 112.
  • 3 zeigt ein beispielhaftes Verhindern 300 eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts 302. Das manipulierte Steuergerät 302 kann ein Telematik-Steuergerät des Fahrzeugs sein. Das manipulierte Steuergerät 302 kann das Berechtigungszertifikat 218 umfassen. Das Berechtigungszertifikat 218 ist vorzugsweise ein geteiltes Berechtigungszertifikat, welches von einer Vielzahl von Steuergeräten des Fahrzeugs genutzt werden kann, um eine Ausgabenachricht auf dem Kopfeinheit-Steuergerät an einen Nutzer des Fahrzeugs bereitzustellen. Beispielsweise könnte das manipulierte Steuergerät 302 das Berechtigungszertifikat 218 nutzen, um eine Ausgabenachricht des ersten Steuergeräts 206 zu imitieren und die imitierte Ausgabenachricht an das Kopfeinheit-Steuergerät übermitteln 304. Beispielsweise kann das manipulierte Steuergerät 302 die Ausgabenachricht „Fahrerassistenzfunktion Level 3 aktiv“ an das Kopfeinheit-Steuergerät übermitteln.
  • Das Kopfeinheit-Steuergerät 204 kann die Ausgabenachricht des manipulierten Steuergeräts 302 empfangen. Weiter kann das Kopfeinheit-Steuergerät 204 das Berechtigungszertifikat 218 des manipulierten Steuergeräts 302 verifizieren. Schließlich kann das Kopfeinheit-Steuergerät 204 die empfangene Ausgabenachricht mit dem aktuellen Zustand des Zustandsautomaten validieren. Beispielsweise kann das Kopfeinheit-Steuergerät prüfen, ob der aktuelle Zustand des Zustandsautomaten anzeigt, dass die Fahrerassistenzfunktion „Level 3 an“ ist. Falls der Zustandsautomat in dem Zustand „Level 3 an“ ist, kann das Kopfeinheit-Steuergerät alle empfangenen Ausgabenachricht, die nicht von dem ersten Steuergerät 206 stammen und eine Nachricht betreffend die Fahrerassistenzfunktion Level 3 umfassen, verwerfen. Das Ausgeben der Ausgabenachricht des manipulierten Steuergeräts 302 wird somit verhindert 306. Beispielsweise kann das Kopfeinheit-Steuergerät prüfen, ob der aktuelle Zustand des Zustandsautomaten anzeigt, dass die Fahrerassistenzfunktion „Level 3 aus“ ist. Falls der Zustandsautomat in dem Zustand „Level 3 aus“ ist, kann das Kopfeinheit-Steuergerät alle empfangenen Ausgabenachricht, die nicht von dem ersten Steuergerät 206 stammen und eine Nachricht betreffend die Fahrerassistenzfunktion Level 3 umfassen, verwerfen. Das Ausgeben der Ausgabenachricht des manipulierten Steuergeräts 302 wird somit verhindert 306.
  • Vorteilhafterweise kann das Verfahren einen Spoofing-Angriff eines manipulierten Steuergeräts 302 verhindern. Durch den Zustandsautomaten kann ein funktionsspezifischer Kontext auf dem Kopfeinheit-Steuergerät realisiert werden, der einen Spoofing-Angriff des manipulierten Steuergeräts 302 effizient verhindert. Der Zustandsautomat kann von dem Kopfeinheit-Steuergerät 204 als Filter verwendet werden, mit dem das Kopfeinheit-Steuergerät 204 Ausgabenachrichten filtern kann. Somit kann die Sicherheit beim Ausgeben von Ausgabenachrichten über das Kopfeinheit-Steuergerät 204 von mehreren berechtigten Steuergeräten effizient erhöht werden.
  • Bezugszeichenliste
    • 100
    Verfahren
    102
    Empfangen einer Zustandsnachricht
    104
    Schreiben eines Zustands
    106
    Empfangen einer Ausgabenachricht
    108
    Validieren eines Ausgebens der Ausgabenachricht
    110
    Ausgeben der Ausgabenachricht
    112
    Verhindern eines Ausgebens der Ausgabenachricht
    200
    Schreiben eines Zustands
    202
    Zustandsautomat
    204
    Kopfeinheit-Steuergerät
    206
    erstes Steuergerät
    208
    Zustand
    210
    Zustand
    212
    Zustand
    214
    Zustand
    216
    Berechtigungszertifikat zum Schreiben eines Zustands
    218
    Berechtigungszertifikat zum Ausgeben einer Nachricht
    220
    Übermitteln einer Zustandsnachricht
    300
    Verhindern eines Ausgebens einer Nachricht
    302
    manipuliertes Steuergerät
    304
    Übermitteln einer Ausgabenachricht
    306
    Verhindern eines Ausgebens der Ausgabenachricht

Claims (11)

  1. Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, das Verfahren umfassend: Empfangen einer Zustandsnachricht zum Schreiben eines Zustands eines Zustandsautomaten des Kopfeinheit-Steuergeräts von einem ersten Steuergerät durch das Kopfeinheit-Steuergerät; Schreiben des Zustands des Zustandsautomaten in Abhängigkeit der empfangenen Zustandsnachricht durch das Kopfeinheit-Steuergerät; Empfangen einer Ausgabenachricht von dem manipulierten Steuergerät durch das Kopfeinheit-Steuergerät; Validieren eines Ausgebens der Ausgabenachricht mit einem aktuellen Zustand des Zustandsautomaten durch das Kopfeinheit-Steuergerät; Falls die Ausgabe der Ausgabenachricht valide ist: Ausgeben der Ausgabenachricht des manipulierten Steuergeräts durch das Kopfeinheit-Steuergerät des Fahrzeugs an den Nutzer des Fahrzeugs; und Falls das Ausgeben der Ausgabenachricht nicht valide ist: Verhindern des Ausgebens der Ausgabenachricht des manipulierten Steuergeräts durch das Kopfeinheit-Steuergerät des Fahrzeugs an den Nutzer des Fahrzeugs.
  2. Verfahren nach Anspruch 1, wobei die Zustandsnachricht zyklisch von dem ersten Steuergerät durch das Kopfeinheit-Steuergeräts empfangen wird.
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei das manipulierte Steuergerät ein Telematik-Steuergerät des Fahrzeugs ist; und/oder wobei das erste Steuergerät ein Steuergerät eines Fahrerassistenzsystems ist.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei das manipulierte Steuergerät ein Berechtigungszertifikat zum Ausgeben der Ausgabenachricht auf dem Kopfeinheit-Steuergerät gespeichert hat; und/oder wobei das erste Steuergerät das Berechtigungszertifikat zum Ausgeben der Ausgabenachricht auf dem Kopfeinheit-Steuergerät gespeichert hat; und/oder wobei das Berechtigungszertifikat ein geteiltes Berechtigungszertifikat zum Ausgeben von Ausgabenachrichten einer Vielzahl von Steuergeräten durch das Kopfeinheit-Steuergerät ist, wobei die Vielzahl von Steuergeräten wenigstens das manipulierte Steuergerät und das erste Steuergerät umfasst.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei das erste Steuergerät zusätzlich ein Berechtigungszertifikat zum Schreiben des Zustands des Zustandsautomaten gespeichert hat.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Ausgabenachricht eine Information umfasst, die mit einem Zustand des Zustandsautomaten verknüpft ist.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Schreiben des Zustands des Zustandsautomaten in Abhängigkeit der empfangenen Zustandsnachricht durch das Kopfeinheit-Steuergerät nur ausgeführt wird, falls das Berechtigungszertifikat zum Schreiben des Zustands des Zustandsautomaten des ersten Steuergeräts durch das Kopfeinheit-Steuergerät erfolgreich validiert wurde.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Validieren eines Ausgebens der Ausgabenachricht mit einem aktuellen Zustand des Zustandsautomaten durch das Kopfeinheit-Steuergerät umfasst: Ermitteln eines aktuellen Zustands des Zustandsautomaten; Bestimmen eines Zustands des Zustandsautomaten, der mit der Information in der Ausgabenachricht verknüpft ist; und Falls der aktuelle Zustand des Zustandsautomaten und der bestimmte Zustand des Zustandsautomaten übereinstimmen: Bestimmen der Ausgabenachricht des manipulierten Steuergeräts als valide; und Falls der aktuelle Zustand des Zustandsautomaten und der bestimmte Zustand des Zustandsautomaten nicht übereinstimmen: Bestimmen der Ausgabenachricht als nicht valide.
  9. Computerlesbares Medium zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt aus einem Rechner und/oder einem Steuergerät, das Verfahren nach einem der Ansprüche 1 bis 8 ausführen.
  10. System zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, wobei das System dazu ausgebildet ist, das Verfahren nach einem der Ansprüche 1 bis 8 auszuführen.
  11. Fahrzeug umfassend das System zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer des Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs nach Anspruch 10.
DE102022120458.8A 2022-08-12 2022-08-12 Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug Pending DE102022120458A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022120458.8A DE102022120458A1 (de) 2022-08-12 2022-08-12 Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022120458.8A DE102022120458A1 (de) 2022-08-12 2022-08-12 Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug

Publications (1)

Publication Number Publication Date
DE102022120458A1 true DE102022120458A1 (de) 2024-02-15

Family

ID=89809274

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022120458.8A Pending DE102022120458A1 (de) 2022-08-12 2022-08-12 Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug

Country Status (1)

Country Link
DE (1) DE102022120458A1 (de)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1590917B1 (de) 2003-01-28 2010-12-15 Cellport Systems, Inc. Ein System und ein Verfahren zum Steuern des Zugriffs von Anwendungen auf geschützte Mittel innerhalb eines sicheren Fahrzeugtelematiksystems
DE102014214300A1 (de) 2014-07-22 2016-01-28 Continental Automotive Gmbh Vorrichtung und Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug
EP3148236A1 (de) 2015-09-25 2017-03-29 Argus Cyber Security Ltd System and method for controlling access to an in-vehicle communication network
DE102017214661A1 (de) 2017-08-22 2019-02-28 Audi Ag Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
US20200314114A1 (en) 2019-03-29 2020-10-01 Robert Bosch Gmbh Method and device for operating a control unit in a network of control units
US11423145B2 (en) 2019-12-26 2022-08-23 Intel Corporation Methods and arrangements for multi-layer in-vehicle network intrusion detection and characterization

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1590917B1 (de) 2003-01-28 2010-12-15 Cellport Systems, Inc. Ein System und ein Verfahren zum Steuern des Zugriffs von Anwendungen auf geschützte Mittel innerhalb eines sicheren Fahrzeugtelematiksystems
DE102014214300A1 (de) 2014-07-22 2016-01-28 Continental Automotive Gmbh Vorrichtung und Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug
EP3148236A1 (de) 2015-09-25 2017-03-29 Argus Cyber Security Ltd System and method for controlling access to an in-vehicle communication network
DE102017214661A1 (de) 2017-08-22 2019-02-28 Audi Ag Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
US20200314114A1 (en) 2019-03-29 2020-10-01 Robert Bosch Gmbh Method and device for operating a control unit in a network of control units
US11423145B2 (en) 2019-12-26 2022-08-23 Intel Corporation Methods and arrangements for multi-layer in-vehicle network intrusion detection and characterization

Similar Documents

Publication Publication Date Title
EP1959606B1 (de) Sicherheitseinheit
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
WO2017008953A1 (de) Verfahren und anordnung zum sicheren austausch von konfigurationsdaten einer vorrichtung
EP2235598B1 (de) Feldgerät und verfahren zu dessen betrieb
EP3412018B1 (de) Verfahren zum austausch von nachrichten zwischen sicherheitsrelevanten vorrichtungen
DE102007029116A1 (de) Verfahren zum Betreiben eines Mikrocontrollers und einer Ausführungseinheit sowie ein Mikrocontroller und eine Ausführungseinheit
EP3499324B1 (de) Verfahren zur modularen verifikation einer konfiguration eines geräts
EP3767513B1 (de) Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem
DE102022120458A1 (de) Verfahren zum Verhindern eines Ausgebens einer Ausgabenachricht eines manipulierten Steuergeräts an einen Nutzer eines Fahrzeugs durch ein Kopfeinheit-Steuergerät des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102019130067B4 (de) Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät
DE102020113451A1 (de) Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen
EP3703333B1 (de) Verfahren, vorrichtung und anlage zur verarbeitung wenigstens einer information in einer sicherheitstechnischen anlage
EP3306507B1 (de) Komponente für eine sicherheitskritische funktionskette
EP1845655A1 (de) Mehrdeutig Signature Schéma
DE102008039121A1 (de) Verfahren zur Codierung einer Zeichenkette für ein Fahrzeug sowie entsprechend ausgestaltetes Steuergerät und Fahrzeug
DE102017203725A1 (de) Vorrichtung zum Verarbeiten von Nutzdaten in einem Steuergerät
EP3306856B1 (de) Verfahren zum bereitstellen einer gesicherten kommunikationsverbindung zwischen komponenten einer sicherheitskritischen funktionskette
WO2023094041A1 (de) Elektronische fertigungskontrolle
EP1418706A1 (de) Verfahren zur Fernkonfiguration
DE102022203871A1 (de) Steuersystem
DE102020215605A1 (de) Verfahren und Vorrichtung zum Betreiben einer mehrere Recheneinrichtungen aufweisenden Vorrichtung
WO2024104791A1 (de) Verfahren und kommunikationssystem zur nachrichtenüberwachung in einem datennetzwerk eines kraftfahrzeugs und sende- und empfangseinheit für das kommunikationssystem
DE10215626B4 (de) Verfahren zur Änderung von Verschlüsselungsalgorithmen bei geschützter Software oder geschützten Daten
DE102021117324A1 (de) Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen

Legal Events

Date Code Title Description
R163 Identified publications notified