CN115706676A - 在车辆的控制器之间进行可信的数据传输的方法、具有控制器的组件、计算机程序和车辆 - Google Patents

在车辆的控制器之间进行可信的数据传输的方法、具有控制器的组件、计算机程序和车辆 Download PDF

Info

Publication number
CN115706676A
CN115706676A CN202210930963.6A CN202210930963A CN115706676A CN 115706676 A CN115706676 A CN 115706676A CN 202210930963 A CN202210930963 A CN 202210930963A CN 115706676 A CN115706676 A CN 115706676A
Authority
CN
China
Prior art keywords
controller
vehicle
monitoring module
encryption key
controllers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210930963.6A
Other languages
English (en)
Inventor
T·温克尔沃斯
A·费尔南德斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Publication of CN115706676A publication Critical patent/CN115706676A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

在根据本发明的用于在车辆的控制器之间进行可信的数据传输的方法中,使从用作主数据源的第一控制器(SGA)发送到接收器控制器(SGC)处的消息设有第一加密钥匙(KA)以进行鉴证,并且使从用作冗余数据源的第二控制器(SGB)发送到接收器控制器(SGC)处的消息设有第二加密钥匙(KB)以进行鉴证。在此,将设有第三加密钥匙(KAX)的第一状态信息从第一控制器(SGA)的监测模块(SAX)发送(1)到接收器控制器(SGC)处,并且将设有第二加密钥匙(KB)的第二状态信息从第二控制器(SGB)发送(2)到接收器控制器(SGC)处。通过接收器控制器(SGC)接收(3)第一状态信息和第二状态信息。评估(4)接收到的第一状态信息和第二状态信息以识别(5)对第一控制器的操纵。在识别出对第一控制器的操纵时采取(6)应对措施。

Description

在车辆的控制器之间进行可信的数据传输的方法、具有控制 器的组件、计算机程序和车辆
技术领域
本发明涉及一种用于在车辆的控制器之间进行可信的数据传输的方法。此外,本发明涉及一种具有实施相应方法的控制器的组件、一种用于实施该方法的计算机程序以及一种具有这样的组件的车辆。
背景技术
在车辆中,提高的自动化程度使驾驶员能够越来越多地减负。如此,在高度自动化驾驶的情况下可以由车辆本身控制与安全相关的车辆功能,但因此也必须尽可能完美地保护以防干扰和失效。如此,例如,用于转向器、油门踏板和制动器的执行系统的控制器以及环境传感机构是必须相应受保卫的关键系统部件。出于这个原因,针对这样的系统部件在车辆中设置冗余系统,所述冗余系统可以在出现问题时足够好地接管与安全相关的功能,以便在没有人为干预的情况下继续安全地控制车辆并排除乘员的风险。
由于车辆的越来越多的交联,这是非常重要的。如此,一方面虽然无线通信实现在车辆之间以及在基础设施和车辆之间的实时信息交换,经由无线电或互联网访问的用于车辆中的娱乐系统的更新。另一方面,通过从外部对车辆内部网络的可能的无线访问为网络攻击创造了潜在切入点,因为为此设置的接口可能具有安全漏洞。因此存在如下风险,即所述安全漏洞可能会被用于从外部操纵单个车辆亦或甚至整个车队并必要时违背相应车辆驾驶员的意愿进行远程控制。出于这个原因,汽车领域中使用的软件和硬件的所谓网络安全占据越来越重要的地位。
在此,车辆的控制器(其中许多被安装在现在的车辆中)尤其也是潜在的弱点,因为它们分别包括自己的软件并相互交联,但不具有足够的计算机容量用于全面加密。因此,为了多个控制器相互通信,可以设置鉴证,该鉴证针对接收到的控制器原则上使能够检查被签名的讯息的发送者实际上是否是其声称的控制器。
US 2020/0313908 A1中公开了一种用于通过自主应急车辆远程控制自主车辆的方法。在此,使用加密鉴证系统来确保所有交换的讯息由发送者可查证地签名。然后,经由使用TLS加密的安全通信通道将讯息传输到车辆处,并且将其记录在防伪造的区块链数据结构中。
DE 10 2013 214 018 A1描述了一种用于自动控制车辆的至少一个与安全相关的功能的方法,而在车辆上不必存在有行动能力的驾驶员或操作者。在一个设计方案中,如此应自动实现车辆的停入过程或停出过程。在此,利用鉴证信息检查针对这样的与安全相关的功能的请求信息是否是可信的。
但即使在使用这样的鉴证方法时,也存在这些鉴证方法被所谓的冒充方法(Spoofing-Methode)损害的风险。在此,在与安全相关的系统部件被侵入者接管时,该系统部件的行为可以被如此操纵,使得对于车辆而言不可识别出必须切换到冗余系统。
发明内容
本发明的目的是提供一种改进的用于在车辆的控制器之间进行可信的数据传输的方法、一种具有实施相应方法的控制器的组件、一种相应的计算机程序和一种相应的车辆。
该目的通过根据本发明的用于在车辆的控制器之间进行可信的数据传输的方法、根据本发明的具有多个控制器的组件、根据本发明的具有指令的计算机程序和根据本发明的车辆来实现。
在根据本发明的用于在车辆的控制器之间进行可信的数据传输的方法中,使从用作主数据源的第一控制器发送到接收器控制器处的消息设有第一加密钥匙以进行鉴证,并且使从用作冗余数据源的第二控制器发送到接收器控制器处的消息设有第二加密钥匙以进行鉴证。在此,该方法包括以下步骤:
- 将设有第三加密钥匙的第一状态信息从第一控制器的监测模块发送到接收器控制器处;
- 将设有第二加密钥匙的第二状态信息从第二控制器发送到接收器控制器处;
- 通过接收器控制器接收第一状态信息和第二状态信息;
- 评估接收到的第一状态信息和第二状态信息以识别对第一控制器的操纵;以及
- 在识别出对第一控制器的操纵时采取应对措施。
根据本发明的方法以这种方式使能够确保:在识别出操纵时,尽管在控制器的结合中存在可能的侵入者的影响可能性,仍获得关于此的信息,从而可以对操纵作出反应。与由芯片制造商为某些电子芯片提供的芯片层面上的操纵识别机制相比,这尤其在自动驾驶的情况下是决定性的优点,因为这些操纵识别机制本地限于相应的芯片,并且因此实现在汽车的系统复合(Systemverbund)的背景下没有系统联系。与用于自动驾驶的传统冗余系统相比,本发明反之还使能够在操纵超出系统复合的单个芯片或子系统的失效时探测这些操纵,并且然后以适当的应对措施对其作出反应。
尤其地,有利地可以由监测模块基于在功能故障和/或操纵尝试方面对第一控制器的监测来生成第一状态信息,并且将其有规律地发送到接收器控制器处。
此外,有利地可以由第二控制器基于车辆参数来生成第二状态信息,并且将其有规律地发送到接收器控制器处。
在此,车辆参数优选地可以涉及用于对车辆进行纵向调节和/或横向调节的参数。
根据本发明的实施形式,监测模块和第一控制器布置在共同的电子板上,但具有对加密钥匙和/或加密资源的单独访问。
尤其地,监测模块可以在识别出对第一控制器的操纵时改变第一控制器的加密钥匙的使用。
在此,根据本发明的优选的实施形式,通过监测模块可以阻止第一控制器对加密钥匙的访问。
此外,根据另外的优选的实施形式,通过监测模块可以将第一控制器对加密钥匙的访问改道(umleiten)到与第一加密钥匙不同的加密钥匙上。
在此,根据特别优选的实施形式,接收器控制器借助第一控制器的设有与第一加密钥匙不同的加密钥匙的消息识别出:通过监测模块已识别出操纵。
根据另外的优选的实施形式,用作冗余数据源的第二控制器包括监测模块,利用该监测模块识别对第二控制器的操纵。
在此有利地,第二控制器上的监测模块在识别出操纵时可以选择性地仅将第一控制器的安全关键的消息过滤出来,并且继续放行非安全关键的消息。
根据本发明的组件包括多个控制器,所述控制器联接到车辆的共同的通信总线处并设立成实施根据本发明的方法。
在此,控制器中的至少一个具有监测模块,该监测模块与至少一个控制器布置在共同的电子板上,但具有对加密钥匙和/或加密资源的单独访问。
根据本发明的计算机程序包括指令,所述指令促使具有多个控制器的组件实施根据本发明的方法的步骤。
最后,本发明还包括具有根据本发明的组件的车辆。
附图说明
本发明的另外的特征从接下来的说明和权利要求书中结合附图而显而易见。
图1示意性地示出了根据本发明的用于在车辆的控制器之间进行可信的数据传输的方法的实施例;
图2示意性地示出了用作主数据源和冗余数据源的两个控制器,所述控制器基于本发明的第一实施例将经鉴证的讯息发送到接收器控制器处;
图3示意性地示出了本发明的具有钥匙访问的改道的第二实施例;和
图4针对第二实施例示意性地示出了如何通过监测模块将用作主数据源的控制器的钥匙访问改道到其他加密钥匙上。
具体实施方式
为了更好地理解本发明的原理,接下来借助附图更详细地阐释本发明的实施形式。不言而喻的是,本发明不限于这些实施形式,并且所描述的特征也可以进行组合或修改,而不脱离如在权利要求书中限定的本发明的保护范围。
图1示意性地示出了根据本发明的用于在车辆(如乘用车)中进行可信的数据传输的方法的实施例。尤其地,该方法使能够在车辆处于半自动或自动驾驶模式时对用于自动驾驶的系统复合进行防操纵的鉴证,但也可以用于手动驾驶模式中的辅助系统。除了实施或监测一个或多个驾驶功能的主系统之外,在此设置有冗余系统,该冗余系统应在主系统可能失效时接管该主系统的功能。
示例性地,接下来借助冗余的分布式系统阐释该方法,在其中用作主系统或主数据源的第一控制器以及用作冗余系统或冗余数据源的第二控制器分别将具有数据的消息发送到接收器控制器处。但系统复合同样也可以包括多于这三个的控制器。
控制器之间的可信数据传输在此基于加密钥匙进行。例如,加密钥匙在生产车辆时已生成,经由受保卫的传输通道被写入到控制器中,并且由钥匙管理系统进行管理。在此使用对称钥匙,其因此既用于发送侧以对所发送的消息进行签名,也用于接收侧以检查接收到的消息。
在方法步骤1中,通过监测模块(其可以实施在与第一控制器相同的电路板或电子板上,但具有单独的钥匙访问和加密资源访问)将监测模块的设有自己的加密钥匙的状态信息发送到接收器控制器处。在此,借助于本领域技术人员已知的加密方法对具有自己的加密钥匙的状态信息进行签名。
在此,可以将状态信息尤其以有规律的时间间隔发送到接收器控制器处。此外,必要时也可以将状态信息发送到冗余系统处。例如,所使用的电子芯片的所谓的篡改探测机制、“入侵探测系统”、取证模块(Forensik-Modul)或第一控制器上的所谓“看门狗”功能可以用作状态信息的来源。
在方法步骤2中,第二控制器同样将设有自己的加密钥匙的数据发送到接收器控制器处。这也可以以有规律的时间间隔进行,而或在特定事件的情况下,如在操纵车辆部件的时间点或在检测到的参数改变了预设量时进行。
在此,这尤其可以是关于车辆状态的状态信息,如用于对车辆进行纵向调节和/或横向调节的参数。例如,可以通过第二控制器完全独立于第一控制器来计算和传输车辆的速度。在另外的示例中,可以由第二控制器与第一控制器并行地计算制动动作的时间点,使得计算出的关于制动时间的信息应该与第一控制器中的相应数据一致。
然后在方法步骤3中,通过接收器控制器接收由第一控制器的监测模块和第二控制器发送的状态信息,并且在随后的方法步骤4中进行评估。在此,接收器控制器可以在方法步骤5中基于数据确定何时可能存在第一控制器的操纵,要么因为由监测模块测量出干预的直接提示,要么因为由第一控制器和第二控制器计算出的值相矛盾。
然后在方法步骤6中,在识别出对第一控制器的操纵时可以采取应对措施。根据存在何种针对操纵的指示,在此可以通过配置限定不同的反应策略。例如,这可以借助状态自动机(Zustandsautomat)来描述,该状态自动机描绘消息的签名和检查、消息的阐明以及基于所阐明的事态的反应。作为对接收到的消息的评估的可配置反应的不同状态的示例可以如下所示:
状态 反应
Z1 连续降低速度直到静止
Z2 仅还利用冗余系统行驶
Z3 仅还对驾驶员的纵向引导和横向引导的动作作出反应,在此仅从冗余系统接收值作为信息(速度)
Z4 忽略两个系统的任何讯息,并且仅信任来自车辆网络的原始值(轮转速)
即使侵入者现在应已成功接管对第一控制器的控制并虚假地假装为该第一控制器,以便随后触发例如虚假的驾驶行为,侵入者也将必须同时向接收器控制器“冒充”监测模块和第二控制器,即伪造这另外的通信伙伴的消息,以便防止辨认出虚假行为。然而,由于整个系统的钥匙模型和访问可能性的分离,侵入者不能实现这一点。取而代之,在偏离正常行为时,侵入者即触发储存的状态自动机中的其他系统状态,该系统状态可以通过接收器控制器来确定。然后借助所限定的反应配置导入反应。
如果监测模块设计为单独的安全模块(其不会由于第一控制器的接管而受威胁),则监测模块也可以在识别出操纵时改变第一控制器的钥匙使用。如此,可以阻止钥匙访问,使得第一控制器不再可以发送被签名的讯息。同样,可以将钥匙访问改道到其他钥匙上,然后接收器控制器可以识别和鉴证这,那么但不是作为第一控制器的可信的正常消息,而是作为在监测模块已确定操纵的附加条件下第一控制器的消息。
监测模块同样也可以在第二控制器上来实现,以便也能够识别对第二控制器的操纵并能够对其作出反应。第二控制器上的这样的监测模块在识别出操纵时可以选择性地仅将第一控制器的安全关键的通信过滤出来,但在此继续放行非关键的通信。由此,获得了附加的安全,而不会由于误报而影响大多数应用情况。
图2借助三个控制器示意性地示出了根据本发明的用于在车辆的控制器之间进行可信的数据传输的方法。在此,第一控制器SGA用作主要数据源,第二控制器SGB用作冗余数据源。两个控制器在此分别将经鉴证的讯息或具有数据的消息发送到接收器控制器SGC处。
为此,第一控制器SGA具有钥匙KA并且第二控制器SGB具有钥匙KB,在发送时分别利用所述钥匙对消息进行签名。因为在本发明中使用对称方法来鉴证车辆中的通信,因此接收器控制器SGC相应地具有相同的钥匙来检查从控制器SGA和SGB接收到的消息。
第一控制器SGA的监测模块SAX处于与第一控制器相同的电子组合件中,例如在相同的电子板上。这可以例如通过为主数据源和监测模块设置两个布置在相同的电路板上的控制器芯片来实现。但监测模块同样也可以实现为虚拟单元,该单元然后在与主数据源相同的处理器上运行。但在任何情况下,监测模块SAX和第一控制器在此都具有单独的钥匙访问和加密资源访问。
如上所述,监测模块SAX利用自己的加密钥匙KAX将有规律的状态信息发送到接收器控制器SGC处,该接收器控制器同样具有对钥匙KAX的访问。然后通过对从第二控制器SGB和监测模块接收到的状态信息的上述评估来识别第一控制器的操纵并采取应对措施。
控制器在此可以设置用于控制车辆的任意功能,并且为此可以具有各种功能和软件应用。它们可以包括图2中为了清楚起见而未呈现的各种模块。如此,功能模块可以例如基于车辆的一个或多个传感器的信号来生成待传输的数据。相应的控制器此外分别具有一个或多个加密模块,以便能够使数据安全并检查安全性。这些加密模块优选地设计为物理硬件安全模块,加密钥匙直接储存在其上并保护和管理它们。同样,分别设置有一个或多个通信模块,借助于所述通信模块可以经由车辆内部的电子网络发送和接收数据。在此,电子网络可以例如设计为CAN总线、MOST总线、FlexRay总线或汽车以太网总线。
在此,第一控制器SGA和监测模块SAX的通信可以经由相同的通信模块和还有相同的车辆内部的电子网络进行。但同样也可以设置成,第一控制器SGA的通信经由第一通信模块和第一车辆内部的电子网络进行,并且监测模块SAX的通信经由第二通信模块和第二车辆内部的电子网络进行。
最后,可以将数据本地存储在存储模块中,其中,也可以设置有数据分发器模块,用于数据的分布式存放和安全性。
图3示意性地示出了本发明的第二实施例,在其中用作主数据源的控制器的钥匙访问被改道到其他加密钥匙上。
第二控制器SGB和接收器控制器SGC之间的通信在此如在第一实施例中那样进行。而针对第一控制器的通信,在此可以被改道到紧急钥匙KN上。为此,监测模块SAX基于一个或多个预限定事件的发生来决定通信应经由该紧急钥匙KN来实施。
图4示出了通过监测模块对钥匙访问的这种改道。用作主数据源的第一控制器SGA在此经由接口INT对监测模块SAX的钥匙存储器SS进行访问,该监测模块作为单独的安全模块存在且因此在接管第一控制器SGA时不受被接管的威胁。钥匙KA,KAX以及紧急钥匙KN在此示例性地存在于钥匙存储器SS中。在所示示例中,用作主数据源的第一控制器SGA和接收器控制器SGC之间的通信首先基于钥匙KA进行。由于由监测模块SAX识别出的事件,该监测模块但然后决定为了第一控制器SGA和接收器控制器SGC之间的通信而切换到紧急钥匙KN,如图中通过向右表示的箭头示意性地表明的那样。
根据本发明的方法优选地作为计算机程序在控制器上来实施。为此,计算机程序在制造控制器时被传输并存储在相应控制器的存储器中。计算机程序包括指令,所述指令在通过控制器的处理器实施时促使控制器实施根据本发明的方法的步骤。处理器可以包括一个或多个处理器单元,例如微处理器、数字信号处理器或其组合。
附图标记列表
1-6 方法步骤
SGA,SGB,SGC 控制器
SAX 监测模块
KA,KB,KAX,KN 加密钥匙
INT 接口
SS 钥匙存储器。

Claims (15)

1.一种用于在车辆的控制器之间进行可信的数据传输的方法,在其中,使从用作主数据源的第一控制器(SGA)发送到接收器控制器(SGC)处的消息设有第一加密钥匙(KA)以进行鉴证,并且使从用作冗余数据源的第二控制器(SGB)发送到所述接收器控制器(SGC)处的消息设有第二加密钥匙(KB)以进行鉴证,并且其中,所述方法包括以下步骤:
- 将设有第三加密钥匙(KAX)的第一状态信息从所述第一控制器(SGA)的监测模块(SAX)发送(1)到所述接收器控制器(SGC)处;
- 将设有所述第二加密钥匙(KB)的第二状态信息从所述第二控制器(SGB)发送(2)到所述接收器控制器(SGC);
- 通过所述接收器控制器(SGC)接收(3)所述第一状态信息和所述第二状态信息;
- 评估(4)接收到的所述第一状态信息和第二状态信息以识别(5)对所述第一控制器的操纵;以及
- 在识别出对所述第一控制器的操纵时采取(6)应对措施。
2.根据权利要求1所述的方法,其中,由所述监测模块(SAX)基于在功能故障和/或操纵尝试方面对所述第一控制器(SGA)的监测来生成所述第一状态信息,并且将其有规律地发送到所述接收器控制器(SGC)处。
3.根据权利要求1或2所述的方法,其中,由所述第二控制器(SGB)基于车辆参数来生成所述第二状态信息,并且将其有规律地发送到所述接收器控制器(SGC)处。
4.根据权利要求3所述的方法,其中,所述车辆参数涉及用于对所述车辆进行纵向调节和/或横向调节的参数。
5.根据前述权利要求中任一项所述的方法,其中,所述监测模块(SAX)和所述第一控制器(SGA)布置在共同的电子板上,但具有对加密钥匙和/或加密资源的单独访问。
6.根据前述权利要求中任一项所述的方法,其中,所述监测模块(SAX)在识别出对所述第一控制器(SGA)的操纵时改变所述第一控制器的加密钥匙的使用。
7.根据权利要求6所述的方法,其中,通过所述监测模块(SAX)阻止所述第一控制器(SGA)对加密钥匙的访问。
8.根据权利要求6所述的方法,其中,通过所述监测模块(SAX)将所述第一控制器(SGA)对加密钥匙的访问改道到与所述第一加密钥匙(KA)不同的加密钥匙(KN)上。
9.根据权利要求8所述的方法,其中,所述接收器控制器(SGC)借助所述第一控制器(SGA)的设有与所述第一加密钥匙(KA)不同的所述加密钥匙(KN)的消息识别出:通过所述监测模块(SAX)已识别出操纵。
10.根据前述权利要求中任一项所述的方法,其中,用作冗余数据源的所述第二控制器(SGB)包括监测模块,利用所述监测模块识别对所述第二控制器的操纵。
11.根据权利要求10所述的方法,其中,所述第二控制器(SGA)上的所述监测模块在识别出操纵时选择性地仅将所述第一控制器(SGA)的安全关键的消息过滤出来,并且继续放行非安全关键的消息。
12.一种具有多个控制器的组件,其中,所述控制器联接到车辆的共同的通信总线处并设立成实施根据权利要求1至11中任一项所述的方法。
13.根据权利要求12所述的组件,其中,所述控制器中的至少一个具有监测模块(SAX),所述监测模块与所述至少一个控制器(SGA)布置在共同的电子板上,但具有对加密钥匙和/或加密资源的单独访问。
14.一种具有指令的计算机程序,所述指令促使具有多个控制器的组件实施根据权利要求1至11中任一项所述的方法的步骤。
15.一种车辆,其具有根据权利要求12或13所述的组件。
CN202210930963.6A 2021-08-04 2022-08-04 在车辆的控制器之间进行可信的数据传输的方法、具有控制器的组件、计算机程序和车辆 Pending CN115706676A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021208459.1A DE102021208459B4 (de) 2021-08-04 2021-08-04 Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102021208459.1 2021-08-04

Publications (1)

Publication Number Publication Date
CN115706676A true CN115706676A (zh) 2023-02-17

Family

ID=84975534

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210930963.6A Pending CN115706676A (zh) 2021-08-04 2022-08-04 在车辆的控制器之间进行可信的数据传输的方法、具有控制器的组件、计算机程序和车辆

Country Status (3)

Country Link
US (1) US20230052852A1 (zh)
CN (1) CN115706676A (zh)
DE (1) DE102021208459B4 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022206796A1 (de) 2022-07-04 2024-01-04 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung, Verfahren, Computerprogramm zur sicheren hoch-verfügbaren Übertragung von Nachrichten, Fahrzeug das die Vorrichtung umfasst

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013214018A1 (de) 2013-07-17 2015-01-22 Bayerische Motoren Werke Aktiengesellschaft Fahrzeugsystem und Verfahren zur automatisierten Steuerung mindestens einer Safety-relevanten Funktion eines Fahrzeuges
DE102013108006B4 (de) 2013-07-26 2015-06-18 Infineon Technologies Ag Kommunikationsanordnung
DE102019202527A1 (de) 2019-02-25 2020-08-27 Robert Bosch Gmbh Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
US11456880B2 (en) 2019-03-25 2022-09-27 Micron Technology, Inc. Cryptographically secure mechanism for remotely controlling an autonomous vehicle

Also Published As

Publication number Publication date
DE102021208459B4 (de) 2023-05-25
US20230052852A1 (en) 2023-02-16
DE102021208459A1 (de) 2023-02-09

Similar Documents

Publication Publication Date Title
US11411917B2 (en) Method for detecting, blocking and reporting cyber-attacks against automotive electronic control units
CN109644153B (zh) 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法
CN111066303B (zh) 与机动车辆驾驶员辅助系统相关的方法
JP6807906B2 (ja) 車両へのコンピュータ攻撃を阻止するためのルールを生成するシステムおよび方法
Nilsson et al. Vehicle ECU classification based on safety-security characteristics
JP6762347B2 (ja) 交通手段に対するコンピュータ攻撃を阻止するためのシステムおよび方法
WO2019021403A1 (ja) 制御ネットワークシステム、車両遠隔制御システム及び車載中継装置
KR102524204B1 (ko) 차량용 네트워크의 침입 대응 장치 및 방법
JP6782444B2 (ja) 監視装置、監視方法およびコンピュータプログラム
KR101960400B1 (ko) 제동 시스템
CN105009545A (zh) 具有能够后续通过应用程序改变的行驶行为的机动车
JP2019071572A (ja) 制御装置及び制御方法
CN115706676A (zh) 在车辆的控制器之间进行可信的数据传输的方法、具有控制器的组件、计算机程序和车辆
CN109005147B (zh) 用于避免被操纵的数据传输而保护车辆网络的方法
US20230365162A1 (en) Computer system for providing a plurality of functions for a device, in particular for a vehicle, by separation of a plurality of zones
Kim et al. In-vehicle communication and cyber security
JP6968137B2 (ja) 車両用制御装置
US11363034B2 (en) Method and device for operating a control unit in a network of control units
Sharma et al. Towards the prevention of car hacking: A threat to automation industry
CN111077873B (zh) 用于控制对信息-物理系统的访问的系统和方法
WO2021019637A1 (ja) セキュリティ装置、サーバ装置、セキュリティシステム、及びセキュリティ機能設定方法
KR101535588B1 (ko) 차량 네트워크와 외부 네트워크 사이의 데이터 통신 제어 방법 및 장치
US20230267204A1 (en) Mitigating a vehicle software manipulation
US20230267213A1 (en) Mitigation of a manipulation of software of a vehicle
JP7391242B2 (ja) 制御装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination