-
Technisches Gebiet
-
Die vorliegende Erfindung betrifft ein informationstechnisches Sicherheitssystem. Insbesondere betrifft die vorliegende Erfindung eine Vorrichtung und ein Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug.
-
Technischer Hintergrund
-
Aufgrund der zunehmenden Vernetzung heutiger Kraftfahrzeuge, wie etwa über UMTS (Universal Mobile Telecommunications System), GPRS (General Packet Radio Service), Bluetooth oder WLAN (Wireless Local Area Network), haben Angreifer zunehmend die Möglichkeit, Daten in das Fahrzeugnetz bzw. Netzwerk des Kraftfahrzeuges einzuschleusen.
-
Dadurch können vorhandene Fehler in der Kommunikation des Netzwerks oder Bordnetzes des Kraftfahrzeuges gefunden und ausgenützt werden.
-
Zusammenfassung der Erfindung
-
Es ist eine Aufgabe der vorliegenden Erfindung, eine verbesserte Fehler- und Angriffserkennung für ein Kraftfahrzeug bereitzustellen.
-
Diese Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Ausführungsformen und Weiterbildungen sind den abhängigen Ansprüchen, der Beschreibung und den Figuren zu entnehmen.
-
Ein erster Aspekt der vorliegenden Erfindung betrifft eine Vorrichtung zur Fehler- und Angriffserkennung für ein Kraftfahrzeug, wobei die Vorrichtung umfasst: eine Erfassungseinrichtung, welche dazu ausgelegt ist, Betriebsdaten des Kraftfahrzeugs zu erfassen; eine Speichereinrichtung, welche dazu ausgelegt ist, Daten über ein Systemverhalten des Kraftfahrzeuges abzuspeichern und bereitzustellen; und eine Rechnereinrichtung, welche dazu ausgelegt ist, anhand der erfassten Betriebsdaten und anhand der abgespeicherten Daten eine Abweichung des Systemverhaltens des Kraftfahrzeuges zu ermitteln.
-
Nach einem weiteren Aspekt betrifft die vorliegende Erfindung ein Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug, wobei das Verfahren folgende Verfahrensschritte umfasst: Erfassen von Betriebsdaten des Kraftfahrzeuges mittels einer Erfassungseinrichtung; Speichern und Bereitstellen von Daten über ein Systemverhalten des Kraftfahrzeuges mittels einer Speichereinrichtung; und Ermitteln einer Abweichung des Systemverhaltens des Kraftfahrzeuges anhand der erfassten Betriebsdaten und anhand der abgespeicherten Daten mittels einer Rechnereinrichtung.
-
Die vorliegende Erfindung ermöglicht vorteilhaft, eine automotiv-spezifische Möglichkeit zur Fehler- und Angriffserkennung durch eine Analyse des vorliegenden System- oder Kommunikationsverhaltens oder des vorliegenden Protokollverhaltens bereitzustellen.
-
Die vorliegende Erfindung verarbeitet Informationen über den korrekten Protokollablauf, wie es während der Entwicklung spezifiziert werden kann. Diese Informationen werden bereits beispielsweise während der Entwicklung aus den Protokolldefinitionen extrahiert. Diese Extraktion kann manuell oder auch automatisiert durchgeführt werden. Daraus erhält man Informationen darüber, welche Nachrichten voneinander abhängen, wie die Reihenfolge der Nachrichten bei einem jeweiligen Protokollverhalten ist, welche Nachrichten zu welchem Zeitpunkt erlaubt sind oder ähnliche Informationen. Diese Informationen werden verwendet, um Abweichungen von dem korrekten, das heißt vorgesehenen, Protokollverhalten oder Systemverhalten zu erkennen.
-
Die vorliegende Erfindung ermöglicht vorteilhaft, automotive-spezifisch eine einfache und sichere Methode zur Fehler- und Angriffserkennung für ein Kraftfahrzeug bereitzustellen. Die automotive-spezifisch Fehlererkennung kann vorteilhaft erreicht werden, da in einem Fahrzeugnetz das Kommunikations- und Systemverhalten statisch im Vorfeld definiert werden kann.
-
Die vorliegende Erfindung ermöglicht vorteilhaft, dass Informationen über das Kommunikations- und Systemverhalten automatisch aus Definitionen extrahiert werden können und somit schon während der Entwicklung die Informationen verarbeitet werden können.
-
Die vorliegende Erfindung ermöglicht vorteilhaft, dass Angriffe von außen oder Sicherheitsprobleme frühzeitig erkannt werden können.
-
Beispielsweise kann vorteilhaft für jede Kommunikationsschnittstelle des Kraftfahrzeuges, auf die eine Applikation Zugriff hat, das Verhalten der Applikation sowie deren Kommunikation über diese Schnittstelle modelliert werden und somit das Systemverhalten erfasst werden.
-
Beispielsweise können vorteilhaft Informationen über das Protokollverhalten in einer Protocol Behaviour Database, auf Deutsch Protokollverhaltensdatenbank, definiert werden.
-
Die Informationen können zur Laufzeit des Systems herangezogen werden, um als Kriterien verwendet zu werden und eine Fehler- und Angriffserkennung bereitzustellen.
-
Die vorliegende Erfindung ermöglicht vorteilhaft, unterschiedliche Protokolle, wie zum Beispiel CAN, FlexRay, Ethernet, K-Leitung, LIN oder MOST abstrahiert zu modellieren. Diese Modelle können dann unabhängig vom verwendeten Protokoll eingesetzt werden, da die Kommunikation selbst, abhängig von der eingesetzten Kommunikationsprimitive, modelliert (Stream Communication, Time Triggered Communication, Event Triggered Communication). Diese Modelle sind unabhängig vom eingesetzten Protokoll.
-
Ferner kann die vorliegende Erfindung vorteilhaft ein generisches Modell zur Kommunikationsdefinition entwerfen, wobei das generische Modell in der Protocol Behaviour Database gespeichert wird und unabhängig von dem tatsächlich verwendeten Protokoll zur Fehler- und Angriffserkennung herangezogen wird.
-
Die vorliegende Erfindung ermöglicht vorteilhaft, ein Intrusion Detection System (IDS) bzw. ein Angrifferkennungssystem zur Erkennung von Angriffen, die gegen ein internes Fahrzeugnetz oder Bordnetz gerichtet sind, bereitzustellen.
-
Ferner kann die vorliegende Erfindung in einem Intrusion-Prevention-System (kurz: IPS) verwendet werden.
-
Intrusion-Prevention-System (kurz: IPS) kann als ein aktives System ausgebildet sein, welches Datenverkehr überwacht und Bedrohungen protokolliert und entsprechend eingreifen kann.
-
Ein Intrusion Detection System (IDS) bzw. Angrifferkennungssystem ist ein System zur Erkennung von Angriffen, die gegen ein Computersystem oder Computernetz – im Falle eines Kraftfahrzeuges gegen ein internes Fahrzeugnetz oder Bordnetz – gerichtet sind.
-
Ferner ermöglicht die vorliegende Erfindung, eine Anomalieerkennung bzw. eine Fehlererkennung durch eine Analyse des Systemverhaltens des Kraftfahrzeugs bereitzustellen.
-
Die vorliegende Erfindung ermöglicht vorteilhaft, ein System Behaviour Modell bereitzustellen, wobei das System Behaviour Modell Modelle der Subsysteme des Kraftfahrzeugs umfasst, wobei einzelne Modelle der Subsysteme verwendet werden, um im Zusammenspiel der Modelle das gesamte Kraftfahrzeug beschreiben zu können.
-
Die Modelle der Subsysteme werden mit Eingaben versorgt, wobei aktuell vorherrschende und Standardwerte, beispielsweise über Geschwindigkeit, Temperatur, Motordrehzahl, als Eingabe für die Modelle verwendet werden.
-
Vorteilhafte Ausgestaltungen der vorliegenden Erfindung sind in den Unteransprüchen gekennzeichnet.
-
In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Erfassungseinrichtung dazu ausgelegt ist, als die Betriebsdaten des Kraftfahrzeugs Daten über eine aktuelle Geschwindigkeit oder eine aktuelle Beschleunigung oder eine aktuelle Motordrehzahl des Kraftfahrzeuges zu erfassen.
-
In einer weiteren vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Speichereinrichtung dazu ausgelegt ist, die Daten über das Systemverhalten eine Beschleunigungskennlinie des Kraftfahrzeuges abzuspeichern.
-
In einer weiteren vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Rechnereinrichtung dazu ausgelegt ist, anhand der erfassten Betriebsdaten und anhand der abgespeicherten Daten eine Prognose über das zukünftige Systemverhalten des Kraftfahrzeuges zu ermitteln.
-
In einer weiteren vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Rechnereinrichtung dazu ausgelegt ist, anhand der erfassten Betriebsdaten und anhand der abgespeicherten Daten einen Vergleich mit einem Modell zu dem Systemverhalten des Kraftfahrzeuges durchzuführen.
-
In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Erfassungseinrichtung dazu ausgelegt ist, die Betriebsdaten des Kraftfahrzeugs Daten über ein Kommunikationsverhalten oder ein Protokollverhalten eines Rechnernetzes des Kraftfahrzeugs zu erfassen.
-
In einer weiteren vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Speichereinrichtung dazu ausgelegt ist, als die Daten über ein Kommunikationsverhalten oder ein Protokollverhalten Daten über ein Rechnernetz des Kraftfahrzeugs abzuspeichern.
-
Die beschriebenen Ausgestaltungen und Weiterbildungen lassen sich beliebig miteinander kombinieren.
-
Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der vorliegenden Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale der Erfindung.
-
Kurze Beschreibung der Figuren
-
Die beiliegenden Zeichnungen sollen ein weiteres Verständnis der Ausführungsformen der vorliegenden Erfindung vermitteln. Die beiliegenden Zeichnungen veranschaulichen Ausführungsformen und dienen im Zusammenhang mit der Beschreibung der Erklärung von Konzepten der Erfindung.
-
Andere Ausführungsformen und viele der genannten Vorteile ergeben sich im Hinblick auf die Zeichnungen. Die dargestellten Elemente der Zeichnungen sind nicht notwendigerweise maßstabsgetreu zueinander gezeigt.
-
Es zeigen:
-
1 eine schematische Darstellung einer Mehrzahl von Subsystemmodellen zur Erläuterung der Erfindung;
-
2 eine schematische Darstellung von Subsystemmodellen zur Erläuterung der Erfindung;
-
3 eine schematische Darstellung eines Protokollverhaltens einer Stream-Kommunikation eines Kraftfahrzeugs zur Erläuterung der Erfindung;
-
4 zeigt eine schematische Darstellung eines hierarchischen Aufbaus für eine zeitgesteuerte Kommunikation für ein Kraftfahrzeug zur Erläuterung der Erfindung;
-
5 zeigt eine schematische Darstellung einer Vorrichtung zur Fehler- und Angriffserkennung für ein Kraftfahrzeug gemäß einer Ausführungsform der vorliegenden Erfindung; und
-
6 eine schematische Darstellung eines Flussdiagramms eines Verfahrens zur Fehler- und Angriffserkennung für ein Kraftfahrzeug gemäß einer weiteren Ausführungsform der vorliegenden Erfindung.
-
Detaillierte Beschreibung von Ausführungsbeispielen
-
In den Figuren der Zeichnungen bezeichnen gleiche Bezugszeichen gleiche oder funktionsgleiche Elemente, Bauteile, Komponenten oder Verfahrensschritte, sofern nichts Gegenteiliges angegeben ist.
-
Die 1 zeigt Subsystemmodelle, wobei Subsystemmodelle 110, 120, 130, 140 ein Modell 100 eines Systemverhaltens des Kraftfahrzeugs bilden. Ein erster Funktionsblock 210 liefert gemessene oder erfasste Betriebsdaten an die Subsystemmodelle 110, 120, 130, 140. Ferner liefert ein weiterer Funktionsblock 220 Betriebsdaten und/oder Sensordaten für die Subsystemmodelle 110, 120, 130, 140.
-
Beispielsweise kann ein Modell über das Systemverhalten ein Modell hinsichtlich einer aktuell vorherrschenden Beschleunigung des Kraftfahrzeugs sein. Um zu überprüfen, ob das System noch in einem validen Zustand ist, wird das passende Modell mit den vorhandenen Werten ausgeführt und es findet beispielsweise eine Überprüfung auf die Richtigkeit der vorhandenen Messwerte statt.
-
Die Auswahl des richtigen bzw. passenden Modells obliegt beispielsweise dem System selbst, hier kann das vorher definierte Modell passend zum aktuellen System- und/oder Fahrzeugzustand ausgewählt werden. Beispielsweise kann dies bei der Entwicklung des Kraftfahrzeuges entsprechend in den Modellen hinterlegt und abgespeichert werden. Beispielsweise können die Modelle zusammen entsprechend dem Gesamtfahrzeug gebildet werden. Beispielsweise können unterschiedliche Fahrzeugtypen durch Fahrzeugsubsysteme abgebildet werden.
-
Betriebsdaten und/oder Sensormesswerte dienen beispielsweise als Eingabe für die Subsystemmodelle. Beispielsweise wird das Modell zur Beschleunigung zyklisch aufgerufen und mit einer aktuellen Geschwindigkeit sowie mit einer seit der letzten Messung der Geschwindigkeit verstrichenen Zeitspanne Zeit- und Beschleunigungsdaten versorgt und anschließend kann die Beschleunigung mit dem Systemzustand verglichen werden. Verwendet ein Subsystem im Fahrzeug die Beschleunigung, so kann beispielsweise überprüft werden, ob die beiden Werte übereinstimmen. Falls der ermittelte Wert plausibel ist, beispielsweise es wurde eine negative Beschleunigung bei einem Bremsvorgang ermittelt, so entscheidet das System, dass beispielsweise kein Fehler im Kraftfahrzeug vorliegt.
-
Ferner können beispielsweise, um das Modell mit Eingabewerten zu versorgen, entsprechende Werte in einer Datenbank vorgehalten werden, wie etwa eine Geschwindigkeit des Kraftfahrzeuges, eine aktuelle Motordrehzahl des Kraftfahrzeuges, eine aktuelle Motortemperatur und weitere entsprechende Werte.
-
Ferner können nicht nur aktuelle Werte für das vorliegende Modell verwendet werden, ebenso können auch in der bisherigen Betriebszeit des Kraftfahrzeugs gemessene Werte verwendet werden.
-
Wie viele alte Werte zur Verfügung gestellt werden, kann dabei auf den zur Verfügung stehenden Speicherplatz angepasst werden.
-
Ferner können nicht nur physikalische Modelle, sondern auch logische Modelle die Hierarchie der Subsystemmodelle beeinflussen. Zum Beispiel kann durch die vorliegende Erfindung ein Modell verwendet werden, das beschreibt, wie sich die Außentemperatur zur Innentemperatur des Fahrzeugs verhält. Wenn die Außentemperatur niedriger ist als die Innentemperatur des Kraftfahrzeuges und die Fenster geöffnet werden, dann sinkt die Innentemperatur des Fahrzeugs.
-
Beispielsweise kann ein sogenannter Modellprozessor verwendet werden, um ein Überprüfen der Systembedingungen durchzuführen. Der Modellprozessor überprüft kontinuierlich anhand der vorhandenen Modelle und Werte, ob die Rahmenbedingungen innerhalb bestimmter Toleranzen eingehalten werden.
-
Beispielsweise kann dabei eine kontinuierliche Ausführung, zeitgesteuert, oder eine sporadische Ausführung, ereignisgesteuert, verwendet werden.
-
Beispielsweise kann durch das Modell eine Vorhersage, eine Ist-Analyse oder eine Selbstprüfung vorgenommen werden.
-
Bei einer Vorhersage werden beispielsweise vergangene Werte betrachtet und es wird vorausgesagt, in welcher Bandbreite beispielsweise der nächste erfasste Geschwindigkeitswert des Kraftfahrzeuges liegen wird.
-
Ferner lassen sich hierdurch Abweichungen in der Vergangenheit in Relation setzen und somit können Fehlerursachen oder Fehler, welche auf Angriffe auf das Fahrzeugnetz basieren, erkannt werden.
-
Bei einer Ist-Analyse werden beispielsweise aktuelle Werte mit einem Modell betrachtet.
-
Ferner können Ergebnisse untereinander verglichen werden. Ein Fehlerfall wäre beispielsweise, wenn die Geschwindigkeit sprunghaft von 50 km/h auf 140 km/h ansteigt. Beispielsweise werden hierzu bestimmte Toleranzen festgelegt und es werden Rahmenbedingungen des Systems modelliert.
-
Bei einer Selbstprüfung werden beispielsweise verschiedene Modelle untereinander in Verbindung gesetzt. Dadurch lassen sich Fehler erkennen, die sonst unentdeckt geblieben wären, da ein Modell nicht das gesamte System abbildet. Um auf das vorheriger Beispiel zurückzukommen, wenn ein Modell zu dem Entschluss kommt das die Fenster geöffnet wurde da sich die Innenraumtemperatur absenkt aber ein anderes Modell zu dem Ergebnis gelangt das die Fenster geschlossen sind. Folglich muss ein Modell mit falschen Eingabe Parametern arbeiten (Wenn davon ausgegangen werden kann das beide Modell korrekt sind).
-
Dies erlaubt zumindest eine Erkennung des Fehlers, auch wenn für eine Lokalisation des Fehlers auch noch weitere Verfahren durchgeführt werden.
-
Zudem lassen sich hierdurch die Modelle auf Richtigkeit prüfen, was bei der Entwicklung von Vorteil ist.
-
Hierbei werden beispielsweise verschiedene Eingabewerte von unterschiedlichen Quellen verwendet. Beispielsweise können mehrere Steuergeräte den gleichen Messwert erfassen.
-
Dadurch kann eine Selbstprüfung der unterschiedlichen Steueroder Messgeräte erfolgen.
-
Vorteilhaft ermöglicht die vorliegende Erfindung, dass Fehler im Fahrzeug frühzeitig erkannt werden, selbst wenn solche Fehler durch eine Fehlerüberprüfung auf Geräteebene nicht erkannt werden können.
-
Zudem lassen sich auch Angriffe auf ein Fahrzeug erkennen, wenn beispielsweise also über ein Rechnernetz ein Angreifer ein Kommunikationsverhalten im Fahrzeug versucht zu imitieren.
-
Die 2 zeigt eine schematische Darstellung von Subsystemmodellen zur Erläuterung der Erfindung. Die 2 zeigt einen Systemaufbau mit einem Modellprozessor.
-
Sensordaten 210 dienen beispielsweise als Input für ein Systemverhalten-Modell 110. Das Systemverhalten-Modell 110 und die Sensordaten 210 wiederum dienen beispielsweise als Input für einen Modellprozessor 120, welcher in iterativer Weise fortlaufend das System- oder Protokollverhalten des zu untersuchenden oder zu überwachenden Systems überprüft.
-
Als Ergebnis werden beispielsweise Kontrolldaten 400 von dem Modellprozessor 120 ausgegeben.
-
Ferner kann der Modellprozessor 120 beispielsweise auch eine Verarbeitung der Kontrolldaten durchführen.
-
Die 3 zeigt eine schematische Darstellung eines Protokollverhaltens einer Stream-Kommunikation eines Kraftfahrzeugs zur Erläuterung der Erfindung. Die 3 zeigt eine Stream-Kommunikation.
-
Die Nachrichten M1, M2, M4, M5 werden beispielsweise von einem Client gesendet, die Nachrichten M3, M6, M7 werden beispielsweise von einem Server gesendet. Wenn die Kommunikation vom Client initialisiert wird, wie z. B. durch den Zustand S1, wird beispielsweise nach 15 bis 25 ms eine Nachricht M1 gesendet. Danach werden beispielsweise entweder 20 bis 25 ms später die Nachricht M2 mit der Nachrichten Id 23 an den Server gesendet oder es wird, ohne zu warten, die Nachricht M2 mit Id 12 gesendet. Mit dem Zustand S8 wird die Kommunikation beendet, die erreichbar von Zustand S6 oder S4 mit den Nachrichten M7 oder M4 sind.
-
Eine bedingte Verzweigung von Nachrichten kann beispielsweise durch das Modell auch moduliert werden: Enthält die Nachricht M2 die ID 23, so wird beispielsweise in Zustand S3 gewechselt, bei ID 12 in Zustand S5.
-
Beispielsweise wird nach dem Senden der Nachricht M2 die Nachricht M4 gesendet. Beispielsweise erkennt das System dies als Fehler und eine entsprechende Fehlerbehandlungsroutine kann initiiert werden, zum Beispiel kann vorgesehen werden, dass die Kommunikation abgebrochen wird.
-
Dies geschieht beispielsweise durch das beschriebene System selbst, so dass der Server nicht tätig wird.
-
Die 4 zeigt eine schematische Darstellung eines hierarchischen Aufbaus für eine zeitgesteuerte Kommunikation für ein Kraftfahrzeug zur Erläuterung der Erfindung.
-
Die 5 zeigt eine Vorrichtung zur Fehler- und Angriffserkennung für ein Kraftfahrzeug.
-
Die Vorrichtung 1 umfasst beispielsweise eine Erfassungseinrichtung 10, eine Speichereinrichtung 20 und eine Rechnereinrichtung 30.
-
Die Erfassungseinrichtung ist beispielsweise dazu ausgelegt, Betriebsdaten des Kraftfahrzeuges zu erfassen.
-
Die Speichereinrichtung 20 ist beispielsweise dazu ausgelegt, Daten über ein Systemverhalten des Kraftfahrzeuges abzuspeichern und bereitzustellen.
-
Die Rechnereinrichtung 30 ist beispielsweise dazu ausgelegt, anhand der erfassten Betriebsdaten und anhand der abgespeicherten Daten eine Abweichung des Systemverhaltens des Kraftfahrzeuges zu ermitteln.
-
Die 6 zeigt eine schematische Darstellung eines Flussdiagramms eines Verfahrens zur Fehler- und Angriffserkennung für ein Kraftfahrzeug gemäß einer weiteren Ausführungsform der vorliegenden Erfindung.
-
Das Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug umfasst beispielsweise folgende Verfahrensschritte.
-
Als ein erster Schritt des Verfahrens zur Fehler- und Angriffserkennung für ein Kraftfahrzeug erfolgt beispielsweise ein Erfassen T1 von Betriebsdaten des Kraftfahrzeuges mittels einer Erfassungseinrichtung.
-
Als ein zweiter Schritt des Verfahrens erfolgt beispielsweise ein Speichern und Bereitstellen T2 von Daten über ein Systemverhalten des Kraftfahrzeuges mittels einer Speichereinrichtung 20.
-
Als ein dritter Schritt des Verfahrens erfolgt beispielsweise ein Ermitteln T3 einer Abweichung des Systemverhaltens des Kraftfahrzeuges anhand der erfassten Betriebsdaten und anhand der abgespeicherten Daten mittels einer Rechnereinrichtung 30.
-
Obwohl die vorliegende Erfindung anhand bevorzugter Ausführungsbeispiele vorstehend beschrieben wurde, ist sie nicht darauf beschränkt, sondern auf vielfältige Art und Weise modifizierbar. Insbesondere lässt sich die vorliegende Erfindung in mannigfaltiger Weise verändern oder modifizieren, ohne vom Kern der Erfindung abzuweichen.
-
Ergänzend sei darauf hingewiesen, dass „umfassend“ und „aufweisend“ keine anderen Elemente oder Schritte ausschließt und „eine“ oder „ein“ keine Vielzahl ausschließt.
-
Ferner sei darauf hingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkungen anzusehen.