DE102015109057A1 - Sperren des Zugriffs auf vertrauliche Fahrzeugdiagnosedaten - Google Patents

Sperren des Zugriffs auf vertrauliche Fahrzeugdiagnosedaten Download PDF

Info

Publication number
DE102015109057A1
DE102015109057A1 DE102015109057.0A DE102015109057A DE102015109057A1 DE 102015109057 A1 DE102015109057 A1 DE 102015109057A1 DE 102015109057 A DE102015109057 A DE 102015109057A DE 102015109057 A1 DE102015109057 A1 DE 102015109057A1
Authority
DE
Germany
Prior art keywords
request
diagnostic
ecu
vehicle
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102015109057.0A
Other languages
English (en)
Inventor
David M. Nairn
Stephan Huang
Muralikrishnan K
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102015109057A1 publication Critical patent/DE102015109057A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Fahrzeugsystem und Verfahren zur sicheren Kommunikation zwischen einem Fahrzeug und einer äußeren Vorrichtung, die in einem Diagnosemodus mit dem Fahrzeug kommuniziert. Das Verfahren enthält die Schritte: Empfangen einer ersten Diagnoseanforderung an einer elektronischen Steuereinheit (ECU) von der äußeren Vorrichtung; Bestimmen eines erhöhten Risikos eines Sicherheitsbruchs an der ECU basierend auf der [Art der] ersten Anforderung; und, wenn bestimmt wird, dass das erhöhte Risiko vorhanden ist, Bereitstellen einer Fehlinformationsantwort.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung bezieht sich auf die Schaffung sicherer Fahrzeugdiagnosedienste.
  • HINTERGRUND
  • Die Internationale Normungsorganisation (ISO) ist eine anerkannte Behörde für Industriestandards. Der ISO-14229 spezifiziert die Datenverbindungsanforderungen der Diagnosedienste, die es einer Diagnose-Testvorrichtung oder einem Diagnose-Testgerät ermöglichen, die Diagnosefunktionen in der elektronischen Steuereinheit (ECU) eines Fahrzeugs; z. B. den ECUs, die der elektronischen Kraftstoffeinspritzung, den Automatikgetriebeanordnungen, den Antiblockier-Bremssystemen usw. zugeordnet sind, zu steuern. Wenn das Diagnose-Testgerät mit einer oder mehreren ECUs verbunden ist, steuert das Testgerät die Kommunikation über die Datenverbindung – z. B. ob die Kommunikation zu stoppen, zu unterbrechen oder wiederaufzunehmen ist.
  • ZUSAMMENFASSUNG
  • Gemäß einer Ausführungsform der Erfindung wird ein Verfahren zur sicheren Kommunikation zwischen einem Fahrzeug und einer äußeren Vorrichtung, die mit dem Fahrzeug in einem Diagnosemodus kommuniziert, geschaffen. Das Verfahren enthält die Schritte: Empfangen einer ersten Diagnoseanforderung an einer elektronischen Steuereinheit (ECU) von der äußeren Vorrichtung; Bestimmen eines erhöhten Risikos eines Sicherheitsbruchs an der ECU basierend auf der ersten Anforderung; und, wenn bestimmt wird, dass das erhöhte Risiko vorhanden ist, Bereitstellen einer Fehlinformationsantwort.
  • Gemäß einer weiteren Ausführungsform der Erfindung wird ein Verfahren zur sicheren Kommunikation zwischen einer elektronischen Steuereinheit (ECU) eines Fahrzeugs und einer äußeren Vorrichtung, die in einem Diagnosemodus mit der ECU kommuniziert, geschaffen. Das Verfahren enthält die Schritte: Vorkonfigurieren einer statischen Fehlinformationsantwort auf eine Diagnoseanforderung für vertrauliche Daten; Empfangen einer ersten Diagnoseanforderung, wobei die erste Diagnoseanforderung wenigstens ein Anteil eines böswilligen Angriffs ist; Bestimmen, dass die erste Diagnoseanforderung für die vertraulichen Daten ist; und Bereitstellen der Fehlinformationsantwort.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Im Folgenden werden eine oder mehrere Ausführungsformen der Erfindung im Zusammenhang mit den beigefügten Zeichnungen beschrieben, wobei gleiche Bezugszeichen gleiche Elemente bezeichnen und worin:
  • 1 eine schematische graphische Darstellung ist, die eine Ausführungsform eines Fahrzeugkommunikationssystems darstellt;
  • 2 eine Ausführungsform eines Abschnitts des in 1 gezeigten Fahrzeugkommunikationssystems ist;
  • 3 eine Ausführungsform des Speichers einer elektronischen Steuereinheit (ECU) ist;
  • 4 eine schematische graphische Darstellung ist, die darstellt, wie ein böswilliger Angreifer das Fahrzeugkommunikationssystem nach 1 brechen kann; und
  • 5 ein Ablaufplan ist, der ein Verfahren zur sicheren Kommunikationen mit einer ECU an einem Fahrzeugbus veranschaulicht.
  • AUSFÜHRLICHE BESCHREIBUNG DER VERANSCHAULICHTEN AUSFÜHRUNGSFORM(EN)
  • Das (die) im Folgenden beschriebenen Verfahren betreffen die Fahrzeugsicherheit bezüglich eines Fahrzeugdiagnosesystems. Spezieller betrifft das Verfahren (betreffen die Verfahren) das Schützen oder das Sichern vertraulicher Informationen, die durch die elektronischen Steuereinheiten (ECUs) innerhalb des Fahrzeugs geführt werden oder gespeichert sind, vor böswilligen Angreifern. Die ECUs sind typischerweise miteinander verbunden und kommunizieren über ein Fahrzeugnetz (z. B. einen Bus, der ein Controller-Bereichsnetz-Protokoll (CAN-Protokoll) verwendet) miteinander. Außerdem können die ECUs ein Fahrzeugdiagnoseprotokoll befolgen und/oder einem Fahrzeugdiagnoseprotokoll entsprechen. In jüngerer Zeit haben böswillige Angreifer herausgefunden, wie das Diagnoseprotokoll zu manipulieren ist, um auf die durch die ECU(s) geführten vertraulichen Informationen zuzugreifen. Wie im Folgenden erklärt wird, können die böswilligen Angreifer unter Verwendung dieser vertraulichen Informationen ohne Autorisierung auf das Fahrzeug zugreifen, das Fahrzeug ohne Autorisierung starten, die Fahrzeugbewegung ohne Autorisierung steuern oder ohne Autorisierung auf die vertraulichen Informationen eines rechtmäßigen Anwenders zugreifen, um nur einige Beispiele zu nennen.
  • 1 veranschaulicht ein Fahrzeug 10 mit einem Kommunikationssystem 12 darin. Das Kommunikationssystem 12 kann eine verdrahtete Kommunikation über einen oder mehrere Fahrzeugbusse 14, eine drahtlose Kurzbereichskommunikation (SRWC) unter Verwendung eines SRWC-Chipsatzes 16 (siehe 2) oder eine Weitbereichs-Mobilfunkkommunikation unter Verwendung eines Mobilfunk-Chipsatzes 18 ermöglichen (siehe 2), um nur einige Möglichkeiten zu nennen. Der Bus (die Busse) 14 und das SRWC-Gerät können gemeinsam implementiert sein, um ein lokales Fahrzeugnetz (VLAN) zu ermöglichen.
  • Der eine oder die mehreren Busse 14 können einen Kommunikationsbus (Kommunikationsbusse), einen Infotainmentbus (Infotainmentbusse), einen Unterhaltungsbus (Unterhaltungsbusse) usw. enthalten. Der in 1 gezeigte Bus ist direkt und indirekt mit mehreren Vorrichtungen verbunden. Eine Anzahl von ECUs (20) ist z. B. an den Bus 14 gekoppelt, von denen wiederum jede an ein Fahrzeugmodul oder eine Fahrzeugvorrichtung 22 gekoppelt ist. Der Bus (die Busse) 14 und die ECUs 20 kommunizieren zusammen über ein oder mehrere Fahrzeugnetze (geeignete Netzverbindungen enthalten z. B. ein Controller-Bereichsnetz (CAN), eine medienorientierte Systemübertragung (MOST), ein lokales Zusammenschaltungsnetz (LIN), ein lokales Netz (LAN) und andere geeignete Verbindungen, wie z. B. Ethernet oder andere, die bekannten ISO-, SAE- und IEEE-Standards und -Spezifikationen entsprechen, um nur einige zu nennen).
  • Jede ECU kann eine oder mehrere Verarbeitungsvorrichtungen oder Prozessoren 30 und einen oder mehrere Speicher oder Speichervorrichtungen 32 umfassen (siehe z. B. 2). Jeder Prozessor 30 kann irgendein Typ einer Vorrichtung sein, die elektronische Anweisungen verarbeiten kann, einschließlich Mikroprozessoren, Mikrocontrollern, Host-Prozessoren, Controllern, Fahrzeugkommunikationsprozessoren und anwendungsspezifischer integrierter Schaltungen (ASICs). Er kann ein dedizierter Prozessor sein, der nur für die jeweilige ECU (und/oder ihr jeweiliges Fahrzeugmodul 22) verwendet wird, oder er kann mit anderen Fahrzeugsystemen gemeinsam benutzt werden. Der Prozessor 30 führt verschiedene Typen digital gespeicherter Anweisungen aus, wie z. B. Software- oder Firmware-Programme, die im Speicher 32 gespeichert sind, die es dem Fahrzeugmodul 22 ermöglichen, verschiedene Dienste bereitzustellen. Der Prozessor 30 kann z. B. Programme ausführen oder Daten verarbeiten, um wenigstens einen Teil des hier erörterten Verfahrens auszuführen.
  • Der Speicher 32 kann irgendein geeignetes computerverwendbares oder -lesbares Medium enthalten, das ein oder mehrere Speichervorrichtungen oder -gegenstände enthält. Beispielhafte computerverwendbare Speichervorrichtungen enthalten einen RAM (einen Schreib-Lese-Speicher), einen ROM (einen Festwertspeicher), einen EPROM (einen löschbaren programmierbaren ROM), einen EEPROM (einen elektrisch löschbaren programmierbaren ROM) und magnetische oder optische Platten oder Bänder eines herkömmlichen Computersystems.
  • Gemäß einer Ausführungsform kann der Speicher 32 in identifizierbare Segmente kategorisiert oder aufgeteilt sein – jedes Segment weist eine Zelle oder eine Adresse 34 auf oder ist einer Zelle oder einer Adresse 34 zugeordnet (siehe 3). 3 zeigt wenigstens einen Abschnitt des Speichers 32, der mehrere Adressen 34 aufweist. Lediglich für Veranschaulichungszwecke zeigt 3 Zeilen (die alphabetisch angegeben sind, z. B. A-AA) und Spalten (die numerisch angegeben sind, z. B. 1–19). Diese Mengen der Zeilen und Spalten sind lediglich ein Beispiel; es sind andere Mengen vorhanden. Ferner sind andere Mittel zum Adressieren des Speichers 32 außerdem vorhanden. Wie im Folgenden ausführlicher erklärt wird, kann der Speicher 32 sowohl vertrauliche als auch nicht vertrauliche Daten führen oder speichern; in 3 können z. B. die schattierten Adressen (z. B. H1, I1, J1, ..., S1) vertrauliche Daten führen, während die nicht schattierten Adressen (z. B. alle Spalten 2, 3, 4 und 5) weniger oder nicht vertrauliche Daten führen können.
  • Es sollte außerdem erkannt werden, dass die Adressen 34 in oder unter Verwendung von Hardware oder Software konfiguriert sein können. Wenn die Adressen z. B. in Software konfiguriert sind, kann das Verfahren (können die Verfahren) als ein oder mehrere Computerprogramme ausgeführt werden, die durch den Prozessor 30 und/oder das Fahrzeugmodul 22 ausführbar sind, wobei die verschiedenen mit dem Verfahren in Beziehung stehenden Daten in irgendeinem geeigneten Speicher gespeichert sein können. Das Computerprogramm kann in verschiedenen Formen sowohl aktiv als auch inaktiv vorhanden sein. Das Computerprogramm kann z. B. als ein Software-Programm(e), das (die) Programmanweisungen in einem Quellcode, einem Objektcode, einem ausführbarem Code oder anderen Formaten umfasst (umfassen); ein Firmware-Programm(e); oder Dateien einer Hardware-Beschreibungssprache (HDL) vorhanden sein. Irgendeines des Obigen kann in einem computerverwendbaren oder -lesbaren Medium verkörpert sein, das ein oder mehrere Speichervorrichtungen oder -gegenstände enthält. Es wird deshalb erkannt, dass die Verfahren wenigstens teilweise durch irgendeine elektronische Vorrichtung(en) ausgeführt werden können, die die oben beschriebenen Funktionen ausführen kann (können).
  • Eines der Fahrzeugmodule 22 kann eine Telematikeinheit sein (wie in 2 gezeigt ist), die sowohl die vorher erwähnten SRWC- und Mobilfunk-Chipsätze 16, 18 als auch ihren eigenen Prozessor 40, ihren eigenen Speicher 42 und ihre eigene Mehrzweck-(oder Mehrband-)Antenne 44 – unter anderem aufweist. Die Telematikeinheit kann z. B. unter Verwendung des SRWC-Chipsatzes 16 eine drahtlose Vernetzung (über das VLAN) gemäß irgendeinem geeigneten, bekannten Protokoll ausführen. Nicht einschränkende Beispiele der SRWC-Protokolle enthalten irgendeinen geeigneten Wi-Fi-Standard (z. B. IEEE 802.11), Wi-Fi Direct oder einen anderen geeigneten Peer-zu-Peer-Standard, Bluetooth, WiMAX, Zig-BeeTM, eine drahtlose Infrarot-Übertragung oder verschiedene Kombinationen daraus.
  • Selbstverständlich kann die drahtlose Vernetzung durch die Telematikeinheit ebenso gemäß irgendeinem geeigneten Mobilfunkstandard ausgeführt werden.
  • Die Telematikeinheit kann z. B. über den GSM-, den CDMA- oder den LTE-Standard kommunizieren, um nur einige zu nennen. Die Mobilfunkkommunikation sollte umfassend ausgelegt werden, um Sprachanrufe, Daten-(oder Paket-)Anrufe oder irgendeine Kombination daraus einzuschließen.
  • Die in 2 gezeigte ECU 20 ist zwischen den Bus 14 und die Telematikeinheit (eines der Module 22) gekoppelt und kann gemäß irgendeinem geeigneten Standard konfiguriert sein – z. B. eine generische Konfiguration aufweisen; oder sie kann eine dedizierte, speziell konfigurierte ECU sein. Folglich ist die in 2 gezeigte ECU 20 für irgendeine oder alle der in 1 gezeigten ECUs veranschaulichend. Es sollte erkannt werden, dass die ECU 20 vertrauliche Daten, die der Kommunikation über den Bus 14 zugeordnet sind, oder vertrauliche Daten, die dem jeweiligen Modul 22 (z. B. der Telematikeinheit) zugeordnet sind, oder beides führen kann. Die ECU 20 kann z. B. einen oder mehrere Verschlüsselungsschlüssel für die sichere Buskommunikation oder für die Kommunikation zwischen der ECU 20 und dem jeweiligen Modul 22 führen. Außerdem erkennen die Fachleute, dass ein Bruch der ECU 20 einem Angreifer eine geeignete Gelegenheit ermöglichen kann, vertrauliche Daten, die innerhalb des Moduls 22 gespeichert sind, zu erfassen. Ein Buch der ECU 20 nach 2 kann z. B. einem böswilligen Angreifer die Gelegenheit ermöglichen, die Telematikeinheit zu verwenden, um das Fahrzeug fernzustarten oder die Fahrzeugtüren zu entriegeln usw.
  • 4 (und außerdem 1) zeigen ein Diagnoseportal 50, das an den Bus 14 gekoppelt ist. Das Portal 50 kann irgendeine Vorrichtung zum Anschließen oder Koppeln einer äußeren Vorrichtung 60, wie z. B. eines Diagnosewerkzeugs oder einer Daten-Protokolleinrichtung oder einer anderen geeigneten Diagnosemaschine, sein. Außerdem können die äußeren Vorrichtungen 60 ebenfalls elektronische Vorrichtungen enthalten, die durch einen Angreifer verwendet werden, um echte Diagnosewerkzeuge zu imitieren; z. B. ein Pseudodiagnosewerkzeug oder einen entfernten Computer, wie im Folgenden ausführlicher erklärt wird. Die echten Diagnosewerkzeuge (60) können es einem Fahrzeugtechniker ermöglichen, eine Verbindung mit dem Fahrzeug 10 herzustellen, einen Diagnosestatus abzufragen und die Status mehrerer Fahrzeugmodule 22 zu lesen, wie durch die Fachleute erkannt wird. Die Diagnoseanforderung kann eine Speicherleseanforderung sein (z. B. gemäß dem ISO-14299 eine Read_Memory_by_Address-Anforderung). Wenn bei einem speziellen Modul eine technische Frage oder ein technisches Problem vorhanden ist, enthält der durch die zugeordnete ECU 20 bereitgestellte Status FEHLER-Code-Daten oder einen Diagnosefehlercode (DTC). Wo keine Probleme vorhanden sind, enthält der Status NORMAL-Code-Daten. Es wird folglich erkannt, dass ähnliche von Angreifern verwendete (oder gekaperte) Diagnosewerkzeuge ähnliche Funktionen ausführen. Die äußere Vorrichtung 60 kann unter Verwendung von Hardware und Techniken, die den Fachleuten vertraut sind, durch Draht oder drahtlos mit dem Portal 50 gekoppelt sein.
  • 4 veranschaulicht ferner eine schematische graphische Darstellung, die einige Beispiele andeutet, wie ein bösartiger Angreifer 70 (der durch eine vernetzte Vorrichtung dargestellt ist) das Kommunikationssystem 12 in dem Fahrzeug 10 verwenden könnte, um einen unberechtigten Zugriff auf das System 12 zu erlangen oder das System 12 zu brechen. Der Angreifer 70 kann z. B. eine äußere Vorrichtung 60 oder eine ähnliche Vorrichtung verwenden, die (z. B. über eine Draht- oder drahtlose Kommunikation) direkt an den Bus 14 gekoppelt ist. Andernfalls kann der Angreifer eine äußere Vorrichtung 60 vortäuschen – d. h., vorgeben, ein echtes Diagnosewerkzeug zu sein. Andernfalls kann der Angreifer 70 ein Landnetz 72 und/oder ein drahtloses Netz 74 verwenden, um den Bus 14 (z. B. über die Telematikeinheit oder ein anderes geeignetes Modul 22) zu brechen. In jedem Fall kann der Angreifer mit den ECUs 20 kommunizieren, um vertrauliche Informationen zu sammeln, sobald der Zugriff auf den Bus 14 durch den böswilligen Angreifer 70 erreicht worden ist.
  • Der Angreifer kann z. B. bekannte Diagnoseprotokolle (z. B. den ISO-14229) verwenden, um eine Diagnoseanforderung zu erzeugen. Die Anforderung des Angreifers kann über den Bus 14 an eine oder mehrere ECUs 20 übertragen werden, wobei die geeigneten ECUs mit einem Diagnosestatuscode antworten können. In einigen Fällen, in denen die Diagnoseanforderung vertrauliche Informationen oder Informationen mit eingeschränktem Zugriff (z. B. in einem Bereich von einer oder mehreren Adressen mit eingeschränktem Zugriff) anfordert, ist die Antwort eine AUSSERHALB-DES-BEREICHS-Nachricht. Der Angreifer kann einfach durch das Bestimmen, welche Adressenbereiche AUSSERHALB-DES-BEREICHS-Nachrichten liefern, in Erfahrung bringen, welche Adressen 34 vertrauliche Informationen enthalten (z. B. den Bereich der Adressen in 3 betrachten: {H1, I1, ..., S1}. Danach kann der Angreifer/die Angreiferin 70 seine/ihre bösartigen Anstrengungen auf eine begrenzte Anzahl von Adressenbereichen konzentrieren.
  • Eine Vorgehensweise, den Zugriff für böswillige Angriffe zu sperren, kann sein, dynamisch oder zufällig eine andere Antwort auf irgendeine Statusanforderung für die Adressen, die vertrauliche Informationen enthalten, zu erzeugen. Diese Vorgehensweise weist jedoch ihre Schwächen auf. Der Angreifer 70 kann z. B. einfach wiederholt den Status der gleichen Adresse innerhalb derselben ECU 20 abfragen; wenn der Angreifer eine unterschiedliche (dynamisch erzeugte) Antwort für jede völlig gleiche Abfrage empfängt, wird es ersichtlich (oder wenigstens bezeichnend), das die identifizierte Adresse 34 vertrauliche Informationen enthält. Deshalb ist es erwünscht, dass die Antwort statisch ist – d. h., jedes Mal, wenn für den Status einer Adresse, die vertrauliche Informationen enthält, eine Diagnoseanforderung ausgeführt wird, sollte die Antwort die gleiche sein. Es ist außerdem erwünscht, dass die Antwort nicht vertrauliche Informationen (z. B. Informationen mit nicht eingeschränktem Zugriff) bereitstellt. Außerdem kann wenigstens in einigen Fällen die Antwort aus nicht vertraulichen Informationen einer Adresse 34, die sich anderswo im Speicher 32 befindet, bestehen. In wenigstens einer Implementierung können derartige Antworten vorkonfiguriert oder vorgegeben sein. Vor irgendeinem bösartigen Angriff können z. B. irgendwelche Adressen 34, die vertrauliche Informationen aufweisen, in jeder der ECUs 20 auf dem Bus 14 mit einer Antwort aus nicht vertraulichen Informationen vorkonfiguriert sein. In dieser Weise kann die Antwort für einen Angreifer vertraulich oder logisch sein – wobei der Angreifer entweder weiterhin nach Speicheradressen 34 sucht, die den Anschein haben, dass sie AUSSERHALB DES BEREICHS sind oder anderweitig vertrauliche Informationen angeben.
  • In 5 ist nun ein Ablaufplan eines Verfahrens 500 veranschaulicht, das unter Verwendung des Kommunikationssystems 12 ausgeführt werden kann. Das Verfahren beginnt mit dem Schritt 510 durch das Vorkonfigurieren der Antworten auf die Diagnoseanforderungen für vertrauliche Daten. Jede Adresse 34, die vertrauliche Informationen enthält, kann mit einer Antwort vorkonfiguriert werden, die eine Fehlinformationsantwort angibt – z. B. einer Antwort, die einen potentiellen Angreifer von den darin enthaltenen vertraulichen Informationen absichtlich fehlleitet. Die Fehlinformationsantwort kann einer einzigen Adresse 34 oder einem Bereich von Adressen im Speicher 32 zugeordnet sein. In einer Implementierung können die vorkonfigurierten Fehlinformationsantworten gemäß einer Adressenabbildung abgebildet oder zugewiesen werden – z. B. unter Verwendung eines Abbildungsalgorithmus oder eines anderen geeigneten Programms. Außerdem kann die Fehlinformationsantwort eine Antwort sein, die Daten zugeordnet ist, die als nicht vertraulich betrachtet werden, falls sie durch einen bösartigen Angreifer abgefangen werden. Die Fehlinformationsantwort könnte z. B. der Lufttemperatur der Fahrzeugkabine oder der verbleibenden Lebensdauer des Kraftmaschinenöls (z. B. bevor ein Ölwechsel fällig ist) oder irgendwelchen anderen diagnosebezogenen Daten, die keinen Daten zugeordnet sind, die verwendet werden können, um dem Fahrzeuginsassen zu schaden oder die persönlich identifizierbaren Informationen oder die PII (wie durch die Fachleute erkannt wird) oder irgendwelche anderen ähnliche persönliche Informationen des Insassen zu verletzen, zugeordnet sein. Der Schritt 510 kann zum Zeitpunkt der Herstellung, nach der Herstellung (z. B. in einem Servicezentrum oder einer Verkaufsvertretung) stattfinden oder sogar nach dem Vertrieb kann ein autorisierter Techniker.
  • Nach dem Schritt 510 kann das Verfahren zum Schritt 520 weitergehen – wobei es auf einen VLAN-Sicherheitsbruch stoßen kann; d. h., ein Angreifer 70 kann unter Verwendung einer unberechtigten äußeren Vorrichtung 60 Zugriff auf die ECUs 20 und/oder den Bus 14 erlangen. Der Ausdruck 'Sicherheitsbruch' sollte umfassend ausgelegt werden, um jeden böswilligen Angriff zu enthalten, einschließlich irgendeines Versuchs, Informationen zu sammeln oder zu erlangen, die eine Sicherheitsschwäche im Netz des Fahrzeugs angeben könnten oder dem Angreifer einen Hinweis bereitstellen könnten, wie das Netz besser anzugreifen ist; d. h., ein Sicherheitsbruch enthält sowohl einen tatsächlichen Bruch als auch jede Untersuchung eines oder mehrerer Aspekte des Fahrzeugnetzes, um zu bestimmen, wie ein tatsächlicher Bruch auszuführen ist. Der Bruch kann durch die Komponenten des VLAN nicht detektiert werden. Folglich kann im Schritt 520 der Angreifer 70 dazu übergehen, Diagnoseanforderungen an die verschiedenen ECUs 20, die an den Bus 14 gekoppelt sind, zu senden – z. B. vorzugeben, eine autorisierte äußere Diagnosevorrichtung (wie z. B. eine Diagnosevorrichtung oder eine Daten-Protokolleinrichtung) zu sein.
  • Folglich empfangen im Schritt 530 die ECUs eine oder mehrere Diagnoseanforderungen (von der unberechtigten äußeren Vorrichtung 60). Gemäß einem Aspekt des Verfahrens ist wenigstens eine der Diagnoseanforderungen für vertrauliche Informationen, die einer Adresse 34 mit eingeschränktem Zugriff einer der ECUs 20 zugeordnet sind.
  • Beim Empfangen der Diagnoseanforderung (Schritt 530) können die ECUs 20 (oder wenigstens eine der ECUs) basierend auf der Art der Anforderung bestimmen, ob ein erhöhtes Risiko eines Sicherheitsbruchs vorhanden ist (oder auftritt), (Schritt 540). Diese Bestimmung kann das Bestimmen enthalten, ob die Diagnoseanforderung Informationen abfragt, die einem Bereich der Adressen 34 mit eingeschränktem Zugriff (der in 3 schattiert ist) zugeordnet ist – oder ob eine einzige abgefragte Adresse als mit eingeschränktem Zugriff bezeichnet ist. Falls die Diagnoseanforderung für nicht vertrauliche Informationen ist, geht das Verfahren zum Schritt 550 weiter und stellt einfach einen zutreffenden Status oder eine zutreffende Antwort bereit (stellt z. B. einen Statuscode bereit). Wenn jedoch die Diagnoseanforderung für eine Adresse 34 (oder einen Bereich von Adressen) ist, der (dem) vertrauliche Informationen (d. h., mit eingeschränktem Zugriff) zugeordnet ist (sind), dann geht das Verfahren 500 zum Schritt 560 weiter.
  • Im Schritt 560 schafft das Verfahren die geeignete vorkonfigurierte Fehlinformationsantwort. Wie vorher erörtert worden ist, kann diese Antwort statisch definiert sein, wobei die Antwort den Anschein haben kann, dass sie eine erwartete oder typische Antwort von einer Abfrage einer nicht vertraulichen Adresse ist. Falls der Angreifer irgendeine Adresse 34 einer der ECUs 20, die vertrauliche Informationen enthält, abfragt, empfängt der Angreifer folglich in Reaktion eine Fehlinformationsantwort, die keinen Verdacht erregt, dass die Adresse 34 vertrauliche Informationen enthält.
  • Nach den Schritten 550 und/oder 560 geht das Verfahren abermals zum Schritt 530 weiter oder endet das Verfahren. Im Schritt 530 kann das Verfahren 500 eine zweite Diagnoseanforderung empfangen. In einem Fall ist die zweite Diagnoseanforderung die gleiche wie die erste Diagnoseanforderung (die vorher beschrieben worden ist); d. h., die Diagnoseanforderung fragt in der ersten Anforderung die gleiche Adresse 34 wie die ab, die sie in der zweiten Anforderung abfragt. In diesem Fall geht das Verfahren zum Schritt 540 und 560 weiter – wobei es auf die zweite Diagnoseanforderung die gleiche Fehlinformationsantwort wie die bereitstellt, die es für die erste Diagnoseanforderung bereitgestellt hat.
  • Wenn jedoch die zweite Diagnoseanforderung nicht die gleiche wie die erste Anforderung ist, dann bestimmt das Verfahren 500, ob die Anforderung abermals eine Sicherheitsbedrohung darstellt (Schritt 540). Falls bestimmt wird, dass eine Bedrohung vorhanden ist (z. B. die Anforderung für eine Adresse 34 in einem Bereich mit eingeschränktem Zugriff ist), geht das Verfahren zum Schritt 560 weiter, wobei es eine andere, vorkonfigurierte Fehlinformationsantwort bereitstellt.
  • Folglich ist ein (sind) Verfahren zum sicheren Kommunizieren über einen Fahrzeugbus beschrieben worden. Spezifischer stellt die Offenbarung ein Verfahren (Verfahren) dar, um es zu sperren, dass Angaben, wo vertrauliche Daten in einem ECU-Speicher gespeichert sind, einem Angreifer gegeben werden.
  • Es ist selbstverständlich, dass das Vorhergehende eine Beschreibung einer oder mehrerer Ausführungsformen der Erfindung ist. Die Erfindung ist nicht auf die hier offenbarte(n) spezielle(n) Ausführungsform(en) eingeschränkt, sondern sie stattdessen ausschließlich durch die folgenden Ansprüche definiert. Außerdem beziehen sich die in der vorhergehenden Beschreibung enthaltenen Aussagen auf spezielle Ausführungsformen, wobei sie nicht als Einschränkungen an den Schutzumfang der Erfindung oder an die Definition der Begriffe, die in den Ansprüchen verwendet werden, auszulegen sind, mit Ausnahme, wo ein Begriff oder ein Ausdruck oben ausdrücklich definiert ist. Für die Fachleute auf dem Gebiet werden verschiedene andere Ausführungsformen und verschiedene Änderungen und Modifikationen an der (den) offenbarten Ausführungsformen(en) offensichtlich sein. Es ist vorgesehen, dass alle derartigen anderen Ausführungsformen, Änderungen und Modifikationen in den Schutzumfang der beigefügten Ansprüche kommen.
  • Die Begriffe ”z. B.”, ”zum Beispiel”, ”beispielhaft”, ”wie z. B.” und ”wie” und die Verben ”umfassend”, ”aufweisend”, ”enthaltend” und ihre anderen Verbformen, wie sie in dieser Beschreibung und in den Ansprüchen verwendet werden, sind jeder, jedes bzw. jede, wenn sie im Zusammenhang mit einer Auflistung einer oder mehrerer Komponenten oder eines oder mehrerer anderer Elemente verwendet werden, als erweiterbar auszulegen, was bedeutet, dass die Auflistung nicht als andere, zusätzliche Komponenten oder Elemente ausschließend zu betrachten ist. Andere Begriffe sind unter Verwendung ihrer umfassendsten angemessenen Bedeutung auszulegen, wenn sie nicht in einem Kontext verwendet werden, der eine andere Interpretation erfordert.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • ISO-14229 [0002]
    • IEEE 802.11 [0018]
    • ISO-14299 [0022]
    • ISO-14229 [0024]

Claims (10)

  1. Verfahren zur sicheren Kommunikation zwischen einem Fahrzeug und einer äußeren Vorrichtung, die mit dem Fahrzeug in einem Diagnosemodus kommuniziert, umfassend die Schritte: Empfangen einer ersten Diagnoseanforderung an einer elektronischen Steuereinheit (ECU) von der äußeren Vorrichtung; Bestimmen eines erhöhten Risikos eines Sicherheitsbruchs an der ECU basierend auf der ersten Anforderung; und, wenn bestimmt wird, dass das erhöhte Risiko vorhanden ist, Bereitstellen einer Fehlinformationsantwort.
  2. Verfahren nach Anspruch 1, wobei die erste Diagnoseanforderung eine Speicher-Leseanforderung ist, die einer Speicheradresse der ECU zugeordnet ist.
  3. Verfahren nach Anspruch 2, wobei der Bestimmungsschritt das Bestimmen enthält, ob sich die Speicheradresse innerhalb eines Bereichs von Adressen mit eingeschränktem Zugriff befindet.
  4. Verfahren nach Anspruch 3, das ferner das Bestimmen umfasst, dass sich die Speicheradresse innerhalb des Bereichs von Adressen mit eingeschränktem Zugriff befindet, wobei der Bereitstellungsschritt das Antworten auf die erste Anforderung mit nicht vertraulichen Daten, die einer oder mehreren Adressen mit nicht eingeschränktem Zugriff zugeordnet sind, enthält.
  5. Verfahren nach Anspruch 4, das ferner den Schritt des Vorkonfigurierens der Fehlinformationsantwort vor dem Empfangen der ersten Diagnoseanforderung umfasst, wobei die Vorkonfiguration die nicht vertraulichen Daten wenigstens einer Speicheradresse mit nicht eingeschränktem Zugriff wenigstens einer Speicheradresse mit eingeschränktem Zugriff zuordnet.
  6. Verfahren nach Anspruch 4, das ferner das Empfangen einer zweiten Diagnoseanforderung an der ECU und, wenn die erste Anforderung die gleiche wie die zweite Anforderung ist, das Bereitstellen der gleichen Fehlinformationsantwort umfasst.
  7. Verfahren nach Anspruch 4, das ferner das Empfangen einer zweiten Diagnoseanforderung an der ECU umfasst und, wenn die erste Anforderung nicht die gleiche wie die zweite Anforderung ist, das Bereitstellen einer anderen Fehlinformationsantwort umfasst.
  8. Verfahren nach Anspruch 1, wobei die Kommunikation zwischen der ECU und der äußeren Vorrichtung gemäß dem ISO-14229 erfolgt.
  9. Verfahren nach Anspruch 8, wobei die erste Diagnoseanforderung eine Read_Memory_by_Address-Anforderung ist.
  10. Verfahren nach Anspruch 1, wobei die erste Diagnoseanforderung ein Teil eines böswilligen Angriffs ist.
DE102015109057.0A 2014-06-11 2015-06-09 Sperren des Zugriffs auf vertrauliche Fahrzeugdiagnosedaten Pending DE102015109057A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/302,162 2014-06-11
US14/302,162 US9477843B2 (en) 2014-06-11 2014-06-11 Inhibiting access to sensitive vehicle diagnostic data

Publications (1)

Publication Number Publication Date
DE102015109057A1 true DE102015109057A1 (de) 2015-12-17

Family

ID=54706939

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015109057.0A Pending DE102015109057A1 (de) 2014-06-11 2015-06-09 Sperren des Zugriffs auf vertrauliche Fahrzeugdiagnosedaten

Country Status (3)

Country Link
US (1) US9477843B2 (de)
CN (1) CN105278518B (de)
DE (1) DE102015109057A1 (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9946744B2 (en) * 2016-01-06 2018-04-17 General Motors Llc Customer vehicle data security method
DE102016208937A1 (de) * 2016-05-24 2017-11-30 Robert Bosch Gmbh Kraftfahrzeug-Schnittstelleninterface
KR101875438B1 (ko) * 2016-06-16 2018-08-02 현대자동차주식회사 통신 제어 장치, 그를 가지는 차량 및 그 제어 방법
US10055904B2 (en) * 2016-06-23 2018-08-21 Ford Global Technologies, Llc Vehicle gateway network protection
JP6846991B2 (ja) * 2016-07-05 2021-03-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法
US10031740B2 (en) * 2016-10-24 2018-07-24 Lear Corporation Method for programming vehicle electronic control modules
JP6485429B2 (ja) * 2016-11-04 2019-03-20 トヨタ自動車株式会社 車載ネットワークシステム
US10491392B2 (en) * 2017-03-01 2019-11-26 Ford Global Technologies, Llc End-to-end vehicle secure ECU unlock in a semi-offline environment
US10486626B2 (en) * 2017-11-20 2019-11-26 Ford Global Technologies, Llc Systems and methods for vehicle diagnostic tester coordination
CN110412970A (zh) * 2018-04-27 2019-11-05 罗伯特·博世有限公司 在多ecu系统中执行车辆诊断的方法
US12026171B2 (en) * 2018-06-20 2024-07-02 Tusimple, Inc. Method and system of managing error data associated with a vehicle
US11100251B2 (en) 2018-08-28 2021-08-24 International Business Machines Corporation Cleaning sensitive data from a diagnostic-ready clean copy
KR20200057515A (ko) * 2018-11-16 2020-05-26 현대자동차주식회사 차량의 보안 전략 제공 장치 및 방법
US10956587B2 (en) 2018-11-27 2021-03-23 International Business Machines Corporation Vehicle computer security
CN113268050A (zh) * 2021-05-19 2021-08-17 上海小鹏汽车科技有限公司 一种车辆诊断方法和装置
CN113867314B (zh) * 2021-09-24 2024-07-12 深圳市元征软件开发有限公司 故障码库的访问控制方法、装置、电子设备及存储介质
CN118107496A (zh) * 2022-11-30 2024-05-31 华为技术有限公司 车辆控制方法、车辆控制系统和相关设备

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE519649C2 (sv) * 2000-12-15 2003-03-25 Multicom Security Ab Övervakning av mobila enheter
DE102004041740A1 (de) * 2004-08-28 2006-03-02 Daimlerchrysler Ag Verbesserte Reparaturverifikation für elektronische Fahrzeugsysteme
DE102004042002A1 (de) * 2004-08-31 2006-03-02 Daimlerchrysler Ag Verbesserte Reparaturverifikation für elektronische Fahrzeugsysteme
DE102005022111A1 (de) * 2005-05-12 2006-11-16 Siemens Ag Verfahren zum Datenaustausch
DE102005039128A1 (de) * 2005-08-18 2007-02-22 Siemens Ag Sicherheitseinrichtung für elektronische Geräte
FR2894548B1 (fr) * 2005-12-13 2008-02-01 Renault Sas Procede de controle du fonctionnement d'un vehicule base sur une strategie de diagnostic embarque definissant differents types de pannes
CN100592686C (zh) * 2007-09-30 2010-02-24 奇瑞汽车股份有限公司 一种用于汽车诊断通讯中的安全验证方法
JP5152297B2 (ja) * 2010-10-28 2013-02-27 株式会社デンソー 電子装置
US8461846B2 (en) * 2010-10-29 2013-06-11 GM Global Technology Operations LLC Vehicle battery testing
CN103370250A (zh) * 2011-02-23 2013-10-23 丰田自动车株式会社 驾驶辅助装置、驾驶辅助方法以及驾驶辅助程序
US9280653B2 (en) * 2011-10-28 2016-03-08 GM Global Technology Operations LLC Security access method for automotive electronic control units
CN103529823B (zh) * 2013-10-17 2016-04-06 北奔重型汽车集团有限公司 一种用于汽车诊断系统的安全访问控制方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
IEEE 802.11
ISO-14229
ISO-14299

Also Published As

Publication number Publication date
CN105278518B (zh) 2018-12-18
US9477843B2 (en) 2016-10-25
CN105278518A (zh) 2016-01-27
US20150363606A1 (en) 2015-12-17

Similar Documents

Publication Publication Date Title
DE102015109057A1 (de) Sperren des Zugriffs auf vertrauliche Fahrzeugdiagnosedaten
DE102015111530A1 (de) Sicheres Bereitstellen von Diagnosedaten von einem Fahrzeug für einen entfernten Server unter Verwendung eines Diagnosewerkzeugs
DE102016101327B4 (de) Verfahren zum Reagieren auf einen nicht autorisierten elektronischen Zugriff auf ein Fahrzeug
EP2870565B1 (de) Überprüfung einer integrität von eigenschaftsdaten eines gerätes durch ein prüfgerät
DE102015111526A1 (de) Herstellen einer sicheren Übermittlung für Fahrzeugdiagnosedaten
DE102015116445A1 (de) Verteilen geheimer Schlüssel zum Verwalten eines Zugriffs auf ECUs
DE102017107879A1 (de) Nachrichten-Authentifizierungsbibliothek
Buquerin et al. A generalized approach to automotive forensics
DE102018104079A1 (de) Sichere end-to-end-fahrzeug-ecu-freischaltung in einer halb-offline-umgebung
DE102018100109A1 (de) Wartungs-management für carsharing-systeme
DE102014205460A1 (de) Fahrzeugeigenes Datenübertragungssystem und fahrzeugeigene Vermittlungsvorrichtung
DE112014000623T5 (de) Zugriffbeschränkungseinrichtung, Bord-Kommunikationssystem und Verfahren zur Kommunikationsbeschränkung
EP3130167B1 (de) Verfahren zum gesicherten zugriff auf ein feldgerät
WO2010026152A1 (de) Verfahren zur einräumung einer zugriffsberechtigung auf ein rechnerbasiertes objekt in einem automatisierungssystem, computerprogramm und automatisierungssystem
DE102019127100A1 (de) Verfahren und system zum bereitstellen von sicherheit eines fahrzeuginternen netzwerkes
DE102006031726A1 (de) Verfahren zum Bereitstellen einer Information über ein Fahrzeug und Fahrzeugdaten-Übertragungsvorrichtung
DE102018215636A1 (de) Verfahren, Computerprogramme und Vorrichtungen für eine Netzwerkkomponente und für ein Endgerät, Netzwerkkomponente, Endgerät, System
DE102018109080A1 (de) Systeme und verfahren zum verwenden mechanischer schwingung für ausserbandkommunikationen an bord eines fahrzeugs
EP3695337B1 (de) Verfahren und bestätigungsvorrichtung zur integritätsbestätigung eines systems
DE102019215858A1 (de) Cybersicherheits-penetrations-testplattform
DE102010021256A1 (de) Verfahren zur dynamischen Autorisierung eines mobilen Kommunikationsgerätes
DE102016200775A1 (de) Verfahren und Vorrichtung zum Schutz eines Fahrzeuges vor Cyberangriffen
DE102011007199A1 (de) Verfahren und Kommunikationseinrichtung zum kryptographischen Schützen einer Feldgerät-Datenkommunikation
DE102016221378A1 (de) Verfahren zum Übertragen von Daten
EP3844987A1 (de) Vorrichtung, verfahren und computerprogramm zum bereitstellen einer kommunikation für ein steuergerät eines fahrzeugs, verfahren, zentral-vorrichtung und computerprogramm zum bereitstellen einer aktualisierung, steuergerät, und fahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication