-
Die vorliegende Erfindung betrifft ein Verfahren zur Generierung eines Geheimnisses in einem Netzwerk mit mindestens zwei Teilnehmern sowie eine Netzwerkvermittlungsstellenüberbrückungseinheit zum direkten datenübertragenden Verbinden von unterschiedlichen Netzwerksegmenten.
-
Stand der Technik
-
Von der Anmelderin wurde in der nachveröffentlichten
DE 10 2015 207 220 A1 ein Verfahren zur Generierung eines Geheimnisses oder Schlüssels in einem Netzwerk vorgestellt, welches sich einer Überlagerung von Signalen zweier Teilnehmer auf einem gemeinsamen Übertragungsmedium bedient. Hierbei weist das Netzwerk mindestens einen ersten und einen zweiten Teilnehmer und einen Übertragungskanal zwischen mindestens dem ersten und dem zweiten Teilnehmer auf. Der erste und der zweite Teilnehmer können jeweils mindestens einen ersten Wert und einen zweiten Wert auf den Übertragungskanal geben. Der erste Teilnehmer bzw. der zweite Teilnehmer veranlassen eine erste Teilnehmerwertfolge bzw. eine zweite Teilnehmerwertfolge zur zueinander weitgehend synchronen Übertragung auf den Übertragungskanal. Auf Basis von Informationen über die erste Teilnehmerwertfolge bzw. die zweite Teilnehmerwertfolge sowie auf Basis einer aus einer Überlagerung der ersten Teilnehmerwertfolge mit der zweiten Teilnehmerwertfolge auf dem Übertragungskanal resultierenden Überlagerungswertfolge generieren der erste Teilnehmer bzw. der zweite Teilnehmer ein gemeinsames Geheimnis oder einen gemeinsamen kryptographischen Schlüssel.
-
Ein solches Verfahren eignet sich besonders gut für Kommunikationssysteme, die eine Übertragung dominanter und rezessiver Bits bzw. entsprechend dominanter und rezessiver Signale vorsehen, wobei sich ein dominantes Signal bzw. Bit eines Teilnehmers des Netzwerks gegen rezessive Signale bzw. Bits durchsetzt. Ein Beispiel hierfür ist CAN (Controller Area Network), bei welchem der Zugriff auf diesen Bus mithilfe einer bitweisen Bus-Arbitrierung erfolgt, die nach dieser Übertragungsmethode mit dominanten und rezessiven Bits arbeitet. Weitere Beispiele sind TTCAN, CAN FD, LIN sowie I2C.
-
Schwierigkeiten bereitet der Einsatz eines solchen Verfahrens jedoch in Netzwerken, bei denen einzelne Netzwerksegmente über Vermittlungsstellen (sog. Gateways) verbunden sind. In diesem Fall gibt es nicht mehr ein von allen Teilnehmern gemeinsam genutztes Übertragungsmedium, sondern in der Regel ein gemeinsamen genutztes Übertragungsmedium pro Netzwerksegment. Dementsprechend sind Teilnehmer aus unterschiedlichen Netzwerksegmenten nicht ohne weiteres in der Lage, ein gemeinsames Geheimnis zu etablieren, ohne dass die zugehörige Vermittlungsstelle bzw. Vermittlungsstellen davon ebenfalls Kenntnis erlangt bzw. erlangen.
-
Offenbarung der Erfindung
-
Erfindungsgemäß werden ein Verfahren zur Generierung eines Geheimnisses in einem Netzwerk mit mindestens zwei Teilnehmern sowie eine Netzwerkvermittlungsstellenüberbrückungseinheit zum direkten physikalischen und datenübertragenden Verbinden von unterschiedlichen Netzwerksegmenten mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung. Eine Netzwerkvermittlungsstellenüberbrückungseinheit ist dabei insbesondere eine Einheit, die dazu eingerichtet ist, eine Vermittlungsstelle eines Netzwerks zu überbrücken.
-
Im Rahmen der Erfindung wird zum Generieren eines Geheimnisses in einem Netzwerk mit mindestens zwei Teilnehmern (z.B. ein Steuergerät, ein Sensor oder ein Aktor, insbesondere eines Kraftfahrzeugs, einer Industrieanlage, eines Heimautomationsnetzes usw.), die in unterschiedlichen Netzwerksegmenten angeordnet sind, mit einer Vermittlungsstelle, wobei die unterschiedlichen Netzwerksegmente über die Vermittlungsstelle datenübertragend verbindbar sind, der Einsatz einer Netzwerkvermittlungsstellenüberbrückungseinheit zum direkten physikalischen und datenübertragenden Verbinden der unterschiedlichen Netzwerksegmente für eine einer Schlüsselgenerierung dienende Netzwerkkommunikation vorgeschlagen. Zur Schlüsselgenerierung wird die Netzwerkvermittlungsstellenüberbrückungseinheit so betrieben, dass die Netzwerksegmente der wenigstens zwei Teilnehmer direkt datenübertragend verbunden sind. Dies wird im Folgenden auch als überbrückender Betriebsmodus bezeichnet. Die Erfindung eignet sich prinzipiell auch dazu, mehr als zwei Netzwerksegmente (ggf. mit mehr als einer Netzwerkvermittlungsstellenüberbrückungseinheit) miteinander zu verbinden.
-
Die vorgestellte Lösung ermöglicht die Generierung eines gemeinsamen Geheimnisses und von aus dem Geheimnis abgeleiteten kryptografischen Schlüsseln in Netzwerk-Topologien, in denen die beiden betreffenden Kommunikationspartner durch ein oder mehrere Vermittlungsstellen voneinander getrennt sind, indem für die Geheimnisgenerierung eine direkte physikalische Datenverbindung der Netzwerkteilnehmer unter Umgehung der Vermittlungsstelle(n) von der Netzwerkvermittlungsstellenüberbrückungseinheit hergestellt wird.
-
Mit der Erfindung ist es somit möglich, zwischen zwei verschiedenen Teilnehmern eines Netzwerks ein gemeinsames Geheimnis zu etablieren, welches insbesondere zur Generierung eines symmetrischen kryptographischen Schlüssels herangezogen werden kann. Ein solches gemeinsames Geheimnis kann aber grundsätzlich auch zu anderen Zwecken als für kryptographische Schlüssel im engeren Sinne genutzt werden, z.B. als One-Time-Pad.
-
Besonders vorteilhaft kann das Verfahren in einem Netzwerk eingesetzt werden, in dem es einen dominanten Wert (physikalisch: ein dominantes Signal) gibt, der sich durchsetzt, wenn nur ein Teilnehmer ihn auf dem Übertragungskanal anlegt, und einen rezessiven Wert (physikalisch: ein rezessives Signal), der auf dem Übertragungskanal nur resultiert, wenn beide bzw. alle Teilnehmer einen rezessiven Wert übertragen. Aufgrund der hiermit klar vorgegebenen Überlagerungsregeln können die Teilnehmer eines solchen Netzwerks aus resultierenden Überlagerungswertfolgen besonders einfach Informationen zur Geheimnisgenerierung ableiten.
-
Alternativ kann die Übertragung eines rezessiven Wertes von mindestens einem der Teilnehmer auch dadurch ersetzt werden, dass an dieser Stelle der Wertfolge bzw. als einer der mindestens zwei möglichen Werte gar nichts übertragen wird.
-
Vorteilhafterweise unterstützt die Netzwerkvermittlungsstellenüberbrückungseinheit neben dem überbrückenden Betriebsmodus auch einen Betriebsmodus, in welchem die Netzwerksegmente über die Vermittlungsstelle datenübertragend verbunden sind. Dieser Betriebsmodus wird im Folgenden auch als inoperativer Betriebsmodus bezeichnet und wird für eine normale bzw. nicht einer Geheimnisgenerierung dienende Netzwerkkommunikation (Normalbetrieb) verwendet. Zweckmäßigerweise wird nach Abschluss der Geheimnisgenerierung und für die nicht der Geheimnisgenerierung dienende Netzwerkkommunikation wieder in den inoperativen Betriebsmodus geschaltet.
-
Vorzugsweise wird vom überbrückenden Betriebsmodus nach Maßgabe einer Auslösebedingung in den inoperativen Betriebsmodus geschaltet. Die Auslösebedingung kann beispielsweis einen Zeitablauf und/oder das Erkennen des Endes der der Geheimnisgenerierung dienenden Netzwerkkommunikation umfassen.
-
Vorteilhafterweise unterstützt die Netzwerkvermittlungsstellenüberbrückungseinheit auch einen Betriebsmodus, in welchem die Netzwerksegmente nicht (also auch nicht über die Vermittlungsstelle) datenübertragend verbunden sind. Dieser Betriebsmodus wird im Folgenden auch als trennender Betriebsmodus bezeichnet und kann beispielsweise verwendet werden, wenn ein Fehler in einem Netzwerksegment erkannt wird.
-
Zweckmäßigerweise weist die Netzwerkvermittlungsstellenüberbrückungseinheit alle (aktiven und passiven) elektrischen Bauteile (z.B. Anschlüsse, Schalter, (Abschluss-)Widerstände, Kondensatoren usw.) auf, um alle von ihr unterstützten Betriebsmodi einem Netzwerkstandard entsprechend zu verwirklichen.
-
Vorzugsweise wird ein Umschalten zwischen jeweils zwei der von der Netzwerkvermittlungsstellenüberbrückungseinheit unterstützten Betriebsmodi durch einen Teilnehmer des Netzwerks, durch die Vermittlungsstelle und/oder durch eine netzwerkfremde Einheit (weitere, nicht in das Netzwerk integrierte Komponente (bspw. Diagnosetester)) ausgelöst. In diesem Sinne weist die Vermittlungsstelle zweckmäßigerweise eine Umschalteingangsschnittstelle auf, über welche ein einen Umschaltvorgang auslösender Befehl empfangbar ist.
-
Die Umschalteingangsschnittstelle kann beispielsweise in die Netzwerkschnittstelle integriert sein, so dass ein Umschaltbefehl beispielsweise als Netzwerkpaket ausgebildet sein kann. Zum Auslösen eines Umschaltvorgangs eignet sich insbesondere, aber nicht ausschließlich, der Empfang einer bestimmten Nachricht oder der Empfang eines bestimmten Wertes in einem vorgegebenen Feld (z.B. Message Identifier) in einer Nachricht.
-
Vorzugsweise wird der Betriebsmodus der Netzwerkvermittlungsstellenüberbrückungseinheit automatisch in Abhängigkeit von einem Betriebszustand eines das Netzwerk aufweisenden Systems eingestellt. Bei dem System kann es sich beispielsweise um ein Fahrzeug, eine Anlage, ein Gebäude usw. handeln. Befindet sich das Netzwerk in einem Fahrzeug, ist vorzugsweise vorgesehen, dass der Betriebsmodus der Netzwerkvermittlungsstellenüberbrückungseinheit vom Betriebszustand des Fahrzeugs (bspw. Fahrzeugstart, Nachlauf oder End-of-Line Programming) abhängt. Dann ist es insbesondere möglich, dass mit Beginn des entsprechenden Fahrzeugbetriebszustands die Vermittlungsstelle(n) überbrückt ist bzw. sind, bis das Verfahren zur Geheimnisgenerierung abgeschlossen ist.
-
Zusätzlich ist es zweckmäßig, dass einer der wenigstens zwei Teilnehmer überprüft, ob eine direkte physikalische Kommunikationsverbindung zwischen ihm und einem anderen der wenigstens zwei Teilnehmer besteht, insbesondere vor der Generierung des Geheimnisses. Verfügen dabei die Teilnehmer schon über einen gemeinsamen Schlüssel (und möchten bspw. ein Re-Keying, also eine Erneuerung bzw. Auffrischung des gemeinsamen Schlüssels durchführen), kann der vorhandene Schlüssel beispielsweise für ein sicheres Challenge-Response-Verfahren genutzt werden. Eine Laufzeit- und/oder Signalpegelmessung kann bspw. Aufschluss darüber geben, ob eine Vermittlungsstelle zwischengeschaltet ist oder nicht.
-
Alternativ überträgt der erste Teilnehmer eine Netzwerknachricht und der zweite Teilnehmer fügt dann Daten in dieselbe Netzwerknachricht (z.B. im Payload) ein. Ein Gateway empfängt nämlich in der Regel eine komplette Nachricht, bevor diese auf einem anderen Kanal weitergeleitet wird. Daher und auf Grund des Timings ist das Einfügen in den Payloadteil also nur möglich, falls eine direkte physikalische Verbindung zwischen dem ersten Teilnehmer und dem zweiten Teilnehmer besteht (also keine Vermittlungsstelle zwischengeschaltet ist).
-
Um eine Zuordnung der eingefügten Daten zu dem zweiten Teilnehmer zu erlauben, sind diese Daten vorzugsweise authentifiziert. Authentifizierte Daten können eine mit einem bereits vorhandenen kryptographischen Schlüssel signierte Nachricht oder nur eine Signatur umfassen. Ein bereits vorhandener Schlüssel kann insbesondere zu einem früheren Zeitpunkt aus einem früheren Geheimnis zwischen dem ersten und dem zweiten Teilnehmer erzeugt worden sein.
-
Vorzugsweise ist der wenigstens einer der wenigstens zwei Netzwerkteilnehmer dazu eingerichtet, die Art der Netzwerkkommunikation in Abhängigkeit vom Ergebnis der Überprüfung zu wählen. Vorzugsweise wird eine Geheimnisgenerierung nur dann begonnen, wenn sich die Netzwerkvermittlungsstellenüberbrückungseinheit in dem überbrückenden Betriebsmodus befindet. Es kann demnach vorgesehen sein, dass ein Teilnehmer zunächst einen Umschaltbefehl an die Netzwerkvermittlungsstellenüberbrückungseinheit ausgibt und anschließend deren Betriebsmodus überprüft und erst die Geheimnisgenerierung beginnt, wenn der Umschaltvorgang erfolgreich war.
-
Die Erfindung ist besonders gut in einem CAN-, TTCAN- oder CAN-FD-Bussystem umzusetzen. Hier wird ein rezessiver Signalpegel durch einen dominanten Signalpegel verdrängt. Die Überlagerung von Werten bzw. Signalen der Teilnehmer folgt damit festgelegten Regeln, welche die Teilnehmer zur Ableitung von Informationen aus dem überlagerten Wert bzw. Signal und dem von ihnen übertragenen Wert bzw. Signal nutzen können. Auch andere Kommunikationssysteme wie bspw. LIN und I2C sind für einen Einsatz dieser Verfahren gut geeignet.
-
Alternativ kann das Verfahren aber zum Beispiel auch in einem (ggf. auch drahtlosen) Netzwerk mit Amplitudenumtastung, z.B. On-Off-Keying, eingesetzt werden. Hier ist ebenfalls die Überlagerung festgelegt, indem den Teilnehmern als Signale „Übertragung“ und „keine Übertragung“ zur Auswahl stehen und das Überlagerungssignal dem Signal „Übertragung“ entspricht, wenn einer oder beide der Teilnehmer übertragen, und dem Signal „keine Übertragung“ entspricht, wenn beide Teilnehmer nicht übertragen.
-
Vorzugsweise wird ein Verfahren zur Generierung eines Geheimnisses basierend auf einer Überlagerung von dominanten und rezessiven Signalen, beispielsweise gemäß der
DE 10 2015 207 220 A1 eingesetzt, wobei das Netzwerk mindestens einen ersten und einen zweiten Teilnehmer und einen Übertragungskanal zwischen mindestens dem ersten und dem zweiten Teilnehmer aufweist. Der erste und der zweite Teilnehmer können jeweils mindestens einen ersten Wert und einen zweiten Wert auf den Übertragungskanal geben. Der erste Teilnehmer bzw. der zweite Teilnehmer veranlassen eine erste Teilnehmerwertfolge bzw. eine zweite Teilnehmerwertfolge zur zueinander weitgehend synchronen Übertragung auf den Übertragungskanal. Auf Basis von Informationen über die erste Teilnehmerwertfolge bzw. die zweite Teilnehmerwertfolge sowie auf Basis einer aus einer Überlagerung der ersten Teilnehmerwertfolge mit der zweiten Teilnehmerwertfolge auf dem Übertragungskanal resultierenden Überlagerungswertfolge generieren der erste Teilnehmer bzw. der zweite Teilnehmer ein gemeinsames Geheimnis.
-
Um eine Überlagerungswertfolge zu erhalten, muss die Übertragung von Werten unterschiedlicher Teilnehmer überschneidende Zeiträume haben (d.h. im Sinne dieser Anmeldung weitgehend synchron sein), so dass eine Überlagerung der einzelnen Signale einer Signalfolge auf dem Übertragungskanal erfolgt, insbesondere so, dass sich das Signal entsprechend dem n-ten logischen Wert bzw. Bit des ersten Teilnehmers mit dem Signal entsprechend dem n-ten logischen Wert bzw. Bit des zweiten Teilnehmers zumindest teilweise überlagert. Diese Überlagerung sollte jeweils ausreichend lange sein dafür, dass die Teilnehmer die Überlagerung erfassen bzw. den entsprechenden Überlagerungswert ermitteln können.
-
Der Überlagerungswert kann dabei durch Arbitrierungsmechanismen oder durch physikalische Signalüberlagerung bestimmt sein. Mit Arbitrierungsmechanismus ist beispielsweise der Fall gemeint, dass ein Teilnehmer einen rezessiven Pegel angelegt hat, aber auf dem Bus einen dominanten Pegel detektiert und somit die weitere Übertragung unterlässt.
-
Aus der resultierenden Wertfolge der Überlagerung (d.h. Überlagerungswertfolge) und der eigenen Wertfolge (d.h. Teilnehmerwertfolge) können die Teilnehmer dann einen Schlüssel generieren, der einem außenstehenden Angreifer gegenüber geheim ist. Grund dafür ist, dass der außenstehende Angreifer, der beispielsweise die auf dem gemeinsam genutzten Übertragungskanal anliegenden effektiven Gesamtsignale abhören kann, nur die Überlagerung der Wertfolgen sieht, aber nicht die Informationen über die einzelnen Wertfolgen der Teilnehmer hat. Damit verfügen die Teilnehmer über mehr Informationen, die sie gegenüber dem Angreifer zur Generierung eines geheimen Schlüssels nutzen können.
-
Eine Weiterbildung des Verfahren zur Geheimnisgenerierung zwischen den Teilnehmern basierend auf einer Überlagerung von dominanten und rezessiven Signalen verlangt, dass die erste Teilnehmerwertfolge und die zweite Teilnehmerwertfolge jeweils eine erste Teilwertfolge und eine zweite Teilwertfolge aufweisen, wobei die zweite Teilwertfolge aus der ersten Teilwertfolge durch Invertieren hervorgeht, d.h. indem erste Werte zu zweiten Werten getauscht werden und zweite Werte zu ersten Werten getauscht werden. Die erste Teilwertfolge und die zweite Teilwertfolge können nacheinander übertragen werden. Alternativ wird ein bevorzugtes Verfahren vorgeschlagen, bei dem die Werte der ersten und der zweiten Teilwertfolge besonders sortiert zu einer Teilnehmerwertfolge zusammengesetzt werden, wobei bereits wenigstens ein Wert der zweiten Teilwertfolge übertragen wird, bevor alle Werte der ersten Teilwertfolge übertragen wurden. Dies ermöglicht, bereits während des Sendens der Teilnehmerwertfolge und Empfangens der Überlagerungswertfolge mit dem Auswerten und Geheimnisbzw. Schlüsselgenerieren zu beginnen. Die Lösung wird weiterhin unabhängig von Puffer- bzw. Cachespeichergrößen, da nicht komplette Teilwertfolgen gespeichert werden müssen, bevor mit der Auswertung und Geheimnisgenerierung begonnen werden kann.
-
Eine erfindungsgemäße Netzwerkvermittlungsstellenüberbrückungseinheit zum direkten physikalischen und datenübertragenden Verbinden von unterschiedlichen Netzwerksegmenten ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
-
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
-
Die Erfindung ist anhand eines Ausführungsbeispiels in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
-
Kurze Beschreibung der Zeichnungen
-
1 zeigt schematisch ein Netzwerk mit vier Teilnehmern, einer Vermittlungsstelle und einer Vermittlungsstellenüberbrückungseinheit, wie es der Erfindung zugrunde liegen kann.
-
2 zeigt schematisch drei unterschiedliche Betriebsmodi der Vermittlungsstellenüberbrückungseinheit aus 1.
-
Ausführungsform(en) der Erfindung
-
In 1 ist ein Netzwerk 1, wie es der Erfindung zugrunde liegen kann, schematisch und schaltplanartig dargestellt. Das Netzwerk ist als Zweidraht-Netzwerk realisiert und verfügt über vier Netzwerkteilnehmer 10, 20, 30 und 40, die teilweise direkt und teilweise über eine Vermittlungsstelle 50 datenübertragend verbunden sind. Dabei bilden die Netzwerkteilnehmer 10 und 20 und die Vermittlungsstelle 50, die direkt datenübertragend miteinander verbunden sind, ein erstes Netzwerksegment 11, und die Netzwerkteilnehmer 30 und 40 und die Vermittlungsstelle 50, die direkt datenübertragend miteinander verbunden sind, ein zweites Netzwerksegment 12. Die Vermittlungsstelle 50 ist dazu eingerichtet, die Netzwerksegmente 11 und 12 datenübertragend zu verbinden. Weiterhin ist zwischen den Netzwerksegmenten 11, 12 und parallel zur Vermittlungsstelle 50 eine Netzwerkvermittlungsstellenüberbrückungseinheit 60 eingeschleift. Insbesondere kann ein Netzwerk an den gestrichelt dargestellten Verbindungen aufgebrochen werden, um die Netzwerkvermittlungsstellenüberbrückungseinheit 60 einzuschleifen. Die Netzwerkvermittlungsstellenüberbrückungseinheit 60 kann dazu z.B. vier Netzwerkschnittstellen aufweisen.
-
Unter Bezug auf 2, in der unterschiedliche Betriebsmodi der Netzwerkvermittlungsstellenüberbrückungseinheit 60 durch unterschiedliche Leitungsführungen veranschaulicht sind, wird nun die Funktionsweise näher erläutert. Die Netzwerkvermittlungsstellenüberbrückungseinheit 60 weist jedoch alle aktiven und passiven elektrischen Bauteile (z.B. Anschlüsse bzw. Netzwerkschnittstellen, Schalter, (Abschluss-)Widerstände, Kapazitäten, Induktivitäten, Logikbausteine (z.B. µP, ASIC) usw.) auf, um die Betriebsmodi einem Netzwerkstandard entsprechend zu verwirklichen.
-
Insbesondere ist die Netzwerkvermittlungsstellenüberbrückungseinheit 60 dazu eingerichtet, in einem ersten, inoperativen Betriebsmodus und einem zweiten, überbrückenden Betriebsmodus betrieben zu werden. Im gezeigten Beispiel ist die Netzwerkschnittstellenüberbrückungseinheit 60 weiterhin dazu eingerichtet, in einem optionalen dritten, trennenden Betriebsmodus betrieben zu werden.
-
Der inoperative Betriebsmodus ist in 2.1 veranschaulicht. In dem inoperativen Betriebsmodus entfaltet die Netzwerkschnittstellenüberbrückungseinheit 60 keine Wirkung, so dass die Netzwerksegmente 11 und 12 über die Vermittlungsstelle 50 datenübertragend verbunden sind.
-
Der überbrückende Betriebsmodus ist in 2.2 veranschaulicht. In dem überbrückenden Betriebsmodus werden die Netzwerksegmente 11 und 12 direkt physikalisch und datenübertragend verbunden, wobei die Vermittlungsstelle 50 überbrückt ist.
-
Der trennende Betriebsmodus ist in 2.3 veranschaulicht. In dem trennenden Betriebsmodus schließlich ist die Netzwerkvermittlungsstellenüberbrückungseinheit 60 so geschaltet, dass die Netzwerksegmente 11 und 12 nicht datenübertragend miteinander verbunden sind, sondern an dem entsprechenden Anschluss beispielsweise durch einen Abschlusswiderstand abgeschlossen sind.
-
Zum Auslösen eines Betriebsmoduswechsels eignet sich insbesondere, aber nicht ausschließlich, der Empfang einer bestimmten Nachricht oder der Empfang eines bestimmten Wertes in einem vorgegebenen Feld in einer Nachricht über das Netzwerk. In diesem Sinne ist in wenigstens eine der Netzwerkschnittstellen, vorzugsweise eine oder beide der mit den Netzwerksegmenten 11, 12 verbundenen Netzwerkschnittstellen, eine Umschalteingangsschnittstelle integriert. Es versteht sich, dass diese Integration zweckmäßigerweise softwareseitig erfolgt; eine Hardwareumsetzung ist jedoch ebenso möglich.
-
Am Beispiel eines CAN-Netzwerks kann sich folgender vorteilhafter Ablauf ergeben:
Zunächst befindet sich das Netzwerk 1 im Grundzustand bzw. Normalbetrieb, wobei sich die Netzwerkvermittlungsstellenüberbrückungseinheit 60 gemäß 2.1 im inoperativen Betriebsmodus befindet. Die Netzwerkvermittlungsstellenüberbrückungseinheit 60 leitet hier alle Nachrichten, die sie empfängt, weiter, wobei sie zweckmäßigerweise keine Veränderung durchführt.
-
Die Netzwerkvermittlungsstellenüberbrückungseinheit 60 empfängt eine spezielle Umschaltnachricht, was z.B. durch eine Nachricht mit einem bestimmten Message-Identifier realisiert wird, und schaltet in den überbrückenden Betriebsmodus gemäß 2.2 um. Dies kann so schnell erfolgen, dass bereits der Rest der Umschaltnachricht (d.h. nach dem Message-Identifier) Daten zur Geheimnisgenerierung oder zum Überprüfen des Betriebsmodus enthalten kann. Alternativ oder zusätzlich können die der Umschaltnachricht folgenden Nachrichten Daten zum Überprüfen des Betriebsmodus bzw. zur Geheimnisgenerierung enthalten.
-
Schließlich wird nach Maßgabe einer Auslösebedingung automatisch in den inoperativen Betriebsmodus zurückgeschaltet, wobei die Auslösebedingung einen Zeitablauf und/oder einen Umschaltbefehl und/oder das Erkennen des Endes der der Geheimnisgenerierung dienenden Netzwerkkommunikation umfassen kann. Das Ende der der Geheimnisgenerierung dienenden Netzwerkkommunikation kann insbesondere dann besonders einfach erkannt werden, wenn die gesamte der Geheimnisgenerierung dienende Netzwerkkommunikation in der Umschaltnachricht abgewickelt wird, oder alternativ, wenn die gesamte der Geheimnisgenerierung dienende Netzwerkkommunikation in Umschaltnachrichten versandt wird, wobei nach Übertragen jeder Umschaltnachricht wieder automatisch in den inoperativen Betriebsmodus zurückgeschaltet wird.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102015207220 A1 [0002, 0024]