DE102016124352A1 - Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren - Google Patents

Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren Download PDF

Info

Publication number
DE102016124352A1
DE102016124352A1 DE102016124352.3A DE102016124352A DE102016124352A1 DE 102016124352 A1 DE102016124352 A1 DE 102016124352A1 DE 102016124352 A DE102016124352 A DE 102016124352A DE 102016124352 A1 DE102016124352 A1 DE 102016124352A1
Authority
DE
Germany
Prior art keywords
test mode
message authentication
authentication code
target device
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016124352.3A
Other languages
English (en)
Inventor
Yusuke Satoh
Serina EGAWA
Yoshihiko KATOH
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2016191550A external-priority patent/JP6418217B2/ja
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Publication of DE102016124352A1 publication Critical patent/DE102016124352A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Informationssammelverfahren enthält ein Bestimmen, ob ein Fahrzeug vordefinierte Bedingungen erfüllt, wenn eine Zielvorrichtung eine Testmodusstartanfrage von einer Sammelvorrichtung empfängt, und ein Starten des Testmodus, wenn ermittelt wird, dass das Fahrzeug die vordefinierten Bedingungen erfüllt. In dem Testmodus wird ein Aktualisieren eines vordefinierten Zählers angehalten. Die Sammelvorrichtung erzeugt einen ersten MAC auf Basis des Zählwerts, der von der Zielvorrichtung empfangen wird, und überträgt eine Angriffsinformationserfassungsanfrage mit dem ersten MAC zu der Zielvorrichtung. Falls die Angriffsinformationserfassungsanfrage mit dem ersten MAC von der Sammelvorrichtung empfangen wird, erzeugt die Zielvorrichtung auf Basis des angehaltenen Zählwerts einen zweiten MAC, ermittelt, dass die Host-Vorrichtung in einem Fall normal ist, in dem der erste MAC und der zweite MAC miteinander übereinstimmen, und überträgt die Angriffsinformation zu der Sammelvorrichtung.

Description

  • HINTERGRUND DER ERFINDUNG
  • 1. Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft ein Kommunikationssystem, in dem eine Mehrzahl von elektronischen Steuervorrichtungen und eine Sammelvorrichtung, wie etwa eine zentrale Vorrichtung oder ein externes Gerät, über ein Netzwerk verbunden sind und ein Informationssammelverfahren, das in dem Kommunikationssystem ausgeführt wird.
  • 2. Beschreibung des Stands der Technik
  • Beispielsweise offenbart die japanischen Patentanmeldung JP 2005-165541 A eine Technik, bei welcher in einem Kommunikationssystem, in dem elektronische Steuervorrichtungen (Überwachungszielsystem) und eine zentrale Vorrichtung (Schadenanalysevorrichtung) als eine Sammelvorrichtung über ein Netzwerk verbunden sind, die zentrale Vorrichtung Informationen von elektronischen Steuervorrichtung sammelt, die durch einen unautorisierten Zugriff angegriffen wurden, um eine Schadenssituation zu analysieren.
  • Bei dem in der JP 2005-165541 A offenbarten Kommunikationssystem werden ein Angriff, bei dem eine elektronische Steuervorrichtung durch einen unautorisierten Zugriff beschädigt wurde, und ein Angriff, bei dem ein unautorisierter Zugriff stattfindet, aber eine elektronische Steuervorrichtung nicht beschädigt ist, automatisch in Sammelinformationen klassifiziert.
  • KURZFASSUNG DER ERFINDUNG
  • Jedoch ist es bei dem oben beschriebenen Kommunikationssystem nicht möglich, eine Abweichung, die aus einem Angriff mit unautorisierten Zugriff resultiert, und eine Abweichung, die nicht aus einem Angriff mit einem unautorisierten Zugriff resultiert, zu klassifizieren. Beispielsweise wird berücksichtigt, dass eine Abweichung eines Nachrichtenauthentifizierungskodes verursacht wird, auf Basis eines Sicherheitsangriffs, wie einem unautorisierten Zugriff, und auf Basis eines Schaltungsfehlers oder ähnlichem, aber es ist nicht möglich, die bei den jeweiligen Abweichungen gespeicherten Angriffsinformationen zu klassifizieren.
  • Aus diesem Grund sammelt die Sammelvorrichtung alle Teile bzw. Bestandteile der Angriffsinformation von einer Mehrzahl von elektronischen Steuervorrichtungen ohne Angriffsinformationen, die bei einer Abweichung eines Authentifizierungsprozesses aufgrund eines Schaltungsfehlers oder ähnlichem gespeichert wurden, auszuschließen, wodurch eine Verschlechterung der Analysegenauigkeit der Angriffsinformation durch die Sammelvorrichtung oder ähnlichem resultiert.
  • Die Erfindung schafft ein Kommunikationssystem und ein Informationssammelverfahren, das bei einem Kommunikationssystem, in dem eine Mehrzahl von elektronischen Steuervorrichtungen und eine Sammelvorrichtung über ein Netzwerk verbunden sind, zulassen kann, dass eine Sammelvorrichtung Angriffsinformationen von einer Mehrzahl von elektronischen Steuervorrichtung sammelt, während Angriffsinformationen ausgeschlossen werden, die bei einer Abweichung eines Authentifizierungsprozesses aufgrund eines Schaltungsfehler oder ähnlichem gespeichert werden.
  • Ein erster Aspekt der Erfindung ist ein Informationssammelverfahren, das in einem Kommunikationssystem ausgeführt wird, das eine Mehrzahl von elektronischen Steuervorrichtungen, die in einem Fahrzeug angebracht sind, und derart konfiguriert sind, um einen Authentifizierungsprozess unter Verwendung eines Zählwerts eines vordefinierten Zählers durchzuführen, der in einer vordefinierten Weise aktualisiert wird, und um Angriffsinformationen bei einer Abweichung des Authentifizierungsprozesses zu speichern, und eine Sammelvorrichtung enthält, die außerhalb des Fahrzeugs ausgebildet ist, und derart konfiguriert ist, um Angriffsinformationen der Mehrzahl von elektronischen Steuervorrichtungen zu sammeln. Das Informationssammelverfahren enthält ein Übertragen einer Testmodusstartanfrage von der Sammelvorrichtung auf eine Zielvorrichtung, die einer Angriffsinformationserfassung ausgesetzt ist, wobei die Zielvorrichtung eine aus der Mehrzahl von elektronischen Steuervorrichtung ist. Ein Ermitteln, ob das Fahrzeug die vordefinierten Bedingungen erfüllt, wenn die Zielvorrichtung die Testmodusstartanfrage von der Sammelvorrichtung empfängt, und ein Zulassen, dass die Zielvorrichtung den Testmodus startet, wenn ermittelt wird, dass das Fahrzeug die vordefinierten Bedingungen erfüllt. In dem Testmodus wird ein Betrieb des Zählers angehalten, der Zählwert des angehaltenen Zählers zu der Sammelvorrichtung übertragen, die Sammelvorrichtung erzeugt einen ersten Nachrichtenauthentifizierungskode auf Basis des Zählwerts, der von der Zielvorrichtung empfangen wird, und überträgt eine Angriffsinformationserfassungsanfrage mit dem ersten Nachrichtenauthentifizierungskode zu der Zielvorrichtung, und falls die Angriffsinformationserfassungsanfrage mit dem ersten Nachrichtenauthentifizierungskode von der Sammelvorrichtung empfangen wird, erzeugt die Zielvorrichtung einen zweiten Nachrichtenauthentifizierungskode auf Basis des Zählwerts des angehaltenen Zählers. Die Zielvorrichtung ermittelt, ob der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode miteinander übereinstimmen, in einem Fall, in dem der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode miteinander übereinstimmen, ermittelt die Zielvorrichtung, dass die Zielvorrichtung normal ist, und überträgt die Angriffsinformation zu der Sammelvorrichtung. In einem Fall, in dem der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode nicht miteinander übereinstimmen, ermittelt die Zielvorrichtung, dass die Zielvorrichtung nicht normal ist, und nachdem die Angriffsinformation zu der Sammelvorrichtung übertragen wird, oder nachdem ermittelt wird, dass die Zielvorrichtung nicht normal ist, startet die Zielvorrichtung den Betrieb des Zählers und beendet den Testmodus.
  • Bei dem ersten Aspekt wird in dem vordefinierten Testmodus der Zählwert des vordefinierten Zählers, der an der Seite der elektronischen Steuervorrichtung ausgebildet ist, von der Zielvorrichtung zu der Sammelvorrichtung, wie etwa einer zentralen Vorrichtung oder einem externen Gerät, übertragen. Dann erzeugen sowohl die Sammelvorrichtung und die Zielvorrichtung jeweils die Nachrichtenauthentifizierungskodes aus dem gleichen Zählwert und die Zielvorrichtung ermittelt die Übereinstimmung/Nicht-Übereinstimmung von den beiden Nachrichtenauthentifizierungskodes, um die Möglichkeit einer Übertragung der Angriffsinformation zu der Sammelvorrichtung zu ermitteln.
  • Auf diese Weise werden die Nachrichtenauthentifizierungskodes, die jeweils aus dem gleichen Zählwert erzeugt wurden, verglichen und falls der Nachrichtenauthentifizierungskode der Zielvorrichtung nicht mit dem richtigen Nachrichtenauthentifizierungskode, der von der Sammelvorrichtung erzeugt wird, übereinstimmt, ist es möglich zu ermitteln, dass der Nachrichtenauthentifizierungskode der Zielvorrichtung nicht normal ist bzw. abweicht. Da die Angriffsinformation, die in der Zielvorrichtung gespeichert wird, wahrscheinlich eine Angriffsinformation ist, die bei einer Abweichung des Authentifizierungsprozesses aufgrund eines Schaltungsfehlers oder ähnlichem gespeichert wird, wird in diesem Fall demzufolge die Angriffsinformation nicht zu der Sammelvorrichtung übertragen. Nur in einem Fall, in dem beide Nachrichtenauthentifizierungskodes miteinander übereinstimmten, wird die Angriffsinformation, die in der Zielvorrichtung gespeichert wird, zu der Sammelvorrichtung übertragen. Damit ist es möglich, Angriffsinformationen, die bei einer Abweichung des Authentifizierungsprozesses aufgrund eines Schaltungsfehlers oder ähnlichem gespeichert wurden, auszuschließen und die Analysegenauigkeit der Angriffsinformation durch die zentrale Vorrichtung oder ähnlichem zu verbessern.
  • Bei dem ersten Aspekt kann die Zielvorrichtung eine Steuerung derart durchführen, dass das Fahrzeug, in dem die Zielvorrichtung angebracht bzw. befestigt ist, in einer Phase von dem Start bis zu dem Ende des Testmodus nicht fahren kann.
  • Gemäß des oben beschriebenen Aspekts ist es zudem möglich, ein Fahrzeug in einer Situation einer schwachen Sicherheit, beispielsweise aufgrund eines Anhaltens des Zählers, an einem Bewegen (Fahren) aus einem sicheren Platz bzw. Stelle, und damit einem Risiko eines Sicherheitsangriffs ausgesetzt zu sein, zu hindern.
  • Bei dem ersten Aspekt kann die Zielvorrichtung, wenn ermittelt wird, dass das Fahrzeug die vordefinierten Bedingungen erfüllt, bevor der Testmodus endet, den Betrieb des Zählers zu dem Zeitpunkt der Ermittlung starten und den Testmodus beenden.
  • Gemäß des obigen Aspekts ist es zudem möglich, ein Fahrzeug in einer Situation einer schwachen Sicherheit, beispielsweise aufgrund eines Anhaltens des Zählers, daran zu hindern, einem Risiko eines Sicherheitsangriffs in einer Situation einer schwachen Sicherheit ausgesetzt zu sein, selbst wenn das Fahrzeug sich aus einem sicheren Platz bzw. von einer sicheren Stelle bewegt (fährt).
  • Ein zweiter Aspekt der Erfindung bildet ein Kommunikationssystem aus, das eine Mehrzahl von elektronischen Steuervorrichtungen, die in einem Fahrzeug befestigt sind, und derart konfiguriert sind, um einen Authentifizierungsprozess unter Verwendung eines Zählwerts eines vordefinierten Zählers durchzuführen, der nach Bedarf aktualisiert ist, und um Angriffsinformationen bei einer Abweichung des Authentifizierungsprozesses zu speichern, und eine Sammelvorrichtung enthält, die außerhalb des Fahrzeugs ausgebildet ist, und derart konfiguriert ist, um Angriffsinformationen von der Mehrzahl von elektronischen Steuervorrichtungen zu sammeln. Die Sammelvorrichtung ist derart konfiguriert, um eine Testmodusstartanfrage zu einer Zielvorrichtung zu übertragen, die einer Angriffsinformationserfassung ausgesetzt ist, wobei die Zielvorrichtung eine von der Mehrzahl von elektronischen Steuervorrichtungen ist. Die Zielvorrichtung ist derart konfiguriert, um zu ermitteln, ob das Fahrzeug vordefinierte Bedingungen erfüllt, wenn die Testmodusstartanfrage von der Sammelvorrichtung empfangen wird, und wenn ermittelt wird, dass das Fahrzeug die vordefinierten Bedingungen erfüllt, den Testmodus zu starten, um einen Betrieb des Zählers zu stoppen, und um den Zählwert des gestoppten Zählers zu der Sammelvorrichtung zu übertragen. Die Sammelvorrichtung ist derart konfiguriert, um einen ersten Nachrichtenauthentifizierungskode auf Basis des Zählwerts, der von der Zielvorrichtung empfangen wird, zu erzeugen, und eine Angriffsinformationserfassungsanfrage mit dem ersten Nachrichtenauthentifizierungskode zu der Zielvorrichtung zu übertragen. Die Zielvorrichtung ist derart konfiguriert, um einen zweiten Nachrichtenauthentifizierungskode auf Basis des Zählwerts des angehaltenen Zählers zu erzeugen, falls die Angriffsinformationserfassungsanfrage mit dem ersten Nachrichtenauthentifizierungskode von der Sammelvorrichtung empfangen wird, und zu ermitteln, ob der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode miteinander übereinstimmen. Die Zielvorrichtung ist derart konfiguriert, dass, in einem Fall, in dem der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode miteinander übereinstimmen, die Zielvorrichtung ermittelt, dass die Zielvorrichtung normal ist, die Zielvorrichtung die Angriffsinformation zu der Sammelvorrichtung überträgt, und die Zielvorrichtung den Betrieb des Zählers startet, um den Testmodus zu beenden, und die Zielvorrichtung ist derart konfiguriert, dass, in einem Fall, in dem der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode nicht miteinander übereinstimmen, die Zielvorrichtung ermittelt, dass die Zielvorrichtung nicht normal ist, und die Zielvorrichtung den Betrieb des Zählers startet, um den Testmodus zu beenden.
  • Gemäß des Informationssammelverfahrens der Erfindung kann in dem Kommunikationssystem, in dem eine Mehrzahl von elektronischen Steuervorrichtungen und die Sammelvorrichtung über das Netzwerk verbunden sind, die Sammelvorrichtung wie oben beschrieben, die Angriffsinformation aus einer Mehrzahl von elektronischen Steuervorrichtungen sammeln, während Angriffsinformationen ausgeschlossen werden, die bei einer Abweichung des Authentifizierungsprozesses aufgrund eines Schaltungsfehlers oder ähnlichem gespeichert werden.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die Merkmale, Vorteile und die technische sowie die wirtschaftliche Bedeutung der beispielhaften Ausführungsformen der Erfindung werden nachfolgend mit Bezug zu den beigefügten Zeichnungen beschrieben, in denen gleiche Bezugszeichen gleiche Elemente kennzeichnen, und wobei:
  • 1 ein Diagramm ist, das ein Konfigurationsbeispiel eines Kommunikationssystems zeigt, bei dem ein Informationssammelverfahren gemäß jeder Ausführungsform der Erfindung verwendet wird;
  • 2 ein Diagramm ist, das ein Konfigurationsbeispiel einer zentralen Vorrichtung (Sammelvorrichtung) zeigt;
  • 3 ein Diagramm ist, das ein Konfigurationsbeispiel einer elektronischen Steuervorrichtung (ECU) zeigt;
  • 4A ein Flussdiagramm ist, das einen Verarbeitungsprozess des Informationssammelverfahrens gemäß einer ersten Ausführungsform der Erfindung zeigt;
  • 4B ein Flussdiagramm ist, das einen Verarbeitungsprozess des Informationssammelverfahrens gemäß einer ersten Ausführungsform der Erfindung zeigt;
  • 5A ein Flussdiagramm ist, das einen Verarbeitungsprozess des Informationssammelverfahrens gemäß einer zweiten Ausführungsform der Erfindung zeigt;
  • 5B ein Flussdiagramm ist, das einen Verarbeitungsprozess des Informationssammelverfahrens gemäß einer zweiten Ausführungsform der Erfindung zeigt;
  • 6A ein Flussdiagramm ist, das einen Verarbeitungsprozess des Informationssammelverfahrens gemäß einer dritten Ausführungsform der Erfindung zeigt,
  • 6B ein Flussdiagramm ist, das einen Verarbeitungsprozess des Informationssammelverfahren gemäß einer dritten Ausführungsform der Erfindung zeigt; und
  • 7 ein Diagramm ist, das ein anderes Konfigurationsbeispiel eines Kommunikationssystems zeigt, bei dem das Informationssammelverfahren gemäß jeder Ausführungsform der Erfindung verwendet wird.
  • DETAILLIERTE BESCHREIBUNG DER AUSFÜHRUNGSFORMEN
  • Die Erfindung ist ein Kommunikationssystem, in dem Angriffsinformationen, die in einer Mehrzahl von elektronischen Steuervorrichtung gespeichert sind, von einer Sammelvorrichtung, wie einer zentralen Vorrichtung oder einem externen Gerät, gesammelt werden. In dem Kommunikationssystem erzeugen die Sammelvorrichtung und die elektronische Steuervorrichtung jeweils Nachrichtenauthentifizierungskodes auf Basis gleicher Daten. In einem Fall, in dem der Nachrichtenauthentifizierungskode, der von der Sammelvorrichtung erzeugt wird, korrekt ist, wenn beide Nachrichtenauthentifizierungskodes nicht miteinander übereinstimmen, kann ermittelt werden, dass eine Nachrichtenauthentifizierungskodeerzeugungsfunktion der elektronischen Steuervorrichtung fehlerhaft ist. Dementsprechend überträgt die elektronische Steuervorrichtung, die ermittelt wurde, fehlerhaft zu sein, nicht Angriffsinformationen zu der Sammelvorrichtung. Damit kann die Sammelvorrichtung Angriffsinformationen, die bei einer Abweichung des Authentifizierungsprozesses aufgrund eines Schaltungsfehlers oder ähnlichem gespeichert wurden, von den Angriffsinformationen ausschließen, die von einer Mehrzahl von elektronischen Steuervorrichtungen gesammelt werden.
  • Nachfolgend wird ein Informationssammelverfahren der Erfindung im Detail und Bezugnahme zu den Zeichnungen in Verbindung mit einem Fall beschrieben werden, in dem das Informationssammelverfahren auf ein Kommunikationssystem für ein Fahrzeug als ein Beispiel angewendet bzw. verwendet wird.
  • [Konfigurationsbeispiel eines Kommunikationssystems]
  • 1 ist ein Diagramm, das ein Konfigurationsbeispiels eines Kommunikationssystems 1 zeigt, bei dem ein Informationssammelverfahren gemäß jeder Ausführungsform der Erfindung verwendet wird. Das in 1 dargestellte Kommunikationssystem 1 besteht aus einer zentralen Vorrichtung 10, die außerhalb eines Fahrzeugs ausgebildet ist, und einer Mehrzahl von elektronischen Steuervorrichtungen 20 (ECU_1, ECU_2, ECU_3), die in dem Fahrzeug befestigt sind.
  • Eine Mehrzahl von elektronischen Steuervorrichtung 20 sind verbunden, um über ein Im-Fahrzeug-Netzwerk 30, wie etwa ein Steuergerätenetzwerk (CAN), kommunizieren zu können. Die zentrale Vorrichtung 10 ist verbunden, um zumindest mit einer der elektronischen Steuervorrichtungen 20 (ECU_1), beispielsweise über ein Drahtlosnetzwerk 40 kommunizieren zu können. Die elektronischen Steuervorrichtungen 20 (ECU_2, ECU_3), die nicht derart verbunden sind, um direkt mit der zentralen Vorrichtung 10 kommunizieren zu können, führen eine Kommunikation mit der zentralen Vorrichtung 10 mittels dem Im-Fahrzeug-Netzwerk 30, der elektronischen Steuervorrichtung 20 (ECU_1), die verbunden ist, um mit der zentralen Vorrichtung 10 kommunizieren zu können, und dem Drahtlosnetzwerk 40 durch.
  • Die zentrale Vorrichtung 10 ist eine Sammelvorrichtung, die Angriffsinformationen von einer Mehrzahl von elektronischen Steuervorrichtungen 20 sammelt, die in dem Fahrzeug befestigt sind. Die zentrale Vorrichtung 10 kann die gesammelten Angriffsinformationen analysieren. Wie in 2 dargestellt ist, enthält die zentrale Vorrichtung 10 eine Kommunikationseinheit 11, eine Speichereinheit 12 und eine MAC Erzeugungseinheit 13.
  • Die Kommunikationseinheit 11 überträgt eine Testmodusstartanfrage oder eine Angriffsinformationserfassungsanfrage mit einem Nachrichtenauthentifizierungskode zu einer elektronischen Zielsteuervorrichtung 20 oder empfängt einen Zählwert eines Synchronzählers oder eine Angriffsinformation von der elektronischen Zielsteuervorrichtung 20. Der Testmodus, der Nachrichtenauthentifizierungskode, der Zählwert, und die Angriffsinformation werden nachfolgend beschrieben. Die Speichereinheit 12 speichert die Angriffsinformationen, die von verschiedenen elektronischen Steuervorrichtungen 20 empfangen werden.
  • Die MAC Erzeugungseinheit 13 erzeugt einen Nachrichtenauthentifizierungskode (ersten MAC) unter Verwendung des Zählwerts, der von der elektronischen Zielsteuervorrichtung 20 empfangen wird. Da diese Ausführungsform auf der Voraussetzung basiert, dass die Kommunikationseinheit 11 einen korrekten Zählwert von der elektronischen Zielsteuervorrichtung 20 empfängt, wird der Nachrichtenauthentifizierungskode (erster MAC), der durch die MAC Erzeugungseinheit 13 erzeugt wird, ein regulärer Nachrichtenauthentifizierungskode. Der Nachrichtenauthentifizierungskode (erster MAC) ist der Angriffsinformationserfassungsanfrage angehängt und wird von der Kommunikationseinheit 11 zu der elektronischen Zielsteuervorrichtung 20 übertragen.
  • Die zentrale Vorrichtung 10 enthält typischerweise eine zentrale Recheneinheit (CPU), einen Speicher, eine Eingabe/Ausgabe Schnittstelle, und ähnliches, und die CPU liest, interpretiert bzw. analysiert, und führt ein Programm, das in dem Speicher gespeichert ist, aus, wodurch die jeweiligen Funktionen der Kommunikationseinheit 11, der Speichereinheit 12 und der MAC Erzeugungseinheit 13, die oben beschrieben sind, realisiert werden.
  • Die elektronische Steuervorrichtung 20 führt einen Nachrichtenauthentifizierungsprozess unter Verwendung des Zählwerts des Synchronzählers aus, und speichert Angriffsinformationen (beispielsweise ein Protokoll bzw. Log, das anzeigt, wenn, woher und welche Art eines Angriffs empfangen wurde) bei einer Abweichung des Authentifizierungsprozesses. Zudem führt die elektronische Steuervorrichtung 20 einen Testmodusübergangsprozess, einen Gerätefehlerermittlungsprozess und einen Angriffsinformationsübergangsprozess in Reaktion auf eine Anfrage von der zentralen Vorrichtung 10 durch, die außerhalb des Fahrzeugs ausgebildet ist. Wie in 3 dargestellt, enthält die elektronische Steuervorrichtung 20 eine Kommunikationseinheit 21, eine Speichereinheit 22, eine Testmodussteuereinheit 23, eine MAC Erzeugungseinheit 24 und eine Fehlerermittlungseinheit 25.
  • Die Kommunikationseinheit 21 empfängt die Testmodusstartanfrage oder die Angriffsinformationserfassungsanfrage von der zentralen Vorrichtung 10 oder überträgt den Zählwert des Synchronzählers oder die Angriffsinformation zu der zentralen Vorrichtung 10. Die elektronische Steuervorrichtung 20, welche die Testmodusanfrage empfängt, wird die elektronische Zielsteuervorrichtung 20. Der Synchronzähler ist ein interner Zähler des Fahrzeug, welcher verwendet wird, um die Sicherheit des Im-Fahrzeug-Netzwerks sicherzustellen, und führt einen Aktualisierungsvorgang auf Basis der Standardspezifikation (Automotive-Open-System-Architecture (AUTOSTAR)) nach Bedarf durch. Die Speichereinheit 22 speichert „Angriffsinformationen”, welche Informationen sind, die bei einer Abweichung des Authentifizierungsprozesses aufgrund eines Sicherheitsangriffs, wie etwa einem unautorisiertem Zugriff, gespeichert wird, die von der elektronischen Steuervorrichtung 20 empfangen wird.
  • Die Testmodussteuereinheit 23 empfängt die Testmodusstartanfrage von der zentralen Vorrichtung 10 und steuert den Übergang zu dem Testmodus. Der Testmodus ist ein Modus zum Ausbilden des Zählwerts des Synchronzählers in dem Fahrzeug, der von einer Vorrichtung außerhalb des Fahrzeugs nicht erkennbar ist, von der elektronischen Zielsteuervorrichtung 20 zu der zentralen Vorrichtung 10. Da der Synchronzähler, der wichtig ist, um die Sicherheit sicherzustellen, in dem Testmodus angehalten ist, um den Zählwert zu diesem Zeitpunkt zu erfassen, kann eine neue Angriffsfläche bzw. Verletzbarkeit auftreten. Demzufolge führt die Testmodussteuereinheit 23 bei einer Ausführungsform der Erfindung eine Ermittlung durch, um den Start des Testmodus (Übergang zu dem Testmodus) nur in einem Fall zu ermöglichen, in dem das Fahrzeug in einer Fahrzeugsituation ist, die im Voraus zur Sicherstellung der Sicherheit ermittelt wurde, mit anderen Worten, nur in einem Fall, in dem das Fahrzeug vordefinierte Bedingungen erfüllt. Bei anderen Ausführungsformen beendet die Testmodussteuereinheit 23, selbst wenn der Testmodus startet, falls das Fahrzeug die vordefinierten Bedingungen nicht erfüllt, den Testmodus teilweise.
  • Die Fahrzeugsituation (vordefinierte Bedingungen), die im Voraus ermittelt wird, bezieht sich auf eine Situation, in welcher die Sicherheit als hoch eingeschätzt wird, und beispielsweise wird eine Situation berücksichtigt, in welcher das Fahrzeug eine Instandhaltungseinrichtung eines Händlers erreicht und angehalten wird, oder ähnliches. In einem Fall einer hohen Sicherheitssituation, in der das Fahrzeug die Instandhaltungseinrichtung erreicht und angehalten wird, bezieht sich auf diese Weise die Testmodussteuereinheit 23 darauf, dass das Fahrzeug die vordefinierten Bedingungen erfüllt und den Testmodus startet. D. h., die elektronische Steuervorrichtung 20 geht zu dem Testmodus über. Bei anderen Ausführungsformen führt die Testmodussteuereinheit 23 dementsprechend zudem, nachdem der Testmodus gestartet wird, eine Steuerung durch, so dass das Fahrzeug, in dem das Host-Gerät bzw. Leitgerät angebracht ist, nicht fahren kann. Die Steuerung das Fahrzeug fahrunfähig zu machen, kann beispielsweise realisiert werden, indem, unter Verwendung der elektronischen Steuereinheit 20, wie etwa einer Wegfahrsperren-ECU, einer Maschinen-ECU, oder einer Brems-ECU, ein Maschinenstart verhindert wird oder ein Lösen der Bremse verhindert wird.
  • Das die Instandhaltungseinrichtung bzw. Werkstatt des Händlers erreichende Fahrzeug kann beispielsweise auf Basis einer Host-Fahrzeugpositionsinformation ermittelt werden, die von einem globalen Positionsbestimmungs-(GPS)-Empfänger erhalten wird. Das angehaltene Fahrzeug bzw. dass das Fahrzeug angehalten wurde, kann beispielsweise auf Basis von Fahrzeuggeschwindigkeitsinformationen oder Schaltpositionsinformationen ermittelt werden, die von verschiedenen Sensoren erhalten werden.
  • Die MAC Erzeugungseinheit 24 erzeugt einen Nachrichtenauthentifizierungskode (zweiten MAC) unter Verwendung des Zählwerts des Synchronzählers, der durch die Testmodus-Steuereinheit 23 angehalten wird. Die Fehlerermittlungseinheit 25 ermittelt ein Übereinstimmen/Nicht-Übereinstimmen des regulären Nachrichtenauthentifizierungskodes (ersten MAC), der an der Angriffsinformationserfassungsanfrage, die durch die Kommunikationseinheit 21 von der zentralen Vorrichtung 10 empfangen wird, und dem Nachrichtenauthentifizierungskode (zweiten MAC), der durch die MAC-Erzeugungseinheit 24 erzeugt wird. Dann ermittelt die Fehlerermittlungseinheit 25, dass die elektrische Host-Steuervorrichtung 20 normal ist, wenn beide Nachrichtenauthentifizierungskodes miteinander übereinstimmen (erster MAC = zweiter MAC), und ermittelt, dass die elektrische Host-Steuervorrichtung 20 fehlerhaft ist, wenn beide Nachrichtenauthentifizierungskodes nicht miteinander übereinstimmten (erster MAC ≠ zweiter MAC).
  • Bei dieser Ausführungsform ist ein Ziel, das einer Fehlerermittlung unterliegt, eine Funktion (Schaltkreis), der eine Verschlüsselung betrifft, welche der MAC Erzeugungseinheit 24, oder ähnliche, entspricht. Stimmen der reguläre Nachrichtenauthentifizierungskode (erster MAC) an der Seite der zentralen Vorrichtung 10 und der Nachrichtenauthentifizierungskode (zweiter MAC) an der elektronischen Zielsteuervorrichtung 20, die auf Basis des gleichen Zählwerts erzeugt werden, nicht miteinander überein, kann dementsprechend die Fehlerermittlungseinheit 25 ermitteln, dass die elektronische Zielsteuervorrichtung 20 fehlerhaft ist.
  • In einem Fall, in dem ermittelt wird, dass die elektronische Zielsteuervorrichtung 20 fehlerhaft ist, ermittelt die Fehlerermittlungseinheit 25, dass die in der Speichereinheit 22 gespeicherte Angriffsinformation eine fehlerhafte Information ist, die bei einer Abweichung des Authentifizierungsprozesses aufgrund eines Schaltungsfehlers oder ähnlichem gespeichert wird, und überträgt die Angriffsinformation nicht zu der zentralen Vorrichtung 10. In einem Fall hingegen, in dem ermittelt wird, dass die elektronische Zielsteuervorrichtung 20 normal ist, ermittelt die Fehlerermittlungseinheit 25, dass die in der Speichereinheit 22 gespeicherte Angriffsinformation eine korrekte Information ist, die bei einer Abweichung des Authentifizierungsprozesses aufgrund einer Sicherheitsangriffs gespeichert wurde, wie einem unautorisierten Zugriff, und überträgt die Angriffsinformation zu der zentralen Vorrichtung 10 über die Kommunikationseinheit 21.
  • Die elektronische Steuervorrichtung 20 enthält typischerweise eine zentrale Verarbeitungseinheit (CPU), einen Speicher, eine Eingabe/Ausgabe-Schnittstelle, und ähnliches, und die CPU liest, interpretiert, bzw. analysiert, und führt ein Programm aus, das in dem Speicher gespeichert ist, wodurch die jeweiligen Funktionen der Kommunikationseinheit 21, der Speichereinheit 22, der Testmodussteuereinheit 23, der MAC Erzeugungseinheit 24, und der Fehlerermittlungseinheit 25, die oben beschrieben sind, realisiert werden.
  • [Das im Kommunikationssystem ausgeführte Informationssammelverfahren]
  • Das Informationssammelverfahren, das durch die zentrale Vorrichtung 10 ausgeführt wird, und die elektronische Zielsteuervorrichtung 20 in dem oben beschriebenen Kommunikationssystem 1, werden weiter unter Bezugnahme auf die 4A bis 6B beschrieben. 4A und 4B sind Flussdiagramme, die einen Verarbeitungsprozess eines Informationssammelverfahrens gemäß einer ersten Ausführungsform der Erfindung zeigen. 5A und 5B sind Flussdiagramme, die einen Verarbeitungsprozess eines Informationssammelverfahrens gemäß einer zweiten Ausführungsform der Erfindung zeigen. 6A und 6B sind Flussdiagramme, die einen Verarbeitungsprozess eines Informationssammelverfahrens gemäß einer dritten Ausführungsform der Erfindung zeigen.
  • <Erste Ausführungsform>
  • Bezugnehmend auf 4A und 4B wird ein Informationssammelverfahren gemäß einer ersten Ausführungsform beschrieben. In 4A und 4B überträgt die zentrale Vorrichtung 10 die Testmodusstartanfrage zu der elektronischen Zielsteuervorrichtung (ECU) 20, die einer Angriffsinformationserfassung ausgesetzt ist (S101).
  • Die elektronische Zielsteuervorrichtung 20, welche die Testmodusstartanfrage von der zentralen Vorrichtung 10 empfängt, ermittelt, ob das Fahrzeug die vordefinierten Bedingungen erfüllt, auf Basis der aktuellen Situation des Fahrzeugs, und ermittelt, ob ein Übergang auf den Testmodus möglich ist (S201). Die vordefinierten Bedingungen sind, dass das Fahrzeug beispielsweise an einem bestimmten Platz bzw. Stelle, wie etwa der Instandhaltungseinrichtung bzw. Werkstatt des Händlers, ist, wo es mit hoher Sicherheit sicher ist, angehalten wird, und ähnliches. Auf Basis von Positionsinformationen des GPS, oder ähnlichem, kann ermittelt werden, dass das Fahrzeug an der bestimmten Stelle ist, und auf Basis von Fahrzeuggeschwindigkeitsinformationen, Schaltpositionsinformationen, oder ähnlichem, kann ermittelt werden, dass das Fahrzeug angehalten wurde. Bei der oben beschriebenen Ermittlung geht, in einem Fall, in dem das Fahrzeug nicht die vordefinierten Bedingungen erfüllt, und ein Übergang auf den Testmodus unmöglich ist (S201: Nein), die elektronische Zielsteuervorrichtung 20 nicht auf den Testmodus (S202) über und beendet die Verarbeitung bzw. Prozess der Anfrage von der zentralen Vorrichtung 10.
  • Bei der oben beschriebenen Ermittlung geht, in einem Fall, in dem das Fahrzeug die vordefinierten Bedingungen erfüllt, und ein Übergang auf den Testmodus möglich ist (S201: Ja), die elektronische Zielsteuervorrichtung 20 auf den Testmodus über und startet die Verarbeitung bzw. den Prozess (S203). Falls der Prozess startet, hält die elektronische Zielsteuervorrichtung 20 den Synchronzähler in dem Fahrzeug (S204) an. Die elektronische Zielsteuervorrichtung 20 überträgt den Zählwert, der durch den angehaltenen Synchronzähler angezeigt wird, zu der zentralen Vorrichtung 10 (S205).
  • Die zentrale Vorrichtung 10 ermittelt, ob der Zählwert als Antwort auf die Testmodusstartanfrage von der elektronischen Zielsteuervorrichtung 20 empfangen wird (S102). In einem Fall, in dem der Zählwert nicht von der elektronischen Zielsteuervorrichtung 20 empfangen werden kann (S102: Nein), beendet die zentrale Vorrichtung 10 den Prozess ohne die Angriffsinformation von der elektronischen Zielsteuervorrichtung 20 zu erfassen.
  • In einem Fall, in dem der Zählwert von der elektronischen Zielsteuervorrichtung 20 empfangen wird (S102: Ja), erzeugt die zentrale Vorrichtung 10 den regulären Nachrichtenauthentifizierungskode (erster MAC) unter Verwendung des empfangenen Zählwerts (S103). Dann überträgt die zentrale Vorrichtung 10 die Angriffsinformationserfassungsanfrage mit dem erzeugten regulären Nachrichtenauthentifizierungskode (erster MAC) zu der elektronischen Zielsteuervorrichtung 20 (S104).
  • Die elektronische Zielsteuervorrichtung 20, welche die Angriffsinformationserfassungsanfrage mit dem regulären Nachrichtenauthentifizierungskode (erster MAC) von der zentralen Vorrichtung 10 empfängt, erzeugt den Nachrichtenauthentifizierungskode (zweiter MAC) unter Verwendung des Zählwerts, der durch den angehaltenen Synchronzähler angezeigt ist (S206). Dann ermittelt die elektronische Zielsteuervorrichtung 20, ob der reguläre Nachrichtenauthentifizierungskode (erster MAC), der von der zentralen Vorrichtung 10 empfangen wird, und der erzeugte Nachrichtenauthentifizierungskode (zweiter MAC) miteinander übereinstimmen (S207).
  • In einem Fall, in dem ermittelt wird, das beide Nachrichtenauthentifizierungskodes (erster MAC und zweiter MAC) nicht miteinander übereinstimmen (S207: Nein), ermittelt die elektronische Zielsteuervorrichtung 20, dass die (Nachrichtenauthentifizierungskodeerzeugungsfunktion der) elektronische(n) Zielsteuervorrichtung 20 fehlerhaft ist (S210). In diesem Fall ermittelt die elektronische Zielsteuervorrichtung 20, dass die in der Speichereinheit 22 gespeicherte Angriffsinformation eine fehlerhafte Information ist, die bei einer Abweichung des Authentifizierungsprozesses aufgrund eines Fehlers in der MAC Erzeugungseinheit 24, oder ähnlichem, gespeichert wurde, und überträgt die Angriffsinformation nicht zu der zentralen Vorrichtung 10 (S211).
  • In einem Fall, in dem ermittelt wird, dass beide Nachrichtenauthentifizierungskodes (erster MAC und zweiter MAC) miteinander übereinstimmen (S207: Ja), ermittelt die elektronische Zielsteuervorrichtung 20, dass die (Nachrichtenauthentifizierunsgskodeerzeugungsfunktion der) elektronische(n) Zielsteuerfunktion 20 normal ist (S208). In diesem Fall ermittelt die elektronische Zielsteuervorrichtung 20, dass die in der Speichereinheit 22 gespeicherte Angriffsinformation, eine korrekte Information ist, die bei einer Abweichung des Authentifizierungsprozesses aufgrund eines Sicherheitsangriffs, wie etwa eines unautorisierten Zugriffs gespeichert wird, und überträgt die Angriffsinformation zu der zentralen Vorrichtung 10 (S209).
  • Die zentrale Vorrichtung 10 ermittelt, ob die Angriffsinformation als eine Antwort auf die Angriffsinformationserfassungsanfrage von der elektronischen Zielsteuervorrichtung 20 empfangen wird (S105). In einem Fall, in dem die Angriffsinformation nicht von der elektronischen Zielsteuervorrichtung 20 empfangen werden kann (S105: Nein), beendet die zentrale Vorrichtung 10 den Prozess ohne die Angriffsinformation von der elektronischen Zielsteuervorrichtung 20 zu erfassen. In einem Fall, in dem die Angriffsinformation von der elektronischen Zielsteuervorrichtung 20 empfangen wurde (S105: Ja), speichert die zentrale Vorrichtung 10 die Angriffsinformation in der Speichereinheit 12 (S106). Die in der Speichereinheit 12 gespeicherte Angriffsinformation wird zusammen mit anderen Teilen der zuvor empfangenen Angriffsinformation gesammelt und bei einer Analyse oder ähnlichem verwendet.
  • Nachdem die Übertragung (S209) oder die Nicht-Übertragung (S211) der Angriffsinformation zu der zentralen Vorrichtung 10 ausgeführt wird, startet die elektronische Zielsteuervorrichtung 20 den angehaltenen Synchronzähler in dem Fahrzeug (S212) wieder und beendet den Testmodus (S213). Der Neustart des Synchronzählers kann gemäß der Ermittlung der elektronischen Zielsteuervorrichtung 20 durchgeführt werden, oder kann in Reaktion auf eine vordefinierte Antwort von der zentralen Vorrichtung 10 durchgeführt werden.
  • <Zweite Ausführungsform>
  • Bezugnehmend auf 5A und 5B wird ein Informationssammelverfahren gemäß einer zweiten Ausführungsform beschrieben werden. Das Informationssammelverfahren gemäß der zweiten Ausführungsform enthält einen Prozess bzw. ein Verarbeiten nach S303 und S313, welche durch die elektronische Zielsteuervorrichtung 20 ausgeführt werden, im Gegensatz zu dem oben beschriebenen Informationssammelverfahren gemäß der ersten Ausführungsform. In dem Informationssammelverfahren gemäß der zweiten Ausführungsform wird eine Beschreibung dementsprechend erfolgen, die auf unterschiedliche Prozesse fokussiert. Die gleichen Arten der Prozesse wie jene des Informationssammelverfahrens gemäß der ersten oben beschriebenen Ausführungsform, werden durch die gleichen Bezugszeichen dargestellt und eine Beschreibung dieser wird nicht wiederholt werden.
  • In einem Fall, in dem ermittelt wird, dass das Fahrzeug die vordefinierten Bedingungen erfüllt und ein Übergang auf den Testmodus möglich ist (S201: Ja), geht die elektronische Zielsteuervorrichtung 20 auf den Testmodus über, um den Prozess zu starten, und führt eine vordefinierte Steuerung derart durch, dass das Fahrzeug, in dem das Host-Gerät angebracht ist, fahrunfähig ist (S303). Für die vordefinierte Steuerung, das Fahrzeug fahrunfähig zu machen, können bekannte, oben beschriebene Mittel verwendet werden.
  • Die elektronische Zielsteuervorrichtung 20 führt den Testmodus aus, führt den Übergang (S209) oder Nicht-Übergang (S211) der Angriffsinformation zu der zentralen Vorrichtung 10 durch, und startet dann den angehaltenen Synchronzähler in dem Fahrzeug (S212) neu. Die elektronische Zielsteuervorrichtung 20 beendet dann den Testmodus und gibt die vordefinierte Steuerung frei, um das Fahrzeug fahrunfähig zu machen (S313).
  • D. h., in dem Informationssammelverfahren gemäß der zweiten Ausführungsform ist das Fahrzeug fahrunfähig in einer Phase gemacht worden, beginnend, wenn der Testmodus (S303) startet bis der Testmodus endet (S313) (während ein Prozess, der von einer Strich-Punkt-Linie in 5A und 5B umkreist ist, durchgeführt wird).
  • <Dritte Ausführungsform>
  • Bezugnehmend auf 6A und 6B wird ein Informationssammelverfahren gemäß einer dritten Ausführungsform beschrieben werden. Das Informationssammelverfahren gemäß der dritten Ausführungsform enthält Prozesse von S403 bis S405 und S413, die durch die elektronische Zielsteuervorrichtung 20 ausgeführt werden, im Gegensatz zu dem Informationssammelverfahren gemäß der ersten oben beschriebenen Ausführungsform. In dem Informationssammelverfahren gemäß der dritten Ausführungsform ist dementsprechend eine Beschreibung vorgesehen, die auf verschiedene bzw. andere Prozesse fokussiert. Die gleichen Arten an Prozesse wie jene des Informationssammelverfahrens gemäß der ersten Ausführungsform, die oben beschrieben wurde, werden durch die gleichen Bezugszeichen dargestellt, und eine Beschreibung dieser wird nicht wiederholt werden.
  • In einem Fall, in dem ermittelt wird, dass das Fahrzeug die vordefinierten Bedingungen erfüllt, und ein Übergang auf den Testmodus möglich ist (S201: Ja), geht die elektronische Zielsteuervorrichtung 20 auf den Testmodus über, um den Prozess zu starten und stelle eine vordefinierte Flag (nachfolgend als „Testmodusflag” bezeichnet), die das Ausführen des Testmodus anzeigt, auf „AN” (S403). Falls die Testmodusflag auf „AN” eingestellt ist, wird ein zweiter Prozess aus S404 und S405 parallel mit dem ersten Prozess aus S204 bis S211 durchgeführt, der oben beschrieben ist, der in dem Testmodus ausgeführt wird.
  • In dem ersten Prozess wird der Testmodus ausgeführt, der Übergang (S209) oder Nicht-Übergang (S211) der Angriffsinformation zu der zentralen Vorrichtung 10 wird durchgeführt, und dann wird der gestoppte Synchronzähler in dem Fahrzeug neugestartet (S212). Dann stellt die elektronische Zielsteuervorrichtung 20 die Testmodusflag auf „AUS” und beendet den Testmodus (S413).
  • In dem zweiten Prozess ermittelt die elektronische Zielsteuervorrichtung 20, ob das Fahrzeug noch weiter die vordefinierten Bedingungen erfüllt, die erfüllt sind, wenn ermittelt wird, dass ein Übergang auf den Testmodus möglich ist, d. h., ob das Fahrzeug die vordefinierten Bedingungen (S405) erfüllt. Die Ermittlung wird beispielsweise regulär zu einem vordefinierten Intervall in einer Phase durchgeführt, während welcher der Testmodus ausgeführt wird und die Testmodusflag „AN” ist (S404: Ja).
  • Bei der oben beschriebenen Ermittlung startet die elektronische Zielsteuervorrichtung 20 in einem Fall, in dem ermittelt ist, dass das Fahrzeug nicht die vordefinierten Bedingungen erfüllt (S405: Nein), den angehaltenen Synchronzähler in dem Fahrzeug (S212) und stellt die Testmodusflag auf „AUS”, um den Testmodus (S413) zu beenden. Die elektronische Zielsteuervorrichtung 20 ermittelt, dass der Testmodus in einem Fall korrekt endet, indem die Testmodusflag auf „AUS” geschalten ist, während das Fahrzeug weiter die vordefinierten Bedingungen erfüllt (S404: Nein) und beendet den Prozess.
  • D. h., in dem Informationssammelverfahren gemäß der dritten Ausführungsform wird ermittelt (S404, S405), ob das Fahrzeug die vordefinierten Bedingungen erfüllt, parallel zu der Ausführung (S204 bis S211) des Testmodus in einer Phase (während eines Prozesses, der von einer Ein-Punkt-Linie bzw. Strich-Punkt-Linie aus 6 umgeben ist, durchgeführt wird) beginnend, wenn der Testmodus startet (S403) bis der Testmodus endet (S413). Falls das Fahrzeug die vordefinierten Bedingungen nicht erfüllt, endet der Testmodus zwingend selbst in jedem Ausführungszustand des Testmodus.
  • [Betrieb und Effekte der Ausführungsformen]
  • In dem Informationssammelverfahren gemäß der ersten Ausführungsform der Erfindung wird, wie oben beschrieben, der Testmodus ausgebildet, in dem der Zählwert des Synchronzählers in dem Fahrzeug, der von einer Vorrichtung außerhalb des Fahrzeugs nicht erkennbar ist, von der elektronischen Zielsteuervorrichtung 20 zu der zentralen Vorrichtung 10 als einer Sammelvorrichtung ausgebildet bzw. geliefert wird. Die zentrale Vorrichtung 10 erzeugt den Nachrichtenauthentifizierungskode (erster MAC) auf Basis des Zählwerts, der von der elektronischen Zielsteuervorrichtung 20 ausgebildet ist, die elektronische Zielsteuervorrichtung 20 erzeugt zudem auch den Nachrichtenauthentifizierungskode (zweiter MAC) auf Basis der Zählwerts, die Übereinstimmung/Nicht-Übereinstimmung beider Nachrichtenauthentifizierungskodes wird ermittelt, und die Möglichkeit eines Übergangs der Angriffsinformation zu der zentralen Vorrichtung 10 wird ermittelt.
  • Auf diese Weise wird ein Vergleich der Nachrichtenauthentifizierungskodes, die jeweils aus dem gleichen Zählwert erzeugt werden, durchgeführt und falls beide Nachrichtenauthentifizierungskodes nicht miteinander übereinstimmen, kann ermittelt werden, dass die Nachrichtenauthentifizierungskodeerzeugungsfunktion der elektronischen Zielsteuervorrichtung 20 fehlerhaft ist. In diesem Fall ist dementsprechend die in der Speichereinheit 22 der elektronischen Zielsteuervorrichtung 20 gespeicherte Angriffsinformation wahrscheinlich eine Information, die bei einer Abweichung des Authentifizierungsprozesses aufgrund eines Schaltungsfehler oder ähnlichem der MAC Erzeugungseinheit 24 gespeichert wird. Eine solche Angriffsinformation wird daher nicht zu der zentralen Vorrichtung 10 übertragen, wodurch es möglich ist, die Angriffsinformation auszuschließen, die bei einer Abweichung des Authentifizierungsprozesses aufgrund eines Schaltungsfehlers oder ähnlichem gespeichert wird, und die Analysegenauigkeit der Angriffsinformation durch die zentrale Vorrichtung 10 oder ähnliches wird verbessert.
  • Ein Übergang auf den Testmodus ist nur dann in einem Fall möglich, in dem das Fahrzeug in einer Fahrzeugsituation ist, die im Voraus ermittelt wird, um eine Sicherheit sicherzustellen. Damit kann die zentrale Vorrichtung 10 die Angriffsinformation sammeln, während eine hohe Sicherheit des Fahrzeugs beibehalten wird.
  • In dem Informationssammelverfahren gemäß der zweiten Ausführungsform der Erfindung wird eine Steuerung derart durchgeführt, dass das Fahrzeug in einer Phase von dem Start bis zu dem Ende des Testmodus fahrunfähig gemacht wird. Mit dieser Steuerung ist es möglich, ein Fahrzeug in dem Testmodus, in dem der Synchronzähler angehalten ist, und eine Sicherheit schwach bzw. niedrig ist, von einem Bewegen (Fahren) aus einer sicheren Händlerwerkstatt und einem Risiko eines Sicherheitsangriffs ausgesetzt zu sein, zu hindern.
  • In dem Informationssammelverfahren gemäß der dritten Ausführungsform der Erfindung endet in einem Fall, in dem das Fahrzeug nicht die vordefinierten Bedingungen erfüllt, welche erfüllt sind, wenn die Testmodusstartanfrage von der zentralen Vorrichtung 10 als eine Sammelvorrichtung empfangen wird, nachdem der Testmodus startet und bevor der Testmodus endet, der Testmodus zwingend. Selbst wenn sich das Fahrzeug in dem Testmodus, in dem der Synchronzähler angehalten ist und die Sicherheit schwach ist, aus bzw. außerhalb der Händlerwerkstatt bewegt (fährt), ist es mit dieser Steuerung möglich, das Fahrzeug daran zu hindern, einem Risiko eines Sicherheitsangriffs in einer Situation einer schwachen Sicherheit ausgesetzt zu sein.
  • [Modifikationsbeispiel]
  • In den jeweiligen oben beschriebenen Ausführungsformen wurde die zentrale Vorrichtung 10 als eine Sammelvorrichtung beschrieben, welche die Angriffsinformation von einer Mehrzahl von elektronischen Steuervorrichtungen 20 sammelt. Jedoch kann die Sammelvorrichtung beispielsweise ein externes Gerät 50, wie etwa ein Servicewerkzeug sein, das von einem Mechaniker oder Händler verwendet wird. Das externe Werkzeug bzw. Gerät 50 kann verbunden sein, um mit zumindest einer elektronischen Steuervorrichtung 20 über das Drahtlosnetzwerk 40 kommunizieren zu können, wie die in 1 und 2 gezeigte zentrale Vorrichtung 10. Wie in dem in 7 dargestellten Kommunikationssystem 1' kann außerdem das externe Gerät 50 verbunden sein, um mit zumindest einer elektronischen Steuervorrichtung 20 über eine Verbindung mit dem Im-Fahrzeug-Netzwerk 30 über ein Verbindungskabel 31 oder ähnliches in einer verkabelten Weise kommunizieren zu können.
  • Die Erfindung kann in einem Kommunikationssystem verwendet werden, in dem eine Mehrzahl von elektronischen Steuervorrichtung mit einer Sammelvorrichtung, wie einer zentralen Vorrichtung oder einem externen Gerät, über ein Netzwerk verbunden sind, und ist verwendbar, um Angriffsinformationen, die gespeichert werden, wenn ein Authentifizierungsprozess aufgrund eines Schaltungsfehlers oder ähnlichem abweicht, aus Angriffsinformationen auszuschließen, die von einer Mehrzahl von elektronischen Steuervorrichtungen durch die Sammelvorrichtung gesammelt werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2005-165541 A [0002, 0003]

Claims (7)

  1. Informationssammelverfahren, das in einem Kommunikationssystem ausgeführt wird, das eine Mehrzahl von elektronischen Steuervorrichtungen, die in einem Fahrzeug angebracht sind, und derart konfiguriert sind, um einen Authentifizierungsprozess unter Verwendung eines Zählwerts eines vordefinierten Zählers durchzuführen, der in einer vordefinierten Weise aktualisiert wird, und um Angriffsinformationen bei einer Abweichung des Authentifizierungsprozesses zu speichern, und eine Sammelvorrichtung enthält, die außerhalb des Fahrzeugs ausgebildet ist, und derart konfiguriert ist, um Angriffsinformationen der Mehrzahl von elektronischen Steuervorrichtungen zu sammeln, wobei das Informationssammelverfahren aufweist: Übertragen einer Testmodusstartanfrage von der Sammelvorrichtung auf eine Zielvorrichtung, die einer Angriffsinformationserfassung ausgesetzt ist, wobei die Zielvorrichtung eine aus der Mehrzahl von elektronischen Steuervorrichtung ist; Ermitteln, ob das Fahrzeug die vordefinierten Bedingungen erfüllt, wenn die Zielvorrichtung die Testmodusstartanfrage von der Sammelvorrichtung empfängt; und Zulassen, dass die Zielvorrichtung den Testmodus startet, wenn ermittelt wird, dass das Fahrzeug die vordefinierten Bedingungen erfüllt, wobei, in dem Testmodus, ein Betrieb des Zählers angehalten wird, der Zählwert des angehaltenen Zählers zu der Sammelvorrichtung übertragen wird, die Sammelvorrichtung einen ersten Nachrichtenauthentifizierungskode auf Basis des Zählwerts erzeugt, der von der Zielvorrichtung empfangen wird, und eine Angriffsinformationserfassungsanfrage mit dem ersten Nachrichtenauthentifizierungskode zu der Zielvorrichtung überträgt, die Zielvorrichtung einen zweiten Nachrichtenauthentifizierungskode auf Basis des Zählwerts des angehaltenen Zählers erzeugt, falls die Angriffsinformationserfassungsanfrage mit dem ersten Nachrichtenauthentifizierungskode von der Sammelvorrichtung empfangen wird, die Zielvorrichtung ermittelt, ob der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode miteinander übereinstimmen, in einem Fall, in dem der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode miteinander übereinstimmen, ermittelt, dass die Zielvorrichtung normal ist, und die Zielvorrichtung die Angriffsinformation zu der Sammelvorrichtung überträgt, und die Zielvorrichtung in einem Fall, in dem der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode nicht miteinander übereinstimmen, ermittelt, dass die Zielvorrichtung nicht normal ist, und nachdem die Angriffsinformation zu der Sammelvorrichtung übertragen wird, oder nachdem ermittelt wird, dass die Zielvorrichtung nicht normal ist, den Betrieb des Zählers startet und den Testmodus beendet.
  2. Informationssammelverfahren nach Anspruch 1, wobei die Zielvorrichtung eine Steuerung derart durchführt, dass das Fahrzeug, in dem die Zielvorrichtung angebracht ist, nicht in einer Phase von dem Start bis zu dem Ende des Testmodus fahren kann.
  3. Informationssammelverfahren nach Anspruch 2, wobei die Steuerung, dass das Fahrzeug nicht fahren kann, durchgeführt wird, indem ein Maschinenstart verhindert wird oder ein Lösen der Bremse verhindert wird.
  4. Informationssammelverfahren nach Anspruch 1, wobei die Zielvorrichtung, wenn ermittelt wird, dass das Fahrzeug die vordefinierten Bedingungen, nachdem der Testmodus startet und bevor der Testmodus endet, nicht erfüllt, den Betrieb des Zählers zu dem Zeitpunkt der Ermittlung startet und den Testmodus beendet.
  5. Informationssammelverfahren nach Anspruch 1, wobei die vordefinierten Bedingungen sind, dass die Sicherheit, sicher zu sein, hoch ist.
  6. Informationssammelverfahren nach Anspruch 1, wobei die vordefinierten Bedingungen sind, dass das Fahrzeug an einer bestimmten Stelle angehalten wird.
  7. Kommunikationssystem, aufweisend: eine Mehrzahl von elektronischen Steuervorrichtungen (20), die in einem Fahrzeug befestigt sind, und derart konfiguriert sind, um einen Authentifizierungsprozess unter Verwendung eines Zählwerts eines vordefinierten Zählers durchzuführen, der in einer vordefinierten Weise aktualisiert wird, und um Angriffsinformationen bei einer Abweichung des Authentifizierungsprozesses zu speichern; und eine Sammelvorrichtung (10), die außerhalb des Fahrzeugs ausgebildet ist, und derart konfiguriert ist, um Angriffsinformationen von der Mehrzahl von elektronischen Steuervorrichtungen zu sammeln, wobei die Sammelvorrichtung derart konfiguriert ist, um eine Testmodusstartanfrage zu einer Zielvorrichtung zu übertragen, die einer Angriffsinformationserfassung ausgesetzt ist, wobei die Zielvorrichtung eine von der Mehrzahl von elektronischen Steuervorrichtungen ist, die Zielvorrichtung derart konfiguriert ist, um zu ermitteln, ob das Fahrzeug vordefinierte Bedingungen erfüllt, wenn die Testmodusstartanfrage von der Sammelvorrichtung empfangen wird, und wenn ermittelt wird, dass das Fahrzeug die vordefinierten Bedingungen erfüllt, um den Testmodus zu starten, um den Betrieb des Zählers zu stoppen, und um den Zählwert des gestoppten Zählers zu der Sammelvorrichtung zu übertragen, die Sammelvorrichtung derart konfiguriert ist, um einen ersten Nachrichtenauthentifizierungskode auf Basis des Zählwerts, der von der Zielvorrichtung empfangen wird, zu erzeugen, und eine Angriffsinformationserfassungsanfrage mit dem ersten Nachrichtenauthentifizierungskode zu der Zielvorrichtung zu übertragen, die Zielvorrichtung derart konfiguriert ist, um einen zweiten Nachrichtenauthentifizierungskode auf Basis des Zählwerts des angehaltenen Zählers zu erzeugen, falls die Angriffsinformationserfassungsanfrage mit dem ersten Nachrichtenauthentifizierungskode von der Sammelvorrichtung empfangen wird, und zu ermitteln, ob der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode miteinander übereinstimmen, die Zielvorrichtung derart konfiguriert ist, dass, in einem Fall, in dem der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode miteinander übereinstimmen, die Zielvorrichtung ermittelt, dass die Zielvorrichtung normal ist, die Zielvorrichtung die Angriffsinformation zu der Sammelvorrichtung überträgt, und die Zielvorrichtung den Betrieb des Zählers startet, um den Testmodus zu beenden, und die Zielvorrichtung derart konfiguriert ist, dass, in einem Fall, in dem der erste Nachrichtenauthentifizierungskode und der zweite Nachrichtenauthentifizierungskode nicht miteinander übereinstimmen, die Zielvorrichtung ermittelt, dass die Zielvorrichtung nicht normal ist, und die Zielvorrichtung den Betrieb des Zählers startet, um den Testmodus zu beenden.
DE102016124352.3A 2015-12-18 2016-12-14 Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren Pending DE102016124352A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2015247446 2015-12-18
JP2015-247446 2015-12-18
JP2016-191550 2016-09-29
JP2016191550A JP6418217B2 (ja) 2015-12-18 2016-09-29 通信システムで実行される情報集約方法

Publications (1)

Publication Number Publication Date
DE102016124352A1 true DE102016124352A1 (de) 2017-06-22

Family

ID=58994745

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016124352.3A Pending DE102016124352A1 (de) 2015-12-18 2016-12-14 Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren

Country Status (2)

Country Link
US (1) US10178094B2 (de)
DE (1) DE102016124352A1 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017209556A1 (de) * 2017-06-07 2018-12-13 Robert Bosch Gmbh Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
RU2697953C2 (ru) 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ вынесения решения о компрометации данных
EP3522063B1 (de) * 2018-02-06 2020-07-01 AO Kaspersky Lab System und verfahren zur erkennung von kompromittierten daten
US10996141B2 (en) * 2018-09-28 2021-05-04 Intel Corporation Method and an autonomous ground vehicle
US10984102B2 (en) * 2018-10-01 2021-04-20 Blackberry Limited Determining security risks in binary software code
US11106791B2 (en) 2018-10-01 2021-08-31 Blackberry Limited Determining security risks in binary software code based on network addresses
US11347850B2 (en) 2018-10-01 2022-05-31 Blackberry Limited Analyzing binary software code
JP7115442B2 (ja) * 2019-08-21 2022-08-09 トヨタ自動車株式会社 判定装置、判定システム、プログラム及び判定方法
JP7156257B2 (ja) * 2019-11-21 2022-10-19 トヨタ自動車株式会社 車両通信装置、通信異常の判定方法及びプログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005165541A (ja) 2003-12-01 2005-06-23 Oki Electric Ind Co Ltd 被害判定装置、被害解析装置、被害判別システム、被害判定プログラム及び被害解析プログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7346922B2 (en) * 2003-07-25 2008-03-18 Netclarity, Inc. Proactive network security system to protect against hackers
US8347361B2 (en) * 2006-12-14 2013-01-01 Mosaid Technologies Incorporated Distributed network management hierarchy in a multi-station communication network
WO2012160627A1 (ja) * 2011-05-20 2012-11-29 トヨタ自動車株式会社 車両情報提供装置
JP5479408B2 (ja) * 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
US9721086B2 (en) * 2013-03-15 2017-08-01 Advanced Elemental Technologies, Inc. Methods and systems for secure and reliable identity-based computing
US9231936B1 (en) * 2014-02-12 2016-01-05 Symantec Corporation Control area network authentication
US9866542B2 (en) * 2015-01-28 2018-01-09 Gm Global Technology Operations Responding to electronic in-vehicle intrusions
JP6217728B2 (ja) * 2015-10-19 2017-10-25 トヨタ自動車株式会社 車両システムおよび認証方法
US10176316B2 (en) * 2016-03-11 2019-01-08 Toyota Motor Engineering & Manufacturing North America, Inc. Systems and methods for providing and detecting thermal energy patterns in electronic devices
JP6465098B2 (ja) * 2016-11-24 2019-02-06 トヨタ自動車株式会社 車両用認証システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005165541A (ja) 2003-12-01 2005-06-23 Oki Electric Ind Co Ltd 被害判定装置、被害解析装置、被害判別システム、被害判定プログラム及び被害解析プログラム

Also Published As

Publication number Publication date
US10178094B2 (en) 2019-01-08
US20170180370A1 (en) 2017-06-22

Similar Documents

Publication Publication Date Title
DE102016124352A1 (de) Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
EP2891264B1 (de) Verfahren zum durchführen einer sicherheitsfunktion eines fahrzeugs und system zum durchführen des verfahrens
DE112018004312T5 (de) Fahrzeugdiagnoseapparat, Fahrzeugdiagnosesystem und Fahrzeugdiagnoseprogramm
DE112017002919T5 (de) Fahrzeugvorrichtung
DE102014112095B4 (de) Verfahren zum Überwachen eines Fehlers in einem Controller Area Network
DE112017002909T5 (de) Fahrzeugvorrichtung
DE102013216530A1 (de) Fahrzeugsteuerungseinheit und fahrzeugsteuerungssystem
DE112017006854T5 (de) Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm
DE102014217389A1 (de) Autonomes fahren in gebieten für nichtfahrer
DE112012001923T5 (de) Zur Zusammenarbeit fähiges Multi-Agentensystem zur Fehlerdiagnose an einem Fahrzeug sowie zugehöriges Verfahren
DE112008003241T5 (de) System und Verfahren zur Aufrechterehaltung des Maschinenbetriebs
DE112012003795T5 (de) Fahrzeugnetwerksystem und Fahrzeug-Informationsverarbeitungsverfahren
WO2021121695A1 (de) Verfahren, vorrichtung und system zur detektion von anomalen betriebszuständen eines geräts
DE102017100380A1 (de) Diagnostiktest-durchführungssteuersystem und verfahren
DE102016112864B4 (de) Ermittlung der Ursache für einen Masseversatz in einem Controller Area Network
DE112015005253T5 (de) Controller Area Network (CAN)-Kommunikationssystem und Aufzeichnungsvorrichtung für Fehlerinformationen
DE102013107962B4 (de) Verfahren zur Überwachung von Komponenten eines Systems, kooperatives Fahrzeugfahrerassistenzsystem, Infrastruktureinrichtung sowie Computerprogramm
DE102018207658B4 (de) Verfahren zum Verarbeiten von Sensordaten, Anordnung zur Verarbeitung von Sensordaten, Anordnung zum Verarbeiten einer Anfrage eines Ego-Fahrzeugs für ein weiteres Fahrzeug, Rechner zum Verarbeiten von Sensordaten sowie Rechner zum Verarbeiten einer Anfrage eines Ego-Fahrzeugs für ein weiteres Fahrzeug
DE102020208536A1 (de) Gateway-vorrichtung, abnormitätsüberwachungsverfahren und speichermedium
DE102020121540A1 (de) Bestimmungseinrichtung, Bestimmungssystem, Speichermedium, das ein Programm speichert, und Bestimmungsverfahren
DE102019004612A1 (de) Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät
DE102010028485A1 (de) Verfahren und Vorrichtung zur Absicherung von über eine Schnittstelle zu übertragenden Datenpaketen
DE102016216728A1 (de) Fehlerdiagnose in einem Bordnetz
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
DE112020005980T5 (de) Ermittlungsvorrichtung, Ermittlungsprogramm und Ermittlungsverfahren

Legal Events

Date Code Title Description
R012 Request for examination validly filed