-
Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Teilnehmers eines Datennetzwerks, eine Recheneinheit und ein Computerprogramm zu dessen Durchführung, weiterhin ein Verfahren zum Betreiben eines Datennetzwerks und ein Datennetzwerk.
-
Stand der Technik
-
Eine sichere Kommunikation zwischen verschiedenen Geräten wird in einer zunehmend vernetzten Welt immer wichtiger und stellt in vielen Anwendungsbereichen eine wesentliche Voraussetzung für die Akzeptanz und somit auch den wirtschaftlichen Erfolg der entsprechenden Anwendungen dar. Dies umfasst – je nach Anwendung – verschiedene Schutzziele, wie beispielsweise die Wahrung der Vertraulichkeit der zu übertragenden Daten, die gegenseitige Authentifizierung der beteiligten Knoten oder die Sicherstellung der Datenintegrität.
-
Kryptographische Verfahren können dazu beitragen, Systeme entsprechend abzusichern. Dies umfasst beispielsweise die Verschlüsselung von Daten, zur Wahrung der Vertraulichkeit, und die Authentifizierung von Nachrichten, zur Sicherstellung des Ursprungs einer Nachricht sowie zur Gewährleistung der Nachrichtenintegrität.
-
Dies kann generell sowohl mit symmetrischen als auch mit asymmetrischen Verfahren realisiert werden.
-
Asymmetrische Verfahren haben unter anderem den Nachteil, dass sie in der Regel eine sehr hohe Rechenkomplexität aufweisen. Bei symmetrischen Verfahren ist die Komplexität deutlich geringer, allerdings muss dabei sichergestellt werden, dass Sender und Empfänger einer Nachricht über denselben kryptographischen Schlüssel verfügen.
-
Unabhängig davon, wie Schlüssel in einem Kommunikationsnetzwerk verteilt werden, besteht das Problem, dass ein später neu hinzuzufügender Knoten zunächst ggf. weder aktiv noch passiv an der Kommunikation teilnehmen kann, da er die entsprechenden Schlüssel nicht kennt. Dies gilt insbesondere für den Fall eines Fahrzeugnetzwerkes, das im Folgenden exemplarisch betrachtet wird, wenngleich die prinzipiellen Überlegungen auch auf viele andere Anwendungsfälle und Szenarien anwendbar sind.
-
In einem sicheren Fahrzeugnetzwerk wird die Kommunikation (z.B. basierend auf CAN) zwischen verschiedenen Steuergeräten abgesichert. Dies kann allerdings zu Schwierigkeiten führen, falls später z.B. in einer Werkstatt mit Hilfe von geeigneten Diagnosegeräten der Verkehr auf dem Fahrzeugnetzwerk analysiert oder eigene Nachrichten abgesetzt werden sollen (z.B. zur Durchführung eines Software-Updates). Ohne Kenntnis der von den jeweiligen Kommunikationsgruppen verwendeten Schlüssel ist dies ggf. nicht möglich.
-
Eine Möglichkeit zur Lösung des Problems wäre die zentrale Speicherung der verwendeten Schlüssel für jedes Fahrzeug in einer Datenbank, auf die von einer Werkstatt zugegriffen werden kann. Dies bringt allerdings verschiedene Nachteile mit sich, wie z.B. dass es die Bereitstellung und den Betrieb einer entsprechenden Infrastruktur (Kosten, Aufwand, ...) erfordert, ggf. nicht funktioniert, falls keine Internetverbindung vorhanden ist, einen möglichen "Single Point of Failure" aus Security-Sicht darstellt, da, sofern es einem Angreifer gelingen würde, sich Zugang zu der zentralen Datenbank zu verschaffen, er in den Besitz aller darin gespeicherten Schlüssel käme.
-
Eine weitere Möglichkeit wäre die Verwendung immer desselben Schlüssels für alle Fahrzeuge, was aber ebenfalls nicht sinnvoll ist.
-
Auch wären die beiden Varianten ohnehin nur einsetzbar, wenn die verwendeten Schlüssel vorbestimmt sind. Verfahren mit zur Laufzeit generierten Schlüsseln benötigen eine alternative Lösung.
-
Aus der
EP 1494121 B1 ist bekannt, bei einem Computer abhängig von einem Aufenthaltsort unterschiedliche Sicherheitsstufen zu verwenden. Zur Erkennung, wo sich der Computer befindet, werden Bluetooth-Adressen benachbarter Geräte ausgewertet.
-
In der
US 7591020 B2 wird vorgeschlagen, eine Sicherheitsstufe auf Grundlage eines Orts, in dem sich ein Node befindet, auszuwählen. Der Ort kann beispielsweise mittels GPS oder Triangulation zwischen Access Points ermittelt werden.
-
In der
US 2007126560 A1 ist beschrieben, dass in einem Fahrzeug unterschiedliche Sicherheitsstufen implementiert sein können, die durch einen Fingerabdruckscan ausgewählt werden.
-
Diese Entgegenhaltungen betreffen jedoch jeweils den Zugang zu einem Teilnehmer und nicht eine Kommunikation zwischen Teilnehmern.
-
Offenbarung der Erfindung
-
Erfindungsgemäß werden ein Verfahren zum Betreiben eines Teilnehmers eines Datennetzwerks, eine Recheneinheit und ein Computerprogramm zu dessen Durchführung, weiterhin ein Verfahren zum Betreiben eines Datennetzwerks und ein Datennetzwerk mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
-
Die vorliegende Erfindung erlaubt kontext- bzw. situationsabhängig den Wechsel von Sicherheitsstufen in der Kommunikation und dadurch z.B. die Integration eines externen Gerätes als weiteren Teilnehmer in ein ansonsten abgesichertes Kommunikationssystem, indem der Teilnehmer des Datennetzwerks, wenn er in einem ersten, eine erste Sicherheitsstufe aufweisenden Kommunikationsmodus kommuniziert, bei Erkennen einer Umschaltsituation in einen zweiten, nicht die erste Sicherheitsstufe aufweisenden Kommunikationsmodus wechselt.
-
Die vorliegende Erfindung stellt eine Lösung vor, wie eine Sicherheitsstufe betreffend die Absicherung eines Datenverkehrs, z.B. die verwendeten Sicherheitsmechanismen (z.B. Verschlüsselung, Nachrichtenauthentifizierung usw.) oder die verwendeten kryptographischen Schlüssel, automatisiert gewechselt werden kann, bspw. um den Zugriff von außen auf ein ansonsten abgesichertes Netzwerk, z.B. mittels Diagnosegeräten o.ä. bspw. in einer sicheren bzw. definierten Umgebung, wie z.B. einer Kfz-Werkstatt oder einem Kfz-Prüfstand, zu ermöglichen.
-
Dies kann wichtig sein, da ansonsten bei einer abgesicherten Kommunikation der Nachrichtenverkehr mit entsprechenden Diagnosegeräten ggf. nicht analysiert werden kann (da das Diagnosegerät nicht zwingend die verwendeten kryptographischen Schlüssel kennt) bzw. da ansonsten keine eigenen gültigen bzw. von anderen Steuergeräten verständlichen bzw. akzeptierten Nachrichten übertragen werden können, bspw. zur Aktualisierung der Software eines Teilnehmers.
-
Dies ist bspw. wichtig, um auch mit vollkommen dezentralen Schlüsselverteilungsverfahren, wie beispielsweise in
DE 10 2015 207 220 A1 beschrieben, bspw. in einer Werkstatt in die Fahrzeugkommunikation aktiv oder passiv eingreifen zu können.
-
Die Erfindung kann prinzipiell auf eine Vielzahl von Kommunikationssystemen angewendet werden. Sie eignet sich insbesondere aber für die Kommunikation in Fahrzeugnetzwerken (z.B. CAN, TTCAN, CAN FD, LIN).
-
Eine erfindungsgemäße Recheneinheit, z.B. ein Steuergerät eines Kraftfahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
-
Auch die Implementierung des Verfahrens in Form eines Computerprogramms ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
-
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
-
Die Erfindung ist anhand eines Ausführungsbeispiels in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
-
Kurze Beschreibung der Zeichnungen
-
1 zeigt eine bevorzugte Ausführungsform eines als Fahrzeugnetzwerk ausgebildeten Datennetzwerks.
-
Ausführungsform(en) der Erfindung
-
In 1 wird ein Datennetzwerk 10, wie es einer bevorzugten Ausführungsform der Erfindung zugrunde liegen kann, beispielhaft anhand eines Fahrzeugnetzwerks (Datennetzwerk in einem Fahrzeug 1) erläutert, wobei in einer Werkstatt ein Diagnosegerät 20 an das Fahrzeugnetzwerk 10 angeschlossen wird und mit Steuergeräten 12, 13, 14 des Fahrzeugnetzwerks 10 kommunizieren können soll. Die Steuergeräte sind über ein Datenübertragungsmedium 11, hier z.B. CAN-Bus, datenübertragend verbunden. Prinzipiell ist die Erfindung auch auf viele andere Bereiche und Szenarien entsprechend übertragbar.
-
Anhand 1 wird im Folgenden eine bevorzugte Ausführungsform eines erfindungsgemäßen Verfahrens beschrieben, welches vier (zum Teil optionale) Schritte umfasst, und von wenigstens zwei als Steuergeräte ausgebildeten Recheneinheiten, vorzugsweise 12, 13 und 14, gemäß einer bevorzugten Ausführungsform der Erfindung ausgeführt wird.
-
In einem ersten Schritt wird von jedem der betreffenden Steuergeräte eine Umschaltsituation zum Wechsel des Kommunikationsmodus und damit einhergehend der Sicherheitsstufe betreffend eine Absicherung des Datenverkehrs erkannt.
-
Vorzugsweise umfasst das Erkennen der Umschaltsituation ein Erkennen einer vorbestimmten Betriebssituation. Bei einem Fahrzeug kann eine solche vorbestimmte Betriebssituation insbesondere der Betrieb auf einem Prüfstand, z.B. Rollenprüfstand, sein. Die vorbestimmte Betriebssituation kann insbesondere durch Auswerten geeigneter Fahrzeugsensorik 3, am Beispiel des Prüfstands z.B. ESP-Sensoren, Luftdruck-Sensoren, Temperatur-Sensoren, erkannt werden.
-
Wird insbesondere eine Prüfstandsituation erkannt, können ohne Verlust von Betriebssicherheit z.B. zahlreiche Sicherheitsmechanismen abgeschaltet werden, da eine mögliche unautorisierte Beeinflussung bestimmter Fahrzeugfunktionen (z.B. Bremsen, Motorsteuerung) anders als im regulären Betrieb keine sicherheitskritischen Auswirkungen hätte.
-
Vorzugsweise umfasst das Erkennen der Umschaltsituation ein Empfangen eines Umschaltbefehles. Ein solcher Umschaltbefehl kann beispielsweise von einer mit dem Datennetz bzw. einem Teilnehmer verbindbaren Schalteinrichtung ausgegeben oder ausgelöst werden. Eine solche Schalteinrichtung kann beispielsweise ein elektronischer oder mechanischer Schlüssel, Kopierschutzstecker ("Dongle"), RFID- oder NFC-Transponder, USB-Stick usw. sein.
-
Ein solcher Umschaltbefehl kann beispielsweise auch von einem mit dem Datennetz verbindbaren weiteren Teilnehmer, bspw. dem Diagnosegerät 20 oder ein entfernter Sicherheitsrechner 30, insbesondere des Fahrzeugherstellers, ausgegeben oder ausgelöst werden. Das Fahrzeug 1 kann dazu insbesondere eine Fernverbindungseinheit 2, wie z.B. ein GSM-Modul (auch 3G, 4G usw.), aufweisen.
-
Es bietet sich an, wenn ein Teilnehmer (z.B. ein sog. "Central Gateway") zum Empfangen des Umschaltbefehls eingerichtet ist und von diesem Teilnehmer dann (insbesondere entsprechend der ersten Sicherheitsstufe abgesicherte) Umschaltbefehle an die übrigen Teilnehmer verteilt werden. Somit kann auch der Empfang des Umschaltbefehls abgesichert werden, beispielsweise indem sog. Pre-Shared-Keys verwendet werden, die vorzugsweise nicht für die Kommunikation innerhalb des Datennetzwerks verwendet werden.
-
Vorzugsweise umfasst das Erkennen der Umschaltsituation ein Erkennen eines vorbestimmten Aufenthaltsortes. Bei einem Fahrzeug können ein solcher vorbestimmter Aufenthaltsort bzw. dessen Koordinaten insbesondere lokal und/oder remote aus einer Datenbank abgerufen werden. In einer solchen Datenbank können bspw. die Koordinaten von Werkstätten hinterlegt sein. Der vorbestimmte Aufenthaltsort kann insbesondere durch Auswerten von GPS-Sensoren 4 erkannt werden. Es ist in diesem Zusammenhang auch möglich, dass von dem Fahrzeug der aktuelle Aufenthaltsort bzw. dessen Koordinaten an einen entfernten Sicherheitsrechner 30, insbesondere des Fahrzeugherstellers, geschickt werden, der dann erkennen kann, ob es ein "sicherer" Aufenthaltsort ist und entsprechend eine Freigabe zum Kommunikationsmoduswechsel oder gleich einen Umschaltbefehl rückmeldet.
-
In einem zweiten Schritt wechseln die betreffenden Steuergeräte des Fahrzeugnetzwerks von einem ersten Kommunikationsmodus in einen zweiten Kommunikationsmodus. Diese Wechsel kann insbesondere den Wechsel von verwendeten Sicherheitsmechanismen und/oder verwendeter kryptographischer Schlüssel umfassen.
-
Vorzugsweise umfasst das Kommunizieren in dem zweiten Kommunikationsmodus ein Deaktivieren wenigstens eines oder aller in dem ersten Kommunikationsmodus eingesetzten Sicherheitsmechanismen. Ein solcher Sicherheitsmechanismus umfasst insbesondere ein Verschlüsseln einer Nachricht, insbesondere mittels erprobter Verschlüsselungsmechanismen wie z.B. AES, ein Authentifizieren einer Nachricht, insbesondere mittels erprobter Authentifizierungsmechanismen wie z.B. sog. "Message Authentication Codes". Durch diese Maßnahme wird das Erstellen der Nachricht dahingehend verändert, dass sie insbesondere von einem neuen Netzwerkteilnehmer verstanden werden kann.
-
Vorzugsweise umfasst das Kommunizieren in dem zweiten Kommunikationsmodus ein Ignorieren wenigstens eines oder aller in dem ersten Kommunikationsmodus eingesetzten Sicherheitsmechanismen. Durch diese Maßnahme wird das Empfangen einer Nachricht dahingehend verändert, dass insbesondere auch Nachrichten eines neuen Netzwerkteilnehmers akzeptiert werden, die beispielsweise unverschlüsselt und/oder unauthentifiziert usw. sind.
-
Vorzugsweise umfasst das Kommunizieren in dem zweiten Kommunikationsmodus ein Verwenden wenigstens eines anderen Schlüssels zur Absicherung der Kommunikation als in dem ersten Kommunikationsmodus. Hierzu können beispielsweise vorbestimmte Schlüssel verwendet werden, z.B. vorbestimmt für einen Hersteller, einen Fahrzeugtyp usw., oder neue Schlüssel unter Einbeziehung des neuen Teilnehmers erzeugt bzw. etabliert werden.
-
Anschließend kann insbesondere als weiterer Teilnehmer das Diagnosegerät 20 an der Kommunikation mit den betreffenden Steuergeräten des Fahrzeugnetzwerks teilnehmen.
-
In einem (optionalen) dritten Schritt wird von den betreffenden Steuergeräten eine Rückschaltsituation zum Wechsel zurück in den ersten Kommunikationsmodus erkannt.
-
Vorzugsweise umfasst das Erkennen einer Rückschaltsituation ein Aufhören des Erkennens einer Umschaltsituation. Wird also, um beim obigen Beispiel zu bleiben, erkannt, dass sich das Fahrzeug nicht mehr auf dem Prüfstand oder nicht mehr in der Werkstatt befindet, wird zurück in den ersten Kommunikationsgewechselt.
-
Vorzugsweise umfasst das Erkennen einer Rückschaltsituation ein Erkennen eines Ablaufs einer vorbestimmten Zeitspanne oder eines Zurücklegens einer vorbestimmten Wegstrecke nach dem Umschalten. Beispielsweise kann das betreffende Steuergerät dazu eingerichtet sein, nach z.B. 120 Minuten bzw. nach 10 km Fahrt zurück in den ersten Kommunikationsmodus zu wechseln.
-
Vorzugsweise umfasst das Erkennen einer Rückschaltsituation ein Empfangen eines Rückschaltbefehles, wobei hier alles oben im Zusammenhang mit dem Empfangen eines Umschaltbefehls genannte ebenso gilt.
-
Vorzugsweise umfasst das Erkennen einer Rückschaltsituation einen Neustart des Teilnehmers. In diesem Fall ist z.B. das betreffende Steuergerät dazu eingerichtet sein, nach einem Hochfahren zunächst automatisch in dem ersten Kommunikationsmodus (sozusagen als Standard-Kommunikationsmodus) zu kommunizieren.
-
Schließlich wechseln die betreffenden Steuergeräte des Fahrzeugnetzwerks in einem (optionalen) vierten Schritt von dem zweiten Kommunikationsmodus zurück in den ersten Kommunikationsmodus.
-
In einem alternativen (optionalen) dritten Schritt wird von den betreffenden Steuergeräten eine weitere Umschaltsituation zum Wechsel in einen dritten Kommunikationsmodus erkannt. Hierbei gilt alles oben im Zusammenhang mit dem Erkennen der Umschaltsituation genannte ebenso.
-
In einem alternativen (optionalen) vierten Schritt wechseln die betreffenden Steuergeräte des Fahrzeugnetzwerks von dem zweiten Kommunikationsmodus in einen dritten Kommunikationsmodus. Hierbei gilt alles oben im Zusammenhang mit dem Wechsel in den zweiten Kommunikationsmodus genannte ebenso.
-
Dasselbe ist mit noch weiteren vierten, fünften usw. Kommunikationsmodi durchführbar.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- EP 1494121 B1 [0011]
- US 7591020 B2 [0012]
- US 2007126560 A1 [0013]
- DE 102015207220 A1 [0019]