DE102016224198A1 - Secured communication protocol for safety-related functions of a control unit - Google Patents

Secured communication protocol for safety-related functions of a control unit Download PDF

Info

Publication number
DE102016224198A1
DE102016224198A1 DE102016224198.2A DE102016224198A DE102016224198A1 DE 102016224198 A1 DE102016224198 A1 DE 102016224198A1 DE 102016224198 A DE102016224198 A DE 102016224198A DE 102016224198 A1 DE102016224198 A1 DE 102016224198A1
Authority
DE
Germany
Prior art keywords
message
control
security
control unit
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016224198.2A
Other languages
German (de)
Inventor
Martin Geißenhöner
Steffen Knobloch
Matthias Rode
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102016224198.2A priority Critical patent/DE102016224198A1/en
Publication of DE102016224198A1 publication Critical patent/DE102016224198A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Steuern mindestens einer sicherheitsrelevanten Funktion einer Maschine mittels mindestens eines über eine von der Maschine umfassten Diagnosekommunikationsschnittstelle empfangenen Steuerbefehls, bei dem die mindestens eine sicherheitsrelevante Funktion in einem ersten Schritt (13) mittels einer Freischaltnachricht in einem Steuergerät der Maschine freigeschaltet und in einem zweiten Schritt (19) mittels einer Steuerungsnachricht gesteuert wird, wobei die mindestens eine sicherheitsrelevante Funktion nur dann gesteuert wird, wenn die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde, und bei dem die mindestens eine sicherheitsrelevante Funktion weiterhin nur dann gesteuert wird, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurden.The present invention relates to a method for controlling at least one safety-relevant function of a machine by means of at least one control command received via a diagnostic communication interface encompassed by the machine, in which the at least one safety-relevant function is enabled in a first step (13) by means of a release message in a control unit of the machine and in a second step (19) is controlled by means of a control message, wherein the at least one safety-relevant function is controlled only if the control message was received within a predetermined time period after the enable message from the controller via the diagnostic communication interface, and wherein the at least one safety-relevant function continues to be controlled only if the activation message by means of an included by the activation message authentication feature and the Steuernachric ht were authenticated by means of an authentication feature included in the control message.

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Steuern sicherheitsrelevanter Funktionen einer Maschine und ein zur Durchführung des vorgestellten Verfahrens konfiguriertes Steuergerät.The present invention relates to a method for controlling safety-relevant functions of a machine and to a control device configured to carry out the presented method.

Zum Steuern, d. h. zum Aktivieren bzw. Stoppen von sicherheitsrelevanten Funktionen, wie bspw. einem Öffnen bzw. Schließen einer Parkbremse oder einem Aktivieren bzw. Deaktivieren einer Zündung einer Maschine, werden Steuergeräte verwendet, die die Funktionen in Abhängigkeit von Steuerbefehlen steuern. Dabei ist die Steuerung der Funktionen im Kundenbetrieb über verschiedene Maßnahmen, wie bspw. Redundanzpfade, eine sichere Signalisierung oder einen Einbezug eines Nutzers abgesichert. Für bspw. Produktions- oder Wartungsverfahren kann es erforderlich sein, sicherheitsrelevante Funktionen über eine Diagnosekommunikation zu steuern, auch wenn kein Nutzer bzw. kein Fahrer aktiv ist.To control, d. H. For activating or stopping safety-relevant functions, such as opening or closing a parking brake or activating or deactivating an ignition of a machine, control devices are used which control the functions in response to control commands. The control of the functions in customer operation via various measures, such as. Redundancy paths, secure signaling or inclusion of a user is secured. For example, production or maintenance procedures, it may be necessary to control safety-related functions via a diagnostic communication, even if no user or no driver is active.

Da Kommunikationsprotokolle zum Übertragen von Steuerbefehlen über eine Diagnosekommunikationsschnittstelle in der Regel nicht mittels Sicherheitsmaßnahmen abgesichert sind, und Diagnosekommunikationsschnittstellen unter Verwendung frei verkäuflicher Mittel, wie bspw. sogenannter „OBD-Dongles“ anzusteuern sind, besteht Bedarf für einen Schutz von sicherheitsrelevanten Funktionen vor unberechtigten oder ungewollten Zugriffen.Since communication protocols for transmitting control commands via a diagnostic communication interface are generally not safeguarded by means of security measures, and diagnostic communication interfaces using freely negotiable means, such as so-called "OBD dongles" are to be controlled, there is a need for protection of security-related functions from unauthorized or unwanted queries.

In der deutschen Druckschrift DE 10 2008 041 360 A1 wird ein Verfahren zur Datenaktualisierung eines Steuergeräts offenbart, bei dem mittels eines Diagnosegeräts eine Prüfsummenüberprüfung an dem Steuergerät durchgeführt wird.In the German publication DE 10 2008 041 360 A1 discloses a method for updating data of a control unit, in which a checksum check is performed on the control unit by means of a diagnostic device.

Die deutsche Druckschrift DE 10 2009 001 397 A1 offenbart ein Verfahren zur Diagnose eines Kommunikationssystems eines Fahrzeugs in Bezug auf eine asymmetrische Verzögerung eines Datensignals.The German publication DE 10 2009 001 397 A1 discloses a method for diagnosing a communication system of a vehicle with respect to an asymmetric delay of a data signal.

Ein Kommunikationssystem zur Prüfung von fehlererkennenden Sicherheitsmechanismen eines Kommunikationsteilnehmers anhand einer zyklischen Redundanzprüfung ist in der deutschen Druckschrift DE 10 2013 020 522 A1 offenbart.A communication system for checking fault-detecting security mechanisms of a communication subscriber based on a cyclic redundancy check is in the German publication DE 10 2013 020 522 A1 disclosed.

Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung, ein Verfahren zum Schützen sicherheitsrelevanter Funktionen einer Maschine vor einer Steuerung durch über eine Diagnosekommunikationsschnittstelle mit der Maschine kommunizierende unberechtigte Dritte bereitzustellen.Against this background, it is an object of the present invention to provide a method for protecting safety-related functions of a machine from being controlled by unauthorized third parties communicating with the machine via a diagnostic communication interface.

Zur Lösung der voranstehend genannten Aufgabe wird ein Verfahren zum Steuern mindestens einer sicherheitsrelevanten Funktion einer Maschine mittels mindestens eines über eine von der Maschine umfassten Diagnosekommunikationsschnittstelle empfangenen Steuerbefehls vorgestellt, bei dem die mindestens eine sicherheitsrelevante Funktion in einem ersten Schritt mittels einer Freischaltnachricht in einem Steuergerät der Maschine freigeschaltet und in einem zweiten Schritt mittels einer Steuerungsnachricht gesteuert wird, wobei die mindestens eine sicherheitsrelevante Funktion nur dann gesteuert wird, wenn die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde, und bei dem die mindestens eine sicherheitsrelevante Funktion weiterhin nur dann gesteuert wird, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurden.In order to achieve the above object, a method for controlling at least one safety-relevant function of a machine by means of at least one control command received via a diagnostic communication interface encompassed by the machine is presented, in which the at least one safety-relevant function in a first step by means of a release message in a control unit of the machine is enabled and controlled in a second step by means of a control message, wherein the at least one safety-related function is controlled only if the control message within a predetermined time after the activation message was received by the controller via the diagnostic communication interface, and wherein the at least one security-related function continue to be controlled only if the activation message by means of an included by the activation message authentication feature and di e control message were authenticated by means of an authenticated feature included in the control message.

Ausgestaltungen der vorgestellten Erfindung ergeben sich aus der Beschreibung und den abhängigen Ansprüchen.Embodiments of the present invention will become apparent from the description and the dependent claims.

Das vorgestellte Verfahren dient insbesondere zum sicheren Steuern, d. h. zum Aktivieren bzw. Stoppen, von Funktionen einer Maschine für den Fall, dass Steuerbefehle zum Steuern der Funktionen der Maschine über eine Diagnosekommunikationsschnittstelle, d. h. eine zur Diagnose der Maschine vorgesehene Kommunikationsschnittstelle übertragen werden. Zur sicheren Steuerung von Funktionen, d. h. zur Steuerung der Funktionen lediglich für den Fall, dass ein Sender jeweiliger Steuerbefehle als zum Steuern entsprechender Funktionen berechtigt authentifiziert wurde, ist erfindungsgemäß vorgesehen, dass die Funktionen nur dann gesteuert werden, wenn die entsprechenden Funktionen in einem ersten Schritt mittels einer Freischaltnachricht freigeschaltet und in einem zweiten Schritt mittels einer Steuerungsnachricht aktiviert wurden und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde.The presented method is used in particular for secure control, i. H. for enabling or stopping functions of a machine in the event that control commands for controlling the functions of the machine via a diagnostic communication interface, d. H. a communication interface provided for diagnosing the machine is transmitted. For secure control of functions, d. H. For controlling the functions only in the event that a transmitter of respective control commands has been authenticated as authorized to control corresponding functions, the invention provides that the functions are controlled only if the corresponding functions are enabled in a first step by means of a release message and in a second step were activated by means of a control message and the control message was received within a predetermined time range after the activation message from the control unit via the diagnostic communication interface.

Durch die erfindungsgemäß vorgesehenen Bedingungen zur Steuerung von sicherheitsrelevanten Funktionen in Form einer zeitlichen Abfolge einer Übermittlung einer Freischaltnachricht und einer Steuerungsnachricht wird sichergestellt, dass ein die Steuerungsnachricht und die Freischaltnachricht übertragender Sender zur Steuerung entsprechender Funktionen berechtigt ist und nicht etwa ein bspw. mittels eines Standardkommunikationsprotokolls auf eine jeweilige Maschine zugreifender unberechtigter Dritter ist. Nur unter Kenntnis der Anforderungen an den zeitlichen Ablauf der Übertragung der Freischaltnachricht und der Steuerungsnachricht ist es unter Verwendung des vorgestellten Verfahrens möglich, sicherheitsrelevante Funktionen der Maschine zu steuern. Da ein Standardkommunikationsprotokoll, wie es bspw. zum Übertragen von Steuerbefehlen über eine Onboarddiagnoseschnittstelle vorgesehen ist, die erfindungsgemäß vorgesehene Übertragung von Freischaltnachricht und Steuerungsnachricht nicht vorsieht, ist eine Steuerung jeweiliger sicherheitsrelevanter Funktionen mittels eines bspw. kommerziell verfügbaren Onboarddiagnosekommunikationsgeräts, d. h. eines sogenannten „OBD-Dongles“ unter Verwendung des vorgestellten Verfahrens nicht möglich.The conditions provided according to the invention for controlling safety-relevant functions in the form of a chronological sequence of transmission of an enabling message and a control message ensure that a transmitter transmitting the control message and the enabling message is authorized to control corresponding functions and not, for example, by means of a standard communication protocol a respective machine accessing unauthorized third party. Only with knowledge of the requirements for the timing of the transfer of the Enable message and the control message, it is possible using the presented method to control safety-related functions of the machine. Since a standard communication protocol, as provided, for example, for transmitting control commands via an on-board diagnostic interface, does not provide the transmission of the enable message and control message provided according to the invention, a control of respective safety-relevant functions by means of, for example, a commercially available on-board diagnostic communication device, ie a so-called "OBD dongle "Not possible using the presented method.

Unter einer sicherheitsrelevanten Funktion ist im Kontext der vorliegenden Erfindung eine Funktion zu verstehen, die nach einem Kriterienkatalog, wie bspw. der ISO-Norm 26262, einer sicherheitsrelevanten Stufe zugeordnet wurde bzw. in eine Liste von sicherheitsrelevanten Funktionen aufgenommen wurde. Dabei kann in Ausgestaltung selbstverständlich vorgesehen sein, dass die Liste an sicherheitsrelevanten Funktionen bspw. von einem Techniker manuell angepasst, d. h. erweitert bzw. ergänzt werden kann.In the context of the present invention, a safety-relevant function is to be understood as a function which has been assigned to a security-relevant level or has been included in a list of safety-relevant functions in accordance with a criteria catalog, such as, for example, ISO standard 26262. It may of course be provided in an embodiment that the list of safety-relevant functions, for example, manually adjusted by a technician, d. H. can be extended or supplemented.

Um eine informationstechnische Attacke, bei der bspw. mittels eines Zufallsalgorithmus Freischaltnachrichten und Steuerungsnachrichten erzeugt werden, abzuwehren, ist insbesondere vorgesehen, dass eine jeweilige Freischaltnachricht bzw. eine jeweilige Steuerungsnachricht mittels eines jeweiligen Authentifizierungsnachweises authentifiziert werden. Durch einen Authentifizierungsnachweis, wie bspw. einen kryptographischen Schlüssel, wird eine Erzeugung von Freischaltnachrichten und Steuerungsnachrichten gegenüber einem Standardkommunikationsprotokoll, wie es im Stand der Technik verwendet wird, wesentlich erschwert. Da derartige Authentifizierungsmerkmale bzw. -nachweise in der Regel in endlicher Zeit zu finden, d. h. zu „knacken“ sind, ist erfindungsgemäß vorgesehen, die Steuerungsnachricht zeitlich an die Freischaltnachricht zu binden, so dass sowohl das Authentifizierungsmerkmal für die Freischaltnachricht als auch das Authentifizierungsmerkmal für die Steuerungsnachricht innerhalb eines vorgegebenen Zeitraums bereitgestellt werden müssen. Ein zufälliges Auffinden zweier Authentifizierungsmerkmale innerhalb des erfindungsgemäß vorgesehenen Zeitbereichs ist sehr unwahrscheinlich, was das Verfahren entsprechend sicher macht.In order to ward off an information technology attack in which, for example, by means of a random algorithm activation messages and control messages are generated, provision is made in particular for a respective activation message or a respective control message to be authenticated by means of a respective authentication certificate. Authentication proof, such as a cryptographic key, substantially complicates the generation of enable messages and control messages over a standard communication protocol as used in the prior art. Since such authentication features or proofs are usually found in finite time, i. H. are to "crack", is inventively provided to bind the control message in time to the activation message, so that both the authentication feature for the activation message and the authentication feature for the control message must be provided within a predetermined period. A random finding of two authentication features within the time range provided according to the invention is very unlikely, which makes the method correspondingly secure.

In einer möglichen Ausgestaltung des vorgesellten Verfahrens ist vorgesehen, dass die Steuerungsnachricht eine Aktivierungsnachricht zum Aktivieren der mindestens einen sicherheitsrelevanten Funktion oder eine Stoppnachricht zum Stoppen der mindestens einen sicherheitsrelevanten Funktion ist.In one possible embodiment of the presented method, it is provided that the control message is an activation message for activating the at least one security-relevant function or a stop message for stopping the at least one security-relevant function.

Mittels des vorgestellten Verfahren können sowohl Nachrichten, d. h. mittels der erfindungsgemäß vorgesehenen Diagnosekommunikationsschnittstelle empfangene Nachrichten zum Aktivieren als auch Nachrichten zum Stoppen von Funktionen einer jeweiligen Maschine überprüft und in Abhängigkeit eines Ergebnisses der Überprüfung geblockt, d. h. nicht zur Steuerung der Funktionen der Maschine verwendet werden.By means of the presented method both messages, i. H. messages for activation as well as messages for stopping functions of a respective machine, which are received by means of the diagnostic communication interface provided according to the invention, are checked and blocked as a function of a result of the check, d. H. not be used to control the functions of the machine.

In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass die Freischaltnachricht als Authentifizierungsmerkmal ein Freischaltmuster umfasst, das mit einem auf dem Steuergerät hinterlegten Referenzfreischaltmuster abgeglichen wird und die Freischaltung der mindestens einen sicherheitsrelevanten Funktion nur dann erfolgt, wenn das von der Freischaltnachricht umfasste Freischaltmuster mit dem auf dem Steuergerät hinterlegten Referenzfreischaltmuster übereinstimmt, und bei dem die Steuerungsnachricht als Authentifizierungsmerkmal ein Sicherheitsmuster umfasst, das mit einem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster abgeglichen wird und die Steuerung der mindestens einen sicherheitsrelevanten Funktion nur dann erfolgt, wenn das von der Steuerungsnachricht umfasste Sicherheitsmuster mit dem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster übereinstimmt.In another possible embodiment of the presented method, it is provided that the activation message includes an activation pattern as an authentication feature, which is matched with a reference unlock pattern stored on the control unit and the activation of the at least one security-relevant function only takes place if the activation pattern encompassed by the activation message has coincides with the reference clear pattern stored on the control unit, and in which the control message comprises a security pattern as an authentication feature, which is matched with a reference security pattern stored on the control unit and the control of the at least one security-relevant function only takes place if the security pattern comprised by the control message with the on the control unit stored reference security pattern.

Zum Authentifizieren eines Nutzers und entsprechend zum Verhindern einer Steuerung von Funktionen einer Maschine durch einen nicht authentifizierten Nutzer ist es vorgesehen, dass die erfindungsgemäß vorgesehenen Freischalt- und Steuerungsnachrichten jeweils mittels eines Authentifizierungsmerkmals überprüft werden. Dabei ist insbesondere vorgesehen, dass als Authentifizierungsmerkmal ein Muster gewählt wird, das bspw. einem Zahlen- und/oder Zeichencode bzw. Buchstabencode entspricht, und das mit einem entsprechenden auf einem Steuergerät der Maschine hinterlegten Referenzmuster, d. h. einem Referenzfreischaltmuster bzw. einem Referenzsicherheitsmuster, abgeglichen wird. Durch die Verwendung zweier unterschiedlicher Authentifizierungsmerkmale für die Freischaltnachricht und die Steuerungsnachricht, d. h. einem Freischaltmuster und einem Sicherheitsmuster, ist eine jeweilige zu steuernde Funktion mittels zweier Authentifizierungsmerkmale vor einer Steuerung durch unberechtigte Dritte geschützt. Dabei ist es besonders vorteilhaft, wenn das Freischaltmuster und das Sicherheitsmuster eine möglichst geringe Ähnlichkeit bzw. eine möglichst große „Hamming“-Distanz zeigen.In order to authenticate a user and accordingly to prevent control of functions of a machine by an unauthenticated user, it is provided that the activation and control messages provided according to the invention are respectively checked by means of an authentication feature. In this case, it is provided in particular that a pattern is selected as the authentication feature, which corresponds, for example, to a number and / or character code or letter code, and which corresponds to a corresponding reference pattern stored on a control unit of the machine, i. H. a reference clear pattern or a reference security pattern, is adjusted. By using two different authentication features for the unlock message and the control message, i. H. an unlock pattern and a security pattern, a respective function to be controlled is protected by means of two authentication features from being controlled by unauthorized third parties. It is particularly advantageous if the unlock pattern and the security pattern show the lowest possible similarity or the largest possible "Hamming" distance.

Unter einer „Hamming“-Distanz ist ein Maß für eine Unterschiedlichkeit von Zeichenketten zu verstehen. Eine „Hamming“-Distanz zweier Zeichenblöcke mit fester Länge entspricht bspw. der Anzahl von zwischen den zwei Zeichenblöcken unterschiedlichen Stellen.A "Hamming" distance is a measure of a difference of strings to understand. A "Hamming" distance of two character blocks with a fixed length corresponds, for example, to the number of different places between the two character blocks.

In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass ein vollständiger Empfang der Freischaltnachricht und/oder der Steuerungsnachricht anhand einer Prüfsumme der Freischaltnachricht und/oder der Steuerungsnachricht überprüft wird, wobei ein Wert der Prüfsumme für die Freischaltnachricht durch die Freischaltnachricht und ein Wert der Prüfsumme für die Steuerungsnachricht durch die Steuerungsnachricht übermittelt wird, und bei dem die jeweiligen Werte der Prüfsummen mit jeweiligen durch das Steuergerät gemäß einem vorgegebenen Berechnungsschema ermittelten Werten für die Freischaltnachricht und die Steuerungsnachricht abgeglichen werden. Selbstverständlich kann auch vorgesehen sein, dass die Werte der Prüfsumme für die Freischaltnachricht und der Prüfsumme für die Steuerungsnachricht in einem Speicher eines jeweiligen Steuergeräts für verschiedene Nachrichten hinterlegt sind.In a further possible embodiment of the presented method, it is provided that a complete reception of the activation message and / or the control message is checked on the basis of a checksum of the activation message and / or the control message, wherein a value of the checksum for the release notification by the activation message and a value of Checksum for the control message is transmitted by the control message, and in which the respective values of the checksums with respective values determined by the controller according to a predetermined calculation scheme for the enable message and the control message are adjusted. Of course, it can also be provided that the values of the checksum for the enable message and the checksum for the control message are stored in a memory of a respective control device for various messages.

Mittels einer Prüfsumme, die bspw. eine Quersumme von Werten, die jeweiligen Zeichen einer Nachricht zugewiesen sind bzw. einen sogenannten „CRC-Wert“ angibt, kann die Nachricht auf Vollständigkeit geprüft werden und bspw. für den Fall, dass eine Quersumme von Werten jeweiliger Zeichen nicht einer bspw. von der Nachricht selbst vorgegebenen Prüfsumme entspricht, die Nachricht gelöscht und neu angefordert bzw. nicht zur Steuerung jeweiliger Funktionen verwendet wird. Insbesondere in Kombination mit einem Freischaltmuster kann mittels einer Prüfsumme ein vollständiger bzw. fehlerfreier Empfang eines Freischaltmusters bzw. einer ein Freischaltmuster umfassenden Nachricht überprüft werden. Es ist insbesondere denkbar, dass jeweilige Prüfsummen jeweiliger Nachrichten in einer sogenannten „zyklischen Redundanzprüfung“ unter Verwendung eines „CRC-Werts“ überprüft werden.By means of a checksum, for example, a checksum of values assigned to respective characters of a message or indicating a so-called "CRC value", the message can be checked for completeness and, for example, in the event that a cross sum of values The character does not correspond to, for example, a check sum specified by the message itself, the message is deleted and newly requested or not used to control the respective functions. In particular in combination with an activation pattern, a complete or error-free receipt of a release pattern or a message comprising a release pattern can be checked by means of a checksum. In particular, it is conceivable that respective checksums of respective messages are checked in a so-called "cyclic redundancy check" using a "CRC value".

In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass das Freischaltmuster und/oder das Sicherheitsmuster derart gewählt werden, dass eine Hamming-Distanz zwischen der Freischaltnachricht und der Steuerungsnachricht einen vorgegebenen Schwellenwert nicht unterschreitet.In a further possible embodiment of the presented method, it is provided that the unlock pattern and / or the security pattern are selected such that a Hamming distance between the unlock message and the control message does not fall below a predetermined threshold value.

Um ein böswilliges Erzeugen von Freischalt- und Steuerungsnachrichten durch unberechtigte Dritte zu erschweren bzw. zu vermeiden, ist vorgesehen, dass sich eine jeweilige Freischaltnachricht zumindest teilweise von einer jeweiligen Steuerungsnachricht unterscheiden muss. Insbesondere ist vorgesehen, dass sich ein Freischaltmuster einer jeweiligen Freischaltnachricht von einem Sicherheitsmuster einer jeweiligen Steuerungsnachricht unterscheiden muss. Um eine Ähnlichkeit jeweiliger Nachrichten zu messen, und die Nachrichten ggf. so zu verändern, dass diese sich unähnlicher werden, kann eine Hamming-Distanz, d. h. ein Hamming-Abstand, zwischen den jeweiligen Nachrichten berechnet werden, indem bspw. eine Anzahl an Zeichen ermittelt wird, die sich zwischen den jeweiligen Nachrichten nicht entsprechen. Sollte die Hamming-Distanz unterhalb eines vorgegebenen Schwellenwerts liegen, so muss eine jeweilige Nachricht, insbesondere ein jeweiliges Freischalt- bzw. Sicherheitsmuster neu erstellt werden, bevor es zur Durchführung des vorgestellten Verfahrens verwendet werden darf.In order to make it difficult or unwilling to maliciously generate activation and control messages by unauthorized third parties, it is provided that a respective release message must at least partially be different from a respective control message. In particular, it is provided that a release pattern of a respective release message must be different from a security pattern of a respective control message. In order to measure a similarity of respective messages, and if necessary to change the messages so that they become more dissimilar, a Hamming distance, i. H. Hamming distance, between the respective messages are calculated by, for example, a number of characters is determined, which do not correspond between the respective messages. Should the Hamming distance be below a predefined threshold value, then a respective message, in particular a respective unlocking or security pattern, must be recreated before it may be used to carry out the presented method.

Insbesondere ist vorgesehen, dass zum Steuern einer jeweiligen sicherheitsrelevanten Funktion einer Maschine ein Verfahren verwendet wird, bei dem die Funktion nur dann gesteuert wird, wenn eine Steuerungsnachricht innerhalb eines vorgegebenen Zeitraums nach einer Freischaltnachricht von der Maschine empfangen wird und ein Freischaltmuster der Freischaltnachricht einem in einem Speicher der Maschine hinterlegten Referenzfreischaltmuster entspricht und ein Sicherheitsmuster der Steuerungsnachricht einem in dem Speicher hinterlegten Referenzsicherheitsmuster entspricht, und eine Überprüfung der Freischaltnachricht und der Steuerungsnachricht anhand einer Prüfsumme ergibt, dass sowohl die Freischaltnachricht als auch die Steuerungsnachricht fehlerfrei von der Maschine empfangen wurden, und eine Hamming-Distanz zwischen der Freischaltnachricht und der Steuerungsnachricht einen vorgegebenen Schwellenwert nicht unterschreitet. Dabei ist insbesondere vorgesehen, dass die Prüfsumme über eine komplette Nachricht hinweg gebildet wird, d. h. alle Zeichen der Nachricht, inklusive jeweiliger übergebener Parameter.In particular, it is provided that for controlling a respective safety-related function of a machine, a method is used in which the function is controlled only when a control message is received within a predetermined period of time after a release message from the machine and a release pattern of the release message one in a Memory of the machine stored Referenzfreischaltmuster and a security pattern of the control message corresponds to a stored in the memory reference security pattern, and a check of the activation message and the control message based on a checksum shows that both the activation message and the control message were received error-free from the machine, and a Hamming -Distance between the unlock message and the control message does not fall below a predetermined threshold. It is provided in particular that the checksum is formed over a complete message across, d. H. all characters of the message, including respective transferred parameters.

In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass der Schwellenwert der Hamming-Distanz in Abhängigkeit einer Sicherheitsstufe der mindestens einen sicherheitsrelevanten Nachricht gewählt wird.In a further possible embodiment of the presented method, it is provided that the threshold value of the Hamming distance is selected as a function of a security level of the at least one security-relevant message.

Um ein Sicherheitsniveau für besonders sicherheitsrelevante Funktionen, die bspw. gemäß einem Schema nach ISO 26262 einer obersten Sicherheitsebene zugeordnet sind, zu maximieren, kann vorgesehen sein, dass Freischaltnachrichten und Steuerungsnachrichten zur Aktivierung derartiger Funktionen eine besonders große Hamming-Distanz zeigen müssen, so dass insbesondere deren Freischaltmuster und Sicherheitsmuster möglichst wenig Übereinstimmungen aufweisen und bspw. ein Schema, dass zum Ermitteln der Freischaltnachricht ermittelt wurde, nicht zum Ermitteln der Steuerungsnachricht verwendet werden kann.In order to maximize a security level for particularly security-relevant functions, which, for example, are assigned to an uppermost security level according to a scheme according to ISO 26262, it can be provided that activation messages and control messages for activating such functions must show a particularly large Hamming distance, in particular their activation pattern and security pattern have as few matches and, for example, a scheme that was determined to determine the activation message can not be used to determine the control message.

In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass nach einem Empfang einer Freischaltnachricht eine Zeitmessfunktion aktiviert wird, die eine seit dem Empfang der Freischaltnachricht vergangene Zeit bestimmt, und bei dem die mindestens eine sicherheitsrelevante Funktion nur dann aktiviert wird, wenn die Steuerungsnachricht innerhalb eines Zeitbereichs nach dem Empfang der Freischaltnachricht empfangen wurde, der unterhalb eines vorgegebenen Schwellenwerts liegt.In a further possible embodiment of the presented method, it is provided that after receiving an activation message a time-measuring function is activated which determines a time elapsed since the reception of the activation message, and in which the at least one security-relevant function is activated only if the control message has been received within a time period after the reception of the activation message, which is below a predetermined threshold value.

Mittels einer Zeitmessfunktion, d. h. einem sogenannten „Timer“, der bspw. als Countdown ausgestaltet ist, der von einem vorgegebenen Wert, wie bspw. zwei Sekunden, aus abläuft, kann ein Eingang einer jeweiligen Steuerungsnachricht in Relation zu einem Empfang einer jeweiligen Freischaltnachricht gebracht werden, so dass eine jeweilige sicherheitsrelevante Funktion dann aktiviert wird, wenn eine Steuerungsnachricht von einer jeweiligen Maschine empfangen wurde bevor ein nach einem Empfang einer Freischaltnachricht ausgelöster Countdown abgelaufen ist.By means of a timing function, d. H. a so-called "timer", which is designed, for example, as a countdown, which expires from a predetermined value, such as, for example, two seconds, an input of a respective control message can be related to a receipt of a respective enable message, so that a respective one safety-relevant function is activated when a control message has been received by a respective machine before a countdown triggered after receipt of an activation message has expired.

In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass eine Nachricht zum Steuern einer gemäß einem vorgegebenen Schema als sicherheitsrelevant eingestuften Funktion eines Steuergeräts nach einem Empfang der Nachricht durch das Steuergerät zuerst auf eine Sicherheitsrelevanz überprüft wird und für den Fall, dass es sich bei der Nachricht um eine Nachricht zum Steuern einer sicherheitsrelevanten Funktion handelt, die Nachricht an ein Sicherheitsmodul des Steuergeräts weitergeleitet wird, in dem eine Überprüfung eines zeitlichen Abstands zwischen einem Empfang einer der Nachricht zugrundeliegenden Freischaltnachricht und einem Empfang einer der Nachricht zugrundliegenden Steuerungsnachricht stattfindet und, die Freischaltnachricht und die Steuerungsnachricht anhand jeweiliger Authentifizierungsmerkmale überprüft werden, und bei dem das Sicherheitsmodul jeweilige von der Nachricht umfasste Steuerbefehle an dem Steuergerät nur dann steuert, wenn die Überprüfung des zeitlichen Abstands und, die Überprüfung anhand der jeweiligen Authentifizierungsmerkmale zu einem Ergebnis führt, gemäß dessen die Nachricht als sicher eingestuft wird.In a further possible embodiment of the presented method, it is provided that a message for controlling a function of a control device classified as safety-relevant according to a predetermined scheme is first checked for safety relevance after reception of the message by the control device and in the event that it is the message is a message for controlling a security-related function, the message is forwarded to a security module of the controller, in which there is a check of a time interval between receipt of the message underlying release message and receiving a control message underlying the message and, the activation message and the control message is checked against respective authentication features, and wherein the security module only controls respective control commands included in the message at the controller if the checking of the time interval and the verification based on the respective authentication features leads to a result according to which the message is classified as secure.

Mittels eines Sicherheitsmoduls, das als Softwaremodul in ein bereits existierendes Steuergerät implementiert oder als Hardwaremodul bei einer Konstruktion eines Steuergeräts berücksichtigt bzw. mit einem bereits existierenden Steuergerät verbunden werden kann, können, um das Steuergerät gegenüber Zugriffen unberechtigter Dritter abzusichern, zur Steuerung von Funktionen des Steuergeräts bzw. einer von dem Steuergerät gesteuerten Maschine, wie bspw. einem Fahrzeug, von dem Steuergerät empfangene Nachrichten vor einer Aktivierung in dem Steuergerät bzw. der Maschine überprüft und, in Abhängigkeit eines Ergebnisses der Überprüfung, geblockt, d. h. bspw. gelöscht, oder aktiviert werden. Es ist insbesondere vorgesehen, dass jeweilige Nachrichten stets dann an das Sicherheitsmodul weitergeleitet werden, wenn diese Steuerbefehle Funktionen umfassen, die gemäß einem Schema, wie bspw. nach ISO 26262 als sicherheitsrelevant eingestuft sind und alle weiteren Steuerbefehle, d. h. alle Steuerbefehle für Funktionen, die gemäß dem Schema nicht als sicherheitsrelevant eingestuft sind, direkt, d. h. ohne Weiterleitung an das Sicherheitsmodul, an dem Steuergerät bzw. der Maschine aktiviert werden.By means of a security module that can be implemented as a software module in an existing control unit or considered as a hardware module in a construction of a controller or connected to an existing control unit, to protect the control unit against access by unauthorized third parties, to control functions of the control unit or a machine controlled by the controller, such as a vehicle, checks messages received from the controller prior to activation in the controller or machine and blocks, depending on a result of the check, d. H. for example, deleted, or activated. In particular, it is provided that respective messages are always forwarded to the security module if these control commands include functions that are classified as security-relevant according to a scheme such as, for example, ISO 26262 and all other control commands, ie. H. all control commands for functions that are not classified as safety-relevant according to the scheme, directly, d. H. be activated without forwarding to the safety module, on the control unit or the machine.

Ferner betrifft die vorliegende Erfindung ein Steuergerät für eine Maschine mit einer Diagnosekommunikationsschnittstelle, wobei das Steuergerät dazu konfiguriert ist, mindestens eine als sicherheitsrelevant eingestufte Funktion des Steuergeräts nur dann zu steuern, wenn von dem Steuergerät über die Diagnosekommunikationsschnittstelle in einem ersten Schritt eine Freischaltnachricht zum Freischalten der mindestens einen Funktion und in einem zweiten Schritt eine Steuerungsnachricht zum Steuern der mindestens einen Funktion empfangen wurde, und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht empfangen wurde und wobei das Steuergerät weiterhin dazu konfiguriert ist, die als sicherheitsrelevant eingestufte Funktion nur dann zu steuern, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurde.Furthermore, the present invention relates to a control device for a machine with a diagnostic communication interface, wherein the control device is configured to control at least one classified as a safety-relevant function of the controller only if of the control unit via the diagnostic communication interface in a first step, an enabling message to unlock the at least one function and in a second step a control message for controlling the at least one function has been received, and the control message has been received within a predetermined time period after the enable message, and wherein the controller is further configured to control the security relevant function only if the activation message by means of an authentication feature included in the activation message and the control message by means of an authenticated by the control message has been authenticated.

Das vorgestellte Steuergerät dient insbesondere zur Durchführung des vorgestellten Verfahrens.The presented control unit is used in particular for carrying out the presented method.

In einer möglichen Ausgestaltung des vorgestellten Steuergeräts ist vorgesehen, dass das Steuergerät ein Basismodul zum Steuern von nicht sicherheitsrelevanten Funktionen und ein Sicherheitsmodul zum Steuern von sicherheitsrelevanten Funktionen umfasst. Dabei ist weiterhin vorgesehen, dass das Steuergerät dazu konfiguriert ist, in Abhängigkeit eines vorgegebenen Zuordnungsschemas jeweilige von durch das Steuergerät empfangenen Nachrichten umfasste Steuerbefehle an das Sicherheitsmodul zu übertragen.In one possible embodiment of the presented control unit, it is provided that the control unit comprises a base module for controlling non-safety-relevant functions and a safety module for controlling safety-relevant functions. In this case, it is further provided that the control unit is configured to transmit respective control commands included in the messages received by the control unit to the security module as a function of a predetermined allocation scheme.

Mittels einem Steuergerät, das in ein Basismodul und ein Sicherheitsmodul unterteilt ist, können nicht sicherheitsrelevante Steuerbefehle, wie bspw. Steuerbefehle zum Abrufen von Informationen, direkt, d. h. ohne weitere Prüfung, in dem Basismodul aktiviert werden und sicherheitsrelevante Steuerbefehle, wie bspw. Steuerbefehle zum Aktivieren einer Feststellbremse eines Fahrzeugs, lediglich dann aktiviert werden, wenn eine Freischaltnachricht und eine Steuerungsnachricht mittels eines jeweiligen Authentifizierungsmerkmals authentifiziert wurden und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde.By means of a control unit which is subdivided into a basic module and a safety module, non-safety-relevant control commands, such as control commands for retrieving information, can be activated directly, ie without further testing, in the basic module and safety-relevant control commands, such as, for example, control commands for activation a parking brake of a vehicle, only be activated when a release message and a control message by means of a respective Authentication feature were authenticated and the control message was received within a predetermined time range after the activation message from the controller via the diagnostic communication interface.

Es ist denkbar, dass für den Fall, dass eine Überprüfung bzw. Authentifizierung einer jeweiligen Freischaltnachricht bzw. Steuerungsnachricht mittels des erfindungsgemäßen Verfahrens erfolgreich war, und bspw. von der Steuerungsnachricht umfasste Steuerbefehle zu aktivieren bzw. an dem Steuergerät einzustellen sind, das Sicherheitsmodul die Steuerbefehle direkt aktiviert oder eine entsprechende Aktivierungsnachricht an das Steuergerät übermittelt.It is conceivable that in the event that a check or authentication of a respective unlock message or control message was successful by means of the inventive method, and for example. To include control commands included by the control message or to be set on the control unit, the security module, the control commands directly activated or transmitted a corresponding activation message to the controller.

In einer weiteren möglichen Ausgestaltung des vorgestellten Steuergeräts ist vorgesehen, dass das Steuergerät ein Steuergerät zum Steuern von Funktionen eines Fahrzeugs und die Diagnosekommunikationsschnittstelle eine Onboarddiagnoseschnittstelle ist.In a further possible embodiment of the presented control device, it is provided that the control device is a control device for controlling functions of a vehicle and the diagnostic communication interface is an onboard diagnostic interface.

Das vorgestellte Steuergerät und das vorgestellte Verfahren dienen insbesondere zum Schützen eines Fahrzeugs gegenüber unberechtigten Dritten bzw. ungewollten Zugriffen auf sicherheitsrelevante Funktionen eines Fahrzeug, so dass bspw. ausschließlich berechtigtes Personal, bspw. in einem Produktions- oder Kundendienstbetrieb Zugriff auf sicherheitsrelevante Funktionen des Fahrzeugs erhält.The presented control unit and the presented method are used in particular for protecting a vehicle from unauthorized third parties or unintentional access to safety-relevant functions of a vehicle, so that, for example, only authorized personnel, for example, in a production or customer service operation, obtains access to safety-relevant functions of the vehicle.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.

Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.

Die Erfindung ist anhand von Ausführungsformen in der Zeichnung schematisch dargestellt und wird unter Bezugnahme auf die Zeichnung schematisch und ausführlich beschrieben.

  • 1 zeigt eine schematische Darstellung eines Ablaufs einer möglichen Ausgestaltung des vorgestellten Verfahrens.
The invention is schematically illustrated by means of embodiments in the drawing and will be described schematically and in detail with reference to the drawing.
  • 1 shows a schematic representation of a flow of a possible embodiment of the presented method.

In 1 ist ein Ablaufschema 1 zum Steuern einer Funktion eines Fahrzeugs dargestellt. Um während einer Inspektion des Fahrzeugs eine Feststellbremse des Fahrzeugs zu aktivieren, ohne einen Schalter zum Steuern der Feststellbremse des Fahrzeugs in einem Innenraum des Fahrzeugs zu betätigen, übermittelt ein Techniker in einem Übertragungsschritt 3 einen entsprechenden Steuerbefehl über eine Onboarddiagnoseschnittstelle (OBD) an ein Steuergerät des Fahrzeugs.In 1 is a flowchart 1 for controlling a function of a vehicle. In order to activate a parking brake of the vehicle during an inspection of the vehicle without actuating a switch for controlling the parking brake of the vehicle in an interior of the vehicle, a technician transmits in a transfer step 3 a corresponding control command via an onboard diagnostic interface (OBD) to a control unit of the vehicle.

In einem Überprüfungsschritt 5 überprüft das Steuergerät, ob der in dem Übertragungsschritt 3 übertragene Steuerbefehl dazu vorgesehen ist, eine anhand eines vorgegebenen Schemas, bspw. gemäß der ISO-Norm 26262 als sicherheitsrelevant eingestufte Funktion zu steuern. Sollte der Steuerbefehl zum Steuern sicherheitsrelevanter Funktionen vorgesehen sein, wird eine den Steuerbefehl umfassende Nachricht in einem Sicherheitsschritt 7 zu einem Sicherheitsmodul des Steuergeräts übertragen. Sollte der Steuerbefehl lediglich zum Steuern nicht sicherheitsrelevanter Funktionen vorgesehen sein, wird der Steuerbefehl in einem Stellschritt 9 direkt zum Steuern entsprechender Funktionen des Steuergeräts bzw. des Fahrzeugs verwendet.In a verification step 5 the control unit checks whether in the transmission step 3 transmitted control command is provided to a based on a predetermined scheme, eg. According to the ISO standard 26262 to control function classified as safety-relevant. If the control command for controlling safety-relevant functions is provided, a message comprising the control command is transmitted in a security step 7 to a security module of the control unit. If the control command is intended only for controlling non-safety-related functions, the control command is in a setting step 9 used directly to control appropriate functions of the controller or the vehicle.

Vorliegend wurde der Steuerbefehl zum Aktivieren der Feststellbremse als sicherheitsrelevant eingestuft und die über die Onboarddiagnoseschnittstelle übertragene und den Steuerbefehl umfassende Nachricht in dem Sicherheitsschritt 7 zu dem Sicherheitsmodul übertragen. Das Sicherheitsmodul überprüft zunächst in einem ersten Prüfschritt 11, ob die Nachricht vollständig empfangen wurde. Dazu wird von der Nachricht, die vorliegend einer Freischaltnachricht entspricht, eine Prüfsumme gebildet und mit einer von der Freischaltnachricht bereitgestellten Referenzprüfsumme abgeglichen. Sollte bei einem Abgleich der Prüfsumme mit der Referenzprüfsummen ein Ergebnis ungleich Null ermittelt werden, wird die Nachricht komplett verworfen und eine aktuelle Einstellung der Feststellbremse nicht verändert. Sollte der Abgleich der Prüfsumme der Freischaltnachricht mit der Referenzprüfsumme zu einem Ergebnis gleich Null führen, kann davon ausgegangen werden, dass die Freischaltnachricht vollständig bzw. fehlerfrei empfangen wurde.In the present case, the control command for activating the parking brake has been classified as safety-relevant, and the message transmitted via the on-board diagnostic interface and comprising the control command in the security step 7 transmitted to the security module. The safety module first checks in a first test step 11 whether the message was completely received. For this purpose, a checksum is formed by the message, which in this case corresponds to an activation message, and compared with a reference checksum provided by the activation message. If, when the checksum is compared with the reference checksums, a result not equal to zero is determined, the message is completely discarded and a current setting of the parking brake is not changed. If the comparison of the checksum of the release message with the reference checksum leads to a result equal to zero, it can be assumed that the release message was received completely or without error.

Sobald feststeht, dass die Freischaltnachricht vollständig bzw. fehlerfrei empfangen wurde, wird in einem ersten Validierungsschritt 13 eine in der Freischaltnachricht angegebene Funktion freigeschaltet, d. h. für eine Aktivierung bereitgestellt. Weiterhin wird in dem ersten Validierungsschritt 13 eine Timer-Funktion ausgelöst, die einen Countdown von zwei Sekunden ablaufen lässt. Sollte während des Countdowns, d. h. bevor der Countdown Null erreicht, eine Steuerungsnachricht, empfangen werden, wird die Timer-Funktion gestoppt und die Steuerungsnachricht in einem zweiten Prüfschritt 15 anhand einer von der Steuerungsnachricht ermittelten Prüfsumme und einer von der Steuerungsnachricht bereitgestellten Referenzprüfsumme auf Vollständigkeit und Fehlerfreiheit analog zu dem ersten Prüfschritt 11 überprüft.As soon as it is established that the activation message has been received completely or without error, in a first validation step 13 unlocked a function specified in the activation message, ie provided for activation. Furthermore, in the first validation step 13 triggered a timer function that allows a countdown of two seconds to elapse. Should a control message be received during the countdown, ie before the countdown reaches zero, the timer function is stopped and the control message is checked for completeness and accuracy in a second checking step 15 on the basis of a checksum determined by the control message and a reference checksum provided by the control message analogous to the first test step 11 checked.

Sobald feststeht, dass die Steuerungsnachricht vollständig bzw. fehlerfrei empfangen wurde, werden sowohl die Freischaltnachricht als auch die Steuerungsnachricht in einem zweiten Validierungsschritt 17 einzeln überprüft. Once it is determined that the control message has been received completely, both the unlock message and the control message will be in a second validation step 17 individually checked.

Zur Überprüfung in dem zweiten Validierungsschritt 17 werden ein von der Freischaltnachricht umfasstes Freischaltmuster mit einem auf dem Steuergerät hinterlegten Referenzfreischaltmuster und ein von der Steuerungsnachricht umfasstes Sicherheitsmuster mit einem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster abgeglichen. Sollte sich bei dem Abgleich des Freischaltmusters mit dem Referenzfreischaltmuster oder dem Abgleich des Sicherheitsmusters mit dem Referenzsicherheitsmuster ein Unterschied ergeben, wird die Funktion verworfen und die aktuelle Einstellung der Feststellbremse bleibt unverändert.For verification in the second validation step 17 If an unlock pattern encompassed by the unlock message is matched with a reference clear pattern stored on the control unit and a security pattern encompassed by the control message is matched with a reference security pattern stored on the control unit. If there is a difference in the alignment of the clearance pattern with the reference clearance pattern or the alignment of the safety pattern with the reference safety pattern, the function is discarded and the current setting of the parking brake remains unchanged.

Sollten der Abgleich des Freischaltmusters mit dem Referenzfreischaltmuster und der Abgleich des Sicherheitsmusters mit dem Referenzsicherheitsmuster keinen Unterschied ergeben, kann davon ausgegangen werden, dass die Freischaltnachricht und die Steuerungsnachricht authentisch sind, d. h. von einem autorisierten Nutzer stammen und zum Steuern einer Funktion des Steuergeräts, wie bspw. vorliegend zum Aktivieren der Feststellbremse verwendet werden können. Entsprechend wird der von der Nachricht umfasste Steuerbefehl an die Feststellbremse weitergeleitet und diese in einem Stellschritt 19 aktiviert.If the adjustment of the release pattern with the reference clear pattern and the comparison of the security pattern with the reference security pattern show no difference, it can be assumed that the release message and the control message are authentic, ie originate from an authorized user and to control a function of the control device, such in the present case can be used to activate the parking brake. Accordingly, the control command encompassed by the message is forwarded to the parking brake and this in a setting step 19 activated.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102008041360 A1 [0004]DE 102008041360 A1 [0004]
  • DE 102009001397 A1 [0005]DE 102009001397 A1 [0005]
  • DE 102013020522 A1 [0006]DE 102013020522 A1 [0006]

Claims (12)

Verfahren zum Steuern mindestens einer sicherheitsrelevanten Funktion einer Maschine mittels mindestens eines über eine von der Maschine umfassten Diagnosekommunikationsschnittstelle empfangenen Steuerbefehls, bei dem die mindestens eine sicherheitsrelevante Funktion in einem ersten Schritt (13) mittels einer Freischaltnachricht in einem Steuergerät der Maschine freigeschaltet und in einem zweiten Schritt (19) mittels einer Steuerungsnachricht gesteuert wird, wobei die mindestens eine sicherheitsrelevante Funktion nur dann gesteuert wird, wenn die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde, und bei dem die mindestens eine sicherheitsrelevante Funktion weiterhin nur dann gesteuert wird, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurden.Method for controlling at least one safety-relevant function of a machine by means of at least one control command received via a diagnostic communication interface included in the machine, in which the at least one safety-relevant function is enabled in a first step (13) by means of a release message in a control unit of the machine and in a second step (19) is controlled by means of a control message, wherein the at least one safety-relevant function is only controlled if the control message was received within a predetermined time range after the activation message from the control unit via the diagnostic communication interface, and in which the at least one security-relevant function only then is controlled when the unlock message by means of an authentication feature included in the unlock message and the control message by means of one of the control Nachnach authenticating feature. Verfahren nach Anspruch 1, bei dem die Steuerungsnachricht eine Aktivierungsnachricht zum Aktivieren der mindestens einen sicherheitsrelevanten Funktion oder eine Stoppnachricht zum Stoppen der mindestens einen sicherheitsrelevanten Funktion ist.Method according to Claim 1 in which the control message is an activation message for activating the at least one security-relevant function or a stop message for stopping the at least one security-relevant function. Verfahren nach Anspruch 1 oder 2, bei dem die Freischaltnachricht als Authentifizierungsmerkmal ein Freischaltmuster umfasst, das mit einem auf dem Steuergerät hinterlegten Referenzfreischaltmuster abgeglichen wird, und bei dem die Steuerungsnachricht als Authentifizierungsmerkmal ein Sicherheitsmuster umfasst, das mit einem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster abgeglichen wird und die Steuerung der mindestens einen sicherheitsrelevanten Funktion nur dann erfolgt, wenn das von der Steuerungsnachricht umfasste Sicherheitsmuster mit dem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster übereinstimmt und das von der Freischaltnachricht umfasste Freischaltmuster mit dem auf dem Steuergerät hinterlegten Referenzfreischaltmuster übereinstimmt.Method according to Claim 1 or 2 in which the activation message comprises an activation pattern as an authentication feature, which is matched with a reference clearing pattern stored on the control unit, and in which the control message comprises a security pattern as an authentication feature, which is matched with a reference security pattern stored on the control unit, and the control of the at least one security-relevant one Function only takes place when the security pattern encompassed by the control message coincides with the reference security pattern stored on the control unit and the activation pattern encompassed by the activation message agrees with the reference unlock pattern stored on the control unit. Verfahren nach einem Anspruch 3, bei dem das Freischaltmuster und/oder das Sicherheitsmuster derart gewählt werden, dass eine Hamming-Distanz zwischen der Freischaltnachricht und der Steuerungsnachricht einen vorgegebenen Schwellenwert nicht unterschreitet.Method according to one Claim 3 in which the unlock pattern and / or the security pattern are selected such that a Hamming distance between the enable message and the control message does not fall below a predetermined threshold value. Verfahren nach Anspruch 4, bei dem die Hamming-Distanz in Abhängigkeit einer Sicherheitsstufe der mindestens einen sicherheitsrelevanten Funktion gewählt wird.Method according to Claim 4 in which the Hamming distance is selected as a function of a security level of the at least one safety-relevant function. Verfahren nach einem der voranstehenden Ansprüche, bei dem ein vollständiger Empfang der Freischaltnachricht und/oder der Steuerungsnachricht anhand einer Prüfsumme der Freischaltnachricht und/oder der Steuerungsnachricht überprüft wird, wobei ein Wert der Prüfsumme für die Freischaltnachricht durch die Freischaltnachricht und ein Wert der Prüfsumme für die Steuerungsnachricht durch die Steuerungsnachricht übermittelt wird, und bei dem die jeweiligen Werte der Prüfsummen mit jeweiligen durch das Steuergerät gemäß einem vorgegebenen Berechnungsschema ermittelten Werten für die Freischaltnachricht und die Steuerungsnachricht abgeglichen werden.Method according to one of the preceding claims, in which a complete reception of the activation message and / or the control message is checked on the basis of a checksum of the release message and / or the control message, wherein a value of the checksum for the release message by the enable message and a value of the checksum for the Control message is transmitted by the control message, and in which the respective values of the checksums with respective determined by the controller according to a predetermined calculation scheme values for the enable message and the control message are adjusted. Verfahren nach Anspruch 6, bei dem die Prüfsummen in einer zyklischen Redundanzprüfung überprüft werden.Method according to Claim 6 in which the checksums are checked in a cyclic redundancy check. Verfahren nach einem der voranstehenden Ansprüche, bei dem nach einem Empfang einer Freischaltnachricht eine Zeitmessfunktion aktiviert wird, die eine seit dem Empfang der Freischaltnachricht vergangene Zeit bestimmt, und bei dem die mindestens eine sicherheitsrelevante Funktion nur dann gesteuert wird, wenn die Steuerungsnachricht innerhalb eines Zeitbereichs nach dem Empfang der Freischaltnachricht empfangen wurde, der unterhalb eines vorgegebenen Schwellenwerts liegt.Method according to one of the preceding claims, in which, after receiving an enable message, a time measurement function is activated which determines a time elapsed since the release message was received, and wherein the at least one safety-relevant function is only controlled if the control message is within a time range received the receipt of the release message, which is below a predetermined threshold. Verfahren nach einem der voranstehenden Ansprüche, bei dem die Nachricht nach einem Empfang der Nachricht durch das Steuergerät zunächst anhand eines vorgegebenen Schemas auf eine Sicherheitsrelevanz überprüft wird und für den Fall, dass es sich bei der Nachricht um eine Nachricht zum Steuern einer sicherheitsrelevanten Funktion handelt, die Nachricht an ein Sicherheitsmodul des Steuergeräts weitergeleitet wird, in dem eine Überprüfung eines zeitlichen Abstands zwischen einem Empfang einer der Nachricht zugrundeliegenden Freischaltnachricht und einem Empfang einer der Nachricht zugrundliegenden Steuerungsnachricht stattfindet und, die Freischaltnachricht und die Steuerungsnachricht anhand jeweiliger Authentifizierungsmerkmale überprüft werden, und bei dem das Sicherheitsmodul jeweilige von der Nachricht umfasste Steuerbefehle an dem Steuergerät nur dann aktiviert, wenn die Überprüfung des zeitlichen Abstands und die Überprüfung anhand der jeweiligen Authentifizierungsmerkmale zu einem Ergebnis führt, gemäß dessen die Nachricht als sicher eingestuft wird.Method according to one of the preceding claims, in which the message is first checked for security relevance by the control unit after receipt of the message, and in the event that the message is a message for controlling a security-relevant function, the message is forwarded to a security module of the controller, in which there is a check of a time interval between receipt of a release message underlying the message and receipt of a control message underlying the message, and the release message and the control message are checked by means of respective authentication features, and wherein the security module only activates respective control commands included in the message at the control unit if the checking of the time interval and the checking on the basis of the respective authentication means Rkmale leads to a result, according to which the message is classified as safe. Steuergerät für eine Maschine mit einer Diagnosekommunikationsschnittstelle, wobei das Steuergerät dazu konfiguriert ist, mindestens eine als sicherheitsrelevant eingestufte Funktion des Steuergeräts nur dann zu steuern, wenn von dem Steuergerät über die Diagnosekommunikationsschnittstelle in einem ersten Schritt (13) eine Freischaltnachricht zum Freischalten der mindestens einen Funktion und in einem zweiten Schritt (19) eine Steuerungsnachricht zum Steuern der mindestens einen Funktion empfangen wurde, und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht empfangen wurde und wobei das Steuergerät weiterhin dazu konfiguriert ist, die als sicherheitsrelevant eingestufte Funktion nur dann zu steuern, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurde.Control unit for a machine with a diagnostic communication interface, wherein the control unit is configured to control at least one function of the control unit classified as safety-relevant only if the control unit via the diagnostic communication interface in a first step (13) A clear message for unlocking the at least one function and in a second step (19) a control message for controlling the at least one function has been received, and the control message has been received within a predetermined time period after the unlock message, and wherein the controller is further configured to be security relevant to control the classified function only if the activation message has been authenticated by means of an authentication feature included in the activation message and the control message has been authenticated by means of an authentication feature included in the control message. Steuergerät nach Anspruch 10, wobei das Steuergerät ein Basismodul zum Steuern von nicht sicherheitsrelevanten Funktionen und ein Sicherheitsmodul zum Steuern von sicherheitsrelevanten Funktionen umfasst, und wobei das Steuergerät dazu konfiguriert ist, in Abhängigkeit eines vorgegebenen Zuordnungsschemas jeweilige von durch das Steuergerät über die Diagnosekommunikationsschnittstelle empfangenen Nachrichten umfasste Steuerbefehle an das Sicherheitsmodul zu übertragen.Control unit after Claim 10 wherein the control device comprises a base module for controlling non-safety-related functions and a security module for controlling security-relevant functions, and wherein the control device is configured to control commands received from messages received by the control device via the diagnostic communication interface, depending on a predetermined allocation scheme, to the security module transferred to. Steuergerät nach Anspruch 10 oder 11, wobei das Steuergerät ein Steuergerät zum Steuern von Funktionen eines Fahrzeugs und die Diagnosekommunikationsschnittstelle eine Onboarddiagnoseschnittstelle ist.Control unit after Claim 10 or 11 wherein the controller is a controller for controlling functions of a vehicle and the diagnostic communication interface is an onboard diagnostic interface.
DE102016224198.2A 2016-12-06 2016-12-06 Secured communication protocol for safety-related functions of a control unit Pending DE102016224198A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102016224198.2A DE102016224198A1 (en) 2016-12-06 2016-12-06 Secured communication protocol for safety-related functions of a control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016224198.2A DE102016224198A1 (en) 2016-12-06 2016-12-06 Secured communication protocol for safety-related functions of a control unit

Publications (1)

Publication Number Publication Date
DE102016224198A1 true DE102016224198A1 (en) 2018-06-07

Family

ID=62164202

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016224198.2A Pending DE102016224198A1 (en) 2016-12-06 2016-12-06 Secured communication protocol for safety-related functions of a control unit

Country Status (1)

Country Link
DE (1) DE102016224198A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008041360A1 (en) 2008-08-20 2010-02-25 Robert Bosch Gmbh A vehicle control unit and a data update method for a vehicle control unit
DE102009001397A1 (en) 2009-03-09 2010-09-16 Robert Bosch Gmbh Method and device for diagnosing a communication system in terms of asymmetric delay
DE102013020522A1 (en) 2013-12-11 2015-06-11 Lukusa Didier Kabulepa Communication system, test device and device for testing fault-detecting security mechanisms of a communication subscriber

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008041360A1 (en) 2008-08-20 2010-02-25 Robert Bosch Gmbh A vehicle control unit and a data update method for a vehicle control unit
DE102009001397A1 (en) 2009-03-09 2010-09-16 Robert Bosch Gmbh Method and device for diagnosing a communication system in terms of asymmetric delay
DE102013020522A1 (en) 2013-12-11 2015-06-11 Lukusa Didier Kabulepa Communication system, test device and device for testing fault-detecting security mechanisms of a communication subscriber

Similar Documents

Publication Publication Date Title
EP2900581B1 (en) Method for resetting a safety system of an elevator installation
DE102006015212B4 (en) Method for protecting a movable good, in particular a vehicle, against unauthorized use
EP2689553B1 (en) Motor vehicle control unit having a cryptographic device
WO2015104180A1 (en) Method and device for releasing functions of a control device
DE102013205051A1 (en) Updating a digital device certificate of an automation device
EP2805446A1 (en) Function for the challenge derivation for protecting components in a challenge response authentication protocol
DE102015221239A1 (en) A method and apparatus for protecting data integrity through an embedded system having a main processor core and a security hardware device
EP3417395B1 (en) Proving authenticity of a device with the aid of proof of authorization
EP3498544A1 (en) Device, method and computer program for unlocking a vehicle component, vehicle to vehicle communication module
DE102019127100A1 (en) PROCEDURE AND SYSTEM FOR PROVIDING SECURITY OF AN IN-VEHICLE NETWORK
DE102018212879A1 (en) Control device and control method
EP2548358B1 (en) Method for dynamically authorizing a mobile communication device
EP2388972A1 (en) Connection system for the protected establishment of a network connection
DE102011002713A1 (en) Method for providing cryptographic credentials for electronic control unit (ECU) of vehicle e.g. electric car, has control unit that deactivates vehicle drive for deleting cryptographic credentials in vehicle safety management unit
DE102007040094A1 (en) Configuration modification e.g. software-update, executing method for e.g. car, involves verifying configuration modification message by utilizing credentials, and canceling configuration modification when associated credential is canceled
WO2018007049A1 (en) Method for the secure authentication of control devices in a motor vehicle
DE102007051440A1 (en) Software activating method for motor vehicle, involves activating software by activation code, when comparison of actual configuration transmitted with code and actual configuration provided in vehicle has no deviation
DE102016224198A1 (en) Secured communication protocol for safety-related functions of a control unit
DE102013108006B4 (en) communication system
WO2017036714A1 (en) Method for actuating an access unit by means of a mobile electronic terminal
EP3504689B1 (en) Authentication method and authentication arrangement of a motor vehicle
DE102021201444A1 (en) Method and device for checking an incoming, secure, encrypted message
EP4087184B1 (en) Method for authenticating interactions independent of a system time, and device for carrying out this method and flame monitor comprising such a device
DE102019110055B4 (en) Method for protecting a component
DE102017205552A1 (en) A method of controlling access of an electronic device to a system and security device

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R082 Change of representative

Representative=s name: RDL PATENTANWAELTE PARTG MBB, DE

Representative=s name: RAIBLE, DEISSLER, LEHMANN PATENTANWAELTE PARTG, DE