DE102016224198A1 - Secured communication protocol for safety-related functions of a control unit - Google Patents
Secured communication protocol for safety-related functions of a control unit Download PDFInfo
- Publication number
- DE102016224198A1 DE102016224198A1 DE102016224198.2A DE102016224198A DE102016224198A1 DE 102016224198 A1 DE102016224198 A1 DE 102016224198A1 DE 102016224198 A DE102016224198 A DE 102016224198A DE 102016224198 A1 DE102016224198 A1 DE 102016224198A1
- Authority
- DE
- Germany
- Prior art keywords
- message
- control
- security
- control unit
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
- G05B19/0425—Safety, monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Lock And Its Accessories (AREA)
Abstract
Die vorliegende Erfindung betrifft ein Verfahren zum Steuern mindestens einer sicherheitsrelevanten Funktion einer Maschine mittels mindestens eines über eine von der Maschine umfassten Diagnosekommunikationsschnittstelle empfangenen Steuerbefehls, bei dem die mindestens eine sicherheitsrelevante Funktion in einem ersten Schritt (13) mittels einer Freischaltnachricht in einem Steuergerät der Maschine freigeschaltet und in einem zweiten Schritt (19) mittels einer Steuerungsnachricht gesteuert wird, wobei die mindestens eine sicherheitsrelevante Funktion nur dann gesteuert wird, wenn die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde, und bei dem die mindestens eine sicherheitsrelevante Funktion weiterhin nur dann gesteuert wird, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurden.The present invention relates to a method for controlling at least one safety-relevant function of a machine by means of at least one control command received via a diagnostic communication interface encompassed by the machine, in which the at least one safety-relevant function is enabled in a first step (13) by means of a release message in a control unit of the machine and in a second step (19) is controlled by means of a control message, wherein the at least one safety-relevant function is controlled only if the control message was received within a predetermined time period after the enable message from the controller via the diagnostic communication interface, and wherein the at least one safety-relevant function continues to be controlled only if the activation message by means of an included by the activation message authentication feature and the Steuernachric ht were authenticated by means of an authentication feature included in the control message.
Description
Die vorliegende Erfindung betrifft ein Verfahren zum Steuern sicherheitsrelevanter Funktionen einer Maschine und ein zur Durchführung des vorgestellten Verfahrens konfiguriertes Steuergerät.The present invention relates to a method for controlling safety-relevant functions of a machine and to a control device configured to carry out the presented method.
Zum Steuern, d. h. zum Aktivieren bzw. Stoppen von sicherheitsrelevanten Funktionen, wie bspw. einem Öffnen bzw. Schließen einer Parkbremse oder einem Aktivieren bzw. Deaktivieren einer Zündung einer Maschine, werden Steuergeräte verwendet, die die Funktionen in Abhängigkeit von Steuerbefehlen steuern. Dabei ist die Steuerung der Funktionen im Kundenbetrieb über verschiedene Maßnahmen, wie bspw. Redundanzpfade, eine sichere Signalisierung oder einen Einbezug eines Nutzers abgesichert. Für bspw. Produktions- oder Wartungsverfahren kann es erforderlich sein, sicherheitsrelevante Funktionen über eine Diagnosekommunikation zu steuern, auch wenn kein Nutzer bzw. kein Fahrer aktiv ist.To control, d. H. For activating or stopping safety-relevant functions, such as opening or closing a parking brake or activating or deactivating an ignition of a machine, control devices are used which control the functions in response to control commands. The control of the functions in customer operation via various measures, such as. Redundancy paths, secure signaling or inclusion of a user is secured. For example, production or maintenance procedures, it may be necessary to control safety-related functions via a diagnostic communication, even if no user or no driver is active.
Da Kommunikationsprotokolle zum Übertragen von Steuerbefehlen über eine Diagnosekommunikationsschnittstelle in der Regel nicht mittels Sicherheitsmaßnahmen abgesichert sind, und Diagnosekommunikationsschnittstellen unter Verwendung frei verkäuflicher Mittel, wie bspw. sogenannter „OBD-Dongles“ anzusteuern sind, besteht Bedarf für einen Schutz von sicherheitsrelevanten Funktionen vor unberechtigten oder ungewollten Zugriffen.Since communication protocols for transmitting control commands via a diagnostic communication interface are generally not safeguarded by means of security measures, and diagnostic communication interfaces using freely negotiable means, such as so-called "OBD dongles" are to be controlled, there is a need for protection of security-related functions from unauthorized or unwanted queries.
In der deutschen Druckschrift
Die deutsche Druckschrift
Ein Kommunikationssystem zur Prüfung von fehlererkennenden Sicherheitsmechanismen eines Kommunikationsteilnehmers anhand einer zyklischen Redundanzprüfung ist in der deutschen Druckschrift
Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung, ein Verfahren zum Schützen sicherheitsrelevanter Funktionen einer Maschine vor einer Steuerung durch über eine Diagnosekommunikationsschnittstelle mit der Maschine kommunizierende unberechtigte Dritte bereitzustellen.Against this background, it is an object of the present invention to provide a method for protecting safety-related functions of a machine from being controlled by unauthorized third parties communicating with the machine via a diagnostic communication interface.
Zur Lösung der voranstehend genannten Aufgabe wird ein Verfahren zum Steuern mindestens einer sicherheitsrelevanten Funktion einer Maschine mittels mindestens eines über eine von der Maschine umfassten Diagnosekommunikationsschnittstelle empfangenen Steuerbefehls vorgestellt, bei dem die mindestens eine sicherheitsrelevante Funktion in einem ersten Schritt mittels einer Freischaltnachricht in einem Steuergerät der Maschine freigeschaltet und in einem zweiten Schritt mittels einer Steuerungsnachricht gesteuert wird, wobei die mindestens eine sicherheitsrelevante Funktion nur dann gesteuert wird, wenn die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde, und bei dem die mindestens eine sicherheitsrelevante Funktion weiterhin nur dann gesteuert wird, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurden.In order to achieve the above object, a method for controlling at least one safety-relevant function of a machine by means of at least one control command received via a diagnostic communication interface encompassed by the machine is presented, in which the at least one safety-relevant function in a first step by means of a release message in a control unit of the machine is enabled and controlled in a second step by means of a control message, wherein the at least one safety-related function is controlled only if the control message within a predetermined time after the activation message was received by the controller via the diagnostic communication interface, and wherein the at least one security-related function continue to be controlled only if the activation message by means of an included by the activation message authentication feature and di e control message were authenticated by means of an authenticated feature included in the control message.
Ausgestaltungen der vorgestellten Erfindung ergeben sich aus der Beschreibung und den abhängigen Ansprüchen.Embodiments of the present invention will become apparent from the description and the dependent claims.
Das vorgestellte Verfahren dient insbesondere zum sicheren Steuern, d. h. zum Aktivieren bzw. Stoppen, von Funktionen einer Maschine für den Fall, dass Steuerbefehle zum Steuern der Funktionen der Maschine über eine Diagnosekommunikationsschnittstelle, d. h. eine zur Diagnose der Maschine vorgesehene Kommunikationsschnittstelle übertragen werden. Zur sicheren Steuerung von Funktionen, d. h. zur Steuerung der Funktionen lediglich für den Fall, dass ein Sender jeweiliger Steuerbefehle als zum Steuern entsprechender Funktionen berechtigt authentifiziert wurde, ist erfindungsgemäß vorgesehen, dass die Funktionen nur dann gesteuert werden, wenn die entsprechenden Funktionen in einem ersten Schritt mittels einer Freischaltnachricht freigeschaltet und in einem zweiten Schritt mittels einer Steuerungsnachricht aktiviert wurden und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde.The presented method is used in particular for secure control, i. H. for enabling or stopping functions of a machine in the event that control commands for controlling the functions of the machine via a diagnostic communication interface, d. H. a communication interface provided for diagnosing the machine is transmitted. For secure control of functions, d. H. For controlling the functions only in the event that a transmitter of respective control commands has been authenticated as authorized to control corresponding functions, the invention provides that the functions are controlled only if the corresponding functions are enabled in a first step by means of a release message and in a second step were activated by means of a control message and the control message was received within a predetermined time range after the activation message from the control unit via the diagnostic communication interface.
Durch die erfindungsgemäß vorgesehenen Bedingungen zur Steuerung von sicherheitsrelevanten Funktionen in Form einer zeitlichen Abfolge einer Übermittlung einer Freischaltnachricht und einer Steuerungsnachricht wird sichergestellt, dass ein die Steuerungsnachricht und die Freischaltnachricht übertragender Sender zur Steuerung entsprechender Funktionen berechtigt ist und nicht etwa ein bspw. mittels eines Standardkommunikationsprotokolls auf eine jeweilige Maschine zugreifender unberechtigter Dritter ist. Nur unter Kenntnis der Anforderungen an den zeitlichen Ablauf der Übertragung der Freischaltnachricht und der Steuerungsnachricht ist es unter Verwendung des vorgestellten Verfahrens möglich, sicherheitsrelevante Funktionen der Maschine zu steuern. Da ein Standardkommunikationsprotokoll, wie es bspw. zum Übertragen von Steuerbefehlen über eine Onboarddiagnoseschnittstelle vorgesehen ist, die erfindungsgemäß vorgesehene Übertragung von Freischaltnachricht und Steuerungsnachricht nicht vorsieht, ist eine Steuerung jeweiliger sicherheitsrelevanter Funktionen mittels eines bspw. kommerziell verfügbaren Onboarddiagnosekommunikationsgeräts, d. h. eines sogenannten „OBD-Dongles“ unter Verwendung des vorgestellten Verfahrens nicht möglich.The conditions provided according to the invention for controlling safety-relevant functions in the form of a chronological sequence of transmission of an enabling message and a control message ensure that a transmitter transmitting the control message and the enabling message is authorized to control corresponding functions and not, for example, by means of a standard communication protocol a respective machine accessing unauthorized third party. Only with knowledge of the requirements for the timing of the transfer of the Enable message and the control message, it is possible using the presented method to control safety-related functions of the machine. Since a standard communication protocol, as provided, for example, for transmitting control commands via an on-board diagnostic interface, does not provide the transmission of the enable message and control message provided according to the invention, a control of respective safety-relevant functions by means of, for example, a commercially available on-board diagnostic communication device, ie a so-called "OBD dongle "Not possible using the presented method.
Unter einer sicherheitsrelevanten Funktion ist im Kontext der vorliegenden Erfindung eine Funktion zu verstehen, die nach einem Kriterienkatalog, wie bspw. der ISO-Norm 26262, einer sicherheitsrelevanten Stufe zugeordnet wurde bzw. in eine Liste von sicherheitsrelevanten Funktionen aufgenommen wurde. Dabei kann in Ausgestaltung selbstverständlich vorgesehen sein, dass die Liste an sicherheitsrelevanten Funktionen bspw. von einem Techniker manuell angepasst, d. h. erweitert bzw. ergänzt werden kann.In the context of the present invention, a safety-relevant function is to be understood as a function which has been assigned to a security-relevant level or has been included in a list of safety-relevant functions in accordance with a criteria catalog, such as, for example, ISO standard 26262. It may of course be provided in an embodiment that the list of safety-relevant functions, for example, manually adjusted by a technician, d. H. can be extended or supplemented.
Um eine informationstechnische Attacke, bei der bspw. mittels eines Zufallsalgorithmus Freischaltnachrichten und Steuerungsnachrichten erzeugt werden, abzuwehren, ist insbesondere vorgesehen, dass eine jeweilige Freischaltnachricht bzw. eine jeweilige Steuerungsnachricht mittels eines jeweiligen Authentifizierungsnachweises authentifiziert werden. Durch einen Authentifizierungsnachweis, wie bspw. einen kryptographischen Schlüssel, wird eine Erzeugung von Freischaltnachrichten und Steuerungsnachrichten gegenüber einem Standardkommunikationsprotokoll, wie es im Stand der Technik verwendet wird, wesentlich erschwert. Da derartige Authentifizierungsmerkmale bzw. -nachweise in der Regel in endlicher Zeit zu finden, d. h. zu „knacken“ sind, ist erfindungsgemäß vorgesehen, die Steuerungsnachricht zeitlich an die Freischaltnachricht zu binden, so dass sowohl das Authentifizierungsmerkmal für die Freischaltnachricht als auch das Authentifizierungsmerkmal für die Steuerungsnachricht innerhalb eines vorgegebenen Zeitraums bereitgestellt werden müssen. Ein zufälliges Auffinden zweier Authentifizierungsmerkmale innerhalb des erfindungsgemäß vorgesehenen Zeitbereichs ist sehr unwahrscheinlich, was das Verfahren entsprechend sicher macht.In order to ward off an information technology attack in which, for example, by means of a random algorithm activation messages and control messages are generated, provision is made in particular for a respective activation message or a respective control message to be authenticated by means of a respective authentication certificate. Authentication proof, such as a cryptographic key, substantially complicates the generation of enable messages and control messages over a standard communication protocol as used in the prior art. Since such authentication features or proofs are usually found in finite time, i. H. are to "crack", is inventively provided to bind the control message in time to the activation message, so that both the authentication feature for the activation message and the authentication feature for the control message must be provided within a predetermined period. A random finding of two authentication features within the time range provided according to the invention is very unlikely, which makes the method correspondingly secure.
In einer möglichen Ausgestaltung des vorgesellten Verfahrens ist vorgesehen, dass die Steuerungsnachricht eine Aktivierungsnachricht zum Aktivieren der mindestens einen sicherheitsrelevanten Funktion oder eine Stoppnachricht zum Stoppen der mindestens einen sicherheitsrelevanten Funktion ist.In one possible embodiment of the presented method, it is provided that the control message is an activation message for activating the at least one security-relevant function or a stop message for stopping the at least one security-relevant function.
Mittels des vorgestellten Verfahren können sowohl Nachrichten, d. h. mittels der erfindungsgemäß vorgesehenen Diagnosekommunikationsschnittstelle empfangene Nachrichten zum Aktivieren als auch Nachrichten zum Stoppen von Funktionen einer jeweiligen Maschine überprüft und in Abhängigkeit eines Ergebnisses der Überprüfung geblockt, d. h. nicht zur Steuerung der Funktionen der Maschine verwendet werden.By means of the presented method both messages, i. H. messages for activation as well as messages for stopping functions of a respective machine, which are received by means of the diagnostic communication interface provided according to the invention, are checked and blocked as a function of a result of the check, d. H. not be used to control the functions of the machine.
In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass die Freischaltnachricht als Authentifizierungsmerkmal ein Freischaltmuster umfasst, das mit einem auf dem Steuergerät hinterlegten Referenzfreischaltmuster abgeglichen wird und die Freischaltung der mindestens einen sicherheitsrelevanten Funktion nur dann erfolgt, wenn das von der Freischaltnachricht umfasste Freischaltmuster mit dem auf dem Steuergerät hinterlegten Referenzfreischaltmuster übereinstimmt, und bei dem die Steuerungsnachricht als Authentifizierungsmerkmal ein Sicherheitsmuster umfasst, das mit einem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster abgeglichen wird und die Steuerung der mindestens einen sicherheitsrelevanten Funktion nur dann erfolgt, wenn das von der Steuerungsnachricht umfasste Sicherheitsmuster mit dem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster übereinstimmt.In another possible embodiment of the presented method, it is provided that the activation message includes an activation pattern as an authentication feature, which is matched with a reference unlock pattern stored on the control unit and the activation of the at least one security-relevant function only takes place if the activation pattern encompassed by the activation message has coincides with the reference clear pattern stored on the control unit, and in which the control message comprises a security pattern as an authentication feature, which is matched with a reference security pattern stored on the control unit and the control of the at least one security-relevant function only takes place if the security pattern comprised by the control message with the on the control unit stored reference security pattern.
Zum Authentifizieren eines Nutzers und entsprechend zum Verhindern einer Steuerung von Funktionen einer Maschine durch einen nicht authentifizierten Nutzer ist es vorgesehen, dass die erfindungsgemäß vorgesehenen Freischalt- und Steuerungsnachrichten jeweils mittels eines Authentifizierungsmerkmals überprüft werden. Dabei ist insbesondere vorgesehen, dass als Authentifizierungsmerkmal ein Muster gewählt wird, das bspw. einem Zahlen- und/oder Zeichencode bzw. Buchstabencode entspricht, und das mit einem entsprechenden auf einem Steuergerät der Maschine hinterlegten Referenzmuster, d. h. einem Referenzfreischaltmuster bzw. einem Referenzsicherheitsmuster, abgeglichen wird. Durch die Verwendung zweier unterschiedlicher Authentifizierungsmerkmale für die Freischaltnachricht und die Steuerungsnachricht, d. h. einem Freischaltmuster und einem Sicherheitsmuster, ist eine jeweilige zu steuernde Funktion mittels zweier Authentifizierungsmerkmale vor einer Steuerung durch unberechtigte Dritte geschützt. Dabei ist es besonders vorteilhaft, wenn das Freischaltmuster und das Sicherheitsmuster eine möglichst geringe Ähnlichkeit bzw. eine möglichst große „Hamming“-Distanz zeigen.In order to authenticate a user and accordingly to prevent control of functions of a machine by an unauthenticated user, it is provided that the activation and control messages provided according to the invention are respectively checked by means of an authentication feature. In this case, it is provided in particular that a pattern is selected as the authentication feature, which corresponds, for example, to a number and / or character code or letter code, and which corresponds to a corresponding reference pattern stored on a control unit of the machine, i. H. a reference clear pattern or a reference security pattern, is adjusted. By using two different authentication features for the unlock message and the control message, i. H. an unlock pattern and a security pattern, a respective function to be controlled is protected by means of two authentication features from being controlled by unauthorized third parties. It is particularly advantageous if the unlock pattern and the security pattern show the lowest possible similarity or the largest possible "Hamming" distance.
Unter einer „Hamming“-Distanz ist ein Maß für eine Unterschiedlichkeit von Zeichenketten zu verstehen. Eine „Hamming“-Distanz zweier Zeichenblöcke mit fester Länge entspricht bspw. der Anzahl von zwischen den zwei Zeichenblöcken unterschiedlichen Stellen.A "Hamming" distance is a measure of a difference of strings to understand. A "Hamming" distance of two character blocks with a fixed length corresponds, for example, to the number of different places between the two character blocks.
In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass ein vollständiger Empfang der Freischaltnachricht und/oder der Steuerungsnachricht anhand einer Prüfsumme der Freischaltnachricht und/oder der Steuerungsnachricht überprüft wird, wobei ein Wert der Prüfsumme für die Freischaltnachricht durch die Freischaltnachricht und ein Wert der Prüfsumme für die Steuerungsnachricht durch die Steuerungsnachricht übermittelt wird, und bei dem die jeweiligen Werte der Prüfsummen mit jeweiligen durch das Steuergerät gemäß einem vorgegebenen Berechnungsschema ermittelten Werten für die Freischaltnachricht und die Steuerungsnachricht abgeglichen werden. Selbstverständlich kann auch vorgesehen sein, dass die Werte der Prüfsumme für die Freischaltnachricht und der Prüfsumme für die Steuerungsnachricht in einem Speicher eines jeweiligen Steuergeräts für verschiedene Nachrichten hinterlegt sind.In a further possible embodiment of the presented method, it is provided that a complete reception of the activation message and / or the control message is checked on the basis of a checksum of the activation message and / or the control message, wherein a value of the checksum for the release notification by the activation message and a value of Checksum for the control message is transmitted by the control message, and in which the respective values of the checksums with respective values determined by the controller according to a predetermined calculation scheme for the enable message and the control message are adjusted. Of course, it can also be provided that the values of the checksum for the enable message and the checksum for the control message are stored in a memory of a respective control device for various messages.
Mittels einer Prüfsumme, die bspw. eine Quersumme von Werten, die jeweiligen Zeichen einer Nachricht zugewiesen sind bzw. einen sogenannten „CRC-Wert“ angibt, kann die Nachricht auf Vollständigkeit geprüft werden und bspw. für den Fall, dass eine Quersumme von Werten jeweiliger Zeichen nicht einer bspw. von der Nachricht selbst vorgegebenen Prüfsumme entspricht, die Nachricht gelöscht und neu angefordert bzw. nicht zur Steuerung jeweiliger Funktionen verwendet wird. Insbesondere in Kombination mit einem Freischaltmuster kann mittels einer Prüfsumme ein vollständiger bzw. fehlerfreier Empfang eines Freischaltmusters bzw. einer ein Freischaltmuster umfassenden Nachricht überprüft werden. Es ist insbesondere denkbar, dass jeweilige Prüfsummen jeweiliger Nachrichten in einer sogenannten „zyklischen Redundanzprüfung“ unter Verwendung eines „CRC-Werts“ überprüft werden.By means of a checksum, for example, a checksum of values assigned to respective characters of a message or indicating a so-called "CRC value", the message can be checked for completeness and, for example, in the event that a cross sum of values The character does not correspond to, for example, a check sum specified by the message itself, the message is deleted and newly requested or not used to control the respective functions. In particular in combination with an activation pattern, a complete or error-free receipt of a release pattern or a message comprising a release pattern can be checked by means of a checksum. In particular, it is conceivable that respective checksums of respective messages are checked in a so-called "cyclic redundancy check" using a "CRC value".
In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass das Freischaltmuster und/oder das Sicherheitsmuster derart gewählt werden, dass eine Hamming-Distanz zwischen der Freischaltnachricht und der Steuerungsnachricht einen vorgegebenen Schwellenwert nicht unterschreitet.In a further possible embodiment of the presented method, it is provided that the unlock pattern and / or the security pattern are selected such that a Hamming distance between the unlock message and the control message does not fall below a predetermined threshold value.
Um ein böswilliges Erzeugen von Freischalt- und Steuerungsnachrichten durch unberechtigte Dritte zu erschweren bzw. zu vermeiden, ist vorgesehen, dass sich eine jeweilige Freischaltnachricht zumindest teilweise von einer jeweiligen Steuerungsnachricht unterscheiden muss. Insbesondere ist vorgesehen, dass sich ein Freischaltmuster einer jeweiligen Freischaltnachricht von einem Sicherheitsmuster einer jeweiligen Steuerungsnachricht unterscheiden muss. Um eine Ähnlichkeit jeweiliger Nachrichten zu messen, und die Nachrichten ggf. so zu verändern, dass diese sich unähnlicher werden, kann eine Hamming-Distanz, d. h. ein Hamming-Abstand, zwischen den jeweiligen Nachrichten berechnet werden, indem bspw. eine Anzahl an Zeichen ermittelt wird, die sich zwischen den jeweiligen Nachrichten nicht entsprechen. Sollte die Hamming-Distanz unterhalb eines vorgegebenen Schwellenwerts liegen, so muss eine jeweilige Nachricht, insbesondere ein jeweiliges Freischalt- bzw. Sicherheitsmuster neu erstellt werden, bevor es zur Durchführung des vorgestellten Verfahrens verwendet werden darf.In order to make it difficult or unwilling to maliciously generate activation and control messages by unauthorized third parties, it is provided that a respective release message must at least partially be different from a respective control message. In particular, it is provided that a release pattern of a respective release message must be different from a security pattern of a respective control message. In order to measure a similarity of respective messages, and if necessary to change the messages so that they become more dissimilar, a Hamming distance, i. H. Hamming distance, between the respective messages are calculated by, for example, a number of characters is determined, which do not correspond between the respective messages. Should the Hamming distance be below a predefined threshold value, then a respective message, in particular a respective unlocking or security pattern, must be recreated before it may be used to carry out the presented method.
Insbesondere ist vorgesehen, dass zum Steuern einer jeweiligen sicherheitsrelevanten Funktion einer Maschine ein Verfahren verwendet wird, bei dem die Funktion nur dann gesteuert wird, wenn eine Steuerungsnachricht innerhalb eines vorgegebenen Zeitraums nach einer Freischaltnachricht von der Maschine empfangen wird und ein Freischaltmuster der Freischaltnachricht einem in einem Speicher der Maschine hinterlegten Referenzfreischaltmuster entspricht und ein Sicherheitsmuster der Steuerungsnachricht einem in dem Speicher hinterlegten Referenzsicherheitsmuster entspricht, und eine Überprüfung der Freischaltnachricht und der Steuerungsnachricht anhand einer Prüfsumme ergibt, dass sowohl die Freischaltnachricht als auch die Steuerungsnachricht fehlerfrei von der Maschine empfangen wurden, und eine Hamming-Distanz zwischen der Freischaltnachricht und der Steuerungsnachricht einen vorgegebenen Schwellenwert nicht unterschreitet. Dabei ist insbesondere vorgesehen, dass die Prüfsumme über eine komplette Nachricht hinweg gebildet wird, d. h. alle Zeichen der Nachricht, inklusive jeweiliger übergebener Parameter.In particular, it is provided that for controlling a respective safety-related function of a machine, a method is used in which the function is controlled only when a control message is received within a predetermined period of time after a release message from the machine and a release pattern of the release message one in a Memory of the machine stored Referenzfreischaltmuster and a security pattern of the control message corresponds to a stored in the memory reference security pattern, and a check of the activation message and the control message based on a checksum shows that both the activation message and the control message were received error-free from the machine, and a Hamming -Distance between the unlock message and the control message does not fall below a predetermined threshold. It is provided in particular that the checksum is formed over a complete message across, d. H. all characters of the message, including respective transferred parameters.
In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass der Schwellenwert der Hamming-Distanz in Abhängigkeit einer Sicherheitsstufe der mindestens einen sicherheitsrelevanten Nachricht gewählt wird.In a further possible embodiment of the presented method, it is provided that the threshold value of the Hamming distance is selected as a function of a security level of the at least one security-relevant message.
Um ein Sicherheitsniveau für besonders sicherheitsrelevante Funktionen, die bspw. gemäß einem Schema nach ISO 26262 einer obersten Sicherheitsebene zugeordnet sind, zu maximieren, kann vorgesehen sein, dass Freischaltnachrichten und Steuerungsnachrichten zur Aktivierung derartiger Funktionen eine besonders große Hamming-Distanz zeigen müssen, so dass insbesondere deren Freischaltmuster und Sicherheitsmuster möglichst wenig Übereinstimmungen aufweisen und bspw. ein Schema, dass zum Ermitteln der Freischaltnachricht ermittelt wurde, nicht zum Ermitteln der Steuerungsnachricht verwendet werden kann.In order to maximize a security level for particularly security-relevant functions, which, for example, are assigned to an uppermost security level according to a scheme according to ISO 26262, it can be provided that activation messages and control messages for activating such functions must show a particularly large Hamming distance, in particular their activation pattern and security pattern have as few matches and, for example, a scheme that was determined to determine the activation message can not be used to determine the control message.
In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass nach einem Empfang einer Freischaltnachricht eine Zeitmessfunktion aktiviert wird, die eine seit dem Empfang der Freischaltnachricht vergangene Zeit bestimmt, und bei dem die mindestens eine sicherheitsrelevante Funktion nur dann aktiviert wird, wenn die Steuerungsnachricht innerhalb eines Zeitbereichs nach dem Empfang der Freischaltnachricht empfangen wurde, der unterhalb eines vorgegebenen Schwellenwerts liegt.In a further possible embodiment of the presented method, it is provided that after receiving an activation message a time-measuring function is activated which determines a time elapsed since the reception of the activation message, and in which the at least one security-relevant function is activated only if the control message has been received within a time period after the reception of the activation message, which is below a predetermined threshold value.
Mittels einer Zeitmessfunktion, d. h. einem sogenannten „Timer“, der bspw. als Countdown ausgestaltet ist, der von einem vorgegebenen Wert, wie bspw. zwei Sekunden, aus abläuft, kann ein Eingang einer jeweiligen Steuerungsnachricht in Relation zu einem Empfang einer jeweiligen Freischaltnachricht gebracht werden, so dass eine jeweilige sicherheitsrelevante Funktion dann aktiviert wird, wenn eine Steuerungsnachricht von einer jeweiligen Maschine empfangen wurde bevor ein nach einem Empfang einer Freischaltnachricht ausgelöster Countdown abgelaufen ist.By means of a timing function, d. H. a so-called "timer", which is designed, for example, as a countdown, which expires from a predetermined value, such as, for example, two seconds, an input of a respective control message can be related to a receipt of a respective enable message, so that a respective one safety-relevant function is activated when a control message has been received by a respective machine before a countdown triggered after receipt of an activation message has expired.
In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass eine Nachricht zum Steuern einer gemäß einem vorgegebenen Schema als sicherheitsrelevant eingestuften Funktion eines Steuergeräts nach einem Empfang der Nachricht durch das Steuergerät zuerst auf eine Sicherheitsrelevanz überprüft wird und für den Fall, dass es sich bei der Nachricht um eine Nachricht zum Steuern einer sicherheitsrelevanten Funktion handelt, die Nachricht an ein Sicherheitsmodul des Steuergeräts weitergeleitet wird, in dem eine Überprüfung eines zeitlichen Abstands zwischen einem Empfang einer der Nachricht zugrundeliegenden Freischaltnachricht und einem Empfang einer der Nachricht zugrundliegenden Steuerungsnachricht stattfindet und, die Freischaltnachricht und die Steuerungsnachricht anhand jeweiliger Authentifizierungsmerkmale überprüft werden, und bei dem das Sicherheitsmodul jeweilige von der Nachricht umfasste Steuerbefehle an dem Steuergerät nur dann steuert, wenn die Überprüfung des zeitlichen Abstands und, die Überprüfung anhand der jeweiligen Authentifizierungsmerkmale zu einem Ergebnis führt, gemäß dessen die Nachricht als sicher eingestuft wird.In a further possible embodiment of the presented method, it is provided that a message for controlling a function of a control device classified as safety-relevant according to a predetermined scheme is first checked for safety relevance after reception of the message by the control device and in the event that it is the message is a message for controlling a security-related function, the message is forwarded to a security module of the controller, in which there is a check of a time interval between receipt of the message underlying release message and receiving a control message underlying the message and, the activation message and the control message is checked against respective authentication features, and wherein the security module only controls respective control commands included in the message at the controller if the checking of the time interval and the verification based on the respective authentication features leads to a result according to which the message is classified as secure.
Mittels eines Sicherheitsmoduls, das als Softwaremodul in ein bereits existierendes Steuergerät implementiert oder als Hardwaremodul bei einer Konstruktion eines Steuergeräts berücksichtigt bzw. mit einem bereits existierenden Steuergerät verbunden werden kann, können, um das Steuergerät gegenüber Zugriffen unberechtigter Dritter abzusichern, zur Steuerung von Funktionen des Steuergeräts bzw. einer von dem Steuergerät gesteuerten Maschine, wie bspw. einem Fahrzeug, von dem Steuergerät empfangene Nachrichten vor einer Aktivierung in dem Steuergerät bzw. der Maschine überprüft und, in Abhängigkeit eines Ergebnisses der Überprüfung, geblockt, d. h. bspw. gelöscht, oder aktiviert werden. Es ist insbesondere vorgesehen, dass jeweilige Nachrichten stets dann an das Sicherheitsmodul weitergeleitet werden, wenn diese Steuerbefehle Funktionen umfassen, die gemäß einem Schema, wie bspw. nach ISO 26262 als sicherheitsrelevant eingestuft sind und alle weiteren Steuerbefehle, d. h. alle Steuerbefehle für Funktionen, die gemäß dem Schema nicht als sicherheitsrelevant eingestuft sind, direkt, d. h. ohne Weiterleitung an das Sicherheitsmodul, an dem Steuergerät bzw. der Maschine aktiviert werden.By means of a security module that can be implemented as a software module in an existing control unit or considered as a hardware module in a construction of a controller or connected to an existing control unit, to protect the control unit against access by unauthorized third parties, to control functions of the control unit or a machine controlled by the controller, such as a vehicle, checks messages received from the controller prior to activation in the controller or machine and blocks, depending on a result of the check, d. H. for example, deleted, or activated. In particular, it is provided that respective messages are always forwarded to the security module if these control commands include functions that are classified as security-relevant according to a scheme such as, for example, ISO 26262 and all other control commands, ie. H. all control commands for functions that are not classified as safety-relevant according to the scheme, directly, d. H. be activated without forwarding to the safety module, on the control unit or the machine.
Ferner betrifft die vorliegende Erfindung ein Steuergerät für eine Maschine mit einer Diagnosekommunikationsschnittstelle, wobei das Steuergerät dazu konfiguriert ist, mindestens eine als sicherheitsrelevant eingestufte Funktion des Steuergeräts nur dann zu steuern, wenn von dem Steuergerät über die Diagnosekommunikationsschnittstelle in einem ersten Schritt eine Freischaltnachricht zum Freischalten der mindestens einen Funktion und in einem zweiten Schritt eine Steuerungsnachricht zum Steuern der mindestens einen Funktion empfangen wurde, und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht empfangen wurde und wobei das Steuergerät weiterhin dazu konfiguriert ist, die als sicherheitsrelevant eingestufte Funktion nur dann zu steuern, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurde.Furthermore, the present invention relates to a control device for a machine with a diagnostic communication interface, wherein the control device is configured to control at least one classified as a safety-relevant function of the controller only if of the control unit via the diagnostic communication interface in a first step, an enabling message to unlock the at least one function and in a second step a control message for controlling the at least one function has been received, and the control message has been received within a predetermined time period after the enable message, and wherein the controller is further configured to control the security relevant function only if the activation message by means of an authentication feature included in the activation message and the control message by means of an authenticated by the control message has been authenticated.
Das vorgestellte Steuergerät dient insbesondere zur Durchführung des vorgestellten Verfahrens.The presented control unit is used in particular for carrying out the presented method.
In einer möglichen Ausgestaltung des vorgestellten Steuergeräts ist vorgesehen, dass das Steuergerät ein Basismodul zum Steuern von nicht sicherheitsrelevanten Funktionen und ein Sicherheitsmodul zum Steuern von sicherheitsrelevanten Funktionen umfasst. Dabei ist weiterhin vorgesehen, dass das Steuergerät dazu konfiguriert ist, in Abhängigkeit eines vorgegebenen Zuordnungsschemas jeweilige von durch das Steuergerät empfangenen Nachrichten umfasste Steuerbefehle an das Sicherheitsmodul zu übertragen.In one possible embodiment of the presented control unit, it is provided that the control unit comprises a base module for controlling non-safety-relevant functions and a safety module for controlling safety-relevant functions. In this case, it is further provided that the control unit is configured to transmit respective control commands included in the messages received by the control unit to the security module as a function of a predetermined allocation scheme.
Mittels einem Steuergerät, das in ein Basismodul und ein Sicherheitsmodul unterteilt ist, können nicht sicherheitsrelevante Steuerbefehle, wie bspw. Steuerbefehle zum Abrufen von Informationen, direkt, d. h. ohne weitere Prüfung, in dem Basismodul aktiviert werden und sicherheitsrelevante Steuerbefehle, wie bspw. Steuerbefehle zum Aktivieren einer Feststellbremse eines Fahrzeugs, lediglich dann aktiviert werden, wenn eine Freischaltnachricht und eine Steuerungsnachricht mittels eines jeweiligen Authentifizierungsmerkmals authentifiziert wurden und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde.By means of a control unit which is subdivided into a basic module and a safety module, non-safety-relevant control commands, such as control commands for retrieving information, can be activated directly, ie without further testing, in the basic module and safety-relevant control commands, such as, for example, control commands for activation a parking brake of a vehicle, only be activated when a release message and a control message by means of a respective Authentication feature were authenticated and the control message was received within a predetermined time range after the activation message from the controller via the diagnostic communication interface.
Es ist denkbar, dass für den Fall, dass eine Überprüfung bzw. Authentifizierung einer jeweiligen Freischaltnachricht bzw. Steuerungsnachricht mittels des erfindungsgemäßen Verfahrens erfolgreich war, und bspw. von der Steuerungsnachricht umfasste Steuerbefehle zu aktivieren bzw. an dem Steuergerät einzustellen sind, das Sicherheitsmodul die Steuerbefehle direkt aktiviert oder eine entsprechende Aktivierungsnachricht an das Steuergerät übermittelt.It is conceivable that in the event that a check or authentication of a respective unlock message or control message was successful by means of the inventive method, and for example. To include control commands included by the control message or to be set on the control unit, the security module, the control commands directly activated or transmitted a corresponding activation message to the controller.
In einer weiteren möglichen Ausgestaltung des vorgestellten Steuergeräts ist vorgesehen, dass das Steuergerät ein Steuergerät zum Steuern von Funktionen eines Fahrzeugs und die Diagnosekommunikationsschnittstelle eine Onboarddiagnoseschnittstelle ist.In a further possible embodiment of the presented control device, it is provided that the control device is a control device for controlling functions of a vehicle and the diagnostic communication interface is an onboard diagnostic interface.
Das vorgestellte Steuergerät und das vorgestellte Verfahren dienen insbesondere zum Schützen eines Fahrzeugs gegenüber unberechtigten Dritten bzw. ungewollten Zugriffen auf sicherheitsrelevante Funktionen eines Fahrzeug, so dass bspw. ausschließlich berechtigtes Personal, bspw. in einem Produktions- oder Kundendienstbetrieb Zugriff auf sicherheitsrelevante Funktionen des Fahrzeugs erhält.The presented control unit and the presented method are used in particular for protecting a vehicle from unauthorized third parties or unintentional access to safety-relevant functions of a vehicle, so that, for example, only authorized personnel, for example, in a production or customer service operation, obtains access to safety-relevant functions of the vehicle.
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.
Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.
Die Erfindung ist anhand von Ausführungsformen in der Zeichnung schematisch dargestellt und wird unter Bezugnahme auf die Zeichnung schematisch und ausführlich beschrieben.
-
1 zeigt eine schematische Darstellung eines Ablaufs einer möglichen Ausgestaltung des vorgestellten Verfahrens.
-
1 shows a schematic representation of a flow of a possible embodiment of the presented method.
In
In einem Überprüfungsschritt
Vorliegend wurde der Steuerbefehl zum Aktivieren der Feststellbremse als sicherheitsrelevant eingestuft und die über die Onboarddiagnoseschnittstelle übertragene und den Steuerbefehl umfassende Nachricht in dem Sicherheitsschritt
Sobald feststeht, dass die Freischaltnachricht vollständig bzw. fehlerfrei empfangen wurde, wird in einem ersten Validierungsschritt
Sobald feststeht, dass die Steuerungsnachricht vollständig bzw. fehlerfrei empfangen wurde, werden sowohl die Freischaltnachricht als auch die Steuerungsnachricht in einem zweiten Validierungsschritt
Zur Überprüfung in dem zweiten Validierungsschritt
Sollten der Abgleich des Freischaltmusters mit dem Referenzfreischaltmuster und der Abgleich des Sicherheitsmusters mit dem Referenzsicherheitsmuster keinen Unterschied ergeben, kann davon ausgegangen werden, dass die Freischaltnachricht und die Steuerungsnachricht authentisch sind, d. h. von einem autorisierten Nutzer stammen und zum Steuern einer Funktion des Steuergeräts, wie bspw. vorliegend zum Aktivieren der Feststellbremse verwendet werden können. Entsprechend wird der von der Nachricht umfasste Steuerbefehl an die Feststellbremse weitergeleitet und diese in einem Stellschritt
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- DE 102008041360 A1 [0004]DE 102008041360 A1 [0004]
- DE 102009001397 A1 [0005]DE 102009001397 A1 [0005]
- DE 102013020522 A1 [0006]DE 102013020522 A1 [0006]
Claims (12)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016224198.2A DE102016224198A1 (en) | 2016-12-06 | 2016-12-06 | Secured communication protocol for safety-related functions of a control unit |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016224198.2A DE102016224198A1 (en) | 2016-12-06 | 2016-12-06 | Secured communication protocol for safety-related functions of a control unit |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102016224198A1 true DE102016224198A1 (en) | 2018-06-07 |
Family
ID=62164202
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102016224198.2A Pending DE102016224198A1 (en) | 2016-12-06 | 2016-12-06 | Secured communication protocol for safety-related functions of a control unit |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102016224198A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008041360A1 (en) | 2008-08-20 | 2010-02-25 | Robert Bosch Gmbh | A vehicle control unit and a data update method for a vehicle control unit |
DE102009001397A1 (en) | 2009-03-09 | 2010-09-16 | Robert Bosch Gmbh | Method and device for diagnosing a communication system in terms of asymmetric delay |
DE102013020522A1 (en) | 2013-12-11 | 2015-06-11 | Lukusa Didier Kabulepa | Communication system, test device and device for testing fault-detecting security mechanisms of a communication subscriber |
-
2016
- 2016-12-06 DE DE102016224198.2A patent/DE102016224198A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008041360A1 (en) | 2008-08-20 | 2010-02-25 | Robert Bosch Gmbh | A vehicle control unit and a data update method for a vehicle control unit |
DE102009001397A1 (en) | 2009-03-09 | 2010-09-16 | Robert Bosch Gmbh | Method and device for diagnosing a communication system in terms of asymmetric delay |
DE102013020522A1 (en) | 2013-12-11 | 2015-06-11 | Lukusa Didier Kabulepa | Communication system, test device and device for testing fault-detecting security mechanisms of a communication subscriber |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2900581B1 (en) | Method for resetting a safety system of an elevator installation | |
DE102006015212B4 (en) | Method for protecting a movable good, in particular a vehicle, against unauthorized use | |
EP2689553B1 (en) | Motor vehicle control unit having a cryptographic device | |
WO2015104180A1 (en) | Method and device for releasing functions of a control device | |
DE102013205051A1 (en) | Updating a digital device certificate of an automation device | |
EP2805446A1 (en) | Function for the challenge derivation for protecting components in a challenge response authentication protocol | |
DE102015221239A1 (en) | A method and apparatus for protecting data integrity through an embedded system having a main processor core and a security hardware device | |
EP3417395B1 (en) | Proving authenticity of a device with the aid of proof of authorization | |
EP3498544A1 (en) | Device, method and computer program for unlocking a vehicle component, vehicle to vehicle communication module | |
DE102019127100A1 (en) | PROCEDURE AND SYSTEM FOR PROVIDING SECURITY OF AN IN-VEHICLE NETWORK | |
DE102018212879A1 (en) | Control device and control method | |
EP2548358B1 (en) | Method for dynamically authorizing a mobile communication device | |
EP2388972A1 (en) | Connection system for the protected establishment of a network connection | |
DE102011002713A1 (en) | Method for providing cryptographic credentials for electronic control unit (ECU) of vehicle e.g. electric car, has control unit that deactivates vehicle drive for deleting cryptographic credentials in vehicle safety management unit | |
DE102007040094A1 (en) | Configuration modification e.g. software-update, executing method for e.g. car, involves verifying configuration modification message by utilizing credentials, and canceling configuration modification when associated credential is canceled | |
WO2018007049A1 (en) | Method for the secure authentication of control devices in a motor vehicle | |
DE102007051440A1 (en) | Software activating method for motor vehicle, involves activating software by activation code, when comparison of actual configuration transmitted with code and actual configuration provided in vehicle has no deviation | |
DE102016224198A1 (en) | Secured communication protocol for safety-related functions of a control unit | |
DE102013108006B4 (en) | communication system | |
WO2017036714A1 (en) | Method for actuating an access unit by means of a mobile electronic terminal | |
EP3504689B1 (en) | Authentication method and authentication arrangement of a motor vehicle | |
DE102021201444A1 (en) | Method and device for checking an incoming, secure, encrypted message | |
EP4087184B1 (en) | Method for authenticating interactions independent of a system time, and device for carrying out this method and flame monitor comprising such a device | |
DE102019110055B4 (en) | Method for protecting a component | |
DE102017205552A1 (en) | A method of controlling access of an electronic device to a system and security device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R082 | Change of representative |
Representative=s name: RDL PATENTANWAELTE PARTG MBB, DE Representative=s name: RAIBLE, DEISSLER, LEHMANN PATENTANWAELTE PARTG, DE |