DE102017209557A1 - Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung - Google Patents

Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung Download PDF

Info

Publication number
DE102017209557A1
DE102017209557A1 DE102017209557.1A DE102017209557A DE102017209557A1 DE 102017209557 A1 DE102017209557 A1 DE 102017209557A1 DE 102017209557 A DE102017209557 A DE 102017209557A DE 102017209557 A1 DE102017209557 A1 DE 102017209557A1
Authority
DE
Germany
Prior art keywords
network
network node
vehicle
messages
data transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017209557.1A
Other languages
English (en)
Inventor
Michael Weber
Marcel Kneib
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017209557.1A priority Critical patent/DE102017209557A1/de
Priority to US15/990,940 priority patent/US10721241B2/en
Priority to CN201810573473.9A priority patent/CN109005148B/zh
Publication of DE102017209557A1 publication Critical patent/DE102017209557A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)

Abstract

Es wird ein Verfahren zum Schutz eines Fahrzeugnetzwerks eines Fahrzeugs gegen manipulierte Datenübertragung vorgeschlagen, Dabei umfasst das Fahrzeugnetzwerk mehrere Netzwerkknoten. Mindestens ein erster Netzwerkknoten in dem Fahrzeugnetzwerk vergleicht empfangene Botschaften mit dem ersten Netzwerkknoten zugeordneten Botschaften und erkennt die manipulierte Datenübertragung, wenn eine der empfangenen Botschaften mit einer dem ersten Netzwerkknoten zugeordneten Botschaft übereinstimmt, aber der erste Netzwerkknoten sie nicht gesendet hat. Dabei vergleicht der erste Netzwerkknoten nur ausgewählte der empfangenen Botschaften mit den dem ersten Netzwerkknoten zugeordneten Botschaften oder die empfangenen Botschaften nur mit ausgewählten dem ersten Netzwerkknoten zugeordneten Botschaften.

Description

  • Technisches Gebiet
  • Vorgestellt werden Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung sowie ein hierzu eingerichtetes Computerprogramm.
  • Stand der Technik
  • Aus der DE 10 2015 219 996 A1 ist ein Verfahren zum Abwehren einer Manipulation an einem CAN-Bus durch einen mittels eines CAN-Controllers an den Bus angebundenen Knoten bekannt. Dabei überwacht ein abgesichertes Sendemodul des ersten Knotens den Bus und erkennt Sendevorgänge des CAN-Controllers in einem Normalbetrieb des ersten Knotens. Zudem erkennt das Sendemodul eine abweichend von dem Normalbetrieb unzulässigerweise auf dem Bus gesendete Botschaft und leitet, falls das Sendemodul die Botschaft erkennt, gegen die Manipulation vorgesehene Gegenmaßnahmen ein.
  • Die DE 10 2009 026 995 A1 offenbart ein Verfahren zum Betreiben eines Bussystems, insbesondere eines CAN-Busses, an das mehrere Stationen anschließbar sind. Eine übertragene Nachricht weist einen Identifier auf, wobei ein bestimmter Identifier immer nur von einer einzigen Station verwendet werden darf. Jede der Stationen vergleicht den Identifier einer übertragenen Nachricht mit den von ihr selbst verwendeten Identifiern. Bei einer Übereinstimmung wird eine Fehlermeldung erzeugt.
  • Offenbarung der Erfindung
  • Es werden Verfahren vorgeschlagen, mit denen ein Netzwerk eines Fahrzeugs und damit das Fahrzeug gegen manipulierte Datenübertragung geschützt bzw. gegen einen solchen Angriff verstärkt werden kann. Dabei umfasst das Fahrzeugnetzwerk mehrere Netzwerkknoten, wobei mindestens ein erster Netzwerkknoten in dem Fahrzeugnetzwerk empfangene Botschaften daraufhin überprüft, ob die empfangenen Botschaften dem ersten Netzwerkknoten zugeordnete Botschaften sind, aber der erste Netzwerkknoten sie nicht gesendet hat. Dies findet durch einen Vergleich der empfangenen mit den zugeordneten Botschaften statt. Der Vergleich kann insbesondere anhand von Identifikationsinformationen der Botschaften erfolgen. Der Netzwerkknoten erkennt die manipulierte Datenübertragung, wenn eine der empfangenen Botschaften mit einer dem ersten Netzwerkknoten zugeordneten Botschaft übereinstimmt, aber der erste Netzwerkknoten sie nicht gesendet hat.
  • Es wird nun vorgeschlagen, dass der erste Netzwerkknoten nicht alle, sondern nur ausgewählte der empfangenen Botschaften mit ihm zugeordneten Botschaften vergleicht oder die empfangenen Botschaften nicht mit allen, sondern nur mit ausgewählten der ihm zugeordneten Botschaften vergleicht. Hierdurch ist ein besonders gezieltes und ressourcenschonendes Verfahren möglich. Es können hierzu in einer bevorzugten Ausgestaltung bestimmte zugeordnete Botschaften (beispielsweise durch Hinterlegung von Identifikationsinformationen über diese Botschaften) in dem Netzwerkknoten bestimmt sein, für welche ein Vergleich erfolgen soll. Hierdurch sind weniger Vergleiche nötig und das Verfahren kann sich auf besonders sicherheitskritische und eindeutig dem Netzwerkknoten zugewiesene Botschaften konzentrieren. In einer weiteren bevorzugten Ausgestaltung wird aus den empfangenen Botschaften durch im Netzwerkknoten hinterlegte Auswahlkriterien ein Teil für den Vergleich ausgewählt. Hierdurch werden ebenfalls die Ressourcen im Netzwerkknoten geschont. Erfolgt die Auswahl nicht-deterministisch bzw. zufällig, so ist für einen Angreifer nicht vorherzusehen, welche der empfangenen Botschaften verglichen bzw. überprüft werden, was einen Angriff erschwert.
  • Diese Lösungen sind ohne zusätzliche Hardware realisierbar und kann daher einfach in Software realisiert sein bzw. auf bestehende Systeme wie bereits ausgelieferte Fahrzeuge in einer Nachrüstlösung als Softwareupdate übertragen werden.
  • Ein weiterer Vorteil dieser Lösung ist, dass sie unabhängig von den Fahrzeugvarianten eines Fahrzeugs (Coupe, Limousine, Cabrio, verschiedene Getriebe, verschiedene Motoren etc.) realisiert werden kann, da jeder Netzwerkknoten, insbesondere jedes Steuergerät sich selbst überwacht. Es muss also keine spezielle Anpassung an die anderen Netzwerkknoten erfolgen.
  • Erkennt ein Netzwerkknoten eine Manipulation der Datenübertragung anhand einer empfangenen Botschaft, welche eigentlich nur er selbst senden sollte, es aber nicht getan hat, so leitet er vorzugsweise Gegenmaßnahmen ein. Als vorteilhaft haben sich die folgenden Maßnahmen erwiesen, gegebenenfalls auch in Kombination
    • - Stilllegen des Fahrzeugnetzwerks oder eines Teils des Fahrzeugnetzwerks,
    • - Ungültigmachen der ersten Botschaft,
    • - Aussenden einer Fehlernachricht, insbesondere als zusätzliche Diagnosebotschaft oder als manipulierte Information in einer dem ersten Netzwerkknoten zugeordneten weiteren Botschaft, insbesondere in einem Prüfabschnitt der weiteren Botschaft,
    • - Unterlassen eines Versendes bestimmter, insbesondere sicherheitskritischer Botschaften,
    • - Ignorieren empfangener Nachrichten in dem Fahrzeugnetzwerk durch mindestens den ersten Netzwerkknoten der mehreren Netzwerkknoten,
    • - Versetzen des Fahrzeugs in einen Notbetrieb mit eingeschränkter Funktionalität,
    • - Zurücksetzen von Informationen im Fahrzeugnetzwerk nach einem Zündungswechsel.
  • Zeichnung
  • Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegende Zeichnung und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigt 1 schematisch ein beispielhaftes Fahrzeugnetzwerk mit mehreren Netzwerkteilnehmern bzw. Netzwerkknoten.
  • Beschreibung der Ausführungsbeispiele
  • Die vorliegende Erfindung bezieht sich auf ein Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung.
  • Fahrzeugnetzwerke bestehen gewöhnlich aus unterschiedlichen Netzwerkknoten, meist Steuergeräteknoten, die über Bussysteme miteinander vernetzt sind, derzeit vorwiegend CAN, LIN, FlexRay sowie MOST. In der Steuergeräte-Hardware ist pro Bussystem ein Baustein verbaut, der die Kommunikation sowohl in Sende- als auch Empfangsrichtung übernimmt. Die Steuergeräteknoten verfügen zudem über eine Recheneinheit, welche ein Computerprogramm abarbeitet. Dieses ist oft so eingerichtet, dass von einem Steuergeräteknoten eine bestimmte Anzahl von Botschaften gesendet und eine bestimmte Anzahl von Botschaften empfangen werden können. Wenn es sich bei dem Steuergerät nicht um eine Bridge oder um ein Gateway des Bussystems handelt, so sind diese Botschaftsmengen regelmäßig disjunkt.
  • In 1 ist schematisch ein beispielhaftes Fahrzeugnetzwerk 1 gezeigt. Dieses umfasst einen Hauptbus 10 mit welchem eine Gruppe sicherheitskritischer Netzwerkknoten 20 sowie eine Gruppe von Netzwerkknoten mit Funkverbindung 30 verbunden sind. Zur Gruppe der sicherheitskritischen Netzwerkknoten 20 gehören beispielsweise ein Motorsteuergerät 21, ein ESP-Steuergerät 22, ein Getriebesteuergerät 23 und ein Steuergerät für die Lenkung 24. Zur Gruppe der Netzwerkknoten mit Funkverbindung 30 gehören beispielsweise ein WLAN- und/oder Bluetooth-Modul 31, ein integriertes Fahrzeugtelefon 32 und ein kombiniertes Navigations- und Multimediasystem 33. Ebenfalls mit dem Hauptbus verbunden und als Schnittstelle nach Fahrzeugnetzwerk-extern bzw. Fahrzeug-extern eingerichtet ist eine OBD-Buchse 60.
  • Ein sogenanntes Body-Steuergerät 40 (Body Controller, BCM) ist sowohl mit dem Hauptbus 10 als auch mit einem weiteren Bus 50 verbunden. Mit dem weiteren Bus 50 sind zudem weitere Netzwerkknoten, insbesondere Steuergeräte 51 bis 55 verbunden.
  • Bekannt gewordene Angriffe auf Fahrzeugnetzwerke manipulieren in vielen Fällen Standard-Botschaften oder Diagnose-Botschaften in einem solchen Fahrzeugnetzwerk 1. Dabei werden Botschaften von Steuergeräten gesendet, die eigentlich nicht dafür vorgesehen sind. Damit diese gegenüber den regulären Botschaften auf dem Bussystem durchkommen bzw. sich durchsetzen, werden sie oft mit einer z. T. signifikant höheren Datenrate gesendet.
  • Die im Fahrzeug vorherrschenden Bustypen funktionieren oft so, dass alle gesendeten Botschaften von allen Netzwerkknoten empfangen werden. Es ist dem empfangenden Netzwerkknoten in der Regel nicht ersichtlich, welcher (andere) Netzwerkknoten eine bestimmte, empfangene Botschaft gesendet hat. In der Regel gibt es auch keine 1:1-Kommunikation. Das macht es äußerst schwer, zu erkennen, ob eine empfangene Botschaft vom richtigen Absender kommt.
  • Angriffe auf Fahrzeugnetzwerke, welche das Manipulieren einer Datenübertragung in dem Fahrzeugnetzwerk zum Ziel hat, werden oft remote, d. h. per Funk-Schnittstellen durchgeführt. Ein solcher Angriff kann beispielsweise in drei Schritte unterteilt werden:
    1. 1. Böswillige Übernahme eines remote-fähigen Steuergerätes aus der Ferne.
    2. 2. Manipulation des Steuergeräts, so dass dieses bestimmte Botschaften an ein sicherheitskritisches Steuergerät sendet.
    3. 3. Damit das sicherheitskritische Steuergerät dazu zu bringen, ungewünschte, insbesondere unsichere Operationen durchzuführen.
  • Ein Schutz gegen einen solchen Angriff bzw. gegen eine derart manipulierte Datenübertragung kann erfolgen, indem jeder Steuergeräteknoten den Bus auf Botschaften überwacht, die normalerweise von ihm selbst gesendet werden bzw. nur von ihm selbst gesendet werden dürfen. Wenn durch einen Steuergeräteknoten eine solche Botschaft erkannt wird, die es nicht selbst gesendet hat, dann kann ein Angriff bzw. eine entsprechende Manipulation der Datenübertragung vorliegen und eine geeignete Gegenreaktion wird eingeleitet.
  • Allerdings kann gerade bei komplexeren Netzwerkstrukturen der Ressourcenaufwand für eine solche Maßnahme stark steigen, beispielsweise, wenn eine große Anzahl empfangener Botschaft mit einer großen Anzahl dem Steuergeräteknoten zugeordneter Botschaften verglichen werden muss. Zudem kann es Netzwerkprotokolle geben, nach denen Botschaften nicht zwangsweise nur einem der Steuergeräteknoten zugeordnet sein dürfen. Solche Botschaften sollten dann vorzugsweise aus dem Vergleich herausgelassen werden. Für eine gezieltere und ressourceneffizientere Schutzmaßnahme wird daher vorgeschlagenen, dass nicht alle empfangenen Botschaften überprüft bzw. mit zugeordneten Botschaften verglichen werden oder dass die empfangenen Botschaften nicht mit allen zugeordneten Botschaften verglichen werden. Vielmehr können in einer bevorzugten Ausgestaltung im Steuergeräteknoten bestimmte zugeordnete Botschaften hinterlegt sein, für welche ein Vergleich mit empfangenen Botschaften erfolgen soll. Das sind vorzugsweise besonders sicherheitskritische Botschaften, welche auch eindeutig diesem Steuergeräteknoten zugeordnet sind. Auch kann ein Steuergeräteknoten regelbasiert oder zufällig bzw. nicht-deterministisch eine Untermenge der empfangenen Botschaften für einen Vergleich bzw. eine Überprüfung auswählen.
  • Es können verschiedene Reaktionen auf bzw. Gegenmaßnahmen gegen eine erkannte Manipulation der Datenübertragung in dem Fahrzeugnetzwerk vorgesehen sein. Hauptsächliches Ziel sollte sein, einen sicheren Betrieb des Fahrzeugs zu gewährleisten wird. Sollte dies nicht möglich sein, dann sollte der Betrieb des Fahrzeugs verhindert werden.
  • Eine erste Hürde besteht darin, wie der die Datenmanipulation erkennende Netzwerkknoten auch die anderen Netzwerkknoten in die Gegenmaßnahme einbeziehen kann bzw. diesen mitteilen kann, dass ein Angriff erkannt worden ist.
  • Verschiedene Möglichkeiten umfassen:
    • - das Netzwerk oder ein Teil des Netzwerks stilllegen,
    • - die Nachricht ungültig machen,
    • - die Information in einer legitimen Botschaft „verstecken“ (z. B. ein falscher CRC-Code),
    • - eine zusätzliche Diagnose-Botschaft, die on-demand gesendet wird,
    • - eine legitime Botschaft nicht mehr senden.
  • Letztere Maßnahme würde z. B. auch funktionieren, wenn das Netzwerk bzw. der Bus von dem Angreifer mit vielen Botschaften geflutet wird. In diesem Fall würde die Botschaft zwangsläufig ausbleiben.
  • Ein zweiter Punkt besteht dann darin, wie die anderen Steuergeräte darauf reagieren sollen. Hier ist es wünschenswert, dem Angreifer so wenige Hinweise wie möglich zu geben, welche er wieder für eine Verfeinerung oder Ausweitung des Angriffs verwenden könnte. Dies kann dadurch passieren, dass alle Steuergeräte dem Netzwerk oder einem Teil des Netzwerks nicht mehr vertrauen, insbesondere diesen einfach ignorieren. Dadurch kann der Angreifer nicht mehr weiter nach Schwachstellen suchen.
  • Zusätzlich könnten noch Fehler im Fehlerspeicher gesetzt werden, die nur in der Werkstatt zurückgesetzt werden können. Ein Versetzen des Fahrzeugs in einen Notfahrbetrieb ist eine weitere Möglichkeit, ebenso wie ein Zurücksetzen von Informationen im Netzwerk nach einem Zündungswechsel.
  • Die vorgeschlagenen Lösungen benötigen weder zusätzliche Hardware, noch einen Eingriff in bestehende Hardware. Daher ist es einfach möglich, Fahrzeuge bzw. Fahrzeugnetzwerke per Software-Update mit einer solchen Angriffserkennung bzw. einem solchen Schutz gegen eine Manipulation der Datenübertragung nachzurüsten.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102015219996 A1 [0002]
    • DE 102009026995 A1 [0003]

Claims (10)

  1. Verfahren zum Schutz eines Fahrzeugnetzwerks (1) eines Fahrzeugs gegen manipulierte Datenübertragung, wobei das Fahrzeugnetzwerk (1) mehrere Netzwerkknoten (21-24, 31-33, 51-55) umfasst und wobei mindestens ein erster Netzwerkknoten (21) in dem Fahrzeugnetzwerk empfangene Botschaften mit dem ersten Netzwerkknoten (21) zugeordneten Botschaften vergleicht und die manipulierte Datenübertragung erkennt, wenn eine der empfangenen Botschaften mit einer dem ersten Netzwerkknoten (21) zugeordneten Botschaft übereinstimmt, aber der erste Netzwerkknoten (21) sie nicht gesendet hat, dadurch gekennzeichnet, dass der erste Netzwerkknoten (21) nur ausgewählte der empfangenen Botschaften mit den dem ersten Netzwerkknoten (21) zugeordneten Botschaften vergleicht oder die empfangenen Botschaften nur mit ausgewählten dem ersten Netzwerkknoten (21) zugeordneten Botschaften vergleicht.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass in dem ersten Netzwerkknoten (21) eine Menge an für den Vergleich ausgewählten dem ersten Netzwerkknoten (21) zugeordneten Botschaften festgelegt ist.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass in dem ersten Netzwerkknoten (21) eine Regel hinterlegt ist, welche der empfangenen Botschaften für einen Vergleich ausgewählt werden.
  4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch den ersten Netzwerkknoten (21) aus den empfangenen Botschaften eine nichtdeterministische oder zufällige Auswahl für einen Vergleich getroffen wird.
  5. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass der erste Netzwerkknoten (21) eine Gegenmaßnahme zum Schutz des Fahrzeugnetzwerks (1) anstößt, wenn er die manipulierte Datenübertragung erkennt.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die Gegenmaßnahme mindestens einen der Schritte umfasst: - Stilllegen des Fahrzeugnetzwerks (1) oder eines Teils des Fahrzeugnetzwerks (1), - Ungültigmachen der ersten Botschaft, - Aussenden einer Fehlernachricht, insbesondere als zusätzliche Diagnosebotschaft oder als manipulierte Information in einer dem ersten Netzwerkknoten (21) zugeordneten weiteren Botschaft, insbesondere in einem Prüfabschnitt der weiteren Botschaft, - Unterlassen eines Versendes bestimmter, insbesondere sicherheitskritischer Botschaften, - Ignorieren empfangener Nachrichten in dem Fahrzeugnetzwerk (1) durch mindestens den ersten Netzwerkknoten (21) der mehreren Netzwerkknoten (21-24, 31-33, 51-55), - Versetzen des Fahrzeugs in einen Notbetrieb mit eingeschränkter Funktionalität, - Zurücksetzen von Informationen im Fahrzeugnetzwerk (1) nach einem Zündungswechsel.
  7. Computerprogramm, welches dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 6 durchzuführen.
  8. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 7.
  9. Steuergerät (21) in einem Fahrzeug, dadurch gekennzeichnet, dass es eine Recheneinheit aufweist, um ein Computerprogramm nach Anspruch 7 abzuarbeiten, sowie ein maschinenlesbares Speichermedium nach Anspruch 8.
  10. Verfahren zum Schutz eines Fahrzeugnetzwerks (1) eines bereits ausgelieferten Fahrzeugs gegen manipulierte Datenübertragung, dadurch gekennzeichnet, dass ein Computerprogramm nach Anspruch 7 per Softwareupdate auf mindestens ein Steuergerät (21) des Fahrzeugnetzwerks (1) aufgespielt wird.
DE102017209557.1A 2017-06-07 2017-06-07 Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung Pending DE102017209557A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102017209557.1A DE102017209557A1 (de) 2017-06-07 2017-06-07 Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
US15/990,940 US10721241B2 (en) 2017-06-07 2018-05-29 Method for protecting a vehicle network against manipulated data transmission
CN201810573473.9A CN109005148B (zh) 2017-06-07 2018-06-06 用于保护车辆网络免受被篡改的数据传输的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017209557.1A DE102017209557A1 (de) 2017-06-07 2017-06-07 Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung

Publications (1)

Publication Number Publication Date
DE102017209557A1 true DE102017209557A1 (de) 2018-12-13

Family

ID=64332838

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017209557.1A Pending DE102017209557A1 (de) 2017-06-07 2017-06-07 Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung

Country Status (3)

Country Link
US (1) US10721241B2 (de)
CN (1) CN109005148B (de)
DE (1) DE102017209557A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020187985A1 (de) * 2019-03-21 2020-09-24 Volkswagen Aktiengesellschaft Verfahren zur überwachung der kommunikation auf einem kommunikationsbus, elektronische vorrichtung zum anschluss an einen kommunikationsbus sowie fahrzeug
WO2021047814A1 (de) * 2019-09-09 2021-03-18 Robert Bosch Gmbh Abschaltung differentieller kommunikationsschnittstellen
WO2022111930A1 (de) * 2020-11-27 2022-06-02 Zf Friedrichshafen Ag Verfahren und steuereinrichtung zur sicheren bordkommunikation
DE102021201444A1 (de) 2021-02-16 2022-08-18 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Überprüfen einer eingehenden, abgesicherten, verschlüsselten Botschaft

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113660269B (zh) * 2021-08-17 2022-06-21 上海交通大学 面向集中式网联云控平台的信息可信度识别处理方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009026995A1 (de) 2009-06-17 2011-03-31 Robert Bosch Gmbh Verfahren zum Betreiben eines Bussystems, insbesondere eines CAN-Busses
DE102015219996A1 (de) 2015-10-15 2017-04-20 Robert Bosch Gmbh Verfahren und Vorrichtung zum Abwehren einer Manipulation an einem CAN-Bus durch einen mittels eines CAN-Controllers an den Bus angebundenen Knoten

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5541941A (en) * 1994-01-28 1996-07-30 International Business Machines Corporation Method and structure for providing automatic parity sensing
US5379304A (en) * 1994-01-28 1995-01-03 International Business Machines Corporation Method and structure for providing error correction code and parity for each byte on SIMM's
US20020120902A1 (en) * 2001-02-23 2002-08-29 Alcatel Method and system for frame synchronous forward error correction
EP1349359A1 (de) * 2002-03-27 2003-10-01 Siemens Aktiengesellschaft Verfahren zum Vergebühren einer Kommunikationsverbindung zwischen Kommunikationsendgeräten
US8555344B1 (en) * 2003-06-05 2013-10-08 Mcafee, Inc. Methods and systems for fallback modes of operation within wireless computer networks
WO2004110026A1 (en) * 2003-06-05 2004-12-16 Wireless Security Corporation Methods and systems of remote authentication for computer networks
US20050183143A1 (en) * 2004-02-13 2005-08-18 Anderholm Eric J. Methods and systems for monitoring user, application or device activity
US7310696B1 (en) * 2004-12-03 2007-12-18 Crossroads Systems, Inc. Method and system for coordinating interoperability between devices of varying capabilities in a network
JP2006262034A (ja) * 2005-03-17 2006-09-28 Hitachi Ltd 放送受信端末および情報処理装置
US20090013412A1 (en) * 2005-08-17 2009-01-08 Horst Nather Data Exchanging Device
US8225085B2 (en) * 2007-06-05 2012-07-17 Blue Coat Systems, Inc. System and method for distributed SSL processing between co-operating nodes
WO2008154941A1 (en) * 2007-06-20 2008-12-24 Nec Deutschland Gmbh Method for preserving the privacy of nodes in a network
CN103905452A (zh) * 2014-04-03 2014-07-02 国家电网公司 一种可信的网络攻击过滤装置及网络攻击过滤方法
JP6594732B2 (ja) * 2015-01-20 2019-10-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム
CN106411956B (zh) * 2016-12-02 2019-05-31 北京奇虎科技有限公司 分析汽车总线安全性的方法和装置
CN106685951A (zh) * 2016-12-26 2017-05-17 北京奇虎科技有限公司 一种基于域名规则的网络流量过滤系统与方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009026995A1 (de) 2009-06-17 2011-03-31 Robert Bosch Gmbh Verfahren zum Betreiben eines Bussystems, insbesondere eines CAN-Busses
DE102015219996A1 (de) 2015-10-15 2017-04-20 Robert Bosch Gmbh Verfahren und Vorrichtung zum Abwehren einer Manipulation an einem CAN-Bus durch einen mittels eines CAN-Controllers an den Bus angebundenen Knoten

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020187985A1 (de) * 2019-03-21 2020-09-24 Volkswagen Aktiengesellschaft Verfahren zur überwachung der kommunikation auf einem kommunikationsbus, elektronische vorrichtung zum anschluss an einen kommunikationsbus sowie fahrzeug
WO2021047814A1 (de) * 2019-09-09 2021-03-18 Robert Bosch Gmbh Abschaltung differentieller kommunikationsschnittstellen
WO2022111930A1 (de) * 2020-11-27 2022-06-02 Zf Friedrichshafen Ag Verfahren und steuereinrichtung zur sicheren bordkommunikation
DE102021201444A1 (de) 2021-02-16 2022-08-18 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Überprüfen einer eingehenden, abgesicherten, verschlüsselten Botschaft

Also Published As

Publication number Publication date
CN109005148B (zh) 2022-08-23
CN109005148A (zh) 2018-12-14
US20180359262A1 (en) 2018-12-13
US10721241B2 (en) 2020-07-21

Similar Documents

Publication Publication Date Title
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102015205670A1 (de) Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
DE102012217200A1 (de) Busüberwachungssicherheitsvorrichtung und Busüberwachungssicherheitssystem
DE102009025585B4 (de) Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
DE102017216808A1 (de) Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus sowie elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
DE102017222879A1 (de) Vorrichtung, Verfahr, und Computerprogramm zum Freischalten von einer Fahrzeugkomponente, Fahrzeug-zu-Fahrzeug-Kommunikationsmodul
DE102015002574A1 (de) Kraftfahrzeug- Kommunikationsnetzwerk mit Switchvorrichtung
DE102017202176A1 (de) Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102013001412A1 (de) Verfahren zur Steuerung einer Kommunikation zwischen einer Diagnosestelle eines Fahrzeugs und einem Fahrzeugnetz sowie entsprechende Steuerung für ein Fahrzeug
DE102018200318A1 (de) Absicherung eines Softwareupdates eines Steuergerätes eines Fortbewegungsmittels
DE102012219093A1 (de) Cyber-Sicherheit in einem Kraftfahrzeugnetzwerk
DE102014018110A1 (de) Verfahren und System zur Fernsteuerung eines Fahrzeuges oder einer Fahrzeugfunktion
DE102021208459A1 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102016221378A1 (de) Verfahren zum Übertragen von Daten
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
DE102004021145B4 (de) Verfahren und System zum drahtlosen Übertragen von Daten zwischen einer Datenverarbeitungseinrichtung eines Fahrzeugs und einer lokalen externen Datenverarbeitungseinrichtung
DE102018221954A1 (de) Recheneinrichtung und Verfahren zum Betreiben einer Recheneinrichtung
DE102018216958B4 (de) Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren
DE102022201899A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102020212452B3 (de) Verfahren zur Reduzierung der Auswirkungen von einer auf einem Kommunikationsbus eingeschleusten Botschaft

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R012 Request for examination validly filed