DE102017209557A1 - Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung - Google Patents
Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung Download PDFInfo
- Publication number
- DE102017209557A1 DE102017209557A1 DE102017209557.1A DE102017209557A DE102017209557A1 DE 102017209557 A1 DE102017209557 A1 DE 102017209557A1 DE 102017209557 A DE102017209557 A DE 102017209557A DE 102017209557 A1 DE102017209557 A1 DE 102017209557A1
- Authority
- DE
- Germany
- Prior art keywords
- network
- network node
- vehicle
- messages
- data transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 23
- 238000000034 method Methods 0.000 title claims abstract description 18
- 238000004590 computer program Methods 0.000 claims description 6
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Small-Scale Networks (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
Abstract
Es wird ein Verfahren zum Schutz eines Fahrzeugnetzwerks eines Fahrzeugs gegen manipulierte Datenübertragung vorgeschlagen, Dabei umfasst das Fahrzeugnetzwerk mehrere Netzwerkknoten. Mindestens ein erster Netzwerkknoten in dem Fahrzeugnetzwerk vergleicht empfangene Botschaften mit dem ersten Netzwerkknoten zugeordneten Botschaften und erkennt die manipulierte Datenübertragung, wenn eine der empfangenen Botschaften mit einer dem ersten Netzwerkknoten zugeordneten Botschaft übereinstimmt, aber der erste Netzwerkknoten sie nicht gesendet hat. Dabei vergleicht der erste Netzwerkknoten nur ausgewählte der empfangenen Botschaften mit den dem ersten Netzwerkknoten zugeordneten Botschaften oder die empfangenen Botschaften nur mit ausgewählten dem ersten Netzwerkknoten zugeordneten Botschaften.
Description
- Technisches Gebiet
- Vorgestellt werden Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung sowie ein hierzu eingerichtetes Computerprogramm.
- Stand der Technik
- Aus der
DE 10 2015 219 996 A1 ist ein Verfahren zum Abwehren einer Manipulation an einem CAN-Bus durch einen mittels eines CAN-Controllers an den Bus angebundenen Knoten bekannt. Dabei überwacht ein abgesichertes Sendemodul des ersten Knotens den Bus und erkennt Sendevorgänge des CAN-Controllers in einem Normalbetrieb des ersten Knotens. Zudem erkennt das Sendemodul eine abweichend von dem Normalbetrieb unzulässigerweise auf dem Bus gesendete Botschaft und leitet, falls das Sendemodul die Botschaft erkennt, gegen die Manipulation vorgesehene Gegenmaßnahmen ein. - Die
DE 10 2009 026 995 A1 offenbart ein Verfahren zum Betreiben eines Bussystems, insbesondere eines CAN-Busses, an das mehrere Stationen anschließbar sind. Eine übertragene Nachricht weist einen Identifier auf, wobei ein bestimmter Identifier immer nur von einer einzigen Station verwendet werden darf. Jede der Stationen vergleicht den Identifier einer übertragenen Nachricht mit den von ihr selbst verwendeten Identifiern. Bei einer Übereinstimmung wird eine Fehlermeldung erzeugt. - Offenbarung der Erfindung
- Es werden Verfahren vorgeschlagen, mit denen ein Netzwerk eines Fahrzeugs und damit das Fahrzeug gegen manipulierte Datenübertragung geschützt bzw. gegen einen solchen Angriff verstärkt werden kann. Dabei umfasst das Fahrzeugnetzwerk mehrere Netzwerkknoten, wobei mindestens ein erster Netzwerkknoten in dem Fahrzeugnetzwerk empfangene Botschaften daraufhin überprüft, ob die empfangenen Botschaften dem ersten Netzwerkknoten zugeordnete Botschaften sind, aber der erste Netzwerkknoten sie nicht gesendet hat. Dies findet durch einen Vergleich der empfangenen mit den zugeordneten Botschaften statt. Der Vergleich kann insbesondere anhand von Identifikationsinformationen der Botschaften erfolgen. Der Netzwerkknoten erkennt die manipulierte Datenübertragung, wenn eine der empfangenen Botschaften mit einer dem ersten Netzwerkknoten zugeordneten Botschaft übereinstimmt, aber der erste Netzwerkknoten sie nicht gesendet hat.
- Es wird nun vorgeschlagen, dass der erste Netzwerkknoten nicht alle, sondern nur ausgewählte der empfangenen Botschaften mit ihm zugeordneten Botschaften vergleicht oder die empfangenen Botschaften nicht mit allen, sondern nur mit ausgewählten der ihm zugeordneten Botschaften vergleicht. Hierdurch ist ein besonders gezieltes und ressourcenschonendes Verfahren möglich. Es können hierzu in einer bevorzugten Ausgestaltung bestimmte zugeordnete Botschaften (beispielsweise durch Hinterlegung von Identifikationsinformationen über diese Botschaften) in dem Netzwerkknoten bestimmt sein, für welche ein Vergleich erfolgen soll. Hierdurch sind weniger Vergleiche nötig und das Verfahren kann sich auf besonders sicherheitskritische und eindeutig dem Netzwerkknoten zugewiesene Botschaften konzentrieren. In einer weiteren bevorzugten Ausgestaltung wird aus den empfangenen Botschaften durch im Netzwerkknoten hinterlegte Auswahlkriterien ein Teil für den Vergleich ausgewählt. Hierdurch werden ebenfalls die Ressourcen im Netzwerkknoten geschont. Erfolgt die Auswahl nicht-deterministisch bzw. zufällig, so ist für einen Angreifer nicht vorherzusehen, welche der empfangenen Botschaften verglichen bzw. überprüft werden, was einen Angriff erschwert.
- Diese Lösungen sind ohne zusätzliche Hardware realisierbar und kann daher einfach in Software realisiert sein bzw. auf bestehende Systeme wie bereits ausgelieferte Fahrzeuge in einer Nachrüstlösung als Softwareupdate übertragen werden.
- Ein weiterer Vorteil dieser Lösung ist, dass sie unabhängig von den Fahrzeugvarianten eines Fahrzeugs (Coupe, Limousine, Cabrio, verschiedene Getriebe, verschiedene Motoren etc.) realisiert werden kann, da jeder Netzwerkknoten, insbesondere jedes Steuergerät sich selbst überwacht. Es muss also keine spezielle Anpassung an die anderen Netzwerkknoten erfolgen.
- Erkennt ein Netzwerkknoten eine Manipulation der Datenübertragung anhand einer empfangenen Botschaft, welche eigentlich nur er selbst senden sollte, es aber nicht getan hat, so leitet er vorzugsweise Gegenmaßnahmen ein. Als vorteilhaft haben sich die folgenden Maßnahmen erwiesen, gegebenenfalls auch in Kombination
- - Stilllegen des Fahrzeugnetzwerks oder eines Teils des Fahrzeugnetzwerks,
- - Ungültigmachen der ersten Botschaft,
- - Aussenden einer Fehlernachricht, insbesondere als zusätzliche Diagnosebotschaft oder als manipulierte Information in einer dem ersten Netzwerkknoten zugeordneten weiteren Botschaft, insbesondere in einem Prüfabschnitt der weiteren Botschaft,
- - Unterlassen eines Versendes bestimmter, insbesondere sicherheitskritischer Botschaften,
- - Ignorieren empfangener Nachrichten in dem Fahrzeugnetzwerk durch mindestens den ersten Netzwerkknoten der mehreren Netzwerkknoten,
- - Versetzen des Fahrzeugs in einen Notbetrieb mit eingeschränkter Funktionalität,
- - Zurücksetzen von Informationen im Fahrzeugnetzwerk nach einem Zündungswechsel.
- Zeichnung
- Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegende Zeichnung und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigt
1 schematisch ein beispielhaftes Fahrzeugnetzwerk mit mehreren Netzwerkteilnehmern bzw. Netzwerkknoten. - Beschreibung der Ausführungsbeispiele
- Die vorliegende Erfindung bezieht sich auf ein Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung.
- Fahrzeugnetzwerke bestehen gewöhnlich aus unterschiedlichen Netzwerkknoten, meist Steuergeräteknoten, die über Bussysteme miteinander vernetzt sind, derzeit vorwiegend CAN, LIN, FlexRay sowie MOST. In der Steuergeräte-Hardware ist pro Bussystem ein Baustein verbaut, der die Kommunikation sowohl in Sende- als auch Empfangsrichtung übernimmt. Die Steuergeräteknoten verfügen zudem über eine Recheneinheit, welche ein Computerprogramm abarbeitet. Dieses ist oft so eingerichtet, dass von einem Steuergeräteknoten eine bestimmte Anzahl von Botschaften gesendet und eine bestimmte Anzahl von Botschaften empfangen werden können. Wenn es sich bei dem Steuergerät nicht um eine Bridge oder um ein Gateway des Bussystems handelt, so sind diese Botschaftsmengen regelmäßig disjunkt.
- In
1 ist schematisch ein beispielhaftes Fahrzeugnetzwerk1 gezeigt. Dieses umfasst einen Hauptbus10 mit welchem eine Gruppe sicherheitskritischer Netzwerkknoten20 sowie eine Gruppe von Netzwerkknoten mit Funkverbindung30 verbunden sind. Zur Gruppe der sicherheitskritischen Netzwerkknoten20 gehören beispielsweise ein Motorsteuergerät21 , ein ESP-Steuergerät22 , ein Getriebesteuergerät23 und ein Steuergerät für die Lenkung24 . Zur Gruppe der Netzwerkknoten mit Funkverbindung30 gehören beispielsweise ein WLAN- und/oder Bluetooth-Modul31 , ein integriertes Fahrzeugtelefon32 und ein kombiniertes Navigations- und Multimediasystem33 . Ebenfalls mit dem Hauptbus verbunden und als Schnittstelle nach Fahrzeugnetzwerk-extern bzw. Fahrzeug-extern eingerichtet ist eine OBD-Buchse60 . - Ein sogenanntes Body-Steuergerät
40 (Body Controller, BCM) ist sowohl mit dem Hauptbus10 als auch mit einem weiteren Bus50 verbunden. Mit dem weiteren Bus50 sind zudem weitere Netzwerkknoten, insbesondere Steuergeräte51 bis55 verbunden. - Bekannt gewordene Angriffe auf Fahrzeugnetzwerke manipulieren in vielen Fällen Standard-Botschaften oder Diagnose-Botschaften in einem solchen Fahrzeugnetzwerk
1 . Dabei werden Botschaften von Steuergeräten gesendet, die eigentlich nicht dafür vorgesehen sind. Damit diese gegenüber den regulären Botschaften auf dem Bussystem durchkommen bzw. sich durchsetzen, werden sie oft mit einer z. T. signifikant höheren Datenrate gesendet. - Die im Fahrzeug vorherrschenden Bustypen funktionieren oft so, dass alle gesendeten Botschaften von allen Netzwerkknoten empfangen werden. Es ist dem empfangenden Netzwerkknoten in der Regel nicht ersichtlich, welcher (andere) Netzwerkknoten eine bestimmte, empfangene Botschaft gesendet hat. In der Regel gibt es auch keine 1:1-Kommunikation. Das macht es äußerst schwer, zu erkennen, ob eine empfangene Botschaft vom richtigen Absender kommt.
- Angriffe auf Fahrzeugnetzwerke, welche das Manipulieren einer Datenübertragung in dem Fahrzeugnetzwerk zum Ziel hat, werden oft remote, d. h. per Funk-Schnittstellen durchgeführt. Ein solcher Angriff kann beispielsweise in drei Schritte unterteilt werden:
- 1. Böswillige Übernahme eines remote-fähigen Steuergerätes aus der Ferne.
- 2. Manipulation des Steuergeräts, so dass dieses bestimmte Botschaften an ein sicherheitskritisches Steuergerät sendet.
- 3. Damit das sicherheitskritische Steuergerät dazu zu bringen, ungewünschte, insbesondere unsichere Operationen durchzuführen.
- Ein Schutz gegen einen solchen Angriff bzw. gegen eine derart manipulierte Datenübertragung kann erfolgen, indem jeder Steuergeräteknoten den Bus auf Botschaften überwacht, die normalerweise von ihm selbst gesendet werden bzw. nur von ihm selbst gesendet werden dürfen. Wenn durch einen Steuergeräteknoten eine solche Botschaft erkannt wird, die es nicht selbst gesendet hat, dann kann ein Angriff bzw. eine entsprechende Manipulation der Datenübertragung vorliegen und eine geeignete Gegenreaktion wird eingeleitet.
- Allerdings kann gerade bei komplexeren Netzwerkstrukturen der Ressourcenaufwand für eine solche Maßnahme stark steigen, beispielsweise, wenn eine große Anzahl empfangener Botschaft mit einer großen Anzahl dem Steuergeräteknoten zugeordneter Botschaften verglichen werden muss. Zudem kann es Netzwerkprotokolle geben, nach denen Botschaften nicht zwangsweise nur einem der Steuergeräteknoten zugeordnet sein dürfen. Solche Botschaften sollten dann vorzugsweise aus dem Vergleich herausgelassen werden. Für eine gezieltere und ressourceneffizientere Schutzmaßnahme wird daher vorgeschlagenen, dass nicht alle empfangenen Botschaften überprüft bzw. mit zugeordneten Botschaften verglichen werden oder dass die empfangenen Botschaften nicht mit allen zugeordneten Botschaften verglichen werden. Vielmehr können in einer bevorzugten Ausgestaltung im Steuergeräteknoten bestimmte zugeordnete Botschaften hinterlegt sein, für welche ein Vergleich mit empfangenen Botschaften erfolgen soll. Das sind vorzugsweise besonders sicherheitskritische Botschaften, welche auch eindeutig diesem Steuergeräteknoten zugeordnet sind. Auch kann ein Steuergeräteknoten regelbasiert oder zufällig bzw. nicht-deterministisch eine Untermenge der empfangenen Botschaften für einen Vergleich bzw. eine Überprüfung auswählen.
- Es können verschiedene Reaktionen auf bzw. Gegenmaßnahmen gegen eine erkannte Manipulation der Datenübertragung in dem Fahrzeugnetzwerk vorgesehen sein. Hauptsächliches Ziel sollte sein, einen sicheren Betrieb des Fahrzeugs zu gewährleisten wird. Sollte dies nicht möglich sein, dann sollte der Betrieb des Fahrzeugs verhindert werden.
- Eine erste Hürde besteht darin, wie der die Datenmanipulation erkennende Netzwerkknoten auch die anderen Netzwerkknoten in die Gegenmaßnahme einbeziehen kann bzw. diesen mitteilen kann, dass ein Angriff erkannt worden ist.
- Verschiedene Möglichkeiten umfassen:
- - das Netzwerk oder ein Teil des Netzwerks stilllegen,
- - die Nachricht ungültig machen,
- - die Information in einer legitimen Botschaft „verstecken“ (z. B. ein falscher CRC-Code),
- - eine zusätzliche Diagnose-Botschaft, die on-demand gesendet wird,
- - eine legitime Botschaft nicht mehr senden.
- Letztere Maßnahme würde z. B. auch funktionieren, wenn das Netzwerk bzw. der Bus von dem Angreifer mit vielen Botschaften geflutet wird. In diesem Fall würde die Botschaft zwangsläufig ausbleiben.
- Ein zweiter Punkt besteht dann darin, wie die anderen Steuergeräte darauf reagieren sollen. Hier ist es wünschenswert, dem Angreifer so wenige Hinweise wie möglich zu geben, welche er wieder für eine Verfeinerung oder Ausweitung des Angriffs verwenden könnte. Dies kann dadurch passieren, dass alle Steuergeräte dem Netzwerk oder einem Teil des Netzwerks nicht mehr vertrauen, insbesondere diesen einfach ignorieren. Dadurch kann der Angreifer nicht mehr weiter nach Schwachstellen suchen.
- Zusätzlich könnten noch Fehler im Fehlerspeicher gesetzt werden, die nur in der Werkstatt zurückgesetzt werden können. Ein Versetzen des Fahrzeugs in einen Notfahrbetrieb ist eine weitere Möglichkeit, ebenso wie ein Zurücksetzen von Informationen im Netzwerk nach einem Zündungswechsel.
- Die vorgeschlagenen Lösungen benötigen weder zusätzliche Hardware, noch einen Eingriff in bestehende Hardware. Daher ist es einfach möglich, Fahrzeuge bzw. Fahrzeugnetzwerke per Software-Update mit einer solchen Angriffserkennung bzw. einem solchen Schutz gegen eine Manipulation der Datenübertragung nachzurüsten.
- ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Patentliteratur
-
- DE 102015219996 A1 [0002]
- DE 102009026995 A1 [0003]
Claims (10)
- Verfahren zum Schutz eines Fahrzeugnetzwerks (1) eines Fahrzeugs gegen manipulierte Datenübertragung, wobei das Fahrzeugnetzwerk (1) mehrere Netzwerkknoten (21-24, 31-33, 51-55) umfasst und wobei mindestens ein erster Netzwerkknoten (21) in dem Fahrzeugnetzwerk empfangene Botschaften mit dem ersten Netzwerkknoten (21) zugeordneten Botschaften vergleicht und die manipulierte Datenübertragung erkennt, wenn eine der empfangenen Botschaften mit einer dem ersten Netzwerkknoten (21) zugeordneten Botschaft übereinstimmt, aber der erste Netzwerkknoten (21) sie nicht gesendet hat, dadurch gekennzeichnet, dass der erste Netzwerkknoten (21) nur ausgewählte der empfangenen Botschaften mit den dem ersten Netzwerkknoten (21) zugeordneten Botschaften vergleicht oder die empfangenen Botschaften nur mit ausgewählten dem ersten Netzwerkknoten (21) zugeordneten Botschaften vergleicht.
- Verfahren nach
Anspruch 1 , dadurch gekennzeichnet, dass in dem ersten Netzwerkknoten (21) eine Menge an für den Vergleich ausgewählten dem ersten Netzwerkknoten (21) zugeordneten Botschaften festgelegt ist. - Verfahren nach
Anspruch 1 , dadurch gekennzeichnet, dass in dem ersten Netzwerkknoten (21) eine Regel hinterlegt ist, welche der empfangenen Botschaften für einen Vergleich ausgewählt werden. - Verfahren nach
Anspruch 1 , dadurch gekennzeichnet, dass durch den ersten Netzwerkknoten (21) aus den empfangenen Botschaften eine nichtdeterministische oder zufällige Auswahl für einen Vergleich getroffen wird. - Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass der erste Netzwerkknoten (21) eine Gegenmaßnahme zum Schutz des Fahrzeugnetzwerks (1) anstößt, wenn er die manipulierte Datenübertragung erkennt.
- Verfahren nach
Anspruch 5 , dadurch gekennzeichnet, dass die Gegenmaßnahme mindestens einen der Schritte umfasst: - Stilllegen des Fahrzeugnetzwerks (1) oder eines Teils des Fahrzeugnetzwerks (1), - Ungültigmachen der ersten Botschaft, - Aussenden einer Fehlernachricht, insbesondere als zusätzliche Diagnosebotschaft oder als manipulierte Information in einer dem ersten Netzwerkknoten (21) zugeordneten weiteren Botschaft, insbesondere in einem Prüfabschnitt der weiteren Botschaft, - Unterlassen eines Versendes bestimmter, insbesondere sicherheitskritischer Botschaften, - Ignorieren empfangener Nachrichten in dem Fahrzeugnetzwerk (1) durch mindestens den ersten Netzwerkknoten (21) der mehreren Netzwerkknoten (21-24, 31-33, 51-55), - Versetzen des Fahrzeugs in einen Notbetrieb mit eingeschränkter Funktionalität, - Zurücksetzen von Informationen im Fahrzeugnetzwerk (1) nach einem Zündungswechsel. - Computerprogramm, welches dazu eingerichtet ist, ein Verfahren nach einem der
Ansprüche 1 bis6 durchzuführen. - Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach
Anspruch 7 . - Steuergerät (21) in einem Fahrzeug, dadurch gekennzeichnet, dass es eine Recheneinheit aufweist, um ein Computerprogramm nach
Anspruch 7 abzuarbeiten, sowie ein maschinenlesbares Speichermedium nachAnspruch 8 . - Verfahren zum Schutz eines Fahrzeugnetzwerks (1) eines bereits ausgelieferten Fahrzeugs gegen manipulierte Datenübertragung, dadurch gekennzeichnet, dass ein Computerprogramm nach
Anspruch 7 per Softwareupdate auf mindestens ein Steuergerät (21) des Fahrzeugnetzwerks (1) aufgespielt wird.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017209557.1A DE102017209557A1 (de) | 2017-06-07 | 2017-06-07 | Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung |
US15/990,940 US10721241B2 (en) | 2017-06-07 | 2018-05-29 | Method for protecting a vehicle network against manipulated data transmission |
CN201810573473.9A CN109005148B (zh) | 2017-06-07 | 2018-06-06 | 用于保护车辆网络免受被篡改的数据传输的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017209557.1A DE102017209557A1 (de) | 2017-06-07 | 2017-06-07 | Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102017209557A1 true DE102017209557A1 (de) | 2018-12-13 |
Family
ID=64332838
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102017209557.1A Pending DE102017209557A1 (de) | 2017-06-07 | 2017-06-07 | Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung |
Country Status (3)
Country | Link |
---|---|
US (1) | US10721241B2 (de) |
CN (1) | CN109005148B (de) |
DE (1) | DE102017209557A1 (de) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020187985A1 (de) * | 2019-03-21 | 2020-09-24 | Volkswagen Aktiengesellschaft | Verfahren zur überwachung der kommunikation auf einem kommunikationsbus, elektronische vorrichtung zum anschluss an einen kommunikationsbus sowie fahrzeug |
WO2021047814A1 (de) * | 2019-09-09 | 2021-03-18 | Robert Bosch Gmbh | Abschaltung differentieller kommunikationsschnittstellen |
WO2022111930A1 (de) * | 2020-11-27 | 2022-06-02 | Zf Friedrichshafen Ag | Verfahren und steuereinrichtung zur sicheren bordkommunikation |
DE102021201444A1 (de) | 2021-02-16 | 2022-08-18 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zum Überprüfen einer eingehenden, abgesicherten, verschlüsselten Botschaft |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113660269B (zh) * | 2021-08-17 | 2022-06-21 | 上海交通大学 | 面向集中式网联云控平台的信息可信度识别处理方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009026995A1 (de) | 2009-06-17 | 2011-03-31 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Bussystems, insbesondere eines CAN-Busses |
DE102015219996A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Abwehren einer Manipulation an einem CAN-Bus durch einen mittels eines CAN-Controllers an den Bus angebundenen Knoten |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5541941A (en) * | 1994-01-28 | 1996-07-30 | International Business Machines Corporation | Method and structure for providing automatic parity sensing |
US5379304A (en) * | 1994-01-28 | 1995-01-03 | International Business Machines Corporation | Method and structure for providing error correction code and parity for each byte on SIMM's |
US20020120902A1 (en) * | 2001-02-23 | 2002-08-29 | Alcatel | Method and system for frame synchronous forward error correction |
EP1349359A1 (de) * | 2002-03-27 | 2003-10-01 | Siemens Aktiengesellschaft | Verfahren zum Vergebühren einer Kommunikationsverbindung zwischen Kommunikationsendgeräten |
US8555344B1 (en) * | 2003-06-05 | 2013-10-08 | Mcafee, Inc. | Methods and systems for fallback modes of operation within wireless computer networks |
WO2004110026A1 (en) * | 2003-06-05 | 2004-12-16 | Wireless Security Corporation | Methods and systems of remote authentication for computer networks |
US20050183143A1 (en) * | 2004-02-13 | 2005-08-18 | Anderholm Eric J. | Methods and systems for monitoring user, application or device activity |
US7310696B1 (en) * | 2004-12-03 | 2007-12-18 | Crossroads Systems, Inc. | Method and system for coordinating interoperability between devices of varying capabilities in a network |
JP2006262034A (ja) * | 2005-03-17 | 2006-09-28 | Hitachi Ltd | 放送受信端末および情報処理装置 |
US20090013412A1 (en) * | 2005-08-17 | 2009-01-08 | Horst Nather | Data Exchanging Device |
US8225085B2 (en) * | 2007-06-05 | 2012-07-17 | Blue Coat Systems, Inc. | System and method for distributed SSL processing between co-operating nodes |
WO2008154941A1 (en) * | 2007-06-20 | 2008-12-24 | Nec Deutschland Gmbh | Method for preserving the privacy of nodes in a network |
CN103905452A (zh) * | 2014-04-03 | 2014-07-02 | 国家电网公司 | 一种可信的网络攻击过滤装置及网络攻击过滤方法 |
JP6594732B2 (ja) * | 2015-01-20 | 2019-10-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正フレーム対処方法、不正検知電子制御ユニット及び車載ネットワークシステム |
CN106411956B (zh) * | 2016-12-02 | 2019-05-31 | 北京奇虎科技有限公司 | 分析汽车总线安全性的方法和装置 |
CN106685951A (zh) * | 2016-12-26 | 2017-05-17 | 北京奇虎科技有限公司 | 一种基于域名规则的网络流量过滤系统与方法 |
-
2017
- 2017-06-07 DE DE102017209557.1A patent/DE102017209557A1/de active Pending
-
2018
- 2018-05-29 US US15/990,940 patent/US10721241B2/en active Active
- 2018-06-06 CN CN201810573473.9A patent/CN109005148B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009026995A1 (de) | 2009-06-17 | 2011-03-31 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Bussystems, insbesondere eines CAN-Busses |
DE102015219996A1 (de) | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Abwehren einer Manipulation an einem CAN-Bus durch einen mittels eines CAN-Controllers an den Bus angebundenen Knoten |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020187985A1 (de) * | 2019-03-21 | 2020-09-24 | Volkswagen Aktiengesellschaft | Verfahren zur überwachung der kommunikation auf einem kommunikationsbus, elektronische vorrichtung zum anschluss an einen kommunikationsbus sowie fahrzeug |
WO2021047814A1 (de) * | 2019-09-09 | 2021-03-18 | Robert Bosch Gmbh | Abschaltung differentieller kommunikationsschnittstellen |
WO2022111930A1 (de) * | 2020-11-27 | 2022-06-02 | Zf Friedrichshafen Ag | Verfahren und steuereinrichtung zur sicheren bordkommunikation |
DE102021201444A1 (de) | 2021-02-16 | 2022-08-18 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zum Überprüfen einer eingehenden, abgesicherten, verschlüsselten Botschaft |
Also Published As
Publication number | Publication date |
---|---|
CN109005148B (zh) | 2022-08-23 |
CN109005148A (zh) | 2018-12-14 |
US20180359262A1 (en) | 2018-12-13 |
US10721241B2 (en) | 2020-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102017209557A1 (de) | Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung | |
DE102015205670A1 (de) | Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug | |
DE102012217200A1 (de) | Busüberwachungssicherheitsvorrichtung und Busüberwachungssicherheitssystem | |
DE102009025585B4 (de) | Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts | |
WO2018077528A1 (de) | Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern | |
DE102017216808A1 (de) | Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus sowie elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus | |
DE102018212879A1 (de) | Steuervorrichtung und Steuerverfahren | |
DE102017222879A1 (de) | Vorrichtung, Verfahr, und Computerprogramm zum Freischalten von einer Fahrzeugkomponente, Fahrzeug-zu-Fahrzeug-Kommunikationsmodul | |
DE102015002574A1 (de) | Kraftfahrzeug- Kommunikationsnetzwerk mit Switchvorrichtung | |
DE102017202176A1 (de) | Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung | |
DE102017209556A1 (de) | Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung | |
EP3523941B1 (de) | Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug | |
EP3688951B1 (de) | Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs | |
DE102013001412A1 (de) | Verfahren zur Steuerung einer Kommunikation zwischen einer Diagnosestelle eines Fahrzeugs und einem Fahrzeugnetz sowie entsprechende Steuerung für ein Fahrzeug | |
DE102018200318A1 (de) | Absicherung eines Softwareupdates eines Steuergerätes eines Fortbewegungsmittels | |
DE102012219093A1 (de) | Cyber-Sicherheit in einem Kraftfahrzeugnetzwerk | |
DE102014018110A1 (de) | Verfahren und System zur Fernsteuerung eines Fahrzeuges oder einer Fahrzeugfunktion | |
DE102021208459A1 (de) | Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug | |
DE102016221378A1 (de) | Verfahren zum Übertragen von Daten | |
DE102012209445A1 (de) | Verfahren und Kommunikationssystem zur sicheren Datenübertragung | |
DE102004021145B4 (de) | Verfahren und System zum drahtlosen Übertragen von Daten zwischen einer Datenverarbeitungseinrichtung eines Fahrzeugs und einer lokalen externen Datenverarbeitungseinrichtung | |
DE102018221954A1 (de) | Recheneinrichtung und Verfahren zum Betreiben einer Recheneinrichtung | |
DE102018216958B4 (de) | Bussystem mit zumindest zwei Busknoten, Busknoten, Kraftfahrzeug und Verfahren | |
DE102022201899A1 (de) | Mitigation einer manipulation von software eines fahrzeugs | |
DE102020212452B3 (de) | Verfahren zur Reduzierung der Auswirkungen von einer auf einem Kommunikationsbus eingeschleusten Botschaft |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012260000 Ipc: H04L0043000000 |
|
R012 | Request for examination validly filed |