DE102017210647A1 - Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus - Google Patents

Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus Download PDF

Info

Publication number
DE102017210647A1
DE102017210647A1 DE102017210647.6A DE102017210647A DE102017210647A1 DE 102017210647 A1 DE102017210647 A1 DE 102017210647A1 DE 102017210647 A DE102017210647 A DE 102017210647A DE 102017210647 A1 DE102017210647 A1 DE 102017210647A1
Authority
DE
Germany
Prior art keywords
message
attack
fieldbus
integrity check
attack detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017210647.6A
Other languages
English (en)
Inventor
Marko Poljansek
Juergen Klarmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017210647.6A priority Critical patent/DE102017210647A1/de
Publication of DE102017210647A1 publication Critical patent/DE102017210647A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren (10) zur Erkennung eines Angriffes auf einen Feldbus (30), gekennzeichnet durch folgende Merkmale:- über den Feldbus (30) wird eine erste Nachricht (21) empfangen (11),- die erste Nachricht (21) wird einer Integritätsprüfung (12) unterzogen,- schlägt die Integritätsprüfung (12) fehl, so wird die erste Nachricht (21) verworfen und eine zweite Nachricht (22) erzeugt (13) und- die zweite Nachricht (22) wird über den Feldbus (30) an ein Angriffserkennungssystem (24) gesendet (14).

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Erkennung eines Angriffes auf einen Feldbus. Die vorliegende Erfindung betrifft darüber hinaus ein entsprechendes Steuergerät, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.
  • Stand der Technik
  • In der IT-Sicherheit wird jedwedes System zur Erkennung von Angriffen, die gegen ein Computersystem oder Rechnernetz gerichtet sind, als Angriffserkennungssystem (intrusion detection system, IDS) bezeichnet. Bekannt sind insbesondere Netzwerk-basierte IDS (NIDS), die alle Pakete in einem zu überwachenden Netzwerksegment aufzeichnen, analysieren und anhand bekannter Angriffsmuster verdächtige Aktivitäten melden.
  • WO2017042012A1 offenbart ein privates Controller Area Network (CAN) in einem Fahrzeug, um nicht unmittelbar angegriffene elektronische Steuereinheiten (electronic control units, ECUs) von nicht autorisierten Versuchen zu informieren, auf eine angegriffene ECU zuzugreifen. Jede ECU auf dem privaten CAN speichert einen gemeinsamen verschlüsselten Hacking-Benachrichtigungsschlüssel und einen eindeutigen Identifikationscode. Wenn eine erste Fahrzeugsystem-ECU einen unberechtigten Zugriffsversuch über das öffentliche CAN erkennt, sendet sie eine Warnmeldung an die anderen ECUs über das geschlossene, private CAN.
  • Offenbarung der Erfindung
  • Die Erfindung stellt ein Verfahren zur Erkennung eines Angriffes auf einen Feldbus, ein entsprechendes Steuergerät, ein entsprechendes Computerprogramm sowie ein Speichermedium gemäß den unabhängigen Ansprüchen bereit.
  • Der vorgeschlagene Ansatz fußt hierbei auf der Erkenntnis, dass es generell ein nicht-triviales Problem darstellt, in dezentral organisierten Netzwerken Informationen über den Gesamtzustand des Netzwerks zu erhalten. Dies gilt auch und besonders für die im Automotive-Bereich immer komplexer werdenden E/E-Architekturen. Ebenso erhöht sich die Angriffsfläche für Cyber-Angriffe im vernetzen Umfeld immer mehr und mehr. Und auch die Anzahl der tatsächlich zu verzeichnenden Angriffe steigt mehr und mehr. Wenn es einem Angreifer gelingt, in das Fahrzeugnetz einzudringen oder gar eine ECU zu kompromittieren, ist es ebenso nicht-trivial, diese aus Systemsicht zu lokalisieren. Nach dem Stand der Technik steht in der Regel keine Überwachungskomponente zur Verfügung, die das gesamte System überwachen könnte.
  • Die nachfolgend vorgestellte Lösung eröffnet daher neue Möglichkeiten, um Informationen zu sammeln, die es zum Zwecke der Angriffserkennung erlauben zu bestimmen, ob ein Fahrzeug mit derartiger Architektur eine kompromittierte ECU im Automobilnetzwerk enthält. Dieser Ansatz bereichert somit ein herkömmliches IDS und dessen übliche Funktionalität gleichsam um eine „Netzwerkerweiterung“.
  • Ein grundlegender Aspekt hierbei ist der Folgende: Wenn die Überprüfung einer Nachricht im Rahmen einer sicheren Kommunikationsabwicklung fehlschlägt, wird die Nachricht nicht nur wie in herkömmlichen Systemen verworfen. Vielmehr wird zusätzlich das Angriffserkennungssystem mit Hilfe eines dedizierten Nachrichtentyps von der fehlgeschlagenen Überprüfung in Kenntnis gesetzt. So kann das IDS darauf reagieren, dass ein Angriff auf das Automotive-Netzwerk durchgeführt worden sein könnte. Andernfalls stünde diese Information außerhalb des verwerfenden Steuergerätes nicht zur Verfügung, sodass das Angriffserkennungssystem keine Kenntnis vom möglichen Angriffsversuch erlangen würde.
  • Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich. So kann zusätzlich zu den beschriebenen Mitteilungen an das Angriffserkennungssystem eine weitere IDS-Funktionalität vorgesehen sein, die sich auf mehrere Steuergeräte verteilt. Dazu gehören vor allem Monitoring-Aktivitäten. Die Analyse der gesammelten Daten erfolgt jedoch nicht lokal, sondern es werden relevante Informationen an das IDS zur weiteren Analyse im Rahmen konventioneller IDS-Aktivitäten gesendet.
  • Gemäß einem weiteren Aspekt kann vorgesehen sein, dass die Integritätsprüfung anhand eines chiffrebasierten Nachrichtenauthentifizierungscodes (cipher-based message authentication code, CMAC) mit fortgeschrittenem Verschlüsselungsstandard (advanced encryption standard, AES) erfolgt. Diese Ausgestaltung verleiht dem Verfahren eine hohe rechnerische Geschwindigkeit und gestattet eine ressourcenschonende Implementierung, die den Beschränkungen handelsüblicher Steuergeräte gerecht wird.
  • Figurenliste
  • Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
    • 1 das Blockdiagramm eines herkömmlichen Feldbusses in einem Kraftfahrzeug.
    • 2 das Blockdiagramm eines Feldbusses gemäß einer ersten Ausführungsform.
    • 3 das Blockdiagramm eines Feldbusses gemäß einer zweiten Ausführungsform.
    • 4 das Flussdiagramm eines beispielhaften Ablaufs bei Erkennung eines Angriffs.
  • Ausführungsformen der Erfindung
  • 1 illustriert exemplarisch einen herkömmlichen Ansatz zur Erkennung möglicher Angriffe auf einen Feldbus (30). Um die Echtheit einer ersten Nachricht (21) zu gewährleisten, wird ein sicherer Kommunikationsmechanismus verwendet. Hierzu wird der Nutzlast beispielsweise ein Nachrichtenauthentifizierungscode oder eine anderweitige kryptografische Prüfsumme hinzugefügt. Derartige MACs werden typischerweise vom absendenden Steuergerät (20) berechnet und durch das empfangende Steuergerät (20) anhand eines vorab im Rahmen eines symmetrischen Kryptosystems geteilten Schlüssels überprüft.
  • Im Folgenden sei die Annahme getroffen, dass die erste Nachricht (21) manipuliert oder von einem Angreifer neu erstellt wurde, sodass die Überprüfung des Absenders fehlschlägt. Die erste Nachricht (21) selbst wird somit verworfen.
  • Gemäß dem in 2 dargestellten, einer Ausführungsform entsprechenden Ansatz verwirft das empfangende Steuergerät (20) ebenfalls die erste Nachricht (21), sofern deren Überprüfung fehlschlägt. Darüber hinaus wird jedoch sichergestellt, dass ein über den Feldbus (30) verbundenes Angriffserkennungssystem (24) über dieses Verwerfen informiert wird. Hierzu erzeugt das empfangende Steuergerät (20) unmittelbar nach dem Verwerfen eine neue, zweite Nachricht (22), die an das Angriffserkennungssystem (24) gesendet werden muss.
  • Nun ist das Angriffserkennungssystem (24) in der Lage, die Informationen der zweiten Nachricht (22) zu verwenden, um sie in ihre herkömmlichen Analyseaktivitäten aufzunehmen. Damit wird das Angriffserkennungssystem (24) in die Lage versetzt, mehr Informationen zu sammeln, als es einem konventionellen System möglich wäre.
  • 3 veranschaulicht eine systematische Fortsetzung dieses Ansatzes. Hierbei werden die Steuergeräte (20) nicht nur mit der Fähigkeit zur Benachrichtigung des Angriffserkennungssystems (24) ausgestattet, sondern auch um zusätzliche Angriffserkennungsfunktionalität bereichert. Dazu gehören vor allem Aktivitäten im Bereich der Netzüberwachung.
  • Gemäß diesem Ansatz können weitere Informationen gesammelt werden, die im Zuge der Angriffserkennung zur Verfügung stehen. Dazu müssen einzelne Steuergeräte (20) nicht die komplette IDS-Funktionalität implementieren, sondern nur diejenigen Teile, die zum Sammeln und Versenden der relevanten Daten erforderlich sind. Dieser Ansatz kann als eine IDS-Client-/Server-Architektur verstanden werden, die mittels des Feldbusses (30) umgesetzt wird.
  • So überwachen Angriffserkennungsclients (26) den Feldbus (30) und sammeln Informationen, unterziehen diese jedoch nicht selbst einer Analyse. Letztere bleibt einem Angriffserkennungsserver (25) vorbehalten. Jeder der Angriffserkennungsclients (26) übersendet dem Angriffserkennungsserver (25) hierzu eine dedizierte dritte Nachricht (23) oder mehrere solcher Nachrichten (23).
  • Diese Ausführungsform könnte eine geeignete Lösung für einfache Steuergeräte (20) darstellen, bei denen dennoch eine Angriffserkennung gewünscht wird.
  • Das nunmehr anhand von 4 beleuchtete Beispiel soll die Vorteile des neuen Ansatzes verdeutlichen.
  • Angenommen, es gibt ein an den Feldbus (30) angeschlossenes kompromittiertes Steuergerät (20) in einem Kraftfahrzeug. Es sei ferner davon auszugehen, dass dieses Steuergerät (20) periodisch eine Notbremsnachricht (21) über den Feldbus (30) sendet. Beim Empfang (Prozess 11) dieser ersten Nachricht (21) würde ein Steuergerät (20) den Angriff am Fehlschlag der Integritätsprüfung (12) erkennen. Die Notbremsnachricht (21) würde verworfen und stattdessen eine zweite Nachricht (22) erzeugt (Prozess 13). Mittels dieser zweiten Nachricht (22) würde der Angriffsversuch dem Angriffserkennungssystem (24) - im Sinne der ersten Ausführungsform - oder Angriffserkennungsserver (25) - im Sinne der zweiten Ausführungsform - mitgeteilt (Prozess 14). Im letzteren Fall wäre es hierbei möglich, zusätzliche Informationen über das kompromittierte Steuergerät (20) weiterzuleiten. Nun sind relevante Informationen zum Angriffsversuch verfügbar. Diese Informationen können verwendet werden, um das kompromittierte Steuergerät (20) zu ermitteln und Gegenmaßnahmen zu ergreifen, um es beispielsweise zu isolieren.
  • In einem herkömmlichen System würde das Steuergerät (20) die manipulierte Notbremsnachricht (21) womöglich ebenfalls erkennen und verwerfen. Allerdings würden typischerweise keine Informationen über diesen Angriffsversuch verbreitet und keine Gegenmaßnahmen hinsichtlich des kompromittierten Steuergerätes (20) eingeleitet. In der Regel würde somit kein anderes Steuergerät (20) Kenntnis vom erfolgten Angriffsversuch erlangen.
  • Dieses Verfahren (10) kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem der Steuergeräte (20) implementiert sein.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2017042012 A1 [0003]

Claims (10)

  1. Verfahren (10) zur Erkennung eines Angriffes auf einen Feldbus (30), gekennzeichnet durch folgende Merkmale: - über den Feldbus (30) wird eine erste Nachricht (21) empfangen (11), - die erste Nachricht (21) wird einer Integritätsprüfung (12) unterzogen, - schlägt die Integritätsprüfung (12) fehl, so wird die erste Nachricht (21) verworfen und eine zweite Nachricht (22) erzeugt (13) und - die zweite Nachricht (22) wird über den Feldbus (30) an ein Angriffserkennungssystem (24) gesendet (14).
  2. Verfahren (10) nach Anspruch 1, gekennzeichnet durch folgende Merkmale: - schlägt die Integritätsprüfung (12) fehl, so wird durch einen Angriffserkennungsclient (26) eine Überwachung des Feldbusses (30) aufgenommen, - anhand der Überwachung wird zumindest eine dritte Nachricht (23) erzeugt und - die dritte Nachricht (23) wird über den Feldbus (30) an einen Angriffserkennungsserver (25) gesendet.
  3. Verfahren (10) nach Anspruch 2, gekennzeichnet durch folgende Merkmale: - während der Überwachung werden auf dem Feldbus (30) übertragene Daten erfasst und - die Daten werden in der dritten Nachricht (23) an den Angriffserkennungsserver (25) übermittelt.
  4. Verfahren (10) nach einem der Ansprüche 1 bis 3, gekennzeichnet durch folgendes Merkmal: - die Integritätsprüfung (12) erfolgt anhand einer Prüfsumme der ersten Nachricht (21).
  5. Verfahren (10) nach Anspruch 4, gekennzeichnet durch folgendes Merkmal: - die Prüfsumme ist ein Nachrichtenauthentifizierungscode.
  6. Verfahren (10) nach Anspruch 5, gekennzeichnet durch folgendes Merkmal: - der Nachrichtenauthentifizierungscode basiert auf einer Blockchiffre.
  7. Verfahren (10) nach Anspruch 6, gekennzeichnet durch folgendes Merkmal: - die Blockchiffre entspricht einem fortgeschrittenen Verschlüsselungsstandard.
  8. Computerprogramm, welches eingerichtet ist, das Verfahren (10) nach einem der Ansprüche 1 bis 7 auszuführen.
  9. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.
  10. Steuergerät (20), das eingerichtet ist, das Verfahren (10) nach einem der Ansprüche 1 bis 7 auszuführen.
DE102017210647.6A 2017-06-23 2017-06-23 Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus Pending DE102017210647A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017210647.6A DE102017210647A1 (de) 2017-06-23 2017-06-23 Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017210647.6A DE102017210647A1 (de) 2017-06-23 2017-06-23 Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus

Publications (1)

Publication Number Publication Date
DE102017210647A1 true DE102017210647A1 (de) 2018-12-27

Family

ID=64567872

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017210647.6A Pending DE102017210647A1 (de) 2017-06-23 2017-06-23 Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus

Country Status (1)

Country Link
DE (1) DE102017210647A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11363034B2 (en) 2019-03-29 2022-06-14 Robert Bosch Gmbh Method and device for operating a control unit in a network of control units

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017042012A1 (en) 2015-09-10 2017-03-16 Robert Bosch Gmbh Unauthorized access event notificaiton for vehicle electronic control units

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017042012A1 (en) 2015-09-10 2017-03-16 Robert Bosch Gmbh Unauthorized access event notificaiton for vehicle electronic control units

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11363034B2 (en) 2019-03-29 2022-06-14 Robert Bosch Gmbh Method and device for operating a control unit in a network of control units

Similar Documents

Publication Publication Date Title
DE69022424T2 (de) Nichtablehnung in Rechnernetzwerken.
DE102010042539B4 (de) Datensender mit einer sicheren, aber effizienten Signatur
DE60220959T2 (de) Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System
DE102011108003B4 (de) Prozessleitsystem
DE102004024002B4 (de) Verfahren zur Authentifizierung von Sensordaten und zugehörigem Sensor
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
EP3418133B1 (de) Verfahren zum betreiben einer passiven funkbasierten schliessvorrichtung und passive funkbasierte schliessvorrichtung
DE102015200279A1 (de) Einwegübertragungseinrichtung, Vorrichtung undVerfahren zum rückwirkungsfreien Erfassen von Daten
EP2863610A2 (de) Verfahren und System zum manipulationssicheren Bereitstellen mehrerer digitaler Zertifikate für mehrere öffentliche Schlüssel eines Geräts
DE102016205122A1 (de) Verfahren zum Austausch von Nachrichten zwischen sicherheitsrelevanten Vorrichtungen
DE102016204999A1 (de) Verfahren zur Überwachung der Sicherheit von Kommunikationsverbindungen eines Fahrzeugs
DE102017210647A1 (de) Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus
EP3556071B1 (de) Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum signieren von messwerten eines sensors
DE102012208290B4 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
DE102014213454A1 (de) Verfahren und System zur Erkennung einer Manipulation von Datensätzen
DE102017209806A1 (de) Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
DE102018002466A1 (de) Verfahren und Anordnung zum Herstellen einer sicheren Datenübertragungsverbindung
EP3376419A1 (de) System und verfahren zum elektronischen signieren eines dokuments
EP3401831B1 (de) Vorrichtung und verfahren zum erkennen einer physikalischen manipulation an einem elektronischen sicherheitsmodul
DE102017212757A1 (de) Verfahren und Vorrichtung zum Schützen eines Feldbusses
DE102018216959A1 (de) Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug
DE102004033393B4 (de) Verfahren zur Authentifizierung wenigstens einer ersten mobilen Sende- und Empfangseinrichtung an wenigstens einer Basisstation
EP3900258B1 (de) Verfahren zum überwachen der integrität eines physischen objekts
WO2019096489A1 (de) Verfahren und vorrichtung zur behandlung von authentizitätsbescheinigungen für entitäten, insbesondere von personenbezogenen, dienstbezogenen und/oder objektbezogenen digitalen zertifikaten
DE102018132979A1 (de) Abgesichertes und intelligentes Betreiben einer Ladeinfrastruktur

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R012 Request for examination validly filed