-
TECHNISCHES GEBIET
-
Die in dieser Patentschrift beschriebene Technologie bezieht sich im Allgemeinen auf fahrzeuginterne Netzwerke und insbesondere auf den privilegierten und sicheren Zugang zu fahrzeuginternen Netzwerken.
-
HINTERGRUND
-
Moderne Fahrzeuge (z. B. Automobile, PKW, leichte Nutzfahrzeuge und andere) nutzen verschiedene integrierte elektronische Steuerungen, welche die Leistung, den Komfort, die Sicherheit usw. des Fahrzeugs verbessern. Derartige Steuerungen umfassen Motorsteuerungen, Fahrwerkssteuerungen, Lenkungssteuerungen, Antriebsstrangsteuerungen, Klimaregelungen, Infotainmentsystem-Steuerungen, Fahrwerksystemsteuerungen, usw. Diese Steuerungen kommunizieren über fahrzeuginterne Netzwerke, wie beispielsweise ein Steuergerätenetz (Controller Area Network-CAN). Das Abhören des Datenverkehrs in einem fahrzeuginternen Netzwerk bei Störungen eines Fahrzeugsystems kann Aufschluss darüber geben, welche Störungen aufgetreten sind und wie diese behoben werden können. Das Fehlen dieser Funktion ist nicht immer optimal für die Entwicklung, Validierung und Felduntersuchungen, sondern steht im Einklang mit Sicherheitsstrategien, die verhindern sollen, dass schlechte Akteure die Fahrzeugfunktionalität über ansonsten zugängliche Netzwerkschnittstellen leicht überwachen und modifizieren können.
-
Daher ist es wünschenswert, ein System bereitzustellen, das einen privilegierten und sicheren Zugang zum Überwachen eines fahrzeuginternen Netzwerks ermöglicht. Außerdem werden andere wünschenswerte Merkmale und Eigenschaften der vorliegenden Erfindung aus der nachfolgenden ausführlichen Beschreibung der Erfindung und den hinzugefügten Ansprüchen in Verbindung mit den zugehörigen Zeichnungen und dem Hintergrund der Erfindung sichtbar.
-
KURZDARSTELLUNG
-
Ein System für den privilegierten Zugang zu einem fahrzeuginternen Kommunikationsnetzwerk ist vorgesehen. Das System beinhaltet einen Präsentationsnetzwerkbus, der konfiguriert ist, um nur den reinen Abhörzugriff auf eine Teilmenge von fahrzeuginternen Netzwerken zu ermöglichen, ein Sicherheitssystem, das konfiguriert ist, um den Zugriff auf den Präsentationsnetzwerkbus durch Überprüfen der Zugangsdaten zu ermöglichen, und ein Diagnosedienstsystem, das konfiguriert ist, um den Zugriff auf den Präsentationsnetzwerkbus zu steuern. Das Diagnosedienstsystem ist konfiguriert, um eine Diagnosedienstanforderung nach dem Überprüfen der Zugangsdaten zu empfangen, um den Präsentationsnetzwerkbus für den reinen Abhörzugriff auf die Teilmenge der Netzwerke zu aktivieren. Der Präsentationsnetzwerkbus kann für den reinen Abhörzugriff nach der Berechtigungsprüfung durch das Sicherheitssystem und als Reaktion auf das Empfangen einer Diagnosedienstanforderung des Diagnosedienstsystems, wodurch die Aktivierung des Präsentationsnetzwerkbusses angefordert wird, aktiviert werden.
-
Der Präsentationsnetzwerkbus im System kann konfiguriert werden, um eine reine Abhörverbindung zu einem der seriellen fahrzeuginternen Netzwerke auf einem ersten Satz von Pins eines Diagnoseverbinders (DLC) und eine reine Abhörverbindung zu einem zweiten der seriellen fahrzeuginternen Netzwerke auf einem zweiten Satz von Pins des DLC bereitzustellen.
-
Das System kann weiterhin Präsentationsschaltungen beinhalten, die zur Spiegelung eines fahrzeuginternen Netzwerks auf den Präsentationsnetzwerkbus konfiguriert sind.
-
Die Präsentationsschaltung im System kann einen Netzwerk-Sendeempfänger beinhalten, der zum Übertragen von Daten vom fahrzeuginternen Netzwerk auf den Präsentationsnetzwerkbus konfiguriert ist, der jedoch nicht in der Lage ist, zu übertragende Daten vom Präsentationsnetzwerkbus in das fahrzeuginterne Netzwerk zu empfangen.
-
Die Präsentationsschaltung im System kann eine Auswahlschaltung beinhalten, die zum selektiven Ausgeben einer von mehreren Netzwerkempfangsleitungen der seriellen fahrzeuginternen Netzwerke auf den Präsentationsnetzwerkbus konfiguriert ist.
-
Das Diagnosedienstsystem kann weiterhin konfiguriert werden, um einen Persistenzmodus zu aktivieren, nachdem die Zugangsdaten überprüft wurden, worin der Präsentationsnetzwerkbus nach einem Ausschalt- und Einschaltzyklus für eine begrenzte Anzahl von Zyklen aktiviert wird, ohne die Zugangsdaten im Sicherheitssystem nach dem Ausschalten erneut zu überprüfen.
-
Das Diagnosedienstsystem kann weiterhin konfiguriert werden, um eine Diagnoseanforderung zu empfangen, welche die Aktivierung des Persistenzmodus anfordert und einen Persistenzzählwert beinhaltet, der die Anzahl der Ausschalt- und Einschaltzyklen identifiziert, während derer der Präsentationsnetzwerkbus für den reinen Abhörzugriff ohne erneutes Verifizieren der Zugangsdaten aktiviert wird.
-
Der Persistenzzählwert im System kann nur während eines Betriebszyklus, in dem die Zugangsdaten im Sicherheitssystem überprüft wurden, auf einen Wert größer als Null gesetzt werden.
-
Ein Verfahren für den privilegierten Zugang zu einem fahrzeuginternen Kommunikationsnetzwerk ist vorgesehen. Das Verfahren beinhaltet das Bereitstellen eines Präsentationsnetzwerkbusses, der in der Lage ist, einen reinen Abhörzugriff auf eine Teilmenge von fahrzeuginternen Netzwerken bereitzustellen, das Überprüfen von Zugangsberechtigungen in einem Sicherheitssystem, das konfiguriert ist, um den Zugang zum Präsentationsnetzwerkbus unter Verwendung einer Kombination von symmetrischen und asymmetrischen kryptografischen Systemen zu steuern, das Empfangen einer Diagnosedienstanforderung, nachdem die Zugangsberechtigungen überprüft worden sind, um den Präsentationsnetzwerkbus für den reinen Abhörzugriff auf die Teilmenge von fahrzeuginternen Netzwerken zu ermöglichen, und das Freigeben des Präsentationsnetzwerkbusses für den reinen Abhörzugriff als Reaktion auf das Empfangen der Diagnosedienstanforderung.
-
Das Verfahren kann ferner das Empfangen einer zweiten Diagnosedienstanforderung beinhalten, nachdem der Präsentationsnetzwerkbus aktiviert wurde, der ein anderes Netzwerk für den reinen Abhörzugriff identifiziert.
-
Das Verfahren kann ferner das Aktivieren eines Persistenzmodus nach dem Überprüfen der Zugangsdaten beinhalten, worin der Präsentationsnetzwerkbus nach einem Ausschalt- und Einschaltzyklus für den reinen Abhörzugriff aktiviert wird, ohne die Zugangsdaten im Sicherheitssystem nach dem Ausschalten erneut zu überprüfen.
-
Das Aktivieren eines Persistenzmodus im Verfahren kann das Empfangen einer Diagnosedienstanforderung beinhalten, welche das Aktivieren des Persistenzmodus anfordert und einen Persistenzzählwert beinhaltet, der die Anzahl der Ausschalt- und Einschaltzyklen identifiziert, während derer der Präsentationsnetzwerkbus für den reinen Abhörzugriff ohne erneutes Verifizieren der Zugangsdaten aktiviert wird.
-
Der Persistenzzählwert im Verfahren kann sich nach jedem Ausschalt- und Einschaltzyklus automatisch verringern.
-
Das Verfahren kann weiterhin das Deaktivieren des Persistenzmodus nach dem Empfangen einer Diagnosedienstanforderung beinhalten, um den Persistenzmodus unabhängig vom Persistenzzählwert zu deaktivieren.
-
Das Deaktivieren des Persistenzmodus im Verfahren kann das Zurücksetzen des Persistenzzählwerts auf Null beinhalten.
-
Der Persistenzzählwert im Verfahren kann nur während eines Betriebszyklus, in dem die Zugangsdaten im Sicherheitssystem überprüft wurden, auf einen Wert größer als Null gesetzt werden.
-
Das Verfahren kann weiterhin das Bereitstellen einer von einer Vielzahl von verschiedenen reinen Abhörzugriffsebenen für die fahrzeuginternen Netzwerke basierend auf den empfangenen Zugangsdaten beinhalten.
-
Ein Gateway-Modul in einem Fahrzeug ist vorgesehen. Das Gateway-Modul beinhaltet Präsentationsschaltungen, die zur Spiegelung eines fahrzeuginternen Netzwerks auf den Präsentationsnetzwerkbus konfiguriert sind. Die Präsentationsschaltung beinhaltet eine Auswahlschaltung, die konfiguriert ist, um selektiv eine aus einer Vielzahl von Netzwerkempfangsleitungen von fahrzeuginternen seriellen Netzwerken an den Präsentationsnetzwerkbus auszugeben, und eine Sender-Empfänger-Schaltung, die konfiguriert ist, um Daten von dem ausgewählten fahrzeuginternen Netzwerk auf den Präsentationsnetzwerkbus zu übertragen, um einen reinen Abhörzugriff auf das fahrzeuginterne Netzwerk zu ermöglichen und um das Übertragen der Daten vom Präsentationsnetzwerkbus auf das ausgewählte fahrzeuginterne Netzwerk zu verhindern. Das Gateway-Modul beinhaltet ferner eine Sicherheitsschnittstelle, die konfiguriert ist, um den Zugriff auf den Präsentationsnetzwerkbus zu ermöglichen, indem die Zugangsdaten unter Verwendung einer Kombination von symmetrischen und asymmetrischen kryptographischen Systemen und einer Diagnosedienstschnittstelle, die konfiguriert ist, um den Zugriff auf den Präsentationsnetzwerkbus zu steuern, überprüft werden, worin die Diagnosedienstschnittstelle konfiguriert ist, um eine Diagnosedienstanforderung zu empfangen, nachdem die Zugangsdaten überprüft wurden, um den Präsentationsnetzwerkbus für den reinen Abhörzugriff auf das ausgewählte fahrzeuginterne Netzwerk zu aktivieren.
-
Die Diagnosedienst- -Schnittstelle im Gateway-Modul kann weiterhin konfiguriert werden, um einen Persistenzmodus zu aktivieren, nachdem die Zugangsdaten überprüft wurden, worin der Präsentationsnetzwerkbus nach einem Ausschalt- und Einschaltzyklus für den reinen Abhörzugriff aktiviert wird, ohne die Zugangsdaten im Sicherheitssystem nach dem Ausschalten erneut zu überprüfen.
-
Das Diagnosedienst- -Schnittstelle im Gateway-Modul kann weiterhin konfiguriert werden, um eine Diagnoseanforderung zu empfangen, welche die Aktivierung des Persistenzmodus anfordert und einen Persistenzzählwert beinhaltet, der die Anzahl der Ausschalt- und Einschaltzyklen identifiziert, während derer der Präsentationsnetzwerkbus für den reinen Abhörzugriff ohne erneutes Verifizieren der Zugangsdaten aktiviert wird.
-
Figurenliste
-
Aspekte der vorliegenden Offenbarung werden am besten aus der folgenden ausführlichen Beschreibung verstanden, wenn sie mit den zugehörigen Figuren gelesen wird, wobei gleiche Bezugszeichen gleiche Elemente bezeichnen, und
- 1 ist ein Blockdiagramm das gemäß einigen Ausführungsformen ein Beispiel für ein Datennetzwerksystem visualisiert;
- 2 ist ein Blockdiagramm, das ein exemplarisches System visualisiert, das gemäß einigen Ausführungsformen den reinen Abhörzugriff auf bis zu zwei fahrzeuginterne Netzwerkbusse gleichzeitig ermöglicht;
- 3 ist ein Prozessablaufdiagramm, das einen exemplarischen Prozess zum Aktivieren eines Präsentationskanals gemäß einigen Ausführungsformen aufzeigt;
- 4 ist ein Prozessablaufdiagramm, das einen exemplarischen Prozess aufzeigt, um auszuwählen, welche fahrzeuginternen Netzwerkegemäß einiger Ausführungsformen auf einen Präsentationskanal gespiegelt werden;
- 5 ist ein Prozessablaufdiagramm, das einen exemplarischen Prozess zum Aktivieren eines Präsentationskanals über einen Persistenzmodus gemäß einigen Ausführungsformen aufzeigt;
- 6 ist ein Prozessablaufdiagramm, das einen exemplarischen Prozess zum Aktivieren des Persistenzmodus gemäß einigen Ausführungsformen aufzeigt; und
- 7 ist ein Prozessablaufdiagramm, das einen weiteren exemplarischen Prozess zum Aktivieren eines Präsentationskanals über einen Persistenzmodus gemäß einigen Ausführungsformen aufzeigt.
-
AUSFÜHRLICHE BESCHREIBUNG
-
Die folgende Offenbarung stellt viele verschiedene Ausführungsformen oder Beispiele für das Implementieren verschiedener Merkmale des bereitgestellten Gegenstands bereit. Die folgende ausführliche Beschreibung ist lediglich exemplarischer Natur und soll die Erfindung oder die Anwendung und die Verwendungen der Erfindung nicht einschränken. Darüber hinaus besteht keinerlei Verpflichtung zur Einschränkung auf eine der im vorstehenden Hintergrund oder in der folgenden ausführlichen Beschreibung dargestellten Theorien.
-
Ein Fahrzeug (z. B. ein PKW, Auto, Leicht-Lkw und sonstige) kann bis zu 100 oder mehr elektronische Steuergeräte (ECUs) für verschiedene Teilsysteme aufweisen. ECUs können für den Motor, das Getriebe, Airbags, Antiblockiersysteme/ABS, Tempomat, elektrische Servolenkung, Audiosysteme, elektrische Fensterheber, Türen, Spiegelverstellung, Batterie- und Ladesysteme für Hybrid-/Elektrofahrzeuge und sonstige vorgesehen werden. Es sind fahrzeuginterne Netzwerke vorgesehen, welche die verschiedenen ECUs mit anderen ECUs und anderen Fahrzeugsystemen verbinden, um ein breites Spektrum an Sicherheits-, Wirtschaftlichkeits- und Komfortfunktionen mithilfe einer Software realisieren zu können. Ein vorgesehenes fahrzeuginternes Netzwerk ist das Controller Area Network (CAN), das acht Busse, sechs für Fahrzeugsysteme und zwei zum Bereitstellen von Diagnoseinformationen für Diagnosewerkzeuge über einen Diagnoseverbinder (DLC) beinhalten kann. CAN-Busse verbinden verschiedene ECUs und weitere Fahrzeugsysteme. Ein zentrales Gateway-Modul (CGM) kann für Gate-Signale von einem CAN-Bus zum anderen bereitgestellt werden, um die verschiedenen ECUs miteinander zu verbinden.
-
1 ist ein Blockdiagramm das gemäß einigen Ausführungsformen ein exemplarisches Datennetzwerksystem 100 in einem Fahrzeug 101 aufzeigt. Das exemplarische Datennetzwerksystem 100 beinhaltet ein fahrzeuginternes Netzwerk umfassend eine Vielzahl von fahrzeuginternen Netzwerkbussen. Die fahrzeuginternen Netzwerkbusse in diesem Beispiel sind CAN-Busse 102. Die CAN-Busse sind an eine Vielzahl von Knoten, wie beispielsweise elektronische Steuergeräte (ECUs) 104, gekoppelt. Ein zentrales Gateway-Modul (CGM) 106 wird als ein ECU für das Datennetzmanagement innerhalb des Fahrzeugs bereitgestellt. Das CGM 106 überträgt Daten zwischen Bussen verschiedener Fahrzeugdomänen, wie beispielsweise Motorraumbus, Innenbus, optischer Multimediabus und Diagnosebus zur Instandhaltung. Das CGM 106 überträgt auch Daten auf zwei Diagnosebussen an den Diagnoseverbinder (DLC) 108. Der DLC 108 ist der mehrpolige Diagnoseanschluss in Fahrzeugen, z. B. Pkw, Lkw und Motorräder, zur Anbindung eines Diagnosescanners an das CGM 106 und zum Zugriff auf die On-Board-Diagnose.
-
Direkte Verbindungen zwischen fahrzeuginternen Netzwerken und dem DLC können Cybersicherheitsrisiken darstellen. Für die meisten Fahrzeugnutzergruppen überwiegen die damit verbundenen Sicherheitsrisiken der direkten Konnektivität. Für eine kleine Benutzergruppe, z. B. Fahrzeugingenieure, Zulieferer und Hersteller, kann die direkte Konnektivität bei der Fahrzeugkonstruktion und Fehlersuche hilfreich sein.
-
Das CGM 106 in dem exemplarischen Datennetzwerksystem 100 stellt einen ersten Diagnose-CAN-Bus 110 und einen zweiten Diagnose-CAN-Bus 112 an Pins im DLC 108 zur Verfügung, worin jeder Diagnose-CAN-Bus 110, 112 ein mit dem DLC 108 verbundenes Abtastwerkzeug mit Zugriff auf das CGM 106 und die On-Board-Diagnose bereitstellt. Das CGM 106 in dem exemplarischen Datennetzwerksystem 100 stellt weiterhin einen ersten Präsentationsnetzwerkbus 114 zu einem Pin im DLC 108 und einen zweiten Präsentationsnetzwerkbus 116 zu einem anderen Pin im DLC 108 zur Verfügung, worin jeder Präsentationsbus 114, 116, sofern er aktiviert ist, einen privilegierten, reinen Abhörzugriff auf einen der CAN-Busse bereitstellt. Die ersten und zweiten Präsentationsnetzwerkbusse 114, 116 werden durch eine physikalische Schicht mit Präsentationsfähigkeit und Steueralgorithmen 118 innerhalb des CGM 106 bereitgestellt und aktiviert.
-
2 ist ein Blockdiagramm, das ein exemplarisches System 200 abbildet, das ein exemplarisches ECU 202 beinhaltet, das über einen ersten Präsentationsnetzwerkbus 204 und einen zweiten Präsentationsnetzwerkbus 206 Pins eines DLC 208 mit einem privilegiertem, reinen Abhörzugriff auf bis zu zwei CAN-Busse gleichzeitig bereitstellt. Das exemplarische ECU 202 beinhaltet einen Präsentationsnetzwerkblock 210 und einen Diagnose-Serviceblock 212. Der exemplarische Präsentationsnetzwerkblock 210 ist konfiguriert, um dem DLC 208 über den ersten Präsentationsnetzwerkbus 204 und den zweiten Präsentationsnetzwerkbus 206 einen reinen Abhörzugriff auf den Datenverkehr auf bis zu zwei CAN-Bussen zu ermöglichen. Der Diagnose-Serviceblock 212 konfiguriert den Zugriff auf den Präsentationsnetzwerkblock 210 und aktiviert und steuert dessen Funktion.
-
Der exemplarische Präsentationsnetzwerkblock beinhaltet eine erste Präsentationsschaltung 214 und eine zweite Präsentationsschaltung 216. Jede exemplarische Präsentationsschaltung 214, 216 beinhaltet einen Multiplexer oder Datenselektor 218, dessen Ausgang 220 mit dem Sendedaten-(TxD)-Eingang 222 eines Transceivers 224 gekoppelt ist. Der Multiplexer 218 in diesem Beispiel ist ein 8:1-Multiplexer, der zum Auswählen der Empfangsdaten-(RxD)-Leitung 226 von einem von sechs CAN-Bussen zum Ausgeben an den Eingang des Transceivers 224 konfiguriert ist. Die Auswahl der RxD-Leitung wird durch die dem Multiplexer 218 bereitgestellten Auswahlsignale 228 bestimmt.
-
Der exemplarische Transceiver 224 ist mit einem RxD-Ausgang und einem TxD-Eingang 222 konfiguriert. Der TxD-Eingang 222 ist mit dem Ausgang 220 des Datenselektors 218 gekoppelt, der RxD-Ausgang wird nicht verwendet, und der Transceiverausgang 230 ist über den ersten Präsentationsnetzwerkbus 204 oder den zweiten Präsentationsnetzwerkbus 206 mit einem Pin des DLC 208 gekoppelt. Da der TxD-Eingang 222 des exemplarischen Transceiver 224 mit dem Ausgang 220 des Multiplexers 218 und der Ausgang 230 des exemplarischen Transceivers 224 mit dem DLC 208 verbunden ist, ermöglicht der Transceiver 224, wenn er aktiviert ist, über eine RxD-Leitung 226 einen reinen Abhörzugriff auf einen ausgewählten CAN-Bus. Der Transceiver 224 ist nicht für den Übertragungszugriff auf einen der CAN-Busse oder RxD-Leitungen 226 konfiguriert.
-
Der exemplarische Diagnose-Serviceblock 212 verbindet sich mit den Fahrzeug-CAN-Bussen 232 über eine Vielzahl von Transceivern 234, welche die Signalpegel der CAN-Busse 232 an die Pegel der RxD-Leitungen anpassen, die ein CAN-Controller 238 erwartet und die Sendesignale der vom CAN-Controller 238 empfangenen TxD-Leitungen in ein Signal umwandelt, das an die CAN-Busse 232 gesendet werden kann. Für jeden CAN-Bus 232 ist ein Transceiver 234 vorgesehen. Der exemplarische Diagnose-Serviceblock 212 stellt auch Kanalauswahlsignale 228 von einem Mikroprozessor 236 an jeden Multiplexer 218 bereit.
-
Das exemplarische ECU 202 umfasst einen Mikroprozessor 236, der unter anderem Daten zwischen den CAN-Bussen 232 und auf zwei Diagnose-CAN-Bussen zum DLC überträgt. Das exemplarische ECU 202 beinhaltet einen CAN-Controller 238 für jeden CAN-Bus 232. Jeder CAN-Controller 238 empfängt CAN-BUS-Signale auf einer RxD-Leitung 226 und stellt CAN-Bus-Signale auf einer TxD-Leitung 240 bereit. Die RxD-Leitungen 226 werden an den Präsentationsnetzwerkblock 210 bereitgestellt.
-
Das exemplarische ECU 202 wird durch Programmieranweisungen konfiguriert, um einzeln oder gemeinsam jeder der ersten Präsentationsschaltungen 214 sowie der zweiten Präsentationsschaltung 216 den Datenverkehr auf einem der CAN-Busse dem DLC zu präsentieren. Das exemplarische ECU 202 wird durch Programmieranweisungen konfiguriert, um die spezifischen CAN-Busse auszuwählen, die auf dem ersten Präsentationsnetzwerkbus 204 und dem zweiten Präsentationsnetzwerkbus 206 präsentiert werden sollen. Das exemplarische ECU 202 wird durch Programmieranweisungen konfiguriert, um ein Sicherheitsprotokoll zu implementieren, bevor einer oder beide der ersten Präsentationsnetzwerkbusse 204 sowie der zweite Präsentationsnetzwerkbus 206 aktiviert werden. Das in diesem Beispiel implementierte Sicherheitsprotokoll verwendet eine Kombination aus einer symmetrischen und einer asymmetrischen Kryptographie. Ein asymmetrisches kryptographisches System, z. B. ein Public-Key-Infrastruktur-(PKI)-System, wird zum Steuern der Benutzeranmeldeinformationen und zum Authentifizieren eines Benutzers mit einer Back-Office-Zertifizierungsstelle verwendet. Der erfolgreiche Abschluss der asymmetrischen kryptographischen Protokolle bewirkt, dass ein Benutzer mit Sicherheitsanmeldeinformationen versorgt wird, die, wenn sie der ECU 202 bereitgestellt werden, ein Challenge- und Response-Handshake-Protokoll zwischen der ECU 202 und dem Backoffice ermöglichen. Der erfolgreiche Abschluss des Challenge- und Response-Handshake-Protokolls ermöglicht es der ECU 202 , einen reinen Abhördatenverkehr von einem der CAN-Busse zu einem der Präsentationsnetzwerkbusse 204, 206 bereitzustellen.
-
Das exemplarische ECU 202 wird durch Programmieranweisungen konfiguriert, um verschiedenen Benutzergruppen unterschiedliche Zugriffsarten zu gewähren. Als Beispiel kann ein Techniker einer ersten Benutzergruppe angehören und eine Zugriffsstufe einnehmen, ein Lieferant kann einer zweiten Benutzergruppe angehören und eine zweite Zugriffsstufe einnehmen und ein Hersteller kann einer dritten Benutzergruppe angehören und eine dritte Zugriffsstufe einnehmen. Jede Gruppe kann weiterhin in Untergruppen unterteilt werden, wobei jede Gruppe und Untergruppe Anspruch auf einen bestimmten Umfang des reinen Abhörzugriffs auf einen Präsentationsnetzwerkbus hat.
-
Das exemplarische ECU 202 nutzt einen der Diagnose-CAN-Busse, um Sicherheitsanmeldeinformationen von einem Benutzer zu erhalten, die daraus resultieren, dass der Benutzer asymmetrische kryptografische Protokolle mit der Backoffice-Zertifizierungsstelle durchführt und die Sicherheitsanmeldeinformationen vom Backoffice erhält, bevor er die empfangenen Sicherheitsanmeldeinformationen überprüft und dem Benutzer Zugriff auf einen Präsentationsnetzwerkbus gewährt. Das exemplarische ECU 202 verwendet auch den Diagnose-CAN-Bus, um Anforderungen von einem Benutzer zum Aktivieren eines oder mehrerer Präsentationsnetzwerkbusse zu empfangen, um die Kanäle auszuwählen, die auf dem Präsentationsnetzwerkbus präsentiert werden, und um einen Persistenzmodus mit den Präsentationsnetzwerkbussen zu aktivieren.
-
Im Normalbetrieb sind bei jedem Einschalten des Fahrzeugs eine Sicherheitsüberprüfung und eine Zugriffsanforderung erforderlich, bevor der Zugriff auf die Präsentationsnetzwerkbusse gewährt werden kann. Das exemplarische ECU 202 kann auch in einem Persistenzmodus betrieben werden, der, wenn er aktiviert ist, den Zugriff auf die Präsentationsnetzwerkbusse bei eingeschaltetem Fahrzeug ohne Sicherheitsnachweis und eine Zugriffsanforderung für eine begrenzte Anzahl von Ausschalt- und Einschaltzyklen ermöglicht. Dies kann nützlich sein, wenn der Zugriff auf einen Präsentationsnetzwerkbus gewünscht wird, um Probleme zu beheben, die während des Einschaltvorgangs auftreten.
-
Nach dem Überprüfen der Sicherheitsanmeldeinformationen und dem Zugriff auf einen Präsentationsnetzwerkbus kann ein Benutzer mit ausreichenden Rechten den Persistenzmodus anfordern und einen Persistenzzähler setzen. Nach dem Eingeben des Persistenzmodus beim nächsten Einschalten und nach einem Ausschalten verringert der Mikroprozessor 236 den Persistenzzähler und überprüft den Wert des Persistenzzählers. Wenn der Persistenzzähler ungleich Null ist, kann der Mikroprozessor 236 die zuletzt präsentierten Präsentationsnetzwerkbusse aktivieren. Nach der maximalen Anzahl von Ausschalt- und Einschaltzyklen, die durch den Persistenzzähler zulässig sind, wird der Persistenzmodus automatisch deaktiviert.
-
Der Mikroprozessor 236 ist konfiguriert, um einem Benutzer zu ermöglichen, den Persistenzzähler zu jeder Zeit auf Null zurückzusetzen, um den Persistenzmodus beim nächsten Einschalten zu deaktivieren. Der Mikroprozessor 236 ist konfiguriert, um es einem Benutzer nicht zu erlauben, den Persistenzzähler zu erhöhen, ohne vorher die Sicherheitsprüfung zu bestehen, um zu bestimmen, ob der Benutzer über ausreichende Rechte zur Verwendung des Persistenzmodus verfügt. Während die Präsentationsnetzwerkbusse für den reinen Abhörzugriff auf fahrzeuginterne Netzwerke verwendet werden, kann das ECU 202 einen oder beide über den DLC verfügbaren Diagnose-CAN-Busse verwenden, um Daten und Anforderungen von einem Benutzer zu empfangen.
-
Das exemplarische System 200 veranschaulicht den privilegierten, reinen Abhörzugriff auf bis zu zwei CAN-Busse gleichzeitig. Weitere exemplarische Systeme können den Zugriff auf drei oder mehr Netzwerke gleichzeitig ermöglichen. Als ein Beispiel können weitere Systeme drei oder mehr Präsentationsnetzwerkbusse und/oder drei oder mehr Präsentationsschaltungen bereitstellen.
-
3 ist ein Prozessablaufdiagramm, das einen exemplarischen Prozess 300 zum Aktivieren eines Präsentationskanals abbildet. Der exemplarische Prozess beginnt mit dem Einschalten des Fahrzeugs (Vorgang 302). Nach dem Einschalten des Fahrzeugs wird ein gesicherter Anmeldevorgang eingeleitet, der eine Sicherheitsüberprüfung beinhaltet (Vorgang 304). Der gesicherte Anmeldevorgang kann das Aufrufen eines PKI-Systems und das Überprüfen der Anmeldeinformationen eines Benutzers unter Verwendung eines Zertifikatsüberprüfungssystems beinhalten. Im Rahmen der Sicherheitsüberprüfung wird bestimmt, ob ein Benutzer eine Berechtigungsüberprüfung besteht (Entscheidung 306). Wird die Berechtigungsüberprüfung nicht bestanden ist (nein bei Entscheidung 306), wird der Zugriff auf die Präsentationsnetzwerkbusse verweigert (Vorgang 308). Wenn die Berechtigungsprüfung bestanden wird (ja bei Entscheidung 306), wird der Benutzer basierend auf seinen Sicherheitsberechtigungen einer Zugriffsklasse zugeordnet (Vorgang 310). Die Zugriffsklasse legt fest, über welche Art von reinen Abhörzugriffsrechten der Benutzer auf die Präsentationsnetzwerkbusse verfügen darf. Als ein Beispiel kann eine Benutzergruppe über einen Zugriff auf den Persistenzmodus verfügen, während andere Benutzergruppen keinen Zugriff darauf haben. Eine Diagnose-Serviceanforderung zum Aktivieren eines oder beider Präsentationskanäle muss empfangen werden, bevor einer der Präsentationskanäle aktiv wird (Vorgang 312). Nach dem Empfangen einer Diagnose-Serviceanforderung zum Aktivieren der Präsentationskanäle werden die Präsentationskanäle basierend auf der bestimmten Zugriffsklasse (Vorgang 314) aktiviert.
-
4 ist ein Prozessablaufdiagramm, das einen exemplarischen Prozess 400 abbildet, um auszuwählen, welche fahrzeuginternen Netzwerke auf einen Präsentationskanal gespiegelt werden. Der exemplarische Prozess beginnt mit dem Einschalten des Fahrzeugs (Vorgang 402). Nach dem Einschalten des Fahrzeugs wird ein gesicherter Anmeldevorgang eingeleitet, der eine Sicherheitsüberprüfung beinhaltet (Vorgang 404). Der gesicherte Anmeldevorgang kann das Aufrufen eines PKI-Systems und das Überprüfen der Anmeldeinformationen eines Benutzers unter Verwendung eines Zertifikatsüberprüfungssystems beinhalten. Im Rahmen der Sicherheitsüberprüfung wird bestimmt, ob ein Benutzer eine Berechtigungsüberprüfung besteht (Entscheidung 406). Wird die Berechtigungsüberprüfung nicht bestanden ist (nein bei Entscheidung 406), wird der Zugriff auf die Präsentationsnetzwerkbusse verweigert (Vorgang 408). Wenn die Berechtigungsprüfung bestanden wird (ja bei Entscheidung 406), wird der Benutzer basierend auf seinen Sicherheitsberechtigungen einer Zugriffsklasse zugeordnet (Vorgang 410). Die Zugriffsklasse legt fest, über welche Art von reinen Abhörzugriffsrechten der Benutzer auf die Präsentationsnetzwerkbusse verfügen darf. Als ein Beispiel kann eine Benutzergruppe über einen Zugriff auf den Persistenzmodus verfügen, während andere Benutzergruppen keinen Zugriff darauf haben. Eine Diagnosedienstanforderung zum Aktivieren eines oder beider Präsentationskanäle muss empfangen werden, bevor einer der Präsentationskanäle aktiv wird (Vorgang 412). Nach dem Empfangen einer Diagnosedienstanforderung zum Aktivieren der Präsentationskanäle werden die Präsentationskanäle basierend auf der bestimmten Zugriffsklasse (Vorgang 414) aktiviert. Nachdem die Präsentationskanäle aktiviert sind, kann ein Benutzer die auf den Präsentationskanälen präsentierten oder gespiegelten Netzwerkbusse im fahrzeuginternen Netzwerk ändern. Eine Kanalauswahlanforderung (oder zweite Diagnosedienstanforderung) wird von einem Benutzer empfangen (Vorgang 416). Nach dem Empfangen der Kanalauswahlanforderung werden die ausgewählten Kanäle auf die Präsentationsnetzwerkbusse (418) gespiegelt.
-
5 ist ein Prozessablaufdiagramm, das einen exemplarischen Prozess 500 zum Aktivieren eines Präsentationskanals über einen Persistenzmodus abbildet. Der exemplarische Prozess beginnt mit dem Einschalten des Fahrzeugs (Vorgang 502). Es erfolgt eine Bestimmung in Bezug auf das Aktivieren des Persistenzmodus vor dem letzten Ausschalten (Entscheidung 504). Wenn der Persistenzmodus aktiviert wurde (ja bei Entscheidung 504), werden die Präsentationsnetzwerkbusse basierend auf der bei der letzten Sicherheitsüberprüfung (Vorgang 516) bestimmten Zugriffsklasse für die Ausgabe aktiviert. Wenn der Persistenzmodus nicht aktiviert war (nein bei Entscheidung 504), wird ein gesicherter Anmeldevorgang eingeleitet, der eine Sicherheitsüberprüfung beinhaltet (Vorgang 506). Der gesicherte Anmeldevorgang kann das Aufrufen eines PKI-Systems und das Überprüfen der Anmeldeinformationen eines Benutzers unter Verwendung eines Zertifikatsüberprüfungssystems beinhalten. Im Rahmen der Sicherheitsüberprüfung wird bestimmt, ob ein Benutzer eine Berechtigungsüberprüfung besteht (Entscheidung 508). Wird die Berechtigungsüberprüfung nicht bestanden ist (nein bei Entscheidung 508), wird der Zugriff auf die Präsentationsnetzwerkbusse verweigert (Vorgang 510). Wenn die Berechtigungsprüfung bestanden wird (ja bei Entscheidung 508), wird der Benutzer basierend auf seinen Sicherheitsberechtigungen einer Zugriffsklasse zugeordnet (Vorgang 512). Eine Anforderung zum Aktivieren eines oder beider Präsentationskanäle muss empfangen werden, bevor einer der Präsentationskanäle aktiv wird. Es wird bestimmt, ob eine Diagnose-Serviceanforderung zum Aktivieren der Präsentationskanäle empfangen wird (Entscheidung 514). Wenn noch keine Diagnose-Serviceanforderung zum Aktivieren der Präsentationskanäle empfangen wurde (nein bei Entscheidung 514), sind die Präsentationskanäle nicht aktiviert. Wenn eine Diagnose-Serviceanforderung zum Aktivieren der Präsentationskanäle empfangen wird (ja bei Entscheidung 514), werden die Präsentationskanäle basierend auf der Zugriffsklasse (Vorgang 516) aktiviert.
-
6 ist ein Prozessablaufdiagramm, das einen exemplarischen Prozess 600 zum Aktivieren des Persistenzmodus abbildet. Der exemplarische Prozess beginnt mit dem Einschalten des Fahrzeugs (Vorgang 602). Nach dem Einschalten des Fahrzeugs wird ein gesicherter Anmeldevorgang eingeleitet, der eine Sicherheitsüberprüfung beinhaltet (Vorgang 604). Der gesicherte Anmeldevorgang kann das Aufrufen eines PKI-Systems und das Überprüfen der Anmeldeinformationen eines Benutzers unter Verwendung eines Zertifikatsüberprüfungssystems beinhalten. Im Rahmen der Sicherheitsüberprüfung wird bestimmt, ob ein Benutzer eine Berechtigungsüberprüfung besteht (Entscheidung 606). Wird die Berechtigungsüberprüfung nicht bestanden ist (nein bei Entscheidung 606), wird der Zugriff auf die Präsentationsnetzwerkbusse verweigert (Vorgang 608). Wenn die Berechtigungsprüfung bestanden wird (ja bei Entscheidung 606), wird der Benutzer basierend auf seinen Sicherheitsberechtigungen einer Zugriffsklasse zugeordnet (Vorgang 610). Die Zugriffsklasse legt fest, über welche Art von reinen Abhörzugriffsrechten der Benutzer auf die Präsentationsnetzwerkbusse verfügen darf. Als ein Beispiel kann eine Benutzergruppe über einen Zugriff auf den Persistenzmodus verfügen, während andere Benutzergruppen keinen Zugriff darauf haben. Eine Diagnosedienstanforderung zum Aktivieren eines oder beider Präsentationskanäle muss empfangen werden, bevor einer der Präsentationskanäle aktiv wird (Vorgang 612). Nach dem Empfangen einer Diagnose-Serviceanforderung zum Aktivieren der Präsentationskanäle werden die Präsentationskanäle basierend auf der bestimmten Zugriffsklasse (Vorgang 614) aktiviert. Eine Diagnosedienstanforderung zum Aktivieren des Persistenzmodus und eines Persistenzzählers kann empfangen werden, nachdem die Berechtigungsüberprüfung bestanden und die Präsentationskanäle aktiviert wurde (Vorgang 616). Der Persistenzzähler kann verwendet werden, um die Anzahl der nachfolgenden Einschaltzyklen zu bestimmen, während derer keine Berechtigungsüberprüfung erforderlich ist. Nach dem erfolgreichen Empfangen der Diagnosedienstanforderung zum Aktivieren des Persistenzmodus und der Eingabe des Persistenzzählers wird der Persistenzmodus aktiviert (Vorgang 618).
-
7 ist ein Prozessablaufdiagramm, das einen weiteren exemplarischen Prozess 700 zum Aktivieren eines Präsentationskanals über einen Persistenzmodus abbildet. Der exemplarische Prozess beginnt mit dem Einschalten des Fahrzeugs (Vorgang 702). Der Persistenzzähler wird verringert (Vorgang 704). Es wird bestimmt, ob der Persistenzzähler größer als Null ist (Entscheidung 706). Wenn der Persistenzzähler größer als Null ist (ja bei Entscheidung 706), werden die Präsentationsnetzwerkbusse basierend auf der bei der letzten Sicherheitsüberprüfung (Vorgang 718) bestimmten Zugriffsklasse für die Ausgabe aktiviert. Wenn der Persistenzzähler gleich Null ist (nein bei Entscheidung 706), wird ein gesicherter Anmeldevorgang eingeleitet, der eine Sicherheitsüberprüfung beinhaltet (Vorgang 708). Der gesicherte Anmeldevorgang kann das Aufrufen eines PKI-Systems und das Überprüfen der Anmeldeinformationen eines Benutzers unter Verwendung eines Zertifikatsüberprüfungssystems beinhalten. Im Rahmen der Sicherheitsüberprüfung wird bestimmt, ob ein Benutzer eine Berechtigungsüberprüfung besteht (Entscheidung 710). Wird die Berechtigungsüberprüfung nicht bestanden ist (nein bei Entscheidung 710), wird der Zugriff auf die Präsentationsnetzwerkbusse verweigert (Vorgang 712). Wenn die Berechtigungsprüfung bestanden wird (ja bei Entscheidung 710), wird der Benutzer basierend auf seinen Sicherheitsberechtigungen einer Zugriffsklasse zugeordnet (Vorgang 714). Eine Diagnose-Serviceanforderung zum Aktivieren eines oder beider Präsentationskanäle muss empfangen werden, bevor einer der Präsentationskanäle aktiv wird. Es wird bestimmt, ob eine Diagnose-Serviceanforderung zum Aktivieren der Präsentationskanäle empfangen wird (Entscheidung 716). Wenn noch keine Diagnose-Serviceanforderung zum Aktivieren der Präsentationskanäle empfangen wurde (nein bei Entscheidung 716), sind die Präsentationskanäle nicht aktiviert. Wenn eine Diagnose-Serviceanforderung zum Aktivieren der Präsentationskanäle empfangen wird (ja bei Entscheidung 716), werden die Präsentationskanäle basierend auf der Zugriffsklasse (Vorgang 718) aktiviert.
-
Der exemplarische Prozess 700 kann auch ermöglichen, dass der Persistenzmodus beim nächsten Einschalten deaktiviert wird, unabhängig vom aktuellen Persistenzzähler. Eine Diagnosedienstanforderung zum Deaktivieren des Persistenzmodus kann empfangen werden, nachdem bestimmt wurde, dass der Persistenzmodus eingeschaltet ist und die Präsentationskanäle aktiviert sind (Vorgang 720). Als Reaktion auf die Anforderung, den Persistenzmodus über die Diagnosedienstanforderung zu deaktivieren, wird der Persistenzzähler auf einen Wert von Null zurückgesetzt. (Vorgang 722). Das Zurücksetzen des Persistenzzählers auf Null deaktiviert den Persistenzmodus beim nächsten Einschalten.
-
Hierin beschrieben sind Vorrichtungen, Systeme, Techniken und Artikel, die den reinen Abhörzugriff auf und das Überwachen von fahrzeuginternen Netzwerken ermöglichen. Die beschriebenen Vorrichtungen, Systeme, Techniken und Artikel ermöglichen einen reinen Abhörzugriff über ein Berechtigungskontrollsystem. Eine physikalische Schicht ist in einem zentralen Gateway-Modul implementiert, das, wenn es aktiviert ist, nur einigen wenigen fahrzeuginternen Netzwerken gleichzeitig einen reinen Abhörzugriff am DLC ermöglichen kann. Steueralgorithmen sind vorgesehen, um einen privilegierten reinen Abhörzugriff auf die fahrzeuginternen Netzwerke zu ermöglichen. Die Überwachungsschaltung, wenn sie einmal aktiviert und verriegelt ist, kann dem Host-Mikroprozessor nur geringe oder gar keine Anforderungen an den Verarbeitungs- oder Wartungsdurchsatz einräumen. Das Überwachen kann so erfolgen, dass es über eine konfigurierbare, jedoch begrenzte Anzahl von Einschaltzyklen aktiv bleibt.
-
In einer Ausführungsform wird ein Verfahren des privilegierten Zugriffs auf ein fahrzeuginternes Kommunikationsnetzwerk bereitgestellt. Das Verfahren umfasst das Bereitstellen eines Präsentationsnetzwerkbusses, der in der Lage ist, einen reinen Abhörzugriff auf eine Teilmenge von fahrzeuginternen Netzwerken bereitzustellen, das Überprüfen von Zugangsberechtigungen in einem Sicherheitssystem, das konfiguriert ist, um den Zugang zum Präsentationsnetzwerkbus unter Verwendung einer Kombination von symmetrischen und asymmetrischen kryptografischen Systemen zu steuern, das Empfangen einer Diagnosedienstanforderung, nachdem die Zugangsberechtigungen überprüft worden sind, um den Präsentationsnetzwerkbus für den reinen Abhörzugriff auf die Teilmenge von fahrzeuginternen Netzwerken zu ermöglichen, und das Freigeben des Präsentationsnetzwerkbusses für den reinen Abhörzugriff als Reaktion auf das Empfangen der Diagnosedienstanforderung.
-
Diese Aspekte und andere Ausführungsformen können eines oder mehrere der folgenden Merkmale beinhalten. Das Bereitstellen eines Präsentationsnetzwerkbusses kann das Bereitstellen eines reinen Abhörzugriffs auf ein erstes der Netzwerke auf einem ersten Pin im Diagnoseverbindungsstecker (DLC) eines Fahrzeugs und das Bereitstellen eines reinen Abhörzugriffs auf ein zweites der Netzwerke auf einem zweiten Pin im DLC umfassen. Das Bereitstellen eines Präsentationsnetzwerkbusses kann das Bereitstellen von Schaltungen umfassen, die in der Lage sind, Daten zu übertragen, jedoch nicht in der Lage sind, Daten zu empfangen. Das Bereitstellen eines Präsentationsnetzwerkbusses kann das Bereitstellen einer Auswahlschaltung zum selektiven Ausgeben eines der Netzwerke umfassen. Das Verfahren kann ferner das Empfangen einer zweiten Diagnosedienstanforderung umfassen, nachdem der Präsentationsnetzwerkbus aktiviert wurde, der ein anderes Netzwerk für den reinen Abhörzugriff identifiziert. Das Verfahren kann ferner das Aktivieren eines Persistenzmodus nach dem Überprüfen der Zugangsdaten umfassen, worin der Präsentationsnetzwerkbus nach einem Ausschalt- und Einschaltzyklus für den reinen Abhörzugriff aktiviert wird, ohne die Zugangsdaten im Sicherheitssystem nach dem Ausschalten erneut zu überprüfen. Das Aktivieren eines Persistenzmodus kann das Empfangen einer Diagnosedienstanforderung umfassen, welche das Aktivieren des Persistenzmodus anfordert und einen Persistenzzählwert beinhaltet, der die Anzahl der Ausschalt- und Einschaltzyklen identifiziert, während derer der Präsentationsnetzwerkbus für den reinen Abhörzugriff ohne erneutes Verifizieren der Zugangsdaten aktiviert wird. Der Persistenzzählwert kann sich nach jedem Ausschalt- und Einschaltzyklus automatisch verringern. Das Verfahren kann weiterhin das Deaktivieren des Persistenzmodus nach dem Empfangen einer Diagnosedienstanforderung umfassen, um den Persistenzmodus unabhängig vom Persistenzzählwert zu deaktivieren. Das Deaktivieren des Persistenzmodus kann das Zurücksetzen des Persistenzzählwerts auf Null umfassen. Der Persistenzzählwert kann nur während eines Betriebszyklus, in dem die Zugangsdaten im Sicherheitssystem überprüft wurden, auf einen Wert größer als Null gesetzt werden. Das Verfahren kann weiterhin das Bereitstellen einer von einer Vielzahl von verschiedenen reinen Abhörzugriffsebenen für die fahrzeuginternen Netzwerke basierend auf den empfangenen Zugangsdaten umfassen.
-
In einer weiteren Ausführungsform ist ein System für den privilegierten Zugang zu einem fahrzeuginternen Kommunikationsnetzwerk vorgesehen. Das System umfasst einen Präsentationsnetzwerkbus, der konfiguriert ist, um nur den Zugriff auf eine Teilmenge von fahrzeuginternen Netzwerken zu ermöglichen, ein Sicherheitssystem, das konfiguriert ist, um den Zugriff auf den Präsentationsnetzwerkbus durch Überprüfen der Zugangsdaten zu ermöglichen, und ein Diagnosedienstsystem, das konfiguriert ist, um den Zugriff auf den Präsentationsnetzwerkbus zu steuern. Das Diagnosedienstsystem ist konfiguriert, um eine Diagnosedienstanforderung nach dem Überprüfen der Zugangsdaten zu empfangen, um den Präsentationsnetzwerkbus für den reinen Abhörzugriff auf die Teilmenge der Netzwerke zu aktivieren. Der Präsentationsnetzwerkbus kann für den reinen Abhörzugriff nach der Berechtigungsprüfung durch das Sicherheitssystem und als Reaktion auf das Empfangen einer Diagnosedienstanforderung des Diagnosedienstsystems, wodurch die Aktivierung des Präsentationsnetzwerkbusses angefordert wird, aktiviert werden.
-
Diese Aspekte und andere Ausführungsformen können eines oder mehrere der folgenden Merkmale beinhalten. Der Präsentationsnetzwerkbus kann konfiguriert werden, um eine reine Abhörverbindung zu einem der seriellen fahrzeuginternen Netzwerke auf einem ersten Satz von Pins eines Diagnoseverbinders (DLC) und eine reine Abhörverbindung zu einem zweiten der seriellen fahrzeuginternen Netzwerke auf einem zweiten Satz von Pins des DLC bereitzustellen. Das System kann weiterhin Präsentationsschaltungen umfassen, die zur Spiegelung eines fahrzeuginternen Netzwerks auf den Präsentationsnetzwerkbus konfiguriert sind. Die Präsentationsschaltung kann zum Übertragen von Daten vom fahrzeuginternen Netzwerk auf den Präsentationsnetzwerkbus konfiguriert sein, der jedoch nicht in der Lage ist, zu übertragende Daten vom Präsentationsnetzwerkbus in das fahrzeuginterne Netzwerk zu empfangen. Die Präsentationsschaltung kann einen Transceiver umfassen, der zum Übertragen von Daten vom fahrzeuginternen Netzwerk auf den Präsentationsnetzwerkbus konfiguriert ist, der jedoch nicht in der Lage ist, zu übertragende Daten vom Präsentationsnetzwerkbus in das fahrzeuginterne Netzwerk zu empfangen. Die Präsentationsschaltung kann zum selektiven Ausgeben einer von einer Vielzahl von Netzwerkempfangsleitungen der seriellen fahrzeuginternen Netzwerke auf den Präsentationsnetzwerkbus konfiguriert sein. Die Präsentationsschaltung kann eine Auswahlschaltung umfassen, die zum selektiven Ausgeben einer von mehreren Netzwerkempfangsleitungen der seriellen fahrzeuginternen Netzwerke auf den Präsentationsnetzwerkbus konfiguriert ist. Das Sicherheitssystem kann eine Kombination von symmetrischen und asymmetrischen kryptographischen Systemen verwenden. Das Diagnosedienstsystem kann weiterhin konfiguriert sein, um eine zweite Diagnosedienstanforderung zu empfangen, nachdem der Präsentationsnetzwerkbus aktiviert wurde, der ein Netzwerk für den reinen Abhörzugriff identifiziert. Das Diagnosedienstsystem kann weiterhin konfiguriert werden, um einen Persistenzmodus zu aktivieren, nachdem die Zugangsdaten überprüft wurden, worin der Präsentationsnetzwerkbus nach einem Ausschalt- und Einschaltzyklus aktiviert wird, ohne die Zugangsdaten im Sicherheitssystem nach dem Ausschalten erneut zu überprüfen. Das Diagnosedienstsystem kann weiterhin konfiguriert werden, um eine Diagnoseanforderung zu empfangen, welche die Aktivierung des Persistenzmodus anfordert und einen Persistenzzählwert beinhaltet, der die Anzahl der Ausschalt- und Einschaltzyklen identifiziert, während derer der Präsentationsnetzwerkbus für den reinen Abhörzugriff ohne erneutes Verifizieren der Zugangsdaten aktiviert wird. Der Persistenzzählwert kann sich nach jedem Ausschalt- und Einschaltzyklus automatisch verringern. Das Diagnosedienstsystem kann weiterhin konfiguriert sein, um den Persistenzmodus nach dem Empfangen einer Diagnosedienstanforderung zu deaktivieren, um den Persistenzmodus unabhängig vom Persistenzzählerwert zu deaktivieren. Das Diagnosedienstsystem kann weiterhin konfiguriert sein, um den Persistenzmodus durch Zurücksetzen des Persistenzzählwerts auf Null zu deaktivieren. Der Persistenzzählwert kann nur während eines Betriebszyklus, in dem die Zugangsdaten im Sicherheitssystem überprüft wurden, auf einen Wert größer als Null gesetzt werden. Das Sicherheitssystem kann weiterhin konfiguriert sein, um basierend auf den empfangenen Zugangsinformationen eine von einer Vielzahl von verschiedenen reinen Abhörzugriffsebenen für die Netzwerke bereitzustellen.
-
In einer weiteren Ausführungsform ist ein Gateway-Modul in einem Fahrzeug vorgesehen. Das Gateway-Modul umfasst Präsentationsschaltungen, die zur Spiegelung eines fahrzeuginternen Netzwerks auf den Präsentationsnetzwerkbus konfiguriert sind. Die Präsentationsschaltung umfasst eine Auswahlschaltung, die konfiguriert ist, um selektiv eine aus einer Vielzahl von Netzwerkempfangsleitungen von fahrzeuginternen seriellen Netzwerken an den Präsentationsnetzwerkbus auszugeben, und eine Sender-Empfänger-Schaltung, die konfiguriert ist, um Daten von dem ausgewählten fahrzeuginternen Netzwerk auf den Präsentationsnetzwerkbus zu übertragen, um einen reinen Abhörzugriff auf das fahrzeuginterne Netzwerk zu ermöglichen und um das Übertragen der Daten vom Präsentationsnetzwerkbus auf das ausgewählte fahrzeuginterne Netzwerk zu verhindern. Das Gateway-Modul umfasst ferner eine Sicherheitsschnittstelle, die konfiguriert ist, um den Zugriff auf den Präsentationsnetzwerkbus zu ermöglichen, indem die Zugangsdaten unter Verwendung einer Kombination von symmetrischen und asymmetrischen kryptographischen Systemen und einer Diagnosedienstschnittstelle, die konfiguriert ist, um den Zugriff auf den Präsentationsnetzwerkbus zu steuern, worin die Diagnosedienst- Schnittstelle konfiguriert ist, um eine Diagnosedienstanforderung zu empfangen, nachdem die Zugangsinformationen überprüft wurden, um den Präsentationsnetzwerkbus für den reinen Abhörzugriff auf das ausgewählte fahrzeuginterne Netzwerk zu aktivieren.
-
Diese Aspekte und andere Ausführungsformen können eines oder mehrere der folgenden Merkmale beinhalten. Die Diagnosedienst- Schnittstelle kann weiterhin konfiguriert sein, um eine zweite Diagnosedienstanforderung zu empfangen, nachdem der Präsentationsnetzwerkbus aktiviert wurde, der ein Netzwerk für den reinen Abhörzugriff identifiziert. Die Diagnosedienst- Schnittstelle kann weiterhin konfiguriert werden, um einen Persistenzmodus zu aktivieren, nachdem die Zugangsdaten überprüft wurden, worin der Präsentationsnetzwerkbus nach einem Ausschalt- und Einschaltzyklus aktiviert wird, ohne die Zugangsdaten im Sicherheitssystem nach dem Ausschalten erneut zu überprüfen. Die Diagnosedienst- Schnittstelle kann weiterhin konfiguriert werden, um eine Diagnoseanforderung zu empfangen, welche die Aktivierung des Persistenzmodus anfordert und einen Persistenzzählwert beinhaltet, der die Anzahl der Ausschalt- und Einschaltzyklen identifiziert, während derer der Präsentationsnetzwerkbus für den reinen Abhörzugriff ohne erneutes Verifizieren der Zugangsdaten aktiviert wird. Der Persistenzzählwert kann sich nach jedem Ausschalt- und Einschaltzyklus automatisch verringern. Die DiagnosedienstSchnittstelle kann weiterhin konfiguriert sein, um den Persistenzmodus nach dem Empfangen einer Diagnosedienstanforderung zu deaktivieren, um den Persistenzmodus unabhängig vom Persistenzzählerwert zu deaktivieren. Die Diagnosedienst- Schnittstelle kann weiterhin konfiguriert sein, um den Persistenzmodus durch Zurücksetzen des Persistenzzählwerts auf Null zu deaktivieren. Der Persistenzzählwert kann nur während eines Betriebszyklus, in dem die Zugangsdaten im Sicherheitssystem überprüft wurden, auf einen Wert größer als Null gesetzt werden. Das Sicherheitssystem kann weiterhin konfiguriert sein, um basierend auf den empfangenen Zugangsinformationen eine von einer Vielzahl von verschiedenen reinen Abhörzugriffsebenen für die Netzwerke bereitzustellen.
-
Das Vorangehende umreißt Merkmale verschiedener Ausführungsformen, sodass der Fachmann auf dem Gebiet die Aspekte der vorliegenden Offenbarung besser verstehen kann. Der Fachmann auf dem Gebiet sollte erkennen, dass er die vorliegende Offenbarung ohne weiteres als Grundlage für das Entwerfen oder Modifizieren anderer Verfahren und Strukturen für das Ausführen der gleichen Zwecke und/oder für das Erreichen der gleichen Vorteile der hierin vorgestellten Ausführungsformen verwenden kann. Der Fachmann auf dem Gebiet sollte auch erkennen, dass solche äquivalenten Konstruktionen nicht von dem Geist und Umfang der vorliegenden Offenbarung abweichen, und dass sie hierin verschiedene Änderungen, Ersetzungen und Abänderungen vornehmen können, ohne von dem Geist und Umfang der vorliegenden Offenbarung abzuweichen.