DE102018212879A1 - Control device and control method - Google Patents

Control device and control method Download PDF

Info

Publication number
DE102018212879A1
DE102018212879A1 DE102018212879.0A DE102018212879A DE102018212879A1 DE 102018212879 A1 DE102018212879 A1 DE 102018212879A1 DE 102018212879 A DE102018212879 A DE 102018212879A DE 102018212879 A1 DE102018212879 A1 DE 102018212879A1
Authority
DE
Germany
Prior art keywords
aforementioned
security
control device
networks
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018212879.0A
Other languages
German (de)
Inventor
Camille Gay
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of DE102018212879A1 publication Critical patent/DE102018212879A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication

Abstract

Die Wahl angemessener Maßnahmen gegenüber den betreffenden Problemen zu ermöglichen, selbst für den Fall das es zu Sicherheitsproblemen gekommen ist.[Mittel zur Lösung der Aufgabenstellung]Steuervorrichtung mit einem Zertifizierungsverarbeitungsteil zur Authentifizierung in Relation zur Sicherheit Zertifizierungsstelle unter bestimmten Bedingungen, welche über spezielle Schnittstellen mit unabhängig voneinander den Zugriff auf die vorgenannten Komponenten steuernde Einheiten ausgestattet ist und aufgrund der vorgenannten Authentifizierungsergebnisse über die vorgenannten Schnittstellen den Zugriff auf die vorgenannten Komponenten steuert.The choice of appropriate measures against the problems in question, even in the event of security problems. [Means for solving the problem] Control device with a certification processing part for authentication in relation to the security Certification body under certain conditions, which via special interfaces with independent is equipped with access to the aforementioned components controlling units and controls the access to the aforementioned components due to the aforementioned authentication results on the aforementioned interfaces.

Description

[Technisches Gebiet][Technical area]

Die vorliegende Erfindung betrifft eine Steuervorrichtung und ein Steuerverfahren.The present invention relates to a control device and a control method.

[Stand der Technik][State of the art]

In den letzten Jahren sind in Fahrzeugen eingebaute Systeme mit einer sogenannten elektronischen Steuereinheit (ECU: Electronic Control Unit) ausgestattet und diese ECU steuert die verschiedenen Funktionen in den betreffenden Fahrzeugen. Ferner sind diese ECUs an das eingebaute Netzwerk genannten fahrzeuginternen Netzwerke angeschlossen. Es gibt zahlreiche Standards für derartige eingebaute Netzwerke, worunter das CAN (Controller Area Network) als repräsentatives Beispiel genannt werden kann. Der oben beschriebene Aufbau erlaubt beispielsweise, dass die ECU von anderen Steuereinheiten (anderen ECUs etc.) über das betreffende eingebaute Netzwerk Anweisungen empfängt und aufgrund dieser Anweisungen die verschiedenen Komponenten im Fahrzeug steuert. Derartige Komponenten können zum Beispiel die Bremsen, der Motor oder dergleichen den Betrieb des Fahrzeugs betreffende Bauteile sein.In recent years, in-vehicle systems are equipped with a so-called electronic control unit (ECU), and this ECU controls the various functions in the vehicles concerned. Further, these ECUs are connected to in-vehicle networks called in-built network. There are numerous standards for such built-in networks, among which the CAN (Controller Area Network) can be cited as a representative example. The structure described above, for example, allows the ECU to receive instructions from other control units (other ECUs, etc.) via the embedded network concerned, and to control the various components in the vehicle based on these instructions. Such components may be, for example, the brakes, the engine, or the like components related to the operation of the vehicle.

In den letzten Jahren sind weiterhin in Verbindung mit der Entwicklung von LTE, Bluetooth (eingetragenes Warenzeichen), Wi-Fi (eingetragenes Warenzeichen) und dergleichen Funktechnologien die verschiedensten Technologien vorgeschlagen worden, die erlauben die Geräte in den Fahrzeugen an externe Netzwerke wie WAN (World Area Network) oder das Internet anzuschließen. Als konkretes Beispiel werden mit DCM (Data Communication Module) oder TCU (Telematics Communication Unit) und dergleichen Kommunikationseinheiten auf externe Netzwerke zugegriffen, um eine Verbindung mit fahrzeugexternen Geräten zu ermöglichen. In den letzten Jahren ziehen insbesondere Technologien Aufmerksamkeit auf sich, bei denen im Rahmen der Umsetzung von dem sogenannten automatischen Fahren und dergleichen durch Zugriff auf fahrzeuginterne Geräte von außen die verschiedensten am Betrieb des betreffenden Fahrzeugs beteiligten Bauteile gesteuert werden.In recent years, various technologies have also been proposed in connection with the development of LTE, Bluetooth (registered trademark), Wi-Fi (registered trademark) and the like, which allow the devices in the vehicles to be connected to external networks such as WAN (World Area Network) or the Internet. As a concrete example, DCM (Data Communication Module) or TCU (Telematics Communication Unit) and the like communication units access external networks to allow connection with on-vehicle devices. In recent years, in particular, technologies attract attention, in which, in the context of the implementation of the so-called automatic driving and the like by accessing in-vehicle devices from the outside, the various components involved in the operation of the subject vehicle are controlled.

[Dokumente zum Stand der Technik][Prior Art Documents]

[Patentschriften][Patents]

  • [Patentschrift 1] Japanische Offenlegungsschrift 2017-73765 [Patent Document 1] Japanese Laid-Open Publication 2017-73765
  • [Patentschrift 2] Internationale Veröffentlichung Nr. 2014-199687[Patent Document 2] International Publication No. 2014-199687

[Überblick über die Erfindung][Overview of the Invention]

[Von der Erfindung zu lösende Probleme][Problems to be Solved by the Invention]

Allerdings entsteht dadurch auch die Gefahr, dass eine Kommunikation zwischen fahrzeuginternen und fahrzeugexternen Geräten möglich wird, so dass bei der betreffenden Kommunikation über eine dafür vorgesehene Schnittstelle böswilligen Angriffe von außen die fahrzeuginternen Geräte Gefahren ausgesetzt werden. Insbesondere wenn durch Angriffe von böswilligen Angreifern die Programmcode von CPU oder Mikrocontroller unrechtmäßigerweise überschrieben werden, können über die ECU die am Betrieb beteiligten Komponenten unrechtmäßigerweise in Betrieb genommen werden können. Vor diesem Hintergrund wird die Umsetzung von Technologien gefordert, welche die Sicherheit der im Fahrzeug eingebauten Systeme gewährleistet. Zum Beispiel wurde in den Patentschriften 1 und 2 ein Beispiel für die Sicherheit der im Fahrzeug eingebauten Geräte gewährleistende Technologien aufgezeigt.However, this also creates the danger that a communication between in-vehicle and out-of-vehicle devices is possible, so that in the relevant communication through a dedicated interface malicious attacks from outside the vehicle-internal devices are exposed to dangers. In particular, if attacks by malicious attackers illegitimately overwrite the program code of the CPU or microcontroller, the components involved in the operation may be improperly put into operation via the ECU. Against this background, the implementation of technologies is required, which ensures the safety of the systems installed in the vehicle. For example, in Patent Documents 1 and 2, there has been exemplified an example of the safety of technologies installed in the vehicle.

Andererseits ist es nicht unbedingt gegeben, dass bei einem Teil der Angriffe von böswilligen Angreifern auf die CPU oder den Mikrocontroller auch die Funktion anderer Teile (zum Beispiel den Betrieb des Fahrzeugs betreffende Teile) von den betreffenden Angriffen direkt betroffen werden. Mit anderen Worten, unter diesen Bedingungen ist es nicht unbedingt realistisch, wenn bei Nachweis eines böswilligen Angriffs die Funktionen auch der nicht direkt betroffenen Teile deaktiviert wird. Es ist insbesondere wünschenswert, wenn von einem Betrieb des Fahrzeugs ausgegangen wird, dass nach Möglichkeit zum Beispiel auch bei Beeinträchtigung von einem Teil der Funktionen bei Auftreten von Sicherheitsproblemen diese betreffenden Funktionen zwar deaktiviert werden, dabei aber entsprechende Maßnahmen den Betrieb auch weiterhin ermöglichen.On the other hand, it is not necessarily true that some of the malicious attackers' attacks on the CPU or microcontroller also directly affect the function of other parts (eg, parts of the vehicle that are in operation) from the attacks in question. In other words, under these conditions, it is not necessarily realistic to prove that a malicious attack has disabled the features of those parts that are not directly affected. It is particularly desirable, when starting from an operation of the vehicle, that if possible, for example, even if some of the functions are impaired when security problems occur, these relevant functions are deactivated, but appropriate measures continue to make the operation possible.

In diesem Zusammenhang erlaubt die hier vorgeschlagene Technik bei Auftreten von Sicherheitsproblemen die Wahl angemessener Gegenmaßnahmen.In this context, the technique proposed here allows the choice of appropriate countermeasures if security problems arise.

[Mittel zur Lösung der Aufgabenstellung][Means for solving the task]

Zur Lösung der oben genannten Aufgabe wird eine Vorrichtung angeboten, die unter bestimmten Umständen bei der Authentifizierung zwischen dem Zertifizierungsverarbeitungsteil (111) und der Sicherheit Zertifizierungsstelle mit einer bestimmten Schnittstelle für die im Fahrzeug eingebauten, an das interne Netzwerk angeschlossenen Komponenten unabhängigen Einheit ausgestattet ist, wobei aufgrund der Ergebnisse der vorgenannten Authentifizierung der Zugriff auf die Steuerung der vorgenannten Komponenten über die vorgenannte Schnittstelle mit dem Steuerteil (113) erfolgt.In order to achieve the above-mentioned object, a device is offered which, in certain circumstances, can be used for authentication between the certification processing part (). 111 ) and the security certification authority is equipped with a specific interface for the vehicle-mounted components connected to the internal network independent unit, based on the results of the aforementioned authentication access to the control of the aforementioned components via the aforementioned interface with the control part ( 113 ) he follows.

Ferner, zur Lösung der oben genannten Aufgabe wird ein Verfahren angeboten, bei dem für den Anschluss der im Fahrzeug eingebauten, an das interne Netzwerk angeschlossenen Komponenten über eine bestimmte Schnittstelle ein unabhängiger Computer vorgesehen ist, mit dem unter bestimmten Umständen die Authentifizierung mit der Sicherheit Zertifizierungsstelle durchgeführt wird und aufgrund der Ergebnisse der vorgenannten Authentifizierung der Zugriff auf die Steuerung der vorgenannten Komponenten über die vorgenannte Schnittstelle erfolgt. Further, to solve the above object, a method is provided in which for connecting the built-in vehicle connected to the internal network components via a specific interface an independent computer is provided with the under certain circumstances, the authentication with the security certification authority is carried out and based on the results of the aforementioned authentication, the access to the control of the aforementioned components via the aforementioned interface.

[Wirkungen der Erfindung][Effects of the Invention]

Diese Erfindung bietet eine Technik an, die es ermöglicht, angemessene Maßnahmen zu ergreifen, falls es wie oben beschrieben zu Sicherheitsproblemen kommt.This invention offers a technique that allows to take appropriate action if security problems occur as described above.

Figurenlistelist of figures

  • [1] Die Figur zeigt ein aus mehreren im Fahrzeug eingebauten und untereinander verbundenen Steuervorrichtungen gebildete Steuernetzwerk.[ 1 ] The figure shows a control network formed of a plurality of vehicle-mounted and interconnected control devices.
  • [2] Blockdiagramm eines Beispiels für den funktionellen Aufbau eines Sicherheitsüberwachungsteils entsprechend der hier veröffentlichten Ausführungsform.[ 2 ] Block diagram of an example of the functional structure of a security monitoring part according to the embodiment published here.
  • [3] Schaubild eines Anwendungsbeispiels für einen Sicherheitsüberwachungsteil entsprechend der gleichen Ausführungsform.[ 3 ] Diagram of an application example of a security monitoring part according to the same embodiment.
  • [4] Einen Überblick über ein das Gateway darstellendes Schaubild.[ 4 ] An overview of a graph showing the gateway.
  • [5] Schaubild eines anderen Anwendungsbeispiels für einen Sicherheitsüberwachungsteil entsprechend dergleichen Ausführungsform.[ 5 ] Diagram of another application example of a security monitoring part according to the same embodiment.
  • [6] Schaubild eines anderen Anwendungsbeispiels für einen Sicherheitsüberwachungsteil entsprechend dergleichen Ausführungsform.[ 6 ] Diagram of another application example of a security monitoring part according to the same embodiment.
  • [7] Das Flussdiagramm stellt ein Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform dar.[ 7 The flowchart illustrates an example of the processing flow in the in-vehicle system according to the same embodiment.
  • [8] Das Flussdiagramm stellt ein Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform dar.[ 8th The flowchart illustrates an example of the processing flow in the in-vehicle system according to the same embodiment.
  • [9] Das Flussdiagramm stellt ein Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend dergleichen Ausführungsform dar.[ 9 ] The flowchart illustrates an example of the processing flow in the in-vehicle system according to the same embodiment.
  • [10] Das Flussdiagramm stellt ein anderes Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform dar.[ 10 ] The flowchart represents another example of the processing flow in the in-vehicle system according to the same embodiment.
  • [11] Das Flussdiagramm stellt ein anderes Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform dar.[ 11 ] The flowchart represents another example of the processing flow in the in-vehicle system according to the same embodiment.
  • [12] Das Flussdiagramm stellt ein anderes Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform dar.[ 12 ] The flowchart represents another example of the processing flow in the in-vehicle system according to the same embodiment.

[Ausführungsformen der Erfindung]Embodiments of the Invention

Im Folgenden wird eine angemessene Ausführungsform dieser Erfindung anhand der beigefügten Figuren im Einzelnen erläutert. In dieser Patentschrift sowie den Figuren werden für im Wesentlichen identische funktionelle Strukturen und Elemente identische Symbole verwendet, um sich überlappende Erläuterungen auszusparen.Hereinafter, an appropriate embodiment of this invention will be explained in detail with reference to the accompanying drawings. In this specification and figures, identical symbols are used for substantially identical functional structures and elements to avoid overlapping explanations.

<<Beispiel für den grundsätzlichen Aufbau des im Fahrzeug eingebauten Netzwerks >><< Example of the basic structure of the in-vehicle network >>

Zum Beispiel ist 1 ein Beispiel für den Aufbau der im Steuernetzwerk 10 miteinander verbundenen, im Fahrzeug eingebauten mehreren Steuervorrichtungen (ECU: Electronic Control Unit).For example 1 an example of the structure of the control network 10 interconnected vehicle-mounted multiple control devices (ECU: Electronic Control Unit).

Das in der Figur dargestellte Steuernetzwerk 10 umfasst das Karosserie CAN Netzwerk 20 und das Fahrgestell/Antriebsstrang CAN Netzwerk 30. Das Karosserie CAN Netzwerk 20 und das Fahrgestell/Antriebsstrang CAN Netzwerk 30 können über das Gateway ECU 50h miteinander kommunizieren.The control network shown in the figure 10 includes the body CAN network 20 and the chassis / powertrain CAN network 30 , The body CAN network 20 and the chassis / powertrain CAN network 30 can through the gateway ECU 50h communicate with each other.

Das Karosserie CAN Netzwerk 20 und das Fahrgestell/Antriebsstrang CAN Netzwerk 30 umfassen mehrere untereinander kommunizierfähig über die jeweiligen CAN (Controller Area Network) Kommunikationsleitung angeschlossene Steuerteile 50a-50h (im Folgenden sofern nicht besonders erforderlich, zusammenfassend als Steuervorrichtung 50 bezeichnet).The body CAN network 20 and the chassis / powertrain CAN network 30 a plurality of mutually communicable via the respective CAN (Controller Area Network) communication line connected control parts 50a - 50h (hereinafter unless specifically required, summarizing as a control device 50 designated).

Das Karosserie CAN Netzwerk 20 ist mit Airbag ECU 50a, Karosseriesteuerung ECU 50b, Armaturenbrettsteuerung ECU 50c sowie eine Instrumenten-ECU 50d ausgestattet, die über eine Kommunikationsleitung miteinander kommunizieren können.The body CAN network 20 is with airbag ECU 50a , Body control ECU 50b , Dashboard control ECU 50c and an instrument ECU 50d equipped to communicate with each other via a communication line.

Die Airbag ECU 50a weist vorwiegend Zusammenstöße vom Fahrzeug nach und steuert die Airbags entsprechend. Die Airbag ECU 50a ist über das LIN (Local Internet Network) mit der ECU 50i auf der Beifahrerseite verbunden. The airbag ECU 50a mainly detects collisions from the vehicle and controls the airbags accordingly. The airbag ECU 50a is via the LIN (Local Internet Network) with the ECU 50i connected on the passenger side.

Die Karosseriesteuerung ECU 50b steuert vorwiegend die Klimaanlage, Fensterheber, Scheibenwischer, Türverriegelung sowie die elektrisch betriebene Sitzverstellung. Die Armaturenbrettsteuerung ECU 50c steuert vorwiegend die Anzeigen auf dem Armaturenbrett im Fahrzeug sowie das Einschalten von Licht. Die Instrumenten-ECU 50d steuert vorwiegend den Nachweis und die Aufzeichnung der Fahrzeuggeschwindigkeit sowie die Übertragung der Fahrzeuggeschwindigkeit zu den anderen Teilen.The body control ECU 50b controls mainly the air conditioning, windows, windscreen wipers, door lock and the electrically operated seat adjustment. The dashboard control ECU 50c controls mainly the indications on the dashboard in the vehicle and the switching on of light. The instrument ECU 50d controls mainly the detection and recording of the vehicle speed and the transmission of the vehicle speed to the other parts.

Das Fahrgestell/Antriebsstrang CAN Netzwerk 30 ist mit einer über eine Kommunikationsleitung miteinander kommunizierbaren Automatikgetriebe ECU 50e, Fahrzeugstabilisatorsteuerung ECU 50f sowie Motor-ECU 50g ausgestattet.The chassis / powertrain CAN network 30 is with an over a communication line communicable with each other automatic transmission ECU 50e , Vehicle stabilizer control ECU 50f as well as engine-ECU 50g fitted.

Die Automatikgetriebe ECU 50e steuert vorwiegend das Automatikgetriebe. Die Fahrzeugstabilisatorsteuerung ECU 50f steuert integrativ vorwiegend das Automatikgetriebe, das Bremssystem und den Motor und verhindert, dass das Fahrzeug ins Schleudern gerät. Die Motor-ECU 50g steuert vorwiegend den Motor.The automatic transmission ECU 50e controls mainly the automatic transmission. The vehicle stabilizer control ECU 50f Integrally controls mainly the automatic transmission, the brake system and the engine and prevents the vehicle from skidding. The engine-ECU 50g predominantly controls the engine.

Die obige Beschreibung unter Bezugnahme auf 1 ist ein Beispiel für einen grundlegenden Aufbau eines im Fahrzeug eingebauten Netzwerks.The above description with reference to 1 is an example of a basic structure of a vehicle-mounted network.

<< Die Sicherheit betreffende Überlegungen >><< Safety considerations >>

Auf den Erläuterungen der wesentlichen, die Sicherheit des im Fahrzeug eingebauten Systems betreffenden Punkte basierend werden die technischen Aufgaben des im Fahrzeug eingebauten Systems entsprechend der gleichen Ausführungsform zusammengefasst.Based on the explanations of the essential points concerning the safety of the vehicle-mounted system, the technical tasks of the in-vehicle system according to the same embodiment are summarized.

In den letzten Jahren ist es in Verbindung mit der Entwicklung von Funktechnologien wie DCM oder TCU oder WAN möglich geworden, über das Internet auf die Geräte in Fahrzeugen zuzugreifen und mit externen Geräten Informationen auszutauschen. Eine Anwendung dieser Mechanismen auf verschiedene Dienstleistungen wie automatisches Fahren wird derzeit erörtert.In recent years, in connection with the development of radio technologies such as DCM or TCU or WAN, it has become possible to access the devices in vehicles via the Internet and to exchange information with external devices. An application of these mechanisms to various services such as automatic driving is currently under discussion.

Andererseits findet in Sicherheitskreisen der Umstand Beachtung, dass durch Missbrauch der oben genannten Kommunikationsschnittstellen durch böswillige Angreifer die im Fahrzeug eingebauten Systeme gefährlichen Angriffen ausgesetzt werden können. Mit anderen Worten, indem eine Kommunikation zwischen im Fahrzeug eingebauten Geräten und externen Geräten möglich wird, besteht auch die Gefahr, dass über die betreffende Kommunikationsschnittstelle die im Fahrzeug eingebauten Geräten von außerhalb des Fahrzeugs böswilligen Angriffen ausgesetzt werden können.On the other hand, in safety circles the fact is taken into account that by misuse of the above-mentioned communication interfaces by malicious attackers the systems installed in the vehicle can be exposed to dangerous attacks. In other words, by allowing communication between in-vehicle devices and external devices, there is also a risk that the vehicle-mounted devices may be exposed to malicious attacks from outside the vehicle via the communication interface in question.

In einem konkreten Beispiel könnte ein böswilliger Angreifer versuchen, mit zwecks Ausführung des eigenen böswilligen Code über die oben genannte Kommunikationsschnittstelle die Code der CPU oder des Mikrocontrollers im Fahrzeug zu ändern. Und wenn dann der böswillige Angreifer den Code ausführt, kann dieser im Wesentlichen absichtlich die ECU eine ausführbare Operation ausführen lassen. Dadurch wird es zum Beispiel möglich, dass der Angreifer aufgrund der Erkennungsergebnisse von den verschiedenen im Fahrzeug vorgesehenen Sensoren GPS Daten und dergleichen erfasst. Ferner kann der Angreifer zum Beispiel absichtlich die verschiedenen Stellglieder in Betrieb nehmen. Dadurch kann der Angreifer zum Beispiel absichtlich den Betrieb der Bremsen beziehungsweise verschiedene Motorkomponenten nach Wunsch steuern und dadurch Unfälle verursachen. Im schlimmsten Fall kann der Angreifer zum Beispiel über das Internet die ECU zahlreicher Fahrzeuge angreifen, so dass die betreffenden zahlreichen Fahrzeuge jeweils gleichzeitig sich gefährlich verhalten (zum Beispiel Notbremsung ausführen) können.In a specific example, a malicious attacker could attempt to modify the code of the CPU or microcontroller in the vehicle by executing their own malicious code via the communication interface mentioned above. And then, if the malicious attacker executes the code, it can essentially intentionally let the ECU execute an executable operation. This makes it possible, for example, that the attacker detects GPS data and the like based on the recognition results from the various sensors provided in the vehicle. Further, for example, the attacker may deliberately put the various actuators into operation. This allows the attacker to deliberately control, for example, the operation of the brakes or various engine components as desired and thereby cause accidents. In the worst case, the attacker can, for example, attack the ECUs of numerous vehicles via the Internet so that the numerous vehicles concerned can each behave dangerously at the same time (for example, perform emergency braking).

Vor diesem Hintergrund ist die Gewährleistung der Sicherheit der im Fahrzeug eingebauten Geräte (insbesondere der ECU) eine wichtige Aufgabe. Daher wurden bereits zahlreiche die Sicherheit ECU gewährleistende Techniken vorgeschlagen. Als ein Beispiel für eine solche Technik können HSM (Hardware Security Modules) beziehungsweise IDS (Intrusion Detection Systems) angeführt werden.In this context, ensuring the safety of vehicle-mounted devices (especially the ECU) is an important task. Therefore, numerous safety-ECU techniques have already been proposed. As an example of such a technique, HSM (Hardware Security Modules) or IDS (Intrusion Detection Systems) can be cited.

Die derzeitige Technik konzentriert sich hier auf Schutzmaßnahmen (zum Beispiel für die ECU) gegenüber böswilligen Angriffen, wie zum Beispiel böswillige Angriffe auf die CPU oder Mikrocontroller der ECU oder dergleichen und haben tendenziell vorwiegend die Aufgabe zu gewährleisten, dass die Code der betreffenden Angreifer nicht ausgeführt werden können. Aufgrund dieser Tendenz hat man sich bei Forschungen im Zusammenhang mit den oben genannten Technologien vorwiegend darauf konzentriert, die Nachweisgeschwindigkeit von Sicherheitsverletzungen wie böswilligen Angriffen zu erhöhen.The current technique here focuses on protective measures (for example for the ECU) against malicious attacks, such as malicious attacks on the CPU or microcontrollers of the ECU or the like and tend to have the primary task of ensuring that the code of the attacker concerned is not executed can be. Because of this tendency, research on the above-mentioned technologies has focused primarily on increasing the detection speed of security breaches such as malicious attacks.

Andererseits wird der Wahl von Gegenmaßnahmen bei Nachweis von Sicherheitsprobleme oft eine geringe Priorität zugemessen. Aus diesem Grund können Hersteller sich bei Nachweis von Problemen dazu entschließen, die Funktion der ECU auszuschalten.On the other hand, the choice of countermeasures for detection of security problems is often given a low priority. For this reason, manufacturers may decide to eliminate the function of the ECU if they find any problems.

Als konkretes Beispiel kann bei Auftreten von Problemen mit dem Programm für die ECU über eine OBD (On-board diagnostics) Platine eine Verbindung zu den Endgeräten CAN BAS hergestellt und über die betreffenden Endgeräte dann eine Eigendiagnose der ECU durchgeführt werden, wobei das betreffende Programm umprogrammiert wird. Andererseits, wenn es zu Sicherheitsproblemen kommt und die On-board-Diagnosesysteme ihre Funktion nicht mehr ausführen können, kann eine Umprogrammierung des fehlerhaften Programms schwieg (es kommt zu der Verschrottung genannten („Bricken“) Situation) werden. In diesem Fall besteht eine Tendenz zu steigenden Kosten, wenn die Hersteller bei Auftreten von Sicherheitsproblemen diese nur durch Auswechseln der Hardware lösen können. Insbesondere im Hinblick auf das Angebot von Dienstleistungen wie automatisches Fahren muss davon ausgegangen werden, dass die im Fahrzeug eingebauten Geräte wie die ECU etc. über Netzwerke Infrastrukturinformationen erfassen, so dass die oben beschriebenen Einflüsse sich vorstellbarerweise leicht manifestieren können. As a concrete example, in case of problems with the program for the ECU via an OBD (On-board Diagnostics) board, a connection to the CAN BAS terminals can be made and then a self-diagnosis of the ECU can be made via the respective terminals, whereby the program in question is reprogrammed becomes. On the other hand, if there are security problems and the on-board diagnostic systems can no longer perform their function, reprogramming of the faulty program may be silent (it will come to the scrapping called "bricking" situation). In this case, there is a tendency for costs to increase if, in the event of security problems, manufacturers can only solve them by replacing the hardware. Especially with regard to the provision of services such as automatic driving, it must be assumed that the devices installed in the vehicle, such as the ECU, etc., acquire infrastructure information through networks, so that the influences described above can conceivably easily manifest themselves.

Aus diesem Grund ist es durch Anwendung herkömmlicher Technik zwar möglich die Sicherheit zu verbessern, aber wenn es tatsächlich einmal zu Sicherheitsproblemen kommen sollte, wird die Möglichkeit die Reparaturfunktion der ECU und anderer Geräte auf einem Minimum zu halten beeinträchtigt und eine Reparatur von Störungen schwierig.
Daher besteht die Gefahr, dass die Verlässlichkeit der betreffenden Geräte unter diesen Umständen abnimmt.For this reason, by using conventional technology, it is possible to improve safety, but when security problems are in fact encountered, the possibility of keeping the repair function of the ECU and other equipment to a minimum and repairing a trouble becomes difficult.
Therefore, there is a risk that the reliability of the devices concerned will decrease under these circumstances.

Andererseits ist es aber auch nicht unbedingt gegeben, dass bei Auftreten von Sicherheitsproblemen und Beeinträchtigung der Reparaturfunktionen die den Betrieb des Fahrzeugs betreffenden Funktionen selbst ebenfalls beeinträchtigt sind. Zum Beispiel ist es vorstellbar, dass die CPU der ECU normal funktionieren kann, während es durch unrechtmäßige Anweisungen von Außen zu Störungen der betreffenden ECU kommt. Ausschalten der ECU unter diesen Umständen und Ersatz der betreffenden ECU Hardware kann schwerlich als praktische Lösung bezeichnet werden.On the other hand, it is also not necessarily the case that when safety problems occur and the repair functions are impaired, the functions relating to the operation of the vehicle itself are also impaired. For example, it is conceivable that the CPU of the ECU can function normally while it comes from improper instructions from the outside to faults of the ECU concerned. Turning off the ECU under these circumstances and replacing the affected ECU hardware can hardly be called a practical solution.

Hier ist im Hinblick auf die praktische Umsetzung insbesondere ein Aufbau wünschenswert, bei dem zum Beispiel bei Auftreten von Sicherheitsproblemen und Beeinträchtigung eines Teils der Funktionen nach Möglichkeit die betreffenden Funktionen zwar deaktiviert, gleichzeitig jedoch das Fahrzeug trotzdem weiterhin betrieben werden kann.In this case, with regard to the practical implementation, in particular a construction is desirable in which, for example, when security problems occur and impairment of a portion of the functions, the functions concerned are deactivated as far as possible, but at the same time the vehicle can still continue to be operated.

Unter Berücksichtigung dieser Situation wird in dieser Veröffentlichung eine Technik vorgeschlagen, die erlaubt, auch bei Auftreten von Sicherheitsproblemen angemessene Maßnahmen zu wählen, um die zu schützenden Geräte vor den betreffenden Problemen zu schützen.Taking into account this situation, this publication proposes a technique which allows appropriate measures to be taken even when security problems arise in order to protect the equipment to be protected from the problems in question.

<< Technische Charakteristiken >><< Technical characteristics >>

Im Folgenden werden die technischen Charakteristiken einer Ausführungsform dieser Veröffentlichung eines im Fahrzeug eingebauten Systems erläutert.In the following, the technical characteristics of one embodiment of this publication of a vehicle-mounted system will be explained.

< Sicherheitsüberwachungsteil ><Safety monitoring part>

Ein im Fahrzeug eingebautes System entsprechend der vorliegenden Ausführungsform schützt die einzelnen Geräte des im Fahrzeug eingebauten Systems wie ECU, GW und TCU und dergleichen vor den betreffenden Problemen, indem durch Einführung eines Sicherheitsüberwachungsteils (Security Watchdog) Probleme in Verbindung mit der Sicherheit nachgewiesen werden. In diesem Zusammenhang soll zunächst anhand der 2 ein Beispiel für den funktionellen Aufbau des Sicherheitsüberwachungsteils erläutert werden. 2 ist ein Blockschema für ein Beispiel des funktionellen Aufbaus eines Sicherheitsüberwachungsteils entsprechend einer Ausführungsform dieser Veröffentlichung.A vehicle-mounted system according to the present embodiment protects the individual devices of the on-vehicle system such as ECU, GW, and TCU and the like from the problems involved by detecting security-related problems by introducing a security watchdog. In this context, it should first be based on the 2 an example of the functional structure of the safety monitoring part will be explained. 2 Fig. 12 is a block diagram for an example of the functional construction of a security monitoring part according to an embodiment of this publication.

Wie in 2 dargestellt umfasst der Sicherheitsüberwachungsteil 100 das Verschlüsselungsmodul 101, einen Codegenerator (True Random Number Generator) 103, eine Kommunikationsschnittstelle 105, einen Zeitschalter 107 sowie ein allgemeines InputOutput-Modul (GPIO: General Purpose Input Output) 109. Ferner, der Sicherheitsüberwachungsteil 100 kann auch mehrere allgemeine InputOutput-Module 109 umfassen, wobei dann für jedes allgemeine InputOutput-Modul 109 ein Zeitschalter 107 vorgesehen sein kann.As in 2 The safety monitoring part comprises 100 the encryption module 101 , a code generator (True Random Number Generator) 103 , a communication interface 105 , a timer 107 and a general input-output module (GPIO: General Purpose Input Output) 109 , Furthermore, the safety monitoring part 100 can also have several general InputOutput modules 109 and then for each general input-output module 109 a timer 107 can be provided.

Die Kommunikationsschnittstelle 105 ist eine Kommunikationsschnittstelle zum Datenaustausch zwischen den einzelnen Komponenten innerhalb des Sicherheitsüberwachungsteils 100 sowie verschiedener Geräte außerhalb des Sicherheitsüberwachungsteils 100. Der Aufbau der Kommunikationsschnittstelle 105 kann außerdem je nach dem Netzwerk an welches die betreffende Kommunikationsschnittstelle 105 angeschlossen ist nach Bedarf modifiziert werden. Beispielsweise kann die Kommunikationsschnittstelle 105 als eine Kommunikationsschnittstelle aufgebaut sein, die den UART (Universal Asynchronous Receiver-Transmitter), SPI (Stateful Packet Inspection), CAN beziehungsweise Ethernet (eingetragenes Warenzeichen) und dergleichen Normen entspricht.The communication interface 105 is a communication interface for data exchange between the individual components within the safety monitoring unit 100 and various devices outside the safety monitoring part 100 , The structure of the communication interface 105 can also depend on the network to which the relevant communication interface 105 connected is modified as needed. For example, the communication interface 105 be constructed as a communication interface, which corresponds to the UART (Universal Asynchronous Receiver Transmitter), SPI (Stateful Packet Inspection), CAN or Ethernet (registered trademark) and the like standards.

Das allgemeine InputOutput-Modul 109 überträgt bei Auslösung durch vorgegebene Auslöser vorgegebene Signale zu den über Kabel oder dergleichen Übertragungskanälen angeschlossenen Geräte. In einem konkreten Beispiel kann das allgemeine InputOutput-Modul 109 die ECU wahlweise zwischen einem auszugebenden Enable Signal (für die in der Kommunikationsschnittstelle vorgesehene Enable PIN) und einem Disable Signal umschalten. Mit dieser Steuerung kann erreicht werden, dass über die betreffende Kommunikationsschnittstelle die Datenübertragung ein- oder ausgeschaltet wird.The general InputOutput module 109 when triggered by predetermined trigger transmits predetermined signals to the cable or the like transmission channels connected Equipment. In a concrete example, the general InputOutput module 109 optionally switch the ECU between an enable signal to be output (for the Enable PIN provided in the communication interface) and a disable signal. With this control it can be achieved that the data transmission is switched on or off via the relevant communication interface.

Das allgemeine InputOutput-Modul 109 kann außerdem das oben genannte Signal zum Beispiel auch aufgrund der Zeitmessergebnisse über den Zeitschalter 107 absenden. Ferner, in einem anderen Beispiel sendet das allgemeine InputOutput-Modul 109 das oben genannte Signal, wenn es dazu durch ein vorgegebenes Ereignis angeregt wurde. In den nachstehenden Erläuterungen sendet das allgemeine InputOutput-Modul 109 aufgrund der Zeitmessergebnisse das oben genannte Signal über den Zeitschalter 107.The general InputOutput module 109 may also be the above-mentioned signal, for example, also due to the timing results on the timer 107 send. Further, in another example, the general input-output module sends 109 the above signal, if it was stimulated by a given event. In the explanations below, the general InputOutput module sends 109 due to the timing results, the above-mentioned signal via the timer 107 ,

Der Zeitschalter 107 hat eine Zeitmessfunktion, so dass nach Ablauf einer eingestellten Zeitspanne die betreffende Zeitspanne dem allgemeinen InputOutput-Modul 109 mitgeteilt wird. Außerdem kann der Zeitschalter 107 entsprechend vorgegebener Anweisungen die Messung der eingestellten Zeitspanne neu einstellen. Die oben genannte Zeitspanne kann außerdem auch Anweisungen von Außen folgend geändert werden.The timer 107 has a timing function, so that after a set period of time, the time span concerned the general InputOutput module 109 is communicated. In addition, the timer can 107 reset the measurement of the set period of time according to the instructions given. In addition, the above-mentioned period of time may be changed following instructions from outside.

Das Verschlüsselungsmodul 101 umfasst den Zertifizierungsverarbeitungsteil 111 und den Steuerteil 113. Indem der Zertifizierungsverarbeitungsteil 111 über die Kommunikationsschnittstelle 105 auf eine vorgegebene Sicherheit Zertifizierungsstelle (SA: Security Authority) zugreift, wird die Zertifizierungsverarbeitung in Relation zu der betreffenden Sicherheit Zertifizierungsstelle durchgeführt. Ferner, wenn der Zertifizierungsverarbeitungsteil 111 eine Authentifizierung in Relation zu der Sicherheit Zertifizierungsstelle durchführen kann, braucht die Wahl des betreffenden Zertifizierungsverfahrens nicht besonders festgelegt werden.The encryption module 101 includes the certification processing part 111 and the control part 113 , By the certification processing part 111 via the communication interface 105 Accessing a given security certification authority (SA), the certification processing is performed in relation to the security authority concerned. Further, when the certification processing part 111 To perform authentication in relation to the security certification authority, the choice of the relevant certification procedure does not need to be specially defined.

Zum Beispiel kann für das oben genannte Zertifizierungsverfahren ein Challenge-Response-Verfahren angewandt werden. In diesem Fall kann der Zertifizierungsverarbeitungsteil 111 zum Beispiel anhand der von dem später noch beschriebenen Codegenerator 103 produzierten Code zur Authentifizierung mit der Sicherheit Zertifizierungsstelle eingesetzt werden.For example, a challenge-response method can be used for the above-mentioned certification method. In this case, the certification processing part 111 for example, using the code generator described later 103 produced code to be used for authentication with the security certification authority.

Konkret bedeutet dies, dass der Zertifizierungsverarbeitungsteil 111 sich mit der Sicherheit Zertifizierungsstelle Keystore-Informationen 190 teilt. Der Zertifizierungsverarbeitungsteil 111 verschlüsselt die vom Codegenerator 103 erzeugen Code (Herausforderungen) mit den Keystore-Informationen 190 und sendet diese Code dann nach der Verschlüsselung an die Sicherheit Zertifizierungsstelle. Weiterhin, der Zertifizierungsverarbeitungsteil 111 empfängt als Antwort dann von der Sicherheit Zertifizierungsstelle verschlüsselte Code, wobei die betreffenden verschlüsselten Code anschließend dann anhand der Keystore-Informationen 190 dekodiert werden und prüft in einem Vergleich mit dem auf den Dekodierergebnissen basierenden Code (Herausforderungen), ob die Authentifizierung richtig oder falsch ist (mit anderen Worten, eine korrekte Antwort auf die Herausforderung erhalten wurde).Specifically, this means that the certification processing part 111 Contact the security certification authority keystore information 190 Splits. The certification processing part 111 encrypts those from the code generator 103 generate code (challenges) with the keystore information 190 and then sends this code after encryption to the security certification authority. Furthermore, the certification processing part 111 In response, the security authority then receives encrypted code from the security authority, with the encrypted code in question then based on the keystore information 190 decodes and checks in a comparison with the code based on the decoding results (challenges) whether the authentication is right or wrong (in other words, a correct answer to the challenge was obtained).

Im Folgenden verwendet der Zertifizierungsverarbeitungsteil 111 den vom Codegenerator 103 generierten Code im Rahmen eines Challenge-Response-Verfahrens, um eine Authentifizierung mit der Sicherheit Zertifizierungsstelle durchzuführen.In the following, the certification processing part uses 111 from the code generator 103 generated code as part of a challenge-response process to perform authentication with the security certification authority.

Der Steuerteil 113 steuert das Senden der auf den Authentifizierungsergebnissen von der Sicherheit Zertifizierungsstelle basierenden Signalen vom allgemeinen InputOutput-Modul 109.The control part 113 controls the sending of the signals based on the authentication results from the security certification authority from the general InputOutput module 109 ,

In einem konkreten Beispiel kann der Zeitschalter 107 neu eingestellt werden, wenn die Authentifizierung zwischen Steuerteil 113 und Sicherheit Zertifizierungsstelle erfolgreichen war. Dabei kann der Steuerteil 113 ferner auch die vom Zeitschalter 107 gemessenen Zeitspannen ändern. Durch diese Steuerung wird die Dauer der Verarbeitung aufgrund der Zeitmessung durch den Zeitschalter 107 aktualisiert (zum Beispiel verlängert). Ferner, während der Verarbeitung aufgrund der Zeitmessung durch den Zeitschalter 107 kann zum Beispiel das allgemeine InputOutput-Modul 109 ein Enable-Pegelsignal an den in der Kommunikationsschnittstelle der ECU vorgesehene Enable-Anschluss (mit anderen Worten ein Enable-Signal) senden. In diesem Fall wird zum Beispiel über die betreffende Kommunikationsschnittstelle der Zugriff auf bestimmte Komponenten aktiviert.In a concrete example, the timer can 107 to be reset if the authentication between control part 113 and security certification authority was successful. In this case, the control part 113 also from the timer 107 change measured periods. By this control, the duration of processing due to the timing by the timer 107 updated (for example, extended). Further, during processing due to the timing by the timer 107 can, for example, the general InputOutput module 109 send an enable level signal to the enable terminal (in other words an enable signal) provided in the communication interface of the ECU. In this case, for example, the access to certain components is activated via the relevant communication interface.

Wenn die Authentifizierung zwischen dem Steuerteil 113 und der Sicherheit Zertifizierungsstelle fehlschlägt, kann die Verarbeitung zur Neueinstellung des Zeitschalters 107 beziehungsweise eine Aktualisierung der vom Zeitschalter 107 gemessenen Zeitspannen auch unterlassen werden. Wenn unter diesen Umständen eine vorgegebene Zeit abgelaufen und die Verarbeitung der Zeitmessung durch den Zeitschalter 107 abgeschlossen ist, kann zum Beispiel das allgemeine InputOutput-Modul 109 ein Enable-Pegelsignal an die in der Kommunikationsschnittstelle der ECU vorgesehene Enable-Anschluss (mit anderen Worten ein Disable-Signal) senden. Dadurch wird erreicht, dass zum Beispiel über die betreffende Kommunikationsschnittstelle der Zugriff auf bestimmte Komponenten deaktiviert wird.If the authentication between the control part 113 and the security certification authority fails, processing may re-adjust the timer 107 or an update of the time switch 107 measured periods are also omitted. If under these circumstances a predetermined time has expired and the processing of the time measurement by the timer 107 is completed, for example, the general InputOutput module 109 send an enable level signal to the enable terminal (in other words, a disable signal) provided in the communication interface of the ECU. This ensures that, for example, the access to certain components is deactivated via the relevant communication interface.

Der Codegenerator 103 generiert den Code zur Authentifizierung zwischen dem Verschlüsselungsmodul 101 (Zertifizierungsverarbeitungsteil 111) und der Sicherheit Zertifizierungsstelle. In einem konkreten Beispiel kann der Codegenerator 103 mit einem Zufallszahlengenerator ausgestattet sein, wobei die von dem betreffenden Zufallszahlengenerator generierten Zufallszahlen als der oben genannte Code an das Verschlüsselungsmodul ausgegeben werden. The code generator 103 generates the code for authentication between the encryption module 101 (Certification processing part 111 ) and the security certification authority. In a concrete example, the code generator 103 be equipped with a random number generator, wherein the random numbers generated by the respective random number generator are output as the above-mentioned code to the encryption module.

Weiterhin, der Ort, an dem die oben genannte Sicherheit Zertifizierungsstelle eingerichtet wird, ist nicht besonders festgelegt. In einem konkreten Beispiel kann gegenüber lokalen HSM oder IDS auch eine der oben genannte Sicherheit Zertifizierungsstelle entsprechende Funktion vorgesehen werden. Mit anderen Worten, die oben genannte HSM oder IDS können auch die Funktion der oben genannten Sicherheit Zertifizierungsstelle ausüben. Es ist außerdem auch möglich, dass der im Fahrzeug vorgesehene Sicherheitsüberwachungsteil 100 und sich davon unterscheidende andere Geräte (zum Beispiel über das im Fahrzeug eingebaute Netzwerk angeschlossene Geräte) mit einer der oben genannten Sicherheit Zertifizierungsstelle entsprechenden Funktion ausgestattet ist. Weiterhin kann auch der Server für das Schlüssel-Fernmanagement (KMS: Key Management Service) Server die Aufgabe der oben genannten Sicherheit Zertifizierungsstelle übernehmen.Furthermore, the location where the above-mentioned security certification authority is established is not particularly specified. In a concrete example, in contrast to local HSM or IDS, a function corresponding to the above-mentioned security certification authority can also be provided. In other words, the above-mentioned HSM or IDS can also perform the function of the above-mentioned security certification authority. It is also possible that the provided in the vehicle safety monitoring part 100 and distinguishing other devices (for example, via the vehicle-mounted network connected devices) is equipped with a function corresponding to the above-mentioned safety certification authority. Furthermore, the server for the key remote management (KMS: Key Management Service) server can take over the task of the above-mentioned security certification authority.

Oben wurde anhand der 2 ein Beispiel für den funktionellen Aufbau des Sicherheitsüberwachungsteils erläutert. Ein konkretes Beispiel der einzelnen Steuerungen durch den Sicherheitsüberwachungsteil wird gemeinsam mit der Anwendung des betreffenden Sicherheitsüberwachungsteils nachstehend noch gesondert erläutert.Above was based on the 2 an example of the functional structure of the safety monitoring part explained. A concrete example of the individual controls by the security monitoring part will be explained separately below, together with the application of the relevant security monitoring part.

<Anwendungsbeispiele auf Kraftfahrzeug-ECU ><Application examples on motor vehicle ECU>

Anschließend wird als Beispiel für die Anwendung eines Sicherheitsüberwachungsteil zur Steuerung von Kraftfahrzeug-ECU entsprechend der vorliegenden Ausführungsform erläutert, wie dieses betreffende Sicherheitsüberwachungsteil den Betrieb des Kraftfahrzeugs steuert. Zum Beispiel ist 3 ein den funktionellen Aufbau der betreffenden Kraftfahrzeug-ECU darstellendes Blockdiagramm, welches ein Beispiel für die Anwendung eines Sicherheitsüberwachungsteil entsprechend der vorliegenden Ausführungsform erläutert, wobei die Anwendung des Sicherheitsüberwachungsteil auf die Kraftfahrzeug-ECU aufgezeigt wird.Next, as an example of the application of a safety control part for controlling automotive ECU according to the present embodiment, it will be explained how this related safety monitoring part controls the operation of the motor vehicle. For example 3 a block diagram illustrating the functional structure of the motor vehicle ECU concerned, which illustrates an example of the application of a security monitoring part according to the present embodiment, showing the application of the security monitoring part to the motor vehicle ECU.

Wie in 3 dargestellt ist, umfasst die ECU310 den Hauptsteuerteil 311, den Nachweisteil 313, den Stellgliedtreiber 315, die Kommunikationsschnittstelle 317 und den Sicherheitsüberwachungsteil 100. Ferner, der Sicherheitsüberwachungsteil 100 entspricht dem anhand der 2 erläuterten Sicherheitsüberwachungsteil 100.As in 3 is shown, the ECU comprises 310 the main control part 311 , the detection part 313 , the actuator driver 315 , the communication interface 317 and the security monitoring part 100 , Furthermore, the safety monitoring part 100 corresponds to the basis of the 2 explained safety monitoring part 100 ,

Der Nachweisteil 313 ist für die Sammlung von Informationen von Außen aufgebaut. Zum Beispiel kann der Nachweisteil 313 aus verschiedenen Sensorarten wie Beschleunigungssensor und Drucksensoren aufgebaut sein. Außerdem kann der Nachweisteil 313 auch in Form von Knöpfen oder dergleichen als Schnittstelle für die Eingabe von Informationen von außen in die ECU 310 dienen.The detection part 313 is built for the collection of information from outside. For example, the detection part 313 be constructed of different types of sensors such as acceleration sensor and pressure sensors. In addition, the detection part 313 also in the form of buttons or the like as an interface for entering information from the outside into the ECU 310 serve.

Der Stellgliedtreiber 315 kann zum Beispiel den Antrieb der einzelnen am Betrieb des Fahrzeug beteiligten Stellglieder (zum Beispiel das in 3 dargestellte Stellglied 331) steuern. Als betreffende Komponenten können zum Beispiel die Bremse, Lichtanlage, Motor und dergleichen genannt werden.The actuator driver 315 For example, the drive of the individual actuators involved in the operation of the vehicle (for example, the in 3 illustrated actuator 331 ) Taxes. As concerned components, for example, the brake, lighting system, motor and the like may be mentioned.

Die Kommunikationsschnittstelle 317 ist eine Kommunikationsschnittstelle zur Datenübertragung zwischen den einzelnen Komponenten in der ECU 310 und den externen Geräten der betreffenden ECU 310.The communication interface 317 is a communication interface for data transfer between the individual components in the ECU 310 and the external devices of the ECU concerned 310 ,

In einem konkreten Beispiel kann die Kommunikationsschnittstelle 317 als eine Kommunikationsschnittstelle aufgebaut sein, die auf die CAN und dergleichen im Fahrzeug eingebaute Netzwerke zugreift. Dadurch wird möglich, dass die einzelnen Komponenten innerhalb der ECU 310 (zum Beispiel der später noch beschriebene Hauptsteuerteil 311) über die betreffende Kommunikationsschnittstelle 317 Informationen mit anderen ECU 310 austauscht. Ferner, in einem anderen Beispiel kann die Kommunikationsschnittstelle 317 auch als eine Kommunikationsschnittstelle aufgebaut sein, die auf den fahrzeugexterne Netzwerken wie ein Internet 350 zugreift. Dadurch wird möglich, dass die einzelnen Komponenten innerhalb der ECU 310 über die betreffenden Netzwerke mit fahrzeugexternen Geräten Informationen austauschen. Ferner, kann die Kommunikationsschnittstelle 317 auch als eine Kommunikationsschnittstelle aufgebaut sein, die auf das Funknetzwerk 360 zugreift. Dadurch wird möglich, dass die einzelnen Komponenten innerhalb der ECU 310 über das betreffende Funknetzwerk mit anderen Geräten Informationen austauschen.In a concrete example, the communication interface 317 be constructed as a communication interface that accesses the CAN and the like built-in networks in the vehicle. This will allow the individual components within the ECU 310 (For example, the main control section described later 311 ) via the relevant communication interface 317 Information with other ECU 310 exchanges. Further, in another example, the communication interface 317 also be built as a communication interface on the vehicle external networks such as an Internet 350 accesses. This will allow the individual components within the ECU 310 exchange information with other vehicles via the networks concerned. Furthermore, the communication interface 317 also be constructed as a communication interface pointing to the wireless network 360 accesses. This will allow the individual components within the ECU 310 Exchange information with other devices via the wireless network in question.

Indem eine derartige Kommunikationsschnittstelle 317 vorgesehen ist, können die einzelnen Komponenten innerhalb der ECU 310 auch andere als die vom Nachweisteil 313 erfassten Informationen von außerhalb der ECU 310 Informationen erfassen. Ferner, der Aufbau der einzelnen Bauteile innerhalb der ECU 310 ermöglicht die Übertragung verschiedener Informationen (zum Beispiel die vom Nachweisteil 313 erfassten Informationen und dergleichen) an außerhalb der betreffenden ECU 310 liegende externe Geräte (zum Beispiel Sendungen).By such a communication interface 317 is provided, the individual components within the ECU 310 also other than the proof part 313 collected information from outside the ECU 310 Collect information. Furthermore, the structure of the individual components within the ECU 310 allows the transmission of various information (for example, that of the proof section) 313 collected information and the like) outside the ECU concerned 310 external devices (for example consignments).

Der Steuerteil 311 steuert die einzelnen Funktionen der ECU 310. Der Steuerteil 311 kann beispielsweise aus einer beziehungsweise mehreren CPUs (oder aber Mikrocontrollern) realisiert werden und führt die implementierten Logiken aus. The control part 311 controls the individual functions of the ECU 310 , The control part 311 can for example be realized from one or more CPUs (or microcontrollers) and executes the implemented logic.

Als ein konkretes Beispiel kann angeführt werden, dass wenn der Hauptsteuerteil 311 über den Nachweisteil 313 eine plötzliche Abbremsung nachweist, durch Aktivierung des das Airbag Stellglied 331 steuernden Stellgliedtreibers 315 der betreffende Airbag aktiviert werden kann. In einem anderen Beispiel kann außerdem durch Aktivierung des das Stellglied 331 der Bremse steuernde Stellgliedtreibers 315 die betreffende Bremse aktiviert werden, wenn der Hauptsteuerteil 311 über das ADAS (Advanced Driver Assistance System) ein Hindernis nachweist.As a concrete example, it may be stated that if the main control part 311 via the detection section 313 Detects a sudden deceleration, by activating the airbag actuator 331 controlling actuator driver 315 the relevant airbag can be activated. In another example, in addition, by activating the actuator 331 the brake controlling actuator driver 315 the brake in question are activated when the main control part 311 detecting an obstacle via the ADAS (Advanced Driver Assistance System).

Der Sicherheitsüberwachungsteil 100 teilt mit der Sicherheit Zertifizierungsstelle 200 Schlüsselinformationen. Weiterhin, in den nachstehenden Erläuterungen werden die im Sicherheitsüberwachungsteil 100 gespeicherten betreffenden Schlüsselinformationen „Schlüsselinformationen 190“ und die betreffenden in der Sicherheit Zertifizierungsstelle 200 gespeicherten Schlüsselinformationen „Schlüsselinformationen 190“ genannt. Als ein konkretes Beispiel kann angeführt werden, dass bei Anwendung eines Public-Key-Verschlüsselungsverfahrens die Sicherheit Zertifizierungsstelle 200 als Schlüsselinformationen 195 Geheimschlüssel speichert und der Sicherheitsüberwachungsteil 100 als Schlüsselinformationen 190 in Verbindung mit dem Geheimschlüssel einen öffentlichen Schlüssel hat. Dabei ist es schwierig zu erkennen, ob es Unterschiede im Aufbau der Schlüsselinformationen 190 in dem Sicherheitsüberwachungsteil 100 und sich von dem betreffenden Sicherheitsüberwachungsteil 100 unterscheidenden Strukturen (zum Beispiel den Hauptsteuerteil 311) gibt.The safety monitoring part 100 shares with the security certification authority 200 Key information. Furthermore, in the following explanations, the safety monitoring part 100 stored key information "key information 190 "And the relevant in the security certification body 200 stored key information called "key information 190". As a specific example, it may be stated that when using a public-key encryption method, the security certification authority 200 as key information 195 Secret key stores and the security monitoring part 100 as key information 190 has a public key in connection with the secret key. It is difficult to see if there are differences in the structure of the key information 190 in the security monitoring part 100 and of the security surveillance part in question 100 distinctive structures (for example, the main control section 311 ) gives.

Außerdem steuert der Sicherheitsüberwachungsteil 100, ob die einzelnen Bauteile in der ECU 310 (zum Beispiel zumindest ein Element unter dem Hauptsteuerteil 311, Nachweisteil 313, Stellgliedtreiber 315 und der Kommunikationsschnittstelle 317) entweder aktiviert oder deaktiviert werden. Mit anderen Worten, der Sicherheitsüberwachungsteil 100 aktiviert oder deaktiviert die einzelnen Bauteile in der ECU 310 in Abhängigkeit von den Authentifizierungsergebnissen in Relation zu der Sicherheit Zertifizierungsstelle 200. Zu diesem Zeitpunkt sollte wünschenswerterweise eine direkte Aktivierung oder Deaktivierung der einzelnen Bauteile in der ECU 310 durch den Hauptsteuerteil 311 begrenzt sein. Dadurch wird es schwierig, dass der Hauptsteuerteil 311 ohne Zwischenschaltung des Sicherheitsüberwachungsteils 100 andere Strukturen aktiviert oder deaktiviert.In addition, the safety monitoring part controls 100 whether the individual components in the ECU 310 (For example, at least one element under the main control part 311 , Detection section 313 , Actuator driver 315 and the communication interface 317 ) are either activated or deactivated. In other words, the security monitoring part 100 Enables or disables the individual components in the ECU 310 depending on the authentication results in relation to the security certification authority 200 , At this point, desirably, a direct activation or deactivation of the individual components in the ECU 310 through the main control section 311 be limited. This will make it difficult for the main control part 311 without the interposition of the safety monitoring unit 100 other structures enabled or disabled.

Der Sicherheitsüberwachungsteil 100 kann zum Beispiel pro Zeitintervall Herausforderungen an die Sicherheit Zertifizierungsstelle 200 senden und dann von dieser Sicherheit Zertifizierungsstelle 200 Antworten auf die betreffenden Herausforderungen empfangen. Wenn die Sicherheit Zertifizierungsstelle 200 ein Sicherheitsproblem nachgewiesen hat, unterbricht diese die Sendung von Antworten auf die vom Sicherheitsüberwachungsteil 100 gesendeten Herausforderungen. In diesem Fall kommt es im Sicherheitsüberwachungsteil 100 zu einer Zeitüberschreitung und durch Sendung eines Disable-Signals an die gewünschten Bauteile in der ECU 310 werden die betreffenden Bauteile abgeschaltet.The safety monitoring part 100 For example, per time interval challenges the security certification authority 200 send and then from this security certification authority 200 Responding to the challenges received. If the security certification authority 200 has proven a security problem, it interrupts the sending of replies to the security surveillance part 100 sent challenges. In this case, it comes in the security monitoring part 100 at a timeout and by sending a disable signal to the desired components in the ECU 310 the relevant components are switched off.

In einem konkreten Beispiel wird der Zugriff von außerhalb der ECU 310 zumindest auf einen Teil der Bauteile innerhalb der ECU 310 begrenzt, wenn es im Sicherheitsüberwachungsteil 100 zu einer Zeitüberschreitung kommt und über die Kommunikationsschnittstelle 317 ein Teil der Funktionen abgeschaltet wird. Ferner, indem der Sicherheitsüberwachungsteil 100 den Nachweisteil 313 deaktiviert, werden die am Nachweis der verschiedenen Informationen beteiligten Funktionen vorübergehend ebenfalls abgeschaltet. Indem der Sicherheitsüberwachungsteil 100 außerdem den Stellgliedtreiber 315 deaktiviert, wird auch das Auftreten unzulässiger Steuerungen der vom Stellgliedtreiber 315 kontrollierten Stellglieder 331 verhindert.In a concrete example, access is from outside the ECU 310 at least some of the components inside the ECU 310 limited if it is in the security surveillance section 100 comes to a timed out and over the communication interface 317 a part of the functions is switched off. Further, by the safety monitoring part 100 the detection part 313 disabled, the functions involved in verifying the various information are also temporarily disabled. By the safety monitoring part 100 also the actuator driver 315 deactivated, the occurrence of impermissible controls by the actuator driver 315 controlled actuators 331 prevented.

Auf die oben beschriebene Weise wird bei der ECU 310 entsprechend dieser Ausführungsform ein Teil der Funktionen (zum Beispiel zumindest ein Teil der Funktionen innerhalb der ECU 310) bei Nachweis eines Sicherheitsproblems durch die Sicherheit Zertifizierungsstelle 200 aufgrund der Authentifizierungsergebnisse der besagten Sicherheit Zertifizierungsstelle 200 über den Sicherheitsüberwachungsteil 100 deaktiviert. Durch diese Steuerung wird erreicht, dass auch bei Auftreten von Sicherheitsproblemen wichtige Komponenten (zum Beispiel Bremsstellglieder und dergleichen) durch Deaktivierung die ECU 310 ohne Ausschalten der CPU oder der Mikrocontroller geschützt werden können.In the manner described above is in the ECU 310 According to this embodiment, a part of the functions (for example, at least part of the functions within the ECU 310 ) if proof of a safety problem by the safety certification authority 200 based on the authentication results of said security certification authority 200 via the security monitoring section 100 disabled. By this control it is achieved that even when security problems occur important components (for example, brake actuators and the like) by deactivating the ECU 310 can be protected without switching off the CPU or the microcontroller.

Auf diese Weise wird es durch Anwendung der Technik entsprechend dieser Ausführungsform möglich, zum Beispiel die ECU ohne die CPU oder den Mikrocontroller vorübergehend oder permanent abzuschalten einen Teil der Module effektiv zu deaktivieren (zum Beispiel in den abgesicherten Modus umzuschalten). Dadurch kann zum Beispiel erreicht werden, dass es dem Hersteller der ECU auch bei Auftreten schwerwiegender Sicherheitsvorfällen möglich ist, die ECU zu diagnostizieren oder zu reparieren, ohne diese auswechseln zu müssen. Dadurch wird außerdem auch erreicht, dass im Vergleich zu einem physikalischen Ersatz der ECU die Kosten für die Korrekturmaßnahmen bei Auftreten von Sicherheitsvorfällen gesenkt werden können.In this way, by applying the technique according to this embodiment, it becomes possible to temporarily or permanently shut down the ECU without effectively deactivating the part (for example, switching to the safe mode) without the CPU or the microcontroller. This can, for example, make it possible for the ECU manufacturer to be able to diagnose or repair the ECU without having to replace it, even in the event of serious security incidents. It also means that, compared to a physical replacement of the ECU, the cost of the corrective actions can be reduced if security incidents occur.

Wie oben beschrieben ist der Installationsort für die Sicherheit Zertifizierungsstelle 200 nicht besonders festgelegt und ein Fernserver kann beispielsweise ebenfalls die Aufgabe der Sicherheit Zertifizierungsstelle 200 übernehmen. Wenn ein Fernserver auf diese Weise die Aufgabe der Sicherheit Zertifizierungsstelle 200 übernimmt, ist es zum Beispiel möglich, dass bei Gefahr von Sicherheitsvorfällen die gefährdeten Funktionen im Voraus zum Schutz abgeschaltet werden.As described above, the installation site for the security certification authority 200 For example, a remote server may also not have the task of security certification authority 200 take. If a remote server in this way the task of security certification authority 200 For example, if there is a risk of a security incident, the vulnerable functions can be switched off in advance for protection.

Dadurch kann beispielsweise erreicht werden, dass das IDS dem ADAS System gegenüber bei Nachweis eines weltweiten Angriffes der Hersteller (zum Beispiel ein Autohersteller) das ADAS fernbedient deaktiviert und so die Passagiere schützt.This can be achieved, for example, that the IDS the ADAS system against detection of a worldwide attack by the manufacturer (for example, an automaker), the ADAS remotely disabled and thus protects the passengers.

Weiterhin, wenn Sicherheitslücken gefunden werden, können ECU Funktionen vorübergehend solange deaktiviert werden, bis die Hersteller eine aktualisierte Software anbieten. Unter diesen Umständen kann der Hersteller die jeweiligen Fernserver derart steuern, dass der betreffende Fernserver nicht auf von dem betreffenden Sicherheitsüberwachungsteil 100 in der ECU gesendete Herausforderungen antwortet (indem der Fernserver beispielsweise deaktiviert wird). Dadurch wird erreicht, dass bei Zeitüberschreitungen des Sicherheitsüberwachungsteils 100 die Funktionen in der ECU durch den betreffenden Sicherheitsüberwachungsteil 100 abgeschaltet werden.Furthermore, if security vulnerabilities are found, ECU functions may be temporarily disabled until manufacturers provide updated software. Under these circumstances, the manufacturer may control the respective remote servers so that the remote server in question is not open to the security monitoring part concerned 100 Challenges sent to the ECU (for example, disabling the remote server). This ensures that when the safety monitoring part times out 100 the functions in the ECU by the relevant safety monitoring part 100 be switched off.

Außerdem lässt die Anwendung der Technik entsprechend dieser Ausführungsform erwarten, dass Gefahren durch Hardware trojanische Pferde oder Hintertüren reduziert werden können.Moreover, the application of the technique according to this embodiment would expect hazards to be reduced by hardware Trojan horses or back doors.

Konkret bedeutet dies, dass es für Hersteller der ECU schwierig ist, vollkommene Maßnahmen zur Verhinderung von Sicherheitsrisiken wie die Hardware angreifende trojanische Pferde und dergleichen im Voraus auf der Stufe der Planung beziehungsweise Herstellung der CPUs und Mikrocontroller zu ergreifen. Unter diesen Umständen kann die Ausstattung mir unabhängigen Sicherheitsüberwachungsteilen (Security Watchdog) für die CPUs und Mikrocontroller die Verlässlichkeit der ECU auch dann gewährleisten, wenn eine Verlässlichkeit der CPUs und Mikrocontroller nicht gegeben ist.Concretely, this means that it is difficult for manufacturers of the ECU to take complete measures for preventing security risks such as hardware attacking Trojan horses and the like in advance at the stage of designing the CPUs and microcontrollers. Under these circumstances, providing independent security watchdogs for the CPUs and microcontrollers can ensure the reliability of the ECU even when CPUs and microcontrollers are not reliable.

Vorstehend ist eine Beschreibung der Anwendung von Sicherheitsüberwachungsteilen entsprechend dieser Ausführungsform unter Bezugnahme auf 3 für ein Beispiel der Anwendung des betreffenden Sicherheitsüberwachungsteils auf die Steuerung des Betriebs eines Fahrzeugs mittels Kraftfahrzeug-ECU.Above is a description of the application of safety monitoring parts according to this embodiment with reference to FIG 3 for an example of the application of the relevant safety monitoring part to the control of the operation of a vehicle by means of a motor vehicle ECU.

< 3.3 Anwendungsbeispiel eines Gateway (GW) ><3.3 Application example of a gateway (GW)>

Anschließend wird bei einem anderen Anwendungsbeispiel eines Sicherheitsüberwachungsteil entsprechend dieser Ausführungsform in diesem Beispiel die Anwendung des betreffenden Sicherheitsüberwachungsteils als eine an mehrere im Fahrzeug eingebaute Netzwerke angeschlossenes Gateway (GW) fungierende ECU erläutert.Next, in another application example of a security monitoring part according to this embodiment, the application of the subject security monitoring part as an ECU connected to a plurality of in-vehicle networks (GW) is explained in this example.

Ein Gateway dient dazu, mehrere im Fahrzeug eingebaute unterschiedliche Netzwerke (Teilnetzwerke) miteinander zu verbinden und zwischen den betreffenden mehreren Netzwerken die Übertragung von Informationen zu steuern. Außerdem gibt es im Fahrzeug Netzwerke mit unterschiedlicher Priorität. Konkret bedeutet dies, dass unter mehreren Netzwerken im Vergleich zu anderen Netzwerken die Priorität derjenigen Netzwerke, von denen eine hohe Verlässlichkeit gefordert wird, höher eingestellt wird, als die betreffenden anderen Netzwerke. Noch konkreter formuliert bedeutet dies, dass für Netzwerke die nicht direkt am Betrieb des Fahrzeugs beteiligte Geräte wie die Klimaanlage oder das Infotainment und dergleichen eine niedriger Priorität eingestellt sein kann. Demgegenüber wird für Netzwerke von direkt am Betrieb des Fahrzeugs beteiligten Geräte wie den Fensterhebern oder die Karosserie betreffende ECU (anders formuliert Geräte, bei denen es durch Missbrauch mit höherer Wahrscheinlichkeit zu gefährlichen Situationen kommen kann) eine höhere Priorität eingestellt sein kann.A gateway serves to connect several different networks (subnetworks) built into the vehicle and to control the transmission of information between the several networks concerned. There are also networks with different priorities in the vehicle. Specifically, this means that among several networks, compared to other networks, the priority of those networks that demand high reliability is set higher than the other networks concerned. To put it even more concretely, this means that for networks the devices not directly involved in the operation of the vehicle, such as the air conditioning or infotainment and the like, may be set to a lower priority. On the other hand, for networks of devices directly involved in the operation of the vehicle, such as the window regulators or the bodywork ECU (in other words, devices that are more likely to be dangerous due to misuse), a higher priority may be set.

Zum Beispiel ist 4 ein das Gateway im Umriss beschreibendes Schaubild. In dem in 4 dargestellten Beispiel ist das Gateway 410 an die voneinander unterschiedlichen Netzwerke N41 und N43 angeschlossen, wobei zwischen den betreffenden Netzwerken N41 und N43 der Informationsaustausch gesteuert wird.For example 4 a diagram describing the gateway in outline. In the in 4 example shown is the gateway 410 to the different networks N41 and N43 connected between the networks concerned N41 and N43 the information exchange is controlled.

Das Netzwerk N41 ist schematisch als ein Netzwerk mit hoch eingestellter Priorität dargestellt, an welches die verschiedenen möglicherweise direkt am Betrieb des Fahrzeugs beteiligten Geräte angeschlossen sind. In einem konkreten Beispiel sind an das Netzwerk N41 das ADAS 430, die Lenksäule 440 sowie die Bremsen 450 und dergleichen Komponenten angeschlossen.The network N41 is shown schematically as a network with a high priority, to which the various devices possibly directly involved in the operation of the vehicle are connected. In a concrete example are to the network N41 the ADAS 430 , the steering column 440 as well as the brakes 450 and the like components are connected.

Das Netzwerk N43 ist schematisch als ein Netzwerk (zum Beispiel ein Netzwerk mit niedrigerer Priorität als das Netzwerk 41) mit vergleichsweise niedrig eingestellter Priorität dargestellt, an welches die verschiedenen nicht direkt am Betrieb des Fahrzeugs beteiligten Geräte angeschlossen sind. In einem konkreten Beispiel sind an das Netzwerk N43 das Infotainment 460, die Klimaanlage 470, das Diagnosetool 480 sowie die Lichtanlage 490 und dergleichen Komponenten angeschlossen.The network N43 is schematically as a network (for example, a network with lower priority than the network 41 ) with a comparatively low priority, to which the various devices not directly involved in the operation of the vehicle are connected. In a concrete example are to the network N43 the infotainment 460 , the air conditioner 470 , the diagnostic tool 480 as well as the lighting system 490 and the like components are connected.

Wenn wie oben beschrieben mehrere Netzwerke (Teilnetzwerke) untereinander verbunden sind (insbesondere wenn Netzwerke unterschiedlicher Priorität miteinander verbunden sind), ist es wünschenswert, dass diese derart gesteuert werden, dass nur ein begrenzter Informationsaustausch zwischen den Netzwerken stattfindet. Vor diesem Hintergrund ist eine Gewährleistung der Gateway Sicherheit wichtig. As described above, when multiple networks (subnetworks) are interconnected (especially when networks of different priorities are interconnected), it is desirable that they be controlled such that there is only limited information exchange between the networks. With this in mind, guaranteeing gateway security is important.

Ein konkretes Beispiel wird in 4 dargestellt, wobei angenommen wird, dass das Infotainment 460 den Zustand des ADAS 430 betreffende Informationen anzeigt. In diesem Fall werden beispielsweise die Informationen vom ADAS 430 über das Gateway 410 zum Infotainment 460 übertragen.A concrete example will be in 4 shown, it being assumed that the infotainment 460 the state of the ADAS 430 indicates relevant information. In this case, for example, the information from the ADAS 430 over the gateway 410 to infotainment 460 transfer.

Andererseits ist der Aufbau des Infotainment 460 komplex und die Anlage hat zahlreiche Funktionen, so dass die Gefahr von Sicherheitsrisiken tendenziell höher ist als bei anderen Geräten. Von der Annahme dieser Situation ausgehend ist es notwendig zu gewährleisten, dass auch wenn ein normaler Betrieb des Infotainment 460 über das Gateway 410 schwierig sein sollte, durch Fehlfunktion bedingt nicht Nachrichten übertragen werden, (zum Beispiel Bremssignale etc.) die zu gefährlichen Situationen führen könnten. Zu diesem Zweck sind für das Gateway 410 zahlreiche Sicherheitsmaßnahmen erforderlich.On the other hand, the structure of infotainment 460 complex and the plant has many features, so the risk of security risks tends to be higher than other devices. Starting from the assumption of this situation, it is necessary to ensure that even if a normal operation of infotainment 460 over the gateway 410 should be difficult, due to malfunction not messages are transmitted (for example, brake signals, etc.) which could lead to dangerous situations. For this purpose are for the gateway 410 numerous security measures required.

Als gewöhnliche Maßnahmen können Secure Boot oder Run Time Tuning Detection angeführt werden und mithilfe dieser Maßnahmen wird die Integrität der Mikrocontroller Datenspeicher über das Gateway 410 gewährleistet. Wenn jedoch beim Secure Boot oder der Run Time Tuning Detection ein Fehler nachgewiesen wird, sind die verfügbaren Wahlmöglichkeiten auf ein Reset des Gateway 410 oder eine Deaktivierung des Gateway 410 (mit anderen Worten einen Verschrottung) beschränkt.
In diesem Fall kann es dazu kommen, dass das Gateway 410 dauerhaft nicht mehr diagnostiziert oder aber repariert werden kann.As usual measures can be cited Secure Boot or Run Time Tuning Detection and by using these measures, the integrity of the microcontroller data storage through the gateway 410 guaranteed. However, if an error is detected in Secure Boot or Run Time Tuning Detection, the available choices are to reset the gateway 410 or deactivation of the gateway 410 (in other words a scrapping) limited.
In this case it can happen that the gateway 410 permanently no longer diagnosed or repaired.

In diesem Zusammenhang wird bei dieser Veröffentlichung für das Gateway 410 ein Sicherheitsüberwachungsteil 100 vorgesehen, um die oben genannten Probleme zu lösen und dessen Aufbau an einem Beispiel erläutert.In this context, this publication is for the gateway 410 a security monitoring part 100 provided to solve the above-mentioned problems and whose structure is explained by an example.

Zum Beispiel stellt 5 ein Schaubild für ein anderes Anwendungsbeispiel des Sicherheitsüberwachungsteils entsprechend dieser Ausführungsform dar, wobei der betreffende Sicherheitsüberwachungsteil bei Anwendung auf ein Gateway wie in dem Blockdiagramm der Funktion des betreffenden Gateways aufgebaut ist.For example 5 5 is a diagram for another application example of the security monitoring part according to this embodiment, wherein the security monitoring part concerned is constructed in application to a gateway as in the block diagram of the function of the relevant gateway.

Wie in 5 dargestellt, umfasst das Gateway 410 den Hauptmikrocontroller 411, sowie die CAN Kommunikationsteile 416a und 416b. Der CAN Kommunikationsteil 416a ist wie in 4 dargestellt an das Netzwerk N41 angeschlossen. Ferner, der CAN Kommunikationsteil 416b ist wie in 4 dargestellt an das Netzwerk N43 angeschlossen. Außerdem wird in den nachstehenden Erläuterungen verglichen mit dem Netzwerk N43 eine höhere Sicherheit von dem Netzwerk N41 gefordert. Mit anderen Worten, für das Netzwerk N41 wird eine höhere Priorität eingestellt, als für das Netzwerk N43.As in 5 illustrated, includes the gateway 410 the main microcontroller 411 , as well as the CAN communication parts 416a and 416b , The CAN communication part 416a is like in 4 presented to the network N41 connected. Furthermore, the CAN communication part 416b is like in 4 presented to the network N43 connected. Also, in the remarks below, compared with the network N43 a higher level of security from the network N41 required. In other words, for the network N41 is set higher priority than for the network N43 ,

Der Hauptmikrocontroller 411 umfasst den Steuerteil (CPU) 414, einen Speicher 415, das HSM 413 und den Sicherheitsüberwachungsteil 100. Bei dem in 5 gezeigten Beispiel übernimmt das HSM 413 die Funktion der Sicherheit Zertifizierungsstelle. Aus diesem Grund werden Schlüsselinformationen von dem Sicherheitsüberwachungsteil 100 und dem HSM 413 geteilt. In den nachstehenden Erläuterungen werden die betreffenden im Sicherheitsüberwachungsteil 100 gespeicherten Schlüsselinformationen als „Schlüsselinformationen 190“ und die betreffenden in der HSM 413 (das heißt der Sicherheit Zertifizierungsstelle) gespeicherten Schlüsselinformationen als „Schlüsselinformationen 195“ bezeichnet.The main microcontroller 411 includes the control part (CPU) 414 , a store 415 , the HSM 413 and the security monitoring part 100 , At the in 5 example shown takes over the HSM 413 the function of the security certification authority. For this reason, key information from the security monitoring part 100 and the HSM 413 divided. In the remarks below, the relevant ones are included in the safety monitoring part 100 stored key information as "key information 190" and the relevant in the HSM 413 (that is, the security certification authority) stored key information as "key information 195 ' designated.

Bei dem in Figur dargestellten Beispiel sind die an das Netzwerk N41 angeschlossenen Komponenten Gegenstand Gegenstand des Schutzes. Mit anderen Worten, wenn es zu Sicherheitsproblemen kommt, deaktiviert der Sicherheitsüberwachungsteil 100 den CAN Kommunikationsteil 416a, so dass ein Zugriff auf die betreffenden Komponenten nicht mehr von außerhalb des Netzwerkes N41 physikalisch beschränkt wird und dadurch die betreffenden Komponenten vor böswilligen Angriffen geschützt werden. Im Folgenden werden die Inhalte der betreffenden Funktionen konkret erläutert.In the example shown in Figure, those are to the network N41 connected components subject of protection. In other words, when there are security issues, the security monitoring part disables 100 the CAN communication part 416a , so that access to the relevant components no longer from outside the network N41 is physically limited, thereby protecting the components in question from malicious attacks. The contents of the respective functions are explained in detail below.

Der Steuerteil 414 überträgt Nachrichten zwischen dem CAN Kommunikationsteil 416a und 416b. Mit anderen Worten, wenn der Steuerteil 414 von einem der CAN Kommunikationsteil 416a oder 416b Nachrichten empfängt, überträgt er diese zur entsprechenden anderen Seite. Auf diese Weise werden von an das Netzwerk N41 oder das Netzwerk N43 angeschlossenen Geräten gesendete Nachrichten an die an das andere Netzwerk angeschlossene Geräte übertragen.The control part 414 transmits messages between the CAN communication part 416a and 416b , In other words, if the control part 414 from one of the CAN communication part 416a or 416b Receives messages, it transmits them to the corresponding other page. That way, it's going to be connected to the network N41 or the network N43 connected devices to the devices connected to the other network.

Der Steuerteil 414 hat außerdem die Aufgabe, den Nachrichtenaustausch zwischen dem CAN Kommunikationsteil 416a und 416b (mit anderen Worten dem Netzwerk N41 und dem Netzwerk N43) zu beschränken. Wenn zum Beispiel die vom Steuerteil 414 von einem der CAN Kommunikationsteil 416a oder 416b empfangenen Nachrichten nicht den für diese Nachrichten vorgegebenen Bedingungen entsprechen, wird die Übertragung zur entsprechenden anderen Seite verweigert (das heißt, die Übertragung zur anderen Seite wird blockiert). Durch diese Steuerung wird die Nachrichtenübertragung zwischen dem Netzwerk N41 und dem Netzwerk N43 über das Gateway 410 (Steuerteil 414) beschränkt.The control part 414 also has the task of exchanging messages between the CAN communication part 416a and 416b (in other words the network N41 and the network N43 ). If, for example, the control part 414 from one of the CAN communication part 416a or 416b received messages do not meet the conditions set for these messages the transmission to the other side is denied (that is, the transmission to the other side is blocked). Through this control, the message transmission between the network N41 and the network N43 over the gateway 410 (Control section 414 ).

Der Speicher 415 speichert die einzelnen Informationen vorübergehend oder permanent. Als konkretes Beispiel können die Programmdaten zur Ausführung der vom Steuerteil 414 angebotenen Funktionen (zum Beispiel Programmbibliotheken etc.) oder auch Steuerinformationsdaten im Speicher 415 gespeichert werden. Ferner können auch die zwischen dem CAN Kommunikationsteil 416a und 416b ausgetauschten Informationen (zum Beispiel zumindest ein Teil der Nachrichten) vorübergehend im Speicher 415 gespeichert werden.The memory 415 stores the individual information temporarily or permanently. As a concrete example, the program data for execution of the control part 414 offered functions (for example program libraries etc.) or also control information data in the memory 415 get saved. Furthermore, those between the CAN communication part 416a and 416b exchanged information (for example at least part of the messages) temporarily in memory 415 get saved.

Die HSM 413 können zum Beispiel die im Speicher 415 gespeicherten Informationen regelmäßig überwachen und bei Auftreten von Ungewöhnlichkeiten (zum Beispiel die Sicherheit betreffende Anomalien) die betreffenden Anomalien nachweisen.The HSM 413 for example, those in memory 415 regularly monitor stored information and, if abnormalities occur (eg, anomalies related to safety), prove the anomalies concerned.

Ferner, die HSM 413 können auch als Sicherheit Zertifizierungsstelle fungieren. Mit anderen Worten, wenn die HSM 413 keine Anomalien nachgewiesen haben, wird den vom Sicherheitsüberwachungsteil 100 übertragenen Herausforderungen gegenüber auf der Basis der Schlüsselinformationen 195 eine Antwort generiert und die betreffende Antwort an den betreffenden Sicherheitsüberwachungsteil 100 gesandt. Andererseits, wenn die HSM 413 Ungewöhnlichkeiten (zum Beispiel die Sicherheit betreffende Anomalien) nachgewiesen haben, wird die Übertragung einer Antwort auf die vom Sicherheitsüberwachungsteil 100 übertragenen Herausforderung eingeschränkt. In diesem Fall kommt es im Sicherheitsüberwachungsteil 100 zu einer Zeitüberschreitung beim Zeitschalter.Further, the HSM 413 can also act as a security certification authority. In other words, if the HSM 413 No abnormalities have been detected by the safety monitoring section 100 faced challenges based on key information 195 generates a response and the relevant response to the relevant safety monitoring part 100 sent. On the other hand, if the HSM 413 Unusualities (for example, safety-related anomalies) have been demonstrated, the transmission of an answer to that of the security surveillance part 100 restricted challenge. In this case, it comes in the security monitoring part 100 at a timeout at the timer.

Zwischen Sicherheitsüberwachungsteil 100 und HSM 413 (das heißt der Sicherheit Zertifizierungsstelle) wird in regelmäßigen Abständen eine Authentifizierung durchgeführt. In einem konkreten Beispiel sendet der Sicherheitsüberwachungsteil 100 eine auf der Basis der Schlüsselinformationen 190 generierte Herausforderung an die HSM 413 und dekodiert und authentifiziert die von den betreffenden HSM 413 erhaltende Antwort auf der Basis der Schlüsselinformationen 190. Wenn die Authentifizierung durch den Sicherheitsüberwachungsteil 100 erfolgreich war, wird der Zeitschalter neu eingestellt.Between safety monitoring part 100 and HSM 413 (that is, the security certification authority), an authentication is performed at regular intervals. In a concrete example, the safety monitoring part sends 100 one based on the key information 190 generated challenge to the HSM 413 and decodes and authenticates those from the HSM in question 413 sustaining answer based on the key information 190 , If the authentication by the security monitoring part 100 was successful, the timer is reset.

Andererseits, nur wenn die Authentifizierung durch den Sicherheitsüberwachungsteil 100 erfolgreich war, wird der Zeitschalter neu eingestellt. Mit anderen Worten, wenn die HSM 413 Ungewöhnlichkeiten nachgewiesen haben und die Antwort dem Sicherheitsüberwachungsteil 100 gegenüber beschränkt wurde, läuft der Zähler für den Zeitschalter weiter und dies resultiert dann in einer Zeitüberschreitung. Bei einer Zeitüberschreitung sendet der Sicherheitsüberwachungsteil 100 ein das CAN Kommunikationsteil 416a abschaltendes Signal (das heißt ein Disable-Signal) an das betreffende CAN Kommunikationsteil 416a.On the other hand, only if the authentication by the security monitoring part 100 was successful, the timer is reset. In other words, if the HSM 413 Unusuals have proven and the answer to the safety monitoring part 100 has been limited, the counter for the timer continues to run and this then results in a timeout. If there is a timeout, the security monitoring part sends 100 a the CAN communication part 416a disconnecting signal (ie a disable signal) to the relevant CAN communication part 416a ,

Als konkretes Beispiel ist in dem in 5 dargestellten Beispiel ein Enable-Anschluss 417 für das CAN Kommunikationsteil 416a vorgesehen, damit die auf diesem CAN Kommunikationsteil 416a basierende Datenübertragungsfunktion zwischen Aktivierung und Deaktivierung umgeschaltet werden kann. Mit anderen Worten, das vom Sicherheitsüberwachungsteil 100 übertragene Disable-Signal wird über den Enable-Anschluss 417 in das CAN Kommunikationsteil 416a eingegeben und deaktiviert dadurch dieses CAN Kommunikationsteil 416a.As a concrete example is in the in 5 illustrated example, an enable terminal 417 for the CAN communication part 416a provided so that on this CAN communication part 416a based data transfer function can be toggled between activation and deactivation. In other words, the safety monitoring part 100 transmitted Disable signal is via the Enable connection 417 into the CAN communication part 416a enters and deactivates this CAN communication part 416a ,

Durch den oben beschriebenen Aufbau wird beispielsweise bei Eingriff auf den Steuerteil 414 auch bei Übertragung böswilliger Nachrichten (Signalen) von dem betreffenden Steuerteil 414 an die an das Netzwerk N41 angeschlossenen Komponenten die Übertragung dieser Nachrichten in diesem CAN Kommunikationsteil 416a physikalisch blockiert. Da auch in diesem Zustand das Netzwerk N43 immer noch aktiviert ist, kann mit dem Diagnosetool 480 über das betreffende Netzwerk N43 das Gateway 410 diagnostiziert werden, so dass eine Reparatur des betreffenden Gateway 410 möglich ist.By the construction described above, for example, when engaged on the control part 414 also when transmitting malicious messages (signals) from the relevant control part 414 to the network N41 connected components, the transmission of these messages in this CAN communication part 416a physically blocked. Because even in this state the network N43 still enabled, can with the diagnostic tool 480 over the relevant network N43 the gateway 410 be diagnosed, so that a repair of the relevant gateway 410 is possible.

Bei dem in 5 dargestellten Beispiel werden die HSM 413 und der Sicherheitsüberwachungsteil 100 als separate Bauteile dargestellt, aber die betreffenden HSM 413 und der Sicherheitsüberwachungsteil 100 können auch integriert aufgebaut sein. Ferner kann der die Authentifizierung zwischen den HSM 413 und dem Sicherheitsüberwachungsteil 100 durchführende Teil außerhalb des Gateway 410 vorgesehen sein.At the in 5 Example shown are the HSM 413 and the security monitoring part 100 shown as separate components, but the HSM concerned 413 and the security monitoring part 100 can also be integrated. Furthermore, the authentication between the HSM 413 and the security monitoring part 100 performing part outside the gateway 410 be provided.

Als ein Anwendungsbeispiel für einen Sicherheitsüberwachungsteil entsprechend dieser oben beschriebenen Ausführungsform wird dieser betreffende Sicherheitsüberwachungsteil unter Bezugnahme auf 4 und 5 als ein Beispiel für eine Anwendung auf die Funktion eines an mehrere im Fahrzeug eingebaute Netzwerke angeschlossenen Gateway (GW) ECU erläutert.As an application example of a security monitoring part according to this embodiment described above, this related security monitoring part will be described with reference to FIG 4 and 5 as an example of an application to the function of a gateway (GW) ECU connected to a plurality of in-vehicle networks.

< 3.4 Anwendungsbeispiel als Telematics Communication Unit (TCU) ><3.4 Application example as Telematics Communication Unit (TCU)>

Anschließend wird als Anwendungsbeispiel für einen Sicherheitsüberwachungsteil entsprechend dieser Ausführungsform der betreffende Sicherheitsüberwachungsteil als ein Beispiel für eine Anwendung als Telematics Communication Unit (TCU) erläutert.Next, as an application example of a security monitoring part according to this embodiment, the security surveillance part concerned will be given as an example of one Application as Telematics Communication Unit (TCU) explained.

Die TCU ist ein Bauteil zur Umsetzung der Datenübertragung zwischen dem Fahrzeug und der Außenwelt. 6 ist zum Beispiel ein Schaubild zur Erläuterung einer Anwendung eines Sicherheitsüberwachungsteils entsprechend dieser Ausführungsform, bei dem der betreffende Sicherheitsüberwachungsteil auf die genannte TCU angewandt wird und ein Beispiel für die Funktion der betreffenden TCU als Blockdiagramm dargestellt ist.The TCU is a component for implementing the data transmission between the vehicle and the outside world. 6 For example, Fig. 16 is a diagram for explaining an application of a security monitoring part according to this embodiment, in which the security control part concerned is applied to said TCU and an example of the function of the related TCU is shown as a block diagram.

Die TCU 510 ist wie in 6 dargestellt an das im Fahrzeug eingebaute Netzwerk wie CAN 530 angeschlossen. Zum Beispiel ist die Kommunikationsteile 512 die Kommunikationsschnittstelle für den Anschluss des TCU 510 an das CAN 530schematisch dargestellt. Ferner, die TCU 510 kann auch so aufgebaut sein, dass sie an 3G/4G, Wi/Fi (eingetragenes Warenzeichen) und Bluetooth (eingetragenes Warenzeichen) und dergleichen Funknormen entsprechende Netzwerke angeschlossen werden kann. In der 6 sind die Netzwerke 550, 560 und 570 schematisch als 3G/4G, Wi/Fi (eingetragenes Warenzeichen) und Bluetooth (eingetragenes Warenzeichen) und dergleichen Funknormen entsprechende Netzwerke dargestellt. Ferner, die Kommunikationsteile 513, 514 und 515 zeigen schematisch die an die Netzwerke 550, 560 und 570 angeschlossene TCU. Die TCU 510 kann außerdem auch so aufgebaut sein, dass sie an Infrastrukturen 540 wie Smart City angeschlossen werden kann. Beispielsweise ist eine Kommunikationsschnittstelle für den Anschluss des Kommunikationsteil 512 mittels der TCU 510 an die Infrastruktur 540 schematisch dargestellt.The TCU 510 is like in 6 displayed on the vehicle-mounted network such as CAN 530 connected. For example, the communication parts 512 the communication interface for connecting the TCU 510 to the CAN 530 shown schematically. Further, the TCU 510 may also be constructed so that it can be connected to networks corresponding to 3G / 4G, Wi / Fi (Registered Trade Mark) and Bluetooth (Registered Trade Mark) and the like radio standards. In the 6 are the networks 550 . 560 and 570 schematically represented as 3G / 4G, Wi / Fi (registered trademark) and Bluetooth (registered trademark) and the like radio standards corresponding networks. Further, the communication parts 513 . 514 and 515 schematically show the to the networks 550 . 560 and 570 connected TCU. The TCU 510 It can also be designed to work on infrastructures 540 how Smart City can be connected. For example, a communication interface for the connection of the communication part 512 by means of the TCU 510 to the infrastructure 540 shown schematically.

Wie in 6 dargestellt ist die TCU 510 so aufgebaut, dass sie einschließlich fahrzeuginterner und externer Netzwerke an mehrere Netzwerke angeschlossen werden kann. Mit diesem Aufbau wird erreicht, dass beispielsweise sowohl im Fahrzeug eingebaute Geräte wie auch fahrzeugexterne Geräte über die TCU 510 miteinander Informationen austauschen können. Aus diesem Grund ist die TCU 510 oft an wichtigen Funktionen (zum Beispiel Aufhebung der Türverriegelung und dergleichen) beteiligt, wodurch eine Tendenz zu Sicherheitslücken besteht. Als Beispiel für einen böswilligen Angriff auf die TCU 510 kann ein sogenannter „weltweiter Angriff“ genannt werden. Konkret bedeutet dies, dass bei Vorliegen von Sicherheitslücken in der Schnittstelle der TCU 510 die betreffende Schnittstelle ausgenützt wird, um Computerwürmer und dergleichen zu verbreiten.As in 6 shown is the TCU 510 designed to connect to multiple networks, including in-vehicle and external networks. With this structure it is achieved that, for example, both in-vehicle devices as well as off-board devices via the TCU 510 can exchange information with each other. That's why the TCU 510 often involved in important functions (for example unlocking the door and the like), which tends to create security vulnerabilities. As an example of a malicious attack on the TCU 510 can be called a so-called "worldwide attack". Specifically, this means that in the presence of security vulnerabilities in the interface of the TCU 510 the relevant interface is exploited to spread computer worms and the like.

Um Informationen über die oben beschriebenen Ereignisse (zum Beispiel das Eindringen von Computerwürmern) zu erhalten, kann auch ein IDS eingeführt werden. Allerdings kann sich das Ergreifen von Maßnahmen außer dem Nachweis ausschließlich mit dem IDS als schwierig erweisen.To obtain information about the events described above (for example, the intrusion of computer worms), an IDS can also be introduced. However, taking action other than IDS alone can prove difficult.

Als Maßnahmen bei Ereignissen wie die oben beschriebenen kann die Übertragung einer Programmaktualisierung genannt werden. Andererseits, auf einer Programmaktualisierung basierende Maßnahmen sind nur für TCUs wirksam, die noch nicht von den Computerwürmern oder dergleichen bedroht oder angegriffen wurden, während bei TCUs die bereits von den Computerwürmern angegriffen wurden, diese nur begrenzt wirksam ist (das heißt, das Problem muss dadurch nicht unbedingt gelöst werden).As action on events such as those described above, the transmission of a program update may be called. On the other hand, program update based actions are only effective for TCUs that have not yet been threatened or attacked by the computer worms or the like, while in TCUs that have already been attacked by the computer worms, it has limited effectiveness (that is, the problem must be solved) not necessarily solved).

Daher ist bei dieser Veröffentlichung die TCU 510 mit einem Sicherheitsüberwachungsteil 100 ausgestattet, um die oben genannten Probleme zu lösen und wird an einem Beispiel erläutert.Therefore, in this publication, the TCU 510 with a security monitoring part 100 equipped to solve the above problems and is explained by an example.

Zum Beispiel bei dem in 6 dargestellten Beispiel umfasst die TCU 510 einen Sicherheitsüberwachungsteil 100 und der betreffende Sicherheitsüberwachungsteil 100 führt eine Authentifizierung zwischender außerhalb des Fahrzeugs vorgesehenen Sicherheit Zertifizierungsstelle 200 wie Schlüssel-Fernmanagement Server (KMS) durch. Mit anderen Worten, der Sicherheitsüberwachungsteil 100 greift über ein auf dem 3G/4G Funkstandard basierendes Funknetzwerk 550, oder über ein auf dem Wi-Fi (eingetragenes Warenzeichen) Funkstandard basierendes Funknetzwerk 560 oder dergleichen auf die Sicherheit Zertifizierungsstelle 200 zu und führt eine Authentifizierung durch. Ferner, bei dem in 6 dargestellten Beispiel teilen sich der Sicherheitsüberwachungsteil 100 und die Sicherheit Zertifizierungsstelle 200 die Schlüsselinformationen. Weiterhin, in den nachstehenden Erläuterungen werden die im Sicherheitsüberwachungsteil 100 gespeicherten betreffenden Schlüsselinformationen „Schlüsselinformationen 190“ und die betreffenden in der Sicherheit Zertifizierungsstelle 200 gespeicherten Schlüsselinformationen „Schlüsselinformationen 190“ genannt.For example, in the case of 6 The illustrated example includes the TCU 510 a security monitoring part 100 and the relevant safety monitoring part 100 Performs authentication between the outside of the vehicle provided security certification authority 200 like Key Remote Management Server (KMS). In other words, the security monitoring part 100 accesses a 3G / 4G radio standard based radio network 550 , or via a wireless network based on the Wi-Fi (registered trademark) radio standard 560 or the like on the security certification authority 200 and performs authentication. Furthermore, in which 6 illustrated example share the safety monitoring part 100 and the security certification authority 200 the key information. Furthermore, in the following explanations, the safety monitoring part 100 stored key information "key information 190 ' and the relevant in the security certification authority 200 stored key information "key information 190 ' called.

Bei dem in 6 dargestellten Beispiel ist der Sicherheitsüberwachungsteil 100 über Übertragungsleitungen und den Enable-Anschluss der jeweiligen Kommunikationsteile 511-515 an ein allgemeines InputOutput-Modul (GPIO) angeschlossen. Sofern der Sicherheitsüberwachungsteil 100 von der Sicherheit Zertifizierungsstelle 200 Antworten zurückempfängt, wird der Zeitschalter des oben genannten allgemeinen InputOutput-Moduls fortlaufend aktualisiert. Mit anderen Worten, solange von der Sicherheit Zertifizierungsstelle 200 Antworten übertragen werden, bleiben die Kommunikationsteile 511-515 aktiviert.At the in 6 example shown is the safety monitoring part 100 via transmission lines and the enable connection of the respective communication parts 511 - 515 connected to a general input output module (GPIO). If the safety monitoring part 100 from the security certification authority 200 Reply returns, the timer of the above-mentioned general input output module is continuously updated. In other words, as long as the security certification body 200 Answers are transmitted, remain the communication parts 511 - 515 activated.

Andererseits, angenommen zum Beispiel das IDS hat eine Sicherheitslücke (zum Beispiel Infektion mit einem Computerwurm) in der Schnittstelle (zum Beispiel der Kommunikationsteil 511) für den Zugriff auf das Netzwerk 550 entsprechend der 3G/4G Norm nachgewiesen. In diesem Fall kann die Sicherheit Zertifizierungsstelle 200 (zum Beispiel das KMS) auf der Basis der vom IDS nachgewiesenen Ergebnisse die Antwort auf vom Sicherheitsüberwachungsteil 100 übertragene Herausforderungen beschränken.On the other hand, for example, the IDS has a security vulnerability (for example, infection with a computer worm) in the interface (for example the communication part 511 ) for access to the network 550 Proven according to the 3G / 4G standard. In this case, the security certification authority 200 (for example, the KMS) based on the results detected by the IDS, the response from the security monitor 100 limit the challenges that have been transferred.

Konkret bedeutet dies, dass der Sicherheitsüberwachungsteil 100 aufgrund der Schlüsselinformationen 190 Herausforderungen generiert und diese betreffenden Herausforderungen dann über die Netzwerke 550 beziehungsweise 560 zur Sicherheit Fernzertifizierungsstelle 200 (zum Beispiel das KMS) sendet. Die Sicherheit Zertifizierungsstelle 200 prüft dann die Gültigkeit der vom Sicherheitsüberwachungsteil 100 übertragenen Herausforderungen anhand der Schlüsselinformationen 195 und legt die Zeitschalterwerte für die Kommunikationsteile 511-515 fest. Zu diesem Zeitpunkt können die Zeitschalterwerte für die Kommunikationsteile 511-515 von der Sicherheit Zertifizierungsstelle 200 für die Kommunikationsteile 511-515 auch unabhängig voneinander festgelegt werden. Und die Sicherheit Zertifizierungsstelle 200 assoziiert dann die festgelegten Zeitschalterwerte mit den Antworten vom Sicherheitsüberwachungsteil 100 und sendet die betreffenden Antworten dann zum Sicherheitsüberwachungsteil 100. Der Sicherheitsüberwachungsteil 100 prüft dann die von der Sicherheit Zertifizierungsstelle 200 zurückgesandten Antworten anhand der Schlüsselinformationen 190. Der Sicherheitsüberwachungsteil 100 prüft die Gültigkeit der betreffenden Antworten und auf der Basis der mit den betreffenden Antworten assoziierten Zeitschalterwerte werden dann die Zeitschalter der jeweiligen Kommunikationsteile 511-515 aktualisiert.Specifically, this means that the security monitoring part 100 due to the key information 190 Then generates challenges and then those challenges through the networks 550 respectively 560 for safety remote certification authority 200 (for example the KMS) sends. The security certification authority 200 then checks the validity of the safety monitoring part 100 transferred challenges based on the key information 195 and sets the timer values for the communication parts 511 - 515 firmly. At this time, the timer values for the communication parts 511 - 515 from the security certification authority 200 for the communication parts 511 - 515 be set independently. And the security certification authority 200 then associates the specified timer values with the responses from the safety monitor 100 and then sends the relevant replies to the security monitoring part 100 , The safety monitoring part 100 then check the security certification authority 200 responses returned based on the key information 190 , The safety monitoring part 100 checks the validity of the respective answers, and on the basis of the timer values associated with the respective responses then the timers of the respective communication parts 511 - 515 updated.

Auf der Basis dieses Aufbaus können die Hersteller der TCU 510 die Rücksendung von Antworten von der Sicherheit Zertifizierungsstelle 200 zum Sicherheitsüberwachungsteil 100 bei zumindest teilweise deaktivierter TCU 510 (zum Beispiel einen der Kommunikationsteile 511-515) beschränken. In diesem Fall wird in Verbindung mit einer Zeitüberschreitung vom Sicherheitsüberwachungsteil 100 von diesem betreffenden Sicherheitsüberwachungsteil 100 zur korrespondierenden Schnittstelle ein Disable-Signal gesandt und so die betreffende Schnittstelle physikalisch deaktiviert.On the basis of this construction, the manufacturers of the TCU 510 the return of answers from the security certification authority 200 to the safety monitoring part 100 at least partially deactivated TCU 510 (for example one of the communication parts 511 - 515 ) restrict. In this case, it is associated with a timeout from the security monitor 100 from that security surveillance unit concerned 100 sent to the corresponding interface a disable signal and so physically disabled the relevant interface.

In einem anderen Beispiel können auch bei Einstellung von „0“ als Wert für den Zeitschalter durch die mit der von der Sicherheit Zertifizierungsstelle 200 zum Sicherheitsüberwachungsteil 100 gesandten Antwort assoziierten Informationen (mit anderen Worten, dem Zeitschalterwert) beschränkt werden. In diesem Fall wird der Zeitschalterwert bei Empfang einer Antwort vom Sicherheitsüberwachungsteil 100 auf 0 aktualisiert. Mit anderen Worten, wenn es bei dem betreffenden Zeitschalter zu einer Zeitüberschreitung kommt, wird vom Sicherheitsüberwachungsteil 100 ein Disable-Signal zur korrespondierenden Schnittstelle gesandt und so die betreffende Schnittstelle physikalisch deaktiviert.In another example, even if you set "0" as the value for the timer by using the security certificate authority 200 to the safety monitoring part 100 sent response information (in other words, the timer value) are limited. In this case, the timer value on receipt of a response from the safety monitoring part 100 updated to 0. In other words, when the time switch concerned times out, the safety monitoring part will 100 sends a disable signal to the corresponding interface, thus physically deactivating the relevant interface.

Durch die oben beschriebenen Beschränkungen wird es möglich zu verhindern, dass die TCU 510 in Verbindung mit Eindringen in die Schnittstelle nicht fortgesetzt Computerwürmer verbreitet. Ferner, da durch den Sicherheitsüberwachungsteil 100 die der Schnittstelle (zum Beispiel die Kommunikationsteile 511-515 etc.) korrespondierende Hardware deaktiviert wird, wird es für Computerwürmer und dergleichen böswilligen Programmen schwierig, die Software zu umgehen und so verbreitet zu werden.Due to the limitations described above, it becomes possible to prevent the TCU 510 computer worms continued to spread in connection with penetration into the interface. Furthermore, because of the security monitoring part 100 that of the interface (for example, the communication parts 511 - 515 etc.) corresponding hardware is rendered difficult for computer worms and the like malicious programs to bypass the software and so spread.

Die Erläuterungen für das oben beschriebene Beispiel konzentrieren sich beispielsweise auf ein Eindringen in die Schnittstelle der TCU 510, müssen jedoch nicht auf diese Situation beschränkt sein. Wenn zum Beispiel in ein externes Gerät der TCU 510 eingedrungen wurde, kann die betreffende TCU 510 durch Abschalten der für den Austausch von Nachrichten mit den betreffenden externen Geräten dienenden Schnittstelle Sicherheitsverletzungen der betreffenden externen Geräte physikalisch zu blockieren.The explanations for the example described above focus, for example, on an intrusion into the interface of the TCU 510 but do not have to be limited to this situation. If, for example, in an external device of the TCU 510 has penetrated, the relevant TCU 510 by physically disabling security breaches of the external devices concerned by switching off the interface used to exchange messages with the external devices concerned.

In den vorstehenden Beschreibungen aktualisiert die Sicherheit Zertifizierungsstelle 200 den Zeitschalter des Sicherheitsüberwachungsteils 100, aber es kann auch eine Schnittstelle vorgesehen sein, über die durch Benutzerbedienung der Zeitschalter des Sicherheitsüberwachungsteils 100 bewusste eingestellt werden kann. Mit einem derartigen Aufbau wird es zum Beispiel möglich, dass der Benutzer (beziehungsweise das Wartungspersonal) über eine Bedienung den Zeitschalter des Sicherheitsüberwachungsteils 100, auf „0“ einstellt, somit sofort eine Zeitüberschreitung im betreffenden Sicherheitsüberwachungsteil 100 hervorruft und dadurch die gewünschten Komponenten schützt.In the above descriptions, the security updates the certification authority 200 the time switch of the safety monitoring part 100 but an interface may also be provided via which, through user operation, the timer of the security monitoring part 100 can be deliberately adjusted. With such a construction, for example, it becomes possible for the user (or the maintenance personnel) to control the time switch of the safety monitoring part via an operation 100 , sets to "0", thus immediately a timeout in the relevant safety monitoring part 100 and thereby protects the desired components.

Oben wurde unter Bezugnahme auf 6 als ein anderes Anwendungsbeispiel für einen Sicherheitsüberwachungsteil entsprechend dieser Ausführungsform ein Beispiel für die Anwendung des betreffenden Sicherheitsüberwachungsteils als Telematics Communication Unit (TCU) erläutert.Above was referring to 6 as another application example of a security monitoring part according to this embodiment, an example of the application of the subject security monitoring part as a Telematics Communication Unit (TCU) explained.

< 3.5 Verarbeitung ><3.5 processing>

Anschließend wird ein Beispiel für den Ablauf der Verarbeitung bei Anwendung des Sicherheitsüberwachungsteils entsprechend dieser Ausführungsform auf das im Fahrzeug eingebaute System erläutert.Next, an example of the processing flow when the safety monitoring part according to this embodiment is applied to the in-vehicle system will be explained.

(Wenn die HSM als Sicherheit Zertifizierungsstelle fungiert) (If the HSM acts as a security certification authority)

Zunächst wird anhand der 7 bis 9 ein Beispiel der Funktion der HSM als Sicherheit Zertifizierungsstelle 200 erläutert. Mit anderen Worten, dieses Steuerbeispiel erläutert, wie bestimmte Komponenten geschützt werden, indem der Sicherheitsüberwachungsteil 100 die Authentifizierung zwischen den HSM durchführt und anhand der betreffenden Authentifizierungsergebnisse die CAN Kommunikationsteile deaktiviert. Die 7 bis 9 zeigen als Flussdiagramm dargestellt ein Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform, wobei schematisch in einem Beispiel aufgezeigt wird, wie der Sicherheitsüberwachungsteil 100 bestimmte Geräte aktiviert oder deaktiviert. Außerdem überwachen die HSM, ob die Sicherheit der CPU gefährdet ist oder nicht und entsprechend der betreffenden Überwachungsergebnisse wird dann der Betrieb in Verbindung mit der Authentifizierung mit dem Sicherheitsüberwachungsteil 100 gesteuert.First, based on the 7 to 9 an example of the function of HSM as a security certification authority 200 explained. In other words, this control example explains how certain components are protected by the security monitoring part 100 performs the authentication between the HSM and deactivates the CAN communication parts based on the relevant authentication results. The 7 to 9 show an example of the flow of processing in the vehicle-mounted system according to the same embodiment, which schematically shows in an example how the safety monitoring part 100 certain devices enabled or disabled. In addition, the HSM monitors whether the security of the CPU is compromised or not, and according to the monitoring results in question, the operation is then linked to the authentication with the security monitoring part 100 controlled.

Zum Beispiel ist in 7 ein Beispiel für die als Sicherheit Zertifizierungsstelle 200 fungierenden HSM, die CPU und die jeweiligen Funktionen gezeigt. Konkret ist Verarbeitungsablauf beim Betrieb der CPU schematisch der mit den Symbolen S131- S135 gekennzeichnet dargestellt. Ferner, ist der Betrieb der HSM beim Verarbeitungsablauf schematisch der mit den Symbolen S101-S107 gekennzeichnet dargestellt.For example, in 7 an example of being a security certification authority 200 HSM, the CPU and the respective functions. Specifically, processing flow in the operation of the CPU is schematically the one with the symbols S131 - S135 marked shown. Furthermore, the operation of the HSM in the processing flow is schematically the one with the symbols S101 - S107 marked shown.

Zum Beispiel nimmt die CPU unter bestimmten Bedingungen den Betrieb auf (S131), sendet eine an bestimmte Komponenten gerichtete VAN-Nachricht zu dem nachstehend beschriebenen CAN Kommunikationsteil (S133) und schaltet danach den Betrieb vorübergehend aus (S135). Die CPU wiederholt nacheinander die oben beschriebene Serie von Verarbeitungen (mit anderen Worten die mit den Referenzsymbolen S131-S135 gekennzeichneten Verarbeitungen). Andererseits, wenn ein böswilliges Programm in die CPU eingedrungen ist, wird zum Beispiel bei der mit dem Referenzsymbol S133 gekennzeichneten Verarbeitung von der CPU eine böswillige Nachricht an den CAN Kommunikationsteil gesandt.For example, under certain conditions, the CPU will start operating ( S131 ) transmits a VAN message directed to certain components to the CAN communication part described below ( S133 ) and then switch off the operation temporarily ( S135 ). The CPU successively repeats the above-described series of processings (in other words, those with the reference symbols S131 - S135 marked processes). On the other hand, if a malicious program has invaded the CPU, for example, the one with the reference symbol S133 marked processing from the CPU sent a malicious message to the CAN communication part.

Die HSM überwachen den Sicherheitszustand der CPU sequentiell (S101). Sofern die HSM zu diesem Zeitpunkt keine Ungewöhnlichkeiten in Verbindung mit der Sicherheit der CPU nachweisen (S101, YES), antworten sie auf die Authentifizierung betreffende Anfragen (Herausforderungen) vom Sicherheitsüberwachungsteil 100 und senden dem betreffenden Sicherheitsüberwachungsteil 100 neue Einstellwerte für die Zeitschalter (S103). Andererseits, wenn die HSM Ungewöhnlichkeiten in Verbindung mit der Sicherheit der CPU nachgewiesen haben (S101, NO), verweigern sie auf die Authentifizierung betreffende Anfragen vom Sicherheitsüberwachungsteil 100 (zum Beispiel Beschränkung der Antworten auf die betreffenden Anfragen) und rufen so eine Zeitüberschreitung für den betreffenden Sicherheitsüberwachungsteil 100 (S105) hervor.The HSMs monitor the security state of the CPU sequentially ( S101 ). Unless HSM proves that it has any unusual features related to the security of the CPU at this time ( S101 , YES), they respond to authentication requests (challenges) from the security monitor 100 and send the relevant safety monitoring part 100 new setting values for the time switches ( S103 ). On the other hand, if the HSM have demonstrated unusualities in connection with the security of the CPU ( S101 , NO), refuse requests for authentication from the security monitor 100 (for example, restricting responses to the queries concerned), thus causing a timeout for the security guarding in question 100 ( S105 ).

Die HSM führen die mit den Referenzsymbolen S101-S105 gekennzeichnete Serie von Verarbeitungen in regelmäßigen Abständen durch. Mit anderen Worten, nach Ausführung der mit den Referenzsymbolen S101-S105 gekennzeichnete Serie von Verarbeitungen und Abwarten einer bestimmten Zeitdauer (S107), wird nach Ablauf der betreffenden Zeitdauer die betreffende Serie von Verarbeitungen erneut durchgeführt.The HSMs lead the ones with the reference symbols S101 - S105 characterized series of processing at regular intervals. In other words, after execution with the reference symbols S101 - S105 characterized series of processing and waiting of a certain period of time ( S107 ), the relevant series of processings is carried out again at the end of the relevant period.

Anschließend wird der Ablauf der Serie von Verarbeitungen durch den Sicherheitsüberwachungsteil 100 anhand der 8 erläutert.Subsequently, the sequence of the series of processings by the security monitoring part 100 based on 8th explained.

Der Sicherheitsüberwachungsteil 100 generiert auf einem auf Zufallszahlen und dergleichen basierenden Code eine Herausforderung zur Authentifizierung und die betreffende Herausforderung wird dann zu den HSM (mit anderen Worten der Sicherheit Zertifizierungsstelle 200) gesandt (S151).The safety monitoring part 100 generates a challenge to authenticate on a random and the like code and the challenge then becomes the HSM (in other words, the security certification authority 200 ) ( S151 ).

Der Sicherheitsüberwachungsteil 100 empfängt daraufhin von den HSM Antworten auf die oben genannten Herausforderungen und nur wenn eine erfolgreiche Authentifizierung bestätigt werden kann (S153, YES), wird eine den CAN Kommunikationsteil aktivierende Steuerung vorgenommen (S161). Als konkretes Beispiel gibt der Sicherheitsüberwachungsteil 100 ein Enable-Signal an den Enable-Anschluss aus und aktiviert dadurch den CAN Kommunikationsteil.The safety monitoring part 100 then receives from the HSM answers to the above challenges and only if a successful authentication can be confirmed ( S153 , YES), a control activating the CAN communication part is carried out ( S161 ). As a concrete example, the safety monitoring part gives 100 an enable signal to the enable port and thereby activates the CAN communication part.

Andererseits, wenn der Sicherheitsüberwachungsteil 100 nicht in der Lage ist, von den HSM die oben genannten Herausforderungen zu empfangen und eine Authentifizierung fehlgeschlagen ist (S153, NO), wird für eine bestimmte Zeitdauer gewartet und sofern es nicht zu einer Zeitüberschreitung kommt (S155), wird anschließend erneut auf eine Antwort von den HSM gewartet (S153). Und wenn der Zustand in dem der Sicherheitsüberwachungsteil 100 von den HSM keine Antworten empfangen kann andauert und dies zu einer Zeitüberschreitung (S157, YES) geführt hat, wird die Anlage so gesteuert, dass der CAN Kommunikationsteil deaktiviert wird (S159). Als konkretes Beispiel wird der CAN Kommunikationsteil deaktiviert, wenn der Sicherheitsüberwachungsteil 100 ein Disable-Signal zum Enable-Anschluss des CAN Kommunikationsteils sendet.On the other hand, if the security monitoring part 100 is unable to receive the above challenges from the HSM and authentication failed ( S153 , NO), it waits for a certain period of time and unless there is a timeout ( S155 ) is then again waited for a response from the HSM ( S153 ). And if the state in which the security monitoring part 100 HSM can not receive replies and times out ( S157 , YES), the system is controlled so that the CAN communication part is deactivated ( S159 ). As a concrete example, the CAN communication part is deactivated when the safety monitoring part 100 sends a disable signal to the enable terminal of the CAN communication part.

Der Sicherheitsüberwachungsteil 100 führt die mit den Referenzsymbolen S151-S161 gekennzeichnete Serie von Verarbeitungen in regelmäßigen Abständen durch. Mit anderen Worten, nachdem der Sicherheitsüberwachungsteil 100 die mit den Referenzsymbolen S151-S161 gekennzeichnete Serie von Verarbeitungen durchgeführt hat, wartet er für eine bestimmte Zeit (S163) und führt nach Ablauf dieser Zeitdauer die betreffende Serie von Verarbeitungen erneut durch.The safety monitoring part 100 guides you with the reference symbols S151 - S161 characterized series of processing at regular intervals. In other words, after the security monitoring part 100 the with the reference symbols S151 - S161 waits for a certain period of time ( S163 ) and, at the end of this period of time, reruns the series of processes concerned.

Anschließend wird anhand der 9 der Ablauf einer Serie von Verarbeitungen durch den CAN Kommunikationsteil erläutert.Subsequently, based on the 9 the flow of a series of processing by the CAN communication part explained.

Der CAN Kommunikationsteil empfängt von der CPU CAN Nachrichten (S171). Wenn der CAN Kommunikationsteil zu diesem Zeitpunkt aktiviert ist (S173, YES), überträgt der CAN Kommunikationsteil die empfangenden CAN Nachrichten an die Adressen der Komponenten (S175). Andererseits, wenn der CAN Kommunikationsteil aufgrund der Steuerung vom Sicherheitsüberwachungsteil 100 deaktiviert ist (S173, NO), werden die von der CPU an den CAN Kommunikationsteil gesandten CAN Nachrichten ignoriert (S177).The CAN communication part receives CAN messages from the CPU ( S171 ). If the CAN communication part is activated at this time ( S173 , YES), the CAN communication part transmits the receiving CAN messages to the addresses of the components ( S175 ). On the other hand, if the CAN communication part due to the control of the safety monitoring part 100 is deactivated ( S173 , NO), the CAN messages sent by the CPU to the CAN communication part are ignored ( S177 ).

Oben wurde anhand von 7 bis 9 ein Beispiel für eine Steuerung zum Schutz bestimmter Komponenten mittels Deaktivierung des CAN Kommunikationsteils auf der Basis der Authentifizierungsergebnisse zwischen dem Sicherheitsüberwachungsteil 100 entsprechend dieser Ausführungsform und der Sicherheit Zertifizierungsstelle 200 erläutert.Above was based on 7 to 9 an example of a controller for protecting certain components by deactivating the CAN communication part based on the authentication results between the security monitoring part 100 according to this embodiment and the safety certification authority 200 explained.

(Wenn der OEM Fernserver die Funktion der Sicherheit Zertifizierungsstelle ausübt) Anschließend wird anhand von 10 bis 12 ein Beispiel erläutert, bei dem der OEM Fernserver die Funktion der Sicherheit Zertifizierungsstelle 200 ausübt. Mit anderen Worten, in Abhängigkeit von den Ergebnissen der Authentifizierung zwischen dem Sicherheitsüberwachungsteil 100 und dem OEM Fernserver wird ein Beispiel für eine Steuerung zum Schutz bestimmter Komponenten mittels Deaktivierung des CAN Kommunikationsteils erläutert. Die 10 bis 12 zeigen Flussdiagramme für anderes Beispiel des Verarbeitungsablaufs eines im Fahrzeug eingebauten Systems entsprechend dieser Ausführungsform.(If the OEM remote server performs the function of the security certification authority) 10 to 12 An example explaining how the OEM remote server performs the function of the security certification authority 200 exercises. In other words, depending on the results of authentication between the security monitor 100 and the OEM remote server, an example of a controller for protecting certain components by deactivating the CAN communication part is explained. The 10 to 12 Fig. 10 are flowcharts showing another example of the processing procedure of a vehicle-mounted system according to this embodiment.

Zum Beispiel zeigt 10 ein Beispiel für den Betrieb des Sicherheitsüberwachungsteil 100. Bei dem in 10 gezeigten Beispiel generiert der Sicherheitsüberwachungsteil 100 durch Verschlüsselung eines Zufallszahlencodes und eines Identifikationssystems (ID) zur Selbsterkennung Herausforderungen und sendet die betreffenden Herausforderungen an die CPU (S211). Die betreffenden Herausforderungen werden dann über die CPU an den OEM-Server gesandt. Und indem der Sicherheitsüberwachungsteil 100 dann über die CPU von externen OEM-Servern Antworten auf die oben genannten Herausforderungen empfängt, wird eine Authentifizierung in Relation zu dem betreffenden OEM-Server durchgeführt (S213). In den nachstehenden Erläuterungen (mit anderen Worten die mit den Referenzsymbolen S215-S223 gekennzeichneten Verarbeitungen) werden nähere Erläuterungen zu dem in 8 gezeigten Beispiel mit den Referenzsymbolen S155-S163 gekennzeichneten identischen Verarbeitungen ausgelassen.For example, shows 10 an example of the operation of the safety monitoring part 100 , At the in 10 The example shown generates the safety monitoring part 100 by encoding a random number code and an identification system (ID) for self-recognition challenges and sends the relevant challenges to the CPU ( S211 ). These challenges are then sent to the OEM server via the CPU. And by the security surveillance part 100 then, through the CPU from external OEM servers, receives responses to the above challenges, authentication is performed in relation to the OEM server concerned ( S213 ). In the remarks below (in other words, those with the reference symbols S215 - S223 marked processing) will be explained in more detail 8th shown example with the reference symbols S155 - S163 labeled identical processing omitted.

Anschließend wird anhand der 11 der Ablauf einer Serie von Verarbeitungen durch die CPU Kommunikationsteil erläutert. In diesen Erläuterungen wird ausgeführt, wie die CPU ein erstes Hardwareteil und ein zweites Hardwareteil jeweils getrennt voneinander steuert.Subsequently, based on the 11 the flow of a series of processing by the CPU communication part explained. In these explanations, it will be explained how the CPU controls a first hardware part and a second hardware part separately from each other.

Die CPU nimmt aus bestimmten Gründen ihren Betrieb auf (S231). Bei dem in den 10-12 gezeigten Beispiel vermittelt die CPU die Datenübertragung zwischen dem Sicherheitsüberwachungsteil 100 und dem OEM-Server (S233). Mit anderen Worten, wenn die CPU die vom Sicherheitsüberwachungsteil 100 an den OEM-Server adressierte Herausforderungen empfängt, werden diese betreffenden Herausforderungen zum OEM-Server übertragen. Wenn die CPU dann vom OEM-Server Antworten auf die oben genannten Herausforderungen empfängt, können diese Antworten auch zum Sicherheitsüberwachungsteil 100 übertragen werden.The CPU will start up for some reason ( S231 ). In the in the 10-12 As shown, the CPU mediates the data transfer between the security monitoring part 100 and the OEM server ( S233 ). In other words, if the CPU from the security monitoring part 100 addresses challenges addressed to the OEM server, these challenges are transferred to the OEM server. If the CPU then receives responses from the OEM server to the above-mentioned challenges, these answers can also be sent to the security monitoring part 100 be transmitted.

Die CPU steuert außerdem auch das erste Hardwareteil und das zweite Hardwareteil (S235, 237). In einem konkreten Beispiel sendet die CPU Nachrichten oder Signale an das erste Hardwareteil und das zweite Hardwareteil und kann so jeweils das betreffende erste Hardwareteil und zweite Hardwareteil steuern.The CPU also controls the first hardware part and the second hardware part ( S235 . 237 ). In a concrete example, the CPU sends messages or signals to the first hardware part and the second hardware part, and so can control the respective first hardware part and the second hardware part, respectively.

Und wenn die CPU die einzelnen oben genannten Verarbeitungen abgeschlossen hat, kann deren Betrieb vorübergehend eingestellt werden (S239). Die CPU wiederholt die oben beschriebene Serie von Verarbeitungen (mit anderen Worten die mit den Referenzsymbolen S231-S239 gekennzeichneten Verarbeitungen) periodisch.And when the CPU completes each of the above processing, its operation can be temporarily suspended ( S239 ). The CPU repeats the above-described series of processings (in other words, those with the reference symbols S231 - S239 characterized processes) periodically.

Im Folgenden wird anhand der 12 ein Beispiel für den Verarbeitungsablauf erläutert, wenn der OEM-Server die Funktion der Sicherheit Zertifizierungsstelle 200 ausübt. In diesen Erläuterungen entscheidet der OEM-Server individuell, ob jeweils für das erste Hardwareteil und das zweite Hardwareteil ein Sicherheitsproblem vorliegt oder nicht und stellt dann im Rahmen der Steuerung die individuellen Zeitschalterwerte für das betreffende erste Hardwareteil und zweite Hardwareteil ein.The following is based on the 12 An example of the processing flow is explained when the OEM server performs the security CA function 200 exercises. In these explanations, the OEM server decides individually whether or not there is a security problem for the first hardware part and the second hardware part, and then adjusts the individual time switch values for the respective first hardware part and the second hardware part as part of the control.

Wie in 12 dargestellt, empfängt der OEM-Server in Verbindung mit Anfragen zur Authentifizierung vom Sicherheitsüberwachungsteil 100 die von dem betreffenden Sicherheitsüberwachungsteil 100 generierten Herausforderungen (S251). Zu diesem Zeitpunkt kann der OEM-Server aufgrund der korrespondierenden Schlüsselinformationen die betreffende Herausforderung dekodieren und aus der betreffenden Herausforderung die Indentifikationsinformationen für den Sicherheitsüberwachungsteil 100 extrahieren. As in 12 The OEM server, in conjunction with authentication requests, receives the security monitor part 100 that of the security surveillance part in question 100 generated challenges ( S251 ). At this time, the OEM server can decode the challenge in question based on the corresponding key information and the identification information for the security monitoring part from the relevant challenge 100 extract.

Als nächstes prüft der OEM-Server, ob in Verbindung mit der Steuerung dem ersten Hardwareteil Sicherheitsprobleme berichtet wurden (S253). Zu diesem Zeitpunkt macht der OEM-Server Anfragen bei dem IDS oder dem Sicherheitsüberwachungssystem, so dass auch so die oben genannten Berichte über Störungen geprüft werden können. Weiterhin, der OEM-Server bestimmt dabei die vom Sicherheitsüberwachungsteil 100 erfassten Identifikationsinformationen und macht die oben genannte Anfrage, so dass relevante Informationen auch enger gefasst werden können. Sofern keine Berichte über Störungen der Steuerung am ersten Hardwareteil vorliegen (S253, NO), wird in Verbindung mit der Steuerung des ersten Hardwareteils ein neuer Zeitschalterwert eingestellt (S257). Andererseits, wenn hingegen Berichte über Störungen der Steuerung am ersten Hardwareteil vorliegen (S253, YES), verweigert der Sicherheitsüberwachungsteil 100 die Authentifizierung der betreffenden Anfragen hinsichtlich der Steuerung des ersten Hardwareteils durch den OEM-Server (S255). In diesem Fall kommt es im Sicherheitsüberwachungsteil 100 bei der Steuerung des ersten Hardwareteils zu einer Zeitüberschreitung. Mit anderen Worten, indem der Sicherheitsüberwachungsteil 100 zum Beispiel ein Disable-Signal an die zum Empfang von Signalen von der CPU durch das erste Hardwareteil erforderliche Schnittstelle sendet, wird die betreffende Schnittstelle abgeschaltet.Next, the OEM server checks if any security issues have been reported to the first piece of hardware in conjunction with the controller ( S253 ). At this time, the OEM server makes inquiries to the IDS or the security monitoring system so that the above reports can be checked for faults. Furthermore, the OEM server determines the security monitoring part 100 captured identification information and makes the above request, so that relevant information can also be narrowed. If there are no reports of controller malfunctions on the first hardware part ( S253 , NO), a new timer value is set in conjunction with the control of the first hardware part ( S257 ). On the other hand, if there are reports of disturbances of the control on the first hardware part ( S253 , YES), the safety monitoring part refuses 100 the authentication of the relevant requests with regard to the control of the first hardware part by the OEM server ( S255 ). In this case, it comes in the security monitoring part 100 during the control of the first hardware part at a timeout. In other words, by the safety monitoring part 100 For example, if a disable signal is sent to the interface required to receive signals from the CPU through the first hardware part, that interface is turned off.

Gleichermaßen prüft der OEM-Server, ob hinsichtlich der Steuerung des zweiten Hardwareteils Probleme in Verbindung mit der Sicherheit berichtet werden (S259). Wenn keine Störungen der Steuerung des zweiten Hardwareteils berichtet werden (S259, NO), stellt der OEM-Server neue Zeitschalterwerte für das zweite Hardwareteil ein (S263). Andererseits, wenn jedoch Störungen der Steuerung des zweiten Hardwareteils berichtet werden (S259, YES), verweigert der OEM-Server die vom Sicherheitsüberwachungsteil 100 die Authentifizierung betreffende Anfragen hinsichtlich der Steuerung des zweiten Hardwareteils (S261). In diesem Fall kommt es im Sicherheitsüberwachungsteil 100 bei der Steuerung des zweiten Hardwareteils zu einer Zeitüberschreitung. Mit anderen Worten, indem der Sicherheitsüberwachungsteil 100 zum Beispiel ein Disable-Signal an die zum Empfang von Signalen von der CPU durch das zweite Hardwareteil erforderliche Schnittstelle sendet, wird die betreffende Schnittstelle abgeschaltet.Likewise, the OEM server checks for security-related issues with the control of the second piece of hardware ( S259 ). If no faults in the control of the second hardware part are reported ( S259 , NO), the OEM server sets new timer values for the second hardware part ( S263 ). On the other hand, however, if disturbances of the control of the second hardware part are reported ( S259 , YES), the OEM server denies the security monitoring part 100 authentication related requests for control of the second hardware part ( S261 ). In this case, it comes in the security monitoring part 100 when controlling the second hardware part at a timeout. In other words, by the safety monitoring part 100 For example, if a disable signal is sent to the interface required to receive signals from the CPU through the second hardware part, that interface is turned off.

Der OEM-Server generiert auf der Basis der oben genannten Entscheidungen betreffs des ersten Hardwareteils und zweiten Hardwareteils Antworten auf die Herausforderungen vom Sicherheitsüberwachungsteil 100 und sendet die betreffenden Antworten dann an den betreffenden Sicherheitsüberwachungsteil 100 (S265).The OEM server generates responses to the challenges of the security monitoring part based on the above decisions regarding the first hardware part and the second hardware part 100 and then sends the relevant replies to the relevant security monitoring part 100 ( S265 ).

Der OEM-Server wiederholt die oben beschriebene Serie von Verarbeitungen (mit anderen Worten die mit den Referenzsymbolen S251-S265 gekennzeichneten Verarbeitungen) periodisch.The OEM server repeats the series of processings described above (in other words, those with the reference symbols S251 - S265 characterized processes) periodically.

Oben wurde anhand der 10 ~ 12 ein Beispiel erläutert, bei dem ein OEM Fernserver die Funktion der Sicherheit Zertifizierungsstelle 200 ausübt.Above was based on the 10 Figure 12 illustrates an example where an OEM remote server performs the function of the security certification authority 200 exercises.

<< 4. Schlussfolgerungen >><< 4. Conclusions >>

Wie oben ausgeführt ist bei einem in einem Fahrzeug eingebauten System entsprechend dieser Ausführungsform ein Sicherheitsüberwachungsteil (Security Watchdog) für die ECU und derartige Steuervorrichtungen vorgesehen, wobei über CPUs und dergleichen festgelegte Schnittstellen die Komponenten gesteuert werden und die Steuerteile unabhängig voneinander vorgesehen sind. Auf der Basis eines derartigen Aufbaus wird zwischen Sicherheitsüberwachungsteil und Sicherheit Zertifizierungsstelle eine Authentifizierung durchgeführt und dann aufgrund der betreffenden Authentifizierungsergebnisse über die oben genannte Schnittstelle der Zugriff auf die oben genannten Komponenten gesteuert (zum Beispiel beschränkt). Zu diesem Zeitpunkt kann der Zugriff auf die oben genannten Komponenten durch Deaktivierung der oben genannten Schnittstelle über den vorgenannten Sicherheitsüberwachungsteil auch physikalisch begrenzt werden. Ferner ist der Sicherheitsüberwachungsteil mit einem Zeitschalter ausgestattet, so dass wenn die Erfassung der von der oben genannten Sicherheit Zertifizierungsstelle die Authentifizierung betreffenden Antworten fehlschlägt und es so zu einer Zeitüberschreitung der Zeitschalter kommt, der Zugriff auf die oben genannten Komponenten beschränkt werden kann.As stated above, in a vehicle-mounted system according to this embodiment, a security watchdog for the ECU and such control devices is provided, with interfaces set via CPUs and the like, the components are controlled, and the control parts are provided independently of each other. On the basis of such a structure, an authentication is carried out between the security monitoring part and the security certification authority, and then the access to the abovementioned components is controlled (for example limited) on the basis of the authentication results via the abovementioned interface. At this time, access to the above-mentioned components can also be limited physically by deactivating the above-mentioned interface via the aforementioned security monitoring part. Further, the security monitoring part is provided with a timer, so that if the detection of the answers concerning authentication by the above-mentioned security certification authority fails and the time switches are timed out, access to the above-mentioned components can be restricted.

Mit der wie oben beschriebenen Technik entsprechend der vorliegenden Ausführungsform ist es möglich, den Zugriff auf geschützte Komponenten zu beschränken, selbst für den Fall das es bei einem Teil der im Fahrzeug eingebauten Geräte zu Anomalien (beispielsweise Sicherheitsauffälligkeiten) gekommen ist. Dadurch wird erreicht, dass die beeinträchtigten Geräte von den zu schützenden Komponenten isoliert werden und die betreffenden Komponenten so vor böswilligem Missbrauch der betreffenden Geräte geschützt werden können. Ferner, da der Zugriff auf die zu schützenden Komponenten physikalisch blockiert wird, kann selbst bei Eindringen von Computerwürmern oder derartigen böswilligen Programmen in die im Fahrzeug eingebauten Netzwerke den betreffenden Programmen ein Zugriff auf die betreffenden Komponenten durch Software Umgehungen schwierig gemacht werden.With the technique according to the present embodiment as described above, it is possible to restrict access to protected components even in the case where some of the vehicle-mounted devices have become abnormal (for example, security abnormalities). This ensures that the affected devices are isolated from the components to be protected and the components concerned so against malicious misuse of the devices concerned can be protected. Furthermore, since access to the components to be protected is physically blocked, even with the entry of computer worms or such malicious programs into the vehicle-mounted networks, the programs concerned can be made difficult to access to the respective components by software bypasses.

Auf diese Weise wird es durch Anwendung der Technik entsprechend dieser Veröffentlichung möglich, einen Teil der Geräte innerhalb von im Fahrzeug eingebauten Netzwerken (zum Beispiel die CPU oder den Mikrocontroller) selbst für den Fall das es zu Störungen gekommen ist einen Teil der Module effektiv zu deaktivieren, ohne die betreffenden Geräte dazu vorübergehend oder permanent abzuschalten. Dadurch kann zum Beispiel erreicht werden, dass es dem Hersteller auch bei Auftreten schwerwiegender Sicherheitsvorfällen möglich ist, die ECU und ähnliche Geräte zu diagnostizieren oder reparieren, ohne diese auswechseln zu müssen. Mit anderen Worten, durch Anwendung der Technik entsprechend dieser Veröffentlichung ist es auch bei Auftreten von Sicherheitsvorfällen möglich zahlreichere und diversere Maßnahme zur Lösung der betreffenden Probleme als bisher und darüber hinaus außerdem besser angemessene Maßnahmen zu wählen.In this way, by applying the technique according to this publication, it becomes possible to effectively disable some of the devices within in-vehicle networks (for example, the CPU or the microcontroller) even in the event of disruption of part of the modules without switching off the devices temporarily or permanently. As a result, it is possible, for example, to enable the manufacturer to diagnose or repair the ECU and similar devices without having to replace them, even in the event of serious security incidents. In other words, by applying the technique according to this publication, it is also possible, when incidents occur, to choose more numerous and varied measures to solve the problems in question than before and, moreover, to choose more appropriate measures.

Der oben beschriebene Aufbau ist jedoch nur ein mögliches Beispiel und der Aufbau eines im Fahrzeug eingebauten Systems muss nicht unbedingt auf diese Ausführungsform der Veröffentlichung beschränkt sein. In einem konkreten Beispiel muss der Ort der Funktion der oben genannten Sicherheit Zertifizierungsstelle 200 nicht besonders festgelegt sein. Zum Beispiel kann die Sicherheit Zertifizierungsstelle 200 ebenso wie der Sicherheitsüberwachungsteil 100 innerhalb der Geräte vorgesehen sein. Ferner, kann die Sicherheit Zertifizierungsstelle 200 ebenso wie der Sicherheitsüberwachungsteil 100 auch außerhalb der Geräte vorgesehen sein. In diesem Fall kann die Sicherheit Zertifizierungsstelle 200 in einem Fernserver vorgesehen sein. In einem anderen Beispiel ist die Sicherheit Zertifizierungsstelle 200 innerhalb der im Fahrzeug eingebauten Netzwerke vorgesehen und anstelle der mit einem Sicherheitsüberwachungsteil 100 ausgestatteten Geräte können auch andere Geräte vorgesehen sein. Bei dem in 4 dargestellten konkreten Beispiel ist das ADAS 430 mit einem Sicherheitsüberwachungsteil 100 ausgestattet und das Gateway 410 übernimmt die Funktion der Sicherheit Zertifizierungsstelle 200 (mit anderen Worten, das Gateway 410 kann auch mit einer Sicherheit Zertifizierungsstelle 200 ausgestattet sein).However, the structure described above is only one possible example, and the structure of a vehicle-mounted system need not necessarily be limited to this embodiment of the publication. In a concrete example, the location of the function of the above-mentioned security certification authority 200 not be specially defined. For example, the security certification authority 200 as well as the security monitoring part 100 be provided within the device. Furthermore, the security certification body can 200 as well as the security monitoring part 100 be provided outside the device. In this case, the security certification authority 200 be provided in a remote server. In another example, the security is Certification Authority 200 provided within the vehicle-mounted networks and instead of having a security monitoring part 100 equipped devices may also be provided other devices. At the in 4 The concrete example shown is the ADAS 430 with a security monitoring part 100 equipped and the gateway 410 assumes the function of security certification authority 200 (in other words, the gateway 410 can also use a security certification authority 200 be equipped).

Weiterhin ist es nicht unbedingt erforderlich, einen dem Sicherheitsüberwachungsteil 100 entsprechenden Aufbau anzubieten. Zum Beispiel können auch Teile der oben genannten Vorrichtungen ECU, GW, TCU und dergleichen angeboten werden. Ferner, in einem Beispiel können die Vorrichtungen ECU, GW, TCU und dergleichen als abnehmbare Bauelemente des Sicherheitsüberwachungsteils 100 (zum Beispiel als Chips) angeboten werden. In diesem Fall entspricht der Aufbau der betreffenden Einheiten einem Beispiel für eine „Steuervorrichtung“.Furthermore, it is not absolutely necessary to have a safety monitoring part 100 to offer appropriate construction. For example, parts of the above-mentioned devices ECU, GW, TCU, and the like may also be offered. Further, in one example, the devices ECU, GW, TCU and the like may be used as detachable components of the safety monitoring part 100 (for example, as chips) are offered. In this case, the structure of the respective units corresponds to an example of a "control device".

Oben wurden angemessene Ausführungsformen der vorliegenden Erfindung anhand der Figuren erläutert, aber die Erfindungen ist nicht auf diese Beispiele begrenzt. Personen mit relevanten Allgemeinwissen auf dem diese Erfindung betreffenden technischen Gebiet können sich im Rahmen der in den Patentansprüchen beschriebenen Kategorien technischer Konzepte sicher die verschiedensten Modifikationen und Korrekturen vorstellen, aber diese gelten selbstverständlich als zum technischen Umfang dieser Erfindung gehörend.Above, appropriate embodiments of the present invention have been explained with reference to the figures, but the inventions are not limited to these examples. Persons with relevant general knowledge in the technical field pertaining to this invention can certainly imagine a wide variety of modifications and corrections within the scope of the technical concepts described in the claims, but these are of course to be considered as belonging to the technical scope of this invention.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

1010
SteuernetzwerkControl network
2020
Netzwerknetwork
3030
Netzwerknetwork
50, 50a-50h50, 50a-50h
Steuervorrichtungcontrol device
100100
Sicherheitsüberwachungsteil (Security Watchdog)Security Watchdog
101101
Verschlüsselungsmodulencryption module
111111
ZertifizierungsverarbeitungsteilCertification processing part
113113
Steuerteilcontrol part
103103
Codegeneratorcode generator
105105
KommunikationsschnittstelleCommunication Interface
107107
Zeitschaltertime switch
109109
allgemeines InputOutput-Modul general input-output module
200200
Sicherheit ZertifizierungsstelleSecurity certification authority
311311
HauptsteuerteilMain control part
313313
Nachweisteildetection part
315315
StellgliedtreiberActuator driver
317317
KommunikationsschnittstelleCommunication Interface
331331
Stellgliedactuator
340340
im Fahrzeug eingebautes Netzwerkin-vehicle network
350350
InternetInternet
360360
Netzwerknetwork
410 410
Gatewaygateway
411411
Hauptmikrocontrollermain microcontroller
414414
Steuerteilcontrol part
415415
SpeicherStorage
416a, 416b416a, 416b
Kommunikationsteilcommunication part
417417
Enable-AnschlussEnable pin
440440
Lenksäulesteering column
450450
Bremsebrake
460460
Infotainmentinfotainment
470470
Klimaanlageair conditioning
480480
Diagnosetooldiagnostic tool
490490
Lichtanlagelighting system
510510
TCUTCU
511-515511-515
Kommunikationsteilecommunication parts
540540
Infrastrukturinfrastructure
550, 560, 570550, 560, 570
Netzwerkenetworks

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • JP 2017073765 [0003]JP 2017073765 [0003]

Claims (14)

Steuervorrichtung die mit einem Zertifizierungsverarbeitungsteil (111) ausgestattet ist, welcher unter bestimmten Bedingungen eine Authentifizierung in Relation zur Sicherheit Zertifizierungsstelle durchführt, und zur Steuerung von der an die im Fahrzeug eingebauten Netzwerke angeschlossenen Komponenten mit unabhängig voneinander und speziell dazu bestimmten Schnittstellen für die Steuereinheiten ausgestattet ist, wobei auf den Ergebnissen der vorgenannten Authentifizierung basierend der Zugriff auf die vorgenannten Komponenten über die vorgenannten Schnittstellen durch einen Steuerteil (113) gesteuert wird.A control device equipped with a certification processing part (111) which, under certain conditions, performs authentication in relation to the security certification authority, and for controlling the components connected to the networks installed in the vehicle with independently and specifically designated interfaces for the control units, based on the results of the aforementioned authentication based access to the aforementioned components via the aforementioned interfaces by a control part (113) is controlled. Steuervorrichtung nach Anspruch 1 bei der der vorgenannte Steuerteil (113) bei Misslingen der vorgenannten Authentifizierung der Zugriff auf die vorgenannten Komponenten über die vorgenannten Schnittstellen beschränkt wird.Control device after Claim 1 in which the aforementioned control part (113) in the event of failure of the aforementioned authentication, the access to the aforementioned components via the aforementioned interfaces is limited. Steuervorrichtung nach Anspruch 2 bei der der vorgenannte Steuerteil (113) bei Misslingen der Erfassung einer die vorgenannte Authentifizierung betreffende Antwort von der vorgenannten Sicherheit Zertifizierungsstelle den Zugriff auf die vorgenannten Komponenten beschränkt.Control device after Claim 2 in which the aforementioned control part (113) restricts access to the aforementioned components in the event of a failure to detect a response concerning the aforementioned authentication from the aforementioned security certification authority. Steuervorrichtung nach einem der Ansprüche 1-3 die mit einem Codegenerator (103) zur Erzeugung von für die Authentifizierung verwendeten Coden ausgestattet ist, und der vorgenannte Zertifizierungsverarbeitungsteil anhand der vorgenannten Code die Authentifizierung mit der vorgenannten Sicherheit Zertifizierungsstelle durchführt.Control device according to one of Claims 1 - 3 which is equipped with a code generator (103) for generating codes used for authentication, and the aforesaid certification processing part performs authentication with the aforementioned security certification authority based on the aforementioned code. Steuervorrichtung nach Anspruch 4 bei der die vorgenannte Authentifizierung unter Verwendung der vorgenannten Code nach einem Challenge-Response-Verfahren durchführt wird.Control device after Claim 4 in which the aforesaid authentication is performed using the aforementioned code according to a challenge-response method. Steuervorrichtung nach einem der Ansprüche 1-5 bei dem der Steuerteil (113) nach Ablauf einer eingestellten Zeitdauer über die vorgenannten Schnittstellen den Zugriff auf die vorgenannten Komponenten steuert.Control device according to one of Claims 1 - 5 in which the control part (113) controls the access to the aforementioned components via the aforesaid interfaces after a set time has elapsed. Steuervorrichtung nach Anspruch 6 bei der die vorgenannte Zeitdauer durch die vorgenannte Sicherheit Zertifizierungsstelle eingestellt wird.Control device after Claim 6 in which the aforementioned period of time is set by the aforementioned safety certification body. Steuervorrichtung nach einem der Ansprüche 1-7 die mit einer Sicherheit Zertifizierungsstelle (200) ausgestattet ist.Control device according to one of Claims 1 - 7 which is equipped with a security certification authority (200). Steuervorrichtung nach einem der Ansprüche 1-7 bei der ein Zertifizierungsverarbeitungsteil (111) die Authentifizierung zwischen bestimmten Netzwerken und der vorgenannten Sicherheit Zertifizierungsstelle durchführt.Control device according to one of Claims 1 - 7 wherein a certification processing part (111) performs the authentication between certain networks and the aforementioned security certification authority. Steuervorrichtung nach Anspruch 9 bei der die vorgenannten bestimmten Netzwerke die von der vorgenannten Steuervorrichtung unterhaltenen im Fahrzeug eingebauten Netzwerke sind.Control device after Claim 9 wherein said certain networks are the in-vehicle networks maintained by said control device. Steuervorrichtung nach Anspruch 9 bei der die vorgenannten bestimmten Netzwerke auch die zum Zugriff auf die von der vorgenannten Steuervorrichtung unterhaltenen Netzwerke außerhalb des Fahrzeugs umfassen.Control device after Claim 9 in which the aforesaid particular networks also comprise the outside of the vehicle to access the networks maintained by the aforesaid control device. Steuervorrichtung nach einem der Ansprüche 1-11 bei der die vorgenannte Steuervorrichtung eine den Zugriff unter mehreren Netzwerken steuernde Steuervorrichtung ist, die vorgenannte Steuervorrichtung (113) entsprechend der vorgenannten Authentifizierungsergebnisse den Zugriff auf die zu schützenden Netzwerke unter den vorgenannten mehreren Netzwerken durch sich von den betreffenden Netzwerken unterscheidenden andere Netzwerke beschränkt.Control device according to one of Claims 1 - 11 wherein said control device is a multi-network control device, said control device (113) restricts access to the protected networks among said plurality of networks by different networks other than said networks in accordance with said authentication results. Steuervorrichtung nach Anspruch 12 bei der die vorgenannten zu schützenden Netzwerke diejenigen im Fahrzeug eingebauten Netzwerke sind, mit denen die vorgenannte Steuervorrichtung den Betrieb betreffende gespeicherte Informationen austauscht.Control device after Claim 12 in which the aforementioned networks to be protected are the in-vehicle networks with which the aforesaid control device exchanges stored information concerning the operation. Steuerverfahren dass einen Computer mit unabhängig voneinander die an die im Fahrzeug eingebauten Netzwerke angeschlossenen Komponenten über spezielle Schnittstellen steuernde Einheiten umfasst, die unter bestimmten Bedingungen eine Authentifizierung mit der Sicherheit Zertifizierungsstelle durchführen und aufgrund der vorgenannten Authentifizierungsergebnisse über die vorgenannten Schnittstellen den Zugriff auf die vorgenannten Komponenten steuert.Control method comprising a computer with components independently of each other connected to the networks installed in the vehicle via special interface controlling units, which under certain circumstances perform authentication with the security certification authority and controls the access to the aforementioned components due to the aforementioned authentication results on the aforementioned interfaces.
DE102018212879.0A 2017-10-10 2018-08-02 Control device and control method Pending DE102018212879A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017197202A JP2019071572A (en) 2017-10-10 2017-10-10 Control apparatus and control method
JP2017-197202 2017-10-10

Publications (1)

Publication Number Publication Date
DE102018212879A1 true DE102018212879A1 (en) 2019-04-11

Family

ID=65816923

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018212879.0A Pending DE102018212879A1 (en) 2017-10-10 2018-08-02 Control device and control method

Country Status (2)

Country Link
JP (1) JP2019071572A (en)
DE (1) DE102018212879A1 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017221889B4 (en) * 2017-12-05 2022-03-17 Audi Ag Data processing device, overall device and method for operating a data processing device or overall device
WO2021024589A1 (en) * 2019-08-06 2021-02-11 日本電気株式会社 Mobility control system, method, and program
JPWO2021039622A1 (en) * 2019-08-30 2021-03-04
JP7425016B2 (en) 2021-05-10 2024-01-30 ダイハツ工業株式会社 In-vehicle relay device
JP7354180B2 (en) * 2021-05-10 2023-10-02 ダイハツ工業株式会社 In-vehicle relay device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017073765A (en) 2015-10-09 2017-04-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Security device, aggression detection method and program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5900007B2 (en) * 2012-02-20 2016-04-06 株式会社デンソー VEHICLE DATA COMMUNICATION AUTHENTICATION SYSTEM AND VEHICLE GATEWAY DEVICE
JP5838983B2 (en) * 2013-02-25 2016-01-06 トヨタ自動車株式会社 Information processing apparatus and information processing method
WO2017056688A1 (en) * 2015-09-29 2017-04-06 日立オートモティブシステムズ株式会社 Monitoring system and vehicle control device

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017073765A (en) 2015-10-09 2017-04-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America Security device, aggression detection method and program

Also Published As

Publication number Publication date
JP2019071572A (en) 2019-05-09

Similar Documents

Publication Publication Date Title
DE102018212879A1 (en) Control device and control method
EP3278529B1 (en) Attack detection method, attack detection device and bus system for a motor vehicle
DE10326287B4 (en) Vehicle communication system, initialization unit and in-vehicle control unit
EP2823430B1 (en) Electronic control system
EP3393865B1 (en) Monitoring and modifying motor vehicle functions in a motor vehicle
DE102013003040B4 (en) Motor vehicle with later by application program changeable driving behavior and method for this purpose
DE102012217200A1 (en) Bus monitoring security device and bus security monitoring system
DE102015002574B4 (en) Motor vehicle communication network with switch device
EP3077253A1 (en) System and method for shutting down an unlawfully utilized vehicle
DE102017214661A1 (en) Method for detecting a manipulation of at least one control device of a motor vehicle and processor device for a motor vehicle and motor vehicle
DE102017209557A1 (en) Method for protecting a vehicle network against manipulated data transmission
WO2016091388A1 (en) Method for controlling the operation of at least one functional component of a motor vehicle and motor vehicle
DE102016204999A1 (en) Method for monitoring the security of communication links of a vehicle
DE102018200820A1 (en) Control system for a motor vehicle, method for operating the control system and motor vehicle with such a control system
DE102021208459B4 (en) Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle
WO2018007049A1 (en) Method for the secure authentication of control devices in a motor vehicle
DE102011002713A1 (en) Method for providing cryptographic credentials for electronic control unit (ECU) of vehicle e.g. electric car, has control unit that deactivates vehicle drive for deleting cryptographic credentials in vehicle safety management unit
DE112014003345T5 (en) Data exclusion device
DE102013200528A1 (en) Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation
DE102013108006B4 (en) communication system
DE102017209556A1 (en) Method for protecting a vehicle network against manipulated data transmission
EP3871393B1 (en) Method for monitoring a data transmission system, data transmission system and motor vehicle
DE102016221378A1 (en) Method for transmitting data
DE102012209445A1 (en) Method for secure transmission of safety critical function data between diagnosis tester and control device in control system in vehicle, involves synchronizing keys, and initiating access to client during coincidence of keys
DE102021201444A1 (en) Method and device for checking an incoming, secure, encrypted message