DE102018213898B4 - Überwachung einer Netzwerkverbindung auf Abhören - Google Patents

Überwachung einer Netzwerkverbindung auf Abhören Download PDF

Info

Publication number
DE102018213898B4
DE102018213898B4 DE102018213898.2A DE102018213898A DE102018213898B4 DE 102018213898 B4 DE102018213898 B4 DE 102018213898B4 DE 102018213898 A DE102018213898 A DE 102018213898A DE 102018213898 B4 DE102018213898 B4 DE 102018213898B4
Authority
DE
Germany
Prior art keywords
time
participant
data packet
subscriber
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102018213898.2A
Other languages
English (en)
Other versions
DE102018213898A1 (de
Inventor
Helge Zinner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive Technologies GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102018213898.2A priority Critical patent/DE102018213898B4/de
Priority to CN201980053775.6A priority patent/CN112567694A/zh
Priority to PCT/EP2019/071973 priority patent/WO2020035576A1/de
Priority to US17/267,895 priority patent/US11647045B2/en
Publication of DE102018213898A1 publication Critical patent/DE102018213898A1/de
Application granted granted Critical
Publication of DE102018213898B4 publication Critical patent/DE102018213898B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/0858One way delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Environmental & Geological Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren (100) zur Erkennung eines unbefugten Abhörens der Kommunikation zwischen einem ersten Teilnehmer (1) und einem zweiten Teilnehmer (2) eines Netzwerks (3) mit den Schritten:• der erste Teilnehmer (1) ermittelt (110) eine Laufzeit (11) für die Datenübermittlung über das Netzwerk (3) zum zweiten Teilnehmer (2);• der erste Teilnehmer (1) ermittelt (115) einen Zufallswert (12) und addiert (120) den Zufallswert (12) zu der Laufzeit (11), um eine Wartezeit (13) zu erhalten;• der erste Teilnehmer (1) wartet (130) die Wartezeit (13) ab, erstellt (140) mindestens ein Datenpaket (4), das einen Zeitstempel (41) enthält, und sendet (150) dieses Datenpaket (4) an den zweiten Teilnehmer (2);• der zweite Teilnehmer (2) registriert (160) den Zeitpunkt (42), zu dem er das Datenpaket (4) empfängt, und vergleicht (170) diesen Zeitpunkt (42) mit dem in dem Datenpaket (4) enthaltenen Zeitstempel (41);• der zweite Teilnehmer (2) wertet (180) die Feststellung, dass das Datenpaket (4) vor dem im Zeitstempel (41) angegebenen Zeitpunkt eingetroffen ist (181), dass es um mehr als eine vorgegebene Toleranzzeit nach dem im Zeitstempel (41) angegebenen Zeitpunkt eingetroffen ist (182) oder dass es vor (183) oder um mehr als eine vorgegebene Toleranzzeit nach (184) einem Zeitpunkt eintrifft, zu dem es beim zweiten Teilnehmer (2) erwartet werden kann, als Zeichen dafür, dass die Kommunikation zwischen dem ersten Teilnehmer (1) und dem zweiten Teilnehmer (2) unbefugt abgehört wird.

Description

  • Die Erfindung betrifft ein Verfahren, mit dem insbesondere Ethernet-Netzwerke in Fahrzeugen daraufhin überwacht werden können, ob die Kommunikation von einem unbefugt eingeschleiften Teilnehmer abgehört wird.
  • Für die Verbindung von Steuergeräten, Sensoren und Aktoren in einem Fahrzeug untereinander werden an Stelle von individuellen Punkt-zu-Punkt-Verbindungen seit langem Netzwerke eingesetzt, um Kosten und Gewicht für die Verkabelung einzusparen. Hierfür kommen meistens Bussysteme, wie CAN, MOST und FlexRay, zum Einsatz. Es ist weiterhin gewünscht, künftig Ethernet zu verwenden, das sich außerhalb von Fahrzeugen als gebräuchlichster Standard für Netzwerke durchgesetzt hat.
  • Dass der Übergang von individuellen Punkt-zu-Punkt-Verbindungen zu einem Netzwerk Verkabelungsaufwand spart, ist die unmittelbare Folge davon, dass sich in einem Netzwerk mehrere Teilnehmer ein physisches Übertragungsmedium (etwa ein Kabel) teilen. Dies senkt zugleich auch den Aufwand für Angreifer, die die Kommunikation unbefugt abhören möchten. Das Ziel eines solchen Abhörens kann beispielsweise sein, das Verhalten von Geräten zu studieren, um beispielsweise die Software des Geräts unbefugt zurückzuentwickeln (reverse-engineering) oder das Verhalten des Geräts mit einem Austauschgerät nachzubilden. Mit einem solchen unbefugten Austausch kann beispielsweise das Ziel verfolgt werden, ein Steuergerät einzuschleusen, welches das Starten eines gestohlenen Fahrzeugs ohne den Originalschlüssel ermöglicht.
  • Um die Kommunikation auf einem Leitungsweg abzuhören, ist es in einem nicht busförmig aufgebauten Netzwerk erforderlich, ein Mitlesegerät in den Leitungsweg einzuschleifen. Hierzu wird der Leitungsweg aufgetrennt, und das Mitlesegerät verfügt über zwei Transceiver (PHYs), an die die beiden aufgetrennten Enden angeschlossen werden. Ein an einem PHY eintreffendes Datenpaket wird dann von dem Mitlesegerät zur weiteren Verarbeitung ausgeleitet oder gespeichert und zugleich von dem zweiten PHY wieder auf die restliche Strecke des Leitungsweges ausgesendet.
  • Der Leitungsweg wird somit um zwei zusätzliche PHYs angereichert. Da die Signalverarbeitung innerhalb der PHYs jeweils nur mit einer endlichen Geschwindigkeit funktioniert, wird der Laufweg eines abgehörten Datenpakets unweigerlich verzögert. Durch eine Überwachung der Paketlaufzeit lässt sich somit erkennen, ob ein Datenpaket direkt von einem ersten Teilnehmer zu einem zweiten Teilnehmer gelaufen ist oder ob es auf dem Weg noch die weiteren PHYs des Mitlesegeräts durchlaufen hat. Entsprechende Prüfverfahren sind aus der DE 10 2012 216 689 B4 und aus der DE 10 2014 204 033 A1 bekannt.
  • Die DE 10 2014 214 823 A1 beschreibt ein Verfahren zur Bestimmung einer Verzögerung vorgeschlagen. Eine erste Komponente stellt einer zweiten Komponente eine erste Nachricht umfassend eine erste Kennung bereit und die zweite Komponente stellt der ersten Komponente eine zweite Nachricht umfassend eine zweite Kennung bereitstellt. Die zweite Komponente stellt der ersten Komponente eine dritte Nachricht bereit, umfassend eine erste Zeitinformation basierend auf einer Empfangszeit der ersten Nachricht und einer Sendezeit der zweiten Nachricht zusammen mit einem ersten codierten Wert. Der erste codierte Wert ist auf der ersten Zeitinformation basiert. Die erste Komponente ermittelt die Verzögerung basierend auf einer Sendezeit der ersten Nachricht, einer Empfangszeit der zweiten Nachricht und der ersten Zeitinformation. Die erste Komponente überprüft die erste Zeitinformation anhand des ersten codierten Werts.
  • Die 10 2014 200 558 A1 beschreibt ein Verfahren und eine entsprechende Vorrichtung zur Sicherung des Zugangs zu einem Netzwerk. Es wird ein Verfahren zur Kontrolle des Zugangs eines Supplikants zu einem Ethernet-Netzwerk über einen Authenticator beschrieben. Das Verfahren umfasst weiter das Ermitteln einer Laufzeit einer Nachricht zwischen dem Supplikant und einem Authenticator.
  • Die Erfindung stellt ein weiterentwickeltes Verfahren zur Erkennung eines unbefugten Abhörens der Kommunikation zwischen einem ersten Teilnehmer und einem zweiten Teilnehmer eines Netzwerks bereit.
  • Bei diesem Verfahren ermittelt der erste Teilnehmer eine Laufzeit für die Datenübermittlung über das Netzwerk zum zweiten Teilnehmer. Dies kann auf beliebige Weise geschehen. Beispielsweise kann die Laufzeit im Zuge einer Zeitsynchronisation zwischen dem ersten Teilnehmer und dem zweiten Teilnehmer, etwa nach dem Zeitsynchronisationsstandard IEEE 802.1AS und dem darin enthaltenen PTP-Protokoll, erfolgen. So können etwa die im Rahmen dieses Protokolls implementierten „Delay Request“- und „Peer Delay“-Nachrichten als Datenpakete verwendet werden. Das
  • Verfahren ist jedoch hierauf nicht beschränkt. Wichtig ist nur, dass die Ermittlung der Laufzeit in irgendeiner Form auf der Basis einer tatsächlichen physischen Gegebenheit des Übertragungsweges von dem ersten Teilnehmer zum zweiten Teilnehmer erfolgt, d. h., dass es eine physische Gegebenheit oder Eigenschaft des Übertragungsweges gibt, deren Änderung zu einer Änderung der ermittelten Laufzeit führt.
  • Der erste Teilnehmer ermittelt einen Zufallswert und addiert den Zufallswert zu der Laufzeit, um eine Wartezeit zu erhalten. Dabei kann der Zufallswert positiv oder negativ sein. Insbesondere kann beispielsweise eine Verteilung positiver und negativer Zufallswerte um Null oder einen beliebigen anderen Erwartungswert schwanken.
  • Der erste Teilnehmer wartet die Wartezeit ab, erstellt mindestens ein Datenpaket, das einen Zeitstempel enthält, und sendet dieses Datenpaket an den zweiten Teilnehmer. Der Zeitstempel kann dabei insbesondere eine Zeitangabe enthalten, die so nah wie möglich am tatsächlichen Zeitpunkt des Sendens des Datenpakets liegt. Die Wartezeit selbst bleibt geheim und wird nicht über das Netzwerk übertragen.
  • Der zweite Teilnehmer registriert den Zeitpunkt, zu dem er das Datenpaket empfängt, und vergleicht diesen Zeitpunkt mit dem in dem Datenpaket enthaltenen Zeitstempel.
  • Der zweite Teilnehmer wertet nun die Feststellung, dass das Datenpaket vor dem im Zeitstempel angegebenen Zeitpunkt eingetroffen ist, dass es um mehr als eine vorgegebene Toleranzzeit nach dem im Zeitstempel angegebenen Zeitpunkt eingetroffen ist oder dass es vor einem Zeitpunkt eintrifft, zu dem es beim zweiten Teilnehmer erwartet werden kann, als Zeichen dafür, dass die Kommunikation zwischen dem ersten Teilnehmer und dem zweiten Teilnehmer unbefugt abgehört wird.
  • Es wurde erkannt, dass die Bildung der Wartezeit aus der Kombination aus der Laufzeit für die Datenübermittlung und dem Zufallswert das Verfahren überraschenderweise besonders resistent gegen Umgehungsversuche macht.
  • Wie zuvor erläutert, führt das Einschleifen eines Mitlesegeräts in einen Leitungsweg dazu, dass dieser Leitungsweg dann zwei weitere PHYs enthält. Die hierdurch bewirkte Verzögerung der Paketlaufzeit lässt sich vom Mitlesegerät nicht mehr rückgängig machen. Wenn es aus Sicht des Mitlesegeräts jedoch vorhersehbar ist, dass ein Paket vom ersten Teilnehmer zum zweiten Teilnehmer versendet werden wird und welchen Inhalt dieses in etwa haben wird, dann kann das Mitlesegerät dieses Paket selbst erzeugen und zum passenden Zeitpunkt an den zweiten Teilnehmer senden. Dies stellt sich aus Sicht des zweiten Teilnehmers dann so dar, als wäre das Datenpaket ohne zwischengeschaltetes Mitlesegerät direkt vom ersten Teilnehmer gekommen. Wenn nun der erste Teilnehmer das Datenpaket tatsächlich schickt, kann dieses von dem Mitlesegerät unterdrückt werden.
  • Ein solcher Angriff ist insbesondere beispielsweise dann denkbar, wenn sich der erste Teilnehmer und der zweite Teilnehmer bidirektional nach einem vordefinierten Protokoll austauschen und beispielsweise in periodischen Abständen die Paketlaufzeit prüfen.
  • Die Einführung einer Zufallskomponente in die Wartezeit sorgt nun dafür, dass der Zeitpunkt, zu dem der erste Teilnehmer ein Paket sendet, und damit auch der Zeitpunkt, zu dem der zweite Teilnehmer dieses Paket gemäß Zeitstempel erwartet, für das Mitlesegerät schwerer vorhersehbar wird. Damit steigt die Wahrscheinlichkeit, dass ein vom Mitlesegerät eigenmächtig erstelltes Datenpaket, das an die Stelle eines vom ersten Teilnehmer gesendeten Datenpakets treten soll, zu einem Zeitpunkt beim zweiten Teilnehmer eintrifft, zu dem dieser es nicht erwartet, und/oder dass es Unstimmigkeiten zwischen dem Zeitstempel des Datenpakets und dem Zeitpunkt seines Eintreffens beim zweiten Teilnehmer gibt. Insbesondere kann es aus Sicht des zweiten Teilnehmers keinesfalls stimmig sein, wenn ein Datenpaket vor dem Zeitpunkt eintrifft, zu dem es angeblich gesendet wurde, oder wenn es etwa als Antwort auf eine Anfrage des zweiten Teilnehmers früher eintrifft als dies unter Berücksichtigung der Laufzeit für Hin- und Rückweg tatsächlich möglich ist.
  • Die Berücksichtigung auch der zuvor ermittelten Laufzeit ist in diesem Zusammenhang eine zusätzliche Entropiequelle, die die Sicherheit weiter erhöht. Typische Zufallsgeneratoren für Computer und insbesondere für Embedded-Systeme oder Netzwerkkomponenten sind keine „echten“ Zufallsgeneratoren in dem Sinne, dass ein nicht deterministischer physikalischer Prozess, wie beispielsweise elektronisches Rauschen oder radioaktiver Zerfall, in ein digitales Signal umgesetzt wird. Vielmehr kommen hier Pseudo-Zufallsgeneratoren zum Einsatz. Diese Generatoren erzeugen ausgehend von einer Initialisierung in deterministischer Weise Zahlenfolgen und sind für die Initialisierung häufig auch auf quasizufällige Systemereignisse angewiesen. Wenn der Zeitpunkt, zu dem das Datenpaket gesendet wird, nur mit einem Pseudo-Zufallsgenerator variiert wird, ist dieser Zeitpunkt also innerhalb gewisser Grenzen vorhersehbar. In dieser Situation bewirkt die zusätzliche Berücksichtigung der Laufzeit, dass die Wartezeit von einer echten physikalischen Zufallskomponente abhängt, ohne dass hierfür zusätzliche Hardware erforderlich wäre.
  • Generell hat die Kopplung der Wartezeit an die zuvor ermittelte Laufzeit die Wirkung, dass identisch hergestellte und konfigurierte Teilnehmer je nach Einsatzort im Netzwerk unterschiedliche Wartezeiten verwenden.
  • Beispielsweise beträgt eine übliche Verzögerung bei der Paketübertragung zwischen zwei PHYs in einem Gigabit-Ethernet-Netzwerk etwa 400 ns. Das Hinzufügen eines weiteren PHYs bewirkt eine weitere Verzögerung in der Größenordnung von 100-200 ns, ist also signifikant.
  • In einer besonders vorteilhaften Ausgestaltung wertet der zweite Teilnehmer zusätzlich auch die Feststellung, dass der Zeitstempel vor oder um mehr als eine vorgegebene Toleranzzeit nach dem Zeitpunkt liegt, zu dem der erste Teilnehmer das Datenpaket versendet haben kann, als Zeichen dafür, dass die Kommunikation zwischen dem ersten Teilnehmer und dem zweiten Teilnehmer unbefugt abgehört wird. Ist das Datenpaket beispielsweise eine Antwort auf eine Anfrage des zweiten Teilnehmers, kann diese etwa realistischerweise nicht gesendet worden sein, bevor der erste Teilnehmer diese Anfrage frühestens erhalten haben kann.
  • In einer besonders vorteilhaften Ausgestaltung wird zum Abwarten der Wartezeit und anschließendem Erstellen und Senden des nächsten Datenpakets zurück verzweigt, bis eine vorgegebene zeitliche oder ereignisbasierte Abbruchbedingung erfüllt ist. Dabei kann zusätzlich jeweils eine nominelle Zykluszeit abgewartet werden. Beispielsweise kann nominell jede Sekunde ein Datenpaket versendet werden, wobei zu dieser Sekunde zusätzlich noch die Wartezeit hinzukommt. Eine einmal zufällig bestimmte Wartezeit kann dann für den Versand vieler Datenpakete genutzt werden.
  • In Antwort darauf, dass die Abbruchbedingung erfüllt ist, wird zum Ermitteln der Laufzeit oder zum Ermitteln des Zufallswerts zurück verzweigt. Es entsteht dann eine neue Wartezeit. Als ereignisbasierte Abbruchbedingung kommt beispielsweise die Erkennung eines Angriffs auf das Netzwerk in Betracht.
  • In einer weiteren besonders vorteilhaften Ausgestaltung führt der zweite Teilnehmer eine Historie über die Ergebnisse der Vergleiche zwischen den Zeitpunkten, zu denen Datenpakete eintreffen, und den in diesen Datenpaketen enthaltenen Zeitstempeln. Weiterhin wertet der zweite Teilnehmer die Feststellung, dass das Ergebnis eines neuen Vergleichs signifikant von dieser Historie abweicht, als Zeichen dafür, dass die Kommunikation zwischen dem ersten Teilnehmer und dem zweiten Teilnehmer unbefugt abgehört wird, und/oder dass der erste Teilnehmer unbefugt gegen ein anderes Gerät ausgetauscht wurde.
  • Gewisse Schwankungen der Paketlaufzeit sind immer möglich, verursacht etwa durch Jitter oder durch Änderung der Umgebungstemperatur. Wenn sich die Paketlaufzeit jedoch beispielsweise sprunghaft ändert, dann ist dies ein Zeichen für eine Manipulation. Die Berücksichtigung der Historie kann beispielsweise verwendet werden, um einen längerfristigen Trend beispielsweise auf Grund von Temperaturschwankungen oder auf Grund von bekannten Alterungskurven der für PHYs verbauten Quarze zu erkennen und nur Veränderungen der Paketlaufzeit, die von diesem Trend abweichen, als verdächtig zu werten. Diesbezüglich können dann die Toleranzgrenzen entsprechend verengt werden.
  • In diesem Zusammenhang wurde erkannt, dass die Zeit, die ein PHY für die Verarbeitung eines Pakets braucht, von PHY zu PHY stark streut, und zwar auch dann, wenn beide PHYs nominell vom gleichen Hersteller stammen. Der Grund hierfür sind Fertigungstoleranzen der für die PHYs verbauten Quarze, die den Systemtakt erzeugen. Wenn in der beschriebenen Weise die Historie berücksichtigt wird, dann lässt sich erkennen, ob ein PHY gegen einen anderen ausgetauscht wurde. Insbesondere lässt sich so erkennen, dass der erste Teilnehmer unbefugt gegen ein anderes Gerät ausgetauscht wurde.
  • Diese Erkennung kann insbesondere verwendet werden, um Geräte im Fahrzeug im Sinne eines Diebstahlschutzes aneinander zu binden.
  • So können beispielsweise Geräte, die mit dem zentralen Steuergerät des Fahrzeugs (ECU) zusammenarbeiten, die Funktion einstellen, wenn dieses zentrale Steuergerät unbefugt gegen ein anderes Gerät getauscht wurde. Das Fahrzeug lässt sich dann nicht mehr in Gang setzen, indem das zentrale Steuergerät gegen ein manipuliertes ausgetauscht wird, das ein Starten auch ohne den Originalschlüssel zulässt. Weiterhin lassen sich auf diese Weise auch andere Manipulationen verhindern, wie etwa die unbefugte Steigerung der Leistung oder der festgelegten Höchstgeschwindigkeit durch Austausch des zentralen Steuergeräts.
  • Ein Diebstahlschutz kann aber auch beispielsweise für einzelne Geräte realisiert werden, wie beispielsweise für ein fest installiertes Navigationssystem. So kann das Navigationssystem etwa an ein bestimmtes Fahrzeug „gefesselt“ werden, indem Paketlaufzeiten zu anderen Geräten, wie etwa dem zentralen Steuergerät, geprüft werden. Im Gegensatz zu Seriennummern und anderen Kennungen der Geräte sind diese Paketlaufzeiten praktisch nicht fälschbar, da sie durch die Architektur der Verkabelung und insbesondere auch durch die beteiligten PHYs festgelegt sind.
  • Auch kann beispielsweise ein Austausch des Tachometers oder anderen Steuergeräts mit dem Ziel, ein gebrauchtes Fahrzeug kilometermäßig zu „verjüngen“ und einem Käufer einen überhöhten Zeitwert vorzugaukeln, erkannt werden.
  • Nach dem zuvor Beschriebenen wird vorteilhaft ein Ethernet-Netzwerk als Netzwerk gewählt. Ethernet-Netzwerke, die überall verbreitet sind, sind ein flexibler und skalierbarer Ersatz für hauptsächlich in der Fahrzeugtechnik und sonstigen Steuerungstechnik eingesetzte Netzwerke, wie CAN, MOST und FlexRay. Die Kehrseite der starken Verbreitung von Ethernet ist, dass etwa Mitlesegeräte und das nötige Wissen für deren Nutzung leicht verfügbar sind. So sind beispielsweise „Taps“ (Test Access Points), die bei fehlender Prüfung der Paketlaufzeiten ein unbemerktes Abhören der Kommunikation ermöglichen, gängige Werkzeuge für die Diagnose von Netzwerkproblemen. Die Hürde für einen Angriff auf ein Fahrzeugnetzwerk wird also durch den Umstieg auf Ethernet zunächst tendenziell abgesenkt. Dies wird mit dem beschriebenen Verfahren überkompensiert.
  • Vorteilhaft wird das Datenpaket auf der Bitübertragungsschicht des OSI-Modells versendet. Der tatsächliche Zeitpunkt des Versands kommt dann dem im Datenpaket enthaltenen Zeitstempel am nächsten.
  • Nach dem zuvor Beschriebenen wird vorteilhaft das Bordnetzwerk eines Fahrzeugs als Netzwerk gewählt. Den durch das Verfahren bereitgestellten Effekt, nämlich den Schutz gegen unbefugtes Abhören der Kommunikation und gegen den Austausch von Geräten, kann man außerhalb von Fahrzeugen auch auf andere Weise und mit noch höherem Sicherheitsniveau erzielen, beispielsweise durch den Einsatz von Verschlüsselung. Im Fahrzeug ist es hingegen in der Regel nicht wirtschaftlich, allen mit dem Netzwerk verbundenen Teilnehmern eine für lückenlos verschlüsselte Kommunikation ausreichende Hardwareausstattung zu spendieren. Das beschriebene Verfahren setzt deutlich geringere Hardwareressourcen voraus und steigert somit das Sicherheitsniveau, ohne dass dies zwangsläufig mit höheren Herstellungskosten für das Netzwerk oder daran angeschlossene Geräte gekoppelt wäre.
  • In einer weiteren besonders vorteilhaften Ausgestaltung wird eine Temperatur T1 im Fahrzeug, und/oder eine Umgebungstemperatur T2 , mit einem Temperatursensor gemessen. Die Toleranzzeit, und/oder ein erwarteter Sende- oder Empfangszeitpunkt des Datenpakets, wird einer Änderung der Temperatur T1 , und/oder einer Änderung der Temperatur T2 , nachgeführt.
  • Es wurde erkannt, dass die Temperatur die wichtigste physikalische Einflussgröße ist, die die Laufzeit für die Übermittlung von Paketen ändert. Indem dieser Einfluss zumindest teilweise herauskorrigiert wird, kann die Toleranzzeit insgesamt enger gefasst werden. Daher wird es aus Sicht des Mitlesegeräts schwieriger, den richtigen Zeitpunkt für den Versand von Datenpaketen zu erraten, die an die Stelle von durch den ersten Teilnehmer versandten Datenpaketen treten sollen.
  • Vorteilhaft wird in Antwort auf die Feststellung, dass die Kommunikation unbefugt abgehört wird und/oder dass der erste Teilnehmer unbefugt gegen ein anderes Gerät ausgetauscht wurde, die Funktionalität eines Steuergeräts, eines Navigationssystems und/oder eines Unterhaltungssystems blockiert, eine Wegfahrsperre des Fahrzeugs verriegelt, und/oder das Fahrzeug wird durch Ansteuerung eines Lenksystems, Antriebssystems und/oder Bremssystems des Fahrzeugs das Fahrzeugs aus dem fließenden Verkehr entfernt. Bei den besagten Manipulationen handelt es sich um Ereignisse, die während des bestimmungsgemäßen Gebrauchs des Fahrzeugs durch den Benutzer nicht vorkommen. Es ist auch allgemein bekannt, dass Manipulationen an wichtigen Komponenten des Fahrzeugs nicht erlaubt sind und zum Erlöschen der Betriebserlaubnis führen können. Daher ist eine teilweise oder vollständige Blockade von Funktionalität, oder sogar ein Au-ßerbetriebsetzen des Fahrzeugs, gerechtfertigt.
  • In einer weiteren vorteilhaften Ausgestaltung wird in Antwort darauf, dass die Laufzeit außerhalb eines Bereiches zwischen einem unteren Schwellwert und einem oberen Schwellwert liegt, festgestellt, dass das Netzwerk manipuliert wurde. Dabei sind die hiermit erfassbaren Manipulationen nicht auf das Abhören der Kommunikation und den Austausch von Geräten beschränkt. Vielmehr lassen sich beispielsweise auch Änderungen der Architektur des Netzwerks erfassen. Die Laufzeit kann sich beispielsweise verändern, wenn sich die Entfernung zwischen dem ersten und zweiten Teilnehmer ändert oder wenn für die Verbindung ein anderer Kabeltyp verwendet wird.
  • Wenn ein oberer und unterer Schwellwert verwendet werden, dann kann vorteilhaft geprüft werden, ob die Summe aus Laufzeit und Wartezeit zwischen dem unteren Schwellwert und dem oberen Schwellwert liegt. Wenn dies nicht der Fall ist, kann die Wartezeit entsprechend angepasst werden, beispielsweise durch Addieren des unteren Schwellwerts, falls die Summe unterhalb des unteren Schwellwerts liegt, oder durch Subtrahieren des oberen Schwellwerts, falls die Summe oberhalb des oberen Schwellwerts liegt. Auf diese Weise kann vermieden werden, dass der zweite Teilnehmer das Abwarten der Wartezeit bereits fälschlicherweise als Manipulation wertet.
  • Wie zuvor beschrieben, ist ein wesentlicher Vorteil des Verfahrens, dass es sich auch ohne den Einsatz zusätzlicher Hardware die vom ersten Teilnehmer zum zweiten Teilnehmer führende Leitung als Mittel zur hardwaremäßigen Erzeugung von Entropie für die zufällige Bildung der Wartezeit zu Nutze machen kann. Dieses Verfahren kann insbesondere in Form einer Software implementiert sein, die als Update oder Upgrade zu bestehender Software oder Firmware von Teilnehmern am Netzwerk vertrieben werden kann und insofern ein eigenständiges Produkt darstellt. Daher bezieht sich die Erfindung auch auf ein Computerprogramm mit maschinenlesbaren Anweisungen, die, wenn sie auf einem Computer, auf einem Steuergerät, und/oder auf einem Embedded-System ausgeführt werden, den Computer, das Steuergerät, bzw. das Embedded-System, dazu veranlassen, das beschriebene Verfahren auszuführen. Ebenso bezieht sich die Erfindung auch auf einen maschinenlesbaren Datenträger oder ein Downloadprodukt mit dem Computerprogramm.
  • Grundsätzlich kann das Verfahren auch außerhalb von Fahrzeugen vor allem im Bereich von Embedded-Systemen eingesetzt werden. Je nach Einsatzbereich dieser Systeme gibt es auch dort hohe Sicherheitsanforderungen, während gleichzeitig nur geringe Rechenleistung zur Implementierung zusätzlicher Sicherheitsmechanismen zur Verfügung steht. Auch sind die Zyklen, in denen die Hardware-Plattformen überarbeitet werden, vergleichsweise lang, insbesondere dann, wenn jede solche Überarbeitung eine bestehende Zertifizierung der Plattform ungültig macht und eine erneute Abnahme erfordert.
  • Nachfolgend wird der Gegenstand der Erfindung anhand von Figuren erläutert, ohne dass der Gegenstand der Erfindung hierdurch beschränkt wird. Es ist gezeigt:
    • 1: Ausführungsbeispiel des Verfahrens 100;
    • 2: Angriffsszenario auf Netzwerk 3 mit Mitlesegerät 6;
    • 3: Angriffsszenario auf Netzwerk 3 mit Austausch des ersten Teilnehmers 1 gegen ein anderes Gerät 1'.
  • 1 zeigt ein Ausführungsbeispiel des Verfahrens 100. Im optionalen Schritt 101 wird ein Ethernet-Netzwerk als Netzwerk 3 gewählt. Im optionalen Schritt 102 wird ein Bordnetzwerk eines Fahrzeugs 5 als Netzwerk 3 gewählt.
  • In Schritt 110 ermittelt der erste Teilnehmer 1 des Netzwerks 3 eine Laufzeit 11 für die Datenübermittlung zum zweiten Teilnehmer 2, was insbesondere im Rahmen einer Zeitsynchronisation 105 zwischen dem ersten Teilnehmer 1 und dem zweiten Teilnehmer 2 geschehen kann.
  • In Schritt 115 ermittelt der erste Teilnehmer 1 weiterhin einen Zufallswert 12, der in Schritt 120 zu der Laufzeit 11 addiert wird, um eine Wartezeit 13 zu bilden. Die Wartezeit 13 wird in Schritt 130 abgewartet.
  • Danach wird in Schritt 140 ein Datenpaket 4 mit einem Zeitstempel 41 erzeugt und in Schritt 150 an den zweiten Teilnehmer 2 gesendet. Der zweite Teilnehmer 2 registriert in Schritt 160 den Zeitpunkt 42, zu dem er das Datenpaket 4 empfangen hat. In Schritt 170 wird dieser Zeitpunkt 42 mit dem Zeitstempel 41 verglichen. Wird
    • - in Schritt 181 festgestellt, dass das Datenpaket 4 vor dem im Zeitstempel 41 angegebenen Zeitpunkt eingetroffen ist,
    • - in Schritt 182 festgestellt, dass es um mehr als eine vorgegebene Toleranzzeit nach dem im Zeitstempel 41 angegebenen Zeitpunkt eingetroffen ist,
    • - in Schritt 183 festgestellt, dass es vor einem Zeitpunkt eintrifft, zu dem es beim zweiten Teilnehmer 2 erwartet werden kann,
    • - in Schritt 184 festgestellt, dass es um mehr als eine vorgegebene Toleranzzeit nach einem Zeitpunkt eintrifft, zu dem es beim zweiten Teilnehmer erwartet werden kann,
    • - in Schritt 185 festgestellt, dass der Zeitstempel 41 vor dem Zeitpunkt liegt, zu dem der erste Teilnehmer 1 das Datenpaket 4 versendet haben kann, oder
    • - in Schritt 186 festgestellt, dass der Zeitstempel 41 um mehr als eine vorgegebene Toleranzzeit nach dem Zeitpunkt liegt, zu dem der erste Teilnehmer 1 das Datenpaket 4 versendet haben kann, so wird dies in Schritt 180 dahingehend gewertet, dass die Kommunikation zwischen dem ersten Teilnehmer 1 und dem zweiten Teilnehmer 2 unbefugt abgehört wird.
  • Dabei kann der frühestmögliche Zeitpunkt, zu dem das Datenpaket 4 beim zweiten Teilnehmer 2 erwartet werden kann, sich beispielsweise aus dem Zeitpunkt ergeben, zu dem der zweite Teilnehmer 2 eine in 1 nicht eingezeichnete Anfrage 20 an den ersten Teilnehmer 1 gesendet hat. Ein in Antwort auf eine solche Anfrage 20 gesendetes Datenpaket 4 muss dann realistischerweise um mindestens die Zeit verzögert sein, die für Hin- und Rückweg durch das Netzwerk 3 mindestens benötigt wird. Trifft das Datenpaket 4 früher ein, kann es nur ein vorgefertigtes Datenpaket 4' sein, das von einem in 1 nicht eingezeichneten Mitlesegerät 6 stammt.
  • Ebenso kann der Zeitpunkt der Anfrage 20 des zweiten Teilnehmers 2 auch den Zeitpunkt festlegen, zu dem der erste Teilnehmer 1 das Datenpaket 4 laut Zeitstempel 41 frühestens gesendet haben kann: Der erste Teilnehmer 1 kann die Antwort 4 realistischerweise nicht gesendet haben, bevor er die Anfrage 20 frühestens erhalten haben kann.
  • Unstimmigkeiten zwischen dem Zeitstempel 41 und dem Zeitpunkt, zu dem der zweite Teilnehmer 2 das Datenpaket 4 erhalten hat, können auch dann detektiert werden, wenn das Datenpaket 4 keine Antwort auf eine vorherige Anfrage des zweiten Teilnehmers 2 ist. Solche Unstimmigkeiten können entstehen, weil ein eventuelles Mitlesegerät 6 ein gefälschtes Datenpaket 4' weder aus einem mitgelesenen echten Datenpaket 4 des ersten Teilnehmers 1 noch aus einer mitgelesenen Anfrage 20 des zweiten Teilnehmers 2 generieren kann. Ein solchermaßen generiertes gefälschtes Datenpaket 4' wäre auf jeden Fall zu spät fertig und noch später beim zweiten Teilnehmer 2. Vielmehr muss das gefälschte Datenpaket 4' vorab produziert und zu einem vorhergesagten bzw. geratenen Sendezeitpunkt versendet werden.
  • Im optionalen Schritt 171 wird eine Temperatur T1 im Fahrzeug 5, und/oder eine Umgebungstemperatur T2 , mit einem Temperatursensor gemessen. Im optionalen Schritt 172 wird die Toleranzzeit, und/oder ein erwarteter Sende- oder Empfangszeitpunkt des Datenpakets 4, einer Änderung der Temperatur T1 , und/oder einer Änderung der Temperatur T2 , nachgeführt.
  • Im optionalen Schritt 175 kann eine Historie 21 über die Ergebnisse der Vergleiche 170 geführt werden. Wenn dann in Schritt 187 festgestellt wird, dass das Ergebnis eines neuen Vergleichs 170 signifikant von der Historie 21 abweicht, dann kann ebenfalls in Schritt 180 auf ein unbefugtes Abhören der Kommunikation geschlossen werden.
  • Es kann weiterhin geprüft werden, ob die Laufzeit 11 überhaupt in einem plausiblen Intervall zwischen einer unteren Schwelle 11a und einer oberen Schwelle 11b liegt. Wenn dies nicht der Fall ist (Wahrheitswert 0), so kann in Schritt 188 festgestellt werden, dass das Netzwerk 3 manipuliert wurde.
  • Wenn das plausible Intervall hingegen eingehalten wird (Wahrheitswert 1) und wenn zugleich die vorherigen Prüfungen 181-187 unauffällig waren (jeweils Wahrheitswert 0), dann kann geprüft werden, ob eine zeitliche oder ereignisbezogene Abbruchbedingung 190 erfüllt ist. Ist dies nicht der Fall (Wahrheitswert 0), kann in Schritt 200, gegebenenfalls nach Abwarten einer normalen periodischen Zykluszeit, zum Abwarten der zufällig bestimmten Wartezeit 13 zurückverzweigt werden, d.h., die vorhandene Wartezeit 13 kann für den nächsten Zyklus weiter verwendet werden.
  • Ist die Abbruchbedingung 190 hingegen erfüllt, so kann in Schritt 191 die Ermittlung 110 der Laufzeit 11 erneuert werden, und/oder es kann in Schritt 192 die Ermittlung 115 des Zufallswerts 12 erneuert werden.
  • In Antwort auf die Feststellung 180, dass die Kommunikation unbefugt abgehört wird und/oder dass der erste Teilnehmer 1 unbefugt gegen ein anderes Gerät 1' ausgetauscht wurde, und/oder in Antwort auf die Feststellung 188, dass das Netzwerk 3 überhaupt manipuliert wurde, kann in den Schritten 210-230 reagiert werden. So kann in Schritt 210 die Funktionalität eine Steuergeräts 51, eines Navigationssystems 52 und/oder eines Unterhaltungssystems 53 blockiert werden. In Schritt 220 kann eine Wegfahrsperre 54 des Fahrzeugs 5 verriegelt werden. In Schritt 230 kann durch Ansteuerung eines Lenksystems 55, Antriebssystems 56 und/oder Bremssystems 57 das Fahrzeug 5 aus dem fließenden Verkehr entfernt werden.
  • 2 zeigt ein mögliches Angriffsszenario, bei dem ein Mitlesegerät 6 in ein Netzwerk 3 mit einem ersten Teilnehmer 1 und einem zweiten Teilnehmer 2 eingeschleift ist. Wäre das Mitlesegerät 6 nicht vorhanden, so würden Datenpakete unmittelbar zwischen dem PHY 1a des Teilnehmers 1 und dem PHY 2a des Teilnehmers 2 übertragen. Das Mitlesegerät 6 führt zwei weitere PHYs 6a und 6b in den Laufweg für die Datenpakete ein, was entsprechende Verzögerungen zur Folge hat.
  • In der in 2 gezeigten Situation schickt der zweite Teilnehmer 2 eine Anfrage 20 an den ersten Teilnehmer 1 und erwartet hierauf eine Antwort. Die Verzögerung durch die beiden zusätzlichen PHYs 6a und 6b des Mitlesegeräts 6 ist insgesamt so groß, dass eine erst in Reaktion auf die Anfrage 20 oder gar auf das echte Datenpaket 4 vom ersten Teilnehmer 1 generiertes gefälschtes Datenpaket 4' mit Zeitstempel 41' zu spät fertig wäre, um nahe genug zu der Zeit beim zweiten Teilnehmer zu sein, zu der dort in Abwesenheit des Mitlesegeräts 6 das echte Datenpaket 4 mit Zeitstempel 41 eintreffen würde. Stattdessen muss das Mitlesegerät 6 das gefälschte Datenpaket 4' und dessen Zeitstempel 41' bereits erstellen, bevor der zweite Teilnehmer 2 die Anfrage 20 sendet. Das Mitlesegerät 6 muss also den Zeitpunkt, zu dem der erste Teilnehmer 1 das Datenpaket 4 absendet, erraten. Dies wird durch die zufällig bestimmte Wartezeit 13 erschwert.
  • 3 zeigt ein weiteres mögliches Angriffsszenario, bei dem in dem Netzwerk 3 der erste Teilnehmer 1 gegen ein anderes Gerät 1' mit PHY 1a' ausgetauscht wurde. Der Teilnehmer 1 würde normalerweise ein Datenpaket 4 mit Zeitstempel 41 senden. Das Austauschgerät 1' sendet stattdessen ein gefälschtes Datenpaket 4' mit Zeitstempel 41'. Da der PHY 1a' sich unweigerlich vom PHY 1a des ursprünglichen ersten Teilnehmers 1 unterscheidet, verursacht er eine andere Verzögerung zwischen der Erstellung des Zeitstempels 41' und der Erstellung des Datenpakets 4 als der ursprüngliche PHY zwischen der Erstellung des Zeitstempels 41 und der Erstellung des Datenpakets 4 verursacht hätte. Dies führt dazu, dass sich auf Seiten des zweiten Teilnehmers 2 ein signifikant anderer Versatz zwischen dem Eintreffen des Datenpakets 4' und dem in ihm enthaltenen Zeitstempel 41' zeigt. Der zweite Teilnehmer 2 hat vor dem Austausch des ersten Teilnehmers 1 gegen das andere Gerät 1' eine Historie 21 des Versatzes angelegt und kann daher den Austausch erkennen.
  • Bezugszeichenliste
    • 1
    erster Teilnehmer des Netzwerks 3
    1'
    Austauschgerät für ersten Teilnehmer 1
    1a
    PHY-Schnittstelle des ersten Teilnehmers 1
    1a'
    PHY-Schnittstelle des Austauschgeräts 1'
    11
    Laufzeit von erstem Teilnehmer 1 zu zweitem Teilnehmer 2
    11a
    untere Schwelle für Laufzeit 11
    11b
    obere Schwelle für Laufzeit 11
    12
    zufälliger Wert
    13
    Wartezeit, gebildet aus Laufzeit 11 und zufälligem Wert 12
    2
    zweiter Teilnehmer des Netzwerks 3
    2a
    PHY-Schnittstelle des zweiten Teilnehmers 1
    20
    Anfrage, gesendet vom zweiten Teilnehmer 2
    21
    Historie der Ergebnisse von Vergleichen 170
    3
    Netzwerk
    4
    echtes Datenpaket vom ersten Teilnehmer 1
    4'
    gefälschtes Datenpaket
    41
    Zeitstempel des echten Datenpakets 4
    41'
    Zeitstempel des gefälschten Datenpakets 4'
    5
    Fahrzeug
    51
    Steuergerät des Fahrzeugs 5
    52
    Navigationssystem des Fahrzeugs 5
    53
    Unterhaltungssystem des Fahrzeugs 5
    54
    Wegfahrsperre des Fahrzeugs 5
    55
    Lenksystem des Fahrzeugs 5
    56
    Antriebssystem des Fahrzeugs 5
    57
    Bremssystem des Fahrzeugs 5
    6
    Mitlesegerät
    6a
    erster PHY des Mitlesegeräts 6
    6b
    zweiter PHY des Mitlesegeräts 6
    100
    Verfahren
    101
    Auswahl eines Ethernet-Netzwerks als Netzwerk 3
    102
    Auswahl eines Fahrzeug-Bordnetzes als Netzwerk 3
    105
    Zeitsynchronisation zwischen Teilnehmern 1 und 2
    110
    Ermittlung der Laufzeit 11
    115
    Ermittlung des zufälligen Werts 12
    120
    Bildung der Wartezeit 13
    130
    Abwarten der Wartezeit 13
    140
    Erstellung des Datenpakets 4 mit Zeitstempel 41
    150
    Versenden des Datenpakets 4 an den zweiten Teilnehmer 2
    160
    Registrieren des Empfangszeitpunkts 42 durch Teilnehmer 2
    170
    Vergleich des Empfangszeitpunkts 42 mit Zeitstempel 41
    171
    Bestimmung der Temperatur T1 und/oder T2
    172
    temperaturabhängige Nachführung
    175
    Vergleich mit Historie 21
    180
    Feststellung, dass Kommunikation abgehört/Gerät getauscht
    181
    Eintreffen des Pakets 4 vor Zeitstempel 41
    182
    Eintreffen des Pakets 4 zu spät nach Zeitstempel 41
    183
    Eintreffen des Pakets 4 vor erwartbarer Zeit
    184
    Eintreffen des Pakets 4 zu spät nach erwartbarer Zeit
    185
    Eintreffen des Pakets 4 vor möglichem Versand
    186
    Eintreffen des Pakets 4 zu spät nach möglichem Versand
    187
    Abweichen von Historie 21
    188
    Feststellung, dass Netzwerk 3 manipuliert wurde
    190
    Abbruchbedingung
    191
    Erneuerung der Laufzeit 11
    192
    Erneuerung des Zufallswerts 12
    200
    Weiterverwendung der Wartezeit 13 für nächsten Zyklus
    210
    Blockieren eines Systems 51-54
    220
    Verriegelung der Wegfahrsperre 54
    230
    Entfernung des Fahrzeugs 5 aus fließendem Verkehr
    t
    Zeit
    T1
    Temperatur im Fahrzeug 5
    T2
    Umgebungstemperatur

Claims (13)

  1. Verfahren (100) zur Erkennung eines unbefugten Abhörens der Kommunikation zwischen einem ersten Teilnehmer (1) und einem zweiten Teilnehmer (2) eines Netzwerks (3) mit den Schritten: • der erste Teilnehmer (1) ermittelt (110) eine Laufzeit (11) für die Datenübermittlung über das Netzwerk (3) zum zweiten Teilnehmer (2); • der erste Teilnehmer (1) ermittelt (115) einen Zufallswert (12) und addiert (120) den Zufallswert (12) zu der Laufzeit (11), um eine Wartezeit (13) zu erhalten; • der erste Teilnehmer (1) wartet (130) die Wartezeit (13) ab, erstellt (140) mindestens ein Datenpaket (4), das einen Zeitstempel (41) enthält, und sendet (150) dieses Datenpaket (4) an den zweiten Teilnehmer (2); • der zweite Teilnehmer (2) registriert (160) den Zeitpunkt (42), zu dem er das Datenpaket (4) empfängt, und vergleicht (170) diesen Zeitpunkt (42) mit dem in dem Datenpaket (4) enthaltenen Zeitstempel (41); • der zweite Teilnehmer (2) wertet (180) die Feststellung, dass das Datenpaket (4) vor dem im Zeitstempel (41) angegebenen Zeitpunkt eingetroffen ist (181), dass es um mehr als eine vorgegebene Toleranzzeit nach dem im Zeitstempel (41) angegebenen Zeitpunkt eingetroffen ist (182) oder dass es vor (183) oder um mehr als eine vorgegebene Toleranzzeit nach (184) einem Zeitpunkt eintrifft, zu dem es beim zweiten Teilnehmer (2) erwartet werden kann, als Zeichen dafür, dass die Kommunikation zwischen dem ersten Teilnehmer (1) und dem zweiten Teilnehmer (2) unbefugt abgehört wird.
  2. Verfahren (100) nach Anspruch 1, wobei zum Abwarten (130) der Wartezeit (13) und anschließendem Erstellen (140) und Senden (150) des nächsten Datenpakets (4) zurück verzweigt wird (200), bis eine vorgegebene zeitliche oder ereignisbasierte Abbruchbedingung (190) erfüllt ist, wobei in Antwort darauf, dass die Abbruchbedingung (190) erfüllt ist, zum Ermitteln (110) der Laufzeit (11) zurück verzweigt wird (191) oder zum Ermitteln (115) des Zufallswerts (12) zurück verzweigt wird (192).
  3. Verfahren (100) nach einem der Ansprüche 1 bis 2, wobei die Laufzeit (11) im Zuge einer Zeitsynchronisation (105) zwischen dem ersten Teilnehmer (1) und dem zweiten Teilnehmer (2) ermittelt wird (110).
  4. Verfahren (100) nach einem der Ansprüche 1 bis 3, wobei der zweite Teilnehmer eine Historie (21) über die Ergebnisse der Vergleiche (170) führt (175) und die Feststellung, dass das Ergebnis eines neuen Vergleichs (170) signifikant von dieser Historie (21) abweicht (187), als Zeichen dafür wertet (180), dass die Kommunikation zwischen dem ersten Teilnehmer (1) und dem zweiten Teilnehmer (2) unbefugt abgehört wird, und/oder dass der erste Teilnehmer (1) unbefugt gegen ein anderes Gerät (1') ausgetauscht wurde.
  5. Verfahren (100) nach einem der Ansprüche 1 bis 4, wobei der zweite Teilnehmer (2) zusätzlich auch die Feststellung, dass der Zeitstempel (41) vor (185) oder um mehr als eine vorgegebene Toleranzzeit nach (186) dem Zeitpunkt liegt, zu dem der erste Teilnehmer (1) das Datenpaket (4) versendet haben kann, als Zeichen dafür wertet, dass die Kommunikation zwischen dem ersten Teilnehmer (1) und dem zweiten Teilnehmer (2) unbefugt abgehört wird.
  6. Verfahren (100) nach einem der Ansprüche 1 bis 5, wobei ein Ethernet-Netzwerk als Netzwerk (3) gewählt wird (101).
  7. Verfahren (100) nach einem der Ansprüche 1 bis 6, wobei das Datenpaket (4) auf der Bitübertragungsschicht des OSI-Modells versendet wird (150).
  8. Verfahren (100) nach einem der Ansprüche 1 bis 7, wobei ein Bordnetzwerk eines Fahrzeugs (5) als Netzwerk (3) gewählt wird (102) .
  9. Verfahren nach Anspruch 8, wobei eine Temperatur T1 im Fahrzeug (5), und/oder eine Umgebungstemperatur T2, mit einem Temperatursensor gemessen wird (171) und wobei die Toleranzzeit, und/oder ein erwarteter Sende- oder Empfangszeitpunkt des Datenpakets (4), einer Änderung der Temperatur T1, und/oder einer Änderung der Temperatur T2, nachgeführt wird (172).
  10. Verfahren (100) nach einem der Ansprüche 8 bis 9, wobei in Antwort auf die Feststellung (180), dass die Kommunikation unbefugt abgehört wird und/oder dass der erste Teilnehmer (1) unbefugt gegen ein anderes Gerät (1') ausgetauscht wurde, die Funktionalität eines Steuergeräts (51), eines Navigationssystems (52) und/oder eines Unterhaltungssystems (53) blockiert wird (210), eine Wegfahrsperre (54) des Fahrzeugs (5) verriegelt wird (220), und/oder durch Ansteuerung eines Lenksystems (55), Antriebssystems (56) und/oder Bremssystems (57) des Fahrzeugs (5) das Fahrzeug (5) aus dem fließenden Verkehr entfernt wird (230) .
  11. Verfahren (100) nach einem der Ansprüche 1 bis 10, wobei in Antwort darauf, dass die Laufzeit (11) außerhalb eines Bereiches zwischen einem unteren Schwellwert (11a) und einem oberen Schwellwert (11b) liegt, festgestellt wird (188), dass das Netzwerk (3) manipuliert wurde.
  12. Computerprogramm, enthaltend maschinenlesbare Anweisungen, die, wenn sie auf einem Computer, auf einem Steuergerät, und/oder auf einem Embedded-System ausgeführt werden, den Computer, das Steuergerät, bzw. das Embedded-System, dazu veranlassen, ein Verfahren (100) nach einem der Ansprüche 1 bis 10 auszuführen.
  13. Maschinenlesbarer Datenträger oder Downloadprodukt mit dem Computerprogramm (100) nach Anspruch 12.
DE102018213898.2A 2018-08-17 2018-08-17 Überwachung einer Netzwerkverbindung auf Abhören Active DE102018213898B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102018213898.2A DE102018213898B4 (de) 2018-08-17 2018-08-17 Überwachung einer Netzwerkverbindung auf Abhören
CN201980053775.6A CN112567694A (zh) 2018-08-17 2019-08-15 对网络连接窃听情况的监测
PCT/EP2019/071973 WO2020035576A1 (de) 2018-08-17 2019-08-15 Überwachung einer netzwerkverbindung auf abhören
US17/267,895 US11647045B2 (en) 2018-08-17 2019-08-15 Monitoring a network connection for eavesdropping

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018213898.2A DE102018213898B4 (de) 2018-08-17 2018-08-17 Überwachung einer Netzwerkverbindung auf Abhören

Publications (2)

Publication Number Publication Date
DE102018213898A1 DE102018213898A1 (de) 2020-02-20
DE102018213898B4 true DE102018213898B4 (de) 2020-03-19

Family

ID=67660567

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018213898.2A Active DE102018213898B4 (de) 2018-08-17 2018-08-17 Überwachung einer Netzwerkverbindung auf Abhören

Country Status (4)

Country Link
US (1) US11647045B2 (de)
CN (1) CN112567694A (de)
DE (1) DE102018213898B4 (de)
WO (1) WO2020035576A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11259082B2 (en) * 2019-10-22 2022-02-22 Synamedia Limited Systems and methods for data processing, storage, and retrieval from a server
DE102019217035B4 (de) 2019-11-05 2021-11-25 Continental Automotive Gmbh Verfahren zur Sicherung der Zeitsynchronisation in einem Netzwerk gegen unautorisierte Änderungen
US20220014529A1 (en) * 2021-09-24 2022-01-13 Intel Corporation Detecting clock synchronization attacks with pseudo-randomization of frames in the protected window
CN115766229A (zh) * 2022-11-16 2023-03-07 珠海格力电器股份有限公司 异常的检测方法、装置及系统、服务器、存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014200558A1 (de) * 2014-01-15 2015-07-16 Bayerische Motoren Werke Aktiengesellschaft Gesicherter Netzwerk-Zugangsschutz über authentifizierte Zeitmessung
DE102014214823A1 (de) * 2014-07-29 2016-02-04 Bayerische Motoren Werke Aktiengesellschaft Bestimmung einer Verzögerung

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI106509B (fi) 1997-09-26 2001-02-15 Nokia Networks Oy Laillinen salakuuntelu tietoliikenneverkossa
WO1999059293A1 (en) * 1998-05-13 1999-11-18 Telefonaktiebolaget Lm Ericsson (Publ) Data transfer method with varying packet transmission time interval security protocol
US20080104672A1 (en) * 2006-10-25 2008-05-01 Iovation, Inc. Detecting and preventing man-in-the-middle phishing attacks
RU2351066C1 (ru) * 2008-03-03 2009-03-27 Общество с ограниченной ответственностью "АЛЬТОНИКА" (ООО "АЛЬТОНИКА") Способ радиосвязи между охраняемыми объектами и пунктом централизованной охраны
US20100088766A1 (en) * 2008-10-08 2010-04-08 Aladdin Knoweldge Systems Ltd. Method and system for detecting, blocking and circumventing man-in-the-middle attacks executed via proxy servers
US8824285B1 (en) * 2009-12-16 2014-09-02 Dnutch Associates, Inc. System and method for collision detection and avoidance during packet based communications
CN101977104B (zh) * 2010-11-13 2013-01-09 上海交通大学 基于ieee1588精确时钟同步协议系统及其同步方法
EP2618502A1 (de) * 2012-01-19 2013-07-24 ABB Technology AG Datenübertragung über ein paketvermitteltes Netzwerk
DE102012216689B4 (de) 2012-09-18 2017-05-04 Continental Automotive Gmbh Verfahren zur Überwachung eines Ethernet-basierten Kommunikationsnetzwerks in einem Kraftfahrzeug
US20190379653A1 (en) * 2013-04-08 2019-12-12 Titanium Crypt, Inc. Accelerated communication attack detection
DE102013212106B4 (de) 2013-06-25 2015-10-08 Continental Automotive Gmbh Verfahren zum Korrigieren einer ersten Uhrzeit eines Kraftfahrzeugs und Anordnung für ein Kraftfahrzeug
WO2015095631A1 (en) 2013-12-20 2015-06-25 Kamath Uday Krishna Communications security
DE102014204033A1 (de) 2014-03-05 2015-09-10 Robert Bosch Gmbh Verfahren zum Überwachen eines Kommunikationsnetzwerkes
CN104967998B (zh) * 2015-07-15 2019-02-22 福州大学 一种防止信标攻击的无线组网通信方法
DE102015213845A1 (de) * 2015-07-22 2017-01-26 Robert Bosch Gmbh Verfahren und Vorrichtung zur Validierung eines Zeitstempels einer Datenübertragung
US11539743B2 (en) * 2017-12-13 2022-12-27 B. G. Negev Technologies And Applications Ltd. Echo detection of Man-in-the-Middle LAN attacks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014200558A1 (de) * 2014-01-15 2015-07-16 Bayerische Motoren Werke Aktiengesellschaft Gesicherter Netzwerk-Zugangsschutz über authentifizierte Zeitmessung
DE102014214823A1 (de) * 2014-07-29 2016-02-04 Bayerische Motoren Werke Aktiengesellschaft Bestimmung einer Verzögerung

Also Published As

Publication number Publication date
DE102018213898A1 (de) 2020-02-20
US20210194922A1 (en) 2021-06-24
WO2020035576A1 (de) 2020-02-20
US11647045B2 (en) 2023-05-09
CN112567694A (zh) 2021-03-26

Similar Documents

Publication Publication Date Title
DE102018213898B4 (de) Überwachung einer Netzwerkverbindung auf Abhören
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP1298850B1 (de) Verfahren und Vorrichtung zur Überwachung eines Bussystems und Bussystem
EP1622320B1 (de) Kommunikationsverfahren für wenigstens zwei Systemkomponenten eines Kraftfahrzeugs
DE102019113026A1 (de) Automobile nonce-missbrauchs-widerstandsfähige authentifizierte verschlüsselung
DE112018003781T5 (de) Kontoverwaltungsvorrichtung, kontoverwaltungssystem, und fahrzeuggebundene informationsbereitstellungsvorrichtung
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102016206630A1 (de) Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
DE102021203094A1 (de) Kommunikationsnetzwerksystem für Fahrzeuge sowie dessen Betriebsverfahren
DE102017218134B3 (de) Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge
DE10028500A1 (de) Verfahren zur Installation von Software in einer Hardware
DE102014214823A1 (de) Bestimmung einer Verzögerung
EP1287655B1 (de) Verfahren zur authentizitätssicherung von hard- und software in einem vernetzten system
DE102012210327A1 (de) Verfahren zum Übertragen von Nachrichten in einem Kommunikationssystem, insbesondere eines Fahrzeugs
DE102019220096B4 (de) Verfahren zur Absicherung der Zeitsynchronisation eines Ethernet-Bordnetzes
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
DE102012204536A1 (de) Netzwerk und Verfahren zur Übertragung von Daten über ein gemeinsames Übertragungsmedium
EP4009683B1 (de) Verfahren zur synchronisation von uhren von mindestens zwei geräten
DE102014001270A1 (de) Verfahren und System zur Berechnung von Codewörtern für geschützte Datenübertragungen
EP3826226A1 (de) Verfahren zur fahrtenregistrierung für eine eisenbahntechnische anlage und registrierungsteilnehmer
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
EP1455312B1 (de) Verfahren und Einrichtung zur Wartung von sicherheitsrelevanten Programmcode eines Kraftfahrzeuges
DE102018132979A1 (de) Abgesichertes und intelligentes Betreiben einer Ladeinfrastruktur
DE102017210647A1 (de) Verfahren und Vorrichtung zum Erkennung eines Angriffes auf einen Feldbus
WO2023169926A1 (de) Nachvollziehbares anfordern eines zertifikats durch eine registrierungsstelle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE