DE102018214587A1 - Method for checking the security of an in-vehicle communication system against attacks - Google Patents
Method for checking the security of an in-vehicle communication system against attacks Download PDFInfo
- Publication number
- DE102018214587A1 DE102018214587A1 DE102018214587.3A DE102018214587A DE102018214587A1 DE 102018214587 A1 DE102018214587 A1 DE 102018214587A1 DE 102018214587 A DE102018214587 A DE 102018214587A DE 102018214587 A1 DE102018214587 A1 DE 102018214587A1
- Authority
- DE
- Germany
- Prior art keywords
- vehicle
- attack
- control device
- communication system
- security devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 43
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000004088 simulation Methods 0.000 claims abstract description 19
- 238000006243 chemical reaction Methods 0.000 claims description 27
- 238000012360 testing method Methods 0.000 claims description 16
- 230000001502 supplementing effect Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
Die Erfindung betrifft ein Verfahren zum Überprüfen der Sicherung eines fahrzeuginternen Kommunikationssystems (10) gegen Angriffe, mit den Schritten: Simulieren eines Angriffs auf zumindest eine Steuerungseinrichtung (14a-14d) des fahrzeuginternen Kommunikationssystems (10) durch eine fahrzeuginterne Angriffseinrichtung (12), wobei die zumindest eine Steuerungseinrichtung (14a-14d) eine oder mehrere Sicherungseinrichtungen (16a-16d) aufweist, und Überprüfen der Funktionalität der einen oder der mehreren Sicherungseinrichtungen (16a-16d) der zumindest einen Steuerungseinrichtung (14a-14d) nach und/oder während dem Simulieren des Angriffs.The invention relates to a method for checking the security of an in-vehicle communication system (10) against attacks, comprising the steps of: simulating an attack on at least one control device (14a-14d) of the in-vehicle communication system (10) by an in-vehicle attack device (12), the at least one control device (14a-14d) has one or more safety devices (16a-16d), and checking the functionality of the one or more safety devices (16a-16d) of the at least one control device (14a-14d) after and / or during the simulation of the attack.
Description
Die Erfindung betrifft ein Verfahren zum Überprüfen der Sicherung eines fahrzeuginternen Kommunikationssystems gegen Angriffe.The invention relates to a method for checking the security of an in-vehicle communication system against attacks.
Ferner betrifft die Erfindung ein Kommunikationssystem für ein Fahrzeug, mit zumindest einer fahrzeuginternen Steuerungseinrichtung, welche eine oder mehrere Sicherungseinrichtungen aufweist.Furthermore, the invention relates to a communication system for a vehicle, with at least one in-vehicle control device which has one or more security devices.
Fahrzeuginterne Kommunikationssysteme, wie beispielsweise CAN-Bus-Systeme, weisen üblicherweise Steuerungseinrichtungen auf, welche als Electronic Control Unit (ECU) ausgebildet sein können. Zur Sicherung des fahrzeuginternen Kommunikationssystems können die Steuerungseinrichtungen Sicherungseinrichtungen, wie etwa Firewalls, Anomalie-Detektionssysteme (ADS) oder Eindringdetektionssysteme (IDS) aufweisen. Derartige Systeme können beispielsweise Angriffe erkennen und/oder verhindern, welche auf ungültigen CAN-Nachrichten oder Pufferüberläufen basieren.In-vehicle communication systems, such as CAN bus systems, usually have control devices which can be designed as an electronic control unit (ECU). To secure the in-vehicle communication system, the control devices can have security devices such as firewalls, anomaly detection systems (ADS) or intrusion detection systems (IDS). Such systems can detect and / or prevent attacks that are based on invalid CAN messages or buffer overflows, for example.
Zum Überprüfen der Sicherung eines fahrzeuginternen Kommunikationssystems wird im Stand der Technik bisher ein Diagnosemodus genutzt, in welchem ein Fehlerspeicher des fahrzeuginternen Kommunikationssystems bzw. des Fahrzeugs ausgelesen wird. Hierbei besteht das Problem, dass Angreifer auch aktiv den Fehlerspeicher und/oder die Sicherungseinrichtungen manipulieren können. Es kann also bisher nicht ohne Weiteres sichergestellt werden, dass die Sicherungseinrichtungen des fahrzeuginternen Kommunikationssystems ordnungsgemäß, das heißt gemäß ihrer Spezifikationen, arbeiten.To check the security of an in-vehicle communication system, a diagnostic mode has been used in the prior art in which a fault memory of the in-vehicle communication system or the vehicle is read out. The problem here is that attackers can also actively manipulate the error memory and / or the security devices. So far, it has not been possible to ensure without further ado that the security devices of the in-vehicle communication system work properly, that is, according to their specifications.
Die der Erfindung zugrundeliegende Aufgabe besteht somit darin, das Überprüfen der Sicherung eines fahrzeuginternen Kommunikationssystems zu verbessern.The object on which the invention is based is therefore to improve the checking of the security of an in-vehicle communication system.
Die Aufgabe wird gelöst durch ein Verfahren der eingangs genannten Art, wobei im Rahmen des erfindungsgemäßen Verfahrens ein Angriff auf zumindest eine Steuerungseinrichtung des fahrzeuginternen Kommunikationssystems durch eine fahrzeuginterne Angriffseinrichtung simuliert wird, wobei zumindest eine Steuerungseinrichtung eine oder mehrere Sicherungseinrichtungen aufweist. Ferner wird die Funktionalität der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung nach und/oder während dem Simulieren des Angriffs überprüft.The object is achieved by a method of the type mentioned at the outset, an attack on at least one control device of the in-vehicle communication system being simulated by an on-board attack device in the context of the inventive method, at least one control device having one or more security devices. Furthermore, the functionality of the one or more security devices of the at least one control device is checked after and / or during the simulation of the attack.
Die Erfindung macht sich die Erkenntnis zunutze, dass Angriffssimulationen auf fahrzeuginterne Sicherungseinrichtungen und die Reaktion von Sicherungseinrichtungen auf entsprechend simulierte Angriffe nicht ohne Weiteres manipulierbar sind, sodass Angriffssimulationen zur Bewertung der Funktionalität von Sicherungseinrichtungen fahrzeuginterner Kommunikationssysteme verwendet werden können. Auf diese Weise kann zuverlässig eine von einem Angreifer verursachte Manipulation einer Steuerungseinrichtung und/oder einer Sicherungseinrichtung festgestellt werden. Eine entsprechende Manipulation kann beispielsweise durch das Aufspielen von Schadsoftware auf die Steuerungseinrichtung und/oder die Sicherungseinrichtung umgesetzt werden.The invention makes use of the knowledge that attack simulations on vehicle-internal security devices and the reaction of security devices to correspondingly simulated attacks cannot be easily manipulated, so that attack simulations can be used to evaluate the functionality of security devices in vehicle-internal communication systems. In this way, manipulation of a control device and / or a security device caused by an attacker can be reliably determined. A corresponding manipulation can be implemented, for example, by loading malware onto the control device and / or the security device.
Die eine oder die mehreren Sicherungseinrichtungen sind vorzugsweise als Firewall, als Angriffserkennungssystem (Intrusion Detection System) und/oder als Anomalie-Erkennungssystem (Anomaly Detection System) ausgebildet. Die fahrzeuginterne Angriffseinrichtung kann beispielsweise ein fahrzeuginternes Vermittlungsgerät, insbesondere eine Gateway-Einrichtung, sein. Insbesondere wird durch die Angriffssimulation ein Sicherheits-Selbsttest durch das fahrzeuginterne Kommunikationssystem durchgeführt. Auf Grundlage des erfindungsgemäßen Verfahrens kann die Angreifbarkeit eines fahrzeuginternen Kommunikationssystems durch bekannte Angriffe bewertet werden. Der simulierte Angriff auf die zumindest eine Steuerungseinrichtung kann auch ein Angriff sein, welcher auf ein Verbundnetzwerk von mehreren fahrzeuginternen Kommunikationssystemen oder mehreren Fahrzeugen, etwa einer Fahrzeugflotte, gerichtet ist. Das fahrzeuginterne Kommunikationssystem kann beispielsweise ein CAN-Bus-System sein.The one or more security devices are preferably designed as a firewall, as an intrusion detection system and / or as an anomaly detection system. The vehicle-internal attack device can be, for example, a vehicle-internal switching device, in particular a gateway device. In particular, a security self-test is carried out by the in-vehicle communication system through the attack simulation. On the basis of the method according to the invention, the vulnerability of an in-vehicle communication system can be assessed by known attacks. The simulated attack on the at least one control device can also be an attack which is directed to a network of several vehicle-internal communication systems or several vehicles, for example a vehicle fleet. The in-vehicle communication system can be, for example, a CAN bus system.
In einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens sind auf der Angriffseinrichtung ein oder mehrere simulierbare Angriffe gespeichert. Vorzugsweise weist die Angriffseinrichtung einen internen Speicher auf, auf welchem bekannte Angriffe hinterlegbar sind. Ein simulierbarer Angriff kann auch eine Kombination von mehreren Einzelangriffen bzw. ein spezielles Angriffsmuster umfassen. Die Angriffsmuster können ein Denial of Service oder Replay-Sequenzen umfassen.In a preferred embodiment of the method according to the invention, one or more simulable attacks are stored on the attack device. The attack device preferably has an internal memory on which known attacks can be stored. A simulable attack can also include a combination of several individual attacks or a special attack pattern. The attack patterns can include a denial of service or replay sequences.
Das erfindungsgemäße Verfahren wird ferner dadurch vorteilhaft weitergebildet, dass die auf der Angriffseinrichtung gespeicherten simulierbaren Angriffe aktualisiert werden. Alternativ oder zusätzlich werden die auf der Angriffseinrichtung gespeicherten simulierbaren Angriffe modifiziert und/oder ergänzt. Im Lebenszyklus eines Fahrzeugs werden sich die auf das fahrzeuginterne Kommunikationssystem gerichteten Angriffe mit der Zeit verändern. Damit weiterhin eine verwertbare Überprüfung der Sicherung von fahrzeuginternen Kommunikationssystemen mittels des Verfahrens erfolgen kann, müssen auch neue und veränderte Angriffe mittels der Angriffseinrichtung simulierbar sein. Das Aktualisieren, Modifizieren und/oder Ergänzen erfolgt vorzugsweise durch einen Zugriff auf die Angriffseinrichtung mittels einer fahrzeugexternen Einrichtung, insbesondere mittels eines fahrzeugexternen Computersystems, wie etwa einem Backend, oder einem fahrzeugexternen Diagnose- oder Testgerät.The method according to the invention is further advantageously developed in that the simulable attacks stored on the attack device are updated. Alternatively or additionally, the simulable attacks stored on the attack device are modified and / or supplemented. In the life cycle of a vehicle, the attacks aimed at the in-vehicle communication system will change over time. So that a usable check of the security of vehicle-internal communication systems can continue to be carried out by means of the method, new and changed attacks must also be simulable by means of the attack device. Updating, Modification and / or addition is preferably carried out by accessing the attack device by means of a device external to the vehicle, in particular by means of a computer system external to the vehicle, such as a backend, or a diagnostic or test device external to the vehicle.
In einer anderen Ausführungsform des erfindungsgemäßen Verfahrens umfasst das Überprüfen der Funktionalität der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung das Erfassen der tatsächlichen Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff und/oder das Vergleichen der tatsächlichen Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff mit einer zu erwartenden Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff. Die zu erwartende Reaktion ergibt sich aus den Spezifikationen der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung. Wenn die tatsächliche Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff von der zu erwartenden Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff abweicht, kann davon ausgegangen werden, dass bereits ein erfolgreicher Angriff auf die zumindest eine Steuerungseinrichtung oder das fahrzeuginterne Kommunikationssystem erfolgt ist oder die Steuerungseinrichtung und/oder die Sicherungseinrichtung nicht der aktuellsten Spezifikation entspricht. Der letztgenannte Fall kann vorliegen, wenn eine Aktualisierung der Steuerungseinrichtung und/oder der Sicherungseinrichtung, welche beispielsweise Over-the-Air von dem Hersteller oder einem Drittanbieter aufgespielt werden sollte, durch einen Angreifer unterbunden wurde. Dies kann zur Folge haben, dass etwaige Sicherheitslücken nicht geschlossen werden. Durch die Simulation eines entsprechenden Angriffs kann zuverlässig festgestellt werden, ob die Steuerungseinrichtung und/oder die Sicherungseinrichtung auf dem aktuellen Stand ist.
Außerdem ist ein erfindungsgemäßes Verfahren bevorzugt, bei welchem das Vergleichen der tatsächlichen Reaktionen der einen oder mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff mit einer zu erwartenden Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff fahrzeugintern und/oder fahrzeugextern erfolgt. Wenn der beschriebene Vergleich fahrzeugintern erfolgt, umfasst das fahrzeuginterne Kommunikationssystem vorzugsweise eine entsprechende Auswerteeinrichtung. In diesem Fall ist es ebenfalls vorteilhaft, wenn das fahrzeuginterne Kommunikationssystem mit einer Wiedergabeeinrichtung zur optischen und/oder akustischen Wiedergabe von Informationen verbunden ist, sodass einem Benutzer oder einem Techniker das Vergleichsergebnis mitgeteilt werden kann. Für den fahrzeuginternen Vergleich ist es außerdem notwendig, dass die Auswerteeinrichtung die zu erwartende Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff kennt. Somit kann es notwendig sein, dass die Spezifikationen der einen oder der mehreren Sicherungseinrichtungen an die Auswerteeinrichtung übermittelt werden. Wenn der beschriebene Vergleich fahrzeugextern erfolgt, ist die tatsächliche Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff an eine fahrzeugexterne Auswerteeinrichtung zu versenden. Der fahrzeugexternen Auswerteeinrichtung sind vorzugsweise ergänzende Informationen zu dem simulierten Angriff und zu der erwartenden Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff bereitzustellen, damit ein entsprechender Vergleich durchgeführt werden kann. Beispielsweise wird der beschriebene Vergleich von einem fahrzeugexternen Computersystem durchgeführt, beispielsweise von einem Backend, welcher von einem Fahrzeughersteller oder einem Drittanbieter betrieben wird.In another embodiment of the method according to the invention, checking the functionality of the one or more security devices of the at least one control device includes detecting the actual reaction of the one or more security devices of the at least one control device to the simulated attack and / or comparing the actual reaction of the one or more security devices of the at least one control device to the simulated attack with an expected reaction of the one or more security devices of the at least one control device to the simulated attack. The expected reaction results from the specifications of the one or more safety devices of the at least one control device. If the actual reaction of the one or more security devices of the at least one control device to the simulated attack deviates from the expected reaction of the one or more security devices of the at least one control device to the simulated attack, it can be assumed that a successful attack has already occurred the at least one control device or the in-vehicle communication system has taken place or the control device and / or the safety device does not correspond to the most current specification. The latter case can exist if an update of the control device and / or the security device, which should be installed, for example, over-the-air by the manufacturer or a third-party provider, has been prevented by an attacker. This can result in security gaps not being closed. The simulation of a corresponding attack can reliably determine whether the control device and / or the security device is up to date.
In addition, a method according to the invention is preferred, in which the comparison of the actual reactions of the one or more security devices of the at least one control device to the simulated attack with an expected reaction of the one or more security devices of the at least one control device to the simulated attack inside the vehicle and / or done outside the vehicle. If the described comparison is carried out in the vehicle, the in-vehicle communication system preferably comprises a corresponding evaluation device. In this case, it is also advantageous if the in-vehicle communication system is connected to a display device for the optical and / or acoustic display of information, so that the comparison result can be communicated to a user or a technician. For the in-vehicle comparison, it is also necessary that the evaluation device knows the expected reaction of the one or more security devices of the at least one control device to the simulated attack. It may therefore be necessary for the specifications of the one or more security devices to be transmitted to the evaluation device. If the comparison described is carried out outside the vehicle, the actual reaction of the one or more security devices of the at least one control device to the simulated attack must be sent to an evaluation device external to the vehicle. The vehicle-external evaluation device should preferably be provided with additional information on the simulated attack and on the anticipated reaction of the one or more security devices of the at least one control device to the simulated attack, so that a corresponding comparison can be carried out. For example, the described comparison is carried out by a computer system external to the vehicle, for example by a backend which is operated by a vehicle manufacturer or a third-party provider.
In einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens wird die tatsächliche Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff fahrzeugintern und/oder fahrzeugextern dokumentiert. Alternativ oder zusätzlich kann die tatsächliche Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf dem simulierten Angriff durch ein fahrzeugexternes Auslesegerät ausgelesen werden. Das externe Auslesegerät kann beispielsweise ein Diagnose- oder Testgerät sein. Ferner kann die tatsächliche Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff auf einem fahrzeuginternen und/oder auf einem fahrzeugexternen Speicher gespeichert werden. Darüber hinaus kann die tatsächliche Reaktion der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung auf den simulierten Angriff an ein fahrzeugexternes Computersystem gesendet werden. Das fahrzeugexterne Computersystem ist vorzugsweise ein Backend, insbesondere ein Backend eines Fahrzeugherstellers oder eines Drittanbieters.In a further embodiment of the method according to the invention, the actual reaction of the one or more Security devices of the at least one control device on the simulated attack are documented in the vehicle and / or in the vehicle. Alternatively or additionally, the actual reaction of the one or more security devices of the at least one control device to the simulated attack can be read out by a reading device external to the vehicle. The external readout device can be a diagnostic or test device, for example. Furthermore, the actual reaction of the one or more security devices of the at least one control device to the simulated attack on a vehicle-internal and / or on a vehicle-external memory can be stored. In addition, the actual reaction of the one or more security devices of the at least one control device to the simulated attack can be sent to a computer system external to the vehicle. The computer system external to the vehicle is preferably a backend, in particular a backend of a vehicle manufacturer or a third party.
In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens führt das Überprüfen der Funktionalität der einen oder der mehreren Sicherungseinrichtungen der zumindest einen Steuerungseinrichtung zu einem Prüfungsergebnis. Vorzugsweise wird das Prüfungsergebnis fahrzeugintern und/oder fahrzeugextern dokumentiert und/oder durch ein fahrzeugexternes Auslesegerät ausgelesen. Alternativ oder zusätzlich wird das Prüfungsergebnis auf einem fahrzeuginternen und/oder einem fahrzeugexternen Speicher gespeichert und/oder an ein fahrzeugexternes Computersystem gesendet. Über die Dokumentation des Prüfungsergebnisses kann nachgewiesen werden, dass mittels des Verfahrens eine korrekte Erkennung von Angriffsmustern realisierbar ist.In an advantageous development of the method according to the invention, checking the functionality of the one or more safety devices of the at least one control device leads to a test result. The test result is preferably documented inside the vehicle and / or outside the vehicle and / or read out by a reading device outside the vehicle. Alternatively or additionally, the test result is stored on a vehicle-internal and / or a vehicle-external memory and / or sent to a vehicle-external computer system. The documentation of the test result can be used to demonstrate that the method can be used to correctly identify attack patterns.
In einer anderen Ausführungsform des erfindungsgemäßen Verfahrens wird das Simulieren des Angriffs auf die zumindest eine Steuerungseinrichtung des fahrzeuginternen Kommunikationssystems fahrzeugintern oder fahrzeugextern veranlasst. Die Angriffssimulation kann beispielsweise durch manuell eingegebene Steuerbefehle veranlasst werden. Ferner kann die Angriffssimulation selbsttätig durch Prozesse, insbesondere Überwachungsprozesse, veranlasst werden. Bei der fahrzeuginternen Veranlassung kann die manuelle Befehlseingabe beispielsweise direkt am Fahrzeug erfolgen. Alternativ oder zusätzlich kann die Angriffssimulation durch fahrzeuginterne Prozesse, insbesondere Überwachungsprozesse, veranlasst werden. Bei der fahrzeugexternen Veranlassung der Angriffssimulation können fahrzeugexterne Computersysteme zur Befehlseingabe Verwendung finden. Alternativ oder zusätzlich können fahrzeugexterne Prozesse, insbesondere Überwachungsprozesse, die Angriffssimulation veranlassen. Die Angriffssimulation kann auch regelmäßig und/oder zyklisch erfolgen. Eine regelmäßige und/oder zyklische Angriffssimulation ist insbesondere bei sich ändernden Funktionalitäten der fahrzeuginternen Steuerungseinrichtungen vorteilhaft, welche sich beispielsweise durch Software-Updates ergeben können. Die Angriffssimulation kann auch selbsttätig beim Start des Fahrzeugs und/oder bei der Einnahme eines vordefinierten Fahrzeugzustands veranlasst werden.In another embodiment of the method according to the invention, the simulation of the attack on the at least one control device of the vehicle-internal communication system is initiated inside or outside the vehicle. The attack simulation can be initiated, for example, by manually entered control commands. Furthermore, the attack simulation can be initiated automatically by processes, in particular monitoring processes. When prompted by the vehicle, manual commands can be entered directly on the vehicle, for example. As an alternative or in addition, the attack simulation can be initiated by in-vehicle processes, in particular monitoring processes. When the attack simulation is initiated outside the vehicle, computer systems external to the vehicle can be used for entering commands. Alternatively or additionally, processes external to the vehicle, in particular monitoring processes, can trigger the attack simulation. The attack simulation can also be carried out regularly and / or cyclically. A regular and / or cyclical attack simulation is particularly advantageous in the case of changing functionalities of the vehicle-internal control devices, which can result, for example, from software updates. The attack simulation can also be initiated automatically when the vehicle is started and / or when a predefined vehicle state is assumed.
Die der Erfindung zugrundeliegende Aufgabe wird ferner durch ein Kommunikationssystem der eingangs genannten Art gelöst, wobei das erfindungsgemäße Kommunikationssystem eine fahrzeuginterne Angriffseinrichtung aufweist, welche dazu eingerichtet ist, einen Angriff auf die zumindest eine Steuerungseinrichtung zu simulieren. Insbesondere weist die fahrzeuginterne Angriffseinrichtung einen Speicher auf, auf welchem Angriffe und/oder Angriffsmuster hinterlegt sind.The object on which the invention is based is further achieved by a communication system of the type mentioned at the outset, the communication system according to the invention having an on-board attack device which is set up to simulate an attack on the at least one control device. In particular, the vehicle-internal attack device has a memory on which attacks and / or attack patterns are stored.
In einer bevorzugten Ausführungsform des erfindungsgemäßen Kommunikationssystems ist dieses dazu eingerichtet, das Verfahren zum Überprüfen der Sicherung eines fahrzeuginternen Kommunikationssystems gegen Angriffe nach einer der vorstehend beschriebenen Ausführungsformen auszuführen. Hinsichtlich der Vorteile und Modifikationen des erfindungsgemäßen Kommunikationssystems wird auf die Vorteile und Modifikationen des erfindungsgemäßen Verfahrens verwiesen.In a preferred embodiment of the communication system according to the invention, this is set up to carry out the method for checking the security of an in-vehicle communication system against attacks according to one of the embodiments described above. With regard to the advantages and modifications of the communication system according to the invention, reference is made to the advantages and modifications of the method according to the invention.
Die Erfindung ist außerdem einsetzbar im Rahmen von automatisierten Industrieprozessen, Smart-Home-Anwendungen, Smart-Metering-Systemen, Avionik-Anwendungen oder in anderen Bereichen mit vernetzten Infrastrukturen und vergleichsweise hohen Sicherheitsanforderungen.The invention can also be used in the context of automated industrial processes, smart home applications, smart metering systems, avionics applications or in other areas with networked infrastructures and comparatively high security requirements.
Nachfolgend wird eine bevorzugte Ausführungsform der Erfindung unter Bezugnahme auf die beiliegende Zeichnung näher erläutert und beschrieben. Dabei zeigt:
-
1 eine Kommunikationsumgebung mit einem erfindungsgemäßen Kommunikationssystem in einer schematischen Darstellung.
-
1 a communication environment with a communication system according to the invention in a schematic representation.
Die in der
Das fahrzeuginterne Kommunikationssystem
Die Angriffseinrichtung
Die Steuerungseinrichtungen
Zum Überprüfen der Sicherung des Kommunikationssystems
Damit mittels der Angriffseinrichtung
Nach dem Ausführen eines simulierten Angriffs auf eine Steuerungseinrichtung
Wenn die tatsächliche Reaktion der Sicherungseinrichtung
Das Überprüfen der Funktionalität der Sicherungseinrichtung
Entsprechende Angriffssimulationen können beim Starten des Fahrzeugs, in regelmäßigen oder unregelmäßigen zeitlichen Abständen und/oder nach dem Aufspielen von Updates auf eine Steuerungseinrichtung
BezugszeichenlisteReference list
- 1010
- KommunikationssystemCommunication system
- 1212th
- AngriffseinrichtungAttack facility
- 14a-14d14a-14d
- SteuerungseinrichtungenControl devices
- 16a-16d16a-16d
- SicherungseinrichtungenSecurity devices
- 1818th
- Wiedergabeeinrichtung Playback device
- 100100
- KommunikationsumgebungCommunication environment
- 102102
- ComputersystemComputer system
- 104104
- AuslesegerätReader
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102018214587.3A DE102018214587A1 (en) | 2018-08-29 | 2018-08-29 | Method for checking the security of an in-vehicle communication system against attacks |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102018214587.3A DE102018214587A1 (en) | 2018-08-29 | 2018-08-29 | Method for checking the security of an in-vehicle communication system against attacks |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102018214587A1 true DE102018214587A1 (en) | 2020-03-05 |
Family
ID=69526735
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102018214587.3A Pending DE102018214587A1 (en) | 2018-08-29 | 2018-08-29 | Method for checking the security of an in-vehicle communication system against attacks |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102018214587A1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030051163A1 (en) * | 2001-09-13 | 2003-03-13 | Olivier Bidaud | Distributed network architecture security system |
US20170223043A1 (en) * | 2014-11-26 | 2017-08-03 | Hewlett Packard Enterprise Development Lp | Determine vulnerability using runtime agent and network sniffer |
-
2018
- 2018-08-29 DE DE102018214587.3A patent/DE102018214587A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030051163A1 (en) * | 2001-09-13 | 2003-03-13 | Olivier Bidaud | Distributed network architecture security system |
US20170223043A1 (en) * | 2014-11-26 | 2017-08-03 | Hewlett Packard Enterprise Development Lp | Determine vulnerability using runtime agent and network sniffer |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2870565B1 (en) | Testing integrity of property data of a device using a testing device | |
DE112014005412T5 (en) | Program update system and program update procedure | |
DE102015203776A1 (en) | Method for programming a control device of a motor vehicle | |
DE102013108022A1 (en) | Method for activating the development mode of a secure electronic control unit | |
WO2019072840A1 (en) | Apparatus for protecting diagnosis commands to a controller, and corresponding motor vehicle | |
EP3379351B1 (en) | Method for operating an automation device and automation device | |
WO2018146028A1 (en) | Method for detecting a manipulation on a respective data network of at least one motor vehicle, and server apparatus | |
DE102017214661A1 (en) | Method for detecting a manipulation of at least one control device of a motor vehicle and processor device for a motor vehicle and motor vehicle | |
EP3111609A1 (en) | Use of certificates using a positive list | |
WO2017162395A1 (en) | Method for monitoring the security of communication connections of a vehicle | |
DE102018214587A1 (en) | Method for checking the security of an in-vehicle communication system against attacks | |
DE112020001126T5 (en) | VEHICLE CONTROL UNIT | |
DE102014018110A1 (en) | Method and system for the remote control of a vehicle or a vehicle function | |
AT522625B1 (en) | Procedure for security screening of a technical unit | |
EP3486825A1 (en) | Method and apparatus for the computer-aided determination of a severity of a breach in integrity | |
DE102016004836B3 (en) | Control of a robot system | |
EP3583741B1 (en) | Method for ensuring the authenticity of at least one value of a device property, computer program, computer-readable storage medium and device | |
EP4211583A1 (en) | Method for booting an electronic device | |
EP3451215A1 (en) | Hardware device and method for operating and producing a hardware device | |
EP3306507B1 (en) | Component for a safety-critical function chain | |
CN109255233B (en) | Vulnerability detection method and device | |
DE102019201191A1 (en) | System for configuring an attack detection system for a computer network, corresponding computer network and motor vehicle | |
DE102014215580A1 (en) | Method and system for programming a sensor network | |
DE102023103481A1 (en) | On-vehicle device and log management procedures | |
DE102023132137A1 (en) | Test procedure and test system for testing the security of a vehicle against cyber attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012260000 Ipc: H04L0043000000 |
|
R081 | Change of applicant/patentee |
Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE Free format text: FORMER OWNER: CONTINENTAL TEVES AG & CO. OHG, 60488 FRANKFURT, DE |
|
R081 | Change of applicant/patentee |
Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE |