DE102018219262A1 - Device for securing a real-time Ethernet data network for a motor vehicle - Google Patents

Device for securing a real-time Ethernet data network for a motor vehicle Download PDF

Info

Publication number
DE102018219262A1
DE102018219262A1 DE102018219262.6A DE102018219262A DE102018219262A1 DE 102018219262 A1 DE102018219262 A1 DE 102018219262A1 DE 102018219262 A DE102018219262 A DE 102018219262A DE 102018219262 A1 DE102018219262 A1 DE 102018219262A1
Authority
DE
Germany
Prior art keywords
control device
designed
real
motor vehicle
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102018219262.6A
Other languages
German (de)
Inventor
Helge Zinner
Daniel Hopf
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102018219262.6A priority Critical patent/DE102018219262A1/en
Priority to PCT/EP2019/080803 priority patent/WO2020099291A1/en
Publication of DE102018219262A1 publication Critical patent/DE102018219262A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Abstract

Die vorliegende Erfindung betrifft eine Vorrichtung zum Absichern eines Echtzeit-Ethernet-Datennetzwerks für ein Kraftfahrzeug, die Vorrichtung (1) umfassend: eine Datenbankeinrichtung (10), welche dazu ausgebildet ist, einstellbare Netzwerkkonfigurationen und einstellbare Sicherheitseinstellungen für das Echtzeit-Ethernet-Datennetzwerks abzuspeichern sowie mindestens eine aktuell verwendete Netzwerkkonfiguration und mindestens eine aktuell verwendete Sicherheitseinstellung für das Echtzeit-Ethernet-Datennetzwerks abzuspeichern; und eine Steuereinrichtung (20), welche dazu ausgebildet ist, zwischen einem Antennenmodul des Echtzeit-Ethernet-Datennetzwerks und einem Steuergerät des Kraftfahrzeuges gekoppelt zu werden, und welche ferner dazu ausgebildet ist, aktuell übermittelten Datenverkehr zwischen dem Antennenmodul und dem Steuergerät des Kraftfahrzeuges mit zu erwartendem Datenverkehr basierend auf einer Datenverkehrsschätzung unter Verwendung der abgespeicherten aktuell verwendeten Netzwerkkonfiguration und der abgespeicherten aktuell verwendeten Sicherheitseinstellung zu vergleichen und ein Vergleichsergebnis zu speichern.

Figure DE102018219262A1_0000
The present invention relates to a device for securing a real-time Ethernet data network for a motor vehicle, the device (1) comprising: a database device (10) which is designed to store adjustable network configurations and adjustable security settings for the real-time Ethernet data network and store at least one currently used network configuration and at least one currently used security setting for the real-time Ethernet data network; and a control device (20), which is designed to be coupled between an antenna module of the real-time Ethernet data network and a control device of the motor vehicle, and which is further designed to include currently transmitted data traffic between the antenna module and the control device of the motor vehicle compare expected traffic based on a traffic estimate using the stored network configuration and the currently used security setting and save a comparison result.
Figure DE102018219262A1_0000

Description

Die vorliegende Erfindung betrifft Systeme für Echtzeit-Ethernet-Datennetzwerke.The present invention relates to systems for real-time Ethernet data networks.

Insbesondere betrifft die vorliegende Erfindung eine Vorrichtung zum Absichern eines Echtzeit-Ethernet-Datennetzwerks für ein Kraftfahrzeug.In particular, the present invention relates to a device for securing a real-time Ethernet data network for a motor vehicle.

Die DE 10 2014 220 462 A1 beschreibt eine Vorrichtung und ein Verfahren zum Überwachen von Netzwerkkommunikation eines Datennetzwerks für ein Kraftfahrzeug, wobei zentral oder verteilt die Kommunikation in den Datennetzwerken des Kraftfahrzeuges überwacht, analysiert und protokolliert wird.The DE 10 2014 220 462 A1 describes a device and a method for monitoring network communication of a data network for a motor vehicle, the communication in the data networks of the motor vehicle being monitored, analyzed and logged centrally or distributed.

Die WO 2015/161870 A1 beschreibt eine Vorrichtung und ein Verfahren zur Filterung von Datenpaketen in einem Kommunikationsnetz.The WO 2015/161870 A1 describes a device and a method for filtering data packets in a communication network.

Auf Basis der physikalischen Schicht Ethernet und dem darüber liegenden Internet-Protokoll, finden erstmals Techniken Einzug ins Bordnetz die auch außerhalb des Fahrzeuges stark verbreitet sind.On the basis of the physical layer Ethernet and the Internet protocol above it, for the first time technologies find their way into the vehicle electrical system, which are also widely used outside the vehicle.

Hierbei bietet sich auch ein höheres potentielles Angriffsrisiko, welches mit den für den Bereich Automotive spezifischen Bordnetzen wie CAN (Controller Area Network) und FlexRay bis heute nicht bestand.This also offers a higher potential risk of attack, which has not existed to date with the automotive-specific electrical systems such as CAN (Controller Area Network) and FlexRay.

Gerade im Hinblick auf einen immer stärker werdenden Einsatz der Protokolle Ethernet und des Internet Protocol, IP, ein in Computernetzen weit verbreitetes Netzwerkprotokoll, werden Sicherheitsmechanismen immer wichtiger, so dass das Auto bereits als neuer Angriffspunkt identifiziert wird. Daher sind neue Sicherheitsmechanismen und Funktionen notwendig, die das Auto sicherer vor Angriffen machen.In view of the increasing use of the protocols Ethernet and the Internet Protocol, IP, a network protocol widely used in computer networks, security mechanisms are becoming increasingly important, so that the car is already identified as a new point of attack. Therefore, new security mechanisms and functions are needed to make the car more secure from attacks.

Der Begriff „neu“ in Bezug auf Sicherheitsmechanismen und Funktionen umfasst dabei andere Anforderungen wie etwa Temperatur, Updatefähigkeit, Transport von Menschen, verminderte Rechenleistung.The term "new" in relation to security mechanisms and functions includes other requirements such as temperature, update capability, transport of people, reduced computing power.

Die Aufgabe der Erfindung ergibt sich in der Definition von Mechanismen und Protokollen, um das Fahrzeugnetzwerk sicherer und effizienter zu machen. Ethernet und Funktechnologien erfahren zurzeit erst Einzug in das Automobil und diese bergen durch ihre offenen und standardisierten Protokolle erstmals die Möglichkeiten das Auto auch von außen anzugreifen.The object of the invention results from the definition of mechanisms and protocols in order to make the vehicle network safer and more efficient. Ethernet and radio technologies are currently only finding their way into the automobile and, thanks to their open and standardized protocols, they offer the first opportunity to attack the car from outside.

Es ist eine Aufgabe der vorliegenden Erfindung, eine verbesserte Vorrichtung zum Absichern von eingangsseitigen und ausgangsseitigen Datenverkehr eines Echtzeit-Ethernet-Datennetzwerk für ein Kraftfahrzeug breitzustellen.It is an object of the present invention to provide an improved device for securing input-side and output-side data traffic of a real-time Ethernet data network for a motor vehicle.

Diese Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Weiterbildungen und Ausführungsformen sind den abhängigen Patentansprüchen, der Beschreibung und den Figuren der Zeichnungen zu entnehmen.This object is solved by the subject matter of the independent claims. Further developments and embodiments can be found in the dependent claims, the description and the figures in the drawings.

Ein erster Aspekt der vorliegenden Erfindung betrifft eine Vorrichtung zum Absichern eines Echtzeit-Ethernet-Datennetzwerks für ein Kraftfahrzeug, die Vorrichtung umfassend: eine Datenbankeinrichtung, welche dazu ausgebildet ist, einstellbare Netzwerkkonfigurationen und einstellbare Sicherheitseinstellungen für das Echtzeit-Ethernet-Datennetzwerks abzuspeichern sowie mindestens eine aktuell verwendete Netzwerkkonfiguration und mindestens eine aktuell verwendete Sicherheitseinstellung für das Echtzeit-Ethernet-Datennetzwerks abzuspeichern; und eine Steuereinrichtung, welche dazu ausgebildet ist, zwischen einem Antennenmodul des Echtzeit-Ethernet-Datennetzwerks und einem Steuergerät des Kraftfahrzeuges gekoppelt zu werden, und welche ferner dazu ausgebildet ist, aktuell übermittelten Datenverkehr zwischen dem Antennenmodul und dem Steuergerät des Kraftfahrzeuges mit zu erwartendem Datenverkehr basierend auf einer Datenverkehrsschätzung unter Verwendung der abgespeicherten aktuell verwendeten Netzwerkkonfiguration und der abgespeicherten aktuell verwendeten Sicherheitseinstellung zu vergleichen und ein Vergleichsergebnis zu speichern.A first aspect of the present invention relates to a device for securing a real-time Ethernet data network for a motor vehicle, the device comprising: a database device which is designed to store adjustable network configurations and adjustable security settings for the real-time Ethernet data network and at least one currently save the network configuration used and at least one security setting currently used for the real-time Ethernet data network; and a control device which is designed to be coupled between an antenna module of the real-time Ethernet data network and a control device of the motor vehicle, and which is further designed to base the currently transmitted data traffic between the antenna module and the control device of the motor vehicle with expected data traffic to compare on a data traffic estimate using the stored currently used network configuration and the stored currently used security setting and to save a comparison result.

Mit anderen Worten ausgedrückt, die vorliegende Erfindung stellt ein technisches System in einem Fahrzeug bereit, welches es erlaubt, jeden eingangsseitigen und ausgangsseitigen Datenverkehr (z. B. vom/zum Antennenmodul kommend/abgehend) zu prüfen und zu filtern, um Angriffe zu erkennen und effektiv zu unterbinden. Das Antennenmodul kann auch als eine Connectivity-Einheit ausgebildet sein.In other words, the present invention provides a technical system in a vehicle that allows to check and filter all incoming and outgoing data traffic (e.g. coming / going to / from the antenna module) in order to detect attacks and to effectively prevent. The antenna module can also be designed as a connectivity unit.

Die Vorrichtung kann ferner auch dazu ausgebildet sein, zunächst zu berechnen welche Netzwerkkonfiguration und Sicherheitseinstellung jeweils notwendig sind.The device can also be designed to first calculate which network configuration and security setting are necessary in each case.

Mit anderen Worten ausgedrückt, die vorliegende Erfindung umfasst hierzu ein Systemdesign, um ein Steuergerät auszugestalten, welches die Aufgabe hat, Angriffe abzuwehren und das Fahrzeug-Netzwerk in einem sicheren Zustand zu halten bzw. in einen sicheren Zustand zu überführen.In other words, the present invention includes a system design for this purpose in order to design a control device which has the task of warding off attacks and of keeping the vehicle network in a safe state or transferring it to a safe state.

Dieses Steuergerät, im Folgenden auch „Filter ECU“ - Abkürzung für Englisch „Electronic Control Unit“ ein Steuergerät oder ein Mikrocontroller - genannt, nutzt dabei beispielsweise dynamisch veränderbare Datenbanken.This control unit, hereinafter also referred to as "Filter ECU" - short for English "Electronic Control Unit" a control unit or a microcontroller - uses, for example, dynamically changeable databases.

Die Datenbanken können dabei beispielsweise Daten in der Form einer Kommunikationsmatrix und einer Sicherheitskonfiguration umfassen, um den aktuellen Stand der Netzwerkkonfiguration hinsichtlich der Datenübertragung und Sicherheitsmechanismen abzufragen und zu speichern. Die Datenbanken können beispielsweise dazu ausgebildet sein, dynamisch verändert zu werden und/oder bei neuem Datenverkehr individuell neu beschrieben zu werden. The databases can include data in the form of a communication matrix and a security configuration, for example, in order to query and save the current status of the network configuration with regard to data transmission and security mechanisms. The databases can, for example, be designed to be changed dynamically and / or to be individually rewritten when new data traffic occurs.

Diese Datenbanken können auch als Teil der Filter ECU realisiert werden. Dabei wird dies nicht zwangsweise in einer neuen ECU realisiert, sondern kann auch mit den vorgeschlagenen Komponenten und Funktionen optional auch in einer bereits vorhandenen ECU abgebildet werden.These databases can also be implemented as part of the filter ECU. This is not necessarily implemented in a new ECU, but can also optionally be mapped with the proposed components and functions in an already existing ECU.

Die vorliegende Erfindung ermöglicht vorteilhaft, Sicherheit für Echtzeit-Ethernet zu realisieren.The present invention advantageously makes it possible to implement security for real-time Ethernet.

Der Kern der Erfindung ist es, dass zum einen die Sicherheit des Fahrzeugnetzwerks bei nahezu gleichen Kosten erhöht wird und zum anderen eine Redundanz für Sicherheitsmechanismen geschaffen wird.The essence of the invention is that, on the one hand, the security of the vehicle network is increased at almost the same cost and, on the other hand, redundancy for security mechanisms is created.

Mit dem Einzug von Ethernet sind u. a. auch Mechanismen notwendig, die sich einfache Techniken und gegebenen Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können.With the advent of Ethernet, a. Mechanisms are also necessary that make use of simple techniques and given properties of technologies in order to be able to do without expensive implementations and additional hardware.

Die vorliegende Erfindung ermöglicht durch eine individuelle Gestaltung von Filterregeln, beispielsweise bis zu einer Länge von 128 Byte, das beispielsweise auch sehr große Paket-Header analysiert werden können. Die vorliegende Erfindung erlaubt daher eine Sicherstellung der Firewall bei hoher Datenlast und im Fehlerfall. Die vorliegende Erfindung ermöglicht durch eine individuelle Gestaltung von Filterregeln, beispielsweise bis zu einer Länge von 128 Byte, das beispielsweise auch sehr große Header analysiert werden können.The present invention enables very large packet headers to be analyzed, for example, by individually designing filter rules, for example up to a length of 128 bytes. The present invention therefore allows the firewall to be secured with a high data load and in the event of an error. The present invention enables, by means of an individual design of filter rules, for example up to a length of 128 bytes, that even very large headers can be analyzed.

Bei einem Fehler auf einem CAN- oder LIN-Bus sind die Controller stets in der Lage die Paketflut zu beherrschen, selbst wenn die Bussysteme zu 100% ausgelastet sind. Ältere Bussysteme unterstützen zu neuer Bussystemen relativ gesehen nur langsamere Datenraten. Ethernet jedoch kann Datenraten erreichen, die wie beschrieben übliche automotive Controller sehr schnell überlasten können, was ein „denial of service“ bedeuten würde, d.h. der Controller kann seine ursprüngliche Aufgabe nicht mehr berechnen, da er mit der Annahme und Verarbeitung von zu viel Daten beschäftigt ist.In the event of an error on a CAN or LIN bus, the controllers are always able to handle the flood of packets, even if the bus systems are 100% full. Older bus systems only support slower data rates relative to new bus systems. However, Ethernet can reach data rates which, as described, can overload conventional automotive controllers very quickly, which would mean a "denial of service", i.e. the controller can no longer calculate its original task because it is busy accepting and processing too much data.

Die vorliegende Erfindung ermöglicht vorteilhaft, dass auch bei Verbindungen mittels LTE, 100Mbit/s Ethernet, oder gar 1000 Mbit/s, 2,5Gbit/s, 5Gbit/s, 10Gbit/s Ethernet oder mittels kabelgebundener oder drahtloser Datennetze eine Absicherung des Datenverkehrs im Fahrzeugnetzwerk erfolgen kann.The present invention advantageously enables that even with connections using LTE, 100Mbit / s Ethernet, or even 1000Mbit / s, 2.5Gbit / s, 5Gbit / s, 10Gbit / s Ethernet or by means of wired or wireless data networks, data traffic in the network is secured Vehicle network can be done.

Die Steuereinrichtung, welche dazu ausgebildet ist beispielsweise zwischen einem Antennenmodul des Echtzeit-Ethernet-Datennetzwerks und einem Steuergerät des Kraftfahrzeuges gekoppelt zu werden, verfügt in einem Ausführungsbeispiel der vorliegenden Erfindung über eine Hardware-Unterstützung in der Form eines integrierten Schaltkreises oder eines Mikrocontrollers aufweist.The control device, which is designed, for example, to be coupled between an antenna module of the real-time Ethernet data network and a control device of the motor vehicle, in one exemplary embodiment of the present invention has hardware support in the form of an integrated circuit or a microcontroller.

Es können beispielsweise auch mehr als ein Antennenmodul auf der einen Seite, und beispielsweise mehr als ein Steuergerät (ECU) auf der anderen Seite vorgesehen sein.For example, more than one antenna module can be provided on one side and, for example, more than one control unit (ECU) on the other side.

Die Steuereinrichtung ist dazu ausgebildet, um Ethernet-Datenströme in Echtzeit zu analysieren und zu manipulieren.The control device is designed to analyze and manipulate Ethernet data streams in real time.

Dies ermöglicht vorteilhaft, sogenannte „Security-Services“ und „secure Services“ anzubieten wie beispielweise sehr regelmäßige Updates, etwa im Minutenbereich.This advantageously makes it possible to offer so-called "security services" and "secure services" such as very regular updates, for example in the minute range.

Die Begriffe „Security Services“ und „secure Services“ steht für eine Vielzahl von Softwaremodulen, die dazu dienen, die Betriebsbereitschaft eines Fahrzeugnetzwerkes für den gewünschten Einsatzzweck zu erhalten, die Verfügbarkeit von Daten sicherzustellen bzw. einzuschränken und Zugriffsrechte auf das System des Kraftfahrzeuges abzusichern.The terms "security services" and "secure services" stand for a large number of software modules which serve to maintain the operational readiness of a vehicle network for the desired purpose, to ensure or restrict the availability of data and to secure access rights to the system of the motor vehicle.

Die Begriffe „secure Service“ und „Security Service“ wie von der vorliegenden Erfindung verwendet, können dabei wie folgt definiert sein.The terms “secure service” and “security service” as used by the present invention can be defined as follows.

Unter dem Begriff „Security Service“ kann folgendes verstanden werden: Ein Dienst der Datenschutz bereitstellt oder erhöht, beispielsweise Virenscanner, Firewall, Intrusion Detection System, IDS.The term “security service” can be understood to mean the following: a service which provides or increases data protection, for example virus scanners, firewalls, intrusion detection systems, IDS.

Unter dem Begriff „secure Service“ kann folgendes verstanden werden: Ein beliebiger Dienst (ausdrücklich NICHT auf Security beschränkt), welcher dank geeigneter Maßnahmen (Verschlüsselung, Virenprüfung etc. mittels der Security Services) vertraulich, integer und authentifiziert ist, beispielsweise ein Live-Kartenupdate, Aufrufen von Webdiensten, Onlinebanking.The term "secure service" can be understood to mean the following: Any service (expressly NOT limited to security) which, thanks to suitable measures (encryption, virus checking, etc. using the security services) is confidential, honest and authenticated, for example a live map update , Accessing web services, online banking.

Die Steuereinrichtung ist beispielsweise dazu ausgebildet, eine frühzeitigere Erkennung von Angriffen und Fehlverhalten durchzuführen.The control device is designed, for example, to carry out earlier detection of attacks and misconduct.

Durch die mehrfache Integration der Sicherheitsfunktionen im Bordnetz können so schon vor der eigentlichen Firewall ein Angriff/Fehler erkannt werden und viel schneller Gegenmaßnahmen eingeleitet werden. Die Steuereinrichtung ist beispielsweise dazu geeignet, Fehler zu erkennen und zu melden. Due to the multiple integration of the safety functions in the vehicle electrical system, an attack / error can be recognized even before the actual firewall and countermeasures can be initiated much faster. The control device is suitable, for example, for recognizing and reporting errors.

Die Steuereinrichtung ist beispielsweise dazu ausgebildet, dass die Vorrichtung auffälligen und unerwünschten Datenverkehr im Netzwerk erkennt, das Fahrzeugnetzwerk davon isoliert und den Datenverkehr abschwächt oder ganz unterbindet. Bei dem auffälligen Datenverkehr könnte es sich auch um Angriffe oder auch Fehlfunktionen gegen das Fahrzeugnetzwerk handeln.The control device is designed, for example, for the device to detect conspicuous and undesired data traffic in the network, to isolate the vehicle network from it and to weaken or completely prevent the data traffic. The conspicuous data traffic could also be attacks or malfunctions against the vehicle network.

Die Steuereinrichtung ist beispielsweise dazu ausgebildet, den Standard IEEE 802.1Qci-2017 zu verwenden. Ferner kann die Steuereinrichtung unter weiteren als Time-Sensitive Networking, TSN, bezeichneten Standards arbeiten.The control device is designed, for example, to use the IEEE 802.1Qci-2017 standard. Furthermore, the control device can operate under other standards known as time-sensitive networking, TSN.

Die Steuereinrichtung ist beispielsweise dazu ausgebildet, dass bei sicherheitskritischen Anwendungen wie OTA-Software-Update (OTA: Over-the-Air) die Filter gesetzt und geprüft werden. Hierzu soll vorab geprüft (DB oder per Protokoll) werden ob eine kritische Anwendung gestartet wurde. Dies kann OTA sein oder auch ein spezieller Empfänger, Absender, eine hohe Datenrate usw., speziell angepasst an die jeweiligen Anforderungen des Updates bzw. und den Möglichkeiten des Bordnetzes.The control device is designed, for example, to set and test the filters in safety-critical applications such as OTA software update (OTA: Over-the-Air). For this purpose, it should be checked beforehand (DB or by protocol) whether a critical application has been started. This can be OTA or a special recipient, sender, a high data rate, etc., specially adapted to the respective requirements of the update or and the possibilities of the vehicle electrical system.

Die Steuereinrichtung ist beispielsweise dazu ausgebildet, ständig aktiv zu sein, d.h. wenn eine Online-Verbindung zum und/oder vom Kraftfahrzeug - vom Fahrzeugnetzwerk - erforderlich wird oder aktiv ist und überwacht dann den Datenverkehr. Sollte ein Angriff erfolgen, wie eine erkannte Anomalie des Datenverkehrs, so kann dies sofortige Abwehrmaßnahmen auslösen.The control device is designed, for example, to be constantly active, i.e. when an online connection to and / or from the motor vehicle - from the vehicle network - becomes necessary or is active and then monitors the data traffic. Should an attack occur, such as a recognized data traffic anomaly, this can trigger immediate countermeasures.

Die vorliegende Erfindung ermöglicht vorteilhaft, dass das System aus kombinierter Computer-Hardware und speziell auf diese Hardware optimierter Software - auch Appliance genannt - also nicht auf Signaturen angewiesen sind, sondern mithilfe bereits identifizierter Angriffsmuster arbeiten und Verhaltensanalysen durchführen kann.The present invention advantageously enables the system consisting of combined computer hardware and software specially optimized for this hardware - also called an appliance - not to be dependent on signatures, but rather to work with the help of already identified attack patterns and to conduct behavior analyzes.

Vorteilhafte Ausgestaltungen der vorliegenden Erfindung sind den Unteransprüchen zu entnehmen.Advantageous refinements of the present invention can be found in the subclaims.

In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Steuereinrichtung dazu ausgebildet ist, basierend auf dem Vergleichsergebnis den Datenverkehr zwischen dem Antennenmodul und dem Steuergerät des Kraftfahrzeuges zu unterbrechen und/oder anzupassen und/oder aufrechtzuerhalten und/oder fortzusetzen.In an advantageous embodiment of the present invention it is provided that the control device is designed to interrupt and / or adapt and / or maintain and / or continue the data traffic between the antenna module and the control unit of the motor vehicle based on the comparison result.

In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Steuereinrichtung dazu ausgebildet ist, das Vergleichsergebnis des aktuell übermittelten Datenverkehrs mit dem zu erwartenden Datenverkehr ferner basierend auf Angriffsmuster und/oder Verhaltensanalysen zu ermitteln, um eine Anomalie des Datenverkehrs zu erfassen.In an advantageous embodiment of the present invention, it is provided that the control device is designed to further determine the comparison result of the currently transmitted data traffic with the expected data traffic based on attack patterns and / or behavior analyzes in order to detect an anomaly in the data traffic.

In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Datenbankeinrichtung als ein Datenfiltermodul ausgebildet ist.In an advantageous embodiment of the present invention, it is provided that the database device is designed as a data filter module.

In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Steuereinrichtung dazu ausgebildet ist, das Vergleichsergebnis zu übermitteln.In an advantageous embodiment of the present invention, it is provided that the control device is designed to transmit the comparison result.

In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Steuereinrichtung dazu ausgebildet ist, Datenverkehr mit berechenbaren und garantierten Ende-zu-Ende Latenzen zu analysieren.In an advantageous embodiment of the present invention, it is provided that the control device is designed to analyze data traffic with predictable and guaranteed end-to-end latencies.

Die beschriebenen Ausgestaltungen und Weiterbildungen lassen sich beliebig miteinander kombinieren.The configurations and further developments described can be combined with one another as desired.

Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der vorliegenden Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsformen beschriebenen Merkmale der vorliegenden Erfindung.Further possible refinements, developments and implementations of the present invention also include combinations of features of the present invention described above or below with reference to the embodiments that are not explicitly mentioned.

Die beiliegenden Zeichnungen sollen ein weiteres Verständnis der Ausführungsformen der vorliegenden Erfindung vermitteln.The accompanying drawings are intended to provide further understanding of the embodiments of the present invention.

Die beiliegenden Zeichnungen veranschaulichen Ausführungsformen und dienen im Zusammenhang mit der Beschreibung der Erklärung von Konzepten der vorliegenden Erfindung.The accompanying drawings illustrate embodiments and, in connection with the description, serve to explain concepts of the present invention.

Andere Ausführungsformen und viele der genannten Vorteile ergeben sich im Hinblick auf die Figuren der Zeichnungen. Die dargestellten Elemente der Figuren der Zeichnungen sind nicht notwendigerweise maßstabsgetreu zueinander gezeigt.Other embodiments and many of the advantages mentioned arise with regard to the figures of the drawings. The elements shown in the figures of the drawings are not necessarily shown to scale with respect to one another.

Es zeigen:

  • 1: eine schematische Darstellung einer Vorrichtung zum Absichern eines Echtzeit-Ethernet-Datennetzwerks für ein Kraftfahrzeug gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 2: eine schematische Darstellung einer generellen Funktionsweise und Einbettung der Filter-ECU gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 3: eine schematische Darstellung von anwendungsspezifischen Filterregeln gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 4: eine schematische Darstellung einer optional vorangehenden Abfrage und Prüfung der ECU-Kapazitäten und Einstellung der Filter gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 5: eine schematische Darstellung einer Anwendungsspezifische Filterregelsetzung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 6: eine schematische Darstellung eines Anwendungsstarts und einer Prüfung des Setzens der Filterregeln gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 7: eine schematische Darstellung einer AnomalieDetektion und Anpassung der Filtereinstellungen gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 8: eine schematische Darstellung eines Anwendungsbeispiels mit einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 9: eine schematische Darstellung einer Absicherung und Konfiguration der Filter vor einer OTA-Funktion gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 10: eine schematische Darstellung der Filterregeln am Beispiel des Qci-Standards gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; und
  • 11: eine schematische Darstellung des Aufbaus der Filter ECU und seinen wichtigsten Komponenten und Regelgrößen gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.
Show it:
  • 1 : A schematic representation of a device for securing a real-time Ethernet data network for a motor vehicle according to an embodiment of the present invention;
  • 2nd : A schematic representation of a general operation and embedding of the filter ECU according to an embodiment of the present invention;
  • 3rd : a schematic representation of application-specific filter rules according to an embodiment of the present invention;
  • 4th : A schematic representation of an optional preceding query and check of the ECU capacities and setting of the filters according to an embodiment of the present invention;
  • 5 : a schematic representation of an application-specific filter control setting according to an embodiment of the present invention;
  • 6 : a schematic representation of an application start and a check of the setting of the filter rules according to an embodiment of the present invention;
  • 7 : A schematic representation of an anomaly detection and adaptation of the filter settings according to an embodiment of the present invention;
  • 8th : a schematic representation of an application example with an embodiment of the present invention;
  • 9 : A schematic representation of a protection and configuration of the filter before an OTA function according to an embodiment of the present invention;
  • 10th : a schematic representation of the filter rules using the example of the Qci standard according to an embodiment of the present invention; and
  • 11 : A schematic representation of the structure of the filter ECU and its most important components and control variables according to an embodiment of the present invention.

In den Figuren der Zeichnungen bezeichnen gleiche Bezugszeichen gleiche oder funktionsgleiche Elemente, Bauteile, Komponenten oder Verfahrensschritte, soweit nichts Gegenteiliges angegeben ist.In the figures of the drawings, identical reference symbols designate identical or functionally identical elements, components, components or method steps, unless stated otherwise.

Die 1 zeigt eine schematische Darstellung einer Vorrichtung zum Absichern eines Echtzeit-Ethernet-Datennetzwerks für ein Kraftfahrzeug gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.The 1 shows a schematic representation of a device for securing a real-time Ethernet data network for a motor vehicle according to an embodiment of the present invention.

2 zeigt eine schematische Darstellung einer generellen Funktionsweise und Einbettung der Filter-ECU gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. 2nd shows a schematic representation of a general functioning and embedding of the filter ECU according to an embodiment of the present invention.

3 zeigt eine schematische Darstellung von anwendungsspezifischen Filterregeln gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. 3rd shows a schematic representation of application-specific filter rules according to an embodiment of the present invention.

Folgende Beispiele für Filterregeln sind dabei möglich, wobei ebenso auch weitere Filter, Regeln, Kennzahlen verwendet werden können.The following examples of filter rules are possible, whereby further filters, rules, key figures can also be used.

Eine Beschränkung auf maximal 1 Paket/Sekunde oder auf eine maximale Paketgröße von 20 Byte.A restriction to a maximum of 1 packet / second or to a maximum packet size of 20 bytes.

Eine Beschränkung auf maximal 8000 Pakete/Sekunde oder auf eine maximale Paketgröße von 1400 Byte.A limitation to a maximum of 8000 packets / second or to a maximum packet size of 1400 bytes.

Definierte IP Absenderadresse zum Zwecke der Zeitsynchronisation.Defined IP sender address for the purpose of time synchronization.

4 zeigt eine schematische Darstellung einer vorangehenden Abfrage und Prüfung der ECU-Kapazitäten und Einstellung der Filter gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. 4th shows a schematic representation of a previous query and check of the ECU capacities and setting of the filter according to an embodiment of the present invention.

Diese Funktion erstellt je nach Bedarf eine hochaktuelle Datenbank bzw. umfasst eine wesentliche Systemabfrage. Je nach Kapazität werden die Regeln so angepasst, dass die ECU entlastet werden kann bzw. diese neu eintreffenden Daten noch aufnehmen kann.This function creates an up-to-date database as required or includes an essential system query. Depending on the capacity, the rules are adjusted so that the ECU can be relieved or can still accommodate this newly arriving data.

5 zeigt eine schematische Darstellung einer anwendungsspezifischen Filterregelsetzung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. 5 shows a schematic representation of an application-specific filter control setting according to an embodiment of the present invention.

5 zeigt eine schematische Darstellung einer 1:n, d.h. „Eins zu Viele“-Beziehung. Auf einer ECU können beliebig viele Anwendungen und somit unterscheidbare Datenströme existieren. Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung wird dabei detailliert, spezifisch je Anwendung und/oder je Datenstrom gegen individuelle Kommunikationsprofile geprüft. 5 shows a schematic representation of a 1: n, ie "one to many" relationship. Any number of applications and thus distinguishable data streams can exist on an ECU. According to an exemplary embodiment of the present invention, detailed communication, specific to each application and / or data stream, is checked against individual communication profiles.

6 zeigt eine schematische Darstellung eines Anwendungsstartes und einer Prüfung des Setzens der Filterregeln gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. 6 shows a schematic representation of an application start and a test of the setting of the filter rules according to an embodiment of the present invention.

7 zeigt eine schematische Darstellung einer AnomalieDetektion und Anpassung der Filtereinstellungen gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. 7 shows a schematic representation of an anomaly detection and adaptation of the filter settings according to an embodiment of the present invention.

Dabei kann eine Wiederholung der Prüfung der von extern kommenden Kommunikation solange erfolgen, bis eine Konnektivität besteht. The test of the external communication can be repeated until there is connectivity.

Mit anderen Worten ausgedrückt, die „Konnektivität“ besteht quasi durchgehend und die Prüfung auf Datenstrommuster, d.h. ob vorgeschriebene Charakteristiken des Datenstroms durchgehend eingehalten werden und nicht vom definierten Sollwert abweichen, wird durchgehend idealerweise für jedes einzelne Datenpaket gemacht. Es kann also beispielsweise vorgesehen sein, dass der Datenstrom schon seit einer vorbestimmten Zeitspanne, etwa für bis zu 2 Minuten, besteht und innerhalb der vorbestimmten Zeitspanne nur regelmäßig, d.h. zu erwartende Datenstrommuster auftreten.In other words, the "connectivity" is virtually continuous and the check for data stream patterns, i.e. Whether prescribed characteristics of the data stream are continuously observed and do not deviate from the defined target value is ideally made continuously for each individual data packet. It can therefore be provided, for example, that the data stream has existed for a predetermined period of time, for example for up to 2 minutes, and only within the predetermined period of time, i.e. expected data stream patterns occur.

8 zeigt eine schematische Darstellung eines Anwendungsbeispiels der vorliegenden Erfindung. 8th shows a schematic representation of an application example of the present invention.

Die 8 zeigt beispielsweise den Fall eines Wechsels der IP- und/oder Ethernet-Adresse bei einer Anomaliedetektion.The 8th shows, for example, the case of a change in the IP and / or Ethernet address in the event of anomaly detection.

9 zeigt eine schematische Darstellung einer Absicherung und Konfiguration der Filter vor einer OTA-Funktion gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; 9 shows a schematic representation of a protection and configuration of the filter before an OTA function according to an embodiment of the present invention;

10 zeigt eine schematische Darstellung der Filterregeln am Beispiel des Qci-Standards gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; und 11 zeigt eine schematische Darstellung des Aufbaus der Filter ECU und ihrer wichtigsten Komponenten und Regelgrößen gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. 10th shows a schematic representation of the filter rules using the example of the Qci standard according to an embodiment of the present invention; and 11 shows a schematic representation of the structure of the filter ECU and its most important components and control variables according to an embodiment of the present invention.

Vom Ethernet-TSN Switch werden dann Ethernet-Daten an weitere nicht dargestellte Schnittstellen übertragen.The Ethernet TSN switch then transmits Ethernet data to other interfaces, not shown.

Dabei kann gemäß einem Ausführungsbeispiel der vorliegenden Erfindung die ECU bzw. deren Funktionalität auch ein Teil einer bestehenden ECU sein.According to an embodiment of the present invention, the ECU or its functionality can also be part of an existing ECU.

Obwohl die vorliegende Erfindung anhand bevorzugter Ausführungsbeispiele vorstehend beschrieben wurde, ist sie nicht darauf beschränkt, sondern auf vielfältige Art und Weise modifizierbar. Insbesondere lässt sich die Erfindung in mannigfaltiger Weise verändern oder modifizieren, ohne vom Kern der Erfindung abzuweichen.Although the present invention has been described above on the basis of preferred exemplary embodiments, it is not restricted thereto, but rather can be modified in a variety of ways. In particular, the invention can be changed or modified in a variety of ways without departing from the essence of the invention.

Ergänzend sei darauf hingewiesen, dass „umfassend“ und „aufweisend“ keine anderen Elemente oder Schritte ausschließt und „eine“ oder „ein“ keine Vielzahl ausschließt.In addition, it should be pointed out that “comprehensive” and “having” do not exclude other elements or steps, and “a” or “an” does not exclude a large number.

Ferner sei darauf hingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen.Furthermore, it should be pointed out that features or steps that have been described with reference to one of the above exemplary embodiments can also be used in combination with other features or steps of other exemplary embodiments described above. Reference signs in the claims are not to be viewed as a restriction.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant has been generated automatically and is only included for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturPatent literature cited

  • DE 102014220462 A1 [0003]DE 102014220462 A1 [0003]
  • WO 2015/161870 A1 [0004]WO 2015/161870 A1 [0004]

Claims (10)

Vorrichtung zum Absichern eines Echtzeit-Ethernet-Datennetzwerks für ein Kraftfahrzeug, die Vorrichtung (100) umfassend: - eine Datenbankeinrichtung (10), welche dazu ausgebildet ist, einstellbare Netzwerkkonfigurationen und einstellbare Sicherheitseinstellungen für das Echtzeit-Ethernet-Datennetzwerks abzuspeichern sowie mindestens eine aktuell verwendete Netzwerkkonfiguration und mindestens eine aktuell verwendete Sicherheitseinstellung für das Echtzeit-Ethernet-Datennetzwerks abzuspeichern; und - eine Steuereinrichtung (20), welche dazu ausgebildet ist, zwischen einem Antennenmodul des Echtzeit-Ethernet-Datennetzwerks und einem Steuergerät des Kraftfahrzeuges gekoppelt zu werden, und welche ferner dazu ausgebildet ist, aktuell übermittelten Datenverkehr zwischen dem Antennenmodul und dem Steuergerät des Kraftfahrzeuges mit zu erwartendem Datenverkehr basierend auf einer Datenverkehrsschätzung unter Verwendung der abgespeicherten aktuell verwendeten Netzwerkkonfiguration und der abgespeicherten aktuell verwendeten Sicherheitseinstellung zu vergleichen und ein Vergleichsergebnis zu speichern.Device for securing a real-time Ethernet data network for a motor vehicle, the device (100) comprising: - a database device (10) which is designed to store adjustable network configurations and adjustable security settings for the real-time Ethernet data network and to store at least one currently used network configuration and at least one currently used security setting for the real-time Ethernet data network; and - A control device (20) which is designed to be coupled between an antenna module of the real-time Ethernet data network and a control device of the motor vehicle, and which is further designed to include currently transmitted data traffic between the antenna module and the control device of the motor vehicle compare expected traffic based on a traffic estimate using the stored network configuration and the currently used security setting and save a comparison result. Vorrichtung nach Patentanspruch 1, wobei die Steuereinrichtung (20) dazu ausgebildet ist, basierend auf dem Vergleichsergebnis den Datenverkehr zwischen dem Antennenmodul und dem Steuergerät des Kraftfahrzeuges zu unterbrechen und/oder anzupassen und/oder aufrechtzuerhalten und/oder fortzusetzen.Device after Claim 1 The control device (20) is designed to interrupt and / or adapt and / or maintain and / or continue the data traffic between the antenna module and the control device of the motor vehicle based on the comparison result. Vorrichtung nach Patentanspruch 1 oder 2, wobei die Steuereinrichtung (20) dazu ausgebildet ist, das Vergleichsergebnis des aktuell übermittelten Datenverkehrs mit dem zu erwartenden Datenverkehr ferner basierend auf Angriffsmuster und/oder Verhaltensanalysen zu ermitteln, um eine Anomalie des Datenverkehrs erfassen.Device after Claim 1 or 2nd The control device (20) is designed to further determine the comparison result of the currently transmitted data traffic with the expected data traffic based on attack patterns and / or behavior analyzes in order to detect an anomaly in the data traffic. Vorrichtung nach einem der vorhergehenden Patentansprüche, wobei die Datenbankeinrichtung (10) als ein Datenfiltermodul ausgebildet ist.Device according to one of the preceding claims, wherein the database device (10) is designed as a data filter module. Vorrichtung nach einem der vorhergehenden Patentansprüche, wobei die Datenbankeinrichtung (10) als ein Teilsystem eines Steuergerätes des Kraftfahrzeuges ausgebildet ist.Device according to one of the preceding claims, wherein the database device (10) is designed as a subsystem of a control device of the motor vehicle. Vorrichtung nach einem der vorhergehenden Patentansprüche, wobei die Steuereinrichtung (20) als ein Teilsystem eines Steuergerätes des Kraftfahrzeuges ausgebildet ist.Device according to one of the preceding claims, wherein the control device (20) is designed as a subsystem of a control device of the motor vehicle. Vorrichtung nach einem der vorhergehenden Patentansprüche, wobei die Steuereinrichtung (20) ferner eine Hardware-Schaltung aufweist, um Ethernet-Datenströme des Echtzeit-Ethernet-Datennetzwerks in Echtzeit zu analysieren und zu manipulieren.Device according to one of the preceding claims, wherein the control device (20) further comprises a hardware circuit to analyze and manipulate Ethernet data streams of the real-time Ethernet data network in real time. Vorrichtung nach einem der vorhergehenden Patentansprüche, wobei die Steuereinrichtung (20) dazu ausgebildet ist, das Vergleichsergebnis zu übermitteln.Device according to one of the preceding claims, wherein the control device (20) is designed to transmit the comparison result. Vorrichtung nach einem der vorhergehenden Patentansprüche, wobei die Steuereinrichtung (20) dazu ausgebildet ist, Datenverkehr mit berechenbaren und garantierten Ende-zu-Ende Latenzen zu analysieren.Device according to one of the preceding claims, wherein the control device (20) is designed to analyze data traffic with predictable and guaranteed end-to-end latencies. Vorrichtung nach einem der vorhergehenden Patentansprüche, wobei die Steuereinrichtung (20) dazu ausgebildet ist, den Datenverkehr durch eine selbstlernende künstliche Intelligenz zu analysieren.Device according to one of the preceding claims, wherein the control device (20) is designed to analyze the data traffic by means of a self-learning artificial intelligence.
DE102018219262.6A 2018-11-12 2018-11-12 Device for securing a real-time Ethernet data network for a motor vehicle Withdrawn DE102018219262A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102018219262.6A DE102018219262A1 (en) 2018-11-12 2018-11-12 Device for securing a real-time Ethernet data network for a motor vehicle
PCT/EP2019/080803 WO2020099291A1 (en) 2018-11-12 2019-11-11 Device for securing a real-time ethernet data network for a motor vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018219262.6A DE102018219262A1 (en) 2018-11-12 2018-11-12 Device for securing a real-time Ethernet data network for a motor vehicle

Publications (1)

Publication Number Publication Date
DE102018219262A1 true DE102018219262A1 (en) 2020-05-14

Family

ID=68731938

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018219262.6A Withdrawn DE102018219262A1 (en) 2018-11-12 2018-11-12 Device for securing a real-time Ethernet data network for a motor vehicle

Country Status (2)

Country Link
DE (1) DE102018219262A1 (en)
WO (1) WO2020099291A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114697112A (en) * 2022-03-31 2022-07-01 华能澜沧江水电股份有限公司 Hydropower production real-time data acquisition, transmission, calculation, storage and optimization system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015161870A1 (en) 2014-04-23 2015-10-29 Siemens Aktiengesellschaft Device and method for filtering data packets in a communication network according to the profinet standard
DE102014220462A1 (en) 2014-10-09 2016-04-14 Continental Automotive Gmbh Apparatus and method for monitoring network communication of a data network for a motor vehicle

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015016334B4 (en) * 2015-12-15 2017-07-06 Audi Ag Motor vehicle roof antenna module, motor vehicle and method for operating the roof antenna module
US10440120B2 (en) * 2016-10-13 2019-10-08 Argus Cyber Security Ltd. System and method for anomaly detection in diagnostic sessions in an in-vehicle communication network
DE102017202022A1 (en) * 2017-02-09 2018-08-09 Audi Ag Motor vehicle with an in-vehicle data network and method for operating the motor vehicle

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015161870A1 (en) 2014-04-23 2015-10-29 Siemens Aktiengesellschaft Device and method for filtering data packets in a communication network according to the profinet standard
DE102014220462A1 (en) 2014-10-09 2016-04-14 Continental Automotive Gmbh Apparatus and method for monitoring network communication of a data network for a motor vehicle

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114697112A (en) * 2022-03-31 2022-07-01 华能澜沧江水电股份有限公司 Hydropower production real-time data acquisition, transmission, calculation, storage and optimization system

Also Published As

Publication number Publication date
WO2020099291A1 (en) 2020-05-22

Similar Documents

Publication Publication Date Title
DE112019000485T5 (en) SYSTEM AND PROCEDURE FOR PROVIDING SECURITY FOR IN-VEHICLE NETWORK
DE102010008816A1 (en) Method for online communication
WO2015028194A1 (en) Filter method for adapting a computing load
WO2016008778A1 (en) Method for detecting an attack in a communication network
DE112010005088T5 (en) Radio communication device and radio communication method
EP3542511A1 (en) Method for a communications network, and electronic control unit
WO2018077528A1 (en) Detection of manipulations in a can network by checking can identifiers
EP1417820B1 (en) Method and computer system for securing communication in networks
DE10330079A1 (en) Router and procedure for activating a disabled computer
EP3542510A1 (en) Method for a communications network, and electronic control unit
DE102018219262A1 (en) Device for securing a real-time Ethernet data network for a motor vehicle
EP1862931B1 (en) Device and method for protecting a medical device and a patient being treated with one of these devices against dangerous effects from a communications network
EP3688951B1 (en) Method for detecting an attack on a control device of a vehicle
EP2987301B1 (en) Controlling the funcionality of a network filter
EP1675342B1 (en) Apparatus and method for a secure fault management within protected communication networks
DE102011080676A1 (en) Configuration of a communication network
DE102017210513A1 (en) Method for transmitting a message in a security-relevant system
DE102013209914A1 (en) Filtering a data packet by means of a network filter device
DE102016107647B4 (en) Method and storage medium for securing / monitoring a network
DE102018221349A1 (en) Procedure for managing a store
DE102018219246A1 (en) Control unit architecture for vehicles
EP1496665B1 (en) Method for security configuration in an automisation network
EP3912325B1 (en) Method and control unit for detecting unauthorised data traffic in a packet-oriented data network of a motor vehicle, and corresponding motor vehicle
EP3382976A1 (en) Protective device, method and apparatus comprising a protection device for protecting a communication network associated with the device
WO2021197822A1 (en) Method for handling an anomaly in data, in particular in a motor vehicle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee