DE102019001978A1 - Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle - Google Patents
Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle Download PDFInfo
- Publication number
- DE102019001978A1 DE102019001978A1 DE102019001978.4A DE102019001978A DE102019001978A1 DE 102019001978 A1 DE102019001978 A1 DE 102019001978A1 DE 102019001978 A DE102019001978 A DE 102019001978A DE 102019001978 A1 DE102019001978 A1 DE 102019001978A1
- Authority
- DE
- Germany
- Prior art keywords
- message
- bus
- station
- identifier
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 77
- 238000012544 monitoring process Methods 0.000 title claims abstract description 66
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000005540 biological transmission Effects 0.000 claims description 35
- 230000003287 optical effect Effects 0.000 claims description 4
- 238000012546 transfer Methods 0.000 claims description 4
- 238000009877 rendering Methods 0.000 abstract description 3
- 230000007704 transition Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 7
- 238000006243 chemical reaction Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 239000011159 matrix material Substances 0.000 description 4
- 230000006855 networking Effects 0.000 description 4
- 230000018109 developmental process Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000010267 cellular communication Effects 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 239000004020 conductor Substances 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000001788 irregular Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 206010000210 abortion Diseases 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004378 air conditioning Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/407—Bus networks with decentralised control
- H04L12/413—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
- H04L12/4135—Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD] using bit-wise arbitration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
Abstract
Die Erfindung betrifft ein Überwachungsverfahren für einen Kommunikationsbus (104). Damit werden unberechtigte Buszugriffe festgestellt. Das Verfahren beinhaltet, dass ein Überwachungsmodul (1517) bei einer an den Kommunikationsbus (104) angeschlossenen Station vorgesehen wird. Bei dem Verfahren werden die Botschaften durch einen Identifizierer gekennzeichnet, wobei für jede Station (140 - 163) festgelegt wird, welche Botschaften mit welchem Identifizierer von ihr gesendet werden dürfen. Dabei besteht eine Eindeutigkeitsregel darin, dass es verboten ist, dass eine andere Station (152, 153) eine Nutzdaten-Botschaft mit einem Identifizierer versendet, der schon für diese Station (151) reserviert ist. Diese Regel wird bei der Überwachung ausgenutzt, derart, dass überwacht wird, ob auf dem Kommunikationsbus (104) eine Nutzdaten-Botschaft mit einem Identifizierer von einer anderen Station (152, 153) gesendet wird, der für die eigene Station (151) reserviert ist. Wenn ja, wurde ein unberechtigter Buszugriff erkannt. Es wird dann eine oder mehrere der folgenden Gegenmaßnahmen eingeleitet:Unbrauchbarmachen der eingeschleusten Botschaft durch Überschreiben der Botschaft mit dem dominanten Pegel, durch Überschreiben der Botschaft mit einem bestimmten Bit-Muster, durch das gezielte Verändern eines bestimmten Botschaftsteils, wie das CRC-Feld der Botschaft, oder durch das Setzen eines Informationseintrages in einem zusätzlichen Feld der gesendeten Botschaften;Warnen einer anderen elektronischen Station (140 - 163) durch Senden von unplausiblen Dateninhalten in einer oder mehreren folgenden Botschaften, oder durch Senden einer Warnung in einer oder mehreren dedizierten Warn-Botschaften.The invention relates to a monitoring method for a communication bus (104). This means that unauthorized bus access is detected. The method includes providing a monitoring module (1517) at a station connected to the communication bus (104). In the method, the messages are identified by an identifier, it being determined for each station (140-163) which messages with which identifier may be sent by it. A uniqueness rule is that it is forbidden for another station (152, 153) to send a user data message with an identifier that is already reserved for this station (151). This rule is used in the monitoring, in such a way that it is monitored whether a user data message with an identifier is sent on the communication bus (104) from another station (152, 153) which is reserved for its own station (151) . If so, unauthorized bus access was detected. One or more of the following countermeasures are then initiated: rendering the smuggled message unusable by overwriting the message with the dominant level, by overwriting the message with a specific bit pattern, by changing a specific part of the message, such as the CRC field of the message , or by setting an information entry in an additional field of the messages sent; warning another electronic station (140-163) by sending implausible data content in one or more subsequent messages, or by sending a warning in one or more dedicated warning messages .
Description
Die Erfindung betrifft das technische Gebiet der Überwachung der Kommunikation auf einem Kommunikationsbus hinsichtlich unberechtigter Buszugriffe. Dieses Verfahren kann insbesondere bei Kommunikationsbussen eingesetzt werden, die in Fahrzeugen eingesetzt werden. Vernetzte Steuergeräte sind auch in anderen Gebieten der Technik zu finden, z.B. in der Automatisierungstechnik, Prozesstechnik usw. Die Erfindung betrifft weiterhin eine elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus.The invention relates to the technical field of monitoring communication on a communication bus with regard to unauthorized bus access. This method can be used in particular in communication buses that are used in vehicles. Networked control devices can also be found in other areas of technology, e.g. in automation technology, process technology, etc. The invention also relates to an electronic device for connection to a communication bus.
In modernen Fahrzeugen werden eine Vielzahl von Steuergeräten verbaut. Alleine für den Antriebstrang werden eine Anzahl Steuergeräte eingesetzt, so z.B. Motor-Steuergerät, Getriebe-Steuergerät, Wählhebel-Steuergerät, Airbag-Steuergerät und weitere. Daneben gibt es auch noch weitere Steuergeräte, die im Bereich der Fahrzeugkarosserie verbaut werden und für bestimmte Komfortfunktionen sorgen. Als Beispiele werden genannt die Tür- oder Fensterheber-Steuergeräte, Klimaanlagen-Steuergeräte, Sitzverstellungs-Steuergeräte u.a. Dann gibt es weiterhin Steuergeräte, die zu dem Infotainment-Bereich zählen, wie Kamera-Steuergerät zur Umfeldbeobachtung, Navigationsgerät, Kommunikationsmodul und Entertainment-Gerät mit TV, Radio, Video und Musik-Funktion.A large number of control units are installed in modern vehicles. A number of control units are used for the drive train alone, e.g. Engine control unit, transmission control unit, selector lever control unit, airbag control unit and others. There are also other control units that are installed in the area of the vehicle body and provide certain convenience functions. Examples include door or window regulator control devices, air conditioning control devices, seat adjustment control devices, etc. Then there are also control devices that belong to the infotainment area, such as camera control devices for monitoring the surroundings, navigation devices, communication modules and entertainment devices with TV, radio, video and music functions.
Typischerweise werden die Steuergeräte der verschiedenen Kategorien jeweils mit einem separaten, für die Gerätekategorie entsprechend ausgelegten Bus vernetzt. Es können daher mehrere verschiedene Bussysteme im Fahrzeug eingesetzt werden. Die verschiedenen Bussysteme können dabei über Gateways miteinander verbunden sein, um einen Datenaustausch zu ermöglichen. Im Bereich der Antriebstrang-Steuergeräte wird typischerweise der CAN-Bus (Controller Area Network) eingesetzt, ebenfalls im Bereich der Komfort-Steuergeräte. Im Infotainment-Bereich kommen auch andere Bussysteme zum Einsatz, wie Bussysteme, die auf Ethernet-Technologie beruhen, z.B. AVB (Audio Video Bridging), der auf der Standard-Familie nach IEEE 802.1 Standard basiert. Auch Bussysteme, bei denen die Datenübertragung über Lichtwellenleiter geschieht, sind einsetzbar. Als Beispiele werden genannt der MOST Bus (Media Oriented System Transport) oder der D2B Bus (Domestic Digital Bus).Typically, the control devices of the different categories are each networked with a separate bus designed for the device category. Several different bus systems can therefore be used in the vehicle. The various bus systems can be connected to one another via gateways in order to enable data exchange. The CAN bus (Controller Area Network) is typically used in the area of powertrain control units, also in the area of convenience control units. Other bus systems are also used in the infotainment area, such as bus systems based on Ethernet technology, e.g. AVB (Audio Video Bridging), which is based on the IEEE 802.1 standard family. Bus systems in which data is transmitted via fiber optics can also be used. Examples are the MOST bus (Media Oriented System Transport) or the D2B bus (Domestic Digital Bus).
Bussysteme im Kraftfahrzeugbereich gelangen zunehmend in den Fokus von Hackerangriffen und den Versuchen, Botschaftsinhalte vorsätzlich zu manipulieren. Solche Hackerangriffe auf das Bussystem geschehen typischerweise über eine Aufschaltung an das physikalische Übertragungsmedium, also die Busleitung, oder über Zugriff auf eine sogenannte OBD-Buchse (On Board Diagnose-Schnittstelle). Die Cyber-Sicherheit gelangt auch deswegen immer mehr in den Fokus, weil immer komplexere Fahrerassistenzsysteme in die Fahrzeuge gelangen bis hin zu dem automatisierten Fahren. Manipulationen müssen hier ausgeschlossen werden.Bus systems in the automotive sector are increasingly becoming the focus of hacker attacks and attempts to deliberately manipulate message content. Such hacker attacks on the bus system typically take place via a connection to the physical transmission medium, i.e. the bus line, or via access to a so-called OBD socket (On Board Diagnostic Interface). Cyber security is also coming more and more into focus because more and more complex driver assistance systems are being used in vehicles, including automated driving. Manipulation must be ruled out here.
Dem Schutz von Bussystemen in Kraftfahrzeugen kommt eine immer stärkere Bedeutung zu. Gerade automatisierte Funktionen und/oder Fahrzeuge benötigen einen wirksamen Schutz vor Angriffen. Ungeschützte oder ungenügend geschützte Systeme können manipuliert werden und stellen eine potenzielle Gefahr für Fahrzeuginsassen und Umwelt dar.The protection of bus systems in motor vehicles is becoming increasingly important. Automated functions and / or vehicles in particular require effective protection against attacks. Unprotected or inadequately protected systems can be manipulated and pose a potential danger to vehicle occupants and the environment.
Im Folgenden werden Verfahren und Methoden beschrieben, um verdächtige Botschaften unbrauchbar zu machen, entsprechend zu kennzeichnen, sowie Verfahren, wie betroffene Steuergeräte über einen erkannten Angriff unterrichtet werden können, und die Reaktion betroffener Steuergeräte.In the following, procedures and methods are described to make suspicious messages unusable, to mark them accordingly, as well as procedures for how affected control units can be informed about a detected attack, and the reaction of affected control units.
Neben der Erkennung und der Identifizierung eingeschleuster Botschaften sind die beteiligten Steuergeräte von einem Vorfall zu informieren. Dies kann durch das Markieren und/oder Zerstören derartiger Botschaften sowie durch das Versenden einer neuen Botschaft (Warnbotschaft) erfolgen. Diese Empfänger-Steuergeräte müssen entsprechend reagieren und, falls erforderlich, in einen sicheren Zustand übergehen, um weitere Risiken für die Insassen und die Umwelt zuverlässig zu vermeiden. Dabei kann eine sinnvolle Balance zwischen Absicherung und Verfügbarkeit erreicht werden, indem je nach Bedarf verschiedene Datenbereiche gezielt überschrieben werden.In addition to the detection and identification of smuggled messages, the control units involved must be informed of an incident. This can be done by marking and / or destroying such messages and by sending a new message (warning message). These receiver control units must react accordingly and, if necessary, switch to a safe state in order to reliably avoid further risks for the occupants and the environment. A sensible balance between security and availability can be achieved by overwriting different data areas as required.
Grundlage für die Identifizierung eingeschleuster Botschaften ist ein dezentrales Erkennungssystem. Im Idealfall kann in jedem Steuergerät ein Überwachungsmodul implementiert werden, das Alarm schlägt, wenn Botschaften mit einem Can-Identifizierer auftreten, die dem eigenen Steuergerät zugeordnet sind. Empfängt das Überwachungsmodul Botschaften mit einem Can-Identifizierer, die nur vom eigenen Steuergerät verwendet werden, so ist das ein Hinweis auf einen Angriff. Dies bedeutet, dass ein anderes Steuergerät Botschaften versendet, die dem Steuergerät mit dem Überwachungsmodul vorbehalten sind. Es kann sich dabei um ein manipuliertes Seriensteuergerät oder um zusätzlich verbaute Hardware handeln. Ein weiterer Aspekt besteht in der Fehlerbehandlung, z.B. der Erkennung fehlerhaft programmierter Steuergeräte.A decentralized recognition system is the basis for identifying smuggled messages. In the ideal case, a monitoring module can be implemented in each control unit that sounds an alarm if messages with a Can identifier occur that are assigned to its own control unit. If the monitoring module receives messages with a Can identifier that are only used by its own control unit, this is an indication of an attack. This means that another control unit sends messages that are reserved for the control unit with the monitoring module. It can be a manipulated production control unit or additionally installed hardware. Another aspect is the error handling, eg the detection of incorrectly programmed control units.
Es besteht daher ein Bedarf, die Kommunikation auf den Kommunikationsbussen im Fahrzeug wie auch anderswo immer weiter abzusichern.There is therefore a need to further secure communication on the communication buses in the vehicle and elsewhere.
Der CAN-Bus ist im Kraftfahrzeugbereich besonders verbreitet und wird häufig für die Vernetzung von sicherheitsrelevanter Elektronik im Fahrzeug eingesetzt. Deshalb besteht hier ein besonderer Bedarf für eine Absicherung der Kommunikation.The CAN bus is particularly widespread in the automotive sector and is often used for networking safety-related electronics in vehicles. Therefore, there is a special need here for securing communication.
Aus der
Aus der
Aus der
Die Erfindung setzt sich zum Ziel, ein wirkungsvolles Überwachungsverfahren für einen Kommunikationsbus anzugeben, das zuverlässig unberechtigte Buszugriffe erkennen kann und verhindert, dass die manipulierten Botschaften Schaden anrichten können.The invention aims to provide an effective monitoring method for a communication bus that can reliably detect unauthorized bus accesses and prevents the manipulated messages from causing damage.
Diese Aufgabe wird durch ein Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus gemäß Anspruch 1 sowie eine elektronische Vorrichtung gemäß Anspruch 13 und 14 und ein Fahrzeug gemäß Anspruch 15 gelöst.This object is achieved by a method for monitoring communication on a communication bus according to
Die abhängigen Ansprüche beinhalten vorteilhafte Weiterbildungen und Verbesserungen der Erfindung entsprechend der nachfolgenden Beschreibung dieser Maßnahmen.The dependent claims contain advantageous developments and improvements of the invention according to the following description of these measures.
Die Lösung besteht in einem Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus, durch den eine Anzahl von elektronischen Stationen vernetzt werden. Eine Besonderheit besteht darin, dass das Botschaftsformat so gestaltet ist, dass die Botschaften durch einen Identifizierer gekennzeichnet sind, wobei für jede Station festgelegt wird, welche Botschaften mit welchem Identifizierer von ihr gesendet werden dürfen. Dabei wird eine Eindeutigkeitsregel eingehalten, die verbietet, dass eine andere Station eine Nutzdaten-Botschaft mit einem Identifizierer versendet, der schon für diese Station reserviert ist. Bei dem Verfahren wird in einer oder mehreren oder allen der elektronischen Stationen ein Überwachungsmodul vorgesehen, das überwacht, ob auf dem Kommunikationsbus eine Nutzdaten-Botschaft mit einem Identifizierer von einer anderen Station gesendet wird, der schon für die eigene Station reserviert ist. In dem Fall wird eine oder mehrere Gegenmaßnahmen eingeleitet. Die Gegenmaßnahmen bestehen in dem Unbrauchbarmachen der eingeschleusten Botschaft durch Überschreiben der Botschaft mit dem dominanten Pegel, durch Überschreiben der Botschaft mit einem bestimmten Bit-Muster, durch das gezielte Verändern eines bestimmten Botschaftsteils, wie das CRC-Feld der Botschaft, oder durch das Setzen eines Informationseintrages in einem zusätzlichen Feld der gesendeten Botschaften; und dem
Warnen eines anderen Steuergerätes durch Senden von unplausiblen Dateninhalten in einer oder mehreren folgenden Botschaften, oder durch Senden einer Warnung in einer oder mehreren dedizierten Warn-Botschaft.The solution consists in a method for monitoring communication on a communication bus through which a number of electronic stations are networked. A special feature is that the message format is designed in such a way that the messages are identified by an identifier, whereby it is specified for each station which messages with which identifier can be sent by it. A uniqueness rule is adhered to, which prohibits another station from sending a user data message with an identifier that is already reserved for this station. In the method, a monitoring module is provided in one or more or all of the electronic stations, which monitors whether a user data message with an identifier is sent on the communication bus from another station that is already reserved for its own station. In this case, one or more countermeasures are initiated. The countermeasures consist in rendering the smuggled message unusable by overwriting the message with the dominant level, by overwriting the message with a specific bit pattern, by changing a specific one Part of the message, such as the CRC field of the message, or by setting an information entry in an additional field of the messages sent; and the
Warn another control unit by sending implausible data content in one or more subsequent messages, or by sending a warning in one or more dedicated warning messages.
Das Verfahren ist ebenso einfach wie wirkungsvoll. Gegenüber dem bekannten Stand der Technik bestehen weitere Möglichkeiten, wie die verdächtige Botschaft unbrauchbar gemacht werden kann. Selbst wenn die empfangene Botschaft auf diese Art und Weise nicht unbrauchbar gemacht werden kann, erfolgt noch eine Warnung der anderen Steuergeräte. The process is as simple as it is effective. Compared to the known state of the art, there are further possibilities as to how the suspicious message can be made unusable. Even if the received message cannot be made unusable in this way, the other control units will still be warned.
Dadurch, dass die anderen Steuergeräte noch zusätzlich gewarnt werden, können sie die vorher empfangene manipulierte Botschaft noch unberücksichtigt lassen. Die Warnung muss allerdings unmittelbar erfolgen.Since the other control units are also warned, they can ignore the previously received manipulated message. However, the warning must be given immediately.
Zur Implementierung des Verfahrens ist es von Vorteil, wenn das Überwachungsmodul für die Überwachung auf eine Sendetabelle zugreift, in der alle der für die Station reservierten Identifizierer verzeichnet sind, und den Identifizierer einer empfangenen Botschaft mit den Einträgen in der Sendetabelle vergleicht. Das Anlegen der Tabelle ist bei dem CAN-Bus für die Akzeptanzfilterung in der jeweiligen Station auch schon erforderlich und kann entsprechend realisiert werden. Das Durchführen des Vergleiches lässt sich in einem Mikrocomputer einfach realisieren. Wenn es hier zu einer Überlastung des Prozessors kommen sollte, kann dafür alternativ eine Spezialschaltung, realisiert z.B. durch einen FPGA-Chip oder einen ASIC, eingesetzt werden.To implement the method, it is advantageous if the monitoring module for monitoring accesses a transmission table in which all of the identifiers reserved for the station are recorded and compares the identifier of a received message with the entries in the transmission table. The creation of the table is already necessary for the CAN bus for the acceptance filtering in the respective station and can be implemented accordingly. The comparison can be carried out easily in a microcomputer. If the processor is overloaded here, a special circuit can alternatively be implemented, e.g. by an FPGA chip or an ASIC.
Bei Feststellen einer Übereinstimmung des Botschafts-Identifizierers der empfangenen Botschaft mit einem Eintrag in der Sendetabelle wird dann von dem Überwachungsmodul ein unberechtigter Buszugriff festgestellt und es können die Gegenmaßnahmen eingeleitet werden.If the message identifier of the received message matches an entry in the transmission table, the monitoring module then detects unauthorized bus access and the countermeasures can be initiated.
In einer Variante wird der Schritt des gezielten Veränderns eines bestimmten Botschaftsteils durchgeführt, indem der Eintrag in einem Fehlerschutz-Datenfeld, insbesondere einem CRC-Feld der Botschaft verändert wird. Das hat den Vorteil, dass dann bei der vorgeschriebenen Fehlerschutzprüfung der empfangenen Botschaft die Botschaft automatisch verworfen wird, weil sie als fehlerhaft erkannt wird. Diese Botschaft kann dann keinen Schaden in dem jeweiligen Steuergerät anrichten.In one variant, the step of specifically changing a specific message part is carried out by changing the entry in an error protection data field, in particular a CRC field of the message. This has the advantage that the message is then automatically discarded during the prescribed error protection check of the received message because it is recognized as being incorrect. This message cannot cause any damage in the respective control unit.
Eine besonders vorteilhafte Variante besteht noch darin, dass von einer Station, die eine von einer mit Überwachungsmodul ausgestatteten anderen Station eine unbrauchbar gemachte Botschaft empfängt oder eine dedizierte Warn-Botschaft, ein Schritt des Überführens der Station in einen sicheren Zustand ausgeführt wird. Dies ist eine wichtige Maßnahme, um zu verhindern, dass ein Unfall passiert, wenn eine Manipulation von Botschaften während des Betriebes erfolgt. Solche Bussysteme werden vielfach in Fahrzeugen eingesetzt, bei denen eine Manipulation im Betrieb zu Unfällen mit fatalen Folgen führen kann. Andererseits werden solche Bussysteme auch in Flugzeugen, Aufzugsteuerungen oder anderen Maschinensteuerungen eingesetzt, bei denen ebenfalls Manipulationen verhindert werden müssen. Diese Maßnahme kann auch durchgeführt werden, wenn die Station an einen anderen Sub-Bus angeschlossen ist als die Station mit Überwachungsmodul. Dazu kann ein Gateway vorgesehen sein, das in diesem Beispiel die Botschaft von dem Sub-Bus, an den die Station mit Überwachungsmodul angeschlossen ist, an den Sub-Bus weiterleitet, an den die eigentlich betroffene Station angeschlossen ist.A particularly advantageous variant also consists in that a station which receives a message that has been rendered unusable from another station equipped with a monitoring module or a dedicated warning message, carries out a step of transferring the station to a safe state. This is an important measure to prevent an accident from happening if messages are tampered with during operation. Such bus systems are often used in vehicles where manipulation during operation can lead to accidents with fatal consequences. On the other hand, such bus systems are also used in airplanes, elevator controls or other machine controls, in which manipulation must also be prevented. This measure can also be carried out if the station is connected to a different sub-bus than the station with the monitoring module. To this end, a gateway can be provided which, in this example, forwards the message from the sub-bus to which the station with the monitoring module is connected to the sub-bus to which the actually affected station is connected.
In vorteilhafter Weise kann das Verfahren bei einem Kommunikationsbus eingesetzt werden, das für den Austausch von Botschaften zwischen elektronischen Komponenten eines Fahrzeuges ausgelegt ist. Insbesondere dort werden Bussysteme eingesetzt, bei denen solche Identifizierer verbunden mit der beschriebenen Eindeutigkeitsregel eingesetzt werden.The method can advantageously be used in a communication bus that is designed for the exchange of messages between electronic components of a vehicle. Bus systems are used there in particular, in which such identifiers are used in conjunction with the uniqueness rule described.
Bei einer anderen Variante, die insbesondere für Fahrzeuge interessant ist, wird als weitere Gegenmaßnahme bei einem für die Ausgabe von Informationen zuständigen Gerät z.B. eines Infotainmentsystems, das eine unbrauchbar gemachte Botschaft empfängt oder eine dedizierte Warnbotschaft, ein Schritt der Warnung des Fahrzeugführers durch Ausgabe eines optischen, akustischen oder haptischen Signals durchgeführt.In another variant, which is particularly interesting for vehicles, a further countermeasure for a device responsible for outputting information is e.g. an infotainment system that receives a message that has been rendered unusable or a dedicated warning message, a step of warning the vehicle driver is carried out by outputting an optical, acoustic or haptic signal.
Dabei kann die Ausgestaltung auch so sein, dass die mit einem Überwachungsmodul ausgestattete Station eine dedizierte Warnbotschaft an das für die Ausgabe von Informationen zuständige Gerät des Infotainmentsystems sendet, das daraufhin den Schritt der Warnung des Fahrzeugführers durch Ausgabe des optischen, akustischen oder haptischen Signals durchführt.The design can also be such that the station equipped with a monitoring module sends a dedicated warning message to the infotainment system device responsible for outputting information, which then carries out the step of warning the vehicle driver by outputting the optical, acoustic or haptic signal.
In diesem Zusammenhang ist es vorteilhaft, wenn als weitere Gegenmaßnahme ein für die Kommunikation mit der Außenwelt zuständiges Gerät in dem Fahrzeug einen Schritt des Absetzens einer Manipulationsmeldung über Funk an einen Zentralrechner des Fahrzeugherstellers oder einer Behörde oder an ein Smartphone des Fahrzeughalters durchgeführt wird. Dadurch wird der Fahrzeughersteller über die Manipulation informiert und kann darauf reagieren. Ggfs. kann er durch Ausgabe einer neuen Softwareversion für ein oder mehrere Steuergeräte die Sicherheitslücke schließen. Auch die Maßnahme, dass die Behörden über die Manipulation informiert werden, kann wichtig sein. So ist es möglich, dass die Manipulation den Strafverfolgungsbehörden mitgeteilt wird. Bevorzugt wird Ort und Zeitpunkt des Auftretens der Manipulation ebenfalls mitgeteilt. Selbst wenn eine unmittelbare Strafverfolgung nicht erfolgreich durchgeführt werden kann, können die Behörden noch Warnungen an die Öffentlichkeit geben. Das für die Kommunikation mit der Außenwelt zuständige Gerät ist in einem Fahrzeug typischerweise ein On-Board Kommunikationsmodul, das für die Kommunikation in einem Mobilfunknetz wie LTE (Long Term Evolution) oder 5G ausgelegt ist und auch für die Fahrzeug-zu-Fahrzeug-Kommunikation V2V nach einem Kommunikationsstandard wie WLAN p, entsprechend IEEE 802.11 p.In this context, it is advantageous if, as a further countermeasure, a device in the vehicle responsible for communication with the outside world is carried out a step of sending a manipulation message via radio to a central computer of the vehicle manufacturer or an authority or to a smartphone of the vehicle owner. This informs the vehicle manufacturer about the manipulation and can react to it. If necessary he can close the security gap by issuing a new software version for one or more control units. The measure that the authorities are informed about the manipulation can also be important. So it is possible that the manipulation is reported to the law enforcement authorities. The place and time of the occurrence of the manipulation are preferably also communicated. Even if immediate law enforcement cannot be successfully carried out, authorities can still issue warnings to the public. The device responsible for communication with the outside world is typically an on-board communication module in a vehicle that is designed for communication in a cellular network such as LTE (Long Term Evolution) or 5G and also for vehicle-to-vehicle communication V2V according to a communication standard such as WLAN p, corresponding to IEEE 802.11 p.
Dabei kann die Ausgestaltung auch so sein, dass die mit einem Überwachungsmodul ausgestattete Station eine dedizierte Warnbotschaft an das für die Kommunikation mit der Außenwelt zuständige Gerät sendet, das daraufhin den Schritt des Absetzens einer Manipulationsmeldung über Funk an den Zentralrechner durchführt.The configuration can also be such that the station equipped with a monitoring module sends a dedicated warning message to the device responsible for communication with the outside world, which then carries out the step of sending a manipulation message to the central computer via radio.
In einer anderen Variante führt das für die Kommunikation mit der Außenwelt zuständige Gerät zusätzlich einen Schritt des Sendens einer dedizierten Warnbotschaft an ein für die Ausgabe von Informationen zuständiges Gerät des Infotainmentsystems durch, welches dann wieder die Ausgabe des Signals zur Warnung des Fahrzeugführers durchführt.In another variant, the device responsible for communication with the outside world also carries out a step of sending a dedicated warning message to a device in the infotainment system responsible for outputting information, which then outputs the signal to warn the vehicle driver.
Dieses Überwachungsverfahren kann besonders vorteilhaft bei dem Kommunikationsbus nach einer Variante der Familie der CAN-Bus Standards, entsprechend Controller Area Network, eingesetzt werden. Dieses ist insbesondere in dem Kfz-Bereich sehr verbreitet und erfüllt die Voraussetzungen. Dort werden die Botschaften inhaltsadressiert, d.h. dort beschreibt der CAN-Bus Botschafts-Identifizierer den Inhalt der Botschaft und legt auch gleich die Dringlichkeit der Botschaft fest. Über den CAN-Bus Botschafts-Identifizierer wird in der Arbitrierungsphase bestimmt, welche Station Zugang zum Übertragungsmedium erhält. Zugriffskonflikte werden so über die Wired-AND-Schaltung ohne Verzögerung aufgelöst.This monitoring method can be used particularly advantageously in the communication bus according to a variant of the family of CAN bus standards, corresponding to the Controller Area Network. This is particularly widespread in the motor vehicle sector and meets the requirements. There the messages are content-addressed, i.e. There the CAN bus message identifier describes the content of the message and also defines the urgency of the message. During the arbitration phase, the CAN bus message identifier is used to determine which station has access to the transmission medium. Access conflicts are resolved without delay via the wired AND circuit.
Für eine elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus ist es vorteilhaft, wenn die Vorrichtung ein Überwachungsmodul aufweist, welches für die Überwachung nach den Schritten nach dem beschriebenen Überwachungsverfahren ausgelegt ist.For an electronic device for connection to a communication bus, it is advantageous if the device has a monitoring module which is designed for monitoring according to the steps according to the monitoring method described.
Für eine elektronische Vorrichtung eines anderen Typs zum Anschluss an einen Kommunikationsbus ist es vorteilhaft, wenn die Vorrichtung ein Sicherheitsmodul aufweist, das für die Überführung der elektronischen Vorrichtung in den sicheren Zustand nach dem beschriebenen Überwachungsverfahren ausgelegt ist.For an electronic device of a different type for connection to a communication bus, it is advantageous if the device has a security module which is designed to transfer the electronic device to the safe state according to the monitoring method described.
Für ein Fahrzeug ist es vorteilhaft, dass das Fahrzeug mit einer oder beiden Varianten der erwähnten elektronischen Vorrichtungen ausgestattet ist.For a vehicle, it is advantageous that the vehicle is equipped with one or both variants of the electronic devices mentioned.
Die Botschaften enthalten typischerweise ein Nutzdatenfeld. Darin kann ein Steuerbefehl enthalten sein. Das ist besonders vorteilhaft, wenn das Überwachungsverfahren bei dem sogenannten LIN-Bus eingesetzt wird, entsprechend Local Interconnect Network Bus. Dort werden die Identifizierer von Botschaften auch zur Kennzeichnung bestimmter Steuerbefehle benutzt.The messages typically contain a user data field. This can contain a control command. This is particularly advantageous if the monitoring method is used with the so-called LIN bus, corresponding to the local interconnect network bus. There, the identifiers of messages are also used to identify certain control commands.
Darüber hinaus können Nutzdaten in beliebiger Form enthalten sein, z.B. Sensordaten, Einstellparameter, Audiodaten, Videodaten usw.In addition, payload data can be included in any form, e.g. Sensor data, setting parameters, audio data, video data, etc.
Ein Ausführungsbeispiel der Erfindung ist in den Zeichnungen dargestellt und wird nachfolgend anhand der Figuren näher erläutert.An embodiment of the invention is shown in the drawings and is explained in more detail below with reference to the figures.
Es zeigen:
-
1 das Prinzip der Vernetzung von elektronischen Komponenten mittels CAN-Bus; -
2 das Format des Standard Frame-Übertragungsrahmens beim CAN-Bus; -
3 das Format des Remote Frame-Übertragungsrahmens beim CAN-Bus; -
4 das Prinzip von Fahrzeug-zu-Fahrzeug-Kommunikation V2V und Fahrzeug-zu-Allem-Kommunikation V2X mittels Mobilfunkunterstützung; -
5 ein Blockdiagramm für ein Fahrzeug-Kommunikationsnetzwerk mit Steuergeräten und anderen Stationen verschiedener Kategorie; -
6 ein Blockschaltbild einer CAN-Bus-Schnittstelle, die mit einem Überwachungsmodul gemäß der Erfindung ausgestattet ist; -
7 ein Flussdiagramm für ein Programm, das als Überwachungsmodul auf der CAN-Busschnittstelle installiert ist, -
8 ein Diagramm, das die durch einen Angreifer eingeschleusten Botschaften während der Überwachungsphase illustriert; und -
9 den Ablauf des erweiterten Überwachungsverfahrens in Form eines Zustandsdiagramms.
-
1 the principle of networking electronic components using a CAN bus; -
2 the format of the standard frame transmission frame on the CAN bus; -
3 the format of the remote frame transmission frame on the CAN bus; -
4th the principle of vehicle-to-vehicle communication V2V and vehicle-to-all communication V2X using mobile phone support; -
5 a block diagram for a vehicle communication network with control units and other stations of various categories; -
6th a block diagram of a CAN bus interface, which is equipped with a monitoring module according to the invention; -
7th a flow chart for a program that is installed as a monitoring module on the CAN bus interface, -
8th a diagram illustrating the messages introduced by an attacker during the monitoring phase; and -
9 the sequence of the extended monitoring procedure in the form of a state diagram.
Die vorliegende Beschreibung veranschaulicht die Prinzipien der erfindungsgemäßen Offenbarung. Es versteht sich somit, dass Fachleute in der Lage sein werden, verschiedene Anordnungen zu konzipieren, die zwar hier nicht explizit beschrieben werden, die aber Prinzipien der erfindungsgemäßen Offenbarung verkörpern und in ihrem Umfang ebenfalls geschützt sein sollen.The present description illustrates the principles of the disclosure of the invention. It is therefore understood that those skilled in the art will be able to design various arrangements which, although not explicitly described here, embody principles of the disclosure according to the invention and are also intended to be protected in their scope.
Der CAN-Bus wurde schon 1994 standardisiert. Die entsprechende ISO-Norm hat die Nummer
Es gibt beim klassischen CAN-Bus auch ein spezielles CAN Remote Frame Format. Der CAN Remote Frame wird von einer Station gesendet, um bestimmte Daten von einer anderen Station anzufordern.The classic CAN bus also has a special CAN remote frame format. The CAN remote frame is sent by a station in order to request certain data from another station.
Bei der nachfolgenden Beschreibung des Ausführungsbeispiels werden die Busstationen, wie im Kfz-Bereich üblich, als Steuergeräte bezeichnet. Es ist aber auch möglich, dass eine Busstation nicht als Steuergerät ausgelegt ist. Als Beispiele werden genannt bestimmte Sensoren oder Aktoren (z.B. Stellglieder), die an den Bus angeschlossen werden. Der CAN-Bus wird aber nicht nur im Fahrzeugbereich inklusive Flugzeugen eingesetzt, sondern auch in anderen Bereichen. Wie bereits erwähnt betrifft dies den Bereich von Prozess- und Maschinensteuerungen. Hier wird der CAN-Bus auch als Feldbus eingesetzt.In the following description of the exemplary embodiment, the bus stations are referred to as control devices, as is customary in the motor vehicle sector. However, it is also possible that a bus station is not designed as a control device. Certain sensors or actuators (e.g. actuators) that are connected to the bus are named as examples. The CAN bus is not only used in vehicles, including aircraft, but also in other areas. As already mentioned, this concerns the area of process and machine controls. Here the CAN bus is also used as a field bus.
Um Signalreflektionen zu vermeiden, ist die Busleitung
Eine CAN-Schnittstelle setzt sich aus zwei Teilen zusammen: der Kommunikationssoftware und der Kommunikationshardware. Während die Kommunikationssoftware höhere Kommunikationsdienste umfasst, sind die grundlegenden Kommunikationsfunktionen typischerweise in Hardware implementiert: Hier werden zwei Hardware-Komponenten unterschieden: Der CAN-Controller
Es sind viele verschiedene einzelne Bits im Übertragungsrahmen nach ISO 11898-1 vorhanden, die Steuerungszwecke erfüllen. Die verschiedenen Felder und Steuerungsbits des Übertragungsrahmens sind mit ihrer Bezeichnung in englischer Sprache in der folgenden Tabelle aufgelistet. Ebenfalls wird die Länge der einzelnen Felder angegeben. Bei der nachfolgenden Erwähnung dieser Bits wird die ausführliche Bezeichnung nicht mehr wiederholt.
Ein CAN-Frame enthält ein Start-of-Frame (SOF)-Feld, ein Arbitrationsfeld, ein Steuerfeld, ein Datenfeld, ein Cyclic Redundancy Check (CRC)-Feld, ein ACK-Feld, ein End-of-Frame (EOF)- und ein Intermission Sequence (ITM)-Feld.A CAN frame contains a start-of-frame (SOF) field, an arbitration field, a control field, a data field, a cyclic redundancy check (CRC) field, an ACK field, an end-of-frame (EOF) - and an Intermission Sequence (ITM) field.
Gemäß einer beispielhaften Ausführungsform der Erfindung ist das SOF-Feld ein Feld, das den Beginn eines CAN-Rahmens anzeigt, d.h. den Beginn einer Nachricht. Das Arbitrierungsfeld identifiziert eine Nachricht und weist der Nachricht eine Priorität zu. Gemäß der Länge eines in dem Arbitrierungsfeld zugeordneten Identifikationsfeldes wird der CAN-Rahmen in ein Standardformat und ein erweitertes Format aufgeteilt (gezeigt ist das Standardformat). Im Standardformat hat das Arbitrierungsfeld eine Länge von 11 Bits. Für das erweiterte Format beträgt die Länge des Identifikationsfeldes im Arbitrierungsfeld
Der Identifizierer legt die Priorität des Datenrahmens fest und sorgt zusammen mit der Akzeptanzfilterung für die in der Kommunikationsmatrix definierten Sender-Empfänger-Relationen im CAN-Netzwerk. In der Kommunikationsmatrix ist für jedes Steuergerät festgelegt, welche Botschaften es verarbeitet. Wenn also eine Botschaft eingeht, dessen Botschafts-Identifizierer nicht dort aufgelistet ist, wird diese Botschaft durch die Akzeptanzfilterung aussortiert und nicht an die Applikation weitergeleitet.The identifier defines the priority of the data frame and, together with the acceptance filtering, ensures the transmitter-receiver relationships in the CAN network defined in the communication matrix. The communication matrix defines which messages it processes for each control unit. So if a message is received whose message identifier is not listed there, this message is sorted out by the acceptance filtering and not forwarded to the application.
Mittels des RTR-Bit teilt die Sendestation den Empfängern den Frametyp (Data Frame oder Remote Frame) mit. Ein dominantes RTR-Bit zeigt einen Data Frame an, entsprechend ein rezessives Bit den Remote Frame. Zusätzlich kann das Arbitrierungsfeld ein Identifikationserweiterungsfeld (IDE) mit einer Länge von 1 Bit enthalten, um zu identifizieren, ob ein Rahmen das Standardformat oder das erweiterte Format hat. Wenn der Wert des IDE-Feldes 0 ist, zeigt dies das Standardformat an. Wenn der Wert 1 ist, bedeutet dies das erweiterte Format.The transmitting station uses the RTR bit to inform the receivers of the frame type (data frame or remote frame). A dominant RTR bit indicates a data frame, while a recessive bit indicates the remote frame. In addition, the arbitration field may contain an identification extension field (IDE) with a length of 1 bit to identify whether a frame is in the standard format or the extended format. If the value of the IDE field is 0, this indicates the default format. If the value is 1, it means the extended format.
In dem DLC-Feld wird den Empfängern die Anzahl der in der Botschaft enthaltenen Nutzdaten-Bytes angezeigt. Transportiert werden die Nutzdaten-Bytes im Data Field. Maximal können mit einem Data Frame acht Nutzdaten-Bytes übertragen werden. Gegen Übertragungsfehler werden die Nutzdaten-Bytes mithilfe einer im CRC-Feld übertragenen Prüfsumme unter Anwendung des Cyclic Redundancy Checks abgesichert.The number of user data bytes contained in the message is displayed to the recipients in the DLC field. The user data bytes are transported in the data field. A maximum of eight useful data bytes can be transmitted with one data frame. The user data bytes are protected against transmission errors with the help of a checksum transmitted in the CRC field using the cyclic redundancy check.
Ausgehend vom Ergebnis des CRC Checks quittieren die Empfänger im ACK-Slot positiv oder negativ den Empfang. Dabei wird ein ACK-Bit am Ende der Nachricht durch die CAN-Controller übertragen, die die Nachricht genau empfangen haben. Der Knoten, der die Nachricht gesendet hat, prüft, ob das ACK-Bit auf dem CAN-Bus vorhanden ist oder nicht. Wenn ACK nicht gefunden wird, ist dies ein Indiz, dass ein Knoten die Nachricht nicht korrekt empfangen konnte und die Sendestation kann eine erneute Übertragung versuchen.Based on the result of the CRC check, the receivers in the ACK slot acknowledge receipt either positively or negatively. An ACK bit at the end of the message is transmitted by the CAN controller that exactly received the message. The node that sent the message checks whether the ACK bit is present on the CAN bus or not. If ACK is not found, this is an indication that a node was unable to receive the message correctly and the sending station can try to transmit again.
Beendet wird die Übertragung eines Daten-Rahmens mit sieben rezessiven Bits, das entspricht dem End Of Frame Code EOF.The transmission of a data frame with seven recessive bits is ended, which corresponds to the End Of Frame Code EOF.
Bis auf das fehlende Datenfeld entspricht der Aufbau des Remote Frames dem des Data Frames. Die Unterscheidung zwischen Data und Remote Frame erfolgt mittels des RTR-Bit. Im Falle eines Data Frames wird das RTR-Bit dominant gesendet. Ein Remote Frame ist durch ein rezessives RTR-Bit gekennzeichnet.Except for the missing data field, the structure of the remote frame corresponds to that of the data frame. The distinction between data and remote frame is made using the RTR bit. In the case of a data frame, the RTR bit is sent dominantly. A remote frame is identified by a recessive RTR bit.
Prinzipiell können für alle existierenden Data Frames im CAN-Netzwerk entsprechende Remote Frames definiert werden. Dazu hat man nur darauf zu achten, dass die Identifier der Remote Frames den Identifiern der assoziierten Data Frames entsprechen. Sobald ein CAN-Knoten einen Remote Frame empfängt, dessen Identifizierer mit einem Identifizierer in der eigenen Kommunikationsmatrix identisch ist, antwortet er mit dem entsprechenden Standard Frame.In principle, corresponding remote frames can be defined for all existing data frames in the CAN network. You only have to ensure that the identifiers of the remote frames correspond to the identifiers of the associated data frames. As soon as a CAN node receives a remote frame whose identifier is identical to an identifier in its own communication matrix, it replies with the corresponding standard frame.
Eine solche Basisstation
Die Basisstation
Aus dieser allgemeinen Architektur zeigt
Das moderne Kraftfahrzeug kann aber noch weitere Komponenten aufweisen, wie Videokameras, z.B. als Rückfahrkamera oder als Fahrerüberwachungskamera. Im Kraftfahrzeug befinden sich dann auch noch weitere elektronische Vorrichtungen. Diese sind mehr im Bereich der Fahrgastzelle angeordnet und werden oft auch von dem Fahrer bedient. Beispiele sind eine Benutzerschnittstellenvorrichtung, mit der der Fahrer Einstellungen vornehmen kann, aber auch klassische Komponenten bedienen kann. Darunter fallen die Blinker-Steuerung, Scheibenwischersteuerung, Lichtsteuerung, Audioeinstellungen für das Radio, andere Einstellungen für das Autotelefon, Navigationssystem usw. (nicht dargestellt). Mit der Bezugszahl
Zu dem Zweck, dass fahrzeugrelevante Sensordaten über die Kommunikationsschnittstelle
Die
Die Arbeitsweise des Überwachungsmoduls
Das Überwachungsmodul
Der Start des Überwachungsprogramms ist in
Wenn ein Botschaftsidentifizierer empfangen wurde, der nicht in der Sendetabelle
Überschreiben mit dominantem BuspegelOverwrite with dominant bus level
Dies kann durch Überschreiben des an den Bus angelegten Buspegels mit dem dominanten Buspegel geschehen. Die Veränderung kann sich auf das Datenfeld der Botschaft oder ein anderes Feld beziehen. Sehr effektiv ist auch das Verändern bzw. Überschreiben des Botschaftsfeldes für die Fehlerschutzdaten. Bei dem CAN-Bus Botschaftsformat wird dafür das CRC-Feld vorgesehen. Im Empfänger werden die eingegangenen Botschaften mit dem CRC-Prüfcode auf Fehler überprüft. Wenn dabei ein Fehler erkannt wird, wird die Botschaft verworfen. Wenn kein Fehler erkennt wird, quittiert der Empfänger den Eingang der Botschaft positiv. Dazu legt er einen dominanten Buspegel an den Bus an während das ACK-Feld übertragen wird. Im Fehlerfall legt er entsprechend den rezessiven Buspegel an. Liegt keine einzige positive Bestätigung vor, wird also der rezessive ACK-Slot von keinem Empfänger überschrieben, detektiert der Sender einen ACK-Fehler und bricht die laufende Nachrichtenübertragung mit dem Aufschalten eines Error Flags sofort ab. Eingeschleuste Daten werden auf diese Weise bewusst verändert und damit unbrauchbar gemacht. Mit dem gezielten Verändern bestimmter Botschaftsteile bzw. deren CRC-Absicherung ist zudem im gewissen Rahmen eine Steuerung der Reaktion betroffener Steuergeräte möglich. Das Überschreiben kann mit einem konstanten dominanten Pegel erfolgen. Durch gezieltes Überschreiben einzelner Bits mit dem dominanten Pegel kann auch ein bestimmtes Bit-Muster generiert werden.
- a. Ein derartiges Bitmuster kann vorzugsweise aus einer bestimmten Folge von Bits mit dominantem Buspegel bzw. nicht-dominantem Buspegel bestehen.
- b. Bei entsprechender Gestaltung des Bitmusters ist dieses auch zur Informationsübertragung geeignet. Diese Information kann in das entsprechende Bitmuster kodiert werden.
- c. Die Art des Bitmusters (d.h. die Länge der dominanten/nicht-dominanten Sequenzen) kann so gewählt werden, dass die Empfänger-Steuergeräte mit ausreichend hoher Wahrscheinlichkeit sowohl einen Angriff erkennen können als auch die im Bitmuster enthaltenen Informationen dekodieren können.
- d. Das Bitmuster kann sich über den kompletten Datenbereich erstrecken, bzw. einen oder mehrere Teilbereiche umfassen.
- e. Wird nur ein bestimmter Bereich im Datenfeld benutzt, um mit einem Bitmuster eine kompromittierte Botschaft zu kennzeichnen, kann ein weiterer Bereich im Datenfeld verwendet werden, mit dem das betroffene Steuergerät Informationen zum Empfängersteuergerät, das den Angriff erkannt hat, überträgt.
- - Dieses Bitmuster kann eine Empfängerbestätigung der in a genannten Mitteilung darstellen.
- - Dieses Bitmuster kann zusätzliche Informationen zur Reaktion des Empfängersteuergerätes enthalten.
- f. Vorzugsweise überschreibt das Empfängersteuergerät, das den Angriff erkannt hat, wie beschrieben das Datenfeld noch während die kompromittierte Botschaft versendet wird.
- a. Such a bit pattern can preferably consist of a specific sequence of bits with a dominant bus level or a non-dominant bus level.
- b. If the bit pattern is designed accordingly, it is also suitable for transmitting information. This information can be encoded in the corresponding bit pattern.
- c. The type of bit pattern (ie the length of the dominant / non-dominant sequences) can be selected so that the receiver control units can both detect an attack and decode the information contained in the bit pattern with a sufficiently high probability.
- d. The bit pattern can extend over the entire data area or include one or more sub-areas.
- e. If only a certain area in the data field is used to identify a compromised message with a bit pattern, another area can be used in the data field with which the affected control unit transmits information to the recipient control unit that recognized the attack.
- - This bit pattern can represent a recipient confirmation of the message mentioned in a.
- - This bit pattern can contain additional information on the reaction of the receiver control unit.
- f. The receiver control unit that recognized the attack preferably overwrites the data field as described while the compromised message is being sent.
Wenn das CRC-Feld mit einem ungültigen CRC-Code überschrieben wird, kann dies auch so erfolgen, dass eine Information in den „ungültigen CRC-Code“ kodiert wird. Diese Information kann z.B. angeben, welches Signal manipuliert wurde oder wie viele Botschaften dieser Art schon manipuliert wurden. In dem Fall stellt die Information einen Manipulationszähler dar.If the CRC field is overwritten with an invalid CRC code, this can also be done in such a way that information is encoded in the "invalid CRC code". This information can e.g. indicate which signal has been manipulated or how many messages of this type have already been manipulated. In that case the information represents a manipulation counter.
Als Gegenmaßnahme kommen noch verschiedene andere Maßnahmen in Betracht, die einzeln oder in Kombination eingesetzt werden können:
- Warnung mittels Botschaftssignal
- Warning by means of a message signal
Eine weitere Möglichkeit, Steuergeräte nach einem Angriff zu warnen, besteht in der Einfügung eines zusätzlichen Signals im Datenteil von regulären Botschaften. In der einfachsten Ausführungsform kann ein bestehendes/zusätzliches Bit des Datenfeldes dafür reserviert werden, mit dem in regulären Botschaften ein Angriff signalisiert wird. Nach einem Angriff versendet das Steuergerät, dessen Überwachungsmodul den Angriff erkannt hat, eine oder mehrere Botschaften, deren Signalbit auf einen bestimmten, definierten Wert gesetzt wird. Bei einer anderen Ausführungsform besteht das Signal aus einem bestimmten Bitmuster, das zu diesem Zweck festgelegt wird.Another way of warning control units after an attack is to insert an additional signal in the data part of regular messages. In the simplest embodiment, an existing / additional bit of the data field can be reserved for this, with which an attack is signaled in regular messages. After an attack, the control unit whose monitoring module has detected the attack sends one or more messages whose signal bit is set to a specific, defined value. In another embodiment, the signal consists of a specific bit pattern that is specified for this purpose.
Warnung mittels unplausibler DateninhalteWarning by means of implausible data content
Betroffene Steuergeräte können auch durch unplausible Dateninhalte vor einem Angriff gewarnt werden. Das Steuergerät, das den Angriff erkannt hat, sendet nach dem Angriff eine oder mehrere Botschaften mit unplausiblen Daten. Das Datenfeld oder bestimmte Signale im Datenfeld werden nach einem erkannten Angriff auf nicht-plausible Werte gesetzt. Als Beispiel wird erwähnt, dass eine unplausible physikalische Größe, wie Geschwindigkeit, Beschleunigung, Drehzahl, Drosselklappenstellung, Öldruck, Benzinverbrauch etc. übertragen wird. In den Steuergeräten, die die Botschaft empfangen, wird eine Plausibilitätsüberprüfung durchgeführt. Wird dabei festgestellt, dass die empfangenen Daten unplausible Werte betreffen, wird die empfangene Botschaft verworfen. Unplausibel kann dabei so definiert werden, dass es sich um Signale außerhalb eines bestimmten zulässigen Wertebereiches handelt.Affected control units can also be warned of an attack by implausible data content. The control unit that recognized the attack sends one or more messages with implausible data after the attack. The data field or certain signals in the data field are set to implausible values after a recognized attack. As an example, it is mentioned that an implausible physical variable such as speed, acceleration, speed, throttle valve position, oil pressure, fuel consumption, etc. is transmitted. A plausibility check is carried out in the control units that receive the message. If it is found that the received data concern implausible values, the received message is discarded. Implausible can be defined in such a way that the signals are outside a certain permissible range of values.
Warnung durch Versand einer WarnbotschaftWarning by sending a warning message
Von einem Angriff betroffene Steuergeräte können auch durch zusätzliche Warnbotschaften über einen Angriff informiert werden. Diese Warnbotschaften werden nur im Fall eines erkannten Angriffes verwendet. Dafür können eigene Can-Bus Botschafts-Identifizierer vergeben werden, die für jede Station eindeutig sind oder individuell für jede in der Station verwendeten Botschaft eindeutig zugeordnet werden. Auf diese Weise können betroffene Steuergeräte erkennen, welche Botschaft angegriffen wurde und eine dementsprechende Reaktion einleiten.Control units affected by an attack can also be informed of an attack by additional warning messages. These warning messages are only used if an attack is detected. Separate Can-Bus message identifiers can be assigned for this, which are unique for each station or are individually assigned to each message used in the station. In this way, the affected control units can recognize which message was attacked and initiate a corresponding reaction.
Reaktion betroffener SteuergeräteResponse of affected control units
Neben der Erkennung von eingeschleusten Botschaften kommt der Reaktion von betroffenen Steuergeräten eine besondere Bedeutung zu. Ein im Steuergerät implementiertes Sicherungsmodul überführt im Falle eines Angriffes das betroffene Steuergerät in einen sog. sicheren Zustand. Dies ist für jedes Steuergerät vorgesehen und wird bei der Softwareentwicklung programmiert. Es gibt vordefinierte Regeln, wie der Übergang in den sicheren Zustand erfolgen sollte. Diesbezüglich wird auf die ISO-Norm ISO 26262 mit dem Titel „Funktionale Sicherheit“ hingewiesen.In addition to the detection of smuggled messages, the response of the affected control units is of particular importance. In the event of an attack, a security module implemented in the control unit transfers the affected control unit to a so-called safe state. This is provided for each control unit and is programmed during software development. There are predefined rules as to how the transition to the safe state should take place. In this regard, reference is made to the ISO standard ISO 26262 entitled “Functional Safety”.
Zusätzlich können im Falle einer empfangenen Angriffsbenachrichtigung bereits implementierte Standardmaßnahmen, wie z.B. die zugehörige Reaktion bei Ausfall des CAN-Busses oder bestimmte Degradationskonzepte, angewendet werden.In addition, if an attack notification is received, standard measures that have already been implemented, such as the corresponding reaction in the event of failure of the CAN bus or certain degradation concepts can be used.
Die
Zunächst wird davon ausgegangen, dass das Motorsteuergerät
Im Zustand
Die Offenbarung ist nicht auf die hier beschriebenen Ausführungsbeispiele beschränkt. Es gibt Raum für verschiedene Anpassungen und Modifikationen, die der Fachmann aufgrund seines Fachwissens als auch zu der Offenbarung zugehörend in Betracht ziehen würde.The disclosure is not restricted to the exemplary embodiments described here. There is room for various adaptations and modifications which those skilled in the art, based on their expert knowledge as well as belonging to the disclosure, would consider.
Das beschriebene Überwachungsverfahren ließe sich auch bei anderen Bussystemen als dem CAN-Bus einsetzen. Besonders erwähnt wird noch der LIN Bus (Local Interconnect Bus) als Beispiel. Bei dem LIN-Bus handelt es sich aber um einen Master/Slave-Bus, bei dem im Botschaftsformat ebenfalls ein Identifizierer vorgesehen ist, der aber auch einen bestimmten Steuerbefehl kennzeichnen kann.The monitoring method described can also be used with other bus systems than the CAN bus. The LIN bus (Local Interconnect Bus) is particularly mentioned as an example. The LIN bus, however, is a master / slave bus in which an identifier is also provided in the message format, but which can also identify a specific control command.
Alle hierin erwähnten Beispiele wie auch bedingte Formulierungen sind ohne Einschränkung auf solche speziell angeführten Beispiele zu verstehen. So wird es zum Beispiel von Fachleuten anerkannt, dass das hier dargestellte Blockdiagramm eine konzeptionelle Ansicht einer beispielhaften Schaltungsanordnung darstellt. In ähnlicher Weise ist zu erkennen, dass ein dargestelltes Flussdiagramm, Zustandsübergangsdiagramm, Pseudocode und dergleichen verschiedene Varianten zur Darstellung von Prozessen darstellen, die im Wesentlichen in computerlesbaren Medien gespeichert und somit von einem Computer oder Prozessor ausgeführt werden können.All examples mentioned herein as well as conditional formulations are to be understood without restriction to such specifically cited examples. For example, it will be appreciated by those skilled in the art that the block diagram presented herein is a conceptual view of exemplary circuitry. In a similar way, it can be seen that a depicted flowchart, state transition diagram, pseudocode and the like represent different variants for the representation of processes that can essentially be stored in computer-readable media and thus executed by a computer or processor.
Es sollte verstanden werden, dass das vorgeschlagene Verfahren und die zugehörigen Vorrichtungen in verschiedenen Formen von Hardware, Software, Firmware, Spezialprozessoren oder einer Kombination davon implementiert werden können. Spezialprozessoren können anwendungsspezifische integrierte Schaltungen (ASICs), Reduced Instruction Set Computer (RISC) und / oder Field Programmable Gate Arrays (FPGAs) umfassen. Vorzugsweise werden das vorgeschlagene Verfahren und die Vorrichtung als eine Kombination von Hardware und Software implementiert. Die Software wird vorzugsweise als ein Anwendungsprogramm auf einer Programmspeichervorrichtung installiert. Typischerweise handelt es sich um eine Maschine auf Basis einer Computerplattform, die Hardware aufweist, wie beispielsweise eine oder mehrere Zentraleinheiten (CPU), einen Direktzugriffsspeicher (RAM) und eine oder mehrere Eingabe/Ausgabe (I/O) Schnittstelle(n). Auf der Computerplattform wird typischerweise außerdem ein Betriebssystem installiert. Die verschiedenen Prozesse und Funktionen, die hier beschrieben wurden, können Teil des Anwendungsprogramms sein oder ein Teil, der über das Betriebssystem ausgeführt wird.It should be understood that the proposed method and associated devices can be implemented in various forms of hardware, software, firmware, special purpose processors, or a combination thereof. Specialty processors can include application-specific integrated circuits (ASICs), reduced instruction set computers (RISC), and / or field programmable gate arrays (FPGAs). The proposed method and the device are preferably implemented as a combination of hardware and software. The software is preferably installed as an application program on a program storage device. Typically, it is a computer platform-based machine that includes hardware such as one or more central processing units (CPU), random access memory (RAM), and one or more input / output (I / O) interfaces. An operating system is also typically installed on the computer platform. The various processes and functions described here can be part of the application program or a part that is executed by the operating system.
BezugszeichenlisteList of reference symbols
- 1010
- CAN-KnotenCAN node
- 1212
- CAN-TransceiverCAN transceiver
- 1313
- AbschlusswiderstandTerminating resistor
- 1414th
- CAN-ControllerCAN controller
- 1515th
- BusleitungBus line
- 1616
- HostHost
- 2020th
- Fahrzeugvehicle
- 100100
- Kfz-ElektronikAutomotive electronics
- 102102
- Infotainment-BusInfotainment bus
- 104104
- CAN-BusCAN bus
- 110110
- On-Board KommunikationsmodulOn-board communication module
- 120120
- Navigationssystemnavigation system
- 130130
- RecheneinrichtungComputing device
- 135135
- AnzeigeeinheitDisplay unit
- 140140
- GatewayGateway
- 151151
- Motor-SteuergerätEngine control unit
- 152152
- ESP-SteuergerätESP control unit
- 153153
- Getriebe-SteuergerätTransmission control unit
- 157157
- Angreiferattacker
- 161161
- 1. Sensor1. Sensor
- 162162
- 2. Sensor2nd sensor
- 163163
- 3. Sensor3. Sensor
- 181181
- ProgrammstartProgram start
- 182182
- Vergleich Botschafts-ID mit SendetabelleComparison of the message ID with the send table
- 183183
- Prüfung auf Remote FrameCheck for remote frame
- 184184
- GegenmaßnahmenCountermeasures
- 185185
- ProgrammendeEnd of program
- 200200
- Evolved Packet CoreEvolved Packet Core
- 210210
- BasisstationBase station
- 300300
- InternetInternet
- 310310
- Road Side UnitRoad Side Unit
- 320320
- ZentralrechnerCentral computer
- 15101510
- Architektur CAN-BusschnittstelleArchitecture CAN bus interface
- 15111511
- Applikations-SoftwareApplication software
- 15121512
- 1. Schnittstelle1. Interface
- 15131513
- CAN-ControllerCAN controller
- 15141514
- 2. Schnittstelle2. Interface
- 15151515
- SendetabelleTransmission table
- 15161516
- 3. Schnittstelle3. Interface
- 15171517
- ÜberwachungsmodulMonitoring module
- 15181518
- Sicherheitsmodul Security module
- AMAT THE
- AntennenmodulAntenna module
- ECMECM
- eine Botschaft des Motorsteuergerätsa message from the engine control unit
- ECM'ECM '
- eine eingeschleuste Botschaft eines Angreifersa smuggled message from an attacker
- MPMP
- ÜberwachungsphaseMonitoring phase
- Z1 - Z6Z1 - Z6
- verschiedene Zuständedifferent states
- ①-⑩①-⑩
- verschiedene Zustandsübergängedifferent state transitions
ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturPatent literature cited
- DE 102015205670 A1 [0011]DE 102015205670 A1 [0011]
- US 2015172306 A1 [0012]US 2015172306 A1 [0012]
- EP 3148154 B1 [0013]EP 3148154 B1 [0013]
Zitierte Nicht-PatentliteraturNon-patent literature cited
- ISO 11898 [0039]ISO 11898 [0039]
- Norm ISO 11898-2 [0039]Standard ISO 11898-2 [0039]
- Norm ISO 11898-3 [0039]Standard ISO 11898-3 [0039]
- ISO 11898-1 [0061]ISO 11898-1 [0061]
Claims (15)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019001978.4A DE102019001978A1 (en) | 2019-03-21 | 2019-03-21 | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle |
PCT/EP2020/057450 WO2020187985A1 (en) | 2019-03-21 | 2020-03-18 | Method for monitoring communication on a communication bus, electronic apparatus for connection to a communication bus, and vehicle |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019001978.4A DE102019001978A1 (en) | 2019-03-21 | 2019-03-21 | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102019001978A1 true DE102019001978A1 (en) | 2020-10-08 |
Family
ID=69846479
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102019001978.4A Pending DE102019001978A1 (en) | 2019-03-21 | 2019-03-21 | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102019001978A1 (en) |
WO (1) | WO2020187985A1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102020212452B3 (en) | 2020-10-01 | 2022-01-13 | Volkswagen Aktiengesellschaft | Method for reducing the impact of a message injected on a communication bus |
DE102020214930A1 (en) | 2020-11-27 | 2022-06-02 | Zf Friedrichshafen Ag | Method and control device for secure onboard communication |
DE102021112329A1 (en) | 2021-05-11 | 2022-11-17 | Bayerische Motoren Werke Aktiengesellschaft | Method for detecting manipulation of a message of a bus system by a control device of a vehicle, computer-readable medium, system, and vehicle |
DE102022209301A1 (en) | 2022-09-07 | 2024-03-07 | Volkswagen Aktiengesellschaft | Method for transferring a control device to a safe system state |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102021117500A1 (en) | 2021-07-07 | 2023-01-12 | Zf Cv Systems Global Gmbh | Device for secure communication between control devices in a vehicle, electronic processing unit and vehicle |
CN113589793B (en) * | 2021-07-30 | 2022-07-22 | 中汽院(重庆)汽车检测有限公司 | Automobile bus network design safety detection method |
CN114095546B (en) * | 2021-10-27 | 2024-03-01 | 许昌许继软件技术有限公司 | Message monitoring method and device based on MQTT protocol |
CN116915589A (en) * | 2023-09-12 | 2023-10-20 | 延锋伟世通电子科技(南京)有限公司 | Vehicle-mounted CAN bus network message anomaly detection method |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012219093A1 (en) * | 2011-10-25 | 2013-04-25 | GM Global Technology Operations LLC (n.d. Ges. d. Staates Delaware) | Method for preventing manipulation of messages in wireless motor car network, involves generating and transmitting diagnostic message to module in network upon determining that data packet is from source other than electronic control unit |
DE112012004770T5 (en) * | 2011-11-16 | 2014-08-07 | Flextronics Ap, Llc | Vehicle Middleware |
US20170213043A1 (en) * | 2016-01-27 | 2017-07-27 | Mentor Graphics Corporation | Security hardened controller area network transceiver |
US20190052654A1 (en) * | 2018-07-03 | 2019-02-14 | Intel Corporation | Systems And Methods For Neutralizing Masquerading Attacks In Vehicle Control Systems |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009026995A1 (en) * | 2009-06-17 | 2011-03-31 | Robert Bosch Gmbh | Method for operating a bus system, in particular a CAN bus |
KR101472896B1 (en) | 2013-12-13 | 2014-12-16 | 현대자동차주식회사 | Method and apparatus for enhancing security in in-vehicle communication network |
DE102015205670A1 (en) | 2015-03-30 | 2016-06-09 | Volkswagen Aktiengesellschaft | Attack detection method, attack detection device and bus system for a motor vehicle |
US10361934B2 (en) | 2015-09-28 | 2019-07-23 | Nxp B.V. | Controller area network (CAN) device and method for controlling CAN traffic |
DE102015219996A1 (en) * | 2015-10-15 | 2017-04-20 | Robert Bosch Gmbh | Method and device for preventing a manipulation on a CAN bus by a node connected to the bus by means of a CAN controller |
DE102017209557A1 (en) * | 2017-06-07 | 2018-12-13 | Robert Bosch Gmbh | Method for protecting a vehicle network against manipulated data transmission |
DE102017209556A1 (en) * | 2017-06-07 | 2018-12-13 | Robert Bosch Gmbh | Method for protecting a vehicle network against manipulated data transmission |
-
2019
- 2019-03-21 DE DE102019001978.4A patent/DE102019001978A1/en active Pending
-
2020
- 2020-03-18 WO PCT/EP2020/057450 patent/WO2020187985A1/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012219093A1 (en) * | 2011-10-25 | 2013-04-25 | GM Global Technology Operations LLC (n.d. Ges. d. Staates Delaware) | Method for preventing manipulation of messages in wireless motor car network, involves generating and transmitting diagnostic message to module in network upon determining that data packet is from source other than electronic control unit |
DE112012004770T5 (en) * | 2011-11-16 | 2014-08-07 | Flextronics Ap, Llc | Vehicle Middleware |
US20170213043A1 (en) * | 2016-01-27 | 2017-07-27 | Mentor Graphics Corporation | Security hardened controller area network transceiver |
US20190052654A1 (en) * | 2018-07-03 | 2019-02-14 | Intel Corporation | Systems And Methods For Neutralizing Masquerading Attacks In Vehicle Control Systems |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102020212452B3 (en) | 2020-10-01 | 2022-01-13 | Volkswagen Aktiengesellschaft | Method for reducing the impact of a message injected on a communication bus |
DE102020214930A1 (en) | 2020-11-27 | 2022-06-02 | Zf Friedrichshafen Ag | Method and control device for secure onboard communication |
DE102021112329A1 (en) | 2021-05-11 | 2022-11-17 | Bayerische Motoren Werke Aktiengesellschaft | Method for detecting manipulation of a message of a bus system by a control device of a vehicle, computer-readable medium, system, and vehicle |
DE102022209301A1 (en) | 2022-09-07 | 2024-03-07 | Volkswagen Aktiengesellschaft | Method for transferring a control device to a safe system state |
DE102022209301B4 (en) | 2022-09-07 | 2024-03-28 | Volkswagen Aktiengesellschaft | Method for transferring a control device to a safe system state |
Also Published As
Publication number | Publication date |
---|---|
WO2020187985A1 (en) | 2020-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102019001978A1 (en) | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus and vehicle | |
EP3685551B1 (en) | Method for monitoring the communication on a communication bus, and electronic apparatus for connection to a communication bus | |
EP3661131B1 (en) | Method for transmitting data via a serial communication bus, bus interface designed for this purpose, and correspondingly designed computer program | |
DE102016108923A1 (en) | Spoofing Detection | |
WO2015074938A1 (en) | Vehicle having an ethernet bus system and method for operating such a bus system | |
DE102017202022A1 (en) | Motor vehicle with an in-vehicle data network and method for operating the motor vehicle | |
DE102014116111A1 (en) | Apparatus and method for enforcing security tagging of embedded network communications | |
WO2018077528A1 (en) | Detection of manipulations in a can network by checking can identifiers | |
EP2954498A1 (en) | Method and device for connecting a diagnostic unit to a control unit in a motor vehicle | |
DE102013200535A1 (en) | Method for operating controller area network in motor car, involves transferring data or messages over communication paths of communication network, and checking data and/or messages based on plausibility check of possible data manipulation | |
DE102017209557A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
DE102017203185A1 (en) | Motor vehicle with a divided into several separate domains data network and method for operating the data network | |
DE102017012214B4 (en) | Method for transmitting data via a serial communication bus, appropriately designed bus interface and computer program designed accordingly | |
EP3725041B1 (en) | Method for providing information for the localization of errors in a communications network of an apparatus, correspondingly designed bus device station and vehicle | |
EP3871393B1 (en) | Method for monitoring a data transmission system, data transmission system and motor vehicle | |
DE102017209556A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
EP4062591A2 (en) | Method for monitoring communication on a communication bus, electronic device for connection to a communication bus, and central monitoring device for connection to a communication bus | |
DE102020125262A1 (en) | Warning system for controller area networks | |
DE102019213322A1 (en) | Ethernet physical layer transceiver for two-wire bus topology | |
DE102012219093A1 (en) | Method for preventing manipulation of messages in wireless motor car network, involves generating and transmitting diagnostic message to module in network upon determining that data packet is from source other than electronic control unit | |
DE102013200528A1 (en) | Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation | |
DE102020212452B3 (en) | Method for reducing the impact of a message injected on a communication bus | |
DE102021117500A1 (en) | Device for secure communication between control devices in a vehicle, electronic processing unit and vehicle | |
DE102013022498A1 (en) | Method and device for operating a communication network, in particular of a motor vehicle | |
EP4142263A1 (en) | Method, remote access server, communication apparatus and system for remote access to a vehicle |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication |