DE102019133334A1 - System and method for increasing security in an E / E system - Google Patents
System and method for increasing security in an E / E system Download PDFInfo
- Publication number
- DE102019133334A1 DE102019133334A1 DE102019133334.2A DE102019133334A DE102019133334A1 DE 102019133334 A1 DE102019133334 A1 DE 102019133334A1 DE 102019133334 A DE102019133334 A DE 102019133334A DE 102019133334 A1 DE102019133334 A1 DE 102019133334A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- security policy
- security
- components
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Abstract
Die vorliegende Erfindung umfasst System und zur Erhöhung der Sicherheit in einem E/E, elektrisch-elektronischem, System im Fahrzeug. Das System umfasst eine Recheneinheit, die eingerichtet ist, zumindest eine Sicherheitsrichtlinie mit Bezug auf den Datenaustausch zwischen einer Mehrzahl an E/E-Komponenten umzusetzen, wobei jede E/E-Komponente Datenquelle und/oder Datensenke sein kann. Die Recheneinheit ist zudem eingerichtet, aus einer Vielzahl an möglichen Datenflüssen zwischen zumindest zwei E/E-Komponenten einen Datenfluss zu identifizieren, die die Sicherheitsrichtlinie verletzt und für den identifizierten Datenfluss der die Sicherheitsrichtlinie verletzt einen Konflikt zu generieren.The present invention comprises systems and for increasing the safety in an E / E, electrical-electronic, system in the vehicle. The system comprises a processing unit which is set up to implement at least one security policy with regard to the data exchange between a plurality of E / E components, wherein each E / E component can be a data source and / or a data sink. The processing unit is also set up to identify a data flow from a large number of possible data flows between at least two E / E components that violates the security policy and to generate a conflict for the identified data flow that violates the security policy.
Description
Die vorliegende Erfindung betrifft ein System und ein Verfahren, welches die Sicherheit in einem E/E-System im Fahrzeug aufgrund der Datenflüsse im E/E System garantiert.The present invention relates to a system and a method which guarantees the safety in an E / E system in the vehicle on the basis of the data flows in the E / E system.
Das E/E-System (elektrisch-elektronisches System) umfasst insbesondere Steuerungs-, Regelungs-, Überwachungs- und Diagnosefunktionen im Fahrzeug. Es umfasst die Kraftfahrzeugelektrik und -elektronik, die Vernetzung, die Schnittstellen und die optimale Strom-, Signal- und Datenverteilung zwischen der Vielzahl an E/E-Komponenten (z.B. Steuergeräte, Sensoren, Netzwerk, Diagnosesystem, Infotainmentsystem) sowie zu externen Komponenten (Integration mobiler Endgeräte, Car-to-Car-Kommunikation, Car-to-Infrastruktur-Kommunikation. Durch die Komplexität, die sich durch die Vielzahl an Komponenten des E/E-Systems mit Bezug auf die Datenerfassung, -speicherung und - verarbeitung und den Datenfluss zwischen den Komponenten ergibt, kommt es zunehmend zu Dateninkonsistenzen und fehlerhafter Datenverarbeitung. Durch die Schnittstellen zu externen Komponenten besteht die Gefahr von Angriffen bzw. Attacken von außen auf das E/E-System. Dadurch kann die Datensicherheit in E/E-Systemen beeinträchtigt werden.The E / E system (electrical-electronic system) includes, in particular, control, regulation, monitoring and diagnostic functions in the vehicle. It includes the vehicle electrics and electronics, the networking, the interfaces and the optimal distribution of power, signals and data between the multitude of E / E components (e.g. control units, sensors, network, diagnostic system, infotainment system) as well as to external components (integration mobile end devices, car-to-car communication, car-to-infrastructure communication - due to the complexity resulting from the multitude of components of the E / E system with regard to data acquisition, storage and processing and the data flow between the components, data inconsistencies and incorrect data processing are increasing. The interfaces to external components pose a risk of external attacks on the E / E system. This can impair data security in E / E systems .
Die Aufgabe der Erfindung besteht darin, eine Lösung bereitzustellen, die aufgrund der Datenflüsse im E/E System die Sicherheit im Fahrzeug garantiert.The object of the invention is to provide a solution that guarantees safety in the vehicle due to the data flows in the E / E system.
Diese Aufgabe wird erfindungsgemäß durch die Merkmale der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen sind Gegenstand der abhängigen Ansprüche.According to the invention, this object is achieved by the features of the independent claims. Preferred embodiments are the subject of the dependent claims.
Die vorstehend genannte Aufgabe wird durch ein System zur Erhöhung der Sicherheit in einem E/E, elektrisch-elektronischem, System im Fahrzeug gelöst, umfassend:
- eine Recheneinheit, die eingerichtet ist:
- - zumindest eine Sicherheitsrichtlinie mit Bezug auf den Datenaustausch zwischen einer Mehrzahl an E/E-Komponenten umzusetzen, wobei jede E/E-Komponente Datenquelle und/oder Datensenke sein kann;
- - aus einer Vielzahl an möglichen Datenflüssen zwischen zumindest zwei E/E-Komponenten einen Datenfluss zu identifizieren, die die Sicherheitsrichtlinie verletzt; und
- - für den identifizierten Datenfluss, der die Sicherheitsrichtlinie verletzt einen Konflikt zu generieren.
- an arithmetic unit that is set up:
- - to implement at least one security policy with regard to the data exchange between a plurality of E / E components, wherein each E / E component can be a data source and / or data sink;
- - to identify a data flow that violates the security policy from a large number of possible data flows between at least two E / E components; and
- - Generating a conflict for the identified data flow that violates the security policy.
Der Begriff Fahrzeug umfasst im Rahmen des Dokumentes mobile Verkehrsmittel, die dem Transport von Personen (Personenverkehr), Gütern (Güterverkehr) oder Werkzeugen (Maschinen oder Hilfsmittel) dienen. Insbesondere umfasst der Begriff Fahrzeug Kraftfahrzeuge sowie Kraftfahrzeuge, die zumindest teilweise elektrisch angetrieben sein können (Elektroauto, Hybridfahrzeuge).In the context of the document, the term vehicle includes mobile means of transport that are used to transport people (passenger transport), goods (freight transport) or tools (machines or aids). In particular, the term vehicle includes motor vehicles and motor vehicles that can be at least partially electrically driven (electric car, hybrid vehicles).
Das Fahrzeug kann von einem Fahrzeugführer gesteuert werden. Darüber hinaus oder alternativ dazu kann das Fahrzeug ein zumindest teilweise automatisiert fahrendes Fahrzeug sein. Unter dem Begriff „automatisiertes fahrendes Fahrzeug“ bzw. „automatisiertes Fahren“ kann im Rahmen des Dokuments ein Fahren mit automatisierter Längs- oder Querführung oder ein autonomes Fahren mit automatisierter Längs- und Querführung verstanden werden. Bei dem automatisierten Fahren kann es sich beispielsweise um ein zeitlich längeres Fahren auf der Autobahn oder um ein zeitlich begrenztes Fahren im Rahmen des Einparkens oder Rangierens handeln. Der Begriff „automatisiertes Fahren“ umfasst ein automatisiertes Fahren mit einem beliebigen Automatisierungsgrad. Beispielhafte Automatisierungsgrade sind ein assistiertes, teilautomatisiertes, hochautomatisiertes oder vollautomatisiertes Fahren. Diese Automatisierungsgrade wurden von der Bundesanstalt für Straßenwesen (BASt) definiert (siehe BASt-Publikation „Forschung kompakt“, Ausgabe 11/2012). Beim assistierten Fahren führt der Fahrer dauerhaft die Längs- oder Querführung aus, während das System die jeweils andere Funktion in gewissen Grenzen übernimmt. Beim teilautomatisierten Fahren übernimmt das System die Längs- und Querführung für einen gewissen Zeitraum und/oder in spezifischen Situationen, wobei der Fahrer das System wie beim assistierten Fahren dauerhaft überwachen muss. Beim hochautomatisierten Fahren übernimmt das System die Längs- und Querführung für einen gewissen Zeitraum, ohne dass der Fahrer das System dauerhaft überwachen muss; der Fahrer muss aber in einer gewissen Zeit in der Lage sein, die Fahrzeugführung zu übernehmen. Beim vollautomatisierten Fahren kann das System für einen spezifischen Anwendungsfall das Fahren in allen Situationen automatisch bewältigen; für diesen Anwendungsfall ist kein Fahrer mehr erforderlich. Die vorstehend genannten vier Automatisierungsgrade entsprechen den SAE-Level 1 bis 4 der Norm SAE J3016 (SAE - Society of Automotive Engineering). Ferner ist in der SAE J3016 noch der SAE-Level 5 als höchster Automatisierungsgrad vorgesehen, der in der Definition der BASt nicht enthalten ist. Der SAE-Level 5 entspricht einem fahrerlosen Fahren, bei dem das System während der ganzen Fahrt alle Situationen wie ein menschlicher Fahrer automatisch bewältigen kann.The vehicle can be controlled by a vehicle driver. In addition or as an alternative to this, the vehicle can be an at least partially automated driving vehicle. The term “automated driving vehicle” or “automated driving” can be understood in the context of the document to mean driving with automated longitudinal or lateral guidance or autonomous driving with automated longitudinal and lateral guidance. The automated driving can be, for example, driving on the motorway for a longer period of time or driving for a limited time as part of parking or maneuvering. The term “automated driving” includes automated driving with any degree of automation. Exemplary degrees of automation are assisted, partially automated, highly automated or fully automated driving. These degrees of automation were defined by the Federal Highway Research Institute (BASt) (see BASt publication “Research compact”, edition 11/2012). With assisted driving, the driver continuously performs the longitudinal or lateral guidance, while the system takes on the other function within certain limits. In the case of partially automated driving, the system takes over the longitudinal and lateral guidance for a certain period of time and / or in specific situations, whereby the driver has to continuously monitor the system as with assisted driving. In the case of highly automated driving, the system takes over the longitudinal and lateral guidance for a certain period of time without the driver having to constantly monitor the system; however, the driver must be able to take control of the vehicle within a certain period of time. With fully automated driving, the system can automatically cope with driving in all situations for a specific application; a driver is no longer required for this application. The four degrees of automation mentioned above correspond to
Der Begriff Datensicherheit umfasst im Rahmen dieses Dokuments technische Maßnahmen und Aspekte, die dem Schutz von Daten mit Bezug auf die Vertraulichkeit der Daten, der Datenintegrität, und der Verfügbarkeit und Authentizität der Daten.In the context of this document, the term data security includes technical measures and aspects that relate to the protection of data the confidentiality of the data, the data integrity, and the availability and authenticity of the data.
Der Begriff E/E (elektrisch-elektronisches) System umfasst im Rahmen dieses Dokuments die Fahrzeugelektrik, die Fahrzeugelektronik, die Vernetzung des Fahrzeugs, die Schnittstellen zum bzw. vom Fahrzeug, sowie deren Strom-, Signal- und Datenübertragung bzw. -verarbeitung über typische Kommunikationsverbindungen wie z.B. Ethernet, CAN, FR (FlexRay), etc. Somit umfasst der Begriff E/E-Komponente im Rahmen dieses Dokuments sämtliche Komponenten des E/E-Systems wie z.B. Sensoren, Aktoren, Steuergeräte, Gateways, Schnittstellen wie z.B. USB (Universal Serial Bus) - Schnittstellen, OBD (On-Board-Diagnose)-Schnittstellen, TCU (Telematics Control Unit bzw. Telematiksteuergerät), Head-Unit, BLE (Bluetooth Low Energy), etc.In the context of this document, the term E / E (electrical-electronic) system includes vehicle electrics, vehicle electronics, the networking of the vehicle, the interfaces to and from the vehicle, as well as their power, signal and data transmission and processing via typical Communication connections such as Ethernet, CAN, FR (FlexRay), etc. Thus, the term E / E component in this document includes all components of the E / E system such as sensors, actuators, control devices, gateways, interfaces such as USB ( Universal Serial Bus) interfaces, OBD (on-board diagnosis) interfaces, TCU (Telematics Control Unit or telematics control unit), Head-Unit, BLE (Bluetooth Low Energy), etc.
Eine Sicherheitsrichtlinie bzw. Security Policy umfasst im Rahmen dieses Dokuments eine Sicherheitsrichtlinie mit Bezug auf die Vertraulichkeit und/oder Integrität und/oder Verfügbarkeit und/oder Authentizität von Daten und/oder die Flussziele, -quellen und Flussstationen von Daten, die mit Bezug auf das E/E-System zwischen zwei oder mehreren E/E-Komponenten bzw. über zumindest eine E/E-Komponente ausgetauscht werden.Within the scope of this document, a security policy or security policy comprises a security policy with reference to the confidentiality and / or integrity and / or availability and / or authenticity of data and / or the flow destinations, sources and flow stations of data that are related to the E / E system can be exchanged between two or more E / E components or via at least one E / E component.
Der Begriff Datenfluss umfasst im Rahmen dieses Dokuments die Übertragung von Daten von einer E/E-Komponente an eine andere E/E-Komponente, von einer E/E Komponente an eine Software- oder Hardwarekomponente innerhalb einer E/E Komponente oder zwischen zwei Software- oder Hardwarekomponenten innerhalb einer E/E Komponente. Der Datenfluss kann eine Übertragung über eine E/E-Komponente umfassen (z.B. Datenübertragung zwischen Luftschnittstelle bzw. weitere typische Kommunikationsverbindungen wie Ethernet, CAN, FR, etc.) umfassen. Jeder Datenfluss kann statisch sein. Dies bedeutet, dass eine Sicherheitsrichtlinie beim Austritt einer Nachricht aus einer Datenquelle (die E/E-Komponente ist) und/oder beim Eintritt in eine Datensenke (die E/E-Komponente ist) überprüft wird. Darüber hinaus oder alternativ dazu kann ein Datenfluss dynamisch sein. In diesem Fall wird an jede Nachricht, die im E/E-System übertragen wird, eine oder mehrere für den jeweiligen Pfad relevante Sicherheitsrichtlinie hinzugefügt. Dies garantiert eine dynamische Sicherstellung der Einhaltung von Sicherheitsrichtlinien zu jeder Nachricht.In the context of this document, the term data flow encompasses the transfer of data from an E / E component to another E / E component, from an E / E component to a software or hardware component within an E / E component or between two pieces of software - or hardware components within an E / E component. The data flow can include a transmission via an E / E component (e.g. data transmission between the air interface or other typical communication connections such as Ethernet, CAN, FR, etc.). Any data flow can be static. This means that a security policy is checked when a message exits a data source (which is the E / E component) and / or when it enters a data sink (which is the E / E component). In addition or as an alternative to this, a data flow can be dynamic. In this case, one or more security guidelines relevant for the respective path are added to each message that is transmitted in the E / E system. This guarantees dynamic compliance with security guidelines for every message.
Der Begriff Konflikt umfasst im Rahmen dieses Dokuments die Erkennung einer Verletzung zumindest einer Sicherheitsrichtlinie. Der Konflikt kann Informationen darüber umfassen, auf welchem Pfad die Verletzung stattgefunden hat und welche Bedingung bzw. Bedingungen der zumindest einen Sicherheitsrichtlinie verletzt wurden.In the context of this document, the term conflict encompasses the detection of a violation of at least one security policy. The conflict can include information about the path on which the violation took place and which condition or conditions of the at least one security policy were violated.
Das System umfasst eine Recheneinheit, die eingerichtet ist, zumindest eine Sicherheitsrichtlinie mit Bezug auf den Datenaustausch zwischen einer Mehrzahl an E/E-Komponenten zu empfangen. Jede E/E-Komponente kann eine Datenquelle und/oder eine Datensenke und/oder eine Kommunikationsverbindung zwischen einer Datenquelle und/oder einer Datensenke sein.The system comprises a processing unit which is set up to receive at least one security policy with reference to the data exchange between a plurality of E / E components. Each E / E component can be a data source and / or a data sink and / or a communication link between a data source and / or a data sink.
Die Recheneinheit ist insbesondere eingerichtet, aus einer Vielzahl an möglichen Datenflüssen, die zwischen der Vielzahl an E/E-Komponenten stattfinden können, einen Datenfluss zu identifizieren, die eine bzw. die zumindest eine Sicherheitsrichtlinie verletzt.The processing unit is set up in particular to identify a data flow from a multitude of possible data flows that can take place between the multitude of E / E components that violates one or the at least one security guideline.
Die Recheneinheit ist zudem eingerichtet, für den identifizierten Datenfluss, der die zumindest eine Sicherheitsrichtlinie verletzt, einen Konflikt zu generieren. Der Konflikt kann beispielsweise zur Laufzeit in den E/E-Komponenten identifiziert werden. Dies kann erfolgen, indem in den entsprechenden E/E-Komponenten, beispielsweise in einer Datensenke (z.B. Steuergerät), während der Laufzeit zumindest eine Sicherheitsrichtlinie, die an den von einer Datenquelle empfangenen Daten hängen bzw. mit den von einer Datenquelle empfangenen Daten übermittelt wurden, prüfen und mit potentiellen Sicherheitsrichtlinien, die für die jeweilige Datensenke gelten, vergleicht) Darüber hinaus oder alternativ dazu kann der Konflikt beispielsweise zur Designzeit durch den Einsatz von Model Checking identifiziert werden. Model Checking ist ein Verfahren zur vollautomatischen Verifikation einer Systembeschreibung gegen eine Spezifikation. Die Systembeschreibung kann das E/E-System umfassen. Die Spezifikation kann die zumindest eine Sicherheitsrichtlinie umfassen. Der Konflikt kann auch durch den Fluss eines Datums generiert werden, wenn das Datum nicht entsprechend der Sicherheitsrichtlinie im System propagiert und gegen eine Richtlinie verstößt. Der Konflikt besteht in dem Fall aus nicht erfüllten Constraints der Sicherheitsrichtlinie.The processing unit is also set up to generate a conflict for the identified data flow that violates the at least one security policy. The conflict can, for example, be identified in the E / E components at runtime. This can be done by having at least one security guideline attached to the data received from a data source or transmitted with the data received from a data source in the corresponding E / E components, for example in a data sink (e.g. control unit) during runtime , check and compare with potential security guidelines that apply to the respective data sink) In addition or as an alternative to this, the conflict can be identified, for example, at design time through the use of model checking. Model checking is a procedure for the fully automatic verification of a system description against a specification. The system description can include the E / E system. The specification can include the at least one security policy. The conflict can also be generated by the flow of a date if the date does not propagate in the system according to the security policy and violates a policy. In this case, the conflict consists of unfulfilled constraints in the security policy.
Der Konflikt kann zusätzlich Informationen darüber umfassen, auf welchem Pfad die Verletzung stattgefunden hat und welche Bedingung bzw. Bedingungen der zumindest einen Sicherheitsrichtlinie verletzt wurden.The conflict can additionally include information about the path on which the violation took place and which condition or conditions of the at least one security policy were violated.
Vorteilhafterweise kann somit für sämtliche Datenflüsse, die im E/E-System stattfinden können, festgestellt werden, ob die zumindest eine Sicherheitsrichtlinie, die für den Datenaustausch im E/E-System definiert wurde, eingehalten wird.It can thus advantageously be determined for all data flows that can take place in the E / E system whether the at least one security guideline that was defined for the data exchange in the E / E system is being adhered to.
Vorzugsweise umfasst die zumindest eine Sicherheitsrichtlinie
- - eine Sicherheitsanforderung zwischen einer Datenquelle und einer Datensenke; und/oder
- - eine Restriktion zwischen einer Datenquelle und einer Datensenke.
- - a security requirement between a data source and a data sink; and or
- - a restriction between a data source and a data sink.
Die zumindest eine Sicherheitsrichtlinie kann zumindest eine Sicherheitsanforderungen zwischen einer Datenquelle und einer Datensenke umfassen. Darüber hinaus oder alternativ dazu kann die Sicherheitsrichtlinien zumindest eine Restriktion zwischen einer Datenquelle und einer Datensenke im E/E-System umfassen. Im dynamischen Fall umfassen die Datenquellen, Mechanismen, die an die von der jeweiligen Datenquelle übertragenen Daten eine Sicherheitsrichtlinie anhängen können, die dann in den entsprechenden Datensenken (z.B. Steuergeräten) verarbeitet werden können.The at least one security policy can include at least one security requirement between a data source and a data sink. In addition or as an alternative to this, the security guidelines can include at least one restriction between a data source and a data sink in the E / E system. In the dynamic case, the data sources include mechanisms that can attach a security policy to the data transmitted by the respective data source, which can then be processed in the corresponding data sinks (e.g. control units).
Vorteilhafter Weise kann somit festgestellt werden, ob die Sicherheitsanforderungen und/oder die Restriktionen, die für den Datenfluss zwischen einer Datenquelle und einer Datensenke definiert sind, eingehalten werden.It can thus advantageously be determined whether the security requirements and / or the restrictions that are defined for the data flow between a data source and a data sink are being complied with.
Vorzugsweise beschreibt jeder Konflikt eine konkrete Verletzung der zumindest einen Sicherheitsrichtlinie.Each conflict preferably describes a specific violation of the at least one security policy.
Jeder Konflikt, der durch die Recheneinheit generiert wurde, kann eine konkrete Verletzung der zumindest einen Sicherheitsrichtlinien beschreiben. Die Beschreibung der konkreten Verletzung der zumindest einen Sicherheitsrichtlinie kann Informationen darüber umfassen, welche Sicherheitsrichtlinie(n) auf welchem Pfad die Verletzung stattgefunden hat und welche Bedingung bzw. Bedingungen der zumindest einen Sicherheitsrichtlinie verletzt wurden.Each conflict that was generated by the processing unit can describe a specific violation of the at least one security policy. The description of the specific violation of the at least one security policy can include information about which security policy (s) on which path the violation took place and which condition or conditions of the at least one security policy were violated.
Vorteilhafterweise kann somit exakt festgestellt werden, auf welchem Pfad im E/E-System die Verletzung der zumindest einen Sicherheitsrichtlinie stattgefunden hat und welche Bedingung bzw. welche Bedingungen der zumindest einen Sicherheitsrichtlinie verletzt wurde(n). Advantageously, it can thus be determined exactly on which path in the E / E system the violation of the at least one security policy took place and which condition or conditions of the at least one security policy was (were) violated.
Gemäß einem zweiten Aspekt wird die zugrundeliegende Aufgabe durch ein Verfahren zur Erhöhung der Sicherheit in einem E/E, elektrisch-elektronischem, System im Fahrzeug gelöst, umfassend:
- Umsetzen, an einer Recheneinheit, zumindest einer Sicherheitsrichtlinie mit Bezug auf den Datenaustausch zwischen einer Mehrzahl an E/E-Komponenten, wobei jede E/E-Komponente Datenquelle und/oder Datensenke sein kann;
- Identifizieren, durch die Recheneinheit, eines Datenflusses aus einer Vielzahl an möglichen Datenflüssen zwischen zumindest zwei E/E-Komponenten, der die zumindest eine Sicherheitsrichtlinie verletzt; und
- Generieren, durch die Recheneinheit, eines Konflikts für den identifizierten Datenfluss, der zumindest eine Sicherheitsrichtlinie verletzt.
- Implementation, on a computing unit, of at least one security policy with reference to the data exchange between a plurality of E / E components, wherein each E / E component can be a data source and / or data sink;
- Identifying, by the computing unit, a data flow from a plurality of possible data flows between at least two E / E components that violates the at least one security policy; and
- Generating, by the processing unit, a conflict for the identified data flow that violates at least one security policy.
Vorzugsweise umfasst die zumindest eine Sicherheitsrichtlinie:
- - eine Sicherheitsanforderung zwischen einer Datenquelle und einer Datensenke; und/oder
- - eine Restriktion zwischen einer Datenquelle und einer Datensenke.
- a security requirement between a data source and a data sink; and or
- - a restriction between a data source and a data sink.
Vorzugsweise beschreibt jeder Konflikt eine konkrete Verletzung einer Sicherheitsrichtlinie.Each conflict preferably describes a specific violation of a security policy.
Diese und andere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden aus dem Studium der folgenden detaillierten Beschreibung bevorzugter Ausführungsformen und der beiliegenden Figuren verdeutlicht. Es ist ersichtlich, dass - obwohl Ausführungsformen separat beschrieben werden - einzelne Merkmale daraus zu zusätzlichen Ausführungsformen kombiniert werden können.
-
1 zeigt schematisch ein E/E, elektrisch-elektronisches, System im Fahrzeug; -
2 zeigt ein beispielhaftes Verfahren zur Erhöhung der Sicherheit in einem E/E, elektrisch-elektronischem, System im Fahrzeug; -
3 zeigt eine beispielhafte Darstellung eines Steuergeräts bzw. einer ECU eines E/E-Systems; -
4A zeigt eine beispielhafte Darstellung einer Datenquelle bzw. eines Sensors eines E/E-Systems; -
4B zeigt eine beispielhafte Darstellung einer Datensenke bzw. eines Aktors eines E/E-Systems; -
5 zeigt beispielhaft die Erkennung eines Angriffs im E/E-System eines Fahrzeugs; -
6 zeigt beispielhaft die Erkennung eines Konflikts im E/E-System eines Fahrzeugs zur Designzeit.
-
1 shows schematically an E / E, electrical-electronic, system in the vehicle; -
2 shows an exemplary method for increasing safety in an E / E, electrical-electronic, system in the vehicle; -
3rd shows an exemplary illustration of a control unit or an ECU of an E / E system; -
4A shows an exemplary representation of a data source or a sensor of an E / E system; -
4B shows an exemplary representation of a data sink or an actuator of an E / E system; -
5 shows an example of the detection of an attack in the E / E system of a vehicle; -
6th shows an example of the detection of a conflict in the E / E system of a vehicle at design time.
Das beispielhafte E/E-System umfasst eine Vielzahl an E/E-Komponenten umfassen, die Datenquellen sind. Das beispielhafte E/E-System umfasst als Datenquelle einen Sensor
Ein System zur Erhöhung der Sicherheit in einem E/E-System in dieses beispielhafte E/E-System integriert werden.A system for increasing security in an E / E system can be integrated into this exemplary E / E system.
Das System zur Erhöhung der Sicherheit im E/E-System umfasst eine Recheneinheit, die eingerichtet ist, zumindest eine Sicherheitsrichtlinie mit Bezug auf den Datenaustausch zwischen einer Mehrzahl an E/E-Komponenten umzuseten. Wie bereits ausgeführt, kann jede E/E-Komponente eine Datenquelle und/oder eine Datensenke und/oder eine Kommunikationsverbindung zwischen einer Datenquelle und/oder einer Datensenke sein. Die Recheneinheit ist eingerichtet, aus einer Vielzahl an möglichen Datenflüssen, die zwischen der Vielzahl an E/E-Komponenten stattfinden können, einen Datenfluss zu identifizieren, die die bzw. die zumindest eine Sicherheitsrichtlinie verletzt. Die Implementierung von Sicherheitsrichtlinien wird weiter unten mit Bezug auf
Die zumindest eine Sicherheitsrichtlinie kann zumindest eine Sicherheitsanforderungen zwischen einer Datenquelle und einer Datensenke umfassen. Darüber hinaus oder alternativ dazu kann die Sicherheitsrichtlinien zumindest eine Restriktion zwischen einer Datenquelle und einer Datensenke im E/E-System umfassen. Im dynamischen Fall können die Datenquellen zum Beispiel, Mechanismen umfassen, die an die von der jeweiligen Datenquelle übertragenen Daten eine Sicherheitsrichtlinie anhängen können, die dann in den entsprechenden Datensenken (z.B. Steuergeräten) verarbeitet werden können. Die Recheneinheit ist zudem eingerichtet, für den identifizierten Datenfluss, der die zumindest eine Sicherheitsrichtlinie verletzt, einen Konflikt zu generieren. Der Konflikt kann beispielsweise zur Laufzeit in den E/E-Komponenten identifiziert werden. Dies kann erfolgen, indem in den entsprechenden E/E-Komponenten, beispielsweise in einer Datensenke (z.B. Steuergerät), während der Laufzeit zumindest eine Sicherheitsrichtlinie, die an den von einer Datenquelle empfangenen Daten hängen bzw. mit den von einer Datenquelle empfangenen Daten übermittelt wurden, prüfen und mit potentiellen Sicherheitsrichtlinien, die für die jeweilige Datensenke gelten, vergleicht) Darüber hinaus oder alternativ dazu kann der Konflikt beispielsweise durch den Einsatz von Model Checking identifiziert werden. Model Checking ist ein Verfahren zur vollautomatischen Verifikation einer Systembeschreibung gegen eine Spezifikation. Die Systembeschreibung kann das E/E- System umfassen. Die Spezifikation kann die zumindest eine Sicherheitsrichtlinie umfassen. Der Konflikt kann Informationen darüber umfassen, auf welchem Pfad die Verletzung stattgefunden hat und welche Bedingung bzw. Bedingungen der zumindest einen Sicherheitsrichtlinie verletzt wurden.The at least one security policy can include at least one security requirement between a data source and a data sink. In addition or as an alternative to this, the security guidelines can include at least one restriction between a data source and a data sink in the E / E system. In the dynamic case, the data sources can, for example, include mechanisms that can attach a security policy to the data transmitted by the respective data source, which can then be processed in the corresponding data sinks (e.g. control units). The processing unit is also set up to generate a conflict for the identified data flow that violates the at least one security policy. The conflict can, for example, be identified in the E / E components at runtime. This can be done by having at least one security guideline attached to the data received from a data source or transmitted with the data received from a data source in the corresponding E / E components, for example in a data sink (e.g. control unit) during runtime , check and compare with potential security guidelines that apply to the respective data sink) In addition or as an alternative to this, the conflict can be identified, for example, through the use of model checking. Model checking is a procedure for the fully automatic verification of a system description against a specification. The system description can include the E / E system. The specification can include the at least one security policy. The conflict can include information about the path on which the violation took place and which condition or conditions of the at least one security policy were violated.
Jeder Konflikt, der durch die Recheneinheit generiert wird, kann eine konkrete Verletzung der zumindest einen Sicherheitsrichtlinien beschreiben. Die Beschreibung der konkreten Verletzung der zumindest einen Sicherheitsrichtlinien kann Informationen darüber umfassen, welche Sicherheitsrichtlinie (n) auf welchem Pfad die Verletzung stattgefunden hat und welche Bedingung bzw. Bedingungen der zumindest einen Sicherheitsrichtlinie verletzt wurden.Each conflict that is generated by the processing unit can describe a specific violation of the at least one security policy. The description of the specific violation of the at least one security policy can include information about which security policy (s) on which path the violation took place and which condition or conditions of the at least one security policy were violated.
Vorteilhafterweise kann somit für sämtliche Datenflüsse, die im E/E-System stattfinden können, festgestellt werden, ob die zumindest eine Sicherheitsrichtlinie, die für den Datenaustausch im E/E-System definiert wurde, eingehalten wird. Insbesondere kann exakt festgestellt werden, auf welchem Pfad im E/E-System die Verletzung der zumindest einen Sicherheitsrichtlinie stattgefunden hat und welche Bedingung bzw. welche Bedingungen der zumindest einen Sicherheitsrichtlinie verletzt wurde(n).It can thus advantageously be determined for all data flows that can take place in the E / E system whether the at least one security guideline that was defined for the data exchange in the E / E system is being adhered to. In particular, it can be determined exactly on which path in the E / E system the violation of the at least one security guideline took place and which condition or conditions of the at least one security guideline was (were) violated.
Das Verfahren
Umsetzen 210 , durch eine Recheneinheit, zumindest einer Sicherheitsrichtlinie mit Bezug auf den Datenaustausch zwischen einer Mehrzahl an E/E-Komponenten, wobei jede E/E-Komponente Datenquelle und/oder Datensenke sein kann;Identifizieren 220 , durch die Recheneinheit, eines Datenflusses aus einer Vielzahl an möglichen Datenflüssen zwischen zumindest zwei E/E-Komponenten, der die zumindest eine Sicherheitsrichtlinie verletzt; undGenerieren 230 , durch die Recheneinheit, eines Konflikts für den identifizierten Datenfluss, der zumindest eine Sicherheitsrichtlinie verletzt.
- Implement
210 by a computing unit, at least one security policy with reference to the data exchange between a plurality of E / E components, wherein each E / E component can be a data source and / or data sink; - Identify
220 , by the processing unit, a data flow from a large number of possible data flows between at least two E / E-components that violate at least one security policy; and - to generate
230 , by the processing unit, a conflict for the identified data flow that violates at least one security policy.
Die zumindest eine Sicherheitsrichtlinie umfasst:
- - eine Sicherheitsanforderung zwischen einer Datenquelle und einer Datensenke; und/oder
- - eine Restriktion zwischen einer Datenquelle und einer Datensenke.
- a security requirement between a data source and a data sink; and or
- - a restriction between a data source and a data sink.
Jeder Konflikt kann eine konkrete Verletzung der zumindest einen Sicherheitsrichtlinie beschreiben.Each conflict can describe a specific violation of at least one security policy.
Für das System bzw. Verfahren zur Erhöhung der Sicherheit in einem E/E, elektrisch-elektronischem, System im Fahrzeug wie mit Bezug auf
In dem Modell des E/E-Systems trägt jede Nachricht, die über einen Datenfluss zwischen E/E-Komponenten des Systems ausgetauscht wird, eine Sicherheitsrichtlinie (nicht gezeigt). Die Sicherheitsrichtlinie beschreibt eine Menge an Bedingungen, die erfüllt werden müssen, wenn auf die Daten der Nachricht lesend oder schreibend durch eine Datensenke zugegriffen wird. Diese Bedingungen können beispielsweise durch eine einfache, parametrisierte Boolesche Struktur - beispielsweise durch Paralocks wie von Niklas Broberg und David Sands definiert - definiert werden und beschreiben, wann, wie und was von einer E/E-Komponente zu einer anderen E/E-Komponente fließen darf (im Sinne von Datenfluss). Die E/E-Komponenten können als Knoten
Darüber hinaus können im Vorfeld Anwendungen bei der Architekturspezifikation während der Design-Zeit realisiert werden. In diesem Fall können die Daten selbst als Dummy-Daten betrachtet werden. Daher werden die Sicherheitsrichtlinien über ein Gitter mit Definitionen einer kleinsten Obergrenze und größten Untergrenze definiert werden, um die Sicherheitsrichtlinien vergleichbar zu machen. Während des Checkens bzw. Prüfens werden alle Pfade simuliert und es werden Kombinationen von Sicherheitsrichtlinien generiert. Beim Propagieren werden die Bedingungen der Sicherheitsrichtlinien gegen die Eingangsrichtlinien überprüft und/oder durch die Ausgangsrichtlinien ersetzt. Die Konflikte, die durch den Model-Checker entdeckt werden, beschreiben Mengen von Bedingungen, die nicht erfüllt werden. Daher definiert jeder Konflikt klar, welche Bedingungen erfüllt sein müssen und auf welchem Pfad im E/E-Systemmodell der Konflikt aufgetreten ist. Das vorstehend beschriebene Modell kann auch mit klassischen Model Checkern überprüft werden. Allerdings hat sich herausgestellt, dass ein Problem der Zustandsexplosion im E/E-Systemmodell besteht. Daher ist effizientes Checken mittels Bounded Model Checking oder Symbolic Model Checking erforderlich.In addition, applications for the architecture specification can be implemented in advance during the design time. In this case, the data itself can be regarded as dummy data. The security guidelines are therefore defined using a grid with definitions of a smallest upper limit and largest lower limit in order to make the security guidelines comparable. During the check, all paths are simulated and combinations of security guidelines are generated. When propagating, the conditions of the security guidelines are checked against the entry guidelines and / or replaced by the exit guidelines. The conflicts that are discovered by the model checker describe sets of conditions that are not met. Each conflict therefore clearly defines which conditions must be met and on which path in the E / E system model the conflict occurred. The model described above can also be checked with classic model checkers. However, it has been found that there is a state explosion problem in the E / E system model. Efficient checking using bounded model checking or symbolic model checking is therefore required.
Insbesondere können kritische Bereiche im E/E-System zur Laufzeit identifiziert werden, die durch Angreifer genutzt werden können. Dies ermöglicht auch die Erkennung eines Angriffsversuchs zur Laufzeit. Der Angreiferknoten (Attacker bzw. Angreifer)
In diesem Beispiel hat der Angreiferknoten
Dies erhöht die Sicherheit von E/E-Systemen zur Laufzeit. Darüber hinaus kann diese Vorgehensweise zur Design-Zeit verwendet werden, um Sicherheitsrichtlinien in einer ECU zu definieren, die an einen Zulieferer übermittelt werden können. Es kann hinterher auch dazu verwendet werden, die Sicherheitsrichtlinien zu überprüfen. Modellierte Angriffsknoten können darüber hinaus im physischen E/E-System genutzt werden, um kritische Tests auf Pentester-Seite durchzuführen.This increases the security of E / E systems during runtime. In addition, this approach can be used at design time to define safety guidelines in an ECU that can be communicated to a supplier. It can also be used afterwards to review the security guidelines. Modeled attack nodes can also be used in the physical E / E system to carry out critical tests on the pentester side.
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019133334.2A DE102019133334A1 (en) | 2019-12-06 | 2019-12-06 | System and method for increasing security in an E / E system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019133334.2A DE102019133334A1 (en) | 2019-12-06 | 2019-12-06 | System and method for increasing security in an E / E system |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102019133334A1 true DE102019133334A1 (en) | 2021-06-10 |
Family
ID=75962216
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102019133334.2A Pending DE102019133334A1 (en) | 2019-12-06 | 2019-12-06 | System and method for increasing security in an E / E system |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102019133334A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009038035A1 (en) * | 2009-08-19 | 2011-02-24 | Bayerische Motoren Werke Aktiengesellschaft | Method for configuring infotainment applications in a motor vehicle |
US20140007184A1 (en) * | 2012-06-29 | 2014-01-02 | Phillip A. Porras | Method and System for Protecting Data Flow at a Mobile Device |
DE102013108932A1 (en) * | 2013-08-19 | 2015-02-19 | Bayerische Motoren Werke Aktiengesellschaft | Safety relevant system in a vehicle |
-
2019
- 2019-12-06 DE DE102019133334.2A patent/DE102019133334A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009038035A1 (en) * | 2009-08-19 | 2011-02-24 | Bayerische Motoren Werke Aktiengesellschaft | Method for configuring infotainment applications in a motor vehicle |
US20140007184A1 (en) * | 2012-06-29 | 2014-01-02 | Phillip A. Porras | Method and System for Protecting Data Flow at a Mobile Device |
DE102013108932A1 (en) * | 2013-08-19 | 2015-02-19 | Bayerische Motoren Werke Aktiengesellschaft | Safety relevant system in a vehicle |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1959606B1 (en) | Safety unit | |
DE102011100106A1 (en) | System for diagnosing a component in a vehicle | |
DE102019205700B4 (en) | Testing system | |
DE102011084254A1 (en) | Communication system for a motor vehicle | |
DE112016005669T5 (en) | On-board communication device, on-board communication system and method for prohibiting special processing for a vehicle | |
DE102019214453A1 (en) | Method for performing a function of a motor vehicle | |
DE102018221063A1 (en) | Configuration of a control system for an at least partially autonomous motor vehicle | |
DE102019115727A1 (en) | Electronic control device, monitoring method, recording medium and gateway device | |
DE102019214420A1 (en) | Method for at least assisted crossing of a junction by a motor vehicle | |
EP3732913A1 (en) | Control unit and method for the tamper-proof detection of operational safety-related integrity monitoring data | |
WO2008095518A1 (en) | Use of a distributed diagnostic architecture in autosar | |
DE102019214423A1 (en) | Method for remote control of a motor vehicle | |
DE102019214461A1 (en) | Method for remote control of a motor vehicle | |
DE102019214471A1 (en) | Method for remote control of a motor vehicle | |
DE112020005622B4 (en) | Information processing device, information processing method and computer program | |
EP4003823B1 (en) | Method for initializing a motor vehicle | |
DE112017003053T5 (en) | ACTIVITY MONITOR | |
DE102019214482A1 (en) | Method for the safe, at least partially automated, driving of a motor vehicle | |
DE102019133334A1 (en) | System and method for increasing security in an E / E system | |
DE102019214413A1 (en) | Method for at least partially automated driving of a motor vehicle | |
DE102019133331A1 (en) | System and method for the optimized increase of security in an E / E system | |
DE102019214484A1 (en) | Procedure for the secure determination of infrastructure data | |
DE102019211118A1 (en) | Method for testing a motor vehicle | |
DE102019125393A1 (en) | Devices, methods and computer programs for a server, an administration system and a vehicle | |
DE102019219667B3 (en) | Computer program product for a peer-to-peer computer network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication |