DE102019201133B4 - Motor vehicle - Google Patents

Motor vehicle Download PDF

Info

Publication number
DE102019201133B4
DE102019201133B4 DE102019201133.0A DE102019201133A DE102019201133B4 DE 102019201133 B4 DE102019201133 B4 DE 102019201133B4 DE 102019201133 A DE102019201133 A DE 102019201133A DE 102019201133 B4 DE102019201133 B4 DE 102019201133B4
Authority
DE
Germany
Prior art keywords
transceiver
bus system
motor vehicle
vehicle bus
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102019201133.0A
Other languages
German (de)
Other versions
DE102019201133A1 (en
Inventor
Robert Dreyer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Publication of DE102019201133A1 publication Critical patent/DE102019201133A1/en
Application granted granted Critical
Publication of DE102019201133B4 publication Critical patent/DE102019201133B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Abstract

Kraftfahrzeug (1) mit einem inneren Fahrzeugbussystem (Bl) sowie mit unmittelbar an das innere Fahrzeugbussystem (Bl) angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden Modulen (31), wobei das Kraftfahrzeug (1) ein äußeres Fahrzeugbussystem (BA) sowie unmittelbar an das äußere Fahrzeugbussystem (BA) angeschlossene nicht sicherheitsrelevante Module (15) aufweist, wobei das Kraftfahrzeug (1) ein Sicherheitsmodul (100, 101, 102, 103) zur datentechnischen Kopplung des inneren Fahrzeugbussystems (Bl) mit dem äußeren Fahrzeugbussystem (BA) aufweist, wobei das Sicherheitsmodul (100, 101, 102, 103) einen an das innere Fahrzeugbussystem (Bl) angeschlossenen inneren Transceiver (TI) und einen an das äußere Fahrzeugbussystem (BA) angeschlossenen äußeren Transceiver (TA) umfasst, wobei das Sicherheitsmodul (100, 101, 102, 103) eine erste eindirektionale Datenleitung (PDL) zur direkten Kopplung des äußeren Transceivers (TA) mit dem inneren Transceiver (TI) zwecks Übertragung von Daten von dem äußeren Transceiver (TA) zum inneren Transceiver (TI) und/oder eine zweite eindirektionale Datenleitung (SDL) zur direkten Kopplung des inneren Transceivers (TI) mit dem äußeren Transceiver (TA) zwecks Übertragung von Daten von dem inneren Transceiver (TI) zum äußeren Transceiver (TA) umfasst, dadurch gekennzeichnet, dass die erste Datenleitung parallele Signalleitungen und parallele Datenleitungen umfasst.Motor vehicle (1) with an internal vehicle bus system (Bl) and with modules (31) relating to the safety of the motor vehicle connected directly to the internal vehicle bus system (Bl), the motor vehicle (1) being an external vehicle bus system (BA) and directly connected to the external vehicle bus system (BA) has connected non-safety-relevant modules (15), the motor vehicle (1) having a safety module (100, 101, 102, 103) for the data-technical coupling of the internal vehicle bus system (Bl) with the external vehicle bus system (BA), the safety module (100, 101, 102, 103) comprises an inner transceiver (TI) connected to the inner vehicle bus system (Bl) and an outer transceiver (TA) connected to the outer vehicle bus system (BA), the security module (100, 101, 102, 103) a first unidirectional data line (PDL) for direct coupling of the outer transceiver (TA) with the inner transceiver (TI) for the purpose of transmitting data v from the outer transceiver (TA) to the inner transceiver (TI) and / or a second unidirectional data line (SDL) for direct coupling of the inner transceiver (TI) with the outer transceiver (TA) for the purpose of transmitting data from the inner transceiver (TI) to the outer transceiver (TA), characterized in that the first data line comprises parallel signal lines and parallel data lines.

Description

Die Erfindung betrifft ein Kraftfahrzeug mit einem inneren (sicherheitsrelevanten) Fahrzeugbussystem sowie mit unmittelbar an das innere Fahrzeugbussystem angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden (d.h. sicherheitskritischen) Modulen, wobei das Kraftfahrzeug ein äußeres Fahrzeugbussystem sowie unmittelbar an das äußere Fahrzeugbussystem angeschlossene nicht sicherheitsrelevante Module aufweist, wobei das Kraftfahrzeug ein Sicherheitsmodul zur datentechnischen Kopplung des inneren Fahrzeugbussystems mit dem äußeren Fahrzeugbussystem aufweist, und wobei das Sicherheitsmodul einen an das innere Fahrzeugbussystem angeschlossenen inneren Transceiver und einen an das äußere Fahrzeugbussystem angeschlossenen äußeren Transceiver umfasst.The invention relates to a motor vehicle with an internal (safety-relevant) vehicle bus system and with modules relating to the safety of the motor vehicle (ie safety-critical) modules directly connected to the internal vehicle bus system, the motor vehicle having an external vehicle bus system and non-safety-related modules connected directly to the external vehicle bus system, with the motor vehicle has a security module for data-technical coupling of the internal vehicle bus system with the external vehicle bus system, and wherein the security module comprises an internal transceiver connected to the internal vehicle bus system and an external transceiver connected to the external vehicle bus system.

Insbesondere sicherheitskritische Steuergeräte sind vor unberechtigten Zugriffen zu schützen. Über die Fahrzeugbussysteme sind jedoch auch diese Steuergeräte, wie zum Beispiel ABS-Steuergeräte, mit anderen, nicht sicherheitsrelevanten, Komponenten verbunden. Einige dieser Komponenten, beispielsweise das HMI, bieten Kopplungsmöglichkeiten mit mobilen Endgeräten über Bluetooth, W-LAN oder USB und sind damit einer erhöhten Manipulationsgefahr ausgesetzt. Die USB-Schnittstellen erfordern zwar einen physischen Zugang zu dem Fahrzeug, über Bad-USB-Angriffe kann es jedoch mit manipulierten USB-Medien ungewollt durch einen Bediener selbst zu unerlaubten Eingriffsversuchen kommen. Über Funktechniken wie Bluetooth und W-LAN sind Angriffe auch von außerhalb des Fahrzeugs möglich, jedoch auf die nähere Umgebung begrenzt. Mit dem Internet verbundene Systeme, ob direkt oder indirekt über den Umweg eines gekoppelten mobilen Endgeräts verbunden, sind von überall aus angreifbar. Um Abhilfe zu schaffen, schlägt die WO 2013/144962 A1 eine Vielzahl von Optionen zur Implementierung eines Schutzes für sicherheitsrelevante Steuerungen in einem Verbund vor. Dabei ist unter anderem eine Lösung vorgesehen, bei der zwei Bussysteme mittels zweier Transceiver gekoppelt sind, wobei zwischen den Transceivern ein sogenanntes FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) vorgesehen ist. Dieses FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) ist über eine Schnittstelle für Computer zugänglich.In particular, safety-critical control devices must be protected from unauthorized access. However, these control devices, such as ABS control devices, are also connected to other, non-safety-relevant components via the vehicle bus systems. Some of these components, for example the HMI, offer coupling options with mobile devices via Bluetooth, W-LAN or USB and are therefore exposed to an increased risk of manipulation. Although the USB interfaces require physical access to the vehicle, bad USB attacks with manipulated USB media can lead to unauthorized access attempts by the operator himself. Attacks from outside the vehicle are also possible via radio technologies such as Bluetooth and W-LAN, but are limited to the immediate vicinity. Systems connected to the Internet, whether directly or indirectly via a coupled mobile device, can be attacked from anywhere. To remedy this, suggests the WO 2013/144962 A1 offer a variety of options for implementing protection for safety-relevant controls in a network. Among other things, a solution is provided in which two bus systems are coupled by means of two transceivers, with a so-called FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) being provided between the transceivers. This FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) is accessible to computers via an interface.

Die EP 2 767 097 B1 offenbart ein Kraftfahrzeug, bei dem zur Überwachung der Kommunikation zwischen einer Telemetriebox und einer Steuergerät-Endstelle eine Firewall in einem CAN-Bus zwischen den Schnittstellen von Telemetriebox und Steuergerät-Endstelle integriert ist. Diese CAN-Firewall weist eine bidirektionale CAN-Schnittstelle auf, mittels derer die Anbindung sowohl an die Telemetriebox als auch an die Steuergerät-Endstelle über den CAN-Bus erfolgt. Auf diese Weise wird die gesamte Kommunikation zwischen der Telemetriebox und der Steuergerät-Endstelle über die Firewall abgewickelt. Diese ist als eigenständige Hardwareplattform gebildet und weist einen Mikrocontroller auf, der von einer Überwachungseinheit in Form eines Safety-Mikrocontrollers mittels Watchdogbetrieb überwacht wird. Der Mikrocontroller greift zur Umsetzung der Firewall-Funktionalitäten auf einen Regelvorrat zurück, welcher als Whitelist bzw. weiße Liste in einem Speicher hinterlegt ist. Die WO 00/09363 offenbart eine Firewall zwischen einem Fahrzeug PC und einem Fahrzeug-Bus.The EP 2 767 097 B1 discloses a motor vehicle in which a firewall is integrated in a CAN bus between the interfaces of the telemetry box and the control unit terminal to monitor the communication between a telemetry box and a control unit terminal. This CAN firewall has a bidirectional CAN interface, by means of which the connection to the telemetry box as well as to the control unit terminal takes place via the CAN bus. In this way, all communication between the telemetry box and the control unit terminal is handled via the firewall. This is designed as an independent hardware platform and has a microcontroller that is monitored by a monitoring unit in the form of a safety microcontroller using watchdog operation. In order to implement the firewall functionalities, the microcontroller uses a set of rules which is stored in a memory as a whitelist or white list. The WO 00/09363 discloses a firewall between a vehicle PC and a vehicle bus.

Die US 2016/0261561 A1 offenbart ein Einweg-Gateway und ein Fahrzeugnetzwerksystem, wobei zum Schutz des Netzwerks innerhalb des Fahrzeugs das Einweg-Gateway verwendet wird. Das Einweg-Gateway umfasst eine Kommunikationssteuereinheit, eine physische Einweg-Kommunikationseinheit und eine Datenübertragungs- / Empfangseinheit. Die Kommunikationssteuereinheit übernimmt die Kommunikation mit einem Gerät des internen Netzwerks oder des Infotainment-Netzwerks des Fahrzeugs. Die physische Einweg-Kommunikationseinheit konfiguriert einen Kommunikationsabschnitt zwischen dem internen Netzwerk und dem Infotainment-Netzwerk in einer physischen Einwegform. Die Datenübertragungs- / Empfangseinheit überträgt Daten, die von der Vorrichtung des internen Netzwerks oder des Infotainment-Netzwerks übertragen werden, über die Kommunikationssteuereinheit an die physische Einweg-Kommunikationseinheit und überträgt Daten, die über die physische Einweg-Kommunikationseinheit empfangen werden, an das Gerät des internen Netzwerks oder des Infotainment-Netzwerks.The US 2016/0261561 A1 discloses a one-way gateway and vehicle network system wherein the one-way gateway is used to protect the network within the vehicle. The one-way gateway comprises a communication control unit, a one-way physical communication unit and a data transmission / reception unit. The communication control unit takes over the communication with a device of the internal network or the infotainment network of the vehicle. The one-way physical communication unit configures a communication section between the internal network and the infotainment network in a one-way physical form. The data transmission / reception unit transmits data transmitted from the device of the internal network or the infotainment network to the physical one-way communication unit via the communication control unit, and transmits data received via the physical one-way communication unit to the device of the internal network or the infotainment network.

Es ist Aufgabe der Erfindung, die die Sicherheit des Kraftfahrzeugs betreffenden Module in einem Kraftfahrzeug vor unlauterem Zugriff, insbesondere vor Hackerangriffen, zu schützen. Dabei ist es jedoch insbesondere wünschenswert, trotz dieser Schutzfunktion Updates dieser Module zuzulassen, insbesondere online-Updates.The object of the invention is to protect the modules relating to the safety of the motor vehicle in a motor vehicle from unauthorized access, in particular from hacker attacks. In this case, however, it is particularly desirable to allow updates to these modules, in particular online updates, despite this protective function.

Vorgenannte Aufgabe wird durch ein Kraftfahrzeug mit einem inneren (sicherheitsrelevanten) Fahrzeugbussystem sowie mit unmittelbar an das innere Fahrzeugbussystem angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden Modulen gelöst, wobei das Kraftfahrzeug ein äußeres Fahrzeugbussystem sowie unmittelbar an das äußere Fahrzeugbussystem angeschlossene nicht sicherheitsrelevante Module aufweist, wobei das Kraftfahrzeug ein Sicherheitsmodul zur datentechnischen Kopplung des inneren Fahrzeugbussystems mit dem äußeren Fahrzeugbussystem aufweist, wobei das Sicherheitsmodul einen an das innere Fahrzeugbussystem angeschlossenen (z.B. einen oder mehrere Mikrocontroller umfassenden) inneren Transceiver und einen an das äußere Fahrzeugbussystem angeschlossenen (z.B. einen oder mehrere Mikrocontroller umfassenden) äußeren Transceiver umfasst, wobei das Sicherheitsmodul eine erste eindirektionale Datenleitung zur direkten Kopplung des äußeren Transceivers mit dem inneren Transceiver zwecks Übertragung von Daten von dem äußeren Transceiver zum inneren Transceiver und eine zweite eindirektionale Datenleitung zur direkten, Kopplung des inneren Transceivers mit dem äußeren Transceiver zwecks Übertragung von Daten von dem inneren Transceiver zum äußeren Transceiver umfasst, und wobei die erste Datenleitung parallele Signalleitungen und parallele Datenleitungen umfasst.The aforementioned object is achieved by a motor vehicle with an internal (safety-relevant) vehicle bus system and with modules relating to the safety of the motor vehicle directly connected to the internal vehicle bus system, the motor vehicle having an external vehicle bus system and non-safety-related modules connected directly to the external vehicle bus system, the motor vehicle has a security module for data-related coupling of the inner vehicle bus system with the outer vehicle bus system, the security module being connected to the inner one The inner transceiver connected to the vehicle bus system (e.g. comprising one or more microcontrollers) and an outer transceiver connected to the outer vehicle bus system (e.g. comprising one or more microcontrollers), the security module comprising a first unidirectional data line for direct coupling of the outer transceiver to the inner transceiver for transmission of data from the outer transceiver to the inner transceiver and a second unidirectional data line for direct coupling of the inner transceiver to the outer transceiver for the purpose of transmitting data from the inner transceiver to the outer transceiver, and wherein the first data line comprises parallel signal lines and parallel data lines.

Nicht sicherheitsrelevante Module können z.B. ein Infotainmentsystem, eine Klimaautomatik und/oder ein Navigationssystem sein. Nicht sicherheitsrelevante Module im Sinne der Erfindung können jedoch auch z.B. eine Telefonschnittstelle oder ein Telefon sein. Nicht sicherheitsrelevante Module können auch eine W-LAN-Schnittstelle eine USB-Schnittstelle oder eine Bluetooth-Schnittstelle umfassen. Ein weiteres Ausführungsbeispiel für ein nicht sicherheitsrelevantes Modul im Sinne der Erfindung ist ein HMI bzw. eine Anzeige- und Bedienvorrichtung, wie sie typischerweise in der Mitte des Armaturenbretts des Kraftfahrzeuges angeordnet ist. Die Sicherheit des Kraftfahrzeuges betreffende Module (sicherheitsrelevante bzw. sicherheitskritische Module) können beispielsweise eine Motorsteuerung, eine Fahrdynamikregelung (Einzelheiten zur Fahrdynamikregelung können insbesondere den Buch Bosch Fahrsicherheitssysteme ISBN 3-528-03875-6, Seite 206 bis 239, sowie dem Buch Bosch Automotive Handbook ISBN 978-1-119-03294-6, Seite 764 bis 793 entnommen werden), eine Bremssteuerung bzw. eine Getriebesteuerung sein. Eine Fahrdynamikregelung ist beispielsweise ein ESP-System.Non-safety-relevant modules can be, for example, an infotainment system, an automatic air conditioning and / or a navigation system. Non-safety-relevant modules within the meaning of the invention can, however, also be a telephone interface or a telephone, for example. Non-safety-relevant modules can also include a W-LAN interface, a USB interface or a Bluetooth interface. Another exemplary embodiment for a non-safety-relevant module within the meaning of the invention is an HMI or a display and operating device, as is typically arranged in the center of the dashboard of the motor vehicle. Modules relating to the safety of the motor vehicle (safety-relevant or safety-critical modules) can include, for example, an engine control, a vehicle dynamics control (details on the vehicle dynamics control can be found in the book Bosch Fahrsicherheitssysteme ISBN 3-528-03875-6, page 206 to 239 , and the book Bosch Automotive Handbook ISBN 978-1-119-03294-6, page 764 to 793 be taken), a brake control or a transmission control. Driving dynamics control is, for example, an ESP system.

Ein Fahrzeugbussystem kann beispielsweise ein CAN-Bus sein. Ein inneres Fahrzeugbussystem ist im Sinne der Erfindung ein sicherheitsrelevantes Fahrzeugbussystem also insbesondere ein Fahrzeugbussystem, mit dem die Sicherheit des Kraftfahrzeuges betreffende Module gekoppelt sind.A vehicle bus system can be a CAN bus, for example. In the context of the invention, an internal vehicle bus system is a safety-relevant vehicle bus system, that is to say in particular a vehicle bus system to which modules relating to the safety of the motor vehicle are coupled.

Unter einer direkten Kopplung zwischen einem inneren Transceiver und einem äußeren Transceiver soll verstanden werden, dass diese mit einer Datenleitung bzw. Datenleitungen verbunden sind. Es soll insbesondere bedeuten, dass zwischen dem inneren und dem äußeren Transceiver kein Modul, insbesondere kein Modul mit Rechenleistung oder Rechenaufgaben oder ähnlichem vorgesehen ist. Insbesondere ist kein FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) vorgesehen, wie es beispielsweise die WO 2013/144962 A1 offenbart.A direct coupling between an inner transceiver and an outer transceiver should be understood to mean that these are connected to a data line or data lines. It is intended to mean in particular that no module, in particular no module with computing power or computing tasks or the like, is provided between the inner and outer transceivers. In particular, no FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) is provided, as is the case with the WO 2013/144962 A1 disclosed.

In vorteilhafter Ausgestaltung der Erfindung ist die zweite Datenleitung eine serielle Datenleitung. In weiterhin vorteilhafter Ausgestaltung der Erfindung erzeugt der innere Transceiver das Taktsignal für die serielle Datenleitung. Es ist insbesondere vorgesehen, dass der innere Transceiver das Taktsignal für die serielle Datenleitung mittels einer Takt Datenleitung an den äußeren Transceiver überträgt.In an advantageous embodiment of the invention, the second data line is a serial data line. In a further advantageous embodiment of the invention, the inner transceiver generates the clock signal for the serial data line. It is provided in particular that the inner transceiver transmits the clock signal for the serial data line to the outer transceiver by means of a clock data line.

In weiterhin vorteilhafter Ausgestaltung der Erfindung umfasst das Sicherheitsmodul eine dritte eindirektionale Datenleitung zur, insbesondere direkten, Kopplung des äußeren Transceivers mit dem inneren Transceiver zwecks Übertragung von Empfangsbestätigungen von dem äußeren Transceiver zum inneren Transceiver.In a further advantageous embodiment of the invention, the security module comprises a third unidirectional data line for, in particular direct, coupling of the outer transceiver to the inner transceiver for the purpose of transmitting acknowledgments of receipt from the outer transceiver to the inner transceiver.

In weiterhin vorteilhafter Ausgestaltung der Erfindung umfasst der innere Transceiver eine Datenbasis mit zugelassenen Signalnummern und/oder gültigen Wertebereichen. In weiterhin vorteilhafter Ausgestaltung der Erfindung ist der innere Transceiver derart ausgestaltet, dass er nur Nachrichten an das innere Fahrzeugbussystem übermittelt, die aus gültigen Signalnummern und/oder gültigen Wertebereichen bestehen.In a further advantageous embodiment of the invention, the inner transceiver comprises a database with permitted signal numbers and / or valid value ranges. In a further advantageous embodiment of the invention, the inner transceiver is designed in such a way that it only transmits messages to the inner vehicle bus system that consist of valid signal numbers and / or valid value ranges.

In weiterhin vorteilhafter Ausgestaltung der Erfindung umfasst das Kraftfahrzeug auch ein, insbesondere drahtloses, Kommunikationsmodul, das mit dem inneren Transceiver gekoppelt und/oder verbunden ist. In weiterhin vorteilhafter Ausgestaltung der Erfindung sind Daten von dem Kommunikationsmodul an den inneren Transceiver und/oder ein sicherheitsrelevantes Modul nur nach einer Aktivierung übertragbar. In weiterhin vorteilhafter Ausgestaltung der Erfindung sind Daten von dem Kommunikationsmodul an den inneren Transceiver und/oder ein sicherheitsrelevantes Modul nur innerhalb eines vorbestimmten Zeitintervalls nach einer Aktivierung übertragbar. Eine Aktivierung kann beispielsweise einmal am Tag erfolgen oder durch äußere Einflüsse getriggert sein (siehe detaillierte Beschreibung). Ein vorbestimmtes Zeitintervall ist beispielsweise nicht länger als 30 Sekunden.In a further advantageous embodiment of the invention, the motor vehicle also includes an, in particular wireless, communication module that is coupled and / or connected to the inner transceiver. In a further advantageous embodiment of the invention, data can only be transmitted from the communication module to the internal transceiver and / or a security-relevant module after activation. In a further advantageous embodiment of the invention, data can only be transmitted from the communication module to the internal transceiver and / or a security-relevant module within a predetermined time interval after activation. An activation can take place, for example, once a day or be triggered by external influences (see detailed description). A predetermined time interval is, for example, no longer than 30 seconds.

Kraftfahrzeug im Sinne der Erfindung ist insbesondere ein individuell im Straßenverkehr benutzbares Landfahrzeug. Kraftfahrzeuge im Sinne der Erfindung sind insbesondere nicht auf Landfahrzeuge mit Verbrennungsmotor beschränkt.Motor vehicle within the meaning of the invention is in particular a land vehicle that can be used individually in road traffic. Motor vehicles within the meaning of the invention are in particular not limited to land vehicles with internal combustion engines.

Weitere Vorteile und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen. Dabei zeigen:

  • 1 ein Ausführungsbeispiel eines erfindungsgemäßen Kraftfahrzeuges in einer Prinzipdarstellung,
  • 2 ein Ausführungsbeispiel eines Sicherheitsmoduls für ein Kraftfahrzeug gemäß 1,
  • 3 eine alternative Ausgestaltung eines Sicherheitsmoduls,
  • 4 ein weiteres alternatives Ausführungsbeispiel für eine Sicherheitseinrichtung, und
  • 5 ein weiteres alternatives Ausführungsbeispiel für eine Sicherheitseinrichtung.
Further advantages and details emerge from the following description of exemplary embodiments. Show:
  • 1 an embodiment of a motor vehicle according to the invention in a schematic diagram,
  • 2 an embodiment of a security module for a motor vehicle according to 1 ,
  • 3 an alternative configuration of a security module,
  • 4th a further alternative embodiment for a safety device, and
  • 5 another alternative embodiment for a safety device.

1 zeigt ein Ausführungsbeispiel eines erfindungsgemäßen Kraftfahrzeuges 1 in einer Prinzipdarstellung. Das Kraftfahrzeug 1 umfasst ein HMI, das ein Display 12, das mittels einer Anzeige- und Bediensteuerung 10 angesteuert wird, sowie eine Bedienanordnung 11 umfasst, die dem Display 12 zugeordnet ist, und mittels der über die Anzeige- und Bediensteuerung 10 das Display 12 bzw. die darauf dargestellten Informationen beeinflussbar ist bzw. sind. Die Bedienanordnung 11 kann zum Beispiel ein vor dem Display 12 angeordneter Touchscreen sein oder umfassen. Alternativ oder zusätzlich kann die Bedienanordnung 11 auch ein räumlich von dem Display 12 angeordnetes Bedienelement wie z.B. ein Drehknopf sein oder umfassen. Mittels der Bedienanordnung 11 sind nicht sicherheitskritische Funktionen des Kraftfahrzeugs 1, wie etwa eine Telefonschnittstelle 14 für ein Mobiltelefon 2, eine Klimaautomatik 15, ein Navigationssystem 16, ein Infotainmentsystem 17 oder weitere Funktionen ansteuerbar. Dazu sind die Telefonschnittstelle 14, das Klimaautomatik 15, die Navigationssystem 16, das Infotainmentsystem 17 sowie die weiteren nicht sicherheitskritischen Funktionen datentechnisch mittels eines äußeren Bussystems BA mit der Anzeige- und Bediensteuerung 10 des HMIs verbunden. Weitere nicht sicherheitskritische Funktionen des Kraftfahrzeuges 1 können etwa eine WLAN-Schnittstelle 18, eine Bluetooth-Schnittstelle 21, eine USB-Schnittstelle 22 oder z.B. eine Sporttaste 23 sein. 1 shows an embodiment of a motor vehicle according to the invention 1 in a schematic diagram. The car 1 includes an HMI that has a display 12 , that by means of a display and operating control 10 is controlled, as well as an operating arrangement 11 includes the display 12 is assigned, and by means of the display and operating controls 10 the display 12 or the information displayed thereon can be influenced. The control arrangement 11 can for example be in front of the display 12 arranged touchscreen be or include. Alternatively or additionally, the operating arrangement 11 also one spatially from the display 12 arranged control element such as a rotary knob or include. Using the control arrangement 11 are not safety-critical functions of the motor vehicle 1 such as a telephone interface 14th for a mobile phone 2 , an automatic climate control 15th , a navigation system 16 , an infotainment system 17th or other functions can be controlled. The telephone interface is also used 14th , the climate control 15th who have favourited navigation system 16 , the infotainment system 17th and the other non-safety-critical functions in terms of data technology by means of an external bus system BA with the display and operating control 10 connected to the HMI. Other functions of the motor vehicle that are not critical to safety 1 can about a WLAN interface 18th , a bluetooth interface 21st , a USB interface 22nd or, for example, a sports button 23 his.

Das Kraftfahrzeug 1 umfasst zudem sicherheitsrelevante Funktionen wie etwa eine Motorsteuerung 31, ein ESP 32 oder eine Getriebesteuerung 33. Bezugszeichen 34, 35, 36 bezeichnen weitere sicherheitskritische Funktionen bzw. Module des Kraftfahrzeuges 1. Die sicherheitskritischen Module des Kraftfahrzeuges 31, 32, 33, 34, 35, 36 sind mittels eines inneren Bussystems BI gekoppelt.The car 1 also includes safety-related functions such as engine control 31 , an ESP 32 or a transmission control 33 . Reference number 34 , 35 , 36 denote further safety-critical functions or modules of the motor vehicle 1 . The safety-critical modules of the motor vehicle 31 , 32 , 33 , 34 , 35 , 36 are by means of an internal bus system BI coupled.

Das äußere Fahrzeugbussystem BA und das innere Fahrzeugbussystem BI sind mittels eines Sicherheitsmoduls 100, das in 2 detailliert dargestellt ist, gekoppelt. Das Sicherheitsmodul 100 umfasst zwei vermittelnde vorzugsweise aus Mikrocontrollern aufgebaute Transceiver, einen äußeren Transceiver TA und einen inneren Transceiver TI, wobei der äußere Transceiver TA an das öffentlich zugängliche äußere Fahrzeugbussystem BA und der innere Transceiver TI an das sicherheitsrelevante innere Fahrzeugbussystem BI angeschlossen ist.The outer vehicle bus system BA and the inner vehicle bus system BI are by means of a safety module 100 , this in 2 is shown in detail, coupled. The security module 100 comprises two intermediary transceivers, preferably composed of microcontrollers, an outer transceiver TA and an inner transceiver TI , being the outer transceiver TA to the publicly accessible outer vehicle bus system BA and the inner transceiver TI to the safety-relevant internal vehicle bus system BI connected.

Die Übertragung vom äußeren Transceiver TA an den inneren Transceiver TI kann über eine parallele oder serielle Schnittstelle erfolgen. Zum Schutz vor Buffer-Overflow-Angriffen wird jedoch ein paralleles Interface bevorzugt. Jedem vom äußeren Transceiver TA an den inneren Transceiver TI zu übertragenden Signal wird eine binäre Codierung zugewiesen, die auch als Nummer des Signals verstanden werden kann. Neben der Signalnummer wird bei Bedarf auch der Wert seines Parameters übertragen. Z.B. ist es mit einem 8-bit breiten Signal-Interface und einem 8-bit breiten Parameter-Interface (insgesamt 16 Leitungen, d.h. acht parallele Datenleitungen PDL und acht Signalleitungen SL) möglich, 256 verschiedene Signale mit jeweils bis zu 256 unterschiedlichen Werten zu übertragen. Die Festlegung der Signale und der gültigen Wertebereiche erfolgt auf beiden Transceivern bei der Band-Ende-Bedatung. Vom inneren Transceiver TI werden nur bekannte Signalnummern mit gültigem Wertebereich des Parameters angenommen, ggf. weiter verarbeitet, in die von den Steuergeräten erwartete Form zurückübersetzt und in das sicherheitsrelevante Fahrzeugbussystem BI eingespeist. Unbekannte Signale, oder welche mit überschrittenem Wertebereich, werden nicht an die angeschlossenen Steuergeräte bzw. Module 31, 32, 33, 34, 35, 36 weitergeleitet (ggf. erfolgt in solchen Fällen eine Rückmeldung an den äußeren Transceiver TA). Dies entspricht dem Konzept einer Whitelist, wie sie in 2 durch den Datenspeicher WL in dem inneren Transceiver TI symbolisiert ist. Da für die Datenübertragung vom äußerer Transceiver TA an den inneren Transceiver TI somit eine gezielte Festlegung von Signalen erforderlich ist, wird sichergestellt, dass nicht versehentlich Daten übertragen werden.The transmission from the outer transceiver TA to the inner transceiver TI can be done via a parallel or serial interface. However, a parallel interface is preferred to protect against buffer overflow attacks. Each from the outer transceiver TA to the inner transceiver TI The signal to be transmitted is assigned a binary code, which can also be understood as the number of the signal. In addition to the signal number, the value of its parameter is also transmitted if necessary. For example, it has an 8-bit wide signal interface and an 8-bit wide parameter interface (a total of 16 lines, ie eight parallel data lines PDL and eight signal lines SL ) possible to transmit 256 different signals with up to 256 different values each. The signals and the valid value ranges are defined on both transceivers with end-of-line data. From the inner transceiver TI only known signal numbers with a valid value range of the parameter are accepted, further processed if necessary, translated back into the form expected by the control units and into the safety-relevant vehicle bus system BI fed in. Unknown signals, or those with an exceeded value range, are not sent to the connected control devices or modules 31 , 32 , 33 , 34 , 35 , 36 forwarded (if necessary, in such cases a feedback is sent to the outer transceiver TA ). This corresponds to the concept of a whitelist as described in 2 through the data store WL in the inner transceiver TI is symbolized. As for data transmission from the outer transceiver TA to the inner transceiver TI thus a specific definition of signals is necessary, it is ensured that data is not accidentally transmitted.

Die Geschwindigkeit, mit der der innere Transceiver TI die eingehenden Signale maximal verarbeitet, kann vom äußeren Transceiver TA nicht beeinflusst werden. Bei Bedarf kann der innere Transceiver TI zu kurz hintereinander eintreffende Signale oder Signalkombinationen filtern und verwerfen. Dadurch ist sichergestellt, dass das sicherheitsrelevante Fahrzeugbussystem BI nicht durch DOS-Angriffe überlastet wird. In Bezug auf Signale vom inneren Transceiver TI an den äußeren Transceiver TA ist dies nicht vorgesehen, da davon ausgegangen wird, dass das sicherheitsrelevante Fahrzeugbussystem BI nicht kompromittiert ist. Signale in diese Richtung können daher bei Bedarf ohne vorherige Verarbeitung in ihrem Originalzustand versendet werden. Hierfür kann wiederum eine serielle oder parallele Schnittstelle verwendet werden. Um Leitungen einzusparen wird hier ein serielles Interface (serielle Datenleitung SDL) bevorzugt. Wichtig ist hierbei, dass dieses auf physikalischer Ebene nur unidirektional in diese Richtung übertragen kann. Bei Bedarf kann eine zusätzliche Taktleitung TL vom inneren Transceiver TI zum äußeren Transceiver TA vorgesehen werden. Zum Schutz des inneren Transceivers TI liefert dieser hierbei die Taktsignale. Erfordert das Interface eine Rückmeldung über die erfolgreiche Datenübertragung, kann hierfür eine zusätzliche Leitung ES vorgesehen werden, auf der der äußere Transceiver TA dem inneren Transceiver TI dies als Statusbit mitteilt.The speed at which the inner transceiver TI the incoming signals can maximally processed by the outer transceiver TA not be influenced. If necessary, the inner transceiver TI Filter and discard signals or signal combinations that arrive too quickly one after the other. This ensures that the safety-relevant vehicle bus system BI is not overloaded by DOS attacks. Regarding signals from the inner transceiver TI to the outer transceiver TA this is not provided because it is assumed that the safety-relevant vehicle bus system BI is not compromised. Signals in this direction can therefore be sent in their original state without prior processing. Again, a serial or parallel interface can be used for this. To lines A serial interface (serial data line SDL ) prefers. It is important here that this can only be transmitted unidirectionally in this direction at the physical level. If necessary, an additional clock line can be used TL from the inner transceiver TI to the outer transceiver TA are provided. To protect the inner transceiver TI this supplies the clock signals. If the interface requires feedback on the successful data transmission, an additional line ES can be provided for this on which the outer transceiver TA the inner transceiver TI reports this as a status bit.

Da vom inneren Transceiver TI zum äußeren Transceiver TA beliebige, auch vorher nicht festgelegte Inhalte übertragen werden können, ist die Kommunikation in dieser Richtung nicht eingeschränkt. So ist beispielsweise auch ein Update (Flashen) des gesamten Fahrzeugs über nur eine Schnittstelle möglich, sofern diese in dem Bereich des (sicherheitskritischen) inneren Fahrzeugbussystems BI liegt. Die Schnittstelle zwischen inneren Transceiver TI und äußeren Transceiver TA darf Tl-seitig auf Hardwareebene nicht geeignet sein, dessen Software zu ändern (z.B. Programmspeicher Flashen).As from the inner transceiver TI to the outer transceiver TA Any content, even previously not specified, can be transmitted, communication in this direction is not restricted. For example, an update (flashing) of the entire vehicle is also possible via just one interface, provided this is in the area of the (safety-critical) internal vehicle bus system BI lies. The interface between inner transceivers TI and outer transceiver TA On the Tl side, on the hardware level, it must not be suitable for changing its software (e.g. flashing program memory).

Der äußere Transceiver TA und der innere Transceiver TI können örtlich getrennt sein, können jedoch bei geeigneter Auslegung auch in einem Steuergerät, auf einer Platine oder sogar in einem Mikrochip untergebracht sein.The outer transceiver TA and the inner transceiver TI can be spatially separated, but with a suitable design can also be accommodated in a control unit, on a circuit board or even in a microchip.

Das sicherheitsrelevante Fahrzeugbussystem BI kann wirksam vor elektrischer Beschädigung durch das öffentlich zugängliche Fahrzeugbussystem TA geschützt werden, wenn in die Kommunikationsleitungen zwischen äußerem Transceiver TA und innerem Transceiver TI geeignete Bauelemente, z.B. Optokoppler, eingesetzt werden.The safety-relevant vehicle bus system BI can be effective against electrical damage through the publicly accessible vehicle bus system TA be protected when on the communication lines between the outside transceiver TA and inner transceiver TI suitable components, eg optocouplers, are used.

Eine Aktualisierung der Steuergeräte bzw. Module 31, 32, 33, 34, 35, 36 im inneren Fahrzeugbussystem BI erfordert physischen Zugang zu diesem, was in der Produktion oder in einer Werkstatt jedoch gegeben ist, wenn die entsprechende Schnittstelle dort vorgesehen wird. Da eine Softwareübertragung aus dem inneren in das äußere Fahrzeugbussystem BA möglich ist, ist hierbei nur ein Zugang erforderlich. Die beiden Netze, das innere Fahrzeugbussystem BI und das äußere Fahrzeugbussystem BA, müssen in diesem Falle nicht mit getrennten Prozessen aktualisiert werden.An update of the control units or modules 31 , 32 , 33 , 34 , 35 , 36 in the internal vehicle bus system BI requires physical access to it, which is however given in production or in a workshop if the corresponding interface is provided there. Since software transfer from the interior to the exterior vehicle bus system BA is possible, only one access is required here. The two networks, the internal vehicle bus system BI and the external vehicle bus system BA do not have to be updated with separate processes in this case.

Für Online-Updates des inneren Fahrzeugbussystems BI wird in 3 eine alternative Ausgestaltung eines Sicherheitsmoduls 101 zum Ersatz des Sicherheitsmoduls 100 vorgeschlagen. Dabei verfügt das innere Fahrzeugbussystem BI hierzu über ein Kommunikationsmodul KOMI (z.B. Mobilfunkmodem), welches von dem äußeren Fahrzeugbussystem BA getrennt ist, und das vorzugsweise nur bei Bedarf eingeschaltet wird. Erhöhte Schutzwirkung wird erzielt, in dem das innere Fahrzeugbussystem BI nicht permanent und/oder nur von legitimen Gegenstellen aus erreichbar ist. Online-Updates des äußeren Fahrzeugsystems erfolgen beispielsweise über die Telefonschnittstelle 14 oder die WLAN-Schnittstelle 18 oder, wie in 4 dargestellt, mittels einer alternativen Ausgestaltung des Sicherheitsmoduls 102 durch ein zusätzliches Kommunikationsmodul KOMA. In der Ausgestaltung von 4 ist das zusätzliche Kommunikationsmodul KOMA auf Leitungsebene zu jedem Zeitpunkt nur mit dem äußeren Fahrzeugbussystem BA verbunden. Statt eines zusätzlichen Kommunikationsmoduls KOMA ist es auch möglich ein gemeinsames Kommunikationsmodul zu nutzen. 5 zeigt solch eine alternative Ausgestaltung eines Sicherheitsmoduls 103 mit einem gemeinsamen Kommunikationsmodul KOM. Dieses Kommunikationsmodul kann jedoch nie gleichzeitig mit dem inneren Fahrzeugbussystem BI und mit dem äußeren Fahrzeugbussystem BA verbunden sein. Zur Trennung kann z.B. ein Halbleiterschalter oder Relais (Umschaltmodul UMS) benutzt werden, wie dies in 5 dargestellt ist. In diesem Ausführungsbeispiel ermöglicht das gemeinsame Kommunikationsmodul KOM Online-Updates des inneren Fahrzeugbussystems BI und des äußeren Fahrzeugbussystems BA.For online updates of the internal vehicle bus system BI is in 3 an alternative embodiment of a security module 101 to replace the safety module 100 suggested. The internal vehicle bus system has BI for this purpose via a communication module KOMI (for example cellular radio modem) which is separate from the external vehicle bus system BA and which is preferably only switched on when required. Increased protection is achieved in the internal vehicle bus system BI cannot be reached permanently and / or only from legitimate remote stations. Online updates of the external vehicle system take place, for example, via the telephone interface 14th or the WLAN interface 18th or, as in 4th shown, by means of an alternative embodiment of the security module 102 through an additional KOMA communication module. In the design of 4th the additional KOMA communication module at line level is only connected to the external vehicle bus system BA at any given time. Instead of an additional KOMA communication module, it is also possible to use a common communication module. 5 shows such an alternative embodiment of a security module 103 with a common communication module KOM. However, this communication module can never be used simultaneously with the internal vehicle bus system BI and be connected to the external vehicle bus system BA. A semiconductor switch or relay (changeover module UMS), for example, can be used for separation, as shown in 5 is shown. In this exemplary embodiment, the common communication module KOM enables online updates of the internal vehicle bus system BI and the external vehicle bus system BA.

In vorteilhafter Ausgestaltung ist vorgesehen, dass das innere Fahrzeugbussystem BI nicht permanent mit der Außenwelt verbunden ist, sodass sich die für Angriffe zur Verfügung stehende Zeit reduziert. Die Kommunikation kann temporär durch unterschiedliche Methoden aktiviert (vgl. Aktivierung im Sinne der Ansprüche) werden, beispielsweise:

  1. (i) Das innere Fahrzeugbussystem BI aktiviert (in einer bevorzugten Ausführungsform) in bestimmten Abständen die Kommunikation von sich aus. Um Vorhersagen zu erschweren, sollte dies nicht zu festen Zeiten erfolgen, sondern zufällig innerhalb eines Zeitraums, z.B. einmal am Tag. Wird die Kommunikation einmal am Tag zur Prüfung auf Updates für 30 Sekunden eingeschaltet, so ist das Kraftfahrzeug 1 nur ca. 0,035% eines Tages erreichbar. Updates können hierbei zwar nicht vom Server angestoßen und sofort verteilt werden, sondern erst, wenn das Kraftfahrzeug 1 die Kommunikation von sich aus aktiviert.
  2. (ii) Der Updateserver sendet zunächst an das äußere Fahrzeugbussystem BA die Information, dass Updates bereitstehen. Das äußere Fahrzeugbussystem BA aktiviert daraufhin die Kommunikation für das innere Fahrzeugbussystem Bl.
  3. (iii) Der Kunde/Bediener/Fahrer aktiviert die Kommunikation manuell, ggf. für eine automatisch begrenzte Zeit (Timer). Ein Hinweis, dass Updates verfügbar sind, könnte bei Bedarf vom äußeren Fahrzeugbussystem BA angezeigt werden, z.B. im HMI.
In an advantageous embodiment it is provided that the inner vehicle bus system BI is not permanently connected to the outside world, so that the time available for attacks is reduced. Communication can be temporarily activated using different methods (see activation in the sense of the claims), for example:
  1. (i) The internal vehicle bus system BI activates (in a preferred embodiment) communication on its own at certain intervals. To make predictions more difficult, this should not be done at fixed times, but randomly within a period, e.g. once a day. If the communication is switched on once a day to check for updates for 30 seconds, the motor vehicle is off 1 only about 0.035% achievable one day. Updates cannot be initiated by the server and distributed immediately, but only when the motor vehicle 1 activated communication on its own.
  2. (ii) The update server first sends the information that updates are available to the external vehicle bus system BA. The outer vehicle bus system BA then activates the communication for the inner vehicle bus system Bl.
  3. (iii) The customer / operator / driver activates the communication manually, if necessary for an automatically limited time (timer). A notice that updates are available could be displayed by the external vehicle bus system BA if necessary, for example in the HMI.

Eine Kommunikation baut das innere Fahrzeugbussystem BI in allen Fällen nur zu Gegenstellen (Server, Backend) auf, die sich als berechtigt ausweisen können (Whitelist), alle anderen Verbindungsversuche werden verweigert. Da IP-Adressen oder Domainnamen vergleichsweise einfach zu manipulieren sind, sollte die Authentifizierung der Gegenstelle nicht dadurch, sondern mittels kryptographisch gesicherter Merkmale erfolgen (im weiteren digitales Zertifikat genannt). Da Kommunikationsaufbau und Authentifizierung durch das innere Fahrzeugbussystem BI selbst erfolgen, kann das äußere Fahrzeugbussystem BA, auch wenn es manipuliert wurde, den Updateprozess nicht angreifen oder Daten verändern (man-in-the-middle-Attacke).The internal vehicle bus system builds a communication BI in all cases only to remote stations (server, backend) that can identify themselves as authorized (whitelist), all other connection attempts are refused. Since IP addresses or domain names are comparatively easy to manipulate, the authentication of the remote station should not be carried out by this, but by means of cryptographically secured features (hereinafter referred to as digital certificate). Since communication establishment and authentication by the internal vehicle bus system BI take place itself, the external vehicle bus system BA, even if it has been manipulated, cannot attack the update process or change data (man-in-the-middle attack).

Wird für jedes Fahrzeug ein eigenes fahrzeugspezifisches digitales Zertifikat verwendet, idealerweise fahrzeug- und gegenstellenseitig, werden Diebstahl oder Fälschung des Zertifikates erschwert, da sich mit einem entwendeten oder gefälschten digitalen Zertifikat nur ein einzelnes Fahrzeug angreifen lässt und nicht die gesamte Flotte. Umgekehrt lassen sich mit einem entwendeten oder gefälschten Fahrzeugzertifikat von der Gegenstelle nur Updates für ein Fahrzeug/Fahrzeugmodell herunterladen und nicht für unterschiedliche Fahrzeuge/Fahrzeugmodelle. Digitale Zertifikate sollten ein Ablaufdatum und/oder die Möglichkeit eines Wiederrufs besitzen, damit kompromittierte digitale Zertifikate ungültig gemacht werden können.If a separate vehicle-specific digital certificate is used for each vehicle, ideally on the vehicle and counterpart side, theft or falsification of the certificate is made more difficult, as a stolen or forged digital certificate can only attack a single vehicle and not the entire fleet. Conversely, a stolen or forged vehicle certificate can only be used to download updates for one vehicle / vehicle model from the remote station and not for different vehicles / vehicle models. Digital certificates should have an expiration date and / or the possibility of revocation so that compromised digital certificates can be invalidated.

Die Übertragung der Daten zwischen innerem Fahrzeugbussystem BI und Gegenstelle sollte zum Schutz der übertragenden Daten vor Manipulation oder Auslesen kryptographisch verschlüsselt erfolgen (siehe oben). Wird bei jeder Verbindung eine neue Verschlüsselung zwischen Fahrzeug und Gegenstelle ausgehandelt, so werden Angriffe erschwert, da entwendete Verschlüsselungsdaten kein zweites Mal verwendet werden können und manipulierte Verschlüsselungsdaten für jede Verbindung neu zu berechnen sind.The transfer of data between the internal vehicle bus system BI and remote station should be cryptographically encrypted to protect the transmitted data from manipulation or readout (see above). If a new encryption is negotiated between the vehicle and the remote station for each connection, attacks are made more difficult because stolen encryption data cannot be used a second time and manipulated encryption data must be recalculated for each connection.

Die vorliegende Offenbarung erlaubt in besonders geeigneter Weise Schutz vor Hackerangriffen bezüglich des sicherheitsrelevanten bzw. sicherheitskritischen Bereichs eines Kraftfahrzeugs auf der einen und Update-Fähigkeit auf der anderen Seite. Dabei wird auch in geeigneter Weise übergreifenden Funktionen Rechnung getragen. So liegt beispielsweise in dem vorliegenden Ausführungsbeispiel die Sporttaste 23 im nicht sicherheitsrelevanten Bereich des Kraftfahrzeuges 1, greift jedoch bei ihrer Aktivierung auf die sicherheitsrelevanten bzw. sicherheitskritischen Funktionen Motorsteuerung 31, ESP 32 und Getriebesteuerung 33 zu. Trotz dieser übergreifenden Bedienung stellt die vorliegende Offenbarung einen besonders geeigneten Schutz vor Hackerangriffen sicher.The present disclosure allows protection against hacker attacks with regard to the safety-relevant or safety-critical area of a motor vehicle on the one hand and update capability on the other in a particularly suitable manner. Overarching functions are also taken into account in a suitable manner. For example, in the present exemplary embodiment, the sports button is located 23 in the non-safety-relevant area of the motor vehicle 1 , however, when activated, accesses the safety-relevant or safety-critical functions of the engine control 31 , ESP 32 and transmission control 33 to. Despite this general operation, the present disclosure ensures particularly suitable protection against hacker attacks.

Claims (9)

Kraftfahrzeug (1) mit einem inneren Fahrzeugbussystem (Bl) sowie mit unmittelbar an das innere Fahrzeugbussystem (Bl) angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden Modulen (31), wobei das Kraftfahrzeug (1) ein äußeres Fahrzeugbussystem (BA) sowie unmittelbar an das äußere Fahrzeugbussystem (BA) angeschlossene nicht sicherheitsrelevante Module (15) aufweist, wobei das Kraftfahrzeug (1) ein Sicherheitsmodul (100, 101, 102, 103) zur datentechnischen Kopplung des inneren Fahrzeugbussystems (Bl) mit dem äußeren Fahrzeugbussystem (BA) aufweist, wobei das Sicherheitsmodul (100, 101, 102, 103) einen an das innere Fahrzeugbussystem (Bl) angeschlossenen inneren Transceiver (TI) und einen an das äußere Fahrzeugbussystem (BA) angeschlossenen äußeren Transceiver (TA) umfasst, wobei das Sicherheitsmodul (100, 101, 102, 103) eine erste eindirektionale Datenleitung (PDL) zur direkten Kopplung des äußeren Transceivers (TA) mit dem inneren Transceiver (TI) zwecks Übertragung von Daten von dem äußeren Transceiver (TA) zum inneren Transceiver (TI) und/oder eine zweite eindirektionale Datenleitung (SDL) zur direkten Kopplung des inneren Transceivers (TI) mit dem äußeren Transceiver (TA) zwecks Übertragung von Daten von dem inneren Transceiver (TI) zum äußeren Transceiver (TA) umfasst, dadurch gekennzeichnet, dass die erste Datenleitung parallele Signalleitungen und parallele Datenleitungen umfasst.Motor vehicle (1) with an internal vehicle bus system (Bl) and with modules (31) relating to the safety of the motor vehicle connected directly to the internal vehicle bus system (Bl), the motor vehicle (1) being an external vehicle bus system (BA) and directly connected to the external vehicle bus system (BA) has connected non-safety-relevant modules (15), the motor vehicle (1) having a safety module (100, 101, 102, 103) for the data-technical coupling of the internal vehicle bus system (Bl) with the external vehicle bus system (BA), the safety module (100, 101, 102, 103) comprises an inner transceiver (TI) connected to the inner vehicle bus system (Bl) and an outer transceiver (TA) connected to the outer vehicle bus system (BA), the security module (100, 101, 102, 103) a first unidirectional data line (PDL) for direct coupling of the outer transceiver (TA) with the inner transceiver (TI) for the purpose of transmitting data v from the outer transceiver (TA) to the inner transceiver (TI) and / or a second unidirectional data line (SDL) for direct coupling of the inner transceiver (TI) with the outer transceiver (TA) for the purpose of transmitting data from the inner transceiver (TI) to the outer transceiver (TA), characterized in that the first data line comprises parallel signal lines and parallel data lines. Kraftfahrzeug (1) nach Anspruch 1, dadurch gekennzeichnet, dass die zweite Datenleitung (SDL) eine serielle Datenleitung ist.Motor vehicle (1) according to Claim 1 , characterized in that the second data line (SDL) is a serial data line. Kraftfahrzeug (1) nach Anspruch 2, dadurch gekennzeichnet, dass der innere Transceiver (TI) derart ausgestaltet ist, dass er das Taktsignal für die serielle Datenleitung erzeugt und/oder, insbesondere mittels einer Takt-Datenleitung (TL), an den äußeren Transceiver (TA) überträgt.Motor vehicle (1) according to Claim 2 , characterized in that the inner transceiver (TI) is designed such that it generates the clock signal for the serial data line and / or transmits it to the outer transceiver (TA), in particular by means of a clock data line (TL). Kraftfahrzeug (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Sicherheitsmodul (100, 101, 102, 103) eine dritte eindirektionale Datenleitung (ES) zur, insbesondere direkten, Kopplung des äußeren Transceivers (TA) mit dem inneren Transceiver (TI) zwecks Übertragung von Empfangsbestätigungen von dem äußeren Transceiver (TA) zum inneren Transceiver (TI) umfasst.Motor vehicle (1) according to one of the preceding claims, characterized in that the security module (100, 101, 102, 103) has a third unidirectional data line (ES) for, in particular direct, coupling of the outer transceiver (TA) to the inner transceiver (TI ) for the purpose of transmitting acknowledgments of receipt from the outer transceiver (TA) to the inner transceiver (TI). Kraftfahrzeug (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der innere Transceiver (TI) eine Datenbasis (WL) mit zugelassenen Signalnummern und/oder gültigen Wertebereichen umfasst.Motor vehicle (1) according to one of the preceding claims, characterized in that the inner transceiver (TI) comprises a database (WL) with permitted signal numbers and / or valid value ranges. Kraftfahrzeug (1) nach Anspruch 5, dadurch gekennzeichnet, dass der innere Transceiver (TI) derart ausgestaltet ist, dass er nur Nachrichten an das innere Fahrzeugbussystem übermittelt, die aus gültigen Signalnummern und/oder gültigen Wertebereichen bestehen.Motor vehicle (1) according to Claim 5 , characterized in that the internal transceiver (TI) is designed such that it only transmits messages to the internal vehicle bus system which consist of valid signal numbers and / or valid value ranges. Kraftfahrzeug (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es auch ein, insbesondere drahtloses, Kommunikationsmodul (KOM, KOMI) umfasst, das mit dem inneren Transceiver (TI) gekoppelt und/oder verbunden ist.Motor vehicle (1) according to one of the preceding claims, characterized in that it also comprises a, in particular wireless, communication module (KOM, KOMI) which is coupled and / or connected to the inner transceiver (TI). Kraftfahrzeug (1) nach Anspruch 7, dadurch gekennzeichnet, dass Daten von dem Kommunikationsmodul (KOM, KOMI) an den inneren Transceiver (TI) und/oder ein sicherheitsrelevantes Modul nur nach einer Aktivierung übertragbar sind.Motor vehicle (1) according to Claim 7 , characterized in that data from the communication module (KOM, KOMI) to the inner transceiver (TI) and / or a safety-relevant module can only be transmitted after activation. Kraftfahrzeug (1) nach Anspruch 7, dadurch gekennzeichnet, dass Daten von dem Kommunikationsmodul (KOM, KOMI) an den inneren Transceiver (TI) und/oder ein sicherheitsrelevantes Modul nur innerhalb eines vorbestimmten Zeitintervalls nach einer Aktivierung übertragbar sind.Motor vehicle (1) according to Claim 7 , characterized in that data from the communication module (KOM, KOMI) to the inner transceiver (TI) and / or a safety-relevant module can only be transmitted within a predetermined time interval after activation.
DE102019201133.0A 2018-12-20 2019-01-29 Motor vehicle Active DE102019201133B4 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018222405 2018-12-20
DE102018222405.6 2018-12-20

Publications (2)

Publication Number Publication Date
DE102019201133A1 DE102019201133A1 (en) 2020-06-25
DE102019201133B4 true DE102019201133B4 (en) 2021-02-04

Family

ID=70969913

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019201133.0A Active DE102019201133B4 (en) 2018-12-20 2019-01-29 Motor vehicle

Country Status (1)

Country Link
DE (1) DE102019201133B4 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1309132A1 (en) * 2000-06-30 2003-05-07 Sumitomo Electric Industries Co., Ltd. On-vehicle gateway
US20160261561A1 (en) * 2015-03-04 2016-09-08 Electronics And Telecommunications Research Institute One-way gateway, and vehicle network system and method for protecting network within vehicle using one-way gateway
DE102016107450A1 (en) * 2016-04-04 2017-10-05 MB connect line GmbH Fernwartungssysteme Secure gateway

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6314351B1 (en) 1998-08-10 2001-11-06 Lear Automotive Dearborn, Inc. Auto PC firewall
DE102011084254A1 (en) 2011-10-11 2013-04-11 Zf Friedrichshafen Ag Communication system for a motor vehicle
ES2805290T3 (en) 2012-03-29 2021-02-11 Arilou Information Security Tech Ltd Device to protect an electronic system of a vehicle

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1309132A1 (en) * 2000-06-30 2003-05-07 Sumitomo Electric Industries Co., Ltd. On-vehicle gateway
US20160261561A1 (en) * 2015-03-04 2016-09-08 Electronics And Telecommunications Research Institute One-way gateway, and vehicle network system and method for protecting network within vehicle using one-way gateway
DE102016107450A1 (en) * 2016-04-04 2017-10-05 MB connect line GmbH Fernwartungssysteme Secure gateway

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Acknowledgement (data networks). In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 3. Dezember 2018, 19:08 UTC. URL: https://en.wikipedia.org/wiki/Acknowledgement_(data_networks) [abgerufen am 26.08.2019] *
Serial Peripheral Interface. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 22. Oktober 2018, 08:32 UTC. URL: https://de.wikipedia.org/wiki/Serial_Peripheral_Interface [abgerufen am 26.08.2019] *
Smart Meter Gateway. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 18. Dezember 2018, 22:30 UTC. URL: https://de.wikipedia.org/wiki/Smart_Meter_Gateway [abgerufen am 26.08.2019] *

Also Published As

Publication number Publication date
DE102019201133A1 (en) 2020-06-25

Similar Documents

Publication Publication Date Title
EP3278529B1 (en) Attack detection method, attack detection device and bus system for a motor vehicle
EP2705410B1 (en) Method and system for providing device-specific operator data for an automation device in an automation installation
DE102013003040B4 (en) Motor vehicle with later by application program changeable driving behavior and method for this purpose
DE102016218982B3 (en) Method for communicating vehicles
DE102010008816A1 (en) Method for online communication
DE102014205460A1 (en) In-vehicle communication system and in-vehicle relay
EP3332348B1 (en) Method for operating a motor vehicle, and system for operating a motor vehicle
WO2006133774A1 (en) Method and device enabling the component of a motor vehicle to reliably communicate with an external communication partner by means of a wireless communications connection
DE102011084254A1 (en) Communication system for a motor vehicle
DE112016005669T5 (en) On-board communication device, on-board communication system and method for prohibiting special processing for a vehicle
WO2003105504A1 (en) Remote control of a vehicle function via a mobile radio network
WO2018077528A1 (en) Detection of manipulations in a can network by checking can identifiers
DE102018212879A1 (en) Control device and control method
DE112018003038T5 (en) In-vehicle communication device, communication control method and communication control program
EP3688958B1 (en) System and method for the protected transmission of data
DE102017203185A1 (en) Motor vehicle with a divided into several separate domains data network and method for operating the data network
DE102016204999A1 (en) Method for monitoring the security of communication links of a vehicle
DE102019201133B4 (en) Motor vehicle
DE102011002713A1 (en) Method for providing cryptographic credentials for electronic control unit (ECU) of vehicle e.g. electric car, has control unit that deactivates vehicle drive for deleting cryptographic credentials in vehicle safety management unit
DE102014206545A1 (en) Method, communication system and data access node for transmitting data
EP3017432A1 (en) Secured communication device for a vehicle and vehicle system
EP3556122B1 (en) Method for operating a transmitting device of a motor vehicle, transmitting device for a motor vehicle, and motor vehicle
DE102014018110A1 (en) Method and system for the remote control of a vehicle or a vehicle function
EP3871393B1 (en) Method for monitoring a data transmission system, data transmission system and motor vehicle
WO2021078538A1 (en) Security system and method for filtering data traffic

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final