DE102019211570A1 - Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät - Google Patents
Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät Download PDFInfo
- Publication number
- DE102019211570A1 DE102019211570A1 DE102019211570.5A DE102019211570A DE102019211570A1 DE 102019211570 A1 DE102019211570 A1 DE 102019211570A1 DE 102019211570 A DE102019211570 A DE 102019211570A DE 102019211570 A1 DE102019211570 A1 DE 102019211570A1
- Authority
- DE
- Germany
- Prior art keywords
- anomaly
- vehicle
- operated
- environment
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05D—SYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
- G05D1/00—Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
- G05D1/0088—Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot characterized by the autonomous decision making process, e.g. artificial intelligence, predefined behaviours
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/65—Environment-dependent, e.g. using captured environmental data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
- B60R16/0232—Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2135—Metering
Abstract
Verfahren und Vorrichtung (100) zum Behandeln einer Anomalie an einem Gerät (110) insbesondere einem Steuergerät für eine Maschine oder ein Fahrzeug, wobei die Vorrichtung (100) in das Gerät (122) integriert ist, und einen Prozessor (102), eine Schnittstelle (104) und einen Speicher (106) für Instruktionen umfasst, wobei zur Behandlung von Angriffen auf das Gerät (122) eine Größe erfasst wird, die einen Betrieb des Geräts insbesondere im Fahrzeug oder eine Umgebung des Geräts (122) insbesondere im Fahrzeug definiert, wobei abhängig von der Größe eine Information bestimmt wird, die eine Umgebung charakterisiert, in der das Gerät (122) betrieben wird, wobei abhängig von einem Vergleich der Information über die Umgebung mit einer Information über eine Soll-Umgebung für den Betrieb des Geräts (122) insbesondere im Fahrzeug geprüft wird, ob eine Anomalie im Betrieb des Geräts (122) vorliegt oder nicht, wobei das Gerät (122), wenn keine Anomalie erkannt wird, in einem ersten Betriebsmodus mit einem ersten Funktionsumfang insbesondere für das Fahrzeug betrieben wird, und wobei das Gerät (122) in einem zweiten Betriebszustand mit einem gegenüber dem ersten Funktionsumfang reduzierten oder anderen zweiten Funktionsumfang betrieben wird, wenn eine Anomalie erkannt wird.
Description
- Stand der Technik
- Verfahren zur Angriffserkennung verwenden Network Intrusion Detection Systeme um aufgrund von Anomalien einen Angriff zu erkennen. Dadurch sind Angriffe mit bestimmten Angriffsvektoren gut erkennbar. Wünschenswert ist es, diese Verfahren zur Angriffserkennung weiter zu verbessern und auf die speziellen Gegebenheiten des Gebiets der Automobile anzupassen.
- Offenbarung der Erfindung
- Dies wird durch das Verfahren und die Vorrichtung nach den unabhängigen Ansprüchen erreicht.
- Das Verfahren zur Behandlung von Angriffen auf ein Gerät zur Steuerung einer Maschine, insbesondere eines Fahrzeugs oder einer Komponente eines Fahrzeugs sieht vor, dass wenigstens eine Größe erfasst wird, die einen Betrieb des Geräts insbesondere in einem Fahrzeug oder eine Umgebung des Geräts insbesondere in einem Fahrzeug definiert, wobei abhängig von der Größe eine Information bestimmt wird, die eine Umgebung charakterisiert, in der das Gerät betrieben wird, wobei abhängig von einem Vergleich der Information über die Umgebung mit einer Information über eine Soll-Umgebung für den Betrieb des Geräts insbesondere im Fahrzeug geprüft wird, ob eine Anomalie im Betrieb des Geräts vorliegt oder nicht, wobei das Gerät, wenn keine Anomalie erkannt wird, in einem ersten Betriebsmodus mit einem ersten Funktionsumfang insbesondere für das Fahrzeug betrieben wird, und wobei das Gerät in einem zweiten Betriebszustand mit einem gegenüber dem ersten Funktionsumfang reduzierten oder anderen zweiten Funktionsumfang betrieben wird, wenn eine Anomalie erkannt wird. Dadurch wird ein Angriff auf ein Steuergerät eines Fahrzeugs erkannt, wenn der Angriff außerhalb des Fahrzeugs selbst oder in einer das Fahrzeug nur unzureichend genau simulierenden Umgebung ausgeführt wird. Die Einschränkung der Funktion erschwert die Analyse und Fortsetzung des Angriffs oder vereitelt den Angriff gegenüber einem sich in Normalbetrieb befindlichen Steuergerät vollständig.
- Vorzugsweise charakterisiert die Größe eine Kommunikation des Geräts insbesondere in einem Kommunikationsnetzwerk. Ein Angriff mit einem häufig eingesetzten Angriffsvektor wird dadurch erschwert oder vereitelt.
- Bevorzugt ist vorgesehen, dass die Umgebung, in der das Gerät betrieben wird, durch Nachrichten für die Kommunikation charakterisiert ist, die kryptographisch gesichert gesendet werden, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass eine empfangene Nachricht in unbekannter oder unzulässiger Weise kryptographisch gesichert ist. Die zulässigen Schlüssel sind dem Angreifer üblicherweise unbekannt. Ein Angriff mit einem anderen Schlüssel wird dadurch erschwert oder vereitelt. Eine Verschlüsselung und Entschlüsselung mit einem kryptographischen Schlüsselpaar ist ein Beispiel für eine derartige kryptographische Sicherung. Eine empfangene Nachricht ist beispielsweise unzulässig, wenn sie mit einem unbekannten Schlüssel verschlüsselt ist.
- Vorzugsweise ist die Umgebung, in der das Gerät betrieben, durch wenigstens eine Gegenstelle für die Kommunikation außerhalb des Geräts charakterisiert, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass eine Nachricht von einer unbekannten Gegenstelle empfangen wird oder ein Empfang einer erwarteten Nachricht einer Gegenstelle unterbleibt. Der Angriff wird erschwert, da das bekannte Gerät außerhalb des üblichen Umfelds ebenfalls vorhanden sein muss, um den Angriff auszuführen. Das Verfahren kann beliebig auf alle Steuergeräte eines Fahrzeugs ausgedehnt werden, um damit das gesamte Fahrzeug abzusichern.
- Vorzugsweise wird bei einer kryptographisch gesicherten Kommunikation ein Botschaftszähler eingesetzt, der Information über einen Zusammenhang zwischen Nachrichten in der Kommunikation auswertet, wobei die Anomalie erkannt wird, wenn abhängig von einer Auswertung des Botschaftszählers ein unzulässiger oder unbekannter Zusammenhang zwischen den Nachrichten in der Kommunikation feststellt wird. Dieser verhindert wirkungsvoll das Aufzeichnen und später Abspielen der Kommunikation. Dies ist eine besonders wirkungsvolle Erkennungsmethode.
- Vorzugsweise charakterisiert die Größe eine Spannungs- oder Stromversorgung des Geräts insbesondere in einem Versorgungsnetzwerk des Fahrzeugs, wobei die Anomalie erkannt wird, wenn eine Abweichung eines Verlaufs der Spannungs- oder Stromversorgung von einem erwarteten Verlauf festgestellt wird. Die Spannungs- oder Stromversorgung eines Fahrzeugs schwankt abhängig vom Betriebszustand der einzelnen Komponenten. Das Wissen über die erlaubten Schwankungen ist einem Angreifer unbekannt. Durch diese Überwachung wird der Angriff zusätzlich erschwert.
- Vorzugsweise ist vorgesehen, dass die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf der Spannungs- oder Stromversorgung charakterisiert ist, wobei die Abweichung erkannt wird, wenn der Verlauf der Spannungs- oder Stromversorgung zumindest zeitweise einen konstanten Wert aufweist, oder wenn der Spannungs- oder Stromversorgung zumindest zeitweise Schwankungen innerhalb eines Bereichs um einen konstanten Wert aufweist. Eine außerhalb des Fahrzeugs eingesetzte Spannungs- oder Stromversorgung ist damit besonders einfach erkennbar.
- Vorzugsweise charakterisiert die Größe einen Strom aus einer Fotodiode oder durch einen Stromkreis, wobei die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf des Stroms charakterisiert, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass durch die Fotodiode Strom erzeugt wird, oder dass durch den Stromkreis kein Strom fließt. Dadurch ist ein bei vielen Angriffsvektoren erforderliches Öffnen des Steuergeräts einfach erkennbar.
- Vorzugsweise charakterisiert die Größe einen Ein- oder Abschaltvorgang des Geräts, wobei die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf des Ein- oder Abschaltvorgang des Geräts charakterisiert ist, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass der Ein- oder Abschaltvorgang des Geräts in einem Zeitintervall seltener als eine vorgegebene minimale Anzahl oder häufiger als eine vorgegebene maximale Anzahl ausgeführt wird oder bezüglich des Erreichens des ersten Betriebsmodus nur unvollständig ausgeführt oder abgebrochen wird. Steuergeräte werden in einem Fahrzeug nach bestimmten Vorgaben ein- oder abgeschaltet. Die Kenntnis über diese Vorgaben liegt dem Angreifer nicht vor. Dadurch wird ein Angriff, der häufige Ein- oder Abschaltvorgänge oder lange Betriebsdauer des Steuergeräts erfordert, einfach erkannt.
- Vorzugsweise wird das Gerät für eine vorgegebene Zeitdauer im zweiten Betriebsmodus betrieben, nachdem die Anomalie festgestellt wurde. Funktionen können im zweiten Betriebsmodus abgeschaltet sein. Damit wird ein Angriff auf diese Funktionen unterbunden.
- Vorzugsweise fehlen im zweiten Funktionsumfang Funktionen aus dem ersten Funktionsumfang, die eine privilegierte Funktion des Geräts charakterisieren. Privilegierte Funktionen werden im zweiten Betriebsmodus bevorzug abgeschaltet. Damit wird ein Angriff auf diese privilegierten Funktionen unterbunden.
- Bevorzugt wird ein Fehler in einem Fehlerspeicher gespeichert, wenn die Anomalie erkannt wird. Damit ist ein Angriff auch nachträglich erkennbar.
- Die Vorrichtung zum Behandeln einer Anomalie an einem Gerät insbesondere einem Steuergerät für eine Maschine oder ein Fahrzeug, dadurch gekennzeichnet, dass die Vorrichtung in das Gerät integriert ist, und einen Prozessor, eine Schnittstelle und einen Speicher für Instruktionen umfasst und ausgebildet ist das Verfahren auszuführen, wenn der Prozessor die Instruktionen ausführt.
- Vorzugsweise ist vorgesehen, dass die Schnittstelle als Kommunikationsschnittstelle für eine insbesondere kryptographisch gesicherte Kommunikation mit einer Gegenstelle außerhalb des Geräts ausgebildet ist, oder dass die Schnittstelle für eine Öffnungserkennung ausgebildet ist, insbesondere umfassend eine Fotodiode durch die bei geöffnetem Gehäuse des Geräts Strom erzeugt wird, oder einen Stromkreis, der bei einem geöffneten Gehäuse des Geräts geöffnet und bei geschlossenem Gehäuse geschlossen ist, oder dass die Schnittstelle als Strom- oder Spannungsmesseinrichtung ausgebildet ist, zum Erkennen eines Verlaufs eines Strom- oder Spannungsverlaufs einer Strom- oder Spannungsversorgung von außerhalb des Geräts.
- Weitere vorteilhafte Ausführungsformen ergeben sich aus der folgenden Beschreibung und der Zeichnung. In der Zeichnung zeigt:
-
1 eine schematische Darstellung einer Vorrichtung zur Behandlung einer Anomalie -
2 Schritte in einem Verfahren zur Behandlung einer Anomalie. -
1 stellt eine Vorrichtung100 zur Behandlung einer Anomalie an einem Gerät110 schematisch dar. Anomalie bezeichnet im Folgenden eine Abweichung eines Verhaltens von einem erwarteten Verhalten. Das erwartete Verhalten kann vorgegeben sein, oder in einem Normbetrieb, d.h. einem Betrieb ohne eine Anomalie, gelernt sein. Im Normbetrieb wird das Gerät110 in eine Soll-Umgebung betrieben. Das Gerät110 ist im Beispiel ein Steuergerät für ein Fahrzeug. Die Soll-Umgebung ist im Beispiel durch das Fahrzeug definiert, für das das Gerät110 nach der Straßenverkehrsordnung zugelassen und in das das Gerät110 aufgrund von Systemtests für die Zulassung getestet ist. Der Begriff Soll-Umgebung umfasst definierte Zustände und sowohl analoge als auch digitale Schnittstellen des Geräts110 . Die Umgebung, in der das Gerät110 betrieben wird, kann davon abweichen, beispielsweise wenn das Fahrzeug durch eine Simulationsumgebung ersetzt wird, oder das Gerät110 in einem Labor alleine betrieben wird. Es kann auch ein Steuergerät für eine andere Maschine derart ausgestaltet sein. In diesem Fall wird eine Umgebung der Maschine beispielsweise in einem industriellen Umfeld betrachtet. Das industrielle Umfeld weist ebenfalls bekannte, definierte Zustände auf. - Die Vorrichtung
100 ist im Beispiel in das Gerät110 integriert. Teile der Vorrichtung100 können auch außerhalb des Geräts110 angeordnet sein. - Die Vorrichtung
100 umfasst einen Prozessor102 , eine Schnittstelle104 und einen Speicher106 für Instruktionen. - Die Vorrichtung
100 ist ausgebildet das im Folgenden beschriebene Verfahren auszuführen, wenn der Prozessor102 die Instruktionen ausführt. Der Prozessor102 kann ein Mikrocontroller sein. Die im Folgenden beschriebenen Erkennungsmethoden lassen sich kombinieren. Damit wird eine Erkennungsgüte gegenüber einer einzelnen Erkennungsmethode weiter verbessert und Gegenmaßnahmen eines Angreifers deutlich erschwert. - Die Schnittstelle
104 kann als Kommunikationsschnittstelle114 für eine insbesondere kryptographisch gesicherte Kommunikation mit einer Gegenstelle122 außerhalb des Geräts110 ausgebildet sein. - Die Schnittstelle
104 kann für eine Öffnungserkennung ausgebildet sein. In diesem Fall kann die Schnittstelle104 eine Fotodiode116 umfassen, durch die bei geöffnetem Gehäuse112 des Geräts110 Strom erzeugt wird. Zusätzlich oder alternativ dazu kann die Schnittstelle104 einen Stromkreis118 umfassen, der bei einem geöffneten Gehäuse112 des Geräts110 geöffnet und bei geschlossenem Gehäuse112 geschlossen ist. - Die Schnittstelle
104 kann auch als Strom- oder Spannungsmesseinrichtung120 ausgebildet sein, zum Erkennen eines Verlaufs eines Strom- oder Spannungsverlaufs einer Strom- oder Spannungsversorgung124 von außerhalb des Geräts110 . -
2 zeigt Schritte in einem Verfahren zur Behandlung einer Anomalie. - Das Verfahren eignet sich zur Behandlung von Angriffen auf das Gerät
120 . Das Gerät120 ist im Beispiel zur Steuerung des Fahrzeugs oder zur Steuerung einer Komponente des Fahrzeugs ausgebildet. Das Verfahren wird vorzugsweise kontinuierlich ausgeführt, wenn das Fahrzeug betrieben wird. - In einem Schritt
202 wird eine Größe erfasst, die einen Betrieb des Geräts120 insbesondere im Fahrzeug oder eine Umgebung des Geräts120 insbesondere im Fahrzeug definiert. Wenn das Gerät120 für einen Angriff aus dem Fahrzeug ausgebaut ist, charakterisiert die Größe die Angriffsumgebung.
Die Größe charakterisiert beispielsweise eine Kommunikation des Geräts120 insbesondere in einem Kommunikationsnetzwerk. - In einem anschließenden Schritt
204 wird abhängig von der Größe eine Information bestimmt, die eine Umgebung charakterisiert, in der das Gerät betrieben wird. Die Umgebung, in der das Gerät120 betrieben wird, ist beispielsweises durch Nachrichten für die Kommunikation charakterisiert, die kryptographisch gesichert gesendet werden. Die Umgebung, in der das Gerät betrieben wird, kann auch durch eine Gegenstelle für die Kommunikation außerhalb des Geräts charakterisiert sein. - Bei einer kryptographisch gesicherten Kommunikation kann ein Botschaftszähler eingesetzt werden, der Information über einen Zusammenhang zwischen Nachrichten in der Kommunikation auswertet.
- Abhängig von einem Vergleich der Information über die Umgebung mit einer Information über eine Soll-Umgebung für den Betrieb des Geräts insbesondere im Fahrzeug wird in einem Anschließenden Schritt
206 geprüft, ob eine Anomalie im Betrieb des Geräts vorliegt oder nicht. Die Anomalie wird beispielsweise erkannt, wenn festgestellt wird, dass eine empfangene Nachricht in unbekannter oder unzulässiger Weise kryptographisch gesichert ist. Die Anomalie kann auch erkannt werden, wenn festgestellt wird, dass eine Nachricht von einer unbekannten Gegenstelle empfangen wird oder ein Empfang einer erwarteten Nachricht einer Gegenstelle unterbleibt. - Die Anomalie kann erkannt werden, wenn abhängig von einer Auswertung des Botschaftszählers ein unzulässiger oder unbekannter Zusammenhang zwischen den Nachrichten in der Kommunikation feststellt wird.
- Wenn keine Anomalie erkannt wird, wird ein Schritt
208 ausgeführt. Anderenfalls wird ein Schritt210 ausgeführt. - Im Schritt
208 wird das Gerät120 , wenn keine Anomalie erkannt wird, in einem ersten Betriebsmodus mit einem ersten Funktionsumfang insbesondere für das Fahrzeug betrieben. Anschließend wird der Schritt202 ausgeführt. - Im Schritt
210 wird das Gerät in einem zweiten Betriebszustand mit einem gegenüber dem ersten Funktionsumfang reduzierten oder anderen zweiten Funktionsumfang betrieben, wenn eine Anomalie erkannt wird. Im zweiten Funktionsumfang fehlen beispielsweise Funktionen aus dem ersten Funktionsumfang, die eine privilegierte Funktion des Geräts charakterisieren. - In einem anschließenden Schritt
212 wird ein Fehler in einem Fehlerspeicher gespeichert, wenn die Anomalie erkannt wird. Dieser Schritt ist optional. Es kann Information über die Art des Fehlers gespeichert werden. - Anschließend wird in einem Schritt
214 geprüft, ob das Gerät120 für eine vorgegebene Zeitdauer im zweiten Betriebsmodus betrieben wurde, nachdem die Anomalie festgestellt wurde. Dieser Schritt ist optional. Wenn die Zeitdauer erreicht oder überschritten ist, wird der Schritt202 ausgeführt. Anderenfalls wird der Schritt210 ausgeführt. - Anstelle der Überwachung der Kommunikation, oder zusätzlich dazu, können andere Überwachungen verwendet werden.
- Die Größe kann eine Spannungs- oder Stromversorgung des Geräts
120 insbesondere in einem Versorgungsnetzwerk des Fahrzeugs charakterisieren. Die Umgebung, in der das Gerät betrieben wird, kann in diesem Fall durch einen Verlauf der Spannungs- oder Stromversorgung charakterisiert sein. - Die Anomalie wird in diesem Fall erkannt, wenn eine Abweichung eines Verlaufs der Spannungs- oder Stromversorgung von einem erwarteten Verlauf festgestellt wird. Die Abweichung wird beispielsweise erkannt, wenn der Verlauf der Spannungs- oder Stromversorgung zumindest zeitweise einen konstanten Wert aufweist, oder wenn der Spannungs- oder Stromversorgung zumindest zeitweise Schwankungen innerhalb eines Bereichs um einen konstanten Wert aufweist.
- Die Größe kann durch einen Strom aus einer Fotodiode oder durch einen Stromkreis charakterisiert sein. Die Umgebung, in der das Gerät betrieben wird, ist in diesem Fall durch einen Verlauf des Stroms charakterisiert. Die Anomalie wird beispielsweise erkannt, wenn festgestellt wird, dass durch die Fotodiode Strom erzeugt wird, oder dass durch den Stromkreis kein Strom fließt.
- Die Größe kann eine Ein- oder Abschaltvorgang des Geräts charakterisieren. Die Umgebung, in der das Gerät betrieben wird, kann in diesem Fall durch einen Verlauf des Ein- oder Abschaltvorgang des Geräts
120 charakterisiert sein. Die Anomalie wird beispielsweise erkannt, wenn festgestellt wird, dass der Ein- oder Abschaltvorgang des Geräts in einem Zeitintervall seltener als eine vorgegebene minimale Anzahl oder häufiger als eine vorgegebene maximale Anzahl ausgeführt wird. Die Anomalie kann beispielsweise erkannt werden, wenn der Ein- oder Abschaltvorgang des Geräts120 bezüglich des Erreichens des ersten Betriebsmodus nur unvollständig ausgeführt oder abgebrochen wird.
Claims (16)
- Verfahren zur Behandlung von Angriffen auf ein Gerät zur Steuerung einer Maschine, insbesondere eines Fahrzeugs oder einer Komponente eines Fahrzeugs, dadurch gekennzeichnet, dass wenigstens eine Größe erfasst wird (202), die einen Betrieb des Geräts insbesondere in einem Fahrzeug oder eine Umgebung des Geräts insbesondere in einem Fahrzeug definiert, wobei abhängig von der Größe eine Information bestimmt wird (204), die eine Umgebung charakterisiert, in der das Gerät betrieben wird, wobei abhängig von einem Vergleich der Information über die Umgebung mit einer Information über eine Soll-Umgebung für den Betrieb des Geräts insbesondere im Fahrzeug geprüft wird (206), ob eine Anomalie im Betrieb des Geräts vorliegt oder nicht, wobei das Gerät, wenn keine Anomalie erkannt wird, in einem ersten Betriebsmodus mit einem ersten Funktionsumfang insbesondere für das Fahrzeug betrieben wird (208), und wobei das Gerät in einem zweiten Betriebszustand mit einem gegenüber dem ersten Funktionsumfang reduzierten oder anderen zweiten Funktionsumfang betrieben wird (210), wenn eine Anomalie erkannt wird.
- Verfahren nach
Anspruch 1 , dadurch gekennzeichnet, dass die Größe eine Kommunikation des Geräts insbesondere in einem Kommunikationsnetzwerk charakterisiert. - Verfahren nach
Anspruch 2 , dadurch gekennzeichnet, dass die Umgebung, in der das Gerät betrieben wird, durch Nachrichten für die Kommunikation charakterisiert ist, die kryptographisch gesichert gesendet werden, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass eine empfangene Nachricht in unbekannter oder unzulässiger Weise kryptographisch gesichert ist. - Verfahren nach
Anspruch 2 oder3 , dadurch gekennzeichnet, dass die Umgebung, in der das Gerät betrieben wird, durch wenigstens eine Gegenstelle für die Kommunikation außerhalb des Geräts charakterisiert ist, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass eine Nachricht von einer unbekannten Gegenstelle empfangen wird oder ein Empfang einer erwarteten Nachricht einer Gegenstelle unterbleibt. - Verfahren nach einem der
Ansprüche 2 bis4 , dadurch gekennzeichnet, dass bei einer kryptographisch gesicherten Kommunikation ein Botschaftszähler eingesetzt wird, der Information über einen Zusammenhang zwischen Nachrichten in der Kommunikation auswertet, wobei die Anomalie erkannt wird, wenn abhängig von einer Auswertung des Botschaftszählers ein unzulässiger oder unbekannter Zusammenhang zwischen den Nachrichten in der Kommunikation feststellt wird. - Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Größe eine Spannungs- oder Stromversorgung des Geräts insbesondere in einem Versorgungsnetzwerk des Fahrzeugs charakterisiert, wobei die Anomalie erkannt wird, wenn eine Abweichung eines Verlaufs der Spannungs- oder Stromversorgung von einem erwarteten Verlauf festgestellt wird.
- Verfahren nach
Anspruch 6 , dadurch gekennzeichnet, dass die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf der Spannungs- oder Stromversorgung charakterisiert ist, wobei die Abweichung erkannt wird, wenn der Verlauf der Spannungs- oder Stromversorgung zumindest zeitweise einen konstanten Wert aufweist, oder wenn der Spannungs- oder Stromversorgung zumindest zeitweise Schwankungen innerhalb eines Bereichs um einen konstanten Wert aufweist. - Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Größe einen Strom aus einer Fotodiode oder durch einen Stromkreis charakterisiert, wobei die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf des Stroms charakterisiert, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass durch die Fotodiode Strom erzeugt wird, oder dass durch den Stromkreis kein Strom fließt.
- Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Größe einen Ein- oder Abschaltvorgang des Geräts charakterisiert, wobei die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf des Ein- oder Abschaltvorgang des Geräts charakterisiert ist, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass der Ein- oder Abschaltvorgang des Geräts in einem Zeitintervall seltener als eine vorgegebene minimale Anzahl oder häufiger als eine vorgegebene maximale Anzahl ausgeführt wird oder bezüglich des Erreichens des ersten Betriebsmodus nur unvollständig ausgeführt oder abgebrochen wird.
- Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass das Gerät für eine vorgegebene Zeitdauer im zweiten Betriebsmodus betrieben wird (214), nachdem die Anomalie festgestellt wurde.
- Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass im zweiten Funktionsumfang Funktionen aus dem ersten Funktionsumfang fehlen, die eine privilegierte Funktion des Geräts charakterisieren.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Fehler in einem Fehlerspeicher gespeichert wird, wenn die Anomalie erkannt wird (212).
- Vorrichtung (100) zum Behandeln einer Anomalie an einem Gerät (110) insbesondere einem Steuergerät für eine Maschine oder ein Fahrzeug, dadurch gekennzeichnet, dass die Vorrichtung (100) in das Gerät (122) integriert ist, und einen Prozessor (102), eine Schnittstelle (104) und einen Speicher (106) für Instruktionen umfasst und ausgebildet ist das Verfahren nach einem der
Ansprüche 1 bis12 auszuführen, wenn der Prozessor (102) die Instruktionen ausführt. - Vorrichtung nach
Anspruch 13 , dadurch gekennzeichnet, dass die Schnittstelle (104) als Kommunikationsschnittstelle für eine insbesondere kryptographisch gesicherte Kommunikation mit einer Gegenstelle (122) außerhalb des Geräts (110) ausgebildet ist, oder dass die Schnittstelle (104) für eine Öffnungserkennung ausgebildet ist, insbesondere umfassend eine Fotodiode (116) durch die bei geöffnetem Gehäuse (112) des Geräts (110) Strom erzeugt wird, oder einen Stromkreis (118), der bei einem geöffneten Gehäuse (112) des Geräts (110) geöffnet und bei geschlossenem Gehäuse (112) geschlossen ist, oder dass die Schnittstelle (104) als Strom- oder Spannungsmesseinrichtung (120) ausgebildet ist, zum Erkennen eines Verlaufs eines Strom- oder Spannungsverlaufs einer Strom- oder Spannungsversorgung (124) von außerhalb des Geräts (110). - Computerprogramm, dadurch gekennzeichnet, dass das Computerprogramm computerlesbare Instruktionen umfasst, bei deren Ausführen auf einem Computer ein Verfahren nach einem der
Ansprüche 1 bis12 abläuft. - Computerprogrammprodukt, gekennzeichnet durch ein maschinenlesbares Speichermedium, auf dem das Computerprogramm nach
Anspruch 15 gespeichert ist.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019211570.5A DE102019211570A1 (de) | 2019-08-01 | 2019-08-01 | Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät |
US16/896,803 US11777968B2 (en) | 2019-08-01 | 2020-06-09 | Method and device for handling an anomaly at a control unit |
CN202010756831.7A CN112307471A (zh) | 2019-08-01 | 2020-07-31 | 用于处理控制设备处的异常的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019211570.5A DE102019211570A1 (de) | 2019-08-01 | 2019-08-01 | Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102019211570A1 true DE102019211570A1 (de) | 2021-02-04 |
Family
ID=74175009
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102019211570.5A Pending DE102019211570A1 (de) | 2019-08-01 | 2019-08-01 | Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät |
Country Status (3)
Country | Link |
---|---|
US (1) | US11777968B2 (de) |
CN (1) | CN112307471A (de) |
DE (1) | DE102019211570A1 (de) |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1104213A3 (de) * | 1999-11-29 | 2003-05-21 | Philips Intellectual Property & Standards GmbH | Drahtloses Netzwerk mit einer Prozedur zur Schlüsseländerung |
DE10128305A1 (de) * | 2001-06-12 | 2002-12-19 | Giesecke & Devrient Gmbh | Steuereinheit |
WO2009115864A1 (en) * | 2008-03-19 | 2009-09-24 | Freescale Semiconductor, Inc. | A method for protecting a cryptographic module and a device having cryptographic module protection capabilities |
JP2014058210A (ja) * | 2012-09-18 | 2014-04-03 | Hitachi Automotive Systems Ltd | 車両制御装置および車両制御システム |
US9578763B1 (en) * | 2014-05-22 | 2017-02-21 | Square, Inc. | Tamper detection using internal power signal |
JP2016115080A (ja) * | 2014-12-12 | 2016-06-23 | 株式会社オートネットワーク技術研究所 | 情報処理装置 |
WO2017060511A1 (en) * | 2015-10-08 | 2017-04-13 | Sicpa Holding Sa | Secure delivery system, logging module and access controlled container |
CN106209034B (zh) * | 2016-07-22 | 2019-01-18 | 天津大学 | 一种用于抗攻击芯片的高频时钟频率检测结构 |
US9941880B1 (en) * | 2016-11-16 | 2018-04-10 | Xilinx, Inc. | Secure voltage regulator |
US10721253B2 (en) * | 2017-09-21 | 2020-07-21 | Hewlett Packard Enterprise Development Lp | Power circuitry for security circuitry |
EP3604049B1 (de) * | 2018-08-03 | 2022-10-05 | Aptiv Technologies Limited | Sichere fahrzeugsteuereinheit |
US20200074120A1 (en) * | 2018-08-29 | 2020-03-05 | Varex Imaging Corporation | Anti-tamper circuitry |
-
2019
- 2019-08-01 DE DE102019211570.5A patent/DE102019211570A1/de active Pending
-
2020
- 2020-06-09 US US16/896,803 patent/US11777968B2/en active Active
- 2020-07-31 CN CN202010756831.7A patent/CN112307471A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
US11777968B2 (en) | 2023-10-03 |
CN112307471A (zh) | 2021-02-02 |
US20210037034A1 (en) | 2021-02-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102012217743B4 (de) | Überprüfung einer Integrität von Eigenschaftsdaten eines Gerätes durch ein Prüfgerät | |
EP3662639B1 (de) | Verfahren und vorrichtung zum ermitteln von anomalien in einem kommunikationsnetzwerk | |
EP2908195B1 (de) | Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk | |
EP3430558B1 (de) | Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand | |
DE102018201718A1 (de) | Verfahren und Vorrichtung zur Erkennung einer Anomalie in einem Datenstrom in einem Kommunikationsnetzwerk | |
DE102015221239A1 (de) | Verfahren und Vorrichtung zum Schützen von Datenintegrität durch ein eingebettetes System mit einem Hauptprozessorkern und einem Sicherheitshardwarebaustein | |
DE10207412A1 (de) | Funkenfeststellung | |
DE102019211570A1 (de) | Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät | |
DE102020130166A1 (de) | Vorrichtungen und verfahren für die sichere datenprotokollierung | |
DE112017001052T5 (de) | Erkennungssystem, Webanwendungsvorrichtung, Webanwendungs-Firewallvorrichtung, Erkennungsverfahren für Erkennungssystem, Erkennungsverfahren für Webanwendungsvorrichtung und Erkennungsverfahren für Webanwendungs-Firewallvorrichtung | |
DE102017000477A1 (de) | Leiterprogrammanzeigevorrichtung mit automatischer Verfolgungsfunktion für eine Selbsthalteschaltung des Leiterprogramms | |
EP1986062B1 (de) | Steuervorrichtung und Steuerverfahren für ein elektrisches Haushaltsgerät | |
DE102017217301A1 (de) | Verfahren und Vorrichtung zum unmittelbaren und rückwirkungsfreien Übertragen von Log-Nachrichten | |
DE102019106912A1 (de) | Gefährdungserfassungssystem | |
DE102019113206A1 (de) | Verfahren und Steuergerät zur Diagnose einer Komponente eines Fahrzeugs | |
CN113132307B (zh) | 检测车内can网络遭受非法行为的方法、装置及存储介质 | |
EP4036739A1 (de) | Fehleranfälligkeit einer build-pipeline | |
DE102022210264A1 (de) | Verfahren zur Erkennung von potenziellen Datenexfiltrationsangriffen bei wenigstens einem Softwarepaket | |
DE102015222968A1 (de) | Betriebsverfahren für eine elektronische Vorrichtung und elektronische Vorrichtung | |
EP3846055A1 (de) | Verfahren zum integrationsschutz eines gerätes | |
CN109255233B (zh) | 一种漏洞检测方法及装置 | |
EP3859580A1 (de) | Wirksamkeit einer geräteintegritätsüberwachung | |
DE102021204707A1 (de) | Verfahren zum Testen einer Einrichtung | |
DE102005040977A1 (de) | Einrichtung und Verfahren zur Untersuchung der Sicherheit einer technischen Einrichtung | |
DE102023004446A1 (de) | Reaktion auf Cyberattacken auf ein elektrisches Fahrzeug |