DE102019211570A1 - Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät - Google Patents

Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät Download PDF

Info

Publication number
DE102019211570A1
DE102019211570A1 DE102019211570.5A DE102019211570A DE102019211570A1 DE 102019211570 A1 DE102019211570 A1 DE 102019211570A1 DE 102019211570 A DE102019211570 A DE 102019211570A DE 102019211570 A1 DE102019211570 A1 DE 102019211570A1
Authority
DE
Germany
Prior art keywords
anomaly
vehicle
operated
environment
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019211570.5A
Other languages
English (en)
Inventor
Martin Ring
Michael Weber
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102019211570.5A priority Critical patent/DE102019211570A1/de
Priority to US16/896,803 priority patent/US11777968B2/en
Priority to CN202010756831.7A priority patent/CN112307471A/zh
Publication of DE102019211570A1 publication Critical patent/DE102019211570A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05DSYSTEMS FOR CONTROLLING OR REGULATING NON-ELECTRIC VARIABLES
    • G05D1/00Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot
    • G05D1/0088Control of position, course or altitude of land, water, air, or space vehicles, e.g. automatic pilot characterized by the autonomous decision making process, e.g. artificial intelligence, predefined behaviours
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/65Environment-dependent, e.g. using captured environmental data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2135Metering

Abstract

Verfahren und Vorrichtung (100) zum Behandeln einer Anomalie an einem Gerät (110) insbesondere einem Steuergerät für eine Maschine oder ein Fahrzeug, wobei die Vorrichtung (100) in das Gerät (122) integriert ist, und einen Prozessor (102), eine Schnittstelle (104) und einen Speicher (106) für Instruktionen umfasst, wobei zur Behandlung von Angriffen auf das Gerät (122) eine Größe erfasst wird, die einen Betrieb des Geräts insbesondere im Fahrzeug oder eine Umgebung des Geräts (122) insbesondere im Fahrzeug definiert, wobei abhängig von der Größe eine Information bestimmt wird, die eine Umgebung charakterisiert, in der das Gerät (122) betrieben wird, wobei abhängig von einem Vergleich der Information über die Umgebung mit einer Information über eine Soll-Umgebung für den Betrieb des Geräts (122) insbesondere im Fahrzeug geprüft wird, ob eine Anomalie im Betrieb des Geräts (122) vorliegt oder nicht, wobei das Gerät (122), wenn keine Anomalie erkannt wird, in einem ersten Betriebsmodus mit einem ersten Funktionsumfang insbesondere für das Fahrzeug betrieben wird, und wobei das Gerät (122) in einem zweiten Betriebszustand mit einem gegenüber dem ersten Funktionsumfang reduzierten oder anderen zweiten Funktionsumfang betrieben wird, wenn eine Anomalie erkannt wird.

Description

  • Stand der Technik
  • Verfahren zur Angriffserkennung verwenden Network Intrusion Detection Systeme um aufgrund von Anomalien einen Angriff zu erkennen. Dadurch sind Angriffe mit bestimmten Angriffsvektoren gut erkennbar. Wünschenswert ist es, diese Verfahren zur Angriffserkennung weiter zu verbessern und auf die speziellen Gegebenheiten des Gebiets der Automobile anzupassen.
  • Offenbarung der Erfindung
  • Dies wird durch das Verfahren und die Vorrichtung nach den unabhängigen Ansprüchen erreicht.
  • Das Verfahren zur Behandlung von Angriffen auf ein Gerät zur Steuerung einer Maschine, insbesondere eines Fahrzeugs oder einer Komponente eines Fahrzeugs sieht vor, dass wenigstens eine Größe erfasst wird, die einen Betrieb des Geräts insbesondere in einem Fahrzeug oder eine Umgebung des Geräts insbesondere in einem Fahrzeug definiert, wobei abhängig von der Größe eine Information bestimmt wird, die eine Umgebung charakterisiert, in der das Gerät betrieben wird, wobei abhängig von einem Vergleich der Information über die Umgebung mit einer Information über eine Soll-Umgebung für den Betrieb des Geräts insbesondere im Fahrzeug geprüft wird, ob eine Anomalie im Betrieb des Geräts vorliegt oder nicht, wobei das Gerät, wenn keine Anomalie erkannt wird, in einem ersten Betriebsmodus mit einem ersten Funktionsumfang insbesondere für das Fahrzeug betrieben wird, und wobei das Gerät in einem zweiten Betriebszustand mit einem gegenüber dem ersten Funktionsumfang reduzierten oder anderen zweiten Funktionsumfang betrieben wird, wenn eine Anomalie erkannt wird. Dadurch wird ein Angriff auf ein Steuergerät eines Fahrzeugs erkannt, wenn der Angriff außerhalb des Fahrzeugs selbst oder in einer das Fahrzeug nur unzureichend genau simulierenden Umgebung ausgeführt wird. Die Einschränkung der Funktion erschwert die Analyse und Fortsetzung des Angriffs oder vereitelt den Angriff gegenüber einem sich in Normalbetrieb befindlichen Steuergerät vollständig.
  • Vorzugsweise charakterisiert die Größe eine Kommunikation des Geräts insbesondere in einem Kommunikationsnetzwerk. Ein Angriff mit einem häufig eingesetzten Angriffsvektor wird dadurch erschwert oder vereitelt.
  • Bevorzugt ist vorgesehen, dass die Umgebung, in der das Gerät betrieben wird, durch Nachrichten für die Kommunikation charakterisiert ist, die kryptographisch gesichert gesendet werden, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass eine empfangene Nachricht in unbekannter oder unzulässiger Weise kryptographisch gesichert ist. Die zulässigen Schlüssel sind dem Angreifer üblicherweise unbekannt. Ein Angriff mit einem anderen Schlüssel wird dadurch erschwert oder vereitelt. Eine Verschlüsselung und Entschlüsselung mit einem kryptographischen Schlüsselpaar ist ein Beispiel für eine derartige kryptographische Sicherung. Eine empfangene Nachricht ist beispielsweise unzulässig, wenn sie mit einem unbekannten Schlüssel verschlüsselt ist.
  • Vorzugsweise ist die Umgebung, in der das Gerät betrieben, durch wenigstens eine Gegenstelle für die Kommunikation außerhalb des Geräts charakterisiert, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass eine Nachricht von einer unbekannten Gegenstelle empfangen wird oder ein Empfang einer erwarteten Nachricht einer Gegenstelle unterbleibt. Der Angriff wird erschwert, da das bekannte Gerät außerhalb des üblichen Umfelds ebenfalls vorhanden sein muss, um den Angriff auszuführen. Das Verfahren kann beliebig auf alle Steuergeräte eines Fahrzeugs ausgedehnt werden, um damit das gesamte Fahrzeug abzusichern.
  • Vorzugsweise wird bei einer kryptographisch gesicherten Kommunikation ein Botschaftszähler eingesetzt, der Information über einen Zusammenhang zwischen Nachrichten in der Kommunikation auswertet, wobei die Anomalie erkannt wird, wenn abhängig von einer Auswertung des Botschaftszählers ein unzulässiger oder unbekannter Zusammenhang zwischen den Nachrichten in der Kommunikation feststellt wird. Dieser verhindert wirkungsvoll das Aufzeichnen und später Abspielen der Kommunikation. Dies ist eine besonders wirkungsvolle Erkennungsmethode.
  • Vorzugsweise charakterisiert die Größe eine Spannungs- oder Stromversorgung des Geräts insbesondere in einem Versorgungsnetzwerk des Fahrzeugs, wobei die Anomalie erkannt wird, wenn eine Abweichung eines Verlaufs der Spannungs- oder Stromversorgung von einem erwarteten Verlauf festgestellt wird. Die Spannungs- oder Stromversorgung eines Fahrzeugs schwankt abhängig vom Betriebszustand der einzelnen Komponenten. Das Wissen über die erlaubten Schwankungen ist einem Angreifer unbekannt. Durch diese Überwachung wird der Angriff zusätzlich erschwert.
  • Vorzugsweise ist vorgesehen, dass die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf der Spannungs- oder Stromversorgung charakterisiert ist, wobei die Abweichung erkannt wird, wenn der Verlauf der Spannungs- oder Stromversorgung zumindest zeitweise einen konstanten Wert aufweist, oder wenn der Spannungs- oder Stromversorgung zumindest zeitweise Schwankungen innerhalb eines Bereichs um einen konstanten Wert aufweist. Eine außerhalb des Fahrzeugs eingesetzte Spannungs- oder Stromversorgung ist damit besonders einfach erkennbar.
  • Vorzugsweise charakterisiert die Größe einen Strom aus einer Fotodiode oder durch einen Stromkreis, wobei die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf des Stroms charakterisiert, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass durch die Fotodiode Strom erzeugt wird, oder dass durch den Stromkreis kein Strom fließt. Dadurch ist ein bei vielen Angriffsvektoren erforderliches Öffnen des Steuergeräts einfach erkennbar.
  • Vorzugsweise charakterisiert die Größe einen Ein- oder Abschaltvorgang des Geräts, wobei die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf des Ein- oder Abschaltvorgang des Geräts charakterisiert ist, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass der Ein- oder Abschaltvorgang des Geräts in einem Zeitintervall seltener als eine vorgegebene minimale Anzahl oder häufiger als eine vorgegebene maximale Anzahl ausgeführt wird oder bezüglich des Erreichens des ersten Betriebsmodus nur unvollständig ausgeführt oder abgebrochen wird. Steuergeräte werden in einem Fahrzeug nach bestimmten Vorgaben ein- oder abgeschaltet. Die Kenntnis über diese Vorgaben liegt dem Angreifer nicht vor. Dadurch wird ein Angriff, der häufige Ein- oder Abschaltvorgänge oder lange Betriebsdauer des Steuergeräts erfordert, einfach erkannt.
  • Vorzugsweise wird das Gerät für eine vorgegebene Zeitdauer im zweiten Betriebsmodus betrieben, nachdem die Anomalie festgestellt wurde. Funktionen können im zweiten Betriebsmodus abgeschaltet sein. Damit wird ein Angriff auf diese Funktionen unterbunden.
  • Vorzugsweise fehlen im zweiten Funktionsumfang Funktionen aus dem ersten Funktionsumfang, die eine privilegierte Funktion des Geräts charakterisieren. Privilegierte Funktionen werden im zweiten Betriebsmodus bevorzug abgeschaltet. Damit wird ein Angriff auf diese privilegierten Funktionen unterbunden.
  • Bevorzugt wird ein Fehler in einem Fehlerspeicher gespeichert, wenn die Anomalie erkannt wird. Damit ist ein Angriff auch nachträglich erkennbar.
  • Die Vorrichtung zum Behandeln einer Anomalie an einem Gerät insbesondere einem Steuergerät für eine Maschine oder ein Fahrzeug, dadurch gekennzeichnet, dass die Vorrichtung in das Gerät integriert ist, und einen Prozessor, eine Schnittstelle und einen Speicher für Instruktionen umfasst und ausgebildet ist das Verfahren auszuführen, wenn der Prozessor die Instruktionen ausführt.
  • Vorzugsweise ist vorgesehen, dass die Schnittstelle als Kommunikationsschnittstelle für eine insbesondere kryptographisch gesicherte Kommunikation mit einer Gegenstelle außerhalb des Geräts ausgebildet ist, oder dass die Schnittstelle für eine Öffnungserkennung ausgebildet ist, insbesondere umfassend eine Fotodiode durch die bei geöffnetem Gehäuse des Geräts Strom erzeugt wird, oder einen Stromkreis, der bei einem geöffneten Gehäuse des Geräts geöffnet und bei geschlossenem Gehäuse geschlossen ist, oder dass die Schnittstelle als Strom- oder Spannungsmesseinrichtung ausgebildet ist, zum Erkennen eines Verlaufs eines Strom- oder Spannungsverlaufs einer Strom- oder Spannungsversorgung von außerhalb des Geräts.
  • Weitere vorteilhafte Ausführungsformen ergeben sich aus der folgenden Beschreibung und der Zeichnung. In der Zeichnung zeigt:
    • 1 eine schematische Darstellung einer Vorrichtung zur Behandlung einer Anomalie
    • 2 Schritte in einem Verfahren zur Behandlung einer Anomalie.
  • 1 stellt eine Vorrichtung 100 zur Behandlung einer Anomalie an einem Gerät 110 schematisch dar. Anomalie bezeichnet im Folgenden eine Abweichung eines Verhaltens von einem erwarteten Verhalten. Das erwartete Verhalten kann vorgegeben sein, oder in einem Normbetrieb, d.h. einem Betrieb ohne eine Anomalie, gelernt sein. Im Normbetrieb wird das Gerät 110 in eine Soll-Umgebung betrieben. Das Gerät 110 ist im Beispiel ein Steuergerät für ein Fahrzeug. Die Soll-Umgebung ist im Beispiel durch das Fahrzeug definiert, für das das Gerät 110 nach der Straßenverkehrsordnung zugelassen und in das das Gerät 110 aufgrund von Systemtests für die Zulassung getestet ist. Der Begriff Soll-Umgebung umfasst definierte Zustände und sowohl analoge als auch digitale Schnittstellen des Geräts 110. Die Umgebung, in der das Gerät 110 betrieben wird, kann davon abweichen, beispielsweise wenn das Fahrzeug durch eine Simulationsumgebung ersetzt wird, oder das Gerät 110 in einem Labor alleine betrieben wird. Es kann auch ein Steuergerät für eine andere Maschine derart ausgestaltet sein. In diesem Fall wird eine Umgebung der Maschine beispielsweise in einem industriellen Umfeld betrachtet. Das industrielle Umfeld weist ebenfalls bekannte, definierte Zustände auf.
  • Die Vorrichtung 100 ist im Beispiel in das Gerät 110 integriert. Teile der Vorrichtung 100 können auch außerhalb des Geräts 110 angeordnet sein.
  • Die Vorrichtung 100 umfasst einen Prozessor 102, eine Schnittstelle 104 und einen Speicher 106 für Instruktionen.
  • Die Vorrichtung 100 ist ausgebildet das im Folgenden beschriebene Verfahren auszuführen, wenn der Prozessor 102 die Instruktionen ausführt. Der Prozessor 102 kann ein Mikrocontroller sein. Die im Folgenden beschriebenen Erkennungsmethoden lassen sich kombinieren. Damit wird eine Erkennungsgüte gegenüber einer einzelnen Erkennungsmethode weiter verbessert und Gegenmaßnahmen eines Angreifers deutlich erschwert.
  • Die Schnittstelle 104 kann als Kommunikationsschnittstelle 114 für eine insbesondere kryptographisch gesicherte Kommunikation mit einer Gegenstelle 122 außerhalb des Geräts 110 ausgebildet sein.
  • Die Schnittstelle 104 kann für eine Öffnungserkennung ausgebildet sein. In diesem Fall kann die Schnittstelle 104 eine Fotodiode 116 umfassen, durch die bei geöffnetem Gehäuse 112 des Geräts 110 Strom erzeugt wird. Zusätzlich oder alternativ dazu kann die Schnittstelle 104 einen Stromkreis 118 umfassen, der bei einem geöffneten Gehäuse 112 des Geräts 110 geöffnet und bei geschlossenem Gehäuse 112 geschlossen ist.
  • Die Schnittstelle 104 kann auch als Strom- oder Spannungsmesseinrichtung 120 ausgebildet sein, zum Erkennen eines Verlaufs eines Strom- oder Spannungsverlaufs einer Strom- oder Spannungsversorgung 124 von außerhalb des Geräts 110.
  • 2 zeigt Schritte in einem Verfahren zur Behandlung einer Anomalie.
  • Das Verfahren eignet sich zur Behandlung von Angriffen auf das Gerät 120. Das Gerät 120 ist im Beispiel zur Steuerung des Fahrzeugs oder zur Steuerung einer Komponente des Fahrzeugs ausgebildet. Das Verfahren wird vorzugsweise kontinuierlich ausgeführt, wenn das Fahrzeug betrieben wird.
  • In einem Schritt 202 wird eine Größe erfasst, die einen Betrieb des Geräts 120 insbesondere im Fahrzeug oder eine Umgebung des Geräts 120 insbesondere im Fahrzeug definiert. Wenn das Gerät 120 für einen Angriff aus dem Fahrzeug ausgebaut ist, charakterisiert die Größe die Angriffsumgebung.
    Die Größe charakterisiert beispielsweise eine Kommunikation des Geräts 120 insbesondere in einem Kommunikationsnetzwerk.
  • In einem anschließenden Schritt 204 wird abhängig von der Größe eine Information bestimmt, die eine Umgebung charakterisiert, in der das Gerät betrieben wird. Die Umgebung, in der das Gerät 120 betrieben wird, ist beispielsweises durch Nachrichten für die Kommunikation charakterisiert, die kryptographisch gesichert gesendet werden. Die Umgebung, in der das Gerät betrieben wird, kann auch durch eine Gegenstelle für die Kommunikation außerhalb des Geräts charakterisiert sein.
  • Bei einer kryptographisch gesicherten Kommunikation kann ein Botschaftszähler eingesetzt werden, der Information über einen Zusammenhang zwischen Nachrichten in der Kommunikation auswertet.
  • Abhängig von einem Vergleich der Information über die Umgebung mit einer Information über eine Soll-Umgebung für den Betrieb des Geräts insbesondere im Fahrzeug wird in einem Anschließenden Schritt 206 geprüft, ob eine Anomalie im Betrieb des Geräts vorliegt oder nicht. Die Anomalie wird beispielsweise erkannt, wenn festgestellt wird, dass eine empfangene Nachricht in unbekannter oder unzulässiger Weise kryptographisch gesichert ist. Die Anomalie kann auch erkannt werden, wenn festgestellt wird, dass eine Nachricht von einer unbekannten Gegenstelle empfangen wird oder ein Empfang einer erwarteten Nachricht einer Gegenstelle unterbleibt.
  • Die Anomalie kann erkannt werden, wenn abhängig von einer Auswertung des Botschaftszählers ein unzulässiger oder unbekannter Zusammenhang zwischen den Nachrichten in der Kommunikation feststellt wird.
  • Wenn keine Anomalie erkannt wird, wird ein Schritt 208 ausgeführt. Anderenfalls wird ein Schritt 210 ausgeführt.
  • Im Schritt 208 wird das Gerät 120, wenn keine Anomalie erkannt wird, in einem ersten Betriebsmodus mit einem ersten Funktionsumfang insbesondere für das Fahrzeug betrieben. Anschließend wird der Schritt 202 ausgeführt.
  • Im Schritt 210 wird das Gerät in einem zweiten Betriebszustand mit einem gegenüber dem ersten Funktionsumfang reduzierten oder anderen zweiten Funktionsumfang betrieben, wenn eine Anomalie erkannt wird. Im zweiten Funktionsumfang fehlen beispielsweise Funktionen aus dem ersten Funktionsumfang, die eine privilegierte Funktion des Geräts charakterisieren.
  • In einem anschließenden Schritt 212 wird ein Fehler in einem Fehlerspeicher gespeichert, wenn die Anomalie erkannt wird. Dieser Schritt ist optional. Es kann Information über die Art des Fehlers gespeichert werden.
  • Anschließend wird in einem Schritt 214 geprüft, ob das Gerät 120 für eine vorgegebene Zeitdauer im zweiten Betriebsmodus betrieben wurde, nachdem die Anomalie festgestellt wurde. Dieser Schritt ist optional. Wenn die Zeitdauer erreicht oder überschritten ist, wird der Schritt 202 ausgeführt. Anderenfalls wird der Schritt 210 ausgeführt.
  • Anstelle der Überwachung der Kommunikation, oder zusätzlich dazu, können andere Überwachungen verwendet werden.
  • Die Größe kann eine Spannungs- oder Stromversorgung des Geräts 120 insbesondere in einem Versorgungsnetzwerk des Fahrzeugs charakterisieren. Die Umgebung, in der das Gerät betrieben wird, kann in diesem Fall durch einen Verlauf der Spannungs- oder Stromversorgung charakterisiert sein.
  • Die Anomalie wird in diesem Fall erkannt, wenn eine Abweichung eines Verlaufs der Spannungs- oder Stromversorgung von einem erwarteten Verlauf festgestellt wird. Die Abweichung wird beispielsweise erkannt, wenn der Verlauf der Spannungs- oder Stromversorgung zumindest zeitweise einen konstanten Wert aufweist, oder wenn der Spannungs- oder Stromversorgung zumindest zeitweise Schwankungen innerhalb eines Bereichs um einen konstanten Wert aufweist.
  • Die Größe kann durch einen Strom aus einer Fotodiode oder durch einen Stromkreis charakterisiert sein. Die Umgebung, in der das Gerät betrieben wird, ist in diesem Fall durch einen Verlauf des Stroms charakterisiert. Die Anomalie wird beispielsweise erkannt, wenn festgestellt wird, dass durch die Fotodiode Strom erzeugt wird, oder dass durch den Stromkreis kein Strom fließt.
  • Die Größe kann eine Ein- oder Abschaltvorgang des Geräts charakterisieren. Die Umgebung, in der das Gerät betrieben wird, kann in diesem Fall durch einen Verlauf des Ein- oder Abschaltvorgang des Geräts 120 charakterisiert sein. Die Anomalie wird beispielsweise erkannt, wenn festgestellt wird, dass der Ein- oder Abschaltvorgang des Geräts in einem Zeitintervall seltener als eine vorgegebene minimale Anzahl oder häufiger als eine vorgegebene maximale Anzahl ausgeführt wird. Die Anomalie kann beispielsweise erkannt werden, wenn der Ein- oder Abschaltvorgang des Geräts 120 bezüglich des Erreichens des ersten Betriebsmodus nur unvollständig ausgeführt oder abgebrochen wird.

Claims (16)

  1. Verfahren zur Behandlung von Angriffen auf ein Gerät zur Steuerung einer Maschine, insbesondere eines Fahrzeugs oder einer Komponente eines Fahrzeugs, dadurch gekennzeichnet, dass wenigstens eine Größe erfasst wird (202), die einen Betrieb des Geräts insbesondere in einem Fahrzeug oder eine Umgebung des Geräts insbesondere in einem Fahrzeug definiert, wobei abhängig von der Größe eine Information bestimmt wird (204), die eine Umgebung charakterisiert, in der das Gerät betrieben wird, wobei abhängig von einem Vergleich der Information über die Umgebung mit einer Information über eine Soll-Umgebung für den Betrieb des Geräts insbesondere im Fahrzeug geprüft wird (206), ob eine Anomalie im Betrieb des Geräts vorliegt oder nicht, wobei das Gerät, wenn keine Anomalie erkannt wird, in einem ersten Betriebsmodus mit einem ersten Funktionsumfang insbesondere für das Fahrzeug betrieben wird (208), und wobei das Gerät in einem zweiten Betriebszustand mit einem gegenüber dem ersten Funktionsumfang reduzierten oder anderen zweiten Funktionsumfang betrieben wird (210), wenn eine Anomalie erkannt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Größe eine Kommunikation des Geräts insbesondere in einem Kommunikationsnetzwerk charakterisiert.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Umgebung, in der das Gerät betrieben wird, durch Nachrichten für die Kommunikation charakterisiert ist, die kryptographisch gesichert gesendet werden, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass eine empfangene Nachricht in unbekannter oder unzulässiger Weise kryptographisch gesichert ist.
  4. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass die Umgebung, in der das Gerät betrieben wird, durch wenigstens eine Gegenstelle für die Kommunikation außerhalb des Geräts charakterisiert ist, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass eine Nachricht von einer unbekannten Gegenstelle empfangen wird oder ein Empfang einer erwarteten Nachricht einer Gegenstelle unterbleibt.
  5. Verfahren nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass bei einer kryptographisch gesicherten Kommunikation ein Botschaftszähler eingesetzt wird, der Information über einen Zusammenhang zwischen Nachrichten in der Kommunikation auswertet, wobei die Anomalie erkannt wird, wenn abhängig von einer Auswertung des Botschaftszählers ein unzulässiger oder unbekannter Zusammenhang zwischen den Nachrichten in der Kommunikation feststellt wird.
  6. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Größe eine Spannungs- oder Stromversorgung des Geräts insbesondere in einem Versorgungsnetzwerk des Fahrzeugs charakterisiert, wobei die Anomalie erkannt wird, wenn eine Abweichung eines Verlaufs der Spannungs- oder Stromversorgung von einem erwarteten Verlauf festgestellt wird.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf der Spannungs- oder Stromversorgung charakterisiert ist, wobei die Abweichung erkannt wird, wenn der Verlauf der Spannungs- oder Stromversorgung zumindest zeitweise einen konstanten Wert aufweist, oder wenn der Spannungs- oder Stromversorgung zumindest zeitweise Schwankungen innerhalb eines Bereichs um einen konstanten Wert aufweist.
  8. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Größe einen Strom aus einer Fotodiode oder durch einen Stromkreis charakterisiert, wobei die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf des Stroms charakterisiert, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass durch die Fotodiode Strom erzeugt wird, oder dass durch den Stromkreis kein Strom fließt.
  9. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Größe einen Ein- oder Abschaltvorgang des Geräts charakterisiert, wobei die Umgebung, in der das Gerät betrieben wird, durch einen Verlauf des Ein- oder Abschaltvorgang des Geräts charakterisiert ist, wobei die Anomalie erkannt wird, wenn festgestellt wird, dass der Ein- oder Abschaltvorgang des Geräts in einem Zeitintervall seltener als eine vorgegebene minimale Anzahl oder häufiger als eine vorgegebene maximale Anzahl ausgeführt wird oder bezüglich des Erreichens des ersten Betriebsmodus nur unvollständig ausgeführt oder abgebrochen wird.
  10. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass das Gerät für eine vorgegebene Zeitdauer im zweiten Betriebsmodus betrieben wird (214), nachdem die Anomalie festgestellt wurde.
  11. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass im zweiten Funktionsumfang Funktionen aus dem ersten Funktionsumfang fehlen, die eine privilegierte Funktion des Geräts charakterisieren.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Fehler in einem Fehlerspeicher gespeichert wird, wenn die Anomalie erkannt wird (212).
  13. Vorrichtung (100) zum Behandeln einer Anomalie an einem Gerät (110) insbesondere einem Steuergerät für eine Maschine oder ein Fahrzeug, dadurch gekennzeichnet, dass die Vorrichtung (100) in das Gerät (122) integriert ist, und einen Prozessor (102), eine Schnittstelle (104) und einen Speicher (106) für Instruktionen umfasst und ausgebildet ist das Verfahren nach einem der Ansprüche 1 bis 12 auszuführen, wenn der Prozessor (102) die Instruktionen ausführt.
  14. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, dass die Schnittstelle (104) als Kommunikationsschnittstelle für eine insbesondere kryptographisch gesicherte Kommunikation mit einer Gegenstelle (122) außerhalb des Geräts (110) ausgebildet ist, oder dass die Schnittstelle (104) für eine Öffnungserkennung ausgebildet ist, insbesondere umfassend eine Fotodiode (116) durch die bei geöffnetem Gehäuse (112) des Geräts (110) Strom erzeugt wird, oder einen Stromkreis (118), der bei einem geöffneten Gehäuse (112) des Geräts (110) geöffnet und bei geschlossenem Gehäuse (112) geschlossen ist, oder dass die Schnittstelle (104) als Strom- oder Spannungsmesseinrichtung (120) ausgebildet ist, zum Erkennen eines Verlaufs eines Strom- oder Spannungsverlaufs einer Strom- oder Spannungsversorgung (124) von außerhalb des Geräts (110).
  15. Computerprogramm, dadurch gekennzeichnet, dass das Computerprogramm computerlesbare Instruktionen umfasst, bei deren Ausführen auf einem Computer ein Verfahren nach einem der Ansprüche 1 bis 12 abläuft.
  16. Computerprogrammprodukt, gekennzeichnet durch ein maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 15 gespeichert ist.
DE102019211570.5A 2019-08-01 2019-08-01 Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät Pending DE102019211570A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102019211570.5A DE102019211570A1 (de) 2019-08-01 2019-08-01 Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät
US16/896,803 US11777968B2 (en) 2019-08-01 2020-06-09 Method and device for handling an anomaly at a control unit
CN202010756831.7A CN112307471A (zh) 2019-08-01 2020-07-31 用于处理控制设备处的异常的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019211570.5A DE102019211570A1 (de) 2019-08-01 2019-08-01 Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät

Publications (1)

Publication Number Publication Date
DE102019211570A1 true DE102019211570A1 (de) 2021-02-04

Family

ID=74175009

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019211570.5A Pending DE102019211570A1 (de) 2019-08-01 2019-08-01 Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät

Country Status (3)

Country Link
US (1) US11777968B2 (de)
CN (1) CN112307471A (de)
DE (1) DE102019211570A1 (de)

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1104213A3 (de) * 1999-11-29 2003-05-21 Philips Intellectual Property & Standards GmbH Drahtloses Netzwerk mit einer Prozedur zur Schlüsseländerung
DE10128305A1 (de) * 2001-06-12 2002-12-19 Giesecke & Devrient Gmbh Steuereinheit
WO2009115864A1 (en) * 2008-03-19 2009-09-24 Freescale Semiconductor, Inc. A method for protecting a cryptographic module and a device having cryptographic module protection capabilities
JP2014058210A (ja) * 2012-09-18 2014-04-03 Hitachi Automotive Systems Ltd 車両制御装置および車両制御システム
US9578763B1 (en) * 2014-05-22 2017-02-21 Square, Inc. Tamper detection using internal power signal
JP2016115080A (ja) * 2014-12-12 2016-06-23 株式会社オートネットワーク技術研究所 情報処理装置
WO2017060511A1 (en) * 2015-10-08 2017-04-13 Sicpa Holding Sa Secure delivery system, logging module and access controlled container
CN106209034B (zh) * 2016-07-22 2019-01-18 天津大学 一种用于抗攻击芯片的高频时钟频率检测结构
US9941880B1 (en) * 2016-11-16 2018-04-10 Xilinx, Inc. Secure voltage regulator
US10721253B2 (en) * 2017-09-21 2020-07-21 Hewlett Packard Enterprise Development Lp Power circuitry for security circuitry
EP3604049B1 (de) * 2018-08-03 2022-10-05 Aptiv Technologies Limited Sichere fahrzeugsteuereinheit
US20200074120A1 (en) * 2018-08-29 2020-03-05 Varex Imaging Corporation Anti-tamper circuitry

Also Published As

Publication number Publication date
US11777968B2 (en) 2023-10-03
CN112307471A (zh) 2021-02-02
US20210037034A1 (en) 2021-02-04

Similar Documents

Publication Publication Date Title
DE102012217743B4 (de) Überprüfung einer Integrität von Eigenschaftsdaten eines Gerätes durch ein Prüfgerät
EP3662639B1 (de) Verfahren und vorrichtung zum ermitteln von anomalien in einem kommunikationsnetzwerk
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
EP3430558B1 (de) Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand
DE102018201718A1 (de) Verfahren und Vorrichtung zur Erkennung einer Anomalie in einem Datenstrom in einem Kommunikationsnetzwerk
DE102015221239A1 (de) Verfahren und Vorrichtung zum Schützen von Datenintegrität durch ein eingebettetes System mit einem Hauptprozessorkern und einem Sicherheitshardwarebaustein
DE10207412A1 (de) Funkenfeststellung
DE102019211570A1 (de) Verfahren und Vorrichtung zum Behandeln einer Anomalie an einem Steuergerät
DE102020130166A1 (de) Vorrichtungen und verfahren für die sichere datenprotokollierung
DE112017001052T5 (de) Erkennungssystem, Webanwendungsvorrichtung, Webanwendungs-Firewallvorrichtung, Erkennungsverfahren für Erkennungssystem, Erkennungsverfahren für Webanwendungsvorrichtung und Erkennungsverfahren für Webanwendungs-Firewallvorrichtung
DE102017000477A1 (de) Leiterprogrammanzeigevorrichtung mit automatischer Verfolgungsfunktion für eine Selbsthalteschaltung des Leiterprogramms
EP1986062B1 (de) Steuervorrichtung und Steuerverfahren für ein elektrisches Haushaltsgerät
DE102017217301A1 (de) Verfahren und Vorrichtung zum unmittelbaren und rückwirkungsfreien Übertragen von Log-Nachrichten
DE102019106912A1 (de) Gefährdungserfassungssystem
DE102019113206A1 (de) Verfahren und Steuergerät zur Diagnose einer Komponente eines Fahrzeugs
CN113132307B (zh) 检测车内can网络遭受非法行为的方法、装置及存储介质
EP4036739A1 (de) Fehleranfälligkeit einer build-pipeline
DE102022210264A1 (de) Verfahren zur Erkennung von potenziellen Datenexfiltrationsangriffen bei wenigstens einem Softwarepaket
DE102015222968A1 (de) Betriebsverfahren für eine elektronische Vorrichtung und elektronische Vorrichtung
EP3846055A1 (de) Verfahren zum integrationsschutz eines gerätes
CN109255233B (zh) 一种漏洞检测方法及装置
EP3859580A1 (de) Wirksamkeit einer geräteintegritätsüberwachung
DE102021204707A1 (de) Verfahren zum Testen einer Einrichtung
DE102005040977A1 (de) Einrichtung und Verfahren zur Untersuchung der Sicherheit einer technischen Einrichtung
DE102023004446A1 (de) Reaktion auf Cyberattacken auf ein elektrisches Fahrzeug