DE102020209043A1 - Verfahren zum Betreiben eines Netzwerks und Bypassverbindungseinheit - Google Patents

Verfahren zum Betreiben eines Netzwerks und Bypassverbindungseinheit Download PDF

Info

Publication number
DE102020209043A1
DE102020209043A1 DE102020209043.2A DE102020209043A DE102020209043A1 DE 102020209043 A1 DE102020209043 A1 DE 102020209043A1 DE 102020209043 A DE102020209043 A DE 102020209043A DE 102020209043 A1 DE102020209043 A1 DE 102020209043A1
Authority
DE
Germany
Prior art keywords
network
connection unit
bypass connection
communication device
level communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020209043.2A
Other languages
English (en)
Inventor
Andy Rupp
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102020209043.2A priority Critical patent/DE102020209043A1/de
Publication of DE102020209043A1 publication Critical patent/DE102020209043A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines Netzwerks (100), insbesondere in einem Fahrzeug, wobei wenigstens ein erster Netzwerkteilnehmer (145) und wenigstens ein zweiter Netzwerkteilnehmer (155) über eine übergeordnete Kommunikationseinrichtung (110) und eine Bypassverbindungseinheit (170) miteinander verbunden sind, wobei in einem ersten Betriebsmodus (301) die Verbindung zwischen dem wenigstens einen ersten Netzwerkteilnehmer (145) und dem wenigstens einen zweiten Netzwerkteilnehmer (155) über die Bypassverbindungseinheit (170) deaktiviert ist und eine Kommunikation über die übergeordnete Kommunikationseinrichtung (110) durchgeführt wird, wobei in einem zweiten Betriebsmodus (314) die Verbindung zwischen dem wenigstens einen ersten Netzwerkteilnehmer (145) und dem wenigstens einen zweiten Netzwerkteilnehmer (155) über die Bypassverbindungseinheit (170) aktiviert ist und die Kommunikation über die Bypassverbindungseinheit (170) durchgeführt wird.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Netzwerks sowie eine Bypassverbindungseinheit, ein Netzwerk und ein Computerprogramm zu dessen Durchführung.
  • Stand der Technik
  • In Netzwerken können verschiedene lokale Netzwerke oder Netzwerkdomänen vorgesehen sein, in welchen jeweils eine Anzahl von Netzwerkteilnehmern über ein lokales, individuelles Kommunikationssystem miteinander verbunden ist, beispielsweise über ein lokales Bussystem. Um eine Interdomänenkommunikation zwischen derartigen lokalen Netzwerkdomänen zu ermöglichen, können diese individuellen Kommunikationssysteme, beispielsweise die entsprechenden Busse, über eine übergeordnete, globale Instanz verbunden sein, beispielsweise über ein zentrales Gateway, einen Switch, einen Bus usw. Eine Kommunikation einzelner Domänen untereinander kann dann über diese übergeordnete Instanz, z.B. das zentrale Gateway, erfolgen, insbesondere geschützt, etwa durch eine Firewall. Auf diese Weise können die einzelnen Domänen aus Sicherheitsgründen voneinander isoliert werden, damit beispielsweise nicht jede Domäne Nachrichten an eine andere Domäne schicken kann.
  • Beispielsweise können in (Kraft-)Fahrzeugen verschiedene Domänen für verschiedene Fahrzeugfunktionen vorgesehen sein. In jeder derartigen Domäne können beispielsweise Steuergeräte, Sensoren, Aktoren usw. lokal miteinander vernetzt sein, welche zur Ausführung derselben Fahrzeugfunktionen benötigt werden, beispielsweise über ein lokales Bussystem wie CAN, CAN-FD, FlexRay, Ethernet. So können beispielsweise Domänen für ein Infotainment-System, für Fahrassistenzfunktionen, für eine Fahrwerkssteuerung (Chassis), für eine Antriebsstrangsteuerung (Powertrain), für eine Karosserieelektronik (Body) usw. vorgesehen sein.
  • Über eine entsprechende übergeordnete Instanz wie ein zentrales Gateway, einen Switch usw., kann eine geschützte Interdomänenkommunikation realisiert werden, um Manipulationen und Angriffe verhindern zu können. So kann eine entsprechende Firewall beispielsweise Bremskontrollnachrichten herausfiltern, die von einer Infotainment-Domäne an eine Fahrwerkdomäne gesendet werden.
  • Ferner kann beispielsweise ein Angriffserkennungssystem (engl. „intrusion detection system“, IDS) vorgesehen sein, welches durch Beobachtung der an die zentrale Instanz angeschlossenen Kommunikationssysteme und Analyse empfangener Nachrichten Angriffe auf Fahrzeugkomponenten detektieren und eventuell Gegenmaßnahmen, wie die Isolierung betroffener Komponenten, einleiten kann.
  • Bei einer derartigen Netzwerktopologie kann die zentrale Instanz jedoch zu einem zentralen Angriffspunkt oder auch zu einem sog. Single Point of Failure (SPOF) werden, wobei ein Angriff auf oder ein Ausfall der Instanz zu kritischen Auswirkungen des gesamten Netzwerks führen kann. Ein Angreifer könnte gezielt versuchen, die Instanz zu kompromittieren, um diese außer Funktion zu setzen, oder die Nachrichtenlast, welche die Instanz bewältigen muss, so zu erhöhen, dass legitime Nachrichten nicht mehr oder nur noch mit großer Verzögerung beim Empfänger ankommen (sog. Denial-Of-Service-Angriff). In derartigen Fällen ist es von Bedeutung, eine kritische Interdomänenkommunikation weiterhin zu ermöglichen, beispielsweise um zumindest Grundfunktionen des Netzwerks bzw. des entsprechenden Fahrzeugs aufrechtzuerhalten.
  • Offenbarung der Erfindung
  • Vor diesem Hintergrund werden ein Verfahren zum Betreiben eines Netzwerks sowie eine Bypassverbindungseinheit, ein Netzwerk und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Die Erfindung bedient sich der Maßnahme, eine erste und eine zweite Netzwerkdomäne mit jeweils einer Anzahl von Netzwerkteilnehmern neben einer Verbindung über eine übergeordnete Kommunikationseinrichtung auch über eine Bypassverbindung zu verbinden. Die Bypassverbindung lässt jedoch im regulären Betrieb keine Kommunikation zwischen den Domänen zu, da ansonsten die Sicherheitsfunktion der übergeordneten Kommunikationseinrichtung, beispielsweise eines zentralen Gateways oder eines Angriffserkennungssystems, gefährdet würde. Die entsprechenden Netzwerkteilnehmer müssten dann im regulären Betrieb nicht mehr zwingend über die übergeordnete Kommunikationseinrichtung, insbesondere ein zentrales Gateway, kommunizieren, sondern könnten von der übergeordneten Kommunikationseinrichtung unbeobachtet über die Bypassverbindung kommunizieren. Somit könnte die übergeordnete Kommunikationseinrichtung nicht mehr die gesamte Interdomänenkommunikation kontrollieren, wodurch eine Sicherheitsfunktionalität nur noch sehr eingeschränkt gegeben wäre. Die Erfindung sieht daher vor, nur bei Ausfall oder Störung der übergeordneten Kommunikation über die Bypassverbindung weiterhin eine Not-Kommunikation zwischen ausgewählten oder allen Teilnehmern unterschiedlicher Domänen zu ermöglichen. Dadurch kann beispielsweise eine kritische Interdomänenkommunikation weiterhin ermöglicht werden, um zumindest Grundfunktionen des Netzwerks aufrechtzuerhalten.
  • Im Einzelnen erfolgt in einem fehlerfreien Betrieb eine Kommunikation zwischen Netzwerkteilnehmern der ersten und der zweiten Netzwerkdomäne untereinander über die übergeordnete Kommunikationseinrichtung. Die Domänen sind somit voneinander isoliert und eine Interdomänenkommunikation erfolgt im regulären Betrieb überwacht bzw. gesichert über die übergeordnete Kommunikationseinrichtung. Bei der übergeordneten Kommunikationseinrichtung kann es sich beispielsweise um ein weiteres Kommunikationssystem handeln wie z.B. ein Gateway usw.
  • Ferner sind wenigstens ein erster Netzwerkteilnehmer der ersten Anzahl von Netzwerkteilnehmern und wenigstens ein zweiter Netzwerkteilnehmer der zweiten Anzahl von Netzwerkteilnehmern über eine Bypassverbindungseinheit datenübertragend verbindbar. Zu diesem Zweck ist die Bypassverbindungseinheit mit den jeweiligen Netzwerkteilnehmern beispielsweise jeweils über ein Bussystem datenübertragend verbunden.
  • Diese ersten und zweiten Netzwerkteilnehmer sind zweckmäßigerweise nicht dauerhaft und permanent datenübertragend miteinander verbunden. Die Bypassverbindungseinheit kann zweckmäßigerweise unter einer vorgebbaren Bedingung eine Verbindung zwischen den ersten und zweiten Netzwerkteilnehmern aktivieren und somit eine direkte (Kommunikations-) Verbindung zwischen diesen Netzwerkteilnehmer herstellen. Ebenso kann die Bypassverbindungseinheit diese Verbindung unter einer entsprechenden vorgebbaren Bedingung deaktivieren, so dass die ersten und zweiten Netzwerkteilnehmer nicht direkt miteinander kommunizieren können.
  • In einem ersten Betriebsmodus, insbesondere einem fehlerfreien, regulären Betriebsmodus, ist die Verbindung zwischen dem wenigstens einen ersten Netzwerkteilnehmer und dem wenigstens einen zweiten Netzwerkteilnehmer über die Bypassverbindungseinheit deaktiviert bzw. blockiert. In diesem Fall wird eine Kommunikation zwischen dem wenigstens einen ersten Netzwerkteilnehmer und dem wenigstens einen zweiten Netzwerkteilnehmer über die übergeordnete Kommunikationseinrichtung durchgeführt und nicht über die Bypassverbindungseinheit. Insbesondere kann die Bypassverbindungseinheit in diesem Fall Nachrichten blockieren, welche sie von den ersten und zweiten Netzwerkteilnehmern empfängt, etwa indem entsprechende Kommunikationsschnittstellen softwaretechnisch deaktiviert sind. Beispielsweise kann in der Bypassverbindungseinheit auch eine Firewall vorgesehen sein, die in diesem Fall zum Blockieren von Nachrichten konfiguriert ist.
  • In einem zweiten Betriebsmodus, insbesondere in einem fehlerbehafteten bzw. fehlerhaften Betriebsmodus, ist bzw. wird die Verbindung zwischen dem wenigstens einen ersten Netzwerkteilnehmer und dem wenigstens einen zweiten Netzwerkteilnehmer über die Bypassverbindungseinheit aktiviert bzw. freigegeben. Eine Kommunikation zwischen dem wenigstens einen ersten Netzwerkteilnehmer und dem wenigstens einen zweiten Netzwerkteilnehmer wird in diesem Fall über die Bypassverbindungseinheit durchgeführt und nicht mehr über die übergeordnete Kommunikationseinrichtung. Beispielsweise kann die Bypassverbindungseinheit zu diesem Zweck eine Nachrichtenweiterleitung bzw. entsprechende Kommunikationsschnittstellen entsprechend aktivieren oder auch die Konfiguration der Firewall entsprechend ändern.
  • In dem ersten Betriebsmodus erfolgt eine Interdomänenkommunikation zweckmäßigerweise ausschließlich über die übergeordnete Kommunikationseinrichtung, welche insbesondere die Kommunikation der einzelnen Domänen untereinander überwacht, beispielsweise mit Hilfe einer Firewall, eines Angriffserkennungssystems usw. Die Kommunikationseinrichtung beobachtet zweckmäßigerweise die von den einzelnen Netzwerkdomänen gesendeten Nachrichten, insbesondere um Angriffe, Manipulationen usw. zu erkennen. Angriffe, Manipulationen usw. können somit von der Kommunikationseinrichtung im regulären Betrieb erkannt werden und es können geeignete Gegenmaßnahmen eingeleitet werden.
  • In einem Fehlerfall oder bei einem gezielten Angriff kann es jedoch dazu kommen, dass die übergeordnete Kommunikationseinrichtung ihre Funktion oder zumindest einen Teil ihrer Funktion nicht mehr ausführen kann. Dies kann beispielsweise der Fall sein, wenn ein Angreifer die übergeordnete Kommunikationseinrichtung außer Kraft setzt oder beispielsweise die von der Kommunikationseinrichtung zu bewältigende Nachrichtenlast derart erhöht, dass legitime Nachrichten nicht oder nur mit großer Verzögerung bearbeitet werden können. Ferner kann die Kommunikationseinrichtung auch durch einen Defekt komplett oder teilweise ausfallen. In derartigen Fehlerfällen ist eine Kommunikation einzelner Netzwerkdomänen untereinander über die Kommunikationseinrichtung zumeist nicht mehr möglich.
  • Die Bypassverbindungseinheit ist im Rahmen des vorliegenden Verfahrens als eine Sicherungseinheit zur Ausfallssicherung vorgesehen, um in derartigen Fehlerfällen dennoch eine Kommunikation zwischen bestimmten oder allen Netzwerkteilnehmern zweier Netzwerkdomänen zu ermöglichen. Besonders zweckmäßig wird es durch die Bypassverbindungseinheit ermöglicht, in einem entsprechenden Fehlerfall zumindest eine kritische Interdomänenkommunikation weiterhin aufrecht zu erhalten. Die Bypassverbindung stellt somit bedingt aktivierbare, redundante Verbindungsleitungen zwischen Netzwerkdomänen dar („Secure Fail-Safe Connectors“, SFSC).
  • Insbesondere handelt es sich bei dem wenigstens einen ersten und dem wenigstens einen zweiten Netzwerkteilnehmer um Netzwerkteilnehmer, welche für eine Grundfunktionalität des Netzwerkes Daten austauschen. Die Bypassverbindungseinheit ermöglicht es nun, in einem entsprechenden Fehlerfall zumindest diese Grundfunktionalität des Netzwerks aufrechtzuerhalten.
  • Die Verbindung zwischen den ersten und zweiten Netzwerkteilnehmern wird durch die Bypassverbindungseinheit zweckmäßigerweise nur unter einer vorgebbaren Bedingung aktiviert, es wird also insbesondere nur unter dieser Bedingung von den ersten in den zweiten Betriebsmodus gewechselt. Somit kann unterbunden werden, dass diese Netzwerkteilnehmer auch in dem ersten, fehlerfreien Betriebsmodus miteinander kommunizieren können, ohne dass diese Kommunikation über die übergeordnete Kommunikationseinrichtung läuft und von dieser überwacht werden kann. Wären die ersten und zweiten Netzwerkteilnehmer permanent direkt miteinander verbunden, könnte über diese Verbindung eine Interdomänenkommunikation stattfinden, ohne dass diese von der übergeordneten Kommunikationseinrichtung überwacht werden kann. Eine derartige Sicherheitslücke bzw. Angriffsfläche kann durch die Bypassverbindungseinheit und die entsprechende aktivier- und deaktivierbaren Verbindung geschlossen werden.
  • Ferner wird es im Rahmen der Erfindung ermöglicht, bei Bedarf einzelne Netzwerkdomänen vom restlichen Netzwerk zweckmäßigerweise bis auf deren absolut notwendige Verbindung zu isolieren. Wenn beispielsweise erkannt wird, dass eine Netzwerkdomäne kompromittiert ist, kann diese Domäne zweckmäßigerweise isoliert werden, indem die übergeordnete Kommunikationseinrichtung sämtliche Nachrichten von dieser Domäne blockiert. Ferner kann die entsprechende Verbindung über die Bypassverbindungseinheit aktiviert werden, so dass eine funktionskritische Kommunikation mit einem entsprechenden Netzwerkteilnehmer dieser isolierten Domäne dennoch weiter durchgeführt werden kann.
  • Es versteht sich, dass das Netzwerk noch weitere Komponenten umfassen kann, beispielsweise weitere Netzwerkdomänen. Ferner können auf entsprechende Weise weitere Bypassverbindungseinheiten in dem Netzwerk zwischen Netzwerkteilnehmern einzelner Netzwerkdomänen vorgesehen sein, um in einem Fehlerfall eine Kommunikation zwischen diesen Netzwerkteilnehmern aufrecht zu erhalten. Besonders zweckmäßig können die Bypassverbindungseinheit bzw. diese Bypassverbindungseinheiten jeweils als Slave (SFSC-Slave) vorgesehen sein und die übergeordnete Kommunikationseinrichtung als ein entsprechender Master (SFSC-Master). Beispielsweise kann ein entsprechender Master in der übergeordneten Kommunikationseinrichtung als ein separates Hardware- oder Software-Modul realisiert sein.
  • Die Bypassverbindungseinheit kann insbesondere datenübertragend mit der übergeordneten Kommunikationseinrichtung verbunden sein, insbesondere über eine Steuer- und/oder Kontrollverbindung, etwa einen Steuer- bzw. Kontrollbus. Besonders zweckmäßig kann über diese Kontrollverbindung überprüft werden, ob entsprechende Bedingungen erfüllt sind und ob die Verbindung zwischen den ersten und zweiten Netzwerkteilnehmern aktiviert oder deaktiviert werden soll. Zweckmäßigerweise ist dieser Bus für die Kontrollverbindung vor physikalischen Zugriffen geschützt.
  • Gemäß einer vorteilhaften Ausführungsform wird der erste Betriebsmodus durchgeführt, wenn ein fehlerfreier Datenaustausch zwischen der Bypassverbindungseinheit und der übergeordneten Kommunikationseinrichtung festgestellt bzw. erkannt wird. Vorteilhafterweise werden der zweite Betriebsmodus und/oder vorgegebene Maßnahmen durchgeführt, wenn kein fehlerfreier Datenaustausch festgestellt wird. Zweckmäßigerweise wird somit ein (Kontroll-)Datenaustausch zwischen der Bypassverbindungseinheit und der übergeordneten Kommunikationseinrichtung durchgeführt, in Abhängigkeit von welchem bestimmt wird, ob der erste oder der zweite Betriebsmodus bzw. eine Maßnahme durchgeführt wird. Mittels dieses Datenaustauschs kann die Bypassverbindungseinheit insbesondere überprüfen, ob Erreichbarkeit und Funktion der übergeordneten Kommunikationseinrichtung regulär gegeben sind. Als Maßnahme kann eine Fehlermeldung ausgegeben werden, beispielsweise um einen Benutzer auf den Fehler des Netzwerks hinzuweisen. Ferner kann das Netzwerk einer detaillierten Prüfung unterzogen und bei Bedarf zurückgesetzt werden. Ferner kann ein Benutzer auch dazu aufgefordert werden, das Netzwerk als Reaktion auf den Fehler hin zurückzusetzen.
  • Alternativ oder zusätzlich ist es möglich, das Netzwerk im Zuge einer automatischen Wiederherstellung zurück in den ersten Betriebsmodus zu überführen, wenn wieder ein fehlerfreier Datenaustausch zwischen der Bypassverbindungseinheit und der übergeordneten Kommunikationseinrichtung festgestellt wird, nachdem zuvor kein fehlerfreier Datenaustausch zwischen der Bypassverbindungseinheit und der übergeordneten Kommunikationseinrichtung festgestellt wurde. Zweckmäßigerweise kann vorgesehen sein, dass der erste Betriebsmodus in diesem Fall nur dann wieder durchgeführt wird, wenn ein fehlerfreier Datenaustausch zwischen der Bypassverbindungseinheit und der übergeordneten Kommunikationseinrichtung in einem vorgegebenen Überprüfungszeitintervall festgestellt wird, nachdem kein fehlerfreier Datenaustausch zwischen der Bypassverbindungseinheit und der übergeordneten Kommunikationseinrichtung festgestellt wurde. Auf diese Weise kann insbesondere berücksichtigt werden, ob nur eine temporäre Verzögerung (d.h. höchstens das Überprüfungszeitintervall lang) der übergeordneten Kommunikationseinrichtung vorliegt oder ein Angriff bzw. dauerhafter Ausfall.
  • Wenn die Bypassverbindungseinheit eine erste Anzahl an ersten Nachrichten in einem ersten Zeitintervall von der übergeordneten Kommunikationseinrichtung empfängt, wird vorzugsweise ein fehlerfreier Datenaustausch festgestellt. Wenn die Bypassverbindungseinheit jedoch die erste Anzahl an ersten Nachrichten in dem ersten Zeitintervall von der übergeordneten Kommunikationseinrichtung nicht empfängt, wird vorzugsweise kein fehlerfreier Datenaustausch festgestellt. Insbesondere kann es sich bei diesen Nachrichten um Alive- oder Keep-Alive-Nachrichten handeln, mittels welcher die Erreichbarkeit und Funktion der Kommunikationseinrichtung überprüft werden können. Beispielsweise kann die übergeordnete Kommunikationseinrichtung periodisch entsprechende Nachrichten an die Bypassverbindungseinheit übermitteln, z.B. alle 5 s. Wenn nun innerhalb des vorgegebenen Zeitintervalls von z.B. 15 s keine weitere derartige Nachricht empfangen wird, kann dies darauf hindeuten, dass die Verfügbarkeit der Kommunikationseinrichtung gestört ist, und die Bypassverbindungseinheit wechselt in den zweiten Betriebsmodus und/oder eine vorgegebene Maßnahme wird durchgeführt.
  • Wenn die übergeordnete Kommunikationseinrichtung eine zweite Anzahl von zweiten Nachrichten in einem zweiten Zeitintervall von der Bypassverbindungseinheit empfängt, wird vorzugsweise ein fehlerfreier Datenaustausch festgestellt. Wenn die übergeordnete Kommunikationseinrichtung die zweite Anzahl von zweiten Nachrichten in dem zweiten Zeitintervall von der Bypassverbindungseinheit nicht empfängt, wird vorzugsweise kein fehlerfreier Datenaustausch festgestellt. Auch bei diesen zweiten Nachrichten kann es sich somit insbesondere um entsprechende Alive- bzw. Keep-Alive-Nachrichten handeln. Mittels dieser zweiten Nachrichten kann insbesondere die übergeordnete Kommunikationseinrichtung die Funktionsfähigkeit der Bypassverbindungseinheit überprüfen. Es kann dadurch auch erkannt werden, wenn ein Angreifer der Bypassverbindungseinheit einen Ausfall der übergeordneten Kommunikationseinrichtung vortäuscht, indem er die Verbindung zwischen der Kommunikationseinrichtung und der Bypassverbindungseinheit unterbricht und somit ein Aktivieren des zweiten Betriebsmodus erzwingt.
  • Gemäß einer bevorzugen Ausführungsform übermittelt die Bypassverbindungseinheit erste Daten an die übergeordnete Kommunikationseinrichtung, welche diese ersten Daten in einer ersten vorgegebenen Weise bearbeitet, um die erste Nachricht zu erstellen. Alternativ oder zusätzlich übermittelt die übergeordnete Kommunikationseinrichtung bevorzugt zweite Daten an die Bypassverbindungseinheit, welche die zweiten Daten in einer zweiten vorgegebenen Weise bearbeitet, um die zweite Nachricht zu erstellen. Auf diese Weise kann ein interaktives Challenge-Response-Protokoll zwischen der Bypassverbindungseinheit als SFSC-Slave und der übergeordneten Kommunikationseinrichtung als SFSC-Master realisiert werden. Zweckmäßigerweise wird zur Bearbeitung der jeweiligen Daten jeweils ein Schlüssel verwendet, welche nur der übergeordneten Kommunikationseinrichtung bzw. der Bypassverbindungseinheit bekannt ist. Insbesondere können somit Authentizität, Integrität und Frische (engl.: „freshness“) der jeweiligen Nachrichten sichergestellt werden. Zweckmäßigerweise kann somit verhindert werden, dass ein Angreifer die übergeordnete Kommunikationseinrichtung oder die Bypassverbindungseinheit kompromittieren kann und dies durch Übermitteln gefälschter Nachrichten verschleiern kann. Besonders zweckmäßig enthalten die übergeordnete Kommunikationseinrichtung und die Bypassverbindungseinheit jeweils ein Hardwaresicherheitsmodul (engl.: „hardware security module“, HSM), also ein separates Hardwaremodul zur sicheren Ausführung kryptischer Operationen. Zweckmäßigerweise werden die jeweiligen Daten auf die entsprechende vorgegebene Weise jeweils von einem derartigen Hardwaresicherheitsmodul bearbeitet.
  • Bevorzugt umfassen die ersten Daten und/oder die zweiten Daten jeweils eine Zufallszahl. Insbesondere wird von der übergeordneten Kommunikationseinrichtung bzw. der Bypassverbindungseinheit eine derartige, ausreichend lange, frische Zufallszahl, z.B. mit 256 Bit Größe, erzeugt und an die jeweils andere Einheit übermittelt, welche daraufhin die jeweilige Zufallszahl auf die entsprechende vorgegebene Weise bearbeitet, um die jeweiligen Nachrichten zu erstellen.
  • Besonders vorteilhaft werden die ersten Daten und/oder die zweiten Daten jeweils mittels eines Nachrichtenauthentifizierungscodes bearbeitet. Ein derartiger Nachrichtenauthentifizierungscode (engl.: „message authentication code“, MAC) ist ein kryptographisches Verfahren zur Integritäts- und Authentizitätsprüfung, wobei mittels eines Algorithmus in Abhängigkeit von den jeweiligen ersten bzw. zweiten Daten sowie von einem Schlüssel eine kryptographische Prüfsumme gebildet wird. Es kann sich dabei insbesondere um symmetrische Schlüssel handeln. Der jeweilige Schlüssel kann insbesondere in einem gesicherten Speicherbereich hinterlegt sein, beispielsweise in einem jeweiligen Hardwaresicherheitsmodul.
  • Vorzugsweise umfasst die übergeordnete Kommunikationseinrichtung eine Gateway-Einheit. Die übergeordnete Kommunikationseinrichtung kann insbesondere als ein zentrales Gateway (engl.: „central gateway“, CGW) ausgebildet sein, über welche die einzelnen Kommunikationssysteme der Netzwerkdomänen verbunden sind. Ein derartiges zentrales Gateway CGW kann als ein zentraler Kommunikationsknoten vorgesehen sein, welcher als Datenverteiler für die Kommunikation der Netzwerkdomänen und ferner über eine geeignete Kommunikationsschnittstelle mit der Außenwelt agiert.
  • Die übergeordnete Kommunikationseinrichtung kann zweckmäßigerweise im Zuge eines softwaredefinierten Netzwerks („software defined network“, SDN) vorgesehen sein und als ein sog. SDN-Controller ausgebildet sein, welcher den kompletten Datenverkehr in dem Netzwerk überwacht und steuert.
  • Ferner eignet sich das vorliegende Verfahren vorteilhafterweise auch für andere Netzwerktopologien, in welchen beispielsweise kein zentrales Gateway verwendet wird. Alternativ oder zusätzlich kann die übergeordnete Kommunikationseinrichtung bevorzugt eine Verteilereinheit bzw. einen Switch umfassen. Ein derartiger Switch weist insbesondere eine geringere funktionale Komplexität als ein zentrales Gateway auf und kann daher zweckmäßigerweise weniger fehleranfällig und performanter sein sowie eine geringere Angriffsfläche bieten als ein CGW. Da es einem Switch zumeist nicht ohne weiteres möglich ist, eine Firewall- und Angriffserkennungsfunktionalität auszuführen, umfasst die übergeordnete Kommunikationseinrichtung in einem derartigen Fall typischerweise insbesondere für jede Netzwerkdomäne ferner jeweils einen Domänencontroller (DC), welcher diese Funktionalität für die jeweilige Domäne ausführt.
  • Alternativ oder zusätzlich umfasst die übergeordnete Kommunikationseinrichtung vorteilhafterweise ein drittes Kommunikationssystem, beispielsweise ein Ethernet-Netzwerk oder einen Ethernet-Ring. Auch in diesem Fall können zweckmäßigerweise ein Switch sowie ferner ein Domänencontroller pro Netzwerkdomäne vorgesehen sein.
  • Die Erfindung eignet sich zum Einsatz für Netzwerke in unterschiedlichen Anwendungsbereichen, welche gegen Angriffe und Ausfälle geschützt werden sollen, beispielsweise für Netzwerke zur Steuerung von Maschinen oder Anlagen. In besonders vorteilhafter Weise eignet sich die Erfindung zum Einsatz im (Kraft-)Fahrzeugbereich bzw. im Automotivbereich. Das Netzwerk ist besonders vorteilhaft ein Fahrzeugnetzwerk, welches verschiedene Komponenten des Fahrzeugs miteinander vernetzt. Die einzelnen Netzwerkteilnehmer sind besonders bevorzugt jeweils als ein Steuergerät ausgebildet und/oder zweckmäßigerweise auch als Feldgeräte wie Sensoren, Aktoren usw. Das erste Kommunikationssystem und/oder das zweite Kommunikationssystem sind jeweils vorzugsweise als ein Bussystem ausgebildet, beispielsweise jeweils als ein Feldbus wie CAN, Ethernet/IP, ProfiNet, Sercos 2, Sercos III, EtherCAT, FlexRay, LIN, MOST, etc. Jede der Netzwerkdomänen ist insbesondere für eine spezifische Funktion vorgesehen und vernetzt Komponenten lokal miteinander, welche zur Ausführung der jeweiligen Funktion benötigt werden. Beispielsweise können Netzwerkdomänen für ein Infotainment-System, für Fahrassistenzfunktionen, für eine Fahrwerkssteuerung, für eine Antriebsstrangsteuerung, für eine Karosserieelektronik usw. vorgesehen sein. Die vorliegende Erfindung ermöglicht es, auch bei einem Angriff auf die übergeordnete Kommunikationseinrichtung oder einem Ausfall derselben, weiterhin eine funktionskritische Interdomänenkommunikation zu ermöglichen, so dass zumindest noch eine Grundfunktionalität der Anlage aufrecht erhalten und die Anlage noch sicher betrieben werden kann.
  • Ein erfindungsgemäßes Netzwerk, z.B. eines Kraftfahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung eines erfindungsgemäßen Verfahrens in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
  • Figurenliste
    • 1 zeigt schematisch eine bevorzugte Ausgestaltung eines erfindungsgemäßen Netzwerks, das dazu eingerichtet ist, eine bevorzugte Ausführungsform eines erfindungsgemäßen Verfahrens durchzuführen.
    • 2 zeigt schematisch eine bevorzugte Ausgestaltung eines erfindungsgemäßen Netzwerks, das dazu eingerichtet ist, eine bevorzugte Ausführungsform eines erfindungsgemäßen Verfahrens durchzuführen.
    • 3 zeigt schematisch eine bevorzugte Ausführungsform eines erfindungsgemäßen Verfahrens als ein Blockdiagramm.
  • Ausführungsform(en) der Erfindung
  • 1 zeigt schematisch eine bevorzugte Ausgestaltung eines erfindungsgemäßen Netzwerks 100, beispielsweise ein Fahrzeugnetzwerk.
  • Das Netzwerk 100 weist eine Vielzahl von Netzwerkdomänen 120, 130, 140, 150, 160 auf, die über eine übergeordnete Kommunikationseinrichtung 110 miteinander verbunden sind. Insbesondere stellt jede der Netzwerkdomänen 120, 130, 140, 150, 160 jeweils ein lokales Netzwerk dar, welches zweckmäßigerweise von den übrigen Domänen isoliert ist. Jede Netzwerkdomäne 120, 130, 140, 150, 160 weist jeweils eine Vielzahl von Netzwerkteilnehmern 121, 131, 141, 151, 161 auf, die jeweils über ein Kommunikationssystem 122, 132, 142, 152, 162 miteinander verbunden sind.
  • Die einzelnen Netzwerkteilnehmer 121, 131, 141, 151, 162 sind jeweils beispielsweise als Steuergeräte oder Feldgeräte wie Sensoren, Aktoren usw. ausgebildet. Die einzelnen Kommunikationssysteme 122, 132, 142, 152, 162 sind jeweils als ein Feldbus ausgebildet, beispielsweise CAN, CAN-FD, FlexRay, Ethernet usw.
  • Ferner ist jede Netzwerkdomäne für eine spezielle Fahrzeugfunktion vorgesehen. Beispielsweise kann die Netzwerkdomäne 120 für ein Infotainment-System vorgesehen sein, die Domäne 130 beispielsweise für Fahrassistenzfunktionen, Domäne 140 z.B. für ein Fahrwerk bzw. Chassis, die Domäne 150 etwa zur Antriebsstrangsteuerung und die Domäne 160 beispielsweise zum Steuern der Karosserieelektronik, wie z.B. Außen-und Innenbeleuchtung, Scheibenwischer, Zutrittskontrollsysteme usw..
  • Die übergeordnete Kommunikationseinrichtung 110 umfasst im vorliegenden Beispiel eine zentrale Verwaltungseinheit 111, beispielsweise ein zentrales Gateway. Ferner können weitere Komponenten mit dem Gateway 111 verbunden sein, beispielsweise eine Schnittstelle 101 für ein Fahrzeugdiagnosesystem (On-Board-Diagnose, OBD) sowie ein Verbindungssteuergerät 102 zur Kommunikation mit der Außenwelt („connectivity control unit“, CCU).
  • Das Gateway 111 dient als ein Datenverteiler für die Kommunikation der Netzwerkdomänen 120, 130, 140, 150, 160 und ermöglicht im normalen, fehlerfreien Betrieb eine Interdomänenkommunikation. Beispielsweise kann das Gateway 111 ein SDN-Controller in einem softwaredefinierten Netzwerk („software defined network“, SDN) sein, der zweckmäßigerweise den kompletten Datenverkehr in dem Netzwerk 100 steuert.
  • Eine Kommunikation von Netzwerkteilnehmern verschiedener Netzwerkdomänen miteinander erfolgt in einem fehlerfreien, ersten Betriebsmodus zweckmäßigerweise über das Gateway 111, welches entsprechende Kommunikationen mittels einer Firewall und eines Angriffserkennungssystems überwacht. Somit kann das Gateway 111 z.B. erkennen, wenn eine Netzwerkdomäne eine gefälschte Nachricht an eine andere Domäne schicken möchte, beispielsweise wenn ein Steuergerät der Infotainment-Domäne 120 eine Bremskontrollnachricht an ein Bremssteuerungsgerät der Fahrwerksdomäne 140 senden möchte.
  • Falls das Gateway 111 in einem Fehlerfall aufgrund eines Angriffs oder Ausfalls seine Funktionalität nicht mehr oder zumindest nicht mehr vollständig ausführen kann, ist es von Bedeutung, das Fahrzeug dennoch sicher betreiben zu können. In einem derartigen Fehlerfall soll daher eine funktionskritische Kommunikation von speziellen Steuergeräten verschiedener Domänen untereinander dennoch möglich sein, damit zumindest eine Grundfunktion des Netzwerks 100 bzw. des Fahrzeugs insgesamt aufrecht erhalten werden kann. Zu diesem Zweck sind im Rahmen des vorliegenden Verfahrens Bypassverbindungseinheiten 170 und 180 vorgesehen, welche eine funktionskritische Interdomänenkommunikation in einem Fehlerfall weiterhin ermöglichen. Diese Bypassverbindungseinheiten 170, 180 stellen jeweils bedingt aktivierbare, redundante Verbindungsleitungen zwischen den jeweiligen Netzwerkdomänen 130 und 140 bzw. 140 und 150 dar („Secure Fail-Safe Connectors“, SFSC).
  • Beispielsweise sind zu diesem Zweck ein erstes Steuergerät 145 der Chassis- bzw. Fahrwerksdomäne 140, beispielsweise ein Motorsteuergerät, und ein zweites Steuergerät 155 der Antriebsstrangdomäne 150, beispielsweise ein Getriebesteuergerät, über eine erste Bypassverbindungseinheit 170 verbindbar. Die Bypassverbindungseinheit 170 ist über einen ersten Bus 171 mit dem Steuergerät 145 verbunden, über einen zweiten Bus 172 mit dem Steuergerät 155 und über einen Kontrollbus 173 mit dem Gateway 111. Die Bypassverbindungseinheit 170 kann in Abhängigkeit von einer Kommunikation mit dem Gateway über den Kontrollbus 173 die Busverbindungen 171, 172 zu den Steuergeräten 145, 155 aktivieren oder deaktivieren, etwa indem entsprechende Kommunikationsschnittstellen softwaretechnisch deaktiviert bzw. aktiviert werden.
  • In einem regulären, ersten Betriebsmodus kommunizieren die Steuergeräte 145, 155 über das Gateway 111 miteinander. Die Busse 171, 172 und somit die Verbindung dieser Steuergeräte 145, 155 über die Bypassverbindungseinheit 170 sind in diesem ersten Betriebsmodus deaktiviert. Ist aufgrund eines Fehlers eine Kommunikation zwischen den Steuergeräten 145 und 155 über das Gateway 111 nicht mehr möglich, aktiviert die Bypassverbindungseinheit 170 in einem zweiten Betriebsmodus die beiden Busse 171, 172, so dass die Steuergeräte 145, 155 in einem derartigen Fehlerfall über diese hergestellte Verbindung weiterhin miteinander kommunizieren können.
  • Ferner ist beispielsweise eine zweite Bypassverbindungseinheit 180 vorgesehen, welche die gesamte Netzwerkdomänen 130 und 140 miteinander verbinden kann. Zu diesem Zweck kann die Bypassverbindungseinheit 180 über eine erste Verbindung 181 mit dem Bus 132 der Fahrassistenzdomäne 130 verbunden werden und über eine zweite Verbindung 182 mit dem Bus 142 der Fahrwerksdomäne 140. Über einen Kontrollbus 183 ist die Bypassverbindungseinheit 180 ferner mit dem Gateway 111 verbunden.
  • Entsprechend obiger Erläuterung sind in dem ersten fehlerfreien Betriebsmodus die Verbindungen 181, 182 deaktiviert, so dass eine Kommunikation der Domänen 130, 140 nur über das Gateway 111 erfolgt. In dem zweiten Betriebsmodus werden diese Verbindungen 181, 182 hingegen aktiviert und die Domänen 130, 140 bzw. deren Steuergeräte 131, 141 können über die Bypassverbindungseinheit 180 kommunizieren.
  • Insbesondere sind die Bypassverbindungseinheiten 170, 180 ferner jeweils als ein Slave (SFSC-Slave) ausgeführt. In dem Gateway 111 kann zur Kommunikation mit den Bypassverbindungseinheiten 170, 180 über die jeweilige Verbindung 173, 183 ein entsprechender Master (SFSC-Master) vorgesehen sein, beispielsweise als eine separate Hardwareeinheit oder auch als ein Softwaremodul.
  • Es ist ferner auch denkbar, die übergeordnete Kommunikationseinrichtung 110 auf andere Weise auszugestalten, beispielsweise mittels eines Switches anstatt eines Gateways. Eine entsprechende bevorzugte Ausgestaltung eines erfindungsgemäßen Netzwerks ist schematisch in 2 dargestellt und mit 200 bezeichnet.
  • Auch das Netzwerk 200 weist eine Vielzahl von Netzwerkdomänen 220, 230, 240, 250, 260 auf, in welchen jeweils eine Vielzahl von Netzwerkteilnehmern 221, 231, 241, 251, 261 über ein Kommunikationssystem 222, 232, 242, 252, 262 verbunden ist. Beispielsweise kann es sich auch bei dem Netzwerk 200 um ein Fahrzeugnetzwerk handeln, beispielsweise entsprechend obiger Erläuterung.
  • Die Netzwerkdomänen 220, 230, 240, 250, 260 sind über eine übergeordnete Kommunikationseinrichtung 210 miteinander verbunden, wobei diese Kommunikationseinrichtung 210 eine Verteilereinheit bzw. einen Switch 211 umfasst, sowie ferner jeweils einen Domänencontroller 212, 213, 214, 215, 216 pro Netzwerkdomäne 220, 230, 240, 250, 260.
  • Der Switch 211 ist über ein Kommunikationssystem 217, beispielsweise einen Feldbus, z.B. Ethernet, mit den Domänencontrollern 212, 213, 214, 215, 216 verbunden. Alternativ können der Switch 211 und die Domänencontroller 212, 213, 214, 215, 216 beispielsweise auch über einen Ethernet-Ring verbunden sein.
  • Eine Kommunikation der einzelnen Domänen 220, 230, 240, 250, 260 untereinander erfolgt in einem fehlerfreien, ersten Betriebsmodus über die Domänencontroller 212, 213, 214, 215, 216 und den Switch 211, wobei die Domänencontroller 212, 213, 214, 215, 216 jeweils eine Firewall und eine Angriffserkennung durchführen, um diese Kommunikation überwachen.
  • Auch in diesem Beispiel ist eine Bypassverbindungseinheit 270 als Fail-Safe-Verbindung („Secure Fail-Safe Connector“) vorgesehen, um bei einem Fehler einer oder mehrere Komponenten der Kommunikationseinrichtung 210 eine funktionskritische Kommunikation weiterhin zu ermöglichen.
  • Die Bypassverbindungseinheit 270 ist entsprechend obiger Beschreibung über einen ersten aktivier- bzw. deaktivierbaren Bus 271 mit einem ersten Steuergerät 245 der Domäne 240 und über einen zweiten derartigen Bus 272 mit einem zweiten Steuergerät 255 der Domäne 250 verbunden. Über einen ersten Kontrollbus 273 ist die Bypassverbindungseinheit 270 mit dem Domänencontroller 214 der Domäne 240 verbunden und über einen zweiten Kontrollbus 274 mit dem Domänencontroller 215 der Domäne 250.
  • Entsprechend obiger Erläuterung wird anhand einer Kommunikation der Bypassverbindungseinheit 270 mit den Controllern 214 und 215 über die Kontrollverbindungen 273 bzw. 274 bestimmt, ob in einem zweiten Betriebsmodus die Busse 271, 272 und somit die Verbindung der Steuergeräte 245, 255 über die Bypassverbindungseinheit 270 aktiviert werden sollen.
  • Die Bypassverbindungseinheit 270 ist insbesondere als ein Slave (SFSC-Slave) vorgesehen. Die Controller 214, 215 sind zweckmäßigerweise jeweils als entsprechender Master (SFSC-Master) vorgesehen.
  • Um in einem Fehlerfall über die jeweiligen Bypassverbindungseinheiten eine funktionskritische Interdomänenkommunikation zu ermöglichen, sind die Bypassverbindungseinheiten der Netzwerke 100 und 200 jeweils dazu eingerichtet, eine bevorzugte Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen, welche in 3 schematisch als ein Blockdiagramm dargestellt ist.
  • Nachfolgend wird das vorliegende Verfahren gemäß dieser bevorzugten Ausführungsform beispielhaft anhand der 1 und 3 erläutert, insbesondere in Bezug auf die Bypassverbindungseinheit 170 und die Steuergeräte 145, 155 des Netzwerks 100. Nachfolgende Erläuterungen sollen jedoch in entsprechender Weise auch für die Bypassverbindungseinheit 180 sowie das Netzwerk 200 und die Bypassverbindungseinheit 270 gelten.
  • In einem Schritt 301 wird das Netzwerk 100 in dem ersten Betriebsmodus betrieben, wobei die Verbindungen 171, 172 deaktiviert sind und die Steuergeräte 145, 155 über das Gateway 111 kommunizieren.
  • Im Rahmen des Verfahrens wird eine Überprüfung 310 durchgeführt, ob das Gateway 111 erreichbar ist und korrekt funktioniert. Ferner wird im Zuge dieser Überprüfung 310 verifiziert, dass kein Angreifer das Gateway 111 kompromittiert hat und der Bypassverbindungseinheit 170 durch Übermittlung gefälschter Nachrichten vortäuscht, dass das Gateway 111 fehlerfrei in Betrieb ist.
  • Zu diesem Zweck erstellt die Bypassverbindungseinheit 170 in Schritt 311 eine Zufallszahl N, z.B. mit 256 Bit Länge, und übermittelt diese über den Kontrollbus 173 an das Gateway 111. Insbesondere umfasst die Bypassverbindungseinheit 170 ein Hardwaresicherheitsmodul, welches die Zufallszahl N erstellt.
  • In einem fehlerfreien Betrieb bearbeitet das Gateway 111 in Schritt 312 diese Zufallszahl in einer vorgegebenen Weise, beispielsweise mittels eines Nachrichtenauthentifizierungscodes (MAC). Auch das Gateway 111 weist ein Hardwaresicherheitsmodul auf, welches diese Bearbeitung durchführt. Ferner erfolgt diese Bearbeitung mittels eines individuellen Schlüssels K, welcher sowohl in der Bypassverbindungseinheit 170 als auch dem Gateway 111 jeweils in dem entsprechenden Hardwaresicherheitsmodul hinterlegt ist. Als Ergebnis dieser Bearbeitung mittels des Nachrichtenauthentifizierungscodes bestimmt das Gateway 111 eine Prüfsumme C = MACK(N), welche von der Zufallszahl N und dem Schlüssel K abhängt. Das Gateway 111 übermittelt dieses Ergebnis als Nachricht über den Kontrollbus 173 an die Bypassverbindungseinheit 170.
  • Die Bypassverbindungseinheit 170 überprüft in Schritt 313, ob von dem Gateway 111 diese entsprechende Nachricht innerhalb eines vorgegebenen Zeitintervalls von z.B. 15s nach Aussenden der Zufallszahl empfangen wird.
  • Wenn die Bypassverbindungseinheit 170 die Nachricht innerhalb dieses Zeitintervalls empfängt und die Nachricht korrekt ist, deutet dies auf einen fehlerfreien Betrieb des Gateways 111 hin und es wird weiterhin der erste Betriebsmodus gemäß Schritt 301 durchgeführt.
  • Wenn die Bypassverbindungseinheit 170 innerhalb dieses Zeitintervalls keine Nachricht von dem Gateway 111 empfängt oder wenn die Bypassverbindungseinheit 170 zwar eine Nachricht C empfängt, diese aber nicht korrekt ist, d.h. C ≠ MACK(N), deutet dies darauf hin, dass das Gateway 111 nicht mehr fehlerfrei funktioniert und beispielsweise durch einen Angreifer kompromittiert wurde.
  • In diesem Fall wechselt die Bypassverbindungseinheit 170 in Schritt 314 von dem ersten in den zweiten Betriebsmodus und aktiviert die Busverbindungen 171, 172, so dass die Steuergeräte 145 und 155 direkt über die Bypassverbindungseinheit 170 miteinander kommunizieren können.
  • Ferner wird in diesem Fall in Schritt 315 eine vorgegebene Maßnahme durchgeführt. Beispielsweise kann eine Fehlermeldung ausgegeben werden und ein Fahrer des Fahrzeugs kann angewiesen werden, eine Werkstatt aufzusuchen, wo eine ausführliche Diagnose durchgeführt wird und das Netzwerk 100 bei Bedarf zurückgesetzt wird.
  • Alternativ oder zusätzlich kann in Schritt 315 auch überprüft werden, ob eine automatische Wiederherstellung des ersten Betriebsmodus erfolgen soll. Zu diesem Zweck kann die Bypassverbindungseinheit 170 weiterhin Zufallszahlen erstellen und an das Gateway 111 senden. Wenn dieses während eines Überprüfungszeitintervalls von z.B. 60s nun wieder korrekte Nachrichten auf die Zufallszahlen übermittelt, wobei zwischen zwei Nachrichten höchstens eine Zeitperiode von 5s liegen darf, kann wieder der erste Betriebsmodus durchgeführt werden.
  • Ferner wird im Rahmen des vorliegenden Verfahrens eine zweite Überprüfung 320 durchgeführt, um zu verhindern, dass ein Angreifer der Bypassverbindungseinheit 170 einen Ausfall des Gateways 111 vortäuscht, indem er die Verbindung 173 unterbricht und somit ein Aktivieren des zweiten Betriebsmodus erzwingt, gleichzeitig jedoch dem Gateway 111 vortäuscht, dass die Bypassverbindungseinheit 170 immer noch verbunden ist und sich in dem ersten Betriebsmodus befindet. In diesem Fall wäre die Verbindung zwischen den Steuergeräten 145 und 155 über die Bypassverbindungseinheit 170 permanent aktiv, ohne dass das Gateway 111 dies bemerkt.
  • Um diesem Fehlerfall vorzubeugen, erstellt das Gateway 111 insbesondere mit dem entsprechenden Hardwaresicherheitsmodul in Schritt 321 eine Zufallszahl N', z.B. eine 256 Bit Zahl. In Abhängigkeit von dieser Zufallszahl N' und von dem Schlüssel K berechnet das Gateway 111 mittels des Nachrichtenauthentifizierungscodes eine Prüfsumme C = MACK(„Master‟IINJIN'), wobei „||“ eine Konkatenationsoperation auf Bitstrings darstellt. Das Gateway 111 übermittelt diese Zufallszahl N' und diese Prüfsumme C über die Verbindung 173 an die Bypassverbindungseinheit 170.
  • Im fehlerfreien Betrieb bearbeitet die Bypassverbindungseinheit 170, insbesondere deren Hardwaresicherheitsmodul, die Zufallszahl in Schritt 322 in einer vorgegebenen Weise, beispielsweise ebenfalls mittels eines Nachrichtenauthentifizierungscodes in Abhängigkeit von dem individuellen Schlüssel K, um eine weitere Prüfsumme C' zu bestimmen. Insbesondere überprüft die Bypassverbindungseinheit 170 zunächst die empfangene Prüfsumme. Bei erfolgreicher Verifikation von C berechnet die Bypassverbindungseinheit 170 diese weitere Prüfsumme C' = MACK(„Slave‟||N') und sendet diese als Nachricht über den Kontrollbus 173 an das Gateway 111.
  • Das Gateway 111 überprüft in Schritt 323, ob innerhalb eines vorgegebenen Zeitintervalls von z.B. 15s nach Aussenden der Zufallszahl N' eine entsprechende Nachricht C' empfangen wird.
  • Wenn dies der Fall ist und wenn die empfangene Nachricht C' korrekt ist, deutet dies auf einen fehlerfreien Betrieb hin. In diesem Fall wird weiterhin der erste Betriebsmodus gemäß Schritt 301 durchgeführt.
  • Wenn die Bypassverbindungseinheit 170 hingegen innerhalb dieses Zeitintervalls keine derartige Nachricht C' aussendet oder wenn das Gateway zwar eine Nachricht C' empfängt, diese aber nicht korrekt ist, d.h. C' ≠ MACK(„Slave‟||N'), deutet dies darauf hin, dass die Bypassverbindungseinheit 170 kompromittiert sein kann.
  • In diesem Fall wird in Schritt 324 eine vorgegebene Maßnahme durchgeführt, beispielsweise wird eine Fehlermeldung ausgegeben und der Fahrer wird angewiesen, eine Werkstatt aufzusuchen, um eine ausführliche Diagnose durchzuführen und das Netzwerk 100 bei Bedarf zurückzusetzen.
  • Es sei der Vollständigkeit halber darauf hingewiesen, dass anstelle der Verwendung symmetrischer Schlüssel K auch die Verwendung asymmetrischer Schlüssel (d.h. eines privaten und eines Öffentlichen Schlüssels je Teilnehmer) möglich ist.

Claims (14)

  1. Verfahren zum Betreiben eines Netzwerks (100), insbesondere in einem Fahrzeug, wobei in einer ersten Netzwerkdomäne (140) eine erste Anzahl von Netzwerkteilnehmern (141) über ein erstes Kommunikationssystem (142) datenübertragend verbunden ist, und in einer zweiten Netzwerkdomäne (151) eine zweite Anzahl von Netzwerkteilnehmern (151) über ein zweites Kommunikationssystem (152) datenübertragend verbunden ist, wobei die erste Netzwerkdomäne (140) und die zweite Netzwerkdomäne (150) über eine übergeordnete Kommunikationseinrichtung (110) datenübertragend verbunden sind, wobei wenigstens ein erster Netzwerkteilnehmer (145) der ersten Anzahl von Netzwerkteilnehmern (141) und wenigstens ein zweiter Netzwerkteilnehmer (155) der zweiten Anzahl von Netzwerkteilnehmern (150) über eine Bypassverbindungseinheit (170) datenübertragend miteinander verbindbar sind, wobei in einem ersten Betriebsmodus (301) die Verbindung zwischen dem wenigstens einen ersten Netzwerkteilnehmer (145) und dem wenigstens einen zweiten Netzwerkteilnehmer (155) über die Bypassverbindungseinheit (170) deaktiviert ist und eine Kommunikation zwischen dem wenigstens einen ersten Netzwerkteilnehmer (145) und dem wenigstens einen zweiten Netzwerkteilnehmer (155) über die übergeordnete Kommunikationseinrichtung (110) durchgeführt wird, wobei in einem zweiten Betriebsmodus (314) die Verbindung zwischen dem wenigstens einen ersten Netzwerkteilnehmer (145) und dem wenigstens einen zweiten Netzwerkteilnehmer (155) über die Bypassverbindungseinheit (170) aktiviert ist und die Kommunikation zwischen dem wenigstens einen ersten Netzwerkteilnehmer (145) und dem wenigstens einen zweiten Netzwerkteilnehmer (155) über die Bypassverbindungseinheit (170) durchgeführt wird.
  2. Verfahren nach Anspruch 1, wobei die Bypassverbindungseinheit (170) und die übergeordnete Kommunikationseinrichtung (110) datenübertragend verbunden sind, wobei der erste Betriebsmodus durchgeführt wird (301), wenn ein fehlerfreier Datenaustausch zwischen der Bypassverbindungseinheit (170) und der übergeordneten Kommunikationseinrichtung (110) festgestellt wird, und wobei der zweite Betriebsmodus (314) und/oder eine vorgegebene Maßnahme (315) durchgeführt werden, wenn kein fehlerfreier Datenaustausch zwischen der Bypassverbindungseinheit (170) und der übergeordneten Kommunikationseinrichtung (110) festgestellt wird.
  3. Verfahren nach Anspruch 2, wobei der erste Betriebsmodus durchgeführt wird (301), wenn wieder ein fehlerfreier Datenaustausch zwischen der Bypassverbindungseinheit (170) und der übergeordneten Kommunikationseinrichtung (110) festgestellt wird, nachdem kein fehlerfreier Datenaustausch zwischen der Bypassverbindungseinheit (170) und der übergeordneten Kommunikationseinrichtung (110) festgestellt wurde.
  4. Verfahren nach Anspruch 2 oder 3, wobei ein fehlerfreier Datenaustausch festgestellt wird, wenn die Bypassverbindungseinheit (170) eine erste Anzahl von ersten Nachrichten in einem ersten Zeitintervall von der übergeordneten Kommunikationseinrichtung empfängt (313), und/oder wobei kein fehlerfreier Datenaustausch festgestellt wird, wenn die Bypassverbindungseinheit (170) die erste Anzahl an ersten Nachrichten in dem ersten Zeitintervall von der übergeordneten Kommunikationseinrichtung (110) nicht empfängt.
  5. Verfahren nach Anspruch 4, wobei die Bypassverbindungseinheit (170) erste Daten an die übergeordnete Kommunikationseinrichtung (110) übermittelt (311) und wobei die übergeordnete Kommunikationseinrichtung (110) die ersten Daten in einer ersten vorgegebenen Weise bearbeitet, um die ersten Nachrichten zu erstellen (312).
  6. Verfahren nach einem der Ansprüche 2 bis 5, wobei ein fehlerfreier Datenaustausch festgestellt wird, wenn die übergeordnete Kommunikationseinrichtung (110) eine zweite Anzahl von zweiten Nachrichten in einem zweiten Zeitintervall von der Bypassverbindungseinheit (170) empfängt (323), und/oder wobei kein fehlerfreier Datenaustausch festgestellt wird, wenn die übergeordnete Kommunikationseinrichtung (110) die zweite Anzahl von zweiten Nachricht in dem zweiten Zeitintervall von der Bypassverbindungseinheit (170) nicht empfängt.
  7. Verfahren nach Anspruch 6, wobei die übergeordnete Kommunikationseinrichtung (110) zweite Daten an die Bypassverbindungseinheit (170) übermittelt (321) und wobei die Bypassverbindungseinheit (170) die zweiten Daten in einer zweiten vorgegebenen Weise bearbeitet, um die zweiten Nachrichten zu erstellen (322).
  8. Verfahren nach einem der vorstehenden Ansprüche, wobei die übergeordnete Kommunikationseinrichtung (110) eine Gateway-Einheit (111) und/oder eine Verteilereinheit (211) und/oder ein drittes Kommunikationssystem (217) umfasst.
  9. Verfahren nach einem der vorstehenden Ansprüche, wobei die einzelnen Netzwerkteilnehmer jeweils als ein Steuergerät ausgebildet sind und/oder wobei das erste Kommunikationssystem und/oder das zweite Kommunikationssystem jeweils als ein Bussystem ausgebildet sind.
  10. Bypassverbindungseinheit (170, 180, 270) mit zwei Datenschnittstellen und einer Kontrollschnittstelle, die dazu eingerichtet ist, in Abhängigkeit von an der Kontrollschnittstelle ankommenden ersten Nachrichten in einen ersten Betriebsmodus (301) zu wechseln und die zwei Datenschnittstellen nicht datenübertragend zu verbinden, oder in einen zweiten Betriebsmodus (314) zu wechseln und die zwei Datenschnittstellen datenübertragend zu verbinden.
  11. Bypassverbindungseinheit (170, 180, 270) nach Anspruch 10, die dazu eingerichtet ist, in Abhängigkeit von an der Kontrollschnittstelle ankommenden zweiten Daten zweite Nachrichten zu erzeugen und an der Kontrollschnittstelle auszugeben.
  12. Netzwerk (100, 200), das dazu eingerichtet ist, alle Verfahrensschritte eines Verfahrens nach einem der Ansprüche 1 bis 9 durchzuführen.
  13. Computerprogramm, das ein Netzwerk (100, 200) dazu veranlasst, alle Verfahrensschritte eines Verfahrens nach einem der Ansprüche 1 bis 9 durchzuführen, wenn es in dem Netzwerk (100, 200) ausgeführt wird.
  14. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 13.
DE102020209043.2A 2020-07-20 2020-07-20 Verfahren zum Betreiben eines Netzwerks und Bypassverbindungseinheit Pending DE102020209043A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020209043.2A DE102020209043A1 (de) 2020-07-20 2020-07-20 Verfahren zum Betreiben eines Netzwerks und Bypassverbindungseinheit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020209043.2A DE102020209043A1 (de) 2020-07-20 2020-07-20 Verfahren zum Betreiben eines Netzwerks und Bypassverbindungseinheit

Publications (1)

Publication Number Publication Date
DE102020209043A1 true DE102020209043A1 (de) 2022-01-20

Family

ID=79021252

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020209043.2A Pending DE102020209043A1 (de) 2020-07-20 2020-07-20 Verfahren zum Betreiben eines Netzwerks und Bypassverbindungseinheit

Country Status (1)

Country Link
DE (1) DE102020209043A1 (de)

Similar Documents

Publication Publication Date Title
EP3501154B1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP2954498B1 (de) Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
EP2684154B1 (de) Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk
DE102011120872B4 (de) Verfahren zur Nachrichtenübertragungs-Deaktivierungsprüfung eines Controllerbereichsnetzes
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
DE102011077409A1 (de) Verbindungsknoten für ein Kommunikationsnetz
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102005061392A1 (de) Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem
WO2016134855A1 (de) Kraftfahrzeug-kommunikationsnetzwerk mit switchvorrichtung
DE102018114739A1 (de) Betriebsprotokoll und -verfahren des Fahrzeugnetzwerks
WO2016020449A1 (de) Verfahren zum betreiben einer sicherheitssteuerung und automatisierungsnetzwerk mit einer solchen sicherheitssteuerung
EP3496975B1 (de) Kraftfahrzeug mit einem in mehrere getrennte domänen eingeteilten datennetzwerk sowie verfahren zum betreiben des datennetzwerks
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
EP3138242A1 (de) Datennetzwerk einer einrichtung, insbesondere eines fahrzeugs
DE102020125262A1 (de) Warnsystem für Controller Area Networks
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102020209043A1 (de) Verfahren zum Betreiben eines Netzwerks und Bypassverbindungseinheit
DE102016212816A1 (de) Verfahren und Vorrichtung zum Betreiben eines Bussystems
DE19960959C2 (de) Vorrichtung zum manipulationssicheren Datenaustausch in einem Kraftfahrzeug
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
DE102016210625B4 (de) Verfahren und Vorrichtungen zum Testen der Erreichbarkeit von Ethernet-Netzwerkknoten in heterogenen Netzwerken
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102017208545A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102010063528B4 (de) Verfahren zum Verbinden von Busleitungen zu Bussen und Vorrichtung zur Ausführung des Verfahrens