DE102020214945A1 - Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem - Google Patents

Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem Download PDF

Info

Publication number
DE102020214945A1
DE102020214945A1 DE102020214945.3A DE102020214945A DE102020214945A1 DE 102020214945 A1 DE102020214945 A1 DE 102020214945A1 DE 102020214945 A DE102020214945 A DE 102020214945A DE 102020214945 A1 DE102020214945 A1 DE 102020214945A1
Authority
DE
Germany
Prior art keywords
time difference
message
communication medium
determined
bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020214945.3A
Other languages
English (en)
Inventor
Oleg Schell
Marcel Kneib
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102020214945.3A priority Critical patent/DE102020214945A1/de
Priority to US17/453,531 priority patent/US20220174073A1/en
Priority to CN202111421745.1A priority patent/CN114567456A/zh
Publication of DE102020214945A1 publication Critical patent/DE102020214945A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40039Details regarding the setting of the power status of a node according to activity on the bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L7/00Arrangements for synchronising receiver with transmitter
    • H04L7/04Speed or phase control by synchronisation signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem (100, in dem mehrere Teilnehmer (110, 112) an ein Kommunikationsmedium (120) angebunden sind und darüber Nachrichten austauschen, wobei eine Zeitdifferenz von Empfangszeitpunkten (t1, t2) einer auf dem Kommunikationsmedium (120) versendeten Nachricht an zwei verschiedenen, vorgegebenen Positionen (P1, P2) auf dem Kommunikationsmedium (120) ermittelt wird, und wobei anhand eines Vergleichs der Zeitdifferenz mit wenigstens einer Referenz-Zeitdifferenz bestimmt wird, ob die Nachricht von einem verifizierten Teilnehmer stammt.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem sowie eine Recheneinheit und ein Computerprogramm zu dessen Durchführung.
  • Hintergrund der Erfindung
  • Durch die zunehmende Digitalisierung kommt es zu einem immer größeren Einsatz von drahtlosen Schnittstellen in alltäglichen Produkten oder Systemen wie Fahrzeugen. Trotz vieler Vorteile bieten solche Schnittstellen auch zunehmende Möglichkeiten für Angriffe. Ein besonderes Problem sind z.B. Angriffe auf elektronische Steuergeräte (ECUs), die in Fahrzeugen für verschiedene Funktionen und den Datenaustausch über fahrzeuginterne Kommunikationssysteme verantwortlich sind. Ein Angreifer kann sich z.B. in die Lage versetzen, sicherheitskritische Funktionen wie die Lenkung, das Bremsen oder eine Motorsteuerung zu beeinflussen. Typische, z.B. in Fahrzeugen verwendete Kommunikationssysteme bzw. Kommunikationsmedien wie der CAN-Bus wurden an sich ohne Sicherheitsmaßnahmen konzipiert, womit solche Angriffe verhindert werden könnten.
  • Damit kann sich ein Angreifer z.B. durch Anschließen eines zusätzlichen Geräts oder durch Beeinflussung vorhandener Steuergeräte auf dem Kommunikationsmedium als ein anderer Teilnehmer ausgeben und nicht autorisierte Nachrichten übertragen. Aufgrund des erwähnten Mangels an Sicherheitsmaßnahmen für z.B. das CAN-Protokoll können solche Identitätsübernahmen erfolgreich durchgeführt werden, da die (anderen) Teilnehmer die Authentizität der übertragenen Nachrichten nicht überprüfen können.
  • Offenbarung der Erfindung
  • Erfindungsgemäß werden ein Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem sowie eine Recheneinheit und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Die Erfindung beschäftigt sich mit dem Überprüfen einer Nachricht in einem Kommunikationssystem, in dem mehrere Teilnehmer an ein Kommunikationsmedium angebunden sind und darüber Nachrichten austauschen.
  • Im Allgemeinen ist das Problem fehlender Sicherheitsmaßnahmen für Kommunikationsmedien wie einem CAN-Bus bekannt. Zur Lösung können z.B. physikalische Eigenschaften der einzelnen Teilnehmer (es handelt sich hier typischerweise um Steuergeräte) genutzt werden, um die Quelle einer übertragenen Nachricht zu identifizieren. Beispielsweise können bei einem taktbasierten (clockbased) Angriffserkennungssystem (Intrusion-Detection-System, sog. CIDS) die einzelne Taktversätze jedes Teilnehmers während der periodischen Nachrichtenübertragung verwendet werden, um Schlussfolgerungen über die Authentizität des Senders zu ziehen. Diese Taktversätze können verwendet werden, um Abweichungen von und Anomalien des zuvor beobachteten periodischen Übertragungsverhaltens zu erkennen, die wiederum auf einen nicht autorisierten Ursprung einer Nachricht hinweisen. Damit können aber aperiodische Nachrichten nicht ausgewertet werden, und ein Angreifer ist auch in der Lage, das System zu umgehen, indem er den Taktversatz auf dem Kommunikationsmedium beobachtet und anschließend seine Übertragungen an den Versatz des zu imitierenden Teilnehmers anpasst.
  • Außerdem können Intrusion-Detection-Systeme verwendet werden, die auf spezifischen Spannungseigenschaften einzelner Teilnehmer während ihrer Übertragungsvorgänge aufbauen. Hierbei kann ein Modell der Spannungssignatur aus autorisierten Nachrichten erstellt und mit den Spannungssignaturen, die während des normalen Nachrichtenaustauschs beobachtet werden, verglichen werden. Obwohl damit im Allgemeinen gute Ergebnisse bei der Erfassungsgenauigkeit erzielt werden können, sind Spannungsschwankungen aufgrund von Temperaturänderungen problematisch. Außerdem ist hierfür in der Regel ein hoher Ressourcenbedarf aufgrund einer umfassenden Analyse des Spannungssignals nötig.
  • Bestehende Ansätze zur Bereitstellung von Authentifizierung, die auf physikalischen Eigenschaften wie internen Uhren oder Spannungen basieren, stellen entweder hohe Anforderungen an die Rechenressourcen, sind nicht robust gegen Signalschwankungen oder können durch einen ausgeklügelten Angriff umgangen werden.
  • Bei dem im Rahmen der Erfindung vorgeschlagenen Vorgehen wird nun eine Zeitdifferenz zwischen Empfangszeitpunkten einer auf dem Kommunikationsmedium versendeten Nachricht an zwei verschiedenen, vorgegebenen Positionen auf dem Kommunikationsmedium ermittelt. Dabei sind die beiden Laufzeiten der Nachricht vom sendenden Teilnehmer bis zu den zwei Positionen als absolute Werte nicht relevant, nur deren Differenz, also eine Laufzeitdifferenz. Diese kann durch ein Erfassungsmittel, das - mit entsprechend gestalteter Anbindung - die Nachricht an den beiden Positionen erfasst, bestimmt werden. Anhand eines Vergleichs der Zeitdifferenz mit wenigstens einer Referenz-Zeitdifferenz wird dann bestimmt, ob die Nachricht von einem verifizierten Teilnehmer stammt. Solche Referenz-Zeitdifferenzen können z.B. durch Testmessungen ermittelt werden, bei denen sichergestellt ist, dass kein Angreifer eine Nachricht auf dem Kommunikationsmedium verändert oder überhaupt versendet.
  • Wenn die Zeitdifferenz z.B. um weniger als einen vorgegebenen Schwellwert von einer Referenz-Zeitdifferenz abweicht, kann bestimmt bzw. davon ausgegangen werden, dass die Nachricht von einem verifizierten Teilnehmer stammt. Andernfalls hingegen kann bestimmt bzw. davon ausgegangen werden, dass die Nachricht nicht von einem verifizierten Teilnehmer stammt und insbesondere ein Angriffsversuch auf das Kommunikationssystem vorliegt. Generell kann auch ein geeignetes Modell verwendet werden, um den Vergleich durchzuführen. Ein solches Modell beschreibt insbesondere für eine Vielzahl von Teilnehmern bzw. das ganze Kommunikationssystem die zugehörigen Laufzeitdifferenzen und kann dann dazu dienen, eine später für einen bestimmten Teilnehmer (oder mehrere oder alle Teilnehmer) gemessene Laufzeitdifferenz zu „verifizieren“.
  • Es wird also eine Implementierung vorgeschlagen, die sowohl die Bereitstellung der Authentifizierung basierend auf Signal- bzw. Nachrichtenausbreitungszeiten realisiert als auch in eingebetteten Systemen effizient realisierbar ist. Durch die Verwendung eines sog. TDCs, eines Time-to-Digital-Converter bzw. -Wandlers, der typischerweise besonders kostengünstig ist, kann die Zeitdifferenz besonders einfach und schnell bestimmt werden, während die Anforderung einer leistungsstarken Abtasthardware wie z.B. eines schnellen ADCs (Analog-Digital-Wandler) entfällt. Darüber hinaus ist der Rechenaufwand für die Berechnung und Bewertung der Zeitdifferenz relativ gering, da zum Vergleich einfachere Techniken verwendet werden können.
  • Im Vergleich zu Intrusion-Detection-Ansätzen, bei denen das Taktverhalten oder Spannungen verwendet werden, erlaubt das vorgeschlagene Vorgehen ein höheres Maß an Zuverlässigkeit und Korrektheit. Damit kann z.B. ein Intrusion-Detection-System (oder Intrusion-Prevention-System) bereitgestellt werden, mit dem ein Standard des sog. Automotive Safety Integrity Level (ASIL) erreicht wird, da hohe Identifikationsraten und eine sehr niedrige Falsch-Positiv-Rate erreicht werden können. In dieser Hinsicht kann sogar in Betracht gezogen werden, böswillige Nachrichten auf dem Kommunikationsmedium zu blockieren oder aktiv ungültig zu machen, um erfolgreiche Angriffe zu verhindern.
  • Da angenommen werden kann, dass die Signalausbreitung kaum durch äußere Einflüsse wie Alterung oder Materialverschleiß auf einem Kommunikationsmedium beeinflusst wird, sind ausgeklügelte Aktualisierungsverfahren zur Identifizierung physikalischer Absender nicht nötig. Selbst wenn es Einflüsse auf die Signalausbreitung geben sollte, würden diese die Ausbreitungszeit nur sehr langsam und allmählich beeinflussen. Abrupte Änderungen sind nicht zu erwarten. Vielmehr ergibt sich dadurch die Möglichkeit, dass die Referenz-Zeitdifferenzen immer wieder anhand der gemessenen Zeitdifferenzen angepasst werden. Damit können z.B. alterungsbedingte, geringe Änderungen in den Laufzeiten berücksichtigt werden.
  • Im Allgemeinen kann jedes System bzw. Kommunikationssystem, das eine Bustopologie (z.B. CAN, CAN FD, CAN XL, 10BASET1S, etc.) für die Kommunikation zwischen mehreren Teilnehmern implementiert und eine Broadcasting-Übertragung nutzt, die vorgeschlagene Methodik einsetzen. Basierend auf der Möglichkeit, die sendende Quelle einer Nachricht zu lokalisieren, kann die Authentifizierung dort bereitgestellt werden, wo sie fehlt, oder vorhandene Sicherheitsrealisierungen für ein zuverlässigeres Sicherheitskonzept erweitern. In dieser Hinsicht spielt es keine Rolle, welches Kommunikationsprotokoll implementiert ist, sofern jeweils nur ein Teilnehmer auf dem Bus aktiv ist.
  • Eine erfindungsgemäße Recheneinheit, z.B. ein ASIC oder ein Mikrocontroller, z.B. in einem Steuergerät eines Kraftfahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung eines erfindungsgemäßen Verfahrens in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
  • Figurenliste
    • 1 zeigt schematisch ein Kommunikationssystem, bei dem ein erfindungsgemäßes Verfahren durchführbar ist, in zwei Varianten.
    • 2 zeigt schematisch einen Ablauf eines erfindungsgemäßen Verfahrens in einer Bevorzugten Ausführungsform.
    • 3 zeigt ein Diagramm mit Referenz-Zeitdifferenzen, wie sie bei einem erfindungsgemäßen Verfahren verwendet werden können.
  • Ausführungsform(en) der Erfindung
  • In 1 ist schematisch ein Kommunikationssystem, bei dem ein erfindungsgemäßes Verfahren durchführbar ist, in zwei Varianten dargestellt. In 1a ist hier ein Kommunikationssystem 100 mit beispielhaft zwei Teilnehmern 110, 112 gezeigt, die an ein Kommunikationsmedium 120 angebunden bzw. angeschlossen sind. Bei den Teilnehmern 110, 112 kann es sich z.B. um Steuergeräte in einem Fahrzeug handeln, bei dem Kommunikationsmedium 120 z.B. um einen CAN-Bus.
  • Weiterhin ist eine Recheneinheit 130 gezeigt, die dazu eingerichtet ist und dazu verwendet wird, eine Zeitdifferenz von Empfangszeitpunkten einer auf dem Kommunikationsmedium versendeten Nachricht an zwei verschiedenen, vorgegebenen Positionen P1 und P2 auf dem Kommunikationsmedium 120 zu ermitteln. Die beiden Empfangszeitpunkte sind mit t1 und t2 angedeutet, und zwar mit dem Teilnehmer 110 als Sender. Hierzu kann die Recheneinheit 130 an den Positionen P1 und P2 an das Kommunikationsmedium 120 angebunden sein. Die Recheneinheit 130 soll nachfolgend noch näher erläutert werden.
  • In 1b ist ein Kommunikationssystem 100' gezeigt, das sich an sich nicht vom Kommunikationssystem 100 gemäß 1a unterscheidet, allerdings sind anstelle der Recheneinheit 130 ein Time-to-Digital-Converter (TDC) 140 und ein Mikrocontroller 142 vorgesehen, die ebenfalls dazu eingerichtet sind und dazu verwendet werden, eine Zeitdifferenz von Empfangszeitpunkten einer auf dem Kommunikationsmedium versendeten Nachricht an den zwei Positionen P1 und P2 auf dem Kommunikationsmedium 120 zu ermitteln. Die hierdurch gebildete Recheneinheit soll ebenfalls nachfolgend noch näher erläutert werden.
  • Zunächst soll das allgemeine Vorgehen des vorgeschlagenen Verfahrens, das letztlich ein Intrusion-Detection-System bzw. ein Intrusion-Prevention-System darstellt bzw. ermöglicht, erläutert werden. Hierbei sollen die tatsächlichen Zeitdifferenzen unter Verwendung gültiger Nachrichten von jedem Teilnehmer gemessen werden, wenn sicher kein Angreifer vorhanden ist. Insbesondere wird hierbei also jeder Teilnehmer des Kommunikationssystems vermessen. Damit werden Referenz-Zeitdifferenzen erhalten, die auch in 3 noch gezeigt werden. Hierzu können z.B. kryptografisch gesicherte Nachrichten verwendet werden, oder Nachrichten, die in einer gesicherten Umgebung wie einer Werkstatt oder einer Fabrik gesendet werden. In dieser Lernphase wird anhand der ermittelten Zeitdifferenzen z.B. ein Modell für spätere Vergleiche erstellt. Ein einfacheres Modell kann z.B. eine Look-Up-Tabelle, eine Wahrscheinlichkeitsverteilung oder einen Entscheidungsbaum umfassen.
  • Nach dieser Phase kann das gesamte Kommunikationssystem in Betrieb genommen werden, wobei die Zeitdifferenz der aktuell übertragenen Nachricht bestimmt und mit dem zuvor festgelegten Modell bewertet wird. Denkbar ist prinzipiell auch, dass eine Vielzahl von Zeitdifferenzen für Nachrichten unterschiedlicher Teilnehmer bestimmt und mit dem Modell aller Teilnehmer verglichen. Zusätzlich können Absenderinformationen (im Fall von CAN ist dies z.B. die Nachrichtenkennung bzw. ID) extrahiert und auf deren Grundlage die Authentizität überprüft werden. Gemäß dem implementierten Kommunikationsprotokoll (also z.B. dem CAN-Protokoll) kann, wenn gewünscht, eine entsprechende Gegenmaßnahme eingeleitet werden, um die laufende Übertragung ungültig zu machen (bei CAN kann dies z.B. das Senden einer Fehlernachricht oder Blockieren des Busses sein), falls der Absender (also der aktuelle überprüfte Teilnehmer) als nicht autorisiert eingestuft wird. Alternativ oder zusätzlich kann auch vorgesehen sein, eine Benachrichtigung an eine entsprechende Stelle (z.B. ein Nutzer des Steuergeräts) oder ein Logging (Protokollieren) des Ergebnisses vorzunehmen.
  • Zur Realisierung der vorgenannten Funktionen sind vor allem zwei Komponenten nötig, die z.B. in einer gemeinsamen Recheneinheit wie z.B. der Recheneinheit 130 - diese kann z.B. eine anwendungsspezifische integrierte Schaltung (ASIC) sein - vorgesehen sein können. Die erste Komponente, z.B. die Komponente 132 gemäß 1a, bestimmt dann die Zeitdifferenz auf dem Kommunikationsmedium. Sie soll im Folgenden auch als PDDC („Propagation Difference Determination Component“) bezeichnet werden. Das PDDC könnte z.B. als Teil des ASICs entwickelt bzw. bereitgestellt werden oder als eine andere unabhängige Schaltung, die die Zeitdifferenz von zwei Signalen an den zwei Positionen, z.B. auch den Enden, des Kommunikationsmediums auf der Basis z.B. eines internen Zeitgebers misst.
  • Ferner ist eine Verarbeitungseinheit erforderlich, die nachfolgend auch als PU („Processing Unit“) bezeichnet, wie in 1a mit 134 bezeichnet, um die erfasste Zeitdifferenz zu verarbeiten. Dies kann ebenfalls Teil des ASICs sein.
  • Abhängig von den Aufgaben, die übernommen werden sollen, kann stattdessen z.B. ein einfacher oder auch leistungsfähigerer Mikrocontroller 142 (vgl. 1b) oder ein bestimmter Prozessorkern verwendet werden. Zum Bestimmen der Zeitdifferenz kann dann insbesondere ein TDC 140 verwendet werden. Basierend auf der gewünschten Implementierung kann das vorgeschlagene System beispielsweise aus Standardkomponenten wie einem TDC und einem Mikrocontroller aufgebaut werden. Grundsätzlich denkbar ist aber auch, einen TDC in einen ASIC zu integrieren.
  • In 2 ist nun der Ablauf eines erfindungsgemäßen Verfahrens in einer Bevorzugten Ausführungsform schematisch dargestellt, und zwar unter Bezug auf die Komponenten PDDC 132 und PU 134 (vgl. 1a), in denen jeweils Teile des Verfahrens durchgeführt werden.
  • Abhängig von der gewünschten und verfügbaren Betriebsart muss z.B. das PDDC 132 zunächst beim Systemstart von der PU 134 gemäß Schritt 210 konfiguriert werden. Die Konfiguration kann über Kommunikationskanäle wie SPI oder I2C bei Standard-Hardware oder durch statisches Beladen von Registern mit Standardwerten erfolgen, falls ein ASIC verwendet wird. Mögliche Eigenschaften, die für die Konfiguration berücksichtigt werden könnten, sind unter anderem die Anzahl der durchzuführenden Messungen und die Frage, ob bei einer fallenden oder steigenden Signalflanke ausgelöst werden soll. Nach Abschluss der Konfiguration wartet die PU 134 gemäß Schritt 212 aktiv auf eine Nachrichtenübertragung auf dem Kommunikationsmedium oder wird von dieser ausgelöst.
  • Mit der Erkennung einer übertragenen Nachricht 200 werden notwendige Senderinformationen gemäß Schritt 214 von der PU 134 extrahiert. Diese Informationen können die Nachrichtenkennung im Fall von CAN oder eine MAC-Adresse im Fall von Ethernet darstellen. Durch Bereitstellen einer Verbindung vom Kommunikationsmedium zur PU 134 können diese Informationen im Allgemeinen auf zwei Arten erhalten werden. Entweder bestimmt die PU 134 dies aktiv, indem sie einen GPIO-Port (General Purpose Input / Output) und einen entsprechenden Timer verwendet, um die einzelnen Bits auf dem Kommunikationsmedium zu erfassen, oder es kann ein General Timer IP-Modul (GTM, vgl. auch Komponente 144 in 1b) verwendet werden, das die Bits unabhängig von der PU 134 über einen GPIO-Port aufzeichnet und das Ergebnis nach Abschluss der Abtastung bereitstellt. GTMs werden bereits im Automobilbereich eingesetzt und sind in Automobil-Mikrocontroller-Architekturen zu finden.
  • An dieser Stelle sollte beachtet werden, dass die Senderinformationen abhängig vom verwendeten Kommunikationsprotokoll auch mit dedizierten Schaltungen extrahiert werden können. Bei CAN kann die Nachrichtenkennung beispielsweise über den CAN-Controller erfasst werden, was jedoch den Koordinationsaufwand für die gesamte Prozedur erhöht. Basierend auf den Absenderinformationen wird die Zuordnung zwischen der übertragenen Nachricht und der sendenden Einheit hergestellt.
  • Wenn festgestellt wurde, dass eine Nachricht gesendet wird, aktiviert die PU 134 im nächsten Schritt das PDDC 132 (das gemäß Schritt 206 auf die Aktivierung wartet) und wartet gemäß Schritt 216 auf den Empfang des Ergebnisses. Das PDDC 132 verlässt nun den Ruhezustand und wartet gemäß Schritt 208 auf eine Änderung eines Signals, das auf dem Signal 202 vom Messpunkt an Position P1 und dem Signal 204 vom Messpunkt an Position P2 beruht. Dabei sollte nur ein Sender (bzw. Teilnehmer) das Kommunikationsmedium belegen, wenn das PDDC 132 aktiviert ist. Andernfalls würde das erhaltene Ergebnis ggf. nicht der tatsächlichen Zeitdifferenz entsprechen.
  • Anschließend werden die aufgezeichneten Empfangszeitpunkte bzw. Laufzeiten vom PDDC 132 an die PU 134 übertragen, wonach das PDDC 132 wieder in den Ruhezustand wechselt und auf die nächste Aktivierung wartet.
  • Sobald die Zeitdifferenz bestimmt ist, hängen die nächsten Schritte im Vorgehen vom Systemstatus 218 ab. Wurden grundlegende Änderungen am Kommunikationsmedium vorgenommen oder wurde das System zum ersten Mal eingeschaltet, wird eine Lernphase durchgeführt. Vorteilhaft ist auch, eine solche Lernphase bei jedem Start durchzuführen. Dabei wird gemäß Schritt 222 und der Zeitdifferenz und ggf. den Absenderinformationen ein Modell 228 aufgebaut, das die schon erwähnten Referenz-Zeitdifferenzen umfasst. Das Modell wird später für die Klassifizierung 220 und Intrusion-Detection 224, also die Erkennung eines Angreifers, verwendet.
  • Es ist wichtig, dass während dieser Phase die Abwesenheit eines Angreifers sichergestellt werden kann, da andernfalls das Modell beschädigt werde könnte bzw. nicht richtig erstellt werden kann. Um die Bedienung des Systems so einfach wie möglich zu halten, können verschiedene Modelle in Betracht gezogen werden, einschließlich Look-Up-Tabellen, Entscheidungsbäumen oder Wahrscheinlichkeitsverteilungen, um die Zeitdifferenz mit Referenz-Zeitdifferenzen zu vergleichen.
  • In 3 ist beispielhaft ein Diagramm mit Referenz-Zeitdifferenzen, wie sie bei einem erfindungsgemäßen Verfahren verwendet werden können, dargestellt, und zwar als ein Wahrscheinlichkeitsverteilungsmodell von acht Sendern bzw. Teilnehmern auf dem Kommunikationsmedium unter Verwendung einer Gauss-Verteilung. Hierzu ist eine Wahrscheinlichkeitsdichte über einer Zeitdifferenz Δt (beispielhaft in ns) aufgetragen.
  • Unabhängig davon, welches Modell gewählt wird, wird die Zeitdifferenz im Klassifizierungsschritt 220 verwendet, um den tatsächlichen Absender zu bestimmen. Basierend auf den extrahierten Absenderinformationen in den Anfangsschritten - also z.B. den Referenz-Zeitdifferenzen ΔtR - sowie den tatsächlich bestimmten Absenderinformationen - und der tatsächlichen Zeitdifferenz Δt - im Klassifizierungsschritt 220, wird eine Aussage über die Authentizität der übertragenen Nachricht 200 getroffen, sowie ein möglicher Angriff erkannt und ggf. gekennzeichnet. Beispielhaft sind in 2 Schwellwerte ΔtS gezeigt, die verwendet werden können, um zu beurteilen, ob bei einer ermittelten tatsächlichen Zeitdifferenz Δt noch auf einen verifizierten Teilnehmer geschlossen wird (z.B. wenn die Zeitdifferenz um weniger als den Schwellwert von der Referenz-Zeitdifferenz abweicht) oder nicht. In letzterem Fall können entsprechende Maßnahmen ergriffen werden, einschließlich z.B. Protokollierung des Eindringens, Warnung des Fahrers des Fahrzeugs oder Durchführung von Gegenmaßnahmen.
  • Wenn die Übertragung legitim ist, kann die berechnete Zeitdifferenz für eine Modellaktualisierung 226 berücksichtigt werden, um mögliche inkrementelle Änderungen der Ausbreitungsdifferenzen aufgrund externer Einflüsse wie Temperatur oder Alterung zu bewältigen. Nach diesem Schritt kehrt das System in den Zustand „Warten auf Übertragung“ gemäß Schritt 212 zurück und leitet diesen Vorgang erneut ein, wenn die nächste Nachricht über das Kommunikationsmedium übertragen wird.

Claims (11)

  1. Verfahren zum Überprüfen einer Nachricht (200) in einem Kommunikationssystem (100, 100'), in dem mehrere Teilnehmer (110, 112) an ein Kommunikationsmedium (120) angebunden sind und darüber Nachrichten austauschen, wobei eine Zeitdifferenz (Δt) von Empfangszeitpunkten (t1, t2) einer auf dem Kommunikationsmedium (120) versendeten Nachricht (200) an zwei verschiedenen, vorgegebenen Positionen (P1, P2) auf dem Kommunikationsmedium (120) ermittelt wird, und wobei anhand eines Vergleichs der Zeitdifferenz (Δt) mit wenigstens einer Referenz-Zeitdifferenz (ΔtR) bestimmt wird, ob die Nachricht (200) von einem verifizierten Teilnehmer stammt.
  2. Verfahren nach Anspruch 1, wobei die Zeitdifferenz (Δt) unter Verwendung eines TDCs (140) und/oder eines Mikrocontrollers (142) ermittelt wird.
  3. Verfahren nach Anspruch 1 oder 2, wobei die Zeitdifferenz (Δt) unter Verwendung eines ASICs (130) ermittelt wird.
  4. Verfahren nach einem der vorstehenden Ansprüche, wobei bestimmt wird, dass die Nachricht (200) von einem verifizierten Teilnehmer stammt, wenn die Zeitdifferenz (Δt) um weniger als einen vorgegebenen Schwellwert (Δts) von einer Referenz-Zeitdifferenz (ΔtR) abweicht.
  5. Verfahren nach einem der vorstehenden Ansprüche, wobei anhand der Zeitdifferenz (Δt) die entsprechende Referenz-Zeitdifferenz (ΔtR) angepasst wird, wenn bestimmt wird, dass die Nachricht (200) von einem verifizierten Teilnehmer stammt.
  6. Verfahren nach einem der vorstehenden Ansprüche, wobei bestimmt wird, dass die Nachricht (200) nicht von einem verifizierten Teilnehmer stammt, und insbesondere, dass ein Angriffsversuch auf das Kommunikationssystem (100, 100') vorliegt, wenn die Zeitdifferenz (Δt) um mehr als einen vorgegebenen Schwellwert (ΔtS) von einer Referenz-Zeitdifferenz (ΔtR) abweicht.
  7. Verfahren nach einem der vorstehenden Ansprüche, wobei die Zeitdifferenz (Δt) erfasst wird, wenn nur ein einzelner Teilnehmer eine Nachricht (200) auf dem Kommunikationsmedium (120) versendet.
  8. Verfahren nach einem der vorstehenden Ansprüche, wobei das Kommunikationsmedium (120) eine Broadcasting-Übertragung nutzt, und insbesondere als CAN-Bus, CAN-FD-Bus, CAN-XL-Bus oder 10BASET1S-Bus ausgebildet ist.
  9. Recheneinheit (130), die dazu eingerichtet ist, alle Verfahrensschritte eines Verfahrens nach einem der vorstehenden Ansprüche durchzuführen.
  10. Computerprogramm, das eine Recheneinheit (130) dazu veranlasst, alle Verfahrensschritte eines Verfahrens nach einem der Ansprüche 1 bis 8 durchzuführen, wenn es auf der Recheneinheit (130) ausgeführt wird.
  11. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 10.
DE102020214945.3A 2020-11-27 2020-11-27 Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem Pending DE102020214945A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102020214945.3A DE102020214945A1 (de) 2020-11-27 2020-11-27 Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
US17/453,531 US20220174073A1 (en) 2020-11-27 2021-11-04 Method for checking a message in a communication system
CN202111421745.1A CN114567456A (zh) 2020-11-27 2021-11-26 用于对通信系统中的消息进行检验的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020214945.3A DE102020214945A1 (de) 2020-11-27 2020-11-27 Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem

Publications (1)

Publication Number Publication Date
DE102020214945A1 true DE102020214945A1 (de) 2022-06-02

Family

ID=81586371

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020214945.3A Pending DE102020214945A1 (de) 2020-11-27 2020-11-27 Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem

Country Status (3)

Country Link
US (1) US20220174073A1 (de)
CN (1) CN114567456A (de)
DE (1) DE102020214945A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020210096A1 (de) * 2020-08-10 2022-02-10 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Ermitteln von Informationen eines Bussystems

Family Cites Families (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5999807A (en) * 1997-02-28 1999-12-07 Cellular Technical Services Company, Inc. System and method for the verification of authentic telephone numbers in a wireless telephone system
US20020174344A1 (en) * 2001-05-18 2002-11-21 Imprivata, Inc. System and method for authentication using biometrics
US7162262B2 (en) * 2002-09-23 2007-01-09 Telefonaktiebolaget Lm Ericsson (Publ) Methods, systems and computer program products for requesting received power levels based on received block error rates utilizing an anti-windup and/or emergency procedure
JP4410791B2 (ja) * 2006-12-20 2010-02-03 富士通株式会社 アドレス詐称チェック装置およびネットワークシステム
JP4435146B2 (ja) * 2006-12-28 2010-03-17 株式会社東芝 通信装置
US8380314B2 (en) * 2007-09-26 2013-02-19 Medtronic, Inc. Patient directed therapy control
US9027831B2 (en) * 2008-11-21 2015-05-12 Visa International Service Association Updating of reference magnetic signature for authenticating a document with a magnetic stripe
GB201015009D0 (en) * 2010-09-09 2010-10-20 Randox Lab Ltd Capacitive liquid level sensor
US8863256B1 (en) * 2011-01-14 2014-10-14 Cisco Technology, Inc. System and method for enabling secure transactions using flexible identity management in a vehicular environment
US8730612B1 (en) * 2011-12-16 2014-05-20 Western Digital Technologies, Inc. Disk drive evaluating ratio of fly height setting for first and second heads to verify operability
US9225608B1 (en) * 2011-12-21 2015-12-29 Amazon Technologies, Inc. Evaluating configuration changes based on aggregate activity level
WO2013094072A1 (ja) * 2011-12-22 2013-06-27 トヨタ自動車 株式会社 通信システム及び通信方法
US9584981B2 (en) * 2014-08-27 2017-02-28 Qualcomm Incorporated Method and apparatus for real-time, mobile-based positioning according to sensor and radio frequency measurements
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
EP3320474B1 (de) * 2015-07-10 2023-08-02 Sital Technology And Hardware Engineering (1997) Ltd System zur vorrichtungsauthentifizierung
US11200529B2 (en) * 2015-08-06 2021-12-14 Ns Solutions Corporation Information processing apparatus, information processing system, information processing method and non-transitory computer readable recording medium
US10126342B2 (en) * 2015-08-20 2018-11-13 Bose Corporation Electrical hub including current sensor
US20180012090A1 (en) * 2016-07-07 2018-01-11 Jungo Connectivity Ltd. Visual learning system and method for determining a driver's state
KR20190019208A (ko) * 2016-07-15 2019-02-26 더 리젠츠 오브 더 유니버시티 오브 미시건 전압 핑거프링팅을 통한 손상된 전자 제어 유닛 식별 방법
CN109644189B (zh) * 2016-08-23 2021-10-08 C2A安全有限公司 数据总线保护设备和方法
DE102016219348A1 (de) * 2016-10-06 2018-04-12 Continental Teves Ag & Co. Ohg Authentifizierungsvorrichtung für ein Fahrzeug
JP6798280B2 (ja) * 2016-11-29 2020-12-09 富士通株式会社 攻撃検知装置、攻撃検知方法、および、攻撃検知プログラム
CN110325929B (zh) * 2016-12-07 2021-05-25 阿瑞路资讯安全科技股份有限公司 用于检测有线网络变化的信号波形分析的系统和方法
US11303977B2 (en) * 2016-12-20 2022-04-12 Samsung Electronics Co., Ltd. Server for managing home network and control method therefor
US20180211176A1 (en) * 2017-01-20 2018-07-26 Alchemy IoT Blended IoT Device Health Index
KR102595961B1 (ko) * 2017-03-08 2023-11-01 로베르트 보쉬 게엠베하 계측 제어기 통신망을 통한 키 합의 방식에 대한 타이밍 기반 공격들을 완화시키기 위한 방법들
DE102017208547A1 (de) * 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
US11295150B2 (en) * 2017-09-13 2022-04-05 Koninklijke Philips N.V. Subject identification systems and methods
CN107748869B (zh) * 2017-10-26 2021-01-22 奥比中光科技集团股份有限公司 3d人脸身份认证方法与装置
EP3729739B1 (de) * 2017-12-24 2023-08-23 Technion Research & Development Foundation Limited Nachrichtenauthentifizierung basierend auf einem physischen ort auf einem bus
US11288385B2 (en) * 2018-04-13 2022-03-29 Sophos Limited Chain of custody for enterprise documents
WO2019211856A1 (en) * 2018-05-02 2019-11-07 Saferide Technologies Ltd. Detecting abnormal events in vehicle operation based on machine learning analysis of messages transmitted over communication channels
WO2019240020A1 (ja) * 2018-06-13 2019-12-19 パナソニックIpマネジメント株式会社 不正通信検知装置、不正通信検知方法及び製造システム
US20200125725A1 (en) * 2018-10-19 2020-04-23 Logrhythm, Inc. Generation and maintenance of identity profiles for implementation of security response
JP7110950B2 (ja) * 2018-11-30 2022-08-02 トヨタ自動車株式会社 ネットワークシステム
JP7124679B2 (ja) * 2018-12-07 2022-08-24 トヨタ自動車株式会社 監視装置
WO2020120160A1 (en) * 2018-12-10 2020-06-18 Daimler Ag Method for detecting intrusion in distributed field bus of a network and system thereof
KR20210026246A (ko) * 2019-08-29 2021-03-10 현대자동차주식회사 차량 네트워크 침입 탐지 장치, 그를 포함한 시스템 및 그 방법
FR3102270B1 (fr) * 2019-10-17 2022-01-21 Psa Automobiles Sa Procédé et dispositif de détection d’une intrusion sur un bus de données d’un véhicule
EP3840551A1 (de) * 2019-12-20 2021-06-23 ZKW Group GmbH Wagenmodul
EP4084418A4 (de) * 2019-12-23 2023-01-25 Panasonic Intellectual Property Corporation of America Bestimmungsverfahren, bestimmungssystem und programm
WO2021144859A1 (ja) * 2020-01-14 2021-07-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 侵入経路分析装置および侵入経路分析方法
US20210243038A1 (en) * 2020-02-04 2021-08-05 Valimail Inc. Spatial broadcasting device authentication
JP7322806B2 (ja) * 2020-05-15 2023-08-08 トヨタ自動車株式会社 車両用異常検出装置
CN111787013B (zh) * 2020-07-03 2022-02-25 中国电子科技集团公司第三十研究所 一种光纤时间同步系统的攻击监测装置与方法
DE102020210096A1 (de) * 2020-08-10 2022-02-10 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Ermitteln von Informationen eines Bussystems

Also Published As

Publication number Publication date
CN114567456A (zh) 2022-05-31
US20220174073A1 (en) 2022-06-02

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
DE102014010668B4 (de) Passives schlüsselloses Ferneintrittssystem mit einer niveau-basierten Anti-Diebstahl-Eigenschaft
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE102017210523B3 (de) Verfahren zum Betreiben einer passiven funkbasierten Schließvorrichtung und passive funkbasierte Schließvorrichtung
DE102014200558A1 (de) Gesicherter Netzwerk-Zugangsschutz über authentifizierte Zeitmessung
WO2018133953A1 (de) Verfahren zum betreiben einer überwachungsvorrichtung eines datennetzwerks eines kraftfahrzeugs sowie überwachungsvorrichtung, steuergerät und kraftfahrzeug
DE102017208553A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102015221239A1 (de) Verfahren und Vorrichtung zum Schützen von Datenintegrität durch ein eingebettetes System mit einem Hauptprozessorkern und einem Sicherheitshardwarebaustein
DE102020214099A1 (de) Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
WO2018065016A1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE102020214945A1 (de) Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE112014003345B4 (de) Datenausschlussvorrichtung
DE102018130297A1 (de) Arbeitsnachweis-Konzept für ein Fahrzeug
DE102016204999A1 (de) Verfahren zur Überwachung der Sicherheit von Kommunikationsverbindungen eines Fahrzeugs
DE102018002969A1 (de) Verfahren zum Verifizieren einer Fahrberechtigung
DE102017208551A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102013108006B4 (de) Kommunikationsanordnung
DE102020214946A1 (de) Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
DE102017209806A1 (de) Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
DE102017208545A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102020210096A1 (de) Verfahren und Vorrichtung zum Ermitteln von Informationen eines Bussystems
WO2019020549A1 (de) Verfahren und vorrichtung zum schützen eines feldbusses
DE102019122806A1 (de) Kryptografische Vorrichtung
DE102018203143A1 (de) Verfahren zum Versenden und Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken