DE102021000557A1 - Verfahren zur Verschlüsselung von sicherheitsrelevanten Daten im Fahrzeug - Google Patents

Verfahren zur Verschlüsselung von sicherheitsrelevanten Daten im Fahrzeug Download PDF

Info

Publication number
DE102021000557A1
DE102021000557A1 DE102021000557.0A DE102021000557A DE102021000557A1 DE 102021000557 A1 DE102021000557 A1 DE 102021000557A1 DE 102021000557 A DE102021000557 A DE 102021000557A DE 102021000557 A1 DE102021000557 A1 DE 102021000557A1
Authority
DE
Germany
Prior art keywords
vehicle
communication
communication participant
runtime
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021000557.0A
Other languages
English (en)
Inventor
Helge Zinner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive Technologies GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102021000557.0A priority Critical patent/DE102021000557A1/de
Priority to EP22702147.4A priority patent/EP4282151A1/de
Priority to US18/273,135 priority patent/US20240095378A1/en
Priority to CN202280009673.6A priority patent/CN116711342A/zh
Priority to PCT/DE2022/200006 priority patent/WO2022156863A1/de
Publication of DE102021000557A1 publication Critical patent/DE102021000557A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]

Abstract

Verfahren zur Verschlüsselung von sicherheitsrelevanten Daten im Fahrzeug, wobei wenn sich der Kommunikationsteilnehmer sich dieser außerhalb der ECU befindet eine Anfrage zum Aufbau einer sicheren Verbindung von einem Kommunikationsteilnehmer zum anderen Kommunikationsteilnehmer erfolgt, wobei der Sicherheitsmechanismus zum Aufbau einer sicheren Verbindung abhängig der ermittelten Entfernung erfolgt.

Description

  • STAND DER TECHNIK
  • Auf Basis der physikalischen Schicht Ethernet und dem darüber liegenden Internet-Protokoll, finden erstmals Techniken Einzug ins Bordnetz die gerade außerhalb des Fahrzeuges seit Jahrzehnten stark verbreitet sind. Hierbei bietet sich auch ein potentiell höheres Angriffsrisiko welches mit den Bordnetzen wie CAN und FlexRay heute nicht bestand, da das Know-How für diese für dem „normalen Hacker“ schlicht fehlt. Gerade im Hinblick auf einen immer stärker werdenden Einsatz der Protokolle Ethernet und IP, auch durch den Einsatz von 5G, werden Sicherheitsmechanismen immer wichtiger, denn das Auto wurde bereits als neuer Angriffspunkt identifiziert. Genau deswegen sind ständig neue und erweiterte Sicherheitsmechanismen und Funktionen notwendig die das Auto sicherer vor Angriffen machen.
  • Ethernet und Funktechnologien erfahren zurzeit erst Einzug in das Automobil und bergen durch ihre offenen und standardisierten Protokolle erstmals die Möglichkeit das Auto auch von außen anzugreifen. Vermehrt sind in der Presse Meldungen über Angriffe auf Fahrzeuge zu lesen, bei denen es Angreifer über Funk geschafft haben Zugriff auf das Fahrzeug zu gelangen und somit auch auf wichtige Fahrzeugfunktionen zugreifen konnten.
  • Die Herausforderung der Firewalls (bzw. von Security im Allgemeinen) ist dabei, diese performant in den Steuergeräten des Fahrzeuges umzusetzen. Die auch in Zukunft immer noch relativ rechenschwachen Controller und die steigenden Anforderungen nach Energieersparnis führen dazu, dass bekannte Konzepte aus der IT nicht so einfach adaptiert werden können. Die Güte Sicherheitskonzept im Fahrzeug steht daher auch immer im Wiederspruch zur verfügbaren Rechenleistung. Die Autohersteller fordern schon heute zum Teil separate Controller, die die Firewall-Funktionalität umsetzen. Zum einen aus Sicherheitsgründen und zum anderen aus Performancegründen.
  • Continental, als auch die ganze Industrie arbeitet an neuen Server-basierten Architekturen wie beispielhaft in der folgenden Fehler! Verweisquelle konnte nicht gefunden werden. dargestellt.
  • Die grundlegende Revolution der neuen Architekturen ist durch die Zentrierung der Software auf immer weniger Recheneinheiten geprägt. Diese sog. Server oder Zentralrechner bestehen nicht mehr nur aus nur einem µC oder µP sondern beinhalten mehrere µC, µP, SOC und auch Ethernet-Switches mit mit einer großen Anazhl an Ports - sie stellen ein eigenes lokales Netzwerk mit jeweils individueller Software dar (das bedeutet auch, dass die jeweiligen Softwarekomponenten nicht wissen (können) das Sie bspw. mit Komponenenten kommunizieren welche im gleichen Gehäuse verortet sind).
  • Bekannt sind Zonenarchitektur mit zentralen Servern. Hier gilt, dass zum einen der Server viele und leistungsstarke Prozessoren beinhaltet und zum anderen sehr viel Software resp. Anwendungen darauf ausgeführt werden. Der Kommunikationsaufwand innerhalb des Steuergeräts ist enorm (dies stellt ein eigenes lokales Netzwerk dar). Die gesamte Software des Fahrzeuges wird hier in Zukunft ausgeführt und jeder Controller hat seinen eigenen Software-Stack welcher von verschiedenen Anbietern zur Verfügung gestellt wird.
  • Bekannt sind Konzepte um Funktionen und Anwendungen auf andere Steuergeräte/Prozessoren (dynamisch) auszulagern also auch um diese zu optimieren. Dies wird als Live-Migration, Reallokation oder Migration bezeichnet. Der Serieneinsatz für die Auslagerung von Software auf andere ECUs/Prozessoren (innerhalb des PKW) wird bereits 2021 bei OEMs erwartet.
  • Durch die neuen Architekturen (bspw. VW, Porsche, Audi) gibt es nun erstmal Möglichkeiten Software auch auf verschiedenen ECUs zu implementieren da die Hardware generalisierter wird und die Software plattformunabhängiger. (Natürlich ist dies nicht mit allen Funktionen und ECUs möglich). Es steht also zur Designzeit des Systems nicht immer fest auf welchem Steuergerät (Server) welche Software laufen wird. Die Verschiebung der Software beschränkt sich dabei aber nicht auf ECU-zu-ECU Operationen, sondern bezieht sich noch mehr auf Controller-zu-Controller Operationen innerhalb derselben ECU.
  • NFC (Near Field Communication) gilt erstmal per se als sicher, weil sich Geräte nur in einem räumlich sehr kleinen Feld austauschen können. Der maximale Abstand zwischen zwei Stationen wie bspw. Handy oder Karte mit dem Terminal beträgt normalerweise nur wenige Zentimeter. Bei größeren Entfernungen ist ein Datenfluss nicht mehr möglich. So gesehen ist es schwer vorstellbar, dass jemand Ihre Daten abfängt.
  • US 2019045475 A1 offenbart Ansätze zum Verwalten der internen Zeitsynchronisation. Es wird ein Internet-of-Things-Gerät (IoT) beschrieben, das konfiguriert ist, um einen Transportverzögerungswert als Funktion einer Übertragungspfadverzögerung zu bestimmen, die einer ersten Nachricht entspricht, die von einem E / A-Gerät des IoT-Geräts an einen zentralen Zeitgeber des IoT-Geräts gesendet wird und eine Empfangspfadverzögerung, die einer zweiten Nachricht entspricht, die vom zentralen Zeitgeber an das E / A-Gerät gesendet wird. Das IoT-Gerät ist so konfiguriert, dass es als Reaktion auf das Empfangen einer Rundfunknachricht vom zentralen Zeitgeber nach dem Bestimmen des Transportverzögerungswerts einen Zeitstempelwert der empfangenen Rundfunknachricht als Funktion des Transportverzögerungswerts aktualisiert.
  • BESCHREIBUNG UND VORTEILE DER ERFINDUNG
  • Wenn mittels Ethernet IP-Daten zwischen verschiedenen Teilnehmern ausgetauscht werden, so werden IP/MAC-Adressen zur Adressierung verwendet. Ein Sender weiß zum einen nie wo sich diese Einheit genau befindet und zum anderen ob der Empfänger gar ein Angreifer ist oder nicht. Die IP- oder MAC-Adresse gibt darüber keinen Aufschluss. Eine IP-Adresse kann zudem leicht verändert und gefälscht werden - dies lässt sich einfach manipulieren.
  • Dieses Problem adressiert sehr teure Erweiterungen des Ethernets wie bspw. MAC-Sec, was eine Authentifizierung erlaubt. Diese Bausteine sind aber heute noch nicht verfügbar und zum anderen sehr viel teurer als die bereits teuren Ethernet-Bausteine. Weiterhin bieten die Hersteller proprietäre Lösungen an für die wir zusätzlich Lizenzkosten zahlen müssen und die nicht kompatibel zu anderen Halbleiterlösungen sind.
  • Aktuell gibt es noch nicht genügend Sicherheitsmechanismen um Ethernet ausreichend für Automotive abzusichern. Auch der kürzliche Kauf der Firma Argus CyberSecurity wird nicht das Allheilmittel für Sicherheitslösungen sein denn die derzeitigen Sicherheitslösungen beschränken sich zu 100% auf die Software und sind durch Firewalls umgesetzt. Diese verbrauchen zum einen immer hohe Ressourcen und zum anderen ist der Angreifer dann schon immer im System. Wie das Problem von Intel erst deutlich gemacht hat können auch Fehler tief in der Hardware auftreten, welche prinzipiell nicht von einer Firewall erkannt werden können. Weiterhin stellen die Firewalls heute die einzige Sicherheitsmethode/Komponente im Fahrzeug dar. Im Hinblick auf das automatisierte und autonome Fahren wird auch beim Thema Security eine Redundanz notwendig sein, welche das Bordnetz sicherer gegen Angriffe macht. Heute gibt es noch keine Lösungen dafür im Bordnetz.
  • Mit dem zunehmenden Einsatz von Kameras stellt sich automatisch die Frage nach dem Datenschutz und dem Schutz der Privatperson. Beispielsweise stellt eine Videoüberwachung naturgemäß einen erheblichen Eingriff in das Persönlichkeitsrecht der Beschäftigten als Betroffene dar. Der Einzelne hat das grundgesetzlich geschützte Recht, selbst über das eigene Bild und dessen Verwendung zu bestimmen. Durch Videoüberwachung im Fahrzeug (Innenraum, Umfeld) - auch solche zu Zwecken des Diebstahlschutzes - besteht immer die latente Gefahr, dass Beschäftigte überwacht werden bzw. diese Daten nach außen geleitet werden oder auch unverschlüsselt gespeichert werden.
  • Kommende autonom fahrende Fahrzeug werden mit mind. 8 Kameras und auch Datenloggern ausgestattet. Die Verschlüsselung zum Datenschutz der Außenwelt, als auch des Fahrers ist ein kommendes Thema - gerade im Hinblick auf die derzeit entwickelten Datenlogger, welche genau diese Daten aufzeichnen sollen.
  • Die leistungsstarken ECU verinnerlichen mehrere Controller als auch mehrere Switches in einer „Box“. Diese folgen dem Trend zur allgemeinen Reduzierung der Steuergeräte eines Fahrzeuges. Gerade für diese Steuergeräte müssen Sicherheitslösungen angeboten werden dann hierbei eine sehr große ECU und damit sehr viele Funktionen bei einem Angriff ausgelöscht werden können, im Vergleich zu einer normalen ECU heute.
  • Heutige Fahrzeugnetzwerke sind statisch konfiguriert, d.h. die Datenkommunikation (Sender-, Empfänger und Datenbeziehung) stehen spätestens bei der Bandende-Programmierung des Fahrzeuges fest. Die kommenden Architekturen und der Wunsch nach Serviceorientierter Kommunikation wiedersprechen dem heutigen Ansatz und verlangen nach neuen Konzepten. Für die nächsten Generationen wird nicht immer klar sein wer der Empfänger der Daten ist und welchen Weg die Daten gehen. Jeder Empfänger kann daher unterschiedliche Anforderungen an die Übertragung der Daten haben (z.B. externe ECU = Cloud, ungeschützte ECU, usw.). Der muss in Zukunft dynamisch auf die Anforderungen des Empfängers eigenen und die Datenübertragungsmechanismen verändern, d.h. geänderte Architektur und dynamische Datenübertragung.
  • Die Aufgabe der Erfindung ist es, günstigere Lösungen für die Zusicherung von Security in einem Fahrzeug, insbesondere zur Absicherung der Kommunikation im Fahrzeug für das automatisierte Fahren durch immer mehr Verbindungen, anzugeben.
  • Die Aufgabe wir durch das Verfahren mit den Merkmalen des Anspruch 1 gelöst.
  • Eine vorteilhafte Ausgestaltung des Verfahren zur Verschlüsselung von sicherheitsrelevanten Daten im Fahrzeug zeichnet sich dadurch aus, dass eine Identifikation einer Adresse des jeweiligen Kommunikationsteilnehmers 210 in einem Ethernetnetz über die IP Adressen, eine Messung der Laufzeit zu diesem Kommunikationspartner 220, Bestimmung des Abstandes und /oder der Position zu diesem Controller und/oder Anwendung 230, erfolgt, wobei bei Vorliegen der Bestimmung des Abstandes unter dem Schwellenwert 240 ist die Anwendung (µC, µP, SOC) vertrauenswürdig eingestuft wird.
  • Eine weitere vorteilhafte Ausgestaltung des Verfahrens zeichnet sich dadurch aus, dass zur Verifikation eine Absicherung mittels eines anderen Protokolls erfolgt.
  • Eine besonders vorteilhafte Ausgestaltung des Verfahrens zeichnet sich dadurch aus, dass nach der Messung der Laufzeit zu diesem Kommunikationspartner (220) und nach Bestimmung des Abstandes und/oder der Position zu diesem Controller und/oder Anwendung (230) eine Überprüfung der Messung der Laufzeit in der Art erfolgt, dass bei Vorliegen einer Laufzeit kleiner als die Laufzeit innerhalb der ECU, der Kommunikationsteilnehmer sich auf der gleichen Platine befindet, bei Vorliegen einer Laufzeit kleiner als die Laufzeit innerhalb des Fahrzeuges, der Kommunikationsteilnehmer sich innerhalb des Fahrzeuges befindet, bei Vorliegen einer Laufzeit kleiner als die Laufzeit innerhalb des internen Routers, der Kommunikationsteilnehmer direkt mit dem Fahrzeug verbunden ist, bei Vorliegen einer höheren Laufzeit, als die in den Punkten a), b) oder c), der Kommunikationsteilnehmer sich außerhalb des Fahrzeuges befindet.
  • Eine weitere Ausgestaltung des Verfahren zeichnet sich dadurch aus, dass nach der Analyse der Laufzeit eine Überprüfung erfolgt, ob die Laufzeit größer ist als die doppelten PHY-Latenz, wobei bei Vorliegen einer größeren Laufzeit als der doppelten PHY-Latenz der Kommunikationsteilnehmer sich außerhalb der ECU befindet, und wobei bei Vorliegen einer kleineren Laufzeit als der doppelten PHY-Latenz der Kommunikationsteilnehmer nicht direkt verbunden ist.
  • Eine weitere besonders vorteilhafte Ausgestaltung des Verfahren ist dadurch gekennzeichnet, dass, wenn sich der Kommunikationsteilnehmer außerhalb der ECU befindet, eine Anfrage zum Aufbau einer sicheren Verbindung von einem Kommunikationsteilnehmer zum anderen Kommunikationsteilnehmer erfolgt, wobei der Sicherheitsmechanismus zum Aufbau einer sicheren Verbindung abhängig von der ermittelten Entfernung erfolgt.
  • Die Erfindung erhöht vorteilhaft die Sicherheit im Fahrzeugbordnetz und es erfolgt eine Absicherung von Fahrerassistenzsystemen. Die Zeitsynchronisation ist elementarer Baustein jeglicher Ethernet-basierter Kommunikation und auch zwischen Bussystemen (CAN/Ethernet) und dient hier als der Trigger. Durch die Erfindung wird eine Reduzierung und Erkennen von Angriffen und Angriffspotentialen erzielt, da immer häufiger Hackerangriffe auf IP-basierende Fahrzeugnetzwerke zu erwarten sind. Damit wird die Security im Bereich von Ethernet erhöht.
  • TECHNISCHE VORTEILE DER ERFINDUNG
  • Die Erfindung schlägt vor, sich bei der Grundidee von NFC zu orientieren, bei dem der physische Abstand zwischen Teilenehmern hinreichend für eine vertrauenswürdige Verbindung ist. Da sich die Steuergeräte im Auto aber nicht physisch anähern können schlägt die EM einen ganz neuen Vorschlag vor. Da wir Softwware immer einfacher, generallisierter und palttformübergreifend anbieten wollen kann sowas auch nicht statisch eincodiert werden sondern muss in der Service-orientierten Umgebung angelernt werden.
  • Die Erfindung schlägt ein Verfahren vor, welches erkennt, wo sich ein Kommunikationspartner im Fahrzeug genau befindet (PCB, andere ECU, mit dem Fahrzeug verbunden oder irgendwo im Internet). Dabei wird unter Zuhilfenahme dessen Adresse mithilfe eines vorgestellten Messverfahrens berechnet, ob sich der Partner ganz in der Nähe aufhält (also auf derselben Platine-PCB) oder irgendwo im Boardnetz und damit evtl. ein Angreifer sein kann. Eine IP/Ethernet-Adresse kann leicht gefälscht werden, aber die Signallaufzeit nur sehr schwer.
  • Die Erfindung löst das oben beschriebene Problem, indem es misst, ob sich ein Teilnehmer innerhalb der eigenen ECU - also auf der Platine - befindet (also ein anderer µC) oder ob sich der Teilnehmer bspw. im Internet oder irgendwo im Boardnetz befindet und evtl. eine dazwischengeschaltetete Einheit ist. Per se ist es schwieriger einen Chip auf einer Platine innerhalb einer ECU zu tauschen, hierfür gibt es genügend andere Verfahren, als sich im Bordnetz irgendwo dazwischen zu hängen. Gerade durch Ethernet und IP ist es deutlich einfacher geworden.
  • Den durch das Verfahren bereitgestellten Effekt, nämlich den Schutz gegen unbefugtes Angreifen, Verfälschen der Kommunikation und gegen den Austausch von Geräten, kann man auch auf andere Weise und mit noch höherem Sicherheitsniveau erzielen, beispielsweise durch den Einsatz von Hardware-Verschlüsselung (bzw. Authentifizierung) bedienen. Das Verfahren ermöglicht es Schutzmechanismen günstiger anzubieten und senkt zudem die Systemkosten. Das Verfahren kann sogar per OTA nachträglich eingespielt werden und bietet uns die Möglichkeit Security-Software zu verkaufen.
  • Im Fahrzeug ist es hingegen in der Regel nicht wirtschaftlich, allen mit dem Netzwerk verbundenen Teilnehmern eine für lückenlos verschlüsselte Kommunikation ausreichende Hardwareausstattung zu spendieren. Das beschriebene Verfahren setzt deutlich geringere Hardwareressourcen (kann mit vorhandenen Implementierungen umgesetzt werden) voraus und steigert somit das Sicherheitsniveau deutlich, ohne dass dies zwangsläufig mit höheren Herstellungskosten für das Netzwerk oder daran angeschlossene Geräte gekoppelt wäre.
  • Dieses Verfahren kann insbesondere in Form einer Software implementiert sein, die als Update oder Upgrade zu bestehender Software oder Firmware von Teilnehmern am Netzwerk vertrieben werden kann und insofern ein eigenständiges Produkt darstellt.
  • In vorteilhafter Weise kann durch die Erfindung die Güte der Ausführung von Software-basierten Anwendungen (z. B. Automatisiertes Fahren) erhöht werden, insbesondere ohne finanziellen Mehraufwand. Mit der Nutzung des neu eingeführten Ethernet-Protokolls im Automobil sind Mechanismen notwendig, die sich einfache Techniken und gegebene Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können. Das erfindungsgemäße Netzwerksystem ist im Hinblick auf Kosten und Zuverlässigkeit verbessert. Continental kann hiermit durch Softwarebasierte Verfahren das beste aus seiner ECU oder dem Netzwerk herausholen und dem Kunden mehr Funktionalität bieten.
  • In vorteilhafter Weise kann durch die Erfindung die Sicherheit eines Fahrzeugnetzwerks signifikant und sehr simpel erhöht werden, insbesondere ohne finanziellen Mehraufwand. Proprietäre Lösungen können hiermit umgangen werden. Mit der Nutzung des neu eingeführten Ethernet-Protokolls im Automobil sind Mechanismen notwendig, die sich einfache Techniken und gegebene Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können. Durch frühzeitigere Erkennung von Angriffen und Fehlverhalten mittels der frühen Analyse der Kommunikationspfade lassen sich Lücken und Fehler vor der Auslieferung des Fahrzeugs erkennen. Das erfindungsgemäße Netzwerksystem ist im Hinblick auf Kosten und Zuverlässigkeit verbessert. Die Testbarkeit des Systems wird durch die Erfindung klarer definiert und dadurch können Testkosten gespart werden. Zudem bietet die Erfindung eine transparente Sicherheitsfunktionalität.
  • Plattformunabhängige Software und höhere Qualität
  • Heute verkaufen wir Anwendungen, zugeschnitten und angepasst auf einen OEM bzw. genau ein Projekt. Mit dieser EM werden Verfahren vorgestellt, die unsere Software etwas flexibler gestalten lässt und das Beste aus dem darunter liegenden System macht - ohne es vorher fix in die Software programmiert zu haben. Wir müssen heute eigentlich vom Worst-Case ausgehen was Ressourcen (Geld) kostet und Qualität einbüßt. Die Erfindung erlaubt es den Softwareentwicklern und -architekten eine Software/Anwendung anzubieten, welche flexibler und präziser auf die Anforderungen des Anwendungsfalles zugeschnitten werden kann. Durch den Einbau der genannten Verfahren in unsere Software kann jeweils beim Kunden (OEM) (oder innerhalb unseres Steuergerätes) eine Optimierung erfolgen. Dies bedeutet, dass unsere Software Plattform- und kundenunabhängiger werden kann.
  • Vorteil: Beherrschung der neuen (automotive) Technologien Ethernet und IP
  • Die neuen Technologien sind im Automobil nicht mehr aufzuhalten. Protokolle wie IP, AVB und TSN haben mehrere Tausend Seiten an Spezifikationen und Testsuites. Die Beherrschbarkeit dieser neuen Protokolle im Automobil ist nicht trivial.
  • Der Einsatz der Erfindung kann in andere Kommunikationssysteme mit Uhrensynchronisationskomponenten und embedded Systemen eingesetzt werde.
  • Figurenliste
  • Ein Ausführungsbeispiel der Erfindung ist in den Zeichnungen dargestellt und wird im Folgenden näher beschrieben. Es zeigen:
    • 1 Generelle Lösung der Problemstellung;
    • 2 Verfahren zur Bestimmung der relativen Position;
    • 3 Darstellung eines Anwendungsfalles, wenn ein Controller innerhalb der eigenen gemeinsamen ECU sicherer Verfahren ist als einer im Bordnetz;
    • 4 Vertrauensprüfung, wenn sich ein Controller unmittelbar auf der gleichen Platine befindet;
    • 5 Darstellung, wann Vertrauen gegenüber dem Kommunikationspartner vorliegt;
    • 6 Ablauf des erfindungsgemäßen Verfahrens;
    • 7 Positionsmessung mittels Laufzeitmessung und Bestimmung der relativen Position;
    • 8 Darstellung der PHY zu PHY im Gegensatz zu MAC zu MAC Kommunikation;
    • 9 Bestimmung der Position einer anderen ECU/SW/Adresse.
  • BESCHREIBUNG VON AUSFÜHRUNGSBEISPIELEN
  • Die Erfindungsmeldung schlägt im Folgenden Verfahren vor, um die Vertrauenswürdigkeit eines Kommunikationspartners (bzw. dessen Anwendung) zu bestimmen. Sofern diese Vertrauenswürdigkeit bestimmt ist kann der Austausch von sensiblen Daten vollzogen werden - für den anderen Fall wird eine andere Lösung vorgeschlagen (ist aber nicht Priorität des Verfahrens).
  • Fig. 3
  • 1 zeigt einen Ausschnitt aus einer Gesamtsystemarchitektur bei dem eine ECU (Server) mit weiteren Sensoren und ECUs und Komponenten außerhalb des Fahrzeuges verbunden ist. Die Controller auf dem Server sind auf der PCB (Platine) typischerweise per MII (Media Independent Interface) oder PCI-Express verbunden und kommen damit immer ohne Transceiver (PHYs) aus.
  • Ein Ethernet-Transceiver (PHY) verursacht eine Verzögerung im 3-stelligen Nanosekunden Bereich. Das klingt wenig, aber die Verzögerung auf Schicht 2 (MAC) befindet sich etwa im 1-stelligen Nanosekunden Bereich bzw. tendiert gegen 0 - je nachdem wie hoch die Auflösung der Messung liegt.
  • Das Verfahren bestimmt zu allererst die Adresse der Anwendung, mit der Daten ausgetauscht werden sollen (empfangen, versendet oder beides).
  • Dann startet das Verfahren eine Laufzeitmessung zu dieser Komponente. Hierbei kann bsp. das PDelay_Request-Verfahren des gPTP Protokolls (oder 802.1AS) zum Einsatz kommen. Als Antwort darauf werden zwei Antworten zurückgeschickt und mithilfe von Hardwarezeitstempel lässt sich die Laufzeit der Nachricht bestimmen. (wichtig ist die Verwendung eines Protokolls mit Hardwarezeitstempeln- NTP fällt bspw. damit raus da die Auflösung zu ungenau ist).
  • Mithilfe dieses berechneten Wertes berechnet das Verfahren den physikalischen Abstand zu diesem Teilenehmer. Der Abstand ist hierbei nicht direkt ausgedrückt durch eine Maßeinheit wie bspw. Meter oder Zentimeter, sondern lässt sich umrechnen auf die Anzahl der Komponenten (PHYs, Switches) die Teil der Verbindung sind, da diese Verzögerung maßgeblich im Gegensatz zur Verzögerung auf dem eigentlichen Kabel ist.
  • Das Verfahren misst die Laufzeit zu einem Teilnehmer/Adresse indem es Laufzeitmessungen startet (bspw. Teil des PTP Protokolls) und daraus den Abstand zu diesem Teilnehmer berechnet.
  • Die gemessene Laufzeit muss erst bewertet werden, um einen Aufschluss über den Ort zu geben. Ob sich ein Partner innerhalb dergleichen ECU befindet oder nicht kann die Software nicht wissen bzw. idealerweise darf sie es nicht wissen, wenn eine generalisierte SW und keine Spezialversion genutzt wird; zudem können IP-Adressen gefälscht oder verändert werden.
  • Die Laufzeit einer MII-basierten Verbindung kommt ohne PHYs (Transceiver) aus. Das weiß jedoch weder die Zeitsynchronisationssoftware noch die eigentliche Anwendung, die diese Untersuchung in Auftrag gibt. Ein PHY wandelt die Daten in elektrische Signale um und codiert diese noch was viel mehr Zeit in Anspruch nimmt als wenn zwei Ethernet-MACs über die MII basierten Leitungen miteinander kommunizieren.
  • Das vorgestellte Verfahren erkennt, ob ein Teilnehmer direkt mit dem anfragenden Teilnehmer verbunden ist. Ist dies nicht der Fall, dann kann je nach Latenz das jeweilig passende Protokoll ausgewählt werden. Für Latenzen, die innerhalb des Fahrzeuges gelten, könnte bspw. MAC-Sec, IP-Sec zum Einsatz kommen und weitere IP/TCP-basierte Verfahren, wenn die Latenz so groß ist, und der Teilnehmer sich zweifelsfrei außerhalb des Fahrzeuges befindet.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 2019045475 A1 [0010]

Claims (5)

  1. Verfahren zur Verschlüsselung von sicherheitsrelevanten Daten im Fahrzeug, dadurch gekennzeichnet, dass - eine Identifikation einer Adresse des jeweiligen Kommunikationsteilnehmers (210) in einem Ethernetnetz über die IP-Adressen, - eine Messung der Laufzeit zu diesem Kommunikationspartner (220), - Bestimmung des Abstandes und /oder der Position zu diesem Controller und/oder Anwendung (230), erfolgt, wobei bei Vorliegen der Bestimmung des Abstandes unter dem Schwellenwert (240) die Anwendung (µC, µP, SOC) als vertrauenswürdig eingestuft wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zur Verifikation eine Absicherung mittels eines anderen Protokolls erfolgt.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass - nach der Messung der Laufzeit zu diesem Kommunikationspartner (220) und - nach der Bestimmung des Abstandes und/oder der Position zu diesem Controller und/oder Anwendung (230) erfolgt, - eine Überprüfung der Messung der Laufzeit in der Art erfolgt, dass a) bei Vorliegen einer Laufzeit kleiner als die Laufzeit innerhalb der ECU, der Kommunikationsteilnehmer sich auf der gleichen Platine befindet, b) bei Vorliegen einer Laufzeit kleiner als die Laufzeit innerhalb des Fahrzeuges, der Kommunikationsteilnehmer sich innerhalb des Fahrzeuges befindet, c) bei Vorliegen einer Laufzeit kleiner als die Laufzeit innerhalb des internen Routers, der Kommunikationsteilnehmer direkt verbunden mit dem Fahrzeug ist, d) bei Vorliegen einer höheren Laufzeit, als die in den Punkten a), b) oder c), der Kommunikationsteilnehmer sich außerhalb des Fahrzeuges befindet.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass nach der Analyse der Laufzeit, eine Überprüfung erfolgt, ob die Laufzeit größer als die doppelte PHY-Latenz ist, wobei bei Vorliegen einer größeren Laufzeit als der doppelten PHY-Latenz der Kommunikationsteilnehmer sich dieser außerhalb der ECU befindet, und wobei bei Vorliegen einer kleineren Laufzeit als der doppelten PHY-Latenz der Kommunikationsteilnehmer nicht direkt verbunden ist.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass wenn sich der Kommunikationsteilnehmer sich dieser außerhalb der ECU befindet eine Anfrage zum Aufbau einer sicheren Verbindung von einem Kommunikationsteilnehmer zum anderen Kommunikationsteilnehmer erfolgt, wobei der Sicherheitsmechanismus zum Aufbau einer sicheren Verbindung abhängig der ermittelten Entfernung erfolgt.
DE102021000557.0A 2021-01-21 2021-01-21 Verfahren zur Verschlüsselung von sicherheitsrelevanten Daten im Fahrzeug Pending DE102021000557A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102021000557.0A DE102021000557A1 (de) 2021-01-21 2021-01-21 Verfahren zur Verschlüsselung von sicherheitsrelevanten Daten im Fahrzeug
EP22702147.4A EP4282151A1 (de) 2021-01-21 2022-01-19 Verfahren zur verschlüsselung von sicherheitsrelevanten daten im fahrzeug
US18/273,135 US20240095378A1 (en) 2021-01-21 2022-01-19 Method for encrypting security-relevant data in a vehicle
CN202280009673.6A CN116711342A (zh) 2021-01-21 2022-01-19 用于对车辆中安全相关数据进行加密的方法
PCT/DE2022/200006 WO2022156863A1 (de) 2021-01-21 2022-01-19 Verfahren zur verschlüsselung von sicherheitsrelevanten daten im fahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021000557.0A DE102021000557A1 (de) 2021-01-21 2021-01-21 Verfahren zur Verschlüsselung von sicherheitsrelevanten Daten im Fahrzeug

Publications (1)

Publication Number Publication Date
DE102021000557A1 true DE102021000557A1 (de) 2022-07-21

Family

ID=80168091

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021000557.0A Pending DE102021000557A1 (de) 2021-01-21 2021-01-21 Verfahren zur Verschlüsselung von sicherheitsrelevanten Daten im Fahrzeug

Country Status (5)

Country Link
US (1) US20240095378A1 (de)
EP (1) EP4282151A1 (de)
CN (1) CN116711342A (de)
DE (1) DE102021000557A1 (de)
WO (1) WO2022156863A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010042303A1 (de) 2009-10-30 2011-05-05 Lear Corporation, Southfield System und Verfahren zum Autorisieren einer entfernten Einrichtung
US20190045475A1 (en) 2018-09-28 2019-02-07 Intel Corporation Technologies for managing internal time synchronization
DE102018130297A1 (de) 2018-11-29 2020-06-04 Infineon Technologies Ag Arbeitsnachweis-Konzept für ein Fahrzeug

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101710317B1 (ko) * 2013-11-22 2017-02-24 퀄컴 인코포레이티드 차량 내의 다수의 모바일 컴퓨팅 디바이스들에 의해 제공된 선호도들에 기초하여 차량의 내면을 구성하기 위한 시스템 및 방법
DE102016215934B4 (de) * 2016-08-24 2024-02-29 Continental Automotive Technologies GmbH Verfahren und Vorrichtung zur Bestimmung einer Laufzeit und/oder eines Abstands zwischen mehreren Transceivern, insbesondere für ein Fahrzeugs-Zugangs- und/oder Start-System

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010042303A1 (de) 2009-10-30 2011-05-05 Lear Corporation, Southfield System und Verfahren zum Autorisieren einer entfernten Einrichtung
US20190045475A1 (en) 2018-09-28 2019-02-07 Intel Corporation Technologies for managing internal time synchronization
DE102018130297A1 (de) 2018-11-29 2020-06-04 Infineon Technologies Ag Arbeitsnachweis-Konzept für ein Fahrzeug

Also Published As

Publication number Publication date
CN116711342A (zh) 2023-09-05
EP4282151A1 (de) 2023-11-29
US20240095378A1 (en) 2024-03-21
WO2022156863A1 (de) 2022-07-28

Similar Documents

Publication Publication Date Title
US11204751B2 (en) Mitigating incompatibilities due to code updates in a system containing multiple networked electronic control units
WO2019007582A1 (de) Verfahren und vorrichtung zur rückwirkungsfreien unidirektionalen übertragung von daten an einen abgesetzten anwendungsserver
DE102017116579A1 (de) Private fahrzeug-zu-fahrzeug-kommunikation
DE102015216190A1 (de) Verfahren und System zum Bereitstellen einer optimierten Ethernetkommunikation für ein Fahrzeug
DE102015204339A1 (de) Verfahren und System zum Detektieren eines Fehlverhaltens für eine Fahrzeug-zu-Irgendetwas-Kommunikation
US20050267860A1 (en) Method of loading files from a client to a target server and device for implementing the method
DE102015215480A1 (de) Verfahren und Vorrichtung zum Übertragen einer Nachricht in einem Fahrzeug
DE102020121805A1 (de) Sichern der fahrzeugprivatsphäre in einer fahrinfrastruktur
DE102018131480A1 (de) System und verfahren zum leiten einer vernetzten vorrichtung zu einer fahrzeugintern gespeicherten landing-page basierend auf einem verfügbaren guthaben oder einem datensaldo
DE102018219960A1 (de) Fahrzeug-zu-X-Kommunikationsanordnung und Verfahren zum Empfangen von Fahrzeug-zu-X-Nachrichten
Davi et al. Combining safety and security in autonomous cars using blockchain technologies
DE102016200382A1 (de) Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts mit Hilfe eines digitalen Zertifikats, ein erstes und zweites Gerät sowie eine Zertifikat-Ausstellungsvorrichtung
AU2018208696B2 (en) Microkernel gateway server
DE102012105093A1 (de) Sicherer Datenspeicher für Fahrzeugnetzwerke
DE102017103225A1 (de) Verfahren und vorrichtung für verbesserte telematiksicherheit mittels sekundärkanal
DE102021000557A1 (de) Verfahren zur Verschlüsselung von sicherheitsrelevanten Daten im Fahrzeug
US20150113125A1 (en) System and Method for Providing the Status of Safety Critical Systems to Untrusted Devices
WO2018059964A1 (de) Verfahren zum gesicherten zugriff auf daten eines fahrzeugs
US20200007663A1 (en) Method and device for inter-process communication in network
DE102015011920A1 (de) Verfahren zur Überprüfung der Datenintegrität einer C2C Übertragung
DE102021210323A1 (de) Detektion von anomaler Kommunikation
DE102018213898A1 (de) Überwachung einer Netzwerkverbindung auf Abhören
CN115102772A (zh) 基于汽车soa的安全访问控制方法
US11140001B2 (en) Method for providing data packets from a CAN bus, control device and system having a CAN bus
DE102019212068A1 (de) Mobile Kommunikationsvorrichtung zur Aktualisierung von Security-Informationen beziehungsweise Funktionen einer Fahrzeugvorrichtung und Verfahren

Legal Events

Date Code Title Description
R163 Identified publications notified
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029020000

Ipc: H04L0065000000

R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE