DE102021123785A1 - Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, computerlesbares Medium, System, und Fahrzeug - Google Patents

Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, computerlesbares Medium, System, und Fahrzeug Download PDF

Info

Publication number
DE102021123785A1
DE102021123785A1 DE102021123785.8A DE102021123785A DE102021123785A1 DE 102021123785 A1 DE102021123785 A1 DE 102021123785A1 DE 102021123785 A DE102021123785 A DE 102021123785A DE 102021123785 A1 DE102021123785 A1 DE 102021123785A1
Authority
DE
Germany
Prior art keywords
vehicle
data transmission
external server
safety
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021123785.8A
Other languages
English (en)
Inventor
Michael Weiner
Peter Winklhofer
Robert Meinlschmidt
Theresa Reiner
Markus Anton
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102021123785.8A priority Critical patent/DE102021123785A1/de
Priority to PCT/EP2022/069245 priority patent/WO2023041221A1/de
Priority to CN202280061100.8A priority patent/CN117917045A/zh
Publication of DE102021123785A1 publication Critical patent/DE102021123785A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Traffic Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, das Verfahren umfassend: Empfangen einer aktuellen Datenübertragung des Fahrzeugs durch eine erste Funktion des fahrzeugexternen Servers; Ermitteln einer letzten, sicherheitsrelevanten Datenübertragung des Fahrzeugs an eine sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server; Plausibilisieren der aktuellen Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers; und Erkennen des Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung.

Description

  • Die Erfindung betrifft ein Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server. Die Erfindung betrifft weiter ein computerlesbares Medium zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, ein System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, sowie ein Fahrzeug umfassend das System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server.
  • Aus dem Stand der Technik bekannt sind Fahrzeuge, die sicherheitsrelevante Daten über einen Kommunikationskanal an einen Backend-Server übermitteln können. Die sicherheitsrelevanten Daten können dabei über einen separaten Kommunikationskanal von dem Fahrzeug an den Backend-Server übermittelt werden. Falls ein Angreifer eine Manipulation an dem Fahrzeug durchführt, die eine Übermittlung von sicherheitsrelevanten Daten an den Backend-Server unterdrückt, kann diese Manipulation häufig nicht erkannt werden.
  • Es ist daher eine Aufgabe der Erfindung, ein Unterdrücken einer Übertragung von sicherheitsrelevanten Daten von dem Fahrzeug an einen fahrzeugexternen Server effizient zu erkennen. Insbesondere ist eine Aufgabe der Erfindung, ein Unterdrücken einer Übertragung von sicherheitsrelevanten Daten von dem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server effizient zu erkennen.
  • Gelöst wird diese Aufgabe durch die Merkmale der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
  • Gemäß einem ersten Aspekt zeichnet sich die Erfindung aus durch ein Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server. Das Verfahren kann ein computerimplementiertes Verfahren sein. Das Fahrzeug kann ein Kraftfahrzeug oder ein Motorrad sein. Die sicherheitsrelevante Datenübertragung kann eine Datenübertragung eines Intrusion-Detection-Systems, kurz IDS, des Fahrzeugs sein. Die sicherheitsrelevante Datenübertragung kann Diagnosedaten, Protokollierungsdaten und/oder Alarmnachrichten von einem oder mehreren Steuergeräten und/oder einem oder mehreren Bussystemen eines Fahrzeugs umfassen. Der fahrzeugexterne Server kann ein Backend-Server und/oder ein Cloud-Server eines Fahrzeugherstellers und/oder eines Dritten sein.
  • Das Verfahren umfasst ein Empfangen einer aktuellen Datenübertragung des Fahrzeugs durch eine erste Funktion des fahrzeugexternen Servers. Die aktuelle Datenübertragung kann keine sicherheitsrelevante Datenübertragung oder eine sicherheitsrelevante Datenübertragung umfassen. Weiter kann die aktuelle Datenübertragung eine oder mehrere Datenübertragungen an eine oder mehrere Funktionen und/oder Diensten des fahrzeugexternen Servers umfassen. Das Verfahren ermittelt eine letzte, sicherheitsrelevante Datenübertragung des Fahrzeugs an eine sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server. Anschließend plausibilisiert das Verfahren die aktuelle Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers. In Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung, insbesondere in Abhängigkeit eines Ergebnisses des Plausibilisierens der aktuellen Datenübertragung erkennt das Verfahren das Unterdrücken einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server.
  • Vorteilhafterweise kann das Verfahren effizient ein Unterdrücken einer sicherheitsrelevanten Datenübertragung an einen fahrzeugexternen Server erkennen. Wenn ein Fahrzeug kurzzeitig, beispielweise wenige Sekunden, wenige Minuten, oder wenige Stunden, und/oder über einen längeren Zeitraum, beispielsweise mehrere Tage, mehrere Wochen, oder mehrere Monate, ohne Verbindung zum fahrzeugexternen Server ist, kann der fahrzeugexterne Server ein Unterdrücken der sicherheitsrelevanten Datenübertragung erkennen. Weiter kann das Verfahren einen Ausfall einer Kommunikationsverbindung durch beispielsweise einen Defekt eines Mobilfunkmoduls des Fahrzeugs von dem Unterdrücken der sicherheitsrelevanten Kommunikation unterscheiden und somit das Unterdrücken der sicherheitsrelevanten Kommunikation erkennen.
  • Gemäß einer ersten Ausgestaltung der Erfindung kann das das Plausibilisieren der aktuellen Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers ein Bestimmen einer relativen, zeitlichen Abhängigkeit zwischen der aktuellen Datenübertragung und der letzten, sicherheitsrelevanten Datenübertragung und ein Erkennen des Unterdrückens der aktuellen, sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server durch den fahrzeugexternen Server umfassen, falls die relative, zeitliche Abhängigkeit zwischen der ersten Datenübertragung und der letzten, sicherheitsrelevanten Datenübertragung außerhalb eines vorgegeben Zeitintervalls liegt. Hiermit kann die aktuelle Datenübertragung effizient plausibilisiert werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung der Erfindung kann die aktuelle Datenübertragung ein oder mehrere Datenpakete von einem oder mehreren Steuergeräten des Fahrzeugs umfassen, wobei die aktuelle Datenübertragung gesammelte Datenpakete aller Steuergeräte des Fahrzeugs umfasst.
  • Gemäß einer weiteren, voreilhaften Ausgestaltung kann das Verfahren weiterhin ein Empfangen der aktuellen Datenübertragung durch eine zweite Funktion des fahrzeugexternen Servers, und ein Plausibilisieren der aktuellen Datenübertragung an die erste Funktion und/oder an die zweite Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers umfassen. Hiermit kann die aktuelle Datenübertragung präziser und/oder zuverlässiger plausibilisiert werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Verfahren weiterhin ein Empfangen der aktuellen Datenübertragung durch eine sicherheitsrelevante Funktion des fahrzeugexternen Servers, und ein Speichern der aktuellen Datenübertragung als die letzte, sicherheitsrelevante Datenübertragung durch den fahrzeugexternen Server umfassen, falls die aktuelle Datenübertragung ein oder mehrere Datenpakete an die sicherheitsrelevante Funktion des fahrzeugexternen Servers umfasst. Hiermit kann die letzte, sicherheitsrelevante Datenübertragung effizient aktualisiert werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann jedes Datenpaket der aktuellen Datenübertragung ein signiertes Datenpaket sein, und kann die erste Funktion, die zweite Funktion, und/oder die sicherheitsrelevante Funktion des fahrzeugexternen Servers eine Signatur eines für die jeweilige Funktion relevanten, signierten Datenpakets der aktuellen Datenübertragung prüfen. Falls die erste Funktion, die zweite Funktion und/oder die sicherheitsrelevante Funktion einen Fehler bei dem Prüfen der Signatur des für die jeweilige Funktion relevanten, signierten Datenpakets ermittelt, kann das Verfahren eine Alarmnachricht an einen Fahrzeughersteller und/oder einen Nutzer des Fahrzeugs bereitstellen. Hiermit kann eine Integrität der Datenpakete der aktuellen Datenübertragung effizient überprüft werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Erkennen des Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung ein Bereitstellen einer Alarmnachricht an einen Fahrzeughersteller und/oder einen Nutzer des Fahrzeugs umfassen. Hiermit kann der Fahrzeughersteller und/oder der Nutzer des Fahrzeugs über eine mögliche Manipulation des Fahrzeugs, und insbesondere über ein Unterdrücken der aktuellen, sicherheitsrelevanten Datenübertragung informiert werden.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein computerlesbares Medium zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt auf einem Rechner, das oben beschriebene Verfahren ausführen.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, wobei das System dazu ausgebildet ist, das oben beschriebene Verfahren auszuführen.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein Fahrzeug umfassend das oben beschriebene System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server.
  • Weitere Merkmale der Erfindung ergeben sich aus den Ansprüchen, den Figuren und der Figurenbeschreibung. Alle vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren allein gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder aber in Alleinstellung verwendbar.
  • Im Folgenden wird anhand der beigefügten Zeichnungen ein bevorzugtes Ausführungsbeispiel der Erfindung beschrieben. Daraus ergeben sich weitere Details, bevorzugte Ausgestaltungen und Weiterbildungen der Erfindung. Im Einzelnen zeigen schematisch
    • 1 ein beispielhaftes Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, und
    • 2 ein beispielhaftes System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server.
  • Im Detail zeigt 1 ein beispielhaftes Verfahren 100 zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server. Das Verfahren 100 kann eine aktuelle Datenübertragung des Fahrzeugs durch eine erste Funktion des fahrzeugexternen Servers empfangen 102. Die aktuelle Datenübertrag kann ein oder mehrere Datenpakete für eine Kundenfunktion, eine Service- oder Diagnosefunktion, und/oder eine sicherheitsrelevante Funktion des fahrzeugexternen Servers umfassen. Vorzugsweise umfasst die aktuelle Datenübertragung mindestens ein Datenpaket für eine Funktion des fahrzeugexternen Servers. Das Fahrzeug kann beispielsweise ein Intrusion-Detection-System, kurz IDS, aufweisen. Das IDS kann Datenpakete, die beispielsweise Alarminformationen bzw. Alarmnachrichten und/oder Log-Dateien umfassen, in der aktuellen Datenübertragung an den fahrzeugexternen Server übermitteln. Die Datenpakete des IDS des Fahrzeugs können eine sicherheitsrelevante Datenübertragung an den fahrzeugexternen Server sein. Die sicherheitsrelevante Funktion des fahrzeugexternen Servers kann ein serverbasierter Backend-Dienst des IDS des Fahrzeugs sein, der die sicherheitsrelevante Datenübertragung des Fahrzeugs empfangen und verarbeiten kann.
  • Weiter kann das Verfahren 100 eine letzte, sicherheitsrelevante Datenübertragung des Fahrzeugs an eine sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server ermitteln 104. Der fahrzeugexterne Server speichert die letzte, korrekt empfangene, sicherheitsrelevante Datenübertragung. Insbesondere speichert der fahrzeugexterne Server einen Zeitstempel der letzten, korrekt empfangenen, sicherheitsrelevanten Datenübertragung ab. Durch ein Abfragen der letzten, gespeicherten, sicherheitsrelevanten Datenübertragung kann der fahrzeugexterne Server die letzte, sicherheitsrelevante Datenübertragung ermitteln 104.
  • Das Verfahren 100 kann die aktuelle Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers plausibilisieren 106. Die letzte, sicherheitsrelevante Datenübertragung kann ein Teil der aktuellen Datenübertragung sein. Alternativ kann die letzte sicherheitsrelevante Datenübertragung ein Teil einer vergangenen Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server sein. Das Plausibilisieren kann ein Vergleichen eines Zeitstempels der aktuellen Datenübertragung an die erste Funktion und eines Zeitstempels der letzten, sicherheitsrelevanten Datenübertragung umfassen. Beispielsweise kann der fahrzeugexterne Server ein maximales, vorgegebenes Zeitintervall zum Plausibilisieren verwenden, welches eine maximale Zeitspanne zwischen dem Zeitstempel der aktuellen Datenübertragung und dem Zeitstempel der letzten, sicherheitsrelevanten Datenübertragung festlegt. Ist das Ergebnis des Plausibilisierens, dass beide Zeitstempel, der Zeitstempel der aktuellen Datenübertragung und der Zeitstempel der letzten, sicherheitsrelevanten Datenübertragung, innerhalb des maximalen, vorgegeben Intervalls liegen, liegt kein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server vor. Andernfalls liegt ein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den sicherheitsrelevanten Server vor. Zusätzlich oder alternativ kann der fahrzeugexterne Server beim Plausibilisieren eine Häufigkeit von sicherheitsrelevanten Datenübertragungen innerhalb eines vorgegebenen Zeitintervalls prüfen. Vorzugsweise wird die Häufigkeit von sicherheitsrelevanten Datenübertragungen nur geprüft, wenn in dem vorgegebenen Zeitintervalls aktuelle Datenübertragungen durch den fahrzeugexternen Server von dem Fahrzeug empfangen werden. Wird eine vorgegebene, minimale Häufigkeit von sicherheitsrelevanten Datenübertragungen überschritten, liegt kein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server vor. Wird die vorgegebene, minimale Häufigkeit von sicherheitsrelevanten Datenübertragungen nicht überschritten, liegt ein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server vor.
  • Weiter kann der fahrzeugexterne Server eine Häufigkeit von sicherheitsrelevanten Datenübertragungen im Verhältnis zu einer Häufigkeit von aktuellen Datenübertragungen ermitteln. Unterschreitet die Häufigkeit von sicherheitsrelevanten Datenübertragungen im Verhältnis zu der Häufigkeit von aktuellen Datenübertragungen einen vorgegebenen Schwellwert, kann der fahrzeugexterne Server ein Unterdrücken der sicherheitsrelevanten Datenübertragung feststellen.
  • Die oben genannten Möglichkeiten des Plausibilisierens der aktuellen Datenübertragung können bezogen auf ein einzelnes Steuergerät des Fahrzeugs, eine Teilmenge von Steuergeräten des Fahrzeugs, und/oder alle Steuergeräte des Fahrzeugs ermittelt werden. Somit kann der fahrzeugexterne Server ein Unterdrücken einer sicherheitsrelevanten Datenübertragung flexibel für Steuergeräte des Fahrzeugs ermitteln und präziser ein oder mehrere Steuergeräte identifizieren, deren sicherheitsrelevante Datenübertragung unterdrückt wird.
  • Weiter kann das Verfahren 100 das Unterdrücken einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung erkennen 108. Wie oben beschrieben kann das Verfahren 100 bei einem Überschreiten oder Unterschreiten verschiedener Kenngrößen beim Plausibilisieren der aktuellen Datenübertragung ein Unterdrücken der aktuellen, sicherheitsrelevanten Datenübertragung erkennen. Ist das Ergebnis des Plausibilisierens, dass die aktuelle Datenübertragung bezüglich der letzten, sicherheitsrelevanten Datenübertragung plausibel ist, liegt kein Unterdrücken der aktuellen, sicherheitsrelevanten Datenübertragung vor. Ist das Ergebnis des Plausibilisierens, dass die aktuelle Datenübertragung bezüglich der letzten, sicherheitsrelevanten Datenübertragung nicht plausibel ist, kann das Verfahren 100 erkennen, dass die aktuelle, sicherheitsrelevante Datenübertragung unterdrückt wird.
  • Im Detail zeigt 2 ein beispielhaftes System 200 zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug 202 an einen fahrzeugexternen Server 204. Das Fahrzeug 202 kann eine aktuelle Datenübertragung an den fahrzeugexternen Server übermitteln. Die aktuelle Datenübertragung kann eine erste Datenübertragung 206 an einen ersten Dienst 208 des fahrzeugexternen Servers 204 und eine zweite Datenübertragung 210 an einen zweiten Dienst 212 des fahrzeugexternen Servers umfassen. Eine sicherheitsrelevante Datenübertragung 214 an einen sicherheitsrelevanten Dienst 216 des fahrzeugexternen Servers 204 ist in der aktuellen Datenübertragung nicht enthalten, da die sicherheitsrelevante Datenübertragung 214 durch einen Angreifer manipuliert wurde. Eine Plausibilisierungsmodul 218 des fahrzeugexternen Servers 204 kann die erste Datenübertragung 206 und die zweite Datenübertragung 210, wie oben in Zusammenhang mit 1 beschrieben, plausibilisieren und ein Unterdrücken der sicherheitsrelevanten Datenübertragung erkennen. Das Plausibilisierungsmodul 218 des fahrzeugexternen Servers 204 kann eine Alarmnachricht 220 an einen Fahrzeughersteller und/oder einen Fahrzeugnutzer übermitteln.
  • Vorteilhafterweise kann das Verfahren 100 und/oder das System 200 eine Manipulation in einem Fahrzeug effizient erkennen, die zu einem Unterdrücken einer sicherheitsrelevanten Datenübertragung an einen fahrzeugexternen Server führt. Die sicherheitsrelevante Datenübertragung kann beispielsweise eine Datenübertragung eines IDS des Fahrzeugs an einen Backend-Server sein. Insbesondere kann der fahrzeugexterne Server ein Unterdrücken der sicherheitsrelevanten Datenübertragung bei einer funktionierenden Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server effizient erkennen. Hiermit können fehlerhafte Alarme durch den fahrzeugexternen Server bei beispielsweise einem Ausfall des Kommunikationsmoduls vermieden werden.
  • Bezugszeichenliste
    • 100
    Verfahren
    102
    Empfangen einer aktuellen Datenübertragung des Fahrzeugs
    104
    Ermitteln einer letzten, sicherheitsrelevanten Datenübertragung des Fahrzeugs
    106
    Plausibilisieren der aktuellen Datenübertragung
    108
    Erkennen eines Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung
    200
    System
    202
    Fahrzeug
    204
    fahrzeugexterner Server
    206
    erste Datenübertragung
    208
    erster Dienst
    210
    zweite Datenübertragung
    212
    zweiter Dienst
    214
    sicherheitsrelevante Datenübertragung
    216
    sicherheitsrelevanter Dienst
    218
    Plausibilisierungsmodul
    220
    Alarmnachricht

Claims (10)

  1. Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, das Verfahren umfassend: Empfangen einer aktuellen Datenübertragung des Fahrzeugs durch eine erste Funktion des fahrzeugexternen Servers; Ermitteln einer letzten, sicherheitsrelevanten Datenübertragung des Fahrzeugs an eine sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server; Plausibilisieren der aktuellen Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers; und Erkennen des Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung.
  2. Verfahren nach Anspruch 1, wobei das Plausibilisieren der aktuellen Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers umfasst: Bestimmen einer relativen, zeitlichen Abhängigkeit zwischen der aktuellen Datenübertragung und der letzten, sicherheitsrelevanten Datenübertragung; und Falls die relative, zeitliche Abhängigkeit zwischen der ersten Datenübertragung und der letzten, sicherheitsrelevanten Datenübertragung außerhalb eines vorgegeben Zeitintervalls liegt: Erkennen des Unterdrückens der aktuellen, sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server durch den fahrzeugexternen Server.
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei die aktuelle Datenübertragung ein oder mehrere Datenpakete von einem oder mehreren Steuergeräten des Fahrzeugs umfasst; wobei die aktuelle Datenübertragung gesammelte Datenpakete aller Steuergeräte des Fahrzeugs umfasst.
  4. Verfahren nach einem der vorhergehenden Ansprüche, das Verfahren weiterhin umfassend: Empfangen der aktuellen Datenübertragung durch eine zweite Funktion des fahrzeugexternen Servers; und Plausibilisieren der aktuellen Datenübertragung an die erste Funktion und/oder an die zweite Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers.
  5. Verfahren nach einem der vorhergehenden Ansprüche, das Verfahren weiterhin umfassend: Empfangen der aktuellen Datenübertragung durch eine sicherheitsrelevante Funktion des fahrzeugexternen Servers; und Speichern der aktuellen Datenübertragung als die letzte, sicherheitsrelevante Datenübertragung durch den fahrzeugexternen Server, falls die aktuelle Datenübertragung ein oder mehrere Datenpakete an die sicherheitsrelevante Funktion des fahrzeugexternen Servers umfasst.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei jedes Datenpaket der aktuellen Datenübertragung ein signiertes Datenpaket ist; und wobei die erste Funktion, die zweite Funktion, und/oder die sicherheitsrelevante Funktion des fahrzeugexternen Servers eine Signatur eines für die jeweilige Funktion relevanten, signierten Datenpakets der aktuellen Datenübertragung prüft; und Falls die erste Funktion, die zweite Funktion und/oder die sicherheitsrelevante Funktion einen Fehler bei dem Prüfen der Signatur des für die jeweilige Funktion relevanten, signierten Datenpakets ermittelt: Bereitstellen einer Alarmnachricht an einen Fahrzeughersteller und/oder einen Nutzer des Fahrzeugs.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Erkennen des Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung ein Bereitstellen einer Alarmnachricht an einen Fahrzeughersteller und/oder einen Nutzer des Fahrzeugs.
  8. Computerlesbares Medium zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt auf einem Rechner, das Verfahren nach einem der Ansprüche 1 bis 7 ausführen.
  9. System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, wobei das System dazu ausgebildet ist, das Verfahren nach einem das Ansprüche 1 bis 7 auszuführen.
  10. Fahrzeug umfassend das System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server nach Anspruch 9.
DE102021123785.8A 2021-09-14 2021-09-14 Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, computerlesbares Medium, System, und Fahrzeug Pending DE102021123785A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102021123785.8A DE102021123785A1 (de) 2021-09-14 2021-09-14 Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, computerlesbares Medium, System, und Fahrzeug
PCT/EP2022/069245 WO2023041221A1 (de) 2021-09-14 2022-07-11 Verfahren zum erkennen eines unterdrückens einer sicherheitsrelevanten datenübertragung von einem fahrzeug an einen fahrzeugexternen server, computerlesbares medium, system, und fahrzeug
CN202280061100.8A CN117917045A (zh) 2021-09-14 2022-07-11 用于识别从车辆向车辆外部服务器的安全相关的数据传输的抑制的方法、计算机可读介质、系统和车辆

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021123785.8A DE102021123785A1 (de) 2021-09-14 2021-09-14 Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, computerlesbares Medium, System, und Fahrzeug

Publications (1)

Publication Number Publication Date
DE102021123785A1 true DE102021123785A1 (de) 2023-03-16

Family

ID=82786739

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021123785.8A Pending DE102021123785A1 (de) 2021-09-14 2021-09-14 Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, computerlesbares Medium, System, und Fahrzeug

Country Status (3)

Country Link
CN (1) CN117917045A (de)
DE (1) DE102021123785A1 (de)
WO (1) WO2023041221A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3291119A1 (de) 2016-08-31 2018-03-07 Bayerische Motoren Werke Aktiengesellschaft Automotives überwachungs- und sicherheitssystem
US10104104B1 (en) 2012-06-29 2018-10-16 EMC IP Holding Company LLC Security alerting system with network blockade policy based on alert transmission activity
US20200389475A1 (en) 2017-04-07 2020-12-10 Panasonic Intellectual Property Corporation Of America Unauthorized communication detection reference deciding method, unauthorized communication detection reference deciding system, and non-transitory computer-readable recording medium storing a program

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3448072B1 (de) * 2017-08-22 2020-09-30 Cohda Wireless Pty Ltd. Bestimmung der plausibilität von intelligenten transportsystemnachrichten
DE102019117946A1 (de) * 2019-07-03 2021-01-07 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Übertragen eines oder mehrerer Datenelemente von einem Fahrzeug an einen Server, computerlesbares Medium, System, und Fahrzeug
US11444961B2 (en) * 2019-12-20 2022-09-13 Intel Corporation Active attack detection in autonomous vehicle networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10104104B1 (en) 2012-06-29 2018-10-16 EMC IP Holding Company LLC Security alerting system with network blockade policy based on alert transmission activity
EP3291119A1 (de) 2016-08-31 2018-03-07 Bayerische Motoren Werke Aktiengesellschaft Automotives überwachungs- und sicherheitssystem
US20200389475A1 (en) 2017-04-07 2020-12-10 Panasonic Intellectual Property Corporation Of America Unauthorized communication detection reference deciding method, unauthorized communication detection reference deciding system, and non-transitory computer-readable recording medium storing a program

Also Published As

Publication number Publication date
CN117917045A (zh) 2024-04-19
WO2023041221A1 (de) 2023-03-23

Similar Documents

Publication Publication Date Title
EP3207683A1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
DE102017202176B4 (de) Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
DE102015122823A1 (de) Verfahren und System zur reflektometriebasierten Überwachung, Intrusionserfassung und Mitteilungsauthentifizierung eines Kommunikationsnetzwerks
DE102016206630A1 (de) Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
DE102015115287A1 (de) Verfahren und vorrichtung zum prüfen eines identifikators
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE102019124301A1 (de) Vorrichtung und Verfahren zur Gewährleistung der Fail-Safe-Funktion eines autonomen Fahrsystems
DE112015005253T5 (de) Controller Area Network (CAN)-Kommunikationssystem und Aufzeichnungsvorrichtung für Fehlerinformationen
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102017216096A1 (de) Verfahren und Vorrichtung zum Erkennen eines Angriffs auf ein serielles Kommunikationssystem
EP3695337A1 (de) Verfahren und bestätigungsvorrichtung zur integritätsbestätigung eines systems
DE102021123785A1 (de) Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, computerlesbares Medium, System, und Fahrzeug
DE102013108006B4 (de) Kommunikationsanordnung
DE102022109866A1 (de) System für eine verbesserte sicherheits- und schutzprüfung
DE102010028485A1 (de) Verfahren und Vorrichtung zur Absicherung von über eine Schnittstelle zu übertragenden Datenpaketen
DE102021123786A1 (de) Verfahren zum Erkennen einer Unterbrechung einer Datenübertragung von einem Fahrzeug an eine sicherheitsrelevante Funktion eines fahrzeugexternen Servers, computerlesbares Medium, System, und Fahrzeug
DE102017200280B4 (de) Verfahren und Vorrichtung zum Qualifizieren eines Fehlers eines Sensors mittels einer Statusinformation
DE102019113206A1 (de) Verfahren und Steuergerät zur Diagnose einer Komponente eines Fahrzeugs
DE102021112332A1 (de) Verfahren zum Erkennen einer unzulässigen Nachricht eines manipulierten Steuergeräts eines Fahrzeugs durch ein zweites Steuergerät des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE10121061A1 (de) Überwachungsvorrichtung und Überwachungsverfahren
DE102017212757A1 (de) Verfahren und Vorrichtung zum Schützen eines Feldbusses
DE102022103944B4 (de) Verfahren und Überwachungssystem zum Überwachen eines Betriebsverhaltens eines Steuergeräts eines Kraftfahrzeugs
DE112020007051T5 (de) Fahrzeuginternes Steuerungssystem und Anomaliediagnoseverfahren
DE102018216241A1 (de) Datenkommunikationsverfahren und -vorrichtung für ein Fahrzeugnetzwerk
WO2022238023A1 (de) Verfahren zum erkennen einer manipulation einer nachricht eines bussystems durch ein steuergerät eines fahrzeugs, computerlesbares medium, system, und fahrzeug

Legal Events

Date Code Title Description
R163 Identified publications notified