DE102021201443A1 - Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll - Google Patents

Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll Download PDF

Info

Publication number
DE102021201443A1
DE102021201443A1 DE102021201443.7A DE102021201443A DE102021201443A1 DE 102021201443 A1 DE102021201443 A1 DE 102021201443A1 DE 102021201443 A DE102021201443 A DE 102021201443A DE 102021201443 A1 DE102021201443 A1 DE 102021201443A1
Authority
DE
Germany
Prior art keywords
network
service
network element
hash value
exemplary embodiments
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021201443.7A
Other languages
English (en)
Inventor
Paulius Duplys
Tobias Gehrmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102021201443.7A priority Critical patent/DE102021201443A1/de
Priority to CN202210136486.6A priority patent/CN114944912A/zh
Publication of DE102021201443A1 publication Critical patent/DE102021201443A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll, bei dem beispielsweise ein Netzwerkelement wenigstens einen Dienst bereitstellen kann, aufweisend die folgenden Schritte: Bereitstellen eines gemeinsamen Geheimnisses für wenigstens zwei Netzwerkelemente, Verwenden des gemeinsamen Geheimnisses.

Description

  • Stand der Technik
  • Die Offenbarung bezieht sich auf ein Verfahren zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll.
  • Die Offenbarung bezieht sich ferner auf eine Vorrichtung zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll.
  • Die Offenbarung bezieht sich ferner auf ein Netzwerkelement zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll
  • Die Offenbarung bezieht sich ferner auf ein Netzwerk mit einem dienstorientierten Protokoll.
  • Offenbarung der Erfindung
  • Beispielhafte Ausführungsformen beziehen sich auf ein Verfahren zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll, bei dem beispielsweise ein Netzwerkelement wenigstens einen Dienst bereitstellen kann, aufweisend die folgenden Schritte: Bereitstellen eines gemeinsamen Geheimnisses für wenigstens zwei Netzwerkelemente, Verwenden des gemeinsamen Geheimnisses. Dies ermöglicht weiteren beispielhaften Ausführungsformen zufolge eine effiziente Steigerung der Sicherheit bei einem Betrieb des Netzwerks.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: Verwenden des gemeinsamen Geheimnisses zum Authentifizieren, beispielsweise zum Authentifizieren eines ersten Netzwerkelements der wenigstens zwei Netzwerkelemente, beispielsweise gegenüber einem zweiten Netzwerkelement der wenigstens zwei Netzwerkelemente.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Bereitstellen des gemeinsamen Geheimnisses wenigstens eines der folgenden Elemente aufweist: a) Empfangen des gemeinsamen Geheimnisses, beispielsweise von einem weiteren Netzwerkelement, b) Bilden des gemeinsamen Geheimnisses, beispielsweise lokal in wenigstens einem Netzwerkelement, c) Senden des gemeinsamen Geheimnisses, beispielsweise an wenigstens ein weiteres Netzwerkelement.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das dienstorientierte Protokoll ein Scalable service-Oriented MiddlewarE over IP, SOME/IP, Protokoll ist. Bei weiteren beispielhaften Ausführungsformen sind auch andere Protokolle denkbar.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Erzeugen eines Nachrichtenauthentifizierungscodes (englisch: message authentication code) und/oder Tokens, beispielsweise basierend auf dem gemeinsamen Geheimnis. Bei weiteren beispielhaften Ausführungsformen kann das Token auch einen bzw. den Nachrichtenauthentifizierungscode aufweisen bzw. enthalten.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Senden des Nachrichtenauthentifizierungscodes bzw. eines den Nachrichtenauthentifizierungscode und wenigstens eine weitere Information aufweisenden Tokens, wobei beispielsweise die wenigstens eine weitere Information wenigstens eines der folgenden Elemente ist: a) Zufallszahl, b) Pseudozufallszahl, c) Zeichenkette, d) Identifikation, beispielsweise eines bzw. des sendenden Netzwerkelements, e) Folgenummer (z.B. eine fortlaufende Nummer, „sequence number“), f) Zeitstempel, g) anwendungsbasierte Informationen.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Empfangen eines bzw. des Nachrichtenauthentifizierungscodes bzw. eines Tokens, das z.B. u.a. den Nachrichtenauthentifizierungscode enthalten kann.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Prüfen des Nachrichtenauthentifizierungscodes bzw. Tokens, beispielsweise basierend auf dem gemeinsamen Geheimnis.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Senden eines bzw. des Nachrichtenauthentifizierungscodes und/oder des gemeinsamen Geheimnisses und/oder von dem Nachrichtenauthentifizierungscode und/oder dem gemeinsamen Geheimnis abgeleiteter Informationen (z.B. in Form eines Tokens) an wenigstens eine weitere Einrichtung, beispielsweise an eine Aufzeichnungseinrichtung.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Empfangen eines bzw. des Nachrichtenauthentifizierungscodes und/oder des gemeinsamen Geheimnisses und/oder von dem Nachrichtenauthentifizierungscode und/oder dem gemeinsamen Geheimnis abgeleiteter Informationen (z.B. in Form eines Tokens).
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Erstellen wenigstens eines Berichts und/oder Logfiles, beispielsweise bezüglich wenigstens eines z.B. gesendeten und/oder empfangenen Nachrichtenauthentifizierungscodes und/oder gemeinsamen Geheimnisses.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren wenigstens eines der folgenden Elemente aufweist: a) Bereitstellen eines, beispielsweise einzigen, gemeinsamen Geheimnisses, für die wenigstens zwei Netzwerkelemente, b) Bereitstellen eines gemeinsamen Geheimnisses für ein als Server ausgebildetes Netzwerkelement und wenigstens ein als Client ausgebildetes Netzwerkelement, beispielsweise im Falle einer Verwendung eines bzw. des SOME/IP-Protokolls Bereitstellen eines gemeinsamen Geheimnisses für einen SOME/IP-Server und wenigstens einen mit dem SOME/IP-Server assoziierten Client, c) Bereitstellen unterschiedlicher gemeinsamer Geheimnisse für manche der wenigstens zwei Netzwerkelemente.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Hinzufügen eines Zeitstempels und/oder eines Zählerwerts zu dem gemeinsamen Geheimnis und/oder zu einem Token.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Empfangen eines Tokens, und, optional, Auswerten eines in dem Token enthaltenen Zeitstempels und/oder eines Zählerwerts.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Bereitstellen eines Anfangswerts, wobei der Anfangswert beispielsweise eine Zufallszahl bzw. eine Pseudozufallszahl ist, Anwenden einer Hashfunktion auf den Anfangswert, wobei beispielsweise das Anwenden der Hashfunktion ein, beispielsweise für n viele Wiederholungen, n > 1, wiederholtes Anwenden der Hashfunktion auf den Anfangswert bzw. auf einen dadurch erhaltenen Hashwert aufweist, wobei beispielsweise ein Hashwert n-ter Ordnung erhalten wird.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: Senden eines basierend auf dem Anwenden bzw. auf dem wiederholten Anwenden erhaltenen Hashwerts, beispielsweise über einen sicheren, beispielsweise verschlüsselten, Kanal bzw. in einer sicheren Umgebung (z.B. in einer Fertigungseinrichtung), beispielsweise im Falle einer Verwendung eines bzw. des SOME/IP-Protokolls an einen Routing Manager.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Bereitstellen eines Hashwerts (n-i)-ter Ordnung, beispielsweise mit i < n, basierend auf dem Anfangswert, Senden des Hashwerts (n-i)-ter Ordnung, beispielsweise zusammen mit bzw. als Teil einer Anfrage.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Empfangen eines bzw. des Hashwerts (n-i)-ter Ordnung, beispielsweise mit i < n, beispielsweise zusammen mit bzw. als Teil einer Anfrage, und, optional, Prüfen des Hashwerts (n-i)-ter Ordnung, wobei beispielsweise das Prüfen des Hashwerts (n-i)-ter Ordnung aufweist: i-maliges Anwenden der Hashfunktion auf den Hashwert (n-i)-ter Ordnung bzw. auf einen dadurch erhaltenen Hashwert, Vergleichen eines durch das i-malige Anwenden der Hashfunktion erhaltenen Prüf-Hashwerts mit dem Hashwert n-ter Ordnung. Sofern der Prüf-Hashwert mit dem Hashwert n-ter Ordnung übereinstimmt, kann bei weiteren beispielhaften Ausführungsformen z.B. darauf geschlossen werden, dass ein Sender des Hashwerts (n-i)-ter Ordnung in Besitz des Anfangswerts ist und somit z.B. eine legitime Partei des Netzwerks bzw. einen legitimen Nutzer des Netzwerks darstellt.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: beispielsweise basierend auf dem Vergleichen, Verwerfen eines bzw. des Hashwerts n-ter Ordnung, und/oder Speichern des Hashwerts (n-i)-ter Ordnung. Dadurch kann bei weiteren beispielhaften Ausführungsformen z.B. eine zukünftige Überprüfung eines Hashwerts z.B. (n-k)-ter Ordnung, mit (n-k) > (n-i), effizienter ausgeführt werden.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: Verwenden einer digitalen Signatur, beispielsweise basierend auf dem gemeinsamen Geheimnis.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf eine Vorrichtung zur Ausführung des Verfahrens gemäß den Ausführungsformen, wobei insbesondere die Vorrichtung wenigstens eine Recheneinrichtung und eine der Recheneinrichtung zugeordnete Speichereinrichtung zur zumindest zeitweisen Speicherung von Daten und/oder Computerprogrammen aufweist.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass die Vorrichtung eine, vorzugsweise bidirektionale, Datenschnittstelle aufweist.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Netzwerkelement zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll, bei dem beispielsweise ein Netzwerkelement wenigstens einen Dienst bereitstellen kann, aufweisend wenigstens eine Vorrichtung gemäß den Ausführungsformen.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Netzwerkelement ein Server, beispielsweise ein SOME/IP Server, ist.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Netzwerkelement ein Client, beispielsweise ein SOME/IP Client, ist.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Netzwerkelement ein Routing Manager, beispielsweise ein SOME/IP Routing Manager, ist.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Netzwerkelement, z.B. der Server bzw. der Client bzw. der Routing Manager, dazu ausgebildet ist, wenigstens zeitweise wenigstens einen Aspekt der z.B. vorstehend beispielhaft beschriebenen Verfahren gemäß beispielhaften Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Netzwerk mit einem dienstorientierten Protokoll, insbesondere auf ein SOME/IP-basiertes Netzwerk, mit wenigstens einer Vorrichtung gemäß den Ausführungsformen und/oder wenigstens einem Netzwerkelement gemäß den Ausführungsformen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch einen Computer diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Datenträgersignal, das das Computerprogramm gemäß den Ausführungsformen überträgt und/oder charakterisiert. Bei weiteren beispielhaften Ausführungsformen ist das Datenträgersignal z.B. über eine optionale Datenschnittstelle der Vorrichtung übertragbar.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf eine Verwendung des Verfahrens gemäß den Ausführungsformen und/oder der Vorrichtung gemäß den Ausführungsformen und/oder des Netzwerkelements gemäß den Ausführungsformen und/oder des Netzwerks gemäß den Ausführungsformen und/oder des computerlesbaren Speichermediums gemäß den Ausführungsformen und/oder des Computerprogramms gemäß den Ausführungsformen und/oder des Datenträgersignals gemäß den Ausführungsformen für wenigstens eines der folgenden Elemente: a) Erhöhen der Sicherheit von Datenübertragungen in einem Netzwerk mit einem dienstorientierten Protokoll, insbesondere einem SOME/IP-Protokoll, b) Überprüfen von Datenübertragungen in einem Netzwerk und/oder von Netzwerkelementen bzw. einer Berechtigung von Netzwerkelementen bzw. einer Echtheit von Netzwerkelementen, c) Unterbinden bzw. Verhindern eines Anbietens und/oder Verwendens und/oder Ausführens von nicht autorisierten Diensten, d) Schützen eines Routing Managers für ein Netzwerk mit einem dienstorientierten Protokoll, e) Einschränken einer Gruppe von Netzwerkelementen, die einen vorgebbaren Dienst nutzen darf, f) Überwachen einer Kommunikation in dem Netzwerk, beispielsweise Überwachen, ob ein bestimmter Client sich für die Nutzung eines Diensts anmeldet und/oder ob ein bestimmter Client sich von der Nutzung eines Diensts abmeldet, und/oder beispielsweise Überwachen und/oder Aufzeichnen, ob ein Dienst angeboten wird und/oder ob ein Netzwerkelement aufhört, einen Dienst anzubieten.
  • Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in den Figuren der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Ansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in der Zeichnung.
  • In der Zeichnung zeigt:
    • 1 schematisch ein vereinfachtes Blockdiagramm gemäß beispielhaften Ausführungsformen,
    • 2 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 3 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 4 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 5 schematisch ein vereinfachtes Blockdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 6 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 7 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 8 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 9 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 10 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 11 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 12 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 13 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 14 schematisch ein vereinfachtes Diagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 15 schematisch ein vereinfachtes Flussdiagramm von Verfahren gemäß weiteren beispielhaften Ausführungsformen,
    • 16 schematisch ein vereinfachtes Blockdiagramm gemäß weiteren beispielhaften Ausführungsformen,
    • 17 schematisch Aspekte von Verwendungen gemäß weiteren beispielhaften Ausführungsformen, und
    • 18 schematisch ein vereinfachtes Blockdiagramm gemäß weiteren beispielhaften Ausführungsformen.
  • Beispielhafte Ausführungsformen, vgl. 1, 2, beziehen sich auf ein Verfahren zum Übertragen von Daten in einem Netzwerk 10 mit einem dienstorientierten Protokoll, bei dem beispielsweise ein Netzwerkelement 11 wenigstens einen Dienst D bereitstellen kann, beispielsweise für wenigstens ein weiteres Netzwerkelement 12, aufweisend die folgenden Schritte: Bereitstellen 100 eines gemeinsamen Geheimnisses SS für wenigstens zwei Netzwerkelemente 11, 12, Verwenden 102 des gemeinsamen Geheimnisses SS. Dies ermöglicht weiteren beispielhaften Ausführungsformen zufolge eine effiziente Steigerung der Sicherheit bei einem Betrieb des Netzwerks 10.
  • Bei dem Netzwerk 10 kann es sich z.B. um ein Netzwerk für ein Fahrzeug oder eine Fertigungseinrichtung handeln. Beispielsweise kann das Netzwerk 10 auch ein geteiltes Medium („shared medium“) 10a aufweisen, das z.B. drahtgebunden (z.B. Ethernet-Netzwerk) oder auch drahtlos ausgebildet sein kann, und auf das neben dem Netzwerkelement 11 auch noch weitere Netzwerkelemente 12, 13 zugreifen können, beispielsweise um den Dienst D zu nutzen.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: Verwenden 102 des gemeinsamen Geheimnisses SS zum Authentifizieren 102a, beispielsweise zum Authentifizieren eines ersten Netzwerkelements 12 (z.B. Client) der wenigstens zwei Netzwerkelemente 11, 12, beispielsweise gegenüber einem zweiten Netzwerkelement 11 (z.B. Server) der wenigstens zwei Netzwerkelemente.
  • Bei weiteren beispielhaften Ausführungsformen, 3, ist vorgesehen, dass das Bereitstellen 100 des gemeinsamen Geheimnisses SS wenigstens eines der folgenden Elemente aufweist: a) Empfangen 100a des gemeinsamen Geheimnisses SS, beispielsweise von einem weiteren Netzwerkelement, b) Bilden 100b des gemeinsamen Geheimnisses SS, beispielsweise lokal in wenigstens einem Netzwerkelement, beispielsweise basierend auf einem Zufallswert bzw. Pseudozufallswert, c) Senden 100c des gemeinsamen Geheimnisses SS, beispielsweise an wenigstens ein weiteres Netzwerkelement, beispielsweise nach einem (z.B. lokalen) Bilden bzw. Empfangen von einem anderen Netzwerkelement und/oder von einer andere Einheit (nicht gezeigt).
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das dienstorientierte Protokoll ein Scalable service-Oriented MiddlewarE over IP, SOME/IP, Protokoll ist. Bei weiteren beispielhaften Ausführungsformen sind auch andere Protokolle denkbar.
  • Bei weiteren beispielhaften Ausführungsformen, 4, ist vorgesehen, dass das Verfahren aufweist: Erzeugen 110 eines Nachrichtenauthentifizierungscodes MAC (englisch: message authentication code) und/oder Tokens TOK, beispielsweise basierend auf dem gemeinsamen Geheimnis SS. Bei weiteren beispielhaften Ausführungsformen kann das Token TOK auch einen bzw. den Nachrichtenauthentifizierungscode MAC aufweisen bzw. enthalten.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Senden 112 des Nachrichtenauthentifizierungscodes MAC bzw. eines den Nachrichtenauthentifizierungscode und ggf. wenigstens eine weitere Information WI aufweisenden Tokens TOK, 5, wobei beispielsweise die wenigstens eine weitere Information WI wenigstens eines der folgenden Elemente ist: a) Zufallszahl ZZ, b) Pseudozufallszahl PZZ, c) Zeichenkette ZK, d) Identifikation ID, beispielsweise eines bzw. des sendenden Netzwerkelements, e) Folgenummer FN (z.B. eine fortlaufende Nummer, „sequence number“), f) Zeitstempel ZST, g) anwendungsbasierte Informationen ABI.
  • Bei weiteren beispielhaften Ausführungsformen kann das Verfahren gemäß 4 z.B. durch einen Client 12 (1) ausgeführt werden, z.B. um sich gegenüber dem Server 11 zu authentifizieren, z.B. zur Vorbereitung der Nutzung des Dienstes D.
  • Bei weiteren beispielhaften Ausführungsformen, 6, ist vorgesehen, dass das Verfahren aufweist: Empfangen 120 eines bzw. des Nachrichtenauthentifizierungscodes MAC bzw. eines bzw. des Tokens TOK, das z.B. u.a. den Nachrichtenauthentifizierungscode MAC enthalten kann.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Prüfen 122 des Nachrichtenauthentifizierungscodes MAC bzw. Tokens TOK, beispielsweise basierend auf dem gemeinsamen Geheimnis SS. Bei weiteren beispielhaften Ausführungsformen ist der Block 122 optional.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Senden 124 eines bzw. des Nachrichtenauthentifizierungscodes MAC und/oder des gemeinsamen Geheimnisses SS und/oder von dem Nachrichtenauthentifizierungscode und/oder dem gemeinsamen Geheimnis abgeleiteter Informationen (z.B. in Form eines Tokens TOK) an wenigstens eine weitere Einrichtung, beispielsweise an eine Aufzeichnungseinrichtung AZE (1).
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Empfangen 126 eines bzw. des Nachrichtenauthentifizierungscodes MAC und/oder des gemeinsamen Geheimnisses SS und/oder von dem Nachrichtenauthentifizierungscode und/oder dem gemeinsamen Geheimnis abgeleiteter Informationen (z.B. in Form eines Tokens TOK).
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren aufweist: Erstellen 128 wenigstens eines Berichts BER und/oder Logfiles, beispielsweise bezüglich wenigstens eines z.B. gesendeten und/oder empfangenen Nachrichtenauthentifizierungscodes MAC und/oder gemeinsamen Geheimnisses SS.
  • Bei weiteren beispielhaften Ausführungsformen kann das Verfahren gemäß 6 oder einzelne Aspekte hiervon z.B. durch einen Server 11 (1) ausgeführt werden.
  • Bei weiteren beispielhaften Ausführungsformen kann z.B. ein als SOME/IP Routing Manager ausgebildetes Netzwerkelement 13 (und/oder eine vertrauenswürdige dritte Partei) mehrere Token TOK erzeugen, die z.B. anfänglich, beispielsweise vor einem regulären Betrieb des Netzwerks 10, verteilt werden, z.B. mittels Senden an einen oder mehrere SOME/IP Server 11 und/oder mittels Senden an einen oder mehrere SOME/IP Clients 12, beispielsweise mittels (z.B. durch Verschlüsselung) gesicherter Übertragung und/oder in einer sicheren Umgebung (z.B. Fertigungseinrichtung).
  • Bei weiteren beispielhaften Ausführungsformen werden die Token TOK z.B. so erzeugt, dass sie z.B. durch wenigstens ein anderes Netzwerkelement, z.B. den SOME/IP Routing Manager 13, verifiziert werden können, z.B. basierend auf dem gemeinsamen Geheimnis SS. Mit anderen Worten kann bei weiteren beispielhaften Ausführungsformen z.B. der Routing Manager 13 eine Validität eines z.B. von einem anderen Netzwerkelement empfangenen Tokens TOK überprüfen, wobei das Token z.B. durch das andere Netzwerkelement 12 an den Routing Manager 13 gesendet wird, wenn es einen (z.B. geschützten, z.B. SOME/IP) Dienst D nutzen will.
  • Bei weiteren beispielhaften Ausführungsformen kann das Token TOK z.B. ein Codewort eines z.B. linearen Fehlerkorrekturcodes sein, der selbst z.B. geheim gehalten wird. In diesem Fall kann das Token TOK weiteren beispielhaften Ausführungsformen z.B. basierend auf dem gemeinsamen Geheimnis SS unter Verwendung des z.B. linearen Fehlerkorrekturcodes gebildet werden.
  • Bei weiteren beispielhaften Ausführungsformen, 7, ist vorgesehen, dass das Verfahren wenigstens eines der folgenden Elemente aufweist: a) Bereitstellen 130 eines, beispielsweise einzigen, gemeinsamen Geheimnisses SS, für die wenigstens zwei Netzwerkelemente 11, 12, z.B. für alle Netzwerkelemente 11, 12, 13, b) Bereitstellen 132 eines gemeinsamen Geheimnisses SS für ein als Server ausgebildetes Netzwerkelement 11 und wenigstens ein als Client ausgebildetes Netzwerkelement 12, beispielsweise im Falle einer Verwendung eines bzw. des SOME/IP-Protokolls Bereitstellen eines gemeinsamen Geheimnisses für einen SOME/IP-Server 11 und wenigstens einen mit dem SOME/IP-Server assoziierten Client 12, c) Bereitstellen 134 unterschiedlicher gemeinsamer Geheimnisse für manche der wenigstens zwei Netzwerkelemente.
  • Bei weiteren beispielhaften Ausführungsformen kann vorgesehen sein, dass wenigstens ein Netzwerkelement, beispielsweise ein (SOME/IP) Routing Manager 13, alle oder manche (z.B. vorgebbaren Kriterien entsprechende) Token TOK der Aufzeichnungseinrichtung AZE sendet bzw. weiterleitet. Bei weiteren beispielhaften Ausführungsformen kann dieses Senden bzw. Weiterleiten z.B. auch für solche Aufrufe bzw. Anfragen (z.B. nach Diensten D) an den Routing Manager 13 ausgeführt werden, die mit einem validen Token TOK assoziiert sind und die, z.B. gemäß einer Regel, die z.B. der Routing Manager 13 prüfen kann, zulässig sind. Auf diese Weise können bei weiteren beispielhaften Ausführungsformen detaillierte Berichte BER bzw. Logdateien erzeugt werden, die z.B. angeben, welches Netzwerkelement welchen Aufruf/welche Anfrage wohin/an wen/z.B. an welchen Routing Manager 13 z.B. zu welcher Zeit ausgeführt hat.
  • Bei weiteren beispielhaften Ausführungsformen kann das gemeinsame Geheimnis SS z.B. von allen Servern und Clients in dem Netzwerk 10 geteilt bzw. verwendet werden.
  • Bei weiteren beispielhaften Ausführungsformen kann z.B. für vorgebbare Gruppen von Servern und/oder Clients und/oder Routing Manager jeweils ein gemeinsames Geheimnis SS vorgesehen sein, wodurch beispielsweise verschiedene Berechtigungsgruppen definierbar sind, die jeweils unterschiedliche (oder dieselben) Netzwerkelemente aufweisen können.
  • Bei weiteren beispielhaften Ausführungsformen sind auch gemischte Ansätze denkbar, die Aspekte der beiden vorstehend genannten Aspekte miteinander vereinen. Beispielsweise sind einzigartige gemeinsame Geheimnisse für manche Server und Clients (z.B. diejenigen mit höhere Privilegien, z.B. gemäß ein oder mehreren Sicherheitsregeln, z.B. SOME/IP Sicherheitsregeln) denkbar, und z.B. ein einziges gemeinsames Geheimnis (oder eine vergleichsweise kleine Menge von gemeinsamen Geheimnissen, z.B. eines je Netzwerksegment oder Funktionsgruppe) für die weiteren Netzwerkelemente (z.B. Server und/oder Clients, z.B. mit weniger hohen Privilegien). Auf diese Weise kann bei weiteren beispielhaften Ausführungsformen z.B. das Erfordernis nach Speicher für gemeinsame Geheimnisse z.B. bei dem Routing Manager 13 verringert werden, während gleichzeitig nicht die Sicherheit des gesamten Systems beeinträchtig wäre z.B. durch einen erfolgreichen Angriff auf ein einzelnes Netzwerkelement.
  • Bei weiteren beispielhaften Ausführungsformen, 8, ist vorgesehen, dass das Verfahren aufweist: Hinzufügen 140 eines Zeitstempels und/oder eines Zählerwerts zu dem gemeinsamen Geheimnis SS und/oder zu einem Token TOK, wodurch z.B. ein entsprechend ergänztes gemeinsames Geheimnis SS' bzw. Token TOK' erhaltbar ist. Der optionale Block 142 symbolisiert ein optionales Verwenden eines solchen ergänzten Geheimnisses SS' bzw. Tokens TOK'.
  • Bei weiteren beispielhaften Ausführungsformen, 9, ist vorgesehen, dass das Verfahren aufweist: Empfangen 145 eines Tokens TOK, TOK', und, optional, Auswerten 146 eines in dem Token TOK, TOK' enthaltenen Zeitstempels und/oder eines Zählerwerts. Dies kann bei weiteren beispielhaften Ausführungsformen ermöglichen, Replay-Angriffe zu entdecken (z.B. durch Überwachen des Zählerwerts, und/oder durch Prüfen auf Plausibilität des Zeitstempels bzw. auf eine Differenz des Zeitstempels zur aktuellen Zeit bzw. auf einen Bezug zu einem weiteren Zeitstempel (z.B. eines vorangehenden Tokens)).
  • Bei weiteren beispielhaften Ausführungsformen, 10, ist vorgesehen, dass das Verfahren aufweist: Bereitstellen 150 eines Anfangswerts AW, wobei der Anfangswert AW beispielsweise eine Zufallszahl bzw. eine Pseudozufallszahl ist, Anwenden 152 einer Hashfunktion HF auf den Anfangswert AW, wobei beispielsweise das Anwenden 152 der Hashfunktion HF ein, beispielsweise für n viele Wiederholungen, n > 1, wiederholtes Anwenden 152a der Hashfunktion HF auf den Anfangswert bzw. auf einen dadurch erhaltenen Hashwert aufweist, wobei beispielsweise ein Hashwert n-ter Ordnung HW_n erhalten wird. Beispielsweise gilt: HW_1 (Hashwert erster Ordnung) = HF (AW), HW_2 (Hashwert zweiter Ordnung) = HF(HW_1) = HF(HF(AW)), HW_3 (Hashwert dritter Ordnung) = HF(HW_2) = HF(HF(HF(AW)), usw.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: Senden 154 eines basierend auf dem Anwenden 152 bzw. auf dem wiederholten Anwenden 152a erhaltenen Hashwerts (z.B. n-ter Ordnung, HW_n), beispielsweise über einen sicheren, beispielsweise verschlüsselten, Kanal bzw. in einer sicheren Umgebung (z.B. in einer Fertigungseinrichtung), beispielsweise im Falle einer Verwendung eines bzw. des SOME/IP-Protokolls an einen Routing Manager 13.
  • Bei weiteren beispielhaften Ausführungsformen, 11, ist vorgesehen, dass das Verfahren aufweist: Bereitstellen 160 eines Hashwerts HW_n-i (n-i)-ter Ordnung, beispielsweise mit i < n, basierend auf dem Anfangswert AW, Senden 162 des Hashwerts HW_n-i (n-i)-ter Ordnung, beispielsweise zusammen mit bzw. als Teil einer Anfrage ANFR (z.B. nach dem Dienst D), beispielsweise ausführbar durch einen Client 12.
  • Bei weiteren beispielhaften Ausführungsformen, 12, ist vorgesehen, dass das Verfahren aufweist: Empfangen 165, beispielsweise durch den Server 11, eines bzw. des Hashwerts HW_n-i (n-i)-ter Ordnung, beispielsweise mit i < n, beispielsweise zusammen mit bzw. als Teil einer Anfrage, z.B. von dem Client 11, und, optional, Prüfen 166 des Hashwerts (n-i)-ter Ordnung, wobei beispielsweise das Prüfen 166 des Hashwerts (n-i)-ter Ordnung aufweist, vgl. 13: i-maliges Anwenden 166a der Hashfunktion HF (10) auf den Hashwert HW_n-i (n-i)-ter Ordnung bzw. auf einen dadurch erhaltenen Hashwert, Vergleichen 166b eines durch das i-malige Anwenden 166a der Hashfunktion HF erhaltenen Prüf-Hashwerts mit dem Hashwert n-ter Ordnung. Sofern der Prüf-Hashwert mit dem Hashwert n-ter Ordnung übereinstimmt, kann bei weiteren beispielhaften Ausführungsformen z.B. darauf geschlossen werden, dass ein Sender des Hashwerts (n-i)-ter Ordnung in Besitz des Anfangswerts ist und somit z.B. eine legitime Partei des Netzwerks bzw. einen legitimen Nutzer des Netzwerks darstellt.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Verfahren weiter aufweist: beispielsweise basierend auf dem Vergleichen 166b, Verwerfen 166c eines bzw. des Hashwerts n-ter Ordnung, und/oder Speichern 166d des Hashwerts (n-i)-ter Ordnung. Dadurch kann bei weiteren beispielhaften Ausführungsformen z.B. eine zukünftige Überprüfung eines Hashwerts z.B. (n-k)-ter Ordnung, mit (n-k) > (n-i), effizienter ausgeführt werden.
  • 14 zeigt ein Signalisierungsdiagramm gemäß weiteren beispielhaften Ausführungsformen. Element e1 symbolisiert das Bilden eines Hashwerts n-ter Ordnung durch einen Client 14, Element e2 symbolisiert das Senden des Hashwerts n-ter Ordnung an den Server 13, Element e3 symbolisiert das Speichern des Hashwerts n-ter Ordnung, z.B. für eine spätere Nutzung, Element e4 symbolisiert das Senden eines Hashwerts (n-i)-ter Ordnung durch den Client 14 an den Server 13, Element e5 symbolisiert das Prüfen des Hashwerts (n-i)-ter Ordnung durch den Server 13, beispielsweise durch i-faches Anwenden der Hashfunktion HF auf den Hashwert (n-i)-ter Ordnung bzw. die dabei erhaltenen Hashwerte und Vergleichen mit dem gemäß Element e3 gespeicherten Hashwerts n-ter Ordnung. Element e6 symbolisiert ein Speichern des Hashwerts (n-i)-ter Ordnung (und ggf. ein Verwerfen des gemäß Element e3 zuvor gespeicherten Hashwerts n-ter Ordnung), z.B. wenn die Prüfung e5 positiv ausfällt (Prüf-Hashwert entspricht Hashwert n-ter Ordnung). Element e7 symbolisiert eine optionale Antwort des Servers 13 an den Client 14, z.B. basierend auf der positiven Prüfung e5.
  • Bei weiteren beispielhaften Ausführungsformen, 15, ist vorgesehen, dass das Verfahren weiter aufweist: Verwenden 170 einer digitalen Signatur DS, beispielsweise basierend auf dem gemeinsamen Geheimnis SS. Auch hiermit kann bei weiteren beispielhaften Ausführungsformen z.B. eine z.B. gegenseitige Authentifizierung zwischen den Netzwerkelemente 11, 12, 13, 14 vorgenommen werden. Block 172 symbolisiert eine optionale Bereitstellung eines Dienstes D nach positiver Authentifizierung mittels der digitalen Signatur DS.
  • Weitere beispielhafte Ausführungsformen, 16, beziehen sich auf eine Vorrichtung 200 zur Ausführung des Verfahrens gemäß den Ausführungsformen, wobei insbesondere die Vorrichtung 200 wenigstens eine Recheneinrichtung („Computer“) 202 und eine der Recheneinrichtung 202 zugeordnete Speichereinrichtung 204 zur zumindest zeitweisen Speicherung von Daten DAT und/oder Computerprogrammen PRG aufweist.
  • Die Speichereinrichtung 204 kann z.B. einen flüchtigen Speicher 204a (z.B. Arbeitsspeicher, RAM) aufweisen, und/oder einen nichtflüchtigen Speicher 204b (z.B. Flash-EEPROM).
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass die Vorrichtung 200 eine, vorzugsweise bidirektionale, Datenschnittstelle 206 aufweist.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein computerlesbares Speichermedium SM, umfassend Befehle PRG, die bei der Ausführung durch einen Computer 202 diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Computerprogramm PRG, umfassend Befehle, die bei der Ausführung des Programms PRG durch einen Computer 202 diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Datenträgersignal DCS, das das Computerprogramm PRG gemäß den Ausführungsformen überträgt und/oder charakterisiert. Bei weiteren beispielhaften Ausführungsformen ist das Datenträgersignal DCS z.B. über eine optionale Datenschnittstelle 206 der Vorrichtung 200 übertragbar (ebenso wie z.B. Elemente des Diensts D bzw. das gemeinsamen Geheimnis SS bzw. ein Nachrichtenauthentifizierungscode MAC bzw. ein Token TOK).
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Netzwerkelement 11, 12, 13 (1) zum Übertragen von Daten in einem Netzwerk 10 mit einem dienstorientierten Protokoll, bei dem beispielsweise ein Netzwerkelement 11 wenigstens einen Dienst D bereitstellen kann, aufweisend wenigstens eine Vorrichtung 200 gemäß den Ausführungsformen.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Netzwerkelement ein Server 11, beispielsweise ein SOME/IP Server 11, ist.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Netzwerkelement ein Client 12, beispielsweise ein SOME/IP Client 12, ist.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Netzwerkelement ein Routing Manager 13, beispielsweise ein SOME/IP Routing Manager 13, ist.
  • Bei weiteren beispielhaften Ausführungsformen ist vorgesehen, dass das Netzwerkelement 11, 12, 13, z.B. der Server 11 bzw. der Client 12 bzw. der Routing Manager 13, dazu ausgebildet ist, wenigstens zeitweise wenigstens einen Aspekt der z.B. vorstehend beispielhaft beschriebenen Verfahren gemäß beispielhaften Ausführungsformen auszuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Netzwerk 10 mit einem dienstorientierten Protokoll, insbesondere auf ein SOME/IP-basiertes Netzwerk 10, mit wenigstens einer Vorrichtung 200 gemäß den Ausführungsformen und/oder wenigstens einem Netzwerkelement 11, 12, 13 gemäß den Ausführungsformen.
  • Weitere beispielhafte Ausführungsformen, 17, beziehen sich auf eine Verwendung 300 des Verfahrens gemäß den Ausführungsformen und/oder der Vorrichtung gemäß den Ausführungsformen und/oder des Netzwerkelements gemäß den Ausführungsformen und/oder des Netzwerks gemäß den Ausführungsformen und/oder des computerlesbaren Speichermediums gemäß den Ausführungsformen und/oder des Computerprogramms gemäß den Ausführungsformen und/oder des Datenträgersignals gemäß den Ausführungsformen für wenigstens eines der folgenden Elemente: a) Erhöhen 302 der Sicherheit von Datenübertragungen in einem Netzwerk 10 mit einem dienstorientierten Protokoll, insbesondere einem SOME/IP-Protokoll, b) Überprüfen 304 von Datenübertragungen in einem Netzwerk und/oder von Netzwerkelementen bzw. einer Berechtigung von Netzwerkelementen bzw. einer Echtheit von Netzwerkelementen, c) Unterbinden 306 bzw. Verhindern eines Anbietens und/oder Verwendens und/oder Ausführens von nicht autorisierten Diensten, d) Schützen 308 eines Routing Managers 13 für ein Netzwerk mit einem dienstorientierten Protokoll, e) Einschränken 310 einer Gruppe von Netzwerkelementen, die einen vorgebbaren Dienst nutzen darf, f) Überwachen 312 einer Kommunikation in dem Netzwerk, beispielsweise Überwachen, ob ein bestimmter Client sich für die Nutzung eines Diensts anmeldet und/oder ob ein bestimmter Client sich von der Nutzung eines Diensts abmeldet, und/oder beispielsweise Überwachen und/oder Aufzeichnen, ob ein Dienst angeboten wird und/oder ob ein Netzwerkelement aufhört, einen Dienst anzubieten.
  • 18 zeigt schematisch ein vereinfachtes Blockdiagramm gemäß weiteren beispielhaften Ausführungsformen. Element e10 symbolisiert beispielhaft einen SOME/IP Routing Manager, Element e11 symbolisiert beispielhaft wenigstens einen SOME/IP Server oder Client, Element e11' symbolisiert beispielhaft eine z.B. gemäß den Ausführungsformen, z.B. basierend auf dem gemeinsamen Geheimnis SS, authentifizierte Anfrage AR, z.B. nach einem Dienst D (1).
  • Element e12 symbolisiert beispielhaft eine optionale Sicherheitseinrichtung, z.B. bezeichenbar als „security monitor“, die z.B. mit dem routing manager e10 verbindbar oder verbunden ist. Bei weiteren beispielhaften Ausführungsformen ist die Sicherheitseinrichtung e12 dazu ausgebildet, die Authentizität und/oder Integrität von Anfragen, z.B. SOME/IP Anfragen, z.B. an den Routing Manager e10, zu prüfen. Bei weiteren beispielhaften Ausführungsformen kann die Sicherheitseinrichtung e12 z.B. die Vorrichtung 200 gemäß 16 oder zumindest einen Teil ihrer Funktionalität aufweisen. Optional können bei weiteren beispielhaften Ausführungsformen eine oder mehrere Regeln e12', z.B. Sicherheitsregeln, vorgesehen sein, die z.B. einen Betrieb der Sicherheitseinrichtung e12 steuern, z.B. die Sicherheitseinrichtung e12 informieren, welcher Client welche Dienste D anfragen bzw. nutzen darf.
  • Element e12 symbolisiert beispielhaft eine optionale Erfassungs- bzw. Aufzeichnungseinrichtung, die z.B. dazu ausgebildet ist, (z.B. nicht erfolgreiche oder alle) Verifikationsversuche, z.B. durch die Sicherheitseinrichtung e12, aufzuzeichnen. Bei weiteren beispielhaften Ausführungsformen ist die Erfassungs- bzw. Aufzeichnungseinrichtung e12 dazu ausgebildet, z.B. nicht erfolgreiche Verifikationsversuche an ein
  • Security Information and Event Management (SIEM)-System zu senden, das z.B. in einem Backend läuft. Bei weiteren beispielhaften Ausführungsformen können eine oder mehrere Regeln e13', z.B. Aufzeichnungs- und/oder Weiterleitungsregeln, vorgesehen sein, die z.B. einen Betrieb der Erfassungs- bzw. Aufzeichnungseinrichtung e12 steuern, wobei die Regeln e13' z.B. festlegen, in welcher Weise vorgebbare Ereignisse erfasst bzw. aufgezeichnet werden (z.B. Standard-Logfile, sicheres bzw. ausführliches Logfile). Beispielsweise können die Regeln e13' festlegen, dass nur erfolglose Authentifizierungsversuche bezüglich vorgebbarer (SOME/IP) Dienste D aufgezeichnet bzw. an ein Backend weitergeleitet werden.

Claims (28)

  1. Verfahren zum Übertragen von Daten in einem Netzwerk (10) mit einem dienstorientierten Protokoll, bei dem beispielsweise ein Netzwerkelement (11) wenigstens einen Dienst (D) bereitstellen kann, aufweisend die folgenden Schritte: Bereitstellen (100) eines gemeinsamen Geheimnisses (SS) für wenigstens zwei Netzwerkelemente (11, 12), Verwenden (102) des gemeinsamen Geheimnisses (SS).
  2. Verfahren nach Anspruch 1, weiter aufweisend: Verwenden (102a) des gemeinsamen Geheimnisses (SS) zum Authentifizieren, beispielsweise zum Authentifizieren eines ersten Netzwerkelements (11) der wenigstens zwei Netzwerkelemente (11, 12), beispielsweise gegenüber einem zweiten Netzwerkelement (12) der wenigstens zwei Netzwerkelemente (11, 12).
  3. Verfahren nach wenigstens einem der vorstehenden Ansprüche, wobei das Bereitstellen (100) des gemeinsamen Geheimnisses (SS) wenigstens eines der folgenden Elemente aufweist: a) Empfangen (100a) des gemeinsamen Geheimnisses (SS), beispielsweise von einem weiteren Netzwerkelement, b) Bilden (100b) des gemeinsamen Geheimnisses (SS), c) Senden (100c) des gemeinsamen Geheimnisses (SS), beispielsweise an wenigstens ein weiteres Netzwerkelement.
  4. Verfahren nach wenigstens einem der vorstehenden Ansprüche, wobei das dienstorientierte Protokoll ein Scalable service-Oriented MiddlewarE over IP, SOME/IP, Protokoll ist.
  5. Verfahren nach wenigstens einem der vorstehenden Ansprüche, aufweisend: Erzeugen (110) eines Nachrichtenauthentifizierungscodes (MAC) und/oder Tokens (TOK), beispielsweise basierend auf dem gemeinsamen Geheimnis (SS).
  6. Verfahren nach Anspruch 5, aufweisend: Senden (112) des Nachrichtenauthentifizierungscodes (MAC) bzw. eines den Nachrichtenauthentifizierungscode und wenigstens eine weitere Information (WI) aufweisenden Tokens (TOK), wobei beispielsweise die wenigstens eine weitere Information wenigstens eines der folgenden Elemente ist: a) Zufallszahl (ZZ), b) Pseudozufallszahl (PZZ), c) Zeichenkette (ZK), d) Identifikation (ID), beispielsweise eines bzw. des sendenden Netzwerkelements, e) Folgenummer (FN), f) Zeitstempel (ZST), g) anwendungsbasierte Informationen (ABI).
  7. Verfahren nach wenigstens einem der vorstehenden Ansprüche, aufweisend: Empfangen (120) eines bzw. des Nachrichtenauthentifizierungscodes.
  8. Verfahren nach Anspruch 7, aufweisend: Prüfen (122) des Nachrichtenauthentifizierungscodes, beispielsweise basierend auf dem gemeinsamen Geheimnis (SS).
  9. Verfahren nach wenigstens einem der vorstehenden Ansprüche, aufweisend: Senden (124) eines bzw. des Nachrichtenauthentifizierungscodes und/oder des gemeinsamen Geheimnisses (SS) und/oder von dem Nachrichtenauthentifizierungscode und/oder dem gemeinsamen Geheimnis (SS) abgeleiteter Informationen an wenigstens eine weitere Einrichtung, beispielsweise an eine Aufzeichnungseinrichtung (AZE).
  10. Verfahren nach wenigstens einem der vorstehenden Ansprüche, aufweisend: Empfangen (126) eines bzw. des Nachrichtenauthentifizierungscodes und/oder des gemeinsamen Geheimnisses (SS) und/oder von dem Nachrichtenauthentifizierungscode und/oder dem gemeinsamen Geheimnis (SS) abgeleiteter Informationen.
  11. Verfahren nach wenigstens einem der vorstehenden Ansprüche, aufweisend: Erstellen (128) wenigstens eines Berichts (BER) und/oder Logfiles, beispielsweise bezüglich wenigstens eines z.B. gesendeten und/oder empfangenen Nachrichtenauthentifizierungscodes und/oder gemeinsamen Geheimnisses (SS).
  12. Verfahren nach wenigstens einem der vorstehenden Ansprüche, aufweisend wenigstens eines der folgenden Elemente: a) Bereitstellen (130) eines, beispielsweise einzigen, gemeinsamen Geheimnisses (SS), für die wenigstens zwei Netzwerkelemente (11, 12), b) Bereitstellen (132) eines gemeinsamen Geheimnisses (SS) für ein als Server ausgebildetes Netzwerkelement und wenigstens ein als Client ausgebildetes Netzwerkelement, beispielsweise im Falle einer Verwendung eines bzw. des SOME/IP-Protokolls Bereitstellen eines gemeinsamen Geheimnisses (SS) für einen SOME/IP-Server und wenigstens einen mit dem SOME/IP-Server assoziierten Client, c) Bereitstellen (134) unterschiedlicher gemeinsamer Geheimnisse (SS) für manche der wenigstens zwei Netzwerkelemente (11, 12).
  13. Verfahren nach wenigstens einem der vorstehenden Ansprüche, aufweisend: Hinzufügen (140) eines Zeitstempels und/oder eines Zählerwerts zu dem gemeinsamen Geheimnis (SS) und/oder zu einem Token (TOK).
  14. Verfahren nach wenigstens einem der vorstehenden Ansprüche, aufweisend: Empfangen (145) eines Tokens (TOK; TOK'), und, optional, Auswerten (146) eines in dem Token (TOK; TOK') enthaltenen Zeitstempels und/oder eines Zählerwerts.
  15. Verfahren nach wenigstens einem der vorstehenden Ansprüche, aufweisend: Bereitstellen (150) eines Anfangswerts (AW), wobei der Anfangswert (AW) beispielsweise eine Zufallszahl bzw. eine Pseudozufallszahl ist, Anwenden (152) einer Hashfunktion (HF) auf den Anfangswert (AW), wobei beispielsweise das Anwenden (152) der Hashfunktion ein, beispielsweise für n viele Wiederholungen, n > 1, wiederholtes Anwenden (152a) der Hashfunktion auf den Anfangswert (AW) bzw. auf einen dadurch erhaltenen Hashwert (HW) aufweist, wobei beispielsweise ein Hashwert (HW_n) n-ter Ordnung erhalten wird.
  16. Verfahren nach Anspruch 15, weiter aufweisend: Senden (154) eines basierend auf dem Anwenden (152) bzw. auf dem wiederholten Anwenden (152a) erhaltenen Hashwerts (HW), beispielsweise über einen sicheren, beispielsweise verschlüsselten, Kanal bzw. in einer sicheren Umgebung, beispielsweise im Falle einer Verwendung eines bzw. des SOME/IP-Protokolls an einen Routing Manager.
  17. Verfahren nach wenigstens einem der Ansprüche 15 bis 16, aufweisend: Bereitstellen (160) eines Hashwerts (HW_n-i) (n-i)-ter Ordnung, beispielsweise mit i < n, basierend auf dem Anfangswert (AW), Senden (162) des Hashwerts (HW_i) (n-i)-ter Ordnung, beispielsweise zusammen mit bzw. als Teil einer Anfrage (ANFR).
  18. Verfahren nach wenigstens einem der vorstehenden Ansprüche, weiter aufweisend: Empfangen (165) eines bzw. des Hashwerts (HW_n-i) (n-i)-ter Ordnung, beispielsweise mit i < n, beispielsweise zusammen mit bzw. als Teil einer Anfrage (ANFR), und, optional, Prüfen (166) des Hashwerts (HW_n-i) (n-i)-ter Ordnung, wobei beispielsweise das Prüfen (166) des Hashwerts (HW_n-i) (n-i)-ter Ordnung aufweist: i-maliges Anwenden (166a) der Hashfunktion auf den Hashwert (HW_n-i) (n-i)-ter Ordnung bzw. auf einen dadurch erhaltenen Hashwert, Vergleichen (166b) eines durch das i-malige Anwenden (166a) der Hashfunktion erhaltenen Prüf-Hashwerts mit dem Hashwert (HW_n) n-ter Ordnung.
  19. Verfahren nach Anspruch 18, weiter aufweisend: beispielsweise basierend auf dem Vergleichen (166b), Verwerfen (166c) eines bzw. des Hashwerts (HW_n) n-ter Ordnung, und/oder Speichern (166d) des Hashwerts (HW_n-i) (n-i)-ter Ordnung.
  20. Verfahren nach wenigstens einem der vorstehenden Ansprüche, weiter aufweisend: Verwenden (170) einer digitalen Signatur (DS), beispielsweise basierend auf dem gemeinsamen Geheimnis (SS).
  21. Vorrichtung (200) zur Ausführung des Verfahrens nach wenigstens einem der vorstehenden Ansprüche, wobei insbesondere die Vorrichtung (200) wenigstens eine Recheneinrichtung (202) und eine der Recheneinrichtung (202) zugeordnete Speichereinrichtung (204) zur zumindest zeitweisen Speicherung von Daten (DAT) und/oder Computerprogrammen (PRG) aufweist.
  22. Netzwerkelement (11, 12, 13) zum Übertragen von Daten in einem Netzwerk (10) mit einem dienstorientierten Protokoll, bei dem beispielsweise ein Netzwerkelement (12) wenigstens einen Dienst (D) bereitstellen kann, aufweisend wenigstens eine Vorrichtung (200) nach Anspruch 21.
  23. Netzwerkelement (11, 12, 13) nach Anspruch 22, wobei das Netzwerkelement (11, 12, 13) ein Server, beispielsweise ein SOME/IP Server oder ein Client, beispielsweise ein SOME/IP Client oder ein Routing Manager, beispielsweise ein SOME/IP Routing Manager, ist.
  24. Netzwerk (10) mit einem dienstorientierten Protokoll, insbesondere SOME/IP-basiertes Netzwerk, mit wenigstens einer Vorrichtung (200) nach Anspruch 21 und/oder wenigstens einem Netzwerkelement (11, 12, 13) nach wenigstens einem der Ansprüche 22 bis 23.
  25. Computerlesbares Speichermedium (SM), umfassend Befehle (PRG), die bei der Ausführung durch einen Computer (202) diesen veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 20 auszuführen.
  26. Computerprogramm (PRG), umfassend Befehle, die bei der Ausführung des Programms (PRG) durch einen Computer (202) diesen veranlassen, das Verfahren nach wenigstens einem der Ansprüche 1 bis 20 auszuführen.
  27. Datenträgersignal (DCS), das das Computerprogramm (PRG) nach Anspruch 26 überträgt und/oder charakterisiert.
  28. Verwendung (300) des Verfahrens nach wenigstens einem der Ansprüche 1 bis 20 und/oder der Vorrichtung (200) nach Anspruch 21 und/oder des Netzwerkelements (11) nach wenigstens einem der Ansprüche 22 bis 23 und/oder des Netzwerks (10) nach Anspruch 24 und/oder des computerlesbaren Speichermediums (SM) nach Anspruch 25 und/oder des Computerprogramms (PRG) nach Anspruch 26 und/oder des Datenträgersignals (DCS) nach Anspruch 27 für wenigstens eines der folgenden Elemente: a) Erhöhen (302) der Sicherheit von Datenübertragungen in einem Netzwerk (10) mit einem dienstorientierten Protokoll, insbesondere einem SOME/IP-Protokoll, b) Überprüfen (304) von Datenübertragungen in einem Netzwerk (10) und/oder von Netzwerkelementen (11, 12, 13) bzw. einer Berechtigung von Netzwerkelementen (11, 12, 13) bzw. einer Echtheit von Netzwerkelementen (11, 12, 13), c) Unterbinden (306) bzw. Verhindern eines Anbietens und/oder Verwendens und/oder Ausführens von nicht autorisierten Diensten, d) Schützen (308) eines Routing Managers für ein Netzwerk (10) mit einem dienstorientierten Protokoll, e) Einschränken (310) einer Gruppe von Netzwerkelementen, die einen vorgebbaren Dienst nutzen darf, f) Überwachen (312) einer Kommunikation in dem Netzwerk (10), beispielsweise Überwachen, ob ein bestimmter Client sich für die Nutzung eines Diensts (D) anmeldet und/oder ob ein bestimmter Client sich von der Nutzung eines Diensts (D) abmeldet, und/oder beispielsweise Überwachen und/oder Aufzeichnen, ob ein Dienst (D) angeboten wird und/oder ob ein Netzwerkelement aufhört, einen Dienst (D) anzubieten.
DE102021201443.7A 2021-02-16 2021-02-16 Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll Pending DE102021201443A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102021201443.7A DE102021201443A1 (de) 2021-02-16 2021-02-16 Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll
CN202210136486.6A CN114944912A (zh) 2021-02-16 2022-02-15 在使用面向服务的协议的网络中传输数据的方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021201443.7A DE102021201443A1 (de) 2021-02-16 2021-02-16 Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll

Publications (1)

Publication Number Publication Date
DE102021201443A1 true DE102021201443A1 (de) 2022-08-18

Family

ID=82610854

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021201443.7A Pending DE102021201443A1 (de) 2021-02-16 2021-02-16 Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll

Country Status (2)

Country Link
CN (1) CN114944912A (de)
DE (1) DE102021201443A1 (de)

Also Published As

Publication number Publication date
CN114944912A (zh) 2022-08-26

Similar Documents

Publication Publication Date Title
DE102013203415B4 (de) Erstellen eines abgeleiteten Schlüssels aus einem kryptographischen Schlüssel mittels einer physikalisch nicht klonbaren Funktion
DE60208614T2 (de) Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System
EP2433241B1 (de) Verschlüsselungsverfahren
DE112015002927B4 (de) Generierung und Verwaltung geheimer Chiffrierschlüssel auf Kennwortgrundlage
DE112011100182T5 (de) Transaktionsprüfung für Datensicherheitsvorrichtungen
DE102010042539A1 (de) Datensender mit einer sicheren, aber effizienten Signatur
EP2192487A1 (de) Informationsübertragung und integriertes schutzverfahren
DE19837405A1 (de) Verfahren und Anordnung zur Bildung eines geheimen Kommunikationsschlüssels zu einem zuvor ermittelten asymmetrischen kryptographischen Schlüsselpaar
EP2863610A2 (de) Verfahren und System zum manipulationssicheren Bereitstellen mehrerer digitaler Zertifikate für mehrere öffentliche Schlüssel eines Geräts
EP3949309A1 (de) Digitales zertifikat und verfahren zum sicheren bereitstellen eines öffentlichen schlüssels
DE102018130297A1 (de) Arbeitsnachweis-Konzept für ein Fahrzeug
DE102021201443A1 (de) Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk mit einem dienstorientierten Protokoll
DE112012000780T5 (de) Verarbeiten von Berechtigungsprüfungsdaten
WO2016005075A1 (de) Verfahren und system zur erkennung einer manipulation von datensätzen
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
DE102019109341B4 (de) Verfahren zum sicheren Austausch von verschlüsselten Nachrichten
DE112021004459T5 (de) Informationsverifizierungsvorrichtung, elektronische steuervorrichtung und informationsverifizierungsverfahren
DE102014226772A1 (de) Vorrichtung und Verfahren zum Senden und Verfifizieren einer Signatur
EP3288215A1 (de) Verfahren und vorrichtung zur ausgabe von authentizitätsbescheinigungen sowie ein sicherheitsmodul
DE102018203143A1 (de) Verfahren zum Versenden und Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken
DE102019216203A1 (de) Auf Blockverschlüsselung basierender Proof-of-Work
DE102020210096A1 (de) Verfahren und Vorrichtung zum Ermitteln von Informationen eines Bussystems
EP3066812B1 (de) Verfahren zur sicherung von telekommunikationsverkehrsdaten
DE102017121497A1 (de) Netzwerkentität zum verwalten eines passwortes eines nutzers
DE102017129947A1 (de) Verfahren zum betreiben eines dezentralen speichersystems