DE102021207473A1 - Mitigation einer manipulation von software eines fahrzeugs - Google Patents

Mitigation einer manipulation von software eines fahrzeugs Download PDF

Info

Publication number
DE102021207473A1
DE102021207473A1 DE102021207473.1A DE102021207473A DE102021207473A1 DE 102021207473 A1 DE102021207473 A1 DE 102021207473A1 DE 102021207473 A DE102021207473 A DE 102021207473A DE 102021207473 A1 DE102021207473 A1 DE 102021207473A1
Authority
DE
Germany
Prior art keywords
software
manipulation
component
vehicle
components
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021207473.1A
Other languages
English (en)
Inventor
Manuel Jauss
Marcel Kneib
Mustafa Kartal
Felix Hallaczek
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102021207473.1A priority Critical patent/DE102021207473A1/de
Priority to US17/860,885 priority patent/US20230024817A1/en
Priority to CN202210820145.0A priority patent/CN115623023A/zh
Priority to JP2022112174A priority patent/JP2023014028A/ja
Publication of DE102021207473A1 publication Critical patent/DE102021207473A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Stored Programmes (AREA)

Abstract

Ein Aspekt der vorliegenden Offenbarung betrifft ein computer-implementiertes Verfahren, das Erkennen (101) der Möglichkeit einer Manipulation der Software einer ersten Komponente einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs in einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software umfasst. Die zentrale Vorrichtung zur Mitigation einer Manipulation ist zur Mitigation der Manipulation von Software in jedem der Mehrzahl von Komponenten des Bordnetzwerkes ausgelegt. Das Verfahren umfasst weiterhin Einleiten einer Gegenmaßnahme zur Mitigation der Manipulation der ersten Komponente durch die zentrale Vorrichtung zur Detektion und Mitigation einer Manipulation.

Description

  • Stand der Technik
  • In jüngerer Zeit werden Fahrzeuge in immer stärkerem Maß in offene Kontexte eingebunden (d.h., die Fahrzeuge weisen eine oder mehrere Schnittstellen auf, über die im Betrieb Daten empfangen und/oder gesendet werden, die wiederum für den Betrieb des Fahrzeugs verwendet werden). Zusätzlich nimmt die Komplexität der Komponenten der Fahrzeuge und insbesondere ihrer Software stetig zu.
  • Als Folge dessen werden Möglichkeiten zur Manipulation der Software der Komponenten der Fahrzeuge vielfältiger.
  • In manchen Verfahren des Stands der Technik ist die Detektion und vor allem die Mitigation (d.h. Behebung, so dass ein definierter (sicherer) Zustand erreicht wird) von Manipulationen mit erheblichem Aufwand und somit Zeitverzug verbunden. Zum Beispiel kann im Rahmen eines Werkstattaufenthalts die manipulierte Software einer Komponente (z.B. eines Steuergeräts) zurückgesetzt und damit die Manipulation behoben werden. In anderen Techniken kann Software von einem entfernten Computer-System angefordert werden, mit Hilfe derer die manipulierte Software einer Komponente (z.B. eines Steuergeräts) zurückgesetzt und damit die Manipulation behoben wird. In beiden Fällen kann zwischen der Detektion der Manipulation und der Mitigation der Manipulation ein erheblicher Zeitraum liegen. Unter Umständen ist der Betrieb des Fahrzeugs in diesem Zeitraum gestört (z.B. ein vorbestimmtes Sicherheitskriterium wird nicht mehr erfüllt). In manchen Fällen kann das Fahrzeug nicht mehr fahrtüchtig oder seine Funktionalität massiv gestört sein. Daher sind verbesserte Techniken zur Mitigation der Manipulation von Software wünschenswert.
  • Offenbarung der Erfindung
  • Ein erster allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein computer-implementiertes Verfahren, das Erkennen der Möglichkeit einer Manipulation der Software einer ersten Komponente einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs in einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software umfasst. Die zentrale Vorrichtung zur Mitigation einer Manipulation ist Teil des Bordnetzwerkes und zur Mitigation der Manipulation von Software in jedem der Mehrzahl von Komponenten des Bordnetzwerkes ausgelegt. Das Verfahren umfasst weiterhin Einleiten einer Gegenmaßnahme zur Mitigation der Manipulation der Software der ersten Komponente durch die zentrale Vorrichtung zur Mitigation einer Manipulation.
  • Ein zweiter allgemeiner Aspekt der vorliegenden Offenbarung betrifft eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs.
  • Ein dritter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Bordnetzwerk für ein Fahrzeug, das die zentrale Vorrichtung zur Mitigation einer Manipulation von Software gemäß dem zweiten allgemeinen Aspekt und eine Mehrzahl von Komponenten des Bordnetzwerks umfasst.
  • Ein vierter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Fahrzeug, das das Bordnetzwerk gemäß dem dritten allgemeinen Aspekt umfasst.
  • Die Techniken der ersten bis vierten allgemeinen Aspekte der vorliegenden Offenbarung können in manchen Fällen einen oder mehrere der folgenden Vorteile haben.
  • Erstens kann in manchen Fällen im Vergleich zu Techniken des Stands der Technik ein Zeitraum bis zur Mitigation einer Manipulation reduziert werden (in manchen Situationen drastisch reduziert werden). Die zentrale Vorrichtung zur Mitigation einer Manipulation kann als Teil des Bordnetzwerkes die Mitigationsverfahren unverzüglich (z.B. innerhalb von fünf Minuten oder innerhalb einer Minute) einleiten (z.B. im Wesentlichen ohne Zuhilfenahme von Systemen außerhalb des Fahrzeugs). In manchen Beispielen kann die zentrale Vorrichtung zur Mitigation einer Manipulation die Gegenmaßnahme nicht nur einleiten, sondern auch durchführen. In anderen Beispielen können (auch) andere Komponenten des Bordmetzwerks an der Durchführung der Gegenmaßnahme beteiligt sein. Als Folge dessen können die Mitigationsverfahren ebenso unverzüglich (z.B. innerhalb von fünf Minuten oder innerhalb einer Minute) durchgeführt werden und das Fahrzeug in einen definierten Zustand versetzt werden (zum Beispiel in einen sicheren Zustand gemäß eines vorbestimmten Sicherheitskriteriums).
  • Zweitens können die Techniken der vorliegenden Offenbarung ressourcensparender sein als andere Ansätze. So kann eine zentrale Vorrichtung zur Mitigation einer Manipulation mehrere Vorrichtungen, die jeweils nur einen Teil der Komponenten abdecken, ersetzen. Zudem können in manchen Fällen bereits vorhandene Komponenten für die Techniken der vorliegenden Offenbarung wiederverwendet werden. Zum Beispiel kann ein persistenter Speicher, der (auch) zur Aktualisierung der Software (z.B. zum Speichern eines umfangreichen Update-Pakets) der Mehrzahl von Komponenten des Fahrzeugs eingesetzt wird, „wiederverwendet“ werden um die Software einer Komponente durch zurücksetzen und die Manipulation damit zu beheben. Es muss somit in manchen Fällen kein neuer Speicher zu diesem Zweck vorgesehen werden. Ein Vorhalten der Software zum Rücksetzen in jeder der Mehrzahl der Komponenten erhöhte den konstruktiven Aufwand dieser Komponenten (z.B. Steuergeräte) erheblich.
  • Drittens (und teilweise als Folge des ersten Aspekts) kann durch die zentrale Vorrichtung zur Mitigation einer Manipulation als Teil des Bordnetzwerkes eine Kontext-sensitive Auswahl (d.h. unter Berücksichtigung eines aktuellen Betriebszustands des Fahrzeugs und/oder vorbestimmter Regeln) von geeigneten Gegenmaßnahmen durchgeführt werden. Zum Beispiel können Informationen zu einem Betriebszustand eines Fahrzeugs bei der Auswahl einer Gegenmaßnahme berücksichtigt werden. Das kann weiter zur Verkürzung des Zeitraums beitragen, bis das Fahrzeug in einen definierten Zustand versetzt ist und die Manipulation behoben wurde. Beispielsweise kann eine erste Gegenmaßnahme vorgesehen werden, wenn sich das Fahrzeug bewegt, während eine zweite, andere Gegenmaßnahme vorgesehen wird, wenn das Fahrzeug steht.
  • Viertens können die Techniken der vorliegenden Offenbarung im Vergleich zu manchen Techniken des Stands der Technik leichter skaliert und/oder in älteren Fahrzeugen (die nicht gemäß dem neuesten Standard ausgelegt sind) eingesetzt werden. Zum Beispiel kann die zentrale Vorrichtung zur Mitigation einer Manipulation relativ einfach zur „Betreuung“ zusätzlicher Komponenten modifiziert werden. Die „betreuten“ Komponenten müssen dazu in manchen Fällen wenig oder gar nicht modifiziert werden, was den Einsatz in älteren Fahrzeugen erleichtert. Auch die zentrale Vorrichtung zur Mitigation einer Manipulation selbst kann in manchen Fällen durch ein Software-Update nachgerüstet werden. Zum Beispiel kann eine bestehende Komponente eines Fahrzeugs (bspw. eine zentrale Kommunikationsschnittstelle des Fahrzeugs oder ein Zentral-Computer des Fahrzeugs) mittels eines Software-Updates mit der (zusätzlichen) Funktion einer zentralen Vorrichtung zur Mitigation einer Manipulation versehen werden.
  • Einige Begriffe werden in der vorliegenden Offenbarung in folgender Weise verwendet:
    • Eine „Komponente“ (eines Bordnetzwerks) in der vorliegenden Offenbarung verfügt über eigene Hardwareressourcen, die zumindest einen Prozessor zum Ausführen von Befehlen und Speicher zum Ablegen zumindest einer Software-Komponente umfassen. Der Begriff „Prozessor“ umfasst auch Mehr-Kern-Prozessoren oder mehrere separate Bauteile, die die Aufgaben einer zentralen Verarbeitungseinheit eines elektronischen Geräts übernehmen (und sich diese ggf. teilen). Eine Komponente kann eigenständig Aufgaben ausführen (z.B. Messaufgaben, Überwachungsaufgaben, Steueraufgaben, Kommunikationsaufgaben und/oder andere Arbeitsaufgaben). Eine Komponente kann aber in manchen Beispielen auch von einer anderen Komponente gesteuert werden. Eine Komponente kann physisch abgegrenzt sein (z.B. mit einem eigenen Gehäuse) oder aber in ein übergeordnetes System integriert sein. Eine Komponente kann ein Steuergerät oder ein Kommunikationsgerät des Fahrzeugs sein. Eine Komponente kann ein eingebettetes System sein.
  • Ein „eingebettetes System“ ist eine Komponente, die in einen technischen Kontext eingebunden (eingebettet) ist. Dabei übernimmt die Komponente Überwachungs-, Steuerungs- oder Regelfunktionen und/oder ist für eine Form der Daten- bzw. Signalverarbeitung zuständig.
  • Ein „(dediziertes) Steuergerät“ ist eine Komponente, das (ausschließlich) eine Funktion eines Fahrzeugs steuert. Ein Steuergerät kann zum Beispiel eine Motorsteuerung, einer Steuerung eines Bremssystems oder eine Steuerung eines Assistenzsystems übernehmen. Eine „Funktion“ kann dabei auf verschiedenen Ebenen des Fahrzeugs definiert sein (z.B. kann für eine Funktion einen einzelnen Sensor oder Aktor, aber auch eine Vielzahl von Baugruppen, die zu einer größeren funktionalen Einheit zusammengefasst sind, eingesetzt werden).
  • Der Begriff „Software“ oder „Software-Komponente“ kann grundsätzlich jeder Teil einer Software einer Komponente (z.B. eines Steuergeräts) der vorliegenden Offenbarung sein. Insbesondere kann eine Software-Komponente eine Firmware-Komponente einer Komponente der vorliegenden Offenbarung sein. „Firmware“ ist eine Software, die die in (elektronischen) Komponenten eingebettet ist und dort grundlegende Funktionen leistet. Firmware ist funktional fest mit der jeweiligen Hardware der Komponente verbunden (so dass das eine nicht ohne das andere nutzbar ist). Sie kann in einem nicht-flüchtigen Speicher wie einem Flash-Speicher oder einem EEPROM gespeichert sein. Der Begriff „Update-Information“ oder „Software-Update-Information“ umfasst jedwede Daten, die direkt oder nach entsprechenden Verarbeitungsschritten eine Software-Komponente einer Komponente gemäß der vorliegenden Offenbarung bilden. Die Update-Information kann lauffähigen Code enthalten oder noch zu kompilierenden Code.
  • Der Begriff „Manipulation“ umfasst in der vorliegenden Offenbarung jede Veränderung einer Software einer Komponente eines Fahrzeugs. Die Veränderung kann die Folge eines Angriffs sein (d.h. der bewussten Einflussnahme eines Dritten), aber auch Folge einer zufälligen oder unbeabsichtigten Einwirkung.
  • Der Begriff „Fahrzeug“ umfasst jegliche Vorrichtungen, die Passagiere und/oder Fracht transportieren. Ein Fahrzeug kann ein Kraftfahrzeug (zum Beispiel ein PKW oder ein LKW) sein, aber auch ein Schienenfahrzeug. Allerdings können auch schwimmende und fliegende Vorrichtungen Fahrzeuge sein. Fahrzeuge können zumindest teilautonom operierend oder assistiert sein.
  • Ein „Bordnetzwerk“ kann jedes interne Netzwerk eines Fahrzeugs sein, über das Komponenten des Fahrzeugs kommunizieren. In manchen Beispielen ist ein Bordnetzwerk ein Nahbereichsnetzwerk. Ein Bordnetzwerk kann ein oder mehrere Nahbereichs-Kommunikationsprotokolle einsetzen (z.B. zwei oder mehr Nahbereichs-Kommunikationsprotokolle). Die Nahbereichs-Kommunikationsprotokolle können drahtlose oder drahtgebundene Kommunikationsprotokolle sein. Die Nahbereichs-Kommunikationsprotokolle können ein Bus-Protokoll umfassen (bspw. CAN, LIN, MOST, FlexRay oder Ethernet). Die Nahbereichs-Kommunikationsprotokolle können ein Bluetooth-Protokoll (z.B. Bluetooth 5 oder später) oder ein WLAN-Protokoll (z.B. ein Protokoll der IEEE-802.11-Familie, z.B. 802.11h oder ein späteres Protokoll) umfassen. Ein Bordnetzwerk kann Schnittstellen zur Kommunikation mit Systemen außerhalb des Fahrzeugs enthalten und somit auch in andere Netzwerke eingebunden sein. Die Systeme außerhalb des Fahrzeugs und die anderen Netzwerke sind jedoch nicht Teil des Bordnetzwerks.
  • Der Ausdruck „Erkennen einer Möglichkeit...“ besagt, dass bestimmte Begebenheiten (z.B. Signale oder deren Ausbeleiben) nach vorbestimmten Regeln interpretiert werden, um einen Zustand zu erkennen, in dem eine Manipulation der Software vorliegen kann.
  • Figurenliste
    • 1 ist ein Fluss-Diagramm, das die Techniken der vorliegenden Offenbarung illustriert.
    • 2 zeigt Komponenten eines Bordnetzwerk eines Fahrzeugs, in dem die Techniken der vorliegenden Offenbarung eingesetzt werden können.
    • 3 zeigt das Bordnetzwerk gemäß 2, in dem eine erste Komponente manipuliert wurde.
    • 4 zeigt das Bordnetzwerk gemäß 2, in dem die Manipulation der ersten Komponente behoben wurde.
  • Detaillierte Beschreibung
  • Zunächst werden in Bezug auf 1 und 2 ein Fahrzeug, in dem die Techniken der vorliegenden Offenbarung durchgeführt werden können und die grundlegenden Aspekte der Techniken der vorliegenden Offenbarung diskutiert. In der Folge werden weitere Aspekte der vorliegenden Offenbarung anhand von 3 und 4 erläutert.
  • 1 ist ein Fluss-Diagramm, das die Techniken der vorliegenden Offenbarung illustriert. 4 zeigt Komponenten eines Bordnetzwerk eines Fahrzeugs, in dem die Techniken der vorliegenden Offenbarung eingesetzt werden können.
  • In 1 sind in der mittleren Spalte Schritte gezeigt, die von einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software durchgeführt werden. In der rechten Spalte sind Schritte gezeigt, die von einer bestimmten Komponente (oder einer Gruppe von Komponenten) des Bordnetzwerks ausgeführt werden (ausschließlich der zentralen Vorrichtung zur Mitigation einer Manipulation von Software). In der linken Spalte sind Schritte gezeigt, die von einem entfernten System durchgeführt werden (d.h. außerhalb des Fahrzeugs).
  • Die Techniken der vorliegenden Offenbarung umfassen Erkennen 101 der Möglichkeit einer Manipulation der Software einer ersten Komponente einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs 20. Ein Fahrzeug 20 ist schematisch in 2 gezeigt. Das Fahrzeug ist mit einem Bordnetzwerk ausgestattet, das eine Mehrzahl von Komponenten 21-24, 25, 27a-f, des Fahrzeugs 20 verbindet (das Bordnetzwerk kann wie oben beschrieben aufgebaut sein).
  • Das Fahrzeug 20 weist eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 auf, die die Möglichkeit der Manipulation erkennt. Diese ist somit Teil des Bordnetzwerkes (d.h., auch Teil des Fahrzeugs und wird mit diesem bewegt). Die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 ist zur Mitigation der Manipulation von Software in jedem der Mehrzahl 21-24, 27a-f von Komponenten des Bordnetzwerkes ausgelegt.
  • In manchen Beispielen ist die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 in eine zentrale Kommunikationsschnittstelle des Fahrzeugs 20 integriert. Die zentrale Kommunikationsschnittstelle kann dazu ausgelegt sein, als Datenverteiler für die Kommunikation innerhalb des Fahrzeuges 20 und/oder über eine Kommunikationsschnittstelle 21, 22 mit der Außenwelt zu fungieren. Dabei kann die zentrale Kommunikationsschnittstelle unterschiedliche Kommunikationsprotokolle unterstützen (zur Kommunikation in dem Bordnetzwerk oder mit externen Systemen) und/oder Sicherheitsfunktionen implementieren. In anderen Beispielen kann die zentrale Vorrichtung zur Mitigation einer Manipulation von Software in andere Komponenten integriert werden (weitere Beispiele folgen unten) oder als eigenständige Komponente ausgelegt sein.
  • Das Erkennen kann in manchen Beispielen das Empfangen eines Signals umfassen, das eine Manipulation der Software einer ersten Komponente einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs 20 anzeigt. Das Signal kann in der zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 selbst und/oder einer anderen Vorrichtung erzeugt werden.
  • Zusätzlich oder alternativ kann das Erkennen das Erkennen eines Ausbleibens eines (erwarteten) Signals umfassen (z.B. von der ersten Komponente oder einer Komponente, die die erste Komponente überwacht). Das Bordnetzwerk kann dazu ausgelegt sein, dass die Mehrzahl von Komponenten 21-24, 25, 27a-f oder andere Komponenten Signale senden, die anzeigen, dass keine Manipulation der Software der jeweiligen Komponente der Mehrzahl von Komponenten 21-24, 25, 27a-f vorliegt (z.B. regelmäßig oder beim Auftreten von bestimmten Ereignissen wie dem Starten einer Komponente).
  • Weiter zusätzlich oder alternativ kann das Erkennen eine Verarbeitung anderer Zustandsinformation des Bordnetzwerkes umfassen, um die Möglichkeit einer Manipulation der Software der ersten Komponente zu erkennen.
  • In Reaktion auf das Erkennen der Möglichkeit einer Manipulation der Software einer ersten Komponente einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs 20 (z.B. dem Empfangen eines Signals oder dem Erkennen des Ausbleibens eines Signals) leitet die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 eine Gegenmaßnahme zur Mitigation der Manipulation der ersten Komponente ein. Im Beispiel von 2 ist eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 gezeigt. In manchen Fällen kann das Fahrzeug nur eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 enthalten, die zur Mitigation von Manipulationen der Mehrzahl von Komponenten 21-24, 27a-f ausgelegt ist (z.B. aller Komponenten eines Fahrzeugs, für die eine Manipulation von Software behoben werden kann oder eine Untermenge dieser Komponenten). In anderen Beispielen kann ein Fahrzeug mehrere zentrale Vorrichtungen zur Mitigation einer Manipulation von Software aufweisen, die Teil des Bordnetzwerkes sind und jeweils einer Mehrzahl der Komponenten des Bordnetzwerks zugeordnet sind (d.h. Manipulationen in der Software der zugeordneten Komponenten beheben können). In jedem Fall sind die zentralen Vorrichtungen zur Mitigation einer Manipulation von Software aber von den zugeordneten Komponenten separiert. Die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 kann in manchen Fällen auch eine Manipulation ihrer eigenen Software und/oder der Software einer Komponente, in der die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 integriert ist, ausgelegt sein.
  • Im Beispiel von 2 umfassen eine Mehrzahl von Komponenten, für die mit den Techniken der vorliegenden Offenbarung Manipulationen ihrer Software behoben werden können, eine Mehrzahl von Steuergeräten 27a-f. Wie bereits beschrieben, sind die Techniken der vorliegenden Offenbarung nicht auf Steuergeräte beschränkt, sondern grundsätzlich für jede Komponente eines Bordnetzwerks des Fahrzeugs 20 einsetzbar. Da Steuergeräte 27a-f in Fahrzeugen aber regelmäßig über nur beschränkte Hardware-Ressourcen und/oder Funktionalitäten verfügen, können die Techniken der vorliegenden Offenbarung für Steuergeräte in manchen Fällen besonders vorteilhaft sein.
  • Die Steuergeräte 27a-f sind in 2 in mehrere Domänen 26a-n unterteilt. Die Domänen können funktionale und/oder örtliche Domänen des Fahrzeugs 20 sein. Eine funktionale Domäne kann verschiedene Komponenten eines Fahrzeugs umfassen, die an der Bereitstellung einer bestimmten Funktion des Fahrzeugs teilhaben (z.B. Motorsteuerung, Steuerung des Antriebsstranges, Infotainment, Klimatisierung, usw.). Eine örtliche Domäne kann verschiedene Komponenten eines Fahrzeugs umfassen, die physikalisch in einem bestimmten Bereich des Fahrzeugs angeordnet sind (z.B. „hinten rechts“, „vorne links“, „Innenraum vorne“ usw.).
  • Eine Domäne 26-n kann wiederum eine Komponente 27a, 27d enthalten, die als zentraler Kommunikationsknoten für die jeweilige Domäne 26a-n fungiert und/oder Steuerfunktionen für die jeweilige Domäne 26a-n übernimmt. In manchen Beispielen kann eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software ein Teil der Komponente 27a, 27d sein, die als zentraler Kommunikationsknoten für die jeweilige Domäne 26a-n fungiert und/oder Steuerfunktionen für die jeweilige Domäne 26a-n übernimmt. Diese zentrale Vorrichtung zur Mitigation einer Manipulation von Software kann zusätzlich zu weiteren zentralen Vorrichtungen zur Mitigation einer Manipulation von Software (z.B. einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software als Teil einer zentralen Kommunikationsschnittstelle des Bordnetzwerks) oder als einzige zentrale Vorrichtung zur Mitigation einer Manipulation von Software vorgesehen sein (siehe Erläuterungen weiter oben). Weiter alternativ oder zusätzlich kann eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software als Teil einer zentralen Steuereinheit 23 des Fahrzeugs ausgelegt sein. Weiter alternativ oder zusätzlich kann eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software als Teil einer Haupteinheit (auf Englisch „Head Unit“) eines Infotainment-Systems des Fahrzeugs 20 (nicht in 2 gezeigt) angeordnet sein. Weiter alternativ oder zusätzlich kann eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software als Teil eines Zentral-Computers („vehicle computer“) des Bordnetzwerks angeordnet sein (das Bordnetzwerk kann eine Mehrzahl von Zentral-Computern - „vehicle computers“ enthalten). Ein Zentral-Computer („vehicle computer“) kann (erheblich) perfomanter sein als dedizierte Steuergeräte des Bordnetzwerks und die Aufgaben von mehreren Steuergeräten (u.U. in mehreren der oben genannten Domänen) übernehmen.
  • Das Fahrzeug 20 kann des Weiteren einen zentralen persistenten Speicher 41 umfassen (d.h. ein Speicher, der seine Information im Fahrzeug dauerhaft - z.B. länger als ein Tag oder länger als eine Woche und/oder während eines Ruhezustands des Fahrzeugs speichert). In manchen Beispielen kann der persistente Speicher 41 einen Flash-Speicher umfassen. Im Beispiel von 2 ist der persistente Speicher 41 in der zentrale Kommunikationsschnittstelle des Fahrzeugs 20 angeordnet oder mit dieser direkt verbunden. Wie besprochen kann in der zentralen Kommunikationsschnittstelle des Fahrzeugs 20 ebenfalls die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 angeordnet sein. Auch wenn eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software (zusätzlich oder alternativ) in einer anderen Komponente angeordnet ist, kann zusätzlich oder alternativ ein persistenter Speicher in derselben Komponente angeordnet sein. In dieser Weise können in dem persistenten Speicher abgelegte Daten von der zentralen Vorrichtung zur Mitigation einer Manipulation von Software zur Mitigation von Manipulationen eingesetzt werden. In anderen Beispielen können eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software und ein persistenter Speicher aber auch in unterschiedlichen Komponenten des Bordnetzwerkes angeordnet sein (und die zentrale Vorrichtung zur Mitigation einer Manipulation von Software über das Netzwerk auf den persistenten Speicher zugreifen).
  • Der persistente Speicher 41 kann dazu ausgelegt sein, Software-Komponenten 42a, 42c-n für jede der Mehrzahl von Komponenten 27a-f gleichzeitig zu speichern. Dazu kann der persistente Speicher 41 mit einer Speicherkapazität von mehr als 256MB (bevorzugt mehr als 5GB) auegelegt sein.
  • Die Gegenmaßnahme gegen die Manipulation kann Rücksetzen der Software einer Komponente, für die eine Manipulation ihrer Software erkannt wurde (in der vorliegenden Offenbarung auch als „erste Komponente“ bezeichnet), unter Verwendung von der in dem zentralen persistenten Speicher 41 gespeicherten Software-Komponenten 42a, 42c-n für die jeweilige Komponente umfassen. Weitere Aspekte dieser Gegenmaßnahme werden weiter unten in Bezug auf 3 und 4 diskutiert.
  • In manchen Beispielen können die Software-Komponenten 42a, 42c-n, die in dem zentralen persistenten Speicher 41 enthalten sind, auf Software-Update-Information 32a, 32c-n für jede der Mehrzahl von Komponenten 27a-n beruhen (z.B. aus den als Software-Update-Information 32a, 32c-n erzeugt werden oder diesen entsprechen).
  • Die Software-Update-Information 32a, 32c-n kann über eine Schnittstelle 21 des Fahrzeugs 20 empfangen werden. Die Schnittstelle 21 kann eine Drahtlos-Schnittstelle (wie in 2 gezeigt) aber in anderen Beispielen auch eine drahtgebundene Schnittstelle (nicht in 2 gezeigt) sein. Das Fahrzeug kann dazu ausgelegt sein, von einem entfernten System 30 über die Schnittstelle 21 Software-Update-Information 32a, 32c-n zu empfangen. Wie in 1 gezeigt, kann das entfernte System 30 die Software-Update-Information 32a, 32c-n für das entsprechende Fahrzeug auswählen 107 und über die Schnittstelle 21 an das Fahrzeug 20 senden 109. Das entfernte System 30 kann jedes beliebige System sein, dass für das Bereitstellen von Software-Update-Information 32a, 32c-n geeignet ist (z.B. ein Cloud-Speicher und/oder ein verteiltes System). Das entfernte System 30 kann neben dem Bereitstellen von Software-Update-Information 32a, 32c-n weitere Funktionen im Betrieb des Fahrzeugs übernehmen (z.B. Überwachungs- und/oder Steuerfunktionen für das Fahrzeug).
  • In manchen Beispielen ist die Software-Update-Information 32a, 32c-n für eine Mehrzahl von Komponenten (z.B. Steuergeräte 27a, c-n) in einem Software-Bündel oder Software-Container 31 enthalten (d.h. die Software-Update-Information wird gebündelt bereitgestellt). Das Software-Bündel oder Software-Container 31 (häufig von erheblicher Größe) wird zu einem bestimmten Zeitpunkt an das Fahrzeug 20 übermittelt. In dem Fahrzeug 20 wird, wie beschrieben, die übermittelte Software-Update-Information 32a, 32c-n zur Aktualisierung der Software der Mehrzahl von Komponenten 27a-f verwendet. Dafür kann die von dem entfernte System 30 erhaltene Software-Update-Information 32a, 32c-n einen oder mehrere Vorbereitungsschritte durchlaufen (z.B., entpacken, Verifikation einer Signatur usw.).
  • Zusätzlich oder alternativ kann Software-Update-Information 32a, 32c-n (z.B. in einem Software-Bündel oder Software-Container) auch über eine drahtgebundene Schnittstelle 22 empfangen werden.
  • Die Software-Update-Information 32a, 32c-n kann, vor oder nach etwaigen Vorbereitungsschritten, in dem persistenten Speicher 41 als Software-Komponenten 42a, 42c-n für die Mehrzahl von Komponenten 27a, c-n abgelegt werden (z.B. bevor sie zur Aktualisierung der Software der Komponenten 27a, c-n verwendet wird). Die abgelegten Software-Komponenten 42a, 42c-n für die Mehrzahl von Komponenten 27a, c-n stehen dann der zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 zur Mitigation einer Manipulation in der Vielzahl von Komponenten 27a, c-n zur Verfügung. Diese Mitigation kann nach Beendigung der Aktualisierung der Software jeder der Mehrzahl von Komponenten 27a, c-n erfolgen (z.B. in einem Zeitraum bis zum Empfang von weiterer Software-Update-Information 32a, 32c-n).
  • In dieser Weise können sich die Techniken der vorliegenden Offenbarung in manchen Beispielen in dem Fahrzeug bereits vorhandene Komponenten, z.B. einen persistenter Speicher 41, der in einem Aktualisierungsprozess der Software des Fahrzeugs 20 eingesetzt wird, bedienen. Das kann in manchen Fällen eine erhebliche Einsparung an Komponenten zeitigen (wie oben beschrieben kann der zum Ablegen eines Software-Bündels oder Software-Containers 31 an Software-Update-Information 32a, 32c-n benötigte Speicher erhebliche Ausmaße annehmen). Zudem oder alternativ kann vermieden werden, die einzelnen Komponenten mit zusätzlichen Ressourcen (z.B. Speicher auszustatten), was ebenfalls die Komplexität und damit die Fehleranfälligkeit und/oder Kosten reduzieren kann. Weiter zusätzlich oder alternativ stehen die Informationen des persistenten Speichers 41 in vielen Situationen schnell und unabhängig von der Nutzbarkeit eines Kommunikationskanals des Fahrzeugs zur Verfügung. Da kann die Reaktionszeit des Mitigationsverfahrens einer Manipulation erhöhen.
  • In den Techniken der vorliegenden Offenbarung kann die Gegenmaßnahme zur Mitigation im Wesentlichen ohne Zuhilfenahme von Systemen außerhalb des Fahrzeugs 20 durchgeführt werden (z.B. das entfernte System 30). Zum Beispiel kann die Gegenmaßnahme von der zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 ohne Notwendigkeit der Kommunikation mit Systemen außerhalb des Fahrzeugs 20 eingeleitet werden (während dieses Vorgangs kann das Fahrzeug 20 zu anderen Zwecken durchaus mit einem System außerhalb des Fahrzeugs 20 kommunizieren). Zusätzlich oder alternativ kann die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 (oder eine andere Komponente des Bordnetzwerks) ohne Notwendigkeit der Kommunikation mit Systemen außerhalb des Fahrzeugs 20 eine Gegenmaßnahme durchführen.
  • In manchen Beispielen (siehe Schritt 105 in 1) können die Techniken der vorliegenden Offenbarung Auswählen der Gegenmaßnahme unter einer Mehrzahl von Gegenmaßnahmen basierend auf Kontext-Informationen für das Fahrzeug umfassen. Die Kontext-Information kann Information bezüglich eines Betriebszustands des Fahrzeugs 20 und/oder bezüglich vorbestimmter Regeln zum Betrieb des Fahrzeugs 20 umfassen.
  • Ein Betriebszustand kann ein Fahrzustand des Fahrzeugs sein (z.B. schnelles Fahren, langsames Fahren, das Durchführen bestimmter Fahrmanöver usw.), aber auch ein Betriebszustand, während das Fahrzeug nicht fährt. Alternativ oder zusätzlich kann die Kontext-Informationen für das Fahrzeug 20 Umfeld-Informationen und/oder Zustandsinformationen der Komponenten des Fahrzeugs umfassen.
  • Die Regeln zum Betrieb des Fahrzeugs 20 können vorbestimmte Sicherheitskriterien enthalten (die wiederum von Betriebszuständen des Fahrzeugs 20 abhängen können und die bspw. festlegen, wann und mit welchen Abhängigkeiten eine Gegenmaßnahme für eine bestimmte Komponente eingeleitet werden darf).
  • Die Kontext-Information kann zumindest teilweise in einem Speicher der zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 abgelegt sein (z.B. dem zentralen persistenten Speicher 41) zur Verwendung in der Auswahl einer Gegenmaßnahme (insbesondere der Teil der Kontext-Information, der Information bezüglich vorbestimmter Regeln zum Betrieb des Fahrzeugs 20 umfasst). Die Kontext-Information kann in manchen Beispielen von außerhalb des Fahrzeugs 20 aus aktualisiert werden (z.B. als Teil von Software-Update-Information 32b für die zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 bzw. einer Komponente, in der die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 angeordnet ist).
  • In manchen Beispielen können für die Mitigation bestimmter Manipulationen der Software der Komponenten 27a, c-n verschiedene Gegenmaßnahmen zur Verfügung stehen (zu den möglichen Gegenmaßnahmen weiter unten mehr). Die Kontext-Information kann nun herangezogen werden, um eine der zur Verfügung stehenden Gegenmaßnahmen auszuwählen. In manchen Beispielen kann unter mehreren zur Verfügung stehenden Gegenmaßnahmen diejenige ausgewählt werden, die eine weitestgehende Wiederherstellung eines Soll-Zustands der Komponente ermöglicht (d.h. die Manipulation am weitestgehenden behebt). Auf der anderen Seite können in manchen Situationen zu Verfügung stehende Gegenmaßnahmen aufgrund von in der Kontext-Information enthaltenen Regeln ausgeschlossen werden (z.B. wenn ein bestimmtes Sicherheitskriterium verletzt würde).
  • Zum Beispiel kann eine erste Gegenmaßnahme zwar eine weitgehendere Mitigation der Manipulation ermöglichen als eine zweite Gegenmaßnahme, aber auf der anderen Seite einen tiefergreifenderen Eingriff in die Komponenten des Fahrzeugs bedingen (und damit eine größere Gefahr für Störungen, die durch den Mitigationsprozess selbst hervorgerufen werden können). Eine zweite Gegenmaßnahme kann im Vergleich zu der ersten Gegenmaßnahme zwar eine weniger weitgehende Mitigation der Manipulation ermöglichen, aber auf der anderen Seite auch einen weniger tiefgreifenden Eingriff in die Komponenten des Fahrzeugs bedingen. In diesem Fall kann in einem ersten Kontext (ausgedrückt durch die Kontext-Information) die erste Gegenmaßnahme ausgewählt werden und in einem zweiten Kontext (ausgedrückt durch die Kontext-Information) die zweite Gegenmaßnahme ausgewählt werden. In einem illustrativen Beispiel kann der erste Kontext ein Kontext sein, in dem das Fahrzeug schnell fährt und der zweite Kontext ein Kontext, in dem das Fahrzeug steht. In anderen Fällen kann die Kontext-Information ein Sicherheitskriterium umfassen, dessen Einhaltung die Durchführung der ersten Gegenmaßnahme in einer ersten Situation verbietet, in einer zweiten Situation aber erlaubt.
  • In einigen Beispielen können die Gegenmaßnahmen ein unverzügliches Rücksetzen (z.B. innerhalb von fünf Minuten oder innerhalb von einer Minute) der Software der ersten Komponente 27a, c-f unter Verwendung von in dem zentralen persistenten Speicher 41 gespeicherten Software-Komponente 42a, c-n (z.B. erzeugt basierend auf der empfangenen Software-Update-Information) für die Komponente 27a, c-f, für die eine Manipulation erkannt wurde, umfassen und ein späteres Rücksetzen der Software der Komponente 27a, c-f unter Verwendung von Software-Komponenten 42a, c-n für die jeweilige Komponente 27a, c-f. Wiederum kann das unverzügliche Rücksetzen in bestimmten Kontexten (z.B. durch Sicherheitskriterien) ausgeschlossen sein. Zum Beispiel kann das spätere Rücksetzen in einem Zeitraum bis zum nächsten Hochfahrprozess der jeweiligen Komponente 27a, c-f erfolgen.
  • In der Folge werden anhand von 3 und 4 weitere Aspekte der Techniken der vorliegenden Offenbarung erläutert. 3 zeigt das Bordnetzwerk gemäß 2, in dem eine erste Komponente 27c manipuliert wurde. 4 zeigt das Bordnetzwerk gemäß 2, in dem die Manipulation der ersten Komponente 27c behoben wurde.
  • Zunächst werden einige Aspekte der Detektion der Manipulation der Software einer Komponente 27a, c-f des Fahrzeugs 20 genauer erläutert. Wie oben erwähnt, beinhalten die Techniken der vorliegenden Offenbarung das Erkennen einer Möglichkeit einer Manipulation der Software einer Komponente einer Mehrzahl von Komponenten eines Bordnetzwerks, was in manchen Beispielen Empfangen eines Signals beinhaltet. Dieses Signal kann auf verschiedene Weisen erzeugt werden.
  • Zunächst kann eine Manipulation einer Software einer Komponente 27a, c-f detektiert werden. Diese Detektion kann lokal durch entsprechende (Manipulations-) Detektionsvorrichtungen der entsprechenden Komponente geschehen.
  • In 3 ist die Software einer der Steuergeräte 27c (die „erste Komponente“ in manchen Beispielen der vorliegenden Offenbarung) manipuliert worden. Eine manipulierte Software-Komponente 71 wurde eingebracht.
  • Eine (Manipulations-)Detektionsvorrichtung 81a des Steuergeräts 27c kann diese Manipulation erkennen und ein entsprechendes Signal für die zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 erzeugen (siehe auch Schritte 111 und 113 in 1). Dieses Signal kann dann wie oben besprochen verarbeitet werden, um eine Mitigation einzuleiten.
  • In anderen Beispielen oder zusätzlich kann eine (Manipulations)-Detektionsvorrichtung 61b der zentralen Kommunikationsschnittstelle des Fahrzeugs 20 die Manipulation des Steuergeräts 27c (aus der Entfernung) detektieren und das Signal für die zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 erzeugen (die im Beispiel von 3 ebenfalls in der zentralen Kommunikationsschnittstelle des Fahrzeugs 20 angeordnet ist). In manchen Beispielen ist die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 somit auch für eine zentrale Detektion der Manipulation der Software einer Mehrzahl von Komponenten 27a, c-f des Bordnetzwerks ausgelegt.
  • In anderen Beispielen oder zusätzlich kann eine Detektionsvorrichtung des entfernten System 30 die Manipulation des Steuergeräts 27c (aus der Entfernung) detektieren und das Signal für die zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 erzeugen. In diesem Beispiel kann das Signal über eine Schnittstelle des Fahrzeugs empfangen werden. Wenn auch die Detektion der Manipulation innerhalb des Fahrzeugs stattfindet, kann ein Zeitraum bis zur Mitigation der Manipulation allerdings in manchen Fällen verkürzt werden.
  • Die verschiedenen Detektionsvorrichtungen 81a, 61b (insbesondere die im Fahrzeug angeordneten Detektionsvorrichtungen 81a, 61b) können bereits in dem (Bord)Netzwerk vorhandene Detektionsvorrichtungen sein. Wie oben beschrieben können auch in manchen bekannten Verfahren Manipulationen der Software erkannt werden.
  • Die Detektion der Manipulation kann auf jede erdenkliche Weise geschehen. Zum Beispiel kann eine Software beim Starten („secure boot)“ und/oder im Betrieb („run-time manipulation detection“) mittels einer oder mehrerer Verfahren zur Prüfung der Echtheit und/oder Unverfälschtheit der Software geprüft werden (z.B. unter Verwendung einer oder mehrerer digitaler Signaturen).
  • In anderen Beispielen ein Signal, bei dessen Ausbeleiben die Möglichkeit der Manipulation erkannt wird, durch die in den vorhergehenden Abschnitten beschriebenen Komponenten erzeugt werden. Z.B. kann eine (Manipulations-)Detektionsvorrichtung 81a des Steuergeräts 27c ein Signal erzeugen (z.B. regelmäßig oder beim Auftreten von bestimmten Ereignissen), dessen Ausbeleiben eine Manipulation der Software des Steuergeräts 27c anzeigen kann.
  • In Bezug auf 3 und 4 werden nun weitere Aspekte der Gegenmaßnahme des Rücksetzens der Software der ersten Komponente 27c unter Verwendung von einer in dem zentralen persistenten Speicher 41 gespeicherter Software-Komponente 42c für die erste Komponente 27c diskutiert.
  • Die zentrale Vorrichtung zur Mitigation einer Manipulation 25 kann basierend auf einer Detektion der Manipulation der ersten Komponente 27c eine Gegenmaßnahme auswählen. Im Beispiel von 3 und 4 wird als Gegenmaßnahme ein Rücksetzen der Software der ersten Komponente 27c ausgewählt. Das Rücksetzen kann umfassen, die Software auf einen letzten authentifizierten Stand zu bringen. Das kann das Löschen und/oder Überschreiben von Teilen oder der kompletten Software der ersten Komponente 27c (z.B. einem Steuergerät) umfassen. Das Löschen und/oder Überschreiben von Teilen oder der kompletten Software der ersten Komponente 27c kann durch die zentrale Vorrichtung zur Mitigation einer Manipulation 25 aus der Entfernung (d.h. über eine Verbindung des Bordnetzwerkes) durchgeführt werden. In dieser Weise kann die manipulierte Software-Komponente 71, oder Teile davon 81a, 81b durch eine authentische (d.h. nicht manipulierte) Software-Komponente 52c, oder Teile davon 53a, 53b ersetzt werden, um die Manipulation zu beheben.
  • Die authentische (d.h. nicht manipulierte) Software 52c kann aus dem persistenten Speicher 41 abgerufen werden. Wie bereits erwähnt kann der persistenten Speicher 41 die Software-Komponente 42c in einer direkt verwendbaren Form oder in einer Form, die erst nach ein oder mehreren Verarbeitungsschritten zum Rücksetzen der manipulierten Software-Komponente 71 der der ersten Komponente 27c verwendet werden kann.
  • In manchen Beispielen kann die zentrale Vorrichtung zur Mitigation einer Manipulation 25 Maßnahmen zur Sicherstellung der Authentizität der zum Zurücksetzen der Software der Komponenten eingesetzten Software-Komponenten 42a, c-n durchführen. Zum Beispiel kann vor der Verwendung einer Software-Komponenten 42a, c-n eine Authentizitätsprüfung durchgeführt werden (z.B. anhand einer digitalen Signatur oder eines anderen Sicherheitsmerkmals). Die zentrale Vorrichtung zur Mitigation einer Manipulation 25 kann für die Authentizitätsprüfung auf Funktionalitäten der Komponente, in die die zentrale Vorrichtung zur Mitigation einer Manipulation 25 integriert ist, zurückgreifen.
  • In manchen Beispielen kann der persistente Speicher 41 mehr als eine Version einer Software-Komponente für eine bestimmte Komponente des Bordnetzwerks enthalten. In diesem Fall kann die zentrale Vorrichtung zur Mitigation einer Manipulation 25 eine der Versionen auswählen (z.B. eine aktuelle Version der Software-Kom pon ente).
  • In den vorhergehenden Abschnitt wurde mit Bezug auf 3 und 4 eine Gegenmaßnahme zur Mitigation der Manipulation einer ersten Komponente 27c des Bordnetzwerkes besprochen. Die zentrale Vorrichtung zur Mitigation einer Manipulation 25 ist jedoch einrichtet, zu einem anderen Zeitpunkt oder gleichzeitig zu der Mitigation der Manipulation der Software der ersten Komponente 27c Gegenmaßnahmen bezüglich der Manipulation der Software einer oder mehrerer weiterer Komponenten der Mehrzahl von Komponenten 27a, d-f einzuleiten.
  • In manchen Beispielen ist die zentrale Vorrichtung zur Mitigation einer Manipulation 25 ausgelegt zum Erkennen der Möglichkeit einer Manipulation der Software einer weiteren Komponente 27a, d-f der Mehrzahl von Komponenten des Bordnetzwerks und Einleiten einer weiteren Gegenmaßnahme zur Mitigation der Manipulation der weiteren Komponente 27a, d-f. Die Detektion der Manipulation und die Einleitung der Gegenmaßnahmen kann wie oben beschrieben ablaufen. Zum Beispiel kann eine manipulierte Software-Komponente der weiteren Komponente 27a, d-f zurückgesetzt werden.
  • In dieser Weise kann eine einzige zentrale Vorrichtung zur Mitigation einer Manipulation eine Mehrzahl von in dem Bordnetzwerk von ihr entfernten Komponenten (z.B. Steuergeräte in verschiedenen Domänen) versorgen (d.h. Manipulationen von Software der Mehrzahl von Komponenten beheben).
  • In den vorhergehenden Abschnitten wurde ein Rücksetzen einer Software einer Komponente als beispielhafte Gegenmaßnahme, die von der zentralen Vorrichtung zur Mitigation einer Manipulation eingeleitet (und in manchen Beispielen durchgeführt wird), beschrieben.
  • In manchen Beispielen kann die zentrale Vorrichtung zur Mitigation einer Manipulation alternativ oder zusätzlich andere Gegenmaßnahmen einleiten (und in manchen Beispielen durchführen).
  • In manchen Beispielen kann die Gegenmaßnahme gegen die Manipulation Blockieren einer Kommunikation über das Bordnetzwerk der ersten Komponente 27c (deren Software manipuliert ist) umfassen. Ein Blockieren der Kommunikation kann verhindern, dass eine manipulierte Software der ersten Komponente 27c über das Bordnetzwerk Schaden anrichtet. Auf der anderen Seite kann eine manipulierte Software eine Funktion der ersten Komponente 27c immer noch (z.B. für eine gewisse Zeitdauer) ausführen. Aus diesem Grund kann in manchen Fällen ein Blockieren der Kommunikation über das Bordnetzwerk der ersten Komponente 27c einem Zurücksetzen der Software der ersten Komponente 27c vorgezogen werden (z.B. in einem Kontext, in dem ein Ausfall der ersten Komponente 27c zumindest kurzfristig nicht tolerabel oder wünschenswert ist). Die Gegenmaßnahme des Zurücksetzens der Software der ersten Komponente 27c kann im Anschluss an die Gegenmaßnahme des Blockierens der Kommunikation der ersten Komponente 27c eingeleitet werden (z.B. in einem geänderten Kontext).
  • Alternativ oder zusätzlich kann die Gegenmaßnahme gegen die Manipulation Blockieren einer Kommunikation einer Gruppe von Komponenten über das Bordnetzwerk, die die erste Komponente 27c beinhaltet, umfassen. Im Beispiel von 3 kann die erste Komponente 27c in einer ersten Domäne 26a mit weiteren Komponenten 27a, b enthalten sein. Das Blockieren der Kommunikation einer Gruppe von Komponenten über das Bordnetzwerk ähnelt dem Blockieren der einzelnen Komponente, wie oben beschrieben. Auch hier kann verhindert werden, dass aus der Gruppe von Komponenten in dem Bordnetzwerk Schaden angerichtet wird. Auch im Falle des Blockierens der Kommunikation einer Gruppe von Komponenten über das Bordnetzwerk kann zu einem späteren Zeitpunkt die Gegenmaßnahme des Zurücksetzens der Software der ersten Komponente 27c eingeleitet werden (z.B. in einem geänderten Kontext).
  • Weiter alternativ oder zusätzlich kann die Gegenmaßnahme gegen die Manipulation Ändern einer Funktionalität der ersten Komponente 27c, für die eine Manipulation erkannt wurde, umfassen. Zum Beispiel kann eine Funktionalität eingeschränkt werden nach einem vorbestimmten Muster (z.B. auf eine Funktionalität, die für bestimmte sicherheitsrelevante Aspekte in einem jeweiligen Kontext gebraucht wird).
  • Weiter alternativ oder zusätzlich kann die Gegenmaßnahme gegen die Manipulation Verschieben einer Funktionalität der ersten Komponente 27c, für die eine Manipulation erkannt wurde, zu einer oder mehreren anderen Komponenten der Mehrzahl der Komponenten 27a, b, d-f umfassen. Zum Beispiel kann die eine oder mehrere der anderen Komponenten der Mehrzahl der Komponenten 27a, b, d-f eine Aufgabe (oder Teile davon) der ersten Komponente 27c zumindest zeitweise übernehmen. Die erste Komponente 27c kann dann deaktiviert und/oder blockiert werden. Auch in diesem Fall kann zu einem späteren Zeitpunkt die Gegenmaßnahme des Zurücksetzens der Software der ersten Komponente 27c eingeleitet werden (z.B. in einem geänderten Kontext).
  • In den vorangehenden Abschnitten wurden die Techniken der vorliegenden Offenbarung des Öfteren anhand der jeweiligen Verfahren beschrieben. Die vorliegende Offenbarung betrifft aber auch eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs, die dazu ausgelegt ist, die Schritte Verfahren der vorliegenden Offenbarung auszuführen. Wie oben beschrieben kann die zentrale Vorrichtung zur Mitigation einer Manipulation von Software eine Stand-alone-Vorrichtung sein (d.h. ein dediziertes Modul mit eigenen Hardware- und Softwareressourcen, das Teil des Bordnetzwerks ist und mit den anderen Komponenten des Bordnetzwerks kommunizieren kann). In anderen Fällen wird die zentrale Vorrichtung zur Mitigation einer Manipulation von Software jedoch in eine andere (bereits vorhandene) Komponente des Bordnetzwerks integriert sein. Die zentrale Vorrichtung zur Mitigation einer Manipulation von Software kann dabei als Software-Modul ausgestaltet sein (das in die Software der Komponente eingefügt wird). In anderen Fällen kann die zentrale Vorrichtung zur Mitigation einer Manipulation von Software zumindest einige dedizierte Hardware-Komponenten aufweisen (während sie andere Hardware-Komponenten der Komponente, in die sie integriert ist, mitbenutzt). Wie ebenfalls erwähnt kann die andere Komponente eine zentrale Kommunikationsschnittstelle des Bordnetzwerks, ein Zentral-Computer („vehicle computer“) oder eine andere Komponente mit vergleichsweise performanter Hardware sein.
  • In manchen Beispielen kann eine bestehende Komponente des Bordnetzwerkes (z.B. eine zentrale Kommunikationsschnittstelle des Fahrzeugs oder einer Domäne des Fahrzeugs, oder ein Zentral-Computer des Fahrzeugs, oder eine Head-Unit eines Infotainment-Systems) durch eine Aktualisierung der Software der Komponente des Bordnetzwerkes als zentrale Vorrichtung zur Mitigation einer Manipulation von Software eingerichtet werden.
  • Die zentrale Vorrichtung zur Mitigation einer Manipulation von Software oder die andere Komponente, in der sie integriert ist, kann zumindest einen Prozessor (ggf. mit mehreren Kernen) umfassen und Speicher, der Befehle umfasst, die, wenn sie durch den Prozessor ausgeführt werden, die Schritte der Verfahren der vorliegenden Offenbarung ausführen.
  • Die vorliegende Offenbarung betrifft weiterhin ein Bordnetzwerk für ein Fahrzeug, das zumindest eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software gemäß der vorliegenden Offenbarung und eine Mehrzahl von Komponenten des Bordnetzwerks umfasst. Die zentrale Vorrichtung zur Mitigation einer Manipulation von Software kann Manipulationen der Software der Mehrzahl von Komponenten in manchen Fällen detektieren und Gegenmaßnahmen einleiten (wie oben beschrieben).
  • Die vorliegende Offenbarung betrifft weiterhin ein Fahrzeug, das ein Bordnetzwerk gemäß der vorliegenden Offenbarung umfasst.
  • Die vorliegende Offenbarung betrifft weiterhin ein Computer-Programm, das dazu ausgelegt ist, die Verfahren der vorliegenden Offenbarung auszuführen.
  • Die vorliegende Offenbarung betrifft weiterhin ein computer-lesbares Medium (z.B. eine DVD oder einen Festkörperspeicher), dass ein Computer-Programm der vorliegenden Offenbarung enthält.
  • Die vorliegende Offenbarung betrifft weiterhin ein Signal (z.B. ein elektromagnetisches Signal gemäß einem drahtlosen oder drahtgebundenen Kommunikationsprotokoll), dass ein Computer-Programm der vorliegenden Offenbarung codiert.

Claims (14)

  1. Computer-implementiertes Verfahren, umfassend: Erkennen (101) der Möglichkeit einer Manipulation der Software einer ersten Komponente (27c) einer Mehrzahl von Komponenten (27a-f) eines Bordnetzwerks eines Fahrzeugs (20) in einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software (25), wobei die zentrale Vorrichtung zur Mitigation einer Manipulation (25) ein Teil des Bordnetzwerks ist und zur Mitigation von Software in jedem der Mehrzahl von Komponenten (27a-f) des Bordnetzwerkes ausgelegt ist; und Einleiten (103) einer Gegenmaßnahme zur Mitigation der Manipulation der Software der ersten Komponente (27c) durch die zentrale Vorrichtung zur Mitigation einer Manipulation (25).
  2. Verfahren gemäß Anspruch 1, wobei die Gegenmaßnahme gegen die Manipulation Rücksetzen der Software der ersten Komponente (27c) unter Verwendung von einer in einem zentralen persistenten Speicher (41) gespeicherter Software-Komponente (42c) für die erste Komponente (27c) umfasst, wobei der zentrale persistente Speicher (41) ausgelegt ist, Software-Komponenten (42a, c-n) für jede der Mehrzahl von Komponenten (27a-f) gleichzeitig zu speichern.
  3. Verfahren gemäß Anspruch 2, weiter umfassend: Empfangen von Software-Update-Information (32a-n) für jede der Mehrzahl von Komponenten (27a-f) in dem Fahrzeug (20); Aktualisieren von Software jeder der Mehrzahl von Komponenten (27a-f) unter Verwendung der Software-Update-Information (32a-f); und Ablegen der Software-Update-Information (32a-f) in dem persistenten Speicher (41) zur Verwendung durch die Vorrichtung zur Mitigation einer Manipulation (25) nach Beendigung der Aktualisierung der Software jeder der Mehrzahl von Komponenten (27a-f), um die Software-Komponenten (42a, c-n) für jede der Mehrzahl von Komponenten (27a-f) zu bilden.
  4. Verfahren gemäß einem der Ansprüche 1 bis 3, wobei die Gegenmaßnahme zur Mitigation im Wesentlichen ohne Zuhilfenahme von Systemen (30) außerhalb des Fahrzeugs (20) durchgeführt wird.
  5. Verfahren gemäß einem der Ansprüche 1 bis 4, weiter umfassend: Auswählen (105) der Gegenmaßnahme unter einer Mehrzahl von Gegenmaßnahmen basierend auf Kontext-Informationen für das Fahrzeug (20), optional wobei die Kontext-Information Information bezüglich eines Betriebszustands des Fahrzeugs (20) und/oder bezüglich vorbestimmter Regeln zum Betrieb des Fahrzeugs (20) enthalten.
  6. Verfahren gemäß Anspruch 5, wobei die Gegenmaßnahme ein unverzügliches Rücksetzen der Software der ersten Komponente (27c) unter Verwendung von in einem zentralen persistenten Speicher (41) gespeicherten Software-Komponenten (42c) für die erste Komponente (27c) und ein späteres Rücksetzen der Software der ersten Komponente (27c) unter Verwendung von Software-Komponenten (42c) für die erste Komponente (27c) umfasst.
  7. Verfahren gemäß einem der Ansprüche 1 bis 6, wobei die Gegenmaßnahme gegen die Manipulation eines oder mehrere von: Blockieren einer Kommunikation über das Bordnetzwerk der ersten Komponente (27c); Blockieren einer Kommunikation einer Gruppe von Komponenten (26a) über das Bordnetzwerk, die die erste Komponente (27c) beinhaltet; und Ändern einer Funktionalität der ersten Komponente (27c) und/oder Verschieben einer Funktionalität der ersten Komponente (27c) zu einer oder mehreren anderen der Mehrzahl der Komponenten (27a, b, d-f) umfasst.
  8. Verfahren gemäß einem der Ansprüche 1 bis 7, weiter umfassend: Erkennen der Manipulation der Software der ersten Komponente (27c), optional durch eine Manipulations-Detektions-Vorrichtung (61b) der zentralen Vorrichtung zur Mitigation einer Manipulation (25) oder einer weiteren Komponente (27a) des Bordnetzwerks; und Erzeugen eines Signals, das die Manipulation der Software einer ersten Komponente (27c) der Mehrzahl von Komponenten des Bordnetzwerks anzeigt, wobei das Erkennen (101) der Möglichkeit der Manipulation basierend auf dem Signal, die Manipulation der Software einer ersten Komponente (27c) der Mehrzahl von Komponenten des Bordnetzwerks anzeigt, erfolgt.
  9. Verfahren gemäß einem der Ansprüche 1 bis 8, wobei die Mehrzahl von Komponenten (27a-f) des Bordnetzwerks eines oder mehrere Steuergeräte umfasst und/oder wobei die erste Komponente (27c) ein Steuergerät ist.
  10. Zentrale Vorrichtung zur Mitigation einer Manipulation von Software (25) einer Mehrzahl von Komponenten (27a-f) eines Bordnetzwerks eines Fahrzeugs (20), die dazu ausgelegt ist, die Schritte eines der vorangehenden Ansprüche 1 bis 9 auszuführen.
  11. Bordnetzwerk für ein Fahrzeug (209, umfassend: die zentrale Vorrichtung zur Mitigation einer Manipulation von Software (25) gemäß Anspruch 10; eine Mehrzahl von Komponenten (27a-f) des Bordnetzwerks.
  12. Fahrzeug (20), das das Bordnetzwerk gemäß Anspruch 11 umfasst.
  13. Computer-Programm, das dazu ausgelegt ist, die Verfahren der vorangehenden Ansprüche 1 bis 9 auszuführen.
  14. Computer-lesbares Medium oder Signal, dass das Computer-Programm gemäß Anspruch 13 enthält bzw. codiert.
DE102021207473.1A 2021-07-14 2021-07-14 Mitigation einer manipulation von software eines fahrzeugs Pending DE102021207473A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102021207473.1A DE102021207473A1 (de) 2021-07-14 2021-07-14 Mitigation einer manipulation von software eines fahrzeugs
US17/860,885 US20230024817A1 (en) 2021-07-14 2022-07-08 Mitigation of vehicle software manipulation
CN202210820145.0A CN115623023A (zh) 2021-07-14 2022-07-13 减轻对车辆的软件的操纵
JP2022112174A JP2023014028A (ja) 2021-07-14 2022-07-13 車両のソフトウェアの改竄の軽減

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021207473.1A DE102021207473A1 (de) 2021-07-14 2021-07-14 Mitigation einer manipulation von software eines fahrzeugs

Publications (1)

Publication Number Publication Date
DE102021207473A1 true DE102021207473A1 (de) 2023-01-19

Family

ID=84547065

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021207473.1A Pending DE102021207473A1 (de) 2021-07-14 2021-07-14 Mitigation einer manipulation von software eines fahrzeugs

Country Status (4)

Country Link
US (1) US20230024817A1 (de)
JP (1) JP2023014028A (de)
CN (1) CN115623023A (de)
DE (1) DE102021207473A1 (de)

Also Published As

Publication number Publication date
JP2023014028A (ja) 2023-01-26
CN115623023A (zh) 2023-01-17
US20230024817A1 (en) 2023-01-26

Similar Documents

Publication Publication Date Title
EP1874587B1 (de) Konfigurationssystem eines fahrzeugs und verfahren zur konfiguration mindestens einer steuereinheit des konfigurationssystems
DE112016000992T5 (de) Programmneuschreibvorrichtung und programmneuschreibverfahren
DE102010043991A1 (de) Verfahren und Systeme zum Erkennen und Konfigurieren von vernetzten Einrichtungen
DE102008021030A1 (de) Verfahren zum Betreiben eines Fahrzeugs sowie entsprechende Vorrichtung und entsprechendes Fahrzeug
EP1967435A2 (de) Verfahren zur adaptiven Konfigurationserkennung
EP3667568A1 (de) Konfiguration eines steuerungssystems für ein zumindest teilautonomes kraftfahrzeug
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
WO2019137773A1 (de) Absicherung eines softwareupdates eines steuergerätes eines fortbewegungsmittels
DE102017201966A1 (de) Steuergerät für ein Kraftfahrzeug und entsprechendes Kraftfahrzeug
DE102021207473A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102019004612A1 (de) Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät
DE102022201895A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102022201901A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102022201898A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102022201896A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102013202961A1 (de) Verfahren zum Überwachen eines Stackspeichers in einem Betriebssystem eines Steuergeräts eines Kraftfahrzeuges
EP3797352B1 (de) Verfahren zum austauschen eines ersten ausführbaren programm-codes und eines zweiten ausführbaren programm-codes und steuergerät
DE102022201899A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102016105876A1 (de) Elektronisches Steuergerät für ein Fahrzeug mit separater Datenverbindung, Assistenzsystem, Fahrzeug sowie Verfahren
DE102022209778A1 (de) Techniken zur mitigation von manipulationen eines bordnetzwerkes
DE102022209768A1 (de) Computerimplementiertes verfahren zur aktualisierung von software in einer vorrichtung zur mitigation von softwaremanipulation
DE102022208647A1 (de) Techniken zur mitigation von manipulationen eines bordnetzwerks eines fahrzeugs
EP3991037B1 (de) Steuergerät für ein fahrzeug, system, verfahren und kraftfahrzeug mit einem solchen steuergerät
DE102013003271A1 (de) Verfahren zur Einrichtung und bzw. oder Aktualisierung einer Programmierung eines Steuergerätes eines Verkehrsmittels
DE102016117056A1 (de) Verfahren zur sicheren Bereitstellung von gespeicherten Informationen bei einer Elektronikkomponente