DE102021210429A1 - Verfahren zum Erkennen einer Manipulation eines Bussystems - Google Patents

Verfahren zum Erkennen einer Manipulation eines Bussystems Download PDF

Info

Publication number
DE102021210429A1
DE102021210429A1 DE102021210429.0A DE102021210429A DE102021210429A1 DE 102021210429 A1 DE102021210429 A1 DE 102021210429A1 DE 102021210429 A DE102021210429 A DE 102021210429A DE 102021210429 A1 DE102021210429 A1 DE 102021210429A1
Authority
DE
Germany
Prior art keywords
message
bus
subscriber
pattern
assigned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021210429.0A
Other languages
English (en)
Inventor
Axel Aue
Eugen Becker
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102021210429.0A priority Critical patent/DE102021210429A1/de
Priority to CN202211135362.2A priority patent/CN115842694A/zh
Publication of DE102021210429A1 publication Critical patent/DE102021210429A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/001Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using chaotic signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Abstract

Die Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation eines Bussystems (2, 102) mit mehreren Busteilnehmern (6a, 6b, 6c, 6d), umfassend ein Erfassen (130) eines Spannungssignals (22c, 22d) einer auf dem Bussystem (2, 102) gesendeten Nachricht; ein Bilden (140) eines Signalmusters (35c, 35d) aus dem erfassten Spannungssignal (22c, 22d); ein Bestimmen (150) einer Nachrichten-Identifikation (14c, 14d) der Nachricht; ein Prüfen (160), ob eine Korrespondenz zwischen dem Signalmuster (35c, 35d) und der Nachrichten-Identifikation (14c, 14d) entsprechend einer Buskonfiguration besteht; und ein Feststellen (170) einer möglichen Manipulation, wenn keine Korrespondenz besteht.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation eines Bussystems sowie ein Bussystem und eine Recheneinheit und ein Computerprogramm zu dessen Durchführung.
  • Hintergrund der Erfindung
  • In Maschinen und Kraftfahrzeugen werden programmierbare Steuergeräte eingesetzt, um diese oder auch Komponenten davon, zu steuern. Beispielsweise kann ein Kraftfahrzeug Steuergeräte zur Motorsteuerung, für das Bremssystem usw. enthalten. Die Steuergeräte umfassen einen Mikrocontroller oder Prozessor mit einem oder typischerweise mit mehreren Prozessor-Kernen, die in einem Speicher gespeicherte Programme ausführen, um die Funktionen des Steuergeräts zu erzielen.
  • Untereinander und mit weiteren Geräten, etwa Sensoren, können die Steuergeräte über einen Bus verbunden sein. Verbreitet ist beispielsweise der CAN-Bus (Controller Area Network), ein auf Differenzspannungen basierender Bus, der Daten bzw. Nachrichten über zwei Busleitungen überträgt; Busleitungen und Busteilnehmer bilden zusammen ein Bussystem. Um zu verhindern, dass ein Angreifer, der Zugriff auf die physikalische Schicht, insbesondere die Busleitungen, hat, die übertragenen Daten manipuliert oder eigene Daten einschleust, können die zu übertragenden Daten verschlüsselt werden.
  • Offenbarung der Erfindung
  • Erfindungsgemäß werden ein Verfahren zum Erkennen einer Manipulation eines Bussystems sowie ein Bussystem und eine Recheneinheit und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Die Erfindung bedient sich der Maßnahme, zu prüfen, ob zwischen einem Signalmuster einer gesendeten Nachricht und einer Nachrichten-Identifikation der Nachricht eine Korrespondenz, die durch die Buskonfiguration bestimmt ist, besteht. Dies ermöglicht es zu erkennen, ob ein mit dem Bus verbundener Teilnehmer bzw. Angreifer (identifizierbar anhand des Signalmusters) versucht, eine Nachricht zu senden, ohne dazu berechtigt zu sein. Nur wenn die Korrespondenz besteht, wird von einer gültigen Nachricht ausgegangen. Insbesondere wird das Problem gelöst, dass ein Angriffserkennungssystem, das auf dem Erkennen von bekannten Signalmustern basiert, zwar einen physischen Angriff, d.h. einen Angriff, bei dem ein zusätzliches Gerät am Bus angeschlossen wird, was zu nicht bekannten Signalmustern führt, erkennen kann, jedoch nicht erkennen kann, ob ein Busteilnehmer manipuliert bzw. gehackt wurde, d.h. ob die Software des Busteilnehmers manipuliert wurde, in welchem Fall durch den Busteilnehmer weiterhin Spannungssignale mit bekannten Signalmustern erzeugt werden. Indem geprüft wird, dass die Nachricht eine im Sinne einer Konfiguration des Bussystems gültige, also korrespondiere, Nachrichten-Identifikation aufweist, kann zumindest erkannt werden, dass der manipulierte Busteilnehmer Nachrichten sendet, zu deren Senden der manipulierte Busteilnehmer keine Berechtigung hat, etwa Nachrichten, die von anderen Busteilnehmern, z.B. Busteilnehmern mit einer höheren Sicherheitseinstufung als der manipulierte Busteilnehmer oder anderen Steuergeräten, Sensoren usw. gesendet werden müssten.
  • Das erfindungsgemäße Verfahren kann insbesondere auch bei Bussystemen angewandt werden, die beim Senden von Nachrichten keine Identifikation des Senders in die Nachricht einschließen. Ein Beispiel, bei dem das erfindungsgemäße Verfahren bevorzugt angewendet wird, ist das CAN-Bussystem (CAN: Controller Area Network) gemäß der CAN-Spezifikation: Robert Bosch GmbH, CAN Specification, Version 2.0, Sep. 1991.
  • Im Einzelnen umfasst das Verfahren zum Erkennen einer Manipulation eines Bussystems mit mehreren Busteilnehmern ein Erfassen eines Spannungssignals einer auf dem Bussystem gesendeten Nachricht, ein Bilden eines Signalmusters (das charakteristisch für jeden Busteilnehmer ist) aus dem erfassten Spannungssignal ein Bestimmen einer Nachrichten-Identifikation der Nachricht, ein Prüfen, ob eine Korrespondenz zwischen dem Signalmuster und der Nachrichten-Identifikation entsprechend einer Buskonfiguration besteht, und ein Feststellen einer möglichen Manipulation, wenn keine Korrespondenz besteht.
  • Jede Nachricht wird mit einer Nachrichten-Identifikation gesendet, anhand derer andere Busteilnehmer bestimmen können, ob die entsprechende Nachricht für sie relevant ist, also beispielsweise Daten und/oder Steuerbefehle enthält, die an den jeweiligen Busteilnehmer gerichtet sind. Nachrichten, die für einen Busteilnehmer nicht relevant sind, können von diesem verworfen bzw. ignoriert werden.
  • Das Bussystem weist eine sogenannte Buskonfiguration auf, gemäß derer Busteilnehmern Nachrichten-Identifikationen (Teilnehmer-Nachrichten-Identifikationen) zugewiesen bzw. zugeordnet sind, mit denen sie Nachrichten auf dem Bus senden. Diese Zuweisung bzw. Zuordnung erfolgt beispielsweise bei Einrichtung des Bussystems, während dieses also konfiguriert wird, oder auch bei einer späteren Neukonfiguration.
  • Wenn keine Korrespondenz zwischen Nachrichten-Identifikation und Signalmuster vorliegt, wird eine „mögliche“ Manipulation festgestellt. Der Begriff „möglich“ bezieht sich darauf, dass nicht zwangsläufig eine Manipulation vorliegen muss, da auch Störungen auftreten können, die den Verlauf des Spannungssignals beeinflussen und dazu führen, dass keine Korrespondenz gefunden werden kann. Dies können z.B. elektromagnetische Störungen von außen sein oder auch eine Störung der Spannungsversorgung des sendenden Busteilnehmers.
  • Die Nachrichten-Identifikation ist typischerweise als Zeichenfolge, z.B. als Zahlenwert, insbesondere als Binärwert gegeben. Im CAN-Bus umfassen diese beispielsweise 11 Bits (standard frames) oder 29 Bits (extended frames). In der weiteren Beschreibung werden auch die Abkürzungen „Nachrichten-ID“ für den Begriff „Nachrichten-Identifikation“ und „ID“ für den Begriff „Identifikation“ verwendet.
  • Es sollte angemerkt werden, dass beim Prüfen, ob eine Korrespondenz besteht, implizit auch geprüft wird, ob das Signalmuster für sich genommen ein gültiges Signalmuster ist, d.h. ein Signalmuster ist, das einem Busteilnehmer zugeordnet werden kann, bzw., ob die Nachrichten-ID für sich genommen die ID einer Nachricht ist, die im Bussystem zulässig ist (im Sinne der Buskonfiguration). Dies ergibt sich daraus, dass, wenn eine dieser beiden Bedingungen nicht erfüllt ist, natürlich auch keine Korrespondenz bestehen kann bzw. gefunden werden kann.
  • Die Korrespondenz kann z.B. durch Paare mit jeweils einem Signalmuster (bevorzugt Referenzmuster) und einer Nachrichten-ID dargestellt werden. In einer Testphase, z.B. beim Einrichten oder Konfigurieren des Bussystems, oder auch während des normalen Betriebs, falls sichergestellt ist, dass das Bussystem nicht manipuliert ist, können Nachrichten gesendet werden und daraus Signalmuster und korrespondierende Nachrichten-IDs bestimmt werden, um diese Paare zu bestimmen. Die Paare könne gespeichert werden, so dass sie später beim Prüfen, ob eine Korrespondenz besteht, verwendet werden können, wobei bei diesem Prüfen die gespeicherte Paare durchsucht werden, bis ein Paar gefunden wird, das dem Signalmuster und der Nachrichten-ID entspricht, die aus dem aktuellen, erfassten Spannungssignal bestimmt wurden. „Entspricht“ ist hier vorzugsweise so zu verstehen, dass bei der Nachrichten-ID eine Übereinstimmung bzw. Gleichheit besteht und dass beim Signalmuster eine Übereinstimmung innerhalb vorgegebener Toleranzen (die z.B. während der Testphase bestimmt werden können, d.h. so vorgegeben werden, dass Schwankungen beim normalen Betrieb nicht zu ungültigen Signalmustern führen) besteht.
  • Vorzugsweise ist das Bussystem ein CAN-Bussystem bzw. das Verfahren wird in einem CAN-Bussystem angewandt.
  • Bevorzugt umfasst das Verfahren ein Vergleichen des Signalmusters mit wenigstens einem Referenzmuster, um ein Teilnehmer-Referenzmuster zu identifizieren, das dem Signalmuster entspricht (d.h. ein Referenzmuster aus dem wenigstens einem Referenz-muster zu identifizieren, dass dem Signalmuster der gesendeten Nachricht entspricht, also ein Referenzmuster des Teilnehmers, der die Nachricht gesendet hat, ist); wobei, wenn beim Vergleichen ein Teilnehmer-Referenzmuster identifiziert werden kann, das Prüfen, ob die Korrespondenz besteht, basierend auf dem Teilnehmer-Referenzmuster erfolgt; und wobei bevorzugt, wenn beim Vergleichen kein Teilnehmer-Referenzmuster identifiziert werden kann, die mögliche Manipulation festgestellt wird.
  • „Referenzmuster“ bzw. „Teilnehmer-Referenzmuster“ sind Referenz-Signalmuster, die während einer Testphase oder Konfigurationsphase als charakteristisch für den jeweiligen Busteilnehmer bestimmt wurden, wobei für gesendete (Beispiel-)Nachrichten (Beispiel-)Spannungssignale erfasst werden, daraus Beispiel-Signalmuster bestimmt werden (mit dem gleichen Verfahren, mit dem auch bei späteren Einsatz die Signalmuster bestimmt werden) und aus den Beispiel-Signalmustern die Referenzmuster ausgewählt bzw. abgeleitet werden. Entsprechend ist die Verwendung von Referenzmustern zweckmäßig, da Busteilnehmer anhand der Referenzmuster identifiziert werden können, diese charakterisieren die Busteilnehmer sozusagen. Hier sollte wieder darauf hingewiesen werden, dass ein „Entsprechen“ von Signalmuster und (Teilnehmer-)Referenzmuster, um letzteres beim Vergleichen zu identifizieren, auch vorliegen kann, wenn diese innerhalb vorgegebener Toleranzen übereinstimmen (dies ist insbesondere vom verwendeten Verfahren zur Bestimmung der Signalmuster abhängig, bzw. kann als Teil des jeweiligen Verfahren angesehen werden).
  • Bevorzugt umfasst das Prüfen, ob die Korrespondenz besteht, ein Vergleichen der Nachrichten-ID mit einer oder mehreren Referenzmuster-Nachrichten-IDs, die dem Teilnehmer-Referenzmuster zugeordnet sind oder werden; und ein Bestimmen, dass die Korrespondenz nicht besteht, wenn die Nachrichten-ID mit keiner der Referenzmuster-Nachrichten-IDs, die dem Teilnehmer-Referenzmuster zugeordnet sind, übereinstimmt. Diese Ausführung ermöglicht eine höhere Geschwindigkeit beim Prüfen der Korrespondenz verglichen mit dem Durchsuchen einer Liste von gespeicherten Paaren.
  • Weiter bevorzugt wird eine Teilnehmer-ID basierend auf dem Teilnehmer-Referenzmuster bestimmt, und ein oder mehrere Nachrichten-IDs, die der Teilnehmer-ID zugeordnet sind, werden dem Teilnehmer-Referenzmuster als Referenz-Nachrichten-IDs zugeordnet. Dies führt zu einer Vereinfachung, insbesondere zu einer Verringerung des Speicherplatzes für beim Prüfen der Korrespondenz benötigte Daten, wenn einem Teilnehmer mehrere Teilnehmer-Referenzmuster zugeordnet sind.
  • Bevorzugt umfasst das Prüfen, ob die Korrespondenz besteht, ein Vergleichen des Teilnehmer-Referenzmusters mit einem oder mehreren Nachrichten-Referenzmustern, die der Nachrichten-ID zugeordnet sind oder werden; und ein Bestimmen, dass die Korrespondenz nicht besteht, wenn das Teilnehmer-Referenzmuster mit keinem der Nachrichten-Referenzmustern, die der Nachrichten-ID zugeordnet sind, übereinstimmt. Einerseits ermöglicht diese Ausführung eine höhere Geschwindigkeit beim Prüfen der Korrespondenz. Zusätzlich ermöglicht diese Ausführung, dass ein Busteilnehmer das erfindungsgemäße Verfahren für bestimmte, insbesondere für den Busteilnehmer relevante, Nachrichten durchführen kann, d.h. eine Filterung zu prüfender Nachrichten basierend auf der Nachrichten-ID.
  • Weiter bevorzugt wird eine Teilnehmer-ID basierend auf der Nachrichten-ID bestimmt und der Teilnehmer-ID zugeordnete ein oder mehrere Referenzmuster (die in dem wenigstens einem Referenzmuster umfasst sind) werden der Nachrichten-ID als Nachrichten-Referenzmuster zugeordnet. Dies führt zu einer Vereinfachung, insbesondere zu einer Verringerung des Speicherplatzes für beim Prüfen der Korrespondenz benötigte Daten, wenn einem Teilnehmer eine große Zahl von Nachrichten-IDs zugeordnet ist.
  • Bevorzugt umfasst das Verfahren ein Vergleichen des Signalmusters mit wenigstens einem Referenzmuster, um ein Teilnehmer-Referenzmuster zu identifizieren, das dem Signalmuster entspricht; wobei, wenn beim Vergleichen ein Teilnehmer-Referenzmuster identifiziert werden kann, eine erste Teilnehmer-ID basierend auf der Nachrichten-ID und eine zweite Teilnehmer-ID basierend auf dem Teilnehmer-Referenzmuster bestimmt werden, und die mögliche Manipulation festgestellt wird, wenn die erste Teilnehmer-ID nicht gleich der zweiten Teilnehmer-ID ist; und wobei bevorzugt, wenn beim Vergleichen kein Teilnehmer-Referenzmuster identifiziert werden kann, die mögliche Manipulation festgestellt wird. Dies führt zu einer Vereinfachung, insbesondere zu einer Verringerung des Speicherplatzes für beim Prüfen der Korrespondenz benötigte Daten, wenn einem Teilnehmer eine große Zahl von Nachrichten-IDs zugeordnet ist, und/oder, wenn einem Teilnehmer mehrere Teilnehmer-Referenzmuster zugeordnet sind.
  • Bevorzugt umfasst das Verfahren ein Bestimmen des wenigstens einen Referenzmusters, wobei einer der Busteilnehmer wenigstens eine Beispiel-Nachricht sendet, wenigstens ein Beispiel-Spannungssignal der wenigstens einen Beispiel-Nachricht erfasst wird, und wenigstens ein Beispiel-Signalmuster aus dem erfassten wenigstens einen Beispiel-Spannungssignal gebildet wird; wobei das wenigstens eine Referenzmuster basierend auf dem wenigstens einen Beispiel-Signalmuster bestimmt wird; wobei bevorzugt dem wenigstens einem Referenz-muster eine oder mehrere Nachrichten-IDs entsprechend der wenigstens einen Beispiel-Nachricht zu-geordnet werden; und/oder wobei bevorzugt einer Nachrichten-ID der wenigstens einen Beispiel-Nachricht ein oder mehrere Referenz-muster zugeordnet werden; und/oder wobei bevorzugt dem wenigstens einen Referenzmuster eine Teilnehmer-ID des Busteilnehmers, der die wenigstens eine Beispiel-Nachricht sendet, zugeordnet wird. Der Begriff „Beispiel-Nachricht“ dient hier dazu, um Nachrichten, die für die Bestimmung des Referenzmusters verwendet werden, zu bezeichnen. Die Begriffe „Beispiel-Spannungssignale“ und „Beispiel-Signalmuster“ werden analog verwendet. Eine Beispiel-Nachricht kann eine Nachricht, die bei der normalen Kommunikation im Bussystem auftritt, oder eine Nachricht, die lediglich für die Bestimmung des Referenzmusters gesendet wird (Test-Nachricht), sein. Durch diese Vorgehensweise können für das Prüfen der Korrespondenz benötigte Daten gewonnen werden. Die gewonnenen Daten (Referenzmuster, Zuordnungen, ...) können zur späteren Verwendung beim Prüfen der Korrespondenz gespeichert werden.
  • Bevorzugt umfasst das Verfahren ein Konfigurieren des Bussystems, um die Buskonfiguration zu bestimmen, wobei wenigstens einem der Busteilnehmer eine oder mehrere Nachrichten-IDs zugeordnet werden; wobei die unterschiedlichen Busteilnehmer zugeordneten Nachrichten-IDs unterschiedlich sind; wobei jeder Busteilnehmer dazu eingerichtet ist, Nachrichten mit den ihm zugeordneten Nachrichten-IDs zu senden.
  • Bevorzugt erfolgt beim Bilden des Signalmusters ein Vergleich des Spannungssignals mit einer Vergleichsspannung. Dies kann einfach, z.B. mittels Komparatoren oder mittels geeigneter Schnittstellenmodule, implementiert werden.
  • Eine erfindungsgemäße Recheneinheit, z.B. ein Steuergerät eines Kraftfahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen. Bevorzugt ist die Recheneinheit dazu eingerichtet ist, das Prüfen, ob eine Korrespondenz besteht, für diejenigen Nachrichten durchzuführen, die eine Nachrichten-ID aufweisen, die anzeigt, dass die Nachricht für die Recheneinheit relevant ist. Die Recheneinheit ist mit dem Bussystem verbindbar und z.B. einer der Busteilnehmer sein.
  • Ein erfindungsgemäßes Bussystem umfasst mehrere Busteilnehmer, wobei wenigstens einer der Busteilnehmer eine erfindungsgemäße Recheneinheit ist. Vorzugsweise ist das Bussystem ein CAN-Bussystem.
  • Auch die Implementierung eines erfindungsgemäßen Verfahrens in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Schließlich ist ein maschinenlesbares Speichermedium vorgesehen mit einem darauf gespeicherten Computerprogramm wie oben beschrieben. Geeignete Speichermedien bzw. Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich. Ein solcher Download kann dabei drahtgebunden bzw. kabelgebunden oder drahtlos (z.B. über ein WLAN-Netz, eine 3G-, 4G-, 5G- oder 6G-Verbindung, etc.) erfolgen.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
  • Figurenliste
    • 1 zeigt einen beispielhaften Aufbau eines Bussystems mit Angreifer.
    • 2A und 2B zeigen einen idealisierten Spannungsverlauf zur Übertragung eines Bits mit dem Wert 1 und den entsprechenden tatsächlichen Spannungsverlauf.
    • 3A und 3B zeigen ein Bussystem sowie Spannungssignale zweier Busteilnehmer und daraus gewonnene Signalmuster.
    • 4 zeigt ein Ablaufdiagramm einer erfindungsgemäßen bevorzugten Ausführungsform.
  • Ausführungsform(en) der Erfindung
  • 1 stellt einen beispielhaften Aufbau eines Bussystems 2, insbesondere eines auf Differenzspannungssignalen basierenden Bussystems, wie etwa ein CAN-Bussystem, und einen Angreifer 8 dar. Das Bussystem 2 umfasst einerseits Leitungen 4a, 4b, über die die Spannungssignale übertragen werden und die über Abschlusswiderstände 5a, 5b, welche die zentrale Impedanz des Bussystems darstellen, miteinander verbunden sind und andererseits mehrere Busteilnehmer 6, 7, die mit den zwei Busleitungen 4a, 4b verbunden sind, um über den Bus miteinander zu kommunizieren. Dazu verwenden die Busteilnehmer Differenzspannungen zwischen den beiden Busleitungen, die mittels Transceivern erzeugt und ausgelesen werden. Beispiele für die Busteilnehmer 6, 7 sind Steuergräte eines Kraftfahrzeugs oder einer Maschine, die Steuerungsdaten übertragen, oder Sensoren, die Sensordaten, etwa zu Steuergeräten, übertragen. In einem der Busteilnehmer ist exemplarisch ein Transceiver bzw. Schnittstellenmodul 10 eingezeichnet, mittels dessen der Busteilnehmer Spannungssignale auf den Busleitungen erzeugen und/oder von diesen auslesen kann; selbstverständlich können auch die anderen Busteilnehmer einen solche umfassen. Ein solcher Transceiver wandelt einerseits empfangene Daten in zur Verarbeitung durch den Mikrocontroller geeignete Signale um und übermittelt diese diesem bzw. einem dortigen Schnittstellenmodul, z.B. CAN-Modul. Andererseits erhält er zu sendende Daten bzw. entsprechende Signale vom Schnittstellenmodul und erzeugt daraus Spannungen an den Busleitungen 4a, 4b, die diesen Daten gemäß der Busspezifikation entsprechen. Alternativ kann anstelle eines speziellen Schnittstellenmoduls ein generisches Modul wie beispielsweise in der DE 10 2013 210 182 A1 beschrieben, beispielsweise ein Zeitgebermodul, verwendet werden.
  • Der Begriff Busteilnehmer bezeichnet in dieser Anmeldung reguläre Busteilnehmer, denen der Zugriff auf den Bus erlaubt ist, im Gegensatz zu einem Angreifer, der unerlaubt auf den Bus zugreift.
  • Ein möglicher externer Angreifer 8, etwa ein Gerät, das ebenfalls einen Transceiver bzw. zumindest einen Transmitter oder Receiver aufweist, beispielsweise ein sog. OBD-Stecker, kann versuchen, physischen Zugang zum Bussystem mittels einer Verbindung zu den Leitungen 4a, 4b herzustellen. Somit ist der Angreifer 8 in der Lage, über den Bus übertragene Nachrichten mitzuhören bzw. die entsprechenden Spannungssignale auszulesen und/oder selbst Nachrichten zu senden bzw. entsprechende Spannungssignale zu erzeugen.
  • Neben externen Angreifern 8 kann auch der Fall auftreten, dass ein Busteilnehmer 7 von einem Angreifer manipuliert bzw. gehackt wurde. D.h. es ist dem Angreifer gelungen, vom manipulierten Busteilnehmer 7 ausgeführte (und typischerweise vom manipulierten Busteilnehmer gespeicherte) Computerprogramme zu manipulieren, z.B. indem bei einem Softwareupdate ein manipuliertes Computerprogramm aufgespielt wird. Ein solcher manipulierter Busteilnehmer 7 kann als interner Angreifer angesehen werden.
  • 2A und 2B stellen einen idealisierten Differenzspannungsverlauf 20, etwa entsprechend der CAN-Busspezifikation, der zur Übertragung eines Bits mit einem bestimmten logischen Wert dient und einen entsprechenden tatsächlichen Differenzspannungsverlauf 22 dar. Dabei ist jeweils die Differenzspannung VD gegen die Zeit t aufgetragen. Im idealen Differenzspannungsverlauf 20 ( 2A), der vom Sender erzeugt wird, liegt zunächst eine relativ hohe Differenzspannung vor (im CAN-Bus mindestens 2 V, sogenannter „dominanter Zustand“), die dann über eine fallende Flanke in eine niedrige Differenzspannung übergeht (im CAN-Bus 0 V, sogenannter „rezessiver Zustand“), um anschließend über eine steigende Flanke wieder in die hohe Differenzspannung überzugehen. Eine solche Pegelabfolge dient im CAN-Bus zur Übertragung eines Bits, das den logischen Wert 1 aufweist, wenn die Zeitspanne zwischen fallender und steigender Flanke eine gemäß der CAN-Bussystemspezifikation vorbestimmte Zeitspanne tBit beträgt.
  • Die physikalische Schicht, d.h. die Transceiver und die Busleitungen 4a, 4b zusammen mit den Busteilnehmern 6, weist jedoch elektrische Eigenschaften, insbesondere Induktivitäten und Kapazitäten, auf, die diesen idealisierten Differenzspannungsverlauf stören bzw. beeinflussen. Dies führt zu Störungen wie etwa Änderungen der Steilheit der Flanken, Reflexionen, Schwingungen im Spannungsverlauf, und Ähnlichem. Diese Störungen sind abhängig von der konkreten Realisierung der physikalischen Schicht, d.h. von der Auslegung eines tatsächlichen Bussystems (z.B. von der Länge der Leitungen, von der Anzahl der Teilnehmer und wo diese mit den Leitungen verbunden sind, von elektrischen Eigenschaften der Transceiver der Teilnehmer, usw.). Ein solcher tatsächlicher Differenzspannungsverlauf 22 ist beispielhaft in 2B dargestellt. Hier treten nach der fallenden Flanke Schwingungen 23 in der Differenzspannung auf, die auch als „Ringing“ bezeichnet werden.
  • Da die Störungen von der Auslegung des Bussystems abhängig sind, kann ein möglicher Manipulationsversuch bzw. ein möglicher unerlaubter Zugriff auf die physikalische Schicht erkannt werden, da, wenn ein weiterer Teilnehmer oder, wie in 1, ein externer Angreifer 8 mit dem Bussystem verbunden wird, die Störungen (Ringing) verändert werden. Dazu kann aus dem Spannungssignal ein Signalmuster gewonnen werden, das den Spannungsverlauf charakterisiert, und mit einem entsprechenden Referenzmuster verglichen werden. Das Signalmuster kann erhalten werden, indem das Spannungssignal mit einer Schwellenspannung verglichen wird, um Zeitpunkte im Spannungsverlauf zu erkennen, denen die Spannung unter oder über der Schwellenspannung liegt und/oder an denen die Spannung die Schwellenspannung überschreitet oder unterschreitet. Der Vergleich des Spannungssignals mit der Schwellenspannung kann z.B. durch ein Schnittstellenmodul, insbesondere ein generisches Modul, wie ein Zeitgebermodul (wie oben erwähnt) oder durch einen Komparator erfolgen. Entsprechende Verfahren sind die in den deutschen Patentanmeldungen Nr. 102020213893.1 und Nr. 102020203663.2 beschrieben.
  • Eine Möglichkeit ist eine Abtastung des Spannungssignals an bestimmten, insbesondere regelmäßig beabstandeten, Abtast-Zeitpunkten, um ein Bitmuster (als Signalmuster) zu erhalten, in welchem jedem Abtast-Zeitpunkt ein Bit bzw. ein Wert 0 oder 1 entspricht, das anzeigt, ob die Spannung zum jeweiligen Abtast-Zeitpunkt über oder unter der Schwellenspannung liegt. So erhaltene Bitmuster können mit entsprechenden Referenz-Bitmustern verglichen werden. Eine andere Möglichkeit besteht darin, die Zeitpunkte, an denen die Spannung die Schwellenspannung überschreitet bzw. unterschreitet, zu bestimmen und entweder diese selbst als Signalmuster zu verwenden (etwa in Form einer Liste der Zeitpunkte, die einer bestimmten Spannungssignalabfolge, die etwa einem gesendeten Bit entspricht, zugeordnet werden kann) oder basierend auf diesen Zeitpunkten abgeleitete Zahlenwerte als Signalmuster zu verwenden (etwa absolute und/oder relative Zeitabstände dieser Zeitpunkte oder ähnlich bestimmte Zahlenwerte).
  • Die Referenzmuster werden auf die gleiche Weise erhalten wie die Signalmuster, wobei diese zu einem Zeitpunkt gewonnen werden, an dem sichergestellt ist, dass das Bussystem nicht manipuliert ist. Beim Vergleich, ob ein Signalmuster einem Referenzmuster entspricht, kann auf Übereinstimmung innerhalb vorgegebener Toleranzen geprüft werden, die ein gewisse Varianz der Spannungssignale und ihrer Erfassung berücksichtigen. Beispielsweise können eine Verschiebung der Muster um plus oder minus ein Bit erlaubt sein, oder Toleranzen als absolute oder relative (in Prozent) zeitliche Toleranzen angegeben sein.
  • Die Störungen bzw. Schwingungen (Ringing) des Spannungssignals von unterschiedlichen Busteilnehmern sind unterschiedlich. Dies liegt an der unterschiedlichen Position von Busteilnehmern im Bussystem und an den unterschiedlichen elektromagnetischen Eigenschaften der Busteilnehmer. Die Störungen des Spannungssignals und damit auch die Signalmuster sind also charakteristisch für jeden Busteilnehmer.
  • 3A und 3B illustrieren Spannungssignale 22c, 22d (gegen die Zeit t aufgetragen) und daraus gewonnene Signalmuster 35c, 35d unterschiedlicher Busteilnehmer 6c, 6d in einem Bussystem 102. Das Bussystem 102 ist wie im Zusammenhang mit 1 erläutert aufgebaut. Das Bussystem 102 umfasst beispielhaft vier Busteilnehmer 6a, 6b, 6c, 6d, die jeweils mit Busleitungen 4a, 4b verbunden sind, wobei Abschlusswiderstände 5a, 5b vorgesehen sind. Jeder Busteilnehmer ist entsprechend einer Buskonfiguration dazu eingerichtet, Nachrichten mit bestimmten Nachrichten-IDs zu senden. Für den Busteilnehmer 6c sind diese Nachrichten-IDs 14c beispielsweise gegeben durch die Menge {ID 0×2, ID 0×10, ID 0×15, ...} und für den anderen Busteilnehmer 6d sind diese Nachrichten-IDs 14d beispielsweise gegeben durch die Menge {ID 0×7, ID 0×20, ID 0x35, ...}, wie in den Figuren eingetragen.
  • Weiterhin sind die Verläufe der Spannungssignale 22c, 22d (wie bereits in 2 eines gesendeten Bits mit logischem Wert ‚1‘ in einem CAN-Bus), wie sie beispielweise vom Busteilnehmer 6a empfangen werden, dargestellt (Differenzspannung VD). Jeweilige Signallaufwege 12c, 12d sind in der Figur ebenso angedeutet. Diese unterschiedlichen Signallaufwege 12c, 12d und eventuell unterschiedliche sonstige elektromagnetische Eigenschaften, insbesondere der sendenden Busteilnehmer 6c, 6d, resultieren in unterschiedlichen Störungen 23c, 23d im vom Busteilnehmer 6a empfangenen Spannungssignal.
  • Entsprechend einer bevorzugten Vorgehensweise werden aus den Spannungssignalen 22c, 22d durch Vergleich mit einer Schwellenspannung Vs Signalmuster (Bitmuster) 35c, 35d gebildet, wobei ein Bit den logischen Wert ‚0‘ aufweist, wenn sich zum entsprechenden Abtastzeitpunkt die Spannung des Spannungssignals über der Schwellenspannung Vs befindet, und den logischen Wert ‚1‘ aufweist, wenn sich zum entsprechenden Abtastzeitpunkt die Spannung des Spannungssignals unter der Schwellenspannung Vs befindet. Neben der Schwellenspannung Vs ist hier noch eine Auswerte-Spannungsschwelle VF eingetragen, die entsprechend der Busspezifikation (hier der CAN-Busspezifikation) dazu dient, steigende bzw. fallende Flanken von gesendeten Bits im Spannungssignal zu erkennen. Weiter sind noch Signale 24c, 24d eingezeichnet, die anzeigen, ob sich das Spannungssignal 22c, 22d über oder unter der Schwellenspannung Vs befindet.
  • Es ist klar erkennbar, dass, jeweils bezogen auf den Zeitabschnitt tBit zwischen fallender und steigender Flanke des gesendeten Bits, das Signalmuster 35c (d.h. ‚11001011... 1‘) des einen Busteilnehmers 6c unterschiedlich vom Signalmuster 35d (d.h. ‚001011...1‘) des anderen Busteilnehmers 6d ist. Entsprechende Signalmuster sind für jeden Busteilnehmer unterschiedlich und daher geeignet, den Busteilnehmer zu charakterisieren bzw. zu identifizieren. Die gezeigten Signalmuster 35c, 35d sollen Signalmuster im nicht manipulierten Zustand des Bussystems sein, d.h. es handelt sich um Referenzmuster 35c, 35d, die die jeweiligen Busteilnehmer 6c, 6d charakterisieren.
  • 4 zeigt ein Ablaufdiagramm gemäß einer bevorzugten Ausführungsform der Erfindung. Im optionalen Schritt 110 erfolgt eine Konfiguration des Bussystems, in deren Rahmen jedem Busteilnehmer eine oder mehrere Nachrichten-IDs, sogenannte Teilnehmer-Nachrichten-IDs, zugewiesen werden. Die Zuweisung erfolgt so, dass jede der Nachrichten-IDs nur einem Busteilnehmer zugewiesen wird. Die Mengen der Teilnehmer-Nachrichten-IDs verschiedener Busteilnehmer sind also disjunkt zueinander. Der Schritt 110 kann etwa während des Aufbaus bzw. Einrichtung des Bussystems und/oder während einer Programmierung der Busteilnehmer erfolgen, z.B., wenn erstmalig eine Software aufgespielt wird, oder die Software aktualisiert wird. Hier sollte noch darauf hingewiesen werden, dass sich die eindeutige Zuweisung der Nachrichten-IDs an bestimmte Busteilnehmer auf eine Teilmenge aller im Bussystem verwendeten Nachrichten-IDs beziehen kann, nämlich auf diejenigen, für die eine eindeutige Zuweisung möglich ist, oder einen Teil davon. Z.B. kann sich die Zuweisung auf Nachrichten eines bestimmten Nachrichten-Typs beziehen kann. Da der Nachrichten-Typ in der Nachricht ebenfalls angezeigt wird, kann dies als Teil der Nachrichten-ID angesehen werden. Beispielsweise weist gemäß CAN-Busspezifikation ein REMOTE FRAME (mit dem ein Busteilnehmer das Senden eines Datenframes anfordern kann) den gleichen sogenannten IDENTIFIER auf wie ein DATA FRAME, allerdings unterscheiden sich die beiden durch ein sogenanntes RTR-BIT. Im Verfahren werden dann diejenigen (oder ein Teil davon) zugewiesen, für die das RTR-BIT anzeigt, dass es sich um ein DATA FRAME handelt bzw., anders formuliert, IDENTIFIER und RTR-BIT werden zusammen als Nachrichten-ID angesehen, wobei das Verfahren auf die Teilmenge (oder einen Teil davon) aller dieser zusammengesetzten Nachrichten-IDs angewandt wird, für die das RTR-BIT ein DATA FRAME anzeigt. Auch könnte ein Busteilnehmer das Verfahren nur auf Grundlage von Nachrichten, die für ihn bestimmt oder relevant sind (für den Busteilnehmer an der Nachrichten-ID erkennbar), implementieren.
  • In Schritt 120 werden ein oder mehrere Referenzmuster für jeden der Busteilnehmer bestimmt. Dazu wird jeder der Busteilnehmer (bei nicht manipuliertem Bussystem) veranlasst, Nachrichten zu senden, anhand derer Spannungssignale, z.B. wie im Zusammenhang mit den 2, 3A, 3B beschrieben, Signalmuster gebildet werden, aus welchen Referenzmuster abgeleitet bzw. bestimmt werden, die gespeichert werden (selbstverständlich kann hier ein mehrfaches Senden und Bilden von Signalmustern erfolgen, um sicherzustellen, dass die Referenzmuster so bestimmt werden, dass alle Signalmuster als zulässig eingeschlossen sind). Dies kann beispielsweise während des Aufbaus bzw. der Einrichtung des Bussystems erfolgen und kann als Teil der Konfiguration des Bussystems angesehen werden. Das Erfassen der Spannungssignale, um die Referenzmuster zu bilden, erfolgt dabei vorzugsweise durch den oder die Busteilnehmer, die später auch das Verfahren zum Erkennen einer Manipulation des Bussystems implementieren, d.h. insbesondere ein entsprechendes Computerprogramm ausführen. Dies ist zweckmäßig, da der erfasste Verlauf der Spannungssignale (ein und desselben Senders) vom Busteilnehmer, der diese erfasst, abhängig sein kann, etwa aufgrund der Position des erfassenden Busteilnehmers im Bussystem. Auch kann optional die Maschine, in der das Bussystem eingebaut ist, in während des Schritts 120 Betrieb sein, falls diese beispielsweise elektromagnetischen Störungen erzeugt.
  • Die Schritte 120 und 110 betreffen die Einrichtung des Bussystems, erfolgen also üblicherweise vor dem bestimmungsgemäßen Einsatz des Bussystems. Der Schritt 120 und/oder der Schritt 110 sollte erneut durchgeführt werden, wenn Teilnehmer zum Bussystem hinzugefügt oder entfernt werden. Die nachfolgenden Schritte erfolgen während des normalen Betriebs bzw. Einsatzes des Bussystems, d.h. während des Betriebs der Vorrichtung, z.B. ein Kraftfahrzeug oder eine andere Maschine, in die das Bussystem zur Datenkommunikation eingebaut ist.
  • In Schritt 130 wird das Spannungssignal einer auf dem Bus gesendeten Nachricht erfasst, z.B. durch ein oder mehrere Schnittstellenmodule oder generische Module von Busteilnehmern.
  • Basierend auf dem Spannungssignal wird in Schritt 140 eine Nachrichten-ID der Nachricht bestimmt und in Schritt 150 ein Signalmuster, das Busteilnehmer charakterisiert, bestimmt; wie bereits erläutert.
  • In Schritt 160 wird geprüft, ob die Nachrichten-ID und das Signalmuster zueinander korrespondieren. Hier sind verschiedene Vorgehensweisen denkbar. Beispielsweise können bei der Konfiguration des Bussystems Paare aus jeweils einem Nachrichten-ID und einem Signalmuster, nämlich einem in Schritt 120 bestimmten Referenzmuster, gebildet und gespeichert werden, wobei das Referenzmuster zu demjenigen Busteilnehmer gehört, der eingerichtet ist, Nachrichten mit der im jeweiligen Paar umfassten Nachrichten-ID zu senden. Diese gespeicherten Paare können dann durchsucht werden und, wenn ein passendes Paar gefunden wird, dessen Referenzmuster dem Signalmuster entspricht und das die Nachrichten-ID, die bestimmt wurde, umfasst, wird festgestellt, dass eine Korrespondenz besteht. Andernfalls besteht keine Korrespondenz.
  • Eine andere Möglichkeit ist, zu jeder Nachrichten-ID diejenigen Referenzmuster zuzuordnen und zu speichern, die dem Busteilnehmer entsprechen, der mit der jeweiligen Nachrichten-ID Nachrichten sendet. Beim Prüfen der Korrespondenz wird dann das Signalmuster mit den Referenzmustern verglichen, die der Nachrichten-ID der Nachricht zugeordnet sind und, wenn eines dieser Referenzmuster dem Signalmuster entspricht, festgestellt, dass eine Korrespondenz besteht bzw., wenn dies nicht der Fall ist, festgestellt, dass keine Korrespondenz besteht. Gemäß einer anderen Möglichkeit können zu jedem Referenzmuster die Nachrichten-IDs von Nachrichten, die das Referenzmuster aufweisen, bestimmt und gespeichert werden. Da die Referenzmuster busteilnehmer-spezifisch sind, können für jeden Busteilnehmer die Referenzmuster bestimmt werden und diesen die Nachrichten-IDs zugeordnet werden. In Schritt 160 wird bei dieser Möglichkeit das Signalmuster mit den Referenzmustern verglichen, um ein Referenzmuster zu identifizieren bzw. zu finden, dass dem Signalmuster entspricht, und dann die Nachrichten-ID der erfassten Nachricht mit den Nachrichten-IDs, die dem gefundenen Referenzmuster zu geordnet sind, verglichen. Wenn keine Übereinstimmung gefunden wird, besteht keine Korrespondenz. Natürlich besteht auch keine Korrespondenz, wenn kein Referenzmuster gefunden werden kann, dass dem Signalmuster entspricht. Gemäß einer weiteren Möglichkeit weist jeder der Busteilnehmer eine Busteilnehmer-ID auf. Es kann dann jeder Nachrichten-ID eine Busteilnehmer-ID zugeordnet werden und jedem Referenzmuster ein Busteilnehmer-ID zugeordnet werden. Beim Prüfen, ob eine Korrespondenz besteht, wird dann aus der Nachrichten-ID die zugehörige Busteilnehmer-ID bestimmt, als Nachrichten-Busteilnehmer-ID bezeichnet. Ebenso wird ein Referenzmuster identifiziert, das dem Signalmuster entspricht, und aus diesem die zugehörige Busteilnehmer-ID bestimmt, als Referenzmuster-Busteilnehmer-ID bezeichnet. Wenn die Nachrichten-Busteilnehmer-ID nicht gleich der Referenzmuster-Busteilnehmer-ID ist, besteht keine Korrespondenz, andernfalls besteht eine Korrespondenz. Klarerweise besteht ebenso keine Korrespondenz, wenn keine Busteilnehmer-ID gefunden werden kann, die der Nachrichten-ID zugeordnet ist, und/oder wenn kein Referenzmuster gefunden werden kann, das der Nachrichten-ID zugeordnet ist.
  • Wenn keine Korrespondenz zwischen der Nachrichten-ID und dem Signalmuster besteht, wird in Schritt 170 festgestellt, dass eine mögliche Manipulation des Bussystems, insbesondere eines seiner Busteilnehmer, vorliegt. Es können dann einerseits Maßnahmen eingeleitet werden, um das Bussystem bzw. die Vorrichtung, in der dieses verwendet wird, möglichst vor Schäden zu sichern, falls tatsächlich eine Manipulation vorliegen sollte, z.B. könnten Teile des Bussystems abgeschaltet werden oder Nachrichten, mit der Nachrichten-ID und/oder dem Signalmuster (oder entsprechendem Referenzmuster) der Nachricht, mit der die mögliche Manipulation festgestellt wurde, im Bussystem ignoriert werden. Andererseits können zusätzlich oder alternativ Maßnahmen eingeleitet werden, um Festzustellen, ob eine tatsächliche Manipulation vorliegt, z.B. könnte der Speicher des Busteilnehmers, der die Nachricht, mit der die mögliche Manipulation festgestellt wurde, gesendet hat (feststellbar anhand der Nachrichten-ID und/oder dem Signalmuster bzw. dem diesen entsprechenden Referenzmuster der Nachricht) untersucht werden, um festzustellen, ob darauf gespeicherte Computerprogramme und/oder Daten manipuliert wurden.
  • Wenn andererseits eine Korrespondenz zwischen der Nachrichten-ID und dem Signalmuster besteht, kann zu Schritt 130 zurückgesprungen werden (Pfeil 165) und das Verfahren für eine weitere Nachricht wiederholt werden.
  • Die Schritte 130, 140, 150, 160, 170 können durch einen Busteilnehmer erfolgen, der dazu eingerichtet ist, das erfindungsgemäße Verfahren durchzuführen. Dies kann wenigstens ein regulärer Busteilnehmer oder ein eigens zur Überwachung vorgesehener Busteilnehmer sein. Insbesondere kann vorgesehen sein, dass wenigstens einer der Busteilnehmer dazu eingerichtet ist, nach Bestimmen der Nachrichten-ID (Schritt 130) die Schritte 150, 160, 170 und/oder soweit möglich Schritt 140 (je nach verwendeter Methode zum Bestimmen des Signalmusters erfolgt dieser vor oder parallel zu Schritt 130) nur für an diesen Busteilnehmer gerichtete bzw. für diesen Busteilnehmer relevante Nachrichten, was anhand der Nachrichten-ID erkennbar ist, durchzuführen, oder anders formuliert, ist der wenigstens eine der Busteilnehmer dazu eingerichtet, nach Bestimmen der Nachrichten-ID (Schritt 130) die Schritte 150, 160, 170 und/oder soweit möglich Schritt 140 nicht für Nachrichten durchzuführen, die nicht an diesen Busteilnehmer gerichtet bzw. für diesen Busteilnehmer relevant sind.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102013210182 A1 [0030]

Claims (14)

  1. Verfahren zum Erkennen einer Manipulation eines Bussystems (2, 102) mit mehreren Busteilnehmern (6a, 6b, 6c, 6d), umfassend Erfassen (130) eines Spannungssignals (22c, 22d) einer auf dem Bussystem (2, 102) gesendeten Nachricht; Bilden (140) eines Signalmusters (35c, 35d) aus dem erfassten Spannungssignal (22c, 22d); Bestimmen (150) einer Nachrichten-Identifikation (14c, 14d) der Nachricht; Prüfen (160), ob eine Korrespondenz zwischen dem Signalmuster (35c, 35d) und der Nachrichten-Identifikation (14c, 14d) entsprechend einer Buskonfiguration besteht; und Feststellen (170) einer möglichen Manipulation, wenn keine Korrespondenz besteht.
  2. Verfahren nach einem der vorstehenden Ansprüche, umfassend Vergleichen des Signalmusters mit wenigstens einem Referenzmuster, um ein Teilnehmer-Referenzmuster zu identifizieren, das dem Signalmuster entspricht; wobei, wenn beim Vergleichen ein Teilnehmer-Referenzmuster identifiziert werden kann, das Prüfen, ob die Korrespondenz besteht, basierend auf dem Teilnehmer-Referenzmuster erfolgt; und wobei bevorzugt, wenn beim Vergleichen kein Teilnehmer-Referenzmuster identifiziert werden kann, die mögliche Manipulation festgestellt wird (170).
  3. Verfahren nach Anspruch 2, wobei das Prüfen, ob die Korrespondenz besteht, umfasst: Vergleichen der Nachrichten-Identifikation mit einer oder mehreren Referenzmuster-Nachrichten-Identifikationen, die dem Teilnehmer-Referenzmuster zugeordnet sind oder werden; und Bestimmen, dass die Korrespondenz nicht besteht, wenn die Nachrichten-Identifikation (14c, 14d) mit keiner der einen oder den mehreren Referenzmuster-Nachrichten-Identifikationen, die dem Teilnehmer-Referenzmuster zugeordnet sind, übereinstimmt.
  4. Verfahren nach Anspruch 3, wobei eine Teilnehmer-Identifikation basierend auf dem Teilnehmer-Referenzmuster bestimmt wird, und der Teilnehmer-Identifikation zugeordnete ein oder mehrere Nachrichten-Identifikationen (14c, 14d) dem Teilnehmer-Referenzmuster als Referenz-Nachrichten-Identifikationen zugeordnet werden.
  5. Verfahren nach Anspruch 2, wobei das Prüfen, ob die Korrespondenz besteht, umfasst: Vergleichen des Teilnehmer-Referenzmusters mit einem oder mehreren Nachrichten-Referenzmustern, die der Nachrichten-Identifikation zugeordnet sind oder werden; und Bestimmen, dass die Korrespondenz nicht besteht, wenn das Teilnehmer-Referenzmuster mit keinem des einen oder der mehreren Nachrichten-Referenzmustern, die der Nachrichten-Identifikation (14c, 14d) zugeordnet sind, übereinstimmt.
  6. Verfahren nach Anspruch 5, wobei eine Teilnehmer-Identifikation basierend auf der Nachrichten-Identifikation (14c, 14d) bestimmt wird; und der Teilnehmer-Identifikation zugeordnete ein oder mehrere Referenzmuster der Nachrichten-Identifikation als Nachrichten-Referenzmuster zugeordnet werden.
  7. Verfahren nach Anspruch 1, umfassend Vergleichen des Signalmusters mit wenigstens einem Referenzmuster, um ein Teilnehmer-Referenzmuster zu identifizieren, das dem Signalmuster entspricht; wobei, wenn beim Vergleichen ein Teilnehmer-Referenzmuster identifiziert werden kann, eine erste Teilnehmer-Identifikation basierend auf der Nachrichten-Identifikation und einer zweite Teilnehmer-Identifikation basierend auf dem Teilnehmer-Referenzmuster bestimmt werden, und die mögliche Manipulation festgestellt wird, wenn die erste Teilnehmer-Identifikation nicht gleich der zweiten Teilnehmer-Identifikation ist; und wobei bevorzugt, wenn beim Vergleichen kein Teilnehmer-Referenzmuster identifiziert werden kann, die mögliche Manipulation festgestellt wird.
  8. Verfahren nach einem der vorstehenden Ansprüche 2 bis 7, umfassend Bestimmen des wenigstens einen Referenzmusters; wobei einer der Busteilnehmer (6a, 6b, 6c, 6d) wenigstens eine Beispiel-Beispiel-Nachricht sendet, wenigstens ein Beispiel-Beispiel-Spannungssignal der wenigstens einen Beispiel-Nachricht erfasst wird, und wenigstens ein Beispiel-Signalmuster aus dem erfassten wenigstens einen Beispiel-Spannungssignal gebildet wird; wobei das wenigstens eine Referenzmuster basierend auf dem wenigstens einen Beispiel-Signalmuster bestimmt wird; wobei bevorzugt dem wenigstens einen Referenzmuster eine oder mehrere Nachrichten-Identifikationen (14c, 14d) entsprechend der wenigstens einen Beispiel-Nachricht zugeordnet werden; und/oder wobei bevorzugt einer Nachrichten-Identifikation der wenigstens einen Beispiel-Nachricht ein oder mehrere Referenzmuster zugeordnet werden; und/oder wobei bevorzugt dem wenigstens einem Referenzmuster eine Teilnehmer-Identifikation des Busteilnehmers, der die wenigstens eine Beispiel-Nachricht sendet, zugeordnet wird.
  9. Verfahren nach einem der vorstehenden Ansprüche, umfassend Konfigurieren (110) des Bussystems (2, 102), um die Buskonfiguration zu bestimmen, wobei wenigstens einem der Busteilnehmer (6c, 6d) eine oder mehrere Nachrichten-Identifikationen (14c, 14d) zugeordnet werden; wobei die unterschiedlichen Busteilnehmer (6c, 6d) zugeordneten Nachrichten-Identifikationen unterschiedlich sind; wobei jeder Busteilnehmer dazu eingerichtet ist, Nachrichten mit den ihm zugeordneten Nachrichten-Identifikationen (14c, 14d) zu senden.
  10. Verfahren nach einem der vorstehenden Ansprüche, wobei beim Bilden des Signalmusters (35c, 35d) ein Vergleich des Spannungssignals (22c, 22d) mit einer Vergleichsspannung (Vs) erfolgt.
  11. Recheneinheit, die dazu eingerichtet ist, alle Verfahrensschritte eines Verfahrens nach einem der vorstehenden Ansprüche durchzuführen; wobei die Recheneinheit bevorzugt dazu eingerichtet ist, das Prüfen, ob eine Korrespondenz besteht, für diejenigen Nachrichten durchzuführen, die eine Nachrichten-Identifikation (14c, 14d) aufweisen, die anzeigt, dass die Nachricht für die Recheneinheit relevant ist.
  12. Bussystem (2, 102), umfassend mehrere Busteilnehmer (6a, 6b, 6c,6d), wobei wenigstens einer der Busteilnehmer eine Recheneinheit nach Anspruch 11 ist.
  13. Computerprogramm, das eine Recheneinheit dazu veranlasst, alle Verfahrensschritte eines Verfahrens nach einem der Ansprüche 1 bis 10 durchzuführen, wenn es auf der Recheneinheit ausgeführt wird.
  14. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 13.
DE102021210429.0A 2021-09-20 2021-09-20 Verfahren zum Erkennen einer Manipulation eines Bussystems Pending DE102021210429A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102021210429.0A DE102021210429A1 (de) 2021-09-20 2021-09-20 Verfahren zum Erkennen einer Manipulation eines Bussystems
CN202211135362.2A CN115842694A (zh) 2021-09-20 2022-09-19 用于识别对总线系统的操纵的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021210429.0A DE102021210429A1 (de) 2021-09-20 2021-09-20 Verfahren zum Erkennen einer Manipulation eines Bussystems

Publications (1)

Publication Number Publication Date
DE102021210429A1 true DE102021210429A1 (de) 2023-03-23

Family

ID=85383766

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021210429.0A Pending DE102021210429A1 (de) 2021-09-20 2021-09-20 Verfahren zum Erkennen einer Manipulation eines Bussystems

Country Status (2)

Country Link
CN (1) CN115842694A (de)
DE (1) DE102021210429A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013210182A1 (de) 2013-05-29 2014-12-04 Robert Bosch Gmbh Verfahren zur Bereitstellung einer generischen Schnittstelle sowie Mikrocontroller mit generischer Schnittstelle

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013210182A1 (de) 2013-05-29 2014-12-04 Robert Bosch Gmbh Verfahren zur Bereitstellung einer generischen Schnittstelle sowie Mikrocontroller mit generischer Schnittstelle

Also Published As

Publication number Publication date
CN115842694A (zh) 2023-03-24

Similar Documents

Publication Publication Date Title
DE102017208547A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102020124163A1 (de) Verifizierung von fahrzeugdaten
DE112015006541T5 (de) Angriffsdetektionsvorrichtung
DE102017213119A1 (de) Verfahren und Vorrichtung zum Ermitteln von Anomalien in einem Kommunikationsnetzwerk
DE102019207423A1 (de) Verfahren und System zur Erfassung eingekoppelter Nachrichtenanomalien
EP3418133A1 (de) Verfahren zum betreiben einer passiven funkbasierten schliessvorrichtung und passive funkbasierte schliessvorrichtung
DE102017200826A1 (de) Verfahren zum Betreiben einer Überwachungsvorrichtung eines Datennetzwerks eines Kraftfahrzeugs sowie Überwachungsvorrichtung, Steuergerät und Kraftfahrzeug
DE112016004438T5 (de) Bordkommunikationssystem
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
EP3682610A1 (de) Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102018208118A1 (de) Verfahren und Vorrichtung zum Authentifizieren einer über einen Bus übertragenen Nachricht
DE102016214279A1 (de) Verfahren und Vorrichtung zum Betreiben eines Bussystems
DE112014003345B4 (de) Datenausschlussvorrichtung
EP3641231A1 (de) Verfahren und vorrichtung zur überwachung einer datenkommunikation
DE102017208551A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102021210429A1 (de) Verfahren zum Erkennen einer Manipulation eines Bussystems
EP2618226B1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
DE102020214099A1 (de) Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE102020213893A1 (de) Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE102017209806A1 (de) Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
DE102017208545A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102020214945A1 (de) Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
DE112019002569T5 (de) Fahrzeuggebundenes Kommunikationssystem, Bestimmungseinrichtung, Kommunikationseinrichtung, Bestimmungsverfahren und Computerprogramm
DE102018206522A1 (de) Vorrichtung und Verfahren zum Auswerten eines über ein Bussystem empfangbaren Empfangssignals

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000