DE102021213666A1 - Verfahren und Computerprogramm zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs, Steuergerät-System und computerlesbares Medium - Google Patents

Verfahren und Computerprogramm zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs, Steuergerät-System und computerlesbares Medium Download PDF

Info

Publication number
DE102021213666A1
DE102021213666A1 DE102021213666.4A DE102021213666A DE102021213666A1 DE 102021213666 A1 DE102021213666 A1 DE 102021213666A1 DE 102021213666 A DE102021213666 A DE 102021213666A DE 102021213666 A1 DE102021213666 A1 DE 102021213666A1
Authority
DE
Germany
Prior art keywords
test signal
control unit
property
manipulation
motor vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021213666.4A
Other languages
English (en)
Inventor
Mohammad Alsharif
Istvan Hegedues-Bite
Hubert Bichelmeier
Bastian Hubracht
Gowtham Perumalsamy
Ilker Bagci
Timm Muntel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102021213666.4A priority Critical patent/DE102021213666A1/de
Publication of DE102021213666A1 publication Critical patent/DE102021213666A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation eines Steuergeräts (22, 24, 26, 30, 32, 34, 36) eines Kraftfahrzeugs (20) oder einer Kommunikationsstrecke zwischen mindestens zwei Steuergeräten (22, 24, 26, 30, 32, 34, 36) des Kraftfahrzeugs (20). Das Verfahren weist auf: Erzeugen eines Testsignals mittels eines ersten Steuergeräts (22) eines ersten Kraftfahrzeugs (20); Senden des Testsignals an ein zweites Steuergerät (24); Empfangen eines Prüfsignals des zweiten Steuergeräts (24), das das zweite Steuergerät (24) in Reaktion auf das Testsignal erzeugt; Ermitteln mindestens einer Eigenschaft des Prüfsignals anhand des empfangenen Prüfsignals; Prüfen, ob die ermittelte Eigenschaft des Prüfsignals einer vorgegebenen Eigenschaft des Prüfsignals entspricht; und Erkennen der Manipulation des ersten und/oder zweiten Steuergeräts (22, 24) oder der Kommunikationsstrecke, wenn die ermittelte Eigenschaft der vorgegebenen Eigenschaft nicht entspricht.

Description

  • Die Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs oder einer Kommunikationsstrecke zwischen mindestens zwei Steuergeräten des Kraftfahrzeugs, ein Steuergerät-System für das Kraftfahrzeug, ein Computerprogramm zum Erkennen der Manipulation des Steuergeräts des Kraftfahrzeugs oder der Kommunikationsstrecke zwischen mindestens zwei Steuergeräten des Kraftfahrzeugs, und ein computerlesbares Medium, auf dem das Computerprogramm gespeichert ist.
  • Heutzutage weisen Kraftfahrzeuge mindestens ein Steuergerät, in der Regel ein Steuergerät-System mit zwei oder mehr Steuergeräten auf. Die Steuergeräte dienen zum Steuern entsprechender Komponenten des Kraftfahrzeugs. Beispielsweise gibt es Steuergeräte, die zum Steuern eines Antriebsaggregats des Kraftfahrzeugs, beispielsweise eines Verbrennungsmotors und/oder eines Elektromotors, dienen, oder Steuergeräte, mit deren Hilfe eine oder mehrere Sicherheits- und/oder Komfortfunktionen des Kraftfahrzeugs gesteuert werden, wie beispielsweise eine ABS-Steuerung bzw. eine Klimaanlagensteuerung. Die Steuergeräte können im Kraftfahrzeug über ein, zwei oder mehr Kommunikationsstrecken miteinander verbunden sein. Die Kommunikationsstrecken können ein, zwei oder mehr der Steuergeräte aufweisen. Beispielsweis kann eine Kommunikationsstrecke zwischen zwei Steuergeräten ein drittes Steuergerät aufweisen. Die Steuergeräte und/oder die Kommunikationsstrecken können ein Kommunikationsnetz bilden oder darauf basieren, wobei das Kommunikationsnetz beispielsweise einen Kommunikationsbus des Kraftfahrzeugs umfassen kann. Somit können die Steuergeräte über die Kommunikationsstrecken und/oder das durch sie gebildete Netzwerk ihre Datenkommunikation durchführen. Damit diese Komponenten, insbesondere die Antriebsabriebaggregate, Sicherheitsfunktionen und/oder Komfortfunktionen, des Kraftfahrzeugs zuverlässig und einwandfrei funktionieren, ist es wichtig, dass die Steuergeräte wie vom Hersteller beabsichtigt, getestet und zugelassen funktionieren und über die vom Hersteller beabsichtigten, getesteten und zugelassenen Kommunikationsstrecken miteinander kommunizieren.
  • Es ist bekannt, dass immer wieder aufgrund unterschiedlicher Motivationen versucht wird, Steuergeräte von Kraftfahrzeugen zu manipulieren. Beispielsweise wird beim sogenannten „Chip-Tuning“ auf Steuergeräte, die die Antriebsaggregate steuern, unerlaubt Zugriff genommen, und zwar derart, dass die entsprechenden Antriebsaggregate gegenüber einem Normalbetrieb eine größere Leistung zur Verfügung stellen und/oder eine höhere Endgeschwindigkeit ermöglichen.
  • Darüber hinaus ist es heutzutage bereits möglich, auf die Steuergeräte von außen zuzugreifen, beispielsweise mittels einer lizenzierten Software und einer entsprechenden Schnittstelle. Diese Zugriffsmöglichkeit ist bereitgestellt, damit Fehlerspeicher ausgelesen, Fehlermeldungen gelöscht, Diagnosetools angewendet und die Steuergeräte bezüglich ihrer Software aktualisiert werden können. Darüber hinaus nimmt die Kommunikationsfähigkeit dieser Steuergeräte, insbesondere über WLAN oder Internet, mit zunehmender Entwicklung stetig zu. Damit einher geht jedoch auch eine erhöhte Gefahr, dass Dritte ungewollt auf die Steuergeräte zugreifen und diese manipulieren.
  • Ferner können beispielsweise Laufzeiten von Signalen manipuliert werden, indem eine oder mehrere Kommunikationsstrecken, die beispielsweise eine, zwei oder mehr Leitungen zwischen den Steuergeräten aufweisen, manipuliert werden, beispielsweise durch Austausch der entsprechenden Leitung. Beispielsweise können Laufzeiten verlängert werden, indem Leitungen durch längere Leitungen ersetzt werden. Alternativ oder zusätzlich können Laufzeiten verkürzt werden, indem Kupferleitungen durch Glasfaserleitungen ersetzt werden.
  • Es gibt bereits viele Ansätze, derartige ungewollte Manipulationen der Steuergeräte und/oder der Kommunikationsstrecken zwischen den Steuergeräten zu unterbinden und/oder zu erkennen. Häufig sind die entsprechenden Maßnahmen jedoch sehr komplex und teuer und/oder führen zu einer Nutzbarkeit der Steuergeräte, die gegenüber einer aufgrund des Fortschritts der Technik theoretisch möglichen Nutzbarkeit stark eingeschränkt ist.
  • Es ist Aufgabe der Erfindung, ein Verfahren zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs und/oder einer Kommunikationsstrecke zwischen zwei Steuergeräten des Kraftfahrzeugs bereitzustellen, das zuverlässig und auf einfache Weise und/oder kostengünstig implementierbar und/oder durchführbar ist.
  • Diese Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche gelöst. Weitere Ausführungsformen der Erfindung ergeben sich aus den abhängigen Ansprüchen und aus der folgenden Beschreibung.
  • Ein Aspekt der Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs oder einer Kommunikationsstrecke zwischen mindestens zwei Steuergeräten. Das Verfahren weist auf: Erzeugen eines Testsignals mittels eines ersten Steuergeräts eines ersten Kraftfahrzeugs; Senden des Testsignals an ein zweites Steuergerät; Empfangen mindestens eines Prüfsignals, das dem Testsignal an einem Eingang des zweiten Steuergeräts entspricht oder das das zweite Steuergerät in Reaktion auf das Testsignal erzeugt; Ermitteln mindestens einer Eigenschaft des Prüfsignals anhand des empfangenen Prüfsignals; Prüfen, ob die ermittelte Eigenschaft des Prüfsignals einer vorgegebenen Eigenschaft des Prüfsignals entspricht; und Erkennen der Manipulation des ersten und/oder zweiten Steuergeräts oder der Kommunikationsstrecke zwischen den beiden Steuergeräten, wenn die ermittelte Eigenschaft der vorgegebenen Eigenschaft nicht entspricht.
  • Ein weiterer Aspekt der Erfindung betrifft ein Steuergerät für ein Kraftfahrzeug, das einen Prozessor und einen Speicher aufweist, die dazu ausgebildet sind, das im Vorhergehenden erläuterte Verfahren abzuarbeiten.
  • Ein weiterer Aspekt der Erfindung betrifft ein Computerprogramm zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs oder einer Kommunikationsstrecke zwischen mindestens zwei Steuergeräten, das bewirkt, dass das Steuergerät das im Vorhergehenden erläuterte Verfahren abarbeitet.
  • Ein Aspekt der Erfindung betrifft ein computerlesbares Medium, auf dem das Computerprogramm gespeichert ist. Das computerlesbare Medium kann dabei eine Harddisk, ein USB-Speichergerät, ein RAM, ein ROM, ein EPROM oder ein FLASH-Speicher sein. Das computerlesbare Medium kann auch ein Datenkommunikationsnetzwerk, wie beispielsweise das Internet, das den Download eines Programmcodes ermöglicht, oder eine Cloud sein. Unter einer Cloud wird in dieser Beschreibung eine internetbasierte Bereitstellung von Speicherplatz, Rechenleistung oder Anwendungssoftware verstanden. Ein Cloud-basiertes Computerprogramm kann eine Verarbeitungslogik und Datenspeicherung zwischen zwei verschiedenen Systemen ausführen, insbesondere client- und serverseitig. Ein Teil der Verarbeitung kann somit auf einem lokalen Steuergerät durchgeführt werden und ein anderer Teil kann auf einem Remote-Server durchgeführt werden.
  • Es ist zu verstehen, dass Merkmale des Verfahrens so wie obenstehend und untenstehend beschrieben auch Merkmale des Steuergeräts, des Computerprogramms und/oder des computerlesbaren Mediums sein können und umgekehrt.
  • Das Erzeugen des Testsignals, das Senden des Testsignals an das zweite Steuergerät und das Prüfen des entsprechenden Prüfsignals ermöglichen auf einfache Weise, eine Manipulation des zweiten Steuergeräts oder der Kommunikationsstrecke zwischen den beiden Steuergeräten zuverlässig zu erkennen. Insbesondere führen Manipulationen von Steuergeräten in der Regel zu einer Beeinflussung einer Signalverarbeitung in dem zweiten Steuergerät. Außerdem können Manipulationen von Kommunikationsstrecken zwischen Steuergeräten zu einer Beeinflussung der über die entsprechenden Kommunikationsstrecken übertragenen Signale führen. Diese Beeinflussungen spiegeln sich in einer oder mehreren Eigenschaften des empfangenen Prüfsignals, die von entsprechenden einen bzw. mehreren vorgegeben Eigenschaften des Prüfsignals abweichen, wider. Das Erkennen solcher Abweichungen ist dann repräsentativ für die entsprechende Beeinflussung der Signalverarbeitung und damit für die entsprechende Manipulation. Die vorgegebene Eigenschaft kann auch als erwartete Eigenschaft bezeichnet werden.
  • Das Verfahren kann beispielsweise während eines Betriebs des Kraftfahrzeugs permanent und/oder immer wieder erneut abgearbeitet werden. Alternativ dazu kann das Verfahren zu festgelegten Zeitpunkten und/oder Situationen, beispielsweise beim Starten und/oder Stoppen des Kraftfahrzeugs, abgearbeitet werden. Das Verfahren kann beispielsweise von dem ersten Steuergerät und/oder von einem Manipulationserkennungsmodul durchgeführt werden. Das Manipulationserkennungsmodul kann Software und/oder Hardware umfassen. Beispielsweise kann das Manipulationserkennungsmodul ein Softwaremodul sein, das auf einem Speicher des ersten Steuergeräts gespeichert ist und/oder von einem Prozessor des ersten Steuergeräts abgearbeitet wird. Alternativ dazu kann das Manipulationserkennungsmodul eine von dem ersten Steuergerät unabhängige Vorrichtung mit einem eigenen Speicher und einem eigenen Prozessor sein, der mit dem ersten Steuergerät, dem zweiten Steuergerät und gegebenenfalls einem, zwei oder mehr weiteren Steuergeräten kommuniziert. Ferner kann das Manipulationserkennungsmodul ein Softwaremodul sein, das auf einem Speicher gespeichert ist und von einem Prozessor abgearbeitet wird, die in einem weiteren Steuergerät des Kraftfahrzeugs implementiert sind. Das erste Steuergerät, das zweite Steuergerät und gegebenenfalls ein, zwei oder mehr weitere Steuergeräte können beispielsweise Steuergeräte zum Steuern eines Antriebs des Kraftfahrzeugs, einer Komfortfunktion und/oder einer Sicherheitsfunktion des Kraftfahrzeugs sein. Die Steuergeräte bilden ein Steuergerät-System. Die Steuergeräte und gegebenenfalls das Manipulationserkennungsmodul können über die Kommunikationsstrecken kabelgebunden und/oder kabellos miteinander verbunden sein und/oder miteinander kommunizieren, insbesondere Daten untereinander austauschen. Somit bilden die Steuergeräte und die Kommunikationsstrecken ein Datenkommunikationsnetzwerk, über das sie ihre Datenkommunikation durchführen können. Die Kommunikationsstrecken können kabelgebunden und/oder kabellos ausgebildet sein.
  • Die Kommunikationsstrecke kann kabelgebunden oder kabellos sein. Die kabelgebundene Kommunikationsstrecke oder der kabelgebundene Teil der Kommunikationsstrecke kann beispielsweise eine Kupferleitung, eine Glasfaserleitung oder eine PLC-Leitung (Power Line Communication) aufweisen. Die kabellose Kommunikationsstrecke oder der kabellose Teil der Kommunikationsstrecke kann beispielsweise WLAN oder Funk, beispielsweise Bluetooth und/oder Mobilfunk aufweisen. Die Manipulation an der Kommunikationsstrecke kann z.B. ein Verlängern oder Verkürzen der entsprechenden Leitung, ein Austausch der Leitung und/oder eine Materialänderung der Leitung, beispielsweise Aluminium oder Glasfaser statt Kupfer, sein. Optional können eine, zwei oder mehr der Kommunikationsstrecken ein, zwei oder mehr Steuergeräte aufweisen. Beispielsweise kann in einem Fall, bei dem das Testsignal über ein weiteres Steuergerät von dem ersten zu dem zweiten Steuergerät gesendet wird, dieses weitere Steuergerät ein Teil der Kommunikationsstrecke zwischen dem ersten und zweiten Steuergerät sein.
  • Das Testsignal kann ein eigens für den Zweck des Erkennens der Manipulation erzeugtes Testsignal oder ein beliebiges anderes Signal sein, das von dem ersten Steuergerät zu dem zweiten Steuergerät gesendet wird. Beispielsweise kann das Testsignal ein Kommunikationssignal und/oder ein Datenpaket sein. Somit kann jegliches von dem ersten Steuergerät erzeugte Signal als Testsignal dienen und im Rahmen dieser Anmeldung als Testsignal bezeichnet werden, das von dem ersten Steuergerät zu dem zweiten Steuergerät gesendet wird und das zu einem Prüfsignal führt, das zum Erkennen der Manipulation mittels des im Vorhergehenden erläuterten Verfahrens analysiert wird.
  • Falls das Prüfsignal dem Testsignal an einem Eingang des zweiten Steuergeräts entspricht, so kann das Prüfsignal als Eingangssignal des zweiten Steuergeräts bezeichnet werden. In anderen Worten kann das Prüfsignal ein Eingangssignal des zweiten Steuergeräts sein, das in Reaktion des Sendens des Testsignals an das zweite Steuergerät bei dem zweiten Steuergerät ankommt. Falls das Prüfsignal von dem zweiten Steuergerät in Reaktion auf das Testsignal erzeugt wird, so kann das Prüfsignal als Ausgangssignal des zweiten Steuergeräts bezeichnet werden.
  • Zum Prüfen, ob die ermittelte Eigenschaft des Prüfsignals einer vorgegebenen Eigenschaft des Prüfsignals entspricht, kann das Prüfsignal mit dem Testsignal verglichen werden. Insbesondere kann die Eigenschaft des Prüfsignals mit der entsprechenden Eigenschaft des Testsignals verglichen werden. Alternativ oder zusätzlich kann zum Prüfen, ob die ermittelte Eigenschaft des Prüfsignals einer vorgegebenen Eigenschaft des Prüfsignals entspricht, das Eingangssignal des zweiten Steuergeräts als erstes Prüfsignal empfangen werden, das Ausgangssignal des zweiten Steuergeräts kann als zweites Prüfsignal empfangen werden und das erste Prüfsignal kann mit dem zweiten Prüfsignal verglichen werden. Insbesondere kann die Eigenschaft des ersten Prüfsignals mit der entsprechenden Eigenschaft des zweiten Prüfsignals verglichen werden.
  • Gemäß einer Ausführungsform weist das Verfahren weiter auf ein Senden des Testsignals an ein drittes Steuergerät vor dem Senden des Testsignals an das zweite Steuergerät; und ein Senden des Testsignals von dem dritten Steuergerät an das zweite Steuergerät; wobei die Manipulation des ersten, zweiten und/oder dritten Steuergeräts oder einer der Kommunikationsstrecken zwischen dem ersten und dem zweiten Steuergerät erkannt wird, wenn die ermittelte Eigenschaft der vorgegebenen Eigenschaft nicht erfüllt. Sollte die ermittelte Eigenschaft des Prüfsignals des zweiten Steuergeräts der vorgegebenen Eigenschaft nicht entsprechen, so ist dies repräsentativ dafür, dass das zweite Steuergerät und/oder das dritte Steuergerät und/oder eine der Kommunikationsstrecken zwischen dem ersten und dem zweiten Steuergerät manipuliert wurden. Zusätzlich zu dem dritten Steuergerät können optional ein, zwei oder mehr weitere Steuergeräte kommunikativ mit dem ersten und zweiten Steuergerät gekoppelt sein und das Testsignal kann von dem ersten Steuergerät über die entsprechenden weiteren Steuergeräte und die entsprechenden Kommunikationsstrecken zu dem zweiten Steuergerät gesendet werden, wobei dann anhand des Testsignals die Manipulation bei diesen entsprechenden weiteren Steuergeräten bzw. Kommunikationsstrecken erkannt werden kann.
  • Gemäß einer Ausführungsform sind die Steuergeräte in einer Ringstruktur angeordnet. Alternativ dazu können die Steuergeräte beispielsweise in einer Sternstruktur angeordnet sein. Alternativ oder zusätzlich können die Steuergeräte an einen Kommunikationsbus des Kraftfahrzeugs angeschlossen sein und/oder über diesen miteinander kommunizieren. Der Kommunikationsbus kann beispielsweise ein CAN-Bus, ein LIN-Bus, FlexRay-Bussystem oder Ethernet sein. Die Steuergeräte und der Kommunikationsbus können in dem ersten Kraftfahrzeug ein Kommunikationsnetz bilden.
  • Der Kommunikationsbus kann eine, zwei oder mehr der Kommunikationsstrecken aufweisen.
  • Gemäß einer Ausführungsform wird das Empfangen des Prüfsignals des zweiten Steuergeräts, das Ermitteln der mindestens einen Eigenschaft des Prüfsignals, das Prüfen des Prüfsignals und/oder das Erkennen der Manipulation von dem ersten Steuergerät, dem dritten Steuergerät, einem weiteren Steuergerät oder von dem Manipulationserkennungsmodul, das in diesem Fall mit dem zweiten Steuergerät gekoppelt ist, durchgeführt. Das Manipulationserkennungsmodul kann beispielsweise kommunikativ und/oder körperlich, insbesondere mechanisch, mit dem zweiten Steuergerät gekoppelt sein. Beispielsweise kann das Manipulationserkennungsmodul in dem ersten oder zweiten Steuergerät implementiert sein. Grundsätzlich kann das Manipulationserkennungsmodul in jedem beteiligten Steuergerät implementiert sein, sofern es als Eingangssignal das Ausgangssignal des zu prüfenden Steuergeräts oder der zu prüfenden Kommunikationsstrecke empfängt und dazu konfiguriert ist, die Eigenschaft des Prüfsignals zu ermitteln und mit der vorgegebenen Eigenschaft zu vergleichen. Ferner kann das Manipulationserkennungsmodul ganz oder teilweise in einem Server, der über das Internet mit dem bzw. den Steuergeräten kommuniziert, implementiert sein. Der Server kann beispielsweise ein Teil einer Cloud sein oder eine Cloud bilden.
  • Gemäß einer Ausführungsform ist die vorgegebene Eigenschaft des Prüfsignals mindestens eine Eigenschaft aus einer Gruppe von Eigenschaften, die aufweist eine Gesamtlaufzeit des Testsignals und Prüfsignals, eine Einzellaufzeit des Testsignals und des Prüfsignals, eine Art des Prüfsignals, eine Form des Prüfsignals, eine Dauer des Prüfsignals, eine Länge des Prüfsignals, eine Größe des Prüfsignals, eine Amplitude des Prüfsignals, eine Frequenz des Prüfsignals und eine Phase des Prüfsignals. Bei der vorgegebenen Eigenschaft handelt es sich um eine entsprechende Eigenschaft des Prüfsignals in nicht-manipuliertem Zustand, also um die entsprechende Eigenschaft des Testsignals. Die vorgegebene Eigenschaft kann beispielsweise im Vorhinein ermittelt werden, beispielsweise von einem Hersteller des Steuergeräts, das das Verfahren abarbeitet, oder von einem Hersteller des ersten Kraftfahrzeugs. Alternativ oder zusätzlich kann die vorgegebene Eigenschaft anhand eines Normalbetriebs ohne Manipulation gelernt werden, beispielsweise von einem künstlichen neuronalen Netz, das anhand von Eigenschaften von entsprechenden Prüfsignalen in verschiedenen manipulierten Zuständen und in verschiedenen nicht-manipulierten Zuständen trainiert wird.
  • Die Gesamtlaufzeit umfasst beispielsweise die Laufzeit des Testsignals von einem Sendezeitpunkt, an dem das Testsignal von dem ersten Steuergerät erzeugt oder abgesendet wird, bis zu einem Empfangszeitpunkt, an dem das Steuergerät, das das Verfahren abarbeitet, das Prüfsignal empfängt. Da das Prüfsignal dem Testsignal oder dem manipulierten Testsignal entspricht, bezieht sich die Gesamtlaufzeit als Eigenschaft auf das Testsignal und das Prüfsignal. Somit umfasst die Gesamtlaufzeit die Laufzeit des Testsignals und die Laufzeit des Prüfsignals.
  • Die Einzellaufzeit umfasst beispielsweise die Laufzeit des Testsignals von einem Sendezeitpunkt, an dem das Testsignal von einem beliebigen der Steuergeräte erzeugt oder abgesendet wird, bis zu einem Empfangszeitpunkt, an dem das Testsignal von einem beliebigen anderen der Steuergeräte empfangen wird. Alternativ dazu kann die Einzellaufzeit die Laufzeit des Testsignals von dem Sendezeitpunkt, an dem das Testsignal von einem beliebigen der Steuergeräte erzeugt oder abgesendet wird, bis zu einem Sendezeitpunkt, an dem das Testsignal von dem entsprechenden Steuergerät weitergeleitet wird, sein. Alternativ dazu kann die Einzellaufzeit die Laufzeit des Testsignals von einem Empfangszeitpunkt, an dem das Testsignal von einem beliebigen der Steuergeräte empfangen wird, bis zu einem Sendezeitpunkt, an dem das Testsignal von dem entsprechenden Steuergerät weitergeleitet wird, sein. Somit kann sich die Einzellaufzeit auch auf eine Laufzeit des Testsignals innerhalb eines der Steuergeräte beziehen.
  • Die Form des Prüfsignals bezieht sich beispielsweise darauf, dass das Ausgangssignal eine Rechteckform hat oder eine sinusförmige Schwingung ist. Die Art des Prüfsignals bezieht sich beispielsweise darauf, dass in dem Ausgangssignal verschiedene Daten kodiert sind und unterschiedliche Daten unterschiedliche Ausgangssignale erzeugen. Bei einem Angriff auf das Steuergerät kann sich die Art der Daten, die das Steuergerät mittels des Prüfsignals ausgibt, verändern und somit kann sich auch die Art des Prüfsignals verändern. Die Größe des Prüfsignals kann sich beispielsweise darauf beziehen, dass das Ausgangssignal unterschiedlich starke Pegel aufweist, in etwa in Abhängigkeit von darin kodierten Daten. Das Ausgangssignal kann ein analoges Signal sein, dessen Größe bzw. Stärke einen Ausgangswert des Steuergeräts kodiert.
  • Die Gesamtlaufzeit kann in der Regel einfach von dem ersten Steuergerät und/oder dem Steuergerät gemessen werden, das die Prüfung des Testsignals bezüglich der ermittelten Eigenschaft durchführt, beispielsweise von dem Manipulationserkennungsmodul. Ferner kann das Testsignal beim Empfang in einem der Steuergeräte und/oder beim Weiterleiten durch das entsprechende Steuergerät mit einem Zeitstempel versehen werden, der bzw. die dann in dem weitergeleiteten Testsignal bzw. Prüfsignal kodiert ist bzw. sind. Anhand des bzw. dieser Zeitstempel können dann die Gesamtlaufzeit und/oder eine oder mehrere Einzellaufzeiten ermittelt werden. Falls eine oder mehrere andere Eigenschaften des Testsignals als deren Gesamtlaufzeit ermittelt werden soll, können zu diesem Zweck ein, zwei oder mehr entsprechende Messgeräte, die diese Eigenschaften messen, in dem Netzwerk angeordnet sein, in dem die Steuergeräte angeordnet sind.
  • Gemäß einer Ausführungsform wird beim Prüfen, ob die ermittelte Eigenschaft des Prüfsignals der vorgegebenen Eigenschaft des Prüfsignals entspricht, eine Toleranz bezüglich der vorgegebenen Eigenschaft berücksichtigt. Falls beispielsweise die Gesamtlaufzeit als Eigenschaft des Prüfsignals untersucht wird, so kann sich die vorgegebene Eigenschaft auf eine vorgegebene Gesamtlaufzeit beziehen und diese vorgegebene Gesamtlaufzeit kann um die Toleranz erweitert werden oder die Toleranz kann ein vorgegebene Gesamtlaufzeit bereits berücksichtigt sein.
  • Gemäß einer Ausführungsform ist mindestens eines von dem zweiten Steuergerät, dem dritten Steuergerät, dem weiteren Steuergerät und/oder dem Manipulationserkennungsmodul in dem ersten Kraftfahrzeug oder in einem zweiten Kraftfahrzeug angeordnet. Somit kann das Verfahren zum Erkennen der Manipulation des Steuergeräts auf ein, zwei oder mehr Steuergeräten desselben Kraftfahrzeugs oder auf ein, zwei oder mehr Steuergeräte des zweiten Kraftfahrzeugs angewendet werden.
  • Gemäß einer Ausführungsform wird beim Erkennen der Manipulation mindestens eine Fehlerreaktion ausgelöst. Die Fehlerreaktion kann im einfachsten Fall ein Fehlereintrag in einem Fehlerprotokoll sein. Bei schwerwiegenderen Fällen können als Fehlerreaktion ein, zwei oder mehr Komponenten des Kraftfahrzeugs in eingeschränkten Betrieb betrieben oder vollständig abgeschaltet werden. Dies kann dazu führen, dass das Kraftfahrzeug nur noch eingeschränkt und im Extremfall gar nicht mehr betriebsfähig ist. Dies trägt auf einfache Weise dazu bei, zu verhindern, dass aufgrund der Manipulation ein Schaden an dem ersten Kraftfahrzeug, einem Fahrer des ersten Kraftfahrzeugs oder an einem, zwei oder mehr weiteren Kraftfahrzeugen in der Umgebung des ersten Kraftfahrzeugs entsteht.
  • Gemäß einer Ausführungsform wird als Fehlerreaktion geprüft wird, welches der Steuergeräte und/oder welche Kommunikationsstrecke, beispielsweise zwischen den Steuergeräten, manipuliert wurde.
  • Gemäß einer Ausführungsform wird geprüft, welches der Steuergeräte oder welche Kommunikationsstrecke manipuliert wurde, indem mindestens eine Einzellaufzeit des Testsignals von mindestens einem der Steuergeräte bis zu einem in der Kommunikation darauf folgenden der Steuergeräte ermittelt wird und mit einer entsprechenden vorgegebenen Einzellaufzeit des Testsignals verglichen wird, wobei darauf erkannt wird, dass bei dem entsprechenden Steuergerät oder der Kommunikationsstrecke vor dem entsprechenden Steuergerät die Manipulation vorliegt, wenn die ermittelte Einzellaufzeit nicht zu der vorgegebenen Einzellaufzeit korrespondiert. Bei der vorgegebenen Einzellaufzeit handelt es sich um eine entsprechende Einzellaufzeit des Testsignals und des Prüfsignals in nicht-manipuliertem Zustand. Die vorgegebene Einzellaufzeit kann beispielsweise im Vorhinein ermittelt werden, beispielsweise von einem Hersteller des Steuergeräts, das das Verfahren abarbeitet, oder von einem Hersteller des ersten Kraftfahrzeugs. Alternativ oder zusätzlich kann die vorgegebene Einzellaufzeit anhand eines Normalbetriebs ohne Manipulation gelernt werden, beispielsweise von einem künstlichen neuronalen Netz, das anhand von Einzellaufzeiten von Ausgangssignalen in verschiedenen manipulierten Zuständen und in verschiedenen nicht-manipulierten Zuständen trainiert wird.
  • Gemäß einer Ausführungsform sind die Steuergeräte in einem Kommunikationsnetzwerk, über das sie Daten untereinander austauschen, angeordnet und/oder bilden ein solches. Das Kommunikationsnetzwerk kann beispielsweise vollständig oder teilweise in dem ersten Kraftfahrzeug implementiert sein, beispielsweise mittels eines Kommunikationsbusses. Das Kommunikationsnetzwerk kann sich optional auch über ein, zwei oder mehr weitere Kraftfahrzeuge, und/oder über das Internet und ein, zwei oder mehr Server, beispielsweise innerhalb einer Cloud, erstrecken.
  • Gemäß einer Ausführungsform kann das Testsignal eigens zum Erkennen der Manipulation erzeugt werden. Alternativ dazu kann ein herkömmliches Kommunikationssignal und/oder Datenpaket, das zumindest zwei der Steuergeräte auf herkömmliche Weise untereinander austauschen, als Testsignal verwendet werden.
  • Gemäß einer Ausführungsform wird die Eigenschaft des Testsignals mittels eines Messgeräts ermittelt, das in einem der Steuergeräte und/oder in dem Kommunikationsnetzwerk, beispielsweise entlang einer der Kommunikationsstrecken, angeordnet ist.
    • 1 zeigt ein Ausführungsbeispiel eines Kraftfahrzeugs.
    • 2 zeigt ein Ablaufdiagramm eines Ausführungsbeispiels eines Verfahrens zum Erkennen einer Manipulation eines Steuergeräts des Kraftfahrzeugs gemäß 1.
    • 3 zeigt ein Schaubild, das eine Funktionsweise des Verfahrens gemäß 2 veranschaulicht.
    • 4 zeigt ein Blockdiagramm eines Ausführungsbeispiels eines Kommunikationsnetzwerks.
  • Im Folgenden werden Ausführungsbeispiele der Erfindung mit Bezug zu den beiliegenden Figuren detailliert beschrieben. Die in den Figuren verwendeten Bezugszeichen und ihre Bedeutung sind in zusammenfassender Form in der untenstehenden Liste der Bezugszeichen aufgeführt. Grundsätzlich sind identische oder ähnliche Teile figurenübergreifend mit den gleichen Bezugszeichen versehen.
  • 1 zeigt ein Ausführungsbeispiel eines Kraftfahrzeugs, insbesondere eines ersten Kraftfahrzeugs 20. Bei dem in 1 gezeigten Beispiel ist das erste Kraftfahrzeug 20 ein Auto. Alternativ dazu kann das erste Kraftfahrzeug 20 beispielsweise ein LKW, ein Motorrad oder ein Roller sein. Das erste Kraftfahrzeug 20 weist ein erstes Steuergerät 22, ein zweites Steuergerät 24 und ein drittes Steuergerät 26 auf. Die Steuergeräte 22, 24, 26 können beispielsweise über eine oder mehrere Kommunikationsstrecken, die einen Kommunikationsbus 40 (siehe 4) des ersten Kraftfahrzeugs 20 bilden, miteinander kommunizieren. Alternativ können das zweite Steuergerät 24 und/oder das dritte Steuergerät 26 in einem weiteren Kraftfahrzeug (nicht gezeigt), das in diesem Zusammenhang auch als zweites Kraftfahrzeug bezeichnet werden kann, angeordnet sein. Die erste Steuereinheit 22 kann beispielsweise über das Internet 28 mit einem Server 30 kommunizieren. Der Server 30 kann Teil einer Cloud sein oder eine Cloud bilden. Auf dem ersten, zweiten oder dritten Steuergerät 22, 24, 26 und/oder dem Server 30 kann ein Manipulationserkennungsmodul (nicht gezeigt) implementiert sein. Das Manipulationserkennungsmodul kann Software oder Hardware oder eine Kombination von Hardware und Software aufweisen. Die Steuergeräte 22, 24, 26 können ein Steuergerät-System bilden.
  • Das erste oder zweite Steuergerät 22, 24 oder das Manipulationserkennungsmodul können dazu konfiguriert sein: ein Testsignals mittels des ersten Steuergeräts 22 zu erzeugen; das Testsignal an das zweite Steuergerät 24 zu senden; mindestens ein Prüfsignal zu empfangen, das dem Testsignal an einem Eingang des zweiten Steuergeräts 24 entspricht oder das das zweite Steuergerät 24 in Reaktion auf das Testsignal erzeugt; mindestens eine Eigenschaft des Prüfsignals anhand des empfangenen Prüfsignals zu ermitteln; zu prüfen, ob die ermittelte Eigenschaft des Prüfsignals einer vorgegebenen Eigenschaft des Prüfsignals entspricht; und eine Manipulation des ersten, zweiten und/oder dritten Steuergeräts 22, 24, 26 oder einer Kommunikationsstrecke zwischen den Steuergeräten 22, 24, 26 zu erkennen, wenn die ermittelte Eigenschaft der vorgegebenen Eigenschaft nicht entspricht.
  • Optional können in dem ersten Kraftfahrzeug 20 ein, zwei oder mehr Messgeräte 42 (siehe 4) zum Ermitteln der einen oder mehrerer Eigenschaften des Testsignals angeordnet sein. Die Messgeräte 42 können beispielsweise über den Kommunikationsbus 40 des ersten Kraftfahrzeugs 20 miteinander kommunizieren.
  • 2 zeigt ein Ablaufdiagramm eines Ausführungsbeispiels eines Verfahrens zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs, beispielsweise des ersten, zweiten oder dritten Steuergeräts 22, 24, 26 oder eines vierten, fünften, sechsten oder siebten Steuergeräts 30, 32, 34, 36 (siehe 3), und/oder einer der Kommunikationsstrecken zwischen mindestens zwei der Steuergeräte 22, 24, 26, 30, 32, 34, 36. Das Verfahren dient dazu, mindestens eine Eigenschaft eines Prüfsignals des entsprechenden Steuergeräts, zu ermitteln und mit einer im Normalfall erwarteten, vorgegebenen Eigenschaft des Prüfsignals zu vergleichen und abhängig von diesem Vergleich zu entscheiden, ob die Manipulation des entsprechenden Steuergeräts oder der entsprechenden Kommunikationsstrecke vorliegt oder nicht. Das Verfahren kann von einer oder mehreren Vorrichtungen, beispielsweise von einem, zwei oder mehr der Steuergeräte 22, 24, 26, 30, 32, 34, 36, von dem Manipulationserkennungsmodul und/oder von dem Server 30 abgearbeitet werden, wobei die entsprechende Vorrichtung das Verfahren allein oder in Zusammenwirken mit einer, zwei oder mehr der anderen Vorrichtungen abarbeiten kann. Das Verfahren kann beispielsweise abgearbeitet werden, wenn das Kraftfahrzeug 20 gestartet oder gestoppt wird. Alternativ dazu kann das Verfahren während eines Betriebs des Kraftfahrzeugs 20 einmal oder mehrere Male, beispielsweise kontinuierlich, abgearbeitet werden.
  • In einem Schritt S2 wird das Verfahren gestartet, beispielsweise wenn das Kraftfahrzeug 20 gestartet wird. Gegebenenfalls können Variablen in dem Schritt S2 initialisiert werden.
  • In einem Schritt S4 wird mindestens ein Testsignal erzeugt. Beispielsweise wird das Testsignal von dem ersten Steuergerät 22 erzeugt. Alternativ dazu kann das Testsignal außerhalb des ersten Steuergeräts 22 erzeugt werden, beispielsweise von dem Manipulationserkennungsmodul, und von dem ersten Steuergerät 22 weitergeleitet werden. Das Testsignal kann eigens zum Durchführen des Verfahrens erzeugt werden. Das Testsignal kann eine vorgegebene Dauer, Länge, Amplitude, Art, Form und/oder Phase aufweisen. Alternativ dazu kann als Testsignal jedes beliebige Signal, das von dem ersten Steuergerät 22 erzeugt oder weitergeleitet wird, verwendet werden, wobei in diesem Fall lediglich die Eigenschaften, insbesondere die zu untersuchende Eigenschaft, beispielsweise die Dauer, Länge, Amplitude, Art, Form und/oder Phase, des entsprechenden Signals bekannt sein sollten. Beispielsweise kann das Testsignal ein Kommunikationssignal und/oder ein Datenpaket sein.
  • In einem Schritt S6 wird das Testsignal an ein zweites Steuergerät, beispielsweise das zweite Steuergerät 24, gesendet. Zum Senden bzw. Empfangen des Testsignals sind das erste Steuergerät 22 und das zweite Steuergerät 24 kommunikativ miteinander gekoppelt, beispielsweise kabelgebunden oder kabellos. Das zweite Steuergerät 24 kann sich in demselben Kraftfahrzeug befinden wie das erste Steuergerät 22, beispielsweise in dem ersten Kraftfahrzeug 20. Alternativ dazu kann das zweite Steuergerät 24 in einem anderen Kraftfahrzeug, beispielsweise dem zweiten Kraftfahrzeug, angeordnet sein.
  • In einem Schritt S8 wird das Prüfsignal empfangen, insbesondere von dem Steuergerät, das das Verfahren abarbeitet, beispielsweise von dem ersten Steuergerät 22 und/oder dem Manipulationserkennungsmodul. Nach dem Empfangen des Testsignals wird das Testsignal von dem zweiten Steuergerät 24 weitergeleitet und/oder verarbeitet. Des Weiteren wird das Testsignal von einem, zwei oder mehr weiteren Steuergeräten weitergeleitet bzw. verarbeitet, die kommunikativ zwischen das erste Steuergerät 22 und das zweite Steuergerät 24 geschaltet sind, beispielsweise von dem dritten Steuergerät 26. Jedes der Steuergeräte, das das Testsignal empfängt und weiterleitet bzw. verarbeitet, und jede Kommunikationsstrecke zwischen zwei der Steuergeräte beeinflusst das Testsignal. Da die Funktionen der Steuergeräte und die Arten und Längen der Kommunikationsstrecken bekannt sind, ist auch bekannt, wie und auf welche Weise die Steuergeräte bzw. die Kommunikationsstrecken jeweils das Testsignal beeinflussen, zumindest in nicht-manipuliertem Zustand. Somit ist auch bekannt, inwiefern im Normalzustand, also ohne Manipulation, das Prüfsignal gegenüber dem ursprünglich erzeugten bzw. gesendeten Testsignal verändert ist. Insbesondere ist bekannt, welche Eigenschaften des Testsignals sich wie stark ändern können, sodass das entsprechend geänderte Testsignal zu dem Prüfsignal wird.
  • Das Prüfsignal kann einem Eingang eines der Steuergeräte abgegriffen werden und somit einem Eingangssignal des entsprechenden Steuergeräts entsprechen. Alternativ dazu kann das Prüfsignal am Ausgang des entsprechenden Steuergeräts abgegriffen werden und somit einem Ausgangssignal des entsprechenden Steuergeräts entsprechen. Ferner kann ein erstes Prüfsignal an einem Eingang eines Steuergeräts abgegriffen werden und somit einem Eingangssignal des entsprechenden Steuergeräts entsprechen, und ein zweites Prüfsignal kann an einem Ausgang des entsprechenden Steuergeräts abgegriffen werden und somit einem Ausgangssignal des entsprechenden Steuergeräts entsprechen.
  • In einem Schritt S10 wird mindestens eine Eigenschaft des Prüfsignals ermittelt. Die Eigenschaften bezüglich derer das Prüfsignal analysiert wird, können ein, zwei oder mehr der Eigenschaften aus einer Gruppe von Eigenschaften sein, wobei die Gruppe von Eigenschaften aufweist einen Empfangszeitpunkt des Prüfsignals und damit eine Gesamtlaufzeit des Testsignals und Prüfsignals von einem Sendezeitpunkt des Testsignals bis zu dem Empfangszeitpunkt, eine Art des Prüfsignals, eine Form des Prüfsignals, eine Dauer des Prüfsignals, eine Länge des Prüfsignals, eine Größe des Prüfsignals, eine Amplitude des Prüfsignals, eine Frequenz des Prüfsignals und eine Phase des Prüfsignals. Die Gesamtlaufzeit kann in der Regel einfach von dem ersten Steuergerät 22 und/oder dem Steuergerät gemessen werden, das die Prüfung des Testsignals bezüglich der ermittelten Eigenschaft durchführt, beispielsweise von dem Manipulationserkennungsmodul. Falls eine oder mehrere andere Eigenschaften des Testsignals als dessen Gesamtlaufzeit ermittelt werden soll, können zu diesem Zweck ein, zwei oder mehr entsprechende Messgeräte (nicht gezeigt), die diese Eigenschaften messen, in dem Netzwerk angeordnet sein, in dem die Steuergeräte 22, 24, 26, 32, 34, 36 angeordnet sind.
  • In einem Schritt S12 wird geprüft, ob die ermittelte Eigenschaft der entsprechenden vorgegebenen Eigenschaft entspricht. Zum Prüfen, ob die ermittelte Eigenschaft des Prüfsignals der vorgegebenen Eigenschaft des Prüfsignals entspricht, kann das Prüfsignal mit dem Testsignal verglichen werden. Insbesondere kann die Eigenschaft des Prüfsignals mit der entsprechenden Eigenschaft des Testsignals verglichen werden. Alternativ oder zusätzlich kann zum Prüfen, ob die ermittelte Eigenschaft des Prüfsignals einer vorgegebenen Eigenschaft des Prüfsignals entspricht, das erste Prüfsignal mit dem zweiten Prüfsignal verglichen werden. Insbesondere kann die Eigenschaft des ersten Prüfsignals mit der entsprechenden Eigenschaft des zweiten Prüfsignals verglichen werden.
  • Beim Prüfen, ob die ermittelte Eigenschaft der vorgegebenen Eigenschaft entspricht, kann optional eine vorgegebene Toleranz berücksichtigt werden. Dies ist im Folgenden anhand der Eigenschaft „Gesamtlaufzeit“ beispielhaft im Detail dargestellt, kann jedoch auf jede andere der vorgenannten Eigenschaften einfach übertragen werden. Beispielsweise kann das Testsignal den Sendezeitpunkt des Testsignals aufweisen. In anderen Worten kann der Sendezeitpunkt des Testsignals in dem Testsignal selbst codiert sein, beispielsweise in Form eines Zeitstempels, insbesondere eines digitalen Zeitstempels. Alternativ kann der Sendezeitpunkt in einem Speicher des ersten Steuergeräts 22 gespeichert sein oder von dem ersten Steuergerät 22 an das Steuergerät gesendet werden, das die Überprüfung bezüglich der Manipulation durchführt. Wenn das Prüfsignal von dem Steuergerät empfangen wird, das die Überprüfung bezüglich der Manipulation durchführt, kann der Empfangszeitpunkt des Prüfsignals ebenfalls gespeichert werden. Falls das Testsignal über mehrere Steuergeräte geschickt wird, so können die entsprechenden Empfangszeitpunkte ebenfalls gespeichert werden und falls nötig an das Steuergerät, das die Überprüfung bezüglich der Manipulation durchführt, gesendet werden. Im Folgenden kann dann die Gesamtlaufzeit des Testsignals von dem Sendezeitpunkt bis zu dem entsprechenden Empfangszeitpunkt ermittelt werden und mit einer vorgegebenen Gesamtlaufzeit verglichen werden. Die vorgegebene Gesamtlaufzeit kann beispielsweise im Vorhinein in nicht-manipuliertem Zustand ermittelt werden und auf einer Speichereinheit des Steuergeräts, das die Überprüfung bezüglich der Manipulation durchführt, gespeichert werden.
  • Die Gesamtlaufzeit kann somit beispielsweise ermittelt werden mittels folgender Formel: T = t x t 1
    Figure DE102021213666A1_0001
    mit der Gesamtlaufzeit T, dem Sendezeitpunkt t1 und dem Empfangszeitpunkt tx des Testsignals in dem Steuergerät, das die Prüfung bezüglich der Manipulation durchführt.
  • Die Überprüfung, ob die ermittelte Eigenschaft, in diesem Beispiel die Gesamtlaufzeit T, der vorgegebenen Eigenschaft entspricht, kann beispielsweise mittels folgender Formeln durchgeführt werden: ( t x t 1 ) normal Toleranz < t x - t 1 < ( t x t 1 ) normal + Toleranz
    Figure DE102021213666A1_0002
    mit der vorgegebenen Eigenschaft, insbesondere der vorgegebenen Gesamtlaufzeit im Normalzustand, also in nicht-manipuliertem Zustand, (tx - t1)normal und optional unter Berücksichtigung einer vorgegebenen Toleranz, wobei bei diesem Beispiel ein Betrag der Toleranz berücksichtigt wird und/oder die Toleranz eine positive Zahl ist.
  • In einem Schritt S14 wird anhand der Prüfung erkannt, ob eine Manipulation eines der Steuergeräte und/oder der Kommunikationsstrecken vorliegt oder nicht. Beispielsweise wird in einem Fall, in dem die ermittelte Gesamtlaufzeit größer als die vorgegebene Gesamtlaufzeit abzüglich der Toleranz und kleiner als die vorgegebene Gesamtlaufzeit zuzüglich der Toleranz ist, darauf erkannt, dass keine Manipulation in dem geprüften Steuergerät vorliegt. In einem zweiten Fall, in dem die ermittelte Gesamtlaufzeit kleiner oder größer als die vorgegebene Gesamtlaufzeit unter Berücksichtigung der Toleranz ist, wird darauf erkannt, dass eine Manipulation in dem geprüften Steuergerät vorliegt.
  • Falls das Testsignal über mehrere der Steuergeräte gesendet wird, so kann geprüft werden, welches der Steuergeräte und/oder welche der Kommunikationsstrecken manipuliert wurde, indem eine, zwei oder mehr Einzellaufzeiten von einem der Steuergeräte zu einem anderen der Steuergeräte für die Überprüfung bezüglich der Manipulation herangezogen werden. Beispielsweise kann im vorgenannten zweiten Fall, bei dem das große Vorliegen der Manipulation bereits erkannt wurde, anhand einer oder mehrerer der Einzellaufzeiten geprüft werden, bei welchem Steuergerät oder bei welcher Kommunikationsstrecke zwischen den Steuergeräten die Manipulation vorliegt, beispielsweise mittels folgender Logik:
    • wenn t2-t1 < (t2-t1)normal - Toleranz oder t2-t1 > (t2-t1)normal + Toleranz, dann wurden das erste Steuergerät 22 und/oder das zweite Steuergerät 24 und/oder die Kommunikationsstrecke zwischen dem ersten Steuergerät 22 und dem zweiten Steuergerät 24 manipuliert;
    • ansonsten wenn t3-t2 < (t3-t2)normal - Toleranz oder t3-t2 > (t3-t2)normal + Toleranz, dann wurden das zweite Steuergerät 24 und/oder das dritte Steuergerät 26 und/oder die Kommunikationsstrecke zwischen dem zweiten Steuergerät 24 und dem dritten Steuergerät 26 manipuliert;
    • ansonsten wenn t4 - t3 > (t4 - t3)normal, dann ...
  • Diese Logik kann in Form eines Algorithmus implementiert werden, der beispielsweise abgearbeitet werden kann, bis alle Steuergeräte geprüft sind. Dabei können die Steuergeräte beispielsweise wie nachfolgend mit Bezug zu 3 erläutert in einer Ringstruktur angeordnet sein. Falls bei dem vorhergehenden Beispiel genau geprüft werden soll, ob die Manipulation bei den Steuergeräten oder den Kommunikationsstrecken dazwischen vorgenommen wurde, so können für die Überprüfung der Steuergeräte die Laufzeiten zwischen den Empfangszeitpunkten und Sendezeitpunkten derselben Steuergeräte geprüft werden und für die Überprüfung der Kommunikationsstrecken können die Laufzeiten zwischen den Sendezeitpunkten der sendenden Steuergeräte und den Empfangszeitpunkten der empfangenden Steuergeräte geprüft werden.
  • In einem Schritt S16 kann das Verfahren beendet werden, beispielsweise wenn alle Steuergeräte geprüft wurden und/oder das erste Kraftfahrzeug 20 abgeschaltet wird.
  • 3 zeigt ein Schaubild, das eine Funktionsweise des Verfahrens gemäß 2 veranschaulicht. Bei dem in 2 gezeigten Ausführungsbeispiel sind die Steuergeräte 22, 24, 26, 32, 34, 36 in einer Ringstruktur angeordnet sein. Die Steuergeräte 22, 24, 26, 32, 34, 36 können alternativ beispielsweise in einer Sternstruktur angeordnet sein. Die Steuergeräte 22, 24, 26, 32, 34, 36 können in dem ersten Kraftfahrzeug 20 über entsprechende Kommunikationsstrecken miteinander verbunden sein. Die Steuergeräte 22, 24, 26, 32, 34, 36 und die Kommunikationsstrecken können ein Kommunikationsnetzwerk bilden, über das sie Daten untereinander austauschen können. Beispielsweise können die Steuergeräte 22, 24, 26, 32, 34, 36 über den Kommunikationsbus 40 des ersten Kraftfahrzeugs 20 miteinander verbunden sein. Die Steuergeräte 22, 24, 26, 32, 34, 36 und die Kommunikationsstrecken können ein Steuergerät-System bilden. Der Kommunikationsbus 40 kann beispielsweise ein CAN-Bus, ein LIN-Bus, FlexRay-Bussystem oder Ethernet sein oder einen, zwei oder mehr dieser Busse umfassen.
  • Das erste Steuergerät 22 erzeugt das Testsignal und sendet das Testsignal in Pfeilrichtung an das dritte Steuergerät 26 zu einem Sendezeitpunkt t1. Das dritte Steuergerät 26 empfängt das Testsignal zu einem ersten Empfangszeitpunkt t2. Das dritte Steuergerät 26 sendet das Testsignal, das nun das Ausgangssignal des dritten Steuergeräts 26 ist, an ein fünftes Steuergerät 32, wobei das Testsignal zu einem zweiten Empfangszeitpunkt t3 von dem fünften Steuergerät 32 empfangen wird. Das fünfte Steuergerät 32 sendet das Testsignal, das nun das Ausgangssignal des fünften Steuergeräts 32 ist, an ein sechstes Steuergerät 34, wobei das Testsignal zu einem dritten Empfangszeitpunkt t4 von dem sechsten Steuergerät 34 empfangen wird. Das sechste Steuergerät 34 sendet das Testsignal, das nun das Ausgangssignal des sechsten Steuergeräts 34 ist, an ein siebtes Steuergerät 36, wobei das Testsignal zu einem vierten Empfangszeitpunkt t5 von dem siebten Steuergerät 36 empfangen wird. Das siebte Steuergerät 36 sendet das Testsignal, das nun das Ausgangssignal des siebten Steuergeräts 36 ist, an das zweite Steuergerät 24, wobei das Testsignal zu einem fünften Empfangszeitpunkt t6 von dem zweiten Steuergerät 24 empfangen wird. Das zweite Steuergerät 24 sendet das Testsignal, das nun das Ausgangssignal des zweiten Steuergeräts 24 ist, an das erste Steuergerät 21, wobei das Testsignal zu einem sechsten Empfangszeitpunkt tx von dem ersten Steuergerät 22 empfangen wird.
  • Anhand des Sendezeitpunkts t1 und der Empfangszeitpunkte t2 bis tx kann die Gesamtlaufzeit des Testsignals und des Prüfsignals ermittelt werden. Alternativ zu den Empfangszeitpunkten t2 bis tx bei den entsprechenden Steuergeräten 22, 24, 26, 32, 34, 36 können die Sendezeitpunkte der entsprechenden Steuergeräten 22, 24, 26, 32, 34, 36 zum Erkennen der Manipulation herangezogen werden. Die Gesamtlaufzeit kann dann als Eigenschaft des Prüfsignals zum Erkennen der Manipulation herangezogen werden. Ferner kann beim Erkennen der Manipulation ermittelt werden, welches der Steuergeräte 22, 24, 26, 32, 34, 36 bzw. welche Kommunikationsstrecke manipuliert wurde, beispielsweise indem man die abhängig von dem Sendezeitpunkt t1 und den Empfangszeitpunkten t2 bis tx ermittelten Teillaufzeiten des Testsignals ermittelt und mit entsprechenden vorgegebenen Teillaufzeiten vergleicht, wie vorstehend anhand der Formeln erläutert. Das Erkennen der Manipulation kann mit einem beliebigen der Steuergeräte 22, 24, 26, 32, 34, 36 und/oder mittels eines Manipulationserkennungsmoduls durchgeführt werden. Das Manipulationserkennungsmodul kann in einem der Steuergeräte implementiert sein. Alternativ kann das Manipulationserkennungsmodul separat angeordnet sein und/oder in einer separaten Einheit implementiert sein. Optional kann die in 3 gezeigte Struktur mehr oder weniger der Steuergeräte 22, 24, 26, 32, 34, 36 aufweisen.
  • Falls eine oder mehrere andere Eigenschaften des Testsignals als dessen Gesamtlaufzeit ermittelt werden soll, können zu diesem Zweck ein, zwei oder mehr entsprechende Messgeräte 42 (siehe 4), die diese Eigenschaften messen, in dem ringförmigen Netzwerk angeordnet sein.
  • 4 zeigt ein Blockdiagramm eines Ausführungsbeispiels eines Kommunikationsnetzwerks. Das Kommunikationsnetzwerk weist den Kommunikationsbus 40 auf. Das erste, zweite und dritte Steuergerät 22, 24, 26 kommunizieren über den Kommunikationsbus 40 miteinander. Die Steuergeräte 22, 24, 26 können ein Steuergerät-System bilden. Das Kommunikationsnetzwerk weist ein Messgerät 42 auf. Das Messgerät 42 ist dazu konfiguriert, eine, zwei oder mehr der Eigenschaften des Testsignals zu Messen. Alternativ kann das Messgerät in einem der Steuergeräte 22, 24, 26, beispielsweise in dem ersten Steuergerät 22, integriert sein. Ferner kann das Messgerät zwischen zwei der Steuergeräte 22, 24, 26 angeordnet sein. Ferner können ein, zwei oder mehr weitere Messgeräte in dem Kommunikationsnetzwerk angeordnet sein.
  • Die Erfindung ist nicht auf die angegebenen Ausführungsbeispiele beschränkt. Beispielsweise können bei den Ausführungsbeispielen gemäß 1 und/oder 3 ein, zwei oder mehr Messgeräte zum Ermitteln der Eigenschaft des Testsignals angeordnet sein.
  • Ergänzend ist darauf hinzuweisen, dass „umfassend“ keine anderen Elemente oder Schritte ausschließt und „eine“ oder „ein“ keine Vielzahl ausschließt. Ferner sei darauf hingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen.
  • Bezugszeichenliste
    • 20
    Kraftfahrzeug
    22
    erstes Steuergerät
    24
    zweites Steuergerät
    26
    drittes Steuergerät
    28
    Internet
    30
    viertes Steuergerät
    32
    fünftes Steuergerät
    34
    sechstes Steuergerät
    36
    siebtes Steuergerät
    40
    Kommunikationsbus
    42
    Messgerät
    S2-S16
    Schritte zwei bis sechzehn
    T1-Tx
    Zeitpunkte eins bis x

Claims (16)

  1. Verfahren zum Erkennen einer Manipulation eines Steuergeräts (22, 24, 26, 30, 32, 34, 36) eines Kraftfahrzeugs (20) oder einer Kommunikationsstrecke zwischen mindestens zwei Steuergeräten (22, 24, 26, 30, 32, 34, 36) des Kraftfahrzeugs (20), das Verfahren aufweisend: Erzeugen eines Testsignals mittels eines ersten Steuergeräts (22) eines ersten Kraftfahrzeugs (20); Senden des Testsignals an ein zweites Steuergerät (24); Empfangen mindestens eines Prüfsignals, das dem Testsignal an einem Eingang des zweiten Steuergeräts (24) entspricht oder das das zweite Steuergerät (24) in Reaktion auf das Testsignal erzeugt; Ermitteln mindestens einer Eigenschaft des Prüfsignals anhand des empfangenen Prüfsignals; Prüfen, ob die ermittelte Eigenschaft des Prüfsignals einer vorgegebenen Eigenschaft des Prüfsignals entspricht; und Erkennen der Manipulation des ersten und/oder zweiten Steuergeräts (22, 24) oder der Kommunikationsstrecke zwischen den beiden Steuergeräten (22, 24), wenn die ermittelte Eigenschaft der vorgegebenen Eigenschaft nicht entspricht.
  2. Verfahren nach Anspruch 1, das Verfahren weiter aufweisend: Senden des Testsignals an ein drittes Steuergerät (26) vor dem Senden des Testsignals an das zweite Steuergerät (24); und Senden des Testsignals von dem dritten Steuergerät (26) an das zweite Steuergerät (24); wobei die Manipulation des ersten, zweiten und/oder dritten Steuergeräts (22, 24, 26) oder der Kommunikationsstrecke zwischen den Steuergeräten (22, 24, 26) erkannt wird, wenn die ermittelte Eigenschaft der vorgegebenen Eigenschaft entspricht.
  3. Verfahren nach einem der vorstehenden Ansprüche, wobei die Steuergeräte (22, 24, 26, 30, 32, 34, 36) in einer Ringstruktur angeordnet sind.
  4. Verfahren nach einem der vorstehenden Ansprüche, wobei das Empfangen des Prüfsignals des zweiten Steuergeräts (24), das Ermitteln der mindestens einen Eigenschaft des Prüfsignals, das Prüfen des Prüfsignals und/oder das Erkennen der Manipulation von dem ersten Steuergerät (22), dem dritten Steuergerät (26), einem weiteren Steuergerät (26, 30, 32, 34, 36) oder von einem Manipulationserkennungsmodul, das mit dem zweiten Steuergerät (24) gekoppelt ist, durchgeführt wird.
  5. Verfahren nach einem der vorstehenden Ansprüche, wobei die vorgegebene Eigenschaft des Prüfsignals mindestens eine Eigenschaft aus einer Gruppe von Eigenschaften ist, die aufweist eine Gesamtlaufzeit des Testsignals und Prüfsignals, eine Art des Prüfsignals, eine Form des Prüfsignals, eine Dauer des Prüfsignals, eine Länge des Prüfsignals, eine Größe des Prüfsignals, eine Amplitude des Prüfsignals, eine Frequenz des Prüfsignals und eine Phase des Prüfsignals.
  6. Verfahren nach einem der vorstehenden Ansprüche, wobei beim Prüfen, ob die ermittelte Eigenschaft des Prüfsignals einer vorgegebenen Eigenschaft des Prüfsignals entspricht, eine Toleranz bezüglich der vorgegebenen Eigenschaft berücksichtigt wird.
  7. Verfahren nach einem der vorstehenden Ansprüche, wobei mindestens eines von dem zweiten Steuergerät (24), dem dritten Steuergerät (26), dem weiteren Steuergerät (30, 32, 34, 36) und/oder dem Manipulationserkennungsmodul in dem ersten Kraftfahrzeug (20) oder in einem zweiten Kraftfahrzeug (20) angeordnet ist.
  8. Verfahren nach einem der vorstehenden Ansprüche, wobei beim Erkennen der Manipulation mindestens eine Fehlerreaktion ausgelöst wird.
  9. Verfahren nach Anspruch 8, bei dem als Fehlerreaktion geprüft wird, welches der Steuergeräte (22, 24, 26, 30, 32, 34, 36) und/oder welche Kommunikationsstrecke manipuliert wurde.
  10. Verfahren nach Anspruch 9, bei dem geprüft wird, welches der Steuergeräte (22, 24, 26, 30, 32, 34, 36) oder welche Kommunikationsstrecke manipuliert wurde, indem mindestens eine Einzellaufzeit des Testsignals von mindestens einem der Steuergeräte (22, 24, 26, 30, 32, 34, 36) bis zu einem in der Kommunikation darauf folgenden der Steuergeräte (22, 24, 26, 30, 32, 34, 36) ermittelt wird und mit einer entsprechenden vorgegebenen Einzellaufzeit des Testsignals verglichen wird, wobei darauf erkannt wird, dass bei dem entsprechenden Steuergerät (22, 24, 26, 30, 32, 34, 36) und/oder der Kommunikationsstrecke vor dem entsprechenden Steuergerät (22, 24, 26, 30, 32, 34, 36) die Manipulation vorliegt, wenn die ermittelte Einzellaufzeit nicht zu der vorgegebenen Einzellaufzeit korrespondiert.
  11. Verfahren nach einem der vorstehenden Ansprüche, wobei die Steuergeräte (22, 24, 26, 30, 32, 34, 36) in einem Kommunikationsnetzwerk, über das sie Daten untereinander austauschen, angeordnet sind und/oder ein solches bilden.
  12. Verfahren nach einem der vorstehenden Ansprüche, wobei das Testsignal eigens zum Erkennen der Manipulation erzeugt wird; oder ein herkömmliches Kommunikationssignal und/oder Datenpaket, das zumindest zwei der Steuergeräte (22, 24, 26, 30, 32, 34, 36) auf herkömmliche Weise untereinander austauschen, als Testsignal verwendet wird.
  13. Verfahren nach einem der vorstehenden Ansprüche, wobei die Eigenschaft des Testsignals mittels eines Messgeräts ermittelt wird, das in einem der Steuergeräte (22, 24, 26, 30, 32, 34, 36) und/oder in dem Kommunikationsnetzwerk angeordnet ist.
  14. Steuergerät-System (22, 24, 26, 30, 32, 34, 36) für ein Kraftfahrzeug (20), aufweisend mindestens zwei Steuergeräte (22, 24, 26, 30, 32, 34, 36), die jeweils einen Prozessor und einen Speicher aufweisen und die dazu ausgebildet sind, das Verfahren nach einem der vorstehenden Ansprüche abzuarbeiten.
  15. Computerprogramm zum Erkennen einer Manipulation eines Steuergeräts (22, 24, 26, 30, 32, 34, 36) eines Kraftfahrzeugs (20) oder einer Kommunikationsstrecke zwischen mindestens zwei Steuergeräten (22, 24, 26, 30, 32, 34, 36), das, wenn es von einem Steuergerät (22, 24, 26, 30, 32, 34, 36) abgearbeitet wird, bewirkt, dass das Steuergerät (22, 24, 26, 30, 32, 34, 36) das Verfahren nach einem der Ansprüche 1 bis 13 abarbeitet.
  16. Computerlesbares Medium, auf dem ein Computerprogramm nach Anspruch 15 gespeichert ist.
DE102021213666.4A 2021-12-02 2021-12-02 Verfahren und Computerprogramm zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs, Steuergerät-System und computerlesbares Medium Pending DE102021213666A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102021213666.4A DE102021213666A1 (de) 2021-12-02 2021-12-02 Verfahren und Computerprogramm zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs, Steuergerät-System und computerlesbares Medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021213666.4A DE102021213666A1 (de) 2021-12-02 2021-12-02 Verfahren und Computerprogramm zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs, Steuergerät-System und computerlesbares Medium

Publications (1)

Publication Number Publication Date
DE102021213666A1 true DE102021213666A1 (de) 2023-06-07

Family

ID=86382207

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021213666.4A Pending DE102021213666A1 (de) 2021-12-02 2021-12-02 Verfahren und Computerprogramm zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs, Steuergerät-System und computerlesbares Medium

Country Status (1)

Country Link
DE (1) DE102021213666A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017208551A1 (de) 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
US20210029013A1 (en) 2019-07-26 2021-01-28 Lastline, Inc. Systems and methods for identifying infected network nodes based on anomalous behavior model

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017208551A1 (de) 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
US20210029013A1 (en) 2019-07-26 2021-01-28 Lastline, Inc. Systems and methods for identifying infected network nodes based on anomalous behavior model

Similar Documents

Publication Publication Date Title
EP2767097B1 (de) Kommunikationssystem für ein kraftfahrzeug
EP2040957B1 (de) Verfahren und vorrichtung zur plausibilitätskontrolle von messwerten im kraftfahrzeugumfeld
DE102015217715B4 (de) System und Verfahren zum Sammeln von Fahrzeugdaten
DE102017210859A1 (de) Verfahren zur Selbstüberprüfung von Fahrfunktionen eines autonomen oder teilautonomen Fahrzeuges
DE112017006854T5 (de) Überwachungsvorrichtung, Überwachungsverfahren und Computerprogramm
DE102020127631A1 (de) Verbesserung der fahrzeugsicherheit
DE10252230A1 (de) Verfahren zur Übertragung von Daten
DE102018129015A1 (de) Systeme und verfahren zur fahrzeugdiagnosetesterkoordination
EP3278318A1 (de) Verfahren zum bereitstellen von höheninformationen eines objekts in einem umgebungsbereich eines kraftfahrzeugs an einer kommunikationsschnittstelle, sensoreinrichtung, verarbeitungseinrichtung und kraftfahrzeug
DE102018112584A1 (de) Konfigurierbare Sensorvorrichtung und Verfahren zur Überwachung ihrer Konfiguration
DE102020121540A1 (de) Bestimmungseinrichtung, Bestimmungssystem, Speichermedium, das ein Programm speichert, und Bestimmungsverfahren
DE102020211483A1 (de) Verfahren zum Testen eines Sensorsystems eines Kraftfahrzeugs
EP3510577A1 (de) Konzept zum erfassen eines umfelds eines kraftfahrzeugs
DE102021213666A1 (de) Verfahren und Computerprogramm zum Erkennen einer Manipulation eines Steuergeräts eines Kraftfahrzeugs, Steuergerät-System und computerlesbares Medium
EP2729857B1 (de) Dokumentation von fehlern in einem fehlerspeicher eines kraftfahrzeugs
DE102009012887B4 (de) Verfahren zum Prüfen einer nicht korrekten Installation von Fahrzeugsensoren
DE102016222473A1 (de) Verfahren zum Überprüfen eines Kraftfahrzeugs, insbesondere eines Kraftwagens, sowie Diagnosegerät zum Durchführen eines solchen Verfahrens
DE102016105876A1 (de) Elektronisches Steuergerät für ein Fahrzeug mit separater Datenverbindung, Assistenzsystem, Fahrzeug sowie Verfahren
DE102019201953A1 (de) Verfahren und Detektionsvorrichtung zum Detektieren eines Eingriffs in ein Kraftfahrzeug sowie Kraftfahrzeug mit einer Detektionsvorrichtung
DE102016208869A1 (de) Verfahren zum Betreiben einer Datenverarbeitungsvorrichtung für ein Fahrzeug
DE102016204466A1 (de) Verfahren zur Aktualisierung eines Steuergeräts eines Kraftfahrzeugs mit wenigstens zwei Mikroprozessoren
EP2960632B1 (de) Verfahren und system zum aufbereiten von durch kraftfahrzeugseitig angeordnete sensoren erzeugten sensormesswerten
DE102022201898A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102015222592A1 (de) Verfahren zur Bestimmung einer Wirkkette für eine Fahrzeug-Funktion
DE102022125715A1 (de) Verfahren und Unterstützungseinrichtung zum Unterstützen einer Robustheitsoptimierung für ein Datenverarbeitungssystem und korrespondierendes CI-System

Legal Events

Date Code Title Description
R163 Identified publications notified