DE102022001115B3 - System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst - Google Patents

System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst Download PDF

Info

Publication number
DE102022001115B3
DE102022001115B3 DE102022001115.8A DE102022001115A DE102022001115B3 DE 102022001115 B3 DE102022001115 B3 DE 102022001115B3 DE 102022001115 A DE102022001115 A DE 102022001115A DE 102022001115 B3 DE102022001115 B3 DE 102022001115B3
Authority
DE
Germany
Prior art keywords
cloud service
application proxy
tcu
user
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102022001115.8A
Other languages
English (en)
Inventor
Thorsten Wilmer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Mercedes Benz Group AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mercedes Benz Group AG filed Critical Mercedes Benz Group AG
Priority to DE102022001115.8A priority Critical patent/DE102022001115B3/de
Application granted granted Critical
Publication of DE102022001115B3 publication Critical patent/DE102022001115B3/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/544Buffers; Shared memory; Pipes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/253Routing or path finding in a switch fabric using establishment or release of connections between ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die vorliegende Erfindung betrifft ein System (1) zur sicheren Datenübertragung zwischen einem Kraftfahrzeug (2) und einem Clouddienst (3), wobei das System (1) im Kraftfahrzeug (2) zumindest eine ECU (4) und eine TCU (5) zum Herstellen einer Datenverbindung zwischen zumindest eine der wenigstens einen ECU (4) und dem Clouddienst (3) aufweist.Eine erhöhte Sicherheit und/oder ein reduzierter Ressourcenbedarf ergeben sich dadurch, dass die zumindest eine ECU (4) eine erste Partition (6) mit einem Applikation-Proxy (8) und eine zweite Partition (7) mit zumindest einem Nutzer (9) aufweist, welche ausschließlich über eine Shared-Memory (10) miteinander kommunizieren, und dass in der TCU (5) eine Türsteherfunktion (11) integriert ist, sodass die TCU (5) die zumindest eine ECU (4) ausschließlich dann mit dem Clouddienst (3) verbindet, wenn ein zugehöriger Port geöffnet ist. Dabei erzeug erzeugt der Applikation-Proxy (8) basierend auf einem geprüften Server-Token des Clouddienstes (3) und einem geprüften Applikation-Proxy-Token des Applikation-Proxy (8) einen SSL-Sitzungsschlüssel zur Datenübertragung zwischen der ECU (4) und dem Clouddienst (3) über die TCU (5).Die Erfindung betrifft des Weiteren ein Computerprogrammprodukt zum Ausführen der sicheren Datenübertragung mittels des Systems.

Description

  • Die vorliegende Erfindung betrifft ein System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst. Die Erfindung betrifft des Weiteren ein Computerprogrammprodukt zum Ausführen der sicheren Datenübertragung mittels des Systems.
  • Der Austausch von Daten zwischen einem Kraftfahrzeug und einer Cloud-basierten Einheit, nachfolgend auch als Clouddienst bezeichnet, nimmt an Bedeutung zu. Insbesondere werden mittels derartiger Clouddienste abgerufene Aktualisierungen von Software zunehmend wichtig.
  • Hierbei ist eine sichere Übertragung der Daten, das heißt derart, dass ein fremder Zugriff und/oder eine Manipulation möglichst ausgeschlossen ist, wichtig.
  • Ein entsprechendes System zur Datenübertragung ist aus der WO 2018/127790 A2 bekannt. Das System weist im Kraftfahrzeug eine ECU und eine TCU auf. Zur Datenübertragung kommt dabei eine SSL-Verbindung unter Verwendung einer „Certificate Authority“ oder kurz „CA“ zum Einsatz. Die CA kann dabei mehrmals laufen und/oder auf einer virtuellen Maschine hinterlegt sein.
  • Die DE 10 2015 209 116 A1 beschreibt ein Verfahren zum Aktualisieren eines eingebetteten Steuergerätes eines Fahrzeugs. Dabei werden Daten auf einem Aktualisierungsgateway heruntergeladen, während eine Internetverbindung besteht, und später aktualisiert.
  • In der US 2019/0265965 A1 wird ein Verfahren zur Aktualisierung von Software in einem Kraftfahrzeug beschrieben. Dabei sendet ein Server die Aktualisierungssoftware an ein oder mehrere elektronische Geräte im Kraftfahrzeug und berücksichtigt dabei die Fähigkeiten der elektronischen Geräte.
  • Aus der CN 113 411 294 A ist ein Sicherheitskommunikationsverfahren für ein Kraftfahrzeug bekannt, welches auf dem Schutz des öffentlichen Schlüssels einer Sicherheits-Cloud basiert. Das Verfahren umfasst die Kommunikation zwischen einer Sicherheits-Cloud und einer Sicherheits-TCU, die Kommunikation zwischen der Sicherheits-TCU und einem Sicherheits-Gateway und die Kommunikation zwischen dem Sicherheits-Gateway und einer Sicherheits-ECU, wobei die TCU eine Telematik-Steuereinheit ist. Die Sicherheits-Cloud und die Sicherheits-TCU kommunizieren über eine drahtlose Sicherheitsnetzwerk-Kommunikationstechnologie und eine bidirektionale Identitäts-Authentizitäts-Authentifizierung wird zwischen der Sicherheits-Cloud und der TCU durchgeführt. Die Sicherheits-TCU und das Sicherheits-Gateway werden durch die Annahme einer Ethernet-Sicherheitskommunikationstechnologie am Kraftfahrzeug kommuniziert.
  • Die vorliegende Erfindung beschäftigt sich mit der Aufgabe, für ein System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst sowie für ein Computerprogrammprodukt zum Ausführen der sicheren Datenübertragung in einem solchen System verbesserte oder zumindest andere Ausführungsformen anzugeben, welche sich durch eine erhöhte Sicherheit und/oder durch einen reduzierten Ressourcenbedarf auszeichnen.
  • Diese Aufgabe wird erfindungsgemäß durch die Gegenstände der unabhängigen Ansprüche gelöst. Vorteilhafte Ausführungsformen sind Gegenstand der abhängigen Ansprüche.
  • Die vorliegende Erfindung beruht demnach auf dem allgemeinen Gedanken, in einem System zur Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst das Kraftfahrzeug mit einer ECU und einer TCU auszustatten, wobei die ECU zwei Partitionen aufweist, welche ausschließlich über eine Shared-Memory miteinander kommunizieren, und wobei zum Datenaustausch zwischen der ECU und dem Clouddienst über die TCU ein eigens für die Verbindung erzeugter SSL-Schlüssel und somit ein SSL-Sitzungsschlüssel zum Einsatz kommt, wobei der jeweilige SSL-Sitzungsschlüssel mittels eines vom Clouddienst und eines von der ECU stammenden Tokens erzeugt wird. Somit können Daten bei kompromittiertem Kraftfahrzeug und/oder kompromittiertem Clouddienst und/oder bei einer kompromittierten Verbindung zwischen Kraftfahrzeug und Clouddienst sicher übertragen werden, indem, sofern ein besagtes Kompromittieren auftritt, keine Datenübertragung zugelassen wird. Insgesamt ist somit die Sicherheit zur Datenübertragung erhöht. Zudem ist es auf diese Weise möglich, aufgrund des SSL-Sitzungsschlüssels auf eine durchgehende Verschlüsselung der Daten mittels der TCU zu verzichten, sodass die entsprechend benötigten Ressourcen frei werden bzw. entfallen. Insgesamt ist also die Datenübertragung sicherer und benötigt weniger Ressourcen.
  • Dem Erfindungsgedanken entsprechend weist das System im Kraftfahrzeug zumindest eine ECU und eine TCU zum Herstellen einer Datenverbindung zwischen zumindest eine der wenigstens einen ECU und dem Clouddienst auf. Die jeweilige ECU ist initialisiert und besitzt ein eigenes Zertifikat und einen eigenen Schlüssel. Zudem besitzt der Clouddienst ein eigenes Zertifikat. Die zumindest eine ECU hat eine erste Partition mit einem Applikation-Proxy und eine zweite Partition mit zumindest einem Nutzer. Dabei können der zumindest eine Nutzer und der Applikation-Proxy ausschließlich über eine Shared-Memory miteinander kommunizieren. In der TCU ist eine Türsteherfunktion integriert, sodass die TCU die zumindest eine ECU ausschließlich dann mit dem Clouddienst verbindet, wenn ein zugehöriger Port geöffnet ist. Der Nutzer ist über eine logische und gesicherte Verbindung, nachfolgend auch als logische Verbindung bezeichnet, mit der TCU verbunden. Der Applikation-Proxy ist über eine gesicherte Verbindung mit der TCU verbunden. Die sichere Datenübertragung zwischen dem Kraftfahrzeug und dem Clouddienst wird durch eine Anfrage eines Nutzers zur Verbindung mit dem Clouddienst gestartet. Dabei teilt der Nutzer über die logische Verbindung der Türsteherfunktion die URL des Clouddienstes mit. Die Türsteherfunktion öffnet eine SSL-Verbindung zur URL, wobei der DNS der URL, vorzugsweise mittels DNSSEQ und/oder DNSSEC, geprüft wird. Zudem wird das SSL-Zertifikat des Clouddienstes über eine Zertifikatkette geprüft. Der Clouddienst prüft das SSL-Zertifikat der TCU und liefert bei erfolgreicher Prüfung ein Server-Token. Die Türsteherfunktion reserviert für die URL-Verbindung einen Port und übermittelt dem Nutzer den reservierten Port sowie den Server-Token. Der Nutzer übermittelt die URL, den reservierten Port und den Server-Token an den Applikation-Proxy. Der Applikation-Proxy stellt über die gesicherte Verbindung eine SSL-Verbindung mit dem reservierten Port her und prüft das SSL-Zertifikat der TCU. Bei erfolgreicher Prüfung prüft die TCU das SSL-Zertifikat des Applikation-Proxy und verbindet bei erfolgreicher Prüfung den reservierten Port direkt mit dem Clouddienst, sodass die TCU nachfolgend Daten durchreicht, ohne die Daten mittels SSL zu verschlüsseln und zu entschlüsseln. Der Applikation-Proxy erzeugt einen SSL-Sitzungsschlüssel unter Verwendung des Servers-Tokens und des eigenen Applikation-Proxy-Token und signiert den eigenen Applikation-Proxy-Token mit einem ECU-spezifischen und/oder Kraftfahrzeug-spezifischem Schlüssel. Dann sendet der Applikation-Proxy den signierten eigenen Applikation-Proxy-Token über die gesicherte Verbindung und den Port an den Clouddienst. Der Clouddienst prüft den Applikation-Proxy-Token anhand der Signatur des eigenen Applikation-Proxy-Tokens. Bei erfolgreicher Prüfung tauschen der Clouddienst und der Applikation-Proxy Daten mit dem SSL-Sitzungsschlüssel aus. Dabei kann der Applikation-Proxy die Daten über die Shared-Memory zwischen dem Nutzer und dem Clouddienst übermitteln.
  • Das System ist zur Durchführung der sicheren Datenübertragung, wie sie vorstehend beschrieben wurde und nachstehend noch weiter erläutert wird, ausgestaltet.
  • Zu diesem Zweck kann insbesondere ein Computerprogrammprodukt zum Einsatz kommen, welches entsprechende Befehle enthält, sodass das System bei deren Ausführung die sichere Datenübertragung durchführt.
  • Das Computerprogrammprodukt kann dabei Bestandteile in der ECU, in der TCU und im Clouddienst umfassen.
  • Vorliegend steht „ECU“ für „Electric Control Unit“ kann also insbesondere ein Steuergerät und/oder ein Mikrocontroller sein.
  • Vorliegend steht „TCU“ für „Telecommunication Control Unit“, kann also eine Telekommunikationseinheit sein.
  • „SSL“ ist vorliegend als eine Verschlüsselung beliebiger Art zu verstehen. Insbesondere beinhaltet SSL insbesondere eine SSL-Verschlüsselung und/oder eine TLS-Verschlüsselung.
  • Bei vorteilhaften Ausführungsformen existieren im Kraftfahrzeug nur private IP-Adressen, die nicht im Internet weitergeleitet werden können. Bevorzugt ist es im Kraftfahrzeug nur möglich, mit diesen privaten IP-Adressen zu kommunizieren. Insbesondere gibt es keine Möglichkeit, mit Hilfe eines Default Gateway und/oder NAT auf der TCU das Internet zu erreichen.
  • Bei bevorzugten Ausführungsformen werden die mit dem SSL-Sitzungsschlüssel ausgetauschten Daten in vorgegebenen Intervallen signiert. Die Intervalle können beispielsweise 1 MB betragen.
  • Beispielsweise kann der Clouddienst die an den Nutzer übermittelten Daten in vorgegebenen Intervallen, insbesondere alle 1 MB, signieren, und der Applikation-Proxy die vom Clouddienst übermittelten Daten in den Intervallen mittels der Zertifikate prüfen.
  • Bevorzugt ist der zumindest eine Nutzer in der ECU von sicherheitskritischen Funktionen, wie beispielsweise solche Funktionen, welche die Steuerung des Kraftfahrzeugs betreffen, getrennt. Somit wird die Sicherheit weiter erhöht.
  • Vorteilhaft weist die zweite Partition zu diesem Zweck zwei voneinander getrennte Bereiche auf. Das heißt, dass die zweite Partition vorteilhaft einen Nutzerbereich mit dem zumindest einen Nutzer und einen vom Nutzerbereich getrennten Sicherheitsbereich mit sicherheitskritischen Funktionen aufweist.
  • Vorteilhaft weisen die erste Partition und die zweite Partition jeweils zugehörige Kerne auf.
  • Beispielsweise besitzt die erste Partition einen A9-Kern und die zweite Partition einen A52-Kern.
  • Bevorzugt ist die erste Partition und/oder der A9-Kern eine 32bit CPU, wohingegen der Rest des Systems mehr als 32bit verwendet. In der Folge ist eine Adressen-Übersetzungseinheit vorgesehen, die es dem A9-Kern erlaubt oder verbietet auf diese Adressbereiche des Systems zu zugreifen. Dadurch, dass der A9 Kern nur auf dem definierten Speicher zugreifen kann und selbst diese Zuordnung nicht ändern kann, kann der Applikation-Proxy nicht den Sicherheitsbereich beeinflussen.
  • Weist das System fahrzeugseitig eine Firewall-Partition auf, so hat die Firewall-Partition bevorzugt keinen Hardware-Zugriff.
  • Mit dem erfindungsgemäßen Gedanken wird dieselbe Verbindung weiterverwendet, sodass der Clouddienst nicht ohne weiteres umgebogen/umgeleitet werden kann. Zudem ist somit eine Sichere Ende-zu-Ende Verschlüsslung zwischen Applikation-Proxy und Clouddienst eingerichtet. Ferner befinden sich Applikationen mit direktem Internet-Zugriff in einem getrennten Adress-Bereich, wobei der Applikation-Proxy sowie der zumindest eine Nutzer nicht auf beliebige Adressen zugreifen können.
  • Es versteht sich, dass neben dem System zur sicheren Datenübertragung auch das Computerprogrammprodukt als solches zum Umfang dieser Erfindung gehört.
  • Weitere wichtige Merkmale und Vorteile der Erfindung ergeben sich aus den Unteransprüchen, aus den Zeichnungen und aus der zugehörigen Figurenbeschreibung anhand der Zeichnungen.
  • Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Bevorzugte Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und werden in der nachfolgenden Beschreibung näher erläutert, wobei sich gleiche Bezugszeichen auf gleiche oder ähnliche oder funktional gleiche Bauteile beziehen.
  • Dabei zeigen, jeweils schematisch:
    • 1 eine stark vereinfachte Darstellung eines Systems zur sicheren Datenübertragung,
    • 2 eine vereinfachte, topografische Darstellung des Systems.
  • Mit einem System 1, wie es beispielsweise in den 1 und 2 gezeigt ist, können Daten sicher zwischen einem Kraftfahrzeug 2 und einem Clouddienst 3 übertragen werden. Das System 1 umfasst neben dem Clouddienst 3 im Kraftfahrzeug 2 zumindest eine ECU 4 sowie eine TCU 5 zum Herstellen einer Datenverbindung zwischen zumindest eine der wenigstens einen ECU 4 und dem Clouddienst 3. Hierbei steht „ECU“ für „Electric Control Unit“, ist also insbesondere ein Steuergerät und/oder ein Mikrocontroller.
  • Zudem steht „TCU“ für „Telecommunication Control Unit“, ist also insbesondere eine Telekommunikationseinheit. Die jeweilige ECU 4 ist initialisiert und besitzt ein eigenes Zertifikat sowie einen eigenen Schlüssel. Der Clouddienst 3 besitzt ein eigenes Zertifikat. In den gezeigten Ausführungsbeispielen ist rein beispielhaft angenommen, dass das Kraftfahrzeug 1 eine einzige ECU 4 mit einer zugehörigen TCU 5 aufweist.
  • Wie 2 entnommen werden kann, weist die ECU 4 zwei Partitionen 6, 7 auf, welche nachfolgend auch als erste Partition 6 und zweite Partition 7 bezeichnet werden. Die jeweilige Partition 6, 7 besitzt eigene Kerne der ECU 4. Im gezeigten Ausführungsbeispiel kann die erste Partition 6 eine A9-Kern und die zweite Partition 7 einen A52-Kern aufweisen. Die erste Partition 6 hat einen Applikation-Proxy 8. Die zweite Partition 7 hat zumindest einen Nutzer 9, wie beispielsweise einen „Data Upload“, einen „Map Download“ und einen „Software Download“. Im gezeigten Ausführungsbeispiel weist die zweite Partition 7 einen Nutzerbereich 14 mit dem zumindest einen Nutzer 9 und einen vom Nutzerbereich 14 getrennten Sicherheitsbereich 15 mit sicherheitskritischen Funktionen, beispielsweise mit einer Fahrzeugsteuerung, auf. Der Applikation-Proxy 8 und der zumindest eine Nutzer 9 können dabei ausschließlich über eine Shared-Memory 10 miteinander kommunizieren. Die Shared-Memory 10 ist in den gezeigten Ausführungsbeispielen in der zweiten Partition 7 vorgesehen. Bevorzugt routet die zweite Partition 7 Daten eines definierten VLAN 16 von der TCU 5 in die erste Partition 6. Im gezeigten Ausführungsbeispiel ist die erste Partition 6 bzw. der A9-Kern eine 32bit CPU, wohingegen der Rest des Systems 1 mehr als 32bit verwendet. Dabei ist eine Adressen-Übersetzungseinheit 18 vorgesehen, die es der ersten Partition 6, insbesondere dem A9-Kern, erlaubt oder verbietet, auf diese Adressbereiche des Systems 1 zu zugreifen.
  • In der TCU 5 ist eine Türsteherfunktion 11 integriert, sodass die TCU 5 die zumindest eine ECU 4 ausschließlich dann mit dem Clouddienst 3 verbindet, wenn ein zugehöriger Port zugeordnet und geöffnet ist. Der zumindest eine Nutzer 9, in den gezeigten Ausführungsbeispielen der Nutzerberiech 14, ist über eine gesicherte logische Verbindung 12 mit der TCU 5 verbunden. Zudem ist der Applikation-Proxy 8 über eine gesicherte Verbindung 13 mit der TCU 5 verbunden. Wie 1 entnommen werden kann, kann dabei in der gesicherten Verbindung 13 zumindest ein Switch 17 vorhanden sein.
  • Zur sicheren Datenübertragung zwischen dem Kraftfahrzeug 2 und dem Clouddienst 3 wird bei einer Anfrage eines Nutzers 9 zur Verbindung mit dem Clouddienst 3 wie folgt verfahren. Der Nutzer 9 teilt über die logische Verbindung 12 der Türsteherfunktion 11 die URL des Clouddienstes 3 mit. Die Türsteherfunktion 11 öffnet eine SSL-Verbindung zur URL, wobei der DNS der URL, vorzugsweise mittels DNSSEQ und/oder DNSSEC, geprüft wird. Zudem wird das SSL-Zertifikat des Clouddienstes 3 über eine Zertifikatkette geprüft. Der Clouddienst 3 prüft das SSL-Zertifikat der TCU 5. Bei erfolgreicher Prüfung, das heißt positivem Prüfungsergebnis, liefert der Clouddienst 3 ein Server-Token. Daraufhin reserviert die Türsteherfunktion 11 für die URL-Verbindung einen Port und übermittelt dem Nutzer 9 den reversierten Port sowie den Server-Token. Der Nutzer 9 übermittelt die URL, den reservierten Port und den Server-Token an den Applikation-Proxy 8. Der Applikation-Proxy 8 stellt über die gesicherte Verbindung 13 eine SSL-Verbindung mit dem reservierten Port her und prüft das SSL-Zertifikat der TCU 5. Bei erfolgreicher Prüfung prüft die TCU 5 das SSL-Zertifikat des Applikation-Proxy 8 und verbindet den reservierten Port bei erfolgreicher Prüfung direkt mit dem Clouddienst 3, sodass die TCU 5 nachfolgend Daten durchreicht, ohne die Daten mittels SSL zu verschlüsseln und zu entschlüsseln. Der Applikation-Proxy 8 erzeugt einen SSL-Sitzungsschlüssel unter Verwendung des Servers-Tokens und des eigenen Applikation-Proxy-Token und signiert den eigenen Applikation-Proxy-Token mit einem ECU 4- und/oder Kraftfahrzeug2-spezifischem Schlüssel. Der Applikation-Proxy 8 sendet den signierten eigenen Applikation-Proxy-Token über die gesicherte Verbindung 13 und den Port an den Clouddienst 3. Der Clouddienst 3 prüft den Applikation-Proxy-Token anhand der Signatur des eigenen Applikation-Proxy-Tokens. Bei erfolgreicher Prüfung tauschen der Clouddienst 3 und der Applikation-Proxy 8 Daten mit dem SSL-Sitzungsschlüssel aus. Dabei kann der Applikation-Proxy 8 Daten über die Shared-Memory 10 zwischen dem Nutzer 9 und dem Clouddienst 3 übermitteln.
  • Es versteht sich, dass vorliegend „SSL“ auch „TLS“ umfasst und somit als allgemeiner Oberbegriff zu verstehen ist.
  • Bevorzugt signiert der Clouddienst 3 die an den Nutzer 9 übermittelten Daten in vorgegebenen Intervallen, insbesondere alle 1 MB. Dabei prüft der Applikation-Proxy 8 die vom Clouddienst 3 übermittelten Daten in den Intervallen mittels der Zertifikate
  • Das System 1 ist zum Durchführen des Verfahrens entsprechend ausgestaltet. Zu diesem Zweck sind ECU 4, TCU 5 sowie der Clouddienst 3 entsprechend ausgestaltet. Zum Durchführen des Verfahrens kommt beispielsweise ein Computerprogrammprodukt zum Einsatz, welches entsprechend eingerichtet ist. Vorzugsweise enthält das Computerprogrammprodukt Befehle, welche bewirken, dass das System 1 die sichere Datenübertragung wie beschrieben ausführt.

Claims (4)

  1. System (1) zur sicheren Datenübertragung zwischen einem Kraftfahrzeug (2) und einem Clouddienst (3), wobei das System (1) im Kraftfahrzeug (2) zumindest eine ECU (4) und eine TCU (5) zum Herstellen einer Datenverbindung zwischen zumindest eine der wenigstens einen ECU (4) und dem Clouddienst (3) aufweist, - wobei die jeweilige ECU (4) initialisiert ist und ein eigenes Zertifikat und einen eigenen Schlüssel besitzt, - wobei der Clouddienst (3) ein eigenes Zertifikat besitzt, - wobei die zumindest eine ECU (4) eine erste Partition (6) mit einem Applikation-Proxy (8) und eine zweite Partition (7) mit zumindest einem Nutzer (9) aufweist, welche ausschließlich über eine Shared-Memory (10) miteinander kommunizieren, - wobei in der TCU (5) eine Türsteherfunktion (11) integriert ist, sodass die TCU (5) die zumindest eine ECU (4) ausschließlich dann mit dem Clouddienst (3) verbindet, wenn ein zugehöriger Port geöffnet ist, - wobei der Nutzer (9) über eine logische Verbindung (12) mit der TCU (5) verbunden ist, - wobei der Applikation-Proxy (8) über eine gesicherte Verbindung (13) mit der TCU (5) verbunden ist, - wobei das System (1) derart ausgestaltet ist, dass es bei einer Anfrage eines Nutzers (9) zur Verbindung mit dem Clouddienst (3) wie folgt betrieben wird: • der Nutzer (9) teilt über die logische Verbindung (12) der Türsteherfunktion (11) die URL des Clouddienstes (3) mit, • die Türsteherfunktion (11) öffnet eine SSL-Verbindung zur URL, ♦ wobei der DNS der URL, vorzugsweise mittels DNSSEQ und/oder DNSSEC, geprüft wird, ♦ wobei das SSL-Zertifikat des Clouddienstes (3) über eine Zertifikatkette geprüft wird, ♦ wobei der Clouddienst (3) das SSL-Zertifikat der TCU (5) prüft und ein Server-Token liefert, • die Türsteherfunktion (11) reserviert für die URL-Verbindung einen Port und übermittelt dem Nutzer (9) den reservierten Port sowie den Server-Token, • der Nutzer (9) übermittelt die URL, den reservierten Port und den Server-Token an den Applikation-Proxy (8), • der Applikation-Proxy (8) stellt über die gesicherte Verbindung (13) eine SSL-Verbindung mit dem reservierten Port her und prüft das SSL-Zertifikat der TCU (5), • die TCU (5) prüft das SSL-Zertifikat des Applikation-Proxy (8) und verbindet den reservierten Port direkt mit dem Clouddienst (3), sodass die TCU (5) nachfolgend Daten durchreicht, ohne die Daten mittels SSL zu verschlüsseln und zu entschlüsseln, • der Applikation-Proxy (8) erzeugt einen SSL-Sitzungsschlüssel unter Verwendung des Servers-Tokens und eines eigenen Applikation-Proxy-Token und signiert den eigenen Applikation-Proxy-Token mit einem ECU (4)- und/oder Kraftfahrzeug (2)-spezifischem Schlüssel, • der Applikation-Proxy (8) sendet den signierten eigenen Applikation-Proxy-Token über die gesicherte Verbindung (13) und den Port an den Clouddienst (3), • der Clouddienst (3) prüft den Applikation-Proxy-Token anhand der Signatur des eigenen Applikation-Proxy-Tokens, • der Clouddienst (3) und der Applikation-Proxy (8) tauschen Daten mit dem SSL-Sitzungsschlüssel aus, • der Applikation-Proxy (8) übermittelt die Daten über die Shared-Memory (10) zwischen dem Nutzer (9) und dem Clouddienst (3).
  2. System nach Anspruch 1, dadurch gekennzeichnet, dass das System (1) ferner derart ausgestaltet ist, dass beim Austausch der Daten mit dem SSL-Sitzungsschlüssel, - der Clouddienst (3) die an den Nutzer (9) übermittelten Daten in vorgegebenen Intervallen, insbesondere alle 1 MB, signiert, und - der Applikation-Proxy (8) die vom Clouddienst (3) übermittelten Daten in den Intervallen mittels der Zertifikate prüft.
  3. System nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die zweite Partition (7) einen Nutzerbereich (14) mit dem zumindest einen Nutzer (9) und einen vom Nutzerbereich (14) getrennten Sicherheitsbereich (15) mit sicherheitskritischen Funktionen, beispielsweise mit einer Fahrzeugsteuerung, aufweist.
  4. Computerprogrammprodukt, welches Befehle enthält, die bewirken, dass das System (1) zur sicheren Datenübertragung gemäß einem der Ansprüche 1 bis 3 die entsprechenden Verfahrensschritte der Datenübertragung gemäß einem der Ansprüche 1 bis 3 ausführt.
DE102022001115.8A 2022-03-31 2022-03-31 System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst Active DE102022001115B3 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022001115.8A DE102022001115B3 (de) 2022-03-31 2022-03-31 System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022001115.8A DE102022001115B3 (de) 2022-03-31 2022-03-31 System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst

Publications (1)

Publication Number Publication Date
DE102022001115B3 true DE102022001115B3 (de) 2023-07-13

Family

ID=86895315

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022001115.8A Active DE102022001115B3 (de) 2022-03-31 2022-03-31 System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst

Country Status (1)

Country Link
DE (1) DE102022001115B3 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015209116A1 (de) 2015-05-19 2016-11-24 Robert Bosch Gmbh Verfahren und Aktualisierungsgateway zum Aktualisieren eines eingebetteten Steuergerätes
WO2018127790A2 (en) 2017-01-05 2018-07-12 Guardknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof
US20190265965A1 (en) 2018-02-27 2019-08-29 Excelfore Corporation System and method for updating software in an electronic device
CN113411294A (zh) 2021-04-30 2021-09-17 中汽研(天津)汽车工程研究院有限公司 基于安全云端公钥保护的车载安全通信方法、系统和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015209116A1 (de) 2015-05-19 2016-11-24 Robert Bosch Gmbh Verfahren und Aktualisierungsgateway zum Aktualisieren eines eingebetteten Steuergerätes
WO2018127790A2 (en) 2017-01-05 2018-07-12 Guardknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof
US20190265965A1 (en) 2018-02-27 2019-08-29 Excelfore Corporation System and method for updating software in an electronic device
CN113411294A (zh) 2021-04-30 2021-09-17 中汽研(天津)汽车工程研究院有限公司 基于安全云端公钥保护的车载安全通信方法、系统和装置

Similar Documents

Publication Publication Date Title
EP3125492B1 (de) Verfahren und system zum erzeugen eines sicheren kommunikationskanals für endgeräte
DE102005028663B4 (de) Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner
DE102016215917A1 (de) Gesichertes Verarbeiten einer Berechtigungsnachweisanfrage
DE102008008970A1 (de) Bordnetz-System eines Kraftfahrzeugs mit austauschbarem kryptografischen Schlüssel und/oder Zertifikat
EP2250598A2 (de) Client/server-system zur kommunikation gemäss dem standardprotokoll opc ua und mit single sign-on mechanismen zur authentifizierung sowie verfahren zur durchführung von single sign-on in einem solchen system
DE102018131480B4 (de) Zugangssystem zum Leiten einer vernetzten Vorrichtung zu einer fahrzeugintern gespeicherten Landing-Page basierend auf einem verfügbaren Guthaben oder einem Datensaldo
EP2842291B1 (de) Authentifizierung eines ersten gerätes durch eine vermittlungsstelle
DE102010044518A1 (de) Verfahren zur Zertifikats-basierten Authentisierung
EP4193567B1 (de) Verfahren zur sicheren ausstattung eines fahrzeugs mit einem individuellen zertifikat
DE102019212959B3 (de) Verfahren zur geschützten Kommunikation eines Fahrzeugs mit einem externen Server, Vorrichtung zur Durchführung der Schlüsselableitung bei dem Verfahren sowie Fahrzeug
DE102020003739A1 (de) Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial
WO2023274678A1 (de) Verwalten von schlüsseln für eine sichere kommunikation zwischen kommunikationsteilnehmern über einen getrennten kommunikationskanal
DE102022001115B3 (de) System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst
DE102011080676A1 (de) Konfiguration eines Kommunikationsnetzwerks
DE102010028225A1 (de) Verfahren zur Bereitstellung einer Kommunikation für mindestens ein Gerät
DE102015225790B3 (de) Verfahren zur Implementierung einer verschlüsselten Client-Server-Kommunikation
EP3881486B1 (de) Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar
DE102004020880B4 (de) Schnittstelle zur Kommunikation zwischen Fahrzeug-Applikationen und Fahrzeug-Bussystemen
EP1748619B1 (de) Verfahren zum Aufbau einer direkten, netzübergreifenden und abhörsicheren Kommunikationsverbindung
EP4179758B1 (de) Authentisierung eines kommunikationspartners an einem gerät
DE102017203725A1 (de) Vorrichtung zum Verarbeiten von Nutzdaten in einem Steuergerät
WO2017190857A1 (de) Verfahren und vorrichtung zur absicherung von gerätezugriffen
DE102021123327A1 (de) Verfahren zum sicheren Konfigurieren einer Vielzahl von Gateway-Steuergeräten eines Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE102015225787A1 (de) Verfahren und Vorrichtung zur Empfängerauthentifikation in einem Fahrzeugnetzwerk
WO2022111923A1 (de) Verfahren zur kommunikation zwischen einer drittkomponente auf einem nutzergerät und einer dienstkomponente in der cloud sowie netzwerkanordnung zur umsetzung des verfahrens

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final