DE102022002083B3 - Verfahren zur Überwachung des Betriebs einer Verbindungsanordnung zwischen lnterlock-Komponenten sowie lnterlock-Komponente zur Verwendung in einer lnterlock- Schleife - Google Patents

Verfahren zur Überwachung des Betriebs einer Verbindungsanordnung zwischen lnterlock-Komponenten sowie lnterlock-Komponente zur Verwendung in einer lnterlock- Schleife Download PDF

Info

Publication number
DE102022002083B3
DE102022002083B3 DE102022002083.1A DE102022002083A DE102022002083B3 DE 102022002083 B3 DE102022002083 B3 DE 102022002083B3 DE 102022002083 A DE102022002083 A DE 102022002083A DE 102022002083 B3 DE102022002083 B3 DE 102022002083B3
Authority
DE
Germany
Prior art keywords
node
interlock
nodes
message
cryptographic material
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102022002083.1A
Other languages
English (en)
Inventor
Friedrich Emanuel Hust
Thorsten Schacher
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Mercedes Benz Group AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mercedes Benz Group AG filed Critical Mercedes Benz Group AG
Priority to DE102022002083.1A priority Critical patent/DE102022002083B3/de
Application granted granted Critical
Publication of DE102022002083B3 publication Critical patent/DE102022002083B3/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/42Loop networks
    • H04L12/437Ring fault isolation or reconfiguration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/005Testing of electric installations on transport means
    • G01R31/006Testing of electric installations on transport means on road vehicles, e.g. automobiles or trucks
    • G01R31/007Testing of electric installations on transport means on road vehicles, e.g. automobiles or trucks using microprocessors or computers
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/50Testing of electric apparatus, lines, cables or components for short-circuits, continuity, leakage current or incorrect line connections
    • G01R31/66Testing of connections, e.g. of plugs or non-disconnectable joints
    • G01R31/68Testing of releasable connections, e.g. of terminals mounted on a printed circuit board
    • G01R31/69Testing of releasable connections, e.g. of terminals mounted on a printed circuit board of terminals at the end of a cable or a wire harness; of plugs; of sockets, e.g. wall sockets or power sockets in appliances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Sustainable Development (AREA)
  • Sustainable Energy (AREA)
  • Power Engineering (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die Erfindung betrifft ein Verbindungsüberwachungsverfahren zur Überwachung des ordnungsgemäßen Betriebs einer Verbindungsanordnung zwischen einem ersten Knoten (N1) und mindestens einem weiteren Knoten (N2 bis N5), die über eine Interlock-Schleife (100) ringförmig verbunden sind. Jedem Knoten (N1 bis N5) wird jeweils ein zur Bildung einer digitalen Signatur (Si,k) geeignetes privates kryptographisches Material und ein korrespondierendes, zur Verifizierung dieser digitalen Signatur (Si,k) geeignetes öffentliches kryptographisches Material (C1 bis C5) zugeordnet. In einem Anlernschritt wird das öffentliche kryptographische Material (C1 bis C5) eines jeden Knotens (N1 bis N5) an jeweils alle anderen Knoten (N1 bis N5) verteilt. Danach wird von mindestens einem absendenden Knoten (N1 bis N5) mindestens eine Prüfnachricht (PN1 bis PN5) generiert und entlang der Interlock-Schleife (100) an jeden anderen empfangenden Knoten (N1 bis N5) in aufeinanderfolgenden Takten (T, T1,1...8) übertragen und von diesem jeweils digital signiert sowie, nach Ablauf einer Periode (P1 bis P8), an den absendenden Knoten (N1 bis N5) zurück übertragen. Von diesem wird die Korrektheit aller Signaturen (Si,k) der empfangenden Knoten (N1 bis N5) mit deren zugeordnetem öffentlichem kryptographischem Material (C1 bis C5) verifiziert. Aus dem Ausbleiben mindestens einer Prüfnachricht (PN1 bis PN5) und/oder aus einer inkorrekten Signatur (Si,k) wird eine Störung des ordnungsgemäßen Betriebs der Verbindungsanordnung bestimmt. Ferner betrifft die Erfindung eine mit einer Interlock-Schleife (100) verbindbare Interlock-Komponente umfassend ein Hardware Security Module (HSM), das zur Durchführung eines derartigen Verbindungsüberwachungsverfahrens eingerichtet ist.

Description

  • Die Erfindung betrifft ein Verbindungsüberwachungsverfahren zur Überwachung des ordnungsgemäßen Betriebs einer Verbindungsanordnung gemäß dem Oberbegriff des Anspruchs 1. Ferner betrifft die Erfindung eine Interlock-Komponente gemäß dem Oberbegriff des Anspruchs 7.
  • Aus dem Stand der Technik sind Interlock-Schleifen bekannt, mit denen eine Mehrzahl von Interlock-Komponenten über jeweils mindestens eine Verbindungseinrichtung derart verbunden sind, dass der Ausfall einer Interlock-Komponente oder der Ausfall oder die Störung der Verbindung entlang der Interlock-Schleife erfasst werden kann. Auf diese Weise können sicherheits- und/oder zuverlässigkeitskritische Komponenten überwacht werden.
  • Beispielsweise sind Hochvoltsysteme bekannt, bei denen Hochvolt-Komponenten als derartige Interlock-Komponenten ausgebildet und über eine Interlock-Schleife verbunden sind.
  • Hochvoltsysteme werden beispielsweise zur Versorgung des Antriebsstrangs in elektrisch betriebenen Fahrzeugen genutzt, deren Betriebssicherheit eine spezielle Hochvolt-Absicherung erfordert. Insbesondere ist bei hochvoltführenden Steckern und Buchsen eine Steckkontrolle notwendig. Bekannte Hochvolt-Interlock-Systeme (im Folgenden auch kurz als HV-Locks bezeichnet) überprüfen während des Betriebs die korrekte Steckverbindung zwischen einer Buchse und einem zugeordneten Stecker sowie einem Kabel und optional weiteren Komponenten. Störungen an einer Steckverbindung können zu einer kompletten Deaktivierung aller Hochvolt-Komponenten und damit zum Antriebsverlust des Fahrzeuges oder zum Abbruch des Ladevorgangs einer Fahrzeugbatterie führen.
  • Jedoch können auch andere sicherheits- oder zuverlässigkeitskritische Komponenten einer Systemarchitektur, beispielsweise Internet-of-Things (loT) Komponenten über eine Interlock-Schleife verbunden und abgesichert werden.
  • Aus dem Stand der Technik bekannte HV-Locks umfassen eine zentrale oder mehrere dezentrale Interlock-Schleifen, die sich entlang der Stecker und/oder Buchsen zur Verbindung mehrerer Hochvolt-Komponenten erstreckt oder erstrecken. Solche HV-Locks überprüfen lediglich den elektrischen Kontakt entlang der mindestens einen Interlock-Schleife. Durch die Buchse wird ein elektrisches Signal in den Stecker eingeprägt, und direkt aus dem Stecker wieder zurück in die Buchse geleitet. Das ausgehende Signal wird von einem Signalgenerator erzeugt und in einer Messschaltung mit dem eingehenden Signal verarbeitet. Wird kein Signal empfangen, so wird ein nicht korrekt gesteckter Stecker erkannt.
  • Derartige Hochvolt-Interlock-Systeme können eine Überbrückung nicht von einer korrekt gesteckten Verbindung unterscheiden und insbesondere durch einfaches Überbrücken, beispielsweise mit einer Sicherheitsnadel oder einer Büroklammer, umgangen werden. Ferner können derartige HV-Locks auch die unsachgemäße Veränderung an Hochvolt-Komponenten oder den ersatzweisen Einbau von Hochvolt-Komponenten, die nicht den Vorgaben der Spezifikation des Fahrzeugherstellers entsprechen, nicht erkennen.
  • Eine solche Überbrückung oder Manipulation führt zu einem erhöhten Sicherheits- oder Safety-Risiko für Insassen des Fahrzeuges. Daher sowie resultierend auch aus Forderungen einschlägiger Normen wie der Norm UN ECE W29 R155 „Cyber security and cyber security management system“ müssen derartige Manipulationen an einem Hochvolt-Interlock-System mitigiert werden.
  • Das Dokument DE 10 2021 003 652 A1 beschreibt betrifft eine elektrische Verbindungsanordnung, wenigstens umfassend ein Energieübertragungssystem mit wenigstens einem Stecker und mit wenigstens einer mit dem Stecker korrespondierenden Buchse, und ein Interlocksystem mit wenigstens einem an dem Stecker angeordneten Interlock-Steckerkontakt, mit wenigstens einem an der Buchse angeordneten korrespondierenden Interlock-Buchsenkontakt, und mit wenigstens einer Überwachungseinheit, wobei die wenigstens eine Überwachungseinheit, die Interlock-Steckerkontakte und Interlock-Buchsenkontakte in gestecktem Zustand des wenigstens einen Steckers und der wenigstens einen Buchse mittels einer Ringleitung verbunden sind, wobei in dem wenigstens einen Stecker und in der wenigstens einen Buchse jeweils wenigstens eine Identifikationskomponente angeordnet ist, welche mit der Ringleitung elektrisch verbunden ist.
  • Das Dokument DE 10 2007 058 975 A1 beschreibt ein Bordnetzsystem eines Kraftfahrzeugs mit Steuergeräten, die über einen Datenbus miteinander kommunizieren. Zur Erkennung von Manipulationen am Bordnetz eines Kraftfahrzeugs, insbesondere an der Software der Steuergeräte des Bordnetzes, und zur Ableitung geeigneter Maßnahmen wird vorgeschlagen, dass in einem ersten Steuergerät ein Master Security Modul und in einer Vielzahl der weiteren zweiten Steuergeräte jeweils ein Client Security Modul vorgesehen ist, das Master Security Modul des ersten Steuergeräts, vorzugsweise ein zentrales Gateway-Steuergerät, eine Nachricht signiert und die signierte Nachricht an mindestens eines der zweiten Steuergeräte über den Datenbus sendet. Das Client Security Modul des zweiten Steuergeräts überprüft die vom Master Security Modul empfangene signierte Nachricht daraufhin, ob sie von einem autorisierten Master Security Modul stammt.
  • Das Dokument DE 2018 004 423 A1 beschreibt ein Verfahren zum sicheren Datenaustausch. Das Verfahren umfasst: Konkatenieren von auszutauschenden Daten mit einem Zufallswert durch eine Sendervorrichtung; Erhalten, durch die Sendervorrichtung, unter Verwendung einer Hashfunktion, eines Hashwert der Daten, die mit dem Zufallswert konkateniert sind; digitales Signieren, durch die Sendervorrichtung, der Daten, die mit dem Zufallswert konkateniert sind, unter Verwendung eines privaten Schlüssels eines Benutzers der Sendervorrichtung, um dadurch eine digitale Signatur des Benutzers der Sendervorrichtung zu erzeugen; Speichern, in einer Blockchain durch die Sendervorrichtung, des Hashwerts mit der digitalen Signatur des Benutzers der Sendervorrichtung; Empfangen, durch eine Empfängervorrichtung, von Daten, die zu verifizieren sind, und des Zufallswerts; Konkatenieren, durch die Empfängervorrichtung, der empfangenen Daten mit dem Zufallswert; Erhalten, durch die Empfängervorrichtung, eines Hashwerts der empfangenen Daten, die mit dem empfangenen Zufallswert konkateniert sind, unter Verwendung der Hashfunktion; Bestimmen, durch die Empfängervorrichtung, ob der Hashwert der empfangenen Daten, die mit dem empfangenen Zufallswert konkateniert sind, in der Blockchain gespeichert ist oder nicht; Bestimmen, durch die Empfängervorrichtung, dass die empfangenen Daten die auszutauschenden Daten sind, wenn: der Hashwert der empfangenen Daten, die mit dem empfangenen Zufallswert konkateniert sind, in der Blockchain gespeichert ist; und die digitale Signatur, die in der Blockchain in Assoziation mit dem Hashwert der empfangenen Daten, die mit dem empfangenen Zufallswert konkateniert sind, gespeichert ist, als gültig bestimmt wird unter Verwendung eines öffentlichen Schlüssels des Benutzers der Sendervorrichtung.
  • Die Druckschrift CN 1 05 774 558 A beschreibt eine Vorrichtung zur Überprüfung der Sicherheit eines Hochvolt - Systems in einem elektrisch angetriebenen Fahrzeug.
  • Die Druckschrift CN 1 11 016 658 A beschreibt eine Hochvolt - Interlock Schaltung zur Absicherung eines Hochvolt - Systems eines elektrisch angetriebenen Fahrzeugs sowie ein Verfahren zur Erkennung von Defekten in einem solchen Hochvolt - System.
  • Der Erfindung liegt die Aufgabe zu Grunde, ein verbessertes Verbindungsüberwachungsverfahren zur Überwachung des ordnungsgemäßen Betriebs einer Verbindungsanordnung von als Interlock-Komponenten ausgebildeten Knoten anzugeben. Diese Aufgabe wird erfindungsgemäß mit einem Verbindungsüberwachungsverfahren mit den Merkmalen des Anspruchs 1 gelöst.
  • Ferner liegt der Erfindung die Aufgabe zu Grunde, eine verbesserte Interlock-Komponente anzugeben. Diese Aufgabe wird erfindungsgemäß mit einer Interlock-Komponente mit den Merkmalen des Anspruchs 7 gelöst.
  • Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.
  • Bei einem Verbindungsüberwachungsverfahren zur Überwachung des ordnungsgemäßen Betriebs einer Verbindungsanordnung zwischen einem ersten Verbindungsknoten und einem weiteren Verbindungsknoten (im Folgenden als Knoten bezeichnet), die als Interlock-Komponenten ausgebildet und über eine Interlock-Schleife ringförmig miteinander verbunden sind, wird jedem Knoten kryptographisches Material zugeordnet. Unter einer ringförmigen Verbindung ist insbesondere eine gerichtete Ringtopologie zu verstehen, bei der jeder Knoten mit genau einem Nachfolger über eine Verbindung zur unidirektionalen Nachrichtenübertragung verbunden ist.
  • Das kryptographische Material umfasst privates kryptographisches Material, das zur Bildung einer digitalen Signatur geeignet ist. Derartiges privates kryptographisches Material kann beispielsweise ein privater (das heißt: geheimer) Schlüssel sein, der zur Signaturbildung gemäß einem Signaturalgorithmus geeignet ist.
  • Ferner umfasst das kryptographische Material öffentliches kryptographisches Material, das zur Verifizierung einer solchen, mit dem privaten kryptographischen Material des jeweiligen Knotens gebildeten digitalen Signatur geeignet ist. Derartiges öffentliches kryptographisches Material kann beispielsweise als öffentlicher Schlüssel vorliegen. Bevorzugt wird ein öffentlicher Schlüssel mit einem Zertifikat bereitgestellt, das seinerseits digital signiert ist und dessen Authentizität und Integrität durch entlang einer öffentlich verfügbaren Zertifikatskette verifiziert werden kann.
  • In einem Anlernschritt wird das öffentliche kryptographische Material eines jeden Knotens an jeweils alle anderen Knoten verteilt.
  • Danach wird von mindestens einem absendenden Knoten mindestens eine Prüfnachricht generiert und an jeden anderen Knoten entlang der Interlock-Schleife übertragen. Eine Prüfnachricht umfasst bevorzugt eine als Freshness bezeichnete zufällig generierte Information (beispielsweise eine Zufallszahl oder eine zufällig generierte Zeichenkette), die einzigartig ist. Eine Freshness wird als praktisch einzigartig angesehen, wenn es ausreichend unwahrscheinlich ist, dass eine nachfolgend von demselben Knoten erzeugte Freshness zufällig gleich ist.
  • Ein empfangender Knoten signiert die Prüfnachricht durch Anwendung seines privaten kryptographischen Materials. Beispielsweise kann eine digitale Signatur durch Anwendung eines privaten Schlüssels des empfangenden Knotens auf die gesamte Prüfnachricht oder auf einen Teil der Prüfnachricht generiert werden. Es ist auch möglich, einen aus der Prüfnachricht ermittelten Hash - Wert zu signieren. Bevorzugt geht eine von dem absendenden Knoten der Prüfnachricht hinzugefügte, praktisch einzigartige Freshness in die Bildung der digitalen Signatur ein. Dadurch wird eine Täuschung durch Aufzeichnung und Wiederholung von vorab bereits signierten Prüfnachrichten (Replay Attack) durch einen nicht authentifizierten Knoten (welcher nicht im Besitz des zugeordneten privaten kryptographischen Materials ist) verhindert.
  • Die Prüfnachricht wird um die auf diese Weise gebildete digitale Signatur ergänzt, die beispielsweise in der Art einer verketteten Liste angehängt oder in die Zelle eines Feldes oder einer Tabelle eingetragen werden kann.
  • In einer Ausführungsform wird an einem Knoten die gesamte Prüfnachricht digital signiert. Mit anderen Worten: die digitale Signatur bezieht die von dem absendenden Knoten erstellte Freshness und alle von vorangehend durchlaufenen Knoten erstellte digitale Signaturen ein. Somit wird die Prüfnachricht umfassend die ursprünglich erstellte Freshness und einen Satz von digitalen Signaturen mit jeder Weiterleitung an einen nachfolgenden Knoten um die digitale Signatur mit dem privaten kryptographischen Material des aktuellen Knotens erweitert.
  • Indem sich eine digitale Signatur nicht nur auf die während des gesamten Umlaufs der Prüfnachricht entlang der Interlock-Schleife unveränderte Freshness, sondern auch auf die inkrementell (mit jeder Weiterleitung an einen nachfolgenden Knoten) aufwachsenden digitalen Signaturen bezieht, welche für einen möglichen Angreifer nicht vorhersagbar und nicht kontrollierbar sind, werden Oracle Replay Angriffe erschwert oder unmöglich gemacht. Dadurch wird die kryptographische Sicherheit dieser Ausführungsform verbessert.
  • Bevorzugt werden Prüfnachrichten in allen an der Interlock-Schleife beteiligten Knoten synchron innerhalb einer als Takt bezeichneten Zeitspanne generiert und an den jeweiligen Nachfolger in der Ringtopologie weitergeleitet. Im darauffolgenden Takt werden die empfangenen Prüfnachrichten vom empfangenden Knoten signiert und danach (sofern die Interlock-Schleife mindestens drei Knoten umfasst) an dessen Nachfolger weitergeleitet, wie bereits beschrieben.
  • In analoger Weise wird jede Prüfnachricht in jedem Takt von einem empfangenden Knoten mittels dessen privatem kryptographischem Material digital signiert und entlang der ringförmigen Interlock-Schleife in immer derselben Richtung weitergereicht und gelangt somit nach Ablauf einer Anzahl von Takten, die gleich der Anzahl der in der Ringtopologie der Interlock-Schleife angeordneten Knoten ist (das heißt: nach Ablauf einer Periode), an den absendenden Knoten zurück. Beim Durchlauf durch diese Ringtopologie werden sukzessive die digitalen Signaturen aller empfangender Knoten in der Prüfnachricht ergänzt.
  • Der ursprünglich absendende Knoten verifiziert die Korrektheit aller durch die übrigen Knoten der Interlock-Schleife in der Prüfnachricht ergänzten Signaturen durch Anwendung von deren öffentlichem kryptografischem Material, welches ihm mit dem Anlernschritt bereitgestellt wurde.
  • Bei ordnungsgemäßem Betrieb erhält somit jeder Knoten in jedem auf die synchrone Generierung einer Prüfnachricht folgenden Takt von seinem Vorgänger in der Ringtopologie einer Prüfnachricht. Bleibt der Empfang einer Prüfnachricht über mindestens einen Takt hinweg aus, so wird daraus eine Störung des ordnungsgemäßen Betriebs der Verbindungsanordnung bestimmt.
  • Alternativ oder zusätzlich wird eine Störung des ordnungsgemäßen Betriebs der Verbindungsanordnung bestimmt, wenn ein Knoten nach Ablauf einer Periode in einer von ihm selbst abgesandten Prüfnachricht eine inkorrekte digitale Signatur feststellt. Eine inkorrekte digitale Signatur einer Prüfnachricht kann dadurch festgestellt werden, dass die Prüfnachricht eine digitale Signatur enthält, die nicht mit dem im Anlernschritt empfangenen öffentlichen kryptographischen Material der übrigen beteiligten Knoten verifiziert werden kann. Ferner kann eine inkorrekte digitale Signatur einer Prüfnachricht dadurch festgestellt werden, dass zum öffentlichen kryptographischen Material mindestens eines an dem Anlernschritt beteiligten Knotens in der Prüfnachricht keine digitale Signatur zugeordnet werden kann.
  • Mit anderen Worten: eine Prüfnachricht wird nur dann als erfolgreicher Test der Verbindungsanordnung angesehen, wenn sie zum absendenden Knoten innerhalb einer vorbestimmten Zeit (einer Periode) zurückgelangt und dabei von allen unterwegs durchlaufenen Knoten in einer durch den Anlernschritt zuvor vereinbarten geheimen Weise signiert worden ist.
  • Ein Vorteil des erfindungsgemäßen Verfahrens besteht somit darin, dass Manipulationen an der Verbindungsanordnung, insbesondere eine einfache Überbrückung oder ein einfaches Wiedereinspielen von aufgezeichneten Daten oder Prüfnachrichten, erkannt werden. Ebenso wird der Austausch von Interlock-Komponenten erkannt, deren Identität (die durch das private kryptographische Material bestimmt ist) von der im Anlernschritt offenbarten Identität abweicht. Insbesondere wird somit ein nicht autorisierter Austausch von Interlock-Komponenten durch das erfindungsgemäße Verfahren erkannt und somit die Betriebssicherheit einer daraus aufgebauten Systemarchitektur verbessert.
  • Potentiell kompromittierte (nicht autorisierte) Bauteile könnten somit nur dann eingesetzt werden, wenn alle an der Interlock-Schleife beteiligten Interlock-Komponenten ausgetauscht werden. Durch die damit einhergehenden zusätzlichen Aufwände und Kosten können der Einsatz und die Verbreitung derartiger Bauteile wirksam verhindert werden.
  • Zudem kann ein nur teilweiser Ausfall der Verbindungsanordnung lokalisiert, das heißt: ein betroffener oder mehrere betroffene Knoten identifiziert werden. Dadurch ist eine spezifischerer Fehler- oder Ersatzreaktion möglich.
  • Somit besteht ein allgemeiner Vorteil des erfindungsgemäßen Verfahrens darin, dass Interlock-Komponenten, welche in einer als kryptographisch vertrauenswürdig anzusehenden Provisionierungsumgebung provisioniert (das heißt: konfiguriert und insbesondere mit privatem kryptographischem Material versehen) werden, anschließend in einer potenziell kryptographisch nicht vertrauenswürdigen Betriebsumgebung betrieben werden können, ohne dass die Betriebssicherheit dabei kompromittiert wird.
  • In einer Ausführungsform des Verbindungsüberwachungsverfahrens sind die Interlock-Komponenten oder Knoten als Hochvolt-Komponenten eines Fahrzeugs ausgebildet, die mit einem Hochvoltsystem verbunden werden können. Dadurch kann die Betriebssicherheit eines solchen Hochvoltsystems, die besonders hohen Anforderungen unterworfen ist, verbessert werden. Zudem kann auf den Ausfall einer einzelnen Hochvolt-Komponente in stärker spezifischer Weise, das heißt: mit geringerer Beeinträchtigung der Gesamtfunktionalität des Hochvoltsystems, reagiert werden.
  • In einer alternativen Ausführungsform sind die Interlock-Komponenten als Internet-of-Things (IoT) Komponenten ausgebildet, die über ein Internetprotokoll miteinander sowie mit zentralen Komponenten, beispielsweise Backend-Servern, verbindbar sind. Derartige loT Komponenten sind wegen ihrer Verbindbarkeit mit dem Internet als besonders vulnerabel anzusehen. Die vorgeschlagene Ausführungsform des Verbindungsüberwachungsverfahrens ermöglicht einen dessen ungeachtet sicheren Betrieb derartiger loT Komponenten in einer sicherheits- und/oder zuverlässigkeitskritischen Systemarchitektur.
  • In einer Ausführungsform des Verbindungsüberwachungsverfahrens wird ein Safety - Event ausgelöst, wenn über eine vorbestimmte Anzahl von aufeinanderfolgenden Takten hinweg keine Prüfnachricht an einem Knoten empfangen wird. Mit dieser Ausführungsform können sporadische Störungen ohne Beeinträchtigung der Betriebssicherheit ignoriert werden. Dadurch ist ein besonders robuster und zugleich sicherer Betrieb einer Verbindungsanordnung möglich.
  • In einer Ausführungsform des Verbindungsüberwachungsverfahrens wird von einem Knoten ein Security -Event und/oder ein Safety - Event ausgelöst, wenn eine oder mehrere, über eine vorbestimmte Anzahl von aufeinanderfolgenden Perioden hinweg von diesem Knoten empfangene eigene Prüfnachrichten mindestens eine inkorrekte Signatur mindestens eines anderen Knotens aufweisen. Dadurch kann eine Manipulation an der Verbindungsanordnung, insbesondere der Betrieb von nicht ursprünglich (das heißt: im Anlernschritt) authentifizierten Hochvolt-Komponenten identifiziert und eine darauf angepasste Fehler- und Ersatzreaktion eingeleitet werden.
  • In einer Ausführungsform des Verbindungsüberwachungsverfahrens wird beim Auslösen eines Safety - Events mindestens ein Knoten in einen sicheren Zustand versetzt und/oder mindestens eine Teilfunktion der von der Gesamtheit der Knoten bereitgestellten Funktionalität deaktiviert und/oder mindestens eine Warn- oder Diagnosemeldung registriert. Ein Vorteil dieser Ausführungsform besteht darin, dass durch eine derartige gezielte Fehlerreaktion ein sicherer Zustand herbeigeführt werden kann, der die Funktionalität des gesamten Fahrzeugs nicht mehr als notwendig beeinträchtigt. Beispielsweise können Fehler, die nicht instantan zu einer Gefährdung führen, lediglich protokolliert und bei einem späteren Werkstattbesuch ausgelesen werden. Alternativ oder zusätzlich können solche Fehler über ein Backend ausgewertet und entsprechend gezielte Wartungsempfehlungen erstellt werden.
  • In einer Ausführungsform des Verbindungsüberwachungsverfahrens wird beim Auslösen eines Security - Events mindestens eine Warnmeldung ausgegeben und/oder das Security - Event in einem Security Event Log und/oder in einem Incidence Management System registriert. Ein Vorteil dieser Ausführungsform besteht darin, dass sowohl der Nutzer eines Fahrzeugs als auch eine zentrale Instanz (beispielsweise, über das Incidence Management oder über die von Vertragswerkstätten ausgelesenen Security Event Logs, der Fahrzeughersteller) von Manipulationen an Hochvolt-Komponenten informiert werden können. Dadurch kann zum einen die Betriebssicherheit eines individuellen Fahrzeugs verbessert werden. Andererseits sind auch Gegenmaßnahmen möglich, die die Verbreitung und das Inverkehrbringen von nicht autorisierten Bauteilen erschweren oder verhindern.
  • Eine Interlock-Komponente umfasst mindestens eine mit einer Interlock-Schleife verbindbare, bevorzugt lösbar verbindbare Verbindungseinrichtung, die beispielsweise als Stecker oder als Buchse mit mindestens einem elektrischen Kontakt ausgebildet ist, mit mindestens einem mit der Interlock-Schleife verbindbaren Interlock-Kontakt. Ein Interlock-Kontakt kann als elektrischer Kontakt ausgebildet sein. Eine Interlock-Schleife kann aber auch mittels eines Lichtwellenleiters gebildet werden. In dieser Ausführungsform ist ein Interlock-Kontakt als optischer Kontakt, beispielsweise als Optokoppler, ausgebildet.
  • Erfindungsgemäß umfasst die Interlock-Komponente ferner ein Hardware Security Module, das zur Generierung und zur Verifizierung digitaler Signaturen eingerichtet ist und das mindestens einen Speicher aufweist, der zur Ablage von eigenem sowie von fremdem kryptographischem Material eingerichtet ist, welches von anderen, als Knoten einer Interlock-Schleife ausgebildeten Interlock-Komponenten bereitgestellt wird.
  • Erfindungsgemäß ist das Hardware Security Module zur Durchführung eines vorangehend beschriebenen Verbindungsüberwachungsverfahrens eingerichtet. Bevorzugt ist ferner der Speicher dafür eingerichtet, Parameter des Verbindungsüberwachungsverfahrens, beispielsweise die Anzahl der an einer Interlock-Schleife angeschlossenen Knoten, den Status eines Anlernschrittes (ob durchgeführt, in Verarbeitung oder noch offen), den Wert eines Safety - Zählers und/oder den Wert eines Security - Zählers zu speichern.
  • Die Vorteile der erfindungsgemäßen Interlock-Komponente entsprechen denen des erfindungsgemäßen Verbindungsüberwachungsverfahrens. Insbesondere sind derartige Interlock-Komponenten gegen Manipulation oder Austausch durch eine vom Hersteller des Fahrzeugs nicht autorisierte Ersatzkomponente gesichert.
  • In einer Ausführungsform ist die mit der Interlock-Schleife verbindbare Verbindungseinrichtung als Steckverbindung ausgebildet. Solche Steckverbindungen sind kostengünstig, robust und ermöglichen eine besonders leichte Montage.
  • In einer Ausführungsform ist die Interlock-Komponente als Hochvolt-Komponente für ein Fahrzeug mit einem Hochvoltsystem ausgebildet und die Verbindungseinrichtung mit dem Hochvoltsystem des Fahrzeugs verbindbar ausgebildet. Die Vorteile dieser Ausführungsform entsprechen denen der Ausführungsform des Verbindungsüberwachungsverfahrens für als Hochvolt-Komponenten ausgebildete Interlock-Komponenten.
  • In einer Ausführungsform weist eine Interlock-Komponente ein Hardware Security Module auf, das einen Hardwarebeschleunigungsbaustein umfasst, der zur beschleunigten Ausführung von kryptographischen Operationen, beispielsweise die Generierung und/oder die Verifizierung digitaler Signaturen, eingerichtet ist. Durch eine derart beschleunigte Ausführung kryptographischer Operationen können die Taktzeiten eines getakteten Verbindungsüberwachungsverfahrens verkürzt werden. Dadurch ist eine zeitlich besonders engmaschige Überwachung des ordnungsgemäßen Betriebs einer Verbindungsanordnung mit einer Interlock-Komponente gemäß dieser Ausführungsform möglich.
  • Ausführungsbeispiele der Erfindung werden im Folgenden anhand von Zeichnungen näher erläutert.
  • Dabei zeigen:
    • 1 schematisch einen Stecker und eine Buchse mit Interlock - Kontakten nach dem Stand der Technik,
    • 2 schematisch eine Interlock-Schleife mit in einer Ringtopologie angeordneten Knoten,
    • 3 schematisch den Aufbau eines einzelnen Knotens einer solchen I nterlock-Schleife,
    • 4 bis 9 schematisch die Verteilung von kryptographischem Material an Knoten einer solchen Interlock-Schleife,
    • 10 einen schematischen Ablaufplan für das Versenden von Kryptomaterial,
    • 11 einen schematischen Ablaufplan für das Empfangen von Kryptomaterial,
    • 12 bis 14 schematisch die Verteilung von Prüfnachrichten zwischen Knoten einer solchen Interlock-Schleife,
    • 15 schematisch den Zeitablauf beim Auslösen eines Safety - Events,
    • 16 schematisch den Zeitablauf beim Auslösen eines Security - Events sowie
    • 17 einen schematischen Ablaufplan für ein Verbindungsüberwachungsverfahren.
  • Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
  • 1 zeigt schematisch einen aus dem Stand der Technik bekannten Stecker 10 und eine dazu korrespondierend ausgebildete Buchse 20. Der Stecker 10 und die Buchse 20 weisen beide eine Mehrzahl von zueinander passenden elektrischen Kontakten 11 und 21 auf. Jeweils ein Paar solcher Kontakte 11, 21 stellt, wenn der Stecker 10 und die Buchse 20 mechanisch verbunden sind, eine elektrische Verbindung her, über die ein beispielsweise mit dem Stecker 10 verbundenes, vorliegend nicht näher dargestelltes Bauteil elektrisch versorgt werden kann.
  • Zur Überprüfung der sicheren Verbindung zwischen dem Stecker 10 und der Buchse 20 ist eine Ringleitung 30 vorgesehen, die bei der mechanischen Verbindung des Steckers 10 mit der Buchse 20 mittels zweier Interlock-Steckerkontakte 31, 32 am Stecker 10 und zweier korrespondierender Interlock-Buchsenkontakte 33, 34 an der Buchse 20 gebildet wird. Beim korrekten mechanischen Verbinden wird eine Interlock-Verbindung zwischen dem ersten Interlock-Steckerkontakt 31 und dem ersten Interlock-Buchsenkontakt 33 sowie zwischen dem zweiten Interlock-Steckerkontakt 32 und dem zweiten Interlock-Buchsenkontakt 34 hergestellt. Bevorzugt ist die Ringleitung 30 als Lichtwellenleiter ausgebildet. Dann wird die Interlock-Verbindung als optische Kopplung hergestellt.
  • Auf der Seite des Steckers 10 ist die Ringleitung 30 durch mindestens ein nicht näher dargestelltes Bauteil geschleift. Auf der Seite der Buchse 20 ist in der Ringleitung 30 eine Überwachungseinheit 35 angeordnet, die wenigstens einen Signalgenerator und einen Empfänger umfasst, die nicht näher dargestellt sind. Die Ringleitung 30, die Überwachungseinheit 35 und die Interlock-Kontakte 31 bis 34 bilden eine Interlock-Schleife 40.
  • Der Signalgenerator speist ein für die Buchse 20 charakteristisches Sendesignal in die Ringleitung 30 ein. Dieses Signal wird bei mechanischer Verbindung von Stecker 10 und Buchse 20 beispielsweise über die ersten Interlock-Kontakte 31, 33 auf den Stecker 10 übertragen und durch das Bauteil geschleift. Über die zweiten Interlock-Kontakte 32, 34 wird ein Antwortsignal vom Bauteil und dem Stecker 10 zurück in die Buchse 20 übertragen und von dem Empfänger der Überwachungseinheit 35 aufgenommen.
  • Die Überwachungseinheit 35 ist für einen Vergleich des vom Signalgenerator gesendeten Sendesignals mit dem von dem Empfänger empfangenen Antwortsignal eingerichtet. Wird eine Abweichung von dem erwarteten Antwortsignal, beispielsweise ein unvollständig oder gar nicht empfangenes Antwortsignal, festgestellt, so kann daraus ein Fehler in dem Bauteil, in der Verbindung zwischen dem Stecker 10 und der Buchse 20 oder entlang eines Kabels, in dem die Ringleitung 30 verlegt ist, bestimmt werden.
  • Bei einem Fahrzeug kann eine derartige Interlock-Schleife 40 auch über mehrere Bauteile erstreckt sein. Beispielsweise können mehrere Hochvolt-Komponenten über je eine Buchse 20 und einen Stecker 10 miteinander verbunden sein und durch eine einzige zentrale Interlock-Schleife 40, die durch alle Hochvolt-Komponenten geschleift ist, abgesichert sein. Aus dem Stand der Technik sind für eine derartige, über mehrere Bauteile erstreckte Interlock-Schleife 40 Identifikationskomponenten bekannt, die auf das von der Überwachungseinheit 35 eingespeiste Signal in charakteristischer, eindeutig zuzuordnender Weise antworten.
  • Indem beispielsweise jeder Buchse 20 und jedem Stecker 10 aller an einer solchen zentralen Interlock-Schleife 40 angeschlossenen Bauteile eine eindeutige Identifikationskomponente zugeordnet wird, kann die Überwachungseinheit 35 ermitteln, ob und gegebenenfalls welche angeschlossenen Hochvolt-Komponenten nicht oder nicht korrekt antworten. Auf diese Weise können spezifische, auf die ausgefallene Hochvolt-Komponente angepasste Schutz- oder Wiederherstellungsmaßnahmen eingeleitet werden.
  • Diese aus dem Stand der Technik bekannten Identifikationskomponenten sind jedoch gegen eine Manipulation nur unzureichend geschützt. Insbesondere kann eine fehlerhafte oder von einer Originalspezifikation abweichende Hochvolt-Komponente unerkannt in eine zentrale Interlock-Schleife 40 eingebracht werden, wenn sie eine Identifikationskomponente aufweist, die auf ein Sendesignal der Überwachungseinheit 35 in gleicher Weise antwortet wie eine originale, fehlerfrei arbeitende Hochvolt-Komponente.
  • 2 zeigt schematisch eine demgegenüber verbesserte erfindungsgemäße zentrale Interlock-Schleife 100, über die Knoten N1 bis N5 in einer Ringtopologie miteinander verbunden sind. Beispielhaft kann die Interlock-Schleife 100 eine Ringleitung 30 umfassen, die zur optischen oder elektrischen, digitalen Datenübertragung zwischen benachbarten Knoten N1 bis N5 eingerichtet ist, beispielsweise als Lichtwellenleiter analog zu dem in 1 dargestellten, aus dem Stand der Technik bekannten Ausführungsbeispiel.
  • Vorliegend ist die Interlock-Schleife 100 zur unidirektionalen Datenübertragung von einem Knoten N1 bis N5 zu einem im Uhrzeigersinn benachbarten Knoten N1 bis N5 ausgelegt. Mit anderen Worten: der erste Knoten N1 kann entlang der Interlock-Schleife 100 Daten an den zweiten Knoten N2, der zweite Knoten N2 an den dritten Knoten N3, der dritte Knoten N3 an den vierten Knoten N4, der vierte Knoten N4 an den fünften Knoten N5 und der fünfte Knoten N5 an den ersten Knoten N1 übertragen.
  • Es ist aber auch möglich, die Interlock-Schleife 100 für eine bidirektionale Datenübertragung auszulegen. Auch muss die physikalische Leitungsführung nicht zwingend ringförmig ausgestaltet sein, sondern kann als im Prinzip beliebig vermaschtes Netz, als Stern- oder als Bustopologie ausgestaltet werden und weitere, in 2 nicht näher dargestellte Datenübertragungskomponenten wie Verstärker, Wandler, Router oder Switches umfassen. Für die Durchführbarkeit des Verfahrens ist lediglich erforderlich, dass die physikalische Leitungsführung die Übertragung von Daten von einem Knoten N1 bis N5 zu einem im Uhrzeigersinn benachbarten Knoten N1 bis N5 ermöglicht. Mit anderen Worten: es muss die logische Anordnung von Knoten N1 bis N5 in einem Ring ermöglicht sein.
  • Die Knoten N1 bis N5 sind zum Empfangen und zum Senden von Daten über die Interlock-Schleife 100 eingerichtet. Beispielhaft weist jeder Knoten N1 bis N5 mindestens je zwei in 2 der Übersichtlichkeit halber nicht dargestellte Verbindungselemente auf, die jeweils als Stecker 10 oder als Buchse 20 korrespondierend zu den Verbindungselementen der beiden in der Ringtopologie (im sowie entgegen dem Uhrzeigersinn) benachbarten Knoten N1 bis N5 ausgebildet sind.
  • Bei einer Ausführungsform als Hochvolt-Interlock-System können Stecker 10 und/oder Buchse 20 eines Knotens N1 bis N5 gemäß der in 1 schematisch dargestellten Ausführungsform ausgebildet sein und elektrische Kontakte 11, 21 umfassen. Darüber hinaus umfassen sie mindestens einen Interlock-Kontakt 31 bis 34 zur Verbindung des Knotens N1 bis N5 mit der Interlock-Schleife 100, beispielsweise einen Optokoppler zur Verbindung mit einer Ringleitung 30 der Interlock-Schleife 100. Beim mechanischen Lösen eines Steckers 10 oder einer Buchse 20 vom korrespondierenden Verbindungselement wird somit auch die über den jeweils mindestens einen Interlock-Kontakt 31 bis 34 vermittelte Verbindung des jeweiligen Knotens N1 bis N5 zur Interlock-Schleife 100 unterbrochen.
  • Ferner umfasst jeder Knoten N1 bis N5, wie in 3 für den ersten Knoten N1 beispielhaft schematisch dargestellt, ein Hardware Security Module HSM, das zur Aufnahme von kryptographischem Material, beispielsweise zur Aufnahme mindestens eines privaten Schlüssels oder eines Zertifikats, eingerichtet und gegen das Auslesen solchen kryptographischen Materials besonders gut geschützt ist. Optional kann ein Knoten N1 bis N5 ferner ein in 3 nicht näher dargestelltes Hardwarebeschleunigungsmodul umfassen, das zur besonders schnellen oder effizienten Ausführung kryptographischer Verfahren (Verschlüsseln, Signieren und/oder Verifizieren einer Signatur) eingerichtet ist.
  • Ein Knoten N1 bis N5 umfasst ferner einen beschreibbaren Speicher MEM, der bevorzugt innerhalb des Hardware Security Module HSM angeordnet ist und der eine Mehrzahl von Speicherplätzen aufweist. Wie nachfolgend noch genauer erläutert wird, ist der Speicher MEM zur Ablage von Informationen wie einem Zertifikat oder einem Schlüsselpaar (umfassend einen privaten und einen öffentlichen Schlüssel), das dem Knoten N1 bis N5 zugeordnet ist, einem Pool für Zertifikate anderer Knoten N1 bis N5, einer Anzahl von an der Interlock-Schleife 100 angeschlossener Knoten N1 bis N5, einem Statuswert zur Beschreibung des Anlernens, einem Statuswert zur Erfassung der Verteilung des eigenen kryptographischen Materials sowie zur Ablage von Zählern und Grenzwerten für Zähler zur Bewertung des Betriebsverhaltens des jeweiligen Knotens N1 bis N5 ausgebildet.
  • In 2 ist ein initialer Zustand dargestellt, in welchem der Speicher MEM eines jeden Knotens N1 bis N5 leer ist. Ein solcher initialer Zustand könnte beispielsweise unmittelbar nach der Montage von Hochvolt-Komponenten in einem Fahrzeug, jedoch noch vor Abschluss der Fertigung des Fahrzeugs erreicht sein. Es ist möglich, dass durch vorkonfigurierte Hardware Security Module HSM bereits in diesem initialen Zustand jedem der Knoten N1 bis N5 eine kryptographische Identität (das heißt: ein einzigartiges Schlüsselpaar, Zertifikat oder anderes kryptographisches Material) zugeordnet ist. Alternativ kann diese kryptographische Identität in einem nachfolgend genauer erläuterten Anlernschritt zugeordnet werden.
  • In dem initialen Zustand nach 2 verfügt ein Knoten N1 bis N5 jedoch noch nicht über Informationen zu den anderen Knoten N1 bis N5 derselben Interlock-Schleife 100, insbesondere nicht über Informationen zu deren kryptographischer Identität. Um von anderen Knoten N1 bis N5 entlang der Interlock-Schleife 100 übermittelte Daten auf Authentizität prüfen zu können, wird zunächst in einem Anlernschritt das öffentliche kryptographische Material C1 bis C5 aller Knoten N1 bis N5 an alle anderen Knoten N1 bis N5 verteilt. Dies wird zunächst anhand der 4 bis 11 näher erläutert.
  • Der Anlernschritt wird einmalig vor einer ersten Inbetriebnahme, beispielsweise nach der Montage aller Hochvolt-Komponenten eines Fahrzeugs, ausgeführt. Optional wird der Anlernschritt bei Service- oder Reparaturarbeiten, beispielsweise nach dem Austausch einer Hochvolt-Komponente, wiederholt, um die dann geänderte kryptographische Identität eines der ausgetauschten Hochvolt-Komponente zugeordneten Knotens N1 bis N5 zu berücksichtigen.
  • Der Anlernschritt kann nur ausgeführt werden, nachdem alle Knoten N1 bis N5 in einen Anlernmodus versetzt wurden. Zur Einstellung des Anlernmodus ist eine Authentifizierung erforderlich, die beispielsweise mittels eines externen oder fahrzeuginternen Diagnosegerätes erfolgen kann. Zudem kann eine solche Authentifizierung in einem Steuergerät des Fahrzeugs aufgezeichnet und/oder von diesem an ein zentrales Backend übermittelt werden. Auf diese Weise kann eine Änderung der kryptographischen Identität eines Knotens N1 bis N5 jederzeit zurückverfolgt werden.
  • Nach der Ausführung des Anlernschritts sind jedem Knoten N1 bis N5 eine kryptographische Identität sowie kryptographisches Material C1 bis C5 zugeordnet, mit dem die Authentizität von Daten aller anderen Knoten N1 bis N5 derselben Interlock-Schleife 100 überprüft werden kann. Anhand der 4 bis 11 wird nachfolgend zur Erklärung des Anlernschrittes erläutert, wie in einem anschließenden operativen Betrieb Störungen, beispielsweise ein Ausfall eines Knotens N1 bis N5 oder eine Manipulation eines Knotens N1 bis N5, entlang der Interlock-Schleife 100 festgestellt werden.
  • 4 zeigt schematisch einen ersten Teilschritt des Anlernschrittes, der vorliegend beispielhaft an einem ersten Knoten N1 gestartet wird, der jedoch selbstverständlich auch an einem beliebigen anderen Knoten N2 bis N5 gestartet werden kann. Der den ersten Teilschritt des Anlernschritts initiierende Knoten N1 kann vorbestimmt sein (beispielsweise durch ein eigens und exklusiv eingestelltes Flag), dynamisch zentral vorgegeben werden (beispielsweise durch ein Steuergerät oder durch ein externes Diagnosegerät) oder auch dynamisch dezentral ausgehandelt werden (beispielsweise durch einen Kollisionsdetektionsalgorithmus).
  • Der initiierende Knoten (vorliegend also der erste Knoten N1) sendet das ihm zugeordnete erste öffentliche kryptographische Material C1 mit einer ersten Nachricht M1 an denjenigen Knoten, der ihm in der gerichteten Ringtopologie als Nachfolger benachbart ist (vorliegend also an den im Uhrzeigersinn nachfolgenden zweiten Knoten N2). Der erste Knoten N1 vermerkt den Beginn der Verteilung seines kryptographischen Materials C1, beispielsweise durch Setzen eines Anlernstatus auf den Wert „kryptographisches Material verteilend“ in seinem lokalen Speicher MEM.
  • Die Verbindung zwischen benachbarten Knoten N1 bis N5, entlang der die erste Nachricht M1 übertragen wird, kann als Ringleitung 30 ausgebildet sein, über die die Knoten N1 bis N5 mittels Interlock-Kontakten 31 bis 34 seriell ringförmig verbunden sind, wie dies bereits anhand von 1 erläutert wurde. Bevorzugt ist die Verbindung paarweise zwischen Knoten N1 bis N5 ausgebildet und zur unidirektionalen Datenübertragung eingerichtet.
  • Das mit der ersten Nachricht M1 an den zweiten Knoten N2 übermittelte kryptographische Material C1 kann beispielsweise als öffentlicher Schlüssel oder als digitales Zertifikat ausgebildet sein, das einen solchen öffentlichen Schlüssel umfasst und das dessen Prüfung auf Integrität und Authentizität ermöglicht.
  • Nach dem Erhalt der ersten Nachricht M1 prüft der zweite Knoten N2, ob dieses erste kryptographische Material C1 bereits in seinem lokalen Speicher MEM gespeichert ist. In einem initialen Zustand (das heißt: mit leerem Speicher MEM) überträgt der zweite Knoten N2 das erste kryptographische Material C1 in seinen lokalen Speicher MEM und leitet die erste Nachricht M1 an seinen Nachfolger in der Ringtopologie (vorliegend: an den dritten Knoten N3) weiter, wie in 5 schematisch dargestellt.
  • In gleicher Weise wird auf den weiteren Knoten N3 bis N5 verfahren, bis die erste Nachricht M1, nachdem sie entlang der Interlock-Schleife 100 über sämtliche andere Knoten N2 bis N5 hinweg übermittelt und das erste kryptographische Material C1 in den jeweiligen lokalen Speichern MEM abgelegt worden ist, wieder vom fünften Knoten N5 an den ersten Knoten N1 übermittelt wird, wie in 6 schematisch dargestellt.
  • In dem in 6 dargestellten Zustand erkennt der erste Knoten N1 einen vollständigen Durchlauf seiner ersten Nachricht M1 durch alle anderen Knoten N2 bis N5 der Ringtopologie, indem das darin enthaltene erste kryptographische Material C1 mit seinem eigenen öffentlichen Schlüssel und/oder mit seinem eigenen digitalen Zertifikat verglichen wird. Daraufhin vermerkt der erste Knoten N1 diesen vollständigen Umlauf (das heißt: die vollständige Verteilung seines öffentlichen kryptographischen Materials C1) durch Ändern des Anlernstatus auf den Wert „Verteilung kryptographischen Materials abgeschlossen“ und reicht die erste Nachricht M1 erneut an den nachfolgenden zweiten Knoten N2 weiter, wie in 7 dargestellt.
  • Mit dem erneuten Empfang der ersten Nachricht M1 stellt der zweite Knoten N2 fest, dass das darin übermittelte kryptographische Material C1 bereits in seinem lokalen Speicher MEM abgelegt ist und startet den zweiten Teilschritt des Anlernschritts. Darin wechselt der zweite Knoten N2 seinen Anlernstatus auf den Wert „kryptographisches Material verteilend“ und sendet eine zweite Nachricht M2 an den in der Ringtopologie nachfolgenden dritten Knoten N3, wie in 8 dargestellt.
  • Die zweite Nachricht M2 umfasst öffentliches kryptographisches Material C2, das dem zweiten Knoten N2 zugeordnet ist. Sie wird in gleicher Weise von Knoten N1 bis N5 zu Knoten N1 bis N5 entlang der Ringtopologie weitergereicht, bis sie den zweiten Knoten N2 wieder erreicht. In jedem unterwegs durchlaufenen Knoten N3 bis N5, N1 wird das zweite kryptographische Material C2 aus der zweiten Nachricht M2 extrahiert und lokal im jeweiligen Speicher MEM abgelegt. Wenn die zweite Nachricht M2 zurück an den zweiten Knoten N2 gelangt ist, wird durch Vergleich mit dem eigenen kryptographischen Material (das heißt: mit dem eigenen öffentlichen Schlüssel oder dem eigenen digitalen Zertifikat) dessen vollständige Verteilung festgestellt und der Anlernstatus auf den Wert „Verteilung kryptographischen Materials abgeschlossen“ geändert.
  • In gleicher Weise wird das öffentliche kryptographische Material C3, C4 und C5 der weiteren Knoten N3, N4 und N5 in nachfolgenden Teilschritten des Anlernschrittes verteilt.
  • Die Änderung des Anlernstatus eines Knotens N1 bis N5 auf den Wert „Verteilung kryptographischen Materials abgeschlossen“ wird in 6 und in den folgenden Figuren durch eine Schraffur verdeutlicht, die gleich zur Schraffur desjenigen Teils einer Nachricht gewählt ist, der schematisch das öffentliche kryptographische Material C1 bis C5 des jeweiligen Knotens N1 bis N5 darstellt.
  • Nachdem der letzte (vorliegend: der fünfte) Knoten N5 sein kryptographisches Material C5 in einer fünften Nachricht M5 versendet hat und nach einem vollständigen Umlauf durch die Ringtopologie diese fünfte Nachricht M5 wieder erhalten hat, wechselt auch der fünfte Knoten N5 den Wert seines Anlernstatus auf den Wert „Verteilung kryptographischen Materials abgeschlossen“ und reicht die fünfte Nachricht M5 nochmals an den ersten Knoten N1 weiter.
  • In diesem Zustand, der in 9 schematisch dargestellt ist, haben sämtliche Knoten N1 bis N5 das öffentliche kryptographische Material C1 bis C5 aller anderen Knoten N1 bis N5 erhalten und lokal gespeichert.
  • Der erste Knoten N1 stellt beim erneuten Empfang der fünften Nachricht M5 fest, dass deren kryptographisches Material C5 bereits gespeichert wurde und erkennt daran die vollständige Verteilung aller kryptographischen Materialien C1 bis C5. Damit wird der Anlernschritt abgeschlossen.
  • 10 stellt schematisch den Ablauf der Verteilung kryptographischen Materials C1 bis C5 von einem Knoten N1 bis N5 dar. Ausgehend von einem Startpunkt S0 sendet der Knoten N1 bis N5 in einem ersten Schritt S1 sein jeweiliges öffentliches kryptographisches Material C1 bis C5 (beispielsweise den öffentlichen Schlüssel eines Schlüsselpaares oder ein digitales Zertifikat mit einem solchen öffentlichen Schlüssel) mit einer Nachricht M1 bis M5 an den in der Ringtopologie nachfolgenden Knoten N1 bis N5 und setzt seinen Anlernstatus auf den Wert „kryptographisches Material verteilend“.
  • In einem nachfolgenden zweiten Schritt S2 prüft der Knoten N1 bis N5 eine eingehende Nachricht M1 bis M5 dahingehend, ob darin das von ihm versandte kryptographische Material C1 bis C5 enthalten ist. Falls nicht, wird der zweite Schritt S2 bei der nächsten einlaufenden Nachricht M1 bis M5 erneut ausgeführt, bis eine Nachricht M1 bis M5 mit dem dem jeweiligen Knoten N1 bis N5 zugeordneten eigenen kryptographischen Material C1 bis C5 einläuft.
  • Nachfolgend wird in einem dritten Schritt S3 der Anlernstatus des Knotens N1 bis N5 auf den Wert „Verteilung kryptographischen Materials abgeschlossen“ gesetzt sowie anschließend in einem vierten Schritt S4 die Nachricht M1 bis M5 mit dem eigenen kryptographischen Material C1 bis C5 dieses Knotens N1 bis N5 erneut an dessen Nachfolger gesendet.
  • Anschließend wartet der Knoten N1 bis N5 in einem fünften Schritt S5 auf weitere Nachrichten M1 bis M5. Der fünfte Schritt S5 sowie der daran anschließende Ablauf sind in 11 schematisch dargestellt, die den Anlernschritt für Knoten N1 bis N5 beschreibt, deren kryptographisches Material C1 bis C5 aktuell nicht an andere Knoten N1 bis N5 verteilt wird (das heißt: das nicht in einer im Umlauf entlang der Interlock-Schleife 100 befindlichen Nachricht enthalten ist).
  • Der fünfte Schritt S5 wird entweder ausgehend vom Startpunkt S0 ausgeführt, wenn dem jeweilige Knoten N1 bis N5 nicht die Initiierung des Anlernschrittes übertragen wurde, oder nachfolgend, wie bereits anhand von 10 erklärt wurde, auf den vierten Schritt S4 (das heißt: nachdem die Verteilung des eigenen kryptographischen Materials C1 bis C5 abgeschlossen wurde). In diesem fünften Schritt S5 wartet ein Knoten N1 bis N5 auf eingehende Nachrichten M1 bis M5.
  • Nachdem eine Nachricht M2 bis M5 empfangen wurde, wird im anschließenden sechsten Schritt S6 geprüft, ob auf dem empfangenden Knoten N1 bis N5 (das heißt: in dem zugeordneten lokalen Speicher MEM) bereits kryptographisches Material C1 bis C5 gespeichert wurde. Falls ja, wird in einem nachfolgenden Subschritt S6.1 geprüft, ob der Anlernstatus des empfangenden Knotens N1 bis N5 bereits auf den Wert „Verteilung kryptographischen Materials abgeschlossen“ gesetzt wurde. In diesem Fall wird in einem nachfolgenden Subschritt S6.1.1 die Verteilung des kryptographischen Materials C1 bis C5, und damit auch der Anlernschritt insgesamt, in einem Endpunkt SE abgeschlossen.
  • Falls der Anlernstatus des empfangenden Knotens N1 bis N5 noch nicht auf den Wert „Verteilung kryptographischen Materials abgeschlossen“ gesetzt ist, wird in einem alternativen nachfolgenden Subschritt S6.1.2 der Anlernstatus auf den Wert „kryptographisches Material verteilend“ gesetzt und mit dem ersten Schritt S1 fortgesetzt. Wie bereits anhand von 11 dargestellt, wird nachfolgend das eigene kryptographische Material C1 bis C5 dieses Knotens N1 bis N5 verteilt.
  • Wenn im sechsten Schritt S6 festgestellt wird, dass noch kein kryptographisches Material C1 bis C5 empfangen und im lokalen Speicher MEM abgelegt wurde, wird in einem nachfolgenden Subschritt S6.2 (das heißt: alternativ zum Subschritt S6.1) das empfangene kryptographische Material C1 bis C5 in dem lokalen Speicher MEM abgelegt. Anschließend wird die empfangene Nachricht M1 bis M5 an den in der Ringtopologie nachfolgenden Knoten N1 bis N5 weitervermittelt. Anschließend wird erneut der fünfte Schritt S5 ausgeführt, in dem erneut auf eingehende Nachrichten M1 bis M5 gewartet wird.
  • Mit dem anhand der 2 bis 11 erläuterten Verfahren wird in dem Anlernschritt das öffentliche kryptographische Material C1 bis C5 eines jeden an der Interlock-Schleife 100 beteiligten Knotens N1 bis N5 auf die übrigen Knoten N1 bis N5 verteilt, so dass nachfolgend die Authentizität und Integrität von zwischen beliebigen Knoten N1 bis N5 ausgetauschten Mitteilungen überprüft (verifiziert) werden kann.
  • Im Folgenden wird eine Ausführungsform eines Verbindungsüberwachungsverfahrens beschrieben, mit dem jeder Knoten N1 bis N5 eine Prüfnachricht PN1 bis PN5 versendet, welche von allen übrigen Knoten N1 bis N5 der Interlock-Schleife 100 empfangen und hinsichtlich ihrer Authentizität und Integrität verifiziert werden kann. Jeder Knoten N1 bis N5 kann die Korrektheit seiner eigenen sowie der Verbindung aller anderen Knoten N1 bis N5 dadurch bestätigen, dass eine von sämtlichen anderen Knoten N1 bis N5 bestätigte Empfangsquittung innerhalb einer vorbestimmten Zeit zurück zu dem versendenden Knoten N1 bis N5 übermittelt wird. Bevorzugt wird ein derartiges Verbindungsüberwachungsverfahren periodisch wiederholt, wobei jede Periode eine Anzahl N (im vorliegenden Ausführungsbeispiel ist N = 5) von Zeitschritten oder Takten umfasst, die gleich der Anzahl der miteinander über die Interlock-Schleife 100 verbundenen Knoten N1 bis N5 ist.
  • 12 zeigt schematisch den ersten Takt einer solchen Periode eines Verbindungsprüfungsverfahrens. Von jedem der beteiligten Knoten N1 bis N5 wird eine Prüfnachricht PN1 bis PN5 erstellt. Eine Prüfnachricht PN1 bis PN5 umfasst je eine als Freshness F1 bis F5 bezeichnete zufällig erzeugte Botschaft, beispielsweise eine Zufallszahl oder eine zufällig festgelegte Zeichenkette. Jede Freshness F1 bis F5 wird so generiert, dass die Wahrscheinlichkeit einer Übereinstimmung von in aufeinanderfolgenden Perioden durch denselben Knoten N1 bis N5 erzeugten Botschaften hinreichend klein, für praktische Zwecke Null ist.
  • Ferner umfasst jede der Prüfnachrichten PN1 bis PN5 im ersten Takt je eine Signatur Si,1, i = 1 ... 5 , mit der der erstellende Knoten Ni (das heißt: jeder der Knoten N1 bis N5) seine jeweilige Freshness Fi bestätigt. Die Signatur Si wird beispielsweise durch Anwendung des privaten Schlüssels des erstellenden Knotens Ni auf die komplette Prüfnachricht PNi oder auf einen daraus generierten Hashwert gebildet.
  • Die derart erstellte Prüfnachricht PNi wird von dem erstellenden Knoten (das heißt: von dem Knoten Ni) an dessen Nachfolger in der Ringtopologie (das heißt: an den Knoten Nj, j = i modulo N + 1) übermittelt.
  • 13 zeigt schematisch den darauffolgenden zweiten Takt einer Periode eines Verbindungsprüfungsverfahrens. Hier versieht jeder der Knoten N1 bis N5 die von seinem Vorgänger im vorangegangenen (ersten) Takt empfangene Prüfnachricht PN1 bis PN5 mit seiner eigenen Signatur Si,2, die auf die der Prüfnachricht PN1 bis PN5 zugeordnete Freshness F1 bis F5 bezogen ist, und trägt diese Signatur Si,2 am Ende der jeweiligen Prüfnachricht PN1 bis PN5 ein.
  • Beispielhaft signiert der erste Knoten N1 die fünfte Freshness F5 in der fünften Prüfnachricht PN5, welche ihm vom fünften Knoten N5 übermittelt wurde. In gleicher Weise signiert der zweite Knoten N2 die erste Freshness F1 in der ersten Prüfnachricht PN1, welche ihm vom ersten Knoten N1 übermittelt wurde.
  • In gleicher Weise wird nachfolgend im dritten, vierten und fünften Takt die Freshness F1 bis F5 einer jeden Prüfnachricht PN1 bis PN5 von dem in der Ringtopologie (vorliegend im Uhrzeigersinn) darauffolgenden Knoten N1 bis N5 signiert. Mit anderen Worten: in jedem weiteren k-ten Takt, k = 3 ... 5 wird in jeder Prüfnachricht PN1 bis PN5 die auf die jeweilige Freshness F1 bis F5 bezogene Signatur Si,k, i = 1 ... 5, k = 3 ... 5 ergänzt.
  • 14 zeigt schematisch alle am Ende des fünften Taktes, und damit am Ende der Periode, aufgebauten Prüfnachrichten PN1 bis PN5 mit allen Signaturen Si,k, i = 1 ... 5, k = 1 ... 5. Dabei notiert Si,k eine Signatur, die im k-ten Takt vom i-ten Knoten Ni, und somit bezogen auf die l-te Freshness, l = ((k - i) modulo 5) + 1 erstellt wurde. Zur besseren Verdeutlichung sind Signaturen Si,k jeweils in gleicher Weise schraffiert wie derjenige Knoten N1 bis N5, von dem sie erzeugt wurden.
  • Es ist möglich, eine Signatur Si,k nur auf die l-te Freshness Fl, l = ((k - i) modulo 5) + 1 zu beziehen und die von den anderen, vorangehend durchlaufenen Knoten in der Prüfnachricht PN1 bis PN5 bereits eingefügten Signaturen Si,k, j ≠ i dabei unberücksichtigt zu lassen. Bevorzugt wird jedoch eine Signatur Si,k am i-ten Knoten auf die gesamte Prüfnachricht PN1 bis PN5 bezogen ermittelt, mit anderen Worten: diese Signatur bezieht sowohl die l-te Freshness Fl als auch alle vorangehend entlang der Interlock-Schleife 100 bereits hinzugefügten Signaturen Sj,k, j ≠ i anderer Knoten mit ein. Dadurch können Oracle Replay Angriffe erschwert oder unmöglich gemacht werden, da ein Angreifer nicht nur die Erstellung einer Freshness F1 bis F5, sondern auch die Erstellung der darauf bezogenen Signaturen Sj,k, j ≠ i kontrollieren müsste.
  • Die derart sukzessive aufgebauten Prüfnachrichten PN1 bis PN5 werden im darauffolgenden Takt, das heißt: im ersten Takt der darauffolgenden Periode, an den ursprünglichen Absender weitergeleitet, das heißt: an denjenigen Knoten N1 bis N5, welcher die jeweils zugeordnete Freshness F1 bis F5 generiert hat.
  • Beim Eintreffen dieser von ihm ursprünglich versendeten Prüfnachricht PN1 bis PN5 überprüft der jeweilige Knoten N1 bis N5, ob darin die von ihm zuletzt generierte Freshness F1 bis F5 enthalten ist. Weicht die in der empfangenen Prüfnachricht PN1 bis PN5 enthaltene Freshness F1 bis F5 von der ursprünglich versendeten Freshness F1 bis F5 ab, so wurde von einem nicht autorisierten Knoten versucht, eine alte Prüfnachricht aus einer vorangegangenen Periode wieder einzuspielen. Auf diese Weise kann der Knoten N1 bis N5 so genannte Replay Angriffe erkennen.
  • Ferner verifiziert der jeweilige Knoten N1 bis N5 die Korrektheit seiner eigenen Signatur Si,k sowie, mittels der in seinem lokalen Speicher MEM abgelegten öffentlichen Schlüssel, die Korrektheit der Signaturen Si,k aller weiteren an der Interlock-Schleife 100 beteiligten Knoten N1 bis N5. Auf diese Weise wird sichergestellt, dass die Prüfnachricht PN1 bis PN5 tatsächlich jeden Knoten N1 bis N5 der Interlock-Schleife 100 durchlaufen hat.
  • Abhängig vom Empfang und der korrekten Verifizierung von Prüfnachrichten PN1 bis PN5 an einem Knoten N1 bis N5 können Ersatz- und/oder Fehlerreaktionen ausgelöst werden.
  • Beispielsweise kann ein Safety - Event E1 dann ausgelöst werden, wenn innerhalb einer vorbestimmten Anzahl von Takten nicht eine vorbestimmte Anzahl von Prüfnachrichten PN1 bis PN5 empfangen wurde. 15 zeigt schematisch eine Abfolge von acht Perioden P1 bis P8 mit je N = 5 Takten T. Im ersten Takt T1,1 der ersten Periode P1 wird von einem Knoten N1 bis N5 eine erste Prüfnachricht PN1 bis PN5 generiert.
  • Mit jedem darauffolgenden Takt T, in welchem keine Prüfnachricht PN1 bis PN5 empfangen wird, wird ein Safety- Zähler Cn1 inkrementiert, wie nachfolgend anhand von 16 noch genauer erläutert wird. In 15 sind derartige Takte T schraffiert dargestellt. Erreicht der Safety- Zähler Cn1 einen vorbestimmten Grenzwert, im vorliegend dargestellten Beispiel einen Grenzwert von 20 Takten T, so wird ein Timeout qualifiziert und eine Fehlerreaktion ausgelöst. Vorliegend wird beispielhaft im ersten Takt T1,2 der zweiten Periode P2 eine eigene Prüfnachricht PN1 bis PN5 erfolgreich validiert. Der bis zu diesem Zeitpunkt auf den Wert 4 inkrementierte Safety- Zähler Cn1 wird dann auf 0 zurückgesetzt. Wird danach keine Prüfnachricht PN1 bis PN5 mehr empfangen, so wird im ersten Takt T1,6 der sechsten Periode P6 ein Timeout als Safety - Event E1 qualifiziert.
  • Auf diese Weise kann, analog zum Ausbleiben eines Antwortsignals auf einer aus dem Stand der Technik bekannten Ringleitung 30, eine Situation erkannt werden, in der ein Knoten N1 bis N5 mit der Interlock - Schleife 100 nicht oder nicht zuverlässig verbunden ist. Daraufhin können Ersatz- oder Fehlerreaktionen eingeleitet werden. Beispielsweise kann ein Knoten N1 bis N5 in einen sicheren Zustand versetzt werden, indem Schaltschütze geöffnet werden und/oder die Verbindung zu einem Hochvoltsystem abgekoppelt wird.
  • Alternativ oder zusätzlich können Teilfunktionen, die von der unzuverlässigen Verbindung betroffen sind, deaktiviert werden. Beispielsweise kann, wenn ein Knoten N1 bis N5 als Teil eines Ladesystems zum Aufladen einer Fahrzeugbatterie ausgebildet und nur die Verbindung dieses Knotens N1 bis N5 zu der Interlock - Schleife 100 aufgrund eines qualifizierten Timeouts als unzuverlässig oder gestört erkannt wird, die Teilfunktion des Ladens der Fahrzeugbatterie deaktiviert werden, während andere Teilfunktionen weiter betrieben werden. Auf diese Weise kann eine besonders spezifische Ersatz- oder Fehlerreaktion eingeleitet werden.
  • Ferner kann alternativ oder zusätzlich eine Warnmeldung ausgegeben und/oder ein Fehlercode (Diagnostic Trouble Code) in ein Diagnoseprotokoll des Fahrzeugs eingetragen werden.
  • In ähnlicher Weise kann ein Security - Event E2 dann ausgelöst werden, wenn über eine gewisse (vorbestimmte) Anzahl von Perioden P1 bis P8 hinweg die Verifizierung der Signaturen Si,k einer von einem Knoten N1 bis N5 abgesendeten Prüfnachricht PN1 bis PN5 fehlgeschlagen ist. Eine derartige Situation ist in 16 beispielhaft und schematisch dargestellt.
  • Der hier lediglich beispielhaft ausgewählte erste Knoten N1 sendet im ersten Takt T1,1 der ersten Periode P1 eine nicht näher dargestellte Prüfnachricht PN1 ab. Im jeweils ersten Takt T1,2 bis T1,8 der darauffolgenden zweiten bis achten Periode P2 bis P8 wird ein Safety - Zähler Cn1 um die Anzahl N der an der Interlock - Schleife 100 teilnehmenden Knoten N1 bis N5 inkrementiert. In der Situation gemäß 16 ist der erste Knoten N1 korrekt mit der Interlock - Schleife 100 verbunden und es läuft in jedem Takt T der zweiten und jeder nachfolgenden Periode P2 bis P8 eine Prüfnachricht PN1 bis PN5 ein.
  • Mit jeder auf einen ersten Takt T1,2 bis T1,8 der zweiten bis achten Periode P2 bis P8 einlaufenden Prüfnachricht PN1 bis PN5 desselben oder eines anderen Knotens N1 bis N5 wird von dem ersten Knoten N1 dessen Safety - Zähler Cn1 dekrementiert und erreicht seinen vorbestimmten Safety - Zähler - Schwellwert Thr1 dadurch nicht. Demzufolge wird kein Safety - Event E1 ausgelöst.
  • Jedoch können fehlerhaft in dem jeweils ersten Takt T1,2 bis T1,8 der zweiten bis achten Periode P2 bis P8 die Signaturen Si,k der auf den ersten Knoten N1 zurück einlaufenden ersten Prüfnachricht PN1 nicht oder nicht vollständig verifiziert werden. Eine solche Situation kann dadurch eintreten, dass einer oder mehrere andere Knoten N2 bis N5 nicht im Besitz eines privaten Schlüssels sind, der zu dem im lokalen Speicher MEM des ersten Knotens N1 für den jeweiligen anderen Knoten N2 bis N5 im Anlernschritt gespeicherten öffentlichen kryptographischen Material C2 bis C5 passt, beispielsweise in Folge eines nach dem Anlernschritt vorgenommenen, nicht autorisierten Austauschs einer Komponente, die einem dieser anderen Knoten N2 bis N5 zugeordnet ist.
  • Mit jedem ersten Takt T1,2 bis T1,8 der zweiten und jeder nachfolgenden Periode P2 bis P8 wird ein Security - Zähler Cn2 inkrementiert, der bei korrekter Verifizierung aller Signaturen Si,k der zurückgelaufenen ersten Prüfnachricht PN1 dekrementiert werden würde, die jedoch vorliegend nicht erfolgt.
  • Dadurch erreicht der Security - Zähler Cn2 einen vorbestimmter Security - Zähler - Schwellwert Thr2 im ersten Takt T1,6 der sechsten Periode P6. Daraufhin wird ein Security - Event E2 ausgelöst.
  • In Folge eines derartigen Security - Events E2 kann als Ersatz- und Fehlerreaktion eine Warnmeldung ausgegeben und/oder das Security - Event E2 in ein Security Event Protokoll eingetragen werden, welches lokal im Fahrzeug und/oder in einem entfernten Backend geführt wird. Zusätzlich oder alternativ kann, bevorzugt ebenfalls über ein entferntes Backend, ein Security Incidence Management informiert werden.
  • Ferner kann, insbesondere wenn ein für die Sicherheit eines Fahrzeugbetriebs kritischer Knoten N1 bis N5 von einem derartigen Security - Event E2 betroffen ist, auch eine Safety - Reaktion ausgelöst werden, wie sie vorangehend anhand von 15 bereits erläutert wurde.
  • 17 zeigt einen schematischen Ablaufplan für die vorgehend beschriebene Ausführung des Verbindungsüberwachungsverfahrens. Ausgehend von einem Startpunkt S0 wird in einem ersten Überwachungsschritt V1 von dem jeweiligen Knoten N1 bis N5 eine Freshness F1 bis F5 generiert und eine Prüfnachricht PN1 bis PN5 signiert und an den Nachfolger in der Ringtopologie gesendet.
  • In einem darauffolgenden zweiten Überwachungsschritt V2 empfängt dieser Knoten N1 bis N5 eine Prüfnachricht PN1 bis PN5 von dem in der Ringtopologie vorangehenden Knoten N1 bis N5 und überprüft in einem nachfolgenden Subschritt V2.1, ob entweder in dieser als Liste oder Tabelle strukturierten Prüfnachricht PN1 bis PN5 seine eigene Freshness F1 bis F5 an der ersten Position enthalten ist oder ob ein erster Takt T1,k einer Periode Pk vorliegt, das heißt: ein Zeitslot, der diesem Knoten N1 bis N5 für die Generierung einer neuen Prüfnachricht PN1 bis PN5 zugeordnet ist.
  • Bei erfolgreicher Überprüfung wird in einem nachfolgenden Subschritt V 2.1.1 ein Safety - Event E1 sowie ein Security - Event E2 dequalifiziert (das heißt: der dem Knoten N1 bis N5 zugeordnete Safety - Zähler Cn1 und der Security - Zähler Cn2 werden dekrementiert oder auf Null zurückgesetzt) und danach mit dem ersten Überwachungsschritt V1 fortgesetzt.
  • Bevorzugt werden Zähler Cn1, Cn2 beim Dequalifizieren bezogen auf das Qualifizieren asymmetrisch dekrementiert, das heißt: das Inkrement eines Zählers Cn1, Cn2 beim ordnungsgemäßen Empfang einer Prüfnachricht PN1 bis PN5 ist anders und bevorzugt kleiner als das Dekrement dieses Zählers Cn1, Cn2 beim nicht ordnungsgemäßen Empfang einer Prüfnachricht PN1 bis PN5, beispielsweise beim Ausbleiben einer oder bei mindestens teilweise falschen Signaturen Si,k in einer Prüfnachricht PN1 bis PNS. Beispielsweise kann das Dekrement beim Dequalifizieren doppelt so hoch gewählt sein wie das Inkrement beim Qualifizieren.
  • Bei nicht erfolgreicher Überprüfung wird in einem nachfolgenden Subschritt V2.1.2 ein Safety - Event E1 sowie ein Security - Event E2 qualifiziert (das heißt: der dem Knoten N1 bis N5 zugeordnete Safety - Zähler Cn1 und der Security - Zähler Cn2 werden jeweils inkrementiert).
  • Wenn eine Prüfnachricht PN1 bis PN5 empfangen wurde, die nicht von dem empfangenden Knoten N1 bis N5 selbst abgesendet wurde und auch kein eigener (das heißt: dem jeweiligen Knoten N1 bis N5 als erster Takt T1,k einer Periode Pk zugeordneter) Zeitslot vorliegt, wird in einem nachfolgenden Subschritt V2.2 die empfangende Prüfnachricht PN1 bis PN5 signiert und an den in der Ringtopologie nachfolgenden Knoten N1 bis N5 weitergereicht.
  • Wenn keine Prüfnachricht PN1 bis PN5 empfangen wurde und auch kein eigener (das heißt: dem jeweiligen Knoten N1 bis N5 als erster Takt T1,k einer Periode Pk zugeordneter) Zeitslot vorliegt, wird in einem dritten Überwachungsschritt V3 ein Safety - Event E1 qualifiziert (das heißt: der dem Knoten N1 bis N5 zugeordnete Safety - Zähler Cn1 wird inkrementiert) und anschließend mit dem zweiten Überwachungsschritt V2 fortgesetzt.
  • Bezugszeichenliste
    • 10
    Stecker, Verbindungseinrichtung
    11
    elektrischer Kontakt
    20
    Buchse, Verbindungseinrichtung
    21
    elektrischer Kontakt
    30
    Ringleitung
    31,32
    erster, zweiter Interlock-Steckerkontakt, Interlock-Kontakt
    33,34
    erster, zweiter Interlock-Buchsenkontakt, Interlock-Kontakt
    35
    Überwachungseinheit
    40
    Interlock-Schleife
    100
    Interlock-Schleife
    C1 bis C5
    erstes bis fünftes kryptographisches Material
    Cn1
    Safety - Zähler
    Cn2
    Security - Zähler
    E1
    Safety - Event
    E2
    Security - Event
    F1 bis F5
    erste bis fünfte Freshness
    HSM
    Hardware Security Module
    MEM
    Speicher
    M1 bis M5
    erste bis fünfte Nachricht
    N1 bis N5
    erster bis fünfter Knoten
    P1 bis P8, Pk
    erste bis achte, k-te Periode
    PN1 bis PN5
    erste bis fünfte Prüfnachricht
    S0, SE
    Startpunkt, Endpunkt
    S1 bis S6
    erster bis sechster Schritt
    S6.1, S6.1.1, S6.1.2, S6.2
    Subschritt
    Si,k
    Signatur (i = 1 ... 5, k = 1 ... 5)
    T
    Takt
    T1,1...8
    erster Takt der ersten bis achten Periode
    Thr1
    Safety - Zähler - Schwellwert
    Thr2
    Security - Zähler - Schwellwert
    V1, V2, V3
    erster, zweiter, dritter Überwachungsschritt
    V2.1 V2.1.1, V2.1.2, V2.2
    Subschritt

Claims (10)

  1. Verbindungsüberwachungsverfahren zur Überwachung des ordnungsgemäßen Betriebs einer Verbindungsanordnung zwischen einem ersten Knoten (N1) und mindestens einem weiteren Knoten (N2 bis N5), die über eine Interlock-Schleife (100) ringförmig verbunden sind, dadurch gekennzeichnet, dass - jedem Knoten (N1 bis N5) jeweils ein zur Bildung einer digitalen Signatur (Si,k) geeignetes privates kryptographisches Material und ein korrespondierendes, zur Verifizierung dieser digitalen Signatur (Si,k) geeignetes öffentliches kryptographisches Material (C1 bis C5) zugeordnet wird, - in einem Anlernschritt das öffentliche kryptographische Material (C1 bis C5) eines jeden Knotens (N1 bis N5) an jeweils alle anderen Knoten (N1 bis N5) verteilt wird und danach - von mindestens einem absendenden Knoten (N1 bis N5) mindestens eine Prüfnachricht (PN1 bis PN5) generiert und entlang der Interlock-Schleife (100) an jeden anderen empfangenden Knoten (N1 bis N5) in aufeinanderfolgenden Takten (T, T1,1...8) übertragen und von diesem jeweils digital signiert und - nach Ablauf einer Periode (P1 bis P8) an den jeweiligen absendenden Knoten (N1 bis N5) zurück übertragen wird und von diesem die Korrektheit aller Signaturen (Si,k) der empfangenden Knoten (N1 bis N5) mit deren zugeordnetem öffentlichem kryptographischem Material (C1 bis C5) verifiziert wird, wobei - aus dem Ausbleiben mindestens einer Prüfnachricht (PN1 bis PN5) und/oder aus einer inkorrekten Signatur (Si,k) eine Störung des ordnungsgemäßen Betriebs der Verbindungsanordnung bestimmt wird.
  2. Verbindungsüberwachungsverfahren nach Anspruch 1, dadurch gekennzeichnet, dass der erste Knoten (N1) und mindestens ein weiterer Knoten (N2 bis N5) als Hochvolt-Komponenten eines Fahrzeugs ausgebildet sind.
  3. Verbindungsüberwachungsverfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass von einem Knoten (N1 bis N5) ein Safety - Event (E1) ausgelöst wird, wenn über eine vorbestimmte Anzahl von aufeinanderfolgenden Takten (T, T1,1...8) hinweg keine Prüfnachricht (PN1 bis PN5) empfangen wird.
  4. Verbindungsüberwachungsverfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass von einem Knoten (N1 bis N5) ein Security - Event (E2) und/oder ein Safety - Event (E1) ausgelöst wird, wenn eine oder mehrere, über eine vorbestimmte Anzahl von aufeinanderfolgenden Perioden (P1 bis P8) hinweg von diesem Knoten (N1 bis N5) empfangene eigene Prüfnachrichten (PN1 bis PN5) mindestens eine inkorrekte Signatur (Si,k) mindestens eines anderen Knotens (N1 bis N5) aufweisen.
  5. Verbindungsüberwachungsverfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass beim Auslösen eines Safety - Events (E1) mindestens ein Knoten (N1 bis N5) in einen sicheren Zustand versetzt wird und/oder mindestens eine Teilfunktion der von der Gesamtheit der Knoten (N1 bis N5) bereitgestellten Funktionalität deaktiviert wird und/oder mindestens eine Warn- oder Diagnosemeldung registriert wird.
  6. Verbindungsüberwachungsverfahren nach einem der Ansprüche 4 oder 5, dadurch gekennzeichnet, dass beim Auslösen eines Security - Events (E2) mindestens eine Warnmeldung ausgegeben wird und/oder das Security - Event (E2) in einem Security Event Log und/oder in einem Incidence Management System registriert wird.
  7. Interlock-Komponente umfassend mindestens eine mit einer Interlock-Schleife (100) verbindbare Verbindungseinrichtung (10, 20) mit mindestens einem mit der Interlock-Schleife (100) verbindbaren Interlock-Kontakt (31 bis 34), dadurch gekennzeichnet, dass die Interlock-Komponente ein Hardware Security Module (HSM) umfasst, das zur Generierung und zur Verifizierung digitaler Signaturen (Si,k) eingerichtet ist und das einen Speicher (MEM) zur Ablage von kryptographischem Material (C1 bis C5) aufweist, wobei das Hardware Security Module (HSM) zur Durchführung eines Verbindungsüberwachungsverfahrens nach einem der vorhergehenden Ansprüche eingerichtet ist.
  8. Interlock-Komponente nach Anspruch 7, dadurch gekennzeichnet, dass die mit einer Interlock-Schleife (100) verbindbare Verbindungseinrichtung (10, 20) als Steckverbindung ausgebildet ist.
  9. Interlock-Komponente nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass die Interlock-Komponente als Hochvolt-Komponente für ein Fahrzeug mit einem Hochvoltsystem ausgebildet ist und die Verbindungseinrichtung (10, 20) mit dem Hochvoltsystem des Fahrzeugs verbindbar ausgebildet ist.
  10. Interlock-Komponente nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass das Hardware Security Module (HSM) einen Hardwarebeschleunigungsbaustein umfasst, der zur beschleunigten Ausführung von kryptographischen Operationen eingerichtet ist.
DE102022002083.1A 2022-06-10 2022-06-10 Verfahren zur Überwachung des Betriebs einer Verbindungsanordnung zwischen lnterlock-Komponenten sowie lnterlock-Komponente zur Verwendung in einer lnterlock- Schleife Active DE102022002083B3 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022002083.1A DE102022002083B3 (de) 2022-06-10 2022-06-10 Verfahren zur Überwachung des Betriebs einer Verbindungsanordnung zwischen lnterlock-Komponenten sowie lnterlock-Komponente zur Verwendung in einer lnterlock- Schleife

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022002083.1A DE102022002083B3 (de) 2022-06-10 2022-06-10 Verfahren zur Überwachung des Betriebs einer Verbindungsanordnung zwischen lnterlock-Komponenten sowie lnterlock-Komponente zur Verwendung in einer lnterlock- Schleife

Publications (1)

Publication Number Publication Date
DE102022002083B3 true DE102022002083B3 (de) 2023-10-05

Family

ID=88019392

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022002083.1A Active DE102022002083B3 (de) 2022-06-10 2022-06-10 Verfahren zur Überwachung des Betriebs einer Verbindungsanordnung zwischen lnterlock-Komponenten sowie lnterlock-Komponente zur Verwendung in einer lnterlock- Schleife

Country Status (1)

Country Link
DE (1) DE102022002083B3 (de)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007035351A1 (de) 2007-07-27 2009-01-29 Daimler Ag Verfahren zur Authentifizierung von Fahrzeugteilen in einem Kraftfahrzeug
DE102007058975A1 (de) 2007-12-07 2009-06-10 Bayerische Motoren Werke Aktiengesellschaft Bordnetz eines Kraftfahrzeugs mit einem Master Security Modul
CN105774558A (zh) 2016-03-17 2016-07-20 北京航空航天大学 一种电动汽车集成安全检测装置
DE102018004423A1 (de) 2018-06-04 2019-12-05 Sap Se Sicherer Datenaustausch
CN111016658A (zh) 2019-12-10 2020-04-17 宁波吉利汽车研究开发有限公司 一种高压互锁回路、故障检测方法及车辆
DE102021003652A1 (de) 2021-07-15 2021-11-04 Daimler Ag Elektrische Verbindungsanordnung und Verfahren zum Überwachen eines Betriebs einer elektrischen Verbindungsanordnung

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007035351A1 (de) 2007-07-27 2009-01-29 Daimler Ag Verfahren zur Authentifizierung von Fahrzeugteilen in einem Kraftfahrzeug
DE102007058975A1 (de) 2007-12-07 2009-06-10 Bayerische Motoren Werke Aktiengesellschaft Bordnetz eines Kraftfahrzeugs mit einem Master Security Modul
CN105774558A (zh) 2016-03-17 2016-07-20 北京航空航天大学 一种电动汽车集成安全检测装置
DE102018004423A1 (de) 2018-06-04 2019-12-05 Sap Se Sicherer Datenaustausch
CN111016658A (zh) 2019-12-10 2020-04-17 宁波吉利汽车研究开发有限公司 一种高压互锁回路、故障检测方法及车辆
DE102021003652A1 (de) 2021-07-15 2021-11-04 Daimler Ag Elektrische Verbindungsanordnung und Verfahren zum Überwachen eines Betriebs einer elektrischen Verbindungsanordnung

Similar Documents

Publication Publication Date Title
EP3157281B1 (de) Verfahren zur geschützten kommunikation eines fahrzeugs
DE102011004978B4 (de) Verfahren, Steuerungseinrichtung und System zum Nachweis von Verletzungen der Authentzität von Anlagenkomponenten
EP2462529B1 (de) Verfahren zur ausstellung eines digitalen zertifikats durch eine zertifizierungsstelle, anordnung zur durchführung des verfahrens und rechnersystem einer zertifizierungsstelle
EP1615173A2 (de) Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels
DE112013002752T5 (de) System und Verfahren zur Verifikation von Nachrichten bei Broadcast und Multicast Netzwerken
DE102013218212A1 (de) Verfahren zum abgesicherten Übermitteln von Daten
WO2022028975A1 (de) System und verfahren zum verifizieren von komponenten eines industriellen kontrollsystems
DE102016205198A1 (de) Nachweisen einer Authentizität eines Gerätes mithilfe eines Berechtigungsnachweises
EP3412018B1 (de) Verfahren zum austausch von nachrichten zwischen sicherheitsrelevanten vorrichtungen
DE102022002083B3 (de) Verfahren zur Überwachung des Betriebs einer Verbindungsanordnung zwischen lnterlock-Komponenten sowie lnterlock-Komponente zur Verwendung in einer lnterlock- Schleife
EP4054143A1 (de) Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage
EP2850860A1 (de) Sicherung eines energiemengenzählers gegen unbefugten zugriff
EP1455311A2 (de) Verfahren zum sicheren Datenaustausch
DE102011081036A1 (de) Verfahren zum Aussenden von Nachrichten mit Integritätsschutz
DE102018133605B4 (de) Verfahren und Vorrichtung zur Prüfung der Integrität von Modulen einer Windkraftanlage
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
EP2446599B1 (de) Gegen manipulation geschützte datenübertragung zwischen automatisierungsgeräten
DE102018132979A1 (de) Abgesichertes und intelligentes Betreiben einer Ladeinfrastruktur
DE102015208176A1 (de) Gerät und Verfahren zur Autorisierung eines privaten kryptographischen Schlüssels in einem Gerät
DE102022004836A1 (de) Fahrzeugbatterie, Zellmodul für eine Fahrzeugbatterie und Verfahren zur Herstellung und zum Betreiben einer Fahrzeugbatterie
EP4099616A1 (de) Verfahren zur integration einer neuen komponente in ein netzwerk, registrarkomponente und anlage
DE102015225787A1 (de) Verfahren und Vorrichtung zur Empfängerauthentifikation in einem Fahrzeugnetzwerk
DE102016212755B3 (de) Ethernet-Fahrzeugbordnetz mit geschützter Konfigurierbarkeit
EP4320819A1 (de) Verfahren zur integration einer neuen komponente in ein netzwerk, registrarkomponente und anlage
DE102022130141A1 (de) Verfahren und Kommunikationssystem zur Nachrichtenüberwachung in einem Datennetzwerk eines Kraftfahrzeugs und Sende- und Empfangseinheit für das Kommunikationssystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division