DE102022130141A1 - Verfahren und Kommunikationssystem zur Nachrichtenüberwachung in einem Datennetzwerk eines Kraftfahrzeugs und Sende- und Empfangseinheit für das Kommunikationssystem - Google Patents

Verfahren und Kommunikationssystem zur Nachrichtenüberwachung in einem Datennetzwerk eines Kraftfahrzeugs und Sende- und Empfangseinheit für das Kommunikationssystem Download PDF

Info

Publication number
DE102022130141A1
DE102022130141A1 DE102022130141.9A DE102022130141A DE102022130141A1 DE 102022130141 A1 DE102022130141 A1 DE 102022130141A1 DE 102022130141 A DE102022130141 A DE 102022130141A DE 102022130141 A1 DE102022130141 A1 DE 102022130141A1
Authority
DE
Germany
Prior art keywords
data
receiving unit
data messages
transmitting unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022130141.9A
Other languages
English (en)
Inventor
Karsten Schmidt
Florian Hofmann
Matthias Kiefer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Volkswagen AG
Original Assignee
Audi AG
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG, Volkswagen AG filed Critical Audi AG
Priority to DE102022130141.9A priority Critical patent/DE102022130141A1/de
Priority to PCT/EP2023/080684 priority patent/WO2024104791A1/de
Publication of DE102022130141A1 publication Critical patent/DE102022130141A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines Kraftfahrzeugs (10), wobei in dem Kraftfahrzeug (10) durch eine Sendeeinheit (14) mehrere Datennachrichten (19) über ein Datennetzwerk (12) an eine Empfangseinheit (16) ausgesendet und durch die Empfangseinheit (16) zumindest einige der ausgesendeten Datennachrichten (19) empfangen werden und durch die Empfangseinheit (16) eine Anforderungsnachricht (28) zur Authentifizierung an die Sendeeinheit (14) ausgesendet wird und durch die Sendeeinheit (14) in Reaktion auf die Anforderungsnachricht (28) aus gespeicherten Nutzdaten (22), die auch auf die unterschiedlichen versendeten Datennachrichten (19) verteilt enthalten waren, eine gemeinsame senderseitige Prüfinformation (26) generiert und in einer Authentifizierungsnachricht (A) an die Empfangseinheit (16) ausgesendet wird. Die Erfindung sieht vor, dass mittels der Anforderungsnachricht (28) ein Auswahlbefehl (31) vorgegeben wird, der die für das Erzeugen der senderseitigen Prüfinformation (26) zu verwendenden Datennachrichten (19) auswählt, und die senderseitige Prüfinformation (26) gemäß dem Auswahlbefehl (31) aus den ausgewählten Datennachrichten (19) erzeugt wird.

Description

  • Die Erfindung betrifft ein Verfahren zum Betreiben eines Kraftfahrzeugs, in welchem eine Sendeeinheit Datennachrichten nacheinander über ein Datennetzwerk an eine Empfangseinheit aussendet. Die Sendeeinheit und die Empfangseinheit können jeweils beispielsweise ein Steuergerät des Kraftfahrzeugs sein. Die Empfangseinheit empfängt die Datennachrichten (oder zumindest einige davon) und muss diese daraufhin überprüfen, ob es sich bei der Sendeeinheit um ein authentisches Gerät des Kraftfahrzeugs handelt und nicht etwa um ein nachträglich installiertes, nicht-autorisiertes Gerät, wie es beispielsweise bei einer Tuning-Maßnahme genutzt werden kann. Zu der Erfindung gehört auch das Kommunikationssystem des Kraftfahrzeugs mit der Sendeeinheit, dem Datennetzwerk und der Empfangseinheit. Die Sendeeinheit und die Empfangseinheit bilden jeweils ebenfalls Aspekte der Erfindung.
  • Eine Sendeeinheit, wie beispielsweise ein Steuergerät eines Kraftfahrzeugs, und entsprechend eine Empfangseinheit, wie beispielsweise ein weiteres Steuergerät, können über ein Datennetzwerk Datennachrichten austauschen, in denen beispielsweise aktuelle Messwerte und/oder Zustandswerte aus der Sendeeinheit an die Empfangseinheit signalisiert werden. Um solche Steuergeräte, also allgemein Sendeeinheiten und Empfangseinheiten, kostengünstig herstellen zu können, sind diese mit gerade so viel Rechenleistung ausgestattet, dass die jeweilige Funktionalität ohne Ressourcenüberhang erfüllt werden kann. Eine zusätzliche Aufgabe von Steuergeräten, die als Sendeeinheit oder Empfangseinheit verwendet werden, ist die Verifizierung der Datennachrichten dahingehend, dass sie aus einer authentischen Sendeeinheit stammen, die für den Betrieb des Kraftfahrzeugs bestimmungsgemäß vorgesehen ist. Es kann nämlich vorkommen, dass Datennachrichten stattdessen aus einer anderen Nachrichtenquelle in das Datennetzwerk eingespeist werden, das heißt, einer nicht-autorisierten oder nachträglich installierten Datenquelle. Hierdurch lässt sich z.B. ein Motorsteuergerät täuschen und zur Abgabe von mehr Motorleistung bringen. Eine Überprüfung der Authentizität einer Sendeeinheit durch eine Empfangseinheit soll in einem Kraftfahrzeug implementiert werden, ohne dass es hierzu aufwendiger zusätzlicher Rechenressourcen bedarf. Daher ist man daran interessiert, effiziente oder ressourcenschonende Algorithmen zum Erfüllen der Funktionalität bereitzustellen.
  • Ein Ansatz hierzu ist aus der DE 10 2018 220 324 A1 bekannt. Demnach kann zum Überwachen eines Datenverkehrs in einem Datennetzwerk in Bezug auf die Authentizität der beteiligten Geräte eine Überwachungseinrichtung die Sendeeinheit und die Empfangseinheit jeweils dazu auffordern, aus Sendenachrichten beziehungsweise Empfangsnachrichten eine Information zu erzeugen, anhand welcher die Überwachungseinrichtung die Authentizität überprüfen kann. Bei dem Datennetzwerk kann es sich um einen CAN-BUS (CAN - Controller Area Network) handeln.
  • In diesem Zusammenhang ist aus der WO 2020/015940 A1 bekannt, dass zum Authentifizieren von Nachrichten, also zum Nachweisen einer Authentizität des Senders, ein MAC - Message Authentication Code, generiert werden kann, der auf einer so genannten SHE - Secure Hardware Extension, also einem elektronischen Schaltungszusatz des jeweiligen Steuergeräts, beruhen kann.
  • In Bezug auf die Häufigkeit der Überprüfung der Authentizität, ist aus der DE 10 2020 113 451 A1 bekannt, dass die Zahl der Datennachrichten pro Zeitintervall größer sein sollte als die Häufigkeit, mit welcher eine Authentifizierungsinformation angefordert wird. Somit ergibt sich eine kleinere Zykluszeit für die Datennachrichten als für die Authentifizierungsinformationen. Jede Authentifizierungsinformation kann hierzu jeweils auf den Inhalt oder Daten mehrerer Datennachrichten beruhen, um hierdurch dennoch alle an der Empfängereinheit empfangenen Datennachrichten authentifizieren zu können. Beispielsweise können die Daten mehrerer Datennachrichten zu einem Hash-Wert oder einer Prüfsumme verrechnet oder kombiniert werden.
  • Das Berechnen von Hash-Werten aus Datennachrichten ist in der DE 10 2019 217 808 A1 beschrieben. Auch eine Verschlüsselung von Datennachrichten auf der Basis einer PKI - Public Key Infrastructure, also einer asymmetrischen kryptographischen Verschlüsselung, ist dort zu entnehmen.
  • Wenn aber eine Empfangseinheit die Authentizität einer Sendeeinheit nicht für jede Datennachricht getrennt oder einzeln überprüfen kann, sondern die Überprüfung mehrerer Datennachrichten kombiniert erfolgt, indem beispielsweise ein Hash-Wert von Daten mehrerer Datennachrichten berechnet wird und dies die Prüfinformation für mehrere Datennachrichten in Kombination darstellen soll, so ist ein solches Verfahren anfällig für Nachrichtenverlust oder Paketverlust. Berechnet nämlich die Empfangseinheit auf ihrer Seite den Hash-Wert für Daten aus den letzten N empfangenen Datennachrichten und auf der Sendeseite die Sendeeinheit ebenfalls den Hash-Wert der Daten aus den letzten N ausgesendeten Datennachrichten, so liegen diesen beiden Hash-Werten bei einem Paketverlust unterschiedliche Datennachrichten zugrunde, was zu einer Diskrepanz der Hash-Werte führen wird.
  • Der Erfindung liegt die Aufgabe zugrunde, ein Authentifizierungsverfahren für ein Kommunikationssystem eines Kraftfahrzeugs bereitzustellen, das robust ist gegen Paketverlust, d.h. den Verlust von einzelnen Datennachrichten beim Übertragen von Sendeeinheit zu Empfangseinheit.
  • Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterentwicklungen sind durch die abhängigen Patentansprüche, die folgende Beschreibung sowie die Figuren beschrieben.
  • Als eine Lösung umfasst die Erfindung ein Verfahren zum Betreiben eines Kraftfahrzeugs, d.h. das Verfahren kann in dem Kraftfahrzeug durchgeführt werden. Das Verfahren geht davon aus, dass in dem Kraftfahrzeug durch eine Sendeeinheit, beispielsweise ein Steuergerät (Sendesteuergerät) oder eine Sensorschaltung nacheinander mehrere Datennachrichten über ein Datennetzwerk, beispielsweise einen Datenbus oder ein Ethernet-Netzwerk, an eine Empfangseinheit, also beispielsweise ein weiteres Steuergerät (Empfangssteuergerät) ausgesendet werden. Diese Datennachrichten können beispielsweise zyklisch ausgesendet werden. Es kann sich beispielsweise um Datennachrichten mit jeweils aktuellen Messwerten und/oder Zustandswerten der Sendeeinheit und/oder einer weiteren, mit der Sendeeinheit verschalteten Fahrzeugkomponente handeln.
  • Entsprechend werden durch die Empfangseinheiten die ausgesendeten Datennachrichten empfangen, wobei nicht davon ausgegangen werden kann, dass alle Datennachrichten empfangen werden, sondern bei Paketverlust (Nachrichtenverlust) nur einige der ausgesendeten Datennachrichten empfangen werden. Es ist hier von „Paketverlust“ die Rede, da Datennachrichten in Datenpaketen über ein Datennetzwerk übermittelt werden.
  • Die Empfangseinheit muss nun auch im Falle einzelner oder sporadischer Nachrichtenverluste in der Lage sein, anhand der empfangenen Datennachrichten überprüfen zu können, ob die Sendeeinheit authentisch ist oder alle empfangenen Datennachrichten tatsächlich aus der Sendeeinheit stammen und damit authentische Datennachrichten darstellen. Damit dies ressourcenarm in Bezug auf die benötigte Rechenleistung erfolgen kann, wird durch die Empfangseinheit nicht jede empfangene Datennachricht einzeln überprüft, sondern durch die Empfangseinheit wird erst bei Detektieren eines vorgegebenen Auslöseereignisses eine Anforderungsnachricht zur Authentifizierung an die Sendeeinheit ausgesendet. Es können also zwischen den einzelnen Auslöseereignissen jeweils mehrere Datennachrichten empfangen werden oder zumindest von der Sendeeinheit ausgesendet werden.
  • Durch die Sendeeinheit wird diese Anforderungsnachricht empfangen, und durch die Sendeeinheit wird in Reaktion auf die Anforderungsnachricht aus gespeicherten „Nutzdaten“ eine erste oder senderseitige Prüfinformation generiert und in einer Authentifizierungsnachricht an die Empfangseinheit ausgesendet. Bei diesen „Nutzdaten“ handelt es sich um Daten oder Inhalte, die auch in den ausgesendeten oder versendeten Datennachrichten enthalten waren. Die Nutzdaten sind also eine Kopie von solchen Daten, die auch auf die unterschiedlichen versendeten Datennachrichten verteilt enthalten waren. Mit anderen Worten ist jeweils ein Teil der Nutzdaten in einer anderen der Datennachrichten enthalten gewesen, so dass sich die vollständigen Nutzdaten nur ergeben, wenn auch die vollständigen zugrunde gelegten Datennachrichten bekannt sind. Es wird hier zwischen den Datennachrichten an sich und den Nutzdaten unterschieden, da es alternativ zum Speichern ganzer Datennachrichten oder ganzer Payloads von Datennachrichten auch vorgesehen sein kann, dass die Nutzdaten nicht die vollständige Datennachricht oder die vollständige so genannte Payload (Nachrichtendaten) darstellen, sondern lediglich einen Teil davon, beispielsweise den schützenswerten oder zu authentifizierenden Datenteil.
  • Um hierbei zu verhindern, dass in der Empfangseinheit Nutzdaten von anderen Datennachrichten zugrunde gelegt werden als dies in der Sendeeinheit geschieht, weil beispielsweise eine Datennachricht zwar von der Sendeeinheit ausgesendet wurde, aber aufgrund von Paketverlust oder Nachrichtenverlust diese nie in der Empfangseinheit empfangen wurde, ist Folgendes vorgesehen. Durch die Sendeeinheit wird eine Kopie der in den ausgesendeten Datennachrichten enthaltenen Nutzdaten nach dem Aussenden in einem lokalen Datenspeicher der Sendeeinheit gehalten. Mit „lokal“ ist gemeint, dass er in der Sendeeinheit oder in einem darin angeschlossenen Datenspeicher enthalten ist, also insbesondere nicht bei der Empfangseinheit. Es kann sich beispielsweise bei dem Datenspeicher um einen Ringspeicher handeln, der beispielsweise die Nutzdaten einer vorbestimmten Anzahl an zuletzt ausgesendeten Datennachrichten speichern kann.
  • Durch die Empfangseinheit wird mittels der Anforderungsnachricht ein Auswahlbefehl vorgegeben, das heißt, es ist ein Auswahlbefehl in der Anforderungsnachricht enthalten, der die für das Erzeugen der senderseitigen Prüfinformation zu verwendenden Datennachrichten auswählt. Die Empfangseinheit identifiziert also anhand der Anforderungsnachricht mittels des Auswahlbefehls, aus welchen Datennachrichten die Nutzdaten aus dem lokalen Datenspeicher der Sendeeinheit von dieser für das Berechnen oder Erzeugen der Prüfinformation zu verwenden sind. Die Prüfinformation kann in einen Prüfdatensatz geschrieben werden. Sie kann digital beispielsweise einen Hash-Wert oder eine Prüfsumme der ausgewählten Nutzdaten darstellen. Diese senderseitigen Prüfinformation wird entsprechend durch die Sendeeinheit gemäß dem Auswahlbefehl aus den gespeicherten Nutzdaten der ausgewählten Datennachrichten erzeugt. Mit anderen Worten greift die Sendeeinheit beim Erzeugen der Prüfinformation nur auf solche Nutzdaten in ihrem lokalen Datenspeicher zu, die zu solchen Datennachrichten gehören, die von der Empfangseinheit mittels des Auswahlbefehls ausgewählt wurden.
  • Die Empfangseinheit kann ihrerseits die empfangenen Datennachrichten in einem lokalen Datenspeicher der Empfangseinheit gespeichert halten und somit stehen ihr ebenfalls die Nutzdaten aus den empfangenen Datennachrichten für das Berechnen einer zweiten oder empfängerseitigen Prüfinformation der Empfangseinheit zur Verfügung. Berechnet nun die Empfangseinheit ihrerseits aus empfangenen Datennachrichten eine empfängerseitige Prüfinformation, indem sie aus den empfangenen Nachrichten entsprechende Nutzdaten extrahiert und daraus die empfängerseitige Prüfinformation erzeugt, so kann die Empfangseinheit mittels des Auswahlbefehls die Sendeeinheit darüber informieren oder anweisen, welche der Datennachrichten für die senderseitige Prüfinformation der Sendeeinheit zu verwenden sind, nämlich diejenigen, die von der Empfangseinheit selbst für die empfängerseitige Prüfinformation verwendet werden. Somit ist sichergestellt, dass die senderseitige Prüfinformation durch die Sendeeinheit und die empfängerseitige Prüfinformation durch die Empfangseinheit auf der Grundlage solcher Nutzdaten erzeugt werden, die auf ausschließlich erfolgreich übertragenen Datennachrichten beruht. Damit können (bei Verwendung des gleichen Algorithmus für das Erzeugen der senderseitigen und der empfängerseitigen Prüfinformation) in der Sendeeinheit und der Empfangseinheit identische Prüfdatensätze oder identische Prüfinformationen erzeugt werden.
  • Durch die Erfindung ergibt sich der Vorteil, dass sichergestellt ist, dass die Sendeeinheit ihre senderseitige Prüfinformation nur auf der Grundlage von Nutzdaten aus solchen ausgesendeten Datennachrichten erzeugt, die auch erfolgreich in der Empfangseinheit empfangen worden sind. Somit wird verhindert, dass die Sendeeinheit eine senderseitige Prüfinformation, beispielsweise den eingangs beschriebenen Hash-Wert, auf der Grundlage von solchen Datennachrichten berechnet, von denen eine oder einige nicht in der Empfangseinheit empfangen worden sind oder vorliegen. Würde dann die Empfangseinheit eine empfängerseitige Prüfinformation auf Grundlage nur der empfangenen Datennachrichten (ohne Wissen über verlorene oder erfolglos übertragende Datennachrichten) erzeugen, ergäbe sich eine Diskrepanz zwischen der senderseitigen Prüfinformation aus der Sendeeinheit, wie sie in der Authentifizierungsnachricht an die Empfangseinheit übertragen wurde, und der lokal in der Empfangseinheit berechneten empfängerseitigen Prüfinformation, selbst dann, wenn alle empfangenen Datennachrichten eigentlich als authentisch erkannt werden müssten, weil sie aus der Sendeeinheit stammen. Dieser Fall ist nun verhindert.
  • Im Folgenden sind Weiterentwicklungen beschrieben, durch die sich zusätzliche Vorteile ergeben.
  • Gemäß einer Weiterentwicklung wird durch die Sendeeinheit den von ihr ausgesendeten Datennachrichten als ein Identifikationsmerkmal eine fortlaufende Identifikationsnummer und/oder eine Speicherpositionsnummer des Datenspeichers der Sendeeinheit /oder ein Zeitstempel der Entstehungszeit oder Sendezeit zugeordnet. Die Speicherpositionsnummer kann beispielsweise eine Speicheradresse oder ein Speicherfeld sein, in welchem diejenigen Nutzdaten gespeichert sind, die sich auch in der entsprechenden Datennachricht befinden. In der von der Empfangseinheit versandten Anforderungsnachricht wird das jeweilige Identifikationsmerkmal aller für die senderseitige Prüfinformation zu verwendenden Datennachrichten explizit angegeben. Mit anderen Worten wird durch die Empfangseinheit aufgelistet, aus welchen Datennachrichten die Nutzdaten für das Berechnen der senderseitigen Prüfinformation verwendet werden sollen. Das Angeben aller Identifikationsmerkmale der zu verwendenden Datennachrichten beziehungsweise deren Nutzdaten weist den Vorteil auf, dass keine fortlaufende Serie von Datennachrichten (also eine Sequenz von Datennachrichten ohne Paketverlust oder Nachrichtenverlust) notwendig ist, sondern ein Ausfall eines Datenpakets durch „Überspringen“ dieser Datennachricht kompensiert werden kann.
  • Alternativ dazu kann vorgesehen sein, dass das Identifikationsmerkmal nur einer ersten der Datennachrichten durch die Empfangseinheit in der Anforderungsnachricht angegeben wird. In der Sendeeinheit kann ein entsprechender Berechnungsalgorithmus vorgesehen sein, welcher ausgehend von dieser ersten Datennachricht die Identifikationsmerkmale der übrigen zu verwendenden Datennachrichten beziehungsweise deren zu verendende Nutzdaten berechnet oder herleitet. Durch Verwenden lediglich eines einzelnen Identifikationsmerkmals der ersten der zu verwendenden Datennachrichten ergibt sich der Vorteil, dass die Anforderungsnachricht nur den Datenbedarf oder Speicherbedarf oder Übertragungsbedarf eines einzelnen Identifikationsmerkmals aufweist und damit ressourceneffizient ist.
  • Für den Fall, dass in der Anforderungsnachricht das Identifikationsmerkmal nur der ersten der zu verwendenden Datennachrichten angegeben ist, aus denen die senderseitige Prüfinformation berechnet werden soll, sieht eine Weiterentwicklung vor, dass durch die Sendeeinheit die Identifikationsmerkmale der übrigen zu verwendenden Datennachrichten aus dem in der Anforderungsnachricht enthaltenen Identifikationsmerkmal mittels eines vorgegebenen Berechnungsalgorithmus ermittelt werden. So ist es beispielsweise lediglich notwendig, nur die Startnummer in dem Datenspeicher der Sendeeinheit anzugeben und mittels des Berechnungsalgorithmus können dann die übrigen Identifikationsmerkmale hergeleitet oder berechnet und damit die übrigen Datennachrichten identifiziert werden, deren Nutzdaten für das Berechnen der senderseitigen Prüfinformation zugrunde zu legen sind. Für den Fall, dass ein Ringspeicher als Datenspeicher in der Sendeeinheit verwendet wird, kann natürlich in dem Berechnungsalgorithmus eine Modulo-Operation implementiert sein, um bei Erreichen eines Endes des Ringspeichers wieder an dessen Anfang zu springen und dort die Nutzdaten weiterer Nachrichten zu ermitteln.
  • Um eine Sequenz von fortlaufend gesendeten und auch erfolgreich empfangenen Datennachrichten für das Berechnen der senderseitigen Prüfinformation nutzen zu können, sieht eine Weiterentwicklung vor, dass durch die Sendeeinheit in den ausgesendeten Datennachrichten in der beschriebenen Weise deren jeweiliges Identifikationsmerkmal mitgesendet wird und durch die Empfangseinheit überprüft wird, ob sich in den empfangenen Datennachrichten eine Sequenz von fortlaufenden Identifikationsmerkmalen ergibt. Mit anderen Worten ist in der Empfangseinheit bekannt, nach welchem Schema oder nach welcher Regel fortlaufende Datennachrichten ihr Identifikationsmerkmal erhalten, beispielsweise als fortlaufende Zählernummer oder als Position in dem besagten Ringspeicher. Entsprechend kann durch die Datennachricht überprüft werden, ob sich in den empfangenen Datennachrichten eine Sequenz von fortlaufenden Identifikationsmerkmalen ergibt, also kein Paketverlust oder Nachrichtenverlust in dem Datennetzwerk vorliegt. Wird dies in der Empfangseinheit detektiert oder erkannt, so kann dies das Auslöseereignis erzeugen, also bei Vorliegen oder Erkennen der Sequenz wird die Anforderungsnachricht bezogen auf diese Sequenz erzeugt. Dann ist es möglich, lediglich das Identifikationsmerkmal nur der ersten der zu verwendenden Datennachrichten anzugeben, da in der Sendeeinheit dann die Sequenz der Datennachrichten zum Berechnen der senderseitigen Prüfinformation genutzt werden kann, da sichergestellt ist, dass die Sequenz vollständig auch in der Empfangseinheit empfangen wurde oder vorliegt.
  • Wie bereits ausgeführt, muss zum Berechnen der Prüfinformation nicht die vollständige jeweilige Datennachricht genutzt werden, sondern für die jeweilige Prüfinformation kann ein Bruchteil oder Teil der Datennachricht verwendet werden, der hier als Nutzdaten der Datennachricht bezeichnet ist. Es kann sich beispielsweise um die so genannte Payload oder auch nur um einen Teil der Payload handeln.
  • Wie beschrieben wird bevorzugt gemäß einer Weiterentwicklung durch die Empfangseinheit aus den in den ausgewählten empfangenen Datennachrichten enthaltenen Nutzdaten eine empfängerseitige Prüfinformation erzeugt, das heißt, in der Empfangseinheit wird das Berechnen der Prüfinformation nachvollzogen oder ebenfalls durchgeführt. Hierzu kann die Empfangseinheit natürlich denselben Algorithmus nutzen wie in der Sendeeinheit, so dass sich dieselbe Prüfinformation, also beispielsweise derselbe Hash-Wert oder dieselbe Prüfsumme ergeben muss wie in der Sendeeinheit, wenn die Datennachrichten authentisch sind, das heißt tatsächlich aus der Sendeeinheit stammen und/oder bei der Übertragung im Datennetzwerk un-manipuliert oder manipulationsfrei geblieben sind. Durch die Empfangseinheit wird dann die empfängerseitige Prüfinformation mit der senderseitigen Prüfinformation aus der Authentifizierungsnachricht verglichen und nur bei Erkennen einer Übereinstimmung der senderseitigen und der empfängerseitigen Prüfinformation werden die empfangenen Datennachrichten als authentisch in Bezug auf die Herkunft aus der Sendeeinheit und/oder ihrer Unverfälschtheit signalisiert. Andernfalls kann eine Schutzmaßnahme eingeleitet werden, die beispielsweise umfassen kann, dass die empfangenen Datennachrichten verworfen werden. Zusätzlich oder alternativ dazu kann in einem Fehlerspeicher des Kraftfahrzeugs ein Signal hinterlegt werden, dass in dem Datennetzwerk nicht-authentische Datennachrichten vorgelegen haben.
  • Damit im Falle einer Manipulation innerhalb des Datennetzwerks verhindert werden kann, dass auch in der übertragenen Authentifizierungsnachricht während der Übertragung auch die senderseitige Prüfinformation manipuliert wird und somit die Manipulation für die Empfangseinheit kaschiert oder verdeckt werden kann, sieht eine Weiterentwicklung vor, dass durch die Sendeeinheit die senderseitige Prüfinformation und durch die Empfangseinheit die empfängerseitige Prüfinformation jeweils durch Anwenden einer kryptographischen Schutzfunktion, z.B. einer Verschlüsselungsfunktion und/oder Signaturfunktion, unter Verwendung eines gemeinsamen kryptographischen Schlüssels erzeugt wird. Die Sendeeinheit wendet also auf die senderseitige Prüfinformation eine kryptographische Verschlüsselung und/oder Signatur mit einem kryptographischen Schlüssel an und die Empfangseinheit wendet auf die von ihr berechnete empfängerseitige Prüfinformation ebenfalls die kryptographische Verschlüsselung / Signatur mit diesem Schlüssel an, das heißt, es liegt eine Kopie dieses Schlüssels in der Sendeeinheit und der Empfangseinheit vor. Das Vergleichen der senderseitigen und der empfängerseitigen Prüfinformation erfolgt in der Empfangseinheit dann dadurch, dass die kryptographisch verschlüsselten und/oder signierte Prüfinformationen verglichen werden. Sind die senderseitige und die empfängerseitige Prüfinformation identisch, so ist auch deren kryptographisch verschlüsselte/signierte Version identisch. Das Vergleichen der kryptographisch verschlüsselten / signierten Prüfinformation ergibt den Vorteil, dass die Sendeeinheit ihre senderseitige Prüfinformation kryptographisch abgesichert in der Authentifizierungsnachricht über das Datennetzwerk übertragen kann und somit eine Manipulation der senderseitigen Prüfinformation im Datennetzwerk ohne den kryptographischen Schlüssel unmöglich oder zumindest nur mit einem unverhältnismäßig großen Aufwand möglich ist.
  • Wie bereits ausgeführt, ist insbesondere vorgesehen, dass die Nutzdaten nur einen Teil einer Payload der Datennachrichten umfassen und ein übriger Teil der Payload ungeprüft weiterverwendet wird. Somit kann der Speicherbedarf in dem Datenspeicher, beispielsweise in dem besagten Ringspeicher, geringgehalten werden. Die Nutzdaten, die bei der Berechnung der Prüfinformationen verwendet werden, können auch als Sicherheitsdaten bezeichnet werden. Sie können beispielsweise einen Messwert oder einen Signalwert von Fahrfunktionen umfassen, die für den Fahrbetrieb (also nicht beispielsweise für den Betrieb eines Infotainmentsystems) notwendig sein können, wie beispielsweise eine Drehzahl eines Motors, um nur ein Beispiel zu nennen.
  • Die jeweilige Prüfinformation kann als ein Hash-Wert der Nutzdaten und/oder (beispielsweise im Falle von Messwerten) als ein Mittelwert von durch die Nutzdaten beschriebenen Messwerten berechnet werden.
  • Gemäß einer Weiterentwicklung wird durch die Empfangseinheit in ihrer Anforderungsnachricht zusätzlich ein Testwert mitgesendet, bei dem es sich insbesondere um eine Zufallszahl handeln kann, wie sie beispielsweise durch ein TRNG (True Random Number Generator), also eine Hardwareschaltung für Zufallszahlen, erzeugt werden kann. Durch die Sendeeinheit wird dieser Testwert beim Erzeugen der senderseitigen Prüfinformation einbezogen. Beispielsweise kann der Testwert als weitere „Nutzdaten“, also als ein zusätzlicher Nutzdatensatz beispielsweise beim Berechnen des besagten Hash-Werts oder Mittelwerts, einbezogen oder berücksichtigt oder verwendet werden. Natürlich wird auch in der Empfangseinheit beim Berechnen der beschriebenen empfängerseitigen Prüfinformation dann dieser Testwert ebenfalls in derselben Weise einbezogen. Die Verwendung eines solchen Testwerts ergibt den Vorteil, dass auch keine Kaschierung manipulierter Datennachrichten dadurch möglich ist, dass in dem Datennetzwerk beispielsweise durch einen Hacker Authentifizierungsnachrichten mitgelesen und gespeichert werden und eine alte Authentifizierungsnachricht als Antwort auf eine aktuelle Anforderungsnachricht in das Datennetzwerk eingespeist wird, um hierdurch der Empfangseinheit authentische Datennachrichten vorzutäuschen. Wenn in den Anforderungsnachrichten unterschiedliche Testwerte verwendet werden, muss sich entsprechend zwingend auch eine jeweils andere senderseitige Prüfinformation in der Sendeeinheit ergeben, so dass alte Authentifizierungsnachrichten nicht für eine so genannte Replay-Attacke genutzt werden können.
  • Für Anwendungsfälle oder Anwendungssituationen, die sich bei dem Verfahren ergeben können und die hier nicht explizit beschrieben sind, kann vorgesehen sein, dass gemäß dem Verfahren eine Fehlermeldung und/oder eine Aufforderung zur Eingabe einer Nutzerrückmeldung ausgegeben und/oder eine Standardeinstellung und/oder ein vorbestimmter Initialzustand eingestellt wird.
  • Durch Bereitstellen der Sendeeinheit, der Empfangseinheit und des Datennetzwerks ergibt sich ein Kommunikationssystem für ein Kraftfahrzeug, das ebenfalls als Bestandteil der Erfindung angesehen wird. Das Kommunikationssystem umfasst das Datennetzwerk, beispielsweise einen Datenbus, wie beispielsweise ein CAN-Bus, und/oder ein Ethernet-Netzwerk, sowie die beschriebene Sendeeinheit zum Aussenden von mehreren Datennachrichten über das Datennetzwerk und die Empfangseinheit zum Empfangen der Datennachrichten aus dem Datennetzwerk. Die Sendeeinheit und die Empfangseinheit können jeweils als ein Steuergerät (also Sendesteuergerät und Empfangssteuergerät) ausgestaltet sein. Die Sendeeinheit kann beispielsweise ein Steuergerät einer Sensorschaltung darstellen, um nur ein Beispiel zu nennen. Die Empfangseinheit kann beispielsweise ein Zentralrechner des Kraftfahrzeugs oder ein Steuergerät für eine Fahrerassistenzfunktion sein, um nur Beispiele zu nennen. Das Datennetzwerk kann auch ein hybrides Netzwerk mit mehreren unterschiedlichen Netzwerktechnologien, beispielsweise Ethernet und CAN-Bus, sein. In der beschriebenen Weise ist das Kommunikationssystem dazu eingerichtet, die Schritte einer Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen, also die durch die Sendeeinheit und die Empfangseinheit jeweils durchzuführenden Schritte.
  • Auch die beschriebene Sendeeinheit stellt für das Kommunikationssystem einen eigenständigen Teil der Erfindung dar, wobei die Sendeeinheit eine Prozessorschaltung aufweist, die dazu eingerichtet ist, diejenigen Schritte einer Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen, die für die Sendeeinheit vorgesehen sind, wie dies beschrieben wurde.
  • Auch die Empfangseinheit für das Kommunikationssystem stellt einen eigenständigen Teil der Erfindung dar, wobei die Empfangseinheit eine Prozessorschaltung aufweist, die dazu eingerichtet ist, diejenigen Schritte einer Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen, die in der Empfangseinheit in der beschriebenen Weise vorgesehen sind.
  • Die Sendeeinheit und die Empfangseinheit können zum Durchführen der beschriebenen Schritte jeweils eine Prozessorschaltung aufweisen. Die Prozessorschaltung kann hierzu zumindest einen Mikroprozessor und/oder zumindest einen Mikrocontroller und/oder zumindest einen FPGA (Field Programmable Gate Array) und/oder zumindest einen DSP (Digital Signal Processor) aufweisen. Des Weiteren kann die Prozessorschaltung Programmcode aufweisen, der dazu eingerichtet ist, bei Ausführen durch die Prozessorschaltung die Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Der Programmcode kann in einem Datenspeicher der Prozessorschaltung gespeichert sein. Eine Prozessorschaltung der Prozessorschaltung kann z.B. zumindest eine Schaltungsplatine und/oder zumindest ein SoC (System on Chip) aufweisen.
  • Schließlich sieht die Erfindung auch ein Kraftfahrzeug vor, welches eine Ausführungsform des erfindungsgemäßen Kommunikationssystems aufweist. Das erfindungsgemäße Kraftfahrzeug ist bevorzugt als Kraftwagen, insbesondere als Personenkraftwagen oder Lastkraftwagen, oder als Personenbus oder Motorrad ausgestaltet.
  • Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen. Die Erfindung umfasst also auch Realisierungen, die jeweils eine Kombination der Merkmale mehrerer der beschriebenen Ausführungsformen aufweisen, sofern die Ausführungsformen nicht als sich gegenseitig ausschließend beschrieben wurden.
  • Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt die einzige Figur:
    • Fig. eine schematische Darstellung einer Ausführungsform des erfindungsgemäßen Kraftfahrzeugs.
  • Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden. Daher soll die Offenbarung auch andere als die dargestellten Kombinationen der Merkmale der Ausführungsformen umfassen. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
  • In der Figur bezeichnen gleiche Bezugszeichen jeweils funktionsgleiche Elemente.
  • Die Fig. zeigt ein Kraftfahrzeug 10, bei dem es sich um einen Kraftwagen, insbesondere einen Personenkraftwagen oder Lastkraftwagen, handeln kann. In dem Kraftfahrzeug 10 kann ein Kommunikationssystem 11 angeordnet sein, das ein Datennetzwerk 12 aufweisen kann, über welches zumindest ein Sendesteuergerät 13 als Sendeeinheit 14 mit einem Empfangssteuergerät 15 als Empfangseinheit 16 für das Austauschen oder Übertragen von Daten verbunden sein kann. Beispielhaft ist hier angegeben, dass eine Datennachricht alle 10 Millisekunden in diesem Beispiel gesendet wird. Das Datennetzwerk 12 kann beispielsweise ein Ethernet und/oder einen CAN-Bus umfassen, und die Sendeeinheit 14 und die Empfangseinheit 16 können jeweils in an sich bekannter Weise an das Datennetzwerk 12 angeschlossen sein.
  • Die Sendeeinheit 14 kann beispielsweise einen Sensor 17 aufweisen oder mit diesem gekoppelt sein und beispielsweise Messdaten 18 des Sensors 17 regelmäßig oder zyklisch in einer jeweiligen Datennachricht 19 über das Datennetzwerk 12 zu der Empfangseinheit 16 übertragen, wo auf der Grundlage von Nachrichtendaten oder Signaldaten 20 aus der jeweiligen Datennachricht 19 eine Gerätefunktionalität 21 der Empfangseinheit 16 betrieben werden kann, beispielsweise eine automatisierte Fahrfunktion, um nur ein Beispiel zu nennen. Allerdings muss in der Empfangseinheit 16 hierbei sichergestellt sein, dass die verwendeten oder empfangenen Datennachrichten 19 auch tatsächlich Signaldaten 20 aus einer beispielsweise von einem Hersteller des Kraftfahrzeugs 10 autorisierten Sendeeinheit 14 enthalten und nicht beispielsweise im Gegensatz dazu manipulierte Signaldaten aus einer nachträglich installierten Sendeeinheit beispielsweise eines Tuning-Kits und/oder Signaldaten 20, die bei der Übertragung über das Datennetzwerk 12 verfälscht oder manipuliert wurden.
  • Um in der Empfangseinheit 16 die Authentizität von empfangenen Datennachrichten 19 in Bezug auf deren Herkunft und/oder Unverfälschtheit aus der Sendeeinheit 14 zu überprüfen, kann folgendes Verfahren vorgesehen sein. In einem Schritt S10 kann die Empfangseinheit 16 aus den empfangenen Datennachrichten 19 einen vorgegebenen Anteil, der hier als Nutzdaten 22 (DS) bezeichnet ist in einem Datenspeicher 23 der Empfangseinheit abspeichern. Bei dem Datenspeicher 23 kann es sich um einen Ringspeicher handeln, in welchem zyklisch die jeweils neuen Nutzdaten 22 (DS) abgelegt werden. Hierdurch ergibt sich für die jeweils abgelegten Nutzdaten eine Speicherposition 24 in dem Datenspeicher 23, also beispielsweise eine Position im Ringspeicher. Insgesamt ist in der Fig. beispielhaft angegeben, dass der Datenspeicher 23 eine Speicherkapazität von N Dateneinträgen oder Nutzdaten 22 aus entsprechend insgesamt N Datennachrichten 19 aufnehmen kann.
  • Beim Versenden der Datennachrichten 19 kann entsprechend in einem Datenspeicher 23 der Sendeeinheit 14 ebenfalls der Nutzdatenanteil, das heißt die Nutzdaten 22 (DS) in dem Datenspeicher 23 abgespeichert werden, so dass sich eine entsprechende Speicherposition C ergibt. In der jeweiligen Datennachricht 19 kann die Speicherposition C ebenfalls als Datenbestandteil der Datennachricht 19 enthalten sein, wie dies in der Fig. dargestellt ist.
  • Als Datennachricht 19 wird hier eine Nachricht bezeichnet, die zum Übertragen der beschriebenen Signaldaten 20 von der Sendeeinheit 14 zur Empfangseinheit 16 vorgesehen ist. Dagegen kann eine Authentifizierungsnachricht A vorgesehen sein, die für mehrere gesendete Datennachrichten 19 einen Authentifizierungsnachweis in Form einer senderseitigen Prüfinformation 26 umfassen kann. Beispielsweise kann wie in der Fig. dargestellt alle 100 Millisekunden jeweils eine Authentifizierungsnachricht A vorgesehen sein.
  • Hierzu kann in einem Schritt S11 ein entsprechendes Auslöseereignis E vorgesehen sein, beispielsweise ein Timer oder das Erkennen, dass gemäß einem in der jeweiligen Datennachricht 19 enthaltenen Identifikationsmerkmal 27, beispielsweise dem Speicherpositionswert C, eine fortlaufende Sequenz von Datennachrichten 19, also ohne Nachrichtenverlust, empfangen wurde und somit in dem Datenspeicher 23 der Empfangseinheit 16 die Nutzdaten 22 aus einer aufeinanderfolgenden ohne Datenverlust empfangenen Datennachrichten 19 (also ohne fehlende Datennachricht in der Sequenz), vorhanden ist. Daraufhin kann eine Anforderungsnachricht 28 von der Empfangseinheit 16 an die Sendeeinheit 14 ausgesendet werden, in welcher das Erzeugen einer Authentifizierungsnachricht A angefordert wird. In der Anforderungsnachricht 28 kann beispielsweise ein Testwert 30, beispielsweise eine Zufallszahl, enthalten sein. In der Anforderungsnachricht 28 kann ein Auswahlbefehl 31 enthalten sein, der angibt, welche Nutzdaten 22 in dem Datenspeicher 25 von der Sendeeinheit 14 zum Erzeugen der Prüfinformation 26 erzeugt oder verwendet werden sollen.
  • Die ausgewählten Nutzdaten 22, das heißt, die Nutzdaten 22 aus den entsprechend ausgewählten Datennachrichten 19, wie sie auch von der Empfangseinheit 16 erfolgreich empfangen wurden und durch entsprechende Nutzdaten 22 im Datenspeicher 23 repräsentiert sind, können in einem Schritt S12 beispielsweise zu einem Hash-Wert oder Durchschnittswert 34 zusammengefasst oder verrechnet werden. Zudem wird bevorzugt mittels eines Algorithmus 35 auch der Testwert 30, also beispielsweise die eine Zufallszahl RND, aus der Empfangseinheit 16 einberechnet. Es wird bevorzugt auch ein kryptographischer Schlüssel 36 angewendet, um die Prüfinformation 26 als verschlüsselten Wert und/oder signierten Wert zu erzeugen. In der Figur ist beispielhaft dargestellt, dass die Prüfinformation auf einem SipHash, also einem 8-Byte-Hash-Wert, beruhen kann, aber dies ist nur beispielhaft. Hierdurch ergibt sich als Authentifizierungsnachricht A eine MAC (Message Authentication Code). Die Authentifizierungsnachricht A kann von der Empfangseinheit 16 empfangen werden. Die von der Empfangseinheit 16 ausgewählten Nutzdaten 22, die mit dem Auswahlbefehl 31 auch in der Sendeeinheit 14 ausgewählt und aus dem Datenspeicher 25 entnommen wurden, können in der Empfangseinheit 16 entsprechend aus dem Datenspeicher 23 entnommen werden und es kann ebenfalls ein Prüfwert, beispielsweise ein Durchschnittswert 34' berechnet werden. In der Empfangseinheit 16 kann ebenfalls in derselben Weise wie in der Sendeeinheit 14 auch der Testwert 30 sowie der kryptographische Schlüssel 36 mittels des Algorithmus 35, der entsprechend sowohl in der Sendeeinheit als auch in der Empfangseinheit implementiert ist, berechnet werden. Somit ergibt sich eine empfängerseitige Prüfinformation 40.
  • Die Berechnung dieser empfängerseitigen Prüfinformation 40 stellt einen Schritt S14 dar. In einem Schritt S15 können die senderseitige Prüfinformation 26 aus der empfangenen Authentifizierungsnachricht A und die empfängerseitige Prüfinformation 40 aus den aus dem Datenspeicher entnommenen Nutzdaten 22 erzeugten empfängerseitigen Prüfinformation 40 verglichen werden. Ergibt sich eine Übereinstimmung, so können die empfangenen Datennachrichten 19 als authentisch in Bezug auf ihren Ursprung und/oder ihre Unverfälschtheit aus der Sendeeinheit 14 in einem Bestätigungssignal 41 bestätigt werden. Ergibt sich dagegen ein Unterschied oder eine Diskrepanz, so kann mittels einer Schutzmaßnahme 42 signalisiert werden, dass zumindest eine der empfangenen Datennachrichten 19 nicht authentisch ist, beispielsweise kann als Schutzmaßnahme 42 ausgelöst werden, dass die empfangenen Datennachrichten 19 (genauer aller in dem letzten großen, der Prüfinformation abgedeckten Zyklus, im Beispiel 100 ms) verworfen oder gelöscht werden oder für die Gerätefunktionalität 21 nicht verwendet werden. Zusätzlich oder alternativ kann als Schutzmaßnahme 42 beispielsweise ein Warnhinweis 43 erzeugt werden und beispielsweise in einem Fehlerspeicher des Kraftfahrzeugs 10 (Fehlerspeicher nicht dargestellt) hinterlegt werden, damit in einem späteren Werkstattbesuch dieses Ereignis erkannt werden kann.
  • Somit kann für mehrere Datennachrichten 19 eine gemeinsame Prüfinformation 26 ausreichen, um deren Authentizität zu überprüfen. Somit sind weniger Authentifizierungsnachrichten A als Datennachrichten 19 notwendig. Der beschriebene Algorithmus kann zudem mit geringen Rechenressourcen in einer Sendeeinheit 14 und einer Empfangseinheit 16 implementiert werden. Durch Verwenden lediglich einiger der Signaldaten 20 als Nutzdaten 22 ist zudem nur wenig Speicherplatz für das Implementieren der Datenspeicher 23, 25 notwendig.
  • Die Datenübertragung in dem Fahrzeugnetz oder Datennetzwerk 12 kann somit auch bei erhöhten Angriffspotential genutzt werden. Beispielshaft können hier Wegstreckeninformationen oder Daten für die Freischaltung von kostenpflichtigen Funktionen manipulationssicher übertragen werden. Zusätzlich können Signaldaten von Sensoren (speziell für die Überwachung der Funktionsweise von Verbrennungskraftmaschinen), die potentiell für ein Tuning manipuliert werden könnten, geschützt werden.
  • Zur Absicherung von solchen Nutzdaten 22, die gegen Manipulation geschützt werden müssen, können die beschriebenen Schritte in einem Mikrocontroller für Sensoren implementiert werden. Dennoch bleibt wegen des geringen Ressourcenbedarfs für die Verarbeitung der eigentlichen Sensoren und die Wandlung in ein Netzwerkprotokoll (typischerweise CAN) genug Rechenleistung. Eine Anwendung leistungsfähiger Verschlüsselungsverfahren ist wegen der geringen Rechenleistung der verwendeten Mikrocontroller nicht notwendig. Der beschriebene kryptographische Schlüssel kann z.B. für eine Verschlüsselung(Signierung)/ gemäß dem AES (Advanced Encryption Standard) und/oder SipHash, wie weiter vorne erwähnt, verwendet werden.
  • Um die Rechenlast auf Sensorseite (allgemein Sendeeinheit 14) zu verringern, wird ein Verfahren vorgeschlagen, welches die Nachteile vermeidet. Die Grundidee besteht darin:
    • • eine kryptografische Operation nur auf eine „Zusammenfassung“ der eigentlich zu schützenden Daten anzuwenden und
    • • die resultiere Prüfinformation (z.B. Hashwerte) mit einer größeren Zykluszeit als die eigentlich zu sendende Datennachricht zu senden.
  • Hierdurch können die folgenden Vorteile erlangt werden:
    • • Erkennung von Manipulationen der übertragenden Daten, die schützenswert sind,
    • • weniger Rechenaufwand im Sendersteuergerät, nur geringe Erhöhung der Buslast und
    • • einfache Synchronisation zwischen Sender und Empfänger, indem das Identifikationsmerkmal 27 in der zugehörigen Datennachricht 19 mitgesendet wird.
  • Die vorgestellte Idee erfüllt die Anforderungen an die Übertragung von einem Sensorsteuergerät (geringe Rechenleistung, allgemein Sendeeinheit 14) hin zu einem Empfängersteuergerät (ausreichend Rechenleistung, allgemein Empfangseinheit 16).
  • Von den Daten, die vom Sensor (allgemein Sendeeinheit 14) zu übertragen sind, ist nur ein kleiner Anteil wirklich schützenwert (exemplarisch 1 oder 2 Byte von 8 Byte, allgemein Nutzdaten DS). Zusätzlich wird mit jeder Nachricht, die diese schützenwerten Nutzdaten DS enthalten ein Zeitstempel oder Speicherpositionswert/Counter C als Identifikationsmerkmal mit übertragen.
  • Mögliche Ausgestaltungen:
    • • Der Empfänger der Nachrichten besitzt einen TRNG zum Erzeugen eines Testwerts,
    • • sowohl Sender als auch Empfänger sind wenigstens in der Lage eine kryptografische Schutzfunktion mit einem Schlüssel 36 zu berechnen, wobei sowohl Sender als auch Empfänger den symmetrischen Schlüssel 36 (optimalerweise fahrzeugindividuell) besitzen.
  • Der Counter C ist umlaufend, wenn ein jeweiliger Ringspeicher als Datenspeicher 23, 25 verwendet wird.
  • Auf der Senderseite und der Empfängerseite wird jeweils ein Ringpuffer mit der Größe N angelegt.
  • Der Sender legt die Nutzdaten und den zugehörigen Zeitstempel (allgemein Identifikationsmerkmal 27 der Datennachricht 19) im Ringpuffer oder Datenspeicher 25 ab. Die Position im Ringpuffer korreliert mit dem Counter C. Der Empfänger macht es analog mit empfangenen Datennachrichten.
  • Um nun eine regelmäßige Absicherung zu etablieren, wird nach einer kurzen Start-Up-Phase des Empfängers begonnen, regelmäßig mit einer festgelegten Zykluszeit (größer als die Zykluszeit der eigentlichen Signal-Nachricht) eine Anforderung an eine Überprüfung aussenden. Technisch ist das eine Challenge (Anforderungsnachricht) z.B. mit einem Testwert (z.B. Zufallszahl aus dem TRNG). Zusätzlich enthält diese Challenge z.B. die sogenannte Counter-Position als Auswahlbefehl. Diese Counter-Position kann die für beide Teilnehmer der Kommunikation einen Zeiger auf den Ringpuffer darstellen.
  • Im folgenden Rechenschritt wird auf beiden Seiten z.B. aus einer festgelegten Anzahl M (M < N) beginnend ab dieser Counter-Position zunächst z.B. ein Mittelwert (oder ein Hashwert oder ein anderer Zusammenfassungswert) berechnet. Diese Prüfinformation geht in die Berechnung einer kryptografische Schutzfunktion ein (zusätzlich Schlüssel 36 und der Testwert 30 aus der Anfragenachricht).
  • Dieser berechnete Wert der kryptografischen Schutzfunktion wird übertragen und kann auf der Empfängerseite mit der empfängerseitigen Prüfinformation verglichen werden.
  • Insgesamt zeigen die Beispiele, wie in einem Kraftfahrzeug eine Nachrichtenüberwachung bereitgestellt werden kann.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102018220324 A1 [0003]
    • WO 2020015940 A1 [0004]
    • DE 102020113451 A1 [0005]
    • DE 102019217808 A1 [0006]

Claims (13)

  1. Verfahren zum Betreiben eines Kraftfahrzeugs (10), wobei in dem Kraftfahrzeug (10) durch eine Sendeeinheit (14) mehrere Datennachrichten (19) über ein Datennetzwerk (12) an eine Empfangseinheit (16) ausgesendet und durch die Empfangseinheit (16) zumindest einige der ausgesendeten Datennachrichten (19) empfangen werden und durch die Empfangseinheit (16) eine Anforderungsnachricht (28) zur Authentifizierung an die Sendeeinheit (14) ausgesendet wird und durch die Sendeeinheit (14) in Reaktion auf die Anforderungsnachricht (28) aus gespeicherten Nutzdaten (22), die auch auf die unterschiedlichen versendeten Datennachrichten (19) verteilt enthalten waren, eine gemeinsame senderseitige Prüfinformation (26) generiert und in einer Authentifizierungsnachricht (A) an die Empfangseinheit (16) ausgesendet wird, dadurch gekennzeichnet, dass durch die Sendeeinheit (14) eine Kopie der in den ausgesendeten Datennachrichten (19) enthaltenen Nutzdaten (22) nach dem Aussenden in einem Datenspeicher (25) der Sendeeinheit (14) gehalten wird und durch die Empfangseinheit (16) mittels der Anforderungsnachricht (28) ein Auswahlbefehl (31) vorgegeben wird, der die für das Erzeugen der senderseitigen Prüfinformation (26) zu verwendenden Datennachrichten (19) auswählt, und die senderseitige Prüfinformation (26) durch die Sendeeinheit (14) gemäß dem Auswahlbefehl (31) aus den gespeicherten Nutzdaten (22) der ausgewählten Datennachrichten (19) erzeugt wird.
  2. Verfahren nach Anspruch 1, wobei durch die Sendeeinheit (14) den ausgesendeten Datennachrichten (19) als Identifikationsmerkmal (27) eine fortlaufende Identifikationsnummer und/oder eine Speicherpositionsnummer des Datenspeichers (25) der Sendeeinheit (14) und/oder ein Zeitstempel zugeordnet wird und durch die Empfangseinheit (16) in der Anforderungsnachricht (28) das jeweilige Identifikationsmerkmal (27) aller oder das Identifikationsmerkmal (27) einer ersten der für das Erzeugen der senderseitigen Prüfinformation (26) zu verwendende Datennachrichten (19) angegeben wird.
  3. Verfahren nach Anspruch 2, wobei in der Anforderungsnachricht (28) das Identifikationsmerkmal (27) nur der ersten der zu verwendenden Datennachrichten (19) angegeben wird und durch die Sendeinheit die Identifikationsmerkmale (27) der übrigen zu verwendenden Datennachrichten (19) aus dem in der Anforderungsnachricht (28) enthaltenen Identifikationsmerkmal (27) mittels eines vorgegebenen Berechnungsalgorithmus (35) ermittelt werden.
  4. Verfahren nach Anspruch 2 oder 3, wobei durch die Sendeeinheit (14) in den ausgesendeten Datennachrichten (19) deren jeweiliges Identifikationsmerkmal (27) mitgesendet wird und durch die Empfangseinheit (16) überprüft wird, ob sich in den empfangenden Datennachrichten (19) eine Sequenz von fortlaufenden Identifikationsmerkmalen (27) ergibt, und als Auslöseereignis (E) das Erkennen der Sequenz darstellt und die Anforderungsnachricht (28) bezogen auf die Sequenz erzeugt wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei durch die Empfangseinheit (16) aus den in den ausgewählten empfangenen Datennachrichten (19) enthaltenen Nutzdaten (22) eine empfängerseitige Prüfinformation (40) erzeugt und mit der senderseitigen Prüfinformation (26) aus der Authentifizierungsnachricht (A) verglichen wird und nur bei Erkennen einer Übereinstimmung der senderseitigen und der empfängerseitigen Prüfinformation (40) die empfangenen Datennachrichten (19) als authentisch signalisiert werden.
  6. Verfahren nach Anspruch 5, wobei durch die Sendeeinheit (14) die senderseitige Prüfinformation (26) und durch die Empfangseinheit (16) die empfängerseitige Prüfinformation (40) jeweils durch Anwenden einer kryptographischen Schutzfunktion unter Verwendung eines gemeinsamen kryptographischen Schlüssels (36) erzeugt wird und das Vergleichen der kryptographisch verschlüsselten und/oder signierten Prüfinformationen erfolgt.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Nutzdaten (22) nur einen Teil einer Payload der Datennachrichten (19) umfassen und ein übriger Teil der Payload ungeprüft weiterverwendet wird.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei die jeweilige Prüfinformation als ein Hashwert der Nutzdaten (22) und/oder als ein Mittelwert von durch die Nutzdaten (22) beschriebenen Messwerten berechnet wird.
  9. Verfahren nach einem der vorhergehenden Ansprüche, wobei durch die Empfangseinheit (16) in der Anforderungsnachricht (28) ein Testwert (30), insbesondere eine Zufallszahl, mitgesendet wird und durch die Sendeeinheit (14) der Testwert (30) beim Erzeugen der senderseitigen Prüfinformation (26) einbezogen wird.
  10. Kommunikationssystem für ein Kraftfahrzeug (10), wobei das Kommunikationssystem umfasst: ein Datennetzwerk (12), eine Sendeeinheit (14) zum Aussenden von mehreren Datennachrichten (19) über das Datennetzwerk (12), eine Empfangseinheit (16) zum Empfangen der Datennachrichten (19) aus dem Datennetzwerk (12), wobei das Kommunikationssystem dazu eingerichtet ist, die Schritte eines Verfahrens nach einem der vorhergehenden Ansprüche durchzuführen.
  11. Sendeeinheit (14) für ein Kommunikationssystem nach Anspruch 10, wobei die Sendeeinheit (14) eine Prozessorschaltung aufweist, die dazu eingerichtet ist, die die Sendeeinheit (14) betreffenden Schritte eines Verfahrens nach einem der Ansprüche 1 bis 9 auszuführen.
  12. Empfangseinheit (16) für ein Kommunikationssystem nach Anspruch 10, wobei eine Prozessorschaltung aufweist, die dazu eingerichtet ist, die die Empfangseinheit (16) betreffenden Schritte eines Verfahrens nach einem der Ansprüche 1 bis 9 auszuführen.
  13. Kraftfahrzeug (10) aufweisend ein Kommunikationssystem nach Anspruch 10.
DE102022130141.9A 2022-11-15 2022-11-15 Verfahren und Kommunikationssystem zur Nachrichtenüberwachung in einem Datennetzwerk eines Kraftfahrzeugs und Sende- und Empfangseinheit für das Kommunikationssystem Pending DE102022130141A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022130141.9A DE102022130141A1 (de) 2022-11-15 2022-11-15 Verfahren und Kommunikationssystem zur Nachrichtenüberwachung in einem Datennetzwerk eines Kraftfahrzeugs und Sende- und Empfangseinheit für das Kommunikationssystem
PCT/EP2023/080684 WO2024104791A1 (de) 2022-11-15 2023-11-03 Verfahren und kommunikationssystem zur nachrichtenüberwachung in einem datennetzwerk eines kraftfahrzeugs und sende- und empfangseinheit für das kommunikationssystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022130141.9A DE102022130141A1 (de) 2022-11-15 2022-11-15 Verfahren und Kommunikationssystem zur Nachrichtenüberwachung in einem Datennetzwerk eines Kraftfahrzeugs und Sende- und Empfangseinheit für das Kommunikationssystem

Publications (1)

Publication Number Publication Date
DE102022130141A1 true DE102022130141A1 (de) 2024-05-16

Family

ID=88757617

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022130141.9A Pending DE102022130141A1 (de) 2022-11-15 2022-11-15 Verfahren und Kommunikationssystem zur Nachrichtenüberwachung in einem Datennetzwerk eines Kraftfahrzeugs und Sende- und Empfangseinheit für das Kommunikationssystem

Country Status (2)

Country Link
DE (1) DE102022130141A1 (de)
WO (1) WO2024104791A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020015940A1 (en) 2018-07-19 2020-01-23 Robert Bosch Gmbh Reducing runtime load for vehicle system data encryption using crypto engine with direct memory access (dma)
DE102018220324A1 (de) 2018-11-27 2020-05-28 Audi Ag Verfahren zur Überwachung eines Datenübertragungssystems, Datenübertragungssystem und Kraftfahrzeug
DE102019217808A1 (de) 2019-11-19 2021-05-20 Siemens Mobility GmbH Verfahren zur Fahrtenregistrierung für eine eisenbahntechnische Anlage und Registrierungsteilnehmer
DE102020113451A1 (de) 2020-05-18 2021-11-18 Bayerische Motoren Werke Aktiengesellschaft Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021117324A1 (de) 2021-07-05 2023-01-05 Bayerische Motoren Werke Aktiengesellschaft Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020015940A1 (en) 2018-07-19 2020-01-23 Robert Bosch Gmbh Reducing runtime load for vehicle system data encryption using crypto engine with direct memory access (dma)
DE102018220324A1 (de) 2018-11-27 2020-05-28 Audi Ag Verfahren zur Überwachung eines Datenübertragungssystems, Datenübertragungssystem und Kraftfahrzeug
DE102019217808A1 (de) 2019-11-19 2021-05-20 Siemens Mobility GmbH Verfahren zur Fahrtenregistrierung für eine eisenbahntechnische Anlage und Registrierungsteilnehmer
DE102020113451A1 (de) 2020-05-18 2021-11-18 Bayerische Motoren Werke Aktiengesellschaft Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen

Also Published As

Publication number Publication date
WO2024104791A1 (de) 2024-05-23

Similar Documents

Publication Publication Date Title
DE102015211451A1 (de) Verfahren zu einem Manipulationsschutz von über ein Bussystem zwischen Systemkomponenten zu übertragenden Nutzdatenpaketen
EP1959606B1 (de) Sicherheitseinheit
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
DE102017125826A1 (de) Nachrichtenauthentifizierung über controller area network
DE102013206185A1 (de) Verfahren zur Erkennung einer Manipulation eines Sensors und/oder von Sensordaten des Sensors
DE102004032057A1 (de) Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels
DE102007022100B4 (de) Kraftfahrzeugsteuergerätedatenübertragungssystem und -verfahren
DE102017123255A1 (de) Kommunikationssystem und Kommunikationsverfahren
DE102009025585B4 (de) Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts
DE102013218212A1 (de) Verfahren zum abgesicherten Übermitteln von Daten
DE102018101479A1 (de) Steuerungsschnittstelle für ein autonomes fahrzeug
WO2018099760A1 (de) Verfahren zur bereitstellung von zufallszahlen für steuereinheiten eines fahrzeugnetzwerks sowie fahrzeugnetzwerk zur durchführung dieses verfahrens
DE102009030091A1 (de) Gesicherte Kommunikation zwischen Ladestation und Elektrofahrzeug
DE102016205122A1 (de) Verfahren zum Austausch von Nachrichten zwischen sicherheitsrelevanten Vorrichtungen
EP1287655A2 (de) Verfahren zur authentizitätssicherung von hard- und software in einem vernetzten system
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
DE102022130141A1 (de) Verfahren und Kommunikationssystem zur Nachrichtenüberwachung in einem Datennetzwerk eines Kraftfahrzeugs und Sende- und Empfangseinheit für das Kommunikationssystem
WO2019052864A1 (de) Verfahren zum einstellen einer referenzzeit
DE102018220324A1 (de) Verfahren zur Überwachung eines Datenübertragungssystems, Datenübertragungssystem und Kraftfahrzeug
DE102021117324A1 (de) Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
EP3427174B1 (de) Verfahren und vorrichtungen zum authentisieren eines datenstroms
DE102014113111B4 (de) Verfahren und Vorrichtung zur sicheren Kommunikation in einem Fahrzeug-basierenden Datenkommunikationssystem
DE102018132979A1 (de) Abgesichertes und intelligentes Betreiben einer Ladeinfrastruktur
DE102022002083B3 (de) Verfahren zur Überwachung des Betriebs einer Verbindungsanordnung zwischen lnterlock-Komponenten sowie lnterlock-Komponente zur Verwendung in einer lnterlock- Schleife

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication