DE102022201896A1 - Mitigation einer manipulation von software eines fahrzeugs - Google Patents

Mitigation einer manipulation von software eines fahrzeugs Download PDF

Info

Publication number
DE102022201896A1
DE102022201896A1 DE102022201896.6A DE102022201896A DE102022201896A1 DE 102022201896 A1 DE102022201896 A1 DE 102022201896A1 DE 102022201896 A DE102022201896 A DE 102022201896A DE 102022201896 A1 DE102022201896 A1 DE 102022201896A1
Authority
DE
Germany
Prior art keywords
component
software
manipulation
vehicle
write
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022201896.6A
Other languages
English (en)
Inventor
Manuel Jauss
Felix Hallaczek
Marcel Kneib
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022201896.6A priority Critical patent/DE102022201896A1/de
Priority to US18/170,381 priority patent/US20230267205A1/en
Priority to CN202310146624.3A priority patent/CN116639139A/zh
Priority to JP2023025761A priority patent/JP2023122637A/ja
Publication of DE102022201896A1 publication Critical patent/DE102022201896A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/06Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0043Signal treatments, identification of variables or parameters, parameter estimation or state estimation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/06Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot
    • B60W2050/065Improving the dynamic response of the control system, e.g. improving the speed of regulation or avoiding hunting or overshoot by reducing the computational load on the digital processor of the control computer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Stored Programmes (AREA)

Abstract

Ein erster allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein computer-implementiertes Verfahren. Das Verfahren umfasst Erkennen der Möglichkeit einer Manipulation der Software einer ersten Komponente einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs und Einleiten einer Gegenmaßnahme zur Mitigation der Manipulation der Software der ersten Komponente und Durchführen der Gegenmaßnahme zur Mitigation der Manipulation der Software der ersten Komponente. Die Gegenmaßnahme umfasst Aktivieren einer Schreib- und/oder Lese-Sperre eines Speichers der ersten Komponente. In manchen Beispielen können das Erkennen und das Einleiten in einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software ausgeführt werden, wobei die zentrale Vorrichtung zur Mitigation einer Manipulation ein Teil des Bordnetzwerks ist und zur Mitigation von Software in jedem der Mehrzahl von Komponenten des Bordnetzwerkes ausgelegt ist.

Description

  • Stand der Technik
  • In jüngerer Zeit werden Fahrzeuge in immer stärkerem Maß in offene Kontexte eingebunden (d.h., die Fahrzeuge weisen eine oder mehrere Schnittstellen auf, über die im Betrieb Daten empfangen und/oder gesendet werden, die wiederum für den Betrieb des Fahrzeugs verwendet werden). Zusätzlich nimmt die Komplexität der Komponenten der Fahrzeuge und insbesondere ihrer Software stetig zu. Die Software der Fahrzeuge wird außerdem in immer vielfältigerer Weise im Betrieb aktualisiert.
  • Als Folge dessen werden Möglichkeiten zur Manipulation der Software der Komponenten der Fahrzeuge vielfältiger.
  • In manchen Verfahren des Stands der Technik ist die Detektion und vor allem die Mitigation (d.h. Behebung, so dass ein definierter (sicherer) Zustand erreicht wird) von Manipulationen mit erheblichem Aufwand und somit Zeitverzug verbunden. Zum Beispiel kann im Rahmen eines Werkstattaufenthalts die manipulierte Software einer Komponente (z.B. eines Steuergeräts) zurückgesetzt und damit die Manipulation behoben werden. In anderen Techniken kann Software von einem entfernten Computer-System angefordert werden, mit Hilfe derer die manipulierte Software einer Komponente (z.B. eines Steuergeräts) zurückgesetzt und damit die Manipulation behoben wird. In beiden Fällen kann zwischen der Detektion der Manipulation und der Mitigation der Manipulation ein erheblicher Zeitraum liegen. Unter Umständen ist der Betrieb des Fahrzeugs in diesem Zeitraum gestört (z.B. ein vorbestimmtes Sicherheitskriterium wird nicht mehr erfüllt). In manchen Fällen kann das Fahrzeug nicht mehr fahrtüchtig oder seine Funktionalität massiv gestört sein. Daher sind verbesserte Techniken zur Mitigation der Manipulation von Software wünschenswert.
  • Offenbarung der Erfindung
  • Ein erster allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein computer-implementiertes Verfahren. Das Verfahren umfasst Erkennen der Möglichkeit einer Manipulation der Software einer ersten Komponente einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs und Einleiten einer Gegenmaßnahme zur Mitigation der Manipulation der Software der ersten Komponente und Durchführen der Gegenmaßnahme zur Mitigation der Manipulation der Software der ersten Komponente. Die Gegenmaßnahme umfasst Aktivieren einer Schreib- und/oder Lese-Sperre eines Speichers der ersten Komponente. In manchen Beispielen können das Erkennen und das Einleiten in einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software ausgeführt werden, wobei die zentrale Vorrichtung zur Mitigation einer Manipulation ein Teil des Bordnetzwerks ist und zur Mitigation von Software in jedem der Mehrzahl von Komponenten des Bordnetzwerkes ausgelegt ist.
  • Ein zweiter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein System, das dazu ausgelegt ist, das Verfahren gemäß dem ersten allgemeinen Aspekt auszuführen.
  • Ein dritter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Bordnetzwerk für ein Fahrzeug. Das Bordnetzwerk umfasst eine Mehrzahl von Komponenten, die eine erste Komponente beinhaltet und optional eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software. Das Bordnetzwerk dazu ausgelegt ist, das Verfahren gemäß dem ersten allgemeinen Aspekt auszuführen.
  • Ein vierter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Fahrzeug, das das System gemäß dem zweiten allgemeinen Aspekt umfasst und/oder ein Teil dessen ist und/oder das Bordnetzwerk gemäß dem dritten allgemeinen Aspekt umfasst.
  • Die Techniken der ersten bis vierten allgemeinen Aspekte der vorliegenden Offenbarung können in manchen Fällen einen oder mehrere der folgenden Vorteile haben.
  • Durch das Aktivieren einer Schreib- und/oder Lese-Sperre eines Speichers der (ersten) Komponente (z.B. einer Hardware-Schreib- und/oder Lese-Sperre des Speichers) kann in manchen Fällen verhindert werden, dass eine Manipulation nach der Komponente durch einen Angreifer wiederholt durchgeführt wird. Beispielsweise kann eine Manipulation eines eingebetteten Systems (z.B. eines Steuergeräts) in einem Fahrzeug durch Rücksetzen eines Speichers des eingebetteten Systems zunächst behoben werden. Eine Schwachstelle, durch die der Angreifer die Manipulation des eingebetteten Systems bewerkstelligen konnte, mag aber weiter bestehen. Damit besteht das Risiko, dass der Angreifer (oder ein anderer Angreifer) dieselbe Schwachstelle erneut zu einer Manipulation der Komponente nutzt (und der Inhalt des Speichers der Komponente erneut verändert wird). Die Aktivierung der Schreib- und/oder Lese-Sperre des Speichers kann das in manchen Situationen unterbinden und sicherstellen, dass die Komponente zumindest ihre zum Zeitpunkt der ersten Manipulation zugedachte Funktionalität weiter erfüllt. Nach Schließen der Schwachstelle kann dann die Schreib- und/oder Lese-Sperre des Speichers deaktiviert werden, um z.B. eine Aktualisierung des Inhalts des Speichers zu ermöglichen (z.B. zum Aktualisieren der Software der Komponente). In anderen Beispielen kann eine aktivierte Schreib- und/oder Lese-Sperre verhindern, dass manipulierter Inhalt des Speichers ausgelesen wird.
  • Zweitens können die Techniken der vorliegenden Offenbarung in manchen Fällen auf bereits vorhandene Schreib- und/oder Lese-Sperren der Speicher der Komponenten zugreifen. Beispielsweise verfügen manche Mikrocontroller, die in Steuergeräten eingesetzt werden, bereits über einer (Hardware-)Schreib- und/oder Lese-Sperre für bestimmte Speicher. Damit können die Techniken der vorliegenden Offenbarung in manchen Fällen ohne erheblichen Mehraufwand realisiert und/oder in bestehende Systeme ohne Austausch der Komponenten nachgerüstet werden (z.B. lediglich durch eine Aktualisierung der Software einer Komponente).
  • Drittens kann in manchen Fällen die Gegenmaßnahme zur Mitigation der Manipulation von der zentralen Vorrichtung zur Mitigation einer Manipulation von Software für mehrere Komponenten des Fahrzeugs eingeleitet werden. Das kann in manchen Fällen einen Zeitraum bis zur Mitigation einer Manipulation reduzieren und/oder eine einfachere Skalierung und/oder Nachrüstung ermöglichen. Zum Beispiel kann die zentrale Vorrichtung zur Mitigation einer Manipulation relativ einfach zur „Betreuung“ zusätzlicher Komponenten modifiziert werden. Die „betreuten“ Komponenten müssen dazu in manchen Fällen wenig oder gar nicht modifiziert werden, was den Einsatz in älteren Fahrzeugen erleichtert. Auch die zentrale Vorrichtung zur Mitigation einer Manipulation selbst kann in manchen Fällen durch ein Software-Update nachgerüstet werden. Zum Beispiel kann eine bestehende Komponente eines Fahrzeugs (bspw. eine zentrale Kommunikationsschnittstelle des Fahrzeugs oder ein Zentral-Computer des Fahrzeugs) mittels eines Software-Updates mit der (zusätzlichen) Funktion einer zentralen Vorrichtung zur Mitigation einer Manipulation versehen werden.
  • Einige Begriffe werden in der vorliegenden Offenbarung in folgender Weise verwendet:
    • Eine „Komponente“ (eines Bordnetzwerks) in der vorliegenden Offenbarung verfügt über eigene Hardwareressourcen, die zumindest einen Prozessor zum Ausführen von Befehlen und Speicher zum Ablegen zumindest einer Software-Komponente umfassen. Der Begriff „Prozessor“ umfasst auch Mehr-Kern-Prozessoren oder mehrere separate Bauteile, die die Aufgaben einer zentralen Verarbeitungseinheit eines elektronischen Geräts übernehmen (und sich diese ggf. teilen). Eine Komponente kann eigenständig Aufgaben ausführen (z.B. Messaufgaben, Überwachungsaufgaben, Steueraufgaben, Kommunikationsaufgaben und/oder andere Arbeitsaufgaben). Eine Komponente kann aber in manchen Beispielen auch von einer anderen Komponente gesteuert werden. Eine Komponente kann physisch abgegrenzt sein (z.B. mit einem eigenen Gehäuse) oder aber in ein übergeordnetes System integriert sein. Eine Komponente kann ein Steuergerät oder ein Kommunikationsgerät des Fahrzeugs sein. Eine Komponente kann ein eingebettetes System sein. Eine Komponente kann einen oder mehrere Mikrocontroller umfassen.
  • Ein „eingebettetes System“ ist eine Komponente, die in einen technischen Kontext eingebunden (eingebettet) ist. Dabei übernimmt die Komponente Messaufgaben, Überwachungsaufgaben, Steueraufgaben, Kommunikationsaufgaben und/oder andere Arbeitsaufgaben.
  • Ein „(dediziertes) Steuergerät“ ist eine Komponente, die (ausschließlich) eine Funktion eines Fahrzeugs steuert. Ein Steuergerät kann zum Beispiel eine Motorsteuerung, eine Steuerung eines Bremssystems oder eine Steuerung eines Assistenzsystems übernehmen. Eine „Funktion“ kann dabei auf verschiedenen Ebenen des Fahrzeugs definiert sein (z.B. kann für eine Funktion einen einzelnen Sensor oder Aktor, aber auch eine Vielzahl von Baugruppen, die zu einer größeren funktionalen Einheit zusammengefasst sind, eingesetzt werden).
  • Der Begriff „Software“ oder „Software-Komponente“ kann grundsätzlich jeder Teil einer Software einer Komponente (z.B. eines Steuergeräts) der vorliegenden Offenbarung sein. Insbesondere kann eine Software-Komponente eine Firmware-Komponente einer Komponente der vorliegenden Offenbarung sein. „Firmware“ ist eine Software, die die in (elektronischen) Komponenten eingebettet ist und dort grundlegende Funktionen leistet. Firmware ist funktional fest mit der jeweiligen Hardware der Komponente verbunden (so dass das eine nicht ohne das andere nutzbar ist). Sie kann in einem nicht-flüchtigen Speicher wie einem Flash-Speicher oder einem EEPROM gespeichert sein.
  • Der Begriff „Update-Information“ oder „Software-Update-Information“ umfasst jedwede Daten, die direkt oder nach entsprechenden Verarbeitungsschritten eine Software-Komponente einer Komponente gemäß der vorliegenden Offenbarung bilden. Die Update-Information kann lauffähigen Code enthalten oder noch zu kompilierenden Code (der in dem Speicher der entsprechenden Komponente abgelegt ist).
  • Der Begriff „Manipulation“ umfasst in der vorliegenden Offenbarung jede Veränderung einer Software einer Komponente eines Fahrzeugs. Die Veränderung kann die Folge eines Angriffs sein (d.h. der bewussten Einflussnahme eines Dritten), aber auch Folge einer zufälligen oder unbeabsichtigten Einwirkung.
  • Der Begriff „Fahrzeug“ umfasst jegliche Vorrichtungen, die Passagiere und/oder Fracht transportieren. Ein Fahrzeug kann ein Kraftfahrzeug (zum Beispiel ein PKW oder ein LKW) sein, aber auch ein Schienenfahrzeug. Allerdings können auch schwimmende und fliegende Vorrichtungen Fahrzeuge sein. Fahrzeuge können zumindest teilautonom operierend oder assistiert sein.
  • Ein „Bordnetzwerk“ kann jedes interne Netzwerk eines Fahrzeugs sein, über das Komponenten des Fahrzeugs kommunizieren. In manchen Beispielen ist ein Bordnetzwerk ein Nahbereichsnetzwerk. Ein Bordnetzwerk kann ein oder mehrere Nahbereichs-Kommunikationsprotokolle einsetzen (z.B. zwei oder mehr Nahbereichs-Kommunikationsprotokolle). Die Nahbereichs-Kommunikationsprotokolle können drahtlose oder drahtgebundene Kommunikationsprotokolle sein. Die Nahbereichs-Kommunikationsprotokolle können ein Bus-Protokoll umfassen (bspw. CAN, LIN, MOST, FlexRay oder Ethernet). Die Nahbereichs-Kommunikationsprotokolle können ein Bluetooth-Protokoll (z.B. Bluetooth 5 oder später) oder ein WLAN-Protokoll (z.B. ein Protokoll der IEEE-802.11-Familie, z.B. 802.11h oder ein späteres Protokoll) umfassen. Ein Bordnetzwerk kann Schnittstellen zur Kommunikation mit Systemen außerhalb des Fahrzeugs enthalten und somit auch in andere Netzwerke eingebunden sein. Die Systeme außerhalb des Fahrzeugs und die anderen Netzwerke sind jedoch nicht Teil des Bordnetzwerks.
  • Der Ausdruck „Erkennen einer Möglichkeit...“ besagt, dass bestimmte Begebenheiten (z.B. Signale oder deren Ausbeleiben) nach vorbestimmten Regeln interpretiert werden, um einen Zustand zu erkennen, in dem eine Manipulation der Software vorliegen kann.
  • Figurenliste
    • 1 ist ein Fluss-Diagramm, das die Techniken der vorliegenden Offenbarung illustriert.
    • 2 zeigt Komponenten eines Bordnetzwerk eines Fahrzeugs, in dem die Techniken der vorliegenden Offenbarung eingesetzt werden können.
    • 3 zeigt eine beispielhafte Komponente eines Bordnetzwerks.
    • 4a - 4c zeigen ein Flussdiagramm eines beispielhaften Verfahrens der vorliegenden Offenbarung.
    • 5 zeigt das Bordnetzwerk gemäß 2, in dem eine erste Komponente manipuliert wurde.
    • 6 zeigt das Bordnetzwerk gemäß 2, in dem die Manipulation der ersten Komponente behoben wurde.
  • Detaillierte Beschreibung
  • Zunächst werden in Bezug auf 1 bis 3 ein Fahrzeug und eine Komponente, in dem/der die Techniken der vorliegenden Offenbarung durchgeführt werden können und die grundlegenden Aspekte der Techniken der vorliegenden Offenbarung diskutiert. Ein Beispiel der Technik der vorliegenden Offenbarung wird in Bezug auf 4a bis 4c diskutiert. Weitere Aspekte der zentralen Vorrichtung zur Mitigation von Software werden anhand von 5 und 6 erörtert.
  • 1 ist ein Fluss-Diagramm, das die Techniken der vorliegenden Offenbarung illustriert. 2 zeigt Komponenten eines Bordnetzwerk eines Fahrzeugs, in dem die Techniken der vorliegenden Offenbarung eingesetzt werden können. 3 zeigt eine beispielhafte Komponente eines Bordnetzwerks.
  • In 1 sind in der mittleren Spalte Schritte gezeigt, die in manchen Beispielen von einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software durchgeführt werden können (in anderen Beispielen aber auch von anderen Komponenten). In der rechten Spalte sind Schritte gezeigt, die von einer bestimmten Komponente (oder einer Gruppe von Komponenten) des Bordnetzwerks ausgeführt werden (ausschließlich der zentralen Vorrichtung zur Mitigation einer Manipulation von Software). In der linken Spalte sind Schritte gezeigt, die von einem entfernten System durchgeführt werden (d.h. außerhalb des Fahrzeugs).
  • Die Techniken der vorliegenden Offenbarung umfassen Erkennen 101 der Möglichkeit einer Manipulation der Software einer ersten Komponente 27c einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs 20. Ein Fahrzeug 20 ist schematisch in 2 gezeigt, eine beispielhafte erste Komponente 27c in 3. Das Fahrzeug 20 ist mit einem Bordnetzwerk ausgestattet, das eine Mehrzahl von Komponenten 21-24, 25, 27a-f, des Fahrzeugs 20 enthält und verbindet (das Bordnetzwerk kann wie oben beschrieben aufgebaut sein).
  • Das Fahrzeug 20 kann eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 aufweisen, die die Möglichkeit der Manipulation erkennt. Diese ist somit Teil des Bordnetzwerkes (d.h., auch Teil des Fahrzeugs und wird mit diesem bewegt). Die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 kann zur Mitigation der Manipulation von Software in jedem der Mehrzahl 21-24, 27a-f von Komponenten des Bordnetzwerkes ausgelegt sein.
  • In manchen Beispielen ist die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 in eine zentrale Kommunikationsschnittstelle des Fahrzeugs 20 integriert. Die zentrale Kommunikationsschnittstelle kann dazu ausgelegt sein, als Datenverteiler für die Kommunikation innerhalb des Fahrzeuges 20 und/oder über eine Kommunikationsschnittstelle 21, 22 mit der Außenwelt zu fungieren. Dabei kann die zentrale Kommunikationsschnittstelle unterschiedliche Kommunikationsprotokolle unterstützen (zur Kommunikation in dem Bordnetzwerk oder mit externen Systemen) und/oder Sicherheitsfunktionen implementieren. In anderen Beispielen kann die zentrale Vorrichtung zur Mitigation einer Manipulation von Software in andere Komponenten integriert werden (weitere Beispiele folgen unten) oder als eigenständige Komponente ausgelegt sein.
  • Das Erkennen kann in manchen Beispielen das Empfangen eines Signals umfassen, das eine Manipulation der Software einer ersten Komponente einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs 20 anzeigt. Das Signal kann in der zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 selbst und/oder einer anderen Vorrichtung erzeugt werden. Zusätzlich oder alternativ kann das Erkennen das Erkennen eines Ausbleibens eines (erwarteten) Signals umfassen (z.B. von der ersten Komponente oder einer Komponente, die die erste Komponente überwacht). Das Bordnetzwerk kann dazu ausgelegt sein, dass die Mehrzahl von Komponenten 21-24, 25, 27a-f oder andere Komponenten Signale senden, die anzeigen, dass keine Manipulation der Software der jeweiligen Komponente der Mehrzahl von Komponenten 21-24, 25, 27a-f vorliegt (z.B. regelmäßig oder beim Auftreten von bestimmten Ereignissen wie dem Starten einer Komponente).
  • Weiter zusätzlich oder alternativ kann das Erkennen eine Verarbeitung anderer Zustandsinformation des Bordnetzwerkes umfassen, um die Möglichkeit einer Manipulation der Software der ersten Komponente zu erkennen.
  • In Reaktion auf das Erkennen der Möglichkeit einer Manipulation der Software der ersten Komponente 27c der Mehrzahl von Komponenten eines Bordnetzwerks der Fahrzeugs 20 (z.B. dem Empfangen eines Signals oder dem Erkennen des Ausbleibens eines Signals) leitet 103 die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 (oder eine andere Komponente) eine Gegenmaßnahme zur Mitigation der Manipulation der ersten Komponente ein. Die Gegenmaßnahme wird daraufhin durchgeführt 119. Diese Gegenmaßnahme umfasst Aktivieren einer Schreib- und/oder Lese-Sperre des Speichers der ersten Komponente 27c.
  • In manchen Beispielen kann die Gegenmaßahme gegen die Manipulation zudem Rücksetzen 105 der Software der ersten Komponente 27c umfassen. Das Rücksetzen kann vor dem Aktivieren der Schreib- und/oder Lese-Sperre des Speichers der ersten Komponente 27c durchgeführt werden. Weitere Aspekte des Rücksetzens werden weiter unten diskutiert. Durch das Rücksetzen kann die erste Komponente 27c zunächst in einen sicheren Zustand (d.h. sicher gemäß einem vordefinierten Sicherheitskriterium) gebracht werden. Zum Beispiel kann die Komponente auf eine bestimmte Version ihrer Software zurückgesetzt werden (bspw. eine aktuelle Version zu einem Zeitpunkt, wenn die Manipulation erkannt wird). Wie bereits beschrieben kann die erste Komponente 27c dann zumindest eine bestimmte Funktionalität weiter bereitstellen. Das folgende Aktivieren der Schreib- und/oder Lese-Sperre kann bewirken, dass eine erneute Manipulation der Komponente bzw. des Inhalts Ihres Speichers unterbunden wird und/oder eine von einer manipulierten Komponente ausgehendes Risiko verringert wird (indem z.B. ein manipulierter Inhalt eines Speichers nicht mehr ausgelesen werden kann). Damit kann die Sicherheit der Komponente 27c und/oder des Bordnetzwerks verbessert werden, ohne auf die Funktionalität der Komponente 27c komplett zu verzichten (was z.B. nach einem Abschalten der Komponente der Fall sein könnte).
  • In Bezug auf 3 werden nun Aspekte der ersten Komponente 27c weiter erläutert (die anderen Komponenten der vorliegenden Offenbarung können ebenfalls den beschriebenen Aufbau aufweise). Die erste Komponente 27c verfügt über einen Speicher 91. Der Speicher 91 kann z.B. ein nicht-flüchtiger Speicher sein (z.B. ein EPROM-Speicher oder ein Flash-Speicher, oder eine Kombination aus beiden Speichern). Der Speicher 91 kann zum Ablegen zumindest einer Software-Komponente für die erste Komponente 27c (z.B. zur Steuerung der ersten Komponente 27c) ausgelegt sein. Der Speicher 91 kann ein ProgrammSpeicher der ersten Komponente 27c sein. Der Speicher 91 kann nur einen Teil des Gesamtspeichers der ersten Komponente 27c umfassen. Alternativ oder zusätzlich kann der Speicher 91 über mehrere Hardware-Module und/oder logische Segmente verteilt sein.
  • Der Speicher 91 ist mit einer Schreib- und/oder Lese-Sperre 92 ausgestattet. In manchen Beispielen kann die Komponente 27c eine (reine) Schreib-Sperre umfassen. Nach deren Aktivierung können alle oder bestimmte Schreib-Operationen in den Speicher 91 unterbunden sein. In manchen Beispielen kann eine Aktivierung der Schreib-Sperre 92 zur Folge haben, dass ein Inhalt des Speichers 92 nicht mehr verändert werden kann. In anderen Beispielen kann eine Aktivierung der Schreib-Sperre 92 zur Folge haben, dass nur noch eine Untergruppe der Veränderungen des Inhalts des Speichers 92 möglich ist, die bei deaktivierter Schreib-Sperre zur Verfügung stehen. Zum Beispiel kann bei aktivierter Schreib-Sperre 92 eine Änderung von in dem Speicher abgelegten Software-Komponente unmöglich sein (während diese bei deaktivierter Schreib-Sperre 92 im Rahmen eines Updates aktualisiert werden kann).
  • Alternativ kann die Komponente 27c eine (reine) Lese-Sperre umfassen. Nach deren Aktivierung können alle oder bestimmte Lese-Operationen aus dem Speicher 91 unterbunden sein.
  • In anderen Beispielen umfasst die Komponente 27c eine (kombinierte) Schreib- und/oder Lese-Sperre. Nach deren Aktivierung können alle oder bestimmte Schreib- und Lese-Operationen in den und aus dem Speicher 91 unterbunden sein. Die Sperren können einen oder eine Mehrzahl von Aktivierungszuständen aufweisen. In den Beispielen, in dem eine Sperre eine Mehrzahl von Aktivierungszuständen aufweist, kann jeder der Aktivierungszustände eine unterschiedliche Kombination von Lese- und/oder Schreib-Operationen unterbinden (z.B. können nur Lese- oder nur-Schreib-Operationen unterbunden sein oder in einem ersten Aktivierungszustand eine erste Gruppe von Lese- und/oder Schreib-Operationen und in einem zweiten Aktivierungszustand eine zweite Gruppe von Lese- und/oder Schreib-Operationen, die andere oder zusätzliche Lese- und oder Schreib-Operationen verglichen mit der ersten Gruppe enthält).
  • Die Schreib- und/oder Lese-Sperre 92 kann aktiviert und deaktiviert werden (z.B. durch ein entsprechendes externes oder internes Signal). In manchen Beispielen kann die Schreib- und/oder Lese-Sperre eine Hardware-Schreib- und/oder Lese-Sperre sein (d.h. eine in der Hardware der ersten Komponente implementierte Funktion, die ein Verändern des Inhalts des Speichers 91 unterbindet). Zum Beispiel bieten manche Hardware-Umgebungen (z.B. integrierte Schaltungen wie Mikroprozessoren) die Möglichkeit, eine Schreib- und/oder Lese-Sperre mittels eines Schlüssels zu aktivieren (und mittels eines möglicherweise anderen Schlüssels zu deaktivieren). In wieder anderen Beispielen können Speicherschutz-Einheiten Schreib- und/oder Lese-Sperren zur Verfügung stellen (z.B. um gewisse Speicherbereiche im Betrieb für gewisse Anwendungen zu sperren).
  • In manchen Beispielen kann eine Schreib- und/oder Lese-Sperre 92 in der Komponente 27c bereits enthalten sein (z.B. um einen programmierbaren Zustand zu aktivieren und zu deaktivieren). In diesem Fall muss für die Techniken der vorliegenden Offenbarung die vorhandene Schreib- und/oder Lese-Sperre lediglich ereignisbasiert aktiviert werden (d.h. nach Erkennen einer Manipulation). In anderen Beispielen kann eine Komponente auch um eine Schreib- und/oder Lese-Sperre für den Speicher erweitert werden, um die Techniken der vorliegenden Offenbarung auszuführen. Die Schreib- und/oder Lese-Sperre oder Teile von ihr können auch in einer anderen Komponente als der ersten Komponente 27c angeordnet sein.
  • Die Schreib- und/oder Lese-Sperre 92 kann auf verschiedene Art und Weise aktiviert (und deaktiviert) werden. In manchen Beispielen kann das Aktivieren (und oder das Deaktivieren) der Schreib- und/oder Lese-Sperre 92 des Speichers 91 der ersten Komponente 27c durch ein Sicherheits-Modul 93 der ersten Komponente 27c durchgeführt werden. D.h., das Sicherheits-Modul 93 erzeugt ein Signal für die Schreib- und/oder Lese-Sperre 92, um diese zu aktivieren (und ist zu diesem Zweck mit der Schreib- und/oder Lese-Sperre 92 verbunden).
  • Das Sicherheits-Modul 93 kann in Bezug auf seine Hardware und/oder Software von den restlichen Modulen der ersten Komponente 27c getrennt sein (d.h. ein separates physisches Modul oder eigenständiges Peripherie-Modul sein). Das Sicherheits-Modul kann einen oder mehrere eigene Prozessoren umfassen (z.B. mindestens einen Krypto-Beschleuniger). In anderen Beispielen kann das Sicherheits-Modul 93 einen oder mehrere Kerne eines Mehr-Kernprozessors oder andere Elemente einer übergeordneten Komponente umfassen (die dem Sicherheits-Modul statisch oder dynamisch zugeteilt sind - bspw. können ein oder mehrere Kerne eines Mehr-Kernprozessors zum Sicherheits-Modul konfiguriert werden). Auch in diesem Fall ist das Sicherheits-Modul (z.B. ein oder mehrere Kerne des Mehrkern-Prozessors) von den anderen Elementen separiert (z.B. die Schaltkreise sind physikalisch getrennt). Das Sicherheits-Modul 93 kann in manchen Beispielen zum Ausführen einer oder mehrerer kryptographischer Funktionen neben dem Aktivieren (und Deaktivieren) der Schreib- und/oder Lese-Sperre 92 des Speichers 91 ausgelegt sein (z.B. eine oder mehrere Funktionen von dem Verwalten von kryptographischen Schlüsseln und/oder Signaturen, dem Verschlüsseln oder Entschlüsseln von Daten und andere kryptographische Funktionen). Zusätzlich oder alternativ kann das Sicherheits-Modul 93 eine (Manipulations-)Detektionsvorrichtung zum Erkennen einer Manipulation umfassen (wie weiter unten detaillierter beschreiben). In manchen Beispielen ist das Sicherheits-Modul 93 ein externes oder internes Hardware-Sicherheits-Modul (englisch Hardware Security Module - HSM). In dem Beispiel der 3 ist das Sicherheits-Modul 93 ein internes Sicherheits-Modul der Komponente 27c. In anderen Beispielen kann das Sicherheits-Modul ein externes Sicherheits-Modul für die Komponente 27c sein (das bspw. in einer anderen Komponente des Fahrzeugs 20 beinhaltet ist, z.B. in einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25).
  • Das Verwenden des Sicherheits-Moduls 93 zum Aktiveren (und ggf. Deaktivieren) der Schreib- und/oder Lese-Sperre 92 kann die Sicherheit der Techniken der vorliegenden Offenbarung weiter erhöhen. So kann in manchen Fällen vermieden werden, dass ein Angreifer, der über eine Schwachstelle auf die Software der ersten Komponente zugreifen und diese manipulieren kann, auch die Schreib- und/oder Lese-Sperre 92 umgeht. Ein Manipulieren des Sicherheits-Moduls 93 kann (erheblich) schwieriger sein als das Manipulieren der anderen Module der Komponente 27c. Zudem kann der beschriebene Gewinn an Sicherheit in manchen Fällen ohne nennenswerte Modifikation der Hardware der Komponente erzielt werden, da ein bereits vorhandenes Sicherheits-Modul zweitverwendet wird.
  • Die Komponente 27c enthält zudem einen Prozessor 94 (z.B. als Teil einer Haupteinheit) zum Ausführen von Befehlen. Wie bereits erwähnt umfasst der Begriff „Prozessor“ auch Mehr-Kern-Prozessoren oder mehrere separate Bauteile, die die Aufgaben einer zentralen Verarbeitungseinheit eines elektronischen Geräts übernehmen (und sich diese ggf. teilen). Die Komponente 27c kann in manchen Beispielen eine oder mehrere Schnittstellen 95 umfassen, die zur Kommunikation über eine Übertragungsstrecke 96 des Bordnetzwerks ausgelegt sind. Wie in 3 zu sehen, können der Prozessor 94, das Sicherheits-Modul 93, oder beide direkt auf die einen oder mehreren Schnittstellen 95 zugreifen, um über die Übertragungsstrecke 96 des Bordnetzwerks zu kommunizieren. Die Übertragungsstrecke kann eine Übertragungsstrecke eines Bussystems (bspw. CAN, LIN, MOST, FlexRay oder Ethernet) sein.
  • In manchen Beispielen umfassen die Techniken der vorliegenden Offenbarung zudem Deaktivieren 117 der Schreib- und/oder Lese-Sperre in Antwort auf eine Modifikation des Fahrzeugs, um eine Sicherheitslücke in dem Bordnetzwerk zu schließen. Die Modifikation kann in manchen Beispielen ein Empfangen 109 einer aktualisierten Software-Komponente in dem Fahrzeug 20 umfassen (mit der eine Sicherheitslücke geschlossen wird). Die aktualisierte Software-Komponente kann von einem entfernten System 30 in dem Fahrzeug 20 empfangen werden (zum Beispiel durch ein drahtlos übermitteltes Update oder im Rahmen eines Werksattaufenthaltes).
  • In manchen Beispielen geht eine Anfrage zum Aktivieren und/oder Deaktivieren der Schreib- und/oder Lese-Sperre des Inhalts des Speichers der ersten Komponente 27c von der zentralen Vorrichtung zur Mitigation einer Manipulation 25 aus. Z.B. kann ein Sicherheits-Modul 93 der ersten Komponente 27c eine Anfrage der zentralen Vorrichtung zur Mitigation einer Manipulation 25 empfangen und daraufhin die Schreib- und/oder Lese-Sperre 92 des Speichers 91 der ersten Komponente 27c aktivieren. In gleicher Weise kann in manchen Beispielen das Sicherheits-Modul 93 der ersten Komponente 27c eine Anfrage der zentralen Vorrichtung zur Mitigation einer Manipulation 25 empfangen und daraufhin die Schreib- und/oder Lese-Sperre 92 des Speichers 91 der ersten Komponente 27c deaktivieren. In manchen Beispielen kann das Sicherheits-Modul 93 die Schreib- und/oder Lese-Sperre 92 auch eigenständig aktivieren und/oder deaktivieren (z.B., wenn ein bestimmtes Ereignis von dem Sicherheits-Modul 93 erkannt wird, bspw. ein signierter Befehl oder die Durchführung eines Updates).
  • In manchen Beispielen kann eine Kommunikation zum Aktivieren und/oder Deaktivieren der Schreib- und/oder Lese-Sperre 92 mit einem oder mehreren kryptographischen Verfahren gesichert sein. Zum Beispiel kann die Kommunikation verschlüsselt erfolgen. Zusätzlich oder alternativ kann die Kommunikation unter Verwendung von digitalen Signaturen erfolgen (um die Teilnehmer, bspw. eine Quelle einer Anfrage zum Aktivieren und/oder Deaktivieren der Schreib- und/oder Lese-Sperre, zu authentifizieren). Weiter zusätzlich oder alternativ kann die Kommunikation mittels eines Verschleierungsverfahrens in einem Datenstrom des Fahrzeugs verborgen sein (z.B. mittels eines steganographischen Verfahrens, mittels Verfahren zum Verhindern einer Längenanalyse der Nachrichten der Kommunikation wie Padding der Nachrichten, mittels Verfahren zum Verhindern einer Analyse der Zeitpunkte der Kommunikation wie einer randomisierten Übermittlung von Nachrichten, oder mittels Gegenmaßnahmen gegen Seitenkanal-Angriffe). Weiter zusätzlich oder alternativ kann die Kommunikation durch einen Zeitstempel abgesichert werden, der zur Prüfung der Kommunikation von den Teilnehmern der Kommunikation ausgewertet werden kann (z.B. können die Teilnehmer an der Kommunikation Nachrichten verwerfen, die älter als eine vorbestimmtes Schwellalter sind). In manchen Beispielen kann das Sicherheits-Modul 93 der ersten Komponente 27c zur Durchführung der einen oder mehreren kryptographischen Verfahren eingesetzt werden (auf Seiten der ersten Komponente 27c, ggf. können noch weitere Module zur Durchführung der einen oder mehreren kryptographischen Verfahren eingesetzt werden). Die Kommunikation zum Aktivieren und/oder Deaktivieren der Schreib- und/oder Lese-Sperre 92 kann Anfragen zum Aktivieren und/oder Deaktivieren der Schreib- und/oder Lese-Sperre des Inhalts des Speichers der ersten Komponente 27c, Anweisungen an die Schreib- und/oder Lese-Sperre 92 zum Auslösen einer Aktivierung und/oder Deaktivierung und/oder Bestätigungen der Durchführung einer Aktivierung und/oder Deaktivierung umfassen.
  • Anhand von 4a bis 4c wird in der Folge ein beispielhafter Ablauf eines Verfahrens der vorliegenden Offenbarung diskutiert.
  • In den 4a bis 4c sind in jeder Spalte die Aktionen einer bestimmten Komponente (oder eines ihrer Module) oder Systems gezeigt. Pfeile zwischen den Spalten symbolisieren Aktionen und/oder Kommunikation zwischen den jeweiligen Einheiten. Ganz links ist ein entferntes System 30 gezeigt. Das entferne System 30 kann mit dem Fahrzeug über eine drahtlose oder drahtgebundene Schnittstelle verbunden sein. Die weiteren Komponenten/Module rechts befinden sich im Fahrzeug: Eine zentrale Recheneinheit 401 des Fahrzeugs 20, eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 und eine bestimmte Komponente 27c (z.B. ein eingebettetes System des Fahrzeugs 20, bspw. eine Steuereinheit). Die Komponente 27c kann drei Module aufweisen, eine Haupteinheit 403 (die z.B. einen Prozessor 94 enthalten kann), ein Sicherheits-Modul 93 und eine Schreib- und/oder Lese-Sperre 92 eines Speichers der Komponente 27c). Die Haupteinheit 403 kann dazu ausgelegt sein, eine Funktion der Komponente 27c in dem Fahrzeug bereitzustellen (z.B. Messaufgaben, Überwachungsaufgaben, Steueraufgaben, Kommunikationsaufgaben und/oder andere Arbeitsaufgaben).
  • Zu einem bestimmten Zeitpunkt kann nun, wie in 4a gezeigt, eine Manipulation 410 der Software der Komponente 27c (bzw. der Haupteinheit 403) erfolgen. Diese Manipulation kann erkannt und behoben werden (z.B. durch Rücksetzen der Software der Komponente 402, wie weiter unten beschrieben). Nach Behebung der Manipulation kann die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 an das Sicherheits-Modul 93 eine Anfrage 412 senden, die Schreib- und/oder Lese-Sperre 92 zu aktivieren (diese Anfrage 412 kann mit einem oder mehreren kryptographischen Verfahren gesichert sein). Das Sicherheits-Modul 93 kann die Anfrage 412 empfangen und in Reaktion darauf die Schreib- und/oder Lese-Sperre 92 aktivieren 414. In der Folge kann der Inhalt des Speichers der Komponente 27c nicht mehr oder nur noch beschränkt verändert werden oder der Speicher 92 nicht mehr oder nur beschränkt ausgelesen werden. Die Schreib- und/oder Lese-Sperre 92 kann in manchen Beispielen eine Bestätigung 416 an das Sicherheits-Modul 93 senden. Das Sicherheits-Modul 93 kann in manchen Beispielen die Bestätigung 416 an die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 weiterleiten (diese Bestätigung kann mit einem oder mehreren kryptographischen Verfahren gesichert sein).
  • In manchen Beispielen kann die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 zudem Information 413 zu der Manipulation (z.B. Information zur Kommunikation in und zu dem Fahrzeug 20 vor Entdecken der Manipulation und/oder Zustandsinformation bzgl. des Fahrzeugs 20 oder seiner Komponenten und/oder Information bezüglich der manipulierten Software der Komponente 27c) an das entfernte System 30 senden (ggf. über die zentrale Recheneinheit 401 des Fahrzeugs 20). Auch diese Kommunikation kann mit einem oder mehreren kryptographischen Verfahren gesichert sein.
  • Wie in 4b zu sehen, kann an dem entfernten System 30 eine Schwachstelle des Bordnetzwerks des Fahrzeugs identifiziert 420 werden (bspw. basierend auf empfangenen Information 414 zu der Manipulation). Die Schwachstelle kann das Einfallstor für die Manipulation der Software der ersten Komponente 27c gewesen sein. Das entfernten System 30 kann Software-Update-Information 422 an das Fahrzeug senden (z.B. über die drahtlose oder drahtgebundene Schnittstelle). Die Software-Update-Information 422 kann im Fahrzeug 20 empfangen und an die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 weitergeleitet werden (bspw. durch eine zentrale Recheneinheit 401 des Fahrzeugs 20). Nach Empfangen der Software-Update-Information 422 kann eine Anfrage 424 zum Deaktivieren der Schreib- und/oder Lese-Sperre 92 erzeugt werden. Im Beispiel der 4b wird die Anfrage 424 zum Deaktivieren der Schreib- und/oder Lese-Sperre 92 von der zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 an das Sicherheits-Modul 93 gesendet (die Anfrage 424 kann mit kann mit einem oder mehreren kryptographischen Verfahren gesichert sein). Das Sicherheits-Modul 93 kann daraufhin die Schreib- und/oder Lese-Sperre 92 deaktivieren 426. Ab diesem Zeitpunkt kann ein Inhalt des Speichers der Komponente 402 wieder verändert werden oder aus dem Speicher 91 gelesen werden. Wie in 4c gezeigt, kann die Schreib- und/oder Lese-Sperre 92 eine Bestätigung 423 des Deaktivierens an das Sicherheits-Modul 93 senden. Das Sicherheits-Modul 93 kann die Bestätigung 423 des Deaktivierens an die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 weiterleiten.
  • Dann kann die Update-Information 424 der Komponente zugesendet werden, um die Schwachstelle zu schließen.
  • In den folgenden Abschnitten werden Aspekte der eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 erläutert, die in manchen Beispielen das Aktivieren der Schreib- und/oder Lese-Sperre 92 der ersten Komponente 27c (und ggf. von weiteren Komponenten 27) einleitet. Im Beispiel von 2 ist die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 gezeigt. In manchen Fällen kann das Fahrzeug nur eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 enthalten, die zur Mitigation von Manipulationen der Mehrzahl von Komponenten 21-24, 27a-f und insbesondere dem Einleiten des Aktivierens (und Deaktivierens) von Schreib- und/oder Lese-Sperren ausgelegt ist (z.B. aller Komponenten eines Fahrzeugs, für die eine Manipulation von Software behoben werden kann oder eine Untermenge dieser Komponenten). In anderen Beispielen kann ein Fahrzeug mehrere zentrale Vorrichtungen zur Mitigation einer Manipulation von Software aufweisen, die Teil des Bordnetzwerkes sind und jeweils einer Mehrzahl der Komponenten des Bordnetzwerks zugeordnet sind (d.h. Manipulationen in der Software der zugeordneten Komponenten beheben können). In jedem Fall sind die zentralen Vorrichtungen zur Mitigation einer Manipulation von Software aber von den zugeordneten Komponenten separiert. Die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 kann in manchen Fällen auch zur Mitigation einer Manipulation ihrer eigenen Software und/oder der Software einer Komponente, in der die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 integriert ist, ausgelegt sein.
  • Im Beispiel von 2 umfassen eine Mehrzahl von Komponenten, für die mit den Techniken der vorliegenden Offenbarung Manipulationen ihrer Software behoben werden können, eine Mehrzahl von Steuergeräten 27a-f. Wie bereits beschrieben, sind die Techniken der vorliegenden Offenbarung nicht auf Steuergeräte beschränkt, sondern grundsätzlich für jede Komponente eines Bordnetzwerks des Fahrzeugs 20 einsetzbar. Da Steuergeräte 27a-f in Fahrzeugen aber regelmäßig über nur beschränkte Hardware-Ressourcen und/oder Funktionalitäten verfügen, können die Techniken der vorliegenden Offenbarung für Steuergeräte in manchen Fällen besonders vorteilhaft sein.
  • Die Steuergeräte 27a-f sind in 2 in mehrere Domänen 26a-n unterteilt. Die Domänen können funktionale und/oder örtliche Domänen des Fahrzeugs 20 sein. Eine funktionale Domäne kann verschiedene Komponenten eines Fahrzeugs umfassen, die an der Bereitstellung einer bestimmten Funktion des Fahrzeugs teilhaben (z.B. Motorsteuerung, Steuerung des Antriebsstranges, Infotainment, Klimatisierung, usw.). Eine örtliche Domäne kann verschiedene Komponenten eines Fahrzeugs umfassen, die physikalisch in einem bestimmten Bereich des Fahrzeugs angeordnet sind (z.B. „hinten rechts“, „vorne links“, „Innenraum vorne“ usw.).
  • Eine Domäne 26-n kann wiederum eine Komponente 27a, 27d enthalten, die als zentraler Kommunikationsknoten für die jeweilige Domäne 26a-n fungiert und/oder Steuerfunktionen für die jeweilige Domäne 26a-n übernimmt. In manchen Beispielen kann eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software ein Teil der Komponente 27a, 27d sein, die als zentraler Kommunikationsknoten für die jeweilige Domäne 26a-n fungiert und/oder Steuerfunktionen für die jeweilige Domäne 26a-n übernimmt. Diese zentrale Vorrichtung zur Mitigation einer Manipulation von Software kann zusätzlich zu weiteren zentralen Vorrichtungen zur Mitigation einer Manipulation von Software (z.B. einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software als Teil einer zentralen Kommunikationsschnittstelle des Bordnetzwerks) oder als einzige zentrale Vorrichtung zur Mitigation einer Manipulation von Software vorgesehen sein (siehe Erläuterungen weiter oben). Weiter alternativ oder zusätzlich kann eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software als Teil einer zentralen Steuereinheit 23 des Fahrzeugs ausgelegt sein. Weiter alternativ oder zusätzlich kann eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software als Teil einer Haupteinheit (auf Englisch „Head Unit“) eines Infotainment-Systems des Fahrzeugs 20 (nicht in 2 gezeigt) angeordnet sein. Weiter alternativ oder zusätzlich kann eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software als Teil eines Zentral-Computers („vehicle computer“) des Bordnetzwerks angeordnet sein (das Bordnetzwerk kann eine Mehrzahl von Zentral-Computern - „vehicle computers“ enthalten). Ein Zentral-Computer („vehicle computer“) kann (erheblich) performanter sein als dedizierte Steuergeräte des Bordnetzwerks und die Aufgaben von mehreren Steuergeräten (u.U. in mehreren der oben genannten Domänen) übernehmen.
  • Das Fahrzeug 20 kann des Weiteren einen zentralen persistenten Speicher 41 umfassen (d.h. ein Speicher, der seine Information im Fahrzeug dauerhaft - z.B. länger als ein Tag oder länger als eine Woche und/oder während eines Ruhezustands des Fahrzeugs speichert). In manchen Beispielen kann der persistente Speicher 41 einen Flash-Speicher umfassen. Im Beispiel von 2 ist der persistente Speicher 41 in der zentrale Kommunikationsschnittstelle des Fahrzeugs 20 angeordnet oder mit dieser direkt verbunden. Wie besprochen kann in der zentralen Kommunikationsschnittstelle des Fahrzeugs 20 ebenfalls die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 angeordnet sein. Auch wenn eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software (zusätzlich oder alternativ) in einer anderen Komponente angeordnet ist, kann zusätzlich oder alternativ ein persistenter Speicher in derselben Komponente angeordnet sein. In dieser Weise können in dem persistenten Speicher abgelegte Daten von der zentralen Vorrichtung zur Mitigation einer Manipulation von Software zur Mitigation von Manipulationen eingesetzt werden. In anderen Beispielen können eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software und ein persistenter Speicher aber auch in unterschiedlichen Komponenten des Bordnetzwerkes angeordnet sein (und die zentrale Vorrichtung zur Mitigation einer Manipulation von Software über das Netzwerk auf den persistenten Speicher zugreifen).
  • Der persistente Speicher 41 kann dazu ausgelegt sein, Software-Komponenten 42a, 42c-n für jede der Mehrzahl von Komponenten 27a-f gleichzeitig zu speichern. Dazu kann der persistente Speicher 41 mit einer Speicherkapazität von mehr als 256MB (bevorzugt mehr als 5GB) auegelegt sein.
  • Die Gegenmaßnahme gegen die Manipulation kann neben dem Aktivieren der Schreib- und/oder Lese-Sperre Rücksetzen 121 der Software einer Komponente, für die eine Manipulation ihrer Software erkannt wurde (in der vorliegenden Offenbarung auch als „erste Komponente“ bezeichnet), unter Verwendung von der in dem zentralen persistenten Speicher 41 gespeicherten Software-Komponenten 42a, 42c-n für die jeweilige Komponente umfassen. Weitere Aspekte dieser weiteren Gegenmaßnahme werden weiter unten in Bezug auf 5 und 6 diskutiert.
  • In manchen Beispielen können die Software-Komponenten 42a, 42c-n, die in dem zentralen persistenten Speicher 41 enthalten sind, auf Software-Update-Information 32a, 32c-n für jede der Mehrzahl von Komponenten 27a-n beruhen (z.B. aus den als Software-Update-Information 32a, 32c-n erzeugt werden oder diesen entsprechen).
  • Die Software-Update-Information 32a, 32c-n kann über eine Schnittstelle 21, 22 des Fahrzeugs 20 empfangen werden. Die Schnittstelle 21 kann eine Drahtlos-Schnittstelle (wie in 2 gezeigt) aber in anderen Beispielen auch eine drahtgebundene Schnittstelle 22 (z.B. eine Schnittstelle zur On-Board-Diagnose) sein. Das Fahrzeug kann dazu ausgelegt sein, von dem entfernten System 30 über eine der Schnittstellen 21, 22 Software-Update-Information 32a, 32c-n zu empfangen. Wie in 1 gezeigt, kann das entfernte System 30 die Software-Update-Information 32a, 32c-n für das entsprechende Fahrzeug auswählen 107 und über eine der Schnittstellen 21, 22 an das Fahrzeug 20 senden. Das entfernte System 30 kann jedes beliebige System sein, dass für das Bereitstellen von Software-Update-Information 32a, 32c-n geeignet ist (z.B. ein Cloud-Speicher und/oder ein verteiltes System). Das entfernte System 30 kann neben dem Bereitstellen von Software-Update-Information 32a, 32c-n weitere Funktionen im Betrieb des Fahrzeugs übernehmen (z.B. Überwachungs- und/oder Steuerfunktionen für das Fahrzeug 20).
  • In manchen Beispielen ist die Software-Update-Information 32a, 32c-n für eine Mehrzahl von Komponenten (z.B. Steuergeräte 27a, c-n) in einem Software-Bündel oder Software-Container 31 enthalten (d.h. die Software-Update-Information wird gebündelt bereitgestellt). Das Software-Bündel oder Software-Container 31 (häufig von erheblicher Größe) wird zu einem bestimmten Zeitpunkt an das Fahrzeug 20 übermittelt. In dem Fahrzeug 20 wird, wie beschrieben, die übermittelte Software-Update-Information 32a, 32c-n zur Aktualisierung der Software der Mehrzahl von Komponenten 27a-f verwendet. Dafür kann die von dem entfernte System 30 erhaltene Software-Update-Information 32a, 32c-n einen oder mehrere Vorbereitungsschritte durchlaufen (z.B., entpacken, Verifikation einer Signatur usw.). Zusätzlich oder alternativ kann die Software-Update-Information eine Schwachstelle in dem Bordnetzwerk des Fahrzeugs beheben.
  • Zusätzlich oder alternativ kann Software-Update-Information 32a, 32c-n (z.B. in einem Software-Bündel oder Software-Container) auch über eine drahtgebundene Schnittstelle 22 empfangen werden.
  • Die Software-Update-Information 32a, 32c-n kann, vor oder nach etwaigen Vorbereitungsschritten, in dem persistenten Speicher 41 als Software-Komponenten 42a, 42c-n für die Mehrzahl von Komponenten 27a, c-n abgelegt werden (z.B. bevor sie zur Aktualisierung der Software der Komponenten 27a, c-n verwendet wird). Die abgelegten Software-Komponenten 42a, 42c-n für die Mehrzahl von Komponenten 27a, c-n stehen dann der zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 zur Mitigation einer Manipulation in der Vielzahl von Komponenten 27a, c-n zur Verfügung. Diese Mitigation kann nach Beendigung der Aktualisierung der Software jeder der Mehrzahl von Komponenten 27a, c-n erfolgen (z.B. in einem Zeitraum bis zum Empfang von weiterer Software-Update-Information 32a, 32c-n).
  • In dieser Weise können sich die Techniken der vorliegenden Offenbarung in manchen Beispielen in dem Fahrzeug bereits vorhandene Komponenten, z.B. einen persistenter Speicher 41, der in einem Aktualisierungsprozess der Software des Fahrzeugs 20 eingesetzt wird, bedienen. Das kann in manchen Fällen eine erhebliche Einsparung an Komponenten zeitigen (wie oben beschrieben kann der zum Ablegen eines Software-Bündels oder Software-Containers 31 an Software-Update-Information 32a, 32c-n benötigte Speicher erhebliche Ausmaße annehmen). Zudem oder alternativ kann vermieden werden, die einzelnen Komponenten mit zusätzlichen Ressourcen (z.B. Speicher auszustatten), was ebenfalls die Komplexität und damit die Fehleranfälligkeit und/oder Kosten reduzieren kann. Weiter zusätzlich oder alternativ stehen die Informationen des persistenten Speichers 41 in vielen Situationen schnell und unabhängig von der Nutzbarkeit eines Kommunikationskanals des Fahrzeugs zur Verfügung. Das kann die Reaktionszeit des Mitigationsverfahrens einer Manipulation erhöhen.
  • In den Techniken der vorliegenden Offenbarung kann die Gegenmaßnahme zur Mitigation im Wesentlichen ohne Zuhilfenahme von Systemen außerhalb des Fahrzeugs 20 durchgeführt werden (z.B. das entfernte System 30). Zum Beispiel kann die Gegenmaßnahme von der zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 ohne Notwendigkeit der Kommunikation mit Systemen außerhalb des Fahrzeugs 20 eingeleitet werden (während dieses Vorgangs kann das Fahrzeug 20 zu anderen Zwecken durchaus mit einem System außerhalb des Fahrzeugs 20 kommunizieren). Zusätzlich oder alternativ kann die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 (oder eine andere Komponente des Bordnetzwerks) ohne Notwendigkeit der Kommunikation mit Systemen außerhalb des Fahrzeugs 20 eine Gegenmaßnahme durchführen.
  • In manchen Beispielen können die Techniken der vorliegenden Offenbarung Auswählen einer weiteren Gegenmaßnahme (zusätzlich zu dem Aktivieren der Schreib- und/oder Lese-Sperre, insbesondere vor dem Aktivieren der Schreib- und/oder Lese-Sperre - in der Folge nur noch als „weitere Gegenmaßnahme“ bezeichnet) unter einer Mehrzahl von weiteren Gegenmaßnahmen basierend auf Kontext-Informationen für das Fahrzeug umfassen. Die Kontext-Information kann Information bezüglich eines Betriebszustands des Fahrzeugs 20 und/oder bezüglich vorbestimmter Regeln zum Betrieb des Fahrzeugs 20 umfassen.
  • Ein Betriebszustand kann ein Fahrzustand des Fahrzeugs sein (z.B. schnelles Fahren, langsames Fahren, das Durchführen bestimmter Fahrmanöver usw.), aber auch ein Betriebszustand, während das Fahrzeug nicht fährt. Alternativ oder zusätzlich kann die Kontext-Informationen für das Fahrzeug 20 Umfeld-Informationen und/oder Zustandsinformationen der Komponenten des Fahrzeugs umfassen.
  • Die Regeln zum Betrieb des Fahrzeugs 20 können vorbestimmte Sicherheitskriterien enthalten (die wiederum von Betriebszuständen des Fahrzeugs 20 abhängen können und die bspw. festlegen, wann und mit welchen Abhängigkeiten eine weitere Gegenmaßnahme für eine bestimmte Komponente eingeleitet werden darf).
  • Die Kontext-Information kann zumindest teilweise in einem Speicher der zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 abgelegt sein (z.B. dem zentralen persistenten Speicher 41) zur Verwendung in der Auswahl einer weiteren Gegenmaßnahme (insbesondere der Teil der Kontext-Information, der Information bezüglich vorbestimmter Regeln zum Betrieb des Fahrzeugs 20 umfasst). Die Kontext-Information kann in manchen Beispielen von außerhalb des Fahrzeugs 20 aus aktualisiert werden (z.B. als Teil von Software-Update-Information 32b für die zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 bzw. einer Komponente, in der die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 angeordnet ist).
  • In manchen Beispielen können für die Mitigation bestimmter Manipulationen der Software der Komponenten 27a, c-n verschiedene weitere Gegenmaßnahmen zur Verfügung stehen (zu den möglichen weiteren Gegenmaßnahmen weiter unten mehr). Die Kontext-Information kann nun herangezogen werden, um eine der zur Verfügung stehenden weiteren Gegenmaßnahmen auszuwählen. In manchen Beispielen kann unter mehreren zur Verfügung stehenden weiteren Gegenmaßnahmen diejenige ausgewählt werden, die eine weitestgehende Wiederherstellung eines Soll-Zustands der Komponente ermöglicht (d.h. die Manipulation am weitestgehenden behebt). Auf der anderen Seite können in manchen Situationen zu Verfügung stehende weitere Gegenmaßnahmen aufgrund von in der Kontext-Information enthaltenen Regeln ausgeschlossen werden (z.B., wenn ein bestimmtes Sicherheitskriterium verletzt würde).
  • Zum Beispiel kann eine erste weitere Gegenmaßnahme zwar eine weitgehendere Mitigation der Manipulation ermöglichen als eine zweite weitere Gegenmaßnahme, aber auf der anderen Seite einen tiefergreifenderen Eingriff in die Komponenten des Fahrzeugs bedingen (und damit eine größere Gefahr für Störungen, die durch den Mitigationsprozess selbst hervorgerufen werden können). Eine zweite weitere Gegenmaßnahme kann im Vergleich zu der ersten weiteren Gegenmaßnahme zwar eine weniger weitgehende Mitigation der Manipulation ermöglichen, aber auf der anderen Seite auch einen weniger tiefgreifenden Eingriff in die Komponenten des Fahrzeugs bedingen. In diesem Fall kann in einem ersten Kontext (ausgedrückt durch die Kontext-Information) die erste weitere Gegenmaßnahme ausgewählt werden und in einem zweiten Kontext (ausgedrückt durch die Kontext-Information) die zweite weitere Gegenmaßnahme ausgewählt werden. In einem illustrativen Beispiel kann der erste Kontext ein Kontext sein, in dem das Fahrzeug schnell fährt und der zweite Kontext ein Kontext, in dem das Fahrzeug steht. In anderen Fällen kann die Kontext-Information ein Sicherheitskriterium umfassen, dessen Einhaltung die Durchführung der ersten weiteren Gegenmaßnahme in einer ersten Situation verbietet, in einer zweiten Situation aber erlaubt.
  • In einigen Beispielen können die weiteren Gegenmaßnahmen ein unverzügliches Rücksetzen (z.B. innerhalb von fünf Minuten oder innerhalb von einer Minute) der Software der Komponente 27a, c-f unter Verwendung von in dem zentralen persistenten Speicher 41 gespeicherten Software-Komponente 42a, c-n (z.B. erzeugt basierend auf der empfangenen Software-Update-Information) für die Komponente 27a, c-f, für die eine Manipulation erkannt wurde, umfassen und ein späteres Rücksetzen der Software der Komponente 27a, c-f unter Verwendung von Software-Komponenten 42a, c-n für die jeweilige Komponente 27a, c-f. Wiederum kann das unverzügliche Rücksetzen in bestimmten Kontexten (z.B. durch Sicherheitskriterien) ausgeschlossen sein. Zum Beispiel kann das spätere Rücksetzen in einem Zeitraum bis zum nächsten Hochfahrprozess der jeweiligen Komponente 27a, c-f erfolgen.
  • In der Folge werden anhand von 5 und 6 weitere Aspekte der Techniken der vorliegenden Offenbarung erläutert. 5 zeigt das Bordnetzwerk gemäß 2, in dem eine erste Komponente 27c manipuliert wurde. 6 zeigt das Bordnetzwerk gemäß 2, in dem die Manipulation der ersten Komponente 27c behoben wurde.
  • Zunächst werden einige Aspekte der Detektion der Manipulation der Software einer Komponente 27a, c-f des Fahrzeugs 20 genauer erläutert. Wie oben erwähnt, können die Techniken der vorliegenden Offenbarung das Erkennen einer Möglichkeit einer Manipulation der Software einer Komponente einer Mehrzahl von Komponenten eines Bordnetzwerks beinhalten, was in manchen Beispielen Empfangen eines Signals beinhaltet. Dieses Signal kann auf verschiedene Weisen erzeugt werden.
  • Zunächst kann eine Manipulation einer Software einer Komponente 27a, c-f detektiert werden. Diese Detektion kann lokal durch entsprechende (Manipulations-) Detektionsvorrichtungen der entsprechenden Komponente geschehen.
  • In 5 ist die Software einer der Steuergeräte 27c (die „erste Komponente“ in manchen Beispielen der vorliegenden Offenbarung) manipuliert worden. Eine manipulierte Software-Komponente 71 wurde eingebracht.
  • Eine (Manipulations-)Detektionsvorrichtung 81a des Steuergeräts 27c kann diese Manipulation erkennen und ein entsprechendes Signal für die zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 erzeugen (siehe auch Schritte 111 und 113 in 1). Dieses Signal kann dann wie oben besprochen verarbeitet werden, um eine Mitigation einzuleiten.
  • In anderen Beispielen oder zusätzlich kann eine (Manipulations)-Detektionsvorrichtung 61b der zentralen Kommunikationsschnittstelle des Fahrzeugs 20 die Manipulation des Steuergeräts 27c (aus der Entfernung) detektieren und das Signal für die zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 erzeugen (die im Beispiel von 3 ebenfalls in der zentralen Kommunikationsschnittstelle des Fahrzeugs 20 angeordnet ist). In manchen Beispielen ist die zentrale Vorrichtung zur Mitigation einer Manipulation von Software 25 somit auch für eine zentrale Detektion der Manipulation der Software einer Mehrzahl von Komponenten 27a, c-f des Bordnetzwerks ausgelegt.
  • In anderen Beispielen oder zusätzlich kann eine Detektionsvorrichtung des entfernten System 30 die Manipulation des Steuergeräts 27c (aus der Entfernung) detektieren und das Signal für die zentralen Vorrichtung zur Mitigation einer Manipulation von Software 25 erzeugen. In diesem Beispiel kann das Signal über eine Schnittstelle des Fahrzeugs empfangen werden. Wenn auch die Detektion der Manipulation innerhalb des Fahrzeugs stattfindet, kann ein Zeitraum bis zur Mitigation der Manipulation allerdings in manchen Fällen verkürzt werden.
  • Die verschiedenen Detektionsvorrichtungen 81a, 61b (insbesondere die im Fahrzeug angeordneten Detektionsvorrichtungen 81a, 61b) können bereits in dem (Bord-)Netzwerk vorhandene Detektionsvorrichtungen sein. Wie oben beschrieben können auch in manchen bekannten Verfahren Manipulationen der Software erkannt werden.
  • Die Detektion der Manipulation kann auf jede erdenkliche Weise geschehen. Zum Beispiel kann eine Software beim Starten („secure boot)“ und/oder im Betrieb („run-time manipulation detection“) mittels einer oder mehrerer Verfahren zur Prüfung der Echtheit und/oder Unverfälschtheit der Software geprüft werden (z.B. unter Verwendung einer oder mehrerer digitaler Signaturen).
  • In anderen Beispielen ein Signal, bei dessen Ausbeleiben die Möglichkeit der Manipulation erkannt wird, durch die in den vorhergehenden Abschnitten beschriebenen Komponenten erzeugt werden. Z.B. kann eine (Manipulations- )Detektionsvorrichtung 81a des Steuergeräts 27c ein Signal erzeugen (z.B. regelmäßig oder beim Auftreten von bestimmten Ereignissen), dessen Ausbeleiben eine Manipulation der Software des Steuergeräts 27c anzeigen kann.
  • In Bezug auf 5 und 6 werden nun weitere Aspekte der weiteren Gegenmaßnahme des Rücksetzens der Software der ersten Komponente 27c unter Verwendung von einer in dem zentralen persistenten Speicher 41 gespeicherter Software-Komponente 42c für die erste Komponente 27c diskutiert. Das Rücksetzen der Software der ersten Komponente 27c kann vor dem Aktivieren der Schreib- und/oder Lese-Sperre passieren.
  • Die zentrale Vorrichtung zur Mitigation einer Manipulation 25 kann basierend auf einer Detektion der Manipulation der ersten Komponente 27c eine weitere Gegenmaßnahme auswählen. Im Beispiel von 5 und 6 wird als weitere Gegenmaßnahme ein Rücksetzen der Software der ersten Komponente 27c ausgewählt. Das Rücksetzen kann umfassen, die Software auf einen letzten authentifizierten Stand zu bringen. Das kann das Löschen und/oder Überschreiben von Teilen oder der kompletten Software der ersten Komponente 27c (z.B. einem Steuergerät) umfassen. Das Löschen und/oder Überschreiben von Teilen oder der kompletten Software der ersten Komponente 27c kann durch die zentrale Vorrichtung zur Mitigation einer Manipulation 25 aus der Entfernung (d.h. über eine Verbindung des Bordnetzwerkes) durchgeführt werden. In dieser Weise kann die manipulierte Software-Komponente 71, oder Teile davon 81a, 81b durch eine authentische (d.h. nicht manipulierte) Software-Komponente 52c, oder Teile davon 53a, 53b ersetzt werden, um die Manipulation zu beheben.
  • Die authentische (d.h. nicht manipulierte) Software 52c kann aus dem persistenten Speicher 41 abgerufen werden. Wie bereits erwähnt kann der persistenten Speicher 41 die Software-Komponente 42c in einer direkt verwendbaren Form oder in einer Form, die erst nach ein oder mehreren Verarbeitungsschritten zum Rücksetzen der manipulierten Software-Komponente 71 der der ersten Komponente 27c verwendet werden kann.
  • In manchen Beispielen kann die zentrale Vorrichtung zur Mitigation einer Manipulation 25 Maßnahmen zur Sicherstellung der Authentizität der zum Zurücksetzen der Software der Komponenten eingesetzten Software-Komponenten 42a, c-n durchführen. Zum Beispiel kann vor der Verwendung einer Software-Komponenten 42a, c-n eine Authentizitätsprüfung durchgeführt werden (z.B. anhand einer digitalen Signatur oder eines anderen Sicherheitsmerkmals). Die zentrale Vorrichtung zur Mitigation einer Manipulation 25 kann für die Authentizitätsprüfung auf Funktionalitäten der Komponente, in die die zentrale Vorrichtung zur Mitigation einer Manipulation 25 integriert ist, zurückgreifen.
  • In manchen Beispielen kann der persistente Speicher 41 mehr als eine Version einer Software-Komponente für eine bestimmte Komponente des Bordnetzwerks enthalten. In diesem Fall kann die zentrale Vorrichtung zur Mitigation einer Manipulation 25 eine der Versionen auswählen (z.B. eine aktuelle Version der Software-Komponente).
  • In den vorhergehenden Abschnitt wurde mit Bezug auf 5 und 6 eine Gegenmaßnahme zur Mitigation der Manipulation einer ersten Komponente 27c des Bordnetzwerkes besprochen. Die zentrale Vorrichtung zur Mitigation einer Manipulation 25 ist jedoch einrichtet, zu einem anderen Zeitpunkt oder gleichzeitig zu der Mitigation der Manipulation der Software der ersten Komponente 27c Gegenmaßnahmen bezüglich der Manipulation der Software einer oder mehrerer weiterer Komponenten der Mehrzahl von Komponenten 27a, d-f einzuleiten.
  • In manchen Beispielen ist die zentrale Vorrichtung zur Mitigation einer Manipulation 25 ausgelegt zum Erkennen der Möglichkeit einer Manipulation der Software einer weiteren Komponente 27a, d-f der Mehrzahl von Komponenten des Bordnetzwerks und Einleiten einer weiteren Gegenmaßnahme zur Mitigation der Manipulation der weiteren Komponente 27a, d-f. Die Detektion der Manipulation und die Einleitung und Durchführung der Gegenmaßnahmen kann wie oben beschrieben ablaufen. Zum Beispiel kann eine manipulierte Software-Komponente der weiteren Komponente 27a, d-f zurückgesetzt werden.
  • In dieser Weise kann eine einzige zentralen Vorrichtung zur Mitigation einer Manipulation eine Mehrzahl von in dem Bordnetzwerk von ihr entfernten Komponenten (z.B. Steuergeräte in verschiedenen Domänen) versorgen (d.h. Manipulationen von Software der Mehrzahl von Komponenten beheben).
  • In den vorhergehenden Abschnitten wurde ein Rücksetzen einer Software einer Komponente als beispielhafte weitere Gegenmaßnahme, die von der zentralen Vorrichtung zur Mitigation einer Manipulation eingeleitet und in dem Bordnetzwerk durchgeführt wird, beschrieben.
  • In manchen Beispielen kann die zentrale Vorrichtung zur Mitigation einer Manipulation alternativ oder zusätzlich andere weitere Gegenmaßnahmen einleiten, die in dem Bordnetzwerk durchgeführt wird.
  • In manchen Beispielen kann die weitere Gegenmaßnahme gegen die Manipulation Blockieren einer Kommunikation über das Bordnetzwerk der ersten Komponente 27c (deren Software manipuliert ist) umfassen. Ein Blockieren der Kommunikation kann verhindern, dass eine manipulierte Software der ersten Komponente 27c über das Bordnetzwerk Schaden anrichtet. Auf der anderen Seite kann eine manipulierte Software eine Funktion der ersten Komponente 27c immer noch (z.B. für eine gewisse Zeitdauer) ausführen. Aus diesem Grund kann in manchen Fällen ein Blockieren der Kommunikation über das Bordnetzwerk der ersten Komponente 27c einem Zurücksetzen der Software der ersten Komponente 27c vorgezogen werden (z.B. in einem Kontext, in dem ein Ausfall der ersten Komponente 27c zumindest kurzfristig nicht tolerabel oder wünschenswert ist). Die weitere Gegenmaßnahme des Zurücksetzens der Software der ersten Komponente 27c kann im Anschluss an die weitere Gegenmaßnahme des Blockierens der Kommunikation der ersten Komponente 27c eingeleitet und durchgeführt werden (z.B. in einem geänderten Kontext). Nach dem Zurücksetzen der Software kann die Schreib- und/oder Lese-Sperre aktiviert werden.
  • Alternativ oder zusätzlich kann die weitere Gegenmaßnahme gegen die Manipulation Blockieren einer Kommunikation einer Gruppe von Komponenten über das Bordnetzwerk, die die erste Komponente 27c beinhaltet, umfassen. Im Beispiel von 3 kann die erste Komponente 27c in einer ersten Domäne 26a mit weiteren Komponenten 27a, b enthalten sein. Das Blockieren der Kommunikation einer Gruppe von Komponenten über das Bordnetzwerk ähnelt dem Blockieren der einzelnen Komponente, wie oben beschrieben. Auch hier kann verhindert werden, dass aus der Gruppe von Komponenten in dem Bordnetzwerk Schaden angerichtet wird. Auch im Falle des Blockierens der Kommunikation einer Gruppe von Komponenten über das Bordnetzwerk kann zu einem späteren Zeitpunkt die weitere Gegenmaßnahme des Zurücksetzens der Software der ersten Komponente 27c eingeleitet und durchgeführt werden (z.B. in einem geänderten Kontext). Nach dem Zurücksetzen der Software kann die Schreib- und/oder Lese-Sperre aktiviert werden.
  • Weiter alternativ oder zusätzlich kann die weitere Gegenmaßnahme gegen die Manipulation Ändern einer Funktionalität der ersten Komponente 27c, für die eine Manipulation erkannt wurde, umfassen. Zum Beispiel kann eine Funktionalität eingeschränkt werden nach einem vorbestimmten Muster (z.B. auf eine Funktionalität, die für bestimmte sicherheitsrelevante Aspekte in einem jeweiligen Kontext gebraucht wird). Danach kann die Schreib- und/oder Lese-Sperre aktiviert werden.
  • Weiter alternativ oder zusätzlich kann die weitere Gegenmaßnahme gegen die Manipulation Verschieben einer Funktionalität der ersten Komponente 27c, für die eine Manipulation erkannt wurde, zu einer oder mehreren anderen Komponenten der Mehrzahl der Komponenten 27a, b, d-f umfassen. Zum Beispiel kann die eine oder mehrere der anderen Komponenten der Mehrzahl der Komponenten 27a, b, d-f eine Aufgabe (oder Teile davon) der ersten Komponente 27c zumindest zeitweise übernehmen. Die erste Komponente 27c kann dann deaktiviert und/oder blockiert werden. Auch in diesem Fall kann zu einem späteren Zeitpunkt die weitere Gegenmaßnahme des Zurücksetzens der Software der ersten Komponente 27c eingeleitet und durchgeführt werden (z.B. in einem geänderten Kontext). Nach dem Zurücksetzen der Software kann die Schreib- und/oder Lese-Sperre aktiviert werden.
  • In den vorangehenden Abschnitten wurden die Techniken der vorliegenden Offenbarung des Öfteren anhand der jeweiligen Verfahren beschrieben. Die vorliegende Offenbarung betrifft auch ein System, das dazu ausgelegt ist, die Verfahren der vorliegenden Offenbarung auszuführen. Das System kann eine oder mehrere Komponenten des Bordnetzwerks des Fahrzeugs umfassen (z.B. in diesen integriert sein). Das Bordnetzwerk kann auch Vorrichtungen umfassen, die nur zeitweise in dem Bordnetzwerk enthalten sind (z.B. ein Mobilgerät, das sich dem Fahrzeug befindet und in das Bordnetzwerk integriert ist). In anderen Beispielen kann das System auch ein entferntes System umfassen.
  • Die vorliegende Offenbarung betrifft auch eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software einer Mehrzahl von Komponenten eines Bordnetzwerks eines Fahrzeugs, die dazu ausgelegt ist, die Verfahren der vorliegenden Offenbarung auszuführen. Wie oben beschrieben kann die zentrale Vorrichtung zur Mitigation einer Manipulation von Software eine Stand-alone-Vorrichtung sein (d.h. ein dediziertes Modul mit eigenen Hardware- und Softwareressourcen, das Teil des Bordnetzwerks ist und mit den anderen Komponenten des Bordnetzwerks kommunizieren kann). In anderen Fällen wird die zentrale Vorrichtung zur Mitigation einer Manipulation von Software jedoch in eine andere (bereits vorhandene) Komponente des Bordnetzwerks integriert sein. Die zentrale Vorrichtung zur Mitigation einer Manipulation von Software kann dabei als Software-Modul ausgestaltet sein (das in die Software der Komponente eingefügt wird). In anderen Fällen kann die zentrale Vorrichtung zur Mitigation einer Manipulation von Software zumindest einige dedizierte Hardware-Komponenten aufweisen (während sie andere Hardware-Komponenten der Komponente, in die sie integriert ist, mitbenutzt). Wie ebenfalls erwähnt kann die andere Komponente eine zentrale Kommunikationsschnittstelle des Bordnetzwerks, ein Zentral-Computer („vehicle computer“) oder eine andere Komponente mit vergleichsweise performanter Hardware sein.
  • In manchen Beispielen kann eine bestehende Komponente des Bordnetzwerkes (z.B. eine zentrale Kommunikationsschnittstelle des Fahrzeugs oder einer Domäne des Fahrzeugs, oder ein Zentral-Computer des Fahrzeugs, oder eine Head-Unit eines Infotainment-Systems) durch eine Aktualisierung der Software der Komponente des Bordnetzwerkes als zentrale Vorrichtung zur Mitigation einer Manipulation von Software eingerichtet werden.
  • Die zentrale Vorrichtung zur Mitigation einer Manipulation von Software oder die andere Komponente, in der sie integriert ist, kann zumindest einen Prozessor (ggf. mit mehreren Kernen) umfassen und Speicher, der Befehle umfasst, die, wenn sie durch den Prozessor ausgeführt werden, die Verfahren der vorliegenden Offenbarung ausführen.
  • Die vorliegende Offenbarung betrifft weiterhin ein Bordnetzwerk für ein Fahrzeug, das optional zumindest eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software gemäß der vorliegenden Offenbarung und eine Mehrzahl von Komponenten des Bordnetzwerks umfasst. Das Bordnetzwerk kann dazu ausgelegt sein, die Techniken der vorliegenden Offenbarung auszuführen (wie oben beschrieben). Das Bordnetzwerk kann auch Vorrichtungen umfassen, die nur zeitweise in dem Bordnetzwerk enthalten sind (z.B. ein Mobilgerät, das sich dem Fahrzeug befindet und in das Bordnetzwerk integriert ist).
  • Die vorliegende Offenbarung betrifft weiterhin ein Fahrzeug, das ein System gemäß der vorliegenden Offenbarung umfasst oder Teil dessen ist und/oder ein Bordnetzwerk gemäß der vorliegenden Offenbarung umfasst.
  • Die vorliegende Offenbarung betrifft weiterhin ein Computer-Programm, das dazu ausgelegt ist, die Verfahren der vorliegenden Offenbarung auszuführen.
  • Die vorliegende Offenbarung betrifft weiterhin ein computer-lesbares Medium (z.B. eine DVD oder einen Festkörperspeicher), das ein Computer-Programm der vorliegenden Offenbarung enthält.
  • Die vorliegende Offenbarung betrifft weiterhin ein Signal (z.B. ein elektromagnetisches Signal gemäß einem drahtlosen oder drahtgebundenen Kommunikationsprotokoll), das ein Computer-Programm der vorliegenden Offenbarung codiert.

Claims (13)

  1. Computer-implementiertes Verfahren, umfassend: Erkennen (101) der Möglichkeit einer Manipulation der Software einer ersten Komponente (27c) einer Mehrzahl von Komponenten (27a-f) eines Bordnetzwerks eines Fahrzeugs (20); Einleiten (103) einer Gegenmaßnahme zur Mitigation der Manipulation der Software der ersten Komponente (27c); und Durchführen (119) der Gegenmaßnahme zur Mitigation der Manipulation der Software der ersten Komponente (27c), wobei die Gegenmaßnahme Aktivieren einer Schreib- und/oder Lese-Sperre (92) eines Speichers (91) der ersten Komponente (27c) umfasst.
  2. Verfahren gemäß Anspruch 1, wobei das Erkennen und/oder das Einleiten in einer zentralen Vorrichtung zur Mitigation einer Manipulation von Software (25) ausgeführt werden, wobei die zentrale Vorrichtung zur Mitigation einer Manipulation (25) ein Teil des Bordnetzwerks ist und zur Mitigation von Software in jedem der Mehrzahl von Komponenten (27a-f) des Bordnetzwerkes ausgelegt ist.
  3. Verfahren gemäß Anspruch 1 oder Anspruch 2, wobei die Gegenmaßahme gegen die Manipulation Rücksetzen der Software der ersten Komponente (27c) umfasst, wobei das Rücksetzen vor dem Aktivieren der Schreib- und/oder Lese-Sperre (92) des Speichers (91) der ersten Komponente (27c) durchgeführt wird.
  4. Verfahren gemäß einem der Ansprüche 1 bis 3, wobei das Aktivieren der Schreib- und/oder Lese-Sperre des Speichers der ersten Komponente (27c) durch ein Sicherheits-Modul (93) der ersten Komponente (27c) durchgeführt wird.
  5. Verfahren gemäß einem der Ansprüche 1 bis 3, weiter umfassend: Deaktivieren der Schreib- und/oder Lese-Sperre (92) in Antwort auf eine Modifikation des Fahrzeugs (20), um eine Sicherheitslücke in dem Bordnetzwerk zu schließen.
  6. Verfahren gemäß einem der Ansprüche 1 bis 5, wobei eine Anfrage zum Aktivieren und/oder Deaktivieren der Schreib- und/oder Lese-Sperre (92) des Speichers (91) der ersten Komponente (27c) von der zentralen Vorrichtung zur Mitigation einer Manipulation (25) ausgeht.
  7. Verfahren gemäß einem der vorangehenden Ansprüche 1 bis 6, wobei die Schreib- und/oder Lese-Sperre (92) eine Hardware-Schreib- und/oder Lese-Sperre ist.
  8. Verfahren gemäß einem der vorangehenden Ansprüche 1 bis 7, wobei die Kommunikation zum Aktivieren und/oder Deaktivieren mit einem oder mehreren kryptographischen Verfahren gesichert ist.
  9. System, das dazu ausgelegt ist, die Verfahren gemäß einem der Ansprüche 1 bis 8 auszuführen.
  10. Bordnetzwerk für ein Fahrzeug (20), umfassend: eine Mehrzahl von Komponenten (27a-f) des Bordnetzwerks, die eine erste Komponente (27c) beinhaltet; und optional eine zentrale Vorrichtung zur Mitigation einer Manipulation von Software (25); wobei das Bordnetzwerk dazu ausgelegt ist, das Verfahren gemäß einem der Ansprüche 1 bis 8 durchzuführen.
  11. Fahrzeug (20), das das System gemäß Anspruch 9 umfasst oder Teil dessen ist und/oder das Bordnetzwerk gemäß Anspruch 10 umfasst.
  12. Computer-Programm, das dazu ausgelegt ist, die Verfahren der vorangehenden Ansprüche 1 bis 8 auszuführen.
  13. Computer-lesbares Medium oder Signal, dass das Computer-Programm gemäß Anspruch 12 enthält bzw. codiert.
DE102022201896.6A 2022-02-23 2022-02-23 Mitigation einer manipulation von software eines fahrzeugs Pending DE102022201896A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102022201896.6A DE102022201896A1 (de) 2022-02-23 2022-02-23 Mitigation einer manipulation von software eines fahrzeugs
US18/170,381 US20230267205A1 (en) 2022-02-23 2023-02-16 Mitigation of a manipulation of software of a vehicle
CN202310146624.3A CN116639139A (zh) 2022-02-23 2023-02-21 减轻对车辆软件的操纵
JP2023025761A JP2023122637A (ja) 2022-02-23 2023-02-22 車両のソフトウェアの改竄の軽減

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022201896.6A DE102022201896A1 (de) 2022-02-23 2022-02-23 Mitigation einer manipulation von software eines fahrzeugs

Publications (1)

Publication Number Publication Date
DE102022201896A1 true DE102022201896A1 (de) 2023-08-24

Family

ID=87518821

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022201896.6A Pending DE102022201896A1 (de) 2022-02-23 2022-02-23 Mitigation einer manipulation von software eines fahrzeugs

Country Status (4)

Country Link
US (1) US20230267205A1 (de)
JP (1) JP2023122637A (de)
CN (1) CN116639139A (de)
DE (1) DE102022201896A1 (de)

Also Published As

Publication number Publication date
US20230267205A1 (en) 2023-08-24
JP2023122637A (ja) 2023-09-04
CN116639139A (zh) 2023-08-25

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
EP3437012B1 (de) Verfahren, prozessor und gerät zur integritätsprüfung von nutzerdaten
DE112016002785T5 (de) Elektronische Steuereinheiten für Fahrzeuge
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
EP3314339B1 (de) Verfahren, server, firewall, steuergerät, und system zur programmierung eines steuergeräts eines fahrzeugs
EP3811261B1 (de) Kryptografiemodul und betriebsverfahren hierfür
DE102012105093A1 (de) Sicherer Datenspeicher für Fahrzeugnetzwerke
DE102018214301B4 (de) Vorrichtung und System mit einem Vertrauensanker
DE112020005622B4 (de) Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren und Computerprogramm
DE102022201896A1 (de) Mitigation einer manipulation von software eines fahrzeugs
WO2018059964A1 (de) Verfahren zum gesicherten zugriff auf daten eines fahrzeugs
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
DE102022201899A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102022201898A1 (de) Mitigation einer manipulation von software eines fahrzeugs
EP3991037B1 (de) Steuergerät für ein fahrzeug, system, verfahren und kraftfahrzeug mit einem solchen steuergerät
DE102022201901A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102022201895A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102021207473A1 (de) Mitigation einer manipulation von software eines fahrzeugs
DE102021214082A1 (de) Verfahren und vorrichtung zum abwehren eines eindringens in ein fahrzeuginternes netzwerk
EP3246778A1 (de) Vorrichtung zum auslesen von daten aus einem sicherheitskritischen steuergerät
DE102022209768A1 (de) Computerimplementiertes verfahren zur aktualisierung von software in einer vorrichtung zur mitigation von softwaremanipulation
DE102022209778A1 (de) Techniken zur mitigation von manipulationen eines bordnetzwerkes
WO2008128710A1 (de) Steuervorrichtung für fahrzeuge