-
Die vorliegende Erfindung betrifft ein Verfahren zum Ermitteln einer Manipulation von Übertragungs-Messsignalen einer Sensoreinheit eines Systems, insbesondere eines sogenannten „Man-in-the-Middle“-Angriffs zwischen der Sensoreinheit und einer die Übertragungs-Messsignale von der Sensoreinheit empfangenden Steuereinheit, und ein System bestehend aus Sensoreinheit und Steuereinheit.
-
Zum Absichern der Kommunikation zwischen verschiedenen Sensoreinheiten und verschiedenen Steuergeräten existiert bereits ein Konzept, bei dem die sogenannten Protokoll-Daten-Einheiten (PDU - Protocol Data Unit) einzelne Signale oder Signalgruppen darstellen können, die zum Schutz eines sogenannten „Man-in-the-Middle“-Angriffs mit einem Nachrichtenauthentifizierungscode (MAC - Message Authentification Code) vom Sender signiert werden können. Der Empfänger kann die Signatur auslesen und nachrechen damit eine Aussage über die Echtheit des gesendeten Signals oder der gesendeten Signalgruppen treffen. Dieses bekannte Konzept geht davon aus, dass die Medienzugriffssteuerung bzw. Signatur der einzelnen Signale direkt beim Sender erfolgen kann und das Signal, das einen erfassten Messwert anzeigen kann, nur mit einer geringen zeitlichen Verzögerung übertragen werden kann.
-
Das oben genannte Konzept setzt jedoch einen leistungsstarker Mikrocontroller des Senders mit einem sogenannten Sicherheitsmodul (HSM - Hardware Security Module) voraus, damit die Signierung des Messsignals in kürzester Zeit, wie beispielsweise nur wenigen Mikrosekunden, erfolgen kann.
-
Dafür ist beispielsweise bekannt, mehrere CAN-Frames, die mit PDUs vergleichbar sind, hintereinander zu überragen und schließlich nur eine MAC für die gesamte Übertragung zu bilden. Dieses Konzept kann zwar die gesamte Rechenlast reduzieren, kann jedoch den RAM-Speicherverbrauch des Senders und Empfängers erhöhen, da die CAN-Frames bis zur MAC-Berechnung gepuffert werden müssen. Zudem muss sichergestellt werden, dass keine CAN-Botschaft verloren geht und sich die Reihenfolge der CAN-Botschaften nicht ändert.
-
Die vorbeschriebenen und bekannten Konzepte sind im Hinblick auf Sender mit weniger leistungsstarken Mikrocontrollern nur schwer umsetzbar.
-
-
Der vorliegenden Erfindung liegt die Aufgabe zu Grunde, ein Verfahren zum Ermitteln einer Manipulation von Übertragungs-Messsignalen einer Sensoreinheit bereitzustellen, die eine MAC-Berechnung mit langsamerem Berechnungsintervall aufweist, bei dem möglichst wenig RAM verbraucht werden soll und keine Abhängigkeit von der Reihenfolge in der Signalübertragung besteht.
-
Diese Aufgabe wird mit einem Verfahren gemäß Anspruch 1 und einem System gemäß Anspruch 11 gelöst. Vorteilhafte Ausgestaltungen sind in den Unteransprüchen angegeben.
-
Der vorliegenden Erfindung liegt im Wesentlichen der Gedanke zugrunde, neben dem normalen Übertragen der Messsignale einer Sensoreinheit an eine extern angeordnete Steuereinheit zusätzlich noch ausgewählte Messsignale zu signieren und/oder zu verschlüsseln (d.h. zu sichern) und ebenfalls an die extern angeordnete Steuereinheit zum Auslesen zu übertragen. Die Steuereinheit kann dann die zuvor erhaltenen Messsignale verarbeiten und mit dem gesicherten Messsignal vergleichen. Bei einer Abweichung der beiden Signale von mehr als einem vorbestimmten Abweichungsschwellenwert kann dann eine Manipulation der Messsignale ermittelt werden. Aufgrund der Tatsache, dass nicht jedes Messsignal, sondern nur bestimmte und ausgewählte Messsignale bzw. Messsignalgruppen gesichert werden, beispielsweise mit einer MAC-Berechnung, wie z. B. HMAC, CMAC oder SipHash, kann die in der Sensoreinheit nur begrenzt verfügbare Leistung des Mikrocontrollers effizient und optimal ausgenutzt werden. Damit kann mittels eines einfachen Verfahrens die nur begrenzt zur Verfügung stehende Leistung des Mikrocontrollers der Sensoreinheit bestmöglich ausgenutzt werden und gleichzeitig die Echtheit der Messsignale der Sensoreinheit überprüft werden.
-
Erfindungsgemäß können also die Roh-Messsignale zum einen ungesichert an die Steuereinheit übertragen werden und zum anderen ausgewählte Messsignale in der Steuereinheit des Sensors erneut, jedoch gesichert (beispielsweise signiert und/oder verschlüsselt) übertragen werden. Die Steuereinheit kann dann die zunächst ungesicherten Messsignale verarbeiten und daraufhin mit dem gesicherten Messsignal vergleichen. Das gesicherte Messsignal, das aufgrund der Signierung und/oder Verschlüsselung nicht manipulierbar ist, kann von der Steuereinheit, die den entsprechenden „Schlüssel“ kennt, ausgelesen, nachgerechnet und zur Echtheitsüberprüfung mit dem ungesicherten Messsignal verglichen werden.
-
Folglich ist gemäß einem ersten Aspekt der vorliegenden Erfindung ein Verfahren zum Ermitteln einer Manipulation von Übertragungs-Messsignalen einer Sensoreinheit offenbart, die mit einer Steuereinheit verbunden ist. Das erfindungsgemäße Verfahren weist ein Erfassen von zumindest einem Messwert mittels der Sensoreinheit, ein Erzeugen eines Übertragungs-Messsignals aus dem zumindest einen erfassten Messwert mittels der Sensoreinheit, ein Übertragen des Übertragungs-Messsignals von der Sensoreinheit an die Steuereinheit, ein Erzeugen eines Überprüfungs-Messsignals, das dem Übertrags-Messsignal entspricht und einen für die Überprüfung ausgebildeten Sicherheitsparameter aufweist, ein Übertragen des Überprüfungs-Messsignals von der Sensoreinheit an die Steuereinheit zu einem Zeitpunkt nach dem Übertragen des Übertragungs-Messsignals an die Steuereinheit und ein Ermitteln einer Manipulation des Übertragungs-Messsignals auf, wenn das übertragende Übertragungs-Messsignal von dem übertragenden Überprüfungs-Messsignal um mehr als einen Abweichungsschwellenwert abweicht.
-
Der Sicherheitsparameter kann einen Signierungsparameter und/oder Verschlüsselungsparameter aufweisen. Ein Signierungsparameter ist dadurch gekennzeichnet, dass damit eine Authentifizierung des jeweiligen Übertragungs-Messsignals ermöglicht ist. Insbesondere kann damit angegeben werden, von welcher Quelle das jeweilige Signal stammt. Beispielsweise kann der Signierungsparameter ein Echtheitszertifikat darstellen und eine MAC-Berechnung umfassen. Ein Verschlüsselungsparameter ist dadurch gekennzeichnet, dass ausschließlich der Sender (beispielsweise die Sensoreinheit) und der Empfänger (beispielsweise die Steuereinheit) das Signal verschlüsseln und entschlüsseln können. Beispielsweise kann der Empfänger das verschlüsselte Überprüfungs-Signal entschlüsseln und lesen und daraufhin die Signatur des Überprüfungs-Messsignals auf Echtheit überprüfen.
-
Insbesondere kann mittels des erfindungsgemäßen Verfahrens ein sogenannter „Man-in-the-Middle“-Angriff zwischen der Sensoreinheit und der Steuereinheit erfasst werden. Dabei wird ein Überprüfungs-Messsignal erzeugt, das im Wesentlichen eine Kopie des Übertragungs-Messsignals ist, jedoch einen für die Überprüfung ausgebildeten Sicherheitsparameter aufweist, wie beispielsweise einen Signaturparameter, wie z. B. eine MAC-Berechnung wie HMAC, CMAC oder SipHash, oder einen Verschlüsselungsparameter. Das Überprüfungs-Messsignal ist insbesondere dadurch gekennzeichnet, dass es nicht manipulierbar ist und folglich auch nicht bzw. nur schwer von einem „Man-in-the-Middle“-Angriff veränderbar ist. Jedoch benötigt das Erzeugen des Überprüfungs-Messsignals eine gewisse Rechenleistung des Mikrocontrollers der Sensoreinheit, weshalb nicht jedes Übertragungs-Messsignal gesichert wird.
-
In einer bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens weist das Übertragungs-Messsignal eine vorbestimmte Anzahl an in ersten periodischen Abständen erzeugten Messsignalen der Sensoreinheit auf. Beispielsweise kann das Übertragungs-Messsignal ein Konvolut von 64 in zeitlichen Abständen von ungefähr 20 ms erzeugten Einzel-Messsignalen sein, die im Konvolut oder als Einzelsignale als Übertragungs-Messsignal von der Sensoreinheit an die Steuereinheit als Rohsignale übertragen werden. Die vorbestimmte Anzahl an in ersten periodischen Abständen erzeugten Messsignalen der Sensoreinheit ist vorzugsweise eine Zweierpotenz, wie z. B. 2, 4, 8, 16, 32, 64, 128, usw.
-
In einer besonders bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens wird das Überprüfungs-Messsignal aus der vorbestimmten Anzahl an in ersten periodischen Abständen erzeugten Messsignalen gebildet. Beispielsweise kann das Überprüfungs-Messsignal den Mittelwert oder den Summenwert oder den Median der 64 Einzel-Messsignale darstellen und somit den entsprechenden Messwert als Mittelwert oder Summenwert oder Median anzeigen. Das Überprüfungs-Messsignal kann dabei bevorzugt nur ein einzelnes Signal sein, das innerhalb der Sensoreinheit erzeugt und von der Sensoreinheit an die Steuereinheit zu dem Zeitpunkt nach dem Übertragen des Überprüfungs-Messsignals an die Steuereinheit übertragen bzw. gesendet werden.
-
Besonders vorteilhaft ist es dabei, wenn das Überprüfungs-Messsignal den Mittelwert oder Summenwert der vorbestimmten Anzahl an in ersten periodischen Abständen erzeugten Messsignalen anzeigt. Zusätzlich oder alternativ wäre es möglich, den Median der Einzel-Messsignale als Überprüfungs-Messsignal zu verwenden.
-
In einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens erfolgt das Übertragen von mehreren Überprüfungs-Messsignals in zweiten periodischen Abständen, die größer sind als die ersten periodischen Abstände. Dabei kann es bevorzugt sein, aus 64 Einzel-Messsignale, die als Konvolut das Übertragungs-Messsignal darstellen, den Mittelwert zu bilden und daraus das Überprüfungs-Messsignal mit dem Sicherheitsparameter zu erzeugen. Das darauffolgende Überprüfungs-Messsignal kann aus den 64 folgenden Einzel-Messsignalen erzeugt werden. Die beiden derart erzeugten Überprüfungs-Messsignale werden dann in einem zeitlichen Abstand von ungefähr 500 ms von der Sensoreinheit an die Steuereinheit übertragen. Somit können die Überprüfungs-Messsignale mit einem zeitlichen Abstand von ungefähr 500 ms übertragen werden, die jeweils den Mittelwert der 64 zuvor erzeugten Einzel-Messsignale anzeigen. Folglich werden aus den 128 Einzel-Messsignalen lediglich zwei Überprüfungs-Messsignale mit jeweiligem Sicherheitsparameter erzeugt, wodurch die Rechenleistung der Sensor-Steuereinheit deutlich geringer ist als würden sämtliche 128 Einzel-Messsignale mit dem Sicherheitsparameter versehen werden.
-
Vorteilhaft ist es ferner, wenn der Sicherheitsparameter ferner dazu ausgebildet ist, das zugeordnete Übertragungs-Messsignal unmanipulierbar zu machen. Vorzugsweise kann der für die Überprüfung ausgebildete Sicherheitsparameter einen Signierungsparameter aufweisen, wie beispielsweise eine MAC-Berechnung, wie z. B. ein HMAC, CMAC oder SipHash .
-
In einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens weist der Sicherheitsparameter einen Verschlüsselungsparameter auf, der zum Verschlüsseln des Überprüfungs-Messsignals ausgebildet ist. Dabei ist die Steuereinheit ferner dazu ausgebildet, den Verschlüsselungsparameter zu entschlüsseln und das Überprüfungs-Messsignal auszulesen und zu verarbeiten.
-
Vorzugsweise erfolgt das Übertragen des Überprüfungs-Messsignals ungefähr 500 ms nach dem Übertragen des Übertragungs-Messsignals. Dies ist der Tatsache geschuldet, dass das Zuweisen bzw. Berechnen des Sicherheitsparameters eine gewisse Rechenzeit benötigt und folglich ein Zeitversatz zwischen dem Übertragen des Übertragungs-Messsignals und dem Übertragen des Überprüfungs-Messsignals vorliegt.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist ein System offenbart, das eine Sensoreinheit, die zum Erfassen eines Parameters und zum Erzeugen eines den Parameter anzeigenden Messsignals ausgebildet ist, und eine Steuereinheit aufweist, die mit der Sensoreinheit verbunden und dazu ausgebildet ist, das von der Steuereinheit erzeugte Messsignal zu empfangen. Dabei sind die Sensoreinheit und die Steuereinheit ausgebildet, ein erfindungsgemäßes Verfahren zum Ermitteln einer Manipulation der Messsignale der Sensoreinheit auszuführen. Insbesondere sind dabei die beiden Einheiten, Sensoreinheit und Steuereinheit, dazu ausgebildet, die jeweils zugehörigen Verfahrensschritte des vorliegenden erfindungsgemäßen Verfahrens auszuführen.
-
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Systems weist die Sensoreinheit ein Sensorelement, das dazu ausgebildet ist, den Parameter zu erfassen, und eine Sensor-Steuereinheit auf, die mit dem Sensorelement verbunden und dazu ausgebildet ist, die Messsignale zu erzeugen und an die Steuereinheit zu übertragen.
-
Bevorzugt weist die Sensor-Steuereinheit einen Mikrocontroller auf, der zum Kommunizieren mit der Steuereinheit ausgebildet ist und sowohl zum Erzeugen des Übertragungs-Messsignals als auch zum Erzeugen des Überprüfungs-Messsignals ausgebildet ist.
-
In einer besonders bevorzugten Ausgestaltung des erfindungsgemäßen Systems handelt es sich bei der Sensoreinheit um eine Stickoxyd-Sensoreinheit, die dazu ausgebildet ist, den Stickoxydgehalt im Abgas einer Brennkraftmaschine eines Fahrzeugs zu ermitteln.
-
Weitere Merkmale und Aufgaben der Erfindung werden dem Fachmann durch Ausüben der vorliegenden Lehre und Betrachten der beiliegenden Zeichnungen ersichtlich, in denen:
- 1 eine schematische Ansicht eines erfindungsgemäßen Systems mit Sensoreinheit und Steuereinheit zeigt,
- 2 ein beispielhaftes Diagramm der von der Sensoreinheit des Systems der 1 erfassten Messwerte zeigt, und
- 3 ein beispielhaftes Ablaufdiagramm eines erfindungsgemäßen Verfahrens zum Ermitteln einer Manipulation eines Übertragungs-Messsignals der Sensoreinheit des Systems der 1 zeigt.
-
Im Rahmen der vorliegenden Offenbarung beschreibt der Begriff „Sicherheitsparameter“ eine digitale Form des Sicherns von Messsignalen. Ein gesichertes Messsignal ist v.a. dadurch gekennzeichnet, dass es nahezu nicht manipuliert werden kann. Insbesondere kann der hier offenbarte Sicherheitsparameter einen Signierungsparameter aufweisen, der eine digitale Signatur eines von einer Sensoreinheit erzeugten Messsignals darstellt. Der Signierungsparameter kann beispielsweise eine MAC-Berechnung, z. B. einen HMAC, CMAC oder SipHash, aufweisen. Zusätzlich oder alternativ weist der „Sicherheitsparameter“ einen Verschlüsselungsparameter auf, der dadurch gekennzeichnet ist, dass ausschließlich der Sender (beispielsweise die Sensoreinheit) und der Empfänger (beispielsweise die Steuereinheit) das entsprechend verschlüsselte Signal verschlüsseln und entschlüsseln können. Beispielsweise kann der Empfänger das verschlüsselte Überprüfungs-Signal entschlüsseln und lesen und daraufhin, falls vorhanden, die Signatur des Überprüfungs-Messsignals auf Echtheit überprüfen, beispielsweise mittels Nachrechnen.
-
Im Rahmen der vorliegenden Offenbarung beschreibt der Begriff „Man-in-the-middle“-Angriff eine Angriffsform, die in Rechnernetzen auftreten können. Der Angreifer steht dabei entweder physisch oder zumeist logisch zwischen den beiden Kommunikationspartnern, hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren. Der Angreifer täuscht dabei den Kommunikationspartnern vor, das jeweilige Gegenüber zu sein.
-
Die 1 zeigt eine schematische Ansicht eines erfindungsgemäßen Systems 100 bestehend aus Sensoreinheit 110 und Steuereinheit 120, die mit der Sensoreinheit 110 über eine Verbindungseinheit 130, wie beispielsweise ein CAN-Bus, in Kommunikationsverbindung steht. Die Sensoreinheit 110 besteht aus einem Sensorelement 112 und einer Sensor-Steuereinheit 114. Das Sensorelement 112 ist dazu ausgebildet, einen Parameter physikalisch zu erfassen und der Sensor-Steuereinheit 114 zum Erzeugen eines den Parameter anzeigenden Messsignals bereitzustellen. Die Sensor-Steuereinheit 114 ist somit dazu ausgebildet, den dem Sensorelement 112 physikalisch erfassten Parameter zu digitalisieren und ein den erfassten Parameter anzeigendes Messsignal zu erzeugen.
-
Die Sensor-Steuereinheit 114 umfasst einen Mikrocontroller 116, der dazu ausgebildet ist, mit der extern angeordneten Steuereinheit 120 mittels der Verbindungseinheit 130 zu kommunizieren und die von der Sensor-Steuereinheit 114 erzeugten Signale zu verarbeiten und Berechnungen durchzuführen.
-
Bei der Sensoreinheit 110 kann es sich beispielsweise um einen Temperatursensor, einen Stickoxidsensor, der dazu ausgebildet ist, den Stickoxidgehalt im Abgas einer Brennkraftmaschine eines Fahrzeugs zu erfassen, einen Drucksensor, einen Luftmassenmesser und jeden anderen Sensor, vorzugsweise Fahrzeugsensor, handeln, der dazu ausgebildet ist, mit einer extern angeordneten (Haupt-)Steuereinheit 120 zu kommunizieren. Die Steuereinheit 120 ist beispielsweise eine Fahrzeugsteuereinheit, die die Signale von jeglichen Fahrzeugsensoren empfängt und zum Steuern des Fahrzeugbetriebs ausgebildet ist.
-
Die 2 zeigt ein beispielhaftes Diagramm der von der Sensoreinheit 110 des Systems 100 der 1 erzeugten Messsignale. Die Linie 202 der 2 zeigt den beispielhaften Verlauf von Messsignalen auf und ist aus den Messwerten M1, M2, M3, M4 und M5 gebildet. Die einzelnen Messwerte M1, M2, M3, M4 und M5 werden in ersten periodischen Abständen Dt1 erfasst, das beispielsweise in der 2 zwischen dem Messwert M1 und dem Messwert M2 angezeigt ist. Der erste periodische Abstand Dt1 liegt bevorzugt in einem Bereich zwischen ungefähr 10 ms und ungefähr 50 ms und kann die Tastrate der Sensoreinheit 110 angeben.
-
Bei den in der 2 gezeigten Messwerten M1, M2, M3, M4 und M5 handelt es sich um digitale Messsignale, die auf der Grundlage der von dem Sensorelement 112 erfassten Messwerte erzeugt werden.
-
In der 2 wird zunächst eine erste Reihe von Messwerten M1, M2, M3 betrachtet, die in einem ersten Zeitraum zwischen t0 und t1 erzeugt werden.
-
Zwischen den Zeitpunkten t0 und t1 werden insgesamt neun Messwerte M1, M2, M3 von der Sensoreinheit 114 in erzeugt, die dann über die Verbindungseinheit 130 an die Steuereinheit 120 übertragen werden. Erfindungsgemäß wird nun einer dieser neun Messwerte bzw. Messsignale, in dem in der 2 gezeigten Beispiel der Messwert M3, kopiert und mit einem Sicherheitsparameter, wie beispielsweise einem Signierungsparameter, versehen, was dazu führt, dass ein Überprüfungs-Messsignal M3# gebildet wird (siehe 2 oben). Die Linie 204 der 2 ist eine Kopie des Verlaufs der Linie 202 und dient lediglich der Übersichtlichkeit und Korrespondenz.
-
Das Überprüfungs-Messsignal M3# wird von der Sensor-Steuereinheit 114 erzeugt und nach einer Verzögerungszeit V1 an die Steuereinheit 120 übertragen. Die Verzögerung V1 ist insbesondere darauf basiert, dass das Versehen des Signals M3 mit dem Sicherheitsparameter, wie beispielsweise ein Signierungsparameter und/oder ein Verschlüsselungsparameter, und somit das Erzeugen des Überprüfungs-Messsignals M3# eine gewisse (Rechen-)Zeit benötigt und entsprechend zeitlich verzögert nach dem Übertragen des Messsignals M3 erfolgt.
-
Erfindungsgemäß kann jedes Messsignal M1, M2, M3 als einzelnes Übertragungs-Messsignal oder im Konvolut als ein Übertragungs-Messsignal von der Sensoreinheit 114 an die Steuereinheit 120 übertragen werden. Zusätzlich wird eine Kopie des dritten Übertragungs-Messsignal M3 mit dem vorerwähnten Sicherheitsparameter versehen und als Überprüfungs-Messsignal M3# an die Steuereinheit 120 übertragen.
-
Die Steuereinheit 120 kann nach dem Empfangen des Übertragungs-Messsignals M3 und des Überprüfungs-Messsignals M3# einen Vergleich dieser beiden Messsignale durchführen und bei einem Abweichen der beiden Signale voneinander um mehr als einen vorbestimmten Abweichungsschwellenwert, wie beispielsweise 5 %, auf eine Manipulation des Messsignals schließen.
-
Zusätzlich ist an dieser Stelle zu erwähnen, dass sowohl das Übertragungs-Messsignal als auch das Überprüfungs-Messsignal den Erfassungszeitpunkt aufweist und somit von der Steuereinheit 120 miteinander korreliert werden können.
-
Das Versehen des Übertragungs-Messsignals M3 mit einem Signierungsparameter zum Erzeugen des Überprüfungs-Messsignals M3#, M4#, M5# kann eine MAC-Berechnung aufweisen, beispielsweise gemäß folgender Vorschrift:
wobei:
- HMAC_SHA2-256
- den Berechnungsalgorithmus zum Versehen des Übertragungs-Messsignals mit dem Signierungsparameter anzeigt,
- Signal-Wert
- den digitalisierten Wert des vom Sensorelement 112 erfassten Parameters/Messwerts anzeigt, beispielsweise „0×1234“,
- Freshness-Wert
- einen eindeutig zuordnenbaren Parameter für das Übetragungs-Messsignal anzeigt, wie beispielsweise die Betriebszeit des Systems 100 in Sekunden; wobei der Freschness-Wert zumeist ein fortlaufender Zähler ist, der zwischen Empfänger und Sender synchron gehalten wird, beispielsweise 0x8435, und
- Key
- eine Zufallszahl anzeigt, welche nur Sender und Empfänger bekannt ist, wie beispielsweise 0x562913.
-
Unter Berücksichtigung der obiger Vorschrift kann ein Signierungsparameter bzw. eine digitale Signatur gemäß MAC-Berechnung wie folgt aussehen:
- 0x26dba48b7f583c6c9917e7e46f2d357f348384efe4a7c7b46d7c1 b390d101 d0c
-
Der Signierungsparameter kann in diesem Beispiel 32 Byte lang sein, wird jedoch für Übertragungen meistens gekürzt. Beispielsweise können lediglich die ersten vier (oder letzten vier) Bytes des Signierungsparameters übertragen werden. Dieses mittels MAC errechnete Ergebnis wird im Rahmen der vorliegenden Offenbarung als Signierungsparameter bezeichnet und stellt exemplarisch einen Sicherheitsparameter dar.
-
Insbesondere kann mittels dem erfindungsgemäßen Verfahren ein sogenannter „Man-in-the-Middie“-Angriff erkannt werden, welcher innerhalb der Übertragungseinheit 130 stattfinden kann. Beispielsweise könnte eine solche Manipulation darin bestehen, dass die (rohen) ungesicherten Übertragungs-Messsignale M1, M2, M3 mit einem Verringerungsfaktor von 0,5 versehen werden und folglich als reduzierte Messsignale von der Steuereinheit 120 empfangen werden. Das aus dem Übertragungs-Messsignals M3 erzeugte Überprüfungs-Messsignal M3#, das mit dem Sicherheitsparameter, insbesondere Signierungsparameter, versehen ist, erfährt eine solche Manipulation nicht und wird von der Steuereinheit 120 unverändert erhalten. Bei einem Vergleich des manipulierten Übertragungs-Messsignals M3 und des unmanipulierten Überprüfungs-Messsignals M3# kann somit festgestellt werden, dass diese voneinander signifikant abweichen und folglich die erwähnte Manipulation der Übertragungs-Messsignale M1, M2, M3 innerhalb der Übertragungseinheit 130 stattfindet.
-
Zusammenfassend erfolgt zwischen den Zeitpunkten t0 und t1 das Erzeugen von nur einem Überprüfungs-Messsignals M3# anhand eines diskreten Messsignals M3, wobei nicht jedes der neun Messsignale, die zwischen t0 und t1 erzeugt und übertragen werden, mit dem Sicherheitsparameter versehen werden. Damit kann die Rechnungsleistung des Mikrocontrollers 116 deutlich reduziert werden. Ferner kann der Mikrocontroller 116 mit einer kleineren Rechenleistung ausgestattet werden.
-
Alternativ kann es aber auch möglich sein, auf der Grundlage von Messsignalen M4 ein Überprüfungs-Messsignal M4# zu erzeugen. Dies ist exemplarisch in der 2 zwischen den Zeitpunkten t1 und t2 dargestellt.
-
Bei den hier gezeigten Beispielen können beispielsweise die mehreren Übertragungs-Messsignale M4, die wiederum z. B. alle 20 ms erzeugt werden, zu einem Mittelwert-Signal umgerechnet und als Überprüfungs-Messsignal M4# bereitgestellt werden. Auch hier wiederum erfolgt das Übertragen des Überprüfungs-Messsignals M4# um den Zeitraum V1 verzögert nach dem letzten Erzeugen des Übertragungs-Messsignals M4. Die einzelnen Messsignale M4 können als gemeinsames Übertragungs-Messsignal von der Sensoreinheit 110 an die Steuereinheit 120 übertragen werden. Alternativ kann jedes Messsignal M4 einzeln als Übertragungs-Messsignal M4 übertragen werden und in der Steuereinheit 120 als gemeinsames Übertragungs-Messsignal M4 empfangen werden.
-
Innerhalb der Steuereinheit 120 kann dann der Mittelwert aus den mehreren Übertragungs-Messsignale M4 gebildet mit dem Überprüfungs-Messsignal M4# verglichen werden. Auch hier kann somit eine Manipulation der Übertragungs-Messsignale M4 festgestellt werden, wenn das Übertragungs-Messsignal M4 von dem Überprüfungs-Messsignal M4# um mehr als den vorbestimmten Abweichungsschwellenwert, wie beispielsweise 5 %, abweicht.
-
In der 2 ist eine weitere Möglichkeit zwischen den Zeitpunkten t2 und t3 dargestellt. Auch hier können die mehreren, beispielsweise alle 20 ms erfassten Messsignale M5 als einzelne Übertragungs-Messsignale M5 oder als gemeinsames Übertragungs-Messsignal M5 von der Sensoreinheit 110 an die Steuereinheit 120 übertragen werden.
-
Jedoch kann bei dieser Möglichkeit ein Summenwertsignal dieser einzelnen Übertragungs-Messsignale M5 gebildet werden und als Überprüfungs-Messsignal M5# an die Steuereinheit 120, wiederum mit dem zeitlichen Versatz V1, übertragen werden. Das Überprüfungs-Messsignal M5# ist wiederum mit dem Sicherheitsparameter versehen und folglich nicht manipulierbar. Die Steuereinheit 120 kann dann aus den mehreren Übertragungs-Messsignalen M5 das Summenwertsignal ermitteln und mit dem zeitlich später empfangenen Überprüfungs-Messsignal M5# vergleichen. Weichen diese beiden Signale wiederum um mehr als den vorbestimmten Abweichungsschwellenwert voneinander ab, kann auf eine Manipulation der Übertragungs-Messsignale M5 geschlossen werden.
-
Erfindungsgemäß werden also die von der Steuereinheit 120 empfangenen Übertragungs-Messsignale M1, M2, M3, M4, M5 mit nur einem einzigen erzeugten Überprüfungs-Messsignal M3#, M4#, M5# verglichen. Bei einer Abweichung dieser beiden Signale um mehr als den vorbestimmten Abweichungsschwellenwert kann eine Manipulation der Übertragungs-Messsignale M1, M2, M3, M4, M5 ermittelt werden.
-
Die Pfeile in der 2 zwischen M3 und M3#, zwischen M4 und M4# und zwischen M5 und M5# sollen eine Korrelation der jeweiligen Signale anzeigen.
-
Die 3 zeigt ein beispielhaftes Ablaufdiagramm eines erfindungsgemäßen Verfahrens zum Ermitteln einer Manipulation eines Übertragungs-Messsignals der Sensoreinheit 110 des System 100 der 1. Obwohl im Folgenden beispielhaft das Übertragungs-Messsignal M4 und das Überprüfungs-Messsignal M4# beschrieben wird, können gleichermaßen die Übertragungs-Messsignale M3, M5 und die Überprüfungs-Messsignale M3#, M5# erzeugt und verarbeitet werden.
-
Das Verfahren der 3 startet beim Schritt 300 und gelangt dann zum Schritt 310, an dem eine Vielzahl von Messwerten mittels des Sensorelements 112 der Sensoreinheit 110 (siehe 1) erfasst werden. In einem darauffolgenden Schritt 320 werden aus den einzeln erfassten Messwerten die Übertragungs-Messsignale M4 erzeugt. In einem darauffolgenden Schritt 330 werden die Übertragungs-Messsignale M4 an die Steuereinheit 120 übertragen.
-
In einem darauffolgenden Schritt 340 wird innerhalb der Sensoreinheit 110, insbesondere innerhalb des Mikrocontrollers 116, aus den mehreren Übertragungs-Messsignalen M4 ein Mittelwertsignal gebildet, das den Mittelwert der einzelnen Messwerte anzeigt. Dieses derart erzeugte Mittelwert-Signal kann dann mit dem Sicherheitsparameter derart versehen werden, dass das Überprüfungs-Messsignal M4# erzeugt wird. Das erzeugte Überprüfungs-Messsignal wird in einem darauffolgenden Schritt 350 an die Steuereinheit 120 übertragen. Das Übertragen des Überprüfungs-Messsignals M4# erfolgt dabei zeitlich nach dem Übertragen des beim Schritt 330 übertragenen Übertragungs-Messsignal M4.
-
In einem darauffolgenden Schritt 360 erfolgt ein Vergleich des Übertragungs-Messsignals M4 mit dem Überprüfungs-Messsignal M4#. Insbesondere kann die Steuereinheit 120 das Überprüfungs-Messsignal M4# auslesen und verarbeiten. Dabei kann die Steuereinheit 120 aus dem Überprüfungs-Messsignal M4# das Übertragungs-Messsignal M4 herauslesen und daraus den Sicherheitsparameter, wie beispielsweise Signierungsparameter, „nachrechnen“, wobei der bereits erwähnte Freshness-Wert berücksichtigt werden kann. Da die Berechnungsvorschrift bzw. der Berechnungsalgorithmus zum Berechnen des Sicherheitsparameters ausschließlich der Sensoreinheit 110 und der Steuereinheit 120 vorab bekannt gemacht worden sind, müsste die erneute Berechnung des Sicherheitsparameters innerhalb der Steuereinheit 120 im Wesentlichen das gleiche Ergebnis liefern als die bereits in der Sensoreinheit 110 zum Erzeugen des Überprüfungs-Messsignals M4# durchgeführte Berechnung des Sicherheitsparameters.
-
Wird beim Schritt 360 festgestellt, dass das Übertragungs-Messsignal M4 von dem Überprüfungs-Messsignal M4# (bzw. die beiden oben genannten Berechnungen des Sicherheitsparameters voneinander) nicht um mehr als den vorbestimmten Abweichungsschwellenwert abweicht, gelangt das Verfahren zum Schritt 370, an dem keine Manipulation des Übertragungs-Messsignals M4 festgestellt wird, bevor das Verfahren beim Schritt 390 endet. Insbesondere kann beim Schritt 370 dann ermittelt werden, dass zwischen der Sensoreinheit 110 und der Steuereinheit 120, das heißt innerhalb der Übertragungseinheit 130, keine Manipulation der zwischen der Sensoreinheit 110 und der Steuereinheit 120 übertragenen Übertragungs-Messsignale stattfindet.
-
Wird hingegen beim Schritt 360 festgestellt, dass das Übertragungs-Messsignal M4 von dem Überprüfungs-Messsignal M4# (bzw. die beiden oben genannten Berechnungen des Sicherheitsparameters voneinander) um mehr als den vorbestimmten Abweichungsschwellenwert abweicht, gelangt das Verfahren zum Schritt 380, an dem eine Manipulation des Übertragungs-Messsignals M4 ermittelt werden kann, bevor das Verfahren beim Schritt 390 wiederum endet. Insbesondere kann beim Schritt 380 festgestellt werden, dass die in ihrer Rohform übertragenen Übertragungs-Messsignale M4 während des Übertragens von der Sensoreinheit 110 an die Steuereinheit 120 manipuliert wurden und folglich mit dem unmanipulierbaren Überprüfungs-Messsignal M4# nicht mehr zusammenpassen.
-
Alternativ kann bereits beim Schritt 320 basierend auf den mehreren Übertragungs-Messsignalen M4 innerhalb der Sensoreinheit 110 ein Summenwertsignal gebildet und zu einem einzigen Übertragungs-Messsignal M4 umgerechnet werden, das ohne Sicherheitsparameter an die Steuereinheit 120 übertragen wird.
-
Das Summenwertsignal und/oder der Vergleich des Übertragungs-Messsignals M1, M2, M3, M4, M5 mit dem Überprüfungs-Messsignals M3#, M4#, M5# kann alternativ in einer Cloud oder einen übergeordneten (Haupt-)Steuergerät stattfinden und muss nicht zwangsweise in der Steuereinheit 120 erfolgen. Hierfür kann die Steuereinheit 120 mit der Cloud oder dem übergeordneten (Haupt-)Steuergerät verbunden sein und dieser die von der Sensoreinheit 110 empfangenen Signale bereitstellen. Somit erfolgt die Echtheitsüberprüfung der Übertragungs-Messsignale M1, M2, M3, M4, M5 nicht direkt bei der Empfängereinheit (also Steuereinheit 120), sondern in einem weiteren (übergeordneten) Gerät.
-
Zusätzlich oder alternativ kann bei dem Verfahren der 2 das Überprüfungs-Messsignal M3#, M4#, M5# von der Steuereinheit 110 vor dem Übertragen an die Steuereinheit 120 mit einem Verschlüsselungsparameter verschlüsselt werden, wobei die Steuereinheit 120 dazu ausgebildet ist, das verschlüsselte Überprüfungs-Messsignal M3#, M4#, M5# zu entschlüsseln und auszulesen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 9734355 B2 [0006]
- US 10924277 B2 [0006]
- US 7184547 B1 [0006]
- KR 101003303 B1 [0006]
- US 7308016 B2 [0006]