DE102022209778A1 - TECHNIQUES FOR MITIGATION OF MANIPULATION OF AN ONBOARD NETWORK - Google Patents
TECHNIQUES FOR MITIGATION OF MANIPULATION OF AN ONBOARD NETWORK Download PDFInfo
- Publication number
- DE102022209778A1 DE102022209778A1 DE102022209778.5A DE102022209778A DE102022209778A1 DE 102022209778 A1 DE102022209778 A1 DE 102022209778A1 DE 102022209778 A DE102022209778 A DE 102022209778A DE 102022209778 A1 DE102022209778 A1 DE 102022209778A1
- Authority
- DE
- Germany
- Prior art keywords
- component
- components
- software
- manipulation
- board network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000116 mitigating effect Effects 0.000 title claims abstract description 166
- 238000000034 method Methods 0.000 title claims description 29
- 230000002265 prevention Effects 0.000 claims abstract description 67
- 238000004590 computer program Methods 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 46
- 238000004891 communication Methods 0.000 description 31
- 230000015654 memory Effects 0.000 description 14
- 238000001514 detection method Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 6
- 230000002085 persistent effect Effects 0.000 description 5
- 238000009826 distribution Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000010420 art technique Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241001136792 Alle Species 0.000 description 1
- 241001295925 Gegenes Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 210000002023 somite Anatomy 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
- Small-Scale Networks (AREA)
Abstract
Ein Aspekt der vorliegenden Offenbarung betrifft ein Bordnetzwerk eines Fahrzeugs mit in einer Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software. Die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software ist zur Mitigation und Verhinderung einer Manipulation in jeder einer Mehrzahl von verteilten Komponenten in einer Mehrzahl von Zonen des Bordnetzwerkes ausgelegt. Die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software ist über mehrere Komponenten des Bordnetzwerkes verteilt. Eine erste Komponente der mehreren Komponenten ist in einer ersten Zone der Mehrzahl von Zonen des Bordnetzwerkes angeordnet. Eine zweite Komponente der mehreren Komponenten ist in einer zweiten Zone der Mehrzahl von Zonen des Bordnetzwerkes angeordnet.One aspect of the present disclosure relates to an on-board network of a vehicle with a device for mitigating and preventing manipulation of software. The software mitigation and manipulation prevention device is designed to mitigate and prevent manipulation in each of a plurality of distributed components in a plurality of zones of the on-board network. The device for mitigating and preventing software manipulation is distributed across several components of the on-board network. A first component of the plurality of components is arranged in a first zone of the plurality of zones of the on-board network. A second component of the plurality of components is arranged in a second zone of the plurality of zones of the on-board network.
Description
Stand der TechnikState of the art
Fahrzeuge werden immer stärker in offene Kontexte eingebunden (z.B. kommunizieren die Fahrzeuge mit anderen Fahrzeugen, Komponenten der Infrastruktur oder einem Backend). Gleichzeitig wird die Software der Fahrzeuge ständig komplexer und soll darüber hinaus im Feld aktualisiert werden (z.B. durch over-the-air Updates). Diese Entwicklungen machen die Fahrzeuge anfälliger für Angriffe, mit denen Software des Fahrzeugs manipuliert wird. Diese Angriffe können die Funktionalität der Fahrzeuge einschränken und in manchen Fällen sogar die Betriebssicherheit gefährden. Daher ist es wünschenswert, die Fahrzeuge gegen Manipulationen ihrer Software abzusichern.Vehicles are increasingly being integrated into open contexts (e.g. vehicles communicate with other vehicles, infrastructure components or a backend). At the same time, the vehicle software is becoming increasingly more complex and should also be updated in the field (e.g. through over-the-air updates). These developments make vehicles more vulnerable to attacks that manipulate the vehicle's software. These attacks can limit the functionality of the vehicles and in some cases even endanger operational safety. It is therefore desirable to protect vehicles against manipulation of their software.
Offenbarung der ErfindungDisclosure of the invention
Ein erster allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Bordnetzwerk eines Fahrzeugs mit in einer Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software. Die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software ist zur Mitigation und Verhinderung einer Manipulation in jeder einer Mehrzahl von verteilten Komponenten in einer Mehrzahl von Zonen des Bordnetzwerkes ausgelegt. Die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software ist über mehrere Komponenten des Bordnetzwerkes verteilt. Eine erste Komponente der mehreren Komponenten ist in einer ersten Zone der Mehrzahl von Zonen des Bordnetzwerkes angeordnet. Eine zweite Komponente der mehreren Komponenten ist in einer zweiten Zone der Mehrzahl von Zonen des Bordnetzwerkes angeordnet.A first general aspect of the present disclosure relates to an on-board network of a vehicle with a device for mitigating and preventing manipulation of software. The software mitigation and manipulation prevention device is designed to mitigate and prevent manipulation in each of a plurality of distributed components in a plurality of zones of the on-board network. The device for mitigating and preventing manipulation of software is distributed across several components of the on-board network. A first component of the plurality of components is arranged in a first zone of the plurality of zones of the on-board network. A second component of the plurality of components is arranged in a second zone of the plurality of zones of the on-board network.
Ein zweiter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Verfahren zur Mitigation oder Verhinderung einer Manipulation von Software in einem Bordnetzwerk eines Fahrzeugs. Das Bordnetzwerk umfasst eine Mehrzahl von verteilten Komponenten, die in einer Mehrzahl von Zonen angeordnet sind. Das Verfahren umfasst Ausführen von Aufgaben zur Mitigation oder Verhinderung von Manipulationen durch eine erste Komponente der Mehrzahl von Komponenten einer Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software. Die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software ist zur Mitigation und Verhinderung von Manipulationen in jeder der Mehrzahl von Komponenten des Bordnetzwerkes ausgelegt. Eine erste Komponente der mehreren Komponenten ist in einer ersten Zone einer Mehrzahl von Zonen des Bordnetzwerkes angeordnet. Eine zweite Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software in einer zweiten Zone der Mehrzahl von Zonen des Bordnetzwerkes angeordnet.A second general aspect of the present disclosure relates to a method for mitigating or preventing manipulation of software in an onboard network of a vehicle. The onboard network includes a plurality of distributed components arranged in a plurality of zones. The method includes executing tasks for mitigating or preventing manipulation by a first component of the plurality of components of a device for mitigating and preventing manipulation of software. The device for mitigating and preventing manipulation of software is designed for mitigating and preventing manipulation in each of the plurality of components of the on-board network. A first component of the plurality of components is arranged in a first zone of a plurality of zones of the on-board network. A second component of the device for mitigating and preventing manipulation of software is arranged in a second zone of the plurality of zones of the on-board network.
Die Techniken der ersten und zweiten allgemeinen Aspekte können in manchen Beispielen eine oder mehrere der folgenden Vorteile aufweisen.The techniques of the first and second general aspects may, in some examples, have one or more of the following advantages.
Erstens werden in den Techniken der vorliegenden Offenbarung verschiedene verteilte Komponenten eines Bordnetzwerkes mittels einer Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software abgedeckt (z.B. die Komponenten des Bordnetzwerks in einer Zone jeweils von einer Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software). Damit können für jede dieser Komponenten einer oder mehrere der folgenden Vorteile realisiert werden. In manchen Fällen im Vergleich zu Techniken des Stands der Technik ein Zeitraum bis zur Mitigation einer Manipulation reduziert werden (in manchen Situationen drastisch reduziert werden). Die (zentrale) Vorrichtung zur Mitigation und Verhinderung einer Manipulation kann als Teil des Bordnetzwerkes die Mitigationsverfahren unverzüglich (z.B. innerhalb von fünf Minuten oder innerhalb einer Minute) einleiten (z.B. im Wesentlichen ohne Zuhilfenahme von Systemen außerhalb des Fahrzeugs). In manchen Beispielen kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation eine Maßnahme nicht nur einleiten, sondern auch durchführen. In anderen Beispielen können (auch) andere Komponenten des Bordnetzwerks an der Durchführung der Maßnahme beteiligt sein. Als Folge dessen können die Mitigationsverfahren ebenso unverzüglich (z.B. innerhalb von fünf Minuten oder innerhalb einer Minute) durchgeführt werden und das Fahrzeug in einen definierten Zustand versetzt werden (zum Beispiel in einen sicheren Zustand gemäß eines vorbestimmten Sicherheitskriteriums). Zudem können die Techniken der vorliegenden Offenbarung ressourcensparender sein als andere Ansätze. So kann eine Vorrichtung zur Mitigation und Verhinderung einer Manipulation mehrere Vorrichtungen, die jeweils nur einen Teil der Komponenten oder auch nur eine einzelne Komponente abdecken, ersetzen. Zudem können in manchen Fällen bereits vorhandene Komponenten für die Techniken der vorliegenden Offenbarung wiederverwendet werden. Zum Beispiel kann ein persistenter Speicher, der (auch) zur Aktualisierung der Software (z.B. zum Speichern eines umfangreichen Update-Pakets) der Mehrzahl von Komponenten des Fahrzeugs eingesetzt wird, „wiederverwendet“ werden, um die Software einer Komponente zurückzusetzen und die Manipulation damit zu beheben. Es muss somit in manchen Fällen kein neuer Speicher zu diesem Zweck vorgesehen werden. Ein Vorhalten der Software zum Rücksetzen in jeder der Mehrzahl der Komponenten erhöhte den konstruktiven Aufwand dieser Komponenten (z.B. Steuergeräte) erheblich. Auch können die Techniken der vorliegenden Offenbarung im Vergleich zu manchen Techniken des Stands der Technik leichter skaliert und/oder in älteren Fahrzeugen (die nicht gemäß dem neuesten Standard ausgelegt sind) eingesetzt werden. Zum Beispiel kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation relativ einfach zur „Betreuung“ zusätzlicher Komponenten modifiziert werden. Die „betreuten“ Komponenten müssen dazu in manchen Fällen wenig oder gar nicht modifiziert werden, was den Einsatz in älteren Fahrzeugen erleichtert. Auch die zentrale Vorrichtung zur Mitigation einer Manipulation selbst kann in manchen Fällen durch ein Software-Update nachgerüstet werden. Zum Beispiel kann eine bestehende Komponente eines Fahrzeugs (bspw. eine zentrale Kommunikationsschnittstelle des Fahrzeugs oder ein Zentral-Computer des Fahrzeugs) mittels eines Software-Updates mit der (zusätzlichen) Funktion einer Vorrichtung zur Mitigation und Verhinderung einer Manipulation versehen werden.First, in the techniques of the present disclosure, various distributed components of an onboard network are covered by a software mitigation and tampering prevention device (eg, the components of the onboard network in a zone each covered by a component of the software mitigation and tampering prevention device). This means that one or more of the following advantages can be realized for each of these components. In some cases, compared to prior art techniques, a time to mitigation of a manipulation can be reduced (in some situations, drastically reduced). The (central) device for mitigation and prevention of manipulation, as part of the on-board network, can initiate the mitigation procedures immediately (e.g. within five minutes or within one minute) (e.g. essentially without the aid of systems outside the vehicle). In some examples, the device for mitigating and preventing manipulation can not only initiate a measure, but also carry it out. In other examples, other components of the on-board network can (also) be involved in carrying out the measure. As a result, the mitigation procedures can also be carried out immediately (e.g. within five minutes or within one minute) and the vehicle can be brought into a defined state (e.g. into a safe state according to a predetermined safety criterion). Additionally, the techniques of the present disclosure may be more resource efficient than other approaches. A device for mitigating and preventing manipulation can therefore replace several devices, each of which only covers a part of the components or even just a single component. Additionally, in some cases, existing components may be reused for the techniques of the present disclosure. For example, a persistent memory that is (also) used to update the software (e.g. to store a large update package) of the majority of components of the vehicle can be “reused” to reset the software of a component and to allow manipulation with it remedy. In some cases, no new memory needs to be provided for this purpose. Providing the software for resetting in each of the majority of components significantly increased the design effort of these components (e.g. control units). The techniques can also The present disclosure can be more easily scaled and/or used in older vehicles (not designed to the latest standard) compared to some prior art techniques. For example, the mitigation and tampering prevention device can be relatively easily modified to “maintain” additional components. In some cases, the “supported” components require little or no modification, which makes their use in older vehicles easier. In some cases, the central device for mitigating manipulation itself can also be retrofitted with a software update. For example, an existing component of a vehicle (e.g. a central communication interface of the vehicle or a central computer of the vehicle) can be provided with the (additional) function of a device for mitigation and prevention of manipulation by means of a software update.
Zweitens kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software zwar die Aufgaben der Mitigation und Verhinderung einer Manipulation in einem gewissen Maße zentralisieren (z.B. im Vergleich zu einer Vorrichtung zur Mitigation und Verhinderung einer Manipulation in jeder Komponente eines Bordnetzwerkes). Trotzdem sind die Komponenten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation der vorliegenden Offenbarung in dem Bordnetzwerk verteilt. Diese Verteilung kann unter verschiedenen Gesichtspunkten erfolgen und daher verschiedene Vorteile zeitigen. In manchen Fällen kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software so angeordnet sein, dass die Aufgaben der Mitigation und Verhinderung von Manipulationen in verschiedenen Zonen von verschiedenen Komponenten durchgeführt werden. Die Komponenten können in einer jeweiligen Zone, die sie abdecken, angeordnet sein. In dieser Weise kann das Bordnetzwerk in manchen Fällen entlastet werden, weil eine lokal angeordnete Komponente die Aufgaben zur Mitigation und Verhinderung von Manipulationen übernimmt (im Vergleich zu einem Fall, wo nur eine zentral angeordnete Komponente vorgesehen ist). Ein Kommunikationsaufkommen zwischen entfernten Komponenten kann in diesem Fall reduziert werden. Zusätzlich oder alternativ kann eine Last auf Kommunikationspfaden des Bordnetzwerkes reduziert werden, da Nachrichten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation bereits zu einem früheren Zeitpunkt bearbeitet werden und nicht erst über weite Strecken des Bordnetzwerks (z.B. entlang eines CAN- oder Ethernet-Bus) übertragen werden muss. Weiter zusätzlich oder alternativ kann eine lokale Komponente eine Reaktionszeit der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software verringern (z.B. im Vergleich zu einer zentralen Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software, die von manchen Zonen des Fahrzeugs relativ weit entfernt angeordnet sein kann). Weiter zusätzlich oder alternativ können in manchen Fällen die verteilten Komponenten eine größere Sicherheit gegen Angriffe bieten, die der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software selbst gilt. Auch wenn eine der Komponenten in einer bestimmten Zone betroffen sein sollte, können die weiteren verteilten Komponenten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software weiterhin betriebsfähig bleiben. Weiter zusätzlich oder alternativ kann jede der Komponenten in den einzelnen Zonen auf die Bedürfnisse der jeweiligen Zone zugeschnitten sein. Das kann die Leistungsfähigkeit der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software steigern, ohne gleichzeitig eine Komplexität der einzelnen Komponenten übermäßig zu erhöhen. In anderen Fällen kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software auf verschiedene voneinander entfernte Komponenten (bspw. in verschiedenen Zonen des Fahrzeugs) verteilt sein, die jeweils andere Aufgaben zur Mitigation und Verhinderung einer Manipulation von Software übernehmen. Beispielsweise kann eine erste Komponente ausgelegt sein zum Erkennen der Möglichkeit einer Manipulation in entfernten Komponenten in mehreren Zonen des Bordnetzwerkes. Eine zweite (von der ersten entfernte) Komponente kann ausgelegt sein zum Vorhalten von Software-Komponenten für entfernte Komponenten in mehreren Zonen des Bordnetzwerkes. Eine dritte (von der ersten und von der zweiten entfernte) Komponente kann ausgelegt sein zum Einleiten von Maßnahmen zur Mitigation der Manipulation und/oder Verhinderung einer Wiederholung der Manipulation. Durch das Verteilen der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software nach Aufgaben kann in manchen Fällen die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software in bestehende Bordnetzwerke integriert werden, ohne dass die bestehenden Ressourcen überlastet und daher (übermäßig) erhöht werden müssen. So können beispielsweise die beim Betrieb der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software anfallenden Rechenoperationen von mehreren unterschiedlichen Komponenten des Bordnetzwerks übernommen werden. Das kann verhindern, dass eine einzige Komponente des Bordnetzwerks stark belastet wird, so dass zum Beispiel erheblich perfomantere Hardware vorgesehen werden muss, um die Aufgaben der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software abzuarbeiten. Beispielsweise kann das Vorhalten eines Software-Containers für das gesamte Fahrzeug oder große Teile des Fahrzeugs erhebliche Speicherplatzanforderungen stellen, die nur in bestimmten Komponenten des Fahrzeugs realisiert sind. In diesen bestimmten Komponenten kann nun wiederum nicht genügend Rechenkapazität vorhanden sein, um andere Aufgaben der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software durchzuführen. Zusätzlich oder alternativ kann auch das Verteilen der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software nach Aufgaben auf verschiedene verteilte Komponenten die Sicherheit gegenüber Angriffen erhöhen, da nach einem erfolgreichen Angriff auf eine Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software die anderen entfernten Komponenten weiterhin betriebsfähig bleiben können.Second, the software mitigation and tamper prevention device may centralize the mitigation and tamper prevention tasks to a certain extent (e.g. compared to a software mitigation and tamper prevention device in each component of an on-board network). Nevertheless, the components of the device for mitigating and preventing manipulation of the present disclosure are distributed in the on-board network. This distribution can take place from different points of view and therefore have different advantages. In some cases, the software mitigation and tamper prevention device may be arranged so that the mitigation and tamper prevention tasks are performed in different zones by different components. The components can be arranged in a respective zone that they cover. In this way, the on-board network can be relieved in some cases because a locally located component takes over the tasks of mitigation and prevention of manipulation (compared to a case where only a centrally located component is provided). In this case, communication volume between remote components can be reduced. Additionally or alternatively, a load on communication paths of the on-board network can be reduced, since messages from the device for mitigation and prevention of manipulation are processed at an earlier point in time and are not first transmitted over long distances of the on-board network (e.g. along a CAN or Ethernet bus). must become. Further additionally or alternatively, a local component may reduce a response time of the software mitigation and prevention device (e.g., compared to a central software mitigation and prevention device, which may be located relatively far away from some zones of the vehicle ). Further additionally or alternatively, in some cases the distributed components may provide greater security against attacks on the device itself to mitigate and prevent manipulation of software. Even if one of the components in a particular zone is affected, the other distributed components of the device can remain operational to mitigate and prevent software manipulation. Additionally or alternatively, each of the components in the individual zones can be tailored to the needs of the respective zone. This can increase the performance of the device for mitigating and preventing software manipulation without at the same time unduly increasing the complexity of the individual components. In other cases, the device for mitigating and preventing software manipulation can be distributed across various components that are remote from one another (e.g. in different zones of the vehicle), each of which performs different tasks for mitigating and preventing software manipulation. For example, a first component can be designed to detect the possibility of manipulation in remote components in several zones of the on-board network. A second component (remote from the first) can be designed to provide software components for remote components in several zones of the on-board network. A third component (remote from the first and second) may be designed to initiate measures to mitigate the manipulation and/or prevent a repetition of the manipulation. By distributing the software mitigation and tampering prevention device by task, in some cases the software mitigation and tampering prevention device can be integrated into existing on-board networks without the need to overload and therefore (excessively) increase the existing resources. For example, the computing operations that occur when operating the device for mitigating and preventing manipulation of software can be carried out by several different components of the on-board network. This can prevent a single component of the on-board network from being heavily loaded, so that, for example, considerably more powerful hardware must be provided in order to process the tasks of the device for mitigating and preventing manipulation of software. For example, maintaining a software container for the entire vehicle or large parts of the vehicle can impose significant storage space requirements that are only implemented in certain components of the vehicle. In these particular ones Components may not have enough computing capacity to carry out other tasks of the device to mitigate and prevent manipulation of software. Additionally or alternatively, distributing the device for mitigating and preventing software manipulation according to tasks across different distributed components can also increase security against attacks, since after a successful attack on one component of the device for mitigating and preventing manipulation of software, the others are removed Components can remain operational.
Einige Begriffe werden in der vorliegenden Offenbarung in folgender Weise verwendet:
- Eine „Zone“ eines Bordnetzwerks kann jeder Teil des Bordnetzwerks sein, der nach funktionalen, örtlichen oder anderen Kriterien durch eine Gruppe von Komponenten des Bordnetzwerks gebildet ist. Die Zonen des Bordnetzwerks sind in der Hardware und/oder der Software des Bordnetzwerkes abgebildet (d.h. die Komponenten einer Zone sind aufgrund ihrer Ausgestaltung als dieser Zone zugehörig erkennbar). Zum Beispiel kann eine Zone einen oder mehrere Zonen-Koordinator-Komponenten umfassen, die Abläufe innerhalb der Zone koordinieren oder steuern. In manchen Beispielen kann das Fahrzeug in verschiedene räumliche Zonen aufgeteilt sein. Eine räumliche Zone kann verschiedene Komponenten eines Fahrzeugs umfassen, die physikalisch in einem bestimmten Bereich des Fahrzeugs angeordnet sind (z.B. „hinten rechts“, „vorne links“, „Innenraum vorne“ usw.). Zusätzlich oder alternativ kann das Fahrzeug in verschiedene funktionale Zonen aufgeteilt sein. Eine funktionale Zone kann verschiedene Komponenten eines Fahrzeugs umfassen, die an der Bereitstellung einer bestimmten Funktion des Fahrzeugs teilhaben (z.B. Motorsteuerung, Steuerung des Antriebsstranges, Infotainment, Klimatisierung, Kommunikation usw.). Zusätzlich oder alternativ kann das Fahrzeug in Zonen mit verschiedenen Absicherungsmaßnahmen eingeteilt sein (z.B. eine Firewall oder der Einsatz bestimmter Verschlüsselungstechniken). In diesem Fall kann eine erste Zone Komponenten umfassen, die weniger stark gegen Eingriffe abgesichert sind als die Komponenten einer zweiten Zone (gemäß einer vorbestimmten Metrik).
- Eine „Komponente“ (eines Bordnetzwerks) in der vorliegenden Offenbarung verfügt über eigene Hardwareressourcen, die zumindest einen Prozessor zum Ausführen von Befehlen und Speicher zum Ablegen zumindest einer Software-Komponente umfassen. Der Begriff „Prozessor“ umfasst auch Mehr-Kern-Prozessoren oder mehrere separate Bauteile, die die Aufgaben einer zentralen Verarbeitungseinheit eines elektronischen Geräts übernehmen (und sich diese ggf. teilen). Eine Komponente kann eigenständig Aufgaben ausführen (z.B. Messaufgaben, Überwachungsaufgaben, Steueraufgaben, Kommunikationsaufgaben und/oder andere Arbeitsaufgaben). Eine Komponente kann aber in manchen Beispielen auch von einer anderen Komponente gesteuert werden. Eine Komponente kann physisch abgegrenzt sein (z.B. mit einem eigenen Gehäuse) oder aber in ein übergeordnetes System integriert sein. Eine Komponente kann ein Steuergerät oder ein Kommunikationsgerät des Fahrzeugs sein. Eine Komponente kann ein eingebettetes System sein.
- Ein „eingebettetes System“ ist eine Komponente, die in einen technischen Kontext eingebunden (eingebettet) ist. Dabei übernimmt die Komponente Überwachungs-, Steuerungs- oder Regelfunktionen und/oder ist für eine Form der Daten- bzw. Signalverarbeitung zuständig.
- Ein „(dediziertes) Steuergerät“ ist eine Komponente, das (ausschließlich) eine Funktion eines Fahrzeugs steuert. Ein Steuergerät kann zum Beispiel eine Motorsteuerung, einer Steuerung eines Bremssystems oder eine Steuerung eines Assistenzsystems übernehmen. Eine „Funktion“ kann dabei auf verschiedenen Ebenen des Fahrzeugs definiert sein (z.B. kann für eine Funktion einen einzelnen Sensor oder Aktor, aber auch eine Vielzahl von Baugruppen, die zu einer größeren funktionalen Einheit zusammengefasst sind, eingesetzt werden).
- Der Begriff „Software“ oder „Software-Komponente“ kann grundsätzlich jeder Teil einer Software einer Komponente (z.B. eines Steuergeräts) der vorliegenden Offenbarung sein. Insbesondere kann eine Software-Komponente eine Firmware-Komponente einer Komponente der vorliegenden Offenbarung sein. „Firmware“ ist eine Software, die die in (elektronischen) Komponenten eingebettet ist und dort grundlegende Funktionen leistet. Firmware ist funktional fest mit der jeweiligen Hardware der Komponente verbunden (so dass das eine nicht ohne das andere nutzbar ist). Sie kann in einem nicht-flüchtigen Speicher wie einem Flash-Speicher oder einem EEPROM gespeichert sein.
- Der Begriff „Update-Information“ oder „Software-Update-Information“ umfasst jedwede Daten, die direkt oder nach entsprechenden Verarbeitungsschritten eine Software-Komponente einer Komponente gemäß der vorliegenden Offenbarung bilden. Die Update-Information kann lauffähigen Code enthalten oder noch zu kompilierenden Code. Zusätzlich oder alternativ kann die Update-Information Konfigurationsparameter für eine Komponente enthalten.
- Der Begriff „Manipulation“ umfasst in der vorliegenden Offenbarung jede Veränderung einer Software einer Komponente eines Fahrzeugs. Die Veränderung kann die Folge eines Angriffs sein (d.h. der bewussten Einflussnahme eines Dritten), aber auch Folge einer zufälligen oder unbeabsichtigten Einwirkung.
- Der Begriff „Mitigation“ umfasst alle Maßnahmen, die eine eingetretene oder potentielle Auswirkung einer Manipulation zumindest abmildert. Eine Mitigation kann eine Behebung der Manipulation (d.h. einer Ursache der Auswirkungen der Manipulation) umfassen. Zum Beispiel kann eine vermutlich manipulierte Software-Komponente ersetzt werden. Zusätzlich oder alternative kann eine Mitigation aber auch eine Auswirkung einer Mitigation (sei sie nun bereits eingetreten oder nur zu befürchten) abmildern. Das kann zum Beispiel ein Abschneiden einer betroffenen Komponente von der Bereitstellung bestimmter Funktionen und/oder der Kommunikation umfassen.
- Der Begriff „Fahrzeug“ umfasst jegliche Vorrichtungen, die Passagiere und/oder Fracht transportieren. Ein Fahrzeug kann ein Kraftfahrzeug (zum Beispiel ein PKW oder ein LKW) sein, aber auch ein Schienenfahrzeug. Allerdings können auch schwimmende und fliegende Vorrichtungen Fahrzeuge sein. Fahrzeuge können zumindest teilautonom operierend oder assistiert sein.
- Ein „Bordnetzwerk“ kann jedes interne Netzwerk eines Fahrzeugs sein, über das Komponenten des Fahrzeugs kommunizieren. Das Bordnetzwerk umfasst die Komponenten, die in ihm vernetzt sind (z.B. Steuergeräte und andere Komponenten). In manchen Beispielen ist ein Bordnetzwerk ein Nahbereichsnetzwerk. Ein Bordnetzwerk kann ein oder mehrere Nahbereichs-Kommunikationsprotokolle einsetzen (z.B. zwei oder mehr Nahbereichs-Kommunikationsprotokolle). Die Nahbereichs-Kommunikationsprotokolle können drahtlose oder drahtgebundene Kommunikationsprotokolle sein. Die Nahbereichs-Kommunikationsprotokolle können ein Bus-Protokoll umfassen (bspw. CAN, LIN, MOST, FlexRay oder Ethernet). Die Nahbereichs-Kommunikationsprotokolle können ein Bluetooth-Protokoll (z.B. Bluetooth 5 oder später) oder ein WLAN-Protokoll (z.B. ein Protokoll der IEEE-802.11-Familie, z.B. 802.11h oder ein späteres Protokoll) umfassen. Ein Bordnetzwerk kann Schnittstellen zur Kommunikation mit Systemen außerhalb des Fahrzeugs enthalten und somit auch in andere Netzwerke eingebunden sein. Die Systeme außerhalb des Fahrzeugs und die anderen Netzwerke sind jedoch nicht Teil des Bordnetzwerks.
- Der Ausdruck „Erkennen einer Möglichkeit...“ besagt, dass bestimmte Begebenheiten (z.B. Signale oder deren Ausbeleiben) nach vorbestimmten Regeln interpretiert werden, um einen Zustand zu erkennen, in dem eine Manipulation der Software vorliegen kann.
- A “zone” of an on-board network can be any part of the on-board network that is formed by a group of components of the on-board network according to functional, local or other criteria. The zones of the on-board network are mapped in the hardware and/or software of the on-board network (ie the components of a zone can be recognized as belonging to this zone due to their design). For example, a zone may include one or more zone coordinator components that coordinate or control operations within the zone. In some examples, the vehicle may be divided into different spatial zones. A spatial zone may include various components of a vehicle that are physically located in a specific area of the vehicle (e.g., “rear right,” “front left,” “front interior,” etc.). Additionally or alternatively, the vehicle can be divided into different functional zones. A functional zone may include various components of a vehicle that participate in providing a specific function of the vehicle (e.g. engine control, powertrain control, infotainment, climate control, communication, etc.). Additionally or alternatively, the vehicle can be divided into zones with various security measures (e.g. a firewall or the use of certain encryption techniques). In this case, a first zone may include components that are less secure against tampering than the components of a second zone (according to a predetermined metric).
- A “component” (of an on-board network) in the present disclosure has its own hardware resources that include at least a processor for executing instructions and memory for storing at least one software component. The term “processor” also includes multi-core processors or several separate components that perform (and possibly share) the tasks of a central processing unit of an electronic device. A component can independently perform tasks (e.g. measurement tasks, monitoring tasks, control tasks, communication tasks and/or other work tasks). However, in some examples, a component can also be controlled by another component. A component can be physically separated (e.g. with its own housing) or integrated into a higher-level system. A component can be a control unit or a communication device in the vehicle. A component can be an embedded system.
- An “embedded system” is a component that is integrated (embedded) in a technical context. The component takes on monitoring, control or regulation functions and/or is responsible for some form of data or signal processing.
- A “(dedicated) control unit” is a component that (exclusively) controls one function of a vehicle. A control device can, for example, control an engine, control a braking system or control an assistance system. A “function” can be defined at different levels of the vehicle (e.g. a single sensor or actuator, but also a large number of assemblies that are combined to form a larger functional unit, can be used for a function).
- The term “software” or “software component” can in principle be any part of the software of a component (e.g. a control device) of the present disclosure. In particular, a software component may be a firmware component of a component of the present disclosure. “Firmware” is software that is embedded in (electronic) components and provides basic functions there. Firmware is functionally firmly linked to the respective hardware of the component (so that one cannot be used without the other). It may be stored in non-volatile memory such as flash memory or EEPROM.
- The term “update information” or “software update information” includes any data that forms a software component of a component according to the present disclosure, directly or after appropriate processing steps. The update information can contain executable code or Code still to be compiled. Additionally or alternatively, the update information may contain configuration parameters for a component.
- The term “manipulation” in the present disclosure includes any change to software of a component of a vehicle. The change can be the result of an attack (ie the deliberate influence of a third party), but also the result of accidental or unintentional influence.
- The term “mitigation” includes all measures that at least mitigate the actual or potential impact of manipulation. Mitigation may include eliminating the manipulation (i.e., a cause of the manipulation's effects). For example, a suspected manipulated software component can be replaced. Additionally or alternatively, mitigation can also mitigate the effects of mitigation (whether it has already occurred or is only to be feared). This may include, for example, stopping an affected component from providing certain functions and/or communication.
- The term “vehicle” includes any device that transports passengers and/or cargo. A vehicle can be a motor vehicle (for example a car or a truck), but also a rail vehicle. However, floating and flying devices can also be vehicles. Vehicles can operate at least partially autonomously or be assisted.
- An “onboard network” can be any internal network of a vehicle through which components of the vehicle communicate. The on-board network includes the components that are networked within it (e.g. control units and other components). In some examples, an onboard network is a short-range network. An on-board network may employ one or more short-range communication protocols (eg, two or more short-range communication protocols). The short-range communication protocols can be wireless or wired communication protocols. The short-range communication protocols can include a bus protocol (e.g. CAN, LIN, MOST, FlexRay or Ethernet). The short-range communication protocols may include a Bluetooth protocol (e.g., Bluetooth 5 or later) or a WLAN protocol (e.g., a protocol of the IEEE 802.11 family, e.g., 802.11h or a later protocol). An on-board network can contain interfaces for communication with systems outside the vehicle and can therefore also be integrated into other networks. However, the systems outside the vehicle and the other networks are not part of the onboard network.
- The expression "recognizing a possibility..." means that certain events (e.g. signals or their absence) are interpreted according to predetermined rules in order to recognize a condition in which manipulation of the software may occur.
Kurzbeschreibung der FigurenShort description of the characters
-
1 ist ein Fluss-Diagramm, das die Techniken der vorliegenden Offenbarung illustriert.1 is a flowchart illustrating the techniques of the present disclosure. -
2 zeigt Komponenten eines Bordnetzwerk eines Fahrzeugs, in dem die Techniken der vorliegenden Offenbarung eingesetzt werden können.2 shows components of an onboard network of a vehicle in which the techniques of the present disclosure can be used.
Detaillierte BeschreibungDetailed description
Das Bordnetzwerk 21 des Fahrzeugs 20 umfasst eine Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25. Die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 ist zur Mitigation und Verhinderung einer Manipulation in jeder einer Mehrzahl von verteilten Komponenten 27a-m in einer Mehrzahl von Zonen 41, 42, 43 des Bordnetzwerkes 21 ausgelegt. Die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 ist über mehrere Komponenten 27a, d, m des Bordnetzwerkes 21 verteilt. Eine erste Komponente 27a der mehreren Komponenten 27a, d, m ist in einer ersten Zone 41 der Mehrzahl von Zonen 41, 42, 43 des Bordnetzwerkes 21 angeordnet. Eine zweite Komponente 27d der mehreren Komponenten 27a, d, m ist in einer zweiten Zone 42 der Mehrzahl von Zonen 41, 42, 43 des Bordnetzwerkes 21 angeordnet. In anderen Worten werden die Aufgaben der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 von über mehrere Zonen 41, 42, 43 des Bordnetzwerks 21 verteilten Komponenten 27a, d, m durchgeführt. Der Umfang der Aufgaben und die Art und Weise, in der sie auf die verschiedenen Komponenten 27a, d, m in den verschiedenen Zonen 41, 42, 43 verteilt sind, kann in verschiedenen Beispielen unterschiedlich sein. Weiter unten werden einige beispielhafte Verteilungen genauer besprochen.The onboard network 21 of the
Im Beispiel der
Wie oben beschrieben, können die Zonen in verschiedener Weise gebildet sein.As described above, the zones can be formed in various ways.
In einigen Beispielen kann das Bordnetzwerk 21 in verschiedene räumliche Zonen 41, 42, 43 aufgeteilt sein. Eine räumliche Zone 41, 42, 43 kann verschiedene Komponenten 27a-m eines Fahrzeugs umfassen, die physisch in einem bestimmten Bereich des Fahrzeugs angeordnet sind. Zum Beispiel kann der Innenraum eines Fahrzeuges in eine oder mehrere Zonen aufgeteilt sein. Eine oder mehrere weitere Zonen können sich außerhalb des Innenraums befinden (z.B. eine oder mehrere Zonen an der Vorderseite des Fahrzeugs, eine oder mehrere Zonen an der Rückseite des Fahrzeugs, oder mehrere Zonen an den Seiten des Fahrzeugs und/oder eine oder mehrere Zonen an der Unterseite des Fahrzeugs). In anderen Beispielen kann eine Aufteilung in räumliche Zonen auch ohne Rücksicht auf eine Aufteilung in Innenraum und Außenraum gemäß des Ortes in der jeweiligen Komponente vorgenommen sein.In some examples, the onboard network 21 may be divided into different
In anderen Beispielen kann das Bordnetzwerk 21 in verschiedene funktionale Zonen 41, 42, 43 aufgeteilt sein. Eine funktionale Zone 41, 42, 43 kann verschiedene Komponenten 27a-m eines Fahrzeugs 20 umfassen, die an der Bereitstellung einer bestimmten Funktion des Fahrzeugs teilhaben. Die Funktion kann jede beliebige Funktion des Fahrzeugs 20 sein. Beispielhafte Funktionen sind eine Motorfunktion (z.B. Motorsteuerung und/oder -Überwachung), eine Antriebsstrangfunktion (d.h. Steuerung und/oder Überwachung des Antriebsstranges), eine Getriebefunktion (d.h., Getriebesteuerung und/oder - Überwachung), eine Bremsfunktion (d.h. Bremssteuerung und/oder - Überwachung), eine Batteriefunktion (z.B. Betreiben eines Batterie-Management-Systems), eine Schnittstellen-Funktion (z.B. Betreiben einer Mensch-Maschine-Schnittstelle), eine Lenkfunktion, eine Türsteuerfunktion, eine Telematikfunktion, eine Fahrfunktion (z.B. Betreiben von Assistenz-Systemen oder Systemen zum autonomen Fahren), eine Klimatisierungsfunktion, eine Entertainment-Funktion, eine Sitzsteuerungsfunktion oder eine Türsteuerfunktion. Zwei oder mehrere der oben beschriebenen Funktionen können auch in einer funktionalen Zone untergebracht sein. Zusätzlich oder alternativ kann eine der oben beschriebenen Funktionen auch über mehrere Zonen verteilt sein (z.B. eine separate Zone für die Steuerung jedes Vordersitzes).In other examples, the on-board network 21 can be divided into different
In manchen Beispielen umfasst die Mehrzahl der Zonen 41-43 sowohl funktionale als auch räumliche Zonen (oder zusätzlich weitere Typen an Zonen). Alternativ oder zusätzlich kann das Bordnetzwerk 21 nach mehreren Kriterien in Zonen 41, 42, 43 aufgeteilt sein.In some examples, the majority of zones 41-43 include both functional and spatial zones (or additional types of zones). Alternatively or additionally, the on-board network 21 can be divided into
Eine Zone kann Hardware- und/oder Software-seitig von den anderen Zonen abgegrenzt sein (z.B. die Komponenten einer Zone sind physisch von den Komponenten einer anderen Zone separiert). Zusätzlich oder alternativ kann eine Zone durch ein eigenes Gateway (also eine Kommunikations-Schnittstelle) mit den anderen Zonen kommunizieren (z.B. Kommunikation in die Zone oder aus der Zone heraus wird über das Gateway abgewickelt). Weiter zusätzlich oder alternativ können die Komponenten einer Zone über gemeinsame Absicherungsmaßnahmen verfügen (z.B. eine Firewall, die Kommunikation in die Zone überwacht). In manchen Beispielen können die Komponenten einer Zone über dedizierte Ressourcen verfügen, auf die nur die Komponenten der Zone zugreifen können (bspw. Recheneinheiten, Speicher oder Sub-Netzwerke des Bordnetzwerkes 21).A zone can be separated from the other zones on the hardware and/or software side (e.g. the components of one zone are physically separated from the components of another zone). Additionally or alternatively, a zone can communicate with the other zones through its own gateway (i.e. a communication interface) (e.g. communication into or out of the zone is handled via the gateway). Additionally or alternatively, the components of a zone can have common security measures (e.g. a firewall that monitors communication into the zone). In some examples, the components of a zone may have dedicated resources that only the components of the zone can access (e.g. computing units, storage or sub-networks of the on-board network 21).
Eine Zone 41, 42, 43 kann eine Komponente 27a, 27d enthalten, die als zentraler Kommunikationsknoten für die jeweilige Zone 41, 42, 43 fungiert und/oder Steuerfunktionen für die jeweilige Zone 41, 42, 43 übernimmt. Im Beispiel der
In manchen Beispielen kann die erste Komponente 27a dazu ausgelegt sein, Aufgaben zur Mitigation und Verhinderung von Manipulationen in jeder von verteilten Komponenten 27a-c der ersten Zone 41 auszuführen (z.B. in allen Komponenten der ersten Zone 41 oder nur einem Teil der Komponenten der ersten Zone 41). Zudem ist die erste Komponente 27a nicht dazu ausgelegt, Aufgaben zur Mitigation und Verhinderung von Manipulationen in den mehreren verteilten Komponenten der zweiten Zone 42 (und optional der dritten Zone) auszuführen. In manchen Beispielen ist die erste Komponente 27a nicht in Aufgaben zur Mitigation und Verhinderung von Manipulationen in irgendeiner anderen Zone 42, 43 (z.B. der zweiten Zone 42 oder der dritten Zone 43) des Bordnetzwerkes 21 eingebunden. In manchen Beispielen ist die erste Komponente 27a nur für Aufgaben zur Mitigation und Verhinderung von Manipulationen in der ersten Zone 41 ausgelegt. Das heißt aber nicht unbedingt, dass alle Komponenten 27a, d, m der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 lediglich auf eine einzige Zone einwirken können (dieser Fall ist aber auch möglich, in manchen Beispielen ist die erste Komponente 27a dazu ausgelegt, alle Aktionen der zentralen Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software, die die Komponenten 27a-c der ersten Zone 41 betreffen, auszuführen). So kann es in manchen Beispielen eine oder mehrere Komponenten geben, die an der Durchführung von Aufgaben zur Mitigation und Verhinderung von Manipulationen in mehreren Zonen beteiligt ist. Zusätzlich oder alternativ kann für bestimmte Aufgaben (z.B. Mitigation von Manipulationen mit einem bestimmten Muster) die erste Komponente 27a dazu ausgelegt sein, Aufgaben zur Mitigation und Verhinderung von Manipulationen in verteilten Komponenten 27d-m einer anderen Zone als der ersten Zone 41 auszuführen.In some examples, the
In anderen Worten kann in manchen Beispielen die erste Komponente 27a eine (zentrale) Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 der ersten Zone 41 sein (während die anderen Zonen ebenfalls zonale Vorrichtungen zur Mitigation und Verhinderung einer Manipulation von Software aufweisen). Die verteilte Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 besteht in diesem Fall aus mehreren zumindest teilweise autark arbeiteten Teil-Vorrichtungen.In other words, in some examples, the
In manchen Beispielen kann eine erste Komponente 27a (die die Aufgaben der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software in der ersten Zone 41 ausführt) ein Teil einer Komponente 27a sein, die als zentraler Kommunikationsknoten für die erste Zone 41 fungiert und/oder Steuerfunktionen für die erste Zone 41 übernimmt. Alternativ oder zusätzlich kann die erste Komponente 27a eine separate Komponente (z.B. mit eigenen Hardware-Ressourcen) sein. Weiter zusätzlich oder alternativ kann die erste Komponente 27a über verschiedene Sub-Komponenten in der ersten Zone 41 verteilt sein.In some examples, a
Die zweite Komponente 27d der mehreren Komponenten kann dazu ausgelegt sein, Aufgaben zur Mitigation und Verhinderung von Manipulationen in jeder von mehreren verteilten Komponenten 27d-f der zweiten Zone 42 auszuführen. Zudem kann die zweite Komponente 27d nicht dazu ausgelegt sein, Aufgaben zur Mitigation und Verhinderung von Manipulationen in den mehreren verteilten Komponenten der ersten Zone 41 (und der dritten Zone 43) auszuführen. In manchen Beispielen ist die zweite Komponente 27d nicht in Aufgaben zur Mitigation und Verhinderung von Manipulationen in einer anderen Zone 41, 43 (z.B. der ersten Zone 41 oder der dritten Zone 43) eingebunden. In manchen Beispielen ist die zweite Komponente 27d nur für Aufgaben zur Mitigation und Verhinderung von Manipulationen in der zweiten Zone 42 ausgelegt. Für die zweite Komponente 27d gilt das oben in Bezug auf die erste Komponente 27a Gesagte gleichermaßen. Die zweite Komponente 27d kann wie in Bezug auf die erste Komponente 27a ausgeführt ausgestaltet sein (in manchen Beispielen sind die ersten Komponente 27a und die zweite Komponente 27d gleich ausgestaltet, in anderen Beispielen können die erste Komponente 27a und die zweite Komponente 27d aber auch unterschiedlich ausgestaltet sein).The
In einem konkreten Beispiel kann die erste Zone 41 eine Motorsteuerung umfassen. Die zweite Zone 42 kann eine Steuerung von Innenraumfunktionen umfassen.In a specific example, the
Die dritte Komponente 27m der mehreren Komponenten kann dazu ausgelegt sein, Aufgaben zur Mitigation und Verhinderung von Manipulationen in jeder von mehreren verteilten Komponenten 27g-m der dritten Zone 43 auszuführen. In manchen Beispielen gilt für die dritte Komponente 27m das oben in Bezug auf die erste Komponente 27a Gesagte gleichermaßen. Die dritte Komponente 27m kann wie in Bezug auf die erste Komponente 27a ausgeführt ausgestaltet sein (in manchen Beispielen sind die ersten Komponente 27a und die zweite Komponente 27m gleich ausgestaltet, in anderen Beispielen können die erste Komponente 27a und die zweite Komponente 27m aber auch unterschiedlich ausgestaltet sein). Das Bordnetzwerk 21 kann in manchen Beispielen zudem noch eine oder mehrere weitere Zonen (nicht in
In manchen Beispielen ist die dritte Komponente 27m der mehreren Komponenten dazu ausgelegt, Aufgaben zur Mitigation und Verhinderung von Manipulationen in jeder von mehreren verteilten Komponenten 27g-m der dritten Zone 43 auszuführen und zusätzlich noch dazu, weitere Aufgaben der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 zu übernehmen. Das wird weiter unten genauer beschrieben.In some examples, the
Zusätzlich oder alternativ kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 ausgelegt sein, dass nur eine der verteilten Komponenten 27a,d,m der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 Aufgaben zur Mitigation und Verhinderung einer Manipulation von Software in jeder Zone 41, 42, 43 ausführt. In anderen Worten ist jede Zone 41, 42, 43 nur einer verteilten Komponente 27a,d,m zugeordnet. In manchen Beispielen kann eine Komponente 27a,d,m der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 Aufgaben zur Mitigation und Verhinderung einer Manipulation von Software in mehreren Zonen durchführen. In anderen Worten sind mehrere Zonen (nur) einer Komponente 27a,d,m zugeordnet.Additionally or alternatively, the device for mitigating and preventing manipulation of
In den vorhergehenden Beispielen ist die jeweilige Komponente 27a,d,m der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 jeweils in der Zone 41, 42, 43 des Bordnetzwerkes 21, in deren Komponenten 27a-k die jeweilige Komponente 27a,d,m Aufgaben der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 übernimmt, angeordnet. Das kann - wie oben beschrieben - in manchen Fällen die Belastung des Bordnetzwerkes 21 verringern (da Kommunikation zu entfernten Komponenten wegfallen und/oder nur Kommunikation über kürzere Strecken in dem Bordnetzwerk nötig sein kann). Zusätzlich oder alternativ kann eine Reaktionszeit der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 reduziert werden (da die Komponente, die Aufgaben der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 ausführt, nah an den betroffenen Komponenten angeordnet ist).In the preceding examples, the
In anderen Beispielen kann aber eine Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 in einer anderen Zone angeordnet sein, als die Komponenten, für die diese Komponente Aufgaben zur Mitigation und Verhinderung von Manipulationen übernimmt. Das kann vorteilhaft sein, da eine Manipulation in der entsprechenden Zone in manchen Fällen weniger wahrscheinlich auch die Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 in der entsprechenden Zone betrifft.In other examples, however, a component of the device for mitigating and preventing manipulation of
In manchen Beispielen ist die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 redundant ausgelegt. Zum Beispiel können ein oder mehrere Komponenten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software mehrfach vorahnden sein, so dass, wenn eine der mehrfach vorhandenen Komponenten ausfällt, eine andere der mehrfach vorhandenen Komponenten übernehmen kann. In manchen Beispielen kann auch eine erste Komponente dazu ausgelegt sein, im Falle eines Ausfalls einer zweiten Komponente die Aufgaben der ersten Komponente zu übernehmen. Im Beispiel der
Die Aufgaben der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 umfassen alle Aufgaben, die direkt oder indirekt mit der Mitigation und Verhinderung einer Manipulation von Software zusammenhängen. Die Aufgaben umfassen die Maßnahmen zur Mitigation oder Verhinderung selbst, aber auch vorbereitende Maßnahmen (wie das Erfassen der Manipulationen oder das Bereitstellen der für die Maßnahmen zur Mitigation oder Verhinderung benötigten Daten).The tasks of the device for mitigating and preventing manipulation of
In manchen Beispielen umfassen die Aufgaben zur Mitigation oder Verhinderung einer Manipulation das Erkennen der Möglichkeit einer Manipulation in einer entfernten Komponente. Das Erkennen der Möglichkeit einer Manipulation kann auf verschiedene Weisen von statten gehen. In einem Beispiel kann die Komponente ein Signal von einer entfernten Komponente empfangen, dass die Möglichkeit einer Manipulation anzeigt. In anderen Beispielen (oder zusätzlich) kann das Erkennen der Möglichkeit der Manipulation Detektieren des Ausbleibens eines erwarteten Signals umfassen (z.B. ein Signal, das periodisch oder beim Eintreten bestimmter Ereignisse von der entfernten Komponente zur der Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 geschickt wird). In wieder anderen Beispielen kann die Möglichkeit einer Manipulation durch Beobachten und/oder Analysieren von Datenverkehr in das Bordnetzwerk 21 oder in dem Bordnetzwerk 21 erkannt werden. Zusätzlich oder alternativ kann die Möglichkeit einer Manipulation durch Beobachten und/oder Analysieren des Verhaltens von einer oder mehreren Komponenten 27a-m des Bordnetzwerkes 21 erkannt werden. Zum Beispiel kann eine Signatur einer Manipulation erkannt werden.In some examples, the tasks of mitigating or preventing tampering include detecting the possibility of tampering in a remote component. Recognizing the possibility of manipulation can take place in various ways. In one example, the component may receive a signal from a remote component indicating the possibility of tampering. In other examples (or in addition), detecting the possibility of tampering may include detecting the absence of an expected signal (e.g., a signal that periodically or upon the occurrence of certain events from the remote component to the component of the device for mitigating and preventing tampering of
In manchen Beispielen kann eine separate Detektion der Möglichkeit der Manipulation einer Erkennung der Möglichkeit der Manipulation durch die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 vorausgehen. Die Detektion kann in manchen Beispielen lokal durch entsprechende (Manipulations-)Detektionsvorrichtungen der entsprechenden Komponente geschehen. Eine (Manipulations-)Detektionsvorrichtung einer Komponente (z.B. eines Steuergeräts) kann eine Manipulation erkennen und ein entsprechendes Signal für die Vorrichtung zur Mitigation einer Manipulation von Software 25 erzeugen. Dieses Signal kann dann wie oben besprochen verarbeitet werden, um eine Manipulation zu Erkennen (und ggf. eine Mitigation einzuleiten). In anderen Beispielen oder zusätzlich kann eine (Manipulations)-Detektionsvorrichtung einer zentralen Kommunikationsschnittstelle 27m des Fahrzeugs 20 die Manipulation der Komponente (z.B. eines Steuergeräts) (aus der Entfernung) detektieren und das Signal für die Vorrichtung zur Mitigation einer Manipulation von Software erzeugen. In manchen Beispielen ist die Vorrichtung zur Mitigation einer Manipulation von Software auch für eine Detektion der Manipulation der Software einer Mehrzahl von entfernten Komponenten des Bordnetzwerks ausgelegt. In anderen Beispielen oder zusätzlich kann eine Detektionsvorrichtung eines entfernten Systems 30 (z.B. eines Backends) die Manipulation der Komponente (z.B. eines Steuergeräts) (aus der Entfernung) detektieren und das Signal für die Vorrichtung zur Mitigation einer Manipulation von Software 25 erzeugen. In diesem Beispiel kann das Signal über eine Schnittstelle des Fahrzeugs empfangen werden. Die Detektion der Manipulation kann auf jede erdenkliche Weise geschehen. Zum Beispiel kann eine Software beim Starten („secure boot)“ und/oder im Betrieb („run-time manipulation detection“) mittels einer oder mehrerer Verfahren zur Prüfung der Echtheit und/oder Unverfälschtheit der Software geprüft werden (z.B. unter Verwendung einer oder mehrerer digitaler Signaturen und/oder Prüfmethoden für die Integrität der Software).In some examples, a separate detection of the possibility of tampering may precede detection of the possibility of tampering by the software tampering and
Zusätzlich oder alternativ können die Aufgaben zur Mitigation oder Verhinderung einer Manipulation Vorhalten von Software-Komponenten für eine entfernte Komponente in der jeweiligen Zone des Bordnetzwerkes umfassen (z.B. Update-Information für die Software). Zum Bespiel können für eine Mehrzahl von Komponenten (z.B. Steuergeräten) Software-Komponenten vorgehalten werden. Die Software-Komponenten können einem bestimmten Stand der Software der jeweiligen Komponente entsprechen (z.B. einem letzten auf Echtheit und/oder Integrität überprüften Stand). In manchen Beispielen können die Software-Komponenten für mehrere Komponenten in einem Software-Bündel oder Software-Container enthalten sein (d.h. die Software-Komponenten werden gebündelt bereitgestellt). Das Software-Bündel oder Software-Container (häufig von erheblicher Größe) wird zu einem bestimmten Zeitpunkt an das Fahrzeug 20 übermittelt. In dem Fahrzeug 20 können die übermittelten Software-Komponenten zur Aktualisierung der Software einer Mehrzahl von Komponenten verwendet werden. Dafür kann die von dem entfernte System 30 erhaltenen Software-Komponenten einen oder mehrere Vorbereitungsschritte durchlaufen (z.B., entpacken, Verifikation einer Signatur usw.). Die Software-Komponenten (z.B. in einem Software-Bündel oder Software-Container) können von dem entfernten System 30 über eine Luftschnittstelle 24 und/oder über eine drahtgebundene Schnittstelle 28 empfangen werden.Additionally or alternatively, the tasks for mitigating or preventing manipulation can include maintaining software components for a remote component in the respective zone of the on-board network (e.g. update information for the software). For example, software components can be kept for a number of components (e.g. control units). The software components can correspond to a specific version of the software of the respective component (e.g. a last version checked for authenticity and/or integrity). In some examples, the software components for multiple components may be included in a software bundle or software container (i.e., the software components are provided in a bundled manner). The software bundle or software container (often of significant size) is delivered to the
Die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 kann zum Vorhalten der Software-Komponenten einen oder mehrere persistente Speicher umfassen (d.h. ein Speicher, der seine Information im Fahrzeug dauerhaft - z.B. länger als ein Tag oder länger als eine Woche und/oder während eines Ruhezustands des Fahrzeugs speichert). In manchen Beispielen kann ein persistenter Speicher einen Flash-Speicher umfassen. Ein persistenter Speicher kann dazu ausgelegt sein, Software-Komponenten für jede einer Mehrzahl von Komponenten zu speichern. Dazu kann der persistente Speicher mit einer Speicherkapazität von mehr als 256MB (bevorzugt mehr als 5GB) auegelegt sein.The device for mitigating and preventing manipulation of
In manchen Beispielen können die Software-Komponenten für alle Komponenten, die von der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 abgedeckt werden, an einem einzigen Ort in dem Bordnetzwerk vorgehalten werden. In anderen Beispielen können die Software-Komponenten für die Komponenten, die von der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 abgedeckt werden, an mehreren verteilten Orten (d.h., in Komponenten) vorgehalten werden. Zum Beispiel können Software-Komponenten für die Komponenten einer Zone in der jeweiligen Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 in dieser Zone vorgehalten werden. In anderen Beispielen kann eine Komponente der der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 die Software-Komponenten für alle Komponenten vorhalten, die von der jeweiligen Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 abgedeckt werden.In some examples, the software components for all components covered by the software mitigation and
Zusätzlich oder alternativ können die Aufgaben zur Mitigation oder Verhinderung einer Manipulation das Einleiten und/oder das Durchführen einer Maßnahme zur Mitigation der Manipulation und/oder Verhinderung einer Wiederholung der Manipulation umfassen. Das kann jede zu diesem Zweck geeignete Maßnahme umfassen.Additionally or alternatively, the tasks for mitigating or preventing manipulation may include initiating and/or carrying out a measure for mitigating the manipulation and/or preventing a repetition of the manipulation. This may include any measure suitable for this purpose.
In manchen Beispielen kann die Maßnahme zumindest teilweises Deaktivieren oder Blockieren einer Komponente des Bordnetzwerks 21, die von der aktuellen Manipulation betroffen ist, umfassen. In manchen Beispielen kann nur ein Teil der Komponente deaktiviert oder blockiert werden (z.B. im Falle einer komplexeren Komponente mit mehreren Sub-Komponenten). In anderen Beispielen kann die Komponente vollständig deaktiviert oder blockiert werden. In jedem Fall kann das Deaktivieren oder Blockieren bewirken, dass die Komponente ihre zugedachte Funktion nicht mehr ausführt und/oder nicht mehr in dem Bordnetzwerk kommuniziert.In some examples, the measure may include at least partially deactivating or blocking a component of the on-board network 21 that is affected by the current manipulation. In some examples, only part of the component can be disabled or blocked (e.g. in the case of a more complex component with multiple sub-components). In other examples, the component may be disabled or blocked entirely. In any case, this can be disabled or blocked ckations cause the component to no longer perform its intended function and/or no longer communicate in the on-board network.
Alternativ oder zusätzlich kann die Maßnahme Verschieben einer Funktion der Komponente, die von der aktuellen Manipulation betroffen ist, zu einer weiteren Komponente umfassen.Alternatively or additionally, the measure may include moving a function of the component that is affected by the current manipulation to another component.
Weiter alternativ oder zusätzlich kann die Maßnahme Ändern einer Konfiguration der Komponente des Bordnetzwerks, die von der aktuellen Manipulation betroffen ist und/oder weiterer Komponenten des Bordnetzwerks umfassen. Zum Beispiel kann die erste Komponente von einer ersten Konfiguration mit einem erweiterten Funktionsumfang auf eine zweite Konfiguration mit einem beschränkten Funktionsumfang umgeschaltet werden (z.B. indem die erste Komponente nur noch in beschränktem Maße mit anderen Komponenten kommuniziert, oder indem die erste Komponente nur noch eine Basisfunktion bereitstellt und nicht mehr erweiterte Funktionen, oder indem die erste Komponente eine sicherheitskritische Funktion nicht mehr bereitstellt, aber weiterhin eine nicht sicherheitskritische Funktion bereitstellt).Further alternatively or additionally, the measure can include changing a configuration of the component of the on-board network that is affected by the current manipulation and/or other components of the on-board network. For example, the first component can be switched from a first configuration with an extended range of functions to a second configuration with a limited range of functions (e.g. by the first component only communicating with other components to a limited extent, or by the first component only providing a basic function and no longer provides extended functions, or by the first component no longer providing a safety-critical function but continuing to provide a non-safety-critical function).
Weiter alternativ oder zusätzlich kann die Maßnahme Ändern eines Betriebsmodus der Komponente des Bordnetzwerks, die von der aktuellen Manipulation betroffen ist und/oder weiterer Komponenten des Bordnetzwerks umfassen. Zum Beispiel kann ein Betriebsmodus von einem ersten Betriebsmodus, in dem die Komponente komplexere Funktionen ausführt zu einem zweiten Betriebsmodus, in dem die Komponente eine weniger komplexe Funktionen ausführt, verändert werden. Beispielsweise kann eine Komponente, die eine assistierte oder autonome Funktion bereitstellt, von einem ersten Betriebsmodus mit der Bereitstellung von komplexeren Fahrmanövern (z.B. Fahren schneller als eine bestimmte Geschwindigkeit und/oder unter einem bestimmten Abstand und/oder unter bestimmten Umgebungsbedingungen) auf einen zweiten Betriebsmodus mit der Bereitstellung von weniger komplexen Fahrmanövern umgestellt werden.Further alternatively or additionally, the measure can include changing an operating mode of the component of the on-board network that is affected by the current manipulation and/or other components of the on-board network. For example, an operating mode may be changed from a first operating mode in which the component performs more complex functions to a second operating mode in which the component performs less complex functions. For example, a component that provides an assisted or autonomous function can switch from a first operating mode with the provision of more complex driving maneuvers (e.g. driving faster than a certain speed and/or at a certain distance and/or under certain environmental conditions) to a second operating mode to provide less complex driving maneuvers.
Weiter alternativ oder zusätzlich kann die Maßnahme Absetzen einer Warnung, dass eine Manipulation detektiert wurde, an eine oder mehrere Schnittstellen umfassen (z.B. eine Benutzerschnittstelle des Fahrzeugs). Beispielsweise kann ein Passagier aufgefordert werden, eine Steuerfunktion des Fahrzeugs zumindest teilweise zu übernehmen.Further alternatively or additionally, the measure may include sending a warning that a manipulation has been detected to one or more interfaces (e.g. a user interface of the vehicle). For example, a passenger can be asked to at least partially take over a control function of the vehicle.
Weiter alternativ oder zusätzlich kann die Maßnahme ein Zurücksetzen einer Software der Komponente des Bordnetzwerks, die von der aktuellen Manipulation betroffen ist, und/oder weiterer Komponenten des Bordnetzwerks umfassen (z.B., die Software der Komponenten wird auf einen letzten authentifizierten und/oder integren Stand zurückgesetzt, der einer Version der vor Detektion der Manipulation verwendeten Software entspricht). Die Software-Komponente zum Zurücksetzen kann in einem Speicher der Vorrichtung zur Mitigation von Manipulationen abgelegt sein. In anderen Beispielen kann die Software zum Zurücksetzen von einem entfernten System 30 bezogen werden (z.B. über eine Luftschnittstelle 24 des Fahrzeugs).Further alternatively or additionally, the measure can include resetting a software of the component of the on-board network that is affected by the current manipulation and/or other components of the on-board network (e.g., the software of the components is reset to a last authenticated and/or integrity status , which corresponds to a version of the software used before the manipulation was detected). The software component for resetting can be stored in a memory of the device to mitigate manipulation. In other examples, the reset software may be obtained from a remote system 30 (e.g., via a vehicle air interface 24).
Zusätzlich oder alternativ kann die Maßnahme das Aktualisieren einer Software der Komponente des Bordnetzwerks, die von der aktuellen Manipulation betroffen ist, umfassen. Zusätzlich oder alternativ kann die Maßnahme das Aktualisieren der Software weiterer Komponenten des Bordnetzwerks (d.h. zusätzlich oder statt der ersten Komponente) umfassen. Die weiteren Komponenten können beispielsweise Komponenten sein, die einen Kommunikationspfad zu der ersten Komponente herstellen (z.B. eine Kommunikationsschnittstelle oder ein zentraler Kommunikationsknoten des Fahrzeugs). Das Aktualisieren der Software kann das Ersetzen einer vor der Detektion der Manipulation verwendeten Software durch eine aktuellere Version der Software umfassen. Die Software zum Aktualisieren kann in der zentralen Vorrichtung zur Mitigation von Manipulationen vorgehalten werden. In anderen Beispielen kann die Software zum Zurücksetzen von einem entfernten System 30 bezogen werden (z.B. über eine Luftschnittstelle 24 des Fahrzeugs).Additionally or alternatively, the measure may include updating software of the component of the on-board network that is affected by the current manipulation. Additionally or alternatively, the measure may include updating the software of further components of the on-board network (i.e. in addition to or instead of the first component). The further components can, for example, be components that establish a communication path to the first component (e.g. a communication interface or a central communication node of the vehicle). Updating the software may include replacing software used before the tampering was detected with a more current version of the software. The software for updating can be kept in the central device for mitigating manipulation. In other examples, the reset software may be obtained from a remote system 30 (e.g., via a vehicle air interface 24).
Die oben beschriebenen Maßnahmen können auch kombiniert werden. Zum Beispiel können zwei der beschriebenen ersten Maßnahmen parallel oder nacheinander durchgeführt werden.The measures described above can also be combined. For example, two of the first measures described can be carried out in parallel or one after the other.
Wie bereits weiter oben angesprochen, kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 eine zentrale Komponente (oder mehrere Komponenten) umfassen, die dazu ausgelegt ist, den Betrieb anderer Komponenten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 zu orchestrieren. Zum Beispiel kann die zentrale Komponente die weiteren Komponente im Rahmen einer bestimmten Aufgabe instruieren und/oder koordinieren (z.B. für das Ausführen einer Maßnahme zur Mitigation der Manipulation und/oder Verhinderung einer Wiederholung der Manipulation, in die mehrere andere Komponenten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 eingebunden sind).As discussed above, the software mitigation and
Zusätzlich oder alternativ kann die kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 eine oder mehrere Komponenten umfassen, die dazu ausgelegt ist, für den Betrieb benötigte Daten an die anderer Komponenten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 zu senden. Zusätzlich oder alternativ kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 eine Komponente (oder mehrere Komponenten) umfassen, die für das Ausführen von zonenübergreifender Aufgaben ausgelegt ist.Additionally or alternatively, the device for mitigating and preventing manipulation of
Im Beispiel der
Die zentrale Komponente (z.B. die dritte Komponente in
In manchen Beispielen kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software auch ohne eine zentrale Komponente auskommen. In diesen Beispielen besteht die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software aus mehreren Teilen, die jeweils für sich eine Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software in mehreren verteilten Komponenten darstellt (wie oben beschrieben). In anderen Worten arbeitet jede der Teile eigenständig (d.h. ohne auf die anderen Teile angewiesen zu sein). Zum Beispiel kann jede der oben beschriebenen ersten und zweiten Komponenten 27a,d alle Aufgaben der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software für die erste bzw. zweite Zone 41, 42 ausführen (ohne dabei auf andere Komponenten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software zurückzugreifen). In dieser Weise kann ebenfalls in manchen Fällen verhindert werden, dass die Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software durch einen zentralen Angriff insgesamt ausgeschaltet wird.In some examples, the device for mitigating and preventing software manipulation can also work without a central component. In these examples, the software mitigation and tampering prevention device consists of multiple parts, each of which constitutes a software mitigation and tampering prevention device in multiple distributed components (as described above). In other words, each of the parts works independently (i.e. without relying on the other parts). For example, each of the first and
In den vorangehenden Abschnitten wurde in einigen Beispielen eine Verteilung der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software gezeigt, in der in verschiedenen Zonen des Bordnetzwerks Komponenten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software angeordnet sind, die die Komponenten der jeweiligen Zone abdecken. Die Verteilung der Komponenten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software kann aber auch anders vorgenommen sein.In the previous sections, in some examples, a distribution of the device for mitigating and preventing software manipulation was shown, in which components of the device for mitigating and preventing software manipulation are arranged in different zones of the on-board network, which cover the components of the respective zone . However, the components of the device for mitigating and preventing manipulation of software can also be distributed differently.
In manchen Beispielen ist die erste Komponente 27a ausgelegt zur Durchführung einer erste Aufgabe zur Mitigation oder Verhinderung einer Manipulation für die mehreren Komponenten 27a-c in der ersten Zone 41 und die mehreren Komponenten 27d-f in der zweiten Zone 42 und die zweite Komponente 27d ist ausgelegt zur Durchführung einer zweiten Aufgabe (unterschiedlich von der ersten Aufgabe) zur Mitigation oder Verhinderung einer Manipulation für die mehreren Komponenten 27a-c in der ersten Zone 41 und die mehreren Komponenten 27d-f in der zweiten Zone 42. In anderen Worten arbeiten die ersten und zweiten Komponenten 27a,d zur Mitigation oder Verhinderung einer Manipulation zusammen. Zum Beispiel kann die erste Komponente 27a zur Durchführung einer ersten der oben beschriebenen Aufgaben ausgelegt sein und die zweite Komponente 27d zur Durchführung einer zweiten der oben beschriebenen Aufgaben ausgelegt sein. Zum Beispiel kann die erste Komponente 27a zum Vorhalten der Software-Komponenten für alle von der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 abgedeckten Komponenten 27a-m ausgelegt sein. Zusätzlich oder alternativ kann die zweite Komponente 27d zur Einleitung und/oder Durchführung von Maßnahmen zur Mitigation oder Verhinderung der Wiederholung von Manipulationen in allen von der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 abgedeckten Komponenten 27a-m ausgelegt sein. Zusätzlich oder alternativ kann die dritte Komponente 27m zur Erkennung von Manipulationen in allen von der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software 25 abgedeckten Komponenten 27a-m ausgelegt sein. In anderen Beispielen können die Aufgaben in anderer Weise über die erste bis dritte Komponente oder auch über die erste und zweite Komponente verteilt sein.In some examples, the
Wie vorstehend beschrieben kann die Vorrichtung zur Mitigation und Verhinderung einer Manipulation 25 also mehrere in dem Bordnetzwerk verteilte Komponenten umfassen, die jeweils (nur) zur Durchführung einer oder mehrerer bestimmter Aufgaben zur Mitigation und Verhinderung einer Manipulation für alle abgedeckten Komponenten ausgelegt sind (nicht aber zu der Durchführung anderer Aufgaben zur Mitigation und Verhinderung einer Manipulation). Die verteilten Komponenten zusammen stellen somit die Funktion der Vorrichtung zur Mitigation und Verhinderung einer Manipulation bereit. Auch in diesen Beispielen kann eine Komponente vorgesehen sein, die den Betrieb der anderen Komponenten orchestriert. In manchen Beispielen kann auch die mehreren in dem Bordnetzwerk verteilten Komponenten, die jeweils (nur) zur Durchführung einer oder mehrerer bestimmter Aufgaben zur Mitigation und Verhinderung einer Manipulation für alle abgedeckten Komponenten ausgelegt sind, redundant vorgesehen sein.As described above, the device for mitigation and prevention of
In den vorhergehenden Abschnitten wurden vielfach Komponenten der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software besprochen. Diese Komponenten können in jeder geeigneten Weise implementiert werden. In manchen Beispielen kann eine Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software eine Stand-alone-Vorrichtung sein (d.h. ein dediziertes Modul mit eigenen Hardware- und Softwareressourcen, das Teil des Bordnetzwerks ist und mit den anderen Komponenten des Bordnetzwerks kommunizieren kann). In anderen Beispielen kann eine Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software in andere (bereits vorhandene) Komponente des Bordnetzwerks integriert werden. Die Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software kann dabei als Software-Modul ausgestaltet sein (das in die Software der Komponente eingefügt wird). In anderen Fällen kann die Komponente der Vorrichtung zur Mitigation und Verhinderung einer Manipulation von Software zumindest einige dedizierte Hardware-Komponenten aufweisen (während sie andere Hardware-Komponenten der Komponente, in die sie integriert ist, mitbenutzt). Wie schon erwähnt kann die andere Komponente jede Komponente des Fahrzeugs sein. Beispiele sind eine zentrale Kommunikationsschnittstelle des Bordnetzwerks (in dem insbesondere beispielsweise eine Komponente angeordnet sein kann, die die Operation anderer Komponenten der Vorrichtung orchestriert), ein Zentral-Computer („vehicle computer“) des Fahrzeugs, eine Head-Unit eines Infotainment-Systems oder zentrale Komponenten in Zonen des Bordnetzwerks. In manchen Beispielen kann die andere Komponente ein eingebettetes System in dem Bordnetzwerk sein.In the previous sections, components of the device for mitigating and preventing manipulation of software were discussed many times. These components can be implemented in any suitable manner. In some examples, a component of the software mitigation and tampering prevention device may be a stand-alone device (i.e., a dedicated module with its own hardware and software resources that is part of the on-board network and can communicate with the other components of the on-board network). . In other examples, a component of the device for mitigating and preventing manipulation of software can be integrated into another (already existing) component of the on-board network. The component of the device for mitigating and preventing manipulation of software can be designed as a software module (which is inserted into the software of the component). In other cases, the component of the software mitigation and tampering prevention device may have at least some dedicated hardware components (while sharing other hardware components of the component with which it is integrated). As already mentioned, the other component can be any component of the vehicle. Examples are a central communication interface of the on-board network (in which, for example, a component can be arranged that orchestrates the operation of other components of the device), a central computer ("vehicle computer") of the vehicle, a head unit of an infotainment system or central components in zones of the on-board network. In some examples, the other component may be an embedded system in the onboard network.
In manchen Beispielen kann eine bestehende Komponente des Bordnetzwerkes (z.B. eine zentrale Kommunikationsschnittstelle des Fahrzeugs oder einer Zone des Fahrzeugs, oder ein Zentral-Computer des Fahrzeugs, oder eine Head-Unit eines Infotainment-Systems) durch eine Aktualisierung der Software der Komponente des Bordnetzwerkes als Komponente der Vorrichtung zur Mitigation einer Manipulation von Software eingerichtet werden.In some examples, an existing component of the on-board network (e.g. a central communication interface of the vehicle or a zone of the vehicle, or a central computer of the vehicle, or a head unit of an infotainment system) can be activated by updating the software of the component of the on-board network as Component of the device can be set up to mitigate manipulation of software.
Die Komponenten der Vorrichtung zur Mitigation einer Manipulation von Software oder die andere Komponente, in der sie integriert ist, kann zumindest einen Prozessor (ggf. mit mehreren Kernen) umfassen und Speicher, der Befehle umfasst, die, wenn sie durch den Prozessor ausgeführt werden, die Schritte der Techniken der vorliegenden Offenbarung ausführen.The components of the software tampering mitigation device or the other component in which it is integrated may include at least a processor (possibly with multiple cores) and memory that includes instructions that, when executed by the processor, perform the steps of the techniques of the present disclosure.
Die vorliegende Offenbarung betrifft auch ein Fahrzeug, das ein Bordnetzwerk gemäß einem der vorliegenden Offenbarung umfasst.The present disclosure also relates to a vehicle that includes an on-board network according to one of the present disclosure.
In den vorheergehenden Abschnitten wurden die Techniken der vorliegenden Offenbarung größtenteils anhand der Vorrichtung der
Das Verfahren der
Wie in
Die Aufgaben können zum Beispiel umfassen: Vorhalten 101, 101a von Software-Komponenten für mehrere entfernte Komponenten in der jeweiligen Zone des Bordnetzwerkes. Erkennen 103, 103a der Möglichkeit einer Manipulation in einer der mehreren entfernten Komponente in der jeweiligen Zone des Bordnetzwerkes, und Einleiten und/oder Durchführen 105, 105a einer Maßnahme zur Mitigation der Manipulation und/oder Verhinderung einer Wiederholung der Manipulation.The tasks can include, for example: providing 101, 101a of software components for several remote components in the respective zone of the on-board network. Detecting 103, 103a the possibility of manipulation in one of the several remote components in the respective zone of the on-board network, and initiating and/or implementing 105, 105a a measure to mitigate the manipulation and/or prevent a repetition of the manipulation.
Die vorliegende Offenbarung betrifft weiterhin ein Computer-Programm, das dazu ausgelegt ist, die Techniken der vorliegenden Offenbarung auszuführen (das Befehle enthält, die, wenn sie von einem System ausgeführt werden, das System dazu veranlasst, die Verfahren der vorliegenden Offenbarung auszuführen.The present disclosure further relates to a computer program designed to carry out the techniques of the present disclosure (containing instructions that, when executed by a system, cause the system to carry out the methods of the present disclosure.
Die vorliegende Offenbarung betrifft weiterhin ein computer-lesbares Medium (z.B. eine DVD oder einen Festkörperspeicher), dass ein Computer-Programm der vorliegenden Offenbarung enthält.The present disclosure further relates to a computer-readable medium (e.g., a DVD or solid state memory) that contains a computer program of the present disclosure.
Die vorliegende Offenbarung betrifft weiterhin ein Signal (z.B. ein elektromagnetisches Signal gemäß einem drahtlosen oder drahtgebundenen Kommunikationsprotokoll), dass ein Computer-Programm der vorliegenden Offenbarung codiert.The present disclosure further relates to a signal (e.g., an electromagnetic signal according to a wireless or wired communication protocol) that a computer program of the present disclosure encodes.
Claims (13)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022209778.5A DE102022209778A1 (en) | 2022-09-16 | 2022-09-16 | TECHNIQUES FOR MITIGATION OF MANIPULATION OF AN ONBOARD NETWORK |
CN202311206175.3A CN117728970A (en) | 2022-09-16 | 2023-09-18 | Technique for mitigating on-board network maneuvers |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022209778.5A DE102022209778A1 (en) | 2022-09-16 | 2022-09-16 | TECHNIQUES FOR MITIGATION OF MANIPULATION OF AN ONBOARD NETWORK |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102022209778A1 true DE102022209778A1 (en) | 2024-03-21 |
Family
ID=90062291
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102022209778.5A Pending DE102022209778A1 (en) | 2022-09-16 | 2022-09-16 | TECHNIQUES FOR MITIGATION OF MANIPULATION OF AN ONBOARD NETWORK |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117728970A (en) |
DE (1) | DE102022209778A1 (en) |
-
2022
- 2022-09-16 DE DE102022209778.5A patent/DE102022209778A1/en active Pending
-
2023
- 2023-09-18 CN CN202311206175.3A patent/CN117728970A/en active Pending
Also Published As
Publication number | Publication date |
---|---|
CN117728970A (en) | 2024-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102018209833B4 (en) | Method and device for controlling a safety-related process, and vehicle | |
DE102018122152A1 (en) | SYSTEMS AND METHOD FOR IMPACT DETECTION INTO THE NETWORK IN THE VEHICLE | |
DE102013215721A1 (en) | ON-BOARD NETWORK SYSTEM | |
DE102016215476A1 (en) | ELECTRIC DOOR LOCK | |
DE102018212025A1 (en) | Method for operating an autonomous vehicle and autonomous vehicle | |
DE102018118568A1 (en) | REDUNDANT ACTIVE CONTROL SYSTEM COORDINATION | |
DE102013200535A1 (en) | Method for operating controller area network in motor car, involves transferring data or messages over communication paths of communication network, and checking data and/or messages based on plausibility check of possible data manipulation | |
DE102018116676A1 (en) | Vehicle network with implementation of XCP protocol policy and procedures | |
WO2019141541A1 (en) | Control system for a motor vehicle, method for operating the control system, and motor vehicle having such a control system | |
DE112018005794T5 (en) | System and method for controlling a motor vehicle for autonomous driving | |
DE102013001412A1 (en) | Method for controlling communication between diagnostic interface of vehicle and vehicle network, involves detecting event for requesting release of communication connection between diagnostic interface and vehicle network | |
DE102020208536A1 (en) | GATEWAY DEVICE, ABNORMITY MONITORING PROCEDURES AND STORAGE MEDIUM | |
DE102017209556A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
DE102022209778A1 (en) | TECHNIQUES FOR MITIGATION OF MANIPULATION OF AN ONBOARD NETWORK | |
DE102013200528A1 (en) | Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation | |
DE102014219322B4 (en) | Update of a vehicle control via Car2X | |
DE102021208459B4 (en) | Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle | |
EP3483033A1 (en) | Method and onboard control unit for controlling and/or monitoring components of a rail vehicle | |
EP3246778A1 (en) | Device for reading out data from a safety-critical control device | |
DE102021201236A1 (en) | Method for authenticating a message from an arithmetic unit, arithmetic unit, computer program and vehicle | |
DE102022201898A1 (en) | MITIGATION OF MANIPULATION OF SOFTWARE OF A VEHICLE | |
DE102020200414A1 (en) | Method and device for reconfiguring an automatically driving vehicle in the event of a fault | |
DE102022201895A1 (en) | MITIGATION OF MANIPULATION OF SOFTWARE OF A VEHICLE | |
DE102022208647A1 (en) | TECHNIQUES FOR MITIGATION OF MANIPULATION OF A VEHICLE'S ON-BOARD NETWORK | |
DE102022201896A1 (en) | MITIGATION OF MANIPULATION OF SOFTWARE OF A VEHICLE |