DE102022214195A1 - Verfahren und Recheneinheit zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem - Google Patents

Verfahren und Recheneinheit zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem Download PDF

Info

Publication number
DE102022214195A1
DE102022214195A1 DE102022214195.4A DE102022214195A DE102022214195A1 DE 102022214195 A1 DE102022214195 A1 DE 102022214195A1 DE 102022214195 A DE102022214195 A DE 102022214195A DE 102022214195 A1 DE102022214195 A1 DE 102022214195A1
Authority
DE
Germany
Prior art keywords
sampling
bus
signal
pattern
voltage signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022214195.4A
Other languages
English (en)
Inventor
Arthur Mutter
Eugen Becker
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102022214195.4A priority Critical patent/DE102022214195A1/de
Priority to PCT/EP2023/086608 priority patent/WO2024133238A1/de
Publication of DE102022214195A1 publication Critical patent/DE102022214195A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40026Details regarding a bus guardian
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem (2), in welchem Daten in Nachrichtenrahmen gemäß einer Busspezifikation als Spannungssignal auf Busleitungen (4a, 4b) übertragen werden, wobei Busteilnehmer (6) dazu eingerichtet sind, aus einem Sendesignal (14, 52) von einem Busprotokollcontroller (18) das Spannungssignal auf den Busleitungen zu erzeugen und aus dem Spannungssignal auf den Busleitungen ein Empfangssignal (16, 54) für den Busprotokollcontroller (18) zu bestimmen; umfassend ein Erfassen (110) des Spannungssignals (22, 52) an den Busleitungen; ein Bestimmen (120) eines Abtastzeitraums (60A, 60B, 60C) basierend auf wenigstens einem Signal, das von dem Busprotokollcontroller (18) empfangen oder ausgegeben wird; ein Bilden (130) eines Abtastmusters (58A, 58B, 58C) basierend auf dem erfassten Spannungssignal, wobei an innerhalb des Abtastzeitraums liegenden Abtastzeitpunkten (56) ausgewertet wird, ob oder ob nicht das erfasste Spannungssignal über einer bestimmten Schwellenspannung (26) liegt; ein Vergleichen (140) des Abtastmusters mit wenigstens einem Referenzmuster; und ein Bestimmen (150), dass ein möglicher unerlaubter physischer Zugriff vorliegt, wenn beim Vergleich festgestellt wird, dass das Abtastmuster mit dem wenigstens einen Referenzmuster nicht übereinstimmt oder nicht innerhalb einer Toleranz übereinstimmt.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem sowie eine Recheneinheit zu dessen Durchführung.
  • Hintergrund der Erfindung
  • In Maschinen und Kraftfahrzeugen werden programmierbare Steuergeräte eingesetzt, um diese oder auch Komponenten davon, zu steuern. Beispielsweise kann ein Kraftfahrzeug Steuergeräte zur Motorsteuerung, für das Bremssystem usw. enthalten. Die Steuergeräte umfassen einen Mikrocontroller oder Prozessor mit einem oder typischerweise mit mehreren Prozessor-Kernen, die in einem Speicher gespeicherte Programme ausführen, um die Funktionen des Steuergeräts zu erzielen.
  • Untereinander und mit weiteren Geräten, etwa Sensoren, können die Steuergeräte über einen Bus verbunden sein. Verbreitet ist beispielsweise der CAN-Bus (Controller Area Network), ein auf Differenzspannungen basierender Bus, der Daten bzw. Nachrichten über zwei Busleitungen überträgt; Busleitungen und Busteilnehmer bilden zusammen ein Bussystem.
  • Aus DE 10 2017 208 547 A1 und DE 10 2018 208 118 A1 sind Verfahren bekannt, gemäß derer Charakteristika, etwa Signalflanken, einer Übertragung einer Nachricht über ein Netzwerk ausgewertet werden, wobei anhand der Charakteristika die Herkunft der Nachricht bestimmt wird bzw. die Nachricht authentifiziert wird. In DE 10 2020 213 893 A1 und DE 10 2020 214 099 A1 sind die Verfahren beschrieben, wie durch Auswertung von Reflexionen auf einem CAN-Bus Angriffe erkannt werden können.
  • Offenbarung der Erfindung
  • Erfindungsgemäß werden ein Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem sowie eine Recheneinheit zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Die Erfindung bedient sich der Maßnahme, in einem Bussystem, in welchem Daten in Nachrichtenrahmen gemäß einer Busspezifikation als Spannungssignal auf Busleitungen übertragen werden, wobei Busteilnehmer dazu eingerichtet sind, aus einem Sendesignal das Spannungssignal auf den Busleitungen zu erzeugen und aus dem Spannungssignal auf den Busleitungen ein Empfangssignal zu bestimmen, einen unerlaubten physischen Zugriff zu erkennen, indem an innerhalb eines Abtastzeitraums liegenden Abtastzeitpunkten ausgewertet wird, ob oder ob nicht ein Abtastmuster des Spannungssignals mit wenigstens einem Referenzmuster übereinstimmt. Der Abtastzeitraum wird basierend auf wenigstens einem Signal, das von einem Busprotokollcontroller empfangen oder ausgegeben wird, bestimmt. Entsprechend wird insbesondere der Abtastzeitraum bzw. dessen Startzeitpunkt nicht aus dem Spannungssignal bzw. der Spannung an den Busleitungen bestimmt. Der Abtastzeitraum kann also unabhängig vom zur Bestimmung des Abtastmusters auszuwertenden Spannungssignal bestimmt werden, so dass Korrelationen zwischen Abtastzeitraum und Spannungssignal, die zu einem Nichterkennen eines physischen Zugriffs führen könnten, vermieden werden. Insbesondere wird auch eine größere Auswahlmöglichkeit für geeignete Abtastzeiträume ermöglicht (gegenüber etwa der Möglichkeit, einen Abtastzeitraum mit Pegelübergang im Spannungssignal zu beginnen).
  • Das wenigstens eine Signal, das von dem Busprotokollcontroller empfangen oder ausgegeben wird, umfasst insbesondere das Sendesignal, das vom Busprotokollcontroller üblicherweise an den Bustransceiver gesendet wird, sowie das Empfangssignal, das den umgekehrten Weg durchläuft. Weiterhin umfasst das wenigstens eine Signal ein oder mehrere Zustands- bzw. Statussignale, die vom Busprotokollcontroller ausgegeben werden, und insbesondere logische Informationen über einen vom Busprotokollcontroller momentan verarbeiteten Nachrichtenrahmen enthalten.
  • Bei dem Bussystem kann es sich z.B. um ein auf Differenzspannungen basierendes Bussystem, insbesondere ein CAN-Bussystem (CAN: Controller Area Network; ISO 11898-1, 11898-2; Bosch, CAN Specification, Version 2.0, 1991), handeln, d.h. das Spannungssignal ist ein Differenz-Spannungssignal.
  • In einer Ausgestaltung wird der Abtastzeitraum unter Berücksichtigung des Formats bzw. Aufbaus von Nachrichtenrahmen gemäß der Busspezifikation bestimmt, wobei insbesondere ein Nachrichtenrahmen-Anfangszeitpunkt und/oder ein Nachrichtenrahmen-Zeitraum bestimmt bzw. abgeleitet werden. Der Abtastzeitraum kann dann entsprechend einer vorbestimmten Position relativ zum Nachrichtenrahmen-Anfangszeitpunkt und/oder innerhalb des Nachrichtenrahmen-Zeitraums festgelegt werden. wird. Dabei ist dem beteiligten Busprotokollcontroller (etwa ein CAN-Controller) bekannt, über welchen Zeitraum sich ein Nachrichtenrahmen erstreckt und z.B. auch, wann typischerweise bestimmte Bitfolgen auftreten, bei denen eine Flanke im Spannungssignal auftritt, und dies kann insbesondere durch das o.g. eine oder die mehreren Statussignale signalisiert werden, so dass die Festlegung insbesondere basierend auf im wenigstens einen Signal eingeschlossenen einen oder mehreren Zustands- bzw. Statussignalen erfolgt. Durch diese Ausgestaltung wird ermöglicht, dass geeignete Abtastzeiträume ausgewählt werden, in denen Pegelübergänge im Spannungssignal auftreten, die zu Abtastmustern führen, die charakteristisch für das Bussystem sind.
  • Eine erfindungsgemäße Recheneinheit, z.B. ein Steuergerät eines Kraftfahrzeugs, ist einem Bussystem verbunden bzw. verbindbar und, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung eines erfindungsgemäßen Verfahrens oder Teilen des Verfahrens (z.B., siehe unten, das Erfassungsmodul und/oder das Messzeitpunktmodul und/oder das Vergleichsmodul betreffend) in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Schließlich ist ein maschinenlesbares Speichermedium vorgesehen mit einem darauf gespeicherten Computerprogramm wie oben beschrieben. Geeignete Speichermedien bzw. Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich. Ein solcher Download kann dabei drahtgebunden bzw. kabelgebunden oder drahtlos (z.B. über ein WLAN-Netz, eine 3G-, 4G-, 5G- oder 6G-Verbindung, etc.) erfolgen.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
  • Kurze Beschreibung der Zeichnungen
    • 1 zeigt einen beispielhaften Aufbau eines Bussystems.
    • 2 zeigt eine beispielhafte Anordnung, die für die Durchführung des Verfahrens zur Erkennung unerlaubter physischen Zugriffe auf ein Bussystem verwendet werden kann.
    • 3A, 3B und 3C zeigen verschiedene Möglichkeiten, Abtastzeiträume in einem Bussystem, z.B. einem CAN-Bussystem, zu bestimmen.
    • 4 zeigt ein Ablaufdiagramm gemäß einer beispielhaften Ausgestaltung.
  • Ausführungsform(en) der Erfindung
  • 1 stellt einen beispielhaften Aufbau eines Bussystems 2, insbesondere eines auf Differenzspannungssignalen basierenden Bussystems, wie etwa ein CAN-Bussystem, und einen Angreifer 8 dar. Das Bussystem 2 umfasst einerseits Leitungen 4a, 4b, über die die Spannungssignale übertragen werden und die über Abschlusswiderstände 5a, 5b, welche die zentrale Impedanz des Bussystems darstellen, miteinander verbunden sind, und andererseits mehrere Busteilnehmer 6, die mit den zwei Busleitungen 4a, 4b verbunden sind, um über den Bus mit einander zu kommunizieren. Dazu verwenden die Busteilnehmer Differenzspannungen zwischen den beiden Busleitungen, die mittels Transceivern aus Sendesignalen (TxD) erzeugt werden und ausgelesen werden, um Empfangssignale (RxD) zu erhalten. Beispiele für die Busteilnehmer 6 sind Steuergräte eines Kraftfahrzeugs oder einer Maschine, die Steuerungsdaten übertragen, oder Sensoren, die Sensordaten, etwa zu Steuergeräten, übertragen. Einer der Busteilnehmer umfasst eine Anordnung 10 zur Manipulationserkennung, die im Zusammenhang mit 2 näher erläutert wird; selbstverständlich können auch die anderen Busteilnehmer einen solche umfassen. Der Busteilnehmer, der die Anordnung 10 zur Manipulationserkennung umfasst, kann eine Recheneinheit (z.B. Steuergerät) sein, die noch andere Aufgaben in der Vorrichtung bzw. Maschine, in der das Bussystem eingesetzt wird, wahrnimmt, oder eine gesonderte Recheneinheit, die ausschließlich zur Manipulationserkennung verwendet wird. Der Begriff „Busteilnehmer“ bezeichnet in dieser Anmeldung reguläre Busteilnehmer, denen der Zugriff auf den Bus erlaubt ist, im Gegensatz zu einem „Angreifer“, der unerlaubt auf den Bus zugreift.
  • Der Angreifer 8, etwa ein Gerät, das ebenfalls einen Transceiver bzw. zumindest einen Transmitter oder Receiver aufweist, beispielsweise ein sog. OBD-Stecker, hat physischen Zugang zum Bussystem und kann so eine elektrische Verbindung zu den Leitungen 4a, 4b herstellen (d.h. physischen Zugriff auf das Bussystem erhalten). Somit ist der Angreifer 8 in der Lage, über den Bus übertragene Nachrichten mitzuhören bzw. die entsprechenden Spannungssignale auszulesen und/oder selbst Nachrichten zu senden bzw. entsprechende Spannungssignal zu erzeugen.
  • 2 zeigt eine beispielhafte Anordnung 10, die für die Durchführung des Verfahrens zur Erkennung unerlaubter physischen Zugriffe auf ein Bussystem (z.B. ein CAN-Bussystem) verwendet werden kann. Die Anordnung kann in einem Busteilnehmer, z.B. ein Steuergerät bzw. eine Recheneinheit, realisiert bzw. umfasst sein.
  • Die Anordnung 10 ist mit den Busleitungen 4a, 4b verbunden. Dabei ist ein mit den Busleitungen verbundener Transceiver 12 vorgesehen, der dazu eingerichtet ist, entsprechend der Spezifikation des jeweiligen Busses basierend auf Sendesignalen 14 (typischerweise kurz als TxD bezeichnet) elektrische Spannungssignale auf den Busleitungen zu erzeugen und aus elektrischen Spannungssignalen, die an den Busleitungen anliegen, Empfangssignale 16 (typischerweise kurz als RxD bezeichnet) zu bestimmen. Es ist ein Busprotokollcontroller bzw. Busprotokollmodul 18 (etwa ein CAN-Controller) vorgesehen, der/das dazu eingerichtet ist, zu sendende Daten (d.h. Daten, die der Busteilnehmer zu senden wünscht) in entsprechende Sendesignale 14 umzusetzen und Empfangssignale 16 in entsprechende empfangene Daten umzusetzen. Zu sendende Daten sind z.B. Daten, die der Busteilnehmer zu senden wünscht, und empfangene Daten sind z.B. Daten, die vom Busteilnehmer verarbeitet werden. Soweit entspricht die Anordnung dem an sich bekannten Aufbau bzw. der an sich bekannten Funktionsweise einer Bus-Sende-/Empfangseinrichtung, die in Busteilnehmern vorgesehen ist.
  • Weiter kann ein ebenfalls mit den Busleitungen verbundener Komparator, als Spannungssignal-Komparator 20 bezeichnet, vorgesehen sein, der die Differenzspannung zwischen den Busleitungen bestimmt, d.h. der das Spannungssignal 22 bzw. Differenzspannungssignal, das im Bussystem zur Datenkommunikation verwendet wird, erzeugt. Ein ähnlicher Komparator wird typischerweise im Transceiver eingesetzt, um das Differenzspannungssignal zu erhalten. Entsprechend ist auch denkbar, das Spannungssignal 22 vom Transceiver zu erhalten, statt von einem gesonderten Spannungssignal-Komparator 20. Ein gesonderter Spannungssignal-Komparator 20 ist zweckmäßig, da dessen Schwellenspannung unabhängig (insbesondere vom Transceiver) gewählt bzw. konfiguriert werden kann. In anderen Bussystemen, die nicht ein Differenzspannungssignal zur Datenkommunikation verwenden, kann ein entsprechendes geeignetes Spannungssignal (d.h. in dem Spannungsschwindungen auftreten, die charakteristisch für das Bussystem sind) verwendet bzw. wie nachstehend beschrieben ausgewertet werden.
  • Das Spannungssignal 22 wird mittels eines Komparators, der als Messsignal-Komparator 24 bezeichnet wird, mit einer Schwellenspannung 26 verglichen. Am Ausgang des Messsignal-Komparators 24 wird somit ein Messsignal 28 erhalten, das anzeigt, ob das Spannungssignal 22 über oder nicht über (bzw. über oder unter) der Schwellenspannung 26 liegt. Die Schwellenspannung 26 kann über einen Steuerkanal 30 konfigurierbar bzw. einstellbar sein, wobei auch möglich ist, dass der Steuerkanal 30 einen Leiter umfasst, der mit dem entsprechenden Eingang des Messsignal-Komparators 24 verbunden ist und an dem die Schwellenspannung 26 anliegt, oder der mit einem Spannungssteuerelement verbunden ist, das mit dem entsprechenden Eingang des Messsignal-Komparators 24 verbunden ist. Der Messsignal-Komparator 24 und gegebenenfalls der Spannungssignal-Komparator 20 kann bzw. können als diskrete Elemente zusätzlich zum Transceiver 12 vorgesehen sein oder zusammen mit dem Transceiver 12 in einem Chip integriert sein.
  • Das Messsignal 28 wird von einem Erfassungsmodul 32 erfasst, das dazu eingerichtet ist, das Messsignal 28 an Abtastzeitpunkten abzutasten und Bitmuster basierend auf der Abtastung zu bestimmen, wobei den Bits bzw. Stellen eines Bitmusters jeweils ein Abtastzeitpunkt entspricht. Die Abtastzeitpunkte können z.B. regelmäßig beabstandet sein, d.h. auf einem Zeitraster entsprechend einer Abtastfrequenz liegen. Den Bits bzw. Stellen wird ein erster Wert (z.B. 0) zugewiesen, wenn das Messignal 28 anzeigt, dass das Spannungssignal 22 zum entsprechenden Abtastzeitpunkt über der Schwellenspannung 26 liegt, und ein vom ersten Wert verschiedener zweiter Wert (z.B. 1) zugewiesen, wenn das Messignal 28 anzeigt, dass das Spannungssignal 22 zum entsprechenden Abtastzeitpunkt nicht über (bzw. unter) der Schwellenspannung 26 liegt.
  • Ein Bitmuster wird dabei basierend auf den Abtastzeitpunkten, die innerhalb eines vorgebbaren Abtastzeitraums liegen, bestimmt. D.h. dem Erfassungsmodul 32 wird jeweils ein Abtastzeitraum vorgegeben und dieses bestimmt ein dem Abtastzeitraum zugeordnetes Bitmuster basierend auf den Abtastzeitpunkten, die innerhalb des vorgegebenen Abtastzeitraums liegen. Die Vorgabe von Abtastzeiträumen kann z.B. durch die Vorgabe (mittels geeigneter Signale) eines Startzeitpunkts und einer Zeitdauer oder eines Endzeitpunkts erfolgen. Es kann auch eine festgelegte Zeitdauer, z.B. eine bestimmte Anzahl von Abtastzeitpunkten, verwendet werden.
  • Das Erfassungsmodul 32 ist dazu eingerichtet, Daten 36, d.h. insbesondere die bestimmten Bitmuster, an eine Prozessoreinheit 38, durch die die Bitmuster ausgewertet werden, zu übermitteln.
  • Das Erfassungsmodul 32 kann weiterhin dazu eingerichtet sein, die Schwellenspannung 26 über den Steuerkanal 30 zu konfigurieren bzw. einzustellen.
  • Die Vorgabe von Abtastzeiträumen kann insbesondere durch ein Messzeitpunktmodul 34 erfolgen. Das Messzeitpunktmodul 34 kann (d.h. ist entsprechend eingerichtet) Zustandssignale vom Busprotokollcontroller 18 und/oder das Sendesignal 14 und/oder das Empfangssignal 16 auswerten, um darauf basierend Abtastzeiträume zu bestimmen.
  • Der Busprotokollcontroller kann z.B. im Sende- oder Empfangsmodus sein. Dabei ist der Busprotokollcontroller auf den jeweiligen Nachrichtenrahmen (der von diesem gesendet bzw. empfangen wird) genau synchronisiert. Damit können Bitgrenzen, Abtastzeitpunkte, spezielle Positionen innerhalb des Nachrichtenrahmens bestimmt werden bzw. als einzelne Signale abgegriffen werden und entsprechende Zustandssignale bereitgestellt werden. Die Zustandssignale zeigen bestimmte (zeitliche) Positionen relativ zum Nachrichtenrahmen-Anfangszeitpunkt und/oder innerhalb des Nachrichtenrahmen-Zeitraums an. Im Messzeitpunktmodul können die Zustandssignale, die für die Bestimmung bzw. Festlegung von Abtastzeiträume verwendet werden, ausgewählt und/oder konfiguriert werden. Abtastzeiträume können etwa in zeitlicher Relation zu den ausgewählten bzw. konfigurierten Zustandssignalen gestartet und/oder gestoppt werden. Z.B. kann das Auftreten eines bestimmten Zustandssignals innerhalb eines Nachrichtenrahmens als Startzeitpunkt eines Abtastzeitraums verwendet werden. Der Endzeitpunkt dieses Abtastzeitraums kann dann z.B. eine bestimmte Zeitspanne, die eine vorgegebene zeitliche Länge aufweist, nach dem Startzeitpunkt liegen oder durch ein weiteres bestimmtes Zustandssignal bestimmt sein.
  • Bei der Bestimmung von Abtastzeiträumen bzw. der Festlegung, welche Zeiträume als Abtastzeiträume verwendet werden sollen, kann der Aufbau von Nachrichten entsprechend der jeweiligen Busspezifikation berücksichtigt werden, d.h. es werden z.B. bestimmte Zeiträume innerhalb von Nachrichten bzw. Nachrichtenrahmen (Nachrichtenpaketen, Nachrichtenframes) ausgewählt, etwa Zeiträume, die bestimmte Pegelübergänge (Flanken) im Spannungssignal einschließen. Anhand der Zustandssignale kann erkannt werden, wann der entsprechende Abtastzeitraum auftritt.
  • Die Abtastzeiträume werden insbesondere so ausgewählt bzw. bestimmt, dass sie zu Bitmustern führen, die charakteristisch für das Bussystem sind, die sich also möglicherweise ändern, wenn der physische Aufbau des Bussystems verändert wird (d.h. die elektrischen Eigenschaften, z.B. Kapazität, Impedanz, Induktivität, werden verändert), etwa weil ein Angreifer eine elektrische Verbindung mit den Busleitungen herstellt. Solche Änderungen können erkannt werden, indem jeweilig aktuell bestimmte Bitmuster mit entsprechenden Referenzmustern, die bei einem unveränderten bzw. ursprünglichen Aufbau bzw. Zustand als Bitmuster bestimmt wurden, verglichen werden. Dieser Vergleich kann z.B. durch die Prozessoreinheit 38 (oder ein geeignetes Vergleichsmodul) erfolgen, die dazu Referenzmuster speichert. Wenn beim Vergleich festgestellt wird, dass das Bitmuster dem Referenzmuster gleicht, wird davon ausgegangen, dass kein Angreifer physisch mit dem Bussystem verbunden ist. Wenn andererseits beim Vergleich festgestellt wird, dass das Bitmuster dem Referenzmuster nicht gleicht, wird davon ausgegangen, dass möglicherweise ein Angreifer physisch mit dem Bussystem verbunden ist („möglicherweise“ bzw. „potentiell“, da die Änderung im Bitmuster auch durch eine Fehlfunktion des Bussystems verursacht sein könnte).
  • Es ist möglich, dass die Vorgabe von Abtastzeiträumen von dem Messzeitpunktmodul an das Erfassungsmodul durch eine Signalspannung erfolgt, die innerhalb von Abtastzeiträumen einen ersten Pegel (z.B. High) und außerhalb von Abtastzeiträumen einen zweiten Pegel (z.B. Low) aufweist, erfolgt.
  • Es kann vorgesehen sein, dass Abtastzeiträume verschiedenen Typs, d.h. denen verschiedene Bitmuster bzw. Referenzmuster zugeordnet sind, vorgegeben werden. In diesem Fall kann vorgesehen sein, dass das Messzeitpunktmodul 34 eine entsprechende Kennung, die angibt, welcher Typ vorliegt, an das Erfassungsmodul 32 und von diesem an die Prozessoreinheit 38 (bzw. eine als Vergleichsmodul bezeichnete Einheit, die den Vergleich von aktuellen Bitmustern mit Referenzmustern durchführt) übermittelt oder direkt an die Prozessoreinheit 38 (bzw. eine Einheit, die den Vergleich von aktuellen Bitmustern mit Referenzmustern durchführt) übermittelt. Alternativ kann in diesem Fall vorgesehen sein, dass die Prozessoreinheit 38 (bzw. das Vergleichsmodul) erhaltene aktuelle Bitmuster mit allen Referenzmustern vergleicht bzw. der Reihe nach mit den mehreren Referenzmustern vergleicht, bis eine Übereinstimmung gefunden wird oder festgestellt wird, dass keines der Referenzmuster mit dem aktuellen Bitmuster übereinstimmt.
  • Da geringfügige Variationen im Bussystem, z.B. Schwankungen einer Versorgungsspannung, zu Veränderungen im Bitmuster führen können, ohne dass eine physische Verbindung durch ein anderes Gerät vorliegt, kann beim Vergleich auf Gleichheit innerhalb einer gewissen Toleranz geprüft werden. Etwa kann eine Toleranz in Form einer maximalen Anzahl von Bits bzw. Stellen gegeben sein, um die sich das aktuelle Bitmuster vom Referenzmuster unterscheiden darf. Alternativ oder zusätzlich kann statt mit einem einzelnen Referenzmuster ein Vergleich mit mehreren Referenzmustern, die geringfügigen Variationen entsprechen, erfolgen. Beispielsweise kann ein gegebenes Referenzmuster um ein Bit bzw. eine Stelle verschoben werden, um ein oder zwei weitere Referenzmuster zu bestimmen, oder es können Referenzmuster während eines längeren Betriebszeitraums des Bussystems bestimmt werden, wobei davon ausgegangen wird, dass während des Betriebszeitraums geringfügige Variationen auftreten und entsprechende mögliche unterschiedliche Referenzmuster dabei bestimmt werden können.
  • Im Allgemeinen wird also ein aktuell bestimmtes Bitmuster mit einem oder mehreren Referenzmustern verglichen und, wenn das aktuell bestimmte Bitmuster mit keinem Referenzmuster übereinstimmt oder innerhalb einer Toleranz übereinstimmt, von einem möglichen unerlaubten physischen Zugriff auf das Bussystem ausgegangen.
  • Das Erfassungsmodul, das Messzeitpunktmodul und das Vergleichsmodul (bzw. Prozessoreinheit) bzw. deren Funktionalitäten können durch Hardware- und/oder Softwaremodule implementiert werden. Hierzu ist auch die Verwendung eines generischen Moduls, etwa eines generischen Zeitgebermoduls wie beispielsweise in der EP 2 553 540 A1 beschrieben, möglich.
  • 3A, 3B und 3C zeigen verschiedene Möglichkeiten, Abtastzeiträume in einem Bussystem, nämlich beispielsweise einem CAN-Bussystem, zu wählen, und entsprechende unterschiedliche Abtastmuster zu erhalten.
  • Eingezeichnet sind jeweils ein Sendesignal 50, ein zugehöriges an den Busleitungen anliegende (Differenz-)Spannungssignal 52, ein entsprechendes Empfangssignal 54, ein Messsignal 28, ein Zeitraster 55 mit Abtastzeitpunkten und ein Abtastmuster 58A, 58B, 58C, das für einen Abtastzeitraum 60A, 60B, 60C bestimmt wurde. Bei den Signalen ist jeweils die Spannung gegen die Zeit (die in den Figuren von links nach rechts verläuft) aufgetragen.
  • Das Sendesignal 50 entspricht dem Senden eines sogenannten rezessiven Bits (logisch 1), dem an den Busleitungen das (Differenz-)Spannungssignal 52 entspricht. Das Spannungssignal 52 ist gegenüber dem Sendesignal 50 typischerweise etwas verzögert (z.B. aufgrund der zeitlichen Verzögerung im Transceiver, um die notwendigen Spannungen zu erzeugen). Dabei liegt zunächst eine relativ hohe Differenzspannung vor (im CAN-Bus mindestens 2 V, sogenannter „dominanter Zustand“), die dann über eine fallenden Flanke in eine niedrige Differenzspannung übergeht (im CAN-Bus 0 V, sogenannter „rezessiver Zustand“), um anschließend über eine steigende Flanke wieder in die hohe Differenzspannung überzugehen. Eine solche Pegelabfolge dient im CAN-Bus zur Übertragung eines Bits, das den logischen Wert 1 aufweist, wenn die Zeitspanne zwischen fallender und steigender Flanke eine gemäß der CAN-Bussystemspezifikation vorbestimmte Zeitspanne tBit beträgt.
  • Die physikalische Schicht, d.h. die Busleitungen 4a, 4b zusammen mit den Busteilnehmern 6, weist jedoch elektrische Eigenschaften, insbesondere Induktivitäten und Kapazitäten, auf, die den idealisierten Differenzspannungsverlauf stören. Dies führt zu Störungen wie etwa Änderungen der Steilheit der Flanken, Reflexionen, Schwingungen im Spannungsverlauf und Ähnlichem. Diese Störungen sind abhängig von der konkreten Realisierung der physikalischen Schicht, d.h. von der Auslegung eines tatsächlichen Bussystems (z.B. von der Länge der Leitungen, von der Anzahl der Teilnehmer und wo diese mit den Leitungen verbunden sind, von elektrischen Eigenschaften der Transceiver der Teilnehmer usw.). Der tatsächliche Differenzspannungsverlauf (Spannungssignal 52) ist in den Figuren dargestellt. Hier treten nach der fallenden Flanke Schwingungen 53 in der Differenzspannung auf, die auch als „Ringing“ bezeichnet werden.
  • Da die Störungen von der Auslegung des Bussystems abhängig sind, sind sie charakteristisch für das jeweilige konkrete Bussystem. Wird ein weiterer Teilnehmer oder, wie in 1, ein Angreifer 8 mit dem Bussystem verbunden, führt dies zu einer Änderung der Störungen, so dass ein möglicher Manipulationsversuch bzw. ein möglicher unerlaubter Zugriff auf die physikalische Schicht erkannt werden kann.
  • Das Empfangssignal 54 wird vom Transceiver aus dem Empfangssignal 52 basierend auf einer Erkennungsschwelle 62, die insbesondere durch die Busspezifikation vorgegeben sein kann, erzeugt (z.B. mittels eines Komparators im Transceiver). Typischerweise ist das Empfangssignal 54 gegenüber dem Spannungssignal 52 etwas verzögert.
  • Das Messsignal 28 wird aus dem Spannungssignal 52 durch Vergleich mit der Schwellenspannung 26 bestimmt, beispielweise wie in Zusammenhang mit 2 beschrieben mittels eines Messsignal-Komparators 24. Das Messsignal 28 zeigt an, ob das Spannungssignal 52 über oder nicht über (bzw. über oder unter) der Schwellenspannung 26 liegt. Im ersten Fall (Spannungssignal 52 über Schwellenspannung 26) weist das Messsignal 28 beispielweise einen niedrigen Pegel und im zweiten Fall (Spannungssignal 52 unter Schwellenspannung 26) einen hohen Pegel auf.
  • Diese Spannungs- bzw. Signalverläufe sind in den drei 3A, 3B, 3C die gleichen. Unterschiedliche Abtastmuster ergeben sich durch unterschiedliche Abtastzeiträume.
  • Die Abtastmuster 58A, 58B, 58C (hier binäre Abtastmuster bzw. Bitmuster) werden aus dem Messsignal 28 erhalten, wobei das Messsignal 28 an Abtastzeitpunkten 56 (bzw. Messzeitpunkten), die innerhalb eines jeweiligen Abtastzeitraums liegen, abgetastet bzw. ausgewertet wird. Dabei wird im dargestellten Beispiel dem Abtastmuster ein Wert von 1 (erster Wert) zugewiesen, wenn das Messsignal 28 am entsprechenden Abtastzeitpunkt den hohen Pegel aufweist (Spannungssignal 52 liegt über der Schwellenspannung 26), und ein Wert von 0 (zweiter Wert) zugewiesen, wenn das Messsignal 28 am entsprechenden Abtastzweitpunkt den niedrigen Pegel aufweist (Spannungssignal 52 liegt nicht über bzw. unter der Schwellenspannung 26).
  • Als Abtastzeitpunkte 56 werden diejenigen Zeitpunkte des Zeitrasters 55 (das gleichmäßig beabstandete Zeitpunkte aufweist) verwendet, die innerhalb des jeweiligen Abtastzeitraums 60A, 60B, 60C liegen. Die Abtastzeiträume werden (zeitlich) relativ zum Sendesignal 50 und/oder Empfangssignal 54 bestimmt.
  • In 3A erstreckt sich der Abtastzeitraum 60A vom steigenden Pegelübergang (steigende Flanke) von dominant nach rezessiv im Sendesignal 50 (Startzeitpunkt) bis zum fallenden Pegelübergang (fallende Flanke) von dominant nach rezessiv im Sendesignal 50 (Endzeitpunkt). Die Stellen des Abtastmusters 58A entsprechen den Abtastzeitpunkten 56 im Abtastzeitraum 60A, wobei erkennbar ist, dass das Abtastmuster entsprechend der Schwingungen 53 mehrmals zwischen 0 und 1 wechselt, was die Schwingungen und entsprechend das Bussystem charakterisiert. Beispielsweise ergeben sich bei einer Bitlänge tBit von 2 µs und einer Abtastrate von 80 MHz: 2 µs / 12,5 ns = 160 Abtastungen (Stellenanzahl des Abtastmusters), was 5 Übertragungen mit 32 Bitbreite in einen Speicher entspricht. Beispielsweise ergeben sich bei einer Bitlänge tBit von 2 µs und einer Abtastrate von 160 MHz: 2 µs / 6,25 ns = 320 Abtastungen, was 10 Übertragungen mit 32 Bitbreite in einen Speicher entspricht.
  • In 3B erstreckt sich der Abtastzeitraum 60B vom steigenden Pegelübergang von dominant nach rezessiv im Sendesignal 50 (Startzeitpunkt) bis zu einem Biterfassungszeitpunkt (Endzeitpunkt), an dem das Protokollmodul den Wert des empfangenen Empfangssignals auswertet. Der Biterfassungszeitpunkt (sogenannter Sample Point) ist insbesondere durch die Busspezifikation vorgegeben und bezeichnet einen Zeitpunkt, an dem das Spannungssignal 22 als stabil angenommen wird (beispielsweise eine bestimmte Zeitspanne, etwa 1,7 µs bei einer Bitzeitlänge von tBit von 2 µs, nachdem im Empfangssignal angezeigt wird, dass das Spannungssignal unter die Erfassungsschwelle 62 fällt), der also nach den Schwingungen 53 liegt und somit geeignet ist, das Spannungssignal auszuwerten. Die Stellen des Abtastmusters 58B entsprechen den Abtastzeitpunkten 56 im Abtastzeitraum 60B. Beispielsweise ergeben sich bei einer Bitlänge tBit von 2 µs, einem Biterfassungszeitpunkt bei 1,7 µs und einer Abtastrate von 80 MHz: 1,7 µs / 12,5 ns = 136 Abtastungen, was 4 bis 5 Übertragungen mit 32 Bitbreite in einen Speicher entspricht. Beispielsweise ergeben sich bei einer Bitlänge tBit von 2 µs, einem Biterfassungszeitpunkt bei 1,7 µs und einer Abtastrate von 160 MHz: 1,7 µs / 6,25 ns = 272 Abtastungen, was acht bis neun Übertragungen mit 32 Bitbreite in einen Speicher entspricht. Es müssen also weniger Daten aufgezeichnet werden.
  • In 3C erstreckt sich der Abtastzeitraum 60C vom einem Biterfassungszeitpunkt (Startzeitpunkt) eines vorherigen gesendeten dominanten Bits (unvollständig dargestellt) bis zu dem Biterfassungszeitpunkt (Endzeitpunkt) des aktuellen gesendeten rezessiven Bits (vollständig dargestellt). Die Stellen des Abtastmusters 58C entsprechen den Abtastzeitpunkten 56 im Abtastzeitraum 60C. Die zeitliche Länge des Abtastzeitraums 60C ist gleich der zeitlichen Länge des Abtastzeitraums 60A der 3A, so dass sich hier wieder die oben beispielhaft genannten Abtastungen (Stellenanzahl des Abtastmusters) ergeben. In der Ausgestaltung der 3C wird ausgenutzt, dass der Aufbau von Nachrichtenrahmen, in denen Nachrichten gesendet werden, und die Frequenz, mit der gesendet wird, im Bussystem bzw. entsprechend der Busspezifikation bekannt sind. Entsprechende Start- und Endzeitpunkte für den Abtastzeitraum können also auch aus dem Empfangssignal abgeleitet werden, d.h. die Ausgestaltung der 3C kann auch von einem empfangenden Busteilnehmer implementiert werden (und auch von dem sendenden Busteilnehmer).
  • In den 3A, 3B, 3C ist der Abtastzeitraum jeweils so gewählt, dass Schwingungen nach einem Pegelübergang, die zu charakteristischen Abtastmustern führen, im Abtastzeitraum liegen. In der Ausgestaltung der 3A kann dies direkt aus dem Sendesignal abgeleitet werden, d.h. aus dem Sendesignal ist bekannt, wann ein Pegelübergang von dominant nach rezessiv erfolgt.
  • In den Ausgestaltungen der 3B und 3C können beispielsweise jeweils aus der Busspezifikation bekannte Eigenschaften des Spannungssignals bzw. dessen zeitlichen Ablaufs und des Aufbaus von Nachrichtenrahmen verwendet werden. Der bekannte zeitliche Ablauf (bzw. das Timing) des Spannungssignals schließt insbesondere eine Spezifikation der zeitlichen Länge von Bits und der Biterfassungszeitpunkte ein. Dabei kann aus dem bekannten Aufbau von Nachrichtenrahmen aus dem Empfangssignal (oder Sendesignal oder im Busprotokollcontroller) darauf geschlossen werden, wann für Musterzeiträume geeignete Zeiträume auftreten, z.B. bei welchen Bitfolgen innerhalb des Nachrichtenrahmens eine Änderung des Werts der Bits auftritt, so dass das korrespondierende Spannungssignal im entsprechenden Zeitraum eine fallende Flanke einschließt. Der Aufbau von Nachrichtenrahmen entspricht insbesondere einem in der Busspezifikation spezifizierten Format. Ein Nachrichtenrahmen (bzw. eine Nachricht) enthält mehrere Teile bzw. Felder: neben den eigentlichen zu übertragenden Daten (Datenfeld) typischerweise zusätzliche Felder bzw. Rahmendaten, deren Aufbau in der Busspezifikation festgelegt ist, z.B. Kennungsdaten (z.B. Empfängerkennung, Senderkennung oder, im CAN-Bus, Prioritätskennung bzw. Arbitrations-Kennung) und/oder Steuer- bzw. Verwaltungsdaten (z.B. welche Art von Nachrichtenrahmen, Rahmenanfangsdaten, Rahmenenddaten, Formatdaten oder welche Version der Bus-Implementierung, etwa, im CAN-Bus ‚Classical CAN‘, CAN FD, CAN XL) und/oder Fehlerkorrekturdaten. Diese Rahmendaten, deren Format bekannt ist, können verwendet werden, um geeignete Messzeiträume, für die ein nichttriviales Abtastmuster bestimmt werden kann, zu bestimmen. D.h. es können Messzeiträume so bestimmt werden, dass darin ein geeigneter Pegelübergang, der zu einem für das Bussystem charakteristischem Abtastmuster führt, liegt.
  • Beispielweise können die Steuer- bzw. Verwaltungsdaten aufeinanderfolgende Bits einschließen, die immer die gleich Werte aufweisen, d.h. die immer einen geeigneten Pegelübergang bzw. einen geeigneten Abtastzeitraum einschließen. Die zeitliche Position solcher Übergänge ist auch aus dem Empfangssignal ableitbar.
  • Bezogen auf ein CAN-Bussystem (etwa entsprechend den Standards ISO 11898-1, 11898-2) könnte dies etwa wie nachstehend erläutert erfolgen.
  • Da beim ‚Classic CAN‘ die gesamte CAN-Nachricht mit gleicher Bitrate übertragen wird, hat die genaue Stelle für den Start des Abtastzeitraums keine große Bedeutung. Es sollte lediglich nach dem Arbitrationsfeld sein. Es ist wichtig, den Übergang von Dominant zu Rezessiv zu detektieren. Beispielsweise wird beim dominanten Bit der Abtastzeitraum gestartet und, falls das nächste Bit wieder dominant ist, kann der Abtastzeitraum erneut gestartet werden. Als erste Stelle für den Start des Abtastzeitraums kann der Übergang vom FDF- zum DLC-Bit 3 verwendet werden (für die Benennung der Bits, siehe die obengenannten Standards). Sollte das DLC-Bit 3 nicht rezessiv übertragen werden, so wird das Messfenster bei DLC-Bit 3 nochmals gestartet, usw.
  • ‚CAN FD‘ umfasst zwei Fälle:
    • 1) „Base Frame Format“: Die Flanke von dominant zu rezessiv ist beim Übergang vom IDE- zum FDF-Bit vorhanden. Da diese Format-Bits im ‚CAN FD‘-Rahmen sind, tritt dieser Flankenwechsel immer auf. Der Abtastzeitraum startet z.B. im IDE-Bit bzw. an der Bit-Grenze zum FDF-Bit.
    • 2) „Extended Frame Format“: Die Flanke von dominant zu rezessiv ist beim Übergang vom RRS- zum FDF-Bit vorhanden. Da dies Format-Bits im ‚CAN FD‘-Rahmen sind, tritt dieser Flankenwechsel immer auf. Der Abtastzeitraum startet im RRS-Bit bzw. an der Bit-Grenze zum FDF-Bit.
  • In ‚CAN XL‘ können die gleichen Bits für den Abtastzeitraum verwendet werden, wie beim ‚CAN FD‘-„Base Frame Format“. Gleiche CAN-Identifier sollten in diesem Fall nicht verwendet werden, da sonst während des FDF-Bits noch arbitriert wird (Grund: bei ‚CAN XL‘ ist das FDF-Bit Teil des Arbitrationsfeldes).
  • Alternativ oder zusätzlich kann ein spezieller Testrahmen, der im Datenfeld Daten mit gewünschten Bitübergängen (etwa logisch 0 nach logisch 1, entsprechend dominant nach rezessiv) aufweist, geschickt werden, um das Verfahren durchzuführen. Die Position für der Abtastzeiträume könnte wie zuvor beschrieben im Messzeitpunkt-Modul konfiguriert werden (z.B. von Bit N bis N+1).
  • Da die Schwingungen nach einem Pegelübergang davon abhängig sein können, an welcher Stelle an den Busleitungen das Spannungssignal erzeugt wird, d.h. von welchem Busteilnehmer, kann insbesondere empfängerseitig (z.B. bei Verwendung des Empfangssignals) vorgesehen sein, den Kennungsdaten ein oder mehrere bestimmte Referenzmuster zuzuordnen und/oder nur einen Abtastzeitraum vorzusehen, wenn bestimmte Kennungsdaten erkannt werden.
  • 4 zeigt ein Ablaufdiagramm gemäß einer beispielhaften Ausgestaltung.
  • Im optionalen Schritt 100 wird wenigstens ein Referenzmuster bestimmt. Dabei wird entsprechend der folgenden Schritte 110, 120 und 130 vorgegangen, mit dem Unterschied, dass davon ausgegangen wird, dass kein physischer Zugriff durch ein anderes Gerät (das nicht regulär im Bussystem umfasst ist) besteht. Das Referenzmuster wird also als Abtastmuster während einer Zeitspanne bestimmt, in dem kein physischer Zugriff durch ein anderes Gerät besteht. Wie im Zusammenhang mit 2 erläutert, können dabei auch mehrere Referenzmuster bestimmt werden. Schritt 100 kann z.B. im Rahmen einer ursprünglichen Installation und/oder Konfiguration erfolgen. Auch kann Schritt 100 durchgeführt werden, wenn die Schwellenspannung geändert wurde, und/oder wenn sich Änderungen im Bussystem ergeben, z.B. bei Neuanschluss eines Busteilnehmers.
  • In Schritt 110 wird das Spannungssignal an den Busleitungen erfasst, z.B. als Differenz-Spannungssignal zwischen Spannungen, die an den Busleitungen anliegen.
  • In Schritt 120 wird ein Abtastzeitraum basierend auf wenigstens einem Signal, das von dem Busprotokollcontroller empfangen oder ausgegeben wird, wie z.B. dem Sendesignal und/oder dem Empfangssignal und/oder einem Zustandssignal, bestimmt.
  • In Schritt 130 wird ein Abtastmusters basierend auf dem erfassten Spannungssignal gebildet, wobei an innerhalb des Abtastzeitraums liegenden Abtastzeitpunkten ausgewertet wird, ob oder ob nicht das erfasste Spannungssignal über einer bestimmten Schwellenspannung liegt.
  • In Schritt 140 erfolgt ein Vergleichen des Abtastmusters mit wenigstens einem Referenzmuster. Wenn das Abtastmuster mit wenigstens einem Referenzmuster übereinstimmt oder innerhalb einer Toleranz übereinstimmt, kann in Schritt 145 bestimmt werden, dass kein möglicher unerlaubter physischer Zugriff vorliegt, und das Verfahren ausgehend von Schritt 110 erneut durchgeführt werden (für einen weiteren Abtastzeitraum).
  • Wenn andererseits beim Vergleich festgestellt wird, dass das Abtastmuster mit keinem Referenzmuster übereinstimmt oder innerhalb einer Toleranz übereinstimmt, wird in Schritt 150 bestimmt, dass ein möglicher unerlaubter physischer Zugriff vorliegt. In diesem Fall können geeignete Maßnahmen durchführt werden, etwa eine Benachrichtigung an die Busteilnehmer oder eine externe Stelle geschickt werden, die den möglichen unerlaubten physischen Zugriff anzeigt. Busteilnehmer könnten in Reaktion auf eine solche Benachrichtigung etwa in einen abgesicherten Modus wechseln, in dem nur eingeschränkte Funktionen erfolgen und/oder Nachrichten auf dem Bussystem als nicht vertrauenswürdig erachtet werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102017208547 A1 [0004]
    • DE 102018208118 A1 [0004]
    • DE 102020213893 A1 [0004]
    • DE 102020214099 A1 [0004]
    • EP 2553540 A1 [0032]

Claims (15)

  1. Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem (2), in welchem Daten in Nachrichtenrahmen gemäß einer Busspezifikation als Spannungssignal auf Busleitungen (4a, 4b) übertragen werden, wobei Busteilnehmer (6) dazu eingerichtet sind, aus einem Sendesignal (14, 52) von einem Busprotokollcontroller (18) das Spannungssignal auf den Busleitungen zu erzeugen und aus dem Spannungssignal auf den Busleitungen ein Empfangssignal (16, 54) für den Busprotokollcontroller (18) zu bestimmen; umfassend: Erfassen (110) des Spannungssignals (22, 52) an den Busleitungen; Bestimmen (120) eines Abtastzeitraums (60A, 60B, 60C) basierend auf wenigstens einem Signal, das von dem Busprotokollcontroller (18) empfangen oder ausgegeben wird; Bilden (130) eines Abtastmusters (58A, 58B, 58C) basierend auf dem erfassten Spannungssignal, wobei an innerhalb des Abtastzeitraums liegenden Abtastzeitpunkten (56) ausgewertet wird, ob oder ob nicht das erfasste Spannungssignal über einer bestimmten Schwellenspannung (26) liegt; Vergleichen (140) des Abtastmusters mit wenigstens einem Referenzmuster; und Bestimmen (150), dass ein möglicher unerlaubter physischer Zugriff vorliegt, wenn beim Vergleich festgestellt wird, dass das Abtastmuster mit dem wenigstens einen Referenzmuster nicht übereinstimmt oder nicht innerhalb einer Toleranz übereinstimmt.
  2. Verfahren nach Anspruch 1, wobei der Abtastzeitraum (60A, 60B, 60C) unter Berücksichtigung des Formats bzw. Aufbaus von Nachrichtenrahmen gemäß der Busspezifikation bestimmt wird; wobei insbesondere ein Nachrichtenrahmen-Anfangszeitpunkt und/oder ein Nachrichtenrahmen-Zeitraum bestimmt wird, wobei der Abtastzeitraum entsprechend einer vorbestimmten Position relativ zum Nachrichtenrahmen-Anfangszeitpunkt und/oder innerhalb des Nachrichtenrahmen-Zeitraums festgelegt wird.
  3. Verfahren nach Anspruch 2, wobei die vorbestimmte Position relativ zum Nachrichtenrahmen-Anfangszeitpunkt und/oder innerhalb des Nachrichtenrahmen-Zeitraums als zeitlich relative Position und/oder als relative Position basierend auf im Nachrichtenrahmen enthaltenen Feldern gemäß der Busspezifikation festgelegt wird.
  4. Verfahren nach einem der vorstehenden Ansprüche, wobei beim Bestimmen (120) des Abtastzeitraums ein Startzeitpunkt des Abtastzeitraums (60A, 60B, 60C) bestimmt wird, insbesondere als Übergang im Sendesignal, der einen Pegelübergang im Spannungssignal zur Folge hat.
  5. Verfahren nach Anspruch 4, wobei der Startzeitpunkt des Abtastzeitraums (60A, 60B, 60C) in einem vorgegebenen zeitlichen Abstand zu einem Übergang im Sendesignal und/oder Empfangssignal bestimmt wird.
  6. Verfahren nach einem der vorstehenden Ansprüche, wobei der Abtastzeitraum (60A, 60B, 60C) eine vorgegebene zeitliche Länge aufweist und/oder wobei beim Bestimmen (120) des Abtastzeitraums ein Endzeitpunkt des Abtastzeitraums bestimmt wird.
  7. Verfahren nach Anspruch 6, wobei der Endzeitpunkt des Abtastzeitraums (60A, 60B, 60C) in einem vorgegebenen zeitlichen Abstand zu einem Übergang im Sendesignal und/oder Empfangssignal bestimmt wird.
  8. Verfahren nach einem der vorstehenden Ansprüche, wobei das Abtastmuster (58A, 58B, 58C) ein binäres Abtastmuster ist, dessen Stellen den Abtastzeitpunkten (56) entsprechen, wobei den Stellen jeweils ein erster Wert zugewiesen wird, wenn die erfasste Spannung am entsprechenden Abtastzeitpunkt über der Schwellenspannung liegt, und ein zweiter Wert zugewiesen wird, wenn die erfasste Spannung am entsprechenden Abtastzeitpunkt nicht über der Schwellenspannung liegt; wobei insbesondere, wenn beim Prüfen auf Übereinstimmung zwischen dem Abtastmuster und dem wenigstens einen Referenzmuster die Toleranz berücksichtigt wird, die Toleranz als eine maximale Anzahl von Stellen, in denen eine Abweichung vorliegen darf, gegeben ist.
  9. Verfahren nach einem der vorstehenden Ansprüche, wobei das wenigstens eine Referenzmuster als Abtastmuster in einem Zustand des Bussystems bestimmt wird (100), in dem kein physischer Zugriff durch ein anderes Gerät auf dieses besteht.
  10. Verfahren nach einem der vorstehenden Ansprüche, weiter umfassend ein Bestimmen (145), dass kein unerlaubter physischer Zugriff vorliegt, wenn beim Vergleich festgestellt wird, dass das Abtastmuster mit einem des wenigstens einen Referenzmusters übereinstimmt oder innerhalb einer Toleranz übereinstimmt.
  11. Recheneinheit, die mit einem Bussystem (2) verbunden bzw. verbindbar ist und die dazu eingerichtet ist, alle Verfahrensschritte eines Verfahrens nach einem der vorstehenden Ansprüche durchzuführen.
  12. Recheneinheit nach Anspruch 11, umfassend einen Messsignal-Komparator (24), der dazu eingerichtet ist, das erfasste Spannungssignal (22) mit der Schwellenspannung (26) zu vergleichen, um ein Messsignal (28) zu bestimmen, das anzeigt, ob oder ob nicht das erfasste Spannungssignal über der Schwellenspannung liegt; und insbesondere einen Spannungssignal-Komparator (20), der mit den Busleitungen (4a, 4b) verbunden bzw. verbindbar ist und der dazu eingerichtet ist, das Spannungssignal (22) zu erzeugen.
  13. Recheneinheit nach Anspruch 12, umfassend ein Erfassungsmodul (32), das dazu eingerichtet ist, das Abtastmuster basierend auf dem Messignal (28) zu bestimmen.
  14. Recheneinheit nach einem der Ansprüche 11 bis 13, umfassend ein Messzeitpunktmodul (34), das dazu eingerichtet ist, den Abtastzeitraum basierend auf dem Sendesignal (14) und/oder dem Empfangssignal (16) zu bestimmen.
  15. Recheneinheit nach einem der Ansprüche 11 bis 14, umfassend ein Vergleichsmodul, das dazu eingerichtet ist, das Abtastmuster mit dem wenigstens einen Referenzmuster zu vergleichen und zu bestimmen, ob das Abtastmuster mit keinem des wenigstens einen Referenzmusters übereinstimmt oder innerhalb einer Toleranz übereinstimmt.
DE102022214195.4A 2022-12-21 2022-12-21 Verfahren und Recheneinheit zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem Pending DE102022214195A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022214195.4A DE102022214195A1 (de) 2022-12-21 2022-12-21 Verfahren und Recheneinheit zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
PCT/EP2023/086608 WO2024133238A1 (de) 2022-12-21 2023-12-19 Verfahren und recheneinheit zur erkennung eines unerlaubten physischen zugriffs auf ein bussystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022214195.4A DE102022214195A1 (de) 2022-12-21 2022-12-21 Verfahren und Recheneinheit zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem

Publications (1)

Publication Number Publication Date
DE102022214195A1 true DE102022214195A1 (de) 2024-06-27

Family

ID=89473210

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022214195.4A Pending DE102022214195A1 (de) 2022-12-21 2022-12-21 Verfahren und Recheneinheit zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem

Country Status (2)

Country Link
DE (1) DE102022214195A1 (de)
WO (1) WO2024133238A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2553540A1 (de) 2010-03-31 2013-02-06 Robert Bosch GmbH Schaltungsanordnung für ein datenverarbeitungssystem und verfahren zur datenverarbeitung
DE102017208547A1 (de) 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102018208118A1 (de) 2018-05-23 2019-11-28 Robert Bosch Gmbh Verfahren und Vorrichtung zum Authentifizieren einer über einen Bus übertragenen Nachricht
DE102020213893A1 (de) 2020-11-04 2022-05-05 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE102020214099A1 (de) 2020-11-10 2022-05-12 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2553540A1 (de) 2010-03-31 2013-02-06 Robert Bosch GmbH Schaltungsanordnung für ein datenverarbeitungssystem und verfahren zur datenverarbeitung
DE102017208547A1 (de) 2017-05-19 2018-11-22 Robert Bosch Gmbh Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102018208118A1 (de) 2018-05-23 2019-11-28 Robert Bosch Gmbh Verfahren und Vorrichtung zum Authentifizieren einer über einen Bus übertragenen Nachricht
DE102020213893A1 (de) 2020-11-04 2022-05-05 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE102020214099A1 (de) 2020-11-10 2022-05-12 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem

Also Published As

Publication number Publication date
WO2024133238A1 (de) 2024-06-27

Similar Documents

Publication Publication Date Title
EP3114800B1 (de) Teilnehmerstation für ein bussystem und verfahren zur verbesserung der sendequalität in einem bussystem
EP2695075B1 (de) Verfahren und vorrichtung zur erhöhung der datenübertragungskapazität in einem seriellen bussystem
EP2702495B1 (de) Verfahren und vorrichtung zur an speichergrössen angepassten seriellen datenübertragung
DE102012200997A1 (de) Verfahren und Vorrichtung zur Prüfung der korrekten Funktion einer seriellen Datenübertragung
EP2585935B1 (de) Verfahren und vorrichtung zur datenübertragung mit variabler bitlänge
DE102014226875A1 (de) Netzwerksystem für Fahrzeug und Datenübertragungsverfahren heterogener Kommunikationscontroller in dem gleichen System
DE102017120505A1 (de) System zur Verifikation einer unregistrierten Vorrichtung basierend auf Informationen eines Ethernet-Switchs und Verfahren für dasselbige
DE102019208058A1 (de) Fehlererkennung-Testeinrichtung für eine Teilnehmerstation eines seriellen Bussystems und Verfahren zum Testen von Mechanismen zur Fehlererkennung bei einer Kommunikation in einem seriellen Bussystem
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
EP3531629A1 (de) Teilnehmerstation für ein bussystem und verfahren zur erhöhung der datenrate eines bussystems
WO2020120555A1 (de) Teilnehmerstation für ein serielles bussystem und verfahren zur kommunikation in einem seriellen bussystem
DE102020214099A1 (de) Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
DE102015202242A1 (de) Teilnehmerstation für ein Bussystem und Verfahren zum Betrieb eines Bussystems mit Teilnehmerstationen für unterschiedliche Datenübertragungsstandards
DE102017127428B4 (de) Verfahren und Vorrichtung zum Wiedergeben von Inhalten basierend auf einer Präsentationszeit im Fahrzeugnetzwerk
DE102016224961A1 (de) Teilnehmerstation für ein Bussystem und Verfahren zur Datenübertragung in einem Bussystem
DE102020213893A1 (de) Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
WO2020234465A1 (de) Teilnehmerstation für ein serielles bussystem und verfahren zur kommunikation in einem seriellen bussystem
DE102014210505A1 (de) Übertragungseinheit mit Prüffunktion
DE102010028485B4 (de) Verfahren und Vorrichtung zur Absicherung von über eine Schnittstelle zu übertragenden Datenpaketen
EP3665874B1 (de) Sende-/empfangseinrichtung für ein bussystem und verfahren zur reduzierung einer schwingneigung beim übergang zwischen unterschiedlichen bitzuständen
DE102019213322A1 (de) Ethernet Physical Layer Transceiver für Zweidraht-Bustopologie
DE102022214195A1 (de) Verfahren und Recheneinheit zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem
WO2021047895A1 (de) Emissionsreduktionsvorrichtung und verfahren zur reduktion der emission einer sende-/empfangseinrichtung für ein serielles bussystem
DE102019211980A1 (de) Konfliktdetektor für eine Teilnehmerstation eines seriellen Bussystems und Verfahren zur Kommunikation in einem seriellen Bussystem
DE102019125493A1 (de) Slaveeinrichtung, Bussystem und Verfahren