WO2015139799A1 - Steuergerät in einem kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts - Google Patents

Steuergerät in einem kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts Download PDF

Info

Publication number
WO2015139799A1
WO2015139799A1 PCT/EP2015/000246 EP2015000246W WO2015139799A1 WO 2015139799 A1 WO2015139799 A1 WO 2015139799A1 EP 2015000246 W EP2015000246 W EP 2015000246W WO 2015139799 A1 WO2015139799 A1 WO 2015139799A1
Authority
WO
WIPO (PCT)
Prior art keywords
control device
processor core
processor
communication
motor vehicle
Prior art date
Application number
PCT/EP2015/000246
Other languages
English (en)
French (fr)
Inventor
Niels-Stefan LANGER
Original Assignee
Audi Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi Ag filed Critical Audi Ag
Priority to CN201580014730.XA priority Critical patent/CN106105144B/zh
Priority to US15/127,314 priority patent/US9852093B2/en
Priority to EP15705196.2A priority patent/EP3120518A1/de
Publication of WO2015139799A1 publication Critical patent/WO2015139799A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/20Handling requests for interconnection or transfer for access to input/output bus
    • G06F13/28Handling requests for interconnection or transfer for access to input/output bus using burst mode transfer, e.g. direct memory access DMA, cycle steal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/16Handling requests for interconnection or transfer for access to memory bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/16Handling requests for interconnection or transfer for access to memory bus
    • G06F13/1668Details of memory controller
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/167Interprocessor communication using a common memory, e.g. mailbox
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/544Buffers; Shared memory; Pipes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Definitions

  • the invention relates to a control unit in a motor vehicle, having a communication device for wireless communication in a network having at least one vehicle-external device, a motor vehicle and a method for operating a control device in a motor vehicle.
  • connection to the Internet is usually made via a mobile network.
  • a special control device which may for example be referred to as "Online Connectivity Unit” (OCU).
  • OCU Online Connectivity Unit
  • a communication device may be present, which may be implemented, for example, as a telephone module with an antenna and corresponding electronics.
  • Such communication modules are frequently also referred to as "Network Access Devices” (NAD)
  • NAD Network Access Devices
  • a connection to other vehicle systems starting from the control unit is realized via a bus system of the motor vehicle, modern motor vehicles frequently having a plurality of vehicle buses (bus systems) Connection to one of these bus systems in order to be able to transmit data received from the network to other vehicle systems or from receive this data directed to the network and forward it to the communication device.
  • connection to external networks especially the Internet
  • there is also a risk of attacks on the electronics and software level for example for hacking and / or jamming attacks.
  • the connection to the network via the control unit and the vehicle bus is already a hurdle for potential attackers available, while still increasing the security is always desired.
  • the invention is therefore based on the object to provide an embodiment of a control device, in which an increased security against attacks from an external network, in particular the Internet, is given.
  • a computing device of the control device comprises at least two processor cores, data being exchanged between the communication device and a first processor core exclusively via a second of the processor cores.
  • a processor core which is dedicated exclusively to the data exchange between at least one further processor core and the communication device.
  • the first processor core can thus exchange data with at least one bus system of the motor vehicle and / or at least one further one to be fulfilled by the control unit
  • a dedicated control For example, as one of the already mentioned "Online Connectivity Units", the security aspect is more relevant if the control unit is also to fulfill further functions in the motor vehicle, to which an unauthorized external access, ie through the external network , should be avoided if possible.
  • control device is a network control device with a connection device to a plurality of, in particular all, provided for communication between different vehicle systems bus systems and the first processor core for controlling the exchange of data between the bus systems and between the bus systems and the network is formed.
  • Such network control devices which are often also referred to as "gateways", are already known, since motor vehicles frequently have a plurality of bus systems and certain data must be present in a plurality of these bus systems It is also envisaged to integrate the access to the external network into the network control device so that all data exchange can be regulated in a single location, but higher safety requirements are also conceivable, since the network control device can access all bus systems of the motor vehicle has a central position, which should not be corrupted, and the provision of the second core of the processor especially intended for connection to the external network proves to be particularly expedient since an outstanding security cond is given.
  • the at least one first processor core after expediently vulnerable parts of the software are encapsulated on the second processor core.
  • the network control unit and the connection to the external network for example, that a connection to preferably all vehicle buses is present and therefore data from the network can be given directly to the destination bus system. It is therefore given a broadband connection. If a special, only to a single bus system, such as a CAN bus, connected control unit used all the traffic would have to run to and from the external network on this one bus system, which would be too busy, after most bus systems in their bandwidth are limited.
  • processor cores are part of a multi-core processor.
  • multi-core processors are already known in the prior art and provide the basic hardware structure that allows individual processor cores to assign certain safety-related functions and to largely seal them off.
  • a so-called dual-core processor can be used.
  • a demilitarized zone can be created by the second processor core.
  • the demilitarized zones are already known in the prior art and represent a kind of buffering region provided for security reasons, whose corruption from the outside is uncritical, since only clearly defined accesses to the actual system, realized by the at least one first processor core, are given to their realization will be discussed in more detail below.
  • the second processor core can also be thought of as a kind of "firewall" that protects the actual vehicle systems from the external network, in particular the Internet.
  • the computing device has a memory device, wherein an exclusively addressable by the second processor core memory area for communication between the first and the second processor core is provided.
  • a shared memory is used to facilitate communication between the first and second processor cores, and the use of multi-core processors in the computing device is particularly advantageous since the basis for the corresponding functionality already exists there
  • Multi-core processors usually have a memory device (RAM) that can be used in principle by all processor cores of the multi-core processor and is managed by a control unit, thus making it possible for a specific memory area of the memory device to be addressed only by the second processor core
  • the second processor core also does not receive any access to storage areas of the storage device other than the shared storage area In this way, the data exchange between the processor cores can take place in a defined manner.
  • the computing device can therefore comprise, in particular as part of a multi-core processor, a control unit designed to control the access to the memory device, which can be configured in particular exclusively via the first processor core.
  • control units are also known under the name "Memory Protection Unit” (MPU)
  • MPU Memory Protection Unit
  • a configuration is preferably permitted only via the first processor core, so that even with a compromised second processor core its access rights can not be expanded.
  • the processor cores are designed for communication through the shared memory area via input / output buffers.
  • the corresponding data objects / data packets, which are stored in the input / output buffer, are expediently of a specific, the safety-friendly format and may possibly be checked by the first processor core or a special software module provided there.
  • the input / output buffer is therefore the only, clearly defined interface over which the ideally already processed data can be received from the external network or forwarded to it, so that an extremely high level of security is provided.
  • the second processor core is preferably designed to carry out at least one security check and / or to enhance the security of the format conversion of the data received by the communication device.
  • verification and format conversion can occur within the second processor core, further increasing the overall security of the system and further exploiting the capabilities of the second processor core.
  • the communication device and the computing device are of course connected via a communication connection, which can be realized, for example, as an SPI connection or a USB connection between the second processor core and the communication device.
  • the communication device can expediently be a WLAN interface and / or an interface to a mobile radio network, in particular with the intention of establishing a connection to the Internet.
  • the invention also relates to a motor vehicle having a control unit according to the invention. All embodiments with respect to the control device according to the invention can be analogously transferred to the motor vehicle according to the invention, with which therefore the same advantages can be obtained.
  • the invention also relates to a method for operating a control device in a motor vehicle, comprising a communication device for wireless communication in a at least one vehicle-external device having network and a computing device having at least two processor cores, wherein for data exchange between the communication device and a first processor core exclusively a second the processor cores is used.
  • the statements relating to the control device can be transferred analogously, so that the method according to the invention also allows access to the stated advantages. In particular, it may therefore be a method for operating a control device according to the invention. '
  • Fig. 1 is a schematic diagram of a control device according to the invention.
  • Fig. 2 shows an inventive motor vehicle.
  • control device 1 shows a schematic diagram of a control device 1 according to the invention.
  • this is a network control device (gateway), which consequently has a connection device 3 on the housing 2 to various bus systems 4 of the motor vehicle in which the control device 1 is installed.
  • the control unit 1 has as computing means 5 a multi-core processor 6, here a dual-core processor with two processor cores 7, 8.
  • a communication device 9 is provided, specifically a telephone module 10 (often referred to as NAD - Network Access Device).
  • a suitable antenna 11 which is provided inside or outside of the control unit 1 may be, via a mobile network, a connection in an external network 12, here the Internet, are built.
  • Trained as a network control unit controller 1 can therefore be referred to as "Connected Gateway”.
  • a second processor core 8 of the multi-core processor 6 is exclusively used for transporting data from the communication device 9 to the first processor core 7 and vice versa.
  • the first processor core is designed not only for controlling the exchange of data between the bus system, but also for controlling the exchange of data between the bus systems 4 and the network 12.
  • the second processor core 8 thus forms a kind of protective barrier, wherein a demilitarized zone (DMZ) is concretely created by the second processor core 8.
  • a demilitarized zone (DMZ) is concretely created by the second processor core 8.
  • security checks and security enhancing format conversions of the data received from the communication device 9 are performed.
  • the security is further enhanced by the fact that a clearly defined memory area 15 for data exchange between the first processor core 7 and the second processor core 8 is used in a memory device 14 of the multi-core processor 6.
  • the second processor core 8 only has access to the memory area 15, not to the remaining address area of the memory device 14.
  • a control unit 16 which acts as an MPU - Memory Protection Unit.
  • the control unit 16 is configured so that it can be driven only by the first processor core 7, so that it is not possible to change on the part of the second processor core 8, this memory allocation.
  • the data exchange via the memory area 15 takes place via input / output buffer, wherein a clearly predetermined, safety increasing Exchange format is given, which is characterized for example by certain packet sizes and the like.
  • a communication connection which in the present case is implemented as an SPI connection 22, but can also be a USB connection.
  • a first domain is the vehicle domain 17, which in the present case is designed for the routing between the bus systems 4 and from and to the network 12, with respect to the latter the data transport being clearly defined over the shared memory area 15, the second processor core 8 and the communication device 9 runs.
  • the second processor core 8 forms the adaptation domain 18, in which data can be converted between different formats and security checks can be carried out.
  • a demilitarized zone is created, which means that even if the second processor core 8 is corrupted, an attacker will not gain access to vehicle-relevant functions that would be performed in the first processor core 7, which would have a well-defined and possibly further extent only over the shared memory area 15 Performs security checks.
  • the communication device 9 forms the vehicle-independent backend domain 19.
  • FIG. 2 shows a motor vehicle 20 according to the invention in a schematic diagram.
  • This comprises the control unit 1 as a network control device, which is connected to all vehicle buses 4 for communication with further, here only hinted vehicle systems 21.
  • the bus systems 4 may be bus systems of various types, for example comprising CAN buses, Flexray buses and Ethernet buses. Via the antenna 1 and the communication device 9 as well as in the processor, a secure connection to the Internet is possible in the form of a demilitarized zone, so that externally arriving data is present at the hub for the vehicle buses 4.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Steuergerät (1) in einem Kraftfahrzeug (20), aufweisend eine Kommunikationseinrichtung (9) zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk (12), wobei eine Recheneinrichtung (5) des Steuergeräts (1) wenigstens zwei Prozessorkerne (7, 8) umfasst, wobei ein Datenaustausch zwischen der Kommunikätionseinrichtung (9) und einem ersten Prozessorkern (7) ausschließlich über einen zweiten der Prozessorkerne (8) erfolgt.

Description

Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum
Betrieb eines Steuergeräts
Die Erfindung betrifft ein Steuergerät in einem Kraftahrzeug, aufweisend eine Kommunikationseinrichtung zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk, ein Kraftfahrzeug sowie ein Verfahren zum Betrieb eines Steuergeräts in einem Kraftfahrzeug.
Bei modernen Kraftfahrzeugen wird es immer üblicher, diese auch an externe Netze anzubinden, insbesondere an das Internet. Auf diese Weise können nicht nur Komfortfunktionen realisiert werden, sondern auch mit der Führung des Kraftfahrzeugs in unmittelbarer Verbindung stehende, aktuelle Informationen abgerufen werden, beispielsweise was den Straßenzustand, Wetterverhältnisse und dergleichen angeht. Dabei wird die Verbindung in das Internet meist über ein Mobilfunknetz hergestellt.
Um eine solche„Onlineverbindung" zu einem externen Netzwerk zu realisieren, ist es bekannt, ein spezielles Steuergerät vorzusehen, das beispielsweise als„Online Connectivity Unit" (OCU) bezeichnet werden kann. In einem solchen Steuergerät oder an dieses angeschlossen kann auch eine Kommunikationseinrichtung vorliegen, welche beispielsweise als ein Telefonmodul mit einer Antenne und entsprechender Elektronik realisiert sein kann. Derartige Kommunikationsmodule werden häufig auch als„Network Access Device" (NAD) bezeichnet. Eine Verbindung zu anderen Fahrzeugsystemen ausgehend von dem Steuergerät wird über ein Bussystem des Kraftfahrzeugs realisiert, wobei moderne Kraftfahrzeuge häufig mehrere Fahrzeugbusse (Bussysteme) aufweisen. Das Steuergerät weist üblicherweise mithin eine Verbindung zu einem dieser Bussysteme auf, um aus dem Netzwerk empfangene Daten an andere Fahrzeugsysteme übermitteln zu können oder von diesen an das Netzwerk gerichtete Daten zu empfangen und an die Kommunikationseinrichtung weiterzuleiten.
Immer dann, wenn eine Verbindung zu externen Netzwerken, insbesondere dem Internet, besteht, existiert auch ein Risiko für Angriffe auf der Elektronik- und Softwareebene, beispielsweise für Hacking- und/oder Jammingangriffe. Durch die Anbindung an das Netzwerk über das Steuergerät und den Fahrzeugbus steht bereits eine Hürde für potentielle Angreifer zur Verfügung, wobei dennoch eine Erhöhung der Sicherheit immer gewünscht ist.
Der Erfindung liegt daher die Aufgabe zugrunde, eine Ausgestaltung eines Steuergeräts anzugeben, bei der eine erhöhte Sicherheit gegenüber Angriffen aus einem externen Netzwerk, insbesondere dem Internet, gegeben ist.
Zur Lösung dieser Aufgabe ist bei einem Steuergerät der eingangs genannten Art erfindungsgemäß vorgesehen, dass eine Recheneinrichtung des Steuergeräts wenigstens zwei Prozessorkerne umfasst, wobei ein Datenaustausch zwischen der Kommunikationseinrichtung und einem ersten Prozessorkern ausschließlich über einen zweiten der Prozessorkerne erfolgt.
Das bedeutet, innerhalb des Steuergeräts wird ein Prozessorkern vorgesehen, der sich ausschließlich dem Datenaustausch zwischen wenigstens einem weiteren Prozessorkern und der Kommunikationseinrichtung widmet. Auf diese Weise ist ein mehrstufiges Sicherheitskonzept realisiert, das drei Domänen definiert, nämlich zum einen die fahrzeugunabhängige„backend- Domäne", die durch die Kommunikationseinrichtung realisiert ist, eine .Adaptions-Domäne", die durch den zweiten Prozessorkern gegeben ist, und schließlich die„Fahrzeug-Domäne", die durch den wenigstens einen ersten Prozessorkern gegeben ist und die fahrzeugseitigen Funktionen des Steuergeräts zur Verfügung stellt. Insbesondere kann der erste Prozessorkern mithin den Datenaustausch mit wenigstens einem Bussystem des Kraftfahrzeugs und/oder wenigstens eine weitere durch das Steuergerät zu erfüllende Funktion steuern. Regelt der erste Prozessorkern lediglich den Datenaustausch mit dem Bussystem des Kraftfahrzeugs, ist ein dediziertes Steuerge- rät für die Anbindung an das Netzwerk realisiert, beispielsweise als eine der bereits genannten„Online Connectivity Units". Relevanter wird der Sicherheitsaspekt, wenn das Steuergerät auch weitere Funktionen im Kraftfahrzeug erfüllen soll, auf die ein unberechtigter Zugriff von außen, also durch das externe Netzwerk, möglichst vermieden werden soll.
In diesem Zusammenhang sieht eine besonders vorteilhafte Ausgestaltung der vorliegenden Erfindung vor, dass das Steuergerät ein Vernetzungssteuergerät mit einer Anschlusseinrichtung an mehrere, insbesondere alle, zur Kommunikation zwischen unterschiedlichen Fahrzeugsystemen vorgesehenen Bussysteme ist und der erste Prozessorkern zur Steuerung des Austausche von Daten zwischen den Bussystemen und zwischen den Bussystemen und dem Netzwerk ausgebildet ist. Derartige Vernetzungssteuergeräte, die häufig auch als„Gateway" bezeichnet werden, sind bereits bekannt, nachdem Kraftfahrzeuge häufig mehrere Bussysteme aufweisen und bestimmte Daten in mehreren dieser Bussysteme vorliegen müssen. Ein Vernetzungssteuergerät betreibt also prinzipiell Routing, wobei die beschriebene besonders vorteilhafte Ausgestaltung der vorliegenden Erfindung nun auch vorsieht, den Zugang zu dem externen Netzwerk mit in das Vernetzungssteuergerät zu integrieren, so dass jeglicher Datenaustausch an einem einzigen Ort geregelt werden kann. Dabei sind jedoch auch höhere Anforderungen an die Sicherheit denkbar, nachdem das Vernetzungssteuergerät ja zu bevorzugt allen Bussystemen des Kraftfahrzeugs Zugang hat, mithin eine zentrale Position einnimmt, die nicht korrumpiert werden sollte. Hier erweist sich das Vorsehen des speziell zur Anbindung an das externe Netzwerk gedachten zweiten Prozessorkerns als besonders zweckmäßig, da ein hervorragendes Sicherheitskonzept gegeben ist. Denn selbst ein Kompromittieren des zweiten Prozessorkerns führt noch zu keiner Beeinflussung des eigentlichen Gateway-Prozessorkerns, also des wenigstens einen ersten Prozessorkerns, nachdem zweckmäßigerweise stark angreifbare Teile der Software, beispielsweise ein TCP/IP-Stack, auf dem zweiten Prozessorkern gekapselt sind. Hierzu kommen die Vorteile einer Integration von dem Vernetzungssteuergerät und der Anbindung an das externe Netzwerk, beispielsweise, dass eine Anbindung an bevorzugt alle Fahrzeugbusse vorliegt und mithin Daten aus dem Netzwerk unmittelbar auf das Ziel-Bussystem gegeben werden können. Es ist mithin eine breitbandige Anbindung gegeben. Würde ein spezielles, nur an ein einziges Bussystem, beispielsweise einen CAN-Bus, angeschlossenes Steuergerät verwendet, müsste der gesamte Verkehr zu dem und von dem externen Netzwerk über dieses eine Bussystem laufen, welches zu stark ausgelastet würde, nachdem die meisten Bussysteme in ihrer Bandbreite begrenzt sind. Besteht Kommunikationsbedarf zwischen dem externen Netzwerk und einem anderen Bussystem, wären bei einem nur an ein Bussystem angeschlossenen Steuergerät zwei Fahrzeugbusse„wach" zu halten, so dass ein höherer Ruhestrom gegeben wäre. Bei der hier vorgestellten integrierten Lösung ist mithin ein besseres Ruhestromverhalten zu erreichen. Die Integration bietet zudem ein monetäres Einsparpotential, nachdem bestimmte Hardwarebestandteile nicht mehr benötigt werden.
Vorteilhaft ist es ferner, wenn die Prozessorkerne Teil eines Mehrkernprozessors sind. Derartige Mehrkernprozessoren sind im Stand der Technik bereits bekannt und bieten die grundsätzliche Hardwarestruktur, die es erlaubt, einzelnen Prozessorkernen bestimmte auf die Sicherheit bezogene Funktionen zuzuordnen und diese weitgehend abzuschotten. Beispielsweise kann ein sogenannter Dual Core-Prozessor eingesetzt werden.
Insbesondere kann also durch den zweiten Prozessorkern eine demilitarisierte Zone geschaffen sein. Die demilitarisierten Zonen sind im Stand der Technik bereits bekannt und stellen eine Art aus Sicherheitsgründen vorgesehene Pufferregion dar, deren Korruption von außen unkritisch ist, da nur klar definierte Zugänge zum eigentlichen System, realisiert durch den wenigstens einen ersten Prozessorkern, gegeben sind, auf deren Realisierung im Folgenden noch näher eingegangen wird. Anders ausgedrückt kann man sich im übertragenen Sinne den zweiten Prozessorkern auch als eine Art „Firewall" vorstellen, die die eigentlichen Fahrzeugsysteme gegenüber dem externen Netzwerk, insbesondere dem Internet, schützt. Eine konkrete, besonders bevorzugte Ausgestaltung der vorliegenden Erfindung sieht vor, dass die Recheneinrichtung eine Speichereinrichtung aufweist, wobei ein von dem zweiten Prozessorkern ausschließlich adressierbarer Speicherbereich zur Kommunikation zwischen dem ersten und dem zweiten Prozessorkern vorgesehen ist. Es wird also ein geteilter Speicher („shared memory") eingesetzt, um die Kommunikation zwischen dem ersten und dem zweiten Prozessorkern zu ermöglichen. Der Einsatz von Mehrkernprozessoren in der Recheneinrichtung ist dabei besonders vorteilhaft, da die Grundlagen für die entsprechende Funktionalität dort bereits gegeben sind. Mehrkernprozessoren weisen meist eine Speichereinrichtung (RAM) auf, die von allen Prozessorkernen des Mehrkernprozessors grundsätzlich verwendet werden kann und durch eine Steuereinheit verwaltet wird. Mithin ist es realisierbar, dass ein bestimmter Speicherbereich der Speichereinrichtung nur durch den zweiten Prozessorkern angesprochen werden kann, wobei zudem der zweite Prozessorkern auch keinerlei Zugriff auf andere Speicherbereiche der Speichereinrichtung als den geteilten Speicherbereich erhält. Auf diese Weise kann der Datenaustausch zwischen den Prozessorkernen auf eine definierte Art und Weise erfolgen.
Die Recheneinrichtung kann mithin insbesondere als Teil eines Mehrkernprozessors eine zur Steuerung des Zugriffs auf die Speichereinrichtung ausgebildete Steuereinheit umfassen, die insbesondere ausschließlich über den ersten Prozessorkern konfigurierbar ist. Derartige Steuereinheiten sind auch unter dem Namen„Memory Protection Unit" (MPU) bekannt. Vorliegend ist eine Konfiguration bevorzugt nur über den ersten Prozessorkern erlaubt, so dass auch bei kompromittiertem zweiten Prozessorkern dessen Zugriffsrechte nicht erweiterbar sind.
Eine zweckmäßige Weiterbildung sieht vor, dass die Prozessorkerne zur Kommunikation durch den geteilten Speicherbereich über Ein- /Ausgabepuffer ausgebildet sind. Die entsprechenden Datenobjekte/ Datenpakete, die in dem Ein-/Ausgabepuffer abgelegt werden, sind dabei zweckmäßigerweise von einem bestimmten, der Sicherheit zuträglichen Format und können seitens des ersten Prozessorkerns bzw. also eines speziellen dort vorgesehenen Softwaremoduls gegebenenfalls noch überprüft werden. Der Ein-/Ausgabepuffer stellt mithin die einzige, klar definierte Schnittstelle dar, über die die idealerweise bereits aufbereiteten Daten aus dem externen Netzwerk empfangen bzw. an dieses weitergegeben werden können, so dass eine äußerst hohe Sicherheit gegeben ist.
Vorzugsweise ist der zweite Prozessorkern zur Durchführung wenigstens einer Sicherheitsüberprüfung und/oder zu einer die Sicherheit erhöhenden Formatumwandlung der von der Kommunikationseinrichtung empfangenen Daten ausgebildet. Insbesondere kann dann, wenn Daten mit dem TCP/IP- Protokoll empfangen werden, eine Überprüfung und Formatumwandlung innerhalb des zweiten Prozessorkerns erfolgen, was die Gesamtsicherheit des Systems weiter erhöht und die Möglichkeiten des zweiten Prozessorkerns weiter ausnutzt.
Allgemein sind die Kommunikationseinrichtung und die Recheneinrichtung selbstverständlich über eine Kommunikationsverbindung verbunden, die beispielsweise als eine SPI-Verbindung oder eine USB-Verbindung zwischen dem zweiten Prozessorkern und der Kommunikationseinrichtung realisiert werden kann.
Schließlich sei noch angemerkt, dass die Kommunikationseinrichtung zweckmäßigerweise eine WLAN-Schnittstelle und/oder eine Schnittstelle zu einem Mobilfunknetz sein kann, insbesondere mit der Absicht, eine Verbindung zum Internet herzustellen.
Neben dem Steuergerät betrifft die Erfindung auch ein Kraftfahrzeug, das ein erfindungsgemäßes Steuergerät aufweist. Sämtliche Ausführungen bezüglich des erfindungsgemäßen Steuergeräts lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen, mit welchem mithin dieselben Vorteile erhalten werden können. Schließlich betrifft die Erfindung auch ein Verfahren zum Betrieb eines Steuergeräts in einem Kraftfahrzeug, aufweisend eine Kommunikationseinrichtung zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk und eine Recheneinrichtung mit wenigstens zwei Prozessorkernen, wobei zum Datenaustausch zwischen der Kommunikationseinrichtung und einem ersten Prozessorkern ausschließlich ein zweiter der Prozessorkerne verwendet wird. Auch bezüglich des erfindungsgemäßen Verfahrens gilt, dass sich die Ausführungen bezüglich des Steuergeräts sinngemäß übertragen lassen, so dass auch das erfindungsgemäße Verfahren Zugang zu den genannten Vorteilen erlaubt. Insbesondere kann es sich also um ein Verfahren zum Betrieb eines erfindungsgemäßen Steuergeräts handeln. '
Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnungen. Dabei zeigen:
Fig. 1 eine Prinzipskizze eines erfindungsgemäßen Steuergeräts, und
Fig. 2 ein erfindungsgemäßes Kraftfahrzeug.
Fig. 1 zeigt eine Prinzipskizze eines erfindungsgemäßen Steuergeräts 1. Dabei handelt es sich vorliegend um ein Vernetzungssteuergerät (Gateway), welches mithin am Gehäuse 2 eine Anschlusseinrichtung 3 an verschiedene Bussysteme 4 des Kraftfahrzeugs, in dem das Steuergerät 1 verbaut ist, aufweist. Das Steuergerät 1 weist als Recheneinrichtung 5 einen Mehrkernprozessor 6 auf, hier einen Dual-Core-Prozessor mit zwei Prozessorkernen 7, 8.
In dem Steuergerät 1 verbaut, konkret im selben Gehäuse 2 wie die Recheneinrichtung 5, ist vorliegend auch eine Kommunikationseinrichtung 9 vorgesehen, konkret ein Telefonmodul 10 (häufig auch als NAD - Network Access Device bezeichnet). Auf diese Weise kann mittels einer geeigneten Antenne 11 , die innerhalb oder außerhalb des Steuergeräts 1 vorgesehen sein kann, über ein Mobilfunknetz eine Verbindung in ein externes Netzwerk 12, hier das Internet, aufgebaut werden.
Das als Vernetzungssteuergerät ausgebildete Steuergerät 1 kann mithin als „Connected Gateway" bezeichnet werden.
Um die Sicherheit im Hinblick auf Bedrohungen aus dem Netzwerk 12 zu verbessern, wird vorliegend ein zweiter Prozessorkern 8 des Mehrkernprozessors 6 ausschließlich zum Transport von Daten von der Kommunikationseinrichtung 9 zu dem ersten Prozessorkern 7 und umgekehrt genutzt. Der erste Prozessorkern ist dabei nicht nur zur Steuerung des Austausche von Daten zwischen dem Bussystem ausgebildet, sondern auch zur Steuerung des Austausche von Daten zwischen den Bussystemen 4 und dem Netzwerk 12.
Der zweite Prozessorkern 8 bildet somit eine Art Schutzwall, wobei konkret durch den zweiten Prozessorkern 8 eine demilitarisierte Zone (DMZ) geschaffen wird. Im zweiten Prozessorkern 8 werden, wie durch das Kästchen 13 angedeutet, Sicherheitsüberprüfungen und Sicherheitserhöhende Formatumwandlungen der von der Kommunikationseinrichtung 9 empfangenen Daten durchgeführt. Die Sicherheit wird ferner dadurch erhöht, dass in einer Speichereinrichtung 14 des Mehrkernprozessors 6 ein klar definierter Speicherbereich 15 zum Datenaustausch zwischen dem ersten Prozessorkern 7 und dem zweiten Prozessorkern 8 genutzt wird. Der zweite Prozessorkern 8 hat dabei lediglich Zugriff auf den Speicherbereich 15, nicht auf den restlichen Adressbereich der Speichereinrichtung 14. Hierfür sorgt eine Steuereinheit 16, die als MPU - Memory Protection Unit wirkt. Die Steuereinheit 16 ist so konfiguriert, dass sie nur durch den ersten Prozessorkern 7 angesteuert werden kann, es damit nicht möglich ist, seitens des zweiten Prozessorkerns 8 diese Speicherzuordnung zu verändern.
Der Datenaustausch über den Speicherbereich 15 erfolgt dabei über Ein-/ Ausgabepuffer, wobei ein klar vorgegebenes, Sicherheitserhöhendes Aus- tauschformat gegeben ist, welches sich beispielsweise durch bestimmte Paketgrößen und dergleichen auszeichnet.
Zwischen der Kommunikationseinrichtung 9 und der Recheneinrichtung 5, konkret dem zweiten Prozessorkern 8, besteht eine Kommunikationsverbindung, die vorliegend als SPI-Verbindung 22 realisiert ist, aber auch eine USB-Verbindung sein kann.
Damit ist letztlich eine Aufteilung und klare Trennung von Funktionalitäten innerhalb des Steuergeräts 1 gegeben, mithin ein Drei-Domänen-Prinzip. Eine erste Domäne ist die Fahrzeug-Domäne 17, die vorliegend für das Routing zwischen den Bussystemen 4 und von und zu dem Netzwerk 12 ausgebildet ist, wobei hinsichtlich letzterem der Datentransport klar definiert über den geteilten Speicherbereich 15, den zweiten Prozessorkern 8 und die Kommunikationseinrichtung 9 verläuft. Der zweite Prozessorkern 8 bildet die Adaptions-Domäne 18, in der Daten zwischen unterschiedlichen Formaten umgewandelt und Sicherheitsüberprüfungen vorgenommen werden können. Hier ist eine demilitarisierte Zone geschaffen, das bedeutet, selbst bei Korrumpierung des zweiten Prozessorkerns 8 erlangt ein Angreifer keinen Zugriff auf für das Fahrzeug relevante Funktionen, die im ersten Prozessorkern 7 durchgeführt würden, der nur über den geteilten Speicherbereich 15 eine klar definierte und gegebenenfalls weiteren Sicherheitsüberprüfungen unterworfene Kommunikation durchführt.
Die Kommunikationseinrichtung 9 bildet die fahrzeugunabhängige Backend- Domäne 19.
Fig. 2 zeigt ein erfindungsgemäßes Kraftfahrzeug 20 in einer Prinzipskizze. Dieses umfasst das Steuergerät 1 als Vernetzungssteuergerät, welches an sämtliche Fahrzeugbusse 4 zur Kommunikation mit weiteren, hier nur angedeuteten Fahrzeugsystemen 21 angeschlossen ist. Bei den Bussystemen 4 kann es sich dabei um Bussysteme unterschiedlicher Art handeln, beispielsweise umfassend CAN-Busse, Flexray-Busse und Ethernet-Busse. Über die Antenne 1 und die Kommunikationseinrichtung 9 sowie die im Prozessor- kern 8 gebildete demilitarisierte Zone ist zudem eine sichere Verbindung zum Internet möglich, so dass von extern ankommende Daten gleich am Knotenpunkt für die Fahrzeugbusse 4 vorliegen.

Claims

P A T E N T A N S P R Ü C H E
1. Steuergerät (1) in einem Kraftfahrzeug (20), aufweisend eine Kommunikationseinrichtung (9) zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk (12),
dadurch gekennzeichnet,
dass eine Recheneinrichtung (5) des Steuergeräts (1) wenigstens zwei Prozessorkerne (7, 8) umfasst, wobei ein Datenaustausch zwischen der Kommunikationseinrichtung (9) und einem ersten Prozessorkern (7) ausschließlich über einen zweiten der Prozessorkerne (8) erfolgt.
2. Steuergerät nach Anspruch 1 ,
dadurch gekennzeichnet,
dass der erste Prozessorkern (7) den Datenaustausch mit wenigstens einem Bussystem (4) des Kraftfahrzeugs (20) und/oder wenigstens eine weitere durch das Steuergerät (1) zu erfüllende Funktion steuert.
3. Steuergerät nach Anspruch 1 oder 2,
dadurch gekennzeichnet,
dass das Steuergerät (1) ein Vernetzungssteuergerät mit einer Anschlusseinrichtung (3) an mehrere, insbesondere alle, zur Kommunikation zwischen unterschiedlichen Fahrzeugsystemen (21) vorgesehenen Bussysteme (4) ist und der erste Prozessorkern (7) zur Steuerung des Austausche von Daten zwischen den Bussystemen (4) und zwischen den Bussystemen (4) und dem Netzwerk (12) ausgebildet ist.
4. Steuergerät nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet,
dass die Prozessorkerne (7, 8) Teil eines Mehrkernprozessors (6) sind.
5. Steuergerät nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet, dass die Recheneinrichtung (5) eine Speichereinrichtung (14) aufweist, wobei ein von dem zweiten Prozessorkern (8) ausschließlich adressierbarer Speicherbereich (15) zur Kommunikation zwischen dem ersten und dem zweiten Prozessorkern (7, 8) vorgesehen ist.
6. Steuergerät nach Anspruch 5,
dadurch gekennzeichnet,
dass die Recheneinrichtung (9) insbesondere als Teil eines Mehrkernprozessors (6) eine zur Steuerung des Zugriffs auf die Speichereinrichtung (14) ausgebildete Steuereinheit (16) umfasst, die insbesondere ausschließlich über den ersten Prozessorkern (7) konfigurierbar ist.
7. Steuergerät nach Anspruch 5 oder 6,
dadurch gekennzeichnet,
dass die Prozessorkerne (7, 8) zur Kommunikation durch den geteilten Speicherbereich (15) über Ein-/Ausgabepuffer ausgebildet sind.
8. Steuergerät nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet,
dass der zweite Prozessorkern (8) zur Durchführung wenigstens einer Sicherheitsüberprüfung und/oder zu einer Sicherheitserhöhenden Formatumwandlung der von der Kommunikationseinrichtung (9) empfangenen Daten ausgebildet ist.
9. Steuergerät nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet,
dass durch den zweiten Prozessorkern (8) eine demilitarisierte Zone geschaffen ist.
10. Steuergerät nach einem der vorangehenden Ansprüche,
dadurch gekennzeichnet,
dass die Kommunikationseinrichtung (9) und die Recheneinrichtung (6), insbesondere der zweite Prozessorkern (8), über eine SPI-Verbindung (22) oder eine USB-Verbindung verbunden sind.
11. Kraftfahrzeug (20), umfassend ein Steuergerät (1) nach einem der vorangehenden Ansprüche.
12. Verfahren zum Betrieb eines Steuergeräts (1) in einem Kraftfahrzeug (20), aufweisend eine Kommunikationseinrichtung (9) zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk (12) und eine Recheneinrichtung (5) mit wenigstens zwei Prozessorkernen (7, 8), wobei zum Datenaustausch zwischen der Kommunikationseinrichtung (9) und einem ersten Prozessorkern (7) ausschließlich ein zweiter der Prozessorkerne (8) verwendet wird.
PCT/EP2015/000246 2014-03-20 2015-02-06 Steuergerät in einem kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts WO2015139799A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201580014730.XA CN106105144B (zh) 2014-03-20 2015-02-06 机动车中的控制器、机动车
US15/127,314 US9852093B2 (en) 2014-03-20 2015-02-06 Control device in a motor vehicle, a motor vehicle, and a method for operating a control device
EP15705196.2A EP3120518A1 (de) 2014-03-20 2015-02-06 Steuergerät in einem kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014004004.6 2014-03-20
DE102014004004.6A DE102014004004A1 (de) 2014-03-20 2014-03-20 Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts

Publications (1)

Publication Number Publication Date
WO2015139799A1 true WO2015139799A1 (de) 2015-09-24

Family

ID=52484426

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2015/000246 WO2015139799A1 (de) 2014-03-20 2015-02-06 Steuergerät in einem kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts

Country Status (5)

Country Link
US (1) US9852093B2 (de)
EP (1) EP3120518A1 (de)
CN (1) CN106105144B (de)
DE (1) DE102014004004A1 (de)
WO (1) WO2015139799A1 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014003949A1 (de) * 2014-03-20 2015-09-24 Audi Ag Vernetzungssteuergerät für ein Kraftfahrzeug und Kraftfahrzeug
DE102014004004A1 (de) 2014-03-20 2015-09-24 Audi Ag Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts
US10055909B2 (en) 2016-07-08 2018-08-21 Calamp Corp. Systems and methods for crash determination
DE102017202022A1 (de) * 2017-02-09 2018-08-09 Audi Ag Kraftfahrzeug mit einem fahrzeuginternen Datennetzwerk sowie Verfahren zum Betreiben des Kraftfahrzeugs
US20190141156A1 (en) 2017-11-06 2019-05-09 Calamp Corp. Systems and Methods for Dynamic Telematics Messaging
US11206171B2 (en) 2017-11-07 2021-12-21 Calamp Corp. Systems and methods for dynamic device programming
DE102017220371A1 (de) * 2017-11-15 2019-05-16 Siemens Mobility GmbH System und Verfahren zum Senden und zum Empfangen von Daten
JP7042138B2 (ja) * 2018-03-30 2022-03-25 日立Astemo株式会社 処理装置
CN113110407B (zh) * 2021-06-16 2021-09-10 奥特酷智能科技(南京)有限公司 基于区块网关电控单元的汽车控制器

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7490350B1 (en) * 2004-03-12 2009-02-10 Sca Technica, Inc. Achieving high assurance connectivity on computing devices and defeating blended hacking attacks
US20130219170A1 (en) * 2012-02-20 2013-08-22 Denso Corporation Data communication authentication system for vehicle gateway apparatus for vehicle data communication system for vehicle and data communication apparatus for vehicle

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6732141B2 (en) * 1996-11-29 2004-05-04 Frampton Erroll Ellis Commercial distributed processing by personal computers over the internet
US7093006B2 (en) 2001-07-31 2006-08-15 Motorola, Inc. Method of dynamically configuring access to services
DE102007045398A1 (de) 2007-09-21 2009-04-02 Continental Teves Ag & Co. Ohg Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
JP5275673B2 (ja) * 2008-04-23 2013-08-28 トヨタ自動車株式会社 マルチコアシステム、車両用ゲートウェイ装置
US9098462B1 (en) * 2010-09-14 2015-08-04 The Boeing Company Communications via shared memory
EP2461251B1 (de) * 2010-12-03 2017-06-21 Robert Bosch GmbH Speicherschutzeinheit und Verfahren zur Steuerung eines Zugangs zu einer Speichervorrichtung
US20130179528A1 (en) * 2012-01-11 2013-07-11 Bae Systems Controls, Inc. Use of multicore processors for network communication in control systems
FR2989801B1 (fr) * 2012-04-18 2014-11-21 Schneider Electric Ind Sas Procede de gestion securisee d'un espace memoire pour microcontroleur
DE102012207215A1 (de) 2012-04-30 2013-10-31 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges
DE102012105068A1 (de) * 2012-06-12 2013-12-12 Eads Deutschland Gmbh Beschleunigungseinrichtung mit Unterstützung für virtuelle Maschinen
DE102014004004A1 (de) 2014-03-20 2015-09-24 Audi Ag Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7490350B1 (en) * 2004-03-12 2009-02-10 Sca Technica, Inc. Achieving high assurance connectivity on computing devices and defeating blended hacking attacks
US20130219170A1 (en) * 2012-02-20 2013-08-22 Denso Corporation Data communication authentication system for vehicle gateway apparatus for vehicle data communication system for vehicle and data communication apparatus for vehicle

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP3120518A1 *

Also Published As

Publication number Publication date
US20170075835A1 (en) 2017-03-16
CN106105144B (zh) 2018-07-13
DE102014004004A1 (de) 2015-09-24
CN106105144A (zh) 2016-11-09
EP3120518A1 (de) 2017-01-25
US9852093B2 (en) 2017-12-26

Similar Documents

Publication Publication Date Title
WO2015139799A1 (de) Steuergerät in einem kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts
EP3523930B1 (de) Kraftfahrzeug mit einem fahrzeuginternen datennetzwerk sowie verfahren zum betreiben des kraftfahrzeugs
EP1632865B1 (de) Datenbus-Interface für ein Steuergerät und Steuergerät mit einem Datenbus-Interface
EP2862319A1 (de) Ringförmiges netzwerk für ein fahrzeug
DE102007024434A1 (de) Relaisverbindungseinheit und Sammelverbinder
EP3365202A1 (de) Kraftfahrzeug-dachantennenmodul, kraftfahrzeug und verfahren zum betreiben des dachantennenmoduls
EP3496975B1 (de) Kraftfahrzeug mit einem in mehrere getrennte domänen eingeteilten datennetzwerk sowie verfahren zum betreiben des datennetzwerks
EP3577568B1 (de) Verfahren zum filtern von über eine kommunikationsverbindung eingehenden kommunikationsdaten in einer datenverarbeitungseinrichtung, datenverarbeitungseinrichtung und kraftfahrzeug
DE102015202242A1 (de) Teilnehmerstation für ein Bussystem und Verfahren zum Betrieb eines Bussystems mit Teilnehmerstationen für unterschiedliche Datenübertragungsstandards
DE102016002945B4 (de) Kraftfahrzeug und Verfahren zum Bereitstellen mehrerer Online-Fahrzeugfunktionalitäten
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
DE102018215706A1 (de) Fahrzeug-Netzwerk-Vorrichtung
DE102019219663B4 (de) Vorrichtung und Verfahren zum Verarbeiten von Videosignalen und Steuern von Kameras in einem autonomen oder teilautonomen Fahrzeug
DE102014003949A1 (de) Vernetzungssteuergerät für ein Kraftfahrzeug und Kraftfahrzeug
EP3603011B1 (de) Vorrichtungen und verfahren zum betreiben einer mobilfunkkommunikation mit einer streckenseitigen einrichtung
DE102017130447B4 (de) Netzwerkmodul und Netzwerkanordnung
DE102017211153A1 (de) Verfahren und Vorrichtung zum Übertragen von Daten zwischen einem ersten Kommunikationsnetz einer ersten spurgebundenen Fahrzeugeinheit und einem zweiten Kommunikationsnetz einer zweiten spurgebundenen Fahrzeugeinheit
DE102018219262A1 (de) Vorrichtung zum Absichern eines Echtzeit-Ethernet-Datennetzwerks für ein Kraftfahrzeug
DE102021119952A1 (de) Telematikeinheit
DE102016223533A1 (de) Verfahren zum Übertragen von Nachrichten zwischen Steuergeräten eines Kraftfahrzeugs sowie Switchvorrichtung und Kraftfahrzeug
DE102016219932A1 (de) Fahrzeug-zu-X-Kommunikationssystem
EP1703689B1 (de) Lokales Netzwerk für Fahrzeuge
DE102017002089A1 (de) Vorrichtung zur Datenverarbeitung in einer Fahrerassistenzvorrichtung eines Fahrzeugs
DE102006029441A1 (de) System und Verfahren zur Datenübertragung in ein gesichertes Netzwerk, insbesondere einem Netz des schienengebundenen Verkehrs mit hohem Sicherheitsniveau
EP3644570A1 (de) Firewall für gebäudenetzwerke, ein entsprechendes system und verfahren sowie in computerlesbares medium

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15705196

Country of ref document: EP

Kind code of ref document: A1

REEP Request for entry into the european phase

Ref document number: 2015705196

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2015705196

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 15127314

Country of ref document: US