WO2019180210A1 - Verfahren und vorrichtung zum manipulationssicheren übertragen von nutzdaten in einem rechnernetz - Google Patents

Verfahren und vorrichtung zum manipulationssicheren übertragen von nutzdaten in einem rechnernetz Download PDF

Info

Publication number
WO2019180210A1
WO2019180210A1 PCT/EP2019/057252 EP2019057252W WO2019180210A1 WO 2019180210 A1 WO2019180210 A1 WO 2019180210A1 EP 2019057252 W EP2019057252 W EP 2019057252W WO 2019180210 A1 WO2019180210 A1 WO 2019180210A1
Authority
WO
WIPO (PCT)
Prior art keywords
messages
transmitted
user data
data
following features
Prior art date
Application number
PCT/EP2019/057252
Other languages
English (en)
French (fr)
Inventor
Hauke Wendt
Sergey Chirkov
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO2019180210A1 publication Critical patent/WO2019180210A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Definitions

  • the present invention relates to a method for transmitting user data in a computer network.
  • the present invention also relates to a corresponding device, a corresponding computer program and a corresponding storage medium.
  • SCR Selective Catalytic Reduction
  • the chemical reaction on the SCR catalyst is selective in that mainly nitrogen oxides (NO, NO 2 ) are reduced, but unwanted side reactions such as the oxidation of sulfur dioxide to sulfur trioxide are largely suppressed.
  • truck diesel vehicles sometimes electronic
  • CN105065098A provides a device for remote monitoring
  • the device comprises a physical protection and control unit and an electronic
  • the physical protection and control unit includes an electronic seal, an emission sensor, a fastening device and a fastening screw.
  • the emission sensor is by means of
  • Fastening device attached to an exhaust pipe of the engine and screwed by means of the fastening screw in selbiges.
  • the electronic seal is connected by signals to an electronic control unit (ECU) of the diesel engine.
  • the electronic seal transmits a signal to the Internet to prevent a person from getting the signal
  • the electronic monitoring unit measures in real time the operating parameters and the
  • Emission data index of the diesel engine so that can be processed, analyzed, monitored and recorded, whether the engine is manipulated unauthorized.
  • the invention provides a method for transmitting user data in a computer network, a corresponding device, a corresponding one
  • the approach according to the invention is based on the recognition that possible attack mechanisms include the manipulation of data streams which are exchanged between control units.
  • the following presented Solution also contributes to the peculiarity of manipulation devices
  • manipulation-related failure does not pose an immediate mortal danger. This does not mean that every manipulation has to be recognized immediately. It is sufficient if detection is ensured in the longer term.
  • prior art methods generally aim to immediately recognize each manipulated message. Such solutions are complex to implement and cause considerable additional overhead at runtime in the form of additionally required bus and memory resources. Furthermore, with such concepts it is usually easy to find out if the manipulation works or not. An inventive mechanism should therefore be safe enough from the outset to preclude manipulation even at a greater expense.
  • an advantage of the proposed method lies in its suitability for recognizing such data manipulations in a simple and resource-optimized manner.
  • the detection of a manipulation makes it possible, for example, to react appropriately in the vehicle, so that the driver
  • Manipulation turns off. For this purpose, a secure detection of manipulations of data transmission, which gets along with an absolute minimum of additional data transmitted, an attacker but even with a known algorithm, a successful - that is unrecognized - manipulation extremely difficult.
  • it can be provided to strengthen the process by further measures, in addition to a scatter value (hash) further, not known to a possible attacker variances be introduced.
  • a check information can be transmitted separately. (It does not have to be sent synchronously or refer to exactly one message.) Alone the exploitation of the above
  • Characteristics would ensure a high test security, even if an additional encryption of the test information is omitted.
  • FIG. 1 shows the flowchart of a method according to a first
  • FIG. 2 shows schematically a control device according to a second embodiment.
  • FIG. 1 illustrates the basic sequence of the invention
  • process 11 transfers (process 11) and at least partially mapped by means of a scattering or hash function on scattering values (process 12), which are finally transmitted in turn by means of so-called test messages (process 13).
  • the method (10) is compared to conventional algorithms for
  • Embodiment will be described. If an attacker wanted to guess the 1-bit information, his probability of success would be to randomly guess the correct answer over n tests, By choosing a sufficiently high number n of tests, a permanent manipulation could be unmasked with almost certainty.
  • an 8-byte payload message is transmitted openly.
  • the dispensing value serving as check information is sent.
  • Test message claims the scatter value related to the user message only 1 bit.
  • Sender and receiver calculate the hash from the user message. The receiver checks whether the hash calculated from the user message corresponds to the hash received in the check message.
  • the check messages are sent at different times.
  • the test message here may take the form of a burst which contains the scatter values of several, for example eight,
  • Test messages are made more difficult to analyze as part of a reconstruction of the scatter value function, since a potential attacker can hardly detect whether any check information is used at all and how it is possibly transmitted.
  • the number of useful messages for a test message can be variable.
  • a single scatter value can be calculated in summary for several, for example three, useful messages.
  • the number of useful messages included in each test message can also be variable.
  • test messages can be provided with variable identifiers (identifiers, IDs). These in turn like z.
  • IDs identifiers
  • Value pool or synchronized in a suitable manner.
  • the key should be known on both sides. For this purpose he can z. As transmitter and receiver are programmed in the context of production or synchronized between them in each driving cycle. Furthermore, it is advantageous if the key is stored on both sides in a hardware security module (HSM). In this case, a replica of the scatter value would not be possible even with an algorithm known to the attacker.
  • This method (10) can be used, for example, in software or hardware or in a mixed form of software and hardware, for example in one
  • Control unit (20) be implemented, as the schematic representation of Figure 2 illustrates.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren (10) zum Übertragen von Nutzdaten in einem Rechnernetz, gekennzeichnet durch folgende Merkmale: - die Nutzdaten werden mittels Nutzbotschaften übertragen (11), - die Nutzdaten werden zumindest teilweise mittels einer zweiwertigen Streuwertfunktion auf Streuwerte abgebildet (12) und - die Streuwerte werden mittels Prüfbotschaften übertragen (13).

Description

Beschreibung
Titel
Verfahren und Vorrichtung zum manipulationssicheren Übertragen von
Nutzdaten in einem Rechnernetz
Die vorliegende Erfindung betrifft ein Verfahren zum Übertragen von Nutzdaten in einem Rechnernetz. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.
Stand der Technik
In der Abgasreinigungstechnik wird als selektive katalytische
Reduktion ( selective catalytic reduction, SCR) eine Technik zur Reduktion von
Stickoxiden in Abgasen von Feuerungsanlagen, Müllverbrennungsanlagen, Gasturbinen, Industrieanlagen oder Verbrennungsmotoren bezeichnet. Die chemische Reaktion am SCR-Katalysator ist insofern selektiv, als vor allem Stickoxide (NO, N02) reduziert, unerwünschte Nebenreaktionen wie die Oxidation von Schwefeldioxid zu Schwefeltrioxid jedoch weitgehend unterdrückt werden.
Beim Einsatz eines SCR-Systems ist die optimale Zerstäubung sowie
Verdampfung der vor dem SCR-Katalysator in den Abgasstrang eingesprühten Lösung maßgeblich. In der Automobilindustrie kommen daher nach dem Stand der Technik verschiedene Dosierpumpen oder Injektoren zum Einsatz, die
- ohne Einschränkung der Allgemeinheit - regelmäßig über einen an den CAN- Feldbus des jeweiligen Fahrzeuges angeschlossenen Injektor- Rechner angesteuert werden. Da eine selektive katalytische Reaktion die Betriebskosten entsprechend ausgerüsteter Fahrzeuge erhöht, verwenden betrügerische Betreiber
insbesondere von Lkw- Dieselfahrzeugen mitunter elektronische
Abschaltvorrichtungen. Diese sogenannten AdBlue-Killer oder -Emulatoren sind in Staaten mit Emissionsgesetzgebung gesetzlich verboten.
CN105065098A stellt eine Vorrichtung zur Fernüberwachung und
Emissionskontrolle eines Dieselmotors bereit. Die Vorrichtung umfasst eine physikalische Schutz- und Steuereinheit und eine elektronische
Überwachungseinheit. Die physikalische Schutz- und Steuereinheit enthält ein elektronisches Siegel, einen Emissionssensor, eine Befestigungseinrichtung und eine Befestigungsschraube. Der Emissionssensor ist mittels der
Befestigungseinrichtung an einem Abgasrohr des Motors befestigt und mittels der Befestigungsschraube in selbiges eingeschraubt. Ein Kabelbündel, dessen Enden durch das elektronische Siegel gesichert sind, durchdringt ein
Durchgangsloch im Emissionssensor und der Befestigungseinrichtung. Das elektronische Siegel ist durch Signale mit einem Steuergerät ( electronic control unit, ECU) des Dieselmotors verbunden. Das elektronische Siegel überträgt ein Signal an das Internet, um zu verhindern, dass eine Person den
Emissionssensor ohne Genehmigung demontiert oder montiert. Die elektronische Überwachungseinheit misst in Echtzeit die Betriebsparameter und den
Emissionsdatenindex des Dieselmotors, sodass verarbeitet, analysiert, überwacht und aufgezeichnet werden kann, ob der Motor unbefugt manipuliert wird.
Offenbarung der Erfindung
Die Erfindung stellt ein Verfahren zum Übertragen von Nutzdaten in einem Rechnernetz, eine entsprechende Vorrichtung, ein entsprechendes
Computerprogramm sowie ein entsprechendes Speichermedium gemäß den unabhängigen Ansprüchen bereit.
Dem erfindungsgemäßen Ansatz liegt die Erkenntnis zugrunde, dass mögliche Angriffsmechanismen die Manipulation von Datenströmen umfassen, die zwischen Steuergeräten ausgetauscht werden. Die nachfolgend vorgestellte Lösung trägt ferner der Besonderheit von Manipulationsgeräten zur
Abgasnachbehandlung Rechnung, dass die„angegriffene“
Abgasnachbehandlung nicht sicherheitskritisch ist, da von ihrem
manipulationsbedingten Ausfall keine unmittelbare Lebensgefahr ausgeht. Damit muss nicht jede Manipulation sofort erkannt werden. Es reicht aus, wenn eine Erkennung auf längere Sicht sichergestellt ist. Verfahren nach dem Stand der Technik zielen in der Regel jedoch darauf ab, jede manipulierte Botschaft unmittelbar zu erkennen. Solche Lösungen sind aufwändig zu implementieren und verursachen auch zur Laufzeit einen beträchtlichen Mehraufwand in Gestalt zusätzlich benötigter Bus- und Speicherressourcen. Weiterhin ist es bei solchen Konzepten in der Regel einfach möglich herauszufinden, ob die Manipulation funktioniert oder nicht. Ein erfindungsgemäßer Mechanismus sollte also von vornherein sicher genug sein, um eine Manipulation auch bei einem größeren Aufwand auszuschließen.
Ein Vorzug des vorgeschlagenen Verfahrens liegt demgegenüber in seiner Eignung, solche Datenmanipulationen auf eine einfache und Ressourcen optimierte Weise zu erkennen. Das Erkennen einer Manipulation ermöglicht es zum Beispiel, im Fahrzeug geeignet zu reagieren, sodass der Fahrer die
Manipulation abstellt. Hierzu dient eine sichere Erkennung von Manipulationen der Datenübertragung, die mit einem absoluten Minimum an zusätzlich übertragenen Daten auskommt, einem Angreifer jedoch selbst bei bekanntem Algorithmus eine erfolgreiche - also unerkannte - Manipulation extrem erschwert.
Die vorgestellte Lösung eröffnet somit eine statistisch sichere
Erkennungsmöglichkeit der Manipulation von übertragenen Daten. Hierzu müssen die normalen Botschaften nicht verändert werden. Es ist auch keine Eins-zu-eins-Prüfung gleichsam in Echtzeit erforderlich.
Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen
Anspruch angegebenen Grundgedankens möglich. So kann vorgesehen sein, das Verfahren durch weitere Maßnahmen zu stärken, indem zusätzlich zu einem Streuwert ( hash ) weitere, einem mögliche Angreifer nicht bekannte Varianzen eingeführt werden. Insbesondere kann eine Prüf Information separat übertragen werden. (Sie muss hierzu nicht synchron versendet werden oder sich auf exakt eine Botschaft beziehen.) Allein das Ausnutzen der oben genannten
Eigenschaften würde eine hohe Prüfsicherheit gewährleisten, selbst wenn auf eine zusätzliche Verschlüsselung der Prüfinformation verzichtet wird.
Kurze Beschreibung der Zeichnungen
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
Figur 1 das Flussdiagramm eines Verfahrens gemäß einer ersten
Ausführungsform.
Figur 2 schematisch ein Steuergerät gemäß einer zweiten Ausführungsform. Ausführungsformen der Erfindung
Figur 1 illustriert den grundlegenden Ablauf des erfindungsgemäßen
Verfahrens (10) zum Übertragen von Nutzdaten in einem Rechnernetz. Die Nutzdaten werden hierzu mittels sogenannter Nutzbotschaften
übertragen (Prozess 11) und zumindest teilweise mittels einer Streuwert- oder Hashfunktion auf Streuwerte abgebildet (Prozess 12), die schließlich ihrerseits mittels sogenannter Prüfbotschaften übertragen werden (Prozess 13).
Gewählt wird hierbei eine Hashfunktion mit sehr starker Datenreduktion, insbesondere von einer gegebenen Nutzdatengröße, z. B: einem
CAN-Datenrahmen ( frame ) einer Breite von 8 Byte oder auch beliebig größeren Datenmengen auf genau 1 Bit. Angesichts dieser beträchtlichen Reduktion ist die Funktion selbstverständlich nicht umkehrbar. Das Ergebnis der Datenreduktion ist vielmehr als Hash oder Fingerprint zu betrachten, sodass zur Erzeugung einschlägige Algorithmen nach dem Stand der Technik zur Anwendung kommen können. Erfindungswesentlich ist dabei die Minimierung der Zielmenge derart, dass der Hashwert einen Informationsgehalt von lediglich 1 Bit aufweist. Größere, etwas weniger reduzierte Hashes wären zwar ebenfalls möglich, im Rahmen des erfindungsgemäßen Verfahrens (10) gleichwohl nicht vorzuziehen.
Das Verfahren (10) stellt im Vergleich zu üblichen Algorithmen zur
Nachrichtenauthentifizierung somit gänzlich andere Anforderungen an die zu verwendende Hashfunktion. Insofern wird im Rahmen des Funktionsentwurfes normalerweise eine sogenannte Kollisionsfreiheit angestrebt. Dies würde bedeuten, dass jeder Hash eindeutig einer Ausgangsinformation zugeordnet werden kann. Dadurch aber würden große Hashes benötigt, die typischerweise jeweils synchron zur Nutzinformation übertragen würden. In dem hier
beschriebenen Verfahren (10) indes wird eine Kollision nicht nur in Kauf genommen, sondern gezielt verwendet, um eine Nachkonstruktion ( reverse engineering ) der Hashfunktion zu verhindern. Die Sicherheit, eine häufige oder - gemäß dem oben genannten Anwendungsfall - gar permanente Manipulation zu erkennen, wird hierbei durch eine höhere Anzahl von Prüfungen erlangt. Das gilt für variable Daten, deren Auswirkung auf den Streuwert von außen her in nicht vorhersagbar wäre. Der Spezialfall für rein statische Daten oder sich
vorhersehbar ändernder Daten erfordert Zusatzmaßnahmen, wie sie im
Ausführungsbeispiel beschrieben werden. Würde ein Angreifer die 1-Bit- Information erraten wollen, so betrüge seine Erfolgswahrscheinlichkeit, die richtige Antwort über n Prüfungen zufällig zu erraten,
Figure imgf000006_0001
Durch die Wahl einer ausreichend hohen Anzahl n von Prüfungen ließe sich also eine dauerhafte Manipulation mit an Sicherheit grenzender Wahrscheinlichkeit entlarven.
Im Anwendungsfall eines Fahrzeugs etwa werden CAN- Botschaften in der Regel periodisch in einem Zeitabstand von beispielsweise 100 ms versendet. Über einen Fahrzyklus von 20 min Dauer ließen sich entsprechend 12000 s ·— =
120.000 Prüfungen durchführen, was eine praktisch sichere Erkennung erlauben würde. Allein bei 20 Prüfungen läge die A-priori-Wahrscheinlichkeit einer unentdeckten anhaltenden Manipulation unter 10-6.
In einer beispielhaften Ausführung des Verfahrens (10) etwa wird eine 8 Byte umfassende Nutzbotschaft offen übertragen. In einer separaten Botschaft wird der als Prüf Information dienende Streuwert versendet. Innerhalb dieser
Prüfbotschaft beansprucht der auf die Nutzbotschaft bezogene Streuwert lediglich 1 Bit. Sender und Empfänger berechnen aus der Nutzbotschaft den Hash. Der Empfänger prüft, ob der seinerseits aus der Nutzbotschaft berechnete Hash dem in der Prüfbotschaft empfangenen Hash entspricht.
Eine Voraussetzung für die Nutzung einer zusätzlichen Varianz, wie sie im Folgenden beschrieben wird, ist, dass Sender und Empfänger die jeweiligen Abfolgen von Botschaften - per Entwurfs ko nvention ihres
Kommunikationsprotokolls oder mittels einer geeigneten Synchronisation - bekannt sind.
Gemäß einer solchen Variante werden die Prüfbotschaften zeitlich versetzt gesendet. Die Prüfbotschaft mag hier die Gestalt eines Bitbündels ( burst ) annehmen, welches die Streuwerte mehrerer, zum Beispiel von acht,
Nutzbotschaften umfasst. Durch diese Asymmetrie zwischen Nutz- und
Prüfbotschaften wird deren Analyse im Rahmen einer Nachkonstruktion der Streuwertfunktion erschwert, da ein möglicher Angreifer kaum erkennen kann, ob überhaupt eine Prüfinformation verwendet und wie sie ggf. übertragen wird.
Weiterhin kann die Anzahl der Nutzbotschaften für eine Prüfbotschaft variabel sein. Ein einziger Streuwert kann zusammenfassend für mehrere, beispielsweise drei, Nutzbotschaften berechnet werden. Dabei kann auch die Anzahl der in jeder Prüfbotschaft berücksichtigten Nutzbotschaften variabel sein.
Werden Daten - insbesondere aus anderen Nutzbotschaften -, die für eine Manipulation nicht relevant sind, in die Generierung des Streuwertes einbezogen, so ist eine Analyse durch einen Angreifer kaum möglich. Vorzugsweise werden hierfür mehrere sich dynamisch ändernde Werte verwendet.
Bei einem rein statischen Inhalt der Nutzdaten (ohne Zufügen variabler Daten), ist es sinnvoll, eine Pseudozufallsgröße mit einzubeziehen. Das kann z.B. über einen Zufallsgenerator geschehen.
Denkbar ist auch eine Verschleierung der Prüfbotschaften. Hierzu können letztere mit variablen Kennungen ( identifiers , IDs) versehen werden. Diese wiederum mögen z. B. einem Sender und Empfänger bekannten
Wertevorrat (pool ) entnommen oder auf geeignete Weise synchronisiert werden. Eine weitere Sicherheitssteigerung ergibt sich, wenn die Berechnung von Hash oder anderweitigen Teilen der Prüfbotschaft zusätzlich einen kryptografischen Schlüssel berücksichtigt. Der Schlüssel sollte hierzu beidseitig bekannt sein. Hierzu kann er z. B. Sender und Empfänger im Rahmen der Produktion einprogrammiert oder zwischen ihnen in jedem Fahrzyklus synchronisiert werden. Weiterhin ist es vorteilhaft, wenn der Schlüssel beiderseits in einem Hardwaresicherheitsmodul {Hardware security module, HSM) abgelegt wird. In diesem Fall wäre eine Nachbildung des Streuwertes selbst bei einem dem Angreifer bekannten Algorithmus nicht möglich. Dieses Verfahren (10) kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem
Steuergerät (20) implementiert sein, wie die schematische Darstellung der Figur 2 verdeutlicht.

Claims

Ansprüche
1. Verfahren (10) zum Übertragen von Nutzdaten in einem Rechnernetz,
gekennzeichnet durch folgende Merkmale:
- die Nutzdaten werden mittels Nutzbotschaften übertragen (11),
- die Nutzdaten werden zumindest teilweise mittels einer zweiwertigen Streuwertfunktion auf Streuwerte abgebildet (12) und
- die Streuwerte werden mittels Prüfbotschaften übertragen (13).
2. Verfahren (10) nach Anspruch 1,
gekennzeichnet durch folgende Merkmale:
- das Übertragen (11, 13) erfolgt über einen Feldbus und
- jede Nutzbotschaft umfasst einen Datenrahmen des Feldbusses.
3. Verfahren (10) nach Anspruch 2,
gekennzeichnet durch folgendes Merkmal:
- der Feldbus ist ein CAN.
4. Verfahren (10) nach einem der Ansprüche 1 bis 3,
gekennzeichnet durch folgendes Merkmal:
- die Prüfbotschaften werden unabhängig von den Streuwerten variiert.
5. Verfahren (10) nach einem der Ansprüche 1 bis 4,
gekennzeichnet durch folgendes Merkmal:
- die Prüfbotschaften werden von den Nutzbotschaften getrennt
übertragen (13).
6. Verfahren (10) nach Anspruch 5,
gekennzeichnet durch mindestens eines der folgenden Merkmal:
- die Prüfbotschaften und die Nutzbotschaften werden asynchron
zueinander übertragen (11, 13) oder - das Übertragen erfolgt mittels eines kryptographischen Schlüssels.
7. Verfahren (10) nach Anspruch 5 oder 6,
gekennzeichnet durch folgende Merkmale:
- die mittels mehrerer Nutzbotschaften übertragenen Nutzdaten werden auf einen einzigen Streuwert abgebildet (12).
8. Computerprogramm, welches eingerichtet ist, das Verfahren (10) nach einem der Ansprüche 1 bis 7 auszuführen.
9. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.
10. Vorrichtung (20), die eingerichtet ist, das Verfahren (10) nach einem der
Ansprüche 1 bis 7 auszuführen.
PCT/EP2019/057252 2018-03-22 2019-03-22 Verfahren und vorrichtung zum manipulationssicheren übertragen von nutzdaten in einem rechnernetz WO2019180210A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018204398.1 2018-03-22
DE102018204398.1A DE102018204398A1 (de) 2018-03-22 2018-03-22 Verfahren und Vorrichtung zum manipulationssicheren Übertragen von Nutzdaten in einem Rechnernetz

Publications (1)

Publication Number Publication Date
WO2019180210A1 true WO2019180210A1 (de) 2019-09-26

Family

ID=65911180

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2019/057252 WO2019180210A1 (de) 2018-03-22 2019-03-22 Verfahren und vorrichtung zum manipulationssicheren übertragen von nutzdaten in einem rechnernetz

Country Status (2)

Country Link
DE (1) DE102018204398A1 (de)
WO (1) WO2019180210A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105065098A (zh) 2015-08-06 2015-11-18 中国北方发动机研究所(天津) 用于远程防控和监测柴油机排放的装置
US20160347267A1 (en) * 2013-12-03 2016-12-01 Thales Transmission system for avionics application data
EP3110101A1 (de) * 2015-06-22 2016-12-28 Volkswagen Aktiengesellschaft Verfahren zu einem manipulationsschutz von über ein bussystem zwischen systemkomponenten zu übertragenden nutzdatenpaketen
EP3297247A1 (de) * 2016-09-20 2018-03-21 Certicom Corp. Fahrzeuginterne verschlüsselte vernetzung

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160347267A1 (en) * 2013-12-03 2016-12-01 Thales Transmission system for avionics application data
EP3110101A1 (de) * 2015-06-22 2016-12-28 Volkswagen Aktiengesellschaft Verfahren zu einem manipulationsschutz von über ein bussystem zwischen systemkomponenten zu übertragenden nutzdatenpaketen
CN105065098A (zh) 2015-08-06 2015-11-18 中国北方发动机研究所(天津) 用于远程防控和监测柴油机排放的装置
EP3297247A1 (de) * 2016-09-20 2018-03-21 Certicom Corp. Fahrzeuginterne verschlüsselte vernetzung

Also Published As

Publication number Publication date
DE102018204398A1 (de) 2019-09-26

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE102005005436A1 (de) Sicherheitseinrichtung für einen Transponder
DE102016114298B4 (de) Diagnoseanschlussschutz für Karosseriesteuermodul
DE102006048029A1 (de) Verfahren und Vorrichtung zur Übertragung von Daten zwischen einem Fahrtschreiber und einer Datenverarbeitungseinrichtung
EP2609705B1 (de) Verfahren zum übertragen von sensordaten
DE102017208553A1 (de) Verfahren zum Schutz eines Netzwerkes vor einem Cyberangriff
DE102015221239A1 (de) Verfahren und Vorrichtung zum Schützen von Datenintegrität durch ein eingebettetes System mit einem Hauptprozessorkern und einem Sicherheitshardwarebaustein
DE102008039303A1 (de) Fernstartsystem für ein Fahrzeug und Verfahren zum Absichern einer Fernstartfunktion
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
EP1273994A2 (de) Verfahren zum Schutz eines Mikrorechner-Systems gegen Manipulation von in einer Speicheranordnung des Mikrorechner-Systems gespeicherten Daten
DE102012015940A1 (de) Verfahren zum Betreiben eines Kraftwagens
EP1760623A2 (de) Sicherheitseinrichtung für elektronische Geräte
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
WO2019180210A1 (de) Verfahren und vorrichtung zum manipulationssicheren übertragen von nutzdaten in einem rechnernetz
EP3139354B1 (de) Verfahren zur einstellung einer betriebsart eines sicherheitssystems
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
EP3393830B1 (de) Verfahren und vorrichtung zur übertragung von daten von einer an einem rad eines fahrzeuges angeordneten radeinheit zu einer zentraleinheit des fahrzeuges
DE102005039585A1 (de) Fahrberechtigungssystem mit einer elektronischen Wegfahrsperrfunktion
DE10052451A1 (de) Diebstahlschutzvorrichtung für ein Kraftfahrzeug und Verfahren zum Betreiben der Diebstahlschutzvorrichtung
DE102021201444A1 (de) Verfahren und Vorrichtung zum Überprüfen einer eingehenden, abgesicherten, verschlüsselten Botschaft
DE102020214945A1 (de) Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
EP2405317A1 (de) Verfahren zur sicheren Parametrierung eines Sicherheitsgeräts
EP1473614A2 (de) Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
DE102022205672B3 (de) Schutz vor Cybersecurity-Attacken auf Getriebesteuergeräte

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19713444

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19713444

Country of ref document: EP

Kind code of ref document: A1