WO2020069852A1 - Verfahren zur absicherung eines datenpakets durch eine vermittlungsstelle in einem netzwerk, vermittlungsstelle und kraftfahrzeug - Google Patents

Verfahren zur absicherung eines datenpakets durch eine vermittlungsstelle in einem netzwerk, vermittlungsstelle und kraftfahrzeug

Info

Publication number
WO2020069852A1
WO2020069852A1 PCT/EP2019/074857 EP2019074857W WO2020069852A1 WO 2020069852 A1 WO2020069852 A1 WO 2020069852A1 EP 2019074857 W EP2019074857 W EP 2019074857W WO 2020069852 A1 WO2020069852 A1 WO 2020069852A1
Authority
WO
WIPO (PCT)
Prior art keywords
data packet
inspection object
control unit
database
switching center
Prior art date
Application number
PCT/EP2019/074857
Other languages
English (en)
French (fr)
Inventor
Helge ZINNER
Original Assignee
Continental Automotive Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive Gmbh filed Critical Continental Automotive Gmbh
Publication of WO2020069852A1 publication Critical patent/WO2020069852A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Definitions

  • the invention relates to a method for securing a data packet by a switching center in a network, the switching center for performing the method and a motor vehicle equipped with the switching center.
  • Ethernet In motor vehicles, communication is increasingly taking place via Ethernet. Due to its open and standardized protocols, Ethernet poses an additional hazard to the motor vehicle, which did not exist via classic on-board networks such as CAN or FlexRay. For this reason, it is necessary to take security measures to secure communication over Ethernet in a motor vehicle.
  • the invention provides a method for securing a data packet by a switching center in a network.
  • a switching center can, for example, be configured as a switch or router.
  • a sending control unit of the network sends a data packet via a switching center of the network to at least one other control unit of the network.
  • the data packet is received by the switching center and at least one inspection object is read from the data packet.
  • the at least one inspection object to be read out is predetermined by a database stored in the switching center.
  • the at least one inspection object that is read out is examined by the switching center for the presence of at least one predetermined critical content.
  • the at least one critical content for the respective inspection object is defined in the database.
  • the switching center examines the at least one read inspection object for an encryption state defined in the database for the inspection object. If the at least one inspection object has no critical and at the same time unencrypted content, the data packet is forwarded to the at least one other control unit in the network. Otherwise, the switching center carries out a protective measure defined in the database for the inspection object.
  • a method for operating an exchange in a network is provided.
  • the sending control unit of the network sends the data packet to the at least one other control unit of the network, the transmission taking place via the switching center of the network. If the data packet is received by the exchange, the data packet is examined by the exchange for the at least one predetermined critical content in the inspection object to be read out.
  • the at least one inspection object to be read and the at least one critical content of the inspection object are stored in a database of the switching center. In addition, the inspection object then examines whether it has the encryption status specified in the database.
  • the data packet does not have any critical unencrypted content in the at least one inspection object, in other words if there is no critical content that is unencrypted, the data packet is forwarded by the switching center to the at least one further control unit in the network. If this is not the case, that is if the at least one inspection content has critical content that is not encrypted, the defined protective measure is carried out by the switching center.
  • the protective measure is defined in the database for the respective inspection object.
  • the advantage of the invention is that transparent protection of a protected transmission of a data packet over the network can be ensured.
  • the switching center of the network can be operated in a network of a motor vehicle.
  • the network can be constructed according to the Ethernet standard and include several control units, which can send the data packets over the network.
  • the control units can be assigned to a particular task within the network. Depending on the task of the respective control unit, it may be necessary to encrypt critical content to a respective control unit in order to prevent reading or manipulation of the data packet.
  • the requirements for encryption can differ depending on the content of the data packet.
  • provision can also be made for the data packet to be sent via the switching center of the network to the at least one other control unit of the network during the method by at least one sending control unit of the network.
  • the switching center can have the database in which the at least one inspection object of the data packet is determined, which is read out by the switching center shall be.
  • the inspection object can include, for example, a file type, a predetermined content or metadata of the data packet. Contents can be stored in the inspection object to be read, for which an increased safety standard may be required. It can be provided that the critical content that can be contained in the inspection object is defined in the database. Critical content can be, for example, image data from a vehicle's surroundings camera or a key for encrypting security-related data.
  • the data package is subsequently secured by means of the protective measure is provided.
  • the data packet is forwarded to the at least one other control unit in the network. In this case it can be provided that no further processing of the data packet is carried out by the exchange.
  • the inspection object has at least one critical content, and if this is present in unencrypted form, it can be provided that the protective measure determined for the inspection object in the database is carried out. This can mean, for example, that the packet is only forwarded after the defined protective measure has been carried out by the switching center.
  • the invention also includes further developments which result in further advantages.
  • a further development of the invention provides that the protective measure defined in the database for the inspection object is dependent on the sending control unit.
  • a respective protective measure is described in the database, which is to be carried out by the exchange.
  • the protective measures are coordinated with the sending control unit.
  • the database stipulates that unencrypted inspection objects, which contain critical content, are forwarded in an encrypted or unencrypted manner, depending on the control unit which sent the data packet or which is carried in the data packet as the sender.
  • a further development of the invention provides that the protective measure defined in the database for the inspection object is dependent on an addressee of the data packet.
  • the protective measure implemented by the exchange depends on the addressee to whom the data packet is to be sent.
  • This has the advantage that the security requirements of the recipient can be met.
  • an address value of the data packet is read out by the switching center during the protective measure, in which at least one addressee to which the data packet is to be sent can be contained.
  • the switching center can use the read addressee to read out the protective measure provided for the at least one addressee from the database.
  • the switching center can then carry out the respective protective measure, for example for the respective addressee of the data packet.
  • the protective measures can also differ depending on the addressee. For example, it can be provided that the data packet can be sent to two addressees, the protective measures for the respective addressees differing from one another.
  • a further development of the invention provides that the protective measure defined in the database for the inspection object is dependent on an application of the data packet.
  • the use case in to which the data packet is sent has an influence on the protective measure.
  • a further development of the invention provides that the protective measure defined in the database for the inspection object is dependent on a point in time at which the data packet is sent.
  • the protective measure to be carried out is influenced by the time at which the data packet is sent.
  • the protective measure can depend on predetermined times on a day or during a process.
  • the protective measure defined in the database for the inspection object comprises encryption of the data packet by the switching center in accordance with the specified encryption state.
  • the protective measure comprises the encryption of the data packet, the type and / or the scope of the encryption being based on the specified encryption state.
  • the database provides predetermined encryption methods for the inspection object. It can be provided that an unencrypted data packet or a data packet that has a different encryption state than the specified encryption state is encrypted according to the encryption state.
  • the encryption state can describe the encryption algorithm, an encryption-dependent key length and recipient-specific encryption states.
  • the protective measure defined in the database for the inspection object comprises blocking the forwarding of the data packet to the at least one other control unit.
  • the protective measure defined in the database for the inspection object comprises blocking the forwarding of the data packet to the at least one other control unit.
  • it will Data packet is not forwarded by the switching center to the at least one other control unit, but is prevented from being forwarded.
  • This has the advantage that forwarding of an unencrypted or compromised packet can be prevented. It can be seen, for example, that an unencrypted packet which is to be forwarded to a control unit external to the vehicle by the switching center is intercepted, so that it is not transmitted by the switching center to the control unit external to the vehicle.
  • the protective measure defined in the database for the inspection object comprises generating and sending at least one notification signal to the sending control unit and / or to the at least one other control unit.
  • the at least one notification signal is generated by the switching center and transmitted to the sender and / or the recipient of the data packet.
  • the switching center detects the at least one critical content of the inspection object in unencrypted form when the data packet is received and informs the sender of this fact by means of the notification signal.
  • the notification signal can also contain error information so that the sending control unit can send the notification signal again in encrypted form.
  • the protective measure defined in the database for the inspection object comprises temporary storage of the data packet.
  • the predetermined notification signal is sent to the sending control unit and / or the at least one other control unit.
  • the intermediary receives from the sending control unit and / or the at least one other control unit. at least one predetermined feedback signal.
  • one of the following reactions is carried out by the switching center: The buffered data packet is sent back, deleted or forwarded.
  • the data packet is received by the exchange and, instead of forwarding the data packet, the data packet is temporarily stored in the exchange.
  • the switching center sends the predetermined notification signal to the sending control unit and / or the at least one other control unit in order to inform the latter about the receipt of the data packet and to transmit the at least one predetermined one
  • Prompt feedback signals The further course of the method depends on the at least one feedback signal which is received by the exchange.
  • the data packet can be sent back to the sending control unit by the switching center, can be deleted without forwarding or returning, or can be forwarded to the at least one receiving control unit.
  • the course of the method can be influenced by the receiving control unit or the sending control unit.
  • the notification signal can inform the sending control unit and / or the receiving control unit of the receipt of the unencrypted data packet and prompt them to transmit the prior feedback signal.
  • At least one of the control units can transmit the feedback signal to the switching center and, for example, request the data packet to be sent back to the sending control unit so that the sending control unit can subsequently encrypt the data packet and send it to the switching center in the form of encryption provided.
  • the invention also includes an exchange for a network.
  • This is set up to receive a data packet and to read an inspection object from the data packet, the at least one inspection object to be read out being predetermined by a database stored in the switching center.
  • the switching center is set up to examine the at least one read inspection object for the presence of at least one predetermined critical content, the at least one critical content being defined in the database for the respective inspection object.
  • the switching center is set up to examine the at least one read inspection object for an encryption state defined in the database for the inspection object and, if the at least one inspection object has no critical and at the same time unencrypted content, the data packet to the at least one other control unit in the network forward and otherwise carry out a protective measure defined in the database for the inspection object.
  • the invention also includes a motor vehicle with a switching center for a network.
  • the motor vehicle can be, for example, a truck or a passenger car.
  • the invention also includes further developments of the switching center according to the invention and of the motor vehicle according to the invention which have features as have already been described in connection with the further developments of the method according to the invention. For this reason, the corresponding developments of the United agency and the motor vehicle according to the invention are not described again here.
  • the invention also includes combinations of the features of the described embodiments.
  • An embodiment of the invention is described below. This shows:
  • FIG. 1 shows a control device according to the prior art.
  • 3 shows a structure of a stack of a communication
  • Fig. 6 shows another possible process of creating the
  • Fig. 1 shows a control device according to the prior art.
  • the control device 1 ' comprises a control unit 2' and one
  • the control unit 1 ' can be, for example, an engine control unit for a motor vehicle 5'.
  • the control unit 2 'of the control device 1' can be, for example, a microcontroller or a microprocessor.
  • the network 5 'can be a network according to the Ethernet standard, for example.
  • the described components of the embodiments each represent individual features of the invention that are to be considered independently of one another, which further develop the invention independently of one another and are therefore also to be regarded individually or in a combination other than the one shown as part of the invention. Furthermore, the described embodiments can also be supplemented by further features of the invention that have already been described.
  • Fig. 2 shows a control unit 1.
  • the control unit 1 can, for example, be an engine control unit of a motor vehicle.
  • the control unit 1 can have a plurality of microcontrollers or microprocessors as control units 2. It can thus be provided that the control unit 1 takes over functions which are implemented in several different individual control units 1 according to the prior art.
  • the control device 1 can have the interface 3, as a result of which the control units 2 can be able to send data packets to the network 5 or to receive them from the network 5.
  • the respective control units 2 can be connected to switching centers of the control device 1. It can thus be provided that a control unit 2, which wants to transmit a data packet 6 into the network 5, sends it for forwarding to one of the switching centers 4 of the control device 1, so that the latter transmits through the switching center to the interface 3 and further to the receiver can. Provision can also be made for a data packet 6 to be sent from a control unit 2 of the control unit 1 to another control unit 2 of the control unit 1, this transmission also being able to take place via the switching center 4.
  • the switching center 4 can be set up to examine the predetermined inspection objects 9 of the data packets 6.
  • the predetermined inspection objects 9 can be, for example, a data content or predetermined metadata of the data packet 6.
  • critical content 10 can be defined in the database 7.
  • the critical content 10 can include keys or security-relevant data, for example.
  • the switching center checks the inspection objects 9 for the presence of critical content 1. If this is the case and the data packet 6 is an unencrypted data packet or a data packet which deviates from the prescribed encryption state 8, it can be provided that the method defined as a protective measure 11 for the inspection object 9 is carried out . Otherwise it can be provided that the data packet 6 can be forwarded by the switching center.
  • Fig. 3 shows a structure of a stack 12 (English: Stack) of a communication protocol of the network 5.
  • a data packet 6 can be transmitted via the stack structure 12, wherein the stack structure 12 can include lower protocol levels 14 and higher protocol levels 13.
  • the higher protocol levels 13 can be, for example, the IP, the PCP or a protocol level of an application.
  • firewalls operate to secure a network 5 at the higher levels 13.
  • a disadvantage of this is that the lower transmission levels 14 are not protected by a firewall.
  • the switching center 4 can be set up to examine inspection objects 9 for critical contents 10, the examination being able to relate to the lower protocol levels 14. 4 shows the switching center 4 in a network 5. It can be provided that the switching center 4 is set up to receive the data packet 6 from a sending control unit 15.
  • the switching center 4 can be set up to examine the received data packet 6 by reading out at least one inspection object 9 from the data packet 6 by the switching center.
  • the inspection object 9 can be checked for the presence of critical content 10.
  • the inspection objects 9 to be examined and the critical contents 10 can be defined in the database 7 of the switching center 4.
  • the switching center 4 can also examine the encryption state 8 of the data packet 6. If an unencrypted critical content 10 is contained in the inspection object 9 in the data package 6, it can be provided that the protective measure 11 is carried out. This can include, for example, blocking the forwarding of the data packet. It can also be provided that the data packet 6 is subsequently encrypted in order to produce the predetermined encryption state 8 and then to forward it to the receiving control unit 16.
  • the notification signal 17 may include a request to send the feedback signal 18 to the switching center 4.
  • the feedback signal can indicate whether the buffered data packet 6 is to be sent back to the sending control unit 15, deleted or forwarded to the receiving control unit 16.
  • the inspection objects 9 to be examined, the critical contents 10 and the protective measures 11 to be taken with respect to the data packet 6 can be dependent on the sending control unit 15, the receiving control unit 16, the application of the data packet and the time at which the data packet 6 was sent For example, it may be prescribed that certain control units have a predetermined lock- is provided, whereas encryption may not be required for another of the control units.
  • the method can be carried out, for example, in a motor vehicle 19.
  • a first step S1 it can be provided that the data packet 6 is received by the switching center 4.
  • a second step S2 it can be provided that the switching center 4 reads the at least one inspection object 9 from the data packet 6 and checks the at least one read-out inspection object 9 by the switching center 4 for the presence of the at least one predetermined critical content 10 becomes.
  • the data packet 6 is examined by the switching center to determine whether the inspection object 9 read out has an encryption state 8 defined in the database 7 of the switching center.
  • a step S3 it can be provided that in the event that the data packet 6 or the inspection object 9 are not encrypted or deviate from the predetermined encryption state, they are subsequently encrypted.
  • the encryption can depend on the receiver S10 of the data packet 6.
  • the protective measure can also include that the receiver 16 is informed by means of a notification signal 17 that the data packet 6 was received in unencrypted form and was subsequently encrypted by the switching center 4 .
  • Fig. 6 shows a possible process of creating the database.
  • the first step D1 in the creation of the database 7 can be a classification of the critical content 10, which can be sensitive package information.
  • a classification of critical packet senders that is to say the sending control unit 15, can be provided.
  • a third step D3 it can be provided that the receivers of the data packet 6 are classified. That is, a predetermined one for the respective receiver 16 Protective measure 11 or a predetermined Encryption state 8 be defined.
  • the classification of critical times or applications can be provided.
  • the classifications can be processed in order to be able to create the database 7 for the switching center 4.
  • an incoming data packet 6 can be examined by the switching center 4. It can be provided that it is checked whether critical content 10 is contained in the predetermined inspection objects 9 and whether a predetermined encryption state 8 of the data packet 6 is present.
  • the encryption state 8, the inspection objects 9 and the critical content 10 can be stored in the database 7 of the switching center 4. If this is the case, it can be provided that the sender 15 and / or the receiver 16 of the data packet 6 is read out in a step A3. In a step A4, it can be called up from the database 7 whether the sender 15 and / or the recipient 16 may receive this critical content 10.
  • the notification signal 17 is sent to the sender of the data packet 15 in a step A5 and the receiver 16 is notified in a step A6 in that the notification signal is sent to the recipient. In this case, it can be provided that forwarding of the data packet 6 to the receiver 16 is prevented. If reception is permitted, it can be provided that in step A7 the data packet 6 is forwarded to the receiver 16. If the switching center 4 recognizes in step A2 that there is no critical content in unencrypted form, it can be provided that the packet is also forwarded to the receiver 16.
  • step B1 the switching center 4 can send a received data packet 6 are checked whether critical content 10 is contained in the data packet in one of the predetermined inspection objects 9. If this is the case, it can be provided in a step B2 that the forwarding of the unencrypted data packet 6 is delayed and the data packet 6 is temporarily stored in the switching center 4. In step B3 it can be provided that the recipients of the data packet 6 are extracted from the data packet 6. In step B4, the switching center 4 can call up from the database 7 which encryption methods, that is, which encryption state 8 is required for the receiver 16. In step B5, the data packet 6 can be encrypted by the switching center 4, and the encryption can be specifically tailored to the respective recipients 16 of the data packet 6.
  • a forwarding of the data packet 6 by the switching center 4 can be provided in a step B6.
  • a step B7 it can be provided that the sender of the data packet 6 is informed by the switching center 4 by means of a notification signal 17 that the data packet 6 has been subsequently encrypted.
  • the required encryption state 8 for the receiver 16 can be updated in a database of the sender 15, for example.
  • step 9 shows an embodiment of a method as it can be carried out. Provision can be made for a subsequent encryption of an unencrypted data packet 6 by the switching center 4 in step B5.
  • the data packet 6 can be forwarded to the receiver 16 in a step B6 after the encryption.
  • step B7 it can be provided that notification of the sender 15 of the data packet 6 via necessary encryption algorithms for this data packet 6 in this way to this receiver 16 is necessary and that critical content 10 is contained in the data packet 6 in the inspection object 9 .
  • 10 shows a possible sequence of a method as it can be carried out.
  • the switching center 4 can determine that the encryption state 8 of the data packet 6 differs from the encryption state 8 provided in the database 7.
  • the forwarding of the data packet 6 to the receiver 16 is delayed and the data packet 6 is instead temporarily stored in the switching center 4.
  • the switching center 4 generates and sends the notification signal 17 for the receiver 16 of the data packet 6.
  • the notification signal 17 requests a feedback signal 18 from the receiver 16, this is sent by the receiver.
  • the sender 15 of the data packet 6 can deviate from the form of the encryption state 8 of the data packet 6 specified in the database 7 via the deviation of the encryption state 7 of the data packet 6.
  • step C6 it can be provided that a request is contained in the notification signal 17, which requests the sender 15 of the data packet 6 to send a feedback signal 18 about a further implementation of the method.
  • step C7 it may be possible that the switching center 4, depending on at least one feedback signal 18, sends the buffered data packet 6 back to the sender, deletes it or forwards it to the receiver 16.
  • Ethernet and radio technologies are currently only finding their way into motor vehicles and, thanks to their open and standardized protocols, offer the possibility to attack the motor vehicle from outside for the first time. Reports of attacks on motor vehicles are increasingly being read in the press, in which attackers have managed to access the motor vehicle by radio and were therefore also able to access important vehicle functions.
  • the challenge of the firewalls is to implement them with high performance in the control units of the vehicle.
  • the relatively weak controller and the additional requirements for energy saving mean that familiar IT concepts cannot be easily adapted.
  • the quality of the "security concept" in the vehicle is therefore always in contradiction to the available computing power.
  • the car manufacturers are already partly demanding separate controllers that implement the firewall functionality. For security reasons on the one hand and for performance reasons on the other.
  • ECU Electronic Control Unit internalize several control units (controllers) as well as several switching centers (switches) in a "box". These follow the trend towards a general reduction in the control units of a motor vehicle.
  • 5 and 6 show the basic principle of the invention.
  • the idea of the invention is to identify unsecured data packets, to make a report and possibly also to secure them subsequently. After receiving a data packet from a control unit (including the switching center), it is inspected and (in real time - the switches are able to do so to a certain payload depth) for sensitive information / critical data content. If this information is not secured (but should it be), it is subsequently encrypted and the sender is informed about it. In addition, the sender and / or the recipient can also be allowed to decide whether the data packet should really be forwarded or received.
  • the security of a vehicle network can be increased by the invention, in particular without additional financial expenditure.
  • the newly introduced Ethernet protocol in motor vehicles, mechanisms are necessary that take advantage of simple techniques and given properties of technologies in order to be able to do without expensive implementations and additional hardware.
  • the network system according to the invention is improved in terms of cost and reliability. The testability of the system is more clearly defined by the invention and can thereby
  • Test costs can be saved.
  • the invention offers transparent security functionality.
  • a status analysis is advantageously carried out first by classifying which package properties are sensitive and which properties they entail. This status analysis is then subjected to the uncovering of unencrypted information.
  • a detailed analysis is advantageously carried out by the procedure described above. leads, or detailed information is stored in order to be able to carry out an assessment of the security risk by forwarding the data packet as precisely as possible. This means that not only can security gaps be identified after delivery to the end customer, but software updates and upgrades can also be made possible.
  • the invention is advantageous because the topic of security and Ethernet in software is of great importance in the motor vehicle and will have increasing importance. The essence and the novelty of the invention is that the security of the vehicle network is increased (at the same cost).
  • Protocols such as IP, AVB and TSN have several thousand pages of specifications and test suites. The controllability of these new protocols in the automobile is not directly given.
  • the invention enables earlier detection of attacks and misconduct.
  • an analysis is first carried out according to the previously mentioned method by determining which communication participants are present and what properties they bring with them. This condition analysis is then subjected to a risk assessment to uncover gaps for possible attacks.
  • the collection or determination of parameters given in the network advantageously enables an exact analysis of the risk potential of a communication path.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Absicherung eines Datenpakets (6) durch eine Vermittlungsstelle (4) in einem Netzwerk (5). Die Erfindung sieht vor, dass durch eine sendende Steuereinheit (15) des Netzwerks (5) ein Datenpaket (6) über eine Vermittlungsstelle (4) des Netzwerks (5) an zumindest eine andere Steuereinheit (16) des Netzwerks (5) ausgesandt und durch die Vermittlungsstelle (4) empfangen wird. Durch die Vermittlungsstelle (4) wird zumindest ein Inspektionsobjekt (9) aus dem Datenpaket (6) ausgelesen und auf ein Vorliegen zumindest eines vorbestimmten kritischen Inhalts (10) untersucht. Das zumindest eine ausgelesene Inspektionsobjekt (9) wird durch die Vermittlungsstelle (4) auf einen in einer Datenbank (7) für das Inspektionsobjekt (9) festgelegten Verschlüsselungszustand (8) untersucht und falls das zumindest eine Inspektionsobjekt (9) keinen kritischen Inhalt (10) aufweist und/oder den festgelegten Verschlüsselungszustand (8) aufweist, das Datenpaket (6) an die zumindest eine andere Steuereinheit (16) weitergeleitet. Andernfalls wird eine für das Inspektionsobjekt (9) definierte Schutzmaßnahme (11) durchgeführt.

Description

Beschreibung
Verfahren zur Absicherung eines Datenpakets durch eine Ver mittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug
Die Erfindung betrifft ein Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, die Vermittlungsstelle zur Durchführung des Verfahrens und ein mit der Vermittlungsstelle ausgestattetes Kraftfahrzeug.
In Kraftfahrzeugen erfolgt die Kommunikation zunehmend über Ethernet. Aufgrund seiner offenen und standardisierten Pro tokolle ist durch Ethernet eine zusätzliche Gefährdung des Kraftfahrzeugs gegeben, welche über die klassischen Bordnetze wie CAN oder FlexRay nicht bestand. Aus diesem Grund ist es erforderlich, Sicherheitsmaßnahmen zu ergreifen, um die Kom munikation über Ethernet in einem Kraftfahrzeug abzusichern.
Ein zusätzliches Problem ist durch die sich ändernden Anfor derungen an das Fahrzeugnetzwerk gegeben. Aktuelle Fahrzeug netzwerke sind statisch konfiguriert, wodurch die Datenkom munikation zwischen Sendern und Empfängern des Fahrzeugs fest vorgegeben sind. Neue Architekturen stellen flexiblere An forderungen und erfordern einen modularen Aufbau. Dabei ist nicht immer klar, über welche Verbindungen die Kommunikation erfolgt. Auch der Empfänger der Datenpakete ist nicht zwangsläufig bei der Kommunikation vorgegeben. Daher kann die Problematik bestehen, dass die jeweiligen Empfänger unterschiedliche Anforderungen an die übertragenen Datenpakete haben. Ein besonders Problem stellt dabei die Absicherung und Verschlüsselung der Daten dar. Je nach dem Inhalt der Datenpakete in Übertragungswegen und der Empfänger bestehen unterschiedliche Anforderungen, die Datenpakete ab zusichern .
Es ist eine Aufgabe der Erfindung, eine transparente Absicherung von Datenpaketen für den jeweiligen Empfänger bereitzustellen. Durch die Erfindung wird ein Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk bereitgestellt. Eine solche Vermittlungsstelle kann bei spielsweise als Switch oder Router ausgestaltet sein. In dem Verfahren wird durch eine sendende Steuereinheit des Netzwerks ein Datenpaket über eine Vermittlungsstelle des Netzwerks an zumindest eine andere Steuereinheit des Netzwerks ausgesandt. Das Datenpaket wird durch die Vermittlungsstelle empfangen und zumindest ein Inspektionsobjekt aus dem Datenpaket ausgelesen. Das zumindest eine auszulesende Inspektionsobjekt ist durch eine in der Vermittlungsstelle gespeicherte Datenbank vorgegeben. Das zumindest eine ausgelesene Inspektionsobjekt wird durch die Vermittlungsstelle auf ein Vorliegen zumindest eines vorbe stimmten kritischen Inhalts untersucht. Der zumindest eine kritische Inhalt für das jeweilige Inspektionsobjekt ist in der Datenbank definiert. Das zumindest eine ausgelesene Inspek tionsobjekt wird durch die Vermittlungsstelle auf einen in der Datenbank für das Inspektionsobjekt festgelegten Verschlüs selungszustand untersucht. Falls das zumindest eine Inspek tionsobjekt keinen kritischen und zugleich unverschlüsselten Inhalt aufweist, wird das Datenpaket an die zumindest eine andere Steuereinheit in dem Netzwerk weitergeleitet. Andernfalls wird durch die Vermittlungsstelle eine in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme durchgeführt.
Mit anderen Worten wird ein Verfahren zum Betreiben einer Vermittlungsstelle in einem Netzwerk bereitgestellt. In dem Verfahren ist es vorgesehen, dass durch die sendende Steuer einheit des Netzwerks das Datenpaket an die zumindest eine andere Steuereinheit des Netzwerks ausgesandt wird, wobei der Versand über die Vermittlungsstelle des Netzwerks erfolgt. Wird das Datenpaket durch die Vermittlungsstelle empfangen, wird das Datenpaket durch die Vermittlungsstelle auf den zumindest einen vorbestimmten kritischen Inhalt in dem auszulesenden Inspek tionsobjekt untersucht. Das zumindest eine auszulesende In spektionsobjekt und der zumindest eine kritische Inhalt des Inspektionsobjekts sind in einer Datenbank der Vermittlungs stelle gespeichert. Zusätzlich wird das Inspektionsobjekt daraufhin untersucht, ob es den in der Datenbank festgelegten Verschlüsselungszustand aufweist. Weist das Datenpaket keinen kritischen unverschlüsselten Inhalt in dem zumindest einen Inspektionsobjekt auf, mit anderen Worten fehlt also ein kritischer Inhalt, der unverschlüsselt ist, wird das Datenpaket durch die Vermittlungsstelle an die zumindest eine weitere Steuereinheit in dem Netzwerk weitergeleitet. Ist dies nicht der Fall, wenn also der zumindest eine Inspektionsinhalt einen kritischen Inhalt aufweist, der unverschlüsselt ist, wird durch die Vermittlungsstelle die definierte Schutzmaßnahme durch geführt. Die Schutzmaßnahme ist dabei in der Datenbank für das jeweilige Inspektionsobjekt festgelegt.
Durch die Erfindung ergibt sich der Vorteil, dass eine transparente Sicherstellung eines geschützten Versands eines Datenpakets über das Netzwerk sichergestellt werden kann.
Es kann beispielsweise vorgesehen sein, dass die Vermitt lungsstelle des Netzwerks in einem Netzwerk eines Kraftfahrzeugs betrieben werden kann. Das Netzwerk kann nach dem Ether net-Standard aufgebaut sein und mehrere Steuereinheiten um fassen, welche über das Netzwerk die Datenpakete versenden können. Die Steuereinheiten können dabei einer jeweiligen Aufgabe innerhalb des Netzwerks zugewiesen sein. In Abhängigkeit von der Aufgabe der jeweiligen Steuereinheit kann es erforderlich sein, kritische Inhalte an eine jeweilige Steuereinheit zu verschlüsseln, um ein Auslesen oder eine Manipulation des Datenpakets unterbinden zu können. Die Anforderungen an die Verschlüsselung können sich dabei in Abhängigkeit von dem jeweiligen Inhalts des Datenpakets voneinander unterscheiden. Um die Belastung einer sendenden Steuereinheit zu minimieren, kann es auch vorgesehen sein, dass während des Verfahrens durch zumindest eine sendende Steuereinheit des Netzwerks das Da tenpaket über die Vermittlungsstelle des Netzwerks an die zumindest eine andere Steuereinheit des Netzwerks ausgesandt wird. Die Vermittlungsstelle kann die Datenbank aufweisen, in welcher das zumindest eine Inspektionsobjekt des Datenpakets festgelegt ist, welches durch die Vermittlungsstelle ausgelesen werden soll. Das Inspektionsobjekt kann beispielsweise einen Dateitypen, einen vorbestimmten Inhalt oder Metadaten des Datenpakets umfassen. In dem auszulesenden Inspektionsobjekt können Inhalte gespeichert sein, für welche ein erhöhter Si cherheitsstandard erforderlich sein kann. Es kann vorgesehen sein, dass der kritische Inhalt, der in dem Inspektionsobjekt enthalten sein kann, in der Datenbank definiert ist. Bei kritischen Inhalten kann es sich beispielsweise um Bilddaten einer Umfeldkamera des Fahrzeugs handeln oder um einen Schlüssel zur Verschlüsselung sicherheitsrelevanter Daten. Es kann vorgesehen sein, dass für den Fall, dass durch die Vermitt lungsstelle der vorbestimmte kritische Inhalt in unver schlüsselter Form oder in einer Form vorhanden ist, welche von einem für das Inspektionsobjekt festgelegten Verschlüsse lungszustand abweicht, eine nachträgliche Sicherung des Da tenpakets mittels der Schutzmaßnahme vorgesehen ist. Für den Fall, dass in dem zumindest einen Inspektionsobjekt kein kritischer Inhalt in unverschlüsselter Form vorhanden ist, kann es vorgesehen sein, dass das Datenpaket an die zumindest eine andere Steuereinheit in dem Netzwerk weitergeleitet wird. In diesem Fall kann es vorgesehen sein, dass keine weitere Ver arbeitung des Datenpakets durch die Vermittlungsstelle durchgeführt wird. Weist das Inspektionsobjekt dagegen den zumindest einen kritischen Inhalt auf, und ist dieser in un verschlüsselter Form vorhanden, kann es vorgesehen sein, dass die in der Datenbank für das Inspektionsobjekt bestimmte Schutz maßnahme durchgeführt wird. Dies kann beispielsweise bedeuten, dass eine Weiterleitung des Pakets erst nach der Durchführung der definierten Schutzmaßnahme durch die Vermittlungsstelle durchgeführt wird.
Die Erfindung umfasst auch Weiterbildungen, durch die sich weitere Vorteile ergeben.
Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme abhängig ist von der sendenden Steuereinheit. Mit anderen Worten ist es vorgesehen, dass für eine jeweilige sendende Steuereinheit eine jeweilige Schutzmaßnahme in der Datenbank beschrieben ist, welche durch die Vermittlungsstelle durchzuführen ist. Dadurch ergibt sich der Vorteil, dass die Schutzmaßnahmen auf die sendende Steuereinheit abgestimmt werden. Es kann beispielsweise vorgesehen sein, dass in der Datenbank vorgeschrieben ist, dass unverschlüsselte Inspektionsobjekte, welche einen kritischen Inhalt beinhaltern, in Abhängigkeit der Steuereinheit, welche das Datenpaket versandt hat oder die in dem Datenpaket als Absender geführt ist, verschlüsselt oder unverschlüsselt weitergeleitet wird.
Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme abhängig ist von einem Adressaten des Datenpakets. Mit anderen Worten ist die durch die Vermittlungsstelle durchgeführte Schutzmaßnahme abhängig von dem Adressaten, an welchen das Datenpaket versandt werden soll . Dadurch ergibt sich der Vorteil, dass auf Sicherheitsanforderungen des Empfängers eingegangen werden kann. Es kann beispielsweise vorgesehen sein, dass während der Schutzmaßnahme durch die Vermittlungsstelle ein Adresswert des Datenpakets ausgelesen wird, in welchem zumindest ein Adressat, an welchen das Datenpaket versandt werden soll, enthalten sein kann. In einem weiteren Schritt kann die Ver mittlungsstelle den ausgelesenen Adressaten verwenden, um die für den zumindest einen Adressaten vorgesehene Schutzmaßnahme aus der Datenbank auszulesen. Die Vermittlungsstelle kann dann beispielsweise für den jeweiligen Adressaten des Datenpakets die jeweilige Schutzmaßnahme durchführen. Die Schutzmaßnahmen können auch Unterschiede in Abhängigkeit des Adressaten auf weisen. So kann es beispielsweise vorgesehen sein, dass das Datenpaket an zwei Adressaten versandt werden kann, wobei sich die Schutzmaßnahmen für die jeweiligen Adressaten voneinander unterscheiden .
Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme abhängig ist von einem Anwendungsfall des Datenpakets. Mit anderen Worten ist es vorgesehen, dass der Anwendungsfall, in welchem das Datenpaket versandt wird, einen Einfluss auf die Schutzmaßnahme hat. Dadurch ergibt sich der Vorteil, dass beispielsweise zur Fehlerbehebung oder zur Protokollierung vorbestimmte Schutzmaßnahmen deaktiviert sein können.
Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme abhängig ist von einem Zeitpunkt der Aussendung des Datenpakets. Mit anderen Worten wird die durchzuführende Schutzmaßnahme von dem Zeitpunkt der Aussendung des Datenpakets beeinflusst. Es kann beispielsweise vorgesehen sein, dass die Schutzmaßnahme von vorbestimmten Zeitpunkten an einem Tag oder während eines Prozesses abhängen kann.
Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme eine Verschlüsselung des Datenpakets gemäß dem festgelegten Verschlüsselungszustand durch die Vermittlungsstelle umfasst. Mit anderen Worten umfasst die Schutzmaßnahme die Verschlüs selung des Datenpakets, wobei sich die Art und/oder der Umfang der Verschlüsselung nach dem festgelegten Verschlüsselungs zustand richten. Dadurch ergibt sich der Vorteil, dass das Datenpaket durch die Verschlüsselung vor einem Abhören durch unbefugte Dritte geschützt werden kann. Es kann beispielsweise vorgesehen sein, dass die Datenbank für das Inspektionsobjekt vorbestimmte Verschlüsselungsmethoden vorsieht. Dabei kann es vorgesehen sein, dass ein unverschlüsseltes Datenpaket oder ein Datenpaket, das einen anderen Verschlüsselungszustand als den festgelegten Verschlüsselungszustand aufweist, gemäß dem Verschlüsselungszustand verschlüsselt wird. Der Verschlüsse lungszustand kann den Verschlüsselungsalgorithmus, eine ver schlüsselungsabhängige Schlüssellänge und empfängerspezifische Verschlüsselungs zustände beschreiben .
Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme eine Blockade der Weiterleitung des Datenpakets an die zumindest eine andere Steuereinheit umfasst. Mit anderen Worten wird das Datenpaket durch die Vermittlungsstelle nicht an die zumindest eine andere Steuereinheit weitergeleitet, sondern eine Wei terleitung unterbunden. Dadurch ergibt sich der Vorteil, dass eine Weiterleitung eines unverschlüsselten oder gefährdeten Pakets unterbunden werden kann. Es kann beispielsweise vor gesehen sein, dass ein unverschlüsseltes Paket, welches in eine fahrzeugexterne Steuereinheit durch die Vermittlungsstelle weitergeleitet werden soll, abgefangen wird, sodass es nicht durch die Vermittlungsstelle an die fahrzeugexterne Steuer einheit übertragen wird.
Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme eine Generierung und Versendung zumindest eines Benachrich tigungssignals zur sendenden Steuereinheit und/oder an die zumindest eine andere Steuereinheit umfasst. Mit anderen Worten wird als Teil der Schutzmaßnahme das zumindest eine Benach richtigungssignal durch die Vermittlungsstelle generiert und an den Absender und/oder den Empfänger des Datenpakets übertragen. Dadurch ergibt sich der Vorteil, dass der Empfänger oder der Absender des Datenpakets über einen fehlerhaften Verschlüs selungszustand des Datenpakets informiert werden kann. Es kann beispielsweise vorgesehen sein, dass die Vermittlungsstelle bei einem Empfang des Datenpakets den zumindest einen kritischen Inhalt des Inspektionsobjekts in unverschlüsselter Form erfasst und mittels des Benachrichtigungssignals den Absender über diesen Umstand informiert. Das Benachrichtigungssignal kann auch Fehlerinformationen beinhalten, damit die absendende Steuer einheit das Benachrichtigungssignal erneut in verschlüsselter Form versenden kann.
Eine Weiterbildung der Erfindung sieht vor, dass die in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme eine Zwischenspeicherung des Datenpakets umfasst. Zudem wird das vorbestimmte Benachrichtigungssignal an die sendende Steuer einheit und/oder die zumindest eine andere Steuereinheit ausgesendet. Aus der sendenden Steuereinheit und/oder der zumindest einen anderen Steuereinheit empfängt die Vermitt- lungsstelle zumindest ein vorbestimmtes Rückmeldesignal. In Abhängigkeit von dem zumindest einen empfangenen Rückmeldesignal wird durch die Vermittlungsstelle eine der folgenden Reaktionen durchgeführt: Das zwischengespeicherte Datenpaket wird zu rückgesandt, gelöscht oder weitergeleitet.
Mit anderen Worten wird das Datenpaket von der Vermittlungsstelle empfangen und es erfolgt anstatt der Weiterleitung des Da tenpakets eine Zwischenspeicherung des Datenpakets in der Vermittlungsstelle. Die Vermittlungsstelle versendet das vorbestimmte Benachrichtigungssignal an die sendende Steuer einheit und/oder die zumindest eine andere Steuereinheit, um diese über den Empfang des Datenpakets zu informieren und um diese zu einer Übermittlung des zumindest einen vorbestimmten
Rückmeldesignals aufzufordern. Der weitere Ablauf des Verfahrens hängt von dem zumindest einen Rückmeldesignal ab, welches von der Vermittlungsstelle empfangen wird. Das Datenpaket kann gemäß der Anweisung des Rückmeldesignals durch die Vermittlungsstelle an die sendende Steuereinheit zurückgesandt werden, ohne eine Weiteleitung oder Rücksendung gelöscht werden oder an die zumindest eine empfangende Steuereinheit weitergeleitet werden.
Dadurch ergibt sich der Vorteil, dass der Verlauf des Verfahrens durch die empfangende Steuereinheit oder die sendende Steu ereinheit beeinflusst werden kann. Es kann beispielsweise vorgesehen sein, dass für den Fall, dass das Datenpaket un verschlüsselt ist, dieses vor der Durchführung der Weiterleitung in der Vermittlungsstelle gespeichert wird. Das Benachrich tigungssignal kann die sendende Steuereinheit und/oder die empfangende Steuereinheit über den Empfang des unverschlüsselten Datenpakets informieren und diese zur Übermittlung des vor bestimmten Rückmeldesignals auffordern. Zumindest eine der Steuereinheiten kann das Rückmeldesignal an die Vermitt lungsstelle übertragen und beispielsweise das Zurücksenden des Datenpakets an die sendende Steuereinheit anfordern, damit die sendende Steuereinheit das Datenpaket nachträglich ver schlüsseln und in vorgesehener Verschlüsselungsform an die Vermittlungsstelle senden kann. Die Erfindung umfasst auch eine Vermittlungsstelle für ein Netzwerk. Diese ist dazu eingerichtet, ein Datenpaket zu empfangen und ein Inspektionsobjekt aus dem Datenpaket aus zulesen, wobei das zumindest eine auszulesende Inspektionsobjekt durch eine in der Vermittlungsstelle gespeicherte Datenbank vorgegeben ist. Die Vermittlungsstelle ist dazu eingerichtet, das zumindest eine ausgelesene Inspektionsobjekt auf ein Vorliegen zumindest eines vorbestimmten kritischen Inhalts zu untersuchen, wobei der zumindest eine kritische Inhalt für das jeweilige Inspektionsobjekt in der Datenbank definiert ist. Die Vermittlungsstelle ist dazu eingerichtet, das zumindest eine ausgelesene Inspektionsobjekt auf einen in der Datenbank für das Inspektionsobjekt festgelegten Verschlüsselungszustand zu untersuchen und, falls das zumindest eine Inspektionsobjekt keinen kritischen und zugleich unverschlüsselten Inhalt auf weist, das Datenpaket an die zumindest eine andere Steuereinheit in dem Netzwerk weiterzuleiten und andernfalls eine in der Datenbank für das Inspektionsobjekt definierte Schutzmaßnahme durchzuführen .
Die Erfindung umfasst auch ein Kraftfahrzeug mit einer Ver mittlungsstelle für ein Netzwerk. Bei dem Kraftfahrzeug kann es sich beispielsweise um einen Lastkraftwagen oder einen Per sonenkraftwagen handeln.
Zu der Erfindung gehören auch Weiterbildungen der erfin dungsgemäßen Vermittlungsstelle und des erfindungsgemäßen Kraftfahrzeugs, die Merkmale aufweisen, wie sie bereits im Zusammenhang mit den Weiterbildungen des erfindungsgemäßen Verfahrens beschrieben worden sind. Aus diesem Grund sind die entsprechenden Weiterbildungen der erfindungsgemäßen Ver mittlungsstelle und des erfindungsgemäßen Kraftfahrzeugs hier nicht noch einmal beschrieben.
Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen. Im Folgenden ist ein Ausführungsbeispiel der Erfindung be schrieben. Hierzu zeigt:
Fig. 1 ein Steuergerät nach dem Stand der Technik;
Fig. 2 ein Steuergerät;
Fig. 3 einen Aufbau eines Stapels eines Kommunikations
protokolls eines Netzwerks;
Fig. 4 eine Vermittlungsstelle in einem Netzwerk;
Fig. 5 einen möglichen Verlauf eines Verfahrens;
Fig. 6 einen weiteren möglichen Ablauf einer Erstellung der
Datenbank;
Fig. 7 einen weiteren möglichen Verlauf eines Verfahrens;
Fig. 8 einen weiteren möglichen Verlauf eines Verfahrens;
Fig. 9 einen weiteren möglichen Verlauf eines Verfahrens ; und
Fig. 10 einen weiteren möglichen Verlauf eines Verfahrens.
In den Figuren sind funktionsgleiche Elemente jeweils mit denselben Bezugszeichen versehen.
Fig. 1 zeigt ein Steuergerät nach dem Stand der Technik. Das Steuergerät 1 ' umfasst eine Steuereinheit 2 ' und eine
Schnittstelle 3 ' . Bei dem Steuergerät 1 ' kann es sich bei spielsweise um ein Motorsteuergerät für ein Kraftfahrzeug 5 ' handeln. Die Steuereinheit 2' des Steuergeräts 1' kann bei spielsweise ein Mikrocontroller oder ein Mikroprozessor sein. Die Schnittstelle 3 des Steuergeräts 1 ' kann mit einem Netzwerk 5' verbunden sein. Über die Schnittstelle 3' kann es der Steuereinheit 2 ' des Steuergeräts 1 ' ermöglicht sein, Daten- pakete 6' an das Netzwerk 5' zu versenden oder aus dem Netzwerk 5 ' zu empfangen. Das Netzwerk 5 ' kann beispielsweise ein Netzwerk nach dem Ethernet-Standard sein.
Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
Fig. 2 zeigt ein Steuergerät 1. Das Steuergerät 1 kann bei spielsweise ein Motorsteuergerät eines Kraftfahrzeugs sein. Das Steuergerät 1 kann mehrere Mikrocontroller oder Mikroprozessoren als Steuereinheiten 2 aufweisen. Somit kann es vorgesehen sein, dass das Steuergerät 1 Funktionen übernimmt, welche nach dem Stand der Technik in mehreren verschiedenen einzelnen Steu ergeräten 1 implementiert werden. Das Steuergerät 1 kann die Schnittstelle 3 aufweisen, wodurch es den Steuereinheiten 2 ermöglicht sein kann, Datenpakte in das Netzwerk 5 zu versenden oder aus dem Netzwerk 5 zu empfangen.
Die jeweiligen Steuereinheiten 2 können mit Vermittlungsstellen des Steuergeräts 1 verbunden sein. Somit kann es vorgesehen sein, dass eine Steuereinheit 2, welche ein Datenpaket 6 in das Netzwerk 5 übertragen möchte, dieses zur Weiterleitung an eine der Vermittlungsstellen 4 des Steuergeräts 1 versendet, damit dieses durch die Vermittlungsstelle an die Schnittstelle 3 und weiter an den Empfänger übertragen kann. Es kann auch vorgesehen sein, dass ein Datenpaket 6 von einer Steuereinheit 2 des Steuergeräts 1 an eine andere Steuereinheit 2 des Steuergeräts 1 versandt wird, wobei dieser Versand ebenfalls über die Vermittlungsstelle 4 verlaufen kann. Bei einem Versand eines Datenpakets 6 an einen Empfänger in dem Netzwerk 5 kann es aus Sicherheitsgründen vorgeschrieben sein, dass dieses einen vorbestimmten Ver schlüsselungszustand 8 aufweist. Zudem kann die Vermitt lungsstelle 4 dazu eingerichtet sein, die vorbestimmten In spektionsobjekte 9 der Datenpakete 6 zu untersuchen. Bei den vorbestimmten Inspektionsobjekten 9 kann es sich beispielsweise um einen Dateninhalt oder vorbestimmte Metadaten des Datenpakets 6 handeln. Zu diesem Zweck können in der Datenbank 7 kritische Inhalte 10 definiert sein. Die kritischen Inhalte 10 können beispielsweise Schlüssel oder sicherheitsrelevante Daten um fassen .
Es kann vorgesehen sein, dass die Vermittlungsstelle die In spektionsobjekte 9 auf ein Vorliegen eines kritischen Inhalts 1 überprüft. Ist dies der Fall und handelt es sich bei dem Da tenpaket 6 um ein unverschlüsseltes Datenpaket oder ein Da tenpaket, welches vom vorgeschriebenen Verschlüsselungszustand 8 abweicht, kann es vorgesehen sein, dass das in der Datenbank für das Inspektionsobjekt 9 als Schutzmaßnahme 11 definierte Verfahren durchgeführt wird. Andernfalls kann es vorgesehen sein, dass das Datenpaket 6 durch die Vermittlungsstelle weitergeleitet werden kann.
Fig. 3 zeigt einen Aufbau eines Stapels 12 (Englisch: Stack) eines Kommunikationsprotokolls des Netzwerks 5. Eine Übertragung eines Datenpakets 6 kann über den Stapelaufbau 12 erfolgen, wobei der Stapelaufbau 12 niedere Protokollebenen 14 und höhere Proto kollebenen 13 umfassen kann. Bei den höheren Protokollebenen 13 kann es sich beispielsweise um die IP, die PCP oder eine Protokollebene einer Anwendung handeln. Nach dem Stand der Technik arbeiten Firewalls zum Absichern eines Netzwerks 5 auf den höheren Ebenen 13. Nachteilig daran ist, dass das niedere Übertragungsebenen 14 nicht durch eine Firewall abgesichert werden. Die Vermittlungsstelle 4 kann dazu eingerichtet sein, Inspektionsobjekte 9 auf kritische Inhalte 10 zu untersuchen, wobei die Untersuchung die niederen Protokollebenen 14 betreffen kann . Fig. 4 zeigt die Vermittlungsstelle 4 in einem Netzwerk 5. Es kann vorgesehen sein, dass die Vermittlungsstelle 4 dazu eingerichtet ist, das Datenpaket 6 von einer sendenden Steuereinheit 15 zu empfangen. Die Vermittlungsstelle 4 kann dazu eingerichtet sein, das empfangene Datenpaket 6 zu untersuchen, indem durch die Vermittlungsstelle zumindest ein Inspektionsobjekt 9 aus dem Datenpaket 6 ausgelesen wird. Das Inspektionsobjekt 9 kann auf ein Vorliegen eines kritischen Inhalts 10 geprüft werden. Die zu untersuchenden Inspektionsobjekte 9 und die kritischen Inhalte 10 können in der Datenbank 7 der Vermittlungsstelle 4 definiert sein. Die Vermittlungsstelle 4 kann auch den Verschlüsse lungszustand 8 des Datenpakets 6 untersuchen. Ist in dem Da tenpaket 6 ein unverschlüsselter kritischer Inhalt 10 in dem Inspektionsobjekt 9 enthalten, kann es vorgesehen sein, dass die Schutzmaßnahme 11 durchgeführt wird. Diese kann beispielsweise eine Blockade der Weiterleitung des Datenpakets umfassen. Es kann auch vorgesehen sein, dass das Datenpaket 6 nachträglich verschlüsselt wird, um den vorbestimmten Verschlüsselungszu stand 8 herzustellen und es dann an die empfangende Steuereinheit 16 weiterzuleiten. Es kann auch vorgesehen sein, dass das Datenpaket 6 zwischengespeichert wird und das zumindest eine Benachrichtigungssignal 17 an die sendende Steuereinheit 15 oder die empfangende Steuereinheit 16 versandt wird, wodurch die versendende Steuereinheit 15 oder die empfangende Steuereinheit 16 über das Vorliegen eines unverschlüsselten Datenpakets 6 informiert werden kann. Das Benachrichtigungssignal 17 kann eine Aufforderung zum Versand des Rückmeldesignals 18 an die Ver mittlungsstelle 4 umfassen. In dem Rückmeldesignal kann an gegeben sein, ob das zwischengespeicherte Datenpaket 6 zu rückgesandt wird an die sendende Steuereinheit 15, gelöscht wird oder an die empfangende Steuereinheit 16 weitergeleitet wird. Die zu untersuchenden Inspektionsobjekte 9, die kritischen Inhalte 10 und die zu ergreifenden Schutzmaßnahmen 11 in Bezug auf das Datenpaket 6 können abhängig sein von der versendenden Steu ereinheit 15, der empfangenden Steuereinheit 16, dem Anwen dungsfall des Datenpakets und dem Zeitpunkt der Versendung des Datenpakets 6. Es kann beispielsweise vorgeschrieben sein, dass an bestimmten Steuereinheiten ein vorbestimmtes Verschlüsse- lungsverfahren vorgesehen ist, wohingegen für eine andere der Steuereinheiten keine Verschlüsselung erforderlich sein kann. Das Verfahren kann beispielsweise in einem Kraftfahrzeug 19 durchgeführt werden.
Fig. 5 zeigt einen möglichen Verlauf eines Verfahrens, wie es ausgeführt werden kann. In einem ersten Schritt S1 kann es vorgesehen sein, dass das Datenpaket 6 durch die Vermitt lungsstelle 4 empfangen wird. In einem zweiten Schritt S2 kann es vorgesehen sein, dass durch die Vermittlungsstelle 4 das zumindest eine Inspektionsobjekt 9 aus dem Datenpaket 6 aus gelesen wird und das zumindest eine ausgelesenen Inspekti onsobjekt 9 durch die Vermittlungsstelle 4 auf das Vorliegen des zumindest einen vorbestimmten kritischen Inhalts 10 überprüft wird. Zudem kann es vorgesehen sein, dass das Datenpaket 6 dahingehend durch die Vermittlungsstelle untersucht wird, ob das ausgelesene Inspektionsobjekt 9 einen in der Datenbank 7 der Vermittlungsstelle festgelegten Verschlüsselungszustand 8 aufweist. In einem Schritt S3 kann es vorgesehen sein, dass für den Fall, dass das Datenpaket 6 oder das Inspektionsobjekt 9 nicht verschlüsselt sind oder von dem vorbestimmten Verschlüsse lungszustand abweicht, nachträglich verschlüsselt wird. Die Verschlüsselung kann dabei abhängig sein von dem Empfänger S10 des Datenpakets 6. Die Schutzmaßnahme kann auch umfassen, dass der Empfänger 16 mittels eines Benachrichtigungssignals 17 darüber informiert wird, dass das Datenpaket 6 in unver schlüsselter Form empfangen wurde und nachträglich durch die Vermittlungsstelle 4 verschlüsselt wurde.
Fig. 6 zeigt einen möglichen Ablauf einer Erstellung der Da tenbank. Der erste Schritt Dl bei der Erstellung der Datenbank 7 kann eine Klassifizierung der kritischen Inhalte 10, wobei es sich um sensible Paketinformationen handeln kann, sein. In einem zweiten Schritt D2 kann eine Klassifizierung kritischer Pa ketabsender, das kann heißen der versendenden Steuereinheit 15 vorgesehen sein. In einem dritten Schritt D3 kann es vorgesehen sein, dass die Empfänger des Datenpakets 6 klassifiziert werden. Das heißt, für den jeweiligen Empfänger 16 kann eine vorbestimmte Schutzmaßnahme 11 oder ein vorbestimmter Verschlüsselungszu stand 8 definiert sein. In einem Schritt D4 kann die Klassi fizierung kritischer Zeitpunkte oder Anwendungsfälle vorgesehen sein. In einem letzten Schritt D5 können die Klassifizierungen verarbeitet werden, um die Datenbank 7 für die Vermittlungsstelle 4 erstellen zu können.
Fig. 7 zeigt einen möglichen Ablauf eines Verfahrens, wie es ausgeführt werden kann. In dem ersten Schritt Al kann ein eintreffendes Datenpaket 6 durch die Vermittlungsstelle 4 untersucht werden. Dabei kann vorgesehen sein, dass überprüft wird, ob kritische Inhalte 10 in den vorbestimmten Inspekti onsobjekten 9 enthalten sind und ob ein vorbestimmter Ver schlüsselungszustand 8 des Datenpakets 6 vorliegt. Der Ver schlüsselungszustand 8, die Inspektionsobjekte 9 und die kritischen Inhalte 10 können in der Datenbank 7 der Vermitt lungsstelle 4 gespeichert sein. Wenn dies der Fall ist, kann vorgesehen sein, dass in einem Schritt A3 der Absender 15 und/oder der Empfänger 16 des Datenpakets 6 ausgelesen wird. In einem Schritt A4 kann aus der Datenbank 7 abgerufen werden, ob der Absender 15 und/oder der Empfänger 16 diese kritischen Inhalte 10 empfangen darf. Ist dies nicht der Fall, kann es vorgesehen sein, dass in einem Schritt A5 das Benachrichtigungssignal 17 an den Sender des Datenpakets 15 versandt wird und in einem Schritt A6 eine Benachrichtigung des Empfängers 16 erfolgt, indem das Benachrichtigungssignal an den Empfänger versandt wird. Es kann in diesem Fall vorgesehen sein, dass eine Weiterleitung des Datenpakets 6 an den Empfänger 16 unterbunden wird. Ist ein Empfang zulässig, kann es vorgesehen sein, dass in einem Schritt A7 die Weiterleitung des Datenpakets 6 an den Empfänger 16 durchgeführt wird. Wird in dem Schritt A2 durch die Vermitt lungsstelle 4 erkannt, dass keine kritischen Inhalte in un verschlüsselter Form vorliegen, kann es vorgesehen sein, dass das Paket ebenfalls an den Empfänger 16 weitergeleitet wird.
Fig. 8 zeigt einen möglichen Verlauf eines Verfahrens, wie es ausgeführt werden kann. In einem ersten Schritt Bl kann durch die Vermittlungsstelle 4 ein empfangenes Datenpaket 6 dahingehend überprüft werden, ob in dem Datenpaket in einem der vorbestimmten Inspektionsobjekte 9 kritischer Inhalt 10 enthalten ist. Wenn dies der Fall ist, kann es in einem Schritt B2 vorgesehen sein, dass eine Weiterleitung des unverschlüsselten Datenpakets 6 verzögert wird und das Datenpaket 6 in der Vermittlungsstelle 4 zwischengespeichert wird. In einem Schritt B3 kann es vorgesehen sein, dass die Empfänger des Datenpakets 6 aus dem Datenpaket 6 extrahiert werden. In dem Schritt B4 kann aus der Datenbank 7 durch die Vermittlungsstelle 4 abgerufen werden, welche Ver schlüsselungsmethoden, das heißt welcher Verschlüsselungszu stand 8, für die Empfänger 16 erforderlich ist. In dem Schritt B5 kann eine Verschlüsselung des Datenpakets 6 durch die Vermittlungsstelle 4 erfolgen, wobei die Verschlüsselung spezifisch auf die jeweiligen Empfänger 16 des Datenpakets 6 abgestimmt sein kann. In einem Schritt B6 kann eine Weiterleitung des Datenpakets 6 durch die Vermittlungsstelle 4 vorgesehen sein. In einem Schritt B7 kann es vorgesehen sein, dass der Sender des Datenpakets 6 durch die Vermittlungsstelle 4 mittels eines Benachrichtigungssignals 17 darüber informiert wird, dass eine nachträgliche Verschlüsselung des Datenpakets 6 durchgeführt wurde. Dadurch kann beispielsweise in einer Datenbank des Absenders 15 beispielsweise der erforderliche Verschlüsse lungszustand 8 für den Empfänger 16 aktualisiert werden.
Fig. 9 zeigt eine Ausführungsform eines Verfahrens, wie es ausgeführt werden kann. Es kann vorgesehen sein, dass in dem Schritt B5 eine nachträgliche Verschlüsselung eines unver schlüsselten Datenpakets 6 durch die Vermittlungsstelle 4 durchgeführt wird. Das Datenpaket 6 kann in einem Schritt B6 nach der Verschlüsselung an den Empfänger 16 weitergeleitet werden. In einem Schritt B7 kann es vorgesehen sein, dass eine Be nachrichtigung des Absenders 15 des Datenpakets 6 über notwendige Verschlüsselungsalgorithmen für dieses Datenpaket 6 auf diesem Weg zu diesem Empfänger 16 erforderlich ist und dass in dem Datenpaket 6 in dem Inspektionsobjekt 9 kritische Inhalte 10 enthalten sind. Fig. 10 zeigt einen möglichen Ablauf eines Verfahrens, wie es ausgeführt werden kann. In einem Schritt C2 kann durch die Vermittlungsstelle 4 festgestellt werden, dass der Ver schlüsselungszustand 8 des Datenpakets 6 von dem in der Datenbank 7 vorgesehenen Verschlüsselungszustand 8 abweicht. Aus diesem Grund kann es vorgesehen sein, dass die Weiterleitung des Datenpakets 6 an den Empfänger 16 verzögert wird und das Da tenpaket 6 stattdessen in der Vermittlungsstelle 4 zwischen gespeichert wird. In einem Schritt C3 kann es vorgesehen sein, dass durch die Vermittlungsstelle 4 das Benachrichtigungssignal 17 für den Empfänger 16 des Datenpakets 6 erstellt und versandt wird. In einem Schritt C4 kann es vorgesehen sein, dass für den Fall, dass das Benachrichtigungssignal 17 ein Rückmeldesignal 18 von dem Empfänger 16 anfordert, dieses durch den Empfänger versandt wird. Nach dem Versand des Benachrichtigungssignals an den Empfänger des Datenpakets kann es vorgesehen sein, dass der Absender 15 des Datenpakets 6 über die Abweichung des Ver schlüsselungszustands 7 des Datenpakets 6 von der in der Da tenbank 7 vorgegebenen Form des Verschlüsselungszustands 8 des Datenpakets 6 abweichen kann. In einem Schritt C6 kann es vorgesehen sein, dass eine Anforderung in dem Benachrichti gungssignal 17 enthalten ist, welches den Absender 15 des Datenpakets 6 auffordert, ein Rückmeldesignal 18 über eine weitere Durchführung des Verfahrens zu versenden. In einem Schritt C7 kann es möglich sein, dass die Vermittlungsstelle 4 in Abhängigkeit zumindest des einen Rückmeldesignals 18 das zwischengespeicherte Datenpaket 6 an den Absender zurücksendet, es löscht oder an den Empfänger 16 weiterleitet.
Auf Basis der physikalischen Schicht Ethernet und dem darüber liegenden Internet-Protokoll, finden erstmals Techniken Einzug ins Bordnetz die gerade außerhalb des Kraftfahrzeugs seit Jahrzehnten stark verbreitet sind. Hierbei bietet sich auch ein potentiell höheres Angriffsrisiko welches mit den Bordnetzen wie CAN und FlexRay heute nicht bestand, da diese dem „normalen Hacker" schlicht nicht bekannt sind. Gerade im Hinblick auf einen immer stärker werdenden Einsatz der Protokolle Ethernet und IP werden Sicherheitsmechanismen immer wichtiger, denn das Kraftfahrzeug wurde bereits als neuer Angriffspunkt identi fiziert. Genau deswegen sind neue Sicherheitsmechanismen und Funktionen notwendig die das Kraftfahrzeug sicherer vor An griffen machen. Ethernet und Funktechnologien erfahren zurzeit erst Einzug in das Kraftfahrzeug und birgt durch seine offenen und standardisierten Protokolle erstmals die Möglichkeit das Kraftfahrzeug auch von außen anzugreifen. Vermehrt sind in der Presse Meldungen über Angriffe auf Kraftfahrzeuge zu lesen, bei denen es Angreifer über Funk geschafft haben Zugriff auf das Kraftfahrzeug zu gelangen und somit auch auf wichtige Fahr zeugfunktionen zugreifen konnten.
Die Herausforderung der Firewalls (bzw. von Security im All gemeinen) ist dabei, diese performant in den Steuergeraten des Fahrzeuges umzusetzen. Die relativ rechenschwachen Controller und die weiteren Anforderungen nach Energieersparnis führen dazu, dass bekannte Konzepte aus der IT nicht so einfach adaptiert werden können. Die Güte „Sicherheitskonzept" im Fahrzeug steht daher auch immer im Wiederspruch zur verfügbaren Rechenleistung. Die Autoherstellern fordern schon heute zum Teil separate Controller die die Firewall-Funktionalität umsetzen. Zum einen aus Sicherheitsgründen und zum anderen aus Performancegründen.
Aktuell ist man interessiert an Sicherheitsmechanismen, um Ethernet ausreichend für Kraftfahrzeuge abzusichern. Die derzeitigen Sicherheitslösungen beschränken sich zu 100% auf die Software und sind durch Firewalls umgesetzt. Diese verbrauchen zum einen immer hohe Ressourcen und zum anderen ist der Angreifer dann schon immer im System. Wie das Problem von Intel erst deutlich gemacht hat können auch Fehler tief in der Hardware auftreten, welche prinzipiell nicht von einer Firewall erkannt werden können. Weiterhin stellen die Firewalls heute die einzige Sicherheitsmethode/Komponente im Fahrzeug dar. Im Hinblick auf das automatisierte und autonome Fahren wird auch beim Thema Security eine Redundanz notwendig sein, welche das Bordnetz sicherer gegen Angriffe macht. Heute gibt es noch keine Lösungen dafür im Bordnetz. Mit dem zunehmenden Einsatz von Kameras in Kraftfahrzeugen stellt sich automatisch die Frage nach dem Datenschutz und dem Schutz der Privatperson. Die Videoüberwachung stellt naturgemäß einen erheblichen Eingriff in das Persönlichkeitsrecht der Be schäftigten als Betroffene dar. Der Einzelne hat das grund gesetzlich geschützte Recht, selbst über das eigene Bild und dessen Verwendung zu bestimmen. Durch Videoüberwachung im Kraftfahrzeug (Innenraum, Umfeld) - auch solche zu Zwecken des Diebstahlschutzes - besteht immer die latente Gefahr, dass Beschäftigte überwacht werden und/oder diese Daten nach außen geleitet werden oder auch unverschlüsselt gespeichert werden. Kommende autonom fahrende Kraftfahrzeuge werden mit mindestens acht Kameras und auch Datenloggern ausgestattet sein. Die Verschlüsselung zum Datenschutz der Außenwelt, oder auch des Fahrers ist ein kommendes Thema - gerade im Hinblick auf die derzeit entwickelten Datenlogger welche genau diese Daten aufzeichnen sollen.
Fig. 4 zeigt exemplarisch zwei neuartige Steuergerätkonzepte . Diese leistungsstarken Steuergeräte (ECU Electronic Control Unit) verinnerlichen mehrere Steuereinheiten (Controller) als auch mehrere Vermittlungsstellen (Switches) in einer „Box". Diese folgen dem Trend zur allgemeinen Reduzierung der Steu ergeräte eines Kraftfahrzeuges. Gerade für diese Steuergeräte müssen Sicherheitslösungen angeboten werden, weil hier bei einem großen Steuergerät sehr viele Funktionen bei einem Angriff ausgelöscht werden können, im Vergleich zu einem normalen Steuergerät heute. Heutige Fahrzeugnetzwerke sind statisch konfiguriert, dass heißt die Datenkommunikation (Sender-, Empfänger und Datenbeziehung) stehen spätestens bei der Ban- dendeprogrammierug des Kraftfahrzeuges fest. Die kommenden Architekturen und der Wunsch nach denvice-oriented communication wiedersprechen dem heutigen Ansatz und verlangen nach neuen Konzepten. Für die nächsten Generationen wird nicht immer klar sein, wer der Empfänger der Datenpakete ist und welchen Weg die Datenpakete gehen. Jeder Empfänger kann daher unterschiedliche Anforderungen an die Übertragung der Datenpakete haben (z.B. externe Steuergeräte, Cloud, ungeschützte Steuergeräte) . Das Steuergerät muss in Zukunft dynamisch auf die Anforderungen des Empfängers die Datenübertragungsmechanismen verändern.
Fig. 5 und Fig. 6 zeigen das Grundprinzip der Erfindung. Die Idee der Erfindung ist es, ungesicherte Datenpakete zu identifi zieren, eine Meldung zu machen und eventuell auch nachträglich abzusichern. Nach dem Empfang eines Datenpaketes eines Steu ergeräts (inklusive Vermittlungsstelle (Switch) ) wird dieses inspiziert und (in Echtzeit- dazu sind die Switche in der Lage bis zu einer gewissen Payload-Tiefe) nach sensiblen Informa tionen/ kritische Dateninhalte durchsucht. Sind diese Infor mationen nicht abgesichert (sollten es jedoch) so werden diese nachträglich verschlüsselt und der Absender darüber benach richtigt. Außerdem kann dem Absender und/oder dem Empfänger auch ermöglicht werden, zu entscheiden, ob das Datenpaket wirklich weitergesandt oder empfangen werden soll.
In vorteilhafter Weise kann durch die Erfindung die Sicherheit eines Fahrzeugnetzwerks erhöht werden, insbesondere ohne fi nanziellen Mehraufwand. Mit der Nutzung des neu eingeführten Ethernet-Protokolls im Kraftfahrzeug sind Mechanismen not wendig, die sich einfache Techniken und gegebene Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können. Durch frühzeitigere Erkennung von Angriffen und Fehlverhalten mittels der frühen Analyse der Kommunikationspfade lassen sich Lücken und Fehler vor der Auslieferung des Kraftfahrzeugs erkennen. Das erfindungsgemäße Netzwerksystem ist im Hinblick auf Kosten und Zuverlässigkeit verbessert. Die Testbarkeit des Systems wird durch die Erfindung klarer definiert und dadurch können
Testkosten gespart werden. Zudem bietet die Erfindung eine transparente Sicherheitsfunktionalität. Vorteilhaft wird zu nächst eine Zustandsanalyse durchgeführt, indem klassifiziert wird, welche Paketeigenschaften sensibel sind und welche Ei genschaften diese mit sich bringen. Diese Zustandsanalyse wird dann zum Aufdecken von unverschlüsselten Informationen un terzogen. Weiterhin vorteilhaft wird durch die zuvor be schriebene Vorgehensweise eine detaillierte Analyse durchge- führt, beziehungsweise es sind detaillierte Informationen hinterlegt, um eine Bewertung des Sicherheitsrisikos über die Weiterleitung des Datenpakets so genau wie möglich vornehmen zu können. Somit können vorteilhaft nicht nur Sicherheitslücken nach der Auslieferung an den Endkunden erkannt werden sondern auch Software-Updates und Upgrades ermöglicht werden. Die Erfindung ist vorteilhaft, weil das Thema Security und Ethernet in der Software eine große Bedeutung im Kraftfahrzeug hat und zunehmend haben wird. Der Kern und die Neuwertigkeit der Er findung ist es, dass die Sicherheit des Fahrzeugnetzwerks erhöht wird (bei gleichen Kosten) . Mit dem Einzug von Ethernet sind unter anderem auch Mechanismen notwendig, die sich einfache Techniken und gegebene Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können. Die neuen Technologien sind im Kraft fahrzeug nicht mehr aufzuhalten. Protokolle wie IP, AVB und TSN haben mehrere Tausend Seiten an Spezifikationen und Testsuites. Die Beherrschbarkeit dieser neuen Protokolle im Automobil ist nicht direkt gegeben. Durch die Erfindung wird eine frühzeitigere Erkennung von Angriffen und Fehlverhalten ermöglicht. Vor teilhaft wird somit nach dem bisher genannten Verfahren zunächst eine Analyse durchgeführt, indem ermittelt wird, welche Kom munikationsteilnehmer vorhanden sind und welche Eigenschaften diese mit sich bringen. Diese Zustandsanalyse wird dann zum Aufdecken von Lücken für mögliche Angriffe einer Risikobewertung unterzogen. Vorteilhaft wird durch die Sammlung bzw. Ermittlung von im Netzwerk gegebenen Parametern eine genaue Analyse des Gefährdungspotentials eines Kommunikationspfads möglich.
Dadurch ergibt sich eine transparente Sicherheitsfunktiona lität. Die Testbarkeit des Systems wird durch das Verfahren klarer definiert und dadurch können Testkosten gespart werden.
Insgesamt zeigten die Beispiele, wie durch die Erfindung ein Verfahren zur Absicherung von Datenpaketen bereitgestellt werden kann . Bezugszeichenliste
1 Steuergerät
2 Steuereinheit
3 Schnittstelle
4 Vermittlungsstelle
5 Netzwerk
6 Datenpaket
7 Datenbank
8 Verschlüsselungszustand
9 Inspektionsobj ekt
10 Kritischer Inhalt
11 Schutzmaßnahme
12 Stapelaufbau
14 Obere Protokollebene
14 Untere Protokollebene
15 Absender
16 Empfänger
17 BenachrichtigungsSignal 18 RückmeldeSignal
19 Kraftfahrzeug

Claims

Patentansprüche
1. Verfahren zur Absicherung eines Datenpakets (6) durch eine Vermittlungsstelle (4) in einem Netzwerk (5),
d a d u r c h g e k e n n z e i c h n e t , dass
- durch eine sendende Steuereinheit (15) des Netzwerks (5) ein Datenpaket (6) über die Vermittlungsstelle (4) des
Netzwerks (5) an zumindest eine andere Steuereinheit (16) des Netzwerks (5) ausgesandt wird,
- das Datenpaket (6) durch die Vermittlungsstelle (4)
empfangen wird,
- durch die Vermittlungsstelle (4) zumindest ein Inspek tionsobjekt (9) aus dem Datenpaket (6) ausgelesen wird, wobei das zumindest eine auszulesende Inspektionsobjekt (9) durch eine in der Vermittlungsstelle (4) gespeicherten Datenbank (7) vorgegeben ist,
- das zumindest eine ausgelesene Inspektionsobjekt (9) durch die Vermittlungsstelle (4) auf ein Vorliegen zumindest eines vorbestimmten kritischen Inhalts (10) untersucht wird, wobei der zumindest eine kritische Inhalt (10) für das jeweilige Inspektionsobjekt (9) in der Datenbank (7) definiert ist,
- das zumindest eine ausgelesene Inspektionsobjekt (9) durch die Vermittlungsstelle (4) auf einen in der Datenbank (7) für das Inspektionsobjekt (9) festgelegten Verschlüsse lungszustand (8) untersucht wird, und
- falls das zumindest eine Inspektionsobjekt (9) keinen kritischen Inhalt (10) aufweist und/oder das Inspekti onsobjekt (9) den festgelegten Verschlüsselungszustand (8) aufweist, das Datenpaket (6) an die zumindest eine andere Steuereinheit (16) in dem Netzwerk (5) weitergeleitet wird, und
- andernfalls eine in der Datenbank (7) für das Inspekti onsobjekt definierte Schutzmaßnahme (11) durchgeführt wird .
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die in der Datenbank (7) für das Inspektionsobjekt (9) definierte Schutzmaßnahme (11) abhängig ist von der sendenden Steuereinheit (15) .
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die in der Datenbank (7) für das Inspektionsobjekt (9) definierte Schutzmaßnahme (11) abhängig ist von einem Adressaten (16) des Datenpakets ( 6) .
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die in der Datenbank (7) für das In spektionsobjekt (9) definierte Schutzmaßnahme (11) abhängig ist von einem Anwendungsfall des Datenpakets (6) .
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die in der Datenbank (7) für das In spektionsobjekt (9) definierte Schutzmaßnahme (11) abhängig ist von einem Zeitpunkt der Aussendung des Datenpakets (6) .
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die in der Datenbank (7) für das In spektionsobjekt (9) definierte Schutzmaßnahme (11) eine Ver schlüsselung des Datenpakets (6) gemäß dem festgelegten Ver schlüsselungszustand (8) durch die Vermittlungsstelle (4) umfasst .
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die in der Datenbank (7) für das In spektionsobjekt (9) definierte Schutzmaßnahme (10) eine Blockade der Weiterleitung des Datenpakets (6) an die zumindest eine andere Steuereinheit (16) umfasst.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die in der Datenbank (7) für das In spektionsobjekt (9) definierte Schutzmaßnahme (11) eine Ge nerierung und Versendung zumindest eines Benachrichtigungs signals (17) an die sendende Steuereinheit (15) und/oder an die zumindest eine andere Steuereinheit (16) umfasst.
9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass
- die in der Datenbank (7) für das Inspektionsobjekt (9) de finierte Schutzmaßnahme (11) eine Zwischenspeicherung des Datenpakets umfasst (6),
- das vorbestimmte Benachrichtigungssignal (17) an die sendende Steuereinheit (15) und/oder die zumindest eine andere Steu ereinheit (16) ausgesendet wird,
- aus der sendenden Steuereinheit (15) und/oder der zumindest einen anderen Steuereinheit (16) zumindest ein vorbestimmtes Rückmeldesignal (18) durch die Vermittlungsstelle (4) empfangen wird,
- in Abhängigkeit von dem zumindest einen empfangenen Rück meldesignal (18) eine der folgenden Reaktionen durchgeführt wird: das zwischengespeicherte Datenpaket (6) wird zurückge sandt, gelöscht, weitergeleitet.
10. Vermittlungsstelle (4) für ein Netzwerk (5),
d a d u r c h g e k e n n z e i c h n e t , dass
die Vermittlungsstelle (4) dazu eingerichtet ist,
- ein Datenpaket (6) zu empfangen,
- ein Inspektionsobjekt (9) aus dem Datenpaket (6) auszu lesen, wobei das zumindest eine auszulesende Inspekti onsobjekt (9) durch eine in der Vermittlungsstelle (4) gespeicherten Datenbank (7) vorgegeben ist,
- das zumindest eine ausgelesene Inspektionsobjekt (9) auf ein Vorliegen zumindest eines vorbestimmten kritischen Inhalts (10) zu untersuchen, wobei der zumindest eine kritische Inhalt (10) für das jeweilige Inspektionsobjekt (9) in der Datenbank (7) definiert ist,
- das zumindest eine ausgelesene Inspektionsobjekt (9) auf einen in der Datenbank (7) für das Inspektionsobjekt (9) festgelegten Verschlüsselungszustand (8) zu untersuchen, und
- falls das zumindest eine Inspektionsobjekt (9) keinen kritischen Inhalt (10) aufweist und/oder das Inspekti onsobjekt (9) den festgelegten Verschlüsselungszustand (8) aufweist, das Datenpaket (6) an die zumindest eine andere Steuereinheit (16) in dem Netzwerk (5) weiterzuleiten, und andernfalls eine in der Datenbank (7) für das Inspekti onsobjekt definierte Schutzmaßnahme (11) durchzuführen.
11. Kraftfahrzeug (19) mit einer Vermittlungsstelle (4) für ein Netzwerk (5) nach Anspruch 10.
PCT/EP2019/074857 2018-10-02 2019-09-17 Verfahren zur absicherung eines datenpakets durch eine vermittlungsstelle in einem netzwerk, vermittlungsstelle und kraftfahrzeug WO2020069852A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018216959.4 2018-10-02
DE102018216959.4A DE102018216959B4 (de) 2018-10-02 2018-10-02 Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug

Publications (1)

Publication Number Publication Date
WO2020069852A1 true WO2020069852A1 (de) 2020-04-09

Family

ID=67999626

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2019/074857 WO2020069852A1 (de) 2018-10-02 2019-09-17 Verfahren zur absicherung eines datenpakets durch eine vermittlungsstelle in einem netzwerk, vermittlungsstelle und kraftfahrzeug

Country Status (2)

Country Link
DE (1) DE102018216959B4 (de)
WO (1) WO2020069852A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022130306A1 (de) 2022-11-16 2024-05-16 Cariad Se Verfahren zum Verarbeiten von Nachrichten, Verfahren zum Betreiben zumindest einer Einrichtung eines Kraftfahrzeugs, Vorrichtung zum Verarbeiten von Nachrichten sowie Kraftfahrzeug

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3133774A1 (de) * 2014-04-17 2017-02-22 Panasonic Intellectual Property Corporation of America Fahrzeugmontiertes netzwerksystem, elektronische steuereinheit für anomalieerkennung und anomalieerkennungsverfahren
WO2017148559A1 (de) * 2016-03-03 2017-09-08 Siemens Aktiengesellschaft Verfahren und analysemodul zur überprüfung von verschlüsselten datenübertragungen

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US8341720B2 (en) * 2009-01-09 2012-12-25 Microsoft Corporation Information protection applied by an intermediary device
EP3825886A1 (de) * 2012-03-29 2021-05-26 Arilou Information Security Technologies Ltd. Schutz eines elektronischen fahrzeugsystems
US11397801B2 (en) * 2015-09-25 2022-07-26 Argus Cyber Security Ltd. System and method for controlling access to an in-vehicle communication network
JP6286749B2 (ja) * 2015-10-21 2018-03-07 本田技研工業株式会社 通信システム、制御装置、及び制御方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3133774A1 (de) * 2014-04-17 2017-02-22 Panasonic Intellectual Property Corporation of America Fahrzeugmontiertes netzwerksystem, elektronische steuereinheit für anomalieerkennung und anomalieerkennungsverfahren
WO2017148559A1 (de) * 2016-03-03 2017-09-08 Siemens Aktiengesellschaft Verfahren und analysemodul zur überprüfung von verschlüsselten datenübertragungen

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ROBERT MOSKOWITZ: "A look at Securing the Automotive Ethernet", INSTITUTE OF ELECTRICAL AND ELECTRONICS ENGINEERS (IEEE) DRAFT; AE-MOSKOWITZ-AUTO-ETHERNET-0716-V01, 25 July 2016 (2016-07-25), XP068109595 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022130306A1 (de) 2022-11-16 2024-05-16 Cariad Se Verfahren zum Verarbeiten von Nachrichten, Verfahren zum Betreiben zumindest einer Einrichtung eines Kraftfahrzeugs, Vorrichtung zum Verarbeiten von Nachrichten sowie Kraftfahrzeug

Also Published As

Publication number Publication date
DE102018216959A1 (de) 2020-04-02
DE102018216959B4 (de) 2020-11-12

Similar Documents

Publication Publication Date Title
EP3425865B1 (de) Verfahren und vorrichtung zur rückwirkungsfreien unidirektionalen übertragung von daten an einen abgesetzten anwendungsserver
DE69533024T2 (de) Zugriffskontrollsystem für an einem Privatnetz angeschlossene Computer
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE19952527C2 (de) Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen unterscheidbaren Netzen
EP2981926B1 (de) Datenspeichervorrichtung zum geschützten datenaustausch zwischen verschiedenen sicherheitszonen
DE102015001054A1 (de) Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE102017202022A1 (de) Kraftfahrzeug mit einem fahrzeuginternen Datennetzwerk sowie Verfahren zum Betreiben des Kraftfahrzeugs
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102015205833A1 (de) Einweg-Koppelvorrichtung, Anfrageeinrichtung und Verfahren zum rückwirkungsfreien Übertragen von Daten
DE102014113582A1 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
EP3437297A1 (de) Verfahren und integritätsprüfsystem zur rückwirkungsfreien integritätsüberwachung
DE112019005529T5 (de) Fahrzeugseitige Kommunikationsvorrichtung, Kommunikationssteuerverfahren und Kommunikationssteuerprogramm
EP3542510A1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
DE102017219661A1 (de) Verfahren zum Betreiben eines Steuergeräts
DE102018216959B4 (de) Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
DE102017212474A1 (de) Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
DE102012208290B4 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
DE102018220324A1 (de) Verfahren zur Überwachung eines Datenübertragungssystems, Datenübertragungssystem und Kraftfahrzeug
WO2015062812A1 (de) Sicherheitsrelevantes system mit supervisor
WO2022128829A1 (de) Gateway, speziell für ot-netzwerke
DE102017105396A1 (de) System zum elektronischen Signieren eines Dokuments

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19773021

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19773021

Country of ref document: EP

Kind code of ref document: A1