WO2023041221A1 - Verfahren zum erkennen eines unterdrückens einer sicherheitsrelevanten datenübertragung von einem fahrzeug an einen fahrzeugexternen server, computerlesbares medium, system, und fahrzeug - Google Patents

Verfahren zum erkennen eines unterdrückens einer sicherheitsrelevanten datenübertragung von einem fahrzeug an einen fahrzeugexternen server, computerlesbares medium, system, und fahrzeug Download PDF

Info

Publication number
WO2023041221A1
WO2023041221A1 PCT/EP2022/069245 EP2022069245W WO2023041221A1 WO 2023041221 A1 WO2023041221 A1 WO 2023041221A1 EP 2022069245 W EP2022069245 W EP 2022069245W WO 2023041221 A1 WO2023041221 A1 WO 2023041221A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
data transmission
external server
safety
function
Prior art date
Application number
PCT/EP2022/069245
Other languages
English (en)
French (fr)
Inventor
Michael Weiner
Peter Winklhofer
Robert MEINLSCHMIDT
Theresa REINER
Markus ANTON
Original Assignee
Bayerische Motoren Werke Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke Aktiengesellschaft filed Critical Bayerische Motoren Werke Aktiengesellschaft
Priority to CN202280061100.8A priority Critical patent/CN117917045A/zh
Publication of WO2023041221A1 publication Critical patent/WO2023041221A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Definitions

  • the current data transmission can include one or more data packets from one or more control units of the vehicle, the current data transmission including collected data packets from all control units of the vehicle.
  • the invention is characterized by a system for detecting suppression of a safety-relevant data transmission from a vehicle to a server external to the vehicle by the server external to the vehicle, the system being designed to carry out the method described above.
  • FIG. 1 shows an exemplary method for detecting a suppression of a safety-relevant data transmission from a vehicle to a vehicle-external server
  • FIG. 2 shows an exemplary system for detecting a suppression of a safety-relevant data transmission from a vehicle to a vehicle-external server.
  • FIG. 1 shows an exemplary method 100 for detecting a suppression of a safety-relevant data transmission from a vehicle to a vehicle-external server.
  • the method 100 can receive a current data transmission of the vehicle through a first function of the vehicle-external server 102.
  • the current data transmission can include one or more data packets for a customer function, a service or diagnostic function, and/or a safety-related function of the vehicle-external server.
  • the current data transmission preferably includes at least one data packet for a function of the vehicle-external server.
  • the vehicle can have an intrusion detection system, IDS for short, for example.
  • the vehicle-external server can determine a frequency of safety-relevant data transmissions in relation to a frequency of current data transmissions. If the frequency of safety-relevant data transmissions falls below a predetermined threshold value in relation to the frequency of current data transmissions, the vehicle-external server can determine that the safety-relevant data transmission has been suppressed.
  • the above-mentioned options for checking the current data transmission for plausibility can be determined in relation to an individual control unit of the vehicle, a subset of control units of the vehicle, and/or all control units of the vehicle.
  • the vehicle-external server can thus flexibly determine a suppression of a safety-relevant data transmission for the vehicle's control devices and more precisely identify one or more control devices whose safety-relevant data transmission is suppressed.
  • the method 100 can detect the suppression of a current, safety-relevant data transmission to the safety-relevant function of the vehicle-external server by the vehicle-external server depending on the plausibility check of the current data transmission 108. As described above, the method 100 can, if various parameters are exceeded or not reached when the current data transmission recognize a suppression of the current, safety-relevant data transmission. If the result of the plausibility check is that the current data transmission is plausible with regard to the last, safety-relevant data transmission, the current, safety-relevant data transmission has not been suppressed. If the result of the plausibility check is that the current data transmission is not plausible with regard to the last, safety-relevant data transmission, method 100 can recognize that the current, safety-relevant data transmission is being suppressed. In detail, FIG.
  • the vehicle 202 can transmit a current data transmission to the vehicle-external server.
  • the current data transmission can include a first data transmission 206 to a first service 208 of the vehicle-external server 204 and a second data transmission 210 to a second service 212 of the vehicle-external server.
  • a security-related data transmission 214 to a security-related service 216 of the vehicle-external server 204 is not contained in the current data transmission, since the security-related data transmission 214 was manipulated by an attacker.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Traffic Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug (202) an einen fahrzeugexternen Server (204) durch den fahrzeugexternen Server, das Verfahren umfassend: Empfangen einer aktuellen Datenübertragung (206, 210) des Fahrzeugs durch eine erste Funktion des fahrzeugexternen Servers; Ermitteln einer letzten, sicherheitsrelevanten Datenübertragung des Fahrzeugs an eine sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server; Plausibilisieren (218) der aktuellen Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers; und Erkennen des Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung.

Description

Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, computerlesbares Medium, System, und Fahrzeug
Die Erfindung betrifft ein Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server. Die Erfindung betrifft weiter ein computerlesbares Medium zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, ein System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, sowie ein Fahrzeug umfassend das System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server.
Aus dem Stand der Technik bekannt sind Fahrzeuge, die sicherheitsrelevante Daten über einen Kommunikationskanal an einen Backend-Server übermitteln können. Die sicherheitsrelevanten Daten können dabei über einen separaten Kommunikationskanal von dem Fahrzeug an den Backend-Server übermittelt werden. Falls ein Angreifer eine Manipulation an dem Fahrzeug durchführt, die eine Übermittlung von sicherheitsrelevanten Daten an den Backend-Server unterdrückt, kann diese Manipulation häufig nicht erkannt werden.
Es ist daher eine Aufgabe der Erfindung, ein Unterdrücken einer Übertragung von sicherheitsrelevanten Daten von dem Fahrzeug an einen fahrzeugexternen Server effizient zu erkennen. Insbesondere ist eine Aufgabe der Erfindung, ein Unterdrücken einer Übertragung von sicherheitsrelevanten Daten von dem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server effizient zu erkennen.
Gelöst wird diese Aufgabe durch die Merkmale der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
Gemäß einem ersten Aspekt zeichnet sich die Erfindung aus durch ein Verfahren zum
Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server. Das Verfahren kann ein computerimplementiertes Verfahren sein. Das Fahrzeug kann ein Kraftfahrzeug oder ein Motorrad sein. Die sicherheitsrelevante Datenübertragung kann eine Datenübertragung eines Intrusion-Detection-Systems, kurz IDS, des Fahrzeugs sein. Die sicherheitsrelevante Datenübertragung kann Diagnosedaten, Protokollierungsdaten und/oder Alarmnachrichten von einem oder mehreren Steuergeräten und/oder einem oder mehreren Bussystemen eines Fahrzeugs umfassen. Der fahrzeugexterne Server kann ein Backend- Server und/oder ein Cloud-Server eines Fahrzeugherstellers und/oder eines Dritten sein.
Das Verfahren umfasst ein Empfangen einer aktuellen Datenübertragung des Fahrzeugs durch eine erste Funktion des fahrzeugexternen Servers. Die aktuelle Datenübertragung kann keine sicherheitsrelevante Datenübertragung oder eine sicherheitsrelevante Datenübertragung umfassen. Weiter kann die aktuelle Datenübertragung eine oder mehrere Datenübertragungen an eine oder mehrere Funktionen und/oder Diensten des fahrzeugexternen Servers umfassen. Das Verfahren ermittelt eine letzte, sicherheitsrelevante Datenübertragung des Fahrzeugs an eine sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server. Anschließend plausibilisiert das Verfahren die aktuelle Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers. In Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung, insbesondere in Abhängigkeit eines Ergebnisses des Plausibilisierens der aktuellen Datenübertragung erkennt das Verfahren das Unterdrücken einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server.
Vorteilhafterweise kann das Verfahren effizient ein Unterdrücken einer sicherheitsrelevanten Datenübertragung an einen fahrzeugexternen Server erkennen. Wenn ein Fahrzeug kurzzeitig, beispielweise wenige Sekunden, wenige Minuten, oder wenige Stunden, und/oder über einen längeren Zeitraum, beispielsweise mehrere Tage, mehrere Wochen, oder mehrere Monate, ohne Verbindung zum fahrzeugexternen Server ist, kann der fahrzeugexterne Server ein Unterdrücken der sicherheitsrelevanten Datenübertragung erkennen. Weiter kann das Verfahren einen Ausfall einer Kommunikationsverbindung durch beispielsweise einen Defekt eines Mobilfunkmoduls des Fahrzeugs von dem Unterdrücken der sicherheitsrelevanten Kommunikation unterscheiden und somit das Unterdrücken der sicherheitsrelevanten Kommunikation erkennen.
Gemäß einer ersten Ausgestaltung der Erfindung kann das das Plausibilisieren der aktuellen Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers ein Bestimmen einer relativen, zeitlichen Abhängigkeit zwischen der aktuellen Datenübertragung und der letzten, sicherheitsrelevanten Datenübertragung und ein Erkennen des Unterdrückens der aktuellen, sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server durch den fahrzeugexternen Server umfassen, falls die relative, zeitliche Abhängigkeit zwischen der ersten Datenübertragung und der letzten, sicherheitsrelevanten Datenübertragung außerhalb eines vorgegeben Zeitintervalls liegt.
Hiermit kann die aktuelle Datenübertragung effizient plausibilisiert werden.
Gemäß einer weiteren, vorteilhaften Ausgestaltung der Erfindung kann die aktuelle Datenübertragung ein oder mehrere Datenpakete von einem oder mehreren Steuergeräten des Fahrzeugs umfassen, wobei die aktuelle Datenübertragung gesammelte Datenpakete aller Steuergeräte des Fahrzeugs umfasst.
Gemäß einer weiteren, voreilhaften Ausgestaltung kann das Verfahren weiterhin ein Empfangen der aktuellen Datenübertragung durch eine zweite Funktion des fahrzeugexternen Servers, und ein Plausibilisieren der aktuellen Datenübertragung an die erste Funktion und/oder an die zweite Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers umfassen. Hiermit kann die aktuelle Datenübertragung präziser und/oder zuverlässiger plausibilisiert werden.
Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Verfahren weiterhin ein Empfangen der aktuellen Datenübertragung durch eine sicherheitsrelevante Funktion des fahrzeugexternen Servers, und ein Speichern der aktuellen Datenübertragung als die letzte, sicherheitsrelevante Datenübertragung durch den fahrzeugexternen Server umfassen, falls die aktuelle Datenübertragung ein oder mehrere Datenpakete an die sicherheitsrelevante Funktion des fahrzeugexternen Servers umfasst. Hiermit kann die letzte, sicherheitsrelevante Datenübertragung effizient aktualisiert werden. Gemäß einer weiteren, vorteilhaften Ausgestaltung kann jedes Datenpaket der aktuellen Datenübertragung ein signiertes Datenpaket sein, und kann die erste Funktion, die zweite Funktion, und/oder die sicherheitsrelevante Funktion des fahrzeugexternen Servers eine Signatur eines für die jeweilige Funktion relevanten, signierten Datenpakets der aktuellen Datenübertragung prüfen. Falls die erste Funktion, die zweite Funktion und/oder die sicherheitsrelevante Funktion einen Fehler bei dem Prüfen der Signatur des für die jeweilige Funktion relevanten, signierten Datenpakets ermittelt, kann das Verfahren eine Alarmnachricht an einen Fahrzeughersteller und/oder einen Nutzer des Fahrzeugs bereitstellen. Hiermit kann eine Integrität der Datenpakete der aktuellen Datenübertragung effizient überprüft werden.
Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Erkennen des Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung ein Bereitstellen einer Alarmnachricht an einen Fahrzeughersteller und/oder einen Nutzer des Fahrzeugs umfassen. Hiermit kann der Fahrzeughersteller und/oder der Nutzer des Fahrzeugs über eine mögliche Manipulation des Fahrzeugs, und insbesondere über ein Unterdrücken der aktuellen, sicherheitsrelevanten Datenübertragung informiert werden.
Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein computerlesbares Medium zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt auf einem Rechner, das oben beschriebene Verfahren ausführen.
Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, wobei das System dazu ausgebildet ist, das oben beschriebene Verfahren auszuführen.
Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein Fahrzeug umfassend das oben beschriebene System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server.
Weitere Merkmale der Erfindung ergeben sich aus den Ansprüchen, den Figuren und der Figurenbeschreibung. Alle vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren allein gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder aber in Alleinstellung verwendbar.
Im Folgenden wird anhand der beigefügten Zeichnungen ein bevorzugtes Ausführungsbeispiel der Erfindung beschrieben. Daraus ergeben sich weitere Details, bevorzugte Ausgestaltungen und Weiterbildungen der Erfindung. Im Einzelnen zeigen schematisch
Fig. 1 ein beispielhaftes Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, und
Fig. 2 ein beispielhaftes System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server.
Im Detail zeigt Fig. 1 ein beispielhaftes Verfahren 100 zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server. Das Verfahren 100 kann eine aktuelle Datenübertragung des Fahrzeugs durch eine erste Funktion des fahrzeugexternen Servers empfangen 102. Die aktuelle Datenübertrag kann ein oder mehrere Datenpakete für eine Kundenfunktion, eine Service- oder Diagnosefunktion, und/oder eine sicherheitsrelevante Funktion des fahrzeugexternen Servers umfassen. Vorzugsweise umfasst die aktuelle Datenübertragung mindestens ein Datenpaket für eine Funktion des fahrzeugexternen Servers. Das Fahrzeug kann beispielsweise ein Intrusion- Detection-System, kurz IDS, aufweisen. Das IDS kann Datenpakete, die beispielsweise Alarminformationen bzw. Alarmnachrichten und/oder Log-Dateien umfassen, in der aktuellen Datenübertragung an den fahrzeugexternen Server übermitteln. Die Datenpakete des IDS des Fahrzeugs können eine sicherheitsrelevante Datenübertragung an den fahrzeugexternen Server sein. Die sicherheitsrelevante Funktion des fahrzeugexternen Servers kann ein serverbasierter Backend-Dienst des IDS des Fahrzeugs sein, der die sicherheitsrelevante Datenübertragung des Fahrzeugs empfangen und verarbeiten kann.
Weiter kann das Verfahren 100 eine letzte, sicherheitsrelevante Datenübertragung des Fahrzeugs an eine sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server ermitteln 104. Der fahrzeugexterne Server speichert die letzte, korrekt empfangene, sicherheitsrelevante Datenübertragung. Insbesondere speichert der fahrzeugexterne Server einen Zeitstempel der letzten, korrekt empfangenen, sicherheitsrelevanten Datenübertragung ab. Durch ein Abfragen der letzten, gespeicherten, sicherheitsrelevanten Datenübertragung kann der fahrzeugexterne Server die letzte, sicherheitsrelevante Datenübertragung ermitteln 104.
Das Verfahren 100 kann die aktuelle Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers plausibilisieren 106. Die letzte, sicherheitsrelevante Datenübertragung kann ein Teil der aktuellen Datenübertragung sein. Alternativ kann die letzte sicherheitsrelevante Datenübertragung ein Teil einer vergangenen Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server sein. Das Plausibilisieren kann ein Vergleichen eines Zeitstempels der aktuellen Datenübertragung an die erste Funktion und eines Zeitstempels der letzten, sicherheitsrelevanten Datenübertragung umfassen. Beispielsweise kann der fahrzeugexterne Server ein maximales, vorgegebenes Zeitintervall zum Plausibilisieren verwenden, welches eine maximale Zeitspanne zwischen dem Zeitstempel der aktuellen Datenübertragung und dem Zeitstempel der letzten, sicherheitsrelevanten Datenübertragung festlegt. Ist das Ergebnis des Plausibilisierens, dass beide Zeitstempel, der Zeitstempel der aktuellen Datenübertragung und der Zeitstempel der letzten, sicherheitsrelevanten Datenübertragung, innerhalb des maximalen, vorgegeben Intervalls liegen, liegt kein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server vor. Andernfalls liegt ein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den sicherheitsrelevanten Server vor. Zusätzlich oder alternativ kann der fahrzeugexterne Server beim Plausibilisieren eine Häufigkeit von sicherheitsrelevanten Datenübertragungen innerhalb eines vorgegebenen Zeitintervalls prüfen. Vorzugsweise wird die Häufigkeit von sicherheitsrelevanten Datenübertragungen nur geprüft, wenn in dem vorgegebenen Zeitintervalls aktuelle Datenübertragungen durch den fahrzeugexternen Server von dem Fahrzeug empfangen werden. Wird eine vorgegebene, minimale Häufigkeit von sicherheitsrelevanten Datenübertragungen überschritten, liegt kein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server vor. Wird die vorgegebene, minimale Häufigkeit von sicherheitsrelevanten Datenübertragungen nicht überschritten, liegt ein Unterdrücken der sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server vor.
Weiter kann der fahrzeugexterne Server eine Häufigkeit von sicherheitsrelevanten Datenübertragungen im Verhältnis zu einer Häufigkeit von aktuellen Datenübertragungen ermitteln. Unterschreitet die Häufigkeit von sicherheitsrelevanten Datenübertragungen im Verhältnis zu der Häufigkeit von aktuellen Datenübertragungen einen vorgegebenen Schwellwert, kann der fahrzeugexterne Server ein Unterdrücken der sicherheitsrelevanten Datenübertragung feststellen.
Die oben genannten Möglichkeiten des Plausibilisierens der aktuellen Datenübertragung können bezogen auf ein einzelnes Steuergerät des Fahrzeugs, eine Teilmenge von Steuergeräten des Fahrzeugs, und/oder alle Steuergeräte des Fahrzeugs ermittelt werden. Somit kann der fahrzeugexterne Server ein Unterdrücken einer sicherheitsrelevanten Datenübertragung flexibel für Steuergeräte des Fahrzeugs ermitteln und präziser ein oder mehrere Steuergeräte identifizieren, deren sicherheitsrelevante Datenübertragung unterdrückt wird.
Weiter kann das Verfahren 100 das Unterdrücken einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung erkennen 108. Wie oben beschrieben kann das Verfahren 100 bei einem Überschreiten oder Unterschreiten verschiedener Kenngrößen beim Plausibilisieren der aktuellen Datenübertragung ein Unterdrücken der aktuellen, sicherheitsrelevanten Datenübertragung erkennen. Ist das Ergebnis des Plausibilisierens, dass die aktuelle Datenübertragung bezüglich der letzten, sicherheitsrelevanten Datenübertragung plausibel ist, liegt kein Unterdrücken der aktuellen, sicherheitsrelevanten Datenübertragung vor. Ist das Ergebnis des Plausibilisierens, dass die aktuelle Datenübertragung bezüglich der letzten, sicherheitsrelevanten Datenübertragung nicht plausibel ist, kann das Verfahren 100 erkennen, dass die aktuelle, sicherheitsrelevante Datenübertragung unterdrückt wird. Im Detail zeigt Fig. 2 ein beispielhaftes System 200 zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug 202 an einen fahrzeugexternen Server 204. Das Fahrzeug 202 kann eine aktuelle Datenübertragung an den fahrzeugexternen Server übermitteln. Die aktuelle Datenübertragung kann eine erste Datenübertragung 206 an einen ersten Dienst 208 des fahrzeugexternen Servers 204 und eine zweite Datenübertragung 210 an einen zweiten Dienst 212 des fahrzeugexternen Servers umfassen. Eine sicherheitsrelevante Datenübertragung 214 an einen sicherheitsrelevanten Dienst 216 des fahrzeugexternen Servers 204 ist in der aktuellen Datenübertragung nicht enthalten, da die sicherheitsrelevante Datenübertragung 214 durch einen Angreifer manipuliert wurde. Eine Plausibilisierungsmodul 218 des fahrzeugexternen Servers 204 kann die erste Datenübertragung 206 und die zweite Datenübertragung 210, wie oben in Zusammenhang mit Fig. 1 beschrieben, plausibilisieren und ein Unterdrücken der sicherheitsrelevanten Datenübertragung erkennen. Das Plausibilisierungsmodul 218 des fahrzeugexternen Servers 204 kann eine Alarmnachricht 220 an einen Fahrzeughersteller und/oder einen Fahrzeugnutzer übermitteln.
Vorteilhafterweise kann das Verfahren 100 und/oder das System 200 eine Manipulation in einem Fahrzeug effizient erkennen, die zu einem Unterdrücken einer sicherheitsrelevanten Datenübertragung an einen fahrzeugexternen Server führt. Die sicherheitsrelevante Datenübertragung kann beispielsweise eine Datenübertragung eines IDS des Fahrzeugs an einen Backend-Server sein. Insbesondere kann der fahrzeugexterne Server ein Unterdrücken der sicherheitsrelevanten Datenübertragung bei einer funktionierenden Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server effizient erkennen. Hiermit können fehlerhafte Alarme durch den fahrzeugexternen Server bei beispielsweise einem Ausfall des Kommunikationsmoduls vermieden werden.
Bezugszeichenliste
100 Verfahren
102 Empfangen einer aktuellen Datenübertragung des Fahrzeugs
104 Ermitteln einer letzten, sicherheitsrelevanten Datenübertragung des Fahrzeugs
106 Plausibilisieren der aktuellen Datenübertragung
108 Erkennen eines Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung
200 System
202 Fahrzeug
204 fahrzeugexterner Server
206 erste Datenübertragung
208 erster Dienst
210 zweite Datenübertragung
212 zweiter Dienst
214 sicherheitsrelevante Datenübertragung
216 sicherheitsrelevanter Dienst
218 Plausibilisierungsmodul
220 Alarmnachricht

Claims

Patentansprüche
1. Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, das Verfahren umfassend:
Empfangen einer aktuellen Datenübertragung des Fahrzeugs durch eine erste Funktion des fahrzeugexternen Servers;
Ermitteln einer letzten, sicherheitsrelevanten Datenübertragung des Fahrzeugs an eine sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server;
Plausibilisieren der aktuellen Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers; und
Erkennen des Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung.
2. Verfahren nach Anspruch 1 , wobei das Plausibilisieren der aktuellen Datenübertragung an die erste Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers umfasst:
Bestimmen einer relativen, zeitlichen Abhängigkeit zwischen der aktuellen Datenübertragung und der letzten, sicherheitsrelevanten Datenübertragung; und
Falls die relative, zeitliche Abhängigkeit zwischen der ersten Datenübertragung und der letzten, sicherheitsrelevanten Datenübertragung außerhalb eines vorgegeben Zeitintervalls liegt:
Erkennen des Unterdrückens der aktuellen, sicherheitsrelevanten Datenübertragung von dem Fahrzeug an den fahrzeugexternen Server durch den fahrzeugexternen Server.
3. Verfahren nach einem der vorhergehenden Ansprüche, wobei die aktuelle Datenübertragung ein oder mehrere Datenpakete von einem oder mehreren Steuergeräten des Fahrzeugs umfasst; wobei die aktuelle Datenübertragung gesammelte Datenpakete aller Steuergeräte des Fahrzeugs umfasst.
4. Verfahren nach einem der vorhergehenden Ansprüche, das Verfahren weiterhin umfassend:
Empfangen der aktuellen Datenübertragung durch eine zweite Funktion des fahrzeugexternen Servers; und
Plausibilisieren der aktuellen Datenübertragung an die erste Funktion und/oder an die zweite Funktion des fahrzeugexternen Servers mit der letzten, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers.
5. Verfahren nach einem der vorhergehenden Ansprüche, das Verfahren weiterhin umfassend:
Empfangen der aktuellen Datenübertragung durch eine sicherheitsrelevante Funktion des fahrzeugexternen Servers; und
Speichern der aktuellen Datenübertragung als die letzte, sicherheitsrelevante Datenübertragung durch den fahrzeugexternen Server, falls die aktuelle Datenübertragung ein oder mehrere Datenpakete an die sicherheitsrelevante Funktion des fahrzeugexternen Servers umfasst.
6. Verfahren nach einem der vorhergehenden Ansprüche, wobei jedes Datenpaket der aktuellen Datenübertragung ein signiertes Datenpaket ist; und wobei die erste Funktion, die zweite Funktion, und/oder die sicherheitsrelevante Funktion des fahrzeugexternen Servers eine Signatur eines für die jeweilige Funktion relevanten, signierten Datenpakets der aktuellen Datenübertragung prüft; und
Falls die erste Funktion, die zweite Funktion und/oder die sicherheitsrelevante Funktion einen Fehler bei dem Prüfen der Signatur des für die jeweilige Funktion relevanten, signierten Datenpakets ermittelt:
Bereitstellen einer Alarmnachricht an einen Fahrzeughersteller und/oder einen Nutzer des Fahrzeugs.
7. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Erkennen des Unterdrückens einer aktuellen, sicherheitsrelevanten Datenübertragung an die sicherheitsrelevante Funktion des fahrzeugexternen Servers durch den fahrzeugexternen Server in Abhängigkeit des Plausibilisierens der aktuellen Datenübertragung ein Bereitstellen einer Alarmnachricht an einen Fahrzeughersteller und/oder einen Nutzer des Fahrzeugs.
8. Computerlesbares Medium zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt auf einem Rechner, das Verfahren nach einem der Ansprüche 1 bis 7 ausführen.
9. System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server, wobei das System dazu ausgebildet ist, das Verfahren nach einem das Ansprüche 1 bis 7 auszuführen.
10. Fahrzeug umfassend das System zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server durch den fahrzeugexternen Server nach Anspruch 9.
PCT/EP2022/069245 2021-09-14 2022-07-11 Verfahren zum erkennen eines unterdrückens einer sicherheitsrelevanten datenübertragung von einem fahrzeug an einen fahrzeugexternen server, computerlesbares medium, system, und fahrzeug WO2023041221A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202280061100.8A CN117917045A (zh) 2021-09-14 2022-07-11 用于识别从车辆向车辆外部服务器的安全相关的数据传输的抑制的方法、计算机可读介质、系统和车辆

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021123785.8A DE102021123785A1 (de) 2021-09-14 2021-09-14 Verfahren zum Erkennen eines Unterdrückens einer sicherheitsrelevanten Datenübertragung von einem Fahrzeug an einen fahrzeugexternen Server, computerlesbares Medium, System, und Fahrzeug
DE102021123785.8 2021-09-14

Publications (1)

Publication Number Publication Date
WO2023041221A1 true WO2023041221A1 (de) 2023-03-23

Family

ID=82786739

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/069245 WO2023041221A1 (de) 2021-09-14 2022-07-11 Verfahren zum erkennen eines unterdrückens einer sicherheitsrelevanten datenübertragung von einem fahrzeug an einen fahrzeugexternen server, computerlesbares medium, system, und fahrzeug

Country Status (3)

Country Link
CN (1) CN117917045A (de)
DE (1) DE102021123785A1 (de)
WO (1) WO2023041221A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190068639A1 (en) * 2017-08-22 2019-02-28 Paul Dean Alexander Determination of plausibility of intelligent transport system messages
US20200128031A1 (en) * 2019-12-20 2020-04-23 Intel Corporation Active attack detection in autonomous vehicle networks
DE102019117946A1 (de) * 2019-07-03 2021-01-07 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Übertragen eines oder mehrerer Datenelemente von einem Fahrzeug an einen Server, computerlesbares Medium, System, und Fahrzeug

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10104104B1 (en) 2012-06-29 2018-10-16 EMC IP Holding Company LLC Security alerting system with network blockade policy based on alert transmission activity
EP3291119B1 (de) 2016-08-31 2020-05-06 Bayerische Motoren Werke Aktiengesellschaft Automotives überwachungs- und sicherheitssystem
JP6494821B2 (ja) 2017-04-07 2019-04-03 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正通信検知基準決定方法、不正通信検知基準決定システム及びプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190068639A1 (en) * 2017-08-22 2019-02-28 Paul Dean Alexander Determination of plausibility of intelligent transport system messages
DE102019117946A1 (de) * 2019-07-03 2021-01-07 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Übertragen eines oder mehrerer Datenelemente von einem Fahrzeug an einen Server, computerlesbares Medium, System, und Fahrzeug
US20200128031A1 (en) * 2019-12-20 2020-04-23 Intel Corporation Active attack detection in autonomous vehicle networks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KUKKALA VIPIN KUMAR ET AL: "INDRA: Intrusion Detection Using Recurrent Autoencoders in Automotive Embedded Systems", IEEE TRANSACTIONS ON COMPUTER-AIDED DESIGN OF INTEGRATED CIRCUITS AND SYSTEMS, IEEE, USA, vol. 39, no. 11, 2 October 2020 (2020-10-02), pages 3698 - 3710, XP011818397, ISSN: 0278-0070, [retrieved on 20201028], DOI: 10.1109/TCAD.2020.3012749 *

Also Published As

Publication number Publication date
DE102021123785A1 (de) 2023-03-16
CN117917045A (zh) 2024-04-19

Similar Documents

Publication Publication Date Title
DE102015122823B4 (de) Verfahren und System zur reflektometriebasierten Überwachung, Intrusionserfassung und Mitteilungsauthentifizierung eines Kommunikationsnetzwerks
EP3207683A1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
DE102017202176B4 (de) Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
EP1044829A2 (de) Verfahren zur Überwachung des Luftdrucks der Reifen eines Kraftfahrzeuges
DE102016206630A1 (de) Verfahren und Vorrichtung zur Vermeidung von Manipulation einer Datenübertragung
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
EP3374799A1 (de) Verfahren und vorrichtung zum bewerten einer position eines fahrzeugs, insbesondere nach einer asil sicherheitsstufe
DE102015115287A1 (de) Verfahren und vorrichtung zum prüfen eines identifikators
DE112015005253T5 (de) Controller Area Network (CAN)-Kommunikationssystem und Aufzeichnungsvorrichtung für Fehlerinformationen
WO2023041221A1 (de) Verfahren zum erkennen eines unterdrückens einer sicherheitsrelevanten datenübertragung von einem fahrzeug an einen fahrzeugexternen server, computerlesbares medium, system, und fahrzeug
DE102013108006B4 (de) Kommunikationsanordnung
DE102010028485A1 (de) Verfahren und Vorrichtung zur Absicherung von über eine Schnittstelle zu übertragenden Datenpaketen
WO2018188848A1 (de) Verfahren zum überwachen einer integrität von referenzstationen eines korrekturdienstsystems, korrekturdienstsystem, verfahren zum betreiben eines satellitengestützten navigationssystems und satellitengestütztes navigationssystem
WO2023041214A1 (de) Verfahren zum erkennen einer unterbrechung einer datenübertragung von einem fahrzeug an eine sicherheitsrelevante funktion eines fahrzeugexternen servers, computerlesbares medium, system, und fahrzeug
DE10121061B4 (de) Überwachungsvorrichtung und Überwachungsverfahren
DE102017200280B4 (de) Verfahren und Vorrichtung zum Qualifizieren eines Fehlers eines Sensors mittels einer Statusinformation
DE102018216241A1 (de) Datenkommunikationsverfahren und -vorrichtung für ein Fahrzeugnetzwerk
EP1663674A1 (de) Zuordnungsverfahren für ein kombiniertes reifendrucküberwachungssystem in kraftfahrzeugen
DE102019113206A1 (de) Verfahren und Steuergerät zur Diagnose einer Komponente eines Fahrzeugs
DE102022103944B4 (de) Verfahren und Überwachungssystem zum Überwachen eines Betriebsverhaltens eines Steuergeräts eines Kraftfahrzeugs
WO2022238025A1 (de) Verfahren zum erkennen einer unzulässigen nachricht eines manipulierten steuergeräts eines fahrzeugs durch ein zweites steuergerät des fahrzeugs, computerlesbares medium, system, und fahrzeug
DE102017212757A1 (de) Verfahren und Vorrichtung zum Schützen eines Feldbusses
DE102022110952A1 (de) Antriebssystem für ein Fahrzeug
DE102022206796A1 (de) Vorrichtung, Verfahren, Computerprogramm zur sicheren hoch-verfügbaren Übertragung von Nachrichten, Fahrzeug das die Vorrichtung umfasst
WO2022238023A1 (de) Verfahren zum erkennen einer manipulation einer nachricht eines bussystems durch ein steuergerät eines fahrzeugs, computerlesbares medium, system, und fahrzeug

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22750777

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 202280061100.8

Country of ref document: CN

WWE Wipo information: entry into national phase

Ref document number: 18690994

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 22750777

Country of ref document: EP

Kind code of ref document: A1