[go: up one dir, main page]

DE102019201133B4 - Kraftfahrzeug - Google Patents

Kraftfahrzeug Download PDF

Info

Publication number
DE102019201133B4
DE102019201133B4 DE102019201133.0A DE102019201133A DE102019201133B4 DE 102019201133 B4 DE102019201133 B4 DE 102019201133B4 DE 102019201133 A DE102019201133 A DE 102019201133A DE 102019201133 B4 DE102019201133 B4 DE 102019201133B4
Authority
DE
Germany
Prior art keywords
transceiver
bus system
motor vehicle
vehicle bus
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102019201133.0A
Other languages
English (en)
Other versions
DE102019201133A1 (de
Inventor
Robert Dreyer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Publication of DE102019201133A1 publication Critical patent/DE102019201133A1/de
Application granted granted Critical
Publication of DE102019201133B4 publication Critical patent/DE102019201133B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

Kraftfahrzeug (1) mit einem inneren Fahrzeugbussystem (Bl) sowie mit unmittelbar an das innere Fahrzeugbussystem (Bl) angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden Modulen (31), wobei das Kraftfahrzeug (1) ein äußeres Fahrzeugbussystem (BA) sowie unmittelbar an das äußere Fahrzeugbussystem (BA) angeschlossene nicht sicherheitsrelevante Module (15) aufweist, wobei das Kraftfahrzeug (1) ein Sicherheitsmodul (100, 101, 102, 103) zur datentechnischen Kopplung des inneren Fahrzeugbussystems (Bl) mit dem äußeren Fahrzeugbussystem (BA) aufweist, wobei das Sicherheitsmodul (100, 101, 102, 103) einen an das innere Fahrzeugbussystem (Bl) angeschlossenen inneren Transceiver (TI) und einen an das äußere Fahrzeugbussystem (BA) angeschlossenen äußeren Transceiver (TA) umfasst, wobei das Sicherheitsmodul (100, 101, 102, 103) eine erste eindirektionale Datenleitung (PDL) zur direkten Kopplung des äußeren Transceivers (TA) mit dem inneren Transceiver (TI) zwecks Übertragung von Daten von dem äußeren Transceiver (TA) zum inneren Transceiver (TI) und/oder eine zweite eindirektionale Datenleitung (SDL) zur direkten Kopplung des inneren Transceivers (TI) mit dem äußeren Transceiver (TA) zwecks Übertragung von Daten von dem inneren Transceiver (TI) zum äußeren Transceiver (TA) umfasst, dadurch gekennzeichnet, dass die erste Datenleitung parallele Signalleitungen und parallele Datenleitungen umfasst.

Description

  • Die Erfindung betrifft ein Kraftfahrzeug mit einem inneren (sicherheitsrelevanten) Fahrzeugbussystem sowie mit unmittelbar an das innere Fahrzeugbussystem angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden (d.h. sicherheitskritischen) Modulen, wobei das Kraftfahrzeug ein äußeres Fahrzeugbussystem sowie unmittelbar an das äußere Fahrzeugbussystem angeschlossene nicht sicherheitsrelevante Module aufweist, wobei das Kraftfahrzeug ein Sicherheitsmodul zur datentechnischen Kopplung des inneren Fahrzeugbussystems mit dem äußeren Fahrzeugbussystem aufweist, und wobei das Sicherheitsmodul einen an das innere Fahrzeugbussystem angeschlossenen inneren Transceiver und einen an das äußere Fahrzeugbussystem angeschlossenen äußeren Transceiver umfasst.
  • Insbesondere sicherheitskritische Steuergeräte sind vor unberechtigten Zugriffen zu schützen. Über die Fahrzeugbussysteme sind jedoch auch diese Steuergeräte, wie zum Beispiel ABS-Steuergeräte, mit anderen, nicht sicherheitsrelevanten, Komponenten verbunden. Einige dieser Komponenten, beispielsweise das HMI, bieten Kopplungsmöglichkeiten mit mobilen Endgeräten über Bluetooth, W-LAN oder USB und sind damit einer erhöhten Manipulationsgefahr ausgesetzt. Die USB-Schnittstellen erfordern zwar einen physischen Zugang zu dem Fahrzeug, über Bad-USB-Angriffe kann es jedoch mit manipulierten USB-Medien ungewollt durch einen Bediener selbst zu unerlaubten Eingriffsversuchen kommen. Über Funktechniken wie Bluetooth und W-LAN sind Angriffe auch von außerhalb des Fahrzeugs möglich, jedoch auf die nähere Umgebung begrenzt. Mit dem Internet verbundene Systeme, ob direkt oder indirekt über den Umweg eines gekoppelten mobilen Endgeräts verbunden, sind von überall aus angreifbar. Um Abhilfe zu schaffen, schlägt die WO 2013/144962 A1 eine Vielzahl von Optionen zur Implementierung eines Schutzes für sicherheitsrelevante Steuerungen in einem Verbund vor. Dabei ist unter anderem eine Lösung vorgesehen, bei der zwei Bussysteme mittels zweier Transceiver gekoppelt sind, wobei zwischen den Transceivern ein sogenanntes FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) vorgesehen ist. Dieses FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) ist über eine Schnittstelle für Computer zugänglich.
  • Die EP 2 767 097 B1 offenbart ein Kraftfahrzeug, bei dem zur Überwachung der Kommunikation zwischen einer Telemetriebox und einer Steuergerät-Endstelle eine Firewall in einem CAN-Bus zwischen den Schnittstellen von Telemetriebox und Steuergerät-Endstelle integriert ist. Diese CAN-Firewall weist eine bidirektionale CAN-Schnittstelle auf, mittels derer die Anbindung sowohl an die Telemetriebox als auch an die Steuergerät-Endstelle über den CAN-Bus erfolgt. Auf diese Weise wird die gesamte Kommunikation zwischen der Telemetriebox und der Steuergerät-Endstelle über die Firewall abgewickelt. Diese ist als eigenständige Hardwareplattform gebildet und weist einen Mikrocontroller auf, der von einer Überwachungseinheit in Form eines Safety-Mikrocontrollers mittels Watchdogbetrieb überwacht wird. Der Mikrocontroller greift zur Umsetzung der Firewall-Funktionalitäten auf einen Regelvorrat zurück, welcher als Whitelist bzw. weiße Liste in einem Speicher hinterlegt ist. Die WO 00/09363 offenbart eine Firewall zwischen einem Fahrzeug PC und einem Fahrzeug-Bus.
  • Die US 2016/0261561 A1 offenbart ein Einweg-Gateway und ein Fahrzeugnetzwerksystem, wobei zum Schutz des Netzwerks innerhalb des Fahrzeugs das Einweg-Gateway verwendet wird. Das Einweg-Gateway umfasst eine Kommunikationssteuereinheit, eine physische Einweg-Kommunikationseinheit und eine Datenübertragungs- / Empfangseinheit. Die Kommunikationssteuereinheit übernimmt die Kommunikation mit einem Gerät des internen Netzwerks oder des Infotainment-Netzwerks des Fahrzeugs. Die physische Einweg-Kommunikationseinheit konfiguriert einen Kommunikationsabschnitt zwischen dem internen Netzwerk und dem Infotainment-Netzwerk in einer physischen Einwegform. Die Datenübertragungs- / Empfangseinheit überträgt Daten, die von der Vorrichtung des internen Netzwerks oder des Infotainment-Netzwerks übertragen werden, über die Kommunikationssteuereinheit an die physische Einweg-Kommunikationseinheit und überträgt Daten, die über die physische Einweg-Kommunikationseinheit empfangen werden, an das Gerät des internen Netzwerks oder des Infotainment-Netzwerks.
  • Es ist Aufgabe der Erfindung, die die Sicherheit des Kraftfahrzeugs betreffenden Module in einem Kraftfahrzeug vor unlauterem Zugriff, insbesondere vor Hackerangriffen, zu schützen. Dabei ist es jedoch insbesondere wünschenswert, trotz dieser Schutzfunktion Updates dieser Module zuzulassen, insbesondere online-Updates.
  • Vorgenannte Aufgabe wird durch ein Kraftfahrzeug mit einem inneren (sicherheitsrelevanten) Fahrzeugbussystem sowie mit unmittelbar an das innere Fahrzeugbussystem angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden Modulen gelöst, wobei das Kraftfahrzeug ein äußeres Fahrzeugbussystem sowie unmittelbar an das äußere Fahrzeugbussystem angeschlossene nicht sicherheitsrelevante Module aufweist, wobei das Kraftfahrzeug ein Sicherheitsmodul zur datentechnischen Kopplung des inneren Fahrzeugbussystems mit dem äußeren Fahrzeugbussystem aufweist, wobei das Sicherheitsmodul einen an das innere Fahrzeugbussystem angeschlossenen (z.B. einen oder mehrere Mikrocontroller umfassenden) inneren Transceiver und einen an das äußere Fahrzeugbussystem angeschlossenen (z.B. einen oder mehrere Mikrocontroller umfassenden) äußeren Transceiver umfasst, wobei das Sicherheitsmodul eine erste eindirektionale Datenleitung zur direkten Kopplung des äußeren Transceivers mit dem inneren Transceiver zwecks Übertragung von Daten von dem äußeren Transceiver zum inneren Transceiver und eine zweite eindirektionale Datenleitung zur direkten, Kopplung des inneren Transceivers mit dem äußeren Transceiver zwecks Übertragung von Daten von dem inneren Transceiver zum äußeren Transceiver umfasst, und wobei die erste Datenleitung parallele Signalleitungen und parallele Datenleitungen umfasst.
  • Nicht sicherheitsrelevante Module können z.B. ein Infotainmentsystem, eine Klimaautomatik und/oder ein Navigationssystem sein. Nicht sicherheitsrelevante Module im Sinne der Erfindung können jedoch auch z.B. eine Telefonschnittstelle oder ein Telefon sein. Nicht sicherheitsrelevante Module können auch eine W-LAN-Schnittstelle eine USB-Schnittstelle oder eine Bluetooth-Schnittstelle umfassen. Ein weiteres Ausführungsbeispiel für ein nicht sicherheitsrelevantes Modul im Sinne der Erfindung ist ein HMI bzw. eine Anzeige- und Bedienvorrichtung, wie sie typischerweise in der Mitte des Armaturenbretts des Kraftfahrzeuges angeordnet ist. Die Sicherheit des Kraftfahrzeuges betreffende Module (sicherheitsrelevante bzw. sicherheitskritische Module) können beispielsweise eine Motorsteuerung, eine Fahrdynamikregelung (Einzelheiten zur Fahrdynamikregelung können insbesondere den Buch Bosch Fahrsicherheitssysteme ISBN 3-528-03875-6, Seite 206 bis 239, sowie dem Buch Bosch Automotive Handbook ISBN 978-1-119-03294-6, Seite 764 bis 793 entnommen werden), eine Bremssteuerung bzw. eine Getriebesteuerung sein. Eine Fahrdynamikregelung ist beispielsweise ein ESP-System.
  • Ein Fahrzeugbussystem kann beispielsweise ein CAN-Bus sein. Ein inneres Fahrzeugbussystem ist im Sinne der Erfindung ein sicherheitsrelevantes Fahrzeugbussystem also insbesondere ein Fahrzeugbussystem, mit dem die Sicherheit des Kraftfahrzeuges betreffende Module gekoppelt sind.
  • Unter einer direkten Kopplung zwischen einem inneren Transceiver und einem äußeren Transceiver soll verstanden werden, dass diese mit einer Datenleitung bzw. Datenleitungen verbunden sind. Es soll insbesondere bedeuten, dass zwischen dem inneren und dem äußeren Transceiver kein Modul, insbesondere kein Modul mit Rechenleistung oder Rechenaufgaben oder ähnlichem vorgesehen ist. Insbesondere ist kein FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) vorgesehen, wie es beispielsweise die WO 2013/144962 A1 offenbart.
  • In vorteilhafter Ausgestaltung der Erfindung ist die zweite Datenleitung eine serielle Datenleitung. In weiterhin vorteilhafter Ausgestaltung der Erfindung erzeugt der innere Transceiver das Taktsignal für die serielle Datenleitung. Es ist insbesondere vorgesehen, dass der innere Transceiver das Taktsignal für die serielle Datenleitung mittels einer Takt Datenleitung an den äußeren Transceiver überträgt.
  • In weiterhin vorteilhafter Ausgestaltung der Erfindung umfasst das Sicherheitsmodul eine dritte eindirektionale Datenleitung zur, insbesondere direkten, Kopplung des äußeren Transceivers mit dem inneren Transceiver zwecks Übertragung von Empfangsbestätigungen von dem äußeren Transceiver zum inneren Transceiver.
  • In weiterhin vorteilhafter Ausgestaltung der Erfindung umfasst der innere Transceiver eine Datenbasis mit zugelassenen Signalnummern und/oder gültigen Wertebereichen. In weiterhin vorteilhafter Ausgestaltung der Erfindung ist der innere Transceiver derart ausgestaltet, dass er nur Nachrichten an das innere Fahrzeugbussystem übermittelt, die aus gültigen Signalnummern und/oder gültigen Wertebereichen bestehen.
  • In weiterhin vorteilhafter Ausgestaltung der Erfindung umfasst das Kraftfahrzeug auch ein, insbesondere drahtloses, Kommunikationsmodul, das mit dem inneren Transceiver gekoppelt und/oder verbunden ist. In weiterhin vorteilhafter Ausgestaltung der Erfindung sind Daten von dem Kommunikationsmodul an den inneren Transceiver und/oder ein sicherheitsrelevantes Modul nur nach einer Aktivierung übertragbar. In weiterhin vorteilhafter Ausgestaltung der Erfindung sind Daten von dem Kommunikationsmodul an den inneren Transceiver und/oder ein sicherheitsrelevantes Modul nur innerhalb eines vorbestimmten Zeitintervalls nach einer Aktivierung übertragbar. Eine Aktivierung kann beispielsweise einmal am Tag erfolgen oder durch äußere Einflüsse getriggert sein (siehe detaillierte Beschreibung). Ein vorbestimmtes Zeitintervall ist beispielsweise nicht länger als 30 Sekunden.
  • Kraftfahrzeug im Sinne der Erfindung ist insbesondere ein individuell im Straßenverkehr benutzbares Landfahrzeug. Kraftfahrzeuge im Sinne der Erfindung sind insbesondere nicht auf Landfahrzeuge mit Verbrennungsmotor beschränkt.
  • Weitere Vorteile und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen. Dabei zeigen:
    • 1 ein Ausführungsbeispiel eines erfindungsgemäßen Kraftfahrzeuges in einer Prinzipdarstellung,
    • 2 ein Ausführungsbeispiel eines Sicherheitsmoduls für ein Kraftfahrzeug gemäß 1,
    • 3 eine alternative Ausgestaltung eines Sicherheitsmoduls,
    • 4 ein weiteres alternatives Ausführungsbeispiel für eine Sicherheitseinrichtung, und
    • 5 ein weiteres alternatives Ausführungsbeispiel für eine Sicherheitseinrichtung.
  • 1 zeigt ein Ausführungsbeispiel eines erfindungsgemäßen Kraftfahrzeuges 1 in einer Prinzipdarstellung. Das Kraftfahrzeug 1 umfasst ein HMI, das ein Display 12, das mittels einer Anzeige- und Bediensteuerung 10 angesteuert wird, sowie eine Bedienanordnung 11 umfasst, die dem Display 12 zugeordnet ist, und mittels der über die Anzeige- und Bediensteuerung 10 das Display 12 bzw. die darauf dargestellten Informationen beeinflussbar ist bzw. sind. Die Bedienanordnung 11 kann zum Beispiel ein vor dem Display 12 angeordneter Touchscreen sein oder umfassen. Alternativ oder zusätzlich kann die Bedienanordnung 11 auch ein räumlich von dem Display 12 angeordnetes Bedienelement wie z.B. ein Drehknopf sein oder umfassen. Mittels der Bedienanordnung 11 sind nicht sicherheitskritische Funktionen des Kraftfahrzeugs 1, wie etwa eine Telefonschnittstelle 14 für ein Mobiltelefon 2, eine Klimaautomatik 15, ein Navigationssystem 16, ein Infotainmentsystem 17 oder weitere Funktionen ansteuerbar. Dazu sind die Telefonschnittstelle 14, das Klimaautomatik 15, die Navigationssystem 16, das Infotainmentsystem 17 sowie die weiteren nicht sicherheitskritischen Funktionen datentechnisch mittels eines äußeren Bussystems BA mit der Anzeige- und Bediensteuerung 10 des HMIs verbunden. Weitere nicht sicherheitskritische Funktionen des Kraftfahrzeuges 1 können etwa eine WLAN-Schnittstelle 18, eine Bluetooth-Schnittstelle 21, eine USB-Schnittstelle 22 oder z.B. eine Sporttaste 23 sein.
  • Das Kraftfahrzeug 1 umfasst zudem sicherheitsrelevante Funktionen wie etwa eine Motorsteuerung 31, ein ESP 32 oder eine Getriebesteuerung 33. Bezugszeichen 34, 35, 36 bezeichnen weitere sicherheitskritische Funktionen bzw. Module des Kraftfahrzeuges 1. Die sicherheitskritischen Module des Kraftfahrzeuges 31, 32, 33, 34, 35, 36 sind mittels eines inneren Bussystems BI gekoppelt.
  • Das äußere Fahrzeugbussystem BA und das innere Fahrzeugbussystem BI sind mittels eines Sicherheitsmoduls 100, das in 2 detailliert dargestellt ist, gekoppelt. Das Sicherheitsmodul 100 umfasst zwei vermittelnde vorzugsweise aus Mikrocontrollern aufgebaute Transceiver, einen äußeren Transceiver TA und einen inneren Transceiver TI, wobei der äußere Transceiver TA an das öffentlich zugängliche äußere Fahrzeugbussystem BA und der innere Transceiver TI an das sicherheitsrelevante innere Fahrzeugbussystem BI angeschlossen ist.
  • Die Übertragung vom äußeren Transceiver TA an den inneren Transceiver TI kann über eine parallele oder serielle Schnittstelle erfolgen. Zum Schutz vor Buffer-Overflow-Angriffen wird jedoch ein paralleles Interface bevorzugt. Jedem vom äußeren Transceiver TA an den inneren Transceiver TI zu übertragenden Signal wird eine binäre Codierung zugewiesen, die auch als Nummer des Signals verstanden werden kann. Neben der Signalnummer wird bei Bedarf auch der Wert seines Parameters übertragen. Z.B. ist es mit einem 8-bit breiten Signal-Interface und einem 8-bit breiten Parameter-Interface (insgesamt 16 Leitungen, d.h. acht parallele Datenleitungen PDL und acht Signalleitungen SL) möglich, 256 verschiedene Signale mit jeweils bis zu 256 unterschiedlichen Werten zu übertragen. Die Festlegung der Signale und der gültigen Wertebereiche erfolgt auf beiden Transceivern bei der Band-Ende-Bedatung. Vom inneren Transceiver TI werden nur bekannte Signalnummern mit gültigem Wertebereich des Parameters angenommen, ggf. weiter verarbeitet, in die von den Steuergeräten erwartete Form zurückübersetzt und in das sicherheitsrelevante Fahrzeugbussystem BI eingespeist. Unbekannte Signale, oder welche mit überschrittenem Wertebereich, werden nicht an die angeschlossenen Steuergeräte bzw. Module 31, 32, 33, 34, 35, 36 weitergeleitet (ggf. erfolgt in solchen Fällen eine Rückmeldung an den äußeren Transceiver TA). Dies entspricht dem Konzept einer Whitelist, wie sie in 2 durch den Datenspeicher WL in dem inneren Transceiver TI symbolisiert ist. Da für die Datenübertragung vom äußerer Transceiver TA an den inneren Transceiver TI somit eine gezielte Festlegung von Signalen erforderlich ist, wird sichergestellt, dass nicht versehentlich Daten übertragen werden.
  • Die Geschwindigkeit, mit der der innere Transceiver TI die eingehenden Signale maximal verarbeitet, kann vom äußeren Transceiver TA nicht beeinflusst werden. Bei Bedarf kann der innere Transceiver TI zu kurz hintereinander eintreffende Signale oder Signalkombinationen filtern und verwerfen. Dadurch ist sichergestellt, dass das sicherheitsrelevante Fahrzeugbussystem BI nicht durch DOS-Angriffe überlastet wird. In Bezug auf Signale vom inneren Transceiver TI an den äußeren Transceiver TA ist dies nicht vorgesehen, da davon ausgegangen wird, dass das sicherheitsrelevante Fahrzeugbussystem BI nicht kompromittiert ist. Signale in diese Richtung können daher bei Bedarf ohne vorherige Verarbeitung in ihrem Originalzustand versendet werden. Hierfür kann wiederum eine serielle oder parallele Schnittstelle verwendet werden. Um Leitungen einzusparen wird hier ein serielles Interface (serielle Datenleitung SDL) bevorzugt. Wichtig ist hierbei, dass dieses auf physikalischer Ebene nur unidirektional in diese Richtung übertragen kann. Bei Bedarf kann eine zusätzliche Taktleitung TL vom inneren Transceiver TI zum äußeren Transceiver TA vorgesehen werden. Zum Schutz des inneren Transceivers TI liefert dieser hierbei die Taktsignale. Erfordert das Interface eine Rückmeldung über die erfolgreiche Datenübertragung, kann hierfür eine zusätzliche Leitung ES vorgesehen werden, auf der der äußere Transceiver TA dem inneren Transceiver TI dies als Statusbit mitteilt.
  • Da vom inneren Transceiver TI zum äußeren Transceiver TA beliebige, auch vorher nicht festgelegte Inhalte übertragen werden können, ist die Kommunikation in dieser Richtung nicht eingeschränkt. So ist beispielsweise auch ein Update (Flashen) des gesamten Fahrzeugs über nur eine Schnittstelle möglich, sofern diese in dem Bereich des (sicherheitskritischen) inneren Fahrzeugbussystems BI liegt. Die Schnittstelle zwischen inneren Transceiver TI und äußeren Transceiver TA darf Tl-seitig auf Hardwareebene nicht geeignet sein, dessen Software zu ändern (z.B. Programmspeicher Flashen).
  • Der äußere Transceiver TA und der innere Transceiver TI können örtlich getrennt sein, können jedoch bei geeigneter Auslegung auch in einem Steuergerät, auf einer Platine oder sogar in einem Mikrochip untergebracht sein.
  • Das sicherheitsrelevante Fahrzeugbussystem BI kann wirksam vor elektrischer Beschädigung durch das öffentlich zugängliche Fahrzeugbussystem TA geschützt werden, wenn in die Kommunikationsleitungen zwischen äußerem Transceiver TA und innerem Transceiver TI geeignete Bauelemente, z.B. Optokoppler, eingesetzt werden.
  • Eine Aktualisierung der Steuergeräte bzw. Module 31, 32, 33, 34, 35, 36 im inneren Fahrzeugbussystem BI erfordert physischen Zugang zu diesem, was in der Produktion oder in einer Werkstatt jedoch gegeben ist, wenn die entsprechende Schnittstelle dort vorgesehen wird. Da eine Softwareübertragung aus dem inneren in das äußere Fahrzeugbussystem BA möglich ist, ist hierbei nur ein Zugang erforderlich. Die beiden Netze, das innere Fahrzeugbussystem BI und das äußere Fahrzeugbussystem BA, müssen in diesem Falle nicht mit getrennten Prozessen aktualisiert werden.
  • Für Online-Updates des inneren Fahrzeugbussystems BI wird in 3 eine alternative Ausgestaltung eines Sicherheitsmoduls 101 zum Ersatz des Sicherheitsmoduls 100 vorgeschlagen. Dabei verfügt das innere Fahrzeugbussystem BI hierzu über ein Kommunikationsmodul KOMI (z.B. Mobilfunkmodem), welches von dem äußeren Fahrzeugbussystem BA getrennt ist, und das vorzugsweise nur bei Bedarf eingeschaltet wird. Erhöhte Schutzwirkung wird erzielt, in dem das innere Fahrzeugbussystem BI nicht permanent und/oder nur von legitimen Gegenstellen aus erreichbar ist. Online-Updates des äußeren Fahrzeugsystems erfolgen beispielsweise über die Telefonschnittstelle 14 oder die WLAN-Schnittstelle 18 oder, wie in 4 dargestellt, mittels einer alternativen Ausgestaltung des Sicherheitsmoduls 102 durch ein zusätzliches Kommunikationsmodul KOMA. In der Ausgestaltung von 4 ist das zusätzliche Kommunikationsmodul KOMA auf Leitungsebene zu jedem Zeitpunkt nur mit dem äußeren Fahrzeugbussystem BA verbunden. Statt eines zusätzlichen Kommunikationsmoduls KOMA ist es auch möglich ein gemeinsames Kommunikationsmodul zu nutzen. 5 zeigt solch eine alternative Ausgestaltung eines Sicherheitsmoduls 103 mit einem gemeinsamen Kommunikationsmodul KOM. Dieses Kommunikationsmodul kann jedoch nie gleichzeitig mit dem inneren Fahrzeugbussystem BI und mit dem äußeren Fahrzeugbussystem BA verbunden sein. Zur Trennung kann z.B. ein Halbleiterschalter oder Relais (Umschaltmodul UMS) benutzt werden, wie dies in 5 dargestellt ist. In diesem Ausführungsbeispiel ermöglicht das gemeinsame Kommunikationsmodul KOM Online-Updates des inneren Fahrzeugbussystems BI und des äußeren Fahrzeugbussystems BA.
  • In vorteilhafter Ausgestaltung ist vorgesehen, dass das innere Fahrzeugbussystem BI nicht permanent mit der Außenwelt verbunden ist, sodass sich die für Angriffe zur Verfügung stehende Zeit reduziert. Die Kommunikation kann temporär durch unterschiedliche Methoden aktiviert (vgl. Aktivierung im Sinne der Ansprüche) werden, beispielsweise:
    1. (i) Das innere Fahrzeugbussystem BI aktiviert (in einer bevorzugten Ausführungsform) in bestimmten Abständen die Kommunikation von sich aus. Um Vorhersagen zu erschweren, sollte dies nicht zu festen Zeiten erfolgen, sondern zufällig innerhalb eines Zeitraums, z.B. einmal am Tag. Wird die Kommunikation einmal am Tag zur Prüfung auf Updates für 30 Sekunden eingeschaltet, so ist das Kraftfahrzeug 1 nur ca. 0,035% eines Tages erreichbar. Updates können hierbei zwar nicht vom Server angestoßen und sofort verteilt werden, sondern erst, wenn das Kraftfahrzeug 1 die Kommunikation von sich aus aktiviert.
    2. (ii) Der Updateserver sendet zunächst an das äußere Fahrzeugbussystem BA die Information, dass Updates bereitstehen. Das äußere Fahrzeugbussystem BA aktiviert daraufhin die Kommunikation für das innere Fahrzeugbussystem Bl.
    3. (iii) Der Kunde/Bediener/Fahrer aktiviert die Kommunikation manuell, ggf. für eine automatisch begrenzte Zeit (Timer). Ein Hinweis, dass Updates verfügbar sind, könnte bei Bedarf vom äußeren Fahrzeugbussystem BA angezeigt werden, z.B. im HMI.
  • Eine Kommunikation baut das innere Fahrzeugbussystem BI in allen Fällen nur zu Gegenstellen (Server, Backend) auf, die sich als berechtigt ausweisen können (Whitelist), alle anderen Verbindungsversuche werden verweigert. Da IP-Adressen oder Domainnamen vergleichsweise einfach zu manipulieren sind, sollte die Authentifizierung der Gegenstelle nicht dadurch, sondern mittels kryptographisch gesicherter Merkmale erfolgen (im weiteren digitales Zertifikat genannt). Da Kommunikationsaufbau und Authentifizierung durch das innere Fahrzeugbussystem BI selbst erfolgen, kann das äußere Fahrzeugbussystem BA, auch wenn es manipuliert wurde, den Updateprozess nicht angreifen oder Daten verändern (man-in-the-middle-Attacke).
  • Wird für jedes Fahrzeug ein eigenes fahrzeugspezifisches digitales Zertifikat verwendet, idealerweise fahrzeug- und gegenstellenseitig, werden Diebstahl oder Fälschung des Zertifikates erschwert, da sich mit einem entwendeten oder gefälschten digitalen Zertifikat nur ein einzelnes Fahrzeug angreifen lässt und nicht die gesamte Flotte. Umgekehrt lassen sich mit einem entwendeten oder gefälschten Fahrzeugzertifikat von der Gegenstelle nur Updates für ein Fahrzeug/Fahrzeugmodell herunterladen und nicht für unterschiedliche Fahrzeuge/Fahrzeugmodelle. Digitale Zertifikate sollten ein Ablaufdatum und/oder die Möglichkeit eines Wiederrufs besitzen, damit kompromittierte digitale Zertifikate ungültig gemacht werden können.
  • Die Übertragung der Daten zwischen innerem Fahrzeugbussystem BI und Gegenstelle sollte zum Schutz der übertragenden Daten vor Manipulation oder Auslesen kryptographisch verschlüsselt erfolgen (siehe oben). Wird bei jeder Verbindung eine neue Verschlüsselung zwischen Fahrzeug und Gegenstelle ausgehandelt, so werden Angriffe erschwert, da entwendete Verschlüsselungsdaten kein zweites Mal verwendet werden können und manipulierte Verschlüsselungsdaten für jede Verbindung neu zu berechnen sind.
  • Die vorliegende Offenbarung erlaubt in besonders geeigneter Weise Schutz vor Hackerangriffen bezüglich des sicherheitsrelevanten bzw. sicherheitskritischen Bereichs eines Kraftfahrzeugs auf der einen und Update-Fähigkeit auf der anderen Seite. Dabei wird auch in geeigneter Weise übergreifenden Funktionen Rechnung getragen. So liegt beispielsweise in dem vorliegenden Ausführungsbeispiel die Sporttaste 23 im nicht sicherheitsrelevanten Bereich des Kraftfahrzeuges 1, greift jedoch bei ihrer Aktivierung auf die sicherheitsrelevanten bzw. sicherheitskritischen Funktionen Motorsteuerung 31, ESP 32 und Getriebesteuerung 33 zu. Trotz dieser übergreifenden Bedienung stellt die vorliegende Offenbarung einen besonders geeigneten Schutz vor Hackerangriffen sicher.

Claims (9)

  1. Kraftfahrzeug (1) mit einem inneren Fahrzeugbussystem (Bl) sowie mit unmittelbar an das innere Fahrzeugbussystem (Bl) angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden Modulen (31), wobei das Kraftfahrzeug (1) ein äußeres Fahrzeugbussystem (BA) sowie unmittelbar an das äußere Fahrzeugbussystem (BA) angeschlossene nicht sicherheitsrelevante Module (15) aufweist, wobei das Kraftfahrzeug (1) ein Sicherheitsmodul (100, 101, 102, 103) zur datentechnischen Kopplung des inneren Fahrzeugbussystems (Bl) mit dem äußeren Fahrzeugbussystem (BA) aufweist, wobei das Sicherheitsmodul (100, 101, 102, 103) einen an das innere Fahrzeugbussystem (Bl) angeschlossenen inneren Transceiver (TI) und einen an das äußere Fahrzeugbussystem (BA) angeschlossenen äußeren Transceiver (TA) umfasst, wobei das Sicherheitsmodul (100, 101, 102, 103) eine erste eindirektionale Datenleitung (PDL) zur direkten Kopplung des äußeren Transceivers (TA) mit dem inneren Transceiver (TI) zwecks Übertragung von Daten von dem äußeren Transceiver (TA) zum inneren Transceiver (TI) und/oder eine zweite eindirektionale Datenleitung (SDL) zur direkten Kopplung des inneren Transceivers (TI) mit dem äußeren Transceiver (TA) zwecks Übertragung von Daten von dem inneren Transceiver (TI) zum äußeren Transceiver (TA) umfasst, dadurch gekennzeichnet, dass die erste Datenleitung parallele Signalleitungen und parallele Datenleitungen umfasst.
  2. Kraftfahrzeug (1) nach Anspruch 1, dadurch gekennzeichnet, dass die zweite Datenleitung (SDL) eine serielle Datenleitung ist.
  3. Kraftfahrzeug (1) nach Anspruch 2, dadurch gekennzeichnet, dass der innere Transceiver (TI) derart ausgestaltet ist, dass er das Taktsignal für die serielle Datenleitung erzeugt und/oder, insbesondere mittels einer Takt-Datenleitung (TL), an den äußeren Transceiver (TA) überträgt.
  4. Kraftfahrzeug (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Sicherheitsmodul (100, 101, 102, 103) eine dritte eindirektionale Datenleitung (ES) zur, insbesondere direkten, Kopplung des äußeren Transceivers (TA) mit dem inneren Transceiver (TI) zwecks Übertragung von Empfangsbestätigungen von dem äußeren Transceiver (TA) zum inneren Transceiver (TI) umfasst.
  5. Kraftfahrzeug (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der innere Transceiver (TI) eine Datenbasis (WL) mit zugelassenen Signalnummern und/oder gültigen Wertebereichen umfasst.
  6. Kraftfahrzeug (1) nach Anspruch 5, dadurch gekennzeichnet, dass der innere Transceiver (TI) derart ausgestaltet ist, dass er nur Nachrichten an das innere Fahrzeugbussystem übermittelt, die aus gültigen Signalnummern und/oder gültigen Wertebereichen bestehen.
  7. Kraftfahrzeug (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es auch ein, insbesondere drahtloses, Kommunikationsmodul (KOM, KOMI) umfasst, das mit dem inneren Transceiver (TI) gekoppelt und/oder verbunden ist.
  8. Kraftfahrzeug (1) nach Anspruch 7, dadurch gekennzeichnet, dass Daten von dem Kommunikationsmodul (KOM, KOMI) an den inneren Transceiver (TI) und/oder ein sicherheitsrelevantes Modul nur nach einer Aktivierung übertragbar sind.
  9. Kraftfahrzeug (1) nach Anspruch 7, dadurch gekennzeichnet, dass Daten von dem Kommunikationsmodul (KOM, KOMI) an den inneren Transceiver (TI) und/oder ein sicherheitsrelevantes Modul nur innerhalb eines vorbestimmten Zeitintervalls nach einer Aktivierung übertragbar sind.
DE102019201133.0A 2018-12-20 2019-01-29 Kraftfahrzeug Active DE102019201133B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018222405 2018-12-20
DE102018222405.6 2018-12-20

Publications (2)

Publication Number Publication Date
DE102019201133A1 DE102019201133A1 (de) 2020-06-25
DE102019201133B4 true DE102019201133B4 (de) 2021-02-04

Family

ID=70969913

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019201133.0A Active DE102019201133B4 (de) 2018-12-20 2019-01-29 Kraftfahrzeug

Country Status (1)

Country Link
DE (1) DE102019201133B4 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1309132A1 (de) * 2000-06-30 2003-05-07 Sumitomo Electric Industries Co., Ltd. Netzübergangsvorrichting zur installation im fahrzeug
US20160261561A1 (en) * 2015-03-04 2016-09-08 Electronics And Telecommunications Research Institute One-way gateway, and vehicle network system and method for protecting network within vehicle using one-way gateway
DE102016107450A1 (de) * 2016-04-04 2017-10-05 MB connect line GmbH Fernwartungssysteme Sicheres Gateway

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6314351B1 (en) 1998-08-10 2001-11-06 Lear Automotive Dearborn, Inc. Auto PC firewall
DE102011084254A1 (de) 2011-10-11 2013-04-11 Zf Friedrichshafen Ag Kommunikationssystem für ein Kraftfahrzeug
EP3651437B1 (de) 2012-03-29 2021-02-24 Arilou Information Security Technologies Ltd. Schutz eines elektronischen fahrzeugsystems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1309132A1 (de) * 2000-06-30 2003-05-07 Sumitomo Electric Industries Co., Ltd. Netzübergangsvorrichting zur installation im fahrzeug
US20160261561A1 (en) * 2015-03-04 2016-09-08 Electronics And Telecommunications Research Institute One-way gateway, and vehicle network system and method for protecting network within vehicle using one-way gateway
DE102016107450A1 (de) * 2016-04-04 2017-10-05 MB connect line GmbH Fernwartungssysteme Sicheres Gateway

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Acknowledgement (data networks). In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 3. Dezember 2018, 19:08 UTC. URL: https://en.wikipedia.org/wiki/Acknowledgement_(data_networks) [abgerufen am 26.08.2019] *
Serial Peripheral Interface. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 22. Oktober 2018, 08:32 UTC. URL: https://de.wikipedia.org/wiki/Serial_Peripheral_Interface [abgerufen am 26.08.2019] *
Smart Meter Gateway. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 18. Dezember 2018, 22:30 UTC. URL: https://de.wikipedia.org/wiki/Smart_Meter_Gateway [abgerufen am 26.08.2019] *

Also Published As

Publication number Publication date
DE102019201133A1 (de) 2020-06-25

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP2705410B1 (de) Verfahren und system zum bereitstellen von gerätespezifischen betreiberdaten für ein automatisierungsgerät einer automatisierungsanlage
DE102016218982B3 (de) Verfahren zur Kommunikation von Fahrzeugen
DE102005028663B4 (de) Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner
DE102013003040B4 (de) Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten sowie Verfahren hierzu
EP3332348B1 (de) Verfahren zum betreiben eines kraftfahrzeugs und system zum betreiben eines kraftfahrzeugs
DE102010008816A1 (de) Verfahren zur Online-Kommunikation
DE102014205460A1 (de) Fahrzeugeigenes Datenübertragungssystem und fahrzeugeigene Vermittlungsvorrichtung
DE102011084254A1 (de) Kommunikationssystem für ein Kraftfahrzeug
DE112016005669T5 (de) Bord-Kommunikationseinrichtung, Bord-Kommunikationssystem und Verfahren zum Verbieten spezieller Verarbeitungen für ein Fahrzeug
WO2003105504A1 (de) Fernsteuerung einer fahrzeugfunktion über ein mobilfunknetz
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
EP3787223A1 (de) Verfahren und vorrichtung zur erzeugung von kryptographischen schlüsseln nach einem schlüsselableitungsmodell sowie fahrzeug
EP3871393B1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
WO2019105609A1 (de) VERFAHREN ZUM BETREIBEN EINER SCHLIEßEINRICHTUNG EINES KRAFTFAHRZEUGS, AUTORISIERUNGSEINRICHTUNG, ZUTRITTSKONTROLLEINRICHTUNG, STEUEREINRICHTUNG, UND MOBILES ENDGERÄT
DE102014206545A1 (de) Verfahren, Kommunikationssystem und Daten-Zugangsknoten zur Übermittlung von Daten
EP3688958B1 (de) System und verfahren zum geschützten übertragen von daten
DE102019201133B4 (de) Kraftfahrzeug
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
EP3017432A1 (de) Gesicherte kommunikationseinrichtung für ein fahrzeug und fahrzeugsystem
EP3556122B1 (de) Verfahren zum betreiben einer sendeeinrichtung eines kraftfahrzeugs, sendeeinrichtung für ein kraftfahrzeug sowie kraftfahrzeug
EP3437261B1 (de) Vorrichtung und verfahren zur filterung von sicherheitsrelevanten eingriffen, sowie ein gateway-steuergerät
DE102014018110A1 (de) Verfahren und System zur Fernsteuerung eines Fahrzeuges oder einer Fahrzeugfunktion
DE102021207870A1 (de) Verfahren und Recheneinheit zum Verwalten von Diagnoseanfragen in einem Netzwerk

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final