[go: up one dir, main page]

DE102023002575B4 - network system and vehicle - Google Patents

network system and vehicle Download PDF

Info

Publication number
DE102023002575B4
DE102023002575B4 DE102023002575.5A DE102023002575A DE102023002575B4 DE 102023002575 B4 DE102023002575 B4 DE 102023002575B4 DE 102023002575 A DE102023002575 A DE 102023002575A DE 102023002575 B4 DE102023002575 B4 DE 102023002575B4
Authority
DE
Germany
Prior art keywords
network
network device
devices
communicating
data packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102023002575.5A
Other languages
German (de)
Other versions
DE102023002575A1 (en
Inventor
Metin Levent Yerlikaya
Xinyue Li
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Mercedes Benz Group AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mercedes Benz Group AG filed Critical Mercedes Benz Group AG
Priority to DE102023002575.5A priority Critical patent/DE102023002575B4/en
Priority to PCT/EP2024/066858 priority patent/WO2025002891A1/en
Priority to KR1020257041801A priority patent/KR20260009931A/en
Priority to CN202480037521.6A priority patent/CN121241541A/en
Priority to EP24734868.3A priority patent/EP4562820A1/en
Publication of DE102023002575A1 publication Critical patent/DE102023002575A1/en
Application granted granted Critical
Publication of DE102023002575B4 publication Critical patent/DE102023002575B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Netzwerksystem (1), umfassend wenigstens zwei Netzwerkgeräte (2) und für jedes Netzwerkgerät (2) wenigstens ein kommunizierendes Gerät (3), wobei jedes Netzwerkgerät (2) wenigstens zwei Netzwerkanschlüsse (4.1, 4.2) aufweist, wobei für jedes Netzwerkgerät (2) das wenigstens eine kommunizierende Gerät (3) an einen ersten Netzwerkanschluss (4.1) des respektiven Netzwerkgeräts (2) angeschlossen ist und wenigstens ein weiteres Netzwerkgerät (2) an einen zweiten (4.2) Netzwerksanschluss des respektiven Netzwerkgeräts (2) angeschlossen ist, und wobei ein jedes Netzwerkgerät (2) über eine integrierte Firewall-Funktionalität zum Filtern über die Netzwerkanschlüsse (4.1, 4.2) zu übertragender Datenpakete verfügt. Das erfindungsgemäße Netzwerksystem ist dadurch gekennzeichnet, dass ein jeweiliges Netzwerkgerät (2) dazu eingerichtet ist, von am respektiven Netzwerkgerät (2) angeschlossenen kommunizierenden Geräten (3) empfangene Datenpakte zu filtern und von anderen Netzwerkgeräten (2) empfangene Datenpakete ungefiltert an eine Zieladresse weiterzuvermitteln.

Figure DE102023002575B4_0000
The invention relates to a network system (1) comprising at least two network devices (2) and at least one communicating device (3) for each network device (2), each network device (2) having at least two network connections (4.1, 4.2), the at least one communicating device (3) for each network device (2) being connected to a first network connection (4.1) of the respective network device (2) and at least one further network device (2) being connected to a second (4.2) network connection of the respective network device (2), and each network device (2) having an integrated firewall functionality for filtering data packets to be transmitted via the network connections (4.1, 4.2). The network system according to the invention is characterized in that a respective network device (2) is set up to filter data packets received from communicating devices (3) connected to the respective network device (2) and to forward data packets received from other network devices (2) unfiltered to a destination address.
Figure DE102023002575B4_0000

Description

Die Erfindung betrifft ein Netzwerksystem nach der im Oberbegriff von Anspruch 1 näher definierten Art sowie ein Fahrzeug umfassend ein solches Netzwerksystem.The invention relates to a network system according to the type defined in more detail in the preamble of claim 1 and to a vehicle comprising such a network system.

Der Elektronikanteil in Fahrzeugen nimmt insbesondere durch die gesteigerte Leistungsfähigkeit bei gleichzeitiger Miniaturisierung beständig zu. Die in Fahrzeugen verbauten Recheneinheiten können dabei unterschiedlich komplex ausgeführt sein. Das Ausgeben von Steuerungssignalen für Aktoren oder das Einlesen und Verarbeiten von Sensorgrößen ist beispielsweise mittels Mikrocontroller möglich. Oftmals werden Mikrocontroller auch als System-On-A-Chip bezeichnet. Für aufwändigere Aufgaben, insbesondere im Zusammenhang mit dem automatisierten oder gar autonomen Fahren, ist es hingegen erforderlich, leistungsfähige Hardware in Fahrzeuge zu integrieren. Die Aufgabe von mehreren Steuergeräten kann auch durch einen zentralen Bordcomputer übernommen werden.The proportion of electronics in vehicles is constantly increasing, particularly due to increased performance and simultaneous miniaturization. The computing units installed in vehicles can be designed with varying degrees of complexity. Outputting control signals for actuators or reading and processing sensor variables is possible using microcontrollers, for example. Microcontrollers are often also referred to as systems on a chip. For more complex tasks, particularly in connection with automated or even autonomous driving, it is necessary to integrate powerful hardware into vehicles. The task of several control units can also be taken over by a central on-board computer.

Dabei können die Elektronikkomponenten des Fahrzeugs auf einen Datenaustausch untereinander angewiesen sein. Die Elektronikkomponenten werden hierzu über entsprechende Datenleitungen kommunikativ miteinander verbunden. Diese Datenleitungen können auf den unterschiedlichsten Techniken und Kommunikationsprotokollen beruhen. Ein Großteil der Kommunikation erfolgt dabei über dedizierte Bussysteme wie einen CAN-Bus oder auch per Ethernet.The vehicle's electronic components may rely on exchanging data with one another. The electronic components are connected to one another via appropriate data lines. These data lines can be based on a wide variety of technologies and communication protocols. A large part of the communication takes place via dedicated bus systems such as a CAN bus or via Ethernet.

Informationstechnische Systeme sind immer der Gefahr einer Kompromittierung ausgesetzt. Somit sind informationstechnische Systeme durch geeignete Sicherungsmaßnahmen vor Angriffen zu schützen. Hierzu können aus der Informationstechnik bekannt und bewährte Maßnahmen zur Anwendung in Fahrzeuge übertragen werden, wie beispielsweise die Verwendung von Firewalls, Angriffserkennungs- und Abwehrsystemen, kryptografische Verschlüsselungstechnologien und dergleichen.Information technology systems are always at risk of being compromised. Information technology systems must therefore be protected from attacks by appropriate security measures. To this end, well-known and proven measures from information technology can be transferred to vehicles, such as the use of firewalls, attack detection and defense systems, cryptographic encryption technologies and the like.

Zum Aufbauen eines Ethernet-Netzwerks werden miteinander kommunizierende Recheneinheiten über Netzwerkgeräte miteinander verbunden. Es existieren verschiedene Arten von Netzwerkgeräten, wie beispielsweise sogenannte Repeater-Hubs, Switches, Router und dergleichen. Während ein Repeater-Hub zu übermittelnde Datenpakete an sämtliche Netzwerkanschlüsse verteilt, ist ein Switch hingegen dazu in der Lage ein Datenpaket zu prüfen, eine im Datenpaket angegebene Zieladresse zu ermitteln und das entsprechende Datenpaket nur über denjenigen Netzwerkanschluss weiterzuvermitteln, an dem das eigentliche Zielgerät angeschlossen ist.To set up an Ethernet network, computing units that communicate with each other are connected to one another via network devices. There are various types of network devices, such as so-called repeater hubs, switches, routers and the like. While a repeater hub distributes data packets to be transmitted to all network connections, a switch, on the other hand, is able to check a data packet, determine a destination address specified in the data packet and only forward the corresponding data packet via the network connection to which the actual target device is connected.

Dabei ist es bekannt, Firewalls in Switches zu integrieren. Eine entsprechende Firewall filtert die den Netzwerkverkehr ausbildenden Datenpakete basierend auf vordefinierten Regeln. Dieses Filtern erhöht die Latenz bei der Datenweiterleitung. Netzwerksysteme können beliebig komplex sein. Insbesondere wenn Datenpakete hintereinander über mehrere Switches weitergeleitet werden müssen, um an ein jeweiliges Zielgerät zu gelangen, prüft jeder Switch die entsprechenden Datenpakete erneut, was die Latenz weiter erhöht, zudem aber unnötig ist.It is well known that firewalls can be integrated into switches. A firewall filters the data packets that make up the network traffic based on predefined rules. This filtering increases the latency when forwarding data. Network systems can be as complex as desired. In particular, if data packets have to be forwarded one after the other via several switches in order to reach a particular target device, each switch checks the corresponding data packets again, which further increases the latency but is also unnecessary.

Aus der WO 2018/217143 A1 ist ein von einem Netzwerkgerät ausführbares Verfahren zur Auswahl von Weiterleitungs-Tabellen eines regelbasierten Routing-Systems bekannt. Die in der Druckschrift beschriebene Lösung führt zu einer drastisch beschleunigten Auswahl von Weiterleitungs-Tabellen.From the WO 2018/217143 A1 A method for selecting forwarding tables of a rule-based routing system that can be executed by a network device is known. The solution described in the document leads to a drastically accelerated selection of forwarding tables.

Ferner offenbart die DE 10 2016 222 740 A1 ein Verfahren für ein Kommunikationsnetzwerk in einem Fahrzeug und eine elektronische Kontrolleinheit. Das Kommunikationsnetzwerk umfasst mehrere Kommunikationsteilnehmer wie Ethernet-Switches, Steuergeräte und dergleichen. Mehrere der Kommunikationsteilnehmer verfügen über eine Firewall-Funktionalität. Zum Entlasten einzelner Kommunikationsteilnehmer arbeiten dabei mehrere Kommunikationsteilnehmer zur Bereitstellung der Firewall-Funktionalität zusammen. So wird ein erster Teil der Datenübertragung durch einen ersten Kommunikationsteilnehmer und ein zweiter Teil der Datenübertragung durch einen anderen Kommunikationsteilnehmer gefiltert.Furthermore, the DE 10 2016 222 740 A1 a method for a communication network in a vehicle and an electronic control unit. The communication network comprises several communication participants such as Ethernet switches, control units and the like. Several of the communication participants have a firewall functionality. To relieve the load on individual communication participants, several communication participants work together to provide the firewall functionality. A first part of the data transmission is filtered by a first communication participant and a second part of the data transmission is filtered by another communication participant.

Zudem offenbart die EP 3 442 192 A1 ein Verfahren zur Überwachung von Netzwerkverkehr zwischen Netzwerkteilnehmern in einem Netzwerk.In addition, the EP 3 442 192 A1 a method for monitoring network traffic between network participants in a network.

Der vorliegenden Erfindung liegt die Aufgabe zugrunde ein verbessertes Netzwerksystem anzugeben, welches effizienter arbeitet.The present invention is based on the object of providing an improved network system which operates more efficiently.

Erfindungsgemäß wird diese Aufgabe durch ein Netzwerksystem mit den Merkmalen des Anspruchs 1 gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen ergeben sich aus den hiervon abhängigen Ansprüchen.According to the invention, this object is achieved by a network system having the features of claim 1. Advantageous embodiments and further developments emerge from the claims dependent thereon.

Ein gattungsgemäßes Netzwerksystem, umfassend wenigstens zwei Netzwerkgeräte und für jedes Netzwerkgerät wenigstens ein kommunizierendes Gerät, wobei jedes Netzwerkgerät wenigstens zwei Netzwerkanschlüsse aufweist, wobei für jedes Netzwerkgerät das wenigstens eine kommunizierende Gerät an einen ersten Netzwerkanschluss des respektiven Netzwerkgeräts angeschlossen ist und wenigstens ein weiteres Netzwerkgerät an einen zweiten Netzwerksanschluss des respektiven Netzwerkgeräts angeschlossen ist, und wobei ein jedes Netzwerkgerät über eine integrierte Firewall-Funktionalität zum Filtern über die Netzwerkanschlüsse zu übertragender Datenpakete verfügt, sieht vor, dass ein jeweiliges Netzwerkgerät dazu eingerichtet ist, von am respektiven Netzwerkgerät angeschlossenen kommunizierenden Geräten empfangene Datenpakte zu filtern und wird erfindungsgemäß dadurch weitergebildet, dass ein jeweiliges Netzwerkgerät dazu eingerichtet ist, von anderen Netzwerkgeräten empfangene Datenpakete ungefiltert an eine Zieladresse weiterzuvermitteln und jeweilige Netzwerkgeräte dazu eingerichtet sind, eine Konfigurationsdatei einzulesen und zum Konfigurieren der Firewall-Funktionalität anzuwenden, wobei die Konfigurationsdatei zumindest einen eindeutigen Identifikator von an das jeweilige Netzwerkgerät angeschlossenen kommunizierenden Geräten enthält..A generic network system comprising at least two network devices and for each network device at least one communicating device, wherein each network device has at least two network connections, wherein for each network device the at least one communicating decorative device is connected to a first network connection of the respective network device and at least one further network device is connected to a second network connection of the respective network device, and wherein each network device has an integrated firewall functionality for filtering data packets to be transmitted via the network connections, provides that a respective network device is set up to filter data packets received from communicating devices connected to the respective network device and is further developed according to the invention in that a respective network device is set up to forward data packets received from other network devices unfiltered to a destination address and respective network devices are set up to read in a configuration file and use it to configure the firewall functionality, wherein the configuration file contains at least one unique identifier of communicating devices connected to the respective network device.

Die Effizienz des erfindungsgemäßen Netzwerksystems wird dadurch gesteigert, dass die einzelnen Netzwerkgeräte nicht mehr alle die Firewall-Funktionalität auf den weiterzuvermittelnden Datenverkehr anwenden. So werden die von einem kommunizierenden Gerät an eine Zieladresse ausgegebenen Datenpakete nur noch von einem einzigen Netzwerkgerät unter Verwendung der Firewall-Funktionalität gefiltert, und nicht mehr von sämtlichen Netzwerkgeräten. Da zum Filtern der Datenpakete die Hardwareressourcen des jeweiligen Netzwerkgeräts beansprucht werden, lässt sich hierdurch der gesamte Rechenaufwand reduzieren. Die jeweiligen Hardwareressourcen der Netzwerkgeräte stehen dann zur Bereitstellung weiterer Aufgaben zur Verfügung. The efficiency of the network system according to the invention is increased by the fact that the individual network devices no longer all apply the firewall functionality to the data traffic to be forwarded. The data packets sent by a communicating device to a destination address are now only filtered by a single network device using the firewall functionality, and no longer by all network devices. Since the hardware resources of the respective network device are used to filter the data packets, the overall computing effort can be reduced. The respective hardware resources of the network devices are then available to provide further tasks.

Somit lässt sich auch die Latenz bei der Weiterleitung von Datenpaketen über das erfindungsgemäße Netzwerksystem reduzieren.This also makes it possible to reduce the latency when forwarding data packets via the network system according to the invention.

Kern der Erfindung ist es, die firewallbasierte Filterung der Datenpakete lediglich in einem Netzwerkgerät des Netzwerksystems vorzunehmen. Generell könnte das Filtern der Datenpakete auch in demjenigen dem durch die Zieladresse angegebenen kommunizierenden Gerät vorgeschalteten Netzwerkgerät erfolgen. Dies erhöht jedoch den Umsatz über das erfindungsgemäße Netzwerksystem ausgetauschter Datenpakete, was zu einer unzureichenden Effizienzsteigerung bzw. Latenzreduktion führt. Vorteilhaft ist es daher, wenn dasjenige Netzwerkgerät die von dem kommunizierenden Gerät ausgegebenen Datenpakete filtert, über welches das kommunizierende Gerät an das Kommunikationsnetzwerk angeschlossen ist. So werden nämlich entsprechende Datenpakete in der Kommunikationsleitung besonders früh gefiltert und somit, sollten einzelne Datenpakete verworfen werden, die Gesamtdatenmenge, die im Netzwerksystem ausgetauscht wird, reduziert.The core of the invention is to carry out the firewall-based filtering of the data packets in only one network device of the network system. In general, the filtering of the data packets could also take place in the network device upstream of the communicating device specified by the destination address. However, this increases the turnover of data packets exchanged via the network system according to the invention, which leads to an inadequate increase in efficiency or reduction in latency. It is therefore advantageous if the network device via which the communicating device is connected to the communication network filters the data packets output by the communicating device. In this way, corresponding data packets are filtered particularly early in the communication line and thus, if individual data packets are discarded, the total amount of data exchanged in the network system is reduced.

Ein Netzwerkanschluss kann dabei auch als Eingangsanschluss, Ausgangsanschluss oder kurz „Port“ bezeichnet werden.A network connection can also be referred to as an input connection, output connection or simply “port”.

Die Netzwerkgeräte des Netzwerksystems können jeweils gleichviele oder auch unterschiedlich viele Netzwerkanschlüsse aufweisen. Die über die jeweiligen Netzwerkanschlüsse bereitstellbare Datenrate kann an ein und demselben Netzwerkgerät für verschiedene Netzwerkanschlüsse unterschiedlich hoch sein. Insbesondere sind Netzwerkgeräte über Netzwerkanschlüsse miteinander kommunikativ verbunden, welche eine besonders hohe Datenrate zulassen.The network devices of the network system can each have the same or different numbers of network connections. The data rate that can be provided via the respective network connections can be different for different network connections on one and the same network device. In particular, network devices are communicatively connected to one another via network connections that allow a particularly high data rate.

Datenpakete werden auch als sogenannte Frames bezeichnet. Ein jeweiliges Datenpaket bzw. Frame umfasst dabei unterschiedliche Abschnitte. Ein erster Abschnitt kann die Zieladresse des kommunizierenden Geräts enthalten. Ein zweiter Abschnitt kann die Quelladresse des das Datenpaket ausgebenden kommunizierenden Geräts enthalten. Ein dritter Abschnitt kann einen Daten(paket)typ definieren und wird auch als Typfeld bezeichnet. Ein vierter Abschnitt kann Nutzdaten enthalten. Ein fünfter Abschnitt kann eine Prüfsumme enthalten, mittels derer ein jeweiliges Netzwerkgerät prüfen kann, ob das jeweilige Datenpaket korrekt oder fehlerhaft übermittelt wurde.Data packets are also referred to as frames. Each data packet or frame comprises different sections. A first section can contain the destination address of the communicating device. A second section can contain the source address of the communicating device that output the data packet. A third section can define a data (packet) type and is also referred to as a type field. A fourth section can contain payload data. A fifth section can contain a checksum, which a network device can use to check whether the respective data packet was transmitted correctly or incorrectly.

Ein jeweiliges Netzwerkgerät liest ein weiter zu vermittelndes Datenpaket ein und extrahiert die durch die jeweiligen Abschnitte beschriebenen Informationen. Auf diese Informationen werden die von der Firewall-Funktionalität eingesetzten Regeln angewendet, um die jeweiligen Datenpakete zu filtern. So können beispielsweise nur solche Datenpakete über das Netzwerk weitergeleitet werden, welche an bestimmte Zieladressen gerichtet sind, von bestimmten Quelladressen, also kommunizierenden Geräten, ausgegeben wurden, einem bestimmten Datentyp entsprechen und dergleichen.A respective network device reads in a data packet to be forwarded and extracts the information described by the respective sections. The rules used by the firewall functionality are applied to this information in order to filter the respective data packets. For example, only those data packets that are directed to certain destination addresses, were issued by certain source addresses (i.e. communicating devices), correspond to a certain data type, and the like can be forwarded over the network.

Entsprechend ist ein Verfahren zur Durchführung der durch die Komponenten des erfindungsgemäßen Netzwerksystems ausführbaren Verfahrensschritte ebenfalls Teil der Erfindung.Accordingly, a method for carrying out the method steps executable by the components of the network system according to the invention is also part of the invention.

Wie bereits beschrieben, sind die jeweiligen Netzwerkgeräte dazu eingerichtet eine Konfigurationsdatei einzulesen und zum Konfigurieren der Firewall-Funktionalität anzuwenden, wobei die Konfigurationsdatei zumindest einen eindeutigen Identifikator an das jeweilige Netzwerkgerät angeschlossener kommunizierender Geräte enthält. Mit Hilfe des eindeutigen Identifikators, insbesondere einer MAC-Adresse, lassen sich die jeweiligen kommunizierenden Geräte des erfindungsgemäßen Netzwerksystems eindeutig referenzieren. Somit lässt sich einem Netzwerkgerät mitteilen, welche an das Netzwerkgerät angeschlossenen kommunizierenden Geräte zum Versenden von Datenpaketen generell autorisiert sind. Schließt beispielsweise ein Angreifer ein weiteres kommunizierendes Gerät an ein Netzwerkgerät des erfindungsgemäßen Netzwerksystems an, so filtert das Netzwerkgerät jegliche von diesem kommunizierenden Gerät ausgesendeten Datenpakete, da der eindeutige Identifikator des vom Angreifer implementierten kommunizierenden Geräts nicht in der Konfigurationsdatei gefunden wird. Hierdurch wird zuverlässig verhindert, dass kompromittierte Daten über das erfindungsgemäße Netzwerksystem versendet werden.As already described, the respective network devices are set up to read a configuration file and use it to configure the firewall functionality, whereby the configuration file contains at least one unique identifier connected to the respective network device. ner communicating devices. With the help of the unique identifier, in particular a MAC address, the respective communicating devices of the network system according to the invention can be clearly referenced. In this way, a network device can be informed which communicating devices connected to the network device are generally authorized to send data packets. If, for example, an attacker connects another communicating device to a network device of the network system according to the invention, the network device filters any data packets sent by this communicating device because the unique identifier of the communicating device implemented by the attacker is not found in the configuration file. This reliably prevents compromised data from being sent via the network system according to the invention.

Ergänzend kann die Konfigurationsdatei auch den eindeutigen Identifikator der an das Netzwerkgerät angeschlossenen weiteren Netzwerkgeräte umfassen. Somit kann dem Netzwerkgerät mitgeteilt werden, von welchen weiteren Netzwerkgeräten empfangene Datenpakete explizit nicht gefiltert werden sollen. Hierdurch lassen sich sogenannte White-Lists, auch als Positivliste bezeichnet, ableiten.In addition, the configuration file can also include the unique identifier of the other network devices connected to the network device. This allows the network device to be informed of which other network devices data packets received from should not be explicitly filtered. This allows so-called white lists, also known as positive lists, to be derived.

Im einfachsten Falle lässt sich das erfindungsgemäße Netzwerksystem dadurch realisieren, dass die Firewall-Funktionalität eines jeweiligen Netzwerkgeräts generell keine Filterung vornimmt. Über die Konfigurationsdatei lassen sich dann sogenannte Black-Lists bzw. Negativlisten definieren, die angeben, von welchem kommunizierenden Gerät empfangene Datenpakete zu filtern sind. Je nach Ausführung des erfindungsgemäßen Netzwerksystems besteht die Gefahr, dass einige kommunizierenden Geräte generell leichter kompromittiert werden können und andere kommunizierenden Geräte nur schwer oder gar nicht kompromittiert werden können. Entsprechend wird den jeweiligen Netzwerkgeräten hierdurch mitgeteilt, von welchen kommunizierenden Geräten ausgesendete Datenpakete zu filtern sind. Diese Logik kann auch adaptiv ausgeführt sein, sodass, wenn ein neues kommunizierendes Gerät an ein Netzwerkgerät angeschlossen wird, der eindeutige Identifikator des neu angeschlossenen kommunizierenden Geräts automatisch in eine entsprechende Negativliste aufgenommen wird.In the simplest case, the network system according to the invention can be implemented in that the firewall functionality of a respective network device generally does not perform any filtering. The configuration file can then be used to define so-called black lists or negative lists that specify which communicating device receives data packets to filter. Depending on the design of the network system according to the invention, there is a risk that some communicating devices can generally be compromised more easily and other communicating devices can only be compromised with difficulty or not at all. Accordingly, the respective network devices are informed of which communicating devices send data packets to filter. This logic can also be implemented adaptively, so that when a new communicating device is connected to a network device, the unique identifier of the newly connected communicating device is automatically added to a corresponding negative list.

Im einfachsten Fall wird die gesamte Netzwerktopologie an alle Netzwerkgeräte des erfindungsgemäßen Netzwerksystems gleichermaßen übertragen. Eine jeweilige Konfigurationsdatei beschreibt also welche kommunizierenden Geräte, beispielsweise eindeutig referenziert über eine MAC-Adresse, an welches Netzwerkgerät angeschlossen sind sowie welche Netzwerkgeräte selbst miteinander verbunden sind. Die in die Netzwerkgeräte integrierten Firewalls filtern dann nur diejenigen Datenpakete, die von an das jeweiligen Netzwerkgerät angeschlossenen kommunizierenden Geräten ausgegeben werden.In the simplest case, the entire network topology is transmitted equally to all network devices of the network system according to the invention. A respective configuration file therefore describes which communicating devices are connected to which network device, for example clearly referenced via a MAC address, and which network devices themselves are connected to one another. The firewalls integrated into the network devices then only filter those data packets that are output by communicating devices connected to the respective network device.

Bevorzugt sind die jeweiligen Netzwerkgeräte dabei als Ethernet-Switch ausgebildet. Hierbei handelt es sich um besonders etablierte, zuverlässige und weit verbreitete Netzwerkgeräte, sodass das erfindungsgemäße Netzwerksystem einfach und kostengünstig realisiert werden kann. Als Netzwerkanschluss weist ein Switch Ethernetbuchsen bzw. Ethernetports auf. Eine Anbindung der kommunizierenden Geräte an die Switches erfolgt entsprechend über Ethernetkabel. Die Topologie des erfindungsgemäßen Netzwerkssystems kann beliebig sein, und beispielsweise ausgeführt sein als: Ring, Mesh, Star, Fully Connected, Line, Tree, Bus und dergleichen.The respective network devices are preferably designed as Ethernet switches. These are particularly established, reliable and widely used network devices, so that the network system according to the invention can be implemented easily and inexpensively. A switch has Ethernet sockets or Ethernet ports as a network connection. The communicating devices are connected to the switches via Ethernet cables. The topology of the network system according to the invention can be arbitrary and can be designed, for example, as: ring, mesh, star, fully connected, line, tree, bus and the like.

Zumindest die kommunizierenden Geräte weisen einen eindeutigen Identifikator auf. Dieser Identifikator kann die Adresse des jeweiligen Geräts im Netzwerksystem definieren. Bei der Verwendung von Ethernet-Switches als Netzwerkgeräten handelt es sich bei diesem Identifikator insbesondere um die MAC-Adresse. Je nachdem auf welcher Schicht, auch als Layer bezeichnet, des OSI-Modells der jeweilige Switch arbeitet, können auch die Switches selbst eine MAC-Adresse aufweisen.At least the communicating devices have a unique identifier. This identifier can define the address of the respective device in the network system. When using Ethernet switches as network devices, this identifier is in particular the MAC address. Depending on which layer of the OSI model the respective switch operates on, the switches themselves can also have a MAC address.

Die Arbeitsweise eines Switches zum Weiterleiten von Datenpaketen, auch als Routen bezeichnet, basierend auf sogenannten Source-Address-Tables (SAT) ist dem Fachmann dabei hinreichend bekannt.The way a switch works to forward data packets, also known as routes, based on so-called source address tables (SAT) is well known to those skilled in the art.

Die Speichergröße der jeweiligen Konfigurationsdatei ist dementsprechend groß. Da es nicht erforderlich ist Netzwerkgeräten mitzuteilen, welche anderen kommunizierenden Geräte an andere Netzwerkgeräte angeschlossen sind, sieht eine vorteilhafte Weiterbildung des erfindungsgemäßen Netzwerksystems ferner vor, dass die Firewall-Funktionalität von wenigstens zwei Netzwerkgeräten durch jeweils individuelle, netzwerkgerätspezifische Konfigurationsdateien konfiguriert ist. Es lassen sich also für verschiedene Netzwerkgeräte unterschiedliche, auf das jeweilige Netzwerkgerät zugeschnittene Konfigurationsdateien implementieren. Mit anderen Worten wird jedem Netzwerkgerät lediglich mitgeteilt, welche kommunizierenden Geräte an das jeweiligen Netzwerkgerät angeschlossen sind, insbesondere über welchen Netzwerkanschluss bzw. Port. Hierdurch ist jedes Netzwerkgerät schnell und einfach dazu in der Lage zu erkennen, von welchen kommunizierenden Geräten ausgesendete Datenpakete zu filtern sind und welche nicht.The memory size of the respective configuration file is correspondingly large. Since it is not necessary to inform network devices which other communicating devices are connected to other network devices, an advantageous development of the network system according to the invention further provides that the firewall functionality of at least two network devices is configured by individual, network device-specific configuration files. Different configuration files tailored to the respective network device can therefore be implemented for different network devices. In other words, each network device is only informed which communicating devices are connected to the respective network device, in particular via which network connection or port. This enables each network device to quickly and easily recognize which data packets sent by which communicating devices are to be filtered and which are not.

Entsprechend einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Netzwerksystems weist wenigstens ein kommunizierendes Gerät einen Mobilfunkanschluss auf und ist dazu eingerichtet Konfigurationsdateien per Mobilfunk zu empfangen. Das entsprechende kommunizierende Gerät kann auch als Telekommunikationseinheit oder Telematikeinheit bezeichnet werden. Eine solche Telematikeinheit kann einen oder auch mehrere Mobilfunkanschlüsse aufweisen. Über eine solche Telematikeinheit lassen sich dann Aktualisierungen, auch als Updates bezeichnet, empfangen. Im Automotivebereich werden drahtlos versendete Updates auch als Over-The-Air Update (OTA) bezeichnet. Wird das erfindungsgemäße Netzwerksystem geändert, so lassen sich die jeweiligen Netzwerkgeräte bzw. die von den Netzwerkgeräten umfassten Firewall-Funktionalitäten neu konfigurieren und an das geänderte Netzwerkdesign anpassen. Entsprechend lassen sich auch fehlerhaft konfigurierte Netzwerkgeräte korrigieren. So kann ein Administrator neue Regeln zum Filtern des Netzwerkverkehrs festlegen und somit das erfindungsgemäße Netzwerksystem an geänderte Anforderungen anpassen. Das Aufsuchen einer Werkstatt zum Anpassen der Firewallkonfiguration ist dann nicht erforderlich.According to a further advantageous embodiment of the network system according to the invention, at least one communicating device has a mobile radio connection and is set up to receive configuration files via mobile radio. The corresponding communicating device can also be referred to as a telecommunications unit or telematics unit. Such a telematics unit can have one or more mobile radio connections. Updates can then be received via such a telematics unit. In the automotive sector, updates sent wirelessly are also referred to as over-the-air updates (OTA). If the network system according to the invention is changed, the respective network devices or the firewall functionalities included in the network devices can be reconfigured and adapted to the changed network design. Accordingly, incorrectly configured network devices can also be corrected. An administrator can thus define new rules for filtering network traffic and thus adapt the network system according to the invention to changed requirements. Visiting a workshop to adapt the firewall configuration is then not necessary.

Ein erfindungsgemäßes Fahrzeug weist ein solches im vorigen beschriebenes Netzwerksystem auf. Bei dem Fahrzeug kann es sich um ein beliebiges Fahrzeug wie einen Pkw, Lkw, Transporter, Bus oder dergleichen handeln. Generell könnte es sich auch um ein Schienenfahrzeug, Wasserfahrzeug oder Luftfahrzeug handeln.A vehicle according to the invention has such a network system as described above. The vehicle can be any vehicle such as a car, truck, van, bus or the like. In general, it could also be a rail vehicle, watercraft or aircraft.

Bevorzugt wird dabei wenigstens ein kommunizierendes Gerät ausgebildet von: einem Mikrocontroller, einem Mikroprozessor, einem Fahrzeugsteuergerät, einem Aktor oder einem Sensor. Somit ist ein effizienter und abgesicherter Datenverkehr über ein in ein Fahrzeug integriertes Netzwerksystem möglich. Ein jeweiliges Fahrzeugsteuergerät kann dabei selbst durch ein sogenanntes System-On-A-Chip ausgebildet sein, also selbst als Mikrocontroller bzw. Mikroprozessor ausgeführt sein oder solche Komponenten umfassen.Preferably, at least one communicating device is formed by: a microcontroller, a microprocessor, a vehicle control unit, an actuator or a sensor. This enables efficient and secure data traffic via a network system integrated into a vehicle. A respective vehicle control unit can itself be formed by a so-called system-on-a-chip, i.e. it can itself be designed as a microcontroller or microprocessor or can include such components.

Die Entwicklung von Konfigurationsdateien kann entsprechend von einem Fahrzeughersteller vorgenommen werden. Der Fahrzeughersteller kennt die Topologie des in ein jeweiliges Fahrzeug integrierten Netzwerksystemsystems. Werden Änderungen durchgeführt, so kann der Fahrzeughersteller leicht für die verschiedenen Netzwerkgeräte jeweils passende Konfigurationsdateien mit einem zentralisierten Entwicklerwerkzeug erstellen und drahtlos an die Fahrzeuge verteilen.The development of configuration files can be carried out by a vehicle manufacturer. The vehicle manufacturer knows the topology of the network system integrated in a particular vehicle. If changes are made, the vehicle manufacturer can easily create suitable configuration files for the various network devices using a centralized development tool and distribute them wirelessly to the vehicles.

Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Netzwerksystems ergeben sich auch aus dem Ausführungsbeispiel, welches nachfolgend unter Bezugnahme auf die Figur beschrieben wird.Further advantageous embodiments of the network system according to the invention also emerge from the embodiment which is described below with reference to the figure.

Dabei zeigt 1 eine schematische Ansicht eines erfindungsgemäßen Netzwerksystems.This shows 1 a schematic view of a network system according to the invention.

1 zeigt ein erfindungsgemäßes Netzwerksystem 1 in einer einfachen Ausführungsvariante mit lediglich zwei Netzwerkgeräten 2. Generell könnten das Netzwerksystem 1 jedoch auch mehr Netzwerkgeräte 2 umfassen. An jedes Netzwerkgerät 2 sind in dem in 1 gezeigten Ausführungsbeispiel zwei kommunizierende Geräte 3 angeschlossen. Hierzu verfügt ein jeweiliges Netzwerkgerät 2 über mehrere Netzwerkanschlüsse 4. Entsprechend weisen auch die kommunizierenden Geräte 3 passende Netzwerkanschlüsse 4 auf. 1 shows a network system 1 according to the invention in a simple embodiment with only two network devices 2. In general, however, the network system 1 could also comprise more network devices 2. Each network device 2 is connected in the 1 In the embodiment shown, two communicating devices 3 are connected. For this purpose, each network device 2 has several network connections 4. Accordingly, the communicating devices 3 also have suitable network connections 4.

Die kommunizierenden Geräte 3 sind dabei über erste Netzwerkanschlüsse 4.1 an ein jeweiliges Netzwerkgerät 2 angeschlossen und jeweilige Netzwerkgeräte 2 über jeweils zweite Netzwerkanschlüsse 4.2 miteinander kommunikativ verbunden. Ein jeweiliger erster Netzwerkanschluss 4.1 und ein jeweiliger zweiter Netzwerkanschluss 4.2 können identisch ausgeführt sein. Bevorzugt weist ein zweiter Netzwerkanschluss 4.2 jedoch eine höhere übertragbare Datenrate auf, als ein jeweiliger erster Netzwerkanschluss 4.1.The communicating devices 3 are connected to a respective network device 2 via first network connections 4.1 and respective network devices 2 are communicatively connected to one another via second network connections 4.2. A respective first network connection 4.1 and a respective second network connection 4.2 can be designed identically. However, a second network connection 4.2 preferably has a higher transferable data rate than a respective first network connection 4.1.

Jedes Netzwerkgerät 2 umfasst ein Firewall-Modul 5. Mittels des Firewall-Moduls 5 lässt sich eine Firewall-Funktionalität in ein jeweiliges Netzwerkgerät 2 implementieren. Typischerweise erfolgt die Bereitstellung einer Firewall rein softwarebasiert. Das Firewall-Modul 5 umfasst entsprechend zur Bereitstellung der Firewall-Funktionalität erforderliche Programmcodebausteine. Ergänzend kann ein jeweiliges Firewall-Modul 5 dedizierte Hardwarekomponenten aufweisen, wie spezielle Speicherelemente oder Ausführungseinheiten, die ausschließlich zum Bevorraten entsprechender Programmcodebausteine bzw. Ausführung dieser Programmcodebausteine dienen. Es können jedoch auch hierzu die übrigen Hardwarekomponenten eines jeweiligen Netzwerkgeräts 2 verwendet werden.Each network device 2 comprises a firewall module 5. A firewall functionality can be implemented in a respective network device 2 using the firewall module 5. Typically, the provision of a firewall is purely software-based. The firewall module 5 comprises the program code modules required to provide the firewall functionality. In addition, a respective firewall module 5 can have dedicated hardware components, such as special memory elements or execution units, which are used exclusively for storing corresponding program code modules or executing these program code modules. However, the other hardware components of a respective network device 2 can also be used for this purpose.

Erfindungsgemäß sind die jeweiligen Netzwerkgeräte 2 dazu eingerichtet, von am respektiven Netzwerkgerät 2 angeschlossenen kommunizierenden Geräten 3 empfangene Datenpakete zu filtern und von anderen Netzwerkgeräten 2 empfangene Datenpakete ungefiltert an eine Zieladresse weiterzuvermitteln. Bei der Zieladresse handelt es sich um einen eindeutigen Identifikator eines der kommunizierenden Geräte 3 des erfindungsgemäßen Netzwerksystems 1. Zieladressen und Quelladressen können dabei integraler Bestandteil entsprechender über das Netzwerk ausgetauschter Datenpakete sein. Die Netzwerkgeräte 2 führen dann entsprechende Verfahrensschritte aus.According to the invention, the respective network devices 2 are designed to filter data packets received from communicating devices 3 connected to the respective network device 2 and to forward data packets received from other network devices 2 unfiltered to a destination address. The destination address is a unique identifier of one of the communicating devices 3 of the network system 1 according to the invention. Destination addresses and source addresses can be an integral part of corresponding data packets exchanged over the network. The network devices 2 then carry out the corresponding procedural steps.

Mit anderen Worten filtert das Firewall-Modul 5.1 von den kommunizierenden Geräten 3.1 und 3.2 ausgegebene Datenpakete und das Firewall-Modul 5.2 von den kommunizierenden Geräten 3.3. und 3.4 ausgegebene Datenpakete. Wie durch ein großes fettgedrucktes X angedeutet, muss somit der über die zweiten Netzwerkanschlüsse 4.2 ablaufende Datenverkehr nicht überwacht bzw. gefiltert werden. Somit sinkt der Aufwand zum Filtern des über das erfindungsgemäße Netzwerksystem 1 ausgetauschten Datenverkehrs, wodurch das erfindungsgemäße Netzwerksystem 1 effizienter arbeitet.In other words, the firewall module 5.1 filters data packets output by the communicating devices 3.1 and 3.2 and the firewall module 5.2 filters data packets output by the communicating devices 3.3 and 3.4. As indicated by a large bold X, the data traffic running via the second network connections 4.2 does not have to be monitored or filtered. This reduces the effort required to filter the data traffic exchanged via the network system 1 according to the invention, which means that the network system 1 according to the invention works more efficiently.

Entsprechend ist ein Verfahren zum Filtern des Netzwerkverkehrs Teil der Erfindung, welches entsprechend vorsieht, dass die jeweiligen Netzwerkgeräte 2 nur die von den an das respektive Netzwerkgerät 2 angeschlossen kommunizierenden Geräten 3 empfangenden Datenpakete filtern und entsprechend von anderen Netzwerkgeräten 2 empfangende Datenpakete ungefiltert an die jeweiligen Zieladressen weitervermitteln.Accordingly, a method for filtering network traffic is part of the invention, which accordingly provides that the respective network devices 2 only filter the data packets received from the communicating devices 3 connected to the respective network device 2 and accordingly forward data packets received from other network devices 2 unfiltered to the respective destination addresses.

Verschickt also das kommunizierende Gerät 3.1 Datenpakete an das kommunizierende Gerät 3.4, wie durch einen schwarzen Pfeil angedeutet, so empfängt das Netzwerkgerät 2.1 die Datenpakete und filtert diese basierend auf die im Firewall-Modul 5.1 eingestellter Regeln. Weiterzuleitende Datenpakete verschickt das Netzwerkgerät 2.1 über den zweiten Netzwerkanschluss 4.2 an das Netzwerkgerät 2.2. Das Netzwerkgerät 2.2 empfängt die Datenpakete und leitet diese, ohne eine Filterung mittels des Firewall-Moduls 5.2, an das kommunizierende Gerät 3.4 weiter.If the communicating device 3.1 sends data packets to the communicating device 3.4, as indicated by a black arrow, the network device 2.1 receives the data packets and filters them based on the rules set in the firewall module 5.1. The network device 2.1 sends data packets to be forwarded to the network device 2.2 via the second network connection 4.2. The network device 2.2 receives the data packets and forwards them to the communicating device 3.4 without filtering them using the firewall module 5.2.

Claims (6)

Netzwerksystem (1), umfassend wenigstens zwei Netzwerkgeräte (2) und für jedes Netzwerkgerät (2) wenigstens ein kommunizierendes Gerät (3), wobei jedes Netzwerkgerät (2) wenigstens zwei Netzwerkanschlüsse (4.1, 4.2) aufweist, wobei für jedes Netzwerkgerät (2) das wenigstens eine kommunizierende Gerät (3) an einen ersten Netzwerkanschluss (4.1) des respektiven Netzwerkgeräts (2) angeschlossen ist und wenigstens ein weiteres Netzwerkgerät (2) an einen zweiten (4.2) Netzwerksanschluss des respektiven Netzwerkgeräts (2) angeschlossen ist, und wobei ein jedes Netzwerkgerät (2) über eine integrierte Firewall-Funktionalität zum Filtern über die Netzwerkanschlüsse (4.1, 4.2) zu übertragender Datenpakete verfügt, wobei ein jeweiliges Netzwerkgerät (2) dazu eingerichtet ist, von am respektiven Netzwerkgerät (2) angeschlossenen kommunizierenden Geräten (3) empfangene Datenpakte zu filtern, dadurch gekennzeichnet, dass ein jeweiliges Netzwerkgerät (2) dazu eingerichtet ist, von anderen Netzwerkgeräten (2) empfangene Datenpakete ungefiltert an eine Zieladresse weiterzuvermitteln; und die jeweiligen Netzwerkgeräte (2) dazu eingerichtet sind, eine Konfigurationsdatei einzulesen und zum Konfigurieren der Firewall-Funktionalität anzuwenden, wobei die Konfigurationsdatei zumindest einen eindeutigen Identifikator von an das jeweilige Netzwerkgerät (2) angeschlossenen kommunizierenden Geräten (3) enthält.Network system (1) comprising at least two network devices (2) and at least one communicating device (3) for each network device (2), each network device (2) having at least two network connections (4.1, 4.2), the at least one communicating device (3) for each network device (2) being connected to a first network connection (4.1) of the respective network device (2) and at least one further network device (2) being connected to a second (4.2) network connection of the respective network device (2), and each network device (2) having an integrated firewall functionality for filtering data packets to be transmitted via the network connections (4.1, 4.2), a respective network device (2) being set up to filter data packets received from communicating devices (3) connected to the respective network device (2), characterized in that a respective network device (2) is set up to send data packets received from other network devices (2) unfiltered to a destination address and the respective network devices (2) are configured to read in a configuration file and use it to configure the firewall functionality, wherein the configuration file contains at least one unique identifier of communicating devices (3) connected to the respective network device (2). Netzwerksystem (1) nach Anspruch 1, dadurch gekennzeichnet, dass die jeweiligen Netzwerkgeräte (2) von einem Ethernet-Switch ausgebildet sind.Network system (1) according to claim 1 , characterized in that the respective network devices (2) are formed by an Ethernet switch. Netzwerksystem (1) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Firewall-Funktionalität von wenigstens zwei Netzwerkgeräten (2) durch jeweils individuelle, netzwerkgerätspezifische Konfigurationsdateien konfiguriert ist.Network system (1) according to claim 1 or 2 , characterized in that the firewall functionality of at least two network devices (2) is configured by individual, network device-specific configuration files. Netzwerksystem (1) nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass wenigstens ein kommunizierendes Gerät (3) einen Mobilfunkanschluss aufweist und dazu eingerichtet ist Konfigurationsdateien per Mobilfunk zu empfangen.Network system (1) according to one of the Claims 1 until 3 , characterized in that at least one communicating device (3) has a mobile radio connection and is configured to receive configuration files via mobile radio. Fahrzeug, gekennzeichnet durch ein Netzwerksystem (1) nach einem der Ansprüche 1 bis 4.Vehicle, characterized by a network system (1) according to one of the Claims 1 until 4 . Fahrzeug nach Anspruch 5, dadurch gekennzeichnet, dass wenigstens ein kommunizierendes Gerät (3) ausgebildet wird von: einem Mikrocontroller, einem Mikroprozessor, einem Fahrzeugsteuergerät, einem Aktor oder einem Sensor.vehicle after claim 5 , characterized in that at least one communicating device (3) is formed by: a microcontroller, a microprocessor, a vehicle control unit, an actuator or a sensor.
DE102023002575.5A 2023-06-26 2023-06-26 network system and vehicle Active DE102023002575B4 (en)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102023002575.5A DE102023002575B4 (en) 2023-06-26 2023-06-26 network system and vehicle
PCT/EP2024/066858 WO2025002891A1 (en) 2023-06-26 2024-06-17 Network system and vehicle
KR1020257041801A KR20260009931A (en) 2023-06-26 2024-06-17 Network Systems and Vehicles
CN202480037521.6A CN121241541A (en) 2023-06-26 2024-06-17 Network systems and vehicles
EP24734868.3A EP4562820A1 (en) 2023-06-26 2024-06-17 Network system and vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102023002575.5A DE102023002575B4 (en) 2023-06-26 2023-06-26 network system and vehicle

Publications (2)

Publication Number Publication Date
DE102023002575A1 DE102023002575A1 (en) 2025-01-02
DE102023002575B4 true DE102023002575B4 (en) 2025-02-06

Family

ID=91616879

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023002575.5A Active DE102023002575B4 (en) 2023-06-26 2023-06-26 network system and vehicle

Country Status (5)

Country Link
EP (1) EP4562820A1 (en)
KR (1) KR20260009931A (en)
CN (1) CN121241541A (en)
DE (1) DE102023002575B4 (en)
WO (1) WO2025002891A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016222740A1 (en) 2016-11-18 2018-05-24 Continental Automotive Gmbh Method for a communication network and electronic control unit
WO2018217143A1 (en) 2017-05-24 2018-11-29 Telefonaktiebolaget Lm Ericsson (Publ) Routing table selection in a policy based routing system
EP3442192A1 (en) 2017-08-08 2019-02-13 Robert Bosch GmbH Method for monitoring traffic between network members in a network
DE102021131848A1 (en) 2020-12-23 2022-06-23 Motional Ad Llc SECURITY GATEWAY

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2892202B1 (en) * 2014-01-06 2018-06-20 Argus Cyber Security Ltd. Hosted watchman

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016222740A1 (en) 2016-11-18 2018-05-24 Continental Automotive Gmbh Method for a communication network and electronic control unit
WO2018217143A1 (en) 2017-05-24 2018-11-29 Telefonaktiebolaget Lm Ericsson (Publ) Routing table selection in a policy based routing system
EP3442192A1 (en) 2017-08-08 2019-02-13 Robert Bosch GmbH Method for monitoring traffic between network members in a network
DE102021131848A1 (en) 2020-12-23 2022-06-23 Motional Ad Llc SECURITY GATEWAY

Also Published As

Publication number Publication date
KR20260009931A (en) 2026-01-20
CN121241541A (en) 2025-12-30
EP4562820A1 (en) 2025-06-04
WO2025002891A1 (en) 2025-01-02
DE102023002575A1 (en) 2025-01-02

Similar Documents

Publication Publication Date Title
EP1566029B1 (en) Gateway unit for connecting sub-networks, in particular in vehicles
EP3523930B1 (en) Motor vehicle comprising an internal data network and method for operating the motor vehicle
EP3228036B1 (en) Method and control device for transmitting safety-relevant data in a motor vehicle by means of an ethernet standard
EP3656088B1 (en) Method and device for configuring identical network components, and motor vehicle
DE102011082965A1 (en) Method for operating a network arrangement and network arrangement
EP4104388B1 (en) Method for configuring a network, in particular, in a motor vehicle
DE102016113845A1 (en) Systems and methods for configuring devices in a network supporting Vlans
DE102017203898A1 (en) Gateway device, communication method and communication system for a vehicle, in particular a rail vehicle
WO2021099186A2 (en) Method for monitoring communication on a communication bus, electronic device for connection to a communication bus, and central monitoring device for connection to a communication bus
DE102016002945B4 (en) Motor vehicle and method for providing multiple online vehicle functionalities
DE102017216808A1 (en) Method for monitoring communication on a communication bus and electronic device for connection to a communication bus
DE102016211189A1 (en) Forwarding device
DE102023002575B4 (en) network system and vehicle
DE102023002589B4 (en) network system and vehicle
DE102016203090A1 (en) Control device, in particular for a motor vehicle, with microcontrollers connected via Ethernet
DE102007049044A1 (en) Data exchange device i.e. communication structure, for e.g. application specific integrated circuit, has function modules for processing interface-related functions, and master unit including number of signal inputs
DE102017109703B3 (en) Method for coordinating access to a resource of a distributed computer system, computer system and computer program
DE102021104423A1 (en) Method for operating a communication network, communication network and participants therefor
WO2021063785A1 (en) Avionics network having synchronization domains, and method for synchronizing network subscribers in an avionics network
DE102024117230B4 (en) VEHICLE DATA COMMUNICATION SYSTEM, ELECTRONIC CONTROL UNIT AND COMMUNICATION BANDWIDTH SETTING PROGRAM
DE102024000183B4 (en) Computer-implemented method for configuring a firewall, computer program product, computer-readable storage medium and vehicle
WO2020120126A1 (en) Method for operating a data network of a motor vehicle and motor vehicle comprising a data network which can be correspondingly operated
DE102021201120A1 (en) Subscriber station for a serial bus system and method for communication in a serial bus system
DE102024110619A1 (en) COMMUNICATION DEVICE
DE10340120B4 (en) Method and system for forwarding information in a distributed network

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final