DE102016224198A1 - Abgesichertes Kommunikationsprotokoll für sicherheitsrelevante Funktionen eines Steuergeräts - Google Patents

Abgesichertes Kommunikationsprotokoll für sicherheitsrelevante Funktionen eines Steuergeräts Download PDF

Info

Publication number
DE102016224198A1
DE102016224198A1 DE102016224198.2A DE102016224198A DE102016224198A1 DE 102016224198 A1 DE102016224198 A1 DE 102016224198A1 DE 102016224198 A DE102016224198 A DE 102016224198A DE 102016224198 A1 DE102016224198 A1 DE 102016224198A1
Authority
DE
Germany
Prior art keywords
message
control
security
control unit
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016224198.2A
Other languages
English (en)
Inventor
Martin Geißenhöner
Steffen Knobloch
Matthias Rode
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102016224198.2A priority Critical patent/DE102016224198A1/de
Publication of DE102016224198A1 publication Critical patent/DE102016224198A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Steuern mindestens einer sicherheitsrelevanten Funktion einer Maschine mittels mindestens eines über eine von der Maschine umfassten Diagnosekommunikationsschnittstelle empfangenen Steuerbefehls, bei dem die mindestens eine sicherheitsrelevante Funktion in einem ersten Schritt (13) mittels einer Freischaltnachricht in einem Steuergerät der Maschine freigeschaltet und in einem zweiten Schritt (19) mittels einer Steuerungsnachricht gesteuert wird, wobei die mindestens eine sicherheitsrelevante Funktion nur dann gesteuert wird, wenn die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde, und bei dem die mindestens eine sicherheitsrelevante Funktion weiterhin nur dann gesteuert wird, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurden.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Steuern sicherheitsrelevanter Funktionen einer Maschine und ein zur Durchführung des vorgestellten Verfahrens konfiguriertes Steuergerät.
  • Zum Steuern, d. h. zum Aktivieren bzw. Stoppen von sicherheitsrelevanten Funktionen, wie bspw. einem Öffnen bzw. Schließen einer Parkbremse oder einem Aktivieren bzw. Deaktivieren einer Zündung einer Maschine, werden Steuergeräte verwendet, die die Funktionen in Abhängigkeit von Steuerbefehlen steuern. Dabei ist die Steuerung der Funktionen im Kundenbetrieb über verschiedene Maßnahmen, wie bspw. Redundanzpfade, eine sichere Signalisierung oder einen Einbezug eines Nutzers abgesichert. Für bspw. Produktions- oder Wartungsverfahren kann es erforderlich sein, sicherheitsrelevante Funktionen über eine Diagnosekommunikation zu steuern, auch wenn kein Nutzer bzw. kein Fahrer aktiv ist.
  • Da Kommunikationsprotokolle zum Übertragen von Steuerbefehlen über eine Diagnosekommunikationsschnittstelle in der Regel nicht mittels Sicherheitsmaßnahmen abgesichert sind, und Diagnosekommunikationsschnittstellen unter Verwendung frei verkäuflicher Mittel, wie bspw. sogenannter „OBD-Dongles“ anzusteuern sind, besteht Bedarf für einen Schutz von sicherheitsrelevanten Funktionen vor unberechtigten oder ungewollten Zugriffen.
  • In der deutschen Druckschrift DE 10 2008 041 360 A1 wird ein Verfahren zur Datenaktualisierung eines Steuergeräts offenbart, bei dem mittels eines Diagnosegeräts eine Prüfsummenüberprüfung an dem Steuergerät durchgeführt wird.
  • Die deutsche Druckschrift DE 10 2009 001 397 A1 offenbart ein Verfahren zur Diagnose eines Kommunikationssystems eines Fahrzeugs in Bezug auf eine asymmetrische Verzögerung eines Datensignals.
  • Ein Kommunikationssystem zur Prüfung von fehlererkennenden Sicherheitsmechanismen eines Kommunikationsteilnehmers anhand einer zyklischen Redundanzprüfung ist in der deutschen Druckschrift DE 10 2013 020 522 A1 offenbart.
  • Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung, ein Verfahren zum Schützen sicherheitsrelevanter Funktionen einer Maschine vor einer Steuerung durch über eine Diagnosekommunikationsschnittstelle mit der Maschine kommunizierende unberechtigte Dritte bereitzustellen.
  • Zur Lösung der voranstehend genannten Aufgabe wird ein Verfahren zum Steuern mindestens einer sicherheitsrelevanten Funktion einer Maschine mittels mindestens eines über eine von der Maschine umfassten Diagnosekommunikationsschnittstelle empfangenen Steuerbefehls vorgestellt, bei dem die mindestens eine sicherheitsrelevante Funktion in einem ersten Schritt mittels einer Freischaltnachricht in einem Steuergerät der Maschine freigeschaltet und in einem zweiten Schritt mittels einer Steuerungsnachricht gesteuert wird, wobei die mindestens eine sicherheitsrelevante Funktion nur dann gesteuert wird, wenn die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde, und bei dem die mindestens eine sicherheitsrelevante Funktion weiterhin nur dann gesteuert wird, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurden.
  • Ausgestaltungen der vorgestellten Erfindung ergeben sich aus der Beschreibung und den abhängigen Ansprüchen.
  • Das vorgestellte Verfahren dient insbesondere zum sicheren Steuern, d. h. zum Aktivieren bzw. Stoppen, von Funktionen einer Maschine für den Fall, dass Steuerbefehle zum Steuern der Funktionen der Maschine über eine Diagnosekommunikationsschnittstelle, d. h. eine zur Diagnose der Maschine vorgesehene Kommunikationsschnittstelle übertragen werden. Zur sicheren Steuerung von Funktionen, d. h. zur Steuerung der Funktionen lediglich für den Fall, dass ein Sender jeweiliger Steuerbefehle als zum Steuern entsprechender Funktionen berechtigt authentifiziert wurde, ist erfindungsgemäß vorgesehen, dass die Funktionen nur dann gesteuert werden, wenn die entsprechenden Funktionen in einem ersten Schritt mittels einer Freischaltnachricht freigeschaltet und in einem zweiten Schritt mittels einer Steuerungsnachricht aktiviert wurden und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde.
  • Durch die erfindungsgemäß vorgesehenen Bedingungen zur Steuerung von sicherheitsrelevanten Funktionen in Form einer zeitlichen Abfolge einer Übermittlung einer Freischaltnachricht und einer Steuerungsnachricht wird sichergestellt, dass ein die Steuerungsnachricht und die Freischaltnachricht übertragender Sender zur Steuerung entsprechender Funktionen berechtigt ist und nicht etwa ein bspw. mittels eines Standardkommunikationsprotokolls auf eine jeweilige Maschine zugreifender unberechtigter Dritter ist. Nur unter Kenntnis der Anforderungen an den zeitlichen Ablauf der Übertragung der Freischaltnachricht und der Steuerungsnachricht ist es unter Verwendung des vorgestellten Verfahrens möglich, sicherheitsrelevante Funktionen der Maschine zu steuern. Da ein Standardkommunikationsprotokoll, wie es bspw. zum Übertragen von Steuerbefehlen über eine Onboarddiagnoseschnittstelle vorgesehen ist, die erfindungsgemäß vorgesehene Übertragung von Freischaltnachricht und Steuerungsnachricht nicht vorsieht, ist eine Steuerung jeweiliger sicherheitsrelevanter Funktionen mittels eines bspw. kommerziell verfügbaren Onboarddiagnosekommunikationsgeräts, d. h. eines sogenannten „OBD-Dongles“ unter Verwendung des vorgestellten Verfahrens nicht möglich.
  • Unter einer sicherheitsrelevanten Funktion ist im Kontext der vorliegenden Erfindung eine Funktion zu verstehen, die nach einem Kriterienkatalog, wie bspw. der ISO-Norm 26262, einer sicherheitsrelevanten Stufe zugeordnet wurde bzw. in eine Liste von sicherheitsrelevanten Funktionen aufgenommen wurde. Dabei kann in Ausgestaltung selbstverständlich vorgesehen sein, dass die Liste an sicherheitsrelevanten Funktionen bspw. von einem Techniker manuell angepasst, d. h. erweitert bzw. ergänzt werden kann.
  • Um eine informationstechnische Attacke, bei der bspw. mittels eines Zufallsalgorithmus Freischaltnachrichten und Steuerungsnachrichten erzeugt werden, abzuwehren, ist insbesondere vorgesehen, dass eine jeweilige Freischaltnachricht bzw. eine jeweilige Steuerungsnachricht mittels eines jeweiligen Authentifizierungsnachweises authentifiziert werden. Durch einen Authentifizierungsnachweis, wie bspw. einen kryptographischen Schlüssel, wird eine Erzeugung von Freischaltnachrichten und Steuerungsnachrichten gegenüber einem Standardkommunikationsprotokoll, wie es im Stand der Technik verwendet wird, wesentlich erschwert. Da derartige Authentifizierungsmerkmale bzw. -nachweise in der Regel in endlicher Zeit zu finden, d. h. zu „knacken“ sind, ist erfindungsgemäß vorgesehen, die Steuerungsnachricht zeitlich an die Freischaltnachricht zu binden, so dass sowohl das Authentifizierungsmerkmal für die Freischaltnachricht als auch das Authentifizierungsmerkmal für die Steuerungsnachricht innerhalb eines vorgegebenen Zeitraums bereitgestellt werden müssen. Ein zufälliges Auffinden zweier Authentifizierungsmerkmale innerhalb des erfindungsgemäß vorgesehenen Zeitbereichs ist sehr unwahrscheinlich, was das Verfahren entsprechend sicher macht.
  • In einer möglichen Ausgestaltung des vorgesellten Verfahrens ist vorgesehen, dass die Steuerungsnachricht eine Aktivierungsnachricht zum Aktivieren der mindestens einen sicherheitsrelevanten Funktion oder eine Stoppnachricht zum Stoppen der mindestens einen sicherheitsrelevanten Funktion ist.
  • Mittels des vorgestellten Verfahren können sowohl Nachrichten, d. h. mittels der erfindungsgemäß vorgesehenen Diagnosekommunikationsschnittstelle empfangene Nachrichten zum Aktivieren als auch Nachrichten zum Stoppen von Funktionen einer jeweiligen Maschine überprüft und in Abhängigkeit eines Ergebnisses der Überprüfung geblockt, d. h. nicht zur Steuerung der Funktionen der Maschine verwendet werden.
  • In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass die Freischaltnachricht als Authentifizierungsmerkmal ein Freischaltmuster umfasst, das mit einem auf dem Steuergerät hinterlegten Referenzfreischaltmuster abgeglichen wird und die Freischaltung der mindestens einen sicherheitsrelevanten Funktion nur dann erfolgt, wenn das von der Freischaltnachricht umfasste Freischaltmuster mit dem auf dem Steuergerät hinterlegten Referenzfreischaltmuster übereinstimmt, und bei dem die Steuerungsnachricht als Authentifizierungsmerkmal ein Sicherheitsmuster umfasst, das mit einem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster abgeglichen wird und die Steuerung der mindestens einen sicherheitsrelevanten Funktion nur dann erfolgt, wenn das von der Steuerungsnachricht umfasste Sicherheitsmuster mit dem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster übereinstimmt.
  • Zum Authentifizieren eines Nutzers und entsprechend zum Verhindern einer Steuerung von Funktionen einer Maschine durch einen nicht authentifizierten Nutzer ist es vorgesehen, dass die erfindungsgemäß vorgesehenen Freischalt- und Steuerungsnachrichten jeweils mittels eines Authentifizierungsmerkmals überprüft werden. Dabei ist insbesondere vorgesehen, dass als Authentifizierungsmerkmal ein Muster gewählt wird, das bspw. einem Zahlen- und/oder Zeichencode bzw. Buchstabencode entspricht, und das mit einem entsprechenden auf einem Steuergerät der Maschine hinterlegten Referenzmuster, d. h. einem Referenzfreischaltmuster bzw. einem Referenzsicherheitsmuster, abgeglichen wird. Durch die Verwendung zweier unterschiedlicher Authentifizierungsmerkmale für die Freischaltnachricht und die Steuerungsnachricht, d. h. einem Freischaltmuster und einem Sicherheitsmuster, ist eine jeweilige zu steuernde Funktion mittels zweier Authentifizierungsmerkmale vor einer Steuerung durch unberechtigte Dritte geschützt. Dabei ist es besonders vorteilhaft, wenn das Freischaltmuster und das Sicherheitsmuster eine möglichst geringe Ähnlichkeit bzw. eine möglichst große „Hamming“-Distanz zeigen.
  • Unter einer „Hamming“-Distanz ist ein Maß für eine Unterschiedlichkeit von Zeichenketten zu verstehen. Eine „Hamming“-Distanz zweier Zeichenblöcke mit fester Länge entspricht bspw. der Anzahl von zwischen den zwei Zeichenblöcken unterschiedlichen Stellen.
  • In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass ein vollständiger Empfang der Freischaltnachricht und/oder der Steuerungsnachricht anhand einer Prüfsumme der Freischaltnachricht und/oder der Steuerungsnachricht überprüft wird, wobei ein Wert der Prüfsumme für die Freischaltnachricht durch die Freischaltnachricht und ein Wert der Prüfsumme für die Steuerungsnachricht durch die Steuerungsnachricht übermittelt wird, und bei dem die jeweiligen Werte der Prüfsummen mit jeweiligen durch das Steuergerät gemäß einem vorgegebenen Berechnungsschema ermittelten Werten für die Freischaltnachricht und die Steuerungsnachricht abgeglichen werden. Selbstverständlich kann auch vorgesehen sein, dass die Werte der Prüfsumme für die Freischaltnachricht und der Prüfsumme für die Steuerungsnachricht in einem Speicher eines jeweiligen Steuergeräts für verschiedene Nachrichten hinterlegt sind.
  • Mittels einer Prüfsumme, die bspw. eine Quersumme von Werten, die jeweiligen Zeichen einer Nachricht zugewiesen sind bzw. einen sogenannten „CRC-Wert“ angibt, kann die Nachricht auf Vollständigkeit geprüft werden und bspw. für den Fall, dass eine Quersumme von Werten jeweiliger Zeichen nicht einer bspw. von der Nachricht selbst vorgegebenen Prüfsumme entspricht, die Nachricht gelöscht und neu angefordert bzw. nicht zur Steuerung jeweiliger Funktionen verwendet wird. Insbesondere in Kombination mit einem Freischaltmuster kann mittels einer Prüfsumme ein vollständiger bzw. fehlerfreier Empfang eines Freischaltmusters bzw. einer ein Freischaltmuster umfassenden Nachricht überprüft werden. Es ist insbesondere denkbar, dass jeweilige Prüfsummen jeweiliger Nachrichten in einer sogenannten „zyklischen Redundanzprüfung“ unter Verwendung eines „CRC-Werts“ überprüft werden.
  • In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass das Freischaltmuster und/oder das Sicherheitsmuster derart gewählt werden, dass eine Hamming-Distanz zwischen der Freischaltnachricht und der Steuerungsnachricht einen vorgegebenen Schwellenwert nicht unterschreitet.
  • Um ein böswilliges Erzeugen von Freischalt- und Steuerungsnachrichten durch unberechtigte Dritte zu erschweren bzw. zu vermeiden, ist vorgesehen, dass sich eine jeweilige Freischaltnachricht zumindest teilweise von einer jeweiligen Steuerungsnachricht unterscheiden muss. Insbesondere ist vorgesehen, dass sich ein Freischaltmuster einer jeweiligen Freischaltnachricht von einem Sicherheitsmuster einer jeweiligen Steuerungsnachricht unterscheiden muss. Um eine Ähnlichkeit jeweiliger Nachrichten zu messen, und die Nachrichten ggf. so zu verändern, dass diese sich unähnlicher werden, kann eine Hamming-Distanz, d. h. ein Hamming-Abstand, zwischen den jeweiligen Nachrichten berechnet werden, indem bspw. eine Anzahl an Zeichen ermittelt wird, die sich zwischen den jeweiligen Nachrichten nicht entsprechen. Sollte die Hamming-Distanz unterhalb eines vorgegebenen Schwellenwerts liegen, so muss eine jeweilige Nachricht, insbesondere ein jeweiliges Freischalt- bzw. Sicherheitsmuster neu erstellt werden, bevor es zur Durchführung des vorgestellten Verfahrens verwendet werden darf.
  • Insbesondere ist vorgesehen, dass zum Steuern einer jeweiligen sicherheitsrelevanten Funktion einer Maschine ein Verfahren verwendet wird, bei dem die Funktion nur dann gesteuert wird, wenn eine Steuerungsnachricht innerhalb eines vorgegebenen Zeitraums nach einer Freischaltnachricht von der Maschine empfangen wird und ein Freischaltmuster der Freischaltnachricht einem in einem Speicher der Maschine hinterlegten Referenzfreischaltmuster entspricht und ein Sicherheitsmuster der Steuerungsnachricht einem in dem Speicher hinterlegten Referenzsicherheitsmuster entspricht, und eine Überprüfung der Freischaltnachricht und der Steuerungsnachricht anhand einer Prüfsumme ergibt, dass sowohl die Freischaltnachricht als auch die Steuerungsnachricht fehlerfrei von der Maschine empfangen wurden, und eine Hamming-Distanz zwischen der Freischaltnachricht und der Steuerungsnachricht einen vorgegebenen Schwellenwert nicht unterschreitet. Dabei ist insbesondere vorgesehen, dass die Prüfsumme über eine komplette Nachricht hinweg gebildet wird, d. h. alle Zeichen der Nachricht, inklusive jeweiliger übergebener Parameter.
  • In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass der Schwellenwert der Hamming-Distanz in Abhängigkeit einer Sicherheitsstufe der mindestens einen sicherheitsrelevanten Nachricht gewählt wird.
  • Um ein Sicherheitsniveau für besonders sicherheitsrelevante Funktionen, die bspw. gemäß einem Schema nach ISO 26262 einer obersten Sicherheitsebene zugeordnet sind, zu maximieren, kann vorgesehen sein, dass Freischaltnachrichten und Steuerungsnachrichten zur Aktivierung derartiger Funktionen eine besonders große Hamming-Distanz zeigen müssen, so dass insbesondere deren Freischaltmuster und Sicherheitsmuster möglichst wenig Übereinstimmungen aufweisen und bspw. ein Schema, dass zum Ermitteln der Freischaltnachricht ermittelt wurde, nicht zum Ermitteln der Steuerungsnachricht verwendet werden kann.
  • In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass nach einem Empfang einer Freischaltnachricht eine Zeitmessfunktion aktiviert wird, die eine seit dem Empfang der Freischaltnachricht vergangene Zeit bestimmt, und bei dem die mindestens eine sicherheitsrelevante Funktion nur dann aktiviert wird, wenn die Steuerungsnachricht innerhalb eines Zeitbereichs nach dem Empfang der Freischaltnachricht empfangen wurde, der unterhalb eines vorgegebenen Schwellenwerts liegt.
  • Mittels einer Zeitmessfunktion, d. h. einem sogenannten „Timer“, der bspw. als Countdown ausgestaltet ist, der von einem vorgegebenen Wert, wie bspw. zwei Sekunden, aus abläuft, kann ein Eingang einer jeweiligen Steuerungsnachricht in Relation zu einem Empfang einer jeweiligen Freischaltnachricht gebracht werden, so dass eine jeweilige sicherheitsrelevante Funktion dann aktiviert wird, wenn eine Steuerungsnachricht von einer jeweiligen Maschine empfangen wurde bevor ein nach einem Empfang einer Freischaltnachricht ausgelöster Countdown abgelaufen ist.
  • In einer weiteren möglichen Ausgestaltung des vorgestellten Verfahrens ist vorgesehen, dass eine Nachricht zum Steuern einer gemäß einem vorgegebenen Schema als sicherheitsrelevant eingestuften Funktion eines Steuergeräts nach einem Empfang der Nachricht durch das Steuergerät zuerst auf eine Sicherheitsrelevanz überprüft wird und für den Fall, dass es sich bei der Nachricht um eine Nachricht zum Steuern einer sicherheitsrelevanten Funktion handelt, die Nachricht an ein Sicherheitsmodul des Steuergeräts weitergeleitet wird, in dem eine Überprüfung eines zeitlichen Abstands zwischen einem Empfang einer der Nachricht zugrundeliegenden Freischaltnachricht und einem Empfang einer der Nachricht zugrundliegenden Steuerungsnachricht stattfindet und, die Freischaltnachricht und die Steuerungsnachricht anhand jeweiliger Authentifizierungsmerkmale überprüft werden, und bei dem das Sicherheitsmodul jeweilige von der Nachricht umfasste Steuerbefehle an dem Steuergerät nur dann steuert, wenn die Überprüfung des zeitlichen Abstands und, die Überprüfung anhand der jeweiligen Authentifizierungsmerkmale zu einem Ergebnis führt, gemäß dessen die Nachricht als sicher eingestuft wird.
  • Mittels eines Sicherheitsmoduls, das als Softwaremodul in ein bereits existierendes Steuergerät implementiert oder als Hardwaremodul bei einer Konstruktion eines Steuergeräts berücksichtigt bzw. mit einem bereits existierenden Steuergerät verbunden werden kann, können, um das Steuergerät gegenüber Zugriffen unberechtigter Dritter abzusichern, zur Steuerung von Funktionen des Steuergeräts bzw. einer von dem Steuergerät gesteuerten Maschine, wie bspw. einem Fahrzeug, von dem Steuergerät empfangene Nachrichten vor einer Aktivierung in dem Steuergerät bzw. der Maschine überprüft und, in Abhängigkeit eines Ergebnisses der Überprüfung, geblockt, d. h. bspw. gelöscht, oder aktiviert werden. Es ist insbesondere vorgesehen, dass jeweilige Nachrichten stets dann an das Sicherheitsmodul weitergeleitet werden, wenn diese Steuerbefehle Funktionen umfassen, die gemäß einem Schema, wie bspw. nach ISO 26262 als sicherheitsrelevant eingestuft sind und alle weiteren Steuerbefehle, d. h. alle Steuerbefehle für Funktionen, die gemäß dem Schema nicht als sicherheitsrelevant eingestuft sind, direkt, d. h. ohne Weiterleitung an das Sicherheitsmodul, an dem Steuergerät bzw. der Maschine aktiviert werden.
  • Ferner betrifft die vorliegende Erfindung ein Steuergerät für eine Maschine mit einer Diagnosekommunikationsschnittstelle, wobei das Steuergerät dazu konfiguriert ist, mindestens eine als sicherheitsrelevant eingestufte Funktion des Steuergeräts nur dann zu steuern, wenn von dem Steuergerät über die Diagnosekommunikationsschnittstelle in einem ersten Schritt eine Freischaltnachricht zum Freischalten der mindestens einen Funktion und in einem zweiten Schritt eine Steuerungsnachricht zum Steuern der mindestens einen Funktion empfangen wurde, und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht empfangen wurde und wobei das Steuergerät weiterhin dazu konfiguriert ist, die als sicherheitsrelevant eingestufte Funktion nur dann zu steuern, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurde.
  • Das vorgestellte Steuergerät dient insbesondere zur Durchführung des vorgestellten Verfahrens.
  • In einer möglichen Ausgestaltung des vorgestellten Steuergeräts ist vorgesehen, dass das Steuergerät ein Basismodul zum Steuern von nicht sicherheitsrelevanten Funktionen und ein Sicherheitsmodul zum Steuern von sicherheitsrelevanten Funktionen umfasst. Dabei ist weiterhin vorgesehen, dass das Steuergerät dazu konfiguriert ist, in Abhängigkeit eines vorgegebenen Zuordnungsschemas jeweilige von durch das Steuergerät empfangenen Nachrichten umfasste Steuerbefehle an das Sicherheitsmodul zu übertragen.
  • Mittels einem Steuergerät, das in ein Basismodul und ein Sicherheitsmodul unterteilt ist, können nicht sicherheitsrelevante Steuerbefehle, wie bspw. Steuerbefehle zum Abrufen von Informationen, direkt, d. h. ohne weitere Prüfung, in dem Basismodul aktiviert werden und sicherheitsrelevante Steuerbefehle, wie bspw. Steuerbefehle zum Aktivieren einer Feststellbremse eines Fahrzeugs, lediglich dann aktiviert werden, wenn eine Freischaltnachricht und eine Steuerungsnachricht mittels eines jeweiligen Authentifizierungsmerkmals authentifiziert wurden und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde.
  • Es ist denkbar, dass für den Fall, dass eine Überprüfung bzw. Authentifizierung einer jeweiligen Freischaltnachricht bzw. Steuerungsnachricht mittels des erfindungsgemäßen Verfahrens erfolgreich war, und bspw. von der Steuerungsnachricht umfasste Steuerbefehle zu aktivieren bzw. an dem Steuergerät einzustellen sind, das Sicherheitsmodul die Steuerbefehle direkt aktiviert oder eine entsprechende Aktivierungsnachricht an das Steuergerät übermittelt.
  • In einer weiteren möglichen Ausgestaltung des vorgestellten Steuergeräts ist vorgesehen, dass das Steuergerät ein Steuergerät zum Steuern von Funktionen eines Fahrzeugs und die Diagnosekommunikationsschnittstelle eine Onboarddiagnoseschnittstelle ist.
  • Das vorgestellte Steuergerät und das vorgestellte Verfahren dienen insbesondere zum Schützen eines Fahrzeugs gegenüber unberechtigten Dritten bzw. ungewollten Zugriffen auf sicherheitsrelevante Funktionen eines Fahrzeug, so dass bspw. ausschließlich berechtigtes Personal, bspw. in einem Produktions- oder Kundendienstbetrieb Zugriff auf sicherheitsrelevante Funktionen des Fahrzeugs erhält.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Die Erfindung ist anhand von Ausführungsformen in der Zeichnung schematisch dargestellt und wird unter Bezugnahme auf die Zeichnung schematisch und ausführlich beschrieben.
    • 1 zeigt eine schematische Darstellung eines Ablaufs einer möglichen Ausgestaltung des vorgestellten Verfahrens.
  • In 1 ist ein Ablaufschema 1 zum Steuern einer Funktion eines Fahrzeugs dargestellt. Um während einer Inspektion des Fahrzeugs eine Feststellbremse des Fahrzeugs zu aktivieren, ohne einen Schalter zum Steuern der Feststellbremse des Fahrzeugs in einem Innenraum des Fahrzeugs zu betätigen, übermittelt ein Techniker in einem Übertragungsschritt 3 einen entsprechenden Steuerbefehl über eine Onboarddiagnoseschnittstelle (OBD) an ein Steuergerät des Fahrzeugs.
  • In einem Überprüfungsschritt 5 überprüft das Steuergerät, ob der in dem Übertragungsschritt 3 übertragene Steuerbefehl dazu vorgesehen ist, eine anhand eines vorgegebenen Schemas, bspw. gemäß der ISO-Norm 26262 als sicherheitsrelevant eingestufte Funktion zu steuern. Sollte der Steuerbefehl zum Steuern sicherheitsrelevanter Funktionen vorgesehen sein, wird eine den Steuerbefehl umfassende Nachricht in einem Sicherheitsschritt 7 zu einem Sicherheitsmodul des Steuergeräts übertragen. Sollte der Steuerbefehl lediglich zum Steuern nicht sicherheitsrelevanter Funktionen vorgesehen sein, wird der Steuerbefehl in einem Stellschritt 9 direkt zum Steuern entsprechender Funktionen des Steuergeräts bzw. des Fahrzeugs verwendet.
  • Vorliegend wurde der Steuerbefehl zum Aktivieren der Feststellbremse als sicherheitsrelevant eingestuft und die über die Onboarddiagnoseschnittstelle übertragene und den Steuerbefehl umfassende Nachricht in dem Sicherheitsschritt 7 zu dem Sicherheitsmodul übertragen. Das Sicherheitsmodul überprüft zunächst in einem ersten Prüfschritt 11, ob die Nachricht vollständig empfangen wurde. Dazu wird von der Nachricht, die vorliegend einer Freischaltnachricht entspricht, eine Prüfsumme gebildet und mit einer von der Freischaltnachricht bereitgestellten Referenzprüfsumme abgeglichen. Sollte bei einem Abgleich der Prüfsumme mit der Referenzprüfsummen ein Ergebnis ungleich Null ermittelt werden, wird die Nachricht komplett verworfen und eine aktuelle Einstellung der Feststellbremse nicht verändert. Sollte der Abgleich der Prüfsumme der Freischaltnachricht mit der Referenzprüfsumme zu einem Ergebnis gleich Null führen, kann davon ausgegangen werden, dass die Freischaltnachricht vollständig bzw. fehlerfrei empfangen wurde.
  • Sobald feststeht, dass die Freischaltnachricht vollständig bzw. fehlerfrei empfangen wurde, wird in einem ersten Validierungsschritt 13 eine in der Freischaltnachricht angegebene Funktion freigeschaltet, d. h. für eine Aktivierung bereitgestellt. Weiterhin wird in dem ersten Validierungsschritt 13 eine Timer-Funktion ausgelöst, die einen Countdown von zwei Sekunden ablaufen lässt. Sollte während des Countdowns, d. h. bevor der Countdown Null erreicht, eine Steuerungsnachricht, empfangen werden, wird die Timer-Funktion gestoppt und die Steuerungsnachricht in einem zweiten Prüfschritt 15 anhand einer von der Steuerungsnachricht ermittelten Prüfsumme und einer von der Steuerungsnachricht bereitgestellten Referenzprüfsumme auf Vollständigkeit und Fehlerfreiheit analog zu dem ersten Prüfschritt 11 überprüft.
  • Sobald feststeht, dass die Steuerungsnachricht vollständig bzw. fehlerfrei empfangen wurde, werden sowohl die Freischaltnachricht als auch die Steuerungsnachricht in einem zweiten Validierungsschritt 17 einzeln überprüft.
  • Zur Überprüfung in dem zweiten Validierungsschritt 17 werden ein von der Freischaltnachricht umfasstes Freischaltmuster mit einem auf dem Steuergerät hinterlegten Referenzfreischaltmuster und ein von der Steuerungsnachricht umfasstes Sicherheitsmuster mit einem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster abgeglichen. Sollte sich bei dem Abgleich des Freischaltmusters mit dem Referenzfreischaltmuster oder dem Abgleich des Sicherheitsmusters mit dem Referenzsicherheitsmuster ein Unterschied ergeben, wird die Funktion verworfen und die aktuelle Einstellung der Feststellbremse bleibt unverändert.
  • Sollten der Abgleich des Freischaltmusters mit dem Referenzfreischaltmuster und der Abgleich des Sicherheitsmusters mit dem Referenzsicherheitsmuster keinen Unterschied ergeben, kann davon ausgegangen werden, dass die Freischaltnachricht und die Steuerungsnachricht authentisch sind, d. h. von einem autorisierten Nutzer stammen und zum Steuern einer Funktion des Steuergeräts, wie bspw. vorliegend zum Aktivieren der Feststellbremse verwendet werden können. Entsprechend wird der von der Nachricht umfasste Steuerbefehl an die Feststellbremse weitergeleitet und diese in einem Stellschritt 19 aktiviert.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102008041360 A1 [0004]
    • DE 102009001397 A1 [0005]
    • DE 102013020522 A1 [0006]

Claims (12)

  1. Verfahren zum Steuern mindestens einer sicherheitsrelevanten Funktion einer Maschine mittels mindestens eines über eine von der Maschine umfassten Diagnosekommunikationsschnittstelle empfangenen Steuerbefehls, bei dem die mindestens eine sicherheitsrelevante Funktion in einem ersten Schritt (13) mittels einer Freischaltnachricht in einem Steuergerät der Maschine freigeschaltet und in einem zweiten Schritt (19) mittels einer Steuerungsnachricht gesteuert wird, wobei die mindestens eine sicherheitsrelevante Funktion nur dann gesteuert wird, wenn die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht von dem Steuergerät über die Diagnosekommunikationsschnittstelle empfangen wurde, und bei dem die mindestens eine sicherheitsrelevante Funktion weiterhin nur dann gesteuert wird, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurden.
  2. Verfahren nach Anspruch 1, bei dem die Steuerungsnachricht eine Aktivierungsnachricht zum Aktivieren der mindestens einen sicherheitsrelevanten Funktion oder eine Stoppnachricht zum Stoppen der mindestens einen sicherheitsrelevanten Funktion ist.
  3. Verfahren nach Anspruch 1 oder 2, bei dem die Freischaltnachricht als Authentifizierungsmerkmal ein Freischaltmuster umfasst, das mit einem auf dem Steuergerät hinterlegten Referenzfreischaltmuster abgeglichen wird, und bei dem die Steuerungsnachricht als Authentifizierungsmerkmal ein Sicherheitsmuster umfasst, das mit einem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster abgeglichen wird und die Steuerung der mindestens einen sicherheitsrelevanten Funktion nur dann erfolgt, wenn das von der Steuerungsnachricht umfasste Sicherheitsmuster mit dem auf dem Steuergerät hinterlegten Referenzsicherheitsmuster übereinstimmt und das von der Freischaltnachricht umfasste Freischaltmuster mit dem auf dem Steuergerät hinterlegten Referenzfreischaltmuster übereinstimmt.
  4. Verfahren nach einem Anspruch 3, bei dem das Freischaltmuster und/oder das Sicherheitsmuster derart gewählt werden, dass eine Hamming-Distanz zwischen der Freischaltnachricht und der Steuerungsnachricht einen vorgegebenen Schwellenwert nicht unterschreitet.
  5. Verfahren nach Anspruch 4, bei dem die Hamming-Distanz in Abhängigkeit einer Sicherheitsstufe der mindestens einen sicherheitsrelevanten Funktion gewählt wird.
  6. Verfahren nach einem der voranstehenden Ansprüche, bei dem ein vollständiger Empfang der Freischaltnachricht und/oder der Steuerungsnachricht anhand einer Prüfsumme der Freischaltnachricht und/oder der Steuerungsnachricht überprüft wird, wobei ein Wert der Prüfsumme für die Freischaltnachricht durch die Freischaltnachricht und ein Wert der Prüfsumme für die Steuerungsnachricht durch die Steuerungsnachricht übermittelt wird, und bei dem die jeweiligen Werte der Prüfsummen mit jeweiligen durch das Steuergerät gemäß einem vorgegebenen Berechnungsschema ermittelten Werten für die Freischaltnachricht und die Steuerungsnachricht abgeglichen werden.
  7. Verfahren nach Anspruch 6, bei dem die Prüfsummen in einer zyklischen Redundanzprüfung überprüft werden.
  8. Verfahren nach einem der voranstehenden Ansprüche, bei dem nach einem Empfang einer Freischaltnachricht eine Zeitmessfunktion aktiviert wird, die eine seit dem Empfang der Freischaltnachricht vergangene Zeit bestimmt, und bei dem die mindestens eine sicherheitsrelevante Funktion nur dann gesteuert wird, wenn die Steuerungsnachricht innerhalb eines Zeitbereichs nach dem Empfang der Freischaltnachricht empfangen wurde, der unterhalb eines vorgegebenen Schwellenwerts liegt.
  9. Verfahren nach einem der voranstehenden Ansprüche, bei dem die Nachricht nach einem Empfang der Nachricht durch das Steuergerät zunächst anhand eines vorgegebenen Schemas auf eine Sicherheitsrelevanz überprüft wird und für den Fall, dass es sich bei der Nachricht um eine Nachricht zum Steuern einer sicherheitsrelevanten Funktion handelt, die Nachricht an ein Sicherheitsmodul des Steuergeräts weitergeleitet wird, in dem eine Überprüfung eines zeitlichen Abstands zwischen einem Empfang einer der Nachricht zugrundeliegenden Freischaltnachricht und einem Empfang einer der Nachricht zugrundliegenden Steuerungsnachricht stattfindet und, die Freischaltnachricht und die Steuerungsnachricht anhand jeweiliger Authentifizierungsmerkmale überprüft werden, und bei dem das Sicherheitsmodul jeweilige von der Nachricht umfasste Steuerbefehle an dem Steuergerät nur dann aktiviert, wenn die Überprüfung des zeitlichen Abstands und die Überprüfung anhand der jeweiligen Authentifizierungsmerkmale zu einem Ergebnis führt, gemäß dessen die Nachricht als sicher eingestuft wird.
  10. Steuergerät für eine Maschine mit einer Diagnosekommunikationsschnittstelle, wobei das Steuergerät dazu konfiguriert ist, mindestens eine als sicherheitsrelevant eingestufte Funktion des Steuergeräts nur dann zu steuern, wenn von dem Steuergerät über die Diagnosekommunikationsschnittstelle in einem ersten Schritt (13) eine Freischaltnachricht zum Freischalten der mindestens einen Funktion und in einem zweiten Schritt (19) eine Steuerungsnachricht zum Steuern der mindestens einen Funktion empfangen wurde, und die Steuerungsnachricht innerhalb eines vorgegebenen Zeitbereichs nach der Freischaltnachricht empfangen wurde und wobei das Steuergerät weiterhin dazu konfiguriert ist, die als sicherheitsrelevant eingestufte Funktion nur dann zu steuern, wenn die Freischaltnachricht mittels eines von der Freischaltnachricht umfassten Authentifizierungsmerkmals und die Steuerungsnachricht mittels eines von der Steuerungsnachricht umfassten Authentifizierungsmerkmals authentifiziert wurde.
  11. Steuergerät nach Anspruch 10, wobei das Steuergerät ein Basismodul zum Steuern von nicht sicherheitsrelevanten Funktionen und ein Sicherheitsmodul zum Steuern von sicherheitsrelevanten Funktionen umfasst, und wobei das Steuergerät dazu konfiguriert ist, in Abhängigkeit eines vorgegebenen Zuordnungsschemas jeweilige von durch das Steuergerät über die Diagnosekommunikationsschnittstelle empfangenen Nachrichten umfasste Steuerbefehle an das Sicherheitsmodul zu übertragen.
  12. Steuergerät nach Anspruch 10 oder 11, wobei das Steuergerät ein Steuergerät zum Steuern von Funktionen eines Fahrzeugs und die Diagnosekommunikationsschnittstelle eine Onboarddiagnoseschnittstelle ist.
DE102016224198.2A 2016-12-06 2016-12-06 Abgesichertes Kommunikationsprotokoll für sicherheitsrelevante Funktionen eines Steuergeräts Pending DE102016224198A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102016224198.2A DE102016224198A1 (de) 2016-12-06 2016-12-06 Abgesichertes Kommunikationsprotokoll für sicherheitsrelevante Funktionen eines Steuergeräts

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016224198.2A DE102016224198A1 (de) 2016-12-06 2016-12-06 Abgesichertes Kommunikationsprotokoll für sicherheitsrelevante Funktionen eines Steuergeräts

Publications (1)

Publication Number Publication Date
DE102016224198A1 true DE102016224198A1 (de) 2018-06-07

Family

ID=62164202

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016224198.2A Pending DE102016224198A1 (de) 2016-12-06 2016-12-06 Abgesichertes Kommunikationsprotokoll für sicherheitsrelevante Funktionen eines Steuergeräts

Country Status (1)

Country Link
DE (1) DE102016224198A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008041360A1 (de) 2008-08-20 2010-02-25 Robert Bosch Gmbh Steuergerät für ein Fahrzeug und Verfahren für eine Datenaktualisierung für ein Steuergerät für ein Fahrzeug
DE102009001397A1 (de) 2009-03-09 2010-09-16 Robert Bosch Gmbh Verfahren sowie Vorrichtung zur Diagnose eines Kommunikationssystems hinsichtlich asymmetrischer Verzögerung
DE102013020522A1 (de) 2013-12-11 2015-06-11 Lukusa Didier Kabulepa Kommunikationssystem, Testeinrichtung und Vorrichtung zur Prüfung von fehlererkennenden Sicherheitsmechanismen eines Kommunikationsteilnehmers

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008041360A1 (de) 2008-08-20 2010-02-25 Robert Bosch Gmbh Steuergerät für ein Fahrzeug und Verfahren für eine Datenaktualisierung für ein Steuergerät für ein Fahrzeug
DE102009001397A1 (de) 2009-03-09 2010-09-16 Robert Bosch Gmbh Verfahren sowie Vorrichtung zur Diagnose eines Kommunikationssystems hinsichtlich asymmetrischer Verzögerung
DE102013020522A1 (de) 2013-12-11 2015-06-11 Lukusa Didier Kabulepa Kommunikationssystem, Testeinrichtung und Vorrichtung zur Prüfung von fehlererkennenden Sicherheitsmechanismen eines Kommunikationsteilnehmers

Similar Documents

Publication Publication Date Title
EP2900581B1 (de) Verfahren zur rückstellung eines sicherheitssystems einer aufzugsanlage
DE102006015212B4 (de) Verfahren zum Schutz eines beweglichen Gutes, insbesondere eines Fahrzeugs, gegen unberechtigte Nutzung
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
EP3092768A1 (de) Verfahren und vorrichtung zur freigabe von funktionen eines steuergerätes
DE102013205051A1 (de) Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts
EP3498544B1 (de) Verfahren und computerprogramm zum freischalten einer fahrzeugkomponente sowie fahrzeug
WO2013174540A1 (de) Funktion zur challenge-ableitung zum schutz von komponenten in einem challenge-response authentifizierungsprotokoll
DE102015221239A1 (de) Verfahren und Vorrichtung zum Schützen von Datenintegrität durch ein eingebettetes System mit einem Hauptprozessorkern und einem Sicherheitshardwarebaustein
EP3417395B1 (de) Nachweisen einer authentizität eines gerätes mithilfe eines berechtigungsnachweises
DE102019127100A1 (de) Verfahren und system zum bereitstellen von sicherheit eines fahrzeuginternen netzwerkes
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
EP2548358B1 (de) Verfahren zur dynamischen autorisierung eines mobilen kommunikationsgerätes
WO2018007049A1 (de) Verfahren zur sicheren authentifizierung von steuervorrichtungen in einem kraftfahrzeug
EP2388972A1 (de) Steckverbindungssystem zum geschützten Aufbau einer Netzwerkverbindung
EP3504689B1 (de) Authentifizierungsverfahren und authentifizierungsanordnung eines kraftfahrzeugs
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
DE102007040094A1 (de) Verfahren und System zur reversiblen Durchführung von Konfigurationsänderungen
DE102015211345A1 (de) Netzwerkgerät und Verfahren zum Zugriff einer Netzwerkkomponente auf ein Datennetz
DE102007051440A1 (de) Verfahren und Vorrichtung zur Freischaltung von Software in einem Kraftfahrzeug
DE102016224198A1 (de) Abgesichertes Kommunikationsprotokoll für sicherheitsrelevante Funktionen eines Steuergeräts
DE102013108006B4 (de) Kommunikationsanordnung
WO2017036714A1 (de) Verfahren zum betätigen einer zugangseinheit mittels eines mobilen elektronischen endgeräts
DE102019110055B4 (de) Verfahren zum Schützen einer Komponente
DE102014017513A1 (de) Verfahren zum Betrieb eines Kraftfahrzeugs mit einem Diagnoseanschluss und Kraftfahrzeug
EP4087184B1 (de) Verfahren zur von einer systemzeit unabhängigen authentifizierung von interaktionen sowie vorrichtung zur durchführung dieses verfahrens und flammenwächter mit einer derartigen vorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R082 Change of representative

Representative=s name: RDL PATENTANWAELTE PARTG MBB, DE

Representative=s name: RAIBLE, DEISSLER, LEHMANN PATENTANWAELTE PARTG, DE