DE102018212879A1 - Steuervorrichtung und Steuerverfahren - Google Patents

Steuervorrichtung und Steuerverfahren Download PDF

Info

Publication number
DE102018212879A1
DE102018212879A1 DE102018212879.0A DE102018212879A DE102018212879A1 DE 102018212879 A1 DE102018212879 A1 DE 102018212879A1 DE 102018212879 A DE102018212879 A DE 102018212879A DE 102018212879 A1 DE102018212879 A1 DE 102018212879A1
Authority
DE
Germany
Prior art keywords
aforementioned
security
control device
networks
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018212879.0A
Other languages
English (en)
Inventor
Camille Gay
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of DE102018212879A1 publication Critical patent/DE102018212879A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Wahl angemessener Maßnahmen gegenüber den betreffenden Problemen zu ermöglichen, selbst für den Fall das es zu Sicherheitsproblemen gekommen ist.[Mittel zur Lösung der Aufgabenstellung]Steuervorrichtung mit einem Zertifizierungsverarbeitungsteil zur Authentifizierung in Relation zur Sicherheit Zertifizierungsstelle unter bestimmten Bedingungen, welche über spezielle Schnittstellen mit unabhängig voneinander den Zugriff auf die vorgenannten Komponenten steuernde Einheiten ausgestattet ist und aufgrund der vorgenannten Authentifizierungsergebnisse über die vorgenannten Schnittstellen den Zugriff auf die vorgenannten Komponenten steuert.

Description

  • [Technisches Gebiet]
  • Die vorliegende Erfindung betrifft eine Steuervorrichtung und ein Steuerverfahren.
  • [Stand der Technik]
  • In den letzten Jahren sind in Fahrzeugen eingebaute Systeme mit einer sogenannten elektronischen Steuereinheit (ECU: Electronic Control Unit) ausgestattet und diese ECU steuert die verschiedenen Funktionen in den betreffenden Fahrzeugen. Ferner sind diese ECUs an das eingebaute Netzwerk genannten fahrzeuginternen Netzwerke angeschlossen. Es gibt zahlreiche Standards für derartige eingebaute Netzwerke, worunter das CAN (Controller Area Network) als repräsentatives Beispiel genannt werden kann. Der oben beschriebene Aufbau erlaubt beispielsweise, dass die ECU von anderen Steuereinheiten (anderen ECUs etc.) über das betreffende eingebaute Netzwerk Anweisungen empfängt und aufgrund dieser Anweisungen die verschiedenen Komponenten im Fahrzeug steuert. Derartige Komponenten können zum Beispiel die Bremsen, der Motor oder dergleichen den Betrieb des Fahrzeugs betreffende Bauteile sein.
  • In den letzten Jahren sind weiterhin in Verbindung mit der Entwicklung von LTE, Bluetooth (eingetragenes Warenzeichen), Wi-Fi (eingetragenes Warenzeichen) und dergleichen Funktechnologien die verschiedensten Technologien vorgeschlagen worden, die erlauben die Geräte in den Fahrzeugen an externe Netzwerke wie WAN (World Area Network) oder das Internet anzuschließen. Als konkretes Beispiel werden mit DCM (Data Communication Module) oder TCU (Telematics Communication Unit) und dergleichen Kommunikationseinheiten auf externe Netzwerke zugegriffen, um eine Verbindung mit fahrzeugexternen Geräten zu ermöglichen. In den letzten Jahren ziehen insbesondere Technologien Aufmerksamkeit auf sich, bei denen im Rahmen der Umsetzung von dem sogenannten automatischen Fahren und dergleichen durch Zugriff auf fahrzeuginterne Geräte von außen die verschiedensten am Betrieb des betreffenden Fahrzeugs beteiligten Bauteile gesteuert werden.
  • [Dokumente zum Stand der Technik]
  • [Patentschriften]
    • [Patentschrift 1] Japanische Offenlegungsschrift 2017-73765
    • [Patentschrift 2] Internationale Veröffentlichung Nr. 2014-199687
  • [Überblick über die Erfindung]
  • [Von der Erfindung zu lösende Probleme]
  • Allerdings entsteht dadurch auch die Gefahr, dass eine Kommunikation zwischen fahrzeuginternen und fahrzeugexternen Geräten möglich wird, so dass bei der betreffenden Kommunikation über eine dafür vorgesehene Schnittstelle böswilligen Angriffe von außen die fahrzeuginternen Geräte Gefahren ausgesetzt werden. Insbesondere wenn durch Angriffe von böswilligen Angreifern die Programmcode von CPU oder Mikrocontroller unrechtmäßigerweise überschrieben werden, können über die ECU die am Betrieb beteiligten Komponenten unrechtmäßigerweise in Betrieb genommen werden können. Vor diesem Hintergrund wird die Umsetzung von Technologien gefordert, welche die Sicherheit der im Fahrzeug eingebauten Systeme gewährleistet. Zum Beispiel wurde in den Patentschriften 1 und 2 ein Beispiel für die Sicherheit der im Fahrzeug eingebauten Geräte gewährleistende Technologien aufgezeigt.
  • Andererseits ist es nicht unbedingt gegeben, dass bei einem Teil der Angriffe von böswilligen Angreifern auf die CPU oder den Mikrocontroller auch die Funktion anderer Teile (zum Beispiel den Betrieb des Fahrzeugs betreffende Teile) von den betreffenden Angriffen direkt betroffen werden. Mit anderen Worten, unter diesen Bedingungen ist es nicht unbedingt realistisch, wenn bei Nachweis eines böswilligen Angriffs die Funktionen auch der nicht direkt betroffenen Teile deaktiviert wird. Es ist insbesondere wünschenswert, wenn von einem Betrieb des Fahrzeugs ausgegangen wird, dass nach Möglichkeit zum Beispiel auch bei Beeinträchtigung von einem Teil der Funktionen bei Auftreten von Sicherheitsproblemen diese betreffenden Funktionen zwar deaktiviert werden, dabei aber entsprechende Maßnahmen den Betrieb auch weiterhin ermöglichen.
  • In diesem Zusammenhang erlaubt die hier vorgeschlagene Technik bei Auftreten von Sicherheitsproblemen die Wahl angemessener Gegenmaßnahmen.
  • [Mittel zur Lösung der Aufgabenstellung]
  • Zur Lösung der oben genannten Aufgabe wird eine Vorrichtung angeboten, die unter bestimmten Umständen bei der Authentifizierung zwischen dem Zertifizierungsverarbeitungsteil (111) und der Sicherheit Zertifizierungsstelle mit einer bestimmten Schnittstelle für die im Fahrzeug eingebauten, an das interne Netzwerk angeschlossenen Komponenten unabhängigen Einheit ausgestattet ist, wobei aufgrund der Ergebnisse der vorgenannten Authentifizierung der Zugriff auf die Steuerung der vorgenannten Komponenten über die vorgenannte Schnittstelle mit dem Steuerteil (113) erfolgt.
  • Ferner, zur Lösung der oben genannten Aufgabe wird ein Verfahren angeboten, bei dem für den Anschluss der im Fahrzeug eingebauten, an das interne Netzwerk angeschlossenen Komponenten über eine bestimmte Schnittstelle ein unabhängiger Computer vorgesehen ist, mit dem unter bestimmten Umständen die Authentifizierung mit der Sicherheit Zertifizierungsstelle durchgeführt wird und aufgrund der Ergebnisse der vorgenannten Authentifizierung der Zugriff auf die Steuerung der vorgenannten Komponenten über die vorgenannte Schnittstelle erfolgt.
  • [Wirkungen der Erfindung]
  • Diese Erfindung bietet eine Technik an, die es ermöglicht, angemessene Maßnahmen zu ergreifen, falls es wie oben beschrieben zu Sicherheitsproblemen kommt.
  • Figurenliste
    • [1] Die Figur zeigt ein aus mehreren im Fahrzeug eingebauten und untereinander verbundenen Steuervorrichtungen gebildete Steuernetzwerk.
    • [2] Blockdiagramm eines Beispiels für den funktionellen Aufbau eines Sicherheitsüberwachungsteils entsprechend der hier veröffentlichten Ausführungsform.
    • [3] Schaubild eines Anwendungsbeispiels für einen Sicherheitsüberwachungsteil entsprechend der gleichen Ausführungsform.
    • [4] Einen Überblick über ein das Gateway darstellendes Schaubild.
    • [5] Schaubild eines anderen Anwendungsbeispiels für einen Sicherheitsüberwachungsteil entsprechend dergleichen Ausführungsform.
    • [6] Schaubild eines anderen Anwendungsbeispiels für einen Sicherheitsüberwachungsteil entsprechend dergleichen Ausführungsform.
    • [7] Das Flussdiagramm stellt ein Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform dar.
    • [8] Das Flussdiagramm stellt ein Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform dar.
    • [9] Das Flussdiagramm stellt ein Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend dergleichen Ausführungsform dar.
    • [10] Das Flussdiagramm stellt ein anderes Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform dar.
    • [11] Das Flussdiagramm stellt ein anderes Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform dar.
    • [12] Das Flussdiagramm stellt ein anderes Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform dar.
  • [Ausführungsformen der Erfindung]
  • Im Folgenden wird eine angemessene Ausführungsform dieser Erfindung anhand der beigefügten Figuren im Einzelnen erläutert. In dieser Patentschrift sowie den Figuren werden für im Wesentlichen identische funktionelle Strukturen und Elemente identische Symbole verwendet, um sich überlappende Erläuterungen auszusparen.
  • <<Beispiel für den grundsätzlichen Aufbau des im Fahrzeug eingebauten Netzwerks >>
  • Zum Beispiel ist 1 ein Beispiel für den Aufbau der im Steuernetzwerk 10 miteinander verbundenen, im Fahrzeug eingebauten mehreren Steuervorrichtungen (ECU: Electronic Control Unit).
  • Das in der Figur dargestellte Steuernetzwerk 10 umfasst das Karosserie CAN Netzwerk 20 und das Fahrgestell/Antriebsstrang CAN Netzwerk 30. Das Karosserie CAN Netzwerk 20 und das Fahrgestell/Antriebsstrang CAN Netzwerk 30 können über das Gateway ECU 50h miteinander kommunizieren.
  • Das Karosserie CAN Netzwerk 20 und das Fahrgestell/Antriebsstrang CAN Netzwerk 30 umfassen mehrere untereinander kommunizierfähig über die jeweiligen CAN (Controller Area Network) Kommunikationsleitung angeschlossene Steuerteile 50a-50h (im Folgenden sofern nicht besonders erforderlich, zusammenfassend als Steuervorrichtung 50 bezeichnet).
  • Das Karosserie CAN Netzwerk 20 ist mit Airbag ECU 50a, Karosseriesteuerung ECU 50b, Armaturenbrettsteuerung ECU 50c sowie eine Instrumenten-ECU 50d ausgestattet, die über eine Kommunikationsleitung miteinander kommunizieren können.
  • Die Airbag ECU 50a weist vorwiegend Zusammenstöße vom Fahrzeug nach und steuert die Airbags entsprechend. Die Airbag ECU 50a ist über das LIN (Local Internet Network) mit der ECU 50i auf der Beifahrerseite verbunden.
  • Die Karosseriesteuerung ECU 50b steuert vorwiegend die Klimaanlage, Fensterheber, Scheibenwischer, Türverriegelung sowie die elektrisch betriebene Sitzverstellung. Die Armaturenbrettsteuerung ECU 50c steuert vorwiegend die Anzeigen auf dem Armaturenbrett im Fahrzeug sowie das Einschalten von Licht. Die Instrumenten-ECU 50d steuert vorwiegend den Nachweis und die Aufzeichnung der Fahrzeuggeschwindigkeit sowie die Übertragung der Fahrzeuggeschwindigkeit zu den anderen Teilen.
  • Das Fahrgestell/Antriebsstrang CAN Netzwerk 30 ist mit einer über eine Kommunikationsleitung miteinander kommunizierbaren Automatikgetriebe ECU 50e, Fahrzeugstabilisatorsteuerung ECU 50f sowie Motor-ECU 50g ausgestattet.
  • Die Automatikgetriebe ECU 50e steuert vorwiegend das Automatikgetriebe. Die Fahrzeugstabilisatorsteuerung ECU 50f steuert integrativ vorwiegend das Automatikgetriebe, das Bremssystem und den Motor und verhindert, dass das Fahrzeug ins Schleudern gerät. Die Motor-ECU 50g steuert vorwiegend den Motor.
  • Die obige Beschreibung unter Bezugnahme auf 1 ist ein Beispiel für einen grundlegenden Aufbau eines im Fahrzeug eingebauten Netzwerks.
  • << Die Sicherheit betreffende Überlegungen >>
  • Auf den Erläuterungen der wesentlichen, die Sicherheit des im Fahrzeug eingebauten Systems betreffenden Punkte basierend werden die technischen Aufgaben des im Fahrzeug eingebauten Systems entsprechend der gleichen Ausführungsform zusammengefasst.
  • In den letzten Jahren ist es in Verbindung mit der Entwicklung von Funktechnologien wie DCM oder TCU oder WAN möglich geworden, über das Internet auf die Geräte in Fahrzeugen zuzugreifen und mit externen Geräten Informationen auszutauschen. Eine Anwendung dieser Mechanismen auf verschiedene Dienstleistungen wie automatisches Fahren wird derzeit erörtert.
  • Andererseits findet in Sicherheitskreisen der Umstand Beachtung, dass durch Missbrauch der oben genannten Kommunikationsschnittstellen durch böswillige Angreifer die im Fahrzeug eingebauten Systeme gefährlichen Angriffen ausgesetzt werden können. Mit anderen Worten, indem eine Kommunikation zwischen im Fahrzeug eingebauten Geräten und externen Geräten möglich wird, besteht auch die Gefahr, dass über die betreffende Kommunikationsschnittstelle die im Fahrzeug eingebauten Geräten von außerhalb des Fahrzeugs böswilligen Angriffen ausgesetzt werden können.
  • In einem konkreten Beispiel könnte ein böswilliger Angreifer versuchen, mit zwecks Ausführung des eigenen böswilligen Code über die oben genannte Kommunikationsschnittstelle die Code der CPU oder des Mikrocontrollers im Fahrzeug zu ändern. Und wenn dann der böswillige Angreifer den Code ausführt, kann dieser im Wesentlichen absichtlich die ECU eine ausführbare Operation ausführen lassen. Dadurch wird es zum Beispiel möglich, dass der Angreifer aufgrund der Erkennungsergebnisse von den verschiedenen im Fahrzeug vorgesehenen Sensoren GPS Daten und dergleichen erfasst. Ferner kann der Angreifer zum Beispiel absichtlich die verschiedenen Stellglieder in Betrieb nehmen. Dadurch kann der Angreifer zum Beispiel absichtlich den Betrieb der Bremsen beziehungsweise verschiedene Motorkomponenten nach Wunsch steuern und dadurch Unfälle verursachen. Im schlimmsten Fall kann der Angreifer zum Beispiel über das Internet die ECU zahlreicher Fahrzeuge angreifen, so dass die betreffenden zahlreichen Fahrzeuge jeweils gleichzeitig sich gefährlich verhalten (zum Beispiel Notbremsung ausführen) können.
  • Vor diesem Hintergrund ist die Gewährleistung der Sicherheit der im Fahrzeug eingebauten Geräte (insbesondere der ECU) eine wichtige Aufgabe. Daher wurden bereits zahlreiche die Sicherheit ECU gewährleistende Techniken vorgeschlagen. Als ein Beispiel für eine solche Technik können HSM (Hardware Security Modules) beziehungsweise IDS (Intrusion Detection Systems) angeführt werden.
  • Die derzeitige Technik konzentriert sich hier auf Schutzmaßnahmen (zum Beispiel für die ECU) gegenüber böswilligen Angriffen, wie zum Beispiel böswillige Angriffe auf die CPU oder Mikrocontroller der ECU oder dergleichen und haben tendenziell vorwiegend die Aufgabe zu gewährleisten, dass die Code der betreffenden Angreifer nicht ausgeführt werden können. Aufgrund dieser Tendenz hat man sich bei Forschungen im Zusammenhang mit den oben genannten Technologien vorwiegend darauf konzentriert, die Nachweisgeschwindigkeit von Sicherheitsverletzungen wie böswilligen Angriffen zu erhöhen.
  • Andererseits wird der Wahl von Gegenmaßnahmen bei Nachweis von Sicherheitsprobleme oft eine geringe Priorität zugemessen. Aus diesem Grund können Hersteller sich bei Nachweis von Problemen dazu entschließen, die Funktion der ECU auszuschalten.
  • Als konkretes Beispiel kann bei Auftreten von Problemen mit dem Programm für die ECU über eine OBD (On-board diagnostics) Platine eine Verbindung zu den Endgeräten CAN BAS hergestellt und über die betreffenden Endgeräte dann eine Eigendiagnose der ECU durchgeführt werden, wobei das betreffende Programm umprogrammiert wird. Andererseits, wenn es zu Sicherheitsproblemen kommt und die On-board-Diagnosesysteme ihre Funktion nicht mehr ausführen können, kann eine Umprogrammierung des fehlerhaften Programms schwieg (es kommt zu der Verschrottung genannten („Bricken“) Situation) werden. In diesem Fall besteht eine Tendenz zu steigenden Kosten, wenn die Hersteller bei Auftreten von Sicherheitsproblemen diese nur durch Auswechseln der Hardware lösen können. Insbesondere im Hinblick auf das Angebot von Dienstleistungen wie automatisches Fahren muss davon ausgegangen werden, dass die im Fahrzeug eingebauten Geräte wie die ECU etc. über Netzwerke Infrastrukturinformationen erfassen, so dass die oben beschriebenen Einflüsse sich vorstellbarerweise leicht manifestieren können.
  • Aus diesem Grund ist es durch Anwendung herkömmlicher Technik zwar möglich die Sicherheit zu verbessern, aber wenn es tatsächlich einmal zu Sicherheitsproblemen kommen sollte, wird die Möglichkeit die Reparaturfunktion der ECU und anderer Geräte auf einem Minimum zu halten beeinträchtigt und eine Reparatur von Störungen schwierig.
    Daher besteht die Gefahr, dass die Verlässlichkeit der betreffenden Geräte unter diesen Umständen abnimmt.
  • Andererseits ist es aber auch nicht unbedingt gegeben, dass bei Auftreten von Sicherheitsproblemen und Beeinträchtigung der Reparaturfunktionen die den Betrieb des Fahrzeugs betreffenden Funktionen selbst ebenfalls beeinträchtigt sind. Zum Beispiel ist es vorstellbar, dass die CPU der ECU normal funktionieren kann, während es durch unrechtmäßige Anweisungen von Außen zu Störungen der betreffenden ECU kommt. Ausschalten der ECU unter diesen Umständen und Ersatz der betreffenden ECU Hardware kann schwerlich als praktische Lösung bezeichnet werden.
  • Hier ist im Hinblick auf die praktische Umsetzung insbesondere ein Aufbau wünschenswert, bei dem zum Beispiel bei Auftreten von Sicherheitsproblemen und Beeinträchtigung eines Teils der Funktionen nach Möglichkeit die betreffenden Funktionen zwar deaktiviert, gleichzeitig jedoch das Fahrzeug trotzdem weiterhin betrieben werden kann.
  • Unter Berücksichtigung dieser Situation wird in dieser Veröffentlichung eine Technik vorgeschlagen, die erlaubt, auch bei Auftreten von Sicherheitsproblemen angemessene Maßnahmen zu wählen, um die zu schützenden Geräte vor den betreffenden Problemen zu schützen.
  • << Technische Charakteristiken >>
  • Im Folgenden werden die technischen Charakteristiken einer Ausführungsform dieser Veröffentlichung eines im Fahrzeug eingebauten Systems erläutert.
  • < Sicherheitsüberwachungsteil >
  • Ein im Fahrzeug eingebautes System entsprechend der vorliegenden Ausführungsform schützt die einzelnen Geräte des im Fahrzeug eingebauten Systems wie ECU, GW und TCU und dergleichen vor den betreffenden Problemen, indem durch Einführung eines Sicherheitsüberwachungsteils (Security Watchdog) Probleme in Verbindung mit der Sicherheit nachgewiesen werden. In diesem Zusammenhang soll zunächst anhand der 2 ein Beispiel für den funktionellen Aufbau des Sicherheitsüberwachungsteils erläutert werden. 2 ist ein Blockschema für ein Beispiel des funktionellen Aufbaus eines Sicherheitsüberwachungsteils entsprechend einer Ausführungsform dieser Veröffentlichung.
  • Wie in 2 dargestellt umfasst der Sicherheitsüberwachungsteil 100 das Verschlüsselungsmodul 101, einen Codegenerator (True Random Number Generator) 103, eine Kommunikationsschnittstelle 105, einen Zeitschalter 107 sowie ein allgemeines InputOutput-Modul (GPIO: General Purpose Input Output) 109. Ferner, der Sicherheitsüberwachungsteil 100 kann auch mehrere allgemeine InputOutput-Module 109 umfassen, wobei dann für jedes allgemeine InputOutput-Modul 109 ein Zeitschalter 107 vorgesehen sein kann.
  • Die Kommunikationsschnittstelle 105 ist eine Kommunikationsschnittstelle zum Datenaustausch zwischen den einzelnen Komponenten innerhalb des Sicherheitsüberwachungsteils 100 sowie verschiedener Geräte außerhalb des Sicherheitsüberwachungsteils 100. Der Aufbau der Kommunikationsschnittstelle 105 kann außerdem je nach dem Netzwerk an welches die betreffende Kommunikationsschnittstelle 105 angeschlossen ist nach Bedarf modifiziert werden. Beispielsweise kann die Kommunikationsschnittstelle 105 als eine Kommunikationsschnittstelle aufgebaut sein, die den UART (Universal Asynchronous Receiver-Transmitter), SPI (Stateful Packet Inspection), CAN beziehungsweise Ethernet (eingetragenes Warenzeichen) und dergleichen Normen entspricht.
  • Das allgemeine InputOutput-Modul 109 überträgt bei Auslösung durch vorgegebene Auslöser vorgegebene Signale zu den über Kabel oder dergleichen Übertragungskanälen angeschlossenen Geräte. In einem konkreten Beispiel kann das allgemeine InputOutput-Modul 109 die ECU wahlweise zwischen einem auszugebenden Enable Signal (für die in der Kommunikationsschnittstelle vorgesehene Enable PIN) und einem Disable Signal umschalten. Mit dieser Steuerung kann erreicht werden, dass über die betreffende Kommunikationsschnittstelle die Datenübertragung ein- oder ausgeschaltet wird.
  • Das allgemeine InputOutput-Modul 109 kann außerdem das oben genannte Signal zum Beispiel auch aufgrund der Zeitmessergebnisse über den Zeitschalter 107 absenden. Ferner, in einem anderen Beispiel sendet das allgemeine InputOutput-Modul 109 das oben genannte Signal, wenn es dazu durch ein vorgegebenes Ereignis angeregt wurde. In den nachstehenden Erläuterungen sendet das allgemeine InputOutput-Modul 109 aufgrund der Zeitmessergebnisse das oben genannte Signal über den Zeitschalter 107.
  • Der Zeitschalter 107 hat eine Zeitmessfunktion, so dass nach Ablauf einer eingestellten Zeitspanne die betreffende Zeitspanne dem allgemeinen InputOutput-Modul 109 mitgeteilt wird. Außerdem kann der Zeitschalter 107 entsprechend vorgegebener Anweisungen die Messung der eingestellten Zeitspanne neu einstellen. Die oben genannte Zeitspanne kann außerdem auch Anweisungen von Außen folgend geändert werden.
  • Das Verschlüsselungsmodul 101 umfasst den Zertifizierungsverarbeitungsteil 111 und den Steuerteil 113. Indem der Zertifizierungsverarbeitungsteil 111 über die Kommunikationsschnittstelle 105 auf eine vorgegebene Sicherheit Zertifizierungsstelle (SA: Security Authority) zugreift, wird die Zertifizierungsverarbeitung in Relation zu der betreffenden Sicherheit Zertifizierungsstelle durchgeführt. Ferner, wenn der Zertifizierungsverarbeitungsteil 111 eine Authentifizierung in Relation zu der Sicherheit Zertifizierungsstelle durchführen kann, braucht die Wahl des betreffenden Zertifizierungsverfahrens nicht besonders festgelegt werden.
  • Zum Beispiel kann für das oben genannte Zertifizierungsverfahren ein Challenge-Response-Verfahren angewandt werden. In diesem Fall kann der Zertifizierungsverarbeitungsteil 111 zum Beispiel anhand der von dem später noch beschriebenen Codegenerator 103 produzierten Code zur Authentifizierung mit der Sicherheit Zertifizierungsstelle eingesetzt werden.
  • Konkret bedeutet dies, dass der Zertifizierungsverarbeitungsteil 111 sich mit der Sicherheit Zertifizierungsstelle Keystore-Informationen 190 teilt. Der Zertifizierungsverarbeitungsteil 111 verschlüsselt die vom Codegenerator 103 erzeugen Code (Herausforderungen) mit den Keystore-Informationen 190 und sendet diese Code dann nach der Verschlüsselung an die Sicherheit Zertifizierungsstelle. Weiterhin, der Zertifizierungsverarbeitungsteil 111 empfängt als Antwort dann von der Sicherheit Zertifizierungsstelle verschlüsselte Code, wobei die betreffenden verschlüsselten Code anschließend dann anhand der Keystore-Informationen 190 dekodiert werden und prüft in einem Vergleich mit dem auf den Dekodierergebnissen basierenden Code (Herausforderungen), ob die Authentifizierung richtig oder falsch ist (mit anderen Worten, eine korrekte Antwort auf die Herausforderung erhalten wurde).
  • Im Folgenden verwendet der Zertifizierungsverarbeitungsteil 111 den vom Codegenerator 103 generierten Code im Rahmen eines Challenge-Response-Verfahrens, um eine Authentifizierung mit der Sicherheit Zertifizierungsstelle durchzuführen.
  • Der Steuerteil 113 steuert das Senden der auf den Authentifizierungsergebnissen von der Sicherheit Zertifizierungsstelle basierenden Signalen vom allgemeinen InputOutput-Modul 109.
  • In einem konkreten Beispiel kann der Zeitschalter 107 neu eingestellt werden, wenn die Authentifizierung zwischen Steuerteil 113 und Sicherheit Zertifizierungsstelle erfolgreichen war. Dabei kann der Steuerteil 113 ferner auch die vom Zeitschalter 107 gemessenen Zeitspannen ändern. Durch diese Steuerung wird die Dauer der Verarbeitung aufgrund der Zeitmessung durch den Zeitschalter 107 aktualisiert (zum Beispiel verlängert). Ferner, während der Verarbeitung aufgrund der Zeitmessung durch den Zeitschalter 107 kann zum Beispiel das allgemeine InputOutput-Modul 109 ein Enable-Pegelsignal an den in der Kommunikationsschnittstelle der ECU vorgesehene Enable-Anschluss (mit anderen Worten ein Enable-Signal) senden. In diesem Fall wird zum Beispiel über die betreffende Kommunikationsschnittstelle der Zugriff auf bestimmte Komponenten aktiviert.
  • Wenn die Authentifizierung zwischen dem Steuerteil 113 und der Sicherheit Zertifizierungsstelle fehlschlägt, kann die Verarbeitung zur Neueinstellung des Zeitschalters 107 beziehungsweise eine Aktualisierung der vom Zeitschalter 107 gemessenen Zeitspannen auch unterlassen werden. Wenn unter diesen Umständen eine vorgegebene Zeit abgelaufen und die Verarbeitung der Zeitmessung durch den Zeitschalter 107 abgeschlossen ist, kann zum Beispiel das allgemeine InputOutput-Modul 109 ein Enable-Pegelsignal an die in der Kommunikationsschnittstelle der ECU vorgesehene Enable-Anschluss (mit anderen Worten ein Disable-Signal) senden. Dadurch wird erreicht, dass zum Beispiel über die betreffende Kommunikationsschnittstelle der Zugriff auf bestimmte Komponenten deaktiviert wird.
  • Der Codegenerator 103 generiert den Code zur Authentifizierung zwischen dem Verschlüsselungsmodul 101 (Zertifizierungsverarbeitungsteil 111) und der Sicherheit Zertifizierungsstelle. In einem konkreten Beispiel kann der Codegenerator 103 mit einem Zufallszahlengenerator ausgestattet sein, wobei die von dem betreffenden Zufallszahlengenerator generierten Zufallszahlen als der oben genannte Code an das Verschlüsselungsmodul ausgegeben werden.
  • Weiterhin, der Ort, an dem die oben genannte Sicherheit Zertifizierungsstelle eingerichtet wird, ist nicht besonders festgelegt. In einem konkreten Beispiel kann gegenüber lokalen HSM oder IDS auch eine der oben genannte Sicherheit Zertifizierungsstelle entsprechende Funktion vorgesehen werden. Mit anderen Worten, die oben genannte HSM oder IDS können auch die Funktion der oben genannten Sicherheit Zertifizierungsstelle ausüben. Es ist außerdem auch möglich, dass der im Fahrzeug vorgesehene Sicherheitsüberwachungsteil 100 und sich davon unterscheidende andere Geräte (zum Beispiel über das im Fahrzeug eingebaute Netzwerk angeschlossene Geräte) mit einer der oben genannten Sicherheit Zertifizierungsstelle entsprechenden Funktion ausgestattet ist. Weiterhin kann auch der Server für das Schlüssel-Fernmanagement (KMS: Key Management Service) Server die Aufgabe der oben genannten Sicherheit Zertifizierungsstelle übernehmen.
  • Oben wurde anhand der 2 ein Beispiel für den funktionellen Aufbau des Sicherheitsüberwachungsteils erläutert. Ein konkretes Beispiel der einzelnen Steuerungen durch den Sicherheitsüberwachungsteil wird gemeinsam mit der Anwendung des betreffenden Sicherheitsüberwachungsteils nachstehend noch gesondert erläutert.
  • <Anwendungsbeispiele auf Kraftfahrzeug-ECU >
  • Anschließend wird als Beispiel für die Anwendung eines Sicherheitsüberwachungsteil zur Steuerung von Kraftfahrzeug-ECU entsprechend der vorliegenden Ausführungsform erläutert, wie dieses betreffende Sicherheitsüberwachungsteil den Betrieb des Kraftfahrzeugs steuert. Zum Beispiel ist 3 ein den funktionellen Aufbau der betreffenden Kraftfahrzeug-ECU darstellendes Blockdiagramm, welches ein Beispiel für die Anwendung eines Sicherheitsüberwachungsteil entsprechend der vorliegenden Ausführungsform erläutert, wobei die Anwendung des Sicherheitsüberwachungsteil auf die Kraftfahrzeug-ECU aufgezeigt wird.
  • Wie in 3 dargestellt ist, umfasst die ECU310 den Hauptsteuerteil 311, den Nachweisteil 313, den Stellgliedtreiber 315, die Kommunikationsschnittstelle 317 und den Sicherheitsüberwachungsteil 100. Ferner, der Sicherheitsüberwachungsteil 100 entspricht dem anhand der 2 erläuterten Sicherheitsüberwachungsteil 100.
  • Der Nachweisteil 313 ist für die Sammlung von Informationen von Außen aufgebaut. Zum Beispiel kann der Nachweisteil 313 aus verschiedenen Sensorarten wie Beschleunigungssensor und Drucksensoren aufgebaut sein. Außerdem kann der Nachweisteil 313 auch in Form von Knöpfen oder dergleichen als Schnittstelle für die Eingabe von Informationen von außen in die ECU 310 dienen.
  • Der Stellgliedtreiber 315 kann zum Beispiel den Antrieb der einzelnen am Betrieb des Fahrzeug beteiligten Stellglieder (zum Beispiel das in 3 dargestellte Stellglied 331) steuern. Als betreffende Komponenten können zum Beispiel die Bremse, Lichtanlage, Motor und dergleichen genannt werden.
  • Die Kommunikationsschnittstelle 317 ist eine Kommunikationsschnittstelle zur Datenübertragung zwischen den einzelnen Komponenten in der ECU 310 und den externen Geräten der betreffenden ECU 310.
  • In einem konkreten Beispiel kann die Kommunikationsschnittstelle 317 als eine Kommunikationsschnittstelle aufgebaut sein, die auf die CAN und dergleichen im Fahrzeug eingebaute Netzwerke zugreift. Dadurch wird möglich, dass die einzelnen Komponenten innerhalb der ECU 310 (zum Beispiel der später noch beschriebene Hauptsteuerteil 311) über die betreffende Kommunikationsschnittstelle 317 Informationen mit anderen ECU 310 austauscht. Ferner, in einem anderen Beispiel kann die Kommunikationsschnittstelle 317 auch als eine Kommunikationsschnittstelle aufgebaut sein, die auf den fahrzeugexterne Netzwerken wie ein Internet 350 zugreift. Dadurch wird möglich, dass die einzelnen Komponenten innerhalb der ECU 310 über die betreffenden Netzwerke mit fahrzeugexternen Geräten Informationen austauschen. Ferner, kann die Kommunikationsschnittstelle 317 auch als eine Kommunikationsschnittstelle aufgebaut sein, die auf das Funknetzwerk 360 zugreift. Dadurch wird möglich, dass die einzelnen Komponenten innerhalb der ECU 310 über das betreffende Funknetzwerk mit anderen Geräten Informationen austauschen.
  • Indem eine derartige Kommunikationsschnittstelle 317 vorgesehen ist, können die einzelnen Komponenten innerhalb der ECU 310 auch andere als die vom Nachweisteil 313 erfassten Informationen von außerhalb der ECU 310 Informationen erfassen. Ferner, der Aufbau der einzelnen Bauteile innerhalb der ECU 310 ermöglicht die Übertragung verschiedener Informationen (zum Beispiel die vom Nachweisteil 313 erfassten Informationen und dergleichen) an außerhalb der betreffenden ECU 310 liegende externe Geräte (zum Beispiel Sendungen).
  • Der Steuerteil 311 steuert die einzelnen Funktionen der ECU 310. Der Steuerteil 311 kann beispielsweise aus einer beziehungsweise mehreren CPUs (oder aber Mikrocontrollern) realisiert werden und führt die implementierten Logiken aus.
  • Als ein konkretes Beispiel kann angeführt werden, dass wenn der Hauptsteuerteil 311 über den Nachweisteil 313 eine plötzliche Abbremsung nachweist, durch Aktivierung des das Airbag Stellglied 331 steuernden Stellgliedtreibers 315 der betreffende Airbag aktiviert werden kann. In einem anderen Beispiel kann außerdem durch Aktivierung des das Stellglied 331 der Bremse steuernde Stellgliedtreibers 315 die betreffende Bremse aktiviert werden, wenn der Hauptsteuerteil 311 über das ADAS (Advanced Driver Assistance System) ein Hindernis nachweist.
  • Der Sicherheitsüberwachungsteil 100 teilt mit der Sicherheit Zertifizierungsstelle 200 Schlüsselinformationen. Weiterhin, in den nachstehenden Erläuterungen werden die im Sicherheitsüberwachungsteil 100 gespeicherten betreffenden Schlüsselinformationen „Schlüsselinformationen 190“ und die betreffenden in der Sicherheit Zertifizierungsstelle 200 gespeicherten Schlüsselinformationen „Schlüsselinformationen 190“ genannt. Als ein konkretes Beispiel kann angeführt werden, dass bei Anwendung eines Public-Key-Verschlüsselungsverfahrens die Sicherheit Zertifizierungsstelle 200 als Schlüsselinformationen 195 Geheimschlüssel speichert und der Sicherheitsüberwachungsteil 100 als Schlüsselinformationen 190 in Verbindung mit dem Geheimschlüssel einen öffentlichen Schlüssel hat. Dabei ist es schwierig zu erkennen, ob es Unterschiede im Aufbau der Schlüsselinformationen 190 in dem Sicherheitsüberwachungsteil 100 und sich von dem betreffenden Sicherheitsüberwachungsteil 100 unterscheidenden Strukturen (zum Beispiel den Hauptsteuerteil 311) gibt.
  • Außerdem steuert der Sicherheitsüberwachungsteil 100, ob die einzelnen Bauteile in der ECU 310 (zum Beispiel zumindest ein Element unter dem Hauptsteuerteil 311, Nachweisteil 313, Stellgliedtreiber 315 und der Kommunikationsschnittstelle 317) entweder aktiviert oder deaktiviert werden. Mit anderen Worten, der Sicherheitsüberwachungsteil 100 aktiviert oder deaktiviert die einzelnen Bauteile in der ECU 310 in Abhängigkeit von den Authentifizierungsergebnissen in Relation zu der Sicherheit Zertifizierungsstelle 200. Zu diesem Zeitpunkt sollte wünschenswerterweise eine direkte Aktivierung oder Deaktivierung der einzelnen Bauteile in der ECU 310 durch den Hauptsteuerteil 311 begrenzt sein. Dadurch wird es schwierig, dass der Hauptsteuerteil 311 ohne Zwischenschaltung des Sicherheitsüberwachungsteils 100 andere Strukturen aktiviert oder deaktiviert.
  • Der Sicherheitsüberwachungsteil 100 kann zum Beispiel pro Zeitintervall Herausforderungen an die Sicherheit Zertifizierungsstelle 200 senden und dann von dieser Sicherheit Zertifizierungsstelle 200 Antworten auf die betreffenden Herausforderungen empfangen. Wenn die Sicherheit Zertifizierungsstelle 200 ein Sicherheitsproblem nachgewiesen hat, unterbricht diese die Sendung von Antworten auf die vom Sicherheitsüberwachungsteil 100 gesendeten Herausforderungen. In diesem Fall kommt es im Sicherheitsüberwachungsteil 100 zu einer Zeitüberschreitung und durch Sendung eines Disable-Signals an die gewünschten Bauteile in der ECU 310 werden die betreffenden Bauteile abgeschaltet.
  • In einem konkreten Beispiel wird der Zugriff von außerhalb der ECU 310 zumindest auf einen Teil der Bauteile innerhalb der ECU 310 begrenzt, wenn es im Sicherheitsüberwachungsteil 100 zu einer Zeitüberschreitung kommt und über die Kommunikationsschnittstelle 317 ein Teil der Funktionen abgeschaltet wird. Ferner, indem der Sicherheitsüberwachungsteil 100 den Nachweisteil 313 deaktiviert, werden die am Nachweis der verschiedenen Informationen beteiligten Funktionen vorübergehend ebenfalls abgeschaltet. Indem der Sicherheitsüberwachungsteil 100 außerdem den Stellgliedtreiber 315 deaktiviert, wird auch das Auftreten unzulässiger Steuerungen der vom Stellgliedtreiber 315 kontrollierten Stellglieder 331 verhindert.
  • Auf die oben beschriebene Weise wird bei der ECU 310 entsprechend dieser Ausführungsform ein Teil der Funktionen (zum Beispiel zumindest ein Teil der Funktionen innerhalb der ECU 310) bei Nachweis eines Sicherheitsproblems durch die Sicherheit Zertifizierungsstelle 200 aufgrund der Authentifizierungsergebnisse der besagten Sicherheit Zertifizierungsstelle 200 über den Sicherheitsüberwachungsteil 100 deaktiviert. Durch diese Steuerung wird erreicht, dass auch bei Auftreten von Sicherheitsproblemen wichtige Komponenten (zum Beispiel Bremsstellglieder und dergleichen) durch Deaktivierung die ECU 310 ohne Ausschalten der CPU oder der Mikrocontroller geschützt werden können.
  • Auf diese Weise wird es durch Anwendung der Technik entsprechend dieser Ausführungsform möglich, zum Beispiel die ECU ohne die CPU oder den Mikrocontroller vorübergehend oder permanent abzuschalten einen Teil der Module effektiv zu deaktivieren (zum Beispiel in den abgesicherten Modus umzuschalten). Dadurch kann zum Beispiel erreicht werden, dass es dem Hersteller der ECU auch bei Auftreten schwerwiegender Sicherheitsvorfällen möglich ist, die ECU zu diagnostizieren oder zu reparieren, ohne diese auswechseln zu müssen. Dadurch wird außerdem auch erreicht, dass im Vergleich zu einem physikalischen Ersatz der ECU die Kosten für die Korrekturmaßnahmen bei Auftreten von Sicherheitsvorfällen gesenkt werden können.
  • Wie oben beschrieben ist der Installationsort für die Sicherheit Zertifizierungsstelle 200 nicht besonders festgelegt und ein Fernserver kann beispielsweise ebenfalls die Aufgabe der Sicherheit Zertifizierungsstelle 200 übernehmen. Wenn ein Fernserver auf diese Weise die Aufgabe der Sicherheit Zertifizierungsstelle 200 übernimmt, ist es zum Beispiel möglich, dass bei Gefahr von Sicherheitsvorfällen die gefährdeten Funktionen im Voraus zum Schutz abgeschaltet werden.
  • Dadurch kann beispielsweise erreicht werden, dass das IDS dem ADAS System gegenüber bei Nachweis eines weltweiten Angriffes der Hersteller (zum Beispiel ein Autohersteller) das ADAS fernbedient deaktiviert und so die Passagiere schützt.
  • Weiterhin, wenn Sicherheitslücken gefunden werden, können ECU Funktionen vorübergehend solange deaktiviert werden, bis die Hersteller eine aktualisierte Software anbieten. Unter diesen Umständen kann der Hersteller die jeweiligen Fernserver derart steuern, dass der betreffende Fernserver nicht auf von dem betreffenden Sicherheitsüberwachungsteil 100 in der ECU gesendete Herausforderungen antwortet (indem der Fernserver beispielsweise deaktiviert wird). Dadurch wird erreicht, dass bei Zeitüberschreitungen des Sicherheitsüberwachungsteils 100 die Funktionen in der ECU durch den betreffenden Sicherheitsüberwachungsteil 100 abgeschaltet werden.
  • Außerdem lässt die Anwendung der Technik entsprechend dieser Ausführungsform erwarten, dass Gefahren durch Hardware trojanische Pferde oder Hintertüren reduziert werden können.
  • Konkret bedeutet dies, dass es für Hersteller der ECU schwierig ist, vollkommene Maßnahmen zur Verhinderung von Sicherheitsrisiken wie die Hardware angreifende trojanische Pferde und dergleichen im Voraus auf der Stufe der Planung beziehungsweise Herstellung der CPUs und Mikrocontroller zu ergreifen. Unter diesen Umständen kann die Ausstattung mir unabhängigen Sicherheitsüberwachungsteilen (Security Watchdog) für die CPUs und Mikrocontroller die Verlässlichkeit der ECU auch dann gewährleisten, wenn eine Verlässlichkeit der CPUs und Mikrocontroller nicht gegeben ist.
  • Vorstehend ist eine Beschreibung der Anwendung von Sicherheitsüberwachungsteilen entsprechend dieser Ausführungsform unter Bezugnahme auf 3 für ein Beispiel der Anwendung des betreffenden Sicherheitsüberwachungsteils auf die Steuerung des Betriebs eines Fahrzeugs mittels Kraftfahrzeug-ECU.
  • < 3.3 Anwendungsbeispiel eines Gateway (GW) >
  • Anschließend wird bei einem anderen Anwendungsbeispiel eines Sicherheitsüberwachungsteil entsprechend dieser Ausführungsform in diesem Beispiel die Anwendung des betreffenden Sicherheitsüberwachungsteils als eine an mehrere im Fahrzeug eingebaute Netzwerke angeschlossenes Gateway (GW) fungierende ECU erläutert.
  • Ein Gateway dient dazu, mehrere im Fahrzeug eingebaute unterschiedliche Netzwerke (Teilnetzwerke) miteinander zu verbinden und zwischen den betreffenden mehreren Netzwerken die Übertragung von Informationen zu steuern. Außerdem gibt es im Fahrzeug Netzwerke mit unterschiedlicher Priorität. Konkret bedeutet dies, dass unter mehreren Netzwerken im Vergleich zu anderen Netzwerken die Priorität derjenigen Netzwerke, von denen eine hohe Verlässlichkeit gefordert wird, höher eingestellt wird, als die betreffenden anderen Netzwerke. Noch konkreter formuliert bedeutet dies, dass für Netzwerke die nicht direkt am Betrieb des Fahrzeugs beteiligte Geräte wie die Klimaanlage oder das Infotainment und dergleichen eine niedriger Priorität eingestellt sein kann. Demgegenüber wird für Netzwerke von direkt am Betrieb des Fahrzeugs beteiligten Geräte wie den Fensterhebern oder die Karosserie betreffende ECU (anders formuliert Geräte, bei denen es durch Missbrauch mit höherer Wahrscheinlichkeit zu gefährlichen Situationen kommen kann) eine höhere Priorität eingestellt sein kann.
  • Zum Beispiel ist 4 ein das Gateway im Umriss beschreibendes Schaubild. In dem in 4 dargestellten Beispiel ist das Gateway 410 an die voneinander unterschiedlichen Netzwerke N41 und N43 angeschlossen, wobei zwischen den betreffenden Netzwerken N41 und N43 der Informationsaustausch gesteuert wird.
  • Das Netzwerk N41 ist schematisch als ein Netzwerk mit hoch eingestellter Priorität dargestellt, an welches die verschiedenen möglicherweise direkt am Betrieb des Fahrzeugs beteiligten Geräte angeschlossen sind. In einem konkreten Beispiel sind an das Netzwerk N41 das ADAS 430, die Lenksäule 440 sowie die Bremsen 450 und dergleichen Komponenten angeschlossen.
  • Das Netzwerk N43 ist schematisch als ein Netzwerk (zum Beispiel ein Netzwerk mit niedrigerer Priorität als das Netzwerk 41) mit vergleichsweise niedrig eingestellter Priorität dargestellt, an welches die verschiedenen nicht direkt am Betrieb des Fahrzeugs beteiligten Geräte angeschlossen sind. In einem konkreten Beispiel sind an das Netzwerk N43 das Infotainment 460, die Klimaanlage 470, das Diagnosetool 480 sowie die Lichtanlage 490 und dergleichen Komponenten angeschlossen.
  • Wenn wie oben beschrieben mehrere Netzwerke (Teilnetzwerke) untereinander verbunden sind (insbesondere wenn Netzwerke unterschiedlicher Priorität miteinander verbunden sind), ist es wünschenswert, dass diese derart gesteuert werden, dass nur ein begrenzter Informationsaustausch zwischen den Netzwerken stattfindet. Vor diesem Hintergrund ist eine Gewährleistung der Gateway Sicherheit wichtig.
  • Ein konkretes Beispiel wird in 4 dargestellt, wobei angenommen wird, dass das Infotainment 460 den Zustand des ADAS 430 betreffende Informationen anzeigt. In diesem Fall werden beispielsweise die Informationen vom ADAS 430 über das Gateway 410 zum Infotainment 460 übertragen.
  • Andererseits ist der Aufbau des Infotainment 460 komplex und die Anlage hat zahlreiche Funktionen, so dass die Gefahr von Sicherheitsrisiken tendenziell höher ist als bei anderen Geräten. Von der Annahme dieser Situation ausgehend ist es notwendig zu gewährleisten, dass auch wenn ein normaler Betrieb des Infotainment 460 über das Gateway 410 schwierig sein sollte, durch Fehlfunktion bedingt nicht Nachrichten übertragen werden, (zum Beispiel Bremssignale etc.) die zu gefährlichen Situationen führen könnten. Zu diesem Zweck sind für das Gateway 410 zahlreiche Sicherheitsmaßnahmen erforderlich.
  • Als gewöhnliche Maßnahmen können Secure Boot oder Run Time Tuning Detection angeführt werden und mithilfe dieser Maßnahmen wird die Integrität der Mikrocontroller Datenspeicher über das Gateway 410 gewährleistet. Wenn jedoch beim Secure Boot oder der Run Time Tuning Detection ein Fehler nachgewiesen wird, sind die verfügbaren Wahlmöglichkeiten auf ein Reset des Gateway 410 oder eine Deaktivierung des Gateway 410 (mit anderen Worten einen Verschrottung) beschränkt.
    In diesem Fall kann es dazu kommen, dass das Gateway 410 dauerhaft nicht mehr diagnostiziert oder aber repariert werden kann.
  • In diesem Zusammenhang wird bei dieser Veröffentlichung für das Gateway 410 ein Sicherheitsüberwachungsteil 100 vorgesehen, um die oben genannten Probleme zu lösen und dessen Aufbau an einem Beispiel erläutert.
  • Zum Beispiel stellt 5 ein Schaubild für ein anderes Anwendungsbeispiel des Sicherheitsüberwachungsteils entsprechend dieser Ausführungsform dar, wobei der betreffende Sicherheitsüberwachungsteil bei Anwendung auf ein Gateway wie in dem Blockdiagramm der Funktion des betreffenden Gateways aufgebaut ist.
  • Wie in 5 dargestellt, umfasst das Gateway 410 den Hauptmikrocontroller 411, sowie die CAN Kommunikationsteile 416a und 416b. Der CAN Kommunikationsteil 416a ist wie in 4 dargestellt an das Netzwerk N41 angeschlossen. Ferner, der CAN Kommunikationsteil 416b ist wie in 4 dargestellt an das Netzwerk N43 angeschlossen. Außerdem wird in den nachstehenden Erläuterungen verglichen mit dem Netzwerk N43 eine höhere Sicherheit von dem Netzwerk N41 gefordert. Mit anderen Worten, für das Netzwerk N41 wird eine höhere Priorität eingestellt, als für das Netzwerk N43.
  • Der Hauptmikrocontroller 411 umfasst den Steuerteil (CPU) 414, einen Speicher 415, das HSM 413 und den Sicherheitsüberwachungsteil 100. Bei dem in 5 gezeigten Beispiel übernimmt das HSM 413 die Funktion der Sicherheit Zertifizierungsstelle. Aus diesem Grund werden Schlüsselinformationen von dem Sicherheitsüberwachungsteil 100 und dem HSM 413 geteilt. In den nachstehenden Erläuterungen werden die betreffenden im Sicherheitsüberwachungsteil 100 gespeicherten Schlüsselinformationen als „Schlüsselinformationen 190“ und die betreffenden in der HSM 413 (das heißt der Sicherheit Zertifizierungsstelle) gespeicherten Schlüsselinformationen als „Schlüsselinformationen 195“ bezeichnet.
  • Bei dem in Figur dargestellten Beispiel sind die an das Netzwerk N41 angeschlossenen Komponenten Gegenstand Gegenstand des Schutzes. Mit anderen Worten, wenn es zu Sicherheitsproblemen kommt, deaktiviert der Sicherheitsüberwachungsteil 100 den CAN Kommunikationsteil 416a, so dass ein Zugriff auf die betreffenden Komponenten nicht mehr von außerhalb des Netzwerkes N41 physikalisch beschränkt wird und dadurch die betreffenden Komponenten vor böswilligen Angriffen geschützt werden. Im Folgenden werden die Inhalte der betreffenden Funktionen konkret erläutert.
  • Der Steuerteil 414 überträgt Nachrichten zwischen dem CAN Kommunikationsteil 416a und 416b. Mit anderen Worten, wenn der Steuerteil 414 von einem der CAN Kommunikationsteil 416a oder 416b Nachrichten empfängt, überträgt er diese zur entsprechenden anderen Seite. Auf diese Weise werden von an das Netzwerk N41 oder das Netzwerk N43 angeschlossenen Geräten gesendete Nachrichten an die an das andere Netzwerk angeschlossene Geräte übertragen.
  • Der Steuerteil 414 hat außerdem die Aufgabe, den Nachrichtenaustausch zwischen dem CAN Kommunikationsteil 416a und 416b (mit anderen Worten dem Netzwerk N41 und dem Netzwerk N43) zu beschränken. Wenn zum Beispiel die vom Steuerteil 414 von einem der CAN Kommunikationsteil 416a oder 416b empfangenen Nachrichten nicht den für diese Nachrichten vorgegebenen Bedingungen entsprechen, wird die Übertragung zur entsprechenden anderen Seite verweigert (das heißt, die Übertragung zur anderen Seite wird blockiert). Durch diese Steuerung wird die Nachrichtenübertragung zwischen dem Netzwerk N41 und dem Netzwerk N43 über das Gateway 410 (Steuerteil 414) beschränkt.
  • Der Speicher 415 speichert die einzelnen Informationen vorübergehend oder permanent. Als konkretes Beispiel können die Programmdaten zur Ausführung der vom Steuerteil 414 angebotenen Funktionen (zum Beispiel Programmbibliotheken etc.) oder auch Steuerinformationsdaten im Speicher 415 gespeichert werden. Ferner können auch die zwischen dem CAN Kommunikationsteil 416a und 416b ausgetauschten Informationen (zum Beispiel zumindest ein Teil der Nachrichten) vorübergehend im Speicher 415 gespeichert werden.
  • Die HSM 413 können zum Beispiel die im Speicher 415 gespeicherten Informationen regelmäßig überwachen und bei Auftreten von Ungewöhnlichkeiten (zum Beispiel die Sicherheit betreffende Anomalien) die betreffenden Anomalien nachweisen.
  • Ferner, die HSM 413 können auch als Sicherheit Zertifizierungsstelle fungieren. Mit anderen Worten, wenn die HSM 413 keine Anomalien nachgewiesen haben, wird den vom Sicherheitsüberwachungsteil 100 übertragenen Herausforderungen gegenüber auf der Basis der Schlüsselinformationen 195 eine Antwort generiert und die betreffende Antwort an den betreffenden Sicherheitsüberwachungsteil 100 gesandt. Andererseits, wenn die HSM 413 Ungewöhnlichkeiten (zum Beispiel die Sicherheit betreffende Anomalien) nachgewiesen haben, wird die Übertragung einer Antwort auf die vom Sicherheitsüberwachungsteil 100 übertragenen Herausforderung eingeschränkt. In diesem Fall kommt es im Sicherheitsüberwachungsteil 100 zu einer Zeitüberschreitung beim Zeitschalter.
  • Zwischen Sicherheitsüberwachungsteil 100 und HSM 413 (das heißt der Sicherheit Zertifizierungsstelle) wird in regelmäßigen Abständen eine Authentifizierung durchgeführt. In einem konkreten Beispiel sendet der Sicherheitsüberwachungsteil 100 eine auf der Basis der Schlüsselinformationen 190 generierte Herausforderung an die HSM 413 und dekodiert und authentifiziert die von den betreffenden HSM 413 erhaltende Antwort auf der Basis der Schlüsselinformationen 190. Wenn die Authentifizierung durch den Sicherheitsüberwachungsteil 100 erfolgreich war, wird der Zeitschalter neu eingestellt.
  • Andererseits, nur wenn die Authentifizierung durch den Sicherheitsüberwachungsteil 100 erfolgreich war, wird der Zeitschalter neu eingestellt. Mit anderen Worten, wenn die HSM 413 Ungewöhnlichkeiten nachgewiesen haben und die Antwort dem Sicherheitsüberwachungsteil 100 gegenüber beschränkt wurde, läuft der Zähler für den Zeitschalter weiter und dies resultiert dann in einer Zeitüberschreitung. Bei einer Zeitüberschreitung sendet der Sicherheitsüberwachungsteil 100 ein das CAN Kommunikationsteil 416a abschaltendes Signal (das heißt ein Disable-Signal) an das betreffende CAN Kommunikationsteil 416a.
  • Als konkretes Beispiel ist in dem in 5 dargestellten Beispiel ein Enable-Anschluss 417 für das CAN Kommunikationsteil 416a vorgesehen, damit die auf diesem CAN Kommunikationsteil 416a basierende Datenübertragungsfunktion zwischen Aktivierung und Deaktivierung umgeschaltet werden kann. Mit anderen Worten, das vom Sicherheitsüberwachungsteil 100 übertragene Disable-Signal wird über den Enable-Anschluss 417 in das CAN Kommunikationsteil 416a eingegeben und deaktiviert dadurch dieses CAN Kommunikationsteil 416a.
  • Durch den oben beschriebenen Aufbau wird beispielsweise bei Eingriff auf den Steuerteil 414 auch bei Übertragung böswilliger Nachrichten (Signalen) von dem betreffenden Steuerteil 414 an die an das Netzwerk N41 angeschlossenen Komponenten die Übertragung dieser Nachrichten in diesem CAN Kommunikationsteil 416a physikalisch blockiert. Da auch in diesem Zustand das Netzwerk N43 immer noch aktiviert ist, kann mit dem Diagnosetool 480 über das betreffende Netzwerk N43 das Gateway 410 diagnostiziert werden, so dass eine Reparatur des betreffenden Gateway 410 möglich ist.
  • Bei dem in 5 dargestellten Beispiel werden die HSM 413 und der Sicherheitsüberwachungsteil 100 als separate Bauteile dargestellt, aber die betreffenden HSM 413 und der Sicherheitsüberwachungsteil 100 können auch integriert aufgebaut sein. Ferner kann der die Authentifizierung zwischen den HSM 413 und dem Sicherheitsüberwachungsteil 100 durchführende Teil außerhalb des Gateway 410 vorgesehen sein.
  • Als ein Anwendungsbeispiel für einen Sicherheitsüberwachungsteil entsprechend dieser oben beschriebenen Ausführungsform wird dieser betreffende Sicherheitsüberwachungsteil unter Bezugnahme auf 4 und 5 als ein Beispiel für eine Anwendung auf die Funktion eines an mehrere im Fahrzeug eingebaute Netzwerke angeschlossenen Gateway (GW) ECU erläutert.
  • < 3.4 Anwendungsbeispiel als Telematics Communication Unit (TCU) >
  • Anschließend wird als Anwendungsbeispiel für einen Sicherheitsüberwachungsteil entsprechend dieser Ausführungsform der betreffende Sicherheitsüberwachungsteil als ein Beispiel für eine Anwendung als Telematics Communication Unit (TCU) erläutert.
  • Die TCU ist ein Bauteil zur Umsetzung der Datenübertragung zwischen dem Fahrzeug und der Außenwelt. 6 ist zum Beispiel ein Schaubild zur Erläuterung einer Anwendung eines Sicherheitsüberwachungsteils entsprechend dieser Ausführungsform, bei dem der betreffende Sicherheitsüberwachungsteil auf die genannte TCU angewandt wird und ein Beispiel für die Funktion der betreffenden TCU als Blockdiagramm dargestellt ist.
  • Die TCU 510 ist wie in 6 dargestellt an das im Fahrzeug eingebaute Netzwerk wie CAN 530 angeschlossen. Zum Beispiel ist die Kommunikationsteile 512 die Kommunikationsschnittstelle für den Anschluss des TCU 510 an das CAN 530schematisch dargestellt. Ferner, die TCU 510 kann auch so aufgebaut sein, dass sie an 3G/4G, Wi/Fi (eingetragenes Warenzeichen) und Bluetooth (eingetragenes Warenzeichen) und dergleichen Funknormen entsprechende Netzwerke angeschlossen werden kann. In der 6 sind die Netzwerke 550, 560 und 570 schematisch als 3G/4G, Wi/Fi (eingetragenes Warenzeichen) und Bluetooth (eingetragenes Warenzeichen) und dergleichen Funknormen entsprechende Netzwerke dargestellt. Ferner, die Kommunikationsteile 513, 514 und 515 zeigen schematisch die an die Netzwerke 550, 560 und 570 angeschlossene TCU. Die TCU 510 kann außerdem auch so aufgebaut sein, dass sie an Infrastrukturen 540 wie Smart City angeschlossen werden kann. Beispielsweise ist eine Kommunikationsschnittstelle für den Anschluss des Kommunikationsteil 512 mittels der TCU 510 an die Infrastruktur 540 schematisch dargestellt.
  • Wie in 6 dargestellt ist die TCU 510 so aufgebaut, dass sie einschließlich fahrzeuginterner und externer Netzwerke an mehrere Netzwerke angeschlossen werden kann. Mit diesem Aufbau wird erreicht, dass beispielsweise sowohl im Fahrzeug eingebaute Geräte wie auch fahrzeugexterne Geräte über die TCU 510 miteinander Informationen austauschen können. Aus diesem Grund ist die TCU 510 oft an wichtigen Funktionen (zum Beispiel Aufhebung der Türverriegelung und dergleichen) beteiligt, wodurch eine Tendenz zu Sicherheitslücken besteht. Als Beispiel für einen böswilligen Angriff auf die TCU 510 kann ein sogenannter „weltweiter Angriff“ genannt werden. Konkret bedeutet dies, dass bei Vorliegen von Sicherheitslücken in der Schnittstelle der TCU 510 die betreffende Schnittstelle ausgenützt wird, um Computerwürmer und dergleichen zu verbreiten.
  • Um Informationen über die oben beschriebenen Ereignisse (zum Beispiel das Eindringen von Computerwürmern) zu erhalten, kann auch ein IDS eingeführt werden. Allerdings kann sich das Ergreifen von Maßnahmen außer dem Nachweis ausschließlich mit dem IDS als schwierig erweisen.
  • Als Maßnahmen bei Ereignissen wie die oben beschriebenen kann die Übertragung einer Programmaktualisierung genannt werden. Andererseits, auf einer Programmaktualisierung basierende Maßnahmen sind nur für TCUs wirksam, die noch nicht von den Computerwürmern oder dergleichen bedroht oder angegriffen wurden, während bei TCUs die bereits von den Computerwürmern angegriffen wurden, diese nur begrenzt wirksam ist (das heißt, das Problem muss dadurch nicht unbedingt gelöst werden).
  • Daher ist bei dieser Veröffentlichung die TCU 510 mit einem Sicherheitsüberwachungsteil 100 ausgestattet, um die oben genannten Probleme zu lösen und wird an einem Beispiel erläutert.
  • Zum Beispiel bei dem in 6 dargestellten Beispiel umfasst die TCU 510 einen Sicherheitsüberwachungsteil 100 und der betreffende Sicherheitsüberwachungsteil 100 führt eine Authentifizierung zwischender außerhalb des Fahrzeugs vorgesehenen Sicherheit Zertifizierungsstelle 200 wie Schlüssel-Fernmanagement Server (KMS) durch. Mit anderen Worten, der Sicherheitsüberwachungsteil 100 greift über ein auf dem 3G/4G Funkstandard basierendes Funknetzwerk 550, oder über ein auf dem Wi-Fi (eingetragenes Warenzeichen) Funkstandard basierendes Funknetzwerk 560 oder dergleichen auf die Sicherheit Zertifizierungsstelle 200 zu und führt eine Authentifizierung durch. Ferner, bei dem in 6 dargestellten Beispiel teilen sich der Sicherheitsüberwachungsteil 100 und die Sicherheit Zertifizierungsstelle 200 die Schlüsselinformationen. Weiterhin, in den nachstehenden Erläuterungen werden die im Sicherheitsüberwachungsteil 100 gespeicherten betreffenden Schlüsselinformationen „Schlüsselinformationen 190“ und die betreffenden in der Sicherheit Zertifizierungsstelle 200 gespeicherten Schlüsselinformationen „Schlüsselinformationen 190“ genannt.
  • Bei dem in 6 dargestellten Beispiel ist der Sicherheitsüberwachungsteil 100 über Übertragungsleitungen und den Enable-Anschluss der jeweiligen Kommunikationsteile 511-515 an ein allgemeines InputOutput-Modul (GPIO) angeschlossen. Sofern der Sicherheitsüberwachungsteil 100 von der Sicherheit Zertifizierungsstelle 200 Antworten zurückempfängt, wird der Zeitschalter des oben genannten allgemeinen InputOutput-Moduls fortlaufend aktualisiert. Mit anderen Worten, solange von der Sicherheit Zertifizierungsstelle 200 Antworten übertragen werden, bleiben die Kommunikationsteile 511-515 aktiviert.
  • Andererseits, angenommen zum Beispiel das IDS hat eine Sicherheitslücke (zum Beispiel Infektion mit einem Computerwurm) in der Schnittstelle (zum Beispiel der Kommunikationsteil 511) für den Zugriff auf das Netzwerk 550 entsprechend der 3G/4G Norm nachgewiesen. In diesem Fall kann die Sicherheit Zertifizierungsstelle 200 (zum Beispiel das KMS) auf der Basis der vom IDS nachgewiesenen Ergebnisse die Antwort auf vom Sicherheitsüberwachungsteil 100 übertragene Herausforderungen beschränken.
  • Konkret bedeutet dies, dass der Sicherheitsüberwachungsteil 100 aufgrund der Schlüsselinformationen 190 Herausforderungen generiert und diese betreffenden Herausforderungen dann über die Netzwerke 550 beziehungsweise 560 zur Sicherheit Fernzertifizierungsstelle 200 (zum Beispiel das KMS) sendet. Die Sicherheit Zertifizierungsstelle 200 prüft dann die Gültigkeit der vom Sicherheitsüberwachungsteil 100 übertragenen Herausforderungen anhand der Schlüsselinformationen 195 und legt die Zeitschalterwerte für die Kommunikationsteile 511-515 fest. Zu diesem Zeitpunkt können die Zeitschalterwerte für die Kommunikationsteile 511-515 von der Sicherheit Zertifizierungsstelle 200 für die Kommunikationsteile 511-515 auch unabhängig voneinander festgelegt werden. Und die Sicherheit Zertifizierungsstelle 200 assoziiert dann die festgelegten Zeitschalterwerte mit den Antworten vom Sicherheitsüberwachungsteil 100 und sendet die betreffenden Antworten dann zum Sicherheitsüberwachungsteil 100. Der Sicherheitsüberwachungsteil 100 prüft dann die von der Sicherheit Zertifizierungsstelle 200 zurückgesandten Antworten anhand der Schlüsselinformationen 190. Der Sicherheitsüberwachungsteil 100 prüft die Gültigkeit der betreffenden Antworten und auf der Basis der mit den betreffenden Antworten assoziierten Zeitschalterwerte werden dann die Zeitschalter der jeweiligen Kommunikationsteile 511-515 aktualisiert.
  • Auf der Basis dieses Aufbaus können die Hersteller der TCU 510 die Rücksendung von Antworten von der Sicherheit Zertifizierungsstelle 200 zum Sicherheitsüberwachungsteil 100 bei zumindest teilweise deaktivierter TCU 510 (zum Beispiel einen der Kommunikationsteile 511-515) beschränken. In diesem Fall wird in Verbindung mit einer Zeitüberschreitung vom Sicherheitsüberwachungsteil 100 von diesem betreffenden Sicherheitsüberwachungsteil 100 zur korrespondierenden Schnittstelle ein Disable-Signal gesandt und so die betreffende Schnittstelle physikalisch deaktiviert.
  • In einem anderen Beispiel können auch bei Einstellung von „0“ als Wert für den Zeitschalter durch die mit der von der Sicherheit Zertifizierungsstelle 200 zum Sicherheitsüberwachungsteil 100 gesandten Antwort assoziierten Informationen (mit anderen Worten, dem Zeitschalterwert) beschränkt werden. In diesem Fall wird der Zeitschalterwert bei Empfang einer Antwort vom Sicherheitsüberwachungsteil 100 auf 0 aktualisiert. Mit anderen Worten, wenn es bei dem betreffenden Zeitschalter zu einer Zeitüberschreitung kommt, wird vom Sicherheitsüberwachungsteil 100 ein Disable-Signal zur korrespondierenden Schnittstelle gesandt und so die betreffende Schnittstelle physikalisch deaktiviert.
  • Durch die oben beschriebenen Beschränkungen wird es möglich zu verhindern, dass die TCU 510 in Verbindung mit Eindringen in die Schnittstelle nicht fortgesetzt Computerwürmer verbreitet. Ferner, da durch den Sicherheitsüberwachungsteil 100 die der Schnittstelle (zum Beispiel die Kommunikationsteile 511-515 etc.) korrespondierende Hardware deaktiviert wird, wird es für Computerwürmer und dergleichen böswilligen Programmen schwierig, die Software zu umgehen und so verbreitet zu werden.
  • Die Erläuterungen für das oben beschriebene Beispiel konzentrieren sich beispielsweise auf ein Eindringen in die Schnittstelle der TCU 510, müssen jedoch nicht auf diese Situation beschränkt sein. Wenn zum Beispiel in ein externes Gerät der TCU 510 eingedrungen wurde, kann die betreffende TCU 510 durch Abschalten der für den Austausch von Nachrichten mit den betreffenden externen Geräten dienenden Schnittstelle Sicherheitsverletzungen der betreffenden externen Geräte physikalisch zu blockieren.
  • In den vorstehenden Beschreibungen aktualisiert die Sicherheit Zertifizierungsstelle 200 den Zeitschalter des Sicherheitsüberwachungsteils 100, aber es kann auch eine Schnittstelle vorgesehen sein, über die durch Benutzerbedienung der Zeitschalter des Sicherheitsüberwachungsteils 100 bewusste eingestellt werden kann. Mit einem derartigen Aufbau wird es zum Beispiel möglich, dass der Benutzer (beziehungsweise das Wartungspersonal) über eine Bedienung den Zeitschalter des Sicherheitsüberwachungsteils 100, auf „0“ einstellt, somit sofort eine Zeitüberschreitung im betreffenden Sicherheitsüberwachungsteil 100 hervorruft und dadurch die gewünschten Komponenten schützt.
  • Oben wurde unter Bezugnahme auf 6 als ein anderes Anwendungsbeispiel für einen Sicherheitsüberwachungsteil entsprechend dieser Ausführungsform ein Beispiel für die Anwendung des betreffenden Sicherheitsüberwachungsteils als Telematics Communication Unit (TCU) erläutert.
  • < 3.5 Verarbeitung >
  • Anschließend wird ein Beispiel für den Ablauf der Verarbeitung bei Anwendung des Sicherheitsüberwachungsteils entsprechend dieser Ausführungsform auf das im Fahrzeug eingebaute System erläutert.
  • (Wenn die HSM als Sicherheit Zertifizierungsstelle fungiert)
  • Zunächst wird anhand der 7 bis 9 ein Beispiel der Funktion der HSM als Sicherheit Zertifizierungsstelle 200 erläutert. Mit anderen Worten, dieses Steuerbeispiel erläutert, wie bestimmte Komponenten geschützt werden, indem der Sicherheitsüberwachungsteil 100 die Authentifizierung zwischen den HSM durchführt und anhand der betreffenden Authentifizierungsergebnisse die CAN Kommunikationsteile deaktiviert. Die 7 bis 9 zeigen als Flussdiagramm dargestellt ein Beispiel für den Ablauf der Verarbeitung bei dem im Fahrzeug eingebauten System entsprechend der gleichen Ausführungsform, wobei schematisch in einem Beispiel aufgezeigt wird, wie der Sicherheitsüberwachungsteil 100 bestimmte Geräte aktiviert oder deaktiviert. Außerdem überwachen die HSM, ob die Sicherheit der CPU gefährdet ist oder nicht und entsprechend der betreffenden Überwachungsergebnisse wird dann der Betrieb in Verbindung mit der Authentifizierung mit dem Sicherheitsüberwachungsteil 100 gesteuert.
  • Zum Beispiel ist in 7 ein Beispiel für die als Sicherheit Zertifizierungsstelle 200 fungierenden HSM, die CPU und die jeweiligen Funktionen gezeigt. Konkret ist Verarbeitungsablauf beim Betrieb der CPU schematisch der mit den Symbolen S131- S135 gekennzeichnet dargestellt. Ferner, ist der Betrieb der HSM beim Verarbeitungsablauf schematisch der mit den Symbolen S101-S107 gekennzeichnet dargestellt.
  • Zum Beispiel nimmt die CPU unter bestimmten Bedingungen den Betrieb auf (S131), sendet eine an bestimmte Komponenten gerichtete VAN-Nachricht zu dem nachstehend beschriebenen CAN Kommunikationsteil (S133) und schaltet danach den Betrieb vorübergehend aus (S135). Die CPU wiederholt nacheinander die oben beschriebene Serie von Verarbeitungen (mit anderen Worten die mit den Referenzsymbolen S131-S135 gekennzeichneten Verarbeitungen). Andererseits, wenn ein böswilliges Programm in die CPU eingedrungen ist, wird zum Beispiel bei der mit dem Referenzsymbol S133 gekennzeichneten Verarbeitung von der CPU eine böswillige Nachricht an den CAN Kommunikationsteil gesandt.
  • Die HSM überwachen den Sicherheitszustand der CPU sequentiell (S101). Sofern die HSM zu diesem Zeitpunkt keine Ungewöhnlichkeiten in Verbindung mit der Sicherheit der CPU nachweisen (S101, YES), antworten sie auf die Authentifizierung betreffende Anfragen (Herausforderungen) vom Sicherheitsüberwachungsteil 100 und senden dem betreffenden Sicherheitsüberwachungsteil 100 neue Einstellwerte für die Zeitschalter (S103). Andererseits, wenn die HSM Ungewöhnlichkeiten in Verbindung mit der Sicherheit der CPU nachgewiesen haben (S101, NO), verweigern sie auf die Authentifizierung betreffende Anfragen vom Sicherheitsüberwachungsteil 100 (zum Beispiel Beschränkung der Antworten auf die betreffenden Anfragen) und rufen so eine Zeitüberschreitung für den betreffenden Sicherheitsüberwachungsteil 100 (S105) hervor.
  • Die HSM führen die mit den Referenzsymbolen S101-S105 gekennzeichnete Serie von Verarbeitungen in regelmäßigen Abständen durch. Mit anderen Worten, nach Ausführung der mit den Referenzsymbolen S101-S105 gekennzeichnete Serie von Verarbeitungen und Abwarten einer bestimmten Zeitdauer (S107), wird nach Ablauf der betreffenden Zeitdauer die betreffende Serie von Verarbeitungen erneut durchgeführt.
  • Anschließend wird der Ablauf der Serie von Verarbeitungen durch den Sicherheitsüberwachungsteil 100 anhand der 8 erläutert.
  • Der Sicherheitsüberwachungsteil 100 generiert auf einem auf Zufallszahlen und dergleichen basierenden Code eine Herausforderung zur Authentifizierung und die betreffende Herausforderung wird dann zu den HSM (mit anderen Worten der Sicherheit Zertifizierungsstelle 200) gesandt (S151).
  • Der Sicherheitsüberwachungsteil 100 empfängt daraufhin von den HSM Antworten auf die oben genannten Herausforderungen und nur wenn eine erfolgreiche Authentifizierung bestätigt werden kann (S153, YES), wird eine den CAN Kommunikationsteil aktivierende Steuerung vorgenommen (S161). Als konkretes Beispiel gibt der Sicherheitsüberwachungsteil 100 ein Enable-Signal an den Enable-Anschluss aus und aktiviert dadurch den CAN Kommunikationsteil.
  • Andererseits, wenn der Sicherheitsüberwachungsteil 100 nicht in der Lage ist, von den HSM die oben genannten Herausforderungen zu empfangen und eine Authentifizierung fehlgeschlagen ist (S153, NO), wird für eine bestimmte Zeitdauer gewartet und sofern es nicht zu einer Zeitüberschreitung kommt (S155), wird anschließend erneut auf eine Antwort von den HSM gewartet (S153). Und wenn der Zustand in dem der Sicherheitsüberwachungsteil 100 von den HSM keine Antworten empfangen kann andauert und dies zu einer Zeitüberschreitung (S157, YES) geführt hat, wird die Anlage so gesteuert, dass der CAN Kommunikationsteil deaktiviert wird (S159). Als konkretes Beispiel wird der CAN Kommunikationsteil deaktiviert, wenn der Sicherheitsüberwachungsteil 100 ein Disable-Signal zum Enable-Anschluss des CAN Kommunikationsteils sendet.
  • Der Sicherheitsüberwachungsteil 100 führt die mit den Referenzsymbolen S151-S161 gekennzeichnete Serie von Verarbeitungen in regelmäßigen Abständen durch. Mit anderen Worten, nachdem der Sicherheitsüberwachungsteil 100 die mit den Referenzsymbolen S151-S161 gekennzeichnete Serie von Verarbeitungen durchgeführt hat, wartet er für eine bestimmte Zeit (S163) und führt nach Ablauf dieser Zeitdauer die betreffende Serie von Verarbeitungen erneut durch.
  • Anschließend wird anhand der 9 der Ablauf einer Serie von Verarbeitungen durch den CAN Kommunikationsteil erläutert.
  • Der CAN Kommunikationsteil empfängt von der CPU CAN Nachrichten (S171). Wenn der CAN Kommunikationsteil zu diesem Zeitpunkt aktiviert ist (S173, YES), überträgt der CAN Kommunikationsteil die empfangenden CAN Nachrichten an die Adressen der Komponenten (S175). Andererseits, wenn der CAN Kommunikationsteil aufgrund der Steuerung vom Sicherheitsüberwachungsteil 100 deaktiviert ist (S173, NO), werden die von der CPU an den CAN Kommunikationsteil gesandten CAN Nachrichten ignoriert (S177).
  • Oben wurde anhand von 7 bis 9 ein Beispiel für eine Steuerung zum Schutz bestimmter Komponenten mittels Deaktivierung des CAN Kommunikationsteils auf der Basis der Authentifizierungsergebnisse zwischen dem Sicherheitsüberwachungsteil 100 entsprechend dieser Ausführungsform und der Sicherheit Zertifizierungsstelle 200 erläutert.
  • (Wenn der OEM Fernserver die Funktion der Sicherheit Zertifizierungsstelle ausübt) Anschließend wird anhand von 10 bis 12 ein Beispiel erläutert, bei dem der OEM Fernserver die Funktion der Sicherheit Zertifizierungsstelle 200 ausübt. Mit anderen Worten, in Abhängigkeit von den Ergebnissen der Authentifizierung zwischen dem Sicherheitsüberwachungsteil 100 und dem OEM Fernserver wird ein Beispiel für eine Steuerung zum Schutz bestimmter Komponenten mittels Deaktivierung des CAN Kommunikationsteils erläutert. Die 10 bis 12 zeigen Flussdiagramme für anderes Beispiel des Verarbeitungsablaufs eines im Fahrzeug eingebauten Systems entsprechend dieser Ausführungsform.
  • Zum Beispiel zeigt 10 ein Beispiel für den Betrieb des Sicherheitsüberwachungsteil 100. Bei dem in 10 gezeigten Beispiel generiert der Sicherheitsüberwachungsteil 100 durch Verschlüsselung eines Zufallszahlencodes und eines Identifikationssystems (ID) zur Selbsterkennung Herausforderungen und sendet die betreffenden Herausforderungen an die CPU (S211). Die betreffenden Herausforderungen werden dann über die CPU an den OEM-Server gesandt. Und indem der Sicherheitsüberwachungsteil 100 dann über die CPU von externen OEM-Servern Antworten auf die oben genannten Herausforderungen empfängt, wird eine Authentifizierung in Relation zu dem betreffenden OEM-Server durchgeführt (S213). In den nachstehenden Erläuterungen (mit anderen Worten die mit den Referenzsymbolen S215-S223 gekennzeichneten Verarbeitungen) werden nähere Erläuterungen zu dem in 8 gezeigten Beispiel mit den Referenzsymbolen S155-S163 gekennzeichneten identischen Verarbeitungen ausgelassen.
  • Anschließend wird anhand der 11 der Ablauf einer Serie von Verarbeitungen durch die CPU Kommunikationsteil erläutert. In diesen Erläuterungen wird ausgeführt, wie die CPU ein erstes Hardwareteil und ein zweites Hardwareteil jeweils getrennt voneinander steuert.
  • Die CPU nimmt aus bestimmten Gründen ihren Betrieb auf (S231). Bei dem in den 10-12 gezeigten Beispiel vermittelt die CPU die Datenübertragung zwischen dem Sicherheitsüberwachungsteil 100 und dem OEM-Server (S233). Mit anderen Worten, wenn die CPU die vom Sicherheitsüberwachungsteil 100 an den OEM-Server adressierte Herausforderungen empfängt, werden diese betreffenden Herausforderungen zum OEM-Server übertragen. Wenn die CPU dann vom OEM-Server Antworten auf die oben genannten Herausforderungen empfängt, können diese Antworten auch zum Sicherheitsüberwachungsteil 100 übertragen werden.
  • Die CPU steuert außerdem auch das erste Hardwareteil und das zweite Hardwareteil (S235, 237). In einem konkreten Beispiel sendet die CPU Nachrichten oder Signale an das erste Hardwareteil und das zweite Hardwareteil und kann so jeweils das betreffende erste Hardwareteil und zweite Hardwareteil steuern.
  • Und wenn die CPU die einzelnen oben genannten Verarbeitungen abgeschlossen hat, kann deren Betrieb vorübergehend eingestellt werden (S239). Die CPU wiederholt die oben beschriebene Serie von Verarbeitungen (mit anderen Worten die mit den Referenzsymbolen S231-S239 gekennzeichneten Verarbeitungen) periodisch.
  • Im Folgenden wird anhand der 12 ein Beispiel für den Verarbeitungsablauf erläutert, wenn der OEM-Server die Funktion der Sicherheit Zertifizierungsstelle 200 ausübt. In diesen Erläuterungen entscheidet der OEM-Server individuell, ob jeweils für das erste Hardwareteil und das zweite Hardwareteil ein Sicherheitsproblem vorliegt oder nicht und stellt dann im Rahmen der Steuerung die individuellen Zeitschalterwerte für das betreffende erste Hardwareteil und zweite Hardwareteil ein.
  • Wie in 12 dargestellt, empfängt der OEM-Server in Verbindung mit Anfragen zur Authentifizierung vom Sicherheitsüberwachungsteil 100 die von dem betreffenden Sicherheitsüberwachungsteil 100 generierten Herausforderungen (S251). Zu diesem Zeitpunkt kann der OEM-Server aufgrund der korrespondierenden Schlüsselinformationen die betreffende Herausforderung dekodieren und aus der betreffenden Herausforderung die Indentifikationsinformationen für den Sicherheitsüberwachungsteil 100 extrahieren.
  • Als nächstes prüft der OEM-Server, ob in Verbindung mit der Steuerung dem ersten Hardwareteil Sicherheitsprobleme berichtet wurden (S253). Zu diesem Zeitpunkt macht der OEM-Server Anfragen bei dem IDS oder dem Sicherheitsüberwachungssystem, so dass auch so die oben genannten Berichte über Störungen geprüft werden können. Weiterhin, der OEM-Server bestimmt dabei die vom Sicherheitsüberwachungsteil 100 erfassten Identifikationsinformationen und macht die oben genannte Anfrage, so dass relevante Informationen auch enger gefasst werden können. Sofern keine Berichte über Störungen der Steuerung am ersten Hardwareteil vorliegen (S253, NO), wird in Verbindung mit der Steuerung des ersten Hardwareteils ein neuer Zeitschalterwert eingestellt (S257). Andererseits, wenn hingegen Berichte über Störungen der Steuerung am ersten Hardwareteil vorliegen (S253, YES), verweigert der Sicherheitsüberwachungsteil 100 die Authentifizierung der betreffenden Anfragen hinsichtlich der Steuerung des ersten Hardwareteils durch den OEM-Server (S255). In diesem Fall kommt es im Sicherheitsüberwachungsteil 100 bei der Steuerung des ersten Hardwareteils zu einer Zeitüberschreitung. Mit anderen Worten, indem der Sicherheitsüberwachungsteil 100 zum Beispiel ein Disable-Signal an die zum Empfang von Signalen von der CPU durch das erste Hardwareteil erforderliche Schnittstelle sendet, wird die betreffende Schnittstelle abgeschaltet.
  • Gleichermaßen prüft der OEM-Server, ob hinsichtlich der Steuerung des zweiten Hardwareteils Probleme in Verbindung mit der Sicherheit berichtet werden (S259). Wenn keine Störungen der Steuerung des zweiten Hardwareteils berichtet werden (S259, NO), stellt der OEM-Server neue Zeitschalterwerte für das zweite Hardwareteil ein (S263). Andererseits, wenn jedoch Störungen der Steuerung des zweiten Hardwareteils berichtet werden (S259, YES), verweigert der OEM-Server die vom Sicherheitsüberwachungsteil 100 die Authentifizierung betreffende Anfragen hinsichtlich der Steuerung des zweiten Hardwareteils (S261). In diesem Fall kommt es im Sicherheitsüberwachungsteil 100 bei der Steuerung des zweiten Hardwareteils zu einer Zeitüberschreitung. Mit anderen Worten, indem der Sicherheitsüberwachungsteil 100 zum Beispiel ein Disable-Signal an die zum Empfang von Signalen von der CPU durch das zweite Hardwareteil erforderliche Schnittstelle sendet, wird die betreffende Schnittstelle abgeschaltet.
  • Der OEM-Server generiert auf der Basis der oben genannten Entscheidungen betreffs des ersten Hardwareteils und zweiten Hardwareteils Antworten auf die Herausforderungen vom Sicherheitsüberwachungsteil 100 und sendet die betreffenden Antworten dann an den betreffenden Sicherheitsüberwachungsteil 100 (S265).
  • Der OEM-Server wiederholt die oben beschriebene Serie von Verarbeitungen (mit anderen Worten die mit den Referenzsymbolen S251-S265 gekennzeichneten Verarbeitungen) periodisch.
  • Oben wurde anhand der 10 ~ 12 ein Beispiel erläutert, bei dem ein OEM Fernserver die Funktion der Sicherheit Zertifizierungsstelle 200 ausübt.
  • << 4. Schlussfolgerungen >>
  • Wie oben ausgeführt ist bei einem in einem Fahrzeug eingebauten System entsprechend dieser Ausführungsform ein Sicherheitsüberwachungsteil (Security Watchdog) für die ECU und derartige Steuervorrichtungen vorgesehen, wobei über CPUs und dergleichen festgelegte Schnittstellen die Komponenten gesteuert werden und die Steuerteile unabhängig voneinander vorgesehen sind. Auf der Basis eines derartigen Aufbaus wird zwischen Sicherheitsüberwachungsteil und Sicherheit Zertifizierungsstelle eine Authentifizierung durchgeführt und dann aufgrund der betreffenden Authentifizierungsergebnisse über die oben genannte Schnittstelle der Zugriff auf die oben genannten Komponenten gesteuert (zum Beispiel beschränkt). Zu diesem Zeitpunkt kann der Zugriff auf die oben genannten Komponenten durch Deaktivierung der oben genannten Schnittstelle über den vorgenannten Sicherheitsüberwachungsteil auch physikalisch begrenzt werden. Ferner ist der Sicherheitsüberwachungsteil mit einem Zeitschalter ausgestattet, so dass wenn die Erfassung der von der oben genannten Sicherheit Zertifizierungsstelle die Authentifizierung betreffenden Antworten fehlschlägt und es so zu einer Zeitüberschreitung der Zeitschalter kommt, der Zugriff auf die oben genannten Komponenten beschränkt werden kann.
  • Mit der wie oben beschriebenen Technik entsprechend der vorliegenden Ausführungsform ist es möglich, den Zugriff auf geschützte Komponenten zu beschränken, selbst für den Fall das es bei einem Teil der im Fahrzeug eingebauten Geräte zu Anomalien (beispielsweise Sicherheitsauffälligkeiten) gekommen ist. Dadurch wird erreicht, dass die beeinträchtigten Geräte von den zu schützenden Komponenten isoliert werden und die betreffenden Komponenten so vor böswilligem Missbrauch der betreffenden Geräte geschützt werden können. Ferner, da der Zugriff auf die zu schützenden Komponenten physikalisch blockiert wird, kann selbst bei Eindringen von Computerwürmern oder derartigen böswilligen Programmen in die im Fahrzeug eingebauten Netzwerke den betreffenden Programmen ein Zugriff auf die betreffenden Komponenten durch Software Umgehungen schwierig gemacht werden.
  • Auf diese Weise wird es durch Anwendung der Technik entsprechend dieser Veröffentlichung möglich, einen Teil der Geräte innerhalb von im Fahrzeug eingebauten Netzwerken (zum Beispiel die CPU oder den Mikrocontroller) selbst für den Fall das es zu Störungen gekommen ist einen Teil der Module effektiv zu deaktivieren, ohne die betreffenden Geräte dazu vorübergehend oder permanent abzuschalten. Dadurch kann zum Beispiel erreicht werden, dass es dem Hersteller auch bei Auftreten schwerwiegender Sicherheitsvorfällen möglich ist, die ECU und ähnliche Geräte zu diagnostizieren oder reparieren, ohne diese auswechseln zu müssen. Mit anderen Worten, durch Anwendung der Technik entsprechend dieser Veröffentlichung ist es auch bei Auftreten von Sicherheitsvorfällen möglich zahlreichere und diversere Maßnahme zur Lösung der betreffenden Probleme als bisher und darüber hinaus außerdem besser angemessene Maßnahmen zu wählen.
  • Der oben beschriebene Aufbau ist jedoch nur ein mögliches Beispiel und der Aufbau eines im Fahrzeug eingebauten Systems muss nicht unbedingt auf diese Ausführungsform der Veröffentlichung beschränkt sein. In einem konkreten Beispiel muss der Ort der Funktion der oben genannten Sicherheit Zertifizierungsstelle 200 nicht besonders festgelegt sein. Zum Beispiel kann die Sicherheit Zertifizierungsstelle 200 ebenso wie der Sicherheitsüberwachungsteil 100 innerhalb der Geräte vorgesehen sein. Ferner, kann die Sicherheit Zertifizierungsstelle 200 ebenso wie der Sicherheitsüberwachungsteil 100 auch außerhalb der Geräte vorgesehen sein. In diesem Fall kann die Sicherheit Zertifizierungsstelle 200 in einem Fernserver vorgesehen sein. In einem anderen Beispiel ist die Sicherheit Zertifizierungsstelle 200 innerhalb der im Fahrzeug eingebauten Netzwerke vorgesehen und anstelle der mit einem Sicherheitsüberwachungsteil 100 ausgestatteten Geräte können auch andere Geräte vorgesehen sein. Bei dem in 4 dargestellten konkreten Beispiel ist das ADAS 430 mit einem Sicherheitsüberwachungsteil 100 ausgestattet und das Gateway 410 übernimmt die Funktion der Sicherheit Zertifizierungsstelle 200 (mit anderen Worten, das Gateway 410 kann auch mit einer Sicherheit Zertifizierungsstelle 200 ausgestattet sein).
  • Weiterhin ist es nicht unbedingt erforderlich, einen dem Sicherheitsüberwachungsteil 100 entsprechenden Aufbau anzubieten. Zum Beispiel können auch Teile der oben genannten Vorrichtungen ECU, GW, TCU und dergleichen angeboten werden. Ferner, in einem Beispiel können die Vorrichtungen ECU, GW, TCU und dergleichen als abnehmbare Bauelemente des Sicherheitsüberwachungsteils 100 (zum Beispiel als Chips) angeboten werden. In diesem Fall entspricht der Aufbau der betreffenden Einheiten einem Beispiel für eine „Steuervorrichtung“.
  • Oben wurden angemessene Ausführungsformen der vorliegenden Erfindung anhand der Figuren erläutert, aber die Erfindungen ist nicht auf diese Beispiele begrenzt. Personen mit relevanten Allgemeinwissen auf dem diese Erfindung betreffenden technischen Gebiet können sich im Rahmen der in den Patentansprüchen beschriebenen Kategorien technischer Konzepte sicher die verschiedensten Modifikationen und Korrekturen vorstellen, aber diese gelten selbstverständlich als zum technischen Umfang dieser Erfindung gehörend.
  • Bezugszeichenliste
    • 10
    Steuernetzwerk
    20
    Netzwerk
    30
    Netzwerk
    50, 50a-50h
    Steuervorrichtung
    100
    Sicherheitsüberwachungsteil (Security Watchdog)
    101
    Verschlüsselungsmodul
    111
    Zertifizierungsverarbeitungsteil
    113
    Steuerteil
    103
    Codegenerator
    105
    Kommunikationsschnittstelle
    107
    Zeitschalter
    109
    allgemeines InputOutput-Modul
    200
    Sicherheit Zertifizierungsstelle
    311
    Hauptsteuerteil
    313
    Nachweisteil
    315
    Stellgliedtreiber
    317
    Kommunikationsschnittstelle
    331
    Stellglied
    340
    im Fahrzeug eingebautes Netzwerk
    350
    Internet
    360
    Netzwerk
    410
    Gateway
    411
    Hauptmikrocontroller
    414
    Steuerteil
    415
    Speicher
    416a, 416b
    Kommunikationsteil
    417
    Enable-Anschluss
    440
    Lenksäule
    450
    Bremse
    460
    Infotainment
    470
    Klimaanlage
    480
    Diagnosetool
    490
    Lichtanlage
    510
    TCU
    511-515
    Kommunikationsteile
    540
    Infrastruktur
    550, 560, 570
    Netzwerke
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2017073765 [0003]

Claims (14)

  1. Steuervorrichtung die mit einem Zertifizierungsverarbeitungsteil (111) ausgestattet ist, welcher unter bestimmten Bedingungen eine Authentifizierung in Relation zur Sicherheit Zertifizierungsstelle durchführt, und zur Steuerung von der an die im Fahrzeug eingebauten Netzwerke angeschlossenen Komponenten mit unabhängig voneinander und speziell dazu bestimmten Schnittstellen für die Steuereinheiten ausgestattet ist, wobei auf den Ergebnissen der vorgenannten Authentifizierung basierend der Zugriff auf die vorgenannten Komponenten über die vorgenannten Schnittstellen durch einen Steuerteil (113) gesteuert wird.
  2. Steuervorrichtung nach Anspruch 1 bei der der vorgenannte Steuerteil (113) bei Misslingen der vorgenannten Authentifizierung der Zugriff auf die vorgenannten Komponenten über die vorgenannten Schnittstellen beschränkt wird.
  3. Steuervorrichtung nach Anspruch 2 bei der der vorgenannte Steuerteil (113) bei Misslingen der Erfassung einer die vorgenannte Authentifizierung betreffende Antwort von der vorgenannten Sicherheit Zertifizierungsstelle den Zugriff auf die vorgenannten Komponenten beschränkt.
  4. Steuervorrichtung nach einem der Ansprüche 1-3 die mit einem Codegenerator (103) zur Erzeugung von für die Authentifizierung verwendeten Coden ausgestattet ist, und der vorgenannte Zertifizierungsverarbeitungsteil anhand der vorgenannten Code die Authentifizierung mit der vorgenannten Sicherheit Zertifizierungsstelle durchführt.
  5. Steuervorrichtung nach Anspruch 4 bei der die vorgenannte Authentifizierung unter Verwendung der vorgenannten Code nach einem Challenge-Response-Verfahren durchführt wird.
  6. Steuervorrichtung nach einem der Ansprüche 1-5 bei dem der Steuerteil (113) nach Ablauf einer eingestellten Zeitdauer über die vorgenannten Schnittstellen den Zugriff auf die vorgenannten Komponenten steuert.
  7. Steuervorrichtung nach Anspruch 6 bei der die vorgenannte Zeitdauer durch die vorgenannte Sicherheit Zertifizierungsstelle eingestellt wird.
  8. Steuervorrichtung nach einem der Ansprüche 1-7 die mit einer Sicherheit Zertifizierungsstelle (200) ausgestattet ist.
  9. Steuervorrichtung nach einem der Ansprüche 1-7 bei der ein Zertifizierungsverarbeitungsteil (111) die Authentifizierung zwischen bestimmten Netzwerken und der vorgenannten Sicherheit Zertifizierungsstelle durchführt.
  10. Steuervorrichtung nach Anspruch 9 bei der die vorgenannten bestimmten Netzwerke die von der vorgenannten Steuervorrichtung unterhaltenen im Fahrzeug eingebauten Netzwerke sind.
  11. Steuervorrichtung nach Anspruch 9 bei der die vorgenannten bestimmten Netzwerke auch die zum Zugriff auf die von der vorgenannten Steuervorrichtung unterhaltenen Netzwerke außerhalb des Fahrzeugs umfassen.
  12. Steuervorrichtung nach einem der Ansprüche 1-11 bei der die vorgenannte Steuervorrichtung eine den Zugriff unter mehreren Netzwerken steuernde Steuervorrichtung ist, die vorgenannte Steuervorrichtung (113) entsprechend der vorgenannten Authentifizierungsergebnisse den Zugriff auf die zu schützenden Netzwerke unter den vorgenannten mehreren Netzwerken durch sich von den betreffenden Netzwerken unterscheidenden andere Netzwerke beschränkt.
  13. Steuervorrichtung nach Anspruch 12 bei der die vorgenannten zu schützenden Netzwerke diejenigen im Fahrzeug eingebauten Netzwerke sind, mit denen die vorgenannte Steuervorrichtung den Betrieb betreffende gespeicherte Informationen austauscht.
  14. Steuerverfahren dass einen Computer mit unabhängig voneinander die an die im Fahrzeug eingebauten Netzwerke angeschlossenen Komponenten über spezielle Schnittstellen steuernde Einheiten umfasst, die unter bestimmten Bedingungen eine Authentifizierung mit der Sicherheit Zertifizierungsstelle durchführen und aufgrund der vorgenannten Authentifizierungsergebnisse über die vorgenannten Schnittstellen den Zugriff auf die vorgenannten Komponenten steuert.
DE102018212879.0A 2017-10-10 2018-08-02 Steuervorrichtung und Steuerverfahren Pending DE102018212879A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017-197202 2017-10-10
JP2017197202A JP2019071572A (ja) 2017-10-10 2017-10-10 制御装置及び制御方法

Publications (1)

Publication Number Publication Date
DE102018212879A1 true DE102018212879A1 (de) 2019-04-11

Family

ID=65816923

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018212879.0A Pending DE102018212879A1 (de) 2017-10-10 2018-08-02 Steuervorrichtung und Steuerverfahren

Country Status (2)

Country Link
JP (1) JP2019071572A (de)
DE (1) DE102018212879A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017221889B4 (de) * 2017-12-05 2022-03-17 Audi Ag Datenverarbeitungseinrichtung, Gesamtvorrichtung und Verfahren zum Betrieb einer Datenverarbeitungseinrichtung oder Gesamtvorrichtung
US20220283798A1 (en) * 2019-08-06 2022-09-08 Nec Corporation Mobility control system, method, and program
CN113348124A (zh) * 2019-08-30 2021-09-03 松下电器(美国)知识产权公司 认证方法、认证***以及认证装置
JP7354180B2 (ja) * 2021-05-10 2023-10-02 ダイハツ工業株式会社 車載中継装置
JP7425016B2 (ja) * 2021-05-10 2024-01-30 ダイハツ工業株式会社 車載中継装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017073765A (ja) 2015-10-09 2017-04-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、攻撃検知方法及びプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5900007B2 (ja) * 2012-02-20 2016-04-06 株式会社デンソー 車両用データ通信認証システム及び車両用ゲートウェイ装置
JP5838983B2 (ja) * 2013-02-25 2016-01-06 トヨタ自動車株式会社 情報処理装置及び情報処理方法
WO2017056688A1 (ja) * 2015-09-29 2017-04-06 日立オートモティブシステムズ株式会社 監視システム及び車両用制御装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017073765A (ja) 2015-10-09 2017-04-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、攻撃検知方法及びプログラム

Also Published As

Publication number Publication date
JP2019071572A (ja) 2019-05-09

Similar Documents

Publication Publication Date Title
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
EP3393865B1 (de) Überwachung und modifikation von kraftfahrzeugfunktionen in einem kraftfahrzeug
EP2823430B1 (de) Elektronisches regelungssystem
DE102013003040B4 (de) Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten sowie Verfahren hierzu
DE102012217200A1 (de) Busüberwachungssicherheitsvorrichtung und Busüberwachungssicherheitssystem
DE102015002574B4 (de) Kraftfahrzeug- Kommunikationsnetzwerk mit Switchvorrichtung
EP3077253A1 (de) System und verfahren zum stilllegen eines unrechtmässig benutzten fahrzeuges
DE102017214661A1 (de) Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
DE102018200820A1 (de) Steuerungssystem für ein Kraftfahrzeug, Verfahren zum Betreiben des Steuerungssystems sowie Kraftfahrzeug mit einem derartigen Steuerungssystem
EP3230131A1 (de) Verfahren zur steuerung des betriebs wenigstens einer funktionskomponente eines kraftfahrzeugs und kraftfahrzeug
WO2018007049A1 (de) Verfahren zur sicheren authentifizierung von steuervorrichtungen in einem kraftfahrzeug
DE102016204999A1 (de) Verfahren zur Überwachung der Sicherheit von Kommunikationsverbindungen eines Fahrzeugs
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
EP3871393B1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
EP4062591A2 (de) Verfahren zur überwachung der kommunikation auf einem kommunikationsbus, elektronische vorrichtung zum anschluss an einen kommunikationsbus, sowie zentrale überwachungsvorrichtung zum anschluss an einen kommunikationsbus
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
DE112014003345T5 (de) Datenausschlussvorrichtung
DE102013200528A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102013108006B4 (de) Kommunikationsanordnung
DE102016221378A1 (de) Verfahren zum Übertragen von Daten
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung