DE102018218902A1 - Sicherheitseinrichtung für Bussysteme in Fahrzeugen - Google Patents

Sicherheitseinrichtung für Bussysteme in Fahrzeugen Download PDF

Info

Publication number
DE102018218902A1
DE102018218902A1 DE102018218902.1A DE102018218902A DE102018218902A1 DE 102018218902 A1 DE102018218902 A1 DE 102018218902A1 DE 102018218902 A DE102018218902 A DE 102018218902A DE 102018218902 A1 DE102018218902 A1 DE 102018218902A1
Authority
DE
Germany
Prior art keywords
signal
safety device
manipulated
vehicle
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102018218902.1A
Other languages
English (en)
Other versions
DE102018218902B4 (de
Inventor
Stefan Traub
Mauro Cesar Zanella
Joao Curti
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102018218902.1A priority Critical patent/DE102018218902B4/de
Priority to US17/290,782 priority patent/US20220004629A1/en
Priority to CN201980073110.1A priority patent/CN112997465B/zh
Priority to PCT/EP2019/077037 priority patent/WO2020094312A1/de
Publication of DE102018218902A1 publication Critical patent/DE102018218902A1/de
Application granted granted Critical
Publication of DE102018218902B4 publication Critical patent/DE102018218902B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/36Handling requests for interconnection or transfer for access to common bus or bus system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Biophysics (AREA)
  • Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Biomedical Technology (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Small-Scale Networks (AREA)
  • Traffic Control Systems (AREA)

Abstract

Es wird eine Sicherheitseinrichtung (100; 200) zur Erkennung von Manipulationen auf einem Bussystem (101) eines Fahrzeugs sowie ein zugehöriges Fahrzeug und ein zugehöriges Verfahren offenbart. Eine Sicherheitseinrichtung umfasst eine Empfangseinheit (203) zur Verbindung mit dem Bussystem (101) des Fahrzeugs und zum Empfangen eines Signals vom Bussystem (101). Ferner umfasst die Einrichtung eine Analyseeinheit (204) zur Analyse eines Übergangs zwischen Signalzuständen des Signals und eine Bewertungseinheit (205) zur Bewertung des Signals als manipuliertes Signal oder nicht manipuliertes Signal basierend auf der Analyse der Analyseeinheit.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine Sicherheitseinrichtung zur Erkennung von Manipulationen, insbesondere zur Erkennung von manipulierten Signalen, auf einem Bussystem, wie beispielsweise einem CAN-Bus eines Fahrzeugs.
  • Stand der Technik
  • Bussysteme werden in modernen Fahrzeugen zunehmend für sicherheitskritische Nachrichten und deren Übertragung verwendet, wie zum Beispiel das Steuern der Räder, Funktionalitäten von Fahrerassistenzsystemen, das Ver- und Entriegeln des Fahrzeugs oder das Aktivieren und Deaktivieren einer Alarmanlage.
  • Somit stellen die Bussysteme zunehmend ein Sicherheitsrisiko dar. Beispielsweise können Angriffe auf das Fahrzeug in Form von Man-In-The-Middle Attacken ausgeführt werden, bei welchen replizierte Nachrichten auf dem Bus übertragen werden, um Funktionen des Fahrzeugs anzusteuern, beispielsweise die Türen des Fahrzeugs zu entriegeln. Hierzu könnten beispielsweise Nachrichten über das Druckmesssystem der Reifen von extern eingeschleust werden.
  • Um derartige Angriffe zu verhindern, wurde beispielsweise die Verwendung von Verschlüsselungen vorgeschlagen, was jedoch die Länge der Nutzdatenfelder der einzelnen Pakete stark reduzieren würde.
  • Die US 2016/ 0188876 A1 schlägt ferner die Analyse der Nachrichtendichte auf dem CAN-Bus zur Erkennung von Angriffen vor.
  • Ein derartiges Verfahren ist jedoch nur bedingt zur Erkennung von asynchronen Nachrichten und deren Replikation anwendbar.
  • Die EP 3291119 A1 schlägt wiederum ein System vor, welches das Ausführen von manipulierter Software auf einem Steuergerät (ECU, Electronic Control Unit) verhindert.
  • Zusammenfassung der Erfindung
  • Die Erfindung stellt daher eine Lösung bereit, die es ermöglicht, manipulierte Signale auf einem Bussystem eines Fahrzeugs zu erkennen.
  • Eine Sicherheitseinrichtung zur Erkennung von Manipulation, bzw. zur Erkennung von manipulierten Signalen, auf einem Bussystem eines Fahrzeugs umfasst hierbei eine Empfangseinheit, eine Analyseeinheit und eine Bewertungseinheit.
  • Die Sicherheitseinrichtung kann hierbei insbesondere in Form eines Steuergeräts, wie beispielsweise einer ECU mit zusätzlichen Sicherheitsfunktionalitäten (Sicherheits-ECU) ausgebildet sein.
  • Die Empfangseinheit der Sicherheitseinrichtung ist hierbei zur Verbindung mit dem Bussystem des Fahrzeugs und zum Empfangen eines Signals vom Bussystem ausgebildet.
  • Die Sicherheitseinrichtung wird somit, wie die anderen Steuergeräte (ECUs) des Fahrzeugs, mit dem Bussystem (Fahrzeugbus), wie beispielsweise mit dem CAN-Bus, des Fahrzeugs verbunden. Die Sicherheitseinrichtung empfängt somit die Nachrichten, welche zwischen den Steuergeräten und gegebenenfalls sonstigen mit dem Bus verbundenen Geräten ausgetauscht werden. Anders ausgedrückt, die Sicherheitseinrichtung überwacht die auf dem Bus übertragenen Signale beziehungsweise Pakete und greift diese am Bus ab.
  • Die Signale, welche durch die Empfangseinheit empfangen werden, werden sodann an die Analyseeinheit weitergegeben. Die Analyseeinheit ist zur Analyse von Übergang zwischen Signalzuständen des Signals ausgebildet.
  • Mit anderen Worten analysiert die Analyseeinheit den Übergang zwischen Signalzuständen beziehungsweise zwischen logischen Niveaus eines Signals. Die Analyseeinheit analysiert somit die Eigenschaften der Flanke beziehungsweise des Signalverlaufs zwischen logischen Niveaus, das heißt sie analysiert die Eigenschaften von steigenden oder fallenden Flanken, insbesondere zwischen den Signalzuständen high und low eines digitalen Signals.
  • Das Ergebnis dieser Analyse wird an die Bewertungseinheit ausgegeben. Die Bewertungseinheit ist eingerichtet zur Bewertung des Signals als manipuliertes Signal oder nicht manipuliertes Signal basierend auf der Analyse der Analyseeinheit.
  • Somit bewertet die Bewertungseinheit das Signal als manipuliertes Signal, das heißt zum Beispiel ein Signal, welches von einer Man-In-The-Middle Attacke herrührt, oder authentisches, nicht manipuliertes, Signal basierend auf der Analyse des Übergangs zwischen den Signalzuständen, beziehungsweise den logischen Niveaus, eines digitalen Signals.
  • Da die Eigenschaften, beziehungsweise der Signalverlauf, eines Übergangs zwischen den logischen Niveaus von diversen Faktoren abhängt, kann das Signal eines Steuergeräts in diesen Eigenschaften des Übergangs zwischen Signalzuständen nicht vollständig repliziert werden, was eine Erkennung eines manipulierten Signals erlaubt.
  • Insbesondere sind die Eigenschaften des Übergangs zwischen den Signalzuständen (beziehungsweise Signalniveaus) von physikalischen Eigenschaften wie den Ausgangsimpedanzen oder der Position der sendenden Einheit am Bus abhängig. Außerdem verändern sich die Flanken sobald ein zusätzliches Gerät an den Fahrzeugbus angeschlossen wird, da sich beispielsweise die Impedanzen und Widerstände am Fahrzeugbus ändern. Somit ist es möglich, manipulierte Signale anhand der Übergänge zwischen den Signalniveaus zu erkennen.
  • Hierfür kann die Bewertungseinheit beispielsweise ein Vergleich eines Parameters des Übergangs des Signals mit einem Toleranzbereich für diesen Parameter ausführen.
  • Das heißt, es kann ein Vergleich des Analyseergebnisses mit einem Referenzwert und einem darumliegenden Toleranzbereich für den jeweiligen Parameter ausgeführt werden.
  • Derartige Parameter können insbesondere der Signalverlauf zwischen den Signalzuständen selbst, die Flankensteilheit, die Übergangsdauer zwischen den Signalniveaus, die Anstiegszeit beziehungsweise die Abfallzeit, sowie ein Über- beziehungsweise Unterschwingen im Verlauf des Übergangs zwischen den Signalniveaus sein.
  • Für jeden dieser Parameter kann ein Toleranzbereich, d.h. ein Referenzwert (oder Referenzverlauf) und ein darumliegender akzeptabler Bereich, definiert werden und ein Vergleich dieser Eigenschaft, beziehungsweise dieses Parameters, des gemessenen Signals mit diesem Toleranzbereich stattfinden.
  • Das heißt es kann bspw. eine zeitliche Angabe für eine Übergangsdauer gespeichert werden, aber auch ein konkreter Signalverlauf des Übergangs zwischen den Signalzuständen.
  • Um eine Analyse des Signals zu vermöglichen, kann dieses zunächst mithilfe von einem Analog-Digital-Wandler in ein Digitalsignal umgesetzt werden, welches an die Analyseeinheit ausgegeben wird. Hierfür kann beispielsweise ein FPGA-Board eingesetzt werden, welches eine hohe Abtastung auf dem Bus ermöglicht. Derartige Analog-Digital-Wandler sind in der Lage, mit Abtastraten von 500 MS/s abzutasten. Da bspw. der CAN-Bus mit maximal 1 Mb/s arbeitet, kann eine hohe Zahl von Abtastwerten zur Bestimmung der Signalcharakteristik erhalten werden. Derartige Analog-Digital-Wandler, wie beispielsweise der ADS 5474 erlauben es ferner mit einer Auflösung von 16 bit abzutasten, was eine genaue Analyse des Signalverlaufs ermöglicht.
  • Der FPGA kann hierbei auch zur Implementierung der weiteren Funktionen der anderen Einheiten verwendet werden.
  • Anstelle eines FPGAs können auch andere Elemente zur Ausbildung verwendet werden, wie beispielsweise Digitalsignalprozessoren, DSP, oder anwendungsspezifische integrierte Schaltungen, ASIC.
  • Da, wie oben beschrieben, der Übergang bzw. die Flanken beispielsweise auch von der Lage des sendenden Steuergeräts an dem CAN abhängt, kann es vorgesehen sein, die Bewertung des Signals als manipuliertes Signal oder nicht manipuliertes Signal auch basierend auf der Quelle des Signals und eines in Abhängigkeit der Quelle definierten Toleranzbereichs (für einen jeweiligen Parameter) auszuführen.
  • Das heißt, es kann für jedes sendende Steuergerät (für jede Quelle) und die jeweiligen Parameter Toleranzbereiche vorgesehen, da die Flanken der Signale in Abhängigkeit des sendenden Steuergeräts unterschiedlich ausgebildet sein können.
  • Folglich kann vorgesehen sein, dass die Bewertungseinheit eine Bestimmung der (angeblichen) Datenquelle anhand des Signalinhalts ausführt.
  • Auch können sich die Übergänge auch durch Umgebungseinflüsse oder andere externe Faktoren ändern, die ebenfalls mit einbezogen werden können.
  • Entsprechend kann die Bewertung des Signals als manipuliertes Signal oder nicht manipuliertes Signal basierend auf Umgebungseinflüssen und eines in Abhängigkeit der Umgebungseinflüssen definierten Toleranzbereichs (für den jeweiligen Parameter) durchgeführt werden.
  • Ferner kann vorgesehen sein, die Bewertungseinheit mit einem neuronalen Netz zur Bewertung des Signals als manipuliertes Signal oder nicht manipuliertes Signal zu versehen.
  • Da, wie oben beschrieben, die Parameter des Signalübergangs beziehungsweise die Eigenschaften der Flanken von vielen Faktoren abhängig sind, kann es schwierig sein, allgemeine Toleranzbereiche für die jeweiligen Parameter beziehungsweise für den Signalverlauf selbst zu definieren. Mithilfe eines neuronalen Netzes, kann das System auf die nicht manipulierten Signale trainiert werden.
  • Hier kann beispielsweise vorgesehen sein, dass das neuronale Netzwerk basierend auf durch die Empfangseinheit empfangenen Signalen nach dem Einbau der Sicherheitseinrichtung in ein Fahrzeug trainiert wird. Das heißt, das neuronale Netzwerk kann anhand der dann auf dem Bus übertragenen Nachrichten, welche als nicht manipulierte Nachrichten definiert werden, die Toleranzbereiche der jeweiligen Parameter beziehungsweise den Toleranzbereich für den Signalverlauf selbst für die jeweiligen sendenden Steuereinrichtungen und gegebenenfalls auch für die jeweiligen Umgebungseinflüsse erlernen.
  • Das heißt, die Sicherheitseinrichtung lernt für das jeweilige Fahrzeug mit den jeweiligen dort verbundenen Komponenten mithilfe eines Trainings nach dem Einbau der Sicherheitseinrichtung in das Fahrzeug die akzeptablen Grenzbereiche für nicht manipulierte Signale, beziehungsweise deren Parameter oder Signalverläufe.
  • Dies ermöglicht eine weitere Verbesserung der Erkennung der manipulierten Signale, da die Toleranzbereiche nicht derart breit gewählt werden müssen, dass diese für jegliche Fahrzeuge beziehungsweise für alle Fahrzeuge eines Fahrzeugtyps anwendbar sind.
  • Entsprechend kann vorgesehen sein, das neuronale Netzwerk mit mehreren Trainingsdatensätzen für unterschiedliche Umgebungseinflüsse und/oder unterschiedliche Signale unterschiedlicher Steuergeräte zu trainieren, beziehungsweise ein derartig trainiertes neuronales Netz in der Sicherheitseinrichtung vorzusehen.
  • Um zu verhindern, dass die manipulierten Signale Funktionen des Fahrzeugs ansteuern kann ferne eine Ausführungsverhinderungseinheit vorgesehen sein.
  • Diese Ausführungsverhinderungseinheit kann ausgebildet sein zur Verhinderung der Ausführung der durch das Signal beabsichtigten Steuerung, wenn die Bewertungseinheit das Signal als manipuliertes Signal bewertet. Anders ausgedrückt kann die Ausführungsverhinderungseinheit derart ausgebildet sein, dass die Funktion, welche das Signal auslösen soll, nicht ausgeführt wird.
  • Hierzu kann beispielsweise vorgesehen sein, dass die Ausführungsverhinderungseinheit mindestens ein Steuergerät (oder auch mehrere oder alle Steuergeräte) des Fahrzeugs deaktiviert, sodass eine weitere Manipulation dieser Steuergeräte nicht möglich ist. Dies kann beispielsweise durch ein Senden eines entsprechenden Signals an die jeweiligen anderen Steuergeräte ausgeführt werden.
  • Ein zugehöriges Fahrzeug umfasst das oben genannte Bussystem sowie die oben genannte Sicherheitseinrichtung. Die Sicherheitseinrichtung ist hierbei mit dem Bussystem verbunden. Mit dem Bussystem können ferner weitere Steuergeräte (ECUs) oder auch Fahrzeugsteuergeräte (Vehicle Control Units, VCUs) oder Domain-ECUs verbunden sein.
  • Ein zugehöriges Verfahren zur Erkennung von Manipulation auf einem Bussystem eines Fahrzeugs umfasst in entsprechender Weise die Schritte des Empfangens eines Signals vom Bussystem eines Fahrzeugs, des Analysierens des Übergangs zwischen Signalzuständen des Signals, sowie des Bewertens des Signals als manipuliertes Signal oder nicht manipuliertes Signal basierend auf dem Ergebnis des Analyseschritts.
  • Figurenliste
    • 1 zeigt ein Bussystem mit Steuergeräten und der Sicherheitseinreichung.
    • 2 zeigt eine Sicherheitseinrichtung und deren Komponenten.
    • 3 zeigt Signalverläufe mit steigenden und fallenden Flanken.
    • 4 zeigt verschiedene Signalverläufe steigender und fallender Flanken.
    • 5 zeigt einen Signalverlauf mit zugehörigen Toleranzbereichen.
    • 6 zeigt ein Flussdiagramm eines zugehörigen Verfahrens.
  • Detaillierte Beschreibung der Ausführungsformen
  • Die 1 zeigt ein Bussystem eines Fahrzeuges (Fahrzeugbus), wie beispielsweise ein CAN-Bus, mit den zugehörigen Steuergeräten und der Sicherheitseinrichtung. Die Steuergeräte 102a, und andere Einrichtungen wie beispielsweise die Domain ECU 102b oder die Fahrzeugsteuereinrichtung, VCU, 102c sind jeweils mit dem Bus 101 verbunden. Die Sicherheitseinrichtung 100 ist in entsprechender Weise, wie die anderen Steuergeräte 102, mit dem Bus 101 verbunden. Die Sicherheitseinrichtung 100 kann somit die auf den Bus 101 übertragenen Signale überwachen beziehungsweise abgreifen und der Analyse auf manipulierte Signale unterziehen.
  • Eine Struktur einer derartigen Sicherheitseinrichtung ist in 2 gezeigt. Die Sicherheitseinrichtung 200 umfasst die Empfangseinheit 203, welche die Daten von dem Bussystem, beziehungsweise dem Fahrzeugbus, empfängt (dargestellt durch den Pfeil auf der linken Seite der Einheit 203). Die Empfangseinheit gibt das Signal sodann an die Analyseeinheit 204 aus, welche den Übergang zwischen den Signalzuständen des Signals analysiert. Das Analyseergebnis wird sodann an die Bewertungseinheit 205 ausgegeben, welche die Bewertung des Signals als manipuliertes Signal oder nicht manipuliertes Signal basierend auf der Analyse der Analyseeinheit 204 durchführt.
  • Die Eigenschaften eines Übergangs zwischen Signalzuständen beziehungsweise Signalniveaus, wie high und low, eines digitalen Signals, sollen nun mit Bezug auf die nachfolgenden 3 und 4 beschrieben werden.
  • In 3 ist ein Signalübergang auf ein niedriges Signalniveau, das heißt auf low, sowie ein Signalübergang auf ein hohes Signalniveau, das heißt auf high, eines digitalen Signals in dem gestrichelten Bereich dargestellt. Dieser Signalübergang, das heißt der Signalverlauf einer steigenden oder einer fallenden Flanke, wird zur Analyse auf manipulierte Signale herangezogen.
  • In 4 ist eine vereinfachte Darstellung einer steigenden Flanke gezeigt.
  • Wie der 4 zu entnehmen, ist die Übergangsdauer, das heißt die Anstiegszeit im Falle der 4a deutlich geringer als im Falle der 4b. Wie zu entnehmen, ist das Signal im Falle der 4a bereits zum Zeitpunkt t1 auf dem hohen Niveau, im Falle der 4b jedoch erst zum Zeitpunkt t2.
  • Ist ein Steuergerät weiter von der messenden Sicherheitseinrichtung entfernt, so ist anzunehmen, dass die Flanke eine längere Anstiegszeit beziehungsweise eine längere Übergangsdauer aufweist, als wenn das Steuergerät sehr nah an der Sicherheitseinrichtung gelegen ist. Auch kann sich, wie bereits beschrieben, die Flanke durch das Anschließen weiterer oder andere Geräte an den Bus ändern. Ist somit bekannt, dass aufgrund des Abstands der Steuereinheit von der Sicherheitseinrichtung und aufgrund der sonstigen Eigenschaften am Bus ein Signal einer Steuereinheit im Üblichen die in 4b bekannte Flanke aufweist, d.h. zum Beispiel als Parameter die Übergangszeit t2 - t0 aufweist, so kann ein empfangenes Signal in Form des in 4a gezeigten Signals mit einer kürzeren Übergangszeit t1 - t0 als manipuliertes Signal identifiziert werden.
  • In 5 ist ein Signalverlauf für ein nicht manipuliertes Signal eines Steuergeräts 508 sowie ein Toleranzbereich in Form der gestrichelten Linien 507a und 507b gezeigt. Ergibt sich bei der Analyse ein Signalverlauf eines Übergangs, welcher in diesen Toleranzbereich zwischen den Linien 507a und 507b fällt, so wird dieses Signal als authentisches beziehungsweise nicht manipuliertes Signal klassifiziert bzw. bewertet. Wird jedoch beispielsweise ein Signal wie das Signal 506a oder 506b empfangen, welches außerhalb des Toleranzbereichs liegt, so wird die Bewertungseinheit das Signal aufgrund der Analyse als manipuliertes Signal erkennen und entsprechend klassifizieren/bewerten.
  • Der gezeigte Toleranzbereich zwischen der Linie 507a und 507b kann, wie oben beschrieben, mithilfe eines Trainings für jedes sendende Steuergerät (d.h. jede Quelle) definiert werden.
  • 6 zeigt die Verfahrensschritte des zugehörigen Verfahrens zur Erkennung von Manipulationen auf einem Bussystem eines Fahrzeugs.
  • Zunächst wird in Schritt S1 ein Signal vom Bussystem eines Fahrzeugs empfangen.
  • In Schritt S2 wird sodann der Übergang zwischen Signalzuständen des Signals analysiert.
  • Nachfolgend wird in Schritt S3 das Signal als manipuliertes Signal oder nicht manipuliertes Signal basierend auf dem Ergebnis des Analyseschritts bewertet.
  • Die oben definierten Einheiten können auch in Form von Software ausgebildet sein. Auch kann die Empfangseinheit, die Analyseeinheit und die Bewertungseinheit beispielsweise gemeinsam in einer Einheit, wie einem FPGA, ausgebildet sein. Einer strukturellen Trennung zwischen den Einheiten bedarf es hierbei nicht. Die Einheiten können jedoch selbstverständlich auch in Form von getrennten Elementen ausgebildet sein.
  • Bezugszeichenliste
    • 100, 200
    Sicherheitseinrichtung
    102a
    Steuergeräte
    102b
    Domain ECU
    102c
    Fahrzeugsteuergeräte, VCU
    203
    Empfangseinheit
    204
    Analyseeinheit
    205
    Bewertungseinheit
    506a, 506b
    manipuliertes Signal
    507a, 507b
    Grenzen des Toleranzbereichs
    508
    nicht manipuliertes Signal
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 3291119 A1 [0007]

Claims (13)

  1. Sicherheitseinrichtung (100; 200) zur Erkennung von Manipulationen auf einem Bussystem (101) eines Fahrzeugs, umfassend: - eine Empfangseinheit (203) zur Verbindung mit dem Bussystem (101) des Fahrzeugs und zum Empfangen eines Signals vom Bussystem (101); - eine Analyseeinheit (204) zur Analyse eines Übergangs zwischen Signalzuständen des Signals; - eine Bewertungseinheit (205) zur Bewertung des Signals als manipuliertes Signal oder nicht-manipuliertes Signal basierend auf der Analyse der Analyseeinheit.
  2. Sicherheitseinrichtung (100; 200) nach Anspruch 1, wobei - die Bewertungseinheit (205) einen Vergleich mindestens eines Parameters des Übergangs des Signals mit einem vordefinierten Toleranzbereich ausführt.
  3. Sicherheitseinrichtung (100; 200) nach eine der vorrangegangenen Ansprüche, wobei - die Analyseeinheit (204) mindestens einen der folgenden Parameter des Signals analysiert: - Signalverlauf zwischen den Signalzuständen; - Flankensteilheit; - Übergangsdauer; - Anstiegszeit; - Abfallzeit; - Überschwingen; und/oder - Unterschwingen.
  4. Sicherheitseinrichtung (100; 200) nach eine der vorrangegangenen Ansprüche, ferner umfassend: - einen Analog-Digital-Wandler zum Umsetzen des Signals in ein Digitalsignal und zur Ausgabe des Digitalsignals an die Analyseeinheit.
  5. Sicherheitseinrichtung (100; 200) nach eine der vorrangegangenen Ansprüche, wobei - die Bewertungseinheit (205) die Bewertung des Signals als manipuliertes Signal oder nicht-manipuliertes Signal basierend auf der Quelle des Signals und eines in Abhängigkeit der Quelle definierten Toleranzbereichs durchführt.
  6. Sicherheitseinrichtung (100; 200) nach eine der vorrangegangenen Ansprüche, wobei - die Bewertungseinheit (205) die Bewertung des Signals als manipuliertes Signal oder nicht-manipuliertes Signal basierend auf Umgebungseinflüssen und eines in Abhängigkeit der Umgebungseinflüsse definierten Toleranzbereichs durchführt.
  7. Sicherheitseinrichtung (100; 200) nach eine der vorrangegangenen Ansprüche, wobei - die Bewertungseinheit (205) ein neuronales Netz zur Bewertung des Signals als manipuliertes Signal oder nicht-manipuliertes Signal umfasst.
  8. Sicherheitseinrichtung (100; 200) nach Anspruch 7, wobei - das neuronale Netzwerk basierend auf durch die Empfangseinheit nach dem Einbau der Sicherheitseinrichtung (100; 200) in ein Fahrzeug empfangenen Signalen für das jeweilige Fahrzeug trainiert wird.
  9. Sicherheitseinrichtung (100; 200) nach Anspruch 8, wobei - das neuronale Netz mit mehreren Trainingsdatensätzen für unterschiedliche Umgebungseinflüsse und/oder unterschiedliche Signale unterschiedlicher Steuergeräte (102) trainiert wird.
  10. Sicherheitseinrichtung (100; 200) nach eine der vorrangegangenen Ansprüche, ferner umfassend: - eine Ausführungsverhinderungseinheit zur Verhinderung der Ausführung der durch das Signal beabsichtigen Steuerung, wenn die Bewertungseinheit (205) das Signals als manipuliertes Signal bewertet.
  11. Sicherheitseinrichtung (100; 200) nach Anspruch 10, wobei - die Ausführungsverhinderungseinheit mindestens ein weiteres Steuergerät (102) des Fahrzeugs zur Verhinderung der Ausführung des durch das Signal beabsichtige Steuerung deaktiviert.
  12. Fahrzeug, umfassend: - ein Bussystem (101); - eine Sicherheitseinrichtung (100; 200) nach einem der vorrangegangen Ansprüche, wobei - die Sicherheitseinrichtung (100; 200) mit dem Bussystem (101) verbunden ist.
  13. Verfahren zur Erkennung von Manipulationen auf einem Bussystem eines Fahrzeugs, die Schritte umfassend: - Empfangen (S1) eines Signals vom Bussystem eines Fahrzeugs; - Analysieren (S2) eines Übergangs zwischen Signalzuständen des Signals; - Bewerten (S3) des Signals als manipuliertes Signal oder nicht-manipuliertes Signal basierend auf dem Ergebnis des Analyse-Schritts.
DE102018218902.1A 2018-11-06 2018-11-06 Sicherheitseinrichtung für Bussysteme in Fahrzeugen Active DE102018218902B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102018218902.1A DE102018218902B4 (de) 2018-11-06 2018-11-06 Sicherheitseinrichtung für Bussysteme in Fahrzeugen
US17/290,782 US20220004629A1 (en) 2018-11-06 2019-10-07 Apparatuses and methods for detecting manipulation on a bus system of a vehicle
CN201980073110.1A CN112997465B (zh) 2018-11-06 2019-10-07 用于识别车辆的总线***上的篡改的设备和方法
PCT/EP2019/077037 WO2020094312A1 (de) 2018-11-06 2019-10-07 Vorrichtungen und verfahren zur erkennung von manipulationen auf einem bussystem eines fahrzeugs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018218902.1A DE102018218902B4 (de) 2018-11-06 2018-11-06 Sicherheitseinrichtung für Bussysteme in Fahrzeugen

Publications (2)

Publication Number Publication Date
DE102018218902A1 true DE102018218902A1 (de) 2020-05-07
DE102018218902B4 DE102018218902B4 (de) 2020-06-18

Family

ID=68172209

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018218902.1A Active DE102018218902B4 (de) 2018-11-06 2018-11-06 Sicherheitseinrichtung für Bussysteme in Fahrzeugen

Country Status (4)

Country Link
US (1) US20220004629A1 (de)
CN (1) CN112997465B (de)
DE (1) DE102018218902B4 (de)
WO (1) WO2020094312A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021112328A1 (de) 2021-05-11 2022-11-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Erkennen einer Manipulation einer Nachricht eines Bussystems eines Fahrzeugs durch ein Steuergerät eines Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE102021112330A1 (de) 2021-05-11 2022-11-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Erkennen einer Manipulation eines analogen Signals durch ein Steuergerät eines Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE102021112331A1 (de) 2021-05-11 2022-11-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE102021113013A1 (de) 2021-05-19 2022-11-24 B-Horizon GmbH Fahrzeugdatenkommunikationssystem zur Übermittlung von Fahrzeugdaten

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220156367A1 (en) * 2019-04-11 2022-05-19 Saferide Technologies Ltd. System and method for detection of anomalous controller area network (can) messages

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080043629A1 (en) * 2006-07-07 2008-02-21 Ofer Hofman System and method for detecting and locating faults in electronic communication bus systems
DE102013216942A1 (de) * 2012-08-27 2014-02-27 Gm Global Technology Operations, Llc Verfahren und System zum aktiven Lokalisieren von Busfehlern
EP3291119A1 (de) 2016-08-31 2018-03-07 Bayerische Motoren Werke Aktiengesellschaft Automotives überwachungs- und sicherheitssystem

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140266654A1 (en) * 2013-03-15 2014-09-18 Par-Tech, Inc. Anti-tampering system for vehicular component
WO2016108961A1 (en) 2014-12-30 2016-07-07 Battelle Memorial Institute Anomaly detection for vehicular networks for intrusion and malfunction detection
KR20180029961A (ko) * 2015-07-10 2018-03-21 시탈 테크놀로지 앤드 하드웨어 엔지니어링 (1997) 리미티드 장치 인증 시스템
CN105843206A (zh) * 2016-01-07 2016-08-10 乐卡汽车智能科技(北京)有限公司 车辆总线安全监控方法、装置和***
JP6783578B2 (ja) * 2016-08-04 2020-11-11 株式会社Subaru 車両制御システム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080043629A1 (en) * 2006-07-07 2008-02-21 Ofer Hofman System and method for detecting and locating faults in electronic communication bus systems
DE102013216942A1 (de) * 2012-08-27 2014-02-27 Gm Global Technology Operations, Llc Verfahren und System zum aktiven Lokalisieren von Busfehlern
EP3291119A1 (de) 2016-08-31 2018-03-07 Bayerische Motoren Werke Aktiengesellschaft Automotives überwachungs- und sicherheitssystem

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021112328A1 (de) 2021-05-11 2022-11-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Erkennen einer Manipulation einer Nachricht eines Bussystems eines Fahrzeugs durch ein Steuergerät eines Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE102021112330A1 (de) 2021-05-11 2022-11-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Erkennen einer Manipulation eines analogen Signals durch ein Steuergerät eines Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE102021112331A1 (de) 2021-05-11 2022-11-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
DE102021113013A1 (de) 2021-05-19 2022-11-24 B-Horizon GmbH Fahrzeugdatenkommunikationssystem zur Übermittlung von Fahrzeugdaten

Also Published As

Publication number Publication date
CN112997465A (zh) 2021-06-18
CN112997465B (zh) 2024-01-02
US20220004629A1 (en) 2022-01-06
DE102018218902B4 (de) 2020-06-18
WO2020094312A1 (de) 2020-05-14

Similar Documents

Publication Publication Date Title
DE102018218902B4 (de) Sicherheitseinrichtung für Bussysteme in Fahrzeugen
EP1976727A1 (de) Vorrichtung und verfahren zur detektion eines fussgängeraufpralls
EP3871933B1 (de) Testeinrichtung und testverfahren für ein elektro-pneumatisches bremssystem von zügen
DE102017200826A1 (de) Verfahren zum Betreiben einer Überwachungsvorrichtung eines Datennetzwerks eines Kraftfahrzeugs sowie Überwachungsvorrichtung, Steuergerät und Kraftfahrzeug
EP2613462B1 (de) Verfahren zur Überwachung eines Transmitters und entsprechender Transmitter
EP3792150B1 (de) Erkennung von hands-off-situationen auf basis von schwarmdaten
DE102005014782A1 (de) Verfahren und Vorrichtung zum Übertragen von Daten auf einer Datenleitung zwischen einem Steuergerät und einem dezentralen Datenverarbeitungsgerät
DE102010033213B4 (de) Verfahren zur Auswertung von Signalen eines Ultraschallsensors und Vorrichtung zur Umfelderfassung
DE102008052370A1 (de) Verfahren zur Signalerfassung mit Hilfe einer Erfassungsvorrichtung sowie entsprechende Signal-Erfassungsvorrichtung und entsprechendes Fahrzeug
EP3947100B1 (de) Verfahren und einrichtung zum erzeugen eines statussignals
DE102012016403A1 (de) Verfahren zur Parametrierung eines Feldgeräts und entsprechendes Feldgerät und System zur Parametrierung
EP3073463B1 (de) Fahrzeug-detektionsvorrichtung
DE102017113478A1 (de) Verfahren zum Betreiben einer Steuerungseinrichtung für den Betrieb mit einer redundanten Sensorvorrichtung in einem Kraftfahrzeug
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
DE102019216017A1 (de) Verfahren und Vorrichtung zur Verarbeitung einer Doppler-Range-Matrix und Radarsystem
EP3404430B1 (de) Verfahren zur überwachung eines betriebs einer binären schnittstelle und entsprechende binäre schnittstelle
DE102018130914A1 (de) Verfahren zum Betreiben einer Ultraschallsensorvorrichtung mit einem Auswerten eines ersten Ultraschallsignals und eines zweiten Ultraschallsignals sowie Ultraschallsensorvorrichtung
WO2023020853A1 (de) Trainingsverfahren zum trainieren eines künstlichen maschinellen lernsystems zur erkennung von fehlfunktionen und fahrzeugvorrichtung
EP4186775A1 (de) Verfahren und vorrichtung zum erkennen von eigenschaften eines fahrzeugs
DE102020214946A1 (de) Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
DE102020107777A1 (de) Ortung von akustischen signalen
WO2021089591A1 (de) Verfahren zum trainieren eines künstlichen neuronalen netzes, computerprogramm, speichermedium, vorrichtung, künstliches neuronales netz und anwendung des künstlichen neuronalen netzes
DE102019113206A1 (de) Verfahren und Steuergerät zur Diagnose einer Komponente eines Fahrzeugs
DE102019212414A1 (de) Verfahren zur Positionserkennung eines Busteilnehmers
EP2442112A2 (de) Verfahren und Vorrichtung zur Bewertung der Fahrweise eines Fahrzeugführers von Kraftfahrzeugen, insbesondere Nutzfahrzeugen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000