-
VERWEIS AUF DIE ZUGEHÖRIGE ANMELDUNGEN
-
Die vorliegende Patentanmeldung beansprucht die Priorität der am 21. Februar 2019 eingereichten
koreanischen Patentanmeldung No. 10-2019-0020568 , deren gesamter Inhalt hierin mit einbezogen ist.
-
TECHNISCHES GEBIET
-
Die vorliegende Offenbarung betrifft in einigen Ausführungsformen ein Verfahren und ein System zum Bereitstellen von Sicherheit in einem fahrzeuginternen Netzwerk.
-
HINTERGRUND
-
Die Ausführungen in diesem Abschnitt stellen lediglich Hintergrundinformationen bezüglich der vorliegenden Offenbarung bereit und stellen nicht zwangsläufig Stand der Technik dar.
-
Eine neue Generation von luxuriöseren Fahrzeugen legt einen Schwerpunkt auf elektronische Steuergeräte (ECU) und Multimediageräte, die mit internen Geräten, externen Geräten oder Infrastrukturen von Automobilen kommunizieren, die sogar dem fahrzeuginternen Operator Netzwerkzugang bereitstellen können. Zum Beispiel sind Fahrzeugsteuerungen weit verbreitet, die eine Zugangs-Authentifizierungs-Steuervorrichtung für einen Smartphone-basierten Fahrzeugzugangs- und Fahrzeugstartdienst (z.B. IAU), eine Reserve-Steuervorrichtung zum Speichern eines Wegstreckenzählerwertes zum Verhindern einer Kilometerstandmodifikation (z.B. ICU: integrierte Zentralsteuereinheit), eine elektrische Lade-Steuervorrichtung für einen PnC (Einstecken und Laden) Dienst (z.B. CCM: Ladegerät-Konverter-Modul), eine Steuervorrichtung, die als eine Fahrzeug-Kommunikations-Einheit und Gateway/Protokollumsetzer (GW) (z.B. CCU: Kommunikations-Steuereinheit) dient, und dergleichen aufweisen.
-
Allerdings wird das Fahrzeug, wenn es zu der drahtlosen Kommunikation und umgebenden Netzwerkumgebung verbunden ist, anfällig für externe Angriffe, die die elektronische Steuervorrichtung über das Netzwerk beeinflussen. Verschiedene Steuervorrichtungen stellen dem Fahrer durch Speichern wichtiger Informationen über das Laden und die Authentifizierung usw. (Kreditkartennummer, persönliche Informationen, Fahrzeuginformationen usw.) individuelle Dienste bereit, wobei solche Steuervorrichtungen gestohlen oder dupliziert werden können, was zu folgenden Konsequenzen führt: Falls eine elektrische Lade-Steuervorrichtung, die von einem Fahrzeug A gestohlen/geraubt wurde, mit einem Fahrzeug B verbunden wird, um eine elektrische Ladung mittels des Fahrzeug-Ladegerätes zu erhalten, könnte der Besitzer des Fahrzeuges A, nicht des Fahrzeuges B, ungerechtfertigt für das Tanken belastet werden/bezahlen müssen. Ferner führt das Verbinden einer von Fahrzeug A gestohlenen/geraubten Kilometerstand-Reserve-Steuervorrichtung mit Fahrzeug B zu einem manipulierten niedrigeren Kilometerstand von Fahrzeug B, wenn das Fahrzeug A einen niedrigeren Kilometerstand als Fahrzeug B hat.
-
Diese Probleme können zu Diebstahl des Fahrzeuges oder zu finanziellem Schaden des Besitzers und ferner zu schwerwiegenden Sicherheitsproblemen des Fahrers führen. Derzeit sind massengefertigte Fahrzeuge nicht bzw. nicht ausreichend mit zufriedenstellenden Schutzmaßnahmen ausgestattet.
-
ERLÄUTERUNG DER ERFINDUNG
-
Die vorliegende Offenbarung zielt darauf ab, in einigen Ausführungsformen ein Verfahren und ein System zum Bereitstellen von Sicherheit in einem fahrzeuginternen Netzwerk bereitzustellen, wobei, um durch Detektieren einer gestohlenen oder duplizierten Steuervorrichtung wichtige Informationen eines Fahrzeuges und eines Besitzers vor schädlichem Verhalten sicher zu schützen, eine erste Steuervorrichtung eingerichtet ist, um im Voraus die Integritätsinformationen der Hauptinformationen (wie beispielsweise Bootloader-Informationen und MAC-Informationen) von mindestens einer oder mehreren zweiten Steuervorrichtungen zu sammeln und zu speichern, um auf eine Verifizierungsanforderung, die von einem Backend-Server zum Abrufen/Erhalten von Integritätsinformationen von jeder der zweiten Steuervorrichtungen empfangen wurde, zu reagieren, und um die Integritätsinformationen mit den gespeicherten Integritätsinformationen zu vergleichen und dabei zu ermitteln, ob die zweite Steuervorrichtung gestohlen oder dupliziert ist oder nicht, um die Integrität der wichtigen Informationen der Steuervorrichtung sicherzustellen.
-
Zumindest ein Aspekt der vorliegenden Offenbarung stellt ein Verfahren, das von einer ersten Steuervorrichtung zum Bereitstellen von Sicherheit für mehrere zweite Steuervorrichtungen in einem fahrzeuginternen Netzwerk ausgeführt wird, bereit, aufweisend: Übermitteln einer inhärenten Informationsanforderung an eine verdächtige Steuervorrichtung der mehreren zweiten Steuervorrichtungen für inhärente Informationen der verdächtigen Steuervorrichtung, wobei die inhärente Informationsanforderung ein der ersten Steuervorrichtung zugeordnetes Zertifikat aufweist, und Empfangen von verschlüsselten inhärenten Informationen der verdächtigen Steuervorrichtung von der verdächtigen Steuervorrichtung, wobei die verschlüsselten inhärenten Informationen durch einen dem Zertifikat zugeordneten öffentlichen Schlüssel verschlüsselt wurden, und Verwenden eines dem Zertifikat zugeordneten privaten Schlüssels zum Erhalten von entschlüsselten inhärenten Informationen von den verschlüsselten inhärenten Informationen, und Vergleichen der entschlüsselten inhärenten Informationen mit vorgespeicherten inhärenten Informationen, und Ermitteln der verdächtigen Steuervorrichtung als anormale/abweichende/auffällige Steuervorrichtung, wenn die entschlüsselten inhärenten Informationen von den vorgespeicherten inhärenten Informationen verschieden sind.
-
Es ist ein anderer Aspekt der vorliegenden Offenbarung, eine Vorrichtung zum Bereitstellen von Sicherheit für mehrere zweite Steuervorrichtungen in einem fahrzeuginternen Netzwerk bereitzustellen, wobei die Vorrichtung aufweist: eine Anforderungs-Übermittlungs-Einheit, eine inhärente Informations-Empfangs-Einheit, eine inhärente Informations-Extraktions-Einheit, eine Speichereinheit, eine Vergleichseinheit, und eine Verifizierungseinheit. Die Anforderungs-Übermittlungs-Einheit ist eingerichtet, um eine inhärente Informationsanforderung an eine verdächtige Steuervorrichtung unter den mehreren zweiten Steuervorrichtungen zu übermitteln, wobei die inhärente Informationsanforderung ein der Vorrichtung zugeordnetes Zertifikat aufweist. Die inhärente Informations-Empfangs-Einheit ist eingerichtet, um verschlüsselte inhärente Informationen der verdächtigen Steuervorrichtung von der verdächtigen Steuervorrichtung zu empfangen, wobei die verschlüsselten inhärenten Informationen durch einen dem Zertifikat zugeordneten öffentlichen Schlüssel verschlüsselt wurden.
-
Die inhärente Informations-Extraktions-Einheit ist eingerichtet, um zum Erhalten von entschlüsselten inhärenten Informationen von den verschlüsselten inhärenten Informationen, die von der inhärenten Informations-Empfangs-Einheit empfangen wurden, einen dem Zertifikat zugeordneten privaten Schlüssel zu verwenden. Die Speichereinheit ist eingerichtet, um inhärente Informationen der zweiten Steuervorrichtungen in Verbindung mit den zweiten Steuervorrichtungen zu speichern. Die Vergleichseinheit ist eingerichtet, um die entschlüsselten inhärente Informationen, die von der inhärenten Informations-Extraktions-Einheit extrahiert wurden, mit den in der Speichereinheit gespeicherten inhärenten Informationen zu vergleichen. Die Verifizierungseinheit ist eingerichtet, um die verdächtige Steuervorrichtung als anormale/abweichende/auffällige Steuervorrichtung zu ermitteln, wenn die Vergleichseinheit folgert, dass die entschlüsselten inhärenten Informationen von den in der Speichereinheit gespeicherten inhärenten Informationen verschieden sind.
-
Noch ein anderer Aspekt der vorliegenden Offenbarung ist, ein System zum Bereitstellen von Sicherheit in einem fahrzeuginternen Netzwerk bereitzustellen, das System aufweisend: mehrere zweite Steuervorrichtungen, die mit einer externen Vorrichtung oder einer Infrastruktur zum Steuern eines Fahrzeuges verbunden sind, einen Backend-Server, der eingerichtet ist, um eine Verifizierung einer verdächtigen Steuervorrichtung unter den zweiten Steuervorrichtungen anzufordern, und eine erste Steuervorrichtung, die eingerichtet ist, um in Reaktion auf ein Empfangen einer Verifizierungsanforderung für die verdächtige Steuervorrichtung von dem Backend-Server, eine Verifizierung der verdächtigen Steuervorrichtung durchzuführen. Dabei weist die erste Steuervorrichtung auf: eine Anforderungs-Übermittlungs-Einheit, eine inhärente Informations-Empfangs-Einheit, eine inhärente Informations-Extraktions-Einheit, eine Speichereinheit, eine Vergleichseinheit, und eine Verifizierungseinheit. Die Anforderungs-Übermittlungs-Einheit ist eingerichtet, um eine inhärente Informationsanforderung an eine verdächtige Steuervorrichtung unter den mehreren zweiten Steuervorrichtungen zu übermitteln, wobei die inhärente Informationsanforderung ein der ersten Steuervorrichtung zugeordnetes Zertifikat aufweist.
-
Die inhärente Informations-Empfangs-Einheit ist eingerichtet, um verschlüsselte inhärente Informationen der verdächtigen Steuervorrichtung von der verdächtigen Steuervorrichtung zu empfangen, wobei die verschlüsselten inhärenten Informationen durch einen dem Zertifikat zugeordneten öffentlichen Schlüssel verschlüsselt wurden. Die inhärente Informations-Extraktions-Einheit ist eingerichtet, um zum Erhalten von entschlüsselten inhärenten Informationen von verschlüsselten inhärenten Informationen, die von der inhärenten Informations-Empfangs-Einheit empfangen wurden, einen dem Zertifikat zugeordneten privaten Schlüssel zu verwenden. Die Speichereinheit ist eingerichtet, um inhärente Informationen der zweiten Steuervorrichtungen in Verbindung mit den zweiten Steuervorrichtungen zu speichern. Die Vergleichseinheit ist eingerichtet, um entschlüsselte inhärente Informationen, die von der inhärenten Informations-Extraktions-Einheit extrahiert wurden, mit den in der Speichereinheit gespeicherten inhärenten Informationen zu vergleichen. Die Verifizierungseinheit ist eingerichtet, um die verdächtige Steuervorrichtung als anormale/abweichende Steuervorrichtung zu ermitteln, wenn die Vergleichseinheit folgert, dass die entschlüsselten inhärenten Informationen von den in der Speichereinheit gespeicherten inhärenten Informationen verschieden sind.
-
Wie oben beschrieben, sind das Verfahren und das System zum Bereitstellen von Sicherheit in einem fahrzeuginternen Netzwerk gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung imstande, Daten, die zum Bereitstellen eines individuellen Dienstes gespeichert und verwaltet werden, nicht nur vor einer Bedrohung durch Hacking sondern auch vor einem physikalischen Angriff, wie beispielsweise Diebstahl und eines Duplizierungsvorfalls, zu schützen. In Anbetracht der Schwierigkeit für eine spezifische normale/reguläre Steuervorrichtung, den Betrieb einer anormalen/abweichenden/auffälligen Steuervorrichtung direkt zu steuern, kann das Verwenden des Backend-Servers unter Berücksichtigung der verbundenen Auto-Umgebung („connected car environment“) schädliche/böswillige Verwendung der anormalen/abweichenden/auffälligen Steuervorrichtung verhindern, indem der Dienst der anormalen/abweichenden/auffälligen Steuervorrichtung eingeschränkt wird.
-
Figurenliste
-
- 1 ist ein Diagramm eines Systems zum Bereitstellen von Sicherheit in einem fahrzeuginternen Netzwerk gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung.
- 2 ist ein schematisches Diagramm der ausführlichen Konfiguration einer ersten Steuervorrichtung 120 gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung.
- 3 ist ein Flussdiagramm eines beispielhaften initialen Einstellungs-/Konfigurationsprozesses zum Bereitstellen von Sicherheit in dem fahrzeuginternen Netzwerk gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung.
- 4 ist ein Flussdiagramm eines beispielhaften Prozesses zum Bereitstellen von Sicherheit in dem fahrzeuginternen Netzwerk gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung.
- 5 ist ein Flussdiagramm eines beispielhaften Steuervorrichtungs-Aktualisierungs-Prozesses zum Bereitstellen von Sicherheit in dem fahrzeuginternen Netzwerk gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung.
-
Die folgenden Bezugszeichen können in Verbindung mit den Zeichnungen verwendet werden:
- 100, 101, 102:
- zweite Steuervorrichtungen
- 110:
- Backend-Server
- 120:
- erste Steuervorrichtung
- 200:
- Zertifikat-Übermittlungseinheit
- 201:
- Anforderungs-Übermittlungs-Einheit
- 210:
- inhärente Informations-Empfangs-Einheit
- 220:
- inhärente Informations-Extraktions-Einheit
- 230:
- Speichereinheit
- 240:
- Vergleichseinheit
- 250:
- Verifizierungseinheit
- 260:
- Verifizierungsergebnis-Übermittlungs-Einheit
-
AUSFÜHRLICHE BESCHREIBUNG ANSCHAULICHER AUSFÜHRUNGSFORMEN
-
Im Folgenden werden einige Ausführungsformen der vorliegenden Offenbarung in Bezug auf die beigefügten Zeichnungen ausführlich beschrieben. In der folgenden Beschreibung beziehen sich gleiche Bezugszeichen auf die gleichen Elemente, auch wenn die Elemente in verschiedenen Figuren gezeigt sind. Ferner wird in der folgenden Beschreibung einiger Ausführungsformen eine ausführliche Beschreibung darin enthaltener bekannter Funktionen und Konfigurationen zum Zweck der Klarheit und Knappheit weggelassen.
-
Zusätzlich werden verschiedene Begriffe, wie beispielsweise „erste“, „zweite“, „A“, „B“, „(a)“, „(b)“ etc. ausschließlich zum Zweck der Unterscheidung einer Komponente von einer anderen verwendet und nicht um den Inhalt, die Reihenfolge oder Sequenz der Komponenten anzudeuten oder vorzuschlagen. Innerhalb dieser Beschreibung, wenn ein Bauteil/Bauelement eine Komponente „aufweist“, ist für das Bauteil/Bauelement vorgesehen, ferner andere Komponenten aufzuweisen, die nicht davon ausgeschlossen sind, sofern nicht ausdrücklich anders angegeben. Die Begriffe, wie beispielsweise „Einheit“, „Modul“ und dergleichen beziehen sich auf ein oder mehrere Einheiten zum Verarbeiten von mindestens einer Funktion oder Operation, welche durch Hardware, Software oder eine Kombination davon implementiert sein kann.
-
1 ist ein Diagramm eines Systems zum Bereitstellen von Sicherheit in einem fahrzeuginternen Netzwerk gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung.
-
Wie in 1 gezeigt, weist ein System zum Bereitstellen von Sicherheit in einem fahrzeuginternen Netzwerk gemäß mindestens einer Ausführungsform ein oder mehrere zweite Steuervorrichtungen 100, 101 und 102, einen Backend-Server 110 und eine erste Steuervorrichtung 120 auf.
-
Die mindestens eine zweite Steuervorrichtung 100, 101 und 102 ist gemäß mindestens einer Ausführungsform mit einer externen Vorrichtung oder einer Infrastruktur zum Steuern eines Fahrzeuges verbunden. Die zweiten Steuervorrichtungen 100, 101 und 102 weisen gemäß mindestens einer Ausführungsform auf, aber sind nicht darauf begrenzt: eine Zugangs-Authentifizierungs-Steuervorrichtung für einen Smartphone-basierten Fahrzeugzugangs- und Fahrzeugstartdienst - zum Beispiel Intelligente Authentifikations-Einheit (IAU), eine Reserve-Steuervorrichtung zum Speichern eines Wegstreckenzählerwertes zum Verhindern einer Kilometerstandmodifikation (z.B. ICU: integrierte Zentralsteuereinheit), eine elektrische Lade-Steuervorrichtung für einen PnC (Einstecken und Laden) Dienst (z.B. CCM: Ladegerät-Konverter-Modul), eine Steuervorrichtung, die als eine Fahrzeug-Kommunikations-Einheit und Gateway/Protokollumsetzer (GW) (z.B. CCU: Kommunikations-Steuereinheit) dient, und dergleichen neben anderen Steuervorrichtungen zum Steuern des Fahrzeuges.
-
Die zweiten Steuervorrichtungen 100, 101 und 102 verifizieren, wie weiter unten beschrieben wird, gemäß mindestens einer Ausführungsform ein Zertifikat, das mit einer inhärenten Informationsanforderung, wobei die inhärente Informationsanforderung das Zertifikat der ersten Steuervorrichtung 120 aufweist, empfangen wurde. Dabei ist das Zertifikat ein Zertifikat, das der ersten Steuervorrichtung 120 zugeordnet ist. Wenn die zweiten Steuervorrichtungen 100, 101 und 102 das Zertifikat erfolgreich verifizieren, verschlüsseln diese ihre eigenen inhärenten Informationen mit einem vorher übermittelten öffentlichen Schlüssel (beispielsweise der ersten Steuervorrichtung 120) und übermitteln die verschlüsselten inhärenten Informationen an die erste Steuervorrichtung 120. Dabei weist jede zweite Steuervorrichtung der zweiten Steuervorrichtungen 100, 101 und 102 eigene inhärente Informationen auf, wobei die eigenen inhärenten Informationen beispielsweise nur der jeweiligen zweiten Steuervorrichtung bekannt sind und gemäß einigen Ausführungsformen ferner der ersten Steuervorrichtung 120 bekannt sind. Anders ausgedrückt sind die eigenen inhärenten Informationen einer zweiten Steuervorrichtung der zweiten Steuervorrichtungen 100, 101 und 102 keiner anderen zweiten Steuervorrichtung der zweiten Steuervorrichtungen bekannt. Beispielsweise verschlüsselt jede zweite Steuervorrichtung 100, 101 und 102 ihre jeweils eigenen inhärenten Informationen mit dem ihr zuvor übermittelten öffentlichen Schlüssel der ersten Steuervorrichtung 120 und übermittelt die verschlüsselten eigenen inhärenten Informationen an die erste Steuervorrichtung 120. Dabei sind die verschlüsselten inhärenten Informationen durch einen dem Zertifikat zugeordneten öffentlichen Schlüssel (beispielsweise der ersten Steuervorrichtung 120) verschlüsselte inhärente Informationen. In diesem Fall können die mit dem öffentlichen Schlüssel verschlüsselten Informationen Bootloader oder MAC-Informationen etc. (einer jeweiligen zweiten Steuervorrichtung) der zweiten Steuervorrichtungen 100, 101 und 102 sein. Anders ausgedrückt können die inhärenten Informationen einer zweiten Steuervorrichtung der zweiten Steuervorrichtungen 100, 101 und 102 Bootloader oder MAC-Informationen der zweiten Steuervorrichtung sein. Das heißt, die inhärenten Informationen einer zweiten Steuervorrichtung sind inhärent für die zweite Steuervorrichtung sind, d.h. der zweiten Steuervorrichtung innewohnend bzw. ihr zu eigen. Die Verschlüsselung wird nicht für die jeweiligen gesamten Informationen der zweiten Steuervorrichtungen 100, 101 und 102, sondern für die Hash-Werte der Informationen durchgeführt. In mindestens einer Ausführungsform wird die Notwendigkeit einer Verwaltung der Last der Berechnungsmenge und einer separaten Schlüsselverwaltung durch Verwenden der auf Hash-Funktion basierenden MAC (HMAC) als Eingabewert für die Verschlüsselung/Entschlüsselung vorteilhaft eingespart.
-
Gemäß mindestens einer Ausführungsform fordert der Backend-Server 110 die erste Steuervorrichtung 120 auf, eine verdächtige Steuervorrichtung 100 unter der einen oder mehreren zweiten Steuervorrichtungen 100, 101 und 102 zu verifizieren. Der Backend-Server 110 fordert nach Empfangen einer Benachrichtigung durch die Detektionsfunktion, wie beispielsweise eines Eindring-Detektions-Systems (IDS) die erste Steuervorrichtung 120 auf, zu ermitteln, ob die verdächtige Steuervorrichtung 100 der zweiten Steuervorrichtungen 100, 101 und 102 eine Fälschung/ein Duplikat ist. Wenn die erste Steuervorrichtung 120 ermittelt, dass die verdächtige Steuervorrichtung 100 eine problematische anormale/abweichende/auffällige Steuervorrichtung ist, stellt der Backend-Server 110 einen begrenzten Dienst gemäß den Backend-Systemrichtlinien für die anormale/abweichende/auffällige Steuervorrichtung bereit.
-
Es ist allgemein schwierig für eine spezifische normale/reguläre Steuervorrichtung, den Betrieb einer anormalen/abweichenden/auffälligen Steuervorrichtung direkt zu steuern, aber mindestens eine Ausführungsform verwendet den Backend-Server 110 unter Berücksichtigung der verbundenen Auto-Umgebung („connected car environment“), um eine schädliche/böswillige Verwendung des Dienstes zu verhindern, indem der Dienst der anormalen/abweichenden/auffälligen Steuervorrichtung eingeschränkt wird.
-
Gemäß mindestens einer Ausführungsform führt die erste Steuervorrichtung 120 eine Verifizierung der verdächtigen Steuervorrichtung 100 unter der einen oder mehreren zweiten Steuervorrichtungen 100, 101 und 102 durch, wenn dieser eine Verifizierungsanforderung von dem Backend-Server 110 empfängt.
-
2 ist ein schematisches Diagramm der ausführlichen Konfiguration der ersten Steuervorrichtung 120 gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung.
-
Wie in 2 gezeigt, weist die erste Steuervorrichtung 120 gemäß mindestens einer Ausführungsform auf: eine Zertifikat-Übermittlungseinheit 200, eine Anforderungs-Übermittlungs-Einheit 201, eine inhärente Informations-Empfangs-Einheit 210, eine inhärente Informations-Extraktions-Einheit 220, eine Speichereinheit 230, eine Vergleichseinheit 240, eine Verifizierungseinheit 250, und eine Verifizierungsergebnis-Übermittlungs-Einheit 260.
-
Gemäß mindestens einer Ausführungsform übermittelt die Zertifikat-Übermittlungseinheit 200 das Zertifikat (welches beispielsweise den öffentlichen Schlüssel der ersten Steuervorrichtung 120 enthält), das der ersten Steuervorrichtung 120 zugeordnet ist, an die zweiten Steuervorrichtungen 100, 101 und 102 in Reaktion darauf, dass die mehreren zweiten Steuervorrichtungen 100, 101 und 102 das erste Mal aktiviert werden/erwachen/vom Leerlauf in den Normalzustand wechseln nachdem die erste Steuervorrichtung 120 aktiviert wurde/erwachte/vom Leerlauf in den Normalzustand wechselte. Sobald die erste Steuervorrichtung 120 durch einen initialen Einstellungs-/Konfigurationsschritt aktiviert wurde und falls sich in einer Informationstabelle der Speichereinheit 230 kein Attributwert (kritische Informationen der zweiten Steuervorrichtung) befindet, gibt es eine Wartezeit, bis die zweiten Steuervorrichtungen 100, 101 und 102 aktiviert werden, um das Zertifikat zu übermitteln und damit den initialen Einstellungs-/Konfigurationsprozess zu beginnen.
-
Die Anforderungs-Übermittlungs-Einheit 201 übermittelt gemäß mindestens einer Ausführungsform eine Anforderung für inhärente Informationen, wobei die Anforderung das von der Zertifikat-Übermittlungseinheit 200 empfangene Zertifikat aufweist, an eine verdächtige Steuervorrichtung, deren Verifizierung durch den Backend-Server 110 angefordert wurde.
-
Insbesondere speichern die zweiten Steuervorrichtungen 100, 101 und 102 gemäß mindestens einer Ausführungsform einen öffentlichen Schlüssel (CERT-Verknüpfung) zum Verifizieren des Zertifikates der ersten Steuervorrichtung 120 vorher. Der öffentliche Schlüssel (CERT-Verknüpfung) kann ein Schlüssel einer vertrauenswürdigen Instanz (beispielsweise einer Zertifizierungsinstanz) sein. Das Zertifikat der ersten Steuervorrichtung 120 weist mindestens den öffentlichen Schlüssel der ersten Steuervorrichtung 120 auf und kann mit dem Schlüssel der vertrauenswürdigen Instanz verschlüsselt worden sein. Die zweiten Steuervorrichtungen 100, 101 und 102 können somit, wenn sie das Zertifikat von der ersten Steuervorrichtung 120 empfangen, den vorgespeicherten öffentlichen Schlüssel (beispielsweise der vertrauenswürdigen Instanz) verwenden, um das Zertifikat (das beispielsweise den öffentlichen Schlüssel der ersten Steuervorrichtung 120 aufweist) zu verifizieren, wodurch bestätigt wird, ob die erste Steuervorrichtung 120 anormal/abweichend (gefälscht/dupliziert) ist. Indem ein Authentifizierungsfehler als ein in dem Steuervorrichtungs-System auftretendes Hacking betrachtet wird und dann ein Angreifer die zweiten Steuervorrichtungen 100, 101 und 102 oder die erste Steuervorrichtung 120 infiltrieren kann, kann das System der vorliegenden Offenbarung die zweite Steuervorrichtung, die sich nicht authentifizieren konnte, als anormale/abweichende Steuervorrichtung ermitteln und kann Folgemaßnahmen, wie beispielsweise das Senden einer Eindring-Warnmeldung, ergreifen. Wenn innerhalb einer vorgegebenen Zeitdauer nach dem Empfangen der inhärenten Informationsanforderung keine Antwort von einem oder mehreren zweiten Steuervorrichtungen 100, 101 und 102 erhalten wird, kann die relevante/betroffene zweite Steuervorrichtung als anormale/abweichende Steuervorrichtung ermittelt werden.
-
Unterdessen kann die Anforderungs-Übermittlungs-Einheit 201, wenn diese die inhärenten Informationen der zweiten Steuervorrichtungen 100, 101 und 102 anfordert, in mindestens einer Ausführungsform nicht nur ein Zertifikat, sondern zum Erhöhen der Sicherheit auch einen Zufallswert übermitteln.
-
Falls den zweiten Steuervorrichtungen 100, 101, 102 nach Empfangen des Zertifikates von der Zertifikat-Übermittlungseinheit 200 oder von der Anforderungs-Übermittlungs-Einheit 201 die Verifizierung des Zertifikates gelingt, reagiert die inhärente Informations-Empfangs-Einheit 210 gemäß mindestens einer Ausführungsform darauf mit Empfangen verschlüsselter Informationen der zweiten Steuervorrichtungen 100, 101, 102 nach dem Verschlüsseln der inhärenten Informationen von denselben Steuervorrichtungen. Dabei verschlüsselt jede zweite Steuervorrichtung der zweiten Steuervorrichtungen 100, 101 und 102 ihre eigenen inhärenten Informationen und übermittelt die verschlüsselten eigenen inhärenten Informationen an die inhärente Informations-Empfangs-Einheit 210. Dabei können die inhärenten Informationen der zweiten Steuervorrichtungen 100, 101, 102 Bootloader oder MAC-Informationen und dergleichen neben anderen Informationen, die Informationen inhärent zu einer jeweiligen zweiten Steuervorrichtung der zweiten Steuervorrichtungen 100, 101 und 102 darstellen können, aufweisen, aber sind nicht darauf begrenzt.
-
Zusätzlich werden die zu der inhärenten Informations-Empfangs-Einheit 210 gemäß mindestens einer Ausführungsform übermittelten inhärenten Informationen der zweiten Steuervorrichtungen 100, 101 und 10 unter Verwendung eines vorgespeicherten öffentlichen Schlüssels (beispielsweise der in dem Zertifikat enthaltene öffentliche Schlüssel der ersten Steuervorrichtung 120) verschlüsselt und übermittelt. In diesem Fall sind nicht die inhärenten Informationen selbst verschlüsselt, sondern ein Hash-Wert der Informationen der zweiten Steuervorrichtungen 100, 101 und 102. Daher wird die Notwendigkeit einer Verwaltung der Last der Berechnungsmenge und einer separaten Schlüsselverwaltung durch Verwenden der auf Hash-Funktion basierenden MAC (HMAC) als Eingabewert für die Verschlüsselung/Entschlüsselung überflüssig/unnötig. Zusätzlich kann gemäß mindestens einer Ausführungsform beim Verschlüsseln der inhärenten Informationen in den zweiten Steuervorrichtungen 100, 101 und 102 ein Zufallswert hinzugefügt werden, um eine erhöhte Sicherheit bereitzustellen.
-
Die inhärente Informations-Extraktions-Einheit 202 verwendet gemäß mindestens einer Ausführungsform den oben beschriebenen, dem Zertifikat (das beispielsweise den öffentlichen Schlüssel der ersten Steuervorrichtung 120 aufweist) zugeordneten privaten Schlüssel (beispielsweise der ersten Steuervorrichtung 120), um die entschlüsselten inhärenten Informationen von den verschlüsselten inhärenten Informationen, die von der inhärenten Informations-Empfangs-Einheit 210 empfangen wurden, zu erhalten. Gemäß mindestens einer Ausführungsform wird ein asymmetrisches Schlüsselpaar (privater Schlüssel/ öffentlicher Schlüssel) der ersten Steuervorrichtung 120 für die sichere Kommunikation verwendet.
-
Die Speichereinheit 230 speichert gemäß mindestens einer Ausführungsform inhärente Informationen von einer oder mehreren zweiten Steuervorrichtungen 100, 101 und 102 in Verbindung mit den jeweiligen zweiten Steuervorrichtungen 100, 101 und 102. Die initiale Einstellung/Konfiguration weist in mindestens einer Ausführungsform auf: Empfangen inhärenter Informationen, wenn die erste Steuervorrichtung 120 das erste Mal aktiviert wird, Erhalten der von der inhärenten Informations-Extraktions-Einheit 220 entschlüsselten inhärenten Informationen, und Speichern der relevanten inhärenten Informationen in Verbindung mit den zweiten Steuervorrichtungen 100, 101 und 102 in der Speichereinheit 230, wodurch die initiale Einstellung/Konfiguration durchgeführt wird.
-
Gemäß mindestens einer Ausführungsform sind die in der Speichereinheit 230 gespeicherten inhärenten Informationen in einem Tabellenformat in übereinstimmender Beziehung mit den zweiten Steuervorrichtungen 100, 101, 102 gespeichert, und die Tabelle kann in einem Hardware-Sicherheits-Modul (HSM) gespeichert werden oder verschlüsselt und sicher gespeichert werden.
-
Die Vergleichseinheit 240 vergleicht die entschlüsselten inhärenten Informationen, die durch die inhärente Informations-Extraktions-Einheit 220 erhalten wurden, mit den der verdächtigen Steuervorrichtung 100 zugeordneten inhärenten Informationen, die in der Speichereinheit 230 vorgespeichert ist.
-
Die Verifizierungseinheit 250 überprüft gemäß mindestens einer Ausführungsform basierend auf dem Ergebnis des Vergleichs der Vergleichseinheit 230, ob die der verdächtigen Steuervorrichtung 100 zugeordneten entschlüsselten inhärenten Informationen von den in der Speichereinheit 230 vorgespeicherten inhärenten Informationen verschieden sind, und falls ja, ermittelt die Verifizierungseinheit 250 die verdächtige Steuervorrichtung als anormale/abweichende Steuervorrichtung.
-
Die Verifizierungsergebnis-Übermittlungs-Einheit 260 übermittelt gemäß mindestens einer Ausführungsform das Ermittlungsergebnis der Verifizierungseinheit 250 zu dem Backend-Server 110, ob die verdächtige Steuervorrichtung 100 als anormale/abweichende Steuervorrichtung ermittelt wurde. Dabei kann der Backend-Server 110 nach Empfang des Ermittlungsergebnisses von der Verifizierungsergebnis-Übermittlungs-Einheit 260, dass die verdächtige Steuervorrichtung 100 als anormale/abweichende Steuervorrichtung ermittelt wurde, Folgemaßnahmen, wie beispielsweise die Einschränkung der Verwendung der verdächtigen Steuervorrichtung 100, ergreifen.
-
Unterdessen reagiert gemäß mindestens einer Ausführungsform die Anforderungs-Übermittlungs-Einheit 201 auf eine Aktualisierungsanforderung von dem Backend-Server 110 für eine angegebene Steuervorrichtung unter einer jeden der zweiten Steuervorrichtungen 100, 101 und 102, die aktualisiert werden muss, mit dem Übermitteln einer das Zertifikat (beispielsweise das den öffentlichen Schlüssel der ersten Steuervorrichtung 120 aufweisenden Zertifikat) enthaltenden inhärenten Informationsanforderung an die angegebene Steuervorrichtung. Zu diesem Zeitpunkt, wenn die inhärente Informations-Empfangs-Einheit 210 gemäß mindestens einer Ausführungsform bei der Verifizierung des Zertifikates (beispielsweise unter Verwendung des Schlüssels der vertrauenswürdigen Instanz) nach Empfang des Zertifikates von der angegebenen Steuervorrichtung erfolgreich ist, empfängt diese verschlüsselte Informationen von der angegebenen Steuervorrichtung nach Verschlüsseln der inhärenten Informationen durch dieselbe angegebene Steuervorrichtung. Zusätzlich entschlüsselt die inhärente Informations-Extraktions-Einheit 220 gemäß mindestens einer Ausführungsform die Informationen, die von der inhärenten Informations-Empfangs-Einheit 210 empfangen wurden, unter Verwendung des privaten Schlüssels (beispielsweise der ersten Steuervorrichtung 120), um die inhärenten Informationen zu erhalten, und aktualisiert/speichert dann die entschlüsselten inhärenten Informationen in Verbindung mit der angegebenen Steuervorrichtung in der Speichereinheit 230, wodurch die Informationen der Steuervorrichtung aktualisiert werden.
-
3 ist ein Flussdiagramm eines beispielhaften initialen Einstellungs-/Konfigurationsprozesses zum Bereitstellen von Sicherheit in dem fahrzeuginternen Netzwerk gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung/Erfindung.
-
Wenn gemäß mindestens einer Ausführungsform mehrere zweite Steuervorrichtungen 100, 101 und 102 das erste Mal aktiviert werden nachdem die erste Steuervorrichtung 120 aktiviert wurde, wird zunächst das der ersten Steuervorrichtung 120 zugeordnete Zertifikat (das beispielsweise den öffentlichen Schlüssel der ersten Steuervorrichtung 120 aufweist und mittels des Schlüssel der vertrauenswürdigen Instanz verschlüsselt wurde) an die relevante Steuervorrichtung der zweiten Steuervorrichtungen 100 und 101 übermittelt (Schritt S300). Sobald die erste Steuervorrichtung 120 aktiviert wurde und feststellt, dass sich in einer Informationstabelle der Speichereinheit 230 kein Attributwert (kritische Informationen der zweiten Steuervorrichtung) befindet, gibt es eine Wartezeit des Prozesses, bis die relevanten Steuervorrichtungen 100, 101 angesteuert werden, um das Zertifikat zu übermitteln.
-
Danach führen die zweiten Steuervorrichtungen 100, 101 nach Empfang des Zertifikates eine Verifizierung des Zertifikates, das von der Zertifikat-Übermittlungseinheit 200 von der ersten Steuervorrichtung 120 empfangen wurde, durch (S310). Insbesondere speichern die zweiten Steuervorrichtungen 100, 101 gemäß mindestens einer Ausführungsform einen öffentlichen Schlüssel (CERT-Verknüpfung),beispielsweise der vertrauenswürdigen Instanz, zum Verifizieren des Zertifikates der ersten Steuervorrichtung 120 vorher, und können, wenn sie das Zertifikat, das mit dem Schlüssel der vertrauenswürdigen Instanz verschlüsselt wurde, von der ersten Steuervorrichtung 120 empfangen, den vorgespeicherten öffentlichen Schlüssel (beispielsweise den Schlüssel der vertrauenswürdigen Instanz) verwenden, um das Zertifikat zu verifizieren, wodurch bestätigt wird, ob die erste Steuervorrichtung 120 anormal/nicht vertrauenswürdig (gefälscht/dupliziert) ist.
-
Wenn die zweiten Steuervorrichtungen 100, 101 gemäß mindestens einer Ausführungsform bei der Verifizierung des Zertifikates erfolgreich sind, übermitteln diese danach Informationen, die die mit dem vorgespeicherten öffentlichen Schlüssel (beispielsweise mit dem vorgespeicherten öffentlichen Schlüssel der ersten Steuervorrichtung 120) verschlüsselten inhärenten Informationen sind (S320). In diesem Fall können die mit dem öffentlichen Schlüssel verschlüsselten Informationen Bootloader, MAC-Informationen, etc. einer jeweiligen zweiten Steuervorrichtung der zweiten Steuervorrichtungen 100, 101 sein, die verschlüsselt sind, und nicht die Informationen der zweiten Steuervorrichtungen 100, 101 selbst. In mindestens einer Ausführungsform wird die Notwendigkeit einer Verwaltung der Last der Berechnungsmenge und einer separaten Schlüsselverwaltung durch Verwenden der auf Hash-Funktion basierenden MAC (HMAC) als Eingabewert für die Verschlüsselung überflüssig/unnötig. Dies kann durch eine vereinfachte Gleichung wie folgt dargestellt werden.
Verschlüsselte info_A = Ver_öff_D(HMAC(inhärente Informationen der ECU_A)) wobei Verschlüsselte info_A die verschlüsselten inhärenten Informationen der verdächtigen Steuervorrichtung 100 bzw. der angegebenen Steuervorrichtung 100 der zweiten Steuervorrichtungen 100, 101 und 102 sind, wobei Ver_öff_D die mit dem öffentlichen Schlüssel der ersten Steuervorrichtung 120 verschlüsselte HMAC der verdächtigen Steuervorrichtung 100 bzw. der angegebenen Steuervorrichtung 100 ist, wobei die HMAC die inhärenten Informationen der verdächtigen Steuervorrichtung 100 bzw. der angegebenen Steuervorrichtung 100 aufweist.
-
Zu diesem Zeitpunkt wird gemäß mindestens einer Ausführungsform ein Zufallswert hinzugefügt, um die Verschlüsselte info_A zu erzeugen, wodurch eine erhöhte Sicherheit bereitgestellt wird.
-
Danach verwendet die inhärente Informations-Extraktions-Einheit 220 der ersten Steuervorrichtung 120 gemäß mindestens einer Ausführungsform den oben beschriebenen, dem Zertifikat zugeordneten privaten Schlüssel (beispielsweise der ersten Steuervorrichtung 120), um die inhärenten Informationen zu extrahieren (S330). Gemäß mindestens einer Ausführungsform wird ein asymmetrisches Schlüsselpaar (privater Schlüssel/öffentlicher Schlüssel) der ersten Steuervorrichtung 120 für eine sichere Kommunikation verwendet, und daher extrahiert die inhärente Informations-Extraktions-Einheit 220 der ersten Steuervorrichtung 120 die jeweiligen Steuervorrichtungs-inhärenten Informationen mittels des privaten Schlüssels der ersten Steuervorrichtung 120 wie folgt. Ent_pri_D(Verschlüsselte info_A) → HMAC(ECU_A inhärente Informationen)) wobei Ent_pri_D die unter Verwendung des privaten Schlüssels der ersten Steuervorrichtung 120 von den verschlüsselten inhärenten Informationen der verdächtigen Steuervorrichtung 100 bzw. der angegebenen Steuervorrichtung 100 der zweiten Steuervorrichtungen 100, 101 und 102 entschlüsselten inhärenten Informationen sind.
-
Dann speichert die Speichereinheit 230 der ersten Steuervorrichtung 120 gemäß mindestens einer Ausführungsform die von der inhärenten Informations-Extraktions-Einheit extrahierten inhärenten Informationen in Verbindung mit den zweiten Steuervorrichtungen 100 und 101 (S340).
-
Tabelle 1 zeigt ein beispielhaftes Tabellenformat für in der Speichereinheit
230 gespeicherte inhärente Informationen gemäß mindestens einer Ausführungsform.
Tabelle 1
zweite Steuervorrichtung | wichtige Informationen der zweiten Steuervorrichtung |
A | HMAC(ECU_A inhärente Informationen) |
B | HMAC(ECU_B inhärente Informationen) |
... | ... |
-
Die vorliegende Offenbarung/Erfindung betrifft in einigen Ausführungsformen ein Verfahren und ein System zum Bereitstellen von Sicherheit in einem fahrzeuginternen Netzwerk.
-
Wie in Tabelle 1 gezeigt, werden gemäß mindestens einer Ausführungsform die inhärenten Informationen von den zweiten Steuervorrichtungen 100, 101 empfangen und werden die empfangenen inhärenten Informationen in Verbindung mit den zweiten Steuervorrichtungen 100, 101 in der Speichereinheit 230 in einem Tabellenformat gespeichert, wobei die initiale Einstellung/Konfiguration abgeschlossen wird.
-
4 ist ein Flussdiagramm eines beispielhaften Prozesses zum Bereitstellen von Sicherheit in dem fahrzeuginternen Netzwerk gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung/Erfindung.
-
Zuerst fordert der Backend-Server 110 gemäß mindestens einer Ausführungsform die erste Steuervorrichtung 120 auf, die verdächtige Steuervorrichtung 100 unter den beliebigen zweiten Steuervorrichtungen 100 und 101 zu verifizieren (S400). Der Backend-Server 110 führt gemäß mindestens einer Ausführungsform eine Verifizierungsanforderung mittels der ersten Steuervorrichtung 120 durch, wenn ein anormaler/abweichender Betrieb einer Steuervorrichtung verdächtigt wird.
-
Danach übermittelt die erste Steuervorrichtung 120 nach Empfangen der Verifizierungsanforderung von dem Backend-Server 110 gemäß mindestens einer Ausführungsform eine inhärente Informationsanforderung, die das der ersten Steuervorrichtung 120 zugeordnete Zertifikat (das beispielsweise den öffentlichen Schlüssel der ersten Steuervorrichtung aufweist) aufweist, an die verdächtige Steuervorrichtung 100 (S410). Wenn die Anforderungs-Übermittlungs-Einheit 201 der ersten Steuervorrichtung 120 gemäß mindestens einer Ausführungsform die Bereitstellung der inhärenten Informationen anfordert, kann diese zusätzlich einen Zufallswert (Rnd_D) sowie ein der ersten Steuervorrichtung 120 zugeordnetes Zertifikat übermitteln, wodurch die Sicherheit erhöht wird.
-
Daraufhin führt die verdächtige Steuervorrichtung 100 nach Empfangen der das Zertifikat aufweisenden inhärenten Informationsanforderung gemäß mindestens einer Ausführungsform die Verifizierung des von der Anforderungs-Übermittlungs-Einheit 201 der ersten Steuervorrichtung 120 empfangenen Zertifikates durch (S420). Da, wie oben beschrieben, die verdächtige Steuervorrichtung 100 gemäß mindestens einer Ausführungsform einen öffentlichen Schlüssel (CERT-Verknüpfung), der beispielsweise der Schlüssel der vertrauenswürdigen Instanz ist, zum Verifizieren des Zertifikates der ersten Steuervorrichtung 120 vorspeichert, priorisiert die verdächtige Steuervorrichtung 100 nach Empfangen der das Zertifikat aufweisenden inhärenten Informationsanforderung die Verifizierung des Zertifikates durch Verwenden des vorgespeicherten öffentlichen Schlüssels (beispielsweise der vertrauenswürdigen Instanz), um zu überprüfen, ob die erste Steuervorrichtung anormal/abweichend (gefälscht/dupliziert) ist.
-
Wenn die Verifizierung des Zertifikates der verdächtigen Steuervorrichtung 100 erfolgreich ist, dann übermittelt diese verschlüsselten Informationen, die die dem Zertifikat zugeordneten, mit einem öffentlichen Schlüssel (beispielsweise der ersten Steuervorrichtung 120) verschlüsselten inhärenten Informationen sind (S430). Zu dieser Zeit können die mit dem öffentlichen Schlüssel verschlüsselten, verschlüsselten Informationen Bootloader, MAC-Informationen, etc. der verdächtigen Steuervorrichtung 100 sein. Die Verschlüsselung wird nicht für die gesamten Informationen der verdächtigen Steuervorrichtung 100, sondern für die Hash-Werte der Informationen durchgeführt. Wie oben beschrieben, kann in mindestens einer Ausführungsform die Notwendigkeit einer Verwaltung der Last der Berechnungsmenge und einer separaten Schlüsselverwaltung durch Verwenden der auf Hash-Funktion basierenden MAC (HMAC) als Eingabewert für die Verschlüsselung/Entschlüsselung vorteilhaft eingespart werden. Dies kann durch eine vereinfachte Gleichung wie folgt dargestellt werden.
Verschlüsselte angef_info_A = Ver_öff_D(HMAC(ECU_A) der inhärenten Informationen, RnD_D)
wobei Verschlüsselte angef_info_A die angeforderten verschlüsselten inhärenten Informationen der verdächtigen Steuervorrichtung 100 sind, wobei Ver_öff_D die mit dem öffentlichen Schlüssel der ersten Steuervorrichtung 120 verschlüsselte HMAC der verdächtigen Steuervorrichtung 100 und eines Zufallswertes Rnd_D sind.
-
Dafür kann in mindestens einer Ausführungsform ein Zufallswert Rnd_D zum Erzeugen von Verschlüsselte angef_info_A hinzugefügt werden, um eine Sicherheitserhöhung bereitzustellen.
-
Nun verwendet die inhärente Informations-Extraktions-Einheit 220 der ersten Steuervorrichtung 120 gemäß mindestens einer Ausführungsform den dem Zertifikat zugeordneten privaten Schlüssel (beispielsweise der ersten Steuervorrichtung 120), um entschlüsselte inhärente Informationen von den verschlüsselten inhärenten Informationen zu extrahieren (S440). Da, wie oben beschrieben, in mindestens einer Ausführungsform für eine sichere Kommunikation das asymmetrische Schlüsselpaar (privater Schlüssel/öffentlicher Schlüssel) der ersten Steuervorrichtung 120 verwendet wird, extrahiert die inhärente Informations-Extraktions-Einheit 220 der ersten Steuervorrichtung 120 die jeweiligen Steuervorrichtungs-inhärenten Informationen mittels des privaten Schlüssels der ersten Steuervorrichtung 120 wie folgt.
Ent_pri_D(Verschlüsselte angef_info_A) → HMAC(ECU_A inhärente Informationen)
-
Die Vergleichseinheit 240 vergleicht dann gemäß mindestens einer Ausführungsform die von der inhärenten Informations-Extraktions-Einheit 220 extrahierten inhärenten Informationen mit den der verdächtigen Steuervorrichtung 100 zugeordneten inhärenten Informationen, die in der Speichereinheit 230 vorgespeichert sind (in Schritt S450). Wenn der Vergleich der Vergleichseinheit 240 anschließend ergibt, dass die extrahierten inhärenten Informationen von den der verdächtigen Steuervorrichtung 100 zugeordneten vorgespeicherten inhärenten Informationen verschieden sind, dann ermittelt die Verifizierungseinheit 250 gemäß mindestens einer Ausführungsform die verdächtige Steuervorrichtung 100 als anormale/abweichende Steuervorrichtung, und die Verifizierungs-Übermittlungs-Einheit 260 übermittelt gemäß mindestens einer Ausführungsform das Verifizierungsergebnis an den Backend-Server 110 (S460). Wenn der Vergleich der Vergleichseinheit 240 andererseits ergibt, dass die extrahierten inhärenten Informationen den der verdächtigen Steuervorrichtung 100 zugeordneten vorgespeicherten inhärenten Informationen entsprechen, dann ermittelt die Verifizierungseinheit 250 gemäß mindestens einer Ausführungsform die verdächtige Steuervorrichtung 100 als normale/reguläre Steuervorrichtung, und die Verifizierungs-Übermittlungs-Einheit 260 übermittelt gemäß mindestens einer Ausführungsform das Verifizierungsergebnis an den Backend-Server 110 (S460).
-
Der Backend-Server 110 ermittelt in mindestens einer Ausführungsform, ob gemäß dem von der Verifizierungsergebnis-Übermittlungs-Einheit 260 der ersten Steuervorrichtung 120 übermittelten Verifizierungsergebnis der Dienst für die verdächtige Steuervorrichtung fortgesetzt wird (S470). Wenn beispielsweise das übermittelte Verifizierungsergebnis anzeigt, dass die verdächtige Steuervorrichtung 100 als problembehaftete Steuervorrichtung ermittelt wurde, wird der verdächtigen Steuervorrichtung ein begrenzter Dienst gemäß den Backend-Systemrichtlinien bereitgestellt. Wenn das übermittelte Verifizierungsergebnis eine klassifizierte normale Steuervorrichtung anzeigt, dann wird der darauffolgende Dienst normal bereitgestellt.
-
Wenn das Verifizierungsergebnis in Schritt S420 andererseits ein Fehlschlag ist, wird die verdächtige Steuervorrichtung 100, deren Authentifizierung fehlgeschlagen ist, als eine anormale/abweichende Steuervorrichtung ermittelt, und Folgemaßnahmen, wie beispielsweise das Senden einer Eindring-Warnmeldung an den Backend-Server 110, können ergriffen werden. Wenn zusätzlich in einer vordefinierten Zeit keine Antwort von der verdächtigen Steuervorrichtung, die die inhärente Informationsanforderung in Schritt S410 empfangen hat, empfangen wird, dann kann die verdächtige Steuervorrichtung 100 als eine anormale/abweichende Steuervorrichtung ermittelt werden, um Folgemaßnahmen zu ergreifen.
-
Wie oben beschrieben ist es gemäß mindestens einer Ausführungsform vorteilhaft, dass die Steuervorrichtung nicht belastet wird, da der Verifizierungsvorgang nach der initialen Steuervorrichtungs-Einstellung/Konfiguration in Reaktion auf eine Detektion eines anormalen/abweichenden Verhaltens oder ereignisbasiert durchgeführt wird.
-
5 ist ein Flussdiagramm eines beispielhaften Steuervorrichtungs-Aktualisierungs-Prozesses zum Bereitstellen von Sicherheit in dem fahrzeuginternen Netzwerk gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung/Erfindung.
-
Zuerst fordert der Backend-Server 110 gemäß mindestens einer Ausführungsform die erste Steuervorrichtung 120 auf, eine angegebene Steuervorrichtung 100 unter den beliebigen zweiten Steuervorrichtungen 100, 101 zu aktualisieren, welche in der Informationstabelle aus Gründen, wie beispielsweise ein Steuervorrichtungs-Austausch, aktualisiert werden muss (S500). Danach übermittelt die erste Steuervorrichtung 120 nach Empfang der Aktualisierungsanforderung von dem Backend-Server 110 gemäß mindestens einer Ausführungsform eine das Zertifikat der ersten Steuervorrichtung 120 aufweisende inhärente Informationsanforderung an die angegebene Steuervorrichtung (S510). Wenn die Anforderungs-Übermittlungs-Einheit 201 der ersten Steuervorrichtung 120 gemäß mindestens einer Ausführungsform die Bereitstellung der inhärenten Informationen anfordert, dann kann diese einen Zufallswert (Rnd_D) sowie das steuervorrichtungseigene Zertifikat, d.h. das den öffentlichen Schlüssel der ersten Steuervorrichtung 120 aufweisende Zertifikat, übermitteln, wodurch die Sicherheit erhöht wird.
-
In Schritt S520 führt die angegebene Steuervorrichtung 100 gemäß mindestens einer Ausführungsform nach Empfang der das Zertifikat aufweisenden inhärenten Informationsanforderung, eine Verifizierung des von der Anforderungs-Übermittlungs-Einheit 201 der ersten Steuervorrichtung 120 empfangenen Zertifikates (das beispielsweise mittels des Schlüssels der vertrauenswürdigen Instanz verschlüsselt wurde) durch. Da, wie oben beschrieben, die angegebene Steuervorrichtung 100 gemäß mindestens einer Ausführungsform einen öffentlichen Schlüssel (CERT-Verknüpfung), beispielsweise der vertrauenswürdigen Instanz, zum Verifizieren des Zertifikates der ersten Steuervorrichtung 120 vorspeichert, reagiert die angegebene Steuervorrichtung 100 auf die das Zertifikat aufweisende inhärente Informationsanforderung und priorisiert nach Empfangen der das Zertifikat aufweisenden inhärenten Informationsanforderung die Verifizierung des Zertifikates durch Verwenden des vorgespeicherten öffentlichen Schlüssels (beispielsweise der vertrauenswürdigen Instanz), um zu überprüfen, ob die erste Steuervorrichtung anormal/abweichend (gefälscht/dupliziert) ist.
-
Wenn die angegebene Steuervorrichtung gemäß mindestens einer Ausführungsform in Schritt S530 das Zertifikat (das beispielsweise den öffentlichen Schlüssel der ersten Steuervorrichtung 120 aufweist) erfolgreich verifiziert, dann übermittelt die angegebene Steuervorrichtung 100 verschlüsselte Informationen, die die dem Zertifikat zugeordneten, mit einem öffentlichen Schlüssel (beispielsweise der ersten Steuervorrichtung 120) verschlüsselten inhärenten Informationen sind. In diesem Fall können die mit dem öffentlichen Schlüssel verschlüsselten, verschlüsselten Informationen Bootloader, MAC-Informationen, etc. der angegebenen Steuervorrichtung 100 sein, wobei nicht die gesamten Informationen der angegebenen Steuervorrichtung 100, sondern die Hash-Werte solcher Informationen verschlüsselt werden. Wie oben beschrieben, wird in mindestens einer Ausführungsform die Notwendigkeit einer Verwaltung der Last der Berechnungsmenge und einer separaten Schlüsselverwaltung durch Verwenden der auf Hash-Funktion basierenden MAC (HMAC) als Eingabewert für die Verschlüsselung/Entschlüsselung vorteilhaft eingespart. Dies kann durch eine vereinfachte Gleichung wie folgt dargestellt werden.
Verschlüsselte angef_info_A = Ver_öff_D(HMAC(ECU_A der inhärenten Informationen), PnD_D)
-
Dafür kann in mindestens einer Ausführungsform ein Zufallswert Rnd_D für das Erzeugen von Verschlüsselte angef_info_A hinzugefügt werden, um eine Sicherheitserhöhung bereitzustellen.
-
Um die entschlüsselten inhärenten Informationen von den verschlüsselten inhärenten Informationen zu erhalten, verwendet in Schritt S540 die inhärente Informations-Extraktions-Einheit 220 der ersten Steuervorrichtung 120 gemäß mindestens einer Ausführungsform den dem Zertifikat zugeordneten privaten Schlüssel, um die inhärenten Informationen der angegebenen Steuervorrichtung 10 zu extrahieren. Wie oben beschreiben, wird in mindestens einer Ausführungsform für eine sichere Kommunikation das asymmetrische Schlüsselpaar (privater Schlüssel/öffentlicher Schlüssel) der ersten Steuervorrichtung 120 verwendet, und dafür extrahiert die inhärente Informations-Extraktions-Einheit 220 der ersten Steuervorrichtung 120 die jeweiligen steuervorrichtungsinhärenten Informationen mittels des privaten Schlüssels der ersten Steuervorrichtung wie folgt.
Ent_pri_D(Verschlüsselte angef_info_A) → HMAC(ECU_A inhärente Informationen)
-
In Schritt S550 speichert die Speichereinheit 230 der ersten Steuervorrichtung 120 gemäß mindestens einer Ausführungsform die von der inhärenten Informations-Extraktions-Einheit 220 extrahierten inhärenten Informationen in Verbindung mit der angegebenen Steuervorrichtung 100.
-
Tabelle 2 zeigt ein beispielhaftes Tabellenformat für in der Speichereinheit
230 gespeicherte/aktualisierte inhärente Informationen gemäß mindestens einer Ausführungsform.
Tabelle 2
zweite Steuervorrichtung | wichtige Informationen der zweiten Steuervorrichtung |
A | Neue HMAC(ECU_A inhärente Informationen) |
B | HMAC(ECU_B inhärente Informationen) |
... | ... |
-
Wie in Tabelle 2 gezeigt, werden in mindestens einer Ausführungsform die inhärenten Informationen von der angegebenen Steuervorrichtung 100 empfangen und die empfangenen inhärenten Informationen werden in Verbindung mit der angegebenen Steuervorrichtung 100 in der Speichereinheit 230 in einem Tabellenformat gespeichert/aktualisiert, wodurch der Aktualisierungsprozess abgeschlossen wird.
-
Die erste Steuervorrichtung 120, die den Aktualisierungsprozess abgeschlossen hat, übermittelt gemäß mindestens einer Ausführungsform das Steuervorrichtungs-Aktualisierungsabschluss-Ergebnis an den Backend-Server 110 (S560).
-
In Reaktion auf die Verifizierungsanforderung einer anormalen/abweichenden Steuervorrichtung, wird während der initialen Einstellung/Konfiguration die erste Steuervorrichtung 120 gemäß mindestens einer Ausführungsform, wie oben beschrieben, veranlasst, das der ersten Steuervorrichtung zugeordnete Zertifikat an die zweiten Steuervorrichtungen 100, 101 und 102 zu übermitteln. Entsprechend verifizieren die zweiten Steuervorrichtungen 100, 101 und 102 nach Empfang des Zertifikates (das beispielsweise den mittels des Schlüssels der vertrauenswürdigen Instanz verschlüsselten öffentlichen Schlüssel der ersten Steuervorrichtung 120 aufweist) das Zertifikat durch Verwenden des vorgespeicherten öffentlichen Schlüssels (beispielsweise des Schlüssels der vertrauenswürdigen Instanz). Dieser Vorgang ermöglicht die Überprüfung, ob die erste Steuervorrichtung 120 anormal/abweichend (gefälscht/dupliziert) ist. Gemäß mindestens einer Ausführungsform kann ein Hacker-Versuch, um Informationen der zweiten Steuervorrichtungen 100, 101, 102 zu stehlen oder um die Kommunikation zwischen den zweiten Steuervorrichtungen 100, 101, 102 und der ersten Steuervorrichtungen zu unterbrechen durch das Fälschen eines in der zweiten Steuervorrichtung 100, 101, 102 gespeicherten Schlüssels (beispielsweise eines gespeicherten Schlüssels der vertrauenswürdigen Instanz), verhindert werden, da in mindestens einer Ausführungsform der verwendete falsche Schlüssel einen Verifizierungs-Fehlschlag des Zertifikates der ersten Steuervorrichtung 120 veranlasst, wobei die zweiten Steuervorrichtungen 100, 101, 102 vom Fortfahren zu dem nächsten Schritt des Übermittelns ihrer inhärenten Informationen deaktiviert/gehindert werden, was zu einem Schützen vor dem Hacking-Risiko führt.
-
Obwohl die Schritte S300 bis S340, die Schritte S400 bis S470 und die Schritte S500 bis S560 in 3 bis 5 als sequentiell durchgeführt beschrieben werden, instanziieren diese lediglich den technischen Gedanken einiger Ausführungsformen der vorliegenden Offenbarung. Daher wird von dem Fachmann verstanden, dass verschiedene Modifikationen, Ergänzungen und Ersetzungen durch Verändern der in den 3 bis 5 dargestellten Sequenzen möglich sind oder ein paralleles Durchführen einer oder mehrerer Schritte S300 bis S340, der Schritte S400 bis S470 und der Schritte S500 bis S560 ohne von der Kernaussage und der Ausführungsform der vorliegenden Offenbarung abzuweichen, und daher sind die Schritte in den 3 bis 5 nicht auf die dargestellten chronologischen Sequenzen begrenzt.
-
Die in den 3 bis 5 gezeigten Schritte können als computer-lesbarer Code auf einem computer-lesbaren Speichermedium implementiert sein. Das computer-lesbare Speichermedium kann jede Art von Speichervorrichtung sein, deren Daten von einem Computersystem gelesen werden können. Beispiele für ein computer-lesbares Speichermedium weisen ein magnetisches Speichermedium (z.B. ein ROM, eine Diskette, eine Festplatte, etc.), ein optisch-lesbares Medium (z.B. eine CD-ROM, eine DVD, etc.) und dergleichen auf. Ferner kann das computer-lesbare Speichermedium in einem Computersystem, das mittels eines Netzwerkes verbunden ist, verteilt sein, wobei der computer-lesbare Code in einer verteilten Art und Weise gespeichert und ausgeführt werden kann.
-
Obwohl die beispielhaften Ausführungsformen der vorliegenden Offenbarung für illustrative Zwecke beschrieben wurden, wird von dem Fachmann verstanden, dass verschiedene Modifikationen, Ergänzungen und Ersetzungen möglich sind, ohne von dem Gedanken und dem Umfang der beanspruchten Erfindung abzuweichen. Daher wurden die beispielhaften Ausführungsformen der vorliegenden Offenbarung beschrieben, um sich kurz und klar zu halten. Der Umfang des technischen Gedankens der vorliegenden Ausführungsformen ist nicht auf die Darstellungen begrenzt. Dementsprechend wird von einem Fachmann verstanden, dass der Umfang der beanspruchten Erfindung nicht auf die oben explizit beschriebenen Ausführungsformen begrenzt ist, sondern durch die Ansprüche und deren Äquivalente gegeben wird.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-