DE102019201133A1 - Motor vehicle - Google Patents

Motor vehicle Download PDF

Info

Publication number
DE102019201133A1
DE102019201133A1 DE102019201133.0A DE102019201133A DE102019201133A1 DE 102019201133 A1 DE102019201133 A1 DE 102019201133A1 DE 102019201133 A DE102019201133 A DE 102019201133A DE 102019201133 A1 DE102019201133 A1 DE 102019201133A1
Authority
DE
Germany
Prior art keywords
transceiver
bus system
motor vehicle
vehicle
vehicle bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102019201133.0A
Other languages
German (de)
Other versions
DE102019201133B4 (en
Inventor
Robert Dreyer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Publication of DE102019201133A1 publication Critical patent/DE102019201133A1/en
Application granted granted Critical
Publication of DE102019201133B4 publication Critical patent/DE102019201133B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Kraftfahrzeug mit einem inneren sicherheitsrelevanten Fahrzeugbussystem sowie mit unmittelbar an das innere Fahrzeugbussystem angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden Modulen, wobei das Kraftfahrzeug ein äußeres Fahrzeugbussystem sowie unmittelbar an das äußere Fahrzeugbussystem angeschlossene nicht sicherheitsrelevante Module wie zum Beispiel eine Telefonschnittstelle, eine Klimaautomatik, ein Navigationssystem oder ein Infotainmentsystem aufweist, wobei das Kraftfahrzeug ein Sicherheitsmodul zur datentechnischen Kopplung des inneren Fahrzeug Bussystems mit dem äußeren Fahrzeugbussystem aufweist, und wobei das Sicherheitsmodul einen an das innere Fahrzeugbussystem angeschlossenen inneren Transceiver und einen an das äußere Fahrzeugbussystem angeschlossenen äußeren Transceiver umfasst.The invention relates to a motor vehicle with an inner safety-relevant vehicle bus system and with modules relating to the safety of the motor vehicle which are connected directly to the inner vehicle bus system, the motor vehicle comprising an outer vehicle bus system and non-safety-related modules directly connected to the outer vehicle bus system, for example a telephone interface, automatic climate control, has a navigation system or an infotainment system, the motor vehicle having a security module for data-technical coupling of the inner vehicle bus system to the outer vehicle bus system, and the security module comprising an inner transceiver connected to the inner vehicle bus system and an outer transceiver connected to the outer vehicle bus system.

Description

Die Erfindung betrifft ein Kraftfahrzeug mit einem inneren (sicherheitsrelevanten) Fahrzeugbussystem sowie mit unmittelbar an das innere Fahrzeugbussystem angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden (d.h. sicherheitskritischen) Modulen, wobei das Kraftfahrzeug ein äußeres Fahrzeugbussystem sowie unmittelbar an das äußere Fahrzeugbussystem angeschlossene nicht sicherheitsrelevante Module aufweist, wobei das Kraftfahrzeug ein Sicherheitsmodul zur datentechnischen Kopplung des inneren Fahrzeugbussystems mit dem äußeren Fahrzeugbussystem aufweist, und wobei das Sicherheitsmodul einen an das innere Fahrzeugbussystem angeschlossenen inneren Transceiver und einen an das äußere Fahrzeugbussystem angeschlossenen äußeren Transceiver umfasst.The invention relates to a motor vehicle with an inner (safety-relevant) vehicle bus system and with modules relating to the safety of the motor vehicle (ie safety-critical) modules connected directly to the inner vehicle bus system, the motor vehicle having an outer vehicle bus system and non-safety-related modules connected directly to the outer vehicle bus system, wherein the motor vehicle has a security module for data-technical coupling of the inner vehicle bus system to the outer vehicle bus system, and the security module comprises an inner transceiver connected to the inner vehicle bus system and an outer transceiver connected to the outer vehicle bus system.

Insbesondere sicherheitskritische Steuergeräte sind vor unberechtigten Zugriffen zu schützen. Über die Fahrzeugbussysteme sind jedoch auch diese Steuergeräte, wie zum Beispiel ABS-Steuergeräte, mit anderen, nicht sicherheitsrelevanten, Komponenten verbunden. Einige dieser Komponenten, beispielsweise das HMI, bieten Kopplungsmöglichkeiten mit mobilen Endgeräten über Bluetooth, W-LAN oder USB und sind damit einer erhöhten Manipulationsgefahr ausgesetzt. Die USB-Schnittstellen erfordern zwar einen physischen Zugang zu dem Fahrzeug, über Bad-USB-Angriffe kann es jedoch mit manipulierten USB-Medien ungewollt durch einen Bediener selbst zu unerlaubten Eingriffsversuchen kommen. Über Funktechniken wie Bluetooth und W-LAN sind Angriffe auch von außerhalb des Fahrzeugs möglich, jedoch auf die nähere Umgebung begrenzt. Mit dem Internet verbundene Systeme, ob direkt oder indirekt über den Umweg eines gekoppelten mobilen Endgeräts verbunden, sind von überall aus angreifbar. Um Abhilfe zu schaffen, schlägt die WO 2013/144962 A1 eine Vielzahl von Optionen zur Implementierung eines Schutzes für sicherheitsrelevante Steuerungen in einem Verbund vor. Dabei ist unter anderem eine Lösung vorgesehen, bei der zwei Bussysteme mittels zweier Transceiver gekoppelt sind, wobei zwischen den Transceivern ein sogenanntes FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) vorgesehen ist. Dieses FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) ist über eine Schnittstelle für Computer zugänglich.Safety-critical control units in particular must be protected against unauthorized access. However, these control units, such as ABS control units, are also connected to other, non-safety-related components via the vehicle bus systems. Some of these components, such as that HMI , offer coupling options with mobile devices via Bluetooth, W-LAN or USB and are therefore exposed to an increased risk of manipulation. Although the USB interfaces require physical access to the vehicle, manipulated USB media can result in unauthorized attempts by the operator to manipulate the USB media. Attacks from outside the vehicle are also possible via radio technologies such as Bluetooth and W-LAN, but are limited to the surrounding area. Systems connected to the Internet, whether connected directly or indirectly via a detour to a connected mobile device, can be attacked from anywhere. To remedy the situation, the WO 2013/144962 A1 a variety of options for implementing protection for safety-related controls in a network. Among other things, a solution is provided in which two bus systems are coupled by means of two transceivers, a so-called FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) being provided between the transceivers. This FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) is accessible via an interface for computers.

Die EP 2 767 097 B1 offenbart ein Kraftfahrzeug, bei dem zur Überwachung der Kommunikation zwischen einer Telemetriebox und einer Steuergerät-Endstelle eine Firewall in einem CAN-Bus zwischen den Schnittstellen von Telemetriebox und Steuergerät-Endstelle integriert ist. Diese CAN-Firewall weist eine bidirektionale CAN-Schnittstelle auf, mittels derer die Anbindung sowohl an die Telemetriebox als auch an die Steuergerät-Endstelle über den CAN-Bus erfolgt. Auf diese Weise wird die gesamte Kommunikation zwischen der Telemetriebox und der Steuergerät-Endstelle über die Firewall abgewickelt. Diese ist als eigenständige Hardwareplattform gebildet und weist einen Mikrocontroller auf, der von einer Überwachungseinheit in Form eines Safety-Mikrocontrollers mittels Watchdogbetrieb überwacht wird. Der Mikrocontroller greift zur Umsetzung der Firewall-Funktionalitäten auf einen Regelvorrat zurück, welcher als Whitelist bzw. weiße Liste in einem Speicher hinterlegt ist. Die WO 00/09363 offenbart eine Firewall zwischen einem Fahrzeug PC und einem Fahrzeug-Bus.The EP 2 767 097 B1 discloses a motor vehicle in which a firewall is integrated in a CAN bus between the interfaces of the telemetry box and the control unit terminal for monitoring the communication between a telemetry box and a control unit terminal. This CAN firewall has a bidirectional CAN interface, by means of which the connection to both the telemetry box and the control unit end point is established via the CAN bus. In this way, all communication between the telemetry box and the control unit end point is handled via the firewall. This is formed as an independent hardware platform and has a microcontroller that is monitored by a monitoring unit in the form of a safety microcontroller using watchdog operation. The microcontroller uses a set of rules to implement the firewall functions, which is stored in a memory as a whitelist or white list. The WO 00/09363 discloses a firewall between a vehicle PC and a vehicle bus.

Es ist Aufgabe der Erfindung, die die Sicherheit des Kraftfahrzeugs betreffenden Module in einem Kraftfahrzeug vor unlauterem Zugriff, insbesondere vor Hackerangriffen, zu schützen. Dabei ist es jedoch insbesondere wünschenswert, trotz dieser Schutzfunktion Updates dieser Module zuzulassen, insbesondere online-Updates.It is an object of the invention to protect the modules relating to the safety of the motor vehicle in a motor vehicle from unfair access, in particular from hacker attacks. However, it is particularly desirable to allow updates of these modules, in particular online updates, despite this protective function.

Vorgenannte Aufgabe wird durch ein Kraftfahrzeug mit einem inneren (sicherheitsrelevanten) Fahrzeugbussystem sowie mit unmittelbar an das innere Fahrzeugbussystem angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden Modulen gelöst, wobei das Kraftfahrzeug ein äußeres Fahrzeugbussystem sowie unmittelbar an das äußere Fahrzeugbussystem angeschlossene nicht sicherheitsrelevante Module aufweist, wobei das Kraftfahrzeug ein Sicherheitsmodul zur datentechnischen Kopplung des inneren Fahrzeugbussystems mit dem äußeren Fahrzeugbussystem aufweist, und wobei das Sicherheitsmodul einen an das innere Fahrzeugbussystem angeschlossenen (z.B. einen oder mehrere Mikrocontroller umfassenden) inneren Transceiver und einen an das äußere Fahrzeugbussystem angeschlossenen (z.B. einen oder mehrere Mikrocontroller umfassenden) äußeren Transceiver umfasst, wobei das Sicherheitsmodul eine erste eindirektionale Datenleitung zur, insbesondere direkten, Kopplung des äußeren Transceivers mit dem inneren Transceiver zwecks Übertragung von Daten ausschließlich von dem äußeren Transceiver zum inneren Transceiver und/oder eine zweite eindirektionale Datenleitung zur, insbesondere direkten, Kopplung des inneren Transceivers mit dem äußeren Transceiver zwecks Übertragung von Daten ausschließlich von dem inneren Transceiver zum äußeren Transceiver umfasst.The aforementioned object is achieved by a motor vehicle with an inner (safety-relevant) vehicle bus system and with modules relating to the safety of the motor vehicle connected directly to the inner vehicle bus system, the motor vehicle having an outer vehicle bus system and non-safety-relevant modules directly connected to the outer vehicle bus system, the motor vehicle has a security module for data-technical coupling of the inner vehicle bus system with the outer vehicle bus system, and wherein the security module has an inner transceiver connected to the inner vehicle bus system (e.g. comprising one or more microcontrollers) and an outer transceiver connected to the outer vehicle bus system (e.g. comprising one or more microcontrollers) Transceiver comprises, wherein the security module a first unidirectional data line for, in particular direct, coupling of the outer transceiver with the inner one Transceiver for the purpose of transmitting data exclusively from the outer transceiver to the inner transceiver and / or a second unidirectional data line for, in particular direct, coupling of the inner transceiver to the outer transceiver for the purpose of transmitting data exclusively from the inner transceiver to the outer transceiver.

Nicht sicherheitsrelevante Module können z.B. ein Infotainmentsystem, eine Klimaautomatik und/oder ein Navigationssystem sein. Nicht sicherheitsrelevante Module im Sinne der Erfindung können jedoch auch z.B. eine Telefonschnittstelle oder ein Telefon sein. Nicht sicherheitsrelevante Module können auch eine W-LAN-Schnittstelle eine USB-Schnittstelle oder eine Bluetooth-Schnittstelle umfassen. Ein weiteres Ausführungsbeispiel für ein nicht sicherheitsrelevantes Modul im Sinne der Erfindung ist ein HMI bzw. eine Anzeige- und Bedienvorrichtung, wie sie typischerweise in der Mitte des Armaturenbretts des Kraftfahrzeuges angeordnet ist. Die Sicherheit des Kraftfahrzeuges betreffende Module (sicherheitsrelevante bzw. sicherheitskritische Module) können beispielsweise eine Motorsteuerung, eine Fahrdynamikregelung (Einzelheiten zur Fahrdynamikregelung können insbesondere den Buch Bosch Fahrsicherheitssysteme ISBN 3-528-03875-6, Seite 206 bis 239, sowie dem Buch Bosch Automotive Handbook ISBN 978-1-119-03294-6, Seite 764 bis 793 entnommen werden), eine Bremssteuerung bzw. eine Getriebesteuerung sein. Eine Fahrdynamikregelung ist beispielsweise ein ESP-System.Modules that are not safety-relevant can be, for example, an infotainment system, an automatic climate control and / or a navigation system. Non-security-relevant modules within the meaning of the invention can, however, also be, for example, a telephone interface or a telephone. Modules that are not safety-relevant can also have a W-LAN interface, a USB interface or a Bluetooth interface include. Another exemplary embodiment of a non-security-relevant module in the sense of the invention is a HMI or a display and operating device, as is typically arranged in the center of the dashboard of the motor vehicle. Modules relating to the safety of the motor vehicle (safety-relevant or safety-critical modules) can be, for example, an engine control system, a vehicle dynamics control system (details on vehicle dynamics control system can be found in particular in the book Bosch Driving Safety Systems ISBN 3-528-03875-6, pages 206 to 239, and the Bosch Automotive Handbook ISBN 978-1-119-03294-6, pages 764 to 793), a brake control or a transmission control. A vehicle dynamics control is, for example, an ESP system.

Ein Fahrzeugbussystem kann beispielsweise ein CAN-Bus sein. Ein inneres Fahrzeugbussystem ist im Sinne der Erfindung ein sicherheitsrelevantes Fahrzeugbussystem also insbesondere ein Fahrzeugbussystem, mit dem die Sicherheit des Kraftfahrzeuges betreffende Module gekoppelt sind.A vehicle bus system can be a CAN bus, for example. For the purposes of the invention, an internal vehicle bus system is a safety-relevant vehicle bus system, in particular a vehicle bus system with which modules relating to the safety of the motor vehicle are coupled.

Unter einer direkten Kopplung zwischen einem inneren Transceiver und einem äußeren Transceiver soll verstanden werden, dass diese mit einer Datenleitung bzw. Datenleitungen verbunden sind. Es soll insbesondere bedeuten, dass zwischen dem inneren und dem äußeren Transceiver kein Modul, insbesondere kein Modul mit Rechenleistung oder Rechenaufgaben oder ähnlichem vorgesehen ist. Insbesondere ist kein FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) vorgesehen, wie es beispielsweise die WO 2013/144962 A1 offenbart.A direct coupling between an inner transceiver and an outer transceiver should be understood to mean that these are connected to a data line or data lines. In particular, it should mean that no module, in particular no module with computing power or computing tasks or the like, is provided between the inner and the outer transceiver. In particular, no FILTER / PROXY ELEMENT (MESSAGE CLASSIFICATION AND ANALYZER UNIT) is provided, such as the WO 2013/144962 A1 disclosed.

In vorteilhafter Ausgestaltung der Erfindung ist die erste Datenleitung eine parallele Datenleitung. In weiterhin vorteilhafter Ausgestaltung der Erfindung ist die zweite Datenleitung eine serielle Datenleitung. In weiterhin vorteilhafter Ausgestaltung der Erfindung erzeugt der innere Transceiver das Taktsignal für die serielle Datenleitung. Es ist insbesondere vorgesehen, dass der innere Transceiver das Taktsignal für die serielle Datenleitung mittels einer Takt Datenleitung an den äußeren Transceiver überträgt.In an advantageous embodiment of the invention, the first data line is a parallel data line. In a further advantageous embodiment of the invention, the second data line is a serial data line. In a further advantageous embodiment of the invention, the inner transceiver generates the clock signal for the serial data line. In particular, it is provided that the inner transceiver transmits the clock signal for the serial data line to the outer transceiver by means of a clock data line.

In weiterhin vorteilhafter Ausgestaltung der Erfindung umfasst das Sicherheitsmodul eine dritte eindirektionale Datenleitung zur, insbesondere direkten, Kopplung des äußeren Transceivers mit dem inneren Transceiver zwecks Übertragung von Empfangsbestätigungen von dem äußeren Transceiver zum inneren Transceiver.In a further advantageous embodiment of the invention, the security module comprises a third unidirectional data line for, in particular direct, coupling of the outer transceiver to the inner transceiver for the purpose of transmitting acknowledgments of receipt from the outer transceiver to the inner transceiver.

In weiterhin vorteilhafter Ausgestaltung der Erfindung umfasst der innere Transceiver eine Datenbasis mit zugelassenen Signalnummern und/oder gültigen Wertebereichen. In weiterhin vorteilhafter Ausgestaltung der Erfindung ist der innere Transceiver derart ausgestaltet, dass er nur Nachrichten an das innere Fahrzeugbussystem übermittelt, die aus gültigen Signalnummern und/oder gültigen Wertebereichen bestehen.In a further advantageous embodiment of the invention, the inner transceiver comprises a database with approved signal numbers and / or valid value ranges. In a further advantageous embodiment of the invention, the inner transceiver is designed such that it only transmits messages to the inner vehicle bus system that consist of valid signal numbers and / or valid value ranges.

In weiterhin vorteilhafter Ausgestaltung der Erfindung umfasst das Kraftfahrzeug auch ein, insbesondere drahtloses, Kommunikationsmodul, das mit dem inneren Transceiver gekoppelt und/oder verbunden ist. In weiterhin vorteilhafter Ausgestaltung der Erfindung sind Daten von dem Kommunikationsmodul an den inneren Transceiver und/oder ein sicherheitsrelevantes Modul nur nach einer Aktivierung übertragbar. In weiterhin vorteilhafter Ausgestaltung der Erfindung sind Daten von dem Kommunikationsmodul an den inneren Transceiver und/oder ein sicherheitsrelevantes Modul nur innerhalb eines vorbestimmten Zeitintervalls nach einer Aktivierung übertragbar. Eine Aktivierung kann beispielsweise einmal am Tag erfolgen oder durch äußere Einflüsse getriggert sein (siehe detaillierte Beschreibung). Ein vorbestimmtes Zeitintervall ist beispielsweise nicht länger als 30 Sekunden.In a further advantageous embodiment of the invention, the motor vehicle also includes a, in particular wireless, communication module which is coupled and / or connected to the inner transceiver. In a further advantageous embodiment of the invention, data can only be transmitted from the communication module to the inner transceiver and / or a security-relevant module after activation. In a further advantageous embodiment of the invention, data can only be transmitted from the communication module to the inner transceiver and / or a security-relevant module within a predetermined time interval after activation. Activation can take place once a day, for example, or be triggered by external influences (see detailed description). For example, a predetermined time interval is not longer than 30 seconds.

Kraftfahrzeug im Sinne der Erfindung ist insbesondere ein individuell im Straßenverkehr benutzbares Landfahrzeug. Kraftfahrzeuge im Sinne der Erfindung sind insbesondere nicht auf Landfahrzeuge mit Verbrennungsmotor beschränkt.A motor vehicle in the sense of the invention is in particular a land vehicle that can be used individually in road traffic. Motor vehicles in the sense of the invention are in particular not limited to land vehicles with an internal combustion engine.

Weitere Vorteile und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen. Dabei zeigen:

  • 1 ein Ausführungsbeispiel eines erfindungsgemäßen Kraftfahrzeuges in einer Prinzipdarstellung,
  • 2 ein Ausführungsbeispiel eines Sicherheitsmoduls für ein Kraftfahrzeug gemäß 1,
  • 3 eine alternative Ausgestaltung eines Sicherheitsmoduls,
  • 4 ein weiteres alternatives Ausführungsbeispiel für eine Sicherheitseinrichtung, und
  • 5 ein weiteres alternatives Ausführungsbeispiel für eine Sicherheitseinrichtung.
Further advantages and details emerge from the following description of exemplary embodiments. Show:
  • 1 an embodiment of a motor vehicle according to the invention in a schematic diagram,
  • 2nd an embodiment of a security module for a motor vehicle according to 1 ,
  • 3rd an alternative embodiment of a security module,
  • 4th another alternative embodiment for a safety device, and
  • 5 another alternative embodiment for a safety device.

1 zeigt ein Ausführungsbeispiel eines erfindungsgemäßen Kraftfahrzeuges 1 in einer Prinzipdarstellung. Das Kraftfahrzeug 1 umfasst ein HMI, das ein Display 12, das mittels einer Anzeige- und Bediensteuerung 10 angesteuert wird, sowie eine Bedienanordnung 11 umfasst, die dem Display 12 zugeordnet ist, und mittels der über die Anzeige- und Bediensteuerung 10 das Display 12 bzw. die darauf dargestellten Informationen beeinflussbar ist bzw. sind. Die Bedienanordnung 11 kann zum Beispiel ein vor dem Display 12 angeordneter Touchscreen sein oder umfassen. Alternativ oder zusätzlich kann die Bedienanordnung 11 auch ein räumlich von dem Display 12 angeordnetes Bedienelement wie z.B. ein Drehknopf sein oder umfassen. Mittels der Bedienanordnung 11 sind nicht sicherheitskritische Funktionen des Kraftfahrzeugs 1, wie etwa eine Telefonschnittstelle 14 für ein Mobiltelefon 2, eine Klimaautomatik 15, ein Navigationssystem 16, ein Infotainmentsystem 17 oder weitere Funktionen ansteuerbar. Dazu sind die Telefonschnittstelle 14, das Klimaautomatik 15, die Navigationssystem 16, das Infotainmentsystem 17 sowie die weiteren nicht sicherheitskritischen Funktionen datentechnisch mittels eines äußeren Bussystems BA mit der Anzeige- und Bediensteuerung 10 des HMIs verbunden. Weitere nicht sicherheitskritische Funktionen des Kraftfahrzeuges 1 können etwa eine WLAN-Schnittstelle 18, eine Bluetooth-Schnittstelle 21, eine USB-Schnittstelle 22 oder z.B. eine Sporttaste 23 sein. 1 shows an embodiment of a motor vehicle according to the invention 1 in a schematic diagram. The car 1 includes a HMI which is a display 12th by means of a display and operating control 10 is controlled, and an operating arrangement 11 includes the display 12th is assigned, and by means of the display and control 10 the display 12th or the information displayed on it can be influenced. The operating arrangement 11 can for example one in front of the display 12th arranged or include touchscreen. Alternatively or additionally, the Control arrangement 11 also a spatially from the display 12th arranged control element such as a rotary knob or include. By means of the operating arrangement 11 are not safety-critical functions of the motor vehicle 1 , such as a telephone interface 14 for a mobile phone 2nd , an automatic climate control 15 , a navigation system 16 , an infotainment system 17th or other functions can be controlled. To do this are the telephone interface 14 , the automatic climate control 15 who have favourited Navigation system 16 , the infotainment system 17th and the other non-safety-critical functions in terms of data technology using an external bus system BA with the display and operating controls 10 connected to the HMI. Other functions of the motor vehicle that are not critical to safety 1 can use a WLAN interface 18th , a Bluetooth interface 21st , a USB interface 22 or a sports button, for example 23 be.

Das Kraftfahrzeug 1 umfasst zudem sicherheitsrelevante Funktionen wie etwa eine Motorsteuerung 31, ein ESP 32 oder eine Getriebesteuerung 33. Bezugszeichen 34, 35, 36 bezeichnen weitere sicherheitskritische Funktionen bzw. Module des Kraftfahrzeuges 1. Die sicherheitskritischen Module des Kraftfahrzeuges 31, 32, 33, 34, 35, 36 sind mittels eines inneren Bussystems BI gekoppelt.The car 1 also includes safety-related functions such as engine control 31 , an ESP 32 or a transmission control 33 . Reference numerals 34 , 35 , 36 denote further safety-critical functions or modules of the motor vehicle 1 . The safety-critical modules of the motor vehicle 31 , 32 , 33 , 34 , 35 , 36 are by means of an internal bus system BI coupled.

Das äußere Fahrzeugbussystem BA und das innere Fahrzeugbussystem BI sind mittels eines Sicherheitsmoduls 100, das in 2 detailliert dargestellt ist, gekoppelt. Das Sicherheitsmodul 100 umfasst zwei vermittelnde vorzugsweise aus Mikrocontrollern aufgebaute Transceiver, einen äußeren Transceiver TA und einen inneren Transceiver TI, wobei der äußere Transceiver TA an das öffentlich zugängliche äußere Fahrzeugbussystem BA und der innere Transceiver TI an das sicherheitsrelevante innere Fahrzeugbussystem Bl angeschlossen ist.The outer vehicle bus system BA and the inner vehicle bus system BI are by means of a security module 100 , this in 2nd is shown in detail, coupled. The security module 100 comprises two mediating transceivers, preferably made up of microcontrollers, an external transceiver TA and an internal transceiver TI , with the outer transceiver TA to the publicly accessible external vehicle bus system BA and the inner transceiver TI is connected to the safety-relevant inner vehicle bus system Bl.

Die Übertragung vom äußeren Transceiver TA an den inneren Transceiver TI kann über eine parallele oder serielle Schnittstelle erfolgen. Zum Schutz vor Buffer-Overflow-Angriffen wird jedoch ein paralleles Interface bevorzugt. Jedem vom äußeren Transceiver TA an den inneren Transceiver TI zu übertragenden Signal wird eine binäre Codierung zugewiesen, die auch als Nummer des Signals verstanden werden kann. Neben der Signalnummer wird bei Bedarf auch der Wert seines Parameters übertragen. Z.B. ist es mit einem 8-bit breiten Signal-Interface und einem 8-bit breiten Parameter-Interface (insgesamt 16 Leitungen, d.h. acht parallele Datenleitungen PDL und acht Signalleitungen SL) möglich, 256 verschiedene Signale mit jeweils bis zu 256 unterschiedlichen Werten zu übertragen. Die Festlegung der Signale und der gültigen Wertebereiche erfolgt auf beiden Transceivern bei der Band-Ende-Bedatung. Vom inneren Transceiver TI werden nur bekannte Signalnummern mit gültigem Wertebereich des Parameters angenommen, ggf. weiter verarbeitet, in die von den Steuergeräten erwartete Form zurückübersetzt und in das sicherheitsrelevante Fahrzeugbussystem BI eingespeist. Unbekannte Signale, oder welche mit überschrittenem Wertebereich, werden nicht an die angeschlossenen Steuergeräte bzw. Module 31, 32, 33, 34, 35, 36 weitergeleitet (ggf. erfolgt in solchen Fällen eine Rückmeldung an den äußeren Transceiver TA). Dies entspricht dem Konzept einer Whitelist, wie sie in 2 durch den Datenspeicher WL in dem inneren Transceiver TI symbolisiert ist. Da für die Datenübertragung vom äußerer Transceiver TA an den inneren Transceiver TI somit eine gezielte Festlegung von Signalen erforderlich ist, wird sichergestellt, dass nicht versehentlich Daten übertragen werden.The transmission from the outer transceiver TA to the inner transceiver TI can be done via a parallel or serial interface. To protect against buffer overflow attacks, a parallel interface is preferred. Everyone from the outside transceiver TA to the inner transceiver TI A binary coding is assigned to the signal to be transmitted, which can also be understood as the number of the signal. In addition to the signal number, the value of its parameter is also transferred if necessary. For example, with an 8-bit wide signal interface and an 8-bit wide parameter interface (a total of 16 lines, ie eight parallel data lines PDL and eight signal lines SL), it is possible to transmit 256 different signals, each with up to 256 different values . The signals and the valid value ranges are defined on both transceivers with the end-of-band signaling. From the inner transceiver TI only known signal numbers with a valid value range of the parameter are accepted, possibly further processed, translated back into the form expected by the control units and into the safety-relevant vehicle bus system BI fed. Unknown signals, or those with an exceeded value range, are not sent to the connected control units or modules 31 , 32 , 33 , 34 , 35 , 36 forwarded (in such cases, feedback may be sent to the external transceiver TA ). This corresponds to the concept of a whitelist as described in 2nd through the data store WL in the inner transceiver TI is symbolized. As for data transmission from the external transceiver TA to the inner transceiver TI thus a specific definition of signals is required, it is ensured that data is not accidentally transmitted.

Die Geschwindigkeit, mit der der innere Transceiver TI die eingehenden Signale maximal verarbeitet, kann vom äußeren Transceiver TA nicht beeinflusst werden. Bei Bedarf kann der innere Transceiver TI zu kurz hintereinander eintreffende Signale oder Signalkombinationen filtern und verwerfen. Dadurch ist sichergestellt, dass das sicherheitsrelevante Fahrzeugbussystem BI nicht durch DOS-Angriffe überlastet wird. In Bezug auf Signale vom inneren Transceiver TI an den äußeren Transceiver TA ist dies nicht vorgesehen, da davon ausgegangen wird, dass das sicherheitsrelevante Fahrzeugbussystem BI nicht kompromittiert ist. Signale in diese Richtung können daher bei Bedarf ohne vorherige Verarbeitung in ihrem Originalzustand versendet werden. Hierfür kann wiederum eine serielle oder parallele Schnittstelle verwendet werden. Um Leitungen einzusparen wird hier ein serielles Interface (serielle Datenleitung SDL) bevorzugt. Wichtig ist hierbei, dass dieses auf physikalischer Ebene nur unidirektional in diese Richtung übertragen kann. Bei Bedarf kann eine zusätzliche Taktleitung TL vom inneren Transceiver TI zum äußeren Transceiver TA vorgesehen werden. Zum Schutz des inneren Transceivers TI liefert dieser hierbei die Taktsignale. Erfordert das Interface eine Rückmeldung über die erfolgreiche Datenübertragung, kann hierfür eine zusätzliche Leitung ES vorgesehen werden, auf der der äußere Transceiver TA dem inneren Transceiver TI dies als Statusbit mitteilt.The speed at which the internal transceiver TI The incoming signals can be processed to the maximum by the external transceiver TA not be influenced. If necessary, the inner transceiver TI Filter and reject signals or signal combinations that arrive too short in succession. This ensures that the safety-relevant vehicle bus system BI is not overloaded by DOS attacks. Regarding signals from the internal transceiver TI to the outer transceiver TA this is not intended because it is assumed that the safety-relevant vehicle bus system BI is not compromised. Signals in this direction can therefore be sent in their original state if necessary without prior processing. A serial or parallel interface can be used for this. To save lines, a serial interface (serial data line SDL ) prefers. It is important here that this can only transmit unidirectionally in this direction on the physical level. If necessary, an additional clock line TL from the inner transceiver TI to the outer transceiver TA be provided. To protect the internal transceiver TI this provides the clock signals. If the interface requires feedback about the successful data transfer, an additional line can be used IT be provided on the outer transceiver TA the inner transceiver TI communicates this as a status bit.

Da vom inneren Transceiver TI zum äußeren Transceiver TA beliebige, auch vorher nicht festgelegte Inhalte übertragen werden können, ist die Kommunikation in dieser Richtung nicht eingeschränkt. So ist beispielsweise auch ein Update (Flashen) des gesamten Fahrzeugs über nur eine Schnittstelle möglich, sofern diese in dem Bereich des (sicherheitskritischen) inneren Fahrzeugbussystems BI liegt. Die Schnittstelle zwischen inneren Transceiver TI und äußeren Transceiver TA darf Tl-seitig auf Hardwareebene nicht geeignet sein, dessen Software zu ändern (z.B. Programmspeicher Flashen).Because of the inner transceiver TI to the outer transceiver TA Any content that has not yet been specified can be transmitted, communication in this direction is not restricted. For example, an update (flashing) of the entire vehicle is possible via only one interface, provided that this is in the area of the (safety-critical) inner vehicle bus system BI lies. The interface between inner transceivers TI and outer transceiver TA On the hardware side, the Tl side may not be suitable for changing its software (eg program memory flashing).

Der äußere Transceiver TA und der innere Transceiver TI können örtlich getrennt sein, können jedoch bei geeigneter Auslegung auch in einem Steuergerät, auf einer Platine oder sogar in einem Mikrochip untergebracht sein. The outer transceiver TA and the inner transceiver TI can be spatially separated, but can also be accommodated in a control device, on a circuit board or even in a microchip if suitably designed.

Das sicherheitsrelevante Fahrzeugbussystem BI kann wirksam vor elektrischer Beschädigung durch das öffentlich zugängliche Fahrzeugbussystem TA geschützt werden, wenn in die Kommunikationsleitungen zwischen äußerem Transceiver TA und innerem Transceiver TI geeignete Bauelemente, z.B. Optokoppler, eingesetzt werden.The safety-relevant vehicle bus system BI can effectively prevent electrical damage from the publicly accessible vehicle bus system TA protected when in the communication lines between the external transceiver TA and internal transceiver TI Suitable components, such as optocouplers, are used.

Eine Aktualisierung der Steuergeräte bzw. Module 31, 32, 33, 34, 35, 36 im inneren Fahrzeugbussystem BI erfordert physischen Zugang zu diesem, was in der Produktion oder in einer Werkstatt jedoch gegeben ist, wenn die entsprechende Schnittstelle dort vorgesehen wird. Da eine Softwareübertragung aus dem inneren in das äußere Fahrzeugbussystem BA möglich ist, ist hierbei nur ein Zugang erforderlich. Die beiden Netze, das innere Fahrzeugbussystem BI und das äußere Fahrzeugbussystem BA, müssen in diesem Falle nicht mit getrennten Prozessen aktualisiert werden.An update of the control units or modules 31 , 32 , 33 , 34 , 35 , 36 in the inner vehicle bus system BI requires physical access to it, but this is available in production or in a workshop if the appropriate interface is provided there. Because a software transfer from the inner to the outer vehicle bus system BA only one access is required. The two networks, the inner vehicle bus system BI and the outer vehicle bus system BA , do not have to be updated with separate processes in this case.

Für Online-Updates des inneren Fahrzeugbussystems BI wird in 3 eine alternative Ausgestaltung eines Sicherheitsmoduls 101 zum Ersatz des Sicherheitsmoduls 100 vorgeschlagen. Dabei verfügt das innere Fahrzeugbussystem BI hierzu über ein Kommunikationsmodul KOMI (z.B. Mobilfunkmodem), welches von dem äußeren Fahrzeugbussystem BA getrennt ist, und das vorzugsweise nur bei Bedarf eingeschaltet wird. Erhöhte Schutzwirkung wird erzielt, in dem das innere Fahrzeugbussystem BI nicht permanent und/oder nur von legitimen Gegenstellen aus erreichbar ist. Online-Updates des äußeren Fahrzeugsystems erfolgen beispielsweise über die Telefonschnittstelle 14 oder die WLAN-Schnittstelle 18 oder, wie in 4 dargestellt, mittels einer alternativen Ausgestaltung des Sicherheitsmoduls 102 durch ein zusätzliches Kommunikationsmodul KOMA. In der Ausgestaltung von 4 ist das zusätzliche Kommunikationsmodul KOMA auf Leitungsebene zu jedem Zeitpunkt nur mit dem äußeren Fahrzeugbussystem BA verbunden. Statt eines zusätzlichen Kommunikationsmoduls KOMA ist es auch möglich ein gemeinsames Kommunikationsmodul zu nutzen. 5 zeigt solch eine alternative Ausgestaltung eines Sicherheitsmoduls 103 mit einem gemeinsamen Kommunikationsmodul KOM. Dieses Kommunikationsmodul kann jedoch nie gleichzeitig mit dem inneren Fahrzeugbussystem BI und mit dem äußeren Fahrzeugbussystem BA verbunden sein. Zur Trennung kann z.B. ein Halbleiterschalter oder Relais (Umschaltmodul UMS) benutzt werden, wie dies in 5 dargestellt ist. In diesem Ausführungsbeispiel ermöglicht das gemeinsame Kommunikationsmodul KOM Online-Updates des inneren Fahrzeugbussystems BI und des äußeren Fahrzeugbussystems BA.For online updates of the inner vehicle bus system BI is in 3rd an alternative embodiment of a security module 101 to replace the security module 100 suggested. The inner vehicle bus system BI for this purpose via a communication module KOMI (eg cell phone modem) which is provided by the external vehicle bus system BA is separated, and is preferably switched on only when needed. Increased protection is achieved in the inner vehicle bus system BI cannot be reached permanently and / or only from legitimate remote sites. Online updates of the external vehicle system are carried out, for example, via the telephone interface 14 or the WLAN interface 18th or, as in 4th shown, by means of an alternative embodiment of the security module 102 through an additional communication module COMA . In the design of 4th is the additional communication module COMA at management level only with the external vehicle bus system at any time BA connected. Instead of an additional communication module COMA it is also possible to use a common communication module. 5 shows such an alternative embodiment of a security module 103 with a common communication module KOM. However, this communication module can never coexist with the inner vehicle bus system BI and with the outer vehicle bus system BA be connected. For example, a semiconductor switch or relay (UMS switch module) can be used for the separation, as shown in 5 is shown. In this exemplary embodiment, the common communication module KOM enables online updates of the inner vehicle bus system BI and the outer vehicle bus system BA .

In vorteilhafter Ausgestaltung ist vorgesehen, dass das innere Fahrzeugbussystem BI nicht permanent mit der Außenwelt verbunden ist, sodass sich die für Angriffe zur Verfügung stehende Zeit reduziert. Die Kommunikation kann temporär durch unterschiedliche Methoden aktiviert (vgl. Aktivierung im Sinne der Ansprüche) werden, beispielsweise:

  • (i) Das innere Fahrzeugbussystem BI aktiviert (in einer bevorzugten Ausführungsform) in bestimmten Abständen die Kommunikation von sich aus. Um Vorhersagen zu erschweren, sollte dies nicht zu festen Zeiten erfolgen, sondern zufällig innerhalb eines Zeitraums, z.B. einmal am Tag. Wird die Kommunikation einmal am Tag zur Prüfung auf Updates für 30 Sekunden eingeschaltet, so ist das Kraftfahrzeug 1 nur ca. 0,035% eines Tages erreichbar. Updates können hierbei zwar nicht vom Server angestoßen und sofort verteilt werden, sondern erst, wenn das Kraftfahrzeug 1 die Kommunikation von sich aus aktiviert.
  • (ii) Der Updateserver sendet zunächst an das äußere Fahrzeugbussystem BA die Information, dass Updates bereitstehen. Das äußere Fahrzeugbussystem BA aktiviert daraufhin die Kommunikation für das innere Fahrzeugbussystem BI.
  • (iii) Der Kunde/Bediener/Fahrer aktiviert die Kommunikation manuell, ggf. für eine automatisch begrenzte Zeit (Timer). Ein Hinweis, dass Updates verfügbar sind, könnte bei Bedarf vom äußeren Fahrzeugbussystem BA angezeigt werden, z.B. im HMI.
In an advantageous embodiment it is provided that the inner vehicle bus system BI is not permanently connected to the outside world, so that the time available for attacks is reduced. Communication can be temporarily activated by different methods (see activation in terms of the claims), for example:
  • (i) The inner vehicle bus system BI activates communication (in a preferred embodiment) at certain intervals on its own. To make predictions more difficult, this should not be done at fixed times, but randomly within a period of time, e.g. once a day. If the communication is switched on once a day to check for updates for 30 seconds, the motor vehicle is 1 only reachable approx. 0.035% one day. Updates cannot be triggered by the server and distributed immediately, but only when the motor vehicle 1 communication is activated by itself.
  • (ii) The update server first sends to the outer vehicle bus system BA the information that updates are available. The outer vehicle bus system BA then activates communication for the inner vehicle bus system BI .
  • (iii) The customer / operator / driver activates the communication manually, if necessary for an automatically limited time (timer). An indication that updates are available could be provided by the outside vehicle bus system if necessary BA are displayed, e.g. in HMI .

Eine Kommunikation baut das innere Fahrzeugbussystem BI in allen Fällen nur zu Gegenstellen (Server, Backend) auf, die sich als berechtigt ausweisen können (Whitelist), alle anderen Verbindungsversuche werden verweigert. Da IP-Adressen oder Domainnamen vergleichsweise einfach zu manipulieren sind, sollte die Authentifizierung der Gegenstelle nicht dadurch, sondern mittels kryptographisch gesicherter Merkmale erfolgen (im weiteren digitales Zertifikat genannt). Da Kommunikationsaufbau und Authentifizierung durch das innere Fahrzeugbussystem BI selbst erfolgen, kann das äußere Fahrzeugbussystem BA, auch wenn es manipuliert wurde, den Updateprozess nicht angreifen oder Daten verändern (man-in-the-middle-Attacke).Communication builds the inner vehicle bus system BI in all cases only to remote sites (server, backend) that can prove to be authorized (whitelist), all other connection attempts are denied. Since IP addresses or domain names are relatively easy to manipulate, the authentication of the remote site should not be done by this, but by means of cryptographically secured features (hereinafter referred to as digital certificate). Because communication and authentication through the inner vehicle bus system BI can be done by yourself, the outer vehicle bus system BA , even if it has been manipulated, do not attack the update process or change data (man-in-the-middle attack).

Wird für jedes Fahrzeug ein eigenes fahrzeugspezifisches digitales Zertifikat verwendet, idealerweise fahrzeug- und gegenstellenseitig, werden Diebstahl oder Fälschung des Zertifikates erschwert, da sich mit einem entwendeten oder gefälschten digitalen Zertifikat nur ein einzelnes Fahrzeug angreifen lässt und nicht die gesamte Flotte. Umgekehrt lassen sich mit einem entwendeten oder gefälschten Fahrzeugzertifikat von der Gegenstelle nur Updates für ein Fahrzeug/Fahrzeugmodell herunterladen und nicht für unterschiedliche Fahrzeuge/Fahrzeugmodelle. Digitale Zertifikate sollten ein Ablaufdatum und/oder die Möglichkeit eines Wiederrufs besitzen, damit kompromittierte digitale Zertifikate ungültig gemacht werden können.If a separate vehicle-specific digital certificate is used for each vehicle, ideally on the vehicle and remote side, theft or forgery of the certificate is made more difficult, since a stolen or falsified one can be used digital certificate can only attack a single vehicle and not the entire fleet. Conversely, with a stolen or forged vehicle certificate, the remote station can only download updates for one vehicle / vehicle model and not for different vehicles / vehicle models. Digital certificates should have an expiry date and / or the possibility of revocation so that compromised digital certificates can be invalidated.

Die Übertragung der Daten zwischen innerem Fahrzeugbussystem BI und Gegenstelle sollte zum Schutz der übertragenden Daten vor Manipulation oder Auslesen kryptographisch verschlüsselt erfolgen (siehe oben). Wird bei jeder Verbindung eine neue Verschlüsselung zwischen Fahrzeug und Gegenstelle ausgehandelt, so werden Angriffe erschwert, da entwendete Verschlüsselungsdaten kein zweites Mal verwendet werden können und manipulierte Verschlüsselungsdaten für jede Verbindung neu zu berechnen sind.The transfer of data between the inner vehicle bus system BI and the remote station should be encrypted to protect the transmitted data from manipulation or reading (see above). If a new encryption is negotiated between the vehicle and the remote station for each connection, attacks are made more difficult since stolen encryption data cannot be used a second time and manipulated encryption data must be recalculated for each connection.

Die vorliegende Offenbarung erlaubt in besonders geeigneter Weise Schutz vor Hackerangriffen bezüglich des sicherheitsrelevanten bzw. sicherheitskritischen Bereichs eines Kraftfahrzeugs auf der einen und Update-Fähigkeit auf der anderen Seite. Dabei wird auch in geeigneter Weise übergreifenden Funktionen Rechnung getragen. So liegt beispielsweise in dem vorliegenden Ausführungsbeispiel die Sporttaste 23 im nicht sicherheitsrelevanten Bereich des Kraftfahrzeuges 1, greift jedoch bei ihrer Aktivierung auf die sicherheitsrelevanten bzw. sicherheitskritischen Funktionen Motorsteuerung 31, ESP 32 und Getriebesteuerung 33 zu. Trotz dieser übergreifenden Bedienung stellt die vorliegende Offenbarung einen besonders geeigneten Schutz vor Hackerangriffen sicher.The present disclosure allows protection against hacker attacks with regard to the safety-relevant or safety-critical area of a motor vehicle on the one hand and update capability on the other hand in a particularly suitable manner. Overarching functions are also taken into account in a suitable manner. For example, the sports button is located in the present exemplary embodiment 23 in the non-safety-relevant area of the motor vehicle 1 , however, when activated, accesses the safety-relevant or safety-critical functions engine control 31 , ESP 32 and transmission control 33 to. Despite this overarching operation, the present disclosure ensures particularly suitable protection against hacker attacks.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant has been generated automatically and is only included for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturPatent literature cited

  • WO 2013/144962 A1 [0002, 0008]WO 2013/144962 A1 [0002, 0008]
  • EP 2767097 B1 [0003]EP 2767097 B1 [0003]
  • WO 0009363 [0003]WO 0009363 [0003]

Claims (10)

Kraftfahrzeug (1) mit einem inneren Fahrzeugbussystem (Bl) sowie mit unmittelbar an das innere Fahrzeugbussystem (Bl) angeschlossenen die Sicherheit des Kraftfahrzeugs betreffenden Modulen (31), wobei das Kraftfahrzeug (1) ein äußeres Fahrzeugbussystem (BA) sowie unmittelbar an das äußere Fahrzeugbussystem (BA) angeschlossene nicht sicherheitsrelevante Module (15) aufweist, wobei das Kraftfahrzeug (1) ein Sicherheitsmodul (100, 101, 102, 103) zur datentechnischen Kopplung des inneren Fahrzeugbussystems (Bl) mit dem äußeren Fahrzeugbussystem (BA) aufweist, und wobei das Sicherheitsmodul (100, 101, 102, 103) einen an das innere Fahrzeugbussystem (Bl) angeschlossenen inneren Transceiver (TI) und einen an das äußere Fahrzeugbussystem (BA) angeschlossenen äußeren Transceiver (TA) umfasst, dadurch gekennzeichnet, dass das Sicherheitsmodul (100, 101, 102, 103) eine erste eindirektionale Datenleitung (PDL) zur direkten Kopplung des äußeren Transceivers (TA) mit dem inneren Transceiver (TI) zwecks Übertragung von Daten von dem äußeren Transceiver (TA) zum inneren Transceiver (TI) und/oder eine zweite eindirektionale Datenleitung (SDL) zur direkten Kopplung des inneren Transceivers (TI) mit dem äußeren Transceiver (TA) zwecks Übertragung von Daten von dem inneren Transceiver (TI) zum äußeren Transceiver (TA) umfasst.Motor vehicle (1) with an inner vehicle bus system (Bl) and with modules (31) relating to the safety of the motor vehicle connected directly to the inner vehicle bus system (Bl), the motor vehicle (1) having an outer vehicle bus system (BA) and directly to the outer vehicle bus system (BA) has connected non-safety-relevant modules (15), the motor vehicle (1) having a safety module (100, 101, 102, 103) for data-technical coupling of the inner vehicle bus system (Bl) with the outer vehicle bus system (BA), and wherein Safety module (100, 101, 102, 103) comprises an inner transceiver (TI) connected to the inner vehicle bus system (Bl) and an outer transceiver (TA) connected to the outer vehicle bus system (BA), characterized in that the safety module (100, 101, 102, 103) a first unidirectional data line (PDL) for the direct coupling of the outer transceiver (TA) with the inner transceiver (TI) between ecks transmission of data from the outer transceiver (TA) to the inner transceiver (TI) and / or a second unidirectional data line (SDL) for direct coupling of the inner transceiver (TI) with the outer transceiver (TA) for the purpose of transmitting data from the inner Transceiver (TI) to outer transceiver (TA) includes. Kraftfahrzeug (1) nach Anspruch 1, dadurch gekennzeichnet, dass die erste Datenleitung (PDL) eine parallele Datenleitung ist.Motor vehicle (1) after Claim 1 , characterized in that the first data line (PDL) is a parallel data line. Kraftfahrzeug (1) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die zweite Datenleitung (SDL) eine serielle Datenleitung ist.Motor vehicle (1) after Claim 1 or 2nd , characterized in that the second data line (SDL) is a serial data line. Kraftfahrzeug (1) nach Anspruch 3, dadurch gekennzeichnet, dass der innere Transceiver (TI) derart ausgestaltet ist, dass er das Taktsignal für die serielle Datenleitung erzeugt und/oder, insbesondere mittels einer Takt-Datenleitung (TL), an den äußeren Transceiver (TA) überträgt.Motor vehicle (1) after Claim 3 , characterized in that the inner transceiver (TI) is designed such that it generates the clock signal for the serial data line and / or, in particular by means of a clock data line (TL), transmits it to the outer transceiver (TA). Kraftfahrzeug (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Sicherheitsmodul (100, 101, 102, 103) eine dritte eindirektionale Datenleitung (ES) zur, insbesondere direkten, Kopplung des äußeren Transceivers (TA) mit dem inneren Transceiver (TI) zwecks Übertragung von Empfangsbestätigungen von dem äußeren Transceiver (TA) zum inneren Transceiver (TI) umfasst.Motor vehicle (1) according to one of the preceding claims, characterized in that the security module (100, 101, 102, 103) has a third unidirectional data line (ES) for, in particular direct, coupling of the outer transceiver (TA) to the inner transceiver (TI ) for the purpose of transmitting receipts from the outer transceiver (TA) to the inner transceiver (TI). Kraftfahrzeug (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der innere Transceiver (TI) eine Datenbasis (WL) mit zugelassenen Signalnummern und/oder gültigen Wertebereichen umfasst.Motor vehicle (1) according to one of the preceding claims, characterized in that the inner transceiver (TI) comprises a database (WL) with approved signal numbers and / or valid value ranges. Kraftfahrzeug (1) nach Anspruch 6, dadurch gekennzeichnet, dass der innere Transceiver (TI) derart ausgestaltet ist, dass er nur Nachrichten an das innere Fahrzeugbussystem übermittelt, die aus gültigen Signalnummern und/oder gültigen Wertebereichen bestehen.Motor vehicle (1) after Claim 6 , characterized in that the inner transceiver (TI) is designed such that it only transmits messages to the inner vehicle bus system which consist of valid signal numbers and / or valid value ranges. Kraftfahrzeug (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es auch ein, insbesondere drahtloses, Kommunikationsmodul (KOM, KOMI) umfasst, das mit dem inneren Transceiver (TI) gekoppelt und/oder verbunden ist.Motor vehicle (1) according to one of the preceding claims, characterized in that it also comprises a, in particular wireless, communication module (KOM, KOMI) which is coupled and / or connected to the inner transceiver (TI). Kraftfahrzeug (1) nach Anspruch 8, dadurch gekennzeichnet, dass Daten von dem Kommunikationsmodul (KOM, KOMI) an den inneren Transceiver (TI) und/oder ein sicherheitsrelevantes Modul nur nach einer Aktivierung übertragbar sind.Motor vehicle (1) after Claim 8 , characterized in that data from the communication module (KOM, KOMI) to the inner transceiver (TI) and / or a security-relevant module can only be transmitted after activation. Kraftfahrzeug (1) nach Anspruch 8, dadurch gekennzeichnet, dass Daten von dem Kommunikationsmodul (KOM, KOMI) an den inneren Transceiver (TI) und/oder ein sicherheitsrelevantes Modul nur innerhalb eines vorbestimmten Zeitintervalls nach einer Aktivierung übertragbar sind.Motor vehicle (1) after Claim 8 , characterized in that data from the communication module (KOM, KOMI) to the inner transceiver (TI) and / or a security-relevant module can only be transmitted within a predetermined time interval after activation.
DE102019201133.0A 2018-12-20 2019-01-29 Motor vehicle Active DE102019201133B4 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018222405.6 2018-12-20
DE102018222405 2018-12-20

Publications (2)

Publication Number Publication Date
DE102019201133A1 true DE102019201133A1 (en) 2020-06-25
DE102019201133B4 DE102019201133B4 (en) 2021-02-04

Family

ID=70969913

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019201133.0A Active DE102019201133B4 (en) 2018-12-20 2019-01-29 Motor vehicle

Country Status (1)

Country Link
DE (1) DE102019201133B4 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000009363A1 (en) 1998-08-10 2000-02-24 Lear Corporation Firewall for vehicle communication bus
EP1309132A1 (en) * 2000-06-30 2003-05-07 Sumitomo Electric Industries Co., Ltd. On-vehicle gateway
WO2013144962A1 (en) 2012-03-29 2013-10-03 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
US20160261561A1 (en) * 2015-03-04 2016-09-08 Electronics And Telecommunications Research Institute One-way gateway, and vehicle network system and method for protecting network within vehicle using one-way gateway
DE102016107450A1 (en) * 2016-04-04 2017-10-05 MB connect line GmbH Fernwartungssysteme Secure gateway
EP2767097B1 (en) 2011-10-11 2017-10-25 ZF Friedrichshafen AG Communication system for a motor vehicle

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000009363A1 (en) 1998-08-10 2000-02-24 Lear Corporation Firewall for vehicle communication bus
EP1309132A1 (en) * 2000-06-30 2003-05-07 Sumitomo Electric Industries Co., Ltd. On-vehicle gateway
EP2767097B1 (en) 2011-10-11 2017-10-25 ZF Friedrichshafen AG Communication system for a motor vehicle
WO2013144962A1 (en) 2012-03-29 2013-10-03 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
US20160261561A1 (en) * 2015-03-04 2016-09-08 Electronics And Telecommunications Research Institute One-way gateway, and vehicle network system and method for protecting network within vehicle using one-way gateway
DE102016107450A1 (en) * 2016-04-04 2017-10-05 MB connect line GmbH Fernwartungssysteme Secure gateway

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Acknowledgement (data networks). In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 3. Dezember 2018, 19:08 UTC. URL: https://en.wikipedia.org/wiki/Acknowledgement_(data_networks) [abgerufen am 26.08.2019] *
Serial Peripheral Interface. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 22. Oktober 2018, 08:32 UTC. URL: https://de.wikipedia.org/wiki/Serial_Peripheral_Interface [abgerufen am 26.08.2019] *
Smart Meter Gateway. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 18. Dezember 2018, 22:30 UTC. URL: https://de.wikipedia.org/wiki/Smart_Meter_Gateway [abgerufen am 26.08.2019] *

Also Published As

Publication number Publication date
DE102019201133B4 (en) 2021-02-04

Similar Documents

Publication Publication Date Title
EP3278529B1 (en) Attack detection method, attack detection device and bus system for a motor vehicle
DE102013003040B4 (en) Motor vehicle with later by application program changeable driving behavior and method for this purpose
EP1959606B1 (en) Safety unit
DE112014005412B4 (en) Program update system and program update method
EP2705410B1 (en) Method and system for providing device-specific operator data for an automation device in an automation installation
DE112019000485T5 (en) SYSTEM AND PROCEDURE FOR PROVIDING SECURITY FOR IN-VEHICLE NETWORK
EP3332348B1 (en) Method for operating a motor vehicle, and system for operating a motor vehicle
DE102010008816A1 (en) Method for online communication
DE102011084254A1 (en) Communication system for a motor vehicle
DE112016005669T5 (en) On-board communication device, on-board communication system and method for prohibiting special processing for a vehicle
DE102018212879A1 (en) Control device and control method
WO2017190997A1 (en) Method and integrity checking system for perturbation-free integrity monitoring
EP1760623A2 (en) Safety equipment for electronic equipment
DE102011002713A1 (en) Method for providing cryptographic credentials for electronic control unit (ECU) of vehicle e.g. electric car, has control unit that deactivates vehicle drive for deleting cryptographic credentials in vehicle safety management unit
EP3871393B1 (en) Method for monitoring a data transmission system, data transmission system and motor vehicle
DE102014206545A1 (en) Method, communication system and data access node for transmitting data
DE102019201133B4 (en) Motor vehicle
EP3017432A1 (en) Secured communication device for a vehicle and vehicle system
EP3556122B1 (en) Method for operating a transmitting device of a motor vehicle, transmitting device for a motor vehicle, and motor vehicle
EP3437261B1 (en) Device and method for filtering safety-relevant interventions, and gateway control device
DE102011081803A1 (en) Method and system for providing device-specific property data for an automation device of an automation system
DE102014018110A1 (en) Method and system for the remote control of a vehicle or a vehicle function
WO2021078538A1 (en) Security system and method for filtering data traffic
EP1455312B1 (en) Method and apparatus for maintenance of security sensitive program code of a vehicle
DE102014017513A1 (en) Method for operating a motor vehicle with a diagnostic connection and motor vehicle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final