-
Die Erfindung betrifft ein Verfahren zum Betreiben eines Gateways eines Fahrzeugs, bei dem ein an ein Gateway eines Fahrzeugs angeschlossenes Steuergerät des Fahrzeugs bei jedem Kommunizieren einen Identifikator des Steuergeräts überträgt und das Gateway den von dem Steuergerät übertragenen Identifikator empfängt. Ferner betrifft die Erfindung ein Gateway für ein Fahrzeug, ein Steuergerät für ein Fahrzeug und ein Fahrzeug.
-
Ein Fahrzeug umfasst gewöhnlich ein Bussystem mit einem oder mehreren Gateways und einer Mehrzahl von mit jeweils einem Gateway verbundenen und jeweils eine Funktion des Fahrzeugs bereitstellenden Steuergeräten (Electronic Control Unit, ECU). In einem Ethernet-basierten Bussystem umfasst jedes Steuergerät eine innerhalb des Bussystems eindeutige Internet Protocol (IP)-Adresse und eine weltweit eindeutige Media Access Control (MAC)-Adresse. Das Gateway unterstützt ein Kommunizieren der Steuergeräte über das Bussystem, indem es zwischen den Steuergeräten ausgetauschte Nachrichten basierend auf den IP-Adressen jeweils beteiligter Steuergeräte weiterleitet.
-
Das Gateway kann als ein dediziertes Gerät oder als ein Steuergerät des Fahrzeugs ausgebildet sein und eine in einer Normalbetriebsart des Gateways konstante, d. h. unveränderliche, interne Tabelle mit IP-Adressen und/oder MAC-Adressen von mit dem Bussystem verbundenen Steuergeräten umfassen. In diesem Fall dienen also die IP-Adressen und/oder die MAC-Adressen als Identifikatoren im Sinne der Erfindung.
-
Mittels der internen Tabelle kann das Gateway jede von einem Steuergerät empfangene IP-Adresse und/oder MAC-Adresse verifizieren und dem jeweiligen Steuergerät ein Kommunizieren über das Bussystem gestatten, wenn das Verifizieren gelingt, und das Steuergerät von einem Kommunizieren über das Bussystem ausschließen, wenn das Verifizieren misslingt. Durch das Verifizieren wird die Sicherheit des Bussystems des Fahrzeugs erhöht. Entsprechend wird das Bussystem vor einer auf einem Defekt beruhenden Fehlfunktion oder einem bösartigen Angriff geschützt.
-
Unter Verifizieren im Sinne der Erfindung wird ein Abgleichen eines von dem Steuergerät empfangenen Identifikators verstanden. Das Verifizieren gelingt, wenn die interne Tabelle den von dem Steuergerät empfangenen Identifikator umfasst, während das Verifizieren misslingt, wenn die interne Tabelle den von dem Steuergerät empfangenen Identifikator nicht umfasst.
-
Allerdings muss im Rahmen einer Inspektion des Fahrzeugs oder einer Reparatur des Fahrzeugs ein bezogen auf das Fahrzeug externes Gerät, etwa ein Diagnosegerät wie ein Testgerät zum Testen eines Steuergeräts oder Lesegerät zum Auslesen eines Fehlerprotokolls, mit dem Bussystem des Fahrzeugs verbunden werden und über das Bussystem mit den Steuergeräten des Fahrzeugs kommunizieren. Ohne Weiteres misslingt aber ein Verifizieren des externen Geräts, da die interne Tabelle eine IP-Adresse und/oder eine MAC-Adresse des externen Geräts nicht umfasst. Infolgedessen ist ein Inspizieren oder Reparieren des Fahrzeugs, welches ein Kommunizieren des externen Geräts über das Bussystem voraussetzt, ausgesch lossen .
-
Zur Lösung dieses Problems offenbart
EP 3 148 236 A1 ein Verfahren zum Betreiben eines Gateways eines Bussystems eines Fahrzeugs. Bei dem Verfahren überträgt ein mit einem Diagnoseanschluss des Gateways verbundenes und bezogen auf das Fahrzeug externes Gerät einen von dem Gateway akzeptierten Authentifikator an das Gateway und kann dank dem Authentifikator mit den Steuergeräten des Fahrzeugs kommunizieren, obwohl ein Verifizieren misslingt. Der Authentifikator kann überdies ein Kommunizieren des externen Geräts mit einem oder mehreren bestimmten Steuergeräten gestatten, während er das externe Gerät von einem Kommunizieren mit von dem Authentifikator nicht bestimmten Steuergeräten ausschließt.
-
DE 10 2017 120 505 A1 offenbart ein ähnliches Verfahren zum Betreiben eines als Verwaltungsknoten dienenden Gateways in einem Ethernet-basierten Bussystem eines Fahrzeugs. Bei dem Verfahren verifiziert das Gateway von mit dem Fahrzeugbussystem verbundenen Steuergeräten des Fahrzeugs empfangene Identifikatoren anhand einer internen Tabelle des Gateways. In einer Diagnosebetriebsart aktualisiert das Gateway die interne Tabelle. In einer Normalbetriebsart gestattet das Gateway ein Kommunizieren des Steuergeräts, wenn ein Verifizieren gelingt, und schließt das Gateway ein Kommunizieren des Steuergeräts aus, wenn ein Verifizieren misslingt. Ein mit dem Fahrzeugbussystem verbundenes und bezogen auf das Fahrzeug externes Gerät, dessen Identifikator nicht von der internen Tabelle umfasst ist, kann über das Fahrzeugbussystem kommunizieren, wenn es einen von dem Identifikator verschiedenen Authentifikator an das Gateway überträgt.
-
Diese bekannten Verfahren bieten aber keinen Schutz gegen manipulierte Steuergeräte oder bezogen auf das Fahrzeug externe Geräte, welche zum Zwecke eines bösartigen Angriffs einen von der internen Tabelle des Gateways umfassten Identifikator an das Gateway übertragen und entsprechend eine falsche Identität vortäuschen.
-
Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zum Betreiben eines Gateways für ein Fahrzeug vorzuschlagen, welches eine höhere Sicherheit eines Bussystems eines Fahrzeugs gewährleistet und das Bussystem besser gegen einen bösartigen Angriff schützt. Ferner ist Aufgabe der Erfindung, ein sicheres Gateway, ein sicheres Steuergerät und ein sicheres Fahrzeug zur Verfügung zu stellen.
-
Gegenstand der Erfindung ist ein Verfahren zum Betreiben eines Gateways eines Fahrzeugs, bei dem ein an ein Gateway eines Fahrzeugs angeschlossenes Steuergerät des Fahrzeugs bei jedem Kommunizieren einen Identifikator des Steuergeräts überträgt und das Gateway den von dem Steuergerät übertragenen Identifikator empfängt. Gewöhnlich werden werden IP-Adressen und/oder MAC-Adressen als Identifikatoren der mit dem Bussystem des Fahrzeugs verbundenen Steuergeräte verwendet.
-
Bei dem erfindungsgemäßen Verfahren verifiziert das Gateway in einer von einer Normalbetriebsart verschiedenen Diagnosebetriebsart den empfangenen Identifikator mittels einer bezogen auf das Fahrzeug externen Datenbank und trägt in der Diagnosebetriebsart den Identifikator genau dann in eine interne Tabelle des Gateways einträgt, wenn das Verifizieren gelingt. Mit anderen Worten setzt ein Eintragen eines empfangenen Identifikators in die interne Tabelle des Gateways ein erfolgreiches Abgleichen mit der externen Datenbank voraus, d. h. die externe Datenbank muss den empfangenen Identifikator umfassen. Infolgedessen entscheidet jedenfalls die externe Datenbank über ein Eintragen des empfangenen Identifikators in die interne Tabelle des Gateways.
-
Ein erfolgreicher bösartiger Angriff durch ein manipuliertes Steuergerät oder bezogen auf das Fahrzeug externes Gerät ist demnach ausgeschlossen, wenn die externe Datenbank den von dem manipulierten Steuergerät übertragenen Identifikator nicht umfasst. Die externe Datenbank kann von einem Hersteller des Fahrzeugs zentral betrieben und ihrerseits gegenüber bösartigen Angriffen aufgrund Ihrer Zentralität besonders effizient geschützt werden.
-
Dank der Verschiedenheit des Identifikators von einer IP-Adresse und einer MAC-Adresse ist eine Form und/oder Bedeutung des Identifikators frei wählbar. Der Hersteller des Fahrzeugs ist daher in der Lage, den Identifikator durch eine entsprechende formale und/oder semantische Ausgestaltung des Identifikators mit einer beliebigen Sicherheit zu versehen, wodurch ein bösartiger Angriff weiter erschwert ist.
-
Der empfangene Identifikator wird ausschließlich in der Diagnosebetriebsart des Gateways in die interne Tabelle eingetragen. Damit erhöht die Diagnosebetriebsart die Sicherheit des Gateways, des Bussystems sowie sämtlicher an das Bussystem angeschlossener Steuergeräte weiter.
-
Bevorzugt überträgt das Steuergerät eine Softwarekennung als den Identifikator an das Steuergerät. Eine Softwarekennung bietet den Vorteil, dass sie bei Bedarf jederzeit einfach geändert werden kann, ohne eine Hardware eines Gateways oder eines Steuergeräts zu modifizieren. Diese Freiheit erhöht die Flexibilität des Betriebsverfahrens.
-
Besonders bevorzugt überträgt das Steuergerät den Identifikator verschlüsselt. Die verschlüsselte Übertragung impliziert ein Verschlüsseln des Identifikators durch das Steuergerät und ein Entschlüsseln des Identifikators durch das Gateway. Außerdem kann der Identifikator auch zwischen dem Gateway und der externen Datenbank verschlüsselt werden. Dank der Verschlüsselung lässt sich der Identifikator des Steuergeräts nicht durch Abhören des Bussystems des Fahrzeugs oder einer zwischen dem Gateway und der externen Datenbank bestehenden kabelgebundenen oder drahtlosen Datenverbindung ermitteln, wodurch die Sicherheit des Verfahrens weiter erhöht ist.
-
In vorteilhaften Ausführungsformen wird die Diagnosebetriebsart ausschließlich nach einer erfolgreichen Authentifizierung aktiviert. Kurz gesagt, ist es einer autorisierten und authentifizierten Person vorbehalten, das Gateway in die Diagnosebetriebsart zu versetzen. Dies wirkt einem Missbrauch der Diagnosebetriebsart entgegen und erhöht die Sicherheit des Verfahrens weiter.
-
Das Gateway kann in einer Normalbetriebsart den empfangenen Identifikator mittels der internen Tabelle verifizieren. In der Normalbetriebsart erfolgt ein Verifizieren des Identifikators demnach in der Regel lokal, d. h. innerhalb des Fahrzeugs und ohne eine Verbindung zu der externen Datenbank. In der Normalbetriebsart muss das Gateway also nicht mit der externen Datenbank verbunden sein.
-
In bevorzugten Ausführungsformen gestattet das Gateway in der Normalbetriebsart dem Steuergerät das Kommunizieren über das Gateway, wenn das Verifizieren gelingt, oder schließt das Gateway das Steuergerät von dem Kommunizieren über das Gateway aus, wenn das Verifizieren misslingt. Auf diese Weise ist ein nachträglich montiertes Steuergerät ohne Weiteres von dem Kommunizieren ausgeschlossen, wenn die interne Tabelle den Identifikator des Steuergeräts nicht umfasst. Ein Anschließen eines bösartigen Steuergeräts an das Bussystem des Fahrzeugs ist also in der Normalbetriebsart unschädlich.
-
In anderen Ausführungsformen speichert das Gateway die eine Mehrzahl von verifizierten Identifikatoren umfassende interne Tabelle persistent. Dank der persistenten Speicherung bleiben von der Tabelle umfasste Identifikatoren von Steuergeräten des Fahrzeugs über ein Ausschalten des Fahrzeugs hinweg erhalten und stehen nach einem erneuten Einschalten des Fahrzeugs unmittelbar, d. h. ohne Wechseln in die Diagnosebetriebsart des Gateways, zum Verifizieren zur Verfügung.
-
Auch ein Gegenstand der Erfindung ist ein Gateway für ein Fahrzeug, mit einer Mehrzahl von Anschlüssen zum Anschließen jeweils eines Steuergeräts eines Fahrzeugs. Derartige Gateways sind weit verbreitet und in vielen Fahrzeugen verbaut, was mir einer guten Anwendbarkeit der Erfindung einhergeht.
-
Erfindungsgemäß umfasst das Gateway eine Schnittstelle zum Kommunizieren mit einer bezogen auf das Fahrzeug externen Datenbank und einer internen Tabelle zum Eintragen von Identifikatoren von an Anschlüsse des Gateways angeschlossenen Steuergeräten und ist konfiguriert, ein erfindungsgemäßes Verfahren auszuführen. Wenn ein vorhandenes Gateway eine Diagnoseschnittstelle zum Anschließen eines bezogen auf das Fahrzeug externen Geräts umfasst, kann das vorhandene Gateway mittels eines einfachen Softwareupdates in ein erfindungsgemäßes Gateway umgewandelt werden. Für das Kommunizieren mit der externen Datenbank ist es im Wesentlichen ausreichend, dass das externe Gerät an die Diagnoseschnittstelle angeschlossen ist, zwischen dem externen Gerät und der externen Datenbank eine kabelgebundene oder drahtlose Verbindung besteht und das externe Gerät eine Kommunikationsverbindung zwischen dem Gateway und der externen Datenbank vermittelt.
-
Ein weiterer Gegenstand der Erfindung ist ein Steuergerät für ein Fahrzeug, welches einen Anschluss zum Anschließen an ein Gateway eines Fahrzeugs umfasst. Derartige Steuergeräte sind weit verbreitet und in vielen Fahrzeugen verbaut, was mir einer guten Anwendbarkeit der Erfindung einhergeht.
-
Erfindungsgemäß umfasst das Steuergerät einen von einer IP-Adresse und einer MAC-Adresse verschiedenen Identifikator und ist konfiguriert, den Identifikator bei jedem Kommunizieren an das Gateway zu übertragen. Derartige Steuergeräte sind weit verbreitet und in vielen Fahrzeugen verbaut, was mir einer guten Anwendbarkeit der Erfindung einhergeht. Vorhandene Steuergeräte können mittels eines einfachen Softwareupdates kostengünstig in erfindungsgemäße Steuergeräte umgewandelt werden.
-
Noch ein Gegenstand der Erfindung ist ein Fahrzeug mit einem Bussystem. Derartige Fahrzeuge sind weit verbreitet, was mir einer guten Anwendbarkeit der Erfindung einhergeht.
-
Bei dem erfindungsgemäßen Fahrzeug umfasst das Bussystem ein erfindungsgemäßes Gateway und eine Mehrzahl von an das Gateway angeschlossenen Steuergeräten. Dank des erfindungsgemäßen Gateways ist eine Sicherheit des Fahrzeugs erhöht und ein Schutz des Bussystems des Fahrzeugs und der an das Gateway angeschlossenen Steuergeräte verbessert.
-
Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass das Verfahren ein Bussystem des Fahrzeugs mit einem mit dem Bussystem verbundenen Gateway des Fahrzeugs und an das Gateway angeschlossenen Steuergeräten des Fahrzeugs effizient vor einem bösartigen Angriff schützt und auf diese Weise die Sicherheit des Fahrzeugs gegenüber gebräuchlichen Bussystemen erhöht. Weiterhin ist vorteilhaft, dass in Fahrzeugen vorhandene Gateways und Steuergeräte mittels eines Softwareupdates kostengünstig in erfindungsgemäße Gateways und Steuergeräte umgewandelt werden können.
-
Die Erfindung ist anhand einer Ausführungsformen in der Zeichnung dargestellt und wird unter Bezugnahme auf die Zeichnung weiter beschrieben. Es zeigt:
- 1 in einer schematischen Darstellung ein Bussystem eines Fahrzeugs mit einem Gateway nach einer Ausführungsform der Erfindung.
-
1 zeigt in einer schematischen Darstellung ein Bussystem eines (nicht dargestellten) Fahrzeugs mit einem für das Fahrzeug geeigneten Gateway 10 nach einer Ausführungsform der Erfindung. Das Fahrzeug umfasst ein Bussystem mit dem Gateway 10.
-
Das Gateway 10 ist als für das Fahrzeug geeignetes dediziertes Gerät ausgebildet und umfasst ein Switch 60 mit einer Mehrzahl von Anschlüssen (Port) 12, 13, 14, 15 zum Anschließen jeweils eines eine Funktion für das Fahrzeug bereitstellenden Steuergeräts 20, 30, 40, 50 des Fahrzeugs. In alternativen Ausführungsformen kann das Gateway als ein eine Funktion für das Fahrzeug bereitstellendes Steuergerät ausgebildet sein.
-
Das Gateway 10 umfasst eine (nicht dargestellte) Schnittstelle zum Kommunizieren mit einer bezogen auf das Fahrzeug externen Datenbank 71 und eine internen Tabelle 11 zum Eintragen von Identifikatoren 21, 31, 41, 51 von an Anschlüsse 12, 13, 14, 15 des Gateways 10 angeschlossenen Steuergeräten 20, 30, 40, 50. Das Gateway 10 ist mit einem bezogen auf das Fahrzeug externen Diagnosegerät 60 kabelgebunden oder drahtlos verbunden, welches seinerseits mit einem von dem Diagnosegerät 60 beabstandet angeordneten zentralen Server 70 kabelgebunden oder drahtlos verbunden ist. Das externe Diagnosegerät 60 ist konfiguriert, eine Kommunikationsverbindung zwischen dem Gateway 10 und dem zentralen Server 70 zu vermitteln.
-
Der zentrale Server 70 wird von einem Hersteller des Fahrzeugs betrieben und an einem Standort des Herstellers besonders effizient vor bösartigen Angriffen geschützt. Zu dem Server 70 gehört eine Datenbank 71 und ein der Datenbank 71 zugeordnetes und von dem Server ausgeführtes Datenbankmanagementsystem (DBMS). In der Datenbank 71 sind von dem Hersteller des Fahrzeugs bestimmte Identifikatoren von zulässigen Steuergeräten 20, 30, 40, 50 und zugelassenen bezogen auf das Fahrzeug externen Geräten 60 gespeichert. Selbstverständlich wird die Datenbank 71 regelmäßig aktualisiert, d. h. Identifikatoren nicht mehr zulässiger Steuergeräte werden aus der Datenbank 71 gelöscht und Identifikatoren künftig zulässiger Steuergeräte werden in die Datenbank 71 eingefügt.
-
Ferner umfasst das Bussystem eine Mehrzahl von an das Gateway 10, genauer gesagt an die Anschlüsse 12, 13, 14, 15 des Gateways 10, angeschlossenen für das Fahrzeug geeigneten Steuergeräten 20, 30, 40, 50. Jedes Steuergerät 20, 30, 40, 50 umfasst einen Anschluss zum Anschließen an das Gateway 10 des Fahrzeugs und einen von einer IP-Adresse und einer MAC-Adresse verschiedenen Identifikator 21, 31, 41, 51 und ist konfiguriert, den jeweiligen Identifikator 21, 31, 41, 51 bei jedem Kommunizieren über das Bussystem an das Gateway 10 zu übertragen. Lediglich beispielhaft und nicht einschränkend ist das Steuergerät 20, 30, 40, 50 konfiguriert, eine Softwarekennung als den Identifikator 21, 31, 41, 51 an das Steuergerät 20, 30, 40, 50 zu übertragen.
-
Das Gateway 10 und die Steuergeräte 20, 30, 40, 50 sind konfiguriert, das nachfolgend beschriebene Verfahren auszuführen.
-
Während des Betriebs des Fahrzeugs überträgt jedes an das Gateway 10 angeschlossene Steuergerät 20, 30, 40, 50 bei jedem Kommunizieren den von einer IP-Adresse und einer MAC-Adresse verschiedenen als eine Softwarekennung ausgebildeten Identifikator 21, 31, 41, 51 verschlüsselt, und das Gateway 10 empfängt den von dem Steuergerät 20, 30, 40, 50 übertragenen Identifikator 21, 31, 41, 51. Selbstverständlich verschlüsseln die Steuergeräte 20, 30, 40, 50 den jeweiligen Identifikator 21, 31, 41, 51 vor dem Übertragen und entschlüsselt das Gateway 10 jeden empfangenen Identifikator 21, 31, 41, 51 nach dem Empfangen.
-
In einer Diagnosebetriebsart des Gateways 10, in welcher das Gateway wie in 1 gezeigt, mit der externen Datenbank 71 verbunden ist, verifiziert das Gateway 10 jeden empfangenen Identifikator 21, 31, 41, 51 mittels der externen Datenbank 71 und trägt den Identifikator 21, 31, 41, 51 genau dann in die interne Tabelle 11 des Gateways 10 ein, wenn das Verifizieren gelingt. Wenn die interne Tabelle 11 den Identifikator 21, 31, 41, 51 bereits umfasst, kann entweder ein Eintragen unterbleiben oder der vorhandene Identifikator 21, 31, 41, 51 identisch überschrieben werden.
-
Die Diagnosebetriebsart des Gateways 10 wird ausschließlich nach einer erfolgreichen Authentifizierung aktiviert, d. h. eine das externe Gerät 60 bedienende Person muss autorisiert sein und sich authentifizieren, beispielsweise durch Eingeben eines Benutzernamens und eines geheimen Passworts.
-
Dagegen verifiziert das Gateway 10 in einer Normalbetriebsart den empfangenen Identifikator 21, 31, 41, 51 mittels der internen Tabelle 11. In der Normalbetriebsart gestattet das Gateway 10 dem Steuergerät 20, 30, 40, 50 das Kommunizieren über das Gateway 10, wenn das Verifizieren gelingt, oder schließt das Gateway 10 das Steuergerät 20, 30, 40, 50 von dem Kommunizieren über das Gateway 10 aus, wenn das Verifizieren misslingt.
-
Das Gateway 10 speichert die eine Mehrzahl von verifizierten Identifikatoren 21, 31, 41, 51 umfassende interne Tabelle 11 persistent, d. h. über ein Aus- und Einschalten des Fahrzeugs hinweg.
-
Bezugszeichenliste
-
- 10
- Gateway
- 11
- interne Tabelle
- 12
- Anschluss
- 13
- Anschluss
- 14
- Anschluss
- 15
- Anschluss
- 16
- Switch
- 20
- Steuergerät
- 21
- Identifikator
- 30
- Steuergerät
- 31
- Identifikator
- 40
- Steuergerät
- 41
- Identifikator
- 50
- Steuergerät
- 51
- Identifikator
- 60
- Diagnosegerät
- 70
- Server
- 71
- externe Datenbank
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- EP 3148236 A1 [0007]
- DE 102017120505 A1 [0008]