DE102023001975A1 - Kommunikationssystem und Fahrzeug - Google Patents

Kommunikationssystem und Fahrzeug Download PDF

Info

Publication number
DE102023001975A1
DE102023001975A1 DE102023001975.5A DE102023001975A DE102023001975A1 DE 102023001975 A1 DE102023001975 A1 DE 102023001975A1 DE 102023001975 A DE102023001975 A DE 102023001975A DE 102023001975 A1 DE102023001975 A1 DE 102023001975A1
Authority
DE
Germany
Prior art keywords
management unit
unit
operating mode
communication system
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102023001975.5A
Other languages
English (en)
Inventor
Daniel Thomer
Manuel Henle
Valeska Weßbecher
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Mercedes Benz Group AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mercedes Benz Group AG filed Critical Mercedes Benz Group AG
Priority to DE102023001975.5A priority Critical patent/DE102023001975A1/de
Publication of DE102023001975A1 publication Critical patent/DE102023001975A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Kommunikationssystem, umfassend eine fahrzeugexterne Ansprech-Einheit (1), wenigstens ein fahrzeuginternes Steuergerät (2) und eine in eine Kommunikationsleitung (3) zwischen die Ansprech-Einheit (1) und das wenigstens eine Steuergerät (2) zwischengeschaltete fahrzeuginterne Verwaltungs-Einheit (4), wobei die Verwaltungs-Einheit (4) eine Firewall-Funktionalität (5) zum selektiven Hindurchlassen oder Sperren von zwischen der Ansprech-Einheit (1) und dem wenigstens einen Steuergerät (2) austauschbaren Nachrichten (6) bereitstellt. Das erfindungsgemäße Kommunikationssystem ist dadurch gekennzeichnet, dass. die Verwaltungs-Einheit (4) dazu eingerichtet ist, wenn sie das Weiterleiten einer von der Ansprech-Einheit (1) erzeugten Nachricht (6) an ein Zielsteuergerät sperrt, stellvertretend für das Zielsteuergerät zu antworten, wobei die Verwaltungs-Einheit (4) eine eigene an die Ansprech-Einheit (1) gerichtete Antwortnachricht erzeugt und dabei als Absenderadresse die Adresse des Zielsteuergeräts verwendet.

Description

  • Die Erfindung betrifft ein Kommunikationssystem nach der im Oberbegriff von Anspruch 1 näher definierten Art sowie ein Fahrzeug.
  • Moderne Fahrzeuge verfügen über die unterschiedlichsten Recheneinheiten, wie Steuergeräte, einen zentralen Bordcomputer, eine Telekommunikationseinheit und dergleichen. Diese Recheneinheiten kommunizieren sowohl untereinander, als auch mit fahrzeugexternen Systemen. Die Kommunikation kann kabelgebunden oder auch drahtlos erfolgen. Insbesondere die Anbindung fahrzeuginterner Recheneinheiten an fahrzeugexterne Systeme bietet Angreifern ein Einfallstor für die Manipulation von Fahrzeugkomponenten. Um das Einschleusen von Schadcode auf die Recheneinheiten im Fahrzeug zu verhindern, sind entsprechende Sicherheitsmaßnahmen zu treffen.
  • Eine bewährte und zuverlässige Methode zum Kontrollieren der zwischen zwei Recheneinheiten ausgetauschten Informationen, ist der Einsatz sogenannter Firewalls. Bei einer Firewall handelt es sich um ein Sicherungssystem, umfassend festgelegte Regeln, anhand derer bestimmt wird, welche Informationspakete zwischen den Recheneinheiten ausgetauscht werden dürfen und welche nicht. Hierdurch lassen sich unerlaubte Zugriffe unterbinden. Eine Firewall kann als eine auf einer Hardwarekomponente ausgeführte Softwarekomponente implementiert sein.
  • Da sich die Technik und somit auch die Angriffsstrategie und der Schadcode von Angreifern beständig weiterentwickelt, sind die verwendenden IT-Sicherheitstechnologien daran anzupassen. Wird ein Fahrzeug neu produziert, können die aktuellen Sicherheitsanforderungen bereits in der Produktion erfüllt werden. Das Aktualisieren von Software von sich im Einsatz befindlichen Fahrzeugen ist mittels drahtloser Updates oder auch kabelgebunden, beispielsweise bei einem Werkstattbesuch, möglich. Das Anpassen älterer Fahrzeuge an die aktuellen Sicherheitsanforderungen ist jedoch schwieriger, insbesondere wenn besagte Fahrzeuge über keine geeignete Update-Schnittstelle verfügen. Insbesondere muss das Anpassen der Recheneinheiten im Fahrzeug im vertretbaren Rahmen bleiben, das heißt, dass sich das Anpassen der Recheneinheiten im Fahrzeug auf möglichst wenige Recheneinheiten beschränken sollte. Trotzdem muss dabei gewährleistet werden, dass sämtliche Recheneinheiten zuverlässig gegen Angriffe gesichert werden.
  • Aus der US 2020/0272735 A1 sind eine Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät eines Fahrzeugs und ein entsprechendes Fahrzeug bekannt. Die Druckschrift beschreibt den Einsatz einer Firewall zum Filtern der zwischen einem Steuergerät und einem Diagnosetester ausgetauschten Informationen. Das Filtern der dabei auszutauschenden Informationen erfolgt in Abhängigkeit der Zustände der im Fahrzeug verbauten Hardware sowie der darauf laufenden Software. So lassen sich beispielsweise Diagnosebefehle nur ausschließlich an bestimmte Steuergeräte weiterleiten, nur eine Auswahl ganz bestimmter Diagnosebefehle weiterleiten, das Schreiben auf bestimmte Speicheradressen eines Steuergeräts verhindern, Diagnosebefehle unterdrücken, wenn sie über einer festgelegten Häufigkeit ausgegeben werden, oder Diagnosebefehle ausschließlich dann ausführen, wenn das Fahrzeug in einem bestimmten Zustand ist, wie beispielsweise wenn das Fahrzeug steht.
  • Der vorliegenden Erfindung liegt die Aufgabe zugrunde ein verbessertes Kommunikationssystem anzugeben.
  • Erfindungsgemäß wird diese Aufgabe durch ein Kommunikationssystem mit den Merkmalen des Anspruchs 1 gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sowie ein Fahrzeug, umfassend Teile des Kommunikationssystems, ergeben sich aus den hiervon abhängigen Ansprüchen.
  • Ein gattungsgemäßes Kommunikationssystem, umfassend eine fahrzeugexterne Ansprech-Einheit, wenigstens ein fahrzeuginternes Steuergerät und eine in eine Kommunikationsleitung zwischen die Ansprech-Einheit und das wenigstens eine Steuergerät zwischengeschaltete fahrzeuginterne Verwaltungs-Einheit, wobei die Verwaltungs-Einheit eine Firewall-Funktionalität zum selektiven Hindurchlassen oder Sperren von zwischen der Ansprech-Einheit und dem wenigstens einen Steuergerät austauschbaren Nachrichten bereitstellt, wird erfindungsgemäß dadurch weitergebildet, dass die Verwaltungs-Einheit dazu eingerichtet ist, wenn sie das Weiterleiten einer von der Ansprech-Einheit erzeugten Nachricht an ein Zielsteuergerät sperrt, stellvertretend für das Zielsteuergerät zu antworten, wobei die Verwaltungs-Einheit eine eigene an die Ansprech-Einheit gerichtete Antwortnachricht erzeugt und dabei als Absendeadresse die Adresse des Zielsteuergeräts verwendet.
  • Hierdurch lässt sich auf besonders effiziente Art und Weise der Betriebsablauf bei der Kommunikation zwischen Ansprech-Einheit und Steuergerät aufrechterhalten. Je nach Nachrichtentyp kann es erforderlich sein, dass die Ansprech-Einheit auf eine Antwort des Zielsteuergeräts wartet. Wenn die Verwaltungs-Einheit die entsprechende Nachricht jedoch nicht an das Zielsteuergerät weiterleitet, sondern sperrt, so bleibt die entsprechende Antwortnachricht aus und die Ansprech-Einheit würde unverhältnismäßig lange warten. Die Verwaltungs-Einheit ist jedoch dazu in der Lage selbst eine Antwortnachricht stellvertretend für das Zielsteuergerät zu generieren und an die Ansprech-Einheit versenden, um dies zu verhindern. Durch das Verwenden der Absendeadresse des Zielsteuergeräts gibt sich die Verwaltungs-Einheit dabei als das Zielsteuergerät aus.
  • Je nach Situation ist es erforderlich eine Kommunikation zwischen Ansprech-Einheit und Steuergerät zuzulassen oder zu blockieren. Bei der Ansprech-Einheit handelt es sich um eine beliebige fahrzeugexterne Recheneinheit. Beispielsweise kann es sich um einen Laptop, einen Tabletcomputer, einen Desktopcomputer oder dergleichen handeln. Die Ansprech-Einheit ermöglicht es also beispielsweise einem Entwickler, einem Werker in der Fertigung des Fahrzeugs oder einem Mechaniker während der Wartung des Fahrzeugs die Steuergeräte des Fahrzeugs anzusprechen. Entsprechend ist Zugriff auf die Steuergeräte zu gewähren. Die Ansprech-Einheit kann jedoch auch von einem Angreifer wie einem Hacker genutzt werden, um die Steuergeräte des Fahrzeugs zu manipulieren. In diesem Falle ist die Kommunikation zwischen der Ansprech-Einheit und den Steuergeräten einzuschränken.
  • Die Verwaltungs-Einheit ist in die Kommunikationsleitung zwischen die Ansprech-Einheit und die fahrzeuginternen Steuergeräte zwischengeschaltet. Somit ist es nicht erforderlich sämtliche Steuergeräte des Fahrzeugs anzupassen, um die IT-Sicherheit zu verbessern. Eine solche zentrale Verwaltung des Kommunikationsverkehrs lässt sich entsprechend einfach und kostengünstig in ein Fahrzeug implementieren.
  • Bei der Verwaltungs-Einheit kann es sich um dedizierte Hardware handeln, also beispielsweise eine separate Recheneinheit. Die Firewall-Funktionalität kann durch eine auf der Verwaltungs-Einheit laufende Software ausgebildet sein. Die Verwaltungs-Einheit selbst kann jedoch auch durch Software ausgebildet sein und somit in ein Rechnersystem eingebettet sein, beispielsweise als virtuelle Maschine.
  • Eine vorteilhafte Ausgestaltung des Kommunikationssystems sieht vor, dass eine über die Kommunikationsleitung erfolgende Kommunikation auf dem durch die ISO 14229 definierten UDS-Protokoll basiert. UDS steht für Unified Diagnostic Services, auch als allgemeine Fahrzeugdiagnose bezeichnet. Die Ansprech-Einheit wird in diesem Zusammenhang oftmals auch als Tester oder Diagnosetester bezeichnet. Die zwischen der Ansprech-Einheit und den Steuergeräten stattfindende Kommunikation basiert dann auf dem sogenannten Request-Response Prinzip, auch als (An-)Frage-Antwort Prinzip bezeichnet. Das erfindungsgemäße Kommunikationssystem erlaubt somit eine effiziente und sichere Absicherung auch weit verbreiteter zur Fahrzeugdiagnose verwendeter Protokolle.
  • Bei den zwischen der Ansprech-Einheit und den Steuergeräten ausgetauschten Nachrichten handelt es sich in diesem Falle um dem entsprechenden Diagnoseprotokoll zugrunde liegenden Diagnosebotschaften bzw. Diagnosebefehlen. Bei der Verwaltungs-Einheit kann es sich um ein zentrales Gateway im Fahrzeug handeln, welches über einzelne Bussysteme, insbesondere einen oder mehrere CAN-Busse, an die Steuergeräte des Fahrzeugs angeschlossen ist. Der die Ansprech-Einheit mit der Verwaltungs-Einheit verbindende Strang der Kommunikationsleitung wird dann auch als Diagnosebus bezeichnet. Der Nachrichtentyp kann dann durch den UDS-Dienst beschrieben werden. Eine Unterscheidung ist mittel der sogenannten SID möglich.
  • Eine weitere vorteilhafte Ausgestaltung des erfindungsgemäßen Kommunikationssystems sieht ferner vor, dass die Verwaltungs-Einheit über wenigstens zwei Betriebsmodi verfügt, wobei in jedem Betriebsmodus eine unterschiedliche Gesamtheit hindurchzulassender und zu sperrender Nachrichten vorgegeben ist, und wobei die Verwaltungs-Einheit dazu eingerichtet ist, einen der Betriebsmodi in Abhängigkeit einer an eine Nachricht von der Ansprech-Einheit oder dem wenigstens einen Steuergerät angehängten Betriebsmodus-Wahlinformation zu aktivieren.
  • Eine besonders effiziente, da schnelle und Rechenaufwand sparende Methode zum Blockieren bzw. freigeben des Informationsflusses zwischen der Ansprech-Einheit und den fahrzeuginternen Steuergeräten ist mittels des erfindungsgemäßen Kommunikationssystems gewährleistet. So kann die Verwaltungs-Einheit über wenigstens zwei Betriebsmodi verfügen, die jeweils eine unterschiedliche Gesamtmenge an Nachrichten beschreiben, die im entsprechenden Betriebsmodus hindurchgelassen oder gesperrt werden sollen. Die über die Kommunikationsleitung austauschbaren Nachrichten lassen sich dabei verschiedenen Nachrichtentypen zuordnen. Unterschiedliche Nachrichtentypen zeichnen sich durch einen bestimmten Inhalt und/oder eine bestimmte Zieladresse aus. Beispielsweise kann es sich um Befehle handeln, die ein Steuergerät zum Durchführen bzw. Bereitstellen eines Dienstes oder Services anleiten. Als Antwort kann ein Steuergerät dann beispielsweise Informationen liefern. Eine Nachricht kann auch eine Softwareaktualisierung, also neu einzubringende oder zu ändernde Codebestandteile einer von einem Steuergerät ausführbaren Software enthalten. Jeder Betriebsmodus der Verwaltungs-Einheit definiert dabei, welche Nachrichten welchen Typs durchgelassen bzw. gesperrt werden. Somit ist es nicht mehr erforderlich Zustandsinformationen zwischen den einzelnen Steuergeräten und der Verwaltungs-Einheit auszutauschen, was den Rechenaufwand vermindert und Latenzzeiten reduziert. Dies erhöht auch die Cybersicherheit, da weniger Zugriffe auf die Steuergeräte erfolgen. So sind nämlich Recheneinheiten während der Verarbeitung von Aufgaben besonders anfällig für Angriffe, wie beispielsweise Voltage Glitching.
  • Insbesondere lässt sich in Abhängigkeit des aktiven Betriebsmodus auch einstellen, für welche Steuergeräte, unter welchen Bedingungen und in welchem Umfang die Verwaltungs-Einheit stellvertretend für ein jeweiliges Steuergerät antworten soll.
  • Die Betriebsmodus-Wahlinformation wird dabei mit der Nachricht selbst mit verschickt. Dies vereinfacht den Ablauf zur Entscheidungsfindung, welche Nachrichten hindurchgelassen werden sollen und welche Nachrichten gesperrt werden sollen, noch weiter. So muss auch die Ansprech-Einheit nicht erst eine separate Kommunikation zur Verwaltungs-Einheit aufbauen und die Verwaltungs-Einheit separat konfigurieren. Die Betriebsmodus-Wahlinformation kann dabei die gesamte Nachricht oder auch nur Teile davon ausbilden. Insbesondere umfasst die Nachricht einen Kopfteil und eine Nutzteil, auch als Header und Payload bezeichnet, wobei der Kopfteil zur Verarbeitung der Nachricht relevante Informationen, wie beispielsweise eine Zieladresse, einen Nachrichtentyp, einen Aufgabentyp oder dergleichen umfasst und die Nutzlast den relevanten Teil der zu übermittelnden Daten enthält.
  • Die Betriebsmodus-Wahlinformation kann auch von den Steuergeräten ausgebbar sein, wodurch auch die Steuergeräte des Fahrzeugs den Betriebsmodus der Verwaltungs-Einheit wechseln können.
  • Entsprechend einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Kommunikationssystems ist die Betriebsmodus-Wahlinformation kryptografisch abgesichert an eine respektive Nachricht angehängt. Hierzu kommen alle gängigen kryptografischen Methoden infrage, wie das Durchführen von Signaturverfahren, Kontrollieren von Zertifikaten, Durchführen einer sogenannten Challenge-Response-Authentifizierung und dergleichen. Solche kryptografischen Sicherungsmethoden basieren oftmals auf dem Austauschen öffentlicher und privater Schlüssel sowie Berechnung von Geheimnissen mit Hilfe von Hashfunktionen. Hierdurch lässt sich die Sicherheit der Kommunikation zwischen den Bestandteilen des Kommunikationssystems noch weiter verbessern. So sind insbesondere ausschließlich autorisierte Recheneinheiten dazu in der Lage entsprechende Nachrichten zu generieren, die auch tatsächlich einen Betriebsmoduswechsel bewirken können. Die Verwaltungs-Einheit prüft die Authentizität einer entsprechenden Nachricht bzw. der Betriebsmodus-Wahlinformationen mit Hilfe der im Vorigen erwähnten kryptografischen Methoden und wechselt nur dann den Betriebsmodus, wenn auch bestätigt wird, dass die Nachricht von einer autorisierten Quelle stammt.
  • Dabei kann es vorgesehen sein, dass zur Aktivierung einiger bestimmter nichtsicherheitsrelevanter Betriebsmodi auch Nachrichten mit unverschlüsselten bzw. kryptografisch ungeschützten Betriebsmodus-Wahlinformationen akzeptiert werden. Dies ist beispielsweise der Fall, wenn lediglich eine Information von einem Steuergerät ausgelesen werden soll.
  • Eine weitere vorteilhafte Ausgestaltung des erfindungsgemäßen Kommunikationssystems sieht ferner vor, dass die Verwaltungs-Einheit dazu eingerichtet ist, automatisch einen ersten Betriebsmodus zu aktivieren, nach Erhalt einer eine Betriebsmodus-Wahlinformation umfassenden Nachricht den durch die Betriebsmodus-Wahlinformation angegebenen Betriebsmodus zu aktivieren und nach Verarbeiten zumindest der Nachricht automatisch erneut den ersten Betriebsmodus zu aktivieren. Mit anderen Worten entspricht der erste Betriebsmodus einer Art Standardbetriebsmodus, welcher somit für die meiste Zeit aktiviert ist. Entsprechend werden Nachrichten der dem ersten Betriebsmodus zugrundeliegenden Regeln hindurchgelassen bzw. gesperrt. Lediglich wenn ganz bestimmte, bspw. sicherheitsrelevante Nachrichten hindurchzulassen sind, sind diese dank der angehängten Betriebsmodus-Wahlinformation dazu in der Lage, die Verwaltungs-Einheit umzuschalten, sodass temporär zum Hindurchlassen der jeweiligen Nachricht ein abweichender Betriebsmodus aktiviert wird. Danach schaltet die Verwaltungs-Einheit zurück in den ersten Betriebsmodus. Eine entsprechende Nachricht kann der Verwaltungs-Einheit dabei auch vorgeben, dass nicht nur die jeweilige Nachricht selbst hindurchgelassen wird, sondern beispielsweise die nächsten x folgenden Nachrichten. Als „Verarbeiten der Nachricht“ wird in diesem Zusammenhang das Weiterleiten bzw. Sperren durch die Verwaltungs-Einheit verstanden.
  • Bevorzugt ist dabei im ersten Betriebsmodus das Weiterleiten von sämtlichen Nachrichten gesperrt. Hierdurch lässt sich die Cybersicherheit des erfindungsgemäßen Kommunikationssystems noch weiter verbessern. So blockiert generell die Verwaltungs-Einheit den Austausch von Nachrichten zwischen der Ansprech-Einheit und den fahrzeuginternen Steuergeräten. Nur autorisierte Nachrichten, also Nachrichten, die eine geeignete Betriebsmodus-Wahlinformation, bevorzugt eine kryptografisch abgesicherte Betriebsmodus-Wahlinformation, umfassen, sind somit weiterleitbar.
  • Eine weitere vorteilhafte Ausgestaltung des erfindungsgemäßen Kommunikationssystems sieht ferner vor, dass die Verwaltungs-Einheit über eine Überwachungsschnittstelle verfügt und dazu eingerichtet ist, Betriebsinformationen über die Überwachungsschnittstelle bereitzustellen, wobei die Betriebsinformationen das Betriebsverhalten der Verwaltungs-Einheit beschreiben. Hierdurch sind Nutzer dazu in der Lage das Verhalten der Verwaltungs-Einheit bzw. der respektiven Firewall-Funktionalität nachzuvollziehen. Somit können beispielsweise Entwickler nachvollziehen, aus welchen Gründen eine Nachricht nicht weitergeleitet wurde, obwohl dies eigentlich der Fall sein sollte. Besonders vorteilhaft werden die Betriebsinformationen von einem sogenannten Watchdog ausgelesen. Bei einem Watchdog handelt es sich um eine Funktion zur Ausfallerkennung eines digitalen Systems. Entsprechend kann der Watchdog geeignete Maßnahmen einleiten, um im Falle einer Fehlfunktion den Betrieb des Kommunikationssystems aufrecht zu erhalten. Beispielsweise können einzelne Komponenten des Kommunikationssystems resettet bzw. neu gestartet werden.
  • Entsprechend einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Kommunikationssystems ist eine der Verwaltungs-Einheit in Abhängigkeit eines jeweiligen Betriebsmodus zugrundeliegender Entscheidungslogik zum Entscheiden, welche Nachrichten gesperrt und hindurchgelassen werden sollen, in Form eines Entscheidungsbaums definiert. Dies ermöglicht das schnelle und einfache Nachvollziehen des Entscheidungsverhaltens der Verwaltungs-Einheit. Die verschiedenen Stufen des Entscheidungsbaums unterteilen sich dabei in Abhängigkeit des Nachrichtentyps. In der obersten Schicht des Entscheidungsbaums wird dann beispielsweise geprüft welche SID eine entsprechende Nachricht aufweist, woraufhin Nachrichten mit ganz bestimmten SIDs hindurchgelassen werden, Nachrichten mit anderen SIDs gesperrt werden und Nachrichten mit wiederum anderen SIDs in den tieferen Schichten des Entscheidungsbaums geprüft werden. In den tieferen Schichten des Entscheidungsbaums können dann mehrere SIDs zu Gruppen zusammengefasst werden, sodass beispielsweise Nachrichten an ganz bestimmte Zieladressen gesperrt bzw. hindurchgelassen werden.
  • Bevorzugt ist die Verwaltungs-Einheit dazu eingerichtet Fehlerinformationen an die stellvertretend für ein Zielsteuergerät erzeugte Antwortnachricht anzuhängen, wobei die Fehlerinformationen zumindest einen Hinweis auf wenigstens einen Betriebsmodus der Verwaltungs-Einheit enthalten. Situationsabhängig kann hierdurch das Betriebsverhalten der Ansprech-Einheit angepasst werden. Ist beispielsweise die Ansprech-Einheit zur Kommunikation mit den Steuergeräten autorisiert, hat jedoch den falschen Betriebsmodus verwendet, sodass eine relevante Nachricht von der Verwaltungs-Einheit gesperrt wird, so kann die Ansprech-Einheit daraufhin den passenden Betriebsmodus der Verwaltungs-Einheit aktivieren, wodurch das Weiterleiten der Nachrichten an die entsprechenden Steuergeräte erfolgen kann. Dies ist beispielsweise dann der Fall, wenn die Ansprech-Einheit zur Kommunikation mit einer gattungsgemäßen Verwaltungs-Einheit ohne Firewall-Funktionalität sowie zur Kommunikation mit einer erfindungsgemäßen Verwaltungs-Einheit verwendet wird. So kann die Ansprech-Einheit die Ausführung der Verwaltungs-Einheit abfragen und wird darüber informiert, welche Betriebsmodi vorhanden sind. Je nach Ausführung der Verwaltungs-Einheit können dabei auch ganz unterschiedliche Zusammensetzungen verschiedener Betriebsmodi vorgesehen sein. So kann eine erste Verwaltungs-Einheit eine erste Anzahl an Betriebsmodi aufweisen und eine zweite Verwaltungs-Einheit eine hierzu abweichende Anzahl Betriebsmodi. Entsprechend kann die Ansprech-Einheit für jede Verwaltungs-Einheit den zum Hindurchlassen der jeweiligen Nachricht passenden Betriebsmodus aktivieren.
  • Ein erfindungsgemäßes Fahrzeug umfasst wenigstens ein von einem im vorigen beschriebenen Kommunikationssystem umfasstes Steuergerät und eine von einem solchem Kommunikationssystem umfasste Verwaltungs-Einheit. Bei dem Fahrzeug kann es sich um ein beliebiges Fahrzeug wie einen Pkw, Lkw, Transporter, Bus oder dergleichen handeln. Durch das Umfassen entsprechender Bestandteile des erfindungsgemäßen Kommunikationssystems wird die Cybersicherheit des erfindungsgemäßen Fahrzeugs auf besonders einfache, effiziente und zuverlässige Art und Weise verbessert.
  • Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Kommunikationssystems und des Fahrzeugs ergeben sich auch aus den Ausführungsbeispielen, welche nachfolgend unter Bezugnahme auf die Figuren näher beschrieben werden.
  • Dabei zeigen:
    • 1 eine schematisierte Darstellung eines erfindungsgemäßen Fahrzeugs und eines erfindungsgemäßen Kommunikationssystems; und
    • 2 zwei gemäß unterschiedlicher Betriebsmodi einer Verwaltungs-Einheit des Kommunikationssystems konfigurierte Entscheidungsbäume.
  • 1 zeigt ein erfindungsgemäßes Fahrzeug 9. Das Fahrzeug 9 umfasst mehrere Steuergeräte 2, beispielsweise ein Motorsteuergerät, Getriebesteuergerät, ABS-Steuergerät, ein Steuergerät zum Ansteuern eines Kombiinstruments, eines Navigationssystems, eines Infotainmentsystems oder dergleichen. Die Steuergeräte 2 können über eine oder mehrere Bus-Leitungen 10, beispielsweise einen Highspeed-Bus und einen Lowspeed-Bus, an eine Verwaltungs-Einheit 4 angeschlossen sein. Bei der Verwaltungs-Einheit 4 kann es sich um eine dedizierte Recheneinheit handeln, oder aber um eine auf einer sonstigen Recheneinheit laufende Softwarekomponente. Die Verwaltungs-Einheit 4 wird auch als sogenanntes Gateway bezeichnet.
  • Die Steuergeräte 2 lassen sich über die Verwaltungs-Einheit 4 ansprechen, um Informationen auszulesen, ein Steuergerät 2 zur Bereitstellung eines Dienstes anzustoßen und/oder Softwarekomponenten der Steuergeräte 2 zu ändern oder neu einzubringen. Hierzu wird eine fahrzeugexterne Ansprech-Einheit 1 über eine Kommunikationsleitung 3 mit den entsprechenden Steuergeräten 2 verbunden. Der sich zwischen der Ansprech-Einheit 1 und der Verwaltungs-Einheit 4 befindliche Teil der Kommunikationsleitung 3 wird auch als Diagnosebus 3.1 bezeichnet und der sich zwischen der Verwaltungs-Einheit 4 und den Steuergeräten 2 befindliche Teil als Typ-Bus 3.2, wobei der „Typ“ dabei für eine Kategorie der jeweils an den Typ-Bus 3.2 angeschlossenen Steuergeräte 2 steht, also beispielsweise ein Infotainment-Bus. Ferner können Sensoren 11 über einen Sub-Bus 3.3 an ein jeweiliges Steuergerät 2 angeschlossen sein.
  • Zur Erhöhung der Cybersicherheit umfasst die Verwaltungs-Einheit 4 eine Firewall-Funktionalität 5 bzw. stellt diese bereit. Die Firewall-Funktionalität 5 kann durch eine auf der Verwaltungs-Einheit 4 ausgeführte Softwarekomponente bereitgestellt werden. Die Ansprech-Einheit 1 wird zum Ansprechen der jeweiligen Steuergeräte 2 verwendet. Dabei verwaltet die Verwaltungs-Einheit 4 die über die Kommunikationsleitung 3 erfolgende Kommunikation. Diese Kommunikation basiert gemäß einer vorteilhaften Ausführung des erfindungsgemäßen Kommunikationssystems auf dem durch die ISO 14229 definierten Unified-Diagnostic-Services Protokoll. Entsprechende Diagnosebotschaften werden dabei als in 2 gezeigte Nachrichten 6 ausgetauscht. Die Verwaltungs-Einheit 4 entscheidet dann, welche dieser Nachrichten 6 an die jeweiligen Steuergeräte 2 hindurchgelassen werden sollen und welche dieser Nachrichten 6 blockiert werden sollen. Analog kann die Verwaltungs-Einheit 4 ferner von den Steuergeräten 2 ausgegebene Nachrichten 6 an die Ansprech-Einheit 1 hindurchlassen oder sperren. Erfindungsgemäß ist die Verwaltungs-Einheit 4 dazu in der Lage stellvertretend für ein Steuergerät 2 eine Antwortnachricht zu generieren und an die Ansprech-Einheit 1 weiterzuleiten. Hierdurch lässt sich ein reibungsfreier Betrieb in der Datenkommunikation gewährleisten, sollte die Verwaltungs-Einheit 4 eine für das respektive Steuergerät 2 vorgesehene Nachricht sperren, wobei aber die Ansprech-Einheit 1 auf eine Antwort des Steuergeräts 2 angewiesen ist, um einen vordefinierten Ablauf fortzuführen.
  • Vorteilhaft weist die Verwaltungs-Einheit 4 wenigstens zwei Betriebsmodi auf, wobei in jedem Betriebsmodus eine unterschiedliche Gesamtheit unterschiedlicher Nachrichten 6 durchgelassen bzw. gesperrt werden. Das Aktivieren eines jeweiligen Betriebsmodus erfolgt dabei über eine an einer jeweiligen Nachricht 6 angehängte Betriebsmodus-Wahlinformation 7 (siehe 2). Die Betriebsmodus-Wahlinformation 7 kann sowohl von der Ansprech-Einheit 1, als auch von einem Steuergerät 2 an einer entsprechenden Nachricht 6 angehängt werden, wodurch die Ansprech-Einheit 1 und die Steuergeräte 2 den Betriebsmodus der Verwaltungs-Einheit 4 ändern können.
  • Die einem jeweiligen Betriebsmodus zugrunde liegende Entscheidungslogik ist in Form eines Entscheidungsbaums 8 in 2 für zwei unterschiedlich konfigurierte Betriebsmodi dargestellt. 2a) zeigt dabei die Konfiguration gemäß eines ersten Betriebsmodus und 2b) die Konfiguration gemäß eines zweiten Betriebsmodus. Ein eingekreistes Häkchen entspricht dabei dem Hindurchlassen von Nachrichten 6 und ein eingekreistes Kreuz dem Sperren bzw. Blockieren der Weiterleitung der Nachricht 6.
  • In einem ersten Schritt 201 analysiert die Verwaltungs-Einheit 4 die empfangene Nachricht 6. Die Nachricht 6 setzt sich dabei aus einem Kopf 6.1 und Nutzdaten 6.2 zusammen. Die Betriebsmodus-Wahlinformation 7 ist dabei, bevorzugt kryptografisch abgesichert, Bestandteil der Nutzdaten 6.2. Die Verwaltungs-Einheit 4 aktiviert den durch den Betriebsmodus-Wahlinformation 7 vorgegebenen Betriebsmodus. Gemäß des aktiven Betriebsmodus werden dann verschiedene Nachrichten 6 weitergeleitet oder blockiert. Hierzu könnend die Nachrichten 6 wie beispielsweise in den Schritten 202 und 203 angedeutet gemäß eines Adressteils 12 und eines Dienstteils 13 gruppiert werden. Der Dienstteil 13 beschreibt beispielsweise einen bestimmten Nachrichtentyp, also beispielsweise welcher Dienst mittels der jeweiligen Nachricht 6 von einem jeweiligen Steuergerät 2 bereitgestellt bzw. genutzt werden soll. Basiert das erfindungsgemäße Kommunikationssystem auf dem durch die ISO 14229 definierten UDS-Protokoll, kann es sich bei dem Dienstteil 13 beispielsweise um die sogenannte SID handeln. Dementsprechend können verschiedene SIDs vorgegeben sein, die von der Verwaltungs-Einheit 4 hindurchgelassen werden. Eine entsprechende Filterung kann basierend auf dem Adressteil 12 erfolgen, wobei der Adressteil 12 eine Quell- oder Zieladresse einer entsprechenden Hardwarekomponente des Kommunikationssystems entspricht. In dem in 2 gezeigten Ausführungsbeispiel ist der Dienstteil 13 dem Adressteil 12 in der Nachricht 6 vorgelagert. Generell könnte die Anordnung von Dienstteil 13 und Adressteil 12 auch vertauscht sein.
  • Die Filterung der Nachrichten 6 kann anhand einer beliebigen Anzahl nachfolgender Stufen erfolgen. Nachrichten 6, die im Schritt 203 nicht einfach hindurchgelassen werden, können dann beispielsweise in einem folgenden Schritt 204 weiter geprüft werden. Eine erste Untermenge dieser Nachrichten 6 kann dann blockiert werden und eine weitere Untermenge, welche hier als TYP1 bezeichnet wird, im Schritt 205 weiter geprüft werden. Diese Untermenge umfasst dann beispielsweise Nachrichten, die ganz bestimmte Dienste für ganz bestimmte Zieladressen vorsehen. Aus der Untermenge TYP1 können dann weitere Untermengen TYP1.1 und TYP1.2 in den Schritten 206 und 207 gebildet werden.
  • Im Schritt 208 kann auch aus einer solchen Untermenge eine noch weitere Untermenge gebildet werden, welche hier als TYP1.1.1 bezeichnet wird.
  • Gemäß 2b) ist ein anderer Betriebsmodus der Verwaltungs-Einheit 4 aktiv, sodass jeweils unterschiedliche Nachrichten 6 hindurchgelassen und gesperrt werden.
  • Das erfindungsgemäße Kommunikationssystem ist besonders einfach und damit kostengünstig auch in bestehende Fahrzeuge integrierbar. Es muss lediglich eine Komponente, nämlich besagte Verwaltungs-Einheit 4, angepasst werden. Das Kommunikationssystem ermöglicht somit bestehende Technologien wieder zu verwenden. Durch das Verwalten bzw. Filtern der über die Kommunikationsleitung 3 stattfindenden Kommunikation wird die Cybersicherheit verbessert. Die Möglichkeit für die Verwaltungs-Einheit 4 stellvertretend für ein Steuergerät 2 zu antworten gewährleistet das zuverlässige Durchführen vordefinierter Betriebsabläufe. Der zuverlässige Zugriff auf die Steuergeräte 2 für autorisierte Nutzer ist dabei ferner auf einfache Art und Weise sichergestellt. So können entsprechend autorisierte Nutzer schnell und einfach durch das Übertragen einer entsprechenden Nachricht 6, enthaltend eine entsprechende Betriebsmodus-Wahlinformation 7, die Verwaltungs-Einheit 4 so konfigurieren, dass der erforderliche Zugriff auf die Steuergeräte 2 erfolgen kann.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 20200272735 A1 [0005]

Claims (10)

  1. Kommunikationssystem, umfassend eine fahrzeugexterne Ansprech-Einheit (1), wenigstens ein fahrzeuginternes Steuergerät (2) und eine in eine Kommunikationsleitung (3) zwischen die Ansprech-Einheit (1) und das wenigstens eine Steuergerät (2) zwischengeschaltete fahrzeuginterne Verwaltungs-Einheit (4), wobei die Verwaltungs-Einheit (4) eine Firewall-Funktionalität (5) zum selektiven Hindurchlassen oder Sperren von zwischen der Ansprech-Einheit (1) und dem wenigstens einen Steuergerät (2) austauschbaren Nachrichten (6) bereitstellt, dadurch gekennzeichnet, dass die Verwaltungs-Einheit (4) dazu eingerichtet ist, wenn sie das Weiterleiten einer von der Ansprech-Einheit (1) erzeugten Nachricht (6) an ein Zielsteuergerät sperrt, stellvertretend für das Zielsteuergerät zu antworten, wobei die Verwaltungs-Einheit (4) eine eigene an die Ansprech-Einheit (1) gerichtete Antwortnachricht erzeugt und dabei als Absenderadresse die Adresse des Zielsteuergeräts verwendet.
  2. Kommunikationssystem nach Anspruch 1, dadurch gekennzeichnet, dass eine über die Kommunikationsleitung (3) erfolgende Kommunikation auf dem durch die ISO 14229 definierten UDS-Protokoll basiert.
  3. Kommunikationssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Verwaltungs-Einheit (4) über wenigstens zwei Betriebsmodi verfügt, wobei in jedem Betriebsmodus eine unterschiedliche Gesamtheit hindurchzulassender und zu sperrender Nachrichten (6) vorgegeben ist, und wobei die Verwaltungs-Einheit (4) dazu eingerichtet ist einen der Betriebsmodi in Abhängigkeit einer an eine Nachricht (6) von der Ansprech-Einheit (1) oder dem wenigstens einen Steuergerät (2) angehängten Betriebsmodus-Wahlinformation (7) zu aktivieren
  4. Kommunikationssystem nach Anspruch 3, dadurch gekennzeichnet, dass die Betriebsmodus-Wahlinformation (7) kryptografisch abgesichert an eine respektive Nachricht (6) angehängt ist.
  5. Kommunikationssystem nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die Verwaltungs-Einheit (4) dazu eingerichtet ist automatisch einen ersten Betriebsmodus zu aktivieren, nach Erhalt einer eine Betriebsmodus-Wahlinformation (7) umfassenden Nachricht (6) den durch die Betriebsmodus-Wahlinformation (7) angegebenen Betriebsmodus zu aktivieren und nach Verarbeiten zumindest der Nachricht (6) automatisch erneut den ersten Betriebsmodus zu aktivieren.
  6. Kommunikationssystem nach Anspruch 5, dadurch gekennzeichnet, dass im ersten Betriebsmodus das Weiterleiten von sämtlichen Nachrichten (6) gesperrt ist.
  7. Kommunikationssystem nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Verwaltungs-Einheit (4) über eine Überwachungsschnittstelle verfügt und dazu eingerichtet ist Betriebsinformationen über die Überwachungsschnittstelle bereitzustellen, wobei die Betriebsinformationen das Betriebsverhalten der Verwaltungs-Einheit (4) beschreiben.
  8. Kommunikationssystem nach einem der Ansprüche 3 bis 7, dadurch gekennzeichnet, dass eine der Verwaltungs-Einheit (4) in Abhängigkeit eines jeweiligen Betriebsmodus zugrunde liegende Entscheidungslogik zum Entscheiden welche Nachrichten (6) gesperrt und hindurchgelassen werden sollen, in Form eines Entscheidungsbaums (8) definiert ist.
  9. Kommunikationssystem nach einem der Ansprüche 3 bis 8, dadurch gekennzeichnet, dass die Verwaltungs-Einheit (4) dazu eingerichtet ist Fehlerinformationen an die stellvertretend für ein Zielsteuergerät erzeugte Antwortnachricht anzuhängen, wobei die Fehlerinformationen zumindest einen Hinweis auf wenigstens einen Betriebsmodus der Verwaltungs-Einheit (4) enthalten.
  10. Fahrzeug (9), gekennzeichnet durch wenigstens ein von einem Kommunikationssystem nach einem der Ansprüche 1 bis 9 umfasstes Steuergerät (2) und eine von dem Kommunikationssystem umfasste Verwaltungs-Einheit (4).
DE102023001975.5A 2023-05-15 2023-05-15 Kommunikationssystem und Fahrzeug Withdrawn DE102023001975A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102023001975.5A DE102023001975A1 (de) 2023-05-15 2023-05-15 Kommunikationssystem und Fahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102023001975.5A DE102023001975A1 (de) 2023-05-15 2023-05-15 Kommunikationssystem und Fahrzeug

Publications (1)

Publication Number Publication Date
DE102023001975A1 true DE102023001975A1 (de) 2024-06-20

Family

ID=91278777

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023001975.5A Withdrawn DE102023001975A1 (de) 2023-05-15 2023-05-15 Kommunikationssystem und Fahrzeug

Country Status (1)

Country Link
DE (1) DE102023001975A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130081106A1 (en) 2011-09-28 2013-03-28 Denso Corporation Bus monitoring security device and bus monitoring security system
US20200272735A1 (en) 2017-10-13 2020-08-27 Robert Bosch Gmbh Device for securing diagnostic commands to a control unit, and corresponding motor vehicle

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130081106A1 (en) 2011-09-28 2013-03-28 Denso Corporation Bus monitoring security device and bus monitoring security system
US20200272735A1 (en) 2017-10-13 2020-08-27 Robert Bosch Gmbh Device for securing diagnostic commands to a control unit, and corresponding motor vehicle

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP1959606B1 (de) Sicherheitseinheit
EP1622320B1 (de) Kommunikationsverfahren für wenigstens zwei Systemkomponenten eines Kraftfahrzeugs
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
EP3681102B1 (de) Verfahren zur validierung eines digitalen nutzerzertifikats
DE102015211451A1 (de) Verfahren zu einem Manipulationsschutz von über ein Bussystem zwischen Systemkomponenten zu übertragenden Nutzdatenpaketen
DE102017202022A1 (de) Kraftfahrzeug mit einem fahrzeuginternen Datennetzwerk sowie Verfahren zum Betreiben des Kraftfahrzeugs
WO2018077528A1 (de) Erkennung von manipulationen in einem can-netzwerk mittels überprüfung von can-identifiern
DE102017221889A1 (de) Datenverarbeitungseinrichtung, Gesamtvorrichtung und Verfahren zum Betrieb einer Datenverarbeitungseinrichtung oder Gesamtvorrichtung
DE102018212879A1 (de) Steuervorrichtung und Steuerverfahren
DE102017209557A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102014206545A1 (de) Verfahren, Kommunikationssystem und Daten-Zugangsknoten zur Übermittlung von Daten
EP3871393B1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
DE102018217431A1 (de) Sicherer Schlüsseltausch auf einem Gerät, insbesondere einem eingebetteten Gerät
DE102017209556A1 (de) Verfahren zum Schutz eines Fahrzeugnetzwerks gegen manipulierte Datenübertragung
WO2020043691A1 (de) Vorrichtung, verfahren und computerprogramm zum bereitstellen einer kommunikation für ein steuergerät eines fahrzeugs, verfahren, zentral-vorrichtung und computerprogramm zum bereitstellen einer aktualisierung, steuergerät, und fahrzeug
DE102023001975A1 (de) Kommunikationssystem und Fahrzeug
EP3556071B1 (de) Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum signieren von messwerten eines sensors
EP3682317B1 (de) Verfahren zum betrieb einer berührungssensitiven, flächigen eingabevorrichtung einer gesamtvorrichtung und gesamtvorrichtung
DE102020204059A1 (de) Verfahren zur Behandlung einer Anomalie von Daten, insbesondere bei einem Kraftfahrzeug
WO2018177614A1 (de) Schutzeinrichtung, verfahren und gerät enthalten eine schutzeinrichtung zum schutz eines mit dem gerät verbundenen kommunikationsnetzwerks
DE102016203534A1 (de) Verfahren und Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen
EP4300882A1 (de) Verfahren zur gesicherten übermittlung zeitkritischer daten innerhalb eines kommunikationssystems, kommunikationssystem und adapter für endgerät
DE102019201133A1 (de) Kraftfahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R230 Request for early publication
R120 Application withdrawn or ip right abandoned