-
Technisches Gebiet
-
Die vorliegende Erfindung betrifft ein elektronisches Steuergerät, das insbesondere bevorzugt auf ein elektronisches Steuergerät angewendet wird, das in einem bordinternen Netzwerk angeordnet wird.
-
Hintergrund
-
In den letzten Jahren haben sich bordinterne Netzwerke (CAN-Netzwerk) gemäß einem als CAN (Controller Area Network) bezeichneten Kommunikationsstandard verbreitet. CAN-Netzwerke sind derart ausgebildet, dass mehrere in einem Fahrzeug angeordnete elektronische Steuergeräte (ECU: Electronic Control Unit) mit einem Kommunikationsbus (CAN-Bus) unter Nutzung von CAN verbunden sind. Die elektronischen Steuergeräte können über den CAN-Bus miteinander Daten austauschen (CAN-Kommunikation).
-
Der CAN-Bus verbindet die elektronischen Steuergeräte miteinander, um den Datenaustausch zu ermöglichen, und ist ferner mit einem Datenverbindungsstecker (DLC: Data Link Connector) versehen. Durch das Anschließen eines Sondergerätes an den Datenverbindungsstecker kann ein Fehlercode ausgelesen werden, der durch eine Selbstdiagnosefunktion (OBD: On Board Diagnostics) erzeugt wird, die das elektronische Steuergerät aufweist. Anhand des Fehlercodes kann z. B. ein Servicetechniker eine Defektstelle leicht bestimmen.
-
Wenn der Datenverbindungsstecker nun missbraucht wird, konkret gesagt, wenn gefälschte Daten, die zwar dieselbe ID, jedoch einen anderen Inhalt als normale Daten aufweisen, von außerhalb über den Datenverbindungsstecker an den CAN-Bus gesendet werden, könnten die mit dem CAN-Bus verbundenen elektronischen Steuergeräte die gefälschten Daten empfangen und eine Fehlfunktion bewirken. Im Hinblick auf den Sicherheitsschutz ist daher eine Technik zum Verteidigen gegen solche gefälschten Daten notwendig.
-
Außerdem kann das Senden der gefälschten Daten an den CAN-Bus sowohl von einem Gerät, das mit dem Datenverbindungsstecker per Draht verbunden ist, als auch über ein Gerät drahtlos stattfinden, das mit dem Datenverbindungsstecker per Funk verbindbar ist.
-
Patentdokument 1 offenbart eine Technik für die an den CAN-Bus gesendeten Daten, wobei eine Differenz zwischen einem vorhergehenden und einem aktuellen Sendezeitpunkt als Sendeperiode berechnet wird, woraufhin die Sendeperiode mit einer vorgespeicherten Sendeperiode zum Feststellen von gefälschten Daten verglichen wird. Wenn als Ergebnis des Vergleichs die berechnete Sendeperiode kürzer ist als die Sendeperiode zum Feststellen von gefälschten Daten, werden die aktuell gesendeten Daten als gefälschte Daten erkannt.
-
Gemäß der Technik des Patentdokuments 1 kann ein elektronisches Steuergerät den CAN-Bus überwachen und, bevor ein anderes elektronisches Steuergerät den Empfang von gefälschten Daten abschließt, diese erfassen und ungültig machen. Dadurch können alle mit dem bordinternen Netzwerk verbundenen elektronischen Steuergeräte gegen Man-in-the-Middle-Attacken verteidigt werden, bei denen gefälschte Daten, die dieselbe ID wie normale Daten und einen anderen Inhalt aufweisen, in den CAN-Bus hineingelangen und eine Fehlfunktion der mit dem CAN-Bus verbundenen elektronischen Steuergeräte bewirken.
-
Stand der Technik
-
Patentdokument(e)
-
Patentdokument 1:
JP 2014-236248 A
-
Übersicht der Erfindung
-
Zu lösende Aufgabe der Erfindung
-
Für die Technik gemäß Patentdokument 1 ist jedoch ein zusätzliches Gerät nötig, das die an den CAN-Bus gesendeten Daten ständig überwacht. Konkret ist neben einer üblichen Kommunikationsleitung zum Verbinden der elektronischen Steuergeräte mit dem CAN-Bus eine hierzu parallel geschaltete zusätzliche Kommunikationsleitung zum Verbinden der elektronischen Steuergeräte mit dem CAN-Bus notwendig. Darüber hinaus sind hierfür zusätzliche Verarbeitungsprozesse erforderlich, wie z. B. das ständige Überwachen von Daten im CAN-Bus, die Überprüfung, ob es sich hierbei um gefälschte Daten handelt, und wenn ja, das Ungültigmachen der gefälschten Daten, usw.
-
Der Hardware- und der Software-Aufbau des bordinternen Netzwerks werden somit komplizierter. Dementsprechend werden die gesamten Kosten zum Realisieren des bordinternen Netzwerks nachteilhafterweise erhöht.
-
Angesichts der obigen Probleme liegt der vorliegenden Erfindung die Aufgabe zugrunde, ein elektronisches Steuergerät bereitzustellen, mit dem ein Sicherheitsschutz realisiert werden kann, ohne das bordinterne Netzwerk komplizierter zu machen und die Kosten zu erhöhen.
-
Mittel zum Lösen der Aufgabe
-
Um die obige Aufgabe zu lösen, wird erfindungsgemäß ein elektronisches Steuergerät (10) bereitgestellt, das mit einem CAN-Bus (20) verbunden ist, wobei eine CPU (100) des elektronischen Steuergerätes (10) über den Kommunikationsbus (20) normale Daten (D1) und danach Daten (D2 - D8) empfängt, welche dieselbe ID wie die normalen Daten (D1) aufweisen. Wenn die Häufigkeitszahl, mit der die Daten (D2 - D8) mit derselben ID innerhalb eines bestimmten Zeitraums empfangen wurden, größer/gleich einer vorbestimmten Häufigkeitszahl (DC) ist, entscheidet die CPU (100), dass der Zustand abnormal ist, und geht in einen Sicherheitssteuerzustand über.
-
Effekt der Erfindung
-
Erfindungsgemäß kann ein Sicherheitsschutz realisiert werden, ohne das bordinterne Netzwerk komplizierter zu machen und die Kosten zu erhöhen.
-
Figurenliste
-
- 1 zeigt den Gesamtaufbau des bordinternen Netzwerks.
- 2 zeigt den inneren Aufbau des elektronischen Steuergerätes.
- 3 ist ein Flussdiagramm der Empfangsprozesse.
- 4 ist eine Übersichtsdarstellung der Empfangsprozesse.
-
Ausführungsform der Erfindung
-
Im Folgenden wird die vorliegende Erfindung gemäß einer Ausführungsform unter Bezugnahme auf die Zeichnungen ausführlich erläutert. Es wird angemerkt, dass es sich bei der folgenden Erläuterung lediglich um eine Ausführungsform der vorliegenden Erfindung handelt und der technische Umfang der vorliegenden Erfindung nicht hierauf beschränkt ist.
-
1 zeigt den Gesamtaufbau des bordinternen Netzwerks N1 eines Fahrzeugs 1. Das bordinterne Netzwerk N1 ist ein Netzwerk gemäß dem als CAN (Controller Area Network) bezeichneten Kommunikationsstandard und mit elektronischen Steuergeräten (ECU: Electronic Control Unit) 10 und einem CAN-Bus 20 versehen.
-
Die elektronischen Steuergeräte 10 dienen zum Steuern verschiedener Betriebe des Fahrzeugs 1. Jedes elektronische Steuergerät 10 ist mit einer CPU (Central Processing Unit), einem RAM (Random Access Memory), einem ROM (Read Only Memory), einer Ein-/Ausgabeschnittstelle usw. versehen. Jedes elektronische Steuergerät 10 ist mit dem CAN-Bus 20 verbunden. Die jeweiligen elektronischen Steuergeräte 10 sind somit über den CAN-Bus 20 miteinander verbunden, um den Datenaustausch zu ermöglichen.
-
Unter den mit dem CAN-Bus 20 verbundenen elektronischen Steuergeräten 10 gibt es ein als Motorsteuergerät bezeichnetes elektronisches Steuergerät 10, das zum umfassenden Steuern des Betriebs des Fahrzeugs 1 dient. Die Erfindung gemäß der vorliegenden Ausführungsform wird somit auf das Motorsteuergerät angewendet, um den Sicherheitsschutz vor allem bezüglich der fahrtbezogenen Steuerung zu realisieren.
-
Der CAN-Bus 20 ist ein Kommunikationsbus unter Nutzung von CAN und verbindet die jeweiligen elektronischen Steuergeräte 10 miteinander, um den Datenaustausch zu ermöglichen. Der CAN-Bus 20 ist ferner mit einem Datenverbindungsstecker (DLC: Data Link Connector) 30 versehen. Der Datenverbindungsstecker 30 ist ein Verbindungsstecker zum Verbinden eines Scanmittels 40 per Draht oder per Funk mit dem CAN-Bus 30.
-
Wird das Scanmittel 40 an den Datenverbindungsstecker 30 angeschlossen und entsprechend betätigt, kann ein Fehlercode ausgelesen werden, der durch die Selbstdiagnosefunktion (OBD: On Board Diagnostics) erzeugt wird, die das elektronische Steuergerät 10 aufweist. Z. B. kann ein Servicetechniker anhand des Fehlercodes auf dem Anzeigebildschirm des Scanmittels 40 eine Defektstelle des Fahrzeugs 1 bestimmen.
-
Dabei könnten gefälschte Daten von außerhalb des Fahrzeugs 1 über den Datenverbindungsstecker 30 an den CAN-Bus 20 gesendet werden. Mit den gefälschten Daten sind hierbei folgende Daten gemeint, die zumindest bezüglich des Zeitpunktes des Sendens an den CAN-Bus 20 von normalen Daten verschieden sind.
-
Wenn z. B. unter der Voraussetzung, dass normale Daten mit einer ID „1“ pro „100 ms“ an den CAN-Bus 20 gesendet werden, Daten mit einer ID „1“ pro „120 ms“ an den CAN-Bus 20 gesendet werden, werden die letzteren Daten in der vorliegenden Ausführungsform als gefälschte Daten behandelt. Was die Daten mit der ID „1“ angeht, werden auch Daten mit einer anderen ID oder Daten, die zwar dieselbe ID, jedoch einen anderen Inhalt aufweisen, selbstverständlich als gefälschte Daten behandelt.
-
Wenn solche gefälschten Daten über den Datenverbindungsstecker 30 an den CAN-Bus 20 gesendet werden und dagegen kein Verteidigungsmittel bereitgestellt ist, wird das mit dem CAN-Bus 20 verbundene elektronische Steuergerät 10 diese Daten empfangen und in einem Rechenprozess verarbeiten. Vor allem wenn die gefälschten Daten durch das Motorsteuergerät empfangen und im Rechenprozess verarbeitet werden, könnte also die Fahrt außer Kontrolle geraten.
-
Gemäß der vorliegenden Ausführungsform werden eventuell an den CAN-Bus 20 gesendete gefälschte Daten durch das elektronische Steuergerät 10 vom Rechenprozess ausgeschlossen, damit nur normale Daten im Rechenprozess verarbeitet werden. Beim Erhöhen der Empfangshäufigkeit, mit der die gefälschten Daten über den CAN-Bus 20 empfangen wurden, entscheidet ferner das elektronische Steuergerät 10, dass der Zustand abnormal ist, und geht in einen Sicherheitssteuerungszustand über.
-
Der Sicherheitssteuerungszustand umfasst z. B. einen Zustand, in dem ein Verbrennungsmotor abgestellt (angehalten) ist, einen Zustand, in dem der Empfang von Daten des CAN-Busses 20 verweigert ist, und einen Zustand, in dem der Übergang in einen Notbetriebsmodus erfolgt, in dem die Fahrt mit dem kleinsten Gang beibehalten wird.
-
2 zeigt den inneren Aufbau des elektronischen Steuergerätes 10. Das elektronische Steuergerät 10 umfasst eine CPU 100 neben den hier nicht dargestellten Bauteilen, wie etwa Speichern, d. h. einem RAM, einem ROM u. a., und einer Ein-/Ausgabeschnittstelle. Die CPU 100 umfasst Programme bzw. Speicher für eine Datenaustauscheinheit 101, eine Empfangsdatenüberwachung 102, einen CAN-Puffer 103, einen steuerungsbezogenen Beurteilungsabschnitt 104, einen Berechnungsabschnitt 105 u. a.
-
Die Datenaustauscheinheit 101 empfängt normale oder gefälschte Daten D0 - D8 vom CAN-Bus 20 und gibt diese an die Empfangsdatenüberwachung 102 aus. An den CAN-Bus 20 sendet die Datenaustauscheinheit 101 ferner Rechenergebnisse D21, D22 für normale Daten in den Daten D0 - D8 oder Ausfallsicherheitsdaten D23 zum Übergang in einen Sicherheitssteuerungszustand.
-
Die Rechenergebnisse D21, D22 und die Ausfallsicherheitsdaten D23 werden danach für den Betrieb der weiteren elektronischen Steuergeräte 10 und weiteren Einrichtungen verwendet. Falls die weiteren elektronischen Steuergeräte 10 und Einrichtungen die Ausfallsicherheitsdaten D23 empfangen, erfolgt also eine Sicherheitssteuerung unabhängig von der Betätigung des Fahrers.
-
Erhält die Empfangsdatenüberwachung 102 normale oder gefälschte Daten D0 - D8 von der Datenaustauscheinheit 101, gibt sie diese Daten an den CAN-Puffer 103 aus und zählt zugleich die Empfangshäufigkeit der Daten D0 - D8, um zu überprüfen, ob der Zustand abnormal ist.
-
Empfängt konkret die Empfangsdatenüberwachung 102 die als Referenz dienenden normalen Daten D0, gibt sie diese Daten an den CAN-Puffer 103 aus und aktiviert zugleich eine interne Zeitschaltuhr T der CPU 100, um mit dem Messen der Zeit zu beginnen.
-
Die Empfangsdatenüberwachung 102 gibt anhand einer vorbestimmten Zeit DT, die vorab jeweils einer ID zugeordnet ist, die Daten D0 - D8, die vor Ablauf der vorbestimmten Zeit DT empfangen wurden, an den CAN-Puffer 103 aus. Außerdem wird die Empfangshäufigkeit der Daten D0 - D8 durch den Zähler C gezählt. Die Empfangsdatenüberwachung 102 zählt nämlich die Empfangshäufigkeit der Daten pro Zeiteinheit.
-
Die Empfangsdatenüberwachung 102 überprüft dann anhand einer vorbestimmten Häufigkeitszahl DC, ob die durch den Zähler C gezählte Empfangshäufigkeit größer/gleich der vorbestimmten Häufigkeitszahl DC ist. Ist die Empfangshäufigkeit größer/gleich der vorbestimmten Häufigkeitszahl DC, entscheidet die Empfangsdatenüberwachung 102, dass der Zustand abnormal ist. Die Empfangsdatenüberwachung 102 gibt dann das Ergebnis der Überwachung, das den abnormalen Zustand angibt, an den steuerungsbezogenen Beurteilungsabschnitt 104 aus.
-
Der CAN-Puffer 103 ist ein Speicher, in dem die im Rechenprozess zu verarbeitenden Daten gespeichert werden. Der steuerungsbezogene Beurteilungsabschnitt 104 stellt basierend auf dem Ergebnis der Überwachung der Empfangsdatenüberwachung 102 fest, ob die im CAN-Puffer 103 gespeicherten Daten im Rechenprozess verarbeitet oder davon ausgeschlossen werden sollen. Der steuerungsbezogene Beurteilungsabschnitt 104 gibt dann das Ergebnis der Beurteilung an den Berechnungsabschnitt 105 aus.
-
Basierend auf dem Ergebnis der Beurteilung des steuerungsbezogenen Beurteilungsabschnittes 104 verarbeitet der Berechnungsabschnitt 105 diejenigen Daten unter den im CAN-Puffer 103 gespeicherten Daten D0 - D8 im Rechenprozess, die innerhalb eines vorgegebenen Zeitraums (Fensters) nach Ablauf der vorbestimmten Zeit DT empfangen wurden, und erzeugt Rechenergebnisse D21, D22. Andernfalls schließt er die Daten vom Rechenprozess aus und erzeugt Ausfallsicherheitsdaten D23.
-
Wenn z. B. die Daten D0 eine ID „1“ aufweisen und der ID eine vorbestimmte Zeit DT von „100 ms“ vorab zugeordnet ist, verarbeitet der Berechnungsabschnitt 105 bezüglich der Daten mit der ID „1“ diejenigen Daten im Rechenprozess, die innerhalb eines Fensters von 100 ms - 110 ms oder 95 ms - 105 ms nach dem Empfang der Daten D0 empfangen wurden, und erzeugt die Rechenergebnisse D21, D22.
-
Wenn der Zustand abnormal ist, schließt hingegen der Berechnungsabschnitt 105 die im CAN-Puffer 103 gespeicherten Daten D0 - D8 vom Rechenprozess aus und erzeugt Ausfallsicherheitsdaten D23 zum Übergang in einen Sicherheitssteuerungszustand. Der Berechnungsabschnitt 105 gibt die erzeugten Rechenergebnisse D21, D22 oder die Ausfallsicherheitsdaten D23 an die Datenaustauscheinheit 101 aus.
-
3 ist ein Flussdiagramm der Empfangsprozesse gemäß der vorliegenden Ausführungsform. Die Empfangsprozesse werden durch die CPU 100 des elektronischen Steuergerätes 10 ab einem Zeitpunkt gestartet, zu dem der Zähler C aktiviert wurde, und danach ständig durchgeführt. Als Zeitpunkt zum Aktivieren des Zählers C wird ein Zeitpunkt angenommen, zu dem das elektronische Steuergerät 10 eingeschaltet wird. Es gibt jedoch keine Beschränkung hierauf.
-
Außerdem werden hier lediglich die Verarbeitungsprozesse in einem bestimmten Zeitraum nach dem Empfang der als Referenz dienenden normalen Daten erläutert. Alle hier erläuterten Daten haben dieselbe ID (z. B.: „1“). Die vorliegenden Verarbeitungsprozesse werden nämlich für jede ID durchgeführt. Der Erläuterung halber wird angenommen, dass die CPU 100 das Subjekt der Verarbeitung ist.
-
Zunächst aktiviert die CPU 100 den Zähler C, um mit dem Zählen der Empfangshäufigkeit zu beginnen (S1). Wenn die CPU 100 danach normale Daten vom CAN-Bus 20 empfängt (S2), aktiviert sie die Zeitschaltuhr T, um mit dem Messen der Zeit zu beginnen (S3).
-
Nach dem Aktivieren der Zeitschaltuhr T zählt die CPU 100, die in Schritt S2 die normalen Daten empfangen hat, die Empfangshäufigkeit i um +1 aufwärts (S4). Die CPU 100 überprüft anschließend, ob die Empfangshäufigkeit i größer/gleich der vorbestimmten Häufigkeitszahl DC ist (S5).
-
Die Empfangshäufigkeit i zum Zeitpunkt, zu dem die normalen Daten einmal empfangen wurden, beträgt „1“. Wenn die vorbestimmte Häufigkeitszahl DC auf „6“ eingestellt ist, ist die Empfangshäufigkeit i daher kleiner als die vorbestimmte Häufigkeitszahl DC. Das Ergebnis der Überprüfung in Schritt S5 ist also negativ.
-
Erhält die CPU 100 ein negatives Ergebnis der Überprüfung in Schritt S5 (S5: N), gibt sie die empfangenen normalen Daten an den CAN-Puffer 103 aus (S6). Die CPU 100 überprüft anschließend, ob weitere empfangene Daten nach dem Aktivieren der Zeitschaltuhr T vorhanden sind (S7). Erhält die CPU 100 ein positives Ergebnis der Überprüfung in S7 (S7: J), erfolgt der Übergang zu Schritt S4, um die obigen Verarbeitungsprozesse zu wiederholen.
-
Erhält die CPU 100 hingegen ein negatives Ergebnis der Überprüfung in S7 (S7: N), überprüft sie anhand der vorbestimmten Zeit DT, die der ID der in Schritt S2 empfangenen normalen Daten zugeordnet wurde, und anhand einer gemessenen Zeit ab Beginn der Messung in Schritt S3, ob die gemessene Zeit die vorbestimmte Zeit DT erreicht hat (S8).
-
Erhält die CPU 100 ein negatives Ergebnis der Überprüfung in Schritt S8 (S8: N), erfolgt der Übergang zu Schritt S4, um die besagten Verarbeitungsprozesse zu wiederholen, bis die gemessene Zeit die vorbestimmte Zeit DT erreicht. Erhält die CPU 100 ein positives Ergebnis der Überprüfung in Schritt S5 (S5: J), entscheidet sie, dass der Zustand abnormal ist (S9). Die CPU 100 geht dabei in einen Sicherheitssteuerungszustand (S10) über und beendet die vorliegenden Verarbeitungsprozesse.
-
Erhält die CPU 100 hingegen ein positives Ergebnis der Überprüfung in Schritt S8 (S8: J), setzt sie durch das Stoppen und Neustarten des Zählers C die gezählte Häufigkeitszahl einmal zurück und startet erneut das Zählen der Empfangshäufigkeit (S12).
-
Als Nächstes überprüft die CPU 100, ob es unter den im CAN-Puffer 103 gespeicherten Daten solche Daten gibt, die innerhalb eines vorgegebenen Zeitraums (Fensters) nach Ablauf der vorbestimmten Zeit DT empfangen wurden (S13).
-
Erhält die CPU 100 ein negatives Ergebnis der Überprüfung in Schritt S13 (S13: N), beendet sie die vorliegenden Verarbeitungsprozesse, ohne die im CAN-Puffer 103 gespeicherten Daten im Rechenprozess zu verarbeiten. Erhält die CPU 100 hingegen ein positives Ergebnis (S13: J), verarbeitet sie die innerhalb des Fensters empfangenen Daten unter den im CAN-Puffer 103 gespeicherten Daten im Rechenprozess (S14) und beendet die vorliegenden Verarbeitungsprozesse.
-
Für danach empfangene Daten mit derselben ID wiederholt die CPU 100 die besagten Verarbeitungsprozesse durch den Übergang zu Schritt S4.
-
4 ist eine Übersichtsdarstellung der Empfangsprozesse gemäß 3. Es folgt eine Erläuterung der Verarbeitungsprozesse der Daten D0 - D8 in chronologischer Reihenfolge.
-
Zum Zeitpunkt t0 werden die als Referenz dienenden normalen Daten D0 durch die Datenaustauscheinheit 101 empfangen. Ferner wird durch die Empfangsdatenüberwachung 102 die Zeitschaltuhr T aktiviert und die vorbestimmte Zeit DT berücksichtigt. Weiterhin wird die Empfangshäufigkeit des Zählers C um +1 aufwärts gezählt.
-
Danach werden die Daten D0 an den CAN-Puffer 103 ausgegeben. Nachdem die im CAN-Puffer 103 gespeicherten Daten D0 durch den steuerungsbezogenen Beurteilungsabschnitt 104 als Berechnungsgegenstand beurteilt wurden, werden sie durch den Berechnungsabschnitt 105 im Rechenprozess verarbeitet. Dementsprechend wird ein Rechenergebnis D21 erzeugt.
-
In einem Zeitraum von t0 ≤ t < t1 erfolgt die Überwachung der empfangenen Daten durch die Empfangsdatenüberwachung 102. Konkret wird die Zeit durch die Zeitschaltuhr T und die Empfangshäufigkeit durch den Zähler C gezählt. Da hierbei nur die Daten D0 empfangen wurden, beträgt die Empfangshäufigkeit „1“.
-
Zum Zeitpunkt t1 werden die Zeitschaltuhr T und der Zähler C durch die Empfangsdatenüberwachung 102 gestoppt und neu gestartet, um die gemessene Zeit und die Empfangshäufigkeit zurückzusetzen. Nach dem Zurücksetzen findet das Zählen erneut statt. Die Zeitschaltuhr T beginnt dabei erneut mit dem Messen der Zeit ab Zeitpunkt t2. Der Zähler C beginnt erneut mit dem Zählen von Daten unmittelbar nach dem Zurücksetzen.
-
Der Wertbereich von t1 < t ≤ t3 stellt einen Zeitraum dar, in dem die empfangenen Daten im Rechenprozess zu verarbeiten sind. Dieser Zeitraum wird hierbei als Fenster W bezeichnet. Bei den normalen Daten D1 handelt es sich um Daten, die zum Zeitpunkt t2 und innerhalb des Fensters W empfangen wurden.
-
Die Daten D1 werden anschließend an den CAN-Puffer 103 ausgegeben. Nachdem die Daten D1 durch den steuerungsbezogenen Beurteilungsabschnitt 104 als Berechnungsgegenstand beurteilt werden, werden sie durch den Berechnungsabschnitt 105 im Rechenprozess verarbeitet. Dementsprechend wird ein Rechenergebnis D22 erzeugt.
-
In einem Zeitraum von t2 ≤ t < t5 erfolgt erneut die Überwachung der empfangenen Daten. Hierbei werden inzwischen mehrmals gefälschte Daten D2 - D7 empfangen. Bei jedem Empfang der gefälschten Daten D2 - D7 wird die Empfangshäufigkeit durch den Zähler C um +1 aufwärts gezählt.
-
Es wurde gezeigt, dass zum Zeitpunkt t4 die Empfangshäufigkeit die vorbestimmte Häufigkeitszahl DC erreicht. Dabei wird das Überwachungsergebnis der Empfangsdatenüberwachung 102 an den steuerungsbezogenen Beurteilungsabschnitt 104 ausgegeben. Die danach empfangenen Daten werden durch den steuerungsbezogenen Beurteilungsabschnitt 104 vom Rechenprozess ausgeschlossen.
-
In einem Zeitraum von t5 < t ≤ t7 ist hierbei ein zweites Fenster W vorgesehen. Das Fenster W ist auf diese Weise bei jedem Ablauf der vorbestimmten Zeit DT regelmäßig vorgesehen. Obwohl dabei normale Daten D8 zum Zeitpunkt t6 und innerhalb des Fensters W empfangen wurden, werden sie vom Rechenprozess ausgeschlossen. Stattdessen werden Ausfallsicherheitsdaten D23 erzeugt.
-
Wie oben erwähnt, wird gemäß der vorliegenden Ausführungsform nach dem Empfang der als Referenz dienenden Daten D0 die Empfangshäufigkeit derjenigen empfangenen Daten gezählt, die dieselbe ID wie die Daten D0 aufweisen. Wenn die Empfangshäufigkeit innerhalb eines bestimmten Zeitraums nicht die vorbestimmte Häufigkeitszahl DC erreicht, werden die danach empfangenen Daten D1 im Rechenprozess verarbeitet. Ist die Empfangshäufigkeit größer/gleich der vorbestimmten Häufigkeitszahl DC, wird entschieden, dass der Zustand abnormal ist, wobei der Übergang in einen Sicherheitssteuerungszustand erfolgt.
-
Konkret wird zum Zeitpunkt des Empfangs der normalen Daten D0 die Zeitschaltuhr T aktiviert und die Empfangshäufigkeit von Daten gezählt, die während der gemessenen Zeit in einem Zeitraum bis zum Erreichen der vorbestimmten Zeit DT empfangen wurden. Falls die Empfangshäufigkeit nicht die vorbestimmte Häufigkeitszahl DC erreicht, werden die danach innerhalb des Fensters W empfangenen normalen Daten D1 im Rechenprozess verarbeitet. Falls hingegen die Empfangshäufigkeit die vorbestimmte Häufigkeitszahl DC erreicht, werden die normalen Daten D8 vom Rechenprozess ausgeschlossen und stattdessen Ausfallsicherheitsdaten D23 erzeugt. Darauf basierend erfolgt der Übergang in einen Sicherheitssteuerungszustand.
-
Somit erübrigen sich sowohl ein zusätzliches Gerät als Verteidigungsmittel gegen Man-in-the-Middle-Attacken als auch komplizierte Verarbeitungsprozesse, wie z. B. das Überwachen, das Feststellen, das Ungültigmachen u. a. von gefälschten Empfangsdaten. Die Verteidigung gegen gefälschte Daten ist also nur durch die Steuerung der Software möglich. Gemäß der vorliegenden Ausführungsform kann somit ein Sicherheitsschutz realisiert werden, ohne das bordinterne Netzwerk komplizierter zu machen und die Kosten zu erhöhen.
-
Gemäß der vorliegenden Ausführungsform ist eine vorbestimmte Zeit DT vorab einer ID zugeordnet. Zusätzlich dazu kann die vorbestimme Zeit DT einer Festerbreite (entspricht einer Zeitspanne zwischen den Zeitpunkten t1 und t3 in 4) zugeordnet werden.
-
Es kann z. B. angenommen werden, dass einer ID „1“ eine vorbestimmte Zeit DT von „99 ms“ und eine Fensterbreite von „10 ms“ vorab zugeordnet sind, und einer ID „2“ eine vorbestimmte Zeit DT von „50 ms“ und eine Fensterbreite von „5 ms“. D. h., die Fensterbreite kann in Abhängigkeit von der Empfangshäufigkeit pro Zeiteinheit veränderlich sein.
-
Für Daten mit einer größeren Empfangshäufigkeit pro Zeiteinheit kann die Fensterbreite verkleinert werden, damit gefälschte Daten leicht vom Rechenprozess ausgeschlossen werden können. Der Sicherheitsschutz kann somit zuverlässiger realisiert werden.
-
Gemäß der vorliegenden Ausführungsform wird die Empfangshäufigkeit zum Zeitpunkt, zu dem die gemessene Zeit die vorbestimmte Zeit DT erreicht, einmal zurückgesetzt. Es gibt jedoch keine Beschränkung hierauf, so dass auch möglich ist, dass das Zurücksetzen nicht erfolgt, solange der Gesamtbetrag der Empfangshäufigkeiten nicht die vorbestimmte Häufigkeitszahl DC erreicht. D. h., das Zurücksetzen der Empfangshäufigkeit kann ab Beginn der Zählung der Empfangshäufigkeit des Zählers C erst zu dem Zeitpunkt erfolgen, zu dem der Gesamtbetrag der Empfangshäufigkeiten der Daten, die außerhalb des regelmäßig vorgesehenen Fensters W empfangen wurden, die vorbestimmte Häufigkeitszahl DC erreicht.
-
Dabei muss die Empfangshäufigkeit nicht bei jedem Erreichen der gemessenen Zeit zu der vorbestimmten Zeit DT zurückgesetzt werden, so dass eine Vereinfachung der Verarbeitungsprozesse ermöglicht wird. Wenn gefälschte Daten zwar nicht als abnormaler Zustand eingestuft, jedoch stetig empfangen werden, kann außerdem entschieden werden, dass der Zustand abnormal ist.
-
Bezugszeichenliste
-
- 1
- Fahrzeug
- 10
- Elektronisches Steuergerät
- 20
- CAN-Bus
- 30
- Datenverbindungsstecker
- 40
- Scanmittel
- 100
-
CPU
- 101
- Datenaustauscheinheit
- 102
- Empfangsdatenüberwachung
- 103
- CAN-Puffer
- 104
- Steuerungsbezogener Beurteilungsabschnitt
- 105
- Berechnungsabschnitt
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-