WO2022238024A1 - Verfahren zum erkennen eines manipulierten steuergeräts eines bussystems eines fahrzeugs durch ein zweites steuergerät des bussystems des fahrzeugs, computerlesbares medium, system, und fahrzeug - Google Patents

Verfahren zum erkennen eines manipulierten steuergeräts eines bussystems eines fahrzeugs durch ein zweites steuergerät des bussystems des fahrzeugs, computerlesbares medium, system, und fahrzeug Download PDF

Info

Publication number
WO2022238024A1
WO2022238024A1 PCT/EP2022/053559 EP2022053559W WO2022238024A1 WO 2022238024 A1 WO2022238024 A1 WO 2022238024A1 EP 2022053559 W EP2022053559 W EP 2022053559W WO 2022238024 A1 WO2022238024 A1 WO 2022238024A1
Authority
WO
WIPO (PCT)
Prior art keywords
message
vehicle
control unit
bus system
control device
Prior art date
Application number
PCT/EP2022/053559
Other languages
English (en)
French (fr)
Inventor
Michael Weiner
Peter Winklhofer
Robert MEINLSCHMIDT
Theresa REINER
Markus ANTON
Original Assignee
Bayerische Motoren Werke Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke Aktiengesellschaft filed Critical Bayerische Motoren Werke Aktiengesellschaft
Priority to CN202280020865.7A priority Critical patent/CN116982291A/zh
Priority to US18/554,327 priority patent/US20240113912A1/en
Publication of WO2022238024A1 publication Critical patent/WO2022238024A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Definitions

  • the invention relates to a method for detecting a manipulated control unit of a bus system of a vehicle using a second control unit of the bus system of the vehicle.
  • the invention also relates to a computer-readable medium for detecting a manipulated control unit of a vehicle bus system by a second control unit of the vehicle bus system, a system for detecting a manipulated control unit of a vehicle bus system by a second control unit of the vehicle bus system, and a vehicle comprising the System for detecting a manipulated control unit of a vehicle's bus system by a second control unit of the vehicle's bus system.
  • Vehicle control units are connected to one another via bus systems.
  • the control units can exchange messages for controlling vehicle functions via a bus system. If a control unit sends unauthorized messages on a bus system, a function of another control unit can be influenced without authorization. There is currently no checking of the legitimacy of a sender of bus messages.
  • one object of the invention is to efficiently identify a manipulated control device on a bus system of a vehicle.
  • one object of the invention is to efficiently identify a manipulated sender of a message on a bus system by a further control unit of the vehicle's bus system.
  • the invention is distinguished by a method for recognizing a manipulated control unit of a bus system of a vehicle by a second control unit of the bus system of the vehicle.
  • the method can be a computer-implemented method and/or a controller-implemented method. 2
  • the bus system can be a CAN bus.
  • the vehicle can be an automobile.
  • the method includes sending a first message via the bus system by a transmitting unit of a first control unit of the vehicle, receiving the first message via the bus system by a receiving unit or a transmitting/receiving unit of the second control unit of the vehicle.
  • the method further includes determining a message type of the received, first message by the second control unit and determining a reference message by the second control unit of the vehicle, the reference message having a message type that corresponds to the specific message type of the first message.
  • the method also includes determining a deviation of the first message from the reference message. If the first message deviates from the reference message, the method recognizes the first control unit as the manipulated control unit by the second control unit and provides an alarm message from the second control unit to a server external to the vehicle.
  • the method can efficiently identify a manipulated control unit.
  • Messages from the bus system are received by the second control device and compared with a reference message from the second control device in order to determine whether the first control device is an authorized sender of the received message. If the first control device is an unauthorized or manipulated sender of a message on the bus system, the authorized sender of the message, the second control device, can efficiently identify the unauthorized or manipulated sender by means of the reference message. Manipulations of the vehicle's control units can thus be quickly detected and reported to a vehicle-external server.
  • the reference message can be the last, successfully sent message from the second control device, which has the message type of the first message received. This allows the reference message to be determined efficiently.
  • the reference message can be a message for which the second control unit is the only trustworthy message source on the bus system.
  • the second control unit can thus efficiently identify a manipulated control unit.
  • the reference message can be sent from the second control unit via the bus system before the first message is received, and the reference message can be stored on the second control unit after the reference message has been successfully sent.
  • the second control unit can use this to efficiently determine the reference message.
  • the method can also include discarding the first message by the second control device if the first message corresponds to the reference message.
  • the second control unit can use this to filter its own messages that are sent and received via the bus system.
  • the second control unit can be a gateway control unit of the bus system.
  • the second control unit can thus efficiently monitor a large number of messages from other control units of the bus system and quickly identify manipulated control units.
  • the bus system can be a CAN bus.
  • the invention is characterized by a computer-readable medium for detecting a manipulated control unit of a bus system of a vehicle by a second control unit of the bus system of the vehicle, the computer-readable medium comprising instructions which, when executed from a control unit of a vehicle, the above carry out the procedures described.
  • the invention is characterized by a system for detecting a manipulated control unit of a bus system of a vehicle by a second control unit of the bus system of the vehicle, the system being designed to carry out the method described above.
  • the invention is characterized by a vehicle comprising the system described above for detecting a manipulated control unit of a bus system of the vehicle by a second control unit of the bus system of the vehicle. 4
  • FIG. 1 shows an exemplary method for detecting a manipulated control unit of a bus system of a vehicle
  • FIG. 2 shows an exemplary system for detecting a manipulated control device of a bus system of a vehicle.
  • FIG. 1 shows in detail an exemplary method 100 for recognizing a manipulated control device of a bus system of a vehicle by a second control device of the bus system of the vehicle.
  • the bus system of the vehicle there is preferably only a single control unit, referred to below as the second control unit, which can be an authorized sender of a message, also referred to below as reference message, on the bus system.
  • the method 100 can send 102 a first message via the bus system by a transmission unit of a first control unit of the vehicle.
  • the first control unit can be a manipulated control unit.
  • the first message can include, for example, a signal to adjust a speed limit of the vehicle to a value not authorized by a manufacturer of the vehicle.
  • the method 100 can receive the first message via the bus system by a receiving unit or a transceiver unit of the second control unit of the vehicle 104.
  • the method 100 can also determine a message type of the received, first message by the second control unit 106.
  • the message type can, for example Adjust the vehicle's speed limit. 5
  • the method 100 can determine 108 a reference message by the second control unit of the vehicle, the reference message having a message type that corresponds to the specific message type of the first message.
  • the reference message can be a last, successfully sent message from the second control device, which has the message type of the first message received. Additionally or alternatively, the reference message can be a message for which the second control device is the only, trustworthy message source on the bus system. Additionally or alternatively, the reference message can be sent from the second control unit via the bus system before the first message is received, and the reference message can be stored on the second control unit after the reference message has been successfully sent. For example, if the message type is adjusting the speed limit of the vehicle, the second control unit can determine the associated reference message using the message type.
  • the second control device when the second control device is configured for the first time, the second control device can send a message with the message type Adjusting the speed limit of the vehicle in order to set the speed limit of the vehicle to a value specified by the manufacturer of the vehicle. After successfully sending the message with the message type Adjust vehicle speed limit, the second control unit can store this message. Finally, the stored message serves as a reference message in order to detect a manipulated control unit that is attempting to send an unauthorized message with the message type Adjusting the vehicle's speed limit on the bus system.
  • the method 100 can determine 110 a deviation of the first message from the reference message. For example, the method can compare the value of the speed limit of the first message with the value of the speed limit of the reference message in order to determine a deviation. If the first message differs from the reference message, the method 100 can recognize the first control unit as the manipulated control unit by the second control unit 112, and provide an alarm message from the second control unit to a vehicle-external server 114.
  • Fig. 2 shows an exemplary system 200 for detecting a manipulated control unit 202 of a bus system 204 of a vehicle by a second control unit 206.
  • a first or manipulated control unit 202 can send a first message 208 of a first message type via the bus system 204 by a transmission unit of the first control unit 202 Send 6 of the vehicle.
  • the second control device 206 can receive the first message 208 with the first message type via the bus system 204 by a receiving unit or a transceiver unit of the second control device 206 of the vehicle.
  • Receiving unit 210 or the transmitting/receiving unit of the second control unit can preferably include a component 210 for detecting a manipulated control unit.
  • the second control device 206 in particular the component 210 of the second control device 206, can determine a message type of the received, first message 208.
  • the second control device 206 in particular the component 210 of the second control device 206, can determine a reference message, the reference message having a message type that corresponds to the specific message type of the first message. For example, the component 210 can retrieve the reference message from a store 212 that has stored the last successfully sent message 214 with the same message type.
  • the second control unit 206 in particular the component 210 of the second control unit 206, can determine a deviation of the first message from the reference message and, if the first message differs from the reference message, recognize the first control unit as the manipulated control unit and send an alarm message 216 provide an off-board server.
  • the second control device as an authorized sender of a message, can monitor the bus system for unauthorized messages from manipulated control devices.
  • the transmitter for example the second control unit, can trigger an alarm by recognizing an unauthorized message from a manipulated control unit if the authorized transmitter has not sent it itself. In this way, a manipulated control unit can be efficiently identified and reported.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, das Verfahren umfassend: Senden einer ersten Nachricht über das Bussystem durch eine Sendeeinheit eines ersten Steuergeräts des Fahrzeugs; Empfangen der ersten Nachricht über das Bussystem durch eine Empfangseinheit oder eine Sende-/Empfangseinheit des zweiten Steuergeräts des Fahrzeugs; Bestimmen eines Nachrichtentyps der empfangenen, ersten Nachricht durch das zweite Steuergerät; Ermitteln einer Referenznachricht durch das zweite Steuergerät des Fahrzeugs, wobei die Referenznachricht einen Nachrichtentyp aufweist, der dem bestimmten Nachrichtentyp der ersten Nachricht entspricht; Ermitteln einer Abweichung der ersten Nachricht von der Referenznachricht; und falls die erste Nachricht von der Referenznachricht abweicht: Erkennen des ersten Steuergeräts als das manipulierte Steuergerät durch das zweite Steuergerät; und Bereitstellen einer Alarmnachricht von dem weiteren Steuergerät an einen fahrzeugexternen Server.

Description

Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
Die Erfindung betrifft ein Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs. Die Erfindung betrifft ferner ein computerlesbares Medium zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, ein System zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, sowie ein Fahrzeug umfassend das System zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs.
Steuergeräte von Fahrzeugen sind über Bussysteme miteinander verbunden. Über ein Bussystem können die Steuergeräte Nachrichten zur Steuerung von Funktionen des Fahrzeugs austauschen. Wenn ein Steuergerät unberechtigt Nachrichten auf einem Bussystem sendet, kann eine Funktion eines anderen Steuergeräts unberechtigt beeinflusst werden. Ein Überprüfen einer Legitimität eines Absenders von Busnachrichten findet aktuell nicht statt.
Es ist daher eine Aufgabe der Erfindung, ein manipuliertes Steuergerät auf einem Bussystem eines Fahrzeugs effizient zu erkennen. Insbesondere ist eine Aufgabe der Erfindung, einen manipulierten Sender einer Nachricht auf einem Bussystem durch ein weiteres Steuergerät des Bussystems des Fahrzeugs effizient zu erkennen.
Gelöst wird diese Aufgabe durch die Merkmale der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
Gemäß einem ersten Aspekt zeichnet sich die Erfindung aus durch ein Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs. Der Verfahren kann ein computerimplementiertes Verfahren und/oder ein steuergeräteimplementiertes Verfahren sein. 2
Das Bussystem kann ein CAN-Bus sein. Das Fahrzeug kann ein Kraftfahrzeug sein. Das Verfahren umfasst ein Senden einer ersten Nachricht über das Bussystem durch eine Sendeeinheit eines ersten Steuergeräts des Fahrzeugs, ein Empfangen der ersten Nachricht über das Bussystem durch eine Empfangseinheit oder eine Sende-/Empfangseinheit des zweiten Steuergeräts des Fahrzeugs. Das Verfahren umfasst weiter ein Bestimmen eines Nachrichtentyps der empfangenen, ersten Nachricht durch das zweite Steuergerät und ein Ermitteln einer Referenznachricht durch das zweite Steuergerät des Fahrzeugs, wobei die Referenznachricht einen Nachrichtentyp aufweist, der dem bestimmten Nachrichtentyp der ersten Nachricht entspricht. Weiterhin umfasst das Verfahren ein Ermitteln einer Abweichung der ersten Nachricht von der Referenznachricht. Falls die erste Nachricht von der Referenznachricht abweicht, erkennt das Verfahren das erste Steuergerät als das manipulierte Steuergerät durch das zweite Steuergerät, und stellt eine Alarmnachricht von dem zweiten Steuergerät an einen fahrzeugexternen Server bereit.
Vorteilhafterweise kann das Verfahren effizient ein manipuliertes Steuergerät erkennen. Nachrichten des Bussystems werden durch das zweite Steuergerät empfangen und mit einer Referenznachricht des zweiten Steuergeräts verglichen, um festzustellen, ob das erste Steuergerät ein berechtigter Sender der empfangenen Nachricht ist. Ist das erste Steuergerät ein unberechtigter bzw. manipulierter Sender einer Nachricht auf dem Bussystem kann der berechtigte Sender der Nachricht, das zweite Steuergerät, mittels der Referenznachricht den unberechtigten bzw. manipulierten Sender effizient erkennen. Manipulationen von Steuergeräten des Fahrzeugs können somit schnell erkannt und an einen fahrzeugexternen Server gemeldet werden.
Gemäß einer vorteilhaften Ausgestaltung der Erfindung kann die Referenznachricht die letzte, erfolgreich gesendete Nachricht des zweiten Steuergeräts sein, die den Nachrichtentyp der empfangenen ersten Nachricht aufweist. Hiermit kann die Referenznachricht effizient ermittelt werden.
Gemäß einer weiteren, vorteilhaften Ausgestaltung der Erfindung kann die Referenznachricht eine Nachricht sein, für die das zweite Steuergerät die einzige, vertrauenswürdige Nachrichtenquelle auf dem Bussystem ist. Hiermit kann das zweite Steuergerät effizient ein manipuliertes Steuergerät erkennen. 3
Gemäß einer weiteren vorteilhaften Ausgestaltung der Erfindung kann die Referenznachricht vor dem Empfangen der ersten Nachricht von dem zweiten Steuergerät über das Bussystem gesendet und die Referenznachricht nach einem erfolgreichen Senden der Referenznachricht auf dem zweiten Steuergerät gespeichert sein. Hiermit kann das zweite Steuergerät effizient die Referenznachricht ermitteln.
Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Verfahren weiterhin ein Verwerfen der ersten Nachricht durch das zweite Steuergerät umfassen, falls die erste Nachricht der Referenznachricht entspricht. Hiermit kann das zweite Steuergerät eigene gesendete und über das Bussystem empfangene Nachrichten filtern.
Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das zweite Steuergerät ein Gateway- Steuergerät des Bussystems sein. Hiermit kann das zweite Steuergerät eine Vielzahl von Nachrichten weiterer Steuergeräte des Bussystems effizient überwachen und manipulierte Steuergerät schnell erkennen.
Gemäß einerweiteren, vorteilhaften Ausgestaltung kann das Bussystem ein CAN-Bus sein.
Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein computerlesbares Medium zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt aus einem Steuergerät eines Fahrzeugs, das oben beschriebene Verfahren ausführen.
Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein System zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, wobei das System dazu ausgebildet ist, das oben beschriebene Verfahren auszuführen.
Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein Fahrzeug umfassend das oben beschriebene System zum Erkennen eines manipulierten Steuergeräts eines Bussystems des Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs. 4
Weitere Merkmale der Erfindung ergeben sich aus den Ansprüchen, den Figuren und der Figurenbeschreibung. Alle vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren allein gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder aber in Alleinstellung verwendbar.
Im Folgenden wird anhand der beigefügten Zeichnungen ein bevorzugtes Ausführungsbeispiel der Erfindung beschrieben. Daraus ergeben sich weitere Details, bevorzugte Ausgestaltungen und Weiterbildungen der Erfindung. Im Einzelnen zeigen schematisch Fig. 1 ein beispielhaftes Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs, und
Fig. 2 ein beispielhaftes System zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs.
Im Detail zeigt Fig. 1 ein beispielhaftes Verfahren 100 zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs. In dem Bussystem des Fahrzeugs gibt es vorzugsweise nur ein einziges Steuergerät, im Folgenden als das zweite Steuergerät bezeichnet, das ein berechtigter Sender einer Nachricht, im Folgenden auch als Referenznachricht genannt, auf dem Bussystem sein kann.
Das Verfahren 100 kann eine erste Nachricht über das Bussystem durch eine Sendeeinheit eines ersten Steuergeräts des Fahrzeugs senden 102. Das erste Steuergerät kann ein manipuliertes Steuergerät sein. Die erste Nachricht kann beispielsweise ein Signal zur Anpassung einer Geschwindigkeitsbegrenzung des Fahrzeugs auf einen nicht von einem Hersteller des Fahrzeugs autorisierten Wert umfassen.
Das Verfahren 100 kann die erste Nachricht über das Bussystem durch eine Empfangseinheit oder eine Sende-/Empfangseinheit des zweiten Steuergeräts des Fahrzeugs empfangen 104. Weiter kann das Verfahren 100 einen Nachrichtentyps der empfangenen, ersten Nachricht durch das zweite Steuergerät ermitteln 106. Der Nachrichtentyp kann beispielsweise Anpassen der Geschwindigkeitsbegrenzung des Fahrzeugs sein. 5
Das Verfahren 100 kann eine Referenznachricht durch das zweite Steuergerät des Fahrzeugs ermitteln 108, wobei die Referenznachricht einen Nachrichtentyp aufweist, der dem bestimmten Nachrichtentyp der ersten Nachricht entspricht. Die Referenznachricht kann eine letzte, erfolgreich gesendete Nachricht des zweiten Steuergeräts sein, die den Nachrichtentyp der empfangenen ersten Nachricht aufweist. Zusätzlich oder alternativ kann die Referenznachricht eine Nachricht sein, für die das zweite Steuergerät die einzige, vertrauenswürdige Nachrichtenquelle auf dem Bussystem ist. Zusätzlich oder alternativ kann die Referenznachricht vor dem Empfangen der ersten Nachricht von dem zweiten Steuergerät über das Bussystem gesendet und die Referenznachricht nach einem erfolgreichen Senden der Referenznachricht auf dem zweiten Steuergerät gespeichert sein. Ist beispielsweise der Nachrichtentyp Anpassen der Geschwindigkeitsbegrenzung des Fahrzeugs, kann das zweite Steuergerät die dazugehörige Referenznachricht anhand des Nachrichtentyps ermitteln. Beispielsweise kann das zweite Steuergerät bei einer erstmaligen Konfiguration des zweiten Steuergeräts eine Nachricht mit dem Nachrichtentyp Anpassen der Geschwindigkeitsbegrenzung des Fahrzeugs senden, um die Geschwindigkeitsbegrenzung des Fahrzeugs an einem vom dem Hersteller des Fahrzeugs vorgegebenen Wert zu setzen. Nach dem erfolgreichen Senden der Nachricht mit dem Nachrichtentyp Anpassen der Geschwindigkeitsbegrenzung des Fahrzeugs kann das zweite Steuergerät diese Nachricht speichern. Die gespeicherte Nachricht dient schließlich als Referenznachricht, um ein manipuliertes Steuergerät zu erkennen, das versucht eine unberechtigte Nachricht mit dem Nachrichtentyp Anpassen der Geschwindigkeitsbegrenzung des Fahrzeugs auf dem Bussystem zu senden.
Das Verfahren 100 kann eine Abweichung der ersten Nachricht von der Referenznachricht ermitteln 110. Beispielsweise kann das Verfahren den Wert der Geschwindigkeitsbegrenzung der ersten Nachricht mit dem Wert der Geschwindigkeitsbegrenzung der Referenznachricht vergleichen, um eine Abweichung zu ermitteln. Falls die erste Nachricht von der Referenznachricht abweicht kann das Verfahren 100 das erste Steuergerät als das manipulierte Steuergerät durch das zweite Steuergerät erkennen 112, und eine Alarmnachricht von dem zweiten Steuergerät an einen fahrzeugexternen Server bereitstellen 114.
Im Detail zeigt Fig. 2 ein beispielhaftes System 200 zum Erkennen eines manipulierten Steuergeräts 202 eines Bussystems 204 eines Fahrzeugs durch ein zweites Steuergerät 206. Ein erstes bzw. ein manipulierte Steuergerät 202 kann eine erste Nachricht 208 eines ersten Nachrichtentyps über das Bussystem 204 durch eine Sendeeinheit des ersten Steuergeräts 202 6 des Fahrzeugs senden. Das zweite Steuergerät 206 kann die erste Nachricht 208 mit dem ersten Nachrichtentyp über das Bussystem 204 durch eine Empfangseinheit oder eine Sende- /Empfangseinheit des zweiten Steuergeräts 206 des Fahrzeugs empfangen. Vorzugsweise kann die Empfangseinheit 210 oder die Sende-/Empfangseinheit des zweiten Steuergeräts eine Komponente 210 zum Erkennen eines manipulierten Steuergeräts umfassen. Das zweite Steuergerät 206, insbesondere die Komponente 210 des zweiten Steuergeräts 206, kann einen Nachrichtentyp der empfangenen, ersten Nachricht 208 bestimmen. Das zweite Steuergerät 206, insbesondere die Komponente 210 des zweiten Steuergeräts 206, kann eine Referenznachricht ermitteln, wobei die Referenznachricht einen Nachrichtentyp aufweist, der dem bestimmten Nachrichtentyp der ersten Nachricht entspricht. Beispielsweise kann die Komponente 210 die Referenznachricht von einem Speicher 212 abfragen, der die letzte erfolgreiche gesendete Nachricht 214 mit dem gleichen Nachrichtentyp gespeichert hat.
Das zweite Steuergerät 206, insbesondere die Komponente 210 des zweiten Steuergeräts 206, kann eine Abweichung der ersten Nachricht von der Referenznachricht ermitteln, und, falls die erste Nachricht von der Referenznachricht abweicht, das erste Steuergerät als das manipulierte Steuergerät erkennen, und eine Alarmnachricht 216 an einen fahrzeugexternen Server bereitstellen.
Vorteilhafterweise kann das zweite Steuergerät als berechtigter Sender einer Nachricht das Bussystem nach unberechtigten Nachrichten manipulierter Steuergeräte überwachen. Für eine Nachricht, für die es nur einen berechtigten Sender auf dem Bussystem gibt, kann der Sender, beispielsweise das zweite Steuergerät, durch Erkennen einer unberechtigten Nachricht eines manipulierten Steuergeräts einen Alarm auslösen, wenn der berechtigte Sender diese nicht selbst gesendet hat. Somit kann ein manipuliertes Steuergerät effizient erkannt und gemeldet werden.
7
Bezugszeichenliste
100 Verfahren
102 senden einer ersten Nachricht durch ein erstes Steuergerät 104 empfangen einer ersten Nachricht durch ein zweites Steuergerät 106 bestimmen eines Nachrichtentyps
108 ermitteln einer Referenznachricht
110 ermitteln einer Abweichung der Referenznachricht von der ersten Nachricht 112 erkennen des ersten Steuergeräts als das manipulierte Steuergerät 114 bereitstellen einer Alarmnachricht 200 System
202 erstes Steuergerät / manipuliertes Steuergerät
204 Bussystem
206 zweites Steuergerät
208 erste Nachricht
210 Komponente zum Erkennen eines manipulierten Steuergeräts
212 Speicher
214 Referenznachricht
216 Alarmnachricht

Claims

8 Patentansprüche
1. Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, das Verfahren umfassend:
Senden einer ersten Nachricht über das Bussystem durch eine Sendeeinheit eines ersten Steuergeräts des Fahrzeugs;
Empfangen der ersten Nachricht über das Bussystem durch eine Empfangseinheit oder eine Sende-/Empfangseinheit des zweiten Steuergeräts des Fahrzeugs;
Bestimmen eines Nachrichtentyps der empfangenen, ersten Nachricht durch das zweite Steuergerät;
Ermitteln einer Referenznachricht durch das zweite Steuergerät des Fahrzeugs, wobei die Referenznachricht einen Nachrichtentyp aufweist, der dem bestimmten Nachrichtentyp der ersten Nachricht entspricht;
Ermitteln einer Abweichung der ersten Nachricht von der Referenznachricht; und Falls die erste Nachricht von der Referenznachricht abweicht:
Erkennen des ersten Steuergeräts als das manipulierte Steuergerät durch das zweite Steuergerät; und
Bereitstellen einer Alarmnachricht von dem zweiten Steuergerät an einen fahrzeugexternen Server.
2. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Referenznachricht die letzte, erfolgreich gesendete Nachricht des zweiten Steuergeräts ist, die den Nachrichtentyp der empfangenen ersten Nachricht aufweist.
3. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Referenznachricht eine Nachricht ist, für die das zweite Steuergerät die einzige, vertrauenswürdige Nachrichtenquelle auf dem Bussystem ist.
4. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Referenznachricht vor dem Empfangen der ersten Nachricht von dem zweiten Steuergerät über das Bussystem gesendet und die Referenznachricht nach einem erfolgreichen Senden der Referenznachricht auf dem zweiten Steuergerät gespeichert ist. 9
5. Verfahren nach einem der vorhergehenden Ansprüche, das Verfahren weiterhin umfassend:
Falls die erste Nachricht der Referenznachricht entspricht:
Verwerfen der ersten Nachricht durch das zweite Steuergerät.
6. Verfahren nach einem der vorhergehenden Ansprüche, wobei das zweite Steuergerät ein Gateway-Steuergerät des Bussystems ist.
7. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Bussystem ein CAN-Bus ist.
8. Computerlesbares Medium zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt aus einem Steuergerät eines Fahrzeugs, das Verfahren nach einem der Ansprüche 1 bis 7 ausführen.
9. System zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, wobei das System dazu ausgebildet ist, das Verfahren nach einem Ansprüche 1 bis 7 auszuführen.
10. Fahrzeug umfassend das System zum Erkennen eines manipulierten Steuergeräts eines Bussystems des Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs nach Anspruch 9.
PCT/EP2022/053559 2021-05-11 2022-02-15 Verfahren zum erkennen eines manipulierten steuergeräts eines bussystems eines fahrzeugs durch ein zweites steuergerät des bussystems des fahrzeugs, computerlesbares medium, system, und fahrzeug WO2022238024A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202280020865.7A CN116982291A (zh) 2021-05-11 2022-02-15 用于通过车辆的总线***的第二控制装置识别车辆的总线***的受操纵的控制装置的方法、计算机可读的介质、***和车辆
US18/554,327 US20240113912A1 (en) 2021-05-11 2022-02-15 Method and System For Identifying a Manipulated Control Device of a Bus System

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021112331.3 2021-05-11
DE102021112331.3A DE102021112331A1 (de) 2021-05-11 2021-05-11 Verfahren zum Erkennen eines manipulierten Steuergeräts eines Bussystems eines Fahrzeugs durch ein zweites Steuergerät des Bussystems des Fahrzeugs, computerlesbares Medium, System, und Fahrzeug

Publications (1)

Publication Number Publication Date
WO2022238024A1 true WO2022238024A1 (de) 2022-11-17

Family

ID=80738755

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/053559 WO2022238024A1 (de) 2021-05-11 2022-02-15 Verfahren zum erkennen eines manipulierten steuergeräts eines bussystems eines fahrzeugs durch ein zweites steuergerät des bussystems des fahrzeugs, computerlesbares medium, system, und fahrzeug

Country Status (4)

Country Link
US (1) US20240113912A1 (de)
CN (1) CN116982291A (de)
DE (1) DE102021112331A1 (de)
WO (1) WO2022238024A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180302422A1 (en) * 2016-01-08 2018-10-18 Panasonic Intellectual Property Corporation Of America Unauthorized activity detection method, monitoring electronic control unit, and onboard network system
US20180367546A1 (en) * 2015-06-17 2018-12-20 Autonetworks Technologies, Ltd. Vehicle-mounted relay device, vehicle-mounted communication system and relay program

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012224194B4 (de) 2012-12-21 2018-08-02 Continental Automotive Gmbh Steuersystem für ein Kraftfahrzeug
DE102016224193A1 (de) 2016-12-06 2018-06-07 Robert Bosch Gmbh Verfahren zur Überwachung eines Steuergeräts für ein Fahrzeug
CN111344192B (zh) 2017-08-17 2021-06-22 雷德本德有限公司 禁用恶意电子控制单元的***、方法和计算机程序产品
DE102018218902B4 (de) 2018-11-06 2020-06-18 Zf Friedrichshafen Ag Sicherheitseinrichtung für Bussysteme in Fahrzeugen

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180367546A1 (en) * 2015-06-17 2018-12-20 Autonetworks Technologies, Ltd. Vehicle-mounted relay device, vehicle-mounted communication system and relay program
US20180302422A1 (en) * 2016-01-08 2018-10-18 Panasonic Intellectual Property Corporation Of America Unauthorized activity detection method, monitoring electronic control unit, and onboard network system

Also Published As

Publication number Publication date
CN116982291A (zh) 2023-10-31
US20240113912A1 (en) 2024-04-04
DE102021112331A1 (de) 2022-11-17

Similar Documents

Publication Publication Date Title
DE102017220367A1 (de) Programm-Aktualisierungssteuersystem und Programm-Aktualisierungssteuerverfahren
DE112015005252T5 (de) Kommunikationssteuereinrichtung und Kommunikationssystem
EP3523941B1 (de) Kommunikationsdaten-authentifizierungsvorrichtung für ein fahrzeug
DE10326287A1 (de) Fahrzeug-Kommunikationssystem, welches eine anormale Steuereinheit initialisiert
DE102017202176B4 (de) Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs sowie Servervorrichtung
DE102014101917A1 (de) CAN-basierte Wegfahrsperre
DE102019217030A1 (de) Zuweisen von bus-off-angriffen auf der basis von error-frames
DE102019214445A1 (de) Verfahren zum Assistieren eines Kraftfahrzeugs
DE102017218134B3 (de) Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge
EP3108308A2 (de) Verfahren zur bestimmung eines master-zeitsignals, fahrzeug und system
DE112015005253T5 (de) Controller Area Network (CAN)-Kommunikationssystem und Aufzeichnungsvorrichtung für Fehlerinformationen
EP3741094B1 (de) Steuerungssystem für ein kraftfahrzeug, verfahren zum betreiben des steuerungssystems sowie kraftfahrzeug mit einem derartigen steuerungssystem
WO2021001096A1 (de) Verfahren zum übertragen eines oder mehrerer datenelemente von einem fahrzeug an einen server, computerlesbares medium, system, und fahrzeug
DE102019214423A1 (de) Verfahren zum Fernsteuern eines Kraftfahrzeugs
WO2022238024A1 (de) Verfahren zum erkennen eines manipulierten steuergeräts eines bussystems eines fahrzeugs durch ein zweites steuergerät des bussystems des fahrzeugs, computerlesbares medium, system, und fahrzeug
EP3871393A1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102018212657A1 (de) Verfahren und Vorrichtung zum Erkennen von Unregelmäßigkeiten in einem Rechnernetz
WO2022238025A1 (de) Verfahren zum erkennen einer unzulässigen nachricht eines manipulierten steuergeräts eines fahrzeugs durch ein zweites steuergerät des fahrzeugs, computerlesbares medium, system, und fahrzeug
DE102020126434A1 (de) Fahrsystem zum automatisierten fahren mit akustischer informationsausgabe und einem mikrofon, entsprechendes verfahren und entsprechende software
WO2022238022A1 (de) Verfahren zum erkennen einer manipulation eines analogen signals durch ein steuergerät eines fahrzeugs, computerlesbares medium, system, und fahrzeug
EP1106441B1 (de) Vorrichtung zur Sicherung von Kraftfahrzeugen gegen Manipulation
WO2022238021A1 (de) Verfahren zum erkennen einer manipulation einer nachricht eines bussystems eines fahrzeugs durch ein steuergerät eines fahrzeugs, computerlesbares medium, system, und fahrzeug
WO2023041214A1 (de) Verfahren zum erkennen einer unterbrechung einer datenübertragung von einem fahrzeug an eine sicherheitsrelevante funktion eines fahrzeugexternen servers, computerlesbares medium, system, und fahrzeug
WO2018072957A1 (de) Vorrichtung und verfahren zur identifizierung eines fahrzeugtausches, sowie eine telematikeinheit

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22709984

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 202280020865.7

Country of ref document: CN

WWE Wipo information: entry into national phase

Ref document number: 18554327

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 22709984

Country of ref document: EP

Kind code of ref document: A1