[go: up one dir, main page]

DE102010008816A1 - Verfahren zur Online-Kommunikation - Google Patents

Verfahren zur Online-Kommunikation Download PDF

Info

Publication number
DE102010008816A1
DE102010008816A1 DE102010008816A DE102010008816A DE102010008816A1 DE 102010008816 A1 DE102010008816 A1 DE 102010008816A1 DE 102010008816 A DE102010008816 A DE 102010008816A DE 102010008816 A DE102010008816 A DE 102010008816A DE 102010008816 A1 DE102010008816 A1 DE 102010008816A1
Authority
DE
Germany
Prior art keywords
vehicle
security status
network
network access
evaluation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102010008816A
Other languages
English (en)
Inventor
Roland 85622 Dietz
Rainer Dr. 85435 Falk
Hans-Joachim 80337 Hof
Franz 93152 Stadler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102010008816A priority Critical patent/DE102010008816A1/de
Priority to EP11703708A priority patent/EP2540053A1/de
Priority to US13/580,658 priority patent/US9843926B2/en
Priority to CN201180010608.7A priority patent/CN102893574B/zh
Priority to PCT/EP2011/052362 priority patent/WO2011101414A1/de
Publication of DE102010008816A1 publication Critical patent/DE102010008816A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein System zur Verhinderung eines Angriffs auf ein vernetztes Fahrzeug über eine drahtlose Kommunikationseinrichtung eines Fahrzeugs. Das System weist ein drahtloses Datenverkehrsnetz und eine Sicherheitsstatus-Ermittlungs-Einrichtung, um in Abhängigkeit eines ermittelten Sicherheitsstatus den Zugang zum drahtlosen Datenverkehrsnetz zu regeln, wobei der Sicherheitsstatus auf einer Evaluierung einer aktuellen Konfiguration des Fahrzeugs und/oder von Log-Daten des Fahrzeugs und/oder auf einer verstrichenen Zeit seit einem Update einer betreffenden Software basiert, auf. Weiterhin weist das System eine Kommunikationseinrichtung geeignet zur Verbindung mit dem drahtlosen Datenverkehrsnetz und eine Zugangskontrolleinrichtung zur Regelung des Netzzugangs zum drahtlosen Datenverkehrsnetz, welche mit der Sicherheitsstatus-Ermittlungs-Einrichtung verbindbar ist, auf. Weiterhin betrifft die Erfindung auch ein Verfahren für ein System zur Verhinderung eines Angriffs auf ein vernetztes Fahrzeug über eine drahtlose Kommunikationseinrichtung eines Fahrzeugs, wobei ein Sicherheitsstatus ermittelt wird, wobei der Sicherheitsstatus auf einer Evaluierung einer aktuellen Konfiguration des Fahrzeugs und/oder von Log-Daten des Fahrzeugs und/oder auf einer verstrichenen Zeit seit einem Update einer betreffenden Software basiert. Weiterhin weist das Verfahren die Bestimmung eines Netzzugangsregelsatzes für den Zugang zum Datenverkehrsnetz auf Basis des ermittelten Sicherheitsstatus auf, der anschließend aktiviert wird.

Description

  • Die Erfindung betrifft ein System zur Verhinderung eines Angriffs auf ein vernetztes Fahrzeug über eine drahtlose Kommunikationseinrichtung eines Fahrzeugs gemäß dem Oberbegriff des Patentanspruchs 1 sowie ein entsprechendes Verfahren.
  • Stand der Technik
  • Fahrzeuge wandeln sich zu immer komplexeren Systemen, die unterschiedliche Arten von Inhalten, z. B. aktuelle Wetter- und Verkehrsdaten, Musik, Filme, Point-of-Interest-Information, Software-Updates oder Remote Diagnose über eine oder mehrere drahtlose Anbindungen aus einem oder mehreren Datennetzen laden können.
  • Für die drahtlose Anbindung kann in Fahrzeugen eine Kommunikationsschnittstelle (Communication Box, ComBox) eingebaut sein, die einen oder mehrere Funkstandards (z. B. GSM/GPRS, EDGE, UMTS, HSDPA, LTE, WLAN, WiMAX, ...) unterstützt. So kann das Fahrzeug bzw. können Komponenten des Fahrzeugs, wie z. B. ein Infotainment-System, mit Infrastruktur-Servern, anderer Fahrzeuge (Car-2-Car-Kommunikation) oder am Straßenrand aufgestellten Funkbaken (Road Side Units) kommunizieren und von diesen Inhalte laden.
  • Durch diese Drahtlos-Kommunikation werden Fahrzeuge zur nicht vertrauenswürdigen Außenwelt hin geöffnet und sind so auch Angriffen über die Kommunikationsschnittstelle ausgesetzt.
  • Deshalb benötigen vernetzte Fahrzeuge Schutzmaßnahmen, die Angriffe über die Kommunikationsschnittstelle auf das Fahrzeug verhindern.
  • Aus dem Stand der Technik sind Vorrichtungen bekannt, die Verbindungen von außen entgegennehmen, an interne Steuergeräte weiterleiten, eine kryptographische Kommunikation durchführen können und die von außen programmierbar sind.
  • Bei Abruf von Daten aus dem Fahrzeug heraus sind diese Vorrichtungen jedoch nicht geeignet Schutz zu bieten.
  • Weiterhin sind Systeme bekannt, die Online einen Updatestatus ermitteln. Diese Systeme ermitteln jedoch einen Updatestatus erst nachdem bereits eine Verbindung aufgebaut ist und sind prinzipiell nicht geeignet, den Zugriff auf Inhalte aus dem Fahrzeug heraus zu unterbinden bevor der Updatestatus überprüft ist.
  • Aufgabe
  • Aufgabe der vorliegenden Erfindung ist daher, ein System und ein Verfahren bereitzustellen, das geeignet ist, einen Angriff auf ein vernetztes Fahrzeug über eine drahtlose Kommunikationseinrichtung zu verhindern und dabei einen oder mehrere Nachteile aus dem Stand der Technik zu beheben.
  • Erfindungsgemäß wird ein System zur Verhinderung eines Angriffs auf ein vernetztes Fahrzeug über eine drahtlose Kommunikationseinrichtung eines Fahrzeugs zur Verfügung gestellt.
  • Dieses System umfasst ein drahtloses Datenverkehrsnetz, eine Sicherheitsstatus-Ermittlungs-Einrichtung, um in Abhängigkeit eines ermittelten Sicherheitsstatus den Zugang zum drahtlosen Datenverkehrsnetz zu regeln, wobei der Sicherheitsstatus auf einer Evaluierung einer aktuellen Konfiguration des Fahrzeugs und/oder von Log-Daten des Fahrzeugs und/oder auf einer verstrichenen Zeit seit einem Update einer betreffenden Software basiert. Weiterhin weist das System eine Kommunikationseinrichtung geeignet zur Verbindung mit dem drahtlosen Datenverkehrsnetz und eine Zugangskontrolleinrichtung zur Regelung des Netzzugangs zum drahtlosen Datenverkehrsnetz, welche mit der Sicherheitsstatus-Ermittlungseinrichtung verbindbar ist, auf.
  • Weiterhin betrifft die Erfindung auch ein Verfahren für ein System zur Verhinderung eines Angriffs auf ein vernetztes Fahrzeug über eine drahtlose Kommunikationseinrichtung eines Fahrzeugs, wobei ein Sicherheitsstatus ermittelt wird, der auf einer Evaluierung einer aktuellen Konfiguration des Fahrzeugs und/oder von Log-Daten des Fahrzeugs und/oder auf einer verstrichenen Zeit seit einem Update einer betreffenden Software basiert. Weiterhin weist das Verfahren die Bestimmung eines Netzzugangsregelsatzes für den Zugang zum Datenverkehrsnetz auf Basis des ermittelten Sicherheitsstatus auf, der anschließend aktiviert wird.
  • Fortbildungen des erfindungsgemäßen Systems gemäß Anspruch 1 und eines erfindungsgemäßen Verfahrens gemäß Anspruch 9 sind Gegenstand der jeweiligen abhängigen Ansprüche.
  • Die Erfindung wird nachfolgend in beispielhafter Weise anhand der Zeichnung erläutert. Die Erfindung ist jedoch nicht auf das dargestellte Ausführungsbeispiel beschränkt. In diesen Abbildungen zeigt:
  • 1 eine schematische Darstellung einer Ausführungsform eines erfindungsgemäßen Systems,
  • 2 einen Ausschnitt einer möglichen Anordnung von erfindungsgemäßen Komponenten bezogen auf ein fahrzeuginternes Bussystem,
  • 3 ein beispielhaftes erfindungsgemäßes Verfahren entsprechend einer ersten Ausführungsform,
  • 4 ein weiteres beispielhaftes erfindungsgemäßes Verfahren entsprechend einer zweiten Ausführungsform,
  • 5 ein weiteres beispielhaftes erfindungsgemäßes Verfahren entsprechend einer dritten Ausführungsform,
  • 6 ein weiteres beispielhaftes erfindungsgemäßes Verfahren entsprechend einer vierten Ausführungsform,
  • 7 einen erfindungsgemäßen Nachrichtenfluss gemäß einer Ausführungsform der Erfindung,
  • 8 eine schematische Darstellung einer weiteren Ausführungsform eines erfindungsgemäßen Systems.
  • 1 zeigt ein Fahrzeug, das über eine On-Board-Unit (OBU) verfügt, die über eine Kommunikationseinrichtung unter Verwendung unterschiedlicher Mobilfunksysteme, z. B. UMTS, LTE, GPRS, WiMAX, WLan, mit Infrastrukturservern in einem beispielhaften Datennetz kommunizieren kann.
  • Ein beispielhafter Infrastrukturserver kann z. B. ein Download-Server (DL) sein, der Downloads z. B. für Musik anbietet.
  • Ein anderer Infrastrukturserver kann z. B. ein Vehicle Management Server (VM) sein, der das Fahrzeug konfiguriert und überwacht, z. B. zur Diagnose oder dem Einspielen von Software-Updates.
  • Noch ein anderer Infrastrukturserver kann ein Vehicle Online Services Server (VOS) sein, der Online-Dienste, z. B. aktuelle Wetter- und Verkehrsinformation, bereitstellt.
  • Weiterhin kann ein Vehicle Security Status Evaluation Server (VSSES) vorgesehen sein, der einem Fahrzeug Information über dessen Sicherheits-Status bereitstellt.
  • Außerdem kann das Fahrzeug bzw. die OBU mit anderen Fahrzeugen bzw. OBUs über Car-2-Car-Kommunikation (C2C) oder mit einer fest installierten Road Side Unit (RSU) kommunizieren.
  • 2 zeigt einen Ausschnitt einer möglichen Anordnung von erfindungsgemäßen Komponenten bezogen auf ein fahrzeuginternes Bussystem.
  • An eine beispielhafte Kommunikationseinrichtung (ComBox) sind Sendeempfangseinheiten angeschlossen, um unterschiedliche Funksysteme (UMTS, HSDPA, WLAN, Broadcast, WAVE (C2C)) verwenden zu können.
  • Über einen beispielhaften Ethernet-Fahrzeugbus ist ein Infotainment-System mit einer beispielhaften Head Unit, sowie beispielhaft mit zwei Einheiten für die hinteren Sitzplätze, sogenanntem Rear Seat Entertainment (RSE1, RSE2), angebunden. Statt Ethernet könnte hier auch z. B. MOST, Flexray oder jeder andere geeignete Bus eingesetzt werden.
  • Über ein Gateway (GW) sind zwei Steuergeräte ECU1, ECU2 verbunden, die über ein anderes Protokoll, z. B. das CAN-Protokoll, kommunizieren können.
  • Die ComBox kann eine Network Access Enforcement Engine (NASE) aufweisen, die die Kommunikation zwischen „außen” und „innen” beschränkt bzw. beeinflusst. Dies erfolgt entsprechend eines aktuellen Netzzugangsregelsatzes (AOAP = Active OTA Access Policy. Dieser Netzzugangsregelsatz (AOAP) wird ausgewählt bzw. definiert durch eine Netzzugangsregelsatz-Auswahlfunktion (NAPS) (Network Access Policy Selection), welche abhängig sein kann vom Ergebnis der Sicherheits-Selbst-Evaluierung (SSE). Weiterhin kann der Netzzugangsregelsatz auch von weiteren Parametern abhängen.
  • Die ComBox kann eine Netzzugangs-Enforcement-Einheit (Network Access Control Policy Enforcement Unit) enthalten, die den Netzwerkverkehr von/nach „außen”, d. h. zu den Sendeempfangseinheiten, beschränkt bzw. beeinflusst. Sie kann eine Evaluierung des Sicherheitsstatus durchführen und kann einen Sicherheitsregelsatz ermitteln, den sie aktivieren und durchsetzen kann. Weiterhin kann sie optional auch die Konfiguration von Netzwerkkommunikationsfiltern (Firewall-Funktionen) weiterer Komponenten des Fahrzeugs über ein Steuerkommando ändern. Insbesondere kann sie ein Netzwerkkommunikationsfilter des Gateways (GW), einer Einheit des Infotainment-Systems (HU, RSE1, RSE2) oder eines Funkmoduls entsprechend ändern.
  • 3 zeigt ein beispielhaftes erfindungsgemäßes Verfahren entsprechend einer ersten Ausführungsform. Hierbei wird das Verfahren in Schritt 100 gestartet. Der Ablauf des Verfahrens kann durch zahlreiche Ereignisse gestartet werden. So kann z. B. vorgesehen sein, dass bei Einschalten der Zündung, bei Starten des Fahrzeugmotors, bei Einschalten/Aktivieren des Infotainmentsystems, bei einem Verbindungsaufbau (Aktivierung der ComBox), oder aber auch nach einer Konfigurationsänderung/Software-Update oder auch regelmäßig, z. B. zeitgesteuert (z. B. jede Stunde) das Verfahrens gestartet wird.
  • Anschließend wird der aktuelle Fahrzeug-Security-Status in einem Schritt 300 ermittelt. Auf Basis des ermittelten Fahrzeug-Security-Status wird in Schritt 400 ein Netzzugangsregelsatz bestimmt, der in Schritt 900 aktiviert wird. Anschließend terminiert das Verfahren in Schritt 1000.
  • In dem vorbeschriebenen Verfahren können alle Schritte autonom im Fahrzeug ablaufen und in entsprechender Weise in der ComBox bzw. der OBU angeordnet sein.
  • Hierdurch wird ermöglicht, dass bereits vor Aufbau einer Kommunikation und somit bevor eine potenzielle Gefahrenquelle kontaktiert wird, die Sicherheit überprüft wird und Kommunikation im Zweifelsfall erst gar nicht zugelassen wird.
  • In einer weiter bevorzugten Ausführungsform kann unmittelbar nach dem Start in Schritt 100 in einem hier nicht dargestellten Schritt 200 explizit ein Netzwerkzugangs-Regelsatz „NULL”/„CLOSED”/„DENY ALL” aktiviert werden, um jegliche OTA-Kommunikation vor der Aktivierung des ermittelten Netzwerkzugangs-Regelsatzes in Schritt 300 zu unterbinden.
  • 4 zeigt ein beispielhaftes erfindungsgemäßes Verfahren entsprechend einer zweiten Ausführungsform. Hierbei wird das Verfahren in Schritt 100 gestartet.
  • In einem Schritt 500 wird ein initialer Netzzugangsregelsatz aktiviert. Danach werden die aktuelle Konfiguration des Fahrzeugs und/oder Log-Daten des Fahrzeugs und/oder die verstrichene Zeit seit einem Update einer betreffenden Software an einen Evaluierungsserver (VSSES) zur Ermittlung des Sicherheitsstatus in einem Schritt 600 übertragen. Das Ergebnis der Ermittlung des Sicherheitsstatus wird in Schritt 700 empfangen, woraufhin in einem Schritt 800 ein geeigneter Netzzugangsregelsatz bestimmt wird. Der bestimmte Netzzugangsregelsatz wird dann in Schritt 900 aktiviert. Anschließend terminiert das Verfahren in Schritt 1000.
  • In dieser Variante findet eine Evaluierung auf einem externen Server statt. Somit kann das Verfahren als Server-assisted Evaluation bezeichnet werden.
  • Nur falls die lokale Sicherheitsstatus-Überprüfung als Ergebnis ein Mindestmaß an Sicherheit im Ergebnis ermittelt, wird mit der Server-assisted Security Evaluation fortgefahren.
  • 5 zeigt noch ein weiteres beispielhaftes erfindungsgemäßes Verfahren entsprechend einer dritten Ausführungsform. Hierbei wird das Verfahren in Schritt 100 gestartet.
  • Unmittelbar nach dem Start kann in Schritt 200 explizit ein Netzwerkzugangs-Regelsatz „NULL”/„CLOSED”/„DENY ALL” aktiviert werden, um jegliche OTA-Kommunikation vor der Aktivierung des ermittelten Netzwerkzugangs-Regelsatzes vorerst zu unterbinden. Anschließend wird der aktuelle Fahrzeug-Security-Status in einem Schritt 300 ermittelt.
  • Auf Basis des ermittelten Fahrzeug-Security-Status wird in Schritt 400 ermittelt, ob Mindestanforderungen an die Sicherheit erfüllt sind. Sind die Anforderungen nicht erfüllt, so terminiert das Verfahren in Schritt 1000.
  • Für den Fall, dass die Mindestanforderungen erfüllt sind, fährt das Verfahren wie zuvor in Bezug auf 4 beschrieben fort, d. h., in einem Schritt 500 wird ein initialer Netzzugangsregelsatz aktiviert.
  • Danach werden aktuellen Konfiguration des Fahrzeugs und/oder von Log-Daten des Fahrzeugs und/oder auf einer verstrichenen Zeit seit einem Update einer betreffenden Software an einen Evaluierungsserver (VSSES) zur Ermittlung des Sicherheitsstatus in einem Schritt 600 übertragen. Das Ergebnis der Ermittlung des Sicherheitsstatus wird in Schritt 700 empfangen, woraufhin in einem Schritt 800 ein geeigneter Netzzugangsregelsatz bestimmt wird. Der bestimmte Netzzugangsregelsatz wird dann in Schritt 900 aktiviert. Anschließend terminiert das Verfahren in Schritt 1000.
  • Diese Ausführungsform kann als mehrstufige Abfrage des Sicherheitsstatus bezeichnet werden, wobei sowohl Evaluierung autonom im Fahrzeug ablaufen und entsprechender Weise in der ComBox bzw. der OBU angeordnet sein können als auch eine Evaluierung auf einem externen Server stattfinden kann.
  • 6 zeigt noch ein beispielhaftes erfindungsgemäßes Verfahren entsprechend einer vierten Ausführungsform. Hierbei wird das Verfahren in Schritt 100 gestartet.
  • Unmittelbar nach dem Start kann in Schritt 200 explizit ein Netzwerkzugangs-Regelsatz „NULL”/„CLOSED”/„DENY ALL” aktiviert werden, um jegliche OTA-Kommunikation vor der Aktivierung des ermittelten Netzwerkzugangs-Regelsatzes vorerst zu unterbinden.
  • Anschließend wird der aktuelle Fahrzeug-Security-Status in einem Schritt 300 ermittelt.
  • Auf Basis des ermittelten Fahrzeug-Security-Status wird in Schritt 400 ermittelt, ob Anforderungen an die Sicherheit erfüllt sind. Sind die Anforderungen erfüllt, so wird in einem Schritt 900a ein Netzwerkzugangs-Regelsatz aktiviert, der die OTA-Kommunikation aktiviert. Anschließend terminiert das Verfahren in Schritt 1000.
  • Wird jedoch in Schritt 400 festgestellt, dass die Anforderungen nicht erfüllt sind, so wird eine Server-assisted Evaluation eingeleitet. Diese startet durch eine Aktivierung eines initialen Netzzugangsregelsatz in Schritt 500. Danach werden die aktuelle Konfiguration des Fahrzeugs und/oder Log-Daten des Fahrzeugs und/oder die verstrichene Zeit seit einem Up-date einer betreffenden Software an einen Evaluierungsserver (VSSES) zur Ermittlung des Sicherheitsstatus in einem Schritt 600 übertragen. Das Ergebnis der Ermittlung des Sicherheitsstatus wird in Schritt 700 empfangen.
  • In Schritt 800 wird überprüft, ob das empfangene Evaluierungsergebnis ausreicht, d. h. es wird bestimmt, welcher Netzwerkzugangs-Regelsatz aktiviert wird. Reicht das Evaluierungsergebnis aus, das System als sicher zu bezeichnen, so wird in Schritt 900a ein Netzwerkzugangs-Regelsatz aktiviert, der die OTA-Kommunikation aktiviert. Anschließend terminiert das Verfahren in Schritt 1000.
  • Reicht das Evaluierungsergebnis nicht aus, das System als sicher zu bezeichnen, so wird in Schritt 900b explizit ein Netzwerkzugangs-Regelsatz „NULL”/„CLOSED”/„DENY ALL” aktiviert werden, um jegliche OTA-Kommunikation vor der Aktivierung des ermittelten Netzwerkzugangs-Regelsatzes vorerst zu unterbinden. Anschließend terminiert das Verfahren in Schritt 1000.
  • Das heißt, der Server wird nur angefragt, falls sich das Fahrzeug selbst „nicht sicher” ist, ob es sich in einem sicheren Sicherheitsstatus befindet.
  • 7 stellt einen erfindungsgemäßen Nachrichtenfluss gemäß einer Ausführungsform der Erfindung dar. Hier wird im Fahrzeug, z. B. in der OBU oder einer ComBox, in einem ersten Schritt 2100 eine Fahrzeug-Konfiguration ermittelt. Anschließend wird im Fahrzeug die Kommunikationsschnittstelle in einem weiteren Schritt 2200 aktiviert. Nun kann in einem weiteren Schritt 2300 eine Authentifizierung gegenüber einem VSSES oder ganz allgemein gegenüber einer Sicherheitsstatus-Ermittlungs-Einrichtung (SEE) stattfinden. Diese Kommunikation kann mehrere Nachrichten beinhalten, die zwischen der Kommunikationsschnittstelle und der Sicherheitsstatus-Ermittlungs-Einrichtung ausgetauscht werden. Nachdem diese erfolgt ist kann in einem weiteren Schritt 2400 die Ermittlung eines Sicherheitsstatus aktiviert werden, indem eine entsprechende Anforderung an den SEE gesendet wird. Diese Anforderung kann bereits als Parameter eine aktuelle Konfiguration des Fahrzeugs und/oder Log-Daten des Fahrzeugs und/oder eine verstrichene Zeit seit einem Update einer betreffenden Software beinhalten. Natürlich ist es auch möglich, diese Parameter in einer oder mehreren getrennten Nachrichten zur Verfügung zu stellen.
  • Anschließend evaluiert die SEE auf Basis der erhaltenen Parameter eine Konfiguration, d. h. einen Sicherheitsstatus, und stellt diesen in einem weiteren Schritt 26000 dem Fahrzeug zur Verfügung.
  • Das Fahrzeug kann nun durch eine geeignete Einrichtung, z. B. eine Zugangskontrolleinrichtung, einen entsprechenden Netzzugangsregelsatz für den Zugang zum Datenverkehrsnetz aktivieren.
  • In einer weiteren besonderen Ausführungsform kann die Fahrzeugkonfigurationsinformation beim Vehicle Security Status Evaluation Server (VSSES) bereits vorhanden sein, bzw. von einem Vehicle Manager abgefragt werden. In dieser Ausführungsform ist es nicht erforderlich, die Parameter einer aktuelle Konfiguration des Fahrzeugs und/oder Log-Daten des Fahrzeugs und/oder einer verstrichene Zeit seit einem Update einer betreffenden Software zu übertragen, sondern es genügt, stattdessen eine Fahrzeugidentifizierungsinformation zu übertragen. Wiederum kann diese Information zugleich mit der Anfrage oder aber in einer getrennten Nachricht an die SEE übermittelt werden.
  • 8 zeigt eine schematische Darstellung einer weiteren Ausführungsform eines erfindungsgemäßen Systems. In dieser wird angenommen, dass ein Fahrzeug über eine On-Board-Unit OBU verfügt, die über eine Kommunikationseinrichtung unter Verwendung unterschiedlicher Mobilfunksysteme mit Infrastrukturservern kommuniziert.
  • Typischerweise ist der Vehicle Manager VM mit einer Fahrzeugdatenbank VDB verbunden oder weist diese auf. In dieser Datenbank werden für von Vehicle Manager verwaltete Fahrzeuge Konfigurationsinformationen gespeichert.
  • In dieser Ausführungsform kann die Kommunikation oder Teile der Kommunikation über einen Trusted Vehicle Online Communication Proxy (TVOCP) erfolgen. Dargestellt durch eine schwarze Linie ist eine Kommunikationsbeziehung (z. B. http) zwischen dem Fahrzeug und einem Vehicle Online Service (VOS). Diese Kommunikation kann zwischen dem Fahrzeug und dem TVOCP eingetunnelt werden, indem z. B. ein VPN vom Fahrzeug zum TVOCP aufgebaut wird. In einer alternativen Ausführungsform kann bei HTTP der TVOCP als HTTP-Proxy realisiert sein. Dann muss keine Eintunnelung erfolgen, sondern HTTP-Anfragen können auch direkt vom Fahrzeug an den TVOCP gesendet werden, der sie – ggf. modifiziert – an einen Zielserver, z. B. einen VOS, weiterleitet. Die Antwort auf eine solche Anfrage kann entsprechend vom Zielserver VOS an den TVOCP übertragen werden, der sie – ggf. wieder modifiziert – an das Fahrzeug weiterleiten kann.
  • Beim Aufbau des Tunnels kann sich das Fahrzeug gegenüber dem TVOCP authentifizieren. Der TVOCP kann dann von der Fahrzeugdatenbank VDB die aktuelle Konfiguration des Fahrzeugs abfragen. Diese Konfiguration wird analysiert, um zu ermitteln, ob z. B. aktuelle Securitypatches eingespielt sind. Abhängig davon wird ein Netzzugangsregelsatz oder werden mehrere Netzzugangsregelsätze für dieses Fahrzeug durchgesetzt.
  • Kennzeichnend ist, dass jegliche Kommunikation oder ein Teil der Kommunikation zwischen Fahrzeug und einem Zielserver über den TVOCP geleitet wird, so dass dort der Datenverkehr untersucht werden kann und potentiell gefährliche oder unerwünschte Kommunikation geblockt werden kann, bevor sie das Fahrzeug erreicht.
  • Dieser TVOCP setzt auf Basis der Evaluierung, z. B. abhängig vom Typ des Fahrzeugs und der Konfiguration des Fahrzeugs, definierte Netzzugangsregeln (Network Access Policy) durch, d. h., nur diejenige Kommunikation, die durch die definierten Netzzugangsregeln erlaubt ist, wird ermöglicht. Andere Kommunikation wird blockiert.
  • Die Basis für die Evaluierung erhält der TVOCP auf folgende beispielhafte Arten:
    • – Direkt übertragen aus dem Fahrzeug (speziell Fahrzeug-Identifizierung/Fahrzeug-Authentifizierung), z. B. wenn das Fahrzeug einen Tunnel zum TVOCP aufbaut (IPSec, SSL/TLS) und sich das Fahrzeug authentisiert. Optional kann bereits hier das Fahrzeug weitere Information über sich (Hersteller, Baureihe, Fahrgestellnummer/VIN, Konfigurationsinformation) übertragen.
    • – Die Information über das Fahrzeug kann durch den TVOCP von einer Datenbank abgefragt werden; insbesondere kann Information von einem Vehicle Manager (VM) bzw. von der Datenbank (VDB), die der VM benutzt, um Konfigurationsinformation eines Fahrzeugs zu speichern, abgefragt werden. Hier ist insbesondere Information über den Software-Stand eines bestimmten Fahrzeugs verfügbar. So kann insbesondere berücksichtigt werden, ob aktuelle Software-Updates (kritische Security-Updates) eingespielt sind. Gegebenenfalls kann der VM vom TVOCP angestoßen werden, die aktuelle Konfiguration vom Fahrzeug abzufragen.
    • – Ein TVOCP kann ein Fahrzeug auch aktiv scannen, um Informationen über das Fahrzeug zu erhalten.
  • Abhängig von diesen Parametern kann eine Netzzugangsregel vom TVOCP bestimmt werden, die bei der folgenden Kommunikation des Fahrzeugs durchgesetzt wird.
  • Wenn eine Kommunikation gesperrt wird, so kann optional eine Umleitung erfolgen auf einen anderen Server, bzw. der TVOCP antwortet vertretungsweise. Eine HTTP-Anfrage des Fahrzeugs kann beispielweise vom TVOCP abgefangen und eine HTTP-REDIRECT-Nachricht an das Fahrzeug übertragen werden, die den Fahrzeug-Client auf einen anderen HTTP-Server umleitet. Dort kann dann z. B. eine Web-Seite in HTML angezeigt werden, die den Fahrer informiert, dass der Zugriff gesperrt wurde und warum.
  • Weiterhin kann durch den TVOCP eine Information an das Fahrzeug übertragen werden, dass das Fahrzeug den VM-Server kontaktieren soll. Dies kann beispielsweise erfolgen, indem ein spezieller HTTP-Header in eine HTTP-Response, die an das Fahrzeug übertragen wird, eingefügt wird. Dadurch kann dann der VM-Server z. B. verfügbare Software-Updates an das Fahrzeug übertragen.
  • Weiterhin kann vom TVOCP eine Information an den VM-Server übertragen werden, dass das Fahrzeug gerade online ist. Bei anstehenden Updates kann der VM-Server eine Management-Sitzung mit dem Fahrzeug initiieren, z. B. durch Senden einer Trigger-SMS-Nachricht.
  • Es ist dem Fachmann ohne weiteres ersichtlich, dass die vorgenannten Ausführungsformen miteinander kombinierbar sind und z. B. pro Anwendung oder verwendetem Protokoll erneut und getrennt durchgeführt werden kann, wobei unterschiedliche Netzzugangsregelsätze für unterschiedliche Anwendungen und unterschiedliche Herangehensweisen zur Ermittlung des Sicherheitsstatus nebeneinander bestehen können.
  • Zusammenfassend lässt sich über alle Ausführungsbeispiele festhalten, dass es mittels der Erfindung möglich ist, eine Evaluation autonom durch das Fahrzeug vorzunehmen, oder aber die Evaluation durch einen Server unterstützt wird (Server-assisted Evaluation), oder aber beide zuvor genannten Möglichkeiten kombiniert werden.
  • Bei einer autonomen Evaluierung kann die Evaluierungs-Funktion die aktuelle Konfiguration des Fahrzeugs und/oder der Log-Daten und/oder der Information, wie lange das letzte Update zurückliegt bzw. wann zuletzt auf Updates überprüft wurde bzw. ob anstehende Updates auch geladen und installiert wurden, überprüfen.
  • Updates können beispielsweise durch eine Werkstatt eingespielt werden. Dies kann z. B. über einen Werkstatt-Tester geschehen, der über eine Diagnoseschnittstelle mit dem Fahrzeug verbunden ist.
  • Alternativ können Updates auch durch den Benutzer selbst vorgenommen werden, z. B. mittels Update-Medium, z. B. CD/DVD, USB-Stick, Speicherkarte, etc., oder indem Updates von einem Update-Server über die Funkkommunikationsschnittstelle geladen werden (OTA Self Update).
  • Bei einem OTA Self Update kommuniziert das Fahrzeug mit einem Vehicle Management Server(VM), um Information über bereitgestellte Updates zu erhalten und sie ggf. zu laden und zu installieren.
  • Abhängig vom ermittelten Evaluierungs-Ergebnis können dann Netzzugangsregeln ermittelt werden und diese zur Durchsetzung aktiviert werden.
  • Beispielsweise können zwei Netzzugangsregelsätze definiert sein (UNRESTRICTED, RESTRICTED). Falls das Ergebnis der Evaluierung ist, dass das Fahrzeug sich in einem sicheren Konfigurationsstand befindet (z. B. anstehende sicherheitskritische Updates wurden innerhalb der letzten 7 Tage geprüft und installiert), so wird der Netzzugangsregelsatz UNRESTRICTED aktiviert (ermöglicht z. B. freien, direkten Internet-Zugang). Andernfalls wird der Netzzugangsregelsatz RESTRICTED aktiviert, bei dem nur noch auf vertrauenswürdige Web-Services, die direkt vom Fahrzeughersteller angeboten werden, zugegriffen werden kann.
  • Bei einer durch einen Server unterstützten Evaluierung (Server-assisted Evaluation) kann das Fahrzeug Parameter an einen Vehicle Security Status Evaluation Server (VSSES) oder allgemein eine Sicherheitsstatus-Ermittlungs-Einrichtung (SEE) übertragen und erhält als Antwort ein Evaluierungs-Ergebnis zurück.
  • Die übertragenen Parameter können umfassen:
    • – Identifizierung des Fahrzeugs (z. B. Fahrgestellnummer, Vehicle Identifier VIN),
    • – Fahrzeug-Typinformation (Hersteller, Modell, Baujahr, verbautes Zubehör),
    • – Konfigurationsinformation (verbaute Komponenten, Software-Stand),
    • – Log-Information (Logging-Daten des Fahrzeugs, auch in Verbindung mit dem jeweilig verwendeten Fahrzeugschlüssel, speziell bezülich OTA-Kommunikation, die so auf dem Server ausgewertet werden können).
  • Es ist insbesondere ausreichend, lediglich eine Fahrzeug-Identifizierungsinformation zu übertragen, wenn in einem Server (VM) in einer Datenbank (VDB) Information über die aktuelle Konfiguration dieses Fahrzeugs gespeichert ist und durch den VSSES abfragbar ist. Dies ist z. B. der Fall, wenn die Fahrzeugkonfiguration z. B. mithilfe des OMA (Open Mobile Alliance) DM Protokolls OTA verwaltet wird. Falls die Information nicht in einer Datenbank hinterlegt ist, kann die Information direkt vom Fahrzeug an den VSSES übertragen werden.
  • Das Evaluierungs-Ergebnis kann aufweisen:
    • – Flag (secure yes/no),
    • – Wert (z. B. 0, 1, 2, ..., 9),
    • – Identifier (Policy-Identifier direkt oder Mapping),
    • – bereitgestellte Sicherheitsupdates, ggf. mit Information über ihre Kritikalität bzw. der betroffenen Funktionalität,
    • – Netzzugangsregeln.
  • Abhängig vom empfangenen Evaluierungs-Ergebnis konfiguriert das Fahrzeug Netzzugangsregeln und setzt diese durch.
  • Bei dem Vehicle Security Status Evaluation Server (VSSES) handelt es sich beispielsweise um einen Server des Fahrzeugherstellers oder eines Kommunikations-Anbieters. Zwischen Server und Fahrzeug findet eine Authentisierung statt. Die Kommunikation kann z. B. mittels IPSec-, SSL- oder TLS-Protokoll geschützt sein. Die Information kann z. B. über HTTP, SOAP, OMA DM, SyncML, SNMP erfolgen.
  • Obwohl der VSSES als selbständige Einheit beschrieben ist, kann diese auch in anderen Einheiten enthalten sein. So kann der VSSES z. B. Teil eines VM Servers sein, der ggf. Updates bereitstellt.
  • Wie bereits ausgeführt können einige Netzzugangsregelsätze vordefiniert sein, z. B.:
    • – UNRESTRICTED: beliebige Kommunikation zugelassen (auch direkt ohne über eine Proxy);
    • – UNRESTRICTED INFRASTRUCTRE: beliebige Kommunikation mit Infrastrukturdiensten zulassen (auch direkt), aber nicht Fahrzeug-zu-Fahrzeug-Kommunikation;
    • – MANAGED INFRASTRUCTURE: beliebige Kommunikation mit Infrastrukturdiensten zulassen (auch direkt), dabei aber nur von einem bekannten Infrastruktur-Operator betriebene Mobilfunknetze verwenden (also z. B. nur GPRS, UMTS/HSDPA über Vodafone, T-Mobile oder Orange, aber nicht WLAN);
    • – TUNNEL: Kommunikation tunneln zu Trusted Gateway (Datenverkehr wird eingetunnelt und zu VPN-Server gesendet, wo er analysiert und gefiltert werden kann, bevor er z. B. zu einem Internet-Server weitergeleitet wird; nur eingetunnelter Datenverkehr, der von diesem Server stammt, wird weiter bearbeitet);
    • – TRUSTED SERVER: nur Kommunikation mit Online-Diensten möglich, die von einem Server angeboten werden, der auf einer konfigurierten Whitelist des Fahrzeugs verzeichnet ist (z. B. http://*.bmw.de; https://*.bmw.de; http://*.bmw.com; https://*.bmw.com);
    • – NULL/CLOSED/DENY ALL: keine OTA-Kommunikation möglich.
  • Alternativ oder ergänzend kann ein Netzzugangsregelsatz auch vom Vehicle Security Status Evaluation Server (VSSES) oder einem anderen Server bereitgestellt werden.
  • Es können auch feingranulare Netzzugangsregelsätze definiert werden: Es kann z. B. ein Content-Filtering vorgenommen werden, um für das Auto gefährliche Inhalte zu filtern. Zum Beispiel werden Flash-Content oder JavaScripts auf Webseiten nur dann durchgelassen, wenn ein bestimmtes Fahrzeug die aktuellen Security-Patche für die entsprechenden Anzeigeprogramme geladen hat.
  • Der Inhalt eines Netzzugangsregelsatzes kann z. B. die Verwendung einer Firewall und eines VPN vorschreiben.
  • Ein Netzzugangsregelsatzes besteht aus Regeln. Diese beschreiben, welche Art von Netzwerkverkehr auf welche Weise zu behandeln ist, insbesondere ob er
    • – zugelassen ist, d. h. weiterbearbeitet wird und ggf. an die Ziel-Steuergeräte im Fahrzeug weitergeleitet wird (Allow);
    • – einzutunneln ist (tunnel; encapsulate), d. h. über einen VPN-Tunnel zu übertragen ist;
    • – auszutunneln ist (detunnel; decapsulate), d. h. über einen VPN-Tunnel empfangene Daten auszupacken, bevor sie weiter bearbeitet bzw. an das Ziel-Steuergerät weitergeleitet werden;
    • – zu verwerfen ist (discard).
  • Außerdem können für zugelassenen Datenverkehr gewisse Beschränkungen auferlegt werden, insbesondere Einschränkungen bezüglich der maximalen Datenrate, um z. B. die Überlastung von Zielkomponenten zu verhindern.
  • Mögliche Filterkriterien weisen auf:
    • – Fahrzeug: Fahrzeughersteller, Modell, Version/Baujahr, verbautes Zubehör (speziell Version des eingebauten Infotainment-Systems);
    • – Richtung (inbound zum Fahrzeug, outbound vom Fahrzeug);
    • – Zielkomponente im Fahrzeug (d. h. an welches Steuergerät werden die Daten weitergeleitet bzw. von welchem Steuergerät stammen sie);
    • – OTA-Schnittstelle (GPRS, UMTS, WLAN, ...);
    • – aktueller OTA-Netzwerkbetreiber (z. B. T-Mobile, Vodafone, unbekannt) und Land (Deutschland, Frankreich, ...);
    • – IP-Adresse (Sender, Empfänger);
    • – Herkunftsland IP-Adresse (gewisse Länder können gesperrt werden);
    • – Protokoll (z. B. TCP, UDP);
    • – Portnummer;
    • – URL Filter;
    • – Kommunikation verschlüsselt (z. B. SSL, TLS) oder unverschlüsselt;
    • – dedizierte Filter für bekannte Angriffe, speziell Denial of Service (DoS) (z. B. Ping-Paket mit bestimmter Länge);
    • – Tunnel direkt empfangener Daten über Trusted Server.
  • Neben reiner Netzwerkkommunikation können sich Netzzugangsregelsätze auch auf Inhalt, den sogenannten Content, beziehen (Web-Seiten, Multimedia-Dateien, Programmcode):
    • – Nutzbare Multimedia-Formate (z. B. könnten CDs und WAV-Files immer abspielbar sein, während MP3 und Videos nicht mehr abspielbar sind);
    • – Unterstützte Browser-Plug-Ins, z. B. für Flash-Animationen;
    • – Kriterien zur Zuordnung von Online-Inhalten (Web-Seiten) zu Security-Zonen (Eine Security Zone z. B. bei Microsofts Internet Explorer definiert, welche Möglichkeiten Web-Inhalte von Web-Sites dieser Zone gewährt werden, z. B. ob Nutzung von JavaScript möglich ist.). Die Zuordnung erfolgt anhand der URL, von der eine Web-Seite bzw. allgemein ein Online-Inhalt geladen wird.
    • – die mit einer Security-Zone verbundenen Berechtigungen (für Online-Inhalte);
    • – Berechtigungen für ausgeführten Programmcode: Im Stand der Technik ist Code Access Security bekannt, z. B. bei der Microsoft Common Language Runtime oder dem Java Runtime Environment. Dabei werden Programmcode Zugriffsrechte abhängig von seinem Ursprung gewährt (d. h. abhängig davon, wer ihn signiert hat bzw. von wo er geladen wurde). Neu werden nun abhängig von der Sicherheitsevaluierung die Berechtigungen, die einem bestimmten Code eingeräumt werden, gesetzt; bzw. es wird abhängig vom Evaluierungsergebnis definiert, ob ein bestimmter Code überhaupt ausgeführt werden kann. Zum Beispiel kann auf diese Weise die Ausführung von Untrusted Code/Downloaded 3rd Party Code verhindert werden, wenn der Patchstatus der Fahrzeugkomponente nicht aktuell ist.
  • Der ausgewählte Netzzugangsregelsatz wird vorzugsweise von der Kommunikationseinheit des Fahrzeugs durchgesetzt. Alternativ kann dies auch von einer separaten, vorgeschalteten Sicherheitskommunikationseinheit erfolgen.
  • In einer Variante kann darüber hinaus auch Fahrzeug-intern im Bord-Netz durch Zugangskontrolleinrichtung (Fahrzeugbus-Gateways, Steuergeräte) eine Filterung der Kommunikation erfolgen. Die Kommunikationseinheit bzw. die Sicherheitskommunikationseinheit kann dazu eine Information an diese Zugangskontrolleinrichtung über den Fahrzeug-Sicherheitsstatus übertragen (Indikator, Filterregeln), wodurch diese ihre Netzzugangsregeln entsprechend anpassen. Die jeweilige Komponente kann jedoch auch individuell das beschriebene Verfahren durchführen.
  • Um eine Sperrung zu vermeiden sollte der Benutzer vorzugsweise einen Hinweis erhalten, rechtzeitig bzw. möglichst bald Security-Patche einzuspielen, um weiterhin sämtliche Dienste nutzen zu können.
  • Bei eingeschränktem Zugang sind die Kommunikations-Möglichkeiten beschränkt und deshalb evtl. nicht alle Dienste nutzbar. Jedoch soll es vorzugsweise immer noch möglich sein, erforderliche Softwareupdates einzuspielen. Der Benutzer kann darauf hingewiesen werden, dass für eine entsprechende Dienstnutzung ein Software-Update nötig ist.
  • Mittels der Erfindung kann ein Fahrzeug relativ frei direkt kommunizieren, soweit dies gefahrlos möglich ist. Werden jedoch Angriffe erkannt, oder sind die Schutzmaßnahmen des Fahrzeugs veraltet oder nicht mehr ausreichend wirksam, können Gefährdungen, z. B. Manipulation an Fahrzeugkomponenten per Onlineverbindungen, durch entsprechende Selbstschutzmaßnahmen vermieden werden. Wenn aus Sicherheitsgründen erforderlich, werden durch die genannten Schutzmechanismen Online-Services eingeschränkt oder ganz unterbunden.
  • Fahrzeugkomponenten erhalten nur bei aktuellem Sicherheitsupdatestand der Software vollen Zugang nach außen, da sie dann die dadurch auftretenden Angriffe aus dem Netz abwehren können. So ist in ein zuverlässiger Fahrzeugbetrieb gewährleistet.
  • Bezugszeichenliste
    • OBU
      On-Board-Unit
      DL
      Download-Server
      VM
      Vehicle Management Server
      VOS
      Vehicle Online Services Server
      VSSES
      Vehicle Security Status Evaluation Server
      RSU
      Road Side Unit
      C2C
      Car-2-Car-Kommunikation
      ComBox
      Communication-Unit
      RSE1,
      RSE2 Rear Seat Entertainment
      GW
      Gateway
      NASE
      Network Access Enforcement Engine
      AOAP
      active OTA access policy, aktueller Netzzugangsregelsatz
      NAPS
      Network Access Policy Selection, Netzzugangsregelsatz-Auswahlfunktion
      SEE
      Sicherheitsstatus-Ermittlungs-Einrichtung
      SSE
      Sicherheits-Selbst-Evaluierung
      ECU1, ECU2
      Steuergeräte
      TVOCP
      Trusted Vehicle Onlince Communication Proxy
      VDB
      Vehicle Database

Claims (11)

  1. System zur Verhinderung eines Angriffs auf ein vernetztes Fahrzeug über eine drahtlose Kommunikationseinrichtung eines Fahrzeugs, umfassend: – ein drahtloses Datenverkehrsnetz, – eine Sicherheitsstatus-Ermittlungs-Einrichtung, um in Abhängigkeit eines ermittelten Sicherheitsstatus den Zugang zum drahtlosen Datenverkehrsnetz zu regeln, – wobei der Sicherheitsstatus auf einer Evaluierung einer aktuellen Konfiguration des Fahrzeugs und/oder von Log-Daten des Fahrzeugs und/oder auf einer verstrichenen Zeit seit einem Update einer betreffenden Software basiert, – eine Kommunikationseinrichtung geeignet zur Verbindung mit dem drahtlosen Datenverkehrsnetz, – eine Zugangskontrolleinrichtung zur Regelung des Netzzugangs zum drahtlosen Datenverkehrsnetz, welche mit der Sicherheitsstatus-Ermittlungs-Einrichtung verbindbar ist.
  2. System nach Anspruch 1, wobei die Sicherheitsstatus-Ermittlungs-Einrichtung im Fahrzeug angeordnet ist, und eine Evaluierung des Sicherheitsstatus autonom durchführbar ist.
  3. System nach Anspruch 1, wobei die Sicherheitsstatus-Ermittlungs-Einrichtung im Datenverkehrsnetz angeordnet ist.
  4. System nach einem der Ansprüche 1 bis 3, wobei die Zugangskontrolleinrichtung im Fahrzeug angeordnet ist.
  5. System nach einem der Ansprüche 1 bis 3, wobei die Zugangskontrolleinrichtung im Datenverkehrsnetz angeordnet ist.
  6. System nach einem der Ansprüche 1 bis 5, wobei die Regelung des Netzzugangs zum drahtlosen Datenverkehrsnetz durch Netzzugangsregelsätze regelbar ist, wobei die Netzzugangsregelsätze zum drahtlosen Datenverkehrsnetz nach Art einer Verbindung, nach Art von Filterkriterien und/oder nach Art von Content auswählbar sind.
  7. System nach einem der Ansprüche 1 bis 6, wobei die Regelung des Netzzugangs weiterhin beinhaltet festzulegen, ob der Zugang verschlüsselt oder getunnelt zu erfolgen hat.
  8. System nach einem der Ansprüche 1 bis 7, wobei die Evaluierung des Sicherheitsstatus weiterhin aufweist: Erkennen, dass eine Fahrzeugkomponente einen Angriff oder eine Fehlfunktion im Rahmen des Netzzuganges erkannt hat.
  9. Verfahren für ein System zur Verhinderung eines Angriffs auf ein vernetztes Fahrzeug über eine drahtlose Kommunikationseinrichtung eines Fahrzeugs, das System aufweisend: – ein drahtloses Datenverkehrsnetz, – eine Sicherheitsstatus-Ermittlungs-Einrichtung, – eine Kommunikationseinrichtung geeignet zur Verbindung mit dem drahtlosen Datenverkehrsnetz und – eine Zugangskontrolleinrichtung aufweisend die Schritte: – Ermitteln eines Sicherheitsstatus, wobei der Sicherheitsstatus auf einer Evaluierung einer aktuellen Konfiguration des Fahrzeugs und/oder von Log-Daten des Fahrzeugs und/oder auf einer verstrichenen Zeit seit einem Update einer betreffenden Software basiert, – auf Basis des ermittelten Sicherheitsstatus Bestimmen eines Netzzugangsregelsatzes für den Zugang zum Datenverkehrsnetz, – aktivieren des bestimmten Netzzugangsregelsatzes.
  10. Verfahren nach Anspruch 9, weiterhin aufweisend die Schritte: – Aktivieren eines initialen Netzzugangsregelsatzes, – Übertragen von aktuellen Konfiguration des Fahrzeugs und/oder von Log-Daten des Fahrzeugs und/oder auf einer verstrichenen Zeit seit einem Update einer betreffenden Software an einen Evaluierungsserver zur Ermittlung des Sicherheitsstatus, – Übertragen des ermittelten Sicherheitsstatus.
  11. Verfahren nach Anspruch 10, wobei ein Sicherheitsstatus sowohl lokal als auch remote ermittelt wird.
DE102010008816A 2010-02-22 2010-02-22 Verfahren zur Online-Kommunikation Ceased DE102010008816A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102010008816A DE102010008816A1 (de) 2010-02-22 2010-02-22 Verfahren zur Online-Kommunikation
EP11703708A EP2540053A1 (de) 2010-02-22 2011-02-17 System und verfahren zur verhinderung eines angriffs auf ein vernetztes fahrzeug
US13/580,658 US9843926B2 (en) 2010-02-22 2011-02-17 System and method for preventing an attack on a networked vehicle
CN201180010608.7A CN102893574B (zh) 2010-02-22 2011-02-17 防止攻击联网车辆的系统和方法
PCT/EP2011/052362 WO2011101414A1 (de) 2010-02-22 2011-02-17 System und verfahren zur verhinderung eines angriffs auf ein vernetztes fahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010008816A DE102010008816A1 (de) 2010-02-22 2010-02-22 Verfahren zur Online-Kommunikation

Publications (1)

Publication Number Publication Date
DE102010008816A1 true DE102010008816A1 (de) 2011-08-25

Family

ID=43904033

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010008816A Ceased DE102010008816A1 (de) 2010-02-22 2010-02-22 Verfahren zur Online-Kommunikation

Country Status (5)

Country Link
US (1) US9843926B2 (de)
EP (1) EP2540053A1 (de)
CN (1) CN102893574B (de)
DE (1) DE102010008816A1 (de)
WO (1) WO2011101414A1 (de)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013171096A1 (de) * 2012-05-16 2013-11-21 Bayerische Motoren Werke Aktiengesellschaft Datenlogging bzw. stimulation in automotiven ethernet netzwerken unter verwendung der fahrzeug-infrastruktur
WO2014122243A1 (de) * 2013-02-08 2014-08-14 Bayerische Motoren Werke Aktiengesellschaft Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
DE102014226831A1 (de) * 2014-12-22 2016-06-23 Continental Automotive Gmbh Vorrichtung zur Steuerung der drahtlosen Kommunikation eines Kraftfahrzeugs
US9560061B2 (en) 2013-02-22 2017-01-31 Audi Ag Motor vehicle with a driving behavior which can be modified at a later stage using an application program
WO2017162395A1 (de) * 2016-03-24 2017-09-28 Volkswagen Aktiengesellschaft Verfahren zur überwachung der sicherheit von kommunikationsverbindungen eines fahrzeugs
WO2017167471A1 (de) * 2016-03-29 2017-10-05 Robert Bosch Gmbh Vorrichtung und verfahren zur filterung eines datentransfers, sowie ein gateway-steuergerät
EP3382976A1 (de) * 2017-03-30 2018-10-03 Siemens Aktiengesellschaft Schutzeinrichtung, verfahren und gerät enthalten eine schutzeinrichtung zum schutz eines mit dem gerät verbundenen kommunikationsnetzwerks
DE102019120331A1 (de) * 2019-07-26 2021-01-28 itemis France SAS Datenübertragung zu einem IOT-Gerät
US20210141629A1 (en) * 2019-11-08 2021-05-13 Toyota Jidosha Kabushiki Kaisha Program update system and vehicle management server
DE102019220450A1 (de) * 2019-12-20 2021-06-24 Robert Bosch Gmbh Vorrichtung mit einer Schnittstelle und Verfahren zum Betreiben einer Vorrichtung mit einer Schnittstelle
WO2021123024A1 (de) 2019-12-20 2021-06-24 Robert Bosch Gmbh Vorrichtung mit einer schnittstelle und verfahren zum betreiben einer vorrichtung mit einer schnittstelle
US11252107B2 (en) 2017-11-07 2022-02-15 Continental Automotive Gmbh Method for operating an ethernet communication device, and ethernet communication device

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012043167A1 (ja) * 2010-09-27 2012-04-05 日本電気株式会社 情報処理システム、車両のチェック方法、及び、車両のチェックプログラム
US20140380296A1 (en) * 2013-06-20 2014-12-25 General Motors Llc Re-programming vehicle modules
US10069843B2 (en) * 2013-06-25 2018-09-04 Fedex Corporation Transport communication management
US10885010B2 (en) 2013-12-18 2021-01-05 Federal Express Corporation Methods and systems for data structure optimization
US10140109B2 (en) * 2014-02-25 2018-11-27 Ford Global Technologies, Llc Silent in-vehicle software updates
WO2015159520A1 (ja) 2014-04-17 2015-10-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、不正検知電子制御ユニット及び不正検知方法
CN105704102B (zh) * 2014-11-26 2019-06-07 广州汽车集团股份有限公司 车辆网络访问控制方法及装置
US10666615B2 (en) 2015-08-03 2020-05-26 Sectigo, Inc. Method for detecting, blocking and reporting cyber-attacks against automotive electronic control units
US10412088B2 (en) * 2015-11-09 2019-09-10 Silvercar, Inc. Vehicle access systems and methods
DE102016201307A1 (de) * 2016-01-28 2017-08-03 Robert Bosch Gmbh Verfahren zum Melden eines Defekts eines Kraftfahrzeugs
DE102016205002A1 (de) * 2016-03-24 2017-09-28 Volkswagen Aktiengesellschaft Verfahren zum Verwalten von gesammelten Fahrzeugdaten
JP6485429B2 (ja) * 2016-11-04 2019-03-20 トヨタ自動車株式会社 車載ネットワークシステム
DE102017208712A1 (de) * 2017-05-23 2018-11-29 Siemens Aktiengesellschaft Kommunikationsanordnung sowie Verfahren zu deren Betrieb
JP6465258B1 (ja) * 2017-08-10 2019-02-06 住友電気工業株式会社 制御装置、制御方法、およびコンピュータプログラム
US10679493B2 (en) * 2017-09-18 2020-06-09 International Business Machines Corporation Cognitive-based incident response
US10802483B2 (en) * 2017-10-19 2020-10-13 International Business Machines Corporation Emergency public deactivation of autonomous vehicles
DE102017220873B4 (de) * 2017-11-22 2025-05-28 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Kommunikationseinrichtung eines Kraftfahrzeugs und Verwendung derselben
JP6552674B1 (ja) * 2018-04-27 2019-07-31 三菱電機株式会社 検査システム
DE102018130588B4 (de) * 2018-11-30 2020-12-03 DE-CIX Management GmbH Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen
CN110290496A (zh) * 2019-06-17 2019-09-27 高新兴物联科技有限公司 一种v2x升级系统及升级方法
FR3101745A1 (fr) * 2019-10-08 2021-04-09 Psa Automobiles Sa Procédé d’accès à un service connecté depuis un véhicule automobile
EP3869471A1 (de) * 2020-02-24 2021-08-25 Continental Automotive GmbH Kommunikationsverfahren mit einem server und einer vielzahl von bordeinheiten und bordeinheit
GB202303224D0 (en) * 2020-12-23 2023-04-19 Motional Ad Llc Security gateway
CN114973700B (zh) * 2022-05-18 2024-03-26 浙江嘉兴数字城市实验室有限公司 一种基于车路协同应用的信号机网联安全装置及工作方法
WO2024127532A1 (ja) * 2022-12-13 2024-06-20 パナソニックIpマネジメント株式会社 アクセス許可装置、および、アクセス許可方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080219274A1 (en) * 2007-02-07 2008-09-11 Hiromitsu Kato On-vehicle gateway device, method for controlling an on-vehicle gateway device, connection device and connection control method
US20090031418A1 (en) * 2005-04-21 2009-01-29 Nori Matsuda Computer, method for controlling access to computer resource, and access control program
DE102008037130A1 (de) * 2007-08-13 2009-04-16 General Motors Corp., Detroit Verfahren zum Authentifizieren einer Kurznachrichtendienst-Nachricht (SMS-Nachricht)

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6144859A (en) * 1993-08-27 2000-11-07 Aeris Communications, Inc. Wireless cellular communicator system and apparatus
US6052646A (en) * 1998-04-15 2000-04-18 Magellan Dis, Inc. Vehicle navigation system with improved powerup performance
US6647270B1 (en) * 1999-09-10 2003-11-11 Richard B. Himmelstein Vehicletalk
AU7871800A (en) * 1999-10-06 2001-05-10 Sensoria Corporation Method for remote access of vehicle components
US6389337B1 (en) * 2000-04-24 2002-05-14 H. Brock Kolls Transacting e-commerce and conducting e-business related to identifying and procuring automotive service and vehicle replacement parts
JP2002127873A (ja) * 2000-10-27 2002-05-09 Auto Network Gijutsu Kenkyusho:Kk 自動車盗難防止用照合システム
US7987510B2 (en) * 2001-03-28 2011-07-26 Rovi Solutions Corporation Self-protecting digital content
US7061367B2 (en) * 2002-04-30 2006-06-13 General Electric Company Managing access to physical assets
US6832141B2 (en) * 2002-10-25 2004-12-14 Davis Instruments Module for monitoring vehicle operation through onboard diagnostic port
US20040263316A1 (en) * 2003-06-24 2004-12-30 Case, Llc Reprogrammable vehicle access control system
US7355299B2 (en) * 2003-07-29 2008-04-08 Lear Corporation Non-ignition switch vehicle ignition enabling system
US7716726B2 (en) 2004-02-13 2010-05-11 Microsoft Corporation System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication
JP4270031B2 (ja) * 2004-06-09 2009-05-27 株式会社デンソー 車載用情報登録・開示システム、車載装置および携帯機器
FR2880225A1 (fr) * 2004-12-23 2006-06-30 Toplica Petkovic Dispositif d'aide a la prevention des accidents de la circulation lies a l'utilisation du telephone portable
US7418317B2 (en) * 2005-03-10 2008-08-26 Aai Corporation System and method for controlling and communicating with a vehicle
US20060224305A1 (en) * 2005-04-01 2006-10-05 Siemens Vdo Automotive Corporation Vehicle unit for controlling communications between a vehicle and a wireless device
DE102005028663B4 (de) 2005-06-15 2024-10-24 Volkswagen Ag Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner
JP5162103B2 (ja) * 2006-05-15 2013-03-13 トヨタ自動車株式会社 支援制御装置
US20080027602A1 (en) * 2006-05-30 2008-01-31 Yeap Tet H System and method for deterring theft of vehicles and other products having integral computer means
DE102006042974B4 (de) * 2006-09-13 2009-07-23 Continental Automotive Gmbh Verfahren zur Zugangssteuerung zu einem Fahrzeug
US8274377B2 (en) * 2007-01-10 2012-09-25 Decision Sciences International Corporation Information collecting and decision making via tiered information network systems
US8319605B2 (en) * 2007-06-19 2012-11-27 Magna Electronics, Inc. Remote vehicle control system utilizing multiple antennas
DE102007044398B4 (de) * 2007-09-18 2012-10-04 Continental Automotive Gmbh Diebstahlschutzsystem für ein Fahrzeug und Verfahren zum Betreiben eines Diebstahlschutzsystems
JP2009163430A (ja) * 2007-12-28 2009-07-23 Sony Corp セキュリティ機能搭載車載機器及び車載機器のセキュリティ機能制御方法
CN101262333B (zh) * 2008-04-21 2010-06-02 上海大学 一种车辆网络中节点间的安全通信方法
US20090300365A1 (en) * 2008-05-30 2009-12-03 Robert Karmes Vehicle Diagnostic System Security with Memory Card
US8370644B2 (en) * 2008-05-30 2013-02-05 Spansion Llc Instant hardware erase for content reset and pseudo-random number generation
US20100087981A1 (en) * 2008-10-02 2010-04-08 Daniel Guadalupe Orozco-Perez Versatile vehicular care assistant system and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090031418A1 (en) * 2005-04-21 2009-01-29 Nori Matsuda Computer, method for controlling access to computer resource, and access control program
US20080219274A1 (en) * 2007-02-07 2008-09-11 Hiromitsu Kato On-vehicle gateway device, method for controlling an on-vehicle gateway device, connection device and connection control method
DE102008037130A1 (de) * 2007-08-13 2009-04-16 General Motors Corp., Detroit Verfahren zum Authentifizieren einer Kurznachrichtendienst-Nachricht (SMS-Nachricht)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9912531B2 (en) 2012-05-16 2018-03-06 Bayerische Motoren Werke Aktiengesellschaft Data logging or stimulation in automotive Ethernet networks using the vehicle infrastructure
CN104396191A (zh) * 2012-05-16 2015-03-04 宝马股份公司 使用车辆基础结构在车辆以太网中的数据记录或模拟
WO2013171096A1 (de) * 2012-05-16 2013-11-21 Bayerische Motoren Werke Aktiengesellschaft Datenlogging bzw. stimulation in automotiven ethernet netzwerken unter verwendung der fahrzeug-infrastruktur
WO2014122243A1 (de) * 2013-02-08 2014-08-14 Bayerische Motoren Werke Aktiengesellschaft Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
US10703309B2 (en) 2013-02-08 2020-07-07 Bayerische Motoren Werke Aktiengesellschaft Method and device for connecting a diagnostic unit to a control unit in a motor vehicle
US9560061B2 (en) 2013-02-22 2017-01-31 Audi Ag Motor vehicle with a driving behavior which can be modified at a later stage using an application program
DE102014226831A1 (de) * 2014-12-22 2016-06-23 Continental Automotive Gmbh Vorrichtung zur Steuerung der drahtlosen Kommunikation eines Kraftfahrzeugs
CN109076081A (zh) * 2016-03-24 2018-12-21 大众汽车有限公司 用于监视车辆的通信连接的安全性的方法
WO2017162395A1 (de) * 2016-03-24 2017-09-28 Volkswagen Aktiengesellschaft Verfahren zur überwachung der sicherheit von kommunikationsverbindungen eines fahrzeugs
WO2017167471A1 (de) * 2016-03-29 2017-10-05 Robert Bosch Gmbh Vorrichtung und verfahren zur filterung eines datentransfers, sowie ein gateway-steuergerät
EP3382976A1 (de) * 2017-03-30 2018-10-03 Siemens Aktiengesellschaft Schutzeinrichtung, verfahren und gerät enthalten eine schutzeinrichtung zum schutz eines mit dem gerät verbundenen kommunikationsnetzwerks
WO2018177614A1 (de) * 2017-03-30 2018-10-04 Siemens Aktiengesellschaft Schutzeinrichtung, verfahren und gerät enthalten eine schutzeinrichtung zum schutz eines mit dem gerät verbundenen kommunikationsnetzwerks
US11252107B2 (en) 2017-11-07 2022-02-15 Continental Automotive Gmbh Method for operating an ethernet communication device, and ethernet communication device
DE102019120331A1 (de) * 2019-07-26 2021-01-28 itemis France SAS Datenübertragung zu einem IOT-Gerät
US20210141629A1 (en) * 2019-11-08 2021-05-13 Toyota Jidosha Kabushiki Kaisha Program update system and vehicle management server
US11704106B2 (en) * 2019-11-08 2023-07-18 Toyota Jidosha Kabushiki Kaisha Program update system and vehicle management server
US20230305835A1 (en) * 2019-11-08 2023-09-28 Toyota Jidosha Kabushiki Kaisha Program update system and vehicle management server
US12141574B2 (en) * 2019-11-08 2024-11-12 Toyota Jidosha Kabushiki Kaisha Program update system and vehicle management server
DE102019220450A1 (de) * 2019-12-20 2021-06-24 Robert Bosch Gmbh Vorrichtung mit einer Schnittstelle und Verfahren zum Betreiben einer Vorrichtung mit einer Schnittstelle
WO2021123024A1 (de) 2019-12-20 2021-06-24 Robert Bosch Gmbh Vorrichtung mit einer schnittstelle und verfahren zum betreiben einer vorrichtung mit einer schnittstelle

Also Published As

Publication number Publication date
WO2011101414A1 (de) 2011-08-25
US9843926B2 (en) 2017-12-12
CN102893574A (zh) 2013-01-23
CN102893574B (zh) 2018-05-18
EP2540053A1 (de) 2013-01-02
US20130104186A1 (en) 2013-04-25

Similar Documents

Publication Publication Date Title
DE102010008816A1 (de) Verfahren zur Online-Kommunikation
DE102005028663B4 (de) Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner
DE102017109099A1 (de) Bereitstellen von modul-updates für ein fahrzeugsystem
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE102016101327A1 (de) Reagieren auf elektronisches Eindringen im Fahrzeug
WO2014044348A1 (de) Teilnehmeridentitätsmodul zum authentisieren eines teilnehmers an einem kommunikationsnetzwerk
DE102018131480B4 (de) Zugangssystem zum Leiten einer vernetzten Vorrichtung zu einer fahrzeugintern gespeicherten Landing-Page basierend auf einem verfügbaren Guthaben oder einem Datensaldo
DE102020119153A1 (de) Fahrzeugcomputersystem
DE102016222741A1 (de) Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit
DE102014206545A1 (de) Verfahren, Kommunikationssystem und Daten-Zugangsknoten zur Übermittlung von Daten
WO2017162395A1 (de) Verfahren zur überwachung der sicherheit von kommunikationsverbindungen eines fahrzeugs
DE102021214082A1 (de) Verfahren und vorrichtung zum abwehren eines eindringens in ein fahrzeuginternes netzwerk
EP3895406B1 (de) Verfahren zum betreiben eines datennetzwerks eines kraftfahrzeugs und kraftfahrzeug mit einem entsprechend betreibbaren datennetzwerk
DE102021207870A1 (de) Verfahren und Recheneinheit zum Verwalten von Diagnoseanfragen in einem Netzwerk
WO2021197822A1 (de) Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug
EP1473614A2 (de) Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
DE102019201133B4 (de) Kraftfahrzeug
DE102023001972B4 (de) Kommunikationssystem und Fahrzeug
DE102022001115B3 (de) System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst
EP3891563B1 (de) Verfahren und system zum bereitstellen von daten für mindestens einen datenempfänger
EP3382976A1 (de) Schutzeinrichtung, verfahren und gerät enthalten eine schutzeinrichtung zum schutz eines mit dem gerät verbundenen kommunikationsnetzwerks
DE102016203534A1 (de) Verfahren und Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen
DE102023106929A1 (de) Fahrzeugvariantenbewusste dienste
DE102023103260A1 (de) Verfahren zum Aufbauen einer Kommunikationsverbindung zwischen einer Applikationssoftware in einer Applikations-Laufzeitumgebung eines Kraftfahrzeugs zu einem fahrzeugexternen Dienstanbieter sowie zugehöriges Datennetzwerk, Kraftfahrzeug und Applikationssoftware
DE102019220157A1 (de) Verfahren zur Sicherheitsüberprüfung, Sicherheitsüberprüfungsvorrichtung, Informationssystem für ein Kraftfahrzeug, Kraftfahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed

Effective date: 20120621

R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final