Die vorliegende Erfindung betrifft Systeme für Echtzeit- Ethernet-Datennetzwerke .

Insbesondere betrifft die vorliegende Erfindung eine

Vorrichtung zum Absichern eines Echtzeit-Ethernet- Datennetzwerks für ein Kraftfahrzeug.

Die DE 10 2014 220 462 Al beschreibt eine Vorrichtung und ein Verfahren zum Überwachen von Netzwerkkommunikation eines Datennetzwerks für ein Kraftfahrzeug, wobei zentral oder verteilt die Kommunikation in den Datennetzwerken des

Kraftfahrzeuges überwacht, analysiert und protokolliert wird.

Die WO 2015/161870 Al beschreibt eine Vorrichtung und ein Verfahren zur Filterung von Datenpaketen in einem

Kommunikationsnetz .

Auf Basis der physikalischen Schicht Ethernet und dem darüber liegenden Internet-Protokoll, finden erstmals Techniken

Einzug ins Bordnetz die auch außerhalb des Fahrzeuges stark verbreitet sind.

Hierbei bietet sich auch ein höheres potentielles

Angriffsrisiko, welches mit den für den Bereich Automotive spezifischen Bordnetzen wie CAN (Controller Area Network) und FlexRay bis heute nicht bestand.

Gerade im Hinblick auf einen immer stärker werdenden Einsatz der Protokolle Ethernet und des Internet Protocol, IP, ein in Computernetzen weit verbreitetes Netzwerkprotokoll, werden Sicherheitsmechanismen immer wichtiger, so dass das Auto bereits als neuer Angriffspunkt identifiziert wird.

Daher sind neue Sicherheitsmechanismen und Funktionen

notwendig, die das Auto sicherer vor Angriffen machen.

Der Begriff „neu" in Bezug auf Sicherheitsmechanismen und Funktionen umfasst dabei andere Anforderungen wie etwa

Temperatur, Updatefähigkeit, Transport von Menschen,

verminderte Rechenleistung.

Die Aufgabe der Erfindung ergibt sich in der Definition von Mechanismen und Protokollen, um das Fahrzeugnetzwerk sicherer und effizienter zu machen. Ethernet und Funktechnologien erfahren zurzeit erst Einzug in das Automobil und diese bergen durch ihre offenen und standardisierten Protokolle erstmals die Möglichkeiten das Auto auch von außen

anzugreifen .

Es ist eine Aufgabe der vorliegenden Erfindung, eine

verbesserte Vorrichtung zum Absichern von eingangsseitigen und ausgangsseitigen Datenverkehr eines Echtzeit-Ethernet- Datennetzwerk für ein Kraftfahrzeug breitzustellen.

Diese Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Weiterbildungen und Ausführungsformen sind den abhängigen Patentansprüchen, der Beschreibung und den Figuren der Zeichnungen zu entnehmen.

Ein erster Aspekt der vorliegenden Erfindung betrifft eine Vorrichtung zum Absichern eines Echtzeit-Ethernet- Datennetzwerks für ein Kraftfahrzeug, die Vorrichtung

umfassend: eine Datenbankeinrichtung, welche dazu ausgebildet ist, einstellbare Netzwerkkonfigurationen und einstellbare Sicherheitseinstellungen für das Echtzeit-Ethernet- Datennetzwerks abzuspeichern sowie mindestens eine aktuell verwendete Netzwerkkonfiguration und mindestens eine aktuell verwendete Sicherheitseinstellung für das Echtzeit-Ethernet- Datennetzwerks abzuspeichern; und eine Steuereinrichtung, welche dazu ausgebildet ist, zwischen einem Antennenmodul des Echtzeit-Ethernet-Datennetzwerks und einem Steuergerät des Kraftfahrzeuges gekoppelt zu werden, und welche ferner dazu ausgebildet ist, aktuell übermittelten Datenverkehr zwischen dem Antennenmodul und dem Steuergerät des Kraftfahrzeuges mit zu erwartendem Datenverkehr basierend auf einer

Datenverkehrsschätzung unter Verwendung der abgespeicherten aktuell verwendeten Netzwerkkonfiguration und der

abgespeicherten aktuell verwendeten Sicherheitseinstellung zu vergleichen und ein Vergleichsergebnis zu speichern.

Mit anderen Worten ausgedrückt, die vorliegende Erfindung stellt ein technisches System in einem Fahrzeug bereit, welches es erlaubt, jeden eingangsseitigen und

ausgangsseitigen Datenverkehr (z. B. vom/zum Antennenmodul kommend/abgehend) zu prüfen und zu filtern, um Angriffe zu erkennen und effektiv zu unterbinden. Das Antennenmodul kann auch als eine Connectivity-Einheit ausgebildet sein.

Die Vorrichtung kann ferner auch dazu ausgebildet sein, zunächst zu berechnen welche Netzwerkkonfiguration und

Sicherheitseinstellung jeweils notwendig sind.

Mit anderen Worten ausgedrückt, die vorliegende Erfindung umfasst hierzu ein Systemdesign, um ein Steuergerät

auszugestalten, welches die Aufgabe hat, Angriffe abzuwehren und das Fahrzeug-Netzwerk in einem sicheren Zustand zu halten bzw. in einen sicheren Zustand zu

überführen .

Dieses Steuergerät, im Folgenden auch „Filter ECU" - Abkürzung für Englisch „Electronic Control Unit" ein

Steuergerät oder ein Mikrocontroller - genannt, nutzt dabei beispielsweise dynamisch veränderbare Datenbanken.

Die Datenbanken können dabei beispielsweise Daten in der Form einer Kommunikationsmatrix und einer Sicherheitskonfiguration umfassen, um den aktuellen Stand der Netzwerkkonfiguration hinsichtlich der Datenübertragung und Sicherheitsmechanismen abzufragen und zu speichern. Die Datenbanken können

beispielsweise dazu ausgebildet sein, dynamisch verändert zu werden und/oder bei neuem Datenverkehr individuell neu beschrieben zu werden.

Diese Datenbanken können auch als Teil der Filter ECU

realisiert werden. Dabei wird dies nicht zwangsweise in einer neuen ECU realisiert, sondern kann auch mit den

vorgeschlagenen Komponenten und Funktionen optional auch in einer bereits vorhandenen ECU abgebildet werden.

Die vorliegende Erfindung ermöglicht vorteilhaft, Sicherheit für Echtzeit-Ethernet zu realisieren.

Der Kern der Erfindung ist es, dass zum einen die Sicherheit des Fahrzeugnetzwerks bei nahezu gleichen Kosten erhöht wird und zum anderen eine Redundanz für Sicherheitsmechanismen geschaffen wird.

Mit dem Einzug von Ethernet sind u. a. auch Mechanismen notwendig, die sich einfache Techniken und gegebenen Eigenschaften von Technologien zu Nutze machen, um auf teure Implementierungen und weitere zusätzliche Hardware verzichten zu können.

Die vorliegende Erfindung ermöglicht durch eine individuelle Gestaltung von Filterregeln, beispielsweise bis zu einer Länge von 128 Byte, das beispielsweise auch sehr große Paket- Header analysiert werden können. Die vorliegende Erfindung erlaubt daher eine Sicherstellung der Firewall bei hoher Datenlast und im Fehlerfall. Die vorliegende Erfindung ermöglicht durch eine individuelle Gestaltung von

Filterregeln, beispielsweise bis zu einer Länge von 128 Byte, das beispielsweise auch sehr große Header analysiert werden können .

Bei einem Fehler auf einem CAN- oder LIN-Bus sind die

Controller stets in der Lage die Paketflut zu beherrschen, selbst wenn die Bussysteme zu 100% ausgelastet sind. Ältere Bussysteme unterstützen zu neuer Bussystemen relativ gesehen nur langsamere Datenraten. Ethernet jedoch kann Datenraten erreichen, die wie beschrieben übliche automotive Controller sehr schnell überlasten können, was ein „denial of Service" bedeuten würde, d.h. der Controller kann seine ursprüngliche Aufgabe nicht mehr berechnen, da er mit der Annahme und

Verarbeitung von zu viel Daten beschäftigt ist.

Die vorliegende Erfindung ermöglicht vorteilhaft, dass auch bei Verbindungen mittels LTE, 100Mbit/s Ethernet, oder gar 1000 Mbit/s, 2,5Gbit/s, 5Gbit/s, 10Gbit/s Ethernet oder mittels kabelgebundener oder drahtloser Datennetze eine

Absicherung des Datenverkehrs im Fahrzeugnetzwerk erfolgen kann . Die Steuereinrichtung, welche dazu ausgebildet ist

beispielsweise zwischen einem Antennenmodul des Echtzeit- Ethernet-Datennetzwerks und einem Steuergerät des

Kraftfahrzeuges gekoppelt zu werden, verfügt in einem

Ausführungsbeispiel der vorliegenden Erfindung über eine Hardware-Unterstützung in der Form eines integrierten

Schaltkreises oder eines Mikrocontrollers aufweist.

Es können beispielsweise auch mehr als ein Antennenmodul auf der einen Seite, und beispielsweise mehr als ein Steuergerät (ECU) auf der anderen Seite vorgesehen sein.

Die Steuereinrichtung ist dazu ausgebildet, um Ethernet- Datenströme in Echtzeit zu analysieren und zu manipulieren.

Dies ermöglicht vorteilhaft, sogenannte „Security-Services" und „secure Services" anzubieten wie beispielweise sehr regelmäßige Updates, etwa im Minutenbereich.

Die Begriffe „Security Services" und „secure Services" steht für eine Vielzahl von Softwaremodulen, die dazu dienen, die Betriebsbereitschaft eines Fahrzeugnetzwerkes für den gewünschten Einsatzzweck zu erhalten, die Verfügbarkeit von Daten sicherzustellen bzw. einzuschränken und Zugriffsrechte auf das System des Kraftfahrzeuges abzusichern.

Die Begriffe „secure Service" und „Security Service" wie von der vorliegenden Erfindung verwendet, können dabei wie folgt definiert sein.

Unter dem Begriff „Security Service" kann folgendes

verstanden werden: Ein Dienst der Datenschutz bereitstellt oder erhöht, beispielsweise Virenscanner, Firewall, Intrusion Detection System, IDS.

Unter dem Begriff „secure Service" kann folgendes verstanden werden: Ein beliebiger Dienst (ausdrücklich NICHT auf

Security beschränkt) , welcher dank geeigneter Maßnahmen

(Verschlüsselung, Virenprüfung etc. mittels der Security Services) vertraulich, integer und authentifiziert ist, beispielsweise ein Live-Kartenupdate, Aufrufen von

Webdiensten, Onlinebanking.

Die Steuereinrichtung ist beispielsweise dazu ausgebildet, eine frühzeitigere Erkennung von Angriffen und Fehlverhalten durchzuführen .

Durch die mehrfache Integration der Sicherheitsfunktionen im Bordnetz können so schon vor der eigentlichen Firewall ein Angriff/Fehler erkannt werden und viel schneller

Gegenmaßnahmen eingeleitet werden. Die Steuereinrichtung ist beispielsweise dazu geeignet, Fehler zu erkennen und zu melden .

Die Steuereinrichtung ist beispielsweise dazu ausgebildet, dass die Vorrichtung auffälligen und unerwünschten

Datenverkehr im Netzwerk erkennt, das Fahrzeugnetzwerk davon isoliert und den Datenverkehr abschwächt oder ganz

unterbindet. Bei dem auffälligen Datenverkehr könnte es sich auch um Angriffe oder auch Fehlfunktionen gegen das

Fahrzeugnetzwerk handeln.

Die Steuereinrichtung ist beispielsweise dazu ausgebildet, den Standard IEEE 802. lQci-2017 zu verwenden. Ferner kann die Steuereinrichtung unter weiteren als Time-Sensitive

Networking, TSN, bezeichneten Standards arbeiten.

Die Steuereinrichtung ist beispielsweise dazu ausgebildet, dass bei sicherheitskritischen Anwendungen wie OTA-Software- Update (OTA: Over-the-Air) die Filter gesetzt und geprüft werden. Hierzu soll vorab geprüft (DB oder per Protokoll) werden ob eine kritische Anwendung gestartet wurde. Dies kann OTA sein oder auch ein spezieller Empfänger, Absender, eine hohe Datenrate usw., speziell angepasst an die jeweiligen Anforderungen des Updates bzw. und den Möglichkeiten des Bordnetzes .

Die Steuereinrichtung ist beispielsweise dazu ausgebildet, ständig aktiv zu sein, d.h. wenn eine Online-Verbindung zum und/oder vom Kraftfahrzeug - vom Fahrzeugnetzwerk - erforderlich wird oder aktiv ist und überwacht dann den

Datenverkehr. Sollte ein Angriff erfolgen, wie eine erkannte Anomalie des Datenverkehrs, so kann dies sofortige

Abwehrmaßnahmen auslösen.

Die vorliegende Erfindung ermöglicht vorteilhaft, dass das System aus kombinierter Computer-Hardware und speziell auf diese Hardware optimierter Software - auch Appliance genannt - also nicht auf Signaturen angewiesen sind, sondern mithilfe bereits identifizierter Angriffsmuster arbeiten und

Verhaltensanalysen durchführen kann.

Vorteilhafte Ausgestaltungen der vorliegenden Erfindung sind den Unteransprüchen zu entnehmen.

In einer vorteilhaften Ausführungsform der vorliegenden

Erfindung ist vorgesehen, dass die Steuereinrichtung dazu ausgebildet ist, basierend auf dem Vergleichsergebnis den Datenverkehr zwischen dem Antennenmodul und dem Steuergerät des Kraftfahrzeuges zu unterbrechen und/oder anzupassen und/oder aufrechtzuerhalten und/oder fortzusetzen.

In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Steuereinrichtung dazu ausgebildet ist, das Vergleichsergebnis des aktuell

übermittelten Datenverkehrs mit dem zu erwartenden

Datenverkehr ferner basierend auf Angriffsmuster und/oder Verhaltensanalysen zu ermitteln, um eine Anomalie des

Datenverkehrs zu erfassen.

In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Datenbankeinrichtung als ein Datenfiltermodul ausgebildet ist.

In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Steuereinrichtung dazu ausgebildet ist, das Vergleichsergebnis zu übermitteln.

In einer vorteilhaften Ausführungsform der vorliegenden Erfindung ist vorgesehen, dass die Steuereinrichtung dazu ausgebildet ist, Datenverkehr mit berechenbaren und

garantierten Ende-zu-Ende Latenzen zu analysieren.

Die beschriebenen Ausgestaltungen und Weiterbildungen lassen sich beliebig miteinander kombinieren.

Weitere mögliche Ausgestaltungen, Weiterbildungen und

Implementierungen der vorliegenden Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsformen beschriebenen Merkmale der vorliegenden Erfindung.

Die beiliegenden Zeichnungen sollen ein weiteres Verständnis der Ausführungsformen der vorliegenden Erfindung vermitteln.

Die beiliegenden Zeichnungen veranschaulichen

Ausführungsformen und dienen im Zusammenhang mit der

Beschreibung der Erklärung von Konzepten der vorliegenden Erfindung .

Andere Ausführungsformen und viele der genannten Vorteile ergeben sich im Hinblick auf die Figuren der Zeichnungen. Die dargestellten Elemente der Figuren der Zeichnungen sind nicht notwendigerweise maßstabsgetreu zueinander gezeigt.

Es zeigen:

Fig. 1: eine schematische Darstellung einer Vorrichtung zum

Absichern eines Echtzeit-Ethernet-Datennetzwerks für ein Kraftfahrzeug gemäß einem

Ausführungsbeispiel der vorliegenden Erfindung;

Fig. 2: eine schematische Darstellung einer generellen

Funktionsweise und Einbettung der Filter-ECU gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;

Fig. 3: eine schematische Darstellung von

anwendungsspezifischen Filterregeln gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;

Fig. 4 eine schematische Darstellung einer optional

vorangehenden Abfrage und Prüfung der ECU- Kapazitäten und Einstellung der Filter gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;

Fig. 5: eine schematische Darstellung einer

Anwendungsspezifische Filterregelsetzung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;

Fig. 6: eine schematische Darstellung eines

Anwendungsstarts und einer Prüfung des Setzens der

Filterregeln gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;

Fig. 7: eine schematische Darstellung einer Anomalie- Detektion und Anpassung der Filtereinstellungen gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;

Fig. 8: eine schematische Darstellung eines

Anwendungsbeispiels mit einem Ausführungsbeispiel der vorliegenden Erfindung;

Fig. 9: eine schematische Darstellung einer Absicherung und

Konfiguration der Filter vor einer OTA-Funktion gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;

Fig. 10: eine schematische Darstellung der Filterregeln am

Beispiel des Qci-Standards gemäß einem

Ausführungsbeispiel der vorliegenden Erfindung; und

Fig. 11: eine schematische Darstellung des Aufbaus der

Filter ECU und seinen wichtigsten Komponenten und Regelgrößen gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.

In den Figuren der Zeichnungen bezeichnen gleiche

Bezugszeichen gleiche oder funktionsgleiche Elemente,

Bauteile, Komponenten oder Verfahrensschritte, soweit nichts Gegenteiliges angegeben ist.

Die Fig. 1 zeigt eine schematische Darstellung einer

Vorrichtung zum Absichern eines Echtzeit-Ethernet- Datennetzwerks für ein Kraftfahrzeug gemäß einem

Ausführungsbeispiel der vorliegenden Erfindung.

Fig. 2 zeigt eine schematische Darstellung einer generellen Funktionsweise und Einbettung der Filter-ECU gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.

Fig. 3 zeigt eine schematische Darstellung von

anwendungsspezifischen Filterregeln gemäß einem

Ausführungsbeispiel der vorliegenden Erfindung.

Folgende Beispiele für Filterregeln sind dabei möglich, wobei ebenso auch weitere Filter, Regeln, Kennzahlen verwendet werden können.

Eine Beschränkung auf maximal 1 Paket/Sekunde oder auf eine maximale Paketgröße von 20 Byte.

Eine Beschränkung auf maximal 8000 Pakete/Sekunde oder auf eine maximale Paketgröße von 1400 Byte. Definierte IP Absenderadresse zum Zwecke der

ZeitSynchronisation .

Fig. 4 zeigt eine schematische Darstellung einer

vorangehenden Abfrage und Prüfung der ECU-Kapazitäten und Einstellung der Filter gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.

Diese Funktion erstellt je nach Bedarf eine hochaktuelle Datenbank bzw. umfasst eine wesentliche Systemabfrage. Je nach Kapazität werden die Regeln so angepasst, dass die ECU entlastet werden kann bzw. diese neu eintreffenden Daten noch aufnehmen kann.

Fig. 5 zeigt eine schematische Darstellung einer

anwendungsspezifischen Filterregelsetzung gemäß einem

Ausführungsbeispiel der vorliegenden Erfindung.

Fig. 5 zeigt eine schematische Darstellung einer l:n, d.h. „Eins zu Viele"-Beziehung . Auf einer ECU können beliebig viele Anwendungen und somit unterscheidbare Datenströme existieren. Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung wird dabei detailliert, spezifisch je Anwendung und/oder je Datenstrom gegen individuelle

Kommunikationsprofile geprüft.

Fig. 6 zeigt eine schematische Darstellung eines

Anwendungsstartes und einer Prüfung des Setzens der

Filterregeln gemäß einem Ausführungsbeispiel der vorliegenden Erfindung . Fig. 7 zeigt eine schematische Darstellung einer Anomalie- Detektion und Anpassung der Filtereinstellungen gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.

Dabei kann eine Wiederholung der Prüfung der von extern kommenden Kommunikation solange erfolgen, bis eine

Konnektivität besteht.

Mit anderen Worten ausgedrückt, die „Konnektivität" besteht quasi durchgehend und die Prüfung auf Datenstrommuster, d.h. ob vorgeschriebene Charakteristiken des Datenstroms

durchgehend eingehalten werden und nicht vom definierten Sollwert abweichen, wird durchgehend idealerweise für jedes einzelne Datenpaket gemacht. Es kann also beispielsweise vorgesehen sein, dass der Datenstrom schon seit einer

vorbestimmten Zeitspanne, etwa für bis zu 2 Minuten, besteht und innerhalb der vorbestimmten Zeitspanne nur regelmäßig, d.h. zu erwartende Datenstrommuster auftreten.

Fig. 8 zeigt eine schematische Darstellung eines

Anwendungsbeispiels der vorliegenden Erfindung.

Die Fig. 8 zeigt beispielsweise den Fall eines Wechsels der IP- und/oder Ethernet-Adresse bei einer Anomaliedetektion.

Fig. 9 zeigt eine schematische Darstellung einer Absicherung und Konfiguration der Filter vor einer OTA-Funktion gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;

Fig. 10 zeigt eine schematische Darstellung der Filterregeln am Beispiel des Qci-Standards gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; und Fig. 11 zeigt eine schematische Darstellung des Aufbaus der Filter ECU und ihrer wichtigsten Komponenten und Regelgrößen gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.

Vom Ethernet-TSN Switch werden dann Ethernet-Daten an weitere nicht dargestellte Schnittstellen übertragen.

Dabei kann gemäß einem Ausführungsbeispiel der vorliegenden Erfindung die ECU bzw. deren Funktionalität auch ein Teil einer bestehenden ECU sein.

Obwohl die vorliegende Erfindung anhand bevorzugter

Ausführungsbeispiele vorstehend beschrieben wurde, ist sie nicht darauf beschränkt, sondern auf vielfältige Art und Weise modifizierbar. Insbesondere lässt sich die Erfindung in mannigfaltiger Weise verändern oder modifizieren, ohne vom Kern der Erfindung abzuweichen.

Ergänzend sei darauf hingewiesen, dass „umfassend" und „aufweisend" keine anderen Elemente oder Schritte ausschließt und „eine" oder „ein" keine Vielzahl ausschließt.

Ferner sei darauf hingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener

Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen.