BESCHREIBUNG:

Die Erfindung betrifft ein Verfahren zur Konfiguration eines Netzwerks, ins besondere in einem Kraftfahrzeug. Daneben betrifft die Erfindung ein Kraft fahrzeug. In Kraftfahrzeugen werden mittlerweile eine große Anzahl von Komponenten genutzt, die miteinander kommunizieren sollen. Dies kann zumindest zum Teil über Netzwerke, beispielsweise über Ethernet, erfolgen, wobei es mit zunehmender Komplexität entsprechender Netzwerke vorteilhaft sein kann, nicht ausschließlich Hardwareadressen von Komponenten zur Kommunikati- on zu nutzen, sondern auch ein Routing, beispielsweise auf Basis des IP- Protokolls, zu ermöglichen.

Für unterschiedliche Komponenten des Kraftfahrzeugs können deutlich un terschiedliche Sicherheitsanforderungen gelten. Beispielsweise soll ein Mul- timediasystem problemlos extern bereitgestellte Inhalte wiedergeben kön nen, während ein externer Zugriff auf Komponenten, die unmittelbar in den Fährbetrieb eingreifen können, beispielsweise auf Fahrerassistenzsysteme, nur unter strikten Auflagen und von vertrauenswürdigen Komponenten aus erfolgen soll. Hierbei kann es ausreichend sein, statisch festzulegen, welche Komponenten auf welche Weise mit welchen anderen Komponenten kom munizieren können. Es kann jedoch vorteilhaft sein, eine solche Konfigurati on dynamisch anpassen zu können, beispielsweise wenn eine Fehlfunktion einer Komponente oder eine Kompromittierung einer Komponente erkannt wird. In klassischen Netzwerken kann eine Steuerung des Kommunikationszugriffs auf bestimmte Komponenten durch eine sogenannte Firewall erfolgen, wobei eine Software, die insbesondere auf einem separaten System ausgeführt wird, eingehende bzw. ausgehende Pakete sichtet und filtert. Dies könnte in einem Kraftfahrzeug beispielsweise dadurch implementiert werden, dass ein Embedded-System genutzt wird, das beispielsweise das iptables bzw. nftables-Framework implementiert. Hierbei ist es beispielsweise aus der Druckschrift EP 2 501 101 A1 auch bekannt, eine Firewall als System-on-a- Chip zu implementieren.

Nachteilig an der Verwendung einer zentralen Firewall-Instanz, die sowohl mehrere physische Verbindungen (ports) als auch mehrere logische Verbin dungen (sockets) gleichzeitig überwachen muss, ist es, dass hierdurch der Datendurchsatzes des Netzwerkes begrenzt werden kann und zusätzliche Latenzzeiten resultieren können. Insbesondere zusätzliche Latenzzeiten können jedoch in kraftfahrzeugseitigen Netzwerken problematisch sein, da diese auch zur Kommunikation im Rahmen von Echtzeitaufgaben, beispiels weise von Fahrerassistenzsystemen, genutzt werden sollen. Sollen Latenzen minimiert und Datendurchsätze maximiert werden, können aus den rechenin tensiven Anforderungen firewallbasierter Lösungen ein hoher Hardwareauf wand und somit hohe Kosten und ein hoher Energieverbrauch resultieren.

Eine mögliche Alternative zur Nutzung einer dedizierten Firewall ist eine Fil terung der Kommunikation über Switches im Netzwerk. Hierbei kann übli cherweise der sogenannte „Wire Speed“ also der maximale Durchsatz des Netzwerkes unverändert aufrechterhalten werden. Klassische Switches im plementieren eine Multiport Bridge, die an einem physikalischen Anschluss eingehende Frames in Abhängigkeit von darin enthaltenen Hardwareadres sen, sogenannten MAC-Adressen, an einen weiteren physikalischen An schluss weiterleiten. Hierdurch stehen zunächst nur sehr eingeschränkte Funktionen zur Filterung einer Kommunikation zur Verfügung. Beispielsweise können für bestimmte Geräte nur Kommunikationen von bestimmten MAC- Adressen zugelassen oder ausgeschlossen werden. Mittlerweile werden zum Teil auch Routing-Funktionen durch Switches be reitgestellt. Sogenannte Layer-3-Switches bzw. allgemein Switches, die In formationen zusätzlicher Layer berücksichtigen können, werten zur Vermitt lung von Frames bzw. Paketen auch Informationen aus höherliegenden Schichten des OSI-Schichtenmodells aus. Beispielsweise kann beim Inter netprotokoll eine Flerkunfts- bzw. Ziel-IP-Adresse, das verwendete Protokoll und/oder ein Port berücksichtigt werden. Flierdurch wären die durch Switches implementierten Funktionen zur Kommunikationsfilterung ausreichend, um zumindest einen Großteil der im Fahrzeug gewünschten Funktionen zur Kommunikationssteuerung umzusetzen.

Problematisch ist hierbei jedoch, dass verschiedene Hersteller bzw. ver schiedene Modelle bzw. verschiedene Firmware-Versionen unterschiedliche Funktionen bereitstellen und in der Regel auch auf unterschiedliche Weise konfiguriert werden müssen. Einige Switches müssen über eine hersteller spezifische Hardwareschnittstelle konfiguriert werden. Selbst Switches, die eine Konfiguration über Standardprotokolle, beispielsweise über eine über eine serielle Schnittstelle, Telnet, Secure Shell oder Ähnliches bereitgestellte Kommandozeile, das Simple Network Management Protocol oder Webbrow ser zulassen, unterscheiden sich bezüglich der genutzten Befehlssyntax bzw. der genutzten Arbeitsabläufe zur Konfiguration. Daher können Konfigu rationen nicht zwischen verschiedenen Switches ausgetauscht werden. Wer den somit beispielsweise in der gleichen Bauserie Switches unterschiedlicher Hersteller genutzt bzw. sollen ähnliche Netzwerkkonfigurationen über Mo dellserien hinweg konfiguriert werden, die unterschiedliche Switches nutzen, müssen Ansteuersequenzen zur Konfiguration für die verschiedenen Swit ches separat entwickelt und gewartet werden. Werden zudem mehrere ver schiedene Switches im gleichen Netzwerk genutzt, erschwert die Nutzung unterschiedlicher Befehlssätze die Konfiguration des Netzes erheblich.

Der Erfindung liegt somit die Aufgabe zugrunde, einen verbesserten Ansatz zur Konfiguration von Netzwerken, insbesondere innerhalb von Kraftfahrzeu- gen, anzugeben, der insbesondere eine Konfiguration von Routing- und/oder Firewallregeln in Netzwerken mit verschiedenen Switches erleichtert.

Die Aufgabe wird erfindungsgemäß durch ein Verfahren zur Konfiguration eines Netzwerkes, insbesondere in einem Kraftfahrzeug, das wenigstens einen ersten und einen zweiten Switch umfasst gelöst, dass die folgenden Schritte umfasst:

Bereitstellen einer ersten Konfigurationsinformation für den ersten Switch und einer zweiten Konfigurationsinformation für den zweiten Switch ge mäß einer gemeinsamen Syntax,

Umsetzen der ersten Konfigurationsinformation in eine erste Steuerin formation und der zweiten Konfigurationsinformation in eine zweite Steu erinformation durch ein jeweiliges Verarbeitungsmodul, wobei sich eine Syntax der ersten Steuerinformation von einer Syntax der zweiten Steu erinformation unterscheidet,

Ansteuern des ersten Switches gemäß der ersten Steuerinformation und des zweiten Switches gemäß der zweiten Steuerinformation.

Der Erfindung liegt die Idee zugrunde, Konfigurationsinformationen für Swit ches in dem Netzwerk zunächst in einer gemeinsamen Syntax zu definieren. Da wie obig erläutert für unterschiedliche Switches bzw. Switches mit unter schiedlichen Firmwareversionen potentiell unterschiedliche Steuerinformati onen zur Einstellung der gleichen Konfiguration erforderlich sind, werden Verarbeitungsmodule, die insbesondere eine Art Softwaretreiber für den je weiligen Switch bilden können, genutzt, um die jeweilige in der gemeinsamen Syntax formulierte Konfigurationsinformation in die spezifischen zum Errei chen einer entsprechenden Konfiguration erforderlichen Steuerinformationen zu übersetzen.

Flierdurch wird der Vorteil erreicht, dass unabhängig von den zur Konfigurati on des konkreten Switches erforderlichen Steuerinformationen die Konfigura tion zunächst in einer gemeinsamen Syntax für alle Switche beschrieben werden kann. Dies erleichtert eine Konfiguration mehrerer Switches erheb lich, insbesondere wenn die gemeinsame Syntax an eine im Bereich des Routings bzw. von Firewallkonfigurationen übliche Syntax anlehnt ist bzw. dieser entspricht. Beispielsweise kann sich die gemeinsame Syntax an eine Syntax anlehnen oder dieser entsprechen, die zur Konfiguration im iptables- bzw. nftables-Framework genutzt wird. Allgemein wird vorzugsweise eine gemeinsame Syntax genutzt, die sich an die menschliche Sprache anlehnt. Dies wird auch als „human readable“ bezeichnet. Vorzugsweise unterschei det sich die gemeinsame Syntax sowohl von der Syntax der ersten Steuerin formation als auch von der Syntax der zweiten Steuerinformation. Werden mehr als zwei Switches genutzt, kann die Syntax jeder der genutzten Steuer informationen von der gemeinsamen Syntax abweichen bzw. die Syntax von Steuerinformationen für wenigstens zwei der Switches kann von der gemein samen Syntax abweichen.

In dem erfindungsgemäßen Verfahren erfordert ein Wechsel eines bestimm ten Switches bzw. eine Anwendung der gleichen Konfiguration auf ein Netz werk, das einen anderen Switch umfasst, nur die Nutzung eines anderen Verarbeitungsmoduls. Die Konfigurationsinformationen selbst können unver ändert bleiben, wodurch der Entwicklungsaufwand erheblich reduziert wird.

Das erfindungsgemäße Verfahren ist insbesondere dann vorteilhaft, wenn, wie später noch genauer erläutert werden wird, eine dynamische Anpassung der Konfiguration erfolgen soll, beispielsweise wenn eine Fehlfunktion oder eine Kompromittierung einer Komponente des Netzwerks erkannt wird. In diesem Fall kann eine entsprechende Modifikation unabhängig davon, die Konfiguration welches Switches bzw. welcher Switches geändert werden soll, in der gemeinsamen Syntax vorgegeben werden, wodurch entspre chende Konfigurationsänderungen erheblich einfacher implementiert werden können.

Das erfindungsgemäße Verfahren kann insbesondere auch verwendet wer den, wenn das Netzwerk mehr als zwei Switches umfasst, die sich bezüglich der Syntax ihrer jeweiligen erforderlichen Steuerinformation unterscheiden. Beispielsweise kann für mehr als zwei Switches eine jeweilige Konfigurati onsinformation in der gemeinsamen Syntax bereitgestellt werden, die durch ein jeweiliges Verarbeitungsmodul in die Syntax der von dem jeweiligen Switch erforderlichen Steuerinformation umgesetzt wird, wonach der jeweili ge Switch durch die entsprechende Steuerinformation angesteuert werden kann.

Die gemeinsame Syntax bzw. die Syntax wenigstens einer der Steuerinfor mationen kann mögliche Befehle definieren. Die jeweilige Konfigurationsin formation bzw. Steuerinformation kann somit insbesondere eine Befehlsliste sein. Alternativ kann die jeweilige Syntax ein Format von zu nutzenden Kon figurationsdaten vorgegeben, beispielsweise eine Datenreihenfolge, Feldlän gen für einzelne Konfigurationsdaten, etc.

Das Verarbeitungsmodul kann als separates Flardwaremodul ausgebildet sein. Bevorzugt ist das Verarbeitungsmodul jedoch ein Softwaretreiber. Hier bei können die Verarbeitungsmodule bzw. Softwaretreiber von einer gemein samen Verarbeitungseinrichtung ausgeführt werden oder auf einer jeweiligen Verarbeitungseinrichtung, die dem jeweiligen Switch zugeordnet ist.

Der Begriff Netzwerk ist im vorliegenden Dokument breit auszulegen. Zwar ist das Netzwerk in einer bevorzugten Ausgestaltung ein Netzwerk, in dem zumindest Funktionen gemäß der dritten Schicht des OSI-Schichtenmodells implementiert sind, also insbesondere eine Routing von Paketen über meh rere Einrichtungen. Es können jedoch auch Netze genutzt werden, die nur Funktionen niedrigerer Schichten implementieren, also z.B. ein Ethernet oh ne zusätzliches Routing. Auch Einrichtungen, bei denen eine jeweilige Kom munikation zwischen zwei Einrichtungen durch Punkt-zu-Punktverbindungen erfolgt, jedoch durch schalten der Switches unterschiedliche Einrichtungen miteinander kommunizieren können, werden in diesem Dokument als Netz werk betrachtet. Somit kann es sich bei dem Netzwerk z.B. auch um ein Netzwerk aus mehreren über die Switches verbundenen PCI Express- Einrichtungen oder Ähnliches handeln.

Das Ansteuern des ersten und/oder oder zweiten Switches kann für wenigs tens eine physikalische erste Schnittstelle vorgegeben, Datenframes und/oder Datenpakete mit welchen Parametern von wenigstens einer physi kalischen zweiten Schnittstelle zu der ersten Schnittstelle übertragen werden und/oder umgekehrt. Hierbei kann die Ansteuerung insbesondere Regeln für Firewallfunktionen vorgeben, also vorgegeben, Datenframes bzw. Datenpa kete mit welchen Parametern verworfen werden bzw. passieren dürfen. Er gänzend oder alternativ kann die Ansteuerung auch Regeln für ein Routing vorgeben.

Als Parameter können eine für ein Routing genutzte Zieladresse und/oder Herkunftsadresse und/oder eine Hardwareadresse einer Ziel- und/oder Her kunftseinrichtung und/oder ein verwendetes Protokoll und/oder eine Port- Nummer und/oder eine Kennung eines durch eine Einrichtung des Netz werks implementierten Dienstes berücksichtigt werden. Die für das Routing genutzte Ziel- bzw. Herkunftsadresse kann insbesondere eine IP-Adresse, beispielsweise eine IPv4- bzw. IPv6-Adresse sein. Als Hardwareadresse kann eine MAC-Adresse verwendet werden. Bezüglich des verwendeten Protokolls kann beispielsweise zwischen der Verwendung eines TCP- Protokolls und eines UDP-Protokolls für das entsprechende Pakete unter schieden werden. Als Ports, die auch als Sockets bezeichnet werden, wer den in den genannten Protokollen Adresszusätze bezeichnet, die als Teil der Netzadresse betrachtet werden können und beispielsweise unterschiedliche Dienste auf dem gleichen Endgerät kennzeichnen. Beispielsweise wird für http-Verbindungen bzw. Webdienste typischerweise der Port 80 verwendet. Kennungen für Dienste, auch Service-ID genannt, können beispielsweise bestimmte netzwerkaufrufbare Funktionen oder andere Dienste, die in höhe ren Schichten des OSI-Schichtenmodells angeordnet sind, betreffen.

In Abhängigkeit der genannten Parameter oder Teile dieser Parameter kön nen insbesondere Whitelists definiert werden, also Listen von Einrichtungen bzw. Gruppen von Einrichtungen, für die eine Kommunikation zugelassen wird, oder Blacklists, also Listen von Geräten oder Gruppen von Geräten, für die eine entsprechende Kommunikation gesperrt wird. Whitelists können bei spielsweise genutzt werden, um sicherzustellen, dass sicherheitsrelevante Endgeräte nur mit definierten anderen Endgeräten kommunizieren können. Blacklists können beispielsweise genutzt werden, um bekannte beschädigte oder kompromittierte Einrichtungen zu blockieren.

Das Ansteuern des ersten Switches gemäß der ersten Steuerinformation und/oder des zweiten Switches gemäß der zweiten Steuerinformation kann das unmittelbare Setzen von Registern des jeweiligen Switches, insbesonde re über eine herstellerspezifische Schnittstelle, und/oder das Senden wenigs tens eines Befehls an den jeweiligen Switch mittels einer Kommandozeilen schnittstelle und/oder eines Hypertext-Übertragungsprotokolls und/oder dem Simple Network Management Protocol und/oder dem Network Configuration Protocol (NETCONF) umfassen. Kommandozeilenschnittstellen können bei spielsweise über eine serielle Schnittstelle des jeweiligen Switches oder auch über das Netzwerk, beispielsweise Telnet oder Secure Shell, imple mentiert sein. Die Steuerinformationen können hierbei Befehle zum Öffnen einer entsprechenden Verbindung und/oder eine Liste von Befehlen, die über eine entsprechende Kommandozeilenschnittstelle, beispielsweise mithilfe der Simulation von Eingaben, abgesendet wird, umfassen. Als Hypertext- Übertragungsprotokoll kann insbesondere das http- bzw. https-Protokoll ver wendet werden. Dies kann beispielsweise vorteilhaft sein, wenn der entspre chende Switch ein Webinterface zur Konfiguration über einen Webbrowser bereitstellt. Die Steuerinformationen können in diesem Fall Benutzereinga ben in einem solchen Webbrowser bzw. aus diesen resultierende Befehle, die über das Hypertext-Übertragungsprotokoll gesendet werden, simulieren, um auch in diesem Fall eine automatische Konfiguration zu ermöglichen.

In dem erfindungsgemäßen Verfahren können Verarbeitungsmodule ver wendet werden, die als ein jeweiligen Softwaretreiber für den jeweiligen Switch implementierende Softwaremodule ausgebildet sind, die gemeinsam auf einer Verarbeitungseinrichtung ausgeführt werden. Hierdurch können die Verarbeitungsmodule mit geringem Hardwareaufwand implementiert werden. Alternativ wäre es beispielsweise möglich, jedes Verarbeitungsmodul durch eine separate Verarbeitungseinrichtung zu implementieren, die dem jeweili gen Switch zugeordnet ist und insbesondere im Bereich des jeweiligen Swit ches angeordnet ist. Dies kann beispielsweise vorteilhaft sein, wenn eine Ansteuerung über eine relativ aufwendige herstellerspezifische Schnittstelle erfolgen soll, die beispielsweise einen direkten Zugriff auf einzelne Register des Switches zur Konfiguration ermöglicht. Die jeweilige Konfigurationsin formation kann in diesem Fall beispielsweise über das Netzwerk oder eine andere relativ einfach aufgebaute Schnittstelle der entsprechenden Verarbei tungseinrichtung zugeführt werden und erst dort erfolgt die Umsetzung auf die potentiell komplex zu implementierende herstellerspezifische Schnittstel le.

Vorzugsweise sind die verwendeten Verarbeitungsmodule und/oder die ver wendete Verarbeitungseinrichtung in das Kraftfahrzeug integriert. Hierbei kann, wie obig erläutert, eine gemeinsame Verarbeitungseinrichtung genutzt werden, die die Verarbeitungsmodule als Softwaretreiber implementiert. Al ternativ kann zu jedem Switch eine zugeordnete Verarbeitungseinrichtung in das Kraftfahrzeug integriert werden, die die diesem Switch zugeordnete Kon figurationsinformation in Steuerinformationen für diesen Switch umsetzt.

In einer alternativen Ausgestaltung wäre es möglich, die Verarbeitungsmodu le fahrzeugextern zu implementieren. Beispielsweise könnte bereits fahr zeugextern eine Umsetzung der Konfigurationsinformationen in Steuerinfor mationen für die einzelnen Switches erfolgen und diese könnten, beispiels weise drahtlos, zum Kraftfahrzeug übertragen werden. Ein entsprechendes Vorgehen kann vorteilhaft sein, wenn die Switches ausschließlich über eine fahrzeugexterne Ansteuerung, beispielsweise im Rahmen der Herstellung des Kraftfahrzeugs und/oder von Wartungsvorgängen, konfiguriert werden sollen. Die Integration der Verarbeitungsmodule bzw. der Verarbeitungsein richtung in das Kraftfahrzeug ermöglicht hingegen auch fahrzeugintern Ände rungen der Konfigurationen der Switches durch gemäß der gemeinsamen Syntax spezifizierte Konfigurationsinformationen, die dann fahrzeugintern in entsprechende Steuerinformationen umgesetzt werden.

Der erste und zweite Switch können sich bezüglich einer verwendeten Hard ware und/oder Firmware des jeweiligen Switches unterscheiden. Beispiels weise können Switches unterschiedlicher Hersteller, unterschiedliche Model- le von Switches oder durch unterschiedliche Firmware programmierte Swit ches verwendet werden. Hierbei ist typischerweise im Rahmen der Konfigu ration des Kraftfahrzeugs bereits bekannt, welche Switches verwendet wer den sollen, so dass bekannt ist, welche Verarbeitungsmodule genutzt wer den sollen, um Steuerinformation für die einzelnen Switches bereitzustellen. Anders ausgedrückt wird beispielsweise manuell oder automatisiert durch ein System, dass auch die in dem Netzwerk genutzten Switches vorgibt, ein passender Softwaretreiber bzw. ein passendes Verarbeitungsmodul für jeden der Switches gewählt, der jeweils dazu dient, die jeweiligen Konfigurationsin formationen in die jeweilige Steuerinformation umzusetzen.

Durch das erste und/oder zweite Verarbeitungsmodul kann jeweils geprüft werden, ob eine durch die erste und/oder zweite Konfigurationsinformation beschriebene jeweilige Sollfunktion jeweils durch den ersten und/oder zwei ten Switch selbst implementierbar ist und anderenfalls kann zusätzlich we nigstens eine weitere Einrichtung des Netzwerks angesteuert werden, um die Sollfunktion gemeinsam mit dem ersten und/oder zweiten Switch zu imple mentieren. Die weitere Einrichtung kann beispielsweise auch die Verarbei tungseinrichtung oder eine der Verarbeitungseinrichtungen sein, die die Ver arbeitungsmodule bzw. ein jeweiliges Verarbeitungsmodul ausführt. Es kann sich jedoch auch um eine beliebig andere Einrichtung handeln.

Beispielsweise kann die Sollfunktion ein Akzeptieren oder Verwerfen von Pakten oder Frames auf Basis eines genutzten Protokolls oder einer Port- Nummer fordern, was durch den Switch, für den die Konfiguration erfolgen soll, nicht unterstützt wird. Eine solche nicht unterstützte Funktion kann im plementiert werden, indem der jeweilige Switch so konfiguriert wird, dass alle potentiell für diese Funktion relevanten Pakete oder Frames durch eine ent sprechende Gatewayfunktion bzw. Routingfunktion an die weitere Einrich tung weitergeleitet werden, die anschließend insbesondere Parameter aus werten kann, die vom Switch nicht berücksichtigt werden, und Pakete bzw. Frames bedarfsgerecht verwerfen oder zur Weiterleitung an den Switch zu rückübermitteln kann. In vielen Anwendungsfällen wird ein Großteil der Entscheidungen bezüglich des Routings oder einer Firewallfunktion für Pakete bzw. Frames bereits durch den jeweiligen Switch selbst durchgeführt und eine Einbeziehung der weiteren Einrichtung ist nur für einen sehr kleinen Teil der Pakete bzw. Fra mes notwendig. Somit können auch Sollfunktionen, die nicht vollständig durch einen Switch selbst implementierbar sind, zumindest zum Teil durch den jeweiligen Switch verwirklicht werden, so dass für die weitere Einrichtung nur ein geringer Verarbeitungsaufwand verbleibt. Die weitere Einrichtung kann somit mit geringem Flardwareaufwand, beispielsweise als Teil einer Verarbeitungseinrichtung, die auch das Verarbeitungsmodul implementiert, implementiert werden.

Durch ein Überwachungsmodul des Kraftfahrzeugs kann der Betrieb wenigs tens einer mit dem Netzwerk verbundenen Einrichtung und/oder eine Kom munikation innerhalb des Netzwerks überwacht werden und bei Erfüllung einer Auslösebedingung, die von dem überwachten Betrieb und/oder der überwachten Kommunikation abhängt, die erste und/oder zweite Konfigurati onsinformation bereitgestellt werden, um die Konfiguration des ersten und/oder des zweiten Switches zu ändern. Das Überwachungsmodul kann durch eine Verarbeitungseinrichtung implementiert werden, die die Verarbei- tungsmodule oder wenigstens eines der Verarbeitungsmodule implementiert. Alternativ können jedoch auch andere Einrichtungen des Netzes genutzt werden.

Bezüglich der Überwachung der Kommunikation können beispielsweise Zah len oder Inhalte von Paketen oder Frames mit gewissen Flerkunfts- oder Zieladressen oder Ähnliches ausgewertet werden. Bei der Überwachung ei ner Einrichtung kann beispielsweise überwacht werden, ob diese Einrichtung in regelmäßigen Abständen ein Signal schickt, das ihre korrekte Funktion indiziert. Es sind jedoch auch komplexere Überwachungen möglich, bei spielsweise eine Abfrage von bestimmten Betriebsparametern, kryptografi- sche Challenge-Response-Verfahren oder Ähnliches. Durch die Überwachung des Betriebs der Einrichtung bzw. der Kommunika tion im Netz kann insbesondere erkannt werden, wenn eine Einrichtung im Netz beschädigt oder kompromittiert ist. Beispielsweise können Hardwa remanipulationen, softwarebasierte Angriffe oder Ähnliches erkannt werden. Werden entsprechende Fehlfunktionen oder Angriffe erkannt, kann es bei spielsweise gewünscht sein, eine Kommunikation einer kompromittierten Ein richtung mit anderen Einrichtungen im Netz vollständig zu blockieren, eine Kommunikation dieser Einrichtung mit bestimmten anderen Einrichtungen selektiv zu blockieren oder beispielsweise auch nur eine Kommunikation über bestimmte Protokolle oder Ports zu blockieren. Um dies zu erreichen, können die Switches durch Generieren einer entsprechenden Konfigurati onsinformation umkonfiguriert werden.

Durch die erfindungsgemäß vorgesehene Umsetzung der jeweiligen Konfigu rationsinformation in eine jeweilige Steuerinformation mithilfe eines jeweili gen Verarbeitungsmoduls bzw. Softwaretreibers wird hierbei der Vorteil er reicht, dass das Überwachungsmodul keine Kenntnisse über die Hardware oder Software der tatsächlich genutzten Switches bzw. die Syntax ihrer Steuerinformation haben muss, da durch das Überwachungsmodul nur eine Konfigurationsinformation in der gemeinsamen Syntax bereitgestellt werden muss. Dies erleichtert die Implementierung eines solchen Überwachungs moduls und die Nutzung in verschiedenen Kraftfahrzeugnetzwerken deutlich.

Neben dem erfindungsgemäßen Verfahren betrifft die Erfindung ein Kraft fahrzeug mit einem Netzwerk, das wenigstens einen ersten und einen zwei ten Switch umfasst, wobei es zur Durchführung des erfindungsgemäßen Ver fahrens eingerichtet ist. Insbesondere implementiert das Kraftfahrzeug bzw. eine Verarbeitungseinrichtung des Kraftfahrzeugs die jeweiligen Verarbei- tungsmodule, die die jeweilige Konfigurationsinformation in die jeweilige Steuerinformation umsetzen, wie bereits obig erläutert wurde. Die Verarbei- tungsmodule bzw. die Verarbeitungseinrichtung, die die Verarbeitungsmodu- le implementiert bzw. eine jeweilige Verarbeitungseinrichtung, die das jewei lige Verarbeitungsmodul implementiert, ist zudem vorzugsweise dazu einge richtet, den jeweiligen Switch gemäß der jeweiligen Steuerinformation anzu- steuern. Die zum erfindungsgemäßen Verfahren diskutierten Merkmale kön nen mit den dort genannten Vorteilen auf das erfindungsgemäße Kraftfahr zeug übertragen werden und umgekehrt.

Weitere Vorteile und Einzelheiten der Erfindung ergeben sich aus den fol genden Ausführungsbeispielen sowie den zugehörigen Zeichnungen. Hierbei zeigen schematisch:

Fig. 1 ein Ausführungsbeispiel eines erfindungsgemäßen Kraftfahr zeugs, das zur Durchführung eines Ausführungsbeispiels des er findungsgemäßen Verfahrens eingerichtet ist, und

Fig. 2 ein Ablaufdiagramm eines Ausführungsbeispiels des erfindungs gemäßen Verfahrens.

Fig. 1 zeigt ein Kraftfahrzeug 2 mit einem fahrzeuginternen Netzwerk 1. Das Netzwerk 1 kann eine Kommunikation zwischen einer Vielzahl von Einrich tungen 5 bis 9 des Netzwerks 1 ermöglichen. Um einerseits eine Anzahl von Kollisionen im Netzwerk 1 zu reduzieren und andererseits durch ein selekti ves Routing bzw. selektive Verbindungen über Gateway zwischen den Ein richtungen 5 bis 9 eine Zugriffssteuerung zu realisieren, sind die Einrichtun gen 5 bis 9 nicht unmittelbar miteinander gekoppelt, sondern mit einer jewei ligen physikalischen Schnittstelle 10 bis 14 der Switches 3, 4 verbunden. Über weitere physikalische Schnittstellen 15, 16 der Switches 3, 4 sind diese miteinander verbunden. Durch die Verwendung mehrerer Switchers kann beispielsweise eine verbesserte Trennung zwischen fahrrelevanten Einrich tungen 8, 9 und eher komfortrelevanten Einrichtungen 5 bis 7 verbessert werden, wobei dennoch ein Informationsaustausch zwischen diesen Einrich tungen 5 bis 9 ermöglicht wird.

Wie für die Einrichtungen 5, 6 dargestellt ist, können mehrere Einrichtungen innerhalb eines durch den jeweiligen Switch 3, 4 implementierten VLAN 36 (Virtual Local Area Network) liegen, innerhalb dem eine Kommunikation ohne ein explizites Routing von Paketen möglich ist. Bei den Switches 3, 4 handelt es sich vorzugsweise um sogenannte Layer-3-Switches, die auch ein Rou ting von Paketen zwischen verschiedenen VLANs 36 bzw. zwischen ver schiedenen Einrichtungen 5 bis 9 ermöglichen.

Aus Übersichtlichkeitsgründen sind in Fig. 1 eine relativ geringe Zahl von Einrichtungen 5 bis 9 und nur zwei Switches 3, 4 dargestellt. Die im Folgen den erläuterte Lehre bezüglich der Nutzung und Konfiguration der Switches 3, 4 lässt sich selbstverständlich auch auf Netzwerke 1 mit einer größeren Zahl von Switches 3, 4 bzw. einer größeren Zahl von Einrichtungen 5 bis 9 übertragen.

Die Switches 3, 4 sind im Kraftfahrzeug 2 jeweils derart konfiguriert, dass sie neben einem Routing von Paketen zwischen den Einrichtungen 5 bis 9 auch Firewallfunktionen implementieren. Hierbei werden im Rahmen der Konfigu ration des jeweiligen Switches 3, 4 für einzelne der Schnittstellen 10 bis 16 oder auch für Gruppen der Schnittstellen 10 bis 16 oder alle Schnittstellen 10 bis 16 Regeln vorgegeben, welche Datenframes bzw. Datenpakete über die jeweilige Schnittstelle empfangen, ausgesendet bzw. weitergeleitet werden sollen. Hierbei werden jeweils Parameter des jeweiligen Datenframes bzw. Datenpakets ausgewertet, wobei beispielsweise eine für das Routing genutz te Zieladresse und/oder Herkunftsadresse und/oder eine Hardwareadresse einer Ziel- und/oder Herkunftseinrichtung und/oder ein verwendetes Protokoll und/oder eine Port-Nummer berücksichtigt werden. Hierbei ist es möglich, Pakete, für die die genannten Parameter oder Teile dieser Parameter be stimmte Werte aufweisen bzw. in bestimmten Wertebereichen liegen, grund sätzlich zu verwerfen. Dies wird auch als Blacklisting bezeichnet und ermög licht es, beispielsweise, eine Kommunikation zu einem bestimmten Port einer bestimmten der Einrichtung 5 bis 9 von einer bestimmten anderen der Ein richtungen 5 bis 9 zu verbieten. Andererseits kann ein Whitelisting erfolgen, bei dem alle Pakete, die eine bestimmte Bedingungen nicht erfüllen, verwor fen werden. Dies kann beispielsweise dazu dienen, einen Zugriff auf einen bestimmten Port einer bestimmten Einrichtung 5 bis 9 nur von einer be stimmten anderen Einrichtung 5 bis 9 zuzulassen oder Ähnliches. Die erläuterte Konfiguration der Switches 3, 4 kann in üblichen Kraftfahrzeu gen 2 bzw. allgemein in Netzwerken 1 relativ aufwendig sein, wenn sich die Hardware der Switches 3, 4 oder eine jeweilige installierte Firmware 34, 35 voneinander unterscheiden. In diesem Fall ist es möglich, dass zur Konfigu ration des ersten Switches 3 eine erste Syntax und zur Konfiguration des zweiten Switches 4 eine hiervon unterschiedliche zweite Syntax erforderlich ist. Hierbei ist es sogar möglich, dass sich bereits die Art der zur Konfigurati on genutzten Schnittstelle unterscheidet. So wäre es beispielsweise möglich, dass der erste Switch über einen Secure Shell Zugriff konfiguriert wird, wäh rend der zweite Switch 4 über einen Webbrowser konfiguriert wird. Selbst in Fällen, in denen beide Switches 3, 4 das gleiche Interface aufweisen, kann die gleiche Konfigurationsaufgabe jedoch unterschiedliche Befehle, unter schiedliche Parameterreihenfolge oder Ähnliches erfordern. Eine Konfigura tion der Switches 3, 4 ist somit sehr aufwendig und Konfigurationen können beispielsweise nicht auf Kraftfahrzeuge 2 übertragen werden, in denen ande re Switchtypen genutzt werden.

Daher wird im Kraftfahrzeug 2 ein Verfahren zur Konfiguration des Netzwer kes 1 genutzt, bei dem eine ersten Konfigurationsinformation 23 für den ers ten Switch 3 und eine zweite Konfigurationsinformation 24 für den zweiten Switch 4 gemäß einer gemeinsamen Syntax bereitgestellt werden und diese Konfigurationsinformationen 23, 24 in die jeweilige Steuerinformationen zur Steuerung des jeweiligen Switches 3, 4 umgesetzt werden. Eine mögliche Implementation eines solchen Verfahrens wird im Folgenden mit zusätzli chem Bezug auf Fig. 2 näher erläutert. Hierbei ist in Fig. 2 aus Übersichtlich keitsgründen ausschließlich die Verarbeitung bzw. Anpassung der ersten Konfigurationsinformation 23 dargestellt. Die Verarbeitung der zweiten Konfi gurationsinformation 24 verläuft entsprechend.

In Schritt S1 werden die ersten Konfigurationsinformation 23 und die zweite Konfigurationsinformation 24 bereitgestellt. Die Konfigurationsinformationen 23, 24 können zunächst eine Ausgangskonfiguration des Netzwerkes 1 bzw. der Switches 3, 4 beschreiben, die beispielsweise bei Auslieferung bzw. nach einer Wartung des Kraftfahrzeugs 2 vorliegen soll. Sie können von ei- ner fahrzeugexternen Einrichtung 22 beispielsweise über eine Kommunikati onseinrichtung 33 des Kraftfahrzeugs 2 an eine Verarbeitungseinrichtung 17 bereitgestellt werden. Die Verarbeitungseinrichtung 17 implementiert Verar- beitungsmodule 18, 19, die dazu dienen, die jeweilige Konfigurationsinforma tion 23, 24 in eine jeweilige Steuerinformation 32 umzusetzen, die zur An steuerung des jeweiligen Switches 3, 4 dient. Hierbei weist die in Fig. 2 dar gestellten Steuerinformation 32 für den ersten Switch 3 eine andere Syntax auf als die nicht dargestellte Steuerinformation für den Switch 4.

Wie in Fig. 2 dargestellt ist, kann die jeweilige Konfigurationsinformation 23 mehrere Sollfunktionen 26 beschreiben, die der jeweilige Switch 3, 4 nach der Konfiguration durchführen soll. So kann beispielsweise gewünscht sein, dass Pakete mit einer bestimmten Ziel- und/oder Herkunftsadresse grund sätzlich verworfen werden, Pakete mit einer anderen Ziel- und/oder Her kunftsadresse grundsätzlich weitergeleitet werden und für wenigstens eine Ziel- und/oder Herkunftsadresse eine Zusatzbedingung gilt, beispielsweise dass nur Pakete mit einer bestimmten Port-Nummer oder einem bestimmten verwendeten Protokoll weitergeleitet werden. Hierbei ist es möglich, dass einige dieser Sollfunktionen durch den jeweiligen Switch 3, 4 für sich ge nommen nicht implementiert werden können.

Da die Eigenschaften des jeweiligen Switches 3, 4 bzw. der jeweiligen Firm ware 34, 35 im jeweiligen Verarbeitungsmodul 18, 19 bzw. in den implemen tierten Softwaretreibern 20, 21 bekannt sind, kann im Schritt S2 zunächst geprüft werden, ob die Sollfunktionen 26 durch den Switch 3, 4 selbst imple mentiert werden können oder ob dies nur mithilfe einer weiteren Einrichtung des Netzwerks möglich ist. Im gezeigten Beispiel wird die Verarbeitungsein richtung 17 als weitere Einrichtung verwendet, prinzipiell wäre es jedoch auch möglich, eine der Einrichtungen 5 bis 9 als weitere Einrichtung zu ver wenden.

Im beschriebenen Beispiel ist es beispielsweise möglich, dass jene Sollfunk tion, die ein verwendetes Protokoll bzw. eine Port-Nummer auswertet, nicht durch den Switch 3 selbst umgesetzt werden kann, da dieser entsprechende Informationen nicht auswertet. Ist dies der Fall, so wird in Schritt S3 eine ab gewandelte Konfigurationsinformation 27 für den Switch 3 generiert, die ei nerseits jene Sollfunktionen 29 umfasst, die durch den Switch 3 selbst im plementiert werden können, und andererseits Sollfunktionen 30 umfasst, die gemeinsam mit Sollfunktionen 31 der weiteren Einrichtung jene ursprüngli chen Sollfunktionen 26 umsetzen, die nicht durch den Switch 3 selbst umge setzt werden können. Beispielsweise kann eine Sollfunktion 30 für den Switch 3 beschreiben, dass Pakete mit einer Ziel- bzw. Herkunftsadresse, für die das verwendete Protokoll bzw. die Port-Nummer ausgewertet werden soll, zu der weiteren Einrichtung geroutet werden sollen und die Sollfunktion 31 kann eine entsprechende Selektion auf Basis des verwendete Protokolls bzw. der Port-Nummer spezifizieren.

Hierbei ist es möglich, dass die weitere Einrichtung unmittelbar Konfigurati onsinformationen 28 gemäß der gemeinsamen Syntax verarbeiten kann. Beispielsweise kann die gemeinsame Syntax der Syntax des iptables- bzw. nftables-Framework entsprechen und ein entsprechendes Framework kann auf der weiteren Einrichtung implementiert sein. Alternativ wäre es auch möglich, die Konfigurationsinformationen 28 in Steuerinformationen umzu setzen, wie im Folgenden für die Konfigurationsinformation 23, 27 erläutert werden wird. Die Konfigurationsinformation 28 wird in Schritt S4 zur weiteren Einrichtung übermittelt, um diese zu konfigurieren.

Die Konfigurationsinformation 27 für den ersten Switch 3 bzw., in dem Fall, dass der Switch 3 selbst alle Sollfunktionen 26 ausführen kann, die Konfigu rationsinformation 23 wird in Schritt S5 durch das erste Verarbeitungsmodul 18 in die Steuerinformation 32 für den ersten Switch 3 umgesetzt, die in Schritt S6 an den ersten Switch 3 gesendet wird.

Das mit Bezug auf die Schritte S2 bis S6 beschriebene Vorgehen für die ers te Konfigurationsinformation 23, den ersten Switch 3 und die erste Steuerin formation 32 wird entsprechend durch das zweite Verarbeitungsmodul 19 für die zweiten Kommunikationsinformation 24, den zweiten Switch 4 und die nicht gezeigte zweite Steuerinformation wiederholt bzw. parallel ausgeführt. Im laufenden Betrieb des Kraftfahrzeugs soll es möglich sein, die Konfigura tion der Switches 3, 4 bedarfsgerecht zu ändern, beispielsweise wenn er kannt wird, dass eine der Einrichtungen 5 bis 9 beschädigt ist bzw. durch eine mechanische Manipulation, Schadsoftware oder Ähnliches kompromit tiert ist. Hierzu kann durch ein Überwachungsmodul 25, das im gezeigten Beispiel ebenfalls durch die Verarbeitungseinrichtung 17 implementiert wird, wie durch die gestrichelten Linien in Fig. 1 angedeutet ist, die Kommunikati on im Netzwerk 1 sowie der Betrieb wenigstens einer der Einrichtungen 5 bis 9 in Schritt S7 überwacht werden. Bezüglich der Kommunikation im Netz werk 1 kann beispielsweise die Häufigkeit bzw. der Inhalt bestimmter Pakete überwacht werden. Zur Überwachung einzelner Einrichtungen 5 bis 9 kann beispielsweise gefordert werden, dass diese innerhalb regelmäßiger Abstän de mit dem Überwachungsmodul 25 kommunizieren. Eine Kompromittierung einzelner Einrichtungen 5 bis 9 kann beispielsweise auch durch kryptografi- sche Challenge-Response-Verfahren oder Ähnliches erkannt werden.

In Schritt S8 wird überprüft, ob eine Auslösebedingung, deren Erfüllung von den in Schritt S7 erfassten Informationen abhängt, erfüllt ist. Ist dies nicht der Fall, so wird die Überwachung in Schritt S7 fortgesetzt. Ist die Auslösebedin gung hingegen erfüllt, wird durch das Überwachungsmodul 25 für wenigstens einen der Switches 3, 4 eine geänderte Konfigurationsinformation 23, 24 vorgeben, die beispielsweise ein Blacklisting einer beschädigten oder kom promittierten Einrichtung 5 bis 9 betrifft. Hierbei wird für die jeweilige Konfigu rationsinformation 23, 24 wie vorangehend bezüglich der fahrzeugexternen Bereitstellung dieser Konfigurationsinformation 23, 24 erläutert, die gemein same Syntax benutzt, die von der konkreten Implementierung der Switches 3, 4 unabhängig ist. Hierdurch müssen Besonderheiten der Switches 3, 4 bzw. ihrer Firmware 34, 35 bei der Implementierung des Überwachungsmo duls 25 nicht bekannt sein. Entsprechende Besonderheiten werden stattdes- sen, wie bereits erläutert, durch die Verarbeitungsmodule 18, 19 bzw. die diese implementierenden Softwaretreiber 20, 21 berücksichtigt.