Verfahren und Vorrichtung zum Betreiben eines Bussystems

Die Erfindung betrifft ein Verfahren zum Betreiben eines Bussystems, insbesondere in einem Kraftfahrzeug, ein Computerprogramm und eine Steuer und-/oder Regeleinrichtung zur Durchführung des Verfahrens sowie ein maschinenlesbares Speichermedium, auf dem das Computerprogramm gespeichert ist.

Stand der Technik

In der nicht vorveröffentlichten DE 10 2016 212 816 ist ein Verfahren zum Betreiben eines Bussystems bekannt, bei dem eine Nachricht des Bussystems empfangen und ihre Validität ermittelt wird, wobei dann, wenn ermittelt wurde, dass die Nachricht„nicht valide" ist, eine Abwehrnachricht an einen designierten Empfänger der Nachricht gesendet wird, wobei die Abwehrnachricht derart ausgebildet ist, dass der designierte Empfänger durch die Abwehrnachricht angewiesen wird, Abwehrmaßnahmen gegen die Nachricht einzuleiten..

Vorteil der Erfindung

Das Verfahren mit den Merkmalen des unabhängigen Anspruch 1 hat den Vorteil, dass irreguläre Eingriffe in einem Netzwerk dieses Bussystems erkannt werden können, und eine weitere Verfügbarkeit des Bussystems besonders einfach sichergestellt werden kann.

Vorteilhafte Weiterbildungen sind Gegenstand der abhängigen Ansprüche.

Offenbarung der Erfindung Der Erfindung liegt der Gedanke zugrunde, Als Methode, einen Angriff abzuwehren, kann statt dem Schicken einer Botschaft mit dem Ziel eine Ersatzreaktion im Empfänger auszulösen (wie aus der DE 10 2016 212 816 bekannt) eine Botschaft mit den originalen, nicht vom Angreifer manipulierten Daten geschickt werden. Dadurch kann der Betrieb im Empfänger ohne Auslösen einer Ersatzreaktion mit den Daten aus dem echten, nicht bösartigen Sender fortgeführt werden.

In einem ersten Aspekt der Erfindung ist daher ein Verfahren zum Betreiben eines Bussystems, bei dem eine Nachricht des Bussystems empfangen und ihre Validität ermittelt wird, wobei dann, wenn ermittelt wurde, dass die Nachricht „nicht valide" ist, eine neue Nachricht an den designierten Empfänger dieser „nicht validen" Nachricht gesendet wird, wobei der Inhalt der neuen Nachricht zuvor als„valide" eingestuft wurde.

Diese hat den Vorteil, dass die Funktion, die hinter dem Versenden der Nachricht steckt, weiterhin zur Verfügung steht.

Insbesondere kann vorgesehen sein, dass der Inhalt der neuen Nachricht gleich dem Inhalt einer vorherigen an den designierten Empfänger gesendeten Nachricht ist, wobei auch die Validität dieser vorherigen Nachricht ermittelt und als „valide" eingestuft wurde.

Hierdurch ist es auf besonders einfache Weise möglich, Leistungsunterbrechungen der genannten Funktion zu vermeiden.

Bei einem Angriff auf eine Komponente eines Kraftfahrzeugs, beispielsweise auf ein automatisiertes Getriebe, welches die Befehle zum Wechsel des Fahrmodus (Parken, Neutral, Drive, Reverse) über ein Bussystem von einer Wahlhebeleinheit bekommt, ergeben sich Vorteile des erfindungsgemäßen Verfahrens wie folgt. Beim Abwehren eines Angriffs mittels Auslösen einer Ersatzreaktion im automatisierten Getriebe (über z.B. falschen CRC), kann zwar der Angriff in dem Sinne abgewehrt werden, dass der Angreifer nicht in der Lage ist, an einer Ampel den Rückwärtsgang einzulegen. Allerdings ist es u.U. möglich, dass die Ände- rung des Fahrmodus über die Wahlhebeleinheit für den Fahrer durch die Ersatzreaktion ebenfalls nicht mehr möglich ist.

Dadurch ist es denkbar, dass das Fahrzeug u.U. nicht mehr zu 100% fahrbereit wäre. Wird statt dem Schicken einer Botschaft zur Auslösung einer Ersatzreaktion, die originale Botschaft der Wahlhebeleinheit als Abwehr verwendet, bleibt die Funktion des Wahlhebels uneingeschränkt verfügbar.

In einer Weiterbildung kann vorgesehen sein, dass die vorherige Nachricht die letzte als„valide" eingestufte Nachricht ist, die vor der als„nicht valide" eingestuften Nachricht an den designierten Empfänger gesendet wurde. Dieses Verfahren ist besonders einfach zu implementieren.

Das Zurückgreifen auf den Inhalt der vorherigen Nachricht kann dadurch geschehen, dass vorgesehen ist, dass die empfangene Nachricht gespeichert wird, wenn sie als„valide" eingestuft wurde. Dies ist besonders einfach. Alternativ können relevante Bestandteile der als„valide" eingestuften Nachricht extrahiert und gespeichert werden.

In einem weiteren Aspekt der Erfindung kann eine Adaption des Verfahrens dadurch geschehen, dass abhängig von empfangenen gespeicherten Nachrichten entschieden wird, ob die Nachricht als„valide" eingestuft wird.

Nachfolgend werden Ausführungsformen der Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen näher erläutert. In den Zeichnungen zeigen:

Figur 1 schematisch ein Netzwerk, in dem das erfindungsgemäße Verfahren zum Einsatz kommen kann;

Figur 2 einen Ablaufplan des Verfahrens gemäß eines Aspekts der Erfindung; Figur 1 zeigt ein beispielhaft ein Netzwerk mit einem Bussystem 10, über das Teilnehmer 1, 2, 3, 4 kommunizieren. Bei den Teilnehmern 1, 2, 4 kann es sich jeweils beispielsweise um Steuergeräte handeln, oder beispielsweise auch um Sensoren. Teilnehmer 3 ist ein Steuergerät, auf dem im Ausführungsbeispiel die Erfindung implementiert ist.

Über das Bussystem 10 tauschen die Teilnehmer 1, 2, 3, 4 Nachrichten aus, die jeweils mit einer Kennung (JD") versehen sind. Die Wörter„Botschaft" und „Nachricht" werden synonym verwendet. Das Versenden einer Botschaft ist in Figur 1 mit„TX" und der zugehörigen Kennung der versendeten Botschaft gekennzeichnet, das Empfangen einer Botschaft mit„RX" und der zugehörigen Kennung der empfangenen Botschaft. In Figur 1 versendet Teilnehmer 1 eine Botschaft mit der Kennung„123". Diese Botschaft wird von Teilnehmer 2 empfangen. Teilnehmer 4 versendet eine Botschaft mit der Kennung„789". Dieser Botschaft wird von Teilnehmern 2 und 3 empfangen.

Teilnehmer 3 empfängt im Ausführungsbeispiel alle im Netzwerk 10 definierten Botschaften. Ein Angreifer 5, der ebenfalls Teilnehmer im Netzwerk 10 ist, sendet ebenfalls eine Botschaft mit der Kennung„123". Teilnehmer 2 empfängt auch diese Botschaft, erkennt sie aber nicht als Angriff, da beispielsweise der CRC- Code der Botschaft mit der Kennung„123" korrekt nachgebildet wurde. Teilnehmer 2 verwendet den manipulierten Botschaftsinhalt daher weiter in der Verarbeitung seines Programmcodes. Teilnehmer 3 erkennt jedoch (beispielsweise durch eine Plausibilitätsprüfung des Dateninhalts der Botschaft„123"), dass Botschaft „123" nicht valide ist, und kann Abwehrmaßnahmen einleiten.

Figur 2 zeigt den Ablauf des Verfahrens, das in dem in Figur 1 illustrierten Ausführungsbeispiel auf Teilnehmer 3 abläuft. Beispielsweise verfügt Teilnehmer 3 über ein maschinenlesbares Speichermedium, auf dem ein Computerprogramm gespeichert ist, das die Schritte dieses Verfahrens ausführt, wenn es auf Teilnehmer 3 ausgeführt wir, d.h. dass das Computerprogramm ausgebildet ist, dieses Verfahren auszuführen.

Das Verfahren beginnt in Schritt 1000, in dem sich beispielsweise der Teilnehmer 3 im Netzwerk 10 anmeldet oder eine IDS-Anwendung aktiviert. Es folgt Schritt 1010, in dem Teilnehmer 3 die Kommunikation im Netzwerk 10 überwacht und die über das Netzwerk versendeten Nachrichten empfängt. Diese Nachrichten können beispielsweise in einer Queue gepuffert werden. Die nachfolgenden Schritte werden vorteilhafterweise für jede der Nachrichten einzeln durchgeführt.

Die Verarbeitung einer empfangenen Nachricht beginnt im nachfolgenden Schritt 1020. In diesem Schritt wird überprüft, ob die empfangene Nachricht von einem bekannten Typ ist. Beispielsweise kann dies durch Nachschauen in einer Datenbank erfolgen, in denen Nachrichten nach charakteristischen Eigenschaften (bei- spielsweise den Reaktionen, die sie in ihrem designierten Empfänger auslösen) suchbar hinterlegt sind. Wird die empfangene Nachricht in einer solchen Datenbank gefunden, gilt ihr Typ als bekannt, andernfalls als unbekannt. Ist dies nicht der Fall (Ausgang„n"), d.h. ist die empfangene Nachricht nicht von bekanntem Typ, folgt Schritt 1030, in dem optional eine interne oder externe Warnung erfol- gen kann, dass eine unbekannte Nachricht empfangen wurde, und es wird zu

Schritt 1010 zurückverzweigt.

Ist die Nachricht hingegen bekannt (Ausgang , folgt Schritt 1040, in dem überprüft, ob die Botschaft„valide" oder„nicht valide" ist. Ist die Botschaft„nicht valide" wird auf Angriff erkannt (Ausgang und es folgt Schritt 1050, andernfalls (Ausgang„n") wird die Botschaft in einer Liste valider Botschaften gespeichert und zu Schritt 1010 zurückverzweigt.

In Schritt 1050 überprüft Teilnehmer 3 in der Liste valider Botschaften, welche valide Botschaft zuletzt an den designierten Empfänger übermittelt wurde. Nun sendet Teilnehmer 3 die letzte valide Botschaft, die an den designierten Empfänger übermittelt wurde, erneut an den designierten Empfänger.

Optional wird in Schritt 1050 die als„nicht valide" erkannte Botschaft aufgezeich- net und in einem Speicher im Kraftfahrzeug und/oder außerhalb des Kraftfahrzeugs abgelegt. Alternativ oder zusätzlich kann die Tatsache, dass die Botschaft als„nicht valide" erkannt wurde, dem Fahrer des Kraftfahrzeugs oder z.B. dem Hersteller gemeldet werden. Dies kann beispielsweise über eine Meldung im Dashboard und/oder über ein Infotainmentsystem und/oder über eine Mitteilung an angebundene Dienste außerhalb des Kraftfahrzeugs erfolgen. Damit endet dieser Durchlauf des Verfahrens und es wird zurückverzweigt zu Schritt 1010. Es kann vorgesehen sein, dass Teilnehmer 3 solange die letzte valide Botschaft übermittelt, bis Teilnehmer 3 keine Manipulationen mehr detektiert.