Die vorliegende Erfindung betrifft ein Fahrzeugsteuergerät zum Ansteuern eines Aktors eines Fahrzeugs. Die vorliegende Erfindung betrifft weiterhin eine Authentifizierungsvorrichtung zum Übermitteln von Authentifizierungssignalen an ein Fahrzeugsteuergerät. Zudem betrifft die vorliegende Erfindung eine Initialisierungsvorrichtung zum Initialisieren eines Fahrzeugsteuergeräts. Weiterhin betrifft die vorliegende Erfindung ein System zum Schützen eines Fahrzeugsteuergeräts vor einem Angriff sowie Verfahren zum Ansteuern eines Aktors, zum Übermitteln von Authentifizierungssignalen und zum Initialisieren eines Fahrzeugsteuergeräts. Zuletzt betrifft die vorliegende Erfindung ein Computerprogrammprodukt.

Unter dem Begriff Cybersecurity oder IT-Sicherheit wird der Schutz von Netzwerken, Computersystemen oder cyber-physischen Systemen vor Diebstahl oder Beschädigung, insbesondere der verarbeiteten oder gespeicherten Daten, sowie vor Unterbrechung oder Missbrauch der angebotenen Dienste oder Funktionen verstanden. Im Zusammenhang mit Fahrzeugen spielt die Cybersecurity eine immer wichtigere Rolle. Dadurch, dass immer mehr Dienste und Funktionen in Fahrzeugen digital sind und oft auch sicherheitskritische Funktionen im Wesentlichen softwarebasiert ausgeführt werden, kann es durch entsprechende Angriffe zu Schäden bzw. gefährlichen Situationen kommen.

Um ein Fahrzeugsteuergerät vor potentiellen Cybersecurity-Attacken zu schützen, wird in aktuellen Ansätzen oft ein Sicherheitsschlüssel in einem geschützten Prozessor bzw. in einem besonders geschützten Prozessorteil oder Speicher hinterlegt. Dieser Sicherheitsschlüssel wird dann zwischen dem Fahrzeugsteuergerät und dem geschützten Prozessor ausgetauscht und verglichen. Beispielsweise kann ein Zugriff auf eine Firmware oder eine Funktion des Fahrzeugsteuergeräts nur dann gestattet werden, wenn festgestellt wird, dass ein entsprechender Sicherheitsschlüssel vorhanden ist und der Zugreifende insoweit zum Zugriff berechtigt ist. Um den Abgleich des Schlüssels durchzuführen, muss dieser dabei in bestehenden Ansätzen oft über eine Schnittstelle (beispielsweise über einen CAN-Bus) versendet werden, also zwischen verschiedenen Prozessoren ausgetauscht werden. Dies bedeutet, dass ein potentieller Angreifer unter Umständen durch ein Abhören der Kommunikation die übertragenen Authentifizierungsinformationen aufgreifen und dadurch Zugriff auf die Firmware oder die Funktionen des Fahrzeugsteuergeräts erlangen kann. Unter Umständen ist es dann möglich, dass der Angreifer die Firmware des Fahrzeugsteuergeräts unbemerkt austauscht oder unberechtigterweise eine Funktion ansteuert.

In diesem Zusammenhang wird in US2021/0114606 A1 ein System und ein Verfahren zum Detektieren eines Eindringens in ein Fahrzeugsystem offenbart. Ein Fahrzeugsteuerungssystem für ein Fahrzeug kann einen fahrzeuginternen Bus und ein Angriffs-Detektionssystem umfassen. Das Angriffs-Detektionssystem ist dazu ausgebildet, eine geplante Ausgabe des Fahrzeugs auf Grundlage einer Nachricht eines Nachrichtenstroms zu berechnen, der von mindestens einer elektronischen Steuereinheit empfangen wird, die mit dem fahrzeuginternen Bus gekoppelt ist. Weiterhin ist die Angriffs-Detektionsvorrichtung dazu ausgebildet, einen erreichbaren Satz auf Grundlage einer Unsicherheitsmetrik zu berechnen und ein Eindringen zu identifizieren basierend auf einem Vergleich der geplanten Ausgabe und der erreichbaren Menge.

Eine Herausforderung besteht in diesem Zusammenhang darin, die Sicherheit gegenüber Angriffen weiter zu verbessern. Ausgehend hiervon stellt sich der vorliegenden Erfindung die Aufgabe, eine Authentifizierung bereitzustellen, die nicht ohne weiteres vorgetäuscht/manipuliert werden kann. Es soll sichergestellt werden, dass sicherheitskritische Aktoren eines Fahrzeugs nur angesteuert werden können, wenn sichergestellt ist, dass die Ansteuerung zulässig ist bzw. von einem berechtigten Gerät erfolgt. Insbesondere soll insoweit ein Angriff basierend auf einem Abhören der Kommunikation verhindert bzw. erschwert werden.

Zum Lösen dieser Aufgabe betrifft die vorliegende Erfindung in einem ersten Aspekt ein Fahrzeugsteuergerät zum Ansteuern eines Aktors eines Fahrzeugs, mit: einer Eingangsschnittstelle zum Empfangen eines Trainings-Authentifizie- rungssignals und eines Initialisierungs-Authentifizierungssignals in einer Trainingsphase und eines Betriebs-Authentifizierungssignals in einer Betriebsphase nach Abschluss der Trainingsphase von einer Authentifizierungsvorrichtung; einem Diskriminator zum Vergleichen des Trainings-Authentifizierungssignals mit dem Initialisierungs-Authentifizierungssignal in der Trainingsphase unter Verwendung eines künstlichen neuronalen Netzwerks mit zufällig initialisierten Gewichten, wobei der Diskriminator zum Anpassen der Gewichte des künstlichen neuronalen Netzwerks ausgebildet ist, wenn das Trainings-Authentifizierungssignal als dem Initialisierungs-Authentifizierungssignal entsprechend erkannt wird, wobei der Diskriminator zum Erkennen, ob das Betriebs-Authentifizierungssig- nal ein zulässiges Signal ist, in der Betriebsphase unter Verwendung eines künstlichen neuronalen Netzwerks mit den in der Trainingsphase angepassten Gewichten ausgebildet ist; einer Rückkopplungseinheit zum Übermitteln eines Fehlersignals an die Authentifizierungsvorrichtung in der Trainingsphase, wobei das Fehlersignal angibt, ob das Trainings-Authentifizierungssignal als dem Initialisierungs-Authentifizierungssignal entsprechend erkannt wird; und einer Ausgangsschnittstelle zum Ansteuern des Aktors in der Betriebsphase, wenn das Betriebs-Authentifizierungssignal ein zulässiges Signal ist.

In einem weiteren Aspekt betrifft die vorliegende Erfindung eine Authentifizierungsvorrichtung zum Übermitteln von Authentifizierungssignalen an ein Fahrzeugsteuergerät, mit: einer Eingangsschnittstelle zum Empfangen eines zufälligen Rauschsignals; einer Rückkopplungsschnittstelle zum Empfangen eines Fehlersignals von dem Fahrzeugsteuergerät; einem Authentifizierungs-Signalgenerator zum Erzeugen eines Trainings-Au- thentifizierungssignals in einer Trainingsphase basierend auf dem Rauschsignal unter Verwendung eines künstlichen neuronalen Netzwerks mit zufällig initialisierten Gewichten, wobei der Authentifizierungs-Signalgenerator zum Anpassen der Gewichte basierend auf dem Fehlersignal ausgebildet ist, wobei der Authentifizierungs-Signalgenerator zum Erzeugen eines Betriebs- Authentifizierungssignals in einer Betriebsphase nach Abschluss der Trainingsphase basierend auf dem Rauschsignal unter Verwendung eines künstlichen neuronalen Netzwerks mit den in der Trainingsphase angepassten Gewichten ausgebildet ist; und einer Ausgabeschnittstelle zum Übermitteln des Trainings-Authentifizierungs- signals an das Fahrzeugsteuergerät in der Trainingsphase und zum Übermitteln des Betriebs-Authentifizierungssignals an das Fahrzeugsteuergerät in der Betriebsphase. Weiterhin betrifft ein Aspekt der vorliegenden Erfindung eine Initialisierungsvorrichtung zum Initialisieren eines Fahrzeugsteuergeräts, mit: einer Eingangsschnittstelle zum Empfangen eines vordefinierten periodischen Eingangssignals; einem Initialisierungs-Signalgenerator zum Erzeugen eines Initialisierungs-Authentifizierungssignals basierend auf dem Eingangssignal unter Verwendung eines künstlichen neuronalen Netzwerks mit basierend auf einem vordefinierten Sicherheitsschlüssel festgelegten Gewichten; und einer Ausgabeschnittstelle zum Übermitteln des Initialisierungs-Authentifizierungssignals an das Fahrzeugsteuergerät in einer Trainingsphase.

Zudem betrifft ein Aspekt der Erfindung ein System zum Schützen eines Fahrzeugsteuergeräts vor einem Angriff, mit einem Fahrzeugsteuergerät wie zuvor beschrieben, einer Authentifizierungsvorrichtung wie zuvor beschrieben sowie einer Initialisierungsvorrichtung wie zuvor beschrieben.

Weitere Aspekte der Erfindung betreffen entsprechend dem Fahrzeugsteuergerät bzw. der Authentifizierungsvorrichtung und der Initialisierungsvorrichtung ausgebildete Verfahren sowie ein Computerprogrammprodukt mit Programmcode zum Durchführen der Schritte der Verfahren, wenn der Programmcode auf einem Computer ausgeführt wird. Zudem betrifft ein Aspekt der Erfindung ein Speichermedium, auf dem ein Computerprogramm gespeichert ist, das, wenn es auf einem Computer ausgeführt wird, eine Ausführung der hierin beschriebenen Verfahren bewirkt.

Bevorzugte Ausgestaltungen der Erfindung werden in den abhängigen Ansprüchen beschrieben. Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen. Insbesondere können das Fahrzeugsteuergerät, die Authentifizierungsvorrichtung, die Initialisierungsvorrichtung, das System, die Verfahren sowie das Computerprogrammprodukt entsprechend den für das Fahrzeugsteuergerät, die Authentifizierungsvorrichtung, die Initialisierungsvorrichtung und das System in den abhängigen Ansprüchen definierten Ausgestaltungen ausgeführt sein.

Erfindungsgemäß ist es vorgesehen, dass eine Generative Adversarial Network-Architektur (GAN-Architektur) zum Sichern der Kommunikation zwischen unterschiedlichen Komponenten in einem Fahrzeug verwendet wird. In einer Trainingsphase wird in einer Initialisierungsvorrichtung ein Signal basierend auf einem vordefinierten Sicherheitsschlüssel erzeugt. Der vordefinierte Sicherheitsschlüssel wird dabei zum Initialisieren von Gewichten eines künstlichen neuronalen Netzwerks verwendet. Dadurch, dass an dieses künstliche neuronale Netzwerk mit bekannten Gewichten ein wohldefiniertes und vorzugsweise zeitlich periodisches Eingangssignal angelegt wird, kann ein Ausgangssignal erzeugt werden, das sich über die Zeit nicht ändert. Dieses Initialisierungs-Authentifizierungssignal wird als wahres Signal (Ground Truth) an das Fahrzeugsteuergerät übermittelt.

Gleichzeitig wird in der Trainingsphase in der Authentifizierungsvorrichtung ein weiteres Signal generiert, das basierend auf einem Rauschsignal ebenfalls mittels eines künstlichen neuronalen Netzwerks erzeugt wird. Die Gewichte des künstlichen neuronalen Netzwerks in der Authentifizierungsvorrichtung sind dabei zunächst zufällig initialisiert. Während der Trainingsphase werden die Gewichte angepasst, um die Charakteristik des erzeugten Trainings-Authentifizierungssignals zu verändern.

Es wird im Fahrzeugsteuergerät durch einen Diskriminator überprüft, ob zwischen dem Initialisierungs-Authentifizierungssignal und dem Trainings-Authentifizierungs- signal ein Unterschied ermittelt werden kann. Ausgehend von dieser Entscheidung wird ein Fehlersignal an die Authentifizierungsvorrichtung zurückübermittelt. Basierend auf diesem Fehlersignal kann das künstliche neuronale Netzwerk in der Authentifizierungsvorrichtung angepasst werden, um die Charakteristik des erzeugten Trainings-Authentifizierungssignals zu ändern. Dabei lernt sozusagen das künstliche neuronale Netzwerk in der Authentifizierungsvorrichtung eine Erzeugung eines Authentifizierungssignals, das in seiner Charakteristik dem Initialisierungs-Authentifizierungssignal entspricht. Ebenfalls in der Trainingsphase wird der Diskriminator im Fahrzeugsteuergerät darauf trainiert, zwischen dem Initialisierungs-Authentifizierungssignal und dem Trainings-Authentifizierungssignal unterscheiden zu können. Insoweit stehen die künstlichen neuronalen Netzwerke in der Authentifizierungsvorrichtung und im Diskriminator des Fahrzeugsteuergeräts miteinander in Konkurrenz. Zum einen wird versucht, ein Signal zu erzeugen, das einem vordefinierten Initialisierungs-Authentifizierungssignal möglichst nahekommt und von diesem nicht unterscheidbar ist. Zum anderen wird im Fahrzeugsteuergerät versucht, genau diesen Unterschied zu erkennen.

Nach Abschluss der Trainingsphase wird in einer Betriebsphase dann von der Authentifizierungsvorrichtung ein künstliches neuronales Netzwerk dazu verwendet, ein Betriebs-Authentifizierungssignal zu erzeugen. Dieses künstliche neuronale Netzwerk ist dabei basierend auf den zuvor in der Trainingsphase angepassten Gewichten initialisiert. Das Betriebs-Authentifizierungssignal entspricht insoweit dem Trainings-Authentifizierungssignal nach Abschluss der Trainingsphase. Dieses Signal wird an das Fahrzeugsteuergerät übermittelt. Dort ist der Diskriminator in der Lage zu entscheiden, ob es sich bei dem empfangenen Betriebs-Authentifizierungssignal um ein wahres Signal handelt, das in seiner Charakteristik dem Initialisierungs-Authentifizierungssignal entspricht. In anderen Worten kann also festgestellt werden, ob das basierend auf einem zufälligen Eingang generierte Betriebs-Authentifizierungssignal durch ein mit entsprechenden Gewichten betriebenes künstliches neuronales Netzwerk in der Authentifizierungsvorrichtung erzeugt wurde oder nicht. Nur wenn festgestellt wird, dass es sich bei dem empfangenen Betriebs-Authentifizierungssignal um ein wahres bzw. zulässiges Signal handelt, wird ein entsprechender Aktor, insbesondere ein sicherheitskritischer Aktor des Fahrzeugs, angesteuert.

Im Gegensatz zu bisherigen Ansätzen, bei denen eine Übertragung des Sicherheitsschlüssels selbst notwendig war, wird erfindungsgemäß in der Betriebsphase lediglich ein basierend auf einem zufälligen Eingang erzeugtes Betriebs-Authentifizie- rungssignal übertragen. Die Authentifizierungsvorrichtung umfasst dabei ein künstliches neuronales Netzwerk zum Generieren dieses Signals, das zuvor trainiert wurde. Insoweit ist es nicht notwendig, den Sicherheitsschlüssel selbst zu übertragen, so dass ein Angreifer diesen der Kommunikation zwischen dem geschützten Prozessor und dem Fahrzeugsteuergerät auch nicht entnehmen kann. Zum einen kann in dieser Weise sichergestellt werden, dass eine Authentifizierung nicht ohne weiteres vorgetäuscht/manipuliert werden kann. Zum anderen wird es möglich, dass eine Ansteuerung eines Aktors nur erfolgen kann, wenn eine sichere Authentifizierung vorliegt.

In einer bevorzugten Ausgestaltung des Fahrzeugsteuergeräts ist die Ausgangsschnittstelle des Fahrzeugsteuergeräts zum Ansteuern des Aktors in der Betriebsphase ausgebildet, wenn das Betriebs-Authentifizierungssignal keinem bereits zuvor empfangenen Betriebs-Authentifizierungssignal entspricht. Es wird in anderen Worten also dafür gesorgt, dass durch ein bloßes Abhören der Kommunikation und erneutes Übermitteln desselben Signals kein zulässiges Signal erreicht werden kann. Um ein zulässiges Signal zu erreichen, muss das Betriebs-Authentifizierungssignal einzigartig sein, also keinem bereits zuvor übermittelten Betriebs-Authentifizierungs- signal entsprechen. Hierzu werden alle zuvor empfangenen Betriebs-Authentifizie- rungssignale hinterlegt, um eine entsprechende Überprüfung zu ermöglichen. Die Sicherheit wird weiter verbessert.

In einer bevorzugten Ausgestaltung des Fahrzeug-Steuergeräts ist der Diskriminator in der Trainingsphase und in der Betriebsphase zum Verwenden eines fully-connect- ed convolutional neuronalen Netzwerks ausgebildet. Die Verwendung von solchen neuronalen Netzwerken in einer GAN-Architektur ermöglicht eine effiziente Implementierung. Die Anforderungen an die benötigte Rechenleistung und Performanz bleiben handhabbar.

In einer bevorzugten Ausgestaltung der Authentifizierungsvorrichtung ist die Eingangsschnittstelle der Authentifizierungsvorrichtung zum Empfangen eines weißen Rauschens ausgebildet. Als zufälliges Rauschsignal wird weißes Rauschen empfangen. Dieses weiße Rauschen kann beispielsweise durch einen entsprechenden Rauschgenerator erzeugt werden.

In einer bevorzugten Ausgestaltung der Authentifizierungsvorrichtung ist der Authentifizierungs-Signalgenerator zum Verwenden eines fully -connected convolutional neuronalen Netzwerks ausgebildet. Eine effiziente Implementierung der erfindungsgemäß vorgesehenen GAN -Architektur wird ermöglicht. Die Anforderungen an die verwendete Hardware bleiben handhabbar.

In einer bevorzugten Ausgestaltung der erfindungsgemäßen Authentifizierungsvorrichtung ist der Authentifizierungs-Signalgenerator zum Beenden der Trainingsphase ausgebildet, wenn das Fehlersignal angibt, dass durch das Fahrzeugsteuergerät das Trainings-Authentifizierungssignal als dem Initialisierungs-Authentifizierungssignal entsprechend erkannt wird. Die Trainingsphase wird in anderen Worten so lange fortgesetzt, bis es dem Authentifizierungs-Signalgenerator gelingt, ein Signal zu erzeugen, das nicht mehr von dem basierend auf dem vordefinierten Sicherheitsschlüssel erzeugten Initialisierungssignal unterscheidbar ist. In anderen Worten wird das Training so lange fortgesetzt, bis die gewünschte Funktionalität in der Betriebsphase bereitgestellt werden kann.

In einer bevorzugten Ausgestaltung der Initialisierungsvorrichtung ist die Eingangsstelle der Initialisierungsvorrichtung zum Empfangen eines Sinussignals ausgebildet. Durch die Verwendung eines Sinussignals kann ein sich wiederholendes periodisches Initialisierungs-Authentifizierungssignal erzeugt werden. Zudem ergibt sich eine effiziente und einfache Signalerzeugung.

In einer bevorzugten Ausgestaltung des erfindungsgemäßen Systems ist die Ausgangsschnittstelle des Fahrzeugsteuergeräts in der Betriebsphase zum Erzeugen des zufälligen Rauschsignals ausgebildet. Die Eingangsschnittstelle der Authentifizierungsvorrichtung ist in der Betriebsphase zum Empfangen des zufälligen Rauschsignals von dem Fahrzeugsteuergerät ausgebildet. Der Diskriminator des Fahrzeugsteuergeräts ist in der Betriebsphase zum Erkennen, ob das Betriebs-Authentifizierungs- signal ein zulässiges Signal ist, basierend auf dem zufälligen Rauschsignal ausgebildet. In der Betriebsphase wird also das zufällige Rauschsignal, das das Eingangssignal für die Authentifizierungsvorrichtung darstellt, im Fahrzeugsteuergerät erzeugt. Hierdurch verfügt das Fahrzeugsteuergerät über die Information, welches Rauschen der Erzeugung des Authentifizierungssignals zugrunde gelegt wurde. Darauf basierend kann sichergestellt werden, dass eine abgestimmte Antwort erfolgt ist. Insoweit kann verhindert werden, dass durch ein Abhören der Kommunikation oder auch ein wiederholtes Senden eines bereits zuvor übermittelten Authentifizierungssignals ein Angriff erfolgen kann.

Hierin wird unter einem Fahrzeugsteuergerät insbesondere eine ECU (Electronic Control Unit) in einem Fahrzeug verstanden. Insbesondere steuert ein Fahrzeugsteuergerät verschiedene Aktoren eines Fahrzeugs, wie z. B. einen Motor, eine Bremse, eine Lenkung, einen Fensterheber etc. Dabei sind üblicherweise an das Fahrzeugsteuergerät auch unterschiedliche Sensoren sowie unterschiedliche Schnittstellen zum Empfangen von Signalen von einem Fahrer oder einem autonomen Steuersystem eines Fahrzeugs angeschlossen. Unter einem zulässigen Signal wird ein Signal verstanden, das von einer entsprechend berechtigten Stelle übermittelt wird. Ein zulässiges Signal ist also ein Signal, das von einer Stelle übermittelt wird, die zum Steuern eines Aktors berechtigt ist. Ziel des erfindungsgemäßen Ansatzes ist es, insbesondere zu erkennen, ob ein Signal zulässig ist und insoweit ein Steuerbefehl ausgeführt werden soll. Bei dem erfindungsgemäß durchgeführten Vergleich von Signalen werden insbesondere Charakteristika von Signalen verglichen. Mittels künstlicher neuronaler Netze ist es möglich, einen Vergleich zwischen Signalen durchzuführen, um zu erkennen, ob diese Signale auf Basis derselben Regel erzeugt wurden. Insoweit geht es bei einem Vergleich von Signalen vorzugsweise nicht darum, eine möglicherweise vorliegende Identität festzustellen, sondern darum, eine vergleichbare Charakteristik bzw. eine vergleichbare Erzeugung basierend auf einer vergleichbaren Regel zu identifizieren. Vorliegend wird unter einem Fahrzeug insbesondere ein Personenkraftwagen, ein Lastkraftwagen, ein Motorrad oder ein anderes Kraftfahrzeug verstanden. Es versteht sich, dass unter einem Fahrzeug aber auch ein Fahrrad oder irgendeine andere Art von Fahrzeug zu verstehen sein kann. Ein vordefiniertes oder vorgegebenes Eingangssignal ist ein Signal, das durch eine vorbekannte Einstellung festgelegt wird.

Die Erfindung wird nachfolgend anhand einiger ausgewählter Ausführungsbeispiele im Zusammenhang mit den beiliegenden Zeichnungen näher beschrieben und erläutert. Es zeigen: Fig. 1 eine schematische Darstellung eines erfindungsgemäßen Systems zum Schützen eines Fahrzeugsteuergeräts vor einem Angriff;

Fig. 2 eine schematische Darstellung des implementierten GAN -Ansatzes;

Fig. 3 eine schematische Darstellung eines erfindungsgemäßen Fahrzeugsteuergeräts;

Fig. 4 eine schematische Darstellung einer erfindungsgemäßen Authentifizierungsvorrichtung;

Fig. 5 eine schematische Darstellung einer erfindungsgemäßen Initialisierungsvorrichtung;

Fig. 6 eine schematische Darstellung des Betriebs des erfindungsgemäßen Ansatzes in der Trainingsphase;

Fig. 7 eine schematische Darstellung des Betriebs des erfindungsgemäßen Ansatzes in der Betriebsphase;

Fig. 8 eine schematische Darstellung einer alternativen Betriebsart des erfindungsgemäßen Ansatzes;

Fig. 9 eine schematische Darstellung eines erfindungsgemäßen Verfahrens zum Ansteuern eines Aktors;

Fig. 10 eine schematische Darstellung eines erfindungsgemäßen Verfahrens zum Übermitteln von Authentifizierungssignalen an ein Fahrzeugsteuergerät; und

Fig. 11 eine schematische Darstellung eines erfindungsgemäßen Verfahrens zum Initialisieren eines Fahrzeugsteuergeräts. In der Fig. 1 ist schematisch ein erfindungsgemäßes System 10 zum Schützen eines Fahrzeugsteuergeräts 12 vor einem Angriff dargestellt. Das System umfasst ein Fahrzeugsteuergerät 12 sowie eine Authentifizierungsvorrichtung 14 und eine Initialisierungsvorrichtung 16. Die Darstellung ist als schematische Darstellung zu verstehen, wobei das Fahrzeugsteuergerät 12 sowie die Authentifizierungsvorrichtung 14 in ein Fahrzeug 18 integriert sind. Die Initialisierungsvorrichtung 16 ist demgegenüber außerhalb des Fahrzeugs 18 angeordnet und kann beispielsweise während der Herstellung des Fahrzeugs mit dem Fahrzeugsteuergerät und/oder der Authentifizierungsvorrichtung 14 in Kommunikation stehen. Es versteht sich aber, dass auch andere Anordnungen möglich sind, beispielsweise kann die Initialisierungsvorrichtung 16 ebenfalls in das Fahrzeug 18 integriert sein.

Erfindungsgemäß ist es vorgesehen, dass eine GAN -Architektur verwendet wird, um eine ECU vor einer Cybersecurity-Attacke zu schützen. Insbesondere soll das Fahrzeugsteuergerät 12 vor einem Angriff basierend auf einem Abhören einer Kommunikation, durch die ein übertragener Schlüssel durch den Angreifer ausgelesen wird, geschützt werden.

Im dargestellten Ausführungsbeispiel umfasst das Fahrzeug 18 einen Aktor 19, der beispielsweise eine Ansteuerung einer Bremse am Hinterrad des Fahrzeugs bewirken kann. Es versteht sich, dass auch ein anderer Aktor vorgesehen sein kann. Erfindungsgemäß ist es vorgesehen, dass der Aktor 19 über das Fahrzeugsteuergerät 12 angesteuert wird. Hierbei ist relevant, dass der Aktor 19 nur dann angesteuert werden kann, wenn das die Steuerung auslösende Signal von einer berechtigten Stelle kommt. Ein Angriff soll beispielsweise vermieden werden.

In der Fig. 2 ist schematisch der Ansatz eines GAN dargestellt. In der Regel kommt die Architektur zur Erzeugung von synthetischen Bildern zum Einsatz, die von realen Bildern oft kaum noch zu unterscheiden sind. Im Wesentlichen besteht ein GAN dabei aus einem Generator 20 und einem Diskriminator 22. Der Generator 20 erzeugt basierend auf einem zufälligen Eingang ein synthetisches Signal, das dem Diskriminator 22 zugeführt wird. Am Ende einer Trainingsphase soll dieses Signal dieselbe Charakteristik haben wie ein reales (vorgegebenes bzw. vordefiniertes) Signal. Ziel des Generators 20 ist dabei zu lernen, Ergebnisse nach einer bestimmten Verteilung zu erzeugen. Demgegenüber wird der Diskriminator 22 darauf trainiert, die Ergebnisse des Generators von den Daten aus der echten, vorgegebenen Verteilung zu unterscheiden. Am Ausgang des Diskriminators 22 findet dabei eine Unterscheidung zwischen einem wahren und einem falschen synthetischen Signal des Generators statt. Das Training in der Trainingsphase funktioniert dabei, wie durch den dicken Pfeil angedeutet, über einen Backpropagation-Ansatz.

In der Fig. 3 ist schematisch ein erfindungsgemäßes Fahrzeugsteuergerät 12 dargestellt, das einen Teil der GAN-Architektur umsetzt. Das Fahrzeugsteuergerät 12 umfasst eine Eingangsschnittstelle 24, einen Diskriminator 26, eine Rückkopplungseinheit 28 sowie eine Ausgangsschnittstelle 30. Sowohl für das Fahrzeugsteuergerät 12 als auch für die im Folgenden beschriebene Authentifizierungsvorrichtung und Initialisierungsvorrichtung gilt, dass die verschiedenen Einheiten und Schnittstellen dabei wahlweise oder vollständig in Soft- und/oder in Hardware umgesetzt sein können. Insbesondere können die Einheiten als Prozessor, Prozessormodule oder auch als Software für einen Prozessor ausgebildet sein. Das Fahrzeugsteuergerät 12 kann insbesondere ein Zentralrechner eines Fahrzeugs sein.

Über die Eingangsschnittstelle 24 wird im Fahrzeugsteuergerät 12 zunächst in einer Trainingsphase ein Trainings-Authentifizierungssignal sowie ein Initialisierungs-Authentifizierungssignal empfangen. In einer Betriebsphase nach Abschluss der Trainingsphase wird ein Betriebs-Authentifizierungssignal empfangen. Die Eingangsschnittstelle 24 steht dazu in Kommunikation mit der Initialisierungsvorrichtung (in der Trainingsphase) sowie mit der Authentifizierungsvorrichtung (in der Trainingsphase und in der Betriebsphase). Die Kommunikation kann dabei drahtlos oder drahtgebunden stattfinden. Beispielsweise kann eine Kommunikation über ein Fahrzeug-Bussystem, beispielsweise einen CAN-Bus, erfolgen.

Im Diskriminator 26 wird während der Trainingsphase das Trainings-Authentifizie- rungssignal mit dem Initialisierungs-Authentifizierungssignal verglichen. Hierzu wird ein künstliches neuronales Netzwerk mit zufällig initialisierten Gewichten verwendet. Insbesondere ist es vorteilhaft, wenn ein fully-connected convolutional neuronales Netzwerk verwendet wird. Die Gewichte des Netzwerks sollen dabei dazu angepasst werden, möglichst zuverlässig zwischen den beiden Signalen unterscheiden zu können. Der Diskriminator 26 wird in anderen Worten darauf trainiert, die beiden Signale voneinander zu unterscheiden. Insoweit entspricht der Diskriminator 26 einem Diskriminator eines GAN. Sobald die Trainingsphase abgeschlossen ist, wird mittels des Diskriminators 26 erkannt, ob das Betriebs-Authentifizierungssignal ein zulässiges Signal ist. In anderen Worten wird überprüft, ob das Betriebs-Authentifizierungssignal eine dem Initialisierungs-Authentifizierungssignal entsprechende Verteilung oder Charakteristik aufweist. Hierzu wird das zuvor in der Trainingsphase trainierte künstliche neuronale Netzwerk verwendet.

Über die Rückkopplungseinheit 28 wird ein zuvor ermitteltes Fehlersignal an die Authentifizierungsvorrichtung zurückübermittelt. In der Trainingsphase wird mittels des Ausgangs des Diskriminators eine Rückkopplung mit dem Generator in der Authentifizierungsvorrichtung vorgenommen. Insoweit ist es erforderlich, dass ein Fehlersignal zurückgespielt wird, um das künstliche neuronale Netzwerk im Generator im Sinne einer GAN -Architektur durch Backpropagation zu trainieren. Das Fehlersignal repräsentiert dabei das Ergebnis des Vergleichs zwischen Trainings-Authentifizie- rungssignal und Initialisierungs-Authentifizierungssignal, um hierdurch eine Verbesserung der Erzeugung des Trainings-Authentifizierungssignals zu ermöglichen.

Über die Ausgangsschnittstelle 30 wird in der Betriebsphase ein Aktor des Fahrzeugs angesteuert, sofern das Betriebs-Authentifizierungssignal als zulässiges Signal identifiziert und erkannt wurde. In anderen Worten wird also lediglich dann der Aktor angesteuert, wenn sichergestellt ist, dass das Betriebs-Authentifizierungssignal von einer berechtigten Stelle empfangen wird. Hierzu kann die Ausgangsschnittstelle 30 beispielsweise über ein Bussystem eines Fahrzeugs mit einem Fahrzeug -Aktor verbunden sein. Beispielsweise kann eine Bremse oder auch ein Steuerungssystem oder ein anderer Aktor angesteuert werden.

In der Fig. 4 ist schematisch eine erfindungsgemäße Authentifizierungsvorrichtung 14 dargestellt. Die Authentifizierungsvorrichtung 14 umfasst eine Eingangsschnittstelle 32, eine Rückkopplungsschnittstelle 34, einen Authentifizierungs-Signalgenerator 36 sowie eine Ausgabeschnittstelle 38. Wie zuvor beschrieben, können die verschiedenen Einheiten und Schnittstellen dabei teilweise oder vollständig in Soft- und/oder in Hardware umgesetzt sein. Die Authentifizierungsvorrichtung 14 kann beispielsweise in ein Steuergerät oder auch in ein Auslesegerät zum Auslesen einer Fahrzeugkonfiguration (Diagnosegerät) integriert sein. Die Authentifizierungsvorrichtung 14 entspricht dabei insbesondere einer berechtigten Stelle, die dazu berechtigt ist, Fahrzeug-Aktoren anzusteuern bzw. diese zu verwenden.

Über die Eingangsschnittstelle 32 wird ein zufälliges Rauschsignal empfangen. Das Rauschsignal kann beispielsweise ein weißes Rauschen sein, das von einem entsprechenden Signalgenerator erzeugt wird.

Die Rückkopplungsschnittstelle 34 ist zum Empfangen eines Fehlersignals von dem Fahrzeugsteuergerät ausgebildet. Die Rückkopplungsschnittstelle 34 kann dabei ebenfalls beispielsweise an ein Fahrzeug-Bussystem angeschlossen sein, um über dieses mit dem Fahrzeugsteuergerät zu kommunizieren. Das Fehlersignal kann insbesondere eine binäre Information umfassen, ob während der Trainingsphase ein Trainings-Authentifizierungssignal als wahr bzw. als einem Initialisierungs-Authentifizierungssignal entsprechend erkannt wird.

Der Authentifizierungs-Signalgenerator 36 dient zum Erzeugen eines Trainings-Au- thentifizierungssignals in einer Trainingsphase basierend auf dem Rauschsignal. Hierzu wird ein künstliches neuronales Netzwerk, insbesondere ein fully -connected convolutional neuronales Netzwerk verwendet. In der Trainingsphase wird dieses künstliche neuronale Netzwerk mit zufälligen Gewichten initialisiert. Die Gewichte werden mittels eines Backpropagation-Ansatzes unter Verwendung des Fehlersignals angepasst. In dem Fehlersignal wird also eine Rückkopplung hergestellt, ob das Trainings-Authentifizierungssignal als einer vorgegebenen Verteilung entsprechend erkannt wurde oder nicht. Wenn das Trainings-Authentifizierungssignal nicht als wahres Signal erkannt wird, werden die Gewichte angepasst.

In der Betriebsphase wird mittels des Authentifizierungs-Signalgenerators 36 ein Betriebs-Authentifizierungssignal erzeugt. Dieses Betriebs-Authentifizierungssignal wird dabei unter Verwendung des künstlichen neuronalen Netzwerks erzeugt, das in der Trainingsphase trainiert wurde. In anderen Worten werden also die angepassten Gewichte verwendet, um ein entsprechendes Betriebs-Authentifizierungssignal zu erzeugen, das in seiner Verteilung dem Initialisierungs-Authentifizierungssignal entspricht.

Über die Ausgabeschnittstelle 38 wird das Trainings-Authentifizierungssignal in der Trainingsphase und das Betriebs-Authentifizierungssignal in der Betriebsphase an das Fahrzeugsteuergerät übermittelt. Die Übermittlung kann dabei, wie zuvor beschrieben, beispielsweise über ein Fahrzeug-Bussystem oder auch über einen anderen Weg erfolgen.

In der Fig. 5 ist schematisch eine erfindungsgemäße Initialisierungsvorrichtung 16 dargestellt. Die Initialisierungsvorrichtung 16 umfasst eine Eingangsschnittstelle 40, einen Initialisierungs-Signalgenerator 42 sowie eine Ausgabeschnittstelle 44. Die verschiedenen Einheiten und Schnittstellen können auch hier wieder teilweise oder vollständig in Soft- und/oder Hardware umgesetzt sein.

Über die Eingangsschnittstelle 40 wird ein vordefiniertes periodisches Eingangssignal empfangen. Dabei kann die Eingangsschnittstelle beispielsweise zum Empfangen eines Sinussignals ausgebildet sein. Das vordefinierte periodische Eingangssignal wird von einem entsprechend konfigurierten Signalgenerator empfangen, wobei dieser Signalgenerator beispielsweise auch in der Initialisierungsvorrichtung 16 integriert sein kann. Ebenfalls ist es möglich, dass die Eingangsschnittstelle 40 an ein Fahrzeug-Bussystem angeschlossen ist, um über dieses das Eingangssignal zu empfangen.

Mittels des Initialisierungs-Signalgenerators 42 wird ein Initialisierungs-Authentifizierungssignal erzeugt. Hierzu wird das Eingangssignal verwendet und mittels eines künstlichen neuronalen Netzwerks modifiziert. Das künstliche neuronale Netzwerk umfasst dabei basierend auf einem vordefinierten Sicherheitsschlüssel festgelegte Gewichte. Der vordefinierte Sicherheitsschlüssel wird als vorgegebenes Geheimnis sozusagen für die Konfiguration des künstlichen neuronalen Netzwerks verwendet. Der Sicherheitsschlüssel kann dabei beispielsweise herstellerseitig vorgegeben sein.

Über die Ausgabeschnittstelle 44 wird das Initialisierungs-Authentifizierungssignal an das Fahrzeugsteuergerät in der Trainingsphase übermittelt. Das Authentifizierungssignal stellt insoweit eine Art Ground Truth-Information dar. Das im Initialisierungs-Signalgenerator verwendete künstliche neuronale Netzwerk ist dabei in seiner Konfiguration gleich wie das künstliche neuronale Netzwerk, das in der Authentifizierungsvorrichtung verwendet wird. Hierdurch wird erreicht, dass ein in seiner Verteilung dem Initialisierungs-Authentifizierungssignal entsprechendes Betriebs-Au- thentifizierungssignal erzeugt werden kann.

Über die Ausgabeschnittstelle wird in der Trainingsphase das Initialisierungs-Authentifizierungssignal an das Fahrzeugsteuergerät übermittelt. Hierzu kann ebenfalls die Kommunikation beispielsweise über ein Fahrzeug-Bussystem erfolgen.

In der Fig. 6 ist schematisch das Zusammenwirken des Fahrzeugsteuergeräts 12 mit der Authentifizierungsvorrichtung 14 und der Initialisierungsvorrichtung 16 dargestellt. Der Initialisierungs-Signalgenerator 42, der beispielsweise in einem Flash-Speicher 46 der Initialisierungsvorrichtung 16 angeordnet sein kann, erzeugt ein immer gleiches zeitlich definiertes Signal mit einer vorgegebenen Charakteristik. Hierzu wird ein vordefiniertes Input-Signal (vordefiniertes periodisches Eingangssignal) verwendet. Der Initialisierungs-Signalgenerator 42 kann dabei beispielsweise aus einem fully- connected neuronalen Netzwerk (FC-NN) mit mehreren versteckten Schichten (Lay- ern) bestehen. Die Anzahl der versteckten Schichten und damit die Anzahl der notwendigen Matrix-Multiplikationen hängt von der zur Verfügung stehenden Performanz der entsprechenden Prozessoren ab. Die Initialisierung der darin enthaltenen Gewichte dieses FC-NN wird auf einen zu Beginn festgelegten Wert fixiert. Gemeinsam repräsentieren die Zahlenwerte der Gewichte des Initialisierungs-Signalgenerators 42 sozusagen einen Sicherheitsschlüssel (Anti-Theft Master Key). In der Trainingsphase verhält sich das FC-NN immer gleich. Es erzeugt auf ein vorgegebenes Eingangssignal hin immer wahre Initialisierungs-Authentifizierungssignale, die an das Fahrzeugsteuergerät 12 übermittelt werden.

Der Authentifizierungs-Signalgenerator 36 in der Authentifizierungsvorrichtung 14 kann ebenfalls beispielsweise in einem Flash-Speicher 48 der Authentifizierungsvorrichtung 14 angeordnet sein. Dieser Authentifizierungs-Signalgenerator 36 basiert vorzugsweise ebenfalls auf einem FC-NN, wird jedoch basierend auf einer zufälligen Initialisierung der Gewichte betrieben. In der Trainingsphase (Backpropagation) erzeugt dieser Authentifizierungs-Signalgenerator 36 als Output ein Trainings-Au- thentifizierungssignal auf Basis eines zufälligen stochastischen Eingangssignals (Rauschsignal). Beispielsweise kann hierzu ein Signal mit weißem Rauschen verwendet werden.

Der Diskriminator 26, der beispielsweise in einem besonders geschützten Speicherbereich 50 innerhalb eines Flash-Speichers 52 des Fahrzeugsteuergeräts 12 angeordnet sein kann, bekommt als Eingang zum einen das Initialisierungs-Authentifizierungssignal der Initialisierungsvorrichtung 16 und zum anderen das Trainings-Au- thentifizierungssignal der Authentifizierungsvorrichtung 14. Der Diskriminator 26 hat nun die Aufgabe, zwischen den Signalen zu unterscheiden. In der Trainingsphase (mit Hilfe des Backpropagation-Algorithmus) versucht nun der Authentifizierungs-Signalgenerator 36 eine immer ähnlichere Signalcharakteristik zu generieren, welche der Signalcharakteristik des Initialisierungs-Authentifizierungssignals bzw. des Initialisierungs-Signalgenerators 42 entspricht. Dies geschieht dadurch, dass die Gewichte im künstlichen neuronalen Netzwerk des Authentifizierungs-Signalgenerators 36 so lange optimiert werden (Backpropagation), bis das erzeugte Trainings-Authentifizie- rungssignal die gewünschte Charakteristik aufweist. Das Training ist also beendet, wenn der Diskriminator 26 das Trainings-Authentifizierungssignal als wahr bzw. als ähnlich dem Signal des Initialisierungs-Signalgenerators 42 anerkennt.

Auf diese Weise ist der Authentifizierungs-Signalgenerator 36 nun in der Lage, auf Basis eines zufälligen Inputs (beispielsweise weißes Rauschen) ein Signal zu erzeugen, welches der Charakteristik des Signals der Initialisierungsvorrichtung entspricht. Dieses Signal kann somit als Ersatz für einen Anti-Theft Master Key dienen. Der Sicherheitsschlüssel muss also nicht mehr direkt übermittelt werden. Die ursprünglich verwendeten Gewichte bei der Initialisierung des Initialisierungs-Signalgenerators 42 und damit der vorher definierte Sicherheitsschlüssel müssen nicht mehr ausgetauscht werden. Eine Reproduktion der Initialisierungsvorrichtung 16 gestaltet sich sehr schwierig. Das System kann auf diese Weise vor potentiellen Angreifern wie z. B. einem unberechtigten Zugriff oder einem Austausch des Codes geschützt werden. Im dargestellten Ausführungsbeispiel wird beispielsweise ein über eine COM- Schnittstelle angeschlossener Aktor 19 bzw. der Zugriff auf diesen Aktor 19 geschützt. Der Zugriff kann beispielsweise ausgehend von einem Diagnosegerät 54 über eine entsprechende Diagnoseschnittstelle 56 erfolgen. Die Kommunikation findet im dargestellten Ausführungsbeispiel über einen CAN-Bus statt. Es versteht sich, dass auch eine andere Kommunikationsschnittstelle verwendet werden kann.

In der Fig. 7 ist schematisch die Verwendung des erfindungsgemäßen Ansatzes in der Betriebsphase dargestellt. Wenn das Fahrzeugsteuergerät 12 beispielsweise im Fahrzeugbetrieb verwendet wird, kann zur Authentifizierung beim Starten des Fahrzeugs mittels eines entsprechenden Aktors 19 eine Authentifizierung erforderlich sein. In der Betriebsphase erzeugt daher der vor der Auslieferung des Fahrzeugs bzw. des Fahrzeugsteuergeräts trainierte Authentifizierungs-Signalgenerator 36 in der Authentifizierungsvorrichtung 14 auf Basis eines zufälligen Rauschsignals ein synthetisches Signal (Betriebs-Authentifizierungssignal) und kommuniziert dies an den vor Auslieferung trainierten Diskriminator 26 des Fahrzeugsteuergeräts 12. Aufgrund der in der Trainingsphase erreichten Konfiguration des Diskriminators 26 kann das Betriebs-Authentifizierungssignal nun als wahr oder falsch klassifiziert werden. Wird das Signal als wahr klassifiziert, wird der Zugriff auf den Aktor 19 gewährt und eine Kompromittierung verneint. Ebenfalls ist es möglich, dass der Zugriff dabei ausgehend von einem Diagnosegerät 54 über eine entsprechende Diagnoseschnittstelle 56 erfolgt.

Um zu verhindern, dass ein potentieller Angreifer ein zuvor übermitteltes Betriebs- Authentifizierungssignal erneut verwenden kann, kann das zu schützende Fahrzeugsteuergerät 12, wie durch den Rückführungspfeil 58 angedeutet, optional dazu ausgebildet sein, den zufälligen Input des Authentifizierungs-Signalgenerators 36 zu erzeugen. Des Weiteren ist es möglich, dass das Fahrzeugsteuergerät 12 verlangt, dass der Authentifizierungs-Signalgenerator das für die Generierung verwendete Signal übermitteln muss und für jede Erzeugung eines neuen Betriebs-Authentifizie- rungssignals ein neues zufälliges Rauschsignal verwenden muss. Dies könnte alternativ auch durch die Verwendung eines Hashwertes oder einer Checksumme sichergestellt werden. Darüber hinaus ist es denkbar, dass das Fahrzeugsteuergerät 12 immer wieder ein zufällig neu generiertes synthetisches Signal erzeugt, auf das der Authentifizierungs-Signalgenerator 36 eine wahre Antwort liefern muss. Auf diese Weise können die zur Authentifizierung ausgetauschten Informationen nicht mehr für eine Kompromittierung wiederverwendet werden. Das zu schützende Fahrzeugsteuergerät funktioniert nur noch in Verbindung mit der dafür trainierten Authentifizierungsvorrichtung 14 und kann somit ebenfalls nicht mehr unbemerkt ausgetauscht werden.

In der Fig. 8 ist schematisch eine Variante des erfindungsgemäßen Ansatzes dargestellt. Insbesondere ist dargestellt, dass für die Authentifizierung innerhalb des zu schützenden Fahrzeugsteuergeräts 12 auch direkt ein Vergleich zwischen einem Betriebs-Authentifizierungssignal des Authentifizierungs-Signalgenerators 36 in der Authentifizierungsvorrichtung 14 mit einem Initialisierungs-Signalgenerator 42, der im dargestellten Ausführungsbeispiel im geschützten Speicherbereich 50 eines Flash- Speichers 52 des Fahrzeugsteuergeräts implementiert ist, erfolgt. In anderen Worten wird also der Initialisierungs-Signalgenerator 42, der in der Initialisierungsvorrichtung verwendet wurde, direkt in das Fahrzeugsteuergerät 12 implementiert. Es genügt dann ein Vergleich des empfangenden Betriebs-Authentifizierungssignals mit dem innerhalb des Fahrzeugsteuergeräts generierten Initialisierungs-Authentifizierungssignals des Initialisierungs-Signalgenerators 42 in einem entsprechenden Komparator 60. Ein solcher Signalvergleich ist beispielsweise denkbar im Falle von begrenzten Rechenleistungen, wenn also nur ungenügende Ressourcen zur Verfügung stehen. Auch in Fig. 8 ist beispielhaft dargestellt, dass ein Aktor 19 angesteuert werden soll, wobei ein Zugriff auf diesen ausgehend von einem Diagnosegerät 54 über eine entsprechende Diagnoseschnittstelle 56 erfolgen soll.

Der Vorteil dieses Ansatzes liegt insbesondere darin, dass ein potentieller Angreifer zwar die Kommunikation über das Fahrzeug-Bussystem abhören kann, dabei jedoch kein Sicherheitsschlüssel direkt übermittelt wird. Es wird lediglich ein auf zufälliger Basis generiertes Betriebs-Authentifizierungssignal übermittelt. Die Firmware eines Fahrzeugsteuergeräts könnte also trotz eines möglichen Zugriffs auf das Fahrzeugsteuergerät nicht einfach ausgetauscht werden, da dem Angreifer nicht die Initialisierung bzw. der Initialisierungs-Signalgenerator zur Verfügung steht, um die synthetischen Signale zu reproduzieren.

In der Fig. 9 ist schematisch ein erfindungsgemäßes Verfahren zum Ansteuern eines Aktors eines Fahrzeugs dargestellt. Das Verfahren umfasst Schritte des Empfangens S10 eines Trainings-Authentifizierungssignals und eines Initialisierungs- Authentifizierungssignals sowie eines Betriebs-Authentifizierungssignals, des Vergleichens S12 der Signale, des Erkennens S14, ob ein zulässiges Signal vorliegt, des Übermittelns S16 eines Fehlersignals und des Ansteuerns S18 eines Aktors.

In der Fig. 10 ist schematisch ein erfindungsgemäßes Verfahren zum Übermitteln von Authentifizierungssignalen dargestellt. Das Verfahren umfasst Schritte des Empfangens S20 eines zufälligen Rauschsignals, des Empfangens S22 eines Fehlersignals, des Erzeugens S24 eines Trainings-Authentifizierungssignals, des Erzeugens S26 eines Betriebs-Authentifizierungssignals und des Übermittelns S28 der Authentifizierungssignale.

Zuletzt ist in Fig. 11 schematisch ein Verfahren zum Initialisieren eines Fahrzeugsteuergeräts dargestellt. Das Verfahren umfasst Schritte des Empfangens S30 eines vordefinierten periodischen Eingangssignals, des Erzeugens S32 eines Initialisierungs-Authentifizierungssignals und des Übermittelns S34 des Initialisierungs-Authentifizierungssignals.

Bezugnehmend auf die Fig. 9, 10 und 1 1 können die Verfahren dabei insbesondere in Form von Software implementiert sein, die auf einem Prozessor eines Fahrzeugs bzw. eines Fahrzeugsteuergeräts, eines Zentralrechners eines Fahrzeugs oder eines entsprechenden Diagnosegeräts ausgeführt wird. Es versteht sich, dass die Verfahren auch in anderer Weise implementiert sein können.

Die Erfindung wurde anhand der Zeichnungen und der Beschreibung umfassend beschrieben und erklärt. Die Beschreibung und Erklärung sind als Beispiel und nicht einschränkend zu verstehen. Die Erfindung ist nicht auf die offenbarten Ausführungsformen beschränkt. Andere Ausführungsformen oder Variationen ergeben sich für den Fachmann bei der Verwendung der vorliegenden Erfindung sowie bei einer genauen Analyse der Zeichnungen, der Offenbarung und der nachfolgenden Patentansprüche.

In den Patentansprüchen schließen die Wörter „umfassen“ und „mit“ nicht das Vorhandensein weiterer Elemente oder Schritte aus. Der Undefinierte Artikel „ein“ oder „eine“ schließt nicht das Vorhandensein einer Mehrzahl aus. Ein einzelnes Element oder eine einzelne Einheit kann die Funktionen mehrerer der in den Patentansprüchen genannten Einheiten ausführen. Ein Element, eine Einheit, eine Schnittstelle, eine Vorrichtung und ein System können teilweise oder vollständig in Hard- und/oder in Software umgesetzt sein. Die bloße Nennung einiger Maßnahmen in mehreren verschiedenen abhängigen Patentansprüchen ist nicht dahingehend zu verstehen, dass eine Kombination dieser Maßnahmen nicht ebenfalls vorteilhaft verwendet werden kann. Ein Computerprogramm kann auf einem nichtflüchtigen Datenträger ge- speichert/vertrieben werden, beispielsweise auf einem optischen Speicher oder auf einem Halbleiterlaufwerk (SSD). Ein Computerprogramm kann zusammen mit Hardware und/oder als Teil einer Hardware vertrieben werden, beispielsweise mittels des Internets oder mittels drahtgebundener oder drahtloser Kommunikationssysteme. Bezugszeichen in den Patentansprüchen sind nicht einschränkend zu verstehen.

Bezuqszeichen

System

Fahrzeugsteuergerät

Authentifizierungsvorrichtung

Initialisierungsvorrichtung

Fahrzeug

Aktor

Generator

Diskriminator

Eingangsschnittstelle des Fahrzeugsteuergeräts

Diskriminator des Fahrzeugsteuergeräts

Rückkopplungseinheit

Ausgangsschnittstelle

Eingangsschnittstelle der Authentifizierungsvorrichtung

Rückkopplungsschnittstelle

Authentifizierungs-Signalgenerator

Ausgabeschnittstelle der Authentifizierungsvorrichtung

Eingangsschnittstelle der Initialisierungsvorrichtung

Initialisierungs-Signalgenerator

Ausgabeschnittstelle der Initialisierungsvorrichtung

Flash-Speicher der Initialisierungsvorrichtung

Flash-Speicher der Authentifizierungsvorrichtung

Geschützter Speicherbereich

Flash-Speicher des Fahrzeugsteuergeräts

Diagnosegerät

Diagnoseschnittstelle

Rückführung

Komparator