WEINMANN, Ulrich (Mittenheimerstrasse 10, Eching, 85386, DE)
TORLO, Marc (Deisenhofener Strasse 90, München, 81539, DE)
WEINMANN, Ulrich (Mittenheimerstrasse 10, Eching, 85386, DE)
Patentansprüche
1. System (200) aus Steuergeräten (101 , 102, 103, 104) in einem Kraftfahrzeug, die über ein oder mehrere Datenbusse (105, 106) des Kraftfahrzeugs kommunizieren und das mindestens zwei Diagnosezugänge (A, B) aufweist, über die der Zustand mindestens eines der Steuergeräte auf der Basis einer Diagnoseanforderungs-Nachricht diagnostiziert wird, insbesondere wird ein Fehlerspeichereintrag eines Steuergeräts über einen der Diagnosezugänge angefordert und nach außen übermittelt, dadurch gekennzeichnet, dass
- eine dem System über den ersten Diagnosezugang (A) zugeführte Diagnoseanforderungs-Nachricht (302) als solche von einer Erkennungs- und Weiterleitungs-Einrichtung (201 ) erkannt und an eine Prüf-Einrichtung (202) übermittelt wird,
die Prüf-Einrichtung (202) mindestens die Authentizität der Diagnoseanforderungs-Nachricht (302) prüft und ggf. an dasjenige Steuergerät (103) weiterleitet, für die die Diagnoseanforderungs-Nachricht (302) bestimmt ist.
2. System nach Anspruch 1 , dadurch gekennzeichnet, dass der erste und/oder weitere Diagnosezugang (A, B) ein drahtloser Zugang zum System (200) bzw. Fahrzeug ist, wie insbesondere ein drahtloser Zugang des Typs D-CAN, WLAN, Kanal bzw. Frequenz über den der Fahrzeugschlüssel und das
Fahrzeug im Zusammenhang mit der Aufhebung der Wegfahrsperre und/oder der Entriegelung der Fahrzeugtüren miteinander kommunizieren, GSM oder TDMA.
3. System nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Prüf- Einrichtung (202) die Authentizität der Diagnoseanforderungs-Nachricht (302) auf der Basis einer Signatur der Diagnoseanforderungs-Nachricht und/oder anhand der konkreten Diagnoseanforderungs-Nachricht überprüft, ob der Absender der Diagnoseanforderungs-Nachricht hierzu berechtigt ist und/oder die Diagnoseanforderungs-Nachricht entschlüsselt.
4. System nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Prüf-Einrichtung (202) einen programmgesteuerten Prozessor aufweist, der die Diagnoseanforderungs-Nachricht (302) bevorzugt anhand des Public-Key- Verfahrens prüft und hierbei auf einen öffentlichen Schlüssel zugreift, der im Fahrzeug bzw. in einem der Steuergeräte gegen Verfälschung gesichert gespeichert ist.
5. System nach einem der vorstehenden Ansprüche, gekennzeichnet durch ein zentrales Gateway-Steuergerät (102), das unmittelbar mit mindestens einem ersten und mit einem zweiten der Datenbusse (A, B) in Verbindung steht, und der Prozessor des Gateway-Steuergeräts zusammen mit einer entsprechenden Programmsteuerung die Prüf-Einrichtung (102) bildet.
6. System nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Diagnose-Nachricht eines der Steuergeräte (103) im Anschluss an die an das betreffende Steuergerät (103) übersandte Diagnoseanforderungs- Nachricht (302) an die Prüf-Einrichtung (102) übermittelt wird, diese die
Diagnose-Nachricht mit einer Signatur versieht und/oder verschlüsselt und die entsprechende Diagnose-Nachricht über einen der Diagnose-Zugänge (A) von dem System (200) an eine externe Diagnose-Einrichtung (301 ) übertragen wird.
7. System nach Anspruch 6, dadurch gekennzeichnet, dass die Signatur und/oder Verschlüsselung der nach extern übertragenen Diagnose-Nachricht unter Verwendung des Public-Key-Verfahrens erfolgt und bevorzugt der geheime Schlüssel im Fahrzeug bzw. in einem der Steuergeräte (102) gegen Ausspähen und Verfälschung gesichert gespeichert ist.
8. System nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass bereits am Diagnosezugang eine erste überprüfung (201 ) einer erhaltenen Diagnoseanforderungs-Nachricht (302) vorgenommen wird.
9. System nach Anspruch 8, dadurch gekennzeichnet, dass die Erkennungs- und Weiterleitungs-Einrichtung (201 ) die erste überprüfung vornimmt, wobei bevorzugt die Signatur der Diagnoseanforderungs-Nachricht (302) überprüft wird.
10. System nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass die Erkennungs- und Weiterleitungs-Einrichtung (201 ) durch ein Steuergerät (101 ) gebildet wird, das zwischen dem Diagnosezugang (A) und dem mindestens einen Datenbus (105) angeordnet ist und die Programmsteuerung des
Prozessors des Steuergeräts (101) derart erweitert ist, dass die erste überprüfung von dem Steuergerät bzw. von dessen Prozessor vorgenommen wird. |
System aus Steuergeräten in einem Kraftfahrzeug mit geschütztem Diagnosezugriff
Die Erfindung betrifft ein System aus Steuergeräten in einem Kraftfahrzeug, die über ein oder mehrere Datenbusse des Kraftfahrzeugs kommunizieren und das mindestens zwei Diagnosezugänge aufweist, über die der Zustand mindestens eines der Steuergeräte auf der Basis einer Diagnoseanforderungs-Nachricht diagnostiziert wird, insbesondere wird ein Fehlerspeichereintrag eines Steuergeräts über einen der Diagnosezugänge angefordert und nach außen übermittelt.
In heutigen Kraftfahrzeugen wird die Diagnosefähigkeit aller Steuergeräte in der Regel über einen zentralen Verbindungspunkt zum Fahrzeug realisiert und abgesichert. Der zentrale Verbindungspunkt ist im Fahrzeug angeordnet und damit ist der Zugriff bei einem verschlossenen Fahrzeug geschützt. Herstellerübergreifend existiert in der Regel ein Steuergerät, welches neben dem physikalischen Bereitstellen des Diagnosezuganges auch die Datenintegrität der Diagnosekommunikation und ggf. auch die Manipulationssicherheit der Diagnosekommunikation nach außen absichert. Existieren mehrere physikalische Zugänge, so sind diese nach bekanntem Stand der Technik unabhängig voneinander realisiert und abgesichert.
Bei dieser Art, mehrere voneinander unabhängige Diagnosezugänge zu realisieren ergibt sich ein entsprechender Mehraufwand bei den Anforderungen an die Steuergeräte sowie bei der Implementierung. In jedem, mit einem Diagnosezugang ausgestatteten Steuergerät müssen entsprechende Integritätsprüfmechanismen und notwendige Methoden zum Schutz und zur Erkennung von möglichen Manipulationen von Diagnosekommunikation implementiert werden. Darüber hinaus müssen gegebenenfalls notwendige Ressourcen im relevanten Zugangssteuergerät hinsichtlich Rechenleistung, Datenpuffer usw. den Anforderungen entsprechend ausgewählt werden, welche die notwendige Leistungsfähigkeit aufweisen, um den entsprechenden Performance-/Schutzbedarf erfüllen zu können.
Bei einer drahtlosen Diagnosekommunikation, bei welcher durch externe Angreifer funkbasierte Datenpakete ohne physikalischen Zugriff ins Fahrzeug eingebracht und somit Informationen ausgelesen und möglicherweise verändert werden können, muss jedes per Funk übertragene Diagnosepaket gegen Verfälschung gesichert und die Authentizität von berechtigter, externer Diagnoseeinheit und/oder Fahrzeug verlässlich nachweisbar sein. Somit muss jedes per Funk übertragene Diagnosepaket einzeln auf Verfälschung und Authentizität hin überprüft und gegebenenfalls verworfen werden. Entsprechend sind extrem hohe Anforderungen an die Hardware des Steuergerätes, das den Diagnosezugang bereitstellt erforderlich, welche im Regelbetrieb (keine Diagnosekommunikation), d.h. während die Steuergeräte die ihnen zugedachten Funktionen beim Betrieb des Kraftfahrzeugs ausführen, nicht notwendig wären.
Aufgabe der vorliegenden Erfindung ist es, das bekannte System aus Steuergeräten in einem Kraftfahrzeug mit mindestens einem Diagnosezugang kostengünstiger zu gestalten.
Diese Aufgabe wird durch die im Anspruch 1 angegebenen Maßnahmen gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
Im Gegensatz zur bekannten dezentralen Sicherheitsarchitektur, bei der in jedem Steuergerät mit Diagnosezugang eine Schutzeinrichtung vorzusehen ist, wird eine zentrale Schutzeinrichtung bzw. Prüf-Einrichtung vorgeschlagen. Zusätzlich ist erfindungsgemäß vorgesehen, dass eine Diagnoseanforderungs-Nachricht am Zugang zum erfindungsgemäßen System als solche erkannt und (bevorzugt unmittelbar) zur zentralen Prüf-Einrichtung zum Zwecke der Prüfung weitergeleitet wird.
Nach erfolgreicher überprüfung werden die Diagnoseanforderungs-Nachrichten von der zentralen Instanz an die entsprechenden Zielsteuergeräte, deren Zustand diagnostiziert werden soll, weitergeleitet und dort abgearbeitet. Die entsprechenden Antworttelegramme bzw. Diagnose-Nachrichten werden der zentralen Prüf- Einrichtung bevorzugt ebenfalls zugeführt. Zudem werden die Diagnose-
Nachrichten bevorzugt signiert und gegen Verfälschung und/oder Täuschung über den Absender geschützt, bevor sie der abfragenden externen Diagnose-Einrichtung übermittelt wird, falls zweckmäßig auch verschlüsselt.
Bevorzugt handelt es sich bei den erfindungsgemäßen Diagnosezugängen zumindest teilweise um drahtlose Zugänge zum System aus Steuergeräten, wie insbesondere des Typs D-CAN, WLAN, Kanal bzw. Frequenz über den der Fahrzeugschlüssel und das Fahrzeug im Zusammenhang mit der Aufhebung der Wegfahrsperre und/oder der Entriegelung der Fahrzeugtüren miteinander kommunizieren, GSM, TDMA oder einer Kombination hieraus.
Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand von Figuren näher erläutert. Gleiche Bezugszeichen bezeichnen gleiche oder gleichwirkende Funktionseinheiten. Es zeigen:
Fig. 1 Ein bekanntes System aus Steuergeräten nach dem Stand der Technik, bei dem jeder Zugang einzeln abgesichert ist;
Fig. 2 ein erfindungsgemäßes System, bei dem Diagnoseanforderungs- Nachrichten unabhängig vom Zugang zu einer zentralen Prüf-Einrichtung geleitet und dort überprüft werden; und
Fig. 3 den Weg einer Diagnoseanforderungs-Nachricht bei dem erfindungsgemäßen System der Figur 2 von einer externen Diagnose- Einrichtung zum Ziel-Steuergerät.
Ein bekanntes System 100 weist eine Vielzahl von Steuergeräten auf, von denen beispielhaft die Steuergeräte 101 , 102, 103 und 104 dargestellt sind. Die Steuergeräte 101 , 102 und 104 stehen mit einem ersten Datenbus 105 und die Steuergeräte 102 und 103 stehen mit dem zweiten Datenbus in unmittelbarer Verbindung. Das Steuergerät 102 hat also die Besonderheit, dass es mit beiden Datenbussen 105 und 106 in unmittelbarer Verbindung steht. Es handelt sich um ein sog. Zentrales Gateway Steuergerät. Die Steuergeräte 101 und 102 haben jeweils einen sog. „Software Security Layer" 107 bzw. 108, d.h. jeweils eine recht „grobe"
Prüf-Einrichtung für Daten zur Verhinderung von Manipulationen an den Steuergeräten des Systems, die über den Zugang A bzw. den Zugang B unmittelbar zum Steuergerät 101 bzw. 102 gelangen.
Bei den Zugängen A und B handelt es sich um physikalische Zugänge, wie eine Diagnosebuchse, die gegen Zugriff geschützt im (ggf. verschlossenen) Fahrzeug angeordnet ist. Da die physikalischen Zugänge im Fahrzeug gegen unbefugten Zugriff geschützt sind, reicht ein recht einfacher Manipulationsschutz durch die Software Security Layer 107 bzw. 108, der den jeweiligen Prozessor der Steuergeräte 101 bzw. 102 bei der Durchführung einer Diagnose der Steuergeräte über die Zugänge A und/oder B nur recht wenig belastet.
Insbesondere bei einer Gestaltung der Zugänge A und B für einen drahtlosen Zugang zu den Steuergeräten von außerhalb des Systems bzw. Fahrzeugs über eine externe Diagnose-Einrichtung erscheint ein weiter verbesserter Manipulationsschutz angeraten.
Fig. 2 zeigt ein erfindungsgemäßes System 200, das sich von dem bekannten System 100 darin unterscheidet, dass das Steuergerät 101 anstelle des Software Security Layers 107 eine programmtechnisch realisierte Erkennungs- und Weiterleitungs-Einrichtung 201 aufweist, d.h. erfindungsgemäß ist die Programmsteuerung des Prozessors (nicht dargestellt) des Steuergeräts 101 derart erweitert worden, dass der entsprechend programmgesteuerte Prozessor die Erkennungs- und Weiterleitungs-Einrichtung bildet.
Anstelle des Security Layers 108 ist erfindungsgemäß im Steuergerät bzw. Zentralen Gateway Steuergerät 102 eine programmtechnisch realisierte Prüf- Einrichtung 202 realisiert, d.h. die Programmsteuerung des Prozessors (nicht dargestellt) des Steuergeräts 102 ist derart erweitert worden, dass der entsprechend programmgesteuerte Prozessor die Prüf-Einrichtung bildet.
Die Funktion der Erkennungs- und Weiterleitungs-Einrichtung 201 und die der Prüf- Einrichtung 102 wird nachfolgend anhand der Figur 3 erläutert, wobei Figur 3 den
Weg einer Diagnoseanforderungs-Nachricht im erfindungsgemäßen System von einer externen Diagnose-Einrichtung zum Ziel-Steuergerät zeigt.
Eine fahrzeug-externe Diagnose-Einrichtung 301 übermittelt drahtlos, im hier beschriebenen Ausführungsbeispiel über den Kommunikationskanal über den der Fahrzeugschlüssel mit dem Fahrzeug und umgekehrt im Zusammenhang mit der Aufhebung der elektronischen Wegfahrsperre und/oder der Entriegelung der Türen des Fahrzeugs kommuniziert, eine von ihr signierte Diagnoseanforderungs- Nachricht 302 an den Zugang A. Die Erkennungs- und Weiterleitungs-Einrichtung 201 erkennt, dass es sich um eine solche Nachricht handelt und kann beispielsweise im Rahmen einer ersten (groben) Prüfung ermitteln, ob die Signatur einer autorisierten Diagnose-Einrichtung zugeordnet werden kann. Hierzu ist nur eine geringe Prozessorleistung des Steuergeräts 101 erforderlich und der Prozessor (nicht dargestellt) des Steuergeräts 101 , der erfindungsgemäß lediglich für die eigentliche Funktion des Steuergeräts dimensioniert ist, kann diese überprüfung im Rahmen der Diagnose mit dieser zur Verfügung stehenden Prozessorleistung leisten.
Nach positiver (grober) Prüfung oder wenn diese nicht vorgesehen ist, nach der alleinigen Erkennung, dass es sich um eine Diagnoseanforderungs-Nachricht, wird die Diagnoseanforderungs-Nachricht 302 mit einer Information versehen, die die Diagnoseanforderungs-Nachricht 302 als solche kennzeichnet und eine Prüf- Einrichtungs-Adresse angibt. Die entsprechend gekennzeichnete und mit der Prüf- Einrichtungs-Adresse versehene Diagnoseanforderungs-Nachricht 302 wird im Folgenden als gekapselte Diagnoseanforderungs-Nachricht 303 bezeichnet. Auf der Basis der Prüf-Einrichtungs-Adresse wird die gekapselte Diagnoseanforderungs- Nachricht 303 unmittelbar über einen unmittelbaren Kommunikationsweg des Bus- Systems der Datenbusse 105 und 106, einem sog. Tunnel 304, der Prüf-Einrichtung 202 des Steuergeräts 102 (Zentrales Gateway Steuergerät) zugeleitet.
Die Prüf-Einrichtung entschlüsselt ggf. die gekapselte Diagnoseanforderungs- Nachricht 303, prüft die Signatur und die eigentliche Diagnoseanforderungs- Nachricht auf Unverfälschtheit und prüft, ob der Absender der Nachricht zur
Vornahme zur Abfrage der Diagnose-Daten, insbesondere die Abfrage von Einträgen im Fehlerspeicher eines Steuergeräts, autorisiert ist.
Dies wird im Rahmen des bekannten Public-Key-Verfahrens durchgeführt bei dem auf den öffentlichen Schlüssel der fahrzeug-extemen Diagnose-Einrichtung 301 zugegriffen wird. Dieser ist gegen Verfälschung gesichert in einem Speicher des Steuergeräts 102 gespeichert.
Sind die vorgenannten Prüfungen positiv verlaufen, wird die Diagnoseanforderungs- Nachricht 302 (oder ein Teil hiervon ohne die Signatur) an das Ziel-Steuergerät 103 über den Datenbus 106 geleitet und von dem Steuergerät 103 abgearbeitet.
Das Steuergerät 103 sendet die angeforderte Diagnose-Nachricht (nicht dargestellt) an die Prüf-Einrichtung 202, die die Diagnose-Nachricht wiederum im Rahmen eines Public-Key-Verfahrens signiert, ggf. verschlüsselt, und dem Zugang A zur drahtlosen Weiterleitung an die fahrzeug-exteme Diagnose-Einrichtung 301 , die beispielsweise bei der Reparaturannahme eines Fahrzeughändlers oder bei einem Fern-Reparatur-Service des Fahrzeugherstellers stehen kann, weitergeleitet wird. Bei der Signatur und/oder Verschlüsselung der Diagnose-Nachricht greift der Prozessor des Steuergeräts 102 auf den geheimen Schlüssel des Systems 200 bzw. Fahrzeugs zu. Auf der Basis der Verwendung des öffentlichen Schlüssels des Fahrzeugs bzw. Systems 200 kann die fahrzeug-exteme Diagnose-Einrichtung 301 die Unverfälschtheit und die Authentizität bzw. den Absender der erhaltenen Diagnose-Nachricht überprüfen und ggf. entschlüsseln.
Durch die beschriebenen erfindungsgemäßen Maßnahmen kann eine kostengünstige, insbesondere drahtlose Diagnose der Steuergeräte eines Kraftfahrzeugs realisiert werden, die hohen Sicherheitsanforderungen genügt. Es ist lediglich eine zentrale Prüf-Einrichtung im erfindungsgemäßen System erforderlich, die die ggf. hohen Prozessorleistungen liefert. Zudem kann das bekannte Konzept einer Mehrzahl von externen Zugängen zum System beibehalten werden.
Bevorzugt stellt erfindungsgemäß das zentrale Gateway Steuergerät die Prüf- Einrichtung beim Diagnosevorgang bereit. Das zentrale Gateway Steuergerät stellt
in der Regel im Gegensatz zu anderen Steuergeräten des Systems aufgrund der ihm zugedachten Funktionen während des Betriebs des Kraftfahrzeugs bereits eine hohe Prozessorleistung zur Verfügung, die beim Diagnosevorgang ohne zusätzliche Kosten zur Erreichung hoher Sicherheitsanforderungen an die Sicherheit gegen Manipulationen bei der Diagnose genutzt werden kann.
Next Patent: ENERGY STORE WITH GUIDE ROD