Nothing Special   »   [go: up one dir, main page]

WO2020038831A1 - Verwirklichung eines sicherheitsintegritätslevels bei fahrzeug-zu-x kommunikation - Google Patents

Verwirklichung eines sicherheitsintegritätslevels bei fahrzeug-zu-x kommunikation Download PDF

Info

Publication number
WO2020038831A1
WO2020038831A1 PCT/EP2019/071962 EP2019071962W WO2020038831A1 WO 2020038831 A1 WO2020038831 A1 WO 2020038831A1 EP 2019071962 W EP2019071962 W EP 2019071962W WO 2020038831 A1 WO2020038831 A1 WO 2020038831A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
message
designed
sent
verification
Prior art date
Application number
PCT/EP2019/071962
Other languages
English (en)
French (fr)
Inventor
Ulrich STÄHLIN
Marc Menzel
Andrew Kirby
Original Assignee
Continental Teves Ag & Co. Ohg
Continental Automotive Systems, Inc.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Teves Ag & Co. Ohg, Continental Automotive Systems, Inc. filed Critical Continental Teves Ag & Co. Ohg
Priority to DE112019002379.9T priority Critical patent/DE112019002379A5/de
Publication of WO2020038831A1 publication Critical patent/WO2020038831A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]

Definitions

  • the present invention relates to a vehicle-to-X communication
  • Vehicle-to-X communication is currently on route 10 to series production.
  • vehicle-to-X messages which include, for example, information about speed, position, course, acceleration or special events such as breakdowns or emergency braking maneuvers.
  • C-V2X Cellular-V2X
  • ASIL Automotive Safety Integrity Level
  • the object of the invention is therefore to provide a vehicle-to-X communication device and a method which meet the requirements for a required safety integral
  • the invention relates to a vehicle-to-X communication device comprising:
  • a generation device which is designed to generate a vehicle-to-X message to be sent
  • a signature device which is designed to sign the vehicle-to-X message to be sent, in particular by means of an elliptic curve digital sig natural algorithm (ECDSA),
  • a first verification device which is designed to verify the vehicle-to-X message to be sent, in particular a signature of the vehicle-to-X message to be sent,
  • the first verification device is designed according to a higher security integrity level than the Ge generation device, the signature device and / or the transmission device.
  • An advantage that results from the invention is that the process of sending vehicle-to-X messages allows a classification into a required safety integrity level, in particular according to the Automotive Safety Integrity Level (ASIL), whereby hardware or software can be used which does not need to be fully ASIL certified, i.e. can basically be implemented with existing hardware or software.
  • ASIL Automotive Safety Integrity Level
  • This can advantageously a required safety integrity level of functional safety, for example ASIL B, the entire vehicle-to-X communication device and thus the vehicle-to-X communication as such are made possible.
  • protection against the transmission of changed information in particular in the event of random and / or systematic errors, can thereby be implemented.
  • the requirements for the performance of the vehicle-to-X communication for example according to US DOT NPRM FMVSS No. 150, can be fulfilled.
  • the vehicle-to-X message comprises, in particular, data to be sent out by vehicle-to-X communication which, for example, by means of a data transmission means, e.g. Data bus, the vehicle-to-X communication device were provided by another vehicle system, as well as further data or information for realizing the vehicle-to-X communication.
  • a data transmission means e.g. Data bus
  • the hardware and / or software of the vehicle-to-X communication device is designed essentially completely in accordance with the required security integrity level, but this causes increased costs and, as a result, the availability of the components could possibly be restricted.
  • the vehicle-to-X communication device comprises a plausibility check, which is designed to at least partially plausibility check information contained in the vehicle-to-X message to be sent.
  • the plausibility checking device and the first verification device can expediently be designed as a common checking device for realizing the functions mentioned.
  • the plausibility checking device is designed to check the plausibility check of the information comprised by the vehicle-to-X message to be sent, the information to be sent by the vehicle-to-X message to be sent, to summarize the information with patterns of previous and / or received vehicle-to-X messages. X compare messages.
  • the plausibility check is considered successful if the patterns of previous to be sent and / or received vehicle-to-X messages can be mapped to the vehicle-to-X message to be sent, that is to say that a predefined deviation tolerance of the underlying information is not exceeded.
  • it can be provided in accordance with one embodiment for verification or plausibility to check a physical possibility of vehicle movement and / or to compare it with data from vehicle sensors, for example speed, yaw rate etc.
  • the vehicle-to-X communication device is designed by means of the plausibility check device to first carry out a plausibility check of the content of a signed vehicle-to-X message to be sent out, and then to verify the vehicle-to-X message to be sent out, in particular the signature of the signed message to be sent out Vehicle-to-X message, using the first verification device.
  • the plausibility check device is designed in accordance with a higher security integrity level than the generation device, the signature device and / or the transmission device.
  • the first verification device and the plausibility checking device are designed in accordance with a matching security integrity level.
  • the transmitting device is designed to transmit the vehicle-to-X message, in particular by means of an antenna, if the verification by the first verification device and / or the plausibility check by the plausibility check device is considered to have been successfully completed.
  • the vehicle-to-X communication device has a second verification device, the second verification device being designed to verify a signature of an received vehicle-to-X message.
  • a plausibility check of a gone vehicle-to-X message can also be provided by means of the second verification device.
  • the second verification device and the first verification device and / or the second verification device and the plausibility checking device can expediently be designed as a common checking device for realizing the functions mentioned.
  • a separate microcontroller or processor or a region of a die or chip of a microcontroller or processor can be provided for the verification devices and plausibility checking device.
  • the second verification device is designed in accordance with a higher security integrity level than the generation device, the signature device and / or the transmission device.
  • the second verification device is expediently designed in accordance with a security integrity level, which also includes the have first verification device and the plausibility device.
  • the second verification device is designed to verify the relevance of an received vehicle-to-X message, in particular by checking its time stamp and / or a position indication of a sender of the vehicle-to-X message encompassed by it.
  • the time stamp is expediently checked by comparison with a current time, it being possible to reject vehicle-to-X messages whose time stamp indicates that a predetermined age has been exceeded.
  • the use or use of a sequence number for vehicle-to-X messages is therefore not necessary, since vehicle-to-X messages usually include all the data required for the implementation of the described procedure.
  • a recipient of a transmitted vehicle-to-X message can thus recognize whether the vehicle-to-X message or data comprised by it on the transmission link was intended or was unintentionally falsified.
  • a receiving vehicle-to-X communication device fulfills the relevant requirements according to IS026262 for the ASIL certification.
  • the generating device, the signature device and / or the transmitting device is designed in accordance with a lowest security integrity level, in particular in accordance with an ASIL QM (Quality Management) classification.
  • ASIL QM Quality Management
  • Components of the vehicle-to-X communication device can thus be developed as essentially non-safety-relevant, in particular ASIL QM, whereby the vehicle-to-X communication device is accordingly less expensive to manufacture, since less development effort and possibly also cheaper components can be used than, for example, in an alternative solution in which the components of the vehicle-to-X communication device completely ASIL B capable of being interpreted.
  • the first verification device and / or the plausibility check device and / or the second verification device is designed according to an ASIL B, C or D classification, of which the design is preferably implemented according to ASIL B.
  • the generating device is designed to implement or execute a vehicle-to-X communication protocol stack, hereinafter referred to as vehicle-to-X communication stack or stack.
  • vehicle-to-X communication stack is designed according to an ASIL QM (Quality Management) classification.
  • an underlying computing unit which comprises at least the generating device, the signature device and / or the transmitting device, is implemented by means of a cellular modem chip (mobile radio modem), e.g. a Qualcomm modem chip, such as SDX24, the cellular modem being designed in particular in accordance with an ASIL QM classification.
  • a cellular modem chip mobile radio modem
  • a Qualcomm modem chip such as SDX24
  • the first verification device and / or the plausibility check device and / or in particular the second verification device is realized by means of a transceiver which supports in particular the IEEE 802.11p standard and / or a mobile radio standard.
  • a transceiver which supports in particular the IEEE 802.11p standard and / or a mobile radio standard.
  • a transceiver which supports in particular the IEEE 802.11p standard and / or a mobile radio standard.
  • a transceiver which supports in particular the IEEE 802.11p standard and / or a mobile radio standard.
  • NXP SAF5400 which is designed in particular in accordance with a safety integrity level in accordance with ASIL B, C or D.
  • the second verification device is implemented by means of a microcontroller, e.g. a Traveo2.
  • At least the transmitting device is designed by means of a transceiver, in particular supporting the IEEE 802.11p standard and / or a mobile radio standard (C-V2X), e.g. NXP SAF5400 or Qualcomm SDX24.
  • a transceiver in particular supporting the IEEE 802.11p standard and / or a mobile radio standard (C-V2X), e.g. NXP SAF5400 or Qualcomm SDX24.
  • the generation device, the first verification device, the plausibility check device, the second verification device, the signature device and / or the transmission device can expediently be implemented by means of at least one processor or microcontroller.
  • the devices can be provided on a common die or chip, different areas of the die or chip being used in particular, e.g. to implement the different levels of security integrity, if applicable.
  • the facilities mentioned can also be provided on a plurality of dies or chips and processors or microcontrollers.
  • the invention further relates to the use of the vehicle-to-X communication device in a vehicle or an infrastructure device.
  • vehicle can, for example, be a motor vehicle, in particular a passenger motor vehicle, a truck, a motorcycle, an electric motor vehicle or be a hybrid motor vehicle, a watercraft or an aircraft.
  • the invention further relates to a method for Verwirkli tion of a safety integrity level in vehicle-to-X communication and in particular execution by an embodiment of the vehicle-to-X communication device according to the invention, comprising the steps:
  • the vehicle-to-X message to be sent by means of a first verification device, the vehicle-to-X message to be sent, in particular a signature of the vehicle-to-X message to be sent,
  • the first verification device is designed according to a higher security integrity level than the Ge generation device, the signature device and / or the transmission device.
  • the steps of signing and verifying can be interchangeable in their sequence, depending on the design of the device or the method, it is the case that the step classified with the higher ASIL is expediently carried out last.
  • the device according to the invention is set up to carry out a method according to at least one of the above embodiments.
  • the specified device has at least one memory and one processor.
  • the specified method is stored in the form of a computer program in the memory and the processor is provided for executing the method when the computer program is loaded from the memory into the processor.
  • a computer program comprises program code means for carrying out all steps of one of the given methods when the computer program is executed on a computer or one of the specified devices.
  • a computer program product contains a program code which is stored on a computer-readable data carrier and which, if it is executed on a data processing device, carries out one of the given methods.
  • Fig. 1 shows an embodiment of a vehicle-to-X communication device according to the invention
  • Fig. 2 shows an embodiment of the method according to the invention.
  • FIG. 1 shows an embodiment of a vehicle-to-X communication device 10 according to the invention.
  • This comprises an electronic computing device 11, which is formed in a first step 1, a vehicle-to-X message to be sent out using a vehicle-to-X communication stack 11-1 based on a data bus 11-3 of a vehicle in question provided data to generate and transmit to a signature device 12.
  • the signature device 12 is designed to sign the vehicle-to-X message to be sent out using ECDSA (Elliptic Curve Digital Sig natare Algorithm) 12-1 and in a step 2 to a plausibility check device 13-1 of another electronic computing device 13 for checking the plausibility check to send the signed vehicle-to-X message.
  • ECDSA Elliptic Curve Digital Sig natare Algorithm
  • the content of the vehicle-to-X message to be sent is first checked with regard to its plausibility, for example by comparing it with abstract patterns of previous vehicle-to-X messages to be sent and evaluating it as plausible if there is essentially a match.
  • the signature of the vehicle-to-X message to be sent is then verified by means of verification device 13-2 of the further electronic computing device.
  • the verified and signed vehicle-to-X message to be sent out is passed from the further electronic computing device 13 in a step 3 to a transmitting device 11-2 of the electronic computing unit 11 for transmission in step 4 by means of an antenna 14 wear.
  • the electronic computing device 11 and the further electronic computing device 13 can be on a single one The or chip or on several dies or chips can be seen separately before.
  • the electronic computing device 11 is configured, for example, to execute a Linux operating system, which are classified or configured together as an ASIL QM system.
  • the communication stack 11-1 and the transmission device 11-2 are designed in accordance with ASIL QM.
  • the signature device 12 and the antenna 14 are exemplary for executing an ASIL B. classified or configured AUTOSAR operating system.
  • the plausibility check 13-1 and the verification device 13-2 are accordingly also designed in accordance with ASIL B.
  • the plausibility checking device 13-1 and the verification device 13-2 are thus designed according to a higher security integrity level than the communication stack 11-1, the sending device 11-2 and the signature device 12.
  • vehicle-to-X messages to be sent out can thus advantageously be classified according to ASIL-B, as a result of which vehicle-to-X messages sent out have a comparatively high degree of trust and errors are also recognized by a receiving vehicle-to-X communication device can, such as interference on the transmission link.
  • FIG. 2 shows an embodiment of the method according to the invention for execution with the vehicle-to-X communication device 10 according to FIG. 1.
  • the first step 1 by means of the vehicle-to-X communication stack 11-1, in particular a processor, generates a vehicle-to-X message to be sent out and transmits it to the signature device 12 for signature, the signature of the vehicle-to-X message using ECDSA 12-1 is running.
  • the signed vehicle-to-X message is transmitted to the plausibility check 13-1, which carries out the plausibility check of the content of the signed vehicle-to-X message.
  • the signature of the vehicle-to-X message is verified by means of verification device 13-2 and, if the result is positive, the signed and verified vehicle-to-X message to be sent out in step 3 to the transmitting device 11-2 for transmission by means Pass antenna 14 in step 4.
  • vehicle-to-X communication is understood in particular to mean direct communication between vehicles and / or between vehicles and infrastructure devices.
  • it can be vehicle-to-vehicle communication or vehicle-to-infrastructure communication.
  • this can in principle take place, for example, in the context of vehicle-to-vehicle communication, which typically takes place without intermediation by a mobile radio network or a similar external infrastructure and which is therefore carried out by other solutions, which are based, for example, on a mobile network, must be differentiated.
  • vehicle-to-X communication can take place using the standards IEEE 802.11p or IEEE 1609.4.
  • Vehicle-to-X communication can also be referred to as C2X communication or V2X communication.
  • the sections can be as C2C (Car-to-Car), V2V (Vehicle-to-Vehicle) or C2I (Car-to-Infrastructure), V2I (Vehicle-to-Infrastructure).
  • the invention does not explicitly exclude vehicle-to-X communication with switching, for example via a mobile radio network.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft eine Fahrzeug-zu-X Kommunikationsvorrichtung umfassend: - eine Generierungseinrichtung, welche ausgebildet ist eine auszusendende Fahrzeug-zu-X Nachricht zu generieren, - eine Signatureinrichtung, welche ausgebildet ist die auszusendende Fahrzeug-zu-X Nachricht zu signieren, - eine erste Verifikationseinrichtung, welche ausgebildet ist die auszusendende Fahrzeug-zu-X Nachricht zu verifizieren, - eine Sendeeinrichtung, welche ausgebildet ist die Fahrzeug-zu-X Nachricht auszusenden, wobei - die erste Verifikationseinrichtung gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die Generierungseinrichtung, die Signatureinrichtung und/oder die Sendeeinrichtung. Weiterhin betrifft die Erfindung ein korrespondierendes Verfahren sowie die Verwendung der Vorrichtung in einem Fahrzeug oder einer Infrastruktureinrichtung.

Description

VERWIRKLICHUNG EINES SICHERHEITSINTEGRITATSLEVELS BEI FAHRZEUG-ZU-X KOMMUNIKATION
5 Die vorliegende Erfindung betrifft ein Fahrzeug-zu-X Kommuni
kationsvorrichtung und ein Verfahren zur Verwirklichung eines Sicherheitsintegritätslevels bei Fahrzeug-zu-X Kommunikation.
Fahrzeug-zu-X-Kommunikation befindet sich derzeit auf dem Weg 10 zur Serieneinführung. Insbesondere ist dabei vorgesehen, dass
Fahrzeuge in bestimmten Abständen oder auch bei bestimmten Ereignissen Fahrzeug-zu-X Nachrichten aussenden, welche bei spielsweise Informationen über Geschwindigkeit, Position, Kurs, Beschleunigung oder besondere Ereignisse wie beispiels- 15 weise Pannen oder Notbremsmanöver umfassen. Die derzeit rele
vanten Standards sind IEEE802.11 (p) , IEEE1609, SAE 2735, SAE
2945 und ETSI ITS-G5. Zusätzlich werden aktuell neue Standards bei 3GPP für Cellular-V2X (C-V2X) erstellt.
20 Nachteilig bei dem gegenwärtigen Stand der Technik ist, dass
die verwendete Hardware und Software einer Fahrzeug-zu-X Kom munikationsvorrichtung aktuell nicht immer eine Einstufung in ein erfordertes Sicherheitsintegritätslevel, insbesondere ge mäß Automotive Safety Integrity Level (ASIL) , erlaubt, woraus 25 ein lediglich eingeschränktes Vertrauen in die Integrität von
empfangenen Fahrzeug-zu-X Nachrichten gegeben sein kann.
Aufgabe der Erfindung ist es daher eine Fahrzeug-zu-X Kommu nikationsvorrichtung und ein Verfahren bereitzustellen, wel- 30 che den Anforderungen an ein erfordertes Sicherheitsintegri
tätslevel (Safety) genügen und die dabei mit möglichst gerin gem Aufwand realisierbar sind. Diese Aufgabe wird durch die Gegenstände der unabhängigen An sprüche gelöst. Vorteilhafte Ausgestaltungen können beispiels weise den Unteransprüchen entnommen werden. Der Inhalt der Ansprüche wird durch ausdrückliche Inbezugnahme zum Inhalt der Beschreibung gemacht.
Die Erfindung betrifft eine Fahrzeug-zu-X Kommunikationsvor richtung umfassend:
- eine Generierungseinrichtung, welche ausgebildet ist eine auszusendende Fahrzeug-zu-X Nachricht zu generieren,
- eine Signatureinrichtung, welche ausgebildet ist, die auszusendende Fahrzeug-zu-X Nachricht zu signieren, ins besondere mittels eines Elliptische Kurven Digital Sig natur Algorithmus (ECDSA) ,
- eine erste Verifikationseinrichtung, welche ausgebildet ist, die auszusendende Fahrzeug-zu-X Nachricht, insbeson dere eine Signatur der auszusendenden Fahrzeug-zu-X Nach richt, zu verifizieren,
- eine Sendeeinrichtung, welche ausgebildet ist, die Fahr zeug-zu-X Nachricht insbesondere mittels einer Antenne auszusenden, wobei
- die erste Verifikationseinrichtung gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die Ge nerierungseinrichtung, die Signatureinrichtung und/oder die Sendeeinrichtung.
Ein Vorteil, welcher sich durch die Erfindung ergibt ist, dass der Prozess des Sendens von Fahrzeug-zu-X Nachrichten eine Einstufung in ein erfordertes Sicherheitsintegritätslevel , insbesondere gemäß Automotive Safety Integrity Level (ASIL) , erlaubt, wobei Hardware bzw. Software herangezogen werden kann, welche nicht umfassend ASIL zertifiziert zu sein braucht, also dem Grunde nach mit bereits vorhandener Hardware bzw. Software umsetzbar ist. Dadurch kann in vorteilhafter Weise ein erfordertes Sicherheitsintegritätslevel der funktionalen Sicherheit, bspw. ASIL B, der gesamten Fahrzeug-zu-X Kommuni kationsvorrichtung und somit der Fahrzeug-zu-X Kommunikation als solches ermöglicht werden. Dadurch ist insbesondere ein Schutz gegen die Übertragung von veränderten Informationen, insbesondere bei zufälligen und/oder systematischen Fehlern, umsetzbar. Außerdem sind mit der Fahrzeug-zu-X Kommunikations vorrichtung gemäß der Erfindung die Anforderungen an die Leis tungsfähigkeit der Fahrzeug-zu-X Kommunikation, beispielsweise gemäß US DOT NPRM FMVSS No. 150, erfüllbar.
Die Fahrzeug-zu-X Nachricht umfasst insbesondere mittels Fahr zeug-zu-X Kommunikation auszusendende Daten, welche beispiels weise mittels eines Datenübertragungsmittels, z.B. Datenbus, der Fahrzeug-zu-X Kommunikationsvorrichtung von einem anderen Fahrzeugsystem bereitgestellt wurden, sowie weitere Daten bzw. Informationen zur Realisierung der Fahrzeug-zu-X Kommunika tion .
Grundsätzlich kann alternativ vorgesehen sein, die Hardware und/oder Software der Fahrzeug-zu-X Kommunikationsvorrichtung im Wesentlichen vollständig entsprechend des erforderten Si- cherheitsintegritätslevels auszulegen, was jedoch erhöhte Kos ten verursacht und wodurch gegebenenfalls die Verfügbarkeit der Komponenten eingeschränkt werden könnte.
Entsprechend einer Ausführungsform umfasst die Fahrzeug-zu-X Kommunikationsvorrichtung eine Plausibilisierungseinrichtung, welche ausgebildet ist, von der auszusendenden Fahrzeug-zu-X Nachricht umfasste Informationen zumindest anteilig zu plau- sibilisieren . Die Plausibilisierungseinrichtung und die erste Verifikationseinrichtung können zweckmäßigerweise als eine ge meinsame Überprüfungseinrichtung zur Realisierung der genann ten Funktionen ausgestaltet sein. Entsprechend einer Ausführungsform ist die Plausibilisierungs einrichtung ausgestaltet zur Plausibilisierung der von der auszusendenden Fahrzeug-zu-X Nachricht umfassten Informatio nen, die von der auszusendenden Fahrzeug-zu-X Nachricht um fassten Informationen mit Mustern vorangegangener auszusenden der und/oder eingegangener Fahrzeug-zu-X Nachrichten zu ver gleichen. Weiterbildungsgemäß gilt die Plausibilisierung als erfolgreich, wenn sich die Muster vorangegangener auszusenden der und/oder eingegangener Fahrzeug-zu-X Nachrichten auf die auszusendende Fahrzeug-zu-X Nachricht abbilden lassen, also eine vorgegebene Abweichungstoleranz der zugrundeliegenden In formationen nicht überschritten wird. Alternativ oder in Er gänzung kann gemäß einer Ausführungsform vorgesehen sein zur Verifikation bzw. Plausibilisierung eine Überprüfung einer physikalischen Möglichkeit einer Fahrzeugbewegung und/oder ein Vergleich mit Daten von Fahrzeugsensoren, z.B. Geschwindig keit, Gierrate etc. vorzunehmen.
Weiterbildungsgemäß ist die Fahrzeug-zu-X Kommunikationsvor richtung ausgestaltet mittels der Plausibilisierungseinrich tung zunächst eine Plausibilitätsprüfung des Inhalts einer auszusendenden signierten Fahrzeug-zu-X Nachricht vorzunehmen und im Weiteren eine Verifikation der auszusendenden Fahrzeug- zu-X Nachricht, insbesondere der Signatur der auszusendenden signierten Fahrzeug-zu-X Nachricht, mittels der ersten Veri fikationseinrichtung vorzunehmen .
Entsprechend einer Ausführungsform ist die Plausibilisierungs einrichtung gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet als die Generierungseinrichtung, die Signaturein richtung und/oder die Sendeeinrichtung. Zweckmäßigerweise sind die erste Verifikationseinrichtung und die Plausibilisierungs einrichtung gemäß eines übereinstimmenden Sicherheitsintegri- tätslevels ausgestaltet.
Die Sendeeinrichtung ist entsprechend einer Ausführungsform ausgebildet, die Fahrzeug-zu-X Nachricht insbesondere mittels einer Antenne auszusenden, wenn die Verifikation durch die erste Verifikationseinrichtung und/oder die Plausibilisierung durch die Plausibilisierungseinrichtung als erfolgreich abge schlossen gilt.
Entsprechend einer Ausführungsform weist die Fahrzeug-zu-X Kommunikationsvorrichtung eine zweite Verifikationseinrich tung auf, wobei die zweite Verifikationseinrichtung ausgestal tet ist, eine Signatur einer eingegangenen Fahrzeug-zu-X Nach richt zu verifizieren. Auch kann eine Plausibilisierung ein gegangener Fahrzeug-zu-X Nachrichten mittels der zweiten Ve rifikationseinrichtung vorgesehen sein. Die zweite Verifika tionseinrichtung und die erste Verifikationseinrichtung und/o der die zweite Verifikationseinrichtung und die Plausibilisie rungseinrichtung können zweckmäßigerweise als eine gemeinsame Überprüfungseinrichtung zur Realisierung der genannten Funk tionen ausgestaltet sein. Beispielsweise kann für die Verifi kationseinrichtungen und Plausibilisierungseinrichtung ein se parater Mikrocontroller bzw. Prozessor oder ein Bereich eines Dies bzw. Chips eines Mikrocontrollers bzw. Prozessors vorge sehen sein.
Entsprechend einer Ausführungsform ist die zweite Verifikati onseinrichtung gemäß eines höheren Sicherheitsintegritätsle- vels ausgestaltet als die Generierungseinrichtung, die Signa tureinrichtung und/oder die Sendeeinrichtung. Zweckmäßiger weise ist die zweite Verifikationseinrichtung gemäß eines Si- cherheitsintegritätslevels ausgestaltet, welches auch die erste Verifikationseinrichtung und die Plausibilisierungsein richtung aufweisen.
Weiterbildungsgemäß ist die zweite Verifikationseinrichtung ausgebildet, eine eingegangene Fahrzeug-zu-X Nachricht hin sichtlich ihrer Relevanz zu verifizieren, insbesondere durch Überprüfung von deren Zeitstempel und/oder einer von dieser umfassten Positionsangabe eines Aussenders der Fahrzeug-zu-X Nachricht. Zweckmäßigerweise erfolgt die Überprüfung des Zeit stempels durch Vergleich mit einer aktuellen Uhrzeit, wobei vorgesehen sein kann Fahrzeug-zu-X Nachrichten zu verwerfen, deren Zeitstempel ein überschreiten eines vorgegebenen Alters anzeigt. Vorteilhafterweise ist damit auch die Verwendung oder Heranziehung einer Sequenznummer für Fahrzeug-zu-X Nachrichten nicht notwendig, da Fahrzeug-zu-X Nachrichten üblicherweise sämtliche für die Realisierung der beschriebenen Vorgehens weise benötigten Daten umfassen.
Ein Empfänger einer ausgesandten Fahrzeug-zu-X Nachricht kann somit erkennen, ob die Fahrzeug-zu-X Nachricht bzw. von dieser umfasste Daten auf der Übertragungsstrecke beabsichtigt oder unbeabsichtigt verfälscht wurde. Durch Ausführung der genann ten Schritte erfüllt eine empfangende Fahrzeug-zu-X Kommuni kationsvorrichtung die relevanten Anforderungen gemäß IS026262 für die ASIL Zertifizierung.
Entsprechend einer Ausführungsform ist die Generierungsein richtung, die Signatureinrichtung und/oder die Sendeeinrich tung gemäß eines niedrigsten Sicherheitsintegritätslevels aus gestaltet, insbesondere gemäß einer ASIL QM (Quality Manage ment) Einstufung. Komponenten der Fahrzeug-zu-X Kommunikati onsvorrichtung können damit als im wesentlichen nicht sicher heitsrelevant, insbesondere ASIL QM, entwickelt werden, wodurch die Fahrzeug-zu-X Kommunikationsvorrichtung entspre chend preisgünstiger herstellbar ist, da weniger Entwicklungs aufwand und eventuell auch günstigere Komponenten verwendet werden können, als dies beispielsweise bei einer alternativen Lösung, bei der die Komponenten der Fahrzeug-zu-X Kommunika tionsvorrichtung vollständig ASIL B fähig ausgelegt werden.
Entsprechend einer Ausführungsform ist die erste Verifizie rungseinrichtung und/oder die Plausibilisierungseinrichtung und/oder die zweite Verifizierungseinrichtung gemäß einer ASIL B, C oder D Einstufung ausgelegt, wovon die Auslegung bevorzugt gemäß ASIL B realisiert ist.
Entsprechend einer Ausführungsform ist die Generierungsein richtung ausgebildet einen Fahrzeug-zu-X Kommunikationsproto kollstapel, nachfolgend Fahrzeug-zu-X Kommunikationsstack o- der Stack genannt, zur realisieren bzw. auszuführen. Weiter bildungsgemäß ist der Fahrzeug-zu-X Kommunikationsstack gemäß einer ASIL QM (Quality Management) Einstufung ausgelegt.
Entsprechend einer Ausführungsform ist eine zugrundeliegende Recheneinheit, welche zumindest die Generierungseinrichtung, die Signatureinrichtung und/oder die Sendeeinrichtung umfasst, mittels eines zellulären Modem Chips (Mobilfunkmodem) reali siert, z.B. eines Qualcomm Modem Chips, wie SDX24, wobei das zelluläre Modem insbesondere gemäß einer ASIL QM Einstufung ausgestaltet ist.
Entsprechend einer Ausführungsform ist die erste Verifikati onseinrichtung und/oder die Plausibilisierungseinrichtung und/oder insbesondere die zweite Verifikationseinrichtung mit tels eines, insbesondere den Standard IEEE 802.11p und/oder einen Mobilfunkstandard unterstützenden, Transceivers reali- siert, z.B. eines NXP SAF5400, welcher insbesondere entspre chende einer Sicherheitsintegritätsstufe gemäß ASIL B, C oder D ausgestaltet ist.
Entsprechend einer weiteren Ausführungsform ist die zweite Ve rifikationseinrichtung mittels eines Mikrocontrollers reali siert, z.B. eines Traveo2.
Entsprechend einer Ausführungsform ist zumindest die Sendeein richtung mittels eines, insbesondere den Standard IEEE 802.11p und/oder einen Mobilfunkstandard (C-V2X) unterstützenden, Transceivers ausgestaltet, z.B. NXP SAF5400 bzw. Qualcomm SDX24.
Es sei verstanden, dass die Generierungseinrichtung, die erste Verifikationseinrichtung, die Plausibilisierungseinrichtung, die zweite Verifikationseinrichtung, die Signatureinrichtung und/oder die Sendeeinrichtung zweckmäßigerweise mittels zumin dest eines Prozessors bzw. Mikrocontrollers realisiert sein können. Die Einrichtungen können im Falle eines einzelnen Pro zessors bzw. Mikrocontrollers auf einem gemeinsamen Die bzw. Chip vorgesehen sein, wobei insbesondere unterschiedliche Be reiche des Dies bzw. Chips herangezogen werden, z.B. um die ggf. verschiedenen Sicherheitsintegritätslevel entsprechend umzusetzen. Alternativ oder in Ergänzung können die genannten Einrichtungen auch auf einer Mehrzahl Dies bzw. Chips und Pro zessoren bzw. Mikrocontrollern vorgesehen sein.
Die Erfindung betrifft weiterhin die Verwendung der Fahrzeug- zu-X Kommunikationsvorrichtung in einem Fahrzeug oder einer Infrastruktureinrichtung. Das Fahrzeug kann beispielsweise ein Kraftfahrzeug, insbesondere ein Personenkraftfahrzeug, ein Lastkraftfahrzeug, ein Motorrad, ein Elektrokraftfahrzeug oder ein Hybridkraftfahrzeug, ein Wasserfahrzeug oder ein Luftfahr zeug sein.
Die Erfindung betrifft weiterhin ein Verfahren zur Verwirkli chung eines Sicherheitsintegritätslevels bei Fahrzeug-zu-X Kommunikation und insbesondere Ausführung durch eine Ausfüh rungsform der Fahrzeug-zu-X Kommunikationsvorrichtung gemäß der Erfindung, aufweisend die Schritte:
- Generieren, mittels einer Generierungseinrichtung, einer auszusendenden Fahrzeug-zu-X Nachricht,
- Signieren, mittels einer Signatureinrichtung, die auszu sendende Fahrzeug-zu-X Nachricht,
- Verifizieren, mittels einer ersten Verifikationseinrich tung, der auszusendenden Fahrzeug-zu-X Nachricht, insbe sondere eine Signatur der auszusendenden Fahrzeug-zu-X Nachricht,
- Aussenden, mittels einer Sendeeinrichtung, der signierten und verifizierten auszusendenden Fahrzeug-zu-X Nachricht, wobei
- die erste Verifikationseinrichtung gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die Ge nerierungseinrichtung, die Signatureinrichtung und/oder die Sendeeinrichtung.
Insbesondere die Schritte des Signierens und des Verifizierens können je nach Ausgestaltung der Vorrichtung bzw. des Verfah rens in ihrer Reihenfolge vertauschbar sein, es gilt das der Schritt der mit dem höheren ASIL klassifiziert ist zweckmäßi gerweise zuletzt erfolgt.
Weitere bevorzugte Ausführungsformen des Verfahrens gemäß der Erfindung ergeben sich anhand der Beschreibung zu den Ausfüh rungsformen der Fahrzeug-zu-X Kommunikationsvorrichtung gemäß der Erfindung. Gemäß einem weiteren Aspekt der Erfindung ist die Vorrichtung gemäß der Erfindung eingerichtet, ein Verfahren nach wenigs tens einem der vorstehenden Ausführungsformen durchzuführen.
In einer Weiterbildung der angegebenen Fahrzeug-zu-X Kommuni kationsvorrichtung weist die angegebene Vorrichtung zumindest einen Speicher und einen Prozessor auf. Dabei ist das angege bene Verfahren in Form eines Computerprogramms in dem Speicher hinterlegt und der Prozessor zur Ausführung des Verfahrens vorgesehen, wenn das Computerprogramm aus dem Speicher in den Prozessor geladen ist.
Gemäß einem weiteren Aspekt der Erfindung umfasst ein Compu terprogramm Programmcodemittel, um alle Schritte eines der an gegebenen Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer oder einer der angegebenen Vorrichtungen ausgeführt wird.
Gemäß einem weiteren Aspekt der Erfindung enthält ein Compu terprogrammprodukt einen Programmcode, der auf einem computer lesbaren Datenträger gespeichert ist und der, wenn er auf einer Datenverarbeitungseinrichtung ausgeführt wird, eines der an gegebenen Verfahren durchführt.
Einige besonders vorteilhafte Ausgestaltungen der Erfindung sind in den Unteransprüchen angegeben. Weitere bevorzugte Aus führungsformen ergeben sich auch aus der nachfolgenden Be schreibung von Ausführungsbeispielen an Hand von Figuren.
In schematischer Darstellung zeigen:
Fig. 1 ein Ausführungsbeispiel einer Fahrzeug-zu-X Kommu nikationsvorrichtung gemäß der Erfindung und Fig . 2 eine Ausführungsform des Verfahrens gemäß der Erfin dung .
Die Fig. 1 zeigt ein Ausführungsbeispiel einer Fahrzeug-zu-X Kommunikationsvorrichtung 10 gemäß der Erfindung. Diese um fasst eine elektronische Recheneinrichtung 11, welche ausge bildet ist in einem ersten Schritt 1 eine auszusendende Fahr zeug-zu-X Nachricht mittels eines Fahrzeug-zu-X Kommunikati onsstacks 11-1 auf Basis von mittels eines Datenbusses 11-3 eines betreffenden Fahrzeugs bereitgestellten Daten zu gene rieren und an eine Signatureinrichtung 12 zu übermitteln. Die Signatureinrichtung 12 ist ausgebildet die auszusendende Fahr zeug-zu-X Nachricht mittels ECDSA (Elliptic Curve Digital Sig natare Algorithm) 12-1 zu signieren und in einem Schritt 2 an eine Plausibilisierungseinrichtung 13-1 einer weiteren elekt ronischen Recheneinrichtung 13 zur Plausibilisierung der aus zusendenden signierten Fahrzeug-zu-X Nachricht zu übermitteln. Zur Plausibilisierung wird der Inhalt der auszusendenden Fahr zeug-zu-X Nachricht zunächst hinsichtlich seiner Plausibilität überprüft, beispielsgemäß indem dieser mit abstrakten Mustern vorhergehender auszusendender Fahrzeug-zu-X Nachrichten ver glichen und bei im Wesentlichen vorliegender Übereinstimmung als plausibel bewertet wird. Anschließend erfolgt eine Veri fizierung der Signatur der auszusendenden Fahrzeug-zu-X Nach richt mittels Verifikationseinrichtung 13-2 der weiteren elektronischen Recheneinrichtung. Im Anschluss an einen er folgreichen Verifikationsvorgang wird die verifizierte und signierte auszusendende Fahrzeug-zu-X Nachricht von der wei teren elektronischen Recheneinrichtung 13 in einem Schritt 3 an eine Sendeeinrichtung 11-2 der elektronischen Recheneinheit 11 zur Aussendung in Schritt 4 mittels einer Antenne 14 über tragen. Die elektronische Recheneinrichtung 11 und die weitere elektronische Recheneinrichtung 13 können auf einem einzigen Die bzw. Chip oder auf mehrere Dies bzw. Chips getrennt vor gesehen sein.
Die elektronische Recheneinrichtung 11 ist beispielsgemäß zur Ausführung eines Linux Betriebssystem ausgestaltet, welche ge meinsam als ASIL QM System eingestuft bzw. ausgestaltet sind. Dementsprechend sind der Kommunikationsstack 11-1 und Sende einrichtung 11-2 gemäß ASIL QM ausgelegt. Gleiches gilt für die Signatureinrichtung 12 und die Antenne 14. Anders als die Recheneinrichtung 11, mit Kommunikationsstack 11-1 und Sende einrichtung 11-2, sowie der Signatureinrichtung 12 und Antenne 14 ist die weitere elektronische Recheneinrichtung 13 bei spielsgemäß zur Ausführung eines gemäß ASIL B eingestuften bzw. ausgestalteten AUTOSAR Betriebssystems eingerichtet. Die Plausibilisierungseinrichtung 13-1 sowie die Verifikationsein richtung 13-2 sind dementsprechend ebenfalls gemäß ASIL B aus gestaltet. Die Plausibilisierungseinrichtung 13-1 und die Ve rifikationseinrichtung 13-2 sind somit gemäß eines höheren Si- cherheitsintegritätslevels ausgestaltet als der Kommunikati onsstack 11-1, die Sendeeinrichtung 11-2 sowie die Signatur einrichtung 12.
In vorteilhafter Weise kann der Verarbeitungsprozess auszusen dender Fahrzeug-zu-X Nachrichten somit gemäß ASIL-B eingestuft werden, wodurch ausgesandte Fahrzeug-zu-X Nachrichten ein ver gleichsweise hohes Vertrauensmaß aufweisen und Fehler durch eine empfangende Fahrzeug-zu-X Kommunikationsvorrichtung ebenso erkannt werden können, wie Störungen auf der Übertra gungsstrecke .
Die Fig. 2 zeigt eine Ausführungsform des Verfahrens gemäß der Erfindung zur Ausführung mit der Fahrzeug-zu-X Kommunikations vorrichtung 10 gemäß Fig. 1. In dem ersten Schritt 1 wird mittels des Fahrzeug-zu-X Kommunikationsstacks 11-1, insbeson dere eines Prozessors, eine auszusendende Fahrzeug-zu-X Nach richt generiert und an die Signatureinrichtung 12 zur Signie rung übermittelt, wobei die Signatur der Fahrzeug-zu-X Nach richt mittels ECDSA 12-1 ausgeführt wird. In Schritt 2 erfolgt das Übermitteln der signierten Fahrzeug-zu-X Nachricht an die Plausibilisierungseinrichtung 13-1, welche die Plausibilitäts prüfung des Inhalts der signierten Fahrzeug-zu-X Nachricht vornimmt. Nach erfolgreicher Plausibilisierung wird die Sig natur der Fahrzeug-zu-X Nachricht mittels Verifikationsein richtung 13-2 verifiziert und bei positivem Ergebnis die sig nierte und verifizierte auszusendende Fahrzeug-zu-X Nachricht in Schritt 3 an die Sendeeinrichtung 11-2 zur Aussendung mit tels Antenne 14 in Schritt 4 übergeben.
Sofern sich im Laufe des Verfahrens herausstellt, dass ein Merkmal oder eine Gruppe von Merkmalen nicht zwingend nötig ist, so wird anmelderseitig bereits jetzt eine Formulierung zumindest eines unabhängigen Anspruchs angestrebt, welcher das Merkmal oder die Gruppe von Merkmalen nicht mehr aufweist. Hierbei kann es sich beispielsweise um eine Unterkombination eines am Anmeldetag vorliegenden Anspruchs oder um eine durch weitere Merkmale eingeschränkte Unterkombination eines am An meldetag vorliegenden Anspruchs handeln. Derartige neu zu for mulierende Ansprüche oder Merkmalskombinationen sind als von der Offenbarung dieser Anmeldung mit abgedeckt zu verstehen.
Es sei ferner darauf hingewiesen, dass Ausgestaltungen, Merk male und Varianten der Erfindung, welche in den verschiedenen Ausführungen oder Ausführungsbeispielen beschriebenen und/o der in den Figuren gezeigt sind, beliebig untereinander kom binierbar sind. Einzelne oder mehrere Merkmale sind beliebig gegeneinander austauschbar. Hieraus entstehende Merkmalskom binationen sind als von der Offenbarung dieser Anmeldung mit abgedeckt zu verstehen.
Rückbezüge in abhängigen Ansprüchen sind nicht als ein Ver zicht auf die Erzielung eines selbständigen, gegenständlichen Schutzes für die Merkmale der rückbezogenen Unteransprüche zu verstehen. Diese Merkmale können auch beliebig mit anderen Merkmalen kombiniert werden.
Merkmale, die lediglich in der Beschreibung offenbart sind oder Merkmale, welche in der Beschreibung oder in einem An spruch nur in Verbindung mit anderen Merkmalen offenbart sind, können grundsätzlich von eigenständiger erfindungswesentlicher Bedeutung sein. Sie können deshalb auch einzeln zur Abgrenzung vom Stand der Technik in Ansprüche aufgenommen werden.
Allgemein sei darauf hingewiesen, dass unter Fahrzeug-zu-X Kommunikation insbesondere eine direkte Kommunikation zwischen Fahrzeugen und/oder zwischen Fahrzeugen und Infrastrukturein richtungen verstanden wird. Beispielsweise kann es sich also um Fahrzeug-zu-Fahrzeug Kommunikation oder um Fahrzeug-zu-Inf- rastruktur Kommunikation handeln. Sofern im Rahmen dieser An meldung auf eine Kommunikation zwischen Fahrzeugen Bezug ge nommen wird, so kann diese grundsätzlich beispielsweise im Rahmen einer Fahrzeug-zu-Fahrzeug Kommunikation erfolgen, wel che typischerweise ohne Vermittlung durch ein Mobilfunknetz oder eine ähnliche externe Infrastruktur erfolgt und welche deshalb von anderen Lösungen, welche beispielsweise auf ein Mobilfunknetz aufbauen, abzugrenzen ist. Beispielsweise kann eine Fahrzeug-zu-X Kommunikation unter Verwendung der Stan dards IEEE 802.11p oder IEEE 1609.4 erfolgen. Eine Fahrzeug- zu-X Kommunikation kann auch als C2X-Kommunikation oder V2X- Kommunikation bezeichnet werden. Die Teilbereiche können als C2C (Car-to-Car) , V2V (Vehicle-to-Vehicle) oder C2I (Car-to- Infrastructure) , V2I (Vehicle-to-Infrastrukture) bezeichnet werden. Die Erfindung schließt jedoch Fahrzeug-zu-X Kommuni kation mit Vermittlung beispielsweise über ein Mobilfunknetz explizit nicht aus.

Claims

Patentansprüche
1. Fahrzeug-zu-X Kommunikationsvorrichtung umfassend:
- eine Generierungseinrichtung, welche ausgebildet ist eine auszusendende Fahrzeug-zu-X Nachricht zu generieren,
- eine Signatureinrichtung, welche ausgebildet ist die aus zusendende Fahrzeug-zu-X Nachricht zu signieren,
- eine erste Verifikationseinrichtung, welche ausgebildet ist die auszusendende Fahrzeug-zu-X Nachricht zu verifi zieren,
- eine Sendeeinrichtung, welche ausgebildet ist die auszu sendende Fahrzeug-zu-X Nachricht auszusenden, wobei
- die erste Verifikationseinrichtung gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die Ge nerierungseinrichtung, die Signatureinrichtung und/oder die Sendeeinrichtung.
2. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß Anspruch 1, umfassend eine Plausibilisierungseinrichtung, welche aus gebildet ist, von der auszusendenden Fahrzeug-zu-X Nach richt umfasste Informationen zumindest anteilig zu plau- sibilisieren .
3. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß Anspruch 1 oder 2, ausgestaltet mittels der Plausibilisierungsein richtung eine Plausibilitätsprüfung der auszusendenden Fahrzeug-zu-X Nachricht vorzunehmen und darauf folgend mittels der ersten Verifikationseinrichtung eine Verifi kation der auszusendenden Fahrzeug-zu-X Nachricht vorzu nehmen .
4. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß zumindest einem der Ansprüche 1 bis 3, wobei die Plausibilisierungs- einrichtung zur Plausibilisierung der von der auszusenden den Fahrzeug-zu-X Nachricht umfassten Informationen derart ausgestaltet ist, die von der auszusendenden Fahrzeug-zu- X Nachricht umfassten Informationen mit Mustern vorange gangener auszusendender und/oder eingegangener Fahrzeug- zu-X Nachrichten zu vergleichen.
5. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß Anspruch 2 bis 4, wobei die Plausibilisierungseinrichtung gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist, als die Generierungseinrichtung, die Signatureinrichtung und/oder die Sendeeinrichtung.
6. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß zumindest einem der Ansprüche 2 bis 5, wobei die Sendeeinrichtung ausgebildet ist die auszusendende Fahrzeug-zu-X Nachricht auszusenden, wenn die Verifikation durch die erste Veri fikationseinrichtung und/oder die Plausibilisierung durch die Plausibilisierungseinrichtung als erfolgreich abge schlossen gilt.
7. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß zumindest einem der vorhergehenden Ansprüche, wobei die Fahrzeug-zu- X Kommunikationsvorrichtung eine zweite Verifikationsein richtung aufweist, wobei die zweite Verifikationseinrich tung ausgestaltet ist, eine Signatur einer eingegangenen Fahrzeug-zu-X Nachricht zu verifizieren.
8. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß zumindest einem der vorhergehenden Ansprüche, wobei die zweite Ve rifikationseinrichtung ausgebildet ist, eine eingegangene Fahrzeug-zu-X Nachricht hinsichtlich ihrer Relevanz zu ve rifizieren .
9. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß zumindest einem der vorhergehenden Ansprüche, wobei die Generie rungseinrichtung, die Signatureinrichtung und/oder die Sendeeinrichtung gemäß eines niedrigsten Sicherheitsinteg- ritätslevels ausgestaltet ist.
10. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß zumindest einem der vorhergehenden Ansprüche, wobei die Generie rungseinrichtung, die Signatureinrichtung und/oder die Sendeeinrichtung gemäß einer ASIL QM Einstufung ausgestal tet ist.
11. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß zumindest einem der vorhergehenden Ansprüche, wobei die erste Veri fizierungseinrichtung und/oder die Plausibilisierungsein richtung und/oder die zweite Verifizierungseinrichtung ge mäß einer ASIL B, C oder D Einstufung ausgestaltet ist.
12. Fahrzeug-zu-X Kommunikationsvorrichtung gemäß zumindest einem der vorhergehenden Ansprüche, wobei die Generie rungseinrichtung als Fahrzeug-zu-X Kommunikationsproto kollstapel ausgebildet ist.
13. Verwendung der Vorrichtung gemäß einem der vorhergehenden Ansprüche in einem Fahrzeug oder einer Infrastrukturein richtung .
14. Verfahren zur Verwirklichung eines Sicherheitsintegritäts- levels aufweisend die Schritte:
- Generieren, mittels einer Generierungseinrichtung, einer auszusendenden Fahrzeug-zu-X Nachricht,
- Signieren, mittels einer Signatureinrichtung, die auszu sendende Fahrzeug-zu-X Nachricht - Verifizieren, mittels einer ersten Verifikationseinrich tung, der auszusendenden Fahrzeug-zu-X Nachricht,
- Aussenden, mittels einer Sendeeinrichtung, der signierten und verifizierten auszusendenden Fahrzeug-zu-X Nachricht, wobei
- die erste Verifikationseinrichtung gemäß eines höheren Sicherheitsintegritätslevels ausgestaltet ist als die Ge nerierungseinrichtung, die Signatureinrichtung und/oder die Sendeeinrichtung.
PCT/EP2019/071962 2018-08-21 2019-08-15 Verwirklichung eines sicherheitsintegritätslevels bei fahrzeug-zu-x kommunikation WO2020038831A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE112019002379.9T DE112019002379A5 (de) 2018-08-21 2019-08-15 Verwirklichung eines Sicherheitsintegritätslevels bei Fahrzeug-zu-X-Kommunikation

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/107,050 US11129024B2 (en) 2018-08-21 2018-08-21 Vehicle-to-X communication device and method for realizing a safety integrity level in vehicle-to-X communication
US16/107,050 2018-08-21

Publications (1)

Publication Number Publication Date
WO2020038831A1 true WO2020038831A1 (de) 2020-02-27

Family

ID=67667856

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2019/071962 WO2020038831A1 (de) 2018-08-21 2019-08-15 Verwirklichung eines sicherheitsintegritätslevels bei fahrzeug-zu-x kommunikation

Country Status (3)

Country Link
US (1) US11129024B2 (de)
DE (1) DE112019002379A5 (de)
WO (1) WO2020038831A1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102188738B1 (ko) * 2019-12-09 2020-12-08 현대오트론 주식회사 오토사 운영체제의 알람 오프셋 최적화 장치
EP3944116A1 (de) * 2020-07-21 2022-01-26 Valeo Comfort and Driving Assistance Verfahren zum weiterleiten von automotive safety integrity level (asil) -relevanten informationen in einem vehicle bus system (vbs) eines fahrzeugs von einer datenquelle zu einer datensenke und vbs zum weiterleiten von asil-relevanten informationen in einem fahrzeug von einer datenquelle zu einer datensenke
DE102020212565A1 (de) * 2020-10-06 2022-04-07 Volkswagen Aktiengesellschaft Fahrzeug, Vorrichtung, Computerprogramm und Verfahren zur Durchführung in einem Fahrzeug
EP4087294A1 (de) * 2021-05-06 2022-11-09 Robert Bosch GmbH Verfahren und vorrichtungen zur funkkommunikation
US20230199493A1 (en) * 2021-12-21 2023-06-22 Continental Automotive Systems, Inc. System and method for determining v2x message integrity
US20230290189A1 (en) * 2022-03-10 2023-09-14 Xilinx, Inc. Flexible queue provisioning for partitioned acceleration device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2541829A1 (de) * 2010-02-24 2013-01-02 Renesas Electronics Corporation Drahtlose kommunikationsvorrichtung und authentifizierungsbearbeitungsverfahren
DE102012221462A1 (de) * 2012-11-23 2014-05-28 Robert Bosch Gmbh Verfahren und System zur Fernabfrage von Fahrzeugdaten
EP3110101A1 (de) * 2015-06-22 2016-12-28 Volkswagen Aktiengesellschaft Verfahren zu einem manipulationsschutz von über ein bussystem zwischen systemkomponenten zu übertragenden nutzdatenpaketen
US20190108109A1 (en) * 2018-11-26 2019-04-11 Intel Corporation Technology To Provide Fault Tolerance For Elliptic Curve Digital Signature Algorithm Engines

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011101359A1 (de) * 2011-05-12 2012-11-15 GM Global Technology Operations LLC (n. d. Gesetzen des Staates Delaware) Verfahren und Vorrichtung zur Klassifikation von Daten
DE102012024818A1 (de) * 2012-03-06 2013-09-12 Conti Temic Microelectronic Gmbh Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem
DE102012215343A1 (de) * 2012-08-29 2014-05-28 Continental Automotive Gmbh Verfahren zum Durchführen einer Sicherheitsfunktion eines Fahrzeugs und System zum Durchführen des Verfahrens
US9638762B2 (en) * 2014-02-24 2017-05-02 Infineon Technologies Ag Highly efficient diagnostic methods for monolithic sensor systems
DE102014226032A1 (de) * 2014-12-16 2016-06-16 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
DE102016212196A1 (de) * 2016-07-05 2018-01-11 Robert Bosch Gmbh Verfahren zum Auswerten von Sensordaten
EP3500940A4 (de) * 2016-08-22 2020-03-18 Peloton Technology, Inc. Aufbau eines automatisierten angeschlossenen fahrzeugsteuerungssystems
EP4113302B1 (de) * 2017-01-05 2024-01-24 Guardknox Cyber Technologies Ltd. Speziell programmierte datenverarbeitungssysteme mit zugeordneten vorrichtungen zur implementierung einer ecu für zentralisierte dienste auf der basis einer dienstorientierten architektur und verfahren zur verwendung davon
US10482289B2 (en) * 2017-08-24 2019-11-19 Qualcomm Incorporated Computing device to provide access control to a hardware resource
GB2567189B (en) * 2017-10-05 2020-10-21 Advanced Risc Mach Ltd Handling errors in buffers
EP3707572B1 (de) * 2017-11-10 2023-08-23 Nvidia Corporation Systeme und verfahren für sichere und zuverlässige autonome fahrzeuge
US10620266B2 (en) * 2017-11-29 2020-04-14 Intel Corporation System, apparatus and method for in-field self testing in a diagnostic sleep state

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2541829A1 (de) * 2010-02-24 2013-01-02 Renesas Electronics Corporation Drahtlose kommunikationsvorrichtung und authentifizierungsbearbeitungsverfahren
DE102012221462A1 (de) * 2012-11-23 2014-05-28 Robert Bosch Gmbh Verfahren und System zur Fernabfrage von Fahrzeugdaten
EP3110101A1 (de) * 2015-06-22 2016-12-28 Volkswagen Aktiengesellschaft Verfahren zu einem manipulationsschutz von über ein bussystem zwischen systemkomponenten zu übertragenden nutzdatenpaketen
US20190108109A1 (en) * 2018-11-26 2019-04-11 Intel Corporation Technology To Provide Fault Tolerance For Elliptic Curve Digital Signature Algorithm Engines

Also Published As

Publication number Publication date
DE112019002379A5 (de) 2021-03-04
US20200068405A1 (en) 2020-02-27
US11129024B2 (en) 2021-09-21

Similar Documents

Publication Publication Date Title
WO2020038831A1 (de) Verwirklichung eines sicherheitsintegritätslevels bei fahrzeug-zu-x kommunikation
DE102012204880B4 (de) Verfahren und Fahrzeug-zu-X-Kommunikationssystem zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften
EP2058992B1 (de) Verfahren zum Bearbeiten von Nachrichten und Nachrichtenbearbeitungsvorrichtung
EP2730076A1 (de) Datenauswahlverfahren zur verminderung des dekodierrechenaufwands eines fahrzeug-zu-x-kommunikationssystems und fahrzeug-zu-x-kommunikationssystem
WO2015025048A2 (de) Filterung weiterzuleitender datenpakete im car2x-netzwerk
WO2013102575A1 (de) Verfahren zur erkennung redundant empfangener informationen, fahrzeug-zu-x-kommunikationssystem und verwendung des systems
DE102012216392A1 (de) Verfahren und System zur verteilten Übertragung eines Kommunikationsflusses sowie Verwendung des Systems
DE102016217099B4 (de) Verfahren zum Verarbeiten von Fahrzeug-zu-X-Nachrichten
DE102016217100B4 (de) Verfahren zum Verarbeiten von Fahrzeug-zu-X-Nachrichten
DE102018219960A1 (de) Fahrzeug-zu-X-Kommunikationsanordnung und Verfahren zum Empfangen von Fahrzeug-zu-X-Nachrichten
DE102021209134A1 (de) Verfahren und Vorrichtung zur Validierung von Fahrzeug-zu-X Nachrichten zur Regelung des Verkehrsflusses
EP2907288A1 (de) Verfahren und vorrichtung zum betreiben einer anwendung eines fahrzeugs
DE112020002661T5 (de) Elektronische steuereinheit und kommunikationssystem
DE102020211473A1 (de) Vorrichtung zur Fahrzeug-zu-X Kommunikation und Verfahren
WO2021078336A1 (de) Verfahren zur ausführung durch eine vorrichtung eines egofahrzeugs oder einer infrastruktureinrichtung, vorrichtung, fahrzeug bzw. infrastruktureinrichtung und verwendung der vorrichtung
WO2021018707A1 (de) Kommunikationsvorrichtung zur fahrzeug-zu-x kommunikation, verfahren und verwendung
EP3881572B1 (de) Vorrichtung und verfahren zur simulation von fahrzeug-zu-x kommunikation
DE102018215141A1 (de) Verfahren zur Verbesserung des Nutzungsgrades einer Fahrzeug-zu-X Kommunikationsvorrichtung sowie Fahrzeug-zu-X Kommunikationsvorrichtung
EP3085123A1 (de) Verfahren und system zur bestimmung einer anzahl zu verwerfender fahrzeug-zu-x-botschaften
DE102021006573A1 (de) Verfahren und Vorrichtung zur Validierung von Fahrzeug-zu-X Nachrichten zur Regelung des Verkehrsflusses
WO2020048569A1 (de) Vorrichtung und verfahren zur verwirklichung eines sicherheitsintegritätslevels bei fahrzeug-zu-x kommunikation
DE102017209593B4 (de) Kommunikationsgerät zur Kommunikation in einem Car-to-X-Kommunikationsnetz
DE102017200790A1 (de) Verfahren zur Zeitsynchronisation mit einer Referenzzeit für ein Fahrzeug und Kommunikationsvorrichtung
DE102019212274A1 (de) Elektronische Vorrichtung, Fahrzeugsystem und Verfahren zur Absicherung einer drahtlosen Datenkommunikation
DE102021203732B4 (de) Verfahren zur Verbesserung der funktionalen Sicherheit kooperativer Fahrmanöver und elektronische Kontrollvorrichtung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19755894

Country of ref document: EP

Kind code of ref document: A1

REG Reference to national code

Ref country code: DE

Ref legal event code: R225

Ref document number: 112019002379

Country of ref document: DE

122 Ep: pct application non-entry in european phase

Ref document number: 19755894

Country of ref document: EP

Kind code of ref document: A1