-
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Bereitstellen von kryptographischen Credentials für Steuergeräte eines Fahrzeugs, insbesondere das Freischalten einer Sicherheitsmanagementfunktionalität bei einem Fahrzeug durch eine Wegfahrsperre des Fahrzeugs.
-
Herkömmliche Fahrzeuge verfügen über verschiedene Steuergeräte, die über einen Fahrzeugbus, beispielsweise einen CAN-, MOST, Ethernet- oder IP-Datenbus, miteinander kommunizieren. Diese Steuergeräte umfassen bei einem Kraftfahrzeug beispielsweise ein Motorsteuergerät, eine ESP-Steuerung oder ein Body Controller. Weiterhin verfügen herkömmliche Fahrzeuge meistens über eine mechanische oder elektronische Wegfahrsperre. Eine elektronische Wegfahrsperre bildet ebenfalls ein Steuergerät, das über den Fahrzeugbus mit den übrigen Steuergeräten des Fahrzeugs kommunizieren kann. Elektronische Wegfahrsperren sind in herkömmlichen Kraftfahrzeugen eine übliche Maßnahme, um eine missbräuchliche Nutzung des Kraftfahrzeuges zu verhindern. Dabei erfolgt eine kryptographische Authentisierung eines Fahrzeugschlüssels gegenüber dem Kraftfahrzeug beispielsweise durch eine Challenge-Response-Authentisierung. Der Fahrzeugschlüssel bzw. Zündschlüssel kann dabei über einen Transponder verfügen, so dass die Authentisierung über eine drahtlose Schnittstelle durchgeführt werden kann.
-
Ein für den Betrieb des Fahrzeugs wesentliches Steuergerät, insbesondere ein Motorsteuergerät oder ein separates Wegfahrsperrsteuergerät, wird dabei nur dann freigeschaltet, wenn ein gültiger Fahrzeugschlüssel, der sich erfolgreich authentisiert hat, vorliegt. Derartige Wegfahrsperren und Zündschlüssel sind beispielsweise in
EP 0846821 von Delphi Automotive Systems, in
DE 19848038 von Bosch oder in der
EP 0600243 von BMW beschrieben.
-
Bei herkömmlichen Fahrzeugen, die über einen Fahrzeugbus miteinander kommunizieren, können diese Steuergeräte von einer zentralen Prüfeinrichtung des Fahrzeugs geprüft werden und bei erfolgreicher Prüfung eine Freischaltnachricht erhalten, wie dieses beispielsweise in der
DE 102007056662 beschrieben ist. Weiterhin ist bekannt, dass zum Schutz vor Manipulationen an einem Bordnetz ein Sicherheitsmodul eine signierte Nachricht an ein Steuergerät überträgt, wie dies beispielsweise in der
DE 102007058975 angegeben ist. Ein Mastersicherheitsmodul und ein Clientmodul tauschen dabei einen symmetrischen, kryptographischen Schlüssel aus, wobei nur das Mastersicherheitsmodul über ein asymmetrisches, kryptographisches Schlüsselpaar verfügt, um mit fahrzeugexternen Einheiten zu kommunizieren.
-
Um eine Manipulation an einem Kraftfahrzeug, bei dem Steuergeräte über einen Fahrzeugbus miteinander kommunizieren, zu verhindern, werden somit zunehmend kryptographische Schutzmechanismen vorgesehen. Allerdings weisen herkömmliche Fahrzeuge weiterhin Sicherheitsmängel auf, da der bereitgestellte Manipulationsschutz zum Schutz gegenüber unberechtigten Nutzungen und Manipulationen nicht ausreichend ist. Bei den meisten Fahrzeugen kommunizieren die Steuergeräte über den Fahrzeugbus kryptographisch ungeschützt, d. h. die Nachrichten werden im Klartext zwischen den Steuergeräten ausgetauscht. Sofern kryptographische Credentials zur Kommunikation verwendet werden, erhalten die Steuergeräte bei herkömmlichen Fahrzeugen diese Credentials nach einer Authentisierung gegenüber einem Sicherheitsmodul.
-
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung zu schaffen, die einen schwer überwindbaren Schutz einer Kommunikation innerhalb eines Fahrzeugs vor unberechtigter Nutzung und Manipulation bieten.
-
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.
-
Die Erfindung schafft ein Verfahren zum Bereitstellen von kryptographischen Credentials für Steuergeräte eines Fahrzeugs, die über einen Fahrzeugbus mit einer Fahrzeugsicherheitsmanagementeinheit verbunden sind, wobei die Steuergeräte die kryptographischen Credentials von der Fahrzeugsicherheitsmanagementeinheit erhalten, nachdem die Fahrzeugsicherheitsmanagementeinheit von einer Wegfahrsperreinheit des Fahrzeugs dazu freigeschaltet wird.
-
Bei dem erfindungsgemäßen Verfahren werden somit die kryptographischen Credentials von einer Fahrzeugsicherheitsmanagementeinheit nur dann bereitgestellt, wenn sie dazu von einer in dem Fahrzeug integrierten Wegfahrsperreinheit freigeschaltet wird. Durch die Einbeziehung der Wegfahrsperreinheit in den Sicherheitsmechanismus wird die Sicherheit gegenüber Manipulationen signifikant gesteigert.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erhält ein Steuergerät ein kryptographisches Credential nur, nachdem sich das Steuergerät gegenüber der Fahrzeugsicherheitsmanagementeinheit zusätzlich erfolgreich authentisiert hat.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird ein von der Fahrzeugsicherheitsmanagementeinheit einem Steuergerät bereitgestelltes kryptographisches Credential seitens des Steuergerätes dazu verwendet, die über den Fahrzeugbus übertragenen Nachrichten kryptographisch geschützt zu übertragen oder in dem Steuergerät verschlüsselt gespeicherte Daten zu entschlüsseln.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens überträgt die Wegfahrsperreinheit nach erfolgreicher Authentisierung eines in einem Fahrzeugschlüssel integrierten Transponders gegenüber der Wegfahrsperreinheit einen Freischaltcode an die Fahrzeugsicherheitsmanagementeinheit zum Freischalten der Fahrzeugsicherheitsmanagementeinheit.
-
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens generiert die Fahrzeugsicherheitsmanagementeinheit die kryptographischen Credentials für die Steuergeräte in Abhängigkeit mindestens eines Parameters der Wegfahrsperreinheit oder des Fahrzeugschlüssels.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens sind die in den Steuergeräten durch die Fahrzeugsicherheitsmanagementeinheit bereitgestellten kryptographischen Credentials nur für eine vorgegebene Zeitdauer gültig.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die durch die Fahrzeugsicherheitsmanagementeinheit den Steuergeräten bereitgestellten kryptographischen Credentials nach Deaktivieren eines Fahrzeugsantriebs durch die Steuergeräte automatisch gelöscht.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens weisen die in den Steuergeräten durch die Fahrzeugsicherheitsmanagementeinheit bereitgestellten kryptographischen Credentials kryptographische Schlüssel, insbesondere dynamisch erzeugte Sitzungsschlüssel, Fahrzeugnetzwerkschlüssel, kryptographische Steuergeräteschlüssel, kryptographische Steuergerätegruppenschlüssel, digitale Zertifikate und Security Assertions auf.
-
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird durch die Fahrzeugsicherheitsmanagementeinheit eine gespeicherte Liste zugelassener Steuergeräte des Fahrzeugs verwaltet, die bei einer Wartung oder Reparatur eines Steuergerätes über eine Service-Schnittstelle des Fahrzeugs aktualisiert wird.
-
Die Erfindung schafft ferner eine Fahrzeugsicherheitsmanagementeinheit für ein Fahrzeug, wobei die Fahrzeugsicherheitsmanagementeinheit über einen Fahrzeugbus mit Steuergeräten des Fahrzeugs verbunden ist und den Steuergeräten kryptographische Credentials bereitstellt, nachdem die Fahrzeugsicherheitsmanagementeinheit von einer Wegfahrsperreinheit des Fahrzeugs dazu freigeschaltet wird.
-
Bei einer möglichen Ausführungsform der erfindungsgemäßen Fahrzeugsicherheitsmanagementeinheit weist diese eine Authentisierungseinheit zur Authentisierung der Steuergeräte gegenüber der Fahrzeugsicherheitsmanagementeinheit auf.
-
Bei einer weiteren möglichen Ausführungsform der erfindungsgemäßen Fahrzeugsicherheitsmanagementeinheit stellt die Fahrzeugsicherheitsmanagementeinheit einem Steuergerät ein kryptographisches Credential nur dann bereit, nachdem das Steuergerät sich gegenüber der Fahrzeugsicherheitsmanagementeinheit erfolgreich authentisiert hat.
-
Bei einer weiteren möglichen Ausführungsform der erfindungsgemäßen Fahrzeugsicherheitsmanagementeinheit weist diese eine Credential-Erzeugungseinheit auf, welche kryptographische Credentials für die Steuergeräte in Abhängigkeit mindestens eines Parameters der Wegfahrsperreinheit oder eines Fahrzeugschlüssels generiert.
-
Bei einer weiteren möglichen Ausführungsform der erfindungsgemäßen Fahrzeugsicherheitsmanagementeinheit weist dieser einen Speicher zur Speicherung einer Liste zugelassener Steuergeräte des Fahrzeugs auf.
-
Die Erfindung schafft ferner ein Fahrzeug mit einer Fahrzeugsicherheitsmanagementeinheit, die über einen Fahrzeugbus mit Steuergeräten des Fahrzeugs verbunden ist und den Steuergeräten kryptographische Credentials bereitstellt, nachdem die Fahrzeugsicherheitsmanagementeinheit von einer Wegfahrsperreinheit des Fahrzeuges dazu freigeschaltet wird.
-
Bei einer möglichen Ausführungsform handelt es sich bei dem Fahrzeug um ein Straßenfahrzeug, ein Schienenfahrzeug, ein Flugzeug oder um ein Wasserfahrzeug.
-
Bei dem Fahrzeug kann es sich insbesondere um ein Elektrofahrzeug handeln.
-
Im Weiteren werden mögliche Ausführungsformen des erfindungsgemäßen Verfahrens und der erfindungsgemäßen Vorrichtung zum Bereitstellen von kryptographischen Credentials für Steuergeräte eines Fahrzeugs unter Bezugnahme auf die beigefügten Figuren beschrieben.
-
Es zeigen:
-
1 ein Blockschaltbild eines Fahrzeugs, in dem eine Fahrzeugmanagementeinheit gemäß der Erfindung enthalten ist;
-
2 ein Blockschaubild eines Ausführungsbeispiels einer erfindungsgemäßen Fahrzeugsicherheitsmanagementeinheit;
-
3 ein Signaldiagramm zur Erläuterung der Funktionsweise eines erfindungsgemäßen Verfahrens zum Bereitstellen von kryptographischen Credentials für Steuergeräte eines Fahrzeugs.
-
Wie man aus 1 erkennen aus, enthält ein Fahrzeug 1 bei dem dargestellten Ausführungsbeispiel einen Fahrzeugbus 2, über den Steuergeräte 3-1, 3-2, 3-3 miteinander verbunden sind. Bei den Steuergerten 3-i kann es sich um beliebige Steuergeräte eines Fahrzeugs 1 handeln. Das Fahrzeug 1 ist beispielsweise ein Kraftfahrzeug, welches über verschiedene Steuergeräte verfügt, beispielsweise ein Motorsteuergerät 3-1, eine ESP-Steuerung 3-2 und einen Body-Controller 3-3. Bei dem Fahrzeug 1 kann es sich insbesondere auch um ein Elektrofahrzeug handeln. Bei dem Fahrzeug 1 muss es sich nicht um ein Straßenfahrzeug handeln, vielmehr kann es sich bei dem Fahrzeug 1 auch um ein Schienenfahrzeug, ein Flugzeug oder ein Wasserfahrzeug handeln. Der in 1 dargestellte Fahrzeugbus 2 kann ein serieller oder paralleler Bus sein. Beispielsweise handelt es sich bei dem Fahrzeugbus 2 um einen Ethernet-Datenbus zum Austausch von Nachrichten zwischen den Steuergeräten 3. Alternativ kann es sich auch um einen CAN-Datenbus, einen MOST-Datenbus, einen Flexray-Datenbus oder einen IP-Datenbus handeln. Auch kann ein Fahrzeug auch mehrere solche Datenbusse aufweisen.
-
Wie in 1 dargestellt, ist an den Fahrzeugbus 2 eine Wegfahrsperreinheit 4 und eine Fahrzeugsicherheitsmanagementeinheit 5 angeschlossen. Die Wegfahrsperreinheit 4 kann mit der Fahrzeugsicherheitsmanagementeinheit 5 bei einer möglichen Ausführungsform direkt kommunizieren, beispielsweise über entsprechende Steuerleitungen. Bei einer alternativen Ausführungsform kommunizieren die Wegfahrsperreinheit 4 und die Fahrzeugsicherheitsmanagementeinheit 5 ebenfalls über den Fahrzeugbus 2. Bei einer weiteren möglichen Ausführungsform ist die Wegfahrsperreinheit 4 und die Fahrzeugsicherheitsmanagementeinheit 5 in einem Gerät integriert.
-
Weiterhin sind, wie in 1 dargestellt, an dem Fahrzeugbus 2 weitere Einheiten anschließbar, beispielsweise eine Service-Schnittstelle 6. Die Wegfahrsperreinheit 4 kommuniziert in dem in 1 dargestellten Ausführungsbeispiel mit einem Transponder 7, der in einem Fahrzeugschlüssel 8 integriert ist. Beispielsweise kann die Wegfahrsperreinheit 4 mittels eines Challenge-Response-Verfahrens eine Authentisierung des Fahrzeugschlüssels 8 vornehmen. Bei erfolgreicher Authentisierung bzw. Prüfung stellt die Wegfahrsperreinheit 4 in dem dargestellten Ausführungsbeispiel der Fahrzeugsicherheitsmanagementeinheit 5 einen Freischaltcode FC bereit. Erst bei Vorliegen des Freischaltcodes FC stellt die Fahrzeugsicherheitsmanagementeinheit 5 anderen Steuergeräten 3-i des Fahrzeugs 1 die von diesen benötigten kryptographischen Credentials bereit.
-
Bei diesen kryptographischen Credentials kann es sich um kryptographische Schlüssel handeln. Diese kryptographischen Schlüssel umfassen insbesondere dynamisch erzeugte Sitzungsschlüssel bzw. Session Keys, Fahrzeugnetzwerkschlüssel für das gesamte Netzwerk sowie kryptographische Sicherheitsgeräteschlüssel oder kryptographische Sicherheitsgerätegruppenschlüssel. Weiterhin kann es sich bei den kryptographischen Credentials um digitale Zertifikate oder sogenannte Security Assertions handeln. Die Fahrzeugsicherheitsmanagementeinheit 5 stellt somit den verschiedenen Steuergeräten 3-i die von diesen benötigten kryptographischen Credentials nur dann bereit, nachdem die Fahrzeugsicherheitsmanagementeinheit 5 durch die Wegfahrsperreinheit 4 des Fahrzeugs dazu freigeschaltet ist. Die von der Fahrzeugsicherheitsmanagementeinheit 5 den verschiedenen Steuergeräten 3-i bereitgestellten kryptographischen Credentials werden seitens der Steuergeräte dazu verwendet, die über den Fahrzeugbus 2 übertragenen Nachrichten kryptographisch zu schützen. Ferner können die kryptographischen Credentials durch die Steuergeräte 3-i dazu verwendet werden, Daten, die in den Steuergeräten 3-i verschlüsselt gespeichert sind, zu entschlüsseln. Bei diesen Daten kann es sich beispielsweise um Steuerdaten, insbesondere Kennlinien, um Steuersoftware oder ihrerseits um verschlüsselte Credentials handeln.
-
Bei einer bevorzugten Ausführungsform erhalten die Steuergeräte 3-i die von ihnen benötigten kryptographischen Credentials erst dann, nachdem sie sich zusätzlich gegenüber der Fahrzeugsicherheitsmanagementeinheit 5 authentisiert haben. Ein Steuergerät 3-i authentisiert sich gegenüber der Fahrzeugsicherheitsmanagementeinheit 5 bei einer möglichen Ausführungsform mittels eines Steuergeräteschlüssels, bevor ihm die von ihm benötigten kryptographischen Credentials bereitgestellt werden. Das Steuergerät führt somit eine Geräteauthentisierung mittels eines Steuergeräteschlüssels bzw. Device Keys durch, beispielsweise mittels eines gespeicherten privaten Geräteschlüssels, insbesondere eines privaten ECC-Schlüssels und eines zugehörigen Gerätezertifikats. Die Fahrzeugsicherheitsmanagementeinheit 5 stellt die kryptographischen Credentials nur zugelassenen Steuergeräten 3-i bereit. Dazu verwaltet die Fahrzeugsicherheitsmanagementeinheit 5 vorzugsweise eine gespeicherte Liste zugelassener Steuergeräte. Diese Liste befindet sich beispielsweise in einem Datenspeicher der Fahrzeugsicherheitsmanagementeinheit 5. Bei einer möglichen Ausführungsform wird die Liste zugelassener Steuergeräte 3-i des Fahrzeugs 1, welche durch die Fahrzeugsicherheitsmanagementeinheit 5 verwaltet wird, bei einer Wartung oder Reparatur eines oder mehrerer Steuergeräte über eine Service-Schnittstelle, insbesondere die in 1 dargestellte Service-Schnittstelle 6, aktualisiert. Bei einer möglichen Ausführungsform ist die verwaltete Liste zugelassener Steuergeräte 3-i nur während eines Wartungs-Betriebsmodus veränderbar, beispielsweise durch einen dazu autorisierten Werkstatttester, der im Reparaturfall über die Service-Schnittstelle 6 mit dem Fahrzeug 1 verbunden wird.
-
Die Fahrzeugsicherheitsmanagementeinheit 5, wie sie in 1 dargestellt ist, kann als eigenständige Komponente realisiert sein oder in anderen Komponenten integriert sein. Beispielsweise kann die Fahrzeugsicherheitsmanagementeinheit 5 in einem zentralen Gateway oder in einem anderen Steuergerät 3-i integriert sein. Die Fahrzeugsicherheitsmanagementeinheit 5 stellt anderen Fahrzeugkomponenten, insbesondere Steuergeräten 3-i, Schlüsselmaterial bzw. kryptographische Credentials bereit. Ist die Fahrzeugsicherheitsmanagementeinheit 5 in einem Steuergerät 3-i integriert, kann es diesem Schlüsselmaterial für Funktionen des Steuergerätes 3-i bereitstellen.
-
Bei einer möglichen Ausführungsform der Fahrzeugsicherheitsmanagementeinheit 5 weist diese zusätzlich eine Credential-Erzeugungseinheit auf, welche kryptographische Credentials für die verschiedenen Steuergeräte 3-i in Abhängigkeit mindestens eines Parameters der Wegfahrsperreinheit 4 oder des Fahrzeugschlüssels 8 generiert. Bei diesem Parameter kann es sich beispielsweise um einen in dem Fahrzeugschlüssel 8 oder in der Wegfahrsperre 4 vorhandenen kryptographischen Basisschlüssel handeln.
-
Die Bereitstellung der kryptographischen Credentials seitens der Fahrzeugsicherheitsmanagementeinheit 5 kann in unterschiedlichen Varianten erfolgen.
-
Bei einer ersten möglichen Variante werden die notwendigen kryptographischen Credentials in Abhängigkeit von dem erhaltenen Freischaltcode FC den Steuergeräten 3-i bereitgestellt oder nicht bereitgestellt.
-
Bei einer weiteren möglichen Variante werden in Abhängigkeit von dem Freischaltcode FC unterschiedlich beschränkt nutzbare kryptographische Credentials den Steuergeräten 3-i seitens der Fahrzeugsicherheitsmanagementeinheit 5 bereitgestellt.
-
Bei einer weiteren möglichen Variante werden in Abhängigkeit von dem Freischaltcode FC unterschiedlich lang gültige kryptographische Credentials für die Steuergeräte 3-i bereitgestellt.
-
Bei einer weiteren möglichen Ausführungsform werden die durch die Fahrzeugsicherheitsmanagementeinheit 5 den Steuergeräten 3-i bereitgestellten kryptographischen Credentials nach Deaktivieren eines Fahrzeugsantriebs durch die Steuergeräte 3-i automatisch gelöscht. Ein Steuergerät 3-i löscht somit vorzugsweise erhaltene gespeicherte Sicherheits-Credentials bei Abschaltung des Fahrzeugsantriebs, beispielweise bei Abschaltung einer Zündung. Bei dieser Ausführungsform ist das jeweilige Steuergerät 3-i bei einem erneuten Einschalten des Fahrzeugsantriebs erst dann wieder betriebsbereit, wenn ihm die erforderlichen Sicherheits-Credentials durch die Fahrzeugsicherheitsmanagementeinheit 5 erneut bereitgestellt werden. Dadurch wird der Manipulationsschutz weiter erhöht.
-
2 zeigt ein Blockschaltbild eines Ausführungsbeispiels einer erfindungsgemäßen Fahrzeugsicherheitsmanagementeinheit 5. Bei diesem Ausführungsbeispiel verfügt die Fahrzeugsicherheitsmanagementeinheit 5 über eine Authentisierungseinheit 5A, die Zugriff auf einen Datenspeicher 5B hat, in dem sich vorzugsweise eine Liste zugelassener Steuergeräte 3-i befindet. Weiterhin kann die Einheit 5A mit einer Credential-Erzeugungseinheit 5C verbunden sein. Die verschiedenen Steuergeräte 3-i des Fahrzeugs 1 können sich beispielsweise mittels eines Geräteschlüssels bei der Authentisierungseinheit. 5A der Fahrzeugsicherheitsmanagementeinheit 5 authentisieren und erhalten nach erfolgreicher Authentisierung die benötigten bzw. angeforderten kryptographischen Credentials von der Fahrzeugsicherheitsmanagementeinheit 5, sofern die Fahrzeugsicherheitsmanagementeinheit 5 zusätzlich von der Wegfahrsperreinheit 4 den dazu notwendigen Freischaltcode FC erhalten hat. Die kryptographischen Credentials für die verschiedenen Steuergeräte können sich entweder in dem Datenspeicher 5B der Fahrzeugsicherheitsmanagementeinheit 5 befinden oder durch eine Credential-Erzeugungseinheit 5C in Abhängigkeit mindestens eines Parameters des jeweiligen Steuergeräts 3-i generiert werden. Bei diesem Parameter kann es sich beispielsweise um einen Parameter der Wegfahrsperreinheit 4 oder des Fahrzeugschlüssels 8 handeln. In dem Datenspeicher 5B befindet sich vorzugsweise zusätzlich eine Liste zugelassener Steuergeräte 3, welche von der Fahrzeugsicherheitsmanagementeinheit 5 verwaltet wird. Diese Liste wird vorzugsweise bei einer Wartung oder Reparatur eines Steuergerätes über die Service-Schnittstelle 6 des Fahrzeugs 1 aktualisiert.
-
3 zeigt ein Signaldiagramm zur Erläuterung der Funktionsweise des erfindungsgemäßen Verfahrens zum Bereitstellen eines kryptographischen Credentials für Steuergeräte 3-i eines Fahrzeugs. Wie in 3 dargestellt, authentisiert sich zunächst ein Fahrzeugschlüssel 8, beispielweise mittels eines Challenge-Response-Verfahrens, gegenüber der Wegfahrsperreinheit 4, die bei erfolgreicher Authentisierung des Fahrzeugschlüssels 8 einen Freischaltcode FC an die Fahrzeugsicherheitsmanagementeinheit 5 direkt oder indirekt überträgt.
-
Ein erstes Steuergerät 3-i authentisiert sich gegenüber der Fahrzeugsicherheitsmanagementeinheit 5, beispielsweise indem es eine Authenticate-Nachricht bzw. kryptographisch geschützte Anmeldenachricht an die Fahrzeugsicherheitsmanagementeinheit 5 direkt oder über den Fahrzeugbus 2 sendet. Diese Anmeldenachricht kann beispielsweise mit einem Geräteschlüssel bzw. Device Key verschlüsselt sein. Die Fahrzeugsicherheitsmanagementeinheit 5 bzw. die darin enthaltene Authentisierungseinheit überprüft die empfangene Anmeldenachricht und stellt dem Steuergerät 3-i bei erfolgreicher Authentisierung die erforderlichen kryptographischen Credentials, beispielsweise einen Sitzungsschlüssel bzw. Session Key, bereit.
-
In dem in 3 dargestellten Beispiel authentisiert sich ein weiteres Steuergerät 3-j ebenfalls gegenüber der Fahrzeugsicherheitsmanagementeinheit 5 und erhält entsprechende kryptographische Credentials. Bei erfolgreicher Authentisierung der beiden Steuergeräte 3-i, 3-j und nach Empfang der notwendigen kryptographischen Credentials können die beiden Steuergeräte anschließend über den Fahrzeugbus 2 kryptographisch geschützt kommunizieren, indem sie die Nachrichten kryptographisch verschlüsselt miteinander austauschen und beispielsweise mit dem erhaltenen Sitzungsschlüssel verschlüsselt übertragen. Beispielsweise können die beiden Steuergeräte 3-i, 3-j informationsgeschützte Steuerdaten austauschen. Bei einer möglichen Variante stellt die Fahrzeugsicherheitsmanagementeinheit 5 allen Steuergeräten 3-i des Fahrzeuges 1 das gleiche kryptographische Credential bereit, d. h. es handelt sich bei dem kryptographischen Credential um einen Fahrzeugnetzwerkschlüssel. Ebenso kann die Fahrzeugmanagementeinheit 5 jeweils zwei Steuergeräten oder einer Gruppe von Steuergeräten jeweils einen spezifischen kryptographischen Schlüssel bereitstellen. Weiterhin ist es möglich, jedem einzelnen Steuergerät 3-i einen zugehörigen Steuergeräteschlüssel bereitzustellen, um gespeicherte Betriebsdaten oder Steuerprogramme zu entschlüsseln.
-
Bei einer möglichen Ausführungsform verwendet die Fahrzeugsicherheitsmanagementeinheit 5 den empfangenen Freischaltcode FC oder einen Teil des Freischaltcodes FC dazu, kryptographische Credentials, beispielsweise Sitzungs-Schlüssel SK, zu erzeugen bzw. zu generieren. Dabei kann der von der Wegfahrsperreinheit 4 gesendete Freischaltcode FC eine Information über den freigegebenen Zündvorgang (bzw. Startvorgang bei einem elektrischen Antrieb) enthalten, beispielweise den Zeitpunkt des Zündvorgangs oder einen zugehörigen Zählerwert. Dadurch lassen sich unterschiedliche Zündvorgänge voneinander unterscheiden. Bei dieser Ausführungsform ist das erzeugte kryptographische Credential damit an einen bestimmten Zündvorgang gebunden. Die Steuergeräte 3-i können dadurch nur dann geschützte Steuerdaten austauschen, wenn sie jeweils über ein kryptographisches Credential bzw. Schlüssel verfügen, das dem gleichen Zündvorgang zugeordnet ist. Bei einer weiteren möglichen Variante verwendet die Fahrzeugsicherheitsmanagementeinheit 5 die an den Zündschlüssel bzw. Fahrzeugschlüssel 8 übertragene Challenge C oder die von dem Fahrzeugschlüssel 8 bereitgestellte Response R, um die kryptographischen Credentials für die Steuergeräte 3-i zu erzeugen. Bei einer möglichen Ausführungsform kann die Steuergerätekommunikation zwischen den Steuergeräten 3-i auch durch MACsec, IPSEC oder SSL/TLS geschützt werden.
-
Bei dem erfindungsgemäßen Verfahren wird ein besonders hoher Schutz erreicht, da vorhandene kryptographische Manipulationsschutzverfahren nur nutzbar sind, wenn benötigte kryptographische Credentials von der Fahrzeugsicherheitsmanagementeinheit 5 bereitgestellt werden. Dies wiederum erfolgt nur, wenn die Wegfahrsperreinheit 4 des Fahrzeuges 1 einen Fahrzeugschlüssel erfolgreich überprüft hat und somit eine Nutzung des Fahrzeuges 1 freigibt.
-
Die zentrale Fahrzeugsicherheitsmanagementeinheit 5 stellt kryptographische Credentials bereit, so dass sie nicht auf einzelnen Steuergeräten 3-i dauerhaft gespeichert werden müssen. Dadurch wird ein hoher Schutz auch für Steuergeräte 3-i ohne eine starke geschützte Schlüsselspeicherung erreicht. Weiterhin ermöglicht das erfindungsgemäße Verfahren, die Schlüsselverwaltung innerhalb des Fahrzeugs 1 zu vereinfachen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- EP 0846821 [0003]
- DE 19848038 [0003]
- EP 0600243 [0003]
- DE 102007056662 [0004]
- DE 102007058975 [0004]