-
Technisches Gebiet
-
Die vorliegende Erfindung betrifft den Zugriff externer Geräte auf sensitive Fahrzeugdaten oder -funktionen.
-
Stand der Technik
-
In einem Fahrzeug gibt es nach Stand der Technik eine Reihe von Funktionen, auf die nur geschützt zugegriffen werden darf. Das betrifft z.B. eine Programmierung von Daten oder Code oder die Auslesung besonderer Daten, die nicht öffentlich zugänglich sein sollen. Nach Stand der Technik werden hierzu in der Regel Verfahren, z.B. Seed-and-Key-Verfahren, angewendet, wie sie zum Beispiel in der
US 2013/0111582 A2 beschrieben sind. Mit solchen Verfahren wird ein zwar meist kryptographisch abgesicherter, aber zeitlich unbeschränkter Zugriff auf Daten in einem Fahrzeug ermöglicht.
-
Offenbarung der Erfindung
-
Das Verfahren gemäß dem unabhängigen Anspruch geht dagegen von einem Verfahren aus, mit welchem eine zeitlich begrenzte und vorzugsweise authentifizierte Freigabe von geschützten Funktionen (wie zum Beispiel einer Programmierung von elektronischen Steuergeräten) umgesetzt werden kann.
-
Eine Freigabe eines Zugriffs eines externen Geräts auf Daten in einem Fahrzeug oder auf eine Funktion, insbesondere eine Programmierfunktion, eines Fahrzeugs, erfolgt dabei also zeitbeschränkt und wird auf Basis eines Freigabecodes realisiert. Das Fahrzeug empfängt und verarbeitet den Freigabecode, welcher Zeitinformationen beinhaltet. Der Zugriff auf die Daten oder die Funktion wird dem externen Gerät für einen auf Basis der Zeitinformationen des Freigabecodes ermittelten, beschränkten Zeitraum freigegeben. Somit müssen Fern-Freigaben für externe Geräte auf sensitive oder sicherheitsrelevante Daten oder Funktionen in einem Fahrzeug nicht mehr unbeschränkt erfolgen, sondern können einer Anforderung bzw. der vorzunehmenden Aufgabe entsprechend zeitlich begrenzt werden.
-
Vorzugsweise wird durch das Fahrzeug bzw. Gerät eine Anforderung eines Freigabecodes an einen Server versendet, der diese Freigaben verwaltet. Das Fahrzeug bzw. Gerät empfängt den Freigabecode wiederum von diesem Server, sofern eine Freigabe erfolgen darf. Um sicherzustellen, dass keine missbräuchlichen Zugriffe erfolgen, werden hierzu Informationen ausgetauscht. Z.B. kann die Anforderung Fahrzeugidentifikationsinformationen, fahrzeuginterne Zeitinformationen oder Informationen zur Authentifizierung des externen Geräts umfassen. Ein Teil dieser oder alle diese Informationen können als obligatorisch bestimmt werden, so dass eine Freigabe nur erfolgen kann, falls diese Informationen in der Anforderung enthalten sind. Auf Basis der Informationen kann die Freigabeinstanz (vorzugsweise in Form eines internetbasierten Trustcenters) feststellen, ob eine Freigabe für den Zugriff des authentifizierten Geräts auf das identifizierte Fahrzeug erfolgen kann. Auf Basis versendeter Zeitinformationen kann die Freigabeinstanz ermitteln, in welcher Form die Zeitbeschränkung der Freigabe erfolgen soll. Z.B. können hier Zeitzonenunterschiede oder Fehler der fahrzeuginternen Zeitmittel berücksichtigt werden.
-
Wird dem Fahrzeug eine erfolgreiche Freigabe mitgeteilt, kann es diese Information automatisch an das externe Gerät versenden, so dass dieses ohne weitere Verzögerung mit dem Zugriff beginnen kann.
-
Im Fahrzeug werden der Anfang und vor allem das Ende des beschränkten Zeitraums der Freigabe auf Basis fahrzeuginterner, manipulationsgeschützter Zeitmittel bestimmt. Somit ist ein Aushebeln der Zeitbeschränkung durch Manipulation der Zeitmittel unmöglich bzw. zumindest erschwert. Um weitere Manipulationen in der Anforderungs- und Freigabephase zu erschweren, kann vorgesehen sein, dass die Freigabe verhindert oder abgebrochen wird, wenn eine Verbindung dem Server oder zwischen dem Fahrzeug und dem externen Gerät für einen vorbestimmten Zeitraum unterbrochen ist.
-
Für den Ablauf der Versendung der Freigabe-Anforderung und des Empfangs des angeforderten Freigabecodes gibt es verschiedene Varianten. In einer ersten Variante erfolgt das Versenden der Anforderung an den Server durch das Fahrzeug, welches hierzu Informationen von dem externen Gerät erhält, mit denen insbesondere eine Authentifizierung des externen Geräts möglich ist. Alternativ erfolgt das Versenden der Anforderung an den Server durch das externe Gerät, welches hierzu Informationen von dem Fahrzeug erhält. Vorzugsweise wird der Freigabecode in beiden Varianten wiederum vom Sender der Freigabe-Anforderung empfangen.
-
In einer bevorzugten Ausführung wird das Verfahren für den Zugriff eines Werkstatt-Testgeräts auf ein Fahrzeug durchgeführt.
-
Die beschriebenen Verfahren können durch ein Computerprogramm ausgeführt werden, insbesondere ein Computerprogramm, welches in einem maschinenlesbaren Speicher eines Steuergeräts des Fahrzeugs abgelegt ist.
-
Zur Durchführung der beschriebenen Verfahren kann im Fahrzeug eine Vorrichtung vorgesehen sein, welche Mittel aufweist, um alle Schritte der Verfahren durchführen zu können. Hierzu gehören Kommunikationsmittel zum Versenden der Anforderung und Empfangen des Freigabecodes, Speichermittel zum Speichern des Freigabecodes sowie eine Recheneinheit zum Verarbeiten des Freigabecodes. Bei der Vorrichtung kann es sich entweder um ein separates Freigabemodul oder um ein bereits vorhandenes Steuergerät handeln, welches die geeigneten Mittel aufweist, die Freigabefunktionalität zu übernehmen.
-
Zeichnungen
-
Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen 1 und 2 jeweils ein beispielhaftes Verfahren zur zeitbeschränkten Freigabe eines Zugriffs eines externen Geräts auf Daten oder Funktionen in einem Fahrzeug.
-
Beschreibung der Ausführungsbeispiele
-
1 zeigt ein erstes beispielhaftes Verfahren zur Freigabe eines zeitbeschränkten Zugriffs eines externen Geräts auf Daten oder Funktionen in einem Fahrzeug 3. Das Fahrzeug 3 kommuniziert hierzu mit dem externen Gerät 2 und sendet diesem Informationen, insbesondere Informationen zur Identifizierung des Fahrzeugs oder Zeitinformationen. Das externe Gerät 2 sendet diese Informationen zusammen mit Informationen für eine Authentifizierung des externen Geräts 2 als eine oder mit einer Anforderung einer Freigabe an das Trustcenter 1.
-
Dort wird auf Basis der erhaltenen Informationen über die Freigabe entschieden. Kann eine Freigabe erteilt werden, sendet das Trustcenter 1 einen Freigabecode mit Zeitinformationen über die Dauer der zeitbeschränkten Freigabe an das externe Gerät 2. Gegebenenfalls werden weitere Informationen, insbesondere zur Authentifizierung des Trustcenters 1, ebenfalls an das externe Gerät 2. Dieses übermittelt den Freigabecode an das Fahrzeug 3. Dort wird der Freigabecode empfangen und verarbeitet. Auf Basis der empfangenen Zeitinformationen des Freigabecodes wird im Fahrzeug 3 eine Freigabe von Daten oder Funktionen des Fahrzeugs für den Zugriff durch das externe Gerät 2 für einen bestimmten, beschränkten Zeitraum erteilt.
-
Die Verarbeitung des Freigabecodes im Fahrzeug 3 sowie die Veranlassung der Freigabe werden durch ein Freigabemodul 31 durchgeführt.
-
Das Fahrzeug 3 informiert das externe Gerät 2 über die erfolgte Freigabe.
-
2 zeigt ein alternatives Verfahren zur Freigabe eines zeitbeschränkten Zugriffs eines externen Geräts auf Daten oder Funktionen eines Fahrzeugs. Dabei wird die Anforderung durch das Fahrzeug 3 selbst an das Trustcenter 1 versendet. Hierzu benötigt das Fahrzeug 3 Informationen vom externen Gerät 2, insbesondere zur Authentifizierung des externen Geräts 2.
-
Mit der Anforderung werden wiederum diese Authentifizierungsinformationen des externen Geräts 2 sowie Identifikations- und Zeitinformationen des Fahrzeugs 3 versendet. Das Trustcenter 1 schickt den Freigabecode direkt an das Fahrzeug 3, welches diesen empfängt und verarbeitet und auf Basis der im Freigabecode enthaltenen Zeitinformationen eine Freigabe für einen zeitbeschränkten Zugriff durch das externe Gerät 2 veranlasst.
-
Verarbeitung des Freigabecodes sowie die Freigabe selbst erfolgen durch Freigabemodul 31 des Fahrzeugs 3.
-
Das Fahrzeug 3 informiert das externe Gerät 2 über die Freigabe.
-
Das Freigabeverfahren wird im Folgenden anhand eines Beispiels erläutert, bei welchem ein Steuergerät eines Fahrzeugs in einer Werkstatt neu programmiert werden soll.
-
In der Werkstatt werden vorzugsweise mit einem Werkstatt-Testgerät Fahrzeuginformationen aus dem Fahrzeug ausgelesen. Unter den ausgelesenen Informationen befindet sich vorzugsweise eine eindeutige Fahrzeugidentifikation (z.B. eine Fahrzeug-Identifikationsnummer oder „Vehikel Identifikation Nummer – VIN“) sowie eine lokale Fahrzeugzeit.
-
Das Werkstatt-Testgerät stellt eine Verbindung mit einem Trustcenter her und wird dort über seine Authentifizierungsinformationen eindeutig authentifiziert. Weiterhin wird die Fahrzeuginformation (Identifikation, Fahrzeugzeit) mit der Freigabeanforderung an das Trustcenter übertragen.
-
Nach erfolgreicher Authentifizierung des Werkstatt-Testgeräts berechnet das Trustcenter einen zeitlich begrenzen, nur für das über die Fahrzeugidentifikation identifizierte Fahrzeug gültigen Freigabecode (insbesondere nach einem Hashwertverfahren) und übermittelt diesen an das Werkstatt-Testgerät.
-
Eine nicht erfolgreiche Authentifizierung des Werkstatt-Testgeräts führt zu einem Abbruch des Verfahrens. Die Authentifizierung wird in der Regel über eine Datenbank mit angemeldeten Werkstatt-Testgeräten erfolgen, auf welches das Trustcenter Zugriff hat.
-
Das Werkstatt-Testgerät übermittelt den vom Trustcenter empfangenen Freigabecode an das Fahrzeug, das vorzugsweise über ein Freigabemodul des Fahrzeugs den Freigabecode auf Basis der an das Trustcenter übermittelten Informationen verifiziert. Nach erfolgreicher Verifizierung wird die beabsichtigte Funktion (z.B. Programmierung) freigegeben. Weiterhin wird die Freigabeinformation an das Werkstatt-Testgerät zurückgemeldet, so dass dieser die Funktion ausführen kann. Die freigegebene Funktion kann somit ausgeführt werden.
-
Allerdings wird die Funktion nicht permanent freigegeben, sondern nur für eine vorbestimmte Zeit. Um dies zu ermöglichen, muss das Fahrzeug über eine Zeitquelle verfügen. Diese sollte möglichst zuverlässig und manipulationsgeschützt sein. Durch Übermittlung eines bestimmten Zeitraums oder einer absoluten Zeit, zu der eine Freigabe beendet sein soll, kann das Trustcenter über den Freigabecode die Dauer der Freigabe bestimmen.
-
Bei der Angabe eines absoluten Zeitpunkts kann das Trustcenter vom Fahrzeug übermittelte Zeitinformationen (wie z.B. die fahrzeuginterne Zeit) berücksichtigen, um Abweichungen der fahrzeuginternen Zeit zur Zeit des Trustcenters (z.B. Zeitverschiebungen oder Fehlfunktionen des fahrzeuginternen Zeitquelle) auszugleichen. Bei Vorgabe eines bestimmten Zeitrahmens ist noch ein Startzeitpunkt für die Freigabe zu ermitteln bzw. festzulegen, vorzugsweise durch das Freigabemodul im Fahrzeug. Dieser kann z.B. auf den Empfang des Freigabecodes gelegt werden oder zu dem Zeitpunkt erfolgen, wenn das Werkstatt-Testgerät erstmals auf die freigegebene Funktion zugreift.
-
Nach Ablauf der vorgegebenen Zeit bzw. nach Erreichen des vorgegebenen Zeitpunkts endet die Freigabe der Funktion bzw. Daten. Das Werkstatt-Testgerät kann dann nicht mehr auf die entsprechenden Funktion bzw. Daten des Fahrzeugs zugreifen. Es versteht sich daher, dass das Freigabemodul inklusive seiner Zeitquelle für die beschriebenen Verfahren möglichst manipulationssicher ausgestaltet sein sollte, da sonst über die Manipulation der Zeitmittel des Fahrzeugs im Ergebnis eine unbeschränkte Freigabe erreicht werden könnte.
-
Vorzugsweise wird das oben beschriebene Verfahren ohne Freigabe der Funktion bzw. der Daten abgebrochen, falls eine Verbindung zwischen Werkstatt-Testgerät und Trustcenter oder Werkstatt-Testgerät und Fahrzeug für einen vorbestimmten (aus Sicherheitsgründen möglichst gering angesetzten) Zeitraum unterbrochen wird. Die Freigabeprozedur kann vorzugsweise nur als gültig gewertet werden, wenn das Werkstatt-Testgerät gleichzeitig durchgehend Kontakt zum Fahrzeug und zum Trustcenter hat.
-
Wie bereits zu 2 beschrieben, kann eine Freigabeprozedur auch über direkte Kommunikation zwischen Fahrzeug und Trustcenter erfolgen. In diesem Fall übermittelt das Fahrzeug die Fahrzeuginformationen (Identifikation und gegebenenfalls Zeit) direkt an das Trustcenter und muss dementsprechend die Informationen mit übertragen, die eine Authentifizierung des Werkstatt-Testgeräts ermöglichen. Hierzu wird zunächst die Authentifizierungsinformation vom Werkstatt-Testgerät an das Fahrzeug übertragen und von dort (neben den weiteren Informationen) an das Trustcenter. Die Freigabeinformation (der Freigabecode) geht in dieser Variante vorzugsweise direkt an das Fahrzeug.
-
Optional können verschiedene Funktionen oder Funktionsgruppen bzw. Daten oder Datengruppen verschiedene Freigabelevel erfordern. Die Datenbank des Trustcenters kann hierfür z.B. verschiedene Freigabetypen unterscheiden, um gestaffelte Freigaben zu ermöglichen. Dabei könnten z.B. auch verschiedene Benutzer am gleichen Testgerät unterschieden werden, die sich z.B. über eine PIN oder Smartcard identifizieren. So können verschiedene Testgeräten bzw. verschiedene Benutzer des gleichen Testgerätes unterschiedliche Freigaben erhalten.
-
Da die vorgestellten Verfahren meist sensitive Daten und Funktionen eines Fahrzeugs betreffen, erfolgen die beschriebenen Datenübertragungen vorzugsweise verschlüsselt. Eingesetzte Vorrichtungen und gespeicherte Daten sind vorzugsweise ebenfalls möglichst weitgehend gegen Manipulationen zu schützen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 2013/0111582 A2 [0002]