-
Die Erfindung betrifft ein Verfahren zum Betreiben einer Fahrzeugbatterie gemäß dem Oberbegriff des Anspruchs 1, eine Fahrzeugbatterie gemäß dem Oberbegriff des Anspruchs 5, ein Verfahren zur Herstellung einer solchen Fahrzeugbatterie gemäß dem Oberbegriff des Anspruchs 6 sowie ein zur Verwendung in einer Fahrzeugbatterie eingerichtetes Zellmodul gemäß dem Oberbegriff des Anspruchs 7.
-
Das Dokument
US 11,081,733 B1 beschreibt ein intelligentes Batteriesystem sowie Verfahren zur Herstellung und zum Betreiben eines intelligenten Batteriesystems. Das Batteriesystem umfasst ein Paket von Zellen sowie ein Batteriemanagementsystem zum unterstützenden Schutz dieses Pakets von Zellen. Das Paket von Zellen umfasst Zellen mit Betriebsparametern wie Kapazitäten, Spannungen, Strömen, Lade- oder Entladeraten und/oder Lebenszyklen, welche innerhalb der Zellen gleich oder verschieden sein können. Das Batteriemanagementsystem umfasst einen Ladungszähler, einen Mikrocontroller und einen Metalloxid-Halbleiter (MOS) Schalter, welcher das Paket von Zellen steuert und, basierend auf den chemischen Charakteristiken und Betriebsparametern der Zellen, unterstützend schützt. In vorteilhafter Weise kann das intelligente Batteriesystem austauschbare Zellen umfassen, in welche es für die Lagerung und/oder den Transport zerlegt und aus denen es wieder zusammengesetzt werden kann, ohne dass die Kapazität und die Leistungsfähigkeit des Batteriesystems beeinträchtigt wird.
-
Der Erfindung liegt die Aufgabe zu Grunde, ein verbessertes Verfahren zum Betreiben einer Fahrzeugbatterie anzugeben. Diese Aufgabe wird erfindungsgemäß mit einem Verfahren gelöst, das die Merkmale des Anspruchs 1 aufweist.
-
Der Erfindung liegt ferner die Aufgabe zu Grunde, eine verbesserte Fahrzeugbatterie anzugeben. Diese Aufgabe wird erfindungsgemäß mit einer Fahrzeugbatterie gelöst, die die Merkmale des Anspruchs 5 aufweist.
-
Der Erfindung liegt ferner die Aufgabe zu Grunde, ein Verfahren zur Herstellung einer solchen verbesserten Fahrzeugbatterie anzugeben. Diese Aufgabe wird erfindungsgemäß mit einem Verfahren gelöst, das die Merkmale des Anspruchs 6 aufweist.
-
Der Erfindung liegt ferner die Aufgabe zu Grunde, ein verbessertes Zellmodul anzugeben, das zur Ladungsspeicherung und zur Verwendung in einer verbesserten Fahrzeugbatterie eingerichtet ist. Diese Aufgabe wird erfindungsgemäß mit einem Zellmodul gelöst, das die Merkmale des Anspruchs 7 aufweist.
-
Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.
-
Nach einem ersten Aspekt der Erfindung wird bei einem Verfahren zum Betreiben einer Fahrzeugbatterie, die mindestens ein zur elektrischen Ladungsspeicherung eingerichtetes austauschbares Zellmodul und einen Battery Management Controller (im Folgenden als BMC bezeichnet) umfasst, mindestens ein Datensatz von einem Zellmodul an den BMC übertragen. Beispielsweise kann ein solcher Datensatz Angaben zum Hersteller, zum Herstellzeitpunkt, zum Lebenszyklus, zur bereitgestellten Spannung und/oder zum bereitgestellten Strom und/oder Parameter umfassen, welche den aktuellen elektrochemischen Zustand des austauschbaren Zellmoduls charakterisieren.
-
Erfindungsgemäß wird ein solcher Datensatz mit einem Zellmodul-Zertifikat zusammen digital signiert, das heißt: in die Bestimmung der digitalen Signatur wird ein Zellmodul-Zertifikat einbezogen, das als digitales Zertifikat eindeutig und ausschließlich dem jeweiligen Zellmodul zugeordnet ist. Zur digitalen Signierung wird ein dem Zellmodul zugeordneter privater kryptographischer Schlüssel verwendet, wobei der korrespondierende (das heißt: zur Prüfung der digitalen Signatur geeignete) öffentliche Schlüssel im jeweiligen Zellmodul-Zertifikat enthalten ist. Darüber hinaus kann das Zellmodul-Zertifikat einen definierten, eindeutigen Namen des Zellmoduls sowie weitere Angaben, beispielsweise eine Seriennummer, enthalten, die in ihrer Gesamtheit eine unverwechselbare digitale Identität des Zellmoduls festlegen.
-
Ein von einem Zellmodul empfangener Datensatz wird auf seine Gültigkeit von dem BMC anhand seiner digitalen Signatur und anhand des enthaltenen Zellmodul-Zertifikats überprüft. Die Überprüfung der digitalen Signatur erfolgt durch Anwendung des in dem Zellmodul-Zertifikat enthaltenen öffentlichen Schlüssels. Die Überprüfung des Zellmodul-Zertifikats erfolgt, indem die Gültigkeit der digitalen Signatur des Zellmodul-Zertifikats geprüft wird.
-
Diese Signatur kann von einer wohlbekannten, vertrauenswürdigen Stammzertifizierungsstelle erstellt worden sein. Dann erfolgt die Prüfung durch Anwendung des öffentlichen Schlüssels dieser Stammzertifizierungsstelle.
-
Typischerweise wird die Gültigkeitsprüfung jedoch entlang einer Kette von aufeinander verweisenden digitalen Zertifikaten erfolgen, indem geprüft wird, ob jedes Zertifikat von der Instanz digital signiert wurde, auf welche das in der Zertifikatskette folgende Zertifikat ausgestellt wurde. Diese Prüfung wird fortgesetzt, bis ein Zertifikat erreicht wird, das von einer als vertrauenswürdig betrachteten Instanz, beispielsweise einer Stammzertifizierungsstelle oder einem anderen vorbestimmten Zertifikatsaussteller, ausgestellt wurde und das als vertrauenswürdige Ursprungsbeglaubigung angesehen wird.
-
Mit dem vorgeschlagenen Verfahren wird ein Schutz der Authentizität, der Integrität und der Vertrauenswürdigkeit der von einem Zellmodul übertragenen Daten erzielt. Zellmodule, die von einem nicht vertrauenswürdigen Hersteller bereitgestellt werden, verfügen nicht über ein Zellmodul-Zertifikat, das bis auf eine vertrauenswürdige Ursprungsbeglaubigung zurückgeführt werden kann. Sie können auch Daten anderer (vertrauenswürdiger) Zellmodule nicht nachbilden, beispielsweise durch Einbindung eines von einem solchen anderen Zellmodul gestohlenen Zellmodul-Zertifikats, da diese Daten zusammen mit dem jeweiligen Zellmodul-Zertifikat über einen privaten Schlüssel signiert werden, auf den der nicht vertrauenswürdige Hersteller keinen Zugriff hat.
-
Ein Vorteil des erfindungsgemäßen Verfahrens besteht somit darin, dass von dem BMC verlässlich geprüft werden kann, ob ein nachträglich in die Fahrzeugbatterie integriertes Zellmodul von einem zugelassenen Hersteller gefertigt worden ist. Zellmodule von nicht zugelassenen Herstellern können die Betriebssicherheit, die Effizienz und/oder die Lebensdauer einer Fahrzeugbatterie beeinträchtigen. Dies kann mit dem vorgeschlagenen Verfahren vermieden werden. Zudem können durch das Zellmodul-Zertifikat in Verbindung mit der digitalen Signatur womöglich falsche Parameter, beispielsweise falsche Angaben zum Herstellzeitpunkt oder zur Zahl der Lade- / Entladezyklen für ein Zellmodul, einem namentlich bekannten Hersteller eines Zellmoduls zugeordnet werden.
-
Ein weiterer Vorteil besteht darin, dass für das erfindungsgemäße Verfahren ein Kontakt zwischen dem Hersteller einer Fahrzeugbatterie und einem oder mehreren Herstellern von Zellmodulen, beispielsweise zum Austausch von Zertifikaten, nicht erforderlich ist. Es ist vielmehr ausreichend, wenn jeder der Hersteller direkt oder mittelbar über Zwischenzertifikate von einer Instanz zertifiziert wurde, der alle Beteiligten vertrauen können, beispielsweise vom Hersteller eines Fahrzeugs, für das eine Fahrzeugbatterie entwickelt wurde, oder von einem Herstellerverband oder einer anderen, gemeinsam akkreditierten Stelle. Dadurch kann die Logistik für die Entwicklung und Fertigung von Komponenten für Fahrzeugbatterien beträchtlich vereinfacht werden.
-
Bei einer Ausführungsform des Verfahrens wird jedem Datensatz ein Zählerstand zugeordnet, der von einem nicht-dekrementierbaren monotonischen Zähler erzeugt wird. Derartige monotonische Zähler können beispielsweise in besonderen Sicherheits - Logikschaltkreisen umgesetzt sein, in denen durch hardwaretechnische Maßnahmen (beispielsweise durch irreversible Programmierung) sichergestellt ist, dass der Zählerstand eines solchen monotonischen Zählers nicht dekrementiert und insbesondere nicht zurückgesetzt werden kann.
-
Mit der Erzeugung und/oder der Übertragung eines Datensatzes in beziehungsweise von dem Zellmodul wird ein solcher Zählerstand jeweils inkrementiert und dem erzeugten beziehungsweise übertragenen Datensatz zugeordnet. Der zugeordnete Zählerstand bildet somit die zeitliche Reihenfolge der Erzeugung beziehungsweise Übertragung der Datensätze eine Zellmoduls ab, insbesondere können zwei verschiedene, vom selben Zellmodul erzeugte beziehungsweise übertragene Datensätze nicht einen gleichen Zählerstand tragen.
-
Von dem BMC wird ein empfangener Datensatz als ungültig ermittelt, wenn der darin enthaltene (das heißt: dem Datensatz zugeordnete) Zählerstand kleiner oder gleich einem Zählerstand eines Datensatzes ist, der von demselben Zellmodul zuvor empfangen worden ist.
-
Auf diese Weise können als Replay Attack bezeichnete Angriffe verhindert werden, bei denen gültig signierte und (mittels Zellmodul-Zertifikat) zertifizierte Datensätze eines ersten, vertrauenswürdigen Zellmoduls von einem Angreifer erfasst, gespeichert und anschließend von einem nicht zertifizierten, nicht vertrauenswürdigen zweiten Zellmodul wieder versendet werden, wobei das zweite Zellmodul die digitale Identität des ersten Zellmoduls beansprucht beziehungsweise vortäuscht. Durch die vorgeschlagene Ausführungsform kann somit die Sicherheit gegen ein unberechtigtes Austauschen von Zellmodulen in einer Fahrzeugbatterie weiter verbessert werden.
-
In einer weiteren Ausführungsform wird mindestens eine Sicherheitsreaktion ausgelöst, wenn ein Datensatz als ungültig ermittelt wurde, beispielsweise indem ein unplausibler (beispielsweise gegenüber bereits vom selben Zellmodul empfangenen Datensätzen gleicher oder niedrigerer) Zählerstand, eine inkorrekte digitale Signatur und/oder ein ungültiges oder fehlendes Zellmodul-Zertifikat festgestellt wurden. Eine Sicherheitsreaktion kann beispielsweise die Zuschaltung der Fahrzeugbatterie zum Hochvolt-System eines Fahrzeugs oder die Zuschaltung des Zellmoduls innerhalb der Fahrzeugbatterie unterbinden, das den als ungültig ermittelten Datensatz abgesendet hat.
-
In einer weiteren Ausführungsform wird dem BMC ein BMC-Zertifikat zugeordnet und auf einem Datenspeicher des BMC abgelegt, wobei das BMC-Zertifikat entlang einer Zertifikatkette bis zu einer vertrauenswürdigen, von einem vorbestimmten Zertifikatsaussteller ausgestellten Ursprungsbeglaubigung zurück verfolgbar und somit validierbar ist.
-
Ferner wird bei dieser Ausführungsform ein ursprüngliches Zellmodul-Zertifikat ersetzt, das vom BMC mit einem Datensatz empfangen wird und das zwar validierbar ist (das heißt: auf eine vertrauenswürdige Ursprungsbeglaubigung zurückführbar ist), dessen Zertifikatskette (das heißt: die Folge von aufeinander verweisenden digitalen Zertifikaten bis hin zur vertrauenswürdigen Ursprungsbeglaubigung) jedoch das BMC-Zertifikat selbst nicht umfasst. Eine solche Situation kann beispielsweise dann auftreten, wenn der Hersteller des Zellmoduls und der Hersteller des BMC (oder der Hersteller der Fahrzeugbatterie) von einer gemeinsamen Instanz (beispielsweise dem Hersteller eines Fahrzeugs, für das die Fahrzeugbatterie geeignet ist), jedoch unabhängig voneinander zertifiziert wurden.
-
Bei dieser Ausführungsform wird das ursprüngliche Zellmodul-Zertifikat durch ein neues Zellmodul-Zertifikat ersetzt oder ergänzt, dem das BMC-Zertifikat beigefügt ist. Mit anderen Worten: das neue Zellmodul-Zertifikat ist entlang einer Zertifikatkette validierbar, die das BMC-Zertifikat umfasst. Dadurch kann die Validierung des Zellmodul-Zertifikats beschleunigt und insbesondere autark (ohne Zugriff auf fremde öffentliche Schlüssel) durchgeführt werden. Ferner kann die Integration von Zellmodulen in eine Fahrzeugbatterie sowohl im initialen Fertigungsprozess als auch bei einem nachträglichen Austausch beispielsweise verschlissener Zellmodule erheblich vereinfacht werden, da es keiner zentralen Registrierung zulässiger (vertrauenswürdiger) Zellmodule mehr bedarf.
-
Nach einem zweiten Aspekt der Erfindung umfasst eine Fahrzeugbatterie einen Battery Management Controller (BMC), der erfindungsgemäß zur Ablage eines BMC-Zertifikats und zur Überprüfung einer digitalen Signatur und eines Zellmodul-Zertifikats eingerichtet ist. Diese Überprüfung stellt sicher, dass die digitale Signatur mit einem privaten digitalen Schlüssel erstellt wurde, welcher zu dem in dem Zellmodul-Zertifikat umfassten öffentlichen digitalen Schlüssel korrespondiert (das heißt: mit letzterem ein kryptographisches Schlüsselpaar bildet). Das BMC-Zertifikat sowie das Zellmodul-Zertifikat sind hierbei entlang jeweils einer Zertifikatkette auf eine Ursprungsbeglaubigung zurückführbar (validierbar), die von demselben Zertifikatshersteller ausgestellt wurde.
-
Die Vorteile der erfindungsgemäßen Fahrzeugbatterie entsprechen den Vorteilen des Verfahrens zum Betreiben einer Fahrzeugbatterie gemäß dem ersten Aspekt der Erfindung.
-
Nach einem dritten Aspekt der Erfindung wird bei einem Verfahren zur Herstellung einer Fahrzeugbatterie gemäß dem zweiten Aspekt der Erfindung ein BMC mit einem BMC-Zertifikat sowie mindestens ein Zellmodul mit jeweils einem Zellmodul-Zertifikat, welches in seiner Zertifikatskette auf das BMC-Zertifikat verweist, bereitgestellt. Die Vorteile dieses Verfahrens entsprechen den Vorteilen des Verfahrens zum Betreiben einer Fahrzeugbatterie gemäß dem ersten Aspekt der Erfindung. Ferner weist eine nach diesem Verfahren hergestellte Fahrzeugbatterie den Vorteil auf, dass von dem mindestens einen Zellmodul an den BMC gesendete Datensätze besonders leicht und autark (ohne Zugriff auf fremde öffentliche Schlüssel) auf ihre Vertrauenswürdigkeit geprüft werden können.
-
Nach einem vierten Aspekt der Erfindung ist ein Zellmodul, das zur Speicherung einer elektrischen Ladung für die Verwendung in einer Fahrzeugbatterie eingerichtet ist, zur Ablage eines privaten digitalen Schlüssels eingerichtet und umfasst einen Datenspeicher, der zur Ablage von mindestens einem Zellmodul-Zertifikat sowie zur Ablage von Herstell- und/oder Betriebsparametern dieses Zellmoduls eingerichtet ist. Derartige Herstell- und/oder Betriebsparameter können einmalig geschriebene Daten, beispielsweise ein Herstelldatum oder eine Seriennummer sein. Alternativ oder zusätzlich können dies bewegliche (mehrfach geschriebene) Daten sein, beispielsweise eine Anzahl von Lade- und Entladezyklen, denen das Zellmodul seit seiner Herstellung ausgesetzt war.
-
Ferner umfasst ein solches Zellmodul gemäß dem vierten Aspekt der Erfindung eine Zellüberwachungseinheit, die zur digitalen Signatur von Datensätzen eingerichtet ist, welche mindestens ein auf dem Datenspeicher abgelegtes Zellmodul-Zertifikat umfassen, wobei die digitale Signatur durch Anwendung des auf dem Zellmodul abgelegten digitalen Schlüssels erstellt wird.
-
Zur sicheren (gegen Manipulation geschützten) Ablage von Datensätzen reicht die digitale Signatur in Verbindung mit dem Zellmodul-Zertifikat. Daher sind besondere Schutz- oder Sicherheitsmaßnahmen bezüglich des Datenspeichers selbst nicht erforderlich. Es ist vielmehr ausreichend, wenn der dem Zellmodul zugeordnete private digitale Schlüssel gegen unberechtigtes Auslesen oder Verändern geschützt ist. Somit kann an Stelle eines speziell entwickelten sicheren Speichermoduls ein vergleichsweise einfacher und kostengünstiger Datenspeicher, beispielsweise ein üblicher EEPROM (electrically erasable programmable read-only memory), eingesetzt werden. Weitere Vorteile des Zellmoduls entsprechen den Vorteilen des Verfahrens zum Betreiben einer Fahrzeugbatterie gemäß dem ersten Aspekt der Erfindung.
-
In einer Ausführungsform umfasst das Zellmodul eine Sicherheitslogik, die zur geschützten Ablage des privaten digitalen Schlüssels und zum digitalen Signieren von Datensätzen durch Anwendung dieses privaten digitalen Schlüssels eingerichtet ist. Mit einer derartigen Sicherheitslogik kann die digitale Signatur der von dem Zellmodul abgelegten und/oder übermittelten Datensätze besonders einfach, effizient und sicher erfolgen.
-
In einer weiteren Ausführungsform umfasst die Sicherheitslogik zudem einen nicht-dekrementierbaren monotonischen Zähler. Ein solcher monotonischer Zähler ist in einer Sicherheitslogik besonders leicht und gegen Angriffe geschützt umsetzbar. Die Vorteile eines von einem Zellmodul zur Identifizierung der Reihenfolge des Erzeugens und/oder Übermittelns von Datensätzen verwendbaren monotonischen Zählers entsprechen den Vorteilen der Ausführungsform eines Verfahrens zum Betreiben einer Fahrzeugbatterie unter Verwendung eines Zählerstandes eines solchen monotonischen Zählers.
-
Ausführungsbeispiele der Erfindung werden im Folgenden anhand von Zeichnungen näher erläutert.
-
Dabei zeigen:
- 1 schematisch eine Fahrzeugbatterie mit einer Batterieüberwachungseinheit und einem Zellmodul mit einer Zellüberwachungseinheit sowie
- 2 schematisch den Ablauf des Anlernens eines ersatzweise in einer Fahrzeugbatterie eingebauten Zellmoduls.
-
Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
-
1 zeigt schematisch und ausschnittsweise eine Fahrzeugbatterie 1 für ein nicht näher dargestelltes Kraftfahrzeug mit einem Elektroantrieb. Eine Fahrzeugbatterie 1 umfasst üblicherweise eine Mehrzahl von Zellmodulen 10, in denen jeweils mehrere elektrochemische Zellen, beispielsweise Lithium-Ionen-Zellen, zusammengefasst sind.
-
Zur verbesserten Übersichtlichkeit ist in 1 lediglich ein einziges Zellmodul 10 schematisch dargestellt, das einen Zellenblock 11 umfasst, in dem mehrere elektrochemische Zellen zusammengefasst sind. Die elektrochemischen Zellen des Zellenblocks 11 sind im Detail in 1 nicht dargestellt. Zudem wird eine Fahrzeugbatterie 1 typischerweise weitere Zellmodule 10 umfassen, die vorliegend nicht dargestellt sind.
-
Das Zellmodul 10 umfasst außer dem Zellenblock 11 eine Zellüberwachungseinheit 12, die auch als Cell Supervision Electronics (CSE) bezeichnet wird. Die Zellüberwachungseinheit 12 überwacht und regelt den Ladezustand des Zellenblocks 11, beispielsweise unter Berücksichtigung der Ladezustände der einzelnen darin enthaltenen elektrochemischen Zellen und/oder der Betriebstemperatur.
-
Zellüberwachungseinheiten 12, die einen Microcontroller oder einen Application Specific Integrated Circuit (ASIC) umfassen, sind aus dem Stand der Technik bekannt. Typischerweise umfassen derartige Zellüberwachungseinheiten 12 auch mindestens einen Datenspeicher 13, auf dem technische Parameter und Betriebsdaten des zugeordneten Zellenblocks 11 protokolliert werden. Lediglich beispielhaft und stark vereinfacht können auf dem Datenspeicher 13 Angaben zur Anzahl der umfassten elektrochemischen Zellen, Details der elektrochemischen Zellen, ein Herstelldatum und/oder ein Hersteller sowie Parameter bislang erfolgter Auf- und Entladungen des Zellenblocks 11 und/oder einzelner umfasster Zellen abgelegt werden. Diese Daten sind für einen effizienten und sicheren Betrieb des Zellmoduls 10 gemeinsam mit weiteren (in 1 jedoch aus Übersichtlichkeitsgründen nicht dargestellten) Zellmodulen 10 derselben Fahrzeugbatterie 1 erforderlich.
-
Die Koordination der Mehrzahl von Zellmodulen 10 einer Fahrzeugbatterie 1 erfolgt durch ein übergeordnetes Steuergerät, das als Battery Management Controller BMC 100 bezeichnet wird. Der BMC 100 erfasst aus den Parametern der (im Allgemeinen) mehreren Zellmodule 10 den aktuellen Ladezustand der gesamten Fahrzeugbatterie 1, steuert die Auf- und Entladung der einzelnen Zellmodule 10 und übernimmt die Kommunikation mit weiteren, hier nicht näher dargestellten Steuergeräten des Fahrzeugs.
-
Die von den Zellmodulen 10 empfangenen Daten können in einem Datenspeicher 103 des BMC 100 abgelegt werden.
-
Zellmodule 10 können während der Lebensdauer einer Fahrzeugbatterie 1 ausgetauscht werden. Daher können Daten, die ohne weitere Sicherheitsmaßnahmen von einem Zellmodul 10 an das BMC 100 übermittelt werden, nicht von vornherein als vertrauenswürdig angesehen werden. Beispielsweise könnten durch einen Angreifer, aber auch durch einen Dritthersteller eines Zellmoduls 10 Daten auf dessen Datenspeicher 13 manipuliert und in der Folge bezüglich des Herstelldatums, des Herstellers oder der bereits vollzogenen Lade- und Entladezyklen falsche Angaben an das BMC 100 übermittelt werden. Dadurch wird der Betrieb einer Fahrzeugbatterie 1 nach dem Austausch eines Zellmoduls 10 in seiner Sicherheit und Effizienz beeinträchtigt.
-
Der Erfindung liegt die Idee zu Grunde, die Authentizität, die Integrität und die Vertrauenswürdigkeit von Daten, die von einem Zellmodul 10 an das BMC 100 übermittelt werden, durch eine digitale Signatur beziehungsweise durch mindestens ein digitales Zertifikat sicherzustellen.
-
Hierzu wird einem Zellmodul 10 jeweils mindestens ein digitales Schlüsselpaar zugeordnet, das einen privaten Schlüssel 14 zur Erstellen einer digitalen Signatur sowie einen korrespondierenden öffentlichen Schlüssel 15 umfasst, mit dem die Echtheit einer mit dem privaten Schlüssel 14 erstellten digitalen Signatur geprüft werden kann. Mit dem öffentlich, somit auch für das BMC 100, verfügbaren Schlüssel 15 kann das BMC 100 sicherstellen, dass empfangene Daten vollständig und nicht manipuliert sind und von einer Instanz abgesendet wurden, die im Besitz des zugeordneten privaten Schlüssels 14 ist. Damit sind die Authentizität und die Integrität der übermittelten Daten gesichert. Jedoch ist die Vertrauenswürdigkeit des Absenders, vorliegend des Zellmoduls 10, dadurch noch nicht gewährleistet.
-
Erfindungsgemäß wird dem Zellmodul 10 über das digitale Schlüsselpaar hinaus mindestens ein digitales Zellmodul-Zertifikat 16 zugeordnet, das auf eine vertrauenswürdige Ursprungsbeglaubigung (Root of Trust) zurückführbar ist. Bevorzugt ist hierbei das digitale Zellmodul-Zertifikat 16 als eine Kette von aufeinander verweisenden digitalen Zertifikaten (Chain of Trust) ausgebildet, die auf eine solche vertrauenswürdige Ursprungsbeglaubigung zurückführbar ist.
-
Beispielsweise kann ein Fahrzeughersteller Lieferanten von Fahrzeugbatterien 1 jeweils ein von ihm signiertes und auf den jeweiligen Fahrzeughersteller ausgestelltes digitales Zertifikat zuordnen, dessen Echtheit mit einem öffentlichen Schlüssel des Fahrzeugherstellers geprüft werden kann. Die Zuordnung des digitalen Zertifikats eines Lieferanten erfolgt bevorzugt dadurch, dass ein öffentlicher Schlüssel, den der jeweilige Lieferant zur Prüfung seiner eigenen digitalen Signatur vorsieht und bereitstellt, in das von dem Fahrzeughersteller ausgestellte digitale Zertifikat einbezogen wird.
-
Typischerweise wird sich ein Hersteller hierzu eines digitalen Zertifikats bedienen, das ihm selbst von einer übergeordneten Instanz ausgestellt wurde, welcher allgemein und von allen Beteiligten vertraut werden kann und das somit die Anforderungen an eine vertrauenswürdige Ursprungsbeglaubigung (Root of Trust) erfüllt. Beispielsweise kann ein Hersteller ein digitales Zertifikat von einer Stammzertifizierungsstelle beziehen, die sich durch ein von ihr selbst ausgestelltes Stammzertifikat ausweist.
-
Jeder Lieferant von Fahrzeugbatterien 1 kann seinerseits digitale Zertifikate für Sublieferanten von Zellmodulen 10 oder von Komponenten solcher Zellmodule 10 ausstellen, indem er neben den Angaben und dem öffentlichen Schlüssel des Sublieferanten sein eigenes (vom Fahrzeughersteller ausgestelltes) Herstellerzertifikat beifügt und mit einem eigenen privaten Schlüssel digital signiert. Auf diese Weise kann eine im Prinzip beliebig lange Kette von Zertifikaten aufgebaut und lückenlos bis zu der vertrauenswürdigen Ursprungsbeglaubigung (Root of Trust) zurückverfolgt werden.
-
Die Echtheit irgendeines der Zertifikate dieser Kette lässt sich somit stets dadurch prüfen, dass die Echtheit der digitalen Signatur der ersten, von der allgemein vertrauenswürdigen Instanz ausgestellten Ursprungsbeglaubigung (Root of Trust) anhand von deren öffentlichem Schlüssel verifiziert wird und ferner geprüft wird, dass jedes in der Kette nachfolgende Zertifikat korrekt von der Instanz signiert wurde, auf welche das in der Kette vorangehende Zertifikat ausgestellt ist.
-
In gleicher Weise wie dem Zellmodul 10 kann auch dem BMC 100 ein digitales Zertifikat zugewiesen werden, das im Folgenden als BMC-Zertifikat 102 bezeichnet wird und ebenfalls als Zertifikatskette ausgebildet ist.
-
Bevorzugt wird bei der Fertigung und Integration einer Fahrzeugbatterie 1 von einer vertrauenswürdigen Fertigungsinstanz 200 zunächst dem BMC 100 das BMC-Zertifikat 102 zugewiesen und auf einem nicht-flüchtigen Speicher abgelegt, der in 1 nicht näher dargestellt ist. Zugleich wird dem BMC 100 ein Schlüsselpaar zugewiesen, wobei ein privater Schlüssel 101 in einem geschützten Bereich des nicht-flüchtigen Speichers abgelegt wird und der zugeordnete (das heißt: zur Verifizierung digitaler Signaturen mit dem privaten Schlüssel 101 geeignete) öffentliche Schlüssel Bestandteil des BMC-Zertifikats 102 ist.
-
Ausgehend von seinem eigenen BMC-Zertifikat 102 stellt der BMC 100 nachfolgend jedem der bei der Integration umfassten Zellmodule 10 jeweils ein Zellmodul-Zertifikat 16 aus, indem zu den das jeweilige Zellmodul 10 identifizierenden Angaben (darunter bevorzugt auch dessen öffentlicher Schlüssel 15) das BMC-Zertifikat 102 hinzugefügt und die Gesamtheit dieser Daten mit dem privaten Schlüssel 101 des BMC 100 signiert wird. Somit erhält jedes Zellmodul 10 der Fahrzeugbatterie 1 ein individuelles, auf den jeweiligen öffentlichen Schlüssel 15 angepasstes Zellmodul-Zertifikat 16.
-
Im anschließenden operativen Betrieb wird jeder Datensatz, der auf dem internen Datenspeicher 13 des Zellmoduls 10 abgelegt und/oder an den BMC 100 übertragen wird, um das Zellmodul-Zertifikat 16 ergänzt und anschließend mittels des privaten Schlüssels 14 des Zellmoduls 10 digital signiert. Dadurch ist neben der Authentizität und Integrität nun auch die Vertrauenswürdigkeit sämtlicher auf dem Datenspeicher 13 abgelegter oder vom Zellmodul 10 übertragener Daten gesichert.
-
Ein Vorteil der erfindungsgemäßen Lösung besteht darin, dass der Datenspeicher 13 für die Speicherung von Protokolldaten nicht besonders geschützt sein muss, da auch bei einem erfolgreichen Angriff auf den Datenspeicher 13 die dort abgelegten Datensätze nicht verändert werden können, ohne die Integrität der digitalen Signatur zu verletzen. Insbesondere können für den Datenspeicher 13 auch kostengünstige Speichertechnologien, beispielsweise nicht wiederbeschreibbare EEPROM (electrically erasable programmable read-only memory) oder wiederbeschreibbare Flash-EEPROM Speicher, eingesetzt werden. Besondere Schutzvorkehrungen müssen nur hinsichtlich der Ablage des privaten Schlüssels 14 innerhalb des Zellmoduls 10 getroffen werden. In der vorliegend dargestellten Ausführung sind der private Schlüssel 14 und der öffentliche Schlüssel 15 in einer Sicherheitslogik 17 gegen Zugriffe von außen geschützt abgelegt. Die Sicherheitslogik 17 kann darüber hinaus eine eigene, über ein nicht näher dargestelltes digitales Zertifikat abgesicherte digitale Identität verfügen.
-
In einer Ausführungsform umfasst die Sicherheitslogik 17 zusätzlich einen nicht-dekrementierbaren monotonischen Zähler (Monotonic Counter, MC) 18. Der Zählerstand des MC 18 wird mit jeder Protokollierung (das heißt: mit jedem erfassten und auf dem Datenspeicher 13 abgelegten und/oder an den BMC 100 übertragenen Datensatz) inkrementiert und diesem Datensatz als eindeutige Datensatz-Nummer hinzugefügt.
-
Bei dieser Ausführungsform erfasst die BMC 100 die jeweils übertragene Datensatz-Nummer und vergleicht sie mit der Datensatz-Nummer, die von dem jeweiligen Zellmodul 10 bei der letzten Datenübertragung empfangen worden war. Auf diese Weise wird verhindert, dass durch einen Angreifer gültig signierte, aber alte Datensätze aus dem Datenspeicher 13 ausgelesen und erneut an den BMC 100 übertragen werden. Ein Austausch nur der Datensatz-Nummer würde eine Änderung der digitalen Signatur erfordern, die ein Angreifer nicht vornehmen kann, da ihm der private Schlüssel 14 nicht vorliegt.
-
Alternativ oder zusätzlich zu einer auf jeweils einen Datensatz bezogenen digitalen Signatur ist es auch möglich, die Gesamtheit aller auf dem Datenspeicher 13 zusammen mit dem dem jeweiligen Zellmodul 10 zugeordneten Zellmodul-Zertifikat 16 digital zu signieren. Bei jeder Veränderung dieser gespeicherten Daten ist dann die digitale Signatur erneut zu bestimmen. Optional kann bei jeder Veränderung auch der Zählerstand des monotonischen Zählers 18 inkrementiert, auf dem Datenspeicher 13 abgelegt und in die digitale Signatur einbezogen werden. Somit kann, wenn der Inhalt des Datenspeichers 13 insgesamt mit dem Zellmodul-Zertifikat 16 und dem Zählerstand des MC 18 signiert und an den BMC 100 übertragen wird, die Authentizität, Integrität und Vertrauenswürdigkeit dieser Daten geprüft werden.
-
Wird ein Zellmodul 10 während der Lebensdauer einer Fahrzeugbatterie 1 ausgetauscht, so kann die Vertrauenswürdigkeit der Datensätze zunächst nicht mehr an ein Zellmodul-Zertifikat 16 gekoppelt werden, das vom BMC 100 ausgestellt wurde. In dieser Situation ist ein Anlernen des ersatzweise eingebauten Zellmoduls 10 erforderlich, das anhand von 2 erläutert wird.
-
2 zeigt schematisch eine Fahrzeugbatterie 1 mit einer Mehrzahl von Zellmodulen 10.1 bis 10.n, von denen lediglich beispielhaft ein erstes Zellmodul 10.1 und ein n-tes Zellmodul 10.n dargestellt sind, denen ein erstes beziehungsweise n-tes Zellmodul-Zertifikat 16.1, 16.n sowie in 2 nicht näher dargestellte Schlüsselpaare zugeordnet wurden. Im Übrigen sind die Zellmodule 10.1 bis 10.n baugleich und umfassen je einen Zellenblock 11, eine Zellüberwachungseinheit 12 und einen Datenspeicher 13.
-
Zur Veranschaulichung stellt 2 zunächst eine Situation dar, bei der das erste Zellmodul 10.1 entlang des im oberen Teil der 2 dargestellten gültigen Ablaufs G gegen ein ersatzweises Original Equipment Manufacturer (OEM)-Zellmodul 10'.1 ausgetauscht wird. Der Hersteller des OEM-Zellmoduls 10'.1 verfügt über ein digitales Zertifikat, das vom digitalen Zertifikat des Herstellers der Fahrzeugbatterie 1 abweicht, welches in der Zertifikatskette des BMC-Zertifikats 102 enthalten ist, das jedoch auf dieselbe vertrauenswürdige Ursprungsbeglaubigung (Root of Trust), beispielsweise auf dasselbe Stammzertifikat derselben Stammzertifizierungsstelle zurück verfolgbar ist.
-
Beim Anlernen des OEM-Zellmoduls 10'.1 fordert der BMC 100 dessen Zellmodul-Zertifikat 16'.1 an und überprüft dessen Gültigkeit, indem die darin umfasste Zertifikatkette zurück verfolgt wird und festgestellt wird, dass am Anfang dieser Zertifikatkette ein Zertifikat steht, das von derselben vertrauenswürdigen Instanz gültig signiert wurde wie das eigene BMC-Zertifikat 102. Damit werden die von dem OEM-Zellmodul 10'.1 bereitgestellten Daten für vertrauenswürdig erkannt.
-
In einem nachfolgenden Schritt stellt das BMC 100 für das OEM-Zellmodul 10'.1 anhand von dessen digitaler Identität, die beispielsweise durch den öffentlichen Schlüssel eines in 2 nicht näher gezeigten Schlüsselpaares und/oder durch einen definierten, eindeutig zugewiesenen Namen bestimmt ist, ein neues digitales Zertifikat aus. Dieses neu ausgestellte Zertifikat umfasst die Zertifikatskette des BMC-Zertifikats 102 und wird zusätzlich oder an Stelle des ursprünglichen (das heißt: vom OEM ausgestellten) Zellmodul-Zertifikats 16'.1 auf der Zellüberwachungseinheit 12 des OEM-Zellmoduls 10'.1 abgelegt.
-
Mittels dieses neu erstellten, die Zertifikatskette des BMC-Zertifikats 102 umfassenden Zellmodul-Zertifikats 16'.1 authentifiziert das ersatzweise eingebaute OEM-Zellmodul 10'.1 seine Daten in gleicher Weise, wie es für ein ursprünglich in die Fahrzeugbatterie 1 bei der Fertigung integriertes Zellmodul 10 anhand von 1 bereits erklärt worden ist.
-
Im unteren Teil der 2 ist entlang eines ungültigen Ablaufs U das Verfahren für ein ersatzweise eingebautes non-OEM-Zellmodul 10".1 dargestellt. Der Hersteller eines solchen non-OEM-Zellmoduls 10". 1 verfügt nicht über ein digitales Zertifikat, das sich bis zu derselben vertrauenswürdigen Quelle (Root of Trust) zurückverfolgen lässt wie das digitale Zertifikat des Herstellers der Fahrzeugbatterie 1, sondern über ein Fremdzertifikat 16".1.
-
Beim Abruf von Daten vom non-OEM-Zellmodul 10".1 stellt der BMC 100 fest, dass diese Daten kein durch die vertrauenswürdige Quelle bestätigtes digitales Zertifikat umfassen.
-
Dazu wird von dem BMC 100 zunächst überprüft, ob ein von einem Zellmodul 10'.1, 10".1 geliefertes Zertifikat 16'.1, 16".1 auf einer gültigen und bekannten Zertifikatskette basiert. Danach werden die aus dem Datenspeicher 13 des Zellmoduls 10'.1, 10".1 entnommenen und an den BMC 100 übertragenen Daten auf ihre Gültigkeit überprüft. Insbesondere wird die Korrektheit der auf diesen Daten ausgeführten digitalen Signatur überprüft. Optional kann die Plausibilität eines mit den Daten zusammen übermittelten Zählerstandes eines monotonischen Zählers 18 und/oder die digitale Identität der Sicherheitslogik 17 überprüft werden.
-
Bei positivem Ergebnis aller Teilüberprüfungen (gültiges Zellmodul-Zertifikat 16'.1, korrekte Signatur, plausibler Zählerstand des MC 18 und korrekte Identität der Sicherheitslogik 17) wird an das Zellmodul 10'.1 ein neues, die Zertifikatskette des BMC-Zertifikats 102 umfassendes Zellmodul-Zertifikat 16'.1 übertragen, wie oben anhand des gültigen Ablaufs G bereits erläutert.
-
Schlägt eine dieser Teilüberprüfungen fehl, so kann eine Ersatzreaktion ausgelöst werden und/oder eine Integration des non-OEM-Zellmoduls 10". 1 in das Hochvolt-System der Fahrzeugbatterie 1 unterbunden werden. Eine Ersatzreaktion kann beispielsweise ein Eintrag in einem Sicherheitsprotokoll oder die Benachrichtigung eines zentralen Sicherheits-Überwachungssystems sein, welches beispielsweise vom Hersteller des Fahrzeugs betrieben wird.
-
Bezugszeichenliste
-
- 1
- Fahrzeugbatterie
- 10, 10.1
- Zellmodul
- 10'.1
- Original Equipment Manufacturer (OEM)-Zellmodul
- 10''.1
- non-OEM-Zellmodul
- 10.n
- Zellmodul
- 11
- Zellenblock
- 12
- Zellüberwachungseinheit
- 13
- Datenspeicher
- 14
- privater Schlüssel
- 15
- öffentlicher Schlüssel
- 16, 16.1 bis 16.n, 16'.1
- Zellmodul-Zertifikat
- 16''.1
- Fremdzertifikat
- 17
- Sicherheitslogik
- 18
- Monotonischer Zähler, Monotonic Counter (MC)
- 100
- Battery Management Controller (BMC)
- 101
- privater Schlüssel
- 102
- BMC-Zertifikat
- 103
- Datenspeicher
- 200
- Fertigungsinstanz
- G
- gültiger Ablauf
- U
- ungültiger Ablauf
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-