DE102007040094A1 - Configuration modification e.g. software-update, executing method for e.g. car, involves verifying configuration modification message by utilizing credentials, and canceling configuration modification when associated credential is canceled - Google Patents

Configuration modification e.g. software-update, executing method for e.g. car, involves verifying configuration modification message by utilizing credentials, and canceling configuration modification when associated credential is canceled Download PDF

Info

Publication number
DE102007040094A1
DE102007040094A1 DE200710040094 DE102007040094A DE102007040094A1 DE 102007040094 A1 DE102007040094 A1 DE 102007040094A1 DE 200710040094 DE200710040094 DE 200710040094 DE 102007040094 A DE102007040094 A DE 102007040094A DE 102007040094 A1 DE102007040094 A1 DE 102007040094A1
Authority
DE
Germany
Prior art keywords
configuration change
message
credential
configuration
revoked
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE200710040094
Other languages
German (de)
Other versions
DE102007040094B4 (en
Inventor
Rainer Dr. Falk
Florian Kohlmayer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive Technologies GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE200710040094 priority Critical patent/DE102007040094B4/en
Publication of DE102007040094A1 publication Critical patent/DE102007040094A1/en
Application granted granted Critical
Publication of DE102007040094B4 publication Critical patent/DE102007040094B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The method involves verifying a configuration modification message by utilizing credentials. Configuration modification e.g. software-update, is canceled when the associated credential is canceled. The credential is formed by a key, password or certificate. Original configuration data of a control device (1) of a vehicle is stored. Configuration modification data contained in the message is stored. Credentials contained in the message are stored. The message is wirelessly transmitted to the control device via a transmission channel. An independent claim is also included for a system for reversible execution of configuration modification.

Description

Die Erfindung betrifft ein Verfahren und ein System zur reversiblen Durchführung einer Konfigurationsänderung bei einem Steuergerät, insbesondere bei einem Steuergerät eines Fahrzeuges.The The invention relates to a method and a system for reversible execution a configuration change at a control unit, especially with a control unit of a vehicle.

Mobile Geräte, beispielsweise Fahrzeuge wie etwa Kraftfahrzeuge, können eine Vielzahl von Steuergeräten enthalten. Diese Steuergeräte enthalten beispielsweise Prozessoren, die eine Steuersoftware ausführen. Dabei ist es in vielen Fällen notwendig, Konfigurationsparameter von Software-Modulen der Steuerungssoftware zu ändern oder zu aktualisieren.mobile Equipment, For example, vehicles such as automobiles may have a Variety of control devices contain. These controllers include, for example, processors that run a control software. there it is in many cases necessary, configuration parameters of software modules of the control software to change or to update.

Zur Verhinderung unberechtigter Konfigurationsänderungen werden bei herkömmlichen Systemen Sicherheitsverfahren eingesetzt, wobei mittels kryptographischer Verfahren geprüft wird, ob eine Berechtigung der Konfigurationsänderung vorliegt oder nicht. Beispielsweise kann eine Authentisierung eines Servers mittels eines SSL-Protokolls oder eines TLS-Protokolls erfolgen. Ferner kann eine digitale Signatur zum Nachweis des Softwareanbieters dienen. Bei Public-Keybasierten kryptographischen Verfahren werden Zertifikate verwendet, beispielsweise nach X.509. Die Zertifikate können auch widerrufen werden, beispielsweise wenn der bestätigte Schlüssel korrumpiert wurde oder sich der dadurch authentisierte Nutzer falsch bzw. verdächtig verhalten hat. Eine Zertifikat-Widerrufsinformation zum Widerruf eines Zertifikats wird üblicherweise in Form einer Zertifikat-Widerrufsliste bereitgestellt. Alternativ kann eine Online-Überprüfung eines Zertifikat-Status vorgenommen werden, beispielsweise mit Hilfe eines OCSP-Protokolls (OCSP = Online Certificate Status Protocol).to Prevention of unauthorized configuration changes are commonplace Systems using security procedures, using cryptographic Procedure tested whether there is authorization for the configuration change or not. For example, an authentication of a server by means of a SSL protocol or a TLS protocol respectively. Furthermore, a digital signature can serve to prove the software provider. Public key-based cryptographic methods become certificates used, for example after X.509. The certificates can also for example, if the confirmed key has been corrupted or the user authenticated thereby behave wrongly or suspiciously Has. A certificate revocation information for revoking a certificate becomes common provided in the form of a certificate revocation list. Alternatively, you can an online review of one Certificate status, for example using an OCSP protocol (OCSP = Online Certificate Status Protocol).

Ein Nachteil dieser herkömmlichen Verfahren besteht darin, dass die Widerrufsinformation, beispielsweise die Zertifikat-Widerrufsinformation nicht immer aktuell ist. Ein Teilnehmer bzw. Nutzer, der eine Konfigurationsänderung an einem Steuergerät vornehmen möchte, wird daher als berechtigt akzeptiert, obwohl ein Zertifikat eigentlich schon widerrufen wurde oder das Zertifikat hätte bereits widerrufen werden sollen, dies allerdings noch nicht erfolgt ist.One Disadvantage of this conventional Method is that the revocation information, for example the certificate revocation information is not always up to date. A participant or user who made a configuration change on a control unit would like to, is therefore accepted as eligible, although a certificate actually has already been revoked or the certificate would have already been revoked but this has not happened yet.

Ein Grund hierfür liegt darin, dass aktualisierte Zertifikat-Widerruflisten CRL (CRL = Certificate Revocation Lists) in gewissen Zeitabständen geladen werden und Zertifikat-Widerruflisten auch nur in gewissen Zeitabständen aktualisiert werden. Daher kommt es zu zeitlichen Verzögerungen, d. h. eine Zertifikat-Widerrufsinformation liegt erst mit einer gewissen zeitlichen Verzögerung vor. Daher kann es oft vorkommen, dass die Zertifikat-Widerrufsinformation erst mit einer zeitlichen Verzögerung von mehreren Tagen vorliegt. Eine Überprüfung mit Hilfe des OCSP-Datenübertragungsprotokolls ist nur bei einer bestehenden Online-Verbindung zu einem OCSP-Server möglich. Nicht in allen Fällen kann eine Online-Verbindung zu einem OCSP-Server hergestellt werden. Bei der Erstellung von Zertifikat-Widerrufslisten und der entsprechenden Datenübertragung mittels OCSP sind administrative Vorgänge notwendig, bevor ein bestehendes Zertifikat widerrufen werden kann. Beispielsweise wird erst nach einem erkannten Missbrauch das Zertifikat eines Teilnehmers widerrufen. Die administrativen Entscheidungsprozesse benötigen ebenfalls eine gewisse Zeitdauer und führen zu weiteren zeitlichen Verzögerungen.One reason for this This is because updated Certificate Revocation Lists (CRL = Certificate Revocation Lists) at certain intervals are loaded and certificate revocation lists only at certain intervals to be updated. Therefore, there are delays, d. H. A certificate revocation information is only with a certain time delay in front. Therefore, it can often happen that the certificate revocation information only with a time delay of several days. A check using the OCSP data transfer protocol is only for an existing online connection to an OCSP server possible. Not in all cases Can an online connection to an OCSP server. When creating Certificate revocation lists and the corresponding data transmission by means of OCSP are administrative operations necessary before an existing certificate can be revoked. For example, only after a detected abuse the certificate of a participant revoke. The administrative decision-making processes need also a certain amount of time and lead to further temporal Delays.

Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und ein System zur reversiblen Durchführung von Konfigurationsänderungen bei einem Steuergerät zu schaffen, bei dem eine Konfigurationsänderung ohne zeitliche Verzögerung vornehmbar ist.It is therefore the object of the present invention, a method and a system for reversibly making configuration changes a control unit in which a configuration change without temporal delay vornehmbar is.

Diese Aufgabe wird durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.These The object is achieved by a method with the specified in claim 1 Characteristics solved.

Die Erfindung schafft ein Verfahren zur reversiblen Durchführung einer Konfigurationsänderung bei einem Steuergerät, wobei nach Erhalt einer Konfigurationsänderungsnachricht, die mittels mindestens eines Credentials verifiziert wird, die vorgenommene Konfigurationsänderung zurückgenommen wird, wenn das zugehörige Credential widerrufen wird.The Invention provides a method for reversibly performing a Configuration change at a control unit, after receiving a configuration change message using the verified at least one credential configuration change is withdrawn, if the associated Credential will be revoked.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das Credential durch einen kryptographischen Schlüssel gebildet.at an embodiment the method according to the invention the credential is formed by a cryptographic key.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das Credential durch ein eingebbares Passwort gebildet.at an embodiment the method according to the invention the credential is formed by an enterable password.

Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens wird das Credential durch ein Zertifikat gebildet.at a further embodiment the method according to the invention the credential is formed by a certificate.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die ursprünglichen Konfigurationsdaten des Steuergerätes gespeichert.at an embodiment the method according to the invention become the original configuration data of the control unit saved.

Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsänderungsdaten, die in der Konfigurationsänderungsnachricht enthalten sind, gespeichert.at a further embodiment the method according to the invention become the configuration change data, in the configuration change message are stored.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die Credentials, die in der Konfigurationsänderungsnachricht enthalten sind, gespeichert.at an embodiment the method according to the invention the credentials that are in the configuration change message are stored.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird die Konfigurationsänderungsnachricht über einen Übertragungskanal drahtlos an das Steuergerät eines Fahrzeuges übertragen.at an embodiment the method according to the invention the configuration change message is transmitted over a transmission channel wirelessly to the control unit of a vehicle.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens weist die Konfigurationsänderung ein Software-Update, eine Parameteränderung oder ein Steuerkennlinien-Update auf.at an embodiment the method according to the invention indicates the configuration change a software update, a parameter change or a control curve update on.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird die Konfigurationsänderungsnachricht von einem Update-Server an das Steuergerät übertragen.at an embodiment the method according to the invention becomes the configuration change message from an update server transferred to the control unit.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird das Credential durch eine Widerrufsnachricht widerrufen, die in einer Widerrufsnachricht von einem Revocation-Server an das Steuergerät übertragen wird.at an embodiment the method according to the invention the credential will be revoked by a revocation message in a revocation message from a revocation server to the controller becomes.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird ein Zeitpunkt, an dem die Konfigurationsänderung vorgenommen wird, abgespeichert.at an embodiment the method according to the invention A time at which the configuration change is made is stored.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens wird eine vorgenommene Konfigurationsänderung nach Ablauf eines einstellbaren Zeitraums nicht mehr zurückgenommen, selbst wenn das zugehörige Credential widerrufen wird.at an embodiment the method according to the invention is a made configuration change after a set period of time no longer withdrawn, even if the associated one Credential will be revoked.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens weist die Widerrufsnachricht neben den widerrufenen Credentials zusätzliche Informationsdaten auf, die angeben, welche Konfigurationsänderungen zurückzunehmen sind, und/oder die einen erlaubten Zeitraum für die Zurücknahme von zurückzunehmenden Konfigurationsänderungen angeben.at an embodiment the method according to the invention has the revocation message next to the revoked credentials additional Informational data indicating which configuration changes take back are, and / or the period of time allowed for the withdrawal to be redeemed Specify configuration changes.

In einer Ausführungsform des erfindungsgemäßen Verfahrens weist die Widerrufsnachricht mit den widerrufenen Credentials zusätzliche Informationsdaten auf, die angeben, ob die Rücknahme der Konfigurationsänderungen verpflichtend ist oder optional ist, d. h. lediglich eine Empfehlung darstellt. Dadurch kann die Entscheidung über die Rücknahme auf den Fahrer übertragen werden, indem dieser z. B. eine Frage angezeigt bekommt, ob er die Änderung zurücknehmen will oder nicht.In an embodiment the method according to the invention assigns the revocation message with the revoked credentials additional Informational data indicating whether the withdrawal of the configuration changes is mandatory or optional, d. H. only a recommendation represents. As a result, the decision on the return to the driver transferred be by this z. For example, a question is displayed as to whether or not to withdraw the change want or not.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsänderungsdaten zwischengespeichert und nach einer einstellbaren Zeitverzögerung wird die Konfigurationsänderung bei dem Steuergerät entsprechend den zwischengespeicherten Konfigurationsänderungsdaten vorgenommen.at an embodiment the method according to the invention become the configuration change data cached and after an adjustable time delay is the configuration change at the control unit according to the cached configuration change data performed.

Die Erfindung schafft ferner ein System zur reversiblen Durchführung von Konfigurationsänderungen bei einem Steuergerät nach Erhalt einer Konfigurationsänderungsnachricht, die mittels mindestens eines Credentials verifiziert wird, wobei die bei dem Steuergerät vorgenommen Konfigurationsänderung zurücknehmbar ist, wenn das zugehörige Credential widerrufen wird.The The invention also provides a system for the reversible implementation of configuration changes at a control unit upon receipt of a configuration change message, which is verified by means of at least one credential, wherein the at the control unit made configuration change retractable is if the associated Credential will be revoked.

Die Erfindung schafft ferner ein Steuergerät mit reversibler Konfigurationsänderung, wobei eine Konfigurationsänderung, die nach Erhalt einer verifizierten Konfigurationsänderungsnachricht an dem Steuergerät vorgenommen wird, wieder zurücknehmbar ist, wenn das zur Verifizierung der Konfigurationsänderung verwendete Credential widerrufen wird.The Invention also provides a controller with reversible configuration change, where a configuration change, after receiving a verified configuration change message on the control unit is made, again withdrawable if that is to verify the configuration change used credential is revoked.

Im Weiteren werden Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems zur reversiblen Durchführung einer Konfigurationsänderung bei einem Steuergerät unter Bezugnahme auf die beigefügten Figuren zur Erläuterung erfindungswesentlicher Merkmale beschrieben.in the Further will be embodiments the method according to the invention and the system according to the invention for reversible execution a configuration change at a control unit under Reference to the attached Figures for explanation features essential to the invention described.

Es zeigen:It demonstrate:

1: ein Signaldiagramm zur Erläuterung der Funktionsweise des erfindungsgemäßen Verfahrens zur reversiblen Durchführung einer Konfigurationsänderung; 1 a signal diagram for explaining the operation of the method according to the invention for the reversible implementation of a configuration change;

2: ein Ausführungsbeispiel für das erfindungsgemäße System zur reversiblen Durchführung einer Konfigurationsänderung bei einem Steuergerät eines Fahrzeuges. 2 : An exemplary embodiment of the inventive system for the reversible implementation of a configuration change in a control unit of a vehicle.

Wie man aus 1 erkennen kann, erfolgt bei dem erfindungsgemäßen Verfahren eine reversible Durchführung einer Konfigurationsänderung bei einem Steuergerät 1 nach Erhalt einer Konfigurationsänderungsnachricht KÄN, beispielsweise von einem Server 2. Die Konfigurationsänderungsnachricht KÄN wird in dem Steuergerät 1 mittels mindestens eines mit der Konfigurationsänderungsnachricht übertragenen oder auf dem Steuergerät bereits vorhandenen Credentials verifiziert. Weiterhin kann bei der Prüfung der Konfigurationsänderungsnachricht ein lokal gespeicherter Sicherheitsparameter (Passwort, Secret Key, Public Key) verwendet werden. Bei dem übertragenen Credential kann es sich beispielsweise um einen kryptographischen Schlüssel, ein Passwort oder um ein Zertifikat handeln. Das übertragene Credential stellt Sicherheitsprüfdaten dar, die das Steuergerät 1 dazu benutzen kann, eine Konfigurationsänderungsnachricht zu verifizieren. Bei dem übertragenen Credential C kann es sich beispielsweise um einen öffentlichen Schlüssel oder dessen Hash-Wert handeln. Weiterhin kann es sich bei diesem Credential C um eine Seriennummer eines verwendeten Zertifikats oder den Namen bzw. den Identifizierer der Datenquelle handeln, die die Konfigurationsänderungsnachricht versendet hat. Die übertragene Konfigurationsänderungsnachricht weist somit als Sicherheitsprüfparameter mindestens ein Credential auf, welches die Integrität und den Ursprung einer Konfigurationsänderungsnachricht KÄN nachweist.How to get out 1 can recognize, carried out in the inventive method, a reversible implementation of a configuration change in a control unit 1 after receiving a configuration change message KAN, for example from a server 2 , The configuration change message KAN becomes in the controller 1 verified by means of at least one transmitted with the configuration change message or already existing on the control unit credentials. Furthermore, when checking the configuration change message, a locally stored security parameter (password, secret key, public key) can be used. The transmitted credential may be, for example, a cryptographic key, a password or a certificate. The transmitted credential represents safety check data that the controller 1 to verify a configuration change message. The transmitted credential C may be, for example, a public key or its hash value. Furthermore, it can be in this Creden tial C is a serial number of a used certificate or the name or identifier of the data source that sent the configuration change message. The transmitted configuration change message thus has as security check parameters at least one credential which proves the integrity and the origin of a configuration change message KÄN.

Sobald das Steuergerät 1 eine für das Steuergerät bestimmte Konfigurationsänderungsnachricht KÄN empfangen hat, führt das Steuergerät 1 eine Sicherheitsüberprüfung durch. Es wird anhand des empfangenen bzw. auf dem Steuergerät bereits vorhandenen Credentials C geprüft, ob die Konfigurationsänderungsnachricht KÄN kryptographisch korrekt ist und von einer verlässlichen Datenquelle, beispielsweise einem berechtigten Server 2, stammt.Once the controller 1 has received a specific configuration change message KAN for the control unit, the controller executes 1 a security check by. It is checked on the basis of the existing or on the control unit already existing C credentials, whether the configuration change message KÄN is cryptographically correct and from a reliable data source, such as an authorized server 2 , comes from.

Nach erfolgreicher Verifizierung der erhaltenen Konfigurationsänderungsnachricht KÄN werden die Konfigurationsänderungs daten, die in der Konfigurationsänderungsnachricht KÄN enthalten sind, durch das Steuergerät 1 in einer Speichereinheit gespeichert. Darüber hinaus werden die ursprünglichen Konfigurationsdaten nach Erhalt der Konfigurationsänderungsnachricht KÄN ebenfalls in einer Speichereinheit des Steuergerätes 1 abgespeichert. Weiterhin werden bei einer Ausführungsform des erfindungsgemäßen Verfahrens auch die zur Überprüfung der Konfigurationsänderungsnachricht KÄN verwendeten Credentials C gespeichert.Upon successful verification of the obtained configuration change message KAN, the configuration change data included in the configuration change message KAN is acquired by the controller 1 stored in a memory unit. Moreover, after receiving the configuration change message KAN, the original configuration data also becomes in a memory unit of the controller 1 stored. Furthermore, in one embodiment of the method according to the invention, the credentials C used for checking the configuration change message KAN are also stored.

Die Übertragung der Konfigurationsänderungsnachricht KÄN erfolgt bei einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahren drahtlos über einen Übertragungskanal von einem Server 2 zu einem Steuergerät 1 innerhalb eines Fahrzeuges. Bei dem Fahrzeug kann es sich um ein beliebiges Fahrzeug, beispielsweise um ein Kraftfahrzeug, ein Schiff oder um ein Flugzeug handeln. Nach Vornahme der Konfigurationsänderung speichert das Steuergerät 1, welche Konfigurationsänderung vorgenommen wurde. Diese Änderungsinformation wird neben den übertragenen oder zur Überprüfung der Konfigurationsänderungsnachricht KÄN verwendeten Credentials bzw. Sicherheitsinformation bzw. den Sicherheitsprüfdaten gespeichert.In a preferred embodiment of the method according to the invention, the transmission of the configuration change message KAN takes place wirelessly via a transmission channel from a server 2 to a control unit 1 inside a vehicle. The vehicle may be any vehicle, for example a motor vehicle, a ship or an aircraft. After making the configuration change, the controller stores 1 which configuration change was made. This change information is stored in addition to the credentials or security information or the security check data used for checking or transmitting the configuration change message KAN.

Als Konfigurationsänderungsdaten werden bei dem erfindungsgemäßen Verfahren beispielsweise Software-Updates von Software-Modulen, Parameteränderungen oder Steuerkennlinien-Updates für das Steuergerät 1 innerhalb der Konfigurationsänderungsnachricht übertragen. Werden Konfigurationsparameter für das Steuergerät 1 von derselben Datenquelle innerhalb eines vorgegebenen Zeitraums geändert, wird sukzessiv die Historie der Änderungsinformationen durch das Steuergerät 1 abgespeichert.As a configuration change data in the inventive method, for example, software updates of software modules, parameter changes or control curve updates for the control unit 1 within the configuration change message. Become configuration parameters for the controller 1 changed from the same data source within a predetermined period of time, successively, the history of the change information by the control unit 1 stored.

Bei einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird ein Zeitpunkt, an dem die Konfigurationsänderung vorgenommen wird, ebenfalls abgespeichert. Wie in 1 erkennbar, erhält das Steuergerät 1 gegebenenfalls nach einer gewissen Zeit Δt eine Widerrufsnachricht WN von der gleichen Datenquelle nämlich dem Server 2. Die Widerrufsnachricht WN enthält mindestens ein Credential C zum Widerruf bzw. zur Rückgängigmachung einer entsprechenden Konfigurationsänderung, die durch das gleiche Credential C authentisiert wurde. Bei dem Credential C kann es sich beispielsweise um einen Schlüssel, ein Passwort, ein Zertifikat oder dergleichen handeln. In einer alternativen Ausführungsform erhält das Steuergerät 1 die Widerrufsnachricht WN von einem Revocation-Server (nicht dargestellt), d. h. von einer anderen Datenquelle als demjenigen Server 2, von dem die Konfigurationsänderungsnachricht KÄN empfangen wurde.In a preferred embodiment of the method according to the invention, a point in time at which the configuration change is made is likewise stored. As in 1 recognizable, receives the control unit 1 optionally, after a certain time Δt, a revocation message WN from the same data source, namely the server 2 , The revocation message WN contains at least one credential C for revoking or reversing a corresponding configuration change that has been authenticated by the same credential C. The credential C may be, for example, a key, a password, a certificate or the like. In an alternative embodiment, the controller receives 1 the revocation message WN from a revocation server (not shown), ie from a data source other than the server 2 from which the configuration change message KAN was received.

Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird eine vorgenommene Konfigurationsänderung nach Ablauf eines einstellbaren Zeitraumes nicht mehr zurückgenommen, selbst wenn das zugehörige Credential C widerrufen wird. Wenn ein bestimmter Zeitraum, z. B. eine Woche, verstrichen ist und ein in der Konfigurationsänderungsnachricht KÄN verwendetes Credential C bis dahin nicht widerrufen wird, wird die gespeicherte Änderungsinformation in dem Steuergerät 1 gelöscht. Der gewählte Zeitraum kann für verschiedene Arten von Konfigurationsänderungen unterschiedlich lang eingestellt werden.In one possible embodiment of the method according to the invention, a configuration change made is no longer withdrawn after an adjustable period of time, even if the associated credential C is revoked. If a certain period, eg. B. a week has elapsed and a used in the configuration change message KÄN credential C is not revoked until then, the stored change information in the control unit 1 deleted. The selected period can be set to different lengths for different types of configuration changes.

Bei einer möglichen Ausführungsform werden mit der Widerrufsnachricht WN zusätzlich Widerrufsdaten bzw. Widerrufsinformationen übertragen, wobei in die Informationen eincodiert ist, welche vorgenommenen Konfigurationsänderungen rückgängig zu machen sind. Dies betrifft Kriterien über die Art der vorgenommenen Konfigurationsänderung oder den Zeitpunkt der vorgenommenen Konfigurationsänderungen. Beispielsweise werden nur Konfigurationsänderungen an Parametern der Motorsteuerung zurückgenommen oder nur in einem bestimmten Zeitraum vorgenommene Konfigurationsänderungen. Die Widerrufsnachricht WN weist somit neben den widerrufenen Credentials C zusätzliche Informationsdaten auf, die angeben, welche Konfigurationsänderungen vorzunehmen sind und/oder einen Zeitraum von vorgenommenen nun zurückzunehmenden Konfigurationsänderungen und/oder einen erlaubten Zeitraum für die Zurücknahme der Konfigurationsänderungen.at a possible embodiment With the revocation message WN additional revocation data or Transfer revocation information, where is encoded in the information, which configuration changes made to reverse are doing. This concerns criteria about the nature of the made configuration change or the time of the configuration changes made. For example, only configuration changes to parameters of the Engine control withdrawn or only configuration changes made in a certain period of time. The Cancellation message WN thus points next to the revoked credentials C additional Informational data indicating which configuration changes be made and / or a period of time now to be taken back Configuration changes and / or a permitted period for the withdrawal the configuration changes.

Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsänderungsdaten zwischengespeichert und nach einer einstellbaren Zeitverzögerung wird die Konfigurationsänderung bei dem Steuergerät 1 entsprechend den zwischengespeicherten Konfigurationsänderungsdaten vorgenommen. Bei dieser Ausführungsform wird eine vorzunehmende Konfigurationsänderung zunächst gespeichert, jedoch später durchgeführt, d. h. verzögert bis eine Konfigurationsänderungsbedingung erfüllt ist. Dabei wird eine Konfigurationsänderung erst nach einer gewissen Zeitverzögerung durchgeführt, wenn zwischenzeitlich die verwendete Sicherheitsinformation bzw. das zugehörige Credential C nicht widerrufen wurde.In one embodiment of the method according to the invention, the configuration change data are buffered and, after an adjustable time delay, the configuration change is made to the control device 1 corresponding the cached configuration change data. In this embodiment, a configuration change to be made is first stored but later performed, ie delayed until a configuration change condition is met. In this case, a configuration change is performed only after a certain time delay, if in the meantime, the security information used or the associated credential C was not revoked.

Bei einer möglichen Ausführungsform kann in bestimmten Fällen die Konfigurationsänderung um einen bestimmten Zeitraum zeitlich verzögert werden, wobei der Konfigurationszeitpunkt in Abhängigkeit von dem Vorhandensein einer Online-Verbindung zur Durchführung einer OSCP-Abfrage abhängt oder davon ob eine Credential-Widerrufsliste CRL aktuell ist, beispielsweise nicht älter als einen Tag ist.at a possible embodiment can in certain cases the configuration change delayed by a certain period of time, the configuration time dependent on from the presence of an online connection to carry out a OSCP query depends or of whether a credential revocation list CRL is up to date, for example not older than one day is.

2 zeigt ein Ausführungsbeispiel eines erfindungsgemäßen Systems zur reversiblen Durchführung von Konfigurationsänderung bei einem Steuergerät 1. Bei dem in 2 dargestellten Ausführungsbeispiel befindet sich das Steuergerät 1 in einem Fahrzeug 3. Über eine Antenne 4 und einen Transceiver tauscht das Steuergerät 1 Daten entsprechend einem Datenübertragungsprotokoll mit der Basisstation 5 eines Zugangsnetzwerkes aus, das über ein Netzwerk 6 mit einem Update-Server 2A und mit einem Revocation-Server 23 verbunden ist. Bei dem in 2 dargestellten Ausführungsbeispiel wird eine Konfigurationsänderungsnachricht von dem Update-Server 2A über die drahtlose Schnittstelle an das Steuergerät 1 innerhalb des Fahrzeuges 3 übertragen. Die Konfigurationsänderungsnachricht KÄN enthält dabei mindestens einen Prüfparameter zur Verifi zierung der Konfigurationsänderungsnachricht mittels eines Credentials C. In einer Widerrufsnachricht WN, die von dem Revocation-Server 2B stammt, kann das Credential C widerrufen werden. Nach Empfang der Widerrufsnachricht WN über die drahtlose Schnittstelle wird eine entsprechende Konfigurationsänderung durch das Steuergerät 1 rückgängig gemacht. 2 shows an embodiment of a system according to the invention for the reversible implementation of configuration change in a control device 1 , At the in 2 illustrated embodiment is the controller 1 in a vehicle 3 , About an antenna 4 and a transceiver exchanges the controller 1 Data according to a data transmission protocol with the base station 5 an access network that over a network 6 with an update server 2A and with a revocation server 23 connected is. At the in 2 illustrated embodiment, a configuration change message from the update server 2A via the wireless interface to the control unit 1 inside the vehicle 3 transfer. The configuration change message KAN contains at least one check parameter for verifi cation of the configuration change message by means of a credential C. In a revocation message WN, the from the revocation server 2 B comes, the credential C can be revoked. Upon receipt of the revocation message WN via the wireless interface, a corresponding configuration change is made by the control unit 1 reversed.

Bei einer möglichen Ausführungsform zeigt das Steuergerät 1 die Zurücknahme der vorgenommenen Konfigurationsänderung den Servern an.In one possible embodiment, the controller shows 1 the withdrawal of the configuration change made to the servers.

Das erfindungsgemäße Verfahren und das erfindungsgemäße System ermöglichen bei Bedarf eine bereits vorgenommene Konfigurationsänderung bei einem Steuergerät 1 einer mobilen Vorrichtung rückgängig zu machen. Nach einem Widerruf wird die in dem Steuergerät 1 gespeicherte Änderungsinformation dazu verwendet, ein sogenanntes Roll-Back durchzuführen, d. h. die bereits vorgenommene Konfigurationsänderung wird wieder rückgängig gemacht.If necessary, the method according to the invention and the system according to the invention make it possible to carry out a configuration change already made to a control unit 1 undo a mobile device. After a revocation, the in the control unit 1 stored change information used to perform a so-called roll-back, ie the already made configuration change is reversed.

Durch das erfindungsgemäße Verfahren und das erfindungsgemäße System wird ein Schutz gegen unberechtigt vorgenommene Konfigurationsänderungen erreicht, da bei einem später erfolgtem Widerruf der verwendeten Credentials die vorgenommenen Konfigurationsänderungen schrittweise rückgängigmachbar sind.By the inventive method and the system of the invention is a protection against unauthorized configuration changes reached, because at a later canceled revocation of the used Credentials the made configuration changes gradually reversible are.

Die Übertragung der Konfigurationsänderungsnachricht KÄN und der Widerrufsnachricht WN erfolgt bei den in 1, 2 dargestellten Ausführungsbeispielen drahtlos. Bei einer alternativen Ausführungsform kann die Übertragung der Nachrichten auch drahtgebunden erfolgen. Bei einer möglichen Ausführungsform erfolgt die drahtlose Übertragung der Nachrichten über ein Mobilfunknetz oder durch ein WLAN-Zugangsnetz.The transmission of the configuration change message KAN and the revocation message WN takes place at the in 1 . 2 illustrated embodiments wirelessly. In an alternative embodiment, the transmission of messages can also be wired. In one possible embodiment, the wireless transmission of the messages takes place via a mobile radio network or through a WLAN access network.

Claims (18)

Verfahren zur reversiblen Durchführung einer Konfigurationsänderung bei einem Steuergerät (1) nach Erhalt einer Konfigurationsänderungsnachricht (KÄN), die mittels mindestens eines Credentials (C) verifiziert wird, wobei die vorgenommene Konfigurationsänderung zurückgenommen wird, wenn das zugehörige Credential (C) widerrufen wird.Method for reversibly carrying out a configuration change in a control device ( 1 upon receipt of a configuration change message (KAN) verified by at least one credential (C), the configuration change made being revoked when the associated credential (C) is revoked. Verfahren nach Anspruch 1, wobei das Credential (C) durch einen Schlüssel gebildet wird.Method according to claim 1, wherein the credential (C) through a key is formed. Verfahren nach Anspruch 1, wobei das Credential (C) durch ein Passwort gebildet wird.Method according to claim 1, wherein the credential (C) is formed by a password. Verfahren nach Anspruch 1, wobei das Credential (C) durch ein Zertifikat gebildet wird.Method according to claim 1, wherein the credential (C) is formed by a certificate. Verfahren nach Anspruch 1, wobei ursprüngliche Konfigurationsdaten des Steuergerätes (1) gespeichert werden.Method according to claim 1, wherein original configuration data of the control unit ( 1 ) get saved. Verfahren nach Anspruch 1, wobei Konfigurationsänderungsdaten, die in der Konfigurationsänderungsnachricht (KÄN) enthalten sind, gespeichert werden.The method of claim 1, wherein configuration change data, in the configuration change message (KAN) included are saved. Verfahren nach Anspruch 1, wobei die Credentials (C), die in der Konfigurationsänderungsnachricht (KÄN) enthalten sind, gespeichert werden.The method of claim 1, wherein the credentials (C) contained in the configuration change message (KAN) are saved. Verfahren nach Anspruch 1, wobei die Konfigurationsänderungsnachricht (KÄN) über einen Übertragungskanal drahtlos an das Steuergerät (1) eines Fahrzeuges (3) übertragen wird.Method according to claim 1, wherein the configuration change message (KAN) is transmitted wirelessly to the control unit via a transmission channel (KÄN). 1 ) of a vehicle ( 3 ) is transmitted. Verfahren nach Anspruch 1, wobei die Konfigurationsänderung ein Software-Update, eine Parameteränderung oder ein Steuerkennlinien-Update aufweist.The method of claim 1, wherein the configuration change has a software update, a parameter change or a control curve update. Verfahren nach Anspruch 1, wobei die Konfigurationsänderungsnachricht (KÄN) von einem Update-Server (2A) an das Steuergerät (3) übertragen wird.The method of claim 1, wherein the configuration change message (KAN) is from an update server ( 2A ) to the control unit ( 3 ) is transmitted. Verfahren nach Anspruch 1, wobei das Credential (C) durch eine Widerrufsnachricht (WN) widerrufen wird, die von einem Revocation-Server (2B) an das Steuergerät (1) übertragen wird.The method of claim 1, wherein the credential (C) is revoked by a revocation message (WN) issued by a revocation server ( 2 B ) to the control unit ( 1 ) is transmitted. Verfahren nach Anspruch 1, wobei ein Zeitpunkt, an dem die Konfigurationsänderung vorgenommen wird, abgespeichert wird.Method according to claim 1, wherein a time, at which the configuration change is made, is stored. Verfahren nach Anspruch 12, wobei eine vorgenommene Konfigurationsänderung nach Ablauf eines einstellbaren Zeitraums nicht mehr zurückgenommen wird, selbst wenn das zugehörige Credential (C) widerrufen wird.The method of claim 12, wherein a made configuration change not withdrawn after an adjustable period of time even if the associated one Credential (C) is revoked. Verfahren nach Anspruch 11, wobei die Widerrufsnachricht (WN) neben den widerrufenen Credentials zusätzlich Informationsdaten aufweist, die angeben, welche Konfigurationsänderungen zurückzunehmen sind, und/oder die einen erlaubten Zeitraum für die Zurücknahme von zurückzunehmenden Konfigurationsänderungen angeben.The method of claim 11, wherein the revocation message (WN) additionally has information data in addition to the revoked credentials, indicating which configuration changes to cancel are, and / or the allowed time period for the withdrawal of configuration changes to be taken back specify. Verfahren nach Anspruch 11, wobei die Widerrufsnachricht (WN) neben den widerrufenen Credentials zusätzlich Informationsdaten aufweist, die angeben, ob die Rücknahme der Konfigurationsänderungen verpflichtend oder optional ist.The method of claim 11, wherein the revocation message (WN) additionally has information data in addition to the revoked credentials, which indicate whether the return the configuration changes mandatory or optional. Verfahren nach Anspruch 6, wobei die Konfigurationsänderungsdaten zwischengespeichert werden und nach einer einstellbaren Zeitverzögerung die Konfigurationsänderung bei dem Steuergerät (1) entsprechend den zwischengespeicherten Konfigurationsänderungsdaten vorgenommen wird.Method according to claim 6, wherein the configuration change data are buffered and after a settable time delay the configuration change at the control device ( 1 ) is made according to the cached configuration change data. System zur reversiblen Durchführung von Konfigurationsänderungen bei einem Steuergerät (1) nach Erhalt einer Konfigurationsänderungsnachricht (KÄN), die mittels mindestens eines Credentials (C) verifiziert wird, wobei die bei dem Steuergerät (1) vorgenommene Konfigurationsänderung zurücknehmbar ist, wenn das zugehörige Credential (C) widerrufen wird.System for the reversible execution of configuration changes in a control device ( 1 upon receipt of a configuration change message (KAN) verified by means of at least one credential (C); 1 ) is reversible if the associated credential (C) is revoked. Steuergerät mit reversibler Konfigurationsänderung, wobei eine Konfigurationsänderung, die nach Erhalt einer verifizierten Konfigurationsänderungsnachricht an dem Steuergerät (1) vorgenommen wird, wieder zurücknehmbar ist, wenn das zur Verifizierung der Konfigurationsänderung verwendete Credential (C) widerrufen wird.A reversible configuration change control unit, wherein a configuration change occurs after receiving a verified configuration change message to the controller (16). 1 ) is retractable if the credential (C) used to verify the configuration change is revoked.
DE200710040094 2007-08-24 2007-08-24 Method and system for reversibly performing configuration changes Active DE102007040094B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200710040094 DE102007040094B4 (en) 2007-08-24 2007-08-24 Method and system for reversibly performing configuration changes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200710040094 DE102007040094B4 (en) 2007-08-24 2007-08-24 Method and system for reversibly performing configuration changes

Publications (2)

Publication Number Publication Date
DE102007040094A1 true DE102007040094A1 (en) 2009-02-26
DE102007040094B4 DE102007040094B4 (en) 2010-02-11

Family

ID=40280224

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200710040094 Active DE102007040094B4 (en) 2007-08-24 2007-08-24 Method and system for reversibly performing configuration changes

Country Status (1)

Country Link
DE (1) DE102007040094B4 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012031861A1 (en) * 2010-09-09 2012-03-15 Siemens Aktiengesellschaft Method for processing messages in a communication network consisting of several network nodes
DE102011106078A1 (en) * 2011-06-30 2013-01-03 Continental Automotive Gmbh Vehicle unit and method for operating the vehicle unit
WO2017021724A1 (en) * 2015-07-31 2017-02-09 Arm Ip Limited Secure configuration data storage
WO2020089409A1 (en) * 2018-11-01 2020-05-07 Continental Automotive Gmbh Apparatus for configuring and validating an intervention in a real-time ethernet data network
US10671730B2 (en) 2015-07-31 2020-06-02 Arm Ip Limited Controlling configuration data storage
US10873465B2 (en) 2014-08-05 2020-12-22 Arm Ip Limited Control mechanisms for data processing devices

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7757076B2 (en) * 2003-12-08 2010-07-13 Palo Alto Research Center Incorporated Method and apparatus for using a secure credential infrastructure to access vehicle components
EP1712992A1 (en) * 2005-04-11 2006-10-18 Sony Ericsson Mobile Communications AB Updating of data instructions

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9021588B2 (en) 2010-09-09 2015-04-28 Siemens Aktiengesellschaft Method for processing messages in a communication network comprising a plurality of network nodes
CN103081400B (en) * 2010-09-09 2016-08-03 西门子公司 For the method processing information in the communication network being made up of multiple network nodes
CN103081400A (en) * 2010-09-09 2013-05-01 西门子公司 Method for processing messages in a communication network consisting of several network nodes
WO2012031861A1 (en) * 2010-09-09 2012-03-15 Siemens Aktiengesellschaft Method for processing messages in a communication network consisting of several network nodes
EP2727039A1 (en) * 2011-06-30 2014-05-07 Continental Automotive GmbH Vehicle unit and method for operating the vehicle unit
US9205809B2 (en) 2011-06-30 2015-12-08 Continental Automotive Gmbh Vehicle unit and method for operating the vehicle unit
DE102011106078A1 (en) * 2011-06-30 2013-01-03 Continental Automotive Gmbh Vehicle unit and method for operating the vehicle unit
US10873465B2 (en) 2014-08-05 2020-12-22 Arm Ip Limited Control mechanisms for data processing devices
WO2017021724A1 (en) * 2015-07-31 2017-02-09 Arm Ip Limited Secure configuration data storage
US10671730B2 (en) 2015-07-31 2020-06-02 Arm Ip Limited Controlling configuration data storage
US11366904B2 (en) 2015-07-31 2022-06-21 Arm Ip Limited Secure configuration data storage
WO2020089409A1 (en) * 2018-11-01 2020-05-07 Continental Automotive Gmbh Apparatus for configuring and validating an intervention in a real-time ethernet data network
US11764997B2 (en) 2018-11-01 2023-09-19 Continental Automotive Gmbh Apparatus for configuring and validating an intervention in a real-time ethernet data network

Also Published As

Publication number Publication date
DE102007040094B4 (en) 2010-02-11

Similar Documents

Publication Publication Date Title
DE102006015212B4 (en) Method for protecting a movable good, in particular a vehicle, against unauthorized use
EP3157281B1 (en) Method for secure communication of a vehicle
DE112014005412B4 (en) Program update system and program update method
DE102016218986B4 (en) Method for managing access to a vehicle
EP2689553B1 (en) Motor vehicle control unit having a cryptographic device
DE112016002331B4 (en) Vehicle communication system, vehicle-mounted device and key issuing device
DE102017209961B4 (en) Method and device for authenticating a user on a vehicle
DE112019000765T5 (en) Electronic control unit and communication system
DE102007040094B4 (en) Method and system for reversibly performing configuration changes
EP3417395B1 (en) Proving authenticity of a device with the aid of proof of authorization
DE102015206009A1 (en) Distance determination and authentication of a radio key for a vehicle
DE102016201601A1 (en) Methods and devices concerning in particular a motor vehicle access and / or start system
WO2017144056A1 (en) Method for improving information security for vehicle-to-x communication, and associated system
EP3277011B1 (en) Method for providing an authenticated connection between at least two communication partners
DE102010021257A1 (en) Plug-in system for the protected construction of a network connection
DE102011002713A1 (en) Method for providing cryptographic credentials for electronic control unit (ECU) of vehicle e.g. electric car, has control unit that deactivates vehicle drive for deleting cryptographic credentials in vehicle safety management unit
EP4009683B1 (en) Method for synchronisation of clocks of at least two devices
DE102014019496A1 (en) Method for controlling an authentication key exchange in vehicle networks and a motor vehicle
DE102015114209A1 (en) Car key, communication system and method for this
DE102018202173A1 (en) Method and device for authenticating a user of a vehicle
EP3277010B1 (en) Method for providing an authenticated connection between at least two communication partners
DE102010045894A1 (en) Method for providing time in car for log-book and/or travel-book applications, involves transmitting encrypted query to time-server, decoding query by time-server, encrypting actual time, and transmitting actual time to car
DE102016218988A1 (en) communication system
DE102015208293A1 (en) A method for excluding a subscriber from a group with authorized communication
DE102020204655B3 (en) Method for authenticating a user of a motor vehicle and motor vehicle

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R084 Declaration of willingness to licence
R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE