-
Die
Erfindung betrifft ein Verfahren zum Durchführen sicherer
Kommunikation zwischen einem Benutzergerät mit einer Head
Unit eines Kraftfahrzeugs und einer davon entfernt gelegenen Vorrichtung über
ein öffentlich zugängliches Netz unter Verwendung
digitaler Zertifikate, sowie ein entsprechendes Kommunikationssystem
und ein Computerprogramm zur Durchführung des Verfahrens
und ein entsprechendes Computerprogrammprodukt.
-
Ein
sicheres Kommunikationsverfahren, wie es vorliegend von Interesse
ist, wird beispielsweise bei der Anbindung eines Fahrzeugs an das
Internet zu einem Informationsverarbeitungssystem über
eine gesicherte Kommunikationsverbindung angewandt. Bekannt sind
solche Verfahren insbesondere bei einem als Backend-IT-System bezeichneten
serverbasierten Informationsverarbeitungssystem: Das im Fahrzeug
enthaltene Benutzergerät umfasst die „Head Unit”,
die als Haupteinheit auf dem Motherboard wie in einem Personalcomputer
Arbeitsspeicher und Prozessor umfasst. Weitere Bausteine zur Audioaufbereitung,
MP3-Decodierung und Graphikelemente sowie ein GPS-Empfänger
für die Navigation können ebenfalls in der Head
Unit umfasst sein. Weiterhin umfasst eine Head Unit eine Einrichtung zur
Schaffung einer Anbindung des Fahrzeugs über die gesicherte
Kommunikationsverbindung zu einem speziellen Backend-IT-System.
-
Die
Funktionen einer Head Unit lassen sich in die Bereiche Unterhaltung,
Navigation, Fahrzeugeinstellungen und Kommunikation unterteilen.
Die Kommunikationsfunktion kann über die Anbindung an das
Internet auch die übrigen Funktionen unterstützen,
etwa Radioempfang über Internet, Einspielen von Verkehrsinformationen
in das Navigationssystem. Denkbar ist auch eine Nutzung zur Kommunikation
mit einer Werkstatt bei Fehlermeldungen des Fahrzeugs.
-
Zur
eindeutigen Identifizierung und Authentisierung der Head Unit gegenüber
dem Backend-IT-System werden individuelle Zertifikate für jedes
Fahrzeug bzw. für jede Head Unit benötigt. Üblicherweise
werden die Head Units bei Zulieferern der Automobilhersteller produziert.
Nach ihrer Herstellung verfügen sie nicht über
individuelle Zertifikate, denn das Erzeugen und Aufspielen von individuellen, also
einem Fahrzeug zuordenbaren Zertifikaten auf die Head Units während
deren Produktion beim Zulieferer ist mit einem großen Aufwand
und infolgedessen mit zusätzlichen Kosten verbunden. Die
Gewährleistung einer ausreichenden Datensicherheit stellt sich
ferner als schwierig dar.
-
Daher
werden bisher die individuellen Zertifikate beim Automobilhersteller
als Teil des Autoproduktionsprozesses erzeugt und in der Head Unit
gespeichert, was zusätzliche Kosten verursacht.
-
EP 1 494 428 B1 offenbart
ein Verfahren zum Durchführen sicherer Kommunikation zwischen
einem mobilen Endgerät, das auf das Internet zugreifen
kann, und einem Kommunikationsnetz. Die Kommunikation umfasst insbesondere
den Zugriff auf einen davon entfernt lokalisierten Server unter
Verwendung bekannter digitaler Zertifikate. Dieses Verfahren erfordert
eine Benutzeraktion wie etwa eine Eingabe des Benutzers an dem mobilen
Endgerät, um die sichere Verbindung zustande kommen zu
lassen. Dieses Verfahren gestaltet sich daher zeitaufwändig und
komplex, da bei einer Übertragung des Systems auf ein Fahrzeug
zur Nutzung des Internets vor jedem Starten eine Verzögerung
durch Eingabetätigkeit einzuplanen wäre.
-
Ausgehend
von diesem Stand der Technik ist es wünschenswert, Fahrzeugbenutzern
die Anbindung von Fahrzeugen an das Internet zu ermöglichen,
ohne dass eine Eingabe der Fahrzeugbenutzer erforderlich ist. Nach
dem Starten des Fahrzeugs sollte die Verbindung mit dem Internet
selbsttätig und ohne weitere Benutzereingabe hergestellt
werden können.
-
Diese
Aufgabe wird durch ein verbessertes Verfahren zum Durchführen
sicherer Kommunikation zwischen einem Benutzergerät und
einer davon entfernt gelegenen Vorrichtung mit den Merkmalen des Anspruche
1 gelöst. Weiterbildungen sind in den Unteransprüchen
ausgeführt
-
Es
ist eine weitere Aufgabe der vorliegenden Erfindung, das System
zur Kommunikation zwischen einem Benutzergerät und einer
davon entfernt gelegenen Vorrichtung, sowie die entsprechende Identifizierung
bereitzustellen.
-
Die
Aufgabe der Schaffung eines verbesserten Kommunikationssystems für
die sichere Kommunikation über ein öffentlich
zugängliches Netz zwischen einem Benutzergerät
und einer davon entfernt gelegenen Vorrichtung, wobei die entfernt
gelegene Vorrichtung die Head Unit identifiziert, wird durch die Merkmale
des Anspruchs 7 gelöst.
-
Eine
erste Ausführungsform des erfindungsgemäßen
Verfahrens bewirkt die Durchführung einer sicheren Kommunikation
zwischen einem Benutzergerät mit einer Head Unit eines
Kraftfahrzeugs und einer davon entfernt gelegenen Vorrichtung über
ein öffentlich zugängliches Netz unter Verwendung
digitaler Zertifikate und besonders vorteilhaft unter Identifikation
der Head Unit durch die entfernt gelegene Vorrichtung. Dazu wird
ein unspezifisches Zertifikat durch die entfernt gelegene Vorrichtung,
kurz „Vorrichtung” geschaffen, das an die Head
Unit gesendet, von dieser empfangen und gespeichert wird. Damit kann
eine Initialverbindung von der Head Unit mit der Vorrichtung hergestellt
werden, der das unspezifische Zertifikat als Identifizierer zu Grunde
liegt. Die Initialverbindung wird durch die Vorrichtung, wenn der
Identifizierer das gewünschte „richtige” unspezifische
Zertifikat ist, angenommen, andernfalls wird die Initialverbindung
abgebrochen oder beendet, so dass vorteilhaft keine nicht-authentisierten
Verbindungen zu Stande kommen.
-
Nun
wird von der Vorrichtung über die Head Unit eine Identifizierungsinformation
bezüglich des Fahrzeugs, die eine spezielle Information
wie etwa die Fahrgestellnummer umfasst, angefordert. Von der Head
Unit wird die Identifizierungsinformation an die Vorrichtung rückgesendet
und es wird von der Vorrichtung ein spezifisches Zertifikat mit
Hilfe der Identifizierungsinformation erzeugt und an die Head Unit
gesendet. Dort wird sie empfangen und gespeichert und es kann nun
vorteilhaft die angestrebte Arbeitsverbindung von der Head Unit
zu der Vorrichtung hergestellt werden. Das spezifische Zertifikat wurde
als Identifizierer auf der Vorrichtung gespeichert, so dass eine
klare Zuordnung von Fahrzeug, Benutzervorrichtung mit Head Unit
und entfernt liegender Vorrichtung gewährleistet ist.
-
Bei
der sogenannten entfernt gelegenen Vorrichtung kann es sich um ein
Backend-IT-System handeln.
-
Nachdem
die Head Unit das spezifische Arbeitszertifikat empfangen hat, wird
dieses dort gespeichert und ab diesem Zeitpunkt für den
Verbindungsaufbau zu dem Backend-IT-System verwendet wird. Es ist
hierfür vorteilhaft keine Benutzeraktion notwendig. Außer dem
erfolgt das Speichern des spezifischen Arbeitszertifikats auf der
Head Unit des Benutzergeräts nicht während dessen
Produktion.
-
Gemäß einer
vorteilhaften Ausführungsform des Verfahrens wird das unspezifische
Initialisierungszertifikat bereits bei der Herstellung der Head Unit
für das Benutzergerät in dieser gespeichert. Da dasselbe
unspezifische Initialisierungszertifikat für eine Vielzahl
von Geräten verwendet werden kann, ist der zusätzliche
Aufwand hierfür bei der Herstellung der Head Units gering.
-
Zur
Erhöhung der Sicherheit kann eine Prüfung der
durch die Head Unit gesendeten Identifizierungsinformation in der
davon entfernt gelegenen Vorrichtung, beispielsweise in dem Backend-IT-System,
erfolgen. Das Backend-IT-System vergleicht die empfangene Identifizierungsinformation
mit einer Liste von Identifizierungsinformationen, die zuvor von dem
Kraftfahrzeughersteller in dem Backend-IT-System angelegt wurde.
Das spezifische Zertifikat wird in dem Backend-IT-System erst erzeugt,
wenn eine Übereinstimmung der empfangenen Identifizierungsinformation
mit einer Identifizierungsinformation der angelegten Liste festgestellt
wurde.
-
Das
erfindungsgemäße Verfahren kann mit dem erfindungsgemäßen
Kommunikationssystem ausgeführt werden, das in einem ersten
Ausführungsbeispiel ein Benutzergerät eines Kraftfahrzeugs umfasst,
das mit einer Head Unit, die wenigstens einen Prozessor umfasst,
ausgestattet ist, und das weiter eine von dem Kraftfahrzeug entfernt
gelegene Vorrichtung umfasst. Die Kommunikation erfolgt dabei über
ein öffentlich zugängliches Netz, und die Head
Unit und die entfernt gelegene Vorrichtung verfügen jeweils über
zumindest eine Empfangsvorrichtung, zumindest eine Speichervorrichtung
und zumindest eine Sendevorrichtung. Außerdem verfügt
in vorteilhafter Weise die entfernt gelegene Vorrichtung über
eine Einrichtung zum Erzeugen digitaler Zertifikate, so dass ein
unspezifischen Zertifikat als ein Identifizierer einer Initialverbindung
generiert werden kann, und so dass weiter ein spezifisches Zertifikats geschaffen
werden kann, das vorteilhaft die Realisierung der authentifizierten
Arbeitsverbindung unterstützt.
-
Die
Empfangsvorrichtung der Head Unit ist daher so gestaltet, dass sie
zum Empfangen des unspezifischen Zertifikats und des spezifischen
Zertifikats geeignet ist, die Identifizierer sind. Mittels der Identifizierer
ist daher eine Verbindung zur Bereitstellung der sicheren Kommunikation
unter Identifikation der Head Unit durch die entfernt gelegene Vorrichtung
zwischen dem Benutzergerät und der entfernt gelegenen Vorrichtung
auf einfache und geschickte Weise und zu geringen Kosten aufbaubar.
-
Weiter
kann das erfindungsgemäße Kommunikationssystem
eine Identifizierungsinformation des Kraftfahrzeugs in einer Speichereinheit
des Benutzergerätes, bzw. der Head Unit enthalten.
-
Vorteilhaft
wird in einer Ausführungsform ferner ein Computerprogramm
mit Programmcode eingesetzt, mittels dessen die Durchführung
des erfindungsgemäßen Verfahrens, geleistet wird,
wenn das Programm in einem Computer ausgeführt wird.
-
Schließlich
ist auch ein Computerprogrammprodukt mit Programmcode zur Ausführung
des erfindungsgemäßen Verfahrens, wenn das Programm
in einem Computer ausgeführt wird, Gegenstand der Erfindung.
-
Figurenbeschreibung
-
Figuren
und Beschreibung dienen dem besseren Verständnis des Gegenstands.
Es zeigt
-
1 ein
Verfahrensablaufdiagramm einer Ausführungsform des erfindungsgemäßen
Verfahrens, betreffend die Verbindung der Head Unit eines Fahrzeugs
mit einem Backend-IT-System, und
-
2 ein
Schema einer Anordnung eines erfindungsgemäßen
Kommunikationssystems, umfassend das erfindungsgemäße
Benutzergerät und eine davon beabstandeten Vorrichtung.
-
Detaillierte Beschreibung
-
Vorliegend
kann als „Benutzergerät” eine Head Unit
eines Kraftfahrzeugs und als „entfernt liegende Vorrichtung” ein
spezielles Backend-IT-System verstanden werden. Bei dem Backend-IT-System
kann es sich um ein Computernetzwerk eines Dienstanbieters, oder
des Fahrzeugherstellers oder ein anderes Computernetzwerk handeln,
oder es handelt sich um einen Server.
-
Auf
wenigstens einem Computer des Computernetzwerks oder auf dem Server
kann dabei ein Computerprogramm mit Programmcode zur Durchführung
des Verfahrens laufen; hierbei muss das Programm von einem entsprechenden
Datenverarbeitungsgerät oder, kurz, einem Computer ausgeführt werden.
Das Computerprogramm kann mit dem entsprechenden Programmcode zur
Durchführung des erfindungsgemäßen Verfahrens
ausgeführt werden, nachdem das Programm mittels eines Computerprogrammprodukts
geladen wurde.
-
Die
Head Unit umfasst als Computer mit einem Prozessor Mittel zur Herstellung
einer Verbindung mit dem Internet. Auf der Head Unit läuft
das Computerprogramm mit dem vorstehenden Programmcode zur Durchführung
des Verfahrens.
-
Die
Verbindung zwischen der Head Unit des Kraftfahrzeugs und dem Backend-IT-System
erfolgt über ein öffentlich zugängliches
Netz, beispielsweise ein Mobilfunknetz.
-
Um
eine gesicherte Verbindung zwischen dem Kraftfahrzeug und dem Backend-IT-System
herzustellen, kann man sich der VPN (Virtuelles Privates Netzwerk)-Technologie
bedienen. VPN ist im Prinzip bekannt. Über VPN kann die
Head Unit eine Verbindung zum Internet aufbauen. Dazu startet sie
eine VPN-Software, den VPN-Client, der die Beschaffenheit des Backend-IT-Systems
auf der Head Unit virtuell nachbildet. Die VPN-Software baut dann
eine Verbindung zum VPN-Einwahlknoten des Backend-IT-Systems auf.
Dafür benötigt die Head Unit ein VPN-Zertifikat,
mit dem sie sich beim VPN-Einwahlknoten des Backend-IT-Systems authentifizieren
oder legitimieren kann. Erst nach erfolgter Authentifizierung ist
eine gesicherte Verbindung hergestellt.
-
Im
ersten Schritt des erfindungsgemäßen Verfahrens
erzeugt das Backend-IT-System ein unspezifisches Initialisierungszertifikat
und schickt dieses an den Hersteller der Head Units. Der Hersteller der
Head Units speichert dieses Initialisierungszertifikat in einer
Vielzahl von produzierten Head Units, so dass das Initialisierungszertifikat
bei einer Vielzahl von Head Units gleich ist. Von Zeit zu Zeit wird
von dem Backend-IT-System ein neues Initialisierungszertifikat erzeugt
und an den Hersteller übermittelt. Dies kann beispielsweise
nach Ablauf einer festgelegten Zeitdauer, beispielsweise jeweils
nach Ablauf eines Monats, oder nach Produktion einer vorbestimmten
Anzahl von Head Units, etwa immer nach Herstellung von 10000 Head
Units, erfolgen. Das Backend-IT-System verwaltet die von ihm erzeugten und
an den Hersteller der Head Units übermittelten Initialisierungszertifikate.
-
Das
Backend-IT-System erhält vom Fahrzeughersteller Informationen über
diejenigen Fahrzeuge, die mit einer Internet-fähigen Head
Unit ausgerüstet wurden. Diese Informati onen können
neben der Fahrzeug-Ident-Nummer auch noch zusätzliche Informationen
umfassen, beispielsweise die Seriennummern bestimmter Steuergeräte.
Wenn zwischen der Head Unit und dem Backend-IT-System eine VPN-Verbindung
hergestellt wird, so wird beim erstmaligen Verbindungsaufbau einer
gesicherten Verbindung das Initialisierungszertifikat in der Head
Unit als VPN-Zertifikat verwendet. Das Backend-IT-System erkennt
das Initialisierungszertifikat und fordert von der Head Unit spezifische
Fahrzeuginformationen an. Diese spezifischen Fahrzeuginformationen sind
in der Head Unit gespeichert, beispielsweise durch Eingabe der spezifischen
Fahrzeuginformationen bei Einbau der Head Unit in das Fahrzeug.
-
Alternativ
ist auch die automatische Erkennung des Fahrzeugs aus dem Fahrzeug-Bus-System beim
Anschließen der Head Unit denkbar. Diese spezifischen Fahrzeuginformationen übermittelt
die Head Unit an das Backend-IT-System. Das Backend-IT-System prüft,
ob die übermittelten Fahrzeuginformationen mit solchen übereinstimmen,
die vom Fahrzeughersteller als mit dem unspezifischen Initialisierungszertifikat
korrelierend übermittelt wurden. Wenn das nicht der Fall
ist, wird die Verbindung abgebrochen. Wenn die Prüfung
ein positives Ergebnis hat, erzeugt das Backend-IT-System ein neues,
individuelles Zertifikat, welches spezifisch für die Head Unit
ist, und schickt dieses über die gesicherte Verbindung
an die Head Unit. Dort wird das neue, spezifische Zertifikat gespeichert
und von nun an als VPN-Zertifikat verwendet. Somit wird ab diesem
Zeitpunkt jede gesicherte VPN-Verbindung mit dem individuellen,
spezifischen Arbeitszertifikat aufgebaut. Die Fahrzeuginformationen
können bei der Erzeugung des individuellen, spezifischen
Zertifikats mit verwendet werden.
-
Das
Backend-IT-System kann das individuelle, spezifische Zertifikat
mit einer Gültigkeitsdauer versehen. Nach deren Ablauf
wird auf die gleiche Weise, wie oben beschrieben, ein neues spezifisches Zertifikat
erstellt.
-
Vorteile
des erfindungsgemäßen Verfahrens sind unter anderem
die Folgenden: Bei der Produktion der Head Units sind keine zusätzlichen
Prozess-Schritte erforderlich, beim Zulieferer, der die Head Units
herstellt, werden keine Zertifikate erzeugt und das individuelle,
spezifische Zertifikat stellt über die Fahrzeuginformationen
eine eindeutige Zuordnung zwischen dem Fahrzeug und dem Backend-IT-System
her.
-
1 zeigt
nun das erfindungsgemäße Verfahren als Ablaufschema,
wobei auf der linken Seite die von der Head Unit ausgeführten
und auf der rechten Seite die von dem Backend-IT-System ausgeführten
Schritte zu sehen sind. Das Kommunikationsverfahren wird über
ein öffentlich zugängliches Netz unter Verwendung
digitaler Zertifikate ausgeführt. Es startet mit dem Erzeugen
eines unspezifischen Zertifikats durch das Backend-IT-System in
Schritt a und wird mit dem Senden des unspezifischen Zertifikats in
Schritt b an die Head Unit fortgeführt. Es folgt das Empfangen
und Speichern (Schritte c und d) des unspezifischen Zertifikats
auf der Head Unit, und weiter das Herstellen einer Initialverbindung
(Schritt e) von der Head Unit mit dem Backend-IT-System unter Benutzung
des unspezifischen Zertifikates (sozusagen Schritt e'), als Identifizierer.
Die Initialverbindung wird in Schritt f durch das Backend-IT-System
angenommen, wenn der Identifizierer das unspezifische Zertifikat
ist, andernfalls abgelehnt, siehe Schritt f', bzw., die Herstellung
der Initialverbindung wird abgebrochen. Nunmehr wird in Schritt
g von der Vorrichtung eine Identifizierungsinformation des Fahrzeugs,
wie etwa eine Fahrgestellnummer, von der Head Unit des Kraftfahrzeugs
angefordert und diese Information wird von der Head Unit an das
Backend-IT-System rückgesendet (Schritt h). Es wird nun
von dem Backend-IT-System ein spezifisches Zertifikats in Schritt
i als Arbeitszertifikat erstellt wofür die Identifizierungsinformation
zu Grunde gelegt werden, dann wird das Arbeitszertifikat an die
Head Unit gesendet (Schritt j), die im nächsten Schritt
k das Arbeitszertifikat empfängt und speichert (Schritt
I). Es kann nun das Aufbauen einer Arbeitsverbindung (Schritt m) von
der Head Unit zu der Vorrichtung und Speichern (Schritt n) ausgeführt
werden, wobei vorteilhaft das Arbeitszertifikats als der Identifizierer
dient und sicher stellt, dass das Backend-IT-System die Head Unit
identifiziert.
-
Eine
erfindungsgemäße Vorrichtung wird nun anhand von 2 erläutert.
Diese zeigt schematisch ein Kommunikationssystem 1 mit
vier erfindungsgemäßen Benutzergeräten 2, 3, 4, 5,
hier Head-Units von Kraftfahrzeugen, und einer davon beabstandeten
Vorrichtung 6, hier ein Server 6 oder ein Backend-IT-System.
Jede Head Unit 2, 3, 4, 5 kann
mit dem Server 6 über eine gesicherte Verbindung 7, 8, 9, 10 über
das öffentlich zugängliche Netz 11 verbunden
werden. Jede Head Unit 2, 3, 4, 5 verfügt über
einen Prozessor 21, 31, 41, 51,
der zur Durchführung der für den Aufbau einer
gesicherten Verbindung nötigen Schritte ausgestattet ist.
Der Server 6 verfügt über eine Kommunikationsschnittstelle 61.
-
Zur
Fertigung der Head-Units 2, 3, 4, 5 kann der
Server 6 über eine Verbindung 12 mit
dem Produktionssystem 13 des Herstellers der Head Units 2, 3, 4, 5 in
Verbindung treten. Über die Verbindung 12 teilt
der Server 6 dem Produktionssystem 13 den unspezifischen
Initialisierungsschlüssel mit. Das Produktionssystem 13 überträgt
diesen bei der Herstellung der Head Units 2, 3, 4, 5 über
Produktionsverbindungen 22, 32, 42, 52 zu
den Head Units 2, 3, 4, 5, so
dass alle Head Units denselben unspezifischen Initialisierungsschlüssel haben.
Nach Abschluss der Produktion wird die Produktionsverbindung 22, 32, 42, 52 abgebrochen.
Die Head Units 2, 3, 4, 5 werden dann
beim Automobilhersteller in Kraftfahrzeuge eingebaut und nehmen über
das öffentlich zugängliche Netz eine gesicherte
Verbindung mit dem Server 6 nach dem Verfahren auf, wie
es oben im Zusammenhang mit der 1 beschrieben
worden ist.
-
Die
Erfindung wurde zwar am Beispiel von Head Units bei Kraftfahrzeugen,
die über eine sichere Verbindung mit einem Backend-IT-System
kommunizieren, beschrieben, ist aber nicht auf diesen Anwendungsfall
beschränkt. Alle Arten von mobilen Geräten, die über öffentliche
Netzte in sicheren Verbindungen mit davon beabstandeten Computern oder
Computernetzen kommunizieren, sind ebenfalls im Gegenstand der Erfindung
mit umfasst. Dies können beispielsweise Mobiltelefone,
Personalcomputer, Personal Digital Assistants, sowie sogenannte „intelligente” Haushaltsgeräte
oder „intelligente Feldgeräte”, also
Mess- und Regelgeräte die in industriellen Prozessanlagen
zur Überwachung physikalischer oder chemischer Prozessparameter
eingesetzt werden und die eine Netz-Verbindungsschnittstelle besitzen,
sein.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste
der vom Anmelder aufgeführten Dokumente wurde automatisiert
erzeugt und ist ausschließlich zur besseren Information
des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen
Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt
keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-