DE102018217065A1 - Steuervorrichtung zur Freischaltung zumindest einer Anwendungssoftware, Kraftfahrzeug und Verfahren zum Betreiben der Steuervorrichtung - Google Patents

Steuervorrichtung zur Freischaltung zumindest einer Anwendungssoftware, Kraftfahrzeug und Verfahren zum Betreiben der Steuervorrichtung Download PDF

Info

Publication number
DE102018217065A1
DE102018217065A1 DE102018217065.7A DE102018217065A DE102018217065A1 DE 102018217065 A1 DE102018217065 A1 DE 102018217065A1 DE 102018217065 A DE102018217065 A DE 102018217065A DE 102018217065 A1 DE102018217065 A1 DE 102018217065A1
Authority
DE
Germany
Prior art keywords
control device
management unit
rights management
monitoring component
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018217065.7A
Other languages
English (en)
Inventor
Patrick Bartsch
Kamil Zawadzki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102018217065.7A priority Critical patent/DE102018217065A1/de
Publication of DE102018217065A1 publication Critical patent/DE102018217065A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die Erfindung betrifft eine Steuervorrichtung (2) zur Freischaltung zumindest einer Anwendungssoftware (4), wobei die Steuervorrichtung (2) eine Steuereinheit (3) aufweist, welche dazu eingerichtet ist, die jeweilige Anwendungssoftware (4) in einem jeweiligen in der Steuereinheit (3) gespeicherten Container (5), der die jeweilige Anwendungssoftware (4) und eine vollständige Laufzeitumgebung zum Ausführen dieser Anwendungssoftware (4) enthält, zu betreiben. Die Steuereinheit (3) ist dazu eingerichtet, vor der Ausführung des Containers (5) einen Freischaltungszustand einer vorbestimmten Überwachungskomponente (6) von einer Rechteverwaltungseinheit (9) der Steuervorrichtung (2) abzufragen, wobei die Überwachungskomponente (6) den Container (5) und/oder die Anwendungssoftware (4) umfasst, und den Container (5) nur zu betreiben, wenn die Überwachungskomponente (6) in der Rechteverwaltungseinheit (9) freigeschaltet ist.

Description

  • Die Erfindung betrifft eine Steuervorrichtung zur Freischaltung zumindest einer Anwendungssoftware, ein Kraftfahrzeug und ein Verfahren zum Betreiben der Steuervorrichtung.
  • In einem Kraftfahrzeug kann eine Vielzahl an Steuervorrichtungen verbaut sein, wobei es sich unter anderem um eingebettete Systeme (embedded systems) handeln kann. Um Anwendungssoftware für die Steuervorrichtungen bereitzustellen, ist es üblich, Zentralrechner zu betreiben, von welchen die Steuervorrichtungen die Anwendungssoftware abrufen können. Die Anwendungssoftware kann dabei durch so genannte Container zur Verfügung gestellt werden. Ein jeweiliger Container umfasst eine lauffähige Umgebung für die Anwendungssoftware und beinhaltet alle Programmierschnittstellen und Bibliotheken, welche für den Betrieb der Anwendungssoftware erforderlich sind. Ein Container kann also direkt auf einem Betriebssystemkernel lauffähig sein. Aus Sicherheitsgründen ist es üblich, das Abrufen der Anwendungssoftware durch die Steuervorrichtung nur von zugelassenen externen Zentralrechnern eines Herstellers zu erlauben, um eine Einschränkung der Funktionsweise der Steuervorrichtung durch unzulässige Anwendungssoftware zu vermeiden.
  • Aufgrund der Beschränkung auf zugelassene externe Zentralrechner des Herstellers ergibt sich der Nachteil, dass eine Bereitstellung von Anwendungssoftware durch Drittanbieter eingeschränkt ist. Insbesondere für Infotainmentvorrichtungen eines Kraftfahrzeugs führt dies zu einer Beschränkung des Funktionsumfangs auf Anwendungssoftware, welche durch den Hersteller bereitgestellt wird. Eine Bereitstellung von Anwendungssoftware durch Drittanbieter würde eine Erweiterung des Funktionsumfangs für den Endverbraucher ermöglichen. Dabei gilt es jedoch sicherzustellen, dass nur zugelassene Anwendungssoftware von autorisierten Drittanbietern auf der Steuervorrichtung installiert werden kann. dies ist erforderlich, um die ordnungsgemäße Funktionsweise der Steuervorrichtung sicherstellen zu können.
  • Aus dem Stand der Technik sind Verfahren bekannt, welche die Bereitstellung von Anwendungssoftware durch Drittanbieter ermöglichen.
  • Die US 7 748 043 B2 offenbart ein Verfahren zur Authentifizierung von Softwarekomponenten welche in eine Steuereinheit eines Kraftfahrzeugs geladen werden können. In dem Verfahren ist es vorgesehen, dass ein Softwarepaket durch einen Zentralrechner empfangen wird. Dabei wird ein erster Authentifizierungszusatz des Softwarepakets überprüft und bei einem Bestehen einer Prüfung durch einen zweiten Authentifizierungszusatz ersetzt. Mittels des zweiten Authentifizierungszusatzes des Softwarepakets ist es der Steuereinheit ermöglicht, die Softwarekomponente zu authentifizieren.
  • In der US 7 197 637 B2 ist ein Authentifizierungsverfahren mittels eines Zertifikats offenbart. In dem Verfahren ist es vorgesehen, dass ein Zentralsystem Zertifikate für autorisierte Teilnehmer ausstellt, womit diese Software für eine Kontrolleinheit eines Kraftfahrzeugs signieren können. Dabei wird ein Schlüsselpaar, das zwei Schlüssel umfasst, durch das Zentralsystem bereitgestellt. Ein erster Schlüssel des Schlüsselpaars wird während der Herstellung des Kraftfahrzeugs in dem Kraftfahrzeug gespeichert, sodass dieser durch die Kontrolleinheit des Kraftfahrzeugs abgerufen werden kann. Mittels des zweiten Schlüssels des Schlüsselpaars wird das Zertifikat für einen autorisierten Teilnehmer signiert.
  • Die US 2018/0109387 A1 offenbart ein Verfahren zur kontinuierlichen Verifikation und Beobachtung von Anwendungscodes in einer containerbasierten Ausführungsumgebung.
  • Es ist eine Aufgabe der Erfindung, eine Bereitstellung von Anwendungssoftware auf vertrauenswürdige Quellen zu beschränken.
  • Durch die Erfindung wird eine Steuervorrichtung zur Freischaltung zumindest einer Anwendungssoftware bereitgestellt. Die Steuervorrichtung weist eine Steuereinheit auf, die dazu eingerichtet ist, die jeweilige Anwendungssoftware in einem jeweiligen in der Steuereinheit gespeicherten Container, der in der besagten Weise die jeweilige Anwendungssoftware und eine vollständige Laufzeitumgebung zum Ausführen dieser Anwendungssoftware enthält, zu betreiben. Die Steuereinheit ist dazu eingerichtet, vor der Ausführung des Containers einen Freischaltungszustand einer vorbestimmten Überwachungskomponente von einer Rechteverwaltungseinheit der Steuervorrichtung abzufragen. Die Überwachungskomponente umfasst den Container und/oder die Anwendungssoftware. Der Container wird nur betrieben, wenn die Überwachungskomponente in der Rechteverwaltungseinheit freigeschaltet ist. Die Rechteverwaltungseinheit ist dazu eingerichtet, die Freischaltung zu prüfen, wobei die Rechteverwaltungseinheit einen Prüfwert für die Überwachungskomponente nach einem vorbestimmten mathematischen Verfahren berechnet. Die Überwachungskomponente umfasst einen codierten Vergleichswert für den Prüfwert. Der Vergleichswert wurde nach dem gleichen vorbestimmten Verfahren berechnet, das zur Berechnung des Prüfwerts verwendet wird und anschließend codiert. Zur Decodierung des Prüfwerts ist ein zugeordneter digitaler Schlüssel erforderlich, der in der Rechteverwaltungseinheit gespeichert ist. Die Rechteverwaltungseinheit ist dazu eingerichtet, den codierten Vergleichswert mittels des digitalen Schlüssels zu decodieren und nach der Decodierung mit dem Prüfwert zu vergleichen. Eine Freischaltung der Überwachungskomponente erfolgt nur, wenn der Prüfwert mit dem decodierten Vergleichswert übereinstimmt.
  • Mit anderen Worten umfasst die Steuervorrichtung die Steuereinheit und die Rechteverwaltungseinheit. Die Steuereinheit ist dazu eingerichtet, den Container und/oder die Anwendungssoftware zu betreiben. Der Container oder nur die Anwendungssoftware sind Teil der Überwachungskomponente. Die Steuereinheit ist dazu eingerichtet, den Container und/oder die Anwendungssoftware nur zu betreiben, wenn die Überwachungskomponente durch die Rechteverwaltungseinheit freigeschaltet ist. Zu diesem Zweck fragt die Steuereinheit einen Zustand der Freischaltung der Überwachungskomponente von der Rechteverwaltungseinheit ab. Die Rechteverwaltungseinheit ist dazu eingerichtet, die Freischaltung mittels des zugeordneten digitalen Schlüssels zu überprüfen. Die Überprüfung umfasst eine Berechnung eines Prüfwertes der Überwachungskomponente durch die Rechteverwaltungseinheit, wobei der Prüfwert nach dem vorbestimmten mathematischen Verfahren berechnet wird. Im Rahmen der Prüfung wird der Prüfwert wird mit dem in der Überwachungskomponente mitgelieferten und/oder gespeicherten Vergleichswert verglichen. Vor dem Vergleich ist es erforderlich, den in der Überwachungskomponente codierten Vergleichswert mittels des zugeordneten digitalen Schlüssels der Rechteverwaltung nach einem vorbestimmten mathematischen Verfahren zu decodieren. Die Freischaltung der Überwachungskomponente erfordert, dass der Vergleichswert der Überwachungskomponente nach der Decodierung mittels des digitalen Schlüssels mit dem berechneten Prüfwert übereinstimmt. Liegt die Freischaltung der Überwachungskomponente durch die Rechteverwaltungseinheit vor, wird der Container und/oder die Anwendungssoftware durch die Steuereinheit betrieben. Liegt keine Freischaltung vor, wird das Betreiben des Containers und/oder der Anwendungssoftware durch die Rechteverwaltungseinheit verweigert.
  • Durch die Erfindung ergibt sich der Vorteil, dass ein Betrieb der Steuervorrichtung auf freigeschaltete Überwachungskomponenten beschränkt werden kann.
  • Die Steuervorrichtung kann beispielsweise ein eingebettetes System eines Kraftfahrzeugs sein. Es kann sich dabei insbesondere um ein Infotainmentsystem des Kraftfahrzeugs handeln. Die Steuereinheit kann ein Mikroprozessor und/oder ein Mikrocontroller sein und einen Speicher zur Speicherung der Überwachungskomponente umfassen. Die Überwachungskomponente kann eine Datei sein, welche den Container und/oder die Anwendungssoftware enthält. Die Überwachungskomponente kann den Vergleichswert aufweisen, welcher zur Überprüfung einer Freischaltung erforderlich sein kann. Der Vergleichswert kann beispielsweise eine digitale Signatur sein, welche mittels eines asymmetrischen Schlüssels des digitalen Schlüssels aus dem Prüfwert erzeugt wurde. Es kann sich dabei um eine Prüfsumme handeln, welche durch eine Recheneinheit erzeugt wurde und mittels eines Gegenschlüssels des digitalen Schlüssels codiert wurde. Der Vergleichswert kann der Überwachungskomponente eindeutig zugeordnet sein. Es kann vorgesehen sein, dass eine Manipulation der Überwachungskomponente eine Änderung des Vergleichswerts erfordert. Die Anwendungssoftware kann einen Programmcode umfassen, welcher durch die Steuereinheit ausgeführt werden kann. Die Überwachungskomponente kann den Container umfassen, wobei der Container Programmcodes und Bibliotheken, welche für den Programmcode erforderlich sind, aufweisen kann. Die Steuereinheit kann dazu eingerichtet sein, die Überwachungskomponente nur zu betreiben, wenn diese freigeschaltet ist. Zu diesem Zweck kann es vorgesehen sein, dass die Steuereinheit vor einer Ausführung der Überwachungskomponente den Freischaltungszustand der Überwachungskomponente von der Rechteverwaltungseinheit abfragt. Im Rahmen der Abfrage kann es vorgesehen sein, dass die Überwachungskomponente an die Rechteverwaltungseinheit übertragen wird. Die Rechteverwaltungseinheit kann dann für die Überwachungskomponente den Prüfwert berechnen. Der Prüfwert kann beispielsweise ein Hashwert der Überwachungskomponente sein. Der Prüfwert kann durch die Rechteverwaltungseinheit nach einem vorbestimmten mathematischen Verfahren berechnet werden. Die Freischaltung der Überwachungskomponente erfolgt mittels des in der Überwachungskomponente gespeicherten Vergleichswerts. Der codierte Vergleichswert kann der Prüfwert der Überwachungskomponente sein, welcher codiert sein kann. Damit ein Vergleich des Vergleichswerts mit dem Prüfwert erfolgen kann, kann es erforderlich sein, den Vergleichswert mittels des zugeordneten digitalen Schlüssels zu decodieren. Es kann für die Freischaltung erforderlich sein, dass der Vergleichswert nach der Decodierung mit dem Prüfwert der Überwachungskomponente übereinstimmen muss. Stimmt der Vergleichswert nach der Decodierung nicht mit dem berechneten Prüfwert überein, so wird die Überwachungskomponente als nicht freigeschaltet eingestuft. Ist in der Rechteverwaltungseinheit der für die Decodierung des Vergleichswerts erforderliche digitale Schlüssel nicht gespeichert, kann es vorgesehen sein, dass die Überwachungskomponente ebenfalls als nicht freigeschaltet eingestuft wird. Ist die Überwachungskomponente freigeschaltet, kann ein Betreiben der Überwachungskomponente durch die Steuereinheit erfolgen. Andernfalls wird ein Betreiben der Überwachungskomponente durch die Steuereinheit nicht durchgeführt. Bei dem Vergleichswert kann es sich beispielsweise um eine digitale Signatur nach dem PGP-Standard oder dem X.509-Standard handeln. Die Codierung kann mittels eines Privaten Schlüssels erfolgt sein. Der digitale Schlüssel kann der öffentliche Schlüssel sein, der dem privaten Schlüssel zugeordnet ist.
  • Die Erfindung umfasst auch Weiterbildungen, wodurch sich weitere Vorteile ergeben.
  • Eine Weiterbildung der Erfindung sieht vor, dass die Rechteverwaltungseinheit dazu eingerichtet ist, zumindest einen weiteren digitalen Schlüssel von einem externen Freischaltungsrechner zu empfangen.
  • Mit anderen Worten weist die Rechteverwaltungseinheit eine Funktion auf, wodurch es dieser möglich ist, den zumindest einen weiteren digitalen Schlüssel von dem externen Freischaltungsrechner zu empfangen.
  • Dadurch ergibt sich der Vorteil, dass der Steuervorrichtung weitere digitale Schlüssel bereitgestellt werden können, wodurch eine Freischaltung weiterer Überwachungskomponenten ermöglicht wird.
  • Es kann beispielsweise vorgesehen sein, dass die Steuervorrichtung eine Schnittstelle aufweist, welche der Rechteverwaltungseinheit eine Kommunikation über das Internet ermöglicht. Der externe Freischaltungsrechner kann ein Rechner außerhalb des Kraftfahrzeugs sein, auf dem der zumindest eine weitere digitale Schlüssel gespeichert ist. Der jeweiligen Überwachungskomponente kann zumindest ein jeweiliger digitaler Schlüssel zugeordnet sein. Um die Überwachungskomponente durch die Rechteverwaltungseinheit freischalten zu können, kann es erforderlich sein, dass der zumindest eine digitale Schlüssel in der Rechteverwaltungseinheit gespeichert ist. Ist dies nicht der Fall, kann das Betreiben der Überwachungskomponente nicht erfolgen. Dies kann beispielsweise dazu genutzt werden, um den Betrieb eines vorbestimmten Betriebsmodus durch die Steuereinheit zu verhindern. Soll der vorbestimmte Betriebsmodus für die Steuereinheit freigeschaltet werden, kann dies erfolgen, indem der benötigte digitale Schlüssel durch den Freischaltungsrechner an die Steuervorrichtung versandt wird. Der digitale Schlüssel kann beispielsweise über das Internet übertragen und durch eine Schnittstelle der Steuervorrichtung empfangen werden. Der digitale Schlüssel kann daraufhin in der Rechteverwaltungseinheit gespeichert werden. Durch den zusätzlichen digitalen Schlüssel ist es nun möglich, die Überwachungskomponenten zu betreiben, die diesem Schlüssel zugeordnet sind.
  • Eine Weiterbildung der Erfindung sieht vor, dass die Rechteverwaltungseinheit dazu eingerichtet ist, den zumindest einen weiteren digitalen Schlüssel von dem externen Freischaltungsrechner abzurufen.
  • Mit anderen Worten ist die Rechteverwaltungseinheit dazu eingerichtet, aktiv eine Verbindung mit dem externen Freischaltungsrechner aufzubauen und ein Versenden des zumindest einen weiteren digitalen Schlüssels von dem externen Freischaltungsrechner an die Steuervorrichtung aktiv einzuleiten.
  • Dadurch ergibt sich der Vorteil, dass die Rechteverwaltungseinheit den digitalen Schlüssel aktiv von dem externen Freischaltungsrechner anfordern kann, falls dieser in der Rechteverwaltungseinheit nicht gespeichert ist.
  • Es kann sich beispielsweise die Situation ergeben, dass eine Überprüfung der Überwachungskomponente durch die Rechteverwaltungseinheit nicht durchführbar ist, und somit keine Freischaltung erfolgt, weil der zugeordnete digitale Schlüssel nicht in der Rechteverwaltungseinheit gespeichert ist. Um den zugeordneten digitalen Schlüssel identifizieren zu können, kann der Vergleichswert der Überwachungskomponente eine Identifikationsnummer umfassen, welche dem jeweiligen Schlüssel zuzuordnen ist. Die Rechteverwaltungseinheit kann dazu eingerichtet sein, ein Anfragesignal, das die Identifikationsnummer des digitalen Schlüssels umfassen kann, an den externen Freischaltungsrechner zu versenden. Der Freischaltungsrechner kann daraufhin den angeforderten digitalen Schlüssel an die Rechteverwaltungseinheit versenden. Die Rechteverwaltungseinheit kann den zumindest einen weiteren digitalen Schlüssel empfangen und speichern. Die Rechteverwaltungseinheit kann dazu eingerichtet sein, die Überprüfung des Freischaltungszustands der Überwachungskomponente nach dem Empfang des gespeicherten digitalen Schlüssels fortzuführen. Empfängt die Rechteverwaltungseinheit keinen weiteren digitalen Schlüssel, weil die Steuervorrichtung beispielsweise nicht zur Ausführung der Überwachungskomponente autorisiert ist, kann es vorgesehen sein, dass die zugehörige Überwachungskomponente durch die Rechteverwaltungseinheit nicht freigeschaltet wird.
  • Eine Weiterbildung der Erfindung sieht vor, dass die Rechteverwaltungseinheit dazu eingerichtet ist, einen jeweiligen Gültigkeitswert für den zumindest einen digitalen Schlüssel von dem externen Freischaltungsrechner abzurufen und den digitalen Schlüssel für die Prüfung der Freischaltung zu deaktivieren, wenn der jeweilige Gültigkeitswert den jeweiligen digitalen Schlüssel als ungültig definiert.
  • Mit anderen Worten ist die Rechteverwaltungseinheit dazu eingerichtet, eine Gültigkeit des digitalen Schlüssels zu überprüfen. Zu diesem Zweck ruft die Rechteverwaltungseinheit den jeweiligen Gültigkeitswert, der dem zumindest einen digitalen Schlüssel zugeordnet ist, von dem zentralen Freischaltungsrechner ab. Besagt der Gültigkeitswert, dass der jeweilige digitale Schlüssel ungültig ist, wird dieser durch die Rechteverwaltungseinheit deaktiviert.
  • Dadurch ergibt sich der Vorteil, dass ein digitaler Schlüssel deaktiviert werden kann, wenn beispielsweise zugehörige Überwachungskomponenten nicht mehr zu der Steuervorrichtung kompatibel sind.
  • Es kann beispielsweise vorgesehen sein, dass auf dem Freischaltungsrechner sogenannte Rückrufzertifikate als jeweiliger Gültigkeitswert gespeichert sind, welche jeweiligen ungültigen digitalen Schlüsseln zugeordnet sein können. Vor einer Prüfung einer Überwachungskomponente kann die Rechteverwaltungseinheit die Gültigkeit des jeweiligen digitalen Schlüssels überprüfen, indem die Rechteverwaltungseinheit die Identifikationsnummer des digitalen Schlüssels an den Freischaltungsrechner überträgt. Es kann vorgesehen sein, dass ein Rückzugszertifikat durch den externen Freischaltungsrechner an die Rechteverwaltungseinheit versendet wird, wenn der digitale Schlüssel gesperrt ist. Die Rechteverwaltungseinheit kann dazu eingerichtet sein, den jeweiligen digitalen Schlüssel zu deaktivieren, wenn ein Rückzugszertifikat für den entsprechenden Schlüssel vorliegt.
  • Eine Weiterbildung der Erfindung sieht vor, dass die Steuervorrichtung dazu eingerichtet ist, zumindest eine weitere Überwachungskomponente von einem externen Datenrechner nur abzurufen und zu speichern, wenn ein von dem externen Datenrechner durch die Steuervorrichtung abgerufener jeweiliger Identifikationswert in der Rechteverwaltungseinheit freigeschaltet ist.
  • Mit anderen Worten ist die Steuervorrichtung dazu eingerichtet, zumindest eine weitere Überwachungskomponente von dem externen Datenrechner zu beziehen. Damit die weitere Überwachungskomponente von dem externen Datenrechner heruntergeladen werden kann, ist es erforderlich, dass der externe Datenrechner in der Rechteverwaltungseinheit freigeschaltet ist. Die Überprüfung des Freischaltungszustands des externen Datenrechners kann mittels des Identifikationswerts erfolgen. Dieser wird durch den externen Datenrechner an die Steuervorrichtung übertragen wenn die Steuervorrichtung den externen Datenrechner kontaktiert. Der Identifikationswert kann durch die Rechteverwaltungseinheit geprüft werden.
  • Dadurch ergibt sich der Vorteil, dass eine Abfrage von Überwachungskomponenten auf zugelassene externen Datenrechnern beschränkt werden kann.
  • Es kann beispielsweise vorgesehen sein, dass die Überwachungskomponente auf einem externen Datenrechner bereitgestellt ist. Die Steuervorrichtung kann die Schnittstelle aufweisen, welche die Kommunikation der Steuervorrichtung mit dem externen Datenrechner ermöglichen kann. Über diese Verbindung kann die Steuervorrichtung die Überwachungskomponente von dem externen Datenrechner abrufen. Um sicherzustellen, dass nur Überwachungskomponenten durch die Steuervorrichtung abgerufen werden, welche von einer vertrauenswürdigen Quelle stammen, kann es vorgesehen sein, dass die Überwachungskomponente von der Steuervorrichtung nur abgerufen werden kann, wenn der externe Datenrechner durch die Rechteverwaltungseinheit freigeschaltet ist. Um den Freischaltungszustand des externen Datenrechners bestimmen zu können, kann es vorgesehen sein, dass bei einer Anfrage der Steuervorrichtung an den externen Datenrechner durch den externen Datenrechner ein jeweiliger Identifikationswert an die Steuervorrichtung übertragen wird. Der Identifikationswert kann wie der Vergleichswert ein codierter Wert sein. Die Überprüfung der Freischaltung kann umfassen, dass die Rechteverwaltungseinheit beispielsweise nach dem vorbestimmten mathematischen Verfahren einen Wert für eine IP-Adresse des externen Datenrechners berechnet. Der Identifikationswert kann mittels des digitalen Schlüssels decodiert werden. Stimmt der Identifikationswert mit dem berechneten Wert überein, kann eine Freischaltung des externe Datenrechners durch die Rechteverwaltungseinheit erfolgen.
  • Eine Weiterbildung der Erfindung sieht vor, dass die Steuervorrichtung dazu eingerichtet ist, ein Steuersignal, umfassend einen Steuerbefehl und einen Signalvergleichswert, zu empfangen, wobei die Steuervorrichtung dazu eingerichtet ist, die Steuerbefehle nur auszuführen, wenn das Steuersignal in der Rechteverwaltungseinheit freigeschaltet ist.
  • Mit anderen Worten ist die Steuervorrichtung dazu eingerichtet, Steuerbefehle, welche mittels eines Steuersignals an die Steuervorrichtung übertragen werden, auszuführen. Die im Steuersignal bereitgestellten Steuerbefehle werden jedoch nur durchgeführt, wenn das Steuersignal durch die Rechteverwaltungseinheit freigeschaltet ist. Die Überprüfung des Freischaltungszustands erfolgt über den Signalvergleichswert des Steuersignals, welcher durch die Rechteverwaltungseinheit mittels des digitalen Schlüssels überprüft wird.
  • Dadurch ergibt sich der Vorteil, dass die Steuervorrichtung nur durch Steuerbefehle angesteuert werden kann, wenn das Steuersignal freigeschaltet ist.
  • Es kann beispielsweise vorgesehen sein, dass die Steuervorrichtung eine Schnittstelle aufweist, um von einer externen Quelle angesteuert werden zu können. Die Ansteuerung erfolgt mittels der Steuerbefehle. Die Steuerbefehle werden mittels des Steuersignals übertragen. Um das Steuersignal durch die Rechteverwaltungseinheit überprüfen zu können, kann es vorgesehen sein, dass das Steuersignal den Signalvergleichswert aufweist. Dieser kann eine codierte Prüfsumme des Steuerbefehls sein. Mittels des Signalvergleichswerts kann die Rechteverwaltungseinheit eine Zulässigkeit des Steuersignals überprüfen, indem sie eine Prüfsumme für den Steuerbefehl berechnet und mit dem decodierten Signalvergleichswert vergleicht. Die Decodierung kann über den digitalen Schlüssel erfolgen. Der Steuerbefehl wird nur durch die Steuereinheit ausgeführt, wenn die Rechteverwaltungseinheit das Steuersignal freigibt.
  • Eine Weiterbildung der Erfindung sieht vor, dass die Rechteverwaltungseinheit dazu eingerichtet ist, den zumindest einen digitalen Schlüssel zu deaktivieren, wenn ein Verfallsdatum oder ein Verfallszeitraum des Schlüssels abgelaufen ist.
  • Mit anderen Worten kann eine Überprüfung eines Freischaltungszustands mittels des digitalen Schlüssels nur erfolgen, wenn sein Verfallsdatum oder sein Verfallszeitraum noch nicht überschritten ist.
  • Dadurch ergibt sich der Vorteil, das beispielsweise veraltete Überwachungskomponenten nicht mehr durch die Steuervorrichtung ausgeführt werden können.
  • Es kann beispielsweise vorgesehen sein, dass ein jeweiliger digitaler Schlüssel ein Verfallsdatum oder den Verfallszeitraum aufweist und die Rechteverwaltungseinheit dazu eingerichtet ist, ein aktuelles Datum mit dem Verfallsdatum oder dem Verfallszeitraum des Schlüssels zu vergleichen. Ist das Verfallsdatum und/oder der Verfallszeitraum abgelaufen, kann es vorgesehen sein, dass der digitale Schlüssel durch die Rechteverwaltungseinheit deaktiviert wird. Dies kann zur Folge haben, dass Überwachungskomponenten, denen der jeweilige digitale Schlüssel zugewiesen ist, bei der Freischaltungsüberprüfung nicht durch die Rechteverwaltungseinheit freigeschaltet werden. Somit kann es vorgesehen sein, dass die zugeordneten Überwachungskomponenten des jeweiligen digitalen Schlüssels nach dem Verfallsdatum oder dem Verfallszeitraum nicht mehr durch die Steuereinheit ausgeführt werden können.
  • Eine Weiterbildung der Erfindung sieht vor, dass in der Steuervorrichtung ein Zuordnungswert gespeichert ist, und/oder die Steuervorrichtung eine Zuordnungscharakteristik aufweist, und die Rechteverwaltungseinheit dazu eingerichtet ist, die Decodierung unter Einbeziehung des Zuordnungswerts und/oder der Zuordnungscharakteristik durchzuführen.
  • Mit anderen Worten weist die Steuervorrichtung den Zuordnungswert und/oder die Zuordnungscharakteristik auf, welche der Steuervorrichtung individuell und unveränderbar zuzuordnen sind. Die Rechteverwaltungseinheit ist dazu eingerichtet, Decodierungen durchzuführen, die eine Einbeziehung des Zuordnungswerts und/oder der Zuordnungscharakteristik erfordern.
  • Dadurch ergibt sich der Vorteil, dass die Container an eine Steuervorrichtung gekoppelt werden können.
  • Der Zuordnungswert kann eine Identifikationskennung einer Komponente wie eine MAC-Adresse sein. Die Zuordnungscharakteristik kann ein individuelles Verhalten physikalisches Verhalten der Steuervorrichtung sein. Die Steuervorrichtung kann beispielsweise eine PUF-Einheit (PUF - Physical unclonable function) umfassen, welche ein individuelles Verhalten aufweisen kann.
  • Die Zuordnungscharakteristik und/oder der Zuordnungswert können für die Decodierung erforderlich sein und auf einer Quelle der Überwachungskomponente gespeichert sein. Es kann vorgesehen sein, dass die Decodierung nur mit der Zuordnungscharakteristik und/oder dem Zuordnungswert der jeweiligen Steuervorrichtung möglich sind. Wird die Überwachungskomponente auf eine andere Steuervorrichtung übertragen, kann es vorgesehen sein, dass die Decodierung scheitert, weil die andere Steuervorrichtung eine andere Zuordnungscharakteristik und/oder einen anderen Zuordnungswert aufweist, wodurch beispielsweise ein mathematisches Verfahren ein anderes Ergebnis liefert, welches eine erfolgreiche Decodierung verhindert.
  • Eine Weiterbildung der Erfindung sieht vor, dass die Rechteverwaltungseinheit dazu eingerichtet ist, den Container unter Einbeziehung des Zuordnungswerts und/oder der Zuordnungscharakteristik zu entschlüsseln.
  • Mit anderen Worten ist die Rechteverwaltungseinheit dazu eingerichtet, einen verschlüsselten Container der Überwachungskomponente mittels Entschlüsselungsverfahren zu entschlüsseln, welche den Zuordnungswert und/oder die Zuordnungscharakteristik einbeziehen.
  • Dadurch ergibt sich der Vorteil, dass der Container nur durch eine individuelle Steuervorrichtung gelesen werden kann.
  • Es kann beispielsweise vorgesehen sein, dass die Überwachungskomponente ein Entschlüsselungsverfahren umfasst, welches zu Entschlüsselung des verschlüsselten Containers erforderlich sein kann. Das Entschlüsselungsverfahren kann den Zuordnungswert und/oder die Zuordnungscharakteristik einbeziehen und derart bestimmt sein, dass eine Entschlüsselung nur durch einen Zuordnungswert und/oder einer Zuordnungscharakteristik möglich ist. Ein Entschlüsselungsversuch auf einer Steuervorrichtung als der vorgesehenen kann ausgeschlossen sein, weil ein anderer Zuordnungswert und/oder eine andere Zuordnungscharakteristik zu einem fehlerhaften Ergebnis führen können.
  • Eine Weiterbildung der Erfindung sieht vor, dass die Rechteverwaltungseinheit dazu eingerichtet ist, die Überwachungskomponente nur freizuschalten, wenn diese einen Zuordnungswert aufweist, der mit dem in der Steuervorrichtung gespeichertem Zuordnungswert übereinstimmt.
  • Mit anderen Worten ist in der Steuervorrichtung ein Zuordnungswert gespeichert, durch den die Steuervorrichtung individuell und eindeutig gekennzeichnet ist. Die Rechteverwaltungseinheit ist dazu eingerichtet, den Zuordnungswert abzurufen. In der Überwachungskomponente ist ebenfalls ein Zuordnungswert gespeichert, welcher der jeweiligen Steuervorrichtung zugeordnet ist, auf der die Überwachungskomponente freigeschaltet werden soll. Die Rechteverwaltungseinheit ist dazu eingerichtet, den in der Überwachungsvorrichtung enthaltenen Zuordnungswert mit dem Zuordnungswert der Steuervorrichtung zu vergleichen und die jeweilige Überwachungskomponente nur freizuschalten, wenn die beiden Zuordnungswerte übereinstimmen.
  • Dadurch ergibt sich der Vorteil, dass Überwachungskomponenten für einzelne, individuell identifizierbare Steuervorrichtungen freigeschaltet werden können.
  • Es kann beispielsweise vorgesehen sein, dass die Steuervorrichtung eine Speichereinheit aufweist, in welcher der Zuordnungswert nachträglich unveränderbar gespeichert sein kann. Der Zuordnungswert kann somit die eindeutige Identifikation der jeweiligen Steuervorrichtung ermöglichen. Die Rechteverwaltungseinheit kann dazu eingerichtet sein, den gespeicherten Zuordnungswert auszulesen, um diesen mit dem Zuordnungswert, welcher der Überwachungskomponente beigefügt ist, zu vergleichen. Der Zuordnungswert der Überwachungskomponente ermöglicht es, die Überwachungskomponente für den Betrieb auf der Steuervorrichtung des jeweiligen Zuordnungswertes zu beschränken. Die Rechteverwaltungseinheit kann dazu eingerichtet sein, die jeweilige Überwachungskomponente nur freizuschalten, wenn sie den Zuordnungswert der Steuervorrichtung aufweist.
  • Die Erfindung umfasst auch ein erfindungsgemäßes Kraftfahrzeug mit der erfindungsgemäßen Steuervorrichtung.
  • Die Erfindung umfasst auch ein Verfahren zum Betreiben einer Steuervorrichtung zur Freischaltung zumindest einer Anwendungssoftware, wobei die Steuervorrichtung eine Steuereinheit aufweist, welche dazu eingerichtet ist, die jeweilige Anwendungssoftware in einem jeweiligen in der Steuereinheit gespeicherten Container, der die jeweilige Anwendungssoftware und eine vollständige Laufzeitumgebung zum Ausführen dieser Anwendungssoftware enthält, zu betreiben. Durch die Steuereinheit wird vor einer Ausführung des Containers ein Freischaltungszustand einer vorbestimmten Überwachungskomponente von einer Rechteverwaltungseinheit der Steuervorrichtung abgefragt, wobei die Überwachungskomponente den Container und/oder die Anwendungssoftware umfasst. Der Container wird durch die Steuereinheit nur betrieben, wenn die Überwachungskomponente in der Rechteverwaltungseinheit freigeschaltet wird. Die Freischaltung wird durch die Rechteverwaltungseinheit geprüft, indem die Rechteverwaltungseinheit einen Prüfwert für die Überwachungskomponente nach einem vorbestimmten mathematischen Verfahren berechnet und einen in der Überwachungskomponente enthaltenen codierten Vergleichswert mittels eines in der Rechteverwaltungseinheit gespeicherten, zugeordneten digitalen Schlüssels decodiert. Der Vergleichswert wird nach der Decodierung auf eine Übereinstimmung mit dem Prüfwert geprüft, und die Überwachungskomponente nur freigeschaltet, wenn der Prüfwert mit dem decodierten Vergleichswert übereinstimmt.
  • Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen.
  • Zu der Erfindung gehören auch Weiterbildungen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Kraftfahrzeugs, die Merkmale aufweisen, wie sie bereits im Zusammenhang mit den Weiterbildungen der erfindungsgemäßen Steuervorrichtung beschrieben worden sind. Aus diesem Grund sind die entsprechenden Weiterbildungen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Kraftfahrzeugs hier nicht noch einmal beschrieben.
  • Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt:
    • 1 eine mögliche Ausführungsform des Kraftfahrzeugs mit einer Ausführungsform der Steuervorrichtung; und
    • 2 ein möglicher Ablauf des Verfahrens zum Betreiben der Steuervorrichtung.
  • Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden. Daher soll die Offenbarung auch andere als die dargestellten Kombinationen der Merkmale der Ausführungsformen umfassen. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
  • In den Figuren bezeichnen gleiche Bezugszeichen jeweils funktionsgleiche Elemente.
  • 1 zeigt eine mögliche Ausführungsform des Kraftfahrzeugs 1 mit der Steuervorrichtung 2. Das Kraftfahrzeug 1 kann insbesondere ein Lastkraftwagen oder ein Personenkraftwagen sein. Die Steuervorrichtung 2 kann beispielsweise ein eingebettetes System sein. Die Steuervorrichtung 2 kann eine Steuereinheit 3 aufweisen, wobei es sich um einen Mikrocontroller oder eine Mikroprozessor handeln kann. Die Steuereinheit kann dazu eingerichtet sein, eine Anwendungssoftware 4 auszuführen. Die Anwendungssoftware 4 kann zusammen mit einem Container 5 Teil der Überwachungskomponente 6 sein. Die Überwachungskomponente 6 kann eine Vergleichswert aufweisen. Der Vergleichswert 7 kann beispielsweise eine digitale Signatur sein, welche mittels eines privaten Schlüssels eines digitalen Schlüsselpaares und einem Prüfwert 8 erstellt sein kann. Der Prüfwert 8 kann beispielsweise ein Hashwert der Überwachungskomponente 6 sein. Die Steuereinheit 3 kann dazu eingerichtet sein, die Anwendungssoftware 4 oder den Container 5 der Überwachungskomponente 6 nur auszuführen, wenn die Überwachungskomponente 6 freigeschaltet ist. Die Freischaltung der Überwachungskomponente 6 kann mittels der Rechteverwaltungseinheit 9 der Steuervorrichtung 2 erfolgen. Es kann vorgesehen sein, dass die Steuereinheit 3 dazu eingerichtet ist, vor einem Ausführung der Anwendungssoftware 4 oder des Containers 5 der Überwachungskomponente 6 eine Anfrage an die Rechteverwaltungseinheit 9 zu senden. In der Anfrage kann beispielsweise die Überwachungskomponente 6 enthalten sein. Die Rechteverwaltungseinheit 9 kann dazu eingerichtet sein, den Prüfwert 8 für die Überwachungskomponente 6 zu berechnen. In der Rechteverwaltungseinheit 9 kann ein digitaler Schlüssel 10 gespeichert sein, mit welchem die Rechteverwaltungseinheit 9 aus dem Vergleichswert 7 der Überwachungskomponente 6 den Prüfwert 8 berechnen kann. Stimmt der aus dem Vergleichswert 7 berechnete Prüfwert 8 mit dem aus der Überwachungskomponente 6 berechneten Prüfwert überein, kann es vorgesehen sein, dass die Rechteverwaltungseinheit 9 die jeweilige Überwachungskomponente 6 für die Steuereinheit 3 freischaltet. Es kann vorgesehen sein, dass die Rechteverwaltungseinheit 9 in diesem Fall ein Freischaltungssignal 11 an die Steuereinheit 3 versendet. Die Steuereinheit 3 kann dazu eingerichtet sein, den Container 5 oder die Anwendungssoftware 4 der Überwachungskomponente 6 nur auszuführen, wenn sie mittels des Freischaltungssignals 11 eine Bestätigung des Freischaltungszustands erhalten hat. Die Anwendungssoftware 4 kann beispielsweise ein Programmcode sein, welcher auf der Steuereinheit 3 ausgeführt werden kann. Der Container 5 kann eine Betriebsumgebung aufweisen, welche alle Bibliotheken oder Dateien umfasst, welche zum Ausführen eines Programmcodes notwendig sind. Der digitale Schlüssel 10 kann beispielsweise ein öffentlicher Schlüssel eines asymmetrischen Schlüsselpaares sein. Es kann sich dabei beispielsweise um einen öffentlichen Schlüssel eines RSA-Schlüsselpaares handeln. Die Rechteverwaltungseinheit 9 kann auch dazu eingerichtet sein, einen jeweiligen Gültigkeitswert 12 von dem externen Freischaltungsrechner abzurufen. Der Gültigkeitswert kann beispielsweise ein Rückrufzertifikat umfassen, welches dazu führt, dass die Rechteverwaltungseinheit 9 den jeweiligen digitalen Schlüssel 10 deaktiviert. Somit kann eine Überwachungskomponente 6, welche dem digitalen Schlüssel zugeordnet sein kann, nicht mehr durch die Rechteverwaltungseinheit 9 freigeschaltet werden. Die Rechteverwaltungseinheit 9 kann dazu eingerichtet sein, die Überwachungskomponente in Abhängigkeit eines Identifikationswertes freizuschalten. Es kann beispielsweise vorgesehen sein, dass die Steuervorrichtung 2 eine Überwachungskomponente 6 von einem externen Datenrechner 13 abrufen kann. Dabei kann es vorgesehen sein, dass die Abfrage der Überwachungskomponente 6 nur freigeschaltet wird, wenn der externe Datenrechner 13 durch die Rechteverwaltungseinheit 9 freigeschaltet ist. Zu diesem Zweck kann es vorgesehen sein, dass durch den externen Datenrechner 13 ein Identifikationswert 14 an die Steuervorrichtung 2 übertragen werden kann. Der Identifikationswert 14 kann beispielsweise eine IP-Adresse des externen Datenrechners 13 umfassen und mittels eines privaten Schlüssels codiert sein, welcher dem digitalen Schlüssel 10 zugeordnet sein kann. Die Rechteverwaltungseinheit kann dazu eingerichtet sein, den Identifikationswert 14 mittels des digitalen Schlüssels 10 umzuwandeln. Wie bei der Überwachungskomponente 6 kann es vorgesehen sein, dass die Rechteverwaltungseinheit 9 einen Prüfwert für die IP-Adresse des externen Datenrechners 13 berechnet und mit dem Identifikationswert 14 vergleicht. Ein Abrufen einer Überwachungskomponente 6 von dem externen Datenrechner 13 kann durch die Rechteverwaltungseinheit 9 nur dann freigeschaltet werden, wenn der Identifikationswert mit dem berechneten Prüfwert übereinstimmt. Die Steuervorrichtung kann dazu eingerichtet sein, das Steuersignal zu empfangen. Das Steuersignal kann den Steuerbefehl und den Signalvergleichswert umfassen. Sie Steuereinheit kann dazu eingerichtet sein, den Steuerbefehl nur auszuführen, wenn das Steuersignal durch die Rechteverwaltungseinheit 9 freigeschaltet wird. Das Steuersignal 15 kann von einem externen Rechner versandt werden und den Steuerbefehl 16 und den Signalvergleichswert 17 aufweisen. Der digitale Schlüssel 10 kann ein Verfallsdatum 18 oder einen Verfallszeitraum 19 umfassen. Es kann vorgesehen sein, dass der digitale Schlüssel 10 nach Ablauf des Verfallsdatums oder des Verfallszeitraums durch die Rechteverwaltungseinheit 10 deaktiviert wird. Somit kann kein Prüfungsverfahren mit Überwachungskomponenten 6 oder Steuersignalen 15 durchgeführt werden, welche den digitalen Schlüssel 10 zur Überprüfung erfordern. Eine Anwendungssoftware 4 oder ein Container 5 der Überwachungskomponente 6 lassen sich somit nicht mehr durch die Steuereinheit 3 ausführen. Die Rechteverwaltungseinheit 9 kann beispielsweise eine Uhr umfassen und dazu eingerichtet sein, eine aktuelle Zeit zu bestimmen und mit dem Verfallsdatum des Schlüssels 10 zu vergleichen.
  • 2 zeigt einen möglichen Ablauf eines erfindungsgemäßen Verfahrens. In einem ersten Schritt P1 kann es vorgesehen sein, dass der Container 5 oder die Anwendungssoftware 4 durch die Steuereinheit 3 gestartet werden sollen. Die Steuereinheit 3 kann vor dem Starten der Anwendungssoftware 4 oder des Containers 5 an die Rechteverwaltungseinheit 9 eine Anfrage stellen, ob die Überwachungskomponente 6, in welcher die Anwendungssoftware 4 oder der Container 5 gespeichert sind, freigeschaltet ist.
    Eine Freischaltung kann über die Prüfung des in der Überwachungskomponente 6 enthaltenen Vergleichswert 7 erfolgen. In einem zweiten Schritt P2 kann die Rechteverwaltungseinheit 9 für die Überwachungskomponente 6 den Prüfwert 8 berechnen. Der Prüfwert 8 kann beispielsweise ein Hashwert der Überwachungskomponente 6 sein. Damit die Überwachungskomponente 6 durch die Rechteverwaltungseinheit 9 freigeschaltet wird, kann es erforderlich sein, dass ein digitaler Schlüssel 10, welcher dem Vergleichswert der Überwachungskomponente 7 zugeordnet ist, in der Steuervorrichtung 2 gespeichert ist. Der digitale Schlüssel 10 kann beispielsweise ein öffentlicher Schlüssel eines RSA-Schlüsselpaares sein. Mittels des digitalen Schlüssels 10 kann der Vergleichswert 7 der Überwachungskomponente 6 in den Prüfwert zurück gerechnet werden. Dies kann eine Einbeziehung des Zuordnungswerts und/oder der Zuordnungscharakteristik der Steuervorrichtung erfordern. Der Zuordnungswert kann eine unabänderbar in der Steuervorrichtung 2 gespeicherte individuelle Nummer der Steuervorrichtung 2 sein, welche in nur einer Steuervorrichtung 2 gespeichert sein kann. Die Zuordnungscharakteristik kann ein individuelles physikalisches Verhalten der Steuervorrichtung 3 sein. Es kann beispielsweise eine Halbleitercharakteristik der Steuervorrichtung sein. Stimmt der berechnete Prüfwert 8 nicht mit dem für die Überwachungskomponente 6 bestimmten Prüfwert überein so ist die Überwachungskomponente 6 nicht freigeschaltet. Die Rechteverwaltungseinheit 9 kann dazu eingerichtet sein, ein Freischaltungssignal 11 an die Steuereinheit zu versenden, wenn die Überwachungskomponente 6 freigeschaltet ist (P3).
  • Nach dem Erhalt des Freischaltsignals 11 durch die Steuervorrichtung 2 kann die Steuervorrichtung 2die Anwendungssoftware 4 oder den Container 5 der Überwachungskomponente 6 starten (P4).
  • Containerbasierte Lösungen, wie sie beispielsweise durch das Docker-System bereitgestellt werden, bieten eine geeignete Lösung, um Anwendungen in einem System isoliert betrieben zu können. Die Container stellen eine zugeordnete Umgebung (Bibliotheken, APIS et cetera) zum Betreiben der Anwendungen bereit. Diese Anwendungen werden durch eine Containerdatenbank für einen Rechner bereitgestellt. Bei der Datenbank kann es sich beispielsweise um ein so genanntes Docker-Hub handeln. Die Steuervorrichtungen können durch eine omnipräsente Verbindung, bevorzugter Weise Internet, mit dieser Datenbank verbunden sein. Aus Entwicklungsgründen werden vorbestimmte Maschinen, Entwicklungsbereiche oder Rechnerverbundnetzwerke zur Bereitstellung der Container verwendet. Die Eigenschaften einer solchen Umgebung (containerbasierte Anwendungen) ist vorteilhaft für eingebettete Systeme, wie beispielsweise Infotainmentvorrichtungen. Eine solche Vorrichtung wird mit der Datenbank in Verbindung gesetzt, um Container von dieser Datenbank zu beziehen. Diese Datenbanken sind gewöhnlicher Weise nur für produktionsbezogene Container vorgesehen und können nicht durch Drittanbieter verwendet werden. Im Bereich der eingebetteten Dienste ist eine Lösung nötig, welche es erlaubt, Container durch verschiedene Quellen, wie SD-Karten oder USB-Sticks oder sogar eigenständige Datenbanken bereitzustellen. Es wird nach einer Möglichkeit gesucht, um Steuervorrichtungen für Drittanbieter zu öffnen. Damit ein eingebettetes System für Drittanbieter und Containeranbieter geöffnet werden kann, müssen die Steuervorrichtungen durch einen Hersteller des eingebetteten Systems freigeschaltet werden.
  • Um die Steuervorrichtung für Drittanbieter oder Kunden freischalten zu können, ist ein zertifikatsbasierter Ansatz vorgesehen. Solche Zertifikate werden auch als digitale Schlüssel bezeichnet. Es ist vorgesehen, dass die Steuervorrichtung in einem Ausgangszustand auf den Betrieb von Containern beschränkt ist, welche durch den Hersteller bereitgestellt werden. Erst wenn ein Entwicklungszertifikat auf der Steuervorrichtung gespeichert ist, können Container von Drittanbietern durch die Steuervorrichtung betrieben werden. Zu diesem Zweck signiert der Hersteller das Entwicklerzertifikat, welches dann auf der Steuervorrichtung installiert wird. Die Signatur kann durch die Steuervorrichtung mit bekannten Maßnahmen wie beispielsweise einem vertrauenswürdigen Herstellerzertifikat validiert werden. Sobald die Berechtigung des Entwicklerzertifikats überprüft wurde, kann eine neue Datenbank zur Bereitstellung weiterer Container für die Steuervorrichtung verwendet werden. Alternativ dazu können Container aus Quellen installiert werden, welche mittels des Entwicklerzertifikats signiert wurden. Sobald ein Entwicklerzertifikats abläuft, für ungültig erklärt oder gelöscht wird, fällt die Steuervorrichtung in ihren Ausgangszustand zurück und der Betrieb der Container des Entwicklers wird gesperrt. Es ist somit nicht mehr möglich, Container zu verwenden, welche mit dem jeweiligen Entwicklerzertifikat signiert wurden. Auch der Zugang auf Schnittstellen der Vorrichtung kann abhängig sein von den vorhandenen Entwicklerzertifikaten und deren Gültigkeit.
  • Diese Lösung ermöglicht es Herstellern eines eingebetteten Systems, eine jeweiligen Steuervorrichtung aus der Ferne freizuschalten und Drittanbietern den Zugang zu Schnittstellen der Steuervorrichtung zu gewähren. Die Steuervorrichtung muss zum Betrieb nicht mit dem Internet oder einem Freischaltungsrechner verbunden sein, sondern kann in allen erdenklichen Situationen genutzt werden. Es ist möglich, die Steuervorrichtung in Bergwerken, auf hoher See oder sogar im Weltraum zu betreiben, so lange ein zugeordnetes Entwicklerzertifikat auf der Steuervorrichtung bereitgestellt ist. Eine Internetverbindung der Steuervorrichtung ermöglicht es, die jeweiligen Entwicklerzertifikate auf eine Anwesenheit eines Rückrufzertifikats und externe Sperrung zu überprüfen. Ein Hersteller hat somit die Möglichkeit, zusätzliches Einkommen zu generieren, indem er von Drittanbietern eine Gebühr verlangt, damit diese für einen Schnittstellenzugang oder für eine Bereitstellung von Containern freigeschaltet werden. Ein möglicher Anwendungsfall besteht darin, ein Kraftfahrzeug bereitzustellen, welches eine Kühlanlage aufweist, um frische Lebensmittel verteilen zu können, wobei die Kühlvorrichtung mittels einer containerbasierten Anwendung betrieben wird, um die Kühlvorrichtung steuern zu können. Somit ist es beispielsweise möglich, die Temperatur der Kühleinrichtung festzulegen. Ein Hersteller kann Zugänge zur Entwicklung von Containern für ein Infotainmentsystem verkaufen. Der Benutzer der Steuervorrichtung kann beispielsweise in Abhängigkeit einer Nutzungszeit einer containerbasierten Anwendung freigeschaltet werden. Es ist möglich, ein Entwicklerzertifikat mit einer jeweiligen Steuervorrichtung zu verknüpfen (Pinning). Der Hersteller der Steuervorrichtung kann einen Zugang zu einer Schnittstelle der Steuervorrichtung gegen Bezahlung freischalten und hiermit eine Abfrage von Kraftfahrzeuginformationen erlauben.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 7748043 B2 [0005]
    • US 7197637 B2 [0006]
    • US 2018/0109387 A1 [0007]

Claims (12)

  1. Steuervorrichtung (2) zur Freischaltung zumindest einer Anwendungssoftware (4), wobei die Steuervorrichtung (2) eine Steuereinheit (3) aufweist, welche dazu eingerichtet ist, die jeweilige Anwendungssoftware (4) in einem jeweiligen in der Steuereinheit (3) gespeicherten Container (5), der die jeweilige Anwendungssoftware (4) und eine vollständige Laufzeitumgebung zum Ausführen dieser Anwendungssoftware (4) enthält, zu betreiben, dadurch gekennzeichnet, dass die Steuereinheit (3) dazu eingerichtet ist, vor der Ausführung des Containers (5) einen Freischaltungszustand einer vorbestimmten Überwachungskomponente (6) von einer Rechteverwaltungseinheit (9) der Steuervorrichtung (2) abzufragen, wobei die Überwachungskomponente (6) den Container (5) und/oder die Anwendungssoftware (4) umfasst, und den Container (5) nur zu betreiben, wenn die Überwachungskomponente (6) in der Rechteverwaltungseinheit (9) freigeschaltet ist, wobei die Rechteverwaltungseinheit (9) dazu eingerichtet ist, die Freischaltung zu prüfen, indem die Rechteverwaltungseinheit (9) einen Prüfwert (8) für die Überwachungskomponente (6) nach einem vorbestimmten mathematischen Verfahren berechnet, einen in der Überwachungskomponente (6) enthaltenen codierten Vergleichswert (7) mittels eines in der Rechteverwaltungseinheit (9) gespeicherten, zugeordneten digitalen Schlüssels (10) decodiert, und den Vergleichswert (7) nach der Decodierung auf eine Übereinstimmung mit dem Prüfwert (8) prüft, und die Überwachungskomponente (6) nur freischaltet, wenn der Prüfwert (8) mit dem decodierten Vergleichswert (7) übereinstimmt.
  2. Steuervorrichtung (2) nach Anspruch 1, dadurch gekennzeichnet, dass die Rechteverwaltungseinheit (9) dazu eingerichtet ist, zumindest einen weiteren digitalen Schlüssel (10) von einem externen Freischaltungsrechner zu empfangen.
  3. Steuervorrichtung (2) nach Anspruch 2, dadurch gekennzeichnet, dass die Rechteverwaltungseinheit (9) dazu eingerichtet ist, den zumindest einen weiteren digitalen Schlüssel (10) von dem externen Freischaltungsrechner abzurufen.
  4. Steuervorrichtung (2) nach Anspruch 3, dadurch gekennzeichnet, dass die Rechteverwaltungseinheit (9) dazu eingerichtet ist, einen jeweiligen Gültigkeitswert (12) für den zumindest einen digitalen Schlüssel (10) von dem externen Freischaltungsrechner abzurufen und den Schlüssel (10) für die Prüfung der Freischaltung zu deaktivieren, wenn der jeweilige Gültigkeitswert (12) den jeweiligen digitalen Schlüssel (10) als ungültig definiert.
  5. Steuervorrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Steuervorrichtung (2) dazu eingerichtet ist, weitere Überwachungskomponenten (6) von einem externen Datenrechner (13) abzurufen und zu speichern, wenn ein von dem externen Datenrechner (13) durch die Steuervorrichtung (2) abgerufener jeweiliger Identifikationswert (14) in der Rechteverwaltungseinheit (9) freigeschaltet ist.
  6. Steuervorrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Steuervorrichtung (2) dazu eingerichtet ist, Steuersignale (15), umfassend einen Steuerbefehl (16) und einen Signalvergleichswert (17), zu empfangen, wobei die Steuervorrichtung (2) dazu eingerichtet ist, die Steuerbefehle (16) nur auszuführen, wenn das jeweilige Steuersignal (15) in der Rechteverwaltungseinheit (9) freigeschaltet ist.
  7. Steuervorrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Rechteverwaltungseinheit (9) dazu eingerichtet ist, den zumindest einen digitalen Schlüssel (10) zu deaktivieren, wenn ein Verfallsdatum (18) oder ein Verfallszeitraum (19) des Schlüssels (10) abgelaufen ist.
  8. Steuervorrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in der Steuervorrichtung (2) ein Zuordnungswert gespeichert ist, und/oder die Steuervorrichtung (2) eine Zuordnungscharakteristik aufweist, und die Rechteverwaltungseinheit (9) dazu eingerichtet ist, die Decodierung unter Einbeziehung des Zuordnungswerts und/oder der Zuordnungscharakteristik durchzuführen.
  9. Steuervorrichtung (2) nach Anspruch 8, dadurch gekennzeichnet, dass die Rechteverwaltungseinheit (9) dazu eingerichtet ist, den Container (5) unter Einbeziehung des Zuordnungswerts und/oder der Zuordnungscharakteristik zu entschlüsseln.
  10. Steuervorrichtung (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Rechteverwaltungseinheit (9) dazu eingerichtet ist, die Überwachungskomponente (6) zusätzlich nur freizuschalten, wenn diese den Zuordnungswert aufweist, der mit dem in der Steuervorrichtung (2) gespeichertem Zuordnungswert übereinstimmt.
  11. Kraftfahrzeug (1) mit einer Steuervorrichtung (2) zur Freischaltung zumindest einer Anwendungssoftware (4) nach einem der vorhergehenden Ansprüche.
  12. Verfahren vom Betreiben einer Steuervorrichtung (2) zur Freischaltung zumindest einer Anwendungssoftware (4), wobei die Steuervorrichtung (2) eine Steuereinheit (3) aufweist, welche dazu eingerichtet ist, die jeweilige Anwendungssoftware (4) in einem jeweiligen in der Steuereinheit (3) gespeicherten Container (5), der die jeweilige Anwendungssoftware (4) und eine vollständige Laufzeitumgebung zum Ausführen dieser Anwendungssoftware (4) enthält, zu betreiben, durch eine Steuereinheit (3) vor einer Ausführung eines Containers (5), ein Freischaltungszustand einer vorbestimmten Überwachungskomponente (6) von einer Rechteverwaltungseinheit (9) der Steuervorrichtung (2) abgefragt wird , wobei die Überwachungskomponente (6) den Container (5) und/oder die Anwendungssoftware (4) umfasst, der Container (5) durch die Steuereinheit (3) nur betrieben wird, wenn die Überwachungskomponente (6) in der Rechteverwaltungseinheit (9) freigeschaltet wird, wobei die Freischaltung durch die Rechteverwaltungseinheit (9) geprüft wird, indem die Rechteverwaltungseinheit (9) einen Prüfwert (8) für die Überwachungskomponente (6) nach einem vorbestimmten mathematischen Verfahren berechnet, einen in der Überwachungskomponente (6) enthaltenen codierten Vergleichswert (7) mittels eines in der Rechteverwaltungseinheit (9) gespeicherten, zugeordneten digitalen Schlüssels (10) decodiert, und den Vergleichswert (7) nach der Decodierung auf eine Übereinstimmung mit dem Prüfwert (8) prüft, und die Überwachungskomponente (6) nur freischaltet, wenn der Prüfwert (8) mit dem decodierten Vergleichswert (7) übereinstimmt.
DE102018217065.7A 2018-10-05 2018-10-05 Steuervorrichtung zur Freischaltung zumindest einer Anwendungssoftware, Kraftfahrzeug und Verfahren zum Betreiben der Steuervorrichtung Pending DE102018217065A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018217065.7A DE102018217065A1 (de) 2018-10-05 2018-10-05 Steuervorrichtung zur Freischaltung zumindest einer Anwendungssoftware, Kraftfahrzeug und Verfahren zum Betreiben der Steuervorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018217065.7A DE102018217065A1 (de) 2018-10-05 2018-10-05 Steuervorrichtung zur Freischaltung zumindest einer Anwendungssoftware, Kraftfahrzeug und Verfahren zum Betreiben der Steuervorrichtung

Publications (1)

Publication Number Publication Date
DE102018217065A1 true DE102018217065A1 (de) 2020-04-09

Family

ID=69886230

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018217065.7A Pending DE102018217065A1 (de) 2018-10-05 2018-10-05 Steuervorrichtung zur Freischaltung zumindest einer Anwendungssoftware, Kraftfahrzeug und Verfahren zum Betreiben der Steuervorrichtung

Country Status (1)

Country Link
DE (1) DE102018217065A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008973A1 (de) * 2000-02-25 2001-09-06 Bayerische Motoren Werke Ag Autorisierungsverfahren mit Zertifikat
US20080148374A1 (en) * 2003-01-28 2008-06-19 Cellport Systems, Inc. Secure telematics

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008973A1 (de) * 2000-02-25 2001-09-06 Bayerische Motoren Werke Ag Autorisierungsverfahren mit Zertifikat
US20080148374A1 (en) * 2003-01-28 2008-06-19 Cellport Systems, Inc. Secure telematics

Similar Documents

Publication Publication Date Title
DE10008974B4 (de) Signaturverfahren
DE102012110499B9 (de) Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte
EP2899714B1 (de) Gesichertes Bereitstellen eines Schlüssels
DE102015209116A1 (de) Verfahren und Aktualisierungsgateway zum Aktualisieren eines eingebetteten Steuergerätes
DE102016119697A1 (de) Fahrzeugsystem und Authentifizierungsverfahren
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
DE102015209108A1 (de) Verfahren und Entscheidungsgateway zum Autorisieren einer Funktion eines eingebetteten Steuergerätes
DE112019005701T5 (de) Sichere boot-unterstützung für vorrichtungen und zugehörige systeme, verfahren und vorrichtungen
DE102012110559A1 (de) Verfahren und Vorrichtung zum sicheren Herunterladen einer Firmware unter Verwendung eines Diagnoselinkconnectors (DLC) und dem Onstar-System
EP1127756A2 (de) Autorisierungsverfahren mit Zertifikat
DE102013108020A1 (de) Authentifizierungsschema zum Aktivieren eines Spezial-Privileg-Modus in einem gesicherten elektronischen Steuergerät
DE102013205051A1 (de) Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts
DE102013108022A1 (de) Verfahren zum Aktivieren des Entwicklungsmodus eines gesicherten elektronischen Steuergeräts
DE102013105042A1 (de) Sicheres Flashprogrammieren eines sekundären Prozessors
DE102012109619A1 (de) Verfahren zum Bereitstellen einer digitalen Signatur zum Sichern einer Flash-Programmierfunktion
DE102012208834A1 (de) Authentisierung eines Produktes gegenüber einem Authentisierer
DE102016205289A1 (de) Verfahren, Prozessor und Gerät zur Integritätsprüfung von Nutzerdaten
DE112016002785T5 (de) Elektronische Steuereinheiten für Fahrzeuge
DE102016210788B4 (de) Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
DE102016200382A1 (de) Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts mit Hilfe eines digitalen Zertifikats, ein erstes und zweites Gerät sowie eine Zertifikat-Ausstellungsvorrichtung
WO2022008201A1 (de) Verfahren zur erweiterten validierung eines containerabbilds
EP3369027A1 (de) Verfahren und sicherheitsmodul zum bereitstellen einer sicherheitsfunktion für ein gerät
DE102018213616A1 (de) Kryptografiemodul und Betriebsverfahren hierfür
DE102015211540A1 (de) Verfahren, Server, Firewall, Steuergerät, und System zur Programmierung eines Steuergeräts eines Fahrzeugs
WO2018059964A1 (de) Verfahren zum gesicherten zugriff auf daten eines fahrzeugs

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication