Die Erfindung betrifft ein Verfahren zur Bereitstellung von Daten eines Fahrzeuggeräts, insbesondere bei der Kommunikation zwischen stationären Kommunikationsanlagen an Verkehrswegen und dem Fahrzeuggerät, in das sich ändernde Daten, insbesondere Gebührenguthaben bzw. -kredit, mittels eines transportablen Datenträgers, insbesondere einer Chipkarte, eingegeben werden.
Insbesondere bei Systemen zur automatischen Gebührenerhebung kommen im Fahrzeug Fahrzeuggeräte zum Einsatz, die eine Chipkarte aufnehmen können. Die Chipkarte beherbergt empfindliche Daten. Hierzu gehören Gebührenguthaben bzw. -kredit, Personen bezogene und geheime Daten, wie beispielsweise Schlüssel zur Verschlüsselung der ausgetauschten Nachrichten und zur gegenseitigen Authentifizierung mit der Abbuchungsstation. Die Chipkarte ist daher als "Trusted Device" ausgeführt, d.h. die Daten können nur von autorisierten Kommunikationspartnern ausgelesen bzw. geändert werden, insbesondere von Auf- und Abbuchungsstationen. Änderungen am Betriebssystem und an der Software der Chipkarte sind nicht möglich.
Für die automatische Gebührenerhebung können bereitgestellte Daten des Fahrzeuggeräts beispielsweise auf stationäre Kommunikationsanlagen an Verkehrswegen übertragen, aber alternativ auch im Fahrzeuggerät selbst verarbeitet werden. Für die automatische Gebührenerfassung spielen auch Daten eine Rolle, die nicht auf einer Chipkarte gespeichert werden sollten, da die Daten an ein bestimmtes Fahrzeug gebunden sind. Beispiele hierfür sind die ggfs. gebührenrelevante Kfz-Klasse oder die Information über den Halter des Fahrzeugs, was insbesondere bei einem Post Payment-Verfahren, in dem die Nutzungsgebühr später von einem Konto abgebucht wird, von Bedeutung ist.
Wollte man diese Daten direkt in dem Fahrzeuggerät ablegen, müssten sie vor Manipulationen geschützt werden, da die Daten unmittelbar Einfluss auf die Gebührenhöhe (z.B. Kfz-Klasse) haben können oder andere Missbrauchsmöglichkeiten eröffnen (z.B. "freie Fahrt"-Kodierung in Polizei- und Rettungsfahrzeugen). Es wäre daher möglich, auch das Fahrzeuggerät als "Trusted Device" auszuführen, d.h. die mechanische Hülle und das Betriebssystem so auszulegen, dass Manipulationen oder Auslesen von bestimmten Daten nicht möglich ist. Dieses Verfahren wäre sehr teuer und unflexibel, da nach Änderungen immer eine neue Zertifizierung des Geräts erfolgen müsste.
Die der Erfindung zu Grunde liegende Problemstellung besteht somit darin, die für eine automatische Gebührenerhebung erforderlichen Daten in Fahrzeuggeräten manipulationssicher ablegen zu können, ohne teure und unflexible Verfahren anwenden zu müssen.
Ausgehend von dieser Problemstellung ist ein Verfahren der eingangs erwähnten Art erfindungsgemäss dadurch gekennzeichnet, dass ein Teil der Daten, der auf das Fahrzeug bezogen ist, mithilfe einer speziellen Fahrzeuggerät-Konfigurationsstation in verschlüsselter oder durch einen Schlüssel ergänzter Form in das Fahrzeuggerät eingegeben wird, dass der andere Teil der Daten auf dem transportablen Datenträger gespeichert wird und dass der transportable Datenträger mit einem Entschlüsselungscode für die Fahrzeugdaten in der Fahrzeuggerät-Konfigurationsstation versehen wird, sodass beim Zusammenwirken des transportablen Datenträgers mit dem Fanrzeuggerät die verschlüsselten Fahrzeugdaten in den transportablen Datenträger übertragen und entschlüsselt bereitgestellt werden.
Das erfindungsgemässe Verfahren sieht somit eine Trennung der Daten vor, wobei die Ablage der auf das Fahrzeug bezogenen Fahrzeugdaten im Fahrzeuggerät durch Fahrzeuggerät-Konfigurationsstationen in verschlüsselter Form mit einem geheimen Schlüssel erfolgen kann. Dies kann direkt durch die Fahrzeuggerät-Konfigurationsstation oder mithilfe von speziellen Konfigurationschipkarten geschehen. Die Fahrzeuggerätdaten können auch von dieser Station unter Verwendung eines geheimen Schlüssels mit einer elektronischen Unterschrift versehen werden, z.B. indem eine Checksumme über diese Fahrzeugdaten gebildet wird und anschliessend die Fahrzeugdaten plus Checksumme verschlüsselt werden. Vertrauliche Daten werden ggfs. mit einem zweiten Schlüssel verschlüsselt.
Die transportablen Datenträger, die später mit den Fahrzeuggeräten zusammenwirken, erhalten bei ihrer Initialisierung den zum geheimen Schlüssel der Fahrzeuggeräte-Konfigurationsstation passenden Schlüssel. Die Ablage dieser Schlüssel erfolgt im geschützten Speicherbereich der transportablen Datenträger, insbesondere Chipkarten, ist also nicht manipulierbar.
Wenn der transportable Datenträger mit dem Fahrzeuggerät zusammenwirkt, beispielsweise die Chipkarte in das Fahrzeuggerät eingesteckt wird, werden die gesicherten Fahrzeugdaten in den transportablen Datenträger transferiert. Zweckmässigerweise wird eine Integritäts- und Authentizitätsprüfung vorgenommen. Sind die Fahrzeugdaten gemäss dieser Prüfung nicht integer oder nicht authentisch, stammen sie also nicht von der Fahrzeuggerät-Konfigurationsstation, wird das Fahrzeuggerät mit dem transportablen Datenträger nicht bzw. nicht voll funktionsfähig gemacht. Jede Applikation, die eine uneingeschränkte Beteiligung des transportablen Datenträgers erfordert, also insbesondere die automatische Gebührenerhebung, kann nicht mehr stattfinden.
Das Prüfungsverfahren kann nicht durch Manipulationen umgangen werden, wenn - wie üblich - der transportable Datenträger ein "Trusted Device" ist.
Durch das erfindungsgemässe Verfahren sind die Fahrzeugdaten gegen Manipulationen geschützt. Allerdings wäre es denkbar, die Fahrzeugdaten zu kopieren, insbesondere solche Fahrzeuggerätedaten, die besondere Privilegien vermitteln, wie sie beispielsweise für Polizeifahrzeuge bestehen.
Vorzugsweise werden die verschlüsselten Fahrzeuggerätedaten daher mit einem eindeutigen Identifikationscode, beispielsweise in Form einer Identifikationsnummer oder einer aus dem Kraftfahrzeugkennzeichen abgeleiteten Prüfnummer, abgespeichert. Die von den stationären Kommunikationsanlagen an den Verkehrswegen aufgenommenen Identifikationscodes können dann jederzeit daraufhin überprüft werden, ob gleiche Identifikationscodes parallel auftreten oder die Prüfnummer zum vorzugsweise optoelektronisch erfassten Kraftfahrzeugkennzeichen passt, wodurch etwaige kopierte Fahrzeuggerätedaten entdeckt werden können. Die entsprechenden Identifikationscodes können durch die stationären Kommunikationsanlagen gesperrt oder manipuliert werden, sodass entweder die betreffenden Fahrzeuge oder die entsprechenden Chipkarten aufgespürt werden können.
Eine beispielhafte Konfiguration zur Durchführung des erfindungsgemässen Verfahrens ist schematisch in der beigefügten einzigen Figur der Zeichnung dargestellt.
In ein Fahrzeuggerät 1 ist ein erster Teil von Applikationsdaten in einem ggfs. geschützt ausgeführten Speicherbereich 2 in verschlüsselter Form eingegeben. Die Eingabe kann direkt in speziellen Fahrzeuggerät-Konfigurationsstationen erfolgt sein, ist aber auch mit speziellen transportablen Datenträgern, wie spezielle Konfigurationschipkarten, möglich. Das Fahrzeuggerät enthält ferner ein Anwendungsprogramm 3, mit dem eine Kommunikation zu einer externen Applikation 4 erfolgen kann. Die Kommunikation ist insbesondere mit stationären Kommunikationsanlagen an Verkehrswegen möglich. Es ist allerdings auch denkbar, eine Gebührenerhebung "autonom" im Fahrzeuggerät 1 vorzunehmen, indem mittels Satellitennavigation die Position des Fahrzeuggeräts 1 bestimmt und eine Zahlung ggf. unter Verwendung einer Chipkarte bewirkt wird.
Die Quittungen werden zu einem späteren Zeitpunkt an eine entsprechende Infrastruktur weitergegeben. Das Anwendungsprogramm 3 besorgt in diesem Fall die Durchführung und Auswertung der Satellitenortung und die Ausgabe der Quittungen, während die externe Applikation 4 in diesem Fall sowohl für die Kommunikation mit dem Navigationssatelliten als auch für die erwähnte Infrastruktur steht.
Die Applikationsdaten 2 des Fahrzeuggeräts, d.h. die Fahrzeugdaten, sind in der verschlüsselten Form allerdings nicht verwendbar. Ein funktionsfähiges Fahrzeuggerät 1 entsteht erfindungsgemäss erst dadurch, dass mithilfe eines beispielsweise als Chipkarte ausgeführten transportablen Datenträgers 5 ein zweiter Teil von Applikationsdaten 6 und ein Schlüssel zur Entschlüsselung der in dem geschützten Bereich des Fahrzeuggeräts 1 enthaltenen Teil-Applikationsdaten aufweist. Die Applikationsdaten 6 des transportablen Datenträgers 5 können insbesondere Gebührenguthaben bzw. Gebührenkredit enthalten, wenn die dargestellte Konfiguration für eine Gebührenerhebung verwendet werden soll.
The invention relates to a method for providing data of a vehicle device, in particular in the communication between stationary communication systems on traffic routes and the vehicle device, into which changing data, in particular fee credit or credit, are entered by means of a portable data carrier, in particular a chip card.
In the case of systems for automatic fee collection in particular, vehicle devices are used in the vehicle that can accept a chip card. The chip card houses sensitive data. This includes fee credit or credit, personal and secret data, such as keys for encrypting the exchanged messages and for mutual authentication with the debiting station. The chip card is therefore designed as a "trusted device", i.e. the data can only be read out or changed by authorized communication partners, in particular by debiting and debiting stations. Changes to the operating system and the software of the chip card are not possible.
For automatic fee collection, data provided by the vehicle device can be transmitted, for example, to stationary communication systems on traffic routes, but alternatively can also be processed in the vehicle device itself. Data that should not be saved on a chip card also play a role in automatic fee collection, since the data is linked to a specific vehicle. Examples of this are the possibly relevant vehicle class or the information about the owner of the vehicle, which is particularly important in a post payment process in which the usage fee is later debited from an account.
If you wanted to store this data directly in the vehicle device, you would have to protect it from manipulation, since the data can have a direct impact on the amount of the fee (eg vehicle class) or open up other possibilities of misuse (eg "free travel" coding in police and emergency vehicles ). It would therefore be possible to design the vehicle device as a "trusted device", i.e. to design the mechanical shell and the operating system in such a way that manipulation or reading out of certain data is not possible. This procedure would be very expensive and inflexible, since changes would always have to be re-certified.
The problem underlying the invention is therefore to be able to store the data required for automatic fee collection in a tamper-proof manner without having to use expensive and inflexible methods.
Based on this problem, a method of the type mentioned at the outset is characterized in that part of the data relating to the vehicle is entered into the vehicle device with the aid of a special vehicle device configuration station in encrypted form or supplemented by a key, in that the other part of the data is stored on the transportable data carrier and that the transportable data carrier is provided with a decryption code for the vehicle data in the vehicle device configuration station, so that when the transportable data carrier interacts with the fan vehicle device, the encrypted vehicle data is transmitted to the transportable data carrier and is decrypted .
The method according to the invention thus provides for a separation of the data, wherein the vehicle data relating to the vehicle can be stored in the vehicle device by vehicle device configuration stations in encrypted form with a secret key. This can be done directly through the vehicle device configuration station or with the help of special configuration chip cards. The vehicle device data can also be provided with an electronic signature from this station using a secret key, e.g. by creating a checksum using this vehicle data and then encrypting the vehicle data plus the checksum. Confidential data may be encrypted with a second key.
The portable data carriers that later interact with the vehicle devices receive the key that matches the secret key of the vehicle device configuration station when they are initialized. These keys are stored in the protected memory area of the transportable data carriers, in particular chip cards, and cannot therefore be manipulated.
If the transportable data carrier interacts with the vehicle device, for example the chip card is inserted into the vehicle device, the secured vehicle data are transferred to the transportable data carrier. An integrity and authenticity check is expediently carried out. If, according to this check, the vehicle data are not integer or not authentic, ie if they do not originate from the vehicle device configuration station, the vehicle device with the transportable data carrier is not made or is not fully functional. Any application that requires the portable data carrier to be fully involved, in particular automatic fee collection, can no longer take place.
The test procedure cannot be avoided by manipulation if - as usual - the portable data carrier is a "trusted device".
The vehicle data are protected against manipulation by the method according to the invention. However, it would be conceivable to copy the vehicle data, in particular vehicle device data that confer special privileges, such as exist for police vehicles, for example.
The encrypted vehicle device data are therefore preferably stored with a unique identification code, for example in the form of an identification number or a test number derived from the motor vehicle registration number. The identification codes picked up by the stationary communication systems on the traffic routes can then be checked at any time to determine whether the same identification codes occur in parallel or whether the test number matches the preferably optoelectronically recorded motor vehicle registration number, as a result of which any copied vehicle device data can be discovered. The corresponding identification codes can be blocked or manipulated by the stationary communication systems so that either the vehicles concerned or the corresponding chip cards can be tracked down.
An exemplary configuration for carrying out the method according to the invention is shown schematically in the attached single figure of the drawing.
A first part of application data is entered in encrypted form in a memory area 2, which may be protected, in a vehicle device 1. The entry can be made directly in special vehicle device configuration stations, but is also possible with special transportable data carriers, such as special configuration chip cards. The vehicle device also contains an application program 3, with which communication with an external application 4 can take place. Communication is particularly possible with stationary communication systems on traffic routes. However, it is also conceivable to carry out a charging "autonomously" in the vehicle device 1 by determining the position of the vehicle device 1 by means of satellite navigation and, if necessary, making a payment using a chip card.
The receipts will be passed on to an appropriate infrastructure at a later date. In this case, the application program 3 takes care of the implementation and evaluation of the satellite location and the issuance of the receipts, while the external application 4 in this case stands both for the communication with the navigation satellite and for the infrastructure mentioned.
The application data 2 of the vehicle device, i.e. the vehicle data, however, cannot be used in the encrypted form. According to the invention, a functional vehicle device 1 is only created if, using a portable data carrier 5, for example a chip card, has a second part of application data 6 and a key for decrypting the part application data contained in the protected area of the vehicle device 1. The application data 6 of the portable data carrier 5 can in particular contain fee credit or fee credit if the configuration shown is to be used for a fee collection.