CN105009545A - 具有能够后续通过应用程序改变的行驶行为的机动车 - Google Patents
具有能够后续通过应用程序改变的行驶行为的机动车 Download PDFInfo
- Publication number
- CN105009545A CN105009545A CN201480009820.5A CN201480009820A CN105009545A CN 105009545 A CN105009545 A CN 105009545A CN 201480009820 A CN201480009820 A CN 201480009820A CN 105009545 A CN105009545 A CN 105009545A
- Authority
- CN
- China
- Prior art keywords
- motor vehicle
- data
- dog
- watch
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/46—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Small-Scale Networks (AREA)
- Radar, Positioning & Navigation (AREA)
- Traffic Control Systems (AREA)
- Aviation & Aerospace Engineering (AREA)
- Remote Sensing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
Abstract
本发明涉及一种机动车(10),该机动车具有处理器设备(20),该处理器设备设计用于在第一通信区(K1)中执行应用程序,该机动车还具有用于车辆控制数据的存储设备(42),车辆控制数据决定机动车(10)的行驶行为。存储设备(42)被布置在机动车(10)的第二通信区(K2)中。本发明的目的在于,通过应用程序能实现对车辆控制数据进行后续的改变并且在此提供一种对车辆控制数据被不期望地篡改的保护。为此,第一通信区(K1)和第二通信区(K2)通过监控设备(16)相耦合,监控设备设计用于,在应用程序尝试将新数据从第一通信区(K1)传输至第二通信区(K2)的情况下,只有当监控设备(16)识别到新数据所引起的机动车(10)行驶行为在预定的安全标准的规定下是安全的时,才将新数据转发到第二通信区(K2)。
Description
技术领域
本发明涉及一种机动车。该机动车具有用于在机动车与车外设备——例如工厂的编程设备或者互联网的服务器——之间进行无线数据传输和/或在该机动车与另外的机动车之间进行无线数据传输的通信设备。该通信设备例如可以是移动通信模块或者Car-2-X或者Car-2-Car通信模块。此外,在按照本发明的机动车中提供如下的处理器设备,该处理器设备设计用于执行应用程序。在此,应用程序可以与车外设备通过通信设备交换数据。
背景技术
这样的车辆易受计算机病毒和另外的所谓的恶意软件影响,计算机病毒和另外的所谓的恶意软件可以从外部潜入到机动车中并且由处理器设备执行为应用程序的组成部分或者独立的恶意程序。
特别关键的是,机动车能够自主地或者至少部分自主地(驾驶)完成行驶任务。在此,行驶任务是机动车的纵向导向和/或横向导向。行驶任务例如可以包括自动的加油、停车。另外一方面,任务自动化的完成例如涉及在加油过程后通过网上支付进行支付。在未来几年中可以期待由机动车这样自动化完成任务的增长。也将有越来越多的线控驱动系统可供使用,亦即,与机械装置无关地通过电子控制设备操纵刹车和转向。控制设备的控制信号受驱动装置(原动机)综合特性曲线、传感器和软件影响。
所述类型的机动车特别易受恶意的应用程序的篡改的影响。驱动部件中和传感装置中的功能可能会由于外部的影响变得有缺陷。于是,与此相联系的是对于其他的交通参与者以及所涉及的机动车的乘客的危险。通过恶意软件可以蓄意地影响车辆行为,乘客的个人数据可以被窃取并且可以从外部访问控制回路或者综合特性曲线并且例如因此也影响线控驱动系统。
就这点而言,由文献DE 101 23 475 A1已知一种用于机动车的多媒体系统,机动车具有车载计算机,在车载计算机上安装有用于使得车辆部件与外围设备互相作用的软件。与车载计算机在逻辑上相分离地提供有应用计算机,该应用计算机允许用户对外部的多媒体服务进行访问,对此应用计算机执行相应的应用、亦即应用程序。对车辆内部网络的控制设备和另外的部件进行访问的车载计算机与和外界存在联系的应用计算机之间的隔离通过防火墙实现。如果由防火墙的相应的过滤规则所允许的话,则车载计算机和应用计算机可以通过该防火墙交换数据。
具有与外部的数据服务进行通信的应用程序的应用计算机形成第一通信区,对于第一通信区适用确定的与外部的数据服务进行数据交换用的规则。车载计算机和与其在防火墙的另外一侧上联网的控制设备形成第二通信区,从机动车的外部只有穿过防火墙才能到达该第二通信区。在应用防火墙的情况下不利的是,防火墙不对这样的恶意程序进行保护:该恶意程序能够在第一通信区中对在防火墙中被登记为允许的应用程序的应用程序进行篡改。防火墙也不对操作错误进行保护,也就是例如在机械师在工厂中借助于无恶意的应用程序穿过防火墙对第二通信区中的车载计算机进行访问以便例如重新配置控制设备时。如果在这种情况下导致配置错误,则同样地可以得出机动车的不期望的行驶行为,而这不能通过防火墙进行防止。
与Car-2-Car通信、即与另外的机动车的数据交换相关联地,存在如下的危险:该另外的机动车例如由于有故障的发射单元将对安全重要的错误信息——例如在超车行动期间的无意义的命令——传输到自身的机动车上,从而自身的机动车在该情况下停止。
发明内容
本发明的目的在于,提供一种对机动车中被不期望地篡改的保护,能够后续借助于应用程序或者甚至通过借助于车外设备和/或另外的机动车的数据连接去影响车辆的行驶行为。
该目的通过按照专利权利要求1的机动车以及专利权利要求12的方法来实现。本发明的有利的改进方案由从属权利要求给出。
在按照本发明的机动车中同样地构造有两个通信区。应用程序——该应用程序在第一通信区中由处理器设备执行——可以通过通信装置从第一通信区与车外设备和/或另外的机动车交换数据。因此处理器设备例如可以包括信息娱乐系统,该信息娱乐系统例如可以执行用于导航的应用程序并且在此例如从网络中接收当前的交通数据。数据被无线地传输,亦即前述的通信设备例如可以是移动通信模块、蓝牙接口、NFC接口(NFC:nearfieldcommunication近场通信)、WLAN接口(WLAN:Wireless Local AreaNetwork无线局域网)、WiFi接口或者Car-2-X通信单元。
与第一通信区相隔离地,在车辆的第二通信区中提供有用于车辆控制数据的存储设备,即这样的数据:通过该数据确定机动车的行驶行为。这样的车辆控制数据例如可以是用于控制设备、例如驱动装置控制设备或者线控驱动控制设备的综合特性曲线的综合特性曲线数据。并且例如可以包括用于配置传感器的参数值。车辆控制数据也可以理解为其他车辆的命令,该命令在Car-2-Car通信的框架中被接收并且可以被转发到第二通信区中的控制设备的命令存储器上。
按照本发明,两个通信区在此没有通过防火墙互相进行隔离,该防火墙总是在应用程序被授权时才允许从第一通信区中的应用程序对第二通信区的存储器中的车辆控制数据进行访问。更确切地说,在按照本发明的机动车中规定,第一和第二通信区通过监控设备——例如微控制器或者ASIC(ASIC:Application Specific Integrated Circuit专用集成电路)——相耦合,该监控设备设计用于对所传输的数据自身进行检查。也就是不会对数据的发送者、亦即应用程序进行检查,而是对数据的内容进行检查。在应用程序正尝试从第一通信区到第二通信区传输新数据时,只有在监控设备识别到新数据导致机动车的安全的行驶行为后才将该新数据转发到第二通信区中。在此,在监控设备中预定有相应的安全标准。换言之,只有符合安全标准的数据才被转发到第二通信区中。
按照本发明的机动车具有如下优点,根据其一致性或可信度与发送者无关地直接对新数据进行检查。因此机动车自身防止了如下的系统状态:该系统状态可能引起危险的行驶行为。因此,在服务机械师利用允许的应用程序无意地将错误的车辆控制数据写入第二通信区中的存储器中时,机动车自身甚至对操作错误进行保护。
相应地,第二通信区优选延伸到这样的机动车部件上:该部件对于机动车的行驶工况是必要的。于是由监控设备对所有如下的车辆控制数据进行保护,虽然一方面对车辆控制数据不期望的改变进行阻止,但是另外一方面在机动车制造后,在机动车由最终用户使用时,还能改变车辆控制数据。换言之,用于车辆通信数据的存储设备涉及所有那些位于不同的部件中的存储区域。
因此,部件例如可以是一个或者多个如下的设备:涉及行驶安全性的控制设备、用于行驶动力学控制的控制设备、用于这样的控制设备的综合特性曲线存储器、传感器、用于供电的车载电网、线控驱动控制设备、用于无人驾驶和/或自主行驶的控制设备。
安全标准可以以各种方式构成,监控设备根据安全标准检查新数据。以哪种方式构成安全标准则取决于利用安全标准检查哪种数据类型。
按照本发明的机动车的改进方案在此规定,将新数据与至少一个保存在车辆中的框架式综合特性曲线进行比较。换言之,新数据必须位于预定的取值间隔中。该取值间隔的边缘由一个或者多个综合特性曲线确定。如果用户尝试将新数据存储在第二通信区中的综合特性曲线存储器中,且新数据在作为车辆控制数据应用时导致控制值超出由至少一个综合特性曲线所规定的范围,则监控设备将阻止传输新数据到第二通信区中。该实施方式具有如下优点,用户可以始终相对自由地规定综合特性曲线的走向,在该情况下不会威胁其自身的安全性或者其他的交通参与者的安全性或者也不会由于以错误的车辆控制数据进行的运行而对机动车部件造成损坏。
而如果在机动车中存储有多个预设的、可选择的综合特性曲线,则实现了对不期望的改变的特别好的保护。监控设备于是作为虚拟交换机工作。换言之,在该情况下新数据不规定任意的新的车辆控制数据。更确切地说,监控设备设计用于,基于新数据启用一个或者多个预设的综合特性曲线,由此激活该综合特性曲线以用作机动车中的车辆控制数据。
根据一个实施方式得出一种特别灵活的、由新数据确定机动车的行驶行为的可能性,其中,监控设备设计用于,基于新数据来模拟由新数据所得出的行驶行为。用户随后可以借助于应用程序将任意的新数据从第一通信区传输到第二通信区中。监控设备于是通过模拟检查该数据是否可信。在此,只有在按照预定的可信度标准得出允许的行驶行为时才转发新数据,即作为车辆控制数据保存在第二通信区的存储设备中。将哪个可信度标准在这里作为基础在此自然取决于哪些车辆控制数据被具体地改变。在此,本领域技术人员可以借鉴那些与控制设备的运行的模拟相关联地存在的知识。
在按照本发明的机动车的改进方案中提供另外的通信区、即第三通信区。该第三通信区与第一通信区同样通过监控设备相耦合。用于与车辆和/或个人有关的、例如用于网上支付和/或网上服务的秘密数据的存储器位于第三通信区中。在此,监控设备防止未经授权地从第一通信区到第三通信区中的秘密数据的数据访问。在此,监控设备设计用于,仅利用有效的验证码才允许从第一通信区到第三通信区的数据访问。由此在交易和网上服务时、即例如在加油站自动化地支付燃油费时通过安全验证得出对机动车用户有利的帮助。验证码优选是匿名的代码,该匿名的代码不允许对操作人员的身份进行倒推。
在此,监控设备例如可以设计用于,基于交易号(TAN)方法(交易号:Transaktionsnummer)确定验证码。在此也能使用一种移动的变型、所谓的移动交易号(TAN),该移动交易号(TAN)仅在需要时产生并且例如通过SMS(短消息服务Short Message Service)提供给用户。
监控设备一方面可以设计用于,通过在第一通信区中执行的应用程序接收操作人员的验证码。换言之,例如可以通过机动车的信息娱乐系统查询PIN(个人身份数据Personal Identification Number)或者交易号(TAN)。
为了能实现外部的数据服务,例如从机动车用户的账户中自动扣款,因为该用户例如在加油站进行了加油,监控设备另外一方面可以以有利的方式设计用于,通过例如来自外部设备的网络的通信设备接收验证码,也就是不需要在机动车中的用户的辅助。
监控设备优选设计用于,在使用后或者在经过了一段确定的持续时间后更换验证码,由此使得在验证码例如被恶意软件窃取后,该验证码不能被滥用。
如所述地,本发明还包括一种方法。利用该方法监控对车辆控制数据的干预,该车辆控制数据决定机动车的行驶行为。所述方法包括由监控设备所实施的步骤,以便在第一与第二通信区之间检查新数据。在识别到尝试从第一通信区向第二通信区传输新数据的情况下,随后通过监控设备对新数据进行检查:在将新数据用作车辆控制数据时所得出的机动车行驶行为在安全标准的规定下是否是安全的,只有在新数据符合该安全标准时监控设备才允许传输。
按照本发明的方法的改进方案也属于本发明,该改进方案具有已经与按照本发明的机动车的改进方案相关联地描述过的特征。出于该原因,在此不再描述按照本发明的方法的相应的改进方案。
附图说明
以下根据具体的实施例再次阐述本发明。在此示出:
图1示出按照本发明的机动车的实施方式的数据网络的逻辑结构的示意图,和
图2示出用于阐述不同的类型的草图,图1的机动车的应用程序可以被划分到所述不同的类型中。
具体实施方式
在以下所阐述的实施例中,实施方式的所述部件分别表示本发明的单独的、可以视为互相独立的特征,这些特征分别也互相独立地进一步扩展本发明并且因此也可以单独地或者以不同于所示组合的方式视为本发明的组成部分。此外,所述的实施方式也可以通过本发明已经描述的其他特征进行补充。
在图1中示意性地示出机动车10中的数据网络12。数据网络12在所示的例子中划分为三个不同的通信区K1、K2、K3。每个通信区的特征在于,在控制设备的控制程序、应用程序或者逻辑电路之间的数据交换彼此之间在相应的通信区K1、K2、K3内分别自由地进行,亦即,没有通过另外的控制设备进行附加的监控。在通信区K1、K2、K3之一内的通信也就通过应用自身进行控制。
在此,每个通信区可以不仅包括电路技术上的部件而且还包括程序。通信区K1、K2、K3之一例如可以是一个或者多个计算机或者控制设备,该计算机或者控制设备彼此之间例如通过数据总线或者以太网进行连接。在单个计算机内也可以实现两个通信区的部分。如果例如在这些通信区之一中执行一个应用程序并且在这些通信区中的第二通信区中执行第二应用程序,则可以以已知的方式通过虚拟环境实现,例如虚拟环境能通过对操作系统的虚拟化实现,因此这两个应用程序可以在逻辑上互相隔离,于是由此同样地得出两个通信区中的隔离。对此的一个例子是同名企业的产品
相反,在通信区之间自由的数据交换是不可能的。在图1所示的例子中,在通信区K2和K3之间的直接的通信由通信界限14甚至完全地禁止。换言之,不存在通信连接、例如通信线缆,通过该通信线缆可以在通信区K2和通信区K3之间交换数据。但是,通信区K1不仅与通信区K2而且也与通信区K3通过监控设备16相连接。由此实现以下进一步阐述的、在这些通信区之间的数据交换,该数据交换不是自由地、而是受监控地运行的。
在通信区K1中例如可以设有人机接口(HMI)或者简称机动车10的接口20,例如该接口可以通过娱乐信息系统或者其所属的屏幕实现。驾驶员18可以通过接口20使用机动车10的已知的数据服务,即例如收听广播、导航、操作舒适性电子仪器。在通信区K1中也可以安装通信单元22用于与车辆环境进行数据交换(EXTERN COMM外部通信)。例如通信单元22可以包括Car-2-X通信单元、移动电话、无线局域网(WLAN)或者WiFi通信模块。借助于通信单元20特别是可以提供一种与互联网26的数据连接24。由此能实现在通信区K1的应用程序与互联网26的外部的数据服务器、即互联网服务器28之间的数据交换。在此,机动车10通过已知的、传统的保护协议对从外部通过数据连接24的未经授权的访问进行屏蔽,但是保护协议的详细的实现方式不是本发明的主题并且因此在此不进行描述。
通信区K2例如可以包括车辆内部的通信网络42(INTERN COMM内部通信),通过该通信网络使得传感器44(SENS)、控制设备46(ECU)和综合特性曲线存储器48(MAP)互相连接。当然部件44、46、48自身也作为通信区K2的组成部分。每个部件44、46、48可以包括一个自身的用于车辆控制数据的存储器。通过对合适的控制数据的相应的存储可以改变部件44、46、48的运行行为。这在机动车10的情况下也可以在机动车10已经交付给用户后实现。
为了改变运行行为可以规定,例如在综合特性曲线存储器48中存储有多个不同的、用于调整机动车10的行驶行为的综合特性曲线,但是仅暂时地激活该综合特性曲线之一。通过虚拟交换机S(VIRT.SWITCH)随后可以在这些综合特性曲线之间进行切换并且由此改变机动车10的行驶行为。这样的综合特性曲线例如可以是驱动装置控制特性曲线。于是,通过在两个不同的特性曲线之间进行更换可以改变机动车10的驱动装置控制设备的操控方法。在此,借助于虚拟交换机S的切换可以通过相应的控制命令得到实现。例如由机动车制造商根据行驶动力学数据包相应的购买将控制命令例如从互联网服务器28通过数据连接24发送到虚拟交换机S上。虚拟交换机S例如可以包括程序模块,该程序模块在综合特性曲线存储器48中可以将当前的综合特性曲线标记为无效并且将所选择的综合特性曲线标记为新的有效的综合特性曲线。
只要尝试将该控制命令从通信区K1传输到通信区K2中,则由监控设备16再次进行识别并且随后首先检查,是否切换至一个有效的特性曲线。如果例如切换命令由经授权的互联网服务器28发出,则该切换命令由监控设备16识别为有效。
只有当监控设备16已经验证了切换命令的有效性时,才将切换命令转发到虚拟交换机S上。同样地,在传感器44和控制设备46中存储有多个参数记录,可以借助于虚拟交换机S在这些参数记录之间进行切换,虚拟交换机可以包括用于这些部件44、46的相应的程序模块或者逻辑电路。
存储设备30可以位于通信区K3中,秘密数据(DATA)可以存储在该存储设备中,存储设备与例如互联网服务器28的交换仅在用户18同意的情况下或者仅在互联网服务器28之前被授权的情况下进行。秘密数据例如可以包括车牌号34(CAR DATA)、个人数据36(PERS DATA)——例如账号、以及关于当前车辆状态38(CAR PARAM)的参数值。在所示的例子中只有在由访问的应用或者用户18输入正确的交易号(TAN)40时才能从通信区K1访问秘密数据32。这通过监控设备16进行检查。监控设备16在此例如可以通过微控制器、专用集成电路(ASIC)或者也可以通过程序模块进行实现,通过程序模块引导通信区K1和通信区K3之间的数据通信。
原则上通过所描述的数据网络12的结构阻止,控制命令和/或恶意程序对机动车10的控制设备46、传感器44和综合特性曲线48进行直接的访问。通过通信区K1、K2、K3得出机动车10外部和内部的所期望和受保护的通信的不同的等级。由此阻止了机动车10外部的访问例如导致机动车10的关断(所谓的故障安全控制)和/或对行驶行为持久的影响。
为了避免恶意程序无意地间接地对通信区K2或K3进行不期望的访问,各个应用情况可以被划分在多个行动类型中,从而对于每个行动类型可以提供特殊的通信策略。特别地优选考虑以下应用情况:机动车10的无人驾驶/自主行驶(独立地由控制设备进行纵向导向和/或横向导向)、车辆的远程控制——例如在停车场内的呼叫功能的范围内、以及机动车自动化的停车和驶离停车场、自动化的充电过程和加油过程、用于服务(加油或对互联网26的信息数据的订购)的支付功能、用于加载与车辆有关的程序启用和应用程序的互联网访问、用于加载与信息娱乐系统有关的参数或者内容的互联网访问、Car-2-X功能。
以下四种类型证明为合适的行动类型,与该类型有关地提供图2以用于进行阐述。第一行动类型C1包括实际的车辆控制,通过实际的车辆控制确定机动车10的行驶行为。该行动类型C1涉及如下的数据和控制命令,该数据和控制命令必须受到最大程度的保护。否则将威胁乘客和其他的交通参与者的安全。下一个行动类型C2涉及车辆数据的交换,如车辆数据可以是秘密数据32的组成部分,即车辆数据24以及车辆参数38。另外一个行动类型C3涉及个人数据以及车辆身份数据的交换。最后可以规定行动类型C4,在该行动类型中数据和所涉及的服务的交换,例如涉及互联网服务,在该情况下不需要用户18、机动车10的身份或者甚至不需要存储设备32中的控制数据。该行动类型C4需要的保护程度最小。
如在图1中所示,在车辆内来自不同行动类型的应用程序每当期望访问不同行动类型的数据时潜入不同的通信区K2、K3中。如果例如来自行动类型C2(车辆数据的交换)的应用程序——该应用程序例如通过接口20在通信区K1中执行——想要访问自身的关键的、关于车辆的数据34、38,则因此必须访问通信区K3中的存储设备30。在这种情况下,由监控设备16对应用程序进行监控。监控设备16以所述的方式在此安装在通信区K1和其余的通信区K2、K3之间。在此,监控设备16的任务根据通信区K2、K3进行改变。只要机动车10和服务商、例如互联网服务器28之间的交易号(TAN)40被调整为认可的,关于至通信区K3或者从通信区K3中出来的传输的任务就涉及开启数据访问。在通信区K2方面例如可以确保,由机动车10接收的新的综合特性曲线数据,利用在机动车10中保存的、亦即存储的综合特性曲线进行调整。如果调整明显导致矛盾,亦即,新的综合特性曲线数据在控制机动车10时可能会导致控制值超出允许的范围,则新的综合特性曲线数据将不在通信区K2中存储。
通信区K1是最不安全的通信区。在此例如用户18能对在通信区K1内提供的车辆功能进行直接的访问。用户18如今通常可以通过预选,例如通过接口20,例如通过按下物理按钮或通过选择相应的菜单项激活这些功能。
通信区K2包含所有的传感器、控制设备、车载电网以及其他的用于机动车10行驶工况所需的部件。首先,在线控驱动技术的情况下或者在机动车10的无人驾驶/自主行驶的情况下,该区域构成机动车10的运行安全性的核心部件。在通信区K2中安装有对安全重要的控制设备和所需要的综合特性曲线。
在通信区K3中优选提供用于任务的数据,任务与服务以及与此所需的秘密数据32的交换相联系,即如自动化的支付、利用电能给机动车10充电以及加油。在此例如账户的接入数据可以设置为个人数据36,账户可以仅设计用于在加油或者充电时自动化的支付过程。在此用户不必将其实际的转账帐户的个人账户数据存储在存储设备30中。
关于对交易号(TAN)40的查询是一种如下的可能的实现方案,即类似于如在已知的网上银行中所实施的一样。换言之,机动车制造商例如可以对机动车10提供一种交易号(TAN)的安全替代以用于安全的鉴定。交易号(TAN)和类似的授权机制的应用具有附加的优点,鉴定是匿名的并且可以用于所有的支付和服务。在使用确定的交易号(TAN)后或者在授权交易号(TAN)后运行确定的持续时间后机动车10优选更换到下一个独立的交易号(TAN)。
通过虚拟交换机S得出机动车10的对于错误控制数据的附加自身保护。如果行动是经监控设备16所同意的,则新数据从通信区K1到达通信区K2中。因此不存在例如对综合特性曲线存储器48或者传感器44和控制设备46的其余的参数存储器的直接的访问。因此不能在部件44、46、48中存储任意的、并且因此可能错误的车辆控制数据。代替直接的访问——该直接的访问用于加载新的综合特性曲线或者改变存在的综合特性曲线,虚拟交换机S仅对这样的综合特性曲线进行启用,该综合特性曲线例如由机动车制造商或者通过经销商提前安装在通信区K2中。即使在无意地切换到错误的车辆控制数据记录时,仍然涉及这样的车辆控制数据,该车辆控制数据由机动车制造商或者经销商以专业人员技术检查过。
通过按照本发明的机动车实现了重要的功能和控制命令相对机动车外部的访问的隔离。机动车10在交易和服务时通过安全验证辅助操作人员18。如果机动车制造商提供不同的扩展,例如以扩展的用于机动车控制的综合特性曲线的形式提供可购买的行驶动力学数据包,则因此综合特性曲线可以在机动车的制造商处或者事后安全地在机动车10中安装或者激活。尽管如此综合特性曲线在该方式中可能被无意或者意外地篡改,以致于产生机动车10的不安全的行驶行为。总体上这在原则上由此实现,在通信区K3中每个访问例如必须由用户18确认(通过TAN/PIN输入启用)并且与通信区K2相关联地对新数据进行可信度测试。这在所述的方式中可以通过存储器可选择的综合特性曲线实现或者也可以通过对新接收到的程序进行模拟实现,通过该模拟能够识别对车辆控制的影响。只有在模拟得出可信的行驶行为时,虚拟交换机S才切换到新数据。
Claims (12)
1.一种机动车(10),该机动车具有:
-通信设备(22),用于在机动车(10)与车外设备(28)之间进行无线数据传输和/或在该机动车与另外的机动车之间进行无线数据传输,
-处理器设备(20),该处理器设备设计用于在第一通信区(K1)中执行应用程序,第一通信区设计用于通过通信设备(22)在应用程序与车外设备(28)之间和/或在该应用程序与另外的机动车之间进行数据交换,以及
-用于车辆控制数据的存储设备(42),车辆控制数据决定机动车(10)的行驶行为,其中,存储设备(42)被布置在机动车(10)的第二通信区(K2)中,
其特征在于,
所述第一通信区(K1)和第二通信区(K2)通过监控设备(16)相耦合,监控设备设计用于,在应用程序尝试将新数据从第一通信区(Kl)传输至第二通信区(K2)的情况下,只有当监控设备(16)识别到新数据所引起的机动车(10)行驶行为在预定的安全标准的规定下是安全的时,才将新数据转发到第二通信区(K2)。
2.根据权利要求1所述的机动车(10),其中,所述监控设备(16)设计用于,将新数据与至少一个保存在机动车(10)中的框架式综合特性曲线进行比较,如果新数据在作为车辆控制数据应用时导致控制值超出由至少一个框架式综合特性曲线所规定的允许范围,则阻止新数据的传输。
3.根据权利要求1或2所述的机动车(10),其中,所述第二通信区(K2)包括至少一个对于机动车的行驶工况必要的部件(44、46、48),该部件通过用于接收新数据的监控设备(16)与第一通信区(K1)相耦合,并且存储设备(42)至少部分地包括所述部件。
4.根据权利要求3所述的机动车(10),其中,所述至少一个部件(44、46、48)包括:涉及行驶安全性的控制设备(46)、用于行驶动力学控制的控制设备(46)、用于这样的控制设备的综合特性曲线存储器(48)、传感器(44)、用于供电的车载电网、线控驱动控制设备(46)、用于无人驾驶和/或自主行驶的控制设备(46)。
5.根据上述权利要求中任一项所述的机动车(10),其中,在机动车(10)中存储有多个预设的、可选择的综合特性曲线,所述监控设备设计用于,基于新数据启用至少一个预设的综合特性曲线并且由此激活该综合特性曲线以用作机动车中的车辆控制数据。
6.根据上述权利要求中任一项所述的机动车(10),其中,所述监控设备(16)设计用于,基于新数据来模拟由新数据所得出的行驶行为,只有在按照预定的可信度标准得出允许的行驶行为时才转发新数据。
7.根据上述权利要求中任一项所述的机动车(10),其中,在机动车(10)中,设有通过监控设备(16)与第一通信区(K1)相耦合的第三通信区(K3),该第三通信区带有用于与车辆和/或个人有关的、用于网上支付和/或网上服务的秘密数据(32)的存储器(30),其中,所述监控设备(16)设计用于,仅利用有效的验证码(40)才允许从第一通信区(K1)到第三通信区(K3)的数据访问。
8.根据权利要求7所述的机动车(10),其中,所述监控设备(16)设计用于,通过在第一通信区(K1)中执行的应用程序接收操作人员(18)的验证码(40)。
9.根据权利要求7或8所述的机动车(10),其中,所述监控设备(16)设计用于,通过通信设备(22)从外部设备接收验证码(40)。
10.根据权利要求7至9中任一项所述的机动车(10),其中,所述监控设备(16)设计用于,基于交易号方法确定验证码(40)。
11.根据权利要求7至10中任一项所述的机动车(10),其中,所述监控设备(16)设计用于,在使用后或者在经过了一段确定的持续时间后更换验证码(40)。
12.一种用于监控对车辆控制数据的干预的方法,所述车辆控制数据决定机动车(10)的行驶行为,其中,
-通过监控设备(16)对第一通信区(K1)与第二通信区(K2)之间的连接进行监控,在该第一通信区中执行提供用于改变车辆控制数据的新数据的应用程序,在该第二通信区中车辆控制数据被存储在存储设备(42)中,在识别到尝试从第一通信区(K1)向第二通信区(K2)传输新数据的情况下,随后通过监控设备(16)对新数据进行检查:在将新数据用作车辆控制数据时所得出的机动车(10)行驶行为在安全标准的规定下是否是安全的,只有在新数据符合该安全标准时监控设备才允许传输。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102013003040.4A DE102013003040B4 (de) | 2013-02-22 | 2013-02-22 | Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten sowie Verfahren hierzu |
| DE102013003040.4 | 2013-02-22 | ||
| PCT/EP2014/000407 WO2014127897A1 (de) | 2013-02-22 | 2014-02-14 | Kraftfahrzeug mit nachträglich per anwendungsprogramm veränderbarem fahrverhalten |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105009545A true CN105009545A (zh) | 2015-10-28 |
| CN105009545B CN105009545B (zh) | 2016-12-28 |
Family
ID=50179549
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480009820.5A Active CN105009545B (zh) | 2013-02-22 | 2014-02-14 | 具有能够后续通过应用程序改变的行驶行为的机动车 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9560061B2 (zh) |
| EP (1) | EP2959655B1 (zh) |
| CN (1) | CN105009545B (zh) |
| DE (1) | DE102013003040B4 (zh) |
| WO (1) | WO2014127897A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109905454A (zh) * | 2017-12-08 | 2019-06-18 | 丰田自动车株式会社 | 车辆的远程操作系统 |
| CN113474739A (zh) * | 2019-02-19 | 2021-10-01 | 戴姆勒股份公司 | 控制装置和接管控制方法 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102013003040B4 (de) | 2013-02-22 | 2015-11-12 | Audi Ag | Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten sowie Verfahren hierzu |
| CN106233353A (zh) * | 2014-05-29 | 2016-12-14 | 英派尔科技开发有限公司 | 远程驾驶辅助 |
| CN105812403A (zh) * | 2014-12-29 | 2016-07-27 | 中国移动通信集团公司 | 一种信息发布方法及装置 |
| SE540856C2 (en) | 2015-06-17 | 2018-12-04 | Scania Cv Ab | System and Method for Remote-Controlled Installation of Software in Motor Vehicles |
| DE102016200385A1 (de) | 2016-01-14 | 2017-07-20 | Ford Global Technologies, Llc | Kraftfahrzeug mit einer Kommunikationseinrichtung |
| AT518850B1 (de) * | 2016-07-13 | 2021-11-15 | Avl List Gmbh | Verfahren zur simulationsbasierten Analyse eines Kraftfahrzeugs |
| DE102016219134B4 (de) * | 2016-10-04 | 2024-05-16 | Volkswagen Aktiengesellschaft | Verfahren zum Zugriff auf ein fahrzeugexternes elektronisches Gerät |
| US11414050B2 (en) * | 2017-08-02 | 2022-08-16 | Ford Global Technologies, Llc | Multimode vehicle proximity security |
| US11117484B2 (en) * | 2018-05-09 | 2021-09-14 | Byton Limited | Safe and secure charging of a vehicle |
| DE102018209251A1 (de) * | 2018-06-11 | 2019-12-12 | Bayerische Motoren Werke Aktiengesellschaft | Fahrzeug, System, Verfahren zum Austausch eines Steuergeräts eines Pkw und computerlesbares Speichermedium |
| US11368471B2 (en) * | 2019-07-01 | 2022-06-21 | Beijing Voyager Technology Co., Ltd. | Security gateway for autonomous or connected vehicles |
| DE102021106282A1 (de) | 2021-03-15 | 2022-09-15 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren und Vorrichtung zur Überwachung der Interaktion zwischen einer SW-Anwendung und einer Fahrzeug-Komponente |
| US20220340160A1 (en) * | 2021-04-21 | 2022-10-27 | Argo AI, LLC | Systems and methods for simulation supported map quality assurance in an autonomous vehicle context |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030117298A1 (en) * | 2000-06-30 | 2003-06-26 | Masahiro Tokunaga | On-vehicle gateway |
| US20060190648A1 (en) * | 2005-02-16 | 2006-08-24 | Markus Larisch | Secure local network |
| US20100098095A1 (en) * | 2008-10-20 | 2010-04-22 | Seiya Kato | Routing method in in-vehicle gateway device |
| US20110218701A1 (en) * | 2009-11-05 | 2011-09-08 | Airbus Operations (S.A.S.) | Method and device for configuring an on-board maintenance information system in an aircraft |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6292718B2 (en) | 1999-01-28 | 2001-09-18 | International Business Machines Corp. | Electronic control system |
| DE19925570C2 (de) | 1999-06-04 | 2001-05-31 | Daimler Chrysler Ag | Kommunikationssystem für ein Fahrzeug |
| DE20014381U1 (de) * | 2000-08-21 | 2000-11-30 | Rent A Brain Gmbh | Vorrichtung zur Legitimationsprüfung |
| DE10123475A1 (de) | 2001-05-15 | 2002-11-21 | Volkswagen Ag | Multimediasystem für ein Fahrzeug |
| US6714894B1 (en) * | 2001-06-29 | 2004-03-30 | Merritt Applications, Inc. | System and method for collecting, processing, and distributing information to promote safe driving |
| DE10307342B4 (de) | 2003-02-21 | 2005-08-11 | Volkswagen Ag | Vorrichtung und Verfahren zur modellbasierten On-Board-Diagnose |
| DE102005028663A1 (de) | 2005-06-15 | 2006-12-21 | Volkswagen Ag | Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner |
| AT8090U3 (de) * | 2005-09-28 | 2006-09-15 | Avl List Gmbh | Verfahren zur selbstdiagnose von versuchsanordnungen sowie versuchsanordnung, insbesonders prüfstand |
| DE102005060902A1 (de) * | 2005-12-20 | 2007-06-28 | Robert Bosch Gmbh | Steuergerät für eine Maschine |
| WO2007113809A2 (en) * | 2006-03-30 | 2007-10-11 | Saban Asher S | Protecting children and passengers with respect to a vehicle |
| US20070271079A1 (en) * | 2006-05-17 | 2007-11-22 | Kentaro Oguchi | Simulator for Vehicle Radio Propagation Including Shadowing Effects |
| US8117049B2 (en) * | 2007-04-10 | 2012-02-14 | Hti Ip, Llc | Methods, systems, and apparatuses for determining driver behavior |
| EP2438734A2 (de) | 2009-06-04 | 2012-04-11 | Continental Teves AG & Co. oHG | Schnittstelleneinrichtung, mit einer schnittstelleneinrichtung ausgestattete fahrzeug-kommunikationseinheit und verwendung einer fahrzeug-kommunikationseinheit in der fahrzeug-zu-umgebung-kommunikation |
| US9315195B2 (en) * | 2009-10-20 | 2016-04-19 | Cartasite, Inc. | Driver, vehicle, and operational analysis |
| DE102010008816A1 (de) | 2010-02-22 | 2011-08-25 | Continental Automotive GmbH, 30165 | Verfahren zur Online-Kommunikation |
| US8819414B2 (en) * | 2010-04-19 | 2014-08-26 | GM Global Technology Operations LLC | Threat mitigation in a vehicle-to-vehicle communication network |
| US9489782B2 (en) * | 2010-07-28 | 2016-11-08 | Hand Held Products, Inc. | Collect vehicle performance with a PDT |
| US8863256B1 (en) * | 2011-01-14 | 2014-10-14 | Cisco Technology, Inc. | System and method for enabling secure transactions using flexible identity management in a vehicular environment |
| US20120191476A1 (en) * | 2011-01-20 | 2012-07-26 | Reid C Shane | Systems and methods for collection, organization and display of ems information |
| US9164957B2 (en) * | 2011-01-24 | 2015-10-20 | Lexisnexis Risk Solutions Inc. | Systems and methods for telematics monitoring and communications |
| US9786009B2 (en) * | 2011-11-29 | 2017-10-10 | Hartford Fire Insurance Company | System and method for administering a telematics-enabled test drive dealer program |
| US20130212659A1 (en) * | 2012-02-13 | 2013-08-15 | Intertrust Technologies Corporation | Trusted connected vehicle systems and methods |
| US9852636B2 (en) * | 2012-05-18 | 2017-12-26 | International Business Machines Corproation | Traffic event data source identification, data collection and data storage |
| DE102013003040B4 (de) | 2013-02-22 | 2015-11-12 | Audi Ag | Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten sowie Verfahren hierzu |
-
2013
- 2013-02-22 DE DE102013003040.4A patent/DE102013003040B4/de not_active Expired - Fee Related
-
2014
- 2014-02-14 US US14/768,571 patent/US9560061B2/en active Active
- 2014-02-14 EP EP14706479.4A patent/EP2959655B1/de active Active
- 2014-02-14 CN CN201480009820.5A patent/CN105009545B/zh active Active
- 2014-02-14 WO PCT/EP2014/000407 patent/WO2014127897A1/de active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030117298A1 (en) * | 2000-06-30 | 2003-06-26 | Masahiro Tokunaga | On-vehicle gateway |
| US20060190648A1 (en) * | 2005-02-16 | 2006-08-24 | Markus Larisch | Secure local network |
| US20100098095A1 (en) * | 2008-10-20 | 2010-04-22 | Seiya Kato | Routing method in in-vehicle gateway device |
| US20110218701A1 (en) * | 2009-11-05 | 2011-09-08 | Airbus Operations (S.A.S.) | Method and device for configuring an on-board maintenance information system in an aircraft |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109905454A (zh) * | 2017-12-08 | 2019-06-18 | 丰田自动车株式会社 | 车辆的远程操作系统 |
| CN113474739A (zh) * | 2019-02-19 | 2021-10-01 | 戴姆勒股份公司 | 控制装置和接管控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105009545B (zh) | 2016-12-28 |
| US9560061B2 (en) | 2017-01-31 |
| US20160006752A1 (en) | 2016-01-07 |
| EP2959655B1 (de) | 2016-12-21 |
| DE102013003040B4 (de) | 2015-11-12 |
| WO2014127897A1 (de) | 2014-08-28 |
| DE102013003040A1 (de) | 2014-08-28 |
| EP2959655A1 (de) | 2015-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105009545B (zh) | 具有能够后续通过应用程序改变的行驶行为的机动车 | |
| CN106878008B (zh) | 一种车载T‑Box与用户手机信息交互安全认证系统及方法 | |
| CN106034127B (zh) | 用于提供车辆安全服务的方法和系统 | |
| CN111480314A (zh) | 安全的车辆控制单元更新 | |
| KR101480605B1 (ko) | 차량 네트워크 접속 장치 및 그 접속 제어 방법 | |
| US20140032800A1 (en) | Vehicle message filter | |
| CN109040285B (zh) | 车载网络安全认证的方法、装置、存储介质及车辆 | |
| CN107851166A (zh) | 用于运行机动车的方法和系统 | |
| CN105103150A (zh) | 在车辆中共用的智能天线 | |
| CN106385405A (zh) | 一种汽车激活方法 | |
| CN112448998A (zh) | 分布式车辆网络访问授权 | |
| Dobaj et al. | Cybersecurity Threat Analysis, Risk Assessment and Design Patterns for Automotive Networked Embedded Systems: A Case Study. | |
| Winsen | Threat modelling for future vehicles: on identifying and analysing threats for future autonomous and connected vehicles | |
| US11783302B2 (en) | Authorization of vehicle repairs | |
| KR20150089697A (ko) | 모바일 단말을 이용한 스마트 카 보안 시스템 및 그 방법 | |
| US20210086790A1 (en) | Method for driving a motor vehicle in at least partially automated fashion | |
| CN109917775A (zh) | 一种汽车安全网关数据传输方法及电子设备 | |
| CN115706676A (zh) | 在车辆的控制器之间进行可信的数据传输的方法、具有控制器的组件、计算机程序和车辆 | |
| US11956096B2 (en) | Automotive, naval, and aircraft bus-emulator | |
| WO2021019637A1 (ja) | セキュリティ装置、サーバ装置、セキュリティシステム、及びセキュリティ機能設定方法 | |
| EP3334198B1 (en) | Secure control of automotive systems using mobile devices | |
| US20160021689A1 (en) | Method for connecting wireless terminal to vehicle | |
| CN108173806A (zh) | 汽车的分布式网络系统、隔离装置、报文传输方法和汽车 | |
| WO2015084232A1 (en) | Installation of wireless nodes in motor vehicles | |
| CN102104595A (zh) | 网络组件安全系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |