CN107040379A

CN107040379A - 用于通过车辆的控制器认证的方法

Info

Publication number: CN107040379A
Application number: CN201610897014.7A
Authority: CN
Inventors: A.察切; T.温克尔沃斯
Original assignee: Volkswagen AG
Current assignee: Volkswagen AG
Priority date: 2015-10-16
Filing date: 2016-10-14
Publication date: 2017-08-11
Anticipated expiration: 2036-10-14
Also published as: EP3157190B1; KR20170045127A; US10425398B2; DE102015220226A1; CN107040379B; EP3157190A1; US20170111353A1; KR101909341B1

Abstract

本发明涉及一种用于通过车辆(10)的控制器(12)认证的方法。设置有如下步骤，包括至少一个公钥(30)的第一签名证书(28)和附属的私钥(32)的产生；第一签名证书(28)和附属的私钥(32)到控制器(12)中的一次性引入；第二证书的生成；在控制器(12)中的另一公钥(36,38)的借助于私钥(32)和第二证书(42)的签名；和签名的另一的公钥(36a,38a)与第一签名证书(28)一起的提供的附加。本发明目的在于，简化在车辆中的认证。

Description

用于通过车辆的控制器认证的方法

技术领域

本发明涉及一种用于通过车辆的控制器认证的方法、一种控制器以及一种车辆。

背景技术

车辆与外部位置的可信的且被保护的通讯需要到PKI(公钥基础设施)处的连结或共同密钥的预先交换。后者的交换在车辆的应用情况中尤其在预先未知的通讯对应位(Kommunikationsgegenstellen)的情况中不可使用。此外不再可预先估计在产品寿命上需要多少不同的钥匙或证书，因为这样的钥匙和证书受到时间限制且可变得无效。

在所有已知的解决方案中，必须使车辆可从外部位置给自行生成的证书签名。这虽然仅是PKI标准过程，然而以至外部的签名位置的数字连接为前提条件。然而不可假设的是，这样的连接始终可供使用。此外，在该情况中车辆须相对于签名位置可信，这带来进一步的问题。

文件DE 103 54 107 A1说明了一种相对车辆在外部的置信中心(Trustcenter)，其用于由软件提供商所提供的软件包的证实认可。

文件DE 10 2010 005 422 A1涉及一种用于构建与移动装置的安全连接的方法，该移动装置被配置用于存储在数学上相应于第一公钥的第一私钥。

文件US 2013/0 212 659 A1涉及车辆的安全且可信赖的通讯环境的简化。

发明内容

本发明现在目的在于，简化在车辆中的认证。

该目的通过根据权利要求1的方法、根据权利要求8的控制器或者根据权利要求9的车辆来实现。

根据本发明的用于通过车辆的控制器认证的方法包括如下步骤：

-包括至少一个公钥且包含车辆个体特征的第一签名证书和附属的私钥的产生；

-第一签名证书和附属的私钥到控制器中的一次性引入；

-第二证书的生成；

-在控制器中的另一公钥的借助于私钥和第二证书的签名；和

-签名的另一公钥与第一签名证书一起的提供。

根据本发明的方法所具有的优点是，车辆或者控制器此时可自行产生证书。因此不再必要的是，使该证书从外部的认证处被签名。而是车辆或车辆的控制器是其自身车辆内部的认证处或CA(认证授权(Certificate Authority))。因此，车辆与外部认证处的通讯(这使得在线连接(Onlineanbindung)多余)是不必要的。此外，车辆可自行签发任意多的证书且无须配备固定组的预签名的证书。一次性的引入可例如在制造控制器或车辆的情况中进行。那么，不再需要进一步过程来用于引入。一次性的引入还包括第一证书或者钥匙在控制器中的产生、第一证书在外部认证处中的签名和第一签名证书到控制器中的紧接着的引入。在签名中或签名后，第一证书或公钥与另一公钥一起被提供，从而在将签名的另一公钥发送到接收器处的情况中其还收到第一证书且如此可追溯完整的认证路径。

在控制器中可产生另一公钥和附属的另一私钥。控制器自身可因此产生新的钥匙对并且签名相应的公钥。两个另外的钥匙且可被用于专用应用目的，例如用于与外部服务提供方的通讯。

设置成，第一签名证书包含车辆个体特征。这例如可以是车辆识别号VIN或FIN。这使得例如在车辆生产商的车队列或车辆联合(Fahrzeugverbund)中的更容易的管理成为可能。

用于签名的另一公钥可由车辆的另一控制器传输到该控制器处。该控制器然而也可签名例如由另外的控制器从外部引入的公钥。因此，该控制器对于另一处于车辆中的控制器而言可充当认证主管(Zertifizierungsinstanz)。这所具有的优点是，该签名的功能性仅须在车辆中描绘一次。

在两个控制器之间的传输路径可通过对称加密方法(例如签名)来保护。该对称加密钥优选在另一公钥和签名的另一公钥的交换之前被建立。这所具有的优点是，该公钥的完备性、也就是说无错性(Unverfälschtheit)始终被确保。

可设置成，签名的另一公钥和附属的另一私钥被用于构建控制器与新的通讯参与者的安全通讯。签名的另一公钥和附属的另一私钥被明确地生成和利用于其相应的使用目的，例如用于与外部服务提供方的在线服务的通讯。

第一签名证书和附属的私钥可通过外部的公钥基础设施来产生。这在当到Rahmen-PKI(公钥基础设施)中的连结被确保，从而使得外部的通讯参与者可验证车辆的证书的可信性时，是有利的。该连结无须持久存在。该上一级的或Rahmen-PKI可以是多级式的或分支式的，然而这在所介绍的方法处不明显变化。第一签名证书的可信性同样可在不同于通过上一级PKI、例如通过其它被引入的特征的路径上被建立。这例如可通过将明确的识别号(其不是车辆识别号)引入到证书中来实现。该识别号然后在至第三提供方的连接构建的情况中通过生厂商后端被确认。以此可例如建立相对第三方的使用假名(Pseudonymität)，这也就是说识别特征通过假名替代，以便于排除车辆的识别或明显使得车辆的识别变得困难。通讯参与者可从车辆生产商的外部后端在运行时间上验证这些被引入的特征。

第一签名证书可包括姓名以及对证书有效性的时间段的说明。这些扩展的信息使得在PKI内的管理变得容易。姓名可包括生产商名、车辆的标示和/或控制器的标示。

根据本发明的控制器被设置用于使用在车辆中且进一步被设置用于实施先前所说明的方法。其适于与先前所说明的相同的优点和修改。

根据本发明的带有至少一个控制器的车辆包括如先前所说明的那样的控制器。其适于与先前所说明的相同的优点和修改。

进一步可设置成，使车辆具有另一控制器，其中，两个控制器经由通讯路径彼此相连接，且另一控制器被设置用于经由通讯路径将用于签名的公钥传输到控制器处。控制器因此使用另一处在车辆中的控制器作为认证主管。这所具有的优点是，该签名的功能性仅须在车辆中被描绘一次。

该控制器和另一控制器可被设置用于通过对称加密方法(例如签名)保护在两个控制器之间的连接。这所具有的优点是，所发送的尤其该公钥的数据的完备性(这也就是说无错性)始终被确保。

本发明的另外的优选的设计方案由其余在从属权利要求中所提及的特征得出。

只要在个别情况中不另外阐述，本发明的不同的在该申请中所提及的实施形式可有利地彼此组合。

附图说明

接下来在实施例中根据附图阐述本发明。其中：

图1显示了带有充当认证处的控制器的车辆的示意性图示。

附图标记清单

10 车辆

12 控制器

14 控制器

16 接口

18 通讯连接

20 接口

21 密钥

22 接口

24 Rahmen-PKI

26 连接

28 第一签名证书

30 公钥

32 私钥

34 另一私钥

36 另一公钥

36a 签名的另一公钥

38 另一公钥

38a 签名的另一公钥

40 认证过程

42 第二证书

44 私钥。

具体实施方式

图1显示了车辆10例如轿车、载重汽车、公交车、摩托车或轨道车辆、飞机或船只。车辆10包含第一控制器12和第二控制器14。两个控制器12和14用于相应地控制例如发动机控制部或导航系统的一个或多个特殊功能。每个控制器12和14包含用于实施编程或计算功能的计算单元。原则上，下面所说明的方法也可在其它作为控制器的单元、例如微处理器上实施。其它单元可以是车辆的可实施计算如钥匙派生(Schluesselableitung)、证书的产生或钥匙的签名的任意构件。出于清晰性的原因，在图1中未示出仅辅助性功能(例如供电)的构件。

第一控制器12具有用于至第二控制器14的通讯连接18的接口16。第二控制器14具有用于至第二控制器14的通讯连接18的相应的接口20。通讯连接18可以是在两个控制器12与14之间的点对点的连接或是一种总线系统(例如CAN总线)。此处还包括其它连接可行性方案例如以太网连接或无线连接。通讯连接18被优选对称地签名。此外，在制造控制器12和14的情况中或者在制造车辆的情况中密钥21被引入到两个控制器12和14中，这然后充当用于经由通讯连接18被发送的数据的签名的参考。

第一控制器12具有用于引入数据的另一接口22，其用于将车辆内部的认证处或CA的功能性给予第一控制器12。该另一接口22也可被包含在接口16中，从而使得第一控制器12仅包括一个接口。

借助于接口22，第一控制器12至少在车辆12的制造期间与Rahmen-PKI 24(公钥基础设施)相连接。该连接26可以是电缆连结的或无电缆的，例如WLAN或移动无线网。还可能的是，该连接不直接地(如示出的那样)而是间接地设计，例如经由另一控制器。

在Rahmen-PKI 24中，包括至少一个公钥30的第一签名证书28和用于非对称加密的附属的私钥32的产生。第一签名证书28可选地包含车辆个体特征，例如车辆识别号VIN或FIN。第一签名证书28还可包括姓名以及对证书28的有效性的时间段的说明。

经由连接26，一次性地例如在制造车辆10的情况中将至少包括公钥30的第一签名证书28和附属的私钥32引入到第一控制器12中。第一签名证书28授权第一控制器12，用以签名其它证书。

备选地，第一控制器12可产生包括至少一个公钥30的第一证书和用于非对称加密的附属的私钥32。紧接着，第一控制器12将用于签名的第一证书发送到Rahmen-PKI 24处。其然后将第一签名证书28发回到控制器12处。

利用第一签名证书28或者公钥30和附属的私钥32，控制器12可签名另一或任意多的另外的证书或公钥36和附属的另一私钥34。两个另外的钥匙34和36可被用于专用的使用目的，例如用于与外部服务提供方的通讯。

另一或任意多的另外的证书或公钥38可经由通讯连接18从第二控制器14被引入到第一控制器12中。

在认证过程40或签名过程中，另一公钥36在第一控制器12中借助于也可被称作签名钥匙的私钥32和第二证书42被签名或认证。第二证书42可在该过程中或已事先被生成。换而言之，签名经由公钥或经由包含公钥的证书生成。通常，所生成的签名被附加到签名的钥匙处或者到签名的证书处或单独地传输。最后，第一证书28与签名的另一公钥36a一起被提供且然后被发送到新的通讯参与者处。

当此时利用该签名的另一公钥36a向外通讯时，例如经由接口16或另一至外部服务提供方的接口，其可验证直至Rahmen-PKI 24的签名链。此外，第二证书42包含另一公钥36a且由私钥32签署。相对私钥32的附属的证书是第一签名证书28且包含公钥30。第一签名证书28由Rahmen-PKI 24签署。

那么，外部服务提供方包含Rahmen-PKI 24的公钥。其利用该公钥验证第一签名证书28且因此验证控制器12的被包含在其中的公钥30。其利用该公钥然后验证包含另一签名的公钥36a的第二证书42。

由此，外部服务提供方然后将签名的另一公钥36a的可信性追溯到Rahmen-PKI 24上且信任其，从而使得控制器12可将附属的私钥34与签名的另一公钥36a一起用于可信的通讯。

此外，第一控制器12可充当用于第二控制器14的认证处或认证主管。另外，第一控制器12类似于在认证过程40中的上面的说明来将另一证书或者另一公钥38签名至至签名的另一公钥38a，其于是包括地或者一起发送地获得第二证书42和第一证书28。签名的另一公钥38a经由通讯连接18传输回到第二控制器14处。

第二控制器14此时可利用签名的另一公钥38a和在控制器14中存在的同样可由第一控制器12被产生的私钥44构建通过非对称加密方法确保的连接。

车辆或者控制器被置身于可自行产生证书。不再强制性必要的是，使该证书由外部的认证处被签名。而是车辆或车辆的控制器是其自身的车辆内部的认证处或CA(Certificate Authority)。

此外，车辆或者控制器可充当用于其它车辆或设备的认证处或CA。例如由外部设备(例如配对之后的智能手机)的证书的签名是可能的，使得智能手机之后由此相对车辆可被证实。此外可设置成，在车辆中设置有多个此类起CA作用的控制器，这在此处否则建议的中心化的优点的情况中意为着扣除(Abstriche)，然而在离散系统或要求的情况中提供了优点。

Claims

1.一种用于通过车辆(10)的控制器(12)认证的方法，其带有如下步骤：

-包括至少一个公钥(30)且包含车辆个体特征的第一签名证书(28)和附属的私钥(32)的产生；

-所述第一签名证书(28)和所述附属的私钥(32)到所述控制器(12)中的一次性引入；

-第二证书的生成；

-在所述控制器(12)中的另一公钥(36,38)的借助于所述私钥(32)和所述第二证书(42)的签名；和

-所述签名的另一的公钥(36a,38a)与所述第一签名证书(28)一起的提供。

2.根据权利要求1所述的方法，其特征在于，在所述控制器(12)中产生另一公钥(36)和附属的另一私钥(34)。

3.根据前述权利要求中任一项所述的方法，其特征在于，用于所述签名的另一的公钥(38)被从所述车辆(10)的另一控制器(14)传输到所述控制器(12)处。

4.根据权利要求3所述的方法，其特征在于，在所述两个控制器(12,14)之间的传输路径(18)通过对称加密方法来保护。

5.根据前述权利要求中任一项所述的方法，其特征在于，所述签名的另一公钥(36a,38a)和附属的另一的私钥(34,44)被用于所述控制器(12,14)与新的通讯参与者的安全通讯的构建。

6.根据前述权利要求中任一项所述的方法，其特征在于，所述第一签名证书(28)和所述附属的私钥(32)由外部的公钥基础设施(24)来产生。

7.根据前述权利要求中任一项所述的方法，其特征在于，所述第一签名证书(28)包括姓名或对所述证书(28)的有效性的时间段的说明。

8.一种被设置用于使用在车辆(10)中的控制器，其特征在于，所述控制器(12)被设置用于实施根据权利要求1至7中任一项所述的方法。

9.一种带有至少一个控制器(12,14)的车辆，其特征在于，所述车辆(10)具有根据权利要求8所述的控制器(12)。

10.根据权利要求9所述的车辆，其特征在于，所述车辆(10)具有另一控制器(14)，其中，所述两个控制器(12,14)经由通讯路径(18)彼此相连接，且所述另一控制器(14)被设置用于经由所述通讯路径(18)将用于所述签名的公钥(38)传输到所述控制器(12)处。

11.根据权利要求10所述的车辆，其特征在于，所述控制器(12)和所述另一控制器(14)被设置用于通过对称加密方法保护在所述两个控制器(12,14)之间的连接(18)。