DE102004056724B4 - Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz - Google Patents

Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz Download PDF

Info

Publication number
DE102004056724B4
DE102004056724B4 DE102004056724.7A DE102004056724A DE102004056724B4 DE 102004056724 B4 DE102004056724 B4 DE 102004056724B4 DE 102004056724 A DE102004056724 A DE 102004056724A DE 102004056724 B4 DE102004056724 B4 DE 102004056724B4
Authority
DE
Germany
Prior art keywords
lff
vehicle
communication
vehicles
die
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102004056724.7A
Other languages
English (en)
Other versions
DE102004056724A1 (de
Inventor
Murat Caliskan
Amer Aijaz
Dr Rech Bernd
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102004056724.7A priority Critical patent/DE102004056724B4/de
Publication of DE102004056724A1 publication Critical patent/DE102004056724A1/de
Application granted granted Critical
Publication of DE102004056724B4 publication Critical patent/DE102004056724B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Abstract

Verfahren zur Übertragung von Daten in einem Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation, wobei- ein empfangendes Fahrzeug (F1) Kommunikationssignale von einem sendenden Fahrzeug (F2) empfängt,- allen Fahrzeugen (F1-F9, 1-3) als Kommunikationsteilnehmer ein erstes Referenz-Zertifikat von einer vertrauenswürdigen Institution zugeordnet wird,- bei der Kommunikation zumindest ein Nutzer-Zertifikat verwendet wird, das von einer Einrichtung des Kommunikationsnetzes unter Verwendung von Informationen aus dem ersten, von der vertrauenswürdigen Institution ausgegebenen Zertifikat erzeugt wurde und an die Fahrzeuge (F1, F2) übermittelt wird.

Description

  • Die Erfindung betrifft ein Verfahren und eine Anordnung für ein Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation.
  • In Kommunikationsnetzen mit direkter Fahrzeug-Fahrzeug Kommunikation können Daten zwischen den Teilnehmern (Fahrzeugen) direkt, insbesondere ohne indirekte Übertragung von Kommunikationssignalen über ortsfeste Basis- oder Relaisstationen, übertragen werden. Beispielsweise sendet ein Teilnehmer Anfragen bezüglich Daten aus, die möglicherweise von anderen Teilnehmern bereitstellbar sind. Diese Anfragen werden dann von den anderen Teilnehmern beantwortet oder weitergeleitet. Bei den Daten kann es sich z. B. um Daten zur Gewinnung von Verkehrsinformation, zur dynamischen Routenoptimierung und/oder Unfallvermeidungsdaten handeln. Dabei wird unter Unfallvermeidungsdaten beispielsweise verstanden, dass ein Fahrzeug von anderen Fahrzeugen Daten über Gefahrenquellen wie beispielsweise Unfälle erhält, und sein Fahrverhalten bzw. seine Fahrtroute darauf abgestimmt werden kann. Beispiele für ein derartiges Kommunikationsnetz bzw. für die Gewinnung von Verkehrsinformation sind in der DE 102 066 98 A1 und in der EP 1 151 428 B1 beschrieben. Die Kommunikation findet in der Regel durch Funksignale statt, die mittels elektromagnetischer Wellen in bestimmten zugelassenen Frequenzbereichen übertragen werden. Geeignet ist z. B. eine Kommunikation mit Eigenschaften eines W-LAN (Wireless Local Area Network), jedoch auch gemäß anderen Standards wie dem GSM (Global System For Mobile Communication).
  • In Kommunikationsnetzen mit direkter Fahrzeug-Fahrzeug Kommunikation, die auch als Ad-Hoc-Netze bezeichnet werden können, können die übertragenen Daten unbeabsichtigt entstandene Fehler enthalten (z. B. wegen eines fehlerhaften Sensors oder einer fehlerhaften Datenverarbeitungsvorrichtung in dem sendenden Fahrzeug). Ferner können die Daten das Mittel für eine mutwillige Manipulation (z. B. so genannte Hacker-Attacke) sein.
  • Aus der US 2004/0003229 A1 ist ein Verfahren zur Kommunikation zwischen zwei Fahrzeugen bekannt, wobei Nutzer-Zertifikate verwendet werden, die von einer vertrauenswürdigen Institution erzeugt werden. Dabei wird beschrieben, dass das Nutzer-Zertifikat durch eine vertrauenswürdige Institution erstellt wird, die dann von einer anderen Institution zertifiziert werden kann.
  • Aus der WO 2004/068424 A2 ist ein Verfahren bekannt, bei dem eine externe Einrichtung Zugriff zu einem Fahrzeug bzw. deren Einrichtungen erhalten kann, wobei für diese Kommunikation Schlüssel bzw. Zertifikate benutzt werden, die von einer vertrauenswürdigen Institution vergeben werden. Dabei wird weiter offenbart, dass ein Sicherheits-Steuergerät des Fahrzeugs als eine solche vertrauenswürdige Institution fungieren kann.
  • Es ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Anordnung für ein Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation anzugeben, mit denen die Sicherheit bei der Übertragung von Daten erhöht wird.
  • Es wird ein Verfahren zur Übertragung von Daten in einem Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation vorgeschlagen, wobei
    • • ein empfangendes Fahrzeug Kommunikationssignale von einem sendenden Fahrzeug empfängt,
    • • allen Fahrzeugen als Kommunikationsteilnehmer ein erstes Referenz-Zertifikat von einer vertrauenswürdigen Institution zugeordnet wird,
    • • bei der Kommunikation zumindest ein Nutzer-Zertifikat verwendet wird, das von einer vertrauenswürdigen Institution ausgegeben wurde und/oder das von einer Einrichtung des Kommunikationsnetzes unter Verwendung von Informationen aus dem ersten, von der vertrauenswürdigen Institution ausgegebenen Zertifikat erzeugt wurde und an die Fahrzeuge übermittelt wird.
  • Vorzugsweise ist die genannte Einrichtung des Kommunikationsnetzes ein Fahrzeug oder in einem Fahrzeug angeordnet, das einer definierten Fahrzeug-Kategorie angehört, z.B. Taxis, langsam fahrende Fahrzeuge (LFF), von einer Behörde betriebene Fahrzeuge, Fahrzeuge des öffentlichen Personenverkehrs.
  • Dem liegt der Gedanke zugrunde, dass Fahrzeuge unterschiedliche Fahreigenschaften haben. Dementsprechend können die Fahrzeuge klassifiziert bzw. in Kategorien eingeteilt werden. Dabei können die Kategorien insbesondere hinsichtlich der Fahreigenschaften, aber auch hinsichtlich anderer Aspekte, wie z. B. der Zugehörigkeit der Fahrzeuge zu einer bestimmten Organisation (z. B. Betrieb für den öffentlichen Personenverkehr, Behörde oder dergleichen Einrichtung) gewählt werden und die Fahrzeuge dementsprechend in die Kategorien eingeteilt werden. Fahreigenschaften und andere Eigenschaften sind z. B.:
    • - das Fahrverhalten,
    • - die Fahrgeschwindigkeit,
    • - die Fahrstrecke (Ort)
    • - die Häufigkeit von Kommunikationskontakten mit anderen Fahrzeugen in dem Kommunikationsnetz (manche Fahrzeuge sind häufiger unterwegs und können daher z. B. mit höherer Wahrscheinlichkeit als Kommunikationsteilnehmer angetroffen werden und/oder Verfahren häufig die gleiche Fahrstrecke), und/oder
    • - die Anforderung nach Anonymität (z. B. Lastkraftwagen fahren nicht anonym und tragen vielmehr häufig Werbung für das Speditionsunternehmen; dagegen möchten die Betreiber und Fahrer von privaten Personenkraftwagen möglichst anonym bleiben).
  • Daher wird vorgeschlagen, bestimmte Fahreigenschaften und/oder andere Eigenschaften, die einer Kategorie von Fahrzeugen gemeinsam sind, zu nutzen, um die Sicherheit bei der Kommunikation in dem Fahrzeug-Fahrzeug Kommunikationsnetz zu gewährleisten oder zu erhöhen.
  • Dabei ist das gewählte Konzept insbesondere hierarchisch und rollenbasiert, d. h. verschiedene Fahrzeuge mit unterschiedlichen Eigenschaften haben unterschiedliche Befugnisse und/oder üben unterschiedliche Funktionen (Rollen) in dem Kommunikationsnetz aus. Ferner kann die Anonymität insbesondere dadurch zu einem angemessenen Grad gewährleistet werden, dass in einer normalen Betriebsituation die Fahrzeuge anonym bleiben, jedoch in besonderen Situationen (z. B. nach einem Unfall oder anderen Schadensfall) unter Verwendung der Nutzer-Zertifikate der verantwortliche Fahrer/Halter des Fahrzeugs ermittelt werden kann.
  • Insbesondere kann das empfangende Fahrzeug eine Vertrauensinformation ermitteln oder aktualisieren, wobei die Vertrauensinformation ermöglicht festzustellen, ob von dem sendenden Fahrzeug gesendete Daten vertrauenswürdig sind und/oder wie vertrauenswürdig von dem sendenden Fahrzeug gesendete Daten sind, und wobei die Vertrauensinformation unter Verwendung des Nutzer-Zertifikats ermittelt wird.
  • Außerdem wird eine Anordnung zur Übertragung von Daten in einem Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation vorgeschlagen, wobei die Anordnung Folgendes aufweist:
    • • eine Kommunikationseinrichtung zum Empfangen von Kommunikationssignalen von einem sendenden Fahrzeug,
    • • einer Verarbeitungseinrichtung, wobei die Verarbeitungseinrichtung ausgestaltet ist, Vertrauensinformation zu ermitteln oder zu aktualisieren, wobei es die Vertrauensinformation ermöglicht festzustellen, ob von dem sendenden Fahrzeug gesendete Daten vertrauenswürdig sind, und wobei die Verarbeitungseinrichtung ausgestaltet ist, die Vertrauensinformation unter Verwendung eines Nutzer-Zertifikats zu ermitteln, das von einer Einrichtung des Kommunikationsnetzes unter Verwendung von Informationen aus einem ersten, von der vertrauenswürdigen Institution ausgegebenen Zertifikat erzeugt wurde.
  • Insbesondere findet gemäß der Erfindung eine Authentifizierung von Teilnehmern auf Basis von Zertifikaten in Fahrzeug-Fahrzeug Kommunikationsnetzen statt.
  • Die vertrauenswürdige Institution (englisch: Trusted Third Party, TTP) kann z. B. eine Behörde, Regierungsstelle oder eine unabhängige Institution sein (z. B. ein OEM, englisch: Original Equipment Manufacturer oder ein Überwachungsverein wie der Technische Überwachungsverein e. V., TÜV). Die Institution kann den Fahrzeugen eindeutige Identitäten zuweisen.
  • Im Folgenden ist von Schlüsseln die Rede. Damit sind kryptografische Schlüssel zum Verschlüsseln und/oder Entschlüsseln gemeint. Öffentliche Schlüssel sind insbesondere Schlüssel, die der Öffentlichkeit bzw. einer Vielzahl von Teilnehmern zur Verfügung stehen und zum Entschlüsseln verwendet werden können. Private Schlüssel sind insbesondere Schlüssel, die nicht der Öffentlichkeit zur Verfügung stehen, sondern lediglich der Institution oder dem Teilnehmer, der bzw. dem der private Schlüssel gehört. Mit einem privaten Schlüssel können Nachrichten signiert werden und/oder Nachrichten entschlüsselt werden.
  • Kommunikationsteilnehmer (insbesondere alle Fahrzeuge, die an der Kommunikation in dem Fahrzeug-Fahrzeug Kommunikationsnetz teilnehmen) können einen öffentlichen Schlüssel (englisch: public key) der TTP besitzen, der als Teil eines Zertifikats (Referenz-Zertifikat) von der TTP ausgegeben wurde. Dadurch kann der Kommunikationsteilnehmer ein weiteres empfangenes Zertifikat verifizieren und herausfinden, dass es von der TTP ausgestellt wurde oder unter Verwendung des von der TTP ausgestellten Zertifikats erstellt wurde.
  • Damit z. B. die Kommunikationspartner A und B eine vertrauenswürdige Kommunikation untereinander starten können, können sie bereits Zertifikate der TTP besitzen. In einem für A ausgestellten Zertifikat, bestätigt die ausstellende Institution z. B., dass sie A kennt und ihm vertraut. Alternativ oder zusätzlich kann die ausstellende Institution eine Institution (insbesondere einen Kommunikationsteilnehmer) kennen, die wiederum A kennt und vertraut. Die ausstellende Institution kombiniert ihren öffentlichen Schlüssel mit dem öffentlichen Schlüssel von A in dem für A ausgestellten Zertifikat und signiert das ausgestellte Zertifikat mit ihrem privaten Schlüssel. Jede dieses Zertifikat lesende Entität kann die Signatur mit Hilfe des in diesem Zertifikat enthaltenen öffentlichen Schlüssels der ausstellenden Institution verifizieren. Dadurch ist bekannt, dass A das Vertrauen der ausstellenden Institution besitzt.
  • Das von einer vertrauenswürdigen Institution ausgegebene Zertifikat kann ein FLC (Erst-Zertifikat, englisch: First Level Certificate) sein. Die wahre Identität des Fahrzeugs (z. B. Besitzer, Hersteller und/oder Fahrzeuggestellnummer usw.) wird von der TTP auf eine Zertifikatsidentität abgebildet. Die wahre Identität eines Fahrzeugs ist nur der TTP bekannt. Das FLC stellt in diesem Fall eine „abstrakte Identität“ dar. Der Vorteil mit abstrakten Identitäten zu arbeiten liegt darin, dass Fahrzeuge anderen Fahrzeugen gegenüber anonym bleiben können, aber der TTP, z. B. dem Staat, bekannt sind.
  • Neben den FLCs können in dem Kommunikationsnetz insbesondere SLCs (Zweit-Zertifikate, englisch: Second Level Certificates) erzeugt (ausgestellt) werden. SLCs können als eine „Abstraktion“ der FLCs bezeichnet werden. Ihr Zweck kann insbesondere sein, die Anonymität eines Fahrzeugs sicher zu stellen. Durch eine spezielle Struktur können sie zur Aufrechterhaltung der Reputation genutzt werden. Es kann insbesondere zwischen zwei Arten von SLCs unterschieden werden. Diese sind:
    1. 1. SLC0: Dieser Zertifikatstyp kann von einem bestimmten Fahrzeug erster Art (z. B. einem Kolonnenmaster KM, siehe unten) erzeugt werden und z. B. an andere bestimmte Fahrzeuge zweiter Art übermittelt werden.
    2. 2. SLC1: Dieser Zertifikatstyp kann von einem Fahrzeug der zweiten Art erzeugt werden und an weitere Fahrzeuge, z. B. an Fahrzeuge in einem Subnetz des Kommunikationsnetzes übermittelt werden.
  • Die Einrichtung des Kommunikationsnetzes, die unter Verwendung von Informationen aus dem ersten Zertifikat das Nutzer-Zertifikat (z. B. das zuvor definierte SLC) erzeugt, kann in und/oder an einem Fahrzeug angeordnet sein, das eine zentrale Kommunikationsstation für die Kommunikation in einem Subnetz des Kommunikationsnetzes ist (z. B. ein langsam fahrendes Fahrzeug, siehe unten).
  • Es kann dabei eine spezielle Struktur des Kommunikationsnetzes vorgesehen sein: In Ad-Hoc-Netzen, in denen die Geschwindigkeit der teilnehmenden Fahrzeuge über einen großen Geschwindigkeitsbereich variieren kann (beispielsweise auf Autobahnen bis zu Geschwindigkeiten von mehr als 200 km/h, die zu Geschwindigkeitsdifferenzen von mehr als 400 km/h führen), kann die Kommunikation zwischen den Fahrzeugen und zu zentralen Einrichtungen des Kommunikationsnetzes gestört sein oder plötzlich abbrechen. Derartige Ad-Hoc-Netze sind daher schwierig zu verwalten und zu betreiben. Daher werden in dem Kommunikationsnetz ein oder mehrere Subnetze gebildet. Außerdem kann ein langsam fahrendes Fahrzeug - im Folgenden: LFF - als zentrale Kommunikationsstation für die Kommunikation in dem Subnetz genutzt werden.
  • Unter dem Begriff „Subnetz“ wird ein Teil eines gesamten Kommunikationsnetzes verstanden, in dem eine auf das Subnetz begrenzte Netzstruktur vorhanden ist. Das Subnetz ist jedoch nicht notwendigerweise autark. Insbesondere können verschiedene Subnetze in dem Kommunikationsnetz vorhanden sein, wobei eine Kommunikation zwischen den Subnetzen möglich ist und wobei Teilnehmer der verschiedenen Subnetze in eine Netzstruktur des gesamten Kommunikationsnetzes eingebunden sind. Die Subnetzstruktur ist z. B. derart, dass alle Kommunikationsteilnehmer des Subnetzes direkt und/oder indirekt miteinander kommunizieren können, eine Kommunikation zu einem Teilnehmer außerhalb des Subnetzes aber nur über das LFF möglich ist.
  • Es kann eine Hauptfunktion des LFF als zentrale Kommunikationsstation sein, das Subnetz zu bilden, das Subnetz zu verwalten und/oder das Subnetz aufzulösen. Dabei kann es insbesondere Informationen aus einem von der vertrauenswürdigen Institution ausgegebenen Zertifikat (FLC) nutzen, um ein SLC auszustellen.
  • Unter Verwendung des LFF als zentrale Kommunikationsstation kann ferner insbesondere eine Zugangskontrolle für eine Kommunikation der Teilnehmer des Subnetzes durchgeführt werden. Z. B. kann für die Kommunikation der Teilnehmer des Subnetzes eine Autorisierung erforderlich sein, wobei ohne eine erfolgreiche Autorisierung eines Teilnehmers keine Kommunikation möglich ist oder nur eine eingeschränkte Kommunikation möglich ist. Beispielsweise prüft das LFF, ob ein neuer zu dem Subnetz hinzukommender Teilnehmer berechtigt ist, an der Kommunikation teilzunehmen, und autorisiert bei entsprechendem Prüfungsergebnis die Kommunikation mit diesem Teilnehmer. Dabei kann das LFF z. B. auf Informationen in einem Zertifikat zurückgreifen, die es bereits besitzt und/oder die es empfängt.
  • Alternativ oder zusätzlich kann das LFF als zentrale Kommunikationsstation ein Verschlüsselungssystem für die Kommunikation der Teilnehmer des Subnetzes verwalten, wobei das Verschlüsselungssystem beispielsweise zumindest einen Schlüssel aufweist, ohne den eine Kommunikation in dem und/oder mit dem Subnetz nicht möglich ist. Ein solcher Schlüssel weist (wie insbesondere auch die oben erwähnten Schlüssel) z. B. einen Code in digitaler Form auf.
  • Insbesondere kann es eine von dem LFF als zentrale Kommunikationsstation ausgeübte Funktion sein, eine Kommunikation zwischen Teilnehmern des Subnetzes und anderen Teilen des Kommunikationsnetzes und/oder mit anderen Kommunikationsnetzen zu ermöglichen. Beispielsweise kann eine Kommunikation zwischen einem Teilnehmer des Subnetzes und dem Internet über das LFF durchgeführt werden. Z. B. empfängt das LFF zu diesem Zweck Kommunikationssignale von dem Teilnehmer (z. B. ein schnell fahrendes Fahrzeug) und überträgt die Kommunikationssignale zu einer ortsfesten Station (beispielsweise ein Hotspot; ein Hotspot ist z. B. ein Zugangspunkt eines W-LAN. Die Hotspots ermöglichen es den Fahrzeugen, mit einer Infrastruktur in Verbindung zu treten).
  • Unter einem LFF wird insbesondere ein Fahrzeug verstanden, dessen Fahrgeschwindigkeit
    • - niedriger als ein definierter Grenzwert ist oder diesen Grenzwert nicht übersteigt oder in der Regel nicht übersteigt, wobei der Grenzwert z. B. derart gewählt wird, dass eine Kommunikation zwischen dem LFF und einem Hotspot zuverlässig möglich ist, solange es die Reichweite der Kommunikation erlaubt,
    • - bei freier Fahrt (d. h. ohne Verkehrsstau oder andere Behinderungen) niedriger ist als die Fahrgeschwindigkeit einer anderen Art (z. B. Personenkraftwagen) von potenziellen Kommunikationsteilnehmern und/oder
    • - in der Regel niedriger ist als die durchschnittliche Fahrgeschwindigkeit aller potenziellen Kommunikationsteilnehmer.
  • Bevorzugte LFF sind Lastwagen, Busse und/oder Fahrzeuge mit Anhänger. Der oben genannte Grenzwert kann insbesondere im Bereich von 70 bis 100 km/h liegen und beispielsweise 90 oder 80 km/h betragen.
  • Insbesondere kann die Vertrauensinformation selbst die vollständige Information darüber aufweisen, ob von einem sendenden Fahrzeug gesendete Daten vertrauenswürdig sind und/oder wie (z. B. mit welchem Grad) vertrauenswürdig von dem sendenden Fahrzeug gesendete Daten sind. Ein Beispiel für solche Vertrauensinformation ist ein einzelner Wert auf einer Vertrauensskala.
  • Alternativ oder zusätzlich ist es möglich, das Verhalten von Teilnehmern der Kommunikation, insbesondere von Fahrzeugen, zu protokollieren und daraus Informationen abzuleiten, die für die Erstellung von Vertrauensinformation genutzt werden.
  • Prinzipiell ist es möglich, dass eine zentrale Instanz innerhalb des Kommunikationsnetzes vorgesehen ist (z. B. ein zentraler Server), auf der die Vertrauensinformation zum Abruf verfügbar ist. Bei direkter Fahrzeug-Fahrzeug Kommunikation besteht jedoch die Schwierigkeit, dass die Kommunikation mit einer zentralen Instanz wegen der Bewegung der Fahrzeuge unter Umständen nicht zur Verfügung steht. Aus dem gleichen Grund und auch weil Entscheidungen über die Vertrauenswürdigkeit eines Teilnehmers unter Umständen schnell getroffen werden müssen, wird vorgeschlagen, dass ein empfangendes Fahrzeug Kommunikationssignale von einem sendenden Fahrzeug empfängt, das empfangende Fahrzeug eine Vertrauensinformation ermittelt oder eine etwaig bereits vorhandene Vertrauensinformation aktualisiert und die Vertrauensinformation für eine weitere Fahrzeug-Fahrzeug Kommunikation bereitstellt.
  • Insbesondere ist die Erfindung somit für Kommunikationsnetze ohne eine zentrale Instanz ausgestaltet. Dies schließt den Fall mit ein, dass die Vertrauensinformation zumindest teilweise dezentral und/oder an Stellen des Kommunikationsnetzes gespeichert wird, die für einen Teil des Kommunikationsnetzes als zentrale Instanz dienen. Solche lokalen Zentralen oder Teilzentralen können beispielsweise durch ruhende oder langsam fahrende Fahrzeuge und/oder durch fest installierte Basisstationen gebildet werden. Beispielsweise auf diese Weise, jedoch auch auf andere Weise, kann ein Datenbanksystem realisiert sein, wobei die auf dem Datenbanksystem liegenden Daten Informationen über den aktuellen Vertrauensstatus eines oder mehrerer Teilnehmer (Fahrzeuge) enthalten. Insbesondere wird die so gebildete Datenbank ständig aktualisiert und ist mit den Teilnehmern in Kontakt. In einer zentralen Instanz und/oder in den Teilzentralen kann auch zumindest ein Teil der insgesamt zu Verfügung stehenden Vertrauensinformation aus dem eigentlichen Kommunikationsnetz ausgelagert sein. Für die Teilnehmer besteht die Möglichkeit, die ausgelagerten Vertrauensinformationen abzufragen.
  • Ein wesentlicher Vorteil liegt jedoch darin, dass auch solche Teilzentralen nicht zwingend erforderlich sind. Vielmehr ist es möglich, dass die von dem empfangenden Fahrzeug ermittelte oder aktualisierte Vertrauensinformation mit Vertrauensinformation verglichen wird, die von einem anderen Fahrzeug ermittelt oder aktualisiert worden ist. Durch den Vergleich ist insbesondere eine weitere Aktualisierung der Vertrauensinformation möglich. Somit können die Fahrzeuge durch selbst durchgeführte Maßnahmen Vertrauen in der gegenseitigen Kommunikation aufbauen.
  • Beispielsweise wird von dem empfangenden Fahrzeug zumindest ein Teil der von dem empfangenden Fahrzeug aktualisierten Vertrauensinformation an zumindest ein weiteres Fahrzeug in dem Kommunikationsnetz und/oder an eine zentrale Station des Kommunikationsnetzes gesendet.
  • Nicht in jedem Teil dieser Beschreibung wird explizit zwischen Teilnehmern und Fahrzeugen unterschieden. In der Regel sind die Fahrzeuge die Teilnehmer. Es ist jedoch auch denkbar, dass bei den Fahrzeugen unterschieden wird, von welchem Fahrzeugführer sie geführt werden. Dies kann beispielsweise voraussetzen, dass ein bestimmter Fahrzeugführer bei Beginn eines Fahrzeugbetriebes einen persönlichen Identifikationscode eingibt. Ebenso können Zertifikate auf die Identität des Fahrzeugführers bezogen sein.
  • Vorzugsweise wird das Verhalten der Teilnehmer laufend und/oder wiederholt bewertet. Zum Beispiel können Vertrauenspunkte vergeben werden oder kann eine andere Metrik verwendet werden, um einen Grad des Vertrauens auszudrücken. Insbesondere kann das Ergebnis der Bewertung über das zuvor beschriebene Datenbanksystem den Teilnehmern zur Verfügung gestellt werden und/oder auf andere Weise (z. B. durch direkte Kommunikation zwischen den Teilnehmern) für die Teilnehmer bereitgestellt werden. Bei einer konkreten Ausgestaltung des Systems werden dem Bewertungsergebnis jeweils Kenndaten zugeordnet und gemeinsam bereitgestellt, wobei die Kenndaten den jeweiligen Teilnehmer und/oder das jeweilige Fahrzeug eindeutig bezeichnen. Verfügt ein Teilnehmer über eine persönliche Signatur, die beispielsweise durch eine unabhängige Instanz zertifiziert wurde, kann diese Signatur bei den Kenndaten verwendet werden.
  • Insbesondere bei einer Vielzahl von Teilnehmern kann eine Klassifikation der Teilnehmer stattfinden, um auch bei komplexeren Kommunikationsszenarien Vertrauen zu schaffen. Beispielsweise kann eine Reihenfolge der Teilnehmer erstellt werden, geordnet nach dem Grad des Vertrauens, das ihnen entgegengebracht werden kann. Alternativ oder zusätzlich ist es möglich, die Teilnehmer in unterschiedliche Klassen einzuteilen, wobei z. B. jede Klasse einer bestimmten Art von Kommunikation oder Gruppe von Kommunikationsarten zugeordnet ist.
  • Insbesondere kann ein bestimmter Mindestgrad von Vertrauen für die Zugehörigkeit eines Teilnehmers zu der Klasse erforderlich sein.
  • Eine Bewertung des Vertrauens in einen bestimmten Teilnehmer kann insbesondere auf zumindest eine von den folgenden zwei Arten basieren:
    • - dem Verhaltens eines Teilnehmers; zum Beispiel kann dem Teilnehmer ein höherer Grad des Vertrauens zugeordnet werden, wenn er schon einmal oder mehrmals in korrekter Weise bei der Kommunikation in dem Kommunikationsnetz mitgewirkt hat, beispielsweise als Router gearbeitet hat und/oder Daten korrekt weitergeleitet hat.
    • - dem Inhalt der von dem Teilnehmer empfangenen Daten; insbesondere beziehen sich die folgenden Ausführungsformen des erfindungsgemäßen Verfahrens auf diese Art. Beispielsweise hat der sendende Teilnehmer schon einmal oder mehrmals Daten gesendet, die sich als richtig erwiesen haben. Hierbei wird die eigene Erfahrung des empfangenden Fahrzeugs oder Teilnehmers mit dem sendenden Fahrzeug oder Teilnehmer als Basis für die Bewertung genutzt. Ferner ist es insbesondere möglich, die empfangenen Daten auf Plausibilität zu prüfen und/oder nach einer Nutzung der Daten ihre Richtigkeit zu verifizieren (bzw. Fehler festzustellen).
  • Insbesondere wird Folgendes vorgeschlagen: In dem empfangenden Fahrzeug werden Daten aus den von dem sendenden Fahrzeug empfangenen Kommunikationssignalen ermittelt. Die ermittelten Daten werden in dem empfangenden Fahrzeug auf Richtigkeit und/oder Plausibilität geprüft, wobei ein Ergebnis der Prüfung bei der Ermittlung oder Aktualisierung der Vertrauensinformation berücksichtigt wird.
  • Alternativ oder zusätzlich wird Folgendes vorgeschlagen: In dem empfangenden Fahrzeug werden Daten aus den von dem sendenden Fahrzeug empfangenen Kommunikationssignalen ermittelt, wobei die ermittelten Daten in dem empfangenden Fahrzeug bestimmungsgemäß genutzt werden und wobei ein Ergebnis der Nutzung bei der Ermittlung oder Aktualisierung der Vertrauensinformation berücksichtigt wird.
  • Insbesondere kann das empfangende Fahrzeug zumindest einen Teil der Vertrauensinformation separat von den Kommunikationssignalen des sendenden Fahrzeugs empfangen und die empfangene Vertrauensinformation aktualisieren. Beispielsweise wird zumindest der Teil der Vertrauensinformation von einem oder mehreren anderen Teilnehmern und/oder von einer zentralen Instanz oder Teilzentrale abgefragt. Dieser Teil der Vertrauensinformation kann Informationen aufweisen, die geeignet sind, das sendende Fahrzeug bzw. den sendenden Teilnehmer zu authentifizieren, z. B. anhand seiner zertifizierten Signatur.
  • In dem Fahrzeug-Fahrzeug Kommunikationsnetz kann eine Kommunikationskette gebildet oder betrieben werden, wobei die Kommunikationskette Fahrzeuge als Kettenglieder aufweist.
  • Dem liegt der Gedanke zugrunde, dass selbst in Fahrsituationen, in denen große Geschwindigkeitsunterschiede zwischen den Fahrzeugen des Kommunikationsnetzes bestehen, Kommunikationsketten aus zumindest einem Teil der Fahrzeuge gebildet werden können, wobei zumindest Teile einer Kommunikationskette deutlich länger bestehen können als Kommunikationsverbindungen zwischen beliebigen Fahrzeuge des Kommunikationsnetzes im Durchschnitt. Somit ist es insbesondere möglich, die Kettenglieder als Relaisstationen und/oder als Router zu verwenden. Über die Kettenglieder kann über einen größeren Zeitraum zuverlässig kommuniziert werden. Ferner treten in vielen Fahrsituationen und bei geeigneter Zuordnung der anderen Fahrzeuge zu den Routern deutlich geringere Geschwindigkeitsunterschiede zwischen den anderen Fahrzeugen und den Routern auf als im Allgemeinen zwischen den Fahrzeugen. Ferner ist es bei einer Kommunikationskette möglich, Kommunikationssignale nur in eine der beiden Richtungen der Kette zu übertragen. Beispielsweise ist es in bestimmten Fahrsituationen sinnvoll, sicherheitsrelevante Informationen wie Informationen über den Straßenzustand nur an Fahrzeuge zu übermitteln, die zwar etwa die gleiche Fahrtrichtung haben, jedoch die momentane geografische Positionen des sendenden Fahrzeugs noch nicht erreicht haben. Somit kann ein Überfluten des gesamten Kommunikationsnetzes mit uninteressanten Informationen vermieden werden. Dies ist insbesondere wichtig bei Kommunikationsnetzen, wie beispielsweise dem W-LAN, bei denen nicht beliebig viele Informationen gleichzeitig über eine Kommunikationsverbindung übertragen werden können.
  • Die Kommunikationskette kann ein Fahrzeug (z. B. den oben erwähnten Kolonnenmaster KM) aufweisen, das für die Kommunikation innerhalb der Kommunikationskette und/oder für die Kommunikation zu anderen Teilen des Kommunikationsnetzes steuernde und/oder verwaltende Funktionen ausführt.
  • Nach dem nun bevorzugte Ausgestaltungen des Kommunikationsnetzes beschrieben wurden, wird im Folgenden näher auf Ausgestaltungen der Nutzung der Zertifikate eingegangen.
  • Das Nutzer-Zertifikat (d. h. das Zertifikat, unter dessen Verwendung die Vertrauensinformation ermittelt wird) kann von dem sendenden Fahrzeug an das empfangende Fahrzeug gesendet werden. Insbesondere kann das Nutzer-Zertifikat gemeinsam mit anderen Daten durch die vom sendenden Fahrzeug gesendeten Kommunikationssignale zu dem empfangenden Fahrzeug gesendet werden. Somit sind die Daten mit dem Zertifikat verbunden und es kann zuverlässig ermittelt werden, ob und/oder bis zu welchem Grad die Daten vertrauenswürdig sind.
  • Bei einer bevorzugten Ausgestaltung der Erfindung werden separat von den Kommunikationssignalen, die das empfangende Fahrzeug von dem sendenden Fahrzeug empfängt, Prüfinformationen zu dem empfangenden Fahrzeug übertragen, unter deren Verwendung das empfangende Fahrzeug prüfen kann, ob das Nutzer-Zertifikat und/oder das erste Zertifikat, unter Verwendung dessen das Nutzer-Zertifikat erzeugt wurde, gültig ist.
  • Insbesondere kann eine Zertifikat-Widerrufliste geführt werden (englisch: Certification Revocation List, CRL). Zertifikate können vorzugsweise nur von ihrem Aussteller (Institution) für ungültig erklärt werden. Falls ein Aussteller z. B. herausfindet, dass ein Zertifikat gestohlen, manipuliert oder für nicht vorgesehene Zwecke benutzt wurde, so kann nur er dieses Zertifikat für ungültig erklären, indem er das Zertifikat in seine CRL aufnimmt. Es kann z. B. zwischen zwei Arten von CRLs unterschieden werden:
    • - CRL der FLCs (FLC_CRL): Liste der widerrufenen FLCs. Diese Liste kann den Fahrzeugen mitgeteilt werden und enthält die Information, welche FLCs nicht mehr gültig sind. Aktuelle FLC_CRLs werden von der TTP z. B. über Hotspots (beispielsweise durch so genannte Broadcast-Nachrichten) verschickt, d.h. ihre Aktualität ist infrastrukturabhängig.
    • - CRL der SLCs (SLC_CRL): Die von einer anderen Institutionen oder einem Teilnehmer (z. B. einem LFF) ausgestellten SLCs können auch bei Bedarf widerrufen werden. Die Institution oder der Teilnehmer informiert durch diese Liste die in seiner Umgebung kommunizierenden Fahrzeuge über den aktuellen Gütigkeitsstatus der SLCs.
  • Die Erfindung wird nun anhand eines besonders bevorzugten Ausführungsbeispiels näher beschrieben. Sie ist jedoch nicht auf dieses Ausführungsbeispiel oder auf die ebenfalls beschriebenen Varianten beschränkt. Im Folgenden wird auf die beigefügte Zeichnung Bezug genommen. Die einzelnen Figuren der Zeichnung zeigen:
    • 1 ein Subnetz eines Fahrzeug-Kommunikationsnetzes mit direkter Fahrzeug-Fahrzeug Kommunikation,
    • 2 eine Verkehrssituation, z. B. auf einer Autobahn oder Schnellstraße mit zwei Subnetzen, anhand derer eine besonders bevorzugte Ausgestaltung des erfindungsgemäßen Verfahrens erläutert wird, und
    • 3 eine Ausgestaltung einer Vorrichtung zum Übertragen von Kommunikationssignalen in einem Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation.
  • 1 stellt schematisch ein Subnetz in einem Fahrzeug-Fahrzeug Kommunikationsnetz dar. Das Subnetz weist eine Mehrzahl von Fahrzeugen F1, F2, F3 auf, die zumindest teilweise direkt miteinander kommunizieren können, wie durch Pfeile angedeutet ist. Diese Fahrzeuge F1, F2, F3 sind schnell fahrende Fahrzeuge und bewegen sich z. B. auf einer Autobahn oder auf einer Schnellstraße mit hoher Geschwindigkeit (z. B. mit mehr als 130 km/h). Daher ist die Kommunikation der Fahrzeuge F1, F2, F3 mit fest am Straßenrand angeordneten Basisstationen, die auch als Hotspots bezeichnet werden können, unter Umständen zumindest zeitweise gestört oder unmöglich. Es können laufend weitere Fahrzeuge Teilnehmer des Subnetzes werden und/oder vorhandene Teilnehmer das Subnetz verlassen.
  • Weiterhin weist das Subnetz ein langsam fahrendes Fahrzeug 1 auf, z. B. einen Lastwagen, der sich mit einer Geschwindigkeit von maximal 90 km/h bewegt. Das Fahrzeug 1 fährt auf einer von drei Fahrspuren für dieselbe Fahrtrichtung, nämlich auf der außen liegenden Fahrspur für langsame Fahrzeuge (siehe 2). Solche langsam fahrenden Fahrzeuge bewegen sich auf Autobahnen oder Schnellstraßen meist mit konstanter Geschwindigkeit. Wenn weitere solcher langsam fahrenden Fahrzeuge auf der Fahrspur unterwegs sind, bilden sie häufig eine lineare Kette von Fahrzeugen und fahren außerdem meist mit gleicher Geschwindigkeit und daher mit konstantem Abstand zueinander. Wenn die langsam fahrenden Fahrzeuge einander überholen, dauert der Überholvorgang meist lange. Es besteht daher ausreichend Zeit, um eine Ordnungsfolge oder Reihenfolge der langsam fahrenden Fahrzeuge in einer Kommunikationskette an die tatsächlichen geografischen Relativpositionen der langsam fahrenden Fahrzeuge anzupassen.
  • Wie 2 zeigt, fährt eine Vielzahl von Fahrzeugen auf einer Fahrbahn 7 mit den drei genannten Fahrspuren für dieselbe Fahrtrichtung. Am Rand der Fahrbahn 7 sind zwei Hotspots 5a, 5b ortsfest angeordnet. Unter Hotspot wird dabei eine Kommunikationseinrichtung verstanden, die eine externe Kommunikation zu einem Netzwerk wie beispielsweise dem Internet zur Verfügung stellt. In Kommunikationsreichweite zu dem Hotspot 5a fährt das langsam fahrendes Fahrzeug (im Folgenden kurz: LFF), das mit dem Bezugszeichen 1 bezeichnet ist.
  • Das LFF 1 bildet eine zentrale Station für ein Subnetz F1 von Fahrzeugen für eine direkte Fahrzeug-Fahrzeug Kommunikation. Dem Subnetz S1 können momentan die in 2 gezeigten Fahrzeuge F1 - F6 als Kommunikationsteilnehmer angehören. In Kommunikationsreichweite zu dem zweiten Hotspot 5b fährt auf der Fahrbahn 7 ein LFF 2, das beispielsweise ebenso wie das LFF 1 ein Lastwagen ist. Das LFF 2 fungiert als zentrale Kommunikationsstation für ein zweites Subnetz S2. Diesem Subnetz können momentan die Fahrzeuge F3 - F11 als Kommunikationsteilnehmer angehören.
  • Eine Funktion der durch die LFF 1, 2 gebildeten zentralen Stationen ist die Verbindung der Subnetze S1, S2 miteinander. Auf diese Weise können die Fahrzeuge der verschiedenen Subnetze miteinander kommunizieren, obwohl unter Umständen eine direkte Fahrzeug-Fahrzeug Kommunikation nicht möglich ist. Beispiele hierfür sind in der in 2 dargestellten Verkehrssituation die Fahrzeuge F1 und F11.
  • Die LFF 1, 2 und weitere LFF, wie das in 2 mit dem Bezugszeichen 3 bezeichnete Fahrzeug mit Anhänger, bilden eine Kommunikationskette. Optional können der Kommunikationskette auch Fahrzeuge angehören, die normalerweise den schneller fahrenden Fahrzeuge zuzuordnen sind. In der in 2 dargestellten Verkehrssituation sind dies beispielsweise die Fahrzeuge F4 und F10, weil sie ebenfalls wie die LFF 1, 2, 3 auf der äußeren Fahrspur für langsam fahrende Fahrzeuge fahren.
  • Die in 3 gezeigte Vorrichtung 11 weist eine Kommunikationseinrichtung 12, eine Steuereinrichtung 14 und eine Verarbeitungseinrichtung 13 auf. Die Kommunikationseinrichtung 12 ist mit der Steuereinrichtung 14 und mit der Verarbeitungseinrichtung 13 verbunden. Obwohl die Steuereinrichtung 14 und die Verarbeitungseinrichtung 13 in 3 als separate Einheiten dargestellt sind, können diese auch Teil einer gemeinsamen Einheit sein, beispielsweise Teil eines Steuerrechners zur Steuerung der Kommunikation eines Fahrzeuges mit anderen Fahrzeugen.
  • Die Kommunikationseinrichtung 12 ist für die Kommunikation mit zumindest einem Fahrzeug in dem Kommunikationsnetz ausgestaltet. Die Kommunikationseinrichtung 12 kann insbesondere auch für eine Kommunikation mit Fahrzeugen ausgestaltet sein, die Teilnehmer eines Subnetzes sind, welches durch die Vorrichtung 11 als zentrale Kommunikationsstation verwaltet und/oder betrieben wird. Die Kommunikationseinrichtung 12 weist beispielsweise eine Antenne und eine Einrichtung zum Umwandeln von Kommunikationssignalen auf, die über die Antenne gesendet werden oder empfangen werden. Durch einen gezackten Pfeil ist angedeutet, dass die Kommunikationseinrichtung 12 Funksignale zur Kommunikation mit den anderen Fahrzeugen empfangen und/oder senden kann.
  • Die Steuereinrichtung 14 ist ausgestaltet den Betrieb der Vorrichtung 11 zu steuern. Die Verarbeitungseinrichtung 13 ist ausgestaltet, Vertrauensinformation zu ermitteln oder zu aktualisieren, wobei die Vertrauensinformation ermöglicht festzustellen, ob von dem sendenden Fahrzeug F2 gesendete Daten vertrauenswürdig sind. Ferner ist die Verarbeitungseinrichtung 13 ausgestaltet, die Vertrauensinformation unter Verwendung eines Nutzer-Zertifikats zu ermitteln, das von einer vertrauenswürdigen Institution ausgegeben wurde und/oder das von einer Einrichtung des Kommunikationsnetzes unter Verwendung von Informationen aus einem ersten, von der vertrauenswürdigen Institution ausgegebenen Zertifikat erzeugt wurde.
  • Auf eine besonders bevorzugte Ausführungsform der Nutzung von Zertifikaten wird im Folgenden eingegangen. Dabei können einzelne Merkmale dieser Ausführungsform oder Kombinationen der Merkmale auch bei anderen Ausführungsformen vorgesehen sein.
  • Die Ausführungsform geht von folgenden Voraussetzungen aus:
    • • Alle Fahrzeuge sind vor ihrer Zulassung zum Verkehr bereits im Besitz von durch TTPs (Trusted Third Party, s.o.) ausgestellten FLCs (First level Certificates, s.o.), sowie dem öffentlichen Schlüssel der TTP.
    • • Jedes Fahrzeug besitzt eine aktuelle FLC_CRL (FLC_Certification Revocation List, s.o.) und eine SLC_CRL (SLC_Certification Revocation List, s.o.). CRLs werden regelmäßig aktualisiert.
    • • LFFs (als zentrale Einrichtung eines Subnetzes) speichern die FLCs der in ihrem Subnetz angemeldeten Fahrzeuge. Alle Informationen sind in einer manipulationssicheren und robusten Einheit gespeichert. Im Folgenden wird diese Einheit als On Board Unit (OBU) definiert.
    • • Jedem Fahrzeug ist die FLC seines aktuellen LFFs (Subnetzverantwortlichen) und seines KMs (Kolonnenmasters, s.o.) bekannt.
    • • Die im FLC gespeicherte Information über ein Fahrzeug F kann zwar von jedem Teilnehmer gelesen werden, aber nur von der TTP verändert werden.
    • • Sofern eine Kolonne (Fahrzeugkette, siehe oben) gebildet ist, wird bei der Intra-Kolonnen-Kommunikation (Fahrzeug-Fahrzeug/ Fahrzeug-LFF) vorausgesetzt, dass im Vorfeld (insbesondere bei der Bildung der Fahrzeugkette und/oder den zugehörigen Subnetzen) eine Authentifizierung über individuelle SLCs und FLCs stattfindet.
    • • Die jeweils ein SLC ausstellende Instanz trägt einen dynamischen Vertrauenswert in das SLC Zertifikat ein. Dieser Wert wird als Trust Value (TV) bezeichnet.
    • • Der TV ist ein dynamischer Wert und wird aus den Einträgen der Vertrauenstabelle berechnet.
    • • Zusätzlich zu einem TV besitzt jeder Teilnehmer eine Vertrauenstabelle (Reputation Record Table). Diese Tabelle wird dezentral in jedem Fahrzeug verwaltet und protokolliert das Verhalten der Kommunikationspartner.
    • • Es wird von einer optimalen Datenbankarchitektur und optimierten Datenbankeinträgen ausgegangen. Die in den Fahrzeugen benutzte Datenbank kann zentral, verteilt und/oder dezentral organisiert sein. Die Daten selbst können objektorientiert, relational oder mit Methoden aus der mathematischen Logik miteinander verknüpft sein.
    • • Die Vertrauenstabellen und Vertrauenswerte in den SLCs (Trust Values) werden wiederholt (insbesondere periodisch) mit anderen Fahrzeugen synchronisiert.
    • • Durch diese Synchronisation der Tabellen ist für alle Teilnehmer die gleiche Vertrauenstabelle verfügbar. Durch neue Vertrauensinformation ändern sich die TVs der einzelnen Fahrzeuge. Dies kann wiederholt (insbesondere periodisch) zur Ausstellung neuer SLCs führen.
    • • Das Vertrauen von einem Fahrzeug zu einem anderen errechnet sich insbesondere aus der Summe
      • - eines eingetragenen TVs im SLC des sendenden Fahrzeugs und
      • - einer Kombination der Einträge in der Vertrauenstabelle des empfangenden Fahrzeugs bzgl. des Senders.
    • • Die Kolonne besitzt eine, allen Teilnehmern bekannte, synchrone Zeit.
    • • Die Intra-Subnetz-Kommunikation kann sowohl über das LFF als auch direkt zwischen den Fahrzeugen (Point-to-Point) laufen. Im Gegensatz dazu, muss die Inter-Subnetz bzw. Intra-Kolonnen-Kommunikation über LFFs laufen.
    • • Eine Hotspot-basierte Infrastruktur, wie sie oben bereits beschrieben wurde (siehe insbesondere 2), ist verfügbar und voll funktionsfähig.
    • • Es existieren mehrere Typen von Broadcast-Nachrichten. Diese sind z. B. vom KM an LFFs gesendete Einladungs-Nachrichten mit der Aussage „schliesst euch dieser Kolonne an“, von LFFs an Fahrzeuge gesendete Einladungs-Nachrichten mit der Aussage „schliesst euch an mein Subnetz an“, aber auch andere Broadcast-Nachrichten wie z. B. die von einem Fahrzeug gesendete Unfall-Nachricht mit der Aussage „ich habe einen Unfall“. Der Broadcast-Nachricht-Typ ist jeweils aus dem Kontext eindeutig erkennbar. In diesem Dokument wird vorerst nicht zwischen den einzelnen Nachricht-Typen unterschieden.
    • • Die Trägertechnologie für die Kommunikation kann z. B. ein auf W-LAN basierendes lokales Funknetz sein. Es ist aber durchaus möglich andere Funktechnologien wie z. B. UMTS oder GSM in Kombination mit diesen lokalen Netzen zu nutzen (hybrides Kommunikationssystem).
  • Erfolgende Teilbeschreibung betrifft Zertifikate, Vertrauenslisten und mögliche Probleme.
  • FLCs haben eine vom TTP festgelegte Gültigkeit. Jedes Fahrzeug besitzt ein FLC. Die Identität eines Fahrzeugs (z. B. Fahrgestellnummer und Besitzer) wird in einem FLC nicht offen gelegt. Nur dem TTP ist die wahre Identität aller Fahrzeuge inklusive Verschlüsselungsmaterial, Gültigkeit usw. bekannt. Die TTP bildet die Fahrzeugidentität auf einen Kennzeichen-ähnlichen Bezeichner eineindeutig ab und speichert diese abstrakte Identität in das FLC. Es gibt umgekehrt keinen eindeutigen Bezug zwischen der abstrakten Identität und der wahren Identität eines Fahrzeugs. Durch Nutzung eines doppelten Identitätsmappings (z. B. wahre ID wird abgebildet auf Zufallsnummer, die wiederum seitens der TTP auf eine FLC ID abgebildet wird) ist es für Dritte unmöglich, eine Verbindung zwischen dem FLC und der wahren Identität des Fahrzeugs herzustellen. Angreifer könnten allenfalls auf diese zufällige Nummer schließen, aber damit noch nicht an Information bzgl. der wahren Identität eines Fahrzeugs gelangen.
  • Ein SLC wird einem Fahrzeug von einem LFF ausgestellt und kann nur von dem Fahrzeug widerrufen werden, welches das SLC ausgestellt hat.
  • Ein SLC ist zeit- und bereichsbegrenzt. Diese Begrenzung basiert auf der, in der Kolonne existierenden synchronen Zeit bzw. auf der über z. B. über ein GPS (Global Positioning System) ermittelten relativen Position zwischen dem Fahrzeug und dem LFF, das dieses Zertifikat ausstellt. Sobald sich ein Fahrzeug aus der Kolonne bzw. aus seinem Subnetz entfernt oder ein bestimmtes Zeitintervall abgelaufen ist, verliert das SLC seine Gültigkeit.
  • Allgemein formuliert: Zertifikate können eine zeitlich und/oder örtlich begrenzte Gültigkeit haben.
  • Jedes SLC besitzt einen Trust-Level-Eintrag (Vertrauenswürdigkeitseintrag) des Inhabers. Wenn ein LFF ein SLC ausstellen will, überprüft es die zu dem anfragenden Fahrzeug existierenden Einträge in seiner Reputation Records Tabelle. Falls das anfragende Fahrzeug bisher schlechte Reputationseinträge hatte, wird im SLC der Trust Level Eintrag z. B. auf den Wert „low“ (niedrig) gesetzt. Bei einer existierenden guten Reputation wird der Trust Level Eintrag z. B. auf den Wert „high“ (hoch) gesetzt. Falls es keine Einträge zu dem anfragenden Fahrzeug gibt, wird der Trust Value z. B. auf den Wert „middle“ (mittel) gesetzt.
  • Es gibt die zwei oben genannten Typen von SLCs: SLC0 und SLC1, welche abhängig von der Aufgabe der Kolonnenteilnehmer vergeben werden. Für beide Typen gilt, dass sie auf der einen Seite die Kolonnen- bzw. die Subnetzzugehörigkeit bestätigen und auf der anderen Seite die Basis für den hier vorgeschlagenen Reputationsmechanismus bilden. Abhängig von ihrem Typ ist die in einem SLC enthaltene Information unterschiedlich.
  • Obwohl die Verwaltung der Reputation Records dezentral ist (jedes Fahrzeug verwaltet seine eigene Tabelle), läuft die Vergabe von Zertifikaten immer zentral durch LFFs.
  • Die folgende Beschreibung erläutert beispielhaft Details zu den SLC-Typen.
  • SLC0: Der Zertifikat-Typ SLC0 wird von dem KM (Kolonnenmaster) an LFFs ausgestellt, wenn sich diese in dessen Kolonne anmelden wollen. Ein Zertifikat vom Typ SLC0 beweist einem Fahrzeug, dass ein LFF von dem KM identifiziert wurde. Zusätzlich wurde das FLC dieses LFFs mindestens einem LFF (dem KM) bekannt gemacht und sein Zertifikat von diesem verifiziert. Der im Zertifikat-Typ SLC0 enthaltene Trust-Level-Eintrag wird vom Kolonnenmaster vergeben. Der einem LFF zugesprochene Trust-Level (z. B. low, medium oder high) wird vom KM, abhängig von den Reputation-Record-Einträgen des anfragenden LFFs berechnet. Diese Einträge sind dem KM im Vorfeld bekannt. Dadurch, dass die Reputation-Records aller Teilnehmer wiederholt (z. B. periodisch) aktualisiert werden, muss zwischen dem KM und dem anfragenden LFF keine Kommunikation im Vorfeld stattgefunden haben. Die Einträge bzgl. des anfragenden LFFs können auch von Verkehrsteilnehmern stammen, die mit dem LFF und dem KM Kontakt hatten. Durch dieses Prinzip werden Vertrauensinformationen durch das gesamte Netzwerk der Kolonne und auch darüber hinaus verteilt.
  • SLC1: Der Zertifikat-Typ SLC1 wird von dem jeweiligen LFF (Subnetz-Master) an die sich in seinem Subnetz aufhaltenden Fahrzeuge ausgestellt. Zertifikate vom Typ SLC1 werden genutzt, wenn Vertrauenstabellen in einem Subnetz aktualisiert werden. Der Trust-Level der vergebenen SLC1-Zertifikate ist von den Reputation-Record-Einträgen im LFF abhängig. Ein LFF muss im Besitz eines Zertifikats vom Typ SLC0 sein, um Zertifikate vom Typ SLC1 vergeben zu können. Falls ein LFF keiner Kolonne angehört, so muss es wie noch beschrieben wird, zuerst eine neue Kolonne initiieren und sich dann ein eigenes SLC0 ausstellen. Das Privileg, sich ein SLC0 ausstellen zu dürfen, hat nur ein KM. Der Trust-Value im SLC0 des LFF kann abhängig von den Reputation-Records der Fahrzeuge in seinem Subnetz verändert werden. Hierzu senden die Fahrzeuge eine verschlüsselte Nachricht an den KM. Dieser akutalisiert dann die CRL_SLC0 und vergibt dem LFF ein neues Zertifikat. Für die Verschlüsselung dieser Nachrichten soll der im FLC des KMs vorhandene öffentliche Schlüssel genutzt werden. Tabelle 1: Übersicht Benutzter-Zertifikate
    Zertifikat- Typ Aussteller Empfänger
    FLC TTP Kolonnenmaster LFF Andere Fahrzeuge
    SLC0 KM KM / LFF
    SLC1 LFF Andere Fahrzeuge
  • Die folgende Beschreibung betrifft die Zertifikats-Widerruflisten (CRLs). Es existieren zwei Arten von CRLs, auf deren Basis den Fahrzeugen die Berechtigungen Aktionen durchzuführen entzogen oder erteilt werden. Diese sind:
    1. 1. FLC_CRL (Certification Revocation List): Beinhaltet die Liste der zurückgerufenen (widerrufenen) FLCs. Sie wird in dieser Beschreibung auch mit CRL FLC bezeichnet. Diese Liste wird von der TTP erstellt und kann nur von ihr modifiziert werden, d.h. die FLC-Zertifikate können nur von der TTP zurückgerufen werden. Die Aktualisierung der CRLs kann von jedem Fahrzeug in der Kolonne angestoßen (ausgelöst) werden. Fahrzeuge empfangen aktuelle CRLs über die Infrastruktur z. B. über Hotspots. Meldungen an TTPs, über sich „schlecht“ verhaltene Fahrzeuge, werden über die Infrastruktur gesendet.
    2. 2. SLC_CRL: Dies ist die Liste der von den LFFs zurückgerufenen SLC Zertifikate. Sie wird in dieser Beschreibung auch mit CRL_SLC bezeichnet.
      • a. SLC0_CRL: Aussteller dieses Zertifikattyps ist der Kolonnenmaster. Der KM initialisiert diese Liste und ist auch für diese verantwortlich. Wenn ein KM, einem LFF das SLC0-Zertifikat entzieht, entfallen die von diesem LFF ausgestellten SLC1-Zertifikate oder sie haben dann nur noch lokale Gültigkeit.
      • b. SLC1_CRL: In dieser Liste sind die widerrufenen SLC1-Zertifikate gespeichert. Jede dieser Listen kann vom ausstellenden LFF modifiziert werden.
  • Im Folgenden wird unter Bezugnahme auf 2 ein Authentifizierungsmechanismus zwischen Fahrzeugen beschrieben.
  • Ein LFF (z. B. das Fahrzeug 3) versucht zunächst sich in einer bestehenden Kolonne anzumelden, d.h. es wertet zunächst Funknachrichten aus, die es z. B. in einem Funkkanal empfängt. Insbesondere sucht es nach Broadcast-Nachrichten von KMs, die weitere LFFs zur Teilnahme an ihrer Kolonne einladen. Falls ein LFF keine Kolonne in seinem Umkreis findet, gründet es seine eigene Kolonne und wird Kolonnenmaster (KM).
  • In der Initialisierungsphase vergibt es sich als KM (z. B. das Fahrzeug 2) selbst ein Zertifikat vom Typ SLC0 mit dem Trust Value (TV) „middle“. Dieser „Default“-Wert kann auch variieren, falls die Fahrzeuge in der Umgebung des LFF, in ihren Vertrauenstabellen das LFF beurteilende Einträge besitzen. Der KM initialisiert die CRLs, nämlich eine CRL_SLC und eine CRL_SLC. Der KM ist nun das erste LFF der Kolonne und fängt an periodisch Broadcast-Nachrichten an die Fahrzeuge zu senden (Einladungen an LFFs zur Kolonnen- bzw. an Fahrzeuge zur Subnetzbildung).
  • Ein weiteres LFF meldet sich in der Kolonne an:
    • Wenn ein weiteres LFF (z. B. Fahrzeug 1) in den Funkbereich von LFF 2 gelangt, empfängt es von LFF 2 gesendete Broadcast-Nachrichten, mit denen LFF 2 andere LFFs einlädt, sich der Kolonne anzuschließen. LFF 1 antwortet auf den Broadcast mit einer Anfrage und sendet LFF 2 sein FLC. LFF 2 prüft das FLC und sendet LFF 1 sein FLC (gegenseitige Authentifizierung zwischen LFFs). Die Überprüfung ist einfach und zuverlässig durchzuführen, weil alle Fahrzeuge den öffentlichen Schlüssel der TTP kennen.
  • Eine solche Authentifizierung kann ganz allgemein bei anderen Ausgestaltungen der Erfindung entsprechend zwischen zwei beliebigen Fahrzeugen stattfinden, die nicht LFFs sein müssen.
  • LFF 2 speichert das FLC von LFF 1 mit der aktuellen Position und Zeit. Das FLC des LFF 1 wird auch von dem KM gespeichert. Die Speicherung dieses Wertes ermöglicht es im Schadenfall, den Verursacher festzustellen. Die Rückverfolgung im Schadenfall wird noch detailliert erläutert. Nun überprüft LFF 2 seine Vertrauenstabelle und sucht nach Einträgen bzgl. LFF 1. Wenn mindestens ein Eintrag (z. B. Zeile) bzgl. LFF 1 existiert, dann berechnet LFF 2 einen Trust-Value (TV) auf Basis dieses Eintrags. Der Trust-Value kann z. B. „high“, „medium“, „low“ oder „unbekannt“ sein. Nun vergibt LFF 2 an LFF 1 ein SLC0. Der errechnete Trust-Value wird im SLC0 eingetragen. Damit ist nun LFF 1 Mitglied der Kolonne und ist autorisiert, Zertifikate vom Typ SLC1 in seinem Subnetz zu vergeben. Anfragende Fahrzeuge die sich in dem Subnetz von LFF 1 anmelden wollen, haben durch den TV die Möglichkeit herauszufinden, in welchem Maß der KM LFF 1 vertraut.
  • Wenn sich ein Fahrzeug F1, das noch kein Mitglied der Kolonne ist, im Subnetz von LFF 1 anmelden möchte, kann folgendes Verfahren durchgeführt werden:
    1. 1. Fahrzeug F1 tritt physikalisch in das Subnetz von LFF 1 ein.
    2. 2. Fahrzeug F1 empfängt eine Broadcast-Information von LFF 1. Es entschließt sich, sich in dieses Subnetz einzuloggen und sendet eine Anfrage mit seinem FLC, der Zeit und seiner aktuellen Position an das LFF 1.
    3. 3. LFF 1 überprüft und speichert das FLC von Fahrzeug F1.
    4. 4. Nun sucht LFF 1 in seiner Vertrauenstabelle nach Einträgen bzgl. Fahrzeug F1. Wenn mindestens ein Eintrag (z. B. eine Zeile) bzgl. Fahrzeug F1 existiert, dann berechnet LFF 1 einen „Trust Value“ auf Basis dieses Eintrags. Der Trust-Value kann z. B. „high“, „medium“, „low“ oder „unbekannt“ sein.
    5. 5. LFF 1 stellt Fahrzeug F1 ein SLC vom Typ SLC1 aus. Damit F1 sicherstellen kann, dass LFF 1 vertrauenswürdig ist, sendet LFF 1 an F1 sein SLCO, welches es von LFF 2 (dem KM) bekommen hat. Zusätzlich sendet es sein FLC mit Zeit- und Positionsangabe an F1. Dadurch, dass F1 das FLC von LFF 2 empfangen hat, ist ihm auch der öffentliche Schlüssel von LFF 2 bekannt. Durch Verifizieren des SLC0 von LFF 1 kann F1 nun sicherstellen, dass es von LFF 2 (dem KM) ausgestellt wurde. Die Speicherung von FLCs in den Fahrzeugen ist auch für die Rückverfolgung von Teilnehmern im Schadensfall wichtig.
    6. 6. Als letzten Schritt vergibt LFF 1 an F1 ein SLC1. Der errechnete Trust Value wird im SLC1 eingetragen. Damit ist nun F1 Mitglied des Subnetzes von LFF 1. Durch den Trust-Value in SLC1 ist nun allen Kommunikationspartnern bekannt, in welchem Maß LFF 1 Vertrauen in das Fahrzeug F1 hat.
  • Somit hat sich F1 in der Kolonne angemeldet.
  • Der Zertifikatsstatus bzw. Vertrauenslistenstatus sieht nach erster Anmeldung der einzelnen Teilnehmer wie in Tabelle 2 dargestellt aus. Tabelle 2: Verteilung der Zertifikate nach (erster) Anmeldung der Teilnehmer
    Fahrzeug Besitzt Kennt
    FLC SLC0 SLC1 Zertifikate Vertrauensliste
    LFF 2 (KM) X X SLC0 von LFF 1 CRL_FLC
    FLC von LFF 2 CRL_SLC0
    LFF 1 X X FLC von LFF 2 CRL_FLC
    FLC von F1 CRL_SLC0
    CRL SLC1
    F1 X X FLC von LFF 2 CRL_FLC
    SLC0 von LFF 1
  • Die in den Fahrzeug-Fahrzeug-Netzen vorhandene extrem hohe Dynamik führt zu sehr häufigen An-/ Abmeldeprozeduren. Die durch die Netzeigenschaften hervorgerufenen, speziellen Situationen werden hier aufgegriffen und im Detail erläutert.
  • Fahrzeug F1 verlässt die Kolonne:
    • Wenn ein Fahrzeug F1 das Subnetz von LFF 1 verlässt, verliert das SLC1 von F1 seine Gültigkeit. LFF 1 verwaltet die Liste der von ihm vergebenen und ungültigen SLC1 Zertifikate in seiner CRL_SLC1 Liste und muss diese in diesem Fall aktualisieren. Die aktualisierte Liste wird periodisch an alle Subnetzteilnehmer gesendet. Die Aktualisierung kann entweder zeit- oder aber auch ereignisgesteuert stattfinden.
  • LFF 1 verlässt Kolonne:
    • Wenn LFF 1 die Kolonne verlässt, verliert das SLC0 von LFF 1 seine Gültigkeit. Da der Aussteller dieses Zertifikats der KM ist, muss er seine CRL_SLC0 Liste aktualisieren und diese den anderen LFFs mitteilen. Die Aktualisierung kann zeit- oder ereignisorientiert sein. Die Besonderheit in diesem Fall ist, dass das die Kolonne verlassende LFF evtl. nicht in direkter Funkreichweite des KMs sein kann. Das die Kolonne verlassende LFF, unterrichtet zuerst das LFF der Kolonne, das sein direkter Nachbar ist und sich in Richtung KM befindet. Der Nachbar leitet die Nachricht („Ich verlasse Kolonne“) an das nächst gelegene LFF weiter, bis der KM diese Nachricht empfangen hat. Der KM weiß nun, dass ein LFF die Kolonne verlassen möchte und sendet eine aktualisierte CRL_SLC0 Liste an die LFFs der Kolonne. Falls ein sich in der Mitte der Kolonne befindendes LFF die Kolonne verlassen will, kann der im folgenden vorgeschlagene Ablauf stattfinden. Angenommen, es befinden sich vier LFFs auf der Fahrbahn. Diese sind der Reihe ihrer Anordnung in der Kolonne nach LFF 2 (der KM), LFF_2, LFF_3 und LFF_4. LFF_3 will die Kolonne verlassen und hat keinen direkten Kontakt zum KM. Er sendet eine Nachricht, wie z. B. „ich möchte die Kolonne verlassen“, an den KM über LFF_2. Der KM aktualisiert seine CRL_SLC0 Liste und sendet sie bis zu der Position von LFF_2. Es kann sein, dass LFF_4 für eine kurze Zeit keinen Kontakt mehr zum KM hat, weil das von LFF_3 geformte Subnetz sich aufgelöst hat. In diesem Fall meldet er sich durch erneute Broadcast-Anfrage an und bekommt nach erneuter Anmeldung die aktuelle CRL_SLC0 Liste über benachbarte LFFs. Diese Liste bekommt er entweder von LFF 1 oder von einem sich in der Kolonne neu angemeldeten LFF_3. Falls er keine Antwort auf seine Broadcast-Anfrage bekommt und sein Timer abgelaufen ist, formt er seine eigene Kolonne und wird selbst zum KM.
  • Alternativ oder zusätzlich können auch ähnlich wie in der Verwaltung von Listen Zeiger umgeleitet werden und versucht werden, (hier z. B. LFF_4) nicht zu verlieren. Es werden alle Teilnehmer, des von dem die Kolonne verlassenden LFFs geformten Subnetzes von dessen Ausscheiden informiert und entsprechende Listen aktualisiert. Wegen des zusätzlichen Aufwandes bei der Verwaltung von Listen kann jedoch von dieser Ausgestaltung abgesehen werden.
  • Kolonnenmaster (KM) verlässt Kolonne:
    • Falls sich der Kolonnenmaster ändert, initiiert ein LFF eine neue Kolonne. Es werden dann neue Zertifikate und neue CRL-Listen erstellt.
  • Ein Fahrzeug bewegt sich von dem Subnetz des LFF 1 in das Subnetz LFF 2:
    • Das Fahrzeug F1 möchte sich im Subnetz von LFF 2 anmelden. Weil während des Aufenthalts von F1 im Subnetz von LFF 1 die Vertrauenstabellen (Reputation Records) gepflegt wurden, existiert bereits Information zur Vertrauenswürdigkeit von F1 aus dem Subnetz von LFF 1. Da diese Information durch Broadcast-Nachrichten, zwischen den LFFs ausgetauscht wird, ist die Vertrauenswürdigkeitsinformation bzgl. F1 auch in der Vertrauenstabelle von LFF 2 vorhanden. Zusätzlich speichern benachbarte LFFs Vertrauensinformationen voneinander. Dies geschieht durch die Mitteilung von Subnetzelementen an die jeweiligen benachbarten LFFs. Der Vorgang kann wie folgt beschrieben werden: LFF 1 kontaktiert LFF 2 und fragt, ob sich F1 versucht im Subnetz von LFF 2 anzumelden. Falls ja, überträgt es die Information über das Verhalten von F1 an LFF 2. LFF 2 wertet die Anfrage von F1 unter Einbeziehung der Information von LFF 1 aus und erteilt F1 auf Basis der aktuellen Einträge ein SLC1 mit einem aktuellen Trust-Value. Ein möglicher anderer Ansatz ist, die Listen zeitgesteuert über periodische Broadcast-Nachrichten zu aktualisieren.
  • LFF 2 überholt LFF 1:
    • Während des Überholvorgangs, ändern sich Netzwerkadressen der LFFs. In solch einem Fall stellt der KM, falls erforderlich, neue Zertifikate vom Typ SLC0 bzw. stellen die LFFs Zertifikate vom Typ SLC1 aus.
  • Fahrzeug F1 wird wegen mangelnder Reputation aus dem Subnetz LFF 1 bzw. aus der Kolonne ausgeschlossen:
    • Falls LFF 1 registriert, dass sich Fahrzeug F1 nicht korrekt (z. B. entsprechend von allgemein bekannten Regeln) verhält (z. B. kann es sein, dass F1 falsche Information oder so genannte SPAM an die Teilnehmer verschickt), so wird F1 aus der Kommunikation ausgeschlossen. LFF 1 entzieht F1 das SLC1 oder stuft den Trust Level von F1 herunter. Die von LFF 1 verwaltete CRL_SLC1 wird aktualisiert und den Subnetzteilnehmern bekannt gemacht.
  • LFF 1 wird wegen mangelnder Reputation aus der Kolonne ausgeschlossen:
    • Falls LFF 1 als nicht vertrauenswürdiger Knoten von KM identifiziert wird, wird er von der Kolonne ausgeschlossen. Beispielsweise kann es sein, dass LFF 1, falsche Information oder SPAM an die Teilnehmer verschickt oder seine speziellen Befugnisse in der Kommunikationsstruktur missbraucht. Um diese schädlichen Informationen zu filtern, kann ein Kommunikationsfilter verwendet werden. Solch ein Verhalten ändert natürlich die Vertrauenseinträge in den Vertrauenstabellen. Benachbarte LFFs führen gegenseitig Vertrauenstabellen, welche von den jeweiligen Subnetzelementen aktualisiert werden können. Falls ein Vertrauenstabellen-Eintrag eines LFFs unter einen bestimmten Grenzwert fällt, wird sofort der KM informiert. Dieser erzeugt eine neue CRL_SLC0 und macht diese in der Kolonne bekannt. In so einem Fall verlieren auch die von dem ausgeschlossenen LFF ausgestellten SLC1 Zertifikate ihre Gültigkeit.
  • Spezielle Probleme der Kommunikation zwischen Fahrzeugen:
    • Wenn das SLC eines Fahrzeugs F1 nicht mehr gültig ist, muss bei LFF 2 ein neues SLC beantragt werden.
  • Der folgenden Teilbeschreibung betrifft die „Ende-zu-Ende“
    Kommunikationssicherheit
  • Um in einem Ad-Hoc-Netzwerk eine sichere Kommunikation zwischen zwei Knoten, zu garantieren, müssen beide Kommunikationspartner sicher sein, dass der Kommunikationspartner derjenige ist, für den er sich ausgibt, und dass die Nachrichten auf dem Kommunikationskanal nicht von Dritten verändert, ausgetauscht und/oder gefälscht wurden. Der Identitätsnachweis kann durch Authentifizierung und die nicht Veränderbarkeit der Nachricht durch digitale Signaturen gewährleistet werden. Falls man zusätzlich das Problem von Lauschern auf dem Kommunikationskanal bewältigen will, müssen die ausgetauschten Daten verschlüsselt übertragen werden.
  • Die hier vorgeschlagene Lösung für die sichere Kommunikation in Ad-Hoc-Fahrzeug-Netzen deckt die Punkte der gegenseitigen Überprüfung und der Verifikation von Identitäten, die Fälschungssicherheit von Nachrichten als auch die Verschlüsselung der Daten auf dem Funkkanal ab. Diese Möglichkeiten werden im Folgenden unter Angabe der verschiedenen Kommunikationsarten diskutiert.
  • Ende-zu-Ende-Sicherheit zwischen Mitgliedern eines Subnetzes:
    • In einem LFF-Subnetz haben Fahrzeuge die Option, sowohl direkt miteinander zu kommunizieren, als auch über ihren LFF (Cluster Master). Jede Art von Kommunikation fällt in eine der in diesem Konzept definierten Kategorien. Diese Kommunikationskategorien sind vorerst unterteilt in sicherheitssensible und persönliche Kommunikation, da diese Unterteilungen selbst wiederum spezielle Anforderungen an die Kategorisierung nach Anzahl der Teilnehmer bzw. bestätigter/unbestätigte Kommunikation stellen.
  • Austausch von sicherheitssensibler Information (safety messages):
    • Diese Art von Kommunikation toleriert nur sehr geringe Latenz. Optimal wäre es, wenn man diese Nachrichten Real-Time oder quasi in Real-Time übertragen könnte. Die ausgetauschte Information ist immer hoch sensibel und fällt unter die Kategorie „sicherheitskritisch“. Beispiele hierfür sind die Gefahrenwarnung, die Glatteiswarnung, die Warnung über eine Vollbremsung, Warnung über den Unfall hinter der Kurve usw.. Für diesen Nachrichtentyp ist es unerheblich, dass sie von Dritten mitgehört werden. Sie sind in der Regel für alle Teilnehmer von Bedeutung und haben warnenden Charakter. Sie sollen nicht verschlüsselt übertragen werden. Sehr wichtig ist aber, die Authentifizierung des Absenders einer solchen Nachricht. In diesem Konzept werden dafür digitale Signaturen eingesetzt. Ein Fahrzeug signiert („unterschreibt“) die Nachricht und teilt damit anderen mit, dass diese Nachricht von ihm erzeugt oder gesehen wurde. Digitale Signaturen haben weniger Berechnungsaufwand als alternativ anwendbare Kryptographische Mechanismen und verursachen im Vergleich zu diesen auch geringere Verzögerung und sind daher effektiver.
  • Punkt-zu-Punkt-Kommunikation:
    • Im Folgenden wird angenommen, dass zwei Mitglieder eines von LFF 1 kontrollierten Subnetzes, genauer gesagt die Fahrzeuge F1 und F2 miteinander kommunizieren möchten. F1 möchte eine Glatteiswarnungs-Nachricht an F2 senden. F1 muss in diesem Fall die Nachricht mit dem Privaten Schlüssel seines von LFF 1 ausgestellten SLC1 Zertifikats verschlüsseln. F1 sendet die Nachricht mit seinem SLC1 an F2. F2 verifiziert die Gültigkeit von SLC1 des Fahrzeugs F1. Wenn nach Überprüfung des SLC1 festgestellt wird, dass das SLC1 gültig ist, d. h. das SLC1 von F1 nicht in der CRL_SLC1 eingetragen ist, wird die Nachricht entschlüsselt und ihr Inhalt ausgewertet.
  • Punkt-zu-Mehrpunkt-Kommunikation:
    • Im Folgenden wird angenommen, dass drei Mitglieder eines von LFF 1 kontrollierten Subnetzes, genauer gesagt die Fahrzeuge F1, F2 und F3 miteinander kommunizieren möchten. F1 möchte eine Glatteiswarnung-Nachricht an F2 und F3 senden. F1 muss in diesem Fall, die Nachricht mit dem Privaten Schlüssel, der das Gegenstück seines im von LFF 1 ausgestellten SLC1 Zertifikats ist, verschlüsseln. F1 sendet die Nachricht mit seinem SLC1 an F2 und F3. F2 bzw. F3 verifizieren die Gültigkeit des SLC1 von F1. Wenn nach Überprüfung des SLC1 festgestellt wird, dass das SLC1 gültig ist, d. h. das SLC1 nicht in der CRL_SLC1 eingetragen ist, wird die Nachricht jeweils von F2 und F3 entschlüsselt und ihr Inhalt ausgewertet.
  • Die Broadcast (Rundum)-Kommunikation kann genauso betrieben werden wie die Punkt-zu-Mehrpunkt-Kommunikation.
  • Die folgenden Abschnitte der Beschreibung betreffen die vertrauliche persönliche Kommunikation. In diese Kategorie fallen Anwendungen wie z. B. das Chatten, der Datei- und/oder Software-Download und das Surfen im Internet. Wesentlich ist, dass in dieser Art der Kommunikation, die übertragene Information vertraulich ist und je nach Bedarf verschlüsselt übertragen werden muss. Anwender möchten in der Regel nicht, dass Dritte die Kommunikation mithören. Hierzu werden Verschlüsselungsmechanismen angewendet. Dafür kann eine Verzögerung in der Kommunikation und höherer Berechnungsaufwand in Kauf genommen werden. Wie bereits erwähnt ist die angewendete Verschlüsselung applikationsabhängig.
  • Punkt-zu-Punkt-Kommunikation: Wir nehmen an, dass sich Fahrzeug F1 und F2 in einem von LFF 1 kontrollierten Subnetz befinden. Sie möchten eine Chat-Anwendung starten und darauf folgend vertrauliche Information austauschen. F1 muss sich dafür aber, zuerst F2 gegenüber ausweisen. Diese Pflicht erfüllt es durch das Senden seines SLC1 Zertifikats. Dieses Zertifikat ist von LFF 1 ausgestellt. F2 überprüft die Gültigkeit des Zertifikats von SLC1. F1 verifiziert auf die gleiche Art und Weise das Zertifikat von F2. Nach dieser Kommunikation kennen beide Kommunikationspartner gegenseitig ihre Identitäten und ihre öffentlichen Schlüssel, d.h. F1 kennt den öffentlichen Schlüssel von F2 und umgekehrt. Zusätzlich haben beide verifiziert, dass sie Vertrauen seitens der TTP genießen. F1 und F2 benutzen ihre öffentlichen Schlüssel und tauschen einen gemeinsamen symmetrischen Schlüssel für die Kommunikation bzw. die aktuelle Sitzung aus. Nachdem ein gemeinsamer, geheimer, symmetrischer Schlüssel durch Nutzung der öffentlichen Schlüssel erzeugt wurde, werden die öffentlichen Schlüssel nicht mehr benutzt d.h. ab diesem Zeitpunkt findet keine Kommunikation mehr auf Basis des Schlüsselpaares öffentlicher/privater Schlüssel statt. Alle ausgetauschten Nachrichten in der Kommunikation werden mit diesem symmetrischen Schlüssel verschlüsselt und ab jetzt auch verschlüsselt übertragen. Der Grund für dieses Vorgehen ist die Effizienz von symmetrischen Verschlüsselungsverfahren gegenüber asymmetrischen Verfahren. Symmetrische Verschlüsselungsverfahren haben niedrige Komplexität, erfordern weniger Berechnungsaufwand und sind ausreichend sicher für eine zeitlich begrenzte Kommunikation dieser Art.
  • Insbesondere diese Art der Punkt-zu-Punkt Kommunikation kann auch bei beliebigen anderen Ausgestaltungen der Erfindung stattfinden. Entsprechendes gilt auch für die folgenden Arten der Kommunikation.
  • Punkt-zu-Mehrpunkt-Kommunikation:
    • Wir nehmen an, dass sich die Fahrzeuge F1, F2 und F3 in einem von LFF 1 kontrollierten Subnetz befinden. Sie möchten eine Chat-Anwendung starten und darauf folgend vertrauliche Information austauschen. F1, F2 und F3 müssen sich dafür gegenseitig vertrauen. Dies wird durch das gegenseitige Versenden der SLC1-Zertifikate zwischen F1, F2 und F3 gemacht. Das SLC1-Zertifikat ist von LFF 1 ausgestellt. Alle Empfänger überprüfen gegenseitig die Gültigkeit der empfangenen SLC1 Zertifikate. Beispielsweise verifiziert F1 das Zertifikat von F2 mit dem öffentlichen Schlüssel von LFF 1. Auf die gleiche Art und Weise verifizieren F1 und F3 sowie F2 und F3 gegenseitig ihre Zertifikate. Nach dieser Kommunikation kennen alle Kommunikationspartner untereinander ihre Identitäten und ihre öffentlichen Schlüssel, d.h. F1 kennt den öffentlichen Schlüssel von F2 usw.. Das Vertrauen unter den Kommunikationspartnern ist damit hergestellt. F1, F2 und F3 benutzen ihre öffentlichen Schlüssel und tauschen einen gemeinsamen symmetrischen Schlüssel für die Kommunikation bzw. die aktuelle Sitzung aus. Nachdem ein gemeinsamer geheimer Schlüssel über die öffentlichen Schlüssel erzeugt wurde, werden sie nicht mehr benutzt. Alle ausgetauschten Nachrichten in der Kommunikation werden mit diesem symmetrischen Schlüssel verschlüsselt. Der Grund für dieses Vorgehen hier ist wiederum die Effizienz von symmetrischen Verschlüsselungsverfahren.
  • Broadcast-Kommunikation:
    • Wenn über eine Broadcast-Kommunikation persönliche Daten ausgetauscht werden sollen, wird davon ausgegangen, dass diese Information für alle Kolonnenteilnehmer bestimmt ist. Daher wird die Nachricht unverschlüsselt übertragen. Allerdings hat jedes die Nachricht empfangende Fahrzeug die Aufgabe, den Absender zu verifizieren. Dies geschieht durch Verifikation des SLC1 des Absenders. Es wird vorgeschlagen, dass der Absender vor dem Broadcast die Nachricht mit seinem Privaten Schlüssel verschlüsselt, so dass jeder im Anschluss diese mit dem öffentlichen Schlüssel im empfangenen SLC1 wieder entschlüsseln und den Absender verifizieren kann. Dadurch verkürzen sich lange Kommunikationswege bei der Überprüfung.
  • Der folgende Abschnitt befasst sich mit der Ende-zu-Ende-Sicherheit zwischen Mitgliedern verschiedener Subnetze (z. B. innerhalb derselben Kolonne)
  • Austausch von sicherheitssensibler (safety messages) Information: Punkt-zu-Punkt-Kommunikation:
    • Es wird angenommen, dass F1 ein Mitglied des von LFF 1 initiierten Subnetzes und F7 ein Mitglied des von LFF 2 initiierten Subnetzes ist. Falls das Fahrzeug F7 dem Fahrzeug F1 eine Glatteiswarnung-Nachricht senden möchte, muss es diese Nachricht mit dem privaten Schlüssel seines Schlüsselpaares (das Schlüsselpaar weist einen öffentlichen und einen privaten Schlüssel auf) im von seinem LFF vergebenen SLC1-Zertifikat verschlüsseln. Danach sendet es diese Nachricht mit seinem SLC1 und dem SLC0 (das vom Kolonnenmaster ausgegeben wurde, hier von LFF 2) an F1.
  • Das Inter-Subnetz-Routing von Nachrichten ist die Aufgabe von LFFs. In diesem Fall findet LFF 2 die optimale Route für die Nachricht von F7 an F1. Dazu findet es zuerst heraus, in welchem Subnetz sich das adressierte Fahrzeug befindet und sendet die Nachricht an dieses LFF (hier LFF 1). Beim Weiterleiten der Nachricht hängt LFF 2 sein SLC0 Zertifikat an die Nachrichten an. Durch diesen Zusatz ist es für das LFF, das die Nachricht empfängt, möglich zu verifizieren, ob das SLC1 des Absenders zu einem Subnetz aus dieser Kolonne kommt. Diese Verifikation impliziert dass der Absender Mitglied des sendenden Subnetzes ist, da das verifizierte LFF ihm sonst kein Zertifikat vom Typ SLC1 ausstellen würde. Nach Verifikation des SLC0 Zertifikats wird die Nachricht vom empfangenden LFF an das jeweils adressierte Mitglied des Zielsubnetzes weitergeleitet.
  • Das genaue Vorgehen der Verifikation des Zertifikates von LFF 2, also des SLC0 von LFF 2 ist wie folgt:
    • LFF 1 empfängt die Nachricht von F7 mit den Zertifikaten SLC0 von LFF 2 und dem SLC1 von F7. LFF 1 verifiziert zuerst das SLC0. Dafür überprüft es in der CRL_SLC0, ob dieses Zertifikat von dem KM ausgestellt wurde und nicht widerrufen wurde. Nachdem die Gültigkeit des SLC0 festgestellt wurde, wird von LFF 1 die Gültigkeit des SLC1 überprüft. Dies wird durch Abfragen der CRL_SLC1 Liste bei LFF 2 ausgeführt. Falls auch die Überprüfung von SLC1 erfolgreich war, wird die Nachricht an das empfangende Fahrzeug F1 weitergeleitet. Das empfangene Fahrzeug F1, muss die Signatur mit dem öffentlichen Schlüssel aus dem SLC1 von Fahrzeug F7 überprüfen.
  • Punkt-zu-Mehrpunkt-Kommunikation:
    • Die Punkt-zu-Mehrpunkt-Kommunikation kann unter Berücksichtigung der Komplexität mit jedem Knoten eine Verbindung aufbauen zu müssen, entsprechend dem vorangegangenen Abschnitt ausgeführt werden.
  • Broadcast-Kommunikation:
    • Eine sichere Broadcast-Kommunikation kann durch Anwendung der Verfahren in den vorangegangenen Abschnitten durchgeführt werden. Die Authentifizierung des empfangenden Fahrzeugs kann entfallen.
  • Der folgende Abschnitt betrifft die vertrauliche persönliche Kommunikation.
  • Punkt-zu-Punkt-Kommunikation:
    • Angenommen F7 ist ein Mitglied des von LFF 2 initiierten Subnetzes und F2 ein Mitglied des von LFF 1 initiierten Subnetzes. Falls das Fahrzeug F7 mit dem Fahrzeug F2 eine Chat-Anwendung starten und anschließend vertrauliche Information austauschen möchte, muss sich zuerst Fahrzeug F7 gegenüber Fahrzeug F2 authentifizieren. Hierzu können Zertifikate des Typs SLC1 ausgetauscht werden. Weil das Inter-Subnetz-Routing von Nachrichten die Aufgabe von LFFs ist, werden auch die SLC0 Zertifikate der LFFs ausgetauscht. In solch einer Kommunikation findet LFF 2 die optimale Route für die Nachricht von F7 an F2. Dazu findet es zunächst heraus, in welchem Subnetz sich das adressierte Fahrzeug befindet und sendet die Nachricht an dessen LFF (hier LFF 1). Beim Weiterleiten der Nachricht hängt LFF 2 sein SLC0 an die Nachricht an. Durch diesen Zusatz ist es für das die Nachricht empfangende LFF möglich, zu verifizieren, ob das SLC1 des Absenders von einem Subnetz aus dieser Kolonne kommt. Diese Verifikation impliziert, dass der Absender Mitglied des sendenden Subnetzes ist, da das verifizierte LFF ihm sonst kein Zertifikat vom Typ SLC1 ausstellen würde. Nach Verifikation des SLC0 Zertifikats wird die Nachricht vom empfangenden LFF an das jeweils adressierte Mitglied des Zielsubnetzes weitergeleitet.
  • Das genaue Vorgehen der Verifikation des Zertifikates von LFF 2, also des SLC0 von LFF 2 ist z. B. wie folgt: LFF 1 empfängt die Nachricht von F7 mit den Zertifikaten SLC0 von LFF 2 und dem SLC1 von F7. LFF 1 verifiziert zuerst das SLC0. Dafür überprüft es in der CRL_SLC0, ob dieses Zertifikat von dem KM ausgestellt wurde und nicht widerrufen wurde. Nachdem die Gültigkeit von SLC0 festgestellt wurde, wird von LFF 1 die Gültigkeit von SLC1 überprüft. Dies wird durch Abfragen der CRL_SLC1 Liste bei LFF 2 erreicht. Falls auch die Überprüfung des SLC1 erfolgreich war, wird die Nachricht an das empfangende Fahrzeug F2 weitergeleitet. Auf die gleiche Art und Weise muss sich auch das empfangende Fahrzeug dem Absender gegenüber ausweisen. Hierzu wird der gleiche Weg von Richtung Empfänger in Richtung Absender durchlaufen. Dadurch sind sich beide Kommunikationspartner bekannt. Sie kennen ihre öffentlichen Schlüssel (jeweils SLC1 von F7 und SLC1 von F2)) und können diese benutzen, um einen geheimen symmetrischen Schlüssel zu erzeugen. Mit diesem Schlüssel kann dann auf einer sicheren Verbindung aufbauend bidirektional und verschlüsselt kommuniziert werden.
  • Punkt-zu-Mehrpunkt-Kommunikation:
    • Die Punkt-zu-Mehrpunkt-Kommunikation kann unter Berücksichtigung der Komplexität, mit jedem Knoten eine Verbindung aufbauen zu müssen, entsprechend wie in dem vorangegangene Abschnitt ausgeführt werden.
  • Broadcast-Kommunikation:
    • Wenn über eine Broadcast-Kommunikation persönliche Daten ausgetauscht werden sollen, dann wird davon ausgegangen, dass diese Information für alle Kolonnenteilnehmer bestimmt ist. Daher wird die Nachricht unverschlüsselt übertragen. Allerdings hat jedes, die Nachricht empfangende Fahrzeug die Aufgabe, den Absender zu verifizieren. Dies geschieht durch Verifikation des SLC1 des Absenders. Es wird vorgeschlagen, dass der Absender vor dem Broadcast die Nachricht mit seinem privaten Schlüssel verschlüsselt, so dass jeder im Anschluss diese mit dem öffentlichen Schlüssel im empfangenen SLC1 wieder entschlüsseln und den Absender verifizieren kann. Dadurch verkürzen sich lange Kommunikationswege bei der Überprüfung.
  • Der folgende Abschnitt betrifft die Rückverfolgung im Schadensfall, insbesondere von Kolonnenteilnehmern durch eine TTP.
  • Ein Vorteil der Fahrzeug-Fahrzeug-Kommunikation liegt darin, dass das Verhalten der Fahrzeuge im Nachhinein zurückverfolgt werden kann. Diese Möglichkeit, ist sehr wichtig, da es im Straßenverkehr der Fall sein kann, dass während der Kommunikation zwischen Fahrzeugen ein Fahrzeug einem anderen Fahrzeug, aus welchen Gründen auch immer, falsche Nachrichten sendet und anderen dadurch erheblichen Schaden zufügt. Der Rückverfolgung muss unter Einhaltung gesetzlicher Maßgaben Rechnung getragen werden und sie muss für Außenstehende hinreichend schwer (nahezu unmöglich) sein.
  • Das in diesem Konzept vorgeschlagene Verfahren zur Authentifizierung und Bildung von Reputation ermöglicht die Rückverfolgung der Fahrzeuge im Schadensfall durch staatliche Institutionen und macht eine Rückverfolgung für nicht autorisierte Personen z. B. Hacker fast unmöglich. Die Rückverfolgbarkeit seitens der Regierung erreichen wir dadurch, dass bei jedem Nachrichtenaustausch, der Empfänger die aktuelle Zeit, die Position und das SLC bzw. FLC des sendenden Fahrzeugs speichert. Hacker können, auch wenn sie an SLCs bzw. FLCs kommen, nicht auf sensible Daten zugreifen, weil diese sicher bei den TTPs aufbewahrt sind.
  • Für die Rückverfolgbarkeit ist eine Voraussetzung, dass die Zertifikate der Kommunikationspartner gespeichert werden müssen. Das Problem hierbei ist aber, dass während der Betriebszeit eines Fahrzeugs der von Zertifikaten belegte Datenspeicher sehr groß wird. Hierzu schlagen wir vor, den belegten Datenspeicher von Fahrzeugen regelmäßig zu löschen oder zu filtern. Lediglich die Datenspeicher von LFFs sollten so lang wie möglich nicht gelöscht werden, weil sie sich i.d.R. sehr lange auf Fahrtstrecken befinden und dadurch sehr viel Information liefern. Auch die Fortschritte im Bereich der Datenbanktechnologien, z. B. Data-Mining, verteilte bzw. dezentrale Datenbanken usw., werden bei der Verwaltung der aufkommenden Datenmenge genutzt werden müssen.
  • Die Rückverfolgbarkeit von Fahrzeugen soll im Folgenden an einem Beispiel erläutert werden. Wir nehmen an, dass ein Fahrzeug einen Unfall verursacht hat und nicht mehr auffindbar ist. Die Polizei nutzt den vorgeschlagenen Mechanismus um den Verursacher inkl. seiner Identität, der Tatzeit und der Position ausfindig zu machen.
  • Rückverfolgung der Schaden verursachenden Subnetzteilnehmer:
    • Wir gehen davon aus, dass sich die Fahrzeuge F1 und F2 im gleichen Subnetz befinden und F2 dicht hinter F1 fährt. Das Subnetz wird von LFF 1 kontrolliert. F1 sendet F2 eine Warnungsnachricht, dass er gerade eine Vollbremsung macht und signalisiert damit, dass ein eventueller Unfall bevorsteht. F1 sendet mit der Nachricht auch sein SLC an F2. F2 überprüft den Trust Value im SLC1 von F1 und stellt fest, dass der eingetragene Wert „high“ ist. Wegen des hohen Reputationswertes von F1, kann er sich fast sicher sein, dass F1 keine falschen Botschaften verbreitet. Sicherheitshalber macht er noch eine Abfrage in der von LFF 2 verwalteten CRL_SLC1 Liste. Auch in dieser Liste spricht nichts dagegen, dass F2 der Nachricht vertrauen kann. F2 entschließt sich zu bremsen und kann dadurch rechtzeitig einen Unfall vermeiden.
  • Die folgende Situation betrifft den Fall, dass F1 eine fehlerhafte Nachricht an F2 sendet und dadurch ein Unfall verursachen wird.
  • F2 kann unmittelbar nach dem Unfall eine Nachricht an LFF 1 per Broadcast versendet (eine Rückverfolgungsanfrage an LFF 1). In dieser Nachricht sind die Position, die Zeit und das SLC1 von F1 enthalten, d. h. des dieses Verhalten verursachenden Fahrzeugs. F2 ist die SLC1 von F1 bekannt, aber nicht die FLC. Die FLC kann aber von dem LFF aufgedeckt werden. LFF 1 bekommt also diese Nachricht und bildet das SLC1 von F1 auf das entsprechende FLC von F1 ab. Ferner speichert es diese Information und sendet die Daten des Verursachers bei der nächsten Möglichkeit an die Infrastruktur, z. B. an die Polizei via W-LAN, GSM, UMTS und/oder DVB-T. Um zu verhindern, dass LFF 1 falsche Meldungen an die Infrastruktur verschickt, soll LFF 1 die Infrastruktur Nachrichten mit seinem privaten Schlüssel, welcher der Gegenpart seines öffentlichen im FLC enthaltenen Schlüssels ist, verschlüsseln und mit seinem FLC an z. B. die Polizei verschicken.
  • Die Polizei kann auf dieser Basis das LFF 1 identifizieren, da es das FLC kennt. Falls LFF 1 falsche Nachrichten sendet, kann es zur Rechenschaft gezogen werden. Hierzu muss die Polizei bei der TTP anfragen und sich die wahre Identität des LFFs holen. Dadurch, dass LFF 1 die gesendete Nachricht mit seinem privaten Schlüssel, der der Gegenpart seines öffentlichen im FLC von LFF 1 enthaltenen Schlüssels ist, signiert hat, steht er eindeutig als Absender fest. Somit ist LFF 2 gezwungen richtige Daten zu senden, um nicht belangt zu werden.
  • Die Polizei hat von LFF 1 auch die FLC von F1 bekommen. Die TTP wird angefragt und die wahre Identität von F1 aufgedeckt. Nun kann F1 z. B. durch ein Broadcast gesucht und festgenommen werden. Er kann nicht leugnen zu diesem Zeitpunkt an diesem Ort gewesen und die Nachricht, welche die Unfallursache darstellt, versendet zu haben.
  • Falls die Funkeinrichtung von F2 nach dem Unfall nicht mehr funktionsfähig ist, dann kann F2 die Nachricht nicht an LFF 1 senden. Die folgende Information ist in der On Board Unit (OBU) von F2 gespeichert:
    • • Das FLC des Kolonnenmasters, bei dem F2 zum Zeitpunkt des Unfalls angemeldet war.
    • • Das SLC0 von LFF 2 und das FLC von LFF 2 von seinem das Subnetz kontrollierenden LFF zum Zeitpunkt des Unfalls.
    • • Das SLC1 von F1 des die zum Unfallzeitpunkt die Nachricht sendenden Fahrzeugs. Man kann annehmen, dass die letzte empfangene Nachricht den Unfall verursacht hat.
    • • Die genaue Zeit und Position von F2, als die Nachricht empfangen wurde.
  • Nach dem Auslesen dieser Information aus dem Fahrzeug kann sich die Polizei an die TTP wenden und unter Angabe von FLC von LFF 2 durch Mapping auf die wahre Identität von LFF 2 schließen. Nun kann LFF 2 konsultiert werden. Nach dem Auslesen seiner OBU ist es möglich, durch folgende Information auf die Identität von F1 zu schließen:
    • • Abbildung SLC1 von F1 auf FLC von F1.
    • • Zeit und Position, wann sich F1 im Subnetz angemeldet hat.
    • • Zeit und Position, wann sich F1 aus dem Subnetz abgemeldet hat.
  • Mit diesen Daten startet die Polizei eine erneute Anfrage an die TTP und kann mit der Information von FLC von F1 die Identität von F1 herausfinden. F1 kann z. B. durch ein Broadcast gesucht, gefunden bzw. seine OBU (Datenspeicher) analysiert werden.
  • Rückverfolgung der Schaden verursachenden LFFs: Es wird davon ausgegangen, dass eine Kommunikation zwischen den Fahrzeugen LFF 2 und LFF 1 stattfindet. Das von LFF 2 kontrollierte Subnetz befindet sich vor dem von LFF 1 kontrollierten Subnetz. LFF 2 sendet eine Nachricht bzgl. eines Unfalls in seinem Subnetz und möchte LFF 1 informieren, damit dieser seine Kommunikationspartner rechtzeitig warnen kann. LFF 1 überprüft den Trust-Value im SLC0 von LLF 2 und stellt fest, dass der eingetragene Wert „high“ ist. Wegen des hohen Reputationswertes von LFF 2 kann es sich fast sicher sein, dass LFF 2 keine falschen Botschaften verbreitet und dass der KM volles Vertrauen in LFF 2 hat. Sicherheitshalber macht LFF 1 noch eine Abfrage in der vom KM verwalteten CRL_SLC0 Liste. Auch in dieser Liste spricht nichts dagegen, dass LFF 1 der Nachricht vertrauen kann. LFF 1 entschließt sich die Nachricht weiter zu verarbeiten und warnt die Mitglieder seines Subnetzes. Diese bremsen dann rechtzeitig und somit wird eine Massenkarambolage vermieden.
  • Die folgende Situation betrifft den Fall, dass gesendet wurde und dadurch ein Unfall verursachen wird.
  • Wenn LFF 2 eine fehlerhafte Nachricht an LFF 1 gesendet hat, wird direkt nach dem Unfall eine Nachricht von einem Fahrzeug (z. B. Fahrzeug F1) per Broadcast versendet (dies ist die Rückverfolgungsanfrage an LFF 1). In dieser Nachricht sind die Position, die Zeit und das SLC0 von LFF 2 enthalten, das dieses Verhalten verursacht hat. LFF 1 sind die SLC0 von LFF 2 und die FLC von LFF 2 bekannt. LFF 1 sendet die FLC bei der nächsten Möglichkeit an die Infrastruktur und/oder an die Polizei. Um zu verhindern, dass LFF 1 falsche Meldungen an die Infrastruktur verschickt, soll LFF 1 die Infrastruktur-Nachrichten mit seinem Privaten Schlüssel, der der Gegenpart seines öffentlichen im FLC von LFF 1 enthaltenen Schlüssels ist, verschlüsseln und mit seinem FLC an z. B. die Polizei verschicken. Die Polizei kann auf dieser Basis das LFF 1 identifizieren, da es das FLC von LFF 1 kennt. Falls LFF 1 falsche Nachrichten sendet, kann er zur Rechenschaft gezogen werden. Hierzu muss die Polizei bei der TTP anfragen und sich die wahre Identität des LFFs holen. Dadurch, dass LFF 1 die gesendete Nachricht mit seinem privaten Schlüssel, der der Gegenpart seines öffentlichen im FLC von LFF 1 enthaltenen Schlüssels ist, signiert hat, steht er eindeutig als Absender fest. Somit ist LFF 1 gezwungen richtige Daten zu senden, um nicht belangt zu werden.
  • Die Polizei hat von LFF 1 auch die FLC von LFF 2 bekommen. Die TTP wird angefragt und die wahre Identität von LFF 2 aufgedeckt. Nun kann LFF 2, z. B. durch einen Broadcast an alle Autos gesucht und festgenommen werden. Er kann nicht leugnen zu diesem Zeitpunkt, an diesem Ort gewesen und die Nachricht, welche die Unfallursache darstellt versendet zu haben.
  • Falls die Funkeinrichtung von LFF 1 nach dem Unfall nicht mehr funktionsfähig ist, dann kann LFF 1 die Nachricht nicht an die Infrastruktur senden. Die folgende Information ist/sollte in der On Board Unit (OBU) von LFF 1 gespeichert sein:
    • • Das FLC(KM) des Kolonnenmasters, bei dem LFF 1 zum Zeitpunkt des Unfalls angemeldet war.
    • • Das SLC0 von LFF 2 und das FLC von LFF 2, von dem die letzte Nachricht sendenden LFF zum Zeitpunkt des Unfalls.
    • • Die genaue Zeit und Position von LFF 1, als die Nachricht empfangen wurde.
  • Nach dem Auslesen dieser Information aus dem Fahrzeug, kann sich die Polizei an die TTP wenden und unter Angabe von FLC von LFF 2 durch Mapping, auf die wahre Identität von LFF 2 schließen. LFF 2 kann z. B. durch ein Broadcast gesucht und festgenommen werden. Falls es notwendig sein sollte, Fahrzeuge zu dem Unfall zu befragen und zu identifizieren, können Daten aus den OBUs aus LFFs ausgelesen und für die Befragung genutzt werden (analog dem weiter oben beschriebenen Fall).
  • Eine Rückverfolgung von Schaden verursachenden Fahrzeugen in der Intersubnetz Kommunikation kann durch eine Kombination der zuvor beschriebenen Verfahren erreicht werden.
  • Rückverfolgung der Schaden verursachenden KMs:
    • In dem hier vorgestellten Konzept hat der KM keine besondere Rolle bei der Versendung von Safety Nachrichten. Er agiert als ein gewöhnlicher LFF. Alle zuvor beschriebenen Verfahrensweisen können auf KMs angewendet werden. Der KM hat aber zusätzlich noch Aufgaben. Eine dieser Aufgaben ist das Pflegen der CRL_SLC0 Liste. Der KM könnte SLC0-Zertifikate mit dem Trust Value „high“ an LFFs ausstellen, welche diese Bewertung nicht verdienen bzw. missbrauchen. Nehmen wir an, dass LFF 2 und LFF 1 beide Mitglieder der von KM kontrollierten Kolonne K1 sind. LFF 1 bewegt sich hinter LFF_2. LFF 2 ist ein unfairer Knoten d.h. er sendet falsche Nachrichten. KM weiß, dass LFF 2 ein unfairer Knoten ist, aber aus irgendeinem Grund stellt er LFF 2 ein SLC0 mit dem Trust Value „high“ aus. Falls LFF 2 nun eine falsche Nachricht an LFF 1 sendet, stellt LFF 1 fest, dass in seinem SLC0 von LFF 2 der Trust Value falsch gesetzt ist. Umgehend sendet er eine verschlüsselte Nachricht (Verschlüsselung mit dem privaten Schlüssel, der der Gegenpart seines öffentlichen im FLC von LFF 1 enthaltenen Schlüssels ist), an KM dieser aktualisiert dann das an LFF 2 vergebene Zertifikat und setzt den Trust Value auf einen neuen Wert z. B. „low“. Die Rückverfolgung und Informationsgewinnung erfolgt analog wie zuvor beschrieben. Dadurch, dass alle Fahrzeuge die Option haben, Informationen über sich falsch verhaltende Fahrzeuge an die TTPs über die Infrastruktur weiterzuleiten, kann die TTP dem KM das FLC entziehen. Durch Aktualisierung der CRL_FLC ist der KM nicht mehr vertrauenswürdig und verliert seine Reputationswerte.
  • Zusätzlich kann vorausgesetzt werden, dass der Empfänger einer Warnungsnachricht, z. B. einer Nachricht an den KM, dass ein LFF fehlerhafte Nachrichten verschickt, nach Empfang der Nachricht eine Empfangsbestätigung an den Absender verschickt. Diese Bestätigungs-Nachrichten sollen ebenfalls gespeichert werden, da sie im Problemfall zur Rückverfolgung herangezogen werden müssen. Falls z. B. ein Unfall in einem Subnetz passiert, der von einem fehlerhaften anderen LFF oder KM erzeugt wurde, dann können diese anhand der fehlenden Bestätigungsnachrichten ausfindig gemacht werden.
  • Somit ist eine Rückverfolgung gemäß diesem Konzept hinreichend schwierig und erfordert immer die Zusammenarbeit mehrerer Instanzen z. B. LFF/ KM/ TTP/ Polizei usw.. Für eine nicht über genügend Befugnisse verfügende Person ist es fast unmöglich, Fahrzeuge zu identifizieren und aus irgendeinem Grund deren Datenverkehr zu verfolgen.
  • Die LFFs sind in der Regel Fahrzeuge, die gewerblich genutzt werden z. B. LKWs. Daher sollten sich die TTPs mit den Betreibern (z. B. Speditionsunternehmen) absprechen und Mechanismen entwickeln, damit die in diesen Fahrzeugen vorhandene Information nicht missbraucht werden kann.
  • Anonymitätsaspekte der Kolonnenteilnehmer:
    • Anonymität ist ein wichtiger Aspekt der in jeder Art von Kommunikation eine wichtige Rolle spielt. Jedes Fahrzeug muss sich sicher sein, dass die ausgetauschten Daten keine Rückschlüsse auf die wahre Identität des Absenders zulassen bzw. die wahre Identität des Absenders nicht von jedermann aufgedeckt werden kann. Er darf aber auch nicht ganz anonym agieren dürfen, weil sich dann das Problem ergibt, dass sich die Fahrzeuge darauf verlassen und mit Ihren Nachrichten den Verkehr gefährden. Wir unterscheiden in diesem Konzept zwischen
      • • der Anonymität eines Fahrzeugs vor den staatlichen Institutionen wie der Polizei,
      • • der Anonymität eines Fahrzeugs vor anderen Fahrzeugen bzw. der Infrastruktur um ihn herum.
  • Im Folgenden werden diese Punkte aufgegriffen und detailliert erläutert.
  • Anonymität von Mitgliedern einer Kolonne gegenüber staatlichen Einrichtungen: Wegen dem hohen Unfallrisiko, welches im Fall des Versendens von falschen Safety Nachrichten in Fahrzeug-Netzen zustande kommen kann, muss jedes Konzept dem Staat ermöglichen, den Fehler verursachenden Verkehrsteilnehmer zu identifizieren und aus dem Verkehr auszuschließen. Dadurch, dass jedes Fahrzeug ganz genau weiß, dass seine Handlungen verfolgbar sind, ist das schon mal ein Abschreckungsgrund und zwingt die Teilnehmer sich korrekt zu Verhalten. Wie zuvor beschrieben, ist die Rückverfolgung der Teilnehmer auch für die Polizei mit Aufwand verbunden. Hierzu sind z. B. Einwilligungen der Staatsanwaltschaft, der TTPs usw. einzuholen. Das FLC bildet die Brücke zwischen der wahren und der abstrakten Identität eines Fahrzeugs. Auch wenn das FLC eines Fahrzeugs der Polizei bekannt ist, kann sie nicht auf die wahre Identität des Fahrzeugs schließen. Im Fall, dass ein Fahrzeug von der TTP öffentlich gemacht wurde und seine Identität, also die Abbildung zwischen abstrakter und realer Identität bekannt ist, wird diesem Fahrzeug eine neue FLC vergeben. Das alte FLC wird in die Liste der CRL_FLC aufgenommen. Keine andere Instanz kann nun mit diesem Zertifikat weiter arbeiten. Der Missbrauch von FLCs ist damit ausgeschlossen.
  • Bei einer Weiterbildung kann bei den Trust Values in FLCs berücksichtigt werden, dass, sich ein Teilnehmer strafbar gemacht hat.
  • Der folgende Abschnitt betrifft die Anonymität zwischen Mitgliedern einer Kolonne und unterschiedlichen Subnetzen.
  • Anonymität zwischen Mitgliedern aus unterschiedlichen Subnetzen:
    • Fahrzeuge authentifizieren sich gegenseitig, indem sie ihre SLC1-Zertifikate austauschen. Die Zertifikate vom Typ SLC1 werden von den LFFs ausgestellt und sind zeit-/ und/oder bereichsbegrenzt. Dadurch, dass Fahrzeuge gegenseitig nur ihre SLC1 Zertifikate kennen, sind sie untereinander völlig anonym. Die Abbildung zwischen FLC und SLC1 kann jeweils nur vom zuständigen LFF durchgeführt werden. Auch ein Fahrzeug aus einem Subnetz ist gegenüber einem anderen LFF anonym. Wenn sich ein Fahrzeug in Richtung eines Subnetzes bewegt, empfängt es über Broadcast-Nachrichten das SLC0 und das FLC des einladenden LFFs. Das Fahrzeug verschlüsselt sein FLC mit dem öffentlichen Schlüssel aus SLC0 und sendet es an das LFF. Somit kann nur das einladende LFF die FLC dieses Fahrzeugs entschlüsseln.
  • Betont sei hier noch einmal die Tatsache, dass es einem LFF nicht möglich ist, durch Kenntnis des FLCs eines Fahrzeugs, auf dessen wahre Identität zu schließen.
  • Anonymität von Subnetz-Mitgliedern vor LFFs bzw. KMs:
    • Ein Fahrzeug F1 kann sich in einem Subnetz nur dann anmelden, wenn es sein FLC offen legt. Dadurch kennt der Cluster Master (LFF 2) die FLCs, also die abstrakten Identitäten aller Mitglieder seines Subnetzes. Allerdings kennt er nicht die wahren Identitäten. Diese sind nur der TTP bekannt. Andere LFFs bzw. der Kolonnenmaster kennen nicht einmal, die abstrakten Identitäten (FLCs) der Subnetzmitglieder anderer Subnetze. Damit ist gewährleistet, dass Mitglieder eines Subnetzes LFF 2 anonym vor dem KM und anderen Subnetzen sind.
  • Anonymität von LFFs bzw. KMs vor Subnetz-Mitgliedern:
    • In diesem Konzept setzen wir voraus, das die KMs bzw. LFFs ihre von TTPs ausgestellten FLCs den Mitgliedern der Kolonne zugänglich machen. Dies ist sinnvoll, weil LFFs meist für kommerzielle Zwecke genutzt werden. Sie sind hinreichend bekannt und haben auch nicht den Anspruch anonym bleiben zu wollen. Beispielsweise wird auf den Planen von LKWs Werbung für die Spedition gemacht, für die gefahren wird und denen dieses LKW gehört.
  • Auch LFFs bzw. KMs sind auf gewisse Art anonym, weil ihre FLCs nicht von den Fahrzeugen aufgedeckt werden können. Für die Polizei ist es einfach, die Identitäten dieser Fahrzeuge über TTPs ausfindig zu machen, weil ihre FLC direkt verfügbar ist. Im Gegensatz dazu muss bei Fahrzeugen mit SLC1-Zertifikaten, sogar die Polizei über den Weg der LFFs gehen, um an die FLCs dieser Fahrzeuge heranzukommen.
  • Im Folgenden werden Vorteilen nicht nur des zuvor beschriebenen Ausführungsbeispiels genannt.
  • Durch Einführung von SLCs ergibt sich die Möglichkeit, einer dynamischen Zertifikatsvergabe. Es wurde bereits erläutert, dass die Kommunikation zwischen Fahrzeugen auf Basis ihrer individuellen SLCs stattfindet. Ein wesentlicher Vorteil dieses Konzepts liegt darin, dass eine Zertifikatsaktualisierung unabhängig von der TTP gemacht werden kann (und zwar vom Aussteller, der entweder das LFF oder der KM sein kann).
  • Garantierte Anonymität:
    • Durch die Abbildungskette (Wahre Identität → Abstrakte Identität)
      1. 1. Fahrzeugdaten (Besitzerinformation, Fahrzeuggestellnummer usw.) → Random-Number
      2. 2. Random-Number → FLC
      3. 3. FLC → SLC(SLC0 bzw. SLC1) können Privatsphäre und Anonymität garantiert werden.
  • Zertifikatslänge:
    • Das Abbilden zwischen den Identitäten erlaubt es, Zertifikate mit relativ großem Speicherbedarf wie z.B. das aus dem Internet bekannte X.509 mit sehr vielen Einträgen, in FLC bzw. SLC Zertifikate mit wenig Speicherbedarf umzuwandeln und diese mit relativ viel Information zu Verknüpfen. Die Verringerung kann durch Nutzung von effizienten Hash-Algorithmen erreicht werden. Wegen der geringen Bandbreite und Verbindungsdauer in Fahrzeug-Fahrzeug Netzen stellt die durch den Abbildungsvorgang erreichte Verringerung der Zertifikatsgröße, eine gute Möglichkeit dar, auf der einen Seite den Anforderungen der Zertifikate und auf der anderen Seite den Charakteristiken der Fahrzeug-Fahrzeug-Netze gerecht zu werden.
  • Der folgende Abschnitt betrifft die Ablehnung von Zertifikaten.
  • Zertifikattyps SLC1:
    • Es kann in Fahrzeug-Fahrzeug Kommunikationsnetzen vorkommen, dass einige LFFs sich nicht korrekt verhalten. Fahrzeuge in einem Subnetz besitzen die FLC des KMs. Sie können in so einem Fall, den Public Key des KM nutzen und Beschwerde-Nachrichten über ihr LFF an den KM senden.

Claims (9)

  1. Verfahren zur Übertragung von Daten in einem Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation, wobei - ein empfangendes Fahrzeug (F1) Kommunikationssignale von einem sendenden Fahrzeug (F2) empfängt, - allen Fahrzeugen (F1-F9, 1-3) als Kommunikationsteilnehmer ein erstes Referenz-Zertifikat von einer vertrauenswürdigen Institution zugeordnet wird, - bei der Kommunikation zumindest ein Nutzer-Zertifikat verwendet wird, das von einer Einrichtung des Kommunikationsnetzes unter Verwendung von Informationen aus dem ersten, von der vertrauenswürdigen Institution ausgegebenen Zertifikat erzeugt wurde und an die Fahrzeuge (F1, F2) übermittelt wird.
  2. Verfahren nach Anspruch 1, wobei die Einrichtung des Kommunikationsnetzes ein Fahrzeug ist oder in einem Fahrzeug angeordnet ist, das einer definierten Fahrzeug-Kategorie angehört, z.B. Taxis, langsam fahrende Fahrzeuge (LFF), von einer Behörde betriebene Fahrzeuge, Fahrzeuge des öffentlichen Personenverkehrs.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Nutzer-Zertifikat von dem sendenden Fahrzeug (F2) an das empfangende Fahrzeug (F1) gesendet wird.
  4. Verfahren nach Anspruch 3, wobei das Nutzer-Zertifikat gemeinsam mit anderen Daten durch die vom sendenden Fahrzeug (F2) gesendeten Kommunikationssignale zu dem empfangenden Fahrzeug (F1) gesendet wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei das empfangende Fahrzeug (F1) eine Vertrauensinformation ermittelt oder aktualisiert, wobei die Vertrauensinformation ermöglicht festzustellen, ob von dem sendenden Fahrzeug (F2) gesendete Daten vertrauenswürdig sind und/oder wie vertrauenswürdig von dem sendenden Fahrzeug (F2) gesendete Daten sind, und wobei die Vertrauensinformation unter Verwendung des Nutzer-Zertifikats ermittelt wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Einrichtung des Kommunikationsnetzes, die unter Verwendung von Informationen aus dem ersten Zertifikat das Nutzer-Zertifikat erzeugt, in und/oder an einem Fahrzeug angeordnet ist, das eine zentrale Kommunikationsstation für die Kommunikation in einem Subnetz des Kommunikationsnetzes ist.
  7. Verfahren nach dem vorhergehenden Anspruch, wobei das Fahrzeug, das eine zentrale Kommunikationsstation für die Kommunikation in dem Subnetz des Kommunikationsnetzes ist, ein langsam fahrendes Fahrzeug ist.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei separat von den Kommunikationssignalen, die das empfangende Fahrzeug (F1) von dem sendenden Fahrzeug (F2) empfängt, Prüfinformationen zu dem empfangenden Fahrzeug (F1) übertragen werden, unter deren Verwendung das empfangende Fahrzeug (F1) prüfen kann, ob das Nutzer-Zertifikat und/oder das erste Zertifikat, unter Verwendung dessen das Nutzer-Zertifikat erzeugt wurde, gültig ist.
  9. Anordnung zur Übertragung von Daten in einem Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation, mit - einer Kommunikationseinrichtung (12) zum Empfangen von Kommunikationssignalen von einem sendenden Fahrzeug (F2), - einer Verarbeitungseinrichtung (13), wobei die Verarbeitungseinrichtung (13) ausgestaltet ist, Vertrauensinformation zu ermitteln oder zu aktualisieren, wobei die Vertrauensinformation ermöglicht festzustellen, ob von dem sendenden Fahrzeug (F2) gesendete Daten vertrauenswürdig sind, und wobei die Verarbeitungseinrichtung (13) ausgestaltet ist, die Vertrauensinformation unter Verwendung eines Nutzer-Zertifikats zu ermitteln, das von einer Einrichtung des Kommunikationsnetzes unter Verwendung von Informationen aus einem ersten, von einer vertrauenswürdigen Institution ausgegebenen Zertifikat erzeugt wurde.
DE102004056724.7A 2004-11-19 2004-11-19 Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz Active DE102004056724B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102004056724.7A DE102004056724B4 (de) 2004-11-19 2004-11-19 Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004056724.7A DE102004056724B4 (de) 2004-11-19 2004-11-19 Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz

Publications (2)

Publication Number Publication Date
DE102004056724A1 DE102004056724A1 (de) 2006-05-24
DE102004056724B4 true DE102004056724B4 (de) 2021-04-29

Family

ID=36313879

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004056724.7A Active DE102004056724B4 (de) 2004-11-19 2004-11-19 Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz

Country Status (1)

Country Link
DE (1) DE102004056724B4 (de)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7561846B2 (en) * 2005-09-07 2009-07-14 Gm Gobal Technology Operations, Inc. Vehicle-to-vehicle communication
US8180297B2 (en) 2006-10-25 2012-05-15 Continental Teves Ag & Co. Ohg Establishment of communications connections between vehicles
DE102007054261A1 (de) * 2007-11-14 2009-05-20 Bayerische Motoren Werke Aktiengesellschaft System zum unmittelbaren Datenaustausch zwischen zwei oder mehr Fahrzeugen
US8090949B2 (en) * 2008-03-13 2012-01-03 GM Global Technology Operations LLC Certificate assignment strategies for efficient operation of the PKI-based security architecture in a vehicular network
DE102009027676A1 (de) * 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Kommunikationsverfahren, Computerprogrammprodukt, Vorrichtung und Computersystem
DE102012204880B4 (de) 2011-03-29 2019-08-14 Continental Teves Ag & Co. Ohg Verfahren und Fahrzeug-zu-X-Kommunikationssystem zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften
DE102014226711A1 (de) * 2014-12-19 2016-06-23 Zf Friedrichshafen Ag Verfahren und Vorrichtung zum Bereitstellen von Navigationsinformationen aus einem Fahrzeug an einen fahrzeugexternen Datenspeicher und Verfahren und Datenspeicher zum Verarbeiten von signierten Navigationsinformationen
US9632507B1 (en) 2016-01-29 2017-04-25 Meritor Wabco Vehicle Control Systems System and method for adjusting vehicle platoon distances based on predicted external perturbations
DE102016225746B4 (de) 2016-12-21 2020-12-24 Audi Ag Aufbau einer direkten Kommunikationsverbindung mit einem Fremdfahrzeug in einer Umgebung eines Kraftfahrzeugs
US20230094360A1 (en) 2021-09-29 2023-03-30 Continental Automotive Systems, Inc. Method and electronic vehicle system for processing v2x messages

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1151428B1 (de) * 1999-02-01 2002-11-27 Definiens AG. Verfahren und vorrichtung zur gewinnung von relevanter verkehrsinformation und zur dynamischen routenoptimierung
DE10206698A1 (de) * 2002-02-15 2003-08-28 Definiens Ag Vorrichtung und Verfahren zum Empfangen von Datenpaketen in wellengebundenen Signalen zur Verwendung in einem dezentral gesteuerten Kommunikationsnetz und ein Verfahren zum Zugreifen auf ein dezentral gesteuertes Kommunikationsnetz
US20040003229A1 (en) * 2002-06-28 2004-01-01 Jurgen Reinold Method and system for vehicle authentication of another vehicle
WO2004068424A2 (en) * 2003-01-28 2004-08-12 Cellport Systems, Inc. Secure telematics

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1151428B1 (de) * 1999-02-01 2002-11-27 Definiens AG. Verfahren und vorrichtung zur gewinnung von relevanter verkehrsinformation und zur dynamischen routenoptimierung
DE10206698A1 (de) * 2002-02-15 2003-08-28 Definiens Ag Vorrichtung und Verfahren zum Empfangen von Datenpaketen in wellengebundenen Signalen zur Verwendung in einem dezentral gesteuerten Kommunikationsnetz und ein Verfahren zum Zugreifen auf ein dezentral gesteuertes Kommunikationsnetz
US20040003229A1 (en) * 2002-06-28 2004-01-01 Jurgen Reinold Method and system for vehicle authentication of another vehicle
WO2004068424A2 (en) * 2003-01-28 2004-08-12 Cellport Systems, Inc. Secure telematics

Also Published As

Publication number Publication date
DE102004056724A1 (de) 2006-05-24

Similar Documents

Publication Publication Date Title
DE112009000574B4 (de) Zertifikatzuordnungsstrategien für einen effizienten Betrieb der PKI-basierten Sicherheitsarchitektur in einem Fahrzeugnetzwerk
EP3157281B1 (de) Verfahren zur geschützten kommunikation eines fahrzeugs
EP2606621B1 (de) Verfahren zum bereitstellen eines drahtlosen fahrzeugzugangs
DE102016218982B3 (de) Verfahren zur Kommunikation von Fahrzeugen
DE102010029418B4 (de) Zuteilung von Fahrzeug zu X-Zertifikaten über Infrastruktureinheiten
DE102015117688A1 (de) System und Verfahren für den Nachrichtenaustausch zwischen Fahrzeugen über eine Public Key Infrastructure
EP3582126B1 (de) Kommunikationsverfahren, computerprogrammprodukt und computersystem
DE102012224421A1 (de) Fahrzeuggebundenes system und kommunikationsverfahren
DE102019212959B3 (de) Verfahren zur geschützten Kommunikation eines Fahrzeugs mit einem externen Server, Vorrichtung zur Durchführung der Schlüsselableitung bei dem Verfahren sowie Fahrzeug
EP3785421B1 (de) Verfahren zum anonymisierten bereitstellen von daten eines ersten fahrzeugs für eine fahrzeugexterne servereinrichtung sowie anonymisierungsvorrichtung und kraftfahrzeug
EP4128646B1 (de) Nutzung quantensicherer schlüssel mit endgeräteeinrichtungen
WO2020120696A1 (de) Verfahren, vorrichtung und computerprogramm für ein fahrzeug
DE102004056724B4 (de) Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz
DE102020121805A1 (de) Sichern der fahrzeugprivatsphäre in einer fahrinfrastruktur
DE102020003739A1 (de) Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial
DE102021203094A1 (de) Kommunikationsnetzwerksystem für Fahrzeuge sowie dessen Betriebsverfahren
DE102019212958B3 (de) Verfahren und Vorrichtung zur Erzeugung von kryptographischen Schlüsseln nach einem Schlüsselableitungsmodell sowie Fahrzeug
DE102011003624A1 (de) Verfahren und System zur Reduzierung der Datenauslastung eines Fahrzeug-zu-X-Kommunikationskanals
DE102015219517B4 (de) Zertifizierungsmodul, Vorrichtung, Berechtigungsprüfungsmodul, Verfahren und Computerprogramm zum Berechnen, Bereitstellen und Prüfen von digitalen Kurzzeitzertifikaten
WO2019174887A1 (de) Verfahren und vorrichtung für eine c2x-kommunikation von kraftfahrzeugen eines kraftfahrzeugverbunds
DE102004017603B4 (de) Übertragen von Kommunikationssignalen in einem Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug-Kommunikation
DE102015208293A1 (de) Verfahren zum Ausschließen eines Teilnehmers aus einer Gruppe mit autorisierter Kommunikation
DE102021109517A1 (de) Blockchain-basiertes system für vernetzte fahrzeuge
DE102004017604B4 (de) Verfahren und Anordnung für ein Kommunikationsnetz mit direkter Fahrzeug-Fahrzeug Kommunikation
EP3989504B1 (de) Verfahren zur authentifizierten kommunikation zwischen einem ersten kommunikationspartner und einem zweiten kommunikationspartner, wobei der erste kommunikationspartner und/oder der zweite kommunikationspartner ein verkehrsteilnehmer und/oder teil einer verkehrsinfrastruktur ist, system, kommunikationspartner, computerprogramm und computerlesbares medium

Legal Events

Date Code Title Description
R012 Request for examination validly filed

Effective date: 20110629

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R082 Change of representative