DE102005008928A1 - Verfahren zur Authentifizierung eines Moduls - Google Patents

Verfahren zur Authentifizierung eines Moduls Download PDF

Info

Publication number
DE102005008928A1
DE102005008928A1 DE200510008928 DE102005008928A DE102005008928A1 DE 102005008928 A1 DE102005008928 A1 DE 102005008928A1 DE 200510008928 DE200510008928 DE 200510008928 DE 102005008928 A DE102005008928 A DE 102005008928A DE 102005008928 A1 DE102005008928 A1 DE 102005008928A1
Authority
DE
Germany
Prior art keywords
memory
module
logic unit
key
mem
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE200510008928
Other languages
English (en)
Inventor
Karl Asperger
Gerhard Rombach
Jochen Kiemes
Gunnar Dr. Schmidt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200510008928 priority Critical patent/DE102005008928A1/de
Priority to PCT/EP2006/050114 priority patent/WO2006089813A1/de
Priority to EP06704257A priority patent/EP1851900A1/de
Publication of DE102005008928A1 publication Critical patent/DE102005008928A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Authentifizierung eines zweiten Moduls (2) bei der Zuordnung zu einem ersten Modul (1), insbesondere eines Mikrocontrollers eines Fahrtschreibers zu einem Speicher, wobei das erste Modul eine erste Logikeinheit (MC) und einen ersten Speicher (KMF) und das zweite Modul (2) einen zweiten Speicher (MEM) aufweist. Bisherige Lösungen berücksichtigen die Gefahr von Manipulationen insbesondere auf dem Gebiet von Fahrtschreibern (DTCO) nur unzureichend. Hier schafft die Erfindung Abhilfe, indem verschlüsselte Daten in dem zweiten Modul (2) abgelegt werden, auf die die Logikeinheit (MC) mittels kryptologischer Schlüssel zur Ausführung der bestimmungsgemäßen Funktion zugreift.

Description

  • Die Erfindung betrifft ein Verfahren zur Authentifizierung eines zweiten Moduls bei der Zuordnung zu einem ersten Modul, insbesondere eines Mikrocontrollers eines Fahrtschreibers zu einem Speicher, wobei das erste Modul eine erste Logikeinheit und einen ersten Speicher und das zweite Modul einen zweiten Speicher aufweist.
  • Bei Vorrichtungen mit hohen Sicherheitsanforderungen gegen Manipulation sind Vorkehrungen, die den manipulatorischen Zugriff oder Austausch auf bzw. von Einzelkomponenten verhindern, besonders wichtig. Zu diesen Vorrichtungen zählt insbesondere ein Fahrtschreiber, wie er in Nutzfahrzeugen zur Aufzeichnung der Betriebsdaten und Arbeitszeiten vorgeschrieben Anwendung findet. Manipulationsversuche können an allen denkbaren Systemkomponenten stattfinden, wobei Angriffe auf Speicherkomponenten und Logikeinheiten besonders attraktiv sind. Anforderungen an die Modularität des Aufbaus bedingen, dass Logikeinheiten, gegebenenfalls mit kleineren, schnelleren Speichern und größere Speicherelemente jeweils separate Bauteile sind, die miteinander in Daten- übertragender Verbindung stehen. Ein derartiger modularer Aufbau exponiert insbesondere die Datenübertragung von der Logikeinheit auf den Massenspeicher und den Massenspeicher selbst für Angriffe. Grundsätzlich können die einzelnen Komponenten oder alle Komponenten gemeinsam gegen manipulatorische Angriffe mittels eines so genannten aktiven Hardwareschutzes gesichert werden, was jedoch den vertretbaren Aufwand aus wirtschaftlicher Sicht bei weitem übersteigen würde.
  • Eine Anordnung der eingangs genannten Art eines Fahrtschreibers ist bereits aus der deutschen Patentschrift DE 41 35 700 C2 bekannt. Das Problem der korrekten Zuordnung einzelner Module des Fahrtschreibers, insbesondere eines Speichers zu einem Mikrocontroller bzw. einer Logikeinheit ist dort nicht beseitigt.
    •
  • Die Erfindung hat es sich daher zur Aufgabe gemacht, ein Verfahren zu entwickeln, das eine sichere Authentifizierung eines zweiten Moduls durch Funktionseinheiten eines ersten Moduls zur Vermeidung von Manipulationen ermöglicht.
  • Die erfindungsgemäße Lösung sieht ein Verfahren der eingangs genannten Art mit den Merkmalen der Ansprüche 1 oder 2 vor. Die Unteransprüche beinhalten vorteilhafte Weiterbildungen der Erfindung.
  • Ein besonderer Vorteil des Verfahrens nach der Erfindung liegt in der in das System integrierten Manipulationssicherheit, da die Logikeinheit Bestandteil des ersten Moduls ist, die unter Zugriff auf den ersten Speicher gleichsam autark in der Lage ist, das zweite Modul anhand der in dem zweiten Speicher abgelegten zweiten Daten zu authentifizieren. Dieses Verfahren findet besonders vorteilhafte Anwendung für den modularen Aufbau eines Fahrtschreibers, insbesondere bei der Kombination des Mikrocontrollers des Fahrtschreibers mit einem Massenspeicher, da diese Bauteile bzw. Module einige der für die erfindungsgemäße Sicherheitsfunktion erforderlichen Funktionselemente bereits naturgemäß aufweisen. Gleichzeitig weist insbesondere bei der Anwendung im Bereich des Fahrtschreibers das erfindungsgemäße Verfahren einen großen Synergieeffekt mit dem ohnehin beim Start des Fahrtschreibers stattfindenden Funktionsablauf auf, vor allem, wenn es sich bei den zweiten Daten aus dem ersten Teilbereich des zweiten Speichers um für den Bootvorgang der Logikeinheit erforderliche Elemente handelt, beispielsweise um einen Bootloader oder ein Basisbetriebssystem.
  • Ein Höchstmaß an Sicherheit gegen Manipulation wird nach der Erfindung erreicht, wenn die erste Logikeinheit beim erstmaligen Start im Anschluss an das Zusammenfügen des ersten Moduls mit dem zweiten Modul nach der Authentifizierung des zweiten Moduls einen ersten Schlüssel generiert und mittels des ersten Schlüssels verschlüsselte erste Daten in den zweiten Speicher schreibt, auf welche erste Daten die erste Logikeinheit zur Ausführung bestimmter Funktion zugreift. Bei den bestimmten Funktionen handelt es sich um Funktionen für welche die Logikeinheit bestimmt ist, nämlich die Verarbeitung und Auswertung eingehender Signale und Erzeugung ausgehender Signale, insbesondere zur Steuerung der Funktion sonstiger verbundener Module. Im speziellen Fall des Fahrtschreibers wertet die Logikeinheit beispielsweise die eingehenden Signale aus dem Drehzahlgeber und der Bedienkonsole aus und steuert die Anzeige, die Datenspeicherung, die sonstige Datenausgabe mittels ausgehender Signale.
  • Die Generierung des ersten Schlüssels erfolgt besonders vorteilhaft mittels eines vorzugsweise in die Logikeinheit integrierten Zufallszahlengenerators, so dass außerhalb der Logikeinheit der erste Schlüssel systembedingt unbekannt ist. Während der zweite Schlüssel von außen vorgegeben ist und daher für den Vorgang der Implementierung des zweiten Schlüssels in die Logikeinheit besondere räumliche Sicherheitsbedingungen zu erfüllen sind, damit das erfindungsgemäße Verfahren einschlägigen Sicherheitsstandards (Common Criteria, ITSEC) genügt, bedingt der autarke Vorgang zur Erzeugung des Zweitschlüssels die Entbehrlichkeit einer derartigen Sicherheitszelle. Gelingt es, das Auslesen des ersten Schlüssels aus der Logikeinheit zu verhindern, ist eine Manipulation der Anordnung demnach ausgeschlossen. Dies insbesondere deshalb, weil die erste Logikeinheit zur Ausführung seiner bestimmungsgemäßen Funktion auf die mittels des ersten Schlüssels verschlüsselten ersten Daten in dem zweiten Speicher zu greift. Das hat darüber hinaus den großartigen Vorteil, dass die beiden Module von dem Augenblick der Erstinbetriebnahme nach dem Zusammenfügen an gleichsam unzertrennlich sind, um ihre bestimmungsgemäße Funktion aufrecht zu erhalten. Die in dem zweiten Speicher abgelegten ersten Daten nützen ausschließlich der im Besitz des ersten Schlüssels befindlichen ersten Logikeinheit bzw. dem ersten Modul und die Logikeinheit bzw. das erste Modul muss für die bestimmungsgemäße Funktion, beispielsweise die Aufzeichnung und Auswertung von Betriebsdaten eines Fahrzeuges bzw. Arbeitszeiten der Fahrzeugführer auf den zweiten Speicher zugreifen.
  • Damit eine erfindungsgemäße Authentifizierung ausschließlich bei der Erstinbetriebnahme erfolgen kann und nicht ein gegebenenfalls manipuliertes zweites Modul mit dem ersten Modul zusammengefügt und in Funktion versetzt werden kann, ist es zweckmäßig, wenn mindestens ein Teil des ersten Teilbereichs des zweiten Speichers nach dem Auslesen dieser erfindungsgemäß verschlüsselten Daten von der Logikeinheit gelöscht wird. Auf diese Weise ist es einem gegebenenfalls im Besitz des zweiten Schlüssels befindlichen Individuum auch in manipulatorischer Absicht nicht möglich, eine neue Kombination eines ersten Moduls mit einem zweiten Modul gegebenenfalls mit geänderter Funktion zu erstellen, da die Irreversibilität aufgrund des Löschens der aus dem ersten Teilbereich des zweiten Speichers ausgegebenen zweiten Daten zusätzlich erhöht wird. Besonders zweckmäßig ist hierbei das Überschreiben von zweiten Daten aus dem ersten Teilbereich mit einem Notlaufsystem, welches im Falle einer Fehlfunktion nach einem Neustart von der Logikeinheit geladen wird. Hierzu ist es zweckmäßig, wenn die Logikeinheit interne Flags aufweist, die dem Modus des Bootens abhängig von der Historie des vorhergehenden Betriebs machen. Beispielsweise kann im Falle einer registrierten Manipulation oder eines Systemfehlers das Setzen eines bestimm ten Flags bewirken, dass beim Neustart auf die Adresse des Notlaufssystems zugegriffen wird.
  • Für die Erstinbetriebnahme nach der Zuordnung des zweiten Moduls zu dem ersten Modul ist es sinnvoll, wenn die Logikeinheit auf einen an einer ersten Schnittstelle angeschlossenen externen Speicher die ersten Daten lesend zugreift. Da es sinnvoll ist, diesen Vorgang in einer sicheren räumlichen Umgebung – also an einer Sicherheitszelle – zu unternehmen, stellt der Zugriff der Logikeinheit auf eine externe Schnittstelle zum Auslesen von ersten Daten kein Sicherheitsrisiko dar. Da davon auszugehen ist, dass in der sicheren Umgebung Manipulationsversuche ausgeschlossen sind, bedarf dieser Datentransfer keiner Verschlüsselung. Insbesondere für den Fahrtschreiber muss das von der Logikeinheit ausgeführte Programm für die bestimmungsgemäße Funktion besonderen Kriterien genügend geschützt sein. Insofern besitzt das erfindungsgemäße Verfahren eine besondere Eignung zur Übertragung eines ausführbares Programms, welches für die bestimmungsgemäße Funktion erforderlich ist, da die erfindungsgemäßen Sicherheitsvorteile ohne Mehraufwand gleichzeitig zum sicheren Upload genutzt werden.
  • Zusätzliche Sicherheit wird erzielt, wenn das erste Modul einen löschbaren dritten Speicher umfasst, in dem der erste Schlüssel gespeichert ist. Die Löschbarkeit des dritten Speichers ist besonders vorteilhaft in Kombination mit einem aktiven Hardwareschutz, der in der Weise ausgebildet ist, dass bei der Erfassung eines Manipulationsversuches der dritte Speicher bevorzugt mittels einer zweckmäßig integrierten oder überwachten externen Hilfsenergie gelöscht wird. Sinnvoll ist es hierbei, wenn auch der Hilfsenergiespeicher von dem aktiven Hardwareschutz umfasst ist, so dass aufgrund der Unterbrechung sonstiger Energieversorgung die Löschbarkeit sicherheitsrelevanter Daten gewährleistet ist. Gleichermaßen zweck mäßig und kostengünstiger ist die Anordnung des Hilfsenergiespeichers außerhalb des aktiven Hardwareschutzes in Kombination mit einer Überwachungssensorik, die als Spannungüberwachung des Hilfsenergiespeichers ausgebildet sein kann. Der Hilfsenergiespeicher kann mit Vorteil als Lithium-Batterie ausgebildet sein und aufgrund derartiger Modularität ausgewechselt werden. Auch eine Kombination einer internen und externen Lösung ist denkbar. Sinnvoll ist eine Ausbildung der Logikeinheit derart, dass sie beim erstmaligen Neustart immer auf den ersten Teilbereich des zweiten Speichers zugreift, wo gegebenenfalls weitere Instruktionen zum Booten hinterlegt sind. In dem ersten Teilbereich des zweiten Speichers können sich mit Vorteil ein Basisbetriebssystem und ein Bootloader befinden, der das Uploaden eines Instruction Codes für die bestimmungsgemäße Funktion des ersten Moduls bewirkt.
  • Bei einer Integration der nach dem erfindungsgemäßen Verfahren erzeugten Anordnung in ein Kraftfahrzeug ist es sinnvoll, wenn die Anordnung mit einem Controller-Area-Network (CAN-BUS) in Verbindung steht. Hier kann die Logikeinheit weitere, vorzugsweise sämtliche sicherheitsrelevanten Aufgaben übernehmen und beispielsweise Manipulationen an der Motorsteuerung, insbesondere an der elektronischen Wegfahrsperre unterbinden. Grundsätzlich ist es denkbar, dass betriebsnotwendige Komponenten des Kraftfahrzeuges unter der Notwendigkeit der Authentifizierung durch die Logikeinheit zunächst eine Art Bootvorgang durchlaufen, bevor sie ihre bestimmungsgemäße Funktion aufnehmen können.
  • Insbesondere in der Anmeldung der Erfindung für Fahrtschreiber ist es sinnvoll, wenn der zweite Speicher neben dem ersten und zweiten Teilbereich weitere Teilbereiche umfasst, auf die die Logikeinheit jeweils unter Verwendung unterschiedlicher kryptologischer Schlüssel lesend und/oder schreibend zugreift. Dies insbesondere deshalb, weil naturgemäß auf dem Fahrtschreiber, insbesondere auf dem zweiten Speicher des Fahrtschreibers unterschiedlich autorisierte Zugriffe erfolgen, beispielsweise durch Werkstätten, die Fahrzeugführer, die Inbetriebnehmer oder öffentliche Kontrollorgane. Insofern ist es sinnvoll, wenn verschiedenen Teilbereichen des zweiten Speichers jeweils ein eigener kryptologischer Schlüssel zugeordnet ist und das dazugehörige Sicherheitszertifikat in der Logikeinheit hinterlegt ist. Im Sinne eines modularen Aufbaus ist hierbei sinnvoll, wenn die Logikeinheit ein Speicherschutzmodul umfasst, welches Zugriffsadressen des zweiten Speichers und Benutzern jeweils ein Sicherheitszertifikat zuordnet und die Logikeinheit bei Zugriff auf eine Zugriffsadresse des zweiten Speichers von dem Speicherschutzmodul einen entsprechenden Schlüssel aus dem dritten oder vierten Speicher für den Zugriff freigegeben erhält oder den Zugriff verweigert bekommt.
    •
  • In der Folge ist die Erfindung anhand eines speziellen Ausführungsbeispiels unter Bezugnahme auf eine Zeichnung zur Verdeutlichung näher beschrieben. Es zeigt:
  • 1: eine schematische Darstellung einer nach dem erfindungsgemäßen Verfahren erstellten Anordnung für einen Fahrtschreiber.
  • In 1 sind ein erstes Modul 1 als eine Logikeinheit MC und ein zweites Modul 2 als ein zweiter Speicher MEM ausgebildet. Die Logikeinheit MC steht mit dem zweiten Speicher MEM mittels eines Datenbusses BUS in Verbindung. Daneben ist die Logikeinheit MC mit einem externen Speicher 3 und einem Controller-Area-Network CAN Daten- übertragend verbunden, wobei diese Verbindung an einen Schnittstellencontroller IFC der Logikeinheit MC angeschlossen ist.
  • Zentraler Bestandteil der Logikeinheit MC ist eine zentrale Recheneinheit CPU, mittels derer die Logikeinheit MC die einzelnen Prozesse bearbeitet. Die zentrale Recheneinheit CPU steht mit weiteren Bestandteilen der Logikeinheit MC in Verbindung, nämlich im Einzelnen mit dem Schnittstellencontroller IFC, einem als Festspeicher ausgebildeten ersten Speicher KMF und einem als löschbaren Speicher ausgebildeten dritten Speicher KME. Darüber hinaus steht die zentrale Recheneinheit CPU mit einem Zufallszahlengenerator RNG und einem Verschlüsselungsmodul CU in Daten- übertragender Verbindung. Das Verschlüsselungsmodul CU übernimmt sämtliche Verschlüsselungs- und Entschlüsselungsaufgaben, die im Austausch mit dem zweiten Speicher MEM mittels des Datenbusses BUS erfolgen. Hierzu greift das Verschlüsselungsmodul CU auf den ersten Speicher KMF und dem dritten Speicher KME zu, wo sich ein zweiter Schlüssel DK1 bzw. erste Schlüssel MK1-MKN befinden. Ein Speicherschutzmodul MPU befindet sich ebenfalls im Austausch mit dem Verschlüsselungsmodul CU und ordnet für das Verschlüsselungsmodul CU zu Zugriffsadressen ADR Sicherheitszertifikate CERT zu, die einerseits Informationen über die Schlüssel DK1, MK1-MKN und andererseits über die Zugriffsrechte enthalten. Hierbei sind Sicherheitszertifikate CERT Benutzern zugeordnet, die sich in nicht dargestellter Weise an dem System anmelden.
  • Der zweite Speicher MEM ist in mehrere Teilbereiche, insbesondere einen ersten Teilbereich T1 und zweite Teilbereiche T2-TN, aufgeteilt, in denen mittels verschiedener Schlüssel DK1 bzw. MK1-MKN verschlüsselte Daten gespeichert sind. In dem mittels DK1 verschlüsselten Teilbereich T1 befinden sich verschlüsselte zweite Daten D2, nämlich verschlüsselte Bootanweisungen BC und ein Bootloader BL, der beim erstmaligen Neustart nach Zusammenfügen des ersten Moduls 1 mit dem zweiten Modul 2 die Logikeinheit MC instruiert, auf welchem Speicher unter welcher Adresse als nächstes zuzugreifen ist.
  • Die mittels der ersten Schlüssel MK1-MKN verschlüsselten Teilbereiche T1-TN enthalten erste Daten D1, nämlich benutzerspezifische Anwendungsdaten und/oder Anwendungsprogramme.
  • Nach dem Zusammenfügen der beiden Module 1, 2 erfolgt zunächst ein Neustart 0. Im Anschluss an den Neustart 0. erfolgt eine Entschlüsselung I. der Bootanweisungen BC mittels des Verschlüsselungsmoduls CU durch die Logikeinheit MC. Verläuft die Entschlüsselung I. mittels des zweiten Schlüssels DK1 erfolgreich, ordnet die Logikeinheit MC den zweiten Speicher MEM, den Status "Authentifiziert" zu und lädt den Bootloader BL ebenfalls in die zentrale Recheneinheit CPU. Im Anschluss an die Entschlüsselung I. erzeugt die zentrale Recheneinheit CPU unter Verwendung einer Zufallszahl II. aus dem Zufallsgenerator RNG einen ersten Schlüssel MK1.
  • Der anschließende Schritt folgend der von dem Bootloader BL vorgegebenen Sequenz sieht den Zugriff auf den externen Speicher 3 vor zum Auslesen eines Instruction Codes IC. Weiterhin folgt die Verschlüsselung des Instruction Codes IC mittels der Verschlüsselungseinheit CU unter Verwendung des ersten Schlüssels MK1 sowie die Speicherung des verschlüsselten Instruction Codes IC in dem Bereich des zweiten Speichers MEM, dessen Adressen ADR der Verschlüsselung mittels MK1 zugeordnet sind. Bei dem Instruction Code handelt es sich um ein von der Logikeinheit bzw. dem ersten Modul zur Aufrechterhaltung der bestimmungsgemäßen Funktion erforderliches ausführbares Programm. Ein Verlust des ersten Schlüssels bedeutet deshalb, dass die Funktionen aus dem Instruction Code nicht mehr zur Verfügung stehen.
  • Anschließend wird der Bereich des Bootloaders BL mit einem Notlaufsystem FS verschlüsselt unter Verwendung des zweiten Schlüssels DK1, den ursprünglichen Bootloader BL Überschrei ben IV. gespeichert. Die Schritte I.–IV. erfolgen in einer Sicherheitszelle, so dass Manipulationen ausgeschlossen sind.
  • Das erste Modul 1 und das zweite Modul 2 sind in dem speziellen Ausführungsbeispiel Bestandteile eines digitalen Fahrtschreibers DTCO.
  • Die Logikeinheit MC ist von einem aktiven Hardwareschutz AH umgeben, der einen Hilfsenergiespeicher B aufweist, mittels dessen auch bei Ausfall einer externen Energieversorgung EE der Inhalt des dritten Speichers KME gelöscht werden kann, falls mittels des aktiven Hardwareschutzes AH eine Manipulation erkannt ist. Der Hilfsenergiespeicher B wird mittels einer nicht dargestellten Überwachungssensorik hinsichtlich seiner Spannung überwacht.
    • 1
    erstes Modul
    2
    zweites Modul
    3
    externer Speicher
    ADR
    Zugriffsadressen
    AH
    aktiven Hardwareschutz
    B
    Hilfsenergiespeicher
    BC
    Bootanweisungen
    BL
    Bootloader
    BUS
    Daten-Bus
    CAN
    Controller Area
    Network
    CERT
    Sicherheitszertifikat
    CPU
    Recheneinheit
    CU
    Verschlüsselungsmodul
    D1
    Erste Daten
    D2
    Zweite Daten
    DK1
    erster Schlüssel
    DTCO
    Fahrtschreiber
    EE
    Energieversorgung
    FS
    Notlaufsystem
    0.
    Neustart
    I.
    Entschlüsselung
    IC
    Instruction Code
    IFC
    Schnittstellencontroller
    II.
    Zufallszahl
    III.
    Zugriff auf IC
    IV.
    Überschreiben
    KME
    dritten Speicher
    KMF
    erster Speicher
    MC
    Logikeinheit
    MEM
    zweiter Speicher
    MK1-MKN
    zweiten Schlüssel
    MPU
    Speicherschutzmodul
    RNG
    Zufallszahlengenerator
    T1
    erster Teilbereich
    T2
    zweiter Teilbereich

Claims (19)

  1. Verfahren zur Authentifizierung eines zweiten Moduls (2) bei der Zuordnung zu einem ersten Modul (1), insbesondere eines Mikrocontrollers eines Fahrtschreibers (DTCO) zu einem Speicher, wobei das erste Modul eine erste Logikeinheit (MC) und einen ersten Speicher (KMF) und das zweite Modul (2) einen zweiten Speicher (MEM) aufweist, dadurch gekennzeichnet, dass bei einem Start der ersten Logikeinheit (MC) diese mit dem zugeordneten zweiten Speicher (MEM) in eine Daten- austauschende Verbindung eintritt, in dem ersten Speicher (KMF) ein kryptologischer zweiter Schlüssel (MK1-MKN) abgelegt ist und in einem ersten Teilbereich (T1) des zweiten Speichers (MEM) verschlüsselte zweite Daten (D2) abgelegt sind, wobei die erste Logikeinheit (MC) mittels des zweiten Schlüssels (MK1-MKN) die zweiten Daten (D2) aus dem ersten Teilbereich (T1) des zweiten Speichers (MEM) entschlüsselt, den Erfolg der Verschlüsselung überprüft und bei erfolgreicher Entschlüsselung das zweite Modul (2) als authentifiziert einstuft.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die erste Logikeinheit (MC) bestimmte Funktionen ausführt und bei einem Start einen ersten Schlüssel generiert und mittels des ersten Schlüssels (DK1) verschlüsselte erste Daten (D1) in den zweiten Speicher (MEM) schreibt, auf welche erste Daten (D1) die erste Logikeinheit (MC) zur Ausführung der bestimmten Funktionen zugreift.
  3. Verfahren zur Authentifizierung eines zweiten Moduls (2) und der Zuordnung zu einem ersten Modul (1), insbesondere eines Mikrocontrollers eines Fahrtschreibers (DTCO) zu einem Speicher, wobei das erste Modul eine erste Logikeinheit (MC) und das zweite Modul (2) einen zweiten Speicher (MEM) aufweist, wobei die Logikeinheit (MC) bestimmte Funktionen ausführt, insbesondere nach Anspruch 1, dadurch gekennzeichnet, dass die erste Logikeinheit (MC) bei einem Start einen ersten Schlüssel (DK1) generiert und mittels des ersten Schlüssels (DK1) verschlüsselte erste Daten (D1) in den zweiten Speicher (MEM) schreibt, auf welche erste Daten (D1) die erste Logikeinheit (MC) zur Ausführung der bestimmten Funktionen zugreift.
  4. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass die Logikeinheit (MC) beim erstmaligen Start im Anschluss an das Zusammenfügen des ersten Moduls (1) mit dem zweiten Modul (2) nach der Authentifizierung des zweiten Moduls (2) den ersten Schlüssel (DK1) generiert.
  5. Verfahren nach einem der vorhergehenden Ansprüche 2–4, dadurch gekennzeichnet, dass die mittels des ersten Schlüssels (DK1) verschlüsselten ersten Daten (D1) in einen zweiten Teilbereich (T2) des zweiten Speichers (MEM) geschrieben werden.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass mindestens ein Teil des ersten Teilbereichs (T1) des zweiten Speichers (MEM) nach dem Auslesen der zweiten Daten (D2) mit einem Notlaufsystem (FS) überschrieben wird.
  7. Verfahren nach einem der Ansprüche 2–6, dadurch gekennzeichnet, dass die Logikeinheit (MC) auf einen an einer ersten Schnittstelle angeschlossenen externen Speicher (3) die ersten Daten (D1) lesend zugreift und die ersten Daten (D1) ein ausführbares Programm sind.
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die erste Logikeinheit (MC) ein gesondertes Verschlüsselungsmodul (CU) umfasst, welches mittels jeweils zugewiesener Schlüssel (DK1, MK1-MKN) Verschlüsselungen und Entschlüsselungen durchführt.
  9. Verfahren nach einem der Ansprüche 1–8, dadurch gekennzeichnet, dass das erste Modul (1) einen löschbaren dritten Speicher (KME) umfasst, in dem der zweite Schlüssel (MK1-MKN) gespeichert ist.
  10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die erste Logikeinheit (MC) und der dritte Speicher (KME) von einem aktiven Hardwareschutz (AH) umgeben sind.
  11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass der aktive Hardwareschutz (AH) einen Hilfsenergiespeicher (B) umfasst, mittels dessen der Inhalt des dritten Speichers (KME) auch bei Unterbrechung sonstiger Energieversorgung (EE) löschbar ist.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Logikeinheit (MC) derart ausgebildet ist, dass sie bei einem Neustart immer auf den ersten Teilbereich (T1) des zweiten Speichers (MEM) zugreift.
  13. Verfahren nach Anspruch 7 und 12, dadurch gekennzeichnet, dass in dem ersten Teilbereich (T1) des zweiten Speichers (MEM) bei erstmaligem Start nach Zusammenfügen des ersten Moduls (1) mit dem zweiten Modul (2) ein Programm gespeichert ist, das die Anweisung für die Logikeinheit (MC) umfasst, auf die erste Schnittstelle zuzugreifen.
  14. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Logikeinheit (MC) mit einem Controller Area Network (CAN) in Verbindung steht.
  15. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Logikeinheit (MC) einen Zufallszahlengenerator (RNG) umfasst, die eine Zufallszahl erzeugt unter Verwendung derer der erste Schlüssel (MK1-MKN) generiert wird.
  16. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Speicher (MEM) neben dem ersten und zweiten Teilbereich (T1, T2) weitere Teilbereiche umfasst, auf die die Logikeinheit (MC) jeweils unter Verwendung unterschiedlicher kryptografischer Schlüssel (MK1-MKN) lesend und/oder schreibend zugreift.
  17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass verschiedenen Benutzern der Anordnung verschiedene Teilbereiche (T1, T2) des zweiten Speichers (MEM) zugeordnet sind, denen jeweils ein eigener kryptologischer Schlüssel (MK1-MKN) zugeordnet ist.
  18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, dass die Logikeinheit (MC) ein Speicherschutzmodul (MPU) um fasst, welche Zugriffsadressen (ADR) des zweiten Speichers (MEM) und Benutzern jeweils ein Sicherheitszertifikat (CERT) zuordnet und das Speicherschutzmodul (MPU) der Logikeinheit (MC) bei Zugriff auf eine Zugriffsadresse (ADR) des zweiten Speichers (MEM) von dem Speicherschutzmodul (MPU) einen entsprechenden Schlüssel (DK1, MK1-MKN) aus dem ersten oder dritten Speicher (KMF, KME) für den Zugriff freigibt oder den Zugriff verweigert.
  19. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in dem ersten Teilbereich (T1) des zweiten Speichers (MEM) Bootanweisungen gespeichert sind, welche die erste Logikeinheit (MC) beim Start ausliest und ausführt.
DE200510008928 2005-02-24 2005-02-24 Verfahren zur Authentifizierung eines Moduls Ceased DE102005008928A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE200510008928 DE102005008928A1 (de) 2005-02-24 2005-02-24 Verfahren zur Authentifizierung eines Moduls
PCT/EP2006/050114 WO2006089813A1 (de) 2005-02-24 2006-01-10 Verfahren zur authentifizierung eines moduls
EP06704257A EP1851900A1 (de) 2005-02-24 2006-01-10 Verfahren zur authentifizierung eines moduls

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510008928 DE102005008928A1 (de) 2005-02-24 2005-02-24 Verfahren zur Authentifizierung eines Moduls

Publications (1)

Publication Number Publication Date
DE102005008928A1 true DE102005008928A1 (de) 2006-09-07

Family

ID=36062508

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510008928 Ceased DE102005008928A1 (de) 2005-02-24 2005-02-24 Verfahren zur Authentifizierung eines Moduls

Country Status (3)

Country Link
EP (1) EP1851900A1 (de)
DE (1) DE102005008928A1 (de)
WO (1) WO2006089813A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008061710A1 (de) * 2008-12-12 2010-06-17 Continental Automotive Gmbh Verfahren zum Betreiben einer Sensorvorrichtung und Sensorvorrichtung

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007008293B4 (de) * 2007-02-16 2010-02-25 Continental Automotive Gmbh Verfahren und Vorrichtung zum gesicherten Speichern und zum gesicherten Lesen von Nutzdaten

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19527715C2 (de) * 1995-07-31 1997-08-07 Deutsche Telekom Mobil Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehörige Chipkarten und Endgeräte
US20030009667A1 (en) * 2001-07-09 2003-01-09 Sanyo Electric Co., Ltd. Data terminal device that can easily obtain content data again, a program executed in such terminal device, and recording medium recorded with such program
US20030056107A1 (en) * 2001-09-17 2003-03-20 Cammack William E. Secure bootloader for securing digital devices

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997013208A1 (en) * 1995-10-06 1997-04-10 Scientific-Atlanta, Inc. Electronic vehicle log
US6708274B2 (en) * 1998-04-30 2004-03-16 Intel Corporation Cryptographically protected paging subsystem

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19527715C2 (de) * 1995-07-31 1997-08-07 Deutsche Telekom Mobil Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehörige Chipkarten und Endgeräte
US20030009667A1 (en) * 2001-07-09 2003-01-09 Sanyo Electric Co., Ltd. Data terminal device that can easily obtain content data again, a program executed in such terminal device, and recording medium recorded with such program
US20030056107A1 (en) * 2001-09-17 2003-03-20 Cammack William E. Secure bootloader for securing digital devices

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008061710A1 (de) * 2008-12-12 2010-06-17 Continental Automotive Gmbh Verfahren zum Betreiben einer Sensorvorrichtung und Sensorvorrichtung
US8601281B2 (en) 2008-12-12 2013-12-03 Continental Automotive Gmbh Method for operating a sensor apparatus and sensor apparatus

Also Published As

Publication number Publication date
WO2006089813A1 (de) 2006-08-31
EP1851900A1 (de) 2007-11-07

Similar Documents

Publication Publication Date Title
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
EP1959606B1 (de) Sicherheitseinheit
DE102012110499B9 (de) Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte
DE112014005412B4 (de) Programmaktualisierungssystem und Programmaktualisierungsverfahren
DE102018210318B4 (de) Verfahren zur Sicherung von Fahrzeugkomponenten und entsprechende Fahrzeugkomponente
DE10238095B4 (de) Verfahren zum Schutz vor Manipulationen an einem Steuergerät für mindestens eine Kfz-Komponente und Steuergerät
DE102014208855A1 (de) Verfahren zum Durchführen einer Kommunikation zwischen Steuergeräten
EP2235598B1 (de) Feldgerät und verfahren zu dessen betrieb
DE102018127330A1 (de) System-on-Chip und Verfahren zum Betreiben eines System-on-Chip
DE102014208851A1 (de) Verfahren zum Verhindern eines unbefugten Betriebs eines Kraftfahrzeugs
WO2011107319A2 (de) Verfahren zum verifizieren eines speicherblocks eines nicht-flüchtigen speichers
EP1760623A2 (de) Sicherheitseinrichtung für elektronische Geräte
EP1605410B1 (de) Tachograph
DE112012004661T5 (de) System zum Schutz von eingebettetem Software-Code
DE102014222181A1 (de) Verfahren zum Betreiben eines Steuergeräts
DE3641230C1 (de) Verfahren und Schaltungsanordnung zur Diebstahlsicherung von Geraeten,insbesondere Autoradiogeraeten
DE102005008928A1 (de) Verfahren zur Authentifizierung eines Moduls
DE102020207866A1 (de) Verfahren zum Durchführen einer abgesicherten Startsequenz eines Steuergeräts
DE102013202322A1 (de) Verfahren zur verschlüsselten Datenübertragung zwischen zwei Komponenten eines Steuergeräts
DE202019104521U1 (de) Gerät zur Auswahl einer Betriebsart eines Sicherheitssystems
DE10002203A1 (de) Verfharen zum Schutz eines Mikrorechner-Systems gegen Manipulation von in einer Speicheranordnung des Mikrorechner-Systems gespeicherten Daten
DE102018133605B4 (de) Verfahren und Vorrichtung zur Prüfung der Integrität von Modulen einer Windkraftanlage
DE10238094B4 (de) Verfahren zum Schutz gegen Manipulationen in einem Steuergerät für mindestens eine Kfz-Komponente und Steuergerät
DE102021003609A1 (de) Verfahren und Vorrichtung zur Dokumentation von Betriebsdaten und deren Anwendung für ein Hochvolt-Batteriesystem
DE102020216065A1 (de) Vorrichtung mit einer Schnittstelle und Verfahren zum Betreiben einer Vorrichtung mit einer Schnittstelle

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

8131 Rejection