DE102005028663A1 - Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner - Google Patents

Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner Download PDF

Info

Publication number
DE102005028663A1
DE102005028663A1 DE102005028663A DE102005028663A DE102005028663A1 DE 102005028663 A1 DE102005028663 A1 DE 102005028663A1 DE 102005028663 A DE102005028663 A DE 102005028663A DE 102005028663 A DE102005028663 A DE 102005028663A DE 102005028663 A1 DE102005028663 A1 DE 102005028663A1
Authority
DE
Germany
Prior art keywords
vehicle
communication
component
external
components
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102005028663A
Other languages
English (en)
Inventor
Amer Ajaz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102005028663A priority Critical patent/DE102005028663A1/de
Priority to PCT/EP2006/004349 priority patent/WO2006133774A1/de
Priority to CN200680021332.1A priority patent/CN101199183B/zh
Priority to US11/922,425 priority patent/US9591480B2/en
Publication of DE102005028663A1 publication Critical patent/DE102005028663A1/de
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]

Abstract

Die Erfindung betrifft ein Verfahren, eine Vorrichtung und ein Kommunikationssystem zum sicheren Kommunizieren von mindestens einer von mehreren Komponenten (51, 52) eines Fahrzeugs über eine drahtlose Kommunikationsverbindung (3) mit mindestens einem externen Kommunikationspartner (2, 2'), wobei die mehreren Komponenten (51, 52) jeweils mindestens ein Kommunikationsmodul zum Datenaustauschen umfassen. Das Verfahren umfasst ein Austauschen von Datenpaketen zwischen einer Sende-/Empfangseinrichtung des Fahrzeugs und einer externen Sende-/Empfangsstation, wobei ein Kommunikationsstatus der drahtlosen Kommunikationsverbindung (3) ermittelt wird und ein Datenaustausch zwischen einerseits der mindestens einen Komponente (51) und/oder dem externen Kommunikationspartner (2, 2') und andererseits anderen der mehreren Komponenten (52) und/oder ein Zugreifen der mindestens einen Komponente (51) und/oder des externen Kommunikationspartners (2, 2') auf die anderen der mehreren Komponenten (52) in Abhängigkeit von dem Kommunikationsstatus gestattet oder unterbrochen wird. Die Vorrichtung und das Kommunikationssystem sind ausgestaltet, um das Verfahren umzusetzen.

Description

  • Die Erfindung betrifft ein Verfahren zum sicheren Kommunizieren von mindestens einer von mehreren Komponenten eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit mindestens einem externen Kommunikationspartner, wobei die mehreren Komponenten jeweils mindestens ein Kommunikationsmodul zum Datenaustauschen umfassen, umfassend ein Austauschen von Datenpaketen zwischen einer Sende- und Empfangseinrichtung des Fahrzeugs und einer externen Sende-/Empfangsstation sowie eine entsprechende Vorrichtung und ein entsprechendes Kommunikationssystems.
  • Die Notwendigkeit für einen Datenaustausch zwischen Komponenten eines Fahrzeugs und einem Kommunikationspartner außerhalb des Fahrzeugs über drahtlose Kommunikationsverbindungen nimmt zu. Unter Komponenten eines Fahrzeugs werden sowohl Softwareanwendungen, die auf einem Computer des Fahrzeugs (Fahrzeugcomputer) ausgeführt werden, als auch Hardwarebestandteile, beispielsweise ein Motorsteuerungsmodul, angesehen. Um Daten zwischen den Komponenten des Fahrzeugs austauschen zu können, umfassen alle diese Komponenten mindestens ein Kommunikationsmodul, das in der Regel als Software ausgeführt ist und auf dem Fahrzeugcomputer ausführbar ist. Bei dem Kommunikationsmodul für das Motorsteuerungsmodul handelt es sich beispielsweise um eine Kommunikationsschnittstelle, die auf dem Fahrzeugcomputer als Software ausgeführt ist und einen Zugriff auf Hardwarebestandteile der Komponente über ein Bussystem ermöglicht.
  • Ein Kommunikationsbedarf zwischen dem externen Kommunikationspartner und den Komponenten des Fahrzeugs kann vielfältige Ursachen haben. Für einen Nutzer des Fahrzeugs kann es beispielsweise wünschenswert sein, dass das Motorsteuerungsmodul Daten mit einer Vertragswerkstatt des Fahrzeugherstellers austauscht, um bei einer Fahrzeugstörung eine schnelle und zuverlässige Diagnose des Fehlers zu ermöglichen. Ein anderes Beispiel für eine Kommunikation über eine drahtlose Kommunikationsverbindung stellt das Herunterladen von Multimediainformationen in ein Infotainmentmodul des Fahrzeugs dar. Es sind viele weitere Anwendungen denkbar, bei denen eine drahtlose Kommunikation zwischen einer Komponente des Fahrzeugs und einem externen Kommunikationspartner stattfindet. Hierunter werden auch solche Anwendungen gefasst, bei denen eine von dem Fahrzeug getrennte oder trennbare Einrichtung, beispielsweise ein Mobiltelefon oder ein tragbarer Computer usw., mit dem Fahrzeug verbunden wird und ein drahtloser Datenaustausch über eine Sende-/Empfangseinrichtung des Fahrzeugs zu einer Sende-/Empfangsstation stattfindet. Bei dem externen Kommunikationspartner kann es sich beispielsweise um eine Softwareanwendung handeln, die auf einem Computer ausgeführt wird, der mit der Sende-/Empfangsstation über ein Netzwerk verbunden ist. Es kann sich jedoch auch um andere Vorrichtungen oder Personen handeln, die über ein elektronisches Gerät, das mittels des Netzwerks mit der Sende-/Empfangsstation verbunden ist, Daten mit einer Komponente des Fahrzeugs austauschen.
  • Die drahtlose Kommunikationsverbindung zwischen der Sende-/Empfangseinrichtung des Fahrzeugs und der externen Sende-/Empfangsstation ist in der Regel als WLAN-Verbindung ausgebildet (WLAN – Wireless Local Area Network). Bei drahtlosen Kommunikationsverbindungen besteht grundsätzlich die Schwierigkeit, dass diese Verbindung durch Unbefugte abgehört werden kann. Insbesondere wenn sensible Daten ausgetauscht werden, sollte ein unbefugtes Abhören und/oder ein manipulieren der Daten vermieden werden. Daher werden unterschiedliche Authentifizierungs- und Verschlüsselungsmechanismen eingesetzt.
  • Im Folgenden wird davon ausgegangen, dass es sich bei einer drahtlosen Kommunikationsverbindung um eine WLAN-Verbindung handelt. Das Beschriebene gilt jedoch für beliebige drahtlose Kommunikationsverbindungen. WLAN-Netzwerke ermöglichen mobilen Sende-/Empfangseinrichtungen eine Kommunikationsverbindung zu der externen Sende-/Empfangsstation, die als Zugangspunkt (Accesspoint) oder Hotspot bezeichnet wird, aufzubauen. WLAN-Zugangspunkte können von verschiedenen Betreibern zur Verfügung gestellt werden. Beispielsweise können Vertragshändler und Vertragswerkstätten eines Automobilherstellers Zugangspunkte zur Verfügung stellen, um eine Kommunikation mit dem Fahrzeug über eine WLAN-Verbindung zu ermöglichen, um hierdurch wiederum eine Wartung und Fehlerdiagnose zu erleichtern. Ebenso kann der Besitzer eines Fahrzeugs einen privaten WLAN-Zugangspunkt betreiben, über den er beispielsweise Navigationsdaten, Multimediadaten usw. von seinem Computer in eine Navigationseinheit des Fahrzeugs bzw. eine Infotainmenteinheit des Fahrzeugs überspielt. Über WLAN-Verbindungen können weitere Funktionalitäten zur Verfügung gestellt werden. So ist denkbar, dass an Tankstellen und anderen öffentlichen Punkten Zugangspunkte zur Verfügung gestellt werden, über die Zusatzdienste in Anspruch genommen werden können.
  • Die Schutzmechanismen, die auf den unterschiedlichen Zugangspunkten verwendet werden, unterscheiden sich in der Regel. Während ein privates WLAN-Netzwerk durch den Nutzer sehr gut geschützt werden kann, da er nur für die Kommunikation mit dem Fahrzeug und unter Umständen wenigen anderen elektronischen Komponenten vorgesehen ist, muss ein öffentlich zugänglicher Zugangspunkt, beispielsweise an einer Tankstelle oder einem Schnellimbiss-Restaurant, eine Vielzahl unterschiedlicher Geräte und Kommunikationsteilnehmer zulassen. So gibt es Zugangspunkte, die sowohl eine Authentifizierung fordern als auch den Datenverkehr verschlüsseln. Andere Zugangspunkte nutzen weder eine Authentifizierung noch eine Verschlüsselung der Daten. Außer der Verschlüsselung der Daten hat die Vertrauenswürdigkeit des Zugangspunkts einen Einfluss auf die Kommunikationssicherheit. Ein öffentlicher Zugangspunkt könnte beispielsweise von einem Hacker errichtet worden sein. Eine Prüfung der Vertrauenswürdigkeit kann über einen Austausch von Zertifikaten erfolgen. Die Vertrauenswürdigkeit des Zugangspunktes wird ebenso wie die Verschlüsselung der Daten bei der drahtlosen Übertragung der Übertragungssicherheit zugerechnet.
  • Für die Kommunikationssicherheit sind neben der Übertragungssicherheit zwischen der mobilen Sende-/Empfangseinrichtung und der Sende-/Empfangsstation des Zugangspunktes ebenfalls die Vertrauenswürdigkeit des Kommunikationspartners als auch eine Übertragung über ein Netzwerk von dem externen Kommunikationspartner zu dem Zugangspunkt der drahtlosen Kommunikationsverbindung von Bedeutung.
  • Auch auf dieser Ebene kann eine Authentifizierung des externen Kommunikationspartners und eine Verschlüsselung der übertragenen Daten vorgenommen werden.
  • Insgesamt ergeben sich so sehr unterschiedliche Kommunikationsszenarien in Abhängigkeit von der Übertragungssicherheit der drahtlosen Kommunikationsverbindung als auch der Authentifizierung des externen Gesprächspartners und der Verschlüsselung der Daten bei einer Netzwerkübertragung zu der Sende-/Empfangsstation der drahtlosen Kommunikationsverbindung. Um eine große Funktionalität zuzulassen, wird es jedoch erforderlich sein, dass einzelne Komponenten des Fahrzeugs mit nicht vertrauenswürdigen externen Kommunikationspartnern oder über drahtlose Kommunikationsverbindungen, die nicht gut gesichert sind, kommunizieren. In einem solchen Fall kann ein Eindringen eines Hackers in die Kommunikationsverbindung nicht ausgeschlossen werden. Die einzelnen Komponenten des Fahrzeugs sind jeweils so ausgelegt, dass sie einem Angriff eines Hackers standhalten sollen. Jedoch hat sich gezeigt, dass insbesondere bei einer Umsetzung in Software Fehler solcher Art nicht vermeidbar sind, die einem Hacker ermöglichen, die Kontrolle über die Anwendung, d.h. die jeweilige Komponente, zu erlangen. Hat ein Hacker eine Komponente unter seine Kontrolle gebracht, kann er über diese Komponente andere Komponenten des Fahrzeugs angreifen. Falls der Computer des Fahrzeugs mit einem Hacker kommuniziert, könnte der Hacker versuchen, Sicherheitslücken in den auf dem Fahrzeugcomputer ausgeführten Anwendungen bzw. Komponenten zu finden. Sobald der Hacker eine Sicherheitslücke in irgendeiner Anwendung oder Komponente findet, kann er diese Sicherheitslücke ausnutzen, um die Kontrolle über diese bestimmte Anwendung oder Komponente zu erlangen. Der Hacker könnte nun diese infizierte Anwendung oder Komponente nutzen, um einen Zugang auf die Fahrzeugcomputerressourcen, Schnittstellen und andere vernetzte computergestützte oder computerbasierte Fahrzeugkomponenten zu erhalten, die mit dem Fahrzeugcomputer verbunden sind. Die „eroberte" oder „gehackte" Fahrzeuganwendung kann als Trittbrett zum Infizieren anderer Anwendungen/Komponenten auf dem Fahrzeugcomputer genutzt werden, um schließlich einen Zugang zu den Fahrzeugcomputerressourcen zu erhalten.
  • Wenn somit nur eine der vielen Anwendungen/Komponenten auf dem Fahrzeugcomputer eine Sicherheitslücke hat, die von einem Hacker gefunden wird, kann der Hacker diese infizierte Anwendung verwenden, um Zugang zu anderen Anwendungen/Vorrichtungen, Ressourcen oder Komponenten innerhalb des Fahrzeugcomputers oder solchen Komponenten zu erlangen, die mit dem Fahrzeugcomputer verknüpft sind, auf dem die infizierte Anwendung aufgeführt wird.
  • Unglücklicherweise können Fahrzeughersteller nicht garantieren, dass Anwendungen oder Komponenten keine Sicherheitslücken aufweisen werden. Sicherheitslücken können jederzeit gefunden werden, und es hat sich herausgestellt, dass sie ein unvermeidbares Phänomen der Softwareentwicklung sind.
  • Es muss daher davon ausgegangen werden, dass ein mit einem WLAN-Client ausgerüsteter Fahrzeugcomputer innerhalb eines Fahrzeugs mindestens eine ausgeführte Anwendung/Komponente aufweist, die mindestens eine Sicherheitslücke aufweist, und dass diesem Fahrzeugcomputer gestattet wird, mit einem öffentlichen Zugangspunkt (z.B. einem WLAN-Zugangspunkt auf einem Parkplatz, einer Tankstelle oder an einem Schnellimbiss-Restaurant usw.) zu kommunizieren.
  • Es muss ferner angenommen werden, dass es möglich ist, dass auch der Zugangspunkt bereits von einem Hacker infiziert wurde oder von diesem zur Verfügung gestellt wird. In einem solchen Fall würde der infizierte Zugangspunkt die Chance erhalten, die ausgeführten Anwendungen/Komponenten auf dem Fahrzeugrechner durchzutesten, um Sicherheitslücken zu finden, die von dem Hacker ausgenutzt werden können.
  • Aufgabe der Erfindung ist es somit, ein Verfahren und eine Vorrichtung sowie ein Kommunikationssystem zu schaffen, mit denen eine sicherere Kommunikation über eine drahtlose Kommunikationsverbindung zwischen einer Komponente eines Fahrzeugs und einem externen Kommunikationspartner möglich ist.
  • Die technische Aufgabe wird erfindungsgemäß durch ein Verfahren nach dem Patentanspruch 1, eine Vorrichtung nach dem Patentanspruch 13 und ein Kommunikationssystem nach dem Patentanspruch 25 gelöst. Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen.
  • Der Erfindung liegt die Idee zugrunde, dass mindestens eine von mehreren Komponenten des Fahrzeugs über eine drahtlose Kommunikationsverbindung Datenpakete mit einem externen Kommunikationspartner austauscht. Unter Datenpaketen werden nicht nur Pakete eines zerlegten Datenstroms, sondern auch ein kontinuierlicher Datenstrom verstanden. Für die drahtlose Kommunikationsverbindung wird ein Kommunikationsstatus ermittelt. Anhand des ermittelten Kommunikationsstatus wird entschieden, ob die mindestens eine Komponente und/oder der externe Kommunikationspartner auf eine der anderen der mehreren Komponenten zugreifen darf oder mit diesen anderen Komponenten Daten austauschen darf. Dies bedeutet, dass anhand des Kommunikationsstatus entschieden wird, ob ein solcher Datenaustausch gestattet oder unterbunden wird. Insbesondere wird ein Verfahren zum sicheren Kommunizieren von mindestens einer von mehreren Komponenten eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit mindestens einem externen Kommunikationspartner vorgeschlagen, wobei die mehreren Komponenten jeweils mindestens ein Kommunikationsmodul zum Datenaustauschen umfassen, umfassend ein Austauschen von Datenpaketen zwischen einer Sende-/Empfangseinrichtung des Fahrzeug und einer externen Sende-/Empfangsstation, wobei ein Kommunikationsstatus der drahtlosen Kommunikationsverbindung ermittelt wird und ein Datenaustausch zwischen einerseits der mindestens einen Komponente und/oder dem externen Kommunikationspartner und andererseits anderen der mehreren Komponenten und/oder ein Zugreifen der mindestens einen Komponente und/oder des externen Kommunikationspartners auf die anderen der mehreren Komponenten in Abhängigkeit von dem Kommunikationsstatus gestattet oder unterbunden wird.
  • Ferner wird eine Vorrichtung zum sicheren Kommunizieren von mindestens einer von mehreren Komponenten eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit mindestens einem externen Kommunikationspartner vorgeschlagen, wobei die mehreren Komponenten jeweils mindestens ein Kommunikationsmodul zum Datenaustauschen umfassen, umfassend eine Sende-/Empfangseinrichtung des Fahrzeug zum Austauschen von Datenpaketen mit einer externen Sende-/Empfangsstation, wobei ein Kommunikationsstatus der drahtlosen Kommunikationsverbindung ermittelbar ist und ein Datenaustausch zwischen einerseits der mindestens einen Komponente und/oder dem externen Kommunikationspartner und andererseits anderen der mehreren Komponenten und/oder ein Zugreifen der mindestens einen Komponente und/oder des externen Kommunikationspartners auf die anderen der mehreren Komponenten jeweils in Abhängigkeit von dem Kommunikationsstatus gestattbar oder unterbindbar ist.
  • Bei der Ermittlung des Kommunikationsstatus können alle Tatschen berücksichtigt werden, die die Kommunikationsverbindung technisch und im Hinblick auf eine Kommunikationssicherheit beeinflussen oder bestimmen.
  • Die Erfindung bietet den Vorteil, dass einem Hacker bei einem Kommunikationsstatus, der angibt, dass mögliche Sicherheitsbedenken existieren, ein Zugriff auf bestimmte sensible Komponenten des Fahrzeugs verweigert wird. Hierdurch ist die Gefahr, dass ein Hacker in ein Fahrzeug eindringt, deutlich gesenkt.
  • Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, dass der Kommunikationsstatus anhand einer von der externen Sende-/Empfangsstation verwendeten Verschlüsselung und/oder Authentifizierung ermittelt wird. Hierdurch wird sichergestellt, dass insbesondere die Sicherheitsprobleme, die aufgrund der drahtlosen Übertragung bestehen, bei der Ermittlung des Kommunikationsstatus berücksichtigt werden.
  • Eine verbesserte Bestimmung des Kommunikationsstatus ist möglich, wenn alternativ oder zusätzlich der Kommunikationsstatus anhand einer von dem externen Kommunikationspartner verwendeten Verschlüsselung und/oder Authentifizierung ermittelt wird.
  • Eine besonders vorteilhafte Weiterbildung der Erfindung sieht vor, dass zum Unterbinden des Datenaustausches zwischen einerseits der mindestens einen Komponente und/oder dem externen Kommunikationspartner und andererseits den anderen der mehreren Komponenten und/oder zum Unterbinden des Zugreifens der mindestens einen Komponente und/oder des externen Kommunikationspartners auf die anderen der mehreren Komponenten zumindest die Kommunikationsmodule der anderen der mehreren Komponenten deaktiviert werden. Unter Kommunikationsmodulen im Sinne der Anwendung werden die Teile einer Komponente verstanden, die für einen Datenaustausch über den Fahrzeugcomputer des Fahrzeugs vorgesehen sind. Unter einem Zugreifen auf eine andere Komponente wird ebenfalls das Zugreifen auf den ausführbaren Code der Komponente bzw. auf Treiberschnittstellen der Komponente oder andere dieser Komponente zugeordnete Daten im Fahrzeugcomputer des Fahrzeugs verstanden. In einzelnen Fällen kann auch die gesamte Komponente deaktiviert werden. Beispielsweise ist es nicht sinnvoll, dass eine Diagnosekomponente im Fahrzeug aktiv ist, wenn eine Kommunikationsverbindung beispielsweise von einer Multimediaanwendung über einen öffentlichen nicht geschützten WLAN-Zugangspunkt zu einem öffentlichen Musikarchiv aufgebaut wird. Eine solche Diagnosekomponente, die einen Eingriff in Fahrzeugsteuerungselemente ermöglicht, sollte sinnvollerweise nur bei einem Kommunikationsstatus aktiviert sein, bei dem sowohl die drahtlose Kommunikationsverbindung sicher ist als auch eine Kommunikation mit einem vertrauenswürdigen externen Kommunikationspartner gewährleistet ist.
  • Eine besonders vorteilhafte Ausführungsform der Erfindung sieht vor, dass die externe Sende-/Empfangsstation einen WLAN-Zugangspunkt umfasst. Eine andere Weiterbildung der Erfindung sieht vor, dass die Sende-/Empfangseinrichtung des Fahrzeugs als WLAN-Client ausgestaltet ist.
  • Eine bevorzugte Ausführungsform der Erfindung sieht vor, dass die mehreren Komponenten Computeranwendungen umfassen, die auf einem Fahrzeugcomputer des Fahrzeugs ausgeführt werden.
  • Die Sicherung einer Kommunikationsverbindung kann auf verschiedenen Netzwerk-/Anwendungsschichten oder -ebenen erfolgen. Das Open Systems Interconnection Reference Model, im Folgenden OSI-Modell genannt, beschreibt diese unterschiedlichen Ebenen bzw. Schichten. Die einzelnen Ebenen des OSI-Modells werden als OSI-Schichten bezeichnet. Bei Verfahren und Vorrichtungen im Stand der Technik wird eine Authentifizierung in unterschiedlichen OSI-Schichten durchgeführt. So sind in WLAN-Netzwerken sowohl Authentifizierungs- als auch Verschlüsselungsverfahren in der OSI-Schicht 2 und 3 bekannt. Ebenso ist es jedoch möglich, dass eine Authentifizierung und/oder Verschlüsselung in den OSI-Schichten 3 oder 4 oder sogar in mehreren OSI-Schichten einschließlich der OSI-Schichten 5 bis 7 erfolgt, die als Anwendungsschichten bezeichnet werden. Für eine Bestimmung des Kommunikationsstatus, der eine Auskunft über die Sicherheit der Kommunikationsverbindung und die Vertrauenswürdigkeit des Kommunikationspartners liefern soll, ist es nachteilig, wenn die einzelnen Sicherheitsprotokolle in unterschiedlichen Komponenten und/oder Anwendungen in unterschiedlichen OSI-Schichten realisiert sind. Eine besonders vorteilhafte Weiterbildung der Erfindung sieht daher vor, dass die Authentifizierung und/oder Verschlüsselung in allen Netzwerk-/Anwendungschichten, insbesondere OSI-Schichten, von einer zentralen Sicherheitskomponente des Fahrzeugs ausgeführt werden. Hierbei realisiert die Sicherheitskomponente alle erforderlichen Authentifizierungs- und Verschlüsselungsmechanismen in den unterschiedlichen OSI-Schichten. Dieses bietet den Vorteil, dass ein Sicherheitsstatus und somit der Kommunikationsstatus leichter ermittelt werden können. Ein weiterer Vorteil ist, dass eine einzige Sicherheitskomponente leichter zu warten ist als mehrere parallel arbeitende Sicherheitskomponenten, die jeweils die Authentifizierung/Verschlüsselung in einer bzw. mehreren der Netzwerk-/Anwendungsschichten (OSI-Schichten) ausführen. Hierdurch wird die Replikation von verschiedenen Sicherheitsprotokollen in verschiedenen OSI-Schichten verringert. Hierdurch werden Fehler innerhalb der Sicherheitskomponente, d.h. innerhalb der Authentifizierungs- und Verschlüsselungskomponente, insgesamt verringert.
  • Bei einer besonders bevorzugten Weiterbildung der Erfindung ermittelt die Sicherheitskomponente den Kommunikationsstatus.
  • Bei dem externen Kommunikationspartner kann es sich beispielsweise um ein Anwendungsprogramm auf einem externen Computer handeln, der mit der Sende-/Empfangsstation über ein Netzwerk kommuniziert. Anwendungsprogramme können dem Nutzer im Fahrzeug eine große Funktionalität zur Verfügung stellen, ohne dass der Fahrzeugcomputer des Fahrzeugs in der Lage sein muss, das Anwendungsprogramm selbst auszuführen. So können Anwendungen vom Fahrzeug aus genutzt werden, die einen großen Rechenaufwand oder eine große Datenbank, d.h. einen großen Speicher, benötigen.
  • Bei einer besonders bevorzugten Weiterbildung der Erfindung umfasst der Kommunikationsstatus eine Kommunikationssicherheitsstufe und wird den einzelnen der mehreren Komponenten jeweils eine Komponentensicherheitsstufe zugewiesen und erfolgt das Unterbinden des Datenaustausches mit den und/oder das Unterbinden des Zugreifens auf die anderen der mehreren Komponenten jeweils, wenn die Komponentensicherheitsstufe der entsprechenden anderen der mehreren Komponenten geringer als die ermittelte Kommunikationssicherheitsstufe ist. Bei dieser Weiterbildung der Erfindung können verschiedene Szenarien in Kommunikationssicherheitsstufen eingeordnet werden. Für jede der Kommunikationssicherheitsstufen kann dann festgelegt werden, welche der Komponenten aktiv sein darf. Vorzugsweise wird somit jeder Kommunikationssicherheitsstufe eine entsprechende Komponentensicherheitsstufe zugeordnet. Hierdurch wird eine leichte Verwaltung der Zugriffsrechte bzw. der Deaktivierungs- oder Aktivierungsmöglichkeiten der einzelnen Komponenten gewährleistet.
  • Die Merkmale der erfindungsgemäßen Weiterbildungen der Vorrichtung und des Kommunikationssystems weisen dieselben Vorteile wie die entsprechenden Merkmale des erfindungsgemäßen Verfahrens auf.
  • Nachfolgend wird die Erfindung anhand eines bevorzugten Ausführungsbeispiels unter Bezugnahme auf eine Zeichnung näher erläutert. Hierbei zeigen:
  • 1 eine schematische Darstellung eines in einem Fahrzeug integrierten Fahrzeugcomputers, der mit externen Kommunikationspartnern kommunizieren kann;
  • 2 eine schematische Darstellung eines Fahrzeugcomputers, bei dem eine Komponente von einem Hacker infiziert worden ist;
  • 3 eine schematische Darstellung eines Fahrzeugcomputers und die verschiedenen Authentifizierungs- und Verschlüsselungsverfahren;
  • 4 eine schematische Darstellung für eine Sicherheitskomponente; und
  • 5 eine schematische Darstellung eines Fahrzeugcomputers, bei dem ein Zugriff auf andere Komponenten aufgrund des ermittelten Kommunikationsstatus untersagt ist.
  • 1 stellt schematisch einen Fahrzeugcomputer 1 dar, der mit externen Kommunikationspartnern 2, 2' über eine drahtlose Kommunikationsverbindung 3 Datenpakete austauschen kann. Der Fahrzeugcomputer 1 umfasst Bussysteme 4, die beispielsweise als CAN-Bussysteme ausgestaltet sind. Ferner umfasst der Fahrzeugcomputer 1 eine als WLAN-Client 5 ausgestaltete Sende-/Empfangseinrichtung. Die Bussysteme 4 und der WLAN-Client 5 sind über eine Betriebssystemnetzwerkschicht 6 (beispielsweise Linux Network Layer) und einen Betriebssystemsocketschicht 7 (beispielsweise Linux Socket Layer) mit einer virtuellen Maschine 8, die vorzugsweise als Java Virtual Machine ausgestaltet ist, verbunden. Die Betriebssystemnetzwerkschicht 6 und die Betriebssystemsocketschicht 7 werden vom Betriebssystem (beispielsweise Linux) zur Verfügung gestellt. Zwischen der Betriebssystemnetzwerkschicht 6 und der Betriebssystemsocketschicht 7 sind unterschiedliche Protokollfamilien angeordnet. Diese umfassen die Internetprotokollfamilie 9 und beispielsweise eine CAN-Busfamilie 10. Zwischen der Betriebssystemsocketschicht 7 und der virtuellen Maschine 8 kann eine Fahrzeuganwendungsprogrammierschnittstelle 11 (Fahrzeug- API) vorgesehen sein, über die ein standardisierter Zugriff auf die Bussysteme 4 ermöglicht wird. Auf der virtuellen Maschine 8 setzt eine Open Service Gateway initiative Plattform (OSGi-Plattform) 12 auf, in der mehrere Fahrzeuganwendungen 13, 13', 13'' ausführbar sind. Die Fahrzeuganwendungen können Komponenten im Sinne dieser Anmeldung sein. Die Fahrzeuganwendungen 13, 13', 13'' können jedoch auch Bestandteil einer Fahrzeugkomponente sein, die zusätzliche Hard- oder Softwarebestandteile umfasst, die über eines der Bussysteme 4 mit dem Fahrzeugcomputer 1 verbunden sind. Die Fahrzeuganwendungen 13, 13', 13'' umfassen mindestens jeweils ein Kommunikationsmodul, mit Hilfe dessen sie Daten mit anderen der mehreren Fahrzeuganwendungen 13, 13', 13'' oder einem der externen Kommunikationspartner 2 austauschen können.
  • Eine sichere Kommunikation einer Komponente des Fahrzeugs mit einem externen Kommunikationspartner 2 sieht vorteilhafterweise vier Mechanismen vor. Diese vier Mechanismen sind durch vier Doppelpfeile 14, 15, 16, 17 innerhalb eines großen Doppelpfeils 18 angedeutet, der eine sichere Kommunikation über eine drahtlose Kommunikationsverbindung repräsentiert. Die vier Mechanismen umfassen eine gegenseitige Authentifizierung 14, ein Austauschen eines Sitzungsschlüssels 15 (Session Key), den Austausch ausschließlich von signierten oder verschlüsselten Daten 16 und das Authentifizieren des Ursprungs von jedem empfangenen Datenpaket 17. Es wird jedoch für den Fahrzeugnutzer auch Anwendungen geben, bei denen er mit einem externen Kommunikationspartner 2' eine Verbindung aufnehmen will, der keinerlei Sicherheitsmaßnahmen implementiert. Dies ist beispielsweise bei solchen Anbietern der Fall, die kostenlose Informationen im Rahmen einer Ausstrahlung (broadcast) zur Verfügung stellen. Hierbei wird zwischen dem externen Kommunikationspartner 2' und der als Fahrzeuganwendung 13' ausgebildeten Komponente des Fahrzeugs eine Kommunikationsverbindung aufgebaut, die eine drahtlose Kommunikationsverbindung 3 zwischen den WLAN-Client 5 und einer WLAN-Zugangspunkt 19 ausgebildeten Sende-/Empfangsstation umfasst. Mit Hilfe einer Firewall 20, die als Portfilter dient, können Zugriffe des externen Kommunikationspartners 2' auf andere Komponenten des Fahrzeugs 1 verhindert werden. Weist jedoch die Fahrzeuganwendung 13' eine Sicherheitslücke auf, so kann diese infiziert werden, was mittels des Buchstabens „O" angedeutet ist. Das Infizieren kann über den Kommunikationspartner 2 oder über den Zugangpunkt 19 oder die drahtlose Kommunikationsverbindung 3 erfolgen, je nachdem welche von diesen infiziert oder „gehackt" sind.
  • Wie in 2 dargestellt ist, kann diese infizierte Komponente, die die Fahrzeuganwendung 13' umfasst, verwendet werden, um auf andere Komponenten des Fahrzeugs einen unerlaubten Zugriff zu erlangen, die die Fahrzeuganwendungen 13'' umfassen. Die Fahrzeuganwendungen 13'' können beispielsweise als Kommunikationsmodule der Komponenten ausgebildet sein, deren Hardwarebestandteile über eines der Bussysteme 4 mit dem Fahrzeugcomputer 1 verbunden sind. Ein Infizieren einer solchen Komponente ist mittels eines „O" in einem der Bussysteme 4 dargestellt. Technisch identische Merkmale sind in allen Figuren mit denselben Bezugszeichen versehen. Um einen unerlaubten Zugriff zu verhindern, wird ein Kommunikationsstatus für die Kommunikationsverbindung zwischen der Komponente des Fahrzeugs und dem externen Kommunikationspartner 2 ermittelt. Der Kommunikationsstatus wird verwendet, um ein Infizieren von Komponenten zu erschweren oder sogar unmöglich zu machen.
  • 3 zeigt den Fahrzeugcomputer 1 eines Fahrzeugs wie in 1 sowie die unterschiedlichen Verschlüsselungs- und Authentifizierungsmöglichkeiten schematisch. Zwischen dem WLAN-Client 5 des Fahrzeugs und dem WLAN-Zugangspunkt 19 kann sowohl eine Authentifizierung als auch eine Verschlüsselung erfolgen, wie mittels eines röhrenförmig angedeuteten Tunnels 22 dargestellt ist. Über die drahtlose Kommunikationsverbindung 3 werden die Daten, die zwischen dem externen Kommunikationspartner 2 und der Fahrzeuganwendung 13 ausgetauscht werden, zwischen dem WLAN-Client 5 dem WLAN-Zugangspunkt 19 verschlüsselt übertragen. Auf den Kommunikationsstatus haben somit die Vertrauenswürdigkeit des WLAN-Zugangspunktes 19 und die Form der gewählten Verschlüsselung einen Einfluss. Alternativ oder zusätzlich zu der Verschlüsselung in der OSI-Schicht (OSI-Schicht 2) zwischen dem WLAN-Zugangspunkt 19 und dem WLAN-Client 5 können die ausgetauschten Datenpakete zwischen dem externen Kommunikationspartner 2' und einer Komponente des Fahrzeugs, die die Fahrzeuganwendung 13'' umfasst, verschlüsselt ausgetauscht werden, wie dies mittels der schraffiert dargestellten Kommunikationsverbindung 25 angedeutet ist. Zusätzlich kann ebenfalls eine Authentifizierung des externen Kommunikationspartners 2' sowie eine Authentifizierung des Ursprungs der empfangenen Datenpakete durchgeführt werden. Eine Verbindung zwischen einem weiteren externen Kommunikationspartner 2' und der Fahrzeuganwendung 13'' erfolgt, indem die Datenpakete zuerst vor einer Übertragung verschlüsselt werden und beim Empfänger anschließend wieder entschlüsselt werden. Bei dem externen Kommunikationspartner 2' kann es sich um ein Anwendungsprogramm handeln, das auf einem Computer ausgeführt wird, der über ein Netzwerk 26 mit dem WLAN-Zugangspunkt 19 verbunden ist.
  • Anhand der unterschiedlichen verwendeten Authentifizierungs- und Verschlüsselungsmechanismen können unterschiedliche Sicherheitsszenarien identifiziert werden. Eine beispielhafte Einteilung solcher Szenarien soll im Folgenden kurz erläutert werden. Hierbei werden die Vertrauenswürdigkeit des externen Gesprächspartners, die Vertrauenswürdigkeit der externen Sende-/Empfangsstation, über die die drahtlose Kommunikationsverbindung ausgebildet wird, und der Schutz der drahtlosen Kommunikationsverbindung, beispielsweise durch eine Verschlüsselung, berücksichtigt. Eine Einteilung erfolgt zunächst in Klassen anhand der Vertrauenswürdigkeit des externen Kommunikationspartners. Die höchste Vertrauenswürdigkeit besitzt beispielsweise der Hersteller des Fahrzeugs. Er wird in die Kategorie A eingeordnet. Einer Kategorie B werden vertrauenswürdige Dritte zugeordnet, die beispielsweise zertifiziert werden. In eine dritte Kategorie C werden die nicht vertrauenswürdigen Kommunikationspartner eingruppiert. Zu jeder Kategorie wird zusätzlich ein Sicherheitsattribut verliehen, das durch die Vertrauenswürdigkeit der externen Sende-/Empfangsstation der drahtlosen Kommunikationsverbindung und die Sicherheit der drahtlosen Kommunikationsverbindung beeinflusst wird. Das Attribut „sicher" wird verliehen, wenn die Kommunikation über einen vertrauenswürdigen Zugangspunkt verschlüsselt erfolgt. Das Attribut „begrenzte Sicherheit" wird verliehen, wenn die Kommunikation über einen nur begrenzt vertrauenswürdigen Zugangspunkt erfolgt, beispielsweise einen gesicherten WLAN-Zugang eines Kunden. Das Attribut „unsicher" wird den übrigen Situationen zugeordnet, bei denen ein Zugang über einen nicht vertrauenswürdigen Zugangspunkt erfolgt. Ist der externe Kommunikationspartner der Kategorie C zugeordnet, so wird das Attribut „sicher" nicht zugeordnet, auch wenn der Zugang über einen vertrauenswürdigen und gesicherten Zugangspunkt erfolgt. Somit ergeben sich bei dem vorgestellten Klassifikationssystem insgesamt acht Sicherheitsstufen, für die im Folgenden jeweils beispielhaft ein Kommunikationsszenario aufgeführt ist:
    Kategorie A – sicher: für eine Kommunikation zwischen dem Hersteller und einer Komponente des Fahrzeugs über ein vertrauenswürdiges WLAN-Netzwerk,
    Kategorie A – begrenzt sicher: für eine Kommunikation mit dem Fahrzeughersteller über ein WLAN-Netzwerk mit begrenzter Vertrauenswürdigkeit (gesicherter WLAN-Anschluss eines Fahrzeugbesitzers),
    Kategorie A – unsicher: für eine Kommunikation des mit dem Fahrzeughersteller über ein nicht vertrauenswürdiges WLAN-Netzwerk (öffentlicher Parkplatz/Tankstelle),
    Kategorie B – sicher: für eine Kommunikation mit einer vertrauenswürdigen dritten Partei (z.B. einem Softwareanbieter, der lizenziert ist) über ein vertrauenswürdiges WLAN-Netzwerk,
    Kategorie B – begrenzt sicher: für eine Kommunikation zwischen einem vertrauenswürdigen Dritten und einer Komponente des Fahrzeugs über ein WLAN-Netzwerk begrenzter Vertrauenswürdigkeit,
    Kategorie B – unsicher: für eine Kommunikation mit einer vertrauenswürdigen dritten Partei über ein nicht vertrauenswürdiges WLAN-Netzwerk.
    Kategorie C – begrenzt sicher: für eine Kommunikation mit einem nicht vertrauenswürdigen Dritten (einem Anbieter von Informationen, der keine Beziehung zu dem Fahrzeughersteller aufweist und nicht lizenziert ist) über ein vertrauenswürdiges WLAN-Netzwerk oder über ein WLAN-Netzwerk mit begrenzter Vertrauenswürdigkeit,
    Kategorie C – unsicher: für eine Kommunikation mit einer nicht vertrauenswürdigen dritten Partei über ein nicht vertrauenswürdiges WLAN-Netzwerk.
  • Diese Sicherheitsstufen werden von einer zentralen Sicherheitskomponente ermittelt, die die Authentifizierung und/oder Verschlüsselung in allen verschiedenen OSI-Schichten entwickelt. Die Sicherheitskomponente ist vorzugsweise als Software ausgeführt, kann jedoch ganz oder teilweise auch als Hardware ausgeführt sein. Die Funktionsweise wird anhand von 4 beschrieben. Die Sicherheitskomponente empfängt zunächst eine Authentifizierungsanfrage 41. Anschließend wird das Authentifizierungsprotokoll identifiziert 42. Dieses kann in Abhängigkeit von der OSI-Schicht, aus der die Authentifizierungsanfrage stammt, unterschiedlich sein. In der OSI-Schicht 2 sind dies beispielsweise das WPA-Protokoll (Wireless Protected Access-Protocol) oder das EAP-TLS-Protokoll (Extensible Authentication Protocol-Transport Layers Security). In der OSI-Schicht 3 ist dies beispielsweise das IPSec VPN-Protokoll (Internet Protocol Security Virtual Privat Network). In der OSi-Schicht 4 ist dies beispielsweise das SSL-Protokoll (Secure Socket Layer-Protocol). Anschließend wird ein Zertifikat empfangen, die Klasse und die Identifikation des Zugangspunkts bestimmt und das eigene Zertifikat versandt 43. Gemäß der Identifikation und Klasse des Zugangspunktes wird nachfolgend eine Sicherheitsrichtlinie festgelegt 44. Die Sicherheitsrichtlinie legt den Zugriff der Komponente, zu der eine Verbindung aufgebaut wird, und des externen Kommunikationspartners auf andere Komponenten fest. Daran anschließend wird ein Sitzungsschlüssel (Session Key) mit dem Zugangspunkt ausgetauscht 45. Je nachdem welches Protokoll verwendet wurde, wird entschieden 46, wohin der Sitzungsschlüssel (Session Key) weitergeleitet wird. Wird ein Protokoll der OSI-Schicht 2 verwendet, wird der Sitzungsschlüssel an den WLAN-Client bzw. eine WLAN-Karte 47 geliefert. Handelt es sich um ein Protokoll der OSI-Schicht 3, wird der Sitzungsschlüssel (Session Key) beispielsweise an einen IPSec VPN-Client abgegeben 48. Ist das Authentifizierungsprotokoll aus der Schicht 4, wird der Sitzungsschlüssel (Session Key) beispielsweise an die OSGi-Plattform weitergereicht 49. Die unterschiedlichen Sicherheitsprotokolle führen dann die Authentifizierung und/oder Verschlüsselung durch. Sie werden alle von der Sicherheitskomponente ausgeführt oder zumindest kontrolliert und gesteuert. Die Sicherheitskomponente kann zusätzlich die Vertrauenswürdigkeit des externen Kommunikationspartners ermitteln, um so einen Kommunikationsstatus, insbesondere eine Sicherheitsstufe, festzulegen. Die Vertrauenswürdigkeit des Kommunikationspartners wird beispielsweise durch einen Austausch von Zertifikaten ermittelt.
  • Den einzelnen Komponenten, die Fahrzeuganwendungen auf dem Fahrzeugcomputer des Fahrzeugs sein können, wird jeweils eine Komponentensicherheitsstufe zugewiesen. In 5 ist dargestellt, wie der Datenaustausch mindestens einer Komponente 51 zu anderen Komponenten 52 unterbunden wird. Dies ist mittels der Kreuze 53 angedeutet. Der Komponente 51 ist gestattet, auch bei einer niedrigen Sicherheitsstufe der Kommunikationsverbindung mit einem externen Kommunikationspartner 2' zu kommunizieren. Da hierbei die Gefahr besteht, dass die mindestens die Komponente 51 infiziert wird, wenn beispielsweise die drahtlose Kommunikationsverbindung 3 von einem Hacker manipuliert ist, werden die anderen Komponenten 52 oder zumindest ihre Kommunikationsmodule deaktiviert. So wird verhindert, dass der externe Kommunikationspartner 2' und/oder die mindestens eine Komponente 51 des Fahrzeugs 1 mit den anderen Komponenten 52 Daten austauscht oder auf diese zugreift. So wird zuverlässig eine Infizierung dieser anderen Komponenten 52 oder ein unerlaubter Zugriff auf diese anderen Komponenten 52 verhindert. Insgesamt ist so ein besonders vorteilhaftes Kommunikationssystem geschaffen.

Claims (25)

  1. Verfahren zum sicheren Kommunizieren von mindestens einer von mehreren Komponenten (51, 52) eines Fahrzeugs über eine drahtlose Kommunikationsverbindung (3) mit mindestens einem externen Kommunikationspartner (2, 2'), wobei die mehreren Komponenten (51, 52) jeweils mindestens ein Kommunikationsmodul zum Datenaustauschen umfassen, umfassend ein Austauschen von Datenpaketen zwischen einer Sende-/Empfangseinrichtung des Fahrzeug und einer externen Sende-/Empfangsstation, dadurch gekennzeichnet, dass ein Kommunikationsstatus der drahtlosen Kommunikationsverbindung (3) ermittelt wird und ein Datenaustausch zwischen einerseits der mindestens einen Komponente (51) und/oder dem externen Kommunikationspartner (2, 2') und andererseits anderen der mehreren Komponenten (52) und/oder ein Zugreifen der mindestens einen Komponente (51) und/oder des externen Kommunikationspartners (2, 2') auf die anderen der mehreren Komponenten (52) in Abhängigkeit von dem Kommunikationsstatus gestattet oder unterbunden wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Kommunikationsstatus anhand einer von der externen Sende-/Empfangsstation verwendeten Verschlüsselung und/oder Authentifizierung ermittelt wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Kommunikationsstatus anhand einer von dem externen Kommunikationspartner (2, 2') verwendeten Verschlüsselung und/oder Authentifizierung ermittelt wird.
  4. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass zum Unterbinden des Datenaustausches zwischen einerseits der mindestens einen Komponente (51) und/oder dem externen Kommunikationspartner (2, 2') und andererseits den anderen der mehreren Komponenten (52) und/oder zum Unterbinden des Zugreifens der mindestens einen Komponente (51) und/oder des externen Kommunikationspartners (2, 2') auf die anderen der mehreren Komponenten (52) zumindest die Kommunikationsmodule der anderen der mehreren Komponenten (52) deaktiviert werden.
  5. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die externe Sende-/Empfangsstation einen WLAN-Zugangspunkt (19) umfasst.
  6. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Sende-/Empfangseinrichtung des Fahrzeugs als WLAN-Client (5) ausgestaltet ist.
  7. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die mehreren Komponenten (51, 52) Computeranwendungen umfassen, die auf einem Fahrzeugcomputer (1) des Fahrzeugs ausgeführt werden.
  8. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Authentifizierung und/oder Verschlüsselung in allen Netzwerk-/Anwendungsschichten, insbesondere OSI-Schichten, von einer zentralen Sicherheitskomponente des Fahrzeugs ausgeführt werden.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Sicherheitskomponente eine auf dem Fahrzeugcomputer (1) ausgeführte Computeranwendung ist.
  10. Verfahren nach einem der Ansprüche 8 oder 9, dadurch gekennzeichnet, dass die Sicherheitskomponente den Kommunikationsstatus ermittelt.
  11. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der externe Kommunikationspartner (2, 2') ein Anwendungsprogramm auf einem externen Computer ist, der mit der Sende-/Empfangsstation über ein Netzwerk (26) kommuniziert.
  12. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der Kommunikationsstatus eine Kommunikationssicherheitsstufe umfasst und den einzelnen der mehreren Komponenten (51, 52) jeweils eine Komponentensicherheitsstufe zugewiesen wird und das Unterbinden des Datenaustausches mit den und/oder das Unterbinden des Zugreifens auf die anderen der mehreren Komponenten (52) jeweils erfolgt, wenn die Komponentensicherheitsstufe der entsprechenden anderen der mehreren Komponenten (52) geringer als die ermittelte Kommunikationssicherheitsstufe ist.
  13. Vorrichtung zum sicheren Kommunizieren von mindestens einer von mehreren Komponenten (51, 52) eines Fahrzeugs über eine drahtlose Kommunikationsverbindung (3) mit mindestens einem externen Kommunikationspartner (2, 2'), wobei die mehreren Komponenten (51, 52) jeweils mindestens ein Kommunikationsmodul zum Datenaustauschen umfassen, umfassend eine Sende-/Empfangseinrichtung des Fahrzeug zum Austauschen von Datenpaketen mit einer externen Sende-/Empfangsstation, dadurch gekennzeichnet, dass ein Kommunikationsstatus der drahtlosen Kommunikationsverbindung ermittelbar ist und ein Datenaustausch zwischen einerseits der mindestens einen Komponente (51) und/oder dem externen Kommunikationspartner (2, 2') und andererseits anderen der mehreren Komponenten (52) und/oder ein Zugreifen der mindestens einen Komponente (51) und/oder des externen Kommunikationspartners (2, 2') auf die anderen der mehreren Komponenten (52) jeweils in Abhängigkeit von dem Kommunikationsstatus gestattbar oder unterbindbar ist.
  14. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, dass der Kommunikationsstatus anhand einer von der externen Sende-/Empfangsstation verwendeten Verschlüsselung und/oder Authentifizierung ermittelbar ist.
  15. Vorrichtung nach Anspruch 13 oder 14, dadurch gekennzeichnet, dass der Kommunikationsstatus anhand einer von dem externen Kommunikationspartner (2, 2') verwendeten Verschlüsselung und/oder Authentifizierung ermittelbar ist.
  16. Vorrichtung nach einem der Ansprüche 13 bis 15, dadurch gekennzeichnet, dass zum Unterbinden des Datenaustausches zwischen einerseits der mindestens einen Komponente (51) und/oder dem externen Kommunikationspartner (2, 2') und andererseits den anderen der mehreren Komponenten (52) und/oder zum Unterbinden des Zugreifens der mindestens einen Komponente (51) und/oder des externen Kommunikationspartners (2, 2') auf die anderen der mehreren Komponenten (52) zumindest die Kommunikationsmodule der anderen der mehreren Komponenten (52) deaktivierbar sind.
  17. Vorrichtung nach einem der Ansprüche 13 bis 16, dadurch gekennzeichnet, dass die externe Sende-/Empfangsstation einen WLAN-Zugangspunkt (19) umfasst.
  18. Vorrichtung nach einem der Ansprüche 13 bis 17, dadurch gekennzeichnet, dass die Sende-/Empfangseinrichtung des Fahrzeugs als WLAN-Client (5) ausgestaltet ist.
  19. Vorrichtung nach einem der Ansprüche 13 bis 18, dadurch gekennzeichnet, dass das Fahrzeug einen Fahrzeugcomputer (1) umfasst und die mehreren Komponenten (51, 52) Computeranwendungen umfassen, die auf dem Fahrzeugcomputer (1) des Fahrzeugs ausführbar sind.
  20. Vorrichtung nach einem der Ansprüche 13 bis 19, dadurch gekennzeichnet, dass die Authentifizierung und/oder Verschlüsselung auf allen Netzwerk/Anwendungsschichten, insbesondere OSI-Schichten, von einer zentralen Sicherheitskomponente des Fahrzeugs ausführbar ist.
  21. Vorrichtung nach Anspruch 20, dadurch gekennzeichnet, dass die Sicherheitskomponente eine auf dem Fahrzeugcomputer (1) ausgeführte Computeranwendung ist.
  22. Vorrichtung nach einem der Ansprüche 13 bis 21, dadurch gekennzeichnet, dass mit Hilfe der Sicherheitskomponente der Kommunikationsstatus ermittelbar ist.
  23. Vorrichtung nach einem der Ansprüche 13 bis 22, dadurch gekennzeichnet, dass der externe Kommunikationspartner (2, 2') ein Anwendungsprogramm auf einem externen Computer ist, der mit der Sende-/Empfangsstation über ein Netzwerk (26) verbunden ist.
  24. Vorrichtung nach einem der Ansprüche 13 bis 23, dadurch gekennzeichnet, dass der Kommunikationsstatus eine Kommunikationssicherheitsstufe umfasst und den einzelnen der mehreren Komponenten (51, 52) jeweils eine Komponentensicherheitsstufe zugewiesen ist und das Unterbinden des Datenaustausches mit den und/oder das Unterbinden des Zugreifens auf die anderen der mehreren Komponenten (52) jeweils bewirkbar ist, wenn die Komponentensicherheitsstufe geringer als die Kommunikationssicherheitsstufe der entsprechenden anderen der mehreren Komponenten (52) ist.
  25. Kommunikationssystem zum sicheren Kommunizieren von mindestens einer von mehreren Komponenten (51) eines Fahrzeugs über eine drahtlose Kommunikationsverbindung (3) mit mindestens einem externen Kommunikationspartner (2, 2') umfassend eine Vorrichtung nach einem der Ansprüche 13 bis 24 und eine externe Sende-/Empfangsstation, wobei die externe Sende-/Empfangsstation einen WLAN-Zugangspunkt (19) umfasst.
DE102005028663A 2005-06-15 2005-06-15 Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner Pending DE102005028663A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102005028663A DE102005028663A1 (de) 2005-06-15 2005-06-15 Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner
PCT/EP2006/004349 WO2006133774A1 (de) 2005-06-15 2006-05-04 Verfahren und vorrichtung zum sicheren kommunizieren einer komponente eines fahrzeugs über eine drahtlose kommunikationsverbindung mit einem externen kommunikationspartner
CN200680021332.1A CN101199183B (zh) 2005-06-15 2006-05-04 保证汽车部件通过无线通信连接与外部通信伙伴的安全通信的方法、装置和系统
US11/922,425 US9591480B2 (en) 2005-06-15 2006-05-04 Method and device for secure communication of a component of a vehicle with an external communication partner via a wireless communication link

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005028663A DE102005028663A1 (de) 2005-06-15 2005-06-15 Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner

Publications (1)

Publication Number Publication Date
DE102005028663A1 true DE102005028663A1 (de) 2006-12-21

Family

ID=37027511

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005028663A Pending DE102005028663A1 (de) 2005-06-15 2005-06-15 Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner

Country Status (4)

Country Link
US (1) US9591480B2 (de)
CN (1) CN101199183B (de)
DE (1) DE102005028663A1 (de)
WO (1) WO2006133774A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014122243A1 (de) * 2013-02-08 2014-08-14 Bayerische Motoren Werke Aktiengesellschaft Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
US9560061B2 (en) 2013-02-22 2017-01-31 Audi Ag Motor vehicle with a driving behavior which can be modified at a later stage using an application program
DE102016215430A1 (de) 2016-08-18 2018-02-22 Audi Ag Verfahren zum Übertragen von Daten zwischen Steuervorrichtungen eines Kraftfahrzeugs, Steuervorrichtung und Kraftfahrzeug
US10484360B2 (en) 2016-07-26 2019-11-19 Volkswagen Ag Method for providing an authenticated connection between at least two communication partners

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8335916B2 (en) * 2008-01-29 2012-12-18 International Business Machines Corporation Secure request handling using a kernel level cache
DE102010008816A1 (de) * 2010-02-22 2011-08-25 Continental Automotive GmbH, 30165 Verfahren zur Online-Kommunikation
DE102010054087A1 (de) * 2010-12-10 2012-06-14 Audi Ag Verfahren zur drahtlosen Kommunikation zwischen einem Kraftfahrzeug und wenigstens einem anderen Kommunikationsteilnehmer und Kraftfahrzeug
DE102011084254A1 (de) * 2011-10-11 2013-04-11 Zf Friedrichshafen Ag Kommunikationssystem für ein Kraftfahrzeug
JP5996872B2 (ja) 2012-01-11 2016-09-21 株式会社東海理化電機製作所 貸与システム
GB201207404D0 (en) * 2012-04-27 2012-06-13 Ge Aviat Systems Ltd Security system and method for controlling interactions between components of a computer system
US8762725B2 (en) * 2012-10-19 2014-06-24 Caterpillar Inc. Secure machine-to-machine communication protocol
US20140118222A1 (en) * 2012-10-30 2014-05-01 Cloudcar, Inc. Projection of content to external display devices
DE102013003063B4 (de) 2013-02-22 2019-09-05 Audi Ag Steuerung des Kommunikationsverhaltens eines Kraftfahrzeugs
WO2015045549A1 (ja) * 2013-09-27 2015-04-02 富士電機株式会社 駆動装置
DE102014214300A1 (de) * 2014-07-22 2016-01-28 Continental Automotive Gmbh Vorrichtung und Verfahren zur Fehler- und Angriffserkennung für ein Kraftfahrzeug
CN105704102B (zh) * 2014-11-26 2019-06-07 广州汽车集团股份有限公司 车辆网络访问控制方法及装置
JP6576676B2 (ja) * 2015-04-24 2019-09-18 クラリオン株式会社 情報処理装置、情報処理方法
DE102015214376A1 (de) * 2015-07-29 2017-02-02 Robert Bosch Gmbh Verfahren und Vorrichtung zur On-Board-Diagnose bei einem Steuergerät mit einem Hypervisor und mindestens einem unter dem Hypervisor betriebenen Gastsystem
US20170054596A1 (en) * 2015-08-18 2017-02-23 Klas Technologies Limited Integrated internet access router
DE102015225790B3 (de) * 2015-12-17 2017-05-11 Volkswagen Aktiengesellschaft Verfahren zur Implementierung einer verschlüsselten Client-Server-Kommunikation
CN107438944B (zh) * 2015-12-22 2019-01-29 松下知识产权经营株式会社 电动机控制装置的定制方法和电动机控制装置
CN105897713A (zh) * 2016-04-11 2016-08-24 福州华鹰重工机械有限公司 车际通信系统安全协议设计方法及装置
AT519490B1 (de) * 2016-12-30 2020-01-15 Avl List Gmbh Kommunikation eines Netzwerkknotens in einem Datennetz
CN108415398B (zh) * 2017-02-10 2021-07-16 上海辇联网络科技有限公司 汽车信息安全自动化测试系统及测试方法
DE102017214624A1 (de) * 2017-08-22 2019-02-28 Audi Ag Verfahren zum Filtern von über eine Kommunikationsverbindung eingehenden Kommunikationsdaten in einer Datenverarbeitungseinrichtung, Datenverarbeitungseinrichtung und Kraftfahrzeug
US20230095149A1 (en) * 2021-09-28 2023-03-30 Fortinet, Inc. Non-interfering access layer end-to-end encryption for iot devices over a data communication network

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19853000A1 (de) * 1997-11-27 1999-06-10 Continental Teves Ag & Co Ohg Versorgung von Kraftfahrzeugen mit Daten
US20030147534A1 (en) * 2002-02-06 2003-08-07 Ablay Sewim F. Method and apparatus for in-vehicle device authentication and secure data delivery in a distributed vehicle network
WO2004004208A1 (en) * 2002-06-28 2004-01-08 Motorola, Inc. Method and system for vehicle authentication of a remote access device
WO2004068424A2 (en) * 2003-01-28 2004-08-12 Cellport Systems, Inc. Secure telematics
DE10312946A1 (de) * 2003-03-22 2004-09-30 Adam Opel Ag Vorrichtung und Verfahren zur Datenübertragung
GB2402840A (en) * 2003-06-10 2004-12-15 Guy Frank Howard Walker Mobile with wireless key entry system
US20050068153A1 (en) * 2003-08-25 2005-03-31 Siemens Vdo Automotive Corporation Remote keyless entry circuit having transient pulse suppression

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001026338A2 (en) * 1999-10-06 2001-04-12 Sensoria Corporation Apparatus for remote access of vehicle components
US6429773B1 (en) * 2000-10-31 2002-08-06 Hewlett-Packard Company System for remotely communicating with a vehicle
US20040098616A1 (en) * 2002-11-14 2004-05-20 Jenner Bruce Stephen Communications firewall
CA2513909A1 (en) * 2003-01-22 2004-08-05 Francotyp-Postalia Ag & Co. Kg Method and device for mobile data transmission
US20050162309A1 (en) * 2004-01-16 2005-07-28 Mci, Inc. Method and apparatus for data filtering in a tracking system
US7346370B2 (en) * 2004-04-29 2008-03-18 Cellport Systems, Inc. Enabling interoperability between distributed devices using different communication link technologies

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19853000A1 (de) * 1997-11-27 1999-06-10 Continental Teves Ag & Co Ohg Versorgung von Kraftfahrzeugen mit Daten
US20030147534A1 (en) * 2002-02-06 2003-08-07 Ablay Sewim F. Method and apparatus for in-vehicle device authentication and secure data delivery in a distributed vehicle network
WO2004004208A1 (en) * 2002-06-28 2004-01-08 Motorola, Inc. Method and system for vehicle authentication of a remote access device
WO2004068424A2 (en) * 2003-01-28 2004-08-12 Cellport Systems, Inc. Secure telematics
DE10312946A1 (de) * 2003-03-22 2004-09-30 Adam Opel Ag Vorrichtung und Verfahren zur Datenübertragung
GB2402840A (en) * 2003-06-10 2004-12-15 Guy Frank Howard Walker Mobile with wireless key entry system
US20050068153A1 (en) * 2003-08-25 2005-03-31 Siemens Vdo Automotive Corporation Remote keyless entry circuit having transient pulse suppression

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014122243A1 (de) * 2013-02-08 2014-08-14 Bayerische Motoren Werke Aktiengesellschaft Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
US10703309B2 (en) 2013-02-08 2020-07-07 Bayerische Motoren Werke Aktiengesellschaft Method and device for connecting a diagnostic unit to a control unit in a motor vehicle
US9560061B2 (en) 2013-02-22 2017-01-31 Audi Ag Motor vehicle with a driving behavior which can be modified at a later stage using an application program
US10484360B2 (en) 2016-07-26 2019-11-19 Volkswagen Ag Method for providing an authenticated connection between at least two communication partners
DE102016215430A1 (de) 2016-08-18 2018-02-22 Audi Ag Verfahren zum Übertragen von Daten zwischen Steuervorrichtungen eines Kraftfahrzeugs, Steuervorrichtung und Kraftfahrzeug

Also Published As

Publication number Publication date
CN101199183B (zh) 2015-07-22
US20090212928A1 (en) 2009-08-27
US9591480B2 (en) 2017-03-07
WO2006133774A1 (de) 2006-12-21
CN101199183A (zh) 2008-06-11

Similar Documents

Publication Publication Date Title
DE102005028663A1 (de) Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
EP2954498B1 (de) Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
EP2540053A1 (de) System und verfahren zur verhinderung eines angriffs auf ein vernetztes fahrzeug
DE102015111526A1 (de) Herstellen einer sicheren Übermittlung für Fahrzeugdiagnosedaten
DE102017107879A1 (de) Nachrichten-Authentifizierungsbibliothek
EP3787222B1 (de) Verfahren zur geschützten kommunikation eines fahrzeugs mit einem externen server, vorrichtung zur durchführung der schlüsselableitung bei dem verfahren sowie fahrzeug
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
DE102015002574B4 (de) Kraftfahrzeug- Kommunikationsnetzwerk mit Switchvorrichtung
WO2002023801A2 (de) Verfahren zur steuerung des zugriffs
EP2548358B1 (de) Verfahren zur dynamischen autorisierung eines mobilen kommunikationsgerätes
EP3266186B1 (de) Netzwerkgerät und verfahren zum zugriff einer netzwerkkomponente auf ein datennetz
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
DE102017212474A1 (de) Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
EP3171570B1 (de) Vorrichtung und verfahren zum anpassen von berechtigungsinformationen eines endgeräts
EP3556071B1 (de) Verfahren, vorrichtung und computerlesbares speichermedium mit instruktionen zum signieren von messwerten eines sensors
DE102014206545A1 (de) Verfahren, Kommunikationssystem und Daten-Zugangsknoten zur Übermittlung von Daten
WO2019201571A1 (de) Bereitstellung von sicherheitskonfigurationsdaten einer zugangsverbindung
EP1473614A2 (de) Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
WO2004098218A1 (de) Verfahren zur installation oder deinstallation eines programmcodes in einer teilnehmerstation eines funkkommunikationssystems sowie teilnehmerstation
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
EP3700171A1 (de) Prüfung und bestätigung der sicherheitskonfiguration der netzwerkzugriffe an einem rendezvous-server
DE202022101783U1 (de) Intelligentes Managementsystem für die sichere Verbindung mehrerer mobiler Zahlungsanwendungen gegen Sicherheitslücken
WO2022037997A1 (de) Authentisierung eines kommunikationspartners an einem gerät
EP3713187A1 (de) Verfahren zur übertragung von datenpaketen

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed

Effective date: 20120314

R016 Response to examination communication