-
Die
vorliegende Erfindung betrifft eine Vorrichtung mit Identifikationseinheit
und ein Identifikationssystem für
Komponenten einer Vorrichtung.
-
Viele
Komponenten moderner Fahrzeuge oder anderer Vorrichtungen sind elektronisch
gesteuert bzw. indirekt oder direkt mit elektronischen Steuereinheiten
verbunden. In vielen Fällen
verfügen
die Steuereinheiten dabei über
Prozessoreinheiten bzw. Rechnereinheiten mit eigenen Speichern,
die eine Vielzahl von Funktionen der Komponente steuern und/oder überwachen.
Die elektronischen Steuereinheiten einer Vielzahl von Komponenten
werden zudem häufig
mit zentralen oder externen Recheneinheiten verwendet, die Funktionen überwachen,
steuern und koordinieren. Um eine problemfreie Funktion zu erreichen,
müssen
dabei die Komponenten aufeinander und auf die Recheneinheit abgestimmt
sein und miteinander und mit der zentralen Recheneinheit kommunizieren.
-
Werden
solche Komponenten ausgetauscht, kann es, insbesondere dann, wenn
Komponenten von Drittanbietern eingesetzt werden oder/und Komponenten
nicht fachgerecht eingesetzt werden, zu Fehlfunktionen kommen. Außerdem können veränderte,
manipulierte oder auch unrechtmäßig erworbene
Komponenten eingesetzt werden, was beispielsweise einen Einfluss
auf die Lebensdauer und/oder Gewährleistung
von Produkten hat.
-
Es
wäre daher
wünschenswert,
nachträglich und
einfach nachvollziehen zu können,
ob eine Komponente einer Fahrzeugs oder einer anderen Vorrichtung,
nachträglich
ausgetauscht, manipuliert und/oder verändert worden ist.
-
Komponenten
sind häufig
mit einer Identifikationsnummer versehen, die es erlaubt diese eindeutig
zu identifizieren. Eine in oder an der Komponente bzw. an einem Gerät angebrachte
Identifikationsnummer ermöglicht
es jedoch nicht, eine Komponente einem bestimmten Fahrzeug bzw.
einer Vorrichtung zuzuordnen. Sie ermöglicht es auch nicht, den Austausch
von Komponenten nachzuvollziehen. Außerdem können an oder in einer Komponente
angebrachte Seriennummern leicht nachgemacht oder gefälscht werden.
-
Aus
der
EP 1 462 349 ist
ein System bekannt, bei dem ein Identifikationscode einer Fahrzeugkomponente
oder einem Fahrzeug mittels eines in eine Komponente integrierten
RFID-Chips zugeordnet ist. Der Chip dient dabei lediglich der Identifikation
des Fahrzeugs bzw. des Bauteils in das der Chip integriert ist.
Eine Verbindung zu anderen Komponenten des Fahrzeugs besteht dabei
nicht. Dies hat den Nachteil, dass Komponenten einfach ausgetauscht
oder auf andere Weise verändert
werden können.
-
Aus
der
DE 100 08 974 ist
ein System bekannt, bei welchen eine mit einem kryptographischen Schlüssel signierte
Software hinterlegt wird. Die Software funktioniert nur dann in
einem Fahrzeug, wenn die Signatur mittels eines diesem Schlüssel zugeordneten
zweiten Schlüssels,
der in dem Fahrzeug elektronisch hinterlegt ist, akzeptiert wird.
Dieses System bietet lediglich eine Sicherung für Softwarekomponenten und kann
durch Austauschen der gesamten Einheit, in dem der zweite Schlüssel und
die Software hinterlegt sind, überwunden
werden.
-
Von
daher ist es Aufgabe der vorliegenden Erfindung, einen Weg aufzuzeigen,
mit dem Komponenten einer Vorrichtung bzw. einem Fahrzeug eindeutig
zugeordnet sind bzw. von autorisierten Personen zugeordnet werden
können,
wobei diese Zuordnung nachträglich
leicht überprüfbar ist.
Zudem soll ein System bereitgestellt werden, mit dem Komponenten
einer Vorrichtung bzw. eines Fahrzeugs vor Diebstahl und/oder Manipulation
geschützt
werden können.
-
Zur
Lösung
dieser und weiterer Aufgaben schlägt die Erfindung eine Identifikationseinheit
und ein Identifikationssystem, diesbezügliche Anordnungen und ein
Verfahren vor.
-
Die
Identifikationseinheit für
zumindest eine in einer Vorrichtung angeordnete zu identifizierende Komponente,
umfasst eine Identifikationseinrichtung mit einem der Vorrichtung
zugeordneten Identifikationscode, und zumindest eine Komponente
mit einem programmierbaren Speichermittel zur Speicherung einer
Signatur, wobei die Signatur mit einem ersten Schlüssel und
mit dem Identifikationscode, insbesondere einem vorrichtungs-individuellen
Identifikationscode, erzeugt wird, und wobei mit einem dem ersten Schlüssel zugeordneten
zweiten Schlüssel
prüfbar ist,
ob die Signatur der zu identifizierenden Komponenten mittels eines
dem zweiten Schlüssel
zugeordneten ersten Schlüssels
und mittels des Identifikationscodes generiert wurde.
-
In
bevorzugter Weise ist die Identifikationseinheit Teil eines Identifikationssystems
für zumindest
eine in einer Vorrichtung angeordnete Komponente mit einem programmierbaren
Speichermittel zur Speicherung einer Signatur, zusätzlich umfassend:
- – ein
Schlüsselpaar,
umfassend einen ersten Schlüssel
und einen diesem zugeordneten zweiten Schlüssel;
- – eine
Programmiereinrichtung mit Zugriff auf den ersten Schlüssel, wobei
die Programmiereinrichtung dazu ausgelegt ist, mittels des ersten
Schlüssels
und mittels des Identifikationscodes eine Signatur zu generieren
und diese in das programmierbare Speichermittel der Komponente zu
speichern; und
- – eine
Prüfeinrichtung
mit Zugriff auf den zweiten Schlüssel,
wobei die Prüfeinrichtung
dazu ausgelegt ist, zu prüfen,
ob die Signatur der zu identifizierenden Komponente mit dem dem
zweiten Schlüssel
zugeordneten ersten Schlüssel
erzeugt worden ist.
-
Nachstehend
wird die erfindungsgemäße Lösung in
Bezug auf das System beschrieben. Hierbei erwähnte Vorteile, Merkmale oder
vorteilhafte Ausführungsformen
sind analog auch auf die anderen Lösungen der Erfindung (die Einrichtungen,
Vorrichtungen, und auf das Verfahren) zu übertragen und umgekehrt. Somit
können
auch das Verfahren und das System mit den Merkmalen und Unteransprüchen zu
den Anordnungen und umgekehrt weitergebildet sein.
-
Mit
einem solchen Identifikationssystem kann in vorteilhafter Weise
eine Komponente eindeutig signiert und damit einer Vorrichtung zugeordnet werden.
Da die Signatur mittels eines der Vorrichtung eindeutig zugeordneten
Identifikationscodes und mittels des ersten Schlüssels generiert wird, wird
die Komponente eindeutig der Vorrichtung zugeordnet. Diese Zuordnung
kann dann mit der Prüfeinrichtung geprüft werden.
Somit kann eindeutig identifiziert werden, ob eine Komponente von
einer autorisierten Stelle, die Zugriff auf den ersten Schlüssel hat,
erfolgt ist.
-
Bevorzugterweise
ist die Identifikationseinrichtung zumindest in Bezug auf die Komponente
separiert bzw. separat. Die Identifikationseinrichtung steht in
keiner direkten datentechnischen Verbindung mit der Komponente,
d.h. dass die Identifikationseinrichtung mit dem Identifikationscode
separat von der Komponente in dem Fahrzeug angeordnet ist und beide
sind nicht direkt physikalisch miteinander verbunden. Bei einem
Austausch oder Entnehmen oder einer sonstigen Veränderung
der Komponente verbleibt die Identifikationseinrichtung unverändert. Die Identifikationseinrichtung
steht auch in keinem direkten elektronischen Kontakt zur Komponente,
d.h. die Komponente kann nicht auf den Identifikationscode zugreifen.
Ein Zugriff auf den Identifikationscode erfolgt lediglich über das
Programmier- und/oder
das Prüfgerät, also
während
einer Programmier- und/oder Prüfphase.
-
Die
Identifikationseinrichtung und die Komponente bilden allerdings
eine funktionale Identifikationseinheit.
-
Der
Identifikationscode ist dabei der Vorrichtung zugeordnet und steht
nicht mit der Komponente in Verbindung. Ein Austauschen oder Verändern der Komponente
hat somit keinen Einfluss auf den Identifikationscode. Die Identifikationseinrichtung
kann dabei fest mit der Vorrichtung verbunden oder in diese integriert
sein und kann einen Code in elektronischer und/oder abbildbarer
Form umfassen. Die Identifikationseinrichtung kann aber auch von
der Vorrichtung getrennt sein, beispielsweise in Form eines Identifikationsdokuments
oder eines Eigentum- oder Besitznachweises, wie beispielsweise einem Fahrzeugschein/-brief
eines Kraftfahrzeugs.
-
Die
Vorrichtung kann vorzugsweise ein Fahrzeug sein, insbesondere ein
Kraftfahrzeug. Die Vorrichtung kann aber auch ein anderes technisches
Gerät sein,
das über
zumindest eine Komponente mit elektronischem Prozessor bzw. mit
Recheneinheit mit zumindest einem programmierbaren Speicher verfügt. Die
Vorrichtung kann auch ein Flugzeug, Schiff, aber auch eine feststehende
Maschine oder jede andere Vorrichtung sein, bei der Komponenten mit
elektronischer Steuerung ausgetauscht, eingebaut oder manipuliert
werden können.
-
In
einer bevorzugten Ausführungsform
ist der Identifikationscode unveränderlich. Der Identifikationscode
kann dabei eindeutig der Vorrichtung zugeordnet und/oder mit dieser
unlösbar
verbunden sein. Der Identifikationscode kann dabei an geeigneter
Stelle an der Vorrichtung angebracht sein. Bevorzugterweise ist
er mit einem zentralen Abschnitt der Vorrichtung verbunden.
-
Der
Identifikationscode kann dabei ein der Vorrichtung zugeordneter
Code eines Fahrzeugs sein, wie beispielsweise die Fahrgestellnummer,
die Motornummer oder ähnliches
oder ein an dem Fahrzeug angebrachte maschinenlesbarer Barcode.
Alternativ kann dieser Code auch mit Identifikationsdokumenten,
wie dem Fahrzeugschein oder ähnlichem verbunden
sein.
-
In
einer weiteren bevorzugten Ausführungsform
ist die Identifikationseinrichtung ein RFID-Transponder mit einem
nicht veränderbaren
Identifikationscode. Dadurch kann der Identifikationscode auf einfache,
Fachleuten bekannte Art mittels der Programmiereinrichtung und der
Prüfeinrichtung
kontaktlos gelesen werden und zum Generieren bzw. Prüfen der
Signatur verwendet werden. Der RFID-Transponder kann dabei an geeigneter
Stelle der Vorrichtung angebracht bzw. untrennbar in diese integriert
werden. Alternativ könnte
der RFID-Transponder auch mit Identifikationsdokumenten, wie beispielsweise
einem Fahrzeugschein, verbunden werden.
-
In
einer bevorzugten Ausführungsform
der Erfindung ist der erste Schlüssel
ein privater Schlüssel
und der zweite Schlüssel
ein öffentlicher
Schlüssel
eines asymmetrischen kryptographischen Verschlüsselungsverfahrens, insbesondere
unter Verwendung eines RSA Algorithmus.
-
Durch
die Verwendung eines asymmetrischen kryptographischen Verfahrens
mit einem privaten und einem öffentlichen
Schlüssel,
wie es Fachleuten bekannt sind, kann die Signatur wirksam vor Fälschung
und Manipulation geschützt
werden, da die Signatur lediglich mit der Programmiereinrichtung und
dem privaten Schlüssel
erfolgen kann.
-
Der
Zugriff auf den privaten Schlüssel
kann limitiert sein, z.B. lediglich für den Hersteller und für autorisierte
Händler,
so dass nur diese ein Programmieren der Signatur vornehmen können. Dabei
ist es auch möglich,
verschiedene private Schlüssel
(z.B. unterschiedliche Schlüssel
für den
Hersteller und für autorisierte
Händler)
zu verwenden. Dadurch kann anhand der Signatur festgestellt werden,
von wem die Signatur generiert wurde und wer die Komponente der
Vorrichtung zugeordnet hat.
-
Der
Zugriff auf den öffentlichen
Schlüssel kann
dahingegen möglichst
weit gestreut oder verteilt sein, so dass das Prüfen von verschiedenen Seiten durchgeführt werden
kann. Denkbar sind hier: Prüfungen
durch Werkstätten
oder andere Fachleute, wobei der Wert und/oder der technischen Zustand
einer Vorrichtung, bzw. eines Fahrzeugs überprüft und/oder eingeschätzt wird;
Prüfungen
von Kontrollinstanzen, wie dem Polizei, Zoll oder technische Überwachungsinstanzen
(TÜV).
...
-
Zugriff
auf einen Schlüssel
kann dabei beispielsweise mittels einer Chipkarte oder mittels eines anderen
Datenträgers
erfolgen, auf welcher bzw. auf welchem der Schlüssel gespeichert ist. Die Programmiereinrichtung
und/oder die Prüfeinrichtung
kann dazu ein Lesegerät
umfassen, welches den Schlüssel
z.B. von der Chipkarte einliest. Durch den Einsatz von mobilen Datenträgern, wie
Chipkarten, kann einerseits verhindert werden, dass z.B. der private Schlüssel an
Unberechtigte gelangt, andererseits kann aber z.B. der öffentliche
Schlüssel
auch leicht an einen weiten Personenkreis verteilt werden.
-
Der
Zugriff auf einen der Schlüssel
kann dabei auch über
andere Mittel, beispielsweise das Internet erfolgen. Dies erlaubt
insbesondere für
den öffentlichen
Schlüssel
eine einfache Verteilung. Das Prüfgerät oder/und
das Programmiergerät
können
in diesem Fall über
eine Verbindung zum Internet verfügen, wobei der Zugang auf den
privaten Schlüssel dann
nur für
Berechtigte möglich
ist. Darüber
hinaus können
jegliche, Fachleuten bekannte und geeignete Zugriffsmöglichkeiten
angewandt werden, wobei der Zugriff auf den öffentlichen und den privaten
Schlüssel über unterschiedliche
Mittel erfolgen kann.
-
In
einer bevorzugten Ausführungsform
wird die Signatur bei Zuordnung der Komponente zu der Vorrichtung
generiert. Die Zuordnung kann dabei einerseits bei der Herstellung
der Vorrichtung erfolgen, insbesondere dann, wenn die Komponente
an oder in die Vorrichtung angebracht wird, andererseits aber auch
bei der logistischen Zuordnung in einem Produktionsprozess, beispielsweise
dann, wenn bestimmt wird welche Komponente in oder an welcher Vorrichtung
angebracht wird. Bereits bei der logistischen Zuordnung kann die
Signatur für
die Komponente generiert werden und in den Speicher der Komponente
vor dem Einbau programmiert werden. Da durch kann das System auch
zur Kontrolle bei der Montage der Vorrichtung verwendet werden,
indem mit der Prüfeinrichtung
geprüft
wird, ob die richtige, zugeordnete-Komponente auch eingebaut wurde. Ebenso
liegt ein späterer
Zeitpunkt für
das Generieren der Signatur im Rahmen der Erfindung.
-
Bei
einem nachträglichen
Austausch oder Einbau einer Komponente, wird typischerweise die Signatur
zeitnah zu dem Einbau generiert werden, beispielsweise nach dem
Einbau/Anbringen der Komponente. Verfügt die Vorrichtung über einen
Systembus, mit dem die Komponente verbunden ist, kann das Programmieren über diesen
erfolgen.
-
In
einer bevorzugten Ausführungsform
umfasst die Komponente eine elektronische Steuerung. Die Komponente
kann somit eine elektronisch gesteuerte oder/und geregelte Komponente
sein, die Funktionen der Vorrichtung steuert, regelt und/oder überwacht.
Sie kann beispielsweise auch eine Messkomponente sein, die vorrichtungsspezifische
Daten misst und verwertet und über
eine elektronische Recheneinheit verfügt, wie beispielsweise ein
Tachometer, eine Diebstahlwarnanlage oder ähnliches. Die Komponente kann
dabei in die Vorrichtung integriert sein. Die Komponente kann aber
auch eine separate Einrichtung sein, die beispielsweise auch erst
nach der Herstellung der Vorrichtung zu diese hinzugefügt wird,
wie beispielsweise eine Zusatznavigationsgerät, eine Zusatzheizung oder
ein Autoradio.
-
In
einer alternativen bevorzugten Ausführungsform ist die Komponente
ein ausführbarer
Code oder ein Computerprogrammprodukt und die Signatur wird dem
Code bzw. dem Computerprogramm zugeordnet. In dieser Ausführungsform
kann die Signatur im Code oder in einer Software hinterlegt sein,
so dass mit der Prüfeinrichtung
geprüft
werden kann, ob die Software verändert
worden ist.
-
Es
ist auch möglich,
dass mehrere der Komponenten und/oder verschiedene Formen der Komponenten über einen
gemeinsamen Systembus zusammengeschlossen sind oder mit einer Zentralrecheneinheit
verbunden sind. Das Programmieren bzw. Prüfen der Signatur kann dann
beispielsweise über
den Systembus erfolgen.
-
In
einer bevorzugten Ausführungsform
ist eine Vielzahl von Komponenten über einen Systembus vernetzt
und die Signatur wird über
den Systembus programmiert und/oder geprüft. Die Programmiereinrichtung
und/oder die Prüfeinrichtung
können dazu
beispielsweise an den Systembus über
geeignete Zugänge
angeschlossen werden.
-
Nur
die Programmiereinrichtung hat Zugriff auf den privaten Schlüssel. Sie
kann auch in ein Wartungssystem integriert sein oder diesem zugeordnet sein
und beispielsweise über
ein Wartungssystem an einen Systembus angeschlossen werden. Der
Zugriff auf den privaten Schlüssel
kann über
eine Chipkarte erfolgen, die dann von der Programmiereinrichtung mittels
eines geeigneten Lesegerätes
eingelesen wird. Die Chipkarte mit dem privaten Schlüssel wird üblicherweise
nur an Berechtigte wie z.B. an den Hersteller oder an autorisierte
Händler
und/oder autorisierte Werkstätten
vergeben werden.
-
Die
Prüfeinrichtung
hat nur Zugriff auf den öffentlichen
Schlüssel.
Die Prüfeinrichtung
kann in ein Wartungssystem integriert sein, die an einen Systembus
angeschlossen wird. Das Wartungssystem kann prinzipiell auch die
Programmiereinrichtung umfassen, ist normalerweise aber von dieser
getrennt. Die Prüfeinrichtung
kann auch ein anderes Prüfgerät sein,
auf dem der öffentliche
Schlüssel
oder eine Vielzahl öffentlicher
Schlüssel
hinterlegt ist oder eingelesen wird. Dieses Gerät kann beispielsweise ein mobiles
Handgerät
sein und zu Kontrollzwecken verwendet werden, indem der Identifikationscode
und die Signatur eingelesen werden.
-
Die
Prüfeinrichtung
und die Programmiereinrichtung können
separate Geräte,
ein kombiniertes Gerät
oder eine Bestandteil einer Wartungsanlage sein. In einer alternativen
Ausführungsform
können die
Prüfeinrichtung
und/oder die Programmierein richtung auch in die Vorrichtung integriert
sein und beispielsweise ständig
mit der Komponente verbunden sein. Dies hat den Vorteil, dass die
Signatur beispielsweise bei jedem Neustart des Systems oder zu anderen
Zeitpunkten geprüft
werden kann.
-
In
einer bevorzugten Ausführungsform
der Erfindung wird das Schlüsselpaar
aus einem privaten Schlüssel
und aus einem dazugehörigen öffentlichen Schlüssel eines
asymmetrischen kryptographischen Verfahrens gebildet. Dadurch und
durch eine Vergabe des öffentlichen
Schlüssels
an ausschließlich
Autorisierte, wird erreicht, dass nur Autorisierte eine gültige Signatur
generieren bzw. erzeugen können. Durch
die Verteilung des öffentlichen
Schlüssels
wird erreicht, dass eine Vielzahl von Stellen oder Personen die
Signatur überprüfen kann.
Durch Zugangskontrolle auf die Schlüssel könne die jeweils autorisierten
Kreise getrennt bestimmt bzw. definiert werden.
-
Es
ist auch denkbar, dass verschiedene unterschiedliche private Schlüssel verwendet
werden können
um eine Signatur für
eine Komponente zu erzeugen. Dadurch können unterschiedliche Schlüssel z.B.
von dem Hersteller der Komponente und autorisierten Werkstätten verwendet
werden, wodurch in derselben Vorrichtung unterschiedliche Signaturen erzeugt
werden, je nachdem wer die Zuordnung der Komponente zu der Vorrichtung
vornimmt. Dies hat den Vorteil, dass bei der Prüfung der Signatur ermittelt
werden kann, wer die Zuordnung, bzw. den Einbau der überprüften Komponente
vorgenommen hat.
-
In
einer weiter bevorzugten Ausführungsform
erfolgt das Generieren der elektronischen Signatur unter Verwendung
eines RSA Algorithmus.
-
In
einer alternativen Ausführungsform
kann es auch möglich
sein einen zusätzlichen,
der Komponente zugeordneten, Komponentenidentifikationscode zum
Generieren der Signatur zu verwenden, so dass die Signatur nicht
nur von dem Identifikationscode und dem privaten Schlüssel abhängt sondern auch
von der Komponente selbst. Dementsprechend liest das Prüfgerät dann auch
den Komponentenidentifikationscode, zusätzlich zu dem Identifikationscode,
dem öffentlichen
Schlüssel
und der Signatur ein, um die Signatur zu überprüfen.
-
Weitere
Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden,
lediglich beispielhaften und nicht einschränkend angeführten Beschreibung von bevorzugten
Ausführungsformen,
welche unter Bezugnahme auf die beiliegenden Zeichnungen erfolgt.
Darin zeigen:
-
1a und 1b ein
erfindungsgemäßes Identifikationssystem
für eine
Komponente in einer Vorrichtung und
-
2a und 2b ein
erfindungsgemäßes Identifikationssystem
für mehrere
vernetzte Komponenten einer Vorrichtung.
-
In
den Figuren und der folgenden Beschreibung spezieller Ausführungsformen
werden gleiche oder ähnliche
Teile mit den gleichen Bezugszeichen bezeichnet.
-
1a zeigt
eine Vorrichtung 10, in der eine Komponente 12 befindlich
ist. Die Komponente 12 verfügt über eine elektronische Steuerungseinheit 14 mit
einem programmierbaren Speicher 16. Bei der Vorrichtung 10 kann
es sich beispielsweise um ein Kraftfahrzeug handeln. Die Komponente 12 kann dann
beispielsweise die elektronische Motorsteuerung, ein elektronischer
Tachometer, ein Telematik-System oder ähnliches sein.
-
Die
Vorrichtung 10 verfügt
zudem über
eine Identifikationseinrichtung 20 mit einem Identifikationscode.
In dem dargestellten Beispiel ist die Identifikationseinrichtung 20 in
der Vorrichtung 10 angeordnet und kann ein RFID-Transponder
sein, auf dem ein Identifikationscode gespeichert ist. Der Transponder 20 kann
beispielsweise an geeigneter Stelle am Fahrgestell oder im Motorraum
angebracht oder integriert sein.
-
Die
Identifikationseinrichtung 20 und die Komponente 12 bilden
eine Identifikationseinheit, wobei die Identifikationseinrichtung
separat von der Komponente in der Vorrichtung angeordnet ist. D.h., die
Identifikationseinrichtung ist weder physikalisch noch elektronisch
oder datentechnisch direkt mit der Komponente verbunden. Einerseits
verbleibt bei einer Entnahme oder einem Austausch der Komponente
die Identifikationseinrichtung in der Vorrichtung, mit welcher sie
untrennbar verbunden sein kann. Andererseits kann die Komponente
den Identifikationscode der Identifikationseinrichtung weder auslesen
noch verändern.
-
Wie
in 1a dargestellt wird zur Programmierung einer Signatur
ein Programmiergerät 30 als Programmiereinrichtung
in den Empfangsbereich des RFID Transponders 20 gebracht
und der der Vorrichtung 10 zugeordnete Identifikationscode über ein RF-Signal 23 kontaktlos, über eine
Luftschnittstelle, auf das Programmiergerät übertragen. Mittels des Identifikationscodes
und mittels eines privates Schlüssels 32,
der beispielsweise von einer Chipkarte auf das Programmiergerät 30 übertragen
wird, wird von dem Programmiergerät 30 eine Signatur
generiert, die dann in dem Speicher 16 der Komponente 12 der
Vorrichtung 10 über
Signal 15 als Signatur abgelegt bzw. programmiert wird.
Das Programmieren bzw. Ablegen der Signatur kann dabei über eine
elektrische, kontaktbehaftete Schnittstelle, wie beispielsweise
eine Steckverbindung erfolgen.
-
In 1b ist
das Prüfen
der Signatur entsprechend dargestellt. Ein Prüfgerät 40 wird als Prüfeinrichtung
in den Empfangsbereich des RFID Transponders 20 gebracht
und der der Vorrichtung zugeordnete Identifikationscode über ein
RF-Signal kontaktlos 23 auf das Prüfgerät 40 übertragen.
Das Prüfgerät hat Zugriff
auf einen oder mehrere öffentliche
Schlüssel 42,
beispielsweise auch über
eine Chipkarte, und liest zudem mittels des Signals 17 die Signatur
aus dem Speicher 16 der Komponente 12 der Vorrichtung 10 aus.
Das Prüfgerät prüft anhand des öffentlichen
Schlüssels 42 und
optional zusätzlich
anhand des Identifikationscodes, ob die Signatur mittels des dem öffentlichen
Schlüssel 42 zugeordneten
privaten Schlüssel 32 und
dem Identifikationscode- wie bezüglich 1a beschrieben-
generiert worden ist. Bejahendenfalls, also bei Übereinstimmung kann man auch
von einer Identifikationssignatur sprechen.
-
Entspricht
die von dem Prüfgerät geprüfte Signatur
nicht der Identifikationssignatur, kann eine entsprechende Meldung
ausgegeben werden, die dem Benutzer der Prüfeinrichtung anzeigt, dass
die Komponente nicht ordnungsgemäß der Vorrichtung zugeordnet
wurde, weil beispielsweise kein Zugriff auf den privaten Schlüssel möglich war.
-
Das
Generieren und Überprüfen der
Signatur mit dem privaten und dem diesem zugeordneten öffentlichen
Schlüssel 32, 42 kann
mit Fachleuten bekannten asymmetrischen Verschlüsselungsverfahren, beispielsweise
unter Verwendung eines RSA Algorithmus, realisiert sein.
-
2a zeigt
eine Vorrichtung 100, die analog zu der in 1 dargestellten
Vorrichtung 10 ein Fahrzeug oder ähnliches darstellen kann.
-
Die
Vorrichtung 100 verfügt über eine
Vielzahl von Komponenten 112, 212, 312,
die jeweils über
eine elektronische Steuerung 114, 214, 314,
mit jeweils dazugehörigen
Speichern 116, 216, 316 verfügen. Die
Steuerungen sind über
einen Systembus bzw. Datenbus 102 miteinander vernetzt.
Eine der Komponenten 112, 212 oder 312 kann
dabei auch eine zentrale Recheneinheit sein oder umfassen, die Funktionen
der anderen Komponenten steuert und/oder überwacht. Der Systembus bzw.
Datenbus 102 verfügt
zudem über
eine Schnittstelle 104. Diese Schnittstelle kann beispielsweise
eine Wartungsschnittstelle sein, an die bei der Wartung der Vorrichtung 100 ein
Wartungsgerät
angeschlossen werden kann und über
die beispielsweise Fehlerprotokolle der Bordelektronik ausgelesen
werden.
-
Die
Vorrichtung 100 weist zudem eine Identifikationseinrichtung 200 mit
einem Identifikationscode auf. Die Identifikationseinrichtung 200 ist
nicht mit dem Systembus oder einem anderen mit dem Systembus vernetzten
Abschnitt verbunden, sondern separat in der Vorrichtung 100 angeordnet,
so dass über
den Systembus der Identifikationscode weder gelesen noch, programmiert
werden kann. Die Identifikationseinrichtung ist auch nicht an dem
Systembus oder einer Komponente angeordnet sondern an separater
Stelle in oder an der Vorrichtung angeordnet, so dass ein Austausch
einer Komponente oder des Systembus keinen Einfluss auf die Identifikationseinrichtung
hat. Wie bezüglich 1a beschrieben,
ist die Identifikationseinrichtung 20, 200 ein RFID-Transponder.
-
Wie
in 2a dargestellt, wird ein Programmiergerät 30 als
Programmiereinrichtung mit privatem Schlüssel 32 in den Empfangsbereich
des RFID-Transponder gebracht und der Identifikationscode des RFID-Transponders 200 wird über das RF-Signal 203 abgefragt.
Mittels des privaten Schlüssels 32 und
mittels des übermittelten
Identifikationscodes wird eine Signatur generiert, die dann über das
Signal 105 and die Schnittstelle 104 übergeben
und von dieser über
den Systembus 102 in die Speicher 116, 216 und/oder 316 übergeben
und als Signatur in diese programmiert wird.
-
Die
Wartungsschnittstelle oder auch eine andere Schnittstelle 104 wird
erfindungsgemäß verwendet,
um das Programmiergerät 30 mit
dem Systembus 102 zu verbinden.
-
Mit
dem Systembus 102 kann es möglich sein, jeden Speicher
einzeln zu programmieren. So kann beispielsweise, wenn eine neue
Komponente 312 als Ersatz für ein alte Komponente oder
zusätzlich
angebracht wird, eine Signatur für
die neue Komponente generiert werden und in den Speicher 316 geschrieben
werden. Die anderen Komponenten 112, 212, beziehungsweise
die entsprechenden Speicher 116, 216 bleiben davon
unberührt.
-
2b stellt
das Prüfen
einer der Komponenten 112, 212, 313 in
der Vorrichtung 100 dar. Das Prüfgerät 40, mit Zugriff
auf den öffentlichen
Schlüssel 42 wird
dazu in den Empfangsbereich des RFID-Transponders 200 gebracht
und der Identifikationscode wird über das RF-Signal 203 kontaktlos ausgelesen.
Das Prüfgerät wird zudem
mit der Schnittstelle 104 verbunden und über den
Datenbus bzw. Systembus 102 werden eine oder eine Vielzahl der
Signaturen aus den Speichern 116, 216, 316 der einzelnen
Komponenten 112, 212, 312 ausgelesen. Das
Prüfgerät prüft dann,
ob die eingelesenen Signaturen mit dem dem öffentlichen Schlüssel zugeordneten
privaten Schlüssel
und dem Identifikationscode generiert worden sind, also die entsprechenden
Identifikationssignaturen sind.
-
Sollte
beispielsweise bei Einbau einer Komponente 212, nicht der
private Schlüssel
verwendet worden sein, beispielsweise weil der Einbau von nicht
autorisierter Seite erfolgt ist, erkennt das Prüfgerät, dass die Signatur nicht
mit dem dem öffentlichen
Schlüssel
zugeordneten privaten Schlüssel
und dem der Vorrichtung 100 zugeordneten Identifikationscode
generiert worden ist, es sich also nicht um die Identifikationssignatur
handelt. Damit ist festgestellt, dass die Komponente 212 unautorisiert
verändert
und/oder modifiziert worden ist.
-
Es
kann auch vorgesehen sein, die Signatur in einem zentralen Systemspeicher
zu speichern, z.B. in einem Hintergrundsystem, oder in einer anderen
Komponente innerhalb oder außerhalb
des Fahrzeuges.
-
Das
Ergebnis des Signaturprozesses ist die Prüfsumme für die zu identifizierende Komponente und
kann in einer bevorzugten Ausführungsform
mit folgender Formel dargestellt werden: Result
= SIGNprivaterSchlüssel(SOFTWAREKomponente; IDENTIFIKATIONSCODEIdentifizierungeinrichtung).
-
Für den Prüfprozess
gilt entsprechend Folgendes: Hash(SOFTWAREKomponente; IDENTIFIKATIONSCODEIdentifizierungeinrichtung)
= PRÜFÖffentlicherschlüssel(SOFTWAREKomponente; IDENTIFIKATIONSCODEIdentifizierungeinrichtung).
-
Für den Verifikationsprozess
müssen
die einmal erzeugte Prüfsumme
und der öffentliche
Schlüssel 42 zur
Verfügung
stehen. Dann wird verglichen, ob der mit dem öffentlichen Schlüssel rückgerechnete
Hashwert dem neu berechneten Hashwert entspricht.
-
Um
eine schnelle Verifikation zu ermöglichen, kann der Identifikationscode
auch in anderen Komponenten elektronisch oder physikalisch bereitgestellt
werden, z.B. als eine Gravur in der Windschutzscheibe).
-
In
einer alternativen Ausführungsform
kann das Prüfgerät 40 und/oder
Programmiergerät 30 auch
in die Vorrichtung integriert sein und beispielsweise fest mit dem
Systembus 102 verbunden oder in diesen integriert sein.
Dabei muss allerdings der Zugang zumindest auf den privaten Schlüssel und
damit auf das Programmiergerät
eingeschränkt
sein, beispielsweise mittels einer Chipkarte oder eines Codes, der
nur einem autorisierten Personenkreis zugänglich ist.
-
Dadurch
können
sowohl eine veränderte Software
als auch ausgetauschte oder veränderte Komponenten,
wie beispielsweise Tachometer, manipulierte Motorsteuerungen, Telematikkomponenten eines
Fahrzeugs erkannt werden.