DE102009025585A1 - Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts - Google Patents

Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts Download PDF

Info

Publication number
DE102009025585A1
DE102009025585A1 DE102009025585A DE102009025585A DE102009025585A1 DE 102009025585 A1 DE102009025585 A1 DE 102009025585A1 DE 102009025585 A DE102009025585 A DE 102009025585A DE 102009025585 A DE102009025585 A DE 102009025585A DE 102009025585 A1 DE102009025585 A1 DE 102009025585A1
Authority
DE
Germany
Prior art keywords
activation
module
control unit
private key
central unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102009025585A
Other languages
English (en)
Other versions
DE102009025585B4 (de
Inventor
Sebastian Fröbisch
Thomas Collisi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102009025585A priority Critical patent/DE102009025585B4/de
Publication of DE102009025585A1 publication Critical patent/DE102009025585A1/de
Application granted granted Critical
Publication of DE102009025585B4 publication Critical patent/DE102009025585B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die Erfindung betrifft eine Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts (3) für ein Fahrzeug, insbesondere Kraftfahrzeug, mit einer Zentraleinheit (2), insbesondere einen Produktionsserver (5) und einen Kryptoserver (7) umfassend, zum Übertragen von Freischaltdaten (VIN1, VIN2, FSC1, FSC2, FSC3) und/oder zumindest eines privaten Schlüssels (PS). Erfindungsgemäß weist die Vorrichtung ein Freischaltmodul (1) auf, das zwischen der Zentraleinheit (2) und dem Steuergerät (3) schaltbar ist und mit dem eine begrenzte Anzahl (n) von Freischaltungen unabhängig von der Zentraleinheit (2) durchführbar ist.

Description

  • Die Erfindung betrifft eine Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts nach dem Oberbegriff des Patentanspruches 1 sowie ein Verfahren zur Funktionsfreischaltung nach dem Patentanspruch 16.
  • In der Automobilindustrie werden Innovationen in zunehmendem Umfang durch Software realisiert. Hierbei erlaubt es die Leistungsfähigkeit der eingesetzten Hard-/Softwarearchitekturen, dass kundenrelevante Funktionen in einem Steuergerät zunächst grundsätzlich vorgehalten werden, diese jedoch für jede Fahrzeugbestellung individualisiert (de-)aktiviert werden können. Technisch/logistisch ergibt sich für den Hersteller der Vorteil, dass trotz vielfältiger Individualisierungsmöglichkeiten nur wenige unterschiedliche Varianten des Steuergeräts bereitgestellt werden müssen. Erst in einer Spätphase der Produktion wird der konkrete Funktionsumfang im Fahrzeug festgelegt.
  • Diesem Nutzen steht jedoch zunächst ein Entwicklungsaufwand entgegen, der erst durch den Verkauf der Funktionen erwirtschaftet werden muss. Der erwartete Verkaufserlös ist maßgeblich davon abhängig, dass eine Funktionsaktivierung auch tatsächlich vom Kunden bezahlt wird. Dies muss insofern abgesichert sein, dass einfache Manipulationen und unautorisierte Funktionsaktivierungen ausgeschlossen sind.
  • So beschreibt die WO 03/019337 A2 ein Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerät eines Fahrzeugs. Die Software wird vor ihrer Verwendung durch das Steuergerät unter Verwendung eines geheimen beziehungsweise privaten Schlüssels einer zentralen Software-Signaturstelle im Rahmen eines Public-Key-Verfahrens gegen Verfälschung signiert. Mit einem im Steuergerät hinterlegten öffentlichen Schlüssel wird die Signatur auf ihre Unverfälschtheit hin überprüft.
  • Um den unberechtigten Tausch oder die unberechtigte Weitergabe des Funktionsaktivierungscodes zu unterbinden, können in den Funktionsaktivierungscode zudem mehrere Fahrzeug- oder Kundenindividualisierungsmerkmale miteinbezogen werden. Zur Funktionsaktivierung werden dann vom Steuergerät neben der Signatur auch die Individualisierungsmerkmale des Funktionsaktivierungscodes überprüft.
  • Fließen verschiedene Individualisierungsmerkmale, wie zum Beispiel die Fahrgestellnummer und die Steuergerät-Seriennummer, in den Funktionsaktivierungscode ein, so ergibt sich das Problem, dass die verschiedenen Individualisierungsmerkmale zu unterschiedlichen Zeitpunkten während der Produktion eines Fahrzeugs bereitgestellt werden. So ist zum Beispiel die Seriennummer eines betroffenen Steuergeräts erst dann bekannt, wenn dieses im Fahrzeug verbaut wurde.
  • Zur Signatur der Daten muss eine hochverfügbare Online-Verbindung mit der zentralen Signaturstelle vorhanden sein. Die zentrale Signaturstelle kann beispielsweise ein einzelner Server sein, der für die Vergabe eines privaten Schlüssels an mehreren Standorten eines Konzerns verantwortlich ist. Bei einem Ausfall oder einer Störung des Servers kann es zu erheblichen Störungen im Produktionsablauf bis hin zum Stillstand der Fahrzeugproduktion kommen. Um im Produktionsumfeld einen prozesssicheren Betrieb zu gewährleisten, wird daher oftmals ein Schutzlevel akzeptiert, bei dem auf ein steuergeräteseitiges Individualisierungsmerkmal verzichtet wird.
  • Die Aufgabe der Erfindung besteht darin, eine Vorrichtung zur Funktionsfreischaltung eines Steuergeräts bereitzustellen, welche einen hohen Sicherheitsstandard aufweist, ohne auf eine hochverfügbare Online-Verbindung angewiesen zu sein.
  • Die Aufgabe ist durch die Merkmale des Patentanspruchs 1 oder des Patentanspruchs 16 gelöst. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen offenbart.
  • Gemäß dem Patentanspruch 1 weist eine Vorrichtung zur Funktionsfreischaltung eines Steuergeräts für ein Fahrzeug, insbesondere Kraftfahrzeug, mit einer Zentraleinheit zum Übertragen von Freischaltdaten und/oder zumindest eines privaten Schlüssels, ein Freischaltmodul auf, das zwischen der Zentraleinheit und dem Steuergerät schaltbar ist und mit dem eine begrenzte Anzahl von Freischaltungen unabhängig von der Zentraleinheit, d. h. dezentral, durchführbar ist.
  • Die Zentraleinheit ist insbesondere durch einen Produktionsserver und einen Kryptoserver gebildet. Besonders bevorzugt kann der Produktionsserver mittels einer Online-Verbindung die Freischaltdaten, etwa Fahrgestellnummern und Freischaltcodes, an das Freischaltmodul übertragen, wohingegen der Kryptoserver den privaten Schlüssel zum Signieren der Freischaltdaten sowie einen Freischaltzähler an das Freischaltmodul übertragen kann. Die Freischaltdaten, der private Schlüssel und der Freischaltzähler sind im Freischaltmodul zwischenspeicherbar, wodurch eine begrenzte Anzahl von Freischaltungen offline von der Zentraleinheit durchgeführt werden kann.
  • Insbesondere können die Freischaltdaten und der private Schlüssel in einem Ladeschritt oder einem Zwischenspeicherschritt in einem flüchtigen Speicher des Freischaltmoduls abgelegt werden. Dadurch, dass die Daten nicht statisch gespeichert werden, sind diese nach Abschalten der Versorgungsspannung nicht mehr verfügbar. Ein mechanischer Angriff auf das Freischaltmoduls, der das Abschalten der Versorgungsspannung erzwingt, ist daher erfolglos.
  • Bevorzugt können die Freischaltdaten zumindest ein Individualisierungsmerkmal, insbesondere eine Fahrgestellnummer, und zumindest einen dem Individualisierungsmerkmal zugeordneten Freischaltcode umfassen. Bei an das Steuergerät angeschlossenem Freischaltmodul kann die Fahrgestellnummer des Fahrzeugs vom Freischaltmodul ausgelesen werden und die zughörigen Freischaltcodes können gesucht werden. Zusätzlich kann vom Freischaltmodul ein Steuergerätidentifikationsmerkmal, insbesondere eine Steuergerätseriennummer auslesbar sein. Auf diese Weise kann die Benutzung der Freischaltdaten durch ein fremdes, nicht autorisiertes Steuergerät und somit eine unerlaubte Vervielfältigung der Freischaltcodes ausgeschlossen werden.
  • Insbesondere kann mittels des Freischaltmoduls auf Grundlage des ausgelesenen Individualisierungsmerkmals und/oder des Steuergerätidentifikationsmerkmals und/oder des zumindest einen Freischaltcodes ein Funktionsaktivierungscode generierbar sein. Bevorzugt kann der Funktionsaktivierungscode mit dem im flüchtigen Speicher gespeicherten Schlüssel signierbar sein. Dadurch ergibt sich der Vorteil, dass während des Generierens und Signierens des Funktionsaktivierungscodes keine Online-Verbindung mit dem Produktionsserver oder dem Kryptoserver gewährleistet sein muss.
  • Der signierte Funktionsaktivierungscode kann mittels eines im Steuergerät hinterlegten öffentlichen Schlüssels überprüfbar sein. Bei einem positiven Re sultat der Überprüfung durch das Steuergerät können Fahrzeugfunktionen entsprechend des Funktionsaktivierungscodes freigeschaltet werden.
  • Besonders bevorzugt kann der Freischaltzähler zum Bestimmen einer Anzahl von Signierungen im flüchtigen Speicher des Freischaltmoduls speicherbar sein. Beim Signieren kann der Freischaltzähler um eins dekrementiert werden. Bevorzugt kann ein Signieren nur durchführbar sein, solange der Freischaltzähler größer null ist. Auf diese Weise kann bei unerlaubter Entwendung des Freischaltmoduls nur eine begrenzte Anzahl an Freischaltungen vorgenommen werden, das heißt maximal die Anzahl des aktuellen Stands des Freischaltzählers.
  • Insbesondere kann das Freischaltmodul so ausgestaltet sein, dass die innere Datenhaltung und/oder die Informationsflüsse des Freischaltmoduls nicht von außen auslesbar sind. So kann gewährleistet sein, dass die auf dem Freischaltmodul gespeicherten Daten von einem Dritten nicht ausgelesen werden können. Ein abgeschlossenes Hardwaremodul, insbesondere ein Ein-Chip-System (SoC) mit Kryptochip und gegebenenfalls „tamper-response” beziehungsweise „tamper-proove” Möglichkeiten, kann diese Bedingungen erfüllen.
  • Bevorzugt kann das Freischaltmodul zumindest eine Kommunikationsschnittstelle aufweisen, mit welcher das Freischaltmodul mit der Zentraleinheit, insbesondere dem Produktionsserver und/oder dem Kryptoserver, und/oder dem Steuergerät verbindbar ist. Die Freischaltdaten und/oder der private Schlüssel und/oder der Freischaltzähler können von der Zentraleinheit zumindest über einen verschlüsselten und/oder authentifizierten Kanal übertragbar sein. Die Übertragung der Freischaltdaten kann bei der Aktivierung des Freischaltmoduls erfolgen oder wenn der Freischaltzähler null oder einen bestimmten Grenzwert erreicht hat.
  • Insbesondere kann das Freischaltmodul einen Signatur-Algorithmus zum Signieren des Funktionsaktivierungscodes verwenden. Zur weiteren Erhöhung der Sicherheit können Teile des Algorithmus zusammen mit dem privaten Schlüssel an das Freischaltmodul übertragen und im flüchtigen Speicher gespeichert werden. In diesem Fall kann lediglich ein Basisprogramm statisch gespeichert sein, welches die Funktionalität zum Nachladen von Programm und Daten zur Verfügung stellt. Durch diese Maßnahme kann die Sicherheit des Freischaltmoduls weiter erhöht werden.
  • Nachfolgend ist ein Ausführungsbeispiel der Erfindung anhand der beigefügten Figur beschrieben.
  • Es zeigt:
  • 1 in einem Blockschaltdiagramm die erfindungsgemäße Vorrichtung zur Funktionsfreischaltung eines Steuergeräts.
  • In der 1 ist ein Freischaltmodul 1 gezeigt, welches bei der Montage eines Kraftfahrzeugs mit einem fahrzeugseitigen Steuergerät 3 logisch verbunden ist. Vom Kraftfahrzeug ist hier nur das Steuergerät 3 dargestellt. Mit dem Steuergerät 3 sind verschiedene Fahrzeugfunktionen, wie zum Beispiel Flüssigkeitsstandanzeigen, Verbrauchsanzeigen und elektronisches Zubehör, steuerbar. Während der Montage des Fahrzeugs werden die vom Kunden erworbenen Fahrzeugfunktionen mittels des Freischaltmoduls 1 freigeschaltet.
  • Gemäß der 1 ist das Freischaltmodul 1 ein Ein-Chip-System (SoC), welches mittels einer Kommunikationsschnittstelle 13 mit dem Steuergerät 3 verbunden ist. Die Kommunikationsschnittstelle 13 ist hier als Steckverbindung ausgebildet, kann aber alternativ auch als Ethernet- oder Luftschnittstelle ausgebildet sein.
  • Neben der Steckverbindung 13 weist das Freischaltmodul 1 zudem zwei weitere Kommunikationsschnittstellen 9, 11 auf, über welche das Freischaltmodul 1 mit einer Zentraleinheit 2, bestehend aus einem Produktionsserver 5 und einem Kryptoserver 7, verbindbar ist. Die Kommunikationsschnittstellen 9, 11 sind hier WLAN-Schnittstellen. Wie aus der 1 hervorgeht, erfolgt der Datentransfer vom Produktionsserver 5 und vom Kryptoserver 7 zum Freischaltmodul 1 über verschlüsselte, authentifizierte Kanäle 15, 17.
  • Gemäß der 1 weist das Freischaltmodul 1 einen flüchtigen Speicher 19 auf. Im flüchtigen Speicher 19 sind von der Zentraleinheit 2 übertragene Daten zwischenspeicherbar. Sobald die Versorgungsspannung des Freischaltmoduls abgeschaltet ist, sind die zwischengespeicherten Daten nicht mehr nutzbar, wodurch die Sicherheit des Freischaltmoduls 1 erhöht ist.
  • Nachfolgend ist die erfindungsgemäße Funktionsfreischaltung des Steuergeräts 3 anhand der 1 beschrieben. Nach Aktivierung des Freischaltmoduls 1 sendet der Produktionsserver 5 eine Anzahl n von Fahrgestellnummern VIN1, VIN2 zusammen mit zugeordneten Freischaltcodes FSC1, FSC2, FSC3 über den verschlüsselten Kanal 15 an das Freischaltmodul 1. Dort werden die Fahrgestellnummern VIN1, VIN2 zusammen mit den zugeordneten Freischaltcodes FSC1, FSC2, FSC3 in dem flüchten Speicher 19 zwischengespeichert. Die Fahrgestellnummern VIN1, VIN2 sowie die Freischaltcodes FSC1, FSC2, FSC3 sind hier lediglich beispielhaft aufgeführt. Selbstverständlich können weitere Fahrgestellnummern und Freischaltcodes im flüchtigen Speicher 19 zwischengespeichert werden.
  • Anschließend sendet der Kryptoserver 7 einen privaten Schlüssel PS und einen Freischaltzähler FZ über den verschlüsselten Kanal 17 an das Freischaltmodul 1. Auch der private Schlüssel PS und der Freischaltzähler FZ werden im flüchtigen Speicher 19 des Freischaltmoduls 1 zwischengespeichert.
  • Zur Freischaltung der Fahrzeugfunktionen wird das Freischaltmodul 1 über die Steckverbindung 13 an das fahrzeugseitige Steuergerät 3 angeschlossen. Gemäß der 1 liest das Freischaltmodul 1 dabei die Fahrgestellnummer VIN1 sowie eine Seriennummer SNR des Steuergeräts 3 aus. Nach Erhalt der Fahrgestellnummer VIN1 sucht das Freischaltmodul 1 nach den der Fahrgestellnummer VIN1 zugeordneten Freischaltcodes FSC1, FSC2 im flüchtigen Speicher 19.
  • Falls der Freischaltzähler FZ größer null ist, wird vom Funktionsfreischaltgerät 1 ein Funktionsaktivierungscode FAC generiert, der auf der Fahrgestellnummer VIN1, der Seriennummer SNR und den Freischaltcodes FSC1, FSC2 basiert. Der Funktionsaktivierungscode FAC wird mittels eines Signatur-Algorithmus SA mit dem privaten Schlüssel PS signiert. Schließlich wird der signierte Funktionsaktivierungscode FAC an das Steuergerät 3 übertragen und der Freischaltzähler FZ um eins dekrementiert.
  • Das Steuergerät 3 überprüft den signierten Funktionsaktivierungscode FAC bezüglich der Fahrgestellnummer VIN1 und der Seriennummer SNR sowie der Signatur mittels eines öffentlichen Schlüssels OS und aktiviert die Fahrzeugfunktionen entsprechend der Freischaltcodes FSC1, FSC2. Gegebenenfalls kann die Überprüfung auch asynchron zur Verbindung mit dem Funktionsfreischaltmodul 1 verlaufen.
  • Durch das oben beschriebene Verfahren können die Fahrzeugfunktionen mehrerer Fahrzeuge freigeschalten werden, ohne dass eine Online-Verbindung des Freischaltmoduls 1 mit der Zentraleinheit 2 aufgebaut werden muss. Lediglich bei der Aktivierung des Freischaltmoduls 1 oder wenn der Freischaltzähler FZ null beziehungsweise einen bestimmten Grenzwert erreicht, muss eine Online-Verbindung mit der Zentraleinheit 2 aufgebaut werden. Bei der Fahrzeugproduktion ist somit für die Funktionsfreischaltung von Fahrzeugfunktionen keine hochverfügbare Online-Verbindung notwendig, wodurch ein Ausfallrisiko der Produktion massiv verringert wird.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • - WO 03/019337 A2 [0004]

Claims (16)

  1. Vorrichtung zur Funktionsfreischaltung eines Steuergeräts (3) für ein Fahrzeug, insbesondere Kraftfahrzeug, mit einer Zentraleinheit (2), insbesondere einen Produktionsserver (5) und einen Kryptoserver (7) umfassend, zum Übertragen von Freischaltdaten (VIN1, VIN2, FSC1, FSC2, FSC3) und/oder zumindest eines privaten Schlüssels (PS), dadurch gekennzeichnet, dass die Vorrichtung ein Freischaltmodul (1) aufweist, das zwischen der Zentraleinheit (2) und dem Steuergerät (3) schaltbar ist und mit dem eine begrenzte Anzahl (n) von Freischaltungen unabhängig von der Zentraleinheit (2) durchführbar ist.
  2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass das Freischaltmodul (1) einen flüchtigen Speicher (9) aufweist, in den die Freischaltdaten (VIN1, VIN2, FSC1, FSC2, FSC3) und/oder der private Schlüssel (PS) zwischenspeicherbar ist.
  3. Vorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Freischaltdaten (VIN1, VIN2, FSC1, FSC2, FSC3) zumindest ein Individualisierungsmerkmal (VIN1, VIN2), insbesondere eine Fahrgestellnummer, und zumindest einen dem Individualisierungsmerkmal zugeordneten Freischaltcode (FSC1, FSC2, FSC3) umfassen.
  4. Vorrichtung nach Anspruch 3, dadurch gekennzeichnet, dass bei an das Steuergerät (3) angeschlossenem Freischaltmodul (1) das Individualisierungsmerkmal (VIN1) vom Steuergerät (3) auslesbar ist.
  5. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass zusätzlich ein Steuergerätidentifikationsmerknal (SNR), insbesondere eine Steuergerätseriennummer, auslesbar ist.
  6. Vorrichtung nach einem der Ansprüche 4 oder 5, dadurch gekennzeichnet, dass mittels des Freischaltmoduls (1) auf Grundlage des ausgelesenen Individualisierungsmerkmals (VIN1) und/oder des Steuergerätidentifikationsmerkmals (SNR) und/oder des zumindest einen Freischaltcodes (FSC1, FSC2) ein Funktionsaktivierungscode (FAC) generierbar ist.
  7. Vorrichtung nach Anspruch 6, dadurch gekennzeichnet, dass der Funktionsaktivierungscode (FAC) mit dem im flüchtigen Speicher (19) gespeicherten privaten Schlüssel (PS) signierbar ist.
  8. Vorrichtung nach Anspruch 7, dadurch gekennzeichnet, dass das Freischaltmodul (1) einen Signatur-Algorithmus (SA) zum Signieren des Funktionsaktivierungscodes (FAC) verwendet.
  9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass der Signatur-Algorithmus (SA) zumindest teilweise im flüchtigen Speicher (19) des Freischaltmoduls (1) speicherbar ist und/oder zusammen mit dem privaten Schlüssel (PS) von der Zentraleinheit (2) an das Freischaltmodul (1) übertragbar ist.
  10. Vorrichtung nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, dass der signierte Funktionsaktivierungscode (FAC) mittels eines im Steuergerät (1) hinterlegten öffentlichen Schlüssels (OS) überprüfbar ist.
  11. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Freischaltzähler (FZ) zum Bestimmen der Anzahl (n) von Signierungen im Freischaltmodul (1) speicherbar ist.
  12. Vorrichtung nach Anspruch 11, dadurch gekennzeichnet, dass der Freischaltzähler (FZ) bei jedem Signiervorgang um eins dekrementiert wird und/oder ein Signiervorgang nur durchführbar ist, solange der Freischaltzähler (FZ) größer null ist.
  13. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Freischaltmodul (1) ein abgeschlossenes Hardwaremodul, insbesondere ein Ein-Chip-System (SoC) und/oder einen Kryptochip umfassend, ist.
  14. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Freischaltmodul (1) zumindest eine Kommunikationsschnittstelle (9, 11, 13) aufweist, mit welcher das Freischaltmodul (1) mit der Zentraleinheit (2), insbesondere dem Produktionsserver (5) und/oder dem Kryptoserver (7), und/oder dem Steuergerät (3) verbindbar ist.
  15. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Freischaltdaten (VIN1, VIN2, FSC1, FSC2, FSC3) und/oder der private Schlüssel (PS) und/oder der Freischaltzähler (FZ) von der Zentraleinheit (2) zumindest über einen verschlüsselten und/oder authentifizierten Kanal (15, 17) übertragbar sind.
  16. Verfahren zur Funktionsfreischaltung eines Steuergeräts (3) mittels einer Vorrichtung nach einem der vorhergehenden Ansprüche.
DE102009025585A 2009-06-19 2009-06-19 Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts Expired - Fee Related DE102009025585B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102009025585A DE102009025585B4 (de) 2009-06-19 2009-06-19 Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009025585A DE102009025585B4 (de) 2009-06-19 2009-06-19 Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts

Publications (2)

Publication Number Publication Date
DE102009025585A1 true DE102009025585A1 (de) 2010-12-23
DE102009025585B4 DE102009025585B4 (de) 2012-08-16

Family

ID=43122980

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009025585A Expired - Fee Related DE102009025585B4 (de) 2009-06-19 2009-06-19 Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts

Country Status (1)

Country Link
DE (1) DE102009025585B4 (de)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012126547A1 (de) * 2011-03-22 2012-09-27 Audi Ag Kraftwagen-steuergerät mit kryptographischer einrichtung
DE102014213503A1 (de) 2014-07-11 2016-01-14 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Überwachen einer Software in einem Straßenfahrzeug
WO2017020999A1 (de) 2015-08-05 2017-02-09 Audi Ag Verfahren zum betreiben eines kraftfahrzeugs und system zum betreiben eines kraftfahrzeugs
WO2018046345A1 (de) * 2016-09-06 2018-03-15 Robert Bosch Gmbh Steuergeräteverbund
DE102018202181A1 (de) 2018-02-13 2019-08-14 Audi Ag Kraftfahrzeug und Verfahren zum Betrieb einer wenigstens eine Hardwarekomponente umfassenden Recheneinrichtung eines Kraftfahrzeuges
WO2019211080A1 (de) 2018-05-04 2019-11-07 Audi Ag VERFAHREN ZUM FESTLEGEN EINES FUNKTIONSBESTANDS AKTIVIERTER FUNKTIONEN IN EINER FUNKTIONSEINHEIT SOWIE GEMÄß DEM VERFAHREN BETREIBBARE FUNKTIONSEINHEIT
WO2020254070A1 (de) * 2019-06-18 2020-12-24 Volkswagen Aktiengesellschaft Verfahren zur plausibilisierung der leistungscodierung eines bauteils eines fahrzeuges und ein fahrzeug-computer
DE102021201837A1 (de) 2021-02-26 2022-09-01 Siemens Mobility GmbH Verfahren zur Konfiguration einer Steuerungssoftware bei einem Schienenfahrzeug
US11658828B2 (en) 2021-02-01 2023-05-23 Ford Global Technologies, Llc Securely transmitting commands to vehicle during assembly
DE102022112230A1 (de) 2022-05-16 2023-11-16 Bayerische Motoren Werke Aktiengesellschaft Vorrichtung und Verfahren zur personalisierten Steuerung einer Funktionseinheit in einem Fahrzeug

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008973A1 (de) * 2000-02-25 2001-09-06 Bayerische Motoren Werke Ag Autorisierungsverfahren mit Zertifikat
WO2003019337A2 (de) 2001-08-27 2003-03-06 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur bereitstellung von software zur verwendung durch ein steuergerät eines fahrzeugs
DE102004049297A1 (de) * 2004-10-09 2006-04-27 Bayerische Motoren Werke Ag Verfahren zum Aktivieren und/oder Deaktivieren von Fahrzeug-Steuergerätefunktionen
DE102006052048A1 (de) * 2006-11-04 2008-05-08 Dr.Ing.H.C. F. Porsche Ag Verfahren zur Aktivierung und/oder Deaktivierung von Funktionen eines Kraftfahrzeugs
US20080222418A1 (en) * 2005-01-24 2008-09-11 Yuichi Futa Signature Generation Device and Signature Verification Device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008973A1 (de) * 2000-02-25 2001-09-06 Bayerische Motoren Werke Ag Autorisierungsverfahren mit Zertifikat
WO2003019337A2 (de) 2001-08-27 2003-03-06 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur bereitstellung von software zur verwendung durch ein steuergerät eines fahrzeugs
DE102004049297A1 (de) * 2004-10-09 2006-04-27 Bayerische Motoren Werke Ag Verfahren zum Aktivieren und/oder Deaktivieren von Fahrzeug-Steuergerätefunktionen
US20080222418A1 (en) * 2005-01-24 2008-09-11 Yuichi Futa Signature Generation Device and Signature Verification Device
DE102006052048A1 (de) * 2006-11-04 2008-05-08 Dr.Ing.H.C. F. Porsche Ag Verfahren zur Aktivierung und/oder Deaktivierung von Funktionen eines Kraftfahrzeugs

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9479329B2 (en) 2011-03-22 2016-10-25 Audi Ag Motor vehicle control unit having a cryptographic device
WO2012126547A1 (de) * 2011-03-22 2012-09-27 Audi Ag Kraftwagen-steuergerät mit kryptographischer einrichtung
DE102014213503A1 (de) 2014-07-11 2016-01-14 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Überwachen einer Software in einem Straßenfahrzeug
US10657288B2 (en) 2015-08-05 2020-05-19 Audi Ag Method for operating a motor vehicle, and system for operating a motor vehicle
WO2017020999A1 (de) 2015-08-05 2017-02-09 Audi Ag Verfahren zum betreiben eines kraftfahrzeugs und system zum betreiben eines kraftfahrzeugs
DE102015010203A1 (de) 2015-08-05 2017-02-09 Audi Ag Verfahren zum Betreiben eines Kraftfahrzeugs und System zum Betreiben eines Kraftfahrzeugs
WO2018046345A1 (de) * 2016-09-06 2018-03-15 Robert Bosch Gmbh Steuergeräteverbund
CN109643338A (zh) * 2016-09-06 2019-04-16 罗伯特·博世有限公司 控制器复合体
DE102018202181A1 (de) 2018-02-13 2019-08-14 Audi Ag Kraftfahrzeug und Verfahren zum Betrieb einer wenigstens eine Hardwarekomponente umfassenden Recheneinrichtung eines Kraftfahrzeuges
WO2019211080A1 (de) 2018-05-04 2019-11-07 Audi Ag VERFAHREN ZUM FESTLEGEN EINES FUNKTIONSBESTANDS AKTIVIERTER FUNKTIONEN IN EINER FUNKTIONSEINHEIT SOWIE GEMÄß DEM VERFAHREN BETREIBBARE FUNKTIONSEINHEIT
US11609577B2 (en) 2018-05-04 2023-03-21 Audi Ag Method for defining a function existence of activated functions in a functional unit and functional unit operable according to the method
WO2020254070A1 (de) * 2019-06-18 2020-12-24 Volkswagen Aktiengesellschaft Verfahren zur plausibilisierung der leistungscodierung eines bauteils eines fahrzeuges und ein fahrzeug-computer
US11658828B2 (en) 2021-02-01 2023-05-23 Ford Global Technologies, Llc Securely transmitting commands to vehicle during assembly
DE102021201837A1 (de) 2021-02-26 2022-09-01 Siemens Mobility GmbH Verfahren zur Konfiguration einer Steuerungssoftware bei einem Schienenfahrzeug
US11952025B2 (en) 2021-02-26 2024-04-09 Siemens Mobility GmbH Method for configuration of control software in a rail vehicle
DE102022112230A1 (de) 2022-05-16 2023-11-16 Bayerische Motoren Werke Aktiengesellschaft Vorrichtung und Verfahren zur personalisierten Steuerung einer Funktionseinheit in einem Fahrzeug

Also Published As

Publication number Publication date
DE102009025585B4 (de) 2012-08-16

Similar Documents

Publication Publication Date Title
DE102009025585B4 (de) Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts
DE102012110499B4 (de) Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte
DE112012002836T5 (de) Fahrzeugbasiertes Netzwerksystem
DE102007022100B4 (de) Kraftfahrzeugsteuergerätedatenübertragungssystem und -verfahren
EP3332348B1 (de) Verfahren zum betreiben eines kraftfahrzeugs und system zum betreiben eines kraftfahrzeugs
DE102013105042A1 (de) Sicheres Flashprogrammieren eines sekundären Prozessors
DE102013202716A1 (de) Verfahren und Vorrichtung zum Freischalten mindestens einer softwarebasierten Funktion in mindestens einer elektronischen Steuereinheit eines Kraftfahrzeugs
DE102018210318B4 (de) Verfahren zur Sicherung von Fahrzeugkomponenten und entsprechende Fahrzeugkomponente
EP3723322A2 (de) Verfahren zur authentifizierung eines fahrzeugs, authentifizierungseinheit, diensteinheit und fahrzeugexterne zentrale recheneinheit
EP3665891B1 (de) Verfahren zum festlegen eines funktionsbestands aktivierter funktionen in einer funktionseinheit sowie gemäss dem verfahren betreibbare funktionseinheit
AT504581A1 (de) Verfahren und system zum auslesen von daten aus einem speicher eines fernen geräts durch einen server
EP3314339B1 (de) Verfahren, server, firewall, steuergerät, und system zur programmierung eines steuergeräts eines fahrzeugs
DE102012220132A1 (de) Verfahren, Vorrichtung und System zum Aktualisieren eines Steuergerätes
EP3078769B1 (de) Verfahren zur freigabe von maschinenfunktionen an einer spinnereimaschine
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
DE102018213806B4 (de) Elektronische Steuervorrichtung
EP2038805B1 (de) Verfahren zum delegieren von privilegien an eine niedriger-privilegierte instanz durch eine höher-privilegierte instanz
DE102016104290A1 (de) Verwaltungssteuergerät für ein Fahrzeug
DE102005034713A1 (de) System zur Bereitstellung von Funktionen für eine Fahrzeugkomponente
DE102020113451A1 (de) Sendeeinheit und Empfangseinheit zum Senden und Empfangen von Datenpaketen
DE102007014143B4 (de) Prüfstand und Verfahren zur simulativen Funktionsprüfung einer Komponente und/oder eines Komponentensystems eines Fahrzeugs
DE102018132979A1 (de) Abgesichertes und intelligentes Betreiben einer Ladeinfrastruktur
DE102018129726A1 (de) Elektronisches Schlüsselsystem und elektronisches Schlüsselverwaltungsgerät
EP3693233B1 (de) Sicherheitsmodus bei ersetzten ecus
DE102018206541A1 (de) Verfahren zum Betrieb einer berührungssensitiven, flächigen Eingabevorrichtung einer Gesamtvorrichtung und Gesamtvorrichtung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20121117

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee