DE102012110499A1 - Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte - Google Patents

Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte Download PDF

Info

Publication number
DE102012110499A1
DE102012110499A1 DE102012110499.9A DE102012110499A DE102012110499A1 DE 102012110499 A1 DE102012110499 A1 DE 102012110499A1 DE 102012110499 A DE102012110499 A DE 102012110499A DE 102012110499 A1 DE102012110499 A1 DE 102012110499A1
Authority
DE
Germany
Prior art keywords
ecu
request
controller
security key
characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102012110499.9A
Other languages
English (en)
Other versions
DE102012110499B4 (de
DE102012110499B9 (de
Inventor
Thomas M. Forest
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102012110499A1 publication Critical patent/DE102012110499A1/de
Publication of DE102012110499B4 publication Critical patent/DE102012110499B4/de
Application granted granted Critical
Publication of DE102012110499B9 publication Critical patent/DE102012110499B9/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)

Abstract

Ein System und Verfahren zum Verwenden eines Mechanismus zum Freischalten einer Fahrzeug-ECU. Die ECU speichert einen eindeutigen ECU-Kennwert, der die jeweilige ECU identifiziert, und ein sicherer Server speichert den ECU-Kennwert und einen eindeutigen ECU-Sicherheitsschlüsselwert, wobei der Kennwert den Sicherheitsschlüsselwert in dem Server identifiziert, und wobei der sichere Server den eindeutigen ECU-Kennwert und den eindeutigen Sicherheitsschlüsselwert für viele ECUs speichert. Ein Wartungswerkzeug, das Zugang zu der ECU erlangen möchte, um Software zu reprogrammieren oder für Service, fordert den ECU-Kennwert und eine Aufforderung von der ECU an und sendet diese an den sicheren Server, welcher dann den Sicherheitsschlüsselwert, der mit diesem ECU-Kennwert und der Antwort auf die Aufforderung verbunden ist, identifiziert. Der sichere Server sendet dann die Antwort an das Wartungswerkzeug, welches diese an die ECU liefert, um diese zum Programmieren freizuschalten.

Description

  • QUERVERWEIS AUF ZUGEHÖRIGE ANMELDUNGEN
  • Diese Anmeldung beansprucht das Prioritätsdatum der U.S. Provisional Patent Application Serial No. 61/552,984 mit dem Titel: ”Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte”, angemeldet am 28. Oktober 2011.
  • HINTERGRUND DER ERFINDUNG
  • 1. Gebiet der Erfindung
  • Diese Erfindung bezieht sich allgemein auf ein System und ein Verfahren zum sicheren Zugang oder zum Freischalten eines elektronischen Steuergeräts (ECU) auf einem Fahrzeug und insbesondere auf ein System und ein Verfahren zum sicheren Zugang oder zum Freischalten einer ECU auf einem Fahrzeug, wobei das System einen sicheren Remote-Server beinhaltet, der einen ECU-Kennwert und eine Sicherheitsaufforderung von der ECU empfängt, und wobei der Server den ECU-Kennwert verwendet, um einen ECU-Sicherheitsschlüsselwert für die ECU zu identifizieren, um eine Antwort auf die Aufforderung zu geben.
  • 2. Diskussion des Standes der Technik
  • Viele moderne Fahrzeuge beinhalten elektronische Steuereinheiten (ECUs), oder Steuergeräte, die den Betrieb der Fahrzeugsysteme, beispielsweise des Antriebsstrang, des Klimasteuersystems, des Infotainment-Systems, der Body-Systeme, der Chassis-Systeme und dergleichen steuern. Diese Steuergeräte benötigen für besondere Zwecke gestaltete Software, um die Steuerfunktionen durchzuführen. Mit der zunehmenden Zahl und Komplexität dieser Steuergeräte und der wachsenden Furcht, die von Entwicklern von Schadsoftware ausgeht, ist es wichtiger denn je, die Herkunftsquelle und den Inhalt von Softwarefiles, die in Automobilsteuergeräte installiert werden, zu authentifizieren. Die Konsequenzen vom Gebrauch von Software, die nicht einwandfrei validiert wurde oder die – schlimmer noch – schadhaft entworfen wurde, in einem Fahrzeugsteuergerät, beinhaltet das unbeabsichtigte Verhalten des Fahrzeugs oder seiner Systeme, den Verlust von Antidiebstahl-Eigenschaften auf dem Fahrzeug, das potentielle Herumpfuschen an Komponenten wie beispielsweise dem Kilometerzähler und der Verlust von anderen Fahrzeugmerkmalen und Funktionen.
  • Die ECUs auf einem Fahrzeug müssen manchmal aus verschiedenen Gründen gewartet oder aktualisiert werden, wobei eine Service-Einrichtung Zugang auf die ECU erlangen muss, um entweder Diagnosefehlercodes oder andere Fehler herunterzuladen, die ECU zu reprogrammieren oder manch andere Operation auszuführen, um ein Fahrzeugproblem zu lösen. Es ist aus Sicherheitsgründen allerdings wichtig, dass nur autorisiertes Personal auf eine ECU auf einem Fahrzeug Zugang haben kann, um Service-Operationen auszuführen, da ein nicht autorisierter Benutzer schädliche oder nicht ordnungsgemäße Aktionen ausführen könnte, die den Fahrzeugbetrieb negativ beeinträchtigen. Mit anderen Worten ist es wichtig, das unautorisierte Benutzer keinen Zugang auf die Fahrzeug-ECU erlangen können, um die ECU mit Software, die schadhaft sein kann oder auf andere Art das Fahrzeug beschädigen kann, zu programmieren. Demzufolge ist der Besitz von sicheren Techniken zum Freischalten einer ECU zum Programmieren, zur Wartung und anderen Operationen notwendig.
  • Eine Fahrzeug-ECU kann für sicherheitssensitive Diagnoseoperationen mithilfe einer Art von Aufforderung/Antwort-Mechanismus, die manchmal als ”Seed and Key” bezeichnet werden, wobei der ”Seed” die Aufforderung und der ”Key” die Antwort darstellen, freigeschaltet werden. Beispielsweise wird ein Wartungswerkzeug, das versucht, Zugang auf eine ECU zu erlangen, bewirken, dass die ECU eine Sicherheitsaufforderung erlässt, wie zum Beispiel eine Art von Frage, die in die ECU vorprogrammiert ist, und das Werkzeug muss dann die Aufforderung mit der ordnungsgemäßen Antwort, die ebenfalls in die ECU vorprogrammiert ist, beantworten, so dass, falls korrekt geantwortet wurde, die ECU dem Werkzeug die Zugangsgewährung zu ihr gestatten wird. Diagnosestandards geben vor, wie dieses Verfahren ausgeführt wird. Beispielsweise definiert ISO 14229 einen Sicherheitszugangsservice, der es erlaubt, dass ein Gerät unter Verwendung eines Aufforderung/Antwort-Mechanismus freigeschaltet wird.
  • Aufforderung/Antwort-Mechanismen der oben erwähnten Art zerfallen in zwei Kategorien. Die erste Kategorie beinhaltet fest vorgegebene Aufforderungen, wobei die Aufforderung und demnach die erwartete Antwort fest vorgegeben ist. In einer solchen Implementierung speichert die ECU einfach die Aufforderung und die Antwort, wobei es für das Gerät nicht notwendig ist, selbst die Fähigkeit zu besitzen, die Antwort auf eine gegebene Aufforderung zu berechnen. Ein Nachteil dieser Systeme ist, dass sobald die Antwort bekannt ist, diese für alle Zeiten bekannt ist, wobei dieselbe Antwort, die eine ECU heute freischaltet, dieselbe ECU morgen auch freischalten würde. Demzufolge ist die Sicherheit, die von dieser Art von Aufforderung/Antwort-Mechanismus gewährt wird, begrenzt.
  • Die zweite Kategorie beinhaltet variable Antworten, wobei jede ECU-Freischaltoperation eine unterschiedliche Aufforderung erzeugt, die von der ECU erlassen werden muss. Dies wird oft implementiert, indem dem Gerät, das freigeschaltet werden soll, die Befähigung gegeben wird, eine Antwort auf eine gegebene Aufforderung zu berechnen. In vielen Implementierungen erfolgt dies in der Gestalt eines geheimen Algorithmus, der die Berechnung einer Antwort für eine gegebene Aufforderung gestattet. Dies hat den Vorzug, dass verhindert wird, dass eine Antwort zu einem späteren Zeitpunkt verwendet werden wird, und bringt aber den Nachteil mit sich, dass die Sicherheit des Systems in der Geheimhaltung des Algorithmus liegt. Wenn alle Geräte den gleichen Algorithmus verwenden, reduziert die Offenlegung des Algorithmus, welcher in jeder ECU eingebettet sein muss, die Gesamtsicherheit des Systems.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Im Einklang mit den Lehren der vorliegenden Erfindung werden ein System und ein Verfahren zum Freischalten einer Fahrzeug-ECU offenbart, um es zu gestatten, Files auf der ECU zu installieren. Die ECU speichert einen eindeutigen ECU-Kennwert, der die jeweilige ECU identifiziert, und ein sicherer Server speichert den ECU-Kennwert und einen eindeutigen ECU-Sicherheitsschlüsselwert, wobei der Kennwert den Sicherheitsschlüsselwert in dem Server identifiziert, und wobei der sichere Server den eindeutigen ECU-Kennwert und den eindeutigen Sicherheitsschlüsselwert für viele ECUs speichert. Ein Wartungswerkzeug, das Zugang auf die ECU zum Reprogrammieren von Software oder zu Servicezwecken erlangen will, erfragt den ECU-Kennwert und eine Aufforderung von der ECU und sendet diese an den sicheren Server, welcher dann den Sicherheitsschlüsselwert, der zu dem ECU-Kennwert gehört, und die Antwort für die Aufforderung identifiziert. Der sichere Server sendet dann die Antwort an das Wartungswerkzeug, welches diese an die ECU liefert, um diese zum Programmieren freizuschalten. Wird die ECU das nächste Mal gewartet, liefert diese eine unterschiedliche Aufforderung, auf welche der sichere Server in der Lage sein wird, korrekt zu antworten, da er den ECU-Sicherheitsschlüsselwert kennt.
  • Weitere Merkmale der vorliegenden Erfindung werden aus der folgenden Beschreibung und den beigefügten Patentansprüchen in Verbindung mit den beigefügten Figuren deutlich.
  • KURZE BESCHREIBUNG DER FIGUREN
  • 1 ist eine Darstellung eines Fahrzeugs mit einer Fahrzeug-ECU; und
  • 2 ist ein Flussdiagramm zum Freischalten der ECU unter Verwendung einer sicheren Remote-Datenbank;
  • DETAILLIERTE BESCHREIBUNG DER AUSFÜHRUNGSBEISPIELE
  • Die folgende Diskussion der Ausführungsformen der Erfindung, die auf ein System und ein Verfahren zum Freischalten oder zum Zugang auf eine sichere Fahrzeug-ECU gerichtet ist, ist rein beispielhafter Natur und in keiner Weise dazu gedacht, die Erfindung oder ihre Anwendungen oder Verwendungen einzuschränken. Beispielsweise hat die vorliegende Erfindung eine besondere Anwendung für den Zugang auf eine Fahrzeug-ECU. Fachleute können allerdings leicht erkennen, dass die Technik der Erfindung eine Anwendung zum Zugang bei anderen Kontrollern haben kann.
  • Die vorliegende Erfindung schlägt ein Verfahren vor, um einen sicheren Zugang auf eine Fahrzeug-ECU zum Installieren von Software zu gewähren. Das Verfahren ist kompatibel mit den Sicherheitszugangsverfahren, die in den relevanten internationalen Standards definiert sind, beispielsweise ISO 14229 und gewährt eine größere Sicherheit als andere Alternativen, die vorgeschlagen worden sind. Der allgemeine Erfindungsgedanke ist, dass ein ECU-spezifischer Sicherheitsschlüssel bereitgestellt wird, der sowohl der ECU als auch dem Hersteller bekannt ist. Der Sicherheitsschlüssel wird mit einem kryptographischen Authentifizierungsalgorithmus verwendet, beispielsweise einem Nachrichtenauthentifizierungscode (MAC), um ein Aufforderung/Antwort-System zu generieren. Die freizuschaltende ECU stellt eine eindeutige ID bereit, die verwendet wird, um den Sicherheitsschlüssel in einer definierten Datenbank, die beispielsweise von dem Fahrzeughersteller bereitgestellt wird, zu suchen und der Hersteller kann diesen Schlüssel verwenden, um eine gültige Antwort auf die Aufforderung, die von der ECU bereitgestellt wird, zu generieren. Der kryptographische Algorithmus in der ECU kann, ohne die Sicherheit des Systems zu mindern offengelegt werden, da die Sicherheit an dem Sicherheitsschlüssel liegt, welcher für jede einzelne ECU unterschiedlich ist.
  • Eine Service-Einrichtung, die versucht, eine ECU freizuschalten, muss mit einem Sicherheitsserver an einem fernliegenden Ort kommunizieren. Diese Kommunikation kann über eine direkte Verbindung zum Internet oder über andere verschiedene Kommunikationsmechanismen, beispielsweise Short Messages, Webseitenzugang, SMS-Textnachrichten, Telefonanrufbeantworter-Systeme etc. erfolgen. Diese Kommunikation wird durch den relativ kleinen Informationsgehalt, der zwischen der ECU und dem Sicherheitsserver ausgetauscht werden muss, erleichtert. Eine vorgeschlagene Weiterbildung macht es einfacher, die Datenbankfunktionalität mittels dem ECU-spezifischen Sicherheitsschlüssel, der von der eindeutigen Kennungsinformation mittels eines zweiten Kryptographie-Algorithmus abgeleitet wird, zu implementieren, der den Sicherheitsschlüssel zu der ID direkt erzeugt, d. h. dass der Schlüssel eine kryptographische Funktion der ID ist, so dass die Notwendigkeit zur Erzeugung einer Sicherheitsschlüssel-Datenbank wegfällt.
  • 1 ist eine Darstellung eines Fahrzeugs 10, welches eine ECU 12 beinhaltet, die dazu gedacht ist, eine oder mehrere ECUs auf dem Fahrzeug 12 ohne Einschränkung des Fahrzeugtyps, des Typs der ECU 12, des Verwendungszwecks der ECU 12 etc. darzustellen. Wie unten diskutiert werden wird, beschreibt die vorliegende Erfindung eine Technik, die ECU 12 freizuschalten, so dass diese programmiert werden kann oder für die Installation von Softwarefiles von einer Service-Einrichtung mithilfe eines Wartungswerkzeugs 14 gewartet werden kann. Nach der vorliegenden Erfindung besitzt jede ECU auf demselben Fahrzeug oder jede ECU auf verschiedenen Fahrzeugen ihren eigenen ECU-Kennwert und Sicherheitscode oder Schlüssel. Wie unten im Detail diskutiert werden wird, erhält das Wartungswerkzeug 14 den ECU-Kennwert und eine Aufforderung von der ECU 12 und sendet diese zu einer fernliegenden Einrichtung oder Sicherheitsserver 16, der die Kennwerte und Sicherheitsschlüssel für alle ECUs in dem System speichert. Der Server 16 empfängt den ECU-Kennwert und die Aufforderung von dem Werkzeug 14, identifiziert den ECU-Sicherheitsschlüssel von dem Kennwert und identifiziert die Antwort auf die Aufforderung, die auf dem Server 16 von dem Sicherheitsschlüssel gespeichert ist. Der Server 16 sendet die Antwort an das Werkzeug 14, welches diese an die ECU 12 liefert und, sofern diese korrekt ist, gestattet es dem Werkzeug 14, Zugang zu der ECU 12 zu erlangen.
  • Der vorgeschlagene Aufforderung/Antwort-Mechanismus zum Freischalten einer Fahrzeug-ECU leidet nicht an den oben diskutierten Nachteilen. Insbesondere verwendet jede unterschiedliche ECU in dem Fahrzeug 10 einen unterschiedlichen Algorithmus. Demnach beeinträchtigt ein erfolgreiches Reverse-Engineering von einer ECU oder einem anderen Gerät nur die Sicherheit dieses Geräts und nicht die von anderen Geräten in dem System. Das Verfahren wurde allerdings modifiziert, um konsistenter mit den Anforderungen von Sicherheitsfreischaltungen für Diagnoseoperationen zu sein.
  • Wie erwähnt erfordert die Verwendung eines Aufforderung/Antwort-Mechanismus zum Freischalten einer ECU eine Einrichtung, die in der Lage ist, die Operation zu autorisieren, d. h. den Sicherheitsserver 16. Der Sicherheitsserver 16 ist im Besitz der gesamten Information, die erforderlich ist, um alle ECUs zu autorisieren, und somit ist die Sicherheit (physisch und IT) des Sicherheitsservers 16 kritisch für das System. In einer idealen Implementierung würde der Sicherheitsserver 16 in einem sicheren Datenzentrum sich befinden und der Zugang auf den Server 16 würde über sorgfältig kontrollierte Netzwerkverbindungen erfolgen. Der Einsatz von ”tragbaren” Sicherheitsservern, auch wenn sie nur für die Entwicklung oder für Wartungsarbeitsaktionen gedacht sind, würde die Sicherheit des Sicherheitsservers 16 und demzufolge das System als Ganzes risikobehaften und sollte demnach vermieden werden.
  • Jede ECU 12 besitzt einen ECU-spezifischen Kennwert IDECU, der für die ECU 12 eindeutig ist, d. h. alle verschiedenen ECUs vom gleichen ECU-Typ würden verschiedene IDECU-Werte besitzen. Der Speicher, der diesen Wert speichert, muss nicht für die Diagnose lesegeschützt sein, sondern er sollte für die Diagnose schreibgeschützt sein. Es sollte ein Mechanismus vorhanden sein, um zu gestatten, dass diese Information von der ECU 12 geholt wird, wenn sich diese in einem gesperrten Sicherheitszustand befindet, beispielsweise holbar durch einen ungesichertes DID-Lesen unter Verwendung von z. B. dem ISO 14229 ReadDataByIdentifierService. Es wird angemerkt, dass viele ECUs bereits eine Rückverfolgbarkeitsinformation über DIDs inklusive der Seriennummerninformation bereitstellen. Die Rückverfolgbarkeitsinformation könnte für den IDECU-Wert verwendet werden, falls dieser für jede ECU 12 eindeutig ist.
  • Jede ECU 12 besitzt ferner einen ECU-spezifischen geheimen Schlüsselwert KECU, der spezifisch für jede ECU 12 ist, d. h. zwei unterschiedliche Exemplare des gleichen Typs der ECU 12 würden verschiedene KECU-Werte besitzen. Der Speicher, der den KECU-Wert speichert, muss gegen Diagnoseoperationen, die aus dem Speicher lesen oder in den Speicher schreiben, geschützt werden und es sollte kein Diagnoseservice stattfinden, der es erlaubt, dass diese Information gelesen oder modifiziert werden kann.
  • Die Einrichtung, die das System betreibt, unterhält eine Datenbank mit den Paaren von IDECU, KECU-Werten für jede hergestellte ECU 12. Diese Datenbank müsste in einer sicheren Art implementiert werden, da die Offenlegung der Datenbank die Sicherheit des Systems kompromittieren würde. Die Datenbank muss Abfragefunktionen unterstützen, die bei vorgegebenem IDECU-Wert den korrespondierenden ECU-spezifischen Wert von KECU ausgeben.
  • Sowohl der IDECU-Wert als auch der KECU-Wert werden in die ECU 12 vor Abschluss der Fahrzeugherstellung beispielsweise von dem ECU-Hersteller oder als Teil des Herstellverfahrens des Fahrzeugs, in die die ECU 12 installiert wird, programmiert. Als Ergebnis würde jede im Betrieb befindliche ECU 12 einen unterscheidbaren Satz von IDECU, KECU-Werten aufweisen und der Sicherheitsserver 16 muss Anfragen für di IDECU- und KECU-Werte von allen im Betrieb befindlichen Werkzeugen unterstützen.
  • 2 ist ein Flussdiagramm 40, das ein Verfahren zum Freischalten der ECU 12 in der oben diskutierten Art zeigt. Einige Schritte des Verfahrens werden von der ECU 12 ausgeführt, einige werden von dem Werkzeug 14, das von einem Service-Techniker verwendet wird, ausgeführt und einige werden von dem Sicherheitsserver 16 ausgeführt, der Zugang auf die IDECU, KECU-Paare-Datenbank hat.
  • Das Werkzeug 14 fragt die ECU 12 mit beispielsweise dem ISO 14229 ReadDataByIdentifier-Service, um den ECU-spezifischen IDECU-Wert zu erhalten, und die ECU 12 antwortet auf die Anfrage mit dem Bereitstellen ihres IDECU-Werts im Kasten 42. Das Werkzeug 14 initiiert dann eine ISO 14229 SecurityAccess-Service-Anfrage, in dem es von der ECU 12 den Seed für den Ressourcentyp, den es freizuschalten wünscht, beispielsweise Programmieren oder I/O-Kontrolle, im Kasten 44 anfragt. Dies kann mit einer RequestSeed- oder Request-Seed_IO_Control-Unterfunktion in der ECU 12 erfolgen.
  • Die ECU 12 berechnet im Kasten 46 einen Zufalls- oder Pseudozufalls-32-Bit Wert Ci, um als Seed in dem ISO 14229 SecurityAccess-Verfahren zu dienen. Es wird angemerkt, dass das Auswählen eines 32-Bit Werts als Seed nur ein nicht einschränkendes Beispiel ist, und dass jeder geeignete Seed verwendet werden kann. Dieser Wert muss jedes Mal, wenn das Verfahren initiiert wird, gewechselt werden. Er sollte nicht vorhersagbar sein und ihm darf keine verwendbare Information über den KECU-Wert entnehmbar sein, falls der KECU-Wert gehebelt wird, um unvorhersehbare Pseudozufallswerte zu generieren. Es gibt zahlreiche bekannte Techniken, um solche Zufallswerte zu generieren. Diese Praxis ist in der Automobiltechnik aufgrund ihrer Verwendung als eine Aufforderung in Wegfahrsperrsystemen gut etabliert. Die US 7,034,654 mit dem Titel ”Kraftfahrzeug-Motorwegfahrsperrsicherheitssystem und Verfahren”, erteilt am 25. April 2006 für Forest et al., eingetragen auf den Anmelder dieser Anmeldung und hiermit durch Bezugnahme inkorporiert, offenbart ein Beispiel für eine Technik, um eine pseudozufällige und eine echt zufällige Information zu kombinieren, um einen Wert für sie zu entwickeln. Die ECU 12 antwortet dann auf die ISO 14229 SecurityAccess RequestSeed Anfrage durch Bereitstellen des Ci-Werts als Seed-Wert an das Werkzeug 14 in einer ISO 14229 SecurityAccess Response-Nachricht im Kasten 48.
  • Das Werkzeug 14 bereitet dann eine Nachricht, die die IDECU- und Ci-Werte enthält, und sendet diese an den Server 16 im Kasten 50. Der Server 16 verwendet dann seinen Zugang auf die sichere Datenbank, um den KECU-Wert, der zu dem bereitgestellten IDECU-Wert korrespondiert, im Kasten 52 zu suchen. Es wird angemerkt, dass der KECU-Wert den Sicherheitsserver 16 niemals verlässt. Der Server 16 erzeugt dann im Kasten 54 eine Nachricht MSGi, die aus dem Ci-Wert, der mit dem IDECU-Wert konkateniert ist, welcher, falls erforderlich, mit zusätzlichen vordefinierten Padding-Daten PAD konkateniert ist. Mit anderen Worten: MSGi = Ci|IDECU|PAD (1)
  • Der Server 16 verwendet einen sicheren Nachrichtenauthentifizierungscode (MAC), der in der Fachwelt bekannt ist, der mit dem KECU-Wert verschlüsselt ist, um einen Authentifizierer Ai im Kasten 56 zu berechnen als: Ai = MAC(MSGi, KECU) (2)
  • Der Authentifizierer Ai, dessen Größe über den genauen MAC-Algorithmus bestimmt wird, wird auf eine Länge von 32 Bit reduziert, beispielsweise durch Behalten der niedrigstwertigsten 32 Bit des Authentifizierers Ai. Dieser reduzierte Längenwert dient als die Antwort, die als Ri bezeichnet wird: Ri = Reduce_to_32_bits(Ai) (3)
  • Der Server 16 erstellt dann eine Nachricht, die die Antwort Ri enthält, und sendet diese an das Werkzeug 14 im Kasten 58, was unten beschrieben wird. Das Werkzeug 14 fährt mit dem ISO 14229-Verfahren fort, indem es eine andere SecurityAccess-Nachricht an die ECU 12 mit der Unterfunktion SendKey unter Verwendung der Antwort Ri als 32-Bit-Schlüssel, der für das SecurityAccess-Verfahren erforderlich ist, im Kasten 60 sendet. Die ECU 12 empfängt den ISO 14229-Schlüsselwert von dem Werkzeug 14 und führt eine ähnliche Berechnung aus wie die Berechnung, die von dem Server 16 ausgeführt würde, um den Ri-Wert im Kasten 62 zu berechnen, nämlich: MSGi = Ci|IDECU|PAD (4) Ai = MAC(MSGi, KECU) (5) Ri = Reduce_to_32_bits(Ai) (6)
  • In der Entscheidungsraute 64 vergleicht die ECU 12 den während des ISO 14229-SecurityAccess-Verfahrens empfangenen Schlüssel mit dem berechneten Ri-Wert. Falls die zwei Werte exakt zueinander passen, führt die ECU 12 eine Sicherheitsfreischaltoperation im Kasten 66 aus. Falls die Werte in irgendeiner Art differieren, wird die ECU 12 die Sicherheitsfreischaltung im Kasten 68 nicht ausführen. Die ECU 12 sendet ferner im Kasten 70 eine geeignete ISO 14229 Response-Nachricht abhängig von den Resultaten des Vergleichs.
  • Das Verfahren in den Kästen 50 und 58 erfordert eine Kommunikation zwischen dem Werkzeug 14 und dem Server 16, die jede geeignete Kommunikation sein kann. Beispielsweise wäre der zweckdienlichste Mechanismus, wenn das Werkzeug 14 und der Server 16 beide direkt mit einem Netzwerk verbunden wären, beispielsweise über das Internet. Zahlreiche andere indirektere Kommunikationsmethoden könnten verwendet werden. Da die Information, die in den Verfahren in den Kästen 50 und 58 gesendet wird, relativ kompakt ist, d. h. innerhalb einer Größe ist, die relativ leicht von einem Menschen mit einer relativ geringen Fehlerwahrscheinlichkeit gehandhabt werden kann, könnte auch eine Zahl von indirekten Mechanismen verwendet werden, falls eine direkte Verbindung nicht möglich ist. Einige Beispiele können das Anzeigen der Information auf dem Werkzeug 14 umfassen, wobei dann einem Techniker ermöglicht wird, die angezeigten Daten über ein webbasiertes Interface in den Server 16 einzugeben, wobei der Server 16 dann den resultierenden Ri-Wert auf einer Webseite anzeigen würde, und wobei der Techniker die Antwort in das Werkzeug 14 eingibt. Abänderungen dieses Verfahrens könnten die Verwendung eines Spracherkennungssystems, die Verwendung von SMS-Nachrichten, die Verwendung einer Anwendung auf einem Smartphone-ähnlichen Gerät, die Verwendung von E-Mail etc. umfassen.
  • Ungeachtet des Mechanismus wird angenommen, dass die Interaktion mit dem Server 16 eine Art eines effektiven Zugangskontrollmechanismusses umfasst, d. h. dass eingeschränkt wird, wer die Freischaltmöglichkeit erhalten kann. Da es wahrscheinlich ist, dass eine Firma, die einen solchen Service bereitstellen würde, eine Gebühr für die Zugangsgewährung in Rechnung stellen würde, ist es auch wahrscheinlich, dass solche Mechanismen bereits gegenwärtig sind. Darüber hinaus ist es wichtig, dass der Server 16 sichere Logbücher über die Transaktionen führt, d. h. darüber, wer diese ausführt, wann diese ausgeführt werden, über die betroffenen ECUs etc. Diese Logbücher können dazu verwendet werden, Versuche, das System zu kompromittieren, zu detektieren und an der Identifizierung zu arbeiten, wer oder was betroffen ist, falls ein Verstoß auftritt.
  • Einer der schwierigeren Aspekte des oben beschriebenen Sicherheitsservers 16 ist das Unterhalten der Datenbank mit den IDECU, KECU-Paaren und die schnelle Zugangsgewährung, um den KECU-Wert, der von dem IDECU-Wert indiziert ist, zu suchen. In der vorhergehenden Beschreibung gab es keine Beziehung zwischen den IDECU- und KECU-Werten, d. h. jeder davon konnte als Zufallszahl angesehen werden. Aus einer operativen Sichtweise kann es allerdings möglich sein, den Bedarf für eine sichere Datenbank zu vermeiden, falls eine sichere Beziehung zwischen den IDECU- und KECU-Werten besteht, was erlauben würde, dass der Schlüssel aus der ID bestimmt wird. Dies kann auf viele Arten erfolgen. Eine nicht einschränkende beispielhafte Implementierung wäre es, die zwei Werte durch eine kryptographische Verschlüsselungsoperation miteinander in Beziehung zu setzen, die jemandem, der im Besitz des Schlüssels ist, ermöglicht, den KECU-Wert bei vorgegebenem IDECU-Wert zu bestimmen. Dies könnte mittels einer sicheren kryptographischen MAC-Funktion bewerkstelligt werden, welche mit einem separaten geheimen Schlüssel KMANUF verschlüsselt wäre, der dazu verwendet werden würde, den KECU-Wert bei einem vorgegebenen IDECU-Wert auf ungefähr die folgende Art zu erzeugen: MSGECU = (IDECU|PAD) (7) KECU = MAC(MSGECU, KMANUF) (8)
  • Hier steht PAD für vordefinierte PADDING-Daten, falls es erforderlich ist, Eingangserfordernisse für die MAC-Funktion zu erfüllen. Darüber hinaus wird angemerkt, dass der geheime Schlüssel KMANUF zu jedem KECU-Wert in dem System verschieden ist, und dass niemals ein Erfordernis besteht, den geheimen Schlüssel KMANUF in irgendeine ECU 12 oder in das Wartungswerkzeug 14 einzugeben, d. h., dass die ECU 12, wenn vorgesehen, einfach nur mit einem IDECU, KECU-Paar ausgestattet wird, welches unter Verwendung des geheimen Schlüssels KMANUF erzeugt wurde.
  • Der oben beschriebene Mechanismus wird für jeden IDECU-Wert einen unterschiedlichen KECU-Wert berechnen und die Sicherheit des kryptographischen MAC wird es für einen Hacker, der nicht den geheimen Schlüssel KMANUF besitzt, schwierig machen, den KECU-Wert für eine einen vorgegebenen IDECU-Wert zu bestimmen. Wenn zwischen den KECU- und IDECU-Werten eine solche Beziehung besteht, kann die Datenbank für die IDECU, KECU-Paare durch eine Online-Berechnung des KECU-Werts unter Verwendung des IDECU-Werts, der von dem Sicherheitsserver 16 geliefert wird, ersetzt werden.
  • Es ist wichtig, sich zu vergegenwärtigen, dass die Sicherheit eines solchen Systems in kritischer Abhängigkeit von der Sicherheit des sicheren Schlüssels KMANUF steht. Idealerweise würde der sichere Schlüssel KMANUF niemals den Sicherheitsserver 16 verlassen und der Sicherheitsserver 16 würde dazu verwendet werden, die Sequenz von IDECU, KECU-Paaren, die für die Versorgung der ECUs erforderlich wären, zu generieren. Falls gewünscht, könnte es möglich sein, einen Versorgungsserver (nicht gezeigt) einzurichten, der die Paare, die für die Anfangsversorgung einer ECU erforderlich sind, erzeugt, welcher von dem Sicherheitsserver 16 getrennt ist, der den KECU-Wert bei vorgegebenen IDECU-Wert wiedererstellt. Das würde es beispielsweise gestatten, den Versorgungsserver in einer Produktionsstätte und den Sicherheitsserver 16 in einem sicheren Datenzentrum zu platzieren.
  • Es wird ferner angemerkt, dass es nicht notwendigerweise erforderlich ist, dass alle ECUs den gleichen Wert für den geheimen Schlüssels KMANUF für das Einrichten der Beziehung zwischen den IDECU, KECU-Paaren verwenden. Die Verwendung unterschiedlicher Werte für KMANUF für verschiedene ECU-Typen würde beispielsweise die Schaffung von Versorgungsservern ermöglichen, die nur die Versorgung eines bestimmten Typs einer ECU 12 vornehmen könnten. Ein Kompromittieren des Versorgungservers würde nur die ECUs dieses Typs kompromittieren, d. h. es würde nicht die Freischaltung anderer ECUs ermöglichen, die unterschiedliche Werte für den geheimen Schlüssel KMANUF verwendet haben, und eine solche Implementierung würde darüber hinaus einiges an Zusatzinformation, beispielsweise die Information über den ECU-Typ, erfordern, um dem Sicherheitsserver 16 zu ermöglichen, den korrekten Wert für den geheimen Schlüssels KMANUF zu bestimmen, der verwendet wurde, um den KECU-Wert für den ECU-Typ wiederzuerstellen.
  • Wie von Fachleuten gut verstanden wird, können verschiedene oder einige Schritte und Verfahren, die hier erörtert wurden, um die Erfindung zu beschreiben, von einem Computer, einem Prozessor oder einer anderen elektronischen Recheneinheit ausgeführt werden, die mit Hilfe elektrischer Phänomene Daten manipuliert und/oder transformiert. Diese Computer und elektrischen Geräte können verschiedene flüchtige und/oder nicht flüchtige Speicher inklusive einem festen computerlesbaren Medium mit einem darauf befindlichen ausführbaren Programm beinhalten, das verschiedene Codes oder ausführbare Instruktionen beinhaltet, die von dem Computer oder Prozessor ausgeführt werden, wobei der Speicher und/oder das computerlesbare Medium alle Formen und Arten von einem Speicher und anderen computerlesbaren Medien beinhalten kann.
  • Die vorhergehende Diskussion zeigt und beschreibt rein exemplarische Ausführungsbeispiele der vorliegenden Erfindung. Ein Fachmann kann leicht aus der Diskussion an den beigefügten Figuren und Patentansprüchen erkennen, dass zahlreiche Änderungen, Modifikationen und Variationen gemacht werden können, ohne dabei den Geist und den Bereich der Erfindung zu verlassen, wie er mit den folgenden Patentansprüchen definiert ist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 7034654 [0024]
  • Zitierte Nicht-Patentliteratur
    • ISO 14229 [0005]
    • ISO 14229 [0013]
    • ISO 14229 [0018]
    • ISO 14229 [0023]
    • ISO 14229 [0023]
    • ISO 14229 [0024]
    • ISO 14229 [0024]
    • ISO 14229 [0024]
    • ISO 14229-Verfahren [0028]
    • ISO 14229-Schlüsselwert [0028]
    • ISO 14229-SecurityAccess-Verfahrens [0029]
    • ISO 14229 [0029]

Claims (10)

  1. Ein Verfahren zum Zugangsgewähren zu einem elektronischen Steuergerät (ECU) auf einem Fahrzeug, wobei das Verfahren umfasst: – Speichern eines ECU-Kennwerts, der die ECU in einem Speicher auf der ECU identifiziert; – Speichern des ECU-Kennwerts und eines ECU-Sicherheitsschlüsselwerts, der zu dem ECU-Kennwert gehört, in einer sicheren Remote-Datenbank; – Anfordern des ECU-Kennwerts von der ECU mit einem Wartungswerkzeug; – Erzeugen einer Aufforderung in der ECU als Antwort auf das Anfordern; – Senden des ECU-Kennwerts und der Aufforderung von der ECU an das Wartungswerkzeug; – Senden des ECU-Kennwerts und der Aufforderung von dem Wartungswerkzeug an die sichere Datenbank; – Identifizieren des ECU-Sicherheitsschlüsselwerts, der zu dem ECU-Kennwert korrespondiert; – Erzeugen einer Nachricht in der Datenbank basierend auf dem ECU-Sicherheitsschlüsselwert, der eine Antwort auf die Aufforderung enthält; – Senden der Nachricht von der Datenbank an das Wartungswerkzeug; – Senden der Nachricht von dem Wartungswerkzeug an die ECU; und – Zugangsgewähren zu der ECU, falls die Antwort auf die Aufforderung von der ECU akzeptiert wird.
  2. Verfahren nach Anspruch 1, wobei das Erzeugen einer Nachricht in der Datenbank das Verwenden eines sicheren Nachrichtenauthentifizierungscodes, der mit dem ECU-Sicherheitsschlüsselwert verschlüsselt ist, um einen Authentifizierer bereitzustellen.
  3. Verfahren nach Anspruch 1, wobei zwischen dem ECU-Kennwert und dem ECU-Sicherheitsschlüsselwert außer der Beziehung, dass der ECU-Kennwert dazu verwendet wird, um den ECU-Sicherheitsschlüsselwert zu identifizieren, keine Beziehung besteht.
  4. Verfahren nach Anspruch 1, wobei der ECU-Kennwert und der ECU-Sicherheitsschlüsselwert über einen geheimen Schlüssel miteinander in Beziehung stehen, wobei der ECU-Sicherheitsschlüsselwert unter Verwendung des ECU-Kennwerts und des Sicherheitsschlüssels berechnet wird.
  5. Verfahren nach Anspruch 4, wobei der ECU-Sicherheitsschlüssel unter Verwendung eines sicheren kryptographischen Nachrichtenauthentifizierungscodes berechnet wird.
  6. Verfahren nach Anspruch 4, wobei der ECU-Sicherheitsschlüsselwert auf einem Versorgungsserver berechnet wird.
  7. Verfahren nach Anspruch 1, wobei das Senden des ECU-Kennwertes und der Aufforderung an die sichere Datenbank und das Senden des ECU-Kennwertes und der Aufforderung von dem Wartungswerkzeug an die sichere Datenbank das Verwenden einer Kommunikationsverbindung ausgewählt aus der Gruppe, die aus Short Messages, Internet, Webseitenzugang, SMS-Textnachrichten, Smartphone, E-Mail, Spracherkennungssystem und Telefonverbindungen besteht, beinhaltet.
  8. Verfahren nach Anspruch 1, wobei das Erzeugen einer Aufforderung in der ECU das Berechnen eines Zufalls- oder Pseudozufalls-Bit-Werts beinhaltet.
  9. Verfahren nach Anspruch 1, wobei das Erzeugen einer Aufforderung in der ECU das Erzeugen einer unterschiedlichen Aufforderung bei jeder erfolgenden Anfrage nach dem ECU-Kennwert beinhaltet.
  10. Ein System zum Zugangsgewähren zu einem Controller, wobei das System umfasst: – Mittel zum Speichern eines Controller-Kennwerts, der den Controller in einem Speicher auf dem Controller identifiziert; – Mittel zum Speichern des Controller-Kennwerts und eines Controller-Sicherheitsschlüsselwerts, der zu dem Controller-Kennwert gehört, in einer sicheren Remote-Datenbank; – Mittel zum Anfordern des Controller-Kennwerts und einer Aufforderung von dem Controller mit einem Wartungswerkzeug; – Mittel zum Erzeugen einer Aufforderung in dem Controller als Antwort auf die Anfrage; – Mittel zum Senden des Controller-Kennwerts und der Aufforderung von dem Controller an das Wartungswerkzeug; – Mittel zum Senden des Controller-Kennwerts und der Aufforderung von dem Wartungswerkzeug an die sichere Datenbank; – Mittel zum Identifizieren des Controller-Sicherheitsschlüsselwertes, der zu dem Controller-Kennwert korrespondiert; – Mittel zum Erzeugen einer Nachricht in der Datenbank basierend auf dem Controller-Sicherheitsschlüsselwert, der eine Antwort auf die Aufforderung enthält; – Mittel zum Senden der Nachricht von der Datenbank an das Wartungswerkzeug; – Mittel zum Senden der Nachricht von dem Wartungswerkzeug an den Controller; und – Mittel zum Zugangsgewähren zu dem Controller, falls die Antwort auf die Aufforderung von dem Controller akzeptiert wird.
DE102012110499.9A 2011-10-28 2012-11-02 Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte Active DE102012110499B9 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201161552984P 2011-10-28 2011-10-28
US13/627,897 2012-09-26
US13/627,897 US9280653B2 (en) 2011-10-28 2012-09-26 Security access method for automotive electronic control units

Publications (3)

Publication Number Publication Date
DE102012110499A1 true DE102012110499A1 (de) 2014-03-27
DE102012110499B4 DE102012110499B4 (de) 2017-09-21
DE102012110499B9 DE102012110499B9 (de) 2017-12-07

Family

ID=48173890

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012110499.9A Active DE102012110499B9 (de) 2011-10-28 2012-11-02 Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte

Country Status (3)

Country Link
US (1) US9280653B2 (de)
CN (1) CN103685214B (de)
DE (1) DE102012110499B9 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022106746A1 (de) 2022-03-23 2023-09-28 Audi Aktiengesellschaft Verfahren zum Betrieb eines kryptographisch gesicherten Systems für ein Kraftfahrzeug

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013101508A1 (de) * 2012-02-20 2013-08-22 Denso Corporation Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug
CN103631192B (zh) * 2013-11-29 2017-12-05 上汽通用五菱汽车股份有限公司 临时授权型的汽车ecu安全认证方法及系统
DE102013225755A1 (de) 2013-12-12 2015-06-18 Robert Bosch Gmbh Verfahren zur zeitbeschränkten Freigabe eines Zugriffs eines externen Geräts auf Daten in einem Fahrzeug sowie Vorrichtung hierzu
DE102014200116A1 (de) * 2014-01-08 2015-07-09 Robert Bosch Gmbh Verfahren und Vorrichtung zur Freigabe von Funktionen eines Steuergerätes
WO2015129352A1 (ja) 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
US9705678B1 (en) * 2014-04-17 2017-07-11 Symantec Corporation Fast CAN message authentication for vehicular systems
US9477843B2 (en) * 2014-06-11 2016-10-25 GM Global Technology Operations LLC Inhibiting access to sensitive vehicle diagnostic data
CN104134047B (zh) * 2014-07-01 2018-01-02 潍柴动力股份有限公司 实现ecu的安全访问方法、ecu及上位机
WO2016006150A1 (ja) * 2014-07-10 2016-01-14 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット、受信方法及び送信方法
US10211990B2 (en) * 2014-07-25 2019-02-19 GM Global Technology Operations LLC Authenticating messages sent over a vehicle bus that include message authentication codes
US20160099806A1 (en) * 2014-10-07 2016-04-07 GM Global Technology Operations LLC Distributing secret keys for managing access to ecus
US9854442B2 (en) * 2014-11-17 2017-12-26 GM Global Technology Operations LLC Electronic control unit network security
DE102014224208A1 (de) * 2014-11-27 2016-06-02 Robert Bosch Gmbh Verfahren und Vorrichtung zur Kontrolle zumindest eines Datenabrufs von einem Steuergerät einesFahrzeugs sowie Verfahren und Vorrichtung zum Abrufen von Daten von einem Steuergerät eines Fahrzeugs
CN105763403A (zh) * 2014-12-15 2016-07-13 中华汽车工业股份有限公司 车载控制局域网络系统
KR101647113B1 (ko) 2015-02-24 2016-08-09 현대자동차주식회사 텔레매틱스 단말, 데이터 센터, 각각의 제어 방법 및 데이터 서비스 시스템
US10166993B2 (en) 2015-08-05 2019-01-01 Ford Global Technologies, Llc Customer driving mode for vehicles
JP6178390B2 (ja) * 2015-08-05 2017-08-09 Kddi株式会社 管理装置、管理システム、車両、管理方法、及びコンピュータプログラム
WO2017022821A1 (ja) * 2015-08-05 2017-02-09 Kddi株式会社 管理装置、管理システム、鍵生成装置、鍵生成システム、鍵管理システム、車両、管理方法、鍵生成方法、及びコンピュータプログラム
CN105966352B (zh) * 2015-10-21 2018-06-12 乐卡汽车智能科技(北京)有限公司 一种远程控制方法及装置
US10200371B2 (en) 2015-11-09 2019-02-05 Silvercar, Inc. Vehicle access systems and methods
KR20170082770A (ko) * 2016-01-07 2017-07-17 현대자동차주식회사 전자제어장치(electronic control unit, ECU) 리프로그래밍의 경우 보조배터리 심방전 방지 방법 및 장치
DE102016104290A1 (de) * 2016-03-09 2017-09-14 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Verwaltungssteuergerät für ein Fahrzeug
WO2018007015A1 (de) * 2016-07-04 2018-01-11 Sew-Eurodrive Gmbh & Co. Kg Sicherheitseinrichtung und verfahren zum betreiben eines systems
CN106161441B (zh) * 2016-07-05 2019-05-03 上汽通用汽车有限公司 一种用于车内局域网的安全诊断通信方法及系统
CN106230785A (zh) * 2016-07-20 2016-12-14 南京铱迅信息技术股份有限公司 一种无私钥的https拒绝服务攻击的防御方法
AU2017330232B2 (en) 2016-09-23 2020-09-03 Apple Inc. Secure communication of network traffic
KR101887974B1 (ko) * 2016-12-01 2018-08-13 현대오트론 주식회사 엔진제어기의 안전부팅을 위한 시스템 및 방법
CN106814675A (zh) * 2016-12-31 2017-06-09 华晨汽车集团控股有限公司 用于验证汽车诊断设备合法性的安全访问方法
WO2018127816A1 (en) * 2017-01-03 2018-07-12 Karamba Security Mode-based controller security and malware prevention
US10491392B2 (en) * 2017-03-01 2019-11-26 Ford Global Technologies, Llc End-to-end vehicle secure ECU unlock in a semi-offline environment
US10796500B2 (en) 2017-08-01 2020-10-06 Ford Global Technologies, Llc Electronic communication modules provisioning for smart connectivity
CN109391466A (zh) * 2017-08-10 2019-02-26 比亚迪股份有限公司 汽车电子控制单元的安全访问方法、装置及系统
US10701102B2 (en) * 2017-10-03 2020-06-30 George Mason University Hardware module-based authentication in intra-vehicle networks
JP7037748B2 (ja) * 2018-01-26 2022-03-17 トヨタ自動車株式会社 電子制御ユニット及び接続認証方法
US11178158B2 (en) * 2018-01-29 2021-11-16 Nagravision S.A. Secure communication between in-vehicle electronic control units
CN111417908A (zh) * 2018-06-01 2020-07-14 深圳市元征软件开发有限公司 一种ecu识别器及其识别方法、系统、设备、介质
US10802902B2 (en) * 2018-10-23 2020-10-13 GM Global Technology Operations LLC Notification of controller fault using message authentication code
US11252567B2 (en) * 2018-12-21 2022-02-15 Intel Corporation Methods and apparatus for detecting attacks in V2X networks
US11290437B2 (en) 2018-12-27 2022-03-29 Beijing Voyager Technology Co., Ltd. Trusted platform protection in an autonomous vehicle
US11397823B1 (en) 2019-06-26 2022-07-26 Amazon Technologies, Inc. Remote hardware access service
US11710355B1 (en) 2019-09-24 2023-07-25 Amazon Technologies, Inc. Vehicle fleet information service
CN114884737A (zh) 2019-12-23 2022-08-09 华为技术有限公司 通信方法及相关产品
JP7322732B2 (ja) * 2020-02-03 2023-08-08 トヨタ自動車株式会社 認証システム
US11314495B2 (en) 2020-03-30 2022-04-26 Amazon Technologies, Inc. In-vehicle synthetic sensor orchestration and remote synthetic sensor service
CN113497704A (zh) * 2020-04-01 2021-10-12 罗伯特·博世有限公司 车载密钥生成方法、车辆及计算机可读存储介质
CN111651748B (zh) * 2020-05-29 2023-03-14 重庆长安汽车股份有限公司 一种车内ecu的安全访问处理系统及其方法
CN111897545B (zh) * 2020-06-28 2022-02-01 东风汽车集团有限公司 应用于ecu的安全访问方法和系统
US11804981B2 (en) * 2021-01-14 2023-10-31 Gm Global Technology Operations, Llc Method and apparatus for providing an individually secure system to multiple distrusting parties
US11887411B2 (en) 2021-01-27 2024-01-30 Amazon Technologies, Inc. Vehicle data extraction service
US11743334B2 (en) 2021-03-31 2023-08-29 Amazon Technologies, Inc. In-vehicle distributed computing environment
CN113709103A (zh) * 2021-07-19 2021-11-26 英博超算(南京)科技有限公司 一种汽车ecu网关指纹vfp解密系统及方法
CN113708922B (zh) * 2021-07-19 2023-09-12 英博超算(南京)科技有限公司 一种汽车指纹vfp的安全更新方法
CN113709102A (zh) * 2021-07-19 2021-11-26 英博超算(南京)科技有限公司 一种基于pki非对称机制的网关ecu安全服务系统
US20230064153A1 (en) * 2021-08-26 2023-03-02 Robert Bosch Gmbh System and method to detect malicious use of diagnostic state changes in a vehicle
US11902374B2 (en) 2021-11-29 2024-02-13 Amazon Technologies, Inc. Dynamic vehicle data extraction service
CN114513475B (zh) * 2022-02-15 2024-03-19 一汽解放汽车有限公司 报文交互方法、装置、控制器、存储介质和程序产品

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7034654B2 (en) 2004-01-13 2006-04-25 General Motors Corporation Motor vehicle engine immobilizer security system and method
US20080278282A1 (en) 2007-05-11 2008-11-13 Agco Gmbh Motor Vehicle Control Device Data Transfer System And Process
US20090177352A1 (en) 2006-02-28 2009-07-09 Daimler Ag System and Method for Motor Vehicle Diagnosis and Vehicle Reception

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6292718B2 (en) * 1999-01-28 2001-09-18 International Business Machines Corp. Electronic control system
US7239226B2 (en) * 2001-07-10 2007-07-03 American Express Travel Related Services Company, Inc. System and method for payment using radio frequency identification in contact and contactless transactions
US7010683B2 (en) * 2000-01-14 2006-03-07 Howlett-Packard Development Company, L.P. Public key validation service
US7322043B2 (en) * 2002-06-20 2008-01-22 Hewlett-Packard Development Company, L.P. Allowing an electronic device accessing a service to be authenticated
US20060130033A1 (en) * 2003-03-03 2006-06-15 Snap-On Technologies, Inc. Method for providing a software module to an automotive vehicle control unit, and computer program for executing the method
DE10323390A1 (de) * 2003-05-23 2004-12-09 Daimlerchrysler Ag Telediagnose-Viewer
US7475254B2 (en) * 2003-06-19 2009-01-06 International Business Machines Corporation Method for authenticating software using protected master key
BRPI0513195A (pt) * 2004-07-09 2008-04-29 Matsushita Electric Ind Co Ltd sistemas para administrar autenticação e autorização de usuário, e para suportar o usuário, métodos para administrar autenticação e autorização de usuário, para acessar serviços de múltiplas redes, para o controlador de autenticação processar uma mensagem de pedido de autenticação, selecionar a combinação de controladores de autenticação do resultado de busca, autenticar um usuário, e descobrir o caminho a um domìnio tendo relação empresarial com o domìnio doméstico, para o controlador de autorização processar a mensagem de pedido de autorização de serviço, e executar autorização de serviço, para um controlador de autenticação e autorização executar autenticação e autorização de serviço, para proteger o sìmbolo de usuário, e para a autoridade de controle de acesso no domìnio doméstico do usuário prover ao controlador de autenticação uma informação de perfil de assinatura limitada do usuário, para alcançar autenticação e autorização rápidas, e para alcançar registro único para acessar múltiplas redes, e, formatos para informação de capacidade de assinatura, para um sìmbolo de usuário, para um domìnio tendo relação empresarial com o domìnio doméstico de um usuário para pedir afirmação de autenticação e de autorização, e para um terminal de usuário indicar suas credenciais para acessar múltiplas redes em múltiplos domìnios administrativos
US8528108B2 (en) * 2006-10-06 2013-09-03 Agere Systems Llc Protecting secret information in a programmed electronic device
US8327153B2 (en) * 2009-12-04 2012-12-04 Electronics And Telecommunications Research Institute Method and system for verifying software platform of vehicle
JP5120437B2 (ja) * 2010-10-19 2013-01-16 トヨタ自動車株式会社 車載機、車両用認証システム及びデータ通信方法
US8484707B1 (en) * 2011-06-09 2013-07-09 Spring Communications Company L.P. Secure changing auto-generated keys for wireless access

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7034654B2 (en) 2004-01-13 2006-04-25 General Motors Corporation Motor vehicle engine immobilizer security system and method
US20090177352A1 (en) 2006-02-28 2009-07-09 Daimler Ag System and Method for Motor Vehicle Diagnosis and Vehicle Reception
US20080278282A1 (en) 2007-05-11 2008-11-13 Agco Gmbh Motor Vehicle Control Device Data Transfer System And Process

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
ISO 14229
ISO 14229-Schlüsselwert
ISO 14229-SecurityAccess-Verfahrens
ISO 14229-Verfahren

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022106746A1 (de) 2022-03-23 2023-09-28 Audi Aktiengesellschaft Verfahren zum Betrieb eines kryptographisch gesicherten Systems für ein Kraftfahrzeug

Also Published As

Publication number Publication date
US9280653B2 (en) 2016-03-08
DE102012110499B4 (de) 2017-09-21
DE102012110499B9 (de) 2017-12-07
CN103685214A (zh) 2014-03-26
CN103685214B (zh) 2017-03-01
US20130111582A1 (en) 2013-05-02

Similar Documents

Publication Publication Date Title
DE102012110499B9 (de) Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
DE102007022100B4 (de) Kraftfahrzeugsteuergerätedatenübertragungssystem und -verfahren
DE102014200116A1 (de) Verfahren und Vorrichtung zur Freigabe von Funktionen eines Steuergerätes
DE102013108020A1 (de) Authentifizierungsschema zum Aktivieren eines Spezial-Privileg-Modus in einem gesicherten elektronischen Steuergerät
DE102015209108A1 (de) Verfahren und Entscheidungsgateway zum Autorisieren einer Funktion eines eingebetteten Steuergerätes
EP3649625B1 (de) Verfahren zur delegation von zugriffsrechten
DE102014220616A1 (de) Verfahren zum Laden von ausführbaren Programminstruktionen in eine Chipkarte im Wirkbetrieb
DE102013013179A1 (de) Verfahren zum Betreiben eines Sicherheitselements
EP2235598A1 (de) Feldgerät und verfahren zu dessen betrieb
WO2015180867A1 (de) Erzeugen eines kryptographischen schlüssels
EP3314339B1 (de) Verfahren, server, firewall, steuergerät, und system zur programmierung eines steuergeräts eines fahrzeugs
DE102016205122A1 (de) Verfahren zum Austausch von Nachrichten zwischen sicherheitsrelevanten Vorrichtungen
DE102018213615A1 (de) Kryptografiemodul und Betriebsverfahren hierfür
DE102014001038B4 (de) Elektronische Identität für ein Fahrzeug
DE102010004786A1 (de) Verfahren zum rechnergestützten Bereitstellen einer Entwicklungsumgebung zur Implementierung von Sicherheitsanwendungen in einer Fahrzeug-Architektur
DE102011083828B4 (de) Verfahren zum Plagiatschutz und Anordnung zur Durchführung
EP3629516B1 (de) Dezentralisierte identitätsmanagement-lösung
DE102016218988A1 (de) Kommunikationssystem
DE102010046973A1 (de) Verfahren zur Identifikation von RFID-/NFC-Geräten
EP3312753B1 (de) Physisches sicherheitselement zum zurücksetzen eines passworts
DE102021129442A1 (de) Fehlertolerante überprüfung der bereitstellung von kryptografischen schlüsseln
DE102022126459A1 (de) Authentifizierung von softparts für ein elektronisches steuergerät
DE102020200102A1 (de) Ver- und Entschlüsselung eines sicheren Speicherbereichs in einem Fahrzeug
DE102012015004A1 (de) Mehrstufiges Prüfen von Berechtigungen für datentechnische Fernzugriffe auf ein Kraftfahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R082 Change of representative

Representative=s name: SCHWEIGER, MARTIN, DIPL.-ING. UNIV., DE