DE102012220132A1 - Verfahren, Vorrichtung und System zum Aktualisieren eines Steuergerätes - Google Patents

Verfahren, Vorrichtung und System zum Aktualisieren eines Steuergerätes Download PDF

Info

Publication number
DE102012220132A1
DE102012220132A1 DE201210220132 DE102012220132A DE102012220132A1 DE 102012220132 A1 DE102012220132 A1 DE 102012220132A1 DE 201210220132 DE201210220132 DE 201210220132 DE 102012220132 A DE102012220132 A DE 102012220132A DE 102012220132 A1 DE102012220132 A1 DE 102012220132A1
Authority
DE
Germany
Prior art keywords
data
data channel
control unit
communication unit
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE201210220132
Other languages
English (en)
Inventor
Norbert Weller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE201210220132 priority Critical patent/DE102012220132A1/de
Publication of DE102012220132A1 publication Critical patent/DE102012220132A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Beschrieben wird eine Vorrichtung (100) mit einem durch eine Software betreibbaren, insbesondere zum Steuern einer Fahrzeugfunktion in einem Kraftfahrzeug (130) dienenden elektronischen Steuergerät (110) und einer Kommunikationseinheit (120), die für eine Datenübertragung mit dem Steuergerät (110) in Verbindung (111) steht. Dabei ist das Steuergerät (110) ferner unmittelbar mit einem ersten Datenkanal (140) verbindbar zum Zuführen einer Aktualisierungssoftware, ist die Kommunikationseinheit (120) für einen über einen zweiten Datenkanal (150) geführten Datenaustausch mit einem Server (160) eingerichtet und dient der über den zweiten Datenkanal (150) geführte Datenaustausch mit dem Server (160) dem Autorisieren des Steuergeräts (110) für das Zuführen der Aktualisierungssoftware über den ersten Datenkanal (140). Beschrieben werden ferner ein System (200) mit einer derartigen Vorrichtung (100) sowie ein Verfahren zum Aktualisieren eines derartigen Steuergeräts (110). Dadurch werden ein Verfahren, eine Vorrichtung (100) und ein System (200) geschaffen, die eine wirksame Steigerung der Sicherheit gegen unbefugten Zugriff und Manipulationen mit einfachen und kostengünstigen Maßnahmen erzielen.

Description

  • Stand der Technik
  • Aus der DE 10 2008 036 711 A1 ist ein Verfahren zum Ändern einer softwarebasierten Fahrzeugfunktion eines Kraftfahrzeugs unter Anwendung einer Ersetzungs-, Erweiterungs- und/oder Freischaltesoftware bekannt, wobei eine bereits vorhandene fahrzeugspezifische Software durch die Ersetzungs-, Erweiterungs- und/oder Freischaltesoftware zumindest teilweise ersetzt, erweitert bzw. freigeschaltet wird. Um ein Verfahren zum Ändern einer softwarebasierten Fahrzeugfunktion eines Kraftfahrzeugs bereitzustellen, welches einfach und kostengünstig von einem Fahrzeughalter oder -fahrer selbst durchgeführt werden kann, wird gemäß dieser Druckschrift vorgeschlagen, dass die Ersetzungs-, Erweiterungs- und/oder Freischaltesoftware mittels einer in das Kraftfahrzeug integrierten Einrichtung über eine Online-Verbindung von einem anbieterseitigen Server heruntergeladen wird. Um die Sicherheit des Verfahrens zu erhöhen, wird vorgeschlagen, dass die Ersetzungs- und/oder die Erweiterungssoftware kryptologisch verschlüsselt sind. Dieses soll einen Missbrauch des Verfahrens beispielsweise durch eine illegale Nutzung von über die Online-Verbindung gesendeten Daten durch Dritte, welche die Ersetzungs- und/oder Erweiterungssoftware unrechtmäßig empfangen haben, verhindern. Dabei kann vorgesehen sein, dass ein entsprechender Schlüssel zum Entschlüsseln der Software zusammen mit der gewünschten Änderungssoftware vom Server über die Kommunikationseinheit an die in das Kraftfahrzeug integrierte Einrichtung gesendet wird, wodurch die Einrichtung in die Lage versetzt wird, die verschlüsselte Software zu entschlüsseln.
  • Bei dem Verfahren gemäß der DE 10 2008 036 711 A1 verbleibt jedoch ein Risiko der Vortäuschung des Servers durch einen Dienst zur Ablieferung manipulierter Software, sofern durch diesen Dienst die Kommunikation über die Online-Verbindung entschlüsselt wird.
  • Aus der DE 10 2008 056 745 A1 ist eine Vorrichtung zum Steuern einer Fahrzeugfunktion bekannt, umfassend ein elektronisches Steuergerät, welches mit einer Software betreibbar ist. Die Vorrichtung umfasst ferner eine Kommunikationseinheit, die für eine Datenübertragung mit dem Steuergerät in Verbindung steht, so dass die Software des Steuergerätes durch die Datenübertragung aktualisierbar ist, wobei die Kommunikationseinheit ausgelegt ist für einen drahtlosen Datenaustausch mit einem Server zum Autorisieren der Kommunikationseinheit für die Datenübertragung zum Steuergerät. Die Druckschrift beschreibt ferner ein System zum Aktualisieren eines Steuergeräts, das eine derartige Vorrichtung sowie einen Server, der für den Datenaustausch über eine drahtlose Verbindung mit der Kommunikationseinheit verbunden ist, umfasst. Des Weiteren wird ein Verfahren zum Aktualisieren einer Software eines in einem Fahrzeug untergebrachten elektronischen Steuergerätes zum Steuern einer Fahrzeugfunktion beschrieben, bei dem eine Aktualisierungssoftware auf dem Steuergerät installiert wird.
  • Bevorzugt kann gemäß der DE 10 2008 056 745 A1 das Steuergerät für eine sichere Aktualisierung mittels eines Autorisierungscodes in einen Programmiermodus geschaltet werden, der eine Aktualisierung der Software erlaubt, wobei die Kommunikationseinheit eingerichtet ist zum Empfangen des Autorisierungscodes vom Server und zum Übertragen des Autorisierungscodes an das Steuergerät. Auf diese Weise können für ein sicheres Auffinden und eine sichere Zuordnung fahrzeugtypspezifischer Aktualisierungssoftware sowie zur Vermeidung fehlerhafter oder missbräuchlicher Umkonfigurierungen der Software des Steuergerätes die Kommunikationseinheit und der Server zum gegenseitigen Identifizieren und/oder Authentisieren eingerichtet sein.
  • Das in der DE 10 2008 056 745 A1 vorgeschlagene Verfahren zum Aktualisieren der Software eines in einem Fahrzeug untergebrachten elektronischen Steuergerätes zum Steuern einer Fahrzeugfunktion, bei dem eine Aktualisierungssoftware auf dem Steuergerät installiert wird, sieht für den sicheren Ablauf einer vollautomatischen Aktualisierung der Steuerungssoftware folgende Schrittfolge vor: Zunächst wird eine drahtlose Verbindung zwischen einer im selben Fahrzeug untergebrachten und mit dem Steuergerät verbundenen Kommunikationseinheit und einem Server hergestellt. Dann wird ein Autorisierungscode durch die Kommunikationseinheit vom Server über die drahtlose Verbindung empfangen. Der Autorisierungscode wird durch die Kommunikationseinheit an das Steuergerät übertragen, das durch den Autorisierungscode in einen die Aktualisierung der Software erlaubenden Programmiermodus geschaltet wird, wobei der Autorisierungscode hierbei auch nur als Auszug oder gemäß einer vom Server mit übertragenen Berechnungsvorschrift modifiziert von der Kommunikationseinheit an das Steuergerät übertragen werden kann. Zusätzlich kann das Steuergerät eine Prüfung des Autorisierungscodes vornehmen und dazu einen gespeicherten kryptographischen Schlüssel verwenden. Von mehreren möglichen Programmiermodi kann das Steuergerät in einen durch den Autorisierungscode autorisierten Programmiermodus wechseln und bei Empfang der Aktualisierungssoftware überprüfen, ob die Installation der Aktualisierungssoftware im durch den übertragenen Autorisierungscode autorisierten Programmiermodus zugelassen ist. Schließlich wird eine Aktualisierungssoftware, die zuvor durch die Kommunikationseinheit geladen wurde, von der Kommunikationseinheit an das Steuergerät übertragen und dort installiert.
  • Auch bei dem Verfahren gemäß der DE 10 2008 036 711 A1 verbleibt jedoch ein Risiko der Vortäuschung des Servers durch einen Dienst zur Ablieferung manipulierter Software, sofern durch diesen Dienst die Kommunikation über die drahtlose Verbindung entschlüsselt wird.
  • Daher ist für die Übertragung und Installation aktualisierter Steuersoftware auf dem Steuergerät eines Fahrzeugs eine weitere Erhöhung der Sicherheit gegen unbefugten Zugriff und Manipulationen notwendig und wünschenswert.
  • Offenbarung der Erfindung
  • Die Erfindung hat die Aufgabe, ein Verfahren, eine Vorrichtung und ein System zum Aktualisieren eines Steuergerätes, insbesondere in einem Kraftfahrzeug, zu schaffen, bei dem die Sicherheit gegen unbefugten Zugriff und Manipulationen mit einfachen und kostengünstigen Maßnahmen wirksam gesteigert wird.
  • Erfindungsgemäß wird diese Aufgabe gelöst durch eine Vorrichtung mit einem durch eine Software betreibbaren, insbesondere zum Steuern einer Fahrzeugfunktion in einem Kraftfahrzeug dienenden elektronischen Steuergerät und einer Kommunikationseinheit, die für eine Datenübertragung mit dem Steuergerät in Verbindung steht, wobei das Steuergerät ferner unmittelbar mit einem ersten Datenkanal verbindbar ist zum Zuführen einer Aktualisierungssoftware, die Kommunikationseinheit für einen über einen zweiten Datenkanal geführten Datenaustausch mit einem Server eingerichtet ist und der über den zweiten Datenkanal geführte Datenaustausch mit dem Server dem Autorisieren des Steuergeräts für das Zuführen der Aktualisierungssoftware über den ersten Datenkanal dient.
  • Kern der Erfindung ist, dass ein Datenaustausch mit dem Steuergerät über zwei voneinander völlig unabhängig betriebene Datenkanäle vorgenommen wird, wobei eine dem Steuergerät zuzuführende Aktualisierungssoftware zum Aktualisieren einer auf dem Steuergerät vorhandenen Software einerseits und ein Authentisierungvorgang bzw. ein Autorisieren des Steuergeräts für das Zuführen der Aktualisierungssoftware grundsätzlich über unterschiedliche Datenkanäle abgewickelt werden.
  • Im Gegensatz dazu erfolgt bei den bekannten Verfahren bzw. Vorrichtungen sowohl die Zufuhr der Aktualisierungssoftware als auch der Authentisierungvorgang über dieselbe Kommunikationseinheit. Dies birgt in dem Fall, dass dem Steuergerät notwendigerweise bekannte Signierungen der Aktualisierungssoftware oder Schlüssel für deren Übertragung entschlüsselt werden, die Gefahr einer unberechtigten Manipulation der Software durch Dritte, ohne dass dies vom Steuergerät erkannt werden kann. Selbst wenn Informationen zu entschlüsselten Signaturen oder zu Manipulationen vorliegen, können bereits im Feld befindliche Steuergeräte nicht mehr vor derartigen Manipulationen geschützt werden.
  • Durch die erfindungsgemäßen Maßnahmen werden Manipulationen der Aktualisierungssoftware deutlich erschwert. Die Sicherheit der Steuergeräte gegen unberechtigte Manipulationen der Software kann während der Lebenszeit eines Steuergeräts ständig ergänzt werden.
  • Nach einer vorteilhaften Weiterbildung der erfindungsgemäßen Vorrichtung ist diese gekennzeichnet durch eine mit der Kommunikationseinheit zum Zuführen eines Positionssignals verbundene Ortungseinrichtung. Gemäß einer anderen vorteilhaften Fortbildung umfasst die erfindungsgemäße Vorrichtung eine mit der Kommunikationseinheit zum Zuführen eines Uhrzeitsignals verbundene Zeitgebereinrichtung. Wie im nachfolgenden noch näher erläutert werden wird, können durch die Ortungseinrichtung bzw. die Zeitgebereinrichtung optional Daten zum aktuellen Aufenthaltsort des Steuergeräts, d.h. Positionsdaten, vorzugsweise GPS-Daten, und/oder die aktuelle Uhrzeit und/oder das aktuelle Datum als zusätzliche Authentisierungshilfen verwendet werden, wodurch die Sicherheit gegen Manipulationen weiter gesteigert werden kann.
  • Die eingangs genannte Aufgabe wird ferner gelöst durch ein System, umfassend eine Vorrichtung der vorbeschriebenen Art, einen ersten Datenkanal zum unmittelbaren Zuführen einer Aktualisierungssoftware zu dem von der Vorrichtung umfassten elektronischen Steuergerät, einen zweiten Datenkanal sowie einen Server, der für einen dem Autorisieren des Steuergeräts für das Zuführen der Aktualisierungssoftware über den ersten Datenkanal dienenden Datenaustausch mit der von der Vorrichtung umfassten Kommunikationseinheit über den zweiten Datenkanal eingerichtet ist.
  • Bevorzugt ist dabei eine Datenquelle, insbesondere ein Diagnose-Steuergerät, mit dem elektronischen Steuergerät zum Bereitstellen und Zuführen der Aktualisierungssoftware unmittelbar über den ersten Datenkanal verbunden. Ferner ist vorteilhaft der zweite Datenkanal mit einer drahtlosen Verbindung ausgeführt. Während der erste Datenkanal auf diese Weise insbesondere durch eine Verbindung mit dem Diagnose-Steuergerät bei einem Wartungsaufenthalt in einer Werkstatt gebildet sein kann, wird als zweiter Datenkanal vorteilhaft eine drahtlose Verbindung benutzt, die bevorzugt auch bereits für andere Zwecke vorgehalten und verwendet werden kann, z.B. eine Mobiltelefonverbindung, eine Bluetooth-Verbindung, die über eine Mobiltelefonanbindung angeschlossen sein kann, oder ähnliches. Dadurch ist allenfalls ein minimaler zusätzlicher Schaltungsaufwand zur Einrichtung der erfindungsgemäßen Vorrichtung bzw. des erfindungsgemäßen Systems erforderlich.
  • Das erfindungsgemäße System umfasst nach einer weiteren vorteilhaften Fortbildung eine Speichereinrichtung zum Protokollieren eines über den zweiten Datenkanal geführten Datenaustausches auf. Damit können Aktualisierungen der Software des Steuergeräts sowie damit verbundene Authentisierungs- bzw. Autorisierungsvorgänge zentral erfasst und verfolgt werden. Dies erschwert eine Manipulation deutlich und macht sie verfolgbar.
  • Die eingangs genannte Aufgabe wird außerdem gelöst durch ein Verfahren zum Aktualisieren eines durch eine Software betreibbaren, insbesondere zum Steuern einer Fahrzeugfunktion in einem Kraftfahrzeug dienenden elektronischen Steuergerätes in einem System der vorbeschriebenen Art. Dieses Verfahren umfasst die folgenden Schritte:
    • • Zuführen einer Aktualisierungsabfrage über den ersten Datenkanal unmittelbar an das Steuergerät,
    • • Verschlüsseln von Identifikationsdaten der Aktualisierungsabfrage,
    • • Übermitteln der verschlüsselten Identifikationsdaten der Aktualisierungsabfrage vom Steuergerät an die mit dem Steuergerät verbundene Kommunikationseinheit,
    • • Erzeugen einer verschlüsselten Server-Anfrage durch die Kommunikationseinheit,
    • • Versenden der verschlüsselten Server-Anfrage durch die Kommunikationseinheit über den zweiten Datenkanal an den Server,
    • • Erzeugen einer verschlüsselten Autorisierungsnachricht durch den Server,
    • • Versenden der verschlüsselten Autorisierungsnachricht durch den Server über den zweiten Datenkanal an die Kommunikationseinheit,
    • • Übermitteln der verschlüsselten Autorisierungsnachricht durch die Kommunikationseinheit an das Steuergerät,
    • • Entschlüsseln der verschlüsselten Autorisierungsnachricht durch das Steuergerät und
    • • Autorisieren des Steuergeräts durch die Autorisierungsnachricht zur Übernahme der Aktualisierungssoftware unmittelbar über den ersten Datenkanal.
  • Bei diesem Verfahrensablauf wird deutlich, dass selbst in dem Fall, dass die Aktualisierungsabfrage über den ersten Datenkanal manipuliert wurde, ein diese Manipulationen vornehmender Eindringling damit noch keinen unmittelbaren Zugriff auf den Autorisierungsvorgang hat, da dieser über den von ihm unbeeinflussten zweiten Datenkanal vorgenommen wird. Dabei ist bedeutsam, dass die fahrzeuginterne Kommunikation zwischen dem Steuergerät einerseits und der Kommunikationseinheit andererseits ebenfalls verschlüsselt erfolgt, um eine Manipulation an der Verbindung zwischen Steuergerät und Kommunikationseinheit zu verhindern.
  • Für eine weitere Erhöhung der Sicherheit vor Manipulationen umfasst nach einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens die verschlüsselte Server-Anfrage wenigstens folgende Daten bzw. ist mit folgenden Daten gebildet:
    • • die Aktualisierungsabfrage,
    • • mit der Aktualisierungsabfrage übertragene bzw. daraus gewonnene Daten zur Identifikation der Aktualisierungssoftware und
    • • Daten zur Identifikation des Steuergeräts.
  • Die Daten zur Identifikation der Aktualisierungssoftware umfassen bevorzugt den Namen der Software, deren Checksumme, eine Versionskennung und/oder eine Signatur nebst zugehörigem öffentlichem Schlüssel. Als Daten zur Identifikation des Steuergeräts kommen bevorzugt z.B. dessen Typteilenummer, Seriennummer, Kodierung oder ähnliches zur Anwendung.
  • Wahlweise umfasst die verschlüsselte Server-Anfrage zusätzlich folgende Daten bzw. ist die verschlüsselte Server-Anfrage zusätzlich mit folgenden Daten gebildet:
    • • Daten zum aktuellen Aufenthaltsort des Steuergeräts, vorzugsweise GPS-Daten, und/oder
    • • die aktuelle Uhrzeit und/oder das aktuelle Datum.
  • Damit umfasst die verschlüsselte Server-Anfrage auch eine präzise Möglichkeit, Angriffe, d.h. Manipulationsversuche, über eine Manipulation der über den zweiten Datenkanal geleiteten Server-Anfrage zu erkennen und abzuwehren, insbesondere wenn dieser zweite Datenkanal als drahtlose Verbindung ausgebildet ist, da nur solche Server-Anfragen akzeptiert werden, die zu einem vorgegebenen Zeitpunkt an einem vorgegebenen Ort, zum Beispiel in einer autorisierten Werkstatt während der üblichen Arbeitszeiten, erzeugt und versandt worden sind.
  • Vorteilhaft wird nach einer weiteren Fortbildung des erfindungsgemäßen Verfahrens der über den zweiten Datenkanal geführte Datenaustausch vom Server in einer Speichereinrichtung protokolliert, wodurch die Aktualisierungen der Software zentral erfasst werden. Damit sind Manipulationen deutlich erschwert und lassen sich auch nachträglich erkennen und verfolgen.
  • Mit dem beschriebenen Verfahren kann darüber hinaus auch die Kommunikationseinheit sicher aktualisiert werden, wofür die Verbindung zum Steuergerät dann nicht benötigt wird.
  • Ein Ausführungsbeispiel eines erfindungsgemäßen Systems ist in der einzigen Figur der Zeichnung dargestellt und wird im nachfolgenden näher beschrieben.
  • Eine Vorrichtung 100 umfasst ein elektronisches Steuergerät 110 und eine Kommunikationseinheit 120. Die Vorrichtung 100 ist in einem Kraftfahrzeug 130 angeordnet. Das elektronische Steuergerät 110 dient zum Steuern einer Fahrzeugfunktion im Kraftfahrzeug 130 und ist durch eine Software betreibbar. Das Steuergerät 110 kann ferner zum Steuern von Funktionen dienen, die nur mittelbar mit dem Fahrzeug und seiner Steuerung zusammenhängen. Derartige Funktionen können bevorzugt Fahrzeugausstattungen betreffen, z.B. ein Bluetooth-Steuergerät. Das Steuergerät 110 und die Kommunikationseinheit 120 stehen für eine Datenübertragung miteinander in Verbindung 111.
  • Über einen ersten Datenkanal 140 ist das Steuergerät 110 in der im Kraftfahrzeug 130 untergebrachten Vorrichtung 100 mit einer Datenquelle 210 z.B. zu Wartungszwecken verbindbar. Dieser Fall ist in der Figur dargestellt. Die Datenquelle 210 ist in diesem Ausführungsbeispiel durch ein Diagnose-Steuergerät gebildet, welches angenommenermaßen in einer Werkstatt 211 verfügbar ist, in der das Kraftfahrzeug 130 sich zur Wartung befindet. In der Datenquelle 210 ist eine Aktualisierungssoftware verfügbar, mit der die in dem elektronischen Steuergerät 110 installierte Software aktualisiert werden soll.
  • Zur Autorisierung dieser Aktualisierung der Software wird ein lediglich temporär verfügbarer zweiter Datenkanal 150 zwischen der Kommunikationseinheit 120 und einem Server 160 aufgebaut, der für die Authentisierung der Aktualisierungssoftware bzw. die Autorisierung für den Aktualisierungsvorgang eingerichtet ist. Der Server 160 ist mit einer Speichereinrichtung 220 verbunden, auf der der Datenverkehr über den zweiten Datenkanal 150 z.B. insgesamt protokolliert werden kann, vorzugsweise aber nur im Umfang derjenigen Daten protokolliert wird, die für eine Nachvollziehbarkeit des Aktualisierungsvorgangs und eine Dokumentation des Stands der Aktualisierung des Steuergeräts 110 notwendig sind.
  • Die Kommunikationseinheit 120 im Kraftfahrzeug 130 ist ferner mit einer Ortungseinrichtung 170, z.B. einem Gerät zum Empfangen und Verarbeiten von GPS-Signalen, verbunden, über die der Kommunikationseinheit 120 ein Positionssignal zuführbar ist, durch welches der Kommunikationseinheit 120 eine genaue Angaben über die aktuelle Position des Kraftfahrzeugs 130 zur Verfügung steht. Außerdem ist im vorliegenden Beispiel die Kommunikationseinheit 120 weiterhin mit einer Zeitgebereinrichtung 180 zum Zuführen eines das aktuelle Datum und die aktuelle Uhrzeit umfassenden Uhrzeitsignals an die Kommunikationseinheit 120 verbunden. In der Kommunikationseinheit 120 stehen damit immer aktuelle Orts- und Zeitangaben zur Verfügung.
  • Zur Durchführung des Aktualisierungsvorgangs wird dem Steuergerät 110 von der Datenquelle 210, d.h. dem Diagnose-Steuergerät, eine Aktualisierungsabfrage zugeleitet, die z.B. unter anderem eine Versionskennung der aktuellen Software enthalten kann, die mit der Versionskennung der im Steuergerät 110 vorhandenen Software abgeglichen wird. Resultiert daraus der Bedarf nach einer Aktualisierung, wird aus der Aktualisierungsabfrage, der in der Figur symbolisch mit dem Bezugszeichen 112 bezeichneten Identifikation des Steuergeräts 110, der in der Figur symbolisch mit dem Bezugszeichen 113 bezeichneten Identifikation der Aktualisierungssoftware in der Kommunikationseinheit 120, der die vorstehenden Daten über die Verbindung 111 zugeleitet werden, sowie den aktuellen Positionsangaben des Kraftfahrzeugs 130 aus der Ortungseinrichtung 170 und den aktuellen Zeitangaben aus der Zeitgebereinrichtung 180 eine verschlüsselte Server-Anfrage erzeugt. Dazu umfasst die Identifikation 112 des Steuergeräts 110 bevorzugt z.B. Typteilenummer, Seriennummer, Kodierungen oder vergleichbare Angaben, durch die eine eindeutige Identifizierung des speziellen Exemplars des Steuergeräts 110 sichergestellt ist. Die Identifikation 113 der Aktualisierungssoftware umfasst bevorzugt z.B. den Namen, die Versionskennung, eine Checksumme oder vergleichbare Angaben. In einer in der Figur nicht dargestellten Abwandlung der Vorrichtung 100 bzw. des damit durchgeführten Verfahrens kann die Server-Anfrage auch von einem weiteren Steuergerät erzeugt und der Kommunikationseinheit 120 zur Weiterleitung über den zweiten Datenkanal 150 zugeführt werden.
  • Die verschlüsselte Server-Anfrage wird über den zweiten Datenkanal 150 z.B. in Form einer SMS-Abfrage über ein Mobiltelefonnetz, mithilfe einer Bluetooth-Verbindung über eine Mobiltelefonanbindung, eine Internetverbindung oder durch vergleichbare drahtlose Übertragungseinrichtungen dem Server 160 zugeleitet, dort entschlüsselt, authentisiert und in der Speichereinrichtung 220 mit allen zugehörigen Daten, zumindest aber der Seriennummer des Steuergeräts 110, protokolliert. Im Server 160 wird anschließend eine verschlüsselte Autorisierungsnachricht erzeugt und über den zweiten Datenkanal an die Kommunikationseinheit 120 zurückübertragen. Auch dieser Vorgang wird in der Speichereinrichtung 220 protokolliert.
  • In der Kommunikationseinrichtung 120 wird die Antwort des Servers 160, d.h. die verschlüsselte Autorisierungsnachricht, entschlüsselt und damit die Aktualisierung der Software autorisiert. Damit ist die Übertragung der Aktualisierungssoftware von der Datenquelle 210 an das Steuergerät 110 freigegeben. Die Datenquelle 210, d.h. das Diagnose-Steuergerät, führt dann die Aktualisierung durch. Die Verbindung über den zweiten Datenkanal 150 ist zu diesem Zeitpunkt wieder beendet.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102008036711 A1 [0001, 0002, 0006]
    • DE 102008056745 A1 [0003, 0004, 0005]

Claims (10)

  1. Vorrichtung (100) mit einem durch eine Software betreibbaren, insbesondere zum Steuern einer Fahrzeugfunktion in einem Kraftfahrzeug (130) dienenden elektronischen Steuergerät (110) und einer Kommunikationseinheit (120), die für eine Datenübertragung mit dem Steuergerät (110) in Verbindung (111) steht, wobei das Steuergerät (110) ferner unmittelbar mit einem ersten Datenkanal (140) verbindbar ist zum Zuführen einer Aktualisierungssoftware, die Kommunikationseinheit (120) für einen über einen zweiten Datenkanal (150) geführten Datenaustausch mit einem Server (160) eingerichtet ist und der über den zweiten Datenkanal (150) geführte Datenaustausch mit dem Server (160) dem Autorisieren des Steuergeräts (110) für das Zuführen der Aktualisierungssoftware über den ersten Datenkanal (140) dient.
  2. Vorrichtung nach Anspruch 1, gekennzeichnet durch eine mit der Kommunikationseinheit (120) zum Zuführen eines Positionssignals verbundene Ortungseinrichtung (170).
  3. Vorrichtung nach Anspruch 1 oder 2, gekennzeichnet durch eine mit der Kommunikationseinheit (120) zum Zuführen eines Uhrzeitsignals verbundene Zeitgebereinrichtung (180).
  4. System (200), umfassend eine Vorrichtung (100) nach einem der Ansprüche 1 bis 3, einen ersten Datenkanal (140) zum unmittelbaren Zuführen einer Aktualisierungssoftware zu dem von der Vorrichtung (100) umfassten elektronischen Steuergerät (110), einen zweiten Datenkanal (150) sowie einen Server (160), der für einen dem Autorisieren des Steuergeräts (110) für das Zuführen der Aktualisierungssoftware über den ersten Datenkanal (140) dienenden Datenaustausch mit der von der Vorrichtung (100) umfassten Kommunikationseinheit (120) über den zweiten Datenkanal (150) eingerichtet ist.
  5. System (200) nach Anspruch 4, gekennzeichnet durch eine Datenquelle (210), insbesondere ein Diagnose-Steuergerät, mit dem das elektronische Steuergerät (110) zum Bereitstellen und Zuführen der Aktualisierungssoftware unmittelbar über den ersten Datenkanal (140) verbunden ist.
  6. System (200) nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass der zweite Datenkanal (150) mit einer drahtlosen Verbindung ausgeführt ist.
  7. System (200) nach Anspruch 4, 5 oder 6, gekennzeichnet durch eine Speichereinrichtung (220) zum Protokollieren eines über den zweiten Datenkanal (150) geführten Datenaustausches.
  8. Verfahren zum Aktualisieren eines durch eine Software betreibbaren, insbesondere zum Steuern einer Fahrzeugfunktion in einem Kraftfahrzeug (130) dienenden elektronischen Steuergerätes (110) in einem System (200) nach einem oder mehreren der Ansprüche 4 bis 7, umfassend die folgenden Schritte: • Zuführen einer Aktualisierungsabfrage über den ersten Datenkanal (140) unmittelbar an das Steuergerät (110), • Verschlüsseln von Identifikationsdaten der Aktualisierungsabfrage, • Übermitteln der verschlüsselten Identifikationsdaten der Aktualisierungsabfrage vom Steuergerät (110) an die mit dem Steuergerät (110) verbundene Kommunikationseinheit (120), • Erzeugen einer verschlüsselten Server-Anfrage durch die Kommunikationseinheit (120), • Versenden der verschlüsselten Server-Anfrage durch die Kommunikationseinheit (120) über den zweiten Datenkanal (150) an den Server (160), • Erzeugen einer verschlüsselten Autorisierungsnachricht durch den Server (160), • Versenden der verschlüsselten Autorisierungsnachricht durch den Server (160) über den zweiten Datenkanal (150) an die Kommunikationseinheit (120), • Übermitteln der verschlüsselten Autorisierungsnachricht durch die Kommunikationseinheit (120) an das Steuergerät (110), • Entschlüsseln der verschlüsselten Autorisierungsnachricht durch das Steuergerät und • Autorisieren des Steuergeräts (110) durch die Autorisierungsnachricht zur Übernahme der Aktualisierungssoftware unmittelbar über den ersten Datenkanal (140).
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die verschlüsselte Server-Anfrage wenigstens folgende Daten umfasst bzw. mit folgenden Daten gebildet ist: • die Aktualisierungsabfrage, • mit der Aktualisierungsabfrage übertragene bzw. daraus gewonnene Daten zur Identifikation der Aktualisierungssoftware und • Daten zur Identifikation des Steuergeräts; und dass die verschlüsselte Server-Anfrage wahlweise zusätzlich folgende Daten umfasst bzw. wahlweise zusätzlich mit folgenden Daten gebildet ist: • Daten zum aktuellen Aufenthaltsort des Steuergeräts (110), vorzugsweise GPS-Daten, und/oder • die aktuelle Uhrzeit und/oder das aktuelle Datum.
  10. Verfahren nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass der über den zweiten Datenkanal (150) geführte Datenaustausch vom Server (160) in einer Speichereinrichtung (220) protokolliert wird.
DE201210220132 2012-11-06 2012-11-06 Verfahren, Vorrichtung und System zum Aktualisieren eines Steuergerätes Pending DE102012220132A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201210220132 DE102012220132A1 (de) 2012-11-06 2012-11-06 Verfahren, Vorrichtung und System zum Aktualisieren eines Steuergerätes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201210220132 DE102012220132A1 (de) 2012-11-06 2012-11-06 Verfahren, Vorrichtung und System zum Aktualisieren eines Steuergerätes

Publications (1)

Publication Number Publication Date
DE102012220132A1 true DE102012220132A1 (de) 2014-05-08

Family

ID=50489769

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201210220132 Pending DE102012220132A1 (de) 2012-11-06 2012-11-06 Verfahren, Vorrichtung und System zum Aktualisieren eines Steuergerätes

Country Status (1)

Country Link
DE (1) DE102012220132A1 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016202660A1 (de) * 2015-06-17 2016-12-22 Bayerische Motoren Werke Aktiengesellschaft Verfahren, haupteinheit, und fahrzeug zum einbringen von anwendungen in die haupteinheit des fahrzeugs
WO2016206977A1 (de) * 2015-06-23 2016-12-29 Bayerische Motoren Werke Aktiengesellschaft Verfahren, server, firewall, steuergerät, und system zur programmierung eines steuergeräts eines fahrzeugs
CN107729757A (zh) * 2016-08-10 2018-02-23 福特全球技术公司 软件更新之前的软件认证
WO2019053221A1 (de) * 2017-09-15 2019-03-21 Siemens Aktiengesellschaft Verfahren zum aufladen eines elektrischen energiespeichers; ladeeinheit und system mit ladeeinheit
WO2020048756A1 (de) * 2018-09-04 2020-03-12 Audi Ag Verfahren zum installieren eines programmcodepakets in ein gerät sowie gerät und kraftfahrzeug
US20230350406A1 (en) * 2015-08-05 2023-11-02 EZ Lynk SEZC System and method for remote emissions control unit monitoring and reprogramming

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008036711A1 (de) 2008-08-07 2010-02-11 Volkswagen Ag Verfahren zum Ändern einer softwarebasierten Fahrzeugfunktion eines Kraftfahrzeugs
DE102008056745A1 (de) 2008-11-11 2010-05-12 Continental Automotive Gmbh Vorrichtung zum Steuern einer Fahrzeugfunktion und Verfahren zum Aktualisieren eines Steuergerätes

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008036711A1 (de) 2008-08-07 2010-02-11 Volkswagen Ag Verfahren zum Ändern einer softwarebasierten Fahrzeugfunktion eines Kraftfahrzeugs
DE102008056745A1 (de) 2008-11-11 2010-05-12 Continental Automotive Gmbh Vorrichtung zum Steuern einer Fahrzeugfunktion und Verfahren zum Aktualisieren eines Steuergerätes

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016202660A1 (de) * 2015-06-17 2016-12-22 Bayerische Motoren Werke Aktiengesellschaft Verfahren, haupteinheit, und fahrzeug zum einbringen von anwendungen in die haupteinheit des fahrzeugs
US10365921B2 (en) 2015-06-17 2019-07-30 Bayerische Motoren Werke Aktiengesellschaft Method, head unit, and vehicle for introducing applications into the head unit of the vehicle
WO2016206977A1 (de) * 2015-06-23 2016-12-29 Bayerische Motoren Werke Aktiengesellschaft Verfahren, server, firewall, steuergerät, und system zur programmierung eines steuergeräts eines fahrzeugs
DE102015211540A1 (de) * 2015-06-23 2016-12-29 Bayerische Motoren Werke Aktiengesellschaft Verfahren, Server, Firewall, Steuergerät, und System zur Programmierung eines Steuergeräts eines Fahrzeugs
US10650137B2 (en) 2015-06-23 2020-05-12 Bayerische Motoren Werke Aktiengesellschaft Method, server, firewall, control device, and system for programming a control device of a vehicle
US20230350406A1 (en) * 2015-08-05 2023-11-02 EZ Lynk SEZC System and method for remote emissions control unit monitoring and reprogramming
CN107729757A (zh) * 2016-08-10 2018-02-23 福特全球技术公司 软件更新之前的软件认证
WO2019053221A1 (de) * 2017-09-15 2019-03-21 Siemens Aktiengesellschaft Verfahren zum aufladen eines elektrischen energiespeichers; ladeeinheit und system mit ladeeinheit
WO2020048756A1 (de) * 2018-09-04 2020-03-12 Audi Ag Verfahren zum installieren eines programmcodepakets in ein gerät sowie gerät und kraftfahrzeug
CN112219186A (zh) * 2018-09-04 2021-01-12 奥迪股份公司 用于将程序代码包安装到设备中的方法以及设备和机动车
CN112219186B (zh) * 2018-09-04 2021-11-19 奥迪股份公司 用于将程序代码包安装到设备中的方法以及设备和机动车
US11880273B2 (en) 2018-09-04 2024-01-23 Audi Ag Method for installing a program code packet onto a device, device, and motor vehicle

Similar Documents

Publication Publication Date Title
DE102012110499B4 (de) Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte
EP2606621B1 (de) Verfahren zum bereitstellen eines drahtlosen fahrzeugzugangs
DE102011014688B3 (de) Kraftwagen-Steuergerät mit kryptographischer Einrichtung
DE102015220489B4 (de) Verfahren zur Autorisierung einer Softwareaktualisierung in einem Kraftfahrzeug
DE102017209961B4 (de) Verfahren und Vorrichtung zum Authentisieren eines Nutzers an einem Fahrzeug
DE102012220132A1 (de) Verfahren, Vorrichtung und System zum Aktualisieren eines Steuergerätes
EP0723896B1 (de) Verfahren zur Diebstahlsicherung motorangetriebener Kraftfahrzeuge
DE102013215303A1 (de) Mobiles elektronisches Gerät
EP1999725A1 (de) Verfahren zum schutz eines beweglichen gutes, insbesondere eines fahrzeugs, gegen unberechtigte nutzung
WO2015104180A1 (de) Verfahren und vorrichtung zur freigabe von funktionen eines steuergerätes
EP3649625B1 (de) Verfahren zur delegation von zugriffsrechten
DE102015005232B4 (de) Steuern einer Freischaltberechtigung eines Kraftfahrzeugs
DE102012013450A1 (de) Verfahren zum Steuern einer Zugangsberechtigung oder Fahrberechtigung für ein Fahrzeug
DE102013202716A1 (de) Verfahren und Vorrichtung zum Freischalten mindestens einer softwarebasierten Funktion in mindestens einer elektronischen Steuereinheit eines Kraftfahrzeugs
DE102014219502A1 (de) System und Verfahren für einen beschränkten Zugang zu einem Fahrzeug
DE102016222100A1 (de) Verfahren und System zum Nachweis eines Besitzes eines Fahrzeugs
EP1220075B1 (de) System und Verfahren zum Erteilen der Laufberechtigung für ein auf einem Rechner installiertes Programm
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
DE102015211104A1 (de) Verfahren zur Bereitstellung von Authentifizierungsfaktoren
DE102010052812A1 (de) Authentifiziertes Fernauslösen einer Funktion eines Kraftfahrzeugs
DE102015105322A1 (de) Verfahren zur Freigabe von Maschinenfunktionen an einer Spinnereimaschine
DE102017215937A1 (de) Verfahren zum Betreiben einer Sendeeinrichtung eines Kraftfahrzeugs, Sendeeinrichtung für ein Kraftfahrzeug sowie Kraftfahrzeug
DE102020205933A1 (de) Verfahren zur Kopplung eines Authentifizierungsmittels mit einem Fahrzeug
DE102016106638B4 (de) Verfahren zum Freischalten einer Funktion einer Mess- und/oder Stellvorrichtung sowie entsprechend ausgebildete Mess- und/oder Stellvorrichtung
DE102004021145B4 (de) Verfahren und System zum drahtlosen Übertragen von Daten zwischen einer Datenverarbeitungseinrichtung eines Fahrzeugs und einer lokalen externen Datenverarbeitungseinrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012240000

Ipc: H04L0041000000