-
Stand der Technik
-
Aus der
DE 10 2008 036 711 A1 ist ein Verfahren zum Ändern einer softwarebasierten Fahrzeugfunktion eines Kraftfahrzeugs unter Anwendung einer Ersetzungs-, Erweiterungs- und/oder Freischaltesoftware bekannt, wobei eine bereits vorhandene fahrzeugspezifische Software durch die Ersetzungs-, Erweiterungs- und/oder Freischaltesoftware zumindest teilweise ersetzt, erweitert bzw. freigeschaltet wird. Um ein Verfahren zum Ändern einer softwarebasierten Fahrzeugfunktion eines Kraftfahrzeugs bereitzustellen, welches einfach und kostengünstig von einem Fahrzeughalter oder -fahrer selbst durchgeführt werden kann, wird gemäß dieser Druckschrift vorgeschlagen, dass die Ersetzungs-, Erweiterungs- und/oder Freischaltesoftware mittels einer in das Kraftfahrzeug integrierten Einrichtung über eine Online-Verbindung von einem anbieterseitigen Server heruntergeladen wird. Um die Sicherheit des Verfahrens zu erhöhen, wird vorgeschlagen, dass die Ersetzungs- und/oder die Erweiterungssoftware kryptologisch verschlüsselt sind. Dieses soll einen Missbrauch des Verfahrens beispielsweise durch eine illegale Nutzung von über die Online-Verbindung gesendeten Daten durch Dritte, welche die Ersetzungs- und/oder Erweiterungssoftware unrechtmäßig empfangen haben, verhindern. Dabei kann vorgesehen sein, dass ein entsprechender Schlüssel zum Entschlüsseln der Software zusammen mit der gewünschten Änderungssoftware vom Server über die Kommunikationseinheit an die in das Kraftfahrzeug integrierte Einrichtung gesendet wird, wodurch die Einrichtung in die Lage versetzt wird, die verschlüsselte Software zu entschlüsseln.
-
Bei dem Verfahren gemäß der
DE 10 2008 036 711 A1 verbleibt jedoch ein Risiko der Vortäuschung des Servers durch einen Dienst zur Ablieferung manipulierter Software, sofern durch diesen Dienst die Kommunikation über die Online-Verbindung entschlüsselt wird.
-
Aus der
DE 10 2008 056 745 A1 ist eine Vorrichtung zum Steuern einer Fahrzeugfunktion bekannt, umfassend ein elektronisches Steuergerät, welches mit einer Software betreibbar ist. Die Vorrichtung umfasst ferner eine Kommunikationseinheit, die für eine Datenübertragung mit dem Steuergerät in Verbindung steht, so dass die Software des Steuergerätes durch die Datenübertragung aktualisierbar ist, wobei die Kommunikationseinheit ausgelegt ist für einen drahtlosen Datenaustausch mit einem Server zum Autorisieren der Kommunikationseinheit für die Datenübertragung zum Steuergerät. Die Druckschrift beschreibt ferner ein System zum Aktualisieren eines Steuergeräts, das eine derartige Vorrichtung sowie einen Server, der für den Datenaustausch über eine drahtlose Verbindung mit der Kommunikationseinheit verbunden ist, umfasst. Des Weiteren wird ein Verfahren zum Aktualisieren einer Software eines in einem Fahrzeug untergebrachten elektronischen Steuergerätes zum Steuern einer Fahrzeugfunktion beschrieben, bei dem eine Aktualisierungssoftware auf dem Steuergerät installiert wird.
-
Bevorzugt kann gemäß der
DE 10 2008 056 745 A1 das Steuergerät für eine sichere Aktualisierung mittels eines Autorisierungscodes in einen Programmiermodus geschaltet werden, der eine Aktualisierung der Software erlaubt, wobei die Kommunikationseinheit eingerichtet ist zum Empfangen des Autorisierungscodes vom Server und zum Übertragen des Autorisierungscodes an das Steuergerät. Auf diese Weise können für ein sicheres Auffinden und eine sichere Zuordnung fahrzeugtypspezifischer Aktualisierungssoftware sowie zur Vermeidung fehlerhafter oder missbräuchlicher Umkonfigurierungen der Software des Steuergerätes die Kommunikationseinheit und der Server zum gegenseitigen Identifizieren und/oder Authentisieren eingerichtet sein.
-
Das in der
DE 10 2008 056 745 A1 vorgeschlagene Verfahren zum Aktualisieren der Software eines in einem Fahrzeug untergebrachten elektronischen Steuergerätes zum Steuern einer Fahrzeugfunktion, bei dem eine Aktualisierungssoftware auf dem Steuergerät installiert wird, sieht für den sicheren Ablauf einer vollautomatischen Aktualisierung der Steuerungssoftware folgende Schrittfolge vor: Zunächst wird eine drahtlose Verbindung zwischen einer im selben Fahrzeug untergebrachten und mit dem Steuergerät verbundenen Kommunikationseinheit und einem Server hergestellt. Dann wird ein Autorisierungscode durch die Kommunikationseinheit vom Server über die drahtlose Verbindung empfangen. Der Autorisierungscode wird durch die Kommunikationseinheit an das Steuergerät übertragen, das durch den Autorisierungscode in einen die Aktualisierung der Software erlaubenden Programmiermodus geschaltet wird, wobei der Autorisierungscode hierbei auch nur als Auszug oder gemäß einer vom Server mit übertragenen Berechnungsvorschrift modifiziert von der Kommunikationseinheit an das Steuergerät übertragen werden kann. Zusätzlich kann das Steuergerät eine Prüfung des Autorisierungscodes vornehmen und dazu einen gespeicherten kryptographischen Schlüssel verwenden. Von mehreren möglichen Programmiermodi kann das Steuergerät in einen durch den Autorisierungscode autorisierten Programmiermodus wechseln und bei Empfang der Aktualisierungssoftware überprüfen, ob die Installation der Aktualisierungssoftware im durch den übertragenen Autorisierungscode autorisierten Programmiermodus zugelassen ist. Schließlich wird eine Aktualisierungssoftware, die zuvor durch die Kommunikationseinheit geladen wurde, von der Kommunikationseinheit an das Steuergerät übertragen und dort installiert.
-
Auch bei dem Verfahren gemäß der
DE 10 2008 036 711 A1 verbleibt jedoch ein Risiko der Vortäuschung des Servers durch einen Dienst zur Ablieferung manipulierter Software, sofern durch diesen Dienst die Kommunikation über die drahtlose Verbindung entschlüsselt wird.
-
Daher ist für die Übertragung und Installation aktualisierter Steuersoftware auf dem Steuergerät eines Fahrzeugs eine weitere Erhöhung der Sicherheit gegen unbefugten Zugriff und Manipulationen notwendig und wünschenswert.
-
Offenbarung der Erfindung
-
Die Erfindung hat die Aufgabe, ein Verfahren, eine Vorrichtung und ein System zum Aktualisieren eines Steuergerätes, insbesondere in einem Kraftfahrzeug, zu schaffen, bei dem die Sicherheit gegen unbefugten Zugriff und Manipulationen mit einfachen und kostengünstigen Maßnahmen wirksam gesteigert wird.
-
Erfindungsgemäß wird diese Aufgabe gelöst durch eine Vorrichtung mit einem durch eine Software betreibbaren, insbesondere zum Steuern einer Fahrzeugfunktion in einem Kraftfahrzeug dienenden elektronischen Steuergerät und einer Kommunikationseinheit, die für eine Datenübertragung mit dem Steuergerät in Verbindung steht, wobei das Steuergerät ferner unmittelbar mit einem ersten Datenkanal verbindbar ist zum Zuführen einer Aktualisierungssoftware, die Kommunikationseinheit für einen über einen zweiten Datenkanal geführten Datenaustausch mit einem Server eingerichtet ist und der über den zweiten Datenkanal geführte Datenaustausch mit dem Server dem Autorisieren des Steuergeräts für das Zuführen der Aktualisierungssoftware über den ersten Datenkanal dient.
-
Kern der Erfindung ist, dass ein Datenaustausch mit dem Steuergerät über zwei voneinander völlig unabhängig betriebene Datenkanäle vorgenommen wird, wobei eine dem Steuergerät zuzuführende Aktualisierungssoftware zum Aktualisieren einer auf dem Steuergerät vorhandenen Software einerseits und ein Authentisierungvorgang bzw. ein Autorisieren des Steuergeräts für das Zuführen der Aktualisierungssoftware grundsätzlich über unterschiedliche Datenkanäle abgewickelt werden.
-
Im Gegensatz dazu erfolgt bei den bekannten Verfahren bzw. Vorrichtungen sowohl die Zufuhr der Aktualisierungssoftware als auch der Authentisierungvorgang über dieselbe Kommunikationseinheit. Dies birgt in dem Fall, dass dem Steuergerät notwendigerweise bekannte Signierungen der Aktualisierungssoftware oder Schlüssel für deren Übertragung entschlüsselt werden, die Gefahr einer unberechtigten Manipulation der Software durch Dritte, ohne dass dies vom Steuergerät erkannt werden kann. Selbst wenn Informationen zu entschlüsselten Signaturen oder zu Manipulationen vorliegen, können bereits im Feld befindliche Steuergeräte nicht mehr vor derartigen Manipulationen geschützt werden.
-
Durch die erfindungsgemäßen Maßnahmen werden Manipulationen der Aktualisierungssoftware deutlich erschwert. Die Sicherheit der Steuergeräte gegen unberechtigte Manipulationen der Software kann während der Lebenszeit eines Steuergeräts ständig ergänzt werden.
-
Nach einer vorteilhaften Weiterbildung der erfindungsgemäßen Vorrichtung ist diese gekennzeichnet durch eine mit der Kommunikationseinheit zum Zuführen eines Positionssignals verbundene Ortungseinrichtung. Gemäß einer anderen vorteilhaften Fortbildung umfasst die erfindungsgemäße Vorrichtung eine mit der Kommunikationseinheit zum Zuführen eines Uhrzeitsignals verbundene Zeitgebereinrichtung. Wie im nachfolgenden noch näher erläutert werden wird, können durch die Ortungseinrichtung bzw. die Zeitgebereinrichtung optional Daten zum aktuellen Aufenthaltsort des Steuergeräts, d.h. Positionsdaten, vorzugsweise GPS-Daten, und/oder die aktuelle Uhrzeit und/oder das aktuelle Datum als zusätzliche Authentisierungshilfen verwendet werden, wodurch die Sicherheit gegen Manipulationen weiter gesteigert werden kann.
-
Die eingangs genannte Aufgabe wird ferner gelöst durch ein System, umfassend eine Vorrichtung der vorbeschriebenen Art, einen ersten Datenkanal zum unmittelbaren Zuführen einer Aktualisierungssoftware zu dem von der Vorrichtung umfassten elektronischen Steuergerät, einen zweiten Datenkanal sowie einen Server, der für einen dem Autorisieren des Steuergeräts für das Zuführen der Aktualisierungssoftware über den ersten Datenkanal dienenden Datenaustausch mit der von der Vorrichtung umfassten Kommunikationseinheit über den zweiten Datenkanal eingerichtet ist.
-
Bevorzugt ist dabei eine Datenquelle, insbesondere ein Diagnose-Steuergerät, mit dem elektronischen Steuergerät zum Bereitstellen und Zuführen der Aktualisierungssoftware unmittelbar über den ersten Datenkanal verbunden. Ferner ist vorteilhaft der zweite Datenkanal mit einer drahtlosen Verbindung ausgeführt. Während der erste Datenkanal auf diese Weise insbesondere durch eine Verbindung mit dem Diagnose-Steuergerät bei einem Wartungsaufenthalt in einer Werkstatt gebildet sein kann, wird als zweiter Datenkanal vorteilhaft eine drahtlose Verbindung benutzt, die bevorzugt auch bereits für andere Zwecke vorgehalten und verwendet werden kann, z.B. eine Mobiltelefonverbindung, eine Bluetooth-Verbindung, die über eine Mobiltelefonanbindung angeschlossen sein kann, oder ähnliches. Dadurch ist allenfalls ein minimaler zusätzlicher Schaltungsaufwand zur Einrichtung der erfindungsgemäßen Vorrichtung bzw. des erfindungsgemäßen Systems erforderlich.
-
Das erfindungsgemäße System umfasst nach einer weiteren vorteilhaften Fortbildung eine Speichereinrichtung zum Protokollieren eines über den zweiten Datenkanal geführten Datenaustausches auf. Damit können Aktualisierungen der Software des Steuergeräts sowie damit verbundene Authentisierungs- bzw. Autorisierungsvorgänge zentral erfasst und verfolgt werden. Dies erschwert eine Manipulation deutlich und macht sie verfolgbar.
-
Die eingangs genannte Aufgabe wird außerdem gelöst durch ein Verfahren zum Aktualisieren eines durch eine Software betreibbaren, insbesondere zum Steuern einer Fahrzeugfunktion in einem Kraftfahrzeug dienenden elektronischen Steuergerätes in einem System der vorbeschriebenen Art. Dieses Verfahren umfasst die folgenden Schritte:
- • Zuführen einer Aktualisierungsabfrage über den ersten Datenkanal unmittelbar an das Steuergerät,
- • Verschlüsseln von Identifikationsdaten der Aktualisierungsabfrage,
- • Übermitteln der verschlüsselten Identifikationsdaten der Aktualisierungsabfrage vom Steuergerät an die mit dem Steuergerät verbundene Kommunikationseinheit,
- • Erzeugen einer verschlüsselten Server-Anfrage durch die Kommunikationseinheit,
- • Versenden der verschlüsselten Server-Anfrage durch die Kommunikationseinheit über den zweiten Datenkanal an den Server,
- • Erzeugen einer verschlüsselten Autorisierungsnachricht durch den Server,
- • Versenden der verschlüsselten Autorisierungsnachricht durch den Server über den zweiten Datenkanal an die Kommunikationseinheit,
- • Übermitteln der verschlüsselten Autorisierungsnachricht durch die Kommunikationseinheit an das Steuergerät,
- • Entschlüsseln der verschlüsselten Autorisierungsnachricht durch das Steuergerät und
- • Autorisieren des Steuergeräts durch die Autorisierungsnachricht zur Übernahme der Aktualisierungssoftware unmittelbar über den ersten Datenkanal.
-
Bei diesem Verfahrensablauf wird deutlich, dass selbst in dem Fall, dass die Aktualisierungsabfrage über den ersten Datenkanal manipuliert wurde, ein diese Manipulationen vornehmender Eindringling damit noch keinen unmittelbaren Zugriff auf den Autorisierungsvorgang hat, da dieser über den von ihm unbeeinflussten zweiten Datenkanal vorgenommen wird. Dabei ist bedeutsam, dass die fahrzeuginterne Kommunikation zwischen dem Steuergerät einerseits und der Kommunikationseinheit andererseits ebenfalls verschlüsselt erfolgt, um eine Manipulation an der Verbindung zwischen Steuergerät und Kommunikationseinheit zu verhindern.
-
Für eine weitere Erhöhung der Sicherheit vor Manipulationen umfasst nach einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens die verschlüsselte Server-Anfrage wenigstens folgende Daten bzw. ist mit folgenden Daten gebildet:
- • die Aktualisierungsabfrage,
- • mit der Aktualisierungsabfrage übertragene bzw. daraus gewonnene Daten zur Identifikation der Aktualisierungssoftware und
- • Daten zur Identifikation des Steuergeräts.
-
Die Daten zur Identifikation der Aktualisierungssoftware umfassen bevorzugt den Namen der Software, deren Checksumme, eine Versionskennung und/oder eine Signatur nebst zugehörigem öffentlichem Schlüssel. Als Daten zur Identifikation des Steuergeräts kommen bevorzugt z.B. dessen Typteilenummer, Seriennummer, Kodierung oder ähnliches zur Anwendung.
-
Wahlweise umfasst die verschlüsselte Server-Anfrage zusätzlich folgende Daten bzw. ist die verschlüsselte Server-Anfrage zusätzlich mit folgenden Daten gebildet:
- • Daten zum aktuellen Aufenthaltsort des Steuergeräts, vorzugsweise GPS-Daten, und/oder
- • die aktuelle Uhrzeit und/oder das aktuelle Datum.
-
Damit umfasst die verschlüsselte Server-Anfrage auch eine präzise Möglichkeit, Angriffe, d.h. Manipulationsversuche, über eine Manipulation der über den zweiten Datenkanal geleiteten Server-Anfrage zu erkennen und abzuwehren, insbesondere wenn dieser zweite Datenkanal als drahtlose Verbindung ausgebildet ist, da nur solche Server-Anfragen akzeptiert werden, die zu einem vorgegebenen Zeitpunkt an einem vorgegebenen Ort, zum Beispiel in einer autorisierten Werkstatt während der üblichen Arbeitszeiten, erzeugt und versandt worden sind.
-
Vorteilhaft wird nach einer weiteren Fortbildung des erfindungsgemäßen Verfahrens der über den zweiten Datenkanal geführte Datenaustausch vom Server in einer Speichereinrichtung protokolliert, wodurch die Aktualisierungen der Software zentral erfasst werden. Damit sind Manipulationen deutlich erschwert und lassen sich auch nachträglich erkennen und verfolgen.
-
Mit dem beschriebenen Verfahren kann darüber hinaus auch die Kommunikationseinheit sicher aktualisiert werden, wofür die Verbindung zum Steuergerät dann nicht benötigt wird.
-
Ein Ausführungsbeispiel eines erfindungsgemäßen Systems ist in der einzigen Figur der Zeichnung dargestellt und wird im nachfolgenden näher beschrieben.
-
Eine Vorrichtung 100 umfasst ein elektronisches Steuergerät 110 und eine Kommunikationseinheit 120. Die Vorrichtung 100 ist in einem Kraftfahrzeug 130 angeordnet. Das elektronische Steuergerät 110 dient zum Steuern einer Fahrzeugfunktion im Kraftfahrzeug 130 und ist durch eine Software betreibbar. Das Steuergerät 110 kann ferner zum Steuern von Funktionen dienen, die nur mittelbar mit dem Fahrzeug und seiner Steuerung zusammenhängen. Derartige Funktionen können bevorzugt Fahrzeugausstattungen betreffen, z.B. ein Bluetooth-Steuergerät. Das Steuergerät 110 und die Kommunikationseinheit 120 stehen für eine Datenübertragung miteinander in Verbindung 111.
-
Über einen ersten Datenkanal 140 ist das Steuergerät 110 in der im Kraftfahrzeug 130 untergebrachten Vorrichtung 100 mit einer Datenquelle 210 z.B. zu Wartungszwecken verbindbar. Dieser Fall ist in der Figur dargestellt. Die Datenquelle 210 ist in diesem Ausführungsbeispiel durch ein Diagnose-Steuergerät gebildet, welches angenommenermaßen in einer Werkstatt 211 verfügbar ist, in der das Kraftfahrzeug 130 sich zur Wartung befindet. In der Datenquelle 210 ist eine Aktualisierungssoftware verfügbar, mit der die in dem elektronischen Steuergerät 110 installierte Software aktualisiert werden soll.
-
Zur Autorisierung dieser Aktualisierung der Software wird ein lediglich temporär verfügbarer zweiter Datenkanal 150 zwischen der Kommunikationseinheit 120 und einem Server 160 aufgebaut, der für die Authentisierung der Aktualisierungssoftware bzw. die Autorisierung für den Aktualisierungsvorgang eingerichtet ist. Der Server 160 ist mit einer Speichereinrichtung 220 verbunden, auf der der Datenverkehr über den zweiten Datenkanal 150 z.B. insgesamt protokolliert werden kann, vorzugsweise aber nur im Umfang derjenigen Daten protokolliert wird, die für eine Nachvollziehbarkeit des Aktualisierungsvorgangs und eine Dokumentation des Stands der Aktualisierung des Steuergeräts 110 notwendig sind.
-
Die Kommunikationseinheit 120 im Kraftfahrzeug 130 ist ferner mit einer Ortungseinrichtung 170, z.B. einem Gerät zum Empfangen und Verarbeiten von GPS-Signalen, verbunden, über die der Kommunikationseinheit 120 ein Positionssignal zuführbar ist, durch welches der Kommunikationseinheit 120 eine genaue Angaben über die aktuelle Position des Kraftfahrzeugs 130 zur Verfügung steht. Außerdem ist im vorliegenden Beispiel die Kommunikationseinheit 120 weiterhin mit einer Zeitgebereinrichtung 180 zum Zuführen eines das aktuelle Datum und die aktuelle Uhrzeit umfassenden Uhrzeitsignals an die Kommunikationseinheit 120 verbunden. In der Kommunikationseinheit 120 stehen damit immer aktuelle Orts- und Zeitangaben zur Verfügung.
-
Zur Durchführung des Aktualisierungsvorgangs wird dem Steuergerät 110 von der Datenquelle 210, d.h. dem Diagnose-Steuergerät, eine Aktualisierungsabfrage zugeleitet, die z.B. unter anderem eine Versionskennung der aktuellen Software enthalten kann, die mit der Versionskennung der im Steuergerät 110 vorhandenen Software abgeglichen wird. Resultiert daraus der Bedarf nach einer Aktualisierung, wird aus der Aktualisierungsabfrage, der in der Figur symbolisch mit dem Bezugszeichen 112 bezeichneten Identifikation des Steuergeräts 110, der in der Figur symbolisch mit dem Bezugszeichen 113 bezeichneten Identifikation der Aktualisierungssoftware in der Kommunikationseinheit 120, der die vorstehenden Daten über die Verbindung 111 zugeleitet werden, sowie den aktuellen Positionsangaben des Kraftfahrzeugs 130 aus der Ortungseinrichtung 170 und den aktuellen Zeitangaben aus der Zeitgebereinrichtung 180 eine verschlüsselte Server-Anfrage erzeugt. Dazu umfasst die Identifikation 112 des Steuergeräts 110 bevorzugt z.B. Typteilenummer, Seriennummer, Kodierungen oder vergleichbare Angaben, durch die eine eindeutige Identifizierung des speziellen Exemplars des Steuergeräts 110 sichergestellt ist. Die Identifikation 113 der Aktualisierungssoftware umfasst bevorzugt z.B. den Namen, die Versionskennung, eine Checksumme oder vergleichbare Angaben. In einer in der Figur nicht dargestellten Abwandlung der Vorrichtung 100 bzw. des damit durchgeführten Verfahrens kann die Server-Anfrage auch von einem weiteren Steuergerät erzeugt und der Kommunikationseinheit 120 zur Weiterleitung über den zweiten Datenkanal 150 zugeführt werden.
-
Die verschlüsselte Server-Anfrage wird über den zweiten Datenkanal 150 z.B. in Form einer SMS-Abfrage über ein Mobiltelefonnetz, mithilfe einer Bluetooth-Verbindung über eine Mobiltelefonanbindung, eine Internetverbindung oder durch vergleichbare drahtlose Übertragungseinrichtungen dem Server 160 zugeleitet, dort entschlüsselt, authentisiert und in der Speichereinrichtung 220 mit allen zugehörigen Daten, zumindest aber der Seriennummer des Steuergeräts 110, protokolliert. Im Server 160 wird anschließend eine verschlüsselte Autorisierungsnachricht erzeugt und über den zweiten Datenkanal an die Kommunikationseinheit 120 zurückübertragen. Auch dieser Vorgang wird in der Speichereinrichtung 220 protokolliert.
-
In der Kommunikationseinrichtung 120 wird die Antwort des Servers 160, d.h. die verschlüsselte Autorisierungsnachricht, entschlüsselt und damit die Aktualisierung der Software autorisiert. Damit ist die Übertragung der Aktualisierungssoftware von der Datenquelle 210 an das Steuergerät 110 freigegeben. Die Datenquelle 210, d.h. das Diagnose-Steuergerät, führt dann die Aktualisierung durch. Die Verbindung über den zweiten Datenkanal 150 ist zu diesem Zeitpunkt wieder beendet.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102008036711 A1 [0001, 0002, 0006]
- DE 102008056745 A1 [0003, 0004, 0005]