-
Die vorliegende Erfindung betrifft die Steuerung einer Kommunikation bzw. Kommunikationsverbindung zwischen einer Diagnosestelle (z. B. OBD-Buchse („On Board Diagnose”)) eines Fahrzeugs und eines Fahrzeugnetzes (CAN-Bus, Spannungsversorgung, usw.).
-
Die
DE 10 2007 052 438 A1 beschreibt ein Fahrzeugdiagnosesystem mit einer Diagnoseschnittstelle, über welche Diagnosedaten vom Fahrzeug drahtlos abgerufen werden können. Dabei umfasst die Diagnoseschnittstelle Absicherungsmittel vor einem unautorisierten Zugriff, wobei eine Authentifizierung mit dem Fahrzeugschlüssel durchgeführt werden kann.
-
Die
DE 10 2009 051 527 A1 offenbart ein System und ein Verfahren zum Zugreifen auf ein fahrzeugseitiges Kommunikations- und/oder Übertragungsnetz über eine Medienschnittstelle.
-
Die
WO 2005/002939 beschreibt eine Schnittstelle zur Aktivierung und/oder Erweiterung und/oder Modifikation von Softwaremodulen eines Kraftfahrzeugs über eine Schnittstelle mittels drahtloser Kommunikation.
-
Die
DE 10 2008 020 560 A1 offenbart die Erweiterung von Software für ein Steuergerät eines Fahrzeugs mittels eines dem Fahrzeug zugeordneten Schlüssels, wobei zur Erweiterung der Software benötigte Daten von dem Schlüssel an das Steuergerät übertragen werden.
-
Nach dem Stand der Technik existiert in einem Fahrzeug in der Regel eine drahtgebundene, direkte Schnittstelle von einer Diagnoseschnittstelle bzw. einem Diagnosezugang (OBD-Buchse) zu einem oder mehreren Steuergeräten des Fahrzeugs. Diese Diagnoseschnittstelle kann von so genannten Hackertools ausgenutzt werden, um bestimmte Steuergeräte des Fahrzeugs zu manipulieren und dadurch Vorgänge einzuleiten, welche anschließend einen Diebstahl des Fahrzeugs ermöglichen. Darüber hinaus existieren so genannte OBD-Bluetooth-Adapter, welche vom Fahrzeugbesitzer eingesetzt werden, um Daten von einem Steuergerät des Fahrzeugs auf ein Endgerät des Fahrzeugbesitzers drahtlos zu übertragen. Wenn dieser Adapter mit der Diagnoseschnittstelle verbunden bleibt, bietet dieser Adapter ebenfalls eine einfache Möglichkeit, Steuergeräte des Fahrzeugs zu manipulieren, um dadurch einen Diebstahl des Fahrzeugs vorzubereiten.
-
Daher stellt sich die vorliegende Erfindung die Aufgabe, die Diagnoseschnittstelle des Fahrzeugs besser abzusichern, um eine unautorisierte Manipulation von Steuergeräten des Fahrzeugs über die Diagnoseschnittstelle zu vermeiden.
-
Erfindungsgemäß wird diese Aufgabe durch ein Verfahren zur Steuerung einer Kommunikation zwischen einer Diagnoseschnittstelle eines Fahrzeugs und einem Fahrzeugnetz nach Anspruch 1, durch eine Steuerung für eine Kommunikation zwischen einer Diagnoseschnittstelle eines Fahrzeugs und einem Fahrzeugnetz nach Anspruch 7 und durch ein Fahrzeug nach Anspruch 10 gelöst. Die abhängigen Ansprüche definieren bevorzugte und vorteilhafte Ausführungsformen der vorliegenden Erfindung.
-
Im Rahmen der vorliegenden Erfindung wird ein Verfahren zur Steuerung einer Kommunikation zwischen einer Diagnoseschnittstelle eines Fahrzeugs und einem Fahrzeugnetz bereitgestellt. Dabei umfasst das erfindungsgemäße Verfahren folgende Schritte:
- • Erfassen eines Ereignisses, mit welchem eine Anfrage zur Freigabe einer Kommunikationsverbindung zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz gestellt wird.
- • Überprüfen, ob ein autorisierter oder gültiger Codeträger (d. h. eine Vorrichtung, welche einen autorisierten Code oder Schlüssel beinhaltet bzw. trägt), welcher die Kommunikationsverbindung zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz freigeben darf, vorliegt, wenn im vorherigen Schritt das Ereignis zur Anfrage erfasst worden ist.
- • Freigeben der Kommunikationsverbindung zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz nur dann, wenn der autorisierte oder gültige Codeträger im vorherigen Schritt erfasst wurde.
-
Indem die Kommunikationsverbindung zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz nur dann freigegeben wird bzw. benutzt werden kann, wenn unmittelbar vorher der zur Freigabe berechtigte Codeträger, insbesondere der zum Fahrzeug gehörende Schlüssel (z. B. Funkschlüssel) erfasst wurde, ist vorteilhafterweise sichergestellt, dass eine Manipulation von Steuergeräten des Fahrzeugs über die Diagnoseschnittstelle nur vorgenommen werden kann, wenn gleichzeitig der Codeträger (insbesondere der Fahrzeugschlüssel) vorhanden ist.
-
Die Freigabe der Kommunikationsverbindung zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz kann entweder erfolgen, indem eine Signalleitung, welche physikalisch oder logisch zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz unterbrochen ist, geschlossen wird, oder indem eine Stromleitung, welche physikalisch oder logisch zwischen der Diagnoseschnittstelle und einer Spannungsquelle des Fahrzeugs unterbrochen ist, geschlossen wird. Es ist auch möglich, dass zur Freigabe der Kommunikationsverbindung sowohl die Signalleitung als auch die Stromleitung geschlossen werden muss.
-
Dabei wird unter einer physikalischen Unterbrechung die Unterbrechung (echte Auftrennung) mit Hilfe eines Schalters (z. B. eines Relais) und unter einer logischen Unterbrechung beispielsweise die Unterbrechung mit Hilfe elektronischer Schaltkreise (z. B. eines Transistors) oder mit Hilfe von Softwarefunktionen, welche beispielsweise im unterbrochenen Zustand das Weiterleiten von Signalen oder Daten verhindern, verstanden. Mit der Stromleitung kann beispielsweise ein mit der Diagnoseschnittstelle verbundenes Steuergerät, welches nicht zum Fahrzeug gehört, versorgt werden.
-
Da die Signalleitung und/oder die Stromleitung unterbrochen ist bzw. bleibt, wenn kein autorisierter Codeträger vorhanden ist, kann die Manipulation von Steuergeräten des Fahrzeugs über die Diagnoseschnittstelle vorteilhafterweise nur vorgenommen werden, wenn gleichzeitig der autorisierte Codeträger vorhanden ist.
-
Die Anfrage zur Freigabe der Kommunikationsverbindung kann erfindungsgemäß durch eines von folgenden Ereignissen initiiert werden:
- • Eine Vorrichtung wird kommunikationstechnisch mit der Diagnoseschnittstelle verbunden. Dieses Ereignis liegt beispielsweise dann vor, wenn erfasst wird, dass die Vorrichtung auf eine Diagnosebuchse, mit welcher die Diagnoseschnittstelle realisiert wird, gesteckt wird.
- • Eine Vorrichtung, welche kommunikationstechnisch mit der Diagnoseschnittstelle verbunden ist, stellt eine Kommunikationsanfrage bezüglich der Kommunikationsverbindung zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz. Dieses Ereignis liegt beispielsweise dann vor, wenn eine auf die Diagnosebuchse gesteckte Vorrichtung die entsprechende Kommunikationsanfrage stellt.
- • Eine Zündung des Fahrzeugs wird eingeschaltet.
- • Ein Benutzer (z. B. der Fahrer) des Fahrzeugs betätigt ein Bedienelement (z. B. des Fahrzeugs oder des Codeträgers), mit welchem die Kommunikationsverbindung zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz eingerichtet werden soll. Dieses Ereignis liegt also dann vor, wenn der Benutzer bewusst das entsprechende Bedienelement (z. B. eine Taste des Fahrzeugschlüssels oder eine Taste in der Nähe der Diagnosebuchse) betätigt.
-
Gemäß einer bevorzugten erfindungsgemäßen Ausführungsform wird die Freigabe der Kommunikationsverbindung zurückgezogen oder die Kommunikationsverbindung zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz unterbrochen, wenn eines von folgenden Ereignissen vorliegt:
- • Eine Kommunikationsverbindung zwischen einer Vorrichtung und der Diagnoseschnittstelle wird getrennt. Dieses Ereignis liegt beispielsweise dann vor, wenn eine mit der Diagnosebuchse gekoppelte Vorrichtung von der Diagnosebuchse entfernt wird.
- • Die Kommunikationsverbindung zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz ist für eine vorbestimmte Zeitdauer (beispielsweise länger als 1 Minute) unterbrochen. Dieses Ereignis liegt beispielsweise dann vor, wenn während der vorbestimmten Zeitdauer keine Signale auf der Kommunikationsverbindung erfasst werden.
- • Für eine vorbestimmte Zeitdauer (beispielsweise länger als 1 Minute) wird kein gültiger Codeträger erfasst. Mit anderen Worten wird ständig überprüft, ob der gültige Codeträger noch vorhanden ist.
- • Ein Benutzer (z. B. der Fahrer) des Fahrzeugs betätigt ein Bedienelement (z. B. des Fahrzeugs oder des Codeträgers), um die Kommunikationsverbindung zu unterbrechen oder zu beenden. Dieses Ereignis liegt also dann vor, wenn der Benutzer bewusst das entsprechende Bedienelement (z. B. eine Taste des Fahrzeugschlüssels oder eine Taste in der Nähe der Diagnosebuchse) betätigt.
-
Erfindungsgemäß ist es auch möglich, dass bestimmte Ereignisse zur Initiierung einer Freigabe und/oder zur Unterbrechung der Kommunikationsverbindung zeitlich befristet oder dauerhaft (beispielsweise abhängig von Einstellungen des Kombigeräts des Fahrzeugs) nicht erfasst werden, so dass in diesem Fall auch bei Erfassen des entsprechenden Ereignisses keine Freigabe der Kommunikationsverbindung bzw. keine Unterbrechung der Kommunikationsverbindung erfolgt.
-
Die Kommunikation zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz kann eine Datenkontrolle umfassen, um eine Übertragung bestimmter Daten von der Diagnoseschnittstelle zu dem Fahrzeugnetz zumindest für eine vorbestimmte Zeitdauer zu unterbinden und/oder nur unter vorbestimmten Bedingungen (beispielsweise autorisierter Codeträger wurde kurz zuvor erfasst) durchzuführen. Diese bestimmten Daten können beispielsweise Befehle umfassen, mit welchen einen Diebstahl des Fahrzeugs verhindernde Steuergeräte (z. B. eine Wegfahrsperre) manipuliert werden können. Darüber hinaus können diese bestimmten Daten auch Daten oder Befehle umfassen, mit welchen bestimmte Eigenschaften des Fahrzeugs (beispielsweise den Kilometerstand) manipuliert werden können.
-
Durch die Datenkontrolle wird vorteilhafterweise ein differenzierter Datenschutz ermöglicht. Bei aktiver Datenkontrolle ist es demnach vorteilhafterweise entweder unmöglich oder nur einem autorisierten Benutzer möglich, den Diebstahl des Fahrzeugs verhindernde Steuergeräte über die Diagnoseschnittstelle oder bestimmte Eigenschaften des Fahrzeugs zu manipulieren.
-
Insbesondere kann die Datenkontrolle eine Authentifizierung umfassen, mit welcher die Übertragung der bestimmten Daten erlaubt wird. Die bestimmten Daten werden demnach nur dann übertragen, wenn die Übertragung der bestimmten Daten vorher durch die Authentifizierung der Datenkontrolle authentifiziert worden ist. Dabei kann es sich bei dieser Authentifizierung um das vorab beschriebene Authentifizierungsverfahren (d. h. das Erfassen desselben gültigen Codeträgers) oder um ein weiteres Authentifizierungsverfahren (beispielsweise um eine Freigabe durch die elektronische Wegfahrsperre des Fahrzeugs) handeln.
-
Wenn die vorab beschriebene Authentifizierung der Datenkontrolle mit einem zweiten Authentifizierungsverfahren arbeitet, ist demnach die Manipulation von kritischen Steuergeräten des Fahrzeugs, mit welchen insbesondere ein Diebstahl des Fahrzeugs verhindert wird, oder die Manipulation von Eigenschaften des Fahrzeugs vorteilhafterweise nur dann möglich, wenn beide Authentifizierungsverfahren die Übertragung der bestimmten Daten über die Diagnoseschnittstelle freigeben.
-
Im Rahmen der vorliegenden Erfindung wird auch eine Steuerung für eine Kommunikation zwischen einer Diagnoseschnittstelle eines Fahrzeugs und einem Fahrzeugnetz bereitgestellt. Dabei umfasst die Steuerung erste Anschlüsse, welche mit der Diagnoseschnittstelle verbindbar sind, zweite Anschlüsse, welche mit dem Fahrzeugnetz verbindbar sind, und einen oder mehrere Schalter. Der mindestens eine Schalter ist dabei ausgestaltet, um eine Verbindung zwischen einem oder mehreren der ersten Anschlüsse und einem oder mehreren der zweiten Anschlüsse herzustellen (d. h. der Schalter ist geschlossen) oder aufzutrennen (d. h. der Schalter ist offen). Die Steuerung ist ausgestaltet, ein Ereignis zur Anfrage einer Freigabe einer Kommunikationsverbindung zwischen der Diagnoseschnittstelle und dem Fahrzeugnetz zu erfassen, um einen Codeträger, welcher für die Kommunikationsverbindung autorisiert ist, zu erfassen und um die Kommunikationsverbindung mit Hilfe des oder der Schalter freizugeben, wenn die Steuerung vorher aufgrund der Anfrage den autorisierten Codeträger erfasst hat, freizugeben.
-
Die Vorteile der erfindungsgemäßen Steuerung entsprechen im Wesentlichen den Vorteilen des erfindungsgemäßen Verfahrens, welche vorab im Detail ausgeführt worden sind, so dass hier auf eine Wiederholung verzichtet wird.
-
Der Schalter kann dabei durch einen Transistor oder durch ein Relais realisiert sein.
-
Schließlich wird im Rahmen der vorliegenden Erfindung ein Fahrzeug bereitgestellt, welches eine erfindungsgemäße Steuerung umfasst.
-
Die vorliegende Erfindung ist insbesondere für Fahrzeuge mit einer Diagnoseschnittstelle geeignet. Selbstverständlich ist die vorliegende Erfindung nicht auf diesen bevorzugten Anwendungsbereich eingeschränkt, da die vorliegende Erfindung beispielsweise auch bei Schiffen, Flugzeugen sowie gleisgebundenen oder spurgeführten Fahrzeugen einsetzbar ist.
-
Im Folgenden wird die vorliegende Erfindung anhand bevorzugter erfindungsgemäßer Ausführungsformen mit Bezug zu den Figuren im Detail beschrieben.
-
In 1 ist schematisch eine Diagnoseschnittstelle verbunden mit einer erfindungsgemäßen Steuerung dargestellt.
-
2 stellt schematisch ein erfindungsgemäßes Fahrzeug mit einer erfindungsgemäßen Steuerung dar.
-
In 3 ist ein erfindungsgemäßes Verfahren in Form eines Flussablaufdiagramms dargestellt.
-
1 zeigt eine OBD-Buchse bzw. Diagnoseschnittstelle 7, welche mit ersten Anschlüssen 15 eines erfindungsgemäßen Zugangskontrollsystems 2 verbunden ist. Zweite Anschlüsse 16 des Zugangkontrollsystems 2 sind über Spannungsversorgungsleitungen 11 (z. B. Klemme 15 oder 30) und Datenübertragungsleitungen 12 mit einem Fahrzeugnetz des Fahrzeugs verbunden. Bei den Datenübertragungsleitungen 12 kann es sich beispielsweise um Kommunikationsleitungen, welche z. B. mit TCP/IP arbeiten, oder um den CAN-Bus des Fahrzeugs handeln. Das Zugangskontrollsystem 2 umfasst ein erstes Steuerelement 5 und ein zweites Steuerelement 6. Mit dem ersten Steuerelement 5 werden erste Schalter 13 und zweite Schalter 14 gesteuert, wobei die ersten Schalter 13 jeweils eine Spannungsversorgungsleitung 11 schalten und die zweiten Schalter 14 jeweils eine Datenübertragungsleitung 12 schalten. Mit anderen Worten ist das Steuerelement 5 mit Hilfe der Schalter 13, 14 in der Lage, gezielt eine oder alle Spannungsversorgungsleitungen 11 und/oder eine oder alle Datenübertragungsleitungen 12 zu unterbrechen oder mit der Diagnoseschnittstelle 7 zu verbinden.
-
Das Steuerelement 6 regelt und filtert bei Bedarf die Datenübertragung über die Datenübertragungsleitungen 12. Anders ausgedrückt überprüft das Steuerelement 6 die Daten, welche insbesondere von der Diagnoseschnittstelle 7 über das Zugangskontrollsystem 2 und damit durch das Steuerelement 6 in das Fahrzeugnetz über die Datenübertragungsleitungen 12 übertragen werden. Wenn das Steuerelement 6 bei dieser Überprüfung erkennt, dass es sich bei den übertragenen Daten um kritische bzw. bestimmte Daten (beispielsweise um Steuerbefehle für Steuergeräte zum Diebstahlschutz) handelt, wird die Übertragung dieser Daten in das Fahrzeugnetz nur zugelassen, wenn eine entsprechende Erlaubnis vorliegt.
-
Darüber hinaus ist das Zugangskontrollsystem 2 mit einem Authentifizierungssystem 3 (oder mit mehreren Authentifizierungssystemen) verbunden, welches selbst mit einer Leseeinheit 4 verbunden ist. Wenn das Zugangskontrollsystem 2 eine Anfrage zur Freigabe einer Kommunikationsverbindung zwischen der Diagnosestelle 7 und dem Fahrzeugnetz (d. h. insbesondere eine Anfrage nach einer Übertragung von Daten von der Diagnoseschnittstelle 7 in das Fahrzeugnetz) erhält, fragt das Zugangskontrollsystem 2 das Authentifizierungssystem 3, ob eine entsprechende Authentifizierung bzw. Erlaubnis vorliegt. Das Authentifizierungssystem 3 überprüft mit Hilfe der Leseeinheit 4, ob ein dem Fahrzeug zugeordneter Schlüssel 1, welcher das Authentifizierungsgeheimnis für die Diagnoseschnittstelle 7 aufweist, erfasst werden kann. Wenn dies der Fall ist und der erfasste Fahrzeugschlüssel 1 das entsprechende Schlüsselgeheimnis aufweist, teilt das Authentifizierungssystem 3 dies dem Zugangskontrollsystem 2 mit, welches daraufhin dafür sorgt, dass mit Hilfe des ersten Steuerelements 5 die Schalter 13, 14 geschlossen sind. Wenn das Authentifizierungssystem 3 dagegen kein entsprechendes Schlüsselgeheimnis bzw. keinen gültigen Fahrzeugschlüssel 1 erfasst, bleibt zumindest ein Teil der Spannungsversorgungsleitungen 11 und/oder Datenübertragungsleitungen 12 unterbrochen, so dass von der Diagnoseschnittstelle 7 keine Daten in das Fahrzeugnetz eingespeist werden können.
-
In ähnlicher Weise stellt das Zugangskontrollsystem 2 eine entsprechende Anfrage an das Authentifizierungssystem 3 (oder an ein anderes Authentifizierungssystem (in 1 nicht dargestellt)), wenn das zweite Steuerelement 6 erfasst hat, dass bestimmte kritische Daten von der Diagnoseschnittstelle 7 in das Fahrzeugnetz eingespeist werden sollen. Wiederum leitet das Steuerelement 6 die kritischen Daten nur dann in das Fahrzeugnetz weiter, wenn das Zugangskontrollsystem 2 vorher eine positive Antwort von dem Authentifizierungssystem 3 erhalten hat.
-
Um die Kommunikation zwischen dem Zugangskontrollsystem 2 (oder genauer dem ersten Steuerelement 5 und dem zweiten Steuerelement 6) und dem Authentifizierungssystem (den Authentifizierungssystemen) möglichst sicher zu gestalten, kann diese Kommunikation mit Hilfe eines kryptographischen Verfahrens durchgeführt werden, bei welchem die beiden Systeme 2, 3 entsprechende Schlüssel bzw. Geheimnisse kennen, welche den beiden Systemen 2, 3 über einen vorab ausgeführten Prozess mitgeteilt wurden. Wenn das Zugangskontrollsystem 2 mit mehreren Authentifizierungssystemen zusammenarbeitet, kann zur Kommunikation entweder dasselbe kryptographische Verfahren oder können zur Kommunikation verschiedene kryptographische Verfahren eingesetzt werden.
-
In 2 ist schematisch ein erfindungsgemäßes Fahrzeug 10 dargestellt, welches neben einer erfindungsgemäßen Steuerung 20 eine Diagnoseschnittstelle 7 umfasst. Auf diese Diagnoseschnittstelle 7 ist eine Diagnoseeinheit 8 gesteckt, um über die Diagnoseschnittstelle 7 mit bestimmten Steuergeräten des Fahrzeugs 10 zur Diagnose des Fahrzeugs 10 zu kommunizieren. Die Steuerung 20 umfasst dabei das Zugangskontrollsystem 2, das Authentifizierungssystem 3 und die Leseeinheit 4.
-
In 3 ist ein Flussplan des erfindungsgemäßen Verfahrens dargestellt. Wenn im Schritt S1 die Anfrage nach einer Kommunikationsverbindung zwischen der Diagnoseschnittstelle 7 und dem Fahrzeugnetz erfasst wird, wird im Schritt S2 überprüft, ob ein gültiger Codeträger (d. h. in der Regel ein für das Fahrzeug 10 berechtigter Fahrzeugschlüssel 1) im Fahrzeug 10 oder in der Nähe des Fahrzeugs 10 erfasst wird. Wenn dies der Fall ist, wird im Schritt S3 die Kommunikationsverbindung mit Hilfe der Steuerung 20 (genauer durch das Kontrollsystem 2 oder noch genauer durch das Steuerelement 5 (und das Steuerelement 6)) freigegeben. Wenn im Schritt S2 kein gültiger Codeträger erfasst wird, erfolgt keine Freigabe der Kommunikationsverbindung, wie es mit Schritt S4 dargestellt ist.
-
Bezugszeichenliste
-
- 1
- Fahrzeugschlüssel
- 2
- Zugangskontrollsystem
- 3
- Authentifizierungssystem
- 4
- Leseeinheit
- 5
- Steuerung der Freigabe der Leitungen
- 6
- Steuerung der Datenkontrolle
- 7
- OBD-Buchse bzw. Diagnoseschnittstelle
- 8
- Diagnoseeinheit
- 10
- Fahrzeug
- 11
- Spannungsversorgungsleitungen
- 12
- Datenübertragungsleitungen
- 13, 14
- Schalter
- 15, 16
- Anschlüsse
- 20
- Steuerung
- S1–S4
- Verfahrensschritt
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102007052438 A1 [0002]
- DE 102009051527 A1 [0003]
- WO 2005/002939 [0004]
- DE 102008020560 A1 [0005]