-
Die Erfindung betrifft ein Verfahren zum Betrieb eines Kraftfahrzeugs mit mehreren Steuergeräten, die über wenigstens ein Bussystem kommunizieren, und einem Diagnoseanschluss zum externen Zugriff auf das wenigstens eine Bussystem, wobei dem Diagnoseanschluss ein dessen Betrieb steuerndes Anschlusssteuergerät der Steuergeräte zugeordnet ist. Daneben betrifft die Erfindung ein Kraftfahrzeug.
-
Steuergeräte moderner Kraftfahrzeuge werden über wenigstens ein Bussystem miteinander verbunden, wobei häufig mehrere Bussysteme eingesetzt werden. Die durch das wenigstens eine Bussystem realisierte Kommunikationsarchitektur erlaubt es dem Steuergerät sowie weiteren angeschlossenen Komponenten des Kraftfahrzeugs, insbesondere Sensoren, Informationen auszutauschen, so dass die Funktion der einzelnen Steuergeräte sichergestellt werden kann. Bei der Verwendung mehrerer Bussysteme ist es bekannt, ein Gateway-Steuergerät zu verwenden, das den Austausch von Daten zwischen den unterschiedlichen Bussystemen steuern kann.
-
Die Verbindung der Steuergeräte über wenigstens ein Bussystem eröffnet auch die Möglichkeit, zentral Diagnoseinformationen der Steuergeräte abzurufen und/oder sogar Einstellungen, Software und dergleichen auf einzelnen Steuergeräten zu ändern. Hierfür ist es bekannt, an Kraftfahrzeugen einen Diagnoseanschluss (auch: Diagnoseschnittstelle) vorzusehen, an die ein externes Gerät, beispielsweise ein sogenannter „Tester”, angeschlossen werden kann, um beispielsweise Fehlerspeicher auszulesen, der Diagnose dienende Signale auf das wenigstens eine Bussystem zu geben und dergleichen. Nachdem ein derartiges Vorgehen häufig als „Onboard-Diagnose” (OBD) bezeichnet wird, wird der Diagnoseanschluss auch als OBD-Anschluss bezeichnet. Der Diagnoseanschluss bzw. dessen Betrieb wird von einem Anschlusssteuergerät überwacht bzw. gesteuert, wobei bei mehreren Bussystemen das Anschlusssteuergerät meist dem Gateway-Steuergerät entspricht, welches dann auch den Informationsaustausch zwischen dem Diagnoseanschluss und den Bussystemen steuert.
-
Problematisch hierbei ist, dass es über den Diagnoseanschluss zum einen möglich ist, Informationen über die Funktion verschiedener Fahrzeugsysteme abzurufen, die gegebenenfalls Manipulationen am Kraftfahrzeug vereinfachen, zum anderen gegebenenfalls Konfigurationen von Steuergeräten durch den Zugriff auf das wenigstens eine Bussystem verändert werden können. Beispielsweise könnten Daten über eine Alarmanlage (Diebstahlwarnanlage – DWA) des Kraftfahrzeugs abgerufen und bei einem Diebstahl des Kraftfahrzeugs eingesetzt werden; ferner sind ähnlich wie bei Computersystemen böswillige Angriffe auf die Funktionsfähigkeit des Kraftfahrzeugs mittels des Diagnoseanschlusses grundsätzlich denkbar.
-
Der Erfindung liegt daher die Aufgabe zugrunde, die Sicherheit für das Kraftfahrzeug insbesondere im abgestellten Zustand zu erhöhen.
-
Zur Lösung dieser Aufgabe ist bei einem Verfahren der eingangs genannten Art erfindungsgemäß vorgesehen, dass bei einem Verriegeln und/oder Abschalten des Kraftfahrzeugs ein Sperrsignal erzeugt und dem Anschlusssteuergerät zugeführt wird, welches bei vorliegendem Sperrsignal einen Sperrbetriebsmodus aktiviert, in dem der Zugriff auf das Bussystem über den Diagnoseanschluss gesperrt ist oder nur nach einem gegenüber dem sonstigen Zugriff eine zusätzliche Autorisierung erfordernden Autorisierungsvorgang erlaubt wird.
-
Die Erfindung schlägt mithin vor, den Diagnosezugang über den Diagnoseanschluss (Diagnoseschnittstelle) in der Art und Weise abzusichern, dass bei einem abgeschalteten oder bevorzugt bei einem verriegelten Kraftfahrzeug entweder gar keine Diagnose stattfinden kann oder eine Diagnose bzw. allgemein ein Zugang über den Diagnoseanschluss nur bei einer erfolgreichen Autorisierung möglich ist. Dabei sieht die bevorzugte Ausgestaltung der Erfindung vor, das Sperrsignal immer dann zu erzeugen, wenn das Kraftfahrzeug verriegelt wird, da durch diese Aktion klar herausgestellt wird, dass auch seitens des Fahrzeugführers kein Zugriff auf das Kraftfahrzeug gewünscht ist. Ein Sperrsignal bei Abschalten des Kraftfahrzeugs ist etwas weniger bevorzugt, da häufig Diagnosen auch bei abgeschalteten Kraftfahrzeug, beispielsweise in einer Werkstatt, vorgenommen werden und eine Art der Autorisierung durch den erfolgreichen, autorisierten Entriegelungsvorgang ja bereits vorgenommen ist. Ferner ist es bevorzugt, den Zugriff auf den Diagnoseanschluss bei Vorliegen des Sperrsignals gänzlich zu sperren, insbesondere dann, wenn zum Aktivieren des Sperrbetriebsmodus das Verriegeln des Kraftfahrzeugs herangezogen wird, da im verriegelten Zustand des Kraftfahrzeugs ohnehin niemand den Diagnoseanschluss nutzen können sollte, um Zugriff zu dem wenigstens einen Bussystem zu erhalten.
-
Insbesondere erhöht also das erfindungsgemäße Vorgehen die Sicherheit des Kraftfahrzeugs, insbesondere, indem der Fahrzeugzustand bei abgeschaltetem oder bevorzugt verriegeltem Kraftfahrzeug sichergestellt wird.
-
Dabei sei an dieser Stelle noch angemerkt, dass das erfindungsgemäße Verfahren unabhängig von einer grundsätzlich vorgesehenen Autorisierung vor dem Zugriff auf das wenigstens eine Bussystem über den Diagnoseanschluss realisiert werden kann, das bedeutet, es kann im Normalbetriebsmodus bereits vorgesehen sein, dass ein weiterer Autorisierungsvorgang für den Zugriff über den Diagnoseanschluss erforderlich ist. Liegt im Sperrbetriebsmodus keine vollständige Sperrung vor, sondern ist es auch im Sperrbetriebsmodus möglich, durch den Autorisierungsvorgang Zugriff auf das wenigstens eine Bussystem des Kraftfahrzeugs zu erhalten, geht dieser Autorisierungsvorgang über den weiteren Autorisierungsvorgang im Normalbetriebsmodus hinaus, indem eine zusätzliche Autorisierung angefordert wird, das bedeutet, die Sicherheit wird gegenüber dem Normalbetriebsmodus im Sperrbetriebsmodus in jedem Fall erhöht.
-
In Weiterbildung des Verfahrens kann vorgesehen sein, dass der Sperrbetriebsmodus bei Vorliegen eines ein Entriegeln und/oder ein Anschalten des Kraftfahrzeugs anzeigenden Entsperrsignals wieder deaktiviert wird. Das bedeutet, wenn das Kraftfahrzeug wieder entriegelt wird (bevorzugt) bzw. wieder angeschaltet wird, kann der Sperrbetriebsmodus zu Gunsten eines Normalbetriebsmodus wieder beendet werden. Hierzu wird ein Entsperrsignal bevorzugt von derselben Einrichtung wie das Sperrsignal erzeugt.
-
Eine besonders vorteilhafte Ausgestaltung sieht vor, dass bei einem mehrere Bussysteme aufweisenden Kraftfahrzeug das Anschlusssteuergerät ein den Austausch zwischen den unterschiedlichen Bussystemen steuerndes Gateway-Steuergerät ist. Derartige Gateway-Steuergeräte wurden eingangs bereits beschrieben, wobei eine Funktion zum Datenaustausch zwischen dem Diagnoseanschluss und den Bussystemen dort leicht zu integrieren ist, nachdem das Gateway-Steuergerät bereits den Austausch zwischen den Bussystemen steuert. Liegt nun der Sperrbetriebsmodus vor, kann das Gateway-Steuergerät beispielsweise jegliche Zugriffe auf die Bussysteme ausgehend vom Diagnoseanschluss verhindern bzw. in der anderen Ausgestaltung im Rahmen des Autorisierungsvorgangs zunächst eine Autorisierung anfordern.
-
Besonders bevorzugt ist es ferner, wenn das Sperrsignal von einem einem Schließsystem zugeordneten Verriegelungssteuergerät ermittelt wird. Beispielsweise kann es sich dabei um ein Verriegelungssteuergerät einer Zentralverriegelung handeln. Immer also dann, wenn das Verriegelungssteuergerät feststellt, dass ein Verriegelungsvorgang vorliegt, wird auch das Sperrsignal an das Anschlusssteuergerät, insbesondere das Gateway-Steuergerät, übermittelt, sodass in den Sperrbetriebsmodus umgeschaltet werden kann. Selbstverständlich liegt im Verriegelungssteuergerät auch das Wissen über ein Entriegeln des Kraftfahrzeugs vor, so dass dort zweckmäßigerweise auch das Entsperrsignal bei einem Entriegeln des Kraftfahrzeugs erzeugt werden kann.
-
Eine besonders vorteilhafte Ausgestaltung des erfindungsgemäßen Verfahrens ist auch dann gegeben, wenn im Sperrbetriebsmodus bei einem nicht autorisierten Zugriff auf den Diagnoseanschluss ein Alarmsignal an eine Alarmanlage des Kraftfahrzeugs übermittelt wird. Ist also ein Zugriff auf das wenigstens eine Bussystem über den Diagnoseanschluss grundsätzlich gesperrt (und somit niemals autorisiert) oder scheitert der Autorisierungsvorgang, kann ein Alarmsignal an eine Alarmanlage des Kraftfahrzeugs übermittelt werden, da mit höchster Wahrscheinlichkeit ein Angriff auf das Kraftfahrzeug vorlag. Bei der Alarmanlage kann es sich beispielsweise um eine Diebstahlwarnanlage (DWA) handeln, so dass neben durch die Alarmanlage ohnehin überwachten unbefugten mechanischen Zugriffen auf das Kraftfahrzeug auch unbefugte elektronische Zugriffe auf das Kraftfahrzeug über den Diagnoseanschluss mit einer entsprechenden Reaktion bedacht werden können.
-
So kann beispielsweise vorgesehen sein, dass die Alarmanlage bei Empfang des Alarmsignals einen optischen und/oder akustischen Alarm auslöst und/oder eine den Zugriff meldende Zugriffsinformation an eine dem Fahrer des Kraftfahrzeugs und/oder eine einer Behörde zugeordnete Kommunikationseinrichtung übermittelt. Auf diese Weise ist also insbesondere eine Alarmauslösung bei Erkennen einer versuchten Diagnose und eines sonstigen Zugriffs bei einem verriegelten Kraftfahrzeug möglich. Beispielsweise können die optischen und/oder akustischen Alarme verwendet werden, die auch bei unbefugten mechanischen Zugriffen verwendet werden, beispielsweise Alarmsirenen, Blinklichter und dergleichen. Zweckmäßig kann es jedoch auch sein, insbesondere dann, wenn das Kraftfahrzeug mit einem externen Netzwerk, beispielsweise einem Mobilfunknetz, verbunden ist bzw. eine derartige Verbindung aufbauen kann, unmittelbar den Besitzer des Kraftfahrzeugs und/oder eine Behörde, insbesondere die Polizei, über den unbefugten Zugriffversuch zu informieren. Bei der dem Fahrer des Kraftfahrzeugs zugeordneten Kommunikationseinrichtung kann es sich beispielsweise um ein Mobilgerät, insbesondere ein Mobiltelefon, handeln, so dass die Zugriffsinformation beispielsweise per SMS oder dergleichen übermittelt werden kann.
-
Findet keine vollständige Sperrung in dem Sperrbetriebsmodus statt, sondern kann über den Autorisierungsvorgang dennoch ein Zugriff erlangt werden, so kann vorgesehen sein, dass in dem Autorisierungsvorgang als Autorisierungsinformation eine eine Person beschreibende Identifikationsinformation und/oder eine kraftfahrzeugspezifische Zugangsinformation als Eingabe entgegengenommen wird und mit einer in dem Kraftfahrzeug abgelegten Vergleichsinformation verglichen wird. Die Autorisierung kann sich also auf eine Person beziehen, die Zugriff erhalten möchte, oder aber, gegebenenfalls zusätzlich, auch auf eine kraftfahrzeugspezifische Zugangsinformation, beispielsweise eine PIN oder dergleichen. In diesem Kontext, aber auch allgemein, ist es zudem äußerst vorteilhaft, wenn der Autorisierungsvorgang an sich gewissen Sicherheitsmaßstäben genügt. Mithin sieht eine zweckmäßige Weiterbildung der Erfindung vor, dass in dem Autorisierungsvorgang eine Public-Key-Infrastruktur (PKI) und/oder ein Challenge-Response-Verfahren verwendet wird.
-
Im Rahmen einer PKI kann beispielsweise eine einen öffentlichen Schlüssel tragende PKI-Karte verwendet werden, die die Zugriff suchende Person zumindest als autorisierte Person identifizieren kann, beispielsweise als Mitarbeiter einer Werkstatt oder dergleichen. Denkbar ist es natürlich auch, eine dem Kraftfahrzeug zugeordnete PKI-Karte zur Verfügung zu stellen, die von dem Fahrzeugführer bzw. dem Besitzer des Kraftfahrzeugs bereitzuhalten ist. Besonders zweckmäßig ist es dabei, wenn zusätzlich zu der Überprüfung mit einer PKI-Karte ein Passwort abgefragt wird, welches mit einer zentralen Datenbank abgeglichen werden kann. So wird vermieden, dass beispielsweise der Fund einer PKI-Karte allein schon Zugriff gewähren kann. Die Nutzung eines Passworts alleine liegt im Übrigen auch im möglichen Umfang des erfindungsgemäßen Vorgehens.
-
Challenge-Response-Verfahren sind im Stand der Technik bereits bekannt und können beispielsweise dadurch realisiert werden, dass das Anschlusssteuergerät eine Zufallszahl erzeugt und an das an dem Diagnoseanschluss angeschlossene Gerät sendet. Dieses Gerät kann die Zufallszahl auf verschiedene Art und Weise nutzen, um ihre Autorisierungsinformation zu verschlüsseln, beispielsweise durch Verwendung einer kryptologischen Hashfunktion. Das Gerät sendet das Ergebnis dann an das Anschlusssteuergerät zurück, so dass das Anschlusssteuergerät sowohl die Zufallszahl als auch die Autorisierungsinformation daraus extrahieren kann. Entspricht die Autorisierungsinformation einer Vergleichsinformation, war der Autorisierungsvorgang erfolgreich. Auch im Rahmen eines Challenge-Response-Verfahrens sind Ausführungsbeispiele denkbar, die eine zentrale Datenbank nutzen, um beidseitig im Rahmen des Autorisierungsvorgangs benötigte Daten, insbesondere Schlüssel, abzurufen.
-
Selbstverständlich können auch andere Möglichkeiten eingesetzt werden, um den Autorisierungsvorgang möglichst sicher zu gestalten.
-
Neben dem Verfahren betrifft die Erfindung auch ein Kraftfahrzeug, aufweisend wenigstens ein zur Durchführung des erfindungsgemäßen Verfahrens ausgebildetes Steuergerät. Dabei wird das erfindungsgemäße Verfahren im erfindungsgemäßen Kraftfahrzeug meist durch das Zusammenwirken mehrerer Steuergeräte ausgeführt werden, beispielsweise durch das Anschlusssteuergerät gemeinsam mit dem Verriegelungssteuergerät. Sämtliche Ausführungen bezüglich des erfindungsgemäßen Verfahrens lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen.
-
Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnungen. Dabei zeigen:
-
1 eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeugs und
-
2 eine Skizze zum Ablauf des erfindungsgemäßen Verfahrens.
-
1 zeigt eine Prinzipskizze eines erfindungsgemäßen Kraftfahrzeug 1. Das Kraftfahrzeug 1 weist eine Vielzahl von Steuergeräten auf, von denen beispielhaft die Steuergeräte 2 bis 8 gezeigt sind. Zur Kommunikation der Steuergeräte 2 bis 8 untereinander sind mehrere Bussysteme vorgesehen, von denen hier beispielhaft die Bussysteme 9 bis 13 gezeigt sind.
-
Die Bussysteme 9 bis 13 werden durch ein Gateway-Steuergerät 5 verknüpft, das vorliegend auch den Betrieb eines Diagnoseanschlusses 14 steuert, der über das Bussystem 13, das hier als Diagnose-CAN ausgebildet ist, mit dem Gateway-Steuergerät 5 verbunden ist. Das Gateway-Steuergerät 5 steuert den Datenaustausch zwischen sämtlichen Bussystemen 9 bis 13.
-
Das weitere beispielhafte Bussystem 9 ist der Motor-CAN, an den hier beispielhaft das Getriebe-Steuergerät 2 und das Motor-Steuergerät 3 angeschlossen gezeigt sind. Das Bussystem 10 ist wiederum als ein CAN-Bus ausgebildet und verbindet verschiedene Funktionalitäten erfüllende Steuersysteme, wobei beispielhaft das Steuergerät 4 einer Alarmanlage 15 des Kraftfahrzeugs 1 gezeigt ist.
-
Das Bussystem 11 ist ein weiterer CAN-Bus, an den vorliegend beispielhaft gezeigt ein Verriegelungssteuergerät 6 der Zentralverriegelung angeschlossen ist. Das Bussystem 12 ist als ein Flexray-Bus ausgebildet, der beispielsweise schnell agierende Fahrerassistenzsysteme verknüpfen kann, wobei beispielhaft das Steuergerät 7 und das Steuergerät 8 einem Längsführungssystem, insbesondere einem ACC-System, zugeordnet sein können.
-
In dem dargestellten Kraftfahrzeug 1 kann das erfindungsgemäße Verfahren ausgeführt werden, an dem insbesondere das Gateway-Steuergerät 5, das auch als Anschlusssteuergerät für den Diagnoseanschluss 14 wirkt, das Verriegelungssteuergerät 6 und das Alarmanlagen-Steuergerät 4 beteiligt sind. Ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens soll nun mit Hinblick auf 2 näher erläutert werden.
-
Dabei soll davon ausgegangen werden, dass sich das Gateway-Steuergerät 5 zu Beginn in einem Normalbetriebsmodus für den Diagnoseanschluss 14 befindet. Wird dann in einem Schritt S1 ein Verriegelungsvorgang des Kraftfahrzeugs 1 vorgenommen, so ist dies selbstverständlich im Verriegelungssteuergerät 6 bekannt, welches ein Sperrsignal an das Gateway-Steuergerät 5 über das Bussystem 11 sendet, Schritt S2. In einem Schritt S3 schaltet das Gateway-Steuergerät 5 bezüglich des Diagnoseanschlusses 14 in einen Sperrbetriebsmodus. In dem Sperrbetriebsmodus kann entweder vorgesehen sein, dass über den Diagnoseanschluss 14 überhaupt kein Zugriff auf die anderen Bussysteme 9 bis 12 erhalten werden darf, es ist jedoch auch denkbar, dass Zugriff auf Bussysteme 9 bis 12 und somit die Steuergeräte 2 bis 8 bei erfolgreichem Abschluss eines Autorisierungsvorgangs erlaubt wird. Wird auch im Normalbetriebsmodus eine Autorisierung gefordert, ist der Autorisierungsvorgang im Sperrbetriebsmodus demgegenüber bevorzugt erweitert, das bedeutet, es wird eine zusätzliche Autorisierung angefordert.
-
Ist Zugang durch den Autorisierungsvorgang möglich, wird dann, wenn ein Gerät an den Diagnoseanschluss 14 angeschlossen wird, während der Sperrbetriebsmodus aktiv ist, in einem Schritt S4 dieser Autorisierungsvorgang gestartet. Im vorliegenden Ausführungsvorfall kombiniert der Autorisierungsvorgang eine PKI mit einem Challenge-Response-Verfahren, indem bei Anschluss des Geräts an den Diagnoseanschluss 14 das Gateway-Steuergerät 5 eine Zufallszahl erzeugt und als „Challenge” an das Gerät sendet. Dieses fügt die PKI-Information hinzu und verschlüsselt die so insgesamt entstehende Autorisierungsinformation mittels der Zufallszahl. Die Autorisierungsinformation wird an das Gateway-Steuergerät 5 zurückübertragen, wo nicht nur die verschlüsselte Autorisierungsinformation aufgrund der bekannten Zufallszahl entschlüsselt werden kann, sondern auch der als Autorisierungsinformation hier enthaltene öffentliche Schlüssel verifiziert werden kann. Selbstverständlich kann der Autorisierungsvorgang auch weitere, die Sicherheit erhöhende Autorisierungsschritte umfassen oder anderweitig ausgebildet sein.
-
Ist der Autorisierungsvorgang erfolgreich, kann in einem Schritt S5 wie gewohnt über den Diagnoseanschluss 14 ein Zugriff auch auf die weiteren Bussysteme 9 bis 12 sowie die Steuergeräte 2 bis 8 erhalten werden. Es kann beispielsweise eine Diagnose durchgeführt werden.
-
Schlägt der Autorisierungsvorgang jedoch fehl oder ist ohnehin kein Zugriff im Sperrbetriebsmodus erlaubt, wird in einem Schritt S6 ein Alarmsignal an die Alarmanlage 15, konkret das Alarmanlagen-Steuergerät 4, gesendet. Das Steuergerät 4 steuert beim Empfang des Alarmsignals wenigstens einen Alarmgeber 16 zur Ausgabe eines optischen und/oder akustischen Alarms an.
-
Es ist in einer Weiterbildung auch denkbar, dass zugleich eine Zugriffsinformation an eine externe Kommunikationseinrichtung übermittelt wird, beispielsweise ein Mobiltelefon des Fahrers des Kraftfahrzeugs 1 oder eine der Polizei zugehörige Kommunikationseinrichtung.
-
Es sei schließlich noch angemerkt, dass bei Kraftfahrzeugen, bei denen auch während der Fahrt eine Verriegelung auftreten kann, selbstverständlich vor Aussenden des Sperrsignals, wenn ein Diagnosezugang während der Fahrt erlaubt werden soll, auch überprüft werden kann, ob das Kraftfahrzeug angeschaltet oder ausgeschaltet ist, so dass beispielsweise das Sperrsignal nur bei Verriegelung des Kraftfahrzeugs gegeben wird, wenn dieses auch ausgeschaltet ist („Zündung aus”).