-
Die Erfindung betrifft ein Verfahren zur Steuerung eines Authentifizierungsschlüsselaustausches in Fahrzeugnetzwerken, wobei das Netzwerk durch eine vorgegebene Anzahl von Steuergeräten (3, 5, 7, 9) gebildet wird, welche über ein Fahrzeugbussystem (11) miteinander kommunizieren und zur manipulationssicheren Übertragung von Botschaften Authentifizierungsschlüssel mittels einer kryptographischen Funktion erzeugen, welche zur Verifizierung einer Botschaft genutzt werden, sowie ein Kraftfahrzeug zur Durchführung des Verfahrens.
-
Aus der
DE 44 11 451 C1 ist eine Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung bekannt, bei welcher ein asymmetrisches Signaturverfahren verwendet wird. Mittels dieses asymmetrischen Signaturverfahrens werden in einem Schlüssel Benutzercodeinformationen erzeugt. Die benutzerseitige Schlüsseleinheit weist ein Signaturerzeugungsteil des asymmetrischen Signaturverfahrens auf, der eine geheime Verschlüsselungsinformation beinhaltet, wobei in der fahrzeugseitigen Geräteeinheit der Verifikationsteil des asymmetrischen Signaturverfahrens implementiert ist, der eine nicht geheime Entschlüsselungsinformation beinhaltet, um so Benutzercode-Informationen, die eine neue Soll-Berechtigungsinformation enthalten, mit der durch das Signaturverfahren erzeugbaren Signatur von der Schlüsseleinheit zur Geräteeinheit des Fahrzeuges zu übertragen. Diese manipulationssichere Synchronisationsmöglichkeit von Schlüssel und Fahrzeug verhindert, dass fahrzeugseitig eine geheime Information abgelegt werden muss.
-
Bei fahrzeuginternen Kommunikationen, bei welchen eine vorgegebene Anzahl von Steuergeräten über ein Fahrzeugbussystem miteinander kommuniziert, wird zur Herstellung einer Manipulationssicherheit für jedes Steuergerät ein Authentifizierungsschlüssel mittels kryptographischer Funktion berechnet. Mittels dieses Authentisierungsschlüssels berechnet der Sender zu einer Botschaft einen Nachrichtenauthentifizierungscode und verschickt diesen zusammen mit der eigentlichen Nachricht. Der Empfänger prüft den Nachrichtenauthentifizierungscode mit demselben Authentisierungsschlüssel. Diese Authentifizierungsschlüssel müssen manipulationssicher und vertraulich zwischen den, an der Kommunikation beteiligten Fahrzeugsteuergeräten ausgehandelt und ausgetauscht werden. Die Erzeugung und Verwaltung solcher Authentifizierungsschlüssel erfordert viel Rechenzeit und ist darüber hinaus kostenintensiv.
-
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren anzugeben, bei welchem eine Schlüsselerzeugung, der Authentifizierungsschlüsselaustausch und die Schlüsselaktivierung einfach durchzuführen ist.
-
Die Erfindung ergibt sich aus den Merkmalen der unabhängigen Ansprüche. Vorteilhafte Weiterbildungen und Ausgestaltungen sind Gegenstand der abhängigen Ansprüche. Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung, sowie der Erläuterung von Ausführungsbeispielen der Erfindung, die in den Figuren dargestellt sind.
-
Die Aufgabe ist mit einem Verfahren dadurch gelöst, dass die Authentifizierungsschlüssel aller an dem Fahrzeugbussystem angeschlossener Steuergeräte in vorgegebenen Abständen erneuert und gegenseitig ausgetauscht werden, wobei die erneuerten Authentifizierungsschlüssel nach deren Aktivierung zur Verifizierung der Kommunikation verwendet werden.
-
Dies hat den Vorteil, dass der kryptographische Authentifizierungsschlüssel in relativ kurzen Zeitintervallen geändert wird, weshalb auch ein relativ kurzer Authentifizierungsschlüssel gewählt werden kann. Somit wird für die Erzeugung des Authentifizierungsschlüssels nur eine kurze Rechenzeit benötigt, was zu einer kostengünstigen Authentifizierungsschlüsselerzeugung führt. Die häufige Änderung der Authentifizierungsschlüssel erhöht die Manipulationssicherheit zur Fahrzeugkommunikation.
-
In einer Ausgestaltung werden die erneuerten Authentifizierungsschlüssel der Steuergeräte nach dem Empfang in dem jeweiligen Steuergerät gespeichert und zur Aktualisierung annähernd zeitgleich auf den erneuerten Authentifizierungsschlüssel umgeschaltet. Aufgrund der kurzen Gültigkeitsdauer der Authentifizierungsschlüssel kann auf einen geschützten Speicherbereich für die Authentifizierungsschlüssel im Steuergerät verzichtet werden. Eine aufwändige Authentifizierungsschlüsselverwaltung für Produktion oder Reparatur der Steuergeräte kann entfallen, da innerhalb kürzester Zeit wieder ein neuer Authentifizierungsschlüssel generiert wird.
-
In einer Ausgestaltung werden die Steuergeräte zur Steuerung des Austausches der erneuerten Authentifizierungsschlüssel von einem Timer der Steuergeräte getaktet, welcher die kürzeste Wiederholzeit aufweist. In einer Alternative wird der Austausch der erneuerten Authentifizierungsschlüssel über ein externes Ereignis ausgelöst. Dieses externe Ereignis kann beispielsweise durch einen Zündschlüssel aktiviert werden. Dies gewährleistet, dass mittels an sich in den Steuergeräten vorhandener Bauelemente der Wechsel auf einen neuen Authentifizierungsschlüssel gesteuert wird. Dies erlaubt eine kostengünstige Durchführung des Verfahrens.
-
In einer Ausführungsform werden die Authentifizierungsschlüssel vertraulich und manipulationssicher ausgetauscht. Dabei erzeugt ein Steuergerät einen neuen Authentifizierungsschlüssel, welcher an alle in dem Fahrzeugnetzwerk verbundenen Steuergeräte übertragen wird.
-
Alternativ werden die Authentifizierungsschlüssel manipulationssicher zwischen allen Steuergeräten ausgehandelt.
-
In einer Variante werden die, den Austausch der Authentifizierungsschlüssel betreffenden Botschaften durch einen Nachrichtenauthentifizierungscode gesichert. Damit wird eine zusätzliche Sicherheit zu den an sich erneuerten Authentifizierungsschlüsseln geschaffen, wenn diese von einem zu den anderen Steuergeräten über das Fahrzeugbussystem gesendet werden.
-
Vorteilhafterweise werden der Nachrichtenauthentisierungscode auf einer Grundlage der zuvor unter den Steuergeräten ausgetauschten erneuerten Authentifizierungsschlüssel, vorzugsweise durch eine Hash-Funktion, erzeugt. Mittels dieser Hash-Funktion und des Authentifizierungsschlüssels wird eine Nachricht beliebiger Länge auf eine Zeichenfolge mit fester Länge abgebildet, die als Nachrichtenauthentisierungscode bezeichnet wird.
-
In einer Ausführungsform werden nach der Aktualisierung der individuellen Authentifizierungsschlüssel der Steuergeräte diese in einer Tabelle jedes Steuergerätes abgelegt. Eine solche Tabelle erlaubt eine einfache Verwaltung und nimmt wenig Speicherplatz in Anspruch.
-
Eine Weiterbildung der Erfindung betrifft ein Fahrzeug, mit einer vorgegebenen Anzahl von Steuergeräten, welche über ein Fahrzeugbussystem miteinander verbunden sind und autorisierte und/oder verschlüsselte Botschaften austauschen, wobei jedes Steuergerät umfasst
- – einen Speicher zur Speicherung von Authentifizierungsschlüsseln der anderen Steuergeräte zur Decodierung der empfangenen autorisierten und/oder verschlüsselten Botschaft,
- – Mittel zur Erneuerung des eigenen Authentifizierungsschlüssels,
- – Mittel zur Übersendung des erneuerten eigenen Authentifizierungsschlüssels an die anderen Steuergeräte,
- – Mittel zur Aktivierung der von den anderen Steuergeräten empfangenen Authentifizierungsschlüssel zur Authentifizierung der Kommunikation über das Fahrzeugbussystem.
-
Eine solche Anordnung hat den Vorteil, dass eine kostengünstige Authentifizierungsschlüsselerzeugung in jedem Steuergerät sowie ein einfacher Schlüsselaustausch zwischen den Steuergeräten möglich sind, welche auf dem Fahrzeugbussystem eine fahrzeuginterne gesicherte Kommunikation ermöglichen.
-
Vorteilhafterweise weist jedes Steuergerät einen programmierbaren Timer auf, wobei die verschiedenen Timer der Steuergeräte eine unterschiedlich lange Wiederholzeit besitzen, und derjenige Timer mit der kürzesten Wiederholzeit die Mittel zur Übersendung der erneuerten Authentifizierungsschlüssel zum Authentifizierungsschlüsselaustausch anregt. Somit wird ein an sich im Fahrzeug vorhandenes Bauelement genutzt, um den Austausch der Authentifizierungsschlüssel zu initiieren.
-
In einer Alternative ist das Steuergerät mit einer Einheit zur Detektierung eines externen Ereignisses verbunden, wobei das Steuergerät nach einem Empfang des, von der Einheit zur Detektierung des externen Ereignisses ausgesandten Signales die Mittel zur Übersendung der erneuerten Authentifizierungsschlüssel zum Authentifizierungsschlüsselaustausch anregt. Ein solches externes Ereignis wird beispielsweise durch einen Zündschlüssel gesteuert.
-
Weitere Vorteile, Merkmale und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung, in der – gegebenenfalls unter Bezug auf die Zeichnung – zumindest ein Ausführungsbeispiel im Einzelnen beschrieben ist. Beschriebene und/oder bildlich dargestellte Merkmale können für sich oder in beliebiger, sinnvoller Kombination den Gegenstand der Erfindung bilden, gegebenenfalls auch unabhängig von den Ansprüchen, und können insbesondere zusätzlich auch Gegenstand einer oder mehrerer separater Anmeldung/en sein. Gleiche, ähnliche und/oder funktionsgleiche Teile sind mit gleichen Bezugszeichen versehen.
-
Es zeigen:
-
1 ein Ausführungsbeispiel des erfindungsgemäßen Kraftfahrzeuges,
-
2 ein Ausführungsbeispiel zum Austausch erneuerter Authentifizierungsschlüssel unter den Steuergeräten eines Fahrzeuges.
-
In 1 ist ein Fahrzeug 1 dargestellt, welches eine vorgegebene Anzahl von Steuergeräten aufweist. Der Übersichtlichkeit halber sind hier nur vier Steuergeräte angegeben. Diese Steuergeräte 3, 5, 7, 9 sind über ein Fahrzeugbussystem 11, vorzugsweise einen CAN-Bus, untereinander verbunden und tauschen über diesen CAN-Bus 11 Informationen aus.
-
Wie aus 2 ersichtlich, weisen die vier Steuergeräte 3, 5, 7, 9 jeweils einen Timer 31, 51, 71, 91 und eine Authentifizierungsschlüsseltabelle 33, 53, 73, 93 auf. Die Steuergeräte 3, 5, 7, 9 erzeugen in vorgegebenen Zeitabständen jeweils einen neuen eigenen Authentifizierungsschlüssel mittels einer kryptographischen Funktion. In den verschiedenen Darstellungen der 2 sind die Abläufe dargestellt, in welchen der Austausch von neu erzeugten Authentifizierungsschlüsseln zwischen den Steuergeräten 3, 5, 7, 9 erfolgt. So werden die neuen Authentifizierungsschlüssel, annähernd zeitgleich, zwischen dem Steuergerät 3 und den Steuergeräten 5, 7, 9 ausgetauscht. Anschließend tauscht das Steuergerät 5 erneuerte Authentifizierungsschlüssel mit dem Steuergerät 7 und dem Steuergerät 9 aus. Daraufhin erfolgt ein Austausch der in den Steuergeräten 7 und 9 erzeugten Authentifizierungsschlüssel untereinander.
-
Die Timer 31, 51, 71, 91 besitzen eine unterschiedlich lange Wiederholzeit. So kann z. B. der Timer 31 des Steuergerätes 3 eine Wiederholrate von 10 Sekunden besitzen, der Timer 51 des Steuergerätes 5 eine Wiederholrate von 20 Sekunden, der Timer 71 des Steuergerätes 7 von 30 Sekunden usw. Für den Authentifizierungsschlüsselaustausch wird der Timer 31, 51, 71, 91 mit der kürzesten Wiederholzeit genutzt. Dies ist der Timer 31 des Steuergerätes 3.
-
In einer Alternative haben alle Timer 31, 51, 71, 91 die gleiche Wiederholzeit, werden aber zeitlich nacheinander gestartet. Damit läuft Timer 31 nach 10 s ab, Timer 51 nach 11 s usw.
-
Nach Ablauf der Zeit des Timers 31 wird der Authentifizierungsschlüsselaustausch zwischen den Steuergeräten 3, 5, 7, 9 angestoßen, indem in der beschriebenen Art und Weise die Authentifizierungsschlüssel zwischen den Steuergeräten ausgetauscht werden. Jedes Steuergerät 3, 5, 7, 9 speichert dabei die ausgetauschten Authentifizierungsschlüssel in der Authentifizierungsschlüsseltabelle 33, 53, 73, 93.
-
Der beschriebene Vorgang setzt sich bis zum letzten vorhandenen Steuergerät n fort. Danach sind alle Authentifizierungsschlüssel in allen Steuergeräten aktualisiert und stehen jedem Steuergerät in seiner Authentifizierungsschlüsseltabelle 33, 53, 73, 93 zur Verfügung. Nach einer kurzen Verzögerungszeit, die auf den Abschluss des Authentifizierungsschlüsselaustausches folgt und beispielsweise 1 Sekunde beträgt, wechseln alle Steuergeräte 3, 5, 7, 9, n von dem alten Authentifizierungsschlüssel auf den erneuerten Authentifizierungsschlüssel und verwenden diese bei einer Kommunikation über das Fahrzeugbussystem 11 zur Authentifizierung ihrer Botschaften. Hierzu weisen die Botschaften einen Nachrichtenauthentifizierungscode auf. Ein solcher Nachrichtenauthentifizierungscode (Message Authentification Code – MAC) wird mittels der zuvor ausgetauschten Authentifizierungsschlüssel durch eine Hash-Funktion erzeugt. Diese zusätzliche Sicherung lässt Veränderungen im Netzwerk leicht erkennen und erschwert erfolgreiche Hackerangriffe.
-
Obwohl die Erfindung im Detail durch bevorzugte Ausführungsbeispiele näher illustriert und erläutert wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Es ist daher klar, dass eine Vielzahl von Variationsmöglichkeiten existiert. Es ist ebenfalls klar, dass beispielhaft genannte Ausführungsformen wirklich nur Beispiele darstellen, die nicht in irgendeiner Weise als Begrenzung etwa des Schutzbereichs, der Anwendungsmöglichkeiten oder der Konfiguration der Erfindung aufzufassen sind. Vielmehr versetzen die vorhergehende Beschreibung und die Figurenbeschreibung den Fachmann in die Lage, die beispielhaften Ausführungsformen konkret umzusetzen, wobei der Fachmann in Kenntnis des offenbarten Erfindungsgedankens vielfältige Änderungen beispielsweise hinsichtlich der Funktion oder der Anordnung einzelner, in einer beispielhaften Ausführungsform genannter Elemente vornehmen kann, ohne den Schutzbereich zu verlassen, der durch die Ansprüche und deren rechtliche Entsprechungen, von etwa weitergehenden Erläuterungen in der Beschreibung, definiert wird.
-
Bezugszeichenliste
-
- 1
- Fahrzeug
- 3
- Steuergerät
- 31
- Timer
- 33
- Schlüsseltabelle
- 5
- Steuergerät
- 51
- Timer
- 53
- Schlüsseltabelle
- 7
- Steuergerät
- 71
- Timer
- 73
- Schlüsseltabelle
- 9
- Steuergerät
- 91
- Timer
- 93
- Schlüsseltabelle
- 11
- Fahrzeugbussystem
- n
- Steuergerät
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-