-
Die vorliegende Erfindung betrifft ein Verfahren zur Überprüfung der Datenintegrität einer C2C Übertragung.
-
Aus der deutschen Offenlegungsschrift
DE 100 08 974 A1 ist ein Signaturverfahren für die Authentizitätsprüfung einer Flashware für ein Steuergerät in einem Kraftfahrzeug bekannt. Bei diesem Verfahren wird die Flashware mit einer sogenannten elektronischen Unterschrift versehen. Zur Erstellung der elektronischen Unterschrift wird von der Flashware mittels der an sich bekannten Hash-Funktion ein sogenannter Hash-Code generiert. Dieser Hash-Code wird mittels eines Public-Key-Verfahrens verschlüsselt. Als Public-Key-Verfahren wird vorzugsweise das RSA-Verfahren, benannt nach den Erfindern Rivest, Shamir und Adleman, eingesetzt. Der verschlüsselte Hash-Code wird dem zu übertragenden Anwendungsprogramm angehängt. Im Steuergerät wird der verschlüsselte Hash-Code mit dem öffentlichen Schlüssel entschlüsselt und mit dem im Steuergerät berechneten Hash-Code über die Flashware verglichen. Stimmen beide Hash-Codes überein, ist die übertragene Flashware authentisch. Eine Überprüfung auf Übertragungsfehler ist dem Signaturverfahren nicht zu entnehmen.
-
Aus
DE 100 32 301 A1 ist ein Fahrdatengewinnungs-, Fahrdatenübermittlungs- und Fahrdatenausgabesystem zum Einsatz in einem öffentlichen Nah- oder Fernverkehrsnetz mit Fahrdatengenerator, einem Fahrdatensender und einem Fahrdatenempfänger bekannt. Der Fahrdatengenerator soll Daten eines jeweiligen Fahrzeuges automatisch erfassen und codieren, und der Fahrdatensender soll die von dem Fahrdatengenerator erfassten und codierten Fahrdaten aussenden. Nach VO(EG) 2135/98, VO(EG) 1360/2002 und VO(EG) 3821/85 ist ab dem 01. Mai 2006 innerhalb der EU-Mitgliedsstaaten für alle Nutzfahrzeuge mit einem Fahrzeuggewicht größer als 3,5 t sowie für bestimmte Busse bei Erstzulassung ein digitaler Tachograph nachzuweisen. Die digitalen Tachographen haben zum Ziel, einfache Missbrauchsmöglichkeiten zu bekämpfen, um durch Einsatz digitaler Datenverarbeitung eine gesicherte und vertrauliche Speicherung dieser Fahrdaten auf einer persönlichen Fahrerkarte sowie in einem geräteseitigen Massenspeicher vornehmen zu können. Bei Bedarf können die Fahrdaten ausgedruckt werden. Digitale Tachographen sind mindestens alle zwei Jahre auf Funktionstüchtigkeit zu prüfen und zu kalibrieren. Gegenwärtig ist es möglich, dass fahrzeugrelevante Daten, die durch einen digitalen Tachographen aufgezeichnet und ermittelt werden, wie z. B. die Lenkzeit, manipuliert werden können, wobei die Manipulation für außenstehende Dritte, wie Ordnungsbehörden, nicht ersichtlich ist. Dies bedeutet für die Ordnungsbehörden, wie z. B. die Polizei, dass die zu überprüfenden fahrzeugrelevanten Daten eines zu überprüfenden Fahrzeuges nicht verlässlich sind, da nicht überprüft werden kann, ob sie authentisch sind und/oder nicht manipuliert wurden.
-
Die aufgezeichneten fahrzeugrelevanten Daten könnten geändert worden sein, wobei nicht klar ersichtlich ist, wodurch die Änderung erfolgte, da keine Unterscheidung gemacht werden kann, ob es sich um eine bösartige Manipulation oder durch Übertragungsfehler erzeugte Fehlinformationen handelt. Hierdurch ist die Vertrauenswürdigkeit in die Bewertung der fahrzeugrelevanten Daten als gering einzustufen. Die gegenwärtigen „vertrauensbasierenden" Lösungen für die Erfassung von fahrzeugrelevanten Daten sind bei einer Überprüfung durch die Ordnungsbehörden als fragwürdig anzusehen. Die existierenden gesetzlichen Regularien, die die Datenattribute der fahrzeugrelevanten Daten identifizieren, die zu erfassen sind und nicht geändert werden dürfen, geben keine Vorgaben bezüglich der Manipulationssicherheit und somit keine Güte oder Qualitätsindikator über die Verlässlichkeit der Datenattribute der zu erfassenden fahrzeugrelevanten Daten an sich vor. Hierin besteht die Möglichkeit unerkennbare Modifikationen der fahrzeugrelevanten Daten durchzuführen.
-
Die Vernetzung von Fahrzeugen wird zukünftig eine immer wichtigere Rolle spielen. Im Rahmen des ITS (Intelligent Transportation System) ist eine Fülle an Anwendungen für den Einsatz in Kraftfahrzeugen erprobt worden. Eine solche Anwendung ist das Car to Car (C2C) bzw. Car-to-Infrastructure (C2I), was eine Kommunikation zwischen Fahrzeuge untereinander und zur Infrastruktur ermöglichen soll, was allgemein als Car-to-X (C2X) oder Vehicle-to-X (V2X) bezeichnet werden kann Car-to-X Communikation (C2X) ist Stand der Forschung bzw. Vorausentwicklung. Eine Public Key Infrastructure (PKI) ist grundsätzlich Stand der Technik und für V2X aktueller Beschlussstand für Security. Im ersten Schritt sollen aus den übertragenen Informationen Warnungen an den Fahrer gegeben werden, im nächsten Schritt soll auch in die Fahrdynamik der Fahrzeuge eingegriffen werden. Dieser Eingriff in die Fahrdynamik ist aus Sicht der Funktionalen Sicherheit als kritisch zu bewerten, da durch einen fehlerhaften oder ungewollten Eingriff ein sicherheitskritischer Zustand erzeugt werden kann. Sicherheitskritische Anwendungen sind bereits häufig im Fahrzeug zu finden, man denke nur an ABS, ESP, elektrische Lenkung, Airbag, usw..
-
Im Vergleich zu den bestehende Systemen ist die Wirkkette, also der Signalpfad beginnend bei Sensoren über die Signalverarbeitung bis hin zu den Aktoren im selben Fahrzeug realisiert. Vernetzte Fahrzeuge nutzen allerdings die Informationen, die von anderen Fahrzeugen erzeugt und zur Verfügung gestellt werden. Ein besonderes Augenmerk ist auf eine sichere Signalübertragung zu legen, eine Verfälschung der Informationen könnte schlimmstenfalls zu einer Fehlinterpretation und dem Erzeugen eines sicherheitskritischen Zustands führen. Neben der zufälligen Verfälschung von Signalen muss auch mit einer Manipulation der Signale durch sogenannte Hacker gerechnet werden.
-
Somit ist bei C2X ist Datensicherheit eine essentielle Voraussetzung. Um diese zu gewährleisten wird aktuell angestrebt, die versendeten Botschaften zu signieren. Hierzu wird eine PKI vorgeschlagen, vor allem bei C2X über IEEE 802.11p bzw. ITS-G5. Allerdings ist noch nicht klar, welche Regeln es für die einzelnen Ausgabestellen von Zertifikaten geben wird.
-
Ausgehend von dem vorbeschriebenen Stand der Technik ist es Aufgabe dieser Erfindung, ein Verfahren zur Überprüfung der Datenintegrität von C2X Informationen vorzuschlagen, bei dem die übertragenen Daten in möglichst effizienter Weise auf Übertragungsfehler und Authentizität insbesondere bei den sogenannten Functional Safety Anwendungen überprüft werden können.
-
Erfindungsgemäß wird ein Weg aufgezeigt, wie Functional Safety sicherheitskritische Signale ausreichend sicher übertragen werden können. Hierbei ist auf eine möglichst geringe Veränderung der bestehenden Technologie, wie sie aus dem ETSI und C2C CC (Car to car communnication consortium) bekannt sind zu achten, um eine Kompatibilität sicher zu stellen und die Wirtschaftlichkeit zu ermöglichen.
-
Die erfindungsgemäße Lösung gelingt mit einem Verfahren mit den Merkmalen des unabhängigen Anspruchs. Vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sind in den Unteransprüchen und in der Beschreibung der Ausführungsbeispiele enthalten.
-
Bei einer Überprüfung der Datenintegrität von auf Übertragungsfehler und Authentizität müssen die Daten mehrmals überprüft werden. Der Zugriff bzw. die Zugriffszeit auf Programmdaten, die im Flashspeicher abgelegt sind, ist zeitintensiv. Besonders bei Steuergeräten im Kraftfahrzeug, die aus Kostengründen in der Regel über geringe Rechenleistungen verfügen, führt eine lange Zugriffszeit bei aufwendigen Berechnungen, wie einer Authentizitätsprüfung, zu langen und unerträglichen Verzögerungen. Erfindungsgemäß kann die Überprüfung von Programmdaten auf Übertragungsfehler und Authentizität effizient gestaltet werden, wenn die Berechnungsverfahren zur Überprüfung auf Übertragungsfehler und für die Überprüfung auf Authentizität durchgeführt werden, solange sich die Flashware in einem Pufferspeicher mit schneller Zugriffszeit befindet. Zeitintensive Zugriffe auf den Flashspeicher werden dadurch vermieden. Musste bisher für jede Überprüfung der Flashware auf den Flashspeicher zugegriffen werden, so muss nach dem erfindungsgemäßen Verfahren lediglich einmal auf den Flashspeicher zugegriffen werden, um die Flashware für alle notwendigen Überprüfungen in einen Pufferspeicher mit schneller Zugriffszeit zwischenzuspeichern.
-
In den heute in der Entwicklung befindlichen C2C Systemen wird bei Vorliegen einer „Triggering condition“ eine Botschaft erzeugt, die gemeinsam mit einer asymmetrischen Kryptografie-Verfahren erzeugtem „Hash“ und einem Pseudonym-Zertifikat in einer Nachricht versendet wird. Das Pseudonym-Zertifikat und der „Hash“ sichert die Authentizität des Senders, also die berechtigte Teilnahme an einer C2X Kommunikation, ohne seine Identität preiszugeben. Dies ist zur Sicherung der Anonymität des Senders erforderlich, eine Verfolgung, Verfolgung die über das Nahfeld herausgeht, soll nicht möglich sein.
-
Bei Anwendungen wie ein Kreuzungsassistent mit Eingriff in die Fahrdynamik oder Linksabbiege-Assistenten mit Eingriff in die Fahrdynamik muss besonderen Wert auf die Richtigkeit der Information gelegt werden. Zur Absicherung der Signalübertragung werden häufig CRC-Checksummen verwendet. (Präzisierung), die in ausreichender Länge auch genügend Übertragungssicherheit gewährt. Eine zusätzliche Checksumme würde allerdings die Botschaft verlängern, was sich nachteilig auf die übertragbare Datenmenge auswirkt.
-
Besonders vorteilhaft ist es erfindungsgemäß, den „Hash“ der Botschaft als Checksumme zu verwenden. Dieser Hash liefert eine der Botschaft entsprechende Information mit einer deutlich längeren Bitfolge als es herkömmliche Checksummen tun, was sich besonders vorteilhaft auf die Signalsicherheit auswirkt. Ein Vergleich mit Botschaftsinformation, die unverschlüsselt übertragen wird gibt die Möglichkeit den Hash mit der Information zu vergleichen. Außer diesem ist kein weiterer Schritt zur Sicherung der Datenübertragung erforderlich.
-
Durch die Überprüfung der Ausgabestelle des verwendeten Zertifikats können ohne zusätzliche Datenmengen in der Luft weitere Informationen über die Verwendung der empfangenen Daten abgeleitet werden. Dadurch kann vorteilhaft die Qualität der C2X Anwendungen weiter erhöht werden.
-
Der mit der Erfindung hauptsächlich erzielte Vorteil liegt in der zeitlich effizienten Berechnung von mehreren Prüfsummen und ggf. einer zusätzlichen Signaturprüfung durch Reduzierung der Zugriffe. Dies ermöglicht kürzere Zugriffszeiten für die Übertragung und damit etliche Einsparungen an zeitlichen Zugriffen bei der Überprüfung der Datenintegrität der C2X Übertragung.
-
Für die Authentizitätsprüfung werden vorteilhafterweise an und für sich selbst bekannte Verfahren eingesetzt. Etablierte Standards sind z. B. die RSA-Signatur von Flashware oder die Verwendung eines sogenannten Message Authentication Code. Beide vorgenannten Authentizitätsprüfungen können mit Vorteil im Zusammenhang mit der Erfindung eingesetzt werden.
-
In einer alternativen Ausführung des erfindungsgemäßen Verfahrens erfolgt vor der Authentizitätsprüfung eine Abfrage und eine Auswahl der für die Authentizitätsprüfung anzuwendenden Sicherheitsklasse. Damit ist die Erfindung sowohl für Flashware mit einer niederen Sicherheitsklasse als auch für Flashware mit einer hohen Sicherheitsklasse einsetzbar.
-
In einer ersten vorteilhaften Ausgestaltung zeichnet sich das erfindungsgemäße Verfahren dadurch aus, dass die fahrzeugrelevanten Daten mit einem Hashverfahren verarbeitet und zur Übertragung über eine C2C Kommunikationsverbindung aufbereitet werden und hierzu eine Prüfsumme berechnet wird, und die Prüfsumme und die fahrzeugrelevanten Daten gemeinsam mit einem sicheren Schlüssel, der in einem Sicherheitsmodul abgelegt ist, mittels einer Verschlüsselung verschlüsselt werden, und eine digitale Signatur erzeugt wird.
-
In einer weiteren vorteilhaften Ausgestaltung zeichnet sich das erfindungsgemäße Verfahren dadurch aus, dass das Hashverfahren zur Sicherung der anonymisierten Daten zur funktionalen Sicherung der Daten genutzt wird.
-
In einer weiteren besonders vorteilhaften Ausgestaltung zeichnet sich das erfindungsgemäße Verfahren dadurch aus, dass die fahrzeugrelevanten Daten Repräsentanten von im Fahrzeug erfassten Functional Safety sicherheitskritische Signale sind.
-
Bei einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens zur Überprüfung der Datenintegrität einer C2C Nachricht erfolgt das Hashverfahren nach dem MD5 Verfahren oder SHA1 Verfahren oder SHA2 Verfahren.
-
In einer weiteren vorteilhaften Ausgestaltung zeichnet sich das erfindungsgemäße Verfahren dadurch aus, dass eine Validierung des öffentlichen Schlüssels und eine Prüfung der Signatur der fahrzeugrelevanten Daten erfolgen.
-
In einer weiteren vorteilhaften Ausgestaltung zeichnet sich das erfindungsgemäße Verfahren dadurch aus, dass zur Validierung eines öffentlichen Schlüssels die digitale Signatur mittels eines zertifizierten öffentlichen Schlüssels entschlüsselt wird, hierauf eine erste Prüfsumme berechnet wird und ein Vergleich zwischen der ersten Prüfsumme und der Prüfsumme der Signatur erfolgt.
-
Bei einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens zur Überprüfung der Datenintegrität einer C2C erfolgt zur Prüfung der Signatur der fahrzeugrelevanten Daten der öffentliche Schlüssel zur Entschlüsselung der digitalen Signatur herangezogen wird, mittels des sicheren Schlüssels die Prüfsumme der Signatur entschlüsselt wird und eine dritte Prüfsumme berechnet wird, und ein Vergleich zwischen der dritten Prüfsumme und der entschlüsselten Prüfsumme der Signatur.
-
Bei einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens zur Überprüfung der Datenintegrität einer C2C erfolgt eine Einstufung der Vertrauenwürdigkeit der Botschaft in Abhängigkeit des Grades der Plausibilisierungen.
-
Bei einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens zur Überprüfung der Datenintegrität einer C2C können den Zertifizierungsstellen verschieden unterschiedliche Vertrauenwürdigkeiten zugeordnet werden. Im Folgenden wird die Erfindung anhand der Ausführungsbeispiele 1 bis 5 gemäß der näher erläutert.
-
In 1 ist die Kommunikation zwischen Fahrzeugen dargestellt. Daten aus dem In Vehicle Bus IVB (1) werden zur Verarbeitung über eine Signalschnittstelle (2) in der CPU (3) übertragen. Die CPU entscheidet über die Aussendung einer Botschaft. Im positiven Fall wird die Botschaft zur Signierung an das HSM (5) gesendet. Hier wird der Hash gebildet und über (6) an die CPU zur Generierung der Nachricht gesendet.
-
Beispiel 1:
-
Ein Fahrzeug empfängt eine Botschaft von einem anderen Fahrzeug. Bei der Prüfung der Signierung wird festgestellt, dass das verwendete Zertifikat von derselben Stelle ausgestellt wurde, wie beim Empfänger. Daher wird die Botschaft uneingeschränkt verwendet.
-
Beispiel 2:
-
Ein Fahrzeug empfängt eine Botschaft von einem anderen Fahrzeug. Bei der Prüfung der Signierung wird festgestellt, dass das verwendete Zertifikat von einer Vergabestelle kommt, die keine Qualitätsprüfung der verwendeten Daten durchführt. Da es sich bei der übermittelten Botschaft um eine potentiell kritische Situation handelt, die jedoch auch durch eine Fehldetektion entstanden sein könnte, wird der Botschaft nicht sofort vertraut, sondern versucht, weitere Bestätigungen der Situation zu erhalten.
-
Beispiel 3:
-
Ein Fahrzeug empfängt eine Botschaft von einem anderen Fahrzeug. Bei der Prüfung der Signierung wird festgestellt, dass das verwendete Zertifikat von einer ausländischen Vergabestelle stammt, bei der bekannt ist, dass sie unter dem Einfluss der örtlichen Regierung steht. Daher wird dem Inhalt der Botschaft in kritischen Situationen nicht zu 100 % getraut und auf Bestätigung von anderer Stelle, wie anderer Sender, Umfeldsensor, gewartet.
-
Beispiel 4:
-
Ein Fahrzeug empfängt eine Botschaft von einem anderen Fahrzeug. Bei der Prüfung der Signierung wird festgestellt, dass das verwendete Zertifikat von einer Vergabestelle kommt, die bereits früher durch Unregelmäßigkeiten aufgefallen ist. Daher werden die Daten verwendet, als wären sie unsigniert gewesen.
-
Beispiel 5:
-
Ein Fahrzeug empfängt eine Botschaft von einem anderen Fahrzeug. Bei der Prüfung der Signierung wird festgestellt, dass das verwendete Zertifikat von einer Vergabestelle kommt, die zwar die Datenqualität einiger ausgewählter Botschaftsbestandteile prüft. Jedoch gehört das aktuell wichtige Datenfeld nicht dazu, weshalb dessen übermittelte Unsicherheit für die Weiterverarbeitung im Empfänger künstlich erhöht wird.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 10008974 A1 [0002]
- DE 10032301 A1 [0003]
-
Zitierte Nicht-Patentliteratur
-