-
Die Erfindung betrifft ein Verfahren zum Ausführen einer sicherheitskritischen Funktion in einem Fahrzeug nach den Merkmalen des Oberbegriffs des Anspruchs 1.
-
Aus dem Stand der Technik sind, wie in der
DE 10 2013 020 333 A1 beschrieben, ein System und ein Verfahren zum Stilllegen eines unrechtmäßig benutzten Fahrzeugs bekannt. Das System umfasst ein erstes Steuergerät des Fahrzeuges zum Empfang eines Fahrzeugstilllegungsbefehles und einen Server, wobei der Server mit dem ersten Steuergerät verbunden ist und der Server den Fahrzeugstilllegungsbefehl an das erste Steuergerät sendet. Das erste Steuergerät fragt vor dem Stilllegen des Fahrzeugs eine Bestätigung des Fahrzeugstilllegungsbefehles bei einem externen Berechtigungssystem an und ein zweites Steuergerät leitet die Stilllegung des Fahrzeuges ein.
-
Der Erfindung liegt die Aufgabe zu Grunde, ein gegenüber dem Stand der Technik verbessertes Verfahren zum Ausführen einer sicherheitskritischen Funktion in einem Fahrzeug anzugeben.
-
Die Aufgabe wird erfindungsgemäß gelöst durch ein Verfahren zum Ausführen einer sicherheitskritischen Funktion in einem Fahrzeug mit den Merkmalen des Anspruchs 1.
-
Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.
-
In einem Verfahren zum Ausführen einer sicherheitskritischen Funktion in einem Fahrzeug wird eine Anweisung zum Ausführen der sicherheitskritischen Funktion an das Fahrzeug gesendet, im Fahrzeug eine Berechtigung für diese Anweisung überprüft und die sicherheitskritische Funktion bei vorliegender Berechtigung ausgeführt.
-
Erfindungsgemäß werden die Anweisung und die Berechtigung von zumindest einer fahrzeugexternen Einheit über einen fahrzeugexternen Server und ein fahrzeuginternes Kommunikationsmodul an ein fahrzeuginternes Steuergerät übertragen, in welchem die Berechtigung für die Anweisung überprüft wird und von welchem bei vorliegender Berechtigung die sicherheitskritische Funktion ausgeführt wird.
-
Das erfindungsgemäße Verfahren ermöglicht es, zur Anweisung derartiger sicherheitskritischer Funktionen eine Ende-zu-Ende Authentifizierung der Anweisung einzusetzen, welche von einem Übertragungsweg unabhängig ist. D. h. der fahrzeugexterne Server und das fahrzeuginterne Kommunikationsmodul müssen keine gesicherte Verbindung aufweisen und es muss beispielsweise der Zugriff auf den Server nicht auf für die Anweisung sicherheitskritischer Funktionen berechtigte Personen beschränkt werden, denn der fahrzeugexterne Server und das fahrzeuginterne Kommunikationsmodul dienen lediglich der Datenübertragung, d. h. der Weiterleitung der Daten zwischen der zumindest einen fahrzeugexternen Einheit und dem fahrzeuginternen Steuergerät, welche die Endpunkte der Ende-zu-Ende Authentifizierung sind.
-
Die Verschlüsselung der Kommunikation kann somit funktionsabhängig ausgeführt werden. Für nicht sicherheitskritische Funktionen ist keine oder eine wesentlich geringere Verschlüsselung erforderlich. Derartige Anweisungen können vom fahrzeugexternen Server an das Kommunikationsmodul entsprechend unverschlüsselt oder gering verschlüsselt übertragen werden und anschließend im Fahrzeug ausgeführt werden.
-
Für die Auslösung einer sicherheitskritischen Funktion wird diese Funktion über eine vordefinierte Berechtigung, welche beispielsweise als ein vordefinierter zusätzlicher Schlüssel ausgebildet ist, freigeschaltet. Diese vordefinierte Berechtigung wird von der zumindest einen fahrzeugexternen Einheit erzeugt oder ist in dieser gespeichert und wird über den fahrzeugexternen Server und das fahrzeuginterne Kommunikationsmodul an das fahrzeuginterne Steuergerät übertragen und in diesem ausgewertet. Erst bei vorliegender Berechtigung, d. h. beispielsweise bei erfolgreicher Auswertung des Schlüssels, wird die sicherheitskritische Funktion ausgeführt.
-
Als sicherheitskritische Funktion wird bei vorliegender berechtigter Anweisung beispielsweise eine Immobilisierung des Fahrzeugs durchgeführt.
-
Der Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass der fahrzeugexterne Server, beispielsweise ein Kommunikationsserver, und das fahrzeuginterne Kommunikationsmodul einfach ausgelegt werden können. D. h. sie müssen nicht besonders überwacht werden und benötigen keine starke Verschlüsselung. Lediglich die zumindest eine fahrzeugexterne Einheit, welche die Berechtigung erteilt, und das fahrzeuginterne Steuergerät müssen eine erhöhte Sicherheit aufweisen, da hierüber die Ende-zu-Ende Verschlüsselung oder Authentifizierung beispielsweise mittels digitaler Signaturen erfolgt. Sind zwei fahrzeugexterne Einheiten vorgesehen, wobei eine dieser Einheiten die Anweisung zur Durchführung der sicherheitskritischen Funktion erteilt und die andere Einheit die Berechtigung erteilt, so weisen zweckmäßigerweise diese beiden Einheiten oder zumindest die Einheit, welche die Berechtigung erteilt, diese erhöhte Sicherheit auf.
-
Ausführungsbeispiele der Erfindung werden im Folgenden anhand von Zeichnungen näher erläutert.
-
Dabei zeigen:
-
1 schematisch eine Ausführungsform einer Vorrichtung zur Durchführung eines Verfahrens zum Ausführen einer sicherheitskritischen Funktion in einem Fahrzeug,
-
2 schematisch eine weitere Ausführungsform einer Vorrichtung zur Durchführung eines Verfahrens zum Ausführen einer sicherheitskritischen Funktion in einem Fahrzeug, und
-
3 schematisch eine weitere Ausführungsform einer Vorrichtung zur Durchführung eines Verfahrens zum Ausführen einer sicherheitskritischen Funktion in einem Fahrzeug.
-
Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
-
Die
1 bis
3 zeigen drei Ausführungsformen einer Vorrichtung
1 zur Durchführung eines Verfahrens zum Ausführen einer sicherheitskritischen Funktion in einem Fahrzeug
2. Die auszuführende sicherheitskritische Funktion ist beispielsweise eine Immobilisierung des Fahrzeugs
2, d. h. das Stilllegen des Fahrzeugs
2. Ein solches Verfahren wird bereits in der
DE 10 2013 020 333 A1 der Anmelderin beschrieben, deren vollständiger Inhalt hiermit durch Referenz aufgenommen wird.
-
Derartige sicherheitskritische Funktionen, beispielsweise das Stilllegen des Fahrzeugs 2, über informationstechnische Maßnahmen erfordert eine hohe Sicherheit gegen eine unberechtigte Durchführung, beispielsweise gegen eine unberechtigte Stilllegung.
-
Im gegenüber dem Stand der Technik verbesserten Verfahren wird, um diese hohe Sicherheit zu ermöglichen, eine vom Übertragungsweg und zwischengeschalteten Übertragungseinheiten unabhängige Ende-zu-Ende Authentifizierung durchgeführt.
-
Moderne Fahrzeuge 2 sind mittels eines fahrzeuginternen Kommunikationsmoduls 3 mit einem fahrzeugexternen Server 4 verbunden, beispielsweise mit einem fahrzeugexternen Kommunikationsserver. Es gibt verschiedene Personen oder Einrichtungen, die berechtigt sein können, in bestimmten Situationen das Fahrzeug 2 stillzulegen oder wesentliche Funktionen des Fahrzeugs 2 zu deaktivieren oder die Durchführung anderer sicherheitskritischer Funktionen des Fahrzeugs 2 anzuweisen. Derartige berechtigte Personen oder Einrichtungen sind beispielsweise ein Flottenbetreiber, eine Finanzierungsfirma, deren Leasinggebühren nicht mehr bezahlt werden, die Polizei oder andere staatliche Behörden, der Eigentümer des Fahrzeugs 2 oder der Versicherer beispielsweise bei einem Diebstahl des Fahrzeugs 2.
-
In der
DE 10 2013 020 333 A1 wird beschrieben, dass ein Immobilisierungskommando verschlüsselt erfolgen sollte. Dadurch wird verhindert, dass auf der Kommunikationstrecke ein unberechtigter Angreifer eine Fahrzeugstillegung erreichen kann. Jedoch bleibt ein Problem bestehen, denn die an der Kommunikation beteiligten Kommunikationssysteme sind üblicherweise nicht mit einem derart hohen Schutz vor Manipulation ausgestattet, wie es für eine Immobilisierung des Fahrzeugs
2 oder eine andere sicherheitskritische Funktion erforderlich wäre. Beispielsweise wird der Server
4, der die Gegenstelle zum im Fahrzeug
2 verbauten Kommunikationsmodul
3 darstellt, für eine Vielzahl von Funktionen verwendet. Demensprechend haben auch viele Personen Zugriff auf administrative Funktionen, wodurch die Sicherheit beeinträchtigt ist.
-
Daraus ergibt sich das Problem, dass eine bestehende Systeminfrastruktur, die nicht für derart sicherheitskritische Funktionen ausgelegt ist, nachträglich abgesichert werden müsste. Dies ist praktisch unmöglich oder zumindest mit einem hohen, in der Praxis unvertretbar hohen, Aufwand und entsprechenden Kosten verbunden.
-
Bei dem im Folgenden näher beschriebenen Verfahren wird eine Unterscheidung herbeigeführt zwischen dem fahrzeugexternen Server 4 und Kommunikationsmodul 3 des jeweiligen Fahrzeugs 2, die für die Kommunikation verantwortlich sind, und weiteren Komponenten, die über eine Ende-zu-Ende Authentifizierung die Durchführung der sicherheitskritischen Funktion, beispielsweise die Durchführung der Immobilisierungsfunktion, berechtigen. Dadurch wird getrennt zwischen einer durch den fahrzeugexternen Server 4 und das fahrzeuginterne Kommunikationsmodul 3 gebildeten Übertragungstechnik 8, deren Datenübertragung zwar vorteilhaft ebenfalls geschützt erfolgt, die jedoch beispielsweise nur eine Grundsicherung anbietet, und der Ende-zu-Ende Sicherheit, welche über diese Übertragungstechnik 8 mittels weiterer Komponenten, die eine höhere Sicherheit aufweisen, durchgeführt werden kann. Auf diese Weise wird die zwischengeschaltete Übertragungstechnik 8 in Form des fahrzeugexternen Servers 4 und des fahrzeuginternen Kommunikationsmoduls 3 von erhöhten und kostentreibenden Anforderungen freigehalten. Die Übertragungstechnik 8 selbst kann somit sicherheitsunkritisch ausgebildet sein und beispielsweise lediglich eine Verschlüsselung aufweisen, welche eine geringere Sicherheit bereitstellt.
-
Die Übertragungstechnik 8 in Form des fahrzeugexternen Servers 4 und des fahrzeuginternen Kommunikationsmoduls 3 führt üblicherweise bereits eine Grundverschlüsselung durch, wie bereits erwähnt, unterscheidet jedoch zahlreiche mögliche Funktionen, beispielsweise ein Schließen eines Schiebedachs, ein Programmieren einer Standheizung und die Immobilisierung des Fahrzeugs 2, nicht weiter. Dementsprechend kann hier nur eine Grundsicherheit herbeigeführt werden, welche zur Durchführung sicherheitskritischer Funktionen, wie die erwähnte Immobilisierung des Fahrzeugs 2, nicht ausreicht, da die Gefahr besteht, dass derartige sicherheitskritische Funktionen von Unberechtigten angewiesen werden könnten. Ist dies der Fall, d. h. wird eine sicherheitskritische Funktion von Unberechtigten angewiesen, muss sichergestellt sein, dass dies erkannt wird und die Funktion nicht ausgeführt wird.
-
Daher wird im hier beschriebenen Verfahren eine Anweisung A zum Ausführen der sicherheitskritischen Funktion von einer fahrzeugexternen Einheit 5, d. h. von einem Funktionsanforderer, über die herkömmliche Übertragungstechnik 8, welche durch den fahrzeugexternen Server 4 und das fahrzeuginterne Kommunikationsmodul 3 gebildet wird, auf das Fahrzeug 2 übertragen, genauer gesagt auf ein fahrzeuginternes Steuergerät 6, beispielsweise ein Immobilisierungssteuergerät, übertragen, und zusätzlich wird die auf diese Weise angeforderte Ausführung der sicherheitskritischen Funktion über eine Berechtigung B, beispielsweise über einen eigens dafür vorgesehenen Schlüssel, d. h. einen Code, freigeschaltet. Dieser Schlüssel wird entweder, wie in den Ausführungsbeispielen gemäß den 1 und 2, von der als Funktionanforderer ausgebildeten fahrzeugexternen Einheit 5 oder von einer weiteren fahrzeugexternen Einheit 7 bereitgestellt und ebenfalls über die herkömmliche Übertragungstechnik 8, welche durch den fahrzeugexternen Server 4 und das fahrzeuginterne Kommunikationsmodul 3 gebildet wird, auf das Fahrzeug 2 übertragen, genauer gesagt auf das fahrzeuginterne Steuergerät 6 übertragen. In diesem fahrzeuginternen Steuergerät 6 wird die Berechtigung B, beispielsweise der Schlüssel, ausgewertet und nur dann, wenn die Berechtigung B korrekt ist, wird die sicherheitskritische Funktion, beispielsweise die Immobilisierung des Fahrzeugs 2, ausgeführt.
-
Vorteilhaft ist hierbei, dass der fahrzeugexterne Server 4, beispielsweise der Kommunikationsserver, und das fahrzeuginterne Kommunikationsmodul 3 einfach ausgelegt sein können und nicht besonders überwacht werden müssen. Insbesondere muss der Zugriff nicht auf wenige Administratoren beschränkt werden. Lediglich die fahrzeugexterne Einheit 5, d. h. der Funktionsanforderer, und das fahrzeuginterne Steuergerät 6, beispielsweise das Immobilisierungssteuergerät, müssen eine erhöhte Sicherheit aufweisen, da hierüber die Ende-zu-Ende Verschlüsselung oder Authentifizierung beispielsweise mittels digitaler Signaturen erfolgt.
-
Beim Ausführungsbeispiel gemäß 3, bei welchem die Berechtigung B von einer weiteren fahrzeugexternen Einheit 7 erteilt wird, weist zweckmäßigerweise auch diese weitere fahrzeugexterne Einheit 7 die höhere Sicherheit auf. Hier ist es beispielsweise nicht unbedingt erforderlich, dass auch die als Funktionsanforderer ausgebildete fahrzeugexterne Einheit 5 die höhere Sicherheit aufweist, da sie lediglich die Anweisung A zum Ausführen der sicherheitskritischen Funktion erteilt, jedoch nicht die Berechtigung B übermittelt.
-
Im Ausführungsbeispiel gemäß 1 werden sowohl die Anweisung A zum Ausführen der sicherheitskritischen Funktion als auch die Berechtigung B, beispielsweise in Form des Schlüssels, von der als Funktionsanforderer ausgebildeten fahrzeugexternen Einheit 5 über den fahrzeugexternen Server 4 und das fahrzeuginterne Kommunikationsmodul 3 an das fahrzeuginterne Steuergerät 6 übertragen, zweckmäßigerweise im Wesentlichen gleichzeitig.
-
In den Ausführungsbeispielen gemäß den 2 und 3 wird ein so genanntes Challenge-Response-Verfahren durchgeführt. Hierbei wird zunächst ein Kommando in Form der Anweisung A zum Ausführen der sicherheitskritischen Funktion von der als Funktionsanforderer ausgebildeten fahrzeugexternen Einheit 5 ausgelost und über den fahrzeugexternen Server 4 und das fahrzeuginterne Kommunikationsmodul 3 an das fahrzeuginterne Steuergerät 6 übertragen. Dieses Kommando, d. h. die Anweisung A, führt im Steuergerät 6 zu einer Challenge C, d. h. zu einer Anfrage der Berechtigung B, welche vom Steuergerät 6 über das fahrzeuginterne Kommunikationsmodul 3 und den fahrzeugexternen Server 4 übertragen wird.
-
Dabei wird diese Challenge C, d. h. die Anfrage der Berechtigung B, im Ausführungsbeispiel gemäß 2 an die als Funktionsanforderer ausgebildete fahrzeugexterne Einheit 5 übertragen und im Ausführungsbeispiel gemäß 3 an die weitere fahrzeugexterne Einheit 7 übertragen, welche beispielsweise als ein Wächter für die Berechtigungsverwaltung, d. h. für die Schlüssel- oder Codeverwaltung, ausgebildet ist. D. h. im Ausführungsbeispiel gemäß 3 sind die Anweisung A zum Ausführen der sicherheitskritischen Funktion und die Erteilung der Berechtigung B zum Ausführen der sicherheitskritischen Funktion getrennt und werden von getrennten fahrzeugexternen Einheiten 5, 7 gesendet.
-
Diese Challenge C des Steuergeräts 6 wird mit der Berechtigung B, d. h. mit dem geeigneten Schlüssel, beantwortet. Diese Beantwortung erfolgt im Ausführungsbeispiel gemäß 2 durch die als Funktionsanforderer ausgebildete fahrzeugexterne Einheit 5 und wird über den fahrzeugexternen Server 4 und das fahrzeuginterne Kommunikationsmodul 3 an das fahrzeuginterne Steuergerät 6 übertragen. Im Ausführungsbeispiel gemäß 3 erfolgt die Beantwortung durch die als Wächter für die Berechtigungsverwaltung ausgebildete weitere fahrzeugexterne Einheit 7 und wird über den fahrzeugexternen Server 4 und das fahrzeuginterne Kommunikationsmodul 3 an das fahrzeuginterne Steuergerät 6 übertragen.
-
In allen drei Ausführungsbeispielen überprüft das fahrzeuginterne Steuergerät
6, ob die Berechtigung B, d. h. der Schlüssel, korrekt ist. Ist dies der Fall, d. h. liegt die korrekte Berechtigung B vor, wird die sicherheitskritische Funktion zweckmäßigerweise vom fahrzeuginternen Steuergerät
6 ausgeführt, beispielsweise wird das Fahrzeug
2 immobilisiert. In weiteren Ausführungsformen kann vor dem Ausführen der sicherheitskritischen Funktion, beispielsweise vor dem Immobilisieren des Fahrzeugs
2, noch überprüft werden, ob weitere Durchführungsvoraussetzungen vorliegen, so dass die Funktion in diesem Fall erst dann durchgeführt wird, wenn die Durchführungsvoraussetzungen vorliegen. Dies ist beispielsweise in der
DE 10 2013 020 333 A1 der Anmelderin, insbesondere in den
2 bis
4 und der zugehörigen Figurenbeschreibung, beschrieben, deren vollständiger Inhalt hiermit durch Referenz aufgenommen wird.
-
Bezugszeichenliste
-
- 1
- Vorrichtung
- 2
- Fahrzeug
- 3
- Kommunikationsmodul
- 4
- Server
- 5
- fahrzeugexterne Einheit
- 6
- Steuergerät
- 7
- weitere fahrzeugexterne Einheit
- 8
- Übertragungstechnik
- A
- Anweisung
- B
- Berechtigung
- C
- Challenge
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102013020333 A1 [0002, 0019, 0023, 0034]