-
TECHNISCHES GEBIET
-
Die beispielhaften Ausführungsformen betreffen allgemein ein Verfahren und eine Vorrichtung für verbesserte Telematiksicherheit mittels Verwendung eines sekundären Datenkanals.
-
STAND DER TECHNIK
-
Telematiksysteme stellen ein Kommunikationsmedium bereit, so dass Fahrzeugdatenverarbeitungssysteme mit entfernten Entitäten und Netzwerken kommunizieren können, um Daten zu senden und zu empfangen. Mit diesen Systemen können Befehle zum Fernkonfigurieren oder -steuern bestimmter Aspekte eines Fahrzeugs empfangen werden. Sicherheitsmerkmale mit Bezug auf empfangene Steuerbefehle versuchen, sicherzustellen, dass eine böswillige Entität keinen ungenehmigten Befehl zum Umkonfigurieren oder Steuern eines Fahrzeugs oder Fahrzeugsystems sendet. Zu derzeitigen Sicherheitsmerkmalen gehört die Verifikation von Dateninhalt. Es ist jedoch möglich, dass Dateninhalt durch einen gewieften Hacker vorgetäuscht werden könnte.
-
KURZDARSTELLUNG
-
Bei einer ersten beispielhaften Ausführungsform umfasst ein System einen Prozessor, der dafür ausgelegt ist, über einen ersten Kommunikationskanal drahtlos einen Fahrzeugsystembefehl zu empfangen. Der Prozessor ist außerdem dafür ausgelegt, als Reaktion auf den Empfang des Befehls einen zweiten Kommunikationskanal mit einer anscheinenden Befehlsursprungsquelle zu öffnen. Der Prozessor ist ferner dafür ausgelegt, über den zweiten Kommunikationskanal eine Verifikation anzufordern, dass der Befehl von der anscheinenden Befehlsursprungsquelle stammte, und als Reaktion auf Verifikation eines Befehlsursprungs den Befehl auszuführen.
-
Bei einer zweiten beispielhaften Ausführungsform umfasst ein System einen Prozessor, ausgelegt zum Anfordern von Verifikation eines Steuerbefehls über einen zweiten Kanal, der drahtlos über einen ersten Kanal empfangen wurde, als Reaktion auf Empfang des Steuerbefehls über den ersten Kanal und Ausführen des Steuerbefehls bei Verifikation des Steuerbefehls über den zweiten Kanal.
-
Bei einer dritten beispielhaften Ausführungsform umfasst ein computerimplementiertes Verfahren Empfangen einer Befehlsverifikationsanforderung über einen neu hergestellten drahtlosen Kommunikationskanal in einer entfernten Befehlsursprungsquelle. Das Verfahren umfasst außerdem Empfangen von Befehlsidenifizierungsdaten in Bezug auf einen drahtlos durch ein Fahrzeug empfangenen Befehl. Das Verfahren umfasst ferner Bestimmen, ob der Befehl von der entfernten Befehlsursprungsquelle gesendet wurde, und Bereitstellen von Befehlsverifikation für das Fahrzeug auf der Basis des Bestimmens.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1 zeigt ein beispielhaftes Fahrzeugdatenverarbeitungssystem;
-
2 zeigt einen beispielhaften Prozess zur Befehlsquellenverifikation; und
-
3 zeigt einen beispielhaften Antwortprozess für eine Befehlsquellen-Verifikationsanforderung.
-
DETAILLIERTE BESCHREIBUNG
-
Wie erforderlich werden hier ausführliche Ausführungsformen offenbart; es versteht sich jedoch, dass die offenbarten Ausführungsformen lediglich beispielhaft sind und in verschiedenen und alternativen Formen realisiert werden können. Die Figuren sind nicht unbedingt maßstabsgetreu; einige Merkmale können übertrieben oder minimiert sein, um Einzelheiten von bestimmten Komponenten zu zeigen. Deshalb sind hierin offenbarte spezifische strukturelle und funktionale Details nicht als einschränkend auszulegen, sondern lediglich als eine repräsentative Basis, um einen Fachmann zu lehren, wie er den beanspruchten Gegenstand unterschiedlich einsetzen kann.
-
1 veranschaulicht eine beispielhafte Blocktopologie für ein fahrzeuggestütztes Computersystem 1 (VCS) für ein Fahrzeug 31. Ein Beispiel für ein derartiges fahrzeuggestütztes Computersystem 1 ist das von THE FORD MOTOR COMPANY hergestellte SYNC-System. Ein mit einem fahrzeuggestützten Datenverarbeitungssystem befähigtes Fahrzeug kann eine im Fahrzeug befindliche visuelle Frontend-Schnittstelle 4 enthalten. Der Benutzer kann auch in der Lage sein, mit der Schnittstelle zu interagieren, wenn sie zum Beispiel mit einem berührungsempfindlichen Bildschirm ausgestattet ist. Bei einer anderen beispielhaften Ausführungsform erfolgt die Interaktion mittels Tastenbetätigungen und/oder eines Sprachdialogsystems mit automatischer Spracherkennung und Sprachsynthese.
-
Bei der in 1 gezeigten beispielhaften Ausführungsform 1 steuert ein Prozessor 3 mindestens einen Teil des Betriebes des fahrzeuggestützten Datenverarbeitungssystems. Der Prozessor ist in dem Fahrzeug vorgesehen und erlaubt eine fahrzeuginterne Verarbeitung von Befehlen und Routinen. Ferner ist der Prozessor sowohl mit nicht-persistentem 5 als auch mit persistentem Speicher 7 verbunden. Bei dieser beispielhaften Ausführungsform ist der nicht-persistente Speicher ein Direktzugriffsspeicher (RAM) und der persistente Speicher ein Festplattenlaufwerk (HDD) oder Flash-Speicher. Allgemein kann persistenter (nichtflüchtiger) Speicher alle Formen von Speicher beinhalten, die Daten halten, wenn ein Computer oder eine andere Einrichtung ausgeschaltet wird. Dazu gehören unter anderem HDDs, CDs, DVDs, Magnetbänder, Halbleiterlaufwerke, tragbare USB-Laufwerke und eine beliebige andere geeignete Form von persistentem Speicher.
-
Der Prozessor wird auch mit einer Anzahl von unterschiedlichen Eingängen bereitgestellt, die es dem Nutzer gestatten, mit dem Prozessor in Verbindung zu treten. Bei dieser veranschaulichenden Ausführungsform sind ein Mikrofon 29, ein Zusatzeingang 25 (für den Eingang 33), ein USB-Eingang 23, ein GPS-Eingang 24, ein Bildschirm 4, der ein Touchscreen-Bildschirm sein kann, und ein BLUETOOTH-Eingang 15 bereitgestellt. Außerdem ist ein Eingangsselektor 51 vorgesehen, um es einem Benutzer zu ermöglichen, zwischen verschiedenen Eingängen zu wählen. Eingaben sowohl in das Mikrofon als auch in den Zusatzstecker werden von einem Umsetzer 27 von analog in digital umgewandelt, bevor sie zu dem Prozessor geleitet werden. Wenngleich nicht dargestellt, können zahlreiche der Fahrzeugkomponenten und Zusatzkomponenten, die in Verbindung mit dem VCS stehen, ein Fahrzeugnetzwerk (wie zum Beispiel unter anderem einen CAN-Bus) verwenden, um Daten an das und von dem VCS (oder Komponenten davon) zu leiten.
-
Zu den Ausgaben zum System können unter anderem eine visuelle Anzeige 4 und ein Lautsprecher 13 oder ein Stereoanlagenausgang zählen. Der Lautsprecher ist mit einem Verstärker 11 verbunden und empfängt mittels eines Digital-Analog-Umsetzers 9 ein Signal von dem Prozessor 3. Ausgaben können auch an eine entfernte BLUETOOTH-Einrichtung, wie etwa PND 54, oder an eine USB-Einrichtung, wie etwa die Fahrzeugnavigationseinrichtung 60, entlang den bei 19 bzw. 21 dargestellten bidirektionalen Datenströmen erfolgen.
-
Bei einer veranschaulichenden Ausführungsform verwendet das System 1 den BLUETOOTH-Sendeempfänger 15, um mit einer nomadischen Einrichtung 53 (z.B. einem Mobiltelefon, Smartphone, PDA oder einer beliebigen anderen Einrichtung, die drahtlose Konnektivität zu entfernten Netzwerken aufweist) des Benutzers zu kommunizieren 17. Die nomadische Einrichtung kann dann zur Kommunikation 59 mit einem Netzwerk 61 außerhalb des Fahrzeugs 31 verwendet werden, zum Beispiel durch Kommunikation 55 mit einem Mobilfunkmast 57. Bei manchen Ausführungsformen kann der Mast 57 ein WiFi-Zugangspunkt sein.
-
Repräsentative Kommunikation zwischen der nomadischen Vorrichtung und dem BLUETOOTH-Sendeempfänger wird durch das Signal 14 repräsentiert. Das Paaren einer nomadischen Einrichtung 53 und des BLUETOOTH-Sendeempfängers 15 kann durch eine Taste 52 oder eine ähnliche Eingabe angewiesen werden. Dementsprechend wird die CPU angewiesen, dass der fahrzeuginterne BLUETOOTH-Sendeempfänger mit einem BLUETOOTH-Sendeempfänger in einer nomadischen Einrichtung gekoppelt wird.
-
Daten können zum Beispiel unter Nutzung eines Datenplans, von Data-over-Voice oder von DTMF-Tönen, die mit der nomadischen Einrichtung 53 assoziiert sind, zwischen der CPU 3 und dem Netzwerk 61 kommuniziert werden. Als Alternative kann es wünschenswert sein, ein Bordmodem 63 mit einer Antenne 18 vorzusehen, um Daten über das Sprachband zwischen der CPU 3 und dem Netzwerk 61 zu übermitteln 16. Die nomadische Einrichtung 53 kann dann verwendet werden, um mit einem Netzwerk 61 außerhalb des Fahrzeugs 31 zu kommunizieren 59, zum Beispiel durch die Kommunikation 55 mit einem Mobilfunkmast 57. Bei manchen Ausführungsformen kann das Modem 63 eine Kommunikation 20 mit dem Mast 57 zur Kommunikation mit dem Netzwerk 61 herstellen. Als ein nicht einschränkendes Beispiel kann das Modem 63 ein USB-Zellularmodem sein und die Kommunikation 20 kann eine Zellularkommunikation sein.
-
In einer veranschaulichenden Ausführungsform wird der Prozessor mit einem Betriebssystem bereitgestellt, das eine API (Application Program Interface) zum Kommunizieren mit Modem-Anwendungssoftware enthält. Die Modem-Anwendungssoftware kann auf ein eingebettetes Modul oder eine eingebettete Firmware auf dem BLUETOOTH-Sendeempfänger zugreifen, damit eine drahtlose Kommunikation mit einem entfernten BLUETOOTH-Sendeempfänger (wie etwa dem in einer nomadischen Einrichtung anzutreffenden) vervollständigt wird. Bluetooth ist eine Teilmenge der IEEE 802 PAN(Personal Area Network)-Protokolle. IEEE 802 LAN(Local Area Network)-Protokolle beinhalten WiFi und weisen deutliche übergreifende Funktionalitäten mit IEEE 802 PAN auf. Beide sind für drahtlose Kommunikation in einem Fahrzeug geeignet. Andere Kommunikationsmittel, die auf diesem Gebiet verwendet werden können, sind optische Freiraumkommunikation (wie zum Beispiel IrDA) und nicht standardisierte Verbraucher-IR-Protokolle.
-
Bei einer anderen Ausführungsform beinhaltet die nomadische Einrichtung 53 ein Modem für Sprachband- oder Breitband-Datenkommunikation. Bei der Data-over-Voice-Ausführungsform kann eine als Frequenzmultiplexen bekannte Methode implementiert sein, wenn der Eigentümer der nomadischen Einrichtung über die Einrichtung sprechen kann, während Daten übertragen werden. Zu anderen Zeiten, wenn der Eigentümer die Vorrichtung nicht verwendet, kann der Datentransfer die gesamte Bandbreite verwenden (in einem Beispiel 300 Hz bis 3,4 kHz). Obwohl für analoge Mobilfunkkommunikation zwischen dem Fahrzeug und dem Internet häufig Frequenzmultiplexen gebraucht werden kann und immer noch verwendet wird, wurde es größtenteils durch Hybride von CDMA (Code Domain Multiple Access), TDMA (Time Domain Multiple Access) und SDMA (Space-Domain Multiple Access) für digitale Mobilfunkkommunikation ersetzt. Bei noch einer anderen Ausführungsform wird die nomadische Einrichtung 53 durch eine (nicht dargestellte) zellulare Kommunikationseinrichtung ersetzt, die im Fahrzeug 31 installiert ist. Bei noch einer anderen Ausführungsform kann die nomadische Einrichtung (ND) 53 eine Einrichtung mit Wireless Local Area Netzwerk (LAN) sein, die in der Lage ist, zum Beispiel (und ohne Einschränkung) über ein 802.11g-Netzwerk (d.h. WiFi) oder ein WiMax-Netzwerk zu kommunizieren.
-
Bei einer Ausführungsform können eingehende Daten durch die nomadische Einrichtung über Data-over-Voice oder einen Datenplan durch den fahrzeuginternen BLUETOOTH-Sendeempfänger und in den internen Prozessor 3 des Fahrzeugs geleitet werden. Im Fall bestimmter temporärer Daten können die Daten zum Beispiel auf dem HDD oder einem anderen Speichermedium 7 gespeichert werden, bis die Daten nicht mehr benötigt werden.
-
Zu zusätzlichen Quellen, die mit dem Fahrzeug eine Schnittstelle bilden können, gehören eine persönliche Navigationseinrichtung 54 zum Beispiel mit einer USB-Verbindung 56 und/oder einer Antenne 58, eine Fahrzeugnavigationseinrichtung 60 mit einer USB-Verbindung 62 oder einer anderen Verbindung, eine fahrzeuginterne GPS-Einrichtung 24 oder ein (nicht dargestelltes) Fernnavigationssystem mit Konnektivität mit dem Netzwerk 61. USB ist eines einer Klasse von Serienvernetzungsprotokollen. IEEE 1394 (FireWireTM (Apple), i.LINKTM (Sony) und LynxTM (Texas Instruments)), EIA (Electronics Industry Association) serielle Protokolle, IEEE 1284 (Centronics Port), S/PDIF (Sony/Philips Digital Interconnect Format) und USB-IF (USB Implementers Forum) bilden das Rückgrat der Standards für serielle Kommunikation von Einrichtung zu Einrichtung. Die meisten Protokolle können entweder für elektrische oder optische Kommunikation implementiert werden.
-
Ferner könnte die CPU mit einer Vielzahl anderer Zusatzeinrichtungen 65 in Kommunikation stehen. Diese Einrichtungen können durch eine drahtlose 67 oder eine drahtgebundene 69 Verbindung verbunden sein. Die Hilfsvorrichtungen 65 wären zum Beispiel, aber ohne Beschränkung darauf, persönliche Medien-Player, drahtlose Gesundheitsvorrichtungen, tragbare Computer und dergleichen.
-
Ebenso oder alternativ dazu könnte die CPU mit einem fahrzeuggestützten drahtlosen Router 73, zum Beispiel unter Verwendung eines WiFi-Sendeempfängers (IEEE 803.11) 71, verbunden sein. Dies könnte es der CPU ermöglichen, sich mit in Reichweite des lokalen Routers 73 befindlichen entfernten Netzwerken zu verbinden.
-
Zusätzlich dazu, dass repräsentative Prozesse durch ein in einem Fahrzeug angeordnetes Fahrzeugdatenverarbeitungssystem ausgeführt werden, können die Prozesse bei bestimmten Ausführungsformen durch ein mit einem Fahrzeugdatenverarbeitungssystem in Kommunikation befindliches Datenverarbeitungssystem ausgeführt werden. Ein derartiges System kann unter anderem eine drahtlose Einrichtung (z.B. und ohne Beschränkung ein Mobiltelefon) oder ein entferntes Computersystem (z.B. und ohne Beschränkung einen Server) beinhalten, die über die drahtlose Einrichtung verbunden sind. Zusammengefasst können solche Systeme als ein fahrzeugassoziiertes Datenverarbeitungssystem (VACS) bezeichnet werden. Bei bestimmten Ausführungsformen können bestimmte Komponenten des VACS, abhängig von der jeweiligen Implementierung des Systems, bestimmte Teile eines Prozesses durchführen. Als Beispiel und nicht als Beschränkung ist es, falls ein Prozess einen Schritt Senden oder Empfangen von Informationen mit einer gekoppelten drahtlosen Einrichtung aufweist, wahrscheinlich, dass die drahtlose Einrichtung diesen Teil des Prozesses nicht ausführt, da die drahtlose Einrichtung keine Informationen an bzw. von sich selbst „senden und empfangen“ würde. Ein Durchschnittsfachmann weiß, wann es ungeeignet ist, ein bestimmtes Computersystem für eine gegebene Lösung anzuwenden.
-
In jeder der hier besprochenen beispielhaften Ausführungsformen wird ein repräsentatives nichteinschränkendes Beispiel für einen durch ein Datenverarbeitungssystem ausführbaren Prozess gezeigt. In Bezug auf jeden Prozess ist es für das Computersystem, das den Prozess ausführt, möglich, für den begrenzten Zweck des Ausführens des Prozesses als ein Spezialprozessor konfiguriert zu werden, um den Prozess durchzuführen. Es müssen nicht alle Prozesse vollständig ausgeführt werden und es versteht sich, dass sie Beispiele für Arten von Prozessen sind, die ausgeführt werden können, um verschiedene Merkmale und Funktionen zu erreichen. Es können zusätzliche Schritte hinzugefügt oder aus den dargestellten Prozessen entfernt werden, wenn es erwünscht ist.
-
Unter derzeitigen Sicherheitsparadigmen, um sicherzustellen oder zu versuchen, sicherzustellen, dass böswillige Attacken an einem Fahrzeug nicht erfolgreich sind, werden Dateninhalts-Verifikationsprozesse durchgeführt. Ein potentielles Problem bei diesen Prozessen besteht jedoch darin, dass ein Hacker verifizierbare Daten „fälschen“ (imitieren) könnte und ein System potentiell bestimmten Inhalt fälschlicherweise als rechtmäßig oder autorisiert verifizieren könnte. Soweit Verifikation zwischen einer sendenden Entität und einem Fahrzeugsystem über einen existierenden Kanal erfolgt, könnte außerdem ein Hacker Verifikationsbefehle und Fälschungsantworten abfangen oder einfach die entfernte Entität ganz fälschen (als eine genehmigte entfernte Entität wirken).
-
Wenn zum Beispiel Befehle für ein Fahrzeug von einer genehmigten Telefonzentrale kommen müssen, könnte ein Hacker (digital) vorgeben, die Telefonzentrale zu sein, und als Reaktion auf eine Anforderung zur Steuerung eines bestimmten Aspekts des Fahrzeugs gesendete Verifikationsanforderungen abfangen und auf diese reagieren. Bei den beispielhaften Ausführungsformen bestimmt das Fahrzeug eine Befehlsursprungsentität (entweder durch Entwurf, Vorliegen einer Kennung in dem Befehl usw.) und benutzt einen neuen Kommunikationskanal und eine neue Kommunikationssitzung mit der anscheinenden Befehlsursprungsentität. Diese Strategie stellt sicher, dass die rechtmäßige Entität tatsächlich den Befehl eingeleitet hat und dass der empfangene Befehl nicht von einem Hacker oder einem anderen unbefugten Dritten gefälscht wurde.
-
Bei einigen Anwendungen können Befehle Quellenidentifikation umfassen. Statt einfach als Reaktion auf den Empfang des Befehls unter Verwendung desselben Kommunikationskanals auf die Quelle zu antworten, öffnet das System einen neuen Kommunikationskanal mit der zuvor ermittelten rechtmäßigen Quelle, so wie sie in dem Befehl identifiziert wird, um zu verifizieren, dass der Befehl tatsächlich von dieser Quelle stammte. Falls ein Hacker oder ein anderer unbefugter Dritter beim Senden des Befehls vorgibt, die Quelle zu sein, sollte der neue Kommunikationskanal/die neue Sitzung mit der rechtmäßigen Quelle enthüllen, dass der Befehl nicht tatsächlich von der in dem Befehl angegebenen Quelle stammte. Es wäre sehr viel schwieriger oder sogar unmöglich für einen Hacker, diese Verifikationsübermittlung, die von dem Fahrzeug stammt, über einen neuen Kanal zu einer bekannten rechtmäßigen Quelle abzufangen und auf diese zu antworten.
-
In einem anderen Beispiel können nur Befehle von bestimmten Quellen zugelassen werden. Wieder kann eine Quellenidentifikation verwendet werden, oder wenn eine einzelne oder begrenzte Anzahl von Quellen gestattet war, können Kanäle zu jeder zulässigen Quelle hergestellt werden, um zu bestimmen, welche etwaige bekannte Quelle einen Befehl eingeleitet hat. Auch in diesem Modell ist es weit schwieriger für einen Hacker, die neue Übermittlung abzufangen und eine Maskerade als die „Quelle“ aufrechtzuerhalten.
-
Um Sicherheit zu verbessern, wird ein sekundärer Datenkanal mit einer bekannten oder identifizierten Quelle eines Befehls/einer Anforderung geöffnet. Dieser Kanal ist von dem Kanal, über den der Befehl/die Anforderung ursprünglich empfangen wurde, verschieden und getrennt. Der Kanal kann von einer beliebigen geeigneten Kommunikationstechnologie sein, darunter, aber ohne Beschränkung darauf, TCP/IP, SMS, USSD (Unstructured Supplementary Service Data), SIP (Session Initiation Protocol) usw. Nachdem die identifizierte oder bekannte Quelle verifiziert, dass der Befehl tatsächlich von dieser Quelle stammte, kann der Befehl durch das Fahrzeug verarbeitet werden.
-
2 zeigt einen beispielhaften Prozess zur Befehlsquellenverifikation. In Bezug auf die in dieser Figur beschriebenen, veranschaulichenden Ausführungsformen versteht es sich, dass ein Allzweckprozessor zum Zwecke des Ausführens einiger oder aller der vorliegend dargestellten beispielhaften Verfahren zeitweilig als ein Spezialprozessor aktiviert werden kann. Beim Ausführen von Code, der Anweisungen zum Durchführen einiger oder aller Schritte des Verfahrens bereitstellt, kann der Prozessor vorübergehend zu einem Spezialprozessor umfunktioniert werden, bis das Verfahren abgeschlossen ist. In einem anderen Beispiel kann, soweit angebracht, in Übereinstimmung mit einem vorkonfigurierten Prozessor fungierende Firmware bewirken, dass der Prozessor als ein Spezialprozessor fungiert, der für den Zweck des Durchführens des Verfahrens oder irgendeiner sinnvollen Variante davon bereitgestellt ist.
-
In diesem Anschauungsbeispiel empfängt der Prozess zuerst einen Befehl 201 zum Steuern, Konfigurieren, Ändern oder anderweitigen Interagieren mit einem Fahrzeugmodul, einem System, einem Subsystem, Daten, einer Datenverarbeitungseinheit usw. Vor dem Öffnen des zweiten Kanals zu einer Befehlsquelle kann das System zuerst versuchen, den Inhalt des Befehls zu verifizieren 203. Dazu könnte zum Beispiel Sicherheitszertifikatverifizierung, IP-Quellenadressenverifizierung, SMS-Quellenadressverifizierung, Anrufer-ID-Verifizierung usw. gehören. Diese Verifikation könnte leider die Befehlsrechtmäßigkeit nicht enthüllen, da ein Hacker den verifizierten Dateninhalt vortäuschen oder den Befehl rückspielen könnte.
-
Wenn der Inhalt nicht verifiziert werden kann 205, kann das System den Befehl ignorieren 207 und die Quelle 209 sperren, wenn es erwünscht ist. Wenn der Inhalt verifiziert wird, setzt der Prozess die Verifikation fort, um sicherzustellen, dass die anfängliche Inhaltsverifikation nicht fehlerhaft war. In diesem Anschauungsbeispiel stellt der Prozess einen neuen Datenkanal 211 mit der identifizierten oder bekannten Quelle des Befehls her 211. Dieser neue Kanal ist von dem zum Empfangen des Befehls verwendeten Kanal getrennt, wodurch Abfangen einer auf demselben Kanal wie dem Empfangskanal gesendeten Verifikationsanforderung verhindert wird. Es kann eine neue Verifikationsanforderung gesendet werden, die zum Beispiel Zeitstempel, Befehlsinformationen, Befehlsinhalt usw. umfassen kann 213.
-
Nachdem die entfernte Quelle (wie etwa, aber ohne Beschränkung darauf, eine Telefonzentrale oder ein anderer Server oder ein ähnliches System) verifiziert, dass der Befehl von der Quelle stammte 215, kann der Prozess die Quelle als verifiziert bestätigen 217. Verifikation kann Überprüfen eines Verlaufs gesendeter Befehle, Bestätigen einer einem Befehl zugeordneten Taste, Bestätigen von Kommunikation mit einem Fahrzeug (z.B. wurde Übermittlung gesendet, wurde sie zu einem identifizierten Zeitpunkt gesendet, verifizierbar durch einen Zeitstempel usw.) usw. umfassen. Wenn die Quelle verifiziert wird, kann der Befehl ausgeführt werden 221, andernfalls kann der Befehl ignoriert werden 219.
-
3 zeigt einen beispielhaften Antwortprozess für eine Befehlsquellen-Verifikationsanforderung. In Bezug auf die in dieser Figur beschriebenen, veranschaulichenden Ausführungsformen versteht es sich, dass ein Allzweckprozessor zum Zwecke des Ausführens einiger oder aller der vorliegend dargestellten beispielhaften Verfahren zeitweilig als ein Spezialprozessor aktiviert werden kann. Beim Ausführen von Code, der Anweisungen zum Durchführen einiger oder aller Schritte des Verfahrens bereitstellt, kann der Prozessor vorübergehend zu einem Spezialprozessor umfunktioniert werden, bis das Verfahren abgeschlossen ist. In einem anderen Beispiel kann, soweit angebracht, in Übereinstimmung mit einem vorkonfigurierten Prozessor fungierende Firmware bewirken, dass der Prozessor als ein Spezialprozessor fungiert, der für den Zweck des Durchführens des Verfahrens oder irgendeiner sinnvollen Variante davon bereitgestellt ist.
-
In diesem Anschauungsbeispiel führt eine bekannte Quelle (die dem Fahrzeug zum Beispiel als die Quelle, eine mögliche Quelle oder eine identifizierte Quelle bekannt ist) einen Prozess zum Verifizieren aus, dass die bekannte Quelle der Ursprung eines bestimmten Befehls war. Als Reaktion auf das Senden eines Befehls zu einem Fahrzeugtelematiksystem öffnet das Fahrzeug einen neuen Kommunikationskanal zu einer angeblichen Ursprungsquelle, und die Neuer-Kanal-Anforderung wird in der Quelle empfangen 301. Es wird ein neuer Kommunikationskanal geöffnet 303, der von dem Kanal verschieden ist, über den die Anforderung empfangen wurde. Dann werden in diesem Beispiel der Befehl, Parameter des Befehls und/oder etwaige zum Verifizieren der Quelle benötigten Identifizierungsinformationen durch die Quelle empfangen 305. In einigen Beispielen kann es möglich sein, die Quelle einfach zu fragen „Hast du einen Befehl zu diesem bestimmten (identifizierten) Fahrzeug gesendet?“, bevor etwaige zusätzliche Informationen gesendet werden, und wenn die Antwort „Nein“ ist, kann die Anfrage enden. In anderen Beispielen können der Befehl, Befehlsparameter, eine Fahrzeugkennung und/oder andere Daten für Verifikationszwecke gesendet und empfangen werden 305.
-
Wenn die Quelle bestätigen kann, dass die Quelle der Ursprungspunkt für den Befehl (oder zumindest ein Weiterleitungspunkt für einen von anderswo kommenden genehmigten Befehl) war 307, kann der Prozess die Gültigkeit des Befehls bestätigen 309. Andernfalls kann der Prozess melden, dass der Befehl nicht von der vorgegebenen Quelle stammte 311.
-
Obwohl oben beispielhafte Ausführungsformen beschrieben werden, ist nicht beabsichtigt, dass diese Ausführungsformen alle möglichen Formen der Erfindung beschreiben. Stattdessen sind die in der Beschreibung verwendeten Wörter nicht Wörter der Beschränkung, sondern der Beschreibung, und es versteht sich, dass verschiedene Änderungen vorgenommen werden können, ohne vom Gedanken und Schutzumfang der Erfindung abzuweichen. Zusätzlich können die Merkmale verschiedener Umsetzungsformen kombiniert werden, um weitere Ausführungsformen der Erfindung zu bilden.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- IEEE 802 PAN(Personal Area Network)-Protokolle [0017]
- IEEE 802 LAN(Local Area Network)-Protokolle [0017]
- IEEE 802 PAN [0017]
- IEEE 1394 [0020]
- IEEE 1284 [0020]
- IEEE 803.11 [0022]