-
Die vorliegende Erfindung betrifft ein Infotainmentsystem für ein Kraftfahrzeug, das gegen eine Steuerung bzw. Bedienung durch nicht zum System gehörende Komponenten geschützt ist, sowie ein Verfahren zum Betreiben des Infotainmentsystems.
-
Als Infotainmentsystem wird bei Kraftfahrzeugen, speziell PKW, die Zusammenführung verschiedener elektronischer Geräte oder deren Funktionen, beispielsweise von Autoradio, Navigationssystem, Freisprecheinrichtung, Fahrerassistenzsystemen und weiteren Funktionen in einer zentral zu bedienenden Einheit bezeichnet. Der Begriff Infotainment ist ein Kofferwort aus Information und Entertainment (Unterhaltung).
-
Infotainmentsysteme umfassen in der Regel mehrere im Fahrzeug verteilte Einzelkomponenten, darunter Steuereinheiten, Bedieneinheiten und Anzeigeeinheiten. Diese Einzelkomponenten können beispielsweise über ein gemeinsames Bussystem, z.B. einen CAN-Bus oder einem CAN-FD-Bus, miteinander verbunden sein.
-
Sind mehrere gleichartige Elemente, z.B. Steuergeräte oder Bedienteile, an den Bus angeschlossen, so kann in der Regel jedes angeschlossene Element das Infotainmentsystem steuern bzw. bedienen. Dies kann jedoch unerwünscht sein. In manchen Fällen möchte man, dass nur die zu einem definierten Infotainment-System gehörenden Komponenten das System bedienen bzw. steuern können und es gegen eine Steuerung bzw. Bedienung durch nicht zum System gehörende Komponenten geschützt ist.
-
Die Erfindung hat sich daher die Aufgabe gestellt, ein Infotainmentsystem für ein Kraftfahrzeug bereitzustellen, das gegen eine Steuerung bzw. Bedienung durch nicht zum System gehörende Komponenten geschützt ist. Außerdem soll ein Verfahren zum Betreiben eines solchen Infotainmentsystems zur Verfügung gestellt werden.
-
Die Aufgabe wird erfindungsgemäß gelöst durch eine Verschlüsselung der Kommunikation der Bedienung des Infotainmentsystems, beispielsweise eines Bedienteils und/oder eines berührungsempfindlichen Bildschirms. In einer Variante wird zusätzlich ein von einer Anzeige an ein Steuergerät gesendetes Herzschlagsignal verschlüsselt.
-
Die Verwendung eines Herzschlagsignals („Heartbeat“) ist bereits vorgeschlagen worden im Zusammenhang mit einem Diebstahlschutz für elektronische Fahrzeugkomponenten, zur Überwachung der Kommunikation elektronischer Komponenten und zur Einbindung elektronischer Komponenten in eine Fahrzeug-Infrastruktur.
-
So offenbart
CN 202271934 U ein Gerät zum Verhindern einer Demontage eines Fahrzeugteils basierend auf CAN-Bus-Technologie. Das Gerät verhindert eine vorsätzliche Entfernung des Fahrzeugteils durch Aufrechthalten eines Herzschlagsignals („Heartbeat“) zwischen dem Fahrzeugteil und einem Steuergerät eines Motors.
-
Aus
US 2012/013201 A1 ist ein Verfahren zur Handhabung einer fehlerhaften Kommunikation eines Batteriepacks für ein Elektrofahrzeug bekannt, bei dem ein „Heartbeat“ über einen Datenbuskanal übertragen wird.
-
Aus
GB 2 460 923 A geht eine Infrastruktur zur Integration von Unterhaltungselektronik in ein Fahrzeugsystem hervor, bei der anstelle einer physischen Anbindung der Unterhaltungselektronik an das CAN-Bussystem des Fahrzeugs ein „Heartbeat“ übertragen wird, um das ordnungsgemäße Funktionieren der Unterhaltungselektronik rückzumelden.
-
Gegenstand der Erfindung ist ein Infotainmentsystem für ein Kraftfahrzeug, welches mindestens ein Steuergerät, mindestens ein Bedienteil, und mindestens eine Anzeige umfasst. Das mindestens eine Bedienteil ist dafür eingerichtet, mit dem mindestens einen Steuergerät und gegebenenfalls der mindestens einen Anzeige Daten auszutauschen, insbesondere Kommunikationsdaten und Steuerdaten, wobei die Daten von dem Sender verschlüsselt und von dem Empfänger entschlüsselt werden.
-
Im erfindungsgemäßen Infotainmentsystem verfügen nur die zum System gehörenden Komponenten über den Schlüssel zur Verschlüsselung und Decodierung der zur Bedienung oder Steuerung des Infotainmentsystems erforderlichen Dateninhalte. Damit ist das System gegen eine Steuerung bzw. Bedienung durch nicht zum System gehörende Komponenten geschützt. Dies ermöglicht beispielsweise die Nutzung eines gemeinsamen Bussystems durch zwei voneinander unabhängige Infotainmentsysteme, da sich die Komponenten der beiden Systeme gegenseitig nicht beeinflussen können.
-
Ein zusätzlicher Vorteil des erfindungsgemäßen Infotainmentsystems besteht darin, dass ein Diebstahl einzelner Systemkomponenten unattraktiv wird, weil die einzelnen Komponenten außerhalb des Systems nicht funktionsfähig sind, da sie nur verschlüsselt mit anderen Komponenten kommunizieren können.
-
In einer Ausführungsform des Infotainmentsystems ist mindestens eine Anzeige ein Flachbildschirm. In einer weiteren Ausführungsform ist mindestens eine Anzeige ein berührungsempfindlicher Bildschirm. In einer weiteren Ausführungsform ist mindestens ein Bedienteil ein berührungsempfindlicher Bildschirm. In einer Ausführungsform fungiert der berührungsempfindliche Bildschirm („Touchscreen“) sowohl als Bedienteil als auch als Anzeige.
-
In einer Ausführungsform des Infotainmentsystems werden die verschlüsselten Daten über einen Kommunikationsbus oder ein Kommunikationsnetzwerk ausgetauscht, beispielsweise UART, Ethernet, LIN, CAN, CAN-FD etc. In einer Ausführungsform des Infotainmentsystems werden die verschlüsselten Daten über einen CAN-Bus ausgetauscht. Der CAN-Bus entspricht dem in ISO 11898 festgelegten Standard. In einer weiteren Ausführungsform des Infotainmentsystems werden die verschlüsselten Daten über einen CAN-FD-Bus ausgetauscht.
-
In einer Ausführungsform des Infotainmentsystems ist das mindestens eine Steuergerät dafür eingerichtet, mit mindestens einer Anzeige Videodaten auszutauschen, insbesondere einen Videodatenstrom an die Anzeige zu senden. In einer Ausführungsform erfolgt der Austausch über einen Videolink. In einer Ausführungsform erfolgt der Austausch über Low Voltage Differential Signaling (LVDS).
-
In einer weiteren Ausführungsform ist mindestens eine Anzeige dafür eingerichtet, ein Herzschlagsignal („Heartbeat“) an das mindestens eine Steuergerät zu senden und das mindestens eine Steuergerät ist dafür eingerichtet, bei Ausbleiben des Herzschlagsignals den Datenaustausch mit der Anzeige zu sperren. In einer anderen Ausführungsform ist das Steuergerät dafür eingerichtet, bei Ausbleiben des Herzschlagsignals die Audiokanäle des Infotainmentsystems stumm zu schalten. In einer Ausführungsform wird auch das Herzschlagsignal in verschlüsselter Form übertragen.
-
In einer weiteren Ausführungsform ist das mindestens eine Steuergerät dafür eingerichtet, bei Erkennen eines Fremdgeräts, z.B. eines Touchscreens, der unverschlüsselte Bediendaten auf dem Kommunikationskanal, z.B. einem CAN-Bus sendet, die Audiokanäle des Infotainmentsystems stumm zu schalten.
-
Die Datenkommunikation zwischen Bedienteil, Steuergerät und Anzeige erfolgt verschlüsselt, wobei die Daten von dem Sender verschlüsselt und von dem Empfänger entschlüsselt werden. In einer Ausführungsform sind das mindestens eine Steuergerät, das mindestens eine Bedienteil und die mindestens eine Anzeige über einen fahrzeugindividuellen Datenschlüssel gekoppelt. Mit dem Schlüssel werden die zur Bedienung notwendigen Dateninhalte auf dem Kommunikationskanal, z.B. einem CAN-Bus oder CAN-FD-Bus, des Infotainmentsystems verschlüsselt. Unterschiedliche Dateninhalte führen zu unterschiedlichen verschlüsselten Nachrichten. In einer Ausführungsform weisen die verschlüsselten Nachrichten jeweils eine Länge von bis zu 64 Byte auf. In einer Ausführungsform besteht ein Teil der Nachricht aus zufällig gewählten Bytes. Dadurch wird eine Entschlüsselung der Nachricht ohne den fahrzeugindividuellen Datenschlüssel erschwert. Beispielsweise kann eine Nachricht mit 64 Byte Länge bis zu 60 Zufallsbyte enthalten, was eine Entschlüsselung der Nachricht durch eine Brute-Force-Attacke erheblich erschwert. In einer anderen Ausführungsform weisen die verschlüsselten Nachrichten jeweils eine Länge von 8 Byte auf. In einer speziellen Ausführungsform weist die zu verschlüsselnde Nachricht eine Länge von 8 Byte auf, wobei die ersten 4 Byte den Dateninhalt repräsentieren, die folgenden 2 Byte reserviert sind, und die letzten 2 Byte zufällig gewählt sind. In einer anderen speziellen Ausführungsform weist die zu verschlüsselnde Nachricht eine Länge von 8 Byte auf, wobei die ersten 4 Byte den Dateninhalt repräsentieren, das folgende Byte reserviert ist, und die letzten 3 Byte zufällig gewählt sind. Die zufällig gewählten Bytes werden nach der Entschlüsselung der Nachricht beim Empfänger verworfen.
-
In einer Ausführungsform erfolgen die Wahl und die Übertragung des Datenschlüssels einmalig bei Verbau der Komponenten. Es erfolgt dadurch ein Pairing von Steuergerät, Bedienteil und Display. Der Schlüssel ist fahrzeugindividuell, daher wird aus einem identischen Dateninhalt in jedem Fahrzeug eine andere verschlüsselte Nachricht erzeugt.
-
Gegenstand der Erfindung ist auch ein Verfahren zum Betreiben eines erfindungsgemäßen Infotainmentsystems, bei dem die zur Bedienung notwendigen Dateninhalte vom Sender mit einem Schlüssel verschlüsselt werden, in verschlüsselter Form auf einem Kommunikationsbus oder einem Steuerbus, beispielsweise CAN oder CAN-FD, übertragen und beim Empfänger mit dem Schlüssel entschlüsselt werden.
-
Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
-
Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen illustriert und wird unter Bezugnahme auf die Zeichnungen und in den nachfolgenden Beispielen weiter beschrieben. Es zeigt:
- 1 eine schematische Darstellung eines Pairings eines Steuergeräts und eines Bedienteils;
- 2 eine schematische Darstellung einer Ausführungsform des erfindungsgemäßen Infotainmentsystems und seine Interaktion mit einem systemfremden Steuergerät;
- 3 eine schematische Darstellung einer anderen Ausführungsform des erfindungsgemäßen Infotainmentsystems und seine Interaktion mit einem systemfremden Steuergerät.
-
1 zeigt als Flussdiagramm den Ablauf eine Pairings eines Steuergeräts und eines Bedienteils. Im erfindungsgemäßen Infotainmentsystem treten auch andere Pairings auf, z.B. Pairing einer Anzeige, eines Bedienteils und eines Steuergeräts, oder Pairing eines Touchscreens mit einem Steuergerät. Diese werden analog zum in 1 dargestellten Verfahren durchgeführt.
-
So benötigt eine Anzeige den Schlüssel, um den Heartbeat zu verschlüsseln. Der Heartbeat kann auch als Frage-Antwort Protokoll ausgeführt sein, bei dem z.B. eine verschlüsselte Zufallszahl als Frage an die Anzeige gesendet wird und als Antwort eine verschlüsselte und von der Zufallszahl abgeleitete Zahl zurückgesendet wird.
-
In Schritt 100 wird abgefragt, ob im Steuergerät bereits ein Datenschlüssel vorhanden ist. Ist dies der Fall, ist der Vorgang beendet.
-
Ist dies nicht der Fall, wird in Schritt 110 ein Schlüssel ausgewählt und eine Containerdatei mit den Schlüssel erzeugt. Die Containerdatei mit dem Schlüssel wird in Schritt 120 an das Bedienteil übermittelt.
-
In Schritt 200 wird überprüft, ob im Bedienteil bereits ein Datenschlüssel vorhanden ist. Ist dies der Fall, ist der Vorgang beendet. Ist dies nicht der Fall, wird in Schritt 210 der Schlüssel aus der Containerdatei in den Schlüsselspeicher des Bedienteils geschrieben. Anschließend wird in Schritt 220 eine Bestätigung an das Steuergerät gesendet. In Schritt 230 wird der Schlüssel dann auch in den Schlüsselspeicher des Steuergeräts geschrieben.
-
2 zeigt eine schematische Darstellung einer Ausführungsform des erfindungsgemäßen Infotainmentsystems 10 und seine Interaktion mit einem systemfremden Steuergerät 17. Das dargestellte Infotainmentsystem umfasst ein Steuergerät 11, ein Bedienteil 12 und eine Anzeige 13, die über einen Kommunikationsbus, der hier ein CAN-Bus 14 ist, verbunden sind. Das Steuergerät 11 und die Anzeige 13 sind zudem über einen Viedeokanal verbunden, der hier eine LVDS-Strecke ist, die einen Übertragungskanal 15 für einen LVDS-Datenstrom und einen Übertragungskanal 16 für einen LVDS-Videostrom umfasst.
-
Ein systemfremdes Steuergerät 17 ist über eine Schnittstelle 18 mit dem CAN-Bus 14 verbunden und über einen LVDS-Switch 19 mit der LVDS-Strecke.
-
Erfindungsgemäß wird der Dateninhalt der Kommunikation zwischen Bedienteil 12 und Steuergerät 11 und der Kommunikation zwischen Bedienteil 12 und Anzeige 13 auf dem CAN-Bus 14 des Infotainmentsystems verschlüsselt. Außerdem wird ein Teil der Kommunikation zwischen der Anzeige 13 und dem Steuergerät 11, nämlich die Bediennachrichten und ein Herzschlagsignal, verschlüsselt. Bleibt das Herzschlagsignal aus, sperrt das Steuergerät 11 die LVDS-Strecke.
-
Steuersignale des systemfremden Steuergeräts 17 können von der Anzeige 13 nicht erkannt werden. Da kein Herzschlagsignal an das Steuergerät 11 gesendet wird, sperrt dieses die LVDS-Strecke; ein vom systemfremden Steuergerät 17 gesendeter LVDS-Videostrom wird von der Anzeige 13 nicht wiedergegeben. Das systemfremde Steuergerät 17 wiederum kann die Nachrichten des Bedienteils 12 nicht entschlüsseln.
-
3 zeigt eine schematische Darstellung einer anderen Ausführungsform des erfindungsgemäßen Infotainmentsystems 10 und seine Interaktion mit einem systemfremden Steuergerät 17. Das dargestellte Infotainmentsystem umfasst ein Steuergerät 11 und einen berührungsempfindlichen Bildschirm 22 („Touchscreen“), der die Funktionen von Bedienteil und Anzeige ausübt, die über einen CAN-Bus 14 verbunden sind. Das Steuergerät 11 und der Touchscreen 22 sind zudem über eine LVDS-Strecke verbunden, die einen Übertragungskanal 15 für einen LVDS-Datenstrom und einen Übertragungskanal 16 für einen LVDS-Videostrom umfasst.
-
Ein systemfremdes Steuergerät 17 ist über eine Schnittstelle 18 mit dem CAN-Bus 14 verbunden und über einen LVDS-Switch 19 mit der LVDS-Strecke.
-
Erfindungsgemäß wird der Dateninhalt der Kommunikation zwischen Touchscreen 22 und Steuergerät 11 auf dem CAN-Bus 14 des Infotainmentsystems verschlüsselt. Außerdem wird eine Kommunikation des Touchscreens 22 mit dem Steuergerät 11, die ein Herzschlagsignal enthält, verschlüsselt. Bleibt das Herzschlagsignal aus, sperrt das Steuergerät 11 die LVDS-Strecke.
-
Steuersignale des systemfremden Steuergeräts 17 können von dem Touchscreen 22 nicht erkannt werden. Da kein Herzschlagsignal an das Steuergerät 11 gesendet wird, sperrt dieses die LVDS-Strecke; ein vom systemfremden Steuergerät 17 gesendeter LVDS-Videostrom wird von dem Touchscreen 22 nicht wiedergegeben. Das systemfremde Steuergerät 17 wiederum kann die Nachrichten des Touchscreens 22 nicht entschlüsseln.
-
Bezugszeichenliste
-
- 10
- Infotainmentsystem
- 11
- Steuergerät
- 12
- Bedienteil
- 13
- Anzeige
- 14
- CAN-Bus
- 15
- Kommunikations-Rückkanal auf Videolink (LVDS-Daten)
- 16
- Videodatenkanal (LVDS-Videostrom)
- 17
- systemfremdes Steuergerät
- 18
- Schnittstelle zu CAN-Bus
- 19
- Switch des Videokanals (LVDS-Switch)
- 22
- Touchscreen
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- CN 202271934 U [0008]
- US 2012013201 A1 [0009]
- GB 2460923 A [0010]