DE102018104079A1 - Sichere end-to-end-fahrzeug-ecu-freischaltung in einer halb-offline-umgebung - Google Patents

Sichere end-to-end-fahrzeug-ecu-freischaltung in einer halb-offline-umgebung Download PDF

Info

Publication number
DE102018104079A1
DE102018104079A1 DE102018104079.2A DE102018104079A DE102018104079A1 DE 102018104079 A1 DE102018104079 A1 DE 102018104079A1 DE 102018104079 A DE102018104079 A DE 102018104079A DE 102018104079 A1 DE102018104079 A1 DE 102018104079A1
Authority
DE
Germany
Prior art keywords
key
verifier
diagnostic tool
offline
diagnostic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018104079.2A
Other languages
English (en)
Inventor
David Bardelski
Kevin Thomas Hille
Aldi CAUSHI
Xin Ye
Mohamad Yassine
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ford Global Technologies LLC
Original Assignee
Ford Global Technologies LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ford Global Technologies LLC filed Critical Ford Global Technologies LLC
Publication of DE102018104079A1 publication Critical patent/DE102018104079A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2205/00Indexing scheme relating to group G07C5/00
    • G07C2205/02Indexing scheme relating to group G07C5/00 using a vehicle scan tool
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Abstract

Es werden ein Verfahren und eine Vorrichtung für eine sichere End-to-End-Fahrzeug-ECU-Freischaltung in einer Halb-Offline-Umgebung offenbart. Eine beispielhafte elektronische Fahrzeugsteuereinheit beinhaltet einen ersten Prozessor und einen zweiten Prozessor. Der erste Prozessor stellt, wenn er frei geschaltet ist, Diagnoseinformationen bereit. Der zweite Prozessor sendet einen Ausgangswert an ein Diagnosewerkzeug. Außerdem schaltet der zweite Prozessor als Reaktion auf den Erhalt eines zweiten Schlüssels den ersten Prozessor frei. Nach dem Erhalt eines ersten Verifizierers entschlüsselt der zweite Prozessor den ersten Verifizierer, um einen neuen Schlüssel zu generieren, ersetzt einen aktuellen Schlüssel durch den neuen Schlüssel und sendet einen zweiten Verifizierer an das Diagnosewerkzeug.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Offenbarung betrifft im Allgemeinen Diagnosewerkzeug für elektronische Steuereinheiten (electronic control units - ECUs) eines Fahrzeugs und insbesondere eine sichere End-to-End-Fahrzeug-ECU-Freischaltung in einer Halb-Offline-Umgebung.
  • ALLGEMEINER STAND DER TECHNIK
  • Moderne Fahrzeuge enthalten elektronische Steuereinheiten (ECUs), die bordeigene Diagnoseprozesse (OBD) durchführen können. Fahrzeuge beinhalten Anschlüsse, wie zum Beispiel OBD-II-Anschlüsse, die das Koppeln externer Diagnosewerkzeuge mit den Fahrzeugdatenbussen gestatten, um mit ECUs zu interagieren. Ein Diagnosewerkzeug kann OBD-Testergebnisse sowie Echtzeitdaten von einem Fahrzeug anfordern. Außerdem kann ein Diagnosewerkzeug eine ECU anleiten, Handlungen durchzuführen. Zum Beispiel kann sich eine Fahrzeugreparaturanlage mit dem OBD-II-Anschluss verbinden, um Informationen darüber zu erhalten, warum eine Motorprüfleuchte leuchtet. Einige ECUs, wie zum Beispiel das Antriebsstrangsteuermodul, führen wichtige Funktionen durch. Daher sind diese ECUs gesichert, um den Zugriff auf die Diagnosefähigkeit ohne Autorisierung zu verhindern.
  • KURZDARSTELLUNG
  • Die beigefügten Patentansprüche definieren diese Patentanmeldung. Die vorliegende Offenbarung fasst Aspekte der Ausführungsformen zusammen und sollte nicht zum Einschränken der Patentansprüche verwendet werden. Andere Umsetzungen werden gemäß den hierin beschriebenen Techniken in Betracht gezogen, wie dem Durchschnittsfachmann bei der Durchsicht der folgenden Zeichnungen und detaillierten Beschreibung ersichtlich wird, und diese Umsetzungen sollen innerhalb des Schutzumfangs dieser Anmeldung liegen.
  • Es werden beispielhafte Ausführungsformen für eine sichere End-to-End-Fahrzeug-ECU-Freischaltung in einer Halb-Offline-Umgebung offenbart. Eine beispielhafte elektronische Fahrzeugsteuereinheit beinhaltet einen ersten Prozessor und einen zweiten Prozessor. Der erste Prozessor stellt, wenn er freigeschaltet ist, Diagnoseinformationen bereit. Der zweite Prozessor sendet auf Grundlage eines ersten Schlüssels einen Ausgangswert an ein Diagnosewerkzeug. Außerdem schaltet der zweite Prozessor als Reaktion auf den Erhalt eines zweiten Schlüssels den ersten Prozessor frei. Nach dem Erhalt eines ersten Verifizierers entschlüsselt der zweite Prozessor den ersten Verifizierer, um einen dritten Schlüssel zu generieren, ersetzt den ersten Schlüssel durch den dritten Schlüssel und sendet einen zweiten Verifizierer an das Diagnosewerkzeug.
  • Ein sicherer Prozessor sendet einen willkürlichen Ausgangswert an ein Diagnosewerkzeug. Als Reaktion auf den Erhalt eines Freischaltschlüssels schaltet der sichere Prozessor einen Diagnoseprozessor frei. Der Diagnoseprozessor tauscht die Diagnoseinformationen mit dem Diagnosewerkzeug aus. Nach dem Erhalt eines ersten Verifizierers entschlüsselt der sichere Prozessor den ersten Verifizierer, um einen neuen Offline-Schlüssel zu generieren. Der sichere Prozessor ersetzt einen ursprünglichen Offline-Schlüssel durch den neuen Offline-Schlüssel. Zusätzlich sendet der sichere Prozessor einen zweiten Verifizierer an das Diagnosewerkzeug.
  • Ein beispielhaftes System beinhaltet einen entfernten ECU-Sicherheitsmanager (ESM), ein Diagnosewerkzeug und eine elektronische Fahrzeugsteuereinheit. Der entfernte Sicherheitsmanager stellt einem Diagnosewerkzeug einen ersten Offline-Schlüssel, einen ersten Verifizierer und einen zweiten Verifizierer bereit und ersetzt als Reaktion auf den Erhalt einer Abschlussbenachrichtigung von dem Diagnosewerkzeug den im Speicher gespeicherten ersten Offline-Schlüssel durch einen zweiten Offline-Schlüssel. Das Diagnosewerkzeug generiert einen Freischaltschlüssel auf Grundlage des ersten Offline-Schlüssels und eines willkürlichen Ausgangswertes von einer elektronischen Fahrzeugsteuereinheit. Als Reaktion auf den Erhalt einer Erfolgsbenachrichtigung tauscht das Diagnosewerkzeug Diagnoseinformationen mit der elektronischen Fahrzeugsteuereinheit aus und sendet den ersten Verifizierer an die elektronische Fahrzeugsteuereinheit. Die elektronische Fahrzeugsteuereinheit sendet den Ausgangswert an das Diagnosewerkzeug, schaltet als Reaktion darauf, dass der Freischaltschlüssel von dem Diagnosewerkzeug gültig ist, einen Diagnosemodus frei, generiert den zweiten Offline-Schlüssel auf Grundlage des ersten Verifizierers und ersetzt den ersten Offline-Schlüssel durch den zweiten Offline-Schlüssel.
  • Figurenliste
  • Zum besseren Verständnis der Erfindung kann auf Ausführungsformen Bezug genommen werden, die in den folgenden Zeichnungen gezeigt sind. Die Komponenten in den Zeichnungen sind nicht zwingend maßstabsgetreu und zugehörige Elemente können weggelassen sein oder in einigen Fällen können Proportionen vergrößert dargestellt sein, um die hierin beschriebenen neuartigen Merkmale hervorzuheben und eindeutig zu veranschaulichen. Außerdem können Systemkomponenten, wie auf dem Fachgebiet bekannt, verschiedenartig angeordnet sein. Ferner sind in den Zeichnungen sich entsprechende Teile in den verschiedenen Ansichten durch gleiche Bezugszeichen gekennzeichnet.
    • 1 veranschaulicht ein Fahrzeug mit gesicherten elektronischen Steuereinheiten gemäß den Lehren dieser Offenbarung.
    • 2 zeigt ein Diagramm, das den Zugriff auf die gesicherten elektronischen Steuereinheiten aus 1 veranschaulicht, wenn sich ein Diagnosewerkzeug in einer Halb-Offline-Umgebung befindet.
    • 3A und 3B sind Ablaufdiagramme eines Verfahrens zum Zugriff auf die gesicherten elektronischen Steuereinheiten aus 1, wenn sich ein Diagnosewerkzeug in einer Halb-Offline-Umgebung befindet.
  • DETAILLIERTE BESCHREIBUNG VON AUSFÜHRUNGSBEISPIELEN
  • Obwohl die Erfindung in verschiedenen Formen ausgeführt sein kann, werden in den Zeichnungen einige beispielhafte und nicht einschränkende Ausführungsformen gezeigt und nachfolgend beschrieben, wobei es sich versteht, dass die vorliegende Offenbarung als eine Erläuterung der Erfindung anhand von Beispielen anzusehen ist und damit nicht beabsichtigt wird, die Erfindung auf die konkreten veranschaulichten Ausführungsformen zu beschränken.
  • Sichere elektronische End-to-End-End-Steuereinheiten (ECUs) verwenden verschiedene Sicherheitsschutzstufen, wenn das Fahrzeug gewartet wird. Eine „sichere End-to-End-ECU“ wie hierin verwendet bezieht sich auf eine ECU mit Diagnoseroutinen, die nur nach Authentifizierung und Autorisierung von einem entfernten (z. B. zugänglich über eine Netzwerkverbindung) Server zugänglich sind, der von einem ECU-Sicherheitsmanager (ESM) (z. B. einem ECU-Hersteller, einem Fahrzeughersteller, einem Drittparteischlüsselinhaber usw.) betrieben wird. Üblicherweise erfordert die End-to-End-Sicherheit Online-Kommunikation (z. B. über ein Ethernet, ein drahtloses lokales Netzwerk, eine Mobilfunk- und/oder eine Satellitenverbindung usw.) zwischen der sicheren End-to-End-ECU und dem ESM. Solche sicheren End-to-End-ECUs enthalten einen generierten Ausgangswert, einen Freischaltschlüssel und einen Sicherheitsschlüssel. Wenn ein Diagnosewerkzeug mit einem bordeigenen Diagnoseanschluss (z. B. dem OBD-II-Anschluss usw.) des Fahrzeugs verbunden ist, stellt die sichere End-to-End-ECU dem ESM den Ausgangswert über die Netzwerkverbindung bereit. Der ESM beinhaltet auch den Sicherheitsschlüssel. Der ESM verwendet den Ausgangswert und den Sicherheitsschlüssel, um einen Kandidatenfreischaltschlüssel zu generieren. Der ESM sendet den Kandidatenfreischaltschlüssel über die Netzwerkverbindung an die ECU. Wenn der Kandidatenfreischaltschlüssel mit dem Freischaltschlüssel der sicheren End-to-End-ECU übereinstimmt, schaltet sich die sichere End-to-End-ECU frei und erlaubt dem Diagnosewerkzeug, auf die Diagnoseprozesse der ECU zuzugreifen.
  • In einigen Szenarien kann das Diagnosewerkzeug jedoch keine durchgehende Verbindung mit einem Netzwerk aufrechthalten. „Online“ wie hierin verwendet bezieht sich darauf, dass das Diagnosewerkzeug über eine Netzwerkverbindung mit dem ESM verbunden ist. Außerdem bezieht sich „offline“ darauf, dass das Diagnosewerkzeug nicht über eine Netzwerkverbindung mit dem ESM verbunden ist. „Halb-Offline“ bezieht sich darauf, dass das Diagnosewerkzeug über die Netzwerkverbindung unregelmäßigen Zugriff auf den ESM hat. Zum Beispiel kann ein Fahrzeug anfangs zur Diagnose in eine Reparaturwerkstatt gebracht werden, in der eine Netzwerkverbindung verfügbar ist. In solch einem Beispiel kann ein Techniker, um das Fahrzeug zu diagnostizieren, einen Straßentest durchführen und die Reparaturwerkstatt verlassen, sodass die Netzwerkverbindung nicht mehr verfügbar ist. In solch einem Beispiel muss der Techniker möglicherweise über das Diagnosewerkzeug auf die Diagnoseprozesse der ECU zugreifen, während das Diagnosewerkzeug nicht mit dem Netzwerk verbunden ist.
  • Wie nachfolgend erörtert, stellt das End-to-End-Sicherheitssystem ein Verfahren bereit, um auf die Diagnoseprozesse einer sicheren End-to-End-ECU zuzugreifen, wenn das Diagnosewerkzeug halb-offline ist. Die sichere End-to-End-ECU und der ESM teilen einen Sicherheitsschlüssel (SKEY), einen Offline-Schlüssel (OKEY) und einen Gegenwert. Anfangs fordert das Diagnosewerkzeug den Offline-Schlüssel (OKEY) von dem ESM an, während das Diagnosewerkzeug online ist. Der ESM weist einen aktuellen Offline-Schlüssel (OKEY) im Speicher auf und der OKEY ist für die ECU-Instanz und die Fahrzeuginstanz, die getestet wird, einmalig. Als Reaktion auf den Erhalt einer Anforderung von dem Diagnosewerkzeug generiert der ESM einen neuen Offline-Schlüssel (OKEY) und mindestens zwei Verifizierer (V1 und V2). Die Verifizierer (V1 und V2) basieren auf dem geteilten Sicherheitsschlüssel (SKEY), dem Gegenwert und/oder dem neuen Offline-Schlüssel (OKEY). Der ESM stellt dem Diagnosewerkzeug den aktuellen Offline-Schlüssel (OKEY) und die Verifizierer (V1 und V2) bereit.
  • Wenn es offline ist, fordert das Diagnosewerkzeug Zugriff auf die sichere End-to-End-ECU an. Die sichere End-to-End-ECU stellt dem Diagnosewerkzeug einen Ausgangswert bereit. Unter Verwendung des Ausgangswertes und des aktuellen Offline-Schlüssels (OKEY) generiert das Diagnosewerkzeug einen Kandidatenfreischaltschlüssel (UKEY) und sendet ihn an die sichere End-to-End-ECU. Die sichere End-to-End-ECU generiert den Freischaltschlüssel (UKEY) auf Grundlage des an das Diagnosewerkzeug gesendeten Ausgangswertes und des in sicherem Speicher gespeicherten aktuellen Offline-Schlüssels (OKEY). Als Reaktion darauf, dass der Kandidatenfreischaltschlüssel (UKEY) mit dem Freischaltschlüssel (UKEY) übereinstimmt, der von der sicheren End-to-End-ECU generiert wurde, schaltet die sichere End-to-End-ECU den Zugriff auf ihre Diagnosefunktionen frei und benachrichtigt das Diagnosewerkzeug. Die sichere End-to-End-ECU und das Diagnosewerkzeug können dann Diagnoseinformationen austauschen. Wenn die Diagnose abgeschlossen ist, sendet das Diagnosewerkzeug einen ersten Verifizierer (V1) an die sichere End-to-End-ECU. Die sichere End-to-End-ECU generiert dann (a) einen neuen Offline-Schlüssel auf Grundlage des ersten Verifizierers (V1) unter Verwendung des geteilten Sicherheitsschlüssels (SKEY) und (b) einen Kandidatenverifizierer (V2_C) auf Grundlage des neuen Offline-Schlüssels (OKEY) und des geteilten Gegenwertes. Die sichere End-to-End-ECU sendet den Kandidatenverifizierer (V2_C) an das Diagnosewerkzeug. Wenn das Diagnosewerkzeug online ist, benachrichtigt das Diagnosewerkzeug als Reaktion darauf, dass der Kandidatenverifizierer (V2_C) mit dem zweiten Verifizierer (V2) von dem ESM übereinstimmt, den ESM. Der ESM legt dann den neuen Offline-Schlüssel (OKEY) als den aktuellen Offline-Schlüssel (OKEY) fest.
  • Auf eine solche Weise ist eine böswillige Drittpartei nicht dazu in der Lage, auf die Diagnosefunktionen der sicheren End-to-End-ECU zuzugreifen, ohne den Offline-Schlüssel (OKEY) zu kennen. Außerdem ist die böswillige Drittpartei, da sich der Offline-Schlüssel (OKEY) nach jeder Diagnosesitzung ändert, nicht dazu in der Lage, den Offline-Schlüssel (OKEY) zu aktualisieren, ohne den Sicherheitsschlüssel (SKEY) zu kennen. Als Ergebnis kann die böswillige Drittpartei, auch wenn sie den aktuellen Offline-Schlüssel (OKEY) abfangen kann, nur einmal auf die Diagnoseprozesse zugreifen.
  • 1 veranschaulicht ein Fahrzeug 100 mit gesicherten elektronischen Steuereinheiten (ECUs) 102 und 104 gemäß den Lehren dieser Offenbarung. Das Fahrzeug 100 kann ein standardmäßiges benzinbetriebenes Fahrzeug, ein Hybridfahrzeug, ein Elektrofahrzeug, ein Brennstoffzellenfahrzeug und/oder ein Fahrzeugtyp mit beliebiger anderer Antriebsart sein. Das Fahrzeug 100 beinhaltet Teile, die mit Antrieb in Verbindung stehen, wie z. B. einen Antriebsstrang mit einem Motor, einem Getriebe, einer Aufhängung, einer Antriebswelle und/oder Rädern usw. Das Fahrzeug 100 kann nicht autonom, halbautonom (z. B. werden einige routinemäßige Fahrfunktionen durch das Fahrzeug 100 gesteuert) oder autonom (z. B. werden Fahrfunktionen durch das Fahrzeug 100 ohne direkte Fahrereingabe gesteuert) sein. In dem veranschaulichten Beispiel beinhaltet das Fahrzeug einen bordeigenen Diagnoseanschluss 106 (z. B. einen OBD-II-Anschluss usw.), der über Fahrzeugdatenbusse 108 kommunikativ mit den sicheren ECUs 102 und 104 verbunden ist.
  • Der bordeigene Diagnoseanschluss 106 ist ein Anschluss, der konfiguriert ist, um einen passenden Anschluss 110 aufzunehmen, der kommunikativ mit dem Diagnosewerkzeug 112 gekoppelt ist. In einigen Beispielen ist der bordeigene Diagnoseanschluss 106 gemäß der On-Board--Diagnostic-II-(OBD-II)-Spezifikation (z. B. SAE J1962 und SAE J1850) umgesetzt, die durch die Society of Automotive Engineers (SAE) gepflegt wird. In einigen Beispielen befindet sich der bordeigene Diagnoseanschluss 106 unter oder nahe einem Armaturenbrett-Cluster des Fahrzeugs 100. In einigen Beispielen ist der OBD-II-Anschluss ein drahtloses Radio, das dazu dient, das Fahrzeug 100 drahtlos mit dem Diagnosewerkzeug 112 zu verbinden.
  • Die ECUs 102 und 104 überwachen und steuern die Teilsysteme des Fahrzeugs 100. Die ECUs 102 und 104 kommunizieren und tauschen Informationen über die Fahrzeugdatenbusse 108 aus. Zusätzlich kommunizieren die ECUs 102 und 104 über den passenden Anschluss 110, der mit dem bordeigenen Diagnoseanschluss 106 verbunden ist, Eigenschaften (wie zum Beispiel Status, Sensorablesungen, Steuerzustand, Fehler- und Diagnosecodes usw.) an andere ECUs 102 und 104 und/oder das Diagnosewerkzeug 112 und/oder erhalten von diesen Anforderungen. Einige Fahrzeuge 100 können siebzig oder mehr ECUs 102 und 104 aufweisen, die sich an verschiedenen Stellen im gesamten Fahrzeug 100 befinden. Die ECUs 102 und 104 sind eigenständige Sätze elektronischer Bauteile, die ihre eigene(n) Schaltung(en) (wie etwa integrierte Schaltungen, Mikroprozessoren, Arbeitsspeicher, Datenspeicher usw.) und Firmware, Sensoren, Aktoren und/oder Montageelemente beinhalten. Zum Beispiel können die ECUs 102 und 104 ein Karosseriesteuermodul, ein Antriebsstrangsteuermodul, ein Bremssteuermodul und/oder eine Telematiksteuereinheit usw. beinhalten.
  • Die ECUs 102 und 104 weisen verschiedene Betriebsmodi auf, wie zum Beispiel einen normalen Modus und einen Diagnosemodus. Während das Fahrzeug 100 betrieben wird, befinden sich die ECUs 102 und 104 standardmäßig im normalen Modus. Während sie sich im normalen Modus befinden, führen die ECUs 102 und 104 Funktionen für den Betrieb des Fahrzeugs 100 durch, aber sensible Funktionen sind nicht zugänglich. Im Diagnosemodus können die ECUs 102 und 104 zum Beispiel (a) Status- und Sensorinformationen melden, (b) neu gebootet werden, (c) neu programmiert werden, (d) von dem Diagnosewerkzeug 112 den Befehl erhalten, bestimmte Handlungen durchzuführen und/oder (e) Verbindungen mit den zugehörigen Teilsystemen testen usw. Zum Beispiel kann ein Karosseriesteuermodul den Status der Scheinwerfer melden, von dem Diagnosewerkzeug 112 den Befehl erhalten, die Scheinwerfer zu testen (z. B. bewirken, dass die Scheinwerfer in einem spezifischen Muster getaktet werden) und/oder zurückzusetzen (wodurch bewirkt werden kann, dass die Scheinwerfer ausgehen, während das Karosseriesteuermodul neu gebootet wird). Das Diagnosewerkzeug 112 sendet Befehle an die ECUs 102 und 104, in den Diagnosemodus einzutreten, um die ECU(s) 102 und 104 zu testen und/oder zu diagnostizieren.
  • Einige ECUs 102 und 104 sind gesichert. Wenn die ECU(s) 102 und 104 gesichert sind, treten die ECU(s) 102 und 104 nicht in den Diagnosemodus ein, wenn das Diagnosewerkzeug 112 nicht autorisiert ist. Wie nachfolgend in 2 und 3A, 3B offenbart, ist das Diagnosewerkzeug 112 autorisiert, wenn es den gesicherten ECU(s) 102 und 104 einen korrekten Freischaltschlüssel (UKEY) bereitstellt.
  • Die ECUs 102 enthalten eine(n) Betriebsprozessor oder -steuerung 114, eine(n) sichere(n) Prozessor oder Steuerung 116 (manchmal als ein „Kryptoprozessor“ bezeichnet) und einen Speicher 118. Der/die Betriebsprozessor oder -steuerung 114 steuert den Betrieb der ECUs 102 und 104. Der/die Betriebsprozessor oder -steuerung 114 kann jede geeignete Verarbeitungsvorrichtung oder Reihe von Verarbeitungsvorrichtungen sein, wie etwa unter anderem: ein Mikroprozessor, eine mikroprozessorbasierte Plattform, eine geeignete integrierte Schaltung, ein oder mehrere feldprogrammierbare Gate-Arrays (field programmable gate array - FPGA) und/oder eine oder mehrere anwendungsspezifische integrierte Schaltungen (application-specific integrated circuit - ASIC). Außerdem kann es sich bei dem/der sicheren Prozessor oder Steuerung 116 um jede geeignete Verarbeitungsvorrichtung oder einen Satz von Verarbeitungsvorrichtungen handeln, wie etwa, unter anderem: einen Mikroprozessor, eine mikroprozessorbasierte Plattform, eine integrierte Schaltung, ein oder mehrere FPGAs und/oder eine oder mehrere ASICs. Der/die sichere Prozessor oder Steuerung 116 ist ein dedizierter Prozessor und/oder Schaltkreis, um kryptographische Vorgänge durchzuführen, die mit der Bestimmung verbunden sind, ob ein Diagnosewerkzeug 112 autorisiert ist, auf den Diagnosemodus der ECU 102 zuzugreifen. In einigen Beispielen beinhaltet der/die sichere Prozessor oder Steuerung 116 physische Sicherheitsmaßnahmen, um physischer Manipulation zu widerstehen. In einigen Beispielen enthält/enthalten die ECU(s) 104 den/die sichere Prozessor oder Steuerung 116 nicht. In solchen Beispielen werden die kryptographischen Vorgänge, die mit der Bestimmung verbunden sind, ob ein Diagnosewerkzeug 112 autorisiert ist, durch den/die Betriebsprozessor oder -steuerung 114 durchgeführt.
  • Bei dem Speicher 118 kann es sich um flüchtigen Speicher (z.B. RAM, der nichtflüchtigen RAM, magnetischen RAM, ferroelektrischen RAM und beliebige andere geeignete Formen einschließen kann); nichtflüchtige Speicher (z. B. Plattenspeicher, FLASH-Speicher, EPROMs, EEPROMs, memristorbasierte nichtflüchtige Halbleiterspeicher usw.); unveränderbare Speicher (z. B. EPROMs), Festwertspeicher und/oder Speichervorrichtungen mit hoher Kapazität (z. B. Festplatten, Halbleiterlaufwerke usw.) handeln. In einigen Beispielen beinhaltet der Speicher 118 mehrere Speicherarten, insbesondere flüchtigen Speicher und nichtflüchtigen Speicher. In einigen Beispielen beinhaltet der Speicher 118 sicheren Speicher, der über einen sicheren Datenbus kommunikativ an den/die sichere(n) Prozessor oder Steuerung 116 gekoppelt ist. Der sichere Abschnitt des Speichers 118 beinhaltet einen eingebetteten Hardware-Verschlüsselungsmotor mit seinen eigenen Authentifizierungsschlüsseln, um Informationen sicher zu speichern. Der kryptographische Algorithmus des Hardware-Verschlüsselungsmotors verschlüsselt (a) in dem sicheren Abschnitt des Speichers 118 gespeicherte Daten und (b) zwischen dem sicheren Abschnitt des Speichers 118 und dem/der sicheren Prozessor oder Steuerung 116 gesendete Daten.
  • Bei dem Speicher 118 handelt es sich um computerlesbare Medien, auf denen ein oder mehrere Sätze von Anweisungen, wie etwa die Software zum Ausführen der Verfahren der vorliegenden Offenbarung, eingebettet sein können. Die Anweisungen können, wie hierin beschrieben, eines oder mehrere der Verfahren oder eine Logik verkörpern. In einer bestimmten Ausführungsform können sich die Anweisungen während der Ausführung der Anweisungen vollständig oder zumindest teilweise innerhalb eines beliebigen oder mehreren von dem Speicher 118, dem computerlesbaren Medium und/oder innerhalb der Prozessoren 114 und 116 befinden.
  • Die Ausdrücke „nichttransitorisches computerlesbares Medium“ und „greifbares computerlesbares Medium“ sind so zu verstehen, dass sie ein einzelnes Medium oder mehrere Medien beinhalten, wie etwa eine zentralisierte oder verteilte Datenbank und/oder damit assoziierte Zwischenspeicher und Server, auf denen ein oder mehrere Sätze von Anweisungen gespeichert sind. Die Ausdrücke „nichttransitorisches computerlesbares Medium“ und „greifbares computerlesbares Medium“ beinhalten zudem jedes beliebige physische Medium, das zum Speichern, Verschlüsseln oder Tragen eines Satzes von Anweisungen zum Ausführen durch einen Prozessor in der Lage ist oder das ein System dazu veranlasst, ein beliebiges oder mehrere der hierin offenbarten Verfahren oder Vorgänge durchzuführen. Im hierin verwendeten Sinne ist der Ausdruck „greifbares computerlesbares Medium“ ausdrücklich derart definiert, dass er jede beliebige Art von computerlesbarer Speichervorrichtung und/oder Speicherplatte einschließt und das Verbreiten von Signalen ausschließt.
  • Der/die Fahrzeugdatenbus(se) 108 koppelt/koppeln die ECUs 102 und 104 und den bordeigenen Diagnoseanschluss 106 kommunikativ. Der/die Fahrzeugdatenbus(se) 108 kann/können in Übereinstimmung mit einem Controller-Area-Network-(CAN)-Bus-Protokoll laut der Definition der International Standards Organization (ISO) 11898-1, einem Media-Oriented-Systems-Transport-(MOST-)Bus-Protokoll, einem CAN-Flexible-Data-(CAN-FD-)Bus-Protokoll (ISO 11898-7) und/oder einem K-Leitungs-Bus-Protokoll (ISO 9141 und ISO 14230-1) und/oder einem Ethernet™-Bus-Protokoll IEEE 802.3 (ab 2002) usw. umgesetzt sein.
  • Das Diagnosewerkzeug 112 kommuniziert über den passenden Anschluss 110, der in den bordeigenen Diagnoseanschluss 106 gesteckt ist, mit den ECUs 102 und 104. In dem veranschaulichten Beispiel ist das Diagnosewerkzeug 112 über eine verdrahtete Verbindung mit dem passenden Anschluss 110 verbunden. Alternativ beinhalten in einigen Beispielen der passende Anschluss 110 und das Diagnosewerkzeug 112 drahtlose Steuerungen (z. B. eine drahtlose lokale Netzwerksteuerung, eine Bluetooth®-Steuerung, eine Bluetooth®-Niedrigenergiesteuerung (BLE) usw.). In solchen Beispielen sind der passende Anschluss 110 und das Diagnosewerkzeug 112 über eine drahtlose Verbindung kommunikativ gekoppelt.
  • Das Diagnosewerkzeug 112 weist einen Online-Modus und einen Offline-Modus auf. Im Online-Modus ist das Diagnosewerkzeug 112 kommunikativ mit einem ECU-Sicherheitsmanager (ESM) 120 gekoppelt, der sich auf einem externen Netzwerk befindet. Das Diagnosewerkzeug 112 beinhaltet eine verdrahtete oder drahtlose Schnittstelle zur kommunikativen Kopplung mit dem ESM 120. Im Online-Modus fordert das Diagnosewerkzeug 112 Authentifizierungsdaten 122 für ein bestimmtes Fahrzeug 100 zum Beispiel auf Grundlage der Fahrzeug-Identifizierungsnummer (FIN) des zu diagnostizierenden Fahrzeugs 100 an. In einigen Beispielen ruft das Diagnosewerkzeug 112 die FIN von dem zu diagnostizierenden Fahrzeug 100 über den bordeigenen Diagnoseanschluss 106 ab. Alternativ gibt in einigen Beispielen ein Techniker die FIN über eine Eingabeschnittstelle (z. B. ein Tastenfeld, einen Touchscreen usw.) des Diagnosewerkzeugs 112 ein. Nach dem Erhalt der Authentifizierungsdaten 122 kann das Diagnosewerkzeug 112 im Online- oder Offline-Modus Authentifizierungs-Token 124 und 126 mit der zu diagnostizierenden ECU 102 und 104 austauschen, ohne weiter mit dem ESM 120 zu kommunizieren.
  • Um die Autorisierung zu erhalten, die ECU(s) 102 und 104 zu diagnostizieren, sendet das Diagnosewerkzeug 112 eine Zugriffsanforderung an die zu diagnostizierenden ECU(s) 102 und 104. Die ECU(s) 102 und 104 antworten mit Ausgangswerten 124. Auf Grundlage der von dem ESM erhaltenen Authentifizierungsdaten 122 und der Ausgangswerte 124 generiert das Diagnosewerkzeug 112 einen Kandidatenfreischaltschlüssel (UKEY) 126. Das Diagnosewerkzeug 112 sendet die Kandidatenfreischaltschlüssel (UKEY) 126 an die ECU(s) 102 und 104. Als Reaktion darauf, dass die Kandidatenfreischaltschlüssel (UKEY) 126 korrekt sind, schalten sich die ECU(s) 102 und 104 frei und akzeptieren Befehle, in ihren Diagnosemodus einzutreten. Nach der Autorisierung sendet das Diagnosewerkzeug 112 Diagnosebefehle 128 an die ECUs 102 und 104. Zum Beispiel kann das Diagnosewerkzeug 112 eine der ECUs 102 und 104 anweisen, in ihren Diagnosemodus zu treten und eine Testroutine durchzuführen. Außerdem erhält das Diagnosewerkzeug 112 Diagnosedaten 130 von den ECUs 102 und 104. Wenn die Diagnose abgeschlossen ist und sich das Diagnosewerkzeug 112 im Online-Modus befindet, sendet das Diagnosewerkzeug 112 Abschlussdaten 132 an den ESM 120.
  • In dem veranschaulichten Beispiel beinhaltet das Diagnosewerkzeug 112 einen Prozessor 134 und einen Speicher 136. Bei dem Prozessor 134 kann es sich um jede geeignete Verarbeitungsvorrichtung oder einen Satz von Verarbeitungsvorrichtungen handeln, wie etwa, unter anderem: einen Mikroprozessor, eine mikroprozessorbasierte Plattform, eine geeignete integrierte Schaltung, ein oder mehrere FPGAs und/oder eine oder mehrere ASICs. Bei dem Speicher 136 kann es sich um flüchtigen Speicher (z. B. RAM, der nichtflüchtigen RAM, magnetischen RAM, ferroelektrischen RAM und beliebige andere geeignete Formen einschließen kann); nichtflüchtige Speicher (z. B. Plattenspeicher, FLASH-Speicher, EPROMs, EEPROMs, memristorbasierte nichtflüchtige Halbleiterspeicher usw.); unveränderbare Speicher (z. B. EPROMs), Festwertspeicher und/oder Speichervorrichtungen mit hoher Kapazität (z. B. Festplatten, Halbleiterlaufwerke usw.) handeln. In einigen Beispielen beinhaltet der Speicher 136 mehrere Speicherarten, insbesondere flüchtigen Speicher und nichtflüchtigen Speicher.
  • Der ESM 120 speichert Sicherheitsschlüssel (SKEY) und Gegenwerte für die ECUs 102 und 104 in Verbindung mit Fahrzeugidentifikatoren (wie zum Beispiel FINs usw.) und/oder mit ECU-Identifikatoren (wie zum Beispiel einer Seriennummer usw.). Wie nachfolgend in 2 und 3A, 3B offenbart, generiert der ESM 120 als Reaktion auf den Erhalt einer Anforderung mit einem Fahrzeugidentifikator von einem Diagnosewerkzeug 112 die Authentifizierungsdaten 122 auf Grundlage des Sicherheitsschlüssels (SKEY) und des Gegenwertes verbunden mit dem Fahrzeugidentifikator. In einigen Beispielen loggt sich das Diagnosewerkzeug 112, um die Anforderung zu senden, zuerst unter Verwendung separater Anmeldedaten (z. B. ein Benutzername und Passwort, ein Austausch von Authentifizierungs-Token usw.) in den ESM 120 ein. Als Reaktion auf den Erhalt von Abschlussdaten 132 ändert der ESM 120 die Authentifizierungsdaten 122, die als Reaktion auf eine weitere Anforderung für das bestimmte Fahrzeug 100 und die ECUs 102 und 104 gesendet werden.
  • 2 zeigt ein Diagramm, das den Zugriff auf die ECUs 102 und 104 aus 1 veranschaulicht, wenn sich ein Diagnosewerkzeug 112 in einer Halb-Offline-Umgebung befindet. In dem veranschaulichten Beispiel teilen der ESM 120 und die ECU(s) 102 und 104 einen gemeinsamen Sicherheitsschlüssel (SKEY) 202 und einen gemeinsamen Gegenwert (C) 204. In einigen Beispielen teilen die ECU(s) 102 und 104 in dem Fahrzeug 100 keinen gemeinsamen SKEY oder gemeinsamen Gegenwert. In solchen Beispielen fordert das Diagnosewerkzeug 112 auf einer individuellen Grundlage Zugriff auf die ECU(s) 102 und 104 an. Der Sicherheitsschlüssel (SKEY) und der Gegenwert (C) werden zum Beispiel während der Produktion des Fahrzeugs 100 zugewiesen. Wenn das Diagnosewerkzeug 112 online ist und ein Fahrzeug 100 zu diagnostizieren ist, fordert das Diagnosewerkzeug 112 die Authentifizierungsdaten 122 von dem ESM 120 auf Grundlage des Fahrzeugidentifikators des Fahrzeugs 100 an. Als Reaktion auf die Anforderung generiert der ESM 120 einen neuen Offline-Schlüssel (OKEY_N), einen ersten Verifizierer (V1) und einen zweiten Verifizierer (V2) auf Grundlage eines Sicherheitsschlüssels (SKEY) 202 und eines Gegenwertes (C) 204, der von dem ESM 120 gespeichert wird. Der erste Verifizierer (V1) und der zweite Verifizierer (V2) werden gemäß der nachfolgenden Gleichung (1) generiert. V 1 = e n c r y p t ( P K E Y , O K E Y _ N C ) V 2 = e n c r y p t ( O K E Y _ N , C )
    Figure DE102018104079A1_0001
  • In der vorstehenden Gleichung (1) sind der erste Verifizierer (V1) und der zweite Verifizierer (V2) mit einem symmetrischen Verschlüsselungsalgorithmus verschlüsselt. In einigen Beispielen sind der erste Verifizierer (V1) und der zweite Verifizierer (V2) mit einem Algorithmus des Advanced Encryption Standard (AES) wie zum Beispiel AES-128, AES-256 usw. verschlüsselt. Der erste Verifizierer (V1) ist der neue Offline-Schlüssel (OKEY_N) und der Gegenwert (C) 204 verschlüsselt mit dem Sicherheitsschlüssel (SKEY) 202. Der zweite Verifizierer (V2) ist der Gegenwert (C) 204 verschlüsselt durch den neuen Offline-Schlüssel (OKEY_N). Der ESM 120 gibt einen aktuellen Offline-Schlüssel (OKEY_C) 206, den ersten Verifizierer (V1) und den zweiten Verifizierer (V2) in den Authentifizierungsdaten 122 zurück.
  • Wenn das Diagnosewerkzeug 112 eine Diagnoseroutine an einer oder mehreren der ECU(s) 102 und 104 des Fahrzeugs 100 durchführen soll, fordert das Diagnosewerkzeug 112 die Ausgangswerte 124 von den ECU(s) 102 und 104 an. Die ECU 102 und 104 generieren über den Prozessor 114 oder den Kryptoprozessor 116 den Ausgangswert 124 und senden den Ausgangswert 124 an das Diagnosewerkzeug 112. Das Diagnosewerkzeug 112 generiert einen Kandidatenfreischaltschlüssel (UKEY _C) gemäß der nachfolgenden Gleichung (2). U K E Y _ C = e n c r y p t ( O K E Y _ C , S E E D )
    Figure DE102018104079A1_0002
  • In der vorstehenden Gleichung (2) ist SEED der Ausgangswert 124. Der Kandidatenfreischaltschlüssel (UKEY_C) ist das Ergebnis der Verschlüsselung des Ausgangswertes 124 mit dem aktuellen Offline-Schlüssel (OKEY C) 206. Das Diagnosewerkzeug 112 sendet den generierten Kandidatenfreischaltschlüssel (UKEY _C) an die ECU(s) 102 und 104. Anstelle von encrypt in Gleichung (2) können andere Funktionen verwendet werden, um den Kandidatenfreischaltschlüssel (UKEY_C) auf Grundlage des aktuellen Offline-Schlüssels (OKEY_C) 206 und des Ausgangswertes 124 zu generieren und können anhand eines beliebigen Namens identifiziert werden.
  • Die ECU(s) 102 und 104 generiert/generieren den Freischaltschlüssel (UKEY) gemäß der vorstehenden Gleichung (2) auf Grundlage des Ausgangswertes 124 und des aktuellen Offline-Schlüssels (OKEY_C) 206, der im Speicher (z. B. dem sicheren Abschnitt des Speichers 118) gespeichert ist. Die ECU(s) 102 und 104 vergleicht/vergleichen den von dem Diagnosewerkzeug 112 bereitgestellten Kandidatenfreischaltschlüssel (UKEY_C) mit dem generierten Freischaltschlüssel (UKEY). Wenn der generierte Freischaltschlüssel (UKEY) mit dem von dem Diagnosewerkzeug 112 bereitgestellten Kandidatenfreischaltschlüssel (UKEY_C) übereinstimmt, schalten die ECU(s) 102 und 104 den Diagnosemodus frei. Die ECU(s) 102 und 104 informieren dann das Diagnosewerkzeug 112 darüber, dass die ECU(s) 102 und 104 frei geschaltet worden sind. Das Diagnosewerkzeug 112 und die ECU(s) 102 und 104 tauschen Diagnosenachrichten 128 und Diagnosedaten 130 aus.
  • Wenn die Diagnose abgeschlossen ist, sendet das Diagnosewerkzeug 112 den ersten Verifizierer (V1) an die ECU(s) 102 und 104. Als Reaktion auf den Erhalt des ersten Verifizierers (V1) stellen die ECU(s) 102 und 104 den neuen Offline-Schlüssel (OKEY_N) und den Gegenwert (C) 204 gemäß der nachfolgenden Gleichung (3) her. [ O K E Y _ N , C ] = d e c r y p t ( P K E Y , V 1 )
    Figure DE102018104079A1_0003
  • In der vorstehenden Gleichung (3) entschlüsseln die ECU(s) 102 und 104 den ersten Verifizierer (V1) mit dem Sicherheitsschlüssel (SKEY), um den neuen Offline-Schlüssel (OKEY _N) und den Gegenwert (C) 204 herzustellen. Dadurch wird der neue Offline-Schlüssel (OKEY _N) als im Speicher gespeicherter aktueller Offline-Schlüssel (OKEY_C) 206 festgelegt. Die ECU(s) 102 und 104 generieren einen zweiten Kandidatenverifizierer (V2_C) gemäß der nachfolgenden Gleichung (4). V 2 _ C = e n c r y p t ( O K E Y _ N , C )
    Figure DE102018104079A1_0004
  • In der vorstehenden Gleichung 4 verschlüsseln die ECU(s) 102 und 104 den Gegenwert (C) 204 mit dem neuen Offline-Schlüssel (OKEY_N), um den zweiten Kandidatenverifizierer (V2_C) zu generieren. Die ECU(s) 102 und 104 sendet/senden den zweiten Kandidatenverifizierer (V2_C) an das Diagnosewerkzeug 112.
  • Das Diagnosewerkzeug 112 vergleicht den von den ECU(s) 102 und 104 erhaltenen zweiten Kandidatenverifizierer (V2_C) mit dem von dem ESM 120 erhaltenen zweiten Verifizierer (V2). Wenn der zweite Kandidatenverifizierer (V2_C) und der zweite Verifizierer (V2) übereinstimmen und sich das Diagnosewerkzeug 112 im Online-Modus befindet, sendet das Diagnosewerkzeug 112 die Abschlussdaten 132 mit dem zweiten Kandidatenverifizierer (V2_C) an den ESM 120. Nach dem Verifizieren, dass der zweite Kandidatenverifizierer (V2_C) und der zweite Verifizierer (V2) übereinstimmen, legt der ESM 120 den neuen Offline-Schlüssel (OKEY_N) als den aktuellen Offline-Schlüssel (OKEY_C) 206 fest. Auf solche Weise verifiziert der ESM 120, dass die ECU(s) 102 und 104 den Offline-Schlüssel aktualisiert haben, bevor Offline-Schlüssel gewechselt werden.
  • In einigen Beispielen kann das Diagnosewerkzeug 112 aus verschiedenen Gründen die Abschlussdaten 132 nach der Rückkehr in den Online-Modus nicht senden. In einigen solchen Beispielen (a) ist die Kommunikation des Diagnosewerkzeugs 112 mit einem anderen Fahrzeug 100 deaktiviert, bis die Abschlussdaten gesendet sind, und/oder (b) wird verhindert, dass es mehr Authentifizierungsdaten 122 von dem ESM 120 erhält. In einigen Beispielen sendet das Diagnosewerkzeug 112 den ersten Verifizierer (V1) an die ECU(s) 102 und 104, (a) während sich das Diagnosewerkzeug 112 im Online-Modus befindet, bevor die Anforderung des Ausgangswertes gesendet wird, oder (b) zusammen mit der Anforderung des Ausgangswertes. In einigen solchen Beispielen generiert/generieren die ECU(s) 102 und 104 den neuen Offline-Schlüssel (OKEY_N) und wechselt/wechseln zu diesem (a) nach einer bestimmten Anzahl an Fahrzeugschlüsseltakten, (b) nach einem bestimmten Zeitraum, oder (c) nachdem derselbe Kandidatenfreischaltschlüssel (UKEY_C) einige Male bis zu einer Schwellenanzahl verifiziert wurde. In einigen Beispielen wechselt der ESM 120 nach einem Zeitraum (z. B. sechs Stunden, zwölf Stunden usw.) nach dem Erhalt der Anforderung der Authentifizierungsdaten von dem Diagnosewerkzeug 112 zu dem neuen Offline-Schlüssel (OKEY_N).
  • In einigen Beispielen können die Architekturen des ESM 120, der ECU(s) 102 und 104 und des Diagnosewerkzeugs 112 derart sein, dass OKEY_N-Schlüssel von den ECU(s) 102 und 104 generiert werden und nicht von dem ESM 120. In solchen Beispielen fordert das Diagnosewerkzeug 112 während der ersten Online-Phase eine verschlüsselte Version des OKEY_N an. Als Reaktion auf diese Anforderung generieren die ECU(s) 102 und 104 OKEY_N, verschlüsseln OKEY_N gemäß der nachfolgenden Gleichung (5) und senden OKEY_N_E an das Diagnosewerkzeug 112, das OKEY_N_E dann an den ESM 120 überträgt (z. B. während Block 304 der nachfolgenden 3A). O K E Y _ N _ E = e n c r y p t ( P K E Y , O K E Y _ N )
    Figure DE102018104079A1_0005
  • Bei Erhalt der Anforderung entschlüsselt der ESM 120, anstatt einen neuen Offline-Schlüssel zu generieren, OKEY_N_E gemäß der nachfolgenden Gleichung (6). O K E Y _ N = d e c r y p t ( P K E Y , O K E Y _ N _ E )
    Figure DE102018104079A1_0006
  • OKEY_N wird dann zur Verwendung in Block 316 an das Diagnosewerkzeug 112 übertragen. In diesem Beispiel machen die ECU(s) 102 und 104 OKEY_N ungültig, nachdem bestimmte Schwellenkriterien erfüllt sind (wie vorstehend besprochen). In diesem Beispiel wird OKEY_N von dem ESM 120 weder gespeichert noch generiert.
  • 3A und 3B sind Ablaufdiagramme eines Verfahrens zum Zugriff auf die gesicherten ECUs 102 und 104 aus 1, wenn sich ein Diagnosewerkzeug 112 in einer Halb-Offline-Umgebung befindet. Anfangs ruft das Diagnosewerkzeug 112 bei Block 302 (3A) einen Identifikator (ID) ab oder erhält diesen anderweitig. Der Identifikator ist der Fahrzeugidentifikator des zu diagnostizierenden Fahrzeugs 100 und/oder der ECU-Identifikator der zu diagnostizierenden ECU 102 und 104. Bei Block 304 fordert das Diagnosewerkzeug 112 den aktuellen Offline-Schlüssel (OKEY_C) von dem ESM 120 an. Bei Block 306 generiert der ESM 120 den neuen Offline-Schlüssel (OKEY_N) auf Grundlage des Gegenwertes (C) 204 und des Sicherheitsschlüssels (SKEY) 202. Bei Block 308 generiert der ESM 120 den ersten und zweiten Verifizierer (V1, V2) auf Grundlage des Sicherheitsschlüssels (SKEY) 202, des Gegenwertes (C) 204 und/oder des neuen Offline-Schlüssels (OKEY_N). Bei Block 310 sendet der ESM 120 die Authentifizierungsdaten 122, die den ersten und zweiten Verifizierer (V1, V2) und den aktuellen Offline-Schlüssel (OKEY C) enthalten.
  • Bei Block 312 fordert das Diagnosewerkzeug 112 als Reaktion auf den Erhalt der Authentifizierungsdaten 122 den Ausgangswert 124 von den ECU(s) 102 und 104 an. Bei Block 314 senden die ECU(s) 102 und 104 den Ausgangswert 124 an das Diagnosewerkzeug 112. Bei Block 316 generiert das Diagnosewerkzeug 112 den Kandidatenfreischaltschlüssel (UKEY_C) auf Grundlage des Ausgangswertes und des aktuellen Offline-Schlüssels (OKEY_C). Bei Block 318 sendet das Diagnosewerkzeug 112 den Kandidatenfreischaltschlüssel (UKEY_C) an die ECU(s) 102 und 104. Bei Block 320 berechnen die ECU(s) 102 und 104 den Freischaltschlüssel (UKEY) auf Grundlage des im Speicher gespeicherten aktuellen Offline-Schlüssels (OKEY_C) und des Ausgangswertes. Bei Block 322 bestimmen die ECU(s) 102 und 104, ob der bei Block 318 von dem Diagnosewerkzeug 112 gesendete Kandidatenfreischaltschlüssel (UKEY_C) mit dem bei Block 322 berechneten Freischaltschlüssel (UKEY) übereinstimmt. Als Reaktion darauf, dass der Kandidatenfreischaltschlüssel (UKEY_C) mit dem Freischaltschlüssel (UKEY) übereinstimmt, wird das Verfahren bei Block 324 (3B) fortgesetzt. Ansonsten endet das Verfahren als Reaktion darauf, dass der Kandidatenfreischaltschlüssel (UKEY_C) nicht mit dem Freischaltschlüssel (UKEY) übereinstimmt.
  • Bei Block 324 schalten die ECU(s) 102 und 104 ihre Diagnosemodi frei. Bei Block 326 informieren die ECU(s) 102 und 104 das Diagnosewerkzeug. Bei Block 328 und 330 tauschen die ECU(s) 102 und 104 und das Diagnosewerkzeug 112 Diagnosebefehle 128 und Diagnosedaten 130 aus, bis das Diagnoseverfahren abgeschlossen ist. Bei Block 332 sendet das Diagnosewerkzeug 112 den ersten Verifizierer (V1) an die ECU(s) 102 und 104. Bei Block 334 stellen die ECU(s) 102 und 104 den neuen Offline-Schlüssel (OKEY_N) und den Gegenwert (C) auf Grundlage des ersten Verifizierers (V1) und des Sicherheitsschlüssels (SKEY) her. Bei Block 336 legen die ECU(s) 102 und 104 den neuen Offline-Schlüssel (OKEY N) als den aktuellen Offline-Schlüssel (OKEY C) fest. Bei Block 338 generieren die ECU(s) 102 und 104 den zweiten Verifizierer (V2) auf Grundlage des Gegenwertes (c) und des neuen Offline-Schlüssels (OKEY_N) und senden den zweiten Verifizierer (V2) an das Diagnosewerkzeug 112.
  • Bei Block 340 vergleicht das Diagnosewerkzeug 112 den von den ECU(s) 102 und 104 erhaltenen zweiten Verifizierer (V2) mit dem von dem ESM 120 erhaltenen zweiten Verifizierer (V2). Als Reaktion darauf, dass der von den ECU(s) 102 und 104 erhaltene zweite Verifizierer (V2) mit dem von dem ESM 120 erhaltenen zweiten Verifizierer (V2) übereinstimmt, wird das Verfahren bei Block 342 fortgesetzt. Ansonsten wird das Verfahren als Reaktion darauf, dass der von den ECU(s) 102 und 104 erhaltene zweite Verifizierer (V2) nicht mit dem von dem ESM 120 erhaltenen zweiten Verifizierer (V2) übereinstimmt, bei Block 346 fortgesetzt. Bei Block 342 informiert das Diagnosewerkzeug 112 den ESM 120, dass der Diagnosedienst abgeschlossen ist. Bei Block 344 legt der ESM 120 den neuen Offline-Schlüssel (OKEY_N) als den aktuellen Offline-Schlüssel (OKEY_C) fest. Bei Block 346 informiert das Diagnosewerkzeug 112 den ESM 120 über den Fehler.
  • Das Ablaufdiagramm aus 3A und 3B ist repräsentativ für im Speicher (wie zum Beispiel dem Speicher 118 und 136 aus 1) gespeicherte maschinenlesbare Anweisungen, die Programme umfassen, die, wenn sie von einem Prozessor (wie zum Beispiel den Prozessoren 114, 116 und 134 aus FIG. a) ausgeführt werden, die beispielhaften ECU(s) 102 und 104, das beispielhafte Diagnosewerkzeug 112 und den beispielhaften ESM 120 aus 1 und 2 umsetzen. Ferner können, obwohl das/die beispielhafte(n) Programm(e) in Bezug auf die in 3A und 3B veranschaulichten Ablaufdiagramme beschrieben ist/sind, alternativ viele andere Verfahren zum Umsetzen der beispielhaften ECU(s) 102 und 104, des beispielhaften Diagnosewerkzeugs 112 und des beispielhaften ESM 120 angewandt werden. Beispielsweise kann die Reihenfolge der Ausführung der Blöcke geändert werden und/oder können einige der beschriebenen Blöcke verändert, weggelassen oder kombiniert werden.
  • In dieser Anmeldung soll die Verwendung der Disjunktion die Konjunktion beinhalten. Die Verwendung von bestimmten oder unbestimmten Artikeln soll keine Kardinalität anzeigen. Insbesondere soll ein Verweis auf „das“ Objekt oder „ein“ Objekt auch eines aus einer möglichen Vielzahl derartiger Objekte bezeichnen. Ferner kann die Konjunktion „oder“ dazu verwendet werden, Merkmale wiederzugeben, die gleichzeitig vorhanden sind, anstelle von sich gegenseitig ausschließenden Alternativen. Anders ausgedrückt sollte die Konjunktion „oder“ so verstanden werden, dass sie „und/oder“ einschließt. Die Ausdrücke „beinhaltet“, „beinhaltend“ und „beinhalten“ sind einschließend und verfügen über denselben Umfang wie „umfasst“, „umfassend“ bzw. „umfassen“.
  • Die vorstehend beschriebenen Ausführungsformen und insbesondere etwaige „bevorzugte“ Ausführungsformen sind mögliche Beispiele für Umsetzungen und sind lediglich für ein eindeutiges Verständnis der Grundsätze der Erfindung dargelegt. Viele Variationen und Modifikationen können an der/den vorstehend beschriebenen Ausführungsform(en) vorgenommen werden, ohne wesentlich vom Geist und den Grundsätzen der hierin beschriebenen Techniken abzuweichen. Es wird beabsichtigt, dass sämtliche Modifikationen hier im Schutzumfang dieser Offenbarung eingeschlossen und durch die folgenden Patentansprüche geschützt sind.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • (ISO) 11898-1 [0023]
    • ISO 11898-7 [0023]
    • ISO 9141 [0023]
    • ISO 14230-1 [0023]

Claims (15)

  1. Elektronische Fahrzeugsteuereinheit, umfassend: einen ersten Prozessor, der, wenn er freigeschaltet ist, Diagnoseinformationen bereitstellt; und einen zweiten Prozessor für Folgendes: Senden eines Ausgangswertes an ein Diagnosewerkzeug; als Reaktion auf den Erhalt eines korrekten Freischaltschlüssels auf Grundlage des Ausgangswertes Freischalten des ersten Prozessors; nach dem Erhalt eines ersten Verifizierers Entschlüsseln des ersten Verifizierers, um einen neuen Schlüssel zu generieren; Ersetzen eines aktuellen Schlüssels durch den neuen Schlüssel; Senden eines zweiten Verifizierers an das Diagnosewerkzeug.
  2. Elektronische Fahrzeugsteuereinheit nach Anspruch 1, beinhaltend einen sicheren Abschnitt an Speicher zum Speichern eines Sicherheitsschlüssels, der mit einem entfernten Sicherheitsmanager geteilt wird, und wobei das Entschlüsseln des ersten Verifizierers das Entschlüsseln des ersten Verifizierers mit dem Sicherheitsschlüssel beinhaltet.
  3. Elektronische Fahrzeugsteuereinheit nach Anspruch 1, wobei der erste Verifizierer, wenn er entschlüsselt ist, den neuen Schlüssel und einen Gegenwert beinhaltet und wobei der zweite Prozessor dazu dient, den Gegenwert mit dem neuen Schlüssel zu verschlüsseln, um den zweiten Verifizierer zu generieren.
  4. Elektronische Fahrzeugsteuereinheit nach Anspruch 1, beinhaltend einen sicheren Abschnitt an Speicher, wobei der sichere Abschnitt des Speichers den aktuellen Schlüssel und einen Sicherheitsschlüssel, der mit einem entfernten Sicherheitsmanager geteilt wird, speichert.
  5. Verfahren für eine elektronische Steuereinheit zum Bereitstellen von Diagnoseinformationen, umfassend: Senden eines willkürlichen Ausgangswertes an ein Diagnosewerkzeug durch einen sicheren Prozessor; als Reaktion auf den Erhalt eines Freischaltschlüssels Freischalten eines Diagnoseprozessors durch den sicheren Prozessor; Austauschen der Diagnoseinformationen mit dem Diagnosewerkzeug durch den sicheren Prozessor; nach dem Erhalt eines ersten Verifizierers Entschlüsseln des ersten Verifizierers durch den sicheren Prozessor, um einen neuen Offline-Schlüssel zu generieren; Ersetzen eines ursprünglichen Offline-Schlüssels durch den neuen Offline-Schlüssel durch den sicheren Prozessor; und Senden eines zweiten Verifizierers an das Diagnosewerkzeug durch den sicheren Prozessor.
  6. Verfahren nach Anspruch 5, beinhaltend das Speichern eines Sicherheitsschlüssels, der mit einem entfernten Sicherheitsmanager geteilt wird, in einem sicheren Abschnitt an Speicher, und wobei das Entschlüsseln des ersten Verifizierers das Entschlüsseln des ersten Verifizierers mit dem Sicherheitsschlüssel beinhaltet.
  7. Verfahren nach Anspruch 5, wobei der erste Verifizierer, wenn er entschlüsselt ist, den neuen Offline-Schlüssel und einen Gegenwert beinhaltet.
  8. Verfahren nach Anspruch 7, beinhaltend: Verschlüsseln des Gegenwertes mit dem neuen Offline-Schlüssel, um den zweiten Verifizierer zu generieren, durch den sicheren Prozessor; und Speichern des ursprünglichen Offline-Schlüssels und eines Sicherheitsschlüssels, der mit einem entfernten Sicherheitsmanager geteilt wird, in einem sicheren Abschnitt an Speicher.
  9. System, umfassend: einen entfernten Sicherheitsmanager, der für Folgendes konfiguriert ist: Bereitstellen eines ersten Offline-Schlüssels, eines ersten Verifizierers und eines zweiten Verifizierers für ein Diagnosewerkzeug, und als Reaktion auf den Erhalt einer Abschlussbenachrichtigung von dem Diagnosewerkzeug Ersetzen des im Speicher gespeicherten ersten Offline-Schlüssels durch einen zweiten Offline-Schlüssel; das Diagnosewerkzeug, das für Folgendes konfiguriert ist: Generieren eines Freischaltschlüssels auf Grundlage des ersten Offline-Schlüssels und eines willkürlichen Ausgangswertes von einer elektronischen Fahrzeugsteuereinheit, als Reaktion auf den Erhalt einer Erfolgsbenachrichtigung Austauschen von Diagnoseinformationen mit der elektronischen Fahrzeugsteuereinheit, und Senden des ersten Verifizierers an die elektronische Fahrzeugsteuereinheit; und die elektronische Fahrzeugsteuereinheit, die für Folgendes konfiguriert ist: Senden des willkürlichen Ausgangswertes an das Diagnosewerkzeug, Freischalten eines Diagnosemodus als Reaktion darauf, dass der Freischaltschlüssel von dem Diagnosewerkzeug gültig ist, Generieren des zweiten Offline-Schlüssels auf Grundlage des ersten Verifizierers, und Ersetzen des ersten Offline-Schlüssels durch den zweiten Offline-Schlüssel.
  10. System nach Anspruch 9, wobei der entfernte Sicherheitsmanager für Folgendes konfiguriert ist: Generieren des ersten Verifizierers durch Verschlüsseln des zweiten Offline-Schlüssels und eines Gegenwertes mit einem Sicherheitsschlüssel; und Generieren des zweiten Verifizierers durch Verschlüsseln des Gegenwertes mit dem ersten Offline-Schlüssel.
  11. System nach Anspruch 9, wobei die Abschlussbenachrichtigung einen zweiten Kandidatenverifizierer beinhaltet, der von der elektronischen Steuereinheit eines Fahrzeugs generiert wird, und wobei der entfernte Sicherheitsmanager dazu dient, den in dem Speicher gespeicherten ersten Offline-Schlüssel durch den zweiten Offline-Schlüssel zu ersetzen, wenn der zweite Kandidatenverifizierer mit dem zweiten Verifizierer übereinstimmt.
  12. System nach Anspruch 9, wobei der entfernte Sicherheitsmanager als Reaktion darauf, dass er die Abschlussbenachrichtigung von dem Diagnosewerkzeug nicht erhält, dazu dient, nach einem Schwellenzeitraum den in dem Speicher gespeicherten ersten Offline-Schlüssel durch den zweiten Offline-Schlüssel zu ersetzen.
  13. System nach Anspruch 9, wobei das Diagnosewerkzeug einen Online-Modus und einen Offline-Modus aufweist, wobei das Diagnosewerkzeug dazu dient, im Online-Modus mit dem entfernten Sicherheitsmanager zu kommunizieren und im Offline-Modus mit der elektronischen Fahrzeugsteuereinheit zu kommunizieren.
  14. System nach Anspruch 9, wobei das Diagnosewerkzeug für Folgendes konfiguriert ist: Erhalten eines zweiten Kandidatenverifizierers von der elektronischen Fahrzeugsteuereinheit; Vergleichen des zweiten Kandidatenverifizierers von der elektronischen Fahrzeugsteuereinheit mit dem zweiten Verifizierer von dem entfernten Sicherheitsmanager; und Senden der Abschlussbenachrichtigung an den entfernten Sicherheitsmanager, wenn der zweite Kandidatenverifizierer und der zweite Verifizierer übereinstimmen.
  15. System nach Anspruch 9, wobei zum Generieren des zweiten Offline-Schlüssels die elektronische Fahrzeugsteuereinheit dazu dient, den ersten Verifizierer mit einem mit dem entfernten Sicherheitsmanager geteilten Sicherheitsschlüssel zu entschlüsseln, wobei der erste Verifizierer auch einen Gegenwert enthält, und wobei die elektronische Fahrzeugsteuereinheit dazu dient, einen zweiten Kandidatenverifizierer auf Grundlage der Verschlüsselung des Gegenwertes mit dem zweiten Offline-Schlüssel zu erzeugen.
DE102018104079.2A 2017-03-01 2018-02-22 Sichere end-to-end-fahrzeug-ecu-freischaltung in einer halb-offline-umgebung Pending DE102018104079A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/446,918 2017-03-01
US15/446,918 US10491392B2 (en) 2017-03-01 2017-03-01 End-to-end vehicle secure ECU unlock in a semi-offline environment

Publications (1)

Publication Number Publication Date
DE102018104079A1 true DE102018104079A1 (de) 2018-09-06

Family

ID=61903137

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018104079.2A Pending DE102018104079A1 (de) 2017-03-01 2018-02-22 Sichere end-to-end-fahrzeug-ecu-freischaltung in einer halb-offline-umgebung

Country Status (5)

Country Link
US (1) US10491392B2 (de)
CN (1) CN108536118B (de)
DE (1) DE102018104079A1 (de)
GB (1) GB2561689A (de)
RU (1) RU2018107078A (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022106746A1 (de) 2022-03-23 2023-09-28 Audi Aktiengesellschaft Verfahren zum Betrieb eines kryptographisch gesicherten Systems für ein Kraftfahrzeug

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT201700028708A1 (it) * 2017-03-15 2018-09-15 Texa Spa Unita’ multifunzionale per l’analisi e la calibrazione di dispositivi e componenti di un veicolo
US11108542B2 (en) * 2017-07-07 2021-08-31 Board Of Regents Of The Nevada System Of Higher Education, On Behalf Of The University Of Nevada, Reno Multi-processor automotive electronic control unit
US10805276B2 (en) * 2017-09-05 2020-10-13 Comodo Security Solutions, Inc. Device and methods for safe control of vehicle equipment secured by encrypted channel
JP7037748B2 (ja) * 2018-01-26 2022-03-17 トヨタ自動車株式会社 電子制御ユニット及び接続認証方法
JP6563086B1 (ja) * 2018-06-28 2019-08-21 三菱電機株式会社 車載電子制御装置
FR3093218B1 (fr) * 2019-02-22 2021-01-29 Psa Automobiles Sa récupération de données stockées sur une clé d’un véhicule
US11240006B2 (en) * 2019-03-25 2022-02-01 Micron Technology, Inc. Secure communication for a key exchange
CN110377002B (zh) * 2019-06-06 2021-07-30 西安电子科技大学 一种自适应的车内can总线安全控制方法及系统
US11554791B2 (en) * 2020-03-06 2023-01-17 Caterpillar Paving Products Inc. Test system and method for autonomous machines
CN113497704A (zh) * 2020-04-01 2021-10-12 罗伯特·博世有限公司 车载密钥生成方法、车辆及计算机可读存储介质
EP4250631A4 (de) * 2020-12-08 2024-01-03 Huawei Tech Co Ltd Fahrzeugdiagnosesystem, -verfahren und -vorrichtung
CN114162080B (zh) * 2021-12-14 2022-10-04 深圳市星卡科技股份有限公司 防盗钥匙匹配方法、装置和计算机设备

Family Cites Families (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2A (en) * 1826-12-15 1836-07-29 mode of manufacturing wool or other fibrous materials
DE10318031A1 (de) * 2003-04-19 2004-11-04 Daimlerchrysler Ag Verfahren zur Sicherstellung der Integrität und Authentizität von Flashware für Steuergeräte
US20070001805A1 (en) * 2005-07-01 2007-01-04 Utter Thomas E Multiple vehicle authentication for entry and starting systems
US7643916B2 (en) * 2006-06-14 2010-01-05 Spx Corporation Vehicle state tracking method and apparatus for diagnostic testing
JP5698577B2 (ja) * 2011-03-24 2015-04-08 富士フイルム株式会社 画像処理装置、画像処理方法並びに画像処理プログラム
US8379857B1 (en) * 2011-03-30 2013-02-19 Google Inc. Secure key distribution for private communication in an unsecured communication channel
CN202141943U (zh) 2011-07-01 2012-02-08 广州汽车集团股份有限公司 车载诊断安全验证系统
CN202150047U (zh) * 2011-07-06 2012-02-22 广州汽车集团股份有限公司 车载诊断安全验证系统
US9280653B2 (en) * 2011-10-28 2016-03-08 GM Global Technology Operations LLC Security access method for automotive electronic control units
JP6093503B2 (ja) * 2012-01-31 2017-03-08 株式会社東海理化電機製作所 電子キー登録方法
DE102013101508A1 (de) * 2012-02-20 2013-08-22 Denso Corporation Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug
JP5969263B2 (ja) * 2012-05-10 2016-08-17 株式会社東海理化電機製作所 電子キー登録システム
JP5985894B2 (ja) 2012-06-06 2016-09-06 株式会社東海理化電機製作所 電子キー登録方法
JP5990406B2 (ja) 2012-06-06 2016-09-14 株式会社東海理化電機製作所 電子キー登録方法
US8799657B2 (en) * 2012-08-02 2014-08-05 Gm Global Technology Operations, Llc Method and system of reconstructing a secret code in a vehicle for performing secure operations
JP5902597B2 (ja) * 2012-10-10 2016-04-13 株式会社東海理化電機製作所 電子キー登録システム
JP6147983B2 (ja) * 2012-10-10 2017-06-14 株式会社東海理化電機製作所 電子キー登録システム
JP5964726B2 (ja) * 2012-11-02 2016-08-03 株式会社東海理化電機製作所 電子キー登録システム
CN204806755U (zh) * 2012-12-10 2015-11-25 株式会社大昌 制冰机
JP6050136B2 (ja) * 2013-02-15 2016-12-21 株式会社東海理化電機製作所 電子キー登録方法
JP6050137B2 (ja) 2013-02-15 2016-12-21 株式会社東海理化電機製作所 電子キー登録方法
US8818892B1 (en) * 2013-03-15 2014-08-26 Palantir Technologies, Inc. Prioritizing data clusters with customizable scoring strategies
EP3113057B1 (de) * 2014-02-28 2020-07-01 Hitachi Automotive Systems, Ltd. Authentifizierungssystem und bordsteuerungsvorrichtung eines fahrzeuges
US9571284B2 (en) * 2014-03-13 2017-02-14 GM Global Technology Operations LLC Controlling access to personal information stored in a vehicle using a cryptographic key
US9477843B2 (en) * 2014-06-11 2016-10-25 GM Global Technology Operations LLC Inhibiting access to sensitive vehicle diagnostic data
US9460567B2 (en) * 2014-07-29 2016-10-04 GM Global Technology Operations LLC Establishing secure communication for vehicle diagnostic data
JP6417772B2 (ja) * 2014-07-31 2018-11-07 マックス株式会社 鉄筋結束機
US20160099806A1 (en) * 2014-10-07 2016-04-07 GM Global Technology Operations LLC Distributing secret keys for managing access to ecus
EP3412514B1 (de) 2014-11-12 2019-12-04 Panasonic Intellectual Property Corporation of America Aktualisierungsverwaltungsverfahren, aktualisierungsverwaltungsvorrichtung und steuerungsprogramm
CN105794146A (zh) * 2014-11-13 2016-07-20 松下电器(美国)知识产权公司 密钥管理方法、车载网络系统以及密钥管理装置
US9854442B2 (en) * 2014-11-17 2017-12-26 GM Global Technology Operations LLC Electronic control unit network security
JP6079768B2 (ja) * 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
US9843597B2 (en) * 2015-01-05 2017-12-12 International Business Machines Corporation Controller area network bus monitor
CN105844738B (zh) * 2015-02-02 2018-04-24 株式会社东海理化电机制作所 电子钥匙登录系统
KR101647113B1 (ko) * 2015-02-24 2016-08-09 현대자동차주식회사 텔레매틱스 단말, 데이터 센터, 각각의 제어 방법 및 데이터 서비스 시스템
DE102015209108A1 (de) * 2015-05-19 2016-11-24 Robert Bosch Gmbh Verfahren und Entscheidungsgateway zum Autorisieren einer Funktion eines eingebetteten Steuergerätes
DE102015209116A1 (de) * 2015-05-19 2016-11-24 Robert Bosch Gmbh Verfahren und Aktualisierungsgateway zum Aktualisieren eines eingebetteten Steuergerätes
GB2556301A (en) * 2015-08-05 2018-05-23 Ford Global Tech Llc Customer driving mode for vehicles
GB201516767D0 (en) * 2015-09-22 2015-11-04 Bae Systems Plc Cryptographic key distribution
KR20170082770A (ko) * 2016-01-07 2017-07-17 현대자동차주식회사 전자제어장치(electronic control unit, ECU) 리프로그래밍의 경우 보조배터리 심방전 방지 방법 및 장치
US20180063098A1 (en) * 2016-08-29 2018-03-01 David Robins Vehicle Network Interface Tool
CN106357681A (zh) * 2016-11-02 2017-01-25 合肥工业大学 一种车载远程诊断服务的安全接入与保密通信方法
WO2018127816A1 (en) * 2017-01-03 2018-07-12 Karamba Security Mode-based controller security and malware prevention
US10009325B1 (en) * 2017-12-07 2018-06-26 Karamba Security End-to-end communication security

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022106746A1 (de) 2022-03-23 2023-09-28 Audi Aktiengesellschaft Verfahren zum Betrieb eines kryptographisch gesicherten Systems für ein Kraftfahrzeug

Also Published As

Publication number Publication date
CN108536118B (zh) 2023-06-27
GB2561689A (en) 2018-10-24
US20180254903A1 (en) 2018-09-06
US10491392B2 (en) 2019-11-26
CN108536118A (zh) 2018-09-14
GB201803059D0 (en) 2018-04-11
RU2018107078A (ru) 2019-08-27

Similar Documents

Publication Publication Date Title
DE102018104079A1 (de) Sichere end-to-end-fahrzeug-ecu-freischaltung in einer halb-offline-umgebung
DE102012110499B9 (de) Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte
DE102017125826A1 (de) Nachrichtenauthentifizierung über controller area network
DE112018003154T5 (de) Fahrzeuggebundenes Authentifizierungssystem, Kommunikationseinrichtung, fahrzeuggebundene Authentifizierungseinrichtung, Computerprogramm, Kommunikationseinrichtungs-Authentifizierungsverfahren und Kommunikationseinrichtungs-Herstellungsverfahren
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
DE102012224421A1 (de) Fahrzeuggebundenes system und kommunikationsverfahren
DE102015116445A1 (de) Verteilen geheimer Schlüssel zum Verwalten eines Zugriffs auf ECUs
DE102015111530A1 (de) Sicheres Bereitstellen von Diagnosedaten von einem Fahrzeug für einen entfernten Server unter Verwendung eines Diagnosewerkzeugs
DE102017107879A1 (de) Nachrichten-Authentifizierungsbibliothek
DE102014114607A1 (de) Programmierung von Fahrzeugmodulen mit Remotevorrichtungen und zugehörige Methoden und Systeme
DE102007022100B4 (de) Kraftfahrzeugsteuergerätedatenübertragungssystem und -verfahren
DE102006040836A1 (de) System aus Steuergeräten in einem Kraftfahrzeug mit geschütztem Diagnosezugriff
DE102019124914A1 (de) Cloudautorisierte fahrzeugsteuerung
EP3498544A1 (de) Vorrichtung, verfahr, und computerprogramm zum freischalten von einer fahrzeugkomponente, fahrzeug-zu-fahrzeug-kommunikationsmodul
DE112016005669T5 (de) Bord-Kommunikationseinrichtung, Bord-Kommunikationssystem und Verfahren zum Verbieten spezieller Verarbeitungen für ein Fahrzeug
DE102018101479A1 (de) Steuerungsschnittstelle für ein autonomes fahrzeug
DE102014113763B4 (de) Angriffsresistentes Diebstahlabwehrsystem
EP1185026A2 (de) Verfahren zur Datenübertragung
DE102018109080A1 (de) Systeme und verfahren zum verwenden mechanischer schwingung für ausserbandkommunikationen an bord eines fahrzeugs
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
WO2018007049A1 (de) Verfahren zur sicheren authentifizierung von steuervorrichtungen in einem kraftfahrzeug
DE102020126906A1 (de) Validieren von fahrzeugen, die innerhalb bestimmter regionen fahren
DE102014114072B4 (de) Verfahren und Systeme zur sicheren Kommunikation zwischen drahtlosen elektronischen Geräten und Fahrzeugen
EP3725055A1 (de) Vorrichtungen, verfahren und computerprogramm zum freischalten von fahrzeugkomponenten, fahrzeug-zu-fahrzeug-kommunikationsmodul
DE102011083828B4 (de) Verfahren zum Plagiatschutz und Anordnung zur Durchführung

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: BONSMANN - BONSMANN - FRANK PATENTANWAELTE, DE