DE102018207661A1

DE102018207661A1 - Verification of sensor data

Info

Publication number: DE102018207661A1
Application number: DE102018207661.8A
Authority: DE
Inventors: Mehrdad Salari Khaniki; Ulrich Mair
Original assignee: ZF Friedrichshafen AG
Current assignee: ZF Friedrichshafen AG
Priority date: 2018-05-16
Filing date: 2018-05-16
Publication date: 2019-11-21
Also published as: WO2019219421A1

Abstract

Ein Verfahren (200) umfasst Schritte des Abtastens (205) erster Sensordaten von einem ersten Sensor (120) an Bord eines ersten Kraftfahrzeugs (105); des Abtastens (210) zweiter Sensordaten von einem zweiten Sensor (140), der sich im Bereich des ersten Kraftfahrzeugs (105) befindet, wobei der zweite Sensor (140) an Bord eines zweiten Kraftfahrzeugs (110) oder an einer Infrastruktur (160) angeordnet ist; des Vergleichens (220) der abgetasteten ersten und zweiten Sensordaten miteinander; und des Bestimmens (225), dass die ersten Sensordaten vertrauenswürdig sind, falls sie zu den zweiten Sensordaten korrespondieren. Dabei umfassen die zweiten Sensordaten eine Identifikation der Einrichtung (162) und der Vergleich wird nur durchgeführt, falls die Identifikation der Einrichtung (162) erfolgreich überprüft werden kann.A method (200) includes steps of sampling (205) first sensor data from a first sensor (120) onboard a first motor vehicle (105); scanning (210) second sensor data from a second sensor (140) located in the region of the first motor vehicle (105), wherein the second sensor (140) is disposed onboard a second motor vehicle (110) or on an infrastructure (160) is; comparing (220) the sampled first and second sensor data with each other; and determining (225) that the first sensor data is trustworthy if it corresponds to the second sensor data. In this case, the second sensor data comprise an identification of the device (162) and the comparison is carried out only if the identification of the device (162) can be successfully checked.

Description

Die vorliegende Erfindung betrifft die Verifikation von Sensordaten. Insbesondere betrifft die Erfindung die Verifikation von Daten, die an Bord eines Kraftfahrzeugs abgetastet wurden.The present invention relates to the verification of sensor data. In particular, the invention relates to the verification of data that has been sampled on board a motor vehicle.

An Bord eines Kraftfahrzeugs ist ein Sensor angebracht, der eine Größe abtastet, auf deren Basis das Kraftfahrzeug oder ein an Bord des Kraftfahrzeugs angebrachtes System gesteuert werden kann. Abgetastete Sensordaten können aus verschiedenen Gründen gestört, verrauscht oder verfälscht sein, sodass eine Steuerung auf Basis der Sensordaten im Allgemeinen riskant sein kann. Hat das gesteuerte System hohe Sicherheitsansprüche zu erfüllen, beispielsweise weil eine Fehlfunktion einen materiellen oder personellen Schaden hervorrufen kann, so wird üblicherweise entweder ein Sensor verwendet, dessen Betriebssicherheit und Genauigkeit vorbestimmten Ansprüchen genügen, die beispielsweise in der ASIL-Spezifikation festgehalten sein können, oder es werden mehrere Sensoren verwendet, um die gleiche Größe abzutasten. Korrespondieren die Sensordaten der mehreren Sensoren zueinander, so können die Sensordaten als plausibel oder vertrauenswürdig eingestuft werden.On board a motor vehicle, a sensor is mounted which scans a size on the basis of which the motor vehicle or a system mounted on board the motor vehicle can be controlled. Sensed sensor data may be disturbed, noisy, or corrupted for a variety of reasons, so control based on sensor data may generally be risky. If the controlled system has to fulfill high security requirements, for example because a malfunction can cause material or personal damage, then usually either a sensor is used whose operational reliability and accuracy meet predetermined requirements, which can be specified in the ASIL specification, for example Several sensors are used to scan the same size. If the sensor data of the multiple sensors correspond to one another, then the sensor data can be classified as plausible or trustworthy.

Diese Vorgehensweise erfordert jedoch ein aufwändiges Sensorkonzept. Eine der vorliegenden Erfindung zu Grunde liegende Aufgabe besteht in der Angabe einer verbesserten Technik, die eine Plausibilisierung von Sensordaten erlaubt, die von einem Sensor an Bord eines Kraftfahrzeugs abgetastet wurden. Die Erfindung löst die Aufgabe mittels der Gegenstände der unabhängigen Ansprüche. Unteransprüche geben bevorzugte Ausführungsformen wieder.However, this procedure requires a complex sensor concept. One object of the present invention is to provide an improved technique that allows a plausibility check of sensor data sensed by a sensor on board a motor vehicle. The invention achieves the object by means of the subject matters of the independent claims. Subclaims give preferred embodiments again.

Ein Verfahren umfasst Schritte des Abtastens erster Sensordaten von einem ersten Sensor an Bord eines ersten Kraftfahrzeugs; des Abtastens zweiter Sensordaten von einem zweiten Sensor, der sich im Bereich des ersten Kraftfahrzeugs befindet, wobei der zweite Sensor an in einer Einrichtung, insbesondere an Bord eines zweiten Kraftfahrzeugs oder an einer Infrastruktur angeordnet ist; des Vergleichens der abgetasteten ersten und zweiten Sensordaten miteinander; und des Bestimmens, dass die ersten Sensordaten vertrauenswürdig sind, falls sie zu den zweiten Sensordaten korrespondieren. Dabei umfassen die zweiten Sensordaten eine Identifikation der Einrichtung und der Vergleich wird nur durchgeführt, falls die Identifikation der Einrichtung erfolgreich überprüft werden kann.One method includes steps of sampling first sensor data from a first sensor onboard a first motor vehicle; scanning second sensor data from a second sensor located in the region of the first motor vehicle, wherein the second sensor is arranged on in a device, in particular on board a second motor vehicle or on an infrastructure; comparing the sampled first and second sensor data with each other; and determining that the first sensor data is trustworthy if it corresponds to the second sensor data. In this case, the second sensor data comprise an identification of the device and the comparison is only carried out if the identification of the device can be successfully checked.

Dadurch kann sichergestellt werden, dass nur zweite Sensordaten einer bekannten Quelle zur Beurteilung der Vertrauenswürdigkeit der ersten Sensordaten verwendet werden. Sollten sich die zweiten Sensordaten als falsch herausstellen, kann die Einrichtung, von der die zweiten Sensordaten empfangen wurden, benachrichtigt werden. Die Einrichtung kann dann den zweiten Sensor überprüfen und/oder die Aussendung zweiter Sensordaten aussetzen, bis das Problem gefunden wurde.This ensures that only second sensor data from a known source is used to assess the trustworthiness of the first sensor data. If the second sensor data turns out to be wrong, the device from which the second sensor data was received can be notified. The device may then check the second sensor and / or suspend the transmission of second sensor data until the problem is found.

Außerdem kann ein Hinweis auf inkorrekte Sensordaten der Einrichtung an einer zentralen Stelle hinterlegt werden. Ein anderes erstes Kraftfahrzeug kann sich bei der zentralen Stelle über kürzlich bekannt gewordene falsche Sensordaten von der Einrichtung informieren und die Verarbeitung von der Einrichtung empfangener zweiter Sensordaten ablehnen.In addition, an indication of incorrect sensor data of the device may be deposited at a central location. Another first motor vehicle may obtain information from the device at the central location about recently reported incorrect sensor data and refuse to process the second sensor data received from the device.

Durch die Überprüfung der Identität der Einrichtung kann verhindert werden, dass sich Sensordaten zweifelhafter Qualität in einem Netzwerk mit einem oder mehreren ersten Kraftfahrzeugen fortpflanzen. Einer böswilligen Verbreitung manipulierter zweiter Sensordaten kann entgegen gewirkt werden. So kann auch einem Hacker- oder Cyberangriff widerstanden werden, der ansonsten dazu geeignet sein könnte, einen öffentlichen Straßenverkehr einzuschränken.By verifying the identity of the device, sensor data of questionable quality can be prevented from propagating in a network with one or more first motor vehicles. A malicious distribution of manipulated second sensor data can be counteracted. This can also be used to resist a hacker or cyberattack that might otherwise be appropriate to restrict public road traffic.

Die Identifikation kann mittels eines asymmetrischen kryptographischen Verfahrens überprüft werden. Dazu kann eines von mehreren bekannten Authentifizierungsverfahren mit asymmetrischen Schlüsseln verwendet werden. Mehrere solcher Verfahren sind seit längerer Zeit in Verwendung und können als sicher gelten. Das Verfahren kann öffentlich dokumentiert sein und eine Implementation kann frei verfügbar sein. Das Verfahren kann leicht und kostengünstig nutzbar sein. Von externen Anstrengungen zur Verbesserung des Authentifizierungsverfahrens kann profitiert werden. Solche Anstrengungen können insbesondere für weit verbreitete Verfahren permanent von unterschiedlichen Stellen geleistet werden.The identification can be checked by means of an asymmetric cryptographic method. One of several known authentication methods with asymmetric keys can be used for this purpose. Several such methods have been in use for some time and can be considered safe. The method may be publicly documented and an implementation may be freely available. The method can be used easily and inexpensively. External efforts to improve the authentication process can be beneficial. Such efforts, especially for widely used methods, can be made permanently from different locations.

Zur Durchführung eines Authentifizierungsverfahrens mit asymmetrischen kryptographischen Schlüsseln wird in einer Ausführungsform seitens des ersten Kraftfahrzeugs eine Nachricht erstellt und an die Einrichtung übermittelt; die Nachricht seitens der Einrichtung mit einem privaten Schlüssel der Einrichtung verschlüsselt und an das erste Kraftfahrzeug zurück übermittelt; die übermittelte Nachricht seitens des ersten Kraftfahrzeugs mit einem öffentlichen Schlüssel der Einrichtung entschlüsselt und mit der ursprünglichen Nachricht verglichen.To carry out an authentication method with asymmetrical cryptographic keys, in one embodiment a message is generated by the first motor vehicle and transmitted to the device; the message is encrypted by the device with a private key of the device and transmitted back to the first motor vehicle; decrypting the transmitted message from the first motor vehicle with a public key of the device and comparing it with the original message.

Enthält die entschlüsselte Nachricht die ursprüngliche Nachricht, so kann die Identität der Einrichtung erfolgreich überprüft werden. Andernfalls, wenn die ursprüngliche Nachricht nicht in der empfangenen Nachricht enthalten ist, kann die Identität nicht erfolgreich überprüft werden. Der Vergleich der empfangenen mit den lokal erhobenen Sensordaten kann dann entfallen. In einer weiteren Ausführungsform kann die übermittelte Nachricht noch weitere Informationen umfassen, insbesondere die zweiten Sensordaten. Kann die Identifikation der Einrichtung erfolgreich überprüft werden, so kann auch gleichzeitig davon ausgegangen werden, dass die Kommunikation des ersten Kraftfahrzeugs mit der Einrichtung unverfälscht ist. Ferner kann in der übermittelten Nachricht ein Zeitstempel enthalten sein, sodass eine verschlüsselte Nachricht, die abgefangen und später dem ersten Kraftfahrzeug übermittelt wird, erkannt und verworfen werden kann.If the decrypted message contains the original message, the identity of the device can be successfully verified. Otherwise, if the original message is not included in the received message, the identity may be not be checked successfully. The comparison of the received with the locally collected sensor data can then be omitted. In a further embodiment, the transmitted message may comprise further information, in particular the second sensor data. If the identification of the device can be successfully checked, it can also be assumed at the same time that the communication of the first motor vehicle with the device is unadulterated. Furthermore, a timestamp can be contained in the transmitted message, so that an encrypted message which is intercepted and later transmitted to the first motor vehicle can be recognized and discarded.

Der öffentliche Schlüssel der Einrichtung kann von einer zentralen Stelle bezogen werden. Die zentrale Stelle kann einen Schlüsselserver („certificate authority“, CA) umfassen und beispielsweise als Server oder als Dienst, etwa in einer Cloud, realisiert sein. Mehrere allgemein anerkannte CAs sind derzeit bekannt und kommen für eine Verteilung öffentlicher Schlüssel in Frage. Zur Kommunikation mit der CA kann ein ähnliches Verfahren eingesetzt werden, wobei ein öffentlicher Schlüssel der CA an Bord des ersten Kraftfahrzeugs fest vorbestimmt sein kann.The public key of the facility can be obtained from a central location. The central office may comprise a certificate authority (CA) and be implemented, for example, as a server or as a service, such as in a cloud. Several widely recognized CAs are currently known and eligible for public key distribution. For communication with the CA, a similar method may be used wherein a public key of the CA may be fixedly predetermined on board the first motor vehicle.

Die zentrale Stelle kann über einen Erfolg oder Misserfolg einer Überprüfung der Identifikation der Einrichtung benachrichtigt werden. So kann einerseits eine Verbreitung zweifelhafter, falscher, ungenauer oder böswilliger Informationen eingedämmt werden. Andererseits ist es auch möglich, eine Einrichtung, die sich als gute Quelle für zweite Sensordaten erweist, zu belohnen. Die Belohnung kann in einer erhöhten zugeordneten Vertrauenswürdigkeit bestehen. Anders ausgedrückt kann den zweiten Sensordaten eine Vertrauenswürdigkeit zugeordnet werden, als Belohnung angehoben werden kann. Nach dem Prinzip mancher sozialer Netzwerke können sich so die besten und zuverlässigsten Quelle zweiter Sensordaten innerhalb einer Gruppe erste Kraftfahrzeuge verbessert durchsetzen.The central office may be notified of a success or failure of a device identification check. Thus, on the one hand, a distribution of doubtful, false, inaccurate or malicious information can be contained. On the other hand, it is also possible to reward a device that proves to be a good source of second sensor data. The reward may be an increased associated trust. In other words, the second sensor data can be assigned a trustworthiness, as a reward can be raised. According to the principle of some social networks, the best and most reliable source of second sensor data within a group of first motor vehicles can be implemented in an improved way.

Die Belohnung kann auch auf andere Weise erfolgen, beispielsweise durch eine materielle Kompensation oder eine verbesserte Verfügbarmachung anderer zweiter Sensordaten, wenn die Einrichtung ihrerseits zweite Sensordaten aus einer anderen Quelle beziehen möchte.Reward may also be otherwise, for example, by material compensation or improved availability of other second sensor data, if the device in turn wishes to obtain second sensor data from another source.

Die Identifikation kann ein mittels eines Sensors des ersten Kraftfahrzeugs abtastbares Merkmal umfassen. Das Merkmal kann wenigstens eines von einer Farbe, einem Typ, einer Bauform, einer Ausstattung oder einem amtlichen Kennzeichen der Einrichtung umfassen. Der Sensor kann insbesondere einen optischen Sensor umfassen, beispielsweise eine Kamera. So kann einer Übertragung einer Identifikation von einer Einrichtung auf eine andere („Identitätsdiebstahl“) entgegen gewirkt werden.The identification may include a feature that can be scanned by means of a sensor of the first motor vehicle. The feature may include at least one of a color, type, design, equipment, or registration of the device. The sensor may in particular comprise an optical sensor, for example a camera. Thus, a transfer of an identification from one device to another ("identity theft") can be counteracted.

Die Identifikation kann auch eine Position der Einrichtung umfassen. Es ist üblich dass beispielsweise ein zweites Kraftfahrzeug seine tatsächliche Position regelmäßig bestimmt und an eine zentrale Stelle übermittelt, beispielsweise zu Navigationszwecken. Übermittelt das zweite Kraftfahrzeug eine Position, die zwar im Bereich des ersten Kraftfahrzeugs liegt, aber von der an der zentralen Stelle hinterlegten Position abweicht, so kann die Identifikation nicht erfolgreich überprüft werden. Dadurch kann verhindert werden, dass zweite Sensordaten über einen Bereich ihrer eigentlichen Gültigkeit hinaus verwendet werden. Außerdem kann ein Angreifer, der zweite Sensordaten von einer Position an eine andere Überträgt, abgewehrt werden.The identification may also include a position of the device. It is common that, for example, a second motor vehicle regularly determines its actual position and transmits it to a central location, for example for navigation purposes. If the second motor vehicle transmits a position which, although lying in the region of the first motor vehicle, deviates from the position deposited at the central point, then the identification can not be checked successfully. This can prevent second sensor data from being used beyond a range of its actual validity. In addition, an attacker who transmits second sensor data from one location to another can be defended.

In noch einer weiteren Ausführungsform wird bestimmt, dass die zweiten Sensordaten weniger vertrauenswürdig als die ersten Sensordaten sind. In der Folge kann eine Nachricht über mangelnde Vertrauenswürdigkeit an die Einrichtung, eine weitere Einrichtung oder eine zentrale Stelle gesandt werden. Anders ausgedrückt kann die Einrichtung, welche die zweiten Sensordaten bereitgestellt hat, von den möglicherweise fehlerhaften oder beschädigten Sensordaten unterrichtet werden, sodass einer weiteren Verbreitung entgegen gewirkt werden kann. Ein anderer Verkehrsteilnehmer im Bereich des ersten Kraftfahrzeugs kann gewarnt werden und zweite Sensordaten derselben Einrichtung mit besonderer Vorsicht behandeln oder verwerfen. Dazu kann sich das erste Kraftfahrzeug gegenüber der Einrichtung identifizieren, wie hierin beschrieben ist. Eine Warnung kann auch an eine zentrale Stelle ausgegeben werden, die beispielsweise andere Einrichtungen warnen kann.In yet another embodiment, it is determined that the second sensor data is less trustworthy than the first sensor data. As a result, a message of lack of trustworthiness may be sent to the facility, another facility, or a central office. In other words, the device that has provided the second sensor data can be informed of the possibly faulty or damaged sensor data, so that further dissemination can be counteracted. Another road user in the area of the first motor vehicle can be warned and handle or reject second sensor data of the same device with particular care. For this, the first motor vehicle may identify with the device as described herein. A warning may also be issued to a central location which may, for example, warn other facilities.

Weitere Ausführungsformen der vorliegenden Erfindung betreffen vornehmlich die Bestimmung und Behandlung möglicherweise nicht vertrauenswürdiger Sensordaten.Further embodiments of the present invention relate primarily to the determination and treatment of potentially untrusted sensor data.

Im Gegensatz zu bekannten Lösungen kann eine Vertrauenswürdigkeit der ersten Sensordaten auf der Basis von zweiten Sensordaten bestimmt werden, die von einer Quelle stammen, die nicht zum ersten Kraftfahrzeug gehört. So kann eine Verbreitung und Vernetzung von Sensoren im Bereich des ersten Kraftfahrzeugs vorteilhaft ausgenutzt werden.In contrast to known solutions, a trustworthiness of the first sensor data can be determined on the basis of second sensor data originating from a source which does not belong to the first motor vehicle. Thus, a distribution and networking of sensors in the area of the first motor vehicle can advantageously be exploited.

Bevorzugt befindet sich der zweite Sensor im Bereich des ersten Kraftfahrzeugs, wenn beide Sensoren einen überlappenden Abtastbereich aufweisen oder das gleiche bestimmbare Phänomen betreffen. Unterschiedliche Abtastzeitpunkte oder Abtastzeiträume können beim Vergleich berücksichtigt werden. Beispielsweise können die zweiten Sensorinformationen nach einer vorbestimmten Zeit als veraltet und somit als weniger vertrauenswürdig eingestuft werden. Der Verlust von Vertrauenswürdigkeit kann binär, graduell oder stufenlos bestimmt sein. Erste und zweite Sensordaten korrespondieren bevorzugt zueinander, wenn sie einander entsprechen, also nicht mehr als um ein vorbestimmtes Maß voneinander abweichen, oder wenn beide die verarbeitungstechnische Ableitung des gleichen Umstands erlauben. Beispielsweise können beide Sensorwerte ein Objekt auf einer Fahrbahn vor dem ersten Kraftfahrzeug betreffen. Dazu können die Sensoren insbesondere eine berührungslose Abtastung eines Bereichs, etwa mittels Radar oder LiDAR, durchführen. Die Sensorwerte der beiden Sensoren korrespondieren zueinander, wenn das Objekt aufgrund der Sensorwerte der beiden Sensoren jeweils mit im Wesentlichen gleicher Größe, Oberfläche, Beschaffenheit oder einer anderen vorbestimmten Eigenschaft bestimmt werden kann.Preferably, the second sensor is located in the region of the first motor vehicle when both sensors have an overlapping scanning range or relate to the same determinable phenomenon. Different sampling times or sampling periods can be taken into account in the comparison. For example, the second Sensor information after a predetermined time as outdated and thus classified as less trustworthy. The loss of trustworthiness can be binary, gradual or infinite. First and second sensor data preferably correspond to one another if they correspond to one another, ie do not deviate from one another by a predetermined amount, or if both allow the processing-related derivation of the same circumstance. For example, both sensor values may relate to an object on a roadway in front of the first motor vehicle. For this purpose, the sensors can in particular perform a non-contact scanning of a region, for example by means of radar or LiDAR. The sensor values of the two sensors correspond to each other when the object can be determined based on the sensor values of the two sensors each with substantially the same size, surface, texture or another predetermined property.

Die zweiten Sensordaten können auf der Basis dritter Sensordaten verifiziert oder plausibilisiert sein, wobei die ersten Sensordaten als nicht vertrauenswürdig bestimmt werden, falls sie nicht zu den zweiten Sensordaten korrespondieren. Die ersten Sensordaten sind üblicherweise nicht verifiziert, sodass die verifizierten zweiten Sensordaten eine höhere Vertrauenswürdigkeit haben können. Weichen die ersten Sensordaten von den zweiten ab, können die zweiten Sensordaten an Stelle der ersten als Grundlage für eine vorbestimmte Steueraufgabe an Bord des Kraftfahrzeugs dienen.The second sensor data may be verified or plausibility-checked based on third sensor data, the first sensor data being determined to be untrustworthy if it does not correspond to the second sensor data. The first sensor data is usually not verified so that the verified second sensor data can be more trustworthy. If the first sensor data deviate from the second one, the second sensor data, instead of the first one, can serve as the basis for a predetermined control task on board the motor vehicle.

Die zweiten Sensordaten können insbesondere zusammen mit einer die Vertrauenswürdigkeit der zweiten Sensordaten bescheinigenden Information bereitgestellt werden. Auf die Vertrauenswürdigkeit der zweiten Sensordaten kann mittels einer einfachen, beispielsweise binaren Information („Flag“) hingewiesen werden. Die Vertrauenswürdigkeitsinformation kann auch einen numerischen Wert annehmen. Es können auch mehrere Dimensionen der Vertrauenswürdigkeit bestimmt sein, beispielsweise eine Messentfernung, ein Signal-Rausch-Verhältnis, ein verwendeter Sensor, ein Alter der Sensordaten oder auf der Basis welcher Informationen eine Verifikationen stattgefunden hat. Anhand dieser mehrdimensionalen Information kann bei nicht zueinander korrespondierenden Sensorwerten verbessert bestimmt werden, welchen Sensorinformationen die höhere Vertrauenswürdigkeit genießen und daher bevorzugt für eine Steueraufgabe zu verwenden sind. Die Information über die Vertrauenswürdigkeit kann kryptographisch abgesichert sein, beispielsweise mittels eines digitalen Zertifikats. So können die Sensordaten zusammen mit der Information und der Absicherung übermittelt werden, beispielsweise über eine drahtlose Kommunikationsverbindung.In particular, the second sensor data may be provided together with information certifying the trustworthiness of the second sensor data. The trustworthiness of the second sensor data can be indicated by means of a simple, for example binary information ("flag"). The trustworthiness information may also take a numerical value. Also, several dimensions of trustworthiness may be determined, such as a measurement distance, a signal-to-noise ratio, a used sensor, an age of the sensor data, or on the basis of which information a verification has taken place. On the basis of this multi-dimensional information, it can be determined in an improved manner with sensor values which do not correspond to one another, which sensor information has the higher reliability and is therefore to be used preferably for a control task. The information about the trustworthiness can be cryptographically secured, for example by means of a digital certificate. Thus, the sensor data can be transmitted together with the information and the security, for example via a wireless communication link.

Von verschiedenen zweiten Sensoren kann eine Vielzahl zweiter Sensordaten abgetastet werden, wobei sich die zweiten Sensoren jeweils im Bereich des ersten Kraftfahrzeugs befinden, wobei die zweiten Sensoren jeweils an Bord eines anderen als des ersten Kraftfahrzeugs oder an einer Infrastruktur angeordnet sind; und wobei die ersten Sensordaten als nicht vertrauenswürdig bestimmt werden, falls weniger zweite Sensordaten vorliegen, zu denen die ersten Sensordaten korrespondieren als zweite Sensordaten, zu denen die ersten Sensordaten nicht korrespondieren. So kann auf Basis der Sensordaten eine Mehrheitsentscheidung getroffen werden, welchen Sensordaten zu trauen ist und welchen nicht.A plurality of second sensor data can be scanned by different second sensors, the second sensors each being located in the region of the first motor vehicle, the second sensors each being arranged on board a vehicle other than the first motor vehicle or on an infrastructure; and wherein the first sensor data is determined to be untrustworthy if there are less second sensor data to which the first sensor data correspond than second sensor data to which the first sensor data does not correspond. Thus, on the basis of the sensor data, a majority decision can be made as to which sensor data is to be trusted and which not.

Verfahren nach einem der vorangehenden Ansprüche, wobei die zweiten Sensordaten vom zweiten Sensor an eine zentrale Stelle übermittelt und dort gespeichert werden. Die zentrale Stelle kann fortlaufend zweite Sensordaten sammeln. Sollen die zweiten Sensordaten mit ersten Sensordaten verglichen werden, so können aus den abgespeicherten Sensordaten solche ausgewählt werden, die möglichst gut zu den ersten Sensordaten passen, beispielsweise bezüglich eines Mess-Orts, einer Mess-Art oder eines Messzeitpunkts. Für den Vergleich mit den ersten Sensordaten können auch mehrere zweite Sensordaten gegeneinander verifiziert werden. Dazu kann eine Vertrauenswürdigkeit der verifizierten Sensordaten bestimmt und dem Vergleich zur Grundlage gestellt werden.Method according to one of the preceding claims, wherein the second sensor data from the second sensor are transmitted to a central location and stored there. The central office can continuously collect second sensor data. If the second sensor data are to be compared with first sensor data, then those can be selected from the stored sensor data which match the first sensor data as well as possible, for example with respect to a measurement location, a measurement type or a measurement time. For the comparison with the first sensor data also several second sensor data can be verified against each other. For this, a trustworthiness of the verified sensor data can be determined and based on the comparison.

In unterschiedlichen Varianten kann der Vergleich zwischen den ersten und den zweiten Sensordaten seitens der zentralen Stelle, seitens des ersten oder des zweiten Kraftfahrzeugs durchgeführt werden. Dazu können die erforderlichen Sensordaten und weitere Informationen entsprechend zwischen der zentralen Stelle, dem ersten und dem zweiten Kraftfahrzeug übermittelt werden. Die Übermittlung erfolgt bevorzugt drahtlos.In different variants, the comparison between the first and the second sensor data can be carried out by the central location, on the part of the first or the second motor vehicle. For this purpose, the required sensor data and further information can be transmitted accordingly between the central location, the first and the second motor vehicle. The transmission is preferably wireless.

Die ersten und die zweiten Sensordaten können den gleichen Sachverhalt aus unterschiedlichen Perspektiven der jeweiligen Sensoren betreffen, wobei das Vergleichen unter Berücksichtigung der unterschiedlichen Perspektiven erfolgt. Die Perspektive kann einen Abtastort und eine Abtastzeit umfassen. Begleitumstände einer Abtastung können eine Bewegungsgeschwindigkeit des Sensors gegenüber einem abgetasteten Objekt oder die Art oder Einstellung einer Messausrüstung umfassen, die den Sensor umfasst.The first and the second sensor data may relate to the same facts from different perspectives of the respective sensors, the comparison taking into account the different perspectives. The perspective may include a sample location and a sample time. Accompanying circumstances of a scan may include a speed of movement of the sensor relative to a scanned object or the type or setting of a measuring equipment comprising the sensor.

Die ersten Sensordaten können unterschiedliche Sachverhalte betreffen. In einer Ausführungsform betreffen sie einen Fahr- oder Bewegungszustand des ersten Kraftfahrzeugs. Der Fahrzustand kann insbesondere wenigstens eines von einer Position, einer Geschwindigkeit, einer Beschleunigung oder einem Abstand von einem vorbestimmten Objekt betreffen. Dadurch können grundlegende Parameter einer Bewegungsdynamik des ersten Kraftfahrzeugs, auf deren Basis das Kraftfahrzeug oder eines seiner System gesteuert werden können, auf der Basis der zweiten Sensorwerte verifiziert werden.The first sensor data can relate to different circumstances. In one embodiment, they relate to a driving or moving state of the first motor vehicle. The driving state may in particular at least one of a position, a speed, an acceleration or a distance from a predetermined object. As a result, basic parameters of a movement dynamics of the first motor vehicle, on the basis of which the motor vehicle or one of its systems can be controlled, can be verified on the basis of the second sensor values.

Die Sensordaten können auch eine Konfiguration des ersten Kraftfahrzeugs umfassen. Die Konfiguration kann beispielsweise optisch von außen erkennbar sein und etwa ein vollständiges Schließen einer Tür oder eines Fensters, eines Glas- oder Schiebedachs oder eines Verdecks betreffen. Auch ein Funktionszustand einer Beleuchtungseinrichtung kann von der Konfiguration des ersten Kraftfahrzeugs umfasst sein. So kann eine einfache Sichtkontrolle aus einer fahrzeugexternen Perspektive dazu genutzt werden, eine mögliche Fehlkonfiguration des ersten Kraftfahrzeugs zu erkennen. Im Fall der Beleuchtungsanlage kann beispielsweise bestimmt werden, ob eine vorbestimmte Beleuchtung nach außen bereitgestellt ist oder nicht. Eine Fehlmessung des ersten Sensors, der beispielsweise nur einen Stromfluss durch die Beleuchtungsanlage bestimmt, kann so erkannt werden.The sensor data may also include a configuration of the first motor vehicle. The configuration may, for example, be visually recognizable from the outside and relate to a complete closing of a door or a window, a glass or sliding roof or a top. A functional state of a lighting device can also be included in the configuration of the first motor vehicle. Thus, a simple visual inspection from an external vehicle perspective can be used to detect a possible misconfiguration of the first motor vehicle. In the case of the lighting system, for example, it may be determined whether or not a predetermined lighting is provided to the outside. A faulty measurement of the first sensor, which determines only a current flow through the lighting system, for example, can be detected.

Die Sensordaten können ein Objekt oder eine Beschaffenheit eines Untergrunds in einem Bereich einer geplanten Fahrstrecke des ersten Kraftfahrzeugs betreffen. Dabei kann der erste Sensor insbesondere einen sogenannten vorausschauenden Sensor umfassen, der beispielsweise auf der Basis einer bildhaften Abtastung, einer Radar- oder LiDAR-Abtastung arbeitet.The sensor data may relate to an object or a condition of a subsurface in an area of a planned route of the first motor vehicle. In this case, the first sensor may in particular comprise a so-called prospective sensor which operates, for example, on the basis of a pictorial scanning, a radar or LiDAR scanning.

Eine erste Vorrichtung an Bord eines ersten Kraftfahrzeugs umfasst einen ersten Sensor zur Bereitstellung erster Sensordaten; eine Verarbeitungseinrichtung; und eine Kommunikationseinrichtung zur Übermittlung der ersten Sensordaten und zum Empfangen eines Ergebnisses einer Bestimmung, ob die ersten Sensordaten zu zweiten Sensordaten korrespondieren. Dabei sind die zweiten Sensordaten von einem zweiten Sensor im Bereich des ersten Kraftfahrzeugs abgetastet und der zweite Sensor ist an Bord eines zweiten Kraftfahrzeugs oder an einer Infrastruktur angeordnet. In dieser Variante können die ersten Sensordaten außerhalb des ersten Kraftfahrzeugs mit zweiten Sensordaten verglichen werden. Beispielsweise kann der Vergleich an Bord eines zweiten Kraftfahrzeugs, wo der zweite Sensor angebracht ist, im Bereich einer ortsfesten Abtasteinrichtung einer Infrastruktur oder im Bereich einer zentralen Einrichtung durchgeführt werden. Die zentrale Einrichtung kann insbesondere als Server oder Dienst realisiert sein, beispielsweise auch abstrahiert in einer Cloud.A first device on board a first motor vehicle comprises a first sensor for providing first sensor data; a processing device; and communication means for transmitting the first sensor data and for receiving a result of determining whether the first sensor data corresponds to second sensor data. In this case, the second sensor data are sampled by a second sensor in the region of the first motor vehicle and the second sensor is arranged on board a second motor vehicle or on an infrastructure. In this variant, the first sensor data outside the first motor vehicle can be compared with second sensor data. By way of example, the comparison on board a second motor vehicle, where the second sensor is mounted, can be carried out in the area of a fixed scanning device of an infrastructure or in the region of a central device. The central device can be realized in particular as a server or service, for example also abstracted in a cloud.

Eine zweite Vorrichtung an Bord eines ersten Kraftfahrzeugs umfasst einen ersten Sensor zur Bereitstellung erster Sensordaten; eine Verarbeitungseinrichtung; und eine Kommunikationseinrichtung zum Empfangen zweiter Sensordaten; wobei die zweiten Sensordaten von einem zweiten Sensor im Bereich des ersten Kraftfahrzeugs abgetastet sind, wobei der zweite Sensor an Bord eines zweiten Kraftfahrzeugs oder an einer Infrastruktur angeordnet ist, wobei die Verarbeitungseinrichtung dazu eingerichtet ist, die ersten Sensordaten als vertrauenswürdig zu bestimmen, falls die ersten Sensordaten zu den zweiten Sensordaten korrespondieren. In dieser Variante kann der Vergleich zwischen ersten und zweiten Sensordaten seitens des ersten Kraftfahrzeugs erfolgen. Die empfangenen zweiten Sensordaten können in Antwort auf eine entsprechende Anforderung des ersten Kraftahrzeugs übermittelt werden oder beispielsweise periodisch vom zweiten Kraftfahrzeug, der Infrastruktur oder der zentralen Einrichtung ausgesandt werden.A second device on board a first motor vehicle comprises a first sensor for providing first sensor data; a processing device; and communication means for receiving second sensor data; wherein the second sensor data is sampled by a second sensor in the region of the first motor vehicle, wherein the second sensor is arranged on board a second motor vehicle or on an infrastructure, wherein the processing device is set up to trust the first sensor data, if the first Sensor data to the second sensor data correspond. In this variant, the comparison between first and second sensor data can be made by the first motor vehicle. The received second sensor data may be transmitted in response to a corresponding request from the first motor vehicle or, for example, periodically transmitted by the second motor vehicle, infrastructure or central facility.

Die Verarbeitungseinrichtung ist bevorzugt dazu eingerichtet, ein hierin beschriebenes Verfahren ganz oder teilweise durchzuführen. Dazu kann die Verarbeitungseinrichtung insbesondere einen programmierbaren Mikrocomputer oder Microcontroller umfassen und das Verfahren kann in Form eines Computerprogrammprodukts mit Programmcodemitteln vorliegen. Vorteile oder Merkmale des Verfahrens können die Vorrichtung bezogen werden und umgekehrt.The processing device is preferably set up to carry out a method described herein in whole or in part. For this purpose, the processing device may in particular comprise a programmable microcomputer or microcontroller and the method may be in the form of a computer program product with program code means. Advantages or features of the method, the device can be obtained and vice versa.

Ein System umfasst ein erstes Kraftfahrzeug mit einem ersten Sensor, ein zweites Kraftfahrzeug und eine zentrale Einrichtung. Dabei umfasst die zentrale Einrichtung einen Datenspeicher, der dazu eingerichtet ist, zweite Sensordaten zu speichern, die jeweils von einem zweiten Sensor abgetastet sind, der sich im Bereich des ersten Sensors und entweder an Bord eines anderen als des ersten Kraftfahrzeugs oder an einer Infrastruktur befindet. Die zentrale Einrichtung umfasst ferner eine Kommunikationseinrichtung zur Kommunikation mit dem ersten und/oder zweiten Kraftfahrzeug.A system includes a first motor vehicle having a first sensor, a second motor vehicle and a central device. In this case, the central device comprises a data memory which is adapted to store second sensor data, which are each scanned by a second sensor, which is located in the region of the first sensor and either on board other than the first motor vehicle or on an infrastructure. The central device further comprises a communication device for communication with the first and / or second motor vehicle.

Die Erfindung wird nun mit Bezug auf die beigefügten Figuren genauer beschrieben, in denen:

1 ein System mit einem ersten Kraftfahrzeug; und
2 ein Ablaufdiagramm eines Verfahrens

darstellt.The invention will now be described in more detail with reference to the attached figures, in which:

1 a system with a first motor vehicle; and
2 a flowchart of a method

represents.

1 zeigt ein System 100 mit einem ersten Kraftfahrzeug 105 mit einer Vorrichtung 110. Die Vorrichtung 110 umfasst eine erste Verarbeitungseinrichtung 115, einen ersten Sensor 120 und eine erste Kommunikationseinrichtung 125. In einer ersten Ausführungsform können an Bord eines zweiten Kraftfahrzeugs 135 ein zweiter Sensor 140 sowie optional eine zweite Verarbeitungseinrichtung 145 und eine zweite Kommunikationseinrichtung 150 vorgesehen sein. Der zweite Sensor 140, die zweite Verarbeitungseinrichtung 145 und die Kommunikationseinrichtung 150 können auch an einer Infrastruktur 160 im Bereich des ersten Kraftfahrzeugs 105 angebracht sein. Die Infrastruktur 160 kann insbesondere im Bereich einer durch das erste Kraftfahrzeug 105 befahrenen Straße angebracht sein, etwa in einem Verkehrsleitsystem oder einer insbesondere optischen Überwachungseinrichtung. Zusammenfassend werden das zweite Kraftfahrzeug 110 und die Infrastruktur 160 im Folgenden Einrichtung 162 genannt, wenn sie dem gleichen Zweck, nämlich der Bereitstellung von zweiten Sensordaten dienen. 1 shows a system 100 with a first motor vehicle 105 with a device 110 , The device 110 includes a first processing device 115 , a first sensor 120 and a first communication device 125 , In a first embodiment, on board a second motor vehicle 135 a second sensor 140 such as optionally a second processing device 145 and a second communication device 150 be provided. The second sensor 140 , the second processing device 145 and the communication device 150 can also work on an infrastructure 160 in the area of the first motor vehicle 105 to be appropriate. The infrastructure 160 can in particular in the area of a by the first motor vehicle 105 be used on busy road, such as in a traffic control system or a particular optical monitoring device. In summary, the second motor vehicle 110 and the infrastructure 160 in the following setup 162 if they serve the same purpose, namely the provision of second sensor data.

Eine zentrale Stelle 165 kann beispielsweise als Server oder Dienst realisiert sein, gegebenenfalls abstrahiert in einer Cloud. Die zentrale Stelle 165 umfasst eine dritte Verarbeitungseinrichtung 170, eine dritte Kommunikationseinrichtung 175 sowie einen Datenspeicher 180. Die Kommunikationseinrichtungen 125, 150, und 175 sind bevorzugt jeweils zur drahtlosen Informationsübermittlung miteinander eingerichtet, soweit dies für eine der im Folgenden betrachteten Ausführungsformen erforderlich ist. Die Kommunikation erfolgt bevorzugt wenigstens teilweise drahtlos und kann ein beliebiges Kommunikationsnetz 185 verwenden, das in 1 schematisch als Wolke angedeutet ist.A central point 165 can for example be realized as a server or service, possibly abstracted in a cloud. The central place 165 comprises a third processing device 170 , a third communication device 175 as well as a data memory 180 , The communication devices 125 . 150 , and 175 are preferably each set up for wireless information transmission with each other, as far as this is required for one of the embodiments considered below. The communication is preferably at least partially wireless and may be any communication network 185 use that in 1 schematically indicated as a cloud.

Der erste Sensor 120 an Bord des ersten Kraftfahrzeugs 105 kann insbesondere ein vorausschauender Sensor sein, der einen vor dem ersten Kraftfahrzeug liegenden Bereich abtastet. Dabei bereitgestellte Sensordaten können beispielsweise einer Steuerung des ersten Kraftfahrzeugs 105 zu Grunde gelegt werden, etwa im Rahmen einer Bestimmung einer Fahrtrajektorie des ersten Kraftfahrzeugs 105 oder einer automatischen Hindernisvermeidung. Der erste Sensor 120 kann auch zur Bestimmung eines Fahrzustandes des ersten Kraftfahrzeugs 105 eingerichtet sein und beispielsweise eine Position, eine Geschwindigkeit, eine Beschleunigung oder einen Abstand zu einem vorbestimmten Objekt, etwa einer Fahrbahnmarkierung oder einem anderen Kraftfahrzeug, umfassen. In weiteren Ausführungsformen kann der erste Sensor 120 dazu eingerichtet sein, eine Konfiguration des ersten Kraftfahrzeugs 105 zu bestimmen. Dazu kann der erste Sensor 120 etwa zur Bestimmung eines Öffnungszustands einer Tür, eines Fensters, eines Glas- oder Stahlschiebedachs oder eines Verdecks des ersten Kraftfahrzeugs 105 eingerichtet sein. Allgemein kann der erste Sensor 120 dazu eingerichtet sein, einen beliebigen Zustand oder ein beliebiges Ereignis im Bereich des ersten Kraftfahrzeugs 105 abzutasten, der auch vom Sensor 140 erfasst werden kann, der sich nicht an Bord des ersten Kraftfahrzeugs 105 befindet.The first sensor 120 on board the first motor vehicle 105 In particular, it may be a forward-looking sensor that scans an area located in front of the first motor vehicle. Sensor data provided thereby may be, for example, a controller of the first motor vehicle 105 as part of a determination of a driving trajectory of the first motor vehicle 105 or an automatic obstacle avoidance. The first sensor 120 can also be used to determine a driving condition of the first motor vehicle 105 be set up and, for example, a position, a speed, an acceleration or a distance to a predetermined object, such as a lane marking or another motor vehicle include. In further embodiments, the first sensor 120 be configured to a configuration of the first motor vehicle 105 to determine. For this purpose, the first sensor 120 for example, for determining an opening state of a door, a window, a glass or steel sliding roof or a top of the first motor vehicle 105 be furnished. In general, the first sensor 120 be adapted to any condition or any event in the area of the first motor vehicle 105 that also from the sensor 140 can be detected that is not on board the first motor vehicle 105 located.

Es wird vorgeschlagen, Sensordaten des zweiten Sensors 140 mit Sensordaten des ersten Sensors 120 zu vergleichen um zu bestimmen ob die vom ersten Sensor 120 abgetasteten Sensordaten vertrauenswürdig sind oder nicht. Dazu kann bestimmt werden, ob die ersten und zweiten Sensordaten zueinander korrespondieren oder nicht. Die Sensordaten korrespondieren, falls sie auf den gleichen Zustand oder das gleiche Ereignis hinweisen. Eine quantitative Abweichung von Sensordaten oder aus ihnen abgeleiteten Ergebnissen kann unterhalb eines vorbestimmten Schwellenwerts liegen, damit das Korrespondieren bestimmt wird. Korrespondieren die Sensordaten zueinander, so sind die ersten Sensordaten vertrauenswürdig und können einer Steuerung des ersten Kraftfahrzeugs 105 oder eines Systems an Bord des ersten Kraftfahrzeugs 105 zu Grunde gelegt werden. In einer Ausführungsform können auch die zu den ersten Sensordaten korrespondierenden zweiten Sensordaten der Steuerung zu Grunde gelegt werden, beispielsweise wenn die zweiten Sensordaten genauer oder zuverlässiger als die ersten sind.It is proposed sensor data of the second sensor 140 with sensor data of the first sensor 120 compare to determine if that from the first sensor 120 sampled sensor data are trusted or not. For this purpose, it can be determined whether the first and second sensor data correspond to one another or not. The sensor data correspond if they indicate the same state or event. A quantitative deviation of sensor data or results derived therefrom may be below a predetermined threshold to determine the correspondence. If the sensor data correspond to one another, then the first sensor data are trustworthy and can be used by a controller of the first motor vehicle 105 or a system on board the first motor vehicle 105 be based on. In one embodiment, the second sensor data corresponding to the first sensor data may also be used as a basis for the control, for example if the second sensor data are more accurate or more reliable than the first sensor data.

Es wird weiterhin vorgeschlagen, die zweiten Sensordaten des zweiten Sensors 140 nur dann für die Bestimmung der Vertrauenswürdigkeit der ersten Sensordaten des ersten Sensors 120 zu verwenden, wenn die Quelle der zweiten Sensordaten überprüft werden kann. Dazu können die zweiten Sensordaten eine Identifikation der Einrichtung 162 umfassen und die Identifikation kann durch das erste Kraftfahrzeug 105 überprüfbar sein. In unterschiedlichen Ausführungsformen kann die Identifikation explizit sein, beispielsweise in Gestalt einer Identifikationsnummer, eines Namens, einer Beschreibung oder eines anderen Hinweises. In einer anderen Ausführungsform kann die Identifikation implizit sein, beispielsweise indem die Einrichtung 162 nachweislich im Besitz einer Information ist, die der verwendeten Identität zugeordnet ist. Eine solche Information kann insbesondere ein privater kryptographischer Schlüssel sein, dessen korrespondierender öffentlicher Schlüssel seitens des ersten Kraftfahrzeugs 105 bekannt ist oder auf sichere Weise bestimmt werden kann. In einem asymmetrischen Verschlüsselungsverfahren kann eine Verschlüsselung mit einem privaten Schlüssel durch eine Entschlüsselung mit einem öffentlichen Schlüssel einer Partei umgekehrt werden - oder umgekehrt. Miteinander kommunizierende Parteien benötigen jeweils ein Paar aus einem öffentlichen und einem privaten Schlüssel, wobei der öffentliche Schlüssel üblicherweise dem Kommunikationspartner zugänglich gemacht wird.It is further proposed, the second sensor data of the second sensor 140 only for the determination of the trustworthiness of the first sensor data of the first sensor 120 to use if the source of the second sensor data can be checked. For this purpose, the second sensor data can be an identification of the device 162 include and the identification may be by the first motor vehicle 105 be verifiable. In various embodiments, the identification may be explicit, for example in the form of an identification number, name, description or other indication. In another embodiment, the identification may be implicit, for example by the device 162 is demonstrably in possession of information associated with the identity used. In particular, such information may be a private cryptographic key, the corresponding public key from the first motor vehicle 105 is known or can be determined in a secure manner. In an asymmetric encryption method, encryption with a private key can be reversed by decryption with a public key of a party - or vice versa. Communicating parties each require a pair of a public and a private key, with the public key usually being made available to the communication partner.

Ein Vergleich der ersten und zweiten Sensordaten kann in unterschiedlichen Ausführungsformen an Bord des ersten Kraftfahrzeugs 105, an Bord des zweiten Kraftfahrzeugs 110, seitens der Infrastruktur 160 oder der zentralen Stelle durchgeführt werden. Findet der Vergleich der vom zweiten Sensor 140 abgetasteten zweiten Sensordaten mit den ersten Sensordaten entfernt vom zweiten Sensor 140 statt, können die zweite Sensordaten initiativ mittels der Kommunikationseinrichtung 150 ausgesandt werden oder erst nach Empfangen einer entsprechenden Aufforderung. Zweite Sensordaten können in der zentralen Stelle 165 im Datenspeicher 180 abgelegt werden. Auf der Basis mehrerer zweiter Sensordaten kann ebenfalls eine Plausibilisierung durchgeführt werden. Insbesondere kann bestimmt werden, ob die mehreren zweiten Sensordaten zueinander korrespondieren oder nicht. Eine solche Plausibilisierung kann insbesondere seitens der zentralen Stelle und bezüglich der im Datenspeicher 180 abgelegten zweiten Sensordaten erfolgen. Eine Plausibilisierung zweiter Sensordaten kann auch auf der Basis dritter Sensordaten erfolgen, die aus einer beliebigen anderen Quelle als dem zweiten Sensor 140 stammen können. Diese Plausibilisierung kann beispielsweise auch seitens des zweiten Kraftfahrzeugs 110 durchgeführt werden.A comparison of the first and second sensor data may in different embodiments aboard the first motor vehicle 105 , on board the second motor vehicle 110 , on the part of the infrastructure 160 or the central office become. Find the comparison of the second sensor 140 sampled second sensor data with the first sensor data away from the second sensor 140 instead, the second sensor data can be initiated by means of the communication device 150 or only after receiving an appropriate request. Second sensor data can be in the central location 165 in the data store 180 be filed. On the basis of several second sensor data, a plausibility check can also be carried out. In particular, it may be determined whether or not the plural second sensor data correspond to each other. Such a plausibility check can be done, in particular, by the central point and in the data memory 180 stored second sensor data. A plausibility check of second sensor data may also be based on third sensor data coming from any source other than the second sensor 140 can come. This plausibility can, for example, on the part of the second motor vehicle 110 be performed.

Korrespondieren miteinander verglichene Sensordaten zueinander, so können sie als plausibel oder vertrauenswürdig bestimmt werden. Vertrauenswürdige Sensordaten können einer Information zugeordnet werden, welche die Vertrauenswürdigkeit graduell oder binär anzeigt. Diese Information kann insbesondere mittels kryptographischer Methoden, etwa Signierung auf der Basis eines kryptographischen Zertifikats in einer asymmetrischen public-private-key-Infrastruktur, insbesondere gegen Fälschung, Vervielfältigung oder Veränderung gesichert werden.If sensor data compared to one another correspond to one another, then they can be determined to be plausible or trustworthy. Trusted sensor data may be associated with information that indicates trustworthiness gradually or in binary. This information can be secured in particular by means of cryptographic methods, such as signing based on a cryptographic certificate in an asymmetric public-private-key infrastructure, in particular against forgery, duplication or modification.

2 zeigt ein Ablaufdiagramm eines Verfahrens 200. Das Verfahren 200 kann verwendet werden, um erste Sensordaten, die mittels des ersten Sensors 120 an Bord des ersten Kraftfahrzeugs 105 erfasst wurden, auf Vertrauenswürdigkeit überprüft werden. 2 shows a flowchart of a method 200 , The procedure 200 can be used to obtain first sensor data by means of the first sensor 120 on board the first motor vehicle 105 be checked for trustworthiness.

In einem Schritt 205 wird der erste Sensor 120 abgetastet, um die ersten Sensordaten zu erhalten. In einem unabhängig oder nebenläufig dazu durchgeführten Schritt 210 können vom zweiten Sensor 140 zweite Sensordaten abgetastet werden. Die zweiten Sensordaten 140 betreffen dabei bevorzugt den gleichen Gegenstand oder Bereich wie die ersten Sensordaten. Die zweiten Sensordaten werden außerhalb des ersten Kraftfahrzeugs 105 erfasst und können insbesondere an Bord des zweiten Kraftfahrzeugs 110 oder mittels der Infrastruktur 160 abgetastet werden. In einer Ausführungsform können die zweiten Sensordaten auf der Basis von dritten Sensordaten, die in einem Schritt 215 mittels eines dritten Sensors erfasst werden, auf Vertrauenswürdigkeit überprüft werden. Vertrauenswürdigkeit liegt allgemein vor, wenn wenigstens zwei miteinander verglichene Sensordaten ausreichend genau miteinander übereinstimmen oder Schlüsse auf den gleichen Sachverhalt erlauben.In one step 205 becomes the first sensor 120 sampled to get the first sensor data. In an independent or concurrent step 210 can from the second sensor 140 second sensor data are sampled. The second sensor data 140 in this case preferably relate to the same object or area as the first sensor data. The second sensor data are outside the first motor vehicle 105 recorded and can in particular on board the second motor vehicle 110 or by means of the infrastructure 160 be scanned. In one embodiment, the second sensor data may be based on third sensor data generated in a step 215 be detected by a third sensor to be checked for trustworthiness. Trustworthiness is generally present if at least two sensor data compared with one another agree sufficiently precisely or allow conclusions to be drawn about the same facts.

In einem Schritt 220 werden die ersten Sensordaten mit den zweiten Sensordaten verglichen. Dazu können die ersten Sensordaten dorthin übermittelt werden, wo sich die zweiten Sensordaten befinden, oder die zweiten Sensordaten werden dorthin übermittelt, wo sich die ersten befinden, oder die ersten und zweiten Sensordaten werden zum Vergleichen beide an einen anderen Ort übermittelt, insbesondere zur zentralen Stelle 165. Die Übermittlung zweiter Sensordaten kann initiativ, periodisch oder auf Aufforderung erfolgen. Zweite Sensordaten können aus unterschiedlichen Quellen gesammelt und miteinander verglichen werden, um sie zu plausibilisieren.In one step 220 the first sensor data are compared with the second sensor data. For this purpose, the first sensor data can be transmitted to where the second sensor data are located, or the second sensor data are transmitted to where the first are located, or the first and second sensor data are both transmitted to a different location for comparison, in particular to the central location 165 , The transmission of second sensor data can be done proactively, periodically or on request. Second sensor data can be collected from different sources and compared to make it plausible.

Eine Vertrauenswürdigkeit der ersten Sensordaten kann in einem Schritt 225 bestimmt werden, indem sie mit den zweiten Sensordaten verglichen werden. Beim Vergleichen von Sensordaten wird allgemein solchen, die bereits plausibilisiert wurden, eine höhere Vertrauenswürdigkeit zugemessen als nicht plausibilisierten Sensordaten. Nachdem bestimmt wurde, ob die ersten Sensordaten plausibel bzw. vertrauenswürdig sind, kann ein Bestimmungsergebnis an das erste Kraftfahrzeug 105 übermittelt werden, falls der Vergliche außerhalb des ersten Kraftfahrzeugs 105 erfolgte. Optional können auch zweite Sensordaten, mit denen die ersten Sensordaten verglichen wurden, mitübermittelt werden.A trustworthiness of the first sensor data can be done in one step 225 can be determined by comparing with the second sensor data. When comparing sensor data, in general, those that have already been checked for plausibility are given higher trustworthiness than non-plausible sensor data. After determining whether the first sensor data is plausible or trustworthy, a determination result may be sent to the first motor vehicle 105 if the comparison is outside the first motor vehicle 105 took place. Optionally, second sensor data with which the first sensor data were compared can also be transmitted.

3 zeigt ein Ablaufdiagramm eines weiteren Verfahrens 300, das insbesondere in Kombination mit dem Verfahren 200 von 2 ausgeführt werden kann. Das Verfahren 300 steht exemplarisch für ein Authentifikationsverfahren, mit dem das erste Kraftfahrzeug 105 eine Identifikation oder eine Identität der Einrichtung 162 überprüfen kann. Das Verfahren 300 wird bevorzugt vor dem Schritt 220 des Verfahrens 200 durchgeführt. Kann dabei die Identifikation der Einrichtung 162 nicht erfolgreich bestimmt werden, so kann das Verfahren 200 terminieren oder unter Verzicht auf zweite Sensordaten von der Einrichtung 162 weiterarbeiten. 3 shows a flowchart of another method 300 , especially in combination with the procedure 200 from 2 can be executed. The procedure 300 is an example of an authentication method with which the first motor vehicle 105 an identification or identity of the device 162 can check. The procedure 300 is preferred before the step 220 of the procedure 200 carried out. May be the identification of the device 162 can not be determined successfully, so the procedure 200 terminate or waive second sensor data from the device 162 continue working.

Zur Veranschaulichung sind Schritte des Verfahrens 300, die bevorzugt seitens des ersten Kraftfahrzeugs 105 durchgeführt werden, in einem linken Bereich und solche, die bevorzugt durch die Einrichtung 162 verrichtet werden, in einem rechten Bereich dargestellt. Schritte der Kommunikation sind in einem mittleren Bereich gezeigt.By way of illustration, steps are the method 300 preferred by the first motor vehicle 105 be carried out in a left area and those preferred by the institution 162 performed in a right-hand area. Steps of communication are shown in a middle area.

In einem ersten Schritt 305 kann das erste Kraftfahrzeug 105 eine Zufallszahl bestimmen und in einem Schritt 310 an die Einrichtung 162 übermitteln. Sollte die Zufallszahl dabei manipuliert werden, fällt später eine Überprüfung der Identifikation negativ aus, sodass schlimmstenfalls korrekte zweite Sensordaten verworfen werden, jedoch keine inkorrekten zweiten Sensordaten übernommen werden können. In einem Schritt 315 kann die Einrichtung 162 die empfangene Zufallszahl mit ihrem privaten kryptographischen Schlüssel verschlüsseln und in einem Schritt 320 an das erste Kraftfahrzeug 105 zurück übermitteln. Seitens des ersten Kraftfahrzeugs 105 kann die empfangene, verschlüsselte Zufallszahl mittels des öffentlichen Schlüssels der Einrichtung 162 entschlüsselt werden. Enthält der somit enthaltene Klartext die im Schritt 305 bestimmte Zufallszahl, so kann die Identifikation der Einrichtung 162 erfolgreich überprüft sein.In a first step 305 may be the first motor vehicle 105 determine a random number and in one step 310 to the institution 162 to transfer. Should the random number be manipulated, a check of the identification will later be negative, so that in the worst case correct second sensor data are discarded, but incorrect second sensor data can not be accepted. In one step 315 can the decor 162 encrypt the received random number with their private cryptographic key and in one step 320 to the first motor vehicle 105 submit back. On the part of the first motor vehicle 105 can receive the received, encrypted random number by means of the public key of the device 162 be decrypted. Contains the clear text contained in the step 305 certain random number, so can the identification of the device 162 be checked successfully.

Das gezeigte Verfahren 300 kann in einer anderen Variante auch die Einrichtung 162 die Authentifikation des ersten Kraftfahrzeugs 105 überprüfen lassen. Öffentliche kryptographische Schlüssel des ersten Kraftfahrzeugs 105 bzw. der Einrichtung 162 können durch eine zentrale Stelle verwaltet werden, beispielsweise die Stelle 165 im System 100 in 1. Zum Abrufen von öffentlichen Schlüsseln kann das Verfahren 300 oder eine Abwandlung davon verwendet werden.The procedure shown 300 can in another variant, the device 162 the authentication of the first motor vehicle 105 check. Public cryptographic keys of the first motor vehicle 105 or the institution 162 can be managed by a central office, such as the office 165 in the system 100 in 1 , The procedure can be used to retrieve public keys 300 or a modification thereof.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

100100: Systemsystem
105105.: erstes Kraftfahrzeugfirst motor vehicle
110110: Vorrichtungdevice
115115: erste Verarbeitungseinrichtungfirst processing device
120120: erster Sensorfirst sensor
125125: erste Kommunikationseinrichtung first communication device
135135: zweites Kraftfahrzeugsecond motor vehicle
140140: zweiter Sensorsecond sensor
145145: zweite Verarbeitungseinrichtungsecond processing device
150150: zweite Kommunikationseinrichtung second communication device
160160: Infrastrukturinfrastructure
162162: EinrichtungFacility
165165: zentrale Stellecentral location
170170: dritte Verarbeitungseinrichtungthird processing device
175175: dritte Kommunikationseinrichtungthird communication device
180180: Datenspeicherdata storage
185185: Kommunikationsnetz communication network
200200: Verfahrenmethod
205205: Abtasten erster SensorScanning first sensor
210210: Abtasten zweiter SensorScanning second sensor
215215: Abtasten dritter Sensor, VerifizierenScan third sensor, verify
220220: Vergleichento compare
225225: Bestimmen einer Vertrauenswürdigkeit der ersten Sensordaten Determine a trustworthiness of the first sensor data
300300: Verfahrenmethod
305305: Bestimmen ZufallszahlDetermine random number
310310: ÜbermittelnTo transfer
315315: Verschlüsseln mit privatem Schlüssel der EinrichtungEncrypt with private key of the device
320320: ÜbermittelnTo transfer
325325: Entschlüsseln mit öffentlichem Schlüssel der EinrichtungDecrypt with public key of the facility
330330: Vergleichento compare

Claims

A method (200), the method (200) comprising the steps of: sampling (205) first sensor data from a first sensor (120) aboard a first motor vehicle (105); Scanning (210) second sensor data from a second sensor (140) located in the region of the first motor vehicle (105), wherein the second sensor (140) in a device (162), in particular aboard a second motor vehicle (110) or is arranged on an infrastructure (160); Comparing (220) the sampled first and second sensor data with each other; and determining (225) that the first sensor data is trustworthy if it corresponds to the second sensor data, characterized in that the second sensor data comprises an identification of the device (162) and the comparison is performed only if the identification of the device (162 ) can be checked successfully.

Method according to Claim 1 wherein the identification is checked by means of an asymmetric cryptographic method.

Method according to Claim 2 wherein a message is generated by the first motor vehicle (105) and transmitted to the device (162); the message is encrypted by the device (162) with a private key of the device (162) and transmitted back to the first motor vehicle (105); the transmitted message is decrypted by the first motor vehicle (105) with a public key of the device and compared with the original message.

Method according to Claim 3 wherein the public key of the device (162) is obtained from a central location.

Method according to Claim 4 , where the central body of a success or failure of a Checking the identification of the device (162) is notified.

Method (200) according to one of the preceding claims, wherein the identification comprises a feature which can be scanned by means of a sensor (120) of the first motor vehicle (105).

Method (200) according to Claim 6 wherein the feature comprises at least one of a color, type, design, equipment or registration number of the device (162).

The method (200) of any one of the preceding claims, wherein the identification comprises a location of the device (162).

The method (200) of any one of the preceding claims, wherein it is determined that the second sensor data is less trustworthy than the first sensor data and a message of lack of trustworthiness is sent to the device (162), another device (162), or a central point (165 ) is sent.