DE102018209757B3 - Protection of a vehicle component - Google Patents

Protection of a vehicle component Download PDF

Info

Publication number
DE102018209757B3
DE102018209757B3 DE102018209757.7A DE102018209757A DE102018209757B3 DE 102018209757 B3 DE102018209757 B3 DE 102018209757B3 DE 102018209757 A DE102018209757 A DE 102018209757A DE 102018209757 B3 DE102018209757 B3 DE 102018209757B3
Authority
DE
Germany
Prior art keywords
component
motor vehicle
message
components
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102018209757.7A
Other languages
German (de)
Inventor
Josef Wagenhuber
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102018209757.7A priority Critical patent/DE102018209757B3/en
Application granted granted Critical
Publication of DE102018209757B3 publication Critical patent/DE102018209757B3/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Abstract

Ein System an Bord eines Kraftfahrzeugs umfasst eine erste und eine zweite Komponente, die miteinander kommunikativ verbunden sind, wobei wenigstens eine der Komponenten dazu eingerichtet ist, die jeweils andere Komponente zu authentifizieren. Die Authentifikation wird mittels eines asymmetrischen Verschlüsselungsverfahrens durchgeführt, bei dem beiden Komponenten jeweils ein eigener öffentlicher kryptographischen Schlüssel, ein dazu passender privater kryptographischer Schlüssel und der öffentliche kryptographische Schlüssel der jeweils anderen Komponente zugänglich ist.

Figure DE102018209757B3_0000
A system on board a motor vehicle comprises a first and a second component, which are communicatively connected with each other, wherein at least one of the components is adapted to authenticate the respective other component. The authentication is carried out by means of an asymmetric encryption method in which both components each have their own public cryptographic key, a matching private cryptographic key and the public cryptographic key of the other component is accessible.
Figure DE102018209757B3_0000

Description

Die Erfindung betrifft den Schutz eines Bauteils eines Kraftfahrzeugs. Insbesondere betrifft die Erfindung den Schutz der Integrität eines Kraftfahrzeugs mit einer oder mehreren Bauteilen.The invention relates to the protection of a component of a motor vehicle. In particular, the invention relates to the protection of the integrity of a motor vehicle with one or more components.

Ein Kraftfahrzeug umfasst eine Anzahl Bauteile, die zusammen wirken oder interagieren. Eine Störung in einem der Bauteile kann eine Funktionseinschränkung an einem anderen Bauteil nach sich ziehen oder unter Umständen eine Betriebssicherheit des Kraftfahrzeugs gefährden.A motor vehicle includes a number of components that interact or interact with each other. A malfunction in one of the components may entail a functional restriction on another component or may jeopardize the operational safety of the motor vehicle.

Um zu verhindern, dass beispielsweise bei einer Reparatur ein Bauteil in das Kraftfahrzeug eingebaut wird, das für den Einsatz in diesem Kraftfahrzeug nicht zugelassen ist, sind verschiedene Vorschläge gemacht worden. Beispielsweise kann ein Bauteil eine Seriennummer tragen, die beim Einbau kontrolliert werden kann oder ein Bauteil kann nur im Fachhandel von verantwortungsvollem Personal gewartet oder ausgetauscht werden.In order to prevent, for example, in a repair, a component is installed in the motor vehicle, which is not approved for use in this motor vehicle, various proposals have been made. For example, a component may carry a serial number that may be inspected during installation, or a component may only be maintained or replaced by reputable personnel at specialist dealers.

Die US 2004/003252 A1 beschreibt eine Authentifizierung. Ein Fahrzeug authentifiziert eine Komponentenklasse einer potenziellen Komponente zur Verwendung in dem Fahrzeug, indem von einer Zertifizierungsstelle eine Zertifizierung erhalten wird, dass eine authentische Komponente der Komponentenklasse mit einem zweiten kryptografischen Schlüssel versehen ist. Die Zertifizierung bestätigt, dass der zweite kryptografische Schlüssel an Informationen gebunden ist, die eine authentische Komponente der Komponentenklasse identifizieren. Das Fahrzeug verwendet den von der Zertifizierungsstelle erhaltenen zweiten kryptografischen Schlüssel bei der kryptografischen Kommunikation mit der potenziellen Komponente und bestimmt, ob die potenzielle Komponente eine authentische Komponente der Komponentenklasse ist, basierend darauf, ob der zweite kryptografische Schlüssel bei der kryptografischen Kommunikation erfolgreich verwendet wird.The US 2004/003252 A1 describes an authentication. A vehicle authenticates a component class of a potential component for use in the vehicle by obtaining certification from a certification authority that an authentic component class component is provided with a second cryptographic key. Certification confirms that the second cryptographic key is bound to information that identifies an authentic component class component. The vehicle uses the second cryptographic key received from the certification authority in the cryptographic communication with the potential component and determines whether the potential component is an authentic component of the component class based on whether the second cryptographic key is successfully used in the cryptographic communication.

Die DE 10 2014 018 460 A1 beschreibt ein Verfahren zur Steuerung des Betriebs wenigstens einer Funktionskomponente eines Kraftfahrzeugs, welches sich durch die folgenden Schritte auszeichnet: Durchführung einer Authentifizierung wenigstens einer für den Fahrbetrieb des Kraftfahrzeugs sicherheits- und/oder emissionsrelevanten Funktionskomponente im Hinblick darauf, ob es sich bei der Funktionskomponente um eine Originalkomponente des Kraftfahrzeugs oder um eine nicht autorisiert ausgetauschte und/oder nicht autorisiert manipulierte Funktionskomponente handelt, und Steuerung des Betriebs wenigstens einer anderen Funktionskomponente des Kraftfahrzeugs derart, dass die oder wenigstens eine Funktionalität der wenigstens einen anderen Funktionskomponente gezielt beschränkt wird, sofern die durchgeführte Authentifizierung ergibt, dass die wenigstens eine für den Fahrbetrieb des Kraftfahrzeugs sicherheits- und/oder emissionsrelevante Funktionskomponente des Kraftfahrzeugs nicht autorisiert ausgetauscht und/oder nicht autorisiert manipuliert ist.The DE 10 2014 018 460 A1 describes a method for controlling the operation of at least one functional component of a motor vehicle, which is characterized by the following steps: Carrying out an authentication of at least one for the driving of the motor vehicle safety and / or emission-relevant functional component in terms of whether the functional component to a Original component of the motor vehicle or is an unauthorized replaced and / or unauthorized manipulated functional component, and controlling the operation of at least one other functional component of the motor vehicle such that the or at least one functionality of the at least one other functional component is selectively limited, if the performed authentication results in that the at least one safety and / or emission-relevant functional component of the motor vehicle is not authorized and / or exchanged for the driving operation of the motor vehicle not authorized to manipulate.

Eine der vorliegenden Erfindung zu Grunde liegende Aufgabe besteht in der Angabe einer verbesserten technischen Lösung um ein Hinzufügen, Entfernen oder Abändern eines Bauteils oder einer Komponente an einem Kraftfahrzeug zu verhindern. Die Erfindung löst diese Aufgabe mittels der Gegenstände der unabhängigen Ansprüche. Unteransprüche geben bevorzugte Ausführungsformen wieder.One object of the present invention is to provide an improved technical solution for preventing the addition, removal or modification of a component or a component on a motor vehicle. The invention solves this problem by means of the subjects of the independent claims. Subclaims give preferred embodiments again.

Nach einem ersten Aspekt umfasst ein System an Bord eines Kraftfahrzeugs eine erste und eine zweite Komponente, die miteinander kommunikativ verbunden sind, wobei wenigstens eine der Komponenten dazu eingerichtet ist, die jeweils andere Komponente zu authentifizieren. Dabei wird die Authentifikation mittels eines asymmetrischen Verschlüsselungsverfahrens durchgeführt, bei dem beiden Komponenten jeweils ein eigener öffentlicher kryptographischen Schlüssel, ein dazu passender privater kryptographischer Schlüssel und ein öffentlicher kryptographischer Schlüssel der jeweils anderen Komponente zugänglich ist.According to a first aspect, a system on board a motor vehicle comprises a first and a second component, which are communicatively connected to each other, wherein at least one of the components is adapted to authenticate the respective other component. In this case, the authentication is performed by means of an asymmetric encryption method in which both components each have their own public cryptographic key, a matching private cryptographic key and a public cryptographic key of the other component is accessible.

Im Gegensatz zu anderen Ansätzen wird kein symmetrisches, sondern ein asymmetrisches kryptographisches Verfahren verwendet. Jeder Komponente, insbesondere jeder zweiten Komponente, kann hierbei eine individuelle, bevorzugt einmalige Kombination aus privatem und öffentlichem Schlüssel zugewiesen sein. Wird ein Schlüsselpaar einer zweiten Komponente kompromittiert, so kann die Sicherheit anderer Komponenten erhalten bleiben. Die vorgeschlagene Vorgehensweise ermöglicht eine vollautomatische Überprüfung der Identitäten der Komponenten. Die Überprüfung kann beliebig oft und auch während des Betriebs des Kraftfahrzeugs erfolgen und erfordert keine externe Infrastruktur. Eine der Komponenten kann Teil eines Bauteils des Kraftfahrzeugs sein, insbesondere eines Steuergeräts. Ein vorhandenes Steuergerät kann durch Anpassung seiner Programmierung zur zweiten Komponente im Sinne der Erfindung gemacht werden. Wird das Steuergerät ausgetauscht oder entfernt, kann dies zweifelsfrei bemerkt und eine vorbestimmte Maßnahme ausgeführt werden. Ein Versuch, eine beispielsweise aus einem Kraftfahrzeug entfernte zweite Komponente an einem anderen Kraftfahrzeug zu verwenden, kann sicher erfasst werden.Unlike other approaches, it does not use a symmetric but an asymmetric cryptographic method. Each component, in particular every second component, can hereby be assigned an individual, preferably unique combination of private and public key. If a key pair of a second component is compromised, the security of other components can be preserved. The proposed procedure allows a fully automatic verification of the identities of the components. The check can be carried out as often as desired and also during the operation of the motor vehicle and does not require an external infrastructure. One of the components may be part of a component of the motor vehicle, in particular of a control device. An existing control device can be made by adapting its programming to the second component in the sense of the invention. If the control unit replaced or removed, this can be noticed beyond doubt and a predetermined action to be performed. An attempt to use a second component, for example removed from a motor vehicle, on another motor vehicle can be safely detected.

Die zweite Komponente kann derart mit einem Bauteil des Kraftfahrzeugs verbunden sein, dass eine Trennung die zweite Komponente und/oder das Bauteil beschädigt. Dadurch kann auch ein Bauteil des Kraftfahrzeugs geschützt werden, das ursprünglich nicht über eine Verarbeitungseinrichtung verfügt, beispielsweise ein Türgriff, eine Felge oder ein Außenspiegel. Das Bauteil muss dabei nicht selbst über Verarbeitungsfähigkeiten verfügen, diese können durch die zweite Komponente beigesteuert werden. So kann beispielsweise der Einbau eines Bauteils erkannt werden, das gefälscht, gestohlen oder anderweitig unzulässig aus einem anderen Kraftfahrzeug entfernt wurde. Mit dem vorgeschlagenen Konzept kann Markenpiraterie bekämpft werden, indem eine nicht identifizierte zweite Komponente gemeldet wird, wenn eine Kommunikationsverbindung zu einer externen Stelle besteht, beispielsweise während Servicearbeiten an dem Kraftfahrzeug, etwa in einer Werkstatt. Optional kann eine Funktion des Kraftfahrzeugs beschränkt oder gesperrt werden, vorzugsweise eine Funktion, die im Zusammenhang mit dem Bauteil steht.The second component may be connected to a component of the motor vehicle such that a separation damages the second component and / or the component. This can also be a component the motor vehicle, which does not originally have a processing device, such as a door handle, a rim or an exterior mirror. The component does not have to have its own processing capabilities, these can be contributed by the second component. Thus, for example, the installation of a component can be detected, which was forged, stolen or otherwise inadmissible removed from another motor vehicle. With the proposed concept, brand piracy can be combated by reporting an unidentified second component when there is a communication link to an external site, for example, during service work on the motor vehicle, such as in a workshop. Optionally, a function of the motor vehicle may be restricted or blocked, preferably a function that is related to the component.

Die zweite Komponente kann sehr einfach ausgeführt sein, da sie nur dem beschriebenen Zweck dienen muss und eine Ausführungszeit für die angegebene Authentifizierung nur eine untergeordnete Rolle spielen kann. Eine Identifikation kann eine Verarbeitungszeit erfordern, die auch im Bereich mehrerer Minuten liegen kann. Für die zweite Komponente kann ein kostengünstig massenproduzierbarer Mikrocontroller verwendet werden, der für seine Funktion nur wenige oder gar keine externen Komponenten benötigt. Die zweite Komponente muss nur einmalig mit einem individuellen privaten Schlüssel und einer Möglichkeit ausgestattet werden, den öffentlichen Schlüssel der ersten Komponente zu erlangen.The second component can be very simple, since it only has to serve the described purpose and execution time for the specified authentication can only play a minor role. An identification may require a processing time, which may also be in the range of several minutes. For the second component, a cost-mass producible microcontroller can be used, which requires only a few or no external components for its function. The second component only needs to be equipped once with an individual private key and a way to obtain the public key of the first component.

Konnte eine der Komponenten nicht authentifiziert werden, so können unterschiedliche Maßnahmen ergriffen werden.If one of the components could not be authenticated, different measures can be taken.

In einer Ausführungsform umfasst das Bauteil einen elektrischen Schaltkreis und die zweite Komponente ist dazu eingerichtet ist, den Schaltkreis zu beeinflussen, falls die erste Komponente nicht authentifiziert werden kann. Das beeinflussen kann insbesondere ein Abschalten umfassen. Dabei kann das Abschalten beispielsweise mittels einer elektrischen Sicherung erfolgen, die aktiv zerstört wird, sodass eine Wiederinbetriebnahme des Bauteils nicht ohne weiteres möglich ist. Das Bauteil kann praktisch ein beliebiges Bauteil sein, das eine elektrische Funktion ausführt, beispielsweise ein elektrischer Stellmotor, eine Lampe oder eine Kommunikationsvorrichtung.In one embodiment, the component includes an electrical circuit and the second component is configured to affect the circuit if the first component can not be authenticated. The influence may include in particular a shutdown. The shutdown can be done for example by means of an electrical fuse, which is actively destroyed, so that a restart of the component is not readily possible. The component may be virtually any component that performs an electrical function, such as an electric servomotor, a lamp or a communication device.

Die zweite Komponente kann von einer Steuervorrichtung zur Steuerung einer Funktion des Schaltkreises umfasst und dazu eingerichtet sein, eine mittels des Schaltkreises erbrachte Funktion des Bauteils einzuschränken. Die Einschränkung kann beispielsweise derart erfolgen, dass eine Funktion des Bauteils erst nach einer vorbestimmten Zeit nach einem Start eines Antriebsmotors des Kraftfahrzeugs verfügbar ist. Bei einem für den Betrieb des Kraftfahrzeugs essentiellen Bauteil kann durch die Funktionseinschränkung eine unmittelbare Warnung vor der Verwendung des fraglichen Bauteils vermittelt werden und trotzdem die Betriebssicherheit des Kraftfahrzeugs erhalten bleiben. Beispielsweise kann bei einem Stellmotor ein Stellweg beschränkt werden, sodass etwa bei einem Fensterheber ein Öffnungsgrad eines zugeordneten Fensters limitiert ist. Auch die Geschwindigkeit einer erbrachten Funktion kann verändert werden; beispielsweise kann eine elektrische Heizungs- oder Sitzverstellung deutlich langsamer arbeiten, wenn die zweite Komponente nicht authentifiziert werden konnte.The second component may be comprised of a controller for controlling a function of the circuit and configured to restrict a function of the component provided by the circuit. The restriction can for example be such that a function of the component is available only after a predetermined time after a start of a drive motor of the motor vehicle. In an essential for the operation of the motor vehicle component can be taught by the function restriction an immediate warning of the use of the component in question and still maintain the reliability of the motor vehicle. For example, in the case of a servomotor, an actuating path can be limited so that, for example, in the case of a window regulator, an opening degree of an associated window is limited. The speed of a given function can also be changed; For example, an electric heater or seat adjustment can work much slower if the second component could not be authenticated.

Die erste Komponente kann dazu eingerichtet sein, eine Nachricht an die zweite Komponente zu senden um die Funktion zu beeinflussen, falls die zweite Komponente nicht authentifiziert werden kann. Dadurch können im Wesentlichen die oben genannten Ausdrucksformen für einen Hinweis auf eine fehlgeschlagene Authentifizierung zur Verfügung stehen. In einer Variante kann auch die Funktion einer zweiten Komponente oder eines zugeordneten Bauteils eingeschränkt werden, nachdem die Authentifikation einer anderen zweiten Komponente fehlgeschlagen ist.The first component may be configured to send a message to the second component to affect the function if the second component can not be authenticated. As a result, essentially the above-mentioned expressions can be available for an indication of a failed authentication. In a variant, the function of a second component or an associated component can also be restricted after the authentication of another second component has failed.

Die erste Komponente ist bevorzugt dazu eingerichtet, eine Vielzahl zweiter Komponenten zu authentifizieren. Die erste Komponente kann eine ausgezeichnete Stellung im Kraftfahrzeug einnehmen und über die Authentifizierbarkeit vieler oder aller zweiter Komponenten wachen. Werden mehrere erste Komponenten verwendet, so können sie sich untereinander auf eine entsprechende Weise authentifizieren. Sollte eine der zweiten Komponenten nicht authentifiziert werden können, so kann eine auf die zweite Komponente hinweisende Nachricht beispielsweise an einen Fahrer des Kraftfahrzeugs ausgegeben werden. Außerdem können eines oder mehrere Bauteile auf eine hierin beschriebene Weise in ihren Funktionen eingeschränkt oder abgeschaltet werden.The first component is preferably configured to authenticate a plurality of second components. The first component can occupy an excellent position in the motor vehicle and watch over the authenticity of many or all of the second components. If several first components are used, they can authenticate among themselves in a corresponding manner. If one of the second components can not be authenticated, then a message pointing to the second component can be output, for example, to a driver of the motor vehicle. In addition, one or more components may be restricted or disabled in their functions in a manner described herein.

Die erste Komponente kann auch dazu eingerichtet sein, eine Benutzung des Kraftfahrzeugs einzuschränken, falls die zweite Komponente nicht authentifiziert werden konnte. Beispielsweise kann eine Wegfahrsperre aktiviert werden, sodass das Kraftfahrzeug nicht aus eigener Kraft fahren kann. Ferner können eine Schließanlage, eine Bremsanlage oder eine Alarmanlage aktiviert werden, um einen Betrieb des Kraftfahrzeugs weiter zu erschweren.The first component may also be configured to restrict use of the motor vehicle if the second component could not be authenticated. For example, an immobilizer can be activated so that the motor vehicle can not drive on its own. Furthermore, a locking system, a brake system or an alarm system can be activated in order to further complicate operation of the motor vehicle.

Die erste Komponente kann derart mit dem Kraftfahrzeug verbunden sein, dass ein Betrieb des Kraftfahrzeugs ohne die erste Komponente verhindert ist. Insbesondere kann die erste Komponente mit einer Motorsteuerung, einer Wegfahrsperre oder einer zentralen Steuereinrichtung derart verflochten sein, dass das Kraftfahrzeug nur betrieben werden kann, wenn die erste Komponente vorhanden ist.The first component may be connected to the motor vehicle such that an operation of the motor vehicle without the first component is prevented. In particular, the first component may be intertwined with a motor control, an immobilizer or a central control device such that the motor vehicle can only be operated when the first component is present.

In einer besonders bevorzugten Ausführungsform wird ein vorbestimmtes Verfahren verwendet, um die Authentizität wenigstens einer der Komponenten zu bestimmen. Dazu kann Gebrauch von einem public-private-key Verfahren gemacht werden, bei welchem beide Komponenten jeweils zumindest einen privaten eigenen Schlüssel und Zugriff auf einen öffentlichen Schlüssel der jeweils anderen Komponente haben.In a particularly preferred embodiment, a predetermined method is used to determine the authenticity of at least one of the components. For this purpose, use may be made of a public-private-key method in which both components each have at least one private key of their own and access to a public key of the other component.

In einer besonders bevorzugten Ausführungsform ist die erste Komponente dazu eingerichtet, eine erste Zufallszahl zu bestimmen und die erste Zufallszahl an die zweite Komponente zu übermitteln. Die zweite Komponente kann dazu eingerichtet sein, eine erste Nachricht, die die erste Zufallszahl und einen öffentlichen Schlüssel der ersten Komponente umfasst, mittels eines privaten Schlüssels der zweiten Komponente zu verschlüsseln; und die verschlüsselte erste Nachricht an die erste Komponente zu übermitteln. Dabei kann die erste Komponente dazu eingerichtet sein, die übermittelte Nachricht mittels eines öffentlichen Schlüssels der zweiten Komponente zu entschlüsseln; und zu bestimmen, dass die zweite Komponente nicht authentisch ist, falls die entschlüsselte Nachricht nicht die erste Zufallszahl oder nicht den öffentlichen Schlüssel der ersten Komponente enthält.In a particularly preferred embodiment, the first component is configured to determine a first random number and to transmit the first random number to the second component. The second component may be configured to encrypt a first message comprising the first random number and a public key of the first component using a private key of the second component; and transmit the encrypted first message to the first component. In this case, the first component can be set up to decrypt the transmitted message by means of a public key of the second component; and determine that the second component is not authentic if the decrypted message does not contain the first random number or the public key of the first component.

Auf diese Weise kann die zweite Komponente sicher gegenüber der ersten Komponente authentifiziert werden. Sollte eine der Nachrichten unterwegs verfälscht worden sein oder eine der Komponenten nicht über den korrekten Schlüssel verfügen, kann die Authentifikation fehlschlagen. Die zwischen den Komponenten ausgetauschten Nachrichten können noch weitere Informationen umfassen.In this way, the second component can be securely authenticated against the first component. If one of the messages has been corrupted on the way or one of the components does not have the correct key, the authentication may fail. The messages exchanged between the components may include further information.

In einer Weiterführung ist die zweite Komponente ferner dazu eingerichtet, eine zweite Zufallszahl zu bestimmen und der ersten Nachricht vor deren Verschlüsselung beizufügen. Die erste Komponente ist bevorzugt dazu eingerichtet, eine zweite Nachricht, die die erste Zufallszahl, die zweite Zufallszahl und den öffentlichen Schlüssel der zweiten Komponente umfasst, mittels des privaten Schlüssels der ersten Komponente zu verschlüsseln und die verschlüsselte zweite Nachricht an die zweite Komponente zu übermitteln. Die zweite Komponente kann dazu eingerichtet sein, die übermittelte zweite Nachricht mittels eines öffentlichen Schlüssels der ersten Komponente zu entschlüsseln; und zu bestimmen, dass die erste Komponente nicht authentisch ist, falls die entschlüsselte zweite Nachricht nicht die zweite Zufallszahl oder nicht den öffentlichen Schlüssel der zweiten Komponente enthält.In a continuation, the second component is further configured to determine a second random number and attach it to the first message prior to its encryption. The first component is preferably configured to encrypt a second message comprising the first random number, the second random number and the public key of the second component by means of the private key of the first component and to transmit the encrypted second message to the second component. The second component may be configured to decrypt the transmitted second message by means of a public key of the first component; and determine that the first component is not authentic if the decrypted second message does not contain the second random number or the public key of the second component.

Die Authentifikation der zweiten Komponente kann verschränkt mit der Authentifikation der ersten Komponente ablaufen, sodass Ressourcen oder Ausführungszeit eingespart werden können. In einer anderen Ausführungsform können die erste und die zweite Komponente einander unabhängig voneinander authentifizieren. Dazu können die Komponenten ihre Rollen in einem hierin beschriebenen Verfahren vertauschen.The authentication of the second component can run entangled with the authentication of the first component, so that resources or execution time can be saved. In another embodiment, the first and second components may independently authenticate each other. To do this, the components may interchange their roles in a method described herein.

Eine hierin beschriebene erste Komponente kann ein eigenständiges Bauteil sein. Eine hierin beschriebene zweite Komponente kann in verschiedenen Konstellationen zur Verwendung an einem Kraftfahrzeug eingerichtet sein. Ein Kraftfahrzeug umfasst eine hierin beschriebene erste Komponente und eine oder mehrere hierin beschriebene zweite Komponenten.A first component described herein may be a self-contained component. A second component described herein may be configured in various constellations for use on a motor vehicle. A motor vehicle includes a first component described herein and one or more second components described herein.

Eine hierin beschriebene erste und/oder zweite Komponente können jeweils eine Verarbeitungseinrichtung umfassen, von denen wenigstens eine dazu dazu eingerichtet sein kann, ein hierin beschriebenes Verfahren ganz oder teilweise auszuführen. Dazu kann die Verarbeitungseinrichtung einen programmierbaren Mikrocomputer oder Mikrocontroller umfassen und das Verfahren kann in Form eines Computerprogrammprodukts mit Programmcodemitteln vorliegen. Das Computerprogrammprodukt kann auch auf einem computerlesbaren Datenträger abgespeichert sein. Merkmale oder Vorteile des Verfahrens können auf die Vorrichtung übertragen werden oder umgekehrt.A first and / or second component described herein may each comprise a processing means, at least one of which may be arranged to wholly or partially execute a method described herein. For this purpose, the processing device may comprise a programmable microcomputer or microcontroller and the method may be in the form of a computer program product with program code means. The computer program product can also be stored on a computer-readable data carrier. Features or advantages of the method may be transferred to the device or vice versa.

Die Erfindung wird nun mit Bezug auf die beigefügten Zeichnungen genauer beschrieben, in denen:

  • 1 ein System und
  • 2 ein Ablaufdiagramm eines Verfahrens
illustriert. The invention will now be described in more detail with reference to the accompanying drawings, in which:
  • 1 a system and
  • 2 a flowchart of a method
illustrated.

1 zeigt ein System 100 an Bord eines Kraftfahrzeugs 105. Das System 100 umfasst eine erste Komponente 110 und eine oder mehrere zweite Komponenten 115, die kommunikativ miteinander verbunden sind, beispielsweise mittels eines Kommunikationsbusses 120, beispielsweise eines CAN- oder LIN-Busses. Eine der zweiten Komponenten 115 kann an einer einem Bauteil 125 des Kraftfahrzeugs 105 angebracht sein. Optional ist eine interne Schnittstelle 130 zur Kommunikation mit einer weiteren Einrichtung an Bord des Kraftfahrzeugs 105 vorgesehen. Außerdem kann eine externe Schnittstelle 125 zur Kommunikation mit einer externen Einrichtung vorgesehen sein. Die externe Schnittstelle 135 ist bevorzugt drahtlos ausgeführt. 1 shows a system 100 on board a motor vehicle 105 , The system 100 includes a first component 110 and one or more second components 115 which are communicatively connected to each other, for example by means of a communication bus 120 , for example, a CAN or LIN bus. One of the second components 115 can be attached to a component 125 of the motor vehicle 105 to be appropriate. Optional is an internal interface 130 for communication with another device on board the motor vehicle 105 intended. In addition, an external interface 125 for communication with an external Means be provided. The external interface 135 is preferably carried out wirelessly.

Die erste Komponente 110 hat üblicherweise vorwiegend eine Sicherheitsfunktion und kann Teil eines Sicherheitssystems sein, das eine Alarmanlage, eine Schließanlage, eine Wegfahrsperre oder ein Ortungssystem umfassen kann. Es kann sichergestellt sein, dass das Kraftfahrzeug 105 ohne die erste Komponente 110 nicht betrieben werden kann. Dazu kann ein Austausch der ersten Komponente 110 den erfolgreichen Einsatz eines kryptographischen Verfahrens erfordern.The first component 110 usually has a predominantly security function and may be part of a security system, which may include an alarm system, a locking system, an immobilizer or a location system. It can be ensured that the motor vehicle 105 without the first component 110 can not be operated. This may involve an exchange of the first component 110 require the successful use of a cryptographic process.

Die zweiten Komponenten 115 können jeweils dazu eingerichtet sein, eine weitere vorbestimmte Funktion an Bord des Kraftfahrzeugs 105 zu erfüllen, die bevorzugt seinen Betrieb, seine Benutzung oder eine damit verbundene Aufgabe betrifft. Beispielsweise kann eine der zweiten Komponenten 115 ein audiovisuelles Unterhaltungssystem, ein Navigationssystem oder eine Steuervorrichtung für ein Subsystem wie eine Heizung (HVAC: Heating, Ventilation, Air Conditioning) oder eine Sitzverstellung umfassen. In einer anderen Ausführungsform kann ein Bauteil 125 derart mit einer zweiten Komponente 115 verbunden sein, dass ein Trennen des Bauteils 125 von der Komponente 115 eine Beschädigung oder Zerstörung des Bauteils 125 oder der zweiten Komponente 115 bedingt. Beispielsweise kann das Bauteil 125 wasserdicht ummantelt sein. Wird die Ummantelung aufgebrochen, so kann das Wiederherstellen der Dichtheit schwierig sein. Die Ummantelung kann ein sprödes Material wie Glas umfassen, das kaum zerstörungsfrei geöffnet und auch nur schwer wieder verschlossen werden kann. Das Bauteil 125 kann auch eine tragende Funktion erfüllen, die beeinträchtigt werden kann, wenn das Bauteil 125 geöffnet wird, um Zugang zur zweiten Komponente 115 zu erhalten. Außerdem kann das Bauteil 125 am Kraftfahrzeug 105 sichtbar angebracht sein, sodass Bearbeitungsspuren am Bauteil 125 als unangenehm wahrgenommen werden können.The second components 115 may each be adapted to a further predetermined function on board the motor vehicle 105 which preferably relates to its operation, its use or a related task. For example, one of the second components 115 an audiovisual entertainment system, a navigation system or a control device for a subsystem such as a heating (HVAC: Heating, Ventilation, Air Conditioning) or a seat adjustment include. In another embodiment, a component 125 such with a second component 115 be connected, that a separation of the component 125 from the component 115 damage or destruction of the component 125 or the second component 115 conditionally. For example, the component 125 be sheathed waterproof. If the jacket is broken, restoring tightness may be difficult. The sheath may comprise a brittle material such as glass, which can hardly be opened non-destructively and is also difficult to close again. The component 125 can also perform a supporting function, which can be affected when the component 125 is opened to access the second component 115 to obtain. In addition, the component can 125 on the motor vehicle 105 be visible, so that traces of machining on the component 125 can be perceived as unpleasant.

Das System 100 ist bevorzugt dazu eingerichtet, seine eigene Integrität sicher zu stellen. Dazu ist die erste Komponente 110 dazu eingerichtet, eine zweite Komponente 115 zu authentifizieren und/oder eine zweite Komponente 115 ist dazu eingerichtet, die erste Komponente 110 zu authentifizieren.The system 100 is preferably set up to ensure its own integrity. This is the first component 110 set up a second component 115 to authenticate and / or a second component 115 is set up the first component 110 to authenticate.

Es wird vorgeschlagen, dass die Authentifikation mittels eines asymmetrischen Verschlüsselungsverfahrens durchgeführt wird, bei dem jeder Komponente 110, 115 ein privater und ein dazu korrespondierender öffentlicher kryptographischer Schlüssel zugewiesen sind. Eine Verschlüsselung, die mit einem der beiden Schlüssel durchgeführt wurde, kann nur mittels des korrespondierenden Schlüssels wieder umgekehrt werden. Der private Schlüssel jeder Komponente 110, 115 wird geheim gehalten, während der öffentliche Schlüssel allen Komponenten 110, 115 bereitgestellt werden kann. Ist einer der Komponenten 110, 115 der öffentliche Schlüssel einer anderen Komponente bekannt, so kann insbesondere überprüft werden, ob die andere Komponente in Besitz des korrespondierenden privaten Schlüssels ist, indem die weitere Komponente einen Klartext verschlüsselt. Kann der dabei entstehende Ziffertext mittels des öffentlichen Schlüssels in den Klartext entschlüsselt werden, so ist die andere Komponente authentisch, andernfalls nicht.It is proposed that the authentication be performed by means of an asymmetric encryption method in which each component 110 . 115 a private and a corresponding public cryptographic key are assigned. An encryption, which was carried out with one of the two keys, can only be reversed again by means of the corresponding key. The private key of each component 110 . 115 is kept secret while the public key is all components 110 . 115 can be provided. Is one of the components 110 . 115 the public key of another component known so it can be checked in particular whether the other component is in possession of the corresponding private key by the further component encrypts a plain text. If the resulting digit text can be decrypted in plain text using the public key, the other component is authentic, otherwise it is not.

Sollte die Authentifikation erfolgreich sein, so kann der Betrieb des Kraftfahrzeugs 105 oder seiner Bauteile 125 freigegeben werden. Andernfalls können verschiedene Maßnahmen ergriffen werden. Eine Nachricht über eine fehlgeschlagene Authentifikation kann über die interne Schnittstelle 130 an ein Subsystem an Bord des Kraftfahrzeugs 105 bereitgestellt werden, das über weitere Maßnahmen entscheiden kann. Eine entsprechende Nachricht kann auch über die externe Schnittstelle 135 beispielsweise an eine zentrale Einrichtung weitergegeben werden. Die zentrale Einrichtung kann nach Art einer Datenbank als zentrales Nachschlagewerk über erste und/oder zweite Komponenten 110 115 eingerichtet sein, sodass beispielsweise angefragt werden kann, ob eine bestimmte Komponente 110, 115 zur allgemeinen Benutzung freigegeben ist oder nicht. Auch andere Attribute wie ein zugeordnetes Kraftfahrzeug 105, ein freigegebener Typ von Kraftfahrzeugen 105 oder eine Information über einen Diebstahl oder eine Verschrottung eines zugeordneten Kraftfahrzeugs 105 können dort vermerkt sein.If the authentication is successful, then the operation of the motor vehicle 105 or its components 125 be released. Otherwise, various measures can be taken. A message about a failed authentication can be sent via the internal interface 130 to a subsystem on board the motor vehicle 105 be provided, which can decide on further measures. An appropriate message can also be sent via the external interface 135 for example, be forwarded to a central facility. The central device can be like a database as a central reference book about first and / or second components 110 115 be set up so that, for example, it can be asked if a particular component 110 . 115 is released for general use or not. Also other attributes such as an associated motor vehicle 105 , a shared type of motor vehicle 105 or information about a theft or scrapping of an associated motor vehicle 105 can be noted there.

2 zeigt ein Ablaufdiagramm eines Verfahrens 200 zur Authentifizierung von Komponenten 110, 115. Das Verfahren 200 kann insbesondere mittels des Systems 100 von 1 durchgeführt werden. Zur besseren Verständlichkeit ist in 2 exemplarisch links die erste Komponente 110 und rechts die Komponente 115 dargestellt, die gewählten Rollen können aber auch vertauscht sein. Der ersten Komponente 110 sind ein öffentlicher Schlüssel 110.1 und ein privater Schlüssel 110.2 zugeordnet und der zweiten Komponente 115 sind ein öffentlicher Schlüssel 115.1 und ein privater Schlüssel 115.2 zugeordnet. Bevorzugt ist der öffentliche Schlüssel 110.2, 115.2 einer Komponente 110, 115 der jeweils anderen Komponente 115, 110 zugänglich. 2 shows a flowchart of a method 200 for authentication of components 110 . 115 , The procedure 200 in particular by means of the system 100 from 1 be performed. For better understanding is in 2 exemplarily on the left the first component 110 and on the right the component 115 shown, but the selected roles can also be reversed. The first component 110 are a public key 110.1 and a private key 110.2 assigned and the second component 115 are a public key 115.1 and a private key 115.2 assigned. The public key is preferred 110.2 . 115.2 a component 110 . 115 the other component 115 . 110 accessible.

In einem Schritt 205 wählt die erste Komponente 110 einen ersten Klartext, der bevorzugt eine Zufallszahl oder eine andere schwer extern zu reproduzierende Information enthält, und übermittelt den unverschlüsselten ersten Klartext an die zweite Komponente 115. In einem Schritt 210 bestimmt die zweite Komponente 115 eine Nachricht 215, welche den empfangenen ersten Klartext, optional einen seitens der zweiten Komponente 115 gewählten zweiten Klartext, sowie den öffentlichen Schlüssel 110.1 der ersten Komponente 110 umfasst. Weitere Informationen können ebenfalls hinzugefügt werden. Die Nachricht 215 wird mittels des privaten Schlüssels 215.2 der zweiten Komponente 115 verschlüsselt und dann an die erste Komponente 110 übermittelt.In one step 205 chooses the first component 110 a first plaintext, which preferably contains a random number or other information difficult to externally reproduce, and transmits the unencrypted first plaintext to the second component 115 , In one step 210 determines the second component 115 a message 215 which receives the first plaintext received, optionally one from the second component 115 chosen second plain text, as well as the public key 110.1 the first component 110 includes. More information can also be added. The message 215 becomes by means of the private key 215.2 the second component 115 encrypted and then to the first component 110 transmitted.

In einem Schritt 220 kann die erste Komponente 110 die empfangene Nachricht 215 mittels ihres privaten Schlüssels 110.2 entschlüsseln. Anschließend kann sie auf die Inhalte der Nachricht 215 zugreifen und insbesondere überprüfen, ob der erste Klartext enthalten ist, den sie im Schritt 205 gewählt hat. Außerdem kann geprüft werden, ob der öffentliche Schlüssel 110.1 der ersten Komponente 110 enthalten ist. Sind die überprüften Angaben korrekt enthalten, so kann die Authentizität der zweiten Komponente 115 gesichert sein.In one step 220 may be the first component 110 the received message 215 by means of her private key 110.2 decrypt. Subsequently, she can access the contents of the message 215 access and in particular check if the first plain text is included, which they in the step 205 has chosen. It can also be checked if the public key 110.1 the first component 110 is included. If the verified information is included correctly, then the authenticity of the second component 115 be assured.

Das Verfahren 200 kann fortgeführt werden, um auch die erste Komponente 110 gegenüber der zweiten Komponente 115 zu authentifizieren, falls die zweite Komponente 115 im Schritt 210 der Nachricht 215 einen gewählten zweiten Klartext hinzugefügt hat. Zur Fortführung kann die erste Komponente 110 in einem Schritt 225 eine zweite Nachricht 230 bestimmen, welche den ersten Klartext, den zweiten Klartext und den öffentlichen Schlüssel 115.1 der zweiten Komponente umfasst, die zweite Nachricht 230 mittels des privaten Schlüssels 110.2 der ersten Komponente 110 verschlüsseln und an die zweite Komponente 115 übermitteln.The procedure 200 can be continued to include the first component 110 towards the second component 115 to authenticate if the second component 115 in step 210 the message 215 added a selected second plaintext. For continuation, the first component 110 in one step 225 a second message 230 determine which the first plain text, the second plain text and the public key 115.1 the second component comprises the second message 230 by means of the private key 110.2 the first component 110 encrypt and send to the second component 115 to transfer.

In einem Schritt 235 kann dann die zweite Komponente die empfangene zweite Nachricht 230 mittels des öffentlichen Schlüssels 110.1 der ersten Komponente 110 entschlüsseln und auf die Inhalte zugreifen. Ist darin der zweite Klartext nicht enthalten, so kann die erste Komponente 110 nicht authentifiziert werden. Auch der öffentliche Schlüssel 115.1 kann zur erfolgreichen Authentifizierung der zweiten Komponente 115 in der entschlüsselten zweiten Nachricht erforderlich sein.In one step 235 Then the second component can receive the received second message 230 by means of the public key 110.1 the first component 110 decrypt and access the content. If the second plaintext is not included, the first component may be 110 not be authenticated. Also the public key 115.1 can be used to successfully authenticate the second component 115 be required in the decrypted second message.

Sollte eine der Komponenten 110, 115 die jeweils andere Komponente 110, 115 nicht authentifizieren können, so kann in einem Schritt 240 eine entsprechende Nachricht übermittelt werden. Optional kann auch die Durchführung einer vorbestimmten Maßnahme von der jeweils anderen Komponente 110, 115 angefordert werden.Should be one of the components 110 . 115 the other component 110 . 115 can not authenticate, so can in one step 240 a corresponding message is transmitted. Optionally, the execution of a predetermined measure of the other component 110 . 115 be requested.

Die Komponenten 110, 115 benötigen zur Durchführung des beschriebenen Verfahrens 200 jeweils zumindest einen eigenen privaten Schlüssel 110.1, 115.1, sowie bevorzugt auch den eigenen öffentlichen Schlüssel 110.2, 115.2. Diese Informationen können im Rahmen der Herstellung der Komponenten 110, 115 hinterlegt werden. Eine zweite Komponente 115 kann außerdem Speicherplatz für eine Individualisierungsinformation 115.3 umfassen, die für eine Bindung an eine erste Komponente 110 verwendet werden kann. Eine frisch hergestellte, unverbaute zweite Komponente 115 kann eine leere Individualisierungsinformation 115.3 aufweisen. Die erste Komponente 110 kann eine ähnliche Individualisierungsinformation 115.3 umfassen, wobei aber mehr Speicherplatz zur Ablage von Informationen mehrerer zweiter Komponenten vorgesehen sein kann. Die Individualisierungsinformationen 110.3, 115.3 können auch jeweils eine eindeutige UID (unique identification) umfassen, die unter allen ersten und/oder zweiten Komponenten 110, 115 einmalig sein kann. Die UID kann auch von außen lesbar an der Komponente 110, 115 angebracht sein.The components 110 . 115 need to carry out the described method 200 at least one private key each 110.1 . 115.1 , as well as your own public key 110.2 . 115.2 , This information may be in the context of manufacturing the components 110 . 115 be deposited. A second component 115 can also store space for customization information 115.3 include that for binding to a first component 110 can be used. A freshly prepared, unused second component 115 can be an empty customization information 115.3 respectively. The first component 110 can a similar customization information 115.3 but more space may be provided to store information from multiple second components. The customization information 110.3 . 115.3 may each include a unique UID (unique identification), among all first and / or second components 110 . 115 can be unique. The UID can also be read externally on the component 110 . 115 to be appropriate.

Eine Bindung zwischen einer ersten Komponente 110 und einer zweiten Komponente 115 mittels der Individualisierungsinformationen 115.3 wird auch Prägung oder Initialisierung genannt. Eine ungeprägte Komponente 110, 115 kann eine vorbestimmte Funktion einschränken oder verweigern, bis die Prägung durchgeführt wurde. Die Prägung einer Komponente 110, 115 kann erfolgen, indem der öffentliche Schlüssel einer anderen Komponente 110, 115 als Individualisierungsinformation 115.3 abgelegt wird. Im Verfahren von 2 können insbesondere der öffentliche Schlüssel 115.2 der zweiten Komponente 115 als Individualisierungsinformation 110.3 der ersten Komponente 110 und/oder der öffentliche Schlüssel 110.2 der ersten Komponente als Individualisierungsinformation 115.3 der zweiten Komponente 115 abgelegt werden.A bond between a first component 110 and a second component 115 by means of the customization information 115.3 is also called embossing or initialization. An unembossed component 110 . 115 may restrict or deny a predetermined function until the imprinting has been performed. The imprint of a component 110 . 115 can be done by the public key of another component 110 . 115 as customization information 115.3 is filed. In the process of 2 especially the public key 115.2 the second component 115 as customization information 110.3 the first component 110 and / or the public key 110.2 the first component as customization information 115.3 the second component 115 be filed.

Eine Prägung kann mittels eines weiteren Verfahrens gelöscht oder überschrieben werden. Dazu kann ein Token von einer zentralen Stelle angefordert werden, welches den öffentlichen Schlüssel 110.1 der ersten Komponente 110 und den öffentlichen Schlüssel 115.1 wenigstens einer zweiten Komponente 115 umfassen kann. Die zentrale Stelle kann entscheiden, unter welchen Voraussetzungen sie ein solches Token ausstellt. Beispielsweise kann eine Identifikation einer Person, einer Einrichtung (z. B. einer Werkstatt) oder eines Kraftfahrzeugs 105 erforderlich sein. Auf der Basis dieser Informationen kann beispielsweise geprüft werden, ob eine rückzusetzende Komponente 110, 115 als gestohlen gemeldet ist; in diesem Fall kann die Ausstellung des Tokens verweigert werden. Das Token kann beispielsweise mittels kryptographischer Methoden an das Kraftfahrzeug 105 oder eines seiner Elemente gebunden sein.An embossing can be deleted or overwritten by another method. For this purpose, a token can be requested from a central location, which is the public key 110.1 the first component 110 and the public key 115.1 at least one second component 115 may include. The central office can decide under what conditions it issues such a token. For example, an identification of a person, a device (eg a workshop) or a motor vehicle 105 to be required. On the basis of this information, for example, it can be checked whether a component to be reset 110 . 115 reported as stolen; in this case, the issue of the token can be denied. The token can, for example, by means of cryptographic methods to the motor vehicle 105 or one of its elements be bound.

Mittels des Tokens können die Individualisierungsinformationen 110.3, 115.3 in einer Komponente 110, 115 gelöscht werden, sodass die Komponente 110, 115 neu geprägt werden kann, wie oben beschrieben ist. Im Fall der ersten Komponente 110 kann nur diejenige Individualisierungsinformation 110.3, die der fraglichen zweiten Komponente 115 zugeordnet ist, gelöscht werden. Die Individualisierungsinformationen 110.3, 115.3 können auch unmittelbar aus dem Token übernommen und neu in die Komponenten 110, 115 neu geschrieben werden.By means of the token, the individualization information 110.3 . 115.3 in a component 110 . 115 be deleted so that the component 110 . 115 can be re-embossed, as described above. In the case of the first component 110 can only the individualization information 110.3 , that of the second component in question 115 is assigned to be deleted. The customization information 110.3 . 115.3 can also be taken directly from the token and added to the components 110 . 115 be rewritten.

Je nach den im Token vorhandenen Individualisierungsinformationen kann das Token in der ersten Komponente 110, in der zweiten Komponente 115 oder auch in beiden 110, 115 auf Gültigkeit zu geprüft werden. Dazu kann insbesondere ein öffentlicher Schlüssel einer CA (Certificate Authority), von der öffentliche Schlüssel bezogen werden können, in der ersten Komponente 110 und/oder in der zweiten Komponente 115 hinterlegt werden. Diese CA bzw. der zu ihr gehörende Schlüssel wird auch „trust anchor“ genannt.Depending on the customization information present in the token, the token may be in the first component 110 in the second component 115 or in both 110, 115 to be validated. In particular, a public key of a CA (Certificate Authority) from which public keys can be obtained can be used in the first component 110 and / or in the second component 115 be deposited. This CA or its associated key is also called "trust anchor".

BezugszeichenlisteLIST OF REFERENCE NUMBERS

100100
Systemsystem
105105
Kraftfahrzeugmotor vehicle
110110
erste Komponente first component
110.1110.1
öffentlicher Schlüssel der ersten Komponentepublic key of the first component
110.2110.2
privater Schlüssel der ersten Komponenteprivate key of the first component
110.3110.3
Individualisierungsinformation der ersten Komponente Customization information of the first component
115115
zweite Komponentesecond component
115.1115.1
öffentlicher Schlüssel der zweiten Komponentepublic key of the second component
115.2115.2
privater Schlüssel der zweiten Komponenteprivate key of the second component
115.3115.3
Individualisierungsinformation der zweiten Komponente Customization information of the second component
120120
Kommunikationsbuscommunication
125125
Bauteilcomponent
130130
interne Schnittstelleinternal interface
135135
externe Schnittstelle external interface
200200
Verfahrenmethod
205205
erster Schrittfirst step
210210
zweiter Schrittsecond step
215215
erste Nachrichtfirst message
220220
dritter Schritt: Prüfungthird step: exam
225225
vierter Schrittfourth step
230230
zweite Nachrichtsecond message
235235
fünfter Schritt: Prüfungfifth step: exam
240240
sechster Schrittsixth step

Claims (10)

System (100) an Bord eines Kraftfahrzeugs, umfassend eine erste (110) und eine zweite Komponente (115), die miteinander kommunikativ verbunden sind, wobei wenigstens eine der Komponenten (110, 115) dazu eingerichtet ist, die jeweils andere Komponente (110, 115) zu authentifizieren, dadurch gekennzeichnet, dass die Authentifikation mittels eines asymmetrischen Verschlüsselungsverfahrens durchgeführt wird, bei dem beiden Komponenten (110, 115) jeweils ein öffentlicher kryptographischer Schlüssel, ein dazu passender privater kryptographischer Schlüssel und der öffentliche kryptographische Schlüssel der jeweils anderen Komponente (110, 115) zugänglich ist, wobei die zweite Komponente (115) mit einem Bauteil des Kraftfahrzeugs verbunden ist, und wobei das Bauteil einen elektrischen Schaltkreis umfasst und die zweite Komponente (115) von einer Steuervorrichtung zur Steuerung einer Funktion des Schaltkreises umfasst wird und dazu eingerichtet ist, eine mittels des Schaltkreises erbrachte Funktion des Bauteils einzuschränken.System (100) on board a motor vehicle, comprising a first (110) and a second component (115) communicatively connected to one another, wherein at least one of the components (110, 115) is adapted to connect the respective other component (110, 110). 115), characterized in that the authentication is carried out by means of an asymmetric encryption method, wherein the two components (110, 115) each have a public cryptographic key, a matching private cryptographic key and the public cryptographic key of the other component (110 , 115), wherein the second component (115) is connected to a component of the motor vehicle, and wherein the component comprises an electrical circuit and the second component (115) is included in and arranged by a control device for controlling a function of the circuit is, one by means of the circuit erbra to restrict the function of the component. System (100) nach Anspruch 1, wobei die zweite Komponente (115) derart mit dem Bauteil des Kraftfahrzeugs verbunden ist, dass eine Trennung die zweite Komponente (115) und/oder das Bauteil beschädigt.System (100) after Claim 1 wherein the second component (115) is connected to the component of the motor vehicle such that a separation damages the second component (115) and / or the component. System (100) nach einem der Ansprüche 1 oder 2, wobei die erste Komponente (110) dazu eingerichtet ist, eine Nachricht an die zweite Komponente (115) zu senden um die Funktion zu beeinflussen, falls die zweite Komponente (115) nicht authentifiziert werden kann.System (100) according to one of Claims 1 or 2 wherein the first component (110) is arranged to send a message to the second component (115) to affect the function if the second component (115) can not be authenticated. System (100) nach einem der vorangehenden Ansprüche, wobei die erste Komponente (110) dazu eingerichtet ist, eine Vielzahl zweiter Komponenten (110, 115) zu authentifizieren.The system (100) of any one of the preceding claims, wherein the first component (110) is configured to authenticate a plurality of second components (110, 115). System (100) nach einem der vorangehenden Ansprüche, wobei die erste Komponente (110) dazu eingerichtet ist, eine Benutzung des Kraftfahrzeugs einzuschränken, falls die zweite Komponente (115) nicht authentifiziert werden konnte.The system (100) of any one of the preceding claims, wherein the first component (110) is arranged to restrict use of the motor vehicle if the second component (115) could not be authenticated. System (100) nach einem der vorangehenden Ansprüche, wobei die erste Komponente (110) derart mit dem Kraftfahrzeug verbunden ist, dass ein Betrieb des Kraftfahrzeugs ohne die erste Komponente (110) verhindert ist. The system (100) of any one of the preceding claims, wherein the first component (110) is connected to the motor vehicle such that operation of the motor vehicle without the first component (110) is prevented. System (100) nach einem der vorangehenden Ansprüche, wobei die erste Komponente (110) dazu eingerichtet ist, - eine erste Zufallszahl zu bestimmen; und - die erste Zufallszahl an die zweite Komponente (115) zu übermitteln; wobei die zweite Komponente (115) dazu eingerichtet ist, - eine erste Nachricht, die die erste Zufallszahl und einen öffentlichen Schlüssel der ersten Komponente (110) umfasst, mittels eines privaten Schlüssels der zweiten Komponente (115) zu verschlüsseln; und - die verschlüsselte erste Nachricht an die erste Komponente (110) zu übermitteln; wobei die erste Komponente (110) dazu eingerichtet ist, - die übermittelte Nachricht mittels eines öffentlichen Schlüssels der zweiten Komponente (115) zu entschlüsseln; und - zu bestimmen, dass die zweite Komponente (115) nicht authentisch ist, falls die entschlüsselte Nachricht nicht die erste Zufallszahl oder nicht den öffentlichen Schlüssel der ersten Komponente (110) enthält.A system (100) according to any one of the preceding claims, wherein the first component (110) is adapted to to determine a first random number; and to transmit the first random number to the second component (115); wherein the second component (115) is adapted to - to encrypt a first message comprising the first random number and a public key of the first component (110) by means of a private key of the second component (115); and - transmit the encrypted first message to the first component (110); wherein the first component (110) is adapted to to decrypt the transmitted message by means of a public key of the second component (115); and to determine that the second component (115) is not authentic if the decrypted message does not contain the first random number or the public key of the first component (110). System (100) nach Anspruch 7, wobei ferner die zweite Komponente (115) dazu eingerichtet ist, - eine zweite Zufallszahl zu bestimmen und der ersten Nachricht vor deren Verschlüsselung beizufügen; wobei die erste Komponente (110) dazu eingerichtet ist: - eine zweite Nachricht, die die erste Zufallszahl, die zweite Zufallszahl und den öffentlichen Schlüssel der zweiten Komponente (115) umfasst, mittels des privaten Schlüssels der ersten Komponente (110) zu verschlüsseln; - die verschlüsselte zweite Nachricht an die zweite Komponente (115) zu übermitteln; und die zweite Komponente (115) dazu eingerichtet ist, - die übermittelte zweite Nachricht mittels eines öffentlichen Schlüssels der ersten Komponente (110) zu entschlüsseln; und - zu bestimmen, dass die erste Komponente (110) nicht authentisch ist, falls die entschlüsselte zweite Nachricht nicht die zweite Zufallszahl oder nicht den öffentlichen Schlüssel der zweiten Komponente (115) enthält.System (100) after Claim 7 and wherein the second component (115) is further configured to: - determine a second random number and attach it to the first message prior to its encryption; wherein the first component (110) is arranged to: - encrypt a second message comprising the first random number, the second random number and the public key of the second component (115) by means of the private key of the first component (110); - transmit the encrypted second message to the second component (115); and the second component (115) is arranged to - decrypt the transmitted second message by means of a public key of the first component (110); and - determining that the first component (110) is not authentic if the decrypted second message does not contain the second random number or the public key of the second component (115). Zweite Komponente (115) als Teil eines Systems (100) an Bord eines Kraftfahrzeugs (105), die mit einer ersten Komponente (110) als Teil des Systems (100) kommunikativ verbunden ist, wobei wenigstens eine der Komponenten (110, 115) dazu eingerichtet ist, die jeweils andere Komponente (110, 115) zu authentifizieren, dadurch gekennzeichnet, dass die Authentifikation mittels eines asymmetrischen Verschlüsselungsverfahrens durchgeführt wird, bei dem beiden Komponenten (110, 115) jeweils ein öffentlicher kryptographischer Schlüssel, ein dazu passender privater kryptographischer Schlüssel und der öffentliche kryptographische Schlüssel der jeweils anderen Komponente (110, 115) zugänglich ist, wobei die zweite Komponente (115) mit einem Bauteil des Kraftfahrzeugs verbunden ist, und wobei das Bauteil einen elektrischen Schaltkreis umfasst und die zweite Komponente (115) von einer Steuervorrichtung zur Steuerung einer Funktion des Schaltkreises umfasst wird und dazu eingerichtet ist, eine mittels des Schaltkreises erbrachte Funktion des Bauteils einzuschränken.Second component (115) as part of a system (100) aboard a motor vehicle (105) communicatively connected to a first component (110) as part of the system (100), at least one of the components (110, 115) thereto is configured to authenticate the respective other component (110, 115), characterized in that the authentication is carried out by means of an asymmetric encryption method, wherein the two components (110, 115) each have a public cryptographic key, a matching private cryptographic key and the public cryptographic key is accessible to the respective other component (110, 115), wherein the second component (115) is connected to a component of the motor vehicle, and wherein the component comprises an electrical circuit and the second component (115) is controlled by a control device Control of a function of the circuit is included and is adapted to a To limit e provided by the circuit function of the component. Kraftfahrzeug (105), umfassend ein System (100) gemäß einem der Ansprüche 1 bis 8.A motor vehicle (105) comprising a system (100) according to any one of Claims 1 to 8th ,
DE102018209757.7A 2018-06-18 2018-06-18 Protection of a vehicle component Active DE102018209757B3 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018209757.7A DE102018209757B3 (en) 2018-06-18 2018-06-18 Protection of a vehicle component

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018209757.7A DE102018209757B3 (en) 2018-06-18 2018-06-18 Protection of a vehicle component

Publications (1)

Publication Number Publication Date
DE102018209757B3 true DE102018209757B3 (en) 2019-09-05

Family

ID=67622969

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018209757.7A Active DE102018209757B3 (en) 2018-06-18 2018-06-18 Protection of a vehicle component

Country Status (1)

Country Link
DE (1) DE102018209757B3 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040003252A1 (en) 2002-06-28 2004-01-01 Dabbish Ezzat A. Method and system for vehicle authentication of a component class
DE102014018460A1 (en) 2014-12-11 2016-06-16 Audi Ag Method for controlling the operation of at least one functional component of a motor vehicle and motor vehicle

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040003252A1 (en) 2002-06-28 2004-01-01 Dabbish Ezzat A. Method and system for vehicle authentication of a component class
DE102014018460A1 (en) 2014-12-11 2016-06-16 Audi Ag Method for controlling the operation of at least one functional component of a motor vehicle and motor vehicle

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Menezes, A.J.: Handbook of applied cryptography. ISBN 0-8493-8523-7, CRC Press LLC, 1997, S. 397 - 405. *

Similar Documents

Publication Publication Date Title
EP1959606B1 (en) Safety unit
EP2689553B1 (en) Motor vehicle control unit having a cryptographic device
DE60316585T2 (en) METHOD AND SYSTEM FOR MAINTAINING A TIME CONFIGURATION PERFORMANCE OF A VEHICLE
EP1128242A2 (en) Process of signature
EP3649768A1 (en) Method for the secure replacement of a first manufacturer certificate already incorporated into a device
WO2019175006A1 (en) Method for exchanging data with a vehicle control unit
DE102018210318B4 (en) Method for securing vehicle components and corresponding vehicle component
EP3422628B1 (en) Method, safety device and safety system
DE102019127100A1 (en) PROCEDURE AND SYSTEM FOR PROVIDING SECURITY OF AN IN-VEHICLE NETWORK
DE10123169A1 (en) Method for protection of a microcomputer system against manipulation of data, especially program data, stored in its memory by use of an asymmetric encryption method with the data encrypted using a card holder PIN
WO2014096027A1 (en) Control system for a motor vehicle
DE102010021257A1 (en) Plug-in system for the protected construction of a network connection
WO2018007049A1 (en) Method for the secure authentication of control devices in a motor vehicle
WO2006021178A2 (en) Method and security system for the secure and unambiguous coding of a security module
DE102011002713A1 (en) Method for providing cryptographic credentials for electronic control unit (ECU) of vehicle e.g. electric car, has control unit that deactivates vehicle drive for deleting cryptographic credentials in vehicle safety management unit
DE102018209757B3 (en) Protection of a vehicle component
DE102015202215A1 (en) Device and method for safe operation of the device
DE102005028772A1 (en) Method of using driving authorization system for vehicle, by enabling vehicle lateral component e.g. starter lock, to code and/or decode acknowledgment message from another component e.g. steering lock, using common secret code
DE102007051440A1 (en) Software activating method for motor vehicle, involves activating software by activation code, when comparison of actual configuration transmitted with code and actual configuration provided in vehicle has no deviation
EP3078769A1 (en) Method for releasing machine functions on a spinning machine
EP1652337B1 (en) Method for signing a data set in a public key system and data processing system for carrying out said method
DE102015211104A1 (en) Method for providing authentication factors
DE102007036094A1 (en) Electronic device e.g. controller for operating vehicle engine, theft protection method for motor vehicle, involves releasing operation of electronic device if identification for authorization for operating device in vehicle is performed
DE102019130067B4 (en) Method for carrying out permission-dependent communication between at least one field device in automation technology and an operating device
EP1642185A1 (en) Method for authenticating, in particular, software components that can be loaded into a control unit of a motor vehicle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final