-
Die Erfindung betrifft ein Verfahren zur Übermittlung von Informationen zwischen einem fahrzeugexternen Datenverarbeitungssystem und die Daten nutzenden Systemen in einem Fahrzeug.
-
Aus dem Stand der Technik ist es grundsätzlich bekannt, dass Informationen und Daten zur Steuerung von Funktionen zwischen einem fahrzeugexternen Datenverarbeitungssystem, beispielsweise einem sogenannten Backend-Server, eines Fahrzeugherstellers oder Dienstleisters und Systemen in einem Fahrzeug ausgetauscht werden. Die übermittelten Informationen können dabei verschiedene Inhalte haben und können beispielsweise für die Steuerung und Navigation des Fahrzeugs relevante Informationen, beispielsweise Informationen eines Verkehrsdienstleiters, sein. Diese können beispielsweise Informationen zu Kartendaten in der Umgebung der Fahrzeugposition beinhalten, aber auch aktuelle Informationen, beispielsweise über den Verkehrsfluss, Wetterinformationen oder dergleichen.
-
Die
DE 10 2017 216 936 A1 beschreibt in diesem Zusammenhang ein Sicherheitssystem zur Fahrzeugkommunikation. Auch hier werden Informationen zwischen einem Fahrzeug bzw. in dem Fahrzeug befindlichen Systemen und einem Backend-Server ausgetauscht. Den Kern der Offenlegung bildet dabei ein Verfahren, das letztlich dazu dient, das genaue Fahrziel zu verschleiern, sodass dieses nicht für Dritte zugänglich wird. In der Praxis hat dies den Nachteil, dass bei dem beschriebenen Verfahren, bei dem in der Nähe des Ziels keine Informationen mehr ausgetauscht werden, immer die Gefahr besteht, dass der Nutzer von potenziellen Nachteilen betroffen ist, wenn er sich in der Region nicht auskennt und von seinem Navigationssystem in einer entscheidenden Phase „allein gelassen“ wird.
-
Eine Alternative, um eine entsprechende Sicherheit der übermittelten Daten zu realisieren, kann beispielsweise ein Integritätsschutz und/oder eine Verschlüsselung sein.
-
Solche Maßnahmen zum Integritätsschutz oder zur Verschlüsselung der übertragenen Informationen können sicherstellen, dass die Informationen vertrauenswürdig aus der angegebenen Quelle stammen und nicht manipuliert werden und/oder dass die Informationen bei einer Verschlüsselung nicht durch Dritte eingesehen werden können.
-
Eine Absicherung der übertragenen Informationen zwischen einem fahrzeugexternem Datenverarbeitungssystem und dem Fahrzeug bzw. den im Fahrzeug die Informationen nutzenden Systemen über herkömmliche Internettechniken wie beispielsweise TLS (Transport Layer Security) reichen typischerweise nicht aus, sodass eine Ende-zu-Ende Absicherung der Nachricht von der Quelle bis zum Endverbraucher Im Fahrzeug, also typischerweise einem Steuergerät in dem Fahrzeug, benötigt wird, wenn ein entsprechender Integritätsschutz- und/oder Verschlüsselungsmechanismus zum Einsatz kommen soll. In der Praxis ist es so, dass verschiedene Schutzniveaus über solche Mechanismen realisiert werden können. Je nach Schutzniveau werden die Daten unterschiedlich stark verschlüsselt und/oder mit einem unterschiedlich starken Integritätsschutz versehen. Dies führt dazu, dass bei einem höheren Schutzniveau eine größere Datenmenge übertragen werden muss, da die eingesetzten Schlüssel typischerweise länger sind. In der Praxis führt dies zu einem sehr hohen Datenverbrauch. Um nun nicht alle Informationen mit dem höchsten Schutzniveau verschlüsseln zu müssen und damit den Datenverbrauch „im Rahmen“ zu halten, ist es in der Praxis häufig üblich, hier einen Kompromiss einzugehen. Dies bedeutet jedoch, dass einige der Informationen genau mit dem richtigen Schutzniveau verschlüsselt sind, andere jedoch mit einem zu niedrigen oder auch einem zu hohen Schutzniveau, sodass hier ein Sicherheitsproblem einerseits oder ein unnötig hoher Verbrauch an Transportressourcen zur Übermittlung der Daten andererseits auftritt. Beides ist in der Praxis nachteilig.
-
Die Aufgabe der hier vorliegenden Erfindung besteht nun darin, ein verbessertes Verfahren zur Übermittlung von Informationen zwischen einem fahrzeugexternen Datenverarbeitungssystem und den die Informationen nutzenden Systemen in einem Fahrzeug anzugeben, welches unter Nutzung von Integritätsschutz- und/oder Verschlüsselungsmechanismen eine fallbezogen ausreichend hohe Sicherheit bei minimalem Ressourcenverbrauch gewährleistet.
-
Erfindungsgemäß wird diese Aufgabe durch ein Verfahren mit den Merkmalen im Anspruch 1 gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen des Verfahrens ergeben sich aus den hiervon abhängigen Unteransprüchen.
-
Bei dem erfindungsgemäßen Verfahren ist es so, dass die Integritätsschutz- und/oder Verschlüsselungsmechanismen mit verschiedenem Schutzniveau verwendet werden, wobei das Schutzniveau anhand verschiedener Parameter ausgewählt und/oder angepasst wird. Die entsprechenden Parameter können dabei einen oder mehrere der nachfolgend diskutierten Aspekte umfassen.
-
Dies ist einerseits die Information selbst oder eine Klassifikation der Information. Verschiedene Informationen werden also abhängig von der Information selbst, welche anhand der Information oder insbesondere anhand einer Klassifikation dieser Information abgeschätzt werden kann, entsprechend eingeordnet. Nur „wichtige“ Informationen werden mit hohem Schutzniveau behandelt, relativ „unwichtige“ Informationen, welche im Falle einer potenziellen Manipulation auch kaum Schaden anrichten können, werden ohne oder mit entsprechend niedrigem Schutzniveau übermittelt.
-
Ein weiterer Aspekt, welcher ergänzend oder alternativ hierzu Berücksichtigung finden kann, ist der vorgegebene Nutzen der Information. Dient die Information also beispielsweise dazu etwas anzuzeigen, ist ein niedrigeres Schutzniveau denkbar, als wenn die Information genutzt wird, um in dem Fahrzeug unmittelbar auf eine Aktuatorik zuzugreifen, beispielsweise das Fahrzeug abzubremsen oder es im Rahmen eines Fahrerassistenzsystems zu lenken, zu beschleunigen oder dergleichen.
-
Ferner können Daten des Fahrzeugs selbst bei der Auswahl oder Anpassung des Schutzniveaus berücksichtigt werden. Dies kann beispielsweise der Zustand des Fahrzeugs sein, also befindet sich das Fahrzeug beispielsweise in einem stabilen oder einem instabilen Fahrzustand oder dergleichen. Auch die Umgebung des Fahrzeugs kann hier Berücksichtigung finden, beispielsweise in welcher Verkehrsphase sich das Fahrzeug befindet, also steht dieses im Stau oder schwimmt mit einem fließenden Verkehr entsprechend mit.
-
Ein weiterer Parameter, welcher zur Auswahl und Anpassung des Schutzniveaus genutzt werden kann, ist der Ursprung der Information. Je nach Ursprung der Information kann ein entsprechender Dienst zur Aufbereitung der Information festlegen, wie vertrauenswürdig die Information ist, oder ob Informationen mit dieser Herkunft gegebenenfalls mit einem höheren Risiko einer Manipulation versehen sind. Auch dies kann genutzt werden, um die Weitergabe der Information mit dem entsprechend ausgewählten und/oder angepassten Schutzniveau zu realisieren. Auch das Schutzziel der Information ist ein Parameter, welcher Berücksichtigung finden kann, wenn es um die Anpassung oder Einschätzung des Schutzniveaus geht. Unter einem Schutzziel im Sinne der hier vorliegenden Beschreibung ist dabei zu verstehen, ob beispielsweise die Integrität der Information sichergestellt werden soll, ihre Authentizität, ihre Vertraulichkeit, oder ob es darum geht zu dokumentieren, dass die Information angekommen ist, sodass dieses später nicht abgestritten werden kann, oder dergleichen. All dies kann ebenfalls verwendet werden, um das Schutzniveau entsprechend anzupassen bzw. auszuwählen.
-
Ein weiterer abschließender Aspekt, welcher alternativ oder ergänzend zu den bisherigen Parametern bei der Auswahl oder Anpassung des Schutzniveaus Berücksichtigung finden kann, ist letztlich der Ressourcenverbrauch. Dieser kann insbesondere im Hinblick auf die aktuelle Lage, beispielsweise die aktuell bestehende Kommunikationsverbindung, entsprechend eingeschätzt werden. Ist aufgrund der Verbindung die Übertragung nur mit einem geringeren Schutzniveau als eigentlich gewünscht möglich, kann immer noch entschieden werden, ob dies aufgrund der Relevanz der Information beim bestehenden Ressourcenangebot akzeptabel ist, oder ob die Nachricht bzw. Information, bevor sie auf zu wenig gesichertem Weg übertragen wird, eher gar nicht übertragen werden soll, wenn die aktuellen Ressourcen dies eben nicht hergeben.
-
Eine sehr vorteilhafte Weiterbildung des erfindungsgemäßen Verfahrens sieht es vor, dass die Integritätsschutz- und/oder Verschlüsselungsmechanismen in den Kategorien eines leichten, mittleren und hohen Schutzniveaus sowie keines Schutzniveaus verwendet werden. Diese einfache Kategorisierung in drei verschiedene Schutzniveaus, sowie den gänzlichen Verzicht auf einen Schutz, reicht in der Praxis typischerweise aus, um einerseits eine ausreichend abgesicherte Kommunikation zu gewährleisten, sofern dies notwendig ist, und andererseits den Verbrauch von Ressourcen bestmöglichst zu minimieren. Beispielhafte Zuordnungen für Integritätsschutz-Mechanismen zum Schutzniveau könnten bei einem leichten Schutzniveau ein symmetrischer Integritätsschutz (z.B. HMAC) mit einem schnellen aber eher wenig sicheren Hashverfahren (z.B. SHA-1) und einem gemeinsamen symmetrischen Schlüssel, einem sogenannten Shared Key, sein. Ein Beispiel für ein mittleres Schutzniveau könnte ein asymmetrischer Integritätsschutz (z.B. ECC) mit einem kurzen Schlüssel, beispielsweise Brainpool 160 bit, sein. Ein hoher Integritätsschutz könnte ein vergleichbarer asymmetrischer Integritätsschutz mit einem entsprechend längeren Schlüssel, beispielsweise Brainpool 265 bit, sein.
-
Eine sehr günstige Ausgestaltung des erfindungsgemäßen Verfahrens sieht es ferner vor, dass für Informationen, welche Assistenzfunktionen des Fahrzeugs betreffen, in allen Fällen ein hohes Schutzniveau vorgegeben wird. Diese Informationen, welche unmittelbar in die Assistenzfunktionen des Fahrzeugs eingreifen und das Fahrzeug beispielsweise lenken, beschleunigen, abbremsen, zum Stillstand bringen oder dergleichen sind immer mit dem höchsten Schutzniveau zu versehen, da im Falle einer Manipulation dieser Daten die entscheidende Gefahr besteht, dass die Assistenzsysteme des Fahrzeugs Funktionen ausführen, welche die Sicherheit des Fahrzeugs und der darin befindlichen Personen beeinträchtigen, sodass bei derartigen Informationen immer das höchste verfügbare Schutzniveau vorgegeben wird.
-
Um sich nun auch fahrzeugseitig gegen eine eventuelle Manipulation zu wappnen, kann es gemäß einer sehr vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens vorgesehen sein, dass die fahrzeuginternen Systeme alle Informationen, welche ein Schutzniveau aufweisen, das geringer ist als es entsprechend der Vorgaben sein müsste, verworfen werden. Das Fahrzeug akzeptiert letztlich also nur Informationen, welche dem vorgegebenen und in der aktuellen Situation für die Information zu erwartenden Schutzniveau entsprechen, um so zu gewährlisten, dass potenziell manipulierte Daten oder Daten mit zu geringem Schutzniveau, sodass eine potenzielle Manipulation grundsätzlich denkbar wäre, nicht verwendet werden. Eine sehr vorteilhafte Weiterbildung dieser Idee sieht es dabei vor, dass eine Rückmeldung des Fahrzeugs bzw. seiner Systeme an das fahrzeugexterne Datenverarbeitungssystem über verworfene Informationen erfolgt, sodass über eine entsprechende Auswertung des externen Datenverarbeitungssystems eine potenzielle Manipulation oder die Gefahr einer solchen frühzeitig erkannt werden kann.
-
Gemäß einer weiteren sehr vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist es außerdem vorgesehen, dass von einem Informationsanbieter vorgegebene Einstufungen bei der Auswahl und/oder Anpassung des Schutzniveaus berücksichtigt werden. Gibt ein Informationsanbieter, beispielsweise der Anbieter von Verkehrsinformationen, eine entsprechende Kategorisierung vor, beispielsweise eine Eilmeldung, dann kann diese mit einem entsprechend höheren Schutzniveau versehen werden als eine normale Verkehrsmeldung. Damit ist beispielsweise sichergestellt, dass vor einem Unfall, vor Gegenständen auf der Fahrbahn oder einem Geisterfahrer mit entsprechend höherem Schutzniveau gewarnt wird, als z.B. vor stockendem Verkehr auf einer durch ein Navigationssystem des Fahrzeugs ausgewählten Strecke.
-
Die Parameter aus dem Umfeld des Fahrzeugs, welche unter anderem zur Anpassung und Auswahl des Schutzniveaus berücksichtigt werden können, sind gemäß einer sehr vorteilhaften Weiterbildung des Verfahrens über Umfeldsensoren des Fahrzeugs in der direkten Umgebung des Fahrzeugs erfasste Umgebungsdaten. Sie umfassen ferner in größerer räumlicher Entfernung von dem Fahrzeug, also in einer größeren Entfernung als von den Umfeldsensoren typischerweise erfasst werden kann, vorliegende Umgebungsdaten, welche anhand der übermittelten Informationen generiert werden. So kann beispielsweise die Verkehrssituation in der direkten Umgebung des Fahrzeugs über Umfeldsensoren erfasst und über den Kommunikationsweg an das zentrale fahrzeugexterne Datenverarbeitungssystem weitergegeben werden, um hier entsprechend Einfluss auf das Schutzniveau zu nehmen. Ferner können weitere in der Umgebung vorliegende Informationen, welche jedoch von den Umfeldsensoren nicht zu erfassen sind, beispielsweise ein Stau, welcher das Fahrzeug nach wenigen Kilometern Fahrt erwarten wird, Berücksichtigung finden.
-
Eine weitere sehr günstige Ausgestaltung des erfindungsgemäßen Verfahrens sieht es vor, dass Ereignisse in der Umgebung in größerer räumlicher Entfernung anhand des räumlichen und/oder zeitlichen Abstandes des Fahrzeugs zu dem Ereignis bezüglich ihres Einflusses auf das Schutzniveau bewertet werden. Handelt es sich bei einem solchen Ereignis beispielsweise um die Information über einen Geisterfahrer auf der Strecke, welche das Fahrzeug zurücklegt, so ist es entscheidend, ob dieser sich relativ dicht vor dem Fahrzeug, also beispielsweise im Bereich von weniger als 5 Kilometern oder beispielsweise 5 Minuten Fahrt im Abstand zu dem Fahrzeug befindet, oder in einer größeren Entfernung von beispielsweise 50 Kilometern oder 30 Minuten Fahrt. Je nachdem, wie diese relative räumliche und/oder zeitliche Einordnung des Fahrzeugs und des Ereignisses zueinander erfolgt, muss ein entsprechend anderes Schutzniveau verwendet werden, um die Daten sicher, zuverlässig und integer in dem Fahrzeug bereitstellen zu können.
-
Eine außerordentlich günstige Weiterbildung des erfindungsgemäßen Verfahrens sieht es ferner vor, dass die für die jeweiligen Übertragungen der Informationen eingesetzten Schutzniveaus in dem fahrzeugexternen Datenverarbeitungssystem gespeichert und zumindest hinsichtlich des Auftretens einer zeitlichen und/oder räumlichen Häufung ausgewertet werden, um die Anpassung und Zuordnung entsprechend zu verbessern. Ein einfaches Beispiel könnte hier die Tatsache sein, dass verschiedene Fahrzeuge vor einem bestimmten Ereignis gewarnt werden. Überproportional viele Fahrzeuge werden auf dem höchsten Schutzniveau gewarnt, weil sie sich relativ dicht an dem Ereignis befinden, während sehr wenige Fahrzeuge auf einem mittleren Schutzniveau gewarnt werden, weil sie entsprechend weiter von dem entsprechenden Ereignis beabstandet sind. Gegebenenfalls kann sich aus der statistischen Auswertung jedoch zeigen, dass die Grenze, bei welcher zwischen dem hohen und dem mittleren Schutzniveau „umgeschaltet“ wird, ungünstig liegt und somit ein unnötig hoher Ressourcenverbrauch vorliegt. Ein Fahrzeug, das bereits zwei Kilometer vom Unfall entfernt im Stau steht, muss z.B. nicht mehr auf höchstem Schutzniveau vor dem Unfall gewarnt werden. Über eine entsprechende Anpassung der Grenze anhand der statistischen Daten, welche zurückgemeldet und in der fahrzeugexternen, typischerweise zentralen Datenverarbeitung ausgewertet werden, lässt sich so die Zuordnung und Anpassung der Schutzniveaus optimieren.
-
Das erfindungsgemäße Verfahren ist für unterschiedliche Arten von Daten und Informationen, welche übertragen werden sollen, geeignet. Es eignet sich insbesondere für das Übertragen von Informationen eines Verkehrsdienstes und wäre damit vorzugsweise, nicht jedoch einschränkend, im Bereich der Navigationssysteme und der dynamischen Übertragung von Verkehrsinformationen angesiedelt.
-
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens ergeben sich auch aus dem Ausführungsbeispiel, welches nachfolgend unter Bezugnahme auf die Figuren exemplarisch beschrieben ist.
-
Dabei zeigen:
- 1 ein schematisches Szenario mit einem Fahrzeug und einem fahrzeugexternen Datenverarbeitungssystem, welches hier beispielhaft als Cloud dargestellt ist; und
- 2 eine schematische Darstellung beispielhafter Abläufe zur Festlegung des Schutzniveaus (SN) in dem fahrzeugexternen Datenverarbeitungssystem.
-
In der Darstellung der 1 ist in einer exemplarischen Darstellung ein Fahrzeug 1 zu erkennen, in welchem verschiedene Systeme 2 vorhanden sind, die Informationen nutzen, welche über einen Empfänger 3 und eine Kommunikationsverbindung 4 von einem hier beispielhaft als Cloud dargestellten fahrzeugexternen Datenverarbeitungssystem 5 stammen. In der Praxis ist es dabei so, dass eine pauschale Absicherung der Kommunikationsverbindung 4, wie es beim Internet üblich ist, beispielsweise über TLS (früher SSL) typischerweise nicht ausreicht. Vielmehr müssen die Informationen über eine Ende-zu-Ende-Absicherung von der Quelle der Information bis hin zu dem System 2 in dem Fahrzeug 1 als eine Art „Endverbraucher“ der Information abgesichert werden. Nun ist es grundlegend bekannt, dass für eine solche Absicherung verschiedene Integritätsschutz- und/oder Verschlüsselungsmechanismen zur Verfügung stehen. Diese sind mit unterschiedlichen Schutzniveaus verfügbar. Man spricht in diesem Zusammenhang auch von unterschiedlich starken Security-Mechanismen, mit welchen die Informationen entsprechend geschützt werden. Neben dem unterschiedlichen technischen Aufwand, welchen diese unterschiedlichen Schutzniveaus verursachen, sind diese auch verschieden performant und verbrauchen unterschiedlich viele Ressourcen ihrer Endgeräte. Ferner ist es so, dass sie aufgrund der unterschiedlichen Länge der übermittelten Nachrichten unterschiedliche Ressourcen bei der Kommunikation verbrauchen und damit die Kommunikationsverbindung 4 unterschiedlich stark belasten, was einerseits deren Bandbreite einschränken kann und andererseits mit den entsprechenden Kosten für die Übertragung der jeweiligen Informationen einhergeht.
-
Häufig ist es jedoch so, dass unterschiedliche Informationen mit unterschiedlich hoher Bedeutung für die Systeme 2 in dem Fahrzeug 1 vorliegen. Bei dynamischen Informationsdiensten wie beispielsweise einem Verkehrsdienst liegen Meldungen und Informationen immer mit unterschiedlicher Bedeutung für das jeweilige Fahrzeug 1 bzw. einem in dem Fahrzeug 1 befindlichen System 2, beispielsweise ein Navigationssystem, vor. Diese können beispielsweise basierend auf der sogenannten Drei-Phasen-Verkehrstheorie, welche Professor Boris Kerner begründet hat, mit unterschiedlichen Bedeutungen vorliegen. Dies können Meldungen über freien Verkehr, sogenannten synchronisierten Verkehr oder ein sich bewegender breiter Stau sei. Der freie Verkehr ist dabei so definiert, dass Fahrer von Fahrzeugen ihre Geschwindigkeit überwiegend frei wählen können. Im gestauten Verkehr ist eben dies nicht mehr möglich. Im synchronisierten Verkehr ergibt sich dennoch eine weitgehend stillstandsfreie Bewegung, typischerweise jedoch mit einer Geschwindigkeit, welche langsamer als die gewünschte Geschwindigkeit ist. Im sich bewegenden breiten Stau kommt es darüber hinaus zu einzelnen Stillstandsphasen. All dies lässt sich in den entsprechenden Veröffentlichungen und Unterlagen zur Drei-Phasen-Theorie entnehmen und ist hier lediglich von erläuternder Bedeutung.
-
Um nun beispielsweise bei solchen Informationen sicherzustellen, dass die Informationen über den Verkehrsfluss oder auch viele andere Informationen, beispielsweise über Baustellen, Sperrungen, Geisterfahrer, Gefahrenstellen oder dergleichen, mit dem für sie sinnvollen Schutzbedarf ausreichend geschützt und dennoch ressourcenschonend verarbeitet übertragen werden können, wird nun eine entsprechende Bewertung vorgenommen. Dies verhindert, dass einerseits der Ressourcenverbrauch zu groß wird, weil zu unwichtige Informationen mit einem zu hohen Schutzniveau versehen werden, während es jedoch auch verhindert, dass entsprechend kritische Nachrichten mit zu schwachen Security-Mechanismen versehen werden und damit entsprechend einfach auslesbar und insbesondere manipulierbar wären.
-
Im Nachfolgenden wird beispielhaft wieder von drei Integritätsschutz- und/oder Verschlüsselungsmechanismen mit leichtem, mittlerem und hohem Schutzniveau ausgegangen, wofür auf die oben schon beschriebenen Beispiele des symmetrischen Integritätsschutzes sowie des asymmetrischen Integritätsschutzes mit unterschiedlich langen Schlüsseln hingewiesen werden kann. Diese Beispiele sind dabei lediglich exemplarisch und nicht einschränkend zu verstehen.
-
In der Darstellung der 2 ist das fahrzeugexterne zentrale beispielsweise als Cloud ausgebildete Datenverarbeitungssystem 5 nochmals dargestellt. Diesem fließen verschiedene Informationen von einem oder mehreren Informationsdienstleistern, die beispielsweise von Verkehrsdienstanbietern stammen, zu. Diese dem Datenverarbeitungssystem 5 zufließenden Informationen sind rein beispielhaft durch die mit dem Bezugszeichen 6, 7 und 8 bezeichneten Pfeile angedeutet. Die Informationen 6, 7, 8 gelangen in ein Eingangsmodul 9 des Datenverarbeitungssystems 5. Sie werden dort beispielsweise miteinander kombiniert, sofern dies notwendig ist, und entsprechend gefiltert. Sie werden ferner mit entsprechenden Parametern, welche sich entweder aus den Informationen, der Quelle der Informationen, der potenziellen Nutzung der Informationen in dem Fahrzeug 1 oder auch aus Daten des Fahrzeugs 1 ergeben, versehen. Das Fahrzeug 1 steht dabei über die Kommunikationsverbindung 4 in bidirektionalem Kontakt mit dem Datenverarbeitungssystem 5, sodass aus dem Fahrzeug stammende Informationen über ein Auswertemodul 10 bei Bedarf an das Eingangsmodul 9 weitergereicht werden können. Über das Eingangsmodul 9 gelangen die Daten zu einer angedeuteten Bewertungseinheit, in welcher sie entsprechend eines oder mehreren Parametern bewertet werden, um verkehrsphasenabhängig, meldungsabhängig oder nutzungsabhängig ein geeignetes Schutzniveau (SN) festzulegen, mit welchem die Verarbeitung und Übermittlung der Daten über die Kommunikationsverbindung 4 von dem Datenverarbeitungssystem 5 an das Fahrzeug 1 bzw. seine Systeme 2 erfolgen soll. Die Schutzniveaus werden dabei, wie oben bereits erläutert, in ein leichtes, ein mittleres und ein hohes Schutzniveau eingeteilt.
-
Wird beispielsweise von einem Verkehrsdienstleister für die über ein Navigationssystem als eines der Systeme 2 des Fahrzeugs 1 geplante Route freier Verkehr signalisiert, dann ist diese Information nicht besonders hoch hinsichtlich des Schutzbedarfs einzuschätzen, da auch im Falle einer Manipulation dieser Information kaum ein Sicherheitsrisiko zu erwarten ist. Die Rückfrage, ob ein Schutz überhaupt erforderlich ist, lässt sich für eine solche Situation also mit nein beantworten, sodass die Information ohne weitere Mechanismen zur Verschlüsselung und/oder zum Integritätsschutz über die Kommunikationsverbindung 4 an das Fahrzeug 1 übertragen wird. Eine solche Verkehrsphase des freien Verkehrs lässt sich dann beispielsweise in einem Navigationssystem des Fahrzeugs durch eine geeignete Meldung, beispielsweise eine grüne Farbgebung, entsprechend darstellen.
-
Ein weiteres Beispiel wäre eine Information über eine Verkehrsphase des synchronisierten Verkehrs, welche in dem Fahrzeug analog zu den eben gemachten Ausführungen beispielsweise mit einer gelben Farbe angezeigt werden könnte. Da sie einen gewissen Einfluss auf die Ankunftszeit und die Routenwahl hat, kann bei dieser Information beispielsweise ein leichtes Schutzniveau vorgesehen sein. Die Frage, ob ein Schutz erforderlich ist, würde demnach mit ja beantwortet. Die Frage, ob ein leichtes Schutzniveau ausreicht, wird ebenfalls mit ja beantwortet. Der Information wird dann ein leichtes Schutzniveau zugewiesen und bei der Übermittlung der Informationen über den Kommunikationsweg 4 von dem zentralen Datenverarbeitungssystem 5 zu dem Fahrzeug 1 bzw. seinen Systemen 2 wird dies entsprechend angewendet, beispielsweise indem ein symmetrischer Integritätsschutz mit schnellem Hash-Verfahren und gemeinsamen symmetrischen Schlüssel zum Einsatz kommt.
-
Ein weiteres Beispiel wäre die Verkehrsphase eines sich bewegenden breiten Staus. Analog zu den bisherigen Ausführungen könnte diese im Fahrzeug 1 beispielsweise über die Farbe Rot visualisiert werden. Sie hat in jedem Fall Einfluss auf die Ankunftszeit und Routenwahl und dient als aktive Warnung für einen Fahrer des Fahrzeugs oder für entsprechende Systeme innerhalb des Fahrzeugs. Dementsprechend würde ihr ein mittleres Schutzniveau zugewiesen, also beispielsweise ein asymmetrischer Integritätsschutz mit kurzem Schlüssel. Dem Flussdiagramm in der 2 folgend würde hier also die Frage, ob ein leichtes Schutzniveau ausreichend ist, ebenfalls mit nein beantwortet. Damit wäre dann jedoch ein mittleres Schutzniveau ausreichend, sodass dieses entsprechend zugewiesen wird.
-
Reicht auch ein solches mittleres Schutzniveau nicht aus, was insbesondere für Meldungen und Informationen gilt, welche zur Anpassung einer Assistenzfunktion im Fahrzeug führen, also beispielsweise wenn eine Staumeldung auf der Route einen Bremseingriff auslösen kann, würden diese dementsprechend mit einem hohen Schutzniveau versehen. Vergleichbares gilt für Informationen beispielsweise über Geisterfahrer oder unmittelbare Gefahrenstellen wie beispielsweise Personen auf der Fahrbahn, Steinewerfer auf einer Brücke oder dergleichen. In diesem Fall würde entsprechend der Auswahl in 2 die Frage, ob ein mittleres Schutzniveau ausreichend ist, mit nein beantwortet, sodass in diesem Fall ein hohes Schutzniveau zugewiesen und für die Verarbeitung und die Übertragung der Daten über den Kommunikationsweg 4 entsprechend genutzt wird.
-
Dabei kann für die Informationen ein zeitlich-räumlich eingeschränktes Schutzniveau vorgegeben werden, sodass beispielsweise vor einem Stau oder einem Geisterfahrer nur die Fahrzeuge in einer Umgebung von beispielsweise 10 Kilometern oder einer Fahrzeit von 5 Minuten oder weniger gewarnt werden. Die Grenzen lassen sich dabei beispielsweise anhand des Ereignisses und/oder anhand der Position der Fahrzeuge und/oder ihrer geplanten Routen einstufen. Ferner ist es so, dass auch Zusätze, welche von dem Informationsanbieter, beispielsweise einem Verkehrsdienstanbieter, zusätzlich zu der eigentlichen Information erhältlich sind, genutzt werden können. Dies können insbesondere Gefahrenstufen sein, welche beispielsweise Verkehrsmeldungen in verschiedene Gefahrenstufen einordnen. So sind Geisterfahrer oder Warnmeldungen als Eilmeldungen entsprechend höher kategorisiert als beispielsweise eine Angabe über einen Stau oder stockenden Verkehr. Auch dies kann genutzt werden, um neben vielen anderen Faktoren Einfluss darauf zu nehmen, wie das Schutzniveau für die entsprechende Information bei der Übertragung angepasst wird.
-
Ferner können alle Meldungen, welche als Informationen 6, 7, 8 in dem zentralen Datenverarbeitungssystem 5 zusammengeführt werden, hinsichtlich des Ursprungs der Information bzw. Meldung eingestuft werden. So kann beispielsweise kein besonderes Schutzniveau für nutzergenerierte Meldungen festgelegt werden oder es können für Meldungen aus besonders vertrauenswürdigen Kommunikationsquellen entsprechend höhere Schutzniveaus realisiert werden.
-
Auch die Schutzziele, also je nachdem, was durch den Schutz sichergestellt werden soll, können entsprechend adaptiert werden, um das Schutzniveau anzupassen. Soll die Information also integer sein, soll ihre Authentizität, ihre Vertraulichkeit, ihre Nichtabstreitbarkeit oder dergleichen festgestellt werden können, dann kann dies auf das Schutzniveau entsprechend Einfluss haben. Selbstverständlich kann auch die Information selbst bzw. ihre geplante Nutzung Einfluss finden. Über die Rückmeldung und das Auswertemodul 10 kann außerdem ein Zustand des Fahrzeugs, beispielsweise ob dieses sich in einer stabilen oder instabilen Fahrsituation befindet, entsprechend Berücksichtigung finden, um das Schutzniveau zur Übertragung der Information anzupassen. Vergleichbares gilt für die Umgebung des Fahrzeugs, welche in der unmittelbaren Umgebung von dem Fahrzeug bzw. seinen Umgebungssensoren selbst erfasst werden kann, oder welche entsprechend aus Daten von anderen Fahrzeugen und/oder Verkehrsdaten ermittelt werden könnte.
-
Eine weitere Möglichkeit besteht nun darin, dass das Fahrzeug 1 bzw. sein Empfangsmodul 3 oder eines seiner Systeme 2 sich selbst schützen, indem alle nicht entsprechend der erwarteten Vorgaben signierten und verschlüsselten Meldungen, also alle Meldungen, die nicht dem erwarteten Schutzniveau entsprechen, verworfen werden. Über eine Mitteilung an das fahrzeugexterne Datenverarbeitungssystem 5 wird in dem Auswertemodul 10 hierüber eine statistische Auswertung ermöglicht, welche beispielsweise frühzeitig die potenzielle Manipulation von Informationen im größeren Umfang erkennen kann und somit Gegenmaßnahmen ermöglicht.
-
Eine weitere Möglichkeit das Auswertemodul 10 zu nutzen, besteht beispielsweise darin, dass eine Auswertung über alle eingesetzten Schutzniveaus erfolgt, welche für alle Fahrzeuge entsprechend gespeichert und ausgewertet werden kann. Dies kann dabei insbesondere nach zeitlich-räumlichen Häufungspunkten für das entsprechende Schutzniveau analysiert werden, insbesondere mit dem Ziel, die Anpassung und Zuordnung der Schutzniveaus entsprechend zu verbessern und damit noch besser mit den vorhandenen Ressourcen sowohl im Fahrzeug 1 als auch bei der Kommunikationsverbindung 4 und letztlich auch im Bereich des zentralen Datenverarbeitungssystems 5, beispielsweise eines Backend-Servers des Fahrzeugherstellers, umgehen zu können.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102017216936 A1 [0003]