DE102019101120A1 - System und Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug - Google Patents

System und Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug Download PDF

Info

Publication number
DE102019101120A1
DE102019101120A1 DE102019101120.5A DE102019101120A DE102019101120A1 DE 102019101120 A1 DE102019101120 A1 DE 102019101120A1 DE 102019101120 A DE102019101120 A DE 102019101120A DE 102019101120 A1 DE102019101120 A1 DE 102019101120A1
Authority
DE
Germany
Prior art keywords
vehicle
key
electronic device
identifier
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019101120.5A
Other languages
English (en)
Inventor
Sven Hofmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102019101120.5A priority Critical patent/DE102019101120A1/de
Priority to US17/423,805 priority patent/US20220094676A1/en
Priority to PCT/DE2019/101069 priority patent/WO2020147875A1/de
Priority to CN201980088338.8A priority patent/CN113302892B/zh
Publication of DE102019101120A1 publication Critical patent/DE102019101120A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Abstract

Die vorliegende Offenbarung betrifft ein System zum Verwalten einer Berechtigung für ein Fahrzeug, umfassend: ein fahrzeugseitiges Speichermodul mit einer Schlüsselliste, die eine Vielzahl von Einträgen für eine Vielzahl von digitalen Schlüsseln enthält, die mittels einer ersten elektronischen Vorrichtung an einzelne Nutzer vergebbar sind, wobei jeder digitale Schlüssel eine Fahrzeugberechtigung für einen Nutzer darstellt, und wobei jedem Eintrag in der Schlüsselliste ein einmaliger Identifikator zugeordnet ist; und ein Kommunikationsmodul, das eingerichtet ist, um wenigstens einen Identifikator, der einem nicht-vergebenen Eintrag zugeordnet ist, vom Fahrzeug an die erste elektronische Vorrichtung zu übertragen.

Description

  • Die vorliegende Offenbarung betrifft ein System und ein Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug, insbesondere ein Kraftfahrzeug. Die vorliegende Offenbarung betrifft insbesondere die sichere Vergabe von Zugangs- und/oder Motorstartberechtigungen an eine Vielzahl von Nutzern.
  • Stand der Technik
  • Mobile Identifikationsgeber können eingesetzt werden, um Fahrzeuge kontaktlos zu Entriegeln und dem Benutzer des Identifikationsgebers damit Zugang zum Fahrzeug zu verschaffen. Im Allgemeinen werden Systeme eingesetzt, bei denen Authentifizierungsdaten drahtlos übertragen werden. Im Falle einer positiven Authentifizierung durch das Fahrzeug erfolgt die automatische Entriegelung der Türen und/oder des Kofferraums. Zudem kann ein Motorstart autorisiert bzw. ermöglicht werden.
  • Als mobile Identifikationsgeber können mobile Endgeräte wie Smartphones eingesetzt werden. Zum Beispiel kann der Fahrzeugbesitzer auf seinem mobilen Endgerät (auch als „Eigen-Endgerät“ oder „Owner Device“ bezeichnet) digitale Schlüssel an die mobilen Endgeräte anderer Nutzer (auch als „Fremd-Endgerät“ oder „Friend Device“ bezeichnet) weitergeben. Durch eine Synchronisierung zwischen dem Eigen-Endgerät des Fahrzeugbesitzers und dem Fahrzeug gelangen Information über einen neu ausgestellten Schlüssel und entzogene Schlüssel an das Fahrzeug. Hier kann es jedoch vorkommen, dass die mobilen Endgeräte einen anderen Stand der Berechtigungen haben als das Fahrzeug.
  • Insbesondere kann das Fremd-Endgerät einen digitalen Schlüssel vom Fahrzeugbesitzer erhalten und das Fahrzeug wird durch ein Datenpaket darüber informiert. Zudem kann der Fahrzeugbesitzer einem Fremd-Endgerät die Berechtigung entziehen und das Fahrzeug wird entsprechend informiert, woraufhin die Berechtigung im Fahrzeug gelöscht wird. Im Fall einer fehlenden Synchronisation kann es nun durch Zufall oder durch einen gezielten Angriff dazu kommen, dass mit Hilfe des erwähnten Datenpakets erneut eine ungewollte Zugangsberechtigung für das Fremd-Endgerät am Fahrzeug erwirkt wird.
  • Um diese Probleme zu vermeiden können Revokationslisten verwendet werden. Das Fahrzeug müsste in diesem Falle die Historie aller gelöschten Schlüssel persistieren. Soll ein neuer Schlüssel registriert werden, müsste ein Abgleich mit dieser Liste stattfinden. So wird geprüft, dass der vermeintlich neue Schlüssel nicht schon einmal entzogen wurde. Die Revokationsliste können aufgrund von begrenztem (sicheren) Speicherplatz im Fahrzeugsteuergerät jedoch nicht robust umgesetzt werden.
  • Offenbarung der Erfindung
  • Es ist eine Aufgabe der vorliegenden Offenbarung, ein System und ein Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug, insbesondere ein Kraftfahrzeug, bereitzustellen, die eine Vergabe von Zugangsberechtigungen an eine Vielzahl von Nutzer ermöglichen. Insbesondere ist es eine Aufgabe der vorliegenden Offenbarung, eine sichere und ressourcensparende Verwaltung von Zugangs- und/oder Motorstartberechtigungen zu einem Fahrzeug zu ermöglichen.
  • Diese Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen sind in den Unteransprüchen angegeben.
  • Gemäß einem unabhängigen Aspekt der vorliegenden Offenbarung ist ein System zum Verwalten einer Berechtigung für ein Fahrzeug angegeben. Die Berechtigung kann einen Zugang zum Fahrzeug und/oder eine Motorstartfreigabe betreffen. Das System umfasst ein fahrzeugseitiges Speichermodul mit einer Schlüsselliste, die eine Vielzahl von Einträgen für eine Vielzahl von digitalen Schlüsseln enthält, die mittels einer ersten (externen) elektronischen Vorrichtung („Eigen-Endgerät“) an einzelne Nutzer vergebbar sind, wobei jeder digitale Schlüssel eine Fahrzeugberechtigung für einen Nutzer darstellt (z.B. eine Zugangsberechtigung und/oder eine Motorstartberechtigung), und wobei jedem Eintrag in der Schlüsselliste ein einmaliger Identifikator zugeordnet ist; und ein Kommunikationsmodul, das eingerichtet ist, um wenigstens einen einmaligen Identifikator, der einem nicht-vergebenen Eintrag zugeordnet ist (also einem Eintrag, der noch keinen Schlüssel für einen bestimmten Nutzer enthält), vom Fahrzeug an die erste elektronische Vorrichtung zu übertragen. Vorzugsweise ist der einmalige Identifikator eine 2-Byte-Variable.
  • Erfindungsgemäß sind gültige digitale Schlüssel („Keys“) in einer Schlüsselliste mit einer begrenzten Anzahl von Einträgen im Fahrzeug gespeichert, die für entsprechende Nutzer einen Zugang und/oder einen Motorstart ermöglichen. Jeder Eintrag der Schlüsselliste kann dabei von Anfang an existieren und leer sein, wenn der Eintrag noch nicht genutzt wird bzw. noch keinem Nutzer zugeteilt ist. Jedem Eintrag in der Schlüsselliste ist ein einmalig in der Schlüsselliste vorhandener Identifikator („Key-Slot“) als Variable zugeordnet. Anders gesagt ist kein Identifikator mehr als einem Eintrag bzw. digitalen Schlüssel zugeordnet.
  • Um nun eine Berechtigung zum Beispiel an einen Freund weiterzugeben, empfängt die erste elektronische Vorrichtung (z.B. das Eigen-Endgerät bzw. Owner Device) zunächst vom Fahrzeug einen Identifikator, der für einen „leeren“ Eintrag in der Schlüsselliste des Fahrzeugs steht. Die erste elektronische Vorrichtung kann den „leeren“ Identifikator an eine zweite elektronische Vorrichtung (z.B. das Fremd-Endgerät bzw. Friend Device) weitergeben, die den digitalen Schlüssel zum Beispiel mittels asymmetrischer Verschlüsselung erzeugen kann. Dem erzeugten digitalen Schlüssel wird der Identifikator zugewiesen. Die zweite elektronische Vorrichtung überträgt zumindest einen Teil des erzeugten digitalen Schlüssels (z.B. den Public Key) an die erste elektronische Vorrichtung, die wiederum ein Datenpaket an das Fahrzeug überträgt. Das an das Fahrzeug übertragene Datenpaket kann den digitalen Schlüssel (z.B. den Public Key), den Identifikator und optional Definitionen der Berechtigungen enthalten.
  • Damit wird ein „Comfort Access“ oder „Passive Entry“ bereitgestellt, der einen komfortablen Zugang zum Fahrzeug zum Beispiel mittels eines mobilen Endgeräts ermöglicht. Das mobile Endgerät, das das Eigen-Endgerät oder das Fremd-Endgerät sein kann, speichert den digitalen Schlüssel zum Beispiel nachdem es den digitalen Schlüssel für einen einmaligen Identifikators erzeugt hat. Wenn vom mobilen Endgerät ein Datenpaket mit dem digitalen Schlüssel an das Fahrzeug übertragen wird, kann das Fahrzeug die Integrität des Datenpakets (z.B. Signatur, Verschlüsselung) prüfen und den Schlüssel, wie zum Beispiel den Public Key, zuzüglich definierter Berechtigungen in den korrespondierenden Eintrag (bzw. Key-Slot) in der Schlüsselliste einfügen. Dem mobilen Endgerät können ab diesem Zeitpunkt die zum Beispiel vom Eigentümer bestimmten Berechtigungen gewährt werden.
  • In einigen Ausführungsformen kann ein Datenpaket, das zu Beginn vom Fahrzeug an das Eigen-Endgerät übertragen wird, den einmaligen Identifikator enthalten. Insbesondere kann das Datenpaket, das vom Fahrzeug an das Eigen-Endgerät übertragen wird, den einmaligen Identifikator aber nicht den digitalen Schlüssel enthalten. Die vorliegende Offenbarung ist jedoch nicht hierauf begrenzt und in der fahrzeugseitigen Schlüsselliste können vorab digitale Schlüssel gespeichert sein, die zusammen mit dem Identifikator übertragen werden können. Optional kann das Datenpaket weiter einen Index des Eintrags (d.h. eine Position oder Zeile in der Schlüsselliste) umfassen.
  • Das Fahrzeug und die erste elektronische Vorrichtung können direkt oder indirekt miteinander kommunizieren. Die direkte Kommunikation ist unmittelbar, d.h. es sind keine weiteren Einheiten zwischengeschaltet. Die indirekte Kommunikation ist mittelbar, d.h. es ist wenigstens eine weitere Einheit zwischengeschaltet, wie zum Beispiel ein Backend oder das Fremd-Endgerät. Vorzugsweise können das Fahrzeug und die erste elektronische Vorrichtung über Bluetooth oder NFC (Near Field Communication) kommunizieren. Ähnlich kann das Eigen-Endgerät ein Datenpaket mit dem einmaligen Identifikator an das Fremd-Endgerät zum Beispiel über Bluetooth, NFC (Near Field Communication) oder das Internet (z.B. durch Messenger-Dienste, Email, usw.) übertragen.
  • Wird vom Eigen-Endgerät oder Fremd-Endgerät ein Datenpaket mit einem gültigen digitalen Schlüssel an das Fahrzeug gesendet und der digitale Schlüssel dort erkannt, erteilt das System die Erlaubnis das Auto zu öffnen und/oder den Motor zu starten. Ein gültiger digitaler Schlüssel liegt insbesondere dann vor, wenn ein Eintrag in der im Fahrzeug gespeicherten Schlüsselliste mit dem Identifikator des empfangenen digitalen Schlüssels vorhanden ist. Wenn der Identifikator des empfangenen digitalen Schlüssels nicht vorhanden ist, kann oder muss der Zugang verweigert werden.
  • Der digitale Schlüssel, der auch als „virtueller Schlüssel“ bezeichnet werden kann, kann jeder geeignete im Wesentlichen fälschungssichere Schlüssel sein, der digital erzeugt und mit Datenübertragung zwischen zwei elektronischen Einheiten zum Beispiel mittels NFC-Technologie übertragen werden kann. Insbesondere kann eine asymmetrische Verschlüsselung mit einem Secret Key und einem Public Key verwendet werden.
  • Vorzugsweise kann das System ein Counter-Modul umfassen, das eingerichtet ist, um die Identifikatoren für die Einträge in der Schlüsselliste bzw. digitalen Schlüssel fortlaufend zu erzeugen. Beispielsweise können die Identifikatoren Variablen sein, die auf eine monotone Weise durch das Counter-Modul erhöht werden. Insbesondere kann bei Erstellung eines neuen Identifikators sichergestellt werden, dass der neue Identifikator der höchste Identifikator in der Schlüsselliste im Fahrzeug ist. Damit ist jeder Identifikator im Kontext des Fahrzeugs einzigartig und wird nur ein einziges Mal zugeordnet. Hierdurch können zum Beispiel Speicherressourcen gespart werden, da eine begrenzte Anzahl an Einträgen in der Schlüsselliste für eine sichere Zugangsverwaltung ausreichend ist. Beispielsweise kann die im Fahrzeug gespeicherte Schlüsselliste 100 Einträge (bzw. digitale Schlüssel) oder weniger, 50 Einträge (bzw. digitale Schlüssel) oder weniger, oder sogar 20 Einträge (bzw. digitale Schlüssel) oder weniger enthalten.
  • Vorzugsweise kann der Counter rückgesetzt werden, beispielsweise bei einem Besitzerwechsel des Fahrzeugs. Damit können die Identifikatoren wieder von vorne beginnend erzeugt werden. Hierdurch kann zum Beispiel ein Überlaufen des Counters nach längerem und/oder intensivem Gebrauch verhindert werden.
  • Die vorliegende Offenbarung ist jedoch nicht auf die Verwendung eines Counters beschränkt und die eindeutigen Identifikatoren können unter Verwendung anderer geeigneter Mittel erzeugt werden.
  • Vorzugsweise ist die erste elektronische Vorrichtung (also das Eigen-Endgerät) eingerichtet, um den vom Fahrzeug empfangenen Identifikator an die zweite elektronische Vorrichtung (also das Fremd-Endgerät) zu übertragen. Die zweite elektronische Vorrichtung kann eingerichtet sein, um:
    • - einen digitalen Schlüssel, und insbesondere ein asymmetrisches Schlüsselpaar, zu erzeugen;
    • - dem erzeugten digitalen Schlüssel den von der ersten elektronischen Vorrichtung empfangenen Identifikator zuzuordnen; und
    • - den erzeugten digitalen Schlüssel zumindest teilweise an die erste elektronische Vorrichtung zu übertragen.
  • Zum Beispiel kann die zweite elektronische Vorrichtung einen Public Key und den zugehörigen Identifikator an die erste elektronische Vorrichtung übertragen. Optional können Definitionen von Berechtigungen übertragen werden. Diese können definieren, welche Berechtigungen der digitale Schlüssel umschließt (z.B. nur Zugang zum Fahrzeug; Zugang und Motorstart; usw.)
  • Vorzugsweise ist die erste elektronische Vorrichtung eingerichtet, um ein Datenpaket zu erzeugen, das zumindest den von der zweiten elektronischen Vorrichtung erzeugten digitalen Schlüssel enthält, und um das Datenpaket direkt oder indirekt an das Fahrzeug zu übertragen. Das Datenpaket enthält weiter den Identifikator und optional die Definitionen der Berechtigungen.
  • Vorzugsweise ist das System weiter eingerichtet ist, um den im Datenpaket enthaltenen digitalen Schlüssel dem Eintrag in der fahrzeugseitigen Schlüsselliste hinzuzufügen, der dem Identifikator entspricht.
  • Vorzugsweise ist das System weiter eingerichtet, um eine Berechtigung der ersten elektronischen Vorrichtung, wie zum Beispiel des Eigen-Endgeräts, zu prüfen. Insbesondere kann eine einmalige oder mehrmalige Authentifizierung des Eigen-Endgeräts erfolgen, um die Berechtigung des Nutzers sicherzustellen. Der Identifikator, der dem nicht-vergebenen „leeren“ Eintrag in der Schlüsselliste zugeordnet ist, kann nur dann an die erste elektronische Vorrichtung übertragen werden, wenn eine positive Berechtigung der ersten elektronischen Vorrichtung vorliegt. Zum Beispiel kann das Eigen-Endgerät einmalig authentifiziert werden, um die Berechtigung für die Schlüsselnutzung und Schlüsselweitergabe zu erhalten. In einigen Ausführungsformen kann das Eigen-Endgerät z.B. in einem Backend eines Dienstleisters (z.B. Fahrzeugherstellers oder Carsharing-Dienstleisters) registriert werden, um die Berechtigung für die Schlüsselnutzung und Schlüsselweitergabe zu erhalten. Damit kann das Eigen-Endgerät als Master der Schlüsselverwaltung dienen.
  • Vorzugsweise ist das System eingerichtet, um in der im Fahrzeug gespeicherten Schlüsselliste einen vorhandenen Identifikator eines digitalen Schlüssels durch einen neuen Identifikator zu ersetzen, wenn eine Eingabe zum Löschen einer Zugangsberechtigung bezüglich dieses digitalen Schlüssels empfangen wird. Zum Beispiel kann die Berechtigung bzw. der Schlüssel eines Nutzers bzw. Fremd-Geräts entzogen und gelöscht werden. Der dem Schlüssel zugehörige Identifikator wird dann in der Schlüsselliste durch einen neuen Identifikator ersetzt, so dass der Nutzer bzw. das Fremd-Gerät keine Berechtigung für einen Zugang zum Fahrzeug mehr besitzt. Der Eintrag mit dem neuen Identifikator kann dann erneut durch das Eigen-Endgerät vergeben werden. Der neue Identifikator kann zum Beispiel mittels des Counters erzeugt werden.
  • In einigen Ausführungsformen kann die Eingabe zum Löschen der Zugangsberechtigung durch das Eigen-Endgerät erfolgen. Zum Beispiel kann das Eigen-Endgerät mittels Bluetooth oder NFC ein Datenpaket an das Fahrzeug übertragen, das das Erlöschen der Zugangsberechtigung anzeigt. In weiteren Ausführungsformen kann die Eingabe zum Löschen einer Zugangsberechtigung eines Nutzers direkt im Fahrzeug erfolgen, zum Beispiel durch eine Eingabe in ein Bedienfeld des Fahrzeugs.
  • Gemäß einem weiteren unabhängigen Aspekt der vorliegenden Offenbarung ist ein Fahrzeug angegeben, umfassend das in diesem Dokument beschriebene System. Der Begriff Fahrzeug umfasst PKW, LKW, Busse, Wohnmobile, Krafträder, etc., die der Beförderung von Personen, Gütern, etc. dienen. Insbesondere umfasst der Begriff Kraftfahrzeuge zur Personenbeförderung.
  • Gemäß einem weiteren unabhängigen Aspekt der vorliegenden Offenbarung ist eine elektronische Vorrichtung (z.B. ein Eigen-Endgerät bzw. Owner Device) angegeben, umfassend ein Empfangsmodul, das eingerichtet ist, um das Datenpaket mit dem wenigstens einen Identifikator vom System zum Verwalten eines Zugangs zu einem Fahrzeug zu empfangen. Die individuellen Identifikatoren können in einem Speichermedium der elektronischen Vorrichtung gespeichert werden.
  • Vorzugsweise ist die elektronische Vorrichtung (z.B. die erste elektronische Vorrichtung und/oder die zweite elektronische Vorrichtung) ein mobiles Endgerät. Ein mobiles Endgerät ist ein Gerät, welches in der Lage ist, in einem mobilen Netzwerk über lokale Netzwerke bzw. Local Area Networks (LANs), wie z.B. Wireless LAN (WiFi/WLAN), oder über Weitverkehrsnetze bzw. Wide Area Networks (WANs) wie z.B. Global System for Mobile Communication (GSM), General Package Radio Service (GPRS), Enhanced Data Rates for Global Evolution (EDGE), Universal Mobile Telecommunications System (UMTS), High Speed Downlink/Uplink Packet Access (HSDPA, HSUPA), Long-Term Evolution (LTE), oder World Wide Interoperability for Microwave Access (WIMAX) drahtlos zu kommunizieren. Eine Kommunikation über weitere gängige, z.B. NFC und UWB (Ultra Wide Band), oder künftige Kommunikationstechnologien, z.B. 5G-Mobildunksysteme, ist möglich. Der Begriff mobiles Endgerät umfasst insbesondere Smartphones, aber auch andere mobile Telefone bzw. Handys, Personal Digital Assistants (PDAs), Tablet PCs, Notebooks, Smart Watches sowie alle gängigen sowie künftigen elektronischen Geräte, welche mit einer Technologie zum Laden und Ausführen von Apps ausgestattet sind.
  • Gemäß einem weiteren unabhängigen Aspekt der vorliegenden Offenbarung ist ein Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug angegeben. Das Verfahren umfasst ein Bereitstellen einer fahrzeugseitigen Schlüsselliste, die eine Vielzahl von Einträgen für eine Vielzahl von digitalen Schlüsseln enthält, die mittels einer ersten elektronischen Vorrichtung an einzelne Nutzer vergebbar sind, wobei jeder digitale Schlüssel eine Fahrzeugberechtigung für einen Nutzer darstellt, und wobei jedem Eintrag in der Schlüsselliste ein (einziger) einmaliger Identifikator zugeordnet ist; und ein Übertragen wenigstens eines einmaligen Identifikators, der einem nicht-vergebenen Eintrag in der Schlüsselliste zugeordnet ist, vom Fahrzeug an die erste elektronische Vorrichtung.
  • Das Verfahren kann die in diesem Dokument beschriebenen Aspekte des Systems zum Verwalten einer Berechtigung für ein Fahrzeug implementieren.
  • Figurenliste
  • Ausführungsbeispiele der Offenbarung sind in den Figuren dargestellt und werden im Folgenden näher beschrieben. Es zeigen:
    • 1 ein Fahrzeug und ein Eigen-Endgerät gemäß Ausführungsformen der vorliegenden Offenbarung,
    • 2 eine Datenübertragung zwischen einem Eigen-Endgerät und einem Fremd-Endgerät gemäß Ausführungsformen der vorliegenden Offenbarung, und
    • 3A und 3B Schlüssellisten gemäß Ausführungsformen der vorliegenden Offenbarung.
  • Ausführungsformen der Offenbarung
  • Im Folgenden werden, sofern nicht anders vermerkt, für gleiche und gleichwirkende Elemente gleiche Bezugszeichen verwendet.
  • 1 zeigt ein Fahrzeug 100 und eine elektronische Vorrichtung 10 gemäß Ausführungsformen der vorliegenden Offenbarung.
  • Das System umfasst ein Speichermodul 110 mit einer Schlüsselliste, die eine Vielzahl von Einträgen für eine Vielzahl von digitalen Schlüsseln enthält, die mittels einer ersten (externen) elektronischen Vorrichtung 10 an einzelne Nutzer vergebbar sind, wobei jeder digitale Schlüssel eingerichtet ist, um beispielsweise einen Zugang zum Fahrzeug und/oder einen Motorstart zu ermöglichen, und wobei jedem Eintrag bzw. digitalen Schlüssel ein einmaliger Identifikator zugeordnet ist. Das System umfasst weiter ein Kommunikationsmodul 120, das eingerichtet ist, um wenigstens einen einmaligen Identifikator, der einem nicht-vergebenen Eintrag in der Schlüsselliste zugeordnet ist, an die erste elektronische Vorrichtung 10 zu übertragen.
  • Das Speichermodul 110 und das Kommunikationsmodul 120 können in getrennten Software- und/oder Hardware-Modulen realisiert sein, oder können in einem gemeinsamen Software- und/oder Hardware-Modul realisiert sein. Insbesondere können das Speichermodul 110 und das Kommunikationsmodul 120 im Fahrzeug 100 implementiert sein.
  • Das Fahrzeug 100 kann weiter ein Steuermodul umfassen, das eingerichtet ist, um Fahrzeugfunktionen zu steuern, und insbesondere freizugeben, wie zum Beispiel einen Schließmechanismus von Türen des Fahrzeugs und/oder einen Motorstart. Das Steuermodul kann mit dem Speichermodul 110 und dem Kommunikationsmodul 120 in Kommunikationsverbindung stehen, um die in diesem Dokument beschriebenen Funktionen zum Beispiel zum Entriegeln der Türen des Fahrzeugs auszuführen. In einigen Ausführungsformen können das Speichermodul 110 und/oder das Kommunikationsmodul 120 im Steuermodul integriert sein.
  • Zum Beispiel kann das Fahrzeug 100 ein Keyless-System mit einem Schließsystem, und insbesondere einer Zentralverriegelung umfassen. Ergänzend oder alternativ kann das Keyless-System eingerichtet sein, um einen Motorstart zum Beispiel durch Betätigen eines Bedienelements im Innenraum des Fahrzeugs 100 zu ermöglichen. Wenn das Keyless-System basierend auf dem übertragenen Datenpaket mit dem digitalen Schlüssel und dem zugehörigen einmaligen Identifikator eine gültige Berechtigung feststellt, kann das Fahrzeug 100 durch Ansteuern der Zentralverriegelung entriegelt werden. Zudem kann zum Beispiel ein Motorstart-Knopf am Armaturenbrett freigeschaltet werden, so dass der Fahrer den Motor durch ein Betätigen des Motorstart-Knopfes starten kann. Ergänzend oder alternativ kann eine Wegfahrsperre deaktiviert werden.
  • An dieser Stelle wird angemerkt, dass unterschieden wird zwischen einem ersten Fall mit einem Hinzufügen eines digitalen Schlüssels zur Schlüsselliste (hier wird der Identifikator nach den beschriebenen Regeln geprüft) und einem zweiten Fall zur Nutzung eines digitalen Schlüssels. Im zweiten Fall wird zum Beispiel kryptographisch geprüft, ob die elektronische Vorrichtung in der Schlüsselliste vorkommt (z.B. per Challenge/Response-Verfahren anhand des Secret Key und des Public Key). Der Identifikator kann hier hilfreich sein, um den richtigen Schlüssel schneller zu finden.
  • Die erste elektronische Vorrichtung 10 kann ein mobiles Endgerät eines fahrzeugberechtigten Nutzers sein. Das mobile Endgerät des fahrzeugberechtigten Nutzers wird als „Eigen-Endgerät“ bezeichnet und kann zum Beispiel ein Smartphone sein. Der fahrzeugberechtigte Nutzer kann insbesondere der Fahrzeugbesitzer sein, dessen mobiles Endgerät 10 als Master der Schlüsselverwaltung dient.
  • Die erste elektronische Vorrichtung 10 kommuniziert mit dem Kommunikationsmodul 120 des Fahrzeugs 100 über eine Kommunikationsverbindung 20. Die Kommunikationsverbindung kann zum Beispiel eine NFC (Near Field Communication)-Technologie, Bluetooth usw. verwenden. Die vorliegende Offenbarung ist jedoch nicht hierauf begrenzt und es können andere unmittelbare oder mittelbare Kommunikationsmittel verwendet werden, die für einen Datenaustausch geeignet sind. Eine unmittelbare Kommunikation bezieht sich dabei auf eine direkte Kommunikation zwischen der ersten elektronischen Vorrichtung 10 und dem Fahrzeug 100. Eine mittelbare Kommunikation bezieht sich dabei auf eine indirekte Kommunikation zwischen der ersten elektronischen Vorrichtung 10 und dem Fahrzeug 100 über wenigstens eine zwischengeschaltete Einheit, wie zum Beispiel eine zentrale Einheit wie ein Backend.
  • Mittels der Kommunikationsverbindung 20 zwischen der ersten elektronischen Vorrichtung 10 und dem Fahrzeug 100 können vom Fahrzeug „freie“ Identifikatoren vom Fahrzeug 100 an die elektronische Vorrichtung 10 übertragen und in der ersten elektronischen Vorrichtung 10 für die weitere Verwendung gespeichert werden. Die erste elektronische Vorrichtung 10 kann dabei eine Vielzahl von „freien“ Identifikatoren erhalten und speichern. Beispielsweise kann ein Identifikator für einen digitalen Schlüssel für den Eigengebrauch vorgesehen sein, und wenigstens ein weiterer Identifikator für einen digitalen Schlüssel kann für die Weitergabe an andere elektronische Vorrichtungen, wie zum Beispiel Fremd-Endgeräte, vorgesehen sein.
  • 2 zeigt die Übertragung eines Identifikators zwischen einem Eigen-Endgerät 10 und einem Fremd-Endgerät 30 gemäß Ausführungsformen der vorliegenden Offenbarung.
  • Das Eigen-Endgerät 10 speichert einen oder mehrere einmalige Identifikatoren, die zuvor vom Fahrzeug erhalten wurden. Das Eigen-Endgerät 10 kann mit wenigstens einer zweiten elektronischen Vorrichtung (d.h. das Fremd-Endgerät 30) über eine Kommunikationsverbindung kommunizieren, um den einmaligen Identifikator an das Fremd-Endgerät 30 zu übertragen.
  • Die zweite elektronische Vorrichtung 30 kann einen digitalen Schlüssel (z.B. Secret Key und Public Key) erzeugen, um eine asymmetrische Verschlüsselung zu ermöglichen. Dem erzeugten digitalen Schlüssel wird der Identifikator zugewiesen. Die zweite elektronische Vorrichtung 30 kann zumindest einen Teil des erzeugten digitalen Schlüssels (z.B. den Public Key) über die Kommunikationsverbindung an die erste elektronische Vorrichtung 10 übertragen.
  • Die erste elektronische Vorrichtung 10 kann ein Datenpaket erzeugen und an das Fahrzeug übertragen. Das Datenpaket kann den empfangenen digitalen Schlüssel (z.B. den Public Key), den Identifikator und optional Definitionen der Berechtigungen enthält.
  • Das Fahrzeug kann die Integrität des empfangenen Datenpakets (z.B. Signatur, Verschlüsselung) prüfen und den Schlüssel, wie zum Beispiel den Public Key, zuzüglich definierter Berechtigungen in den korrespondierenden Eintrag (bzw. Key-Slot) in der Schlüsselliste einfügen. Das Fremd-Endgerät 30 erhält so einen gültigen Schlüssel, mit dem der Nutzer des Fremd-Endgeräts 30 eine Nutzungsberechtigung für das Fahrzeug erhält.
  • In einigen Ausführungsformen kann der übertragene Identifikator im Eigen-Endgerät 10 als vergeben markiert werden. Alternativ kann der übertragene Identifikator im Eigen-Endgerät 10 gelöscht werden. So kann verhindert werden, dass ein Identifikator mehrmals vergeben wird.
  • Das Eigen-Endgerät 10 kommuniziert mit dem Fremd-Endgerät 30 über eine Kommunikationsverbindung. Durch die Kommunikationsverbindung kann die Verwendung von Messenger-Diensten oder Apps ermöglicht werden. Die Kommunikationsverbindung kann zum Beispiel eine NFC (Near Field Communication)-Technologie, Bluetooth usw. verwenden. Die vorliegende Offenbarung ist jedoch nicht hierauf begrenzt und es können andere unmittelbare oder mittelbare Kommunikationsmittel verwendet werden, die für einen Datenaustausch geeignet sind. Eine unmittelbare Kommunikation bezieht sich dabei auf eine direkte Kommunikation zwischen dem Eigen-Endgerät 10 und dem Fremd-Endgerät 30. Eine mittelbare Kommunikation bezieht sich dabei auf eine indirekte Kommunikation zwischen dem Eigen-Endgerät 10 und dem Fremd-Endgerät 30 über wenigstens eine zwischengeschaltete Einheit, wie zum Beispiel eine zentrale Einheit wie ein Backend.
  • 3A und 3B zeigen Schlüssellisten gemäß Ausführungsformen der vorliegenden Offenbarung. Typischerweise ist die Schlüsselliste in einem sicheren Speichermodul gespeichert, das im Fahrzeug integriert ist.
  • Die Schlüsselliste umfasst eine begrenzte Anzahl von Einträgen. Jeder Eintrag kann aus einer statischen Bezeichnung (z.B. 1, 2, 3...), dem dynamischen Identifikator („Key-Slot“) und dem digitalen Schlüssel, der zu Beginn leer sein kann, bestehen.
  • Im Beispiel der 3A und B sind die Einträge mit dem Index n indiziert. Beispielsweise kann die Schlüsselliste 100 Einträge (bzw. digitale Schlüssel) oder weniger, 50 Einträge (bzw. digitale Schlüssel) oder weniger, oder sogar 20 Einträge (bzw. digitale Schlüssel) oder weniger enthalten. Jedem Eintrag bzw. jedem digitalen Schlüssel ist ein einmaliger Identifikator zugeordnet. Der einmalige Identifikator kann zum Beispiel eine 2-Byte-Variable sein.
  • Das Fahrzeug kann ein Datenpaket mit einem oder mehreren „freien“ bzw. nicht vergebenen Identifikatoren an das Eigen-Endgerät des Fahrzeugbesitzers übertragen. Wird dann vom Eigen-Endgerät oder einem Fremd-Endgerät ein dem Identifikator zugehöriger digitaler Schlüssel an das Fahrzeug 100 gesendet und dort erkannt, erteilt das System die Erlaubnis das Auto zu öffnen und/oder den Motor zu starten. Ein gültiger digitaler Schlüssel liegt dann vor, wenn ein Eintrag in der im Fahrzeug gespeicherten Schlüsselliste mit dem Identifikator des empfangenen digitalen Schlüssels vorhanden ist. Wenn der Identifikator des empfangenen digitalen Schlüssels nicht vorhanden ist, kann oder muss der Zugang verweigert werden.
  • Insbesondere wird der Identifikator verwendet, um den richtigen Schlüssel in der Schlüsselliste zu finden. Die sichere Authentisierung kann dann anhand eines anderen Datums geschehen. Beispielsweise wird der Public Key in der Schlüsselliste gespeichert und damit per Challenge/Response Verfahren der Private Key des Endgeräts verifiziert, wodurch eine Autorisierung erfolgen kann.
  • Unter Bezugnahme auf die 3A und B wird nun das Löschen einer Berechtigung erläutert. Zum Beispiel kann die Berechtigung eines Nutzers bzw. Fremd-Geräts durch eine Eingabe zum Löschen der Berechtigung entzogen werden. Die Eingabe kann zum Beispiel durch den fahrzeugberechtigten Nutzer des Eigen-Endgeräts erfolgen.
  • In einigen Ausführungsformen kann die Eingabe zum Löschen der Berechtigung durch das Eigen-Endgerät erfolgen. Zum Beispiel kann das Eigen-Endgerät mittels Bluetooth, NFC oder mittelbar über eine Fahrzeug-Backend ein Datenpaket an das Fahrzeug übertragen, das das Erlöschen der Berechtigung anzeigt. In weiteren Ausführungsformen kann die Eingabe zum Löschen einer Berechtigung eines Nutzers direkt im Fahrzeug erfolgen, zum Beispiel durch eine Eingabe in ein Bedienfeld des Fahrzeugs.
  • In noch weiteren Ausführungsformen kann das Löschen eines Schlüssels auch durch ein Backend erfolgen. Dies kann automatisch initiiert werden, wie zum Beispiel nach Ablauf einer Berechtigung. In einem weiteren Beispiel kann das Löschen durch eine Nutzereingabe in einer beliebigen Nutzeroberfläche initiiert werden.
  • Wenn am Fahrzeug die Eingabe zum Löschen einer Berechtigung bezüglich dieses digitalen Schlüssels empfangen wird, kann in der im Fahrzeug gespeicherten Schlüsselliste ein vorhandener Identifikator eines Eintrags durch einen neuen Identifikator ersetzt werden, so dass der Nutzer bzw. das Fremd-Gerät keine Berechtigung für einen Zugang zum Fahrzeug mehr besitzt. Der neue Identifikator kann dann erneut an das Eigen-Endgerät übertragen und durch das Eigen-Endgerät vergeben werden.
  • In den 3A und B ist dies für den Index-Eintrag 1 gezeigt. In der 3A ist enthält der Eintrag „1“ einen digitalen Schlüssel und einen Identifikator 1, die einem bestimmten Nutzer bzw. Fremd-Endgerät zugeordnet sind. Der Eintrag „2“ ist nicht an einen Nutzer vergeben und daher „leer“. Der Eintrag „n“ ist ebenfalls an einen Nutzer vergeben.
  • Wird nun die im Eintrag „1“ definierte Berechtigung entzogen, wird der „Identifikator 1“ der zu löschenden Berechtigung durch einen neuen Identifikator „Identifikator n+1“ ersetzt und optional der zugehörige digitale Schlüssel gelöscht. Die (neuen) Identifikatoren können zum Beispiel durch ein Counter-Modul fortlaufend erzeugt werden. Beispielsweise können die Identifikatoren Variablen sein, die auf eine monotone Weise durch das Counter-Modul erhöht werden. Insbesondere kann bei Erstellung eines neuen Identifikators sichergestellt werden, dass der neue Identifikator der höchste Identifikator in der Schlüsselliste im Fahrzeug ist. Damit ist jeder Identifikator im Kontext des Fahrzeugs einzigartig und wird nur ein einziges Mal zugeordnet. Hierdurch können zum Beispiel Speicherressourcen gespart werden, da eine begrenzte Anzahl an Einträgen in der Schlüsselliste für eine sichere Zugangsverwaltung ausreichend ist.
  • Im Folgenden sind die Probleme bei der Schlüsselverwaltung und erfindungsgemäßen Maßnahmen zur Lösung der Probleme zusammenfassend dargestellt.
  • Im Fahrzeug ist eine sogenannte Schlüsselliste hinterlegt. Die Schlüsselliste bietet aus Speichergründen eine begrenzte Anzahl an Einträgen. Jeder Eintrag der Schlüsselliste entspricht einer Berechtigung für ein Endgerät. Berechtigungen können unterschiedlich sein (z.B. nur Fahrzeugzugang, Motorstart, Entertainment-System, usw.). Ein Eintrag der Schlüsselliste kann in einem initialen Zustand auch leer sein.
  • Jeder Eintrag der Schlüsselliste umfasst einen statischen Index (Eintrag 1, Eintrag 2, ...), ein Datum welches eine eindeutige Authentisierung des Endgeräts ermöglicht (Public Key, symmetrischer Key, usw.) und eine Definition der Berechtigungen welche für dieses Endgerät gelten sollen. Eine neue Berechtigung für ein Endgerät kann auf verschiedene Arten in die Schlüsselliste aufgenommen werden.
  • Eine Möglichkeit ist sogenanntes „Key-Sharing“. Dabei kann der Besitzer des Fahrzeugs mit Hilfe des Owner Devices eine Berechtigung an ein anderes Endgerät weitergeben. Das neue Endgerät wird als Friend Device bezeichnet. Dieser Vorgang läuft in einem Beispiel wie folgt ab:
    1. a) Das Owner Device sendet eine Einladung an das Friend Device.
    2. b) Das Friend Device sendet ein eindeutiges Datum zur Authentisierung an das Owner Device. Zum Beispiel kann zur Authentisierung asymmetrische Kryptographie verwendet werden. In diesem Fall entspricht das eindeutige Datum (welches hier übertragen wird) dem Public Key des Devices, dessen korrespondierender Secret Key ausschließlich dem Friend Device bekannt ist.
    3. c) Das Owner Device erstellt ein Berechtigungspaket für die neue Berechtigung. Dieses beinhaltet mindestens das Datum zur Authentisierung des Friend Devices sowie die zu erteilenden Berechtigungen für das Friend Device.
    4. d) Das Owner Device versieht das Berechtigungspaket mit Schutzmaßnahmen gegen eine Fälschung oder Manipulation (z.B. Signatur).
    5. e) Das Berechtigungspaket wird an das Fahrzeug übertragen. Der Kommunikationsweg kann mittelbar, über das Friend Device, über die Backend Verbindung des Fahrzeugs, usw. verlaufen.
    6. f) Das Fahrzeug überprüft die Schutzmaßnahmen aus d). Die neue Berechtigung wird der Schlüsselliste hinzugefügt. Dem Friend Device stehen ab nun die erteilten Berechtigungen zur Verfügung.
    7. g) Zu einem beliebigen Zeitpunkt (auch schon nach c)) kann eine Berechtigung wieder entzogen werden. Die Herkunft dieser Revokation kann das Owner Device, ein Backend System oder das Fahrzeug selbst sein. Es kann allerdings in herkömmlichen Systemen manchmal nicht sichergestellt werden, dass das Hinzufügen und Revozieren von (mehreren) Schlüsseln in der richtigen Reihenfolge am Fahrzeug eintrifft und umgesetzt wird (Synchronisationsfehler, Verbindungsfehler, usw.).
  • Ein Problem kann darin bestehen, dass zu einer Berechtigung, welche bereits revoziert wurde, weiterhin ein gültiges Berechtigungspaket existiert. Dieses kann dem Fahrzeug präsentiert werden, wodurch die Berechtigung erneut der Schlüsselliste hinzugefügt wird. Dies entspricht nicht der Intention desjenigen, welcher die Berechtigung revoziert hat und stellt ein Sicherheitsrisiko dar („Replay Attacke“).
  • Eine daraus abgeleitete mögliche Maßnahme besteht darin, dass jede revozierte Berechtigung in der Schlüsselliste verbleibt. Ihr Status wird auf revoziert geändert. Ein Berechtigungspaket, welches einem Eintrag mit dem Status revoziert zugeordnet werden kann verliert somit seine Gültigkeit. Dies entspricht dem Konzept einer Revokations-Liste.
  • Der begrenzte Speicherplatz lässt jedoch nur eine begrenze Anzahl an möglichen Einträgen der Schlüsselliste zu. Dies wiederrum beschränkt die mögliche Anzahl an durchführbaren Aktionen (Hinzufügen und Revokation).
  • Anstatt der oben genannten Maßnahme kann nun ein Zähler für die Schlüsselliste eingeführt werden. Dieser wird mit jeder Revokation erhöht. Der Zähler wird mit allen Instanzen, welche Berechtigungen ausstellen können (Owner Device) synchronisiert. Der aktuelle Zählerwert wird in jedes neue Berechtigungspaket geschrieben. Ein Berechtigungspaket ist ungültig, sobald es einen niedrigeren Zählerwert als den aktuell im Fahrzeug gültigen enthält. Somit kann ein Eintrag der Schlüsselliste nach einer Revokation wiederverwendet werden.
  • Ein Problem kann darin bestehen, dass, wenn eine Revokation durch eine andere Quelle als das Owner Device ausgestellt wird, eine Synchronisation des Zählers nicht sichergestellt werden kann (z.B. hat das Fahrzeug keine Netzverbindung). Das Owner Device stellt somit unwissentlich ungültige Berechtigungspakete aus. Zudem werden zu einem früheren Zeitpunkt ausgestellte Berechtigungspakete, welche dem Fahrzeug noch nicht präsentiert wurden, ungültig.
  • Eine daraus abgeleitete Maßnahme besteht darin, jedem Eintrag in der Schlüsselliste einen zufälligen, eindeutigen Identifikator zuzuordnen. Enthält ein Eintrag keine gültige Berechtigung, ist also frei, wird der dazugehörige Identifikator als frei bezeichnet. Das Fahrzeug übermittelt dem Owner Device eine beliebige Anzahl an freien Identifikatoren. Dies kann zu einem beliebigen Zeitpunkt geschehen (zum Beispiel während der Nutzung des Owner Devices als Fahrzeugschlüssel). Durch Erhöhen der Anzahl kann die Wahrscheinlichkeit erhöht werden, dass das Owner Device jederzeit genügend freie Identifikatoren zur Verfügung hat. Beim Ausstellen einer neuen Berechtigung wird einer der freien Identifikatoren in das Berechtigungspaket geschrieben. Erhält das Fahrzeug ein Berechtigungspaket mit einem freien Identifikator, fügt es die Berechtigung in den zugehörigen Eintrag der Schlüsselliste ein.
  • Eine Revokation setzt den Status des Eintrags auf frei. Das Datum zur Authentisierung wird behalten, bis der Eintrag überschrieben wird. Ein neues Berechtigungspaket kann einen Eintrag des dazugehörigen Identifikators nur überschreiben, wenn es nicht dasselbe Datum zur Authentisierung beinhaltet.
  • Hier kann das jeweils vorherige Berechtigungspaket für einen Identifikator durch eine Revokation jedoch ungültig werden. Allerdings können noch ältere Berechtigungspakete für denselben Identifikator nicht als ungültig erkannt werden.
  • Um dies zu vermeiden wird eine Logik zur Erzeugung und Prüfung eines einmaligen Identifikators verwendet, wie es in der vorliegenden Erfindung definiert ist.
  • Jeder Identifikator wird zum Beispiel durch eine Zahl dargestellt. Jeder neu erzeugte Identifikator ist eine Zahl, welche höher ist, als alle anderen vorhandenen Identifikatoren in der Schlüsselliste (mindestens n+1). Bei einer Revokation wird der Identifikator des Eintrags in der Schlüsselliste gelöscht und neu erzeugt. Somit wird bei einer Revokation der zum Eintrag gehörige Identifikator immer erhöht. Bei der Prüfung eines Berechtigungspakets muss wie oben erläutert nur sichergestellt werden, dass der mitgelieferte Identifikator in der Schlüsselliste vorhanden ist. Ein bereits vorher vergebener und revozierter Identifikator ist somit nicht (bzw. nie) mehr gültig.
  • Es kann theoretisch auf das Hochzählen des Identifikators verzichtet werden, sofern sichergestellt ist, dass jeder Identifikator im Lebenszyklus des Systems exakt ein einziges Mal vorkommt, d.h. einmalig ist.

Claims (10)

  1. System zum Verwalten einer Berechtigung für ein Fahrzeug (100), umfassend: ein fahrzeugseitiges Speichermodul (110) mit einer Schlüsselliste, die eine Vielzahl von Einträgen für eine Vielzahl von digitalen Schlüsseln umfasst, die mittels einer ersten elektronischen Vorrichtung (10) an einzelne Nutzer vergebbar sind, wobei jeder digitale Schlüssel eine Fahrzeugberechtigung für einen Nutzer darstellt, und wobei jedem Eintrag in der Schlüsselliste ein einmaliger Identifikator zugeordnet ist; und ein Kommunikationsmodul (120), das eingerichtet ist, um wenigstens einen Identifikator, der einem nicht-vergebenen Eintrag in der Schlüsselliste zugeordnet ist, vom Fahrzeug (100) an die erste elektronische Vorrichtung (10) zu übertragen.
  2. Das System nach Anspruch 1, wobei der einmalige Identifikator eine 2-Byte-Variable ist.
  3. Das System nach Anspruch 1 oder 2, weiter umfassend ein Counter-Modul, das eingerichtet ist, um die Identifikatoren für die Einträge in der Schlüsselliste fortlaufend zu erzeugen.
  4. Das System nach einem der vorstehenden Ansprüche, weiter umfassend die erste elektronische Vorrichtung (10), wobei die erste elektronische Vorrichtung (10) eingerichtet ist, um den vom Fahrzeug (100) empfangenen Identifikator an eine zweite elektronische Vorrichtung (30) zu übertragen.
  5. Das System nach Anspruch 4, weiter umfassend die zweite elektronische Vorrichtung (30), wobei die zweite elektronische Vorrichtung (30) eingerichtet ist, um: - einen digitalen Schlüssel, und insbesondere ein asymmetrisches Schlüsselpaar, zu erzeugen; - dem erzeugten digitalen Schlüssel den von der ersten elektronischen Vorrichtung (10) empfangenen Identifikator zuzuordnen; und - den erzeugten digitalen Schlüssel zumindest teilweise an die erste elektronische Vorrichtung (10) zu übertragen.
  6. Das System nach Anspruch 5, wobei die erste elektronische Vorrichtung (10) eingerichtet ist, um ein Datenpaket zu erzeugen, das zumindest den von der zweiten elektronischen Vorrichtung (30) erzeugten digitalen Schlüssel enthält, und um das Datenpaket direkt oder indirekt an das Fahrzeug (100) zu übertragen.
  7. Das System nach Anspruch 6, wobei das System weiter eingerichtet ist, um den im Datenpaket enthaltenen digitalen Schlüssel dem Eintrag in der fahrzeugseitigen Schlüsselliste hinzuzufügen, der dem Identifikator entspricht.
  8. Das System nach einem der vorstehenden Ansprüche, wobei das System eingerichtet ist, um einen vorhandenen Identifikator eines Eintrags in der Schlüsselliste durch einen neuen Identifikator zu ersetzen, wenn eine Eingabe zum Löschen einer Fahrzeugberechtigung eines Nutzers, die diesem Eintrag zugeordnet ist, empfangen wird.
  9. Fahrzeug, umfassend das System nach einem der vorstehenden Ansprüche.
  10. Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug (100), umfassend: Bereitstellen einer fahrzeugseitigen Schlüsselliste, die eine Vielzahl von Einträgen für eine Vielzahl von digitalen Schlüsseln umfasst, die mittels einer ersten elektronischen Vorrichtung (10) an einzelne Nutzer vergebbar sind, wobei jeder digitale Schlüssel eine Fahrzeugberechtigung für einen Nutzer darstellt, und wobei jedem Eintrag in der Schlüsselliste ein einmaliger Identifikator zugeordnet ist; und Übertragen wenigstens eines Identifikators, der einem nicht-vergebenen Eintrag in der Schlüsselliste zugeordnet ist, vom Fahrzeug (100) an die erste elektronische Vorrichtung (10).
DE102019101120.5A 2019-01-17 2019-01-17 System und Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug Pending DE102019101120A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102019101120.5A DE102019101120A1 (de) 2019-01-17 2019-01-17 System und Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug
US17/423,805 US20220094676A1 (en) 2019-01-17 2019-12-10 System and Method for Managing an Authorization For a Vehicle
PCT/DE2019/101069 WO2020147875A1 (de) 2019-01-17 2019-12-10 System und verfahren zum verwalten einer berechtigung für ein fahrzeug
CN201980088338.8A CN113302892B (zh) 2019-01-17 2019-12-10 用于管理对车辆的授权的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019101120.5A DE102019101120A1 (de) 2019-01-17 2019-01-17 System und Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug

Publications (1)

Publication Number Publication Date
DE102019101120A1 true DE102019101120A1 (de) 2020-07-23

Family

ID=69005184

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019101120.5A Pending DE102019101120A1 (de) 2019-01-17 2019-01-17 System und Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug

Country Status (4)

Country Link
US (1) US20220094676A1 (de)
CN (1) CN113302892B (de)
DE (1) DE102019101120A1 (de)
WO (1) WO2020147875A1 (de)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60206170T2 (de) * 2001-06-28 2006-06-14 Ford Global Tech Llc Fahrzeugdiebstahlsicherung
DE60129967T2 (de) * 2000-06-27 2008-04-30 Intel Corporation, Santa Clara Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
DE102010012565A1 (de) * 2010-03-23 2011-09-29 Bayerische Motoren Werke Aktiengesellschaft Übertragung von Daten an einen Fahrzeugschlüssel
DE102010029929A1 (de) * 2010-06-10 2011-12-15 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Übertragung von Daten sowie Fahrzeug
DE102010037271A1 (de) * 2010-08-16 2012-02-16 Huf Hülsbeck & Fürst Gmbh & Co. Kg Verfahren zum Bereitstellen eines drahtlosen Fahrzeugzugangs
DE102011051498A1 (de) * 2011-06-06 2012-12-06 Kobil Systems Gmbh Gesicherter Zugriff auf Daten in einem Gerät
DE102013225742A1 (de) * 2012-12-14 2014-06-18 Gm Global Technology Operations, Llc Verfahren und system für eine geschützte und autorisierte kommunikation zwischen einem fahrzeug und drahtlosen kommunikationsgeräten oder schlüsselanhängern
DE102016215021A1 (de) * 2016-08-11 2018-02-15 Audi Ag Verfahren und Servervorrichtung zum Konfigurieren eines Weitergabevorgangs einer Zugangsberechtigung zu einem Kraftfahrzeug

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19812210C1 (de) * 1998-03-19 1999-05-06 Siemens Ag Vorrichtung und Verfahren zum Sichern eines Kraftfahrzeugs gegen unberechtigte Benutzung
JP3868701B2 (ja) * 2000-03-21 2007-01-17 三菱電機株式会社 車両キーシステム
GB2424811B (en) * 2003-06-17 2006-12-06 Accenture Global Services Gmbh Method and system for selectively distributing data to a set of network devices
US9800413B2 (en) * 2008-08-15 2017-10-24 Gm Global Technology Operations, Inc. System and method for performing an asymmetric key exchange between a vehicle and a remote device
JP5435022B2 (ja) * 2011-12-28 2014-03-05 株式会社デンソー 車載システム及び通信方法
US9002536B2 (en) * 2013-03-14 2015-04-07 Ford Global Technologies, Llc Key fob security copy to a mobile phone
US9405920B1 (en) * 2014-05-21 2016-08-02 Amazon Technologies, Inc. Data integrity verification
US10308217B2 (en) * 2015-06-16 2019-06-04 Ford Global Technologies, Llc Method and apparatus for secure pairing
CN106553617B (zh) * 2015-09-25 2019-10-22 上海汽车集团股份有限公司 车辆控制方法、共享方法及装置
FR3048320B1 (fr) * 2016-02-29 2019-05-31 Dura Operating, Llc Methode et systeme d'echange de donnees entre utilisateurs d'un vehicule
US9994232B2 (en) * 2016-06-24 2018-06-12 GM Global Technology Operations LLC Dynamic assignment of driver identifiers and related adjustment of vehicle settings based on detection of driver identifiers
US9688247B1 (en) * 2016-08-03 2017-06-27 Ford Global Technologies, Llc Method and apparatus for digital temporary vehicle key utilization
US10589719B1 (en) * 2019-05-30 2020-03-17 Hyundai Autoever Method for managing digital key of mobile device for vehicle-sharing and key server using the same
US20220109662A1 (en) * 2020-10-02 2022-04-07 Michael Jenkins Systems and methods for managing and transferring personalized vehicle settings and digital vehicle keys
US11932198B2 (en) * 2020-10-26 2024-03-19 Ford Global Technologies, Llc Vehicle transfer key management system

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60129967T2 (de) * 2000-06-27 2008-04-30 Intel Corporation, Santa Clara Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
DE60206170T2 (de) * 2001-06-28 2006-06-14 Ford Global Tech Llc Fahrzeugdiebstahlsicherung
DE102010012565A1 (de) * 2010-03-23 2011-09-29 Bayerische Motoren Werke Aktiengesellschaft Übertragung von Daten an einen Fahrzeugschlüssel
DE102010029929A1 (de) * 2010-06-10 2011-12-15 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Übertragung von Daten sowie Fahrzeug
DE102010037271A1 (de) * 2010-08-16 2012-02-16 Huf Hülsbeck & Fürst Gmbh & Co. Kg Verfahren zum Bereitstellen eines drahtlosen Fahrzeugzugangs
DE102011051498A1 (de) * 2011-06-06 2012-12-06 Kobil Systems Gmbh Gesicherter Zugriff auf Daten in einem Gerät
DE102013225742A1 (de) * 2012-12-14 2014-06-18 Gm Global Technology Operations, Llc Verfahren und system für eine geschützte und autorisierte kommunikation zwischen einem fahrzeug und drahtlosen kommunikationsgeräten oder schlüsselanhängern
DE102016215021A1 (de) * 2016-08-11 2018-02-15 Audi Ag Verfahren und Servervorrichtung zum Konfigurieren eines Weitergabevorgangs einer Zugangsberechtigung zu einem Kraftfahrzeug

Also Published As

Publication number Publication date
CN113302892B (zh) 2023-08-15
US20220094676A1 (en) 2022-03-24
WO2020147875A1 (de) 2020-07-23
CN113302892A (zh) 2021-08-24

Similar Documents

Publication Publication Date Title
EP2997550B2 (de) Verfahren zur zugriffskontrolle
EP3157281B1 (de) Verfahren zur geschützten kommunikation eines fahrzeugs
DE102017102388B4 (de) Verfahren zum regeln des zugangs zu einem fahrzeug
DE102016218986B4 (de) Verfahren zur Zugriffsverwaltung eines Fahrzeugs
EP2777309B1 (de) Verfahren und system zur freigabe einer technischen vorrichtung
EP1999725B1 (de) Verfahren zum schutz eines beweglichen gutes, insbesondere eines fahrzeugs, gegen unberechtigte nutzung
DE102018111262A1 (de) Bedienung eines schlüsselanhängers in einem carsharing-system
DE102017209961B4 (de) Verfahren und Vorrichtung zum Authentisieren eines Nutzers an einem Fahrzeug
EP3649625B1 (de) Verfahren zur delegation von zugriffsrechten
DE102012224421A1 (de) Fahrzeuggebundenes system und kommunikationsverfahren
DE102017119373A1 (de) Aktualisierung der servers der netzwerkadresse der mobilvorrichtung
DE102010037271A1 (de) Verfahren zum Bereitstellen eines drahtlosen Fahrzeugzugangs
DE102019212959B3 (de) Verfahren zur geschützten Kommunikation eines Fahrzeugs mit einem externen Server, Vorrichtung zur Durchführung der Schlüsselableitung bei dem Verfahren sowie Fahrzeug
DE102014219502A1 (de) System und Verfahren für einen beschränkten Zugang zu einem Fahrzeug
DE102016104530A1 (de) Verfahren zur Kontrolle des Zugriffs auf Fahrzeuge
DE102020126317A1 (de) Anhaltender neutraler betrieb von fahrzeugen
DE102017205993A1 (de) System und Verfahren zur selektiven Freischaltung von Fahrzeugfunktionen
DE102021102642A1 (de) Laufzeitbasierte sicherheit für mehrere funkschlüssel
EP3787223A1 (de) Verfahren und vorrichtung zur erzeugung von kryptographischen schlüsseln nach einem schlüsselableitungsmodell sowie fahrzeug
DE102008008108A1 (de) Verfahren zum Freischalten von zumindest einer Funktion in zumindest einem elektronischen Steuergerät eines Kraftfahrzeugs
DE102013003799A1 (de) Verfahren zum Steuern eines elektronisch gesicherten Geräts und Transponder dafür
DE102017115064A1 (de) Sicheres ermitteln von zeitwerten bei angeschlossenen vorrichtungen
WO2017036686A1 (de) Indirekter berechtigungstransport
DE102019101120A1 (de) System und Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug
DE102016215628B4 (de) Kommunikationssystem zur Verwaltung von Nutzungsrechten an einem Fahrzeug

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed
R016 Response to examination communication