-
Die vorliegende Offenbarung betrifft ein System und ein Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug, insbesondere ein Kraftfahrzeug. Die vorliegende Offenbarung betrifft insbesondere die sichere Vergabe von Zugangs- und/oder Motorstartberechtigungen an eine Vielzahl von Nutzern.
-
Stand der Technik
-
Mobile Identifikationsgeber können eingesetzt werden, um Fahrzeuge kontaktlos zu Entriegeln und dem Benutzer des Identifikationsgebers damit Zugang zum Fahrzeug zu verschaffen. Im Allgemeinen werden Systeme eingesetzt, bei denen Authentifizierungsdaten drahtlos übertragen werden. Im Falle einer positiven Authentifizierung durch das Fahrzeug erfolgt die automatische Entriegelung der Türen und/oder des Kofferraums. Zudem kann ein Motorstart autorisiert bzw. ermöglicht werden.
-
Als mobile Identifikationsgeber können mobile Endgeräte wie Smartphones eingesetzt werden. Zum Beispiel kann der Fahrzeugbesitzer auf seinem mobilen Endgerät (auch als „Eigen-Endgerät“ oder „Owner Device“ bezeichnet) digitale Schlüssel an die mobilen Endgeräte anderer Nutzer (auch als „Fremd-Endgerät“ oder „Friend Device“ bezeichnet) weitergeben. Durch eine Synchronisierung zwischen dem Eigen-Endgerät des Fahrzeugbesitzers und dem Fahrzeug gelangen Information über einen neu ausgestellten Schlüssel und entzogene Schlüssel an das Fahrzeug. Hier kann es jedoch vorkommen, dass die mobilen Endgeräte einen anderen Stand der Berechtigungen haben als das Fahrzeug.
-
Insbesondere kann das Fremd-Endgerät einen digitalen Schlüssel vom Fahrzeugbesitzer erhalten und das Fahrzeug wird durch ein Datenpaket darüber informiert. Zudem kann der Fahrzeugbesitzer einem Fremd-Endgerät die Berechtigung entziehen und das Fahrzeug wird entsprechend informiert, woraufhin die Berechtigung im Fahrzeug gelöscht wird. Im Fall einer fehlenden Synchronisation kann es nun durch Zufall oder durch einen gezielten Angriff dazu kommen, dass mit Hilfe des erwähnten Datenpakets erneut eine ungewollte Zugangsberechtigung für das Fremd-Endgerät am Fahrzeug erwirkt wird.
-
Um diese Probleme zu vermeiden können Revokationslisten verwendet werden. Das Fahrzeug müsste in diesem Falle die Historie aller gelöschten Schlüssel persistieren. Soll ein neuer Schlüssel registriert werden, müsste ein Abgleich mit dieser Liste stattfinden. So wird geprüft, dass der vermeintlich neue Schlüssel nicht schon einmal entzogen wurde. Die Revokationsliste können aufgrund von begrenztem (sicheren) Speicherplatz im Fahrzeugsteuergerät jedoch nicht robust umgesetzt werden.
-
Offenbarung der Erfindung
-
Es ist eine Aufgabe der vorliegenden Offenbarung, ein System und ein Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug, insbesondere ein Kraftfahrzeug, bereitzustellen, die eine Vergabe von Zugangsberechtigungen an eine Vielzahl von Nutzer ermöglichen. Insbesondere ist es eine Aufgabe der vorliegenden Offenbarung, eine sichere und ressourcensparende Verwaltung von Zugangs- und/oder Motorstartberechtigungen zu einem Fahrzeug zu ermöglichen.
-
Diese Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen sind in den Unteransprüchen angegeben.
-
Gemäß einem unabhängigen Aspekt der vorliegenden Offenbarung ist ein System zum Verwalten einer Berechtigung für ein Fahrzeug angegeben. Die Berechtigung kann einen Zugang zum Fahrzeug und/oder eine Motorstartfreigabe betreffen. Das System umfasst ein fahrzeugseitiges Speichermodul mit einer Schlüsselliste, die eine Vielzahl von Einträgen für eine Vielzahl von digitalen Schlüsseln enthält, die mittels einer ersten (externen) elektronischen Vorrichtung („Eigen-Endgerät“) an einzelne Nutzer vergebbar sind, wobei jeder digitale Schlüssel eine Fahrzeugberechtigung für einen Nutzer darstellt (z.B. eine Zugangsberechtigung und/oder eine Motorstartberechtigung), und wobei jedem Eintrag in der Schlüsselliste ein einmaliger Identifikator zugeordnet ist; und ein Kommunikationsmodul, das eingerichtet ist, um wenigstens einen einmaligen Identifikator, der einem nicht-vergebenen Eintrag zugeordnet ist (also einem Eintrag, der noch keinen Schlüssel für einen bestimmten Nutzer enthält), vom Fahrzeug an die erste elektronische Vorrichtung zu übertragen. Vorzugsweise ist der einmalige Identifikator eine 2-Byte-Variable.
-
Erfindungsgemäß sind gültige digitale Schlüssel („Keys“) in einer Schlüsselliste mit einer begrenzten Anzahl von Einträgen im Fahrzeug gespeichert, die für entsprechende Nutzer einen Zugang und/oder einen Motorstart ermöglichen. Jeder Eintrag der Schlüsselliste kann dabei von Anfang an existieren und leer sein, wenn der Eintrag noch nicht genutzt wird bzw. noch keinem Nutzer zugeteilt ist. Jedem Eintrag in der Schlüsselliste ist ein einmalig in der Schlüsselliste vorhandener Identifikator („Key-Slot“) als Variable zugeordnet. Anders gesagt ist kein Identifikator mehr als einem Eintrag bzw. digitalen Schlüssel zugeordnet.
-
Um nun eine Berechtigung zum Beispiel an einen Freund weiterzugeben, empfängt die erste elektronische Vorrichtung (z.B. das Eigen-Endgerät bzw. Owner Device) zunächst vom Fahrzeug einen Identifikator, der für einen „leeren“ Eintrag in der Schlüsselliste des Fahrzeugs steht. Die erste elektronische Vorrichtung kann den „leeren“ Identifikator an eine zweite elektronische Vorrichtung (z.B. das Fremd-Endgerät bzw. Friend Device) weitergeben, die den digitalen Schlüssel zum Beispiel mittels asymmetrischer Verschlüsselung erzeugen kann. Dem erzeugten digitalen Schlüssel wird der Identifikator zugewiesen. Die zweite elektronische Vorrichtung überträgt zumindest einen Teil des erzeugten digitalen Schlüssels (z.B. den Public Key) an die erste elektronische Vorrichtung, die wiederum ein Datenpaket an das Fahrzeug überträgt. Das an das Fahrzeug übertragene Datenpaket kann den digitalen Schlüssel (z.B. den Public Key), den Identifikator und optional Definitionen der Berechtigungen enthalten.
-
Damit wird ein „Comfort Access“ oder „Passive Entry“ bereitgestellt, der einen komfortablen Zugang zum Fahrzeug zum Beispiel mittels eines mobilen Endgeräts ermöglicht. Das mobile Endgerät, das das Eigen-Endgerät oder das Fremd-Endgerät sein kann, speichert den digitalen Schlüssel zum Beispiel nachdem es den digitalen Schlüssel für einen einmaligen Identifikators erzeugt hat. Wenn vom mobilen Endgerät ein Datenpaket mit dem digitalen Schlüssel an das Fahrzeug übertragen wird, kann das Fahrzeug die Integrität des Datenpakets (z.B. Signatur, Verschlüsselung) prüfen und den Schlüssel, wie zum Beispiel den Public Key, zuzüglich definierter Berechtigungen in den korrespondierenden Eintrag (bzw. Key-Slot) in der Schlüsselliste einfügen. Dem mobilen Endgerät können ab diesem Zeitpunkt die zum Beispiel vom Eigentümer bestimmten Berechtigungen gewährt werden.
-
In einigen Ausführungsformen kann ein Datenpaket, das zu Beginn vom Fahrzeug an das Eigen-Endgerät übertragen wird, den einmaligen Identifikator enthalten. Insbesondere kann das Datenpaket, das vom Fahrzeug an das Eigen-Endgerät übertragen wird, den einmaligen Identifikator aber nicht den digitalen Schlüssel enthalten. Die vorliegende Offenbarung ist jedoch nicht hierauf begrenzt und in der fahrzeugseitigen Schlüsselliste können vorab digitale Schlüssel gespeichert sein, die zusammen mit dem Identifikator übertragen werden können. Optional kann das Datenpaket weiter einen Index des Eintrags (d.h. eine Position oder Zeile in der Schlüsselliste) umfassen.
-
Das Fahrzeug und die erste elektronische Vorrichtung können direkt oder indirekt miteinander kommunizieren. Die direkte Kommunikation ist unmittelbar, d.h. es sind keine weiteren Einheiten zwischengeschaltet. Die indirekte Kommunikation ist mittelbar, d.h. es ist wenigstens eine weitere Einheit zwischengeschaltet, wie zum Beispiel ein Backend oder das Fremd-Endgerät. Vorzugsweise können das Fahrzeug und die erste elektronische Vorrichtung über Bluetooth oder NFC (Near Field Communication) kommunizieren. Ähnlich kann das Eigen-Endgerät ein Datenpaket mit dem einmaligen Identifikator an das Fremd-Endgerät zum Beispiel über Bluetooth, NFC (Near Field Communication) oder das Internet (z.B. durch Messenger-Dienste, Email, usw.) übertragen.
-
Wird vom Eigen-Endgerät oder Fremd-Endgerät ein Datenpaket mit einem gültigen digitalen Schlüssel an das Fahrzeug gesendet und der digitale Schlüssel dort erkannt, erteilt das System die Erlaubnis das Auto zu öffnen und/oder den Motor zu starten. Ein gültiger digitaler Schlüssel liegt insbesondere dann vor, wenn ein Eintrag in der im Fahrzeug gespeicherten Schlüsselliste mit dem Identifikator des empfangenen digitalen Schlüssels vorhanden ist. Wenn der Identifikator des empfangenen digitalen Schlüssels nicht vorhanden ist, kann oder muss der Zugang verweigert werden.
-
Der digitale Schlüssel, der auch als „virtueller Schlüssel“ bezeichnet werden kann, kann jeder geeignete im Wesentlichen fälschungssichere Schlüssel sein, der digital erzeugt und mit Datenübertragung zwischen zwei elektronischen Einheiten zum Beispiel mittels NFC-Technologie übertragen werden kann. Insbesondere kann eine asymmetrische Verschlüsselung mit einem Secret Key und einem Public Key verwendet werden.
-
Vorzugsweise kann das System ein Counter-Modul umfassen, das eingerichtet ist, um die Identifikatoren für die Einträge in der Schlüsselliste bzw. digitalen Schlüssel fortlaufend zu erzeugen. Beispielsweise können die Identifikatoren Variablen sein, die auf eine monotone Weise durch das Counter-Modul erhöht werden. Insbesondere kann bei Erstellung eines neuen Identifikators sichergestellt werden, dass der neue Identifikator der höchste Identifikator in der Schlüsselliste im Fahrzeug ist. Damit ist jeder Identifikator im Kontext des Fahrzeugs einzigartig und wird nur ein einziges Mal zugeordnet. Hierdurch können zum Beispiel Speicherressourcen gespart werden, da eine begrenzte Anzahl an Einträgen in der Schlüsselliste für eine sichere Zugangsverwaltung ausreichend ist. Beispielsweise kann die im Fahrzeug gespeicherte Schlüsselliste 100 Einträge (bzw. digitale Schlüssel) oder weniger, 50 Einträge (bzw. digitale Schlüssel) oder weniger, oder sogar 20 Einträge (bzw. digitale Schlüssel) oder weniger enthalten.
-
Vorzugsweise kann der Counter rückgesetzt werden, beispielsweise bei einem Besitzerwechsel des Fahrzeugs. Damit können die Identifikatoren wieder von vorne beginnend erzeugt werden. Hierdurch kann zum Beispiel ein Überlaufen des Counters nach längerem und/oder intensivem Gebrauch verhindert werden.
-
Die vorliegende Offenbarung ist jedoch nicht auf die Verwendung eines Counters beschränkt und die eindeutigen Identifikatoren können unter Verwendung anderer geeigneter Mittel erzeugt werden.
-
Vorzugsweise ist die erste elektronische Vorrichtung (also das Eigen-Endgerät) eingerichtet, um den vom Fahrzeug empfangenen Identifikator an die zweite elektronische Vorrichtung (also das Fremd-Endgerät) zu übertragen. Die zweite elektronische Vorrichtung kann eingerichtet sein, um:
- - einen digitalen Schlüssel, und insbesondere ein asymmetrisches Schlüsselpaar, zu erzeugen;
- - dem erzeugten digitalen Schlüssel den von der ersten elektronischen Vorrichtung empfangenen Identifikator zuzuordnen; und
- - den erzeugten digitalen Schlüssel zumindest teilweise an die erste elektronische Vorrichtung zu übertragen.
-
Zum Beispiel kann die zweite elektronische Vorrichtung einen Public Key und den zugehörigen Identifikator an die erste elektronische Vorrichtung übertragen. Optional können Definitionen von Berechtigungen übertragen werden. Diese können definieren, welche Berechtigungen der digitale Schlüssel umschließt (z.B. nur Zugang zum Fahrzeug; Zugang und Motorstart; usw.)
-
Vorzugsweise ist die erste elektronische Vorrichtung eingerichtet, um ein Datenpaket zu erzeugen, das zumindest den von der zweiten elektronischen Vorrichtung erzeugten digitalen Schlüssel enthält, und um das Datenpaket direkt oder indirekt an das Fahrzeug zu übertragen. Das Datenpaket enthält weiter den Identifikator und optional die Definitionen der Berechtigungen.
-
Vorzugsweise ist das System weiter eingerichtet ist, um den im Datenpaket enthaltenen digitalen Schlüssel dem Eintrag in der fahrzeugseitigen Schlüsselliste hinzuzufügen, der dem Identifikator entspricht.
-
Vorzugsweise ist das System weiter eingerichtet, um eine Berechtigung der ersten elektronischen Vorrichtung, wie zum Beispiel des Eigen-Endgeräts, zu prüfen. Insbesondere kann eine einmalige oder mehrmalige Authentifizierung des Eigen-Endgeräts erfolgen, um die Berechtigung des Nutzers sicherzustellen. Der Identifikator, der dem nicht-vergebenen „leeren“ Eintrag in der Schlüsselliste zugeordnet ist, kann nur dann an die erste elektronische Vorrichtung übertragen werden, wenn eine positive Berechtigung der ersten elektronischen Vorrichtung vorliegt. Zum Beispiel kann das Eigen-Endgerät einmalig authentifiziert werden, um die Berechtigung für die Schlüsselnutzung und Schlüsselweitergabe zu erhalten. In einigen Ausführungsformen kann das Eigen-Endgerät z.B. in einem Backend eines Dienstleisters (z.B. Fahrzeugherstellers oder Carsharing-Dienstleisters) registriert werden, um die Berechtigung für die Schlüsselnutzung und Schlüsselweitergabe zu erhalten. Damit kann das Eigen-Endgerät als Master der Schlüsselverwaltung dienen.
-
Vorzugsweise ist das System eingerichtet, um in der im Fahrzeug gespeicherten Schlüsselliste einen vorhandenen Identifikator eines digitalen Schlüssels durch einen neuen Identifikator zu ersetzen, wenn eine Eingabe zum Löschen einer Zugangsberechtigung bezüglich dieses digitalen Schlüssels empfangen wird. Zum Beispiel kann die Berechtigung bzw. der Schlüssel eines Nutzers bzw. Fremd-Geräts entzogen und gelöscht werden. Der dem Schlüssel zugehörige Identifikator wird dann in der Schlüsselliste durch einen neuen Identifikator ersetzt, so dass der Nutzer bzw. das Fremd-Gerät keine Berechtigung für einen Zugang zum Fahrzeug mehr besitzt. Der Eintrag mit dem neuen Identifikator kann dann erneut durch das Eigen-Endgerät vergeben werden. Der neue Identifikator kann zum Beispiel mittels des Counters erzeugt werden.
-
In einigen Ausführungsformen kann die Eingabe zum Löschen der Zugangsberechtigung durch das Eigen-Endgerät erfolgen. Zum Beispiel kann das Eigen-Endgerät mittels Bluetooth oder NFC ein Datenpaket an das Fahrzeug übertragen, das das Erlöschen der Zugangsberechtigung anzeigt. In weiteren Ausführungsformen kann die Eingabe zum Löschen einer Zugangsberechtigung eines Nutzers direkt im Fahrzeug erfolgen, zum Beispiel durch eine Eingabe in ein Bedienfeld des Fahrzeugs.
-
Gemäß einem weiteren unabhängigen Aspekt der vorliegenden Offenbarung ist ein Fahrzeug angegeben, umfassend das in diesem Dokument beschriebene System. Der Begriff Fahrzeug umfasst PKW, LKW, Busse, Wohnmobile, Krafträder, etc., die der Beförderung von Personen, Gütern, etc. dienen. Insbesondere umfasst der Begriff Kraftfahrzeuge zur Personenbeförderung.
-
Gemäß einem weiteren unabhängigen Aspekt der vorliegenden Offenbarung ist eine elektronische Vorrichtung (z.B. ein Eigen-Endgerät bzw. Owner Device) angegeben, umfassend ein Empfangsmodul, das eingerichtet ist, um das Datenpaket mit dem wenigstens einen Identifikator vom System zum Verwalten eines Zugangs zu einem Fahrzeug zu empfangen. Die individuellen Identifikatoren können in einem Speichermedium der elektronischen Vorrichtung gespeichert werden.
-
Vorzugsweise ist die elektronische Vorrichtung (z.B. die erste elektronische Vorrichtung und/oder die zweite elektronische Vorrichtung) ein mobiles Endgerät. Ein mobiles Endgerät ist ein Gerät, welches in der Lage ist, in einem mobilen Netzwerk über lokale Netzwerke bzw. Local Area Networks (LANs), wie z.B. Wireless LAN (WiFi/WLAN), oder über Weitverkehrsnetze bzw. Wide Area Networks (WANs) wie z.B. Global System for Mobile Communication (GSM), General Package Radio Service (GPRS), Enhanced Data Rates for Global Evolution (EDGE), Universal Mobile Telecommunications System (UMTS), High Speed Downlink/Uplink Packet Access (HSDPA, HSUPA), Long-Term Evolution (LTE), oder World Wide Interoperability for Microwave Access (WIMAX) drahtlos zu kommunizieren. Eine Kommunikation über weitere gängige, z.B. NFC und UWB (Ultra Wide Band), oder künftige Kommunikationstechnologien, z.B. 5G-Mobildunksysteme, ist möglich. Der Begriff mobiles Endgerät umfasst insbesondere Smartphones, aber auch andere mobile Telefone bzw. Handys, Personal Digital Assistants (PDAs), Tablet PCs, Notebooks, Smart Watches sowie alle gängigen sowie künftigen elektronischen Geräte, welche mit einer Technologie zum Laden und Ausführen von Apps ausgestattet sind.
-
Gemäß einem weiteren unabhängigen Aspekt der vorliegenden Offenbarung ist ein Verfahren zum Verwalten einer Berechtigung für ein Fahrzeug angegeben. Das Verfahren umfasst ein Bereitstellen einer fahrzeugseitigen Schlüsselliste, die eine Vielzahl von Einträgen für eine Vielzahl von digitalen Schlüsseln enthält, die mittels einer ersten elektronischen Vorrichtung an einzelne Nutzer vergebbar sind, wobei jeder digitale Schlüssel eine Fahrzeugberechtigung für einen Nutzer darstellt, und wobei jedem Eintrag in der Schlüsselliste ein (einziger) einmaliger Identifikator zugeordnet ist; und ein Übertragen wenigstens eines einmaligen Identifikators, der einem nicht-vergebenen Eintrag in der Schlüsselliste zugeordnet ist, vom Fahrzeug an die erste elektronische Vorrichtung.
-
Das Verfahren kann die in diesem Dokument beschriebenen Aspekte des Systems zum Verwalten einer Berechtigung für ein Fahrzeug implementieren.
-
Figurenliste
-
Ausführungsbeispiele der Offenbarung sind in den Figuren dargestellt und werden im Folgenden näher beschrieben. Es zeigen:
- 1 ein Fahrzeug und ein Eigen-Endgerät gemäß Ausführungsformen der vorliegenden Offenbarung,
- 2 eine Datenübertragung zwischen einem Eigen-Endgerät und einem Fremd-Endgerät gemäß Ausführungsformen der vorliegenden Offenbarung, und
- 3A und 3B Schlüssellisten gemäß Ausführungsformen der vorliegenden Offenbarung.
-
Ausführungsformen der Offenbarung
-
Im Folgenden werden, sofern nicht anders vermerkt, für gleiche und gleichwirkende Elemente gleiche Bezugszeichen verwendet.
-
1 zeigt ein Fahrzeug 100 und eine elektronische Vorrichtung 10 gemäß Ausführungsformen der vorliegenden Offenbarung.
-
Das System umfasst ein Speichermodul 110 mit einer Schlüsselliste, die eine Vielzahl von Einträgen für eine Vielzahl von digitalen Schlüsseln enthält, die mittels einer ersten (externen) elektronischen Vorrichtung 10 an einzelne Nutzer vergebbar sind, wobei jeder digitale Schlüssel eingerichtet ist, um beispielsweise einen Zugang zum Fahrzeug und/oder einen Motorstart zu ermöglichen, und wobei jedem Eintrag bzw. digitalen Schlüssel ein einmaliger Identifikator zugeordnet ist. Das System umfasst weiter ein Kommunikationsmodul 120, das eingerichtet ist, um wenigstens einen einmaligen Identifikator, der einem nicht-vergebenen Eintrag in der Schlüsselliste zugeordnet ist, an die erste elektronische Vorrichtung 10 zu übertragen.
-
Das Speichermodul 110 und das Kommunikationsmodul 120 können in getrennten Software- und/oder Hardware-Modulen realisiert sein, oder können in einem gemeinsamen Software- und/oder Hardware-Modul realisiert sein. Insbesondere können das Speichermodul 110 und das Kommunikationsmodul 120 im Fahrzeug 100 implementiert sein.
-
Das Fahrzeug 100 kann weiter ein Steuermodul umfassen, das eingerichtet ist, um Fahrzeugfunktionen zu steuern, und insbesondere freizugeben, wie zum Beispiel einen Schließmechanismus von Türen des Fahrzeugs und/oder einen Motorstart. Das Steuermodul kann mit dem Speichermodul 110 und dem Kommunikationsmodul 120 in Kommunikationsverbindung stehen, um die in diesem Dokument beschriebenen Funktionen zum Beispiel zum Entriegeln der Türen des Fahrzeugs auszuführen. In einigen Ausführungsformen können das Speichermodul 110 und/oder das Kommunikationsmodul 120 im Steuermodul integriert sein.
-
Zum Beispiel kann das Fahrzeug 100 ein Keyless-System mit einem Schließsystem, und insbesondere einer Zentralverriegelung umfassen. Ergänzend oder alternativ kann das Keyless-System eingerichtet sein, um einen Motorstart zum Beispiel durch Betätigen eines Bedienelements im Innenraum des Fahrzeugs 100 zu ermöglichen. Wenn das Keyless-System basierend auf dem übertragenen Datenpaket mit dem digitalen Schlüssel und dem zugehörigen einmaligen Identifikator eine gültige Berechtigung feststellt, kann das Fahrzeug 100 durch Ansteuern der Zentralverriegelung entriegelt werden. Zudem kann zum Beispiel ein Motorstart-Knopf am Armaturenbrett freigeschaltet werden, so dass der Fahrer den Motor durch ein Betätigen des Motorstart-Knopfes starten kann. Ergänzend oder alternativ kann eine Wegfahrsperre deaktiviert werden.
-
An dieser Stelle wird angemerkt, dass unterschieden wird zwischen einem ersten Fall mit einem Hinzufügen eines digitalen Schlüssels zur Schlüsselliste (hier wird der Identifikator nach den beschriebenen Regeln geprüft) und einem zweiten Fall zur Nutzung eines digitalen Schlüssels. Im zweiten Fall wird zum Beispiel kryptographisch geprüft, ob die elektronische Vorrichtung in der Schlüsselliste vorkommt (z.B. per Challenge/Response-Verfahren anhand des Secret Key und des Public Key). Der Identifikator kann hier hilfreich sein, um den richtigen Schlüssel schneller zu finden.
-
Die erste elektronische Vorrichtung 10 kann ein mobiles Endgerät eines fahrzeugberechtigten Nutzers sein. Das mobile Endgerät des fahrzeugberechtigten Nutzers wird als „Eigen-Endgerät“ bezeichnet und kann zum Beispiel ein Smartphone sein. Der fahrzeugberechtigte Nutzer kann insbesondere der Fahrzeugbesitzer sein, dessen mobiles Endgerät 10 als Master der Schlüsselverwaltung dient.
-
Die erste elektronische Vorrichtung 10 kommuniziert mit dem Kommunikationsmodul 120 des Fahrzeugs 100 über eine Kommunikationsverbindung 20. Die Kommunikationsverbindung kann zum Beispiel eine NFC (Near Field Communication)-Technologie, Bluetooth usw. verwenden. Die vorliegende Offenbarung ist jedoch nicht hierauf begrenzt und es können andere unmittelbare oder mittelbare Kommunikationsmittel verwendet werden, die für einen Datenaustausch geeignet sind. Eine unmittelbare Kommunikation bezieht sich dabei auf eine direkte Kommunikation zwischen der ersten elektronischen Vorrichtung 10 und dem Fahrzeug 100. Eine mittelbare Kommunikation bezieht sich dabei auf eine indirekte Kommunikation zwischen der ersten elektronischen Vorrichtung 10 und dem Fahrzeug 100 über wenigstens eine zwischengeschaltete Einheit, wie zum Beispiel eine zentrale Einheit wie ein Backend.
-
Mittels der Kommunikationsverbindung 20 zwischen der ersten elektronischen Vorrichtung 10 und dem Fahrzeug 100 können vom Fahrzeug „freie“ Identifikatoren vom Fahrzeug 100 an die elektronische Vorrichtung 10 übertragen und in der ersten elektronischen Vorrichtung 10 für die weitere Verwendung gespeichert werden. Die erste elektronische Vorrichtung 10 kann dabei eine Vielzahl von „freien“ Identifikatoren erhalten und speichern. Beispielsweise kann ein Identifikator für einen digitalen Schlüssel für den Eigengebrauch vorgesehen sein, und wenigstens ein weiterer Identifikator für einen digitalen Schlüssel kann für die Weitergabe an andere elektronische Vorrichtungen, wie zum Beispiel Fremd-Endgeräte, vorgesehen sein.
-
2 zeigt die Übertragung eines Identifikators zwischen einem Eigen-Endgerät 10 und einem Fremd-Endgerät 30 gemäß Ausführungsformen der vorliegenden Offenbarung.
-
Das Eigen-Endgerät 10 speichert einen oder mehrere einmalige Identifikatoren, die zuvor vom Fahrzeug erhalten wurden. Das Eigen-Endgerät 10 kann mit wenigstens einer zweiten elektronischen Vorrichtung (d.h. das Fremd-Endgerät 30) über eine Kommunikationsverbindung kommunizieren, um den einmaligen Identifikator an das Fremd-Endgerät 30 zu übertragen.
-
Die zweite elektronische Vorrichtung 30 kann einen digitalen Schlüssel (z.B. Secret Key und Public Key) erzeugen, um eine asymmetrische Verschlüsselung zu ermöglichen. Dem erzeugten digitalen Schlüssel wird der Identifikator zugewiesen. Die zweite elektronische Vorrichtung 30 kann zumindest einen Teil des erzeugten digitalen Schlüssels (z.B. den Public Key) über die Kommunikationsverbindung an die erste elektronische Vorrichtung 10 übertragen.
-
Die erste elektronische Vorrichtung 10 kann ein Datenpaket erzeugen und an das Fahrzeug übertragen. Das Datenpaket kann den empfangenen digitalen Schlüssel (z.B. den Public Key), den Identifikator und optional Definitionen der Berechtigungen enthält.
-
Das Fahrzeug kann die Integrität des empfangenen Datenpakets (z.B. Signatur, Verschlüsselung) prüfen und den Schlüssel, wie zum Beispiel den Public Key, zuzüglich definierter Berechtigungen in den korrespondierenden Eintrag (bzw. Key-Slot) in der Schlüsselliste einfügen. Das Fremd-Endgerät 30 erhält so einen gültigen Schlüssel, mit dem der Nutzer des Fremd-Endgeräts 30 eine Nutzungsberechtigung für das Fahrzeug erhält.
-
In einigen Ausführungsformen kann der übertragene Identifikator im Eigen-Endgerät 10 als vergeben markiert werden. Alternativ kann der übertragene Identifikator im Eigen-Endgerät 10 gelöscht werden. So kann verhindert werden, dass ein Identifikator mehrmals vergeben wird.
-
Das Eigen-Endgerät 10 kommuniziert mit dem Fremd-Endgerät 30 über eine Kommunikationsverbindung. Durch die Kommunikationsverbindung kann die Verwendung von Messenger-Diensten oder Apps ermöglicht werden. Die Kommunikationsverbindung kann zum Beispiel eine NFC (Near Field Communication)-Technologie, Bluetooth usw. verwenden. Die vorliegende Offenbarung ist jedoch nicht hierauf begrenzt und es können andere unmittelbare oder mittelbare Kommunikationsmittel verwendet werden, die für einen Datenaustausch geeignet sind. Eine unmittelbare Kommunikation bezieht sich dabei auf eine direkte Kommunikation zwischen dem Eigen-Endgerät 10 und dem Fremd-Endgerät 30. Eine mittelbare Kommunikation bezieht sich dabei auf eine indirekte Kommunikation zwischen dem Eigen-Endgerät 10 und dem Fremd-Endgerät 30 über wenigstens eine zwischengeschaltete Einheit, wie zum Beispiel eine zentrale Einheit wie ein Backend.
-
3A und 3B zeigen Schlüssellisten gemäß Ausführungsformen der vorliegenden Offenbarung. Typischerweise ist die Schlüsselliste in einem sicheren Speichermodul gespeichert, das im Fahrzeug integriert ist.
-
Die Schlüsselliste umfasst eine begrenzte Anzahl von Einträgen. Jeder Eintrag kann aus einer statischen Bezeichnung (z.B. 1, 2, 3...), dem dynamischen Identifikator („Key-Slot“) und dem digitalen Schlüssel, der zu Beginn leer sein kann, bestehen.
-
Im Beispiel der 3A und B sind die Einträge mit dem Index n indiziert. Beispielsweise kann die Schlüsselliste 100 Einträge (bzw. digitale Schlüssel) oder weniger, 50 Einträge (bzw. digitale Schlüssel) oder weniger, oder sogar 20 Einträge (bzw. digitale Schlüssel) oder weniger enthalten. Jedem Eintrag bzw. jedem digitalen Schlüssel ist ein einmaliger Identifikator zugeordnet. Der einmalige Identifikator kann zum Beispiel eine 2-Byte-Variable sein.
-
Das Fahrzeug kann ein Datenpaket mit einem oder mehreren „freien“ bzw. nicht vergebenen Identifikatoren an das Eigen-Endgerät des Fahrzeugbesitzers übertragen. Wird dann vom Eigen-Endgerät oder einem Fremd-Endgerät ein dem Identifikator zugehöriger digitaler Schlüssel an das Fahrzeug 100 gesendet und dort erkannt, erteilt das System die Erlaubnis das Auto zu öffnen und/oder den Motor zu starten. Ein gültiger digitaler Schlüssel liegt dann vor, wenn ein Eintrag in der im Fahrzeug gespeicherten Schlüsselliste mit dem Identifikator des empfangenen digitalen Schlüssels vorhanden ist. Wenn der Identifikator des empfangenen digitalen Schlüssels nicht vorhanden ist, kann oder muss der Zugang verweigert werden.
-
Insbesondere wird der Identifikator verwendet, um den richtigen Schlüssel in der Schlüsselliste zu finden. Die sichere Authentisierung kann dann anhand eines anderen Datums geschehen. Beispielsweise wird der Public Key in der Schlüsselliste gespeichert und damit per Challenge/Response Verfahren der Private Key des Endgeräts verifiziert, wodurch eine Autorisierung erfolgen kann.
-
Unter Bezugnahme auf die 3A und B wird nun das Löschen einer Berechtigung erläutert. Zum Beispiel kann die Berechtigung eines Nutzers bzw. Fremd-Geräts durch eine Eingabe zum Löschen der Berechtigung entzogen werden. Die Eingabe kann zum Beispiel durch den fahrzeugberechtigten Nutzer des Eigen-Endgeräts erfolgen.
-
In einigen Ausführungsformen kann die Eingabe zum Löschen der Berechtigung durch das Eigen-Endgerät erfolgen. Zum Beispiel kann das Eigen-Endgerät mittels Bluetooth, NFC oder mittelbar über eine Fahrzeug-Backend ein Datenpaket an das Fahrzeug übertragen, das das Erlöschen der Berechtigung anzeigt. In weiteren Ausführungsformen kann die Eingabe zum Löschen einer Berechtigung eines Nutzers direkt im Fahrzeug erfolgen, zum Beispiel durch eine Eingabe in ein Bedienfeld des Fahrzeugs.
-
In noch weiteren Ausführungsformen kann das Löschen eines Schlüssels auch durch ein Backend erfolgen. Dies kann automatisch initiiert werden, wie zum Beispiel nach Ablauf einer Berechtigung. In einem weiteren Beispiel kann das Löschen durch eine Nutzereingabe in einer beliebigen Nutzeroberfläche initiiert werden.
-
Wenn am Fahrzeug die Eingabe zum Löschen einer Berechtigung bezüglich dieses digitalen Schlüssels empfangen wird, kann in der im Fahrzeug gespeicherten Schlüsselliste ein vorhandener Identifikator eines Eintrags durch einen neuen Identifikator ersetzt werden, so dass der Nutzer bzw. das Fremd-Gerät keine Berechtigung für einen Zugang zum Fahrzeug mehr besitzt. Der neue Identifikator kann dann erneut an das Eigen-Endgerät übertragen und durch das Eigen-Endgerät vergeben werden.
-
In den 3A und B ist dies für den Index-Eintrag 1 gezeigt. In der 3A ist enthält der Eintrag „1“ einen digitalen Schlüssel und einen Identifikator 1, die einem bestimmten Nutzer bzw. Fremd-Endgerät zugeordnet sind. Der Eintrag „2“ ist nicht an einen Nutzer vergeben und daher „leer“. Der Eintrag „n“ ist ebenfalls an einen Nutzer vergeben.
-
Wird nun die im Eintrag „1“ definierte Berechtigung entzogen, wird der „Identifikator 1“ der zu löschenden Berechtigung durch einen neuen Identifikator „Identifikator n+1“ ersetzt und optional der zugehörige digitale Schlüssel gelöscht. Die (neuen) Identifikatoren können zum Beispiel durch ein Counter-Modul fortlaufend erzeugt werden. Beispielsweise können die Identifikatoren Variablen sein, die auf eine monotone Weise durch das Counter-Modul erhöht werden. Insbesondere kann bei Erstellung eines neuen Identifikators sichergestellt werden, dass der neue Identifikator der höchste Identifikator in der Schlüsselliste im Fahrzeug ist. Damit ist jeder Identifikator im Kontext des Fahrzeugs einzigartig und wird nur ein einziges Mal zugeordnet. Hierdurch können zum Beispiel Speicherressourcen gespart werden, da eine begrenzte Anzahl an Einträgen in der Schlüsselliste für eine sichere Zugangsverwaltung ausreichend ist.
-
Im Folgenden sind die Probleme bei der Schlüsselverwaltung und erfindungsgemäßen Maßnahmen zur Lösung der Probleme zusammenfassend dargestellt.
-
Im Fahrzeug ist eine sogenannte Schlüsselliste hinterlegt. Die Schlüsselliste bietet aus Speichergründen eine begrenzte Anzahl an Einträgen. Jeder Eintrag der Schlüsselliste entspricht einer Berechtigung für ein Endgerät. Berechtigungen können unterschiedlich sein (z.B. nur Fahrzeugzugang, Motorstart, Entertainment-System, usw.). Ein Eintrag der Schlüsselliste kann in einem initialen Zustand auch leer sein.
-
Jeder Eintrag der Schlüsselliste umfasst einen statischen Index (Eintrag 1, Eintrag 2, ...), ein Datum welches eine eindeutige Authentisierung des Endgeräts ermöglicht (Public Key, symmetrischer Key, usw.) und eine Definition der Berechtigungen welche für dieses Endgerät gelten sollen. Eine neue Berechtigung für ein Endgerät kann auf verschiedene Arten in die Schlüsselliste aufgenommen werden.
-
Eine Möglichkeit ist sogenanntes „Key-Sharing“. Dabei kann der Besitzer des Fahrzeugs mit Hilfe des Owner Devices eine Berechtigung an ein anderes Endgerät weitergeben. Das neue Endgerät wird als Friend Device bezeichnet. Dieser Vorgang läuft in einem Beispiel wie folgt ab:
- a) Das Owner Device sendet eine Einladung an das Friend Device.
- b) Das Friend Device sendet ein eindeutiges Datum zur Authentisierung an das Owner Device. Zum Beispiel kann zur Authentisierung asymmetrische Kryptographie verwendet werden. In diesem Fall entspricht das eindeutige Datum (welches hier übertragen wird) dem Public Key des Devices, dessen korrespondierender Secret Key ausschließlich dem Friend Device bekannt ist.
- c) Das Owner Device erstellt ein Berechtigungspaket für die neue Berechtigung. Dieses beinhaltet mindestens das Datum zur Authentisierung des Friend Devices sowie die zu erteilenden Berechtigungen für das Friend Device.
- d) Das Owner Device versieht das Berechtigungspaket mit Schutzmaßnahmen gegen eine Fälschung oder Manipulation (z.B. Signatur).
- e) Das Berechtigungspaket wird an das Fahrzeug übertragen. Der Kommunikationsweg kann mittelbar, über das Friend Device, über die Backend Verbindung des Fahrzeugs, usw. verlaufen.
- f) Das Fahrzeug überprüft die Schutzmaßnahmen aus d). Die neue Berechtigung wird der Schlüsselliste hinzugefügt. Dem Friend Device stehen ab nun die erteilten Berechtigungen zur Verfügung.
- g) Zu einem beliebigen Zeitpunkt (auch schon nach c)) kann eine Berechtigung wieder entzogen werden. Die Herkunft dieser Revokation kann das Owner Device, ein Backend System oder das Fahrzeug selbst sein. Es kann allerdings in herkömmlichen Systemen manchmal nicht sichergestellt werden, dass das Hinzufügen und Revozieren von (mehreren) Schlüsseln in der richtigen Reihenfolge am Fahrzeug eintrifft und umgesetzt wird (Synchronisationsfehler, Verbindungsfehler, usw.).
-
Ein Problem kann darin bestehen, dass zu einer Berechtigung, welche bereits revoziert wurde, weiterhin ein gültiges Berechtigungspaket existiert. Dieses kann dem Fahrzeug präsentiert werden, wodurch die Berechtigung erneut der Schlüsselliste hinzugefügt wird. Dies entspricht nicht der Intention desjenigen, welcher die Berechtigung revoziert hat und stellt ein Sicherheitsrisiko dar („Replay Attacke“).
-
Eine daraus abgeleitete mögliche Maßnahme besteht darin, dass jede revozierte Berechtigung in der Schlüsselliste verbleibt. Ihr Status wird auf revoziert geändert. Ein Berechtigungspaket, welches einem Eintrag mit dem Status revoziert zugeordnet werden kann verliert somit seine Gültigkeit. Dies entspricht dem Konzept einer Revokations-Liste.
-
Der begrenzte Speicherplatz lässt jedoch nur eine begrenze Anzahl an möglichen Einträgen der Schlüsselliste zu. Dies wiederrum beschränkt die mögliche Anzahl an durchführbaren Aktionen (Hinzufügen und Revokation).
-
Anstatt der oben genannten Maßnahme kann nun ein Zähler für die Schlüsselliste eingeführt werden. Dieser wird mit jeder Revokation erhöht. Der Zähler wird mit allen Instanzen, welche Berechtigungen ausstellen können (Owner Device) synchronisiert. Der aktuelle Zählerwert wird in jedes neue Berechtigungspaket geschrieben. Ein Berechtigungspaket ist ungültig, sobald es einen niedrigeren Zählerwert als den aktuell im Fahrzeug gültigen enthält. Somit kann ein Eintrag der Schlüsselliste nach einer Revokation wiederverwendet werden.
-
Ein Problem kann darin bestehen, dass, wenn eine Revokation durch eine andere Quelle als das Owner Device ausgestellt wird, eine Synchronisation des Zählers nicht sichergestellt werden kann (z.B. hat das Fahrzeug keine Netzverbindung). Das Owner Device stellt somit unwissentlich ungültige Berechtigungspakete aus. Zudem werden zu einem früheren Zeitpunkt ausgestellte Berechtigungspakete, welche dem Fahrzeug noch nicht präsentiert wurden, ungültig.
-
Eine daraus abgeleitete Maßnahme besteht darin, jedem Eintrag in der Schlüsselliste einen zufälligen, eindeutigen Identifikator zuzuordnen. Enthält ein Eintrag keine gültige Berechtigung, ist also frei, wird der dazugehörige Identifikator als frei bezeichnet. Das Fahrzeug übermittelt dem Owner Device eine beliebige Anzahl an freien Identifikatoren. Dies kann zu einem beliebigen Zeitpunkt geschehen (zum Beispiel während der Nutzung des Owner Devices als Fahrzeugschlüssel). Durch Erhöhen der Anzahl kann die Wahrscheinlichkeit erhöht werden, dass das Owner Device jederzeit genügend freie Identifikatoren zur Verfügung hat. Beim Ausstellen einer neuen Berechtigung wird einer der freien Identifikatoren in das Berechtigungspaket geschrieben. Erhält das Fahrzeug ein Berechtigungspaket mit einem freien Identifikator, fügt es die Berechtigung in den zugehörigen Eintrag der Schlüsselliste ein.
-
Eine Revokation setzt den Status des Eintrags auf frei. Das Datum zur Authentisierung wird behalten, bis der Eintrag überschrieben wird. Ein neues Berechtigungspaket kann einen Eintrag des dazugehörigen Identifikators nur überschreiben, wenn es nicht dasselbe Datum zur Authentisierung beinhaltet.
-
Hier kann das jeweils vorherige Berechtigungspaket für einen Identifikator durch eine Revokation jedoch ungültig werden. Allerdings können noch ältere Berechtigungspakete für denselben Identifikator nicht als ungültig erkannt werden.
-
Um dies zu vermeiden wird eine Logik zur Erzeugung und Prüfung eines einmaligen Identifikators verwendet, wie es in der vorliegenden Erfindung definiert ist.
-
Jeder Identifikator wird zum Beispiel durch eine Zahl dargestellt. Jeder neu erzeugte Identifikator ist eine Zahl, welche höher ist, als alle anderen vorhandenen Identifikatoren in der Schlüsselliste (mindestens n+1). Bei einer Revokation wird der Identifikator des Eintrags in der Schlüsselliste gelöscht und neu erzeugt. Somit wird bei einer Revokation der zum Eintrag gehörige Identifikator immer erhöht. Bei der Prüfung eines Berechtigungspakets muss wie oben erläutert nur sichergestellt werden, dass der mitgelieferte Identifikator in der Schlüsselliste vorhanden ist. Ein bereits vorher vergebener und revozierter Identifikator ist somit nicht (bzw. nie) mehr gültig.
-
Es kann theoretisch auf das Hochzählen des Identifikators verzichtet werden, sofern sichergestellt ist, dass jeder Identifikator im Lebenszyklus des Systems exakt ein einziges Mal vorkommt, d.h. einmalig ist.