-
EINLEITUNG
-
Die vorliegende Offenbarung betrifft Systeme und Verfahren zum sicheren Weiterleiten von drahtlosen Nachrichten an und von Kraftfahrzeugen.
-
Peer-Vorrichtungen, wie beispielsweise Mobiltelefone, sind in der Lage, unter Verwendung der Wi-Fi-Technologie für die drahtlose lokale Vernetzung mit anderen Vorrichtungen, die auf dem IEEE 802.11-Standard (Institute of Electrical and Electronics Engineers) basieren, zu kommunizieren. Wi-Fi-Netzwerke ermöglichen Computern, Smartphones und anderen Vorrichtungen, sich mit dem Internet zu verbinden und innerhalb eines vordefinierten Bereichs drahtlos miteinander zu kommunizieren. Um über Wi-Fi-Netzwerke auf das Internet zuzugreifen oder über einen Mobilfunkanbieter auf ein Mobilfunknetz zuzugreifen, werden häufig ein Authentifizierungsverfahren und eine Schlüsselvereinbarung verwendet. Authentifizierungsspezifikationen, Open-Source-Software und Herstellerimplementierungen setzen alle voraus, dass eine Peer-Vorrichtung sowohl einen Wi-Fi-Chipsatz für die Wi-Fi-Kommunikation als auch einen Mobilfunk-Chipsatz mit einem UMTS Teilnehmeridentifizierungsmodul (USIM) zur Kommunikation mit 3G- und 4G-Netzen enthält.
-
Bekannte und häufig verwendete Authentifizierungs- und Schlüsselvereinbarungsprotokolle, wie beispielsweise das Extensible Authentication Protocol (EAP) zum Authentifizieren und Verteilen von Sitzungsschlüsseln, verwenden einen Authentifizierungs- und Schlüsselvereinbarungs-(AKA)-Mechanismus. Ein exemplarisches EAP-AKA-Protokoll (RFC4187) definiert einen Authentifizierungsprozess und Nachrichtenaustausch zwischen einer PEER-Vorrichtung und dem Authentifikator (Träger). Nachrichten werden in der Regel mit dem 802.1X-Protokoll über das WiFi-Netzwerk zwischen der PEER-Vorrichtung und dem Authenticator gesendet. Vor kurzem wurde eine „MintM“-Schwachstelle (Man-in-the-Middle) mit 802.IX als Teil des AKA-Protokolls identifiziert, und 802.1X wurde geändert, um eine Multischicht-Verschlüsselung hinzuzufügen, die in 802.1X-2010 unter Verwendung von 802.1AE unter Verwendung eines Zufallszahlengenerators und eines Schlüssels definiert ist.
-
Long-Term Evolution (LTE) ist ein Standard für die drahtlose Hochgeschwindigkeitskommunikation für mobile Geräte und Datenendgeräte. Die LTE-Sicherheitsarchitektur schreibt vor, dass bei Verwendung eines Zufallszahlengenerators und eines vom Authenticator gesendeten Schlüssels der Peer einen Integritätsschlüssel und einen Chiffrierschlüssel erzeugt, die zum Erzeugen eines Master-Schlüssels verwendet werden. Die PEER-Vorrichtung, die das USIM enthält, und eine PROXY-Vorrichtung, welche die Schlüsselinformationen enthält, können in einem Kraftfahrzeug physisch getrennt sein. Das Übergeben der Schlüssel im Klartext über ein ungeschütztes Medium zwischen der PEER-Vorrichtung und der PROXY-Vorrichtung kann daher zu einem Man-in-the-Middle-Angriff führen. Darüber hinaus definieren bekannte Spezifikationen nicht, was zu tun ist, wenn die Peer-Vorrichtung mit einem anderen ECU (System) verbunden ist, das sich in einem anderen Netzwerksegment befindet.
-
Somit, obwohl die aktuellen Authentifizierungsprotokolle ihren Zweck erfüllen, besteht ein Bedarf an einem neuen und verbesserten System und Verfahren zur Weitergabe der EAP-AKA-Authentifizierung, wobei eine PEER-Vorrichtung von einer PROXY-Vorrichtung getrennt ist, die ein USIM enthält.
-
KURZDARSTELLUNG
-
Gemäß mehreren Aspekten beinhaltet ein sicheres EAP-AKA (Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung) Authentifizierungssystem eine PROXY-Vorrichtung eines Kraftfahrzeug-Kommunikationssystems, das eine drahtlose Kommunikation mit einem Authentifikator eines Dienstanbieters ermöglicht. Eine PEER-Vorrichtung ist von der PROXY-Vorrichtung getrennt. Ein Ethernet-Tunnel, der ein Transportschicht-Sicherheitselement (TLS) definiert, ist mit jedem der PROXY-Vorrichtungen und der PEER-Vorrichtung verbunden und ermöglicht eine sichere Kommunikation zwischen der PROXY-Vorrichtung und der PEER-Vorrichtung.
-
In einem weiteren Aspekt der vorliegenden Offenbarung leitet die PROXY-Vorrichtung nach dem Empfangen eines EAP-Signal zur Anforderung der Identität, das die PROXY-Vorrichtung vom Authentifikator empfängt, eine Anforderung für ein Signal zur internationalen Mobilfunkteilnehmerkennung (IMSI) an die PEER-Vorrichtung weiter, die eine IMSI anfordert.
-
In einem weiteren Aspekt der vorliegenden Offenbarung gibt ein von der PEER-Vorrichtung erzeugtes IMSI-Rückgabesignal die IMSI über das TLS an die PROXY-Vorrichtung zurück.
-
In einem weiteren Aspekt der vorliegenden Offenbarung wird ein von der PROXY-Vorrichtung erzeugtes EAP-Response-Identity-Signal drahtlos an den Authentifikator weitergeleitet.
-
In einem weiteren Aspekt der vorliegenden Offenbarung laufen mehrere Algorithmen des Authentifikators, um eine Zufallszahl und ein Authentifizierungstoken zu erzeugen, die in einem EAP-Response-AKA-Challenge-Signal an die PROXY-Vorrichtung zurückgegeben werden. Ein AKA-Challenge-Response-Signal wird über das TLS von der PROXY-Vorrichtung an die PEER-Vorrichtung weitergeleitet. Ein AKA-Algorithmus in der PEER-Vorrichtung läuft nach dem Empfangen des AKA-Challenge-Request-Signals, um die Authentizität des Authentifizierungstokens zu überprüfen und zu identifizieren, ob eine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht.
-
In einem weiteren Aspekt der vorliegenden Offenbarung, wenn eine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht, gibt die PEER-Vorrichtung ein AKA-Challenge-Response-Signal über das TLS an die PROXY-Vorrichtung zurück. Die PROXY-Vorrichtung leitet drahtlos ein EAP-Response-AKA-Challenge-Signal einschließlich der Schlüssel zum Authentifikator weiter.
-
In einem weiteren Aspekt der vorliegenden Offenbarung überprüft ein Server des Authentifikators das EAP-Response-AKA-Challenge-Signal von der PROXY-Vorrichtung und überprüft, ob ein gegenseitiger Authentifizierungscode unter Verwendung der Schlüssel von der PEER-Vorrichtung vorhanden ist, und wenn der gegenseitige Authentifizierungscode bestätigt wird, wird ein Authentifizierungserfolgssignal ausgegeben.
-
In einem weiteren Aspekt der vorliegenden Offenbarung, wenn die PEER-Vorrichtung den Authentifizierungscode zurückweist, der anzeigt, dass keine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht, wird ein AKA-Authentifizierungsablehnungssignal von der PEER-Vorrichtung erzeugt und von der PEER-Vorrichtung an die PROXY-Vorrichtung weitergeleitet. Ein EAP-Response-AKA-Authentifizierungsablehnungssignal wird von der PROXY-Vorrichtung erzeugt und von der PROXY-Vorrichtung an den Authentifikator weitergeleitet.
-
In einem weiteren Aspekt der vorliegenden Offenbarung beinhaltet die Peer-Vorrichtung ein UMTS Teilnehmeridentifizierungsmodul (USIM), welches das IMSI speichert.
-
In einem weiteren Aspekt der vorliegenden Offenbarung beinhaltet die PROXY-Vorrichtung ein Wi-Fi-Element für die Wi-Fi-Konnektivität.
-
Gemäß mehreren Aspekten beinhaltet ein sicheres EAP-AKA (Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung) Authentifizierungssystem eine PROXY-Vorrichtung eines Kraftfahrzeug-Kommunikationssystems, das eine drahtlose Kommunikation mit einem Authentifikator eines Dienstanbieters ermöglicht. Eine PEER-Vorrichtung ist von der PROXY-Vorrichtung getrennt, wobei die PEER-Vorrichtung ein UMTS Teilnehmeridentifizierungsmodul (USIM) beinhaltet, das eine internationale Mobilfunkteilnehmerkennung (IMSI) speichert. Ein Transportschicht-Sicherheits-(TLS)-Element, das ein Ethernet-Tunnelelement definiert, ist mit der jeweiligen PROXY-Vorrichtung und der PEER-Vorrichtung verbunden und ermöglicht die Kommunikation zwischen der PROXY-Vorrichtung und der PEER-Vorrichtung. Eine EAP-Zustandsmaschine ist mit der PROXY-Vorrichtung verbunden.
-
In einem weiteren Aspekt der vorliegenden Offenbarung empfängt und verarbeitet die PEER-Vorrichtung EAP-Nachrichten über das TLS und reagiert auf die PROXY-Vorrichtung, die sich dann mit der EAP-Zustandsmaschine verbindet.
-
In einem weiteren Aspekt der vorliegenden Offenbarung werden die EAP-Nachrichten durch die EAP-Zustandsmaschine auf der PROXY-Vorrichtung geleitet, wobei die PROXY-Vorrichtung dann eine Reihe von Smartcard-APIs zum Durchführen eines EAP-Kommunikationsprozesses aussendet.
-
In einem weiteren Aspekt der vorliegenden Offenbarung wird ein Signal, das die IMSI anfordert, von der PROXY-Vorrichtung an die PEER-Vorrichtung weitergeleitet, nachdem die PROXY-Vorrichtung vom Authentifikator ein EAP-Anforderungsidentitätssignal empfangen hat.
-
In einem weiteren Aspekt der vorliegenden Offenbarung gibt ein von der PEER-Vorrichtung erzeugtes IMSI-Rückgabesignal die IMSI über das TLS an die PROXY-Vorrichtung zurück. Ein von der PROXY-Vorrichtung erzeugtes EAP-Anforderungsidentitätssignal drahtlos an den Authentifikator weitergeleitet.
-
In einem weiteren Aspekt der vorliegenden Offenbarung werden mehrere Algorithmen durch den Authentifikator ausgeführt, um eine Zufallszahl und ein Authentifizierungstoken zu erzeugen, die drahtlos in einem EAP-Response-AKA-Challenge-Signal an die PROXY-Vorrichtung zurückgegeben werden.
-
In einem weiteren Aspekt der vorliegenden Offenbarung wird ein AKA-Challenge-Response-Signal über das TLS von der PROXY-Vorrichtung an die PEER-Vorrichtung weitergeleitet. Ein AKA-Algorithmus in der PEER-Vorrichtung läuft nach dem Empfangen des AKA-Challenge-Request-Signals, um die Authentizität des Authentifizierungstokens zu überprüfen und zu identifizieren, ob eine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht. Wenn eine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung, der PROXY-Vorrichtung und dem Authentifikator besteht, gibt die PEER-Vorrichtung ein AKA-Challenge-Response-Signal über das TLS an die PROXY-Vorrichtung zurück. Die PROXY-Vorrichtung leitet drahtlos ein EAP-Response-AKA-Challenge-Signal einschließlich der Schlüssel zum Authentifikator weiter.
-
Gemäß mehreren Aspekten umfasst ein Verfahren zum Durchführen einer sicheren EAP-AKA (Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung) Authentifizierung die folgenden Schritte: Bereitstellen einer drahtlosen Kommunikation mit einem Authentifikator eines Dienstanbieters für eine PROXY-Vorrichtung eines Kraftfahrzeug-Kommunikationssystems, wobei die PROXY-Vorrichtung ein Wi-Fi-Element für eine Wi-Fi-Konnektivität beinhaltet; Speichern einer internationalen Mobilfunkteilnehmerkennung (IMSI) in einem UMTS Teilnehmeridentifizierungsmodul (USIM) in einer PEER-Vorrichtung, die von der PROXY-Vorrichtung getrennt ist; Verbinden der PROXY-Vorrichtung mit der PEER-Vorrichtung unter Verwendung eines Transportschicht-Sicherheitselements (TLS), das ein Ethernet-Tunnelelement definiert, um eine Kommunikation zwischen der PROXY-Vorrichtung und der PEER-Vorrichtung bereitzustellen; und Verbinden einer EAP-Zustandsmaschine mit der PROXY-Vorrichtung.
-
In einem weiteren Aspekt der vorliegenden Offenbarung beinhaltet das Verfahren ferner das Zuführen von EAP-Nachrichten durch die EAP-Zustandsmaschine auf der
-
PROXY-Vorrichtung; und das Senden eines Satzes von Smartcard-APIs zum Durchführen eines EAP
-
-Kommunikationsprozesses von der PROXY-Vorrichtung aus.
-
In einem weiteren Aspekt der vorliegenden Offenbarung beinhaltet das Verfahren ferner: das Weiterleiten eines Signals, das die IMSI von der PROXY-Vorrichtung an die PEER-Vorrichtung anfordert, nach dem Empfangen eines EAP-Request-Identity-Signals durch die PROXY-Vorrichtung vom Authentifikator, der ein IMSI-Rückgabesignal durch die PEER-Vorrichtung erzeugt, um die IMSI über das TLS an die PROXY-Vorrichtung zurückzugeben; und das Erzeugen einer EAP-Response-Identität, die von der PROXY-Vorrichtung erzeugt wird, die drahtlos die EAP-Response-Identität an den Authentifikator weitergeleitet.
-
Weitere Anwendungsbereiche werden aus der hierin bereitgestellten Beschreibung ersichtlich. Es ist zu beachten, dass die Beschreibung und die spezifischen Beispiele nur dem Zweck der Veranschaulichung dienen und nicht dazu beabsichtigt sind, den Umfang der vorliegenden Offenbarung zu begrenzen.
-
Figurenliste
-
Die hierin beschriebenen Zeichnungen dienen lediglich der Veranschaulichung und sollen den Umfang der vorliegenden Offenbarung in keiner Weise einschränken.
- 1 ist ein Diagramm eines sicheren Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung Authentifizierungssystems gemäß einer exemplarischen Ausführungsform;
- 2 ist ein Flussdiagramm von den gesicherten Nachrichten wegen des EAP-AKA-Systems von 1; und
- 3 ist ein Diagramm, das mehrere verfügbare Kommunikationsverbindungen darstellt, die für das EAP-AKA-System von 1 verfügbar sind.
-
AUSFÜHRLICHE BESCHREIBUNG
-
Die folgende Beschreibung ist ihrer Art nach lediglich exemplarisch und beabsichtigt nicht, die vorliegende Offenbarung, Anwendung oder Verwendungen zu begrenzen.
-
Unter Bezugnahme auf 1 ist ein sicheres EAP-AKA (Extensible Authentication Protocol - Authentifizierung und Schlüsselvereinbarung) Authentifizierungssystem 10 für ein Kommunikationssystem 12 in einem Kraftfahrzeug 14 vorgesehen. Komponenten des Kommunikationssystems 12 beinhalten eine PEER-Vorrichtung 16 mit einem UMTS Teilnehmeridentifizierungsmodul (USIM) 18 für die drahtlose 3G- oder 4G-LTE-Kommunikation. Die PEER-Vorrichtung 16 kann eine Login-Adresse 192.168.1.102 für den privaten Netzwerkrouter aufweisen. Eine PROXY-Vorrichtung 20 ist physisch von der PEER-Vorrichtung 16 getrennt und steht in direkter Verbindung mit der PEER-Vorrichtung 16 über einen Ethernet-Kabel-„Tunnel“, der eine Transportschicht-Sicherheit (TLS) 22 definiert. Die „physische Trennung“ zwischen der PEER-Vorrichtung 16 und der PROXY-Vorrichtung 20 kann aufgrund des Fahrzeugraums und der Konfiguration des Kommunikationssystems 12 von ca. 2 cm bis mehr als 1 Meter betragen.
-
Das TLS 22 ermöglicht die Aufrüstung eines bestehenden Fahrzeugkommunikationssystems, um sowohl die PEER-Vorrichtung 16 als auch die PROXY-Vorrichtung 20 bereitzustellen, wenn eine der Vorrichtungen nicht vorhanden ist, und ermöglicht die Verbindung der PEER-Vorrichtung 16 mit der PROXY-Vorrichtung 20 unabhängig von der räumlichen Trennung zwischen den beiden Komponenten im Fahrzeug 14. Die PROXY-Vorrichtung 20 kann eine Login-Adresse 192.168.1.100 für den privaten Netzwerkrouter aufweisen. Das Kommunikationssystem 12 kann ferner ein Gateway 24 beinhalten, das auch in Verbindung mit dem TLS 22 steht. Die PEER-Vorrichtung 16 kann einen drahtlosen LTE-Empfänger-Sender 26 beinhalten. Die PROXY-Vorrichtung 20 kann einen Wi-Fi-Empfänger-Sender 28 beinhalten.
-
Unter Bezugnahme auf 2 und erneut auf 1 stellt ein Flussdiagramm 30 mehrere Wege zum Authentifizieren der Kommunikation zwischen dem Kommunikationssystem 12 im Fahrzeug 14 und einem von einem Trägerdienst bereitgestellten Authentifikator 32 dar. Ein Carrier-to-Proxy-Abschnitt 34 des Authentifizierungsprozesses ist allgemein bekannt und wird hierin der Vollständigkeit halber erläutert. Ein Proxy-to-Peer-Abschnitt 36 des Authentifizierungsprozesses unterscheidet sich von bekannten Vorrichtungen wie Mobiltelefonen durch die Einbeziehung des TLS 22 zwischen der PROXY-Vorrichtung 20 und der PEER-Vorrichtung 16 und die hinzugefügten Authentifizierungsschritte, um eine sichere Kommunikation über das TLS 22 zu gewährleisten.
-
Ein Authentifizierungserfolgssegment 38 stellt die Wege für eine erfolgreiche Fahrzeug-Träger-Authentifizierung bereit.
-
Wenn zunächst eine Kommunikationsanforderung des Fahrzeugs 14 an den Träger gerichtet wird, leitet der Authentifikator 32 des Trägers ein EAP-Request-Identity-Signal 40 weiter, das von der PROXY-Vorrichtung 20 empfangen wird. Nach dem Empfangen des EAP-Request-Identity-Signals 40 leitet die PROXY-Vorrichtung 20 eine Anforderung für eine internationale Mobilfunkteilnehmerkennung (IMSI) 42 an die PEER-Vorrichtung 16 weiter, die eine IMSI anfordert, die normalerweise in der USIM 18 gespeichert ist. Die PEER-Vorrichtung 16 ruft die IMSI vom USIM 18 ab und leitet die IMSI in einem IMSI-Rückgabesignal 44 an die PROXY-Vorrichtung 20 weiter. Die PROXY-Vorrichtung 20 erzeugt ein EAP-Response-Identity-Signal 46, das auch den NAI des Benutzers beinhaltet und diese Informationen an den Authentifikator 32 weiterleitet. Der Authentifikator 32 führt einen oder mehrere Algorithmen 48 aus, die eine Zufallszahl (AT RAND) und ein Authentifizierungstoken (AT_AUTN) erzeugen, die in einem EAP-Response-AKA-Anforderungssignal 50 an die PROXY-Vorrichtung 20 zurückgegeben werden.
-
Die PROXY-Vorrichtung 20 leitet ein AKA-Challenge-Anforderungssignal 52 an die PEER-Vorrichtung 16 weiter. Die PEER-Vorrichtung 16 führt einen oder mehrere AKA-Algorithmen 54 aus, um die Authentizität des Authentifizierungstokens (AT_AUTN) zu überprüfen und eine gegenseitige Authentifizierung zwischen dem Kommunikationssystem 12 und dem Authentifikator 32 (Träger) zu erreichen. Die PEER-Vorrichtung 16 gibt ein AKA-Challenge-Anforderungssignal 56 an die PROXY-Vorrichtung 20 zurück, die diese Werte wiederum als EAP-Response-AKA-Challenge-Signal 58 an den Authentifikator 32 weiterleitet. Ein Server 60 des Authentifikators 32 überprüft die Reaktion der PROXY-Vorrichtung 20 und verifiziert den gegenseitigen Authentifizierungscode unter Verwendung abgeleiteter Schlüssel von der PEER-Vorrichtung 16, und wenn die gegenseitige Authentifizierung bestätigt wird, wird ein Authentifizierungserfolgssignal 62 ausgegeben.
-
Ein Authentifizierungsablehnungssegment 64 stellt die Kommunikationswege zur Verfügung, wenn der Authentifikator 32 den Authentifizierungscode zurückweist.
-
Wenn der Server 60 nach dem Empfangen des EAP-Response-AKA Challenge-Signals 58 während der Reaktionsprüfung des gegenseitigen Authentifizierungscodes mit den abgeleiteten Schlüsseln von der PEER-Vorrichtung 16 identifiziert, dass der gegenseitige Authentifizierungscode falsch ist, gibt der Server 60 des Authentifikators 32 ein EAP-Response-AKA-Benachrichtigungssignal 66 an die PROXY-Vorrichtung 20 aus. Eine EAP-Zustandsmaschine 68 der PROXY-Vorrichtung 20 wird beendet und ein EAP-Response-AKA-Benachrichtigungssignal 70 zusammen mit einem Verbindungsabbruchssignal 72 wird von der PROXY-Vorrichtung 20 erzeugt, die an den Authentifikator 32 zurückgegeben wird.
-
Ein PEER-Authentifizierungsablehnungssegment 74 stellt die Wege zur Verfügung, wenn die PEER-Vorrichtung 16 den Authentifizierungscode zurückweist.
-
Ähnlich wie der vorstehend erwähnte erfolgreiche Authentifizierungsprozess führt der Authentifikator 32 die Algorithmen 48 aus, welche die Zufallszahl und das Authentifizierungstoken erzeugen, die im EAP-Reaktions-AKA-Challenge-Signal 50' an die PROXY-Vorrichtung 20 weitergeleitet werden, und die PROXY-Vorrichtung 20 leitet das AKA-Challenge-Anforderungssignal 52' als Authentifizierungscode an die PEER-Vorrichtung 16 weiter. Die PEER-Vorrichtung 16 führt die AKA-Algorithmen 54' aus, um die Authentizität des Authentifizierungstokens zu überprüfen, wobei jedoch, wenn die PEER-Vorrichtung 16 den Authentifizierungscode zurückweist, der anzeigt, dass keine gegenseitige Authentifizierung zwischen der PEER-Vorrichtung 16, der PROXY-Vorrichtung 20 und dem Authentifikator 32 besteht, ein AKA-Authentifizierungsablehnungssignal 76 von der PEER-Vorrichtung 16 an die PROXY-Vorrichtung 20 weitergeleitet wird, die ihrerseits ein EAP-AKA-Authentifizierung abgelehntes Signal 78 an den Authentifikator 32 weiterleitet.
-
Im Betrieb leitet die PROXY-Vorrichtung 20 nach dem Empfangen des EAP-Response/AKA-Challenge-Signals 50' mit den Werten AT_RAND, AT_AUTN diese Werte über das TLS 22 an die PEER-Vorrichtung weiter. Wenn die PEER-Vorrichtung 16 die Serverauthentifizierung zurückweist, sendet die PEER-Vorrichtung 16 ein AKA-Authentifizierungsablehnungssignal 76 an die PROXY-Vorrichtung 20. Die PROXY-Vorrichtung 20 leitet die Fehlermeldung als EAP-Response/AKA-Authentifizierungablehnungssignal 78 weiter.
-
Die PROXY-Vorrichtung 20 wird auf einem ECU (Systemabschnitt) erstellt, in dem sich die Wi-Fi-Kommunikationsausrüstung befindet. Die PROXY-Vorrichtung 20 verarbeitet die EAP-Nachrichten und enthält die EAP-Zustandsmaschine 68. Die PROXY-Vorrichtung 20 leitet die EAP-Nachrichten durch den Tunnel, der die Transportschicht-Sicherheit (TLS) 22 definiert, an die PEER-Vorrichtung 16 weiter, welche die USIM 18 enthält. Das TLS 22 gewährleistet die Sicherheit und Autorität für die PROXY-Vorrichtung 20 und die PEER-Vorrichtung 16, um sich gegenseitig zu authentifizieren und die AKA-Fähigkeiten zu registrieren.
-
Die PEER-Vorrichtung 16 empfängt und verarbeitet die EAP-AKA-Nachrichten über das TLS 22 und reagiert auf die PROXY-Vorrichtung 20, die sich dann mit der EAP-AKA-Zustandsmaschine 68 verbindet. Die EAP-Nachrichten werden durch die EAP-Zustandsmaschine 68 auf der PROXY-Vorrichtung 20 geleitet, die dann nur einen Satz vo „Smart-Card“-APIs sendet, die zum Durchführen des EAP-Kommunikationsprozesses erforderlich sind. Wie bekannt ist, ist eine Anwendungsprogrammierschnittstelle (API) eine Reihe von Unterprogrammdefinitionen, Protokollen und Werkzeugen zum Erstellen von Anwendungssoftware, die Verfahren zur Kommunikation zwischen verschiedenen Softwarekomponenten definieren.
-
Die PROXY-Vorrichtung 20 fängt die EAP-AKA-Nachrichten über eine Smartcard-API ab, die sich in einer Linux-Open-Source-Bibliothek wpa_supplicant befindet (nicht dargestellt). Die wpa supplicant Bibliothek kommuniziert direkt mit der USIM 18, jedoch leitet die PROXY-Vorrichtung 20 diese Nachrichten über das TLS 22 an die PEER-Vorrichtung 16 am anderen Ende als Smartcard-Funktionen weiter. Die PROXY-Vorrichtung 20 fordert die IMSI (Internationale Mobilfunkteilnehmerkennung) an.
-
Der Server weist die Authentifizierung zurück.
-
Nach dem Empfangen des EAP-Response/AKA-Challenge-Signals 50 bestimmt der Server 60, ob die Schlüssel gültig sind. Wenn die Schlüssel nicht gültig sind, sendet der Server 60 eine EAP-Request/AKA-Benachrichtigung, welche die PROXY-Vorrichtung 20 darüber informiert, dass der Server 60 die Authentifizierung zurückgewiesen hat und die EAP-Zustandsmaschine 68 wird beendet, woraufhin die Verbindung fehlschlägt, wobei in diesem Fall keine Kommunikation mit der Peer-Vorrichtung erforderlich ist. Die PROXY-Vorrichtung 20 sendet die EAP-Response/AKA-Benachrichtigung und informiert den Server-Authentifikator 32 darüber, dass die Authentifizierung fehlgeschlagen ist.
-
Unter Bezugnahme auf 3 und wiederum auf die 1 bis 2 ermöglicht das EAP-AKA-Authentifizierungssystem 10 dem Kommunikationssystem 12 des Kraftfahrzeugs 14 eine sichere und drahtlose Kommunikation über das Internet 80 mit mehreren externen Systemen. Diese Systeme können unter anderem das Heim-Wi-Fi-System 82 eines Benutzers über den Zugangsanbieter 84 eines Benutzers über einen Router 86 beinhalten. Die Kommunikation kann auch an einem vom Fahrzeughersteller bereitgestellten Wi-Fi-Hotspot 88 erfolgen, der einen vom Partner bereitgestellten Server 90 und einen lokalen Router 92 verwendet. Die Kommunikation kann ferner bei einem Händler eines Fahrzeugherstellers, der über einen Wi-Fi-Hotspot 94 verfügt, erfolgen, beispielsweise während der Wartungszeiten des Fahrzeugs, der einen Server 96 des Händlers und einen lokalen Router 98 verwendet. Das EAP-AKA-Authentifizierungssystem 10 ermöglicht es dem Kommunikationssystem 12 des Kraftfahrzeugs 14, drahtlos über ein Mobilfunksystem 100 unter Verwendung eines Mobilfunknetzes 102 und eines oder mehrerer mit einem Netzwerk versehener Mobilfunktürme 104 zu kommunizieren. Die Kommunikation für das EAP-AKA-Authentifizierungssystem 10 erfolgt auch über das Internet 80 zu einem Server 106 des Fahrzeugherstellers, der es dem Fahrzeughersteller ermöglicht, Fahrzeugdaten drahtlos zu erfassen und zu verteilen.
-
Das EAP-AKA-Authentifizierungssystem 10 der vorliegenden Offenbarung bringt mehrere Vorteile mit sich. Diese beinhalten das Bereitstellen eines Verfahrens und Systems zum beabsichtigten und sicheren Einfügen eines Man-in-the-Middle in die PROXY-Vorrichtung 20, um im Namen der PEER-Vorrichtung 16 zu handeln und USIM-EAP-Nachrichten zu authentifizieren und zu verarbeiten, wenn die PROXY-Vorrichtung 20 physisch von der PEER-Vorrichtung 16 getrennt ist. Eine Remote-Chipkartenlösung ist so implementiert, dass die Implementierung sowohl für EAP-SIM- als auch für EAP-AKA-Nachrichten verwendet werden kann. Die EAP-Nachrichten werden nicht direkt über die PROXY-Vorrichtung 20 an die PEER-Vorrichtung 16 weitergeleitet. Die PROXY-Vorrichtung 20 implementiert die EAP-Zustandsmaschine 68 und kommuniziert nur die erforderlichen Smartcard-Anforderungen und -Reaktionen.
-
Die Beschreibung der vorliegenden Offenbarung ist nur als Beispiel zu verstehen und Variationen, die sich nicht vom Kern der Erfindung entfernen, werden als im Rahmen der Erfindung befindlich vorausgesetzt. Solche Varianten sollen nicht als eine Abweichung vom Sinn und Umfang der Erfindung betrachtet werden.