DE102019207753A1 - Verfahren zum Ansteuern eines Fahrzeugs - Google Patents

Verfahren zum Ansteuern eines Fahrzeugs Download PDF

Info

Publication number
DE102019207753A1
DE102019207753A1 DE102019207753.6A DE102019207753A DE102019207753A1 DE 102019207753 A1 DE102019207753 A1 DE 102019207753A1 DE 102019207753 A DE102019207753 A DE 102019207753A DE 102019207753 A1 DE102019207753 A1 DE 102019207753A1
Authority
DE
Germany
Prior art keywords
control unit
key
vehicle
message
valid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019207753.6A
Other languages
English (en)
Inventor
Ralf Prenzel
Soheil Gherekhloo
Jan-Felix Van Dam
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102019207753.6A priority Critical patent/DE102019207753A1/de
Priority to CN202080054663.5A priority patent/CN114175571A/zh
Priority to US17/595,775 priority patent/US11909726B2/en
Priority to PCT/EP2020/061689 priority patent/WO2020239344A1/de
Publication of DE102019207753A1 publication Critical patent/DE102019207753A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Gegenstand der vorliegenden Erfindung ist ein Verfahren zum Ansteuern eines Fahrzeugs, mit folgenden Schritten:- Empfangen eines Signals umfassend eine unter Verwendung eines gültigen symmetrischen Schlüssels einer ersten Steuereinheit eines ersten Fahrzeugs verschlüsselte Nachricht mittels einer zweiten Steuereinheit eines anzusteuernden zweiten Fahrzeugs;- Ermitteln einer Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung- eines gültigen symmetrischen Schlüssels der zweiten Steuereinheit oder- eines mittels der zweiten Steuereinheit ermittelten symmetrischen Reserveschlüssels der zweiten Steuereinheitmittels der zweiten Steuereinheit;- Entschlüsseln der verschlüsselten Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit unter Verwendung- des gültigen symmetrischen Schlüssels der zweiten Steuereinheit oder- des symmetrischen Reserveschlüssels der zweiten Steuereinheitmittels der zweiten Steuereinheit; und- Ansteuern des anzusteuernden zweiten Fahrzeugs basierend auf der entschlüsselten Nachricht.

Description

  • Die Erfindung betrifft ein Verfahren zum Ansteuern eines Fahrzeugs sowie ein Computerprogramm und ein maschinenlesbares Speichermedium, auf dem das Computerprogramm gespeichert ist. Gegenstand der vorliegenden Erfindung ist auch eine Steuereinheit und ein Verbund von Steuereinheiten.
  • Stand der Technik
  • Bekannt sind Verfahren zur Steuerung eines Platoons bzw. Fahrzeugverbunds von hintereinander fahrenden, mittels Fahrzeug-zu-Fahrzeug-Kommunikation verbundenen Nutzfahrzeugen, bei denen die Abstände zwischen den einzelnen Nutzfahrzeugen des Fahrzeugverbunds bzw. Platoon-Teilnehmern mittels einer automatisierten Längsführung auf etwa zehn bis fünfzehn Meter geregelt werden, sodass durch eine Reduktion des Luftwiderstands der Kraftstoffverbrauch und die Fahrzeugemissionen des Fahrzeugverbunds reduziert werden. Da der Abstand zwischen den Fahrzeugen des Fahrzeugverbunds deutlich kleiner als der derzeit gesetzlich vorgeschriebene Sicherheitsabstand ist, müssen für eine sichere Fahrweise V2X-Kommunikationsnachrichten zwischen den Fahrzeugen ausgetauscht werden.
  • In der V2X-Spezifikation gemäß der Cooperative Intelligent Transport Systems (C-ITS) sind sogenannte CAM („Cooperative Awareness Message“) Nachrichten definiert, die zum Beispiel die Position eines Fahrzeugs im Fahrzeugverbund und weitere Informationen enthalten. Diese Nachrichten können von allen Fahrzeugen gelesen werden, die das entsprechende Protokoll implementiert haben. Zur Ermöglichung eines Platoons können weitere Nachrichten zwischen den Fahrzeugen notwendig sein, bspw. Fahrzeugverbund-Kontrollnachrichten („Platoon Control Message“, PCM) und Fahrzeugverbund-Verwaltungsnachrichten („Platoon Management Message“, PMM).
  • Während des Fahrens in einem Platoon kann jeder Platoon-Teilnehmer zyklisch und in kurzen zeitlichen Abständen eine PCM umfassend seinen aktuellen Status an alle anderen Platoon-Teilnehmer senden. Diese PCM ist verschlüsselt, sodass nur die Platoon-Teilnehmer diese Nachricht dekodieren können. Die PCM dienen dem Aufrechthalten und Steuern des Platoons und damit der Geschwindigkeitsregelung jedes einzelnen Platoon-Teilnehmers. Die PCM enthält einen Zeitstempel, dieser wird vom Sender der Nachricht erzeugt.
  • Die PMM werden eventbasiert gesendet. Diese sind je nach Anwendungsfall teilweise verschlüsselt. Z. B. wird das Hinzufügen eines Fahrzeugs zum Platoon mittels definierter Beitrittsanfragen-/JoinRequest- und Beitrittsanwort-/JoinResponse-PMM ermöglicht. Dabei ist die JoinRequest PMM nicht verschlüsselt, aber das sendende Fahrzeug fügt dieser Nachricht eine Signatur und sein Authentifizierungszertifikat hinzu, so dass das empfangende Fahrzeug diese Nachricht mit dem Zertifikat überprüfen kann.
  • Die DE 10 2018 214 354 A1 offenbart ein Verfahren, das eine sichere Verteilung und Verwendung eines symmetrischen Gruppenschlüssels unter Verwendung eines öffentlichen Schlüssels oder eines symmetrischen Paarschlüssels bei einer Fahrzeug-zu-Fahrzeug-Kommunikation ermöglicht. Hierbei wird der symmetrische Gruppenschlüssel an jedes Fahrzeug eines Fahrzeugplatoons zum Zwecke der sicheren gruppeninternen Kommunikation verteilt.
  • Offenbarung der Erfindung
  • Gegenstand der vorliegenden Erfindung ist ein Verfahren zum Ansteuern eines Fahrzeugs.
  • Das Verfahren umfasst einen Schritt des Empfangens eines Signals umfassend eine unter Verwendung eines gültigen symmetrischen Schlüssels einer ersten Steuereinheit eines ersten Fahrzeugs verschlüsselte Nachricht mittels einer zweiten Steuereinheit eines anzusteuernden zweiten Fahrzeugs. Das heißt, mit anderen Worten, mittels der zweiten Steuereinheit des anzusteuernden zweiten Fahrzeugs wird ein Signal empfangen, wobei das Signal eine Nachricht umfasst, die unter Verwendung des gültigen symmetrischen Schlüssels der ersten Steuereinheit des ersten Fahrzeugs verschlüsselt wurde.
  • Weiter umfasst das Verfahren einen Schritt des Ermittelns einer Entschlüsselbarkeit der verschlüsselten Nachricht mittels der zweiten Steuereinheit. Zum einen wird die Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung eines gültigen symmetrischen Schlüssels der zweiten Steuereinheit ermittelt. Zum anderen wird die Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung eines mittels der zweiten Steuereinheit ermittelten symmetrischen Reserveschlüssels der zweiten Steuereinheit ermittelt.
  • Zudem umfasst das Verfahren einen Schritt des Entschlüsselns der verschlüsselten Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit mittels der zweiten Steuereinheit. In einer ersten Alternative wird die verschlüsselte Nachricht unter Verwendung des gültigen symmetrischen Schlüssels der zweiten Steuereinheit entschlüsselt. In einer zweiten Alternative wird die verschlüsselte Nachricht unter Verwendung des symmetrischen Reserveschlüssels der zweiten Steuereinheit entschlüsselt.
  • Ferner umfasst das Verfahren einen Schritt des Ansteuerns des anzusteuernden zweiten Fahrzeugs basierend auf der entschlüsselten Nachricht, insbesondere auf einem Inhalt der entschlüsselten Nachricht. Das Ansteuern des zweiten Fahrzeugs kann mittels der zweiten Steuereinheit oder einer fahrzeugfremden Steuereinheit erfolgen. Das Ansteuern des zweiten Fahrzeugs kann ein Ansteuern einer Einheit des zweiten Fahrzeugs sein. Das Ansteuern des zweiten Fahrzeugs kann ein Ausgeben eines Steuersignals an die Einheit des Fahrzeugs umfassen.
  • Gegenstand der vorliegenden Erfindung ist auch eine Steuereinheit zum Ansteuern eines Fahrzeugs.
  • Die Steuereinheit ist eingerichtet, ein Signal umfassend eine unter Verwendung eines gültigen symmetrischen Schlüssels einer ersten Steuereinheit eines ersten Fahrzeugs verschlüsselte Nachricht zu empfangen. Das heißt, mit anderen Worten, die Steuereinheit ist eingerichtet, ein Signal zu empfangen, wobei das Signal eine Nachricht umfasst, die unter Verwendung des gültigen symmetrischen Schlüssels der ersten Steuereinheit des ersten Fahrzeugs verschlüsselt wurde.
  • Weiter ist die Steuereinheit eingerichtet, eine Entschlüsselbarkeit der verschlüsselten Nachricht zu ermitteln. Zum einen ist die Steuereinheit eingerichtet, die Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung eines gültigen symmetrischen Schlüssels der Steuereinheit zu ermitteln. Zum anderen ist die Steuereinheit eingerichtet, die Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung eines mittels der Steuereinheit ermittelten symmetrischen Reserveschlüssels der Steuereinheit zu ermitteln.
  • Zudem ist die Steuereinheit eingerichtet, die verschlüsselte Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit zu entschlüsseln. Zum einen ist die Steuereinheit eingerichtet, die verschlüsselte Nachricht in einer ersten Alternative unter Verwendung des gültigen symmetrischen Schlüssels der Steuereinheit zu entschlüsseln. Zum anderen ist die Steuereinheit eingerichtet, die verschlüsselte Nachricht in einer zweiten Alternative unter Verwendung des symmetrischen Reserveschlüssels der Steuereinheit zu entschlüsseln.
  • Ferner ist die Steuereinheit eingerichtet, ein anzusteuerndes zweites Fahrzeug basierend auf, insbesondere einem Inhalt, der entschlüsselten Nachricht anzusteuern.
  • Unter einem Signal kann im Rahmen der vorliegenden Erfindung ein drahtgebundenes oder bevorzugt drahtlos übertragenes elektromagnetisches, elektrisches oder optisches Signal verstanden werden. Bevorzugt sind das erste und das zweite Signal drahtlos übertragene Signale. Das Signal kann ein Funksignal, insbesondere ein Mobilfunksignal, ein DSRC-Signal oder ein WLAN-Signal, sein.
  • Das Signal weist eine, insbesondere maschinenlesbare, Nachricht, z. B. in Form einer definierten Modulation des Signals, auf. Hierbei kann die Nachricht ein oder mehrere Nachrichtenfelder umfassen. Die Nachrichtenfelder umfassen ein oder mehrere Informationen, die mittels des Signals übertragen werden.
  • Die verschlüsselte Nachricht ist eine kryptographisch verschlüsselte Nachricht. Die verschlüsselte Nachricht kann eine teilweise oder vollständig verschlüsselte Nachricht sein. Denkbar ist, dass die teilweise Nachricht einen unverschlüsselten Headerdatensatz und einen verschlüsselten Inhaltsdatensatz umfasst. Die verschlüsselte Nachricht wurde unter Verwendung bzw. mittels eines kryptographischen Verschlüsselungsverfahrens verschlüsselt. Ebenso kann die verschlüsselte Nachricht unter Verwendung bzw. mittels eines kryptographischen Entschlüsselungsverfahrens entschlüsselt werden.
  • Zum Verschlüsseln und/oder Entschlüsseln der Nachricht ist ein gültiger Schlüssel erforderlich. Unter einem Schlüssel kann im Rahmen der vorliegenden Erfindung ein kryptographischer Schlüssel verstanden werden, unter Verwendung dessen die Nachricht im Rahmen des kryptographischen Verschlüsselungsverfahrens verschlüsselt und/oder im Rahmen des kryptographischen Entschlüsselungsverfahrens entschlüsselt werden kann. Hierbei ist der Schlüssel ein Datensatz, bevorzugt eine insbesondere zufällig erzeugte Zeichenkette bzw. Zeichenabfolge verstanden werden.
  • Im Rahmen der vorliegenden Erfindung ist der Schlüssel ein symmetrischer Schlüssel. Das heißt, mit anderen Worten, der Schlüssel ist ein Schlüssel eines symmetrischen Ver- bzw. Entschlüsselungsverfahrens. Also ist der symmetrische Schlüssel zum Verschlüsseln der Nachricht identisch mit dem symmetrischen Schlüssel zum Entschlüsseln der verschlüsselten Nachricht.
  • Unter einem gültigen Schlüssel einer Steuereinheit kann im Rahmen der vorliegenden Erfindung ein der Steuereinheit zugeordneter kryptographischer Schlüssel verstanden werden, der zum Verschlüsseln einer abzugebenden Nachricht und/oder zum Entschlüsseln einer empfangenen Nachricht vorgesehen bzw. vorgegeben ist. Eine mittels einer Steuereinheit abzugebende Nachricht wird unter Verwendung des gültigen Schlüssels der Steuereinheit verschlüsselt. Eine mittels der Steuereinheit empfangene Nachricht wird hinsichtlich einer Entschlüsselbarkeit unter Verwendung des gültigen Schlüssels der Steuereinheit geprüft.
  • Die Entschlüsselbarkeit einer verschlüsselten Nachricht unter Verwendung eines Schlüssels repräsentiert eine Information, ob die verschlüsselte Nachricht unter Verwendung des Schlüssels bzw. mittels des Schlüssels entschlüsselbar oder nicht entschlüsselbar ist. Die Entschlüsselbarkeit einer verschlüsselten Nachricht M1 unter Verwendung eines Schlüssels K_c (current key) kann bspw. eine Angabe der Form „M1 entschlüsselbar mittels K_c“ oder „M1 nicht entschlüsselbar mittels K_c“ umfassen.
  • Die Entschlüsselbarkeit einer verschlüsselten Nachricht unter Verwendung eines gültigen Schlüssels oder eines Reserveschlüssels repräsentiert eine Information, ob die verschlüsselte Nachricht unter Verwendung des gültigen Schlüssels oder des Reserveschlüssels entschlüsselbar oder nicht entschlüsselbar ist. Die Entschlüsselbarkeit einer verschlüsselten Nachricht M1 unter Verwendung eines gültigen Schlüssels K_c oder eines Reserveschlüssels K_r (reserve key) kann bspw. eine Angabe der Form „M1 entschlüsselbar mittels K_r“ oder „M1 nicht entschlüsselbar mittels K_c, M1 entschlüsselbar mittels K_r“ umfassen.
  • Der Reserveschlüssel ist hierbei ein Reserveschlüssel des gültigen Schlüssels. Der Reserveschlüssel kann den gültigen Schlüssel ersetzen, wenn eine empfangene Nachricht unter Verwendung des gültigen Schlüssels nicht entschlüsselbar ist und/oder der gültigen Schlüssel nicht zur Verschlüsselung einer abzugebenden Nachricht verwendet werden soll. Denkbar ist auch, dass der Reserveschlüssel ein Satz bzw. eine Menge von mindestens zwei, bevorzugt mehr als zwei Reserveschlüsseln ist. Hierbei ist denkbar, dass der Satz von Reserveschlüsseln vor dem Ermitteln der Entschlüsselbarkeit der verschlüsselten Nachricht ermittelt wird. Denkbar ist auch, dass ein oder mehrere Reserveschlüssel des Satzes von Reserveschlüsseln vor dem Ermitteln der Entschlüsselbarkeit und ein oder mehrere Reserveschlüssel des Satzes von Reserveschlüsseln nach dem Ermitteln der Entschlüsselbarkeit ermittelt werden.
  • Der Schlüssel und der Reserveschlüssel können jeweils unter Verwendung eines Schlüsselerzeugungsverfahrens bzw. eines Schlüsselableitungsverfahrens von jeder der Steuereinheiten ermittelt werden. Das Schlüsselerzeugungsverfahren ist ein dem Fachmann bekannter kryptographischer Algorithmus zur Erzeugung eines kryptographischen Schlüssels. Hierbei wird ein vorgegebener bzw. ein bereits vorhandener, bspw. ein bisher gültiger, Schlüssel als Eingangsgröße für das Schlüsselerzeugungsverfahren verwendet. Das Schlüsselerzeugungsverfahren läuft hierbei deterministisch ab. Das heißt, mit anderen Worten, unter Verwendung derselben Schlüsselerzeugungsverfahren und desselben Schlüssels als Eingangsgröße erzeugen verschiedene Steuereinheiten dieselben Schlüssel.
  • Im Rahmen der vorliegenden Erfindung ist also die Abfolge, mit welcher verschiedene Schlüssel nacheinander von einer Steuereinheit erzeugt werden, für alle Steuereinheiten gleich. Dennoch können die zu einem festen Zeitpunkt vorliegenden gültigen Schlüssel der Steuereinheiten voneinander verschieden sein. Denkbar ist, dass ein gültiger Schlüssel einer ersten Steuereinheit bereits zu einem früheren oder erst zu einem späteren Zeitpunkt von einer zweiten Steuereinheit als gültiger Schlüssel verwendet wurde bzw. wird.
  • Bevorzugt sind das erste Fahrzeug und das anzusteuernde zweite Fahrzeug Fahrzeuge eines Fahrzeugverbunds. Besonders bevorzugt umfasst das Fahrzeug zusätzlich zu dem ersten und dem zweiten Fahrzeug ein oder mehrere weitere zweite Fahrzeuge.
  • Unter einem Fahrzeugverbund kann im Rahmen der vorliegenden Erfindung ein Verbund beziehungsweise ein Verband von mindestens zwei Fahrzeugen auf einer gemeinsamen Fahrstrecke verstanden werden. Der Fahrzeugverbund bzw. der Fahrzeugverband kann eine Fahrzeugkolonne beziehungsweise ein Fahrzeugkonvoi sein. Denkbar ist, dass es sich bei dem Fahrzeugverbund um in einer Formation hintereinander fahrende Fahrzeuge handelt. Das heißt, mit anderen Worten, die Fahrzeuge des Fahrzeugverbunds sind ausgebildet, insbesondere ohne eine mechanische Verbindung zwischen den Fahrzeugen, das heißt mit einer sogenannten „elektronischen Deichsel“, in einer definierten Fahrzeugreihenfolge hintereinander zu fahren.
  • Die Fahrzeuge des Fahrzeugverbunds können in einem sehr geringen räumlichen Abstand zueinander, bevorzugt von kleiner oder gleich 50 m, besonders bevorzugt von kleiner oder gleich 15 m, hintereinander fahren, um aufgrund des verminderten Luftwiderstands bzw. der verminderten aerodynamischen Widerstandskraft der Fahrzeuge im Fahrzeugverbund einen Verbrauch von Kraftstoff bzw. eine Umsetzung von elektrischer Energie in Bewegungsenergie zu reduzieren. Denkbar ist, dass ein, mehrere oder alle Fahrzeug des Fahrzeugverbunds zu einem autonomen Betrieb, insbesondere zu einem autonomen Fahren, ausgebildet sind. Hierbei können die Fahrzeuge teilautomatisiert, hochautomatisiert oder vollautomatisiert gesteuert werden.
  • Bevorzugt ist ein erstes, den übrigen Fahrzeugen des Fahrzeugverbunds vorausfahrendes Fahrzeug bzw. Führungsfahrzeug des Fahrzeugverbunds ein teilautomatisiertes oder vollautomatisiertes Fahrzeug. Bevorzugt sind die einem ersten vorausfahrenden Fahrzeug des Fahrzeugverbunds nachfolgenden Fahrzeuge des Fahrzeugverbunds vollautomatisierte Fahrzeuge. Hierzu weisen zumindest die dem vorausfahrenden Fahrzeug bzw. dem Führungsfahrzeug nachfolgende Fahrzeuge des Fahrzeugverbunds ein längsführendes Fahrerassistenzsystem auf, das ausgebildet ist, einen Abstand in Fahrtrichtung zwischen einem nachfolgenden Fahrzeug und einem dem nachfolgenden Fahrzeug unmittelbar vorausfahrenden Fahrzeug automatisiert zu steuern bzw. zu regeln. Alternativ ist denkbar, dass das erste Fahrzeug ein dem zweiten oder einem weiteren Fahrzeug des Fahrzeugverbunds nachfolgendes Fahrzeug ist.
  • Das erste und das zweite Fahrzeuge, insbesondere die Fahrzeuge des Fahrzeugverbunds, weisen je eine fahrzeugseitige bzw. an dem jeweiligen Fahrzeug angeordnete Steuereinheit auf. Die Steuereinheit umfasst bevorzugt eine Recheneinheit bzw. einen Prozessor, ein Kommunikationsmodul bzw. eine Kommunikationseinheit, eine Antenne und einen Speicher.
  • Die Steuereinheit bzw. die Kommunikationseinheit der Steuereinheit eines Fahrzeugs ist ausgebildet, eine Kommunikationsverbindung mit zumindest einer Steuereinheit bzw. Kommunikationseinheit der Steuereinheit zumindest eines weiteren Fahrzeugs oder einer Infrastruktureinrichtung herzustellen. Die Kommunikationseinheit kann ein Funkgerät, beispielsweise ein Mobilfunkgerät, oder Teil einer Steuereinheit mit einer Mobilfunkeinheit sein. Die Kommunikationsverbindung kann eine Funkverbindung, beispielsweise eine Kommunikationsverbindung gemäß dem Standard IEEE 802.11p, eine Nahfeldkommunikationsverbindung oder eine Mobilfunkverbindung, insbesondere eine 5G-Mobilfunkverbindung sein. Die Infrastruktureinrichtung kann eine außerhalb der Fahrzeuge bzw. entfernt angeordnete Recheneinheit bzw. Servereinheit sein. Zum Beispiel kann die Infrastruktureinrichtung ein Netzwerk mehrerer außerhalb der Fahrzeuge bzw. entfernt angeordneter und räumlich verteilter Recheneinheiten bzw. ein Cloud-Computing-System bzw. eine Rechnerwolke sein. Auch kann die Infrastruktureinrichtung eine Servereinheit eines Betreibers der Fahrzeuge oder eines Betreibers von zumindest Teilen des erfindungsgemäßen Verfahrens sein. Mittels der Kommunikationseinheit können Daten bzw. Informationen zwischen den Fahrzeugen und/oder zwischen einem Fahrzeug und der Infrastruktureinrichtung, insbesondere drahtlos elektronisch, übertragen werden. Bevorzugt ist die Kommunikationseinheit ausgebildet und eingerichtet, Daten mit geringer Latenzzeit und/oder hoher Bandbreite zu übertragen.
  • Die Fahrzeuge des Fahrzeugverbunds können Transport- oder Lastenfahrzeuge wie bspw. Lastkraftfahrzeuge (LKW) und/oder personenbefördernde Fahrzeuge wie bspw. Personenkraftwagen (PKW) sein. Denkbar ist auch, dass die Fahrzeuge schienengebundene Fahrzeuge sind. Die Fahrzeuge des Fahrzeugverbunds können Fahrzeuge mit Verbrennungsmotor und/oder Brennstoffzelle und/oder Hybrid- und/oder Elektrofahrzeuge sein. Das Fahrzeug kann eine Fahrzeugkombination sein. Das heißt, das Fahrzeug kann ein Zugfahrzeug und ein oder mehrere Anhänger umfassen.
  • In einer bevorzugten Ausführungsform sind das erste und das zweite Fahrzeug Teil eines Kommunikationsnetzwerks, insbesondere eines Fahrzeugverbunds, der zumindest ein drittes bzw. ein weiteres zweites Fahrzeug umfasst. Hierbei weist jedes Fahrzeug eine erfindungsgemäße Steuereinheit auf. Das heißt, mit anderen Worten, ein Übertragen des gültigen symmetrischen Schlüssels oder des symmetrischen Reserveschlüssels zwischen den Fahrzeugen ist nicht erforderlich.
  • Das erfindungsgemäße Verfahren und die erfindungsgemäße Steuereinheit verbessern den Schutz der Privatheit in einem Kommunikationsnetzwerk zwischen zumindest zwei verschlüsselt kommunizierenden Fahrzeugen ohne dass hierzu zusätzliche Daten zwischen den Fahrzeugen übertragen werden müssen. Um die Fahrzeuge vor einer Rückverfolgbarkeit bzw. Nachverfolgbarkeit anhand von abgefangenen verschlüsselten Nachrichten zu schützen, kann der zur Verschlüsselung verwendete gültige symmetrische Schlüssel bevorzugt wiederholt durch den jeweiligen Reserveschlüssel ersetzt werden. Hierbei kann der Reserveschlüssel mittels jeder der Steuereinheiten eigenständig ermittelt werden, sodass ein Austausch des Reserveschlüssels und insbesondere eines neuen gültigen Schlüssels zwischen den Fahrzeugen nicht erforderlich ist. Dadurch kann die Kommunikationsverbindung zwischen den Fahrzeugen entlastet und gleichzeitig ein Identifizieren der Fahrzeuge anhand von abgefangenen Nachrichten verhindert werden. Darüber hinaus kann das Verfahren auch in Fällen, in denen gültige symmetrische Schlüssel von verschiedenen Steuereinheiten gleichzeitig ersetzt werden, eine stabile Kommunikation mit für alle Steuereinheiten entschlüsselbaren Nachrichten gewährleisten.
  • Von Vorteil ist es, wenn die Nachricht einen Schlüsselidentifikator des zum Verschlüsseln der Nachricht verwendeten symmetrischen Schlüssels umfasst und die Entschlüsselbarkeit der verschlüsselten Nachricht basierend auf dem Schlüsselidentifikator ermittelt wird. Denkbar ist, dass der Schlüsselidentifikator des zum Verschlüsseln der Nachricht verwendeten symmetrischen Schlüssels mit einem Schlüsselidentifikator eines zum Entschlüsseln der Nachricht vorliegenden oder vorgegebenen symmetrischen Schlüssels verglichen wird, um die Entschlüsselbarkeit der Nachricht zu ermitteln. Das heißt, mit anderen Worten, anhand eines Vergleichs der Schlüsselidentifikatoren des verwendeten symmetrischen Schlüssels und des zum Entschlüsseln vorgesehenen symmetrischen Schlüssels kann ermittelt werden, ob der vorgesehene symmetrische Schlüssel zum Entschlüsseln der Nachricht geeignet ist. Denkbar ist auch, dass der Schlüsselidentifikator des zum Verschlüsseln der Nachricht verwendeten symmetrischen Schlüssels mit Schlüsselidentifikatoren mehrerer zum Entschlüsseln der Nachricht vorliegender oder vorgegebener symmetrischer Schlüssel verglichen wird, um den zum Entschlüsseln der Nachricht geeigneten Schlüssel zu ermitteln bzw. zu identifizieren. Durch diese Ausgestaltung kann besonders schnell ermittelt werden, ob die verschlüsselte Nachricht unter Verwendung eines Schlüssels entschlüsselbar ist.
  • Von Vorteil ist es auch, wenn das Verfahren einen Schritt des Ermittelns des symmetrischen Reserveschlüssels der zweiten Steuereinheit unter Verwendung eines Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der zweiten Steuereinheit mittels der zweiten Steuereinheit aufweist. Das heißt, mit anderen Worten, der symmetrische Reserveschlüssel der zweiten Steuereinheit wird mittels der zweiten Steuereinheit ermittelt, wobei hierzu ein insbesondere algorithmisches Schlüsselerzeugungsverfahren mit dem gültigen Schlüssel der zweiten Steuereinheit als Eingangsgröße durchgeführt wird. Durch diese Ausgestaltung ist keine Übertragung des symmetrischen Reserveschlüssels zu der zweiten Steuereinheit erforderlich, wodurch das Kommunikationsnetzwerk entlastet und der Austausch relevanter Daten bzw. Nachrichten beschleunigt wird.
  • Hierbei ist es von Vorteil, wenn das Verfahren einen Schritt des Ermittelns eines symmetrischen Reserveschlüssels der ersten Steuereinheit unter Verwendung desselben Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der ersten Steuereinheit mittels der ersten Steuereinheit, um den gültigen symmetrischen Schlüssel der ersten Steuereinheit durch den ermittelten symmetrischen Reserveschlüssel zu ersetzen. Das heißt, mit anderen Worten, der symmetrische Reserveschlüssel der ersten Steuereinheit wird mittels der ersten Steuereinheit ermittelt, wobei hierzu das insbesondere algorithmische Schlüsselerzeugungsverfahren mit dem gültigen Schlüssel der ersten Steuereinheit als Eingangsgröße durchgeführt wird. Der symmetrische Reserveschlüssel kann ermittelt werden, wenn der gültige symmetrische Schlüssel nicht mehr gültig ist. Bevorzugt wird der symmetrische Reserveschlüssel ermittelt, solange der gültige symmetrische Schlüssel noch gültig ist bzw. bevor er seine Gültigkeit verliert. Durch diese Ausgestaltung wird sichergestellt, dass die Steuereinheiten dieselbe Abfolge von symmetrischen Reserveschlüsseln ermitteln.
  • Vorteilhaft ist es besonders, wenn das Verfahren einen Schritt des Ersetzens des gültigen symmetrischen Schlüssels der ersten und/oder zweiten Steuereinheit durch den mittels der jeweiligen Steuereinheit ermittelten symmetrischen Reserveschlüssel umfasst. Unter einem Ersetzen eines gültigen Schlüssels durch einen Reserveschlüssel kann ein Verwerfen eines bisher gültigen Schlüssels und ein Verwenden des bisherigen Reserveschlüssels als gültiger Schlüssel zum Verschlüssen und Entschlüssen von Nachrichten verstanden werden. Das heißt, mit anderen Worten, durch den Schritt des Ersetzens wird der bisher gültige Schlüssel nicht mehr bzw. nicht länger zum Verschlüsseln und Entschlüsseln von Nachrichten verwendet. Bevorzugt wird der gültige symmetrische Schlüssel wiederholt, bspw. regelmäßig bzw. periodisch, ersetzt. Durch das Ersetzen des gültigen symmetrischen Schlüssels kann ein Entschlüsseln von abgehörten Nachrichten erschwert und somit der Schutz der Privatheit der kommunizierenden Fahrzeuge erhöht werden.
  • Hierbei ist es vorteilhaft, wenn das Ersetzen des gültigen symmetrischen Schlüssels durch den ermittelten symmetrischen Reserveschlüssel von der ermittelten Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung des gültigen Schlüssels der jeweiligen Steuereinheit abhängt. Bevorzugt wird der gültige symmetrische Schlüssel durch den ermittelten symmetrischen Reserveschlüssel ersetzt, wenn eine empfangene Nachricht von der jeweiligen Steuereinheit unter Verwendung des gültigen symmetrischen Schlüssels nicht entschlüsselbar ist. Durch diese Ausgestaltung wird sichergestellt, dass bei Ersetzen des gültigen symmetrischen Schlüssels der ersten Steuereinheit zum Verschlüsseln der Nachricht die verschlüsselte Nachricht von der die Nachricht empfangenden zweiten Steuereinheit entschlüsselt und das anzusteuernde Fahrzeug basierend auf der Nachricht angesteuert werden kann.
  • Vorteilhaft ist es auch, wenn das Ersetzen des gültigen symmetrischen Schlüssels durch den ermittelten symmetrischen Reserveschlüssel alternativ oder zusätzlich von einer Fahrzeuginformation oder einer Fahrinformation des jeweiligen Fahrzeugs abhängt. Die Fahrzeuginformation kann ein geänderter Fahrzeugidentifikator wie bspw. ein geändertes Pseudonym des Fahrzeugs sein. Die Fahrinformation kann eine Information bezüglich einer zurückgelegten Fahrstreckenlänge auf einer Fahrstrecke des Fahrzeugs oder einer definierten Fahrzeitdauer sein, insbesondere seit einem letzten Ersetzen des gültigen symmetrischen Schlüssels, sein. Denkbar ist auch, dass der Fahrzeugidentifikator nach Zurücklegen einer definierten Fahrstreckenlänge, bspw. von weniger oder gleich 30 km, auf einer Fahrstrecke des Fahrzeugverbunds oder nach einer definierten Zeitdauer, bspw. von weniger oder gleich 1 min, automatisiert geändert bzw. gewechselt wird. Durch diese Ausgestaltung kann die Privatheit bei einer Kommunikation zwischen den Fahrzeugen besonders gut geschützt werden.
  • Weiter ist es vorteilhaft, wenn das Verfahren einen Schritt des Übertragens einer, bevorzugt verschlüsselten, Information bezüglich des Schüsselerzeugungsverfahrens zwischen den Fahrzeugen umfasst, um das Ermitteln identischer symmetrischer Schlüssel mittels der verschiedenen Steuereinheiten zu ermöglichen. Die übertragene Information kann einen Algorithmus des Schlüsselerzeugungsverfahrens, bspw. eine Schlüsselerzeugungsfunktion, enthalten. Die übertragene Information kann auch einen eindeutigen Indikator, bspw. eine definierte Beschreibung oder eine Identifikationszeichenkette, des Schlüsselerzeugungsverfahrens umfassen. Eine die übertragene Information aufweisende Nachricht wird bevorzugt vor dem Übertragen unter Verwendung eines asymmetrischen Verschlüsselungsverfahren verschlüsselt. Denkbar ist, dass die Information zusammen mit einer verschlüsselten Beitrittsanfrage des zweiten Fahrzeugs in ein Kommunikationsnetzwerk und/oder einen Fahrzeugverbund des ersten Fahrzeugs übertragen wird. Durch diese Ausgestaltung wird eine besonders geschützte Kommunikation zwischen den Fahrzeugen ermöglicht, die keinen Austausch von, insbesondere symmetrischen, Schlüsseln zwischen den Fahrzeugen erfordert.
  • Darüber hinaus ist es von Vorteil, wenn das Verfahren einen Schritt des Abgebens eines Signals umfassend eine unter Verwendung des gültigen symmetrischen Schlüssels der ersten und/oder zweiten Steuereinheit verschlüsselte Nachricht mittels der jeweiligen Steuereinheit, um das die Nachricht empfangende erste und/oder zweite Fahrzeug basierend auf der Nachricht anzusteuern. Das heißt, mit anderen Worten, das Ansteuern der Fahrzeuge basiert auf verschlüsselten Nachrichten von zwischen den Fahrzeugen übertragenen Signalen. Durch diese Ausgestaltung können die Fahrzeuge nach außen hin anonym und besonders manipulationssicher angesteuert werden.
  • Schließlich ist es vorteilhaft, wenn im Schritt des Ansteuerns des ersten und/oder zweiten Fahrzeugs eine der folgenden Einheiten des ersten und/oder zweiten Fahrzeugs, insbesondere mittels der ersten und/oder zweiten Steuereinheit, angesteuert wird: Antriebseinheit, Bremseinheit, Lenkeinheit, Kommunikationseinheit, Anzeigeeinheit.
  • Ein Steuern der Antriebseinheit und/oder der Bremseinheit mittels des Steuersignals kann ein Erhöhen, Konstant Halten oder Erniedrigen einer Antriebsleistung und/oder Bremsleistung und/oder einer Fahrgeschwindigkeit umfassen. Denkbar ist, dass die entschlüsselte Nachricht eine Information über eine eingeleitete oder einzuleitende Bremsung des ersten Fahrzeugs umfasst. Hierbei kann die Antriebseinheit und/oder die Bremseinheit derart angesteuert werden, dass der räumliche Abstand zwischen den Fahrzeugen nicht wesentlich verringert wird.
  • Ein Ansteuern der Anzeigeeinheit kann ein Anzeigen eines erforderlichen Auflösens des Fahrzeugverbunds und/oder eines Vergrößerns oder eines Verkleinerns des Abstands zwischen den Fahrzeugen mittels der Anzeigeeinheit umfassen. Ein Steuern der Kommunikationseinheit kann ein Abgeben eines Signals mit einer verschlüsselten Nachricht einleiten.
  • Durch diese Ausgestaltung kann eine das zweite Fahrzeug besonders abhängig von der entschlüsselten Nachricht und dennoch manipulationssicher betrieben werden.
  • Vorteilhafterweise wird das Verfahren mehrfach hintereinander, bevorzugt kontinuierlich bzw. dauerhaft während einer Fahrt bzw. eines Betriebs eines Fahrzeugverbunds durchgeführt. Hierbei können das erste Fahrzeug und/oder das zweite Fahrzeug bei einer ersten Durchführung des Verfahrens von dem ersten Fahrzeug und/oder dem zweiten Fahrzeug bei einer zweiten Durchführung des Verfahrens verschieden sein.
  • Figurenliste
  • Die Erfindung wird nachstehend anhand der beigefügten Zeichnungen beispielhaft näher erläutert. Es zeigen:
    • 1 einen Fahrzeugverbund mit drei Fahrzeugen; und
    • 2 ein Ablaufdiagramm eines Verfahrens zum Steuern eines Fahrzeugs des Fahrzeugverbunds.
  • 1 zeigt einen Fahrzeugverbund 11 mit einem ersten, einem zweiten und einem dritten bzw. weiteren zweiten jeweils als Lastkraftwagen 10, 20, 30 ausgebildeten Fahrzeug 10, 20, 30. Das erste Fahrzeug 10 weist eine erste Steuereinheit 12 auf. Das zweite Fahrzeug 20 weist eine zweite Steuereinheit 22 auf. Das dritte bzw. weitere zweite Fahrzeug 30 weist eine weitere zweite bzw. dritte Steuereinheit 32 auf. Die Steuereinheiten 12, 22, 32 umfassen zumindest je einen Prozessor, ein Kommunikationsmodul, eine Antenne und einen Speicher.
  • Die Steuereinheiten 12, 22, 32 bzw. die Kommunikationsmodule der Steuereinheiten 12, 22, 32 sind eingerichtet, eine Fahrzeug-zu-Fahrzeug-Kommunikation zwischen den Fahrzeugen 10, 20, 30 zu ermöglichen. Insbesondere werden zwischen den Fahrzeugen Fahrzeugverbund-Kontrollnachrichten (PCM) ausgetauscht bzw. Signale mit PCM übertragen.
  • Die Steuereinheiten 12, 22, 32 sind zur Kommunikation und entsprechenden Verarbeitung der für die Steuerung in dem Fahrzeugverbund 11 bzw. Platoon 11 notwendigen Daten ausgebildet. Hierzu ist die Antenne der jeweiligen Steuereinheit 12, 22, 32 als eine Sende-/Empfangsantenne bspw. zur GSM-/UMTS-/LTE-/5G-Kommunikation ausgebildet. In jeder der Steuereinheiten 12, 22, 32, insbesondere in dem jeweiligen Speicher, ist eine Software installiert, die Platooning für die Lastkraftwagen 10, 20, 30 ermöglicht und mit den bisher öffentlich definierten Nachrichten mit anderen Fahrzeugen und den Fahrzeugen 10, 20, 30 des Platoons 11 kommuniziert.
  • Insbesondere sind die Steuereinheiten 12, 22, 32 eingerichtet, abzugebende Nachrichten unter Verwendung eines kryptographischen Schlüssels und eines symmetrischen Verschlüsselungsverfahrens zu verschlüsseln und empfangene Nachrichten entsprechend zu entschlüsseln. Das heißt, mit anderen Worten, die Steuereinheiten 12, 22, 32 sind eingerichtet, eine symmetrische verschlüsselte Kommunikation zwischen den Fahrzeugen 10, 20, 30 zu ermöglichen. Hierbei ist der kryptographische Schlüssel ein symmetrischer Gruppenschlüssel. Das heißt, mit anderen Worten, jede der Steuereinheiten 12, 22, 32 ist eingerichtet, unter Verwendung eines Schlüsselerzeugungsverfahrens und eines bisher gültigen symmetrischen Schlüssels einen neuen gültigen symmetrischen Schlüssel als Gruppenschlüssel zu ermitteln. Weiter sind die Steuereinheiten 12, 22, 32 eingerichtet, auf analoge Weise unter Verwendung des Schlüsselerzeugungsverfahrens und des gültigen Schlüssels einen Reserveschlüssel zu ermitteln.
  • Die Steuereinheiten 12, 22, 32 sind eingerichtet, ein Signal umfassend eine unter Verwendung eines gültigen symmetrischen Schlüssels einer der Steuereinheiten 12, 22, 32 verschlüsselte Nachricht zu empfangen. Weiter sind die Steuereinheiten 12, 22, 32 eingerichtet, eine Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung eines gültigen symmetrischen Schlüssels der jeweiligen Steuereinheit 12, 22, 32 oder eines mittels der jeweiligen Steuereinheit 12, 22, 32 ermittelten symmetrischen Reserveschlüssels zu ermitteln.
  • Ferner sind die Steuereinheiten 12, 22, 32 eingerichtet, die empfangene verschlüsselte Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit unter Verwendung des gültigen symmetrischen Schlüssels der jeweiligen Steuereinheit 12, 22, 32 oder des symmetrischen Reserveschlüssels der jeweiligen Steuereinheit 12, 22, 32 zu entschlüsseln. Das heißt, mit anderen Worten die Steuereinheiten 12, 22, 32 sind eingerichtet, die verschlüsselte Nachricht unter Verwendung des gültigen symmetrischen Schlüssels bzw. des Gruppenschlüssels zu entschlüsseln, wenn die Nachricht unter Verwendung des gültigen symmetrischen Schlüssels entschlüsselbar ist. Ebenso sind die Steuereinheiten 12, 22, 32 eingerichtet die verschlüsselte Nachricht unter Verwendung des jeweiligen Reserveschlüssels zu entschlüsseln, wenn die Nachricht unter Verwendung des gültigen symmetrischen Schlüssels nicht, jedoch unter Verwendung des Reserveschlüssels der jeweiligen Steuereinheit 12, 22, 32 entschlüsselbar ist.
  • Schließlich sind die Steuereinheiten 12, 22, 32 eingerichtet, das jeweilige Fahrzeug 10, 22, 30 basierend auf einem Inhalt der entschlüsselten Nachricht anzusteuern. Hierbei sind die Steuereinheiten 12, 22, 32 eingerichtet, eine Antriebseinheit, eine Lenkeinheit und eine Bremseinheit des jeweiligen Fahrzeugs 10, 20, 30 zu steuern. Insbesondere sind die Steuereinheiten 12, 22, 32 zur Steuerung der Fahrgeschwindigkeit (z. B. Tempomat, Motorsteuerung, Bremssteuerung, Lenkregelung) eingerichtet.
  • 2 zeigt eine schematische Darstellung eines Verfahrens zum Steuern eines Fahrzeugs 20, 30 eines Fahrzeugverbunds 11 gemäß 1.
  • In Schritt 110 wird eine Fahrzeuginformation des ersten Fahrzeugs 10 mittels der ersten Steuereinheit 12 empfangen. Hierbei umfasst die Fahrzeuginformation eine Information bezüglich eines geänderten Fahrzeugidentifikators des ersten Fahrzeugs 10. Zum Beispiel ist der geänderte Fahrzeugidentifikator ein geändertes Pseudonym des ersten Fahrzeugs 10. Denkbar ist, dass der Fahrzeugidentifikator nach Zurücklegen einer definierten Fahrstreckenlänge auf einer Fahrstrecke des Fahrzeugverbunds oder nach einer definierten Zeitdauer automatisiert geändert bzw. gewechselt wird, um einen Schutz einer Privatheit bei einer Kommunikation zwischen den Fahrzeugen 10, 20, 30 zu verbessern.
  • In Schritt 120 wird aufgrund des geänderten Fahrzeugidentifikators des ersten Fahrzeugs 10 der gültige symmetrische Schlüssel der ersten Steuereinheit 12 durch den Reserveschlüssel der ersten Steuereinheit 12 ersetzt. Der Reserveschlüssel wurde zuvor unter Verwendung des Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der ersten Steuereinheit 12 mittels der ersten Steuereinheit 12 ermittelt. Das heißt, mit anderen Worten, der neue gültige symmetrische Schlüssel der ersten Steuereinheit 12 entspricht dem bisherigen Reserveschlüssel der ersten Steuereinheit 12.
  • In Schritt 130 wird eine Nachricht unter Verwendung des neuen gültigen symmetrischen Schlüssels bzw. des bisherigen Reserveschlüssels der ersten Steuereinheit 12 kryptographisch verschlüsselt.
  • In Schritt 140 wird ein Funksignal mit der in Schritt 130 verschlüsselten Nachricht von der ersten Steuereinheit 12 an die zweite Steuereinheit 22 und die dritte Steuereinheit 32 abgegeben.
  • In Schritt 150 wird das von der ersten Steuereinheit 12 abgegebene Signal umfassend die unter Verwendung des neuen gültigen symmetrischen Schlüssels der ersten Steuereinheit 12 verschlüsselte Nachricht mittels der Steuereinheiten 22, 32 der weiteren Fahrzeuge 20, 30 des Fahrzeugverbunds 11 empfangen. Insbesondere wird das Signal in Schritt 154 von der zweiten Steuereinheit und in Schritt 156 von der dritten Steuereinheit empfangen.
  • In Schritt 160 wird eine Entschlüsselbarkeit der empfangenen verschlüsselten Nachricht mittels der Steuereinheiten 22, 32 der weiteren Fahrzeuge 20, 30 ermittelt. Insbesondere wird die Entschlüsselbarkeit der Nachricht in Schritt 164 von der zweiten Steuereinheit 22 und in Schritt 166 von der dritten Steuereinheit 32 ermittelt. Hierbei wird ermittelt, ob die verschlüsselte Nachricht mittels des gültigen symmetrischen Schlüssels der jeweiligen weiteren Steuereinheit 22, 32 oder mittels des symmetrischen Reserveschlüssels der jeweiligen Steuereinheit 22, 32 entschlüsselt werden kann. Die gültigen symmetrischen Schlüssel der weiteren Steuereinheiten 22, 32 sind identisch. Auch sind die symmetrischen Reserveschlüssel der weiteren Steuereinheiten identisch.
  • Zum Ermitteln der Entschlüsselbarkeit wird ein in der Nachricht enthaltener Schlüsselidentifikator des gültigen symmetrischen Schlüssels der ersten Steuereinheit 12 mit einem Schlüsselidentifikator des gültigen symmetrischen Schlüssels der jeweiligen weiteren Steuereinheit 22, 32 und eines Schlüsselidentifikators des Reserveschlüssels der jeweiligen weiteren Steuereinheit 22, 32 verglichen. In diesem Ausführungsbeispiel ist der Schlüsselidentifikator des gültigen symmetrischen Schlüssels der ersten Steuereinheit 12 verschieden von dem Schlüsselidentifikator des gültigen symmetrischen Schlüssels der jeweiligen weiteren Steuereinheit 22, 32 und identisch mit dem Schlüsselidentifikator des Reserveschlüssels der jeweiligen weiteren Steuereinheit 22, 32. Das heißt, mit anderen Worten, die empfangene Nachricht kann mittels des Reserveschlüssels der jeweiligen weiteren Steuereinheit 22, 32 entschlüsselt werden.
  • Daher wird in Schritt 170 der jeweils gültige symmetrische Schlüssel der weiteren Steuereinheiten 22, 32 durch den Reserveschlüssel der jeweiligen Steuereinheit 22, 32 ersetzt. Der Reserveschlüssel wurde zuvor unter Verwendung des Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der jeweiligen Steuereinheit 22, 32 ermittelt. Das heißt, mit anderen Worten, der neue gültige symmetrische Schlüssel der weiteren Steuereinheiten 22, 32 entspricht dem bisherigen Reserveschlüssel der jeweiligen Steuereinheit 22, 32. Insbesondere wird in Schritt 174 der Schlüssel der zweiten Steuereinheit 22 und in Schritt 176 der Schlüssel der dritten Steuereinheit 32 entsprechend ersetzt.
  • In Schritt 180 wird die empfangene verschlüsselte Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit kryptographisch entschlüsselt. In diesem Ausführungsbeispiel wird die verschlüsselte Nachricht unter Verwendung des symmetrischen Reserveschlüssels der weiteren Steuereinheiten 22, 32 entschlüsselt. Insbesondere wird in Schritt 184 die verschlüsselte Nachricht mittels der zweiten Steuereinheit 22 und in Schritt 186 die verschlüsselte Nachricht mittels der dritten Steuereinheit 32 entschlüsselt.
  • In Schritt 190 wird ein neuer symmetrischer Reserveschlüssel der Steuereinheiten 12, 22, 32 unter Verwendung des Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der jeweiligen Steuereinheit 12, 22, 32 ermittelt. Insbesondere wird in Schritt 192 der neue symmetrische Reserveschlüssel der ersten Steuereinheit 12, in Schritt 194 der neue symmetrische Reserveschlüssel der zweiten Steuereinheit 22 und in Schritt 196 der neue symmetrische Reserveschlüssel der dritten Steuereinheit 32 ermittelt.
  • In Schritt 200 werden die weiteren Fahrzeuge 20, 30 des Fahrzeugverbunds 11 basierend auf der entschlüsselten Nachricht angesteuert. Insbesondere wird in Schritt 204 das zweite Fahrzeug 20 und in Schritt 206 das dritte Fahrzeug 30 basierend auf der entschlüsselten Nachricht angesteuert. In diesem Ausführungsbeispiel wird basierend auf dem Inhalt der entschlüsselten Nachricht eine zweite Bremseinheit des zweiten Fahrzeugs 20 und eine dritte Bremseinheit 30 des dritten Fahrzeugs 30 angesteuert, um einen räumlichen Abstand zwischen den Fahrzeugen 10, 20, 30 zu vergrößern.
  • In Schritt 210 wird ein Funksignal mit einer unter Verwendung des neuen gültigen symmetrischen Schlüssels bzw. des bisherigen Reserveschlüssels der zweiten Steuereinheit 22 verschlüsselten Nachricht von der zweiten Steuereinheit 22 an die erste Steuereinheit 12 und die dritte Steuereinheit 32 abgegeben.
  • Das Verfahren kann durch analoge Schritte des Empfangens des von der zweiten Steuereinheit 22 abgegebenen Signals, das Ermitteln der Entschlüsselbarkeit der von diesem Signal umfassten Nachricht, des Entschlüsselns der verschlüsselten Nachricht und des Ansteuerns des jeweiligen Fahrzeugs 10, 30 fortgesetzt werden.
  • Umfasst ein Ausführungsbeispiel eine „und/oder“-Verknüpfung zwischen einem ersten Merkmal und einem zweiten Merkmal, so ist dies so zu lesen, dass das Ausführungsbeispiel gemäß einer Ausführungsform sowohl das erste Merkmal als auch das zweite Merkmal und gemäß einer weiteren Ausführungsform entweder nur das erste Merkmal oder nur das zweite Merkmal aufweist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102018214354 A1 [0006]

Claims (13)

  1. Verfahren (100) zum Ansteuern eines Fahrzeugs (20, 30), mit folgenden Schritten: - Empfangen (150, 154, 156) eines Signals umfassend eine unter Verwendung eines gültigen symmetrischen Schlüssels einer ersten Steuereinheit (12) eines ersten Fahrzeugs (10) verschlüsselte Nachricht mittels einer zweiten Steuereinheit (22, 32) eines anzusteuernden zweiten Fahrzeugs (20, 30); - Ermitteln (160, 164, 166) einer Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung - eines gültigen symmetrischen Schlüssels der zweiten Steuereinheit (22, 32) oder - eines mittels der zweiten Steuereinheit (22, 32) ermittelten symmetrischen Reserveschlüssels der zweiten Steuereinheit (22, 32) mittels der zweiten Steuereinheit (22, 32); - Entschlüsseln (180, 184) der verschlüsselten Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit unter Verwendung - des gültigen symmetrischen Schlüssels der zweiten Steuereinheit (22, 32) oder - des symmetrischen Reserveschlüssels der zweiten Steuereinheit (22, 32) mittels der zweiten Steuereinheit (22, 32); und - Ansteuern des anzusteuernden zweiten Fahrzeugs (20, 30) basierend auf der entschlüsselten Nachricht.
  2. Verfahren (100) nach Anspruch 1, dadurch gekennzeichnet, dass die Nachricht einen Schlüsselidentifikator des zum Verschlüsseln der Nachricht verwendeten symmetrischen Schlüssels umfasst und die Entschlüsselbarkeit der verschlüsselten Nachricht basierend auf dem Schlüsselidentifikator ermittelt wird.
  3. Verfahren (100) nach Anspruch 1 oder 2, gekennzeichnet durch einen Schritt des Ermittelns des symmetrischen Reserveschlüssels der zweiten Steuereinheit (22, 32) unter Verwendung eines Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der zweiten Steuereinheit (22, 32) mittels der zweiten Steuereinheit (22, 32).
  4. Verfahren (100) nach Anspruch 3, gekennzeichnet durch einen Schritt des Ermittelns (190, 192, 294, 196) eines symmetrischen Reserveschlüssels der ersten Steuereinheit (12) unter Verwendung desselben Schlüsselerzeugungsverfahrens und des gültigen symmetrischen Schlüssels der ersten Steuereinheit (12) mittels der ersten Steuereinheit (12), um den gültigen symmetrischen Schlüssel der ersten Steuereinheit (12) durch den ermittelten symmetrischen Reserveschlüssel zu ersetzen.
  5. Verfahren (100) nach einem der vorherigen Ansprüche, gekennzeichnet durch einen Schritt des Ersetzens (120, 170, 174, 176) des gültigen symmetrischen Schlüssels der ersten und/oder zweiten Steuereinheit (12, 22, 32) durch den mittels der jeweiligen Steuereinheit (12, 22, 32) ermittelten symmetrischen Reserveschlüssel.
  6. Verfahren (100) nach Anspruch 5, dadurch gekennzeichnet, dass das Ersetzen (120, 170, 174, 176) des gültigen symmetrischen Schlüssels durch den ermittelten symmetrischen Reserveschlüssel von - der ermittelten Entschlüsselbarkeit der verschlüsselten Nachricht und/oder - einer Fahrzeuginformation oder einer Fahrinformation des jeweiligen Fahrzeugs abhängt.
  7. Verfahren (100) nach einem der Ansprüche 3 bis 6, gekennzeichnet durch einen Schritt des Übertragens einer, bevorzugt verschlüsselten, Information bezüglich des Schüsselerzeugungsverfahrens zwischen den Fahrzeugen (10, 20, 30), um das Ermitteln identischer symmetrischer Schlüssel mittels der verschiedenen Steuereinheiten (12, 22, 32) zu ermöglichen.
  8. Verfahren (100) nach einem der vorherigen Ansprüche, gekennzeichnet durch einen Schritt des Abgebens (140, 210) eines Signals umfassend eine unter Verwendung des gültigen symmetrischen Schlüssels der ersten und/oder zweiten Steuereinheit (12, 22, 32) verschlüsselte Nachricht mittels der jeweiligen Steuereinheit (12, 22, 32), um das die Nachricht empfangende erste und/oder zweite Fahrzeug (10, 20, 30) basierend auf der Nachricht anzusteuern.
  9. Verfahren (100) nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass im Schritt des Ansteuerns (200, 204, 206) des ersten und/oder zweiten Fahrzeugs (20, 30) eine der folgenden Einheiten des ersten und/oder zweiten Fahrzeugs (20, 30), insbesondere mittels der ersten und/oder zweiten Steuereinheit (22, 32), angesteuert wird: Antriebseinheit, Bremseinheit, Lenkeinheit, Kommunikationseinheit, Anzeigeeinheit.
  10. Computerprogramm, das eingerichtet ist, das Verfahren (100) nach einem der Ansprüche 1 bis 9 auszuführen bzw. zu steuern.
  11. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 10 gespeichert ist.
  12. Steuereinheit (22, 32) zum Ansteuern eines Fahrzeugs (20, 30), die dazu eingerichtet ist, - ein Signal umfassend eine unter Verwendung eines gültigen symmetrischen Schlüssels einer ersten Steuereinheit (12) eines ersten Fahrzeugs (10) verschlüsselte Nachricht zu empfangen, - eine Entschlüsselbarkeit der verschlüsselten Nachricht unter Verwendung - eines gültigen symmetrischen Schlüssels der Steuereinheit (22, 32) oder - eines mittels der Steuereinheit (22, 32) ermittelten symmetrischen Reserveschlüssels der Steuereinheit (22, 32) zu ermitteln, - die verschlüsselte Nachricht in Abhängigkeit von der ermittelten Entschlüsselbarkeit unter Verwendung - des gültigen symmetrischen Schlüssels der Steuereinheit (22, 32) oder - des symmetrischen Reserveschlüssels der Steuereinheit (22, 32) zu entschlüsseln, und - ein anzusteuerndes zweites Fahrzeug (20, 30) basierend auf der entschlüsselten Nachricht anzusteuern.
  13. Verbund von Steuereinheiten (12, 22, 32) umfassend zumindest eine an einem ersten Fahrzeug angeordnete erste Steuereinheit (12) gemäß Anspruch 12 und eine an einem zweiten Fahrzeug (20, 30) angeordnete zweite Steuereinheit (22, 32) gemäß Anspruch 12.
DE102019207753.6A 2019-05-27 2019-05-27 Verfahren zum Ansteuern eines Fahrzeugs Pending DE102019207753A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102019207753.6A DE102019207753A1 (de) 2019-05-27 2019-05-27 Verfahren zum Ansteuern eines Fahrzeugs
CN202080054663.5A CN114175571A (zh) 2019-05-27 2020-04-28 用于操控车辆的方法
US17/595,775 US11909726B2 (en) 2019-05-27 2020-04-28 Method for controlling a vehicle
PCT/EP2020/061689 WO2020239344A1 (de) 2019-05-27 2020-04-28 Verfahren zum ansteuern eines fahrzeugs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019207753.6A DE102019207753A1 (de) 2019-05-27 2019-05-27 Verfahren zum Ansteuern eines Fahrzeugs

Publications (1)

Publication Number Publication Date
DE102019207753A1 true DE102019207753A1 (de) 2020-12-03

Family

ID=70471051

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019207753.6A Pending DE102019207753A1 (de) 2019-05-27 2019-05-27 Verfahren zum Ansteuern eines Fahrzeugs

Country Status (4)

Country Link
US (1) US11909726B2 (de)
CN (1) CN114175571A (de)
DE (1) DE102019207753A1 (de)
WO (1) WO2020239344A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130182844A1 (en) * 2010-05-31 2013-07-18 Sanyo Electric Co., Ltd. Terminal apparatuses and base station apparatus for transmitting or receiving a signal containing predetermined information
DE102017213298A1 (de) * 2017-08-01 2019-02-07 Osram Gmbh Datenübermittlung an ein Kraftfahrzeug

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3552648B2 (ja) * 2000-06-20 2004-08-11 インターナショナル・ビジネス・マシーンズ・コーポレーション アドホック無線通信用データ送受システム及びアドホック無線通信用データ送受方法
US7761251B2 (en) * 2007-06-15 2010-07-20 Gm Global Technology Operations, Inc. Systems and method for improving accuracy of sensor signals received via SENT protocol
JP4861261B2 (ja) * 2007-06-28 2012-01-25 株式会社東海理化電機製作所 車車間通信システム
US8855304B2 (en) * 2011-06-23 2014-10-07 Infosys Limited System and method for generating session keys
DE102016002945B4 (de) * 2016-03-11 2024-01-25 Audi Ag Kraftfahrzeug und Verfahren zum Bereitstellen mehrerer Online-Fahrzeugfunktionalitäten
CN107623912B (zh) * 2016-07-15 2020-12-11 中兴通讯股份有限公司 一种车联网终端之间安全通信的方法及装置
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
JP2019004335A (ja) * 2017-06-15 2019-01-10 パナソニックIpマネジメント株式会社 移動関係通信システム
DE102018214354A1 (de) 2018-08-24 2020-02-27 Robert Bosch Gmbh Erstes fahrzeugseitiges Endgerät, Verfahren zum Betreiben des ersten Endgeräts, zweites fahrzeugseitiges Endgerät und Verfahren zum Betreiben des zweiten fahrzeugseitigen Endgeräts

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130182844A1 (en) * 2010-05-31 2013-07-18 Sanyo Electric Co., Ltd. Terminal apparatuses and base station apparatus for transmitting or receiving a signal containing predetermined information
DE102017213298A1 (de) * 2017-08-01 2019-02-07 Osram Gmbh Datenübermittlung an ein Kraftfahrzeug

Also Published As

Publication number Publication date
US11909726B2 (en) 2024-02-20
US20220224676A1 (en) 2022-07-14
WO2020239344A1 (de) 2020-12-03
CN114175571A (zh) 2022-03-11

Similar Documents

Publication Publication Date Title
EP3157281B1 (de) Verfahren zur geschützten kommunikation eines fahrzeugs
DE102012204880B4 (de) Verfahren und Fahrzeug-zu-X-Kommunikationssystem zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften
EP3157190B1 (de) Verfahren zur zertifizierung durch ein steuergerät eines fahrzeugs
DE102012224421A1 (de) Fahrzeuggebundenes system und kommunikationsverfahren
DE102016110169A1 (de) Diebstahlverhinderung für autonome Fahrzeuge
EP3582126B1 (de) Kommunikationsverfahren, computerprogrammprodukt und computersystem
DE102019212959B3 (de) Verfahren zur geschützten Kommunikation eines Fahrzeugs mit einem externen Server, Vorrichtung zur Durchführung der Schlüsselableitung bei dem Verfahren sowie Fahrzeug
EP4128646B1 (de) Nutzung quantensicherer schlüssel mit endgeräteeinrichtungen
DE102017221629A1 (de) Verfahren und Vorrichtung zum Überprüfen eines Fahrzeugs in einem Kommunikationsumfeld zwischen Fahrzeugen
DE102011103408A1 (de) Systeme und Verfahren für eine effiziente Authentifizierung
EP3785421B1 (de) Verfahren zum anonymisierten bereitstellen von daten eines ersten fahrzeugs für eine fahrzeugexterne servereinrichtung sowie anonymisierungsvorrichtung und kraftfahrzeug
DE102019212958B3 (de) Verfahren und Vorrichtung zur Erzeugung von kryptographischen Schlüsseln nach einem Schlüsselableitungsmodell sowie Fahrzeug
EP3157192A1 (de) Verfahren und system für eine asymmetrische schlüsselherleitung
DE10213658B4 (de) Verfahren zur Datenübertragung zwischen Komponenten der Bordelektronik mobiler Systeme und solche Komponenten
EP3661113A1 (de) Verfahren und vorrichtung zum übertragen von daten in einem publish-subscribe-system
DE102018109080A1 (de) Systeme und verfahren zum verwenden mechanischer schwingung für ausserbandkommunikationen an bord eines fahrzeugs
DE102004056724B4 (de) Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
DE102019103419A1 (de) Fahrzeugkommunikationssystem und Fahrzeugkommunikationsverfahren
DE102019207753A1 (de) Verfahren zum Ansteuern eines Fahrzeugs
DE102019208038A1 (de) Verfahren zum Ausgeben eines Steuersignals an ein Fahrzeug eines Fahrzeugverbunds
WO2019174887A1 (de) Verfahren und vorrichtung für eine c2x-kommunikation von kraftfahrzeugen eines kraftfahrzeugverbunds
DE102019202413A1 (de) Verfahren zum Durchführen einer Kommunikation zwischen einem ersten Fahrzeug und einer weiteren Einheit
DE102021208914A1 (de) Verfahren zur Authentifizierung eines Endgeräts
DE102019212068A1 (de) Mobile Kommunikationsvorrichtung zur Aktualisierung von Security-Informationen beziehungsweise Funktionen einer Fahrzeugvorrichtung und Verfahren

Legal Events

Date Code Title Description
R163 Identified publications notified