DE102019220244A1 - Method for storing operating data of a motor vehicle - Google Patents

Method for storing operating data of a motor vehicle Download PDF

Info

Publication number
DE102019220244A1
DE102019220244A1 DE102019220244.6A DE102019220244A DE102019220244A1 DE 102019220244 A1 DE102019220244 A1 DE 102019220244A1 DE 102019220244 A DE102019220244 A DE 102019220244A DE 102019220244 A1 DE102019220244 A1 DE 102019220244A1
Authority
DE
Germany
Prior art keywords
motor vehicle
operating data
data
driver
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019220244.6A
Other languages
German (de)
Inventor
Simon Roth
Gunther Vogel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102019220244.6A priority Critical patent/DE102019220244A1/en
Publication of DE102019220244A1 publication Critical patent/DE102019220244A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself

Abstract

Verfahren zur Speicherung von Betriebsdaten (2), die während eines Betriebs des Kraftfahrzeuges (1) mit einem Fahrzeugführer entstehen, wobei die Betriebsdaten (2) bei der Speicherung derart verschlüsselt werden, dass zum Entschlüsseln der Betriebsdaten (2) eine Mitwirkung des Fahrzeugführers des Kraftfahrzeugs (1) erforderlich ist.Method for storing operating data (2) that arise during operation of the motor vehicle (1) with a vehicle driver, the operating data (2) being encrypted during storage in such a way that the driver of the motor vehicle is involved in decrypting the operating data (2) (1) is required.

Description

Stand der TechnikState of the art

Betriebsdatenrecorder zum Speichern von Betriebsdaten des Betriebs eines Kraftfahrzeuges sind an sich bekannt. Es ist auch bekannt, Fotos oder Kameraaufnahmen, die während oder nach einem Unfall eines Kraftfahrzeuges entstanden sind, zu speichern. Betriebsdaten und insbesondere derartige Fotos oder Kameraaufnahmen sind für Versicherungsfirmen außerordentlich interessant, um den Schuldigen eines Unfalles zu ermitteln. Mit derartigen Daten kann der Hergang eines Unfalls gegebenenfalls rekonstruiert werden.Operating data recorders for storing operating data relating to the operation of a motor vehicle are known per se. It is also known to store photos or camera recordings that were taken during or after an accident in a motor vehicle. Operating data and in particular such photos or camera recordings are extremely interesting for insurance companies in order to determine who is responsible for an accident. The course of an accident can possibly be reconstructed with such data.

Die Idee, Betriebsdaten und insbesondere Fotos oder Kameraaufnahmen zu verschlüsseln, um sie vor unberechtigten Zugriffen zu schützen, ist ebenfalls bekannt. Ein erhebliches Problem im Zusammenhang mit der Speicherung derartiger Daten sind Datenschutzbestimmungen und Datenschutzinteressen des Kraftfahrzeugbetreibers, des Kraftfahrzeugherstellers und des Fahrzeugführers des Kraftfahrzeuges. Datenschutzbestimmungen sind in verschiedenen Ländern zusätzlich noch verschieden, sodass sehr unterschiedliche Regelungen in diesem Zusammenhang eingehalten werden müssen, wenn ein universell einsetzbares Speichersystem für Betriebsdaten bereitgestellt werden soll.The idea of encrypting operating data and in particular photos or camera recordings in order to protect them from unauthorized access is also known. A considerable problem in connection with the storage of such data are data protection provisions and data protection interests of the motor vehicle operator, the motor vehicle manufacturer and the vehicle driver of the motor vehicle. Data protection regulations are also different in different countries, so that very different regulations must be complied with in this context if a universally applicable storage system for operating data is to be provided.

In besonderer Weise problematisch ist es, wenn derartige Daten in der Sphäre eines Kraftfahrzeugherstellers gespeichert werden und dadurch nur der Kraftfahrzeughersteller über die Herausgabe derartiger Daten entscheiden kann. Insbesondere im Zusammenhang mit den autonom fahrenden Fahrzeugen liegt die Verantwortung für Verkehrsunfälle regelmäßig entweder beim Fahrzeugführer des Kraftfahrzeuges oder beim Hersteller des Kraftfahrzeuges, je nachdem welcher Fehler wann und wie eingetreten ist und für den Verkehrsunfall ursächlich war. In derartigen Situationen ist es für den Fahrzeugführer eines Kraftfahrzeuges extrem schwierig, seine Interessen zu vertreten, weil die notwendigen Daten zur Aufklärung der Verantwortung eines Unfalls vom Hersteller zurückgehalten werden könnten.It is particularly problematic if such data are stored in the sphere of a motor vehicle manufacturer and only the motor vehicle manufacturer can therefore decide whether to publish such data. Particularly in connection with autonomous vehicles, the responsibility for traffic accidents regularly lies either with the driver of the vehicle or with the manufacturer of the vehicle, depending on which error occurred when and how and was the cause of the traffic accident. In such situations it is extremely difficult for the driver of a motor vehicle to represent his interests because the manufacturer could withhold the necessary data for clarifying the responsibility of an accident.

Bei Unfällen mit autonom betreibbaren Kraftfahrzeugen ist beispielsweise oft zu klären, ob der Fahrzeugführer in einer Gefahrensituation rechtzeitig die Kontrolle über das Kraftfahrzeug übernommen hat oder sich in unzulässiger Art und Weise auf den autonomen Betrieb des Fahrzeuges verlassen hat. In einer derartigen Situation sind umfangreiche aufgezeichnete Betriebsdaten hilfreich.In the case of accidents with autonomously operated motor vehicles, it is often necessary to clarify, for example, whether the vehicle driver has taken control of the motor vehicle in a timely manner in a dangerous situation or has relied on the autonomous operation of the vehicle in an inadmissible manner. In such a situation, extensive recorded operational data is helpful.

Offenbarung der ErfindungDisclosure of the invention

Ausgehend von dieser Situation soll hier ein Verfahren zur Speicherung von Betriebsdaten eines Kraftfahrzeugs beschrieben werden, welches dazu geeignet ist, einen Zugriff auf Daten im Bedarfsfall zu ermöglichen, Manipulationssicherheit der Daten zu gewährleisten und gleichzeitig kompatibel zu geltenden Vertraulichkeitsinteressen, Vertraulichkeitsbestimmungen und Datenschutzbestimmungen zu sein.Based on this situation, a method for storing operating data of a motor vehicle is to be described here, which is suitable for enabling access to data if necessary, ensuring data manipulation security and at the same time being compatible with applicable confidentiality interests, confidentiality provisions and data protection provisions.

Die Erfindung betrifft ein Verfahren zur Speicherung von Betriebsdaten, die während eines Betriebs des Kraftfahrzeuges mit einem Fahrzeugführer entstehen, wobei die Betriebsdaten bei der Speicherung derart verschlüsselt werden, dass zum Entschlüsseln der Betriebsdaten eine Mitwirkung des Fahrzeugführers des Kraftfahrzeugs erforderlich ist.The invention relates to a method for storing operating data that arise during operation of the motor vehicle with a vehicle driver, the operating data being encrypted during storage in such a way that the driver of the motor vehicle must be involved in decrypting the operating data.

Dies bedeutet, dass die Betriebsdaten so verschlüsselt werden, dass ohne eine Mitwirkung des Fahrzeugführers des Kraftfahrzeugs keine Entschlüsselung der Betriebsdaten möglich ist. Ein Fahrzeugführer behält also trotz der Speicherung der Betriebsdaten die Kontrolle über die Verwertung der Betriebsdaten.This means that the operating data are encrypted in such a way that the operating data cannot be decrypted without the involvement of the driver of the motor vehicle. A vehicle driver thus retains control over the utilization of the operating data despite the storage of the operating data.

Die Verschlüsselung erfolgt insbesondere mit einem sogenannten starken Verschlüsselungsverfahren. Solche Verschlüsselungsverfahren sind insbesondere dadurch gekennzeichnet, dass auch durch Kenntnis einer Datenmenge in verschlüsselter Form und in unverschlüsselter Form nicht auf den Schlüssel bzw. auf die Regel der Verschlüsselung zurück geschlossen werden kann.The encryption takes place in particular with a so-called strong encryption method. Such encryption methods are particularly characterized in that even knowing a volume of data in encrypted form and in unencrypted form, it is not possible to infer the key or the encryption rule.

Besonders bevorzugt wird das Verfahren in einem Betriebsdatenrekorder eines Kraftfahrzeuges durchgeführt, wobei die Durchführung des Verfahrens derart erfolgt, dass im Rahmen des beschriebenen Verfahrens es besonders vorteilhaft ist, wenn die Daten aus dem Betriebsdatenrekorder auch nur verschlüsselt extrahiert werden können, so dass die Mitwirkung des Fahrzeugführers auch nach der Extrahierung der Daten aus dem Betriebsdatenrekorder noch nötig ist, um die Betriebsdaten zu entschlüsseln. Bevorzugt gibt es auch bei einem Vollzugriff auf den Betriebsdatenrekorder (also einem vollständigen Zugriff auf den Datenspeicher des Betriebsdatenrekorders ohne Beschränkungen durch eine Zugriffsschnittstelle) keine Möglichkeit die Betriebsdaten unverschlüsselt aus dem Betriebsdatenrekorder zu extrahieren bzw. aus dem Betriebsdatenrekorder zur Entschlüsselung der Daten notwendige Informationen zu extrahieren.The method is particularly preferably carried out in an operating data recorder of a motor vehicle, the method being carried out in such a way that, within the scope of the method described, it is particularly advantageous if the data can also only be extracted from the operating data recorder in encrypted form, so that the vehicle driver can cooperate is still necessary after the data has been extracted from the operating data recorder in order to decrypt the operating data. Even with full access to the operational data recorder (i.e. full access to the data memory of the operational data recorder without restrictions through an access interface) there is no possibility of extracting the operational data unencrypted from the operational data recorder or of extracting the information necessary to decrypt the data from the operational data recorder.

Mit dem Fahrzeugführer ist hier nicht zwangsläufig eine Person gemeint, die das Fahrzeug selbst steuert. Im Fall eines voll autonom betriebenen Fahrzeugs kann es sich hier auch „nur“ um eine beim Betrieb des Kraftfahrzeugs beteiligte Person oder eine für den Betrieb des Kraftfahrzeugs (mit-)verantwortliche Person handeln. Mit einem Fahrzeugführer ist hiermit also insbesondere auch ein Fahrzeugnutzer gemeint.The driver of the vehicle does not necessarily mean a person who controls the vehicle himself. In the case of a fully autonomous one Vehicle, it can also be “only” a person involved in the operation of the motor vehicle or a person (co-) responsible for the operation of the motor vehicle. A vehicle driver also means, in particular, a vehicle user.

Die Tatsache, dass eine Mitwirkung des Fahrzeugführers erforderlich ist, kann auch eine mittelbare Mitwirkung des Fahrzeugführers umfassen. Hiermit ist beispielsweise gemeint, dass auch die Mitwirkung einer vom Fahrzeugführer autorisierten Stelle oder eine öffentliche Stelle ausreichen kann, um eine Entschlüsselung der Betriebsdaten zu ermöglichen. Der Fahrzeugführer kann einer solchen Stelle beispielsweise einen Schlüssel zur Verfügung gestellt haben. Eine autorisierte Stelle kann beispielsweise eine Versicherung sein, der der Fahrzeugführer Zugang zu den Betriebsdaten als Gegenleistung dafür gewährt hat, Vorteile bei der Versicherung zu erhalten. Eine autorisierte Stelle kann auch eine Behörde oder ein Gericht sein. Gegebenenfalls ist es möglich, dass eine solche autorisierte Stelle einen Generalschlüssel hat oder erhält, mit welchem eine Entschlüsselung der Betriebsdaten möglich ist.The fact that the vehicle driver's participation is required can also include indirect participation by the vehicle driver. This means, for example, that the cooperation of a body authorized by the vehicle driver or a public body can be sufficient to enable the operating data to be decrypted. The vehicle driver may, for example, have made a key available to such a point. An authorized body can, for example, be an insurance company to which the vehicle driver has granted access to the operating data in return for receiving benefits from the insurance. An authorized body can also be an authority or a court. If necessary, it is possible for such an authorized body to have or receive a master key with which the operating data can be decrypted.

Das hier beschriebene Verfahren zur Speicherung von Betriebsdaten eines Kraftfahrzeuges weist in einer bevorzugten Ausführungsvariante die folgenden Schritte auf:

  1. a) Ermitteln eines öffentlichen Schlüssels eines Schlüsselpaars, dessen geheimer Schlüssel in einer geschützten Sphäre eines Fahrzeugführers des Kraftfahrzeugs ist,
  2. b) Akquirieren von Betriebsdaten des Kraftfahrzeuges während eines Betriebs des Kraftfahrzeuges,
  3. c) Verschlüsseln der Betriebsdaten mit dem öffentlichen Schlüssel und einem asymmetrischen Verschlüsselungsverfahren oder verschlüsseln der Betriebsdaten mit einem temporären Schlüssel und einem symmetrischen Verschlüsselungsverfahren, wobei anschließend der temporäre Schlüssel mit dem öffentlichen Schlüssel und einem asymmetrischen Verschlüsselungsverfahren verschlüsselt und dann gelöscht wird,
  4. d) Ablegen von verschlüsselten Betriebsdaten auf einem Datenspeicher.
The method described here for storing operating data of a motor vehicle has the following steps in a preferred embodiment variant:
  1. a) determining a public key of a key pair whose secret key is in a protected sphere of a driver of the motor vehicle,
  2. b) Acquiring operating data of the motor vehicle while the motor vehicle is in operation,
  3. c) Encrypting the operating data with the public key and an asymmetric encryption method or encrypting the operating data with a temporary key and a symmetric encryption method, the temporary key being then encrypted with the public key and an asymmetric encryption method and then deleted,
  4. d) Storage of encrypted operating data on a data memory.

Das Schlüsselpaar mit dem öffentlichen Schlüssel und dem geheimen Schlüssel ist üblicherweise ein Schlüsselpaar für ein asymmetrisches Verschlüsselungsverfahren. In solchen Verfahren ist es möglich, mit dem öffentlichen Schlüssel des jeweiligen Schlüsselpaars Daten zu verschlüsseln. Eine Entschlüsselung der Daten ist nur möglich, wenn auch der geheime Schlüssel des jeweiligen Schlüsselpaars (oft auch privater Schlüssel genannt) zur Verfügung steht. Der geheime Schlüssel des jeweiligen Schlüsselpaars wird in einer geschützten Sphäre aufbewahrt.The key pair with the public key and the secret key is usually a key pair for an asymmetrical encryption method. In such methods it is possible to encrypt data with the public key of the respective key pair. A decryption of the data is only possible if the secret key of the respective key pair (often also called private key) is available. The secret key of the respective key pair is kept in a protected area.

Die theoretische Grundlage für asymmetrische Verschlüsselungsverfahren sind Falltürfunktionen, also Funktionen, die leicht zu berechnen sind, aber ohne ein Geheimnis praktisch unmöglich zu invertieren sind. Der geheime Schlüssel ist dann eine Beschreibung der Funktion, der öffentliche Schlüssel ist die Falltür. Mit der Anwendung des öffentlichen Schlüssels auf die zu verschlüsselnden Daten, kann aus den zu verschlüsselnden Daten eine Menge an verschlüsselten Daten entstehen, die ohne den geheimen Schlüssel wertlos sind. Eine Voraussetzung ist natürlich, dass der private Schlüssel aus dem Öffentlichen nicht berechnet werden kann.The theoretical basis for asymmetric encryption methods are trapdoor functions, i.e. functions that are easy to calculate, but are practically impossible to invert without a secret. The secret key is then a description of the function, the public key is the trapdoor. With the application of the public key to the data to be encrypted, a lot of encrypted data can arise from the data to be encrypted, which is worthless without the secret key. A prerequisite is, of course, that the private key cannot be calculated from the public.

Asymmetrische Verschlüsselungsverfahren bzw. Falltürfunktionen können beispielsweise auf einem der folgenden mathematischen Verfahren basieren:

  • - elliptische Kurven,
  • - RSA-Verfahren,
  • - PGP-Verfahren
Asymmetrical encryption methods or trapdoor functions can, for example, be based on one of the following mathematical methods:
  • - elliptic curves,
  • - RSA method,
  • - PGP procedure

Wie weiter oben beschrieben ist der geheime Schlüssel in einer geschützten Sphäre eines Fahrzeugführers des Kraftfahrzeuges aufbewahrt. Eine geschützte Sphäre des Fahrzeugführers des Kraftfahrzeugs kann beispielsweise ein Mobiltelefon im Besitz des Fahrzeugführers des Kraftfahrzeuges oder gegebenenfalls auch eine elektronische Signaturkarte des Fahrzeugführers des Kraftfahrzeuges oder ein ähnliches Gerät sein. Es ist auch möglich, dass die geschützte Sphäre des Fahrzeugführers ein Computer oder ein Netzwerkspeicher oder eine ähnliche Komponente ist, welche unter der Kontrolle des Fahrzeugführers steht. Für die Durchführung des beschriebenen Verfahrens ist es regelmäßig nicht erforderlich, dass der zweite Schlüssel während der Durchführung des Verfahrens vorliegt. Daher kann die geschützte Sphäre auch vollkommen losgelöst von dem Kraftfahrzeug sein. Es ist nicht erforderlich, dass die technische Einheit, die die geschützte Sphäre bildet, sich in dem Kraftfahrzeug selbst befindet. In vielen Fällen ist dies aber auch nicht schädlich. Beispielsweise ist dies bei einem Mobiltelefon oder einer Signaturkarte (auch Smart-Card genannt) möglich, welche die geschützte Sphäre bereitstellen könnte und die ein Fahrzeugführer des Kraftfahrzeuges in das Kraftfahrzeug mitnehmen kann. Es ist technisch möglich, beispielsweise in ein Mobiltelefon oder einer Signaturkarte einen geheimen Schlüssel für das beschriebene Verfahren sicher zu lagern, wenn das Mobiltelefon hardwaretechnisch und/oder softwaretechnisch entsprechend eingerichtet ist.As described above, the secret key is stored in a protected area of a driver of the motor vehicle. A protected sphere of the driver of the motor vehicle can be, for example, a mobile phone in the possession of the driver of the motor vehicle or possibly also an electronic signature card of the driver of the motor vehicle or a similar device. It is also possible that the protected sphere of the vehicle driver is a computer or a network memory or a similar component which is under the control of the vehicle driver. In order to carry out the method described, it is generally not necessary that the second key is available while the method is being carried out. The protected sphere can therefore also be completely detached from the motor vehicle. It is not necessary for the technical unit that forms the protected sphere to be located in the motor vehicle itself. In many cases, however, this is not harmful either. For example, this is possible with a mobile phone or a signature card (also called a smart card), which could provide the protected sphere and which a vehicle driver of the motor vehicle can take with him into the motor vehicle. It is technically possible to securely store a secret key for the described method, for example in a mobile phone or a signature card, if the mobile phone is set up accordingly in terms of hardware and / or software.

Das Ermitteln des öffentlichen Schlüssels in Schritt a) kann das Auslesen des jeweiligen Schlüssels aus einem Speicher umfassen. Es können allerdings auch weitere Unterschritte zum Ermitteln des Schlüssels aus externen Quellen ausgeführt werden. Hierzu werden später detailliertere Varianten ausgeführt. Schritt a) kann einmalig erfolgen, wenn ein Fahrzeugführer ein Kraftfahrzeug erstmalig verwendet. Schritt a) kann auch regelmäßig wiederholt bei jeder neuen Inbetriebnahme des Kraftfahrzeuges durch den Fahrzeugführer durchgeführt werden.Determining the public key in step a) can include reading out the respective key from a memory. However, further substeps for determining the key from external sources can also be carried out. More detailed versions of this will be given later. Step a) can take place once when a vehicle driver uses a motor vehicle for the first time. Step a) can also be carried out repeatedly by the vehicle driver each time the vehicle is started up again.

Das Akquirieren von Betriebsdaten des Kraftfahrzeuges in Schritt b) umfasst insbesondere das Empfangen bzw. Sammeln von verschiedenen Sensordaten von verschiedenen Sensoren in dem Kraftfahrzeug über eine Datenschnittstelle eines Betriebsdatenrecorders.Acquiring operating data of the motor vehicle in step b) includes in particular receiving or collecting various sensor data from various sensors in the motor vehicle via a data interface of an operating data recorder.

Die in Schritt b) akquirierten Betriebsdaten werden anschließend in Schritt c) zumindest mit dem zweiten öffentlichen Schlüssel verschlüsselt.The operating data acquired in step b) are then encrypted with at least the second public key in step c).

Das Verschlüsseln der Betriebsdaten mit dem öffentlichen Schlüssel in Schritt c) kann auch indirekt erfolgen. Bei einer indirekten Verschlüsselung mit dem öffentlichen Schlüssel wird zunächst ein individueller/temporärer Schlüssel für eine symmetrische Verschlüsselung generiert. Ein solcher individueller Schlüssel ist bevorzugt ein Zufallswert mit einer ausreichenden Bitlänge. So kann sichergestellt werden, dass der individuelle Schlüssel nicht mit einem Angriff ermittelt werden kann. Anschließend werden die Daten mit dem individuellen Schlüssel verschlüsselt. Der individuelle Schlüssel wird dann mit dem öffentlichen Schlüssel verschlüsselt und anschließend gelöscht. Der verschlüsselte individuelle Schlüssel wird zusammen mit den verschlüsselten Betriebsdaten abgelegt bzw. als Teil der verschlüsselten Betriebsdaten bereitgestellt. Wenn nun die verschlüsselten Betriebsdaten entschlüsselt werden sollen, wird dazu zunächst der individuelle Schlüssel mit dem privaten Schlüssel entschlüsselt. Anschließend können mit dem individuellen Schlüssel und dem symmetrischen Verfahren die Betriebsdaten entschlüsselt werden.The operating data can also be encrypted with the public key in step c) indirectly. In the case of indirect encryption with the public key, an individual / temporary key is first generated for symmetrical encryption. Such an individual key is preferably a random value with a sufficient bit length. This ensures that the individual key cannot be determined with an attack. The data is then encrypted with the individual key. The individual key is then encrypted with the public key and then deleted. The encrypted individual key is stored together with the encrypted operating data or made available as part of the encrypted operating data. If the encrypted operating data is to be decrypted, the individual key is first decrypted with the private key. The operating data can then be decrypted with the individual key and the symmetrical procedure.

Das Ablegen der verschlüsselten Betriebsdaten auf einem Datenspeicher in Schritt d) erfolgt bevorzugt so, dass ein Zugriff auf diese Betriebsdaten möglich ist, wenn dieser Zugriff vorteilhaft und/oder erforderlich ist. Dies kann beispielsweise in dem Fall sein, dass ein Unfall des Kraftfahrzeuges eingetreten ist und die Betriebsdaten zur Aufklärung dieses Unfalls verwendet werden sollen. Gegebenenfalls können die Betriebsdaten auch an mehreren Stellen abgelegt werden. Denkbar ist, dass sowohl ein Ablegen auf einem Speicher des Fahrzeugführers als auch ein Ablegen auf einem Speicher eines für den technischen Betrieb des Kraftfahrzeugs Verantwortlichen erfolgt. Dies kann beispielsweise der Kraftfahrzeughersteller (OEM) oder ein Fahrzeugbereitsteller (Mietwagenbetreiber, Betreiber einer Carsharing-Flotte oder Ähnliches) sein.The storage of the encrypted operating data on a data memory in step d) is preferably carried out in such a way that access to this operating data is possible if this access is advantageous and / or necessary. This can be the case, for example, that an accident has occurred in the motor vehicle and the operating data are to be used to investigate this accident. If necessary, the operating data can also be stored in several places. It is conceivable that both storage in a memory of the vehicle driver and storage in a memory of a person responsible for the technical operation of the motor vehicle take place. This can be, for example, the motor vehicle manufacturer (OEM) or a vehicle provider (rental car operator, operator of a car sharing fleet or the like).

In einer weiteren Variante weist das Verfahren die folgenden Schritte auf:

  1. A) Akquirieren von Betriebsdaten des Kraftfahrzeuges während eines Betriebs des Kraftfahrzeuges,
  2. B) Transportieren der Betriebsdaten in eine geschützte Sphäre eines Fahrzeugführers des Kraftfahrzeugs,
  3. C) Verschlüsseln der Betriebsdaten mit einem Schlüssel innerhalb der geschützten Sphäre eines Fahrzeugführers des Kraftfahrzeugs,
  4. D) Ablegen von verschlüsselten Betriebsdaten auf einem Datenspeicher außerhalb der geschützten Sphäre.
In a further variant, the method has the following steps:
  1. A) Acquiring operating data of the motor vehicle while the motor vehicle is in operation,
  2. B) Transporting the operating data into a protected sphere of a vehicle driver of the motor vehicle,
  3. C) Encryption of the operating data with a key within the protected sphere of a vehicle driver of the motor vehicle,
  4. D) Storage of encrypted operating data on a data storage device outside of the protected sphere.

Die Verfahrensschritte a) bis d) können alternativ zu den Verfahrensschritten A) bis D) sein. Es sind Ausführungsvarianten des Verfahrens denkbar bei denen Situationsabhängig (vorzugsweise in Abhängigkeit von einem externen Entscheidungskriterium, welches von dem Verfahren berücksichtigt wird) festgelegt wird, ob die Verfahrensschritte a) bis d) oder die Verfahrensschritte A) bis D) ausgeführt werden.Process steps a) to d) can be an alternative to process steps A) to D). Variants of the method are conceivable in which it is determined depending on the situation (preferably depending on an external decision criterion which is taken into account by the method) whether method steps a) to d) or method steps A) to D) are carried out.

Die Verfahrensschritte a) bis d) und die Verfahrensschritte A) bis D) der beiden hier ausgeführten Verfahrensvarianten entsprechen sich teilweise. Der Verfahrensschritt b) entspricht dem Verfahrensschritt A). Der Verfahrensschritt d) entspricht dem Verfahrensschritt D).Process steps a) to d) and process steps A) to D) of the two process variants detailed here correspond in part. Process step b) corresponds to process step A). Process step d) corresponds to process step D).

Die Verfahrensvarianten unterscheiden sich insbesondere hinsichtlich der Verfahrensschritte a) und c) sowie B) und C).The process variants differ in particular with regard to process steps a) and c) as well as B) and C).

Gemäß dem Verfahrensschritt B) werden die Betriebsdaten in eine geschützte Sphäre des Fahrzeugführers des Kraftfahrzeuges transportiert. Die Definition einer geschützten Sphäre entspricht der obenstehenden Definition einer geschützten Sphäre im Zusammenhang mit Verfahrensschritt a).According to method step B), the operating data are transported to a protected area of the vehicle driver of the motor vehicle. The definition of a protected sphere corresponds to the above definition of a protected sphere in connection with process step a).

Gemäß dem Verfahrensschritt C) werden die Betriebsdaten mit einem Schlüssel innerhalb dieser geschützten Sphäre verschlüsselt.According to method step C), the operating data are encrypted with a key within this protected area.

Anschließend erfolgt in Verfahrensschritt D) die Ablage der verschlüsselten Betriebsdaten. Die Ablage kann in der geschützten Sphäre des Fahrzeugführers erfolgen. Die Ablage kann auch außerhalb der geschützten Sphäre erfolgen, beispielsweise in einem Steuergerät oder einem Datenspeicher in dem Kraftfahrzeug.The encrypted operating data is then stored in method step D). The storage can take place in the protected area of the vehicle driver. The filing can also take place outside the protected sphere, for example in a control unit or a data memory in the motor vehicle.

Ein wesentlicher Vorteil dieser Verfahrensausführung ist, dass für die Verschlüsselung der Betriebsdaten auch symmetrische Verschlüsselungsverfahren verwendet werden können, bei denen zum Entschlüsseln und Verschlüsseln derselbe Schlüssel verwendet wird, ohne dass die Gefahr eines Diebstahls oder einer Vervielfältigung des Schlüssels auftritt. Bei solchen symmetrischen Verfahren muss der Schlüssel, der später auch zum Entschlüsseln verwendbar ist, beim Verschlüsseln bekannt, bzw. verfügbar sein. Das heißt insbesondere, dass ein Verschlüsselungsalgorithmus zum Verschlüsseln auf den Schlüssel zugreifen können muss, um die Betriebsdaten zusammen mit dem Schlüssel verarbeiten zu können. Wenn der Schlüssel außerhalb der geschützten Sphäre nicht bekannt werden soll, ist es vorteilhaft die zu verschlüsselnden Betriebsdaten in die geschützte Sphäre zu transportieren, dort die Verschlüsselung vorzunehmen und anschließend die verschlüsselten Betriebsdaten wieder aus der geschützten Sphäre hinaus zu transportieren. Dann muss der Schlüssel die geschützte Sphäre nicht verlassen.A major advantage of this method implementation is that symmetrical encryption methods can also be used to encrypt the operating data, in which the same key is used for decryption and encryption without the risk of the key being stolen or duplicated. With such symmetrical methods, the key, which can later also be used for decryption, must be known or available during encryption. This means in particular that an encryption algorithm must be able to access the key for encryption in order to be able to process the operating data together with the key. If the key is not to be known outside the protected area, it is advantageous to transport the operating data to be encrypted into the protected area, to carry out the encryption there and then to transport the encrypted operating data out of the protected area again. Then the key does not have to leave the protected sphere.

Gegebenenfalls anspruchsvoll bei einer solchen Verfahrensführung ist die Notwendigkeit des Transports der Betriebsdaten in die geschützte Sphäre und auch wieder aus der geschützten Sphäre hinaus. Hierbei kann es sich um große Datenmengen handeln. Der Transfer großer Datenmengen über übliche Schnittstellen (WIFI, Bluetooth etc.) ist aber problemlos möglich. Eine andere Möglichkeit ist die Reduktion der Datenmenge der Betriebsdaten, indem mit dem Verfahren beispielsweise nur besonders kritische/sensible Betriebsdaten verschlüsselt werden.The necessity of transporting the operating data into the protected sphere and also out of the protected sphere again may be challenging in such a process management. This can be a large amount of data. The transfer of large amounts of data via common interfaces (WIFI, Bluetooth etc.) is possible without any problems. Another possibility is to reduce the amount of data in the operating data, for example by only encrypting particularly critical / sensitive operating data with the method.

Das Verschlüsselungsverfahren, welches in Schritt C) angewendet wird, ist bevorzugt ein Verschlüsselungsverfahren, bei welchem es nicht oder nur mit sehr großem, praktisch nicht durchführbaren Aufwand möglich ist den Schlüssel zu berechnen, wenn die gleichen Daten sowohl in unverschlüsselter Form als auch in verschlüsselter Form vorliegen. Solche hier anwendbare Verschlüsselungsverfahren basieren beispielsweises auf dem AES-Standard (AES = Advanced Encryption Standard), beispielsweise AES-256 mit einer Schlüssellänge von 256 Bit.The encryption method which is used in step C) is preferably an encryption method in which it is not possible or only with a very high, practically impossible effort to calculate the key if the same data is in unencrypted form as well as in encrypted form are present. Such encryption methods that can be used here are based, for example, on the AES standard (AES = Advanced Encryption Standard), for example AES-256 with a key length of 256 bits.

Besonders bevorzugt ist das Verfahren, wenn Schritt c) in einem separaten elektronischen Gerät des Fahrzeugführers stattfindet.The method is particularly preferred if step c) takes place in a separate electronic device of the vehicle driver.

Ein solches separates elektronisches Gerät ist besonders gut dazu geeignet eine gegenüber dem Kraftfahrzeug bzw. dem Kraftfahrzeughersteller bzw. dem Betriebsverantwortlichen des Kraftfahrzeugs (Mietwagenverleiher Carsharing-Betreiber etc.) geschützte Sphäre des Fahrzeugführers des Kraftfahrzeuges bereitzustellen. Üblicherweise und bevorzugt ist ein solches separates elektronisches Gerät von einem anderen Hersteller/Anbieter/Verantwortlichen hergestellt und/oder dem Fahrzeugführer bereitgestellt worden als das Kraftfahrzeug. Der Hersteller/Anbieter/Betriebsverantwortliche des Kraftfahrzeugs hat besonders bevorzugt keine Möglichkeit auf Daten innerhalb des elektronischen Gerätes zuzugreifen.Such a separate electronic device is particularly well suited to provide a protected area for the vehicle driver of the vehicle, which is protected from the vehicle or the vehicle manufacturer or the person responsible for the operation of the vehicle (rental car rental company, car sharing operator, etc.). Usually and preferably, such a separate electronic device is manufactured by a different manufacturer / provider / person responsible and / or made available to the vehicle driver than the motor vehicle. The manufacturer / supplier / person responsible for the operation of the motor vehicle particularly preferably has no way of accessing data within the electronic device.

Das separate elektronische Gerät kann beispielsweise ein mobiles Endgerät (Mobiltelefon, Tablet oder Ähnliches) des Fahrzeugführers sein.The separate electronic device can be, for example, a mobile terminal (mobile phone, tablet or the like) of the vehicle driver.

Das Verfahren ist besonders vorteilhaft, wenn die Betriebsdaten zumindest eine der folgenden Arten von Daten umfassen:

  • - Sensordaten von Sensoren zur Überwachung des Umfeldes des Kraftfahrzeugs,
  • - Sensordaten von Sensoren zur Überwachung des Innenraums des Kraftfahrzeugs,
  • - Meßdaten zur Überwachung von Insassen des Kraftfahrzeugs, und
  • - Kameraaufnahmen des Innenraumes,
  • - Kameraaufnahmen der Fahrzeugumgebung,
  • - Position des Fahrzeugs,
  • - Sensordaten zur Überwachung der Fahrzeugfunktion (Motordrehzahl, Akkustand, Bremswirkung),
  • - Steuerkommandos des Fahrers (Pedalwinkel, Lenkwinkel),
  • - Steuerkommandos (Teil-) Autonomer Fahrsysteme.
The method is particularly advantageous if the operating data include at least one of the following types of data:
  • - Sensor data from sensors for monitoring the surroundings of the motor vehicle,
  • - Sensor data from sensors for monitoring the interior of the motor vehicle,
  • - Measurement data for monitoring occupants of the motor vehicle, and
  • - camera recordings of the interior,
  • - camera recordings of the vehicle environment,
  • - position of the vehicle,
  • - Sensor data for monitoring the vehicle function (engine speed, battery level, braking effect),
  • - Control commands from the driver (pedal angle, steering angle),
  • - Control commands of (partially) autonomous driving systems.

Die beschriebenen Arten von Betriebsdaten sind hier nicht abschließend. Es ist möglich, dass weitere Arten von Betriebsdaten aufgezeichnet werden. Insbesondere ist bevorzugt das mindestens zwei oder sogar mindestens drei verschiedene Arten von Betriebsdaten aufgezeichnet werden. Insbesondere im Zusammenhang mit Kameraaufnahmen und Messdaten zur Überwachung von Insassen des Kraftfahrzeuges ist es erforderlich, dass Datenschutzbestimmungen eingehalten werden. Durch das beschriebene Verfahren und die Verschlüsselung ist sichergestellt, dass nur im Falle der Zustimmung des Fahrzeugführers des Kraftfahrzeuges ein Zugriff auf die Daten möglich ist.The types of operating data described are not exhaustive here. It is possible that other types of operational data may be recorded. In particular, it is preferred that at least two or even at least three different types of operating data are recorded. Particularly in connection with camera recordings and measurement data for monitoring vehicle occupants, it is necessary that data protection regulations are observed. The method described and the encryption ensure that access to the data is only possible if the vehicle driver of the motor vehicle agrees.

Das Verfahren ist besonders vorteilhaft, wenn das Verfahren in einem Betriebsdatenrekorder des Kraftfahrzeuges durchgeführt wird.The method is particularly advantageous if the method is carried out in an operating data recorder of the motor vehicle.

Ein solcher Betriebsdatenrekorder ist üblicherweise nach Art eines Steuergerätes aufgebaut. Ein solcher Betriebsdatenrekorder kann auch als virtuellere Komponente in einem Hardware-Steuergerät realisiert sein, in welchem weitere Komponenten realisiert sind. Das Hardware-Steuergerät stellt dann eine Virtualisierungsumgebung bereit, in der Hardware-Steuergeräte abgelegt und betreibbar sind.Such an operating data recorder is usually constructed in the manner of a control device. Such an operating data recorder can also be implemented as a more virtual component in a hardware control device in which further components are implemented. The hardware control device then provides a virtualization environment in which hardware control devices are stored and can be operated.

Wenn das Verfahren in einem Betriebsdatenrekorder des Kraftfahrzeuges durchgeführt wird, ist es regelmäßig nicht möglich, gleichzeitig sicherzustellen, dass die Verschlüsselung in einer geschützten Sphäre des Fahrzeugführers durchgeführt wird. In den meisten Fällen werden daher dann die Verfahrensschritte a) bis d) und nicht A) bis D) zur Anwendung kommen. Regelmäßig ist es dann auch nicht möglich oder nicht wünschenswert, dass symmetrische Verschlüsselungsverfahren in Schritt C) verwendet werden. Es ist aber denkbar, dass in einer modifizierten Variante der Verfahrensführung gemäß den Schritten a) bis d) symmetrische Verschlüsselungsverfahren in Schritt c) in einem Betriebsdatenrekorder des Kraftfahrzeuges verwendet werden, nämlich dann, wenn ein ausreichendes Vertrauen seitens des Fahrzeugführers darauf besteht, dass in dem Betriebsdatenrekorder der Schlüssel sicher gelöscht wird, sobald die Durchführung der Verschlüsselung (Schritt c)) abgeschlossen ist. Wenn also in dem Betriebsdatenrekorder des Kraftfahrzeuges ein symmetrisches Verschlüsselungsverfahren zur Verschlüsselung der Betriebsdaten durchgeführt wird, dann hat das beschriebene Verfahren bevorzugt folgenden Ablauf:

  • a') Bereitstellen einer Kopie eines (geheimen) Schlüssels, der sowohl zum Verschlüsseln als auch zum Entschlüsseln von Daten verwendet werden kann aus einer geschützten Sphäre eines Fahrzeugführers (in eine temporär geschützte Sphäre, beispielsweise in einem Betriebsdatenrekorder des Kraftfahrzeuges),
  • b') Akquirieren von Betriebsdaten des Kraftfahrzeuges während eines Betriebs des Kraftfahrzeuges,
  • c') Verschlüsseln der Betriebsdaten mit dem Schlüssel (in der temporär geschützten Sphäre),
  • c'') Löschen des Schlüssels (aus der temporär geschützten Sphäre),
  • d') Ablegen von verschlüsselten Betriebsdaten auf einem Datenspeicher.
If the method is carried out in an operating data recorder of the motor vehicle, it is usually not possible at the same time to ensure that the encryption is carried out in a protected area of the vehicle driver. In most cases, process steps a) to d) and not A) to D) will then be used. It is then usually not possible or not desirable for symmetrical encryption methods to be used in step C). However, it is conceivable that, in a modified variant of the procedure according to steps a) to d), symmetrical encryption methods are used in step c) in an operating data recorder of the motor vehicle, namely when the vehicle driver has sufficient confidence that the Operating data recorder the key is securely deleted as soon as the implementation of the encryption (step c)) has been completed. If a symmetrical encryption method is carried out in the operating data recorder of the motor vehicle to encrypt the operating data, then the method described preferably has the following sequence:
  • a ') Providing a copy of a (secret) key that can be used both for encrypting and for decrypting data from a protected area of a vehicle driver (in a temporarily protected area, for example in an operating data recorder of the motor vehicle),
  • b ') Acquiring operating data of the motor vehicle while the motor vehicle is in operation,
  • c ') Encryption of the operating data with the key (in the temporarily protected sphere),
  • c '') deletion of the key (from the temporarily protected sphere),
  • d ') Storage of encrypted operating data on a data memory.

Wenn dann eine Entschlüsselung der Daten vorgenommen werden soll kann erneut auf den geheimen Schlüssel bzw. auf eine erneut zu erstellende Kopie des geheimen Schlüssels zugegriffen werden.If the data is then to be decrypted, the secret key or a new copy of the secret key can be accessed again.

Das Verfahren ist besonders vorteilhaft, wenn der Datenspeicher in dem Betriebsdatenrekorder des Kraftfahrzeugs angeordnet ist.The method is particularly advantageous if the data memory is arranged in the operating data recorder of the motor vehicle.

Der Datenspeicher kann sowohl bei der Durchführung der Verfahrensschritte a) bis d) als auch bei der Durchführung der Verfahrensschritte A) bis D) in dem Betriebsdatenrekorder des Kraftfahrzeuges angeordnet sein. Im Falle der Durchführung der Verfahrensschritte A) bis D) ist dann in Schritt D) gegebenenfalls ein Rücktransport der verschlüsselten Betriebsdaten aus der geschützten Sphäre des Fahrzeugführers in das Kraftfahrzeug bzw. in den Betriebsdatenrekorder notwendig.The data memory can be arranged in the operating data recorder of the motor vehicle both when performing method steps a) to d) and when performing method steps A) to D). If method steps A) to D) are carried out, in step D) it may be necessary to transport the encrypted operating data back from the protected sphere of the vehicle driver to the motor vehicle or to the operating data recorder.

Der Datenspeicher ist insbesondere in einem nicht volatilen Speicher in dem Betriebsdatenrekorders realisiert. Bevorzugt sind die Daten in dem Betriebsdatenrekorder so abgelegt, dass eine Zerstörung der Daten durch einen Unfall vollständig oder zumindest weitestgehend verhindert ist. Der Aufbau des Betriebsdatenrekorders ist in diesem Zusammenhang bevorzugt ähnlich einer Blackbox ausgeführt.The data memory is implemented in particular in a non-volatile memory in the operating data recorder. The data are preferably stored in the operating data recorder in such a way that destruction of the data by an accident is completely or at least largely prevented. In this context, the construction of the operating data recorder is preferably designed similar to a black box.

Das Verfahren ist besonders vorteilhaft, wenn der Datenspeicher in einem von dem Kraftfahrzeug separaten elektronischen Gerät angeordnet ist.The method is particularly advantageous if the data memory is arranged in an electronic device that is separate from the motor vehicle.

Eine Ablage von verschlüsselten Betriebsdaten in einem Datenspeicher in einem separaten elektronischen Gerät kann besonders bevorzugt in Verbindung mit einer der Verfahrensschritte A) bis D) angewendet werden.A storage of encrypted operating data in a data memory in a separate electronic device can particularly preferably be used in connection with one of the method steps A) to D).

Bevorzugt ist auch, wenn die Ablage der Daten sowohl in einem Datenspeicher in einem separaten elektronischen Gerät als auch in einem (weiteren) Datenspeicher (beispielsweise in einem Betriebsdatenrekorder) erfolgt.It is also preferred if the data are stored both in a data memory in a separate electronic device and in a (further) data memory (for example in an operating data recorder).

Das Verfahren ist besonders vorteilhaft, wenn das elektronische Gerät ein mobiles Endgerät des Fahrzeugführers des Kraftfahrzeugs ist.The method is particularly advantageous if the electronic device is a mobile terminal of the vehicle driver of the motor vehicle.

Der Datenspeicher kann insbesondere in einem transportablen elektronischen Gerät angeordnet sein, beispielsweise in einem Chip eines mobilen Endgerätes des Fahrzeugführers des Kraftfahrzeuges oder auch in einer Cloud. So kann der Fahrzeugführer des Kraftfahrzeuges die verschlüsselten Betriebsdaten unproblematisch sichern.The data memory can in particular be arranged in a portable electronic device, for example in a chip of a mobile terminal of the vehicle driver of the motor vehicle or also in a cloud. In this way, the driver of the motor vehicle can secure the encrypted operating data without any problems.

Mobile Endgeräte sind beispielsweise Mobiltelefone, Tablets oder ähnliche Komponenten. Die für das beschriebene Verfahren erforderlichen Funktionalitäten in einer Sphäre des Fahrzeugführers des Kraftfahrzeuges können mit derartigen mobilen Endgeräten einfach realisiert werden.Mobile devices are, for example, cell phones, tablets or similar components. The functionalities required for the described method in a sphere of the vehicle driver of the motor vehicle can be easily implemented with such mobile terminals.

Bevorzugt ist es, wenn vor der Verschlüsselung und Speicherung von Betriebsdaten eine Erkennung eines Fahrzeugführers durchgeführt wird und eine Einrichtung des Verschlüsselungsverfahrens mit Hilfe von fahrzeugführerspezifischen Verschlüsselungsinformationen erfolgt.It is preferred if a vehicle driver is recognized before the encryption and storage of operating data and the encryption method is set up with the aid of driver-specific encryption information.

Die Erkennung eines Fahrzeugführers kann auf ganz verschiedene Arten erfolgen. Es ist beispielsweise möglich einen Fahrer mit einer Kamera und/oder anhand von biometrischen Merkmalen zu erkennen. Gegebenenfalls ist es auch möglich den Fahrer anhand eines separaten elektronischen Gerätes zu erkennen, beispielsweise indem ein Mobiltelefon als separates elektronisches Gerät eine Verbindung zu dem Kraftfahrzeug aufbaut. In Ausführungsvarianten ist es möglich, dass im Rahmen der Einrichtung des Verschlüsselungsverfahrens als fahrzeugführerspezifische Verschlüsselungsinformationen ein fahrzeugführerspezifischer Schlüssel bereitgestellt wird. Insbesondere wird ein solcher fahrzeugführerspezifischer Schlüssel an das Kraftfahrzeug bzw. an einen Betriebsdatenrekorder in dem Kraftfahrzeug übertragen. Es können auch andere Methoden zur Fahrzeugführerauthentifizierung verwendet werden, die beispielsweise aus dem Gebiet der Fahrtenschreiber bekannt sind.A vehicle driver can be identified in a number of different ways. It is possible, for example, to recognize a driver with a camera and / or on the basis of biometric features. If necessary, it is also possible to recognize the driver on the basis of a separate electronic device, for example by using a mobile phone as a separate electronic device to establish a connection to the motor vehicle. In variant embodiments, it is possible, within the framework of setting up the encryption method, to provide a driver-specific key as driver-specific encryption information. In particular, such a driver-specific key is transmitted to the motor vehicle or to an operating data recorder in the motor vehicle. It is also possible to use other methods for vehicle driver authentication which are known, for example, from the field of tachographs.

Weiter bevorzugt ist, wenn vor der Verschlüsselung (Schritte c) und/oder C)) ein öffentlicher Schlüssel des Fahrzeugführers vom Fahrzeug empfangen und in einen Betriebsdatenrekorder des Kraftfahrzeuges zur Verschlüsselung eingerichtet wird.It is further preferred if, before the encryption (steps c) and / or C)), a public key from the vehicle driver is received by the vehicle and set up in an operating data recorder of the motor vehicle for encryption.

Der öffentliche Schlüssel ist bevorzugt Teil eines Paars aus öffentlichem Schlüssel und privatem Schlüssel für ein asymmetrisches Verschlüsselungsverfahren. Die Einrichtung des Schlüssels in dem Betriebsdatenrekorder beschreibt insbesondere die Bereitstellung des Schlüssels für die Durchführung des Verschlüsselungsverfahren in einem Speicher in dem Steuergerät.The public key is preferably part of a pair of public key and private key for an asymmetrical encryption method. The establishment of the key in the operating data recorder describes in particular the provision of the key for the implementation of the encryption method in a memory in the control device.

Außerdem bevorzugt ist, wenn vor der Verschlüsselung (Schritte c) und/oder C)) eine Datenverbindung zu einer geschützten Sphäre des Fahrzeugführers eingerichtet wird, in welcher die Verschlüsselung durchgeführt wird.It is also preferred if, before the encryption (steps c) and / or C)), a data connection is set up to a protected area of the vehicle driver, in which the encryption is carried out.

Eine solche Datenverbindung wird bevorzugt zwischen der geschützten Sphäre des Fahrzeugführers und einem Betriebsdatenrekorder des Kraftfahrzeuges aufgebaut. Dies geschieht wahlweise um Betriebsdaten für die Verschlüsselung in die geschützte Sphäre des Fahrzeugführers oder wieder hinaus zu transportieren (Verfahrensführung gemäß den Schritten A) bis D) oder um einen Schlüssel aus der geschützten Sphäre des Fahrzeugführers an den Ort der Durchführung der Verschlüsselung (beispielsweise in einen Betriebsdatenrekorder des Kraftfahrzeuges) zu transportieren (Verfahrensführung gemäß den Schritten a) bis d)).Such a data connection is preferably set up between the protected sphere of the vehicle driver and an operating data recorder of the motor vehicle. This is done either in order to transport operating data for the encryption into the protected sphere of the vehicle driver or out again (procedural control according to steps A) to D) or to transfer a key from the protected sphere of the vehicle driver to the place where the encryption is carried out (for example in a Operational data recorder of the motor vehicle) to transport (process control according to steps a) to d)).

In besonderen Ausführungsvarianten des beschriebenen Verfahrens werden Betriebsdaten abhängig von dem Auslöser der Aufzeichnung mit unterschiedlichen Schlüsseln bzw. Schlüsselpaaren bestehend aus öffentlichem Schlüssel und privatem Schlüssel geschützt. Es ist beispielsweise möglich, dass Betriebsdaten, die im Kontext einer Unfallsituation akquiriert werden vor der Entschlüsselung erkannt werden und zusätzlich oder alternativ zu der hier beschriebenen verschlüsselten Speicherung noch in einem anderen Datenspeicher abgelegt werden. Insbesondere kann so realisiert werden, dass solche Daten mit weniger bzw. nur mit mittelbarer Mitwirkung des Fahrers entschlüsselt werden können, beispielsweise, um eine Aufklärung der Unfallsituation gegebenenfalls auch unabhängig von der Einwilligung des Fahrers durchführen zu können. In weiteren Ausführungsvarianten ist es möglich, dass unterschiedliche Betriebsdaten mit unterschiedlichen Schlüsseln verschlüsselt werden. Insbesondere ist es nicht erforderlich, dass der hier beschriebene Weg zur Speicherung von Betriebsdaten die einzige Speicherung von Betriebsdaten in einem Kraftfahrzeug ist. Beispielsweise können Betriebsdaten, die für eine Feldbeobachtung durch den OEM unerlässlich sind und/oder Betriebsdaten, für die keine oder reduzierte Datenschutzanforderungen bestehen, separat abgelegt. werden. Auch möglich ist, dass ein Fahrzeugführer eine generelle oder teilweise Einwilligung abgibt, Betriebsdaten auszuwerten. Je nachdem wie diese Einwilligung gegeben wird können auch nur Teile der Betriebsdaten von der verschlüsselten Speicherung ausgenommen sein und unverschlüsselt gespeichert werden.In special design variants of the method described, operating data are protected with different keys or key pairs consisting of a public key and a private key, depending on the trigger of the recording. It is possible, for example, that operating data that are acquired in the context of an accident situation are recognized before decryption and, in addition or as an alternative to the encrypted storage described here, are also stored in another data memory. In particular, it can be implemented in such a way that such data can be decrypted with little or only indirect involvement of the driver, for example in order to be able to clarify the accident situation, if necessary also independently of the driver's consent. In further design variants, it is possible for different operating data to be encrypted with different keys. In particular, it is not necessary that the way described here for storing operating data is the only storage of operating data in a motor vehicle. For example, operational data that are essential for field observation by the OEM and / or operational data for which no or reduced data protection requirements exist can be stored separately. become. It is also possible for a vehicle driver to give general or partial consent to evaluate operating data. Depending on how this consent is given, only parts of the operating data can be excluded from encrypted storage and stored unencrypted.

Hier auch beschrieben werden soll ein Betriebsdatenrekorder für ein Kraftfahrzeug, der zur Durchführung des beschriebenen Verfahrens eingerichtet ist.An operating data recorder for a motor vehicle which is set up to carry out the method described is also intended to be described here.

Außerdem beschrieben werden soll ein Computerprogrammprodukt eingerichtet zur Durchführung des beschriebenen Verfahrens.A computer program product set up to carry out the described method is also to be described.

Darüber hinaus beschrieben werden soll ein maschinenlesbares Speichermedium, auf dem ein solches Computerprogrammprodukt gespeichert ist.A machine-readable storage medium on which such a computer program product is stored is also to be described.

Das hier beschriebene Verfahren wird nachfolgend anhand der Figuren näher erläutert.The method described here is explained in more detail below with reference to the figures.

Es zeigen:

  • 1: ein Ablaufdiagramm einer ersten Variante des beschriebenen Verfahrens, und
  • 2: ein Ablaufdiagramm einer zweiten Variante des beschriebenen Verfahrens.
Show it:
  • 1 : a flow chart of a first variant of the method described, and
  • 2 : a flow chart of a second variant of the method described.

1 zeigt die Durchführung des beschriebenen Verfahrens gemäß den Schritten a) bis d), wobei in der 1 auch gegenständliche Komponenten dargestellt sind in welchen die einzelnen Schritte a) bis d) stattfinden und/oder mit welchen die einzelnen Schritte a) bis d) interagieren. 1 shows the implementation of the method described according to steps a) to d), wherein in the 1 also representational components are shown in which the individual steps a) to d) take place and / or with which the individual steps a) to d) interact.

Zu erkennen ist ein Kraftfahrzeug 1 mit einem Betriebsdatenrekorder 6 in welchem die beschriebenen Schritte a) bis d) stattfinden. In Schritt a) wird eine sichere Verbindung 9 zu einem separaten elektronischen Gerät 8 aufgebaut in welchem eine geschützte Sphäre 3c angeordnet ist. Das separate elektronische Gerät 8 kann beispielsweise ein mobiles Endgerät eines Fahrzeugführers des Kraftfahrzeugs 1 sein. In der geschützten Sphäre 3c befindet sich ein geheimer Schlüssel 3b und auch ein öffentlicher Schlüssel 3a des Fahrzeugführers. Der öffentliche Schlüssel 3a wird in Schritt a) über die sichere Verbindung 9 dem Betriebsdatenrekorder 6 in dem Kraftfahrzeug 1 zur Verfügung gestellt. In Schritt

  • b) erfolgt die Akquirierung bzw. das Sammeln und/oder Empfangen von Betriebsdaten 2 von verschiedenen Sensoren 7 in dem Kraftfahrzeug. In Schritt
  • c) erfolgt die Verschlüsselung der Betriebsdaten und in Schritt d) werden die verschlüsselten Betriebsdaten 5 in einem Datenspeicher 4 abgelegt. Dieser Datenspeicher 4 kann wahlweise in einem Betriebsdatenrekorder 6 oder in der geschützten Sphäre 3c in dem separaten elektronischen Gerät 8 oder aber auch in einem separaten Datenspeichergerät 10 angeordnet sein.
A motor vehicle can be seen 1 with a production data recorder 6th in which the described steps a) to d) take place. In step a) a secure connection is established 9 to a separate electronic device 8th built in which a protected sphere 3c is arranged. The separate electronic device 8th can for example be a mobile terminal of a vehicle driver of the motor vehicle 1 be. In the protected sphere 3c there is a secret key 3b and also a public key 3a of the driver. The public key 3a is in step a) over the secure connection 9 the operating data recorder 6th in the motor vehicle 1 made available. In step
  • b) the acquisition or the gathering and / or receiving of operating data takes place 2 from different sensors 7th in the motor vehicle. In step
  • c) the encryption of the operating data takes place and in step d) the encrypted operating data is carried out 5 in a data store 4th filed. This data store 4th can optionally in a production data recorder 6th or in the protected sphere 3c in the separate electronic device 8th or in a separate data storage device 10 be arranged.

2 zeigt die Durchführung des beschriebenen Verfahrens gemäß den Schritten A) bis D). 2 ist entsprechend zur 1 aufgebaut. Zu erkennen ist das Kraftfahrzeug 1 mit dem Betriebsdatenrekorder 6. In Schritt A) sammelt der Betriebsdatenrekorder 6 Betriebsdaten 2 von verschiedensten Sensoren 7. Die Betriebsdaten werden dann in einem Schritt B) über eine gesicherte Datenverbindung 9 in eine geschützte Sphäre 3c in ein separates elektronisches Gerät 8 transportiert. Dort erfolgt dann die Verschlüsselung in Schritt C). Dazu wird ein Schlüssel 3a, 3b verwendet, der bevorzugt ein geheimer Schlüssel ist, der jedoch bevorzugt nicht Teil eines Paars aus geheimem Schlüssel und öffentlichem Schlüssel für eine asymmetrische Verschlüsselung ist. Nach der Verschlüsselung erfolgt die Ablage der verschlüsselten Betriebsdaten 5 in einem Datenspeicher 4. Gegebenenfalls erfolgt vorher ein Rücktransport der verschlüsselten Betriebsdaten 5 durch die sichere Datenverbindung 9 zurück in den Betriebsdatenrekorder 6. Der Datenspeicher 4 kann wahlweise in einem Betriebsdatenrekorder 6 oder in der geschützten Sphäre 3c in dem separaten elektronischen Gerät 8 oder aber auch in einem separaten Datenspeichergerät 10 angeordnet sein. Wenn der Datenspeicher 4 in dem separaten elektronischen Gerät 8 angeordnet ist, dann wird auch bevorzugt Schritt D) vollständig in dem separaten elektronischen Gerät 8 ausgeführt. Dadurch kann der Rücktransport der verschlüsselten Betriebsdaten 5 durch die sichere Datenverbindung 9 gegebenenfalls entfallen. 2 shows the implementation of the method described in accordance with steps A) to D). 2 is according to 1 built up. The motor vehicle can be seen 1 with the production data recorder 6th . In step A) the operating data recorder collects 6th Operating data 2 from various sensors 7th . The operating data are then transmitted in a step B) via a secure data connection 9 in a protected sphere 3c into a separate electronic device 8th transported. The encryption then takes place there in step C). To do this, there is a key 3a , 3b is used, which is preferably a secret key, but which is preferably not part of a pair of secret key and public key for asymmetric encryption. After encryption, the encrypted operating data is stored 5 in a data store 4th . If necessary, the encrypted operating data is transported back beforehand 5 through the secure data connection 9 back to the operating data recorder 6th . The data store 4th can optionally in a production data recorder 6th or in the protected sphere 3c in the separate electronic device 8th or in a separate data storage device 10 be arranged. When the data store 4th in the separate electronic device 8th is arranged, then step D) is also preferred completely in the separate electronic device 8th executed. This enables the encrypted operating data to be transported back 5 through the secure data connection 9 may be omitted.

Claims (15)

Verfahren zur Speicherung von Betriebsdaten (2), die während eines Betriebs des Kraftfahrzeuges (1) mit einem Fahrzeugführer entstehen, wobei die Betriebsdaten (2) bei der Speicherung derart verschlüsselt werden, dass zum Entschlüsseln der Betriebsdaten (2) eine Mitwirkung des Fahrzeugführers des Kraftfahrzeugs (1) erforderlich ist.Method for storing operating data (2) that arise during operation of the motor vehicle (1) with a vehicle driver, the operating data (2) being encrypted during storage in such a way that the driver of the motor vehicle is involved in decrypting the operating data (2) (1) is required. Verfahren nach Anspruch 1, aufweisend die folgenden Schritte: a) Ermitteln eines öffentlichen Schlüssels (3a) eines Schlüsselpaars, dessen geheimer Schlüssel (3b) in einer geschützten Sphäre (3c) eines Fahrzeugführers des Kraftfahrzeugs (1) ist, b) Akquirieren von Betriebsdaten (2) des Kraftfahrzeuges (1) während eines Betriebs des Kraftfahrzeuges (1), c) Verschlüsseln der Betriebsdaten mit dem öffentlichen Schlüssel (3a) und einem asymmetrischen Verschlüsselungsverfahren oder verschlüsseln der Betriebsdaten mit einem temporären Schlüssel und einem symmetrischen Verschlüsselungsverfahren, wobei anschließend der temporäre Schlüssel mit dem öffentlichen Schlüssel (3a) und einem asymmetrischen Verschlüsselungsverfahren verschlüsselt und dann gelöscht wird, und d) Ablegen von verschlüsselten Betriebsdaten (5) auf einem Datenspeicher (4).Procedure according to Claim 1 , comprising the following steps: a) determining a public key (3a) of a key pair whose secret key (3b) is in a protected sphere (3c) of a driver of the motor vehicle (1), b) acquiring operating data (2) of the motor vehicle (1) during operation of the motor vehicle (1), c) encrypting the operating data with the public key (3a) and an asymmetric encryption method or encrypting the operating data with a temporary key and a symmetric encryption method, with the temporary key then using the public key (3a) and an asymmetric encryption method is encrypted and then deleted, and d) storage of encrypted operating data (5) on a data memory (4). Verfahren nach Anspruch 1, aufweisend die folgenden Schritte: A) Akquirieren von Betriebsdaten (2) des Kraftfahrzeuges (1) während eines Betriebs des Kraftfahrzeuges (1), B) Transportieren der Betriebsdaten in eine geschützte Sphäre (3c) eines Fahrzeugführers des Kraftfahrzeugs (1), C) Verschlüsseln der Betriebsdaten mit einem Schlüssel (3a,3b) innerhalb der geschützten Sphäre (3c), D) Ablegen von verschlüsselten Betriebsdaten (5) auf einem Datenspeicher (4) außerhalb der geschützten Sphäre.Procedure according to Claim 1 , comprising the following steps: A) Acquiring operating data (2) of the motor vehicle (1) during operation of the motor vehicle (1), B) Transporting the operating data to a protected sphere (3c) of a driver of the motor vehicle (1), C) Encrypting the operating data with a key (3a, 3b) within the protected sphere (3c), D) storing encrypted operating data (5) on a data memory (4) outside the protected sphere. Verfahren nach Anspruch 3, wobei Schritt C) in einem separaten elektronischen Gerät des Fahrzeugführers stattfindet.Procedure according to Claim 3 , wherein step C) takes place in a separate electronic device of the vehicle driver. Verfahren nach einem der vorhergehenden Ansprüche, wobei Betriebsdaten zumindest eine der folgenden Arten von Daten umfassen: - Sensordaten von Sensoren (7) zur Überwachung des Umfeldes des Kraftfahrzeugs (1), - Sensordaten von Sensoren (7) zur Überwachung des Innenraums des Kraftfahrzeugs (1), - Meßdaten, zur Überwachung von Insassen des Kraftfahrzeugs (1), und - Kameraaufnahmen des Innenraumes, - Kameraaufnahmen der Fahrzeugumgebung, - Position des Fahrzeugs, - Sensordaten zur Überwachung der Fahrzeugfunktion (Motordrehzahl, Akkustand, Bremswirkung), - Steuerkommandos des Fahrers (Pedalwinkel, Lenkwinkel), - Steuerkommandos (Teil-) Autonomer Fahrsysteme.Method according to one of the preceding claims, wherein operating data comprise at least one of the following types of data: Sensor data from sensors (7) for monitoring the surroundings of the motor vehicle (1), - sensor data from sensors (7) for monitoring the interior of the motor vehicle (1), - measurement data for monitoring occupants of the motor vehicle (1), and - camera recordings of the Interior, - Camera recordings of the vehicle environment, - Position of the vehicle, - Sensor data for monitoring the vehicle function (engine speed, battery level, braking effect), - Control commands from the driver (pedal angle, steering angle), - Control commands (partial) autonomous driving systems. Verfahren nach einem der Ansprüche 1 bis 5, wobei das Verfahren in einem Betriebsdatenrekorder (6) des Kraftfahrzeuges (1) durchgeführt wird.Method according to one of the Claims 1 to 5 , the method being carried out in an operating data recorder (6) of the motor vehicle (1). Verfahren nach Anspruch 6, wobei der Datenspeicher (4) in dem Betriebsdatenrekorder (6) des Kraftfahrzeugs (1) angeordnet ist.Procedure according to Claim 6 , wherein the data memory (4) is arranged in the operating data recorder (6) of the motor vehicle (1). Verfahren nach Anspruch 6, wobei der Datenspeicher (4) in einem von dem Kraftfahrzeug (1) separaten elektronischen Gerät (8) angeordnet ist.Procedure according to Claim 6 wherein the data memory (4) is arranged in an electronic device (8) which is separate from the motor vehicle (1). Verfahren nach Anspruch 8, wobei das elektronische Gerät (8) ein mobiles Endgerät des Fahrzeugführers des Kraftfahrzeugs (1) ist.Procedure according to Claim 8 , wherein the electronic device (8) is a mobile terminal of the driver of the motor vehicle (1). Verfahren nach einem der vorhergehenden Ansprüche, wobei vor der Verschlüsselung und Speicherung von Betriebsdaten (2) eine Erkennung eines Fahrzeugführers durchgeführt wird und eine Einrichtung des Verschlüsselungsverfahrens mit Hilfe von fahrzeugführerspezifischen Verschlüsselungsinformationen erfolgt.Method according to one of the preceding claims, wherein a vehicle driver is recognized before the encryption and storage of operating data (2) and the encryption method is set up with the aid of driver-specific encryption information. Verfahren nach einem der vorhergehenden Ansprüche, wobei vor der Verschlüsselung ein öffentlicher Schlüssel (3a) des Fahrzeugführers vom Fahrzeugführer empfangen und in einem Betriebsdatenrekorder (6) des Kraftfahrzeuges (1) zur Verschlüsselung eingerichtet wird.Method according to one of the preceding claims, wherein, prior to the encryption, a public key (3a) of the vehicle driver is received by the vehicle driver and set up for encryption in an operating data recorder (6) of the motor vehicle (1). Verfahren nach einem der vorhergehenden Ansprüche, wobei vor der Verschlüsselung eine sichere Datenverbindung (9) zu einer geschützten Sphäre (3c) des Fahrzeugführers eingerichtet wird, in welcher die Verschlüsselung durchgeführt wird.Method according to one of the preceding claims, wherein a secure data connection (9) to a protected sphere (3c) of the vehicle driver, in which the encryption is carried out, is set up before the encryption. Betriebsdatenrekorder (6) für ein Kraftfahrzeug (1), der zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 12 eingerichtet ist.Operating data recorder (6) for a motor vehicle (1) which is used to carry out the method according to one of the Claims 1 to 12th is set up. Computerprogrammprodukt eingerichtet zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 12.Computer program product set up to carry out the method according to one of the Claims 1 to 12th . Maschinenlesbares Speichermedium auf dem ein Computerprogrammprodukt nach Anspruch 14 gespeichert ist.Machine-readable storage medium on which a computer program product is based Claim 14 is stored.
DE102019220244.6A 2019-12-19 2019-12-19 Method for storing operating data of a motor vehicle Pending DE102019220244A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019220244.6A DE102019220244A1 (en) 2019-12-19 2019-12-19 Method for storing operating data of a motor vehicle

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019220244.6A DE102019220244A1 (en) 2019-12-19 2019-12-19 Method for storing operating data of a motor vehicle

Publications (1)

Publication Number Publication Date
DE102019220244A1 true DE102019220244A1 (en) 2021-06-24

Family

ID=76206196

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019220244.6A Pending DE102019220244A1 (en) 2019-12-19 2019-12-19 Method for storing operating data of a motor vehicle

Country Status (1)

Country Link
DE (1) DE102019220244A1 (en)

Similar Documents

Publication Publication Date Title
EP1959606B1 (en) Safety unit
EP2333636B1 (en) Mobile interface and system for controlling vehicle functions
DE10202743B4 (en) Tachograph for a motor vehicle and data reading device for selbigen
EP2367128B1 (en) Device and method for electronic signatures
EP2689553B1 (en) Motor vehicle control unit having a cryptographic device
DE102018104079A1 (en) SECURE END TO END VEHICLE ECU RELEASE IN A HALF OFFLINE ENVIRONMENT
DE102015111530A1 (en) Safely providing diagnostics data from a vehicle to a remote server using a diagnostic tool
DE102014019250B4 (en) Activation of a vehicle function of a motor vehicle
DE102010007614A1 (en) Method and device for protecting private data in a vehicle
DE10332183A1 (en) Portable data storage device with layered storage architecture
DE102007004645A1 (en) tachograph
DE102013225445A1 (en) Method and system for bypassing authenticity checks for protected control modules
DE102014224202A1 (en) A method for providing vehicle data of a vehicle, method for evaluating vehicle data of at least one vehicle and method for monitoring a traffic event
DE10213658B4 (en) Method for data transmission between components of the on-board electronics of mobile systems and such components
DE102004016548A1 (en) Process to store unfalsified record of goods surrendered for delivery and check against final delivery records
DE102021207604A1 (en) PRIVACY SYSTEM
DE102009054753A1 (en) Method for operating a safety device
DE102015226147A1 (en) Automatic configuration of telematic data transmissions of a motor vehicle
DE112018007132T5 (en) In-vehicle function access control system, in-vehicle device and in-vehicle function access control method
EP1784756A2 (en) Method and security system for the secure and unambiguous coding of a security module
EP1901147A1 (en) Method and device for preventing accidental activation of a machine tool
DE102015202215A1 (en) Device and method for safe operation of the device
DE102013202322A1 (en) Method for encrypted transmission of data between two components of control unit, involves transferring encrypted data from first component of control unit to second component of control unit, where encrypted data is decrypted
DE102019220244A1 (en) Method for storing operating data of a motor vehicle
EP2733679A2 (en) Device for controlling service life of a motor vehicle