-
Die Erfindung betrifft ein Verfahren zur Steuerung von Funktionen eines Fahrzeugs mit einem mobilen elektronischen Endgerät, welches per Funk mit einem elektronischen Steuergerät des Fahrzeugs in Kommunikationsverbindung bringbar ist, und bei dem ein Benutzer des mobilen Endgeräts mit diesem bestimmte Funktionen des Fahrzeugs steuern kann, wobei diesbezügliche Steuerbefehle verschlüsselt von dem Endgerät an das Steuergerät des Fahrzeugs übermittelt werden. Außerdem betrifft die Erfindung ein System zur Steuerung von Funktionen eines Fahrzeugs mit einem mobilen elektronischen Endgerät, mit welchem dieses Verfahren durchführbar ist.
-
Durch den technischen Fortschritt bei der elektronischen Funk- und Steuerungstechnik können viele Funktionen eines Fahrzeugs, beispielsweise eines Kraftfahrzeugs, die früher nur durch die Betätigung bestimmter, innerhalb des Fahrzeugs angeordneter Bedienungselemente oder von außen über spezielle kabelgebundene Bedienungsgeräte gesteuert werden konnten, inzwischen auch von außen mittels handelsüblicher mobiler Endgeräte, wie Mobiltelefone, PDAs (PDA = Personal Digital Assistant), Smartphones und Tablet-Computer gesteuert werden.
-
So ist beispielsweise aus der
DE 101 37 149 B4 eine Kommunikationseinrichtung für Fahrzeuge bekannt, welche eine im Fahrzeug angeordnete Sende- und Empfangseinrichtung, ein mit dieser Sende- und Empfangseinrichtung verbundenes Steuergerät sowie ein Mobiltelefon umfasst. Über eine zwischen dem Mobiltelefon sowie der Sende- und Empfangseinrichtung bestehende drahtlose Kommunikationsverbindung ist eine Funktion des Fahrzeugs, insbesondere eine Niveauverstelleinrichtung, mittels des Mobiltelefons fernsteuerbar. Zum Schutz gegen eine unbefugte Betätigung der Fahrzeugfunktion wird bei einer Aktivierung der Fernbedienung an dem Mobiltelefon der PIN-Code des Steuergerätes abgefragt sowie die in dem Steuergerät die Mobiltelefonnummer des Mobiltelefons erfasst. Eine Ausführung von Steuerbefehlen des Mobiltelefons erfolgt nur bei Übereinstimmung der PIN-Codes und der Mobiltelefonnummern mit im Steuergerät abgespeicherten Werten.
-
In der
DE 10 2009 056 786 A1 ist ein mobiles Interface zur drahtlosen Steuerung von Fahrzeugfunktionen eines Kraftfahrzeugs beschrieben. Das mobile Interface, bei dem es sich beispielsweise um ein Smartphone oder um einen Tablet-Computer handeln kann, ist mit einer Datenverarbeitungseinheit versehen, welche zur Anwendung mindestens eines Verschlüsselungsverfahrens ausgebildet ist. Durch die Anwendung des Verschlüsselungsverfahrens können auch sicherheitsrelevante Fahrzeugfunktionen, wie zum Beispiel die Verriegelung oder Entriegelung von Schlössern eines Fahrzeugschließsystems, über das mobile Interface gesteuert werden. Die Funktionsbefehle können von dem Interface in Form allgemeiner Funktionsanweisungen an ein Steuergerät des Fahrzeugs gesendet werden, welche von dem Steuergerät in konkrete Steuerbefehle umgewandelt und an die betreffenden Aktuatoren oder Steuergeräte der Aktuatoren weitergeleitet werden.
-
Aus der
DE 10 2014 019 250 B4 ist ein System zur Freischaltung einer Fahrzeugfunktion eines Kraftfahrzeugs bekannt. Bei Eingang einer Nutzungsanforderung in einem mit einem Steuergerät des Fahrzeugs und einem mobilen elektronischen Endgerät in Verbindung stehenden Server wird dort eine über das Endgerät erfasste und an den Server gesendete biometrische Signatur des Benutzers mit einem Schlüsselcode des Steuergerätes verschlüsselt und an das Endgerät gesendet. Mit der Übermittlung der verschlüsselten Signatur von dem Endgerät an das Steuergerät des Fahrzeugs kann der Benutzer die betreffende Fahrzeugfunktion freischalten und diese dann mit dem Endgerät steuern.
-
In einem Verfahren zur externen Bedienung eines mit einer drahtlosen Kommunikationsschnittstelle versehenen Gerätes, wie eines Aktuators eines Fahrzeugs, mit einem Programm eines Mobilgerätes ist gemäß der
DE 10 2015 220 229 B4 vorgesehen, dass die Bedienung nur möglich ist, wenn ein als Authentifizierungs-Token dienendes Schlüsselgerät, wie ein elektronischer Fahrzeugschlüssel, über das Programm des Mobilgerätes mit dem Gerät kommuniziert. Die Kommunikationsverbindungen zwischen dem Schlüsselgerät, dem Mobilgerät und dem Gerät sind durch die Anwendung eines asymmetrischen Verschlüsselungsverfahrens gesichert.
-
Die Vorrichtung zur Autorisierung der Nutzung eines Fahrzeugs gemäß der
DE 10 2019 214 221 A1 weist eine Einrichtung zum Erfassen eines von einem elektronischen Mobilgerät ausgesendeten Autorisierungssignals sowie zum Empfangen eines Referenz-Autorisierungssignals von einem externen Server auf. Ein zugeordnetes Verfahren zur Autorisierung der Nutzung eines Fahrzeugs sieht vor, dass über das Mobilgerät ein Autorisierungssignal von dem externen Server angefordert wird. Das Autorisierungssignal wird von dem Server an das Mobilgerät gesendet und von diesem an das Fahrzeug weitergeleitet. Zudem wird ein Referenz-Autorisierungssignal von dem Server unmittelbar an das Fahrzeug gesendet. Bei Übereinstimmung der beiden Autorisierungssignale in dem Fahrzeug wird dort ein Steuerbefehl erzeugt, mit dem die Nutzung des Fahrzeugs freigegeben wird.
-
Die der vorliegenden Erfindung zugrunde liegende Aufgabe besteht darin, ein Verfahren und ein System zur Steuerung von Funktionen eines Fahrzeugs mit einem mobilen elektronischen Endgerät vorzustellen, welche einen erweiterten Funktionsumfang und eine erhöhte Kommunikationssicherheit aufweisen.
-
Die verfahrensbezogene Lösung dieser Aufgabe wird mit einem Verfahren erreicht, welches die Merkmale des Anspruchs 1 aufweist. Vorteilhafte Weiterbildungen dieses Verfahrens sind in den zugeordneten abhängigen Ansprüchen definiert. Die Merkmale eines unabhängigen Vorrichtungsanspruchs definieren eine Vorrichtung, mittels welcher die vorrichtungsbezogene Aufgabe gelöst wird.
-
Demnach betrifft die Erfindung zunächst ein Verfahren zur Steuerung von Funktionen eines Fahrzeugs mit einem mobilen elektronischen Endgerät, wobei das mobile elektronische Endgerät per Funk mit einem elektronischen Steuergerät des Fahrzeugs in Kommunikationsverbindung bringbar ist und wobei ein Benutzer des mobilen Endgeräts mit diesem bestimmte Funktionen des Fahrzeugs steuern kann, wobei Steuerbefehle zum Steuern der bestimmten Funktionen des Fahrzeugs verschlüsselt von dem Endgerät an das Steuergerät des Fahrzeugs übermittelt werden.
-
Zur Lösung der gestellten Aufgabe ist hierbei vorgesehen, dass mittels des elektronischen Endgerätes die folgenden Steuerungsfunktionen durchgeführt werden:
- a) Ausführen fernsteuerbarer Funktionen des Fahrzeugs,
- b) Freischalten und Sperren fernsteuerbarer Funktionen des Fahrzeugs,
- c) Ändern und Erweitern fernsteuerbarer Funktionen des Fahrzeugs, und
- d) Installieren neuer fernsteuerbarer Funktionen des Fahrzeugs.
-
Mit diesen vier Steuerungsfunktionen, welche mit dem mobilen elektronischen Endgerät ferngesteuert ausgeführt werden, ist der Funktionsumfang gegenüber den bekannten gattungsgemäßen Steuerungsverfahren vorteilhaft erweitert, wobei durch die Verschlüsselung der Steuerbefehle eine hohe Kommunikationssicherheit gegeben ist.
-
Zur Ausführung fernsteuerbarer Funktionen werden diesbezügliche Funktionsanweisungen von dem mobilen Endgerät an das Steuergerät des Fahrzeugs gesendet. Dort werden diese Funktionsanweisungen in einer softwaretechnisch im Steuergerät ausgebildeten Abstraktionsschicht jeweils in einen Funktionscode für den die Funktionsanweisung betreffenden Aktuator oder für das zugeordnete Aktuator-Steuergerät umgewandelt. Sodann werden diese Funktionscodes mit einer entsprechenden Adressierung über ein Interfacemodul des Steuergeräts in einen Datenbus des Fahrzeugs eingespeist, an den der betreffende Aktuator oder das zugeordnete Aktuator-Steuergerät angeschlossen ist. Dieser Aktuator oder das zugeordnete Aktuator-Steuergerät empfängt den Funktionscode und führt dann eine diesbezügliche Aktuatorbetätigung durch.
-
Eine Funktionsanweisung betrifft beispielsweise ein Entriegeln oder Verriegeln von Türschlössern des Fahrzeugs, ein Einschalten oder Ausschalten der Alarmanlage des Fahrzeugs, ein Einschalten oder Ausschalten einer Standheizung oder Klimaanlage des Fahrzeugs zeitlich deutlich vor dem Fahrtantritt, ein Öffnen oder Schließen einer Ladebordwand des Fahrzeugs, ein Absenken oder Anheben einer Ladebordwand des Fahrzeugs, ein automatisches Einparken oder Ausparken des Fahrzeugs in eine oder aus einer Parklücke, oder ein automatisches Einparken oder Ausparken des Fahrzeugs in eine oder aus einer Garage.
-
Durch die Verwendung von einfachen Funktionsanweisungen anstelle der Funktionscodes sind in dem mobilen Endgerät nur relativ kleine Funktionsdatensätze abgespeichert, welche von diesem bei einem Aufruf der jeweiligen Funktion per Funk, zum Beispiel per WLAN (WiFi) oder Bluetooth, an das Steuergerät des Fahrzeugs übertragen werden.
-
In ähnlicher Weise ist vorgesehen, dass zur Freischaltung und Sperrung fernsteuerbarer Funktionen einfache Aktivierungs- oder Deaktivierungsanweisungen von dem Endgerät an das Steuergerät des Fahrzeugs gesendet werden. Diese Aktivierungs- oder Deaktivierungsanweisungen werden dann in der Abstraktionsschicht des Steuergerätes jeweils in einen Aktivierungs- oder Deaktivierungscode für den betreffenden Aktuator oder das zugeordnete Aktuator-Steuergerät umgewandelt und mit einer entsprechenden Adressierung über das Interfacemodul des fahrzeugseitigen Steuergeräts in den Datenbus eingespeist, an den der betreffende Aktuator oder das zugeordnete Aktuator-Steuergerät angeschlossen ist. Dieser Aktuator oder das zugeordnete Aktuator-Steuergerät empfängt den Funktionscode und führt dann eine dem Funktionscode entsprechende Aktuatorbetätigung durch.
-
Zur sicheren und authentischen Übertragung werden die Funktionsanweisungen und die Aktivierungs- oder Deaktivierungsanweisungen von dem elektronischen Endgerät jeweils verschlüsselt und signiert an das Steuergerät des Fahrzeugs gesendet, wobei jeweils bevorzugt ein asymmetrisches Verschlüsselungsverfahren mit einem öffentlichen Schlüssel und einem geheimen Schlüssel des Steuergerätes sowie ein asymmetrisches Signaturverfahren mit einem geheimen Schlüssel und einem öffentlichen Schlüssel des Endgerätes zur Anwendung kommen.
-
Die Funktionsanweisungen und die Aktivierungs- oder Deaktivierungsanweisungen werden demnach in dem Endgerät mit dem öffentlichen Schlüssel des Steuergerätes verschlüsselt und in dem Steuergerät mit dem geheimen Schlüssel des Steuergerätes entschlüsselt. Zudem werden die Funktionsanweisungen und die Aktivierungs- oder Deaktivierungsanweisungen in dem Endgerät mit dem geheimen Schlüssel des Endgerätes signiert und die Signatur in dem Steuergerät mit dem öffentlichen Schlüssel des Endgerätes gelesen und überprüft. Als konkrete Verschlüsselungssoftware können bekannte sichere Verschlüsselungsverfahren genutzt werden.
-
Zur Änderung und Erweiterung fernsteuerbarer Funktionen des Fahrzeugs wird von dem Endgerät jeweils ein entsprechendes Softwareupdate von einem externen Server angefordert, welcher über eine Funk- und/oder Internetverbindung mit dem elektronischen Endgerät verbindbar ist.
-
Der Zugang des elektronischen Endgerätes zum Internet kann per WLAN (WiFi) über einen DSL-Router oder über das Funktelefonnetz (z. B. GSM, GPRS, UMTS, LTE, LTE-Advanced, 5G) erfolgen. Die Internetverbindung zu dem externen Server kann von einem Cloud-Computing-Dienstleister, wie beispielsweise Amazon Web Services (AWS), Google Cloud Platform (GCP) oder Microsoft Azure, zur Verfügung gestellt werden.
-
Das angeforderte Softwareupdate wird von dem externen Server über das Endgerät an das Steuergerät des Fahrzeugs übertragen und entweder in einem Programmspeicher des Steuergerätes abgespeichert oder mit einer entsprechenden Adressierung des betreffenden Aktuator-Steuergerätes über das Interfacemodul des Steuergerätes in den Datenbus eingespeist, an den das zugeordnete Aktuator-Steuergerät angeschlossen ist. Das Softwareupdate wird dann von dem Aktuator-Steuergerät empfangen und dort abgespeichert.
-
In ähnlicher Weise ist vorgesehen, dass zum Installieren neuer fernsteuerbarer Funktionen des Fahrzeugs mittels des elektronischen Endgeräts in einem Anforderungsvorgang ein diesbezügliches Steuerungsprogramm von dem externen Server angefordert wird. Anschließend wird das angeforderte Steuerungsprogramm von dem externen Server über das Endgerät an das Steuergerät des Fahrzeugs übertragen und entweder in dem Programmspeicher des Steuergerätes abgespeichert oder mit einer entsprechenden Adressierung des betreffenden Aktuator-Steuergerätes versehen über das Interfacemodul des Steuergerätes in denjenigen Datenbus eingespeist, an den das zugeordnete Aktuator-Steuergerät angeschlossen ist. Das zusätzliche Steuerungsprogramm wird dann von dem Aktuator-Steuergerät empfangen und dort abgespeichert.
-
Zur sicheren und authentischen Datenübertragung ist vorgesehen, dass die Signale der Anforderungsvorgänge zur Anforderung eines Softwareupdates oder eines Steuerungsprogramms von dem Endgerät jeweils verschlüsselt und signiert an den externen Server gesendet werden. Hierbei wird ein asymmetrisches Verschlüsselungsverfahren mit einem öffentlichen Schlüssel des Servers und einem geheimen Schlüssel des Servers verwendet. Zudem wird ein asymmetrisches Signierungsverfahren mit einem geheimen Schlüssel des elektronischen Endgerätes und einem öffentlichen Schlüssel des elektronischen Endgerätes genutzt.
-
Die Anforderung eines Softwareupdates oder eines Steuerungsprogramms wird demnach in dem elektronischen Endgerät mit dem öffentlichen Schlüssel des Servers verschlüsselt und in dem Server mit dem geheimen Schlüssel des Servers entschlüsselt. Zudem wird die Anforderung eines Softwareupdates oder eines Steuerungsprogramms in dem elektronischen Endgerät mit dem geheimen Schlüssel des Endgerätes signiert und die Signatur in dem Server mit dem öffentlichen Schlüssel des Endgerätes gelesen und überprüft.
-
Um einen Eingriff in die Steuerungsprogramme des Fahrzeugs nur geschultem Fachpersonal zu ermöglichen, ist bevorzugt vorgesehen, dass eine einfache Zugangsberechtigung für die Durchführung erster Steuerungsfunktionen sowie eine erweiterte Zugangsberechtigung für die Durchführung zweiter Steuerungsfunktionen vergeben wird. Die Berechtigung zur Anforderung eines Softwareupdates sowie zur Anforderung von Steuerungsprogrammen aus dem externen Server wird in Abhängigkeit von der Signatur des Endgerätes und Zugangsberechtigung des Bedieners des Endgerätes erteilt oder abgelehnt.
-
Zur sicheren und authentischen Übertragung von Softwareupdates sowie Steuerungsprogrammen von dem externen Server zu dem Steuergerät des Fahrzeugs ist gemäß einer Weiterbildung des Verfahrens vorgesehen, dass die Softwareupdates und die Steuerungsprogramme von dem externen Server jeweils verschlüsselt und signiert über das Endgerät an das Steuergerät des Fahrzeugs gesendet werden. Hierbei wird ein asymmetrisches Ende-zu-Ende-Verschlüsselungsverfahren mit einem öffentlichen Schlüssel und einem geheimen Schlüssel des Steuergerätes genutzt. Zudem wird ein asymmetrisches Ende-zu-Ende-Signierungsverfahren mit einem geheimen Schlüssel und einem öffentlichen Schlüssel des Servers verwendet.
-
Die Softwareupdates und Steuerungsprogramme werden demnach jeweils in dem Server mit dem öffentlichen Schlüssel des Steuergerätes verschlüsselt und in dem Steuergerät mit dem geheimen Schlüssel des Steuergerätes entschlüsselt. Zudem werden die Softwareupdates und Steuerungsprogramme in dem Server mit dem geheimen Schlüssel des Servers signiert und die Signatur in dem Steuergerät mit dem öffentlichen Schlüssel des Servers gelesen und überprüft. Durch die geschilderte Ende-zu-Ende-Verschlüsselung und die Ende-zu-Ende-Signierung dient das elektronische Endgerät nur als Relaisstation zur Weiterleitung der Softwareupdates und der Steuerungsprogramme an das Steuergerät, und wird so von Rechenoperationen zur Verschlüsselung sowie Signierung entlastet.
-
Weiter kann vorgesehen sein, dass die von dem Steuergerät des Fahrzeugs empfangenen Funktionsanweisungen, Aktivierungs- oder Deaktivierungsanweisungen, Änderungs- und Erweiterungsanweisungen sowie Softwareupdates und Steuerungsprogramme in einem eingangsseitigen Validierungsmodul des Steuergerätes anhand der jeweiligen Signatur auf ihre Authentizität überprüft, bei positivem Prüfergebnis entschlüsselt sowie dann an die Abstraktionsschicht oder an das Interfacemodul des Steuergerätes weitergeleitet werden.
-
Zur Vermeidung eines unberechtigten Zugriffs auf das elektronische Steuergerät und den externen Server kann vorgesehen sein, dass die Berechtigung zum Empfang eines Softwareupdates und/oder zum Empfang von Steuerungsprogrammen in Abhängigkeit von der aktuellen Uhrzeit beim Versenden des Anforderungsvorgangs erteilt oder abgelehnt werden. Demnach werden solche Anforderungsvorgänge nur dann akzeptiert, wenn diese, zusätzlich zu den bereits genannten Identifizierungsmaßnahmen, zu einer vorbestimmten Uhrzeit oder einem vorbestimmten Zeitintervall vorgenommen wird. Eine solche Uhrzeit kann beispielsweise in ein Zeitintervall von 11:15 Uhr bis 11:45 Uhr Ortszeit eines jeden Tages fallen.
-
Weiter kann zur Vermeidung eines unberechtigten Zugriffs auf das elektronische Steuergerät und den externen Server vorgesehen sein, dass die Berechtigung zum Empfang eines Softwareupdates und/oder zum Empfang von Steuerungsprogrammen in Abhängigkeit von dem geografischen Ort, an dem sich das elektronische Endgerät beim Anforderungsvorgang befindet, erteilt oder abgelehnt wird. Sofern sich das elektronische Endgerät bei einem der genannten Anforderungsvorgänge beispielsweise außerhalb von Deutschland befindet, wird der Empfang eines Softwareupdates und/oder eines Steuerungsprogrammes abgelehnt. Die geografischen Daten des Ortes werden von dem elektronischen Endgerät bei dessen Anforderungsvorgang mitgesendet, beispielsweise auf der Grundlage von Informationen eines weltweiten Satelliten-Navigationssystems.
-
Gemäß einer anderen Sicherheitsmaßnahme zur Vermeidung eines unberechtigten Zugriffs auf das elektronische Steuergerät und/oder den externen Server kann vorgesehen sein, dass die Berechtigung zum Empfang eines Softwareupdates und/oder zum Empfang von Steuerungsprogrammen beim Überschreiten einer vorbestimmten Anzahl von falschen Anforderungsvorgängen abgelehnt wird, wenn diese in einem vorbestimmten Zeitintervall erfolgten. Auf diese Weise wird ein Hacker-Angriff abgewehrt, bei dem ein unberechtigtes elektronisches Gerät versucht, mittels einer Vielzahl von in einem kurzen Zeitraum versendeten, unterschiedlichen Zugriffsversuchen sich Zugang zu dem elektronischen Steuergerät und/oder dem externen Server zu verschaffen.
-
Weiter kann vorgesehen sein, dass die Berechtigung zum Empfang eines Softwareupdates und/oder zum Empfang von Steuerungsprogrammen nur dann erteilt wird, wenn in einem vorbestimmten Zeitintervall wenigstens zwei elektronische Endgeräte das Zusenden des gleichen Softwareupdates oder des gleichen Steuerungsprogramms von dem externen Server anfordern. Das erwähnte Zeitintervall ist vorzugsweise vergleichsweise kurz, also beispielweise zwei Minuten lang. Durch die Notwendigkeit der Nutzung von wenigstens zwei elektronischen Endgeräten in einem vorbestimmten, vergleichsweise kurzen Zeitraum, wird die erreichbare Sicherheit weiter vergrößert.
-
Die Erfindung betrifft auch eine System zur Steuerung von Funktionen eines Fahrzeugs mit einem mobilen elektronischen Endgerät, welches per Funk mit einem zentralen elektronischen Steuergerät des Fahrzeugs in Kommunikationsverbindung bringbar ist, und mit dem ein Benutzer bestimmte Funktionen des Fahrzeugs steuern kann, wobei Steuerbefehle verschlüsselt von dem Endgerät an das Steuergerät des Fahrzeugs übermittelt werden.
-
Zur Lösung der vorrichtungsbezogenen Aufgabe ist bei diesem System vorgesehen, dass zur Durchführung des Verfahrens gemäß wenigstens einem der Verfahrensansprüche vorgesehen ist,
- - dass das mobile Endgerät Mittel aufweist, mit denen es über eine Funk- und/oder Internetverbindung mit einem externen Server verbindbar ist,
- - dass das elektronische Steuergerät des Fahrzeugs ein Validierungsmodul zur Authentizitätsprüfung sowie Entschlüsselung empfangener Funktionsanweisungen, Aktivierungs- oder Deaktivierungsanweisungen, Softwarepakete von Softwareupdates und Steuerungsprogrammen aufweist,
- - dass das elektronische Steuergerät des Fahrzeugs über eine softwaretechnisch im Steuergerät ausgebildete Abstraktionsschicht zur Umwandlung empfangener Funktionsanweisungen und Aktivierungs- oder Deaktivierungsanweisungen in Funktionscodes für die zugeordneten Aktuatoren oder die zugeordneten Aktuator-Steuergeräte verfügt, und
- - dass das elektronische Steuergerät des Fahrzeugs ein Interfacemodul zur Adressierung sowie Einspeisung der Funktionscodes und Softwarepakete in einen Datenbus des Fahrzeugs aufweist.
-
Das Verfahren sowie das erwähnte System mit den Merkmalen der Erfindung werden nachstehend anhand eines in den beigefügten Figuren dargestellten Ausführungsbeispiels näher erläutert. In den Figuren zeigt
- 1 in einer schematischen Übersichtdarstellung ein Fahrzeug mit einem elektronischen Steuergerät, ein mobiles elektronisches Endgerät und einen externen Server zur Anwendung des Verfahrens und
- 2 einen Datenfluss zwischen dem Steuergerät, dem Endgerät und dem externen Server bei der Durchführung des Verfahrens in einem Funktionsschema.
-
Das in der 1 schematisch dargestellte System 1 zur drahtlosen Steuerung von Funktionen eines Fahrzeugs 6 weist ein mobiles elektronisches Endgerät 2 auf, bei dem es sich um ein spezielles Handfunkgerät eines Systemherstellers oder um ein handelsübliches Kommunikationsgerät, wie ein Mobiltelefon, einen PDA, ein Smartphone oder einen Tablet-Computer handeln kann. Das mobile Endgerät 2 steht über eine Funkverbindung 4, zum Beispiel über WLAN (WiFi) oder Bluetooth, sowie eine Sende- und Empfangseinheit 8 des als Lastkraftwagen ausgebildeten Fahrzeugs 6 mit einem zentralen elektronischen Steuergerät 10 des Fahrzeugs 6 in Kommunikationsverbindung. Das elektronische Steuergerät 10 weist ein eingangsseitiges Validierungsmodul 12, eine Abstraktionsschicht 14 und ein Interfacemodul 16 auf. Das Validierungsmodul 12 und die Abstraktionsschicht 14 sind als Software-Bereiche ausgebildet und im Steuergerät 10 abgespeichert. Über das Interfacemodul 16 ist das Steuergerät 10 an einen Datenbus 18 angeschlossen, bei dem es sich bevorzugt um einen CAN-Bus handelt. An den Datenbus 18 sind einige Aktuatoren 22, 26 des Fahrzeugs 6 unmittelbar angeschlossen. Andere, hier nicht dargestellte Aktuatoren des Fahrzeugs 6 sind über zugeordnete Aktuator-Steuergeräte 20, 24, 28 mittelbar an den Datenbus 18 angeschlossen.
-
Bedarfsweise kann das mobile elektronische Endgerät 2 über mindestens eine Funk- und/oder Internetverbindung 30, 32 auch mit einem externen Server 34 verbunden werden beziehungsweise Kommunikationsdaten mit diesem austauschen. Eine erste Funk- und/oder Internetverbindung 30 ist als eine WLAN-Funkverbindung 36 zu einem benachbarten DSL-Router 38 ausgebildet, welcher über ein Telefonfestnetz 40 und das Internet mit dem externen Server 34 verbunden ist. Eine zweite Funk- und/oder Internetverbindung 32 ist als Mobilfunkverbindung 42 ausgebildet, zu der eine benachbarte Mobilfunkantenne 44 gehört, welche über ein Mobiltelefonnetz 46 und das Internet mit dem externen Server 34 verbunden ist. Der externe Server 34 kann von dem Fahrzeughersteller, einem Systemlieferanten oder einem Dienstleister betrieben werden. Der externe Server 34 hält in einem zugeordneten Programmspeicher Softwareupdates von Steuerungsprogrammen und gegebenenfalls Steuerungsprogramme für neue fernsteuerbare Funktionen des Fahrzeugs 6 zum Abruf bereit.
-
Das erfindungsgemäße Steuerungsverfahren nun sieht vor, dass bei einer Nutzung des mobilen Endgeräts 2 die folgende Steuerungsfunktionen durchgeführt werden:
- a) Ausführen fernsteuerbarer Funktionen des Fahrzeugs 6,
- b) Freischalten und Sperren fernsteuerbarer Funktionen des Fahrzeugs 6,
- c) Ändern und Erweitern fernsteuerbarer Funktionen des Fahrzeugs 6,
- d) Installieren neuer fernsteuerbarer Funktionen des Fahrzeugs 6.
-
Diese Steuerungsfunktionen werden vorzugsweise alternativ zueinander durchgeführt.
-
Wie dem in 2 dargestellten Funktionsschema entnehmbar ist, wird zur Ausführung einer fernsteuerbaren Funktion des Fahrzeugs 6 eine einfache Funktionsanweisung A von dem mobilen elektronischen Endgerät 2 an das Steuergerät 10 des Fahrzeugs 6 gesendet. Diese Funktionsanweisung A wird anschließend in der Abstraktionsschicht 14 des Steuergerätes 10 in einen Funktionscode für den der Funktionsanweisung A zugeordneten Aktuator 22, 26 oder für das betreffende Aktuator-Steuergerät 20, 24, 28 umgewandelt. Der so ermittelte Funktionscode wird mit einer entsprechenden Adressierung versehen und über das Interfacemodul 16 des Steuergerätes 10 in den Datenbus 18 des Fahrzeugs 6 eingespeist. Hierdurch erreicht der genannte Funktionscode den zugeordneten, adressierten Aktuator 22, 26 oder das betreffende Aktuator-Steuergerät 20, 24, 28, und löst dort die vom Bediener angeforderte Fahrzeugfunktion aus.
-
Bei der von dem Bediener des mobilen elektronischen Endgeräts 2 abgesandten Funktionsanweisung A kann es sich beispielsweise handeln um ein Entriegeln oder Verriegeln von Türschlössern des Fahrzeugs, ein Einschalten oder Ausschalten der Alarmanlage des Fahrzeugs, ein Einschalten oder Ausschalten einer Standheizung oder Klimaanlage des Fahrzeugs zeitlich deutlich vor dem Fahrtantritt, ein Öffnen oder Schließen einer Ladebordwand des Fahrzeugs, ein Absenken oder Anheben einer Ladebordwand des Fahrzeugs, ein automatisches Einparken oder Ausparken des Fahrzeugs in eine oder aus einer Parklücke, oder ein automatisches Einparken oder Ausparken des Fahrzeugs in eine oder aus einer Garage.
-
Die Funktionsanweisung A wird von dem Endgerät 2 verschlüsselt und signiert an das Steuergerät 10 des Fahrzeugs 6 gesendet. Hierbei kommt ein asymmetrisches Verschlüsselungsverfahren mit einem öffentlichen Schlüssel S10_public und einem geheimen S10_private des Steuergerätes 10 sowie ein asymmetrisches Signaturverfahren mit einem geheimen Schlüssel S2_private und einem öffentlichen Schlüssel S2_public des Endgerätes 2 zur Anwendung.
-
Die Funktionsanweisung A wird in dem Endgerät 2 mit dem öffentlichen Schlüssel S10_public des Steuergerätes 10 verschlüsselt und in dem Validierungsmodul 12 des Steuergerätes 10 mit dem geheimen Schlüssel S10_private des Steuergerätes 10 entschlüsselt. Zudem wurde die Funktionsanweisung A in dem Endgerät 2 mit dem geheimen Schlüssel S2_private des Endgerätes 2 signiert und diese Signatur in dem Validierungsmodul 12 des Steuergerätes 10 mit dem öffentlichen Schlüssel S2_public des Endgerätes 2 gelesen sowie überprüft.
-
In ähnlicher Weise wird zur Freischaltung und Sperrung einer fernsteuerbaren Funktion des Fahrzeugs 6 eine einfache Aktivierungs- oder Deaktivierungsanweisung B von dem mobilen Endgerät 2 an das Steuergerät 10 gesendet, welche in der Abstraktionsschicht 14 des Steuergerätes 10 in einen Aktivierungs- oder Deaktivierungscode für den betreffenden Aktuator 22, 26 oder das betreffende Aktuator-Steuergerät 20, 24, 28 umgewandelt wird. Der Aktivierungs- oder Deaktivierungscode wird dann mit einer entsprechenden Adressierung versehen über das Interfacemodul 16 des Steuergerätes 10 in den Datenbus 18 des Fahrzeugs 6 eingespeist und anschließend vom Aktuator 22, 26 oder von dem Aktuator-Steuergerät 20, 24, 28 empfangen. In dessen Folge wird eine Freischaltung oder Sperrung des betreffenden Aktuators 22, 26 erreicht.
-
Die Aktivierungs- oder Deaktivierungsanweisung B wird von dem Endgerät 2 verschlüsselt und signiert an das Steuergerät 10 des Fahrzeugs 6 gesendet, wobei ein asymmetrisches Verschlüsselungsverfahren mit einem öffentlichen Schlüssel S10_Public und einem geheimen S10_private des Steuergerätes 10 sowie ein asymmetrisches Signaturverfahren mit einem geheimen Schlüssel S2_private und einem öffentlichen Schlüssel S2_public des Endgerätes 2 zur Anwendung kommen. Die Aktivierungs- oder Deaktivierungsanweisung B wird dabei in dem Endgerät 2 mit dem öffentlichen Schlüssel S10_public des Steuergerätes 10 verschlüsselt und in dem Validierungsmodul 12 des Steuergerätes 10 mit dem geheimen Schlüssel S10_private des Steuergerätes 10 entschlüsselt. Zudem wird die Aktivierungs- oder Deaktivierungsanweisung B in dem Endgerät 2 mit dem geheimen Schlüssel S2_private des Endgerätes 2 signiert und die Signatur in dem Validierungsmodul 12 des Steuergerätes 10 mit dem öffentlichen Schlüssel S2_public des Endgerätes 2 gelesen und überprüft.
-
Zur Änderung und Erweiterung einer fernsteuerbaren Funktion des Fahrzeugs 6 ist vorgesehen, dass von dem Endgerät 2 ein entsprechendes Softwareupdate C von dem externen Server 34 in einem Anforderungsvorgang C' angefordert wird und dass das angeforderte Softwareupdate C dann von dem Server 34 über das Endgerät 2 an das Steuergerät 10 des Fahrzeugs 6 übertragen wird. Das Softwareupdate C wird danach entweder in einem Programmspeicher des Steuergerätes 10 abgespeichert oder mit einer entsprechenden Adressierung des betreffenden Aktuator-Steuergerätes 20, 24, 28 versehen über das Interfacemodul 16 des Steuergerätes 10 in den Datenbus 18 eingespeist. Im letzteren Fall wird das Softwareupdate C in einem Programmspeicher des zugeordneten Aktuator-Steuergerätes 20, 24, 28 abgespeichert.
-
Die Anforderung des Softwareupdates C wird im Anforderungsvorgang C' von dem Endgerät 2 verschlüsselt und signiert an den externen Server 34 gesendet, wobei ein asymmetrisches Verschlüsselungsverfahren mit einem öffentlichen Schlüssel S34_public und einem geheimen Schlüssel S34_private des Servers 34 sowie ein asymmetrisches Signierungsverfahren mit einem geheimen Schlüssel S2_private und einem öffentlichen Schlüssel S2_public des Endgerätes 2 zur Anwendung kommen. Die Anforderung des Softwareupdates C wird in dem Endgerät 2 mit dem öffentlichen Schlüssel S34_public des Servers 34 verschlüsselt und in dem Server 34 mit dem geheimen Schlüssel S34_private des Servers entschlüsselt. Zudem wird die Anforderung des Softwareupdates C in dem Endgerät 2 mit dem geheimen Schlüssel S2_private des Endgerätes 2 signiert und die Signatur in dem Server 34 mit dem öffentlichen Schlüssel S2_public des Endgerätes 2 gelesen und überprüft.
-
Das Softwareupdate C wird von dem externen Server 34 verschlüsselt und signiert über das Endgerät 2 an das Steuergerät 10 des Fahrzeugs 6 gesendet. Hierbei wird ein asymmetrisches Ende-zu-Ende-Verschlüsselungsverfahren mit einem öffentlichen Schlüssel S10_public und einem geheimen Schlüssel S10_private des Steuergerätes 10 sowie ein asymmetrisches Ende-zu-Ende-Signierungsverfahren mit einem geheimen Schlüssel S34_private und einem öffentlichen Schlüssel S34_public des Servers 34 genutzt. Das Softwareupdate C wird in dem Server 34 mit dem öffentlichen Schlüssel S10_public des Steuergerätes 10 verschlüsselt und in dem Validierungsmodul 12 des Steuergerätes 10 mit dem geheimen Schlüssel S10_private des Steuergerätes 10 entschlüsselt. Zudem wird das Softwareupdate C in dem Server 34 mit dem geheimen Schlüssel S34_private des Servers 34 signiert, und die Signatur wird in dem Validierungsmodul 12 des Steuergerätes 10 mit dem öffentlichen Schlüssel S34_public des Servers 34 gelesen und überprüft.
-
In ähnlicher Weise ist zum Installieren einer neuen fernsteuerbaren Funktion des Fahrzeugs 6 vorgesehen, dass von dem Endgerät 2 in einem Anforderungsvorgang D' ein entsprechendes Steuerungsprogramm D von dem externen Server 34 angefordert wird und dass das angeforderte Steuerungsprogramm D von dem Server 34 über das Endgerät 2 an das Steuergerät 10 des Fahrzeugs 6 übertragen wird. Das Steuerungsprogramm D wird dann entweder in einem Programmspeicher des Steuergerätes 10 abgespeichert oder mit einer entsprechenden Adressierung des betreffenden Aktuator-Steuergerätes 20, 24, 28 über das Interfacemodul 16 des Steuergerätes 10 in den Datenbus 18 eingespeist. Das neue Steuerungsprogramm D gelangt im letzteren Fall zu dem zugeordneten Aktuator-Steuergerät 20, 24, 28, in dessen Programmspeicher es abgespeichert wird.
-
Die Daten des Anforderungsvorgangs D' für die Zusendung des Steuerungsprogramms D werden von dem Endgerät 2 verschlüsselt und signiert an den externen Server 34 gesendet, wobei ein asymmetrisches Verschlüsselungsverfahren mit einem öffentlichen Schlüssel S34_public und einem geheimen Schlüssel S34_private des Servers 34 sowie ein asymmetrisches Signierungsverfahren mit einem geheimen Schlüssel S2_private und einem öffentlichen Schlüssel S2_public des Endgerätes 2 zur Anwendung kommen. Die Daten des Anforderungsvorgangs D' zum Erhalt des Steuerungsprogramms D werden in dem Endgerät 2 mit dem öffentlichen Schlüssel S34_public des Servers 34 verschlüsselt und in dem Server 34 mit dem geheimen Schlüssel S34_private des Servers entschlüsselt. Zudem werden die Daten des Anforderungsvorgangs D' in dem Endgerät 2 mit dem geheimen Schlüssel S2_private des Endgerätes 2 signiert, und die Signatur wird in dem Server 34 mit dem öffentlichen Schlüssel S2_public des Endgerätes 2 gelesen und überprüft.
-
Das angeforderte Steuerungsprogramm D wird von dem externen Server 34 verschlüsselt und signiert über das Endgerät 2 an das Steuergerät 10 des Fahrzeugs 6 gesendet, wobei ein asymmetrisches Ende-zu-Ende-Verschlüsselungsverfahren mit einem öffentlichen Schlüssel S10_public und einem geheimen Schlüssel S10_private des Steuergerätes 10 sowie ein asymmetrisches Ende-zu-Ende-Signierungsverfahren mit einem geheimen Schlüssel S34_private und einem öffentlichen Schlüssel S34_public des Servers 34 zur Anwendung kommen. Das Steuerungsprogramm D wird in dem Server 34 mit dem öffentlichen Schlüssel S10_public des Steuergerätes 10 verschlüsselt und in dem Validierungsmodul 12 des Steuergerätes 10 mit dem geheimen Schlüssel S10_private des Steuergerätes 10 entschlüsselt. Zudem wird das Steuerungsprogramm D in dem Server 34 mit dem geheimen Schlüssel S34_private des Servers 34 signiert und die Signatur in dem Validierungsmodul 12 des Steuergerätes 10 mit dem öffentlichen Schlüssel S34_public des Servers 34 gelesen und überprüft.
-
Während die Durchführung der ersten beiden erwähnten Steuerungsfunktionen mittels des mobilen Endgeräts 2 allen Nutzern zur Verfügung steht, ist die Durchführung der zweiten genannten Steuerungsfunktionen nur für geschultes Servicepersonal bestimmt. Hierbei ist eine einfache Zugangsberechtigung für die Durchführung der ersten Steuerungsfunktionen A, B sowie eine erweiterte Zugangsberechtigung für die Durchführung der zweiten Steuerungsfunktionen C, D notwendig. Die Berechtigung zum Abruf von Softwareupdates C und neuer Steuerungsprogramme D aus dem externen Server 34 gehört demnach zu den zweiten genannten Steuerungsfunktionen, welche nur in Abhängigkeit von einer geeigneten Signatur des Endgerätes 2 und einer geeigneten Zugangsberechtigung des Bedieners des Endgeräts 2 erteilt oder abgelehnt wird.
-
Bezugszeichenliste
-
- 1
- System zur Steuerung von Funktionen eines Fahrzeugs
- 2
- Mobiles elektronisches Endgerät
- 4
- Funkverbindung
- 6
- Fahrzeug, Kraftfahrzeug
- 8
- Sende- und Empfangseinheit
- 10
- Elektronisches Steuergerät
- 12
- Validierungsmodul im Steuergerät
- 14
- Abstraktionsschicht im Steuergerät
- 16
- Interfacemodul im Steuergerät
- 18
- Datenbus, CAN-Bus
- 20
- Erstes Aktuator-Steuergerät
- 22
- Erster Aktuator
- 24
- Zweites Aktuator-Steuergerät
- 26
- Zweiter Aktuator
- 28
- Drittes Aktuator-Steuergerät
- 30
- Erste Funk- und/oder Internetverbindung
- 32
- Zweite Funk- und/oder Internetverbindung
- 34
- Externer Server
- 36
- WLAN-Funkverbindung
- 38
- DSL-Router
- 40
- Telefonfestnetz
- 42
- Mobilfunkverbindung
- 44
- Mobilfunkantenne
- 46
- Mobiltelefonnetz
- A
- Funktionsanweisung
- B
- Aktivierungs- oder Deaktivierungsanweisung
- C
- Softwareupdate, Softwarepaket
- C'
- Erster Anforderungsvorgang, Anforderung eines Softwareupdates
- D
- Steuerungsprogramm, Softwarepaket
- D'
- Zweiter Anforderungsvorgang, Anforderung eines Steuerungsprogramms
- S2_private
- Geheimer Schlüssel des Endgerätes
- S2_public
- Öffentlicher Schlüssel des Endgerätes
- S10_private
- Geheimer Schlüssel des Steuergerätes
- S10_public
- Öffentlicher Schlüssel des Steuergerätes
- S34_private
- Geheimer Schlüssel des Servers
- S34_public
- Öffentlicher Schlüssel des Servers
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 10137149 B4 [0003]
- DE 102009056786 A1 [0004]
- DE 102014019250 B4 [0005]
- DE 102015220229 B4 [0006]
- DE 102019214221 A1 [0007]