DE102021201208A1 - Verfahren und Vorrichtung zum Vorbereiten einer Betankung - Google Patents

Verfahren und Vorrichtung zum Vorbereiten einer Betankung Download PDF

Info

Publication number
DE102021201208A1
DE102021201208A1 DE102021201208.6A DE102021201208A DE102021201208A1 DE 102021201208 A1 DE102021201208 A1 DE 102021201208A1 DE 102021201208 A DE102021201208 A DE 102021201208A DE 102021201208 A1 DE102021201208 A1 DE 102021201208A1
Authority
DE
Germany
Prior art keywords
refueling
participants
measurements
following features
until
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021201208.6A
Other languages
English (en)
Inventor
Stephan Ludwig
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102021201208.6A priority Critical patent/DE102021201208A1/de
Priority to PCT/EP2022/051683 priority patent/WO2022171433A1/de
Publication of DE102021201208A1 publication Critical patent/DE102021201208A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/001Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using chaotic signals
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F17STORING OR DISTRIBUTING GASES OR LIQUIDS
    • F17CVESSELS FOR CONTAINING OR STORING COMPRESSED, LIQUEFIED OR SOLIDIFIED GASES; FIXED-CAPACITY GAS-HOLDERS; FILLING VESSELS WITH, OR DISCHARGING FROM VESSELS, COMPRESSED, LIQUEFIED, OR SOLIDIFIED GASES
    • F17C2260/00Purposes of gas storage and gas handling
    • F17C2260/04Reducing risks and environmental impact
    • F17C2260/042Reducing risk of explosion
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F17STORING OR DISTRIBUTING GASES OR LIQUIDS
    • F17CVESSELS FOR CONTAINING OR STORING COMPRESSED, LIQUEFIED OR SOLIDIFIED GASES; FIXED-CAPACITY GAS-HOLDERS; FILLING VESSELS WITH, OR DISCHARGING FROM VESSELS, COMPRESSED, LIQUEFIED, OR SOLIDIFIED GASES
    • F17C2265/00Effects achieved by gas storage or gas handling
    • F17C2265/06Fluid distribution
    • F17C2265/065Fluid distribution for refuelling vehicle fuel tanks
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F17STORING OR DISTRIBUTING GASES OR LIQUIDS
    • F17CVESSELS FOR CONTAINING OR STORING COMPRESSED, LIQUEFIED OR SOLIDIFIED GASES; FIXED-CAPACITY GAS-HOLDERS; FILLING VESSELS WITH, OR DISCHARGING FROM VESSELS, COMPRESSED, LIQUEFIED, OR SOLIDIFIED GASES
    • F17C2270/00Applications
    • F17C2270/01Applications for fluid transport or storage
    • F17C2270/0134Applications for fluid transport or storage placed above the ground
    • F17C2270/0139Fuel stations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

Verfahren (10-30) zur Vorbereitung (30) einer Betankung,gekennzeichnet durch folgende Merkmale:- seitens der Teilnehmer (A, B) werden jeweils Messungen (11, 21) an einem Übertragungskanal vorgenommen,- zwischen den Teilnehmern (A, B) wird ein Vergleich der Messungen (11, 21) angestellt und- ergibt der Vergleich eine hinreichende Übereinstimmung der Messungen (11, 21), so wird die Vorbereitung (30) aufgenommen.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Vorbereitung einer Betankung. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.
  • Stand der Technik
  • US2013139897A1 stellt ein System und ein Verfahren zum sicheren Befüllen von Wasserstoff unter Verwendung von Echtzeit-Wasserstofftank-Ausdehnungsdaten bereit. Das System umfasst eine Ausdehnungs-Messeinheit, eine fahrzeugseitige Steuereinheit, eine tankstellenseitige Steuereinheit und eine drahtlose Kommunikationseinheit. Die Ausdehnungs-Messeinheit ist auf einem Wasserstofftank des Fahrzeugs angeordnet und misst den Grad der Ausdehnung des Wasserstofftanks und erzeugt ein entsprechendes Ausgangssignal. Die fahrzeugseitige Steuereinheit wandelt das Ausgangssignal in ein drahtloses Ausgangssignal um. Die tankstellenseitige Steuereinheit stoppt das Wasserstoffnachfüllen durch eine Wasserstoff-Füllvorrichtung, wenn das drahtlose Ausgangssignal einen unsicheren Grad der Tankausdehnung anzeigt. Die drahtlose Kommunikationseinheit ist vorgesehen, um eine drahtlose Datenkommunikation zwischen der fahrzeugseitigen Steuereinheit und der tankstellenseitigen Steuereinheit durchzuführen.
  • US2020276909A1 , US10800281B2 und US2020346554A1 beschreiben weitere Kommunikationssysteme und Verfahren zur Wasserstoffbetankung und elektrischen Aufladung. US2018213376A1 offenbart ein Verfahren zur Konfiguration allgemeiner V2X-Kommunikation.
  • US8280046B2 bezieht sich auf ein Verfahren und System zur Ableitung eines kryptografischen Schlüssels unter Verwendung gemeinsamer, nicht von Dritten geteilter Zufälligkeit (joint randomness not shared by others, JRNSO). Kommunizierende Entitäten erzeugen JRNSO-Bits aus einer Schätzung der Kanalimpulsantwort (channel impulse response, CIR), die zur Erzeugung des Schlüssels verwendet werden. In einem IEEE-802.1x-System beispielsweise kann ein Hauptschlüssel, ein paarweiser Hauptschlüssel oder ein paarweiser Übergangsschlüssel unter Verwendung der JRNSO-Bits gemäß dem Diffie-Hellman-Schlüsselableitungsalgorithmus erzeugt werden.
  • DE102015215569A1 stellt ein Verfahren zur Generierung eines gemeinsamen Geheimnisses zwischen einem ersten Teilnehmer und einem zweiten Teilnehmer eines Netzwerkes vor. Dabei empfängt der erste Teilnehmer von dem zweiten Teilnehmer eine erste Trainingssequenz über eine Kommunikationsverbindung zwischen dem ersten Teilnehmer und dem zweiten Teilnehmer. Der erste Teilnehmer ermittelt mindestens einen ersten Wert für mindestens eine physikalische Eigenschaft der Kommunikationsverbindung und bestimmt abhängig von dem ersten Wert einen Teil des gemeinsamen Geheimnisses. Für die Bestimmung des Teils des gemeinsamen Geheimnisses erfolgt ein Vergleich des ersten Werts mit mindestens einer Schwelle. Der erste Teilnehmer überträgt die erste Trainingssequenz an den zweiten Teilnehmer über die Kommunikationsverbindung und passt die Sendeparameter der ersten Trainingssequenz in Abhängigkeit der Lage des ersten Werts relativ zur Schwelle an.
  • DE102018208061A1 schließlich offenbart ein Verfahren zum Auswerten einer physikalisch unklonbaren Funktion (physically unclonable function, PUF). Nach diesem Verfahren werden mittels der Funktion Messwerte gewonnen, anhand derer durch einen Algorithmus erste Zuverlässigkeitswerte berechnet und stellenweise kontravalent mit einem werksseitig gespeicherten Empfangswort verknüpft werden. Anhand der solchermaßen verknüpften ersten Zuverlässigkeitswerte werden durch einen vorwärtsfehlerkorrigierenden Soft-insoft-out-Decoder zweite Zuverlässigkeitswerte berechnet und an den Algorithmus zurückgeführt.
  • Derlei Sicherheitstechnologien, die Informationssicherheit auf der Bitübertragungsschicht (physical layer security) gewährleisten, werden fachsprachlich und im Folgenden zusammenfassend als „PHYSEC“ bezeichnet.
  • Offenbarung der Erfindung
  • Die Erfindung stellt ein Verfahren zur Vorbereitung einer Betankung, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes maschinenlesbares Speichermedium gemäß den unabhängigen Ansprüchen bereit.
  • Der erfindungsgemäße Ansatz fußt auf der Erkenntnis, dass das beschleunigte Tanken z. B. von Wasserstoffgas die Thermodynamik des Betankungsvorgangs berücksichtigen und damit den Vorgang geschlossen regeln sollte. Dabei dürfen aus Gründen der (funktionalen und allgemeinen) Sicherheit die für den Tankbehälter festgelegten Werte für Maximaltemperatur und Maximaldruck zu keiner Zeit überschritten werden.
  • Bekannte Verfahren zur Übertragung von Daten vom Fahrzeug zur Tanksäule weisen in dieser Hinsicht verschiedene Nachteile auf. So wird eine herkömmliche unidirektionale Infrarotverbindung des Fahrzeuges zur Tanksäule durch Kratzer auf der Sende- oder Empfangs-Optik sowie durch Eisbildung um den Tankrüssel oder -stutzen stark beeinträchtigt und ist deshalb in der Praxis von Ausfällen betroffen, was ein beschleunigtes Betanken vereitelt. Eine solche unidirektionale Verbindung sieht zudem keinen Rückkanal von der Tanksäule zum Fahrzeug vor, sodass kein Abruf der unterstützten Tankverfahren und somit keine Einigung auf ein für die vorliegende Kombination von Fahrzeug und Tanksäule optimales Verfahren stattfinden kann.
  • Die vorgeschlagene Methode trägt ferner dem Umstand Rechnung, dass metallische Kontakte, wie sie für eine drahtgebundene Kommunikation unerlässlich sind, im Rahmen einer Wasserstoffbetankung insbesondere in der Nähe der Tankkupplung zu vermeiden sind, weil hier ein etwaiger Funkenschlag das Wasserstoffgas explosiv entzünden könnte. Zum Schutz der Tankstelle vor Explosionen ist die drahtlose (funkbasierte) Kommunikation somit der drahtgebundenen vorzuziehen.
  • Die Anwendung von Funk birgt aufgrund der ungehinderten Ausbreitung der Funkwellen jedoch besondere Herausforderungen, die erfindungsgemäß bewältigt werden. So bedarf es eines auslösenden Ereignisses zur Aktivierung des Gesamtvorgangs. Ferner muss die Funkverbindung so zuverlässig Daten übertragen, dass die funktionale und allgemeine Sicherheit der Betankung garantiert werden kann. Insbesondere sollten Dritte, die sich in Funkreichweite von Fahrzeug oder Tanksäule befinden, den Ablauf weder - etwa durch Störsendung (jamming) oder Überlastungsangriffe (denial of service, DoS) - beeinträchtigen noch manipulieren können. Schließlich ist zu bedenken, dass sämtliche Fahrzeuge und Tanksäulen innerhalb der Funkreichweite, die in der Regel eine gesamte Tankstelle erfasst, gegenseitige Funksignale empfangen. Die im Rahmen einer einzelnen Betankung interagierenden Teilnehmer, also Fahrzeug und Tanksäule, müssen einander deshalb selbstständig finden und identifizieren.
  • Zusammenfassend muss die Funkverbindung folglich vor der Betankung informations- und betriebssicher sein. Das nachfolgend beschriebene Verfahren erreicht dieses Ziel unabhängig von der verwendeten Funktechnologie, Tankstellen-Infrastruktur und Hardware. Es ist ebenso unabhängig von der zur Standortbestimmung eingesetzten Technologie und kann für die Betankung beliebiger (gasförmiger oder flüssiger) Kraftstoffe sowie das Laden von Elektrofahrzeugen verwendet werden.
  • Ein Grundgedanke des erfindungsgemäßen Ansatzes besteht hierbei darin, dass die Teilnehmer die - zwischen ihnen oder jeweils bezogen auf eine Referenzstation herrschenden - physikalischen Übertragungsbedingungen mittels PHYSEC als gemeinsames Geheimnis verwenden und letzteres nutzen, um das Betankungsverfahren informationstechnisch und funktional abzusichern.
  • Ein Vorzug dieses Ansatzes besteht darin, dass ein Fahrzeug die es versorgende Tankstelle oder Ladesäule finden und eindeutig sowie betriebs- und informationssicher identifizieren kann und umgekehrt. Die sich aus einer Mehrzahl anwesender Fahrzeuge und Tanksäulen ergebende Mehrdeutigkeit kann auf diesem Wege aufgelöst und erhöhte Anforderungen an die funktionale Sicherheit erfüllt werden.
  • Die Verwendung eines erfindungsgemäßen PHYSEC-Verfahrens birgt ferner den Kostenvorteil, dass keine zusätzlichen Hardware-Komponenten zur Absicherung benötigt werden, um die IT-Sicherheit und funktionale Sicherheit zu gewährleisten. Es kann vielmehr mit an sich bekannten Sendern und Empfängern umgesetzt werden, welche in großer Vielfalt am Markt verfügbar und in Tankstellen sowie - insbesondere teilautomatisierten - Fahrzeugen in der Regel bereits vorgesehen sind und im Rahmen eines erfindungsgemäßen Verfahrens ohne nennenswerten konstruktiven Mehraufwand wiederverwendet werden können.
  • Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich. So kann vorgesehen sein, dass Fahrzeug und Ladesäule sich gegenseitig authentifizieren und für den Betankungsvorgang autorisieren. Dies wiederum ermöglicht automatisierte Betankungsvorgänge und Abrechnungen. Auf diese Weise kann ferner sichergestellt werden, dass Fahrzeug und Tanksäule zueinander kompatibel sind, weil sie beiderseits gestellte und durch die Kommunikation nachgewiesene Anforderungen an die funktionale Sicherheit erfüllen.
  • Schließlich kann vorgesehen sein, dass Fahrzeug und Tanksäule ihre Funkkommunikation - zum Beispiel durch den Austausch eines kryptografischen Schlüssels - im Hinblick auf mögliche Abhör- oder Manipulationsversuche und anderweitige Angriffe durch Dritte absichern, trotz eines Jamming- oder Denialof-Service-Angriffs weiterhin rudimentär miteinander kommunizieren und einen behelfsmäßigen Systembetrieb aufrechterhalten oder ein Signal übertragen können, um funktionale Sicherheitsanforderungen zu erfüllen, z. B. ein Totmann- oder sogenanntes Keepalive-Signal. Denkbar ist auch, dass ein Partner als sichere Relaisstation für den anderen genutzt wird, um Daten in ein Backend zu übertragen.
  • Figurenliste
  • Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
    • 1 die Vorbereitung und Initialisierungsphase einer Betankung.
    • 2 das Flussdiagramm eines Verfahrens gemäß einer ersten Ausführungsform.
    • 3 schematisch ein Steuergerät gemäß einer zweiten Ausführungsform.
  • Ausführungsformen der Erfindung
  • Exemplarisch wird ein Betankungsszenario an einer Tankstelle betrachtet, an der beispielsweise ein Brennstoffzellenfahrzeug mit gasförmigem Wasserstoff betankt werden soll. Das Verfahren ist jedoch auf alle Arten von Kraftstoffen (gasförmig, flüssig, kryogen etc.) sowie auf das Laden von Elektrofahrzeugen anwendbar. Außerdem ist es unerheblich, ob die Betankung manuell oder automatisch erfolgt bzw. abgerechnet wird oder ein konventionelles, (teil- )automatisiertes oder autonomes Fahrzeug betrifft. In Betracht kommt ferner, dass ein herkömmliches, teilautomatisiertes oder autonomes Betankungsfahrzeug zum zu betankenden Fahrzeug fährt und dieses betankt. Schließlich kann das Verfahren mit beliebigen anderen Verfahren der IT-Sicherheit oder der funktionalen Sicherheit kombiniert werden.
  • Erfindungsgemäß werden vor, während oder nach dem Betankungsvorgang über eine Funktechnologie Ausprägungen von Sicherheitsmerkmalen übertragen, beispielsweise die Werte für Druck und Temperatur im Tankbehälter. Denkbar ist, dass zumindest ein Teil dieser Datenübertragung erhöhte Anforderungen an IT-Sicherheit und funktionale Sicherheit erfüllen muss.
  • 1 zeigt die erfindungsgemäße Vorbereitung (30) zum Betrieb einer solchen Funkverbindung. Im Zuge dieser Vorbereitung (30) kann in verschiedenen Schritten das vorgeschlagene Verfahren verwendet werden, insbesondere wenn Sicherheitsmerkmale über Funk übertragen werden sollen.
  • Eine Möglichkeit, ein solches Sicherheitsmerkmal ohne Leitungsverbindung sicher auszutauschen bzw. gemeinsam abzuleiten, bieten die oben genannten PHYSEC-Technologien. Einschlägige Verfahren benötigen ein gemeinsames „Rohgeheimnis“, welches auf die Punkt-zu-Punkt-Verbindung beider Partner bezogen sein kann. In diesem Fall senden bzw. empfangen beide Partner wechselseitig Signale, um Größen zu messen, die - z. B. unter der Annahme, dass sich etwaige Angreifer den Partnern nicht bis auf wenige Wellenlängen nähern können - nur zwischen den Partnern übereinstimmen oder korrelieren, nicht aber bei Messung der gleichen Größe durch Dritte.
  • Alternativ können entsprechende Messungen von beiden Partnern an ihrem jeweiligen Übertragungskanal zu einer gemeinsamen Referenzstation vorgenommen werden, die - gezielt zu diesem Zweck oder als Nebenprodukt einer anderweitigen Funktion - Signale aussendet, deren Messungen seitens beider Partner nur dann hinreichend übereinstimmen, wenn letztere sich nah beieinander befinden. Eine solche Referenzstation mag eine öffentliche Einrichtung wie eine Mobilfunk-Basisstation sein, die sich nicht zwingend auf dem Gelände der Tankstelle befinden muss. Zweckmäßigerweise stellt die Tankstelle selbst jedoch mindestens eine solche Referenzstation bereit.
  • In Betracht kommen unter anderem die folgenden Messgrößen oder Zeichen:
    1. 1. Kanalimpulsantwort oder -Übertragungsfunktion des optischen, akustischen oder Funkkanals,
    2. 2. relative Empfangsfeldstärke (received signal strength indicator, RSSI) des Empfangssignals nach Übertragung über einen Kanal,
    3. 3. relative Phase zwischen mindestens zwei Trägerwellen eines optischen, akustischen oder Funksignals,
    4. 4. akustische, optische oder Funksignale, die aufgrund der Ausbreitungsbedingungen im Raum stark unterschiedlich interferieren,
    5. 5. stark fokussierte, optische oder akustische Signale oder
    6. 6. anderweitige Merkmale, Zustände oder Funktionen auf beiden Seiten, die aufgrund einer Kopplung miteinander korrelieren, z. B. Beschleunigungsmuster durch Vibrationen, die auftreten, wenn Fahrzeug und Tanksäule z. B. über die Bodenplatte mechanisch zumindest lose miteinander gekoppelt sind.
  • Aus diesem gemeinsamen Rohgeheimnis lässt sich nun ein Sicherheitsmerkmal ableiten, das ausschließlich einer Tanksäule und dem daran betankten Fahrzeug bekannt ist. Das grundsätzliche Verfahren (10-30) dazu ist in 2 gezeigt und sei nunmehr im Einzelnen beschrieben.
  • Die Teilnehmer (A, B) schätzen in Schritten 11 bzw. 21 eine bestimmte Anzahl von Kanalparametern, evtl. auch über die Zeit. Als Kanalparameter kommen z. B. durch den Übertragungskanal bedingte Phasenverschiebungen, Dämpfungen sowie daraus abgeleitete Größen in Frage. Der seitens beider Kommunikationspartner gemessene RSSI stellt einen gängigen Indikator für die Empfangsfeldstärke kabelloser Kommunikationsanwendungen dar und kann für diese Zwecke herangezogen werden. Zur Ermittlung der Kanalparameter werden in einem Schritt 10 beiden Teilnehmern (A, B) bekannte Trainingssequenzen zwischen den Teilnehmern (A, B) übertragen.
  • Diese Kanalparameter werden von beiden Geräten in den Schritten 12 bzw. 22 geeignet quantisiert. Vorzugsweise folgen dann in den Schritten 13 bzw. 23 Maßnahmen zur Rausch- bzw. Fehlerreduktion, z. B. durch Verwendung von fehlerkorrigierenden Codes.
  • Mit Hilfe geeigneter Mechanismen erfolgt daraufhin in den Schritten 14 bzw. 24 ein Abgleich der quantisierten Kanalparameter zwischen den Geräten, vorzugsweise unter Verwendung eines öffentlichen Protokolls. Dies ist oft notwendig, da aufgrund von Messungenauigkeiten, Rauschen, Interferenzen, etc. beide Geräte im Allgemeinen zunächst keine identischen Parametersätze ermittelt haben. Der Abgleich erfolgt durch einen Austausch von Informationen in Schritt 20 und sollte dabei derart gestaltet sein, dass ein potenzieller Angreifer, der die ausgetauschten Daten mithören kann, davon nicht ohne Weiteres auf die quantisierten Kanalparameter schließen kann. Hierzu können beispielsweise Paritätsbits zwischen den Geräten ausgetauscht werden oder ebenfalls fehlerkorrigierende Codes eingesetzt werden.
  • Optional können noch in den Schritten 15 bzw. 25 eine Validierung des geteilten Geheimnisses (z. B. eine Entropieabschätzung) und in den Schritten 16 bzw. 26 eine Verbesserung des so bestimmten, geteilten Parametersatzes bzw. der geteilten Bitfolge (z. B. durch Verdichtung über Hashwert-Bildung) durchgeführt werden. Schließlich bestimmen beide Geräte auf Grundlage der derart quantisierten, verarbeiteten und abgeglichenen Kanalparameter ein geteiltes Geheimnis, das als Sicherheitsmerkmal (17, 27) zur Vorbereitung (30 - 1) der Betankung herangezogen wird.
  • Dabei wird angenommen, dass ein potenzieller Angreifer einen genügend großen Abstand zu den beiden Geräten hat, in denen das geteilte Geheimnis erzeugt werden soll. Der Abstand sollte dabei mindestens in der Größenordnung der so genannten Kohärenzlänge liegen, die bei den gängigen drahtlosen Kommunikationssystemen im Bereich von wenigen Zentimetern liegt. Damit sieht der Angreifer jeweils andere (unabhängige) Übertragungskanäle zu diesen beiden Geräten und kann nicht ohne weiteres dasselbe geteilte Geheimnis rekonstruieren.
  • Bei dem beschriebenen Verfahren (10-30) wird davon ausgegangen, dass die Übertragungskanäle zwischen den Geräten ausreichende Schwankungen ihrer Kanaleigenschaften aufweisen, um daraus geeignete Kanalparameter ableiten zu können, die sich als Grundlage für eine Generierung eines geteilten Geheimnisses in den Teilnehmern (A, B) eignen (insbesondere ausreichende Zufallseigenschaften aufweisen). Diese Schwankungen können dabei insbesondere sowohl im Zeit- als auch im Frequenzbereich auftreten sowie bei Mehrantennensystemen auch im räumlichen Bereich. Es wird aber auch angenommen, dass die Kanaleigenschaften über kurze Zeitspannen eine ausreichend hohe Korrelation aufweisen, dass Datenübertragungen in beide Richtungen erfolgen können, aus denen die jeweiligen Geräte trotz zeitlichen Versatzes ausreichend gleiche Kanaleigenschaften abschätzen können, um ausreichend ähnliche Kanalparameter zu erhalten, aus denen gleiche geteilte Geheimnisse erhalten werden können.
  • Soll lediglich die räumliche Nähe der Partner zueinander bestätigt werden (z. B. zur Identifikation des zur Tankstelle zugeordneten Fahrzeugs), so braucht das Verfahren (10-30) lediglich bis zur Fehlerreduktion (13, 23) ausgeführt zu werden. Dann können die beiden gleichsam „destillierten“ Geheimnisse miteinander verglichen werden. Stimmen diese überein, so sind die Teilnehmer (A, B) einander hinreichend nahe. Alternativ können bereits vor oder nach der Quantisierung (12, 22) die Messwerte miteinander korreliert und bei hinreichender Korrelation die Partner als nahe beieinander betrachtet werden.
  • Über dieses oder ein beliebiges daran angelehntes PHYSEC-Verfahren ist es möglich, dass Fahrzeug und Tankstelle Sicherheitsmerkmale (17, 27) geschützt durch akustische, optische oder Funk-Kommunikation austauschen. Ein solches Merkmal wird zweckmäßigerweise in einem oder mehreren der folgenden Anwendungsfälle verwendet:
    1. 1. Fahrzeug und Tanksäule überprüfen ihre Nähe zueinander, indem das o. g. Verfahren (10-30) zwischen jedem Fahrzeug-Tanksäulen-Paar in wechselseitiger Funkreichweite durchgeführt wird. Im Sinne einer möglichen Betankung zusammengehörige Paare von Fahrzeug und Tanksäule leiten hierbei übereinstimmende Sicherheitsmerkmale (17, 27) ab.
    2. 2. Fahrzeug und Tanksäule leiten per PHYSEC eine gemeinsame Identifikationsnummer (ID) ab, mit der sie sich gegenseitig ansprechen können. Mithilfe dieser ID (oder daraus abgeleiteter Merkmale) können sie Daten eindeutig an das jeweilige Gegenüber adressieren.
    3. 3. Über die solchermaßen etablierte Kommunikationsverbindung kann eine individuelle ID ausgetauscht werden. Ist die ID universell eindeutig, so können - z. B. durch eine Datenbankabfrage - weitere Informationen über Fähigkeiten und andere Merkmale von Fahrzeug bzw. Tanksäule abgerufen werden.
    4. 4. Wenn bei der Funk-Übertragung ein kryptographisches Merkmal übermittelt wird, z. B. ein öffentlicher Schlüssel eines asymmetrischen Verschlüsselungsverfahrens, so können die Parteien sich anschließend per Funk gegenseitig authentifizieren und zu bestimmten Aktionen autorisieren.
    5. 5. Insbesondere kann für den Aufbau einer informationssicheren Funkverbindung per PHYSEC ein Sitzungsschlüssel (session key) für ein symmetrisches Kryptosystem vereinbart werden.
    6. 6. Zum selben Zweck kann ein Anfangsschlüssel oder ein Initialisierungswert (seed) per Funk übertragen werden, aus welchem unter Heranziehung eines weiteren, beiden Seiten bekannten Geheimnisses ein Schlüssel für ein symmetrisches Kryptosystem abgeleitet werden kann.
    7. 7. Unter Verwendung eines sogenannten Zero-Knowledge-Protokolls können die Partner sich z. B. durch Abfrage einer weiteren vertrauenswürdigen zentralen Datenbank unter Verwendung der oben beschriebenen Verschlüsselung gegenseitig beweisen, dass sie bestimmte für den Betankungsvorgang notwendige Kenntnisse besitzen, ohne letztere selbst preiszugeben. Ebenso kann das PHYSEC-Sicherheitsmerkmal (17, 27) mit der Information des Zero-Knowledge-Protokolls direkt verknüpft und dadurch die Gesamtsicherheit des Verfahrens erhöht werden.
    8. 8. Unter Verwendung von Zertifikaten, mithilfe derer Information erzeugt und auf dem Funk-Kanal übertragen wird, kann das Gegenüber den Nachweis erbringen, dass es bzw. sein System standardisierte Anforderungen an die Funktionssicherheit erfüllt.
    9. 9. Es kann ein herkömmliches Challenge-Response-Verfahren eingeleitet werden, nach dem z. B. unter Verwendung der oben beschriebenen Verschlüsselung die Aufforderung (challenge) und Antwort (response) auf dem verschlüsselten Kanal übertragen oder eine der beiden mit dem PHYSEC-Sicherheitsmerkmal (17, 27) kombiniert wird.
    10. 10. Mithilfe des PHYSEC-Sicherheitsmerkmales (17, 27) kann ein Keepalive-Mechanismus realisiert werden, indem mindestens eine Seite periodisch Signale aussendet und die Gegenseite diese Signale jeweils überprüft und bei ihrem Ausbleiben oder Abweichung von einem gegebenen Referenzsignal in einen sicheren Zustand übergeht.
    11. 11. Mithilfe des PHYSEC-Sicherheitsmerkmales (17, 27) kann über den Partner eine durchgehend (end to end) sichere Verbindung zu einem Backend aufgebaut werden, um Mehrwertdienste anzubieten.
    12. 12. Die Identifikation oder weitere Statusinformationen über den Ablauf können auf einem Display im Fahrzeug oder auf einer Anzeige an der Tanksäule angezeigt werden.
  • Das in den obigen Anwendungsfällen genutzte Sicherheitsmerkmal (17, 27) kann unmittelbar durch das PHYSEC-Verfahren (10-30) gewonnen werden. Alternativ kann lediglich das verkürzte Verfahren (10-13) angewendet werden, um die räumliche Nähe zwischen den Teilnehmern (A, B) zu bestätigen, um sodann ein entsprechendes Merkmal auf herkömmliche Weise über eine offene Funkverbindung auszutauschen.
  • Im Umfeld des beschriebenen Grundverfahrens (10-30) können weitere Maßnahmen umgesetzt werden. So können etwa mehrere unterschiedliche PHYSEC-Sicherheitsmerkmale (17, 27) nacheinander abgeleitet oder ein umfangreicheres PHYSEC-Sicherheitsmerkmal (17, 27) in Gestalt einer längeren Zeichenfolge in mehrere kürzere Zeichenfolgen aufgeteilt werden.
  • Dieses Verfahren (10-30) kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem Steuergerät (40) implementiert sein, wie die schematische Darstellung der 3 verdeutlicht.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 2013139897 A1 [0002]
    • US 2020276909 A1 [0003]
    • US 10800281 B2 [0003]
    • US 2020346554 A1 [0003]
    • US 2018213376 A1 [0003]
    • US 8280046 B2 [0004]
    • DE 102015215569 A1 [0005]
    • DE 102018208061 A1 [0006]

Claims (10)

  1. Verfahren (10-30) zur Vorbereitung (30) einer Betankung mit mindestens zwei Teilnehmern (A, B), gekennzeichnet durch folgende Merkmale: - seitens der Teilnehmer (A, B) werden jeweils Messungen (11, 21) an einem Übertragungskanal vorgenommen, - zwischen den Teilnehmern (A, B) wird ein Vergleich der Messungen (11, 21) angestellt und - ergibt der Vergleich eine hinreichende Übereinstimmung der Messungen (11, 21), so wird die Vorbereitung (30) aufgenommen.
  2. Verfahren (10-30) nach Anspruch 1, gekennzeichnet durch folgende Merkmale: - die Messungen (11, 21) werden quantisiert (12, 22) und - zu dem Vergleich werden die quantisierten Messungen (11, 21) herangezogen.
  3. Verfahren (10-30) nach Anspruch 1 oder 2, gekennzeichnet durch folgende Merkmale: - die Messungen (11, 21) werden einer Fehlerreduzierung (13, 23) unterworfen und - der Vergleich erfolgt nach der Fehlerreduzierung (13, 23) der Messungen (11, 21).
  4. Verfahren (10-30) nach einem der Ansprüche 1 bis 3, gekennzeichnet durch folgende Merkmale: - vorbehaltlich der Übereinstimmung wird aus den Messungen (11, 21) ein durch die Teilnehmer (A, B) gemeinsam genutztes Sicherheitsmerkmal (17, 27) abgeleitet und - das Sicherheitsmerkmal (17, 27) wird zur Vorbereitung (30) der Betankung herangezogen.
  5. Verfahren (10-30) nach einem der Ansprüche 1 bis 4, gekennzeichnet durch folgende Merkmale: - auf ein die Vorbereitung (30) auslösendes Ereignis (31, 32) hin, insbesondere wenn eine Zapfpistole entnommen (31) oder eine Tankklappe geöffnet (32) wird, werden die Teilnehmer (A, B), vorzugsweise nach Aktivieren einer Wegfahrsperre (33), einer Leckage-Prüfung (34) unterzogen und - bestehen die Teilnehmer (A, B) die Prüfung (34), so wird im Protokollablauf fortgefahren, vorzugsweise indem ein Tankventil für die Betankung freigegeben wird (35).
  6. Verfahren (10-30) nach einem der Ansprüche 1 bis 5, gekennzeichnet durch folgende Merkmale: - nach einer Kopplung (36) der Teilnehmer (A, B) bauen diese auf dem Übertragungskanal eine informationssichere (37) und betriebssichere (38) Funkverbindung auf und - die Teilnehmer (A, B) handeln, vorzugsweise mittels einer Datenbank, über die Funkverbindung einen zu erbringenden Betankungsdienst (39), ein zu befolgendes Betankungsprotokoll (40) und zu berücksichtigende Betankungsparameter (41) aus.
  7. Verfahren (10-30) nach Anspruch 6, gekennzeichnet durch folgende Merkmale: - gemäß den Betankungsparametern wird ein Plan (42) für die Betankung gefasst und - mittels der Funkverbindung informieren die Teilnehmer (A, B) einander über den Plan (42).
  8. Computerprogramm, welches eingerichtet ist, das Verfahren (10-30) nach einem der Ansprüche 1 bis 7 auszuführen.
  9. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.
  10. Vorrichtung (40), die eingerichtet ist, das Verfahren (10-30) nach einem der Ansprüche 1 bis 7 auszuführen.
DE102021201208.6A 2021-02-09 2021-02-09 Verfahren und Vorrichtung zum Vorbereiten einer Betankung Pending DE102021201208A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102021201208.6A DE102021201208A1 (de) 2021-02-09 2021-02-09 Verfahren und Vorrichtung zum Vorbereiten einer Betankung
PCT/EP2022/051683 WO2022171433A1 (de) 2021-02-09 2022-01-26 Verfahren und vorrichtung zum vorbereiten einer betankung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021201208.6A DE102021201208A1 (de) 2021-02-09 2021-02-09 Verfahren und Vorrichtung zum Vorbereiten einer Betankung

Publications (1)

Publication Number Publication Date
DE102021201208A1 true DE102021201208A1 (de) 2022-08-11

Family

ID=80682253

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021201208.6A Pending DE102021201208A1 (de) 2021-02-09 2021-02-09 Verfahren und Vorrichtung zum Vorbereiten einer Betankung

Country Status (2)

Country Link
DE (1) DE102021201208A1 (de)
WO (1) WO2022171433A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021132182A1 (de) 2021-12-07 2023-06-07 Deutsche Bahn Aktiengesellschaft System und Verfahren zur Befüllungs-Steuerung eines Tankbehälters eines Fahrzeugs mit gasförmigem Wasserstoff aus einem Vorratsbehälter einer Versorgungsstation

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8280046B2 (en) 2005-09-12 2012-10-02 Interdigital Technology Corporation Method and system for deriving an encryption key using joint randomness not shared by others
US20130139897A1 (en) 2011-12-01 2013-06-06 Kia Motors Corporation Real-time system for monitoring hydrogen tank expansion and a method for using same
DE102015215569A1 (de) 2015-08-14 2017-02-16 Robert Bosch Gmbh Verfahren zur Generierung eines Geheimnisses zwischen Teilnehmern eines Netzwerkes sowie dazu eingerichtete Teilnehmer des Netzwerks
US20180213376A1 (en) 2015-07-13 2018-07-26 Intel Corporation Techniques to configure vehicle to anything communications
DE102018208061A1 (de) 2018-05-23 2019-11-28 Robert Bosch Gmbh Verfahren und Vorrichtung zur Nutzung einer physikalisch unklonbaren Funktion
US20200276909A1 (en) 2019-02-18 2020-09-03 Nikola Corporation Communications systems and methods for hydrogen fueling and electric charging

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008055484B4 (de) * 2008-12-05 2013-12-12 Robben & Wientjes Ohg Tankschutz und Verfahren gegen Falschbetankung eines Kraftfahrzeugs
DE102014209046A1 (de) * 2014-05-13 2015-11-19 Robert Bosch Gmbh Verfahren zur Generierung eines geheimen, kryptographischen Schlüssels in einem mobilen Endgerät
US20160221816A1 (en) * 2015-02-03 2016-08-04 Stephen F Pollock Vehicle Data and Fuel Management System
US10404457B2 (en) * 2016-05-20 2019-09-03 Qatar University Method for generating a secret key for encrypted wireless communications

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8280046B2 (en) 2005-09-12 2012-10-02 Interdigital Technology Corporation Method and system for deriving an encryption key using joint randomness not shared by others
US20130139897A1 (en) 2011-12-01 2013-06-06 Kia Motors Corporation Real-time system for monitoring hydrogen tank expansion and a method for using same
US20180213376A1 (en) 2015-07-13 2018-07-26 Intel Corporation Techniques to configure vehicle to anything communications
DE102015215569A1 (de) 2015-08-14 2017-02-16 Robert Bosch Gmbh Verfahren zur Generierung eines Geheimnisses zwischen Teilnehmern eines Netzwerkes sowie dazu eingerichtete Teilnehmer des Netzwerks
DE102018208061A1 (de) 2018-05-23 2019-11-28 Robert Bosch Gmbh Verfahren und Vorrichtung zur Nutzung einer physikalisch unklonbaren Funktion
US20200276909A1 (en) 2019-02-18 2020-09-03 Nikola Corporation Communications systems and methods for hydrogen fueling and electric charging
US10800281B2 (en) 2019-02-18 2020-10-13 Nikola Corporation Communications systems and methods for hydrogen fueling and electric charging
US20200346554A1 (en) 2019-02-18 2020-11-05 Nikola Corporation Communication systems and methods for hydrogen fueling and electric charging

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SAE J2601 „Fueling Protocols for Light Duty Gaseous Hydrogen Surface Vehicles" , Mai 2020
SAE J2799 „Hydrogen Surface Vehicle to Station Communications Hardware and Software", Dez 2019

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021132182A1 (de) 2021-12-07 2023-06-07 Deutsche Bahn Aktiengesellschaft System und Verfahren zur Befüllungs-Steuerung eines Tankbehälters eines Fahrzeugs mit gasförmigem Wasserstoff aus einem Vorratsbehälter einer Versorgungsstation

Also Published As

Publication number Publication date
WO2022171433A1 (de) 2022-08-18

Similar Documents

Publication Publication Date Title
EP3157281B1 (de) Verfahren zur geschützten kommunikation eines fahrzeugs
EP1326470B1 (de) Verfahren und Anordnung zur Überprüfung einer Authentizität eines ersten Kommunikationsteilnehmers in einem Kommunikationsnetz
DE102010005422B4 (de) System und Verfahren zum Aufbauen einer sicheren Verbindung mit einer mobilen Vorrichtung
DE102011120968B4 (de) Erzeugen von sicheren Schlüsseln auf Anforderung
DE102014222222A1 (de) Verfahren zur Absicherung eines Netzwerks
DE102004032057A1 (de) Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels
EP2462529B1 (de) Verfahren zur ausstellung eines digitalen zertifikats durch eine zertifizierungsstelle, anordnung zur durchführung des verfahrens und rechnersystem einer zertifizierungsstelle
WO1999060747A2 (de) Verfahren und anordnung zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit
DE102015220228A1 (de) Verfahren und System zur Absicherung einer erstmaligen Kontaktaufnahme eines Mobilgeräts mit einem Gerät
DE102013202234A1 (de) Vereinfachte Authentifizierung und Autorisierung für eine Energieübertragung mittels initialer Bindung
WO2022171433A1 (de) Verfahren und vorrichtung zum vorbereiten einer betankung
EP3157192A1 (de) Verfahren und system für eine asymmetrische schlüsselherleitung
DE112020001878T5 (de) Kommunikationssystem und Steuervorrichtung
EP2850860A1 (de) Sicherung eines energiemengenzählers gegen unbefugten zugriff
EP3901714B1 (de) Verfahren zur überprüfung der authentizität von elektronischen modulen eines modular aufgebauten feldgeräts der automatisierungstechnik
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
DE102021203531A1 (de) Verfahren und Vorrichtung zum Vorbereiten einer Betankung
DE102021204359A1 (de) Verfahren und System zur mechanischen Kommunikation zwischen einer Infrastrukturkomponente und einem Fahrzeug
DE102014209046A1 (de) Verfahren zur Generierung eines geheimen, kryptographischen Schlüssels in einem mobilen Endgerät
DE102021201204A1 (de) Verfahren und Vorrichtung zum Vorbereiten einer Betankung
DE102018132979A1 (de) Abgesichertes und intelligentes Betreiben einer Ladeinfrastruktur
DE102021203532A1 (de) Verfahren und Vorrichtung zum Vorbereiten einer Betankung
DE102021203530A1 (de) Verfahren und Vorrichtung zum Vorbereiten einer Betankung
DE102018220483A1 (de) Ladesystem für ein elektrisch antreibbares Fahrzeug, Verfahren zum Betreiben eines Ladesystems
DE102021201215A1 (de) Verfahren zur Kommunikation zwischen einer Lade- oder Betankungseinrichtung und einem Fahrzeug

Legal Events

Date Code Title Description
R163 Identified publications notified