DE102022112802A1 - Kraftfahrzeug mit einem funkbasierten und/oder optischen Transceiver und mit einer Steuerschaltung für personalisierte Transaktionen sowie Steuerschaltung und Servercomputer - Google Patents

Kraftfahrzeug mit einem funkbasierten und/oder optischen Transceiver und mit einer Steuerschaltung für personalisierte Transaktionen sowie Steuerschaltung und Servercomputer Download PDF

Info

Publication number
DE102022112802A1
DE102022112802A1 DE102022112802.4A DE102022112802A DE102022112802A1 DE 102022112802 A1 DE102022112802 A1 DE 102022112802A1 DE 102022112802 A DE102022112802 A DE 102022112802A DE 102022112802 A1 DE102022112802 A1 DE 102022112802A1
Authority
DE
Germany
Prior art keywords
data
control circuit
motor vehicle
user
authentication data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022112802.4A
Other languages
English (en)
Inventor
Andreas Schmidt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cariad SE
Original Assignee
Cariad SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cariad SE filed Critical Cariad SE
Priority to DE102022112802.4A priority Critical patent/DE102022112802A1/de
Publication of DE102022112802A1 publication Critical patent/DE102022112802A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/308Payment architectures, schemes or protocols characterised by the use of specific devices or networks using the Internet of Things
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/42Security arrangements using identity modules using virtual identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/14Payment architectures specially adapted for billing systems
    • G06Q20/145Payments according to the detected use or quantity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Abstract

Die Erfindung betrifft ein Kraftfahrzeug (14) mit einem Transceiver (30) für eine funkbasierte und/oder optische Kommunikation mit zumindest einer fahrzeugexternen Kommunikationseinheit (32) und mit einer Steuerschaltung (15), die dazu eingerichtet ist, über den Transceiver (30) eine auf einen finanziellen Überweisungsvorgang bezogene Transaktionsanfrage (33) zu empfangen und/oder über den Transceiver (30) eine Transaktionsanfrage (33) zu initiieren, wobei die Steuerschaltung (15) dazu eingerichtet ist, die jeweilige Transaktionsanfrage (33) mittels einer kryptographischen Funktion (35) und kryptographischer Authentifizierungsdaten (25) eines Sicherheitsmoduls (19, 37) zu bestätigen. Die Steuerschaltung (15) ist dazu eingerichtet, über den Transceiver (30) und/oder über eine von dem Transceiver (30) unabhängige Kommunikationsschaltung einen benutzerspezifischen Profildatensatz (23), AUP, einer AID, Automotive Identity, zu empfangen und neue Authentifizierungsdaten (25) aus dem Profildatensatz (23) auszulesen und vorbestimmte Steuerbefehlsdaten an das Sicherheitsmodul (19, 37) abzugeben, durch welche das Sicherheitsmodul (19, 37) die ausgelesenen neuen Authentifizierungsdaten (25) in den Datenspeicher (38) schreibt.

Description

  • Die Erfindung betrifft ein Kraftfahrzeug mit einem Transceiver für eine funkbasierte und/oder optische Kommunikation mit zumindest einer fahrzeugexternen Kommunikationseinheit. Insbesondere handelt es sich um einen NFC-Transceiver für eine Nahfeldkommunikation (NFC - Nearfield Communication). Das Kraftfahrzeug weist zudem eine Steuerschaltung auf, um über den Transceiver Bezahl-Transaktionen durchzuführen, beispielsweise einen automatisierten Bezahlvorgang an einer Parkhausausfahrt. Die Steuerschaltung muss hierfür mit entsprechenden Authentifizierungsdaten desjenigen Fahrzeugnutzers ausgestattet werden, der das Kraftfahrzeug nutzt. Solche Authentifizierungsdaten müssen in einer speziellen Speicher-Hardware gespeichert werden, um sie vor Missbrauch zu schützen. Die Erfindung betrifft auch eine Steuerschaltung für ein Kraftfahrzeug, mittels welcher die besagten Authentifizierungsdaten sicher in einen dafür spezialisierten Datenspeicher gespeichert werden können. Schließlich umfasst die Erfindung auch einen Servercomputer, mittels welchem ein solcher Datenspeicher in einem Kraftfahrzeug bedatet werden kann.
  • Die GSMA (www.gsma.com) ist derzeit dabei, eine „Automotive Identity“ (AID - Fahrzeugidentität) zu definieren. Sie hat mit der Erstellung der technischen Spezifikation AID.02 („Automotive Identity Technical Description“) begonnen, in der die Schnittstelle zwischen einem Mobile Service Provider (MSP) und einem Car Mobility Provider (CMP) als Teil des AID-Rahmens beschrieben wird. Ein Mobile Service Provider (MSP) ist ein Anbieter von mobilen Kommunikationsdiensten, wie z.B. ein Mobile Network Operator (MNO) oder Mobile Virtual Network Operator (MVNO), der ein Mobilfunkabonnement (d.h. eine kommerzielle Beziehung zur Bereitstellung von drahtlosen Diensten, z.B. gemäß den 3GPP-Spezifikationen, die 2G-GSM / 3G-UMTS / 4G-LTE / 5G-NR oder eine andere Funkzugangstechnologie) mit einem Kunden hat. Ein Car Mobility Provider (CMP) kann z.B. ein Autohersteller (mit einer oder mehreren Marken), eine Mietwagenfirma, ein Flottenmanagementunternehmen sein.
  • Im Zusammenhang mit der Personalisierung des AID, d.h. deren Anpassung an den vorgegebenen Fahrzeugnutzer, z.B. den Eigentümer oder Hauptnutzer, wurde das AID-Benutzerprofil (AUP - AID User Profile) definiert. Dabei handelt es sich um ein einziges Profil, das Daten zu Content-Diensten (z.B. Medienstreaming) und Kfz-Diensten sowie MSP-spezifische Daten (d.h. Mobilfunk-Abonnementdaten plus (optional) Metadaten wie z.B. einen MSP-Namen, ein Symbol für die Anzeige über die Mensch-Maschine-Schnittstelle des Fahrzeugs und dergleichen) umfasst, die in ein Fahrzeug heruntergeladen werden, um dieses Fahrzeug für den jeweiligen Nutzer zu personalisieren. Man kann sich das AID-Benutzerprofil (AUP) als eine Art „Dachprofil“ vorstellen, das die Daten des Mobilfunkvertrags mit den individuellen Benutzerpräferenzen und bestimmten Diensteinstellungen vereint. Das eigentliche Verfahren zum Herunterladen der Mobilfunkteilnehmerdaten eines Nutzers basiert auf den bewährten Mechanismen der Remote-SIM-Bereitstellung (RSP), die in SGP.21/22 (allgemein bekannt als „Remote eSIM Provisioning Solution for Consumer Devices“) beschrieben sind.
  • In dem Kraftfahrzeug müssen die Daten des Mobilfunkvertrags vor Einsichtnahme und Zugriffen geschützt gespeichert werden, damit nicht durch Auslesen eines Speicherinhalts eines Steuergeräts diese Daten für eine missbräuchliche Verwendung kopiert werden können. Für Mobilfunkdienste steht hierzu der Speicher in einer SIM (subscriber identy module) zur Verfügung, der im Zusammenhang mit Mobilfunkgeräten bekannt ist. Für die übrigen Daten eines benutzerspezifischen Profildatensatzes des AUP ist ein solcher Hardwarebasierter Datenschutz nicht verfügbar. Aus diesem Grund ist die Verwendungsmöglichkeit oder der Einsatzbereich eines benutzerspezifischen Profildatensatzes AUP auf solche Anwendungen begrenzt, bei denen eine missbräuchliche Kopie von Daten des Profildatensatzes vom Schaden her begrenzt werden kann. Insbesondere ist es bisher nicht möglich, mittels eines benutzerspezifischen Profildatensatzes AUP Finanztransaktionen oder finanzielle Überweisungsvorgänge von einem Kraftfahrzeug aus steuern zu können, denn dazu wäre das sichere Abspeichern der zugehörigen Authentifizierungsdaten, wie z.B. kryptographischen Signierdaten oder privaten Schlüsseldaten, notwendig. Somit ist es auch nicht möglich, dass eine Steuerschaltung in einem Kraftfahrzeug selbsttätig Bezahlvorgänge oder finanzielle Überweisungsvorgänge im Namen oder auf Grundlage von Authentifizierungsdaten aus einem benutzerspezifischen Profildatensatz AUP durchführt.
  • Aus der DE 10 2020 129 811 A1 ist bekannt, wie in einem Kraftfahrzeug-Steuergerät Kreditkartendaten abgespeichert werden können.
  • Aus der US 2016/0086170 A1 ist bekannt, dass Bezahlvorgänge über eine Nahfeldkommunikation von einem Kraftfahrzeug aus ausgelöst werden können. Die Bezahlung kann beispielsweise auf Basis einer Kreditkartennummer erfolgen, die im Kraftfahrzeug in einer so genannten elektronischen Börse (eWallet) gespeichert ist, wo sie kryptographisch verschlüsselt vorliegt. Für einen Bezahlvorgang muss ein Benutzer die Verschlüsselung durch Eingeben eines Passwortes aufheben, was es dann erfordert, die Daten mit einer verschlüsselten Kommunikation weiterhin zu schützen.
  • Aus der US 2021/0350353 A1 ist bekannt, Transaktionsanfragen für Bezahlvorgänge mittels eines Kommunikationsmoduls eines Kraftfahrzeugs an einen fahrzeugexternen Server zu übertragen. Die Transaktion selbst muss von einem Nutzer jedes Mal händisch freigegeben werden.
  • Der Erfindung liegt die Aufgabe zugrunde, Transaktionsanfragen für finanzielle Überweisungsvorgänge in einer Steuerschaltung eines Kraftfahrzeugs automatisiert ohne weitere Nutzereingriffe bearbeiten zu können und hierzu eine Authentifizierung der jeweiligen Transaktion ohne ein Zutun eines Nutzers und dennoch personalisiert für diesen Benutzer durchführen zu können.
  • Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterentwicklungen oder Weiterbildungen der Erfindung ergeben sich durch die Merkmale der abhängigen Patentansprüche, die folgende Beschreibung sowie die Figuren.
  • Als eine Lösung umfasst die Erfindung ein Kraftfahrzeug, wie es beispielsweise als Personenkraftwagen bereitgestellt sein kann. In der eingangs beschriebenen Weise weist das Kraftfahrzeug einen Transceiver für eine funkbasierte und/oder optische Kommunikation mit zumindest einer fahrzeugexternen Kommunikationseinheit auf. Ein solcher Transceiver kann beispielsweise auf der Grundlage von WLAN (wireless local area network) und/oder Bluetooth und/oder NFC (near field communication) realisiert sein. Der Transceiver kann aber auch für eine Mobilfunkkommunikation vorgesehen sein (beispielsweise gemäß den 3GPP-Spezifikationen, mit denen 2G-GSM / 3G-UMTS / 4G-LTE / 5G-NR Mobilfunknetzwerke beschrieben werden). Die fahrzeugexterne Kommunikationseinheit kann demzufolge beispielsweise die erwähnte Bezahlstation an der Ausfahrt eines Parkhauses sein, oder eine Infrastrukturkomponente (z.B. ein Server) in einem Daten-Netzwerk, wie dem Internet, die vom Betreiber des Parkhauses zum Zwecke der Parkraumbewirtschaftung betrieben wird. Weitere Beispiele werden im Weiteren noch genannt.
  • Das Kraftfahrzeug weist des Weiteren eine Steuerschaltung auf, die dazu eingerichtet ist, über den Transceiver eine auf einen finanziellen Überweisungsvorgang oder Bezahlvorgang bezogene Transaktionsanfrage zu empfangen und/oder über den Transceiver eine solche Transaktionsanfrage zu initiieren. Mit anderen Worten kann durch die Steuerschaltung über den Transceiver beispielsweise eine Aufforderung zu einer Bezahlung empfangen werden und/oder anders herum eine Zahlungsanweisung ausgesendet werden. Diese „Transaktionsanfrage“ kann dabei automatisiert in der Steuerschaltung verarbeitet werden, also nach Empfang bearbeitet oder vor dem Versenden vorbereitet werden. Die Steuerschaltung ist dazu eingerichtet, die jeweilige Transaktionsanfrage mittels einer kryptographischen Funktion und kryptographischen Autorisierungsdaten oder Authentifizierungsdaten zu bestätigen. Ein Beispiel für solche kryptographische Authentifizierungsdaten ist ein Private Key oder privater Schlüssel für eine asymmetrische Verschlüsselung, die durch die besagte kryptographische Funktion realisiert sein kann. Eine andere kryptographische Funktion kann beispielsweise die Ermittlung/Benutzung einer symmetrischen Verschlüsselung sein und die Authentifizierungsdaten stellen das zughörige Passwort (auch „gemeinsames Geheimnis“ genannt) dar.
  • Die Steuerschaltung erfüllt für die Authentifizierungsdaten die Bedingung, dass sie zum einen kopiergeschützt oder nicht einsehbar in einem Datenspeicher gespeichert sind und zum anderen aber für eine Personalisierung an einen Nutzer angepasst werden können. Die Authentifizierungsdaten sind hierzu in einem wiederbeschreibbaren Datenspeicher gespeichert, der Bestandteil eines Sicherheitsmoduls ist, das von derjenigen Prozessorschaltung der Steuerschaltung unabhängig betreibbar ist, die die beschriebenen Transaktionsanfragen verarbeitet, und das die kryptographische Funktion ebenfalls aufweist. Ein solches Sicherheitsmodul wird auch als SPE (secure processing environment) oder TEE (trusted execution environment) bezeichnet. Mit anderen Worten kann die Prozessorschaltung der Steuerschaltung zwar dazu eingerichtet sein, Transaktionsanfragen zu empfangen und/oder zu initiieren, aber die zum Bestätigen der Transaktionsanfragen notwendige kryptographische Funktion und die zugehörigen kryptographischen Authentifizierungsdaten stehen der Prozessorschaltung nicht zur Verfügung, sondern diese sind in dem von ihr unabhängigen Sicherheitsmodul bereitgestellt.
  • Um also eine Transaktionsanfrage zu bestätigen, ist die Prozessorschaltung insbesondere dazu eingerichtet, mit dem Sicherheitsmodul zu kommunizieren und die entsprechende Bestätigung und/oder Freigabe für eine Transaktion anzufordern. Um den Datenspeicher mit personenspezifischen Authentifizierungsdaten zu beschreiben, ist die Steuerschaltung dazu eingerichtet, über den Transceiver und/oder über eine von dem Transceiver verschiedene und/oder unabhängige Kommunikationsschaltung, beispielsweise ein WLAN, über das Internet und/oder aus einem Smartphone, einen benutzerspezifischen Profildatensatz zu empfangen. Bei diesem benutzerspezifischen Profildatensatz handelt es sich um das eingangs beschriebene AUP, wie es insbesondere im Zusammenhang mit AID, automotive identity, definiert oder beschrieben oder vorgesehen ist. Der Profildatensatz ist dabei in der Weise ergänzt, dass er einerseits z.B. fahrzeugbezogene Personalisierungsdaten (des Benutzers) und/oder SIM-Profildaten (Mobilfunknetzanbieterdaten eines Vertrags des Benutzers) enthält und aber auch zusätzlich neue Authentifizierungsdaten. Der Benutzer ist beispielsweise der eingangs genannte Fahrzeugnutzer. Diese neuen Authentifizierungsdaten sind ebenfalls benutzerspezifisch, weshalb sie erfindungsgemäß in den AUP-Profildatensatz integriert sind. Der durch das AUP ausgewiesene Benutzer muss nicht zwingend der Fahrzeugnutzer sein: dies ist beispielsweise dann der Fall, wenn der Fahrzeugnutzer ein Berufskraftfahrer ist, der in seinem AUP abrechnungsspezifische Daten seines Arbeitgebers mit aufnimmt, der bspw. die anfallenden Mautgebühren zahlt.
  • Die Steuerschaltung ist zusätzlich dazu eingerichtet, die neuen Authentifizierungsdaten aus dem Profildatensatz auszulesen und vorbestimmte Steuerbefehlsdaten an das Sicherheitsmodul abzugeben, durch welche das Sicherheitsmodul die ausgelesenen neuen Authentifizierungsdaten in den (sicheren) Datenspeicher schreibt. Welche Steuerbefehlsdaten hierzu notwendig sind, hängt von dem Bautyp des Sicherheitsmoduls ab und kann beispielsweise beim Hersteller des Sicherheitsmoduls in Erfahrung gebracht werden. Indem neue Authentifizierungsdaten in den Datenspeicher geschrieben werden können, verhält sich ab dahin die Steuerschaltung dahingehend nutzerspezifisch, dass Transaktionsanfragen mittels der kryptographischen Funktion und den neuen kryptographischen Authentifizierungsdaten bestätigt werden, also im Namen des und/oder für den Benutzer / Fahrzeugnutzer, dessen AUP-Profildatensatz von der Steuerschaltung empfangen wurde.
  • Durch die Erfindung ergibt sich der Vorteil, dass durch die Steuerschaltung in dem Kraftfahrzeug Transaktionsanfragen betreffend einen finanziellen Überweisungsvorgang automatisiert mittels einer kryptographischen Funktion und nutzerspezifischen Authentifizierungsdaten bestätigt werden können, also der Überweisungsvorgang oder Bezahlvorgang gesteuert oder ausgelöst werden kann. Dies geschieht insbesondere ohne ein Zutun eines Nutzers, also voll automatisiert. Somit kann das Kraftfahrzeug beispielsweise über einen Transceiver an einem Parkhaus als Transaktionsanfrage das Bezahlen der Parkzeit in dem Parkhaus empfangen und selbsttätig mittels der Authentifizierungsdaten des Nutzers und damit im Namen des Nutzers den finanziellen Überweisungsvorgang zum Bezahlen der Parkzeit bestätigen und die Bezahlung somit auslösen. Beispielsweise können mittels der kryptographischen Funktion Bestätigungsdaten für die Transaktion erzeugt und über den Transceiver oder die andere Kommunikationsschaltung versendet werden. Möchte ein neuer Benutzer das Kraftfahrzeug übernehmen oder nutzen, so kann er einen AUP-Profildatensatz bereitstellen, der das Kraftfahrzeug in Bezug auf Personalisierung und/oder SIM-Profil auf den Benutzer spezifiziert und zugleich auch neue Authentifizierungsdaten des Benutzers in der Steuerschaltung hinterlegt.
  • Die Erfindung umfasst auch Weiterentwicklungen, durch die sich zusätzliche Vorteile ergeben.
  • Personalisierungsdaten können beispielsweise graphische Einstellungen, vom Benutzer bevorzugte Einstellungen für ein Infotainmentsystem und/oder ein Klimasystem und/oder eine Sitzsteuerung umfassen. Personalisierungsdaten können auch beispielsweise ein Motor-Leistungsprofil und/oder Funktionsprofil von optionalen Fahrzeugfunktionen des Kraftfahrzeugs betreffen, also beispielsweise Funktionalitäten in dem Kraftfahrzeug freischalten, für die der Benutzer eine Lizenz und/oder Nutzungserlaubnis hat und diese durch die Personalisierungsdaten bestätigt sind.
  • Eine Weiterentwicklung umfasst, dass die Steuerschaltung dazu eingerichtet ist, mittels der Personalisierungsdaten zumindest eine fahrbetriebsbezogene und/oder infotainmentbezogene Fahrzeugfunktion des Kraftfahrzeugs zu konfigurieren. In der beschriebenen Weise kann beispielsweise als fahrbetriebsbezogene Fahrzeugfunktion eine maximale Motorleistung und/oder eine Höchstgeschwindigkeit des Kraftfahrzeugs und/oder eine Nutzungsdauer, ein Nutzungsgebiet oder ein Nutzungsradius (bezogen auf einen definierten Startpunkt) festgelegt werden. Dies ist beispielsweise dann sinnvoll, wenn das eingangs beschriebene AUP eines Berufskraftfahrers auch zusätzliche Personalisierungsdaten seines Arbeitgebers beinhaltet, welche die Nutzung des Fahrzeugs näher beschreiben bzw. einschränken. Zusätzlich oder alternativ ist die Steuerschaltung dazu eingerichtet, mittels der SIM-Profildaten ein Mobilfunkmodul des Kraftfahrzeugs zu konfigurieren. Das Mobilfunkmodul kann beispielsweise als Bestandteil der Steuerschaltung bereitgestellt sein. Es kann sich beispielsweise um ein 5G-Mobilfunkmodul und/oder GSM-Mobilfunkmodul handeln, um nur zwei Beispiele zu nennen. Damit ein solches Mobilfunkmodul Zugang zu einem Mobilfunknetzwerk erhält, müssen die nutzerspezifischen SIM-Profildaten vorliegen, durch welche nachgewiesen wird, dass der Nutzer Zugang zu dem Mobilfunknetz erhalten darf.
  • Eine Weiterentwicklung umfasst, dass das Sicherheitsmodul ein eSIM (embedded SIM) oder eine eUICC (embedded universal integrated cercuit card) ist. Damit erlaubt das Sicherheitsmodul einen Zugriff auf den Datenspeicher der Authentifizierungsdaten nur über eine sogenannte integrierte Sicherheitsdomäne, die auch als ISD-R bezeichnet wird (siehe www.gsma.com). Mit anderen Worten werden die Authentifizierungsdaten in einem solchen Sicherheitsmodul automatisiert in einem verschlüsselten Bereich abgelegt oder als verschlüsselte Daten abgelegt. Sie können damit nur vom Betriebssystem des Sicherheitsmoduls selbst mit dem entsprechenden kryptographischen Schlüssel zum Entschlüsseln gelesen oder ausgegeben werden.
  • In diesem Zusammenhang umfasst eine Weiterentwicklung, dass die Steuerschaltung dazu eingerichtet ist, mittels der besagten Steuerbefehlsdaten das Sicherheitsmodul dahingehend anzusteuern, dass dieses die neuen Authentifizierungsdaten in einen für ein komplettes SIM-Profil vorgesehenen Speicherbereich, aber außerhalb eines jeglichen anderen SIM-Profils des Sicherheitsmoduls abzuspeichern. Mit anderen Worten wird ausgenutzt, dass innerhalb eines eSIM oder einer eUICC Speicherbereiche vorgesehen oder reserviert sind, in die jeweils ein komplettes SIM-Profil gespeichert werden kann. Anstelle eines solchen SIM-Profils werden nun mittels der Steuerbefehlsdaten in dem Sicherheitsmodul die Authentifizierungsdaten abgespeichert. Somit sind die Authentifizierungsdaten in derselben Weise geschützt und/oder abrufbar wie ein SIM-Profil. Die Steuerschaltung kann somit auch die kryptographische Funktion nutzen, die auch angewendet wird, um mittels eines SIM-Profils Zugang zu einem Mobilfunknetz zu erhalten. Eine solche kryptographische Funktion wird auch ECASD (eUICC Controlling Authority Security Domain) bezeichnet. Anstelle des Zugangs zu einem Mobilfunknetzwert wird dann aber mittels der Authentifizierungsdaten die Bestätigung für die Transaktionsanfrage erzeugt oder durchgeführt.
  • Gemäß einer Weiterentwicklung ist die Steuerschaltung dazu eingerichtet, mittels der Steuerbefehlsdaten das Sicherheitsmodul dahingehend anzusteuern, dass dieses die neuen Authentifizierungsdaten in ein vorhandenes SIM-Profil integriert und damit innerhalb einer Profil-Sicherheitsdomäne des SIM-Profils abspeichert, d.h. innerhalb einer ISD-P. Mit anderen Worten werden die Authentifizierungsdaten als Bestandteil eines SIM-Profils in dem Sicherheitsmodul gespeichert. Somit sind sie mit den Benutzerdaten für den Zugang zu einem Mobilfunknetzwerk verbunden und insbesondere durch dieses geschützt, da sie in derselben Weise geschützt sind wie der Rest des SIM-Profils, der den Zugang zum Mobilfunknetzwerk betrifft.
  • So ist entsprechend gemäß unterschiedlichen Weiterbildungen vorgesehen, dass mittels der Steuerbefehlsdaten das Sicherheitsmodul dahingehend anzusteuern ist, dass dieses in dem SIM-Profil folgendermaßen die Authentifizierungsdaten abspeichert:
    • In einer Weiterentwicklung werden sie als ein eigenständiger Parameterdatensatz unabhängig von jeglicher Netzwerkbetreiber-Sicherheitsdomäne behandelt. Eine solche Netzwerkbetreiber-Sicherheitsdomäne wird auch als ISD-P bezeichnet (ISD - issuer security domain, P - profile). Damit sind die Authentifizierungsdaten durch den so genannten „SM-DP key set“ kryptographischen Schlüssel des SIM-Profils geschützt, also in derselben Sicherheitsstufe wie Netzwerkparameter in dem SIM-Profil.
  • In einer Weiterentwicklung werden alternativ dazu die Authentifizierungsdaten innerhalb einer Netzwerkbetreiber-Sicherheitsdomäne in einer Zusatzsicherheitsdomäne, SSD (supplementary security domain) abgespeichert. Hierdurch wird also ein Speicherbereich, nämlich die Zusatzsicherheitsdomäne, innerhalb der Netzwerkbetreiber-Sicherheitsdomäne (MNO-SD - mobile network operator - security domain) genutzt, wodurch eine zusätzliche Verschlüsselung auf die Authentifizierungsdaten angewendet wird, was diese besonders sicher macht.
  • In einer Weiterentwicklung werden alternativ dazu die Authentifizierungsdaten als eigenständige Netzwerkbetreiber-Sicherheitsdomäne (MNO-SD) behandelt oder in einem Speicherbereich für eine eigenständige MNO-SD gespeichert. Damit sind die Authentifizierungsdaten in derselben Weise auslesbar oder ansteuerbar, wie diejenigen einer Netzwerkbetreiber-Sicherheitsdomäne. Damit kann auf diese Steuerbefehle für das Auslesen oder Anwenden einer solchen Sicherheitsdomäne zurückgegriffen werden.
  • Die bisherigen Ausführungsformen beziehen sich auf die Nutzung der Sicherheitshardware oder des Sicherheitsmoduls für den Zugang zum Mobilfunknetz, also ein eSIM beziehungsweise eine eUICC.
  • In einer alternativen Weiterentwicklung ist das Sicherheitsmodul eine Trusted-Computing-Plattform oder TPM (trusted platform module), welche außerhalb des Kommunikationsmoduls in der Steuerschaltung angeordnet ist. Mit anderen Worten ist man nicht darauf angewiesen, dass ein Kommunikationsmodul bereitsteht, das die Authentifizierungsdaten speichern kann. Vielmehr wird auf eine Trusted-Computing-Plattform zurückgegriffen, also einen integrierten Schaltkreis, IC, der eine eigenständige kryptographische Funktion und einen Speicher für kryptographische Daten enthält. Eine solche Trusted-Computing-Plattform oder ein solches TPM ist als eigenständiger IC erhältlich oder verfügbar.
  • In der beschriebenen Weise kann die kryptographische Funktion vorsehen, dass eine asymmetrische Verschlüsselung oder Entschlüsselung vorgenommen wird und/oder beispielsweise ein Pin, der durch die Authentifizierungsdaten gegeben ist, angewendet wird. Als Authentifizierungsdaten können auch beispielsweise Daten betreffend eine Kreditkarte und/oder ein Zugang zu einer Blockchainbasierten Kryptowährung vorgesehen sein.
  • Als Transaktionsanfrage kann eine Bezahlanfrage oder eine Bezahlaufforderung empfangen werden, wie sie an sich im Rahmen des elektronischen Zahlungsverkehrs bekannt ist.
  • Der beschriebene Profildatensatz, der von der Steuerschaltung empfangen wird und der die neuen Authentifizierungsdaten enthält, ist gemäß einer Weiterentwicklung kryptographisch verschlüsselt, beispielsweise mittels eines symmetrischen und/oder eines asymmetrischen Verschlüsselungsverfahrens. Die Steuerschaltung ist dazu eingerichtet, mittels einer von der kryptographischen Funktion unabhängigen kryptographischen Entschlüsselungsroutine den Profildatensatz innerhalb der Steuerschaltung zu entschlüsseln. Mit anderen Worten kann der verschlüsselte Profildatensatz beispielsweise über eine Internetverbindung und/oder eine Funkverbindung in das Kraftfahrzeug zu der Steuerschaltung hin übertragen werden und erst innerhalb der Steuerschaltung kann diese mittels ihrer Entschlüsselungsroutine den Profildatensatz und damit die neuen Authentifizierungsdaten entschlüsseln und für eine Übertragung in das Sicherheitsmodul bereitstellen. Somit ist auch ein Mitlesen der neuen Authentifizierungsdaten während der Übertragung des benutzerspezifischen Profildatensatzes im Klartext unmöglich.
  • Das erfindungsgemäße Kraftfahrzeug ist bevorzugt als Kraftwagen, insbesondere als Personenkraftwagen oder Lastkraftwagen, oder als Personenbus oder Motorrad ausgestaltet. Sämtliche Antriebsarten (bspw. Verbrennungsmotor, Elektromotor, Hybridmodelle, etc.) und Energiezufuhren (bspw. Benzin, Diesel, Wasserstoff, elektrischer Strom, etc.) sind dabei eingeschlossen. Selbstverständlich schließt der Begriff Kraftfahrzeug auch Fahrzeuge ein, welche maschinengestützt, vollautonom und/oder ferngesteuert gefahren oder manövriert werden können.
  • Um ein Kraftfahrzeug in der beschriebenen Weise auszustatten, sieht die Erfindung als eine weitere Lösung die Steuerschaltung für ein Kraftfahrzeug vor, die einen Anschluss für einen Transceiver und eine Prozessorschaltung und das beschriebene Sicherheitsmodul aufweist. Die Prozessorschaltung ist dazu eingerichtet, ein Verfahren auszuführen, wie es in der beschriebenen Weise im Zusammenhang mit dem Kraftfahrzeug realisiert ist. Mit anderen Worten kann die Prozessorschaltung gemäß dem Verfahren die Transaktionsanfrage über den Transceiver empfangen oder an den Transceiver ausgeben und hierbei die jeweilige Transaktionsanfrage mittels einer kryptographischen Funktion und kryptographischen Authentifizierungsdaten bestätigen (also nach dem Empfangen oder vor dem Versenden) und zum Aktualisieren oder Personalisieren des Sicherheitsmoduls (SPE) neue Authentifizierungsdaten in einem benutzerspezifischen Profildatensatz, AUP, einer AID (automotive identity) über den Transceiver oder eine andere Kommunikationsschaltung empfangen und mittels vorgegebener oder vorbekannter Steuerbefehlsdaten die neuen Authentifizierungsdaten in dem Sicherheitsmodul abspeichern lassen in einem Datenspeicher, der in der an sich bekannten Weise in dem Sicherheitsmodul gegen ein Auslesen geschützt oder gesichert ist.
  • Das Verfahren ist ebenfalls als Bestandteil der Erfindung anzusehen. Die Erfindung umfasst auch Weiterentwicklungen des Verfahrens, die Merkmale aufweisen, wie sie bereits im Zusammenhang mit den Weiterentwicklungen des Kraftfahrzeugs beschrieben worden sind. Aus diesem Grund sind die entsprechenden Weiterbildungen des Verfahrens hier nicht noch einmal beschrieben. Für Anwendungsfälle oder Anwendungssituationen, die sich bei dem Verfahren ergeben können und die hier nicht explizit beschrieben sind, kann vorgesehen sein, dass gemäß dem Verfahren eine Fehlermeldung und/oder eine Aufforderung zur Eingabe einer Nutzerrückmeldung ausgegeben und/oder eine Standardeinstellung und/oder ein vorbestimmter Initialzustand eingestellt wird.
  • Um einen geeigneten benutzerspezifischen Profildatensatz, AUP, einer AID (automotive idendity) zu erzeugen, der sowohl SIM-Profildaten eines Nutzers für ein Mobilfunknetz enthält, als auch die beschriebenen Authentifizierungsdaten für finanzielle Überweisungsvorgänge, ist durch die Erfindung auch ein stationärer Servercomputer mit einer Prozessorschaltung bereitgestellt, die dazu eingerichtet ist, aus einem Datenserver eines Mobilfunknetzbetreibers die SIM-Profildaten eines Nutzers zu empfangen und über eine Nutzer-Schnittstelle des Servercomputers die Authentifizierungsdaten für finanzielle Überweisungsvorgänge von dem Nutzer zu empfangen. Der Servercomputer kann also beispielsweise über eine Internetverbindung mit dem Datenservercomputer des Mobilfunknetzbetreibers gekoppelt sein. Die Nutzer-Schnittstelle kann beispielsweise ein Nutzerportal oder eine graphische Benutzer-Schnittstelle (GUI) sein, an welcher der Nutzer sich beispielsweise identifizieren kann oder allgemein Benutzereingaben tätigen kann. Der Nutzer kann beispielsweise angeben, welche SIM-Profildaten er von dem Mobilfunknetzbetreiber nutzen möchte (sofern er die Berechtigung dazu hat) und er kann angeben, welche Authentifizierungsdaten verwendet werden sollen. Durch den Servercomputer können dann die SIM-Profildaten und die Authentifizierungsdaten beschafft oder bereitgestellt werden. Die Prozessorschaltung ist des Weiteren dazu eingerichtet, die SIM-Profildaten und die Authentifizierungsdaten in einem benutzerspezifischen Profildatensatz, AUP, einer AID (automotive identity) zusammenzufassen und diesen Profildatensatz an eine Ausführungsform des erfindungsgemäßen Kraftfahrzeugs zu übermitteln. Somit kann durch den Servercomputer der neuartige Typ an benutzerspezifischem Profildatensatz, AUP, im Rahmen einer AID erzeugt werden und in einer Ausführungsform des erfindungsgemäßen Kraftfahrzeugs verfügbar gemacht werden. Die Übertragung in das Kraftfahrzeug kann in der beschriebenen Weise über eine Internetverbindung und/oder Mobilfunkverbindung und/oder Funkverbindung über WLAN und/oder Bluetooth, oder auch mittels des beschriebenen Transceivers erfolgen.
  • Die jeweilige Prozessoreinrichtung kann zumindest einen Mikroprozessor und/oder zumindest einen Mikrocontroller und/oder zumindest einen FPGA (Field Programmable Gate Array) und/oder zumindest einen DSP (Digital Signal Processor) aufweisen. Des Weiteren kann die Prozessorschaltung Programmcode aufweisen, der dazu eingerichtet ist, beim Ausführen durch die Prozessorschaltung die Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Der Programmcode kann in einem Datenspeicher der Prozessorschaltung gespeichert sein.
  • Als eine weitere Lösung umfasst die Erfindung auch ein computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch einen Computer oder einen Computerverbund diesen veranlassen, eine Ausführungsform des erfindungsgemäßen Verfahrens auszuführen. Das Speichermedium kann z.B. zumindest teilweise als ein nicht-flüchtiger Datenspeicher (z.B. als eine Flash-Speicher und/oder als SSD - solid state drive) und/oder zumindest teilweise als ein flüchtiger Datenspeicher (z.B. als ein RAM - random access memory) ausgestaltet sein. Das Speichermedium kann in der Prozessorschaltung in deren Datenspeicher realisiert sein. Das Speichermedium kann aber auch beispielsweise als sogenannter Appstore-Server im Internet betrieben sein. Durch den Computer oder Computerverbund kann eine Prozessorschaltung mit zumindest einem Mikroprozessor bereitgestellt sein. Die Befehle können als Binärcode oder Assembler und/oder als Quellcode einer Programmiersprache (z.B. C) bereitgestellt sein.
  • Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen. Die Erfindung umfasst also auch Realisierungen, die jeweils eine Kombination der Merkmale mehrerer der beschriebenen Ausführungsformen aufweisen, sofern die Ausführungsformen nicht als sich gegenseitig ausschließend beschrieben wurden.
  • Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt:
    • 1 eine schematische Darstellung einer Ausführungsform des erfindungsgemäßen stationären Servercomputers und einer Ausführungsform des erfindungsgemäßen Kraftfahrzeugs;
    • 2 eine schematische Darstellung einer Steuerschaltung des Kraftfahrzeugs;
    • 3 ein Sicherheitsmodul, wie es in einem Kommunikationsmodem der Steuerschaltung von 2 als eSIM oder eUICC bereitgestellt sein kann;
    • 4 ein Sicherheitsmodul in einer alternativen Ausgestaltung;
    • 5 ein Sicherheitsmodul in einer alternativen Ausgestaltung;
    • 6 ein Sicherheitsmodul in einer alternativen Ausgestaltung;
    • 7 ein Sicherheitsmodul in einer alternativen Ausgestaltung;
  • Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden. Daher soll die Offenbarung auch andere als die dargestellten Kombinationen der Merkmale der Ausführungsformen umfassen. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
  • In den Figuren bezeichnen gleiche Bezugszeichen jeweils funktionsgleiche Elemente.
  • 1 zeigt ein System 10 mit einem stationären Servercomputer 11, der mit einem Servercomputer 12 eines Mobilfunknetzbetreibers eines Mobilfunknetzes 13 gekoppelt sein kann. Das System 10 kann des Weiteren für zumindest ein Kraftfahrzeug 14 eine Steuerschaltung 15 vorsehen, die durch ein Betriebsprogramm 16, das heißt Programminstruktionen, zum Durchführen eines Verfahrens programmiert oder eingerichtet sein kann. Die Steuerschaltung 15 kann für das Bereitstellen von Mobilfunkverbindungen in dem Mobilfunknetz 13 ein Kommunikationsmodem oder Kommunikationsmodul 17 aufweisen, also ein Mobilfunkmodul, wie beispielsweise ein 5G-Funkmodul. Um einen spezifischen Benutzer 18 für die Nutzung des Mobilfunknetzes 13 zu authentifizieren, kann in dem Kommunikationsmodul 17 ein Sicherheitsmodul 19 vorgesehen sein, das als eSIM oder eUICC ausgestaltet sein kann und in welchem in an sich bekannter Weise SIM-Profildaten 20 des Mobilfunknetzbetreibers MSP gespeichert sein können. Der Servercomputer 11 kann beispielsweise von einem Fahrzeughersteller CMP des Kraftfahrzeugs 14 betrieben werden.
  • Zwischen dem Datenservercomputer 12 des Mobilfunknetzbetreibers MSP und dem Servercomputer 11 kann eine Kommunikationsverbindung AiD1 beispielsweise auf Basis einer Internetkommunikation realisiert sein. Zwischen dem Servercomputer 11 und dem Kraftfahrzeug 14, nämlich der Steuerschaltung 15 mit der Betriebssoftware 16 kann eine Kommunikationsverbindung AiD2 bereitgestellt sein, die beispielsweise über eine Internetverbindung und/oder Funkverbindung (beispielsweise WLAN - wireless local area network) oder Mobilfunk basieren kann. Um das Kraftfahrzeug 14 spezifisch für den Benutzer 18 in Bezug auf die Nutzung des Mobilfunknetzes 13 sowie zusätzlich oder alternativ Personalisierungsdaten 22 betreffend Einstellungen des Kraftfahrzeugs 14 vornehmen zu können, kann eine Übertragung eines benutzerspezifischen Profildatensatzes 23 vorgesehen sein, der konform ist mit dem Standard AUP (AID user profile, AID - automotive identity). Mittels dieses Profildatensatzes 23 können die SIM-Profildaten 20 und/oder die Personalisierungsdaten 22 übertragen werden. Um die Personalisierungsdaten 22 einzustellen, kann dem Benutzer 18 eine Bedienschnittstelle 24 bereitgestellt sein, die auf Basis eines Internetportals und/oder einer Smartphone-App realisiert sein kann, um nur Beispiele zu nennen. Hierdurch ergibt sich ein Bedienvorgang AiD6.
  • In dem Profildatensatz 23 kann auch lediglich eine Steueranweisung als Ersatz für die SIM-Profildaten 20 vorgesehen sein, so dass über einen separaten Kommunikationsweg AiD3 die Steuerschaltung 15, insbesondere ihr Kommunikationsmodul 17 die SIM-Profildaten 20 direkt vom Datenservercomputer 12 herunterladen kann, beispielsweise über eine Mobilfunkverbindung. Beispielsweise kann der Benutzer 18 als Personalisierungsdaten 22 ein Logo auswählen, das auf einem Bildschirm eines Infotainmentsystems des Kraftfahrzeugs 14 durch die Steuerschaltung 15 dargestellt werden soll. Ein weiterer Eingabeweg AiD5 kann für eine Bedienschnittstelle 26 des Mobilfunknetzbetreibers MSP und dessen Datenservercomputer 12 vorgesehen sein, über welche der Benutzer 18 beispielsweise ein Passwort eingeben kann, um die Übertragung der SIM- Profildaten 20 auszulösen oder freizuschalten. Es kann ein Kommunikationsweg AiD7 für den Benutzer 18 vorgesehen sein, über welchen der Benutzer 18 im Kraftfahrzeug 14 die Betriebssoftware oder das Betriebsprogramm 16 bedienen kann.
  • Indem der Profildatensatz 23 in das Kraftfahrzeug 14, insbesondere in die Steuerschaltung 15, übertragen wird, kann das Kraftfahrzeug 14 für den Benutzer 18 personalisiert werden, so dass beispielsweise das Kommunikationsmodul 17 mit den Nutzerdaten des Benutzers 18, also dessen SIM-Profildaten 20, Kommunikationsdienste für den Benutzer 18 in dem Mobilfunknetz 13 nutzt oder bereitstellt.
  • Das System 10 sieht des Weiteren vor, dass der Benutzer 18 Autorisierungsdaten oder Authentifizierungsdaten 25 von dem Servercomputer 11 in die Steuerschaltung 15 des Kraftfahrzeugs 14 übertragen kann, damit mittels der Authentifizierungsdaten 25 beispielsweise über das Mobilfunknetz 13 ein finanzieller Überweisungsvorgang oder Bezahlvorgang freigeschaltet oder gesteuert werden kann, also Transaktionsanfragen zum Freischalten oder Genehmigen von Überweisungsvorgängen durch die Steuerschaltung 15 ohne ein weiteres Zutun des Benutzers 18 genehmigt werden können, wie es beispielsweise beim automatisierten Bezahlen in einem Parkhaus oder auf einem gebührenpflichtigen Parkplatz oder an einer Tankstelle für das Tanken oder an einer Waschstraße für das Waschen des Fahrzeugs.
  • 2 veranschaulicht, wie hierzu in dem Kraftfahrzeug 14 in dessen Steuerschaltung 15 ein Transceiver 30 bereitgestellt sein kann, der für eine Nahfeldkommunikation NFC über eine drahtlose Verbindung oder Funkverbindung 31 mit einem fahrzeugexternen Gerät oder einer fahrzeugexternen Kommunikationseinheit 32 eine Transaktionsanfrage 33 austauschen kann, die jeweils von der Steuerschaltung 15 oder der Kommunikationseinheit 32 ausgehen kann und einen finanziellen Überweisungsvorgang anfordern oder auslösen kann. In 2 hat der Pfeil der Funkverbindung 31 beide Richtungen, um beide Möglichkeiten zu verdeutlichen.
  • In der beschriebenen Weise kann die Kommunikationseinheit 32 beispielsweise zu einem Parkhaus oder einer Tankstelle oder einer weiteren Einrichtung gehören, die beispielsweise für das Kraftfahrzeug 14 einen Dienst oder eine Dienstleistung bereitstellen kann, die von dem Kraftfahrzeug 14 ohne ein weiteres Zutun des Benutzers 18 in dessen Namen genehmigt werden soll, indem mittels der Authentifizierungsdaten 25 und mittels einer kryptographischen Funktion 35 die Authentifizierung beispielsweise einer Einwilligung oder einer Identität des Benutzers 18 für die Transaktion gemäß der Transaktionsanfrage 33 bestätigt wird.
  • Die kryptographische Funktion 35 kann beispielsweise eine Signatur mittels eines asymmetrischen kryptographischen Schlüssels und/oder eine Verschlüsselung mittels eines symmetrischen und/oder asymmetrischen kryptographischen Schlüssels vorsehen. Die Authentifizierungsdaten 25 können entsprechend einen solchen kryptographischen Schlüssel, insbesondere einen privaten Schlüssel und/oder ein Passwort, enthalten. Insgesamt ergibt sich durch die Kombination aus der kryptographischen Funktion 35 und den Authentifizierungsdaten 25 eine kryptographische „Brieftasche“ oder elektronische „Brieftasche“, was auch als eWallet 36 bezeichnet wird. Die Authentifizierungsdaten 25 müssen dabei vor einem Auslesen geschützt sein und hierzu in einem Sicherheitsmodul 37 gespeichert sein und dort in einer so genannten Sicherheitsdomäne SD eines Datenspeichers 38. Eine Sicherheitsdomäne SD kann beispielsweise erzeugt werden, indem die Authentifizierungsdaten 25 in dem Datenspeicher 38 verschlüsselt abgespeichert werden und diese Verschlüsselung durch das Sicherheitsmodul 37 durchgeführt wird und mit Verschlüsselungsdaten, die in dem Sicherheitsmodul 37 bereitgestellt sind. Ein solcher Mechanismus ist beispielsweise von der eingangs beschriebenen GSMA spezifiziert. In dem Sicherheitsmodul 37 kann auch die kryptographische Funktion 35 als so genannte sichere Ausführungsumgebung SPE (secure processing environment) realisiert sein, also als eine Hardware, die in dem Sicherheitsmodul 37 gekapselt oder eingeschlossen ist und insbesondere unabhängig von einem Mikroprozessor oder einer Prozessorschaltung P der Steuerschaltung 15 und/oder des Kommunikationsmoduls 17 als eigenständige Hardware in an sich bekannter Weise bereitgestellt sein kann. Wie in 2 veranschaulicht, kann eine eWallet 36 in einem Sicherheitsmodul 37 angeordnet sein, die in einer eUICC als Sicherheitsmodul 19 angeordnet sein kann oder in einem separaten Sicherheitsmodul außerhalb der eUICC in dem Kommunikationsmodul 17 oder außerhalb des Kommunikationsmoduls 17 in der Steuerschaltung 15. Diese Ausführungsvarianten werden im Folgenden näher erläutert.
  • Die Funkverbindung 31 kann beispielsweise auf der Grundlage von Funkwellen und/oder einem magnetischen Wechselfeld in an sich bekannter Weise gemäß NFC-Standard erfolgen.
  • Eine solche „Fahrzeug-Brieftasche“ oder eWallet 36 (im weiteren Verlauf der Erfindung auch „Fahrzeuggeldbörse“ genannt) ist somit ein computergestützter Datenspeicher 38 für Buchhaltungs- und Rechnungsdaten, der mit Hilfe von Kryptographie Folgendes sichern kann:
    1. a) ihren Inhalt (Authentifizierungsdaten 25), und
    2. b) die Kommunikation mit den entsprechenden Backend-Servern oder fahrzeugexternen Kommunikationseinheiten 32,
    und kann Authentifizierungsdaten 25 für mindestens eines der folgenden Module umfassen:
    • - Bankkontodaten
    • - Angaben zur Kreditkarte
    • - Angaben zur Debitkarte
    • - Details zur Kundenkarte (Loyalty Card)
    • - Benutzerpräferenzen für Finanztransaktionen
    • - Bevorzugte Zahlungsmethode pro Ware oder Dienstleistung
    • - Bevorzugte Währung pro Ware oder Dienstleistung
    • - Kontodaten für Kryptowährungen (wie Bitcoins), die mindestens eines der folgenden Elemente umfassen:
    • - Digitale Hauptbücher (z. B. auf Basis der Blockchain-Technologie, wo dezentral geführte digitale Kassenbücher („Distributed Ledgers“ in Englisch) zum Einsatz kommen)
  • Die sichere Verarbeitungsumgebung (SPE - Sicherheitsmodul) z.B. für die Durchführung kryptowährungsspezifischer Operationen oder Funktionen 35 können zumindest eine der folgenden Funktionalitäten bereitstellen:
    • - Öffentliche kryptographische Schlüssel - werden von anderen benötigt, um Kryptowährungen an die eWallet zu senden,
    • - Öffentliche und/oder private kryptographische Schlüssel - werden benötigt, um Kryptowährungen in die Öffentlichkeit zu schreiben oder auszugeben,
    • - Seed Values (falls erforderlich).
  • Im Prinzip können die in der „Fahrzeug-Brieftasche“ gespeicherten Zahlungsdaten und -präferenzen (Authentifizierungsdaten 25) Informationen zu allen verschiedenen Arten von traditionellen und/oder digitalen Währungen umfassen.
  • Im Folgenden sind fünf Beispielszenarien dargestellt, in denen Transaktionsanfrage automatisiert von der Steuerschaltung selbsttätig erledigt werden können:
    • - Parkgebühren werden immer auf das Kreditkartenkonto des Nutzers gebucht (z.B. mit der Festlegung einer Obergrenze von 5 EUR pro Stunde).
    • - Der Kauf eines Films für die Kinder auf der Rückbank, z. B. auf Langstreckenfahrten, über das im Fahrzeug eingebaute Infotainment-System wird immer über das Konto des Streaming-Dienstes der Familie abgerechnet.
    • - Mautgebühren werden immer über das Debitkartenkonto des Nutzers abgerechnet (z. B. mit der Aufforderung, beim Bezahlvorgang immer die Kundenkarte vorzulegen, um einen Rabatt zu erhalten, oder mit dem Wunsch des Nutzers, bei Fahrten durch die Schweiz in EUR statt in CHF zu bezahlen).
    • - Für elektrische Energie, die aus der Batterie eines Elektrofahrzeugs in das Netz eingespeist wird, möchte der Nutzer eine Vergütung in Kryptowährung erhalten (z. B. zusammen mit der vom Nutzer bevorzugten digitalen Währung und dem Mindestpreis pro Kilowattstunde).
    • - Für die Bereitstellung von Batteriespeicherkapazität (z. B. in Zeiten, in denen aufgrund von Windrädern oder Photovoltaikanlagen, die mehr Strom erzeugen als verbraucht werden kann, vorübergehend Energiepuffer benötigt werden) durch das eigene Fahrzeug möchte der Nutzer vom kommunalen Energieversorger eine Vergütung in Form von Gutscheinen für Straßenbenutzungsgebühren oder in Form von Steuerermäßigungen erhalten.)
  • Fahrzeug-Geldbörse auf der eUICC:
    • Gemäß einem Aspekt wird die Funktion der digitalen Fahrzeuggeldbörse von der eUICC entweder unter Verwendung bereits vorhandener Sicherheitsdomänen auf der eUICC oder einer anderen, neu zu definierenden Sicherheitsdomäne bereitgestellt (Einzelheiten folgen weiter unten).
  • In 3 wird ein Überblick über die verschiedenen Sicherheitsdomänen auf einer eUICC gegeben (basierend auf SGP.22).
  • ECASD: Die Sicherheitsdomäne der eingebetteten UICC (Embedded UICC Controlling Authority Security Domain, ECASD) ist verantwortlich für die sichere Speicherung von Berechtigungsnachweisen, die zur Unterstützung der erforderlichen Sicherheitsdomänen auf der eUICC erforderlich sind. Es gibt nur eine ECASD auf einer eUICC. Sie wird vom EUM (eUICC-Hersteller) während des Herstellungsprozesses der eUICC installiert und personalisiert.
  • ISD-R: Der ISD-R ist für das Lebenszyklusmanagement aller ISD-Ps und die Erstellung neuer ISD-Ps zuständig. Auf jeder eUICC gibt es nur einen ISD-R. Das ISD-R wird von der EUM während des Herstellungsprozesses der eUICC installiert und personalisiert. Die ISD-R ist mit sich selbst verbunden und kann nicht gelöscht oder deaktiviert werden.
  • ISD-Px: Das ISD-P ist der karteninterne Vertreter des SM-DP+ und ist ein sicherer Container (Sicherheitsdomäne) für das Beherbergen eines Profils. Das ISD-P wird für den Profildownload und die Installation in Zusammenarbeit mit dem Profilpaket-Interpreter für die Dekodierung/Interpretation des empfangenen Profilpakets verwendet. Jedes ISD-P beherbergt genau ein einziges Profil. Keine Komponente außerhalb des ISD-P hat Sichtbarkeit oder Zugriff auf eine dort gespeicherte Profilkomponente, mit Ausnahme des ISD-R, der Zugriff auf die Profilmetadaten hat. Das Löschen eines Profils muss das ISD-P und alle Profilkomponenten des Profils entfernen.
  • SGP.22 schreibt vor, dass eine Profilkomponente keine Sichtbarkeit von oder keinen Zugriff auf Komponenten außerhalb ihres ISD-P haben darf. Ein ISD-P darf keine Sichtbarkeit von oder keinen Zugriff auf andere ISD-P haben.
  • Aufgrund dieses vereinbarten Konzepts ist es schwierig, eine digitale Fahrzeugbrieftasche direkt in ein SIM-Profil zu integrieren. Dennoch kann sie gemeinsam mit einem SIM-Profil transportiert werden (d. h. in derselben Nachricht oder Transaktion von der Infrastruktur zur eUICC), aber nicht als Teil davon. Folglich muss es in der eUICC eine Instanz geben, die den Inhalt des SIM-Profils vom Inhalt der digitalen Fahrzeugbrieftasche trennt und getrennt behandelt, so dass beide Teile in unterschiedlichen Sicherheitsbereichen gespeichert und betrieben werden können. Die getrennte Behandlung kann unter anderem die getrennte Überprüfung der Integrität der beiden Teile, die getrennte Überprüfung der Authentizität der beiden Teile, die Einrichtung unterschiedlicher Sicherheitsdomänen für die beiden Teile usw. umfassen. Gemäß einem Aspekt der vorliegenden Erfindung bestünde eine erste Lösung darin, diese Aufgaben dem ISD-R zuzuweisen, und eine zweite Lösung bestünde darin, eine separate Funktionseinheit für diese Aufgabe einzuführen. 3 zeigt eine erweiterte Struktur von sicheren Domänen auf einer eUICC mit einem modifizierten ISD-R*. Die andere Option (separate funktionale Einheit, die parallel zum ISD-R arbeitet) ist der Kürze halber nicht dargestellt.
  • Es kann jedoch Szenarien geben, in denen der MNO (mobile network operator) selbst die Rolle eines Finanzdienstleisters übernimmt, eine engere Beziehung zu einem solchen Unternehmen unterhält oder vom Nutzer ermächtigt wird, in seinem Namen Zahlungspräferenzen und -funktionen für Fahrzeuge (digitale Fahrzeuggeldbörse) zu verwalten und durchzuführen. In diesem Fall ist es sinnvoll, die digitale Fahrzeuggeldbörse des Nutzers direkt in ein SIM-Profil zu integrieren. Die 4 bis 6 befassen sich mit genau diesem Szenario.
  • 4 zeigt den Aufbau eines einzelnen SIM-Profils. Es gibt genau ein Profil pro ISD-P. Jedes Profil besteht aus einer Reihe von Profilkomponenten und wird vom Mobilfunknetzbetreiber (MNO) spezifiziert und steht unter dessen vollständiger Kontrolle.
  • MNO-SD: Die MNO-SD-Profilkomponente ist der Repräsentant des MNO, dem das Profil gehört, d.h. sie enthält die OTA-Schlüsselsätze (Over The Air) des MNO und erfüllt ähnliche Aufgaben wie die ISD-R für die gesamte UICC.
  • NAA: Die Profilkomponente NAA (Network Access Application) ist eine Anwendung auf einer UICC, die Autorisierungsverfahren für den Netzzugang bereitstellt.
  • SSD: Die SSD-Profilkomponente bezeichnet eine oder mehrere ergänzende Sicherheitsdomänen (SSD), die sich unterhalb der MNO-SD befinden.
  • 4 zeigt darüber hinaus Zahlungspräferenzen und -funktionen (digitale Fahrzeuggeldbörse, Authentifizierungsdaten) auf der gleichen Ebene wie „POL1“ und „Connectivity Parameters“ außerhalb der MNO-SD gespeichert, d. h. sie können - in einer Ausführungsform - Teil des Betriebssystems (OS) der eUICC sein.
  • 5 zeigt ein weiteres erweitertes Ausführungsbeispiel. Hier werden die Zahlungspräferenzen und -funktionen (digitale Fahrzeuggeldbörse, Authentifizierungsdaten) unter einer neu definierten Vehicle Wallet Security Domain (VW-SD) gespeichert, die sich auf der gleichen Ebene wie die MNO-SD befindet.
  • 6 zeigt die Zahlungspräferenzen und -funktionen (digitale Fahrzeuggeldbörse, Authentifizierungsdaten) als ein Element in der Verzweigung unter der MNO-SD in einer speziellen SSD gespeichert.
  • Im ersten Fall (4) kann das ISD-P einen modifizierten Satz von Sicherheitsschlüsseln enthalten, d. h. die üblichen SM-DP-Schlüssel können durch einige Sicherheitsschlüsselsätze von Drittanbietern ergänzt werden. Jeweilige Schlüssel und/oder Verschlüsselungen sind in den Figuren durch ein Schlüsselsymbol dargestellt, was auf einen verschlüsselten Speicherbereich hinweist. In den beiden letztgenannten Fällen (5 und 6) können die entsprechenden Sicherheitsdomänen die Schlüssel von Drittanbietern enthalten.
  • Die besagten Schlüssel von Drittanbietern können für die Durchführung kryptographischer Operationen benötigt werden, zum Beispiel im Hinblick auf die Integritätsprüfung, den Schutz von Inhalten, die Handhabung von Zugriffsrechten, die Durchführung von Autorisierungsprüfungen usw. für die erfindungsgemäßen Zahlungsfunktionen und -präferenzen. Diese dritte Partei kann z.B. die CMP, MSP oder der Benutzer sein (oder mit ihr in Verbindung stehen).
  • Fahrzeug-Wallet außerhalb der eUICC:
    • Gemäß einem weiteren Aspekt nach 7 wird die digitale Fahrzeuggeldbörse in einer Sicherheitsdomäne gespeichert und betrieben, die mit Hilfe eines Trusted Platform Module (TPM) als Sicherheitsmodul implementiert wird, anstatt von der eUICC implementiert zu werden. So kann beispielsweise das Mobilfunkmodem oder die bordseitige Kommunikationseinheit ein vertrauenswürdiges Plattformmodul (TPM) enthalten, das SD und/oder SPE für die Speicherung der digitalen Fahrzeuggeldbörse bereitstellt.
  • Das vertrauenswürdige Plattformmodul (TPM) ist ein integriertes Schaltkreismodul, das als Teil der TCG-Spezifikation (TCG-Trusted Computing Group, früher bekannt als TCPA) entwickelt wurde, um eine sichere Umgebung für Personal Computer (PCs) zu schaffen. Es ähnelt einer Chipkarte, die untrennbar mit einer Rechenplattform verbunden ist. Der Unterschied zu einer Smartcard besteht darin, dass sie an ein System (Rechenplattform) und nicht an einen Benutzer gekoppelt ist. Andere Einsatzszenarien - neben PCs - sind PDAs (Personal Digital Assistants), Mobiltelefone und auch Unterhaltungselektronik. Ein TPM-Chip ist ein passives Element. Er kann weder den Bootstrapping-Prozess des Systems noch den laufenden Betrieb aktiv beeinflussen. Er enthält jedoch ein eindeutiges Identifikationsmerkmal, mit dem ein System (eine Rechenplattform) eindeutig identifiziert werden kann. Außerdem kann ein TPM eine Reihe verschiedener Schlüssel (z. B. für Verschlüsselungsalgorithmen oder digitale Signaturen) erzeugen, verwenden und speichern. Der größte Vorteil eines TPMs besteht darin, dass diese Schlüssel nicht außerhalb des TPMs verwendet werden müssen, sondern alle Berechnungen innerhalb der vertrauenswürdigen Domäne des TPMs durchgeführt werden. Software-Angriffe gelten daher als unmöglich. Auch der Schutz vor Hardware-Angriffen ist relativ gut (ähnlich wie bei sicheren Chipkarten). TPMs werden so hergestellt, dass physische Angriffe unweigerlich zur Zerstörung aller Daten führen.
  • Für das Szenario, bei dem die digitale Fahrzeuggeldbörse (mit ihren Zahlungsdaten und Präferenzen, wie oben definiert) mit dem SIM-Profil eines Nutzers verknüpft ist, anstatt vollständig darin integriert zu sein, zeigt 7 eine weitere Einsatzmöglichkeit. Hier umfasst die Onboard Communication Unit (OCU) eine Vehicle Wallet Secure Domain (VW-SD), in der die Zahlungsfunktionen und - präferenzen gespeichert werden, und vorzugsweise auch eine Secure Processing Environment (SPE), die einen manipulationssicheren Betriebsbereich für alle abrechnungs- und buchhaltungsbezogenen Berechnungen im Rahmen des innovativen AID-Konzepts bietet.
  • Mit der Einführung der iSIM (= integrierte SIM) geht die Miniaturisierung der Speicherung von Teilnehmerinformationen in einem Gerät weiter: Während eine typische eUICC in ein Gerät mit einer Grundfläche von 6 mm x 5 mm bis hinunter zu 2,6 mm x 2,4 mm eingelötet wird, ist eine iSIM sogar noch kleiner: Mit einer Grundfläche von weniger als einem Quadratmillimeter wird sie im vertrauenswürdigen Bereich eines System on Chip (SoC) untergebracht und verfügt dennoch über die gleichen Funktionen wie die eUICC. Gleichzeitig wird Platz auf der Leiterplatte für neue Funktionen frei und es wird ein ultraflaches und zuverlässiges Gerätedesign ermöglicht. Auch der Stromverbrauch kann reduziert werden, ebenso wie die Stückliste (BoM). Folglich sind die Lehren der vorliegenden Erfindung nicht auf bestimmte Formfaktoren (z. B. die von eSIMs und/oder eUlCCs) beschränkt, die wir heute kennen.
  • Zum besseren Verständnis des angestrebten Schutzniveaus finden Sie im Folgenden eine Liste vorteilhafter Aspekte der Idee:
    • 1) Verfahren zur Verknüpfung einer digitalen Brieftasche mit Informationen zu einem Mobilfunkvertrag.
    • 2) Verfahren nach Aspekt 1, dadurch gekennzeichnet, dass die Kopplung in dem von der GSMA definierten AID-Framework durchgeführt wird.
    • 3) Verfahren nach Aspekt 1, dadurch gekennzeichnet, dass die Kopplung durch einen Benutzer in mindestens einer der Domänen CMP und MSP des AID-Frameworks initiiert und/oder gesteuert wird.
    • 4) Verfahren nach Aspekt 1, wobei der Prozess des Koppelns mindestens einen der Schritte Verknüpfen, Assoziieren, Gruppieren und Einschließen umfassen kann.
    • 5) Verfahren gemäß Aspekt 1, dadurch gekennzeichnet, dass die digitale Brieftasche einem Fahrzeug zur Verfügung gestellt wird.
    • 6) Verfahren nach Aspekt 1, dadurch gekennzeichnet, dass die digitale Brieftasche Zahlungsdaten eines Nutzers umfasst.
    • 7) Verfahren nach Aspekt 6, dadurch gekennzeichnet, dass die Zahlungsdaten eines Nutzers Finanztransaktionen / Zahlungsautorisierungsdaten / Zahlungsoptionen / Nutzerpräferenzen / Erstattungsoptionen betreffen.
    • 8) Verfahren nach Aspekt 1, dadurch gekennzeichnet, dass die Informationen, die sich auf ein Mobilfunkabonnement beziehen, eine Geschäftsbeziehung zwischen einem Nutzer und einem Mobilfunknetzbetreiber zur Bereitstellung von Zugangsmöglichkeiten und/oder Kommunikationsdiensten für den Nutzer über die Netzinfrastruktur des Mobilfunknetzbetreibers beschreiben.
    • 9) Verfahren nach Aspekt 1, dadurch gekennzeichnet, dass die Informationen, die sich auf ein Mobilfunkabonnement beziehen, ein Profil umfassen, wie es in SGP.21/22 (oder einer späteren von der GSMA veröffentlichten Spezifikation für Remote SIM Provisioning) definiert ist.
    • 10) Verfahren nach einem der vorhergehenden Aspekte, dadurch gekennzeichnet, dass das Fahrzeug von einem Benutzer berechtigt (autorisiert) ist, Zahlungen im Namen des Benutzers zu tätigen und zu empfangen.
    • 11) Verfahren nach einem der vorhergehenden Aspekte, dadurch gekennzeichnet, dass das Fahrzeug von einem Benutzer berechtigt (autorisiert) ist, im Namen des Benutzers Zahlungen für Transaktionen zu tätigen und zu empfangen, die sich auf den Austausch von mindestens einer Ware oder Dienstleistung beziehen.
    • 12) Verfahren nach einem der vorhergehenden Aspekte, dadurch gekennzeichnet, dass das Fahrzeug berechtigt (autorisiert) ist, Zahlungen gemäß den in der digitalen Brieftasche bereitgestellten Zahlungsdaten zu tätigen und zu empfangen.
    • 13) Verfahren nach einem der vorhergehenden Aspekte, dadurch gekennzeichnet, dass das Fahrzeug bei der Durchführung und dem Empfang von Zahlungen im Rahmen von Transaktionen die Präferenzen der Benutzer berücksichtigt.
    • 14) Verfahren nach einem der vorhergehenden Aspekte, dadurch gekennzeichnet, dass der Nutzer mindestens eine der folgenden juristischen Personen ist: Fahrzeugfahrer / Fahrzeugnutzer / Passagier / Fahrzeugeigentümer / ein Mensch / Flottenmanagementunternehmen / Autovermieter / Ride-Sharing-Unternehmen / Autohersteller / ein Unternehmen.
    • 15) Eine Onboard Connectivity Unit (OCU), die nach dem oben beschriebenen Verfahren arbeitet.
    • 16) Verfahren gemäß Aspekt 15, dadurch gekennzeichnet, dass die Onboard Connectivity Unit (OCU) an Bord eines Fahrzeugs eingesetzt wird.
    • 17) Verfahren nach Aspekt 15, dadurch gekennzeichnet, dass die Onboard Connectivity Unit (OCU) Konnektivität zu drahtlosen Netzwerken ermöglicht (oder anbietet), die gemäß der 3GPP-Spezifikationssuite betrieben werden, wie 2G-GSM / 3G-UMTS / 4G-LTE / 5G-NR, oder jede andere Funkzugangstechnologie.
    • 18) Verfahren nach Aspekt 16, dadurch gekennzeichnet, dass es sich bei dem Fahrzeug um ein erdgebundenes, ein schwimmendes oder ein in der Luft befindliches Fahrzeug handelt.
    • 19) Verfahren nach Aspekt 16, dadurch gekennzeichnet, dass das Fahrzeug maschinengestützt, vollautonom und/oder ferngesteuert gefahren oder manövriert werden kann.
    • 20) Eine Infrastrukturkomponente (Server), die nach dem oben beschriebenen Verfahren arbeitet.
  • Insgesamt zeigen die Beispiele, wie Authentifizierungsdaten für Transaktionsanfragen mit SIM-Profildaten verknüpft werden können.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102020129811 A1 [0005]
    • US 2016/0086170 A1 [0006]
    • US 2021/0350353 A1 [0007]

Claims (11)

  1. Kraftfahrzeug (14) aufweisend einen Transceiver (30) für eine funkbasierte und/oder optische Kommunikation mit zumindest einer fahrzeugexternen Kommunikationseinheit (32) und aufweisend eine Steuerschaltung (15), die dazu eingerichtet ist, über den Transceiver (30) eine auf einen finanziellen Überweisungsvorgang bezogene Transaktionsanfrage (33) zu empfangen und/oder über den Transceiver (30) eine Transaktionsanfrage (33) zu initiieren, wobei die Steuerschaltung (15) dazu eingerichtet ist, die jeweilige Transaktionsanfrage (33) mittels einer kryptographischen Funktion (35) und mittels kryptographischer Authentifizierungsdaten (25) zu bestätigen, wobei die Authentifizierungsdaten (25) in einem wiederbeschreibbaren Datenspeicher (38) eines von einer Prozessorschaltung der Steuerschaltung (15) unabhängigen, die kryptographische Funktion (35) aufweisenden Sicherheitsmoduls (19, 37) gespeichert sind und die Steuerschaltung (15) dazu eingerichtet ist, über den Transceiver (30) und/oder über eine von dem Transceiver (30) unabhängige Kommunikationsschaltung einen benutzerspezifischen Profildatensatz (23), AUP, zu empfangen, wobei der Profildatensatz (23) einerseits Personalisierungsdaten (22) und/oder SIM-Profildaten (20) und andererseits neue Authentifizierungsdaten (25) enthält, und die neuen Authentifizierungsdaten (25) aus dem Profildatensatz (23) auszulesen und vorbestimmte Steuerbefehlsdaten an das Sicherheitsmodul (19, 37) abzugeben, durch welche das Sicherheitsmodul (19, 37) die ausgelesenen neuen Authentifizierungsdaten (25) in den Datenspeicher (38) schreibt.
  2. Kraftfahrzeug (14) nach Anspruch 1, wobei die Steuerschaltung (15) dazu eingerichtet ist, mittels der Personalisierungsdaten (22) zumindest eine fahrbetriebsbezogene und/oder infotainmentbezogene Fahrzeugfunktion (35) des Kraftfahrzeugs (14) und/oder mittels der SIM-Profildaten (20) ein Mobilfunkmodul des Kraftfahrzeugs (14) zu konfigurieren.
  3. Kraftfahrzeug (14) nach einem der vorhergehenden Ansprüche, wobei das Sicherheitsmodul (19, 37) ein eSIM oder eine eUICC ist, welches bzw. welche einen Zugriff auf den Datenspeicher (38) der Authentifizierungsdaten (25) nur über eine integrierte Sicherheitsdomäne, ISD-R, (verschlüsselter Bereich) erlaubt.
  4. Kraftfahrzeug (14) nach Anspruch 3, wobei die Steuerschaltung (15) dazu eingerichtet ist, mittels der Steuerbefehlsdaten das Sicherheitsmodul (19, 37) dahingehend anzusteuern, dass dieses die neuen Authentifizierungsdaten (25) in einen Speicherbereich außerhalb jeglichen SIM-Profils des Sicherheitsmoduls (19, 37) abspeichert.
  5. Kraftfahrzeug (14) nach Anspruch 3, wobei die Steuerschaltung (15) dazu eingerichtet ist, mittels der Steuerbefehlsdaten das Sicherheitsmodul (19, 37) dahingehend anzusteuern, dass dieses die neuen Authentifizierungsdaten (25) in ein SIM-Profil integriert und damit innerhalb einer Profil-Sicherheitsdomäne des SIM-Profils.
  6. Kraftfahrzeug (14) nach Anspruch 5, wobei die Steuerschaltung (15) dazu eingerichtet ist, mittels der Steuerbefehlsdaten das Sicherheitsmodul (19, 37) dahingehend anzusteuern, dass dieses die neuen Authentifizierungsdaten (25) in dem SIM-Profil folgendermaßen abspeichert: • als eigenständigen Parameterdatensatz unabhängig von jeglicher Netzwerkbetreiber-Sicherheitsdomäne (MNO-SD); • innerhalb einer Netzwerkbetreiber-Sicherheitsdomäne (MNO-SD) in einer Zusatzsicherheitsdomäne, SSD, derselben; • als eigenständige Sicherheitsdomäne (VW-SD), die einer Netzwerkbetreiber-Sicherheitsdomäne (MNO-SD) hierarchisch gleichgestellt ist.
  7. Kraftfahrzeug (14) nach Anspruch 1 oder 2, wobei das Sicherheitsmodul (19, 37) eine Trusted-Computing-Plattform, TPM ist, welche außerhalb des Kommunikationsmoduls (17) in der Steuerschaltung (15) angeordnet ist.
  8. Kraftfahrzeug (14) nach einem der vorhergehenden Ansprüche, wobei der Profildatensatz (23) der AUP kryptographisch verschlüsselt ist und die Steuerschaltung (15) dazu eingerichtet ist, mittels einer von der kryptographischen Funktion (35) unabhängigen kryptographischen Entschlüsselungsroutine den Profildatensatz (23) innerhalb der Steuerschaltung (15) zu entschlüsseln.
  9. Verfahren zum Betreiben einer Steuerschaltung (15) für ein Kraftfahrzeug (14), wobei die Steuerschaltung (15) einen Anschluss für einen Transceiver (30) und eine Prozessorschaltung und ein Sicherheitsmodul (19, 37) aufweist, wobei die Prozessorschaltung dazu eingerichtet ist, ein Verfahren durchzuführen, bei welchem die Prozessorschaltung über den Transceiver (30) eine auf einen finanziellen Überweisungsvorgang bezogene Transaktionsanfrage (33) empfängt und/oder über den Transceiver (30) eine Transaktionsanfrage (33) initiiert, wobei die Prozessorschaltung die jeweilige Transaktionsanfrage (33) mittels einer kryptographischen Funktion (35) und mittels kryptographischer Authentifizierungsdaten (25) bestätigt, wobei die Authentifizierungsdaten (25) in einem wiederbeschreibbaren Datenspeicher (38) eines von einer Prozessorschaltung der Steuerschaltung (15) unabhängigen, die kryptographische Funktion (35) aufweisenden Sicherheitsmoduls (19, 37) (SPE) gespeichert gehalten werden und die Prozessorschaltung über den Transceiver (30) und/oder über eine von dem Transceiver (30) unabhängige Kommunikationsschaltung einen benutzerspezifischen Profildatensatz (23), AUP, empfängt, wobei der Profildatensatz (23) einerseits Personalisierungsdaten (22) und/oder SIM-Profildaten (20) und andererseits neue Authentifizierungsdaten (25) enthält, und die neuen Authentifizierungsdaten (25) aus dem Profildatensatz (23) ausliest und vorbestimmte Steuerbefehlsdaten an das Sicherheitsmodul (19, 37) abgibt, durch welche das Sicherheitsmodul (19, 37) die ausgelesenen neuen Authentifizierungsdaten (25) in den Datenspeicher (38) schreibt.
  10. Stationärer Servercomputer (11) mit einer Prozessorschaltung, die dazu eingerichtet ist, aus einem Datenservercomputer (12) (11) eines Mobilfunknetzbetreibers SIM-Profildaten (20) eines Nutzers zu empfangen und über eine Nutzerschnittstelle des Servercomputers (11) Authentifizierungsdaten (25) für finanzielle Überweisungsvorgänge von dem Nutzer zu empfangen und die SIM-Profildaten (20) und die Authentifizierungsdaten (25) in einem benutzerspezifischen Profildatensatz (23), AUP, einer AID, Automotive Identity, zusammenzufassen und den Profildatensatz (23) an ein Kraftfahrzeug (14) nach einem der Ansprüche 1 bis 8 zu übermitteln.
  11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der benutzerspezifische Profildatensatz (23) Präferenzen eines Benutzers für Finanztransaktionen umfasst.
DE102022112802.4A 2022-05-20 2022-05-20 Kraftfahrzeug mit einem funkbasierten und/oder optischen Transceiver und mit einer Steuerschaltung für personalisierte Transaktionen sowie Steuerschaltung und Servercomputer Pending DE102022112802A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022112802.4A DE102022112802A1 (de) 2022-05-20 2022-05-20 Kraftfahrzeug mit einem funkbasierten und/oder optischen Transceiver und mit einer Steuerschaltung für personalisierte Transaktionen sowie Steuerschaltung und Servercomputer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022112802.4A DE102022112802A1 (de) 2022-05-20 2022-05-20 Kraftfahrzeug mit einem funkbasierten und/oder optischen Transceiver und mit einer Steuerschaltung für personalisierte Transaktionen sowie Steuerschaltung und Servercomputer

Publications (1)

Publication Number Publication Date
DE102022112802A1 true DE102022112802A1 (de) 2023-11-23

Family

ID=88599722

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022112802.4A Pending DE102022112802A1 (de) 2022-05-20 2022-05-20 Kraftfahrzeug mit einem funkbasierten und/oder optischen Transceiver und mit einer Steuerschaltung für personalisierte Transaktionen sowie Steuerschaltung und Servercomputer

Country Status (1)

Country Link
DE (1) DE102022112802A1 (de)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2819077A1 (de) 2013-06-28 2014-12-31 Nexperts GmbH Verfahren zum Freischalten mindestens eines Dienstes im E-Wallet
US20160086170A1 (en) 2008-08-29 2016-03-24 First Data Corporation Car wallet application
EP2533172B1 (de) 2011-06-06 2019-05-01 Kobil Systems GmbH Gesicherter Zugriff auf Daten in einem Gerät
US20190362344A1 (en) 2018-05-24 2019-11-28 Capital One Services, Llc Secure element to protect transactions made by or within a vehicle
DE102020129811A1 (de) 2019-11-15 2021-05-20 Ford Global Technologies, Llc Verfahren und einrichtung zur erweiterten fahrzeugvorkonfiguration
US20210350353A1 (en) 2020-05-07 2021-11-11 Denso International America, Inc. System and a method for payments on an in-vehicle computer systems

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160086170A1 (en) 2008-08-29 2016-03-24 First Data Corporation Car wallet application
EP2533172B1 (de) 2011-06-06 2019-05-01 Kobil Systems GmbH Gesicherter Zugriff auf Daten in einem Gerät
EP2819077A1 (de) 2013-06-28 2014-12-31 Nexperts GmbH Verfahren zum Freischalten mindestens eines Dienstes im E-Wallet
US20190362344A1 (en) 2018-05-24 2019-11-28 Capital One Services, Llc Secure element to protect transactions made by or within a vehicle
DE102020129811A1 (de) 2019-11-15 2021-05-20 Ford Global Technologies, Llc Verfahren und einrichtung zur erweiterten fahrzeugvorkonfiguration
US20210350353A1 (en) 2020-05-07 2021-11-11 Denso International America, Inc. System and a method for payments on an in-vehicle computer systems

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Where can you find CARIAD in the new ID. Buzz? Cariad.technology, 9. März 2022. URL: https://cariad.technology/de/en/news/stories/id-buzz-launch-software.html [abgerufen am 1. Februar 2023]

Similar Documents

Publication Publication Date Title
US20200314103A1 (en) Mobile device enabled tiered data exchange via a vehicle
EP2864967B1 (de) Vorrichtung und verfahren zum steuern einer zugangsberechtigung und/oder fahrberechtigung für ein fahrzeug
DE102013225416A1 (de) Fernfunktions-Fob zum Ermöglichen einer Kommunikation zwischen einem Fahrzeug und einem Gerät sowie Verfahren für denselben
EP2692157B1 (de) Verfahren und vorrichtung zur aktualisierung einer datenträgerapplikation
CN105939515B (zh) 车载终端虚拟sim卡信息更新系统与方法
DE102011015710A1 (de) Verfahren zum Aktualisieren eines Datenträgers
DE102012221288A1 (de) Verfahren, Vorrichtung und Dienstleistungsmittel zur Authentifizierung eines Kunden für eine durch ein Dienstleistungsmittel zu erbringende Dienstleistung
EP2779722B1 (de) Verfahren zum Personalisieren eines Sicherheitsmuduls eines Tele-kommunikations-Endgerätes
EP2715684A1 (de) Elektronisches system zur raschen und sicheren abwicklung von transaktionen mit mobilen geräten
DE102012206770A1 (de) Verfahren zur Vorbereitung oder Durchführung eines Bezahlvorgangs, Fahrzeug und Bezahlsystem
EP2885907B1 (de) Verfahren zur installation von sicherheitsrelevanten anwendungen in einem sicherheitselement eines endgerät
DE102009049754B4 (de) Verfahren zum Durchführen einer finanziellen Transaktion, Transaktionseinheit und System zum Durchführen einer finanziellen Transaktion
DE102022112802A1 (de) Kraftfahrzeug mit einem funkbasierten und/oder optischen Transceiver und mit einer Steuerschaltung für personalisierte Transaktionen sowie Steuerschaltung und Servercomputer
EP3902707A1 (de) Konzept zum bereitstellen eines schlüsselsignals oder eines wegfahrsperrensignals für ein fahrzeug
CN110197537B (zh) 与etc高速收费兼容的电子标识收费系统
DE102018201672A1 (de) Verfahren und System zum Nachweis eines Ladevertrags eines Benutzers zum Freigeben eines Ladevorgangs zum Laden eines Elektrofahrzeugs an einer Ladeinfrastruktur
CN113225733B (zh) 用户识别模块、证书获取方法、装置和存储介质
DE102022104902A1 (de) Online-sicherheitsdienste auf der grundlage von in speichervorrichtungen implementierten sicherheitsmerkmalen
WO2023186348A1 (de) Verfahren zur verwaltung einer anwendung zur elektronischen identifizierung eines nutzers
DE102022104834A1 (de) Onboarding von cloud-diensten ohne vorherige anpassung der endgeräte
CN117935431A (zh) 车辆资源共享方法、装置、电子设备及存储介质
DE102021002193A1 (de) Zahlungslösung, insbesondere digitale Zahlungslösung
WO2024027870A1 (de) Verfahren und system zum durchführen einer aktion in bezug auf ein fortbewegungsmittel
DE102023107277A1 (de) Ladesteuerungsvorrichtung
WO2023117327A1 (de) Verfahren zur gesetzeskonformen nutzung von kryptowährungen in fahrzeugen und fahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication