EP1741019A1 - Authentisierung von steuergeräten in einem fahrzeug - Google Patents
Authentisierung von steuergeräten in einem fahrzeugInfo
- Publication number
- EP1741019A1 EP1741019A1 EP04730262A EP04730262A EP1741019A1 EP 1741019 A1 EP1741019 A1 EP 1741019A1 EP 04730262 A EP04730262 A EP 04730262A EP 04730262 A EP04730262 A EP 04730262A EP 1741019 A1 EP1741019 A1 EP 1741019A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- authentication
- authentication request
- vehicle
- signature
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000000034 method Methods 0.000 claims abstract description 44
- 230000015654 memory Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000000295 complement effect Effects 0.000 claims description 2
- 230000004913 activation Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/305—Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Definitions
- the invention relates in particular to a method for authenticating control devices in a bus system of a motor vehicle according to the preamble of claim 1.
- the authorization can be checked using cryptographic measures.
- the object of the present invention is in particular to specify a method which effectively prevents manipulation of a sequence control stored in a control unit at low costs.
- a first control device of a plurality of control devices of the motor vehicle transmits an authentication request to an authentication device via the bus system.
- the authentication request is preferably a random number or the like generated by the control device, which is only generated once.
- the authentication device is preferably a central control device which has access to a symmetrical, cryptographic key and can carry out a symmetrical cryptographic method.
- a symmetrical cryptographic method requires the resources, in particular the processor, the control unit or the authentication device, significantly less than an asymmetrical method, so that control units can be designed significantly more cost-effectively when using the invention.
- the authentication device signs the authentication request using a first symmetrical key and transmits the signed authentication request or only the signature to the first control device.
- the signature or the generation of the signature takes place by applying a hash algorithm to the authentication request or authentication data.
- the hash algorithm delivers a hash value that is characteristic of the specific authentication data.
- the hash value is encrypted with the first symmetrical key and the encrypted hash value is added to the authentication request or to the authentication data and transmitted together with the authentication request to the first control device.
- only the signature or the encrypted hash value can be transmitted to the first control device, because the authentication request was generated there and is therefore already present.
- the first control device compares the transmitted signature with a signature determined by the first control device using the symmetrical key for the authentication request.
- the signature can be determined by the first control device in that the same hash algorithm that has been applied by the authentication device to the authentication request to determine the signature is also applied by the first control device to the authentication request. Again there is a hash value. This hash value or the one based on of the hash value using the symmetrical key is compared with the transmitted signature or the hash value obtained from the transmitted signature again using the symmetrical key.
- the first control device and the authentication device are considered to be mutually authenticated, i.e. for the control device, the authentication device is considered to be genuine or authorized and vice versa. Accordingly, the first control device is preferably made ready for operation in the event of a positive comparison or agreement. As an alternative or in addition, the authentication device could be granted write and / or read access to an electronic memory of the first control device.
- one or more further control devices of the bus system carry out an authentication with the authentication device in the manner described. These measures can therefore be used to check whether there are unauthorized control units or an unauthorized authentication device in the bus system.
- the authentication of the control devices is compared to. the authentication device in order. This reduces the hardware resources required.
- the motor vehicle can only be put into operation when largely all control units of the bus system have carried out the authentication method with a positive comparison result. This ensures the operational safety of the bus system and the compatibility of the bus users. This measure also increases the theft protection of the motor vehicle equipped with the bus system of the invention if an immobilizer is integrated in the bus system or in the control units.
- the authentication method is carried out in each case before the driver is started. Stuff is made, preferably after opening the vehicle. This measure periodically checks operational safety, compatibility, etc.
- the authentication method according to the invention is largely carried out only for those control devices which must be available when the vehicle is started in order to have the vehicle ready for operation with a short lead time, if necessary.
- the authentication method according to the invention can then be carried out for the other control units after the vehicle has started, without impeding the startup of the motor vehicle.
- the symmetrical key varies from vehicle to vehicle and a control device of a first vehicle when performing the authentication method according to the invention for a first symmetrical key and the same control device of a second vehicle when performing the method on one accesses second symmetric key.
- the symmetrical key is preferably “housed” in the bus system in such a way that it can only be read by the authentication device and by the control units involved in the method, ie it remains secret and cannot be changed without authorization.
- the symmetrical key is symmetrical Keys are stored in the non-externally readable or changeable boot area of each control unit and in the corresponding area of the authentication device. Because the symmetrical key varies from vehicle to vehicle, spying out the symmetrical key of a specific vehicle is comparatively harmless. This would, of course, be completely different when spying out a symmetrical key from a vehicle that "fits" all vehicles of the same type.
- the method according to the invention runs in the opposite direction, i.e. that the authentication device transmits an authentication request to the first control device, the first control device signs the authentication request with the first symmetrical key and transmits the signed authentication request to the authentication device.
- the comparison is shifted from the control device to the authentication device. This goes hand in hand with a resource relief for each control device and a resource load with the authentication device.
- the multiple resource relief compared to a single resource load saves hardware costs.
- the authentication device carries out a further authentication check using an asymmetrical encryption method with a device external to the vehicle, in particular a public key method.
- the authentication device transmits an authentication request or authentication data to the device external to the vehicle.
- the device external to the vehicle applies a hash algorithm to the authentication request or the authentication data, as a result of which a hash value is obtained.
- the hash value is encrypted with a secret personal key and the encrypted hash value is added to the authentication request or to the authentication data, ie the authentication request is signed, and the signed authentication request or only the signature, ie the one with the secret Key encrypted hash value is transmitted to the authentication device.
- the AU- The authentication device also applies the hash algorithm to the authentication request, the result being a second hash value.
- the authentication device decrypts the encrypted hash value obtained from the device external to the vehicle with the public key which is complementary to the personal, secret key and compares the first with the second hash value. If the comparison is positive, ie if both hash values match, then the device external to the vehicle has the authentication device successfully authenticated in the vehicle. On this basis, the device external to the vehicle, under the control of the authentication device, can be granted write and / or read access to one or more memories of one or more control units.
- the vehicle-external device is enabled to provide the memory of one or more control units with a new sequence control or software and / or with an activation code.
- the new sequence control can in particular be a sequence control that the previous sequencer has been updated to remove software problems and / or provide additional functionality to the controller.
- the new sequence control can be an addition to the sequence control already stored in the control unit, which in particular provides additional functions of the control unit.
- the activation code can, in particular, be data which activates a sequence control or software kept ready to run in the control unit or elsewhere in the vehicle, in particular for a limited time. I.e. the sequence control or software already stored in the vehicle can only be executed after the activation code has been provided in the vehicle.
- the invention enables a bus system of a motor vehicle with control devices, in which an authentication device is provided in the bus system and an inventive method is carried out in the bus system. Furthermore, the invention enables a computer program product for the authentication of control devices in a bus system of a motor vehicle, which allows a method to run according to one or more of the preceding method claims.
Abstract
Die Erfindung betrifft insbesondere ein Verfahren zur Authentisierung von Steuergeräten in einem Bussystem eines Kraftfahrzeugs. Um eine Manipulation einer in einem Steuergerät gespeicherten Ablaufsteuerung bei geringen Kosten wirksam zu verhindern wird vorgeschlagen, dass ein erstes Steuergerät über das Bussystem eine Authentisierungsanfrage an eine Authentisierungsvorrichtung übermittelt, dass die Authentisierungsvorrichtung die Authentisierungsanfrage unter Verwendung eines ersten symmetrischen Schlüssels signiert und die signierte Authentisierungsanfrage oder lediglich die Signatur an das erste Steuergerät übermittelt, dass das erste Steuergerät die übermittelte Signatur der Authentisierungsanfrage mit einer vom ersten Steuergerät, unter Anwendung des symmetrischen Schlüssels auf die Authentisierungsanfrage ermittelten Signatur vergleicht, und/oder dass das erste Steuergerät die übermittelte Signatur der Authentisierungsanfrage unter Verwendung des ersten symmetrischen Schlüssels entschlüsselt und ein erster Hash-Wert erhalten wird, und dass das erste Steuergerät einen Hash-Algorithmus auf die Authentisierungsanfrage anwendet, wodurch ein zweiter Hash-Wert erhalten wird, und dass das erste Steuergerät bei positivem Vergleich bzw. Obereinstimmung der Signaturen und/oder der Hash-Werte betriebsbereit gemacht wird.
Description
Authentisierung von Steuergeräten in einem Fahrzeug
Die Erfindung betrifft insbesondere ein Verfahren zur Authentisierung von Steuerge- r ten in einem Bussystem eines Kraftfahrzeugs nach dem Oberbegriff des Anspruchs 1.
Zur Verhinderung von Manipulationen an der in den Steuergeräten gespeicherten Ablaufsteuerung bzw. der entsprechenden Software, die von einem oder mehreren in den Steuergeräten vorgesehenen Prozessoren ausgeführt wird, ist es wichtig, die Berechtigung des Zugriffs auf die Steuergeräte zu überwachen. Die Berechtigung kann durch kryptografische Maßnahmen überprüft werden.
Nachteilig ist, dass die Durchführung entsprechender kryptografischer Maßnahmen den oder die Prozessoren des Steuergeräts und weitere Hardware-Komponenten des Steuergeräts belastet bzw. leistungsfähigere und damit teurere Steuergeräte bedingt. Dies schlägt insbesondere bei einem millionenfach eingesetzten Produkt, wie bei dem Steuergerät eines Kraftfahrzeugs, zu Buche.
Aufgabe der vorliegenden Erfindung ist es insbesondere, ein Verfahren anzugeben, das eine Manipulation einer in einem Steuergerät gespeicherten Ablaufsteuerung bei geringen Kosten wirksam verhindert.
Diese Aufgabe wird durch die im Anspruch 1 angegebenen Maßnahmen verfah- rensmäßig und durch den unabhängigen System-Anspruch vorrichtungsmäßig gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Patentansprüche.
Ein wesentlicher Aspekt des erfindungsgemäßen Verfahrens zur Authentisierung von Steuergeräten bzw. zur Prüfung, ob es sich um berechtigte Steuergeräte im Bussystem handelt, besteht in der Durchführung der folgenden Maßnahmen. In einem ersten Schritt übermittelt ein erstes Steuergerät einer Vielzahl von Steuergeräten des Kraftfahrzeugs über das Bussystem eine Authentisierungsanfrage an eine Authentisierungsvorrichtung.
Bei der Authentisierungsanfrage handelt es sich bevorzugt um eine von dem Steuergerät generierte Zufallszahl oder dgl., die lediglich einmalig erzeugt wird. Bei der Authentisierungsvorrichtung handelt es sich bevorzugt um ein zentrales Steuerge- rät, das Zugriff auf einen symmetrischen, kryptografischen Schlüssel hat und ein symmetrisches kryptografisches Verfahren ausführen kann.
Die Ausführung eines symmetrischen kryptografischen Verfahrens beansprucht die Ressourcen, insbesondere den Prozessor, des Steuergeräts bzw. der Authentisie- rungsvorrichtung deutlich weniger als ein asymmetrisches Verfahren, so dass Steuergeräte bei der Verwendung der Erfindung deutlich kostengünstiger gestaltet werden können.
Die Authentisierungsvorrichtung signiert die Authentisierungsanfrage unter Verwen- düng eines ersten symmetrischen Schlüssels und übermittelt die signierte Authentisierungsanfrage oder lediglich die Signatur an das erste Steuergerät. Das Signieren bzw. die Erzeugung der Signatur geschieht, indem ein Hash-Algorithmus auf die Authentisierungsanfrage bzw. Authentisierungsdaten angewandt wird. Der Hash- Algorithmus liefert einen Hash-Wert, der charakteristisch für die konkreten Authenti- sierungsdaten ist. Der Hash-Wert wird mit dem ersten symmetrischen Schlüssel verschlüsselt und der verschlüsselte Hash-Wert an die Authentisierungsanfrage bzw. an die Authentisierungsdaten angefügt und zusammen mit der Authentisierungsanfrage an das erste Steuergerät übermittelt. Alternativ kann auch lediglich die Signatur bzw. der verschlüsselte Hash-Wert an das erste Steuergerät übermittelt werden, weil dort ja die Authentisierungsanfrage erzeugt worden und damit bereits vorhanden ist.
Das erste Steuergerät vergleicht die übermittelte Signatur mit einer vom ersten Steuergerät unter Anwendung des symmetrischen Schlüssels auf die Authentisie- rungsanfrage ermittelten Signatur. Die Signatur kann vom ersten Steuergerät ermittelt werden, indem derselbe Hash-Algorithmus, der von der Authentisierungsvorrichtung auf die Authentisierungsanfrage zur Ermittlung der Signatur angewandt worden ist, auch von dem ersten Steuergerät auf die Authentisierungsanfrage angewandt wird. Wiederum ergibt sich ein Hash-Wert. Dieser Hash-Wert oder die auf der Basis
des Hash-Werts unter Verwendung des symmetrischen Schlüssels gebildete Signatur wird mit der übermittelten Signatur oder dem aus der übermittelten Signatur wiederum unter Verwendung des symmetrischen Schlüssels erhaltenen Hash-Werts verglichen.
Bei positivem Vergleich bzw. bei einer Übereinstimmung gelten das erste Steuergerät und die Authentisierungsvorrichtung als wechselseitig authentisiert, d.h. für das Steuergerät gilt die Authentisierungsvorrichtung als echt bzw. berechtigt und umgekehrt. Entsprechend wird das erste Steuergerät bei positivem Vergleich bzw. Über- einstimmung vorzugsweise betriebsbereit gemacht. Alternativ oder ergänzend könnte der Authentisierungsvorrichtung ein Schreib- und/oder Lesezugriff auf einen elektronischen Speicher des ersten Steuergeräts eingeräumt werden.
Bei einem bevorzugten Ausführungsbeispiel der Erfindung ist vorgesehen, dass ein oder mehrere weitere Steuergeräte des Bussystems in der beschriebenen Weise eine Authentisierung mit der Authentisierungsvorrichtung durchführen. Durch diese Maßnahmen kann also überprüft werden, ob sich unberechtigte Steuergeräte oder eine unberechtigte Authentisierungsvorrichtung im Bussystem befinden.
Bei einem weiteren Ausführungsbeispiel der Erfindung wird die Authentisierung der Steuergeräte ggü. der Authentisierungsvorrichtung der Reihe nach durchgeführt. Dies verringert die erforderlichen Hardware-Ressourcen.
Bei einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass das Kraftfahr- zeug erst dann in Betrieb genommen werden kann, wenn weitgehend sämtliche Steuergeräte des Bussystems das Verfahren zur Authentisierung mit positivem Vergleichsergebnis durchgeführt haben. Hierdurch kann die Betriebssicherheit des Bussystems bzw. die Kompatibilität der Busteilnehmer gewährleistet werden. Ebenso erhöht diese Maßnahme den Diebstahlschutz des mit dem Bussystem der Erfin- düng ausgestatteten Kraftfahrzeugs, wenn eine Wegfahrsperre in dem Bussystem bzw. in den Steuergeräten integriert ist.
Bei einem anderen Ausführungsbeispiel der Erfindung ist vorgesehen, dass die Durchführung des Authentisierungsverfahrens jeweils vor dem Anlassen des Fahr-
zeugs vorgenommen wird, vorzugsweise nach dem Öffnen des Fahrzeugs. Durch diese Maßnahme wird die Betriebssicherheit, Kompatibilität etc. periodisch überprüft.
Bei einem Ausführungsbeispiel der Erfindung wird vor dem Anlassen des Fahrzeugs das erfindungsgemäße Authentisierungsverfahren weitgehend lediglich für diejenigen Steuergeräte durchgeführt, die beim Anlassen des Fahrzeugs zur Verfügung stehen müssen, um das Fahrzeug bei kurzer Vorlaufzeit - falls erforderlich - betriebsbereit zu haben. Das erfindungsgemäße Authentisierungsverfahren kann dann für die anderen Steuergeräte nach dem Startvorgang des Fahrzeugs, ohne Behinderung der Inbetriebnahme des Kraftfahrzeugs, durchgeführt werden.
Bei einem weiteren Ausführungsbeispiel der Erfindung ist vorgesehen, dass weitgehend sämtliche Steuergeräte denselben symmetrischen Schlüssel bei der Durchfüh- rung des Authentisierungsverfahrens verwenden. Diese Maßnahme macht die Schlüsselverwaltung einfach und hat zudem den Vorteil, dass die Steuergeräte des betreffenden Fahrzeugs hierdurch einander zugeordnet sind.
Bei einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass der symmetri- sehe Schlüssel von Fahrzeug zu Fahrzeug variiert und ein Steuergerät eines ersten Fahrzeugs bei der Durchführung des erfindungsgemäßen Authentisierungsverfahrens auf einen ersten symmetrischen Schlüssel und das gleiche Steuergerät eines zweiten Fahrzeugs bei der Durchführung des Verfahrens auf einen zweiten symmetrischen Schlüssel zugreift.
Der symmetrische Schlüssel ist bevorzugt derart in dem Bussystem „untergebracht", dass er lediglich von der Authentisierungsvorrichtung und von den am Verfahren beteiligten Steuergeräten gelesen werden kann, d.h. geheim bleibt und nicht unberechtigt verändert werden kann. Bei einer Ausgestaltung der Erfindung ist der sym- metrische Schlüssel jeweils im nicht extern auslesbaren oder veränderbaren Boot- Bereich jeden Steuergeräts und im entsprechenden Bereich der Authentisierungsvorrichtung gespeichert.
Dadurch, dass der symmetrische Schlüssel von Fahrzeug zu Fahrzeug variiert, ist das Ausspähen des symmetrischen Schlüssels eines konkreten Fahrzeugs vergleichsweise unschädlich. Dies wäre beim Ausspähen eines symmetrischen Schlüssels aus einem Fahrzeug, der auf sämtliche Fahrzeuge desselben Typs „passt" selbstverständlich völlig anders.
Bei einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass das erfindungsgemäße Verfahren in umgekehrter Richtung abläuft, d.h. dass die Authentisierungsvorrichtung eine Authentisierungsanfrage an das erste Steuergerät übermittelt, das erste Steuergerät die Authentisierungsanfrage mit dem ersten symmetrischen Schlüssel signiert und die signierte Authentisierungsanfrage an die Authentisierungsvorrichtung übermittelt.
Hierbei wird der Vergleich vom Steuergerät auf die Authentisierungsvorrichtung ver- lagert. Dies geht mit einer Ressourcen-Entlastung jeden Steuergeräts und einer Ressourcen-Belastung der Authentisierungsvorrichtung einher. Die vielfache Ressourcen-Entlastung ggü. einer einzigen Ressourcen-Belastung führt zur Einsparung von Hardware-Kosten.
Bei einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass die Authentisierungsvorrichtung eine weitere Authentisierungsprüfung unter Durchführung eines asymmetrischen Verschlüsselungsverfahrens mit einer fahrzeugexternen Vorrichtung vornimmt, insbesondere ein Public-Key-Verfahren.
Bei einem Ausführungsbeispiel der Erfindung ist vorgesehen, dass die Authentisierungsvorrichtung eine Authentisierungsanfrage bzw. Authentisierungsdaten an die fahrzeugexterne Vorrichtung übermittelt. Die fahrzeugexterne Vorrichtung wendet auf die Authentisierungsanfrage bzw. die Authentisierungsdaten einen Hash- Algorithmus an, wodurch ein Hash-Wert erhalten wird. Der Hash-Wert wird mit ei- nem geheimen persönlichen Schlüssel verschlüsselt und der verschlüsselte Hash- Wert wird an die Authentisierungsanfrage bzw. an die Authentisierungsdaten angefügt, d. h. die Authentisierungsanfrage wird signiert, und die signierte Authentisierungsanfrage oder lediglich die Signatur, d. h. der mit dem geheimen Schlüssel verschlüsselte Hash-Wert, wird an die Authentisierungsvorrichtung übermittelt. Die Au-
thentisierungsvorrichtung wendet ebenfalls den Hash-Algorithmus auf die Authentisierungsanfrage an, das Ergebnis ist ein zweiter Hash-Wert. Ferner entschlüsselt die Authentisierungsvorrichtung den von der fahrzeugexternen Vorrichtung erhaltenen verschlüsselten Hash-Wert mit dem zum persönlichen, geheimen Schlüssel komplementären öffentlichen Schlüssel und vergleicht den ersten mit dem zweiten Hash-Wert. Ist der Vergleich positiv, d.h. stimmen beide Hash-Werte überein, so hat sich die fahrzeugexterne Vorrichtung ggü. der Authentisierungsvorrichtung im Fahrzeug erfolgreich authentisiert. Auf dieser Basis kann der fahrzeugexternen Vorrich- ' tung unter der Kontrolle der Authentisierungsvorrichtung ein Schreib- und/oder Le- se-Zugriff auf einen oder mehrere Speicher einer oder mehrerer Steuergeräte eingeräumt werden.
Bei einer bevorzugten Ausführungsform der Erfindung, wird der fahrzeugexternen Vorrichtung ermöglicht, den Speicher eines oder mehrerer Steuergeräte mit einer neuen Ablaufsteuerung bzw. Software und/oder mit einem Freischaltcode zu versehen. Bei der neuen Ablaufsteuerung kann es sich insbesondere um eine Ablaufsteuerung handeln, die ggü. der früheren Ablaufsteuerung aktualisiert worden ist, die Software-Probleme beseitigt, und/oder zusätzliche Funktionen des Steuergeräts bereitstellt. Bei der neuen Ablaufsteuerung kann es sich um eine Ergänzung zur bereits im Steuergerät gespeicherten Ablaufsteuerung handeln, die insbesondere zusätzliche Funktionen des Steuergeräts bereitstellt.
Bei dem Freischaltcode kann es sich insbesondere um Daten handeln, der eine in dem Steuergerät oder an anderer Stelle im Fahrzeug ablaufbereit gehaltene Ab- laufsteuerung bzw. Software, insbesondere zeitlich befristet, freischaltet. D. h. die bereits im Fahrzeug gespeicherte Ablaufsteuerung bzw. Software kann erst nach der Bereitstellung des Freischaltcodes im Fahrzeug ausgeführt werden.
Die Erfindung ermöglicht ein Bussystem eines Kraftfahrzeugs mit Steuergeräten, bei dem in dem Bussystem eine Authentisierungsvorrichtung vorgesehen ist und in dem Bussystem ein erfindungsgemäßes Verfahren ausgeführt wird. Ferner ermöglicht die Erfindung ein Computer-Programm-Produkt zur Authentisierung von Steuergeräten in einem Bussystem eines Kraftfahrzeugs, das ein Verfahren nach einem oder mehreren der vorstehenden Verfahrensansprüche ablaufen lässt.
Claims
1. Verfahren zur Authentisierung von Steuergeräten in einem Bussystem eines Kraftfahrzeugs, dadurch gekennzeichnet, dass ein erstes Steuergerät über das Bussystem eine Authentisierungsanfrage an eine Authentisierungsvorrichtung übermittelt, die Authentisierungsvorrichtung die Authentisierungsanfrage unter Verwendung eines ersten symmetrischen Schlüssels signiert und die signierte Authentisierungsanfrage oder lediglich die Signatur an das erste Steuergerät übermittelt, das erste Steuergerät die übermittelte Signatur der Authentisierungsanfrage mit einer vom ersten Steuergerät unter Anwendung des symmetrischen Schlüssels auf die Authentisierungsanfrage ermittelten Signatur vergleicht, und/oder - das erste Steuergerät die übermittelte Signatur der Authentisierungsanfrage unter Verwendung des ersten symmetrischen Schlüssels entschlüsselt und ein erster Hash-Wert erhalten wird, und das erste Steuergerät einen Hash-Algorithmus auf die Authentisierungsanfrage anwendet, wodurch ein zweiter Hash-Wert erhalten wird, und - das erste Steuergerät bei positivem Vergleich bzw. Übereinstimmung der Signaturen und/oder der Hash-Werte betriebsbereit gemacht wird.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass ein oder mehrere weitere Steuergeräte des Bussystems das Verfahren zur Authentisierung nach Anspruch 1 durchführen.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass Kraftfahrzeug erst dann in Betrieb genommen werden kann, wenn weitgehend sämtli- ehe Steuergeräte des Bussystems das Verfahren zur Authentisierung nach Anspruch 1 mit positivem Vergleichsergebnis durchgeführt haben.
4. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Durchführung des Authentisierungsverfahren jeweils vor dem Anlassen des Fahrzeugs vorgenommen wird, vorzugsweise nach dem Öffnen des Fahrzeugs.
5. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass weitgehend sämtliche Steuergeräte denselben symmetrischen Schlüssel bei der Durchführung des Authentisierungsverfahrens nach Anspruch 1 ver- wenden.
6. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass der symmetrische Schlüssel von Fahrzeug zu Fahrzeug variiert und ein Steuergerät eines ersten Fahrzeugs bei der Durchführung des Verfahrens nach Anspruch 1 auf einen ersten symmetrischen Schlüssel und das gleiche Steuergerät eines zweiten Fahrzeugs bei der Durchführung des Verfahrens nach Anspruch 1 auf einen zweiten symmetrischen Schlüssel zugreift.
7. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass das Verfahren nach Anspruch 1 in umgekehrter Richtung abläuft, d. h. dass die Authentisierungsvorrichtung eine Authentisierungsanfrage an das erste Steuergerät übermittelt, das erste Steuergerät die Authentisierungsanfrage mit dem ersten symmetrischen Schlüssel signiert und die signierte Authentisierungsanfrage an die Authentisierungsvorrichtung übermittelt.
8. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Authentisierungsvorrichtung eine weitere Authentisierungsprüfung unter Durchführung eines asymmetrischen Verschlüsselungsverfahrens mit einer fahrzeugexternen Vorrichtung vornimmt, insbesondere ein Public-Key- Verfahren.
9. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Authentisierungsvorrichtung eine Authentisierungsanfrage an die fahrzeugexterne Vorrichtung übermittelt, die fahrzeugexterne Vorrichtung die Authentisierungsanfrage mit einem geheimen Schlüssel eines asymmetrischen Schlüssel-Paars, insbesondere ein Public-Key-Schlüssel-Paar, signiert und die signierte Authentisierungsanfrage oder lediglich die Signatur an die Authentisierungsvorrichtung übermittelt, die Authentisierungsvorrichtung die Authentisierungsanfrage unter Verwendung desselben Algorithmus wie die fahrzeugexterne Vorrichtung eine Signatur der Authentisierungsanfrage ermittelt, die von der fahrzeugexternen Vorrichtung übermittelte Signatur unter Verwendung des zum geheimen Schlüssel komplementären öffentlichen Schlüssels entschlüsselt und die ermittelte mit der übermittelten Signatur ver- gleicht.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass bei positivem Vergleich die fahrzeugexterne Vorrichtung durch die Authentisierungsvorrichtung Schreib- und/oder Lese-Zugriff auf einen Speicher des ersten Steuerge- räts erhält.
11. Bussystem eines Kraftfahrzeugs mit Steuergeräten, dadurch gekennzeichnet, dass in dem Bussystem eine Authentisierungsvorrichtung vorgesehen ist und in dem Bussystem ein Verfahren nach einem der vorstehenden Verfahrensan- sprüche ausgeführt wird.
12. Computer-Programm-Produkt zur Authentisierung von Steuergeräten in einem Bussystem eines Kraftfahrzeugs, dadurch gekennzeichnet, dass das Computer-Programm-Produkt ein Verfahren nach einem oder mehreren der vorste- henden Verfahrensansprüche ablaufen lässt.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2004/004666 WO2005116834A1 (de) | 2004-04-29 | 2004-04-29 | Authentisierung von steuergeräten in einem fahrzeug |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP1741019A1 true EP1741019A1 (de) | 2007-01-10 |
Family
ID=34957499
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP04730262A Ceased EP1741019A1 (de) | 2004-04-29 | 2004-04-29 | Authentisierung von steuergeräten in einem fahrzeug |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20070118752A1 (de) |
| EP (1) | EP1741019A1 (de) |
| JP (1) | JP4469892B2 (de) |
| CN (1) | CN100492248C (de) |
| WO (1) | WO2005116834A1 (de) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2898564B1 (fr) * | 2006-03-14 | 2009-01-23 | Peugeot Citroen Automobiles Sa | Procede de configuration d'une unite de traitement d'informations configurable embarquee dans un vehicule automobile. |
| DE102007052993A1 (de) * | 2007-11-05 | 2009-05-07 | Volkswagen Ag | Kommunikationsknoten und Verfahren zur Kommunikation zwischen mindestens zwei Kommunikationsknoten in einem Car2X-Kommunikationsnetzwerk |
| CN101559745B (zh) * | 2009-05-15 | 2011-03-02 | 华南理工大学 | 一种防盗抢的车辆控制系统及其实现方法 |
| US11042816B2 (en) * | 2009-10-30 | 2021-06-22 | Getaround, Inc. | Vehicle access control services and platform |
| JP5310761B2 (ja) | 2011-03-04 | 2013-10-09 | トヨタ自動車株式会社 | 車両ネットワークシステム |
| DE102011014688B3 (de) | 2011-03-22 | 2012-03-22 | Audi Ag | Kraftwagen-Steuergerät mit kryptographischer Einrichtung |
| US8756430B2 (en) * | 2011-04-14 | 2014-06-17 | GM Global Technology Operations LLC | Exploiting application characteristics for multiple-authenticator broadcast authentication schemes |
| DE102013101508A1 (de) | 2012-02-20 | 2013-08-22 | Denso Corporation | Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug |
| JP5900007B2 (ja) * | 2012-02-20 | 2016-04-06 | 株式会社デンソー | 車両用データ通信認証システム及び車両用ゲートウェイ装置 |
| EP3825886A1 (de) | 2012-03-29 | 2021-05-26 | Arilou Information Security Technologies Ltd. | Schutz eines elektronischen fahrzeugsystems |
| DE102014101917A1 (de) * | 2013-02-14 | 2014-08-14 | DGE Inc. | CAN-basierte Wegfahrsperre |
| US9061645B2 (en) * | 2013-02-15 | 2015-06-23 | Clever Devices, Ltd | Methods and apparatus for transmission control of a transit vehicle |
| US9450757B2 (en) * | 2014-05-07 | 2016-09-20 | Oxcept Limited | Method and device for communication security |
| DE102015225787A1 (de) | 2015-12-17 | 2017-06-22 | Volkswagen Aktiengesellschaft | Verfahren und Vorrichtung zur Empfängerauthentifikation in einem Fahrzeugnetzwerk |
| DE102016212230A1 (de) * | 2016-07-05 | 2018-01-11 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zur sicheren Authentifizierung von Steuervorrichtungen in einem Kraftfahrzeug |
| US10664413B2 (en) * | 2017-01-27 | 2020-05-26 | Lear Corporation | Hardware security for an electronic control unit |
| JP6884600B2 (ja) * | 2017-03-02 | 2021-06-09 | 任天堂株式会社 | 無線通信システム、通信方法、情報処理装置、および、情報処理プログラム |
| DE102017212344A1 (de) * | 2017-07-19 | 2019-01-24 | Audi Ag | Infotainmentsystem für ein Kraftfahrzeug |
| US10218499B1 (en) | 2017-10-03 | 2019-02-26 | Lear Corporation | System and method for secure communications between controllers in a vehicle network |
| US10812257B2 (en) | 2017-11-13 | 2020-10-20 | Volkswagen Ag | Systems and methods for a cryptographically guaranteed vehicle identity |
| RU2716871C1 (ru) * | 2019-03-19 | 2020-03-17 | Дмитрий Михайлович Михайлов | Система и способ защиты электронных систем управления транспортных средств от несанкционированного вторжения |
| US20230072454A1 (en) * | 2021-08-24 | 2023-03-09 | Robert Bosch Gmbh | System and method for generating random numbers within a vehicle controller |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4411450C1 (de) * | 1994-04-01 | 1995-03-30 | Daimler Benz Ag | Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung |
| DE19652256A1 (de) * | 1996-12-16 | 1998-06-18 | Bosch Gmbh Robert | Verfahren zur Sicherung der Datenübertragung |
| US6032257A (en) * | 1997-08-29 | 2000-02-29 | Compaq Computer Corporation | Hardware theft-protection architecture |
| DE19839354A1 (de) * | 1998-08-28 | 2000-03-02 | Daimler Chrysler Ag | Fahrzeugkommunikationssystem |
| DE19909140A1 (de) * | 1999-03-03 | 2000-09-21 | Daimler Chrysler Ag | Elektronische Entfernungsbestimmungsvorrichtung und damit ausgerüstete elektronische Sicherungsanlage |
| US20020059532A1 (en) * | 2000-11-16 | 2002-05-16 | Teruaki Ata | Device and method for authentication |
| DE10102642B4 (de) * | 2001-01-20 | 2015-06-18 | Bayerische Motoren Werke Aktiengesellschaft | Vorrichtung, Systemeinrichtung und Verwendung der Vorrichtung oder Systemeinrichtung zum Prüfen eines Steuergerätes für ein Fahrzeug |
| DE10112699C2 (de) * | 2001-03-16 | 2003-06-18 | Daimler Chrysler Ag | Autorisierungsverfahren für die Kommunikation mit einem Datenbus |
| US7000115B2 (en) * | 2001-06-19 | 2006-02-14 | International Business Machines Corporation | Method and apparatus for uniquely and authoritatively identifying tangible objects |
| DE10141737C1 (de) * | 2001-08-25 | 2003-04-03 | Daimler Chrysler Ag | Verfahren zur sicheren Datenübertragung innerhalb eines Verkehrsmittels |
| DE10148323A1 (de) * | 2001-09-29 | 2003-04-10 | Daimler Chrysler Ag | Verfahren zum Funktionstest von Steuergeräten und Programmen |
| US7010682B2 (en) * | 2002-06-28 | 2006-03-07 | Motorola, Inc. | Method and system for vehicle authentication of a component |
| DE10238093B4 (de) * | 2002-08-21 | 2007-10-18 | Audi Ag | Fahrzeug-Steuergerät |
-
2004
- 2004-04-29 JP JP2007509884A patent/JP4469892B2/ja not_active Expired - Lifetime
- 2004-04-29 EP EP04730262A patent/EP1741019A1/de not_active Ceased
- 2004-04-29 WO PCT/EP2004/004666 patent/WO2005116834A1/de not_active Application Discontinuation
- 2004-04-29 CN CN200480042875.2A patent/CN100492248C/zh not_active Expired - Lifetime
-
2006
- 2006-10-27 US US11/588,235 patent/US20070118752A1/en not_active Abandoned
Non-Patent Citations (1)
| Title |
|---|
| See references of WO2005116834A1 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4469892B2 (ja) | 2010-06-02 |
| CN1942843A (zh) | 2007-04-04 |
| WO2005116834A1 (de) | 2005-12-08 |
| US20070118752A1 (en) | 2007-05-24 |
| CN100492248C (zh) | 2009-05-27 |
| JP2007534544A (ja) | 2007-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2005116834A1 (de) | Authentisierung von steuergeräten in einem fahrzeug | |
| DE10008973B4 (de) | Autorisierungsverfahren mit Zertifikat | |
| EP1128242B1 (de) | Signaturverfahren | |
| DE102012110499B9 (de) | Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte | |
| EP2689553B1 (de) | Kraftwagen-steuergerät mit kryptographischer einrichtung | |
| DE102007058975B4 (de) | Bordnetz eines Kraftfahrzeugs mit einem Master Security Modul | |
| DE102007004645A1 (de) | Tachograph | |
| EP1740418B1 (de) | Authentisierung einer fahrzeugexternen vorrichtung | |
| EP1999521B1 (de) | Feldgerät | |
| DE102012224194B4 (de) | Steuersystem für ein Kraftfahrzeug | |
| DE102010002472A1 (de) | Verfahren zum Verifizieren eines Speicherblocks eines nicht-flüchtigen Speichers | |
| EP2080144B1 (de) | Verfahren zum freischalten einer chipkarte | |
| EP1652337B1 (de) | Verfahren zum signieren einer datenmenge in einem public-key-system sowie ein datenverarbeitungssystem zur durchführung des verfahrens | |
| DE102008008969B4 (de) | Bordnetz-System eines Kraftfahrzeugs mit einer Authentifizierungs-Vorrichtung | |
| EP2491513B1 (de) | Verfahren und system zum bereitstellen von edrm-geschützten datenobjekten | |
| EP2562671A2 (de) | Verfahren zur Durchführung eines Schreibzugriffs, Computerprogrammprodukt, Computersystem und Chipkarte | |
| DE102020206039A1 (de) | Erstellen einer Container-Instanz | |
| WO2005003936A1 (de) | Verfahren zur authentifikation von insbesondere in ein steuergerät eines kraftfahrzeugs ladbaren softwarekomponenten | |
| EP1054364A2 (de) | Verfahren zur Erhöhung der Sicherheit bei digitalen Unterschriften | |
| DE102009053230A1 (de) | Verfahren zur Autorisierung eines externen Systems auf einem Steuergerät eines Fahrzeugs, insbesondere eines Kraftfahrzeugs | |
| EP2230648A1 (de) | Einmalkennwortmaske zum Ableiten eines Einmalkennworts | |
| EP3441898B1 (de) | Verfahren und vorrichtung zum schützen einer software gegen ein unbefugtes nutzen | |
| DE102020200102A1 (de) | Ver- und Entschlüsselung eines sicheren Speicherbereichs in einem Fahrzeug | |
| DE102007063995B3 (de) | Bordnetz eines Kraftfahrzeugs mit einem Master Security Modul | |
| AT524619A1 (de) | Computerimplementiertes Verfahren zum autorisierten Ausführen einer Software, System zur Datenverarbeitung, Computerprogrammprodukt und computerlesbares Speichermedium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| 17P | Request for examination filed |
Effective date: 20060929 |
|
| AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): DE ES FR GB IT SE |
|
| 17Q | First examination report despatched |
Effective date: 20070305 |
|
| DAX | Request for extension of the european patent (deleted) | ||
| RBV | Designated contracting states (corrected) |
Designated state(s): DE ES FR GB IT SE |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED |
|
| 18R | Application refused |
Effective date: 20101016 |