KR20170045127A

KR20170045127A - 차량의 제어부에 의해 인증하기 위한 방법

Info

Publication number: KR20170045127A
Application number: KR1020160133396A
Authority: KR
Inventors: 알렉산더 챠헤; 티모 빈켈포스
Original assignee: 폭스바겐 악티엔 게젤샤프트
Priority date: 2015-10-16
Filing date: 2016-10-14
Publication date: 2017-04-26
Also published as: EP3157190A1; CN107040379A; US10425398B2; US20170111353A1; KR101909341B1; DE102015220226A1; CN107040379B; EP3157190B1

Abstract

본 발명은 차량(10)의 제어부(12)에 의해 인증하기 위한 방법에 관한 것이다.
하기 단계들, 즉 적어도 하나의 공개 키(30)를 포함하는 서명된 제1 인증서(28) 및 그것에 관련된 개인 키(32)를 생성하는 단계; 서명된 제1 인증서(28) 및 그것에 관련된 개인 키(32)를 제어부(12)에 한 번 제공하는 단계; 제2 인증서를 생성하는 단계; 개인 키(32)와 제2 인증서(42)를 이용해서 제어부(12) 내의 다른 공기 키(36, 38)를 서명하는 단계 및; 서명된 제1 인증서(28)와 함께 서명된 다른 공개 키(36a, 38a)를 첨부 또는 제공하는 단계를 포함한다.
본 발명의 과제는 차량 내에서 인증을 단순화하는 것이다.

Description

차량의 제어부에 의해 인증하기 위한 방법{METHOD FOR CERTIFICATION BY A CONTROL DEVICE OF A VEHICLE}

본 발명은 차량의 제어부에 의해 인증하기 위한 방법, 제어부 및 차량에 관한 것이다.

외부 센터와 차량의 인증 보안 통신은 PKI(Public Key Infrastructure)에 접속 또는 공유 암호의 사전 교환을 필요로 한다. 후자의 교환은 차량의 용도에서 특히 통신 원격 지국이 사전에 공개되지 않은 경우에 이용할 수 없다. 또한 제품 수명 동안 몇 개의 상이한 키 또는 인증서가 필요한지 사전에 항상 예측할 수 없는데, 그 이유는 이러한 키와 인증서는 시간제한이 적용되어 유효해지지 않을 수 있기 때문이다.

공개된 모든 해결 방법에서 차량은 자체 생성된 인증서를 외부 센터로 하여금 서명하게 해야 한다. 이는 단순히 PKI 표준 과정이긴 하지만, 외부 센터에 대한 디지털 연결을 전제로 한다. 그러나 이러한 연결이 항상 제공된다고 가정할 수 없다. 또한 이러한 경우에 차량은 서명 센터에 대해 인증되어야 하고, 이는 다른 문제들을 야기한다.

DE 103 54 107 A1호는 소프트웨어 공급자에 의해 제공된 소프트웨어 패키지의 인증에 이용되는 차량에 대한 외부 트러스트 센터(Trustcenter)를 기술한다.

DE 10 2010 005 422 A1호는 수학적으로 제1 공개 키에 부합하는 제1 개인 키를 저장하도록 구성된 모바일 장치와 보안 연결을 형성하기 위한 방법에 관한 것이다.

US 2013/0 212 659 A1호는 차량의 보안 및 신뢰할 수 있는 통신 환경의 단순화에 관한 것이다.

본 발명의 과제는 차량 내에서 인증을 단순화하는 것이다.

상기 과제는 청구항 제1항에 따른 방법, 청구항 제8항에 따른 제어부 및 청구항 제9항에 따른 차량에 의해 해결된다.

차량의 제어부에 의해 인증하기 위한 본 발명에 따른 방법은 하기 단계들을 포함한다:

- 적어도 하나의 공개 키를 포함하고 차량의 개별적 특징을 포함하는 서명된 제1 인증서 및 그것에 관련된 개인 키를 생성하는 단계;

- 서명된 제1 인증서 및 그것에 관련된 개인 키를 제어부에 한 번 제공하는 단계;

- 제2 인증서를 생성하는 단계;

- 개인 키 및 제2 인증서를 이용해서 제어부 내의 다른 공개 키를 서명하는 단계;

- 서명된 제1 인증서와 함께 서명된 다른 공개 키를 제공하는 단계.

본 발명에 따른 방법은, 차량 또는 제어부가 인증서를 자체 생성할 수 있는 장점을 제공한다. 따라서 상기 인증서를 외부 인증 센터로 하여금 서명하게 하는 것은 더이상 불필요하다. 오히려 차량 또는 차량의 제어부는 고유의 차량 내부 인증 센터 또는 CA(Certificate Authority)이다. 이로써 외부 인증 센터와 차량의 통신은 필요 없고, 이는 온라인 접속을 불필요하게 하게 만든다. 또한 차량이 직접 임의의 다수의 인증서를 발행할 수 있고, 사전 서명된 인증서의 정해진 세트를 포함하지 않아도 된다. 한 번의 제공은 예를 들어 제어부 또는 차량의 제조 시 실행될 수 있다. 제공을 위한 다른 과정들은 더이상 불필요하다. 한 번의 제공은 또한 제어부에서 제1 인증서 또는 키의 생성, 외부 인증 센터에서 제1 인증서의 서명 및 제어부에 서명된 제1 인증서의 후속 제공을 포함한다. 서명 시 또는 서명 후에 제1 인증서 또는 공개 키는 다른 공개 키와 함께 제공되므로, 수신기에 서명된 다른 공개 키의 발송 시 수신기는 제1 인증서도 받고 따라서 인증 경로 전체를 역추적할 수 있다.

제어부에서 다른 공개 키 및 그것에 관련된 다른 개인 키가 생성될 수 있다. 따라서 제어부 자체가 새로운 키 쌍을 생성할 수 있고, 부합하는 공개 키를 서명할 수 있다. 2개의 다른 키는 전용 용도를 위해, 예를 들어 외부 서비스 공급자와 통신을 위해 이용될 수 있다.

서명된 제1 인증서가 차량의 개별적 특징을 포함하는 것이 고려된다. 이는 예를 들어 차량 식별 번호 VIN 또는 FIN일 수 있다. 이는 예를 들어 차량 제조사의 차량군 또는 차량 그룹에서 더 간단한 관리를 가능하게 한다.

다른 공개 키는 서명을 위해 차량의 다른 제어부로부터 제어부에 전송될 수 있다. 제어부는 외부로부터 예를 들어 다른 제어부에 의해 제공되는 공개 키도 서명할 수 있다. 이로써 제어부는 차량 내의 다른 제어부를 위해 인증 인스턴스로서 이용될 수 있다. 이는, 서명의 이러한 기능이 차량에서 한 번만 맵핑(mapping)되면 되는 장점을 제공한다.

2개의 제어부 사이의 전송 경로는 대칭 크립토그래픽 방법, 예를 들어 서명에 의해 보호될 수 있다. 이러한 대칭 암호화는 바람직하게 다른 공개 키와 서명된 다른 공개 키의 교환 전에 설정된다. 이는 상기 공개 키의 무결성, 즉 진본성이 항상 보장되는 장점을 제공한다.

서명된 다른 공개 키 및 그것에 관련된 다른 개인 키는 새로운 통신 파트너와 제어부의 보안 통신의 형성을 위해 사용될 수 있는 것이 제안될 수 있다. 서명된 다른 공개 키 및 그것에 관련된 다른 개인 키는 명백하게 상기 키들의 부합하는 용도를 위해 생성되어, 예를 들어 외부 서비스 공급자의 온라인 서비스와 통신을 위해 이용된다.

서명된 제1 인증서 및 그것에 관련된 개인 키는 외부 공용 키 인프라스트럭처에 의해 생성될 수 있다. 총괄-PKI(Public Key Infrastructure)에서 접속이 보장되고, 따라서 외부 통신 파트너가 차량의 인증서의 인증을 검증할 수 있으면, 바람직하다. 상기 접속은 영구적으로 지속되지 않아도 된다. 이러한 상위의 또는 총괄-PKI는 다단계일 수 있거나 분기될 수 있고, 그러나 이는 제안된 방법에 중요한 변화를 제공하지 않는다. 서명된 제1 인증서의 인증은 상위의 PKI에 의해, 예를 들어 도입된 다른 특징들에 의한 것과 다른 방식으로 이루어질 수도 있다. 이는 예를 들어, 차량 식별 번호가 아닌 명확한 식별 번호를 인증서에 삽입함으로써 이루어질 수 있다. 이러한 식별 번호는 제3 공급자에 대한 연결 형성 시 제조사 백엔드에 의해 증명된다. 이로써 예를 들어 제3자에 대한 익명성이 이루어질 수 있고, 즉 가명으로 식별 번호의 대체가 이루어질 수 있고, 따라서 차량의 식별이 불가능해지거나 매우 어려워질 수 있다. 통신 파트너는 상기 도입된 특징들을 실행 시간에 차량 제조사의 외부 백엔드에 의해 검증시킬 수 있다.

서명된 제1 인증서는 이름 및 인증서의 유효성의 시간 범위에 대한 표시를 포함할 수 있다. 이러한 확장된 정보는 PKI 내에서 관리를 용이하게 한다. 이름은 제조사의 이름, 차량의 명칭 및/또는 제어부의 명칭을 포함할 수 있다.

본 발명에 따른 제어부는 차량에서 사용을 위해 준비되고, 또한 전술한 방법을 실시하도록 준비된다. 전술한 바와 같은 장점 및 변형예들이 적용된다.

적어도 하나의 제어부를 포함하는 본 발명에 따른 차량은 전술한 바와 동일한 제어부를 포함한다. 전술한 바와 같은 장점 및 변형예들이 적용된다.

또한, 차량은 다른 제어부를 포함하며, 2개의 제어부는 통신 경로를 통해 서로 연결되고, 다른 제어부는, 서명을 위해 통신 경로를 통해 공개 키를 제어부에 전송하도록 준비되는 것이 고려될 수 있다. 제어부는 따라서 차량 내의 다른 제어부를 위해 인증 인스턴스로서 이용된다. 이는, 서명의 이러한 기능이 차량에서 한 번만 맵핑되면 되는 장점을 제공한다.

제어부 및 다른 제어부는, 2개의 제어부들 사이의 연결을 대칭 크립토그래픽 방법에 의해 보호하도록, 예를 들어 서명하도록 준비될 수 있다. 이는, 발송된 데이터, 특히 이러한 공개 키의 무결성, 즉 진본성이 항상 보장되는 장점을 제공한다.

본 발명의 다른 바람직한 실시예들은 종속 청구항들에 명시된 다른 특징들에 제시된다.

본 명세서에 명시된 본 발명의 다양한 실시예들은 달리 설명되지 않는 한, 바람직하게 서로 조합될 수 있다.

본 발명은 계속해서 실시예에서 관련 도면을 참고로 설명된다.

도 1은 서명 센터로서 이용되는 제어부를 포함하는 차량을 도시한 개략도.

도 1은 예를 들어 승용차, 화물차, 버스, 모터사이클 또는 철도 차량, 항공기 또는 선박과 같은 차량(10)을 도시한다. 차량(10)은 제1 제어부(12)와 제2 제어부(14)를 포함한다. 2개의 제어부(12, 14)는 각각 하나 이상의 특정 기능의 제어, 예를 들어 엔진 제어 또는 내비게이션 시스템의 제어에 이용된다. 각각의 제어부(12, 14)는 프로그램 또는 컴퓨팅 기능을 실시하기 위한 컴퓨팅 유닛을 포함한다. 하기에 설명되는 방법은 기본적으로 제어부와 다른 유닛, 예를 들어 마이크로프로세서에서도 실시될 수 있다. 다른 유닛들은 키 유도와 같은 계산, 인증서의 생성 또는 키의 서명을 실시할 수 있는 차량의 부품들일 수 있다. 명료함을 위해 도 1에 예를 들어 전압 공급과 같은 지원 기능만을 하는 부품들은 도시되지 않는다.

제1 제어부(12)는 제2 제어부(14)에 대한 통신 연결(18)을 위한 인터페이스(16)를 포함한다. 제2 제어부(14)는 제2 제어부(14)에 대한 통신 연결(18)을 위한 상응하는 인터페이스(20)를 포함한다. 통신 연결(18)은 2개의 제어부(12, 14) 사이의 점대점 연결 또는 예를 들어 CAN-버스와 같은 버스 시스템일 수 있다. 예를 들어 이더넷 연결 또는 무선 연결과 같은 다른 연결 가능성도 여기에 포함된다. 통신 연결(18)은 바람직하게 대칭 서명된다. 이를 위해 제어부(12, 14)의 제조 시 또는 차량의 제조 시 2개의 제어부(12, 14)에 암호(21)가 도입되고, 상기 암호는 통신 연결(18)을 통해 전송되는 데이터의 서명을 위한 참조로서 이용된다.

제1 제어부(12)는, 제1 제어부(12)에 차량 내부 인증 센터 또는 CA의 기능을 부여하는데 이용되는 데이터의 제공을 위한 다른 인터페이스(22)를 포함한다. 다른 인터페이스(22)는 인터페이스(16)에 포함될 수도 있으므로, 제1 제어부(12)는 하나의 인터페이스만을 포함한다.

인터페이스(22)에 의해 제1 제어부(12)는 적어도 차량(12)의 제조 중에 총괄-PKI(Public-Key-Infrastructure;24)에 연결된다. 이러한 연결(26)은 유선 또는 무선, 예를 들어 WLAN 또는 모바일 통신 네트워크일 수 있다. 또한 상기 연결은 도시된 바와 같이 직접적이 아니라 간접적으로, 예를 들어 다른 제어부를 통해 형성될 수도 있다.

총괄-PKI(24)에서 적어도 하나의 공개 키(30)를 포함하는 서명된 제1 인증서(28) 및 그것에 속하며 비대칭 암호화를 위한 개인 키(32)가 생성된다. 서명된 제1 인증서(28)는 선택적으로 예를 들어 차량 식별 번호(VIN 또는 FIN)와 같은 차량의 개별적 특징을 포함한다. 또한 서명된 제1 인증서(28)는 이름 및 인증서(28)의 유효성의 시간 범위에 관한 표시를 포함할 수 있다.

적어도 공개 키(30)를 포함하는 서명된 제1 인증서(28)와 그것에 관련된 개인 키(32)는 예를 들어 차량(10)의 제조 시 연결(26)을 통해 제1 제어부(12)에 한 번 제공된다. 서명된 제1 인증서(28)는 제1 제어부(12)에 다른 인증서를 서명하는 권한을 부여한다.

대안으로서 제1 제어부(12)는 적어도 하나의 공개 키(30)를 포함하는 제1 인증서 및 그것에 속하며 비대칭 암호화를 위한 개인 키(32)를 생성할 수 있다. 후속해서 제1 제어부(12)는 서명을 위해 제1 인증서(28)를 총괄-PKI(24)에 전송한다. 그리고 나서 상기 PKI는 서명된 제1 인증서(28)를 제어부(12)에 재전송한다.

서명된 제1 인증서(28) 또는 공개 키(30) 및 그것에 관련된 개인 키(32)로 제어부(12)는 하나의 다른 또는 다수의 임의의 다른 인증서 또는 공개 키(36) 및 이와 관련된 하나의 다른 개인 키(34)를 서명할 수 있다. 2개의 다른 키(34, 36)는 전용 용도를 위해, 예를 들어 외부 서비스 공급자와 통신을 위해 사용될 수 있다.

하나의 다른 또는 다수의 임의의 다른 인증서 또는 공개 키(38)는 통신 연결(18)을 통해 제2 제어부(14)로부터 제1 제어부(12)에 제공될 수 있다.

인증 과정(40) 또는 서명 과정 시 다른 공개 키(36)는 제1 제어부(12)에서 서명 키라고도 할 수 있는 개인 키(32) 및 제2 인증서(42)에 의해 서명되거나 인증된다. 제2 인증서(42)는 상기 과정 시 또는 사전에 미리 생성될 수 있다. 다시 말해서 서명은 공개 키에 의해 또는 공개 키를 포함하는 인증서에 의해 생성된다. 일반적으로 생성된 서명은 서명된 키 또는 서명된 인증서에 첨부되거나 별도로 전송된다. 또한 제1 인증서(28)는 서명된 다른 공개 키(36a)와 함께 제공된 후에 새로운 통신 파트너에 발송된다.

서명된 이러한 다른 공개 키(36a)로 외부와, 예를 들어 인터페이스(16) 또는 다른 인터페이스를 통해 외부 서비스 공급자와 통신이 이루어지면, 외부 서비스 공급자는 총괄-PKI(24)까지 서명 체인을 검증할 수 있다. 또한 제2 인증서(42)는 다른 공개 키(36a)를 포함하며, 개인 키(32)에 의해 서명되었다. 개인 키(32)에 관련된 인증서는 서명된 제1 인증서(28)이고, 공개 키(30)를 포함한다. 서명된 제1 인증서(28)는 총괄-PKI(24)에 의해 서명된다.

외부 서비스 공급자는 즉 총괄-PKI(24)의 공개 키를 받는다. 상기 공개 키로 상기 외부 서비스 공급자는 서명된 제1 인증서(28) 및 거기에 포함된 제어부(12)의 공개 키(30)를 검증한다. 그리고 나서 상기 공개 키로 외부 서비스 공급자는 서명된 다른 공개 키(36a)를 포함하는 제2 인증서(42)를 검증한다.

외부 서비스 공급자는 이로써 서명된 다른 키(36a)의 인증을 총괄-PKI(24)로 환원하였고, 그것을 신뢰하므로, 제어부(12)는 그것에 관련된 개인 키(34)를 서명된 다른 공개 키(36a)와 함께 인증된 통신을 위해 사용할 수 있다.

또한 제1 제어부(12)는 제2 제어부(14)를 위한 인증 센터 또는 인증 인스턴스로서 이용할 수 있다. 이를 위해 제1 제어부(12)는 전술한 바와 유사하게 인증 과정(40) 시 다른 인증서 또는 다른 공개 키(38)를 제2 인증서(42) 및 제1 인증서(28)를 포함하고 또는 함께 전송되어 받은 서명된 다른 공개 키(38a)에 대해 서명한다. 서명된 다른 공개 키(38a)는 통신 연결(18)을 통해 다시 제2 제어부(14)에 전송된다.

제2 제어부(14)는 서명된 다른 공개 키(38a) 및 제어부(14) 내에 위치하며, 마찬가지로 제1 제어부(12)에 의해 생성될 수 있었던 개인 키(44)로 비대칭 크립토그래픽 방법에 의한 보안 연결을 형성할 수 있다.

차량 또는 제어부는, 자체적으로 인증서를 생성할 수 있게 된다. 따라서 이러한 인증서를 외부 인증 센터로 하여금 서명하게 하는 것이 반드시 필수적인 것은 아니다. 오히려 차량 또는 차량의 제어부가 고유의 차량 내부 인증 센터 또는 CA(Certificate Authority)이다.

차량 또는 제어부는 따라서 다른 차량 또는 제어부를 위한 인증 센터 또는 CA로서 이용될 수 있다. 예를 들어 외부 기기, 예컨대 스마트폰의 인증서의 서명하기는 페어링(pairing)에 따라 가능할 것이고, 따라서 스마트폰은 추후에 그것으로 차량에 대해 인증될 수 있다. 또한, CA로서 작동하는 이러한 다수의 제어부가 차량 내에 제공되는 것이 고려될 수 있고, 이는 여기에서 달리 제안된 집중화(centralization)의 장점들의 제거를 의미하지만, 분산 시스템 및 요구사항들의 장점을 제공한다.

10 : 차량 12 : 제어부
14 : 제어부 16 : 인터페이스
18 : 통신 연결 20 : 인터페이스
21 : 암호 22 : 인터페이스
24 : 총괄-PKI 26 : 연결
28 : 서명된 제1 인증서 30 : 공개 키
32 : 개인 키 34 : 다른 개인 키
36 : 다른 공개 키 36a : 서명된 다른 공개 키
38 : 다른 공개 키 38a : 서명된 다른 공개 키
40 : 인증 과정 42 : 제2 인증서
44 : 개인 키

Claims

차량(10)의 제어부(12)에 의해 인증하기 위한 방법으로서,
- 적어도 하나의 공개 키(30)를 포함하고 차량의 개별적 특징을 포함하는 서명된 제1 인증서(28) 및 그것에 관련된 개인 키(32)를 생성하는 단계;
- 서명된 제1 인증서(28) 및 그것에 관련된 개인 키(32)를 상기 제어부(12)에 한 번 제공하는 단계;
- 제2 인증서를 생성하는 단계;
- 개인 키(32) 및 제2 인증서(42)를 이용해서 상기 제어부(12) 내의 다른 공개 키(36, 38)를 서명하는 단계 및;
- 서명된 제1 인증서(28)와 함께 서명된 다른 공개 키(36a, 38a)를 제공하는 단계
를 포함하는 방법.
제1항에 있어서, 상기 제어부(12)에서 다른 공개 키(36) 및 그것에 관련된 다른 개인 키(34)가 생성되는 것을 특징으로 하는 방법.
제1항 또는 제2항에 있어서, 다른 공개 키(38)는 서명을 위해 차량(10)의 다른 제어부(14)로부터 상기 제어부(12)에 전송되는 것을 특징으로 하는 방법.
제3항에 있어서, 2개의 제어부(12, 14) 사이의 전송 경로(18)는 대칭 크립토그래픽 방법에 의해 보호되는 것을 특징으로 하는 방법.
제1항 또는 제2항에 있어서, 서명된 다른 공개 키(36a, 38a) 및 그것에 관련된 다른 개인 키(34, 44)는 새로운 통신 파트너와 상기 제어부(12, 14)의 보안 통신의 형성을 위해 사용되는 것을 특징으로 하는 방법.
제1항 또는 제2항에 있어서, 서명된 제1 인증서(28) 및 그것에 관련된 개인 키(32)는 외부 PKI(24)에 의해 생성되는 것을 특징으로 하는 방법.
제1항 또는 제2항에 있어서, 상기 서명된 제1 인증서(28)는 이름 또는 상기 인증서(28)의 유효성의 시간 범위의 표시를 포함하는 것을 특징으로 하는 방법.
차량(10)에서 사용을 위해 준비된 제어부에 있어서,
상기 제어부(12)는 제1항 또는 제2항에 따른 방법을 실시하도록 준비되는 것을 특징으로 하는 제어부.
적어도 하나의 제어부(12, 14)를 포함하는 차량에 있어서,
차량(10)은 제8항에 따른 제어부(12)를 포함하는 것을 특징으로 하는 차량.
제9항에 있어서, 상기 차량(10)은 다른 제어부(14)를 포함하고, 2개의 제어부(12, 14)는 통신 경로(18)를 통해 서로 연결되며, 상기 다른 제어부(14)는, 서명을 위해 상기 통신 경로(18)를 통해 공개 키(38)를 상기 제어부(12)에 전송하도록 준비되는 것을 특징으로 하는 차량.
제10항에 있어서, 상기 제어부(12) 및 상기 다른 제어부(14)는, 상기 2개의 제어부(12, 14) 사이의 연결(18)을 대칭 크립토그래픽 방법에 의해 보호하도록 준비되는 것을 특징으로 하는 차량.