RU2506642C2 - Тахограф, бортовой блок для сбора за пользование дорогой (maut-on-board-unit), индикаторный прибор и система - Google Patents

Тахограф, бортовой блок для сбора за пользование дорогой (maut-on-board-unit), индикаторный прибор и система Download PDF

Info

Publication number
RU2506642C2
RU2506642C2 RU2010116696/08A RU2010116696A RU2506642C2 RU 2506642 C2 RU2506642 C2 RU 2506642C2 RU 2010116696/08 A RU2010116696/08 A RU 2010116696/08A RU 2010116696 A RU2010116696 A RU 2010116696A RU 2506642 C2 RU2506642 C2 RU 2506642C2
Authority
RU
Russia
Prior art keywords
data
unit
dat
cryptographic
tachograph
Prior art date
Application number
RU2010116696/08A
Other languages
English (en)
Other versions
RU2010116696A (ru
Inventor
Томас ГРИЛЛЬ
Эрвин ХЕСС
КОНТЕ Рафаэль ЛО
Герхард РОМБАХ
Original Assignee
Континенталь Аутомотиве Гмбх
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Континенталь Аутомотиве Гмбх filed Critical Континенталь Аутомотиве Гмбх
Publication of RU2010116696A publication Critical patent/RU2010116696A/ru
Application granted granted Critical
Publication of RU2506642C2 publication Critical patent/RU2506642C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40215Controller Area Network CAN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40234Local Interconnect Network LIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Traffic Control Systems (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

Изобретение относится к тахографу, в частности цифровому, бортовому блоку для сбора за пользование дорогой, индикаторному прибору и системе с ними, в частности, для автомобилей. Технический результат заключается в повышении надежности обмена данными. Система содержит тахограф (DTCO) и бортовой блок (OBU) для сбора за пользование дорогой (Maut-on-Board-Unit) в качестве абонентов связи, которые содержат интерфейс (DS) данных для обмена данными по шине (FDB) данных автомобиля, с которой соединены абоненты связи. Тахограф (DTCO) и бортовой блок (OBU) для сбора за пользование дорогой (Maut-on-Board-Unit) выполнены в качестве передатчиков данных для определения криптографического контрольного числа в зависимости от полезных данных, которые должны передаваться абоненту связи, и для передачи абоненту связи криптографического контрольного числа в дополнение к полезным данным. Бортовой блок (OBU) для сбора за пользование дорогой (Maut-on-Board-Unit) и тахограф (DTCO) в качестве соответствующего получателя данных выполнены для приема от абонента связи полезных данных и криптографического контрольного числа, относящегося к полезным данным, и для контроля полученных полезных данных на предмет искажений в зависимости от полученного криптографического контрольного числа. 4 н. и 21 з.п. ф-лы, 9 ил.

Description

2420-167218RU/018
Изобретение относится к тахографу, в частности к цифровому тахографу, бортовому блоку для сбора за пользование дорогой (Маut-on-Board-Unit), индикаторному прибору и системе с ними, в частности, для автомобилей.
Автомобили во все большей степени оснащаются электронными приборами управления для регистрации и обработки сигналов датчиков и/или для управления функциями автомобиля. Некоторые из этих приборов управления соединены друг с другом с помощью шины данных автомобиля, выполненной, например, в качестве контроллера участка сети («Controller Area Network»), или сокращенно: CAN. Приборы управления посылают по этой шине данных автомобиля сообщения, которые могут приниматься и обрабатываться другими приборами управления, подключенными к этой шине данных автомобиля. Грузовые автомобили оснащены тахографом и во все большей степени бортовым блоком для сбора за пользование дорогой (Maut-on-Board-Unit). В будущем оснащение тахографом и блоком для сбора за пользование дорогой (Maut-on-Board-Unit) могло бы быть предписано и легковым автомобилям.
Задачей изобретения является создание надежного тахографа. Кроме того, задачей изобретения является создание надежного и недорогого бортового блока для сбора за пользование дорогой (Maut-on-Board-Unit). Задачей изобретения является также создание надежного прибора управления. Кроме того, задача изобретения состоит в создании надежной и недорогой системы.
Задача решается с помощью признаков независимых пунктов формулы изобретения. Предпочтительные усовершенствованные варианты выполнения изобретения охарактеризованы в зависимых пунктах формулы изобретения.
Изобретение отличается системой, содержащей тахограф и бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) в качестве абонентов связи при обмене данными. Тахограф и бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) содержат соответствующие интерфейсы данных, выполненные в виде интерфейса шин данных автомобиля, так что обмен данными осуществляется по шине данных автомобиля, с которой соединены абоненты связи. Тахограф и/или бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) выполнены в качестве передатчиков данных для определения криптографического контрольного числа в зависимости от полезных данных, которые через интерфейс данных должны передаваться соответствующему абоненту связи, и для передачи соответствующему абоненту связи криптографического контрольного числа в дополнение к полезным данным. Бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) или тахограф выполнены в качестве соответствующего приемника данных для приема от соответствующего абонента связи полезных данных и криптографического контрольного числа, относящегося к полезным данным, и для контроля полученных полезных данных на предмет наличия искажений в зависимости от полученного криптографического контрольного числа.
Таким образом, предусмотрено, что или только тахограф выполнен как передатчик данных, а бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) как приемник данных, или только бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) выполнен как передатчик данных, а тахограф как приемник данных. В порядке альтернативы предусмотрено, чтобы тахограф и бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) были выполнены, соответственно, в качестве передатчика и приемника данных.
Шина данных автомобиля, в частности общая шина данных автомобиля, предусмотрена не только для обмена данными между тахографом и бортовым блоком для сбора за пользование дорогой (Maut-on-Board-Unit), но и для обмена данными между другими блоками прибора и автомобилем, т.е., например, приборами управления, именуемыми также как электронный контрольный блок («Electronic Control Unit»), или сокращенно: ECU. Шина данных автомобиля выполнена, например, в качестве контроллера участка сети («Controller Area Network»), или сокращенно: CAN, в качестве локальной сети внутренней связи («Local Interconnet Network»), или сокращенно: LIN, или в виде передачи систем, ориентированных на носители данных («Media Oriented Systems Transport»), или сокращенно: MOST. Благодаря этому может, например, использоваться и без того предусмотренная в автомобиле общая шина данных автомобиля для обмена данными между тахографом и бортовым блоком для сбора за пользование дорогой (Maut-on-Board-Unit). Это особенно просто и экономично, поскольку нет никакой необходимости в отдельном канале передачи данных. Однако может быть предусмотрена шина данных автомобиля, отдельная от общей шины автомобиля, с которой тахограф и бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) соединяются для обмена данными между собой.
Определение криптографического контрольного числа осуществляется в зависимости по меньшей мере от одного криптографического ключа. Контроль полученных полезных данных в зависимости от полученного криптографического контрольного числа осуществляется, предпочтительно, путем повторного определения криптографического контрольного числа в зависимости от полезных данных, полученных соответствующим приемником, и путем сравнения определенного таким образом криптографического контрольного числа с полученным криптографическим контрольным числом. Искажения устанавливаются весьма просто как расхождение контрольных чисел.
В результате наличия криптографического контрольного числа и контроля полученных полезных данных в зависимости от криптографического контрольного числа обмен данными может быть защищен от несанкционированных манипуляций. Благодаря тому, что искажения соответствующих передаваемых данных со стороны приема в зависимости от криптографического контрольного числа устанавливаются просто, то, если контроль не выявил никаких искажений, полученные данные являются достоверными.
В результате обмена данными, защищенного с помощью криптографического контрольного числа, могут, в частности, совместно использоваться данные датчиков и тем самым быть сэкономлены датчики, или может быть повышена надежность за счет избыточности. Таким образом, система, а также тахограф и бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) могут быть особенно надежными или экономичными.
В предпочтительном варианте выполнения полезные данные, передаваемые тахографом в бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) и получаемые от него, содержат данные скорости, и/или пробега, и/или километраж на данный момент, регистрируемые или определяемые тахографом или датчиками, соединенными с тахографом, и/или данные времени, и/или идентификационные данные водителя, и/или предприятия, и/или автомобиля.
Идентификационными данными являются, в частности, те данные, которые заданы тахографу для его эксплуатации, например, его изготовителем или в мастерской, или, например, известны ему на основании чип-карты. Чип-карта служит, например, удостоверением данного водителя или предприятия, использующих автомобиль, в котором установлен тахограф. Данные времени точно и надежно определяются, например, с помощью часов реального времени тахографа.
Преимуществом является то, что благодаря этому бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) при известных условиях не нуждается ни в каком собственном датчике для регистрации пробега, если он получает данные скорости и/или пробега, и/или текущий километраж, и/или времени от тахографа, а они благодаря защите с помощью криптографического контрольного числа являются достоверными. В частности, бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) не нуждается ни в каком инерциональном датчике, т.е., например, ни в каком гиродатчике. Кроме того, бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) может также обращаться к достоверным идентификационным данным тахографа таким образом, что он при известных условиях не нуждается даже в наличии каких бы то ни было устройств для регистрации идентификационных данных. Таким образом, бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) может быть выполнен особенно экономично.
Однако достоверные данные тахографа могут быть использованы также для повышения надежности, достоверности и/или точности, если данные, переданные тахографом, и данные, зарегистрированные или определенные самим блоком для сбора за пользование дорогой (Maut-on-Board-Unit), или данные, зарегистрированные или полученные от соединенных с ним датчиков, по существу являются избыточными.
В другом предпочтительном варианте выполнения передаваемые с блока для сбора за пользование дорогой (Maut-on-Board-Unit) тахографу и получаемые от него полезные данные содержат информацию о времени и/или информацию о положении блока определения местоположения. Блоком определения местоположения, в частности, является приемник для приема информации о положении и времени от спутниковой системы навигации, например от глобальной системы позиционирования («Global Positioning System»), или сокращенно: GPS.
В очередном предпочтительном варианте выполнения система содержит индикаторный прибор в качестве абонента связи при обмене данными. Кроме того, изобретение отличается соответствующим индикаторным прибором. Индикаторный прибор содержит интерфейс данных, выполненный в качестве интерфейса шины данных автомобиля, так что обмен данными осуществляется по шине данных автомобиля, с которой соединяется индикаторный прибор. Индикаторный прибор выполнен для приема от соответствующего абонента связи через интерфейс данных полезных данных и криптографического контрольного числа, относящегося к полезным данным, и для контроля полученных полезных данных на предмет наличия искажений в зависимости от полученного криптографического контрольного числа. Преимуществом является то, что данные, визуализируемые для индикаторного прибора, являются достоверными, т.е. могут быть переданы с защитой от несанкционированной манипуляции криптографическим контрольным числом. В частности, с такой защитой могут передаваться визуализируемые данные блока для сбора за пользование дорогой (Maut-on-Board-Unit) и/или тахографа. Благодаря этому при известных условиях можно отказаться от собственного блока индикации у соответствующего абонента, в частности, в тахографе и/или в блоке для сбора за пользование дорогой (Maut-on-Board-Unit). Таким образом, соответствующий абонент, в частности тахограф, и/или бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit), может быть выполнен особенно экономично.
В этой связи предпочтительно, чтобы индикаторный прибор был выполнен в качестве передатчика данных для определения криптографического контрольного числа в зависимости от полезных данных, которые через интерфейс шины данных должны передаваться соответствующему абоненту связи, и для передачи соответствующему абоненту связи криптографического контрольного числа в дополнение к полезным данным. Индикаторный прибор содержит также, например, блок ввода для ввода вручную. В этом случае индикаторный прибор, предпочтительно, выполнен для того, чтобы, снабдив введенные там данные соответствующим криптографическим контрольным числом, достоверно и надежно передать их соответствующему абоненту. Благодаря этому при известных условиях можно отказаться от собственного блока ввода у соответствующего абонента, в частности в тахографе и/или в блоке для сбора за пользование дорогой (Maut-on-Board-Unit). Таким образом, соответствующий абонент, в частности тахограф и/или бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit), может быть выполнен особенно экономично.
В очередном предпочтительном варианте выполнения индикаторный прибор содержит по меньшей мере одно защищенное запоминающее устройство для записи по меньшей мере одного криптографического ключа, и/или километража на данный момент, и/или идентификационных данных водителя, и/или предприятия, и/или автомобиля, и/или установочных параметров компонентов автомобиля, и/или диагностических данных автомобиля.
В очередном предпочтительном варианте выполнения индикаторный прибор содержит по меньшей мере одно корпусное защитное устройство, обнаруживающее открывание индикаторного прибора. Это обстоятельство имеет то преимущество, что все компоненты индикаторного прибора, установленные в корпусе, защищены от манипуляций. Возможные манипуляции надежно распознаются с помощью по меньшей мере одного корпусного защитного устройства.
В этой связи предпочтительно, чтобы устройство защиты корпуса содержало выключатель корпуса. Выключатель корпуса установлен таким образом, что открывание корпуса надежно распознается, предпочтительно, даже при отключении тока. Кроме того, наличие выключателя корпуса фиксируется с помощью электроники, и благодаря этому контрмеры при обнаружении открывания корпуса принимаются автоматически. Контрмеры включают, например, индикацию предупредительного указания, остановку или ограничение работы индикаторного прибора или автомобиля, или же стирание данных, записанных, например, в защищенном запоминающем устройстве для защиты этих данных от злоупотребления.
В очередном предпочтительном варианте выполнения индикаторный прибор содержит по меньшей мере два интерфейса данных, выполненных в качестве интерфейса шины данных автомобиля. Индикаторный прибор образует соединительный блок для обмена данными между абонентами связи, соединяемыми по меньшей мере с двумя разными интерфейсами данных. Индикаторный прибор выполнен для дальнейшей передачи, и/или контроля, и/или аутентизации полезных данных, и/или аутентизации абонентов связи. Таким образом, обмен данными между абонентами связи может быть особенно безопасным и надежным.
В этой связи предпочтительно, чтобы полезные данные, контролируемые и аутентизируемые с помощью индикаторного прибора, содержали по меньшей мере часть реализуемого программного обеспечения или составляли реализуемое программное обеспечение. Таким образом, индикаторный прибор может быть использован для контроля и/или аутентизации обновлений программного обеспечения, программ, функций или модулей программного обеспечения, отработанных, в частности, за пределами автомобиля. В результате, достигаются особенно высокая надежность и достоверность. Таким образом, в частности, может быть распознано искаженное, т.е., например, переданное с ошибками или манипулированное программное обеспечение, и могут быть предотвращены установка или использование этого программного обеспечения.
В этой связи предпочтительно, чтобы индикаторный прибор был выполнен для реализации реализуемого программного обеспечения. Благодаря этому, в частности, программное обеспечение, установленное в индикаторном устройстве, является обновляемым, или функциональность уже установленного ранее программного обеспечения может расширяться за счет дополнительной установки и дополнительной реализации этого реализуемого программного обеспечения. Таким образом, расширяются индикаторные возможности индикаторного инструмента или предоставляются услуги для других блоков прибора.
В очередном предпочтительном варианте выполнения индикаторный прибор выполнен для дальнейшей передачи реализуемого программного обеспечения по меньшей мере одному из абонентов связи после успешного контроля и/или аутентизации. Таким образом, реализуемое программное обеспечение может быть установлено и реализовано у предусмотренного абонента. Таким образом, в частности, обновления программного обеспечения блоков прибора автомобиля возможны с соблюдением достоверности и надежности.
В очередном предпочтительном варианте выполнения индикаторный прибор образует блок управления обеспечением комфортабельности, и/или блок интерфейса диагностики, и/или блок идентификации для идентификации личности, и/или блок контроля доступа, и/или противоугонный блок или содержит часть из этого. Это имеет то преимущество, что блоки прибора могут быть сэкономлены или выполнены более экономично, если их функциональность полностью или частично восполняется за счет индикаторного прибора. Таким образом, система может быть особенно экономична.
В очередном предпочтительном варианте выполнения каждый абонент связи имеет, соответственно, по меньшей мере одно собственное защищенное запоминающее устройство для записи по меньшей мере одного криптографического ключа. По меньшей мере один из абонентов связи выполнен для формирования по меньшей мере одного криптографического ключа и для зашифрованной передачи по меньшей мере одного сформированного криптографического ключа по меньшей мере одному из соответствующих абонентов связи. Соответствующие абоненты связи выполнены для приема и расшифровки по меньшей мере одного зашифрованного криптографического ключа и для надежной записи по меньшей мере одного криптографического ключа в своем соответствующем защищенном запоминающем устройстве. Кроме того, абоненты связи выполнены для определения криптографического контрольного числа в зависимости по меньшей мере от одного криптографического ключа.
По меньшей мере один криптографический ключ, предпочтительно, содержит один код, предусмотренный для использования в симметричном способе кодирования. Зашифрованная передача по меньшей мере одного криптографического ключа и его расшифровка, предпочтительно, осуществляются путем использования асимметричного способа кодирования. При этом кодирование осуществляется, в частности, в зависимости от общедоступного кода соответствующего абонента, а раскодирование в зависимости от его частного кода. Благодаря этому по меньшей мере один криптографический ключ может передаваться особенно надежно. Однако по меньшей мере один переданный криптографический ключ может также содержать частный и/или общедоступный код для использования в асимметричном способе кодирования.
Соответствующее защищенное запоминающее устройство, предпочтительно, выполнено в качестве запоминающего устройства с электрической и/или механической защитой от несанкционированной манипуляции, например, в рамках «Промышленной спецификации для обеспечения аппаратной безопасности компьютеров» («Trusted Platform Module»), или сокращенно: ТРМ, или с помощью смарт-карта-контроллера («Smart-Card-Controller»).
Криптографическое контрольное число, предпочтительно, определяется в зависимости по меньшей мере от одного криптографического ключа с использованием симметричного способа кодирования. Кроме того, определение криптографического контрольного числа, предпочтительно, осуществляется с использованием блочного шифра или хэш-функции. Таким образом, криптографическое контрольное число особенно надежно и определяется с незначительными затратами на вычисление. Благодаря этому абоненты связи могут быть выполнены с оптимальными затратами. Кроме того, возможен обмен данными в реальном масштабе времени. Абонентом, выполненным для формирования по меньшей мере одного криптографического ключа и для зашифрованной передачи по меньшей мере одного сформированного криптографического ключа, является, в частности, тахограф.
В этой связи предпочтительно, чтобы абоненты связи были выполнены для определения криптографического контрольного числа как кода аутентизации сообщения в зависимости от криптографического ключа. Код аутентизации сообщения может также называться «Message Authentication Code», или сокращенно: МАС. Такой код хорошо защищен от несанкционированной манипуляции и определяется с незначительными затратами на вычисление и тем самым также с незначительными общими затратами. Поэтому обмен данными с использованием криптографического контрольного числа может происходить в реальном масштабе времени.
В порядке альтернативы или дополнения абоненты связи выполнены для определения криптографического контрольного числа как сокращенного кода аутентизации сообщения в зависимости от криптографического ключа. Сокращенный код аутентизации сообщения может также называться «truncаted MAC» или «Retail MAC».
Преимущество заключается в том, что таким образом для криптографического контрольного числа в дополнение к полезным данным приходится переносить лишь небольшое количество данных. Благодаря этому нагрузка на шины невелика, и, соответственно, требования к ширине полосы пропускания средства связи также невысоки. Такой сокращенный код аутентизации сообщения хорошо защищен от несанкционированной манипуляции и определяется с незначительными затратами на вычисление и тем самым также с незначительными общими затратами. Поэтому обмен данными с использованием криптографического контрольного числа может происходить в реальном масштабе времени.
В очередном предпочтительном варианте выполнения абоненты связи выполнены для соответствующей передачи криптографического контрольного числа в одном сообщении вместе с соответствующими полезными данными. В результате, средство связи, в частности шина данных автомобиля, дополнительно не загружено или загружено в незначительной степени. Поэтому требования к ширине полосы пропускания средства связи не увеличены по сравнению с незащищенной передачей полезных данных.
В очередном предпочтительном варианте выполнения абоненты связи выполнены для передачи криптографического контрольного числа и соответствующих полезных данных отдельно друг от друга и, соответственно, по меньшей мере в одном сообщении. Это имеет то преимущество, что в сообщениях, в которых передаются полезные данные, не приходится изменять их структуру для учета контрольного числа. Это особенно предпочтительно тогда, когда используются заданные структуры сообщения, как, например, SAE (Society of Automative Engineers - Сообщество Автомобильных инженеров) J1939.
В очередном предпочтительном варианте выполнения по меньшей мере один из соответствующих абонентов связи при соответствующем предусмотренном обмене данными выполнен для аутентизации по отношению к своему по меньшей мере одному соответствующему абоненту связи. Аутентизация предпочтительно осуществляется до передачи или в связи с передачей по меньшей мере одного криптографического ключа. Преимущество состоит в том, что обмен данными должен ограничиваться надежными абонентами связи. Благодаря этому обмен данными может происходить особенно надежно.
В очередном предпочтительном варианте выполнения бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) и предусмотренный при необходимости индикаторный прибор выполнены для аутентизации относительно тахографа. Кроме того, бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit) и предусмотренный при необходимости индикаторный прибор выполнены для обеспечения доверительного обмена данными между тахографом, с одной строны, и бортовым блоком для сбора за пользование дорогой (Maut-on-Board-Unit) или предусмотренным при необходимости индикаторным прибором, с другой, и/или для обеспечения доверительного обмена данными между бортовым блоком для сбора за пользование дорогой (Maut-on-Board-Unit) и предусмотренным при необходимости индикаторным прибором при успешной аутентизации, а в противном случае для предотвращения доверительного обмена данными, основанного на контроле полученных полезных данных в зависимости от полученного соответствующего криптографического контрольного числа. Таким образом, тахограф образует своего рода центр аутентизации, управляющий доверительным обменом данными или контролирующий его. Благодаря этому тахограф может быть выполнен также для формирования криптографических ключей и для распределения ключей между другими блоками прибора, если они успешно аутентифицированы относительно тахографа. В этом случае другие блоки прибора при известных условиях не обязаны быть выполненными для формирования по меньшей мере одного криптографического ключа и, в результате, могут быть выполнены с оптимальными затратами. Предпочтительно, аутентизация осуществляется до передачи или в связи с передачей по меньшей мере одного криптографического ключа. Преимуществом является то, что обмен данными может быть ограничен аутентизацией надежных блоков прибора в качестве абонентов связи. Благодаря этому обмен данными может осуществляться особенно надежно.
В очередном предпочтительном варианте выполнения по меньшей мере один абонент связи выполнен для автоматически обновленного осуществления формирования и передачи по меньшей мере одного криптографического ключа, а также предусмотренной в случае необходимости аутентизации в зависимости от наступления по меньшей мере одного заданного события. Таким заданным событием является, например, инициализация системы или по меньшей мере одного из абонентов связи, окончание какого-либо заданного интервала времени, например дня или откалиброванного интервала, завершение взаимодействия с системой или с одним из абонентов связи, например, в случае технического обслуживания, или ремонта, или замены по меньшей мере одного из абонентов связи, или включение зажигания, например, при повороте ключа зажигания. При этом достигается особенно высокий уровень защиты. Этим по меньшей мере одним абонентом связи является, в частности, тахограф.
В очередном предпочтительном варианте выполнения по меньшей мере один из абонентов связи содержит интерфейс для внешнего блока. Этот по меньшей мере один абонент связи выполнен для определения криптографического контрольного числа в зависимости от полезных данных, которые с помощью интерфейса для внешнего блока должны передаваться на внешний блок в качестве абонента связи, и для передачи этому абоненту связи криптографического контрольного числа в дополнение к полезным данным. По меньшей мере один абонент связи с интерфейсом для внешнего блока в порядке дополнения или альтернативы выполнен для приема с внешнего блока через интерфейс для внешнего блока полезных данных и относящегося к полезным данным криптографического контрольного числа и для контроля полученных полезных данных на предмет наличия искажений в зависимости от полученного криптографического контрольного числа. Таким образом, доверительный обмен данными по внутренней шине данных автомобиля возможен также по меньшей мере с одним внешним блоком. Предпочтительно, аутентизация и передача по меньшей мере одного криптографического ключа предусмотрены также в отношении обмена данных между блоком прибора в автомобиле, имеющем интерфейс для внешнего блока, и соответствующим внешним блоком. Обмен данными с внешним блоком в обоих направлениях может быть предусмотрен проводным или беспроводным. По меньшей мере одним внешним блоком является, например, внешнее устройство для проведения техобслуживания, и/или измерений, и/или диагностики, и/или отработки обновлений программного обеспечения или данных конфигурации. Однако внешний блок может быть выполнен также в качестве внешнего приемопередатчика или радиомаяка, например, в качестве активного дорожного знака, устанавливаемых, предпочтительно, у дороги, например, для указания скорости, как, например, ориентировочных скоростей или предупреждений, например, в отношении максимально допустимого веса или максимально допустимой высоты автомобиля. Можно предусмотреть также передачу по меньшей мере на один внешний блок, например, идентификационных данных, в отношении, например, автомобиля или водителя.
В очередном предпочтительном варианте выполнения по меньшей мере один абонент связи выполнен для шифрования передаваемых полезных данных, а по меньшей мере один другой из абонентов связи - для расшифровки полученных зашифрованных полезных данных. При этом шифрование и расшифровка осуществляются в зависимости по меньшей мере от одного из криптографических ключей. Преимущество заключается в том, что таким образом возможен также доверительный обмен данными. Для шифрования и расшифровки могут быть предусмотрены симметричный или асимметричный способы кодирования.
В очередном предпочтительном варианте выполнения система в качестве абонента связи при обмене данными содержит блок дорожной телеинформатики, и/или блок управления двигателем для управления двигателем внутреннего сгорания или по меньшей мере электродвигателем, предусматривающим тягу автомобиля, и/или блок управления обеспечением комфортабельности, и/или блок интерфейса диагностики, и/или блок идентификации для идентификации личности, и/или блок контроля доступа. Они содержат, соответственно, интерфейс данных, выполненный в качестве интерфейса шины данных автомобиля, так что обмен данными осуществляется по шине данных автомобиля, с которой соединены блок дорожной телеинформатики, блок управления двигателем, блок управления обеспечением комфортабельности, блок интерфейса диагностики, блок идентификации, или блок контроля доступа. В частности, может быть также предусмотрен ограничитель скорости, выполняемый предпочтительно вместе с блоком управления двигателем или содержащий его и предпочтительно автоматически задающий скорость движения автомобиля в зависимости от соответствующих действующих заданных значений скорости, передаваемых, например, по меньшей мере с одного внешнего блока, например, с активного дорожного знака.
Блок дорожной телеинформатики, блок управления двигателем, блок управления обеспечением комфортабельности, блок интерфейса диагностики, блок идентификации или блок контроля доступа, предпочтительно, выполнены в качестве абонентов связи при обмене данными как передатчики и/или приемники данных. В качестве передатчиков данных они, соответственно, выполнены для определения криптографического контрольного числа в зависимости от полезных данных, которые через интерфейс должны передаваться соответствующему абоненту связи и для передачи соответствующему абоненту связи криптографического контрольного числа в дополнение к полезным данным. В качестве приемников данных они выполнены для приема от соответствующего абонента связи через интерфейс данных полезных данных и относящегося к полезным данным криптографического контрольного числа и для контроля полученных полезных данных на предмет наличия искажений в зависимости от полученного криптографического контрольного числа. Преимущество состоит в том, что тахограф и бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit), а также предусмотренный при необходимости индикаторный прибор могут эксплуатироваться вместе с другими указанными блоками прибора на той же шине данных автомобиля. Обмены данными, защищенные и не защищенные криптографическим контрольным числом, могут осуществляться совместно по одной и той же шине данных автомобиля. Однако указанные блоки прибора, предпочтительно, также выполнены в качестве абонентов связи при защищенной передаче данных. Преимущество заключается в том, что в этом случае обмен данными с защитой от несанкционированной манипуляции и тем самым достойный доверия может осуществляться даже с этими абонентами связи или между ними. Благодаря этому обмену данных с защитой указанные абоненты связи при известных условиях могут быть выполнены с более низкими оптимальными затратами, поскольку компоненты для регистрации и определения, например датчики, могут использоваться совместно. Кроме того, указанные абоненты связи могут быть надежнее и/или точнее, так как при известных условиях по существу избыточные данные могут использоваться двумя или более чем двумя блоками прибора.
Ниже примеры выполнения изобретения поясняются на основе схематических чертежей, на которых:
фиг. 1 изображает систему, содержащую тахограф и бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit),
фиг. 2А - тахограф,
фиг. 2В - бортовой блок для сбора за пользование дорогой (Maut-on-Board-Unit),
фиг. 2С - индикаторный прибор,
фиг. 3 - схему последовательности операций процесса аутентизации,
фиг. 4А - схему последовательности операций первого варианта выполнения процесса передачи данных,
фиг. 4В - схему последовательности операций второго варианта выполнения процесса передачи данных,
фиг. 5 - структуру сообщения,
фиг. 6 - систему с индикаторным прибором.
Элементы с одинаковой конфигурацией или функцией на всех фигурах обозначены одинаковой позицией.
В качестве блоков прибора, соединенных между собой по меньшей мере одной шиной FDB данных автомобиля (фиг. 1), система содержит цифровой тахограф DTCO и бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit). По меньшей мере одна шина FDB данных автомобиля (фиг. 1) выполнена, в частности, в качестве шины данных в соответствии с контроллером участка сети («Controller Area Network»), или сокращенно: CAN, или какой-либо другой шиной данных для автомобилей, например, локальной сети внутренней связи («Local Interconnet Network»), или сокращенно: LIN, или передачи систем, ориентированных на носители данных («Media Oriented Systems Transport»), или сокращенно: MOST. По меньшей мере одна шина FDB данных автомобиля, предпочтительно, находится в распоряжении всех блоков прибора, т.е. шина FDB данных автомобиля, предпочтительно, выполнена и предусмотрена не специально и неисключительно для обмена данными между тахографом DTCO и бортовым блоком ОBU для сбора за пользование дорогой (Maut-on-Board-Unit). Такая общая шина FDB данных автомобиля предусмотрена, вообще, в каждом автомобиле, так что тахограф DTCO и бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) для обеспечения обмена данными между этими блоками прибора должны быть соединены только с ней.
Однако в каждом автомобиле могут быть предусмотрены также две или более двух шин FDB данных автомобиля. В этом случае тахограф DTCO и бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) соединены, например, только с одной из шин FDB данных автомобиля. Однако они могут быть соединены также с двумя или более шинами FDB данных автомобиля. В частности, может быть предпочтительно, чтобы тахограф DTCO был соединен по меньшей мере с двумя из шин FDB данных автомобиля. На основе верховенства изготовителя автомобиля в отношении по меньшей мере одной из шин FDB данных автомобиля при известных условиях к ней не допущены никакие блоки прибора других изготовителей. При известных условиях бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) не может быть соединен ни с одной из шин FDB данных автомобиля, находящихся под верховенством изготовителя автомобиля. Поэтому блоки прибора других изготовителей и, в частности, бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit), в случае необходимости должны подключаться к дополнительно предусмотренной шине FDB данных автомобиля. Однако в этом случае тахограф DTCO должен быть соединен с двумя и более шинами FDB данных автомобиля с тем, чтобы сообщаться как с блоками прибора, находящимися под верховенством изготовителя автомобиля, например блоком MST управления двигателем, так и с блоками прибора, не находящимися под верховенством изготовителя автомобиля, например бортовым блоком ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) и/или блоком DIAG интерфейса диагностики.
Кроме того, система наряду с тахографом DTCO и бортовым блоком ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) может содержать также индикаторный прибор INST, и/или блок VT дорожной телеинформатики, и/или блок PID идентификации, и/или блок KE контроля доступа, и/или блок MST управления двигателем, и/или блок KST управления обеспечением комфортабельности, и/или противоугонный блок, и/или блок DIAG интерфейса диагностики в качестве блоков прибора, и/или также другие блоки прибора автомобиля, соединенные по меньшей мере с одной шиной FDB данных автомобиля. Индикаторный прибор INST предусмотрен, например, для индикации текущей скорости автомобиля и/или пробега, и/или километража на данный момент, передаваемых на индикаторный прибор INST, например, с помощью тахографа DTCO по одной из при известных условиях нескольких шин FDB данных автомобиля. Кроме того, индикаторный прибор может быть также предусмотрен для индикации данных рабочего времени или других данных, регистрируемых тахографом DTCO в отношении соответствующего водителя автомобиля, и/или диагностической информации, и/или информации, релевантной с точки зрения безопасности автомобиля. Кроме того, индикаторный прибор INST, предпочтительно, предусмотрен для индикации информации бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit), например, в отношении количества осей и/или идентификационных данных автомобиля и/или водителя.
Блок VT дорожной телеинформатики предусмотрен, например, для приема заданных значений скорости или другой релевантной дорожной информации стационарных или мобильных радиомаяков FB, например, активных дорожных знаков и/или спутников, и/или других автомобилей, например, системы регистрации сбора за пользование дорогой (Maut). Радиомаяки FB и внешние приемопередатчики могут также называться «уличными терминалами» («Street-Terminals») и/или могут быть выполненными как таковые. Предусмотрена может быть также передача информации другим автомобилям и/или внешним приемопередатчикам. Кроме того, может быть предусмотрено направление в соответствующий приемопередатчик, в частности, системы регистрации сбора за пользование дорогой (Maut), например, идентификационных данных автомобиля и/или водителя, и/или текущей скорости, и/или информации о пробеге, регистрируемых и определяемых с помощью тахографа DTCO и/или бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit). Внешний приемопередатчик выполнен, например, в качестве мобильной базовой радиостанции в соответствии с Глобальной системой мобильной связи («Global System for Mobile Communications»), или сокращенно: GSM. Однако внешний приемопередатчик может быть выполнен и иначе. Блок VT дорожной телеинформатики может быть выполнен также в виде отдельного блока прибора или совместно с другим блоком прибора, предпочтительно, вместе с бортовым блоком ОBU для сбора за пользование дорогой (Maut-on-Board-Unit).
Блок PID идентификации и блок KE контроля доступа, в частности, предусмотрены для идентификации водителя и для контроля доступа в автомобиль и/или к его функциям. Идентификация осуществляется, например, в зависимости от биометрических признаков, так что механический ключ для предоставления доступа при известных условиях не нужен. Поэтому контроль доступа может называться также «входом без ключа» («Keyless Entry»). Однако блок PID идентификации и блок KE контроля доступа могут быть также выполнены иначе, например, для идентификации и предоставления доступа в зависимости от чип-карты, ключа автомобиля и т.п., с которыми может быть установлена беспроводная связь. Блок PID идентификации и блок KE контроля доступа являются, например, частью системы замка двери автомобиля. Блок PID идентификации и блок KE контроля доступа могут быть также выполнены в виде общего блока прибора.
Блок MST управления двигателем, в частности, предусмотрен для управления двигателем внутреннего сгорания автомобиля и/или для управления по меньшей мере электродвигателем автомобиля, предусмотренным для его тяги. Блок MST управления двигателем может быть также предусмотрен для преобразования полученных заданных значений скорости путем дросселирования скорости автомобиля, т.е. для выполнения функции ограничителя скорости. Однако может быть предусмотрен также отдельный ограничитель скорости, соединенный по меньшей мере с одной шиной FDB данных автомобиля.
Блок KST управления обеспечением комфортабельности предусмотрен, например, для управления обеспечением комфортабельности в автомобиле. Например, может быть предусмотрена автоматическая регулировка установки сиденья и других персональных установок, например установки зеркала заднего вида и боковых зеркал, кондиционера, радио или других средств коммуникации в зависимости от идентификационных данных, регистрируемых и передаваемых с помощью тахографа DTCO, бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) или блока PID идентификации.
Блок DIAG интерфейса диагностики может быть предусмотрен для обеспечения подключения внешних устройств EG в целях диагностики, и/или техобслуживания, и/или для отработки обновлений программного обеспечения, и/или для проведения измерений, в частности, в отношении выхлопа автомобиля, и/или регулирования параметров или обновления конфигураций блоков прибора или автомобиля, например, в отношении управления двигателем внутреннего сгорания. Подключение внешнего устройства EG может быть предусмотрено проводным или беспроводным.
Шина FDB данных автомобиля может содержать также соединительный блок VE, который может называться также «шлюзом» («Gateway») или «интерфейсом» («Interface»). Такой соединительный блок VE соединяет друг с другом две или более составляющих по меньшей мере одной шины FDB данных автомобиля, так что составляющие шины в отношении обмена данных между блоками прибора, соединенными с этими составляющими шины, образуют одну общую шину данных. Соединительный блок VE может быть также выполнен для компиляции обмена данных между составляющими шинами, если, например, составляющие шины основаны на различных физических архитектурах шины данных или для составляющих шин используются различные протоколы связи. Кроме того, соединительный блок VE может быть выполнен для фильтрации обмена данными, например, на допустимые и недопустимые сообщения MSG. Соединительный блок VE образует, например, интерфейс между той составляющей шиной из при известных условиях нескольких шин FDB данных автомобиля, с которой соединены блоки прибора, в принципе, предусмотренные в каждом автомобиле, которые должны сообщаться по шине FDB данных автомобиля, и той составляющей шиной этой шины FDB данных автомобиля, с которой соединяются дополнительно предусмотренные в автомобиле блоки прибора, которые должны сообщаться по шине FDB данных автомобиля. Блоки прибора, в принципе, предусмотренные в каждом автомобиле, подлежат, например, контролю или верховенству изготовителя автомобиля, так что он должен обеспечивать допустимый и надежный обмен данными между этими блоками прибора. Однако дополнительно предусмотренные блоки прибора в общем случае не подлежат контролю или верховенству изготовителя автомобиля и могут также, например, изготавливаться и внедряться в систему другими оферентами, так что фильтрация обмена данных между составляющими шинами шины FDB данных автомобиля может быть выгодной. С помощью фильтрации может быть, например, приостановлена дальнейшая передача недопустимых сообщений MSG, которые могли бы, например, поставить под угрозу безопасность и надежность эксплуатации автомобиля.
Существует потребность в передаче данных с защитой от несанкционированной манипуляции, а при необходимости и с соблюдением конфиденциальности от одного из блоков прибора, соединенных по меньшей мере с одной шиной FDB данных автомобиля, к какому-либо другому из блоков прибора, соединенных по меньшей мере с одной шиной FDB данных автомобиля. Иначе говоря, между блоками прибора, соединенными с одной из при известных условиях нескольких шин FDB данных автомобиля, необходим надежный канал связи, который можно назвать также «Trusted Channel», так что между этими блоками прибора возможен при необходимости конфиденциальный обмен данными с защитой от несанкционированной манипуляции.
Тахограф DTCO, например, в рамках своего предусмотренного использования в автомобиле определяет данные скорости, и/или пробега, и/или километраж, и/или данные времени. Бортовому блоку ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) такие данные также необходимы для определения сбора (Maut), подлежащего уплате. Бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) должен определять эти данные сам, если он не получает их от тахографа DTCO в форме, внушающей доверие. Однако это является трудоемким и дорогим делом. Поэтому предусмотрено, чтобы передавать данные, полученные тахографом DTCO, бортовому блоку ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) по при известных условиях нескольким шинам FDB данных автомобиля. Для распознания несанкционированных манипуляций с данными, передаваемыми по этой шине FDB данных автомобиля бортовому блоку ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) с тахографа DTCO, эти данные передаются с защитой от несанкционированной манипуляции, т.е. по надежному виртуальному каналу связи. Данные, полученные бортовым блоком ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) с тахографа DTCO, внушают доверие, так что бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) не нуждается ни в какой собственной регистрации данных скоростей, пробега, километража или времени. Благодаря этому бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) может быть выполнен значительно экономичнее.
Еще экономичнее, а также меньших размеров бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) может быть выполнен, если он использует для индикации индикаторный прибор INST и, таким образом, не нуждается ни в какой собственной индикации. В этом случае бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) выполнен для передачи индицируемых данных индикаторному прибору INST по надежному каналу с помощью шины FDB данных автомобиля. Индикаторный прибор INST выполнен, соответственно, для приема этих данных с бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) и их контроля на предмет несанкционированной манипуляции. Данные, полученные индикаторным прибором INST с бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit), внушают благодаря этому доверие и могут достоверно визуализироваться индикаторным прибором INST.
Кроме того, предусмотрена может быть также передача идентификационных данных водителя, и/или предприятия, и/или автомобиля, и/или других идентификационных данных по надежному виртуальному каналу с тахографа DTCO на бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit). Идентификационные данные регистрируются, например, тахографом DTCO, например, путем считывания с соответствующей чип-карты, служащей цифровым удостоверением водителя и/или владельца автомобиля.
Тахограф DTCO содержит защищенное запоминающее устройство SMEM, часы RTC реального времени, по меньшей мере один блок считывания с чип-карты, в который вставляется чип-карта СК, например карта тахографа или мастерской, и, предпочтительно, запоминающее устройство DMEEM (фиг. 2А) данных. Часы RTC реального времени, предпочтительно, установлены в тахографе DTCO с защитой от манипуляции и выполнены для получения надежного и достоверного штемпеля Т времени. Штемпели Т времени, в частности, используются для записи данных тахографа DTCO. Часы RTC реального времени, предпочтительно, устанавливаются только уполномоченными лицами, которые могут удостоверить свою личность в отношении тахографа DTCO соответствующей чип-картой, например картой мастерской. Тахограф DTCO соединяется для регистрации или определения текущей скорости автомобиля, пробега, и/или текущего километража по меньшей мере с одним датчиком SENS, в частности с датчиком частоты вращения колеса.
Кроме того, тахограф DTCO содержит по меньшей мере один вычислительный блок CPU. По меньшей мере один вычислительный блок CPU предусмотрен, например, для управления функциями тахографа DTCO. Для управления функциями тахографа DTCO могут быть предусмотрены также дополнительные вычислительные блоки CPU. Функции тахографа DTCO включают также регистрацию или определение данных и запись зарегистрированных данных с защитой от манипуляции. Зарегистрированные данные включают, например, данные движения, например, скорость автомобиля, или замену чип-карты СК, или другие данные, регистрируемые или определяемые во время эксплуатации тахографа, например, сообщения об ошибках.
Защищенное запоминающее устройство SMEM, предпочтительно, электрически и/или механически защищено от манипуляций с данными, хранящимися в нем. Защищенное запоминающее устройство SMEM снабжено, например, защитным слоем или предохранительной решеткой, контролируемыми, предпочтительно, с помощью электричества. При повреждении защитного слоя или предохранительной решетки доступ к данным, хранящимся в защищенном запоминающем устройстве SMEM, может быть, например, предотвращен, например, путем стирания данных. Однако защищенное запоминающее устройство SMEM может быть также выполнено иначе.
Предпочтительно, предусмотрены по меньшей мере два вычислительных блока CPU. Один из по меньшей мере двух вычислительных блоков CPU образует защищенный вычислительный блок SCPU и предусмотрен для выполнения криптографических алгоритмов, например для осуществления способов кодирования и/или сигнатуры, и для этого, предпочтительно, соединен исключительно с защищенным запоминающим устройством SMEM. Этот вычислительный блок CPU и защищенное запоминающее устройство SMEM, предпочтительно, выполнены совместно в виде блока или модуля, например, в соответствии с «Промышленной спецификацией для обеспечения аппаратной безопасности компьютеров» («Trusted Platform Module»), или сокращенно: ТРМ, или с помощью смарт-карта-контроллера («Smart-Card-Controller»). Благодаря наличию такого надежного микроконтроллера с защищенным запоминающим устройством SMEM тахограф DTCO может быть особенно дешевым при высоком уровне защиты. Другой по меньшей мере из двух вычислительных блоков CPU предусмотрен, предпочтительно, для управления общей эксплуатацией тахографа. Этот вычислительный блок CPU, именуемый также прикладным вычислительным блоком АCPU, не должен обладать никакими функциями защиты, а для задач, релевантных с точки зрения защиты, использует защищенный вычислительный блок SCPU, или, наоборот, защищенный вычислительный блок SCPU использует для задач, не релевантных с точки зрения защиты, прикладной вычислительный блок АCPU. Прикладной вычислительный блок АCPU предусмотрен, например, для обработки данных в реальном времени, т.е., например, в отрезок времени порядка одной миллисекунды. Однако может быть также предусмотрено, чтобы защищенный вычислительный блок SCPU был выполнен для регистрации данных датчика, например датчика SENS, для обработки этих данных и для записи или предоставления этих данных независимо от прикладного вычислительного блока АCPU. Предпочтительно, предусмотрено, чтобы защищенный вычислительный блок SCPU контролировал данные, обрабатываемые прикладным вычислительным блоком АCPU, и/или выполняемые им программные коды на предмет несанкционированных манипуляций или искажений, например, путем определения и контроля цифровой сигнатуры. Однако по меньшей мере один вычислительный блок CPU может быть также выполнен иначе. В частности, прикладной вычислительный блок АCPU и защищенный вычислительный блок SCPU могут быть также выполнены в виде одного общего вычислительного блока CPU.
Защищенное запоминающее устройство SMEM, в частности, предусмотрено для надежного хранения по меньшей мере одного криптографического ключа. Предпочтительно, защищенное запоминающее устройство SMEM предусмотрено для надежного хранения нескольких криптографических ключей, в частности, по меньшей мере одного частного ключа для использования асимметричных способов кодирования и/или сигнатуры, и/или по меньшей мере одного ключа для использования симметричных способов кодирования и/или сигнатуры.
Тахограф DTCO содержит надежное и, предпочтительно, сертифицированное с точки зрения безопасности программное обеспечение, предоставляющее безопасные окружающие условия для обработки и хранения данных. Кроме того, благодаря защищенному запоминающему устройству SMEM тахограф DTCO в состоянии надежно хранить криптографические ключи и цифровые сертификаты, а также другие данные. Для этого тахограф DTCO рассчитан на выполнение надежных и, предпочтительно, сертифицированных с точки зрения безопасности криптографических алгоритмов с тем, чтобы, например, обеспечить надежное хранение данных, например, путем определения и записи цифровой сигнатуры данных. Для этого тахограф DTCO содержит криптографический функциональный блок, образованный, например, одним из при известных условиях нескольких вычислительных блоков CPU тахографа DTCO, в частности, надежным вычислительным блоком SCPU, или входящий в него. Криптографический функциональный блок или защищенный вычислительный блок SCPU образованы, в частности, на основе ТРМ («Trusted Platform Module») («Промышленная спецификация для обеспечения аппаратной безопасности компьютеров» или смарт-карта-контроллера, т.е. надежного микроконтроллера, или входят в него.
Тахограф DTCO, предпочтительно, содержит по меньшей мере одно защитное устройство SE. По меньшей мере одно защитное устройство SE содержит защищенное запоминающее устройство SMEM и криптографический функциональный блок или защищенный вычислительный блок SCPU. Кроме того, тахограф DTCO, предпочтительно, содержит по меньшей мере одно защитное устройство SE для контроля по меньшей мере одного рабочего параметра защищенного запоминающего устройства SMEM и/или по меньшей мере одного вычислительного блока CPU, в частности криптографического функционального блока или защищенного вычислительного блока SCPU, и/или для контроля их механической целостности. По меньшей мере один рабочий параметр представляет собой, например, рабочее напряжение, и/или рабочую температуру, и/или тактовую частоту. Предпочтительно, по меньшей мере одно защитное устройство SE выполнено для контроля прохождения по меньшей мере одним рабочим параметром заданного нижнего или верхнего порогового значения, т.е. выхода за пределы области значений, заданной нижним и верхним пороговыми значениями, по меньшей мере одного рабочего параметра.
При высоких требованиях к технике безопасности по меньшей мере одно защитное устройство SE, предпочтительно, содержит предохранительную решетку или нечто подобное, выполненное в виде верхнего уровня металлизации на чипе защищенного запоминающего устройства SMEM и/или по меньшей мере одного вычислительного блока CPU, в частности криптографического функционального блока или защищенного вычислительного блока SCPU. На фиг. 2А для защищенного запоминающего устройства SMEM это показано с помощью рамки вокруг этого компонента, обозначенной пунктиром. По меньшей мере одно защитное устройство SE выполнено для распознания повреждения предохранительной решетки. Тем самым распознается повреждение механической целостности защищенного запоминающего устройства SMEM или криптографического функционального блока, или защищенного вычислительного блока SCPU. Однако по меньшей мере одно защитное устройство SE может быть также выполнено иначе и, в частности, отвечать соответствующим требованиям техники безопасности.
По меньшей мере одно защитное устройство SE содержит также, предпочтительно, корпусное защитное устройство GSE, например, в виде корпусного выключателя. Корпусное защитное устройство GSE срабатывает при открывании корпуса тахографа DTCO. Тахограф DTCO, предпочтительно, выполнен для защиты от несанкционированных манипуляций путем ограничения или остановки своей работы, а при необходимости путем стирания данных, релевантных с точки зрения защиты, например, криптографических ключей, хранящихся в защищенном запоминающем устройстве SMEM. Корпусное защитное устройство GSE может быть также создано за счет опломбирования или плотной заделки корпуса или включать что-либо в этом роде так, чтобы открывание корпуса распознавалось.
Запоминающее устройство DMEM данных, предпочтительно, выполнено без защиты, т.е., в частности, не защищено от манипуляции ни электрически, ни механически. Из-за в общем случае более высокой стоимости защищенного запоминающего устройства SMEM по сравнению с запоминающим устройством DMEM данных защищенное запоминающее устройство SMEM при известных условиях имеет лишь небольшую емкость по сравнению с запоминающим устройством DMEM данных. Данные, хранящиеся в запоминающем устройстве DMEM данных, защищены от несанкционированной манипуляции, например, с помощью цифровой сигнатуры.
Кроме того, тахограф DTCO содержит по меньшей мере один интерфейс DS данных. С помощью по меньшей мере одного интерфейса DS данных тахограф DTCO соединяется по меньшей мере с одной шиной FDB данных автомобиля. Предпочтительно, тахограф DTCO содержит два интерфейса DS данных. Один из обоих этих интерфейсов DS данных предусмотрен для связи с одной из при известных условиях нескольких шин FDB данных, находящейся под верховенством изготовителя автомобиля. Другой из обоих интерфейсов DS данных предусмотрен для связи с одной из при известных условиях нескольких шин FDB данных, не находящейся под верховенством изготовителя автомобиля, и, в частности, предусмотрен для связи с той шиной FDB автомобиля, с которой соединен бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit).
На фиг. 2В изображен бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit), содержащий также по меньшей мере один вычислительный блок CPU, защищенное запоминающее устройство SMEM и по меньшей мере один интерфейс DS данных, которые по существу отвечают соответствующим компонентам тахографа DTCO. Кроме того, соответственно, может быть предусмотрено также запоминающее устройство DMEM данных. Бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit), предпочтительно, содержит также защитные устройства SE, соответствующие таковым тахографа DTCO. Бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) выполнен для регистрации или определения, а при необходимости записи требуемых размеров подлежащих уплате сборов за пользование дорогой.
Бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) может содержать также блок POS определения местоположения для определения положения автомобиля на данный момент. Блок POS определения местоположения выполнен, например, для приема и обработки данных спутниковой системы навигации, например «Глобальной системы позиционирования» («Global Positioning System»), или сокращенно: GPS. В порядке альтернативы или дополнения блок POS определения местоположения может содержать также, например, инерциальный датчик, в частности гиродатчик. От блока POS определения местоположения можно частично или полностью отказаться, если бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) будет получать информацию от тахографа DTCO по надежному каналу связи по шине FDB данных автомобиля. Однако можно также предусмотреть повышение точности или надежности бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) и/или тахографа DTCO за счет избыточности данных, регистрируемых или определяемых тахографом DTCO, и данных, регистрируемых и определяемых бортовым блоком ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) и, в частности, блоком POS определения местоположения. Например, может быть предусмотрено, чтобы данные, определенные блоком POS определения местоположения, передавались тахографу DTCO, предпочтительно, по надежному виртуальному каналу связи с помощью шины FDB данных автомобиля. Тахограф DTCO может быть выполнен для обработки и/или записи этих данных. Таким образом, расхождения между зарегистрированными или определенными данными тахографа DTCO и бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) могут быть легко распознаны, а безопасность и надежность системы благодаря этому может быть повышена.
На фиг. 2с изображен индикаторный прибор INST, также содержащий по меньшей мере один вычислительный блок CPU, защищенное запоминающее устройство SMEM и по меньшей мере один интерфейс DS данных, по существу отвечающие соответствующим компонентам тахографа DTCO или бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit). Индикаторный прибор INST может также содержать защитные устройства SE, соответствующие таковым тахографа DTCO или бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit). Однако в общем случае требования техники безопасности к индикаторному прибору INST ниже, чем к тахографу DTCO или бортовому блоку ОBU для сбора за пользование дорогой (Maut-on-Board-Unit). Кроме того, соответственно, может быть предусмотрено также запоминающее устройство DMEM данных, например, для промежуточного хранения индицируемых данных.
Кроме того, индикаторный прибор INST содержит по меньшей мере один блок ANZ индикации для визуализации информации, передаваемой индикаторному прибору INST по шине FDB данных автомобиля, в частности по надежному каналу с тахографа DTCO и/или с бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit), и/или с блоков прибора, соединенных с той же шиной FDB данных автомобиля.
Индикаторный прибор INST может содержать также по меньшей мере один блок ввода данных для ввода и выборки данных. Предусмотрены, например, выключатели, и/или кнопки, и/или клавиши, и/или другие средства ввода для ввода или выборки вручную. В этом случае индикаторный прибор INST, предпочтительно, выполнен для передачи введенных или выбранных данных по надежному каналу с помощью шины FDB данных в соответственно предусмотренный блок прибора, например в тахограф DTCO или в бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit). В этом случае соответствующий блок прибора при известных условиях не должен иметь никакого собственного блока ввода и поэтому может быть выполнен с меньшими затратами и меньших размеров. Кроме того, в этом случае соответствующий блок прибора должен быть также установлен в труднодоступном месте автомобиля. Благодаря возможности надежного хранения данных в защищенном запоминающем устройстве SMEM, и/или надежной и/или конфиденциальной передаче данных в другие блоки прибора индикаторный прибор INST с блоком ввода пригоден также для регистрации кодов доступа и отключения или чего-либо в этом роде, например, в виде шифров или личных идентификационных номеров, или сокращенно: PIN, и для передачи их с защитой от манипуляций по меньшей мере в один из блоков прибора.
Даже блок PID идентификации, и/или блок KE контроля доступа, и/или блок VT дорожной телеинформатики, и/или блок MST управления двигателем, и/или блок KST управления комфортабельностью, и/или блок DIAG интерфейса диагностики, предпочтительно, также содержат по меньшей мере один вычислительный блок CPU, защищенное запоминающее устройство SMEM и по меньшей мере один интерфейс DS данных, которые по существу отвечают соответствующим компонентам тахографа DTCO, бортового блока ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) или индикаторного прибора INST. Кроме того, эти указанные блоки прибора, предпочтительно, выполнены также для передачи данных по надежному виртуальному каналу и/или для приема и контроля полученных данных на предмет несанкционированной манипуляции, т.е. на предмет искажения. Таким образом, обмен данными между блоками прибора может происходить особенно безопасно и надежно, а переданные данные в этом случае особенно надежны.
Защита передаваемых данных от несанкционированной манипуляции, в частности, полезных данных DAT, а тем самым и надежный виртуальный канал основаны на криптографическом контрольном числе PW, определяемом, соответственно, в зависимости от полезных данных DAT и передаваемом в дополнение к полезным данным DAT. Криптографическое контрольное число PW определяется соответствующим блоком прибора, например, в виде цифровой сигнатуры или кода аутентизации сообщения, который можно называть также «Message Authentication Code», или сокращенно: МАС. Криптографическое контрольное число PW, в частности, определяется как сокращенный код RMAC аутентизации сообщения, который можно называть также «truncated MAC» или «Retail-MAC». Код аутентизации сообщения и, соответственно, сокращенный код RMAC аутентизации сообщения, предпочтительно, определяются в зависимости по меньшей мере от одного криптографического ключа, в частности криптографического ключа, предусмотренного для симметричных способов кодирования, хранящегося в защищенном запоминающем устройстве SMEM, предпочтительно, с использованием режима сцепления блоков шифртекста («Cipher Block Chaining Mode»), или сокращенно: CBC, и алгоритма согласно стандарту шифрования данных («Data Encryption Standard»), или сокращено: DES, или стандарту шифрования данных США («Advanced Encryption Standard»), или сокращенно: AES. Криптографическое контрольное число PW и, в частности, код аутентизации сообщения и сокращенный код RMAC аутентизации сообщения могут быть также выполнены иначе.
Код аутентизации сообщения имеет, например, длину восемь байтов. Сокращенный код RMAC аутентизации, предпочтительно, состоит из части кода аутентизации сообщения, содержащей, например, четыре или два байта. Однако сокращенный код RMAC аутентизации сообщения может иметь также другую длину и/или быть выполнен иначе, но сокращенный код RMAC аутентизации сообщения имеет все же меньшую длину, чем несокращенный код аутентизации сообщения.
Соответствующий получатель данных может контролировать полезные данные DAT на предмет искажений в зависимости от полученного криптографического контрольного числа, относящегося к полезным данным DAT, и от соответствующего криптографического ключа. Соответствующим криптографическим ключом является тот криптографический ключ, который отправитель данных использовал для получения криптографического контрольного числа в зависимости от полезных данных DAT, если криптографическое контрольное число PW было определено симметричным способом, т.е., например, как код аутентизации сообщения или как сокращенный код RMAC аутентизации сообщения. Для этого получатель данных должен располагать тем же криптографическим ключом, что и отправитель данных. Однако соответствующий криптографический ключ может быть также общедоступным ключом, относящимся к частному ключу отправителя данных, если криптографическое контрольное число PW было определено асимметричным способом, например, в качестве цифровой сигнатуры. В этом случае получатель данных должен знать только общедоступный ключ отправителя данных, а его частный ключ - нет. Асимметричный способ обеспечивает особенно высокую надежность, однако в общем случае требует бóльших затрат на вычисление, чем симметричный способ. Поэтому для определения криптографического контрольного числа PW преимущественно используется симметричный способ.
На фиг. 3 изображен процесс аутентизации, проводимый, предпочтительно, в зависимости по меньшей мере от одного заданного события. Таким заданным событием является, например, начало эксплуатации, инициализация системы или по меньшей мере одного из абонентов связи, окончание заданного интервала времени, например, дня или интервала реального времени, завершение взаимодействия с системой или по меньшей мере с одним из абонентов связи, например, в связи с техобслуживанием, или ремонтом, или заменой по меньшей мере одного из абонентов связи, или включением зажигания, например, поворотом ключа зажигания. Предпочтительно, в процессе аутентизации для определения криптографического контрольного числа PW и для контроля полезных данных DAT в зависимости от криптографического контрольного числа PW передается по меньшей мере один криптографический ключ.
В качестве блоков прибора и абонентов связи предусмотрены первый GE1 и второй блок GE2 прибора. Первый блок GE1 прибора, образован, например, бортовым блоком ОBU для сбора за пользование дорогой (Maut-on-Board-Unit), а второй блок GE2 прибора - тахографом DTCO. Однако первый блок GE1 прибора может быть образован также индикаторным прибором INST, а второй блок GE2 прибора - бортовым блоком ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) или тахографом DTCO. Кроме того, эти распределения могут быть также обратными. Однако первый блок GE1 прибора и/или второй блок GE2 прибора могут быть также, соответственно, образованы за счет другого блока прибора, соединенного с той же шиной FDB данных автомобиля.
Предпочтительно, первый и второй блоки GE1, GE2 прибора располагают соответствующим общедоступным ключом соответствующего абонента связи. Если это не так, то первый и второй блоки GE1, GE2 прибора должны передать свой соответствующий общедоступный ключ соответствующему абоненту связи.
На этапе S1 второй блок GE2 осуществляет контроль своих внутренних состояний, а при необходимости - подключенных датчиков SENS. Этап S1, предпочтительно, осуществляется в начале эксплуатации. На этапе S2 первый блок GE1 прибора посылает второму прибору GE2 запрос об аутентизации. Первый блок GЕ1 прибора посылает ему запрос об аутентизации, предпочтительно, в зашифрованном виде в зависимости от общедоступного ключа второго блока GE2 прибора, так что второй блок GE2 прибора может расшифровать запрос об аутентизации с помощью своего частного ключа. Запрос об аутентизации содержит, предпочтительно, идентификационную информацию первого блока GE1 прибора, и/или время суток, и/или дату, и/или номер последовательности. На этапе S3 второй блок S2 прибора принимает запрос об аутентизации и расшифровывает его в зависимости от своего частного ключа. На этапе S4 второй блок GE2 посылает первому блоку GE1 ответ относительно аутентизации. Второй блок GЕ2 посылает ему ответ относительно аутентизации, предпочтительно, в зашифрованном виде в зависимости от общедоступного ключа первого блока GE1, так что ответ относительно аутентизации своим частным ключом расшифровать может только первый блок GE1 прибора. Ответ относительно аутентизации содержит, предпочтительно, сертификат, содержащий криптографический ключ для симметричного способа и идентификационную информацию второго блока GE2 прибора. Кроме того, ответ относительно аутентизации для усложнения несанкционированной замены или помехи в ответе относительно аутентизации, предпочтительно, содержит также номер последовательности, и/или время суток, и/или дату, и/или случайное число. На этапе S5 первый блок GE1 прибора принимает ответ относительно аутентизации и расшифровывает его в зависимости от своего частного ключа. Первый блок GE1 записывает полученный криптографический ключ в свое защищенное запоминающее устройство SMEM.
Может быть также предусмотрено, чтобы соответствующие абоненты связи, обменивающиеся сообщениями MSG по надежному виртуальному каналу, взаимно аутентифицировались, для чего, предпочтительно, один из абонентов связи направлял бы своему соответствующему абоненту связи запрос относительно аутентизации. Такая децентрализованная аутентизация блоков прибора обеспечивает большую гибкость. Однако может быть предусмотрен также централизованный пункт аутентизации, образованный, предпочтительно, тахографом DTCO. В этом случае блоки прибора выполнены так, чтобы, предпочтительно, аутентифицироваться относительно этого централизованного пункта аутентизации в соответствии с процессом аутентизации, показанным на фиг. 3. Централизованный пункт аутентизации образован для формирования по меньшей мере одного соответствующего криптографического ключа и для контроля и/или управления обменом данными между блоками прибора по надежному виртуальному каналу. Если, например, централизованный пункт аутентизации установит компетентность одного из блоков прибора, то другие блоки прибора могут доверять полезным данным DAT, получаемым ими от блока прибора, признанного компетентным, вместе с соответствующим криптографическим контрольным числом PW, если контроль полезных данных DAT в зависимости от полученного контрольного числа PW не содержит никакого указания относительно искажения. В соответствии с этим централизованный пункт аутентизации может также установить, что один из блоков прибора не является компетентным. Другие блоки прибора не могут доверять полезным данным DAT этого некомпетентного блока прибора даже в том случае, если контроль полезных данных DAT в зависимости от полученного контрольного числа PW не содержит никакого указания относительно искажения. Блоки прибора, например, путем соответствующего запроса в централизованный пункт аутентизации могут осведомиться относительно компетентности того блока, от которого они хотели бы получить и использовать полезные данные DAT. Этот запрос в централизованный пункт аутентизации и его ответ, предпочтительно, осуществляются также по надежному виртуальному каналу.
На фиг. 4А изображена схема последовательности операций первого варианта выполнения защищенного процесса передачи данных между вторым и первым блоками GE2, GE1 прибора, т.е. процесса передачи данных по надежному виртуальному каналу. На этапе S10 второй блок GE2 прибора формирует передаваемое сообщение MSG, содержащее полезные данные DAT и криптографическое контрольное число PW. Такое сообщение MSG в качестве примера показано на фиг. 5. Полезные данные DAT и криптографическое контрольное число PW, предпочтительно, в виде сокращенного кода RMAC аутентизации сообщения, содержатся в сообщении MSG вместе. Поэтому для передачи криптографического контрольного числа PW никакого дополнительного сообщения MSG не нужно, так что загрузка шины FDB данных автомобиля за счет криптографического контрольного числа PW не увеличивается.
В качестве защиты от несанкционированной замены сообщений MSG в каждом сообщении MSG, предпочтительно, предусмотрена дополнительная информация, например, текущий штемпель Т времени или номер SEQ последовательности. Криптографическое контрольное число PW, предпочтительно, зависит от полезных данных DAT и от штемпеля Т времени или номера SEQ последовательности. Однако криптографическое контрольное число PW может также формироваться в зависимости только от полезных данных DAT.
Полезные данные DAT, штемпель Т времени или номер SEQ последовательности и криптографическое контрольное число PW составляют полезную часть ND сообщения MSG, имеющую длину восемь байтов. Для полезных данных DAT предусмотрены, например, четыре байта, например, для текущей скорости, пробега, километража на данный момент или текущего времени. Для штемпеля Т времени или номера SEQ последовательности и для криптографического контрольного числа PW предусмотрено, например, по два байта. Такое сообщение MSG передается по шине FDB данных автомобиля, выполненной в качестве контроллера участка сети CAN («Controller Area Network»). Сообщение MSG, предпочтительно, содержит идентификационную часть ID и квитирующую часть АСК. Однако сообщение MSG может иметь также другую структуру.
Первый блок GE1 прибора на этапе S11 принимает сообщение MSG и контролирует полезные данные DAT, а при необходимости штемпель Т времени и номер SEQ последовательности в зависимости от криптографического контрольного числа PW и по меньшей мере одного криптографического ключа, уже хранящегося в защищенном запоминающем устройстве SMEM. Контроль включает, например, повторное определение криптографического контрольного числа PW в зависимости от полезных данных DAT, а при необходимости от штемпеля Т времени и номера SEQ последовательности, а также в зависимости по меньшей мере от одного криптографического ключа и сравнение вновь полученного криптографического контрольного числа PW с принятым криптографическим контрольным числом PW. Если они не совпадают, то сообщение было искажено в результате несанкционированной манипуляции или ошибочной передачи и полученные сообщения DAT являются недостоверными. Если же криптографические контрольные числа PW совпадают, то полезные данные DAT достоверны. Может быть предусмотрено, чтобы первый блок GE1 прибора квитировал прием сообщения MSG на этапе S12.
На фиг. 4В изображен предусмотренный в порядке дополнения или альтернативы вариант выполнения процесса передачи данных с защитой. Он по своему принципиальному осуществлению соответствует первому варианту выполнения. Однако полезные данные ND и соответствующее криптографическое контрольное число PW пересылаются по шине FDB автомобиля по меньшей мере в каждом отдельном сообщении из второго блока GE2 прибора в первый блок GE1 прибора. Это особенно предпочтительно в том случае, если полезные данные ND и криптографическое контрольное число PW слишком длинны, чтобы быть переданными вместе в одном сообщении MSG. Кроме того, предпочтительно, чтобы при необходимости уже заданные содержание и/или структура сообщения могли сохраняться, а для надежной передачи полезных данных ND должно было бы передаваться по меньшей мере только одно дополнительное сообщение MSG, содержащее криптографическое контрольное число PW. Передача по меньшей мере одного сообщения MSG, содержащего криптографическое контрольное число PW, предпочтительно, происходит в рамках заданного периода времени после передачи по меньшей мере одного сообщения MSG, содержащего соответствующие полезные данные DAT.
В соответствии с защищенной передачей данных, например, между тахографом DTCO и бортовым блоком ОBU для сбора за пользование дорогой (Maut-on-Board-Unit) с помощью по меньшей мере одной шины FDB данных автомобиля, предпочтительно, производится также защищенная передача данных между по меньшей мере одним блоком прибора автомобиля и по меньшей мере одним внешним блоком ЕЕ. По меньшей мере один внешний блок ЕЕ образован, например, внешним блоком GE прибора, или внешним приемопередатчиком, или радиомаяком FB.
На фиг. 6 изображен другой вариант выполнения системы. Индикаторный прибор INST содержит прикладной вычислительный блок ACPU, запоминающее устройство DMEM, индикатор ANZ и по меньшей мере одно защитное устройство SE данных. По меньшей мере одно защитное устройство SE содержит, в частности, предпочтительно, защищенный вычислительный блок SCPU, защищенное запоминающее устройство SMEM и корпусное защитное устройство GSE. Кроме того, индикаторный прибор INST содержит периферию PER и интерфейсы IF. Интерфейсы IF включают, в частности, по меньшей мере один интерфейс DS данных. Корпусное защитное устройство GSE, предпочтительно, выполнено таким образом, что оно распространяется также на интерфейсы IF и периферию PER, например, в том смысле, что интерфейсы IF и периферия PER установлены в корпусе, защищенном корпусным защитным устройством GSE таким образом, что они, хотя они используются, как предусмотрено, все же могут быть подвержены не обнаруженным манипуляциям. Следовательно, индикаторный прибор INST обладает ступенчатой защитой. На первой ступени находится защита с помощью корпуса и корпусного защитного устройства GSE, а на второй ступени защита, например, с помощью предохранительной решетки или защитного слоя защищенного запоминающего устройства SMEM и/или защищенного вычислительного блока SCPU.
Индикаторный прибор INST содержит, предпочтительно, по меньшей мере два интерфейса DS данных. В варианте выполнения, показанном на фиг. 6, индикаторный прибор INST содержит три интерфейса DS данных. Интерфейсы DS данных, предпочтительно, выполнены в качестве интерфейса шины данных автомобиля. Предусмотрены могут быть также интерфейсы шины данных автомобиля различного типа, или может быть намечено, чтобы предусмотреть по меньшей мере один из интерфейсов DS шины данных для другого типа шины данных, например, в качестве универсальной последовательной шины («Universal Serial Bus»), или сокращенно: USB, в частности, для соединения с внешним устройством EG. Предусмотрены могут быть также другие или дополнительные интерфейсы IF.
Индикатор ANZ составляет часть периферии PER. Кроме того, как уже описано раньше, может быть предусмотрен блок ввода, который в этом случае также составляет часть периферии PER. Однако периферия PER может содержать также дополнительные блоки.
В защищенном запоминающем устройстве SMEM индикаторного прибора INST, в частности, надежно записаны по меньшей мере один криптографический ключ, и/или километраж на данный момент, и/или идентификационная информация водителя, и/или предприятия, и/или автомобиля, и/или индикаторного прибора, и/или других блоков прибора, и/или установочные параметры компонентов автомобиля, например, таких блоков прибора, как блок KST управления комфортабельностью или блок MST управления двигателем, и/или данные диагностики автомобиля, например данные выхлопа. В частности, запись километража на данный момент с защитой от манипуляции имеет большое значение и надежно осуществляется индикаторным прибором INST. К тому же благодаря наличию по меньшей мере одного защитного устройства SE такие данные и информацию индикаторный прибор INST может принимать от других блоков прибора или от внешнего устройства EG по надежному виртуальному каналу и контролировать их на предмет искажений и/или под защитой соответствующего контрольного числа PW передавать их по надежному виртуальному каналу в другие блоки прибора во внешнее устройство EG или дальше.
В варианте выполнения системы, изображенном на фиг. 6, предусмотрены три шины FDB данных автомобиля, или шина FDB данных автомобиля из трех частей. Тахограф DTCO соединен с первой шиной FDB1 данных автомобиля, или первой частью шины FDB данных автомобиля. Блоки прибора, в частности, приборы управления автомобилем, например блок MST управления двигателем и/или блок KST управления комфортабельностью, соединены в показанном варианте выполнения со второй шиной FDB2 данных автомобиля, или второй частью шины FDB данных автомобиля. Третья шина FDB3 данных автомобиля, или третья часть шины FDB данных автомобиля, предусмотрена для связи с внешними устройствами EG, например, через блок DIAG интерфейса диагностики, или с бортовым блоком ОBU для сбора за пользование дорогой (Maut-on-Board-Unit). Тахограф DTCO и бортовой блок ОBU для сбора за пользование дорогой (Maut-on-Board-Unit), как уже описано выше, также оснащены по меньшей мере одним защитным устройством SE. Тахограф DTCO, предпочтительно, содержит печатающее устройство PR.
Предпочтительно, индикаторный прибор INST образует соединительный блок VE, или индикаторный прибор INST содержит соединительный блок VE. Тем самым индикаторный прибор INST выполняет функции шлюза (Gateway). Таким образом, индикаторный прибор INST может передавать данные, подаваемые на него через один из интерфейсов DS данных, дальше по меньшей мере на другой интерфейс DS данных. Благодаря по меньшей мере одному защитному устройству SE индикаторного прибора INST индикаторный прибор INST может очень просто контролировать получаемые и при необходимости передаваемые дальше данные, например, с помощью соответствующего приложенного контрольного числа PW или фильтрации, и/или аутентизации, в частности, в зависимости по меньшей мере от одного криптографического ключа, записанного в защищенном запоминающем устройстве SMEM. Благодаря этому индикаторный прибор INST может, например, служить также в качестве защитного барьера между шинами FDB данных автомобиля или частями шины FDB данных автомобиля. Кроме того, индикаторный прибор INST может быть также выполнен для аутентизации блоков прибора, соединенных с ним, т.е. для допуска или блокировки этих блоков прибора, в частности для обмена данными, в частности для защищенного обмена данными по надежному виртуальному каналу. Это относится также, в частности, к внешним устройствам EG. Благодаря этому система может быть надежно защищена от возможных несанкционированных вмешательств извне, например, через внешнее устройство ЕG, если аутентизации внешнего устройства EG не получится.
Благодаря защитным функциям индикаторного прибора INST в результате наличия по меньшей мере одного защитного устройства SE индикаторный прибор INST может выполнять также другие функции, в частности релевантные с точки зрения защиты. Например, может быть предусмотрено, чтобы индикаторный прибор INST образовывал или содержал также блок DIAG интерфейса диагностики, и/или блок PID идентификации, и/или блок KЕ контроля доступа, и/или блок KST управления комфортабельностью или по меньшей мере часть из них, в частности, часть, релевантную в отношении защиты. В частности, предусмотрены механика и/или сенсорика системы дверного замка и/или противоугонного блока по обычной схеме. Соответствующий и обычно дополнительно предусмотренный блок прибора, осуществляющий релевантную с точки зрения защиты обработку зарегистрированных данных датчика и обеспечивающий или запрещающий открывание двери автомобиля или запуск автомобиля, т.е., в частности, блок PID идентификации и/или блок KЕ контроля доступа, могут быть заменены индикаторным прибором INST, для чего при обработке, релевантной с точки зрения защиты, используется по меньшей мере одно защитное устройство SE. Это особенно предпочтительно в случае систем идентификации или доступа без ключа и/или систем идентификации или доступа с беспроводной или бесконтактной связью с ключом, который может быть также выполнен в виде чип-карты CК. Индикаторный прибор INST может, соответственно, полностью или частично заменять, например, блок DIAG интерфейса диагностики, и/или блок KST управления комфортабельностью, и/или другие блоки прибора. За счет экономии дополнительных блоков прибора система может быть особенно экономичной.
Кроме того, наличие по меньшей мере одного защитного устройства SE в индикаторном приборе INST обеспечивает контроль и/или аутентизацию программного обеспечения, в частности обновлений программного обеспечения, предусмотренных для самого индикаторного прибора INST или для одного из других соединенных с ним блоков прибора и отрабатываемых, например, извне через блок DIAG интерфейса диагностики, например, с помощью внешнего устройства EG. Программное обеспечение является, в частности, программным обеспечением, реализуемым в соответственно предусмотренном блоке прибора автомобиля. Путем контроля и/или аутентизации программного обеспечения с помощью индикаторного прибора INST можно воспрепятствовать тому, чтобы устанавливалось и реализовывалось недопущенное программное обеспечение или программное обеспечение, искаженное в результате ошибочной передачи или несанкционированной манипуляции, и тем самым нарушались функция, защита и надежность соответствующего блока прибора или автомобиля. Благодаря соответствующему подбору контрольного числа PW программное обеспечение надежно и достоверно передается по надежному виртуальному каналу в индикаторный прибор INST, например, с внешнего устройства EG, а при необходимости с индикаторного прибора INST поступает дальше в предусмотренный блок прибора.
Кроме того, индикаторный прибор INST, предпочтительно, выполнен с расчетом на прием и хранение, например, в запоминающем устройстве DMEM данных, программного обеспечения, в частности программного обеспечения, реализуемого в индикаторном приборе INST в виде отдельных программ, функций программного обеспечения или функциональных модулей программного обеспечения, а также на их реализацию. Благодаря такому программному обеспечению функциональность индикаторного прибора INST может расширяться без необходимости в обновлении операционной системы или фирменного программного обеспечения индикаторного прибора INST. Предпочтительно, программное обеспечение реализуется в условиях защиты или времени прогона, так что другие функции индикаторного прибора INST пострадать не могут. Благодаря дополнительному программному обеспечению могут дополнительно наращиваться, например, возможности индикации для блоков прибора, дополнительно встраиваемых в автомобиль или отключаемых от него, т.е. возможности индикации, которые до поставки индикаторного прибора INST еще не могли быть учтены. Это относится, в частности, также к блокам прибора других изготовителей, которые, таким образом, путем отладки соответствующего программного обеспечения для индикаторного прибора INST сумели также использовать индикатор ANZ и/или блок ввода индикаторного прибора INST в своем соответствующем блоке прибора, например в бортовом блоке для сбора за пользование дорогой (Maut-on-Board-Unit). Программное обеспечение, в частности, может включать обработку, и/или индикацию, и/или предоставление данных и может, например, также включать использование функций защиты индикаторного прибора INST, например, в отношении шифрования, расшифровки, маркировки, контроля или аутентизации данных. Кроме того, таким образом, например, и другим блокам прибора предоставляется возможность использования печатающего устройства PR тахографа DTCO, для чего соответствующее программное обеспечение в индикаторном приборе INST организует обмен данными с тахографом DTCO, например, по надежному виртуальному каналу, а другим блокам прибора оказывает услуги печати. Соответственно может быть предусмотрено оказание и других услуг и, следовательно, при необходимости обеспечена возможность использования компонентов блоков приборов для других блоков прибора. Кроме того, по меньшей мере одно защитное устройство SE и, в частности, защищенный вычислительный блок SCPU и защищенное запоминающее устройство SMEM, предпочтительно, используются также для соответствующего контроля и/или аутентизации программного обеспечения, дополнительно устанавливаемого в индикаторный прибор INST в соответствии с обновлениями программного обеспечения. Таким образом, индикаторный прибор INST является ответственным центром («Trust-Center»).
Система имеет открытую системную архитектуру, т.е. система не ограничена определенными заданными блоками прибора и внешними блоками ЕЕ. Благодаря наличию криптографического контрольного числа PW и обусловленного этим надежного виртуального канала обмен данными как между блоками прибора внутри автомобиля, так и с внешними блоками ЕЕ за пределами автомобиля может происходить в условиях защиты от несанкционированной манипуляции и тем самым достоверно. Кроме того, может быть дополнительно предусмотрено, чтобы полезные данные DAT передавались в зашифрованном виде так, чтобы они оставались конфиденциальными и могли быть расшифрованы только предусмотренным блоком прибора или внешним блоком ЕЕ. В частности, в результате отсутствия криптографического контрольного числа PW в качестве кода аутентизации сообщения или сокращенного кода RMAC аутентизации сообщения возможен обмен данными в реальном времени с защитой, отвечающий требованиям к обмену данными в автомобилях.

Claims (25)

1. Система, содержащая тахограф (DTCO) и бортовой блок (OBU) для сбора за пользование дорогой в качестве абонентов связи при обмене данными, содержащих соответствующие интерфейсы (DS) данных, выполненные в виде интерфейса шины данных автомобиля, так что обмен данными осуществляется по шине (FDB) данных автомобиля, с которой могут соединяться абоненты связи,
при этом тахограф (DTCO) и бортовой блок (OBU) для сбора за пользование дорогой выполнены как передатчик данных для определения криптографического контрольного числа (PW) в зависимости от полезных данных (DAT), которые через интерфейс (DS) данных должны передаваться к соответствующему абоненту связи, и для передачи к соответствующему абоненту связи криптографического контрольного числа (PW) в дополнение к полезным данным (DAT), и
бортовой блок (OBU) для сбора за пользование дорогой и тахограф выполнены как соответствующий приемник данных для приема через интерфейс (DS) данных от соответствующего абонента связи полезных данных (DAT) и криптографического контрольного числа (PW), относящегося к полезным данным (DAT), и для контроля принятых полезных данных (DAT) на наличие искажений в зависимости от принятого криптографического контрольного числа (PW),
отличающаяся тем, что
полезные данные (DAT), передаваемые от тахографа (DTCO) к бортовому блоку (OBU) для сбора за пользование дорогой и принимаемые последним, содержат данные скорости, и/или пройденного пути, и/или километраж на данный момент, регистрируемые или определяемые тахографом (DTCO) или датчиками (SENS), соединенными с тахографом (DTCO), и/или данные времени, и/или идентификационные данные водителя, и/или предприятия, и/или автомобиля, при этом упомянутые абоненты связи выполнены с возможностью передачи криптографического контрольного числа (PW) в одном сообщении (MSG) вместе с соответствующими полезными данными (DAT).
2. Система по п.1, в которой полезные данные (DAT), передаваемые от блока (OBU) для сбора за пользование дорогой к тахографу (DTCO) и принимаемые последним, содержат информацию о времени и/или информацию о местоположении, определяемую блоком (POS) определения местоположения.
3. Система по п.1, содержащая индикаторный прибор (INST) в качестве абонента связи при обмене данными, содержащий интерфейс (DS) данных, выполненный в качестве интерфейса шины данных автомобиля, так что обмен данными осуществляется по шине (FDB) данных автомобиля, с которой соединяется индикаторный прибор (INST), при этом индикаторный прибор (INST) выполнен с возможностью приема через интерфейс (DS) данных от соответствующего абонента связи полезных данных (DAT) и криптографического контрольного числа (PW), относящегося к полезным данным (DAT), и контроля принятых полезных данных (DAT) на наличие искажений в зависимости от принятого криптографического контрольного числа (PW).
4. Система по п.3, в которой индикаторный прибор (INST) выполнен в качестве передатчика данных для определения криптографического контрольного числа (PW) в зависимости от полезных данных (DAT), которые через интерфейс (DS) данных должны передаваться соответствующему абоненту связи, и для передачи соответствующему абоненту связи криптографического контрольного числа (PW) в дополнение к полезным данным (DAT).
5. Система по п.3 или 4, в которой индикаторный прибор (INST) содержит по меньшей мере одно защищенное запоминающее устройство (SMEM) для сохранения по меньшей мере одного криптографического ключа, и/или километража на данный момент, и/или идентификационных данных водителя, и/или предприятия, и/или автомобиля, и/или установочных параметров компонентов автомобиля, и/или диагностических данных автомобиля.
6. Система по п.3 или 4, в которой индикаторный прибор (INST) содержит по меньшей мере одно корпусное защитное устройство (GSE), обнаруживающее открывание индикаторного прибора (INST).
7. Система по п.6, в которой корпусное защитное устройство (GSE) содержит корпусной выключатель.
8. Система по п.3 или 4, в которой индикаторный прибор (INST) содержит по меньшей мере два интерфейса (DS) данных, выполненных в качестве интерфейса шины данных автомобиля, образует соединительный блок (VE) для обмена данными между абонентами связи, соединяемыми с различными из по меньшей мере двух интерфейсов (DS) данных, и выполнен с возможностью дальнейшей передачи, и/или контроля, и/или аутентификации принятых полезных данных (DAT), и/или аутентификации абонентов связи.
9. Система по п.8, в которой полезные данные (DAT), контролируемые и аутентифицируемые с помощью индикаторного прибора (INST), содержат по меньшей мере часть исполняемого программного обеспечения или составляют исполняемое программное обеспечение.
10. Система по п.9, в которой индикаторный прибор (INST) выполнен с возможностью исполнения исполняемого программного обеспечения.
11. Система по п.9 или 10, в которой индикаторный прибор (INST) выполнен с возможностью дальнейшей передачи исполняемого программного обеспечения к по меньшей мере одному из абонентов связи после успешного завершения контроля и/или аутентификации.
12. Система по п.9 или 10, в которой индикаторный прибор (INST) образует блок (KST) управления обеспечением комфортабельности, и/или блок (DIAG) интерфейса диагностики, и/или блок (PID) идентификации для идентификации личности, и/или блок (КЕ) контроля доступа, и/или противоугонный блок или содержит часть из этого.
13. Система по п.1, в которой
каждый из абонентов связи имеет, соответственно, по меньшей мере одно защищенное запоминающее устройство (SMEM) для хранения по меньшей мере одного криптографического ключа,
по меньшей мере один из абонентов связи выполнен с возможностью формирования по меньшей мере одного криптографического ключа и зашифрованной передачи по меньшей мере одного сформированного криптографического ключа к по меньшей мере одному из соответствующих абонентов связи,
абоненты связи выполнены с возможностью приема и расшифровки по меньшей мере одного зашифрованного криптографического ключа и безопасного хранения по меньшей мере одного криптографического ключа в своем соответствующем защищенном запоминающем устройстве (SMEM), и
абоненты связи выполнены с возможностью определения криптографического контрольного числа (PW) в зависимости от по меньшей мере одного криптографического ключа.
14. Система по п.13, в которой абоненты связи выполнены с возможностью определения криптографического контрольного числа (PW) как кода аутентификации сообщения в зависимости от по меньшей мере одного криптографического ключа.
15. Система по п.13, в которой абоненты связи выполнены с возможностью определения криптографического контрольного числа (PW) как сокращенного кода (RMAC) аутентификации сообщения в зависимости от по меньшей мере одного криптографического ключа.
16. Система по п.1, в которой абоненты связи выполнены с возможностью передачи криптографического контрольного числа (PW) и соответствующих полезных данных (DAT) отдельно друг от друга в, соответственно, по меньшей мере одном сообщении (MSG).
17. Система по п.1, в которой соответствующий по меньшей мере один из абонентов связи при соответственно предусмотренном обмене данными выполнен с возможностью аутентификации себя по отношению к своему соответствующему по меньшей мере одному абоненту связи.
18. Система по п.1, в которой бортовой блок (OBU) для сбора за пользование дорогой и предусмотренный при необходимости индикаторный прибор (INST) выполнены с возможностью аутентификации себя по отношению к тахографу (DTCO) и, при успешной аутентификации,
для обеспечения доверительного обмена данными между тахографом (DTCO), с одной стороны, и бортовым блоком (OBU) для сбора за пользование дорогой или предусмотренным при необходимости индикаторным прибором (INST), с другой стороны, и/или
для обеспечения доверительного обмена данными между бортовым блоком (OBU) для сбора за пользование дорогой и предусмотренным при необходимости индикаторным прибором (INST),
и в противном случае, для предотвращения доверительного обмена данными (DAT), основываясь на контроле принятых полезных данных в зависимости от соответствующего принятого криптографического контрольного числа.
19. Система по любому из пп.13-18, в которой по меньшей мере один абонент связи выполнен с возможностью автоматического повторного выполнения формирования и передачи по меньшей мере одного криптографического ключа и предусмотренной при необходимости аутентификации в зависимости от наступления по меньшей мере одного заданного события.
20. Система по п.1, в которой по меньшей мере один из абонентов связи содержит интерфейс для внешнего блока (ЕЕ) и выполнен с возможностью
определения криптографического контрольного числа (PW) в зависимости от полезных данных (DAT), которые через интерфейс для внешнего блока (ЕЕ) должны передаваться к внешнему блоку (ЕЕ) в качестве абонента связи, и передачи к этому абоненту связи криптографического контрольного числа (PW) в дополнение к полезным данным (DAT) и/или
приема от внешнего блока (ЕЕ) через интерфейс для внешнего блока (ЕЕ) полезных данных (DAT) и относящегося к полезным данным (DAT) криптографического контрольного числа (PW) и контроля принятых полезных данных (DAT) на наличие искажений в зависимости от принятого криптографического контрольного числа (PW).
21. Система по п.1, в которой по меньшей мере один из абонентов связи выполнен с возможностью шифрования передаваемых полезных данных и по меньшей мере один другой из абонентов связи выполнен с возможностью расшифровки принятых зашифрованных полезных данных.
22. Система по п.1, содержащая в качестве абонента связи при обмене данными блок (VT) дорожной интегрированной телекоммуникации и информатики, и/или блок (MST) управления двигателем для управления двигателем внутреннего сгорания или по меньшей мере электродвигателем, обеспечивающим тягу автомобиля, и/или блок (KST) управления обеспечением комфортабельности, и/или блок (DIAG) интерфейса диагностики, и/или блок (PID) идентификации для идентификации личности, и/или блок (КЕ) контроля доступа, которые, соответственно, содержат интерфейс (DS) данных, выполненный в качестве интерфейса шины данных автомобиля, так что обмен данными осуществляется по шине (FDB) данных автомобиля, с которой соединены блок (VT) дорожной интегрированной телекоммуникации и информатики, блок (MST) управления двигателем, блок (KST) управления обеспечением комфортабельности, блок (DIAG) интерфейса диагностики, блок (PID) идентификации и блок (КЕ) контроля доступа.
23. Тахограф, содержащий интерфейс (DS) данных, выполненный в качестве интерфейса шины данных автомобиля, так что обмен данными по меньшей мере с одним абонентом связи происходит по шине (FDB) данных автомобиля, с которой соединены тахограф (DTCO) и соответствующий абонент связи, при этом тахограф (DTCO) выполнен с возможностью
определения криптографического контрольного числа (PW) в зависимости от полезных данных (DAT), которые через интерфейс (DS) данных должны передаваться к соответствующему по меньшей мере одному абоненту связи, и передачи к соответствующему абоненту связи криптографического контрольного числа (PW) в дополнение к полезным данным (DAT) и/или
приема через интерфейс (DS ) данных по меньшей мере от одного абонента связи полезных данных (DAT) и соответствующего криптографического числа (PW), относящегося к полезным данным (DAT), и контроля принятых полезных данных (DAT) на наличие искажений в зависимости от принятого криптографического контрольного числа (PW),
при этом тахограф (DTCO) и упомянутые абоненты связи выполнены с возможностью передачи криптографического контрольного числа (PW) в одном сообщении (MSG) вместе с соответствующими полезными данными (DAT).
24. Бортовой блок для сбора за пользование дорогой, содержащий интерфейс (DS) данных, выполненный в качестве интерфейса шины данных автомобиля, так что обмен данными с по меньшей мере одним абонентом связи осуществляется по шине (FDB) данных автомобиля, с которой соединены бортовой блок (OBU) для сбора за пользование дорогой и соответствующий абонент связи, при этом бортовой блок (OBU) для сбора за пользование дорогой выполнен с возможностью
определения криптографического контрольного числа (PW) в зависимости от полезных данных (DAT), которые через интерфейс (DS) данных должны передаваться к соответствующему по меньшей мере одному абоненту связи, и передачи к соответствующему абоненту связи криптографического контрольного числа (PW) в дополнение к полезным данным (DAT) и/или
приема через интерфейс (DS ) данных от по меньшей мере одного абонента связи полезных данных (DAT) и соответствующего криптографического числа (PW), относящегося к полезным данным (DAT), и контроля принятых полезных данных (DAT) на наличие искажений в зависимости от принятого криптографического контрольного числа (PW),
при этом бортовой блок (OBU) для сбора за пользование дорогой и упомянутые абоненты связи выполнены с возможностью передачи криптографического контрольного числа (PW) в одном сообщении (MSG) вместе с соответствующими полезными данными (DAT).
25. Индикаторный прибор, содержащий интерфейс (DS) данных, выполненный в качестве интерфейса шины данных автомобиля, так что обмен данными с по меньшей мере одним абонентом связи осуществляется по шине (FDB) данных автомобиля, с которой соединены индикаторный прибор (INST) и соответствующий абонент связи, при этом индикаторный прибор (INST) выполнен с возможностью приема через интерфейс (DS ) данных от по меньшей мере одного абонента связи полезных данных (DAT) и соответствующего криптографического числа (PW), относящегося к полезным данным (DAT), и контроля принятых полезных данных (DAT) на наличие искажений в зависимости от принятого криптографического контрольного числа (PW), при этом упомянутый индикаторный прибор (INST) выполнен с возможностью приема криптографического контрольного числа (PW), переданного в одном сообщении (MSG) вместе с соответствующими полезными данными (DAT).
RU2010116696/08A 2007-09-28 2008-09-25 Тахограф, бортовой блок для сбора за пользование дорогой (maut-on-board-unit), индикаторный прибор и система RU2506642C2 (ru)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
DE102007046968 2007-09-28
DE102007046968.5 2007-09-28
DE102007058163A DE102007058163A1 (de) 2007-09-28 2007-11-30 Tachograph, Maut-On-Board-Unit, Anzeigeinstrument und System
DE102007058163.9 2007-11-30
PCT/EP2008/062842 WO2009043794A1 (de) 2007-09-28 2008-09-25 Tachograph, maut-on-board-unit, anzeigeinstrument und system

Publications (2)

Publication Number Publication Date
RU2010116696A RU2010116696A (ru) 2011-11-10
RU2506642C2 true RU2506642C2 (ru) 2014-02-10

Family

ID=40459021

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010116696/08A RU2506642C2 (ru) 2007-09-28 2008-09-25 Тахограф, бортовой блок для сбора за пользование дорогой (maut-on-board-unit), индикаторный прибор и система

Country Status (5)

Country Link
US (1) US9196099B2 (ru)
EP (1) EP2195790B1 (ru)
DE (1) DE102007058163A1 (ru)
RU (1) RU2506642C2 (ru)
WO (1) WO2009043794A1 (ru)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008008970A1 (de) * 2008-02-13 2009-08-20 Bayerische Motoren Werke Aktiengesellschaft Bordnetz-System eines Kraftfahrzeugs mit austauschbarem kryptografischen Schlüssel und/oder Zertifikat
DE102008047433A1 (de) * 2008-09-15 2010-03-25 Continental Automotive Gmbh Verfahren zum Freischalten von Funktionen eines Tachographen
DE102008048162A1 (de) * 2008-09-19 2010-03-25 Continental Automotive Gmbh System und On-Board-Unit
DE102008061710A1 (de) * 2008-12-12 2010-06-17 Continental Automotive Gmbh Verfahren zum Betreiben einer Sensorvorrichtung und Sensorvorrichtung
DE102008062717A1 (de) * 2008-12-18 2010-06-24 Continental Automotive Gmbh System zum Erfassen von Betriebsdaten eines Fahrzeugs
US8374911B2 (en) * 2009-10-01 2013-02-12 International Business Machines Corporation Vehicle usage-based tolling privacy protection architecture
US20110087430A1 (en) 2009-10-14 2011-04-14 International Business Machines Corporation Determining travel routes by using auction-based location preferences
US8812352B2 (en) 2009-10-14 2014-08-19 International Business Machines Corporation Environmental stewardship based on driving behavior
US20110093639A1 (en) * 2009-10-19 2011-04-21 Microchip Technology Incorporated Secure Communications Between and Verification of Authorized CAN Devices
DE102009051350A1 (de) * 2009-10-30 2011-05-05 Continental Automotive Gmbh Verfahren zum Betreiben eines Tachographen und Tachograph
DE102009055963A1 (de) * 2009-11-27 2011-06-01 Continental Automotive Gmbh Personalisierungseinrichtung
EP2362357B1 (en) 2010-02-22 2020-02-12 Stoneridge Electronics AB Enhanced functions of a tachograph
FR2962241A1 (fr) * 2010-06-30 2012-01-06 France Telecom Verification de la mise en fonction d'un equipement embarque dans un vehicule
DE102010039845A1 (de) * 2010-08-26 2012-03-01 Robert Bosch Gmbh Verfahren zum Übertragen von Sensordaten
PT2490183E (pt) * 2011-02-16 2013-08-23 Kapsch Trafficcom Ag Aparelho de veículo, rede ad-hoc e processo para um sistema de portagens de estrada
EP2498225B1 (en) * 2011-03-11 2014-12-17 Telit Automotive Solutions NV Road toll system and method
FR2973136A1 (fr) * 2011-03-25 2012-09-28 France Telecom Verification de l'integrite de donnees d'un equipement embarque dans un vehicule
US9665991B2 (en) * 2011-06-30 2017-05-30 Accenture Global Services Limited Tolling using mobile device
DE102011084569B4 (de) * 2011-10-14 2019-02-21 Continental Automotive Gmbh Verfahren zum Betreiben eines informationstechnischen Systems und informationstechnisches System
US9276738B2 (en) 2011-10-20 2016-03-01 Continental Automotive Gmbh Digital tachograph
FR2985051B1 (fr) * 2011-12-21 2016-12-09 Continental Automotive France Procede de diagnostic pour dispositif de commande d'un vehicule automobile a moteur electrique propulsif et dispositif associe
GB2498742A (en) * 2012-01-25 2013-07-31 Haul It Nationwide Ltd Personal activity recording terminal and personnel management system
DE102012204953A1 (de) 2012-03-28 2013-10-02 Robert Bosch Gmbh Nachrüsteinrichtung, Anordnung und Verfahren zum Bestimmen und Übermitteln wenigstens eines wegstreckenkorrelierten Messwerts
DE102012009138A1 (de) * 2012-05-08 2012-11-15 Daimler Ag Fahrzeug-Diagnosebuchse und Kommunikationsnetz
DE102012215601A1 (de) 2012-09-03 2014-03-06 Continental Automotive Gmbh Verfahren und Vorrichtung zum Ermitteln eines Werts einer bewegungsabhängigen Größe
US9865102B2 (en) 2013-04-11 2018-01-09 The University Of Tulsa Wheeled vehicle event data recorder forensic recovery and preservation system
DE102013209505A1 (de) * 2013-05-22 2014-11-27 Continental Automotive Gmbh Tachograph, Tachographenchipkarte und Tachographensystem
DE102013213177A1 (de) * 2013-07-04 2015-01-08 Continental Automotive Gmbh Gesicherte Kommunikationseinrichtung für ein Fahrzeug und Fahrzeugsystem
WO2015081969A1 (en) * 2013-12-02 2015-06-11 Giesecke & Devrient Gmbh Method, secure element and system for monitoring controller area network devices
DE102014202587A1 (de) 2014-02-13 2015-08-13 Continental Automotive Gmbh Mauterfassungseinrichtung zum Erfassen einer Maut eines Kraftfahrzeuges
DE102014116723A1 (de) * 2014-11-14 2016-05-19 TWT GmbH Steuerungssystem für zumindest ein Transportmittel
CA3174624A1 (en) * 2014-12-15 2016-06-23 Polaris Industries Inc. Autonomous ready vehicle
CN104700469B (zh) * 2015-04-02 2016-03-23 中经汇通电子商务有限公司 多车辆即时信息管理及处理系统及其方法
DE102015219996A1 (de) * 2015-10-15 2017-04-20 Robert Bosch Gmbh Verfahren und Vorrichtung zum Abwehren einer Manipulation an einem CAN-Bus durch einen mittels eines CAN-Controllers an den Bus angebundenen Knoten
US10251061B2 (en) * 2015-12-17 2019-04-02 Tadhg Kelly Cellular out of band management as a cloud service
CN106184072A (zh) * 2016-07-19 2016-12-07 成都安程通科技有限公司 基于移动终端的汽车ecu信息监控系统
US10285051B2 (en) 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking
US10630481B2 (en) * 2016-11-07 2020-04-21 Ford Global Technologies, Llc Controller area network message authentication
US10735206B2 (en) * 2016-11-07 2020-08-04 The Regents Of The University Of Michigan Securing information exchanged between internal and external entities of connected vehicles
BR102017016287B1 (pt) * 2017-07-28 2024-03-12 Dalton Alexandre Da Silva Sistema de leitura, registro e disponibilização de dados e parâmetros de condução de um veículo automotor agregado a sistema de registro de ponto eletrônico
SE544280C2 (en) * 2018-03-19 2022-03-22 Stoneridge Electronics Ab System and method for managing tachograph seals
DE102019105147A1 (de) 2019-02-28 2020-09-03 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Verfahren zur Erzeugung und Speicherung einer digitalen Kopie eines Kraftfahrzeugs
RU2716871C1 (ru) * 2019-03-19 2020-03-17 Дмитрий Михайлович Михайлов Система и способ защиты электронных систем управления транспортных средств от несанкционированного вторжения
SE543982C2 (en) * 2019-03-26 2021-10-12 Stoneridge Electronics Ab Method of processing vehicle data from multiple sources and controller therefor
RU2708518C1 (ru) * 2019-04-05 2019-12-09 Акционерное общество "АвтоВАЗ" (АО "АвтоВАЗ") Способ испытаний бортовых систем/устройств измерения и отображения пройденного пути автотранспортного средства на восприимчивость к электромагнитному полю
DE102020215964B3 (de) * 2020-12-15 2022-01-13 Continental Automotive Gmbh Tachographensystem, Tachographeneinrichtung und Verfahren zum Betreiben eines Tachographensystems
DE102022210422A1 (de) 2022-09-15 2024-03-21 Continental Automotive Technologies GmbH Verfahren zum Übertragen eines Datensatzes zwischen einem Tachografen und einem Steuergerät

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2136047C1 (ru) * 1993-11-08 1999-08-27 Маннесманн Аг Устройство для записи информации о маршруте движения
RU98117712A (ru) * 1996-02-21 2000-06-27 Кад Кол Сэвис Ко., Лтд. Способ осуществления связи с помощью общего криптографического ключа (варианты)
RU2221277C1 (ru) * 2003-04-22 2004-01-10 Общество с ограниченной ответственностью "Альтоника" Система регистрации и восстановления параметров движения транспортного средства
US6823457B1 (en) * 1999-11-22 2004-11-23 International Business Machines Corporation Method and system for verifying control accesses between a device on a non-proprietary bus and a device on a proprietary bus
EP1538572A2 (de) * 2003-12-02 2005-06-08 Siemens Aktiengesellschaft Integriertes Erfassungsgerät für Strassenbenutzungsgebühren
US20050251604A1 (en) * 2004-04-01 2005-11-10 Gerig Michael L Method and protocol for diagnostics of arbitrarily complex networks of devices
WO2006000507A1 (de) * 2004-06-25 2006-01-05 Siemens Aktiengesellschaft Datenübertragung in einer anordnung mit einem tachographen
WO2006028665A1 (en) * 2004-09-03 2006-03-16 Gore Enterprise Holdings, Inc. Reusable tamper respondent enclosure
WO2007031406A1 (de) * 2005-09-12 2007-03-22 Siemens Vdo Automotive Ag Anordnung mit einem tachographen

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4804937A (en) 1987-05-26 1989-02-14 Motorola, Inc. Vehicle monitoring arrangement and system
DE19516061A1 (de) 1995-05-04 1996-11-07 Bosch Gmbh Robert System zum Erfassen von einem Fahrzeug in einem vorgegebenen Bereich zurückgelegten Strecke
CA2247509A1 (en) 1996-02-21 1997-08-28 Yoshimi Baba Communication method using common cryptographic key
US5877697A (en) 1997-07-25 1999-03-02 Lucent Technologies Inc. Security system and method for detecting chassis tampering
DE19745962A1 (de) 1997-10-17 1999-04-22 Cit Alcatel System zur Speicherung mindestens einer Datenangabe
DE19955545A1 (de) 1999-11-18 2001-05-23 Volkswagen Ag Steuersystem für ein Kraftfahrzeug
JP4370170B2 (ja) * 2002-01-18 2009-11-25 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 移動端末にデータをロードする方法
DE10347836A1 (de) 2003-10-10 2005-05-04 Daimler Chrysler Ag Fahrzeugdatenbussystem
DE102004008834A1 (de) 2004-02-09 2005-08-25 Kartenhaus Kollektiv Grafische Dienste Gmbh Verfahren und System zur Erfassung von Mautdaten
EP1630747A3 (de) 2004-08-31 2006-11-02 Fela Management AG Verfahren und Vorrichtung zur Mauterhebung
FR2878355B1 (fr) 2004-11-22 2007-02-23 Actia Sa Unite de tachigraphe electronique pour vehicule automobile
DE102005013144A1 (de) 2005-03-22 2006-09-28 Robert Bosch Gmbh Verfahren und Anordnung zur Lenkzeitüberwachung in Kraftfahrzeugen sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium
DE102005018138A1 (de) 2005-04-20 2006-11-02 Klaus Winkler Kraftfahrzeugvorrichtung mit einer Recheneinheit

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2136047C1 (ru) * 1993-11-08 1999-08-27 Маннесманн Аг Устройство для записи информации о маршруте движения
RU98117712A (ru) * 1996-02-21 2000-06-27 Кад Кол Сэвис Ко., Лтд. Способ осуществления связи с помощью общего криптографического ключа (варианты)
US6823457B1 (en) * 1999-11-22 2004-11-23 International Business Machines Corporation Method and system for verifying control accesses between a device on a non-proprietary bus and a device on a proprietary bus
RU2221277C1 (ru) * 2003-04-22 2004-01-10 Общество с ограниченной ответственностью "Альтоника" Система регистрации и восстановления параметров движения транспортного средства
EP1538572A2 (de) * 2003-12-02 2005-06-08 Siemens Aktiengesellschaft Integriertes Erfassungsgerät für Strassenbenutzungsgebühren
US20050251604A1 (en) * 2004-04-01 2005-11-10 Gerig Michael L Method and protocol for diagnostics of arbitrarily complex networks of devices
WO2006000507A1 (de) * 2004-06-25 2006-01-05 Siemens Aktiengesellschaft Datenübertragung in einer anordnung mit einem tachographen
WO2006028665A1 (en) * 2004-09-03 2006-03-16 Gore Enterprise Holdings, Inc. Reusable tamper respondent enclosure
WO2007031406A1 (de) * 2005-09-12 2007-03-22 Siemens Vdo Automotive Ag Anordnung mit einem tachographen

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KERSTIN LEMKE et al: “Embedded Security in Cars-Securing Current and Future Automotive IT Applications- Part II: “ Secure In - Vehicle Communication” ” [Online] 28. Marz 2006 (2006-03-28), SPRINGER BERLIN HEIDELBERG, XP002509799; ISBN:978-3-540-28428-4 найдено в Интернет: URL: http://www.springerlink.com/content/x8 q 626oo2m867m/>; стр. 95-109; найдено 29.08.2012. *
KERSTIN LEMKE et al: "Embedded Security in Cars-Securing Current and Future Automotive IT Applications- Part II: " Secure In - Vehicle Communication" " [Online] 28. Marz 2006 (2006-03-28), SPRINGER BERLIN HEIDELBERG, XP002509799; ISBN:978-3-540-28428-4 найдено в Интернет: URL: http://www.springerlink.com/content/x8 q 626oo2m867m/>; стр. 95-109; найдено 29.08.2012. *

Also Published As

Publication number Publication date
EP2195790A1 (de) 2010-06-16
RU2010116696A (ru) 2011-11-10
US9196099B2 (en) 2015-11-24
EP2195790B1 (de) 2017-05-03
US20100250053A1 (en) 2010-09-30
DE102007058163A1 (de) 2009-04-23
WO2009043794A1 (de) 2009-04-09

Similar Documents

Publication Publication Date Title
RU2506642C2 (ru) Тахограф, бортовой блок для сбора за пользование дорогой (maut-on-board-unit), индикаторный прибор и система
US6577934B2 (en) Failure diagnosis apparatus
EP1918894B1 (en) Information storage device, information storage program, verification device and information storage method
EP2663018B1 (en) Electronic key registration system
CN110191415B (zh) 一种车辆信息的加密方法、车载设备及服务器
US8222989B2 (en) Method for the protection of a movable object, especially a vehicle, against unauthorized use
JP2017174111A (ja) 車載ゲートウェイ装置、蓄積制御方法およびプログラム
US7840321B2 (en) System of control devices in a motor vehicle with protected diagnostics access points and method of using the system
US20140189814A1 (en) Method for vehicle communication, interface module, vehicle diagnosis interface, user communication terminal, data network system and diagnosis and control network
JP4035719B2 (ja) 車両盗難防止システム及び方法
US20090327760A1 (en) Tachograph
KR20150089697A (ko) 모바일 단말을 이용한 스마트 카 보안 시스템 및 그 방법
US9165131B1 (en) Vehicle connector lockout for in-vehicle diagnostic link connector (DLC) interface port
Ammar et al. Securing the on-board diagnostics port (obd-ii) in vehicles
JP4046013B2 (ja) 車両用ドライブレコーダ,車両分析装置、および鍵管理方法
JP2003087234A (ja) 車両履歴情報管理システム、履歴情報記憶装置及び履歴情報管理装置
CN112506267B (zh) 一种rtc校准方法、车载终端、用户端和存储介质
US20070266250A1 (en) Mobile Data Transmission Method and System
CN112652097A (zh) 商用车远程防盗系统及其工作方法
JP2002109593A (ja) 無線通信装置および情報変更方法
JP4720143B2 (ja) カードレスetc車載器および車載システム
EP4425824A1 (en) Data storage system, mobile body, and data storage program
JP2002095050A (ja) 情報伝送システム、無線通信装置および移動体
JP3758852B2 (ja) 電子料金収受装置に用いられる車載器およびそれに搭載される車載器搭載部品
JPH0746233A (ja) 不正使用防止機能を備えた発信装置

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20190926